神州數(shù)碼防火墻講解PPT-4-接口高級配置

接口高級配置通過完成此章節(jié)課程，您將可以

-理解冗余接口、集聚接口等接口功能及應(yīng)用環(huán)境

-配置各種接口高級功能章節(jié)目標(biāo)議程：接口高級配置冗余接口冗余接口介紹Lab集聚接口集聚接口介紹Lab其他接口功能鏡像接口接口監(jiān)控接口代理ARP接口逆向路由回環(huán)接口冗余接口能夠?qū)崿F(xiàn)兩個物理接口的備份。一個冗余接口綁定到兩個物理接口。一個物理接口為主接口處理流向該冗余接口的流量。另外一個接口作為備用接口在主接口發(fā)生故障時升級為主接口繼續(xù)處理流量冗余接口（redundantIF）創(chuàng)建冗余接口在全局配置模式下，輸入以下命令可創(chuàng)建一個冗余接口并且進(jìn)入冗余接口配置模式；如果指定的接口名稱已存在，則直接進(jìn)入該接口的配置模式：interfaceredundantNumberWebUI：訪問頁面“網(wǎng)絡(luò)>接口”，從新建按鈕旁的下拉菜單選擇<冗余接口>/<冗余子接口>刪除冗余接口在全局配置模式下使用no

interfaceredundantNumber命令刪除指定的冗余子接口。創(chuàng)建冗余接口WebUI：請按照以下步驟添加接口道冗余接口1、訪問頁面“網(wǎng)絡(luò)>接口”，點(diǎn)擊以太網(wǎng)接口對應(yīng)的編輯按鈕2、為接口選擇<無綁定安全域>。3、選擇輸入冗余接口并從<接口組>下拉菜單中選擇相應(yīng)冗接口添加物理接口到冗余接口用戶需要在兩個物理接口中為冗余接口指定一個主接口。在冗余接口配置模式下，輸入以下，命令：primaryinterface-name取消接口的主接口設(shè)置，在冗余接口配置模式下：noprimary

interface-name指定主接口創(chuàng)建冗余接口redundant1，將ethernet0/4和ethernet0/5添加到redundant1，并且將ethernet0/4設(shè)置為主接口，然后再將ethernet0/5從redundant1中取消，請參考以下命令配置示例hostname(config)#interfaceredundant1hostname(config-if-red1)#exithostname(config)#interfaceethernet0/4hostname(config-if-eth0/4)#redundantredundant1

hostname(config-if-eth0/4)#exithostname(config)#interfaceethernet0/5hostname(config-if-eth0/5)#redundantredundant1

hostname(config-if-eth0/5)#exithostname(config)#interfaceredundant1hostname(config-if-red1)#primaryethernet0/4hostname(config-if-red1)#exithostname(config)#interfaceethernet0/5hostname(config-if-eth0/5)#noredundant議程：接口高級配置冗余接口冗余接口介紹Lab集聚接口集聚接口介紹Lab其他接口功能鏡像接口接口監(jiān)控接口代理ARP接口逆向路由回環(huán)接口一個集聚接口是兩個或者多個物理接口的集合。這些物理接口平均分擔(dān)通過該集聚接口的流量。集聚接口能夠提高接口的可用帶寬。如果集聚接口中的一個物理接口出現(xiàn)故障，不能工作，其他接口可以繼續(xù)處理流量，只是可使用的帶寬變小了。以下介紹集聚接口的基本配置操作。集聚接口（aggregateIF）創(chuàng)建集聚接口在全局配置模式下，輸入以下命令可創(chuàng)建一個集聚接口并且進(jìn)入集聚接口配置模式；如果指定的接口名稱已存在，則直接進(jìn)入該接口的配置模式：interfaceaggregateNumberWebUI：訪問頁面“網(wǎng)絡(luò)>接口”，從新建按鈕旁的下拉菜單選擇<冗余接口>/<冗余子接口>刪除冗余接口在全局配置模式下使用no

interfaceaggregateNumber命令刪除指定的冗余子接口。創(chuàng)建集聚接口WebUI：請按照以下步驟添加接口道集聚接口1、訪問頁面“網(wǎng)絡(luò)>接口”，點(diǎn)擊以太網(wǎng)接口對應(yīng)的編輯按鈕2、為接口選擇<無綁定安全域>。3、選擇集聚接口，然后從接口組下拉菜單中選擇集聚接口添加物理接口到集聚接口創(chuàng)建集聚接口aggregate2，將ethernet0/3和ethernet0/4添加到aggregate2中，然后再將ethernet0/3從中取消，請參考以下命令：

