以太网接口
邮件网关在系统的后面板上最多提供四个以太网接口,具体取决于配置(您是否具有可选的光纤网络接口)。它们的标签为:
- 管理
- Data1
- Data2
- Data3
- Data4
此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
本附录包含以下部分:
邮件网关在系统的后面板上最多提供四个以太网接口,具体取决于配置(您是否具有可选的光纤网络接口)。它们的标签为:
在配置网络时,邮件网关必须能够唯一地选择接口来发送外发数据包。此要求促使针对以太网接口的 IP 地址和网络掩码做出一些决策。此规则是指一个网络上只能有一个接口(通过将网络掩码应用到接口的 IP 地址来确定)。
IP 地址可确定任意指定网络上的一个物理接口。一个物理以太网接口可以有多个用于接受数据包的 IP 地址。具有多个 IP 地址的以太网接口可以通过该接口发送数据包,同时将其中任何一个 IP 地址作为数据包中的源地址。在实施虚拟网关技术时使用此属性。
网络掩码的作用是将 IP 地址划分为网络地址和主机地址。网络地址可被视为是 IP 地址的网络部分(位数与网络掩码匹配)。主机地址是 IP 地址的剩余数位。由 4 个 8 位二进制数构成的地址中的有效位数有时以无类域间路由 (CIDR) 方式表示,短划线后面跟随位数 (1-32)。
网络掩码可以这种方式表示,只统计二进制中的位数,因此 255.255.255.0 将变成“/24”,而 255.255.240.0 将变成“/20 ”。
此部分显示了基于某些典型网络的接口配置示例。此示例使用两个名为 Int1 和 Int2 的接口。对于在邮件网关,这些接口名称可以是三个接口(管理、Data1、Data2)中的任意两个接口。
单独的接口必须出现在单独的网络上。
接口 |
IP 地址 |
网络掩码 |
网络地址 |
---|---|---|---|
Int1 |
192.168.1.10 |
255.255.255.0 |
192.168.1.0/24 |
Int2 |
192.168.0.10 |
255.255.255.0 |
192.168.0.0/24 |
发往 192.168.1.X 的数据在 Int1 传出(X 是 1 到 255 中除了您自己的地址外的任何数字,此例中为 10)。发往 192.168.0.X 的任何数据在 Int2 传出。发往不是采用这些格式的某个其他地址的任何数据包(最有可能是通过广域网或互联网传出)会发送到默认网关,默认网关必须在上述其中一个网络上。然后,默认网关会继续转发数据包。
两个不同接口的网络地址(IP 地址的网络部分)不能是相同的。
以太网接口 |
IP 地址 |
网络掩码 |
网络地址 |
---|---|---|---|
Int1 |
192.168.1.10 |
255.255.0.0 |
192.168.0.0/16 |
Int2 |
192.168.0.10 |
255.255.0.0 |
192.168.0.0/16 |
这种情况表示具有相同网络地址的两个不同的以太网接口存在冲突。如果来自内容安全设备的数据包发送到 192.168.1.11,则无法决定应将哪个以太网接口用于传送数据包。如果两个以太网接口连接到两个单独的物理网络,该数据包可能会传送到错误的网络,并且永远找不到其目的地。在邮件网关不允许网络配置存在冲突。
可以将两个以太网接口连接到同一个物理网络,但是必须构建 IP 地址和网络掩码,以便在邮件网关选择唯一的传送接口。
如果您选择某个接口,以便在 GUI 或 CLI 中通过该接口执行使您可以选择某个接口的命令或功能(例如升级 AsyncOS 或配置 DNS),则路由(默认网关)优先于所选的接口。
例如,假设您具有已配置三个网络接口的邮件网关,每个接口在不同的网段上(假定全部为 /24):
以太网 |
IP |
---|---|
管理 |
192.19.0.100 |
Data1 |
192.19.1.100 |
Data2 |
192.19.2.100 |
并且您的默认网关是 192.19.0.1。
现在,如果您执行 AsyncOS 升级(或者使您可以选择某个接口的其他命令或功能),并选择 Data1 的 IP (192.19.1.100),则可以预期所有 TCP 流量将通过 Data1 以太网接口传送。但是,流量不会从设置为默认网关的接口(在此例中为管理接口)传出,而是从 Data1 上标有 IP 源地址的接口传出。
内容安全设备必须始终能够识别可传送数据包的唯一接口。为了做出决定,邮件网关使用数据包的目标 IP 地址与以太网接口的网络和 IP 地址设置的组合。下表概括总结了之前的例子:
相同网络 |
不同网络 |
|
---|---|---|
相同物理接口 |
允许 |
允许 |
不同物理接口 |
不允许 |
允许 |
请在连接邮件网关时注意以下事项:
您选择连接的接口数量以及处理接口的方式应取决于基础网络的复杂程度。如果网络拓扑或数据量不作要求,则不必要连接到多个接口。另外,可以在起初熟悉网关时保持简单连接,然后随着数据量和网络拓扑的需求增长而提高连接性。