问

acg1000配置

链路聚合

2025-08-18提问

0关注
0收藏，265浏览

zhiliao_wltuSW

zhiliao_wltuSW 零段

粉丝：0人关注：0人

问题描述：

acg1000se的ge0接联通50兆专线，ge1,ge2两条千兆拨号上网，ge3，ge4接s5560汇聚交换机,，为提高带宽ge3,ge4做聚合，网关和汇聚交换机应该怎样配置，,ge1和ge2可以做聚合吗

最佳答案

有飞不起的鸟

有飞不起的鸟七段

粉丝：10人关注：0人

关键配置步骤

1. ACG1000SE防火墙配置

a. 配置WAN接口（上行链路）

•
GE0（联通专线，固定IP）：
interface GigabitEthernet0 ip address 1.1.1.2 255.255.255.252 # 假设运营商分配IP为1.1.1.2/30 nat outbound enable # 启用NAT
•
GE1/GE2（PPPoE拨号聚合 可行性分析见下文第3节）：
# 创建聚合组（如不支持PPPoE多拨聚合，则单独配置双WAN策略路由） interface Bridge-Aggregation1 # 创建逻辑聚合口 pppoe-client dial-bundle-number 1 # 绑定PPPoE会话 nat outbound enable # 启用NAT # 物理端口加入聚合组 interface GigabitEthernet1 port link-aggregation group 1 interface GigabitEthernet2 port link-aggregation group 1

⚠️ 拨号线路聚合限制：
ACG防火墙的物理接口不支持直接对PPPoE拨号线路做LACP聚合（需通过策略路由分流），建议采用 多EIP会话+路由权重 实现双拨号负载均衡。

替代方案（双WAN负载均衡）：

# 分别配置GE1/GE2拨号
interface GigabitEthernet1
 pppoe-client dial-bundle-number 1 
 nat outbound enable
interface GigabitEthernet2
 pppoe-client dial-bundle-number 2  
 nat outbound enable

# 配置策略路由（按源IP分流）
ip route-static 0.0.0.0 0 dialer 1 preference 60  
ip route-static 0.0.0.0 0 dialer 2 preference 60

b. 配置下行聚合接口（GE3-GE4 → S5560）

# 创建逻辑聚合口（三层路由模式）
interface Bridge-Aggregation2
 port link-type trunk
 port trunk permit vlan all          # 放行所有VLAN（或指定业务VLAN）
 ip address 10.1.1.1 255.255.255.0   # 配置网关IP（与交换机互通）

# 物理端口加入聚合组
interface GigabitEthernet3
 port link-aggregation group 2
interface GigabitEthernet4
 port link-aggregation group 2

2. S5560汇聚交换机配置

a. 配置上行聚合接口（连接ACG）

# 创建聚合组（LACP动态聚合）
interface Bridge-Aggregation2
 port link-type trunk
 port trunk permit vlan all          # 与防火墙侧配置一致

# 物理端口加入聚合组
interface GigabitEthernet1/0/1
 port link-aggregation group 2 mode active  # 主动发起LACP协商
interface GigabitEthernet1/0/2
 port link-aggregation group 2 mode active 

# 配置VLAN网关（可选，网关可下沉至交换机）
interface Vlan-interface10
 ip address 10.1.10.1 255.255.255.0
interface Vlan-interface20
 ip address 10.1.20.1 255.255.255.0

b. 配置默认路由指向防火墙

ip route-static 0.0.0.0 0 10.1.1.1 # 下一跳为防火墙聚合口IP

3. 网关部署方案（二选一）

方案	配置位置	优劣
网关在防火墙	ACG1000SE	统一策略管理、安全管控强
网关在汇聚交换机	S5560	转发效率高、减轻防火墙压力

推荐方案：

•
中小型网络：网关部署在 ACG防火墙（利用其安全功能）
•
大型网络：网关部署在 S5560交换机（通过interface Vlan-interface配置）

三、GE1/GE2拨号聚合可行性分析

1.
物理层聚合（LACP）：
❌ 不可行
- •
  PPPoE拨号需建立独立会话，LACP聚合会破坏PPPoE协商。
2.
逻辑层聚合（多WAN负载均衡）：
✅ 替代方案
- •
  配置 两条默认路由+相同优先级（权重负载）：
  ip route-static 0.0.0.0 0 dialer 1 preference 60 ip route-static 0.0.0.0 0 dialer 2 preference 60
- •
  启用 会话保持 避免同一连接跨线路中断：
  loadbalance default-route sticky # 启用基于源IP的会话保持

四、验证命令

1.
检查聚合状态（ACG）：
display link-aggregation summary # 查看聚合组状态 display interface Bridge-Aggregation2 # 检查聚合口带宽
2.
测试网关互通：
ping 10.1.1.1 # 从交换机Ping防火墙网关 tracert 114.114.114.114 # 跟踪外网路径
3.
检查路由（S5560）：
display ip routing-table # 确认默认路由指向防火墙

五、关键注意事项

1.
LACP协商参数一致：
- •
  聚合模式（如mode active/passive）、Hash算法需两端匹配。
2.
MTU设置：
- •
  PPPoE拨号接口MTU建议设为 1492（避免分片）：
  interface Dialer1 mtu 1492
3.
安全策略：
- •
  防火墙需放行内网到WAN的trust-untrust策略。