联想网御防火墙PowerV Web界面操作手册4网络配置.docx
- 文档编号:4180493
- 上传时间:2022-11-28
- 格式:DOCX
- 页数:31
- 大小:414.55KB
联想网御防火墙PowerV Web界面操作手册4网络配置.docx
《联想网御防火墙PowerV Web界面操作手册4网络配置.docx》由会员分享,可在线阅读,更多相关《联想网御防火墙PowerV Web界面操作手册4网络配置.docx(31页珍藏版)》请在冰豆网上搜索。
联想网御防火墙PowerVWeb界面操作手册4网络配置
第4章网络配置
本章主要介绍防火墙的网络配置,由以下部分组成:
网络设备,域名服务器,静态路由,策略路由,UPnP服务器,DHCP服务器和HA(高可靠性)。
4.1网络设备
联想网御防火墙PowerV可配置的网络设备有:
物理设备,VLAN设备,桥接设备,VPN设备,别名设备,冗余设备和拨号设备。
下面对各类设备的特点做一简要说明。
物理设备:
防火墙中实际存在的网口设备,不能删除,也不能添加。
增减网络接口硬件模块会自动在网络配置中显示出来,不需要手动操作。
其中第一个物理设备是默认的管理设备,它的默认IP地址是10.1.5.254,这个地址允许管理,PING和TRACEROUTE。
物理设备是其他设备的基础,如果增减网络接口硬件模块,与这个设备相关的其它设备都会受到影响,这一点需要特别注意。
VLAN设备:
是一种在物理设备基础上创建的设备。
与交换机的TRUNK口相联的防火墙物理设备上可以创建VLAN设备,以实现不同VLAN之间的互联。
它可以工作在路由模式下,也可以工作在透明模式下。
同一个物理设备上可以创建VLANID为0至4095的VLAN设备。
同一物理设备上创建的不同VLAN设备,VLANID必须不同,用于接收和发送带有相应VLANID的数据包。
不同物理设备上创建的VLAN设备的VLANID可以相同。
桥接设备:
是将多个物理设备和VLAN设备置于透明模式,并且进行分组的设备。
启用此设备的防火墙相当于一个二层交换机,但它同时可以过滤三层的内容。
防火墙可以创建多个桥接设备,桥接设备绑定的物理设备或VLAN设备必须是启用并且工作在透明模式的设备。
这些桥接设备可以和工作在路由模式下的物理设备和VLAN设备共存。
VPN设备:
是启用VPN功能必须要启用的设备。
整个防火墙系统中只能有一个VPN设备,但是VPN设备的绑定设备可以选择。
系统通过绑定的设备来发送和接收加密后的数据包。
VPN设备也可以启用带宽管理功能,但这要求其绑定的设备没有启用带宽管理。
VPN设备的IP地址、掩码与它的绑定设备的IP地址、掩码一致。
别名设备:
用于给物理设备配置多个IP地址。
每个物理设备可以关联的别名设备是16个,这类似于资源定义中地址池的功能,但是在地址池中配置的IP不能选择“用于管理”,“允许PING”,“允许TRACEROUTE”等属性。
同时要注意的是设备的IP地址不能重复。
冗余设备:
是将两个物理设备用做一个虚拟的设备,这两个物理设备同一时间只有一个处于启用状态,如果处于启用状态的设备失效,则另一个设备启用。
冗余设备可以工作在全冗余和半冗余两种模式下。
在全冗余模式下,加入冗余设备的两个物理设备的IP地址,掩码,MAC地址(如果冗余设备设置了MAC地址)都将使用冗余设备的IP地址,掩码和MAC地址。
在半冗余模式下,加入冗余设备的两个物理设备使用它们各自的参数。
冗余设备默认工作在半冗余模式下。
拨号设备:
用于启用ADSL拨号功能所必须要启用的设备。
系统中只能有一个拨号设备,但是拨号设备绑定的物理设备可以选择。
系统通过绑定的设备来发送和接收PPoE的数据包。
拨号设备也可以启用带宽管理功能,但这要求其绑定的设备没有启用带宽管理。
拨号设备的IP地址、掩码每次ADSL拨号成功后,自动获得。
