В интерфейсе командной строки можно отобразить список упорядоченных имен сетевых интерфейсов и соответствующих им физических адресов. Команда просмотра доступна как в режиме диагностики и мониторинга, так и в режиме конфигурации.
Admin@nodename> show network interface-mapping
Admin@nodename# show network interface-mapping
Упорядочение интерфейсов производится в соответствии с номером порта в шине PCI.
Для удаления списка используйте следующую команду (в режиме диагностики и мониторинга и в режиме конфигурации соответственно):
После добавления сетевых портов в настроенный UserGate NGFW его необходимо перезагрузить — список обновится и станет доступным для отображения.
На уровне network interface доступна настройка параметров различных типов интерфейсов UserGate NGFW.
Настройка физических сетевых интерфейсов
Физические сетевые интерфейсы (адаптеры) настраиваются на уровне network interface adapter.
Для отображения информации обо всех сетевых адаптерах используйте команду:
Admin@nodename# show network interface adapter
Для отображения информации об определенном сетевом адаптере:
Admin@nodename# show network interface adapter <adapter-name>
Для изменения параметров сетевого адаптера используйте команду вида:
Admin@nodename# set network interface adapter <adapter-name> <parameters>
В команде необходимо указать параметры сетевого адаптера.
Параметр
Описание
enabled
Включение или отключение сетевого интерфейса:
on;
off
description
Описание сетевого интерфейса
alias
Псевдоним («алиас») интерфейса
iface-type
Тип интерфейса:
l3 — интерфейс, работающий в режиме Layer 3. Вы можете назначить IP-адрес для интерфейса и использовать его в правилах межсетевого экрана, контентной фильтрации и других. Это стандартный режим работы интерфейса.
mirror — интерфейс, работающий в режиме зеркалирования. Может получать трафик со SPAN-порта сетевого оборудования для его анализа
iface-mode
Режим назначения IP-адреса:
dhcp — получение динамического IP-адреса по DHCP;
manual — без адреса.
Статический режим устанавливается автоматически при назначении интерфейсу IP-адреса
zone
Зона, которой будет принадлежать интерфейс
link-info
Настройка параметров сетевого интерфейса:
bc_forwarding — управление пересылкой пакетов directed broadcast, приходящих на указанный интерфейс.
proxy_arp, proxy_arp_pvlan — механизмы Proxy ARP. При указании параметра proxy_arp UserGate NGFW будет отвечать на ARP-запросы адресов, не относящихся к сети интерфейса; при указании параметраproxy_arp_pvlan UserGate NGFW будет отвечать на ARP-запросы адресов, относящихся к сети интерфейса.
Профиль NetFlow для отправки статистических данных на NetFlow-коллектор. Подробнее о настройке профилей NetFlow — в разделе «Настройка профилей NetFlow»
lldp-profile
Профиль для отправки данных по протоколу Link Layer Discovery Protocol (LLDP). Подробнее о настройке профилей — в разделе «Настройка профилей LLDP»
ip-addresses
Назначение IP-адреса для интерфейса.
Адрес задается в виде [ <ip_address/mask> ] или [ <ip_address/mask> <ip_address/mask> ], если необходимо назначить несколько IP-адресов (адреса перечисляются через пробел). Маска подсети задается в десятичном виде
Важно! Квадратные скобки обязательно должны быть отделены пробелами с обеих сторон.
mac
MAC-адрес интерфейса
mtu
Размер MTU
mss
Размер MSS (доступно в версии 7.3.0 и выше): 0 или число в диапазоне от 4 до числа, получаемого по формуле MTU – 40
rx-ring
Размер буфера RX ring интерфейса типа adapter
tx-ring
Размер буфера TX ring интерфейса типа adapter
tso
Включение или выключение механизма TCP Segmentation Offload (TSO) — технологии сетевой оптимизации, которая позволяет разгрузить центральный процессор путем переноса задачи по сегментации TCP-пакетов на сетевое оборудование
dhcp-relay
Настройка работы DHCP-ретранслятора на интерфейсе. Необходимо указать:
enabled — включение или отключение ретранслятора (on/off).
utm-address — IP-адрес интерфейса UserGate NGFW, на который добавляется функция ретранслятора (принимает значения IP-адрес/none).
server-address — адреса серверов DHCP, куда необходимо пересылать DHCP-запросы клиентов
user-speed
Выбор скорости интерфейса. Параметр доступен только для ПАК UserGate FG в версии 7.5.0 и выше.
