HW防火墙
防火墙
基本定义
防火墙用于保护网络区域免受来自另一个网络区域的攻击和入侵,通常用于网络边界,例如企业互联网出口、企业内部业务边缘、数据中心边缘等;
现阶段主要的防火墙设备形式有:框式防火墙、盒式防火墙和软件防火墙。
在园区网中,交换机的作用是接入终端和汇聚内部路由,组建内部互联网的局域网; 路由器的作用是路由的分发、寻址和转发,构建外部连接网络; 而防火墙是用于流量控制和安全防护,区分和隔离不同安全区域。
基本概念
安全区域
Security Zone,简称为Zone,防火墙大部分的安全策略都基于安全区域实施
一个安全区域是防火墙若干接口所连网络的集合,一个区域内的用户具有相同的安全属性
默认安全区域
华为防火墙默认创建了四个区域:untrust、dmz、trust、local。防火墙默认安全区域均为小写字母,且大小写敏感
默认的安全区域不能删除,也不能修改优先级。各默认区域具体内容如下:
非受信区域(untrust):通常用于定义Internet等不安全的网络。
非军事化区域(dmz):通常用于定义内网服务器所在区域。因为这种设备虽然部署在内网,但是经常需要被外网访问,存在较大安全隐患,同时一般又不允许其主动访问外网,所以将其部署一个优先级比trust低,但是比untrust高的安全区域中。
- DMZ(Demilitarized Zone)起源于军方,是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。防火墙设备引用了这一术语,指代一个逻辑上和物理上都与内部网络和外部网络分离的安全区域。
- DMZ安全区域很好地解决了服务器的放置问题。该安全区域可以放置需要对外提供网络服务的设备,如WWW服务器、FTP服务器等。上述服务器如果放置于内部网络,外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络;如果放置于外部网络,则无法保障它们的安全。
受信区域(trust):通常用于定义内网终端用户所在区域。
本地区域(local):local区域定义的是设备本身,包括设备的各接口本身。凡是由设备构造并主动发出的报文均可认为是从Local区域中发出,凡是需要设备响应并处理(而不仅是检测或直接转发)的报文均可认为是由local区域接收。用户不能改变local区域本身的任何配置,包括向其中添加接口。
- 由于local区域的特殊性,在很多需要设备本身进行报文收发的应用中,需要开放对端所在安全区域与local区域之间的安全策略。
用户也可以自己创建安全区域,但每个安全区域必须要设置一个优先级,值越大,优先级越高(但不能创建和默认安全区域相同名字或者相同优先级的区域)
区域间
流量的源、目的地址决定了互访的区域。例如:
①中PC访问防火墙的接口流量是从trust到local的;②中PC访问Internet的接口流量是从trust到untrust
会话表
用于记录TCP、UDP、ICMP等协议连接状态的表项
防火墙采用基于“状态”的报文控制机制,只对首包或者少量报文进行检测,从而确定一条连接的状态,大量报文则直接根据所属连接的状态进行控制。
会话表中的每一项,例如上图中的http VPN:public --> public 192.168.1.1:52754 --> 10.1.1.1:80便是一条会话表项,其中关键字段有五个,因此又称为”五元组“,分别是协议、源地址、目的地址、源端口和目的端口,在该表项中分别对应http、192.168.1.1、10.1.1.1、52754、80。五元组能唯一确定一个会话。
而vpn public-->public指的是,vpn实例,public表示根防火墙,public->public便是根防火墙上的会话信息。
注意,会话表是动态生成的,不是永久的,当有一个会话长时间没有报文匹配,则防火墙会在会话老化时间后,将其删除
会话表的处理过程
流量的首包会创建会话表项,后续包即可直接匹配会话表项
会话表老化时间
当一条报文在老化时间内没有被任何报文匹配,则会被删除,以避免防火墙的设备资源被无用、陈旧的会话表项消耗。
对于某些特殊业务,例如通过FTP下载文件、查询数据库上的数据,可以通过设定超长的老化时间来解决业务中断问题。
安全策略
安全策略是控制防火墙对流量转发以及对流量进行内容安全一体化检测的策略
当防火墙收到流量后,对流量的属性(五元组、用户、时间段等)进行识别,然后与安全策略的条件进行匹配,执行对应匹配的动作。
