Quidway Eudemon逻辑接口配置.docx
《Quidway Eudemon逻辑接口配置.docx》由会员分享,可在线阅读,更多相关《Quidway Eudemon逻辑接口配置.docx(9页珍藏版)》请在冰点文库上搜索。
QuidwayEudemon逻辑接口配置
目录
4逻辑接口配置4-1
4.1逻辑接口简介4-2
4.1.1子接口4-2
4.1.2虚拟模板接口4-2
4.1.3Loopback接口4-2
4.1.4Null接口4-3
4.2配置子接口4-3
4.2.1建立配置任务4-3
4.2.2创建以太网子接口4-3
4.2.3配置相关的工作参数4-3
4.2.4检查配置结果4-3
4.3配置虚拟模板接口4-4
4.3.1建立配置任务4-4
4.3.2创建虚拟模板接口4-4
4.3.3配置虚拟模板接口的工作参数4-5
4.3.4建立虚拟模板接口与相关物理接口的对应关系4-5
4.3.5检查配置结果4-5
4.4配置Loopback接口4-6
4.4.1建立配置任务4-6
4.4.2创建Loopback接口4-6
4.4.3配置Loopback接口IP地址4-6
4.4.4检查配置结果4-6
4.5配置Null接口4-7
4.5.1建立配置任务4-7
4.5.2进入Null接口视图4-7
4.5.3检查配置结果4-7
4.6配置举例4-8
4.6.1子接口典型配置举例4-8
4.6.2虚拟模板接口典型配置举例4-8
4.6.3Loopback接口典型配置举例4-8
4.6.4Null接口典型配置举例4-8
表格目录
表4-1检查子接口配置结果4-4
表4-2检查虚拟模版接口配置结果4-5
表4-3检查Loopback接口配置结果4-7
表4-4检查Null接口配置结果4-7
4逻辑接口配置
关于本章
本章描述内容如下表所示。
标题
内容
4.1逻辑接口简介
介绍逻辑接口的分类。
4.2配置子接口
介绍子接口的配置方法。
4.3配置虚拟模板接口
介绍虚拟模板接口的配置方法。
4.4配置Loopback接口
介绍Loopback接口的配置方法。
4.5配置Null接口
介绍Null接口的配置方法。
4.6配置举例
介绍逻辑接口的配置举例。
4.1逻辑接口简介
4.1.1子接口
逻辑接口是指能够实现数据交换功能,但物理上不存在、需要通过配置建立的接口。
Eudemon在单个物理接口上允许配置多个子接口,提供了很高的灵活性。
子接口提供在一个物理接口上支持多个逻辑接口互连的功能,即将多个逻辑接口与一个物理接口建立关联。
这些逻辑接口在工作时,共用物理接口的物理配置参数,但有各自的链路层和网络层配置参数。
目前,Eudemon防火墙仅以太网接口支持子接口功能。
使用子接口的必要性如下:
一个物理接口只能配置一个IP地址。
在两接口间为点到点连接的情况下,只有一个IP地址可以满足应用的要求。
当接口的链路层需要支持多个虚连接的复用,且这些虚连接的对端网络都和本端接口IP地址处于同一网段时,一个IP地址也可以满足要求;如果接口虚连接的对端网络处于不同网段,则接口上只有一个IP地址就不能满足要求了,必须使用子接口。
4.1.2虚拟模板接口
虚拟模板接口(Virtual-Template)是用于配置虚拟访问接口的模板,主要应用于VPN(VirtualPrivateNetwork)。
在VPN会话连接建立之后,需要创建虚拟访问接口用于和对端交换数据。
此时,系统将按照用户的配置,选择虚拟模板接口,根据该模板的配置参数动态地创建虚拟访问接口。
虚拟模板接口要保证在虚拟访问接口创建之前已经建立,在虚拟访问接口关闭之后再删除。
虚拟模板接口在链路层只支持PPP(PointtoPointProtocol)协议,在网络层只支持IP协议。
虚拟访问接口将在需要的时候由系统自动创建,并使用相应虚拟模板接口的参数进行工作,虚拟访问接口会由于底层链路断开或用户干预而被删除。
在打开PPP的Debugging开关时,虚拟访问接口UP与DOWN的状态变换可以从终端用户屏幕的输出信息中看到。
4.1.3Loopback接口
Loopback是一种纯软件性质的逻辑接口。
任何送到该接口的网络数据报文都会被认为是送往防火墙自身。
Loopback接口也称为环回接口,与普通接口使用同样的IP地址配置原则,用户可以根据需要在系统启动后动态创建和删除该类型的接口。
系统在启动时自动创建一个使用环回地址127.0.0.1的接口,该接口是系统使用的,不可配置也不可删除,使用displayiprouting-table命令看到的inLoopback接口就是这种接口。
4.1.4Null接口
Null接口也是一种纯软件性质的逻辑接口,与Loopback接口不同,Null接口更类似于一些操作系统中支持的空设备(Nulldevices),任何送到该接口的网络数据报文都会被丢弃。
4.2配置子接口
4.2.1建立配置任务
应用环境
子接口用于在一个物理接口上实现多个逻辑接口。
以太网子接口只用于VLAN的配置中。
前置任务
在配置子接口之前,需完成以下任务:
●防火墙安装完毕并加电启动正常。
●完成物理接口的配置。
数据准备
在配置子接口之前,需准备以下数据:
●主接口的编号
●子接口编号
4.2.2创建以太网子接口
创建以太网子接口,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令interfaceethernetinterface-number.subinterface-number,创建以太网子接口并进入以太网子接口视图。
----结束
4.2.3配置相关的工作参数
具体的配置步骤和方法与配置以太网接口工作参数类同,请参见“02以太网接口配置”。
4.2.4检查配置结果
检查子接口配置结果相关操作如表4-1所示。
表4-1检查子接口配置结果
操作
命令
查看以太网子接口的状态
displayinterfaceethernet[interface-number.subinterface-number]
4.3配置虚拟模板接口
4.3.1建立配置任务
应用环境
在VPN协议的应用中,需要创建并配置虚拟模板接口,虚拟访问接口的创建和删除由系统自动完成。
前置任务
在配置虚拟模板接口之前,需完成以下任务:
防火墙安装完毕并加电启动正常。
数据准备
在配置虚拟模板接口之前,需准备:
虚拟模板接口的编号。
