TCM流控核心技术

network · 发表于 2017-6-4 11:15:19

1.DPI
传统的IP包流量识别和QoS控制技术，仅对IP包头中的“5Tuples”,即“五元组”信息进行分析，来确定当前流量的基本信息，传统IP路由器也正是通过这一系列信息来实现一定程度的流量识别和QoS保障的，但其仅仅分析IP包的四层以下的内容，包括源地址、目的地址、源端口、目的端口以及协议类型，随着网上应用类型的不断丰富，仅通过第四层端口信息已经不能真正判断流量中的应用类型，更不能应对基于开放端口、随机端口甚至采用加密方式进行传输的应用类型。

要准确识别网络应用，需要借助复杂的第7层识别技术。现在大量的网络应用包括P2P、即时通讯、网络游戏等等，都具备了跳跃端口、随机端口、自定义端口，甚至伪装或者盗用一些常用服务的协议端口进行通信传输，所以通过对端口对它们进行识别显然是远远不够，传统的流量限速设备无能为力。所以，网络数据包必须在应用层面（Application Layer）上进行检查，即对传输协议如TCP协议的载荷（Payload）部分进行检查，以判断它们是否符合代表某种应用的特征签名。

Dpi——Deep Packet Inspection，深度包检测技术，DPI将网络上的数据报文根据五元组分为若干个的应用流，并通过识别技术对应用流中的特定的数据报文进行探测，从而确定应用流对应的应用或者用户动作。

Panabit的DPI引擎，将传统DPI技术中的基于“特征字”的识别技术、应用层网关识别技术、行为模式识别技术有机的整合起来，有效的灵活的识别网络上的各类应用，目前，产品支持900多种协议和应用的自动识别，从而为用户提供全面的、有效的、灵活的控制和计费。
2.DFI
DFI——Dynamic Flow Inspection，动态流检测技术，DFI采用的是一种基于流量行为的应用识别技术，即不同的应用类型体现在会话连接或数据流上的状态各有不同。例如，网上IP语音流量体现在流状态上的特征就非常明显：RTP流的包长相对固定，一般在130～220byte，连接速率较低，为20～84kbit/s，同时会话持续时间也相对较长；而基于P2P下载应用的流量模型的特点为平均包长都在450byte以上、下载时间长、连接速率高、首选传输层协议为TCP等。DFI技术正是基于这一系列流量的行为特征，建立流量特征模型，通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比，从而实现鉴别应用类型。DFI技术通过行为特征鉴定一个基于会话的应用，比较适合用户检测加密应用协议。

3. PSDL
PSDL ——Protocol Signature Description Language，协议特征描述语言，使得维护协议特征库更加及时方便快捷，通过微编译器和引擎，确保协议数量的可扩展性和灵活性。
4.DSCP
DSCP——Differentiated Services Code Point，差分服务代码点。通过在每个数据包IP头部的服务类别TOS标识字节中，通过编码值来区分优先级。在Panabit流控设备中，系统首先识别不同的应用协议类型，之后将不同的应用协议标识以不同的DSCP，以便对不同的应用协议赋予不同的优先级以及带宽，保证在固定带宽下的应用协议带宽保障与带宽压制。

5.节点跟踪技术
众多的新型网络应用如P2P，是由许多节点构成的，每个节点都是一个服务器，这个节点可以同时为其它节点提供服务。基于节点的跟踪技术通过多级检测模块,综合基于流量特征、深度包检测等多种检测方法,将获取的节点状态信息存入Hash表,并映射形成可信列表反馈到检测端。其基本思想是从节点双方的通信过程中寻找特征数据，这些特征数据不限于某条特定的连接，如果特征匹配，那么系统将记录该节点，而不是某条连接。一旦该接点被识别出来，那么后续同该节点通信的数据无须重新验证，因此极大的提高了系统的性能。

