接口联动组功能通过将同一台设备上不同的接口加入同一联动组，实现属于同一联动组内各接口的状态相互关联，使得这些接口同时具备或不具备报文的收发能力。

安全域是一个逻辑概念，用于管理设备上安全需求相同的多个接口。管理员将安全需求相同的接口进行分类，并划分到不同的安全域，统一应用安全策略，简化配置，方便管理。

管理员创建安全域后，可以给安全域添加多个成员，成员的类型包括：二层物理接口加VLAN、三层物理接口/三层以太网子接口/其它三层逻辑接口。

配置安全域后，设备上各接口的报文转发遵循以下规则：

一个安全域中的接口与一个不属于任何安全域的接口之间的报文，会被丢弃。

属于同一个安全域的各接口之间的报文缺省会被丢弃。

安全域之间的报文由安全策略进行安全检查，并根据检查结果放行或丢弃。若安全策略不存在或不生效，则报文会被丢弃。

非安全域的接口之间的报文会被丢弃。

目的地址或源地址为本机的报文，缺省会被丢弃，若该报文与安全策略匹配，则由安全策略进行安全检查，并根据检查结果放行或丢弃。

使用限制和注意事项

1. · 同一个三层接口只允许加入一个安全域。
2. · 同一个“二层接口和VLAN”的组合只能加入到一个安全域中。
3. · 当报文未匹配对应安全域间实例时，若存在any到any的安全域间实例，则匹配any到any安全域间实例，否则直接丢弃报文。
4. · Management和Local安全域间之间的报文缺省会被允许。
5. · Management和Local安全域间之间的报文只能匹配Management与Local之间的安全域间实例，不会匹配any到any的安全域间实例。

六 链路-vlan

VLAN（Virtual Local Area Network，虚拟局域网）技术可以把一个物理LAN划分成多个逻辑的LAN——VLAN，每个VLAN是一个广播域。处于同一VLAN的主机能够直接互通，而处于不同VLAN的主机不能够直接互通。

VLAN可以基于端口进行划分。它按照设备端口来定义VLAN成员，将指定端口加入到指定VLAN中之后，端口就可以转发该VLAN的报文。

在某VLAN内，可根据需要配置端口加入Untagged端口列表或Tagged端口列表（即配置端口为Untagged端口或Tagged端口），从Untagged端口发出的该VLAN报文不带VLAN Tag，从Tagged端口发出的该VLAN报文带VLAN Tag。

端口的链路类型分为三种。在端口加入某VLAN时，对不同链路类型的端口加入的端口列表要求不同：

1. · Access：端口只能发送一个VLAN的报文，发出去的报文不带VLAN Tag。该端口只能加入一个VLAN的Untagged端口列表。
2. · Trunk：端口能发送多个VLAN的报文，发出去的端口缺省VLAN的报文不带VLAN Tag，其他VLAN的报文都必须带VLAN Tag。在端口缺省VLAN中，该端口只能加入Untagged端口列表；在其他VLAN中，该端口只能加入Tagged端口列表。
3. · Hybrid：端口能发送多个VLAN的报文，端口发出去的报文可根据需要配置某些VLAN的报文带VLAN Tag，某些VLAN的报文不带VLAN Tag。在不同VLAN中，该端口可以根据需要加入Untagged端口列表或Tagged端口列表。

不同VLAN间的主机不能直接通信，通过设备上的VLAN接口，可以实现VLAN间的三层互通。VLAN接口是一种三层的虚拟接口，它不作为物理实体存在于设备上。每个VLAN对应一个VLAN接口，VLAN接口的IP地址可作为本VLAN内网络设备的网关地址，对需要跨网段的报文进行基于IP地址的三层转发。

七 链路-MAC地址

MAC（Media Access Control，媒体访问控制）地址表记录了MAC地址与接口的对应关系，以及接口所属的VLAN等信息。设备在转发报文时，根据报文的目的MAC地址查询MAC地址表，如果MAC地址表中包含与报文目的MAC地址对应的表项，则直接通过该表项中的出接口转发该报文；如果MAC地址表中没有包含报文目的MAC地址对应的表项时，设备将采取广播的方式通过对应VLAN内除接收接口外的所有接口转发该报文。

MAC地址表项分为以下几种：

• · 动态MAC地址表项：可以由用户手工配置，也可以由设备通过源MAC地址学习自动生成，用于目的是某个MAC地址的报文从对应接口转发出去，表项有老化时间。手工配置的动态MAC地址表项优先级等于自动生成的MAC地址表项。
• · 静态MAC地址表项：由用户手工配置，用于目的是某个MAC地址的报文从对应接口转发出去，表项不老化。静态MAC地址表项优先级高于自动生成的MAC地址表项。
• · 黑洞MAC地址表项：由用户手工配置，用于丢弃源MAC地址或目的MAC地址为指定MAC地址的报文（例如，出于安全考虑，可以禁止某个用户发送和接收报文），表项不老化。

MAC地址表中自动生成的表项并非永远有效，每一条表项都有一个生存周期，这个生存周期被称作老化时间。配置动态MAC地址表项的老化时间后，超过老化时间的动态MAC地址表项会被自动删除，设备将重新进行MAC地址学习，构建新的动态MAC地址表项。如果在到达生存周期前某表项被刷新，则重新计算该表项的老化时间。