配置防火墙的过程中,必须首先配置网络设备,再配置防火墙安全策略。
如果网络设备的配置发生了改变,建议对相关的安全策略也进行调整。
4.1.1物理设备
物理设备初始情况下工作在路由模式,也就是说该设备上绑定有IP地址,可以与其它设备进行数据包的路由转发。
其中第一个物理设备(fe1或某些型号是ge1)是默认的可管理设备。
它的默认IP地址是10.1.5.254,子网掩码为255.255.255.0,这个地址允许管理,PING和TRACEROUTE(默认管理主机的IP地址是10.1.5.200,请参考系统配置>>管理配置>>管理主机)。
物理设备也可以切换到透明模式。
当桥接设备当中只有一个桥设备brg0时,切换到透明模式的物理设备会自动加入到桥接设备brg0中;如果把物理设备从透明模式切换到路由模式,系统自动将这个设备从桥接设备的设备列表中删除。
物理设备是其他设备的基础。
在WEB配置管理界面和CLI配置管理界面上可配置的物理设备是在系统启动时能够检测到的设备,如果系统启动时,检测不到相应的设备,那么这个设备在界面上就不会显示。
表41物理设备上可配置的属性
属性名称
描述
名称
设备名称,不能修改
MAC地址
设备的MAC地址,可以修改。
如果忘记了设备最初的MAC地址,可以将MAC地址置为空值并重启防火墙,防火墙会自动探测出设备的MAC地址。
链路工作模式
设备的链路工作模式,有以下三种
1:
自适应
2:
全双工
3:
半双工
链路速度
设备的链路速度,有以下三种
1:
10
2:
100
3:
1000
MTU
设备的MTU(最大传输单位)。
百兆网络设备可设置的范围是68到1504,千兆网络设备可设置的范围是64到16128。
工作模式
设备的工作模式,目前支持的有以下两种
1:
路由模式,这是设备默认的工作模式,在路由模式下,必须配置设备的IP地址。
2:
透明模式,设置为透明模式的设备不能配置MTU,IP地址/掩码,不能用于管理,PING和TRACEROUTE等选项也不能选择。
IP地址获取
IP地址的获取方式,目前支持的有以下两种
1:
静态指定
2:
通过DHCP获取,即防火墙相应物理设备作为DHCP客户端获得IP地址。
IP地址
IP地址配置只在IP地址获取方式为静态指定时可配置
掩码
掩码只在IP地址获取方式为静态指定时可配置
开启动态域名
如果选择开启动态域名,则物理设备的IP地址和动态域名之间的绑定关系会被注册到特定的服务器上,注册所需的用户名、密码可以在系统设置>>系统参数中设置。
此功能用于IP地址不固定的VPN组网。
动态域名
与设备IP地址对应的动态域名
开启TRUNK
是否将设备设置为TRUNK口。
用于连接交换机或者路由器的TRUNK口。
开启带宽管理
是否开启此设备上的带宽管理
设备带宽
此设备支持的带宽。
如果设备的速度是10M,设备带宽的范围是1-10000之间;如果设备的速度是100M,设备带宽的范围是1-100000之间;如果设备的速度是1000M,设备带宽的范围是1-1000000之间。
开启DHCP中继
是否允许此设备转发DHCP中继信息
DHCP服务器地址
此设备将DHCP信息中继到哪个服务器上,这是一个IP地址的列表,如果有多个IP地址,请用英文逗号分隔,中间不能有空格,IP地址不能重复。
用于管理
此设备的IP地址是否能用于管理
允许PING
此设备的IP地址是否允许被PING到
允许TRACEROUTE
此设备的IP地址是否允许被TRACEROUTE到
是否启用
是否启用此设备
图41物理设备列表
在上图中,有一个“允许开启TRUNK的物理设备在不同VLAN间转发包”的选项,如果选中,则允许配置TRUNK,工作在透明模式的物理设备,根据规则在不同VLAN间转发数据包,如果没有选中,工作在透明模式的物理设备,则不会在不同VLAN之间转发数据包。
