Quidway Eudemon以太网接口配置.docx
《Quidway Eudemon以太网接口配置.docx》由会员分享,可在线阅读,更多相关《Quidway Eudemon以太网接口配置.docx(11页珍藏版)》请在冰豆网上搜索。
QuidwayEudemon以太网接口配置
目录
2以太网接口配置2-1
2.1以太网接口简介2-2
2.2配置以太网接口2-2
2.2.1建立配置任务2-2
2.2.2配置接口IP地址2-3
2.2.3配置接口静态ARP映射项2-3
2.2.4配置接口MTU2-3
2.2.5配置接口速率2-3
2.2.6配置接口双工模式2-4
2.2.7配置接口的环回方式2-4
2.2.8检查配置结果2-5
2.3维护以太网接口2-5
2.4以太网接口配置示例2-5
2.5故障处理2-8
插图目录
图2-1以太网典型配置2-6
表格目录
表2-1检查以太网接口配置结果2-5
表2-2维护以太网接口相关操作2-5
2以太网接口配置
关于本章
本章描述内容如下表所示。
标题
内容
2.1以太网接口简介
介绍以太网接口的分类。
2.2配置以太网接口
介绍以太网接口的配置方法。
2.3维护以太网接口
介绍以太网接口的维护方法。
2.4以太网接口配置示例
介绍以太网接口相关的组网举例。
2.5故障处理
介绍以太网接口的故障排除方法。
2.1以太网接口简介
LAN(LocalAreaNetwork)主要有以太网、令牌环网等类型。
其中以太网以其高度灵活、相对简单、易于实现的特点,成为当今最重要的一种局域网组网技术。
目前Eudemon支持的LAN接口为以太网接口,包括如下三种:
●传统以太网接口
符合10Base-T物理层规范,工作速率为10Mbit/s,有全双工和半双工两种工作方式。
●快速以太网(FastEthernet)接口
符合100Base-TX物理层规范,兼容10Base-T物理层规范,可以在10Mbit/s、100Mbit/s两种速率下工作,有半双工和全双工两种工作方式。
它具有自动协商模式,可以与其他网络设备协商确定工作方式和速率,自动选择最合适的工作方式和速率,从而可以简化系统的配置和管理。
●千兆以太网(GigabitEthernet)接口
符合1000Base-T物理层规范,可以工作在1000Mbit/s速率、全双工工作方式下。
千兆以太网接口能够工作在自动协商模式下,可以用于协商流控。
由于传统以太网接口的配置与快速以太网接口和千兆以太网接口的配置基本相同,但前者配置简单,配置项较少。
因此本章主要介绍快速以太网接口的配置。
2.2配置以太网接口
2.2.1建立配置任务
应用环境
当通过以太网承载报文数据时,需要配置以太网接口。
除接口IP地址以外,接口其它配置参数都有缺省值,可以保证系统在大多数情况下能够正常工作,因此建议不要启用。
若需要改变,应注意与对端设备保持一致。
前置任务
无
数据准备
在配置以太网接口之前,需准备以下数据:
●接口编号
●接口IP地址和掩码地址
●接口MTU
●接口工作速率
●接口双工模式
2.2.2配置接口IP地址
具体配置方法请参见“7IP地址配置”中的相关内容。
2.2.3配置接口静态ARP映射项
一般情况下,IP地址和以太网MAC地址间的映射通过ARP协议动态建立。
但在一些特殊情况下,如需要过滤掉一些非法IP地址,可以把这些地址绑定为某不存在的MAC地址,此时就需要用户手动配置静态ARP表中的映射项。
配置接口静态ARP映射项,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令arpstaticip-addressmac-address,添加静态ARP映射项。
静态ARP映射项在Eudemon防火墙正常工作时间中一直有效,而动态ARP映射项的有效时间为20min。
----结束
2.2.4配置接口MTU
Eudemon的以太网接口可以同时接收Ethernet_II和Ethernet_SNAP格式的数据帧,但发送数据帧的格式只能选择Ethernet_II。
不同链路层封装格式的MTU取值范围和缺省值不同:
●采用Ethernet_II帧格式时,ethernet-mtu取值范围为328byte~1500byte,缺省值为1500byte。
●采用Ethernet_SNAP帧格式时,ethernet-mtu的取值范围为328byte~1492byte,缺省值为1492byte。
配置接口MTU,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令interfaceethernetinterface-number,进入以太网接口视图。
步骤3执行命令mtuethernet-mtu,配置MTU。
----结束