用户配置的老化时间过长或者过短，都可能影响设备的运行性能：

· 如果用户配置的老化时间过长，设备可能会保存许多过时的MAC地址表项，从而耗尽MAC地址表资源，导致设备无法根据网络的变化更新MAC地址表。

· 如果用户配置的老化时间太短，设备可能会删除有效的MAC地址表项，导致设备广播大量的数据报文，增加网络的负担。

用户需要根据实际情况，配置合适的老化时间。如果网络比较稳定，可以将老化时间配置得长一些或者配置为不老化；否则，可以将老化时间配置得短一些。比如在一个比较稳定的网络，如果长时间没有流量，动态MAC地址表项会被全部删除，可能导致设备突然广播大量的数据报文，造成安全隐患，此时可将动态MAC地址表项的老化时间设得长一些或不老化，以减少广播，增加网络稳定性和安全性。动态MAC地址表项的老化时间作用于全部接口上。

缺省情况下，MAC地址学习功能处于开启状态。有时为了保证设备的安全，需要关闭MAC地址学习功能。常见的危及设备安全的情况是：非法用户使用大量源MAC地址不同的报文攻击设备，导致设备MAC地址表资源耗尽，造成设备无法根据网络的变化更新MAC地址表。关闭MAC地址学习功能可以有效防止这种攻击。在开启全局的MAC地址学习功能的前提下，用户可以关闭单个接口的MAC地址的学习功能。

如果MAC地址表过于庞大，可能导致设备的转发性能下降。通过配置接口的MAC地址数学习上限，用户可以控制设备维护的MAC地址表的表项数量。当接口学习到的MAC地址数达到上限时，该接口将不再对MAC地址进行学习，同时，用户还可以根据需要选择是否允许系统转发源MAC不在MAC地址表里的报文。

八 DNS

特性简介

DNS（Domain Name System，域名系统）是一种用于TCP/IP应用程序的分布式数据库，提供域名与IP地址之间的转换。IPv4 DNS提供域名和IPv4地址之间的转换，IPv6 DNS提供域名和IPv6地址之间的转换。

设备作为DNS客户端，当用户在设备上进行某些应用（如Telnet到一台设备或主机）时，可以直接使用便于记忆的、有意义的域名，通过域名系统将域名解析为正确的IP地址。

域名解析分为以下两种：

· 静态域名解析

手工建立域名和IP地址之间的对应关系。当用户使用域名进行某些应用时，系统查找静态域名解析表，从中获取指定域名对应的IP地址。

· 动态域名解析

使用动态域名解析时，需要手工指定域名服务器的IP地址。

动态域名解析通过向域名服务器查询域名和IP地址之间的对应关系来实现将域名解析为IP地址。

动态域名解析支持域名后缀列表功能。用户可以预先设置一些域名后缀，在域名解析的时候，用户只需要输入域名的部分字段，系统会自动将输入的域名加上不同的后缀进行解析。例如，用户想查询域名aabbcc.com，那么可以先在后缀列表中配置com，然后输入aabbcc进行查询，系统会自动将输入的域名与后缀连接成aabbcc.com进行查询。

使用域名后缀的时候，根据用户输入域名方式的不同，查询方式分成以下几种情况：

• ?    如果用户输入的域名中没有“.”，比如aabbcc，系统认为这是一个主机名，会首先加上域名后缀进行查询，如果所有加后缀的域名查询都失败，将使用最初输入的域名（如aabbcc）进行查询。
• ?    如果用户输入的域名中间有“.”，比如www.aabbcc，系统直接用它进行查询，如果查询失败，再依次加上各个域名后缀进行查询。
• ?    如果用户输入的域名最后有“.”，比如aabbcc.com.，表示不需要进行域名后缀添加，系统直接用输入的域名进行查询，不论成功与否都直接返回结果。就是说，如果用户输入的字符中最后一个字符为“.”，就只根据用户输入的字符进行查找，而不会去匹配用户预先设置的域名后缀，因此最后这个“.”，也被称为查询终止符。带有查询终止符的域名，称为FQDN（Fully Qualified Domain Name，完全合格域名）。

静态域名解析和动态域名解析可以配合使用。在解析域名时，首先采用静态域名解析（查找静态域名解析表），如果静态域名解析不成功，再采用动态域名解析。由于动态域名解析需要域名服务器的配合，会花费一定的时间，因而可以将一些常用的域名放入静态域名解析表中，这样可以大大提高域名解析效率。

DNS仅仅提供了域名和IP地址之间的静态对应关系，当节点的IP地址发生变化时，DNS无法动态地更新域名和IP地址的对应关系。此时，如果仍然使用域名访问该节点，通过域名解析得到的IP地址是错误的，从而导致访问失败。

DDNS（Dynamic Domain Name System，动态域名系统）用来动态更新DNS服务器上域名和IP地址之间的对应关系，保证通过域名解析到正确的IP地址。

使用DDNS服务前，用户需要先登录DDNS服务器，注册账户。设备作为DDNS客户端，在IP地址变化时，向DDNS服务器发送更新域名和IP地址对应关系的DDNS更新请求，更新请求中携带用户的账户信息（用户名和密码）。DDNS服务器对账户信息认证通过后，通知DNS服务器动态更新域名和IP地址之间的对应关系。

目前，只有IPv4域名解析支持DDNS，IPv6域名解析不支持DDNS，即只能通过DDNS动态更新域名和IPv4地址之间的对应关系。

为了简化配置，设备通过DDNS策略来管理和维护DDNS客户端的参数，如DDNS服务提供商信息（即DDNS服务器信息）、用户的账户信息（登录用户名和登录密码）、定时发起更新请求的时间间隔、关联的SSL客户端策略等。创建DDNS策略后，可以在不同的接口上应用相同的DDNS策略，从而简化DDNS的配置。

DNS代理用来在DNS客户端和DNS服务器之间转发DNS请求和应答报文。局域网内的DNS客户端把DNS代理当作DNS服务器，将DNS请求报文发送给DNS代理。DNS代理将该请求报文转发到真正的DNS服务器，并将DNS服务器的应答报文返回给DNS客户端，从而实现域名解析。