Panabit节点跟踪技术可以从多条连接中自动根据某种统计规律来识别某些特征不明显或者被加密了的通信协议（如SkyPe），在保证性能的同时，提高了系统识别的准确性。还通过学习的方式，采用连接识别和节点识别相结合的方式，大大减少连接数，这样可以用较少的资源监控更大的P2P应用网络，同时提高了系统的效率。

6. 主动探测技术
目前，BT和eMule是使用最广泛的P2P文件共享软件，分别使用公开的BitTorrent协议和eDonkey（电驴）协议，在因特网的P2P应用中流量占用率最大。对BT和eMule网络进行监控技术研究，即具有典型性，也具有重要的现实意义。Panabit流控设备在协议分析的基础上，研究主动探测技术，开发了P2P网络信息主动探测技术，实现了对BT和eMule网络中文件传播的资源探测和节点定位，能有效解决P2P网络中信息传输不易发现和不易定位的问题，在实际应用中达到了实用效果。

此外，Panabit流控设备针对第4代P2P应用软件的变化采用独有主动探测和服务伪装技术保证对P2P识别的准确性。流控设备采用独有的服务探测引擎可以识别第四代P2P应用?如emule 0.47c。服务伪装对于迅雷这样综合了P2P和HTTP,FTP等传输协议的应用流控设备开发了独有的服务伪装引擎。
7. 应用分流技术
应用分流可对应用进行疏导，把指定应用分流到多条线路上，降低主线路压力，间接增加带宽基数、提高带宽利用率、降低带宽使用成本；也可对应用进行管制，根据实际情况强制指定应用走哪条线路，满足特殊应用需求，尤其适合有备用线路的企业。

如上图所示，在启用应用分流策略后，网页、邮件、P2P等流量全部从原有主线链路访问Internet，OA、ERP因为对带宽响应时间的要求较高，被流控通过应用分流代理机制旁路到副线访问Internet，保证了企业实际业务的需要。同时，在副线链路出现故障时，数据还会被自动路由回到主线链路，保障了关键业务可靠性的要求。

network · 发表于 2017-6-4 11:18:10

P2P和网络电视经常把整个带宽占的满满的，因此对P2P和网络电视的限速是很有必要的。大家普遍的做法是上传和下载同时限制。毛总说过，建议通过限制上传来限制下载，上传的数据少了，下载自然就少了。通过限制下载来限速是不划算的，因为请求的流量已经过来了，你却通过限制下载把这些流量过滤掉了。。。

根据我的研究，上传限制为60K时，下载速度在2.5M左右；上传限制在100K时，下载速度大概在3.7M左右。

于是我把P2P的上传限制在了60K，HTTP下载的上传限制在了100K.网络电视的上传限制在100K,这样就能合理的限制下载

QQ图片20170315111942.png
(108.62 KB, 下载次数: 9)

QQ图片20170315111626限速.png
(46.75 KB, 下载次数: 12)

network · 发表于 2017-6-4 11:20:54

本帖最后由 Panabit-lage 于 2016-12-22 15:57 编辑

数据中心和云已经是大众耳熟能详的东西，但是下面这几件事，却未必有多少人知晓：
你家的宽带有可能来自数据中心而非运营商；
网络攻击最令人胆寒的大杀器是数据中心养鸡场；
数据中心虚拟机的安全等级可能还不如你家里上网的PC。
有人的地方就有江湖，数据中心也概莫能外，这些问题的背后，是各种利益的博弈。今天，我们就来扒一扒隐藏在数据中心靓丽外表下的暗流。
揭秘这事，要靠数据说话，本文所有数据皆来自于北京派网软件有限公司（Panabit）设备在多个数据中心的实际监测结果，如欲了解更多隐藏在互联网流量中的秘密，请关注微信公众号：Panabit。