默认是不选中。
图42物理设备可配置的属性
4.1.2VLAN设备
VLAN设备是一种在物理设备基础上创建的设备。
它可以工作在路由模式下,也可以工作在透明模式下,工作在透明模式时,此设备可加入桥接设备。
VLAN设备可以与其他同VLAN的设备通讯,并通过防火墙转发不同VLAN之间的通讯。
同一个物理设备上可以创建多个不同VLANID的VLAN设备。
不同物理设备上的VLAN设备的VLANID可以相同。
VLAN设备和物理设备上的TRUNK属性是防火墙支持VLAN应用环境的两种方式。
用户可以根据实际情况来选择使用何种方式,但两种方式不能同时使用。
表42VLAN设备上可配置的属性
属性名称
描述
选择绑定设备
VLAN的绑定设备必须是启用的,工作在路由模式下物理设备,并且此物理设备没有开启TRUNK。
填写VLANID
VLANID是一个0到4094的无符号整数
工作模式
设备的工作模式,目前支持的有以下两种
1:
路由模式,这是设备默认的工作模式
2:
透明模式,设置为透明模式的设备IP地址/掩码,不能用于管理,PING和TRACEROUTE等选项也不能选择。
IP地址
设备的IP地址,路由模式下必须填写
掩码
设备的掩码,路由模式下必须填写
MAC地址
设备的MAC地址,如果不填,则表示自动获取
开启带宽管理
是否开启VLAN设备的带宽管理,VLAN设备的带宽管理和它的绑定设备上的带宽管理相互冲突,不能同时存在
设备带宽
此设备支持的带宽。
如果设备的速度是10M,设备带宽的范围是1-10000之间;如果设备的速度是100M,设备带宽的范围是1-100000之间;如果设备的速度是1000M,设备带宽的范围是1-1000000之间。
用于管理
此设备的IP是否用于管理
允许PING
此设备的IP是否允许被PING到
允许TRACEROUTE
此设备的IP是否允许被TRACEROUTE到
是否启用
是否启用此设备
图43VLAN设备列表
图44VLAN设备可配置的属性
4.1.3桥接设备
桥接设备是将多个工作在透明模式的物理设备和VLAN设备绑定在一起的设备。
启用此设备的防火墙相当于一个二层交换机,但它同时可以过滤三层的内容。
防火墙可以创建多个桥接设备(最多可以创建八个桥接设备,设备名分别是brg0,brg1,brg2,brg3,brg4,brg5,brg6,brg7),而且这些桥接设备可以和工作在路由模式下的物理设备和VLAN设备共存。
在这种情况下,路由信息和桥接设备的信息相互间没有影响。
表43桥接设备可配置的属性
属性名称
描述
设备名称
桥接设备的设备名称,不能修改
IP地址
设备的IP地址,桥接设备的IP地址可以为空。
如果它的IP地址是空则不能设置管理,PING和TRACEROUTE。
掩码
设备的掩码,桥接设备的掩码可以设置为空。
开启STP
桥接设备是否开启STP(生成树协议)
用于管理
此设备的IP是否用于管理
允许PING
此设备的IP是否允许被PING到
允许TRACEROUTE
此设备的IP是否允许被TRACEROUTE到
可选绑定设备列表
桥接设备可选的绑定设备列表。
列表包括工作在透明模式的物理设备和VLAN设备。
绑定设备列表
被选中的绑定设备列表
是否启用
是否启用此设备
图45桥接设备列表
图46桥接设备可配置的属性
4.1.4VPN设备
VPN设备是启用VPN功能所必须要启用的设备。
系统中只能有一个VPN设备,但是VPN设备的绑定设备可以选择。
VPN设备也可以启用带宽管理功能,但这要求它的绑定设备没有启用带宽管理。
VPN设备的IP地址、掩码与它的绑定设备的IP地址、掩码一致。
表44VPN设备可配置的属性
属性名称
描述
设备名称
VPN设备名称,不能修改
选择绑定设备
VPN的绑定设备,包括有IP地址的,启用的物理设备、桥接设备或拨号设备
