这里介绍了Hillstone常见的接口及其配置方法。了解接口的定义机配置，可以更加了解Hillstone的工作原理和工作方式。

绑定接口到域

WebUI：请按照以下步骤将接口绑定到域：

1. 访问页面“网络􀁨接口”，点击接口对应的『编辑』按钮。
2. 为接口选择<第二层安全域>或者<第三层安全域>。
3. 从相应的下拉菜单中选择安全域。

把接口从三层接口转换成二层接口前，必须将三层接口配置的IP 地址取消。

配置接口IP 地址

1. 访问页面“网络􀁨接口”，点击接口相应的『编辑』按钮。
2. 选中<第三层安全域>的单选按钮。
3. 在<IP 配置>部分根据需求配置IP 地址。

设备上所有接口配置的IP 地址都必须在不同网段。用户可以为接口配置静态IP地址，也可以让接口通过DHCP 或者PPPoE 协议动态获得IP 地址。

在为接口指定IP 地址时，请注意以下两点：
♦ StoneOS 支持两种子网掩码书写方法，所以1.1.1.1/24 也可写成1.1.1.1255.255.255.0。
♦ 只有已经绑定到域的接口才可以配置IP 地址。

配置接口二级IP 地址

用户可以为已经配置了静态IP 地址的接口配置最多两个二级IP 地址。
二级IP 地址与主IP地址不能在同一网段。
取消接口的主IP 地址之前，必须先取消接口的二级IP 地址。

配置接口最大传输单元（MTU）

默认情况下，接口的最大传输单元值为1500 字节。用户可以根据自己的需要改变最大传输单元的值。该值的范围在1280 到1500 字节之间。

设置接口ARP 超时时间

默认情况下，接口的ARP 超时时间是1200 秒（s）。用户可以根据需要改变该值。该值的范围在5 到65535 秒之间。

配置接口管理功能

接口的以下功能需要通过命令开启后才可以使用，包括SSH、Telnet、Ping、SNMP、HTTP 和HTTPS。开启这些功能后，用户可以使用接口上的IP 地址通过相应的功能管理和配置设备。Untrust口一般这些服务是不开的，如果需要对设备进行远程管理，需要在配置的时候将你所需要的服务打上钩。

配置接口ARP 认证功能

SA 系列安全网关提供ARP 认证功能，保护客户端免受ARP 欺骗攻击。ARP 认证功能通过ARP 客户端Hillstone Secure Defender 来实现。安装HillstoneSecure Defender 的PC 在通过设备开启ARP 认证功能的接口访问Internet 时，会与Hillstone 设备进行ARP 认证，保证与PC 相连的设备的MAC 地址是可信的。同时，该ARP 客户端还具有强大的反伪造和防重放机制，为系统防御各种ARP 攻击。

注意：由于Loopback 接口和PPPoE 子接口不具有ARP 学习功能，所以这两种接口不支持ARP 认证。

配置接口镜像功能

SA 系列安全网关的以太网口具有接口镜像功能。用户可以将接口的流量镜像到其它接口（分析接口），对流量进行监控。

配置接口逆向路由功能

逆向路由功能是指用于转发反向数据的路由。反向是相对于初始化数据流方向。逆向路由功能仅适用于三层接口。

注意：如果找到的逆向路由出接口和原入接口不在同一个安全域，设备仍会丢弃数据包。

回环接口

回环接口为逻辑接口，其特征为：回环接口一直处于工作状态，只有当回环接口所在安全设备关闭，回环接口才会关闭。回环接口的命名规则为loopbackNumber，其中Number 为1 到256 的整数，用来作为回环接口的唯一标识。

配置Combo 口

SA 系列安全网关配有光口+电口的Combo 口。默认情况下，如果光口与电口均有线缆连接，设备会优先使用光口；如果设备最初使用的是电口，连接好光口电缆，重启设备后，设备会使用光口进行数据传输。用户可以通过命令控制光口与电口的使用。

配置Combo 口，需要在接口配置模式下进行配置。

VSwitch 接口

VSwitch 接口是三层接口。它代表了VSwitch 上所有端口的集合。用户在创建VSwitch 的同时，也创建了该VSwitch 的VSwitch 接口。

BGroup 接口

BGroup 将多个物理接口组织在一起。每一个BGroup 构成一个独立的广播域，数据包可以在BGroup 中的接口之间根据MAC 地址由硬件进行快速转发。使用BGroup 能够提高设备的性能。用户在创建一个BGroup 接口的同时，也创建了与该BGroup 接口相对应的BGroup。用户可以将BGroup 接口绑定到二层安全域，然后将其添加到VSwitch 中，也可以将BGroup 接口绑定到三层安全域，再为其配置IP 地址。

用户可以根据需要给BGroup 添加或者删除物理接口。添加物理接口到BGroup。

集聚接口

一个集聚接口是两个或者多个物理接口的集合。这些物理接口平均分担通过该集聚接口的流量。集聚接口能够提高接口的可用带宽。如果集聚接口中的一个物理接口出现故障，不能工作，其它接口可以继续处理流量，只是可使用的带宽变小了。

访问页面“网络􀁨接口”，从『新建』按钮旁的下拉菜单选择<集聚接口>/<集聚子接口>，然后点击『新建』按钮。

1. 访问页面“网络􀁨接口”，点击以太网接口对应的『编辑』按钮。
2. 为接口选择<无绑定安全域>。
3. 选择<集聚接口组>单选按钮，然后从下拉菜单中选择集聚接口。

冗余接口

一个冗余接口绑定到两个物理接口。一个物理接口为主接口处理流向该冗余接口的流量。另外一个接口作为备用接口在主接口发生故障时升级为主接口继续处理流量。

访问页面“网络􀁨接口”，从『新建』按钮旁的下拉菜单选择<冗余接口>/<冗余子接口>，然后点击『新建』按钮。

1. 访问页面“网络􀁨接口”，点击以太网接口对应的『编辑』按钮。
2. 为接口选择<无绑定安全域>。
3. 选择<冗余接口组>单选按钮，然后从下拉菜单中选择冗余接口。

隧道接口

SA 系列安全网关支持VPN 功能。隧道接口充当VPN 通道的入口。流量通过隧道接口进出VPN 通道。隧道接口只能是三层接口。

访问页面“网络􀁨接口”，从『新建』按钮旁的下拉菜单选择<隧道接口>，然后点击『新建』按钮。

为实现VPN 功能，用户需要为隧道接口绑定VPN 隧道。

1. 访问页面“网络􀁨接口”，点击隧道接口对应的『编辑』按钮。
2. 从<VPN 隧道>下拉菜单选择VPN 隧道进行绑定。

PPPoE 子接口

SA 系列安全网关支持多个PPPoE 接口功能。多个PPPoE 接口功能指基于以太网口创建多个PPPoE 子接口后，一个物理以太网口便可以通过多个PPPoE 子接口连接多个ISP。

原创文章如转载，请注明：
转载自醉生梦死的博客
原文地址：http://www.liusuping.com/post/hilltone-interface-config.html