Интерфейсы

ARMA Стена поддерживает множество типов интерфейсов, используя как сетевые интерфейсы, так и различные сетевые протоколы.

Для просмотра всех интерфейсов системы, их настройки и создания новых необходимо перейти в меню «Интерфейсы». Далее следует выбрать раздел «Настройки интерфейсов». (см. Рисунок – Панель настройки интерфейсов).

../../../../_images/ngfw.rp.web.interfaces_1.1.png — *Рисунок – Панель настройки интерфейсов*

Физический интерфейс

Физические интерфейсы получают имена в формате «ethN», где «N» — идентификатор, присвоенный интерфейсу.

Настройки физического интерфейса

Настройка физического интерфейса осуществляется в боковой панели «Редактирование интерфейса», которая вызывается щелчком ЛКМ на нужном интерфейсе (см. Рисунок – Редактирование интерфейса).

../../../../_images/ngfw.rp.web.interfaces_1.1.1.png — *Рисунок – Редактирование интерфейса*

Параметры интерфейса:

«Включить интерфейс» - включение/выключение физического интерфейса.
«Тип конфигурации IPv4» - выбор настройки IP-адреса: «отключён», «ручная настройка», «DHCPv4».
«Тип конфигурации IPv6» - выбор настройки IP-адреса: «отключён», «ручная настройка», «DHCPv6».
«MTU» - значение MTU. Возможно указать значение в диапазоне от «1280» до «9190». По умолчанию используется значение «1500». Значение MTU не может быть меньше значения MTU дочернего VLAN интерфейса.
«Включить зеркалирование (SPAN)» - настройка копирование входящего/исходящего трафика:
- «Входящий трафик» - выбор интерфейса, на который будет выполняться зеркалирование входящего трафика;
- «Исходящий трафик» - выбор интерфейса, на который будет выполняться зеркалирование исходящего трафика.
Примечание

Невозможно назначить сетевой мост для зеркалирования трафика сетевого интерфейса, если данный интерфейс является участником этого сетевого моста.

Примечание

Невозможно зеркалировать трафик на дочерний VLAN-интерфейс.
«MAC-адрес» - пользовательский MAC-адрес. Имитацию МАС-адреса интерфейса возможно использовать, например, при определённых кабельных соединениях WAN интерфейса. Формат ввода значения МАС-адреса «xx:xx:xx:xx:xx:xx».
«Режим дуплексной работы физического интерфейса» - настройка параметров дуплексного режима работы физического интерфейса. Возможный выбор значений:
- «auto» - настройка двустороннего режима интерфейса согласовывается автоматически;
- «full» - использовать полнодуплексный режим;
- «half» - использовать полудуплекс.
Для каждой сетевой карты отображается свой список допустимых значений. Недоступно для редактирования в сетевой карте, использующей один из драйверов: «vmxnet3», «virtio_net», «xen_netfront», «iavf», «ice», «i40e», «veth».
«Скорость работы физического интерфейса» - установка скорости работы интерфейса. Недоступно для редактирования в сетевой карте, использующей один из драйверов: «vmxnet3», «virtio_net», «xen_netfront», «iavf», «ice», «i40e», «veth».
«Включить аппаратную разгрузку сетевой карты интерфейса» - позволяет снизить нагрузку на ЦП.
- «Тип аппаратной разгрузки сетевой карты интерфейса» - выбор метода разгрузки обработки стека TCP/IP.
«Отключить контроль потоков (IEEE 802.3x)» - механизм временной остановки передачи данных в компьютерных сетях. Целью этого механизма является обеспечение нулевой потери пакетов при перегрузке сети. Недоступно для редактирования в сетевой карте, использующей один из драйверов: «vmxnet3», «virtio_net», «xen_netfront», «iavf», «ice», «i40e», «veth».
«Отключить мониторинг состояния интерфейса (link-detect)» - отключить контроль физических состояний интерфейса, например, при отключении кабеля.
«Описание» - значение поля не должно содержать символы «"», «'», «//» и перенос строки.

Виртуальный интерфейс

Виртуальные интерфейсы имеют имена в формате «ethN.M», где «M» — значение VLAN-тега, указанное при создании виртуального интерфейса.