使用DNS代理功能后，当DNS服务器的IP地址发生变化时，只需改变DNS代理上的配置，无需改变局域网内每个DNS客户端的配置，从而简化了网络管理。

九 ARP

为增强设备的安全性，系统提供了IP-MAC绑定功能，即在设备上建立IP地址与MAC地址的对应关系即IP-MAC绑定表项，并基于该表项实现报文的过滤控制。该功能适用于防御主机仿冒攻击，可有效过滤攻击者通过仿冒合法用户主机的IP地址或者MAC地址向设备发送的伪造IP报文。

IP-MAC绑定表项可以通过手工配置和批量生成两种方式进行创建。

· 手工配置绑定表项是指通过手工方式逐条配置IP-MAC绑定表项。该方式适用于局域网络中主机较少的情况。

· 批量生成绑定表项是指通过指定接口下的ARP表项生成对应的IP-MAC绑定表项。该方式适用于局域网络中主机较多的情况。

配置IP-MAC绑定表项可以增加通信的安全性。设备收到报文后，提取报文头中的源IP地址和源MAC地址，并与IP-MAC绑定表项进行匹配。如果源IP地址和源MAC地址与IP-MAC绑定表项一致，则转发该报文；如果不一致，则认为该报文是非法报文，并将其丢弃。对于IP地址与MAC地址在IP-MAC绑定表项中都无匹配项的报文，则根据配置的缺省动作放行或丢弃。

十 GRE-VPN

54 GRE-VPN 点到点-CSDN博客

GRE（Generic Routing Encapsulation，通用路由封装）协议用来对任意一种网络层协议（如IPv6）的数据报文进行封装，使这些被封装的数据报文能够在另一个网络（如IPv4）中传输。封装前后数据报文的网络层协议可以相同，也可以不同。封装后的数据报文在网络中传输的路径，称为GRE隧道。GRE隧道是一个虚拟的点到点的连接，其两端的设备分别对数据报文进行封装及解封装。

GRE封装后的报文包括如下几个部分：

· 净荷数据（Payload packet）：需要封装和传输的数据报文。净荷数据的协议类型，称为乘客协议（Passenger Protocol）。乘客协议可以是任意的网络层协议。

· GRE头（GRE header）：采用GRE协议对净荷数据进行封装所添加的报文头，包括封装层数、版本、乘客协议类型、校验和信息、Key信息等内容。添加GRE头后的报文称为GRE报文。对净荷数据进行封装的GRE协议，称为封装协议（Encapsulation Protocol）。

· 传输协议的报文头（Delivery header）：在GRE报文上添加的报文头，以便传输协议对GRE报文进行转发处理。传输协议（Delivery Protocol或者Transport Protocol）是指负责转发GRE报文的网络层协议。设备支持IPv4和IPv6两种传输协议：当传输协议为IPv4时，GRE隧道称为GRE over IPv4隧道；当传输协议为IPv6时，GRE隧道称为GRE over IPv6隧道。

IPv4/IPv6协议报文通过GRE隧道进行传输的过程：

1.        GRE隧道源端设备收到IPv4/IPv6协议报文后，将该报文发给相应的Tunnel接口。

2.        GRE隧道模式的Tunnel接口收到此报文后，先在报文前封装上GRE头，再封装上传输协议头。传输协议头中的源地址为隧道的源端地址，目的地址为隧道的目的端地址。

3.        隧道源端设备将封装后的IPv4/IPv6协议报文通过GRE隧道的实际物理接口转发出去。

4.        封装后的IPv4/IPv6协议报文通过GRE隧道到达隧道的目的端设备后，由于报文的目的地是本设备，故将此报文交给GRE协议进行解封装处理。

5.        GRE协议先剥离掉此报文的传输协议头，再对报文进行GRE Key验证、校验和验证、报文序列号检查等处理，处理通过后再剥离掉报文的GRE头，将报文交给相应的载荷协议进行后续的转发处理。

Keepalive功能用来对GRE隧道状态进行监控。若本端设备在按照用户设置的发送周期和最大发送次数向对端设备发送Keepalive报文后仍然没有收到对端的回应，则把本端Tunnel接口的状态置为down。如果Tunnel接口为down状态时，收到对端回复的Keepalive确认报文，则Tunnel接口的状态将转换为up，否则保持down状态。无论是否开启Keepalive功能，隧道一端收到Keepalive报文，必须向对端发送应答报文。

GRE支持GRE Key验证、校验和验证两种安全机制。

GRE Key验证

发送方在发送的报文中携带其本地配置的GRE Key。接收方收到报文后，将报文中的GRE Key与接收方本地配置的GRE Key进行比较，如果一致则对报文进行进一步处理，否则丢弃该报文。

GRE校验和验证

通过GRE校验和验证可以检查报文的完整性。

发送方根据GRE头及Payload信息计算校验和，并将包含校验和信息的报文发送给对端。接收方对接收到的报文计算校验和，并与报文中的校验和比较，如果一致则对报文进行进一步处理，否则丢弃该报文。

· 隧道的接口地址可以指定为IPv4地址或者IPv6地址。若净荷数据协议类型为IPv4，则隧道接口地址应配置为IPv4地址；若净荷数据协议类型为IPv6，则隧道接口地址应配置为IPv6地址。

· 隧道两端必须都配置隧道的源端地址和目的端地址，且本端配置的源端地址（目的端地址）应该与对端配置的目的端地址（源端地址）相同。

· 如果封装前报文的目的地址与Tunnel接口的地址不在同一个网段，则必须配置通过Tunnel接口到达报文目的地址的路由，以便需要进行封装的报文能正常转发。用户可以配置静态路由，指定到达报文目的地址的路由出接口为本端Tunnel接口；也可以配置动态路由，在Tunnel接口、与私网相连的接口上分别使能动态路由协议，由动态路由协议来建立通过Tunnel接口转发的路由表项。

