Физический интерфейс

Физические интерфейсы Ethernet получают имена в формате «ethN», где «N» — идентификатор, присвоенный интерфейсу.

Конфигурирование

  1. Назначение IP-адреса и префикса сети интерфейсу Ethernet:

set interfaces ethernet ethN address <ip-адрес>

где:

  • «ethN» – имя интерфейса;

  • <ip-адрес> – IP-адрес в формате CIDR (<x.x.x.x/x> - для IPv4; <h:h:h:h:h:h:h:h/x> - для IPv6). Возможно назначение нескольких IP-адресов на интерфейсе. Каждый указанный IP-адрес не заменяет назначенный ранее.

  1. Назначить получение адреса и префикса от сервера DHCP:

set interfaces ethernet ethN address <dhcp | dhcpv6>

  1. Добавить текстовое описание интерфейса Ethernet:

set interfaces ethernet ethN description <описание>

где <описание> – описание интерфейса Ethernet. Если описание содержит пробелы, то оно должно быть заключено в двойные кавычки.

  1. Вывести информации о настроенных интерфейсах Ethernet:

  • команда в эксплуатационном режиме:

    admin@ngfwos:~$ show interfaces

    Пример:

    admin@ngfwos# run show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface    IP Address         MAC                VRF        MTU  S/L    Description
-----------  -----------------  -----------------  -------  -----  -----  -------------
eth0         172.16.100.10/24   00:50:23:bd:1b:e9  default   1500  u/u    WAN
eth1         192.168.67.1/24    00:50:25:bd:11:3b  default   1500  u/u    LAN
             192.168.68.1/24
lo           127.0.0.1/8        00:00:00:00:00:00  default  65536  u/u
             ::1/128
[edit]

  • команда в конфигурационном режиме:

    admin@ngfwos# show interfaces

    Пример:

    admin@ngfwos# show interfaces
Must specify config path
 ethernet eth0 {
    address dhcp
    description WAN
    hw-id 00:50:23:bd:1b:e9
    }
 ethernet eth1 {
    address 192.168.67.1/24
    address 192.168.67.2/24
    description LAN
    hw-id 00:50:25:bd:11:3b
 }
 loopback lo {
 }

  1. Отключение интерфейса Ethernet с сохранением настройки:

set interfaces ethernet ethN disable

Интерфейс будет переведён в состояние административного отключения (A/D).

  1. Отключение генерации управления потоком Ethernet (кадров паузы):

set interfaces ethernet ethN disable-flow-control

Передающая станция, будь то компьютер или сетевой коммутатор, может передавать данные с более высокой скоростью, чем принимающая станция способна обработать. Чтобы избежать перегрузки, принимающая сторона может использовать механизм управления потоком. Этот механизм уведомляет отправителя о необходимости приостановить передачу данных до тех пор, пока принимающая станция не будет готова их принять.

  1. Отключение обнаружение изменений физического состояния канала связи:

set interfaces ethernet ethN disable-link-detect

С помощью данной команды возможно настроить сетевой интерфейс таким образом, чтобы он не обнаруживал изменений физического состояния канала связи, например, при отсоединении кабеля. По умолчанию установлен параметр, который фиксирует такие изменения.

  1. Установка MAC-адреса интерфейса Ethernet:

set interfaces ethernet ethN mac <xx:xx:xx:xx:xx:xx>

где <xx:xx:xx:xx:xx:xx> - MAC-адрес для интерфейса Ethernet. По умолчанию используется MAC-адрес первого интерфейса, добавленного в интерфейс Ethernet.

Примечание

Для предотвращения ошибок при изменении HWID сетевой карты (на виртуальной машине они генерируются случайным образом при запуске, а на физическом оборудовании могут меняться, например, при замене сетевого оборудования или при установке ARMA Стена на другое оборудование) необходимо выполнить следующие действия:

  1. Удалить старый HWID с помощью команды «delete interfaces ethernet ethN hw-id».

  2. Отключить автоматическое назначение MAC-адреса сетевой карте с помощью команды «set interfaces ethernet ethN hw-id-auto-pinning false».

