第3章 網路設定¶
NG-UTM 並非傳統的 UTM 或是防火牆,它是以路由器為概念的 UTM。嚴格來說,它沒有防火牆的 LAN、DMZ 跟 WAN 等區別,取而代之的是 ZONE 對 ZONE 的管制,基本上,一個或多個實體甚至虛擬的網路介面都可以組合成一個 ZONE,每個 ZONE 進出的封包都可以執行防火牆的過濾條件。本章會詳細介紹如何將一個或是多個實體網路介面甚至由 IP Tunnel 協定建立的虛擬網路介面組合成 ZONE,同時介紹如何把屬於 WAN 介面類型的 PPPOE 加入,包含屬於路由器的路由管理、VLAN 等也會於此說明。
3-1、區域設定¶
NG-UTM 預設會把 Eth0 標示為 ZONE 0,ZONE 0 跟 Eth0 的組合無法被管理者刪除,但可以把其他的實體 Port 加入 ZONE 0 中,Eth0 的預設 IPV4 位址是 192.168.1.1。任何一個 ZONE 有超過一個以上的實體 Port 組合時,此 ZONE 內的每個實體 Port 會自動執行 Layer2 的橋接器 (Bridge) 功能,可以很單純的想成是一個 Switch,也就是說不需要任何設定,ZONE 內的任何 Port 彼此之間都暢通無阻。
3-1-1、區域設定¶
區域狀態圖列出目前每一個實體 Port 歸屬於哪個 ZONE,並用顏色及數字區分,同一個 ZONE 它的顏色會一樣。當系統有任何 Port 不歸屬於任何 ZONE 時,管理者可以按下的按鈕,建立一個新的 ZONE,
也可以在已經建立的 ZONE 中加入新的實體 Port。如果要將某個實體 Port-X 從 ZONE 1 改成 ZONE 2,先要到 ZONE 1 把 Port-X 刪除,讓 Port-X 不屬於任何 ZONE,再到 ZONE 2 中加入 Port-X。Tip
影片參考|眾至NU系列 UTM教學 區域設定說明與範例
建立新的區域如果有空的實體 Port 尚未被分配到 ZONE 中,管理者就可以新增一個 ZONE,按下
圖 56. 圖3-1 新增區域¶
【介面】:在 ZONE 的基處上,又分為 LAN/WAN/Bridge/HA,並選擇數字代號。【介面名稱】:選擇新增 ZONE 的數字代號,系統以 ZONE 為前置代號,後面是數字。例如:ZONE 0、ZONE 1….,因為每一個實體 Port 都可以單獨成為一個 ZONE,所以最大的數字就代表此台設備擁有的實體 Port 數,挑選數字時可以任意選擇,不需要按照順序。【名稱】:新增使 ZONE 方便記憶的名稱,例如:會計、工程等等。【顏色】:選擇 ZONE 的顏色。【Port】:選擇 ZONE 的實體 Port,任何未標示數字的 Port 都可以選,也可以選擇多個 Port 組合成一個 ZONE。新增完成後會回到區域列表中,NG-UTM 會把每一個區域、名稱、顏色及它擁有的實體 Port 標示出來。可點選,進入修改,或直接刪除
(只有 ZONE 0 沒有刪除鍵)。
圖 57. 圖3-1 區域列表¶
列表中的每個 ZONE 會出現在「網路設定 > 3-2、網路介面」的選單中,管理者可以針對這個 ZONE 進行網路設定。
3-1-2、線路設定¶
NG-UTM 的每一個 ZONE 都可以指定網卡速度,設定網卡速度有 2 種方式,可從「網路設定 > 區域設定 > 線路設定」中設定,或是從首頁上方的【Port Information】,點選要設定的實體 Port 就可以設定調整網卡速度。
圖 58. 圖3-1 區域設定¶
【介面】:這個 Port 隸屬於哪一個 ZONE。【Port】:實體 Port 是在第幾個位置上。【線路狀態】:目前這個 Port 有無連線。如果沒接任何設備就會顯示 Disconnected,正常連線則會顯示 Connect。【MAC 位址】:實體 Port 的 MAC 位址。【Speed and Duplex Mode】:目前網卡跑的速度,及過去的連線狀態紀錄。管理者可以手動調整網卡速度,共有 10Mbps / 100Mbps / 1000Mbps,全雙工或是半雙工等模式可以供選擇。note
