一、防火墙支持的接口种类

1.1 物理接口和逻辑接口

Hillstone设备具有多种类型的接口，分为物理接口和逻辑接口：

-----物理接口：每一个以太网接口表示一个物理接口，例如：ethernet2/1；

------逻辑接口如下：

Vswitchif：三层接口，代表Vswitch上所有接口的集合，此接口相当于实际交换机的上连口，能够实现数据包在二层域三层之间转发；

子接口：可以为以太网子接口，也可以是冗余或集聚的子接口；

VLAN接口：具有三层特性的逻辑接口，通过配置VLAN接口可以实现VLAN接口间互访；

隧道接口：充当VPN通道的入口，流量通过隧道接口进出VPN通道，隧道接口只能是三层接口；

集聚接口（Aggregate）：物理接口的集合，可以包含1-16个物理接口，这些物理接口平均分担流到该集聚接口IP地址的流量负载，因此集聚接口可以提高单个IP地址的可用带宽，如果集聚接口中的一个物理接口出现故障，不能工作，其它接口可以继续处理流量，只是可使用的带宽变小；

冗余接口：能够实现两个物理接口的备份，一个物理接口为主接口处理流向该荣誉接口的流量，另外一个接口作为备用接口在主接口发生故障时继续处理流量；

PPPoE接口：使用PPPoE协议连接PPPoE服务器的逻辑接口，基于以太网口创建；

PPPoE子接口：Hillstone设备支持多个PPPoE接口功能，多个PPPoE接口功能指基于以太网口创建多个PPPoE子接口后，一个物理以太网便可以通过多个PPPoE子接口连接多个ISP；

Virtual Forward接口（HA中使用）：在HA环境中，Virtual Forward接口为HA组的接口，用于传输流量；

-----根据接口所处安全域还可以分为二层接口和三层接口：

二层接口：属于二层域以及VLAN接口均为二层接口；

三层接口：属于三层域的接口为三层接口，只有三层接口可以在NAT/路由模式下工作

1.2 逻辑接口详解

1.2.1 集聚接口

集聚接口（Aggregate）是将多个物理接口绑在一起作为一个逻辑接口来提高接口可用带宽的方式，加入的这些成员接口平均分担通过该集聚接口的流量，如果集聚接口中的一个屋里接口出现故障，不能工作，其他接口可以继续处理流量。

集聚接口的优点：

1、增加带宽，集聚接口的最大带宽可以达到各成员接口带宽之和；

2、提高可靠性，当某条活动链路出现故障时，流量可以切换到其他可用的成员链路上，从而提高链路集聚接口的可靠性；

3、负载分担，在一个集聚接口内，可以实现各成员在可用链路上的负载分担

集聚接口模式：

---强制模式（系统默认），最多支持16个物理接口成员，所有成员分担流量；

---LACP模式由于是协商完成聚合，支持备份。

强制模式下创建集聚接口（CLI）

---创建集聚接口，默认就是强制默认

interface aggregate Number ，例如：interface aggregate2，创建名为“aggregate2”的集聚接口

---物理接口加入集聚接口，该物理接口必须置为空安全域，无其他成员逻辑接口调用，如：

interface ethernet0/1

     aggregate aggregate2

exit

----集聚接口对二层和三层模式均支持

----集聚接口支持子接口，例如：

interface aggregate2.1为集聚接口aggregate2创建了名为aggregate2.1的子接口

1.2.2 LACP协议介绍

基于IEEE802.3ad标准的LACP（链路汇聚控制协议）是一种实现链路动态汇聚的协议，LACP协议通过LACPDU（链路汇聚控制协议数据单元）与对端交互信息；

在某集聚接口启用LACP协议后，该聚合组的成员接口将通过发送LACPDU向对端通告自己的系统优先级、系统MAC、端口优先级、端口号和操作Key，对端接口道这些信息后，将这些信息与其它接口所保存的信息比较，以选择能够聚合的接口，从而双方可以对使用哪部分链路传输用户数据达到一致。