开启带宽管理
开启VPN设备的带宽管理
设备带宽
此设备支持的带宽。
如果设备的速度是10M,设备带宽的范围是1-10000之间;如果设备的速度是100M,设备带宽的范围是1-100000之间;如果设备的速度是1000M,设备带宽的范围是1-1000000之间。
是否启用
是否启用此设备
图47VPN设备列表
图48VPN设备可配置的属性
4.1.5别名设备
别名设备的作用是给物理设备配置多个IP地址。
每个物理设备可以关联的别名设备是16个,这类似于资源定义中地址池的功能,但是在地址池中配置的IP不能选择“用于管理”,“允许PING”,“允许TRACEROUTE”等属性。
同时要注意的是别名设备的IP地址不能重复。
表45别名设备可配置的属性
属性名称
描述
绑定设备名称
绑定设备的名称,可选的绑定设备包括已启用的工作在路由模式下的物理设备和已启用的桥接设备
别名ID
别名设备的别名ID,允许值是0-15
IP地址
别名设备必须配置IP地址
掩码
别名设备必须配置掩码
用于管理
设备的IP地址是否能用于管理
允许PING
是否允许PING设备的IP
允许TRACEROUTE
是否允许TRACEROUTE设备的IP
是否启用
是否启用设备
图49别名设备列表
图410别名设备可配置的属性
4.1.6冗余设备
冗余设备的目的是将两个物理设备做为一个虚拟的设备,这两个物理设备同一时间只有一个处于启用状态,如果处于启用状态的设备失效,则另一个设备启用。
冗余设备可以工作在全冗余模式下,在全冗余模式下,加入冗余设备的两个物理设备的IP地址,掩码,MAC地址(如果冗余设备设置了MAC地址)都将使用冗余设备的IP地址,掩码和MAC地址。
如果不是工作在全冗余模式,这两个设备使用它自己的参数。
冗余设备默认不工作在全冗余模式下。
表46冗余设备可配置的属性
属性名称
描述
设备名称
冗余设备名称,不能修改
全冗余
全冗余,绑定设备列表中的两个设备使用冗余设备的参数启动,并由冗余设备控制其生效,停用。
如果不选中此选择框,则组成冗余设备的物理设备都将使用各自的参数,也叫半冗余工作模式
MAC地址
此设备的MAC地址,选择全冗余时有效
IP地址
此设备的IP地址,选择全冗余时有效
掩码
此设备的掩码,选择全冗余时有效
可选绑定设备列表
可以添加到冗余设备中的设备列表,包括有效的,没有被VPN设备绑定的物理设备
绑定设备列表
被选择加入冗余设备的设备名称列表
是否启用
是否启用此设备
图411冗余设备列表
图412冗余设备可配置的属性
4.1.7拨号设备
拨号设备用于建立防火墙的ADSL连接,目前防火墙只能支持一个ADSL连接,它的设备名是dial0。
表47拨号设备可配置的属性
属性名称
描述
设备名称
设备名称,是dial0,不能修改
绑定设备
通过哪个物理设备拨号,拨号前必须先启用此物理设备
用户名
拨号用户名,1至15个ASCII字符
密码
拨号密码,1至15个ASCII字符
系统启动时拨号
在防火墙启动时拨号,但绑定设备,用户名,密码等参数必须正确
开启定时拨号
选中,则允许定时拨号
时间调度
定时拨号的时间,需要事先在“资源定义>>时间”处定义,如果没有选择时间,默认是一直保持连接
开启带宽管理
开始此设备的带宽管理,相应的绑定设备上的带宽管理必须去掉
开启动态域名
如果选择开启动态域名,则拨号设备获得的IP地址和动态域名之间的绑定关系会被注册到特定的服务器上,注册所需的用户名、密码可以在系统设置>>系统参数中设置。
此功能用于IP地址不固定的VPN组网。
动态域名
与设备IP地址对应的动态域名
用于管理
设备的IP是否用于管理
允许PING
设备的IP是否允许PING到
允许TRACEROUTE
设备的IP是否允许TRACEROUTE到
是否启用
是否启用此设备,如果启用此社别,必须选择绑定设备,并配置用户名,密码。
