接口简介
Junos OS 支持设备运行的不同类型的接口。以下主题提供有关安全设备上使用的接口类型、命名约定以及如何监控接口的信息。
了解接口
接口充当流量进出设备的门口。瞻博网络设备支持多种接口类型:
网络接口 — 网络接口主要提供流量连接。
服务接口 — 服务接口在流量传输到其目标之前对其进行操作。
特殊接口 — 特殊接口包括管理接口、环路接口和丢弃接口。
每种类型的接口都使用特定的介质来传输数据。介质使用的物理线路和数据链路层协议决定了流量的发送方式。要配置和监控接口,您需要了解其介质特征,以及 IP 寻址、链路层协议和链路封装等物理和逻辑属性。
大多数接口可配置,但某些内部生成的接口不可配置。
网络接口
所有瞻博网络设备都使用网络接口与其他设备建立物理连接。通过 SRX 系列服务网关中的 I/O 卡 (IOC) 沿特定于介质的物理线路进行连接。网络接口主要提供流量连接。
必须先配置每个网络接口,然后才能在设备上运行。配置接口既可以定义链路的物理属性,也可以定义链路上逻辑接口的逻辑属性。
表 1 介绍了 SRX 系列防火墙上可用的网络接口。
接口名称 |
描述 |
---|---|
|
聚合以太网接口。请参阅 了解聚合以太网接口。 |
|
ATM-over-ADSL 或 ATM-over-SHDSL WAN 接口。 |
|
3G 无线调制解调器或 LTE Mini-PIM 的物理接口。请参阅 了解 3G 无线调制解调器物理接口 和 LTE Mini-PIM 概述。从 Junos OS 版本 15.1X49-D100 开始,SRX320、SRX340、SRX345 和 SRX550HM 设备支持 LTE 接口。拨号器接口用于通过 LTE 网络启动无线 WAN 连接。 |
|
用于启动 USB 调制解调器或无线 WAN 连接的拨号器接口。请参阅 USB 调制解调器接口 概述和 LTE 小型 PIM 概述。 |
|
E1(也称为 DS1)WAN 接口。请参阅 了解 T1 和 E1 接口。 |
|
E3(也称为 DS3)WAN 接口。请参阅 了解 T3 和 E3 接口。 |
|
快速以太网接口。请参阅 了解以太网接口。 |
|
千兆以太网接口。请参阅 了解以太网接口。 |
|
VDSL2 接口。请参阅示例:配置 VDSL2 接口(详细信息)。 |
|
仅适用于机箱群集配置,冗余以太网接口。请参阅 了解以太网接口。 |
|
串行接口(RS-232、RS-422/499、RS-530、V.35 或 X.21)。请参阅 串行接口概述。 |
|
T1(也称为 DS1)WAN 接口。请参阅 了解 T1 和 E1 接口。 |
|
T3(也称为 DS3)WAN 接口。请参阅 了解 T3 和 E3 接口。 |
|
用于 WAN 加速的 WXC 集成服务模块 (ISM 200) 接口。请参阅 WXC 集成服务模块安装和配置。 |
|
10 千兆以太网接口。请参阅了解 2 端口 10 千兆以太网 XPIM。 |
受影响的接口包括:ATM-over-ADSL 或 ATM-over-SHDSL () 接口、拨号器接口 ()、E1(也称为 DS1)WAN 接口、E3(也称为 DS3)WAN 接口、VDSL2 接口 ()、串行接口 ()、T1(也称为 DS1)WAN 接口、T3(at
dl
pt
se
也称为 DS3)WAN 接口。但是,从 Junos OS 版本 15.1X49-D40 及更高版本开始,SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550HM 设备支持 VDSL2 ()、串行 ()、T1 () 和 E1 (pt
se
t1
e1
) 接口。
服务接口
