WebUI方式-计算机网络精品课程网.PPT

由上图可见，DCFW-1800系列防火墙的L2 Trust域接口与内部网相连，L2 Untrust域接口与外部网相连。 如果透明模式的放火墙互联交换机接口为track接口，需要防火墙转发标签数据包 。 DCFW-1800(config)# vswitch vswitch1 DCFW-1800(config-vswitch)# forward-tagged-packet 由上图可见，DCFW-1800系列防火墙的L2 Trust域接口与内部网相连，L2 Untrust域接口与外部网相连。 逆向路由功能是指用于转发反向数据的路由。反向是相对于初始化数据流方向。逆向路由功能 仅适用于三层接口。在接口配置模式下，使用以下命令完成逆向路由功能的配置： reverse-route [force | prefer] ? force – 强制逆向路由。如果能找到逆向路由则使用逆向路由转发反向数据；如果找不到 逆向路由则丢弃数据包。默认情况下，三层接口强制逆向路由。 ? prefer – 优先逆向路由。如果能找到逆向路由则使用逆向路由转发反向数据；如果找不 到逆向路由则按原路径返回（即从当前接口转发出去）。 在接口配置模式下，使用no reverse-route 命令取消逆向路由的使用。不使用逆向路由时，所 有反向数据原路返回，不进行逆向路由检查。 注意：如果找到的逆向路由出接口和原入接口不在同一个安全域，设备仍会丢弃数据包 IP路由 讲解人：朱建英 2010、07 通过完成此章节课程，您将可以 - 掌握DCFOS系统架构 - 配置运行模式 - 配置路由 章节目标 议程：IP路由 工作模式及系统架构 路由配置 安全网关支持以下工作模式： 路由应用模式 透明应用模式 混合应用模式 设备工作模式 系统架构图 安全域 在DCFOS中，域是一个逻辑的实体，一个或多个接口可以绑定到域，而被应用了策略规则的域即为安全域。 · 接口绑定到域 · 二层和三层域决定其接口工作在二层模式或者是三层模 式 · DCFOS支持域内部策略规则，比如”从trust到trust的策略 规则“ 接口 接口允许流量进出安全域。因此，为使流量能够流入和流出某个安全域，必须将接口绑定到该安全域，并且如果是三层安全域，还需要为接口配置IP地址。然后，必须配置相应的策略规则，允许流量在不同安全域中的接口之前传输。多个接口可以被绑定到一个安全域，但是一个接口总不能被绑定到多个安全域。 接口类型 逻辑接口类型 描述 BGroup接口 BGroup将多个物理接口组织在一起。每一个BGroup构成一个独立的广播域，数据包可以在BGroup中的接口之间根据MAC地址进行快速转发。BGroup接口为BGroup相对应的接口，与外部代表BGroup进行流量转发。 子接口 子接口的名称是它来源的接口名字的扩展，例如ethernet0/2.1。DCFOS支持以下类型子接口：以太网子接口、集聚子接口、冗余子接口和BGroup子接口。接口和它的子接口可以被绑定到同一个安全域中，也可以被绑定到不同的安全域中。 VSwitch接口 VSwitch接口是三层接口。它代表了VSwitch上所有接口的集合。VSwtich接口相当于实际交换机的上连口，能够实现数据包在二层与三层之间的转发。 VLAN接口 VLAN接口是三层接口。它代表了VLAN内所有以太网接口的集合，只要有一个以太网接口处于UP状态，该VLAN接口就处于UP状态。VLAN接口是VLAN内所有设备对外通信的出口，通常情况下，VLAN接口的IP地址为VLAN内网络设备的网关地址。 回环接口 回环接口是逻辑接口，并且只要回环接口所在的安全设备处于工作状态，回环接口就一直处于工作状态。因此，回环接口具有稳定的特性。 隧道接口 隧道接口充当VPN通道的入口。流量通过隧道接口进出VPN通道。隧道接口只能是三层接口。 集聚接口 集聚接口是物理接口的集合，一个集聚可以包含1到4个物理接口。这些物理接口平均分担通过集聚接口流量。因此集聚接口可以提高单个IP地址的可用带宽。如果集聚接口中的一个物理接口出现故障，不能工作，其它接口可以继续处理流量，只是可使用的带宽变小了。 冗余接口 冗余接口能够实现两个物理接口的备份。一个物理接口为主接口处理流向该冗余接口的流量。另外一个接口作为备用接口在主接口发生故障时继续处理流量。 绑定关系 接口、安全域、Vswitch和VRouter之间的关系 · 接口绑定到安全域。绑定到二层安全域的接口为二层接口，绑定到 三层安全域的接口为三层接口。 · 安全域绑定到VS