· 在Tunnel接口上配置的隧道目的端地址不能与Tunnel接口的地址在同一网段。

· Keepalive功能不要求两端同时开启，用户可以根据需要在任意一端开启Keepalive功能。

· 若开启GRE key功能，则隧道两端必须设置相同的GRE key，或者都不设置GRE key。

· 隧道两端可以根据各自的实际应用需要决定是否要开启GRE报文校验和功能。如果本端开启了GRE报文校验和功能，则会在发送的报文中携带校验和信息，由对端来对报文进行校验和验证。对端是否对收到的报文进行校验和验证，取决于报文中是否携带校验和信息，与对端的配置无关。

十一 IPsec-VPN

安全协议

IPsec包括AH和ESP两种安全协议，它们定义了对IP报文的封装格式以及可提供的安全服务。

· AH协议定义了AH头在IP报文中的封装格式。AH可提供数据来源认证、数据完整性校验和抗重放功能，它能保护报文免受篡改，但不能防止报文被窃听，适合用于传输非机密数据。

· ESP协议定义了ESP头和ESP尾在IP报文中的封装格式。ESP可提供数据加密、数据来源认证、数据完整性校验和抗重放功能。虽然AH和ESP都可以提供认证服务，但是AH提供的认证服务要强于ESP。

在实际使用过程中，可以根据具体的安全需求同时使用这两种协议或仅使用其中的一种。设备支持的AH和ESP联合使用的方式为：先对报文进行ESP封装，再对报文进行AH封装。

封装模式

IPsec支持两种封装模式：

• · 传输模式（Transport Mode）
• 该模式下的安全协议主要用于保护上层协议报文。若要求端到端的安全保障，即数据包进行安全传输的起点和终点为数据包的实际起点和终点时，才能使用传输模式。通常传输模式用于保护两台主机之间的数据。
• · 隧道模式（Tunnel Mode）
• 该模式下的安全协议用于保护整个IP数据包。在安全保护由设备提供的情况下，数据包进行安全传输的起点或终点不为数据包的实际起点和终点时（例如安全网关后的主机），则必须使用隧道模式。通常隧道模式用于保护两个安全网关之间的数据。

认证算法

IPsec使用的认证算法主要是通过杂凑函数实现的。杂凑函数是一种能够接受任意长度的消息输入，并产生固定长度输出的算法，该算法的输出称为消息摘要。IPsec对等体双方都会计算一个摘要，接收方将发送方的摘要与本地的摘要进行比较，如果二者相同，则表示收到的IPsec报文是完整未经篡改的，以及发送方身份合法。目前，IPsec使用基于HMAC（Hash-based Message Authentication Code，基于散列的消息鉴别码）的认证算法和SM3认证算法。HMAC认证算法包括HMAC-MD5、HMAC-SHA。其中，HMAC-MD5算法的计算速度快，而HMAC-SHA算法的安全强度高。

加密算法

IPsec使用的加密算法属于对称密钥系统，这类算法使用相同的密钥对数据进行加密和解密。目前设备的IPsec使用四种加密算法：

· DES：使用56比特的密钥对一个64比特的明文块进行加密。

· 3DES：使用三个56比特（共168比特）的密钥对明文块进行加密。

· AES：使用128比特、192比特或256比特的密钥对明文块进行加密。

· SM：使用128比特的密钥对明文块进行加密。

这四个加密算法的安全性由高到低依次是：AES/SM、3DES、DES，安全性高的加密算法实现机制复杂，运算速度慢。

IPsec SA（Security Association，安全联盟）是IPsec对等体间对某些要素的约定，例如，使用的安全协议、协议报文的封装模式、认证算法、加密算法、特定流中保护数据的共享密钥以及密钥的生存时间等。

IPsec SA是单向的，在两个对等体之间的双向通信，最少需要两个IPsec SA来分别对两个方向的数据流进行安全保护。同时，如果两个对等体希望同时使用AH和ESP来进行安全通信，则每个对等体都会针对每一种协议来构建一个独立的SA。

IPsec SA由一个三元组来唯一标识，这个三元组包括SPI（Security Parameter Index，安全参数索引）、目的IP地址和安全协议号。其中，SPI是用于标识SA的一个32比特的数值，它在AH和ESP头中传输。

对等体之间通过IKE协议生成IPsec SA，IPsec SA会在一定时间或一定流量之后老化掉。IPsec SA失效前，IKE将为IPsec对等体协商建立新的SA，这样，在旧的SA失效前新的SA就已经准备好。在新的SA开始协商而没有协商好之前，使用当前旧的SA保护通信。一旦协商出新的SA，立即采用新的SA保护通信。

IKE为IPsec协商建立SA，并把建立的参数交给IPsec，IPsec使用IKE建立的SA对IP报文加密或认证处理。IKE使用了两个阶段为IPsec进行密钥协商以及建立SA：

1.        第一阶段，通信双方彼此间建立了一个已通过双方身份认证和对通信数据安全保护的通道，即建立一个IKE SA。第一阶段有主模式（Main Mode）、野蛮模式（Aggressive Mode）和国密主模式三种IKE协商模式。在对身份保护要求不高的场合，使用交换报文较少的野蛮模式可以提高协商的速度；在对身份保护要求较高的场合，则应该使用主模式。当本端使用RSA-DE或者SM2-DE数字信封方式认证时，必须将本端的协商模式配置为国密主模式。

2.        第二阶段，用在第一阶段建立的IKE SA为IPsec协商安全服务，即为IPsec协商IPsec SA，建立用于最终的IP数据安全传输的IPsec SA。