云中乱象
与混乱不堪的驻地网环境相比，数据中心网络通常被认为是一片净土。这多半要归功于数据中心的建设和运营通常由同一个组织完成并形成单独的管理域，用户对计算、存储、带宽资源的使用行为要比自购设备接入驻地网的个人或企业用户更有规律性，并时刻受到数据中心的监控，因而网络边界相对清晰，与外部网络的关系也相对可控，不必受累于驻地网鱼龙混杂、山头林立、多方博弈的复杂性。但是作为在深度包检测（DPI）这个行当摸爬滚打十余年的老兵，我们多年来对数据中心出口流量监测的经验却无法支撑这么乐观的结论。DPI的拿手好戏是透过现象（IP）看本质（应用），同样大小的数据流，即使IP头信息完全一致，在我们看来，也会因为应用层协议的差异而截然不同。互联网首先是应用和服务驱动的网络，IP层流量的变化只是林林总总的用户、应用、服务之间互动的一种表现形式，当然，各种恶意、非法的用户和行为，也会掺杂其中，兴风作浪。有些看似波涛汹涌的流量，其实可能无伤大雅；有些看似不起眼的涓涓细流却会暗藏玄机，甚至汇聚成规模巨大的DDoS攻击流。所谓于无声处听惊雷！尽管整个数据中心用户的资源使用情况是严格受控的，但是他们用这些资源干了什么，却未必那么受关注。
作为一项仍然处在上升期的朝阳产业，扩张才是王道，因而数据中心领域最受关注的技术点集中于与数据中心建设和运维密切相关的虚拟化技术、软件定义网络技术、系统可靠性甚至节能等领域，而针对数据中心网络流量成分以及应用层行为的深度分析却鲜有人问津，对于那些不守规矩的用户或刻意逃避监管的非法攻击者来说，数据中心无疑为他们提供了一片难得的“庇护所”和“温床”。近年来，数据中心网络因为莫名其妙的吞吐抖动、业务中断、虚拟机频繁被黑甚至因主动发起攻击而受到主管部门警告的异常情况不断发生，而数据中心的运维和管理部门却常常无从下手进行定位排查。随着各类业务和服务“云化”步伐的不断加快，数据中心也将由功能单一的资源池演化为与网络同等重要的基础设施，整个互联网生态链将在数据中心环境中进行重构，其中当然也包括无处不在的“暗黑”力量。

恐惧源于无知，无知因为漠视
一切恐惧的根源在于无知，网络安全巨头RSA正在倡导一个新口号"See everything, fear nothing"，这在今天的数据中心有着最完美的诠释。相较于密如蛛网盘根错节的互联网AS级拓扑而言，数据中心与互联网骨干之间的接口关系要简单的多，这些网络出口上流淌的数据流就如同人体的脉象一般，隐藏着数据中心与外部世界之间错综复杂的关联关系。对这些出口流量进行深度分析和挖掘，将有助于我们尽快了解这个看似熟悉实则陌生的生态系统，加强监管和防护，免于恐惧之苦。
然而在现实当中，监管和防护都严重缺位。通过使用Panabit设备对多个数据中心出口流量进行DPI分析，我们发现数据中心流量的复杂性和无序性已经几乎可以与驻地网相提并论，但是却鲜有人对此进行深入全面的剖析，更不用说提出针对性的解决方案了。这其中的根本原因，一方面是数据中心潜藏的问题尚未进入大规模爆发期，大部分数据中心运营者将其视为无关大局的零星偶发异常事件，远未认识到问题的复杂性和严峻性，另一方面是由于运营商缺乏足够的动力去投资和加强数据中心流量的分析和监管。漠视与无知交相辉映、恶性循环。下面，我们就用真实的数据解开数据中心出口流量的面纱，让大家看一看，恐惧其实已经站在我们身边。