管理者建立 WAN 介面時,可以一個 ZONE(一個實體 Port)一個 WAN 線路的建置方式,也可以用一個 ZONE(一個實體 Port)外加 Switch 後接數個 WAN 線路;2 者差別是,前者可以詳細設定 WAN 進出的頻寬及管理,後者頻寬只能對介面管理,無法針對 ZONE 下的個別 WAN 線路設定上、下載頻寬管理。
3-2、網路介面¶
完成「網路設定 > 區域設定」後,所有建立的介面都會出現在此處的頁籤列表中,管理者可以開始設定介面的網路 IP 位址、連線速度等網路資訊。
圖 59. 圖3-2 在網路介面的頁籤區域列表¶
如前面所提,NG-UTM 會保留 ZONE 0 為預設的 ZONE,所以出現在第一個的就是屬於 ZONE 0 的 LAN,其他新增的介面會按照實體介面的順序,依序排列在後方,點選該頁籤後就可以進入網路設定。NG-UTM 支援 SDN 控制器,除了預設的 ZONE 0 外,可以將新增加的 ZONE 交給 SDN 控制器管理,一旦 ZONE 接受 SDN 控制器管理後,NG-UTM 就不會檢查這個 ZONE 內實體 Port 網路封包的傳遞;但是當這個受 SDN 控制的 ZONE 封包要到其他 ZONE 時,NG-UTM 就會檢查封包並執行 Firewall 的工作。Tip
影片參考|眾至NU系列 UTM教學 網路介面說明與範例
3-2-1、網路介面設定¶
圖 60. 圖3-3 網路介面設定¶
【介面名稱】:這個介面是屬於哪個 zone(在「網路設定 > 3-1、區域設定」中定義)。【MAC 位址】:這個介面的唯一 MAC 位址,同一個 NG-UTM 管理的設備,MAC 位址不可以重複。【啟動】:LAN 介面預設是啟用狀態且不可以被關閉,其他新增的介面可選擇關閉、STATIC 或 DHCP。· STATIC:介面的 IP 位址是在下方 3-2-7、介面位址 / PPPoE 撥接 新增,若要使用 PPPoE 撥接,則先設定為 STATIC 後,再到 PPPoE 撥接去設定。· DHCP:介面的 IP 位址是由 DHCP 伺服器配發。【MTU】:每一個封包最大的 byte 數,預設為 1500 ,設定範圍是 1400~1500。
3-2-2、管制區域內 PORT 間的封包¶
當多埠模式為 Bridge 時才會出現【IP 位址轉換】:是否要透過其他網路介面上網。【來源介面】:設定 Bridge 內哪些實體介面需透過其他介面上網。【來源網路】:設定來源介面內封包會包含的網段。【ARP Reply】:當出口線路偵測斷線後, 進行 ARP Reply。【出口線路】:在 3-3-2、出口線路 設定後,會出現可選擇的線路。
3-2-3、SDN 控制設定¶
當多埠模式為 Switch 時才會出現NG-UTM 可以設定將某一些實體 Port 組合成一個 ZONE,並把這個 ZONE 內網路封包的控制權交給 SDN 控制器,此設定會排除 ZONE 0 的 Eth0,將整台機器所有的實體 Port 交付給 SDN 控制器,這樣 NG-UTM 就會變成 SDN 交換器。
圖 61. 圖3-4 SDN 控制器設定¶
【簡易模式/進階模式】:2 種不同的運作模式切換。簡易模式單純設定控制器的 IP 位址及 Port 號後就可以運作;進階模式還可以區分 Out-band/In-band 的封包分別接給不同的 SDN 控制器,也可以指定多台的 SDN 控制器。【啟用】: 如果介面位址有綁定 IP 位址,則無法啟用。點選啟用代表要將這個 ZONE 下的所有實體 Port 交由指定的 SDN 控制器管理。【SDN 控制器模式】:在進階模式下,指定 ZONE 的 out-band 或是 in-band 要交給哪一台 SDN 控制器,可以設定成不同台的 SDN 控制器。【SDN 控制器】:2 種模式的設定說明如下。· 簡易模式:設定 SDN 控制器的 IP 位址跟 Port 號。· 進階模式:設定 SDN 控制器的 IP 位址跟 TCP Port 號,點選就可以再增加第二筆 SDN 控制器。
