神州数码防火墙讲解PPT-4-接口高级配置
合集下载
神州数码Juniper防火墙安装手册
Juniper防火墙安装手册神州数码(深圳)有限公司二零零五年十二月Juniper 防火墙安装手册项目编号 Juniper200601 文档名称 Juniper防火墙安装手册编写人完成日期 2006.01.18文档修订记录:日期修订版本修订内容修订人2005.12.18 V1.0 NSRP设置、L2TP设置梁文辉2005.12.19 V1.0 透明模式、故障排除技巧刘平、李滨2006.01.16 V1.0 NAT模式和路由模式安装张坤目录一、透明模式 (5)1.1 、网络结构图 (5)1.2、配置文件 (5)二、NAT模式 (8)2.1 、网络结构图 (8)2.2、安装步骤 (8)2.2.1 初始化配置 (8)2.2.2 管理功能设置 (11)2.2.3 安全区 (12)2.2.4 端口设置 (13)2.2.5 设置路由 (14)2.2.6 NAT设置 (16)2.2.7 端口服务 (19)2.2.8 定义策略 (21)三、路由模式 (24)3.1 、网络结构图 (24)3.2、安装步骤 (24)3.2.1 初始化配置 (24)3.2.2 管理功能设置 (27)3.2.3 安全区 (28)3.2.4 端口设置 (29)3.2.5 Route 模式设置 (30)3.2.6 设置路由 (31)3.2.7 定义策略 (32)四、动态路由 (35)五、VPN (35)5.1 C LIENT TO SITE (35)5.2 建立L2TP (44)5.2.1网络结构图 (44)5.2.2配置防火墙 (45)5.5.3 测试 (54)六、HA (56)6.1、网络拓扑结构图 (56)6.2、设置步骤 (56)6.3、命令行配置方式 (57)6.4、图形界面下的配置步骤 (61)七、故障排除 (65)7.1 常用TROUBLESHOOTING命令 (65)7.1.1 get system (65)7.1.2 get route (65)7.1.3 get arp (66)7.1.4 get sess (66)7.1.5 debug (67)7.1.6 set ffilter (68)7.1.7 snoop (69)7.2 T ROUBLESHOOTING ROUTE (70)7.2.1 Example 1- no route (70)7.2.2 Example 2- no policy (70)7.3 T ROUBLESHOOTING NAT (71)7.3.1 Interface NAT-src (71)7.3.2 policy NAT-src (71)7.3.3 policy NAT-dst (72)7.3.4 VIP (74)7.3.5 MIP (74)7.4 T ROUBLESHOOTING VPN (75)7.4.1 常用调试命令 (75)7.4.2 常见错误(以下日志是从VPN接收端收集) (76)一、透明模式1.1 、网络结构图接口为透明模式时,NetScreen设备过滤通过防火墙的数据包,而不会修改IP数据包包头中的任何源或目的地信息。
网神防火墙(配图)配置说明
网神配置说明技术部2010年4月1日1.文档说明本文档由圣博润技术部编写,主要解决网络接入认证与网神防火墙EPS功能模块结合后的配置问题,可以作为重要的参考性文件。
实现目标:通过认证的合法主机可以访问内网,未通过认证的非法主机禁止访问内网,并将非法主机重定向到指定页面。
2.网络环境图一(混合模式)3.防火墙配置1)预先导入管理证书(登入设备时需要该证书访问)——SecGateAdmin.p12,导入时所有步骤都是默认,私钥密码为:123456。
2)在IE地址栏中敲入:https://10.50.10.45:8889进行登入,默认密码为:firewall(IP地址为设备出厂默认地址)。
3)选择系统配置→升级许可,观察网神防火墙版本及许可文件最后终止时间,如下图:如果发现许可证失效,请及时申请license。
4)点击管理配置→添加管理主机(只允许此IP地址管理防火墙),如下图:5)点击网络配置→选择网络接口→将内网口FE3、外网口FE2设置为混合模式,如下图:6)选择接口IP,将FE3口IP地址为192.168.0.228,并允许所有主机PING,如下图:7)选择对象定义→选择地址列表,,设定需要对哪些网段或IP地址进行认证(未定义的地址,将不受网关的影响)如图一;在“地址组”中,可以将多个网段地址进行归类,如图二。
图一图二8)选择对象定义→选择服务列表,将UDP 55555端口,添加至此列表并命名为lansecs,如下图:9)选择安全策略→添加安全规则→源地址any,目的地址any ,服务可以是any或lansecs,如下图:10)选择“安全策略”→“URL重定向”,对指定的IP/网段进行认证过滤,未认证的将被重新定向到指定的地址。
如下图:11)选择“安全策略”→“EPS配置”,→启用EPS联动,如下图:。
《防火墙讲解》PPT课件
6
包过滤技术
7
8
9
10
11
12
包过滤技术的优点
在网络中需要时时通信时,可以使用这种方 法.