设备通过应用IPsec策略来实现IPsec隧道的建立。一个IPsec策略主要用于指定策略应用的接口，定义用于保护数据流的安全参数，以及指定要保护的数据流的范围。

当IPsec对等体根据策略识别出要保护的报文时，就建立一个相应的IPsec隧道并将其通过该隧道发送给对端。此处的IPsec隧道由数据流触发IKE协商建立。这些IPsec隧道实际上就是两个IPsec对等体之间建立的IPsec SA。由于IPsec SA是单向的，因此出方向的报文由出方向的SA保护，入方向的报文由入方向的SA来保护。

· 当从一个接口发送数据报文时，接口将按照策略优先级序号从小到大的顺序逐一匹配引用的每一个IPsec策略。如果报文匹配上了某一个IPsec策略保护的数据流，则停止匹配，并根据匹配上的策略协商IPsec SA。之后，由该接口发送的报文，如果能匹配上某出方向的IPsec SA，则由IPsec对其进行封装处理，否则直接被正常转发。

· 应用了IPsec策略的接口收到数据报文时，对于目的地址是本机的IPsec报文，查找本地的入方向IPsec SA，并根据匹配的IPsec SA对报文进行解封装处理；对于那些本应该被IPsec保护但未被保护的报文进行丢弃。

在IPsec策略中，由动作参数（“保护”或“不保护”）来指定是否对数据流进行IPsec保护。一个IPsec策略中，可以定义多条保护的数据流，报文匹配上的首条数据流的动作参数决定了对该报文的处理方式。

· 出入方向的报文都需要匹配IPsec策略中定义的保护的数据流。具体是，出方向的报文正向匹配数据流范围，入方向的报文反向匹配数据流范围。

· 在出方向上，与动作为“保护”的数据流匹配的报文将被IPsec保护，未匹配上任何数据流或与动作为“不保护”的数据流匹配上的报文将不被IPsec保护。

· 在入方向上，与动作为“保护”的数据流匹配上的未被IPsec保护的报文将被丢弃；目的地址为本机的被IPsec保护的报文将被进行解封装处理。

为了提高网络的稳定性和可靠性，企业通常会在网络出口配置多条链路。不同链路之间存在通信质量差异，实时状态也不尽相同，选择一条高质量的链路对于企业通信来说尤为重要。IPsec智能选路功能（IPsec Smart Link）在有多条可使用的链路能够到达目的网络的情况下，实时地自动探测链路的时延、丢包率，动态切换到满足通信质量要求的链路上建立IPsec隧道。用户也可以根据自己的实际需求手工指定使用的链路。

IPsec智能选路可以很好地解决以下问题：

· 网络出口多链路进行流量负载分担时，可能会出现一部分链路拥塞、另一部分链路闲置的情况；

· 用户无法基于链路传输质量或者服务费用自己选择链路；

· 当网络出口设备与目的设备之间的链路出现故障时，如果流量被转发该故障链路上，会造成访问失败。

· 若指定的对端主机名由DNS服务器来解析，则本端按照DNS服务器通知的域名解析有效期，在该有效期超时之后向DNS服务器查询主机名对应的最新的IP地址； 若指定的对端主机名由本地配置的静态域名解析来解析，则更改此主机名对应的IP地址之后，需要在IPsec策略中重新指定的对端主机名，才能使得本端解析到更新后的对端IP地址。

· 为保证IPsec对等体上能够成功建立SA，建议两端设备上用于IPsec的ACL配置为镜像对称，即保证两端定义的要保护的数据流范围的源和目的尽量对称。若IPsec对等体上的ACL配置非镜像，那么只有在一端的ACL规则定义的范围是另外一端的子集时，且仅当保护范围小（细粒度）的一端向保护范围大（粗粒度）的一端发起的协商才能成功。

· 如果IPsec策略下没有配置本端身份，则默认使用高级配置中的全局本端身份。

· 在对IPsec策略的封装模式、安全协议、算法、PFS、SA生存时间、SA超时时间进行修改时，对已协商成功的IPsec SA不生效，即仍然使用原来的参数，只有新协商的SA使用新的参数。若要使修改对已协商成功的IPsec SA生效，则需要首先清除掉已有的IPsec SA。

· 在IPsec隧道的两端，IPsec策略所采用的封装模式、安全协议、算法要一致。

· 当IKE协商IPsec SA时，如果接口上的IPsec策略下未配置IPsec SA的生存周期，将采用全局的IPsec SA生存周期与对端协商。如果IPsec策略下配置了IPsec SA的生存周期，则优先使用策略下的配置值与对端协商。

· IKE为IPsec协商建立IPsec SA时，采用本地配置的生存时间和对端提议的IPsec SA生存时间中较小的一个。

· 配置IPsec智能选路功能时，当link中的下一跳地址为接口网关地址时，修改网关地址，用户需要手动修改link中的下一跳地址。

与单纯依照IP报文的目的地址查找路由表进行转发不同，策略路由是一种依据用户制定的策略进行路由转发的机制。策略路由可以对于满足一定条件（ACL规则、报文长度、服务对象组、应用组）的报文，执行指定的操作（设置报文转发的下一跳、缺省下一跳、出接口和缺省出接口）。

策略用来定义报文的匹配规则，以及对报文执行的操作。一个策略可以由一个或者多个节点组成。节点的构成如下：

· 每个节点由NodeID来标识。NodeID越小节点的优先级越高，优先级高的节点优先被执行。

· 每个节点的具体内容由报文匹配规则和执行操作来指定。报文匹配规则定义该节点的匹配规则，执行操作定义该节点的动作。

· 每个节点对报文的处理方式由匹配模式决定。匹配模式分为允许和拒绝两种。

可以将已经配置的策略应用到本地，指导设备本身产生报文的发送。或是将已经配置的策略应用到接口，指导接口接收的所有报文的转发。

应用策略后，系统将根据策略中定义的匹配规则和执行操作，对报文进行处理：系统按照优先级从高到低的顺序依次匹配各节点，如果报文满足这个节点的匹配规则，就执行该节点的动作；如果报文不满足这个节点的匹配规则，就继续匹配下一个节点；如果报文不能满足策略中任何一个节点的匹配规则，则根据路由表来转发报文。