3-2-4、Network Bonding 設定¶
當多埠模式為 Switch 時才會出現NG-UTM 具有將 2 個網卡以上綁成一個網路介面的功能,這樣的好處是可以增加網路介面的頻寬,此技術就是 Network Bonding ,又可以稱之為 Link aggregation、Trunking。目前支援 7 種模式,選擇適當的模式後就可以運作,有部份模式需要對接的交換器也支援並設定相同模式才可運作。
模式 |
名稱 |
說明 |
|---|---|---|
0 |
balance-rr |
輪循模式(Round-robin policy),依序由第一片網卡傳遞封包,就算其中一片網卡失效,也能確保網路不中斷,此模式需要交換器配合。 |
1 |
active-backup |
同一時間只有單一網卡運作,分為主要跟備援網卡,當主要斷線時由備援網卡接替,在這個模式下,不需要交換器支援。 |
2 |
balance-xor |
用來源地址目的位址做XOR運算後傳遞,具備有負載平衡及容錯的機制。 |
3 |
broadcast |
所有的網卡都會收到相同的封包,就算其中一個網卡掛了,仍可以正常運作。 |
4 |
802.3ad(LACP) |
802.3ad 為交換器正式的連接聚合技術,需要交換器也支援相同的 802.3ad 功能才能運作,此模式需要交換器配合。 |
5 |
balance-tlb |
輸出的流量由主要網卡做負載平衡,輸入流量由slave 的網卡負責,此模式不需要交換機配合。 |
6 |
balance-alb |
輸出/入的流量由都做負載平衡,具備容錯機制,此模式不需要交換機配合。 |
3-2-5、訪問控制¶
圖 62. 圖3-3 訪問控制¶
【啟用訪問】:介面是否接受其他的 IP 位址查詢或進入管理介面。· SNMP:介面是否接受 SNMP 的查詢。勾選後,此介面會把一些資訊,藉由 SNMP 協定送給遠端的 SNMP 伺服器。· Ping:這個介面的位址是否接受 ICMP 協定。勾選後,介面上設定的 IP 位址會回應 ICMP 的封包。· HTTPS:這個介面是否接受透過 https 協定進入管理介面。勾選後,介面上設定的 IP 位址都可以接受 https 服務。
3-2-6、防火牆防護設定¶
3-2-7、介面位址 / PPPoE 撥接¶
定義每一個實體介面的 IP 位址,新增設定完成後會列表顯示。點選進入新增 IP 位址:
圖 64. 圖3-5 網路介面 IP 位址設定¶
【型態】:型態可以選擇 STATIC 或 PPPoE,STATIC 可在此處設定,PPPoE 則會跳轉到 PPPoE 的設定畫面,詳細請參考「網路設定 > 3-5、PPPoE 撥接」。【名稱】: 容易辨識此介面的名稱,例如 Wan1:2。【IP 位址】:為介面新增一個 IP 位址,例如:192.168.1.1。【網路遮罩】:IP 位址涵蓋的範圍,以一個 C 子網段為例,填入 255.255.255.0。【預設閘道】:屬於 WAN 類型或是介面後面還有接其他的路由器,就需要填入閘道位址,若內部類型介面沒有其他的路由設備則不需要。【自動設定為出口線路】:勾選後,系統就會自動建一條出口線路的路由,任何沒有定義路由的封包將會從預設路由出去。【管理 IP】:介面上的 IP 位址是否要讓管理者可以登入管理。
3-3、路由管理¶
於主選單 MENU 上方可切換為或
模式,NG-UTM 會將整台設備關於 IP 顯示或是設定的模式切換。
Tip
影片參考|眾至NU系列 UTM教學 路由管理使用時機
3-3-1、靜態路由¶