对用户来说是完全透明的 可以通过普通的路由器实现
13
包过滤技术的缺点
包过滤技术是通过设置具体的数据包过滤准 则来实现的,为了实现更强的过滤功能,必须设 置非常复杂的包过滤准则.大幅度降低了数据 包的过滤速度.
21
代理技术的缺点
代理服务技术需要对每一种网络服务都必须 有特定的服务代理
通常,每一种网络服务的版本总是落后于现实 环境.因此,多种情况下,无法找到新的网络服 务的代理版本
由于彻底割断了内外部网络之间的直接连接, 使网络的性能受到很大影响.
22
23
其他技术
NAT技术 VPN技术 内容检查技术 加密技术 安全审计 身份认证 负载均衡
4
防火墙的功能
防止暴露内部网结构,可以在防火墙上布置 NAT,既可以保护内部网,又可以解决地址空间 紧张的问题
是审计和记录Internet使用费用的一个最佳地 点
在物理上设置一个单独的网段,放置WWW、 FTP和Mail服务器等
5
防火墙的分类
包过滤防火墙〔Checkpoint和PIX为代表〕 代理防火墙〔NAI公司的防火墙为代表〕
27
解决办法
确认防火墙是否有IDS等其他安全产品 的联动功能
28
结论和忠告
具有保护网络安全的功能不仅仅是防火墙一种 产品,只有将多种安全产品无缝的结合起来,充分利 用它们各自的优点,才能最大限度的
30
全球80%以上的入侵来自于内部
对入侵攻击的检测与防范,保障计算机系统、网 络系统、以及整个信息基础设施的安全已经成为刻 不容缓的重要课题.
包过滤技术
7
8
9
10
11
12
包过滤技术的优点
在网络中需要时时通信时,可以使用这种方 法.
对用户来说是完全透明的 可以通过普通的路由器实现
13
包过滤技术的缺点
包过滤技术是通过设置具体的数据包过滤准 则来实现的,为了实现更强的过滤功能,必须设 置非常复杂的包过滤准则.大幅度降低了数据 包的过滤速度.
21
代理技术的缺点
代理服务技术需要对每一种网络服务都必须 有特定的服务代理
通常,每一种网络服务的版本总是落后于现实 环境.因此,多种情况下,无法找到新的网络服 务的代理版本
由于彻底割断了内外部网络之间的直接连接, 使网络的性能受到很大影响.
22
23
其他技术
NAT技术 VPN技术 内容检查技术 加密技术 安全审计 身份认证 负载均衡
4
防火墙的功能
防止暴露内部网结构,可以在防火墙上布置 NAT,既可以保护内部网,又可以解决地址空间 紧张的问题
是审计和记录Internet使用费用的一个最佳地 点
在物理上设置一个单独的网段,放置WWW、 FTP和Mail服务器等
5
防火墙的分类
包过滤防火墙〔Checkpoint和PIX为代表〕 代理防火墙〔NAI公司的防火墙为代表〕
27
解决办法
确认防火墙是否有IDS等其他安全产品 的联动功能
28
结论和忠告
具有保护网络安全的功能不仅仅是防火墙一种 产品,只有将多种安全产品无缝的结合起来,充分利 用它们各自的优点,才能最大限度的
30
全球80%以上的入侵来自于内部
对入侵攻击的检测与防范,保障计算机系统、网 络系统、以及整个信息基础设施的安全已经成为刻 不容缓的重要课题.