服务接口提供在流量传输到其目标之前对其进行操作的特定功能。在瞻博网络 M 系列和 T 系列路由平台上,IP 封装等单个服务、多链路协议等链路服务、状态防火墙过滤器和 NAT 等自适应服务以及采样和日志记录功能由服务物理接口卡 (PIC) 实现。在 SRX 系列防火墙上,服务处理由服务处理卡 (SPC) 处理。
尽管同一 Junos OS 映像支持跨所有路由平台的服务功能,但在 SRX 系列防火墙上,服务接口不与物理接口关联。要在这些设备上配置服务,请通过指定插槽 0
、接口运营商 0
和端口 0
(例如, gr-0/0/0
用于 GRE)来配置一个或多个内部接口。
表 2 介绍了您可以在 SRX 系列防火墙上配置的服务接口。
接口名称 |
描述 |
---|---|
|
可配置的通用路由封装 (GRE) 接口。GRE 允许将一个路由协议封装在另一个路由协议内。 数据包被路由到此内部接口,首先使用 GRE 数据包封装,然后发送。 您可以使用默认接口作为父接口并创建扩展,例如 gr-0/0/0.1、gr-0/0/0.2 等,创建此接口的多个实例,用于将封装的数据转发到多个目标地址。 GRE 接口仅为内部接口,不与物理接口关联。它仅用于处理 GRE 流量。有关隧道服务的信息,请参阅 路由设备的 Junos OS 服务接口库 。 |
|
可配置的 IP-over-IP 封装(IP-IP 隧道)接口。IP 隧道允许将一个 IP 数据包封装在另一个 IP 数据包中。 借助 IP 路由,您可以将 IP 数据包直接路由到特定地址,或将 IP 数据包路由到内部接口,在该接口中,IP 数据包被封装在 IP-IP 隧道内并转发到封装数据包的目标地址。 您可以使用默认接口作为父接口并创建扩展(例如 ip-0/0/0.1、ip-0/0/0.2 等),创建此接口的多个实例,用于将 IP-IP 隧道数据转发到多个目标地址。 IP-IP 接口仅为内部接口,不与物理接口关联。它仅用于处理 IP-IP 隧道流量。有关隧道服务的信息,请参阅 路由设备的 Junos OS 服务接口库 。 |
|
可配置的链路服务队列接口。链路服务包括多链路服务 MLPPP、MLFR 和压缩实时传输协议 (CRTP)。 数据包被路由到此内部接口进行链路捆绑或压缩。链路服务接口仅为内部接口,不与物理接口关联。您必须为其配置接口才能执行多链路服务。
注意:
ls-0/0/0 接口已被弃用。ls-0/0/0 支持的所有多类多链路功能现在都受 lsq-0/0/0 支持。 |
|
可配置的逻辑隧道接口,用于互连 SRX 系列防火墙上的逻辑系统。请参阅 适用于安全设备的《逻辑系统和租户系统用户指南》。 |
|
可配置的 PPPoE 封装接口。在以太网网络中路由的 PPP 数据包使用 PPPoE 封装。 数据包被路由到此内部接口以进行 PPPoE 封装。PPPoE 封装接口仅为内部接口,不与物理接口关联。您必须为其配置接口以转发 PPPoE 流量。 请参阅 了解以太网上的点对点协议。 |
|
协议无关组播 (PIM) 解封装接口。在 PIM 稀疏模式下,第一跃点路由平台封装发往集合点设备的数据包。数据包使用单播标头封装,并通过单播隧道转发到集合点。然后,集合点对数据包进行解封装,并通过其组播树传输数据包。 在设备内,数据包被路由到此内部接口进行解封装。PIM 解封装接口只是内部接口,不与物理接口关联。必须使用层次结构配置 使用 |
|
协议无关组播 (PIM) 封装接口。在 PIM 稀疏模式下,第一跃点路由平台封装发往集合点设备的数据包。数据包使用单播标头封装,并通过单播隧道转发到集合点。然后,集合点对数据包进行解封装,并通过其组播树传输数据包。 在设备内,数据包被路由到此内部接口进行封装。PIM 封装接口只是内部接口,不与物理接口关联。必须使用层次结构配置 |
|
用于 IPSec VPN 的安全隧道接口。请参阅 适用于安全设备的 IPsec VPN 用户指南。 |
|