  3. Назначить новый HWID с помощью команды «set interfaces ethernet ethN hw-id <h:h:h:h:h:h>».

  1. Установка значения MTU для интерфейса Ethernet:

set interfaces ethernet ethN mtu <mtu>

где <mtu> - значение MTU для интерфейса Ethernet. Возможно указать значение в диапазоне от «68» до «9190».

  1. Установка режима дуплекса для интерфейса Ethernet:

set interfaces ethernet ethN duplex <auto | full | half>

где <auto | full | half> - режим дуплекса интерфейса. Возможно указать следующие режимы:

  • auto - маршрутизатор автоматически согласует режим дуплекса с интерфейсом на другом конце канала. Установлен по умолчанию;

  • full - полнодуплексный режим;

  • half - полудуплексный режим.

Команда используется для установки характеристик режима дуплекса для интерфейса Ethernet. Если режим дуплекса устанавливается явно, то также потребуется явно указать значение параметра «interfaces ethernet ethN speed».

Примечание

Не всё оборудование поддерживает возможность явного указания режима дуплекса (или определённые режимы работы). Если используется оборудование, не поддерживающее такую установку (или определённые режимы работы), при фиксации изменений будет отображено сообщение об ошибке.

  1. Установка скорости интерфейса Ethernet:

set interfaces ethernet ethN speed <скорость>

где <скорость> - устанавливаемая скорость интерфейса Ethernet. Возможно указать следующие значения:

  • auto - cкорость интерфейса будет автоматически согласована маршрутизатором с интерфейсом на другом конце подключения. Установлен по умолчанию;

  • 10 - 10 Мбит/c;

  • 100 - 100 Мбит/c;

  • 1000 - 1 Гбит/с;

  • 2500 - 2,5Гбит/с;

  • 5000 - 5 Гбит/с;

  • 10000 - 10 Гбит/с;

  • 25000 - 25 Гбит/с;

  • 40000 - 40 Гбит/с;

  • 50000 - 50 Гбит/с;

  • 100000 - 100 Гбит/с.

Команда используется для установки скорости интерфейса Ethernet. Если режим дуплекса устанавливается явно, то также потребуется явно указать значение параметра «interfaces ethernet ethN duplex».

Примечание

Программно-аппаратные комплексы К10000 на базе сервере Тринити Е8 с сетевым адаптером LR-LINK LREC9804BF-4SFP+ 10G PCIe3.0 Intel XL710, поддерживают подключение только со скоростями 1 Гбит/с и 10 Гбит/с. Кроме того, встроенные сетевые карты на материнской плате несовместимы с оборудованием, работающим на скорости 100 Мбит/c и ниже.

Примечание

Оборудование может не поддерживать возможность явной установки скорости передачи (или определённые режимы работы). Если используется оборудование, не поддерживающее такую установку (или определённые режимы работы), при фиксации изменений будет отображено сообщение об ошибке.

  1. Включить различные типы аппаратной разгрузки (offload) на интерфейсе Ethernet:

set interfaces ethernet ethN offload <gro | gso | lro | rps | sg | tso>

где <gro | gso | lro | rps | sg | tso> - тип аппаратной разгрузки на указанном интерфейсе Ethernet. Возможно указать следующие значения:

  • lro - данный метод направлен на увеличение пропускной способности сетевых подключений с высокой пропускной способностью путём снижения нагрузки на центральный процессор. Он реализуется путём объединения нескольких входящих пакетов из одного потока в единый буфер перед их передачей в верхний уровень сетевого стека, что позволяет сократить количество обрабатываемых пакетов.

Примечание

Известно, что в некоторых случаях LRO может изменять заголовки пакетов передаваемого трафика, что нарушает принцип сквозной передачи данных в компьютерных сетях. LRO также может разгружать только сегменты TCP, инкапсулированные в пакеты IPv4. В связи с этими ограничениями рекомендуется по возможности использовать технологию GRO.

  • gso - реализует обобщённый LRO в программном обеспечении, которое не ограничено протоколами TCP/IPv4 и не имеет проблем, связанных с LRO.

