第3章 網路設定

NG-UTM 並非傳統的 UTM 或是防火牆,它是以路由器為概念的 UTM。
嚴格來說,它沒有防火牆的 LAN、DMZ 跟 WAN 等區別,取而代之的是 ZONE 對 ZONE 的管制,
基本上,一個或多個實體甚至虛擬的網路介面都可以組合成一個 ZONE,每個 ZONE 進出的封包都可以執行防火牆的過濾條件。
本章會詳細介紹如何將一個或是多個實體網路介面甚至由 IP Tunnel 協定建立的虛擬網路介面組合成 ZONE,
同時介紹如何把屬於 WAN 介面類型的 PPPOE 加入,包含屬於路由器的路由管理、VLAN 等也會於此說明。

3-1、區域設定

NG-UTM 預設會把 Eth0 標示為 ZONE 0,ZONE 0 跟 Eth0 的組合無法被管理者刪除,但可以把其他的實體 Port 加入 ZONE 0 中,
Eth0 的預設 IPV4 位址是 192.168.1.1。
任何一個 ZONE 有超過一個以上的實體 Port 組合時,此 ZONE 內的每個實體 Port 會自動執行 Layer2 的橋接器 (Bridge) 功能,
可以很單純的想成是一個 Switch,也就是說不需要任何設定,ZONE 內的任何 Port 彼此之間都暢通無阻。

3-1-1、區域設定

區域狀態圖列出目前每一個實體 Port 歸屬於哪個 ZONE,並用顏色及數字區分,同一個 ZONE 它的顏色會一樣。
當系統有任何 Port 不歸屬於任何 ZONE 時,管理者可以按下 image497 的按鈕,建立一個新的 ZONE,
也可以在已經建立的 ZONE 中加入新的實體 Port。

如果要將某個實體 Port-X 從 ZONE 1 改成 ZONE 2,先要到 ZONE 1 把 Port-X 刪除,讓 Port-X 不屬於任何 ZONE,再到 ZONE 2 中加入 Port-X。

Tip

影片參考|眾至NU系列 UTM教學 區域設定說明與範例

建立新的區域

如果有空的實體 Port 尚未被分配到 ZONE 中,管理者就可以新增一個 ZONE,按下 image497,開始新增一個新的 ZONE:

新增區域

圖 61. 圖3-1 新增區域

【介面】:在 ZONE 的基處上,又分為 LAN / WAN / Bridge / HA,並選擇數字代號。

【介面名稱】:選擇新增 ZONE 的數字代號,系統以 ZONE 為前置代號,後面是數字。
例如:ZONE 0、ZONE 1….,因為每一個實體 Port 都可以單獨成為一個 ZONE,所以最大的數字就代表此台設備擁有的實體 Port 數,挑選數字時可以任意選擇,不需要按照順序。

【名稱】:新增使 ZONE 方便記憶的名稱,例如:會計、工程等等。

【顏色】:選擇 ZONE 的顏色。

【Port】:選擇 ZONE 的實體 Port,任何未標示數字的 Port 都可以選,也可以選擇多個 Port 組合成一個 ZONE。

新增完成後會回到區域列表中,NG-UTM 會把每一個區域、名稱、顏色及它擁有的實體 Port 標示出來。
可點選 image59,進入修改,或直接刪除 image60 (只有 ZONE 0 沒有刪除鍵)。
區域列表

圖 62. 圖3-1 區域列表

列表中的每個 ZONE 會出現在「網路設定 > 3-2、網路介面」的選單中,管理者可以針對這個 ZONE 進行網路設定。

調整完成後需要點選儲存按鍵,NG-UTM 才會將這些設定儲存到系統中。這時 UTM 會自動重新啟動

3-1-2、線路設定

NG-UTM 的每一個 ZONE 都可以指定網卡速度,設定網卡速度有 2 種方式,可從「網路設定 > 區域設定 > 線路設定」中設定,
或是從首頁上方的【Port Information】,點選要設定的實體 Port 就可以設定調整網卡速度。
區域設定

圖 63. 圖3-1 區域設定

【介面】:這個 Port 隸屬於哪一個 ZONE。

【Port】:實體 Port 是在第幾個位置上。

【線路狀態】:目前這個 Port 有無連線。如果沒接任何設備就會顯示 Disconnected,正常連線則會顯示 Connect。

【MAC 位址】:實體 Port 的 MAC 位址。

【Speed and Duplex Mode】:目前網卡跑的速度,及過去的連線狀態紀錄。
管理者可以手動調整網卡速度,共有 10Mbps / 100Mbps / 1000Mbps,全雙工或是半雙工等模式可以供選擇。

Note

管理者建立 WAN 介面時,可以一個 ZONE(一個實體 Port)一個 WAN 線路的建置方式,也可以用一個 ZONE(一個實體 Port)外加 Switch 後接數個 WAN 線路;
2 者差別是,前者可以詳細設定 WAN 進出的頻寬及管理,後者頻寬只能對介面管理,無法針對 ZONE 下的個別 WAN 線路設定上、下載頻寬管理。

