|
•
|
|
•
|
|
•
|
|
•
|
|
•
|
|
•
|
For general information on interfaces, see 网络 > 接口.
|
1
|
|
•
|
|
3
|
|
4
|
|
7
|
|
8
|
要允许访问 WAN 接口,以便从同一设备的其他区域进行管理,则必须创建访问规则。更多信息,请参见允许从 LAN 区域访问 WAN 主要 IP 。
|
10
|
单击确定。
|
|
1
|
|
2
|
|
•
|
对于 10 Gbps 接口,只能选择10 Gbps - 全双工。
|
|
3
|
|
4
|
选中关闭端口复选框出于维护或其他原因暂时使该接口脱机。如果已连接,链路将断开。清除复选框激活接口并允许链路重新连接。默认情况下未选中该选项。
|
|
5
|
对于 AppFlow 功能,选中启用流量报告复选框允许报告该接口产生的流量。默认情况下已选中该选项。
|
|
6
|
选中启用组播支持复选框允许在此接口上接收组播。默认情况下未选中该选项。
|
|
7
|
选中启用 802.1p 标签复选框,为通过此接口的信息标签用于服务质量 (QoS) 管理的 802.1p 优先级信息。通过此接口发送的数据包将被标签 VLAN id=0 并携带 802.1p 优先级信息。要使用此优先级信息,连接到此接口的设备应支持优先级帧。QoS 管理由防火墙 > 访问规则页中的访问规则进行控制。如需 QoS 和带宽管理的信息,请参见防火墙 > QoS 映射 。默认情况下未选中该选项。
|
|
8
|
也可选择从路由通知中排除 (NSM, OSPF, BGP, RIP)复选框,以从路由通知排除接口。默认情况下未选中该选项。
|
|
9
|
也可选择启用默认 802.1p CoS,使用已选的有限级别值作为出口数据包的默认的 CoS 值。默认情况下未选中该选项。
|
|
10
|
也可选择仅管理流量限制流量仅用于 SonicWALL 管理流量和路由协议。默认情况下未选中该选项。
|
|
11
|
也可通过选择启用非对称路由支持复选框在接口上启用非对称路由支持。如果启用此复选框,从该接口初始化的流量将支持非对称路由,即初始数据包或响应数据包可以通过其他接口。默认情况下未选中该复选框。如需非对称路由的更多信息,请参见集群配置中的非对称路由 。
|
|
12
|
|
14
|
接口 MTU - 指定无需对数据包进行分片即可由接口转发的最大数据包大小。输入该端口将接收和传输的数据包的大小:
|
|
•
|
对大于此接口的 MTU 的非 VPN 出站数据包进行分片 - 指定对大于此接口的 MTU 的所有非 VPN 出站数据包进行分片。指定在 VPN > 高级页中设置 VPN 出站数据包的分片。
|
|
•
|
忽略不分片 (DF) 位 - 覆盖数据包中的不分片 (DF) 位。
|
路由模式为用于路由单独的公用 IP 地址范围之间的流量的 NAT 提供了备选。考虑以下拓扑,其中的防火墙正在路由以下两个公用 IP 地址之间的流量:
图 7. 路由模式配置
在 172.16.6.0 网络的接口上启用路由模式后,将自动禁用该接口的 NAT 转换,所有入站和出站流量将被路由至为 10.50.26.0 网络配置的 WAN 接口。
|
1
|
转至网络 > 接口页面。
|
|
2
|
|
3
|
单击高级选项卡。
|
|
4
|
|
5
|
在 NAT 策略出站/入站接口下拉菜单中,选择将用于传送该接口的流量的 WAN 接口。
|
|
6
|
单击确定。
|
防火墙创建用于所配置的接口和所选择的 WAN 接口的“无 NAT”策略。这些策略将替代可能已经为这些接口配置的所有更通用的 M21 NAT 策略。
您可以使用带宽管理 (BWM) 来保证最小带宽以及优化流量。BWM 在防火墙设置 > BWM 页面启用。通过控制应用程序或用户的带宽量,您可以防止少量应用程序或用户消耗所有可用带宽。平衡分配给不同网络流量的带宽然后对流量分配优先级可提高网络性能。