  • gro - является дополнением к GSO. В идеале любой кадр, собранный с помощью GRO, должен быть сегментирован для создания идентичной последовательности кадров с помощью GSO, а любая последовательность кадров, сегментированная с помощью GSO, должна быть способна собраться обратно в оригинал с помощью GRO. Единственным исключением из этого является IPv4 ID в случае, если для данного IP-заголовка установлен бит DF.

  • rps - представляет собой логическую программную реализацию RSS. В отличие от RSS, который выбирает очередь и, следовательно, процессор для запуска обработчика аппаратных прерываний, RPS сам решает, какой процессор будет обрабатывать протокол, минуя обработчик прерываний. Это достигается путём помещения пакета в очередь ожидания нужного процессора и его пробуждения для обработки. RPS обладает рядом преимуществ перед RSS: её можно использовать с любым сетевым адаптером; легко добавлять программные фильтры для хеширования по новым протоколам; не увеличивает частоту прерываний аппаратных устройств, хотя и вводит межпроцессорные прерывания (IPI).

  • tso - позволяет адаптерам принимать большой объём данных, превышающий размер MTU. Механизм TSO разбивает данные на отдельные пакеты и автоматически вставляет заданные пользователем заголовки L2/L3/L4 в каждый пакет. Благодаря TSO процессор не перегружается при работе с большим объёмом данных.

  • sg - технология, которая позволяет передавать данные не через один большой буфер, а через несколько маленьких, что увеличивает производительность при обработке больших запросов на ввод-вывод.

Примечание

Для использования TSO/LRO с адаптерами VMXNET3 необходимо включить аппаратную разгрузку типа SG.

Примечание

Сетевой адаптер Intel серии X710 в системе ARMA Стена не поддерживает режим «offload».

Расширенные настройки

  1. Установка значения TCP MSS:

set interfaces ethernet ethN ip adjust-mss <mss | clamp-mss-to-pmtu>

где:

  • <mss> - значение MSS. Возможно указать значение в диапазоне от «536» до «65535».

  • <clamp-mss-to-pmtu> - автоматически устанавливать MSS в нужное значение.

Поскольку обнаружение PMTU в сети Интернет работает нестабильно, иногда возникает необходимость ограничить значение TCP MSS. Это поле находится в опциях TCP в части SYN-пакета. Установив значение MSS, система сообщает удалённой стороне, что не следует отправлять пакеты размером больше этого значения.

  1. Установка тайм-аута записи в ARP-кэш для интерфейса Ethernet:

set interfaces ethernet ethN ip arp-cache-timeout <1-86400>

где <1-86400> - значение тайм-аута записи в ARP-кэш в секундах. Возможно указать значение в диапазоне от «1» до «86400». По умолчанию используется значение «30».

  1. Отключить фильтрацию ARP на интерфейсе Ethernet:

set interfaces ethernet ethN ip disable-arp-filter

Если параметр не установлен (по умолчанию), это позволяет иметь несколько сетевых интерфейсов в одной подсети и отвечать на ARP для каждого интерфейса в зависимости от того, будет ли ядро направлять пакет с IP-адресом ARP через этот интерфейс. Для этого необходимо использовать маршрутизацию на основе источника.

  1. Отключить переадресацию IP на интерфейсе Ethernet:

set interfaces ethernet ethN ip disable-forwarding

Если параметр установлен, интерфейс переходит в режим хоста, и переадресация IPv6 на этом интерфейсе отключается.

  1. Включить направленную широковещательную пересылку на интерфейсе Ethernet:

set interfaces ethernet ethN ip enable-directed-broadcast

В случае активации данной опции, входящие пакеты направленной широковещательной рассылки IP будут перенаправляться через указанный интерфейс. В случае если данный параметр не задан (по умолчанию), входящие пакеты направленной широковещательной рассылки IP не будут передаваться.

