Сетевые интерфейсы
ARMA FW поддерживает множество типов интерфейсов, используя как сетевые интерфейсы, так и различные сетевые протоколы. По умолчанию интерфейс «LAN» назначается сетевому интерфейсу «em0», а интерфейс «WAN» сетевому интерфейсу «em1». Для следующих по счёту сетевых интерфейсов по умолчанию применяется обозначение «OPT» – «OPT1» для «em2», «OPT2» для «em3» и так далее. Возможны другие варианты создаваемых интерфейсов, например:
«bridge» – для сетевого моста (см. «Сетевой мост»);
«GRE» – для интерфейса GRE (см. «GRE»);
«LAGG» – для LAGG-интерфейса (см. «LAGG»);
«VLAN» – для интерфейса VLAN (см. «VLAN»).
Назначение интерфейсов, изменение существующих и создание новых виртуальных интерфейсов осуществляется в разделе «Интерфейсы».
Назначение портов
Все определённые и обнаруженные на текущий момент интерфейсы перечислены в подразделе назначения портов («Интерфейсы» - «Назначения портов») или в списке интерфейсов, доступных для назначения (см. Рисунок – Назначение портов).
Рисунок – Назначение портов
Для добавления интерфейса необходимо нажать кнопку «
» напротив обнаруженного интерфейса, а затем кнопку «Сохранить». Если не указать имя создаваемого интерфейса в поле параметра «Описание», то будет задано имя по умолчанию.
Для переназначения портов необходимо выбрать интерфейс и в выпадающем списке сетевых портов выбрать другой порт, затем нажать кнопку «Сохранить». Сетевые порты имеют следующие индикаторы (см. Рисунок – Переназначение портов):
зелёный – сетевое подключение установлено;
красный – сетевое подключение отсутствует.
Рисунок – Переназначение портов
Автоматическое назначение портов
ARMA FW поддерживает автоматическое назначение порта при создании следующих типов интерфейсов: «Сетевой мост», «GRE», «LAGG», «Loopback», «VLAN», «VXLAN», «OpenVPN».
В качестве примера рассмотрено автоматическое назначение порта при создании интерфейса «Loopback».
Для создания интерфейса «Loopback» необходимо выполнить следующие действия:
Перейти в подраздел настройки интерфейсов «Loopback» («Интерфейсы» - «Другие типы» - «Loopback») и нажать кнопку «
».Ввести значение «Lo1» в поле параметра «Описание» и нажать кнопку «Добавить» (см. Рисунок – Добавление интерфейса «Loopback»).
Рисунок – Добавление интерфейса «Loopback»
В результате автоматически созданный интерфейс «Lo1» будет отображаться в разделе настройки сетевых интерфейсов.
Примечание
В случае, если при создании интерфейсов типов «Сетевой мост», «GRE», «LAGG», «VLAN» поле параметра «Описание» оставить пустым или заполнить кириллическими буквами, автоматически назначенный порт будет именован в формате «OPTx», где «x» – номер интерфейса.
Настройка сетевых интерфейсов
Для перехода в подраздел настроек конкретного сетевого интерфейса существуют два способа:
нажать левой кнопкой мыши на имя необходимого интерфейса в подразделе назначения портов («Интерфейсы» - «Назначения портов») (см. Рисунок – Назначение портов);
выбрать необходимый интерфейс в списке раздела «Интерфейсы».
При конфигурировании нового интерфейса или изменении существующего необходимо задать/изменить настройки в следующих блоках:
«Базовая конфигурация»;
«Общая конфигурация»;
«Контроль доступа устройств».
Блок «Базовая конфигурация»
В данном блоке (см. Рисунок – Настройка сетевого интерфейса. Базовая конфигурация) присутствуют следующие параметры:
«Включить» – включает и выключает интерфейс;
«Включить физически» – включает и выключает физический интерфейс;
«Блокировать» – защищает от случайного удаления интерфейса;
«Устройство» – отображает имя сетевого интерфейса;
«Описание» – отображает имя интерфейса в ARMA FW.
Примечание
Не рекомендуется без необходимости снимать флажок для параметра «Включить физически».