Для создания виртуального интерфейса необходимо выполнить следующие действия:

В разделе «Настройки интерфейсов» нажать кнопку «+Добавить».
В открывшейся боковой панели выбрать создаваемый объект «Виртуальный интерфейс» и заполнить параметры:

«Наименование» - наименование VLAN. Назначается автоматически на основе имени физического интерфейса и VLAN-тег;

«Включить интерфейс» - включение/выключение виртуального интерфейса;

«Физический интерфейс» - выбор физического интерфейса, на котором будет создан сегмент виртуальной сети;

«VLAN-тег» - метка виртуальной сети. Возможно указать значение в диапазоне от «0» до «4094»;

«Тип конфигурации IPv4» - выбор настройки IP-адреса: «отключён», «ручная настройка», «DHCPv4»;

«Тип конфигурации IPv6» - выбор настройки IP-адреса: «отключён», «ручная настройка», «DHCPv6»;

«MTU» - значение MTU. Возможно указать значение в диапазоне от «1280» до «9190». По умолчанию используется значение «1500». Значение MTU должно быть меньшим или равным значению MTU родительского интерфейса;

«MAC-адрес» - пользовательский MAC-адрес. Формат ввода значения МАС-адреса «xx:xx:xx:xx:xx:xx»;

«Описание» - значение поля не должно содержать символы «"», «'», «//» и перенос строки.

По завершению нажать кнопку «Сохранить» (см. Рисунок – Добавление виртуального интерфейса).

../../../../_images/ngfw.rp.web.interfaces_1.2.1.png — *Рисунок – Добавление виртуального интерфейса*

Примечание

Невозможно создать виртуальные интерфейсы для физического интерфейса, который участвует в сетевом мосте с поддержкой VLAN.

Редактирование интерфейса

Для редактирования интерфейса необходимо выполнить следующие действия:

Нажать ЛКМ на нужном интерфейсе в разделе «Настройки интерфейсов».
В открывшейся боковой панели «Редактирование интерфейса» внести необходимые изменения и нажать кнопку «Сохранить».

Примечание

Если сетевой интерфейс является частью сетевого моста, то настройка адреса будет невозможна.

Удаление интерфейса

Для удаления виртуальных интерфейсов необходимо выполнить следующие действия:

Выбрать один или несколько интерфейсов для удаления, установив флажок в чек-боксе слева от наименования интерфейса, и нажать кнопку «Удалить».
Подтвердить удаление нажатием кнопки «Удалить» в открывшемся окне (см. Рисунок – Удаление виртуального интерфейса).

../../../../_images/ngfw.rp.web.interfaces_1.4.1.png — *Рисунок – Удаление виртуального интерфейса*

Примечание

Физические интерфейсы недоступны для удаления. В случае их выбора вместе с виртуальными интерфейсами программа выдаст сообщение «Внимание! Физические интерфейсы недоступны к удалению.» и предложит подтвердить удаление только виртуальных интерфейсов.

Примечание

В случае если сетевой интерфейс является частью сетевого моста, система выдаст предупреждение о невозможности его удаления (см. Рисунок – Удаление невозможно).

../../../../_images/ngfw.rp.web.interfaces_1.4.2.png — *Рисунок – Удаление невозможно*

Сетевой мост

Сетевой мост - это сетевое устройство, предназначенное для объединения сегментов сети передачи данных в единую сеть. Он функционирует на канальном уровне модели OSI, обеспечивая прозрачное прохождение протоколов через него.

Примечание

Протокол STP по умолчанию не активирован в системе ARMA Стена. Однако его возможно активировать в процессе настройки сетевого моста.

В ARMA Стена добавление и настройка сетевых мостов производится в разделе «Настройки интерфейсов» (см. Рисунок – Панель настройки интерфейсов).

При создании сетевого моста формируется новый сетевой интерфейс, который получает имя «brN», где «N» — порядковый номер. На сетевом интерфейсе не должно быть настроек конфигурации IP-адреса перед добавлением его в сетевой мост. В составе сетевого моста поддерживаются следующие типы сетевых интерфейсов: Ethernet, Bond/Link Aggregation, L2TPv3, OpenVPN, VXLAN, WLAN/WIFI - Wireless LAN, Tunnel, GENEVE.