报文匹配规则

通过配置ACL规则、服务对象组、应用组或者报文长度来匹配报文，用于执行后续操作。

同一个节点中的各匹配规则之间是“与”的关系，即报文必须满足该节点的所有匹配规则才算满足这个节点的匹配规则。

执行操作

· 设置后续节点。如果当前节点中没有配置影响报文转发路径的五个执行操作（设置报文在指定VRF中进行转发、设置报文转发下一跳、设置报文转发的缺省下一跳、设置报文转发的出接口和设置报文转发的缺省出接口），或者配置了这五个执行操作中的一个或多个，但配置都失效（下一跳不可达、出接口down或者报文在指定VRF内转发失败）时，会进行下一节点的处理。

· 设置报文的IP优先级。

· 设置报文头中的分片标志，允许或是不允许分片处理。

· 设置报文在指定VRF中进行转发，报文如果匹配了其中一个VRF下的转发表，报文将在该VRF中进行转发

· 设置报文转发的下一跳或缺省下一跳，并为其配置与Track项关联或是指定当前下一跳是否为直连下一跳。

· 设置报文转发的出接口或缺省出接口，并为其配置与Track项关联。

策略路由通过与Track联动，增强了应用的灵活性和对网络环境变化的动态感知能力。

策略路由可以在配置报文的下一跳、缺省下一跳、出接口和缺省出接口时与Track项关联，根据Track项的状态来动态地决定策略的可用性。策略路由配置仅在关联的Track项状态为Positive或NotReady时生效。

十八 OSPF

性简介

OSPF是一种基于链路状态的内部网关协议，其协议报文直接封装为IP报文，协议号为89。

OSPF支持OSPFv2和OSPFv3两个版本，目前针对IPv4协议使用的是OSPFv2版本，针对IPv6协议使用的是OSPFv3版本。

要在设备上使能OSPF功能，必须先创建OSPF实例、指定该实例关联的区域以及区域包括的网段和接口；对于当前设备来说，如果某个接口IP地址落在某个区域的网段内，则该接口属于这个区域并使能了OSPF功能，OSPF将把这个接口的直连路由宣告出去。

OSPF支持多实例，即可以在一台设备上通过为不同的OSPF实例指定不同的实例名称来启动多个OSPF实例。OSPF实例是本地概念，不影响与其它设备之间的报文交换。因此，不同的设备之间，即使实例名称不同也可以进行报文交换。

OSPF区域是从逻辑上将设备划分为不同的组，每个组用区域ID来标识。区域的边界是设备，而不是链路。一个设备可以属于不同的区域，但是一个网段（链路）只能属于一个区域，或者说每个运行OSPF的接口必须指明属于哪一个区域。划分区域后，可以在区域边界设备上进行路由聚合，以减少通告到其他区域的LSA数量，还可以将网络拓扑变化带来的影响最小化。

OSPF网络中，设备在发送任何链路状态信息之前，必须先建立起正确的OSPF邻居邻接关系。

运行OSPF的设备使用Hello报文来建立邻居关系，设备会检查所收到的Hello报文中的各种参数。比如路由器标识、区域ID、认证信息、网络掩码、Hello时间间隔等，如果这些参数和接收接口上配置的对应参数都保持一致，则邻居关系就会建立起来，否则不会建立邻居关系。

1.        选择“网络 > 路由 > OSPF”。

2.        在“OSPF实例”页面单击<新建>按钮，进入“新建OSPF实例”页面。

3.        新建OSPF实例，具体配置内容如下表所示：

表-1 OSPF实例配置参数表

4.        单击<确定>按钮，新建OSPF实例成功，并会在OSPF实例页面中显示。

1.        选择“网络 > 路由 > OSPF”。

2.        在“OSPF实例”页面单击OSPFv2版本实例对应的OSPF区域数目链接，进入“OSPFv2区域”页面。

3.        在“OSPFv2区域”页面单击<新建>按钮，进入“新建OSPFv2区域”页面。

4.        新建OSPFv2区域，具体配置内容如下表所示：

表-2 OSPFv2区域配置参数表

5.        单击<确定>按钮，新建OSPFv2区域成功，并会在OSPFv2区域页面中显示。

6.        单击“OSPF实例”页签返回OSPF实例页面，单击OSPFv2版本实例对应的引入外部路由数目链接，进入“OSPFv2引入外部路由”页面。

7.        在“OSPFv2引入外部路由”页面单击<新建>按钮，新建OSPFv2引入外部路由，具体配置内容如下表所示。

表-3 OSPFv2引入外部路由配置参数表

8.        单击<确定>按钮，OSPFv2引入外部路由配置成功。

1.        选择“网络 > 路由 > OSPF”。

2.        在“OSPF实例”页面单击OSPFv3版本实例对应的OSPF区域数目链接，进入“OSPFv3区域”页面。

3.        在“OSPFv3区域”页面单击<新建>按钮，进入“新建OSPF区域”页面。

4.        新建OSPFv3区域，具体配置内容如下表所示：

表-4 OSPFv3区域配置参数表

5.        单击<确定>按钮，新建OSPFv3区域成功，并会在OSPFv3区域页面中显示。

6.        点击“OSPF实例”页签返回OSPF实例页面，单击OSPFv3版本实例对应的已启用接口数目链接，进入“OSPFv3接口”页面。

7.        在“OSPFv3接口”页面单击<新建>按钮，进入“新建接口”页面。

8.        新建OSPFv3接口，具体配置内容如下表所示：

表-5 OSPFv3接口配置参数表

9.        单击<确定>按钮，新建接口成功，并会在OSPFv3接口页面中显示。

十九 BGP

当前使用的BGP版本是BGP-4。BGP-4作为Internet外部路由协议标准，被ISP（Internet Service Provider，互联网服务提供商）广泛应用。

