第3章 網路設定¶
INF 是設計使用在內網的防火牆,以 ZONE 做區隔,連線以橋接(BRIDGE) 為主的 UTM。使用環境大多建立在閘道設備和交換器之間,對傳輸的流量做過濾。在 INF 上除了預設做管理使用的 MGMT 介面,其餘 ZONE 至少需要包含兩個實體介面以滿足橋接的性質。本章會詳細介紹如何將多個實體網路介面組合成 ZONE,以及在建立ZONE時需要的注意事項。
3-1、區域設定¶
INF 預設會把 MGMT 標示為 ZONE 0,ZONE 0 跟 MGMT 的組合無法被管理者刪除,但可以把其他的實體 Port 加入 ZONE 0 中,預設 IPV4 位址是 192.168.1.1。
Tip
在同一個 ZONE 有超過一個以上的實體 Port 組合時,預設Port 與 Port 之間的封包是阻擋的,需要管制條例設定規則才會通行。
3-1-1、區域設定¶
區域狀態圖列出目前每一個實體 Port 歸屬於哪個 ZONE,並用顏色及數字區分,同一個 ZONE 它的顏色會一樣。當系統有任何 Port 不歸屬於任何 ZONE 時,管理者可以按下的按鈕,建立一個新的 ZONE,
也可以在已經建立的 ZONE 中加入新的實體 Port。如果要將某個實體 Port-X 從 ZONE 1 改成 ZONE 2,先要到 ZONE 1 把 Port-X 刪除,讓 Port-X 不屬於任何 ZONE,再到 ZONE 2 中加入 Port-X。建立新的區域如果有空的實體 Port 尚未被分配到 ZONE 中,管理者就可以新增一個 ZONE,按下
圖 50. 圖3-1 新增區域¶
【介面】:選擇數字代號。【介面名稱】:選擇新增 ZONE 的數字代號,系統以 ZONE 為前置代號,後面是數字。例如:ZONE 0、ZONE 1….【名稱】:新增使 ZONE 方便記憶的名稱,例如:會計、工程等等。【顏色】:選擇 ZONE 的顏色。【Port】:選擇 ZONE 的實體 Port,任何未標示數字的 Port 都可以選,也可以選擇多個 Port 組合成一個 ZONE。【Power On ByPass】:在設備過電正常運行的狀況下,調整是否啟用 ByPass。若狀態為 On,封包不會經過條例上的過濾【WatchDog ByPass】:勾選後可以在設備過電但當機的狀況下,讓 ByPass 可以啟動。Tip
在選擇Port時,如果界面被 ByPass虛線框起來,被框起來的Port 為同一組ByPass Port,支援硬體ByPass。硬體ByPass: 此功能啟動時,同一組ByPass Port會直接導通,就像是網路線接在一起般,其啟用時機點為設備斷電。新增完成後會回到區域列表中,INF 會把每一個區域、名稱、顏色及它擁有的實體 Port 標示出來。可點選,進入修改,或直接刪除
(只有 ZONE 0 沒有刪除鍵)。
圖 51. 圖3-1 區域列表¶
列表中的每個 ZONE 會出現在「網路設定 > 3-2、網路介面」的選單中,管理者可以針對這個 ZONE 進行網路設定。
3-1-2、線路設定¶
INF 的每一個 ZONE 都可以指定網卡速度,設定網卡速度有 2 種方式,可從「網路設定 > 區域設定 > 線路設定」中設定,或是從首頁上方的【Port Information】,點選要設定的實體 Port 就可以設定調整網卡速度。
圖 52. 圖3-1 區域設定¶
【介面】:這個 Port 隸屬於哪一個 ZONE。【Port】:實體 Port 是在第幾個位置上。【線路狀態】:目前這個 Port 有無連線。如果沒接任何設備就會顯示 Disconnected,正常連線則會顯示 Connect。【MAC 位址】:實體 Port 的 MAC 位址。【Speed and Duplex Mode】:目前網卡跑的速度,及過去的連線狀態紀錄。管理者可以手動調整網卡速度,共有 10Mbps / 100Mbps / 1000Mbps,全雙工或是半雙工等模式可以供選擇。
3-2、網路介面¶
完成「網路設定 > 區域設定」後,所有建立的介面都會出現在此處的頁籤列表中,管理者可以開始設定介面的網路 IP 位址、連線速度等網路資訊。
圖 53. 圖3-2 在網路介面的頁籤區域列表¶
如前面所提,INF 會保留 ZONE 0 為預設的 ZONE,所以出現在第一個的就是屬於 ZONE 0 的 LAN,其他新增的介面會按照實體介面的順序,依序排列在後方,點選該頁籤後就可以進入網路設定。