Создание сетевого моста

Для создания сетевого моста необходимо выполнить следующие действия:

В разделе «Настройки интерфейсов» нажать кнопку «+Добавить».
В открывшейся боковой панели «Добавление интерфейса» выбрать создаваемый объект «Сетевой мост» и заполнить параметры:

«Включить интерфейс» - позволяет включить или отключить сетевой мост. Отключение мостовой группы сохраняет текущие настройки. После отключения интерфейс переходит в состояние административного отключения (A/D).

«Наименование» - имя сетевого моста. Оно должно иметь вид «brN», где N представляет собой уникальный идентификатор сетевого моста, начинающийся с «0». Длина наименования не должна превышать «15» символов.

«Участники» - блок добавления сетевых интерфейсов в состав сетевого моста. Кнопки «+Добавить» и «Удалить» позволяют добавлять или удалять сетевые интерфейсы. На сетевом интерфейсе не должно быть настроек конфигурации IP-адреса перед добавлением его в сетевой мост.

Примечание

Один и тот же сетевой интерфейс может быть участником только одного сетевого моста.

Примечание

Нельзя назначить сетевой интерфейс на сетевой мост, если данный интерфейс настроен на зеркалирование трафика на этот сетевой мост.

Дополнительные параметры:

«Приоритет участника» - приоритет для интерфейса, входящего в состав сетевого моста. Возможно указать значение в диапазоне от «1» до «63».

«Разрешенные VLAN» - идентификатор VLAN. Позволить указанным идентификаторам VLAN проходить через интерфейс сетевого моста. Возможно указать значение в диапазоне от «1» до «4094». Допускается указывать как один идентификатор VLAN, так и группу идентификаторов, разделённых дефисом (X-Y). Кнопки «+Добавить» и «Удалить» позволяют добавлять или удалять идентификатор VLAN. Невозможно использовать параметр «Разрешенные VLAN» на сетевом мосту, если не активирована опция «Поддержка VLAN».

«Цена (cost для STP)» - стоимость пути для интерфейса, входящего в состав сетевого моста. Более быстрый интерфейс должен иметь более низкую стоимость. Возможно указать значение в диапазоне от «1» до «65535». Значение по умолчанию для стоимости пути рассчитывается исходя из пропускной способности канала (см. Таблица «Соответствия пропускной способности и назначаемой по умолчанию стоимости пути»).

Таблица «Соответствия пропускной способности и назначаемой по умолчанию стоимости пути»

Пропускная способность канала

Стоимость пути протокола STP для интерфейса

4 Mbit/s

250

10 Mbit/s

100

16 Mbit/s

62

100 Mbit/s

19

1 Gbit/s

4

2 Gbit/s

3

10 Gbit/s

2

«Изолировать порт» - при включении изолированный порт в частной виртуальной локальной сети (PVLAN) изолируется на втором уровне от любых других коммутаторов, кроме тех, которые настроены на режим promiscuous.

«Собственный VLAN ID (native-vlan)» - указать идентификатор VLAN, который должен присутствовать на канале. Возможно указать значение в диапазоне от «1» до «4094». При поступлении пакета данных без тега VLAN на порт, пакет данных будет вынужден получить тег с определённым идентификатором VLAN. При выходе флага идентификатора VLAN из порта, тег идентификатора VLAN будет удалён. Невозможно использовать параметр «Собственный VLAN ID (native-vlan)» на сетевом мосту, если не активирована опция «Поддержка VLAN».

«Тип конфигурации IPv4» - выбрать тип конфигурирования IPv4-адреса. При выборе «Ручная настройка» открываются дополнительные поля для указания IPv4-адреса. Кнопки «+Добавить» и «Удалить» позволяют добавлять или удалять IPv4-адреса.

«Тип конфигурации IPv6» - выбрать тип конфигурирования IPv6-адреса. При выборе «Ручная настройка» открываются дополнительные поля для указания IPv6-адреса. Кнопки «+Добавить» и «Удалить» позволяют добавлять или удалять IPv6-адреса.