管理者在「網路介面 > 3-2-7、介面位址 / PPPoE 撥接 」上設定 IP 位址跟子網路遮罩後,這筆資料就變成系統內定的路由。系統內定的路由表無法更改,要修改就需要從「介面位址」上重新設定 IP 位址跟子網路遮罩。NG-UTM 會把所有的靜態路由表列出來:
圖 65. 圖3-6 IPV4 的靜態路由表¶
NG-UTM 除了由網路介面定義產生的內定路由表外,可以自行加入靜態路由表,靜態路由可以指定在特定介面有效。按下鈕後,進入新增一筆靜態路由:
圖 66. 圖3-7 IPV4 新增靜態路由¶
【名稱】:方便記憶的名稱,例如:10 網段、預設閘道等。【目的網路】:目的網路的任何一個 IP 位址,例如,10.10.10.1。【網路遮罩】:目的網路的 IP 位址涵蓋的範圍,以一個 C 子網段為例,填入的為255.255.255.0。【閘道】:要往目的網路的閘道器位址。【介面】:新增的路由表要屬於哪一個介面, 下拉選單後,系統會列出所有已建立的介面讓管理者選擇。選項會用顏色區分不同的網路介面,分別是實體網路介面、IP 通道 (IP Tunnel)、GRE 通道、PPPoE 撥接介面、VLAN、PPTP 及 SSL VPN。如果指定介面,則這一筆路由將只會在它所屬的介面生效;若介面選擇為 NONE,路由設定將會對本機所有介面都有效,所有管理者建立的靜態路由表都可以匯出或是匯入。
3-3-2、出口線路¶
NG-UTM 可以把一個或數個介面接上 WAN 的線路,如果要把 WAN 類型的線路、數據專線或是 MPLS 內部 VPN 類型的線路加在 NG-UTM 上,都須在此處設定,當有往外部傳輸的封包時,NG-UTM 才知道如何往下一個閘道器。管理者事先建立數個 出口線路 後,可以把相同類型的 出口線路 綁定成一個 出口線路群組,以 WAN 類型的 出口線路 來說,每一個 出口線路 就是一個 WAN 線路,把數個 出口線路 綁定成 出口線路群組 ,就是執行線路負載平衡的工作。每一個提供網際網路連線的線路就是一個出口線路,在配置上有 2 種做法:1、每個外線分配到一個 ZONE。2、外部 ZONE 接一個 SWITCH,所有的外線都接到 SWITCH 上,此時就需要在「網路設定 > 網路介面 > 3-2-7、介面位址 / PPPoE 撥接 」上將所有外線提供的 IP 位址設定上去。2 種方式各有優點,前者方便管理辨識線路及查找問題,後者可以接入大量的外線,超過 NG-UTM 本身 Port 的限制。按下
圖 67. 圖3-8 WAN 類型的指定閘道設定¶
【名稱】:這個指定閘道的名稱,例如:WAN-1、PPPOE-1 等。【目的位址】:選填,要到這個目的網路的任何一個 IP 位址。如果沒有填入代表是 0.0.0.0/0,以 WAN 類型的線路來說,通常不須填入。【閘道】:必填,出口線路的閘道器位址。【介面】:新增的出口線路要屬於哪一個介面,下拉選單後,系統會列出所有已建立的介面讓管理者選擇。選項會用顏色區分不同的網路介面,分別是實體網路介面、IP 通道 (IP Tunnel)、GRE 通道、PPPoE 撥接介面、VLAN、PPTP 及 SSL VPN。【線路偵測方式】:利用偵測檢查線路是否斷線,檢查的方式有 3 種,ARP , ICMP 或 DNS ,每隔一段時間,NG-UTM就會對【閘道】上設定的IP位址發送ARP/ICMP封包或DNS查詢,由對方伺服器的回應狀況判斷線路是否正常連線或是斷線,預設值為ICMP,可以選擇NONE,NG-UTM就不會對閘道進行斷線的檢查,系統認為線路永遠都屬於暢通的狀態。當 WAN 的線路是PPPOE,可以額外選用 PPPOE 的偵測模式,他會自動選用 DNS 方式跟 PPPOE Server 之間做線路存活測試。【偵測來源 IP】:用哪一個 IP 位址當作來源 IP 位址執行線路偵測的工作。一般都是選擇這一條線路配發的 IP 位址。【被偵測 IP 位址】:選填,偵測哪一個目的 IP 位址判斷線路的存活。如果未填入,系統預設使用出口線路配發的閘道器位址當作被偵測位址。【偵測頻率】:幾秒發送一次檢查封包。【啟用備援】:當 出口線路 斷線時,把封包轉向備援的出口線路,讓 出口線路 的網路封包能夠正常的傳遞。備援的閘道可以設定 2 筆。【備援閘道1/2】:出口線路 斷線時,封包會自動轉向備援的閘道,所謂備援的閘道就是另一個已經設定完成的 出口線路 (同時選擇備援閘道所在的 ZONE)。note