配置示例hostname(config)#interfaceaggregate2hostname(config-if-agg2)#exithostname(config)#interfaceethernet0/3hostname(config-if-eth0/3)#aggregateaggregate2hostname(config-if-eth0/3)#exithostname(config)#interfaceethernet0/4hostname(config-if-eth0/4)#aggregateaggregate2hostname(config-if-eth0/4)#exithostname(config)#interfaceethernet0/3hostname(config-if-eth0/3)#noaggregate議程：接口高級配置冗余接口冗余接口介紹Lab集聚接口集聚接口介紹Lab其他接口功能鏡像接口接口監(jiān)控接口代理ARP接口逆向路由回環(huán)接口鏡像接口神州數(shù)碼多核防火墻的以太網(wǎng)口具有接口鏡像功能。用戶可以將接口的流量鏡像到其他接口（分析接口），對流量進(jìn)行監(jiān)控。WebUI：在“網(wǎng)絡(luò)>接口>高級設(shè)置”啟用該功能鏡像目的端口接口監(jiān)控（shutdowntrack）1、shutdowntrackWebUI:訪問頁面“接口>網(wǎng)絡(luò)”，點(diǎn)擊以太網(wǎng)接口相應(yīng)的編輯按鈕，然后點(diǎn)擊高級配置指定監(jiān)控對象名稱接口監(jiān)控（monitortrack）2、monitortrack先在全局配置模式下新建檢測對象，然后再接口配置模式下輸入以下命令：monitor[tracktrack-object]-tracktrack-object-指定監(jiān)控對象名稱。如果指定該參數(shù)，接口會在檢測對象失敗時降低轉(zhuǎn)發(fā)表路由優(yōu)先級。在接口配置模式下，使用nomonitor命令，取消監(jiān)控接口功能并清除此功能的所有相關(guān)配置。monitortrack只提供CLI配置方式。接口代理ARP代理ARP功能是指安全網(wǎng)關(guān)接口在收到以不同網(wǎng)段IP地址為目的IP的ARP請求報文時，以自己的MAC地址作為源地址回應(yīng)ARP請求。代理ARP功能僅使用于三層接口。在接口配置模式下，使用以下命令配置接口的代理ARP功能：

proxy-arp[dns]-proxy-arp-開啟接口的代理arp功能。

-proxy-dns-當(dāng)需要實現(xiàn)IP即插即用時，使用該參數(shù)在接口配置模式下，使用noproxy-arp命令取消接口的代理ARP配置。接口逆向路由逆向路由功能是指用于轉(zhuǎn)發(fā)反向數(shù)據(jù)的路由。反向是相對于初始化數(shù)據(jù)流方向。逆向路由功能僅適用于三層接口。在接口配置模式下，使用以下命令完成逆向路由功能的配置：reverse-route[force|prefer]force–強(qiáng)制逆向路由。如果能找到逆向路由則使用逆向路由轉(zhuǎn)發(fā)反向數(shù)據(jù)；如果找不到逆向路由則丟棄數(shù)據(jù)包。默認(rèn)情況下，三層接口強(qiáng)制逆向路由。prefer–優(yōu)先逆向路由。如果能找到逆向路由則使用逆向路由轉(zhuǎn)發(fā)反向數(shù)據(jù)；如果找不到逆向路由則按原路徑返回（即從當(dāng)前接口轉(zhuǎn)發(fā)出去）。在接口配置模式下，使用no

reverse-route命令取消逆向路由的使用。不使用逆向路由時，所有反向數(shù)據(jù)原路返回，不進(jìn)行逆向路由檢查。注意：如果找到的逆向路由出接口和原入接口不在同一個安全域，設(shè)備仍會丟棄數(shù)據(jù)包。回環(huán)接口回環(huán)接口為邏輯接口，其特征為：回環(huán)接口一直處于工作狀態(tài)，只有當(dāng)回環(huán)接口所在的安全設(shè)備關(guān)閉，回環(huán)接口才會關(guān)閉?；丨h(huán)接口通常用于管理以及動態(tài)路由。創(chuàng)建回環(huán)接口需在全局配置下:Interfaceloopba