3-2-1、網路介面設定¶
Tip
在INF建議選擇 STATIC 模式,介面位址設定IP的部份可以省略,統一透過MGMT界面管理。
3-2-2、訪問控制¶
圖 55. 圖3-3 訪問控制¶
【啟用訪問】:介面是否接受其他的 IP 位址查詢或進入管理介面。· SNMP:介面是否接受 SNMP 的查詢。勾選後,此介面會把一些資訊,藉由 SNMP 協定送給遠端的 SNMP 伺服器。· Ping:這個介面的位址是否接受 ICMP 協定。勾選後,介面上設定的 IP 位址會回應 ICMP 的封包。· HTTPS:這個介面是否接受透過 https 協定進入管理介面。勾選後,介面上設定的 IP 位址都可以接受 https 服務。
3-2-3、防火牆防護設定¶
圖 56. 圖3-3 防火牆防護設定¶
【防護項目】:此介面是否要接受防火牆的防護。針對屬於這個介面上設定的 IP 位址,提供 SYN 攻擊、ICMP 攻擊、UDP 攻擊及 Port Scan 等 4 種攻擊防護。管理者可以啟用其中數種或是全部。點選就可以查看過去駭客的攻防紀錄。
SYN 攻擊、ICMP 攻擊、UDP 攻擊的防護能力可以在「管理目標 > 5-8、防火牆功能 」中設定。
3-2-4、介面位址¶
定義每一個實體介面的 IP 位址,新增設定完成後會列表顯示。點選進入新增 IP 位址:
圖 57. 圖3-5 網路介面 IP 位址設定¶
【名稱】: 容易辨識此介面的名稱,例如 VLAN 1。【IP 位址】:為介面新增一個 IP 位址,例如:192.168.10.1。【網路遮罩】:IP 位址涵蓋的範圍,以一個 C 子網段為例,填入 255.255.255.0。【預設閘道】:屬於 WAN 類型或是介面後面還有接其他的路由器,就需要填入閘道位址,若內部類型介面沒有其他的路由設備則不需要。【管理 IP】:介面上的 IP 位址是否要讓管理者可以登入管理。
3-3、路由管理¶
於主選單 MENU 上方可切換為或
模式,INF-UTM 會將整台設備關於 IP 顯示或是設定的模式切換。
3-3-1、靜態路由¶
管理者在「網路介面 > 」上設定 IP 位址跟子網路遮罩後,這筆資料就變成系統內定的路由。系統內定的路由表無法更改,要修改就需要從「介面位址」上重新設定 IP 位址跟子網路遮罩。INF 會把所有的靜態路由表列出來:
圖 58. 圖3-6 IPV4 的靜態路由表¶
INF 除了由網路介面定義產生的內定路由表外,可以自行加入靜態路由表,靜態路由可以指定在特定介面有效。按下鈕後,進入新增一筆靜態路由:
圖 59. 圖3-7 IPV4 新增靜態路由¶
【名稱】:方便記憶的名稱,例如:10 網段、預設閘道等。【目的網路】:目的網路的任何一個 IP 位址,例如,10.10.10.1。【網路遮罩】:目的網路的 IP 位址涵蓋的範圍,以一個 C 子網段為例,填入的為255.255.255.0。【閘道】:要往目的網路的閘道器位址。【介面】:新增的路由表要屬於哪一個介面, 下拉選單後,系統會列出所有已建立的介面讓管理者選擇。選項會用顏色區分不同的網路介面,分別是實體網路介面、IP 通道 (IP Tunnel)、GRE 通道、PPPoE 撥接介面、VLAN、PPTP 及 SSL VPN。如果指定介面,則這一筆路由將只會在它所屬的介面生效;若介面選擇為 NONE,路由設定將會對本機所有介面都有效,所有管理者建立的靜態路由表都可以匯出或是匯入。
3-3-2、預設閘道¶
當管理者沒有設定 出口線路,在靜態路由中也沒有指定路由的目的 IP 位址,要到特定目的地的 IP 位址將無法被傳送,此目的 IP 位址將會被丟棄;為了避免這樣的情況發生,設定一個預設閘道給 INF,將所有沒有定義路由的目的 IP 位址,通通往這一個預設閘道。除了預設閘道,在多 WAN 的環境,可以再設定備用閘道,當預設閘道斷線即會自動切到備用閘道上。
圖 60. 圖3-9 預設閘道列表¶
【偵測頻率】:每隔幾秒鐘,系統會偵測預設閘道是否存在,預設值為 10 秒,設定範圍 1-999。點選
圖 61. 圖3-9 新增預設閘道¶
【預設閘道 IP】:預設閘道的 IP 位址,所有沒被路由表定義的目的 IP 位址,通通往這個閘道。【介面】:預設閘道屬於哪一個介面,系統會列出所有的介面讓管理者選擇。【指定上網 IP】:當介面有很多個 IP 位址,用哪一個當作 NAT 位址轉換的 IP,可使用介面設定的 IP 位址或是自行定義。
