Hillstone-HCSP之路:防火墙接口技术
HCSP之路:防火墙接口技术
1 StoneOS 逻辑类型
StoneOS 接口类型可分为物理接口和逻辑接口两大类,物理接口没什么可说的。
- Vswitchif
- 子接口:StoneOS 支持以下类型子接口:以太网子接口、集聚子接口和冗余子接口。
- VLAN接口:SVI接口
- 隧道接口:隧道接口充当VPN通道的入口。流量通过隧道接口进出VPN通道。隧道接口只能是三层接口。
- 集聚接口
- 冗余接口
- PPPoE接口和PPPoE子接口
- Virutal Forward接口(HA中使用):A/A模式下,group 1 的接口
- Local interface和 local IP将不进行HA同步
2 Vswitchif
- vSwitchIF接口是三层接口。它代表了vSwitch上所有接口的集合。
- vSwitchIF接口相当于实际交换机的上连口,能够实现数据包在二层与三层之间的转发。
- 当防火墙为二层模式时,VSwitchif接口可用于管理防火墙和连接三层设备,此时VSwitchif口安全域属于三层安全域。
- 在开启HA的情况下,主设备vswitchif的虚mac都是一样的。如果没有启用HA,前4个vswitchif是不同的mac,后续的vswitchif都复用vswitchif4的mac。
3 集聚接口
- 默认是强制模式,最多支持16个物理接口成员,所有成员分担流量
- LACP模式由于是协商完成聚合,支持备份
# 强制模式
interface aggregate 2
exit
# LACP模式
interface aggregate 2
lacp enable
exit
# 配置接口加入集聚接口
interface ethernet0/1
aggregate aggregate2
exit
4 冗余接口
-
冗余接口能够实现两个物理接口的备份。一个冗余接口可以绑定两个物理接口,一个物理接口为主接口处理流向该冗余接口的流量,另外一个接口作为备用接口在主接口发生故障时升级为主接口继续处理流量。
-
默认第一个加入冗余接口的成员是主接口,也可以选择手工指定。
# 指定冗余主接口 primary interface-name -
冗余接口中若没有强制指定主接口,则原主down后,备接口启用转发为主后一直为主,即使原主恢复也不会抢。若一开始强制指定主接口则原主down后恢复好仍抢为主。因此一般指定主接口。
# 创建冗余接口
interface redundant2
exit
# 配置接口加入冗余接口
interface ethernet0/4
redundant redundant2
exit
5 端口镜像
# 配置镜像接口
interface ethernet0/3
mirror enable {both | rx | tx}
# 配置分析接口,配置模式下
mirror to ethernet0/7
6 代理ARP
代理ARP是指防火墙网关收到不同网段的ARP请求信息时,使用自己的MAC地址与目标计算机的IP地址对请求者进行应答。
interface ethernet0/3
proxy-arp [dns]
- proxy-arp – 开启接口的代理ARP功能。
- dns – 当需要实现IP即插即用时,使用该参数。
7 接口常用命令
show controller slot 0 port 2 statistic: 观察接口流量收发,同时判断接口是否有错误报文产生