BGP对等体

运行BGP协议的路由器称为BGP发言者。BGP发言者接收或产生路由信息，并将路由信息发布给其它BGP发言者。

相互之间存在TCP连接、相互交换路由信息的BGP发言者互为BGP对等体。根据对等体所在的AS，对等体分为以下几种：

· IBGP对等体：对等体与本地路由器位于同一AS。

· EBGP对等体：对等体与本地路由器位于不同AS。

BGP地址族

生成BGP路由信息有两种方式：

1.        配置BGP发布本地网段路由(BGP网络)：通过本配置可以将本地路由表中指定网段的路由添加到BGP路由表中，以便通过BGP发布该网段路由。通过该种方式发布的路由的ORIGIN属性为IGP。网络管理员还可以通过使用路由策略更为灵活地控制所发布的路由。

2.        配置BGP引入IGP路由协议的路由（BGP引入外部路由配置）：BGP可以向邻居AS发送本地AS内部网络的路由信息，但BGP不是自己去发现AS内部的路由信息，而是将IGP路由协议的路由信息引入到BGP路由表中，并发布给对等体。在引入IGP路由协议的路由时，可以针对不同的路由协议来对路由信息进行过滤。

缺省情况下，BGP引入IGP路由协议的路由时，不会引入该协议的缺省路由。用户可以通过配置，指定BGP引入IGP路由协议的路由时，允许将缺省路由引入到BGP路由表中。

二十  RIP

· 在多RIP进程情况下，不允许配置通告所有网段功能。

· 如果接口上配置了RIP版本，以接口配置的为准；如果接口没有进行RIP版本配置，接口运行的RIP版本将以全局配置的版本为准。

二十一  IP组播

二十二  PIM

二十三 ICMP

二十四  DHCP

DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）用来为网络设备动态地分配IP地址等网络配置参数。

DHCP采用客户端/服务器通信模式，由客户端向服务器提出请求分配网络配置参数的申请，服务器返回为客户端分配的IP地址等配置信息，以实现IP地址等信息的动态配置。

在DHCP的典型应用中，一般包含一台DHCP服务器和多台客户端（如PC和便携机）。如果DHCP客户端和DHCP服务器处于不同物理网段时，客户端可以通过DHCP中继与服务器通信，获取IP地址及其他配置信息。

在以下场合通常利用DHCP服务器来完成IP地址分配：

· 网络规模较大，手工配置需要很大的工作量，并难以对整个网络进行集中管理。

· 网络中主机数目大于该网络支持的IP地址数量，无法给每个主机分配一个固定的IP地址。

· 网络中只有少数主机需要固定的IP地址，大多数主机没有固定的IP地址需求。

DHCP服务器通过地址池来保存为客户端分配的IP地址、租约有效期限、网关信息、域名后缀、DNS服务器地址、WINS服务器地址、NetBIOS节点类型和DHCP选项信息。服务器接收到客户端发送的请求后，选择合适的地址池，并将该地址池中的信息分配给客户端。

DHCP服务器在将IP地址分配给客户端之前，还需要进行IP地址冲突检测。

地址池的地址管理方式有以下几种：

· 静态绑定IP地址，即通过将客户端的硬件地址或客户端ID与IP地址绑定的方式，实现为特定的客户端分配特定的IP地址；

· 动态选择IP地址，即在地址池中指定可供分配的IP地址段，当收到客户端的IP地址申请时，从该地址段中动态选择IP地址，分配给该客户端。

在DHCP地址池中还可以指定这两种类型地址的租约有效期限。

DHCP服务器为客户端分配IP地址时，地址池的选择原则如下：

1.        如果存在将客户端MAC地址或客户端ID与IP地址静态绑定的地址池，则选择该地址池，并将静态绑定的IP地址和其他网络参数分配给客户端。

2.        如果不存在静态绑定的地址池，则按照以下方法选择地址池：

?    如果客户端与服务器在同一网段，则将DHCP请求报文接收接口的IP地址与所有地址池配置的网段进行匹配，并选择最长匹配的网段所对应的地址池。

?    如果客户端与服务器不在同一网段，即客户端通过DHCP中继获取IP地址，则将DHCP请求报文中giaddr字段指定的IP地址与所有地址池配置的网段进行匹配，并选择最长匹配的网段所对应的地址池。

DHCP服务器为客户端分配IP地址的优先次序如下：

1.        与客户端MAC地址或客户端ID静态绑定的IP地址。

2.        DHCP服务器记录的曾经分配给客户端的IP地址。

3.        客户端发送的DHCP-DISCOVER报文中Option 50字段指定的IP地址。Option 50为客户端请求的IP地址选项（Requested IP Address），客户端通过在DHCP-DISCOVER报文中添加该选项来指明客户端希望获取的IP地址。该选项的内容由客户端决定。

