Сетевые интерфейсы
Last updated
Last updated
Название службы раздела Сетевые интерфейсы: ideco-network-backend
; ideco-network-nic
.
Список имен служб для других разделов доступен по ссылке.
Сетевой порт становится активным только после создания сетевого интерфейса (внешнего или локального). До этого момента индикаторы на подключенных сетевых портах не горят и Ethernet-кадры не передаются.
Все созданные интерфейсы представлены в виде таблицы:
Если сетевая карта уже используется каким-либо интерфейсом, то NGFW выведет окно с ошибкой Комбинации сетевой карты/vlan тега должны быть уникальны:
Например: исходная версия NGFW 16.Х -> провели миграцию NGFW на новое оборудование -> настроили новое оборудование -> провели обновление -> в разделе Сетевые интерфейсы будут отображаться старые (до миграции) и новые (после миграции и настройки) сетевые интерфейсы.
В зависимости от объема оперативной памяти на сервере в Ideco NGFW есть ограничения на количество сетевых интерфейсов:
на количество сетевых VLAN-интерфейсов:
до 8 ГБ - 14 VLAN-интерфейсов,
от 8 до 16 ГБ - 33 VLAN-интерфейса,
16 ГБ и более - 66 VLAN-интерфейсов. При создании большего количества VLAN-интерфейсов могут возникнуть проблемы в работе Контроля приложений и Ограничения скорости.
на количество сетевых интерфейсов (не VLAN):
до 16 ГБ - 40 сетевых интерфейсов.
При создании, редактировании или удалении сетевого интерфейса перевыпускается SSL-сертификат, поэтому вероятно снижение скорости работы веб-интерфейса Ideco NGFW. В этом случае рекомендуем нажать F5.
Агрегированные интерфейсы реализованы по стандарту LACP (IEEE 802.3ad).
Используется active режим - постоянная рассылка LACP пакетов.
Проверка соседства осуществляется в режиме slow - раз в 30 секунд.
Количество сетевых карт, объединяемых в агрегированный интерфейс, не ограничено.
Нельзя добавлять LACP-интерфейсы в VCE.
Чтобы объединить несколько сетевых интерфейсов в один агрегированный, перейдите в раздел Сервисы -> Сетевые интерфейсы и в таблице Агрегированные интерфейсы (LACP) нажмите Добавить. Укажите название, выберите сетевые карты и нажмите Сохранить.
При выборе сетевой карты обращайте внимание на пиктограммы:
Если были выбраны уже использующиеся сетевые интерфейсы, то при нажатии на кнопку Сохранить появится сообщение:
При нажатии на Да сетевая карта будет использоваться агрегированным интерфейсом и станет недоступна для ранее созданного сетевого интерфейса:
На основе созданного агрегированного интерфейса можно создавать любой логический интерфейс, в том числе с указанием VLAN.
На вкладке настраиваются GRE-туннели.
GRE-туннель - это соединение точка-точка c возможностью передавать широковещательный трафик. На таких интерфейсах может работать протокол динамической маршрутизации OSPF. Пакеты, проходящие внутри GRE, не шифруются.
Для добавления GRE-туннеля нажмите Добавить, заполните поля и нажмите Сохранить:
Название - введите название туннельного интерфейса;
Зона - выберите объект типа Зона, в состав которой будет входить создаваемый туннельный интерфейс;
Интерфейс - укажите сетевой интерфейс, через который будет выполняться подключение;
Адрес удаленного интерфейса - укажите IP-адрес интерфейса, с которым будет производиться соединение;
IP-адрес/маска - укажите данные создаваемого туннеля;
Шлюз - шлюз для направления трафика по умолчанию;
Комментарий - поле может быть пустым.
На этой вкладке пробрасываются сетевые карты и VLAN-интерфейсы Ideco NGFW в виртуальные серверы, созданные в разделе Управление сервером -> VCE.
Чтобы назначить сетевую карту или VLAN-интерфейс VCE, нажмите Добавить и выполните действия:
1. Выберите сетевую карту:
2. Заполните следующие поля:
Название - введите название VCE-интерфейса;
VCE - выберите из списка VCE, созданный в разделе Управление сервером -> VCE;
Тег VLAN - если нужно пробросить в VCE порт сетевой карты, оставьте поле пустым. Если нужно пробросить только VLAN, укажите тег VLAN - число от 1 до 4094;
Комментарий - поле может быть пустым.
3. Нажмите Сохранить.
При наличии большого количества VCE-интерфейсов в таблице воспользуйтесь кнопкой Фильтры.
По кнопке Сетевые карты доступны все сетевые карты корневого VCE, еще не проброшенные в дочерние VCE.
Переданная VCE сетевая карта будет недоступна для использования корневым NGFW. Также невозможно будет назначить эту карту другому VCE без указания тега VLAN.
Не присваивайте VCE сетевые карты, которые используются корневым NGFW, без указания тега VLAN. В противном случае доступ к веб-интерфейсу NGFW будет потерян.
В режиме редактирования появляется возможность смены названия, сетевой карты (по кнопке ), зоны и настроек конфигурации (вручную или автоматически):
При миграции NGFW с одной физической машины на другую (перенос диска или восстановление бекапа на новом оборудовании), будут восстановлены настройки всех сетевых интерфейсов, указанные до миграции. Для удаления ненужных интерфейсов воспользуйтесь кнопкой .
- сетевая карта уже используется другим интерфейсом;
- сетевая карта не используется.