|
|
ID статьи: 1803
Последнее обновление: 28 мая, 2025
Product: WAF Version: 7.x
Раздел Интерфейсы отображает все физические и виртуальные интерфейсы, имеющиеся в системе, позволяет менять их настройки и добавлять VLAN-интерфейсы. Раздел отображает все интерфейсы каждого узла кластера. Настройки интерфейсов специфичны для каждого из узлов, то есть не глобальны.
Кнопка Редактировать позволяет изменять параметры сетевого интерфейса:
-
Включить или отключить интерфейс.
-
Указать тип интерфейса — Layer 3 или Mirror. Интерфейсу, работающему в режиме Layer 3, можно назначить IP-адрес и использовать его в правилах межсетевого экрана, это стандартный режим работы интерфейса. Интерфейс, работающий в режиме Mirror, может получать трафик со SPAN-порта сетевого оборудования для его анализа.
-
Назначить зону интерфейсу.
-
Назначить профиль Netflow для отправки статистических данных на Netflow коллектор.
-
Назначить Алиас/Псевдоним — дополнительное идентификационное наименование интерфейса. Параметр является опциональным и используется для работы с SNMP.
-
Изменить физические параметры интерфейса — MAC-адрес, размер MTU, размер MSS.
-
Выбрать тип присвоения IP-адреса — без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP.
-
Кнопка Добавить позволяет добавить следующие типы логических интерфейсов:
-
VLAN.
-
Бонд.
-
Мост.
-
Loopback.
Создание интерфейса VLAN
С помощью кнопки Добавить VLAN администратор может создавать сабинтерфейсы. При создании VLAN необходимо указать следующие параметры:
|
Наименование
|
Описание
|
|
Включено
|
Включает VLAN.
|
|
Название
|
Название VLAN. Название присваивается автоматически на основе имени физического порта и тега VLAN.
|
|
Описание
|
Опциональное описание интерфейса.
|
|
Тип интерфейса
|
Указать тип интерфейса — Layer 3 или Mirror. Интерфейсу, работающему в режиме Layer 3, можно назначить IP-адрес и использовать его в правилах межсетевого экрана, это стандартный режим работы интерфейса. Интерфейс, работающий в режиме Mirror, может получать трафик со SPAN-порта сетевого оборудования для его анализа.
|
|
Тег VLAN
|
Номер сабинтерфейса. Допускается создание до 4094 интерфейсов.
|
|
Имя узла
|
Имя узла в кластере, на котором создается данный VLAN.
|
|
Интерфейс
|
Физический интерфейс, на котором создается VLAN.
|
|
Зона
|
Зона, которой принадлежит VLAN.
|
|
Профиль Netflow
|
Профиль Netflow для отправки статистических данных на Netflow коллектор. О профилях Netflow можно прочитать в главе Профили Netflow.
|
|
Алиас/Псевдоним
|
Альтернативное имя интерфейса, заданное администратором. Параметр является опциональным и используется для работы с SNMP. Значение параметра — строка длиной не более 64-х символов.
Важно! Значение параметра не может содержать символы кириллицы.
|
|
Сеть
|
Способ присвоения IP-адреса — без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP.
Возможность изменить MAC-адрес, размер MTU, размер MSS (доступно в версии ПО 7.3.0 и выше).
|
Объединение интерфейсов в бонд
С помощью кнопки Добавить бонд-интерфейс администратор может объединить несколько физических интерфейсов в один логический агрегированный интерфейс для повышения пропускной способности или для отказоустойчивости канала. При создании бонда необходимо указать следующие параметры:
|
Наименование
|
Описание
|
|
Включено
|
Включает бонд.
|
|
Название
|
Название бонда.
|
|
Имя узла
|
Узел кластера WAF, на котором будет создан бонд.
|
|
Зона
|
Зона, к которой принадлежит бонд.
|
|
Профиль Netflow
|
Профиль Netflow для отправки статистических данных на Netflow коллектор. О профилях Netflow можно прочитать в главе Профили Netflow.
|
|
Алиас/Псевдоним
|
Альтернативное имя интерфейса, заданное администратором. Параметр является опциональным и используется для работы с SNMP. Значение параметра — строка длиной не более 64-х символов.