2.2.5配置接口速率
配置接口速率,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令interfaceethernetinterface-number,进入以太网接口视图。
步骤3执行命令speed{negotiation|100|10},选择快速以太网接口的工作速率。
各接口的工作速率如下:
●快速以太网电接口支持10Mbit/s、100Mbit/s两种速率。
●FE光接口只支持100Mbit/s。
●GE电接口支持10Mbit/s、100Mbit/s、1000Mbit/s三种速率。
●GE光接口只能为1000Mbit/s速率。
因此,只需对以太网电接口进行配置,而光接口不需要配置。
指定的速率值应与实际所连接网络和对端设备接口的速率相同。
----结束
2.2.6配置接口双工模式
配置接口双工模式,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令interfaceethernetinterface-number,进入以太网接口视图。
步骤3执行命令duplex{negotiation|full|half},配置接口双工模式。
配置时请注意:
●传统以太网接口和快速以太网接口可以工作在全双工和半双工两种模式下,但需要和对端设备的模式保持相同。
当传统以太网接口和快速以太网接口与Hub相连时,由于Hub只能工作在半双工方式下,应选择接口的双工模式为半双工方式;当与交换式LANSwitch相连时,可以根据LANSwitch的双工模式选择以太网接口的双工模式。
●千兆以太网接口只能工作在全双工模式下,无需选择双工模式。
----结束
2.2.7配置接口的环回方式
环回用于对接口本身进行测试。
接口正常工作时,应禁止环回。
配置接口的环回方式,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令interfaceethernetinterface-number,进入以太网接口视图。
步骤3执行命令loopback,允许对内自环。
----结束
2.2.8检查配置结果
检查以太网接口配置结果相关操作如表2-1所示。
表2-1检查以太网接口配置结果
操作
命令
查看指定以太网接口的状态
displayinterfaceethernet[interface-number]
2.3维护以太网接口
打开调试开关将影响系统的性能。
调试完毕后,应及时执行undodebuggingall命令关闭调试开关。
维护以太网接口相关操作如表2-2所示。
表2-1维护以太网接口相关操作
操作
命令
调试以太网报文
debuggingethernetpacket[interfaceinterface-typeinterface-number]
2.4以太网接口配置示例
组网需求
如图2-1所示,Eudemon防火墙和路由器Router之间通过以太网口连接,同时,Eudemon连接IP网络10.10.10.0/24,Router连接到网络202.38.2.0/24。
图2-1以太网典型配置
配置思路
采用如下思路配置以太网接口:
●配置Eudemon
●配置Router
配置步骤
配置以太网接口,需要进行如下操作。
步骤1配置Eudemon。
#进入系统视图。
system-view
#进入Ethernet2/0/0视图。
[Eudemon]interfaceethernet2/0/0
#配置Ethernet2/0/0的MTU。
[Eudemon-Ethernet2/0/0]mtu1492
#配置Ethernet2/0/0的描述信息。
[Eudemon-Ethernet2/0/0]descriptionEudemon
#配置Ethernet2/0/0的IP地址。
[Eudemon-Ethernet2/0/0]ipaddress20.20.20.1255.255.255.0
#快速启动接口。
[Eudemon-Ethernet2/0/0]shutdown
[Eudemon-Ethernet2/0/0]undoshutdown
#退回系统视图。
[Eudemon-Ethernet2/0/0]quit
#配置防火墙的静态路由。
[Eudemon]iproute-static202.38.2.02420.20.20.2
#进入Untrust区域视图。
[Eudemon]firewallzoneuntrust
#配置Ethernet2/0/0加入Untrust区域。
[Eudemon-zone-untrust]addinterfaceEthernet2/0/0
#退回系统视图。
[Eudemon-zone-untrust]quit
#进入Trust区域。
