diplom-Baikonur / diplom-Baikonur / интсрукции к оборудованию / DFL-1100 Руководство администратора

Меню System (Система)

Interfaces (Интерфейсы)

Нажмите System в панели меню и затем нажмите слева interfaces.

Изменение IP-адреса интерфейса LAN, DMZ или ETH4

Выполните следующие шаги для изменения IP-адреса интерфейса LAN или DMZ.

Шаг 1. Выберите нужный интерфейс в списке Available interfaces.

Шаг 2. Введите IP-адрес интерфейса LAN, DMZ или ETH4 в поле IP Address. Это адрес,

который будет использоваться для ping-теста межсетевого экрана, удаленного управления и использования его в качестве шлюза для внутренних узлов сети или узлов DMZ.

Шаг 3. Выберите корректную маску подсети данного интерфейса из выпадающего меню Subnet mask.

Нажмите расположенную ниже кнопку Apply, чтобы применить новые параметры, или нажмите Cancel для отмены изменений.

Параметры интерфейса WAN – использование статического IPадреса

Если Вы используете подключение со статическим IP-адресом (Static IP), необходимо ввести параметры IP, предоставленные провайдером услуг Интернет (Internet Service Provider, ISP). Все поля, кроме Secondary DNS Server,

обязательны для заполнения. Скорее всего, Вы не используете показанные на рисунке параметры, они приведены лишь в качестве примера.

•IP Address –IP-адрес интерфейса WAN. Это адрес, который можно использовать для ping-теста межсетевого экрана, удаленного управления и может быть использован в качестве адреса источника для динамически транслируемых соединений.

•Subnet Mask – Маска подсети, определяет размер внешней сети.

•Gateway IP – IP-адрес основного шлюза, используемого для доступа в Интернет.

•Primary and Secondary DNS Server – IP-адреса серверов DNS, требуется указать только адрес основного сервера DNS (Primary DNS).

Параметры интерфейса WAN – использование DHCP

Если Вы используете подключение DHCP, не требуется настраивать какие-либо параметры.

Параметры интерфейса WAN – использование PPPoE

Следуйте приведенным ниже инструкциям для настройки внешнего интерфейса DFL-1100 на использование PPPoE (Point-to- Point Protocol over Ethernet). Это необходимо, если ISP использует протокол PPPoE для назначения IPадреса внешнему интерфейсу. Потребуется ввести имя пользователя и пароль, предоставленные Вам ISP.

•Username – Регистрационное имя или имя пользователя, предоставленное Вам ISP.

•Password – Пароль, предоставленный Вам ISP.

•Service Name – При использовании PPPoE некоторые ISP требуют ввода имени сервиса.

•Primary and Secondary DNS Server –IP-адреса серверов DNS; это дополнительная опция, и часто адреса назначаются по протоколу PPPoE.

Параметры интерфейса WAN – использование PPTP

Подключения по протоколу PPTP over Ethernet используются в некоторых сетях DSL и кабельных сервисов. Потребуется указать информацию об учетной записи и, возможно, параметры IP фактического физического интерфейса, по которому устанавливается туннель PPTP. Ваш ISP должен предоставить эту информацию.

•Username –

Регистрационное имя или имя пользователя, предоставленное Вам ISP.

•Password – Пароль,

предоставленный Вам ISP.

•PPTP Server IP – IP-адрес сервера PPTP, к котoрому будет подключаться DFL1100.

Прежде чем протокол PPTP может быть использован для подключения к ISP, должны быть предоставлены параметры физического интерфейса (WAN). Можно использовать для этих целей или протокол DHCP, или вручную ввести параметры (Static IP), все зависит от типа ISP и информации, которую он предоставил.

Если используется подключение со статическим IP-адресом, необходимо заполнить следующие поля.

•IP Address –IP-адрес интерфейса WAN. Этот адрес используется для подключения к серверу PPTP.

•Subnet Mask – Маска подсети, определяет размер внешней сети.

•Gateway IP – IP-адрес основного шлюза, используемого для доступа в Интернет.

Параметры интерфейса WAN – использование BigPond

ISP Telstra BigPond использует протокол BigPond для аутентификации; IP-адрес назначается по протоколу DHCP.

•Username –

Регистрационное имя или имя пользователя, предоставленное Вам ISP.

•Password – Пароль, предоставленный Вам ISP.