3-2、網路介面

完成「網路設定 > 區域設定」後,所有建立的介面都會出現在此處的頁籤列表中,管理者可以開始設定介面的網路 IP 位址、連線速度等網路資訊。

在網路介面的頁籤區域列表

圖 64. 圖3-2 在網路介面的頁籤區域列表

如前面所提,NG-UTM 會保留 ZONE 0 為預設的 ZONE,所以出現在第一個的就是屬於 ZONE 0 的 LAN,
其他新增的介面會按照實體介面的順序,依序排列在後方,點選該頁籤後就可以進入網路設定。
NG-UTM 支援 SDN 控制器,除了預設的 ZONE 0 外,可以將新增加的 ZONE 交給 SDN 控制器管理,
一旦 ZONE 接受 SDN 控制器管理後,NG-UTM 就不會檢查這個 ZONE 內實體 Port 網路封包的傳遞;
但是當這個受 SDN 控制的 ZONE 封包要到其他 ZONE 時,NG-UTM 就會檢查封包並執行 Firewall 的工作。

Tip

影片參考|眾至NU系列 UTM教學 網路介面說明與範例

3-2-1、網路介面設定

網路介面設定

圖 65. 圖3-3 網路介面設定

【介面名稱】:這個介面是屬於哪個 zone(在「網路設定 > 3-1、區域設定」中定義)。

【MAC 位址】:這個介面的唯一 MAC 位址,同一個 NG-UTM 管理的設備,MAC 位址不可以重複。

【啟動】:LAN 介面預設是啟用狀態且不可以被關閉,其他新增的介面可選擇關閉、STATIC 或 DHCP。

· STATIC:介面的 IP 位址是在下方 3-2-7、介面位址 / PPPoE 撥接 新增,若要使用 PPPoE 撥接,則先設定為 STATIC 後,再到 PPPoE 撥接去設定。
· DHCP:介面的 IP 位址是由 DHCP 伺服器配發。

【MTU】:每一個封包最大的 byte 數,預設為 1500 ,設定範圍是 1400~1500。

3-2-2、管制區域內 PORT 間的封包

當多埠模式為 Bridge 時才會出現

【IP 位址轉換】:是否要透過其他網路介面上網。

【來源介面】:設定 Bridge 內哪些實體介面需透過其他介面上網。

【來源網路】:設定來源介面內封包會包含的網段。

【ARP Reply】:當出口線路偵測斷線後, 進行 ARP Reply。

【出口線路】:在 3-3-2、出口線路 設定後,會出現可選擇的線路。

3-2-3、SDN 控制設定

當多埠模式為 Switch 時才會出現

NG-UTM 可以設定將某一些實體 Port 組合成一個 ZONE,並把這個 ZONE 內網路封包的控制權交給 SDN 控制器,
此設定會排除 ZONE 0 的 Eth0,將整台機器所有的實體 Port 交付給 SDN 控制器,這樣 NG-UTM 就會變成 SDN 交換器。

啟用 SDN 控制器的 ZONE 要注意,不可以在 3-2-7、介面位址 / PPPoE 撥接 綁定任何 IP 位址,否則無法啟用。

SDN 控制器設定

圖 66. 圖3-4 SDN 控制器設定

【簡易模式/進階模式】:2 種不同的運作模式切換。簡易模式單純設定控制器的 IP 位址及 Port 號後就可以運作;
進階模式還可以區分 Out-band/In-band 的封包分別接給不同的 SDN 控制器,也可以指定多台的 SDN 控制器。

【啟用】: 如果介面位址有綁定 IP 位址,則無法啟用。點選啟用代表要將這個 ZONE 下的所有實體 Port 交由指定的 SDN 控制器管理。

【SDN 控制器模式】:在進階模式下,指定 ZONE 的 out-band 或是 in-band 要交給哪一台 SDN 控制器,可以設定成不同台的 SDN 控制器。

【SDN 控制器】:2 種模式的設定說明如下。

· 簡易模式:設定 SDN 控制器的 IP 位址跟 Port 號。
· 進階模式:設定 SDN 控制器的 IP 位址跟 TCP Port 號,點選 image65 就可以再增加第二筆 SDN 控制器。

3-2-4、Network Bonding 設定

當多埠模式為 Switch 時才會出現

NG-UTM 具有將 2 個網卡以上綁成一個網路介面的功能,這樣的好處是可以增加網路介面的頻寬,此技術就是 Network Bonding ,又可以稱之為 Link aggregation、Trunking。
目前支援 7 種模式,選擇適當的模式後就可以運作,有部份模式需要對接的交換器也支援並設定相同模式才可運作。