1.2.2.1 LACP成员接口状态

Unselected：表示接口没能被聚合组选中，不可参与流量转发，处于此状态一般是由于物理接口原因，例如：接口工作模式非双工、速率不匹配、物理连接断开等；

Selected：表示接口被聚合组选中，但是相连的对端没有准备好，不可参与流量转发；

Standby：表示接口目前处于备份状态，不可参与流量转发，当接口优先级级为Selecter状态，被替换接口转为Standby，例如：3个接口加集聚，最多只允许2个转发，其中一个为Standy；

Active：表示接口聚合成功，处于活跃状态，可参与流量转发。

1.2.2.2 LACP协商参数

1、LACP系统优先级

---用于区分两端设备优先级的高低，协议会以LACP系统优先级高的一端为标准选择接口，数值越小，优先级越高

---集聚接口下，lacp system-priority value

2、接口LACP优先级

--用于区分聚合组各成员接口变成Selected状态的优先程度，优先级高的成员接口将被优先选做Selected接口，数值越小，优先级越高；

---成员接口下，lacp port-priority value

1.2.2.3 集聚接口启用LACP协议

Hillstone设备通过在集聚接口上启用LACP协议实现LACP链路聚合功能，开启LACP协议的集聚接口称为聚合组，加入聚合组的物理接口称为聚合组成员接口；

物理接口加入LACP模式的集聚接口，仍然要求为空安全域，没有其他逻辑接口调用；

在集聚接口配置模式下，使用以下命令：

--启用：lacp enable

--禁用：no lacp enable

例如：

interface aggregate1

    lacp enable

exit

1.2.3 集聚接口报文发送负载方式

系统支持按照数据流的方式和tuple（多种元素组合）两种方式，默认为流方式；

在集聚接口配置模式下，使用以下命令：

load-balance mode{ flow | tuple [ dest-ip dest-mac dest-port protocol src-ip src-mac src-port ] }

--flow ：指定从数据流中自动获取均衡方式，该方式为系统默认方式；

--tuple [ dest-ip dest-mac dest-port protocol src-ip src-mac src-port ]：指定报文发送均衡方式为源IP、源MAC、源端口、目的IP、目的MAC、目的端口、协议类型，也可以将上述方式组合

1.2.4 配置集聚接口WebUI

1.3 冗余接口

冗余接口能够实现两个物理接口的备份，一个冗余接口可以绑定两个物理接口，一个物理接口为主接口处理流向该冗余接口的流量，另外一个接口作为备用接口在主接口发生故障时升级为主接口继续处理流量。

1.3.1 创建冗余接口

---在全局配置模式下，输入以下命令：

interface redundantNumber， 例如：interface redundant2 创建名为 redundant2 的冗余接口；

---物理接口加入冗余接口

interface ethernet0/4

     redundant redundant2

exit

----冗余接口支持二层和三层模式

----支持子接口

例如：interface redundnat2.1 为集聚接口redundant2创建了名为“redundnat2.1”的子接口

1.3.1 冗余接口主接口

默认第一个加入冗余接口的成员是主接口，也可以选择手工指定，在冗余接口配置模式下，输入以下命令：

primary interface-name

取消接口的主接口配置，在冗余接口配置模式下：

no primary interface-name

冗余接口中若没有强制指定主接口，则原主down后，备接口启用转发为主后一直为主，即使原主恢复也不会抢，若一开始强制指定主接口则原主down后恢复好仍抢位主，因此一般指定主接口