Juniper防火墙配置ppt课件
40 • 最大虚拟路由器数量 6 最大虚拟局域网数量 100 • 固定I/O 8x10/100,2x10/100/1000 • 物理接口模块(PIM)扩展插槽 (I/O) 4 • 无802.11 a/b/g
.
规格对照之SSG 350
防火墙性能(大型数据包) 550+ Mbps • 防火墙性能(IMIX) 500Mbps • 每秒处理的防火墙数据包数量 225,000PPS • 3DES+SHA-1 VPN性能 225 Mbps • 并发VPN隧道数 500 ,最大并发会话数 128,000 • 新会话/秒 12,500 最大安全策略数2,000 最大安全区数量
.
防火墙的接口模式
•接口的连接模式
动态地址 静态地址 PPPoE
•接口的传输模式
路由模式 NAT模式 透明模式
.
透明模式
•路由模式VS透明模式
路由模式,防火墙扮演一个三层设备,基于目的IP地址转发数据 包。 透明模式,防火墙扮演一个二层设备,如同桥或交换机,基 于目的MAC地址转发以太帧
•透明模式与交换机
.
.
配置端口管理方式及设置管理地址
•CLI set interface eth0/0 ip 192.168.1.1 255.255.255.0 set interface eth0/0 manage-ip 192.168.1.1 set interface eth0/0 manage web set interface eth0/0 manage telnet
.
特点与效益
• 特点十:网络分段 效益
SSG系列提供一组高级网络分段功能,如桥接群组、安全 区、虚拟LAN和虚拟路由器,让网管人员能够针对不同用 户群组、无线网络和区域服务器,部署不同等级的安全防 护机制。强大的网络安全管理和控制能力,能防止未经授 权就接入网络的内、外部和DMZ子群组。
.
规格对照之SSG 350
防火墙性能(大型数据包) 550+ Mbps • 防火墙性能(IMIX) 500Mbps • 每秒处理的防火墙数据包数量 225,000PPS • 3DES+SHA-1 VPN性能 225 Mbps • 并发VPN隧道数 500 ,最大并发会话数 128,000 • 新会话/秒 12,500 最大安全策略数2,000 最大安全区数量
.
防火墙的接口模式
•接口的连接模式
动态地址 静态地址 PPPoE
•接口的传输模式
路由模式 NAT模式 透明模式
.
透明模式
•路由模式VS透明模式
路由模式,防火墙扮演一个三层设备,基于目的IP地址转发数据 包。 透明模式,防火墙扮演一个二层设备,如同桥或交换机,基 于目的MAC地址转发以太帧
•透明模式与交换机
.
.
配置端口管理方式及设置管理地址
•CLI set interface eth0/0 ip 192.168.1.1 255.255.255.0 set interface eth0/0 manage-ip 192.168.1.1 set interface eth0/0 manage web set interface eth0/0 manage telnet
.