Для портов 10–17 вы можете переключить скорость работы интерфейса с 10 Гбит/с на 25 Гбит/с и обратно. В команде значение скорости указывается в Мбит/с, например:
Admin@nodename# set network interface adapter port10 user-speed 25000
Для портов 18–19 вы можете переключить скорость работы интерфейса со 100 Гбит/с на 40 Гбит/с и обратно. В команде значение скорости указывается в Мбит/с, например:
Admin@nodename# set network interface adapter port18 user-speed 100000
ПримечаниеПри просмотре параметров интерфейса с помощью команды show network interface adapter <adapter-name> параметр speed отображает фактическую скорость интерфейса, полученную из системы; параметр user-speed — указанную администратором скорость или значение auto для портов 0–9.
Для удаления значений параметров сетевого адаптера используйте команду:
l3 — Layer 3. Вы можете назначить IP-адрес и использовать его в правилах межсетевого экрана, контентной фильтрации и других правилах. Это стандартный режим работы интерфейса.
mirror — интерфейс, работающий в режиме зеркалирования. Может получать трафик со SPAN-порта сетевого оборудования для его анализа
iface-mode
Режим назначения IP-адреса:
dhcp — получение динамического IP-адреса по DHCP;
manual — без адреса.
Статический режим устанавливается автоматически при назначении интерфейсу IP-адреса
tag
Тег VLAN. Допускается создание до 4094 интерфейсов
node-name
Имя узла кластера, на котором создается VLAN
interface
Физический интерфейс, на котором создается VLAN
zone
Зона, которой будет принадлежать интерфейс
link-info
Настройка параметров сетевого интерфейса:
bc_forwarding — управление пересылкой пакетов directed broadcast, приходящих на указанный интерфейс.
proxy_arp, proxy_arp_pvlan — механизмы Proxy ARP. При указании параметра proxy_arp UserGate NGFW будет отвечать на ARP-запросы адресов, не относящихся к сети интерфейса; при указании параметраproxy_arp_pvlan UserGate NGFW будет отвечать на ARP-запросы адресов, относящихся к сети интерфейса.
Профиль NetFlow для отправки статистических данных на NetFlow-коллектор. Подробнее о настройке профилей NetFlow — в разделе «Настройка профилей NetFlow»
ip-addresses
Назначение IP-адреса для интерфейса.
Адрес задается в виде [ <ip_address/mask> ] или [ <ip_address/mask> <ip_address/mask> ], если необходимо назначить несколько IP-адресов (адреса перечисляются через пробел). Маска подсети задается в десятичном виде
Важно! Квадратные скобки обязательно должны быть отделены пробелами с обеих сторон.
mac
MAC-адрес интерфейса
mtu
Размер MTU
mss
Размер MSS (доступно в версии 7.3.0 и выше): 0 или число в диапазоне от 4 до числа, получаемого по формуле MTU – 40
dhcp-relay
Настройка работы DHCP-ретранслятора на интерфейсе. Необходимо указать:
enabled — включение или отключение ретранслятора (on/off).
utm-address — IP-адрес интерфейса UserGate NGFW, на который добавляется функция ретранслятора (принимает значения IP-адрес/none).
server-address — адреса серверов DHCP, куда необходимо пересылать DHCP-запросы клиентов
Для изменения параметров существующего VLAN-интерфейса используйте команду:
Admin@nodename# set network interface vlan <vlan-name> <parameters>
Параметры, доступные для изменения, аналогичны параметрам создания VLAN-интерфейса, кроме параметров tag, node-name, interface (изменение значений этих параметров недоступно).