模式

名稱

說明

0

balance-rr

輪循模式(Round-robin policy),依序由第一片網卡傳遞封包,就算其中一片網卡失效,也能確保網路不中斷,此模式需要交換器配合。

1

active-backup

同一時間只有單一網卡運作,分為主要跟備援網卡,當主要斷線時由備援網卡接替,在這個模式下,不需要交換器支援。

2

balance-xor

用來源地址目的位址做XOR運算後傳遞,具備有負載平衡及容錯的機制。

3

broadcast

所有的網卡都會收到相同的封包,就算其中一個網卡掛了,仍可以正常運作。

4

802.3ad(LACP)

802.3ad 為交換器正式的連接聚合技術,需要交換器也支援相同的 802.3ad 功能才能運作,此模式需要交換器配合。

5

balance-tlb

輸出的流量由主要網卡做負載平衡,輸入流量由slave 的網卡負責,此模式不需要交換機配合。

6

balance-alb

輸出/入的流量由都做負載平衡,具備容錯機制,此模式不需要交換機配合。

3-2-5、訪問控制

訪問控制

圖 67. 圖3-3 訪問控制

【啟用訪問】:介面是否接受其他的 IP 位址查詢或進入管理介面。

· SNMP:介面是否接受 SNMP 的查詢。勾選後,此介面會把一些資訊,藉由 SNMP 協定送給遠端的 SNMP 伺服器。
· Ping:這個介面的位址是否接受 ICMP 協定。勾選後,介面上設定的 IP 位址會回應 ICMP 的封包。
· HTTPS:這個介面是否接受透過 https 協定進入管理介面。勾選後,介面上設定的 IP 位址都可以接受 https 服務。

3-2-6、防火牆防護設定

防火牆防護設定

圖 68. 圖3-3 防火牆防護設定

【防護項目】:此介面是否要接受防火牆的防護。針對屬於這個介面上設定的 IP 位址,提供 SYN 攻擊、ICMP 攻擊、UDP 攻擊及 Port Scan 等 4 種攻擊防護。
管理者可以啟用其中數種或是全部。點選 image64 就可以查看過去駭客的攻防紀錄。

SYN 攻擊、ICMP 攻擊、UDP 攻擊的防護能力可以在「管理目標 > 5-8、防火牆功能 」中設定。

3-2-7、介面位址 / PPPoE 撥接

定義每一個實體介面的 IP 位址,新增設定完成後會列表顯示。
點選 image20 進入新增 IP 位址:
網路介面 IP 位址設定

圖 69. 圖3-5 網路介面 IP 位址設定

【型態】:型態可以選擇 STATIC 或 PPPoE,STATIC 可在此處設定,PPPoE 則會跳轉到 PPPoE 的設定畫面,詳細請參考「網路設定 > 3-5、PPPoE 撥接」。

【名稱】: 容易辨識此介面的名稱,例如 Wan1:2。

【IP 位址】:為介面新增一個 IP 位址,例如:192.168.1.1。

【網路遮罩】:IP 位址涵蓋的範圍,以一個 C 子網段為例,填入 255.255.255.0。

【預設閘道】:屬於 WAN 類型或是介面後面還有接其他的路由器,就需要填入閘道位址,若內部類型介面沒有其他的路由設備則不需要。

【自動設定為出口線路】:勾選後,系統就會自動建一條出口線路的路由,任何沒有定義路由的封包將會從預設路由出去。

【管理 IP】:介面上的 IP 位址是否要讓管理者可以登入管理。

3-3、路由管理

於主選單 MENU 上方可切換為 image71image72 模式,NG-UTM 會將整台設備關於 IP 顯示或是設定的模式切換。

Tip

影片參考|眾至NU系列 UTM教學 路由管理使用時機

3-3-1、靜態路由

管理者在「網路介面 > 3-2-7、介面位址 / PPPoE 撥接 」上設定 IP 位址跟子網路遮罩後,這筆資料就變成系統內定的路由。
系統內定的路由表無法更改,要修改就需要從「介面位址」上重新設定 IP 位址跟子網路遮罩。

NG-UTM 會把所有的靜態路由表列出來:

IPV4 的靜態路由表

圖 70. 圖3-6 IPV4 的靜態路由表

NG-UTM 除了由網路介面定義產生的內定路由表外,可以自行加入靜態路由表,靜態路由可以指定在特定介面有效。

按下 image73 鈕後,進入新增一筆靜態路由:

IPV4 新增靜態路由

圖 71. 圖3-7 IPV4 新增靜態路由

【名稱】:方便記憶的名稱,例如:10 網段、預設閘道等。

【目的網路】:目的網路的任何一個 IP 位址,例如,10.10.10.1。

【網路遮罩】:目的網路的 IP 位址涵蓋的範圍,以一個 C 子網段為例,填入的為255.255.255.0。

【閘道】:要往目的網路的閘道器位址。

【介面】:新增的路由表要屬於哪一個介面, 下拉選單後,系統會列出所有已建立的介面讓管理者選擇。
選項會用顏色區分不同的網路介面,分別是實體網路介面、IP 通道 (IP Tunnel)、GRE 通道、PPPoE 撥接介面、VLAN、PPTP 及 SSL VPN。
如果指定介面,則這一筆路由將只會在它所屬的介面生效;
若介面選擇為 NONE,路由設定將會對本機所有介面都有效,所有管理者建立的靜態路由表都可以匯出或是匯入。