  1. Включить приём ARP пакетов на интерфейсе Ethernet:

set interfaces ethernet ethN ip enable-arp-accept

Определяет поведение для ARP-пакетов, IP-записи которых ещё не присутствуют в ARP-таблице. Если эта настройка включена, то создаются новые записи в ARP-таблице. Как ответы, так и запросы типа Gratuitous ARP будут вызывать обновление ARP-таблицы, если эта настройка включена. Если в ARP-таблице уже содержится IP-адрес кадра Gratuitous ARP, то ARP-таблица будет обновлена независимо от того, включена или выключена эта настройка.

  1. Включить анонсирование ARP пакетов на интерфейсе Ethernet:

set interfaces ethernet ethN ip enable-arp-announce

Если параметр не задан, используется любой локальный адрес, который настроен на любом интерфейсе. Если параметр установлен, рекомендуется избегать использования локальных адресов, которые не входят в подсеть цели для данного интерфейса. Этот режим полезен, когда целевые узлы, доступные через данный интерфейс, требуют, чтобы IP-адрес источника в ARP-запросах был частью их логической сети, настроенной на принимающем интерфейсе. При генерации запроса система проверяем все подсети, включающие целевой IP-адрес, и сохраняем адрес источника, если он принадлежит такой подсети. Если подходящей подсети не найдено, система выбирает адрес источника в соответствии с правилами для уровня 2.

  1. Включить игнорирование ARP пакетов на интерфейсе Ethernet:

set interfaces ethernet ethN ip enable-arp-ignore

Данный параметр определяет режимы отправки ответов на ARP-запросы, которые разрешают локальные целевые IP-адреса. Если параметр включён, ответ будет отправлен только в том случае, если целевой IP-адрес является локальным адресом, настроенным на входящем интерфейсе. Если параметр отключён (по умолчанию), ответ будет получен для любого локального целевого IP-адреса, настроенного на любом интерфейсе.

  1. Включить прокси ARP на интерфейсе Ethernet:

set interfaces ethernet ethN ip enable-proxy-arp

Прокси ARP позволяет интерфейсу Ethernet отвечать своим MAC-адресом на ARP-запросы IP-адресов назначения в подсетях, подключённых к другим интерфейсам системы. Последующие пакеты, отправленные на эти IP-адреса назначения, пересылаются системой соответствующим образом.

  1. Включить прокси ARP частного VLAN на интерфейсе Ethernet:

set interfaces ethernet ethN ip proxy-arp-pvlan

Разрешить ответы ARP-прокси с того же интерфейса, с которого был получен ARP-запрос или запрос на предложение. Это необходимо для поддержки функций Ethernet-коммутаторов, описанных в RFC 3069, где отдельные порты не могут напрямую связываться друг с другом, но могут связываться с вышестоящим маршрутизатором. Как указано в RFC 3069, этого можно достичь путём включения прокси-ARP.

Необязательно использовать вместе с proxy_arp.

  1. Включить политику проверки источника по обратному пути, как указано в RFC 3704:

set interfaces ethernet ethN ip source-validation <strict | loose | disable>

где <strict | loose | disable> - режим проверки источника. Возможно указать следующие значения:

  • strict - каждый входящий пакет проверяется по FIB, и принимается только если пришёл через оптимальный (наилучший) обратный путь, определенный в таблице маршрутизации. Все пакеты, не удовлетворяющие этому условию, автоматически отбрасываются.

  • loose - адрес источника каждого входящего пакета также проверяется по FIB, и если адрес источника не достижим ни через один интерфейс, проверка пакета будет неудачной.

  • disable - нет проверки источника.

В настоящее время в RFC 3704 рекомендуется включать strict режим для предотвращения подмены IP адресов в результате DDos атак. При использовании асимметричной или другой сложной маршрутизации рекомендуется использовать loose режим.

  1. Включить получение IPv6-адреса с помощью автоконфигурации без статического изменения (SLAAC):

set interfaces ethernet ethN ipv6 address autoconf

В соответствии с RFC 4862, хосты IPv6 могут автоматически настраиваться при подключении к сети IPv6 с использованием протокола Neighbor Discovery Protocol (NDP) через сообщения ICMPv6 об обнаружении маршрутизатора. При первом подключении к сети хост отправляет многоадресный запрос link-local router solicitation для получения параметров конфигурации. Маршрутизаторы отвечают на этот запрос пакетом router advertisement, содержащим параметры конфигурации уровня Интернета.