可以在防火墙 > BWM 页面启用三种类型的带宽管理:
|
•
|
高级 - 您可以通过配置带宽对象、访问规则和应用程序策略,为各接口逐一配置最大出口和入口带宽限制。
|
|
•
|
全局 - 您可以在全局范围内启用 BWM 设置,并将其应用于任何接口。全局 BWM 是默认的 BWM 设置。
|
|
•
|
无 - 禁用 BWM。
|
SonicOS 可以对任何接口上的出口(出站)和入口(入站)流量应用带宽管理。出站带宽管理通过基于类的队列完成。入站带宽管理通过实施使用 TCP 固有行为来控制流量的 ACK 延迟算法完成。
|
•
|
添加接口按钮。
|
|
•
|
某个接口的编辑图标。
|
将显示添加/编辑接口对话框。
|
2
|
单击高级选项卡。
|
|
•
|
启用出口带宽管理 - 启用出站带宽管理。
|
|
•
|
|
•
|
启用入口带宽管理 - 启用入站带宽管理。
|
|
•
|
|
•
|
启用接口出口带宽限制 – 限制出口流量到接口上的最大带宽。
|
|
•
|
|
•
|
启用接口入口带宽限制 – 限制入口流量到接口上的最大带宽。
|
|
•
|
|
4
|
单击确定按钮。
|
透明 IP 模式使得 Dell SonicWALL 安全设备可以将 WAN 子网桥接到内部接口上。
|
1
|
|
2
|
|
•
|
|
3
|
|
4
|
从透明范围菜单中,选择包含您想要通过此接口访问的 IP 地址的地址对象。地址范围必须在内部区域以内,例如 LAN、DMZ 或其他与用于内部透明接口的区域相匹配的受信任区域。如果您还没有配置符合您需求的地址对象:
|
|
a
|
|
b
|
在添加地址对象字段中,输入地址范围的名称。
|
|
c
|
|
d
|
对于类型:
|
|
•
|
要通过输入起始值和子网掩码来指定子网,请选择网络。该子网必须在 WAN 地址范围以内,且不能包含 WAN 接口 IP 地址。
|
|
f
|
|
5
|
|
6
|
要允许访问 WAN 接口,以便从同一设备的其他区域进行管理,则必须创建访问规则。更多信息,请参见允许从 LAN 区域访问 WAN 主要 IP 。
|
8
|
单击确定。
|
|
1
|
|
2
|
|
•
|
对于 10 Gbps 接口,只能选择10 Gbps - 全双工。
|
|
3
|
|
4
|
选中关闭端口复选框出于维护或其他原因暂时使该接口脱机。如果已连接,链路将断开。清除复选框激活接口并允许链路重新连接。
|
|
5
|
对于 AppFlow 功能,选中启用流量报告复选框允许报告该接口产生的流量。
|
|
6
|
选中启用组播支持复选框允许在此接口上接收组播。
|
|
7
|
选中启用 802.1p 标签复选框,为通过此接口的信息标签用于服务质量 (QoS) 管理的 802.1p 优先级信息。通过此接口发送的数据包将被标签 VLAN id=0 并携带 802.1p 优先级信息。要使用此优先级信息,连接到此接口的设备应支持优先级帧。QoS 管理由防火墙 > 访问规则页中的访问规则进行控制。如需 QoS 和带宽管理的信息,请参见防火墙 > QoS 映射 。
|
|
8
|
|
9
|
选中启用免费 ARP 转发到 WAN 复选框使用 WAN 接口的硬件 MAC 地址作为源 MAC 地址,将在该接口收到的免费 ARP 数据包转到到 WAN。
|
|
10
|
选中启用自动免费 ARP 生成到 WAN 复选框每当在向该接口的新机器的 ARP 表添加新条目时,将免费 ARP 数据包自动发送至 WAN。WAN 接口的硬件 MAC 地址用作 ARP 数据包的源 MAC 地址。
|
无线接口是分配给无线区域并用于支持 SonicWALL SonicPoint 安全接入点的接口。
|
1
|
|
2
|
在区域列表中,选择 WLAN 或自定义无线区域。
|
|
4
|
|
