逻辑接口介绍

接口（Interfaces）介绍
接口允许流量进出安全域。因此，为使流量能够流入和流出某个安全域，必须将接口绑定到该
安全域，并且，如果是三层安全域，还需要为接口配置 IP 地址。然后，必须配置相应的策略规则，
允许流量在不同安全域中的接口之间传输。多个接口可以被绑定到一个安全域，但是一个接口不能
被绑定到多个安全域。
接口类型
安全网关设备具有多种类型接口，根据性质的不同，分为物理接口和逻辑接口。
♦ 物理接口：安全设备上的每一个以太网接口都表示一个物理接口。物理接口的名称是预先
定义的，由媒体类型、插槽号和位置参数组成，例如 ethernet2/1 或 ethernet0/2。
♦ 逻辑接口：DCFOS 的逻辑接口包括BGroup 接口、子接口、VSwitch 接口、VLAN 接口、
回环接口、隧道接口、集聚接口和冗余接口。
根据接口所处安全域的不同，接口还可以分为二层接口和三层接口。
♦ 二层接口：属于二层域、 BGroup 以及 VLAN 的接口均为二层接口。
♦ 三层接口：属于三层域的接口为三层接口。只有三层接口可以在 NAT/路由模式下工作。
不同类型的接口在安全网关中具有不同的功能。表 8-1 列出各种逻辑接口的描述：
表 8-1：逻辑接口类型及描述
逻辑接口类型 描述
BGroup 接口BGroup 将多个物理接口组织在一起。每一个 BGroup 构成一个独立的广播域，
数据包可以在BGroup 中的接口之间根据 MAC 地址进行快速转发。 BGroup 接
口为BGroup 相对应的接口，与外部代表 BGroup 进行流量转发。
子接口 子接口的名称是它来源的接口名字的扩展，例如 ethernet0/2.1。DCFOS 支持
以下类型子接口：以太网子接口、集聚子接口和冗余子接口。接口和它的子接口
可以被绑定到同一个安全域中，也可以被绑定到不同的安全域中。
VSwitch 接口 VSwitch 接口是三层接口。它代表了 VSwitch 上所有接口的集合。 VSwtich 接
口相当于实际交换机的上连口，能够实现数据包在二层与三层之间的转发。
VLAN 接口 VLAN 接口是三层接口。它代表了 VLAN 内所有以太网接口的集合，只要有一个
以太网接口处于UP 状态，该VLAN 接口就处于UP 状态。VLAN 接口是VLAN
内所有设备对外通信的出口，通常情况下， VLAN 接口的 IP 地址为 VLAN 内网
络设备的网关地址。
回环接口 回环接口是逻辑接口，并且只要回环接口所在的安全设备处于工作状态，回环接
口就一直处于工作状态。因此，回环接口具有稳定的特性。

逻辑接口类型 描述
隧道接口 隧道接口充当 VPN 通道的入口。流量通过隧道接口进出 VPN 通道。隧道接口只
能是三层接口。
集聚接口 集聚接口是物理接口的集合，一个集聚可以包含 1 到 4 个物理接口。这些物理接
口平均分担通过集聚接口流量。因此集聚接口可以提高单个 IP 地址的可用带宽。
如果集聚接口中的一个物理接口出现故障，不能工作，其它接口可以继续处理流
量，只是可使用的带宽变小了。
冗余接口 冗余接口能够实现两个物理接口的备份。一个物理接口为主接口处理流向该冗余
接口的流量。另外一个接口作为备用接口在主接口发生故障时继续处理流量。
接口关系
安全网关有以上众多类型的接口，它们之间是有内在关系的。图 8-1 描绘了冗余接口和集聚接
口与其各自子接口的关系，而图 8-2 描绘了 VSwitch 接口与其它二层接口的关系。图中使用虚线
边框的接口表示可以有多个。
图 8-1：冗余接口和集聚接口关系图解

如图8-1 所示，对于冗余接口（Red IF），两个物理接口（PHY IF）绑定到一个冗余接口，基
于该冗余接口，用户可以创建冗余子接口（Red SubIF）。对于集聚接口（Agg IF），最多四个物
理接口绑定到一个集聚接口，基于该集聚接口，用户可以创建集聚子接口（Agg SubIF）。

 

如图8-2 所示，VSwitch 接口代表了VSwitch 上的所有接口的集合。数据包通过 VSwitch接口（VSwitch IF），实现二层与三层之间的转发。

 

 

 

Vswitch、vlan和三层域之间是“平等”关系：

Vswitch、vlan和三层域都配置好IP后，它们之间就可以实现数据转发了。