锐捷防火墙(WEB)—— 接口—端口聚合配置、IP-MAC地址绑定、软交换配置
你可知这世上再难遇我 2024-06-15 15:03:04 阅读 87
目录
Ⅰ 端口聚合配置
Ⅱ IP-MAC地址绑定
Ⅲ 软交换配置
Ⅰ 端口聚合配置
一、端口聚合(LACP)应用场景
该功能高端设备上支持,S3100,S3600型号不支持。
1、在带宽比较紧张的情况下,可以通过逻辑聚合可以扩展带宽到原链路的n倍
2、在需要对链路进行动态备份的情况下,可以通过配置链路聚合实现同一聚合组各个成员端口之间彼此动态备份。
二、端口聚合(LACP)模式
LACP的端口可以支持如下几种模式:static(静态),passive,和active
静态:人为配置的聚合组,不允许系统自动添加或删除手工或静态聚合端口。
passive:被动模式,该模式下端口不会主动发送LACPDU报文,在接收到对端发送的LACP报文后,该端口进入协议计算状态。
Active:主动模式,该模式下端口会主动向对端发送LACPDU报文,进行LACP协议的计算。
一般建议对接的2台设备一边为active,另一边为 passive。
三、端口聚合(LACP)配置
步骤一、添加聚合口
配置页面: 系统管理>>网络>>接口>>新建
类型选择:802.3ad汇聚;选择物理接口成员;
P5以上版本默认是静态无需执行下面步骤,可以跳过。如果是P5以下版本默认是动态,请执行以下步骤【建议升级最新版本可web更改模式】:
步骤二、修改LACP
RG-WALL # config system interface
RG-WALL (interface) # edit lacp
RG-WALL (lacp) # set lacp-mode static //配置LACP协商模式: 主动,被动或者静态,默认为动态
RG-WALL (lacp) # set algorithm L3 //负载均衡算法。L3 基于IP地址进行哈希,L4 基于四层进行哈希。
RG-WALL (lacp) # end
配置完成后查看配置聚合口配置,接口配置页面查看建立的软交换口
说明:对应的物理口在WEB/CLI界面上将消失,不可配置;
查看命令
RG-WALL # show system interface lacp
config system interface
edit "lacp"
set vdom "root"
set type aggregate
set member "port13" "port14"
set description " "
set snmp-index 51
set lacp-mode static
set algorithm L3
next
end
说明:以上查看的配置命令,既是命令行下配置的逻辑和参考
四、查看LACP接口状态
RG-WALL # diagnose netlink aggregate list
List of 802.3ad link aggregation interfaces:
1 name lacp status up algorithm L3 lacp-mode static
RG-WALL # diagnose netlink aggregate name lacp
LACP flags: (A|P)(S|F)(A|I)(I|O)(E|D)(E|D)
(A|P) - LACP mode is Active or Passive
(S|F) - LACP speed is Slow or Fast
(A|I) - Aggregatable or Individual
(I|O) - Port In sync or Out of sync
(E|D) - Frame collection is Enabled or Disabled
(E|D) - Frame distribution is Enabled or Disabled
status: up
npu: y
flush: n
asic helper: y
oid: 135
ports: 2
ha: master
distribution algorithm: L4
LACP mode: active
LACP speed: slow
LACP HA: enable
aggregator ID: 1
actor key: 17
actor MAC address: 14:14:4b:7e:e1:69
partner key: 17
partner MAC address: 14:14:4b:7e:e1:67
slave: port13
link status: up
link failure count: 0
permanent MAC addr: 14:14:4b:7e:e1:69
LACP state: established
actor state: ASAIEE //本端状态
actor port number/key/priority: 1 17 255
partner state: ASAIEE //对端状态
partner port number/key/priority: 1 17 255
partner system: 65535 14:14:4b:7e:e1:67
aggregator ID: 1
speed/duplex: 1000 1
RX state: CURRENT 6
MUX state: COLLECTING_DISTRIBUTING 4
slave: port14
link status: up
link failure count: 0
permanent MAC addr: 14:14:4b:7e:e1:68
LACP state: established
actor state: ASAIEE
actor port number/key/priority: 2 17 255
partner state: ASAIEE
partner port number/key/priority: 2 17 255
partner system: 65535 14:14:4b:7e:e1:67
aggregator ID: 1
speed/duplex: 1000 1
RX state: CURRENT 6
MUX state: COLLECTING_DISTRIBUTING 4
Ⅱ IP-MAC地址绑定