安全策略的组成如下:
如果动作为允许,同时没有配置内容安全策略,则允许流量通过;如果配置了安全检测,则根据内容安全检测的结果判断是否放行流量(内容安全策略如上图最右侧框所示),只要有一个安全配置文件阻断该流量,防火墙就阻断该流量。
如果动作为禁止,防火墙不仅可以丢弃报文,还能针对不同报文发送对应的反馈报文,例如:
- Reset客户端:防火墙向TCP客户端发送TCP reset报文。
- Reset服务器:防火墙向TCP服务器发送TCP reset报文。
- ICMP不可达:FW向报文客户端发送ICMP不可达报文。
发起请求连接的C/S则可以感知到请求被阻断,从而进行相应操作。
安全策略的匹配方向
防火墙的域间有Inbound和Outbound两个方向,对于同一条数据流,只需要在发起会话的方向应用安全策略即可,反向报文不需要应用安全策略,因为对于同一条数据流,只有首包匹配安全策略并建立会话,后续报文都会匹配会话进行转发。
例如在上图,如上图所示,Trust域的PC访问Untrust域的 Server ,只需要在Trust到Untrust的Outbound方向上应用安全策略允许PC访问 Server 即可,对于 Server 回应PC的应答报文会命中首包建立的会话而允许通过。
如果确实需要开放 Server主动访问PC的权限,这时才需要在 Inbound方向上也应用安全策略。
安全策略匹配过程
当配置了多条安全策略时,安全策略的匹配按照策略列表的顺序执行,如果流量匹配了某个安全策略,则不再继续下一个策略的匹配
一般先配置条件精确的策略,再配置宽泛的策略
注:系统默认存在一条缺省安全策略default。缺省安全策略位于策略列表的最底部,优先级最低,所有匹配条件均为any,动作默认为禁止。如果所有配置的策略都未匹配,则将匹配缺省安全策略default。
Server-map
当防火墙只允许业务单方向发起访问时,也就是只允许我内部网主动向互联网发出访问请求时,则有些协议例如FTP会无法运行。
因为FTP是多通道协议(通信过程需要占用两个或以上端口的协议),我们知道,FTP需要建立控制连接和数据连接,控制连接用来传输FTP指令和参数,其中就包括建立数据连接所需要的信息。数据连接用来获取服务器目录及传输数据。数据连接使用的端口号是在控制连接中临时协商的。当FTP工作模式为主动模式(PORT模式)时,FTP服务器将会主动向FTP客户端发起数据连接,那么此时防火墙将阻止流量通过,FTP将无法工作。
另外,大部分的多媒体应用协议(例如SIP、FTP、netmeeting等),都是通过一个固定端口来初始化控制连接,再动态地协商一个端口用于数据传输。因此端口号是不可预测的,使用传统的ACL过滤规则只能阻止一些固定端口的应用,无法匹配动态协商的端口,造成安全隐患。
为了解决这个问题,防火墙需要识别协议在应用层协商的地址和端口,于是ASPF(Application Specific Packet Filter,针对应用层的包过滤)出现了。
ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,即生成Server-map表。
Server-Map记录了类似于会话表中连接的状态,但相对简洁,在真实流量到达前生成。防火墙会基于Server-Map生成会话表,然后执行转发。
上图中,FTP为主动模式,Server-map为ASPF:(server)->(client_ip:port),Zone:---
而被动模式,则为ASPF:(client)->(server_ip:port),Zone:---
除了ASPF, NAT server和No-PAT方式的源NAT ,都会生成相应的Server-map表
Server-map和生成表的关系
- Server-map表记录了应用层数据中的关键信息,报文命中该表后,不再受安全策略的控制;
- 会话表是通信双方连接状态的具体体现;
- Server-map表不是当前的连接信息,而是防火墙对当前连接分析后得到的即将到来报文的预测;
- 防火墙收到报文先检查是否命中会话表;
- 如果没有命中则检查是否命中Server-map表;
- 命中Server-map表的报文不受安全策略控制;
- 防火墙最后为命中Server-map表的数据创建会话表。
基础配置
HRP
HRP(Huawei Redundancy Protocol,双机热备协议)。当防火墙部署在网络出口位置时,如果发生故障会影响到整网业务,为了提升网络可靠性,部署两台防火墙并组成双机热备。
