- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
05-接口配置
本章节下载: 05-接口配置 (1.32 MB)
目 录
设备接口用来接收或者发送网络数据。设备的接口根据性质不同可分为物理接口、子接口、网桥接口、聚合接口、隧道接口和无线接口等几大类。各类型接口的详细说明请参见下表。
|
接口 |
说明 |
|
物理接口 |
设备上的每个以太网接口都是一个物理接口。 |
|
子接口 |
用于支持VLAN功能,即将一个物理局域网划分为多个相互隔离的虚拟局域网。 |
|
网桥接口 |
用于支持设备的网桥模式,也称为透明模式。以此模式部署设备无需改变已有网络结构,只需将网线插入到网桥接口。 |
|
聚合接口 |
多个物理接口的集合,这些接口共同分担流经到聚合接口的流量负载。 |
|
隧道接口 |
用于支持创建VPN通道,流量通过隧道接口进出VPN通道。 |
|
无线接口 |
用于支持设备通过4G上网卡接入外网。 |
|
安全域 |
一个安全域是若干接口所连网络的集合,这些网络中的用户具有相同的安全属性。 |
|
虚拟网线 |
用于将备上两个物理接口对应的子网直接连接到一起,被连接的两个子网之间可以直接进行二层通信。 |
表1-1 物理接口缺省配置
|
内容 |
缺省设置 |
备注 |
|
端口自协商配置 |
on |
可以更改设置 |
|
端口MTU |
1500 |
可以更改设置 |
|
端口管理状态 |
no shutdown |
可以更改设置 |
· 物理接口在设备启动的时候就已经创建,不支持在设备运行过程中创建或者删除。
· 可以通过修改物理接口的配置来改变物理接口的运行方式。
如图1-1所示,点击导航栏中的“网络配置 > 接口配置 > 物理接口”,进入物理接口的显示界面。
表1-2 物理接口显示界面详细描述表
|
配置项 |
说明 |
|
接口名称 |
物理接口名称 |
|
描述 |
接口描述 |
|
IP地址 |
接口的IP地址/掩码,可以通过静态配置、DHCP、PPPoE获取 |
|
IPv6地址 |
接口的IPv6地址/前缀长度,可以在页面上手工配置 |
|
MAC地址 |
该接口对应的MAC地址 |
|
工作模式 |
接口工作模式,包括route、switch、agged、vline、listen |
|
双工模式 |
设置端口双工工作模式,有全双工和半双工两种模式 |
|
速率 |
接口支持的数据传输速率 |
|
连接状态 |
接口的连接状态 |
|
启用状态 |
接口是否被启用 |
|
操作 |
对该接口进行编辑 |
点击图1-2物理口显示界面中,对应接口下的<编辑>按钮,显示配置界面。
表1-3 物理接口配置详细描述表
|
配置项 |
说明 |
|
基本配置 |
|
|
名称 |
展示物理接口的名称及MAC地址。设备出厂时已经完成设置,无法修改。 |
|
描述 |
用户可根据需要添加接口的描述信息,0~127个字符。 |
|
启用 |
选中复选框启用该接口。 |
|
IP类型 |
为接口配置IP地址,支持IPv4和IPv6两种地址类型。选择页签配置对应的IP地址。 |
|
IPv4:支持三种地址模式,分别为静态地址、DHCP和PPPoE。 · 静态地址:手动指定静态的接口主IP地址和掩码及从属IP地址和掩码,如192.168.1.1/24,这种模式可以避免IP地址发生变化。主地址是接口的主要通信地址,优先级最高;从属IP地址是接口第二优先级的通信地址。如果设备接口主地址无法与接口网关通信,会依次轮询确认从属IP是否可以与接口网关通信。 · DHCP:将物理接口配置为DHCP客户端,自动从DHCP服务器获取IP地址。DHCP是动态主机配置协议(Dynamic Host Configuration Protocol)的缩写,能够自动为客户端分配适当的IP地址以及相关网络参数,从而简化网络管理。 ¡ 接口主地址:展示DHCP服务器为该接口分配的IP地址。 ¡ 优先级:配置DHCP优先级,范围1~255,数字越小,优先级越高,即系统优先分配优先级数值小的DHCP地址。 ¡ DHCP属性:选择是否利用DHCP信息自动更新网关的默认路由或DNS服务器。 · PPPoE:将物理接口配置为PPPoE客户端。PPPoE是以太网上点对点协议(Point-to-Point Protocol over Ethernet)的缩写,在为客户端分配IP地址的同时,可以对客户端进行接入控制、验证以及计费。 ¡ 接口主地址:展示PPPoE服务器为该接口分配的IP地址。 ¡ 用户名:PPPoE拨号的用户名,通常由ISP服务商提供。 ¡ 密码:PPPoE拨号的密码,通常由ISP服务商提供。 ¡ 优先级:配置PPPoE优先级,范围1~255,数字越小,优先级越高,即系统优先分配优先级数值小的PPPoE地址。 ¡ PPPoE属性:选择是否利用PPPoE信息自动更新网关的默认路由或DNS服务器。 |
|
|
IPv6:支持四种地址模式,分别为静态地址、DHCP、PPPoE和ND-RA。 · 静态地址模式:用户需手动添加接口主地址及从属地址,如FEC0::1/64。主地址是接口的主要通信地址,优先级最高;从属IP地址是接口第二优先级的通信地址。如果设备接口主地址无法与接口网关通信,会依次轮询确认从属IP是否可以与接口网关通信。勾选启用EUI-64复选框启用EUI-64。启用后,如果接口没有配置DHCP服务器,将会自动配置IPv6地址。EUI-64的构造规则是根据接口的MAC地址加上固定的前缀成一个IPv6地址:自动将48位以太网MAC地址扩展到64位,再组合一个64位的IPv6地址前缀组成一个IPv6地址。 · DHCP:将物理接口配置为DHCP客户端,自动从DHCP服务器获取到IPv6地址。 · PPPOE:将物理接口配置为PPPoE客户端。 · ND-RA:设备可以通过ND邻居发现模式从支持IPv6 ND邻居发现的路由器获取地址。将物理接口配置为ND-RA。接口可以发送RS,通过路由器回应的RA报文获取到IPv6地址。 |
|
|
高级配置 |
|
|
管理方式 |
勾选复选框配置是否允许用户通过HTTPS、SSH、HTTP、Telnet、Ping、SSL VPN、Center-monitor等服务管理接口。 |
|
协商模式 |
选择网络通讯两端接口的参数协商模式。 · 自动:接口根据另一端设备的连接速度和双工模式,自动将其速度调节到最高的公共水平,即线路两端具有的最快速度和双工模式。 · 强制:手动设置接口的速率和双工模式。通讯双方接口的参数设置必须一致,否则会导致无法正常工作。 ¡ 速率:设置接口的传输速率,百兆接口可选10M或100M,千兆接口可选10M、100M或1000M。(注意:光口无法强制设置速率) ¡ 双工模式:设置接口的双工工作模式,有全双工和半双工两种模式(系统不支持1000M的半双工工作模式)。全双工模式下,接口可以同时收发数据;半双工模式下,接收和发送数据不能同时进行。(注意:光口无法强制设置双工模式) |
|
MTU |
指定接口可发送数据帧的最大长度,1280~1500字节。 |
|
接口属性 |
指定接口为内网口或外网口,用于流量上行/下行统计。 |
在一个物理局域网内,通过对端口的划分,将局域网内的设备分割为几个各自独立的群组,群组内部的设备之间可以自由地通讯,而当分属不同群组的设备要进行通讯时,必须进行三层的路由转发;通过这种方式,一个物理局域网就如同被划分为几个相互隔离的局域网,这些不同的群组就称为虚拟局域网(VLAN)。
子接口是一种三层模式下的虚拟接口,主要用于实现VLAN间的三层互通。它不作为物理实体存在于设备上。每个VLAN对应一个VLAN接口,该VLAN接口可以为本VLAN内端口收到的报文进行网络层转发操作。
VLAN接口是虚端口,可以根据需要创建,同时也可以把不需要的VLAN接口删除。