特点与效益
• 特点十:网络分段 效益
SSG系列提供一组高级网络分段功能,如桥接群组、安全 区、虚拟LAN和虚拟路由器,让网管人员能够针对不同用 户群组、无线网络和区域服务器,部署不同等级的安全防 护机制。强大的网络安全管理和控制能力,能防止未经授 权就接入网络的内、外部和DMZ子群组。
神州数码防火墙讲解PPT-4-接口高级配置
冗余接口(redundant IF)
• 冗余接口能够实现两个物理接口的备份。 一个冗余接口绑定到两个物理接口。一个 物理接口为主接口处理流向该冗余接口的 流量。另外一个接口作为备用接口在主接 口发生故障时升级为主接口继续处理流量
创建冗余接口
创建冗余接口
在全局配置模式下,输入以下命令可创建一个冗余接口并且进入冗余 接口配置模式;如果指定的接口名称已存在,则直接进入该接口的配 置模式: interface redundantNumber WebUI:访问页面“网络>接口”,从新建按钮旁的下拉菜单选择<冗 余接口>/<冗余子接口>
接口代理ARP
代理ARP功能是指安全网关接口在收到以不同网段IP 地址为目的IP的ARP请求报文时,以自己的MAC地址 作为源地址回应ARP请求。代理ARP功能仅使用于三 层接口。在接口配置模式下,使用以下命令配置接 口的代理ARP功能: proxy-arp [dns]
-proxy-arp -开启接口的代理arp功能。 -proxy-dns -当需要实现IP即插即用时,使用该参数
删除冗余接口
在全局配置模式下使用no interface redundantNumber 命令删除指定的
冗余子接口。
添加物理接口到冗余接口
WebUI:请按照以下步骤添加接口道冗余接口 1、访问页面“网络>接口”,点击以太网接口对应的编辑按 钮 2、为接口选择<无绑定安全域>。 3、选择输入冗余接口并从<接口组>下拉菜单中选择相应冗 接口
议程:接口高级配置
• 冗余接口 – 冗余接口介绍 – Lab • 集聚接口 – 集聚接口介绍 – Lab 其他接口功能 – 镜像接口 – 接口监控 – 接口代理ARP – 接口逆向路由 – 回环接口
网御神州防火墙安装调试培训教材
1.4登录防火墙
电子钥匙认证 点击“退出请重新插锁” 点击“退出请重新插锁”后装电子钥匙插入管理 主机USB接口中,XP/2000/2003系统提示自动搜 USB接口中 主机USB接口中,XP/2000/2003系统提示自动搜 索电子钥匙驱动程序,自动安装即可。 索电子钥匙驱动程序,自动安装即可。
1点击操作图标
2修改工作模式
3选中支持vlan 4点击确定修改生效
2防火墙界面介绍
网络配置- 修改接口ip地址 网络配置->修改接口ip地址 ip
1点击添加按钮添加ip地址
点击操作 图标修改 接口地址 2添加新ip地址 3添加ip地址掩码
4输入外网地址转换 后的ip地址
3输入外网访问地址
5外网映射内部 服务器地址
2防火墙界面介绍
安全策略- 安全策略->端口映射规则
1选择端口映射规则 2输入源地址
3输入外网访问地址 4选择对外服务类型 5输入外网地址 转换后的ip地 址
6外网映射内部服务器地址 7选择对外服务类型
2防火墙界面介绍
高可用性->HA基本配置 高可用性->HA基本配置
1选择设置HA同步接口 2选择HA同步接口地址 3点击确定生效 设置主防火墙为 控制节点
4设置自动配置同步 5设置自 动状态同 步
6设置主墙同步的ip地址
1.3管理方式介绍
支持多种管理方式; 支持多种管理方式; ? ? ? ? ? 串口命令行管理串口命令行管理-常用于灾难的恢复工作 Web页面管理 页面管理Web页面管理-常用于正常管理 ssh远程管理 远程管理ssh远程管理-常用于管理调试 集中管理集中管理-方便管理 PPP远程拨号接入 远程拨号接入PPP远程拨号接入-专线远程拨入
电子钥匙认证 点击“退出请重新插锁” 点击“退出请重新插锁”后装电子钥匙插入管理 主机USB接口中,XP/2000/2003系统提示自动搜 USB接口中 主机USB接口中,XP/2000/2003系统提示自动搜 索电子钥匙驱动程序,自动安装即可。 索电子钥匙驱动程序,自动安装即可。
1点击操作图标
2修改工作模式
3选中支持vlan 4点击确定修改生效
2防火墙界面介绍
网络配置- 修改接口ip地址 网络配置->修改接口ip地址 ip
1点击添加按钮添加ip地址
点击操作 图标修改 接口地址 2添加新ip地址 3添加ip地址掩码