●配置或者修改虚拟接口模板的相关参数后,请使用shutdown、undoshutdown命令重启相应的VT,确保所配置的数据加载到接口上。
●如果需要在虚拟接口模板上配置或更改已配置的相关业务,如MTU,应先配置或更改这些业务,然后再在其他接口下进行VT的相关配置。
4.3.2创建虚拟模板接口
创建虚拟模板接口,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令interfacevirtual-templatevirtual-template-number,创建虚拟模板接口并进入虚拟模板接口视图。
----结束
在删除虚拟模板接口时,要确保其派生的虚拟访问接口已经被删除,而且该虚拟模板接口已不再被使用。
4.3.3配置虚拟模板接口的工作参数
可以配置如下工作参数:
●配置PPP的工作参数。
●配置虚拟模板接口的IP地址。
●配置为PPP对端分配的IP地址或IP地址池。
●配置虚拟访问接口上的包过滤规则。
这些参数在虚拟模板接口上的配置与在普通接口上的配置没有任何区别,具体配置请参见“06PPP配置”和“07IP地址配置”。
由于虚拟模板接口在链路层只支持PPP协议,缺省使用PPP封装,所以不需要使用link-protocol命令。
4.3.4建立虚拟模板接口与相关物理接口的对应关系
建立虚拟模板接口与相关物理接口的对应关系,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令interfacevirtual-templatevirtual-template-number,创建虚拟模板接口并进入虚拟模板接口视图。
步骤3执行命令quit,返回系统视图。
步骤4执行命令l2tp-groupgroup-number,创建L2TP组并进入L2TP组视图。
步骤5执行命令allowl2tpvirtual-templatevirtual-template-number[remoteremote-name],建立L2TP组与虚拟模板接口的对应关系。
在VPN应用环境中,需要建立L2TP组与虚拟模板接口的对应关系。
----结束
4.3.5检查配置结果
检查虚拟模版接口配置结果相关操作如表4-2所示。
表4-1检查虚拟模版接口配置结果
操作
命令
查看虚拟模板接口的状态
displayinterfacevirtual-template[virtual-interface-number]
4.4配置Loopback接口
4.4.1建立配置任务
应用环境
由于Loopback接口创建后一直保持UP状态,并具有环回的特性,因此常用来提高配置的可靠性。
前置任务
在配置Loopback接口之前,需完成以下任务:
防火墙安装完毕并加电启动正常。
数据准备
在配置Loopback接口之前,需准备以下数据:
●Loopback接口的接口编号
●Loopback接口的IP地址
4.4.2创建Loopback接口
创建Loopback接口,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令interfaceloopbackloopback-number,创建Loopback接口。
----结束
4.4.3配置Loopback接口IP地址
配置Loopback接口IP地址,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令interfaceloopbacknumber,创建Loopback接口。
步骤3执行命令ipaddressip-address{mask|mask-length}[sub],配置Loopback接口的IP地址。
用户可以动态创建或删除自己的LoopBack接口。
LoopBack接口一旦被创建,将一直保持UP状态,直到被删除。
----结束
4.4.4检查配置结果
检查Loopback接口配置结果相关操作如表4-3所示。
表4-1检查Loopback接口配置结果
操作
命令
查看Loopback接口的状态
displayinterfaceloopback[loopback-interface-number]
4.5配置Null接口
4.5.1建立配置任务
应用环境
Null接口类似于一些操作系统支持的空设备,任何送到该接口的网络数据报文都会被丢弃,可以将需要过滤掉的报文直接发送到Null接口,而不必配置访问控制列表。
系统自动创建一个Null接口。
前置任务
在配置Null接口之前,需完成:
防火墙安装完毕并加电启动正常。
数据准备
无
4.5.2进入Null接口视图
进入Null接口视图,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令interfacenull0,进入Null接口视图。
Null接口永远处于UP状态,但不能转发数据包,也不能配置IP地址或封装其他协议。
----结束
4.5.3检查配置结果
检查Null接口配置结果相关操作如表4-4所示。
表4-1检查Null接口配置结果
操作
命令
查看Null接口的状态
displayinterfacenull[null-interface-number]
4.6配置举例
4.6.1子接口典型配置举例
具体配置方法请参见“02以太网接口配置”中的配置举例。
4.6.2虚拟模板接口典型配置举例
有关VPN中虚拟模板接口的配置,请参见《QuidwayEudemon300/500/1000防火墙配置指南安全防范分册》。
4.6.3Loopback接口典型配置举例
由于创建后一直保持UP状态,并具有环回的特性,Loopback接口常被用于提高配置的可靠性。
#创建一个Loopback接口。
[Eudemon]interfaceloopback6
#配置Loopback6的IP地址。
[Eudemon-LoopBack6]ipaddress10.10.1.1255.255.255.255
4.6.4Null接口典型配置举例
由于任何到达Null接口的报文都会被丢弃,可以将需要过滤掉的报文直接发送到Null0接口,而不必配置访问控制列表。
例如:
使用静态路由配置命令iproute-static192.101.0.0255.255.0.0null0将丢弃所有去往网段192.101.0.0的报文。
升级会员 