功能说明
关于配置IP-MAC地址的绑定,防火期防火墙支持如下2种功能(透明或者路由模式均支持):
1、 简单的静态MAC-IP绑定,仅用于配置系统的ARP表项。
2、基于防火墙的MAC-IP绑定,列表之外的MAC会被防护墙拒绝访问。
一、系统MAC/IP地址绑定
说明:P3版本支持web界面配置IP+MAC绑定
说明:P3之前版本仅支持命令行配置
步骤一、配置命令如下
RG-WALL #config system arp-table
RG-WALL (arp-table) # edit 1
RG-WALL (1) #set interface internal //指定接口(路由模式或者VDOM为路由模式时需这条命令;透明模式或者VDOM为透明模式时,无需该命令)
RG-WALL (1) #set ip 192.168.1.111 //指定IP地址
RG-WALL (1) #set mac 00:00:00:11:11:11 //指定MAC地址
RG-WALL (1) #next
RG-WALL (arp-table) #end
步骤二、查看当前防火墙ARP表
RG-WALL # get sys arp
Address Age(min) Hardware Addr Interface
192.168.1.111 - 00:00:00:11:11:11 internal
二、基于防火墙的MAC/IP绑定
步骤一、binding参数设置
RG-WALL #config firewall ipmacbinding setting
RG-WALL (setting) #set bindthroughfw enable //开启对需要通过防火墙的数据的过滤,指要匹配策略进行转发的数据。默认diable
RG-WALL (setting) #set bindtofw enable //开启对需要到达防火墙的数据的过滤,指对防火墙本身的访问。默认disable。
RG-WALL (setting) #set undefinedhost block //对不在ipmac表中的MAC采用的动作(默认block,拒绝)
RG-WALL (setting) #end
步骤二、设置ipmac表
RG-WALL # config firewall ipmacbinding table
RG-WALL (table) #edit 1
RG-WALL (1) #set ip 192.168.1.1 //设置绑定IP
RG-WALL (1) #set mac 00:31:cd:4c:5d:6e //设置绑定MAC
RG-WALL (1) #set name "test" //设置绑定条目的名称
RG-WALL (1) #set status enable //状态设置为启用
RG-WALL (1) #next
RG-WALL (table) #end
步骤三、接口下启用该功能
RG-WALL #config system interface
RG-WALL (interface)#edit internal //进入需控制的接口
RG-WALL (internal)#set ipmac enable //状态设置为启用
RG-WALL (internal)#end
三、功能验证
在防火墙上采用diagnose debug flow查看拒绝log信息;
需要通过防火墙的数据:
RGFW # id=13 trace_id=1 msg="vd-root received a packet(proto=1, 192.168.1.168:1->8.8.8.8:8) from internal. code=8, type="
id=13 trace_id=1 msg="allocate a new session-000a5db6"
id=13 trace_id=1 msg="find a route: flags=00000000 gw-192.168.118.1 via wan1"
id=13 trace_id=1 msg="HWaddr-f0:de:f1:0f:85:c2 is in black list, drop" // IPMAC表中没有f0:de:f1:0f:85:c2记录,被拒绝
到达防火墙的数据:
RGFW # id=13 trace_id=11 msg="vd-root received a packet(proto=1, 192.168.1.168:1->192.168.1.200:8) from internal. code=8,"
id=13 trace_id=11 msg="allocate a new session-000a5f04"
id=13 trace_id=11 msg="HWaddr-f0:de:f1:0f:85:c2 is in black list, drop" // IPMAC表中没有f0:de:f1:0f:85:c2记录,被拒绝
Ⅲ 软交换配置
一、功能说明
软交换口是将防火墙的多个3层接口,通过软件的方式,组成一个2层交换接口。 如对于X9300的每个口都为3层路由接口,将port1,port2组成软件交换接口。
二、功能配置
步骤一、添加聚合口
配置页面: 系统管理>>网络>>接口>>新建
类型选择:software switch;选择物理接口成员;
步骤二、查看软交换
接口配置页面查看建立的软交换口
同时,使用show full system switch-interface 查看配置信息
RG-WALL # show full system switch-interface
config system switch-interface
edit "SW1"
set vdom "root"
set member "internal1" "internal2"
set type switch
set span disable
next
end
说明:以上查看的配置命令,既是命令行下配置的逻辑和参考
三、功能限制
1、软交换口是通过软件的方式模拟出的,需要由CPU处理,无法被ASIC芯片加速,会影响系统的性能,谨慎使用;
2、M5100不支持软交换配置;
本文标签
声明
本文内容仅代表作者观点,或转载于其他网站,本站不以此文作为商业用途
如有涉及侵权,请联系本站进行删除
转载本站原创文章,请注明来源及作者。