Команда удаления VLAN-интерфейса или его параметров:
Для отображения информации обо всех VLAN-интерфейсах используйте команду:
Admin@nodename# show network interface vlan
Для отображения информации об определенном интерфейсе:
Admin@nodename# show network interface vlan <vlan-name>
Настройка bond-интерфейса
Bond-интерфейсы создаются и настраиваются на уровне network interface bond.
Для создания bond-интерфейса используйте команду вида:
Admin@nodename# create network interface bond <parameters>
В команде укажите параметры интерфейса.
Параметр
Описание
enabled
Включение или отключение интерфейса:
on;
off
interface-name
Номер, который будет отображен в имени интерфейса. Например, если указать 1, названием созданного интерфейса будет bond1
description
Описание интерфейса
alias
Псевдоним («алиас») интерфейса
node-name
Узел кластера, на котором будет создан bond-интерфейс
zone
Зона, которой будет принадлежать bond-интерфейс
link-info
Настройка параметров сетевого интерфейса:
bc_forwarding — управление пересылкой пакетов directed broadcast, приходящих на указанный интерфейс.
proxy_arp, proxy_arp_pvlan — механизмы Proxy ARP. При указании параметра proxy_arp UserGate NGFW будет отвечать на ARP-запросы адресов, не относящихся к сети интерфейса; при указании параметраproxy_arp_pvlan UserGate NGFW будет отвечать на ARP-запросы адресов, относящихся к сети интерфейса.
Профиль NetFlow для отправки статистических данных на NetFlow-коллектор. Подробнее о настройке профилей NetFlow — в разделе «Настройка профилей NetFlow»
bonding
Дополнительные параметры bond-интерфейса:
aggr-mode — режим работы bond-интерфейса:
round-robin — режим round robin. Пакеты отправляются последовательно, начиная с первого доступного интерфейса и заканчивая последним. Эта политика применяется для балансировки нагрузки и отказоустойчивости.
active-backup — режим active backup. Только один сетевой интерфейс из объединенных будет активным. Другой интерфейс может стать активным только в том случае, если станет недоступным текущий активный интерфейс. При использовании этого режима MAC-адрес bond-интерфейса виден вовне только через один сетевой порт. Такая политика применяется для обеспечения отказоустойчивости.
xor — режим XOR. Передача распределяется между сетевыми картами с применением формулы: «<MAC-адрес источника> XOR <MAC-адрес назначения»> по модулю <число интерфейсов>». Одна и та же сетевая карта передает пакеты одним и тем же получателям. Опционально распределение передачи может быть основано и на политике xmit_hash. Политика XOR применяется для балансировки нагрузки и обеспечения отказоустойчивости.
broadcast — передача на все сетевые интерфейсы. Эта политика применяется для обеспечения отказоустойчивости.
802.3ad — режим IEEE 802.3ad. Режим работы, установленный по умолчанию, поддерживается большинством сетевых коммутаторов. Создаются агрегированные группы сетевых карт с одинаковой скоростью и дуплексом. При таком объединении передача задействует все каналы в активной агрегации согласно стандарту IEEE 802.3ad. Интерфейс, через который будет отправляться пакет, определяется политикой; по умолчанию используется XOR-политика, можно также использовать политику xmit_hash.
transmit — режим adaptive transmit load balancing. Исходящий трафик распределяется в зависимости от загруженности каждой сетевой карты (определяется скоростью загрузки). Не требует дополнительной настройки на коммутаторе. Входящий трафик приходит на текущую сетевую карту. Если она выходит из строя, другая сетевая карта получает MAC-адрес вышедшей из строя карты.
