pfSense®支持多种类型的网络接口,可以直接使用物理接口,也可以采用其他协议(例如PPP或VLAN)。
接口分配和新建虚拟接口都在网络接口>接口管理下进行。
物理和虚拟接口
本章讨论的大多数接口都可以在网络接口>接口管理下分配为WAN、LAN或OPT接口。当前定义和检测到的所有接口都直接在网络接口>接口管理或可分配的接口列表中列出。默认情况下,该列表仅包含物理接口,但是网络接口>接口管理下的其他选项卡可以创建虚拟接口,然后对它进行分配。
pfSense上的接口支持接口本身的各种选项组合。它们还可以在单个接口上支持多个网络和协议,或者可以将多个接口绑定在一起成为更大容量或冗余的虚拟接口。
所有接口均一视同仁;可以为每个接口配置任何类型的角色。默认的WAN和LAN接口可以重命名并以其他方式使用。
分配物理接口和虚拟接口后,将对其进行相同处理,并具有相同的功能。例如,VLAN接口可以具有与物理接口相同的配置类型。某些接口类型一经分配就接受特殊处理,本章各节将介绍这些特殊处理方法。
本节介绍创建、分配和管理的各种类型的接口。
局限性
尽管pfSense没有对接口数量进行任何限制,但是如果存在大量接口可能会给管理带来不便。例如,防火墙可能需要更长的时间来配置接口,并且GUI可能具有大量选项卡或菜单项的渲染问题。
大多数硬件都应该没有问题,并且可以容纳尽可能多的接口。问题因驱动程序而异,但通常与硬件有关,而不是操作系统或pfSense软件的结果。
接口配置分配新接口:
-
导航到网络接口>接口管理
-
从可用网络端口列表中选择新接口
-
点击“+”号进行添加
新分配的接口将显示在列表中。新接口将具有由防火墙分配的默认名称,例如OPT1或OPT2,其数量根据其分配顺序而增加。前两个接口的默认名称为WAN和LAN,可以重命名。这些OPTx名称出现在网络接口菜单下,例如网络接口> OPT1。选择该接口的菜单选项将打开该接口的配置页面。
以下选项可用于所有接口类型。
描述
接口名称。这是在接口菜单上、防火墙>规则策略下、系统服务>DHCP选项卡上以及整个GUI的其他位置上显示的接口名称 。接口名称只能包含字母、数字、并且唯一允许的特殊字符是下划线(“ _”)。
IPv4配置类型
配置接口的IPv4设置。请参见下一节“IPv4 WAN类型”。
IPv6配置类型
配置接口的IPv6设置。请参见下一节“IPv6 WAN类型”。
MAC地址
可以更改接口的MAC地址来模仿原来的设备。
注意:我们建议避免这种做法。通常可以通过重置此防火墙连接的设备、清除ARP表或等待旧的ARP条目到期来清除旧的MAC。这是一个暂时性问题的长期解决方案。
欺骗以前的防火墙的MAC地址可以允许从旧路由器到新路由器的平滑过渡,因此不必担心设备和上游路由器上的ARP缓存。它也可以用来欺骗某台设备,使其相信自己正在与之前与之通话的同一设备通信,例如在某个网络路由器使用静态ARP或其他基于MAC地址的过滤器的情况下。这在有线调制解调器上很常见,如果调制解调器更改,它们可能需要重新注册MAC地址。
如果必须还原旧的MAC地址,则必须清空此选项,然后重新启动防火墙。或者,输入网卡的原始MAC地址并保存/应用,然后再次清空该值。
MTU(最大传输单元)
最大传输单位(MTU)大小字段通常可以留空,但可以在需要时进行更改。在某些情况下,可能需要较低的MTU以确保数据包的大小适合Internet连接。在大多数情况下,WAN连接类型的默认假定值可以正常工作。对于那些在网络上使用巨型帧的用户,可以增加这个数值。
在典型的以太网类型网络上,默认值为1500,但实际值会根据接口配置而有所不同。
MSS(最大分段大小)
与MTU字段类似,MSS字段将TCP连接的最大段大小(MSS)“固定”为指定的大小,以便解决路径MTU发现的问题。
速度和双工
链接速度和双工的默认值是让防火墙确定最佳选择。该选项通常默认为自动选择,它与对等体(通常是交换机)协商最佳速度和双工设置。
接口上的速度和双工设置必须与所连接的设备匹配。例如,当防火墙设置为“自动选择”时,还必须将交换机配置为“自动选择”。如果交换机或其他设备具有特定的速度并强制使用双工,则防火墙必须与它匹配。
阻止私有网络
选中时,pfSense®会自动插入一个规则,来防止任何RFC 1918网络(10.0.0.0/8
, 172.16.0.0/12
,192.168.0.0/16
)和回送(127.0.0.0/8
从该接口上通信)。通常仅在WAN类型的接口上才需要此选项,以防止通过公共接口传入私有网络流量的可能性。
阻止Bogon网络
选中时,pfSense将阻止来自未分配和保留网络列表的流量。此列表由防火墙自动定期更新。
IPv4 WAN类型
分配接口后,在大多数情况下,它将需要IP地址。对于IPv4连接,可以使用以下选项:静态IPv4,DHCP,PPP,PPPoE,PPTP和L2TP。
None
当IPv4配置类型设置为None时,接口上的IPv4被禁用。如果接口没有IPv4连接,或者接口的IP地址是以其他方式(例如,用于OpenVPN或GIF接口)进行管理,这将非常有用。
静态IPv4
使用静态IPv4时,该接口包含一个手动配置的IP地址。并提供三个附加选项:IPv4 地址,子网掩码和 IPv4 上游网关。
要在内部接口(例如LAN,DMZ)上为静态IPv4配置接口,请执行以下操作:
-
在IPv4配置类型下选择“静态IPv4”
-
在IPv4地址栏中输入接口的IPv4地址
-
在地址框后的CIDR下拉列表选择合适的子网掩码
-
不要选择IPv4上游网关
要在WAN类型接口上为静态IPv4配置接口,请执行以下操作:
-
在IPv4配置类型下选择“静态IPv4”
-
在IPv4地址栏中输入接口的IPv4地址
-
在地址框后的CIDR下拉列表中选择合适的子网掩码
-
执行以下操作之一以在接口上使用网关:
-
从列表中选择一个IPv4上游网关,或者
-
单击"+"图标添加一个新网关。
-
注意:从下拉列表中选择一个IPv4上游网关,或者添加并选择一个新网关,pfSense®将该接口视为NAT和相关功能的WAN类型接口。这对于内部接口(例如LAN或DMZ)是不希望的。网关仍可在内部接口上用于静态路由,而无需在此处选择网关。
DHCP服务器
当接口设置为DHCP时,pfSense将尝试通过DHCP对该接口进行自动IPv4地址配置。此选项还可以激