一、链路聚合（Eth-Trunk）

1. 基本概念

别名：链路捆绑、端口聚合
核心作用：
- 提升带宽：多物理链路逻辑合并为一条高带宽链路。
- 增加可靠性：单链路故障时自动切换，收敛时间快。
- 负载分担：流量在多成员链路上均衡分布。
关键限制：仅支持点到点的两个设备间聚合（如交换机-交换机、交换机-服务器）。

2. 配置命令

# 创建Eth-Trunk逻辑接口
[Huawei] interface Eth-Trunk 1  

# 将物理接口加入聚合组（以G0/0/1和G0/0/2为例）
[Huawei] interface GigabitEthernet 0/0/1  
[Huawei-GigabitEthernet0/0/1] eth-trunk 1  
[Huawei] interface GigabitEthernet 0/0/2  
[Huawei-GigabitEthernet0/0/2] eth-trunk 1  

# 查看聚合组状态
[Huawei] display eth-trunk 1

3. 注意事项

STP兼容性：链路聚合无需关闭STP，聚合组内端口会被视为一条逻辑链路。
负载均衡模式：支持基于源/目的MAC、IP、端口等策略（默认基于源目MAC）。

二、访问控制列表（ACL）

1. ACL核心功能

核心思想：在网络连通基础上实现精细化控制（”通”中选”不通”）。
工作流程：
1. 定义ACL编号：如acl 2000（基本ACL）或acl 3000（高级ACL）。
2. 配置规则（Rule）：匹配条件 + 动作（permit允许/deny拒绝）。
3. 挂接到接口：对入向（inbound）或出向（outbound）流量生效。

2. ACL分类

类型	ACL编号范围	匹配字段	适用场景
基本ACL	2000-2999	仅源IP地址	粗粒度控制（如限制访问来源）
高级ACL	3000-3999	五元组（源/目IP、协议、端口）	精细控制（如限制特定服务）

3. 配置示例

基本ACL（限制源IP）

# 创建ACL 2000，禁止192.168.1.100访问
[Huawei] acl 2000  
[Huawei-acl-basic-2000] rule deny source 192.168.1.100 0  
[Huawei-acl-basic-2000] quit  

# 在接口G0/0/1入方向调用ACL
[Huawei] interface GigabitEthernet 0/0/1  
[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 2000

高级ACL（限制Web访问）

# 创建ACL 3000，允许HTTP但禁止HTTPS
[Huawei] acl 3000  
[Huawei-acl-adv-3000] rule permit tcp destination-port eq 80    # 允许HTTP  
[Huawei-acl-adv-3000] rule deny tcp destination-port eq 443     # 禁止HTTPS  
[Huawei-acl-adv-3000] quit  

# 在接口G0/0/2出方向调用ACL
[Huawei] interface GigabitEthernet 0/0/2  
[Huawei-GigabitEthernet0/0/2] traffic-filter outbound acl 3000

4. 华为ACL特性

默认规则：
- 华为：未匹配任何规则时隐式允许（permit any）。
- 思科：未匹配时隐式拒绝（deny any）。
规则优先级：规则ID越小优先级越高（如rule 5比rule 10优先匹配）。

5. ACL应用场景

独立使用：直接允许/拒绝流量（如封禁恶意IP）。
结合其他技术：
- 与NAT配合：匹配特定流量进行地址转换。
- 与QoS配合：标记流量优先级。

三、关键总结

技术	核心要点
链路聚合	提升带宽、冗余、负载均衡；需同设备间配置；兼容STP。
基本ACL	基于源IP控制（2000-2999），适用于简单过滤。
高级ACL	基于五元组控制（3000-3999），适用于精细策略（如限制端口/协议）。
ACL调用	需绑定到接口的`inbound`（入向）或`outbound`（出向）方向。

现网建议：

链路聚合成员链路物理状态一致（如速率、双工模式相同）。
ACL规则按优先级从高到低排列，避免策略冲突。
高级ACL尽量靠近源端部署，减少无效流量传输。