注:子网掩码的上限取决于您在SonicPoint 限制字段中选择的 SonicPoint 数量。如果您将若干个接口或子接口配置为无线接口,则可能需要使用较小的子网(较高)来限制该接口可能提供的 DHCP 租约数量。否则,如果您为每个无线接口使用 C 类子网(子网掩码 255.255.255.0),则可能超出安全设备提供的 DHCP 租约限制。
|
|
5
|
在 SonicPoint 限制字段中,选择在此接口上允许的 SonicPoint 最大数量。
|
|
•
|
|
注:Table 22描述了允许的最大子网掩码大小。您仍旧可以在 WLAN 接口上使用完全类别的子网划分(A 类、B 类或 C 类),或任何希望使用的可变长度子网掩码。我们鼓励您使用较小的子网掩码(例如 24 位 C 类:255.255.255.0 - 总计 254 个可用 IP),从而在您需要支持更大数量的无线客户端时向客户端分配更多的 IP 寻址空间。我们鼓励您使用较小的子网掩码(例如 24 位 C 类 - 255.255.255.0 - 总计 254 个可用 IP),从而在您需要支持更大数量的无线客户端时向客户端分配更多的 IP 寻址空间。
|
|
6
|
|
7
|
要允许访问 WAN 接口,以便从同一设备的其他区域进行管理,则必须创建访问规则。更多信息,请参见允许从 LAN 区域访问 WAN 主要 IP 。
|
9
|
单击确定。
|
|
1
|
|
2
|
|
•
|
对于 10 Gbps 接口,只能选择10 Gbps - 全双工。
|
|
3
|
|
4
|
选中关闭端口复选框出于维护或其他原因暂时使该接口脱机。如果已连接,链路将断开。清除复选框激活接口并允许链路重新连接。
|
|
5
|
对于 AppFlow 功能,选中启用流量报告复选框允许报告该接口产生的流量。
|
|
6
|
选中启用组播支持复选框允许在此接口上接收组播。
|
|
7
|
选中启用 802.1p 标签复选框,为通过此接口的信息标签用于服务质量 (QoS) 管理的 802.1p 优先级信息。通过此接口发送的数据包将被标签 VLAN id=0 并携带 802.1p 优先级信息。要使用此优先级信息,连接到此接口的设备应支持优先级帧。QoS 管理由防火墙 > 访问规则页中的访问规则进行控制。如需 QoS 和带宽管理的信息,请参见防火墙 > QoS 映射 。
|
|
8
|
配置 WAN 接口可实现互联网连接。您可以在 Dell SonicWALL 安全设备上最多配置 N 减 2 个 WAN 接口,其中,N 是在设备上定义的接口数(物理和 VLAN)。只有 X0 和 MGMT 接口不能配置为 WAN 接口。
在编辑接口对话的常规选项卡中开始配置 WAN 接口。
|
1
|
|
2
|
|
3
|
从 IP 分配下拉菜单中选择以下 WAN 网络寻址模式之一。
|
|
•
|
静态 - 针对使用静态 IP 地址的网络配置防火墙。
|
|
•
|
DHCP - 配置防火墙向互联网上的 DHCP 服务器请求 IP 设置。带有 DHCP 客户端的 NAT 是有线电视网络和 DSL 客户常用的网络寻址模式。
|
|
•
|
PPPoE - 使用以太网点对点协议 (PPPoE) 连接到互联网。如果 ISP 要求用户名和密码,则在“用户名”和“用户密码”字段中相应输入。使用 DSL 调制解调器时通常使用此协议。
|
|
•
|
PPTP - 使用 PPTP(点对点隧道协议)连接到远程服务器。它支持较早的需要隧道连接的 Microsoft Windows 实施。
|
|
•
|
L2TP - 使用 IPsec 连接 L2TP(二层隧道协议)服务器,并对从客户端到服务器传输的所有数据进行加密。但是,它不会对其他目的地的网络流量进行加密。
|
|
•
|
|
•
|
|
4
|
|
5
|
|
•
|
如果显示日程,从下拉列表中选择所需日程,在此期间应连接接口。
|
|
•
|
|
•
|
如果显示服务器 IP 地址字段,输入您的 ISP 提供的服务器 IP 地址。
