如果ACG 上下要做聚合放行指定的vlan怎么做呀

在ACG上配置聚合并放行VLAN时，关键在于理解它的部署模式。ACG主要有两种模式：透明模式（网桥） 和 路由模式，不同模式下的配置逻辑和命令差异很大。

首先，不论是哪种模式，都需要明确一个重要前提：ACG的聚合仅支持静态模式，不支持LACP动态聚合。因此需要在ACG和对端交换机上都配置为静态聚合。

下面是两种模式的详细配置方法：

 模式一：透明模式 (Bridge Mode) 下的配置

在透明模式下，ACG的桥接口（BVI）默认会透传所有VLAN，本身不支持配置为Trunk口并指定允许通过的VLAN。因此，核心思路是：ACG不参与聚合协商，仅透明转发聚合报文。

操作步骤：

1. 创建聚合接口：在Web界面，进入“网络管理 > 接口 > 聚合接口”，创建一个静态聚合口，并将要捆绑的物理接口加入。

2. 创建多个BVI并分配端口：由于需要放行特定VLAN，需要创建多个桥接口（BVI），并将上、下行链路（即刚才加入聚合口的物理端口）按对分别加入不同的BVI中。配置时，需保证每个聚合组至少对应一个BVI口，不能将所有接口都加入同一个BVI口。

   举例说明：假设业务VLAN是10和20，使用两条物理链路做聚合。可按如下方式规划：

   • BVI 10：将上行口GE3和下行口GE4加入，用于透传VLAN 10的流量。

   • BVI 20：将上行口GE5和下行口GE6加入，用于透传VLAN 20的流量。
     聚合接口本身无需再做VLAN放行配置，由上下游交换机完成VLAN Trunk配置即可。

 模式二：路由模式 (Routed Mode) 下的配置

在路由模式下，ACG作为三层设备，此时可使用三层聚合口，直接放行所有VLAN。

方法一：CLI命令行配置 (推荐)

1. 创建聚合接口

如果在三层聚合口上需要终结VLAN，可以创建子接口：

1. 创建聚合接口：进入“网络管理 > 接口 > 聚合接口”，点击“新建”。

2. 配置聚合参数：输入接口名称，如agg1，勾选要加入聚合的物理端口。

3. （可选）配置VLAN子接口：如果需在聚合口上终结VLAN，可在“接口”界面找到聚合口，进入“子接口”页签创建。

提示：在路由模式下，若要实现VLAN间的通信，还需要在ACG上配置相应的路由和安全策略，允许不同VLAN间的流量转发。

 调试建议

完成配置后，建议按以下步骤进行验证：

1. 检查接口状态：在ACG上执行 display interface Route-Aggregation 1，确认聚合接口和成员端口状态为Up。

2. 检查对端配置：确认对端交换机也已配置相同模式的静态聚合，且Trunk口已放行相应VLAN。

3. 分段Ping测试：从终端向ACG聚合口的IP地址进行ping测试。如果无法ping通，请检查VLAN透传、路由和安全策略是否正确。

4. 检查安全策略：若在路由模式下，即使网络层通信正常，也可能因安全策略导致流量被拦截，需要检查ACG的安全域配置和域间策略。

参考手册 1.4 配置VLAN允许范围

ACG1000AK255 上下行做链路聚合、只放行指定 VLAN，核心是：上下行各建一个二层聚合口（Bridge‑Aggregation）→ 聚合口设为 Trunk → 在聚合口上只 permit 特定 VLAN → 物理口加入聚合组。
下面分：组网逻辑 → Web 界面配置（最常用）→ 命令行配置 → 关键点说明。
一、组网逻辑（你要的场景）
上行：ACG 上联路由器 / 核心交换机，用 GE0、GE1 做聚合组 BAGG1
下行：ACG 下联接入交换机，用 GE2、GE3 做聚合组 BAGG2
要求：只放行业务 VLAN 10、20，其他 VLAN 阻断
plaintext
核心/路由器
↓(Trunk，允许VLAN10,20)
[BAGG1] ACG1000AK255 [BAGG2]
↓(Trunk，允许VLAN10,20)
接入交换机
二、Web 界面配置步骤（ACG1000 通用）
1）创建上行聚合口（BAGG1）
登录 ACG Web（默认 192.168.1.1）
网络配置 → 接口配置 → 聚合接口 → 新建
名称：BAGG1
类型：二层聚合（Bridge‑Aggregation）
成员接口：勾选 GE0、GE1
聚合模式：静态（或 LACP，和对端一致）


提交后，编辑 BAGG1：
链路类型：Trunk
允许通过 VLAN：选择 10、20（不要选 all）
管理 IP：如果需要，配置管理 IP（三层口才配）


2）创建下行聚合口（BAGG2）
同上，新建聚合接口：
名称：BAGG2
成员接口：GE2、GE3
模式：同对端（静态 / LACP）
编辑 BAGG2：
链路类型：Trunk
允许通过 VLAN：10、20
3）安全策略放行（必做，否则不通）
策略配置 → 安全策略 → 新建
源域：trust（下行）
目的域：untrust（上行）
源 VLAN：10、20
动作：允许（pass）
同理，回程流量也放行（或放通所有）
三、命令行配置（Web 点不动时用）
bash
运行
# 1. 上行聚合 BAGG1
interface Bridge-Aggregation 1
port link-type trunk
port trunk permit vlan 10 20 # 只放指定VLAN
quit

interface GigabitEthernet 0
port link-aggregation group 1
interface GigabitEthernet 1
port link-aggregation group 1

# 2. 下行聚合 BAGG2
interface Bridge-Aggregation 2
port link-type trunk
port trunk permit vlan 10 20
quit

interface GigabitEthernet 2
port link-aggregation group 2
interface GigabitEthernet 3
port link-aggregation group 2

# 3. 安全策略（放行VLAN10/20流量）
security-policy
rule name allow_vlan10_20
action pass
source-zone trust
destination-zone untrust
source-vlan 10
source-vlan 20
四、关键点（容易踩坑）
必须在聚合口上配 Trunk + permit VLAN，不要在物理口配，否则无效。
上下行聚合口都要 permit 相同 VLAN，否则单向不通。
安全策略一定要放通对应 VLAN，ACG 默认是拒绝所有跨域流量。
聚合模式（静态 / LACP）两端必须一致，否则聚合不起来。
如果是三层口（配了 IP），需要在聚合口下配置 port trunk permit vlan，同时确保三层转发放行对应 VLAN 流量。