可配置的 USB 调制解调器物理接口。当 USB 调制解调器连接到设备上的 USB 端口时,将检测到此接口。 请参阅 USB 调制解调器配置概述。 |
|
组播隧道接口。此接口是自动生成的,但您可以根据需要在其上配置属性。 |
表 3 介绍了 SRX 系列防火墙的不可配置服务接口。
接口名称 |
描述 |
---|---|
|
由 Junos OS 创建的内部生成的通用路由封装 (GRE) 接口,用于处理 GRE 流量。它不是一个可配置的接口。 |
|
由 Junos OS 创建的内部生成的 IP over IP 接口,用于处理 IP 隧道流量。它不是一个可配置的接口。 |
|
由 Junos OS 创建的内部生成链路服务接口,用于处理 MLPPP、MLFR 和 CRTP 等多链路服务。它不是一个可配置的接口。 |
|
系统用作 WXC 集成服务模块和路由引擎之间的控制路径的内部配置接口。它不是一个可配置的接口。请参阅 WX 和 WXC 系列。 |
|
由 Junos OS 创建的内部生成的协议无关组播 (PIM) 解封装接口,用于处理 PIM 解封装。它不是一个可配置的接口。 |
|
由 Junos OS 创建的内部生成的协议无关组播 (PIM) 封装接口,用于处理 PIM 封装。它不是一个可配置的接口。 |
|
由 Junos OS 创建的内部生成接口,用于在被动监控期间监控和记录流量。数据包转发引擎丢弃的数据包将放置在此接口上。它不是一个可配置的接口。 |
|
自适应服务接口。逻辑接口 |
特殊接口
特殊接口包括主要用于远程访问设备的管理接口、根据所配置的特定 Junos OS 功能具有多种用途的环路接口,以及丢弃接口。
表 4 介绍了 SRX 系列防火墙的特殊接口。
接口名称 |
描述 |
---|---|
|
在 SRX 系列防火墙上,fxp0 管理接口是位于路由引擎上的专用端口。 |
|
环路地址。环路地址有多种用途,具体取决于所配置的特定 Junos 功能。 |
|
丢弃接口。 |
接口命名约定
每个设备接口都有一个遵循命名约定的唯一名称。如果您熟悉瞻博网络 M 系列和 T 系列路由平台,请注意设备接口名称与这些路由平台上的接口名称相似但不相同。
每个网络接口的唯一名称标识其类型和位置,并指示它是物理接口还是在物理接口上创建的可选逻辑单元。
每个网络接口的名称具有以下格式,用于标识与单个物理网络连接器对应的物理设备:
type-slot/pim-or-ioc/port
按时隙划分的网络接口名称中包含通道号,前面加上冒号 (:):
type-slot/pim-or-ioc/port:
channel
每个逻辑接口都有一个附加的逻辑单元标识符,前面有一个句点 (.):
type-slot/pim-or-ioc/port:<channel>.unit
表 5 汇总了接口名称的各个部分。
名称部件 |
意义 |
可能的值 |
---|---|---|
|
可以连接到此接口的网络介质的类型。 |
AE、AT、EI、E3、FE、FXP0、FXP1、GE、LO0、LSQ、LT、PPO、PT、STO、T1、T3、XE 等。 |
|
安装 PIM 或 IOC 的机箱插槽编号。 |
SRX5600 和SRX5800设备:插槽编号从
SRX3400和SRX3600设备:交换矩阵板 (SFB) 始终
|
|
物理接口所在的 PIM 或 IOC 的编号。 |
SRX5600和SRX5800设备:对于 40 端口千兆以太网 IOC 或 4 端口 10 千兆以太网 IOC,此数字可以是 SRX3400、SRX3600 和 SRX 4600 设备:此数字始终 |
|
PIM 或 IOC 上物理接口所在的端口号。 |
在SRX5600和SRX5800设备上:
在 SRX3400、SRX3600 和 SRX 4600 设备上:
端口号显示在 PIM 或 IOC 面板上。 |
|