4输入外网地址转换 后的ip地址
3输入外网访问地址
5外网映射内部 服务器地址
2防火墙界面介绍
安全策略- 安全策略->端口映射规则
1选择端口映射规则 2输入源地址
3输入外网访问地址 4选择对外服务类型 5输入外网地址 转换后的ip地 址
6外网映射内部服务器地址 7选择对外服务类型
2防火墙界面介绍
高可用性->HA基本配置 高可用性->HA基本配置
1选择设置HA同步接口 2选择HA同步接口地址 3点击确定生效 设置主防火墙为 控制节点
4设置自动配置同步 5设置自 动状态同 步
6设置主墙同步的ip地址
1.3管理方式介绍
支持多种管理方式; 支持多种管理方式; ? ? ? ? ? 串口命令行管理串口命令行管理-常用于灾难的恢复工作 Web页面管理 页面管理Web页面管理-常用于正常管理 ssh远程管理 远程管理ssh远程管理-常用于管理调试 集中管理集中管理-方便管理 PPP远程拨号接入 远程拨号接入PPP远程拨号接入-专线远程拨入
防火墙的使用课件
防火墙的使用
*
自定义IP规则
规则说明 列出了规则的详细说明。 规则编辑 点击“增加”按钮 或选择一条规则后按“修改”按钮 ,就会激活编辑窗口
防火墙的使用
*
防火墙的使用
*
自定义IP规则
1输入规则的“名称”和“说明”,以便于查找和阅读。 2选择该规则是对进入的数据包还是输出的数据包有效。 3“对方的IP地址”,用于确定选择数据包从那里来或是去哪里,这里有几点说明: “任何地址”是指数据包从任何地方来,都适合本规则 “局域网网络地址”是指数据包来自和发向局域网 “指定地址”是你可以自己输入一个地址 “指定的网络地址”是你可以自己输入一个网络和掩码
防火墙的使用
*
IP规则设置
缺省IP规则 自定义IP规则
防火墙的使用
*
缺省IP规则
IP规则是针对整个系统的网络层数据包监控而设置的。用户可针对个人不同的网络状态,设置自己的IP安全规则。 点“自定义IP规则”键进入IP规则设置界面。
防火墙的使用
*
缺省IP规则
防火墙的使用
*
缺省IP规则
防御ICMP攻击:选择时,即别人无法用PING的方法来确定你的存在。但不影响你去PING别人。 防御IGMP攻击:IGMP是用于组播的一种协议,现在也被用来作为蓝屏攻击的一种方法,建议选择此设置,不会对用户造成影响。 TCP数据包监视:通过这条规则,可以监视机器与外部之间的所有TCP连接请求。这条规则一定要是TCP协议规则的第一条。
2
PC
3
3
C
I
S
C
O
S
Y
S
T
E
M
S
C
I
S
防火墙基本功能教程ppt课件
操作 转发该报文 转发该报文,并创建会话表表 项 丢弃该报文
Page42
防火墙基本概念—多通道协议&服务表 项
•多通道协议:应用在进行通讯或提供服务时需要建立
两个以上的会话(通道),其中有一个控制通道,其他 的通道是根据控制通道中双方协商的信息动态创建的, 一般我们称之为数据通道或子通道,这样的协议我们称 为多通道协议。
15
代理型防火墙(Application Gateway)
Page16
代理型防火墙(Application Gateway)-(续)
• 代理服务作用于网络的应用层,其实质是
把内部网络和外部网络用户之间直接进行 的业务由代理接管。代理检查来自用户的 请求。认证通过后,该防火墙将代表客户 与真正的服务器建立连接,转发客户请求, WWW、FTP、 Email……代理 并将真正服务器返回的响应回送给客户。 发送请求 转发请求
PC Untrust区
PC
服务器
内部网络 202.10.0.0/24 Eudemon(备)
服务器 202.10.0.0/24
31
目录
第一节 第二节 第三节 第四节 第五节 第六节 防火墙的定义 防火墙的主要功能 防火墙的分类 防火墙工作模式 防火墙处理流程 防火墙基本概念
32
路由器的基本工作流程
内部网络 服务器 10.110.1.0/24
29
透明模式(Mode)
PC Trust区 Eudemon 服务器 内部网络 202.10.0.0/24 服务器 外部网络(Internet ) PC PC Untrust区
30
混合模式(Mode)
Eudemon(主)
VRRP PC Trust区 HUB
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
指定主接口