虚拟化是把双刃剑
虚拟化技术对数据中心的重要性不言而喻，然而，也正是虚拟化为各种恶意和非法的网络行为打开了方便之门。虚拟化带来的好处，当然是使应用部署变得简单，用户能够获得极大的自由度，通过各种手段上传各类应用到云端。但另外一方面，由于数据中心内部缺乏完善的管控手段，这些部署行为往往不受安全设备监管，虚拟机的种类也千奇百怪。各种网络应用的服务端、客户端甚至攻击源都散布其中，可谓玲琅满目。相比之下，一直被视为盗匪猖獗之地的驻地网，却由于奇虎360为代表的互联网厂商所倡导的的桌面安全免费运动实现了安全防护技术的高覆盖，使近年来驻地网发生的规模性的攻击和被攻击事件数量呈现出逐步下降趋势。而与此形成鲜明反差的，是数据中心内虚拟机的安全性普遍被用户忽视，甚至为了追求便利性而有意牺牲安全性。云端部署较为普遍的Unix/Linux操作系统缺乏完善的安全技术支持，病毒检出率低、病毒库和IDP攻击签名更新不及时，在病毒查杀、入侵防护等方面与Windows等驻地网常见操作系统有较大差距，使合法用户难以获得高级别安全保证，而恶意和非法用户却更容易规避检查和监控。可以说现在云端虚拟机的行为已经完全驻地网化，再也不是那个纯洁简单的“乖乖女”了。

上图是由Panabit设备监控到的某个大型数据中心的连接趋势图，这种看似怪异的形态在数据中心的出口十分常见，可以用“流量复杂，攻击显著”来描述。图中各类流量曲线均衡、平滑的部分通常代表正常的网络行为。其中httpgroup代表数据中心常用服务，例如，网页浏览、视频、音乐和页面游戏等，这些服务所对应的流量本该是数据中心出口流量的主成分，但在上面这张图中，左右流量变化的却是general和other类型，点开这些类别的流量结构表，不难发现它们包含了DNS和SYN类型的网络攻击。换句话说，大量本不应该出现在数据中心出口的流量不仅出现了，而且成为决定数据中心出口流量形态的决定性因素。经过我们最近对大量数据中心出口流量的分析和总结发现，GRE、DNS攻击、SYN攻击、单边流量和大量莫名其妙的驻地网才应该有的软件应用（比如：QQ、游戏、微信、视频客户端等）构成了数据中心最核心的异常流量。难道虚拟机们也修炼成精，开始QQ聊天、刷微信朋友圈了？这些妖魔邪祟是从哪里冒出来的？

既是标靶，也是巨炮
数据中心部署应用所产生和保存的数据往往具有很高的敏感性以及商业价值，因而数据中心一直以来都是网络攻击的重灾区，各种部署其中的云端应用已经成为黑客最为青睐的攻击目标，攻击方式囊括了大家耳熟能详的DDoS攻击、远程溢出、拖库、撞库等手段。但是另一方面，愈来愈多的攻击流也来自于数据中心，甚至出现了数据中心一边被大规模攻击同时又向外输出巨量攻击流的奇观。其中的原因来自两个方面：
第一，数据中心薄弱的监管和防护导致虚拟机很容易被虏获为“木马”和“肉鸡”；
第二，数据中心有着驻地网无可比拟的计算资源和带宽资源，可谓鸡强马壮，以前需要通过各种辛苦制毒、传播、渗透和遴选才能掌控和调度的肉鸡资源，现在只要点点鼠标，付出有限的资金成本购买一些虚拟机并上传加密的攻击程序，就可以轻易获取大量带宽和计算资源优良的肉鸡。对有商业目的的黑客来说，何乐而不为？

上面这张图是Panabit设备检测到的一个DNS攻击肉鸡与数据中心外部地址的连接信息（这种肉鸡很常见，把某些数据中心称为养鸡场毫不为过），显然这台主机正在响应远端控制节点通过WWW发来的调度指令，对一个DNS服务器发起超过十几万条并发session的攻击。像这种攻击强度，基本上可以瘫痪大部分的企业级DNS服务器，让一个企业网络失去服务响应能力。这种烈度的攻击如果和其他蠕虫并发，只需要纠结数十个攻击源，就可轻松瘫痪一个中型运营商网络。单纯观察这台主机从数据中心输出的流量，只有区区不到2M，如果不细致分析这个虚拟机的网络行为，完全没有机会觉察到它的存在。这种不起眼的资源消耗型节点只要有几十个，就足以令数据中心出口的防火墙、IDP等安全设备全部因为session耗尽而失去响应能力，而输出的流量却仍是涓涓细流而已。

