一、端口聚合（LACP）應用場景

該功能高端設備上支持，S3100，S3600型號不支持。

1、在帶寬比較緊張的情況下，可以通過邏輯聚合可以擴展帶寬到原鏈路的n倍

2、在需要對鏈路進行動態(tài)備份的情況下，可以通過配置鏈路聚合實現(xiàn)同一聚合組各個成員端口之間彼此動態(tài)備份。

二、端口聚合（LACP）模式

LACP的端口可以支持如下幾種模式：static（靜態(tài)），passive，和active

靜態(tài)：人為配置的聚合組，不允許系統(tǒng)自動添加或刪除手工或靜態(tài)聚合端口。

passive：被動模式，該模式下端口不會主動發(fā)送LACPDU報文，在接收到對端發(fā)送的LACP報文后，該端口進入?yún)f(xié)議計算狀態(tài)。

Active：主動模式，該模式下端口會主動向對端發(fā)送LACPDU報文，進行LACP協(xié)議的計算。

一般建議對接的2臺設備一邊為active，另一邊為 passive。

三、端口聚合（LACP）配置

步驟一、添加聚合口

配置頁面： 系統(tǒng)管理>>網(wǎng)絡>>接口>>新建

類型選擇：802.3ad匯聚；選擇物理接口成員；

P5以上版本默認是靜態(tài)無需執(zhí)行下面步驟，可以跳過。如果是P5以下版本默認是動態(tài)，請執(zhí)行以下步驟【建議升級最新版本可web更改模式】：

步驟二、修改LACP

RG-WALL # config system interface

RG-WALL (interface) # edit lacp

RG-WALL (lacp) # set lacp-mode static?????????? //配置LACP協(xié)商模式: 主動，被動或者靜態(tài)，默認為動態(tài)

RG-WALL (lacp) # set algorithm L3?????????????? //負載均衡算法。L3 基于IP地址進行哈希，L4 基于四層進行哈希。

RG-WALL (lacp) # end

配置完成后查看配置聚合口配置，接口配置頁面查看建立的軟交換口

說明：對應的物理口在WEB/CLI界面上將消失，不可配置；

查看命令

RG-WALL # show system interface lacp

config system interface

??? edit "lacp"

??????? set vdom "root"

??????? set type aggregate

??????? set member "port13" "port14"

??????? set description "??? "

??????? set snmp-index 51

??????? set lacp-mode static

??????? set algorithm L3

??? next

end

說明：以上查看的配置命令，既是命令行下配置的邏輯和參考

四、查看LACP接口狀態(tài)

RG-WALL # diagnose netlink aggregate list

List of 802.3ad link aggregation interfaces:

?1? name lacp????????????? status up??? algorithm L3? lacp-mode static

RG-WALL # diagnose netlink? aggregate? name lacp

LACP flags: (A|P)(S|F)(A|I)(I|O)(E|D)(E|D)

(A|P) - LACP mode is Active or Passive

(S|F) - LACP speed is Slow or Fast

(A|I) - Aggregatable or Individual

(I|O) - Port In sync or Out of sync

(E|D) - Frame collection is Enabled or Disabled

(E|D) - Frame distribution is Enabled or Disabled

status: up

npu: y

flush: n

asic helper: y

oid: 135

ports: 2

ha: master

distribution algorithm: L4

LACP mode: active

LACP speed: slow

LACP HA: enable

aggregator ID: 1

actor key: 17

actor MAC address: 14:14:4b:7e:e1:69

partner key: 17

partner MAC address: 14:14:4b:7e:e1:67

slave: port13

? link status: up

? link failure count: 0

? permanent MAC addr: 14:14:4b:7e:e1:69

? LACP state: established

? actor state: ASAIEE?????????????????????????????????? //本端狀態(tài)

? actor port number/key/priority: 1 17 255

? partner state: ASAIEE???????????????????????????????? //對端狀態(tài)

