神州数码防火墙讲解PPT-4-接口高级配置

议程：接口高级配置
• 冗余接口 – 冗余接口介绍 – Lab • 集聚接口 – 集聚接口介绍 – Lab 其他接口功能 – 镜像接口 – 接口监控 – 接口代理ARP – 接口逆向路由 – 回环接口
镜像接口
神州数码多核防火墙的以太网口具有接口镜像功 能。用户可以将接口的流量镜像到其他接口（分 析接口），对流量进行监控。 WebUI：在“网络>接口>高级设置”启用该功能
接口高级配置
章节目标
• 通过完成此章节课程，您将可以
- 理解冗余接口、集聚接口等接口功能及应用环 境 - 配置各种接口高级功能
议程：接口高级配置
冗余接口 – 冗余接口介绍 – Lab • 集聚接口 – 集聚接口介绍 – Lab • 其他接口功能 – 镜像接口 – 接口监控 – 接口代理ARP – 接口逆向路由 – 回环接口
回环接口
回环接口为逻辑接口，其特征为：回环接口一直处于工作状 态，只有当回环接口所在的安全设备关闭，回环接口才会关 闭。回环接口通常用于管理以及动态路由。 创建回环接口需在全局配置下: Interface loopback number WebUI：访问页面“网络>接口”,从新建按钮旁的下拉菜单 选择 <回环接口>
接口代理ARP
代理ARP功能是指安全网关接口在收到以不同网段IP 地址为目的IP的ARP请求报文时，以自己的MAC地址 作为源地址回应ARP请求。代理ARP功能仅使用于三 层接口。在接口配置模式下，使用以下命令配置接 口的代理ARP功能： proxy-arp [dns]
-proxy-arp -开启接口的代理arp功能。 -proxy-dns -当需要实现IP即插即用时，使用该参数
Baidu Nhomakorabea
指定主接口
用户需要在两个物理接口中为冗余接口指定一个主 接口。在冗余接口配置模式下，输入以下，命令： primary interface-name 取消接口的主接口设置，在冗余接口配置模式下： no primary interface-name
配置示例
创建冗余接口redundant1，将ethernet0/4和ethernet0/5添加 到redundant1，并且将ethernet0/4设置为主接口，然后再将 ethernet0/5从redundant1中取消，请参考以下命令
– force – 强制逆向路由。如果能找到逆向路由则使用逆向路由转发 反向数据；如果找不到逆向路由则丢弃数据包。默认情况下，三 层接口强制逆向路由。 – prefer – 优先逆向路由。如果能找到逆向路由则使用逆向路由转发 反向数据；如果找不到逆向路由则按原路径返回（即从当前接口 转发出去）。
在接口配置模式下，使用no reverse-route命令取消逆向路由 的使用。不使用逆向路由时，所有反向数据原路返回，不进 行逆向路由检查。 注意：如果找到的逆向路由出接口和原入接口不在同一个安 全域，设备仍会丢弃数据包。
镜像目的端口
接口监控（shutdown track）
1、shutdown track WebUI:访问页面“接口>网络”，点击以太网接口相 应的编辑按钮，然后点击高级配置
指定监控对象名称
接口监控（monitor track）
2、monitor track 先在全局配置模式下新建检测对象，然后再接口配 置模式下输入以下命令： monitor [track track-object] -track track-object-指定监控对象名称。如果指定 该参数，接口会在检测对象失败时降低转发表路 由优先级。 在接口配置模式下，使用no monitor命令，取消监控 接口功能并清除此功能的所有相关配置。 monitor track只提供CLI配置方式。
创建集聚接口
创建集聚接口
在全局配置模式下，输入以下命令可创建一个集聚接口并且进入集聚 接口配置模式；如果指定的接口名称已存在，则直接进入该接口的配 置模式： interface aggregateNumber WebUI：访问页面“网络>接口”，从新建按钮旁的下拉菜单选择<冗 余接口>/<冗余子接口>
在接口配置模式下，使用no proxy-arp命令取消接口 的代理ARP配置。
接口逆向路由
逆向路由功能是指用于转发反向数据的路由。反向是相对于 初始化数据流方向。逆向路由功能仅适用于三层接口。在接 口配置模式下，使用以下命令完成逆向路由功能的配置： reverse-route [force | prefer]
冗余接口（redundant IF）