部分或通道化 T1 或 E1 接口上的通道(时隙)编号。 |
|
|
在物理接口上创建的逻辑接口编号。 |
从 如果未指定逻辑接口号,则单位 除了用户配置的接口外,还有一些动态创建的逻辑接口。因此,对于 Junos OS,配置逻辑接口的最大限制为 2,62,143(用户配置和动态创建)。根据性能,对于每个平台,支持的最大逻辑接口数可能会有所不同。 |
平台支持取决于安装中的 Junos OS 版本。
了解数据链路层
数据链路层是开放系统互连 (OSI) 模型中的第 2 层。数据链路层负责通过物理网络链路传输数据。每个物理介质都有针对网络和链路层协议特性(如物理寻址、网络拓扑、错误通知、帧排序和流控制)的链路层规范。
物理寻址
物理寻址不同于网络寻址。网络地址区分网络中的节点或设备,允许通过网络路由或交换流量。相反,物理寻址在链路层级别标识设备,区分同一物理介质上的单个设备。物理寻址的主要形式是媒体访问控制 (MAC) 地址。
网络拓扑
网络拓扑规范确定设备在网络中的链接方式。某些介质允许通过总线拓扑连接设备,而其他介质则需要环形拓扑。总线拓扑由瞻博网络设备支持的以太网技术使用。
错误通知
数据链路层提供错误通知,提醒更高层的协议物理链路上发生了错误。链路级错误的示例包括信号丢失、串行连接中的时钟信号丢失或 T1 或 T3 链路上的远程端点丢失。
帧排序
数据链路层的帧排序功能允许不按顺序传输的帧在传输的接收端重新排序。然后,可以通过第 2 层标头中的位来验证数据包的完整性,该标头与数据有效负载一起传输。
流量控制
数据链路层内的流量控制允许链路上的接收设备检测拥塞并通知其上游和下游邻居。邻居设备将拥塞信息中继到其更高层的协议,以便可以更改或重新路由流量。
数据链路子图层
数据链路层分为两个子层:逻辑链路控制 (LLC) 和媒体访问控制 (MAC)。LLC 子层通过网络的单个链路管理设备之间的通信。此子层支持链路层帧中的字段,这些字段使多个更高层协议能够共享单个物理链路。
MAC 子层控制对物理网络介质的协议访问。通过通常分配给设备上所有端口的 MAC 地址,同一物理链路上的多个设备可以在数据链路层唯一地相互识别。除了通常在网络中的端口上手动配置的网络地址之外,还使用 MAC 地址。
MAC 寻址
MAC 地址是永久存储在设备适配器中的序列号,用于唯一标识设备。MAC 地址在数据链路层运行,而 IP 地址在网络层运行。当设备在网络中移动到不同的 IP 子网时,设备的 IP 地址可能会更改,但 MAC 地址保持不变,因为它在物理上绑定到设备。
在 IP 网络中,设备通过地址解析协议 (ARP) 将每个 MAC 地址与其相应配置的 IP 地址进行匹配。ARP 维护一个表,其中包含网络中每个 MAC 地址的映射。
大多数第 2 层网络使用三个主编号空间之一:MAC-48、EUI-48(扩展唯一标识符)和 EUI-64,它们都是全局唯一的。MAC-48 和 EUI-48 空间分别使用 48 位地址,EUI-64 空间使用 64 位地址,但这三个空格使用相同的编号格式。MAC-48 地址标识网络硬件,EUI-48 地址标识其他设备和软件。
设备上支持的以太网和 ATM 技术使用 MAC-48 地址空间。IPv6 使用 EUI-64 地址空间。
MAC-48 地址是大多数网络中最常用的 MAC 地址。这些地址是 12 位十六进制数字(长度为 48 位),通常以下列格式之一显示:
MM:MM:MM:SS:SS:SS
MM-MM-MM-SS-SS-SS
前三个八位位组(MM:MM:MM
MM-MM-MM
或)是硬件制造商的 ID 号。制造商 ID 号由电气和电子工程师协会 (IEEE) 分配。最后三个八位位组(SS:SS:SS
SS-SS-SS
或)构成设备的序列号,由制造商分配。例如,以太网接口卡的 MAC 地址可能为 00:05:85:c1:a6:a0
。