Важно! Значение параметра не может содержать символы кириллицы.
|
|
Интерфейсы
|
Один или более интерфейсов, которые будут использованы для построения бонда.
|
|
Режим
|
Режим работы бонда должен совпадать с режимом работы на том устройстве, куда подключается бонд. Может быть:
-
Round robin. Пакеты отправляются последовательно, начиная с первого доступного интерфейса и заканчивая последним. Эта политика применяется для балансировки нагрузки и отказоустойчивости.
-
Active backup. Только один сетевой интерфейс из объединенных будет активным. Другой интерфейс может стать активным только в том случае, когда упадет текущий активный интерфейс. При такой политике MAC-адрес бонд-интерфейса виден снаружи только через один сетевой порт, во избежание появления проблем с коммутатором. Эта политика применяется для отказоустойчивости.
-
XOR. Передача распределяется между сетевыми картами используя формулу: [(«MAC-адрес источника» XOR «MAC-адрес назначения») по модулю «число интерфейсов»]. Получается, одна и та же сетевая карта передает пакеты одним и тем же получателям. Опционально распределение передачи может быть основано и на политике «xmit_hash». Политика XOR применяется для балансировки нагрузки и отказоустойчивости.
-
Broadcast. Передает все на все сетевые интерфейсы. Эта политика применяется для отказоустойчивости.
-
IEEE 802.3ad — режим работы, установленный по умолчанию, поддерживается большинством сетевых коммутаторов. Создаются агрегированные группы сетевых карт с одинаковой скоростью и дуплексом. При таком объединении передача задействует все каналы в активной агрегации согласно стандарту IEEE 802.3ad. Выбор, через какой интерфейс отправлять пакет, определяется политикой; по умолчанию используется XOR-политика, можно также использовать «xmit_hash» политику.
-
Adaptive transmit load balancing. Исходящий трафик распределяется в зависимости от загруженности каждой сетевой карты (определяется скоростью загрузки). Не требует дополнительной настройки на коммутаторе. Входящий трафик приходит на текущую сетевую карту. Если она выходит из строя, то другая сетевая карта берет себе MAC-адрес вышедшей из строя карты.
-
Adaptive load balancing. Включает в себя предыдущую политику плюс осуществляет балансировку входящего трафика. Не требует дополнительной настройки на коммутаторе. Балансировка входящего трафика достигается путем ARP-переговоров. Драйвер перехватывает ARP-ответы, отправляемые с локальных сетевых карт наружу, и переписывает MAC-адрес источника на один из уникальных MAC-адресов сетевой карты, участвующей в объединении. Таким образом, различные пиры используют различные MAC-адреса сервера. Балансировка входящего трафика распределяется последовательно (round-robin) между интерфейсами.
|
|
MII monitoring period (мсек)
|
Устанавливает периодичность MII-мониторинга в миллисекундах. Определяет, как часто будет проверяться состояние линии на наличие отказов. Значение по умолчанию — 0 — отключает MII-мониторинг.
|
|
Down delay (мсек)
|
Определяет время (в миллисекундах) задержки перед отключением интерфейса, если произошел сбой соединения. Эта опция действительна только для мониторинга MII (miimon). Значение параметра должно быть кратным значениям miimon. Если оно не кратно, то округлится до ближайшего кратного значения. Значение по умолчанию 0.
|
|
Up delay (мсек)
|
Задает время задержки в миллисекундах, перед тем как поднять канал при обнаружении его восстановления. Этот параметр возможен только при MII-мониторинге (miimon). Значение параметра должно быть кратным значениям miimon. Если оно не кратно, то округлится до ближайшего кратного значения. Значение по умолчанию 0.
|
|
LACP rate
|
Определяет, с каким интервалом будут передаваться партнером LACPDU-пакеты в режиме 802.3ad. Возможные значения:
|
|
Failover MAC
|
Определяет, как будут прописываться MAC-адреса на объединенных интерфейсах в режиме active-backup при переключении интерфейсов. Обычным поведением является одинаковый MAC-адрес на всех интерфейсах. Возможные значения:
-
Отключено — устанавливает одинаковый MAC-адрес на всех интерфейсах во время переключения.
