以太网接口
设备在系统的后面板上最多提供四个以太网接口,具体取决于配置(您是否具有可选的光纤网络接口)。它们的标签为:
- 管理
- Data1
- Data2
- Data3
- Data4
分配网络和 IP 地址
本附录包含以下部分:
选择 IP 地址和网络掩码
在配置网络时,设备必须能够唯一地选择接口来发送外发数据包。此要求促使针对以太网接口的 IP 地址和网络掩码做出一些决策。此规则是指一个网络上只能有一个接口(通过将网络掩码应用到接口的 IP 地址来确定)。
IP 地址可确定任意指定网络上的一个物理接口。一个物理以太网接口可以有多个用于接受数据包的 IP 地址。具有多个 IP 地址的以太网接口可以通过该接口发送数据包,同时将其中任何一个 IP 地址作为数据包中的源地址。在实施虚拟网关技术时使用此属性。
网络掩码的作用是将 IP 地址划分为网络地址和主机地址。网络地址可被视为是 IP 地址的网络部分(位数与网络掩码匹配)。主机地址是 IP 地址的剩余数位。由 4 个 8 位二进制数构成的地址中的有效位数有时以无类域间路由 (CIDR) 方式表示,短划线后面跟随位数 (1-32)。
网络掩码可以这种方式表示,只统计二进制中的位数,因此 255.255.255.0 将变成“/24”,而 255.255.240.0 将变成“/20 ”。
接口配置示例
此部分显示了基于某些典型网络的接口配置示例。此示例使用两个名为 Int1 和 Int2 的接口。对于在设备,这些接口名称可以是三个接口(管理、Data1、Data2)中的任意两个接口。
网络 1:
单独的接口必须出现在单独的网络上。
|
接口 |
IP 地址 |
网络掩码 |
网络地址 |
|---|---|---|---|
|
Int1 |
192.168.1.10 |
255.255.255.0 |
192.168.1.0/24 |
|
Int2 |
192.168.0.10 |
255.255.255.0 |
192.168.0.0/24 |
发往 192.168.1.X 的数据在 Int1 传出(X 是 1 到 255 中除了您自己的地址外的任何数字,此例中为 10)。发往 192.168.0.X 的任何数据在 Int2 传出。发往不是采用这些格式的某个其他地址的任何数据包(最有可能是通过广域网或互联网传出)会发送到默认网关,默认网关必须在上述其中一个网络上。然后,默认网关会继续转发数据包。
网络 2:
两个不同接口的网络地址(IP 地址的网络部分)不能是相同的。
|
以太网接口 |
IP 地址 |
网络掩码 |
网络地址 |
|---|---|---|---|
|
Int1 |
192.168.1.10 |
255.255.0.0 |
192.168.0.0/16 |
|
Int2 |
192.168.0.10 |
255.255.0.0 |
192.168.0.0/16 |
这种情况表示具有相同网络地址的两个不同的以太网接口存在冲突。如果来自内容安全设备的数据包发送到 192.168.1.11,则无法决定应将哪个以太网接口用于传送数据包。如果两个以太网接口连接到两个单独的物理网络,该数据包可能会传送到错误的网络,并且永远找不到其目的地。在设备不允许网络配置存在冲突。
可以将两个以太网接口连接到同一个物理网络,但是必须构建 IP 地址和网络掩码,以便在设备选择唯一的传送接口。
IP 地址、接口和路由
如果您选择某个接口,以便在 GUI 或 CLI 中通过该接口执行使您可以选择某个接口的命令或功能(例如升级 AsyncOS 或配置 DNS),则路由(默认网关)优先于所选的接口。
例如,假设您具有已配置三个网络接口的设备,每个接口在不同的网段上(假定全部为 /24):
|
以太网 |
IP |
|---|---|
|
管理 |
192.19.0.100 |
|
Data1 |
192.19.1.100 |
|
Data2 |
192.19.2.100 |
并且您的默认网关是 192.19.0.1。
现在,如果您执行 AsyncOS 升级(或者使您可以选择某个接口的其他命令或功能),并选择 Data1 的 IP (192.19.1.100),则可以预期所有 TCP 流量将通过 Data1 以太网接口传送。但是,流量不会从设置为默认网关的接口(在此例中为管理接口)传出,而是从 Data1 上标有 IP 源地址的接口传出。
摘要
内容安全设备必须始终能够识别可传送数据包的唯一接口。为了做出决定,设备使用数据包的目标 IP 地址与以太网接口的网络和 IP 地址设置的组合。下表概括总结了之前的例子:
|
相同网络 |
不同网络 |
|
|---|---|---|
|
相同物理接口 |
允许 |
允许 |
|
不同物理接口 |
不允许 |
允许 |
用于连接内容安全设备的策略
请在连接设备时注意以下事项:
- 与邮件流量相比,管理流量(CLI、网络界面、日志传送)通常很少。
- 如果将两个以太网接口连接到同一台网络交换机,但最后却与另一台下游主机上的接口进行通信,或者连接到将所有数据回响到所有端口的网络集线器,那么使用两个接口并不会带来任何优势。
- 通过在 1000Base-T 模式下工作的接口进行的 SMTP 转换略快于通过在 100Base-T 模式下工作的同一接口进行的转换,但只有在理想的情况下才如此。
- 如果传输网络的其他部分存在瓶颈,则无法优化网络连接。与互联网或连接提供商的上游设备进行连接时,最常发生瓶颈。
您选择连接的接口数量以及处理接口的方式应取决于基础网络的复杂程度。如果网络拓扑或数据量不作要求,则不必要连接到多个接口。另外,可以在起初熟悉网关时保持简单连接,然后随着数据量和网络拓扑的需求增长而提高连接性。
反馈