网工的日常修养---链路聚合+ACL（HCIA）

一、链路聚合

1、链路聚合概念

点到点的两个设备之间，多根链路逻辑的捆绑在一起，当STP进行拓扑计算时，此时会按照聚合后的链路计算
物理端口的速率可以叠加，最多可以8跟同事捆绑
1.提升带宽
2.增加网络的高可用性 收敛时间极快
3.负载分担–>三层路由[逐流->五元组]

2、链路聚合的部署模式

（1）手工链路聚合

8跟链路加入到一个LAG（链路聚合组，一个LAG对应一个逻辑端口）中，所有的端口都可以负责转发，设备不支持LACP。

LACP主备角色的选举仅仅影响了活跃端口与非活跃端口的确定，当通过优先级和MAC地址确定主备角色后，由主角色确定活跃的端口，备角色只会默默的遵从

（2）协议的链路聚合

LACP：16根加入一个LAG，但是活跃的同事最多只有8跟，另外8根做备份（M:N，M活跃、N备份）
LACP自动协商：LACP不需要记，协商完毕完毕后，30s发一次报文

（3）链路聚合的端口

Eth-Trunk接口：默认是二层接口，无法配置IP地址，需要配置undo portswitch，三层端口链路聚合

交换机内部如何确定活跃端口及备份端口：
1、比较Eth-trunk为每个接口分配的优先级，默认32768，相同则进行下一步
2、比较Etn-trunk为每个接口分配的ID号，确保每一个端口都不同，所以此时可以选出活跃与备份
默认一个LACP组中最多可以有8根活跃链路，所以此时8跟都负责数据转发

负载分担： 工作在出口接口发送数据执行计算；逐流负载分担，会根据地址参数进行负载分担，根据不同的提取参数，可以将报文中的某些参数提取（默认是源目的IP），提取后，本地执行哈希计算，得到hash-key数据，然后为hash-key选择一个发送接口，接下来该接口只会发送此hash-key的数据。

unselect： 无法使用
selected： 选中状态–>接口实现数据转发

3、链路聚合的实现方法

ACL：access control lists，访问控制列表
1、根据匹配条件匹配数据
2、根据匹配的数据定义执行的动作，允许or拒绝

区分不同的匹配项：
基本ACL（2000-2999）：只能匹配数据的源地址
高级ACL（3000-3999）：不仅可以匹配数据的源地址，还可以的匹配数据的目的地址、协议号信息、源端口、目的端口—>五元组

包含关系：一个ACL列表中，可以定义多个不同的规则，然后根据不同的规则执行具体的动作
具体分三步：
1、定义ACL的匹配参数
2、定义匹配参数的动作
3、将ACL挂载道某个接口
想要ACL列表生效，必须在某个接口下将其挂载

ACL的基本术语：
1、rule-id： 规则编号，如果不配置默认以5递增（5，10，15，。。。），也可以人为指定
当接口挂载了ACL列表后，以Inbound举例：
（1）如果数据抵达该接口，检查inbound挂载ACL了，此时根据ACL的编号在本地的配置中寻找该ACL，如果有本条ACL，则开始查看规则，进行动作的执行。
（2）对于ACL中的规则，会按照自小至大的顺序进行匹配，如果对于某个数据，某条规则可以匹配，此时就立刻停止对于该数据的匹配行为，且立刻执行动作，即便接下来有其他的规则，都不会理会。

Inbound（入口）书写了ACL，但是ACL中对于此数据没有执行任何的规则：
如果是华为的设备：ACL在接口下调用时，默认会有一条permit any（即数据哪怕没有匹配任何规则，那么会匹配默认的规则 按照允许通过）
如果是思科的设备：ACL在接口下调用时，默认会有一条deny any（即数据哪怕没有匹配任何规则，那么会匹配默认的规则 按照拒绝执行）

2、反掩码/通配符：
例如：
正掩码：192.168.1.0 /24----255.255.255.0 = 192.168.1.0网段
反掩码：255.255.255.255 — 255.255.255.0 = 0.0.0.255
如果通配符掩码为0，则代表与之对应的前方的网络地址，在数据抓取时，必须匹配。
如果通配符掩码为1，则代表与之对应的前方的主机地址，在数据抓取时，无需匹配，任意即可
ACL中通配符取值为0的 必须严格匹配。

3、一个接口的一个方向仅可以调用1个ACL；一个接口的不同方向可以调用多个ACL，不同方向的数据是完全隔离的

4、链路聚合的案例

#创建链路聚合接口
[sw1]interface eth-trunk
#手动负载分担
[sw1-eth-trunk]mode manual load-balance
#接口加入
[sw1-eth-trunk]trunkport Gigabitethernet 0/0/1 t 0/0/2

#修改为LACP静态模式
mode lacp-static
#删除链路聚合，删除前确保接口配置已经清空
undo interface eth-trunk 1
undo portwitch

5、ACL的案例

任务：
1、ospf配置动态路由
2、acl配置pc1无法访问pc3和server1
3、acl配置client 无法访问server1（ICmp–ping不同），但是可以访问其他服务

#每一个路由器的接口配置
#创建进程
[R2]ospf 10
[R2]ospf 10 router id 1.1.1.1
#创建区域
[R2]area 0
#全局宣告
[R2]network 12.1.1.0 0.0.0.255
#接口下宣告
[接口]ospf enable 10 area 0.0.0.0

#ospf相关配置命令
[AR1]display router id #查看设备的全局RID
<AR1>reset ospf process #选择y 重置OSPF的进程
[AR1]display ospf peer brief #查看当前设备的OSPF的邻居关系
[AR1]interface g0/0/0
[AR1-GigabitEthernet0/0/0]ospf dr-priority 255 #修改接口的DR优先级的命令
display current-configuration configuration ospf #查看当前设备人为配置的OSPF命令信息
[AR5]interface g0/0/0
[AR5-GigabitEthernet0/0/0]ospf cost 1000 #修改未来接口的cost
[AR4]OSPF 1
[AR4-ospf-1]bandwidth-reference 1000 #修改当前设备的参考带宽值

#链路聚合
#基本ACL典型配置---
[HCIA-71acl 2001 #创建ACL 2001(基本)
[HCIA-71-acl-basic-2001] rule 5 permit source 10.1.1.2 0.0.0.0 #允许源地址为10.1.1.2 的主机访问
[HCIA-71-acl-basic-2001] rule 6 deny source 10.1.1.0 0.0.0.255 #拒绝源地址为10.1.1.0网段的主机访问
[HCIA-71]Interface G0/0/0
[HCIA-71-GigabitEthernet0/0/0]traffic-filter inbound acl 2001 #接口下的针对于入方向的数据调用ACL 2001

#高级ACL典型配置---
[HCIA-71] acl 3001
[HCIA-71-acl-adv-3001] rule deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 #拒绝从10.1.1.0网段访问10.1.2.0网段的IP数据
[HCIA-71]Interface G0/0/0
[HCIA-71-GigabitEthernet0/0/0]traffic-filter inbound acl 3001 #接口下的针对于入方向的数据调用ACL 3001

#查看ACL
Display acl xxx（acl编号）/ all （看所有的）