一、链路聚合(Eth-Trunk)技术
1.1 链路聚合概述
1.1.1 技术背景
园区网中,为了提升链路可靠性,通常会部署冗余物理链路,但 STP 生成树协议为了避免二层环路,会自动阻塞冗余链路,导致冗余链路无法被利用,仅能做备份,无法实现带宽叠加。链路聚合(Eth-Trunk,也叫端口聚合、链路捆绑)技术,就是为了解决这个问题设计的二层 / 三层技术。
1.1.2 定义与作用
链路聚合,是将多个物理以太网接口(线路)在逻辑上捆绑在一起,形成一条单一的逻辑链路(Eth-Trunk 接口),核心作用如下:
-
带宽叠加:将多个物理接口的带宽合并,实现带宽线性提升(例如 4 个 1Gbps 接口聚合,可获得接近 4Gbps 的逻辑带宽),是除硬件升级外,提升链路带宽的核心手段。
-
链路冗余与高可用:聚合组内某一条物理链路故障时,流量会自动切换到其他正常的物理链路,业务无感知中断,实现秒级故障切换,提升网络可靠性。
-
避免环路:聚合后的多条物理链路被视为一条逻辑链路,STP 不会阻塞聚合组内的成员接口,既利用了冗余链路,又避免了二层环路。
-
负载均衡:流量会按照预设的负载均衡算法,均匀分配到聚合组内的各条物理链路上,避免单条链路拥塞。
1.2 链路聚合的模式
链路聚合分为手工静态聚合模式 和LACP 动态聚合模式两大类,华为设备通过 Eth-Trunk 接口实现。
1.2.1 手工静态聚合模式
静态聚合是最基础的聚合模式,所有配置均由手工完成,不依赖 LACP 协议协商,聚合组内的所有成员接口均为活动接口,参与数据转发。
特点
-
配置简单,无需协议协商,适用于拓扑固定、设备兼容性要求高的场景。
-
聚合组内所有物理接口均处于活动状态,只要有一条链路正常,聚合接口就不会 down。
-
仅能检测直连链路的物理故障,无法检测链路错连、对端配置不一致等二层故障,故障检测能力弱。
完整配置命令
# 1. 创建Eth-Trunk逻辑聚合接口,进入聚合接口视图(trunk-id取值范围0-4095)
[Huawei] interface Eth-Trunk 0
# 2. (可选)配置聚合模式为手工静态负载均衡(华为设备默认模式,可省略)
[Huawei-Eth-Trunk0] mode manual load-balance
# 3. 将物理接口加入聚合组,有两种配置方式
## 方式一:在Eth-Trunk接口视图批量添加成员接口(推荐,配置高效)
[Huawei-Eth-Trunk0] trunkport GigabitEthernet 0/0/1 to 0/0/4 # 批量添加连续接口
[Huawei-Eth-Trunk0] trunkport GigabitEthernet 0/0/5 0/0/6 # 添加不连续接口
## 方式二:在物理接口视图,逐个绑定到聚合组
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] eth-trunk 0
[Huawei-GigabitEthernet0/0/1] quit
# 4. 针对聚合接口配置二层属性(与普通物理接口配置逻辑完全一致)
## 示例:配置为Trunk类型,放通VLAN 1-10
[Huawei-Eth-Trunk0] port link-type trunk
[Huawei-Eth-Trunk0] port trunk allow-pass vlan 1 to 10
## 示例:配置为Access类型,加入VLAN 10
[Huawei-Eth-Trunk0] port link-type access
[Huawei-Eth-Trunk0] port default vlan 10
# 5. (可选)配置最小活动接口数
[Huawei-Eth-Trunk0] least active-linknumber 2
# 作用:当活动链路数目小于该阈值时,Eth-Trunk接口整体转为Down状态,保障最小带宽,避免单链路过载聚合删除命令
# 方式一:在物理接口视图,解除接口与聚合组的绑定
[Huawei-GigabitEthernet0/0/1] undo eth-trunk
# 方式二:直接删除整个Eth-Trunk聚合接口(会自动解除所有成员接口的绑定)
[Huawei] undo interface Eth-Trunk 01.2.2 LACP 动态聚合模式(LACP 模式)
LACP(Link Aggregation Control Protocol,链路聚合控制协议),遵循 IEEE 802.3ad 标准,是动态聚合的核心协议。设备间通过交互 LACPDU(链路聚合控制协议数据单元)进行参数协商,自动选举活动接口与备份接口,实现链路的动态聚合与故障切换。
特点
-
通过协议自动协商,避免手工配置错误导致的聚合失败,配置一致性要求更严格。
-
支持活动接口与非活动(备份)接口的区分,可配置最大活动接口数,实现链路的冗余备份。
-
可实时检测链路状态、对端配置,故障检测能力更强,切换更精准。
-
支持系统优先级、接口优先级的自定义,可灵活控制活动接口的选举。
LACP 协商规则
-