[Eudemon]firewallzonetrust
#配置接口Ethernet1/0/0加入Trust区域。
[Eudemon-zone-trust]addinterfaceEthernet1/0/0
#退回系统视图。
[Eudemon-zone-trust]quit
#配置Trust区域和Untrust区域的域间缺省包过滤规则。
[Eudemon]firewallpacket-filterdefaultpermitinterzonetrustuntrust
步骤2配置Router
#进入系统视图。
system-view
#进入Ethernet2/0/0视图。
[Router]interfaceethernet2/0/0
#配置Ethernet2/0/0的MTU。
[Router-Ethernet2/0/0]mtu1492
#配置Ethernet2/0/0的描述信息。
[Router-Ethernet2/0/0]descriptionRouter
#配置Ethernet2/0/0的IP地址。
[Router-Ethernet2/0/0]ipaddress20.20.20.2255.255.255.0
#快速启动接口。
[Router-Ethernet2/0/0]shutdown
[Router-Ethernet2/0/0]undoshutdown
#退回系统视图。
[Router-Ethernet2/0/0]quit
#配置路由器上的静态路由。
[Router]iproute-static10.10.10.02420.20.20.1
步骤3检查配置结果
配置完成之后,可采用如下方法来判别以太网接口工作是否正常:
●在业务数据量较小时,从防火墙的以太网接口ping向路由器的以太网接口,观察是否能够返回全部报文。
正常为正确返回全部报文。
●查看防火墙的统计信息,观察接收到错误帧的统计数字是否保持不变。
正常为接收到错误帧的统计数字保持不变。
查看各防火墙上的接口状态,物理状态和协议状态都应该为Up。
以防火墙的显示为例。
displayipinterfacebrief
*down:
administrativelydown
(l):
loopback
(s):
spoofing
InterfaceIPAddressPhysicalProtocolDescription
Ethernet2/0/020.20.20.1upupEudemon
Ethernet1/0/010.10.10.10upupEudemon
----结束
2.5故障处理
故障判别
测试方法如下:
●从位于同一局域网内的主机ping向防火墙网络设备的以太网接口,观察是否能够正确返回全部报文。
●查看连接双方,如防火墙和LANSwitch的统计信息,观察接收到的错误帧的统计数字是否快速增加。
如果这两项测试中有一项不能通过,就可以确定该网络设备的以太网接口或其连接的以太网存在故障。
故障排查
故障排查,需要进行如下操作。
步骤1查看局域网连接。
若使用Hub或LANSwitch连接以太网,需要确认Hub或LANSwitch连接(link)指示灯的亮灭状态。
如果均为亮,则表明局域网物理连接上是正常的;如果均为灭,则需要更换网卡、网线或防火墙接口模块等物理设备。
在使用非屏蔽双绞线连接以太网,且连接双方中至少有一方支持100Base-TX的情况下,还需考虑速率匹配问题。
如果双方的工作速率配置不匹配,即一方工作于100Mbit/s模式,而另一方工作于10Mbit/s模式,则配置为100Mbit/s的一方显示没有连接,配置为10Mbit/s的一方显示连接建立,物理层活动(Activity)指示灯持续快速闪烁,但不能正常收发。
步骤2查看IP地址。
主机和该网络设备的以太网接口的IP地址是否位于同一子网内,如果不在同一子网内,请重新配置IP地址。
步骤3查看链路层协议。
两台以太网设备之间只有采用相同的一种链路层协议连接时,才能可靠地通信。
Eudemon的以太网接口可以同时接收Ethernet_II和Ethernet_SNAP格式的数据帧,但发送数据帧的格式只能选择Ethernet_II。
因此请确认防火墙的数据帧发送格式与同一以太网上其它主机的数据帧接收格式是否相同。
当协议不匹配时,故障现象为线路及接口物理上正常,但ping不通。
步骤4查看工作方式。
如果连接双方的工作模式不匹配,即连接的一方工作于全双工方式而另一方工作于半双工方式,则网络流量增大时,配置为半双工工作方式的一侧显示网络冲突频繁,配置为全双工工作方式的一侧则显示接收了大量的错误报文,同时伴有双方报文丢弃严重的现象。
可用displayinterfaceethernet命令查看以太网接口收发报文的错误率,也可以通过以太网接口状态指示灯观察到冲突现象。
----结束
升级会员 