? partner port number/key/priority: 1 17 255

? partner system: 65535 14:14:4b:7e:e1:67

? aggregator ID: 1

? speed/duplex: 1000 1

? RX state: CURRENT 6

? MUX state: COLLECTING_DISTRIBUTING 4

slave: port14

? link status: up

? link failure count: 0

? permanent MAC addr: 14:14:4b:7e:e1:68

? LACP state: established

? actor state: ASAIEE

? actor port number/key/priority: 2 17 255

? partner state: ASAIEE

? partner port number/key/priority: 2 17 255

? partner system: 65535 14:14:4b:7e:e1:67

? aggregator ID: 1

? speed/duplex: 1000 1

? RX state: CURRENT 6

? MUX state: COLLECTING_DISTRIBUTING 4

功能說明

關于配置IP-MAC地址的綁定，防火期防火墻支持如下2種功能（透明或者路由模式均支持）：

1、 簡單的靜態(tài)MAC-IP綁定，僅用于配置系統(tǒng)的ARP表項。

2、基于防火墻的MAC-IP綁定，列表之外的MAC會被防護墻拒絕訪問。

一、系統(tǒng)MAC/IP地址綁定

?????? 說明：P3版本支持web界面配置IP+MAC綁定

說明：P3之前版本僅支持命令行配置

?? 步驟一、配置命令如下

RG-WALL #config system arp-table

RG-WALL (arp-table) # edit 1

RG-WALL (1) #set interface internal　　　　　//指定接口（路由模式或者VDOM為路由模式時需這條命令；透明模式或者VDOM為透明模式時，無需該命令）

RG-WALL (1) #set ip 192.168.1.111????????????????????? //指定IP地址

RG-WALL (1) #set mac 00:00:00:11:11:11??????????? //指定MAC地址

RG-WALL (1) #next

RG-WALL (arp-table) #end

步驟二、查看當前防火墻ARP表

??? RG-WALL # get sys arp

??? Address?????????? Age(min)?? Hardware Addr????? Interface

??? 192.168.1.111???? -????????? 00:00:00:11:11:11 internal

二、基于防火墻的MAC/IP綁定

步驟一、binding參數(shù)設置

?RG-WALL #config firewall ipmacbinding setting

?RG-WALL (setting) #set bindthroughfw enable??? //開啟對需要通過防火墻的數(shù)據(jù)的過濾，指要匹配策略進行轉發(fā)的數(shù)據(jù)。默認diable

?RG-WALL (setting) #set bindtofw enable???????????? //開啟對需要到達防火墻的數(shù)據(jù)的過濾，指對防火墻本身的訪問。默認disable。

?RG-WALL (setting) #set undefinedhost block???? //對不在ipmac表中的MAC采用的動作（默認block，拒絕）

?RG-WALL (setting) #end

步驟二、設置ipmac表

RG-WALL # config firewall ipmacbinding table

RG-WALL (table)? #edit 1

RG-WALL (1) #set ip 192.168.1.1??????????? //設置綁定IP

RG-WALL (1) #set mac 00:31:cd:4c:5d:6e???? //設置綁定MAC

RG-WALL (1) #set name "test"? //設置綁定條目的名稱

RG-WALL (1) #set status enable?? //狀態(tài)設置為啟用

RG-WALL (1) #next

RG-WALL (table)? #end

步驟三、接口下啟用該功能

RG-WALL #config system interface

RG-WALL (interface)#edit internal????????? //進入需控制的接口

RG-WALL (internal)#set ipmac enable?? //狀態(tài)設置為啟用

RG-WALL (internal)#end

三、功能驗證

在防火墻上采用diagnose debug flow查看拒絕log信息；

需要通過防火墻的數(shù)據(jù)：

RGFW # id=13 trace_id=1 msg="vd-root received a packet(proto=1, 192.168.1.168:1->8.8.8.8:8) from internal. code=8, type="

id=13 trace_id=1 msg="allocate a new session-000a5db6"

id=13 trace_id=1 msg="find a route: flags=00000000 gw-192.168.118.1 via wan1"

id=13 trace_id=1 msg="HWaddr-f0:de:f1:0f:85:c2 is in black list, drop"????????? //? IPMAC表中沒有f0:de:f1:0f:85:c2記錄，被拒絕

到達防火墻的數(shù)據(jù)：

RGFW # id=13 trace_id=11 msg="vd-root received a packet(proto=1, 192.168.1.168:1->192.168.1.200:8) from internal. code=8,"

id=13 trace_id=11 msg="allocate a new session-000a5f04"

id=13 trace_id=11 msg="HWaddr-f0:de:f1:0f:85:c2 is in black list, drop"????? //? IPMAC表中沒有f0:de:f1:0f:85:c2記錄，被拒絕

一、功能說明

軟交換口是將防火墻的多個3層接口，通過軟件的方式，組成一個2層交換接口。 如對于X9300的每個口都為3層路由接口，將port1，port2組成軟件交換接口。

二、功能配置

步驟一、添加聚合口

配置頁面： 系統(tǒng)管理>>網(wǎng)絡>>接口>>新建

類型選擇：software switch；選擇物理接口成員；

步驟二、查看軟交換

接口配置頁面查看建立的軟交換口