Примечание

Данный метод автоматически отключает пересылку трафика IPv6 на сетевом интерфейсе.

  1. Включить префикс EUI-64 на основе MAC адреса для IPv6 адреса интерфейса Ethernet:

set interfaces ethernet ethN ipv6 address eui64 <prefix>

где <prefix> - cеть IPv6 в формате <h:h:h:h:h:h:h:h/64>.

  1. Удалить локальный адрес IPv6 по умолчанию для интерфейса Ethernet:

set interfaces ethernet ethN ipv6 address no-default-link-local

  1. Отключить IP переадресацию на интерфейсе Ethernet:

set interfaces ethernet ethN ipv6 disable-forwarding

В случае установки, интерфейс будет переведен в режим хоста, а переадресация IPv6 на данном интерфейсе будет отключена.

  1. Установить значения TCP MSS:

set interfaces ethernet ethN ipv6 adjust-mss <mss | clamp-mss-to-pmtu>

где:

  • <mss> - значение MSS. Возможно указать значение в диапазоне от «536» до «65535».

  • <clamp-mss-to-pmtu> - автоматически устанавливать MSS в нужное значение.

  1. Принимать обнаружение дублирующегося адреса:

set interfaces ethernet ethN ipv6 accept-dad <0-2>

где <0-2> - режим приёма DAD. Возможно указать следующие значения:

  • 0 - отключить DAD;

  • 1 - включить DAD (по умолчанию);

  • 2 - включить DAD и отключить работу IPv6, если обнаружен дублированный MAC-адрес link-local.

  1. Установить количество сообщений NS для отправки при выполнении DAD:

set interfaces ethernet ethN ipv6 dup-addr-detect-transmits <n>

где <n> - количество NS-сообщений. В случае установки значения «0», функция обнаружения дубликатов адресов (DAD) будет отключена. По умолчанию используется значение «1».

  1. Разместить интерфейс Ethernet в указанном экземпляре VRF:

set interfaces ethernet ethN vrf <vrf>

где <vrf> - имя экземпляра VRF.

Настройки получения адреса по DHCP(v6)

  1. Установить идентификатор, используемый клиентом для идентификации себя DHCP сервером:

set interfaces ethernet ethN dhcp-options client-id <description>

где <description> - значение идентификатора.

В случае предоставления идентификатора пользователь обязан использовать один и тот же идентификатор во всех последующих сообщениях.

  1. Изменить системное имя устройства, передаваемое DHCP серверу:

set interfaces ethernet ethN dhcp-options host-name <hostname>

где <hostname> - новое системное имя хоста, передаваемое DHCP серверу.

Вместо передачи реального системного имени хоста на DHCP-сервер будет передано заданное значение в качестве имени хоста.

  1. Определить тип клиента поставщика для DHCP-сервера:

set interfaces ethernet ethN dhcp-options vendor-class-id <vendor-id>

где <vendor-id> - значение опций DHCP.

Опция «vendor-class-id» используется для запроса у сервера определённого класса опций поставщика.

  1. Запросить у DHCP-сервера только адрес, не запрашивая шлюз по умолчанию:

set interfaces ethernet ethN dhcp-options no-default-route

  1. Установить значение расстояния для шлюза по умолчанию, отправляемого сервером DHCP:

set interfaces ethernet ethN dhcp-options default-route-distance <distance>

где <distance> - значение расстояния для шлюза по умолчанию. Возможно указать значение в диапазоне от «1» до «255». По умолчанию используется значение «210».

  1. Отклонить аренду DHCP с заданного адреса или диапазона:

set interfaces ethernet ethN dhcp-options reject <address>

где <address> - IP-адрес, возможно указать несколько раз в формате <x.x.x.x> и/или <x.x.x.x/x>.

  1. Задать уникальный идентификатор DHCP (DUID) для интерфейса Ethernet:

set interfaces ethernet ethN dhcpv6-options duid <h[[:h]...]>

где <h[[:h]…]> - значение уникального идентификатора DHCP.