3-3-2、出口線路

NG-UTM 可以把一個或數個介面接上 WAN 的線路,如果要把 WAN 類型的線路、數據專線或是 MPLS 內部 VPN 類型的線路加在 NG-UTM 上,
都須在此處設定,當有往外部傳輸的封包時,NG-UTM 才知道如何往下一個閘道器。
管理者事先建立數個 出口線路 後,可以把相同類型的 出口線路 綁定成一個 出口線路群組
以 WAN 類型的 出口線路 來說,每一個 出口線路 就是一個 WAN 線路,把數個 出口線路 綁定成 出口線路群組 ,就是執行線路負載平衡的工作。

每一個提供網際網路連線的線路就是一個出口線路,在配置上有 2 種做法:

1、每個外線分配到一個 ZONE。

2、外部 ZONE 接一個 SWITCH,所有的外線都接到 SWITCH 上,此時就需要在「網路設定 > 網路介面 > 3-2-7、介面位址 / PPPoE 撥接 」上將所有外線提供的 IP 位址設定上去。

2 種方式各有優點,前者方便管理辨識線路及查找問題,後者可以接入大量的外線,超過 NG-UTM 本身 Port 的限制。

按下 image75 鈕後,進入設定出口線路:

WAN 類型的指定閘道設定

圖 72. 圖3-8 WAN 類型的指定閘道設定

【名稱】:這個指定閘道的名稱,例如:WAN-1、PPPOE-1 等。

【目的位址】:選填,要到這個目的網路的任何一個 IP 位址。如果沒有填入代表是 0.0.0.0/0,以 WAN 類型的線路來說,通常不須填入。

【閘道】:必填,出口線路的閘道器位址。

【介面】:新增的出口線路要屬於哪一個介面,下拉選單後,系統會列出所有已建立的介面讓管理者選擇。
選項會用顏色區分不同的網路介面,分別是實體網路介面、IP 通道 (IP Tunnel)、GRE 通道、PPPoE 撥接介面、VLAN、PPTP 及 SSL VPN。

【線路偵測方式】:利用偵測檢查線路是否斷線,檢查的方式有 3 種,ARP , ICMP 或 DNS ,每隔一段時間,NG-UTM就會對【閘道】上設定的IP位址發送ARP/ICMP封包或DNS查詢,由對方伺服器的回應狀況判斷線路是否正常連線或是斷線,預設值為ICMP,可以選擇NONE,NG-UTM就不會對閘道進行斷線的檢查,系統認為線路永遠都屬於暢通的狀態。

當 WAN 的線路是PPPOE,可以額外選用 PPPOE 的偵測模式,他會自動選用 DNS 方式跟 PPPOE Server 之間做線路存活測試。

【偵測來源 IP】:用哪一個 IP 位址當作來源 IP 位址執行線路偵測的工作。一般都是選擇這一條線路配發的 IP 位址。

【被偵測 IP 位址】:選填,偵測哪一個目的 IP 位址判斷線路的存活。如果未填入,系統預設使用出口線路配發的閘道器位址當作被偵測位址。

【偵測頻率】:幾秒發送一次檢查封包。

【啟用備援】:當 出口線路 斷線時,把封包轉向備援的出口線路,讓 出口線路 的網路封包能夠正常的傳遞。備援的閘道可以設定 2 筆。

【備援閘道1/2】:出口線路 斷線時,封包會自動轉向備援的閘道,所謂備援的閘道就是另一個已經設定完成的 出口線路 (同時選擇備援閘道所在的 ZONE)。

Note

【啟用備援】的備援閘道功能跟 出口線路群組 所提供的線路負載平衡模式不太相同,備援閘道沒有權重的觀念,且是指定式 1 對 1 或是 1 對 N 的備援模式,
例如:原本的線路對外速度是 100Mbps,設定的備援閘道速度只有 10Mbps。原本的線路斷線後,所有 100Mbps 的網路封包都將全部塞往 10Mbps 的備援線路上,此時即使還有第 3 條線路,系統並不會自動將封包轉往第 3 條線路上。
但是同樣情況在 出口線路群組 所提供的線路負載平衡上,可以依照設定的比重或是負載均衡模式,把 100Mbps 的網路封包,分配給有效的 出口線路 上,因此如果有三條以上的 WAN 類型線路時,可以善用 出口線路群組

新增完成後,會以列表顯示:

出口線路列表

圖 73. 圖3-8 出口線路列表

每一個 WAN 屬性的線路或是有啟用【線路偵測方式】的線路,都有斷線跟連線的紀錄可供查詢,
點選 image77 就可以查看過去的線路連線狀況,包含線路的斷線及連線時間。

3-3-3、出口線路群組

NG-UTM 提供線路負載平衡器的功能,把每一個 出口線路 都視為一個 WAN 類型的線路,
再根據負載均衡的模式,依照權重設定,把網路封包平均分配到每一個線路中。

點選 image78 鈕後,開始新增一筆指定閘道群組,管理者可以根據實際的需求設定多筆群組,方便後續在「管制條例」中選用。

出口線路群組列表

圖 74. 圖3-8 出口線路群組列表

【群組名稱】:這個出口線路群組的名稱,例如:WAN-ALL、所有對外網路等。

【負載均衡模式】:網路封包的分配方式,共有四種模式可以選擇。

· Session:不管來源或是目的 IP 位址,按照 Session 比重分配。
例如:A 線路比重 1 ,B 線路比重 2 ,則第 1 個 Session 送到 A,第 2、3 個送到 B,第 4 個再送到 A,以此類推。
· 來源 IP:按照來源 IP 位址比重分配。
例如:A 線路比重 1 ,B 線路比重 2,則同一個來源 IP 位址的第 1 個 Session 送到 A,第 2、3 個送到 B,第 4 個再送到 A,以此類推,不同來源 IP 位址的分配跟上面一樣。
· 目的 IP:按照目的IP位址比重分配。
例如:A 線路比重 1 ,B 線路比重 2,則到相同目的 IP 位址的第 1 個 Session 送到 A,第 2、3 個送到 B,第 4 個再送到 A,以此類推,每個不同目的 IP 位址的分配跟上面一樣。

· 介面負載小優先選擇:根據的實際負載狀況分配網路封包,負載小者會分配到更多的網路封包。

【斷線偵測】:每隔幾秒偵測線路是否正常,作為切換線路的依據。

【出口線路】:這個群組使用的 出口線路 及其分配的比重,所有在 出口線路 中設定的閘道都會顯示於此,供管理者挑選設定。

【比重】:出口線路的負載能力,例如:出口線路-A 設定的比重為 1,出口線路-B 設定的比重為 10,
NG-UTM 會先丟 1 個網路封包到出口線路-A 後再丟 10 個網路封包到出口線路-B,第 12 個網路封包又往出口線路-A,以此類推。

3-3-4、預設閘道

當管理者沒有設定 出口線路,在靜態路由中也沒有指定路由的目的 IP 位址,要到特定目的地的 IP 位址將無法被傳送,此目的 IP 位址將會被丟棄;
為了避免這樣的情況發生,設定一個預設閘道給 NG-UTM,將所有沒有定義路由的目的 IP 位址,通通往這一個預設閘道。

除了預設閘道,在多 WAN 的環境,可以再設定備用閘道,當預設閘道斷線即會自動切到備用閘道上。

預設閘道列表

圖 75. 圖3-9 預設閘道列表

【偵測頻率】:每隔幾秒鐘,系統會偵測預設閘道是否存在,預設值為 10 秒,設定範圍 1-999。

點選 image78 後,進入新增預設閘道:

新增預設閘道

圖 76. 圖3-9 新增預設閘道

【預設閘道 IP】:預設閘道的 IP 位址,所有沒被路由表定義的目的 IP 位址,通通往這個閘道。

【介面】:預設閘道屬於哪一個介面,系統會列出所有的介面讓管理者選擇。

【指定上網 IP】:當介面有很多個 IP 位址,用哪一個當作 NAT 位址轉換的 IP,可使用介面設定的 IP 位址或是自行定義。

3-3-5、RIP

NG-UTM 支援 RIP 動態路由協議,只要指定介面跟路由週期,就可以將所有的路由協議學習起來,提供給系統使用。
學習到的路由表會列在動態路由列表中。
動態路由 RIPv2

圖 77. 圖3-9 動態路由 RIPv2

【啟用】:是否啟用 RIP 路由協定

【介面】:選擇哪幾個實體介面要啟用 RIP 協議,可以多選。

【路由更新週期】:路由表更新的間隔時間,預設為 30 秒,設定範圍 30-3600 秒。

【路由逾時設定】:超過多少時間算逾時,預設是 180 秒,設定範圍 30-3600 秒。

3-3-6、OSPF

NG-UTM 支援 OSPF 開放式最短路由優先路徑

【服務狀態、啟用】:顯示UTM是否啟用OSPF、勾選以啟用

【路由器 ID】:OSPF環境中識別路由器的唯一編號,格式為 x.x.x.x

【進階設定】:

Passive 介面:不需送出 OSPF 封包的介面,可以減少流量和系統負載

重新分配:可將來自不同路由協議的資訊引入到OSPF中,調整metric-type 和 metric 值可設定路由成本

【OSPF 介面】:各個介面發送OSPF封包時的設定。先在下拉選單選擇介面,再點選設定來操作。

問候間隔:UTM以此間隔向鄰近設備發送Hello Message,以維持鄰接狀態

無回應間隔:超過此設定時間未收到鄰近設備回應,將鄰近設備視為離線

成本:指定此介面的路由成本,數值小成本越低

優先順序:利用此值選出指定路由器,數值大的優先

驗證:此介面的路由交換是否需經過驗證,可使用純文字金鑰或MD5驗證

【OSPF 區域】:將UTM的網段加入OSPF區域

區域 ID:此區域在OSPF網路中的唯一編號,格式為x.x.x.x

類型:指定此OSPF區域的類型,使用適當類型可減少路由表大小和OSPF訊息在網路中的傳播

OSPF 網路:將網路加入OSPF區域

OSPF

3-3-7、BGP

BGP

3-3-8、動態路由列表

動態路由

3-4、VLAN(802.1Q)

VLAN 802.1Q 在交換器上是一個很基本的功能,能把內部網路切割成數個獨立的子網段,每一個網段獨立運作互不相干擾,
圖3-10 用實際的範例說明 VLAN 運作,Switch-A 分別接了 3 個網段,192.168.1.0/24、192.168.2.0/24 跟 192.168.3.0/24,
在 Switch-A 設定 3 個不同的 VLAN ID,分別是 10、20 跟 30,這 3 個不同 VLAN ID 的電腦在 Switch-A 或是更上層的網路設備沒有設定路由之前,彼此無法互通,僅同一個 VLAN ID 的電腦可以互通。
當網路封包從 Switch-A 往上送到 NG-UTM 時,NG-UTM 就需要拆解及組合這些帶 VLAN ID 的網路封包,才會知道它下一個目的地是哪裡,
本節說明如何拆解 VLAN ID 的設定。
VLAN 範例

圖 78. 圖3-10 VLAN 範例

按下 image81 鈕後,進入新增 VLAN:

而在新增之前,要先確認所屬的交換器目前已經配置相同的 VLAN ID 跟網路區段,網路區段可以包含 IPV4 或是 IPV6 的位址,
如果這 2 個資訊無法跟對接的交換器互相符合,設定後網路封包將無法正常的被拆裝及組合,網路就會不通。
VLAN 設定範例

圖 79. 圖3-11 VLAN 設定範例

【介面名稱】:系統預設 VLAN 的名稱就是 VLAN,無法更改,僅能用 ID 分辨每個不同的 VLAN。

【啟動】:是否要啟用這個 VLAN ID。管理者可預先設定 VLAN ID,再藉由啟動功能決定要不要啟用這個 VLAN。

【介面】:新設的 VLAN 隸屬於哪一個區域 (ZONE),NG-UTM 會把所有的區域列出,讓管理者選擇。

【MTU】:每一個封包最大的 byte 數,預設為 1500,設定範圍是 1400~1500。

【VLAN ID】:給此 VLAN 一個數字代碼,同一台 NG-UTM 的 VLAN ID 不可以重複,數字範圍是 1~4094。

【IP 位址】:VLAN ID 下包含的網路 IP 位址及區段,可設定 IPV4 跟 IPV6 位址。

【註解】:可新增備註說明。

【啟用訪問】:此 VLAN ID 的介面位址是否接受 SNMP 查詢跟 ICMP 回應及 HTTPS 管理介面訪問控制,預設都是關閉。

設定完成後,NG-UTM 的介面就能夠把下層交換器的 VLAN ID 接收進來,把它拆解後根據路由設定把網路封包送到目的網路,
同樣的從目的網路收到的網路封包也透過 VLAN ID 的組合送到對應的 VLAN 去。

3-5、PPPoE 撥接

在 WAN 類型的連線中,PPPoE 是很常見的撥號方式,NG-UTM 支援標準的 PPPoE 功能,不論是相同 ZONE 或是不同 ZONE 下,
每一個 ZONE 都可以設定多筆 PPPoE 帳號。

按下 image85,就開始新增 PPPoE 帳號:

而在新增之前,要先準備好 PPPoE 的帳號跟密碼,同時確認 PPPoE 線路是接在哪一個 ZONE 跟 Port 上,NG-UTM 目前支援最多 9 個 PPPoE 帳號撥接。

PPPoE 範例

圖 80. 圖3-12 PPPoE 範例

• PPPoE 撥接設定

【名稱】:設定此筆 PPPoE 撥接的名稱。

【啟動】:是否要啟用這個 PPPoE 帳號。可先設定此筆 PPPoE 帳號,有需要時再啟動。

【撥接介面】:此 PPPoE 帳號隸屬於哪一個區域 (ZONE),NG-UTM 會把所有的定義好的區域列出,讓管理者挑選。

【帳號】:PPPoE 的帳號,例如:75139012@hinet.net

【密碼】:PPPoE 的密碼,請注意大小寫。

【MTU】:資料連結層上面所能通過的最大封包大小,通常為1492。

【IPV6】:PPPoE 帳號是否有提供 IPV6 的分配模式,若不勾選表示 PPPoE 撥接只會取得 IPV4 的 IP 位址。

【VLAN ID】:若數據機與撥號介面之間會經過帶 VLAN tag 的交換器,或是數據機會送出帶 VLAN tag 的封包,可以在這邊設定 VLAN ID ,讓防火牆正確識別。