用户需要在两个物理接口中为冗余接口指定一个主 接口。在冗余接口配置模式下,输入以下,命令: primary interface-name 取消接口的主接口设置,在冗余接口配置模式下: no primary interface-name
配置示例
创建冗余接口redundant1,将ethernet0/4和ethernet0/5添加 到redundant1,并且将ethernet0/4设置为主接口,然后再将 ethernet0/5从redundant1中取消,请参考以下命令
议程:接口高级配置
• 冗余接口 – 冗余接口介绍 – Lab 集聚接口 – 集聚接口介绍 – Lab • 其他接口功能 – 镜像接口 – 接口监控 – 接口代理ARP – 接口逆向路由 – 回环接口
集聚接口(aggregate IF)
• 一个集聚接口是两个或者多个物理接口的 集合。这些物理接口平均分担通过该集聚 接口的流量。集聚接口能够提高接口的可 用带宽。如果集聚接口中的一个物理接口 出现故障,不能工作,其他接口可以继续 处理流量,只是可使用的带宽变小了。以 下介绍集聚接口的基本配置操作。
在接口配置模式下,使用no proxy-arp命令取消接口 的代理ARP配置。
接口逆向路由
逆向路由功能是指用于转发反向数据的路由。反向是相对于 初始化数据流方向。逆向路由功能仅适用于三层接口。在接 口配置模式下,使用以下命令完成逆向路由功能的配置: reverse-route [force | prefer]
接口代理ARP
代理ARP功能是指安全网关接口在收到以不同网段IP 地址为目的IP的ARP请求报文时,以自己的MAC地址 作为源地址回应ARP请求。代理ARP功能仅使用于三 层接口。在接口配置模式下,使用以下命令配置接 口的代理ARP功能: proxy-arp [dns]
-proxy-arp -开启接口的代理arp功能。 -proxy-dns -当需要实现IP即插即用时,使用该参数
删除冗余接口
在全局配置模式下使用no interface redundantNumber 命令删除指定的
冗余子接口。
添加物理接口到冗余接口
WebUI:请按照以下步骤添加接口道冗余接口 1、访问页面“网络>接口”,点击以太网接口对应的编辑按 钮 2、为接口选择<无绑定安全域>。 3、选择输入冗余接口并从<接口组>下拉菜单中选择相应冗 接口
冗余接口(redundant IF)
• 冗余接口能够实现两个物理接口的备份。 一个冗余接口绑定到两个物理接口。一个 物理接口为主接口处理流向该冗余接口的 流量。另外一个接口作为备用接口在主接 口发生故障时升级为主接口继续处理流量
创建冗余接口
创建冗余接口
在全局配置模式下,输入以下命令可创建一个冗余接口并且进入冗余 接口配置模式;如果指定的接口名称已存在,则直接进入该接口的配 置模式: interface redundantNumber WebUI:访问页面“网络>接口”,从新建按钮旁的下拉菜单选择<冗 余接口>/<冗余子接口>
接口高级配置
章节目标
• 通过完成此章节课程,您将可以
- 理解冗余接口、集聚接口等接口功能及应用环 境 - 配置各种接口高级功能
议程:接口高级配置
冗余接口 – 冗余接口介绍 – Lab • 集聚接口 – 集聚接口介绍 – Lab • 其他接口功能 – 镜像接口 – 接口监控 – 接口代理ARP – 接口逆向路由 – 回环接口
hostname(config)# interface redundant1 hostname(config-if-red1)# exit hostname(config)# interface ethernet0/4 hostname(config-if-eth0/4)# redundant redundant1 hostname(config-if-eth0/4)# exit hostname(config)# interface ethernet0/5 hostname(config-if-eth0/5)# redundant redundant1 hostname(config-if-eth0/5)# exit hostname(config)# interface redundant1 hostname(config-if-red1)# primary ethernet0/4 hostname(config-if-red1)# exit hostname(config)# interface ethernet0/5 hostname(config-if-eth0/5)# no redundant