-
Active — MAC-адрес на бонд-интерфейсе будет всегда таким же, как на текущем активном интерфейсе. MAC-адреса на резервных интерфейсах не изменяются. MAC-адрес на бонд-интерфейсе меняется во время обработки отказа.
-
Follow — MAC-адрес на бонд-интерфейсе будет таким же, как на первом интерфейсе, добавленном в объединение. На втором и последующем интерфейсе этот MAC не устанавливается, пока они в резервном режиме. MAC-адрес прописывается во время обработки отказа, когда резервный интерфейс становится активным, он принимает новый MAC (тот, что на бонд-интерфейсе), а старому активному интерфейсу прописывается MAC, который был на текущем активном.
|
|
Xmit hash policy
|
Определяет хэш-политику передачи пакетов через объединенные интерфейсы в режиме XOR или IEEE 802.3ad. Возможные значения:
-
Layer 2 — использует только MAC-адреса для генерации хэша. При этом алгоритме трафик для конкретного сетевого хоста будет отправляться всегда через один и тот же интерфейс. Алгоритм совместим с IEEE 802.3ad.
-
Layer 2+3 — использует как MAC-адреса, так и IP-адреса для генерации хэша. Алгоритм совместим с IEEE 802.3ad.
-
Layer 3+4 — используются IP-адреса и протоколы транспортного уровня (TCP или UDP) для генерации хэша. Алгоритм не всегда совместим с IEEE 802.3ad, так как в пределах одного и того же TCP- или UDP-взаимодействия могут передаваться как фрагментированные, так и нефрагментированные пакеты. Во фрагментированных пакетах порт источника и порт назначения отсутствуют. В результате в рамках одной сессии пакеты могут дойти до получателя не в том порядке, так как отправляются через разные интерфейсы.
|
|
Сеть
|
Способ присвоения IP-адреса — без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP.
Возможность изменить MAC-адрес, размер MTU, размер MSS (доступно в версии ПО 7.3.0 и выше).
|
Создание моста (bridge)
Сетевой мост работает на канальном уровне сетевой модели OSI (L2), при получении из сети кадра сверяет MAC-адрес последнего и, если он не принадлежит данному сегменту, передает (транслирует) кадр дальше; если кадр принадлежит данному сегменту, мост ничего не делает.
Интерфейс мост можно использовать в WAF аналогично обычному интерфейсу. Кроме этого, через мост можно настроить фильтрацию передаваемого контента на уровне L2 без внесения изменений в сетевую инфраструктуру компании. Простейшая схема использования WAF в качестве решения, обеспечивающего контентную фильтрацию на уровне L2, выглядит следующим образом:
Рисунок 4 Использование моста
При создании моста можно указать режим его работы — Layer 2 или Layer 3.
При выборе режима Layer 2 создаваемому мосту не нужно назначать IP-адрес и прописывать маршруты и шлюзы для его корректной работы. В данном режиме мост работает на уровне MAC-адресов, транслируя пакет из одного сегмента в другой.
Внимание! Функциональность DNS-фильтрации и мост L2 в текущей версии несовместимы — при включении DNS-фильтрации DNS-запросы через мост проходить перестают.
При выборе режима Layer 3 создаваемому мосту необходимо назначить IP-адрес и указать маршруты в сети, подключенные к интерфейсам моста. В данном режиме могут быть использованы все механизмы фильтрации, доступные в WAF.