【啟用備援】的備援閘道功能跟 出口線路群組 所提供的線路負載平衡模式不太相同,備援閘道沒有權重的觀念,且是指定式 1 對 1 或是 1 對 N 的備援模式,例如:原本的線路對外速度是 100Mbps,設定的備援閘道速度只有 10Mbps。原本的線路斷線後,所有 100Mbps 的網路封包都將全部塞往 10Mbps 的備援線路上,此時即使還有第 3 條線路,系統並不會自動將封包轉往第 3 條線路上。但是同樣情況在 出口線路群組 所提供的線路負載平衡上,可以依照設定的比重或是負載均衡模式,把 100Mbps 的網路封包,分配給有效的 出口線路 上,因此如果有三條以上的 WAN 類型線路時,可以善用 出口線路群組 。新增完成後,會以列表顯示:
圖 68. 圖3-8 出口線路列表¶
每一個 WAN 屬性的線路或是有啟用【線路偵測方式】的線路,都有斷線跟連線的紀錄可供查詢,點選就可以查看過去的線路連線狀況,包含線路的斷線及連線時間。
3-3-3、出口線路群組¶
NG-UTM 提供線路負載平衡器的功能,把每一個 出口線路 都視為一個 WAN 類型的線路,再根據負載均衡的模式,依照權重設定,把網路封包平均分配到每一個線路中。點選
圖 69. 圖3-8 出口線路群組列表¶
【群組名稱】:這個出口線路群組的名稱,例如:WAN-ALL、所有對外網路等。【負載均衡模式】:網路封包的分配方式,共有四種模式可以選擇。· Session:不管來源或是目的 IP 位址,按照 Session 比重分配。例如:A 線路比重 1 ,B 線路比重 2 ,則第 1 個 Session 送到 A,第 2、3 個送到 B,第 4 個再送到 A,以此類推。· 來源 IP:按照來源 IP 位址比重分配。例如:A 線路比重 1 ,B 線路比重 2,則同一個來源 IP 位址的第 1 個 Session 送到 A,第 2、3 個送到 B,第 4 個再送到 A,以此類推,不同來源 IP 位址的分配跟上面一樣。· 目的 IP:按照目的IP位址比重分配。例如:A 線路比重 1 ,B 線路比重 2,則到相同目的 IP 位址的第 1 個 Session 送到 A,第 2、3 個送到 B,第 4 個再送到 A,以此類推,每個不同目的 IP 位址的分配跟上面一樣。· 介面負載小優先選擇:根據的實際負載狀況分配網路封包,負載小者會分配到更多的網路封包。【斷線偵測】:每隔幾秒偵測線路是否正常,作為切換線路的依據。【出口線路】:這個群組使用的 出口線路 及其分配的比重,所有在 出口線路 中設定的閘道都會顯示於此,供管理者挑選設定。【比重】:出口線路的負載能力,例如:出口線路-A 設定的比重為 1,出口線路-B 設定的比重為 10,NG-UTM 會先丟 1 個網路封包到出口線路-A 後再丟 10 個網路封包到出口線路-B,第 12 個網路封包又往出口線路-A,以此類推。
3-3-4、預設閘道¶
當管理者沒有設定 出口線路,在靜態路由中也沒有指定路由的目的 IP 位址,要到特定目的地的 IP 位址將無法被傳送,此目的 IP 位址將會被丟棄;為了避免這樣的情況發生,設定一個預設閘道給 NG-UTM,將所有沒有定義路由的目的 IP 位址,通通往這一個預設閘道。除了預設閘道,在多 WAN 的環境,可以再設定備用閘道,當預設閘道斷線即會自動切到備用閘道上。
圖 70. 圖3-9 預設閘道列表¶
【偵測頻率】:每隔幾秒鐘,系統會偵測預設閘道是否存在,預設值為 10 秒,設定範圍 1-999。點選
圖 71. 圖3-9 新增預設閘道¶
