出于安全的考虑，防火墙对每个接口都必须绑定在某一个安全域上，根据接口所在的安全域对该端口上的流量进行相应处理。

接口（Interfaces）介绍

接口允许流量进出安全域。因此，为使流量能够流入和流出某个安全域，必须将接口绑定到该安全域，并且，如果是三层安全域，还需要为接口配置IP 地址。然后，必须配置相应的策略规则，允许流量在不同安全域中的接口之间传输。多个接口可以被绑定到一个安全域，但是一个接口不能被绑定到多个安全域。

接口类型

SA 系列安全网关设备具有多种类型接口，根据性质的不同，分为物理接口和逻辑接口。

♦ 物理接口：安全设备上的每一个以太网接口都表示一个物理接口。物理接口的名称是预先定义的， 由媒体类型、插槽号和位置参数组成， 例如ethernet2/1 或ethernet0/2。
♦ 逻辑接口：StoneOS 的逻辑接口包括BGroup 接口、子接口、VSwitch 接口、回环接口、隧道接口、集聚接口和冗余接口。

根据接口所处安全域的不同，接口还可以分为二层接口和三层接口。

♦ 二层接口：属于二层域的接口为二层接口。
♦ 三层接口：属于三层域的接口为三层接口。只有三层接口可以在NAT/路由模式下工作。

逻辑接口类型及描述

BGroup 接口: BGroup 将多个物理接口组织在一起。每一个BGroup 构成一个独立的广播域，数据包可以在BGroup 中的接口之间根据MAC 地址进行快速转发。BGroup 接口为BGroup 相对应的接口，与外部代表BGroup 进行流量转发。

子接口: 子接口的名称是它来源的接口名字的扩展，例如ethernet0/2.1。StoneOS 支持以下类型子接口：以太网子接口、集聚子接口、冗余子接口和BGroup 子接口。接口和它的子接口可以被绑定到同一个安全域中，也可以被绑定到不同的安全域中。

VSwitch 接口 : VSwitch 接口是三层接口。它代表了VSwitch 上所有接口的集合。VSwtich 接口相当于实际交换机的上连口，能够实现数据包在二层与三层之间的转发。

回环接口 ：回环接口是逻辑接口，并且只要回环接口所在的安全设备处于工作状态，回环接口就一直处于工作状态。因此，回环接口具有稳定的特性。

隧道接口 ：隧道接口充当VPN 通道的入口。流量通过隧道接口进出VPN 通道。隧道接口只能是三层接口。

集聚接口 ：集聚接口是物理接口的集合，一个集聚可以包含1 到4 个物理接口。这些物理接口平均分担通过集聚接口流量。因此集聚接口可以提高单个IP 地址的可用带宽。如果集聚接口中的一个物理接口出现故障，不能工作，其它接口可以继续处理流量，只是可使用的带宽变小了。

冗余接口 冗余接口能够实现两个物理接口的备份。一个物理接口为主接口处理流向该冗余接口的流量。另外一个接口作为备用接口在主接口发生故障时继续处理流量。

接口关系

如上图所示，对于冗余接口（Red IF），两个物理接口（PHY IF）绑定到一个冗余接口，基于该冗余接口，用户可以创建冗余子接口（Red SubIF）。对于集聚接口（Agg IF），最多四个物理接口绑定到一个集聚接口，基于该集聚接口，用户可以创建集聚子接口（Agg SubIF）。对于BGroup 接口（BGrp IF），多个物理接口绑定到一个BGroup，基于该BGroup 接口，用户可以创建BGroup 子接口（BGrpSubIF）。

如图上所示，VSwitch 接口代表了VSwitch 上的所有接口的集合。数据包通过VSwitch 接口（VSwitch IF），实现二层与三层之间的转发。

原创文章如转载，请注明：
转载自醉生梦死的博客
原文地址：http://www.liusuping.com/post/stoneos-interface-relationship.html