Quidway Eudemon以太网接口配置.doc

Quidway Eudemon 300/500/1000配置指南 网际互联分册表格目录目 录2 以太网接口配置2-12.1 以太网接口简介2-22.2 配置以太网接口2-22.2.1 建立配置任务2-22.2.2 配置接口IP地址2-32.2.3 配置接口静态ARP映射项2-32.2.4 配置接口MTU2-32.2.5 配置接口速率2-32.2.6 配置接口双工模式2-42.2.7 配置接口的环回方式2-42.2.8 检查配置结果2-52.3 维护以太网接口2-52.4 以太网接口配置示例2-52.5 故障处理2-8文档版本 03 (2007-12-15)华为技术有限公司v插图目录图2-1 以太网典型配置2-6表格目录表2-1 检查以太网接口配置结果2-5表2-2 维护以太网接口相关操作2-5Quidway Eudemon 300/500/1000配置指南 网际互联分册2 以太网接口配置2 以太网接口配置关于本章本章描述内容如下表所示。标题内容2.1 以太网接口简介介绍以太网接口的分类。2.2 配置以太网接口介绍以太网接口的配置方法。2.3 维护以太网接口介绍以太网接口的维护方法。2.4 以太网接口配置示例介绍以太网接口相关的组网举例。2.5 故障处理介绍以太网接口的故障排除方法。2.1 以太网接口简介LAN（Local Area Network）主要有以太网、令牌环网等类型。其中以太网以其高度灵活、相对简单、易于实现的特点，成为当今最重要的一种局域网组网技术。目前Eudemon支持的LAN接口为以太网接口，包括如下三种：l 传统以太网接口符合10Base-T物理层规范，工作速率为10Mbit/s，有全双工和半双工两种工作方式。l 快速以太网（Fast Ethernet）接口符合100Base-TX物理层规范，兼容10Base-T物理层规范，可以在10Mbit/s、100Mbit/s两种速率下工作，有半双工和全双工两种工作方式。它具有自动协商模式，可以与其他网络设备协商确定工作方式和速率，自动选择最合适的工作方式和速率，从而可以简化系统的配置和管理。l 千兆以太网（Gigabit Ethernet）接口符合1000Base-T物理层规范，可以工作在1000Mbit/s速率、全双工工作方式下。千兆以太网接口能够工作在自动协商模式下，可以用于协商流控。由于传统以太网接口的配置与快速以太网接口和千兆以太网接口的配置基本相同，但前者配置简单，配置项较少。因此本章主要介绍快速以太网接口的配置。2.2 配置以太网接口2.2.1 建立配置任务应用环境当通过以太网承载报文数据时，需要配置以太网接口。除接口IP地址以外，接口其它配置参数都有缺省值，可以保证系统在大多数情况下能够正常工作，因此建议不要启用。若需要改变，应注意与对端设备保持一致。前置任务无数据准备在配置以太网接口之前，需准备以下数据：l 接口编号l 接口IP地址和掩码地址l 接口MTUl 接口工作速率l 接口双工模式2.2.2 配置接口IP地址具体配置方法请参见“7 IP地址配置”中的相关内容。2.2.3 配置接口静态ARP映射项一般情况下，IP地址和以太网MAC地址间的映射通过ARP协议动态建立。但在一些特殊情况下，如需要过滤掉一些非法IP地址，可以把这些地址绑定为某不存在的MAC地址，此时就需要用户手动配置静态ARP表中的映射项。配置接口静态ARP映射项，需要进行如下操作。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令arp static ip-address mac-address，添加静态ARP映射项。静态ARP映射项在Eudemon防火墙正常工作时间中一直有效，而动态ARP映射项的有效时间为20min。-结束2.2.4 配置接口MTUEudemon的以太网接口可以同时接收Ethernet_II和Ethernet_SNAP格式的数据帧，但发送数据帧的格式只能选择Ethernet_II。不同链路层封装格式的MTU取值范围和缺省值不同：l 采用Ethernet_II帧格式时，ethernet-mtu取值范围为328byte1500byte，缺省值为1500byte。l 采用Ethernet_SNAP帧格式时，ethernet-mtu的取值范围为328byte1492byte，缺省值为1492byte。配置接口MTU，需要进行如下操作。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令interface ethernet interface-number，进入以太网接口视图。步骤 3 执行命令mtu ethernet-mtu，配置MTU。-结束2.2.5 配置接口速率配置接口速率，需要进行如下操作。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令interface ethernet interface-number，进入以太网接口视图。步骤 3 执行命令speed negotiation | 100 | 10 ，选择快速以太网接口的工作速率。各接口的工作速率如下：l 快速以太网电接口支持10Mbit/s、100Mbit/s两种速率。l FE光接口只支持100Mbit/s。l GE电接口支持10Mbit/s、100Mbit/s、1000Mbit/s三种速率。l GE光接口只能为1000Mbit/s速率。因此，只需对以太网电接口进行配置，而光接口不需要配置。指定的速率值应与实际所连接网络和对端设备接口的速率相同。-结束2.2.6 配置接口双工模式配置接口双工模式，需要进行如下操作。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令interface ethernet interface-number，进入以太网接口视图。步骤 3 执行命令duplex negotiation | full | half ，配置接口双工模式。配置时请注意：l 传统以太网接口和快速以太网接口可以工作在全双工和半双工两种模式下，但需要和对端设备的模式保持相同。当传统以太网接口和快速以太网接口与Hub相连时，由于Hub只能工作在半双工方式下，应选择接口的双工模式为半双工方式；当与交换式LAN Switch相连时，可以根据LAN Switch的双工模式选择以太网接口的双工模式。l 千兆以太网接口只能工作在全双工模式下，无需选择双工模式。