Функция Traffic Shaping

Когда функция формирования трафика (Traffic Shaping) включена, и указаны корректные пределы скорости нисходящего и восходящего потока, становится возможным настраивать, какие правила получат наибольший приоритет, когда большие объемы данных проходят через DFL-1100. Например, правило для Webсервера должно получить больший приоритет, чем правила для компьютеров сотрудников.

Можно использовать функцию формирования трафика для выделения гарантированной пропускной способности на межсетевом экране для определенного правила. Выделение гарантированной пропускной способности помогает зарезервировать пропускную способность для высокоприоритетных сервисов. Функцию формирования трафика также можно использовать для ограничения пропускной способности для определенного правила на межсетевом экране. Ограничение пропускной способности помогает оградить менее важные сервисы от загрузки всей полосы пропускания, которая больше нужна для важных сервисов.

Примечание: Если значение предела слишком велико, то есть больше пропускной способности канала доступа в Интернет, функция формирования трафика не будет работать.

Настройка параметра MTU

Для повышения производительности подключения к Интернет можно настроить размер максимального передаваемого пакета данных (Maximum transmission unit, MTU), который DFL-1100 передает через внешний интерфейс. В идеале, это значение MTU должно быть равно наименьшему значению MTU всех сетей между DFL-1100 и Интернет. Если пакеты, которые отправляет DFL-1100, будут большего размера, они будут отброшены или фрагментированы, что может снизить скорость передачи данных.

Метод проб и ошибок – это единственный надежный способ отыскания оптимального значения MTU, но есть несколько рекомендаций. Например, MTU большинства подключений PPP равен 576, поэтому если Вы подключаетесь к Интернет через PPPoE, можно выставить значение MTU 576. DSL-модемы могут также иметь небольшое значение MTU. Большинство сетей Ethernet имеют MTU, равное 1500.

Примечание: Если Вы подключаетесь к ISP, используя протокол DHCP для получения IP-адреса внешнего интерфейса, нельзя установить значение MTU меньше 576 байт в связи с ограничениями протокола DHCP.

Нажмите расположенную ниже кнопку Apply, чтобы применить новые параметры, или нажмите Cancel для отмены изменений.

Меню VLAN

Нажмите System в панели меню и затем нажмите расположенную слева кнопку VLAN. Появится список всех настроенных VLAN, он будет выглядеть примерно так:

Добавление новой VLAN

Выполните следующие шаги для добавления новой VLAN.

Шаг 1. Нажмите System и затем VLAN.

Шаг 2. Нажмите на ссылку Add new под таблицей.

Шаг 3. Выберите из выпадающего меню интерфейс, к которому должна быть привязана VLAN.

Шаг 4. Введите идентификатор 801.2Q VLAN ID.

Шаг 5. Введите IP-адрес интерфейса VLAN. Это адрес, который будет использоваться для ping-теста межсетевого экрана, удаленного управления и в качестве шлюза для узлов этой VLAN.

Шаг 6. Выберите корректную маску подсети данного интерфейса из выпадающего меню Subnet mask.

Нажмите расположенную ниже кнопку Apply, чтобы применить новые параметры, или нажмите Cancel для отмены изменений.

Удаление VLAN

Выполните следующие шаги для удаления VLAN. Шаг 1. Нажмите System и затем VLAN.

Шаг 2. Нажмите на ссылку Edit рядом с удаляемой VLAN.

Шаг 3. Поставьте флажок Delete this VLAN.

Нажмите расположенную ниже кнопку Apply, чтобы применить новые параметры, или нажмите Cancel для отмены изменений.

Меню Routing (Маршрутизация)

Нажмите System в панели меню и затем нажмите расположенную слева кнопку Routing. Появится список всех настроенных маршрутов, он будет выглядеть примерно так:

Меню конфигурации Routes описывает таблицу маршрутизации межсетевого экрана. DFL-1100 использует немного более другой способ описания маршрутов по сравнению с обычными системами. Однако мы верим, что этот способ легок для понимания и снижает вероятность совершения пользователями ошибок и образования брешей в системе безопасности.

Interface – Указывает, через какой интерфейс будут передаваться пакеты, направленные по данному маршруту.

Network – Указывает адрес сети для данного маршрута.

Gateway – IP-адрес следующего маршрутизатора, используемого для достижения сети назначения. Если сеть напрямую соединена с интерфейсом межсетевого экрана, адрес шлюза не указывается.

Local IP Address – IP-адрес, указанный здесь, будет автоматически оглашаться на соответствующем интерфейсе. Этот адрес также будет использоваться в качестве адреса отправителя в запросах ARP. Если адрес не указан, межсетевой экран будет использовать собственный IP-адрес интерфейса.