load — режим adaptive load balancing. Включает в себя предыдущую политику, а также осуществляет балансировку входящего трафика. Не требует дополнительной настройки на коммутаторе. Балансировка входящего трафика достигается путем ARP-переговоров. Драйвер перехватывает ARP-ответы, отправляемые с локальных сетевых карт вовне, и переписывает MAC-адрес источника на один из уникальных MAC-адресов сетевой карты, участвующей в объединении. Таким образом, различные пиры используют различные MAC-адреса сервера. Балансировка входящего трафика распределяется последовательно (round-robin) между интерфейсами.
mii-monitoring — периодичность MII-мониторинга в миллисекундах. Определяет, как часто будет проверяться состояние линии на наличие отказов.
down-delay — время (в миллисекундах) задержки перед отключением интерфейса, если произошел сбой соединения. Эта опция действительна только для мониторинга MII (miimon). Значение параметра должно быть кратным значениям miimon.
up-delay — время задержки в миллисекундах, перед тем как поднять канал при обнаружении его восстановления. Этот параметр возможен только при MII-мониторинге (miimon). Значение параметра должно быть кратным значениям miimon.
lacp-rate — интервал, с которым будут передаваться партнером LACPDU-пакеты в режиме 802.3ad. Возможные значения:
slow — запрос партнера на передачу LACPDU-пакетов каждые 30 секунд.
fast — запрос партнера на передачу LACPDU-пакетов каждую секунду.
failover-mac — определение способа назначения MAC-адресов на объединенные интерфейсы в режиме active backup при переключении интерфейсов. Возможные значения:
disabled — устанавливает одинаковый MAC-адрес на всех интерфейсах во время переключения.
active — MAC-адрес на bond-интерфейсе будет всегда таким же, как на текущем активном интерфейсе. MAC-адреса на резервных интерфейсах не изменяются. MAC-адрес на bond-интерфейсе меняется во время обработки отказа.
follow — MAC-адрес на bond-интерфейсе будет таким же, как на первом интерфейсе, добавленном в объединение. Пока второй и последующий интерфейсы находятся в резервном режиме, этот MAC-адрес на них не устанавливается. MAC-адрес присваивается во время обработки отказа. Когда резервный интерфейс становится активным, он принимает новый MAC-адрес (тот же, что присвоен bond-интерфейсу), а старому активному интерфейсу присваивается MAC-адрес, который принадлежал текущему активному интерфейсу.
xmit-hash — определение хеш-политики передачи пакетов через объединенные интерфейсы в режиме XOR или IEEE 802.3ad. Возможные значения:
l2 — использует только MAC-адреса для генерации хеш-суммы. При использовании этого алгоритма трафик для конкретного сетевого узла будет отправляться всегда через один и тот же интерфейс. Алгоритм совместим с IEEE 802.3ad.
l2-3 — использует как MAC-адреса, так и IP-адреса для генерации хеш-суммы. Алгоритм совместим с IEEE 802.3ad.
l3-4 — используются IP-адреса и протоколы транспортного уровня (TCP или UDP) для генерации хеш-суммы. Алгоритм не всегда совместим с IEEE 802.3ad, так как в пределах одного и того же TCP- или UDP-взаимодействия могут передаваться как фрагментированные, так и нефрагментированные пакеты. Во фрагментированных пакетах порт источника и порт назначения отсутствуют. В результате в рамках одной сессии пакеты могут дойти до получателя не в том порядке, в котором были отправлены, так как отправляются через разные интерфейсы.
interface — интерфейсы, которые будут объединены в bond-интерфейс
iface-mode
Режим назначения IP-адреса:
dhcp — получение динамического IP-адреса по DHCP.
manual — без адреса.
Статический режим устанавливается автоматически при назначении интерфейсу IP-адреса
iface-type
Тип интерфейса:
l3 — Layer 3. Вы можете назначить IP-адрес и использовать его в правилах межсетевого экрана, контентной фильтрации и других правилах. Это стандартный режим работы интерфейса.
mirror — интерфейс, работающий в режиме зеркалирования. Может получать трафик со SPAN-порта сетевого оборудования для его анализа
ip-addresses
Назначение IP-адреса для интерфейса.