相较于对驻地网的严格监管，运营商对于数据中心往往采取宽松的政策，很少做到严格的源地址校验以及攻击流量过滤，这样做无非是担心安全措施影响到数据中心内部各类云应用的顺畅运行。安全和便利从来不可兼得，在数据中心之间商业竞争日趋激烈的今天，舍安全而取便利几乎是云服务商的不二选择。由于云服务商往往采用睁一只眼闭一只眼的松散管理模式，再加上虚拟机部署的便利性，各类攻击工具的安装就可以轻松绕过安全检查。而攻击者为了获得更加隐蔽的攻击效果，逃避安全设备对攻击数据的检查，也会不断改进云端的蠕虫程序以及工作模式，从简单粗暴的动辄上万条攻击session演变为和正常节点数量相当的session数目，泯然众人，变得更加不易觉察。正是这些内外因素的共同作用，使数据中心奇怪地将“最强大的破坏者”与“最悲情的受害者”这两种互相矛盾的角色集于一身。

利益驱使下的带宽滥用
数据中心网络出口的驻地网化，虚拟化只是推手之一，由利益引发的数据中心带宽滥用是另外一个重要因素。众所周知，中国的带宽市场长期存在两个截然不同却又并行不悖的价格体系：驻地网带宽价格体系和数据中心带宽价格体系，两者之间的差价可达两倍以上。价格双轨制的存在创造出一个巨大的套利空间，最常见的获利手段就是将数据中心流量转接到驻地网出售以谋取暴利。流量倒卖产生的直接影响就是将普通用户流量引入到了本该清净的数据中心，埋下各种隐患。其实，只要关注一下数据中心流量中高得不正常的虚拟身份登录频次以及输入流量就可以轻松定位此类异常行为。

上图是Panabit设备对一台虚拟机应用层流量的分析，如此多样的流量成分，以前仅见于实体机构成的驻地网，如此众多的用户虚拟身份，并且带有移动终端才会产生的流量，谁还能相信它是一台数据中心的虚拟机？流量成分异常的背后必然是带宽转售行为，而购买者往往是驻地网宽带运营商或者一些大型行业客户。

由于数据中心部署的多为服务器端，因此正常的流量模型应该是输出流量远远大于输入流量，而驻地网络中以用户端设备为主，流量模型恰好相反（如下图所示）。但是在上面这张某数据中心虚拟机输入输出流量监测表中，居然有只有2台虚拟机的输出流量大于输入流量！而且相当接近！儿戏否？就凭这一点，就应该对涉及到的IP逐个进行重点检查，其中必有蹊跷。

驻地网运营商一个常见的问题是上行受到大型基础运营商的限制，ADSL和xPon类型的线路较为典型。然而，随着互联网应用的发展，网盘类应用和一些云端同步类应用对上行带宽的需求不断提高，对大型企业和驻地网运营商造成了巨大的压力。但是电信、联通等基础运营商对驻地网上行带宽的限制非常严格，通过正常商业途径解决的代价异常高昂。为了突破基础运营商限制，将流量NAT后转到数据中心上行是常见的应对手段之一。具体操作的方法，是由网关将内网产生的数据进行地址转换之后，不走正常的路由上行，而是用一条其他的链路转发给数据中心，通过数据中心的出口把上行流量发送出去，而下行响应则仍然使用原有链路。由于数据中心流量以输出为主，所以运营商一般不会对上行进行限制，因而留下可乘之机。这种在驻地网和数据中心之间存在的大量单向流量，只要长期观察数据中心的session，也非常容易定位。
对数据中心流量滥用的另一种形态，是利用两个安装了VPN程序的虚拟机，搭建两个数据中心的GRE链路来充当长途传输，或者是非对称上行数据的入口。这种滥用主要体现在大量的非正常VPN流量上。对于实时性要求不高的长途传输而言，这种虚拟链路的成本要远低于租用中信、揽信等公司动辄每月数万元的骨干传输光纤，又能避开市内传输复杂的协调工作，还顺便拥有了数据中心级别的可靠性，因而成为很多低价场合的最爱。