如图1-3所示,通过菜单“网络配置 > 接口配置 > 子接口”使用该功能。点击网络子接口显示界面中的<新建>按钮,切换到子接口创建页面。
图1-3 VLAN接口创建界面
表1-4 配置说明
|
配置项 |
说明 |
|
基本配置 |
|
|
名称 |
新建子接口的名称,物理接口+id,其中id可选为1~4094。 |
|
描述 |
接口描述。 |
|
启用 |
是否允许启用VLAN接口,缺省情况下为启用。 |
|
IP类型 |
IPv4地址和IPv6地址,点击相应的标签,配置对应类型的IP地址。 |
|
地址模式 |
子接口的IPv4地址也可以通过以下三种方式获取:静态配置、DHCP、PPPoE方式,具体配置可以参考物理接口配置。 子接口的IPv6地址也可以通过以下四种方式获取:静态配置、DHCP、PPPoE、NDRA方式,具体配置可以参考物理接口配置。 |
|
属性设定 |
|
|
管理方式 |
配置端口是否允许HTTPS、HTTP、SSH、Telnet、PING等管理服务 |
|
MTU |
接口发送报文的最大长度,缺省为1500,单位为字节。 |
如图1-4所示,点击导航栏的“网络管理>接口配置>子接口”,点击子接口标签页,进入VLAN接口显示界面。
图1-4 VLAN接口显示界面
如图1-5所示,通过菜单“网络配置 > 接口配置 > 子接口”使用该功能。点击网络子接口显示页面的编辑图标,切换到编辑页面。
图1-5 VLAN接口编辑界面
通过菜单“网络配置 > 接口配置 > 子接口”使用该功能。点击网络子接口显示页面图1-4的删除图标,删除VLAN接口。
透明网桥使用方便,易于安装。当桥接入互连的局域网内,就能运行。它不会影响现存的局域网,原有的软硬件无须改变,也不要设置地址开关和加载路径选择表参数,对于用户来说,该网桥是透明的,即该网桥进入或离开整个网络,用户感觉不到设备的存在。
如图1-6所示,通过菜单“网络配置 > 接口配置 > 网桥接口”使用该功能。点击<新建>按钮,切换到网桥接口新建界面。
表1-5 配置说明
|
配置项 |
说明 |
|
名称 |
桥接口名称bvi+id,id可选为0~255。 |
|
描述 |
接口描述。 |
|
网桥可选接口 |
可加入桥接口的接口,包括没有子接口的物理接口和新建的子接口。 |
|
启用 |
是否允许启用桥接口,缺省情况下为启用。 |
|
IP类型 |
IPv4地址和IPv6地址, 点击相应的标签,配置对应类型的IP地址。 |
|
地址模式 |
网桥接口的IPv4地址也可以通过以下三种方式获取:静态配置、DHCP、PPPoE方式,具体配置可以参考物理端口配置; 网桥接口的IPv6地址也可以通过以下四种方式获取:静态配置、DHCP、PPPoE、NDRA方式,具体配置可以参考物理接口配置。 |
|
管理方式 |
配置端口是否允许HTTPS、HTTP、SSH、Telnet、PING等管理服务。 |
|
MTU |
接口发送报文的最大长度,缺省为1500,单位为字节。 |
如图1-7所示,通过菜单“网络管理>接口>网桥接口”使用该功能。
如图1-8所示,通过菜单“网络管理>接口>网桥接口”使用该功能。点击网桥接口显示页面的编辑图标,切换到编辑页面。
通过菜单“网络配置 > 接口配置 > 网桥接口”使用该功能。点击网桥接口显示页面图1-7的删除图标,删除桥接口。
随着网络规模的扩大,网络中的广播也随之加大,会加重交换机的负担,甚至可能导致死机。VLAN(虚拟局域网技术)可以将一个大的网络划分为若干个小的局域网,从而控制广播流量。
设备可以针对添加到桥中的物理接口配置VLAN范围,主要功能如下:
· 如果配置了VLAN,当收到tag报文,只有满足VLAN范围才允许通过并做进一步处理。否则drop掉。
· 如果收到的是untag报文,不做VLAN范围的校验,不受限制。
· .桥转发阶段还会根据转发口配置的VLAN范围进行校验。具体校验逻辑与收包口相同。