回环接口
回环接口为逻辑接口,其特征为:回环接口一直处于工作状 态,只有当回环接口所在的安全设备关闭,回环接口才会关 闭。回环接口通常用于管理以及动态路由。 创建回环接口需在全局配置下: Interface loopback number WebUI:访问页面“网络>接口”,从新建按钮旁的下拉菜单 选择 <回环接口>
议程:接口高级配置
• 冗余接口 – 冗余接口介绍 – Lab • 集聚接口 – 集聚接口介绍 – Lab 其他接口功能 – 镜像接口 – 接口监控 – 接口代理ARP – 接口逆向路由 – 回环接口
镜像接口
神州数码多核防火墙的以太网口具有接口镜像 能。用户可以将接口的流量镜像到其他接口(分 析接口),对流量进行监控。 WebUI:在“网络>接口>高级设置”启用该功能
– force – 强制逆向路由。如果能找到逆向路由则使用逆向路由转发 反向数据;如果找不到逆向路由则丢弃数据包。默认情况下,三 层接口强制逆向路由。 – prefer – 优先逆向路由。如果能找到逆向路由则使用逆向路由转发 反向数据;如果找不到逆向路由则按原路径返回(即从当前接口 转发出去)。
在接口配置模式下,使用no reverse-route命令取消逆向路由 的使用。不使用逆向路由时,所有反向数据原路返回,不进 行逆向路由检查。 注意:如果找到的逆向路由出接口和原入接口不在同一个安 全域,设备仍会丢弃数据包。
删除冗余接口
在全局配置模式下使用no interface aggregateNumber命令删除指定的
冗余子接口。
添加物理接口到集聚接口
WebUI:请按照以下步骤添加接口道集聚接口 1、访问页面“网络>接口”,点击以太网接口对应的编辑按 钮 2、为接口选择<无绑定安全域>。 3、选择集聚接口,然后从接口组下拉菜单中选择集聚接口
小结
※ 在本章中讲述了以下内容:
※ 配置冗余接口 ※ 配置集聚接口 ※ 其他接口功能的配置
问题
• 1、冗余接口和集聚接口有何区别 • 2、shutdown track和monitor track有何区别? • 3、默认情况下,是否查找反向数据的路由?
THANKS!
创建集聚接口
创建集聚接口
在全局配置模式下,输入以下命令可创建一个集聚接口并且进入集聚 接口配置模式;如果指定的接口名称已存在,则直接进入该接口的配 置模式: interface aggregateNumber WebUI:访问页面“网络>接口”,从新建按钮旁的下拉菜单选择<冗 余接口>/<冗余子接口>
配置示例
创建集聚接口aggregate2,将ethernet0/3 和ethernet0/4添加 到aggregate2中,然后再将ethernet0/3从中取消,请参考以
下命令:
hostname(config)# interface aggregate2 hostname(config-if-agg2)# exit hostname(config)# interface ethernet0/3 hostname(config-if-eth0/3)# aggregate aggregate2 hostname(config-if-eth0/3)# exit hostname(config)# interface ethernet0/4 hostname(config-if-eth0/4)# aggregate aggregate2 hostname(config-if-eth0/4)# exit hostname(config)# interface ethernet0/3 hostname(config-if-eth0/3)# no aggregate
镜像目的端口
接口监控(shutdown track)
1、shutdown track WebUI:访问页面“接口>网络”,点击以太网接口相 应的编辑按钮,然后点击高级配置
指定监控对象名称
接口监控(monitor track)
2、monitor track 先在全局配置模式下新建检测对象,然后再接口配 置模式下输入以下命令: monitor [track track-object] -track track-object-指定监控对象名称。如果指定 该参数,接口会在检测对象失败时降低转发表路 由优先级。 在接口配置模式下,使用no monitor命令,取消监控 接口功能并清除此功能的所有相关配置。 monitor track只提供CLI配置方式。