Рисунок – Настройка сетевого интерфейса. Базовая конфигурация
Блок «Общая конфигурация»
В данном блоке (см. Рисунок – Настройка сетевого интерфейса. Общая конфигурация) присутствуют следующие параметры:
«Блокировать частные сети» – блокирует трафик с IP-адресов, зарезервированных для частных сетей: «10/8», «172.16/12», «192.168/16»; адреса обратной связи: «127/8», адреса NAT: «100.64/10»;
«Блокировать bogon сети» – блокирует трафик с IP-адресов, которые не должны встречаться в таблицах маршрутизации в сети интернет или в качестве адреса отправителя получаемых пакетов;
«Блокировать трафик на SPAN порту» – блокирует трафик от любого отправителя;
«Тип конфигурации IPv4» – задаёт настройки конфигурации IPv4 (см. «Конфигурация IPv4»);
«Тип конфигурации IPv6» – задаёт настройки конфигурации IPv6;
«MAC-адрес» – имитирует заданный MAC-адрес для интерфейса;
«Максимальный размер кадра» – задаёт максимальный размер кадра для сетевой карты;
«Максимальный размер сегмента» – задаёт максимальный размер сегмента для TCP соединений;
«Скорость и двусторонний режим передачи данных» – задаёт скорость и режим передачи для сетевой карты;
«Политика динамического шлюза» – позволяет создавать динамические шлюзы без прямых адресов.
Примечание
Параметры «MAC-адрес», «Максимальный размер кадра», «Максимальный размер сегмента», «Скорость и двусторонний режим передачи данных», «Политика динамического шлюза» стоит изменять только в случае необходимости, так как некорректные значения могут повлиять на работоспособность интерфейса.
Рисунок – Настройка сетевого интерфейса. Общая конфигурация
Конфигурация IPv4
Параметр «Тип конфигурации IPv4» включает в себя следующие значения:
«Отсутствует» – конфигурация не задана;
«Статический IPv4» – ручное указание настроек IPv4;
«DHCP» – автоматическая настройка IPv4 посредством DHCP;
«PPTP» – конфигурации IPv4 по протоколу туннелирования PPTP;
«L2TP» – конфигурации IPv4 по протоколу туннелирования L2TP.
При выборе значения «Статический IPv4» появится дополнительный блок настроек (см. Рисунок – Конфигурация статического IPv4-адреса), в котором указываются IP-адрес и маска сети, а также, при необходимости, задаются параметры публичного IP-адреса шлюза после нажатия кнопки «
».
Рисунок – Конфигурация статического IPv4-адреса
При выборе значения «DHCP» ARMA FW выполнит автоматическую настройку интерфейса посредством DHCP. При этом появится дополнительный блок настроек (см. Рисунок – Конфигурация DHCP-клиента) для настройки конфигурации DHCP-клиента.
Рисунок – Конфигурация DHCP-клиента
Полученный по DHCP IP-адрес будет отображаться в виджете «Интерфейсы» раздела «Инструменты» (см. «Мониторинг системы с помощью информационных виджетов»).
Примечание
В случае указания значения «DHCP» для параметра «Тип конфигурации IPv4», настраиваемый интерфейс не будет отображаться в списках значений для следующих параметров:
«Интерфейсы» настройки зон портала авторизации (см. «Добавление портала авторизации»);
«Интерфейсы прокси» настройки перенаправления прокси (см. «Настройка прокси-сервера»);
«Интерфейсы FTP-прокси» настройки FTP-прокси.
При выборе значения «PPTP»/«L2TP» появится дополнительный блок конфигурации IPv4 по протоколам туннелирования (см. Рисунок – Настройка сетевого интерфейса. Конфигурация PPTP/L2TP).
Рисунок – Настройка сетевого интерфейса. Конфигурация PPTP/L2TP
Примечание
При настройке конфигурации IPv4 адресное пространство различных интерфейсов не должно совпадать. При необходимости использовать для ARMA FW более одного IP-адреса из одной сети необходимо воспользоваться подразделом настроек виртуальных адресов («Межсетевой экран» - «Виртуальные IP-адреса» - «Настройки»).
Конфигурация IPv6
Параметр «Тип конфигурации IPv6» включает в себя следующие значения:
«Отсутствует» – конфигурация не задана;
«Статический IPv6» – ручное указание настроек IPv6;
«DHCPv6» – автоматическая настройка IPv6 посредством DHCPv6;
«SLAAC» – автоматическая настройка IPv6 посредством SLAAC;
«Туннель 6RD» – автоматическая настройка IPv6 по протоколу 6RD;
«Туннель 6to4» – автоматическая настройка IPv6 по протоколу 6to4;
«Отслеживать состояние интерфейсов» – отслеживание настроек IPv6.