1.4 VLAN基础

vlan由IEEE802.1Q定义，具有以下特点：

---一个物理局域网可以划分多个vlan，一个vlan也可能包含多个物理网络的设备

---一个vlan就是一个广播域，vlan之间的二层报文是相互隔离的，如果要实现vlan间的通信只能通过三层路有技术

---vlan之间通过vlan编号进行区分，取值范围为1-4094

Hillstone支持2种vlan划分方式：

--基于物理端口（port-based vlan）

--基于802.1q tag（tag-based vlan）使用子接口方式

1.4.1 基于物理端口方式的vlan

vlan中的接口有两种方式：Access和Trunk

--Access类型的接口用于接入终端用户，只能允许一个vlan的报文通过；

--Trunk类型的接口通常用语设备间互联，可设置允许多个vlan的报文通过，当设置Native vlan后，接口会删除发送的Native vlan报文的tag，并且为接收到的不带tag的报文添加Native vlan的tag。

基于物理接口的vlan提供CLI方式配置，配置步骤如下：

--创建vlan，全局模式下配置：vlan 10

--配置接口类型及其所属vlan：switchmode{ access vlan vlan-id | trunk { vlan vlan-list [ native-vlan vlan-id] native-vlan vlan-id}}

--创建vlan接口（三层接口）：interface vlan id，如：interface vlan 10

1.4.2 配置子接口处理vlan流量

命令行：interface ethernetm/n.tag（.tag：用来标识子接口的数字，范围从1-4094的整数，例如：interface ethernet0/0.1为接口ethernet0/0创建了名为ethernet0/0.1的子接口）

只支持封装802.1Q，子接口数字代表vlan号；

子接口可以为三层模式，也可以为二层模式

1.4.2 子接口应用场景

配置三层子接口，实现vlan10和vlan20之间互通；

第一步：防火墙创建子接口

第二步：交换机创建vlan tag并将端口划分至vlan

 

第一步：防火墙创建子接口

FW(config)# zone trust10

FW(config-zone-trust)# exit

FW(config)# zone trust20

FW(config)# interface ethernet0/0.10

FW(config-if-eth0/0.10)# zone trust10

FW (config-if-eth0/0.10)# ip address 192.168.10.1/24

FW(config-if-eth0/0.10)# manage ping

FW(config)# interface ethernet0/0.20

FW(config-if-eth0/0.20)# zone trust20

FW(config-if-eth0/0.20)# ip address 192.168.20.1/24

FW(config-if-eth0/0.20)# exit

FW(config)# policy-global

FW(config-policy)# rule

FW(config-policy-rule)# src-zone trust10

FW(config-policy-rule)# dst-zone trust20

FW(config-policy-rule)# src-addr any

FW(config-policy-rule)# dst-addr any

FW(config-policy-rule)# service any

FW(config-policy-rule)# action permit

FW(config-policy-rule)# exit

第二步：配置交换机

switch(config)# vlan 10

switch(config-vlan)# exit

switch(config)# vlan 20

switch(config-vlan)# exit

switch(config)# interface ethernet0/0

switch(config-if-eth0/0)# switchmode access vlan 10

switch(config-if-eth0/0)# interface ethernet0/1

switch(config-if-eth0/1)# switchmode access vlan 20

switch(config-if-eth0/1)# interface ethernet0/4

switch(config-if-eth0/4)# switchmode trunk vlan 10,20

switch(config-if-eth0/4)# exit

1.4.3 vlan特性

Super  VLAN：vlan聚合（vlan aggregation），它提供一种机制能够使处于同一个物理交换网络环境中分别属于不同Vlan的网络设备分配在相同的IPv4子网中，并且使用同一个默认网关，从而实现更加优化的IP地址划分方案；

透明模式vlan透传：设备在透明模式下，设备的物理接口上承载很多VLAN时，通常需要配置相应的子接口和二层转发域（Vswitch），来实现不同VLAN数据包的传输，使用这种配置方式，用户可以基于vlan做策略规则，对流量进行细致控制，可是VLAN越多，配置就越复杂，为简化配置，StoneOS提供Vswitch下的vlan透传功能，即不需要配置子接口，使带有vlan id的数据包通过设备后仍保存原来的vlan id；

开启透明模式vlan透传，需要在vswitch模式下执行以下命令：forward-tagged-paket

1.5 接口解释

1、物理状态；2、管理状态；3、链路状态；4、协议状态