主要应用场景如下:
· 场景一:下行两个接口都配置相同的Vlan ID,此时仅VLANID在允许范围内的二层报文可以被转发。其他VLAN ID的报文不能通过。
· 场景二:将多个接口加入同一个网桥中,根据VLAN划分出的广播域,进行转发的限制。
在“接口配置”页面选择“网桥接口”页签,点击<新建>,将相关接口加入网桥,点击<提交>。
图1-9 配置桥接口
加入网桥的接口变为Switch状态,在“接口配置”页面选择物理接口页签,编辑加入网桥后Switch模式的物理接口,进入接口编辑界面,设置vlan允许范围。默认为1-4094,相当于any。
图1-10 配置VLAN允许范围
编辑相关信息,点击<提交>。
接口汇聚,就是通过配置软件的设置,将2个或多个物理端口组合在一起成为一条逻辑的路径从而增加在交换机和网络节点之间的带宽,将属于这几个端口的带宽合并,给端口提供一个几倍于独立端口的独享的高带宽。将多个物理链路捆绑在一起后,不但提升了整个网络的带宽,而且数据还可以同时经由被绑定的多个物理链路传输,具有链路冗余的作用,在网络出现故障或其它原因断开其中一条或多条链路时,剩下的链路还可以工作。
如图1-11所示,通过菜单“网络配置 > 接口配置 > 聚合接口”使用该功能。点击<新建>按钮,切换到聚合接口新建界面。
表1-6 配置说明
|
配置项 |
说明 |
|
基本配置 |
|
|
名称 |
聚合接口名称agg+id,id可选为0~255。 |
|
描述 |
接口描述。 |
|
接口列表 |
可加入聚合接口的接口,只能为物理接口。 |
|
启用 |
是否允许启用聚合接口,缺省情况下为启用。 |
|
IP类型 |
IPv4地址和IPv6地址, 点击相应的标签,配置对应类型的IP地址。 |
|
地址模式 |
聚合接口的IPv4地址也可以通过以下三种方式获取:静态配置、DHCP、PPPoE方式,具体配置可以参考物理端口配置; 聚合接口的IPv6地址也可以通过以下四种方式获取:静态配置、DHCP、PPPoE、NDRA方式,具体配置可以参考物理接口配置。 |
|
属性设定 |
|
|
管理方式 |
配置端口是否允许HTTPS、HTTP、SSH、Telnet、PING等管理服务。 |
|
MTU |
接口发送报文的最大长度,缺省为1500,单位为字节。 |
|
负载分担 |
选择聚合口接口分流方式,按流条数分流或者按包分流。 · 逐流分担:基于源IP、源端口、目的IP、目的端口计算HASH值,计算出对应的端口索引,从该端口索引发报文。可保证同一条流都从一个出口转发,避免出现乱序现象。 · 逐包分担:基于报文进行轮询转发,可保证聚合口下各个接口之间分流更加均匀。 |
|
模式 |
聚合口工作模式,分为手工模式和LACP模式。 · 手工:成员接口的加入和离开由手工来配置。 · LACP:Link Aggregation Control Protocol,根据自身配置自动形成聚合链路,在聚合条件发生变化时自动调整聚合状态。 |
|
LACP优先级 |
范围为0~65535,默认值为32768。 |
|
LACP超时模式 |
聚合接口接收LACP协议报文的超时时间。 · 快速:指定LACP模式下聚合接口接收报文的超时时间是3秒。选择“快速”时,对端发送LACP报文的周期是1秒,响应性能好,但占用系统资源相对“慢速”较大。 · 慢速:指定LACP模式下聚合接口接收报文的超时时间为90秒。选择“慢速”时,对端发送LACP报文的周期是30秒,响应性能较“快速”低一些,但占用系统资源比较少。 两端配置的超时时间可以不一致,但为了便于维护,建议用户配置一致的LACP协议报文超时时间,默认为“慢速”。 |
|
最大链路数 |
链路聚合组活动接口数目的上限阈值,取值范围是1~32,默认为32。 |
|
最小链路数 |
链路聚合组活动接口数目的下限阈值,取值范围是1~8,默认为1。 |