【預設閘道 IP】:預設閘道的 IP 位址,所有沒被路由表定義的目的 IP 位址,通通往這個閘道。【介面】:預設閘道屬於哪一個介面,系統會列出所有的介面讓管理者選擇。【指定上網 IP】:當介面有很多個 IP 位址,用哪一個當作 NAT 位址轉換的 IP,可使用介面設定的 IP 位址或是自行定義。
3-3-5、RIP¶
NG-UTM 支援 RIP 動態路由協議,只要指定介面跟路由週期,就可以將所有的路由協議學習起來,提供給系統使用。學習到的路由表會列在動態路由列表中。
圖 72. 圖3-9 動態路由 RIPv2¶
【啟用】:是否啟用 RIP 路由協定【介面】:選擇哪幾個實體介面要啟用 RIP 協議,可以多選。【路由更新週期】:路由表更新的間隔時間,預設為 30 秒,設定範圍 30-3600 秒。【路由逾時設定】:超過多少時間算逾時,預設是 180 秒,設定範圍 30-3600 秒。
3-4、VLAN(802.1Q)¶
VLAN 802.1Q 在交換器上是一個很基本的功能,能把內部網路切割成數個獨立的子網段,每一個網段獨立運作互不相干擾,圖3-10 用實際的範例說明 VLAN 運作,Switch-A 分別接了 3 個網段,192.168.1.0/24、192.168.2.0/24 跟 192.168.3.0/24,在 Switch-A 設定 3 個不同的 VLAN ID,分別是 10、20 跟 30,這 3 個不同 VLAN ID 的電腦在 Switch-A 或是更上層的網路設備沒有設定路由之前,彼此無法互通,僅同一個 VLAN ID 的電腦可以互通。當網路封包從 Switch-A 往上送到 NG-UTM 時,NG-UTM 就需要拆解及組合這些帶 VLAN ID 的網路封包,才會知道它下一個目的地是哪裡,本節說明如何拆解 VLAN ID 的設定。
圖 73. 圖3-10 VLAN 範例¶
按下而在新增之前,要先確認所屬的交換器目前已經配置相同的 VLAN ID 跟網路區段,網路區段可以包含 IPV4 或是 IPV6 的位址,如果這 2 個資訊無法跟對接的交換器互相符合,設定後網路封包將無法正常的被拆裝及組合,網路就會不通。
圖 74. 圖3-11 VLAN 設定範例¶
【介面名稱】:系統預設 VLAN 的名稱就是 VLAN,無法更改,僅能用 ID 分辨每個不同的 VLAN。【啟動】:是否要啟用這個 VLAN ID。管理者可預先設定 VLAN ID,再藉由啟動功能決定要不要啟用這個 VLAN。【介面】:新設的 VLAN 隸屬於哪一個區域 (ZONE),NG-UTM 會把所有的區域列出,讓管理者選擇。【MTU】:每一個封包最大的 byte 數,預設為 1500,設定範圍是 1400~1500。【VLAN ID】:給此 VLAN 一個數字代碼,同一台 NG-UTM 的 VLAN ID 不可以重複,數字範圍是 1~4094。【IP 位址】:VLAN ID 下包含的網路 IP 位址及區段,可設定 IPV4 跟 IPV6 位址。【註解】:可新增備註說明。【啟用訪問】:此 VLAN ID 的介面位址是否接受 SNMP 查詢跟 ICMP 回應,預設都是關閉。設定完成後,NG-UTM 的介面就能夠把下層交換器的 VLAN ID 接收進來,把它拆解後根據路由設定把網路封包送到目的網路,同樣的從目的網路收到的網路封包也透過 VLAN ID 的組合送到對應的 VLAN 去。
3-5、PPPoE 撥接¶
在 WAN 類型的連線中,PPPoE 是很常見的撥號方式,NG-UTM 支援標準的 PPPoE 功能,不論是相同 ZONE 或是不同 ZONE 下,每一個 ZONE 都可以設定多筆 PPPoE 帳號。按下而在新增之前,要先準備好 PPPoE 的帳號跟密碼,同時確認 PPPoE 線路是接在哪一個 ZONE 跟 Port 上,NG-UTM 目前支援最多 9 個 PPPoE 帳號撥接。
圖 75. 圖3-12 PPPoE 範例¶