【自動新增】:在 PPPoE 模式下,為簡化設定,勾選「出口線路」跟「預設閘道」這 2 個選項後,系統會自動將它加入,就不需要再到這 2 個地方設定。

• 線路偵測設定

【線路偵測方式】:利用偵測檢查線路是否斷線,偵測的方式有 3 種,ARP , ICMP 或 DNS ,每隔一段時間,NG-UTM就會對【閘道】上設定的IP位址發送ARP/ICMP封包或DNS查詢,由對方伺服器的回應狀況判斷線路是否正常連線或是斷線,預設值為ICMP,可以選擇NONE,NG-UTM就不會對閘道進行斷線的檢查,系統認為線路永遠都屬於暢通的狀態。

預設值為NONE,所有的檢查過程都會紀錄下來,點選 PPPoE 帳號列表的 image87 就可以查看過去的PPPoE 撥接成功後,線路是否暢通與否。

【被偵測伺服器 IP 位址】:選擇的線路偵測方式會對設定的 IP 進行偵測,若設定NONE,則會自動設定為0.0.0.0。

• 訪問控制

【啟用訪問】:此 VLAN ID 的介面位址是否接受 SNMP 查詢、ICMP 回應跟管理介面登入,預設都是關閉。

• 防火牆防護設定

【防護項目】:這個介面是否要啟用防火牆的防護,確保不被攻擊。

所有新增的 PPPoE 帳號會以列表呈現:

PPPoE 帳號列表

圖 81. 圖3-13 PPPoE 帳號列表

在【啟動】顯示 image88 代表這一個 PPPoE 目前啟用中;image89 代表這一個 PPPoE 目前為暫停。點選圖示,可直接切換為啟動或停用。
【連線狀態】欄中,image90 代表撥接成功,失敗則會顯示 image91
點選【線路偵測】跟【紀錄】的 image92,分別查看不同的紀錄資訊,
【線路偵測】是 PPPoE 撥接成功後,跟網際網路的連線是否正常;【紀錄】是指 PPPoE 帳號是否正常通過遠端 PPPoE 伺服器的認證。

3-6、WWAN撥接

WWAN無線廣域網路(Wireless Wide Area Network)。它是一種無線通訊技術,可讓防火牆透過使用3G、4G LTE USB網卡連接上網。

WWAN撥接

• 新增WWAN

【名稱】:設定此筆 WWAN 撥接的名稱。

【啟動】:是否要啟用這個 WWAN 服務。

【啟用訪問】:此 WWAN 的介面位址是否接受 SNMP 查詢、ICMP 回應跟管理介面登入,預設都是關閉。

【防護項目】:這個介面是否要啟用防火牆的防護,確保不被攻擊。

【USB】:選擇接上的 USB 裝置,可做手動設定。

• 3G/4G USB (較相容支援型號列表)

  • DLINK DWM-222 A1

  • HUAWEI E3372h

  • HUAWEI E161 (限3G)

  • Huawei E8372h

3-7、IP Tunnel

IP Tunnel 是 NG-UTM 的特殊功能,除了 2 台 NG-UTM 間可以透過 IP Tunnel 建立 VPN 網路外,
也可以跟其他有支援 IP Tunnel 協定的閘道器建立 IP Tunnel。跟其他閘道器不一樣的是,當 IP Tunnel 建立後,
NG-UTM 還可以針對這些 Tunnel 內封包進行管制,例如:Web、SMTP 跟 POP3 可以進入 Tunnel,其他的封包都會被拒絕。

Tip

影片參考|眾至NU系列 UTM教學 IPTunnel介紹與設定

IP Tunnel 的運作情境

參考下圖的網路架構,NG-UTM 部署在中心端,掌管整個網路的對外連線,具有 IP Tunnel 功能的 Gateway 或是 Firewall 部署在分點,
基本的要求是分點的 POS 機或是電腦能夠安全的存取中心端的伺服器資源,例如:會計、ERP 系統等等。
用 IP Tunnel 就可以快速的建立及部署這種需求的網路架構,在 NG-UTM 上更可以管制每一個分點的哪個應用程式可以上 Internet 或是內部網路,
非這一個應用程式的服務都會被拒絕。