· 与支持LACP协议的设备对接时,建议使用静态LACP模式。LACP静态聚合组指由人工手动创建,但由运行在链路两端的系统上的LACP协议完成链路聚合控制的聚合组。
· 与不支持LACP协议的设备对接时,必须设置聚合组类型为手工聚合。手工聚合组指由人工手动创建和完成链路聚合控制的聚合组。如果聚合组类型为手工聚合,成员链路单向故障(如以太网光口某一方向断纤)或物理线路位置连接错误时,业务的发送端不能检测到该故障。
· 静态LACP可与动态LACP协议对接。
如图1-12所示,通过菜单“网络管理>接口>聚合接口”使用该功能。
如图1-13所示,通过菜单“网络配置 > 接口配置 > 聚合接口”使用该功能。点击图1-12聚合接口显示页面的编辑图标,切换到编辑页面。
通过菜单“网络配置 > 接口配置 > 聚合接口”使用该功能。点击图1-12聚合接口显示页面中的删除图标,删除聚合接口。
隧道接口用于创建加密通道,数据通过隧道接口进出加密通道。通过隧道传递的数据可以是不同协议的数据帧或包,隧道协议将这些数据帧或包重新封装在新的包头中发送,被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由,到达网络终点后数据将被解包并转发到最终目的地。整个传递过程中,被封装的数据包在公共互联网络上传输时所经过的逻辑路径称为隧道。
隧道接口作为设备的内部口,有4种模式:GRE隧道接口、IPSEC隧道接口、IPv6隧道接口、SSLVPN隧道接口。
通过菜单“网络管理>接口配置>隧道接口”查看设备上的所有隧道接口及其状态信息。
图1-14 隧道接口显示界面
通过菜单“网络配置 > 接口配置 > 隧道接口”,点击<新建>,可以创建GRE模式的隧道接口。
图1-15 隧道接口新建界面
表1-7 隧道接口配置说明
|
配置项 |
说明 |
|
名称 |
隧道接口名称+id,id可选为0~1023。已创建的隧道接口,此处无法修改。 |
|
描述 |
接口描述 |
|
模式 |
隧道接口模式,包括GRE、IPsec、IPv6、SSLVPN四种模式。 GRE是“通用路由封装协议”的缩写,提供了将一种协议的报文封装在另一种协议报文中的机制,使报文能在异种网络中传输,这个传输的通道称为GRE隧道。 有关IPsec和IPv6隧道的更多信息,请参见配置IPv6隧道接口和配置IPsec隧道接口。 |
|
GRE源类型 |
选择IP或接口。 · GRE源IP:配置隧道源IP地址,必须为本地接口配置的IP地址。 · 接口:指定接口自动获取接口下IP地址。 |
|
GRE目的IP |
配置隧道外层封装的对端IP地址。 |
|
GRE密钥 |
GRE隧道密钥,隧道两端必须配置一致。 |
|
报文校验和 |
勾选后启用GRE校验和检查。 |
|
启用 |
是否允许启用隧道接口,缺省情况下为启用 |
|
IP类型 |
IPv4地址和IPv6地址 点击相应的标签,配置对应类型的IP地址 |
|
地址模式 |
隧道接口的IPv4地址或IPV6地址只能通过静态配置 |
|
管理方式 |
配置端口是否允许HTTPS、HTTP、SSH、Telnet、PING等管理服务 |
|
MTU |
接口发送报文的最大长度,IPSEC隧道缺省为1420,GRE隧道缺省为1476,Ipv6隧道缺省为1480,单位为字节。 |
如图1-16所示,通过菜单“网络配置 > 接口配置 > 隧道接口”,点击隧道接口显示页面的编辑图标,切换到编辑页面。
无线接口作为设备的外置接口,支持通过插4G网卡的方式,让设备接入网络,为上网需求量较少或者没有条件架设有线设施的用户解决访问网络的需求。
设备USB口插上4G网卡后自动创建,无需人为创建。
如图1-17所示,通过菜单“网络管理>接口配置>无线接口”使用该功能。
如图1-18所示,通过菜单“网络配置 > 接口配置 > 无线接口”使用该功能。点击图1-17无线接口显示页面的编辑图标,切换到编辑页面。