上面这张图中的第一行就是一个利用GRE链路进行大规模数据传输的案例，借助于Panabit强大的分析能力，要识别这些带宽转售所引起的异常流量在技术上几乎没有什么难度，问题还是出在监管缺位以及利益驱动上。但是，由于太多利益纠缠其中，这些问题只能点到为止，这个，你懂的。

工欲善其事，必先利其器
普通的网络安全设备对于解决上述问题无能为力，云端流量深度分析以及可视化才是定位和破解各类难题的不二法门。一个云端流量分析与可视化系统的能力和有效性，可以从三个维度来衡量：
● 广度：在已知流量模型下，有多少百分比的流量是可以被辨识、分类和控制，95%以上的识别率是基础能力指标。今天的互联网是一个最多变的世界，实时跟踪互联网应用的变化并非在实验室靠人力堆砌可以达成，需要厂商有广泛的互联网视角和数据收集能力。投标吹牛易，实施兑现难。
● 深度：互联网流量被映射到日志的详细程度，是DPI设备观察互联网深度的最好体现。分析的粒度只有细致到每个IP每时每刻的每个session才是实现流量分析和可视化的基本前提，如果连这个都做不到，最好还是洗洗睡吧。
● 速度：数据中心出口流量巨大，经常达到Tbit级别，实现全面的流量分析和可视化对于DPI设备的处理能力、日志存取能力以及大数据分析能力无疑都是一个巨大的挑战。
仅以一条10Gbps的物理链路为例，一天就会产生多达300GByte的全量行为、事件和用户日志，如何在广度、深度和速度三个维度上取得平衡，达到可视化的最佳配比，是摆在所有研究者面前的挑战。
那么，问题来了，DPI技术哪家强？
这个问题，还是留给用户去评说吧。

结语
Amit Yoran在今年RSA大会的黑灯演讲可谓精彩，他为我们描述了未知的恐惧，昭示了全面可视化的重要性。除去大家广泛认知的企业网和驻地网可视化，我们希望在数据中心领域也能抛砖引玉，引起大家对数据中心出口流量可视化的重视。

人们身处黑暗之中都会产生恐惧，因为当看不清周围的环境，却能听到声响或人影晃动时，人们将无法判断其中是否潜在着一些危险，这就像今天信息安全产业所面临的一个状态。我们需要一张新的“地图”。这张“地图”一方面不依赖于预先保护机制；一方面强调普遍的可视性；一方面可以很好地进行身份认证和识别，掌握来自外部的威胁情报；一方面又能基于业务的重要级别，进行安全资源的优化部署。 —— AmitYoran

来吧，和我们一起“看见，世界”！

network · 发表于 2017-6-4 11:22:44

一.简介：
      魏晋R4P2,新加入了一个功能。链路捆绑，是指将多个物理端口捆绑在一起，成为一个逻辑端口，以实现出/ 入流量在各成员端口中的负荷分担。当Panbit检测到其中一个成员端口的链路发生故障时，就停止在此端口上发送报文，并根据负荷分担策略在剩下链路中重新计算报文发送的端口，故障端口恢复后再次重新计算报文发送端口。链路捆绑在增加链路带宽、实现链路传输弹性和冗余等方面是一项很重要的技术。

二.优点：
      1、增加网络带宽
            链路聚合可以将多个链路捆绑成为一个逻辑链路，捆绑后的链路带宽是每个独立链路的带宽总和。
      2、提高网络连接的可靠性
            链路聚合中的多个链路互为备份，当有一条链路断开，流量会自动在剩下链路间重新分配。