双机热备的两台防火墙(FW)的硬件和软件配置都相同,并且两台FW通过一条独立的链路连接,通常被称为“心跳线”,两台FW通过心跳线了解对端的健康状态,其中一台设备故障时平滑地切换到另一台设备上。
心跳线
双机热备组网中,心跳线是两台FW交互消息了解对端状态以及备份配置命令和各种表项的通道。心跳线两端的接口通常被称之为“心跳接口”。
心跳线主要传递如下消息:
- 心跳报文(Hello报文):两台FW通过定期(默认周期为1秒)互相发送心跳报文检测对端设备是否存活。
- VGMP报文:了解对端设备的VGMP组的状态,确定本端和对端设备当前状态是否稳定,是否要进行故障切换。
- 配置和表项备份报文:用于两台FW同步配置命令和状态信息。
- 心跳链路探测报文:用于检测对端设备的心跳口能否正常接收本端设备的报文,确定是否有心跳接口可以使用。
- 配置一致性检查报文:用于检测两台FW的关键配置是否一致,如安全策略、NAT等。
上述报文均不受FW的安全策略控制。因此,不需要针对这些报文配置安全策略。
工作模式
分为主备备份和负载分担两个模式
| 项目 | 说明 |
|---|---|
| 主备备份模式 | 两台设备一主一备。正常情况下业务流量由主用设备处理。当主用设备故障时,备用设备接替主用设备处理业务流量,保证业务不中断 流量由单台设备处理,相较于负载分担模式,路由规划和故障定位相对简单。 |
| 负载分担模式 | 两台设备互为主备。正常情况下两台设备共同分担整网的业务流量。当其中一台设备故障时,另外一台设备会承担其业务,保证原本通过该设备转发的业务不中断。 负载分担组网中使用入侵防御、反病毒等内容安全检测功能时,可能会因为流量来回路径不一致导致内容安全功能失效。 负载分担组网中配置NAT时,需要额外的配置来防止两台设备NAT资源分配冲突。 负载分担模式组网中流量由两台设备共同处理,可以比主备备份模式或镜像模式组网承担更大的峰值流量。 负载分担模式组网中设备发生故障时,只有一半的业务需要切换,故障切换的速度更快。 |
HRP是在VGMP的基础上配置运行的,VGMP详细内容见[这里](# VGMP)
在HRP中,存在一下几种情况
- 设备自身的VGMP组优先级等于对端设备的VGMP组优先级时,设备的VGMP组状态为load-balance。
- 设备自身的VGMP组优先级大于对端设备的VGMP组优先级时,设备的VGMP组状态为active。
- 设备自身的VGMP组优先级小于对端设备的VGMP组优先级时,设备的VGMP组状态为standby。
- 设备没有接收到对端设备的VGMP报文,无法了解到对端VGMP组优先级时,设备的VGMP组状态为active。例如,心跳线故障。
默认情况下,两台FW的优先级是相同的,因此默认是load-balance状态,即负载分担模式,只有在active和standby状态下才进入主备模式。
实现方式
HRP的实现方式有VRRP和动态路由(业务接口都工作在三层)、透明模式(业务接口工作在二层)和镜像模式
VRRP
通常来说,在同一个VRRP备份组中, 谁是Master谁是Backup,是由VRRP设备的优先级决定的,谁的优先级越高,谁就当Master。
但在FW中,FW的VRRP优先级是不能被设置的,当开启双机热备后,优先级固定为120。因此接口的VRRP状态决定如下:
当VGMP组状态为active时,VRRP备份组的状态都是Master。
当VGMP组状态为standby时,VRRP备份组的状态都是Backup。
当VGMP组状态为load-balance时,VRRP备份组状态由VRRP备份组的配置决定。
配置VRRP备份组的命令如下:
vrrp vrid virtual-router-id virtual-ip virtual-address { active | standby }
active表示指定VRRP备份组的状态为Master,standby表示指定VRRP备份组的状态为Backup
当要配置主备备份模式时,其中一台FW的所有VRRP备份组都为Master,另一台则都为Backup。上面提到,默认情况下FW优先级相同,因此VGMP组状态为load-balance,此时VRRP备份组就要通过命令配置主备。
#FW_A
interface GigabitEthernet 1/0/1
vrrp vrid 2 virtual-ip 10.0.0.1 active