Адрес задается в виде [ <ip_address/mask> ] или [ <ip_address/mask> <ip_address/mask> ], если необходимо назначить несколько IP-адресов (адреса перечисляются через пробел). Маска подсети задается в десятичном виде
Важно! Квадратные скобки обязательно должны быть отделены пробелами с обеих сторон.
mac
MAC-адрес интерфейса
mtu
Размер MTU
mss
Размер MSS (доступно в версии 7.3.0 и выше): 0 или число в диапазоне от 4 до числа, получаемого по формуле MTU – 40
tso
Включение или выключение механизма TCP Segmentation Offload (TSO) — технологии сетевой оптимизации, которая позволяет разгрузить центральный процессор путем переноса задачи по сегментации TCP-пакетов на сетевое оборудование
dhcp-relay
Настройка работы DHCP-ретранслятора на интерфейсе. Необходимо указать:
enabled — включение или отключение ретранслятора (on/off).
utm-address — IP-адрес интерфейса UserGate NGFW, на который добавляется функция ретранслятора (принимает значения IP-адрес/none).
server-address — адреса серверов DHCP, куда необходимо пересылать DHCP-запросы клиентов
Для изменения параметров существующего bond-интерфейса используйте команду:
Admin@nodename# set network interface bond <bond-name> <parameters>
Параметры, доступные для изменения, аналогичны параметрам создания bond-интерфейса, кроме interface-name, node-name (изменение значений этих параметров недоступно).
Команда удаления bond-интерфейса или его параметров:
Admin@nodename# delete network interface bond <bond-name>
Номер, который будет отображен в имени интерфейса. Например, если указать 1, названием созданного интерфейса будет bridge1
description
Описание bridge-интерфейса
alias
Псевдоним («алиас») интерфейса
node-name
Имя узла кластера, на котором создается интерфейс
zone
Зона, которой будет принадлежать интерфейс
link-info
Настройка параметров сетевого интерфейса:
bc_forwarding — управление пересылкой пакетов directed broadcast, приходящих на указанный интерфейс.
proxy_arp, proxy_arp_pvlan — механизмы Proxy ARP. При указании параметра proxy_arp UserGate NGFW будет отвечать на ARP-запросы адресов, не относящихся к сети интерфейса; при указании параметраproxy_arp_pvlan UserGate NGFW будет отвечать на ARP-запросы адресов, относящихся к сети интерфейса.
Профиль NetFlow для отправки статистических данных на NetFlow-коллектор. Подробнее о настройке профилей NetFlow — в разделе «Настройка профилей NetFlow»
bridging
Дополнительные параметры bridge-интерфейса:
iface-type — режим работы интерфейса:
l2 — Layer 2, создаваемому мосту не нужно назначать IP-адрес и прописывать маршруты и шлюзы для его корректной работы. В этом режиме мост работает на уровне MAC-адресов, транслируя пакет из одного сегмента в другой. В этом случае невозможно использовать правила Mail security и правила контентной фильтрации.
l3 — Layer 3, можно назначить IP-адрес и использовать его в правилах межсетевого экрана, контентной фильтрации и других правилах. Это стандартный режим работы интерфейса.
interface — интерфейсы, которые будут использованы для создания моста.
stp — включение или отключение использование Spanning Tree Protocol (STP) для защиты от петель (on/off).
forward-delay — задержка перед переключением моста в активный режим (forwarding), в случае если включен STP (указывается в секундах).
max-age — время, по истечении которого STP-соединение считается потерянным (указывается в секундах).
bypass-pair — пара интерфейсов, которая будет использована для построения байпас-моста. Требуется поддержка оборудования ПАК UserGate
iface-mode
Режим назначения IP-адреса:
dhcp — получение динамического IP-адреса по DHCP.
manual — без адреса.