«Включить зеркалирование (SPAN)» - функция SPAN позволяет дублировать входящий и исходящий трафик, проходящий через сетевой мост на указанный интерфейс. Обычно данный интерфейс подключается к специализированному оборудованию, такому как системы контроля поведения и обнаружения вторжений. Преимущество функции SPAN состоит в том, что она позволяет отделить приложение от основного трафика, что предотвращает влияние приложения на общий поток данных и производительность системы. При включении SPAN необходимо указать дополнительные параметры:

«Входящий трафик» - выбрать интерфейс, на который будет дублироваться весь входящий трафик сетевого моста;

«Исходящий трафик» - выбрать интерфейс, на который будет дублироваться весь исходящий трафик сетевого моста;

«Приоритет» - указать приоритет пересылки сетевого моста в рамках связующего дерева. Значение приоритета учитывается при выборе корневого элемента связующего дерева. Чем меньше значение, присвоенное сетевому мосту, тем выше его приоритет и тем больше вероятность того, что данный сетевой мост будет выбран в качестве корневого элемента связующего дерева. Возможно указать значение в диапазоне от «0» до «65535». По умолчанию используется значение «32768».

«MTU» - значение MTU. Возможно указать значение в диапазоне от «1280» до «16000». По умолчанию используется значение «1500».

«MAC адрес» - данное поле возможно использовать для имитации МАС-адреса интерфейса. В поле необходимо ввести МАС-адрес в формате XX:XX:XX:XX:XX:XX или оставить поле пустым. Эта операция может потребоваться, например, при определённых типах кабельных соединений WAN-интерфейса.

«Отключить мониторинг состояния интерфейса (link-detect)» - система не будет отслеживать изменения физического состояния канала связи, например, в случае отсоединения кабеля.

«Поддержка VLAN» - включить поддержку VLAN на данном сетевом мосту.

Примечание

В случае если интерфейсы, участвующие в сетевом мосту, имеют дочерние VLAN-интерфейсы, то функция поддержки VLAN на этом мосту будет недоступна.

«Протокол связующего дерева (STP)» - включить протокол STP на сетевом мосту.

«Задержка пересылки STP» - значение времени задержки пересылки в секундах. Время задержки пересылки — это время, в течение которого устройство находится в состоянии прослушивания и обучения перед переходом в состояние пересылки. Это время необходимо для того, чтобы новое устройство, подключённое к загруженной сети, могло проанализировать трафик перед началом работы. Возможно указать значение в диапазоне от «2» до «30». По умолчанию используется значение «15».

«Интервал приветствий STP» - значение интервала времени в секундах. Возможно указать значение в диапазоне от «1» до «10». По умолчанию используется значение «2». Параметр используется для настройки интервала времени, через который мостовая группа отправляет пакеты «hello». Пакеты «hello» представляют собой блоки BPDU (Bridge Protocol Data Units), которые используются для передачи информации о структуре топологии сети.

«Время хранения MAC-адреса» - интервал времени хранения, в секундах, по истечении которого MAC-адрес удаляется из таблицы пересылки. Возможно указать значение в диапазоне от «10» до «1000000». По умолчанию используется значение «300». При значении «0» функция MAC-адресного обучения отключается (всегда используется широковещательная передача).

«Время жизни других коммутаторов (max-age)» - значение интервала времени, в секундах, в течение которого сетевой мост ожидает получения пакета «hello» перед перевычислением топологии связующего дерева. Возможно указать значение в диапазоне от «6» до «40». По умолчанию используется значение «20».

«Включить IGMP» - включить IGMP/MLD querier.

По завершению нажать кнопку «Сохранить» (см. Рисунок – Добавление сетевого моста).

../../../../_images/ngfw.rp.web.interfaces_2.1.1.png — *Рисунок – Добавление сетевого моста*

Редактирование сетевого моста

Для редактирования сетевого моста необходимо выполнить следующие действия:

Нажать ЛКМ на нужном интерфейсе сетевого моста в разделе «Настройки интерфейсов».
В открывшейся боковой панели «Редактирование интерфейса» внести необходимые изменения и нажать кнопку «Сохранить».

Примечание

При изменении участников сетевого моста с включённой поддержкой VLAN не допускается указывать интерфейсы, которые имеют дочерние VLAN.

Удаление сетевого моста

Для удаления сетевого моста необходимо выполнить следующие действия:

Выбрать один или несколько сетевых мостов для удаления, установив флажок в чек-боксе слева от наименования интерфейса, и нажать кнопку «Удалить».
Подтвердить удаление нажатием кнопки «Удалить» в открывшемся окне (см. Рисунок – Удаление сетевого моста).

../../../../_images/ngfw.rp.web.interfaces_2.3.1.png — *Рисунок – Удаление сетевого моста*