• PPPoE 撥接設定【名稱】:設定此筆 PPPoE 撥接的名稱。【啟動】:是否要啟用這個 PPPoE 帳號。可先設定此筆 PPPoE 帳號,有需要時再啟動。【撥接介面】:此 PPPoE 帳號隸屬於哪一個區域 (ZONE),NG-UTM 會把所有的定義好的區域列出,讓管理者挑選。【帳號】:PPPoE 的帳號,例如:75139012@hinet.net。【密碼】:PPPoE 的密碼,請注意大小寫。【MTU】:資料連結層上面所能通過的最大封包大小,通常為1492。【IPV6】:PPPoE 帳號是否有提供 IPV6 的分配模式,若不勾選表示 PPPoE 撥接只會取得 IPV4 的 IP 位址。【VLAN ID】:若數據機與撥號介面之間會經過帶 VLAN tag 的交換器,或是數據機會送出帶 VLAN tag 的封包,可以在這邊設定 VLAN ID ,讓防火牆正確識別。【自動新增】:在 PPPoE 模式下,為簡化設定,勾選「出口線路」跟「預設閘道」這 2 個選項後,系統會自動將它加入,就不需要再到這 2 個地方設定。• 線路偵測設定【線路偵測方式】:利用偵測檢查線路是否斷線,偵測的方式有 3 種,ARP , ICMP 或 DNS ,每隔一段時間,NG-UTM就會對【閘道】上設定的IP位址發送ARP/ICMP封包或DNS查詢,由對方伺服器的回應狀況判斷線路是否正常連線或是斷線,預設值為ICMP,可以選擇NONE,NG-UTM就不會對閘道進行斷線的檢查,系統認為線路永遠都屬於暢通的狀態。預設值為NONE,所有的檢查過程都會紀錄下來,點選 PPPoE 帳號列表的【被偵測伺服器 IP 位址】:選擇的線路偵測方式會對設定的 IP 進行偵測,若設定NONE,則會自動設定為0.0.0.0。• 訪問控制【啟用訪問】:此 VLAN ID 的介面位址是否接受 SNMP 查詢、ICMP 回應跟管理介面登入,預設都是關閉。• 防火牆防護設定【防護項目】:這個介面是否要啟用防火牆的防護,確保不被攻擊。所有新增的 PPPoE 帳號會以列表呈現:
圖 76. 圖3-13 PPPoE 帳號列表¶
在【啟動】顯示代表這一個 PPPoE 目前啟用中;
代表這一個 PPPoE 目前為暫停。點選圖示,可直接切換為啟動或停用。
【連線狀態】欄中,代表撥接成功,失敗則會顯示
。
點選【線路偵測】跟【紀錄】的【線路偵測】是 PPPoE 撥接成功後,跟網際網路的連線是否正常;【紀錄】是指 PPPoE 帳號是否正常通過遠端 PPPoE 伺服器的認證。
3-6、IP Tunnel¶
IP Tunnel 是 NG-UTM 的特殊功能,除了 2 台 NG-UTM 間可以透過 IP Tunnel 建立 VPN 網路外,也可以跟其他有支援 IP Tunnel 協定的閘道器建立 IP Tunnel。跟其他閘道器不一樣的是,當 IP Tunnel 建立後,NG-UTM 還可以針對這些 Tunnel 內封包進行管制,例如:Web、SMTP 跟 POP3 可以進入 Tunnel,其他的封包都會被拒絕。Tip
影片參考|眾至NU系列 UTM教學 IPTunnel介紹與設定
IP Tunnel 的運作情境參考下圖的網路架構,NG-UTM 部署在中心端,掌管整個網路的對外連線,具有 IP Tunnel 功能的 Gateway 或是 Firewall 部署在分點,基本的要求是分點的 POS 機或是電腦能夠安全的存取中心端的伺服器資源,例如:會計、ERP 系統等等。用 IP Tunnel 就可以快速的建立及部署這種需求的網路架構,在 NG-UTM 上更可以管制每一個分點的哪個應用程式可以上 Internet 或是內部網路,非這一個應用程式的服務都會被拒絕。集中管理的好處是管理者只要控制一台 NG-UTM 就可以掌握整個網路動態,因為所有的網路封包,包含中心端跟所有分點,都會經過它。
圖 77. 圖3-14 IP Tunnel 運作示意圖¶