Уникальный идентификатор DHCP (DUID) используется системой для получения IP-адреса от сервера DHCPv6. Он состоит из двухбайтового поля типа DUID и поля идентификатора переменной длины до 128 байт. Фактическая длина DUID зависит от типа. Сервер сравнивает DUID с данными в своей базе и предоставляет системе необходимую информацию, такую как адрес, время аренды, DNS-серверы и другие параметры.

  1. Не отправлять сообщение об освобождении при выходе:

set interfaces ethernet ethN dhcpv6-options no-release

Данный параметр означает, что при использовании протокола DHCP для получения IPv6-адресов адрес не будет освобождаться автоматически. Это может быть полезно, если необходимо сохранить полученный адрес после отключения интерфейса или перезагрузки. В таком случае адрес возможно будет использовать многократного при последующих операциях подключения.

  1. Получить только параметры конфигурации, без указания адреса:

set interfaces ethernet ethN dhcpv6-options parameters-only

Данное параметр указывает на то, что dhcp6c обменивается с серверами только информационными параметрами конфигурации. Примером таких параметров является список адресов DNS-серверов. Это утверждение может быть полезно, если клиенту не требуются параметры конфигурации с состоянием, такие как IPv6-адреса или префиксы.

  1. Включить функцию Rapid Commit для быстрого получения IPv6-адреса:

set interfaces ethernet ethN dhcpv6-options rapid-commit

  1. Запросить временный IPv6-адрес:

set interfaces ethernet ethN dhcpv6-options temporary

Запрашивается только временный адрес, и не создаёт партнёрство IA_NA (Identity Association for Non-temporary Addresses).

Делегирование префиксов DHCPv6 (PD)

  1. Задать размер делегируемого префикса для экземпляра делегирования префикса на интерфейсе Ethernet:

set interfaces ethernet ethN dhcpv6-options pd <id> length <length>

где:

  • <id> - номер экземпляра делегированного префикса. Значение должно быть больше или равно нулю.

  • <length> - значение размера делегируемого префикса. Возможно указать значение в диапазоне от «32» до «64». По умолчанию используется значение «64».

  1. Указать адрес интерфейса <address>, используемый локально на интерфейсе <delegatee>, на который был делегирован префикс:

set interfaces ethernet ethN dhcpv6-options pd <id> interface <delegatee> address <address>

где:

  • <delegatee> - сетевой интерфейс.

  • <address> - значение, используемое для формирования адреса интерфейса IPv6. Значение должно быть больше нуля.

Интерфейс будет объединён с делегированным префиксом и идентификатором sla-id для формирования полного адреса интерфейса. По умолчанию используется расширенный уникальный идентификатор интерфейса (EUI-64).

  1. Указать значение идентификатора агрегатора уровня сайта SLA <sla-id> на интерфейсе <delegatee>:

set interfaces ethernet ethN dhcpv6-options pd <id> interface <delegatee> sla-id <id>

где <id> - значение идентификатора агрегатора уровня сайта. Идентификатор должен быть положительным десятичным числом и соответствовать максимально допустимой длине идентификаторов SLA.

VLAN 802.1Q

VLAN – это технология, позволяющая строить виртуальные сети с независимой от физических устройств топологией.

IEEE 802.1Q – открытый стандарт, который описывает процедуру тегирования трафика для передачи информации о принадлежности к VLAN по сетям стандарта IEEE 802.3 Ethernet.

В ARMA Стена интерфейсы 802.1q представлены как виртуальные интерфейсы.

Команды настройки VLAN-интерфейса

  1. Команда создания VLAN-интерфейса:

set interfaces ethernet <interface> vif <vlan-id>

где:

  • <interface> – имя физического интерфейса, например «eth1»;

  • <vlan-id> – идентификатор VLAN. Возможно указание значения в диапазоне от «0» до «4094».

На одном физическом интерфейсе возможно создать несколько VLAN-интерфейсов.

Примечание

Нельзя создавать виртуальные интерфейсы для физического интерфейса, который участвует в сетевом мосте с поддержкой VLAN.