|
|
•
|
|
•
|
如果显示共享密钥字段,输入您的 ISP 提供的值。
|
|
6
|
要允许访问 WAN 接口,以便从同一设备的其他区域进行管理,则必须创建访问规则。更多信息,请参见允许从 LAN 区域访问 WAN 主要 IP 。
|
•
|
选中自动获取 IP 地址从 PPPoE 服务器获取 IP 地址。
|
|
•
|
选中指定 IP 地址,并在字段中输入所需的 IP 地址以使用该接口的静态 IP 地址。
|
|
•
|
选择不活动断开复选框,并输入不活动分钟数,在这段时间后,连接将被终止。清除该复选框禁用不活动超时。
|
|
•
|
从 IP 分配下拉列表中选择“DHCP”或“静态”。对于“DHCP”,IP 地址、子网掩码和网关地址将由服务器自动提供。对于“静态”,输入这些字段的相应值。
|
|
•
|
启动时请求续订先前 IP 为 WAN 接口请求之前由 DHCP 服务器提供的相同 IP 地址。
|
|
•
|
在发生任意上行链接时续订 DHCP 租约在 WAN 接口每次断开后重新连接时,向 DHCP 服务器发送租约续订请求。
|
在这些选项下面显示的字段由 DHCP 服务器提供。提供后,可以使用续订、释放和刷新按钮;单击:
|
•
|
续订为当前分配的 IP 地址重启 DHCP 租约期间。
|
|
•
|
释放为当前的 IP 地址取消 DHCP 租约。连接将断开。您需要从 DHCP 服务器获取新 IP 地址以重新建立连接。
|
|
•
|
刷新从 DHCP 服务器获取新 IP 地址。
|
|
9
|
|
10
|
如果要将 HTTP 连接自动重定向至连接防火墙的安全 HTTPS 连接,请选中添加规则以启用从 HTTP 到 HTTPS 的重定向。
|
|
11
|
|
12
|
|
1
|
|
2
|
|
•
|
对于 10 Gbps 接口,只能选择10 Gbps - 全双工。
|
|
3
|
|
4
|
选中关闭端口复选框出于维护或其他原因暂时使该接口脱机。如果已连接,链路将断开。清除复选框激活接口并允许链路重新连接。
|
|
5
|
对于 AppFlow 功能,选中启用流量报告复选框允许报告该接口产生的流量。
|
|
6
|
选中启用组播支持复选框允许在此接口上接收组播。
|
|
7
|
选中启用 802.1p 标签复选框,为通过此接口的信息标签用于服务质量 (QoS) 管理的 802.1p 优先级信息。通过此接口发送的数据包将被标签 VLAN id=0 并携带 802.1p 优先级信息。要使用此优先级信息,连接到此接口的设备应支持优先级帧。QoS 管理由防火墙 > 访问规则页中的访问规则进行控制。如需 QoS 和带宽管理的信息,请参见防火墙 > QoS 映射 。
|
|
8
|
|
9
|
接口 MTU - 指定无需对数据包进行分片即可由接口转发的最大数据包大小。识别该端口将接收和传输的数据包的大小:
|
|
•
|
对大于此接口的 MTU 的非 VPN 出站数据包进行分片 - 指定对大于此接口的 MTU 的所有非 VPN 出站数据包进行分片。指定在 VPN > 高级页中设置 VPN 出站数据包的分片。
|
|
•
|
忽略不分片 (DF) 位 - 覆盖数据包中的不分片 (DF) 位。
|
|
•
|
如果服务器可能变更,则选中使用 DHCP 时启动带发现功能的续租复选框。
|
|
•
|
选中在租约购买期间使用 _ 秒的 DHCP 发现间隔复选框,并在 DHCP 服务器没有立即响应时调整间隔秒数。
|
如果在配置 WAN 接口时指定了 PPPoE、PPTP 或 L2TP IP 分配,“编辑接口”对话框显示“协议”选项卡。
互联网服务提供商 (ISP) 在“协议”选项卡的设置获取方式部分提供字段(例如 SonicWALL IP 地址、子网掩码和网关地址)。在您将设备连接到 ISP 后,这些字段将显示实际值。