建立一條新的 IP Tunnel每建立一筆 IP Tunnel ,系統會自動增加一個虛擬網路介面,類似實體 Port 的介面名稱是 Eth0、Eth1,預設的虛擬網路介面名稱為 tunl+數字,如 tunl1、tunl2,數字是系統自動加入,會從 1 開始編號。建立完成後,預設的靜態路由也會自動建立,在「網路設定 > 路由管理 > 3-3-1、靜態路由 」中就會出現一筆新的靜態路由,同時標註它的介面名稱為 tunl+數字。也可以在「網路設定 > 路由管理 > 3-3-2、出口線路 」中指定一個閘道,如果 NG-UTM 要當 IP Tunnel 的 Client 端,也就是要利用遠端的 IP Tunnel 上網,則需要建立 出口線路,並在管制條例中指定哪一些服務要透過這一個 IP Tunnel 上網。按下
圖 78. 圖3-15 建立一個 IP Tunnel¶
【通道名稱】:任何容易辨識這個 IP Tunnel 的名稱。【啟動】:要不要啟用這個 IP Tunnel。管理者可預先設定 IP Tunnel,需要時再啟動。【加密模式】:IP Tunnel 內是否要啟用加密功能,如果啟用,每一個經過通道的封包將再一次執行加密動作。· NONE:IP Tunnel 不執行加密功能。· GRE:IP Tunnel 用 GRE 加密 KEY 進行加解密動作。· IPSEC:IP Tunnel 用 IPSEC 加密 KEY 進行加解密動作,管理者可以選擇加密的強度是 256 bit 還是 128 bit。【遠地端位址】:跟 NG-UTM 建立 IP Tunnel 的遠端 IP 位址,例如:5.5.5.5。【本地端位址】:NG-UTM 建立 IP Tunnel 使用的 IP 位址,這個位址需要屬於本機管轄。一般為在「網路設定 > 網路介面 」網路設定中網路介面上有綁定的實體 Port IP 位址,例如:192.168.189.169。【通道介面位址】: IP Tunnel 對內部的閘道位址,當封包被送到這個閘道位址後,會自動透過IP Tunnel 轉到另一端。【被偵測 IP 位址】:確保 IP Tunnel 的暢通,系統會自動偵測線路的斷線與否,此處填入被偵測的 IP,通常是通道另一端的閘道位址。【偵測頻率】:每隔多少秒執行線路偵測動作,設定範圍 1-999 秒。【加密格式】:選用 IPSEC 為加密協定時才會出現,有 2 種模式可以選擇。· 高安全:採用 AES 256 bit 為加密機制。· 低安全:採用 AES 128 bit 為加密機制。【KEY】:選擇 GRE 或 IPSEC 加密時,通道雙方預先設置的加密密碼,可以是任何英文字母跟數字的組合。【MTU】:每一個封包最大的 byte 數,預設為 1480 ,設定範圍是 1400~1500。此預設值會比【網路設定】上預設的 1500 少,因為 IP Tunnel 需要額外的封包表頭,如果設成 1500Byte ,在加入 IP Tunnel 的表頭後,就會超過網路設定上的 MTU,導致這個封包無法傳遞成功。
3-7、中斷設定¶
NG-UTM 使用的 CPU 都是多核心的架構,本身提供的服務眾多,每一種服務跟網路介面的流量又都不一樣。依預設,系統會自動分配 CPU 資源給每一個服務,但是在某一些網路介面流量特別大的情況下,讓系統自動分配 CPU 資源的反而讓忙碌的 CPU 更忙碌,空閒的 CPU 更空閒。為了避免這樣的情況,NG-UTM 提供管理者 CPU 中斷服務,以調整系統資源。
3-7-1、硬體中斷設定¶
根據實體介面的中斷要求,分配 CPU 資源,例如當每一個網卡的 TX/RX 發出中斷要求時,就分配特定的 CPU 服務。
圖 79. 圖3-16 CPU 硬體中斷¶
3-7-2、軟體中斷設定¶
用已經定義成 Zone 的介面分配 CPU 資源,跟硬體中斷最大不同是同一個 Zone 內可能有好幾個實體 Port。
圖 80. 圖3-17 CPU 軟體中斷¶
:軟硬體中斷皆有自動配置選項,點選後