При выборе значения «Статический IPv6» появится дополнительный блок настроек (см. Рисунок – Конфигурация статического IPv6-адреса), в котором указываются IP-адрес и маска сети, а также, при необходимости, задаются параметры публичного IP-адреса шлюза после нажатия кнопки «» и возможность использовать IPv4-подключение.
Рисунок – Конфигурация статического IPv6-адреса
При выборе значения «DHCPv6» ARMA FW выполнит автоматическую настройку интерфейса посредством DHCP. При этом появится дополнительный блок настроек (см. Рисунок – Конфигурация DHCPv6-клиента) для настройки конфигурации DHCP–клиента.
Рисунок – Конфигурация DHCPv6-клиента
При выборе значения «SLAAC» ARMA FW выполнит автоматическую настройку интерфейса посредством SLAAC без помощи DHCPv6-сервера. При этом появится дополнительный блок настроек (см. Рисунок – Конфигурация SLAAC) для настройки конфигурации DHCP–клиента.
Рисунок – Конфигурация SLAAC
При выборе значения «Туннель 6RD» ARMA FW выполнит автоматическую настройку интерфейса по протоколу 6RD. При этом появится дополнительный блок настроек (см. Рисунок – Конфигурация протокола 6RD) для настройки конфигурации протокола 6RD.
Рисунок – Конфигурация протокола 6RD
При выборе значения «Туннель 6to4» ARMA FW выполнит автоматическую настройку интерфейса по протоколу 6to4.
Примечание
При настройке конфигурации IPv6 адресное пространство различных интерфейсов не должно совпадать.
Блок «Контроль доступа устройств»
В данном блоке (см. Рисунок – Настройка сетевого интерфейса. Контроль доступа устройств) возможно задать параметры контроля доступа устройств:
«Отключена» – контроль доступа отключён;
«Белый список» – доступ к настраиваемому интерфейсу имеют только указанные хосты;
«Черный список» – доступ к настраиваемому интерфейсу имеют все, кроме указанных хостов.
Рисунок – Настройка сетевого интерфейса. Контроль доступа устройств
При выборе значений «Белый список» или «Черный список» будет доступен параметр «Список устройств» с полем ввода значений MAC-адресов в виде списка, разделённых знаком «запятая».
Расширенные настройки
Для всех интерфейсов доступны расширенные настройки в подразделе настроек интерфейсов («Интерфейсы» - «Настройки») (см. Рисунок – Настройки интерфейсов).
Расширенные настройки требуются для использования определённых сценариев, например, при включении СОВ. В большинстве случаев настройки рекомендуется оставлять по умолчанию.
В случае выбора в параметре «Фильтрация аппаратного обеспечения VLAN» значения «Отключить фильтрацию аппаратного обеспечения внешних VLAN» появится дополнительное поле с выбором интерфейса, на котором будет отключена фильтрация. Отключение фильтрации для выбранного интерфейса позволяет успешно проходить тегированному трафику VLAN, созданных вне ARMA FW, при включённой IPS.
Рисунок – Настройки интерфейсов
Обзор интерфейсов
Информация о сетевых интерфейсах ARMA FW представлена в виде таблицы, для ознакомления с которой необходимо перейти в подраздел обзора интерфейсов («Интерфейсы» - «Обзор») (см. Рисунок – Обзор интерфейсов).
Рисунок – Обзор интерфейсов
В столбце «Статус» возможно отображение следующих пиктограмм:
«
» – интерфейс включён;
«
» – интерфейс включён физически, но выключена его сущность;
«
» – интерфейс выключен физически.
В столбце «Включить индикатор» расположены переключатели для управления световыми индикаторами физических интерфейсов.
Возможность принудительного включения световых индикаторов позволяет визуально определить местоположение физического сетевого интерфейса ARMA FW, соответствующего какому-либо сетевому интерфейсу, отображаемому в подразделе настройки интерфейсов.
Примечание
Не все сетевые карты поддерживают возможность управления состоянием световых индикаторов.
Не все физические сетевые порты могут быть оснащены световыми индикаторами.
Поддерживается одновременное изменение состояния световых индикаторов всех сетевых интерфейсов с помощью переключателя «Вкл/выкл все».
При нажатии на переключатель «Вкл/выкл все» следующего вида:
«
» – будет выполнено включение всех световых индикаторов;
«
» – будет выполнено отключение всех световых индикаторов.
При нажатии кнопки «
» или «
» будет соответственно развёрнута или свёрнута информация о настроенных маршрутах.
Для ознакомления с подробной информацией об интерфейсе следует нажать кнопку «
» в строке соответствующего интерфейса.