Статический режим устанавливается автоматически при назначении интерфейсу IP-адреса
ip-addresses
Назначение IP-адреса для интерфейса.
Адрес задается в виде [ <ip_address/mask> ] или [ <ip_address/mask> <ip_address/mask> ], если необходимо назначить несколько IP-адресов (адреса перечисляются через пробел). Маска подсети задается в десятичном виде
Важно! Квадратные скобки обязательно должны быть отделены пробелами с обеих сторон.
mac
MAC-адрес интерфейса
mtu
Размер MTU
mss
Размер MSS (доступно в версии 7.3.0 и выше): 0 или число в диапазоне от 4 до числа, получаемого по формуле MTU – 40
tso
Включение или выключение механизма TCP Segmentation Offload (TSO) — технологии сетевой оптимизации, которая позволяет разгрузить центральный процессор путем переноса задачи по сегментации TCP-пакетов на сетевое оборудование
dhcp-relay
Настройка работы DHCP-ретранслятора на интерфейсе. Необходимо указать:
enabled — включение или отключение ретранслятора (on/off).
utm-address — IP-адрес интерфейса UserGate NGFW, на который добавляется функция ретранслятора (принимает значения IP-адрес/none).
server-address — адреса серверов DHCP, куда необходимо пересылать DHCP-запросы клиентов
Для изменения параметров существующего bridge-интерфейса используйте команду:
Admin@nodename# set network interface bridge <bridge-name> <parameters>
Параметры, доступные для обновления, аналогичны параметрам создания моста, кроме interface-name, node-name (изменение значений этих параметров недоступно).
Для удаления bridge-интерфейса или его параметров используйте команду:
Номер, который будет отображен в имени интерфейса. Например, если указать 1, названием созданного интерфейса будет ppp1
description
Описание интерфейса
alias
Псевдоним («алиас») интерфейса
node-name
Имя узла кластера, на котором создается интерфейс
zone
Зона, которой будет принадлежать интерфейс
link-info
Настройка параметров сетевого интерфейса:
bc_forwarding — управление пересылкой пакетов directed broadcast, приходящих на указанный интерфейс.
proxy_arp, proxy_arp_pvlan — механизмы Proxy ARP. При указании параметра proxy_arp UserGate NGFW будет отвечать на ARP-запросы адресов, не относящихся к сети интерфейса; при указании параметраproxy_arp_pvlan UserGate NGFW будет отвечать на ARP-запросы адресов, относящихся к сети интерфейса.
Профиль NetFlow для отправки статистических данных на NetFlow-коллектор. Подробнее о настройке профилей NetFlow — в разделе «Настройка профилей NetFlow»
config
Дополнительные параметры PPPoE-интерфейса:
interface — интерфейс, на котором будет создаваться PPPoE-интерфейс.
login — имя пользователя для соединения PPPoE.
password — пароль пользователя для соединения PPPoE.
persist-connection — автоматическое переподключение при обрыве связи.
auth-type — тип авторизации:
CHAP;
PAP.
holdoff — интервал времени в секундах после разрыва соединения перед повторным запуском.
default-route — PPPoE-интерфейс, который будет использоваться как маршрут по умолчанию.
echo-interval — интервал проверки соединения.
echo-failure — количество неуспешных проверок соединения, по достижении которого UserGate NGFW будет считать, что соединение отсутствует, и разорвет его.
providers-dns — использование DNS-серверов, выданных провайдером.
connection-attempts — количество неуспешных попыток подключения, по достижении которого попытки автосоединения будут прекращены.
service-name — имя сервиса, которое необходимо указать в случае его предоставления провайдером
mtu
Размер MTU. По умолчанию установлено значение 1492 байт, подходящее для стандартного размера кадра Ethernet
mss
Размер MSS (доступно в версии 7.3.0 и выше): 0 или число в диапазоне от 4 до числа, получаемого по формуле MTU – 40
Для изменения параметров существующего PPPoE-интерфейса используйте команду:
Admin@nodename# set network interface pppoe <pppoe-name> <parameters>
Параметры, доступные для обновления, аналогичны параметрам создания интерфейса, кроме interface-name (изменение значения этого параметра недоступно).