interface GigabitEthernet 1/0/3
vrrp vrid 1 virtual-ip 10.0.1.1 active
#FW_B
interface GigabitEthernet 1/0/1
vrrp vrid 2 virtual-ip 10.0.0.1 standby
interface GigabitEthernet 1/0/3
vrrp vrid 1 virtual-ip 10.0.1.1 standby
当其中一台机器故障时,例如FW_A的上行链路(连接外部网络的链路)故障,FW_A和FW_B的VRRP组都进入Initialize状态,并且FW_A的VGMP组状态变为standby,FW_B的VGMP组状态变为active,因此对应的VRRP备份组状态进行对应的改变:FW_A的VRRP变为backup,FW_B的VRRP变为master。
负载均衡
负载均衡的模式下,两台FW都要有为Master的VRRP备份组。同上,VRRP备份组的状态由VGMP组状态决定,而在默认情况下VGMP组状态为load-balance,因此需要对vrrp备份组进行active/standby的配置。
该例子中,FW_A中的VRRP备份组1、3为master,因此要设置为active,备份组2、4则设为standby;FW_B则相反
#FW_A
interface GigabitEthernet 1/0/1
vrrp vrid 3 virtual-ip 10.0.0.1 active
vrrp vrid 4 virtual-ip 10.0.0.2 standby
interface GigabitEthernet 1/0/3
vrrp vrid 1 virtual-ip 10.0.1.1 active
vrrp vrid 2 virtual-ip 10.0.1.2 standby
#FW_B
interface GigabitEthernet 1/0/1
vrrp vrid 3 virtual-ip 10.0.0.1 standby
vrrp vrid 4 virtual-ip 10.0.0.2 active
interface GigabitEthernet 1/0/3
vrrp vrid 1 virtual-ip 10.0.1.1 standby
vrrp vrid 2 virtual-ip 10.0.1.2 active
当一台FW故障时,例如FW_A的上行链路故障,则FW_A的VGMP组状态变为standby,FW_B变为active,因此对应地FW_B的所有VRRP变为master状态。
动态路由
启用双机热备后,FW根据VGMP组控制 OSPF、OSPFv3 发布路由的开销值、动态调整 BGP 发布路由的MED值。具体内容如下:
VGMP组状态为active时,FW按照OSPF/OSPFv3/BGP路由的配置正常发布路由。
VGMP组状态为standby时,FW会按照如下方法调整OSPF、OSPFv3发布路由的开销值和BGP发布路由的MED值:
OSPF:将OSPF发布路由的开销值调整为一个指定数值。默认是将开销值调整为65500,
可以使用 hrp adjust ospf-cost enable slave-cost 命令修改这个数值。
OSPFv3:将OSPFv3发布路由的开销值调整为一个指定数值。默认是将开销值调整为65500,
可以使用 hrp adjust ospfv3-cost enable slave-cost 命令修改这个数值。
BGP:在用户配置的BGP MED值基础上增加一定数值作为BGP发布路由时的MED值。默认增加100,
可以使用 hrp adjust bgp-cost enable slave-cost 命令修改这个数值。
VGMP组状态为load-balance时,FW默认按照OSPF/OSPFv3/BGP路由的配置正常发布路由。如果用户在FW上配置了hrp standby-device命令指定FW为备机或者将FW的所有VRRP备份组状态参数都配置为standby时,FW会调整OSPF、OSPFv3发布路由的开销值和BGP发布路由的MED值,调整的方法与VGMP组状态为standby时相同。
主备备份
默认情况下,两台FW由于VGMP组优先级相同,则VGMP组状态为load-balance,因此一般使用hrp standby-device指定一台备机(例如在本例中指定了FW_B为备机),那么FW_B的OSPF路由开销则会调整为65500(缺省值,可修改),FW_A所在的链路开销远小于FW_B所在的链路,因此内外部的流量都被引到了FW_A。