-结束2.2.7 配置接口的环回方式环回用于对接口本身进行测试。接口正常工作时，应禁止环回。配置接口的环回方式，需要进行如下操作。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令interface ethernet interface-number，进入以太网接口视图。步骤 3 执行命令loopback，允许对内自环。-结束2.2.8 检查配置结果检查以太网接口配置结果相关操作如表2-1所示。表2-1 检查以太网接口配置结果操作命令查看指定以太网接口的状态display interface ethernet interface-number 2.3 维护以太网接口打开调试开关将影响系统的性能。调试完毕后，应及时执行undo debugging all命令关闭调试开关。维护以太网接口相关操作如表2-2所示。表2-2 维护以太网接口相关操作操作命令调试以太网报文debugging ethernet packet interface interface-type interface-number 2.4 以太网接口配置示例组网需求如图2-3所示，Eudemon防火墙和路由器Router之间通过以太网口连接，同时，Eudemon连接IP网络10.10.10.0/24，Router连接到网络202.38.2.0/24。图2-3 以太网典型配置配置思路采用如下思路配置以太网接口：l 配置Eudemonl 配置Router配置步骤配置以太网接口，需要进行如下操作。步骤 1 配置Eudemon。# 进入系统视图。 system-view# 进入Ethernet 2/0/0视图。Eudemon interface ethernet 2/0/0# 配置Ethernet 2/0/0的MTU。Eudemon-Ethernet2/0/0 mtu 1492# 配置Ethernet 2/0/0的描述信息。Eudemon-Ethernet2/0/0 description Eudemon# 配置Ethernet 2/0/0的IP地址。Eudemon-Ethernet2/0/0 ip address 20.20.20.1 255.255.255.0# 快速启动接口。Eudemon-Ethernet2/0/0 shutdownEudemon-Ethernet2/0/0 undo shutdown# 退回系统视图。Eudemon-Ethernet2/0/0 quit# 配置防火墙的静态路由。Eudemon ip route-static 202.38.2.0 24 20.20.20.2# 进入Untrust区域视图。Eudemon firewall zone untrust# 配置Ethernet 2/0/0加入Untrust区域。Eudemon-zone-untrust add interface Ethernet 2/0/0# 退回系统视图。Eudemon-zone-untrust quit# 进入Trust区域。Eudemon firewall zone trust# 配置接口Ethernet 1/0/0加入Trust区域。Eudemon-zone-trust add interface Ethernet 1/0/0# 退回系统视图。Eudemon-zone-trust quit# 配置Trust区域和Untrust区域的域间缺省包过滤规则。Eudemon firewall packet-filter default permit interzone trust untrust步骤 2 配置Router# 进入系统视图。 system-view# 进入Ethernet 2/0/0视图。Router interface ethernet 2/0/0# 配置Ethernet 2/0/0的MTU。Router-Ethernet2/0/0 mtu 1492# 配置Ethernet 2/0/0的描述信息。Router-Ethernet2/0/0 description Router# 配置Ethernet 2/0/0的IP地址。Router-Ethernet2/0/0 ip address 20.20.20.2 255.255.255.0# 快速启动接口。Router-Ethernet2/0/0 shutdownRouter-Ethernet2/0/0 undo shutdown# 退回系统视图。Router-Ethernet2/0/0 quit# 配置路由器上的静态路由。Router ip route-static 10.10.10.0 24 20.20.20.1步骤 3 检查配置结果配置完成之后，可采用如下方法来判别以太网接口工作是否正常：l 在业务数据量较小时，从防火墙的以太网接口ping向路由器的以太网接口，观察是否能够返回全部报文。正常为正确返回全部报文。l 查看防火墙的统计信息，观察接收到错误帧的统计数字是否保持不变。正常为接收到错误帧的统计数字保持不变。查看各防火墙上的接口状态，物理状态和协议状态都应该为Up。以防火墙的显示为例。 display ip interface brief*down: administratively down(l): loopback(s): spoofingInterface IP Address Physical Protocol DescriptionEthernet2/0/0 20.20.20.1 up up Eudemon Ethernet1/0/0 10.10.10.10 up up Eudemon -结束2.5 故障处理故障判别测试方法如下：l 从位于同一局域网内的主机ping向防火墙网络设备的以太网接口，观察是否能够正确返回全部报文。l 查看连接双方，如防火墙和LAN Switch的统计信息，观察接收到的错误帧的统计数字是否快速增加。如果这两项测试中有一项不能通过，就可以确定该网络设备的以太网接口或其连接的以太网存在故障。故障排查故障排查，需要进行如下操作。步骤 1 查看局域网连接。若使用Hub或LAN Switch连接以太网，需要确认Hub或LAN Switch连接（link）指示灯的亮灭状态。如果均为亮，则表明局域网物理连接上是正常的；如果均为灭，则需要更换网卡、网线或防火墙接口模块等物理设备。在使用非屏蔽双绞线连接以太网，且连接双方中至少有一方支持100Base-TX的情况下，还需考虑速率匹配问题。如果双方的工作速率配置不匹配，