三.链路捆绑方式：
      1、静态Eth-Trunk  （Panabit只支持静态手动模式）
            静态Eth-Trunk将多个物理链路直接加入Eth-Trunk组，形成一条逻辑链路。
      2、动态LACP （Panabit不支持LACP协议）


四.基本捆绑设置：

（本文中使用的交换机为华为S5700）
      1.PA上面：在监控统计---网络接口，点击设置，把两块网卡加入同一个捆绑组。
      目前最多支持4个链路捆绑组。


      2.交换机上面：设置Eth-trunk,模式设置为 manual


      3.交换机上面：将G0/0/10和G0/0/11加入到Eth-trunk 1。注意，加入前需要清空接口所有配置，不然会报错。


      4接下来验证一下绑定状态


五.添加WAN/LAN线路：
      1.PA上面新建WAN线路的方法同以前一样，先把捆绑的接口设置为接外网，然后只要选择捆绑组里面的任意一个接口即可：

（接LAN线路就只要把接口设置为接内网即可）


      2.负载检测，实现上行负载均衡


      3.冗余检测：在PA上面，把捆绑组里面的em2口线路拔掉，交换机上面查看Eth-trunk的状态，尽管G0/0/10的状态是down的，但是Eth-trunk的状态仍然是up的，线路仍然是通。




六.结语：
      链路捆绑适合用在两个重要节点或繁忙节点之间，既能增加互联带宽，又提供了连接的可靠性。

network · 发表于 2017-6-7 13:57:24

新加入了一个功能。链路捆绑，是指将多个物理端口捆绑在一起，成为一个逻辑端口，以实现出/ 入流量在各成员端口中的负荷分担。当Panbit检测到其中一个成员端口的链路发生故障时，就停止在此端口上发送报文，并根据负荷分担策略在剩下链路中重新计算报文发送的端口，故障端口恢复后再次重新计算报文发送端口。链路捆绑在增加链路带宽、实现链路传输弹性和冗余等方面是一项很重要的技术。

二.优点：
      1、增加网络带宽
            链路聚合可以将多个链路捆绑成为一个逻辑链路，捆绑后的链路带宽是每个独立链路的带宽总和。
      2、提高网络连接的可靠性
            链路聚合中的多个链路互为备份，当有一条链路断开，流量会自动在剩下链路间重新分配。

三.链路捆绑方式：
      1、静态Eth-Trunk  （Panabit只支持静态手动模式）
            静态Eth-Trunk将多个物理链路直接加入Eth-Trunk组，形成一条逻辑链路。
      2、动态LACP （Panabit不支持LACP协议）


四.基本捆绑设置：

（本文中使用的交换机为华为S5700）
      1.PA上面：在监控统计---网络接口，点击设置，把两块网卡加入同一个捆绑组。
      目前最多支持4个链路捆绑组。

2.交换机上面：设置Eth-trunk,模式设置为 manual

3.交换机上面：将G0/0/10和G0/0/11加入到Eth-trunk 1。注意，加入前需要清空接口所有配置，不然会报错。

4接下来验证一下绑定状态

五.添加WAN/LAN线路：
      1.PA上面新建WAN线路的方法同以前一样，先把捆绑的接口设置为接外网，然后只要选择捆绑组里面的任意一个接口即可：

（接LAN线路就只要把接口设置为接内网即可）

2.负载检测，实现上行负载均衡

3.冗余检测：在PA上面，把捆绑组里面的em2口线路拔掉，交换机上面查看Eth-trunk的状态，尽管G0/0/10的状态是down的，但是Eth-trunk的状态仍然是up的，线路仍然是通。

六.结语：
链路捆绑适合用在两个重要节点或繁忙节点之间，既能增加互联带宽，又提供了连接的可靠性。

账号		自动登录	找回密码
密码			注册