当故障时,则跟VRRP实现方式类似,VGMP组的状态改变导致了OSPF路由开销改变,最终导致流量通行设备的改变。
负载均衡
负载均衡即流量都能通过两台FW,因此要在FW的上下行路由器合理配置OSPF路由开销值,将流量均匀地引到两台FW上。
例如下图中,FW_A和FW_B到路由器的开销均为缺省值1,因此两台FW正常工作,流量均匀通过。
当有一台故障时,与主备备份同理,不再赘述。
透明模式
该模式下FW的业务接口工作在二层。
FW可以根据VGMP组状态来对VLAN进行禁用或者启用,具体规则如下:
- FW默认不会根据VGMP组状态调整任何VLAN的状态。使用hrp track vlan vlan-id命令配置VGMP组监控VLAN状态后,FW才会根据VGMP组的状态调整VLAN的状态。
- VGMP组状态为active时,FW将VGMP组监控的VLAN状态调整为启用状态,该VLAN可以转发报文。
- VGMP组状态为standby时,FW将VGMP组监控的VLAN状态调整为禁用状态,该VLAN不能转发报文。
- VGMP组状态为load-balance时,FW默认将VGMP组监控的VLAN状态调整为启用状态。如果用户在FW上配置了hrp standby-device命令指定FW为备机或者将FW的所有VRRP备份组状态参数都配置为standby时,FW会将VGMP组监控的VLAN状态调整为禁用状态。
主备备份
分为两种情况,一个是FW上下行连接交换机(如下图)
在这种情况,一般不使用负载均衡,因为负载均衡会形成二层环路,而为了消除二层环路,则一定会阻塞一台FW所在的链路,因此造成只有一台FW进行流量转发。
如果要让两台FW形成主备备份组网,需要在一台FW上配置hrp standby-device命令,将其指定为备机。同时在两台FW上使用hrp track vlan命令配置VGMP组监控接口加入的VLAN。如上图所示,FW_B上配置了hrp standby-device命令,被指定为备机。两台FW都正常工作时,FW_B上因为配置了hrp standby-device命令,VLAN10处于禁用状态。FW_A没有配置hrp standby-device命令,VLAN10处于启用状态。上下行交换机只能从连接FW_A的接口上学习到MAC地址,流量都被引导到FW_A上处理。
当主墙所在链路故障时,FW_A的VGMP组状态改变,禁用VLAN,FW_B启用VLAN。同时FW_A上加入VLAN10的所有接口都会Down然后Up一次,触发上下行交换机删除MAC地址表。当报文到达交换机时,由于没有MAC地址表,报文会在VLAN10内泛洪。报文泛洪一次后,上下行交换机从连接FW_B的接口学习到MAC地址表,后续流量被引导到FW_B上处理。
另一种是上下行连接路由器,如下图
在该情况下,FW的上下行业务接口工作在二层,与路由器直连。路由器之间运行OSPF,FW透传路由器的OSPF协议报文。
此时需要合理配置OSPF路由开销,让流量只让一台FW转发。例如在上图这个例子,R2有两条路径到达外部网络:
(1)R2->FW_B->R4,开销为200;(2)R2->R1->FW_A->R3,开销为110,因此流量会被引导到FW_A上。
负载均衡
按照前面提到的,这里不讨论上下行连接交换机的情况。
要让两台FW形成负载分担组网,需要在上下行路由器上合理配置OSPF路由开销值,将流量均匀地引导到两台FW上处理。
对于路由器R2而言,有两条路径可以到达外部网路:(1)R2->FW_B->R4,开销为10;(2)R2->R1->FW_A->R3,开销为20;因此路由器R2会选择FW_B所在的这条路径。同理,对于R1,FW_A所在的路径更优。这样,内部网络访问外部网络的流量将会由FW_A和FW_B共同处理。
同理,外部网络访问内部网络的流量也是由FW_A和FW_B共同处理。FW_A和FW_B之间形成负载分担模式的双机热备。
注意:
在这种组网环境中,FW上也要使用hrp track vlan命令配置VGMP组监控接口加入的VLAN。
使用hrp track vlan命令配置VGMP组监控接口加入的VLAN后,当VLAN内的一个接口故障时,VLAN内的其他接口都会Down然后Up一次。这种机制能加快上下行路由器的路由收敛速度。例如,FW_A上行业务接口故障时,下行业务接口会立即Down然后Up一次。路由器R1能立即感知到网络拓扑的变化,开始路由重收敛。