集中管理的好處是管理者只要控制一台 NG-UTM 就可以掌握整個網路動態,因為所有的網路封包,包含中心端跟所有分點,都會經過它。

IP Tunnel 運作示意圖

圖 82. 圖3-14 IP Tunnel 運作示意圖

建立一條新的 IP Tunnel

每建立一筆 IP Tunnel ,系統會自動增加一個虛擬網路介面,類似實體 Port 的介面名稱是 Eth0、Eth1,
預設的虛擬網路介面名稱為 tunl+數字,如 tunl1、tunl2,數字是系統自動加入,會從 1 開始編號。

建立完成後,預設的靜態路由也會自動建立,在「網路設定 > 路由管理 > 3-3-1、靜態路由 」中就會出現一筆新的靜態路由,同時標註它的介面名稱為 tunl+數字。

也可以在「網路設定 > 路由管理 > 3-3-2、出口線路 」中指定一個閘道,如果 NG-UTM 要當 IP Tunnel 的 Client 端,
也就是要利用遠端的 IP Tunnel 上網,則需要建立 出口線路,並在管制條例中指定哪一些服務要透過這一個 IP Tunnel 上網。

按下 image95 鈕後,就開始新增一筆 IP Tunnel,在新增加之前,要先準備對方的 WAN IP 位址及 Tunnel 的區段。

建立一個 IP Tunnel

圖 83. 圖3-15 建立一個 IP Tunnel

【通道名稱】:任何容易辨識這個 IP Tunnel 的名稱。

【啟動】:要不要啟用這個 IP Tunnel。管理者可預先設定 IP Tunnel,需要時再啟動。

【加密模式】:IP Tunnel 內是否要啟用加密功能,如果啟用,每一個經過通道的封包將再一次執行加密動作。

· NONE:IP Tunnel 不執行加密功能。
· GRE:IP Tunnel 用 GRE 加密 KEY 進行加解密動作。
· IPSEC:IP Tunnel 用 IPSEC 加密 KEY 進行加解密動作,管理者可以選擇加密的強度是 256 bit 還是 128 bit。

【遠地端位址】:跟 NG-UTM 建立 IP Tunnel 的遠端 IP 位址,例如:5.5.5.5。

【本地端位址】:NG-UTM 建立 IP Tunnel 使用的 IP 位址,這個位址需要屬於本機管轄。
一般為在「網路設定 > 網路介面 」網路設定中網路介面上有綁定的實體 Port IP 位址,例如:192.168.189.169。

【通道介面位址】: IP Tunnel 對內部的閘道位址,當封包被送到這個閘道位址後,會自動透過IP Tunnel 轉到另一端。

【被偵測 IP 位址】:確保 IP Tunnel 的暢通,系統會自動偵測線路的斷線與否,此處填入被偵測的 IP,通常是通道另一端的閘道位址。

【偵測頻率】:每隔多少秒執行線路偵測動作,設定範圍 1-999 秒。

【加密格式】:選用 IPSEC 為加密協定時才會出現,有 2 種模式可以選擇。

· 高安全:採用 AES 256 bit 為加密機制。
· 低安全:採用 AES 128 bit 為加密機制。

【KEY】:選擇 GRE 或 IPSEC 加密時,通道雙方預先設置的加密密碼,可以是任何英文字母跟數字的組合。

【MTU】:每一個封包最大的 byte 數,預設為 1480 ,設定範圍是 1400~1500。
此預設值會比【網路設定】上預設的 1500 少,因為 IP Tunnel 需要額外的封包表頭,如果設成 1500Byte ,在加入 IP Tunnel 的表頭後,
就會超過網路設定上的 MTU,導致這個封包無法傳遞成功。

3-8、中斷設定

NG-UTM 使用的 CPU 都是多核心的架構,本身提供的服務眾多,每一種服務跟網路介面的流量又都不一樣。

依預設,系統會自動分配 CPU 資源給每一個服務,但是在某一些網路介面流量特別大的情況下,
讓系統自動分配 CPU 資源的反而讓忙碌的 CPU 更忙碌,空閒的 CPU 更空閒。

為了避免這樣的情況,NG-UTM 提供管理者 CPU 中斷服務,以調整系統資源。

3-8-1、硬體中斷設定

根據實體介面的中斷要求,分配 CPU 資源,例如當每一個網卡的 TX/RX 發出中斷要求時,就分配特定的 CPU 服務。

CPU 硬體中斷

圖 84. 圖3-16 CPU 硬體中斷

3-8-2、軟體中斷設定

用已經定義成 Zone 的介面分配 CPU 資源,跟硬體中斷最大不同是同一個 Zone 內可能有好幾個實體 Port。

CPU 軟體中斷

圖 85. 圖3-17 CPU 軟體中斷

Note

  1. 軟體中斷多用在zone使用PPPoE時,勾選對應的介面來優化連線效率。

  2. image506:軟硬體中斷皆有自動配置選項,點選後系統會自動分配 CPU 資源。

  3. 設定後可以到「系統狀態 > 系統狀態 > 16-1-6、CPU 負載 」觀看每一個 CPU 的即時負載。