图413拨号设备列表
图414拨号设备可配置的属性
4.1.8不同设备之间的配置关系
下图说明“物理设备”,“别名设备”,“VLAN设备”,“桥接设备”,“VPN设备”,“冗余设备”和“拨号设备”之间的配置关系。
箭头指向表示将一种设备添加到另一种设备的配置当中。
物理设备
VLAN设备
桥接设备
VPN设备
别名设备
冗余设备
拨号设备
图415不同设备之间的配置关系
4.2域名服务器
如果管理员设置了邮件代理等服务,则需要配置防火墙的域名服务器,用于防火墙自身向外发数据包时的域名解析。
图416域名服务器配置
此界面完成配置防火墙的域名服务器的功能,可以配置域名服务器1和域名服务器2,其中域名服务器1具有较高的优先级。
点“确定”按钮完成配置。
4.3静态路由
联想网御防火墙提供静态路由和策略路由功能,本节介绍静态路由的使用,下一节介绍策略路由。
防火墙静态路由支持按目的地址的路由,即按数据包中的目的IP地址来决定下一跳地址。
修改网络设备的IP地址可能会影响到相应的路由规则。
建议首先配置网络设备的地址,再配置路由规则。
管理员可以添加,编辑,删除,启用或者禁用静态路由规则。
静态路由规则的参数包括目的地址、掩码、下一跳地址和网络接口。
下一跳地址应该和相应的网络接口在同一网段内。
图417静态路由的显示
此界面可以完成以下功能:
1.添加静态路由
2.编辑静态路由
3.删除静态路由
4.启用/禁用静态路由规则
添加静态路由
1.点“添加”按钮,进入“静态路由维护”
2.添加静态路由参数
3.点“确定”按钮完成添加
编辑静态路由
1.点“操作”一栏中的“编辑”图标,打开“静态路由维护”界面
2.执行修改操作
3.点击“确定”按钮完成修改
图418静态路由的维护
表48添加和编辑时参数说明
域名
说明
和其他界面的关系
目的地址和掩码
设置目的IP地址,可以设置IP地址/子网掩码
下一跳地址
设置网关的IP地址
网络接口
接口和下一跳地址须在同一网段内
从网络配置>>网络设备中选取接口
删除静态路由
1.点“操作”一栏中的“删除”图标,弹出删除对话框
2.点击“确定”按钮完成删除
启用/禁用静态路由规则
点“是否启用”一栏中的图标,如果原来是
,点击后变成
,表示由启用状态变成禁用,,如果原来是
,点击后变成
,表示由禁用状态变成启用。
4.4策略路由
联想网御防火墙提供策略路由功能,进行路由选择时不仅根据数据包的目的地址,而且可以根据数据包的源地址进行路由选择。
策略路由的优先级高于静态路由,即数据包到达时,首先根据源地址匹配策略路由规则,如果找到匹配的规则,则根据规则进行策略路由,如果找不到,则进行静态路由。
管理员可以添加、编辑或删除策略路由规则。
策略路由规则的参数包括源IP地址、源掩码、目的IP地址、目的掩码、下一跳地址和网络接口。
下一跳地址应和网络接口在同一网段内。
图419策略路由的显示
图420策略路由的维护
此界面可以完成以下功能:
1.添加策略路由
2.编辑策略路由
3.删除策略路由
4.启用/禁用策略路由规则
添加策略路由
1.点“添加”按钮,进入“策略路由维护”
2.添加策略路由参数,请务必保证下一跳地址和选择的网络接口在同一网段内。
3.点“确定”按钮完成添加
编辑策略路由
1.点“操作”一栏中的“编辑”图标,打开“策略路由维护”界面
2.执行修改操作
3.点击“确定”按钮完成修改
删除策略路由
1.点“操作”一栏中的“删除”图标,弹出删除对话框
2.点击“确定”按钮完成删除
启用/禁用策略路由规则
点“是否启用”一栏中的图标,
如果原来是
,点击后变成
,表示由启用状态变成禁用,,如果原来是
,点击后变成
,表示由禁用状态变成启用。
表49添加和编辑时参数说明:
域名
说明
和其他界面的关系
源地址和掩码
设置源IP地址,可以使用IP地址/子网掩码
目的地址和掩码