对于分布式的FW设备(USG9500),存在业务板故障的问题。如果FW有多块业务板,部分业务板故障时,有可能还能正常转发路由器的OSPF协议报文,不会触发上下行路由器进行路由重收敛。上下行路由器仍然会将流量发往故障的FW。但此时FW的性能已经有所降低,存在风险。
使用hrp track vlan命令配置VGMP组监控接口加入的VLAN后,当业务板故障时,FW的VGMP组状态会变成standby,VGMP组监控的VLAN会被禁用,不能再转发路由器的OSPF协议报文。上下行路由器会重新进行收敛路由,将流量发往无故障的FW上处理。
镜像模式
请使用初始状态的两台FW组成镜像模式双机热备。如果FW已在运行业务,请勿直接将非镜像模式切换成镜像模式,必须将设备恢复到初始状态后再切换成镜像模式,否则会导致业务异常。
基于镜像模式实现双机热备时,两台FW只能形成主备备份组网,不能形成负载分担组网,且主要用于DCN和云管理场景中。
基于镜像模式实现双机热备时,两台FW上编号相同的业务接口使用相同的IP地址。此处的业务接口是指除MGMT管理接口、镜像模式管理接口和心跳接口以外的接口。
基于镜像模式实现IPv6双机热备时,两台FW上编号相同的业务接口使用相同的IPv6地址和IPv6链路本地地址。请手工配置IPv6链路本地地址,不要为接口配置自动生成的链路本地地址,以免产生不一致。
镜像模式和VRRP功能是互斥的。如果FW上有VRRP配置,则不能启用镜像模式。启用镜像模式后,FW上不能再配置VRRP。
基于镜像模式实现双机热备时,仅允许在DCN场景中执行hrp base config enable命令,其他场景下禁止执行,以免引起业务异常。
启用镜像模式后,两台FW之间支持备份的配置增多。例如,接口IP地址配置命令在未启用镜像模式时不支持备份,启用镜像模式后支持备份。更多的支持配置可以上官网下文档查看。
启用镜像模式后,FW能根据VGMP组状态调整业务接口的状态:
当VGMP组状态为load-balance时,业务接口的状态由配置决定。如果用户在FW上配置了hrp standby-device命令指定FW为备机时,业务接口被调整为“静默状态”。
当VGMP组状态为active时,业务接口被调整为“非静默状态”,业务接口可以正常收发报文。
当VGMP组状态为standby时,业务接口被调整为“静默状态”,业务接口不会接收和发送除LLDP、LACP以外的其他报文,包括ARP报文、路由协议报文等等。也正因为这点,决定了镜像模式下不支持如下功能:
FW不支持通过BFD/IP-Link监控远端接口故障。
以BFD为例,因为镜像模式下的备用FW不发送BFD探测报文,备用FW的BFD状态始终是Down的。如果配置了双机热备与BFD联动,则备用FW的VGMP管理组优先级会降低2。这样,主用FW的BFD Down或者某一个接口Down时,主备不会切换。
FW与上下行设备之间的路由仅支持静态路由,不支持动态路由和智能选路。同时FW也不支持通过OSPF、BGP监控远端邻居故障。
以动态路由为例,因为镜像模式下的备用FW不会发送和接收路由协商报文,与上下行设备的动态路由邻居关系无法建立。主备切换时,新的主用FW需要和上下行设备重新协商路由,这将导致主备切换时业务中断时间较长。
镜像模式的主备备份过程跟前面几个模式类似,被hrp standby-device命令配置为备机的FW,不会响应ARP请求报文,因此流量会被引到FW_A上;FW_A所在链路故障时,VGMP组状态改变,因此主备身份切换,当FW_B切换为active时,业务接口会发送一次免费ARP报文,这个报文会刷新交换机的MAC地址表、主机和路由器的ARP缓存表。内外部网络之间的流量都会被引导到FW_B上转发。
镜像模式管理接口
缺省情况下,镜像模式的备机除了 MGMT管理接口 和心跳接口,其他的接口是不能接收和发送报文的。但是部分场景下,备机是需要接收和发送报文的。例如,向日志服务器发送日志或者与网管服务器通信。此时,可以在备机上使用hrp mgt-interface命令指定镜像模式管理接口,使用这些接口发送日志、与网管服务器通信。
以下类型的接口支持配置为镜像模式管理接口:
- 三层以太网接口
- 三层Eth-Trunk接口
- VLANIF接口
镜像模式管理接口和心跳接口、业务接口不能复用。即接口配置为镜像模式管理接口后,该接口及其子接口就不能作为心跳接口或业务接口使用。