  1. Команда назначения адреса VLAN-интерфейсу:

set interfaces ethernet <interface> vif <vlan-id> address <address | dhcp | dhcpv6>

где:

  • <interface> – имя физического интерфейса;

  • <vlan-id> – идентификатор VLAN;

  • <address | dhcp | dhcpv6> – IP-адрес VLAN-интерфейса. Возможно указать IP-адрес в формате: IPv4 – «x.x.x.x/x» или «dhcp», IPv6 – «h:h:h:h:h:h:h:h/x» или «dhcpv6».

Примеры назначения IP-адреса для VLAN-интерфейса «eth0.5»:

set interfaces ethernet eth0 vif 5 address 192.168.20.1/24
set interfaces ethernet eth0 vif 5 address 2001:db8::1/64
set interfaces ethernet eth0 vif 5 address dhcp
set interfaces ethernet eth0 vif 5 address dhcpv6

  1. Команда создания описания для VLAN-интерфейса:

set interfaces ethernet <interface> vif <vlan-id> description <description>

где <description> – описание интерфейса. Описание не должно превышать «255» символов.

Примеры описания для VLAN-интерфейса «eth0.5»:

set interfaces ethernet eth0 vif 5 description 'Интерфейс VLAN0.5'
set interfaces ethernet eth0 vif 5 description Интерфейс_VLAN0.5

  1. Команда отключения VLAN-интерфейса:

set interfaces ethernet <interface> vif <vlan-id> disable

После отключения интерфейс будет переведён в состояние административного отключения.

Примечание

При необходимости удаления VLAN-интерфейса, на который выполняется зеркалирование трафика, требуется предварительно выключить зеркалирование на данный VLAN-интерфейс (см. SPAN).

В противном случае при создании нового VLAN-интерфейса на физическом интерфейсе, использовавшемся для зеркалирования трафика на удалённый VLAN-интерфейс, возникнет ошибка.

  1. Команда отключения контроля состояния физического канала связи:

set interfaces ethernet <interface> vif <vlan-id> disable-link-detect

По умолчанию VLAN-интерфейсы настроены на обнаружение изменения физического состояния канала, например, при отсоединении кабеля.

  1. Команда установки пользовательского MAC-адреса для VLAN-интерфейса:

set interfaces ethernet <interface> vif <vlan-id> mac <xx:xx:xx:xx:xx:xx>

где <xx:xx:xx:xx:xx:xx> - пользовательский MAC-адрес.

  1. Команда установки размера MTU для VLAN-интерфейса:

set interfaces ethernet <interface> vif <vlan-id> mtu <mtu>

где <mtu> – значение MTU. Возможно указание значения в диапазоне от «1280» до «9190».

Примечание

Значение MTU должно быть меньшим или равным значению MTU родительского интерфейса.

  1. Команда установки тайм-аута записи ARP-кэша для VLAN-интерфейса:

set interfaces ethernet <interface> vif <vlan-id> ip arp-cache-timeout <time>

где <time> – время тайм-аута в секундах. Возможно указание значения в диапазоне от «1» до «86400». По умолчанию используется значение «30».

  1. Команда отключения фильтрации ARP-запросов на VLAN-интерфейсе:

set interfaces ethernet <interface> vif <vlan-id> ip disable-arp-filter

Если параметр установлен, то программа отвечает на ARP-запросы адресами других интерфейсов.

По умолчанию параметр не установлен, что позволяет иметь несколько сетевых интерфейсов в одной подсети и отвечать на ARP-запросы для каждого интерфейса в зависимости от того, будет ли программа маршрутизировать ARP-пакет через этот интерфейс. Для работы функции необходимо использовать маршрутизацию на основе источника.

  1. Команды настройки поведения хоста в зависимости от интерфейса:

set interfaces ethernet <interface> vif <vlan-id> ip disable-forwarding

Если параметр установлен, интерфейс переключится в режим хоста и IP-переадресация на интерфейсе будет отключена.