设置目的IP地址,可以使用IP地址/子网掩码
下一跳地址
设置网关的IP地址
网络接口
接口和下一跳地址须在同一网段内
从网络配置>>网络设备中选取接口
4.5UPnP服务器
本节介绍UPnP服务的配置和使用。
UPNP协议即UniversalPlugandPlay,是微软提出的,目的是在网关上建立对动态应用的一种通用的解决方案,在该版本中,我们提供UPnP服务,提供与地址转换有关的动态端口支持工作。
UPnP服务的配置包括三部分内容:
UPnP接口设置,UPnP规则维护和UPnP启动/停止。
UPnP接口设置:
设置UPnP服务使用的接口。
UPnP规则维护:
添加、删除、修改可以使用UPnP的IP地址或地址段。
UPnP启动/停止:
启动和停止UPnP服务。
4.5.1接口设置
本节设置UPnP服务使用的接口。
UPnP服务使用两个接口,外部接口和内部接口。
外部接口和内部接口不能相同。
图421UPnP接口设置
此界面可以完成设置UPnP接口的功能。
界面开始显示的是当前的接口配置,如果要重新设置,选择新的接口后,点击“确认”按钮完成修改。
外部接口和内部接口不能选择同一个接口。
表410设置时参数说明
域名
说明
和其他界面的关系
外部接口
UPnP服务使用的外部接口
从网络配置>>网络设备中选取接口
内部接口
UPnP服务使用的内部接口
从网络配置>>网络设备中选取接口
4.5.2规则维护
本节用来设置可以使用UPnP服务的IP地址或地址段。
UPnP服务可以自动打开通道,默认对所有IP都是不允许使用的,只有在这里设置的IP地址,才可以使用UPnP服务。
图422UPnP规则显示
图表1
图423UPnP规则维护
此界面可以完成以下功能:
1.添加可以使用UPnP的地址
2.编辑可以使用UPnP的地址
3.删除可以使用UPnP的地址
添加可以使用UPnP的地址
1.点“添加”按钮,进入“UPnP维护”
2.添加地址和注释
3.点“确定”按钮完成添加
编辑可以使用UPnP的地址
1.点“操作”一栏中的“编辑”图标,打开“UPnP维护”界面
2.执行修改操作
3.点击“确定”按钮完成修改
删除可以使用UPnP的地址
1.点“操作”一栏中的“删除”图标,弹出删除对话框
2.点击“确定”按钮完成删除
表411添加和编辑时参数说明
域名
说明
和其他界面的关系
名称
地址的名称。
必须是1-20位字母、数字、减号、下划线的组合。
地址/掩码
设置IP地址,可以使用单个IP地址、IP地址/子网掩码
注释
设置地址规则的注释
4.5.3启动/停止
本节用来启动和停止UPnP服务。
在UPnP服务处于停止状态时,页面显示“启动UPnP服务”,点击此按钮,可以启动UPnP服务;在UPnP服务处于运行状态时,页面显示“停止UPnP服务”,点击此按钮,可以停止UPnP服务;
图424启动/停止UPnP服务
只有在“网络配置>>UPnP服务器>>接口设置”进行了接口设置,才可以启动UPnP服务。
4.6DHCP服务器
防火墙可以通过DHCP协议对局域网其他主机提供动态获取IP地址的服务,称为DHCP服务器,配置使用方法如下。
配置DHCP服务器。
使用DHCP协议动态分配的IP地址可以分为两种情况:
由服务器自行决定为某台提出申请的主机分配什么地址;由用户指定为某台主机分配固定的IP地址。
对于前者,用户必须定义DHCP域,即一段IP地址,当有主机提出IP地址申请时,服务器自动从DHCP域中选择一个分配给该主机;对于后者,用户必须指定为某主机分配什么IP地址。
4.6.1配置DHCP域
进入“网络配
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 联想网御防火墙PowerV Web界面操作手册4网络配置 联想 防火墙 PowerV Web 界面 操作手册 网络 配置