主动端选举 :通过系统 LACP 优先级选举主动端,优先级数值越小,优先级越高;优先级相同时,比较设备 MAC 地址,MAC 越小越优先。两端均以主动端的规则选举活动接口。
- 系统 LACP 优先级默认值为 32768,可手动修改。
- 系统 LACP 优先级默认值为 32768,可手动修改。
-
活动接口选举:主动端选举完成后,两端以主动端的接口优先级选举活动接口:
-
先比较接口 LACP 优先级,数值越小优先级越高,优先被选为活动接口。
-
接口优先级相同时,比较接口编号,编号越小越优先。
-
-
最大 / 最小活动接口数:
-
最大活动接口数:当成员接口数量超过该数值时,优先级低的接口成为备份(非活动)接口,仅活动接口参与数据转发。
-
最小活动接口数:当活动链路数小于该阈值时,Eth-Trunk 接口整体 Down,保障最小带宽。
-
-
故障切换 :当活动链路故障时,自动从备份接口中选举优先级最高的接口,切换为活动接口,接替转发流量,实现业务无感知。
完整配置命令
# 1. 创建Eth-Trunk聚合接口
[Huawei] interface Eth-Trunk 0
# 2. 配置聚合模式为LACP静态模式(华为LACP模式命令)
[Huawei-Eth-Trunk0] mode lacp-static
# 3. 批量添加成员接口到聚合组
[Huawei-Eth-Trunk0] trunkport GigabitEthernet 0/0/1 to 0/0/6
# 4. (可选)配置系统LACP优先级(数值越小越优先,需在系统视图配置)
[Huawei] lacp priority 1000
# 5. (可选)配置接口LACP优先级(数值越小越优先,需在成员接口视图配置)
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] lacp priority 100
[Huawei-GigabitEthernet0/0/1] quit
# 6. (可选)配置最大活动接口数(两端需保持一致)
[Huawei-Eth-Trunk0] max active-linknumber 4
# 7. (可选)配置最小活动接口数
[Huawei-Eth-Trunk0] least active-linknumber 2
# 8. (可选)使能不同速率接口加入同一聚合组的功能(默认关闭,非必要不开启)
[Huawei-Eth-Trunk0] mixed-rate link enable
# 9. 配置聚合接口的二层属性(与静态模式一致)
[Huawei-Eth-Trunk0] port link-type trunk
[Huawei-Eth-Trunk0] port trunk allow-pass vlan 1 to 101.3 链路聚合的配置限制与约束
为了保障聚合组正常工作,必须遵守以下配置规则,否则会导致聚合失败:
-
两端设备配置必须一致:聚合组两端的设备,Eth-Trunk 模式(静态 / LACP)、成员接口数量、接口速率、双工模式、VLAN 配置、二层属性必须完全一致。
-
成员接口速率必须一致:默认情况下,只有相同速率、相同双工模式的接口才能加入同一个聚合组,速率不一致的接口不允许加入聚合组。
-
成员接口不能有独立配置:加入聚合组前,成员接口不能有任何独立的二层 / 三层配置;加入聚合组后,所有配置必须针对 Eth-Trunk 逻辑接口进行,不能再对成员接口单独配置。
-
接口类型限制:一个物理接口只能加入一个 Eth-Trunk 聚合组,若需加入其他聚合组,必须先退出当前聚合组。
-
二层 / 三层一致性:Eth-Trunk 接口要么整体为二层接口,要么整体为三层接口,成员接口的类型必须与聚合接口保持一致。
1.4 链路聚合的负载均衡机制
华为设备的 Eth-Trunk 默认采用基于数据流的负载均衡,也可手动配置基于数据包的负载均衡,核心是通过哈希算法将流量均匀分配到各条物理链路上。
1.4.1 负载均衡模式分类
-
基于数据流的负载均衡(默认模式)
-
原理:将属于同一个数据流(同一会话,如相同源目 IP、源目 MAC、源目端口)的流量,固定分配到同一条物理链路上转发。
-
优势:保证同一个数据流的报文按顺序到达,不会出现乱序问题,适配绝大多数 TCP 业务场景,是默认推荐模式。
-
劣势:单条大流量数据流无法占用多条链路的总带宽。
-
-
基于数据包的负载均衡
-
原理:将数据包逐包分配到不同的物理链路上转发,即使是同一个数据流的报文,也会走不同链路。
-
优势:可充分利用所有链路的总带宽,单条大流量也能实现带宽叠加。
-
劣势:同一个数据流的报文可能出现乱序,导致 TCP 重传,影响业务性能,仅适用于对乱序不敏感的场景。
-
1.4.2 负载均衡哈希算法配置
华为设备可通过命令自定义负载均衡的哈希因子,适配不同的业务场景,命令如下:
# 进入Eth-Trunk接口视图
[Huawei] interface Eth-Trunk 0
# 配置负载均衡哈希算法,可选参数如下
[Huawei-Eth-Trunk0] load-balance ?