4.        按照动态分配地址选择原则，顺序查找可供分配的IP地址，选择最先找到的IP地址。

5.        如果未找到可用的IP地址，则从当前匹配地址池中依次查询租约过期、曾经发生过冲突的IP地址，如果找到则进行分配，否则将不予处理。

DHCP利用选项字段传递控制信息和网络配置参数，实现地址动态分配的同时，为客户端提供更加丰富的网络配置信息。

Web页面为DHCP服务器提供了灵活的选项配置方式，在以下情况下，可以使用Web页面DHCP选项功能：

· 随着DHCP的不断发展，新的DHCP选项会陆续出现。通过该功能，可以方便地添加新的DHCP选项。

· 有些选项的内容，RFC中没有统一规定。厂商可以根据需要定义选项的内容，如Option 43。通过DHCP选项功能，可以为DHCP客户端提供厂商指定的信息。

· Web页面只提供了有限的配置功能，其他功能可以通过DHCP选项来配置。例如，可以通过Option 4，IP地址1.1.1.1来指定为DHCP客户端分配的时间服务器地址为1.1.1.1。

· 扩展已有的DHCP选项。当前已提供的方式无法满足用户需求时（比如通过Web页面最多只能配置8个DNS服务器地址，如果用户需要配置的DNS服务器地址数目大于8，则Web页面无法满足需求），可以通过DHCP选项功能进行扩展。

下表为常用的DHCP选项编号。

表-1 DHCP选项编号

为防止IP地址重复分配导致地址冲突，DHCP服务器为客户端分配地址前，需要先对该地址进行探测。

DHCP服务器的地址探测是通过ping功能实现的，通过检测是否能在指定时间内得到ping响应来判断是否存在地址冲突。DHCP服务器发送目的地址为待分配地址的ICMP回显请求报文。如果在指定时间内收到回显响应报文，则认为存在地址冲突。DHCP服务器从地址池中选择新的IP地址，并重复上述操作。如果在指定时间内没有收到回显响应报文，则继续发送ICMP回显请求报文，直到发送的回显请求报文数目达到最大值。如果仍然没有收到回显响应报文，则将地址分配给客户端，从而确保客户端获得的IP地址唯一。

要实现DHCP服务器功能，需要进行如下配置：

· 启用DHCP服务。

· 配置设备接口工作在DHCP服务器模式。

· 配置DHCP地址池。可以选择使用动态分配或静态绑定两种模式为DHCP客户端分配IP地址。在DHCP地址池下还可以配置其他网络参数，包括租约有效期限、域名后缀、网关地址等。

二十五 HTTP/HTTPS

设备支持的Web登录方式有以下两种：

· HTTP登录方式：HTTP（Hypertext Transfer Protocol，超文本传输协议）用来在Internet上传递Web页面信息。目前，设备支持的HTTP协议版本为HTTP1.0和HTTP1.1。

· HTTPS登录方式：HTTPS（Hypertext Transfer Protocol Secure，超文本传输协议的安全版本）是支持SSL（Secure Sockets Layer，安全套接字层）协议的HTTP协议。HTTPS通过SSL协议，能对客户端与设备之间交互的数据进行加密，能为设备制定基于证书属性的访问控制策略，提高了数据传输的安全性和完整性，保证合法客户端可以安全地访问设备，禁止非法客户端访问设备，从而实现了对设备的安全管理。

采用HTTPS登录时，设备上只需使能HTTPS服务，用户即可通过HTTPS登录设备。此时，设备使用的证书为自签名证书，使用的SSL参数为各个参数的缺省值。（自签名证书指的是服务器自己生成的证书，无需从CA获取）

通过引用ACL（Access Control List，访问控制列表），可以对访问设备的登录用户进行控制：

· 当未引用ACL、引用的ACL不存在或者引用的ACL为空时，允许所有登录用户访问设备；

· 当引用的ACL非空时，则只有ACL中permit的用户才能访问设备，其它用户不允许访问设备，可以避免非法用户使用Web页面登录设备。

二十六  SSH

SSH是Secure Shell（安全外壳）的简称，是一种在不安全的网络环境中，通过加密机制和认证机制，实现安全的远程访问以及文件传输等业务的网络安全协议。

SSH协议采用了典型的客户端/服务器模式，并基于TCP协议协商建立用于保护数据传输的会话通道。

本设备可作为SSH服务器，为SSH客户端提供以下几种应用：

· Stelnet：全称为Secure Telnet ，可提供安全可靠的网络终端访问服务。

· SFTP：全称为Secure FTP，基于SSH2，可提供安全可靠的网络文件传输服务。

· SCP：全称为Secure Copy，基于SSH2，可提供安全的文件复制功能。

SSH协议有两个版本，SSH1.x和SSH2.0（本文简称SSH1和SSH2），两者互不兼容。SSH2在性能和安全性方面比SSH1有所提高。

设备作为SSH服务器时，利用本地密码认证机制验证SSH客户端的用户名和密码的合法性。身份认证通过后，SSH客户端将与SSH服务器建立相应的会话，并在该会话上进行数据信息的交互。

设备作为SSH服务器时，为保证SSH客户端可以正常使用Stelnet/SFTP/SCP服务，需要完成以下配置任务：

· 生成RSA、DSA或ECDSA本地非对称密钥对。

· 开启Stelnet/SFTP/SCP服务。

· 配置SSH服务类型的管理员用户。

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它既不需要用户安装任何客户端软件，也不需要用户手动输入用户名或密码。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后，即启动对该用户的认证操作。

MAC地址认证的具体配置如下：

1.        选择“网络 > 安全接入 > MAC接入 > MAC地址认证”。

2.        在“全局MAC地址认证”页面勾选“开启”，开启全局MAC地址认证功能。

3.        勾选接口对应的“开启接口MAC地址认证”，开启单个接口的MAC地址认证功能。

4.        单击接口对应的“编辑”按钮，进入“编辑MAC地址认证”页面。

5.        配置该接口的MAC地址认证参数，具体配置内容如下表所示：

表-1 MAC地址认证配置参数表

6.        单击<确定>按钮，配置接口MAC地址认证完成。

三十一  MAC地址白名单