  1. Команда включения приёма ARP-пакетов на VLAN-интерфейсе:

set interfaces ethernet <interface> vif <vlan-id> ip enable-arp-accept

Определяет поведение для ARP-пакетов, IP-записи которых нет в ARP-таблице. Если параметр включён, то создаются новые записи в ARP-таблице.

Ответы и запросы типа «gratuitous arp» обновляют ARP-таблицы, если параметр включён.

Если ARP-таблица содержит IP-адрес кадра «gratuitous arp», то ARP-таблица обновится независимо от того, включён или выключен этот параметр.

  1. Команда включения анонсирования ARP-пакетов на VLAN-интерфейсе:

set interfaces ethernet <interface> vif <vlan-id> ip enable-arp-announce

  1. Команда установки режима отправки ответов на ARP-запросы, разрешённые локальными целевыми IP-адресами:

set interfaces ethernet <interface> vif <vlan-id> ip enable-arp-ignore

Если целевой IP-адрес является локальным адресом, настроенным на входящем интерфейсе, ответ на ARP-запрос будет отправлен.

Если параметр отключён, то ответ будет отправлен для любого локального целевого IP-адреса, настроенного на любом интерфейсе. Применяется по умолчанию.

  1. Команда включения ARP-прокси на VLAN-интерфейсе:

set interfaces ethernet <interface> vif <vlan-id> ip enable-proxy-arp

ARP-прокси позволяет интерфейсу отвечать собственным MAC-адресом на ARP-запросы для IP-адресов назначения в подсетях, подключённых к другим интерфейсам в системе.

  1. Команда включения разрешения возвращать ARP-прокси-ответы на тот же интерфейс, с которого был получен ARP-запрос:

set interfaces ethernet <interface> vif <vlan-id> ip proxy-arp-pvlan

  1. Команда включения политики проверки источника по обратному пути на VLAN-интерфейсе:

set interfaces ethernet <interface> vif <vlan-id> ip source-validation <strict | loose | disable>

где:

  • <strict> – входящий пакет проверяется по FIB, и если интерфейс не является наилучшим обратным путём, то проверка пакета завершится неудачей. По умолчанию неудачные пакеты отбрасываются;

  • <loose> – адрес источника входящего пакета проверяется по FIB, и если адрес источника не достижим ни через один интерфейс, проверка пакета завершится неудачей;

  • <disable> – нет проверки источника.

Рекомендуется включать строгий режим для предотвращения подмены IP-адресов в результате DDoS-атак. При использовании асимметричной или другой сложной маршрутизации рекомендуется использовать свободный режим.

  1. Команда включения механизма получения IPv6-адреса с помощью протокола «Neighbor Discovery Protocol» через ICMPv6-сообщения об обнаружении маршрутизатора на VLAN-интерфейсе:

set interfaces ethernet <interface> vif <vlan-id> ipv6 address autoconf

Примечание

Данный режим автоматически отключает пересылку IPv6-трафика на указанном интерфейсе.

  1. Команда удаления локального IPv6-адреса по умолчанию для VLAN-интерфейса:

set interfaces ethernet <interface> vif <vlan-id> ipv6 address no-default-link-local

  1. Команда изменения системного имени устройства, передаваемого DHCP-серверу:

set interfaces ethernet <interface> vif <vlan-id> dhcp-options host-name <hostname>

где <hostname> – новое имя хоста, отправляемое взамен реального имени хоста системы на DHCP-сервер.

SPAN

Функция зеркалирования интерфейсов в ARMA Стена позволяет копировать входящий и исходящий трафик интерфейса на другой интерфейс. Функция используется для анализа трафика и должна поддерживаться принимающим устройством, например, коммутатором.

Для настройки зеркалирования интерфейса для входящего трафика необходимо ввести команду:

set interfaces ethernet eth1 mirror ingress eth3

Входящий трафик на интерфейсе «eth1» копируется на интерфейс «eth3». Интерфейсы приведены в качестве примера.

Для настройки зеркалирования интерфейса для исходящего трафика необходимо ввести команду:

set interfaces ethernet eth1 mirror egress eth3

Исходящий трафик на интерфейсе «eth1» копируется на интерфейс «eth3». Интерфейсы приведены в качестве примера.