Если мост создается в ПАК WAF, в котором используется сетевая карта, поддерживающая режим байпас, то можно объединить 2 интерфейса в байпас-мост. Байпас-мост автоматически переключает два выбранных интерфейса в режим байпас (закорачивает их, пропуская весь трафик мимо WAF) в случаях если:
Управление работой байпас-реле сетевых портов возможно через интерфейс PMC (подробнее читайте в статье Команды управления платформой).
Подробнее о сетевых интерфейсах, поддерживающих режим байпас, смотрите в руководствах по эксплуатации на модели ПАК WAF.
С помощью кнопки Добавить мост администратор может объединить несколько физических интерфейсов в новый тип интерфейса — мост. Необходимо указать следующие параметры:
|
Наименование
|
Описание
|
|
Включено
|
Включает интерфейс мост.
|
|
Название
|
Название интерфейса.
|
|
Имя узла
|
Узел кластера WAF, на котором создать интерфейс мост.
|
|
Тип интерфейса
|
Указать тип интерфейса — Layer 3 или Layer 2.
|
|
Зона
|
Зона, к которой принадлежит интерфейс мост.
|
|
Профиль Netflow
|
Профиль Netflow для отправки статистических данных на Netflow коллектор. О профилях Netflow можно прочитать в главе Профили Netflow.
|
|
Алиас/Псевдоним
|
Альтернативное имя интерфейса, заданное администратором. Параметр является опциональным и используется для работы с SNMP. Значение параметра — строка длиной не более 64-х символов.
Важно! Значение параметра не может содержать символы кириллицы.
|
|
Интерфейсы моста
|
Два интерфейса, которые будут использованы для построения моста.
|
|
Интерфейсы байпас моста
|
Пара интерфейсов, которые можно использовать для построения байпас моста. Требуется поддержка оборудования ПАК WAF.
|
|
STP (Spanning Tree Protocol)
|
Включает использование STP для защиты сети от петель.
|
|
Forward delay
|
Задержка перед переключением моста в активный режим (Forwarding), в случае если включен STP.
|
|
Maximum age
|
Время, по истечении которого STP-соединение считается потерянным.
|
|
Сеть
|
Способ присвоения IP-адреса — без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP.
Возможность изменить MAC-адрес, размер MTU, размер MSS (доступно в версии ПО 7.3.0 и выше).
|
Интерфейс loopback
Для создания loopback-интерфейса необходимо в разделе Сеть ➜ Интерфейсы нажать кнопку Добавить и выбрать Добавить loopback-интерфейс. Далее необходимо задать следующие параметры:
| Параметр |
Описание |
|
Включено
|
Включает интерфейс.
|
|
Название
|
Название интерфейса в виде loopbackN, где N — целое число.
|
|
Описание
|
Опциональное описание интерфейса.
|
|
Имя узла
|
Выбор узла кластера WAF, на котором создается интерфейс.
|
|
Тип интерфейса
|
Указать тип интерфейса — Layer 3 или Layer 2.
|
|
Зона
|
Зона, к которой принадлежит интерфейс.
|
|
Профиль Netflow
|
Профиль Netflow для отправки статистических данных на Netflow коллектор. О профилях Netflow можно прочитать в главе Профили Netflow.
|
|
Профиль LLDP
|
Профиль LLDP для отправки данных по протоколу Link Layer Discovery Protocol (LLDP).
|
|
Алиас/Псевдоним
|
Альтернативное имя интерфейса, заданное администратором. Параметр является опциональным и используется для работы с SNMP. Значение параметра — строка длиной не более 64-х символов.
Важно! Значение параметра не может содержать символы кириллицы.
|
|
Сеть
|
Способ присвоения IP-адреса — без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP.
Возможность изменить MAC-адрес, размер MTU, размер MSS (доступно в версии ПО 7.3.0 и выше).
|
ID статьи: 1803
Последнее обновление: 28 мая, 2025
Ревизия: 10
Просмотры: 768
Комментарии: 0
Теги
|
