接口
背景信息
在防火墙上配置网口,使其接入到有线网络中。配置的接口必须与安装连线时选用的网络接口相匹配。
- 设备上线前若对接口进行了配置,且上线后该接口为上行接口,设备上线后为避免下发到上行接口上的配置失败,会对该接口进行配置修复,该接口下的配置将丢失。
- 为防止配置丢失,可以待设备直接上线之后再做接口的配置。
- 设备上线后,直接在设备上通过命令行配置上行口,华为乾坤云平台无法感知到此接口的配置变化,需要设备重新启动或者重新上线,云管理网络页面才可以刷新展示并设置上行口。
操作步骤
- 在站点配置页面,选择左侧导航栏的“设备配置 > 防火墙 > 设备列表”。
- 选择目标设备,单击“设备名称”或
按钮进入设备配置页面,选择“接口”页签。 - 在接口面板选中目标接口,根据表 防火墙接口参数说明进行配置,完成后单击“应用”。
表1 防火墙接口参数说明 参数名称
说明
接口名称
选中的目标接口编号
开启/关闭
用于开启/关闭该网口。如果设置为“关闭”,则该网口将不可用,请慎重操作。
链路类型
根据该网口实际连线场景来选取。
- Access:链路类型为Access的接口只能属于指定VLAN,接收和发送本VLAN内的报文。一般用于直连网络终端设备(例如PC等)。
- Trunk:链路类型为Trunk的接口可以同时属于多个VLAN,可以接收和发送多个VLAN的报文。一般用于连接数通设备(例如交换机、路由器等)。
说明:由于设备所有的接口都缺省加入VLAN1,因此当网络中存在VLAN1的未知单播、组播或者广播报文时,可能会引起广播风暴。对于不需要加入VLAN1的接口及时退出VLAN1,避免环路。
VLAN ID
当“链路类型”为“Access”时需要配置此参数。
将接口加入VLAN,以统一方式处理Access接口收到的报文。
- 对于Untagged报文,自动打上VLAN ID作为Tag并允许通过。
- 对于带Tag的报文,如果Tag中的VLAN ID与接口的VLAN ID相同,则允许通过。否则丢弃该报文。
缺省VLAN
当“链路类型”为“Trunk”时需要配置此参数。
将接口加入VLAN,以统一方式处理Trunk接口收到的报文。
- 对于不带Tag的报文,自动打上缺省VLAN作为Tag。如果缺省VLAN在“允许通过的VLAN”中,则允许通过。否则丢弃该报文。
- 对于带Tag的报文,如果Tag中的VLAN ID在“允许通过的VLAN”中,则允许通过。否则丢弃该报文。
- 允许通过的VLAN应包含需要通过该接口所有报文所属VLAN ID。
允许通过的VLAN
高级
接口速率
- 自协商:用于该网口与直连的另一设备的网口之间自动协商双工模式和接口速率,使数据传输能力达到双方都支持的最大值。如果对端网口所属设备不支持自协商,或者自协商机制与本端不一致,可以将两端网口均设置为非自协商模式,并将双方的接口速率和双工模式强制配置为一致。
- 手工设置:当自协商关闭时,通过该网口传输数据所支持的最大速率。非自协商模式下可手工调整。
说明:数据传输速率还受到网线能力约束。如果双方接口速率一致,但网线不支持该传输速率,仍将导致链路两端接口无法正常工作。因此推荐使用超五类线,以避免出现该问题。如果网线问题无法解决,则建议在网线两端的接口上分别选用非自协商模式,按实际传输能力手工设置传输速率。
双工模式
- 当“接口速率”开启自协商:
接口速率默认为1Gbps,双工模式为全双工;均不可修改。
- 当“接口速率”关闭自协商:
- 接口速率为1Gbps时,双工模式为全双工,不可修改。
- 接口速率为100Mbps或者10Mbps时,双工模式缺省为全双工,可修改。
链路对端网口必须同样设置为全双工,以免引起报文丢失。
管理VLAN自协商
(仅Trunk口和Hybrid口)是否在当前端口上使能管理VLAN自协商功能,缺省为“ON”。
安全域
缺省为trust,可选择或创建其他域。
- (可选)设置/取消上行口。
缺省时,防火墙默认所有的接口均为下行物理口。
- 设置上行口。选择目标接口,单击“设置上行口”,再进行详细接口配置,具体配置参考表 防火墙接口参数说明,单击“应用”。设置成功后的上行口会显示为
。 - 取消上行口。选中目标接口,单击“取消上行口”,单击“应用”。
- 设置上行口。选择目标接口,单击“设置上行口”,再进行详细接口配置,具体配置参考表 防火墙接口参数说明,单击“应用”。设置成功后的上行口会显示为
- (可选)聚合/拆分接口。
- 将以太网接口聚合成Eth-Trunk接口。
- 在接口面板选中需要加入Eth-Trunk的接口,单击“聚合”。
- 聚合成功后,在“接口配置”区域,接口名称会显示为Eth-Trunk接口,此时可设置编号。
- 聚合成功后,设备面板上该Eth-Trunk接口的所有成员接口上会显示聚合状态图标
,后续可通过单击该图标对Eth-Trunk接口进行修改。 - 在“接口配置”区域,可以进一步设置聚合接口参数,参数说明如表 防火墙接口参数说明所示。
- 每个Eth-Trunk接口最多只能拥有8个成员接口。
- 只有当设备上线之后,才允许配置接口聚合。
- 防火墙不支持Eth-Trunk自协商。当防火墙与交换机通过Eth-Trunk接口互联时,需要手动配置防火墙和交换机的Eth-Trunk接口。
- 在配置链路聚合时,请先将下行交换机的端口加入Eth-Trunk,再将上行防火墙的对应端口加入Eth-Trunk。
- 防火墙仅支持手工模式,因此交换机也必须配置手工模式。
- 拆分Eth-Trunk接口。选中Eth-Trunk接口,单击“拆分”即可。当接口退出Eth-Trunk接口,依然还继承Eth-Trunk接口的配置。
- 将以太网接口聚合成Eth-Trunk接口。
- 查看设备侧接口配置结果。在设备配置页面,选择“配置结果”页签,可查看该设备的配置详情。
补充说明
不同端口类型以及端口工作模式下,“自协商”、“接口速率”、“双工模式”参数支持情况不同,请参考表2。
表格中Y表示支持配置该参数,N表示不支持配置该参数。
端口类型 |
速率 |
全双工/半双工 |
|||||||||
10M |
100M |
1G |
2.5G |
5G |
10G |
25G |
自协商 |
10M |
100M |
1G/2.5G/5G/10G/25G |
|
1G电口 |
Y |
Y |
Y |
N |
N |
N |
N |
Y |
Y/Y |
Y/Y |
Y/N |
1G光口 |
插光电模块支持 |
Y |
Y |
N |
N |
N |
N |
Y |
插光电模块支持/插光电模块支持 |
Y/插光电模块支持 |
Y/N |
combo口 |
工作在电模式支持 |
Y |
Y |
N |
N |
N |
N |
Y |
工作在电模式支持/工作在电模式支持 |
Y/工作在电模式支持 |
Y/N |
40G光口 |
N |
N |
N |
N |
N |
N |
N |
N |
N/N |
N/N |
N/N |
100G光口 |
N |
N |
N |
N |
N |
N |
N |
N |
N/N |
N/N |
N/N |
XGE光口 |
N |
N |
插光电模块支持/1G光模块支持 |
N |
N |
Y |
N |
N |
N/N |
N/N |
Y/N |