dst-ip 根据目的IP地址哈希
dst-mac 根据目的MAC地址哈希
src-dst-ip 根据源IP+目的IP组合哈希(最常用,推荐)
src-dst-mac 根据源MAC+目的MAC组合哈希
src-ip 根据源IP地址哈希
src-mac 根据源MAC地址哈希场景推荐:
交换机之间互联、三层转发场景:推荐使用
src-dst-ip,流量分配更均匀。二层接入、同网段转发场景:推荐使用
src-dst-mac。
1.5 链路聚合状态查看命令
# 查看Eth-Trunk聚合接口的摘要信息、成员接口状态、活动/备份状态
[Huawei] display eth-trunk 0
# 查看Eth-Trunk接口的负载均衡模式
[Huawei] display eth-trunk 0 load-balance
# 查看LACP模式下的系统优先级、接口优先级、协商状态
[Huawei] display lacp statistics eth-trunk 0二、VRRP(虚拟路由器冗余协议)技术
2.1 VRRP 概述
2.1.1 技术背景
园区网中,终端设备的网关通常为单一的路由器 / 三层交换机接口,若该网关设备 / 接口故障,终端将无法访问外网或其他网段,出现单点故障,导致业务中断。VRRP(Virtual Router Redundancy Protocol,虚拟路由器冗余协议),是专门解决网关单点故障的三层冗余技术,是园区网网关高可用的核心标准协议,遵循 RFC 3768 标准。
2.1.2 定义与作用
VRRP 将多台三层设备(路由器、三层交换机)组成一个VRRP 备份组,虚拟出一个统一的虚拟网关(虚拟 IP + 虚拟 MAC 地址),终端设备仅需配置该虚拟网关为默认网关。备份组内会选举出一台主设备(Master)和多台备份设备(Backup),主设备负责承担网关的转发工作,备份设备实时监听主设备状态;当主设备故障时,备份设备会自动切换为新的主设备,继续承担网关转发功能,实现网关的冗余备份,终端全程无感知,业务不中断。
2.1.3 VRRP 基础概念
-
VRRP 备份组(VRID)
-
VRID 即虚拟路由器 ID,是 VRRP 备份组的唯一标识,为 8 位二进制数,取值范围 1-255。
-
同一个 VRRP 备份组内的所有设备,VRID 必须完全一致;不同备份组的 VRID 不能重复。
-
-
虚拟 IP 地址
-
即虚拟网关地址,由管理员手动配置,必须与 VRRP 备份组内设备的接口 IP 地址处于同一个网段。
-
同一个 VRRP 备份组内的所有设备,虚拟 IP 地址必须完全一致,终端设备的默认网关就是该虚拟 IP。
-
-
虚拟 MAC 地址
-
VRRP 备份组会自动生成一个虚拟 MAC 地址,格式为:
0000-5e00-01XX,其中最后两位 XX 为 VRID 的十六进制数值。 -
例如 VRID 为 1,虚拟 MAC 为
0000-5e00-0101;VRID 为 10,虚拟 MAC 为0000-5e00-010a。 -
终端设备通过 ARP 请求,获取虚拟 IP 对应的虚拟 MAC 地址,实现二层转发。
-
-
VRRP 优先级
-
优先级为 8 位二进制数,取值范围 1-255,数值越大,优先级越高。
-
设备默认优先级为 100;优先级 255 为保留值,仅当设备接口 IP 与虚拟 IP 完全一致时(IP 地址拥有者),优先级自动为 255,直接成为 Master 主设备。
-
-
VRRP 报文与传输
-
VRRP 报文封装在 IP 报文中,使用 IPv4 组播地址
224.0.0.18发送,IP 协议号为 112。 -
报文 TTL 值必须为 255,设备收到 TTL≠255 的 VRRP 报文会直接丢弃,防止跨网段攻击。
-
主设备默认每隔 1 秒(Hello Time)发送一次 VRRP 通告报文,向备份设备宣告自身状态正常。
-
-
失效计时器(Master_Down_Interval)
-
备份设备在该计时器超时前,未收到主设备的 VRRP 通告报文,就认为主设备故障,会触发主备切换。
-
计算公式:
Master_Down_Interval = 3 * Hello_Time + (256 - 优先级)/256,默认 Hello Time 为 1 秒,默认优先级 100 时,失效时间约为 3.6 秒。
-
2.2 VRRP 主备选举规则
VRRP 备份组的主设备(Master)、备份设备(Backup)选举,遵循以下优先级规则:
-
优先比较优先级 :VRRP 备份组内,优先级数值最大的设备成为 Master 主设备,其余设备为 Backup 备份设备。
-
优先级相同时 :比较设备 VRRP 接口的实际 IP 地址,IP 地址数值更大的设备成为 Master 主设备。
-
IP 地址拥有者:若设备的接口 IP 与虚拟 IP 完全一致,优先级自动为 255,直接成为 Master,无需选举。
2.3 VRRP 工作机制
2.3.1 抢占机制
VRRP 默认开启抢占模式,核心规则:
-
当备份设备发现自身优先级高于当前 Master 设备的优先级时,会立即抢占成为新的 Master 设备,原 Master 设备降级为 Backup。
-
若优先级相同,不会触发抢占,保持当前主备状态不变。
-
可手动配置抢占延迟时间,避免网络震荡导致的频繁主备切换。
2.3.2 故障切换流程
-
正常工作状态:Master 主设备周期性发送 VRRP 通告报文,承担网关转发功能;Backup 备份设备监听报文,不参与转发。
-
主设备故障:Master 设备宕机 / 接口故障,停止发送 VRRP 通告报文。
-
主备切换:Backup 设备在 Master_Down_Interval 计时器超时后,未收到通告报文,认为主设备故障,优先级最高的 Backup 设备会抢占成为新的 Master,发送免费 ARP 报文,刷新全网的 ARP 表项,宣告虚拟 IP 和虚拟 MAC 的新位置。
-
流量切换:终端设备的网关流量自动切换到新的 Master 设备,全程无感知,业务不中断。
-
原主设备恢复:原 Master 设备恢复后,若优先级高于当前 Master,会通过抢占机制重新成为 Master;若优先级相同,则保持当前 Backup 状态。
2.4 VRRP 基础配置命令
VRRP 所有配置均在三层接口(物理接口、VLANIF 接口)下完成,华为设备默认开启 VRRP 功能。
2.4.1 基础主备配置示例
场景:两台三层交换机 SW1、SW2 组成 VRRP 备份组,VRID=1,虚拟网关 IP=192.168.1.254;SW1 为主设备,优先级 200;SW2 为备份设备,默认优先级 100。
SW1(主设备)配置
# 1. 进入三层接口(VLANIF接口/物理接口),配置接口IP
[SW1] interface Vlanif 2
[SW1-Vlanif2] ip address 192.168.1.1 255.255.255.0
# 2. 创建VRRP备份组,配置虚拟IP地址
[SW1-Vlanif2] vrrp vrid 1 virtual-ip 192.168.1.254
# 3. 配置VRRP优先级,数值越大越优先,使其成为主设备
[SW1-Vlanif2] vrrp vrid 1 priority 200
# 4. (可选)配置抢占延迟时间,单位秒,避免网络震荡
[SW1-Vlanif2] vrrp vrid 1 preempt-mode timer delay 30
# 5. (可选)配置VRRP通告报文的发送间隔,单位秒,默认1秒
[SW1-Vlanif2] vrrp vrid 1 timer advertise 1
[SW1-Vlanif2] quitSW2(备份设备)配置
# 1. 进入同网段三层接口,配置接口IP
[SW2] interface Vlanif 2
[SW2-Vlanif2] ip address 192.168.1.2 255.255.255.0
# 2. 创建相同VRID的VRRP备份组,配置相同的虚拟IP地址
[SW2-Vlanif2] vrrp vrid 1 virtual-ip 192.168.1.254
# 3. 保持默认优先级100,作为备份设备
[SW2-Vlanif2] quit2.4.2 进阶配置:上行链路监控
场景:主设备 SW1 的上行链路故障时,虽然设备本身正常,但终端无法访问外网,需手动配置上行链路监控,当上行链路故障时,自动降低主设备的 VRRP 优先级,触发主备切换。
配置命令(SW1 主设备):
[SW1] interface Vlanif 2
# 监控上行接口GigabitEthernet 0/0/1,当该接口Down时,将本设备VRRP优先级降低30
[SW1-Vlanif2] vrrp vrid 1 track interface GigabitEthernet 0/0/1 reduced 30
[SW1-Vlanif2] quit说明:原优先级为 200,上行接口故障后,优先级变为 170,若仍高于备份设备,可调整 reduced 数值,确保优先级低于备份设备,触发主备切换。
2.5 VRRP 状态查看与排障命令
# 查看VRRP备份组的摘要信息,包括VRID、状态、接口、虚拟IP、主备角色
[Huawei] display vrrp brief
# 查看指定接口的VRRP详细信息,包括优先级、计时器、虚拟MAC、抢占模式、跟踪配置等
[Huawei] display vrrp interface GigabitEthernet 0/0/1
[Huawei] display vrrp interface Vlanif 2
# 查看VRRP报文的统计信息,包括发送、接收、错误报文数量
[Huawei] display vrrp statistics命令输出解读示例
<Huawei> display vrrp brief
Total:1 Master:1 Backup:0 Non-active:0
VRID State Interface Type Virtual IP
--------------------------------------------------
1 Master GE0/0/1 Normal 192.168.1.254
<Huawei> display vrrp interface GigabitEthernet 0/0/1
GigabitEthernet0/0/1 | Virtual Router 1
State : Master # 本设备角色
Virtual IP : 192.168.1.254 # 虚拟网关IP
Master IP : 192.168.1.1 # 主设备接口实际IP
PriorityRun : 100 # 运行时优先级
PriorityConfig : 100 # 配置的优先级
MasterPriority : 100 # 主设备优先级
Preempt : YES Delay Time : 0 s # 抢占模式与延迟时间
TimerRun : 1 s # 运行的通告间隔
TimerConfig : 1 s # 配置的通告间隔
Auth type : NONE # 认证类型
Virtual MAC : 0000-5e00-0101 # 虚拟MAC地址
Check TTL : YES # TTL检查
Config type : normal-vrrp # 配置类型
Backup-forward : disabled
Create time : 2025-03-31 20:36:37 UTC-08:00
Last change time : 2025-03-31 20:36:40 UTC-08:002.6 VRRP 配置注意事项
-
VRID 与虚拟 IP 一致性:同一个 VRRP 备份组内的所有设备,VRID、虚拟 IP 地址必须完全一致,否则无法形成备份组。
-
网段一致性:虚拟 IP 地址必须与 VRRP 接口的实际 IP 地址处于同一个 IP 网段,且不能是广播地址、环回地址。
-
二层连通性:VRRP 备份组内的设备,必须在同一个二层广播域内,否则无法收到对方的 VRRP 组播报文,导致主备协商失败。
-
STP 联动:VRRP 备份组的互联接口,需确保 STP 不会阻塞,避免 VRRP 报文无法转发。
-
安全加固:可配置 VRRP 认证(明文 / MD5),防止非法设备加入 VRRP 备份组,恶意抢占主设备角色。
-
主备路径对称:主备设备的上行、下行路径需保持对称,避免主备切换后出现路由不可达的问题。
三、链路聚合 + VRRP 组合部署方案
链路聚合与 VRRP 是园区网高可用设计的黄金组合,是企业园区网的标准部署架构:
-
链路聚合:解决交换机之间、交换机与路由器之间的链路带宽瓶颈与链路单点故障,实现链路层的冗余与带宽叠加。
-
VRRP:解决终端网关的单点故障,实现三层网关的冗余备份,保障终端的网络访问连续性。
典型部署架构
-
接入层到汇聚层:接入交换机与两台汇聚交换机之间,分别部署链路聚合,实现上行链路的带宽叠加与冗余。
-
汇聚层双机冗余:两台汇聚交换机之间通过链路聚合互联,保障设备间的二层连通性与带宽。
-
网关冗余:两台汇聚交换机针对每个业务 VLAN,部署 VRRP 备份组,虚拟出统一的网关地址,作为终端的默认网关。
-
效果:无论是链路故障,还是单台汇聚设备故障,都不会导致业务中断,实现了链路层 + 网络层的双重高可用,同时充分利用了冗余链路的带宽资源。