• 冗余接口能够实现两个物理接口的备份。 一个冗余接口绑定到两个物理接口。一个 物理接口为主接口处理流向该冗余接口的 流量。另外一个接口作为备用接口在主接 口发生故障时升级为主接口继续处理流量
创建冗余接口
创建冗余接口
在全局配置模式下，输入以下命令可创建一个冗余接口并且进入冗余 接口配置模式；如果指定的接口名称已存在，则直接进入该接口的配 置模式： interface redundantNumber WebUI：访问页面“网络>接口”，从新建按钮旁的下拉菜单选择<冗 余接口>/<冗余子接口>
配置示例
创建集聚接口aggregate2，将ethernet0/3 和ethernet0/4添加 到aggregate2中，然后再将ethernet0/3从中取消，请参考以
下命令：
hostname(config)# interface aggregate2 hostname(config-if-agg2)# exit hostname(config)# interface ethernet0/3 hostname(config-if-eth0/3)# aggregate aggregate2 hostname(config-if-eth0/3)# exit hostname(config)# interface ethernet0/4 hostname(config-if-eth0/4)# aggregate aggregate2 hostname(config-if-eth0/4)# exit hostname(config)# interface ethernet0/3 hostname(config-if-eth0/3)# no aggregate
议程：接口高级配置
• 冗余接口 – 冗余接口介绍 – Lab 集聚接口 – 集聚接口介绍 – Lab • 其他接口功能 – 镜像接口 – 接口监控 – 接口代理ARP – 接口逆向路由 – 回环接口
集聚接口（aggregate IF）
• 一个集聚接口是两个或者多个物理接口的 集合。这些物理接口平均分担通过该集聚 接口的流量。集聚接口能够提高接口的可 用带宽。如果集聚接口中的一个物理接口 出现故障，不能工作，其他接口可以继续 处理流量，只是可使用的带宽变小了。以 下介绍集聚接口的基本配置操作。
小结
※ 在本章中讲述了以下内容：
※ 配置冗余接口 ※ 配置集聚接口 ※ 其他接口功能的配置
问题
• 1、冗余接口和集聚接口有何区别 • 2、shutdown track和monitor track有何区别？ • 3、默认情况下，是否查找反向数据的路由？
THANKS!
删除冗余接口
在全局配置模式下使用no interface aggregateNumber命令删除指定的
冗余子接口。
添加物理接口到集聚接口
WebUI：请按照以下步骤添加接口道集聚接口 1、访问页面“网络>接口”，点击以太网接口对应的编辑按 钮 2、为接口选择<无绑定安全域>。 3、选择集聚接口，然后从接口组下拉菜单中选择集聚接口
hostname(config)# interface redundant1 hostname(config-if-red1)# exit hostname(config)# interface ethernet0/4 hostname(config-if-eth0/4)# redundant redundant1 hostname(config-if-eth0/4)# exit hostname(config)# interface ethernet0/5 hostname(config-if-eth0/5)# redundant redundant1 hostname(config-if-eth0/5)# exit hostname(config)# interface redundant1 hostname(config-if-red1)# primary ethernet0/4 hostname(config-if-red1)# exit hostname(config)# interface ethernet0/5 hostname(config-if-eth0/5)# no redundant
删除冗余接口
在全局配置模式下使用no interface redundantNumber 命令删除指定的
冗余子接口。
添加物理接口到冗余接口
WebUI：请按照以下步骤添加接口道冗余接口 1、访问页面“网络>接口”，点击以太网接口对应的编辑按 钮 2、为接口选择<无绑定安全域>。 3、选择输入冗余接口并从<接口组>下拉菜单中选择相应冗 接口