Proxy ARP – Указывает, что межсетевой экран будет оглашать данный маршрут через Proxy ARP.

Одно из преимуществ данной формы записи в том, что можно указать шлюз для отдельного маршрута, без необходимости иметь маршрут, который покрывает IPадрес шлюза, или несмотря на то, что маршрут, который покрывает IP-адрес шлюза, обычно маршрутизируется через другой интерфейс.

Отличие данной формы записи от обычно используемой в том, что обычно не указывается имя интерфейса в отдельной колонке. Вместо этого, указывается IPадрес каждого интерфейса в качестве шлюза.

Примечание: Межсетевой экран не использует Proxy ARP на интерфейсах VPN.

Добавление нового статического маршрута

Выполните следующее для добавления нового статического маршрута.

Шаг 1. Нажмите System и затем слева Routing.

Шаг 2. Нажмите Add new под таблицей маршрутов.

Шаг 3. Выберите из выпадающего меню интерфейс, через который будут передаваться пакеты, направленные по данному маршруту.

Шаг 4. Укажите адрес сети в поле Network и маску подсети в поле Subnet mask.

Шаг 5. Если данная сеть расположена за удаленным шлюзом, поставьте флажок

Network is behind remote gateway и укажите IP-адрес шлюза.

Нажмите расположенную ниже кнопку Apply, чтобы применить новые параметры, или нажмите Cancel для отмены изменений.

Удаление статического маршрута

Выполните следующее для удаления статического маршрута.

Шаг 1. Нажмите System и затем слева Routing.

Шаг 2. Нажмите Edit рядом с маршрутом, который хотите удалить.

Шаг 3. Поставьте флажок Delete this route.

Нажмите расположенную ниже кнопку Apply, чтобы применить новые параметры, или нажмите Cancel для отмены изменений.

Меню HA (Функция High Availability)

Функция D-Link High Availability работает следующим образом: добавляется резервный межсетевой экран к существующему межсетевому экрану. Резервное устройство имеет такие же параметры настройки, как и основное устройство. Резервный межсетевой экран остается неактивным и следит за работой основного межсетевого экрана до тех пор, пока он не сочтет, что основой экран более не функционирует. В этот момент он включается в работу и принимает на себя ведущую роль в кластере. Когда другой межсетевой экран возвращается к работе, он возьмет на себя пассивную роль, и будет следить за работой активного в данный момент межсетевого экрана.

Что может функция High Availability сделать для Вас

Функция D-Link High Availability обеспечивает межсетевой экран возможностью резервирования с синхронизацией состояния. Это означает, что состояние активного межсетевого экрана, то есть таблица соединений и другая важная информация, непрерывно копируются на резервный неактивный межсетевой экран. Когда ведущая роль в кластере после сбоя передается неактивному устройству, он знает, какие соединения активны, поэтому взаимодействие может быть продолжено, не прерываясь.

Время восстановления после сбоя равно примерно одной секунде, что укладывается в нормальный таймаут повторной передачи TCP, который обычно равен больше одной минуты. Клиенты, подключающиеся через межсетевой экран, могут ощутить выполнение процедуры восстановления после сбоя лишь как внезапную потерю, нескольких пакетов, и, что TCP обычно делает в таких ситуациях, повторную передачу потерянных пакетов в течение одной - двух секунд, после чего взаимодействие будет продолжено.

Что НЕ может функция High Availability сделать для Вас

Добавление резервного устройства устраняет одно из возможных мест сбоя. Однако, это не панацея от всех возможных сбоев на маршруте передачи данных.

Обычно межсетевой экран далеко не единственно возможная точка сбоя. Также необходимо обеспечить резервирование маршрутизаторов, коммутаторов и подключения к Интернет.

Кластеры D-Link High Availability не создают кластеры с балансировкой нагрузки. В то время как один межсетевой экран работает, другой неактивен.

Нельзя использовать более двух межсетевых экранов в кластере. Поддерживается только два межсетевых экрана, «ведущий» и «ведомый».

Несмотря на существование других межсетевых экранов, поддерживающих резервирование с восстановлением рабочего состояния, функция D-Link High Availability будет работать только между двумя D-Link DFL-1100. Так как механизмы внутренней работы различных межсетевых экранов и даже различных версий одного и того же межсетевого экрана могут быть различны, то не существует способа