Для удаления PPPoE-интерфейса используйте команду:
Номер, который будет отображен в имени интерфейса. Например, если указать 1, названием созданного интерфейса будет tunnel1
description
Описание VPN-интерфейса
alias
Псевдоним («алиас») интерфейса
zone
Зона, которой будет принадлежать интерфейс
link-info
Настройка параметров сетевого интерфейса:
bc_forwarding — управление пересылкой пакетов directed broadcast, приходящих на указанный интерфейс.
proxy_arp, proxy_arp_pvlan — механизмы Proxy ARP. При указании параметра proxy_arp UserGate NGFW будет отвечать на ARP-запросы адресов, не относящихся к сети интерфейса; при указании параметраproxy_arp_pvlan UserGate NGFW будет отвечать на ARP-запросы адресов, относящихся к сети интерфейса.
Профиль NetFlow для отправки статистических данных на NetFlow-коллектор. Подробнее о настройке профилей NetFlow — в разделе «Настройка профилей NetFlow»
iface-mode
Режим назначения IP-адреса:
dhcp — получение динамического IP-адреса по DHCP.
manual — без адреса.
Если предполагается, что интерфейс будет принимать VPN-подключения (site-to-site VPN или remote access VPN), необходимо использовать статический IP-адрес. Статический режим устанавливается автоматически при назначении интерфейсу IP-адреса. Для использования интерфейса в роли клиента необходимо выбрать динамический режим
ip-addresses
Назначение IP-адреса для интерфейса.
Адрес задается в виде [ <ip_address/mask> ] или [ <ip_address/mask> <ip_address/mask> ], если необходимо назначить несколько IP-адресов (адреса перечисляются через пробел). Маска подсети задается в десятичном виде
Важно! Квадратные скобки обязательно должны быть отделены пробелами с обеих сторон.
mtu
Размер MTU для выбранного интерфейса
mss
Размер MSS (доступно в версии 7.3.0 и выше): 0 или число в диапазоне от 4 до числа, получаемого по формуле MTU – 40
Для изменения параметров существующего VPN-интерфейса используйте команду:
Admin@nodename# set network interface vpn <vpn-name> <parameters>
Параметры, доступные для обновления, аналогичны параметрам создания интерфейса, кроме interface-name (изменение значения этого параметра недоступно).
Для удаления VPN-интерфейса или его параметров используйте команду:
Номер, который будет отображен в имени интерфейса. Например, если указать 1, названием созданного интерфейса будет gre1
description
Описание интерфейса
alias
Псевдоним («алиас») интерфейса
node-name
Узел кластера, на котором будет создан туннельный интерфейс
zone
Зона, которой будет принадлежать интерфейс
link-info
Настройка параметров сетевого интерфейса:
bc_forwarding — управление пересылкой пакетов directed broadcast, приходящих на указанный интерфейс.
proxy_arp, proxy_arp_pvlan — механизмы Proxy ARP. При указании параметра proxy_arp UserGate NGFW будет отвечать на ARP-запросы адресов, не относящихся к сети интерфейса; при указании параметраproxy_arp_pvlan UserGate NGFW будет отвечать на ARP-запросы адресов, относящихся к сети интерфейса.
для VXLAN — число в диапазоне от 4 до числа, получаемого по формуле MTU – 40;
для IPIP — число в диапазоне от 4 до числа, получаемого по формуле MTU – 60;
для GRE — число в диапазоне от 4 до числа, получаемого по формуле MTU – 64
ip-addresses
IP-адрес, назначенный туннельному интерфейсу.