3-3-3、動態路由¶
INF 支援 RIPv2 動態路由協議,只要指定介面跟路由週期,就可以將所有的路由協議學習起來,提供給系統使用。學習到的路由表會列在動態路由列表中。
圖 62. 圖3-9 動態路由 RIPv2¶
【啟用】:是否啟用 RIP 路由協定【介面】:選擇哪幾個實體介面要啟用 RIP 協議,可以多選。【路由更新週期】:路由表更新的間隔時間,預設為 30 秒,設定範圍 30-3600 秒。【路由逾時設定】:超過多少時間算逾時,預設是 180 秒,設定範圍 30-3600 秒。
3-4、VLAN(802.1Q)¶
VLAN 802.1Q 在交換器上是一個很基本的功能,能把內部網路切割成數個獨立的子網段,每一個網段獨立運作互不相干擾,圖3-10 用實際的範例說明 VLAN 運作,Switch-A 分別接了 3 個網段,192.168.1.0/24、192.168.2.0/24 跟 192.168.3.0/24,在 Switch-A 設定 3 個不同的 VLAN ID,分別是 10、20 跟 30,這 3 個不同 VLAN ID 的電腦在 Switch-A 或是更上層的網路設備沒有設定路由之前,彼此無法互通,僅同一個 VLAN ID 的電腦可以互通。當網路封包從 Switch-A 往上送到 INF 時,INF 就需要拆解及組合這些帶 VLAN ID 的網路封包,才會知道它下一個目的地是哪裡,本節說明如何拆解 VLAN ID 的設定。
圖 63. 圖3-10 VLAN 範例¶
按下而在新增之前,要先確認所屬的交換器目前已經配置相同的 VLAN ID 跟網路區段,網路區段可以包含 IPV4 或是 IPV6 的位址,如果這 2 個資訊無法跟對接的交換器互相符合,設定後網路封包將無法正常的被拆裝及組合,網路就會不通。
圖 64. 圖3-11 VLAN 設定範例¶
【介面名稱】:系統預設 VLAN 的名稱就是 VLAN,無法更改,僅能用 ID 分辨每個不同的 VLAN。【啟動】:是否要啟用這個 VLAN ID。管理者可預先設定 VLAN ID,再藉由啟動功能決定要不要啟用這個 VLAN。【介面】:新設的 VLAN 隸屬於哪一個區域 (ZONE),INF 會把所有的區域列出,讓管理者選擇。【MTU】:每一個封包最大的 byte 數,預設為 1500,設定範圍是 1400~1500。【VLAN ID】:給此 VLAN 一個數字代碼,同一台 INF 的 VLAN ID 不可以重複,數字範圍是 1~4094。【IP 位址】:VLAN ID 下包含的網路 IP 位址及區段,可設定 IPV4 跟 IPV6 位址。【註解】:可新增備註說明。【啟用訪問】:此 VLAN ID 的介面位址是否接受 SNMP 查詢跟 ICMP 回應,預設都是關閉。設定完成後,INF 的介面就能夠把下層交換器的 VLAN ID 接收進來,把它拆解後根據路由設定把網路封包送到目的網路,同樣的從目的網路收到的網路封包也透過 VLAN ID 的組合送到對應的 VLAN 去。
3-5、中斷設定¶
INF 使用的 CPU 都是多核心的架構,本身提供的服務眾多,每一種服務跟網路介面的流量又都不一樣。依預設,系統會自動分配 CPU 資源給每一個服務,但是在某一些網路介面流量特別大的情況下,讓系統自動分配 CPU 資源的反而讓忙碌的 CPU 更忙碌,空閒的 CPU 更空閒。為了避免這樣的情況,INF 提供管理者 CPU 中斷服務,以調整系統資源。
3-7-1、硬體中斷設定¶
根據實體介面的中斷要求,分配 CPU 資源,例如當每一個網卡的 TX/RX 發出中斷要求時,就分配特定的 CPU 服務。
圖 65. 圖3-16 CPU 硬體中斷¶
【啟用中斷數據載入】:點選後會顯示每個 CPU 在時間內處理中斷的數量,管理者可根據中斷發生的來源來分配 CPU 服務。此數值會持續更新。【自動配置】:將 CPU 服務用預設的方式分散到每個核心,此方式不一定最佳。點選後需儲存來生效設定。
3-7-2、軟體中斷設定¶
用已經定義成 Zone 的介面分配 CPU 資源,跟硬體中斷最大不同是同一個 Zone 內可能有好幾個實體 Port。
圖 66. 圖3-17 CPU 軟體中斷¶
note
1.:軟硬體中斷皆有自動配置選項,點選後
2. 設定後可以到「系統狀態 > 系統狀態 > 15-1-6、CPU 負載 」觀看每一個 CPU 的即時負載。