表1-8 配置说明
|
配置项 |
说明 |
|
厂商 |
4G网卡所属厂商 |
|
接口名称 |
接口名称,自动生成 |
|
MAC地址 |
4G网卡MAC地址 |
|
IP地址 |
4G接口IP地址,自动获取 |
|
地址类型 |
DHCP获取,无法修改 |
|
网关 |
下一跳地址,自动获取 |
|
DNS |
DNS地址,自动获取 |
|
启用 |
是否允许启用无线接口,缺省情况下为启用 |
|
更新网关 |
自动生成默认路由 |
|
更新DNS |
自动获取DNS |
|
权重 |
路由权重 |
|
MTU |
接口发送报文的最大长度,缺省为1500,单位为字节 |
安全区域(Security Zone)简称区域(Zone),是设备所引入的一个安全概念,安全策略可以基于安全区域实施。
设备默认无安全域,也没有默认的安全域间的访问策略,需要手动配置。将接口加入安全域后,可以更加方便地在策略里进行引用。
通过菜单“网络管理>接口配置>安全域”,单击“新建”进入安全域创建界面,如下图所示。
图1-19 配置安全域界面
表1-9 配置安全域的参数
|
参数 |
说明 |
|
名称 |
安全域的名称。安全区域名称一旦设定,不允许更改。 |
|
域内接口间访问 |
控制域内接口能否互访,默认不允许互访。 |
|
安全域可选接口 |
左侧为可选加入安全域的接口。 |
|
安全域已选接口 |
右侧为已选的安全域接口。 |
通过菜单“网络管理>接口配置>安全域”进入安全域显示页面,查看设备上的所有安全域及其详细信息。如下图所示。
图1-20 安全域的显示
通过菜单“网络管理>接口配置>安全域”进入安全域显示页面,单击对应安全域中操作栏里的“修改”按钮进入修改界面,如下图所示。
图1-21 安全域的修改
通过菜单“网络管理>接口>安全域”使用该功能。单击对应安全域中操作栏里的“删除”按钮即可删除对应的安全域。
信息与网络安全被越来越多的客户认知,越来越多的客户在实际网络拓扑中部署安全设备,传统的部署方式需要对客户的网络拓扑比较了解,甚至需要更改网络设备的配置,虚拟网线方式提供一种无感知方式,不需要客户对原有的网络拓扑做任何更改,虽然桥接方式也可以满足一部分要求,但虚拟网线免去了MAC学习和二层交换,避免了因MAC错乱导致的问题,同时虚拟线相比于传统的桥接方式效率更高。此外虚拟网线还附加了端口联动和vlan过滤功能以此来满足透明接入的实际需求。
如图1-22所示,通过菜单“网络配置>接口配置>虚拟网线”使用该功能。单击“新建”进入虚拟网线创建界面。
表1-10 配置虚拟网线的参数
|
参数 |
说明 |
|
名称 |
虚拟网线的名称。虚拟网线名称一旦设定,不允许更改。 |
|
描述 |
虚拟网线描述。 |
|
接口1 |
加入虚拟网线的物理接口1。 |
|
接口2 |
加入虚拟网线的物理接口2。 |
|
vlan允许范围 |
配置虚拟网线允许的vlan 范围,只允许配置的vlan范围通过。 |
|
端口联动 |
配置虚拟网线端口联动,虚拟网线中的一个接口down,另一个接口也会down。 |
如图1-23所示,通过菜单“网络管理>接口配置>虚拟网线”使用该功能。
如图1-24所示,通过菜单“网络管理>接口配置>虚拟网线”使用该功能。单击对应虚拟网线中操作栏里的“修改”按钮进入修改界面。
通过菜单“网络管理>接口配置>虚拟网线”使用该功能。单击对应虚拟网线中操作栏里的“删除”按钮即可删除对应的虚拟网线。
隧道技术是一种通过互联网络基础设施在网络之间传递数据的方式。使用隧道传递的数据可以是不同协议的数据帧或包,隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送,被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由,一旦到达网络终点,数据将被解包并转发到最终目的地。整个传递过程中,被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。
简言之,隧道技术是指包括数据封装,传输和解包在内的全过程。
本设备支持两种封装模式的隧道接口:IPsec封装和IPv6封装。本章重点讲解IPv6封装模式的隧道接口,关于IPsec封装的详细介绍,请参见配置IPsec隧道接口。
通过菜单“网络配置>基础网络>IPv6网络>IPv6隧道”使用该功能。如图1-25所示,点击<新建>按钮,切换到IPv6隧道新建界面。
图1-25 IPv6隧道接口新建界面
表1-11 配置说明
|
配置项 |
说明 |
|
名称 |
创建时会根据当前tunnel id的使用情况,给一个推荐的可用的tunnel id。 |
|
隧道模式 |
一共三种模式:手工隧道(manual),isatap和6to4,点击不同的单选按钮,出现不同的配置选项(上图是manual模式的配置选项)。 · IPv6手工隧道:手工指定隧道的源地址和目的地址。源地址是封装隧道报文时外层封装所使用的源IPv4地址或指定接口的主IP地址,目的地址是封装隧道报文时外层封装所使用的目的IPv4地址。 IPv6 over IPv4是一种IPv6过渡机制,其机制是将IPv6 报文前封装IPv4 的报文头,通过隧道方式使IPv6报文穿越IPv4网络,实现隔离的IPv6网络互通。根据隧道终点IPv4地址的获取方式不同,IPv6 over IPv4隧道分为“手工隧道”及“自动隧道”两种类型。如果隧道的终点地址无法从IPv6报文的目的地址中自动获取,需要进行手工配置,这种隧道即为手工隧道;如果隧道的接口地址采用内嵌IPv4地址的特殊IPv6地址形式,即可以从IPv6报文的目的地址中自动获取隧道终点的IPv4地址,这种隧道即为自动隧道。本文所述的配置适用于手工隧道。 · ISATAP:ISATAP隧道是点到点的自动隧道技术,通过在IPv6报文的目的地址中嵌入的IPv4地址,可以自动获取隧道的终点。该模式需要用户配置隧道的源地址(同手工隧道配置)和隧道接口的主IPv6地址。 ISATAP隧道允许通过IPv4网络上的双栈节点传输IPv6报文。支持ISATAP的双栈主机会自动在该隧道接口上生成本地链路的前缀(fe80::开头)和64位的接口标识符(::0:5EFE:X.X.X.X,其中X.X.X.X是双栈主机的IPv4单播地址),以便与同一子网内的其他ISATAP客户机进行IPv6通讯;如果需要与其他网络的ISPTAP客户机或者IPv6网络通讯,必须通过ISATAP路由器获取全球单播地址前缀(2001:, 2002:, 3ffe:)。 · 6to4:用户只需手动指定隧道的源地址(同手工隧道配置)。每个站点必须至少有一台6to4路由器作为出入口,使用特定的地址格式(地址前缀为2002:开头)并将路由器的IPv4地址加入到IPv6地址中,因此位于不同6to4站点内的主机彼此通讯时可自动抽取IPv4地址在路由器之间建立隧道。 |
|
隧道源 |
隧道的源地址模式: 选择地址模式时,使用源地址作为隧道源。 选择接口模式时,选择设备上的接口作为隧道源。 |
|
隧道目的 |
隧道接口的目的地址,只有manual模式时需要填写。 |
每个接口都能分别配置不同的封装模式,但每次只能配置一种方式,且在接口创建时就指定,不能修改。
如图1-26、图1-27所示,下面是isatap和6to4的配置选项。相比manual,isatap和6to4少了隧道目的地址的配置。
如图1-28所示,通过菜单“网络配置 > 基础网络 > IPv6网络 > IPv6隧道”使用该功能。
点击选定接口的编辑按钮,切换到编辑界面。
图1-28 IPv6隧道接口编辑界面
隧道接口的名称、隧道模式都不能修改,只能在创建时指定。
如图1-29所示,通过菜单“网络配置>基础网络>IPv6网络>IPv6隧道”使用该功能。
点击删除按钮,删除选定的接口。
