Сетевые интерфейсы
Last updated
Last updated
Название службы раздела Сетевые интерфейсы: ideco-network-backend; ideco-network-nic.
Список имен служб для других разделов доступен по ссылке.
Сетевой порт становится активным только после создания сетевого интерфейса (внешнего или локального). До этого момента индикаторы на подключенных сетевых портах не горят и Ethernet-кадры не передаются.
Все созданные интерфейсы представлены в виде таблицы:
Если сетевая карта уже используется каким-либо интерфейсом, то NGFW выведет окно с ошибкой:
Например: исходная версия NGFW 16.Х -> провели миграцию NGFW на новое оборудование -> настроили новое оборудование -> провели обновление -> в разделе Сетевые интерфейсы будут отображаться старые (до миграции) и новые (после миграции и настройки) сетевые интерфейсы.
В зависимости от объема оперативной памяти на сервере в Ideco NGFW есть ограничения на количество сетевых интерфейсов:
на количество сетевых VLAN-интерфейсов:
до 8 ГБ - 14 VLAN-интерфейсов,
от 8 до 16 ГБ - 33 VLAN-интерфейса,
16 ГБ и более - 66 VLAN-интерфейсов. При создании большего количества VLAN-интерфейсов могут возникнуть проблемы в работе Контроля приложений и Ограничения скорости.
на количество сетевых интерфейсов (не VLAN):
до 16 ГБ - 40 сетевых интерфейсов.
При создании, редактировании или удалении сетевого интерфейса перевыпускается SSL-сертификат, поэтому вероятно снижение скорости работы веб-интерфейса Ideco NGFW. В этом случае рекомендуем нажать F5.
Агрегированные интерфейсы реализованы по стандарту LACP (IEEE 802.3ad).
Используется active режим - постоянная рассылка LACP пакетов.
Проверка соседства осуществляется в режиме slow - раз в 30 секунд.
Количество сетевых карт, объединяемых в агрегированный интерфейс, не ограничено.
Нельзя добавлять LACP-интерфейсы в VCE.
Чтобы объединить несколько сетевых интерфейсов в один агрегированный, перейдите в раздел Сервисы -> Сетевые интерфейсы и в таблице Агрегированные интерфейсы (LACP) нажмите Добавить. Укажите название, выберите сетевые карты и нажмите Добавить.
При выборе сетевой карты обращайте внимание на пиктограммы:
Если были выбраны уже использующиеся сетевые интерфейсы, то при нажатии на кнопку Добавить появится сообщение:
При нажатии на Да сетевая карта будет использоваться агрегированным интерфейсом и станет недоступна для ранее созданного сетевого интерфейса:
На основе созданного агрегированного интерфейса можно создавать любой логический интерфейс, в том числе с указанием VLAN.
На вкладке настраиваются GRE-туннели.
GRE-туннель - это соединение точка-точка с возможностью передавать широковещательный трафик. На таких интерфейсах может работать протокол динамической маршрутизации OSPF. Пакеты, проходящие внутри GRE, не шифруются.
Для добавления GRE-туннеля нажмите Добавить, заполните поля и нажмите Добавить:
Название - введите название туннельного интерфейса;
Зона - выберите объект типа Зона, в состав которой будет входить создаваемый туннельный интерфейс;
Интерфейс - укажите сетевой интерфейс, через который будет выполняться подключение;
Адрес удаленного интерфейса - укажите IP-адрес интерфейса, с которым будет производиться соединение;
IP-адрес/маска - укажите данные создаваемого туннеля;
Шлюз - шлюз для направления трафика по умолчанию;
Комментарий - поле может быть пустым.
На этой вкладке пробрасываются сетевые карты и VLAN-интерфейсы Ideco NGFW в виртуальные серверы, созданные в разделе Управление сервером -> VCE.
Чтобы назначить сетевую карту или VLAN-интерфейс VCE, нажмите Добавить и выполните действия:
1. Выберите сетевую карту:
2. Заполните следующие поля:
Название - введите название VCE-интерфейса;
VCE - выберите из списка VCE, созданный в разделе Управление сервером -> VCE;
Тег VLAN - если нужно пробросить в VCE порт сетевой карты, оставьте поле пустым. Если нужно пробросить только VLAN, укажите тег VLAN - число от 1 до 4094;
Комментарий - поле может быть пустым.
3. Нажмите Добавить.
При наличии большого количества VCE-интерфейсов в таблице воспользуйтесь кнопкой Фильтры.
По кнопке Сетевые карты доступны все сетевые карты корневого VCE, еще не проброшенные в дочерние VCE.
Переданная VCE сетевая карта будет недоступна для использования корневым NGFW. Также невозможно будет назначить эту карту другому VCE без указания тега VLAN.
Не присваивайте VCE сетевые карты, которые используются корневым NGFW, без указания тега VLAN. В противном случае доступ к веб-интерфейсу NGFW будет потерян.
SPAN (Switch Port ANalyzer) - функция, которая позволяет копировать пакеты с порта или группы портов коммутатора или маршрутизатора (порт зеркалирования) и отправлять на выбранный порт (порт мониторинга). В Ideco NGFW SPAN-интерфейс позволяет дублировать трафик локальных и внешних интерфейсов на отдельное внешнее устройство для его мониторинга, анализа и выявления угроз.
SPAN-интерфейс должен быть свободным Ethernet-интерфейсом, не используемым для других целей.
Чтобы создать SPAN-интерфейс, выполните действия:
1. Перейдите в раздел Сервисы -> Сетевые интерфейсы -> SPAN и нажмите Добавить.
2. Заполните поля:
Название - введите название SPAN-интерфейса;
Интерфейсы источников - выберите интерфейсы, трафик которых хотите дублировать. Доступные варианты: Ethernet (как внешние, так и локальные, за исключением PPPoE, L2TP и PPTP), VLAN, а также клиентский VPN-трафик;
Интерфейс назначения - выберите интерфейс, на который будет дублироваться трафик;
Зеркалировать трафик - выберите тип трафика, который хотите дублировать. Доступные варианты: Весь, Только входящий или Исходящий;
Комментарий - поле может быть пустым.
Не указывайте в полях Интерфейс источника и Интерфейс назначения интерфейсы Ethernet + L2TP/PPTP/PPPoE. Этот тип интерфейсов не поддерживается в настройках SPAN.
3. Нажмите Добавить.
SPAN-интерфейс может быть перегружен при большом количестве наблюдаемых интерфейсов.
- сигнал есть;
- статус сигнала не определен;
- сигнала нет;
- IP-адрес назначен;
- соединение с интернетом установлено;
- соединение с интернетом отсутствует.
В режиме редактирования названия, сетевой карты (по кнопке ), зоны и настроек конфигурации (вручную или автоматически):
При миграции NGFW с одной физической машины на другую (перенос диска или восстановление бэкапа на новом оборудовании), будут восстановлены настройки всех сетевых интерфейсов, указанные до миграции. Для удаления ненужных интерфейсов воспользуйтесь кнопкой .
- сетевая карта уже используется другим интерфейсом;
- сетевая карта не используется.