此外,如果指定了 PPPoE,SonicOS 将“高级”选项卡中的接口 MTU 选项设为 1492,并在“协议”选项卡中提供附加设置。
|
1
|
|
2
|
在 PPPoE 客户端设置部分选中复选框以启用以下选项:
|
|
•
|
不活动断开(分钟):输入分钟数(默认为 10),在这段时间后,SonicOS 如果检测到未发送数据包,将终止连接。
|
|
•
|
为保持服务器活动,严格使用 LCP 回应数据包:选中该选项使 SonicOS 在检测到 PPoE 服务器未在一分钟内发送“ppp LCP 回显请求”数据包时终止连接。只有在 PPPoE 服务器支持“发送 LCP 回显”功能时,才选中该选项。
|
|
•
|
如果服务器在 _ 分钟内不发送流量,则重新连接 PPPOE 客户端:输入分钟数(默认为 5),在这段时间后,如果服务器不发送任何数据包(包括 LCP 回显请求),SonicOS 将终止 PPPoE 服务器的连接,然后重新连接。
|
Table 23列出 VPN 隧道接口的部署方式
|
1
|
转至网络 > 接口页面。
|
|
2
|
|
3
|
从 VPN 策略下拉菜单中,选择 VPN 策略。
|
|
4
|
|
5
|
可以选择在备注字段中添加备注。
|
|
6
|
|
7
|
|
8
|
单击高级选项卡。
|
|
9
|
要为此隧道接口创建的流量启用流量报告,选择启用流量报告。该复选框默认情况下被选中。
|
|
10
|
也可通过选择启用组播支持复选框启用接口上的组播接收。默认情况下未选中该复选框。
|
|
11
|
|
12
|
|
•
|
忽略 DF(不分片)位 - 选择此复选框以忽略数据包头中的 DF 位。某些应用程序可能会在数据包中显式设置“不分片”选项,告知所有安全设备不要将数据包分片。启用时,防火墙会忽略该选项,仍然将数据包分片。
|
|
13
|
链路聚合和端口冗余都是在 SonicOS UI 编辑接口对话框的高级选项卡中配置。
|
•
|
链路聚合 - 将多个以太网接口组合在一起构成单个逻辑链路,以支持大于单个物理接口所能支持的吞吐量。这样可以实现在两个以太网域之间发送几千兆位流量的能力。
|
|
•
|
端口冗余 - 为可连接至另一个交换机的任意物理接口配置单个冗余端口,以防止在主接口或主交换机出现故障时丢失连接。
|
|
•
|
|
•
|
|
•
|
|
•
|
不同供应商使用不同的术语来指代链路聚合,包括端口通道、以太网通道、主干和端口分组等。
|
•
|
|
•
|
|
1
|
|
2
|
|
3
|
将链路聚合与负载均衡组配合使用时,链路聚合的优先级较高。负载均衡仅在聚合链路中的所有端口都不工作时起作用。
|
1
|
|
2
|
单击高级选项卡。
|
|
3
|
|
4
|
聚合端口选项显示了防火墙上当前未分配的每个接口的复选框。选择其他最多三个接口以分配至该 LAG。
|
|
5
|
|
6
|
单击确定。
|
端口冗余提供了一种简单的方法来为物理以太网端口配置冗余端口。它是一种很有价值的功能(在高端部署中尤其如此),可以防止交换机故障成为单一故障点。
在典型的端口冗余配置中,主接口和次要接口分别连接到不同的交换机。这样可以在主交换机发生故障时提供故障切换路径。两个交换机必须位于同一个以太网域中。也可以配置端口冗余的两个接口连接到同一个交换机。
|
1
|
|
2
|
|
3
|
|
1
|
|
2
|
单击高级选项卡。
|
|
3
|
|
4
|
随即显示冗余端口下拉菜单,其中包含当前未分配的所有可用接口。选择其中一个接口。
|
|
5
|
|
6
|
单击确定。
|
在添加 VLAN 子接口时,您需要将其分配给某个区域,为其分配一个 VLAN 标签,并将其分配给某个物理接口。基于您的区域分配,以配置同一区域的物理接口的相同方法配置 VLAN 子接口。
|
1
|
|
2
|
|
•
|
|
•
|
WLAN 或自定义无线区域:仅静态 IP(无 IP 分配列表)。
|
|
•
|
|
•
|
|
8
|
单击确定。
|