图1-29 IPv6隧道接口删除界面
如图1-30所示,通过菜单“网络配置 > 接口配置 > 隧道接口”使用该功能。
点击选定接口的<编辑>按钮,切换到编辑界面。
在该页内,只能对接口相关的属性进行编辑,如IPv4/IPv6地址,MTU等。
创建一个IPv6手工隧道接口,并设置源接口为ge4,目的地址为100.1.1.10,且给隧道接口配置IP地址为50.1.1.10/24。
(1) 如图1-31所示,通过菜单“网络配置>基础网络>IPv6网络>IPv6隧道”打开显示页面,点击<新建>按钮,配置隧道接口的名称,隧道模式,隧道源,源接口及隧道目的。
(2) 如图1-32所示,点击<提交>按钮后,可以在显示页面中看到我们配置的隧道接口。
(3) 如图1-33所示,给隧道接口配置IP地址,需要转移到接口页面中,通过菜单“网络管理>接口配置>隧道接口”打开显示页面,点击tunnel0接口对应的<编辑>按钮,打开编辑页面。
图1-33 tunnel0接口属性显示页面
(4) 如图1-34所示,给tunnel0接口配置IP地址,点击<提交>按钮提交。
图1-34 tunnel接口属性配置页面
如图1-35所示,通过菜单“网络配置>VPN>IPsec-VPN>IPsec第三方对接>IPsec隧道接口”使用该功能。
点击<新建>按钮,切换到IPsec隧道新建界面。
图1-35 IPsec隧道接口新建界面
表1-12 配置说明
|
配置项 |
说明 |
|
IPsec接口 |
创建时会根据当前tunnel id的使用情况,给一个推荐的可用的tunnel id |
|
IPv4地址 |
隧道接口的IP地址 |
|
IPsec |
设备上的IPsec隧道 |
|
地址项目 |
tunnel口绑定IPsec隧道的同时,可以选择性的配置一个保护网段 该保护网段即为IPsec的感兴趣流,用于第二阶段SA的协商 保护网段(感兴趣流)以地址对象的形式进行配置 |
如图1-36所示,通过菜单“网络配置>VPN>IPsec-VPN> IPsec第三方对接>IPsec隧道接口”使用该功能。
点击选定接口的<编辑>按钮,切换到编辑界面。
图1-36 IPsec隧道接口编辑界面
如图1-37所示,通过菜单“网络配置>VPN>IPsec-VPN> IPsec第三方对接>IPsec隧道接口”使用该功能。
点击<删除>按钮,删除选定的接口。
图1-37 IPsec隧道接口删除界面
如图1-38所示,通过菜单“网络管理>接口配置>隧道接口”使用该功能。
点击选定接口的<编辑>按钮,切换到编辑界面。
图1-38 IPsec隧道接口属性配置
创建一个IPsec隧道接口。由于IPsec 隧道接口的特殊性,需要先创建IKE,然后建IPsec,然后再创建IPsec tunnel。
(1) 如图1-39所示,通过菜单“网络配置>VPN>IPsec-VPN>IPsec第三方对接>IPsec配置”打开IKE列表,点击“新建IKE”,创建一个名为Gateway的IKE。
图1-39 IKE新建页面
(2) 如图1-40所示,点击IPsec显示页面的<新建IPsec>按钮,在弹出的配置页面中创建IPsec。
图1-40 IPsec新建页面
(3) 如图1-41所示,通过菜单“网络配置>VPN>IPsec-VPN>IPsec第三方对接>IPsec隧道接口”打开IPsec隧道显示页面,点击<新建>按钮,切换到IPsec隧道新建界面。
图1-41 IPsec隧道新建界面
(4) 如图1-42所示,点击<提交>按钮后,可以在显示页面看到我们创建的tunnel接口。
图1-42 IPsec隧道接口显示
(5) 其它接口属性,如从属IP地址,接口管理方式,MTU等,需要切换到接口属性配置页面中配置。通过菜单“网络管理>接口配置>隧道接口”实现,同IPv6隧道接口的属性配置。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