Адрес задается в виде [ <ip_address/mask> ] или [ <ip_address/mask> <ip_address/mask> ], если необходимо назначить несколько IP-адресов (адреса перечисляются через пробел). Маска подсети задается в десятичном виде
Важно! Квадратные скобки обязательно должны быть отделены пробелами с обеих сторон.
local-ip
Локальный адрес интерфейса point-to-point
remote-ip
Удаленный адрес интерфейса point-to-point
mode
Режим работы туннельного интерфейса:
gre — протокол туннелирования сетевых пакетов, разработанный компанией Cisco Systems. Его основное назначение — инкапсуляция пакетов сетевого уровня в IP-пакеты. Номер IP-протокола — 47.
ipip — протокол IP-туннелирования, который инкапсулирует один IP-пакет в другой IP-пакет. Инкапсуляция одного IP-пакета в другой — это добавление внешнего заголовка, в котором IP-адресом источника является адрес точки входа в туннель, а IP-адресом назначения — адрес точки выхода из туннеля.
vxlan — протокол туннелирования Layer 2 Ethernet кадров в UDP-пакеты, порт 4789
vxlan-id
Идентификатор VXLAN. Только для типа туннельного интерфейса VXLAN
Для изменения параметров существующего туннельного интерфейса используйте команду:
Admin@nodename# set network interface tunnel <tunnel-name> <parameters>
Параметры, доступные для обновления, аналогичны параметрам создания интерфейса, кроме interface-number, node-name (изменение значений этих параметров недоступно).
Для удаления туннельного интерфейса или его параметров используйте команду:
Адрес задается в виде [ <ip_address/mask> ] или [ <ip_address/mask> <ip_address/mask> ], если необходимо назначить несколько IP-адресов (адреса перечисляются через пробел). Маска подсети задается в десятичном виде
Важно! Квадратные скобки обязательно должны быть отделены пробелами с обеих сторон.
iface-mode
Режим назначения IP-адреса:
dhcp — получение динамического IP-адреса по DHCP.
manual — без адреса.
Статический режим устанавливается автоматически при назначении интерфейсу IP-адреса
lldp-profile
Профиль для отправки данных по протоколу Link Layer Discovery Protocol (LLDP). Подробнее о настройке профилей — в разделе «Настройка профилей LLDP»
zone
Зона, которой будет принадлежать интерфейс
link-info
Настройка параметров сетевого интерфейса:
bc_forwarding — управление пересылкой пакетов directed broadcast, приходящих на указанный интерфейс.
proxy_arp, proxy_arp_pvlan — механизмы Proxy ARP. При указании параметра proxy_arp UserGate NGFW будет отвечать на ARP-запросы адресов, не относящихся к сети интерфейса; при указании параметраproxy_arp_pvlan UserGate NGFW будет отвечать на ARP-запросы адресов, относящихся к сети интерфейса.
Профиль NetFlow для отправки статистических данных на NetFlow-коллектор. Подробнее о настройке профилей NetFlow — в разделе «Настройка профилей NetFlow»
node-name
Узел кластера, на котором будет создан интерфейс
mac
MAC-адрес интерфейса
mtu
Размер MTU
mss
Размер MSS (доступно в версии 7.3.0 и выше): 0 или число в диапазоне от 4 до числа, получаемого по формуле MTU – 40
dhcp-relay
Настройка работы DHCP-ретранслятора на интерфейсе. Необходимо указать:
enabled — включение или отключение ретранслятора (on/off).
utm-address — IP-адрес интерфейса UserGate NGFW, на который добавляется функция ретранслятора (принимает значения IP-адрес/none).
server-address — адреса серверов DHCP, куда необходимо пересылать DHCP-запросы клиентов
Для изменения параметров существующего loopback-интерфейса используйте команду вида:
Admin@nodename# set network interface loopback <interface-name> <parameters>
Параметры, доступные для обновления, аналогичны параметрам создания loopback-интерфейса, кроме node-name, interface (изменение значений этих параметров недоступно).
Для удаления loopback-интерфейса или его параметров используйте команду:
