基于MAC的访问控制列表详解

　先介绍一下port group 的概念：port group 是配置层面上的一个物理端口组，配置到port group里面的物理端口才可以参加链路汇聚，并成为port channel里的某个成员端口。在逻辑上，port group 并不是一个端口，而是一个端口序列。加入port group 中的物理端口满足某种条件时进行端口汇聚，形成一个port channel，这个port channel 具备了逻辑端口的属性，才真正成为一个独立的逻辑端口。端口汇聚是一种逻辑上的抽象过程，将一组具备相同属性的端口序列，抽象成一个逻辑端口。port channel是一组物理端口的集合体，在逻辑上被当作一个物理端口。对用户来讲，完全可以将这个port channel 当作一个端口使用，因此不仅能增加网络的带宽，还能提供链路的备份功能。

　　端口汇聚功能通常在交换机连接路由器、主机或者其他交换机时使用。

　　port channel 的带宽为4 个端口带宽的总和。而s1如果有流量要经过port channel 传输到s2，s1 的portchannel 将根据流量的源mac 地址及目的mac地址的最低位进行流量分配运算，根据运算结果决定由port channel 中的某一成员端口承担该流量。当port channel 中的一个端口连接失败，原应该由该端口承担的流量将再次通过流量分配算法分配给其他连接正常的端口分担。流量分配算法由交换机的硬件决定的。

　　为使port channel 正常工作，port channel 的成员端口必须具备以下相同的属性：

　　1 端口均为全双工模式；

　　2 端口速率相同；

　　3 端口的类型必须一样，比如同为以太口或同为光纤口；

　　4 端口同为access 端口并且属于同一个vlan 或同为trunk 端口；

　　5 如果端口为trunk 端口，则其allowed vlan 和native vlan 属性也应该相同。

　　当dcrs-5526s 通过手工方式配置port channel 或lacp 方式动态生成portchannel，系统将自动选举出port channel 中端口号最小的端口作为port channel 的主端口（master port）。若交换机打开spanning-tree 功能，spanning-tree视port channel 为一个逻辑端口，并且由主端口发送bpdu 帧。

　　另外，端口汇聚功能的实现与交换机所使用的硬件有密切关系，dcrs-5526 系列交换机支持任意两个交换机物理端口的汇聚，最大组数为6 个，组内最多的端口数为8 个。

　　汇聚端口一旦汇聚成功就可以把它当成一个普通的端口使用，在dcrs-5526s 中还建立了汇聚端口配置模式，与vlan 和物理端口配置模式一样，用户能在汇聚端口配置模式下对汇聚端口进行相关的配置。

Port Channel配置命令　

　1、 port-group

　　命令：port-group [port-group-number] [load-balance { src-mac|dst-mac | dst-src-mac | src-ip| dst-ip|dst-src-ip}]

　　no port-group [port-group-number] [load-balance]

　　功能： 新建一个port group，并且设置该组的流量分担方式。如果没有指定流量分担方式则为设置默认的流量分担方式。该命令的no操作为删除该group或者恢复该组流量分担的默认值，敲入load-balance表示恢复默认流量分担，否则为删除该组。

　　参数：[port-group-number] 为port channel的组号，范围为1～16，如果已经存在该组号则会报错。dst-mac 根据目的mac进行流量分担；src-mac 根据源mac地址进行流量分担；dst-src-mac 根据目的mac和源mac进行流量分担；dst-ip 根据目的ip地址进行流量分担；src-ip 根据源ip地址进行流量分担；dst-src-ip 根据目的ip和源ip进行流量分担。如果是修改流量分担方式，并且该port-group已经形成一个port-channel，则这次修改的流量分担方式只有在下次再次汇聚时才会生效。

　　缺省情况：缺省交换机端口不属于port channel，不启动lacp协议

　　命令模式：交换机全局配置模式

　　举例：新建一个port group，并且采用默认的流量分担方式

　　switch(config)#port-group 1

　　删除一个port group

　　switch(config)#no port-group 1

　　2、 port-group mode

　　命令：port-group [port-group-number] mode {active|passive|on}

　　no port-group [port-group-number]

　　功能：将物理端口加入port channel，该命令的no操作为将端口从port channel中去除

　　参数：[port-group-number] 为port channel的组号，范围为1～16；active（0） 启动端口的lacp协议，并设置为active模式；passive（1） 启动端口的lacp协议，并且设置为passive模式；on（2） 强制端口加入port channel，不启动lacp协议。

　　命令模式：接口配置模式

　　缺省情况：缺省交换机端口不属于port channel，不启动lacp协议

　　使用指南：如果不存在该组则会先建立该组，然后再将端口加到组中。在一个port-group中所有的端口加入的模式必须一样，以第一个加入该组的端口模式为准。端口以on模式加入一个组是强制性的，所谓强制性的表示本端交换机端口汇聚不依赖对端的信息，只要在组中有2个以上的端口，并且这些端口的vlan信息都一致则组中的端口就能汇聚成功。端口以active和passive方式加入一个组是运行lacp协议的，但两端必须有一个组中的端口是以active方式加入的，如果两端都是passive，端口永远都无法汇聚起来。

　　举例：在ethernet0/0/1端口模式下，将本端口以active模式加入port-group 1

　　switch(config-ethernet0/0/1)#port-group 1 mode active

　　3、 interface port-channel

　　命令：interface port-channel [port-channel-number]

　　功能：进入汇聚接口配置模式

　　命令模式：全局配置模式

　　缺省情况：

　　使用指南：进入汇聚端口模式下配置时，如果是对gvrp,spanningtree模块做配置则对汇聚端口生效，如果汇聚端口不存在，也就是说在端口没有汇聚起来时先提示错误信息，记录该用户配置操作，当端口真正汇聚起来以后恢复用户刚才对未形成汇聚端口的配置动作，注意只能恢复一次，如果因为某种原因汇聚组被拆散然后又汇聚起来，用户一开始的配置不能被恢复。如果是对其他模块做配置，比如做shutdown, speed配置，则是对该port-channel对应的port-group中的所有成员端口生效，起到一个群配的作用。

　　举例：进入port-channel1 配置模式

　　switch(config)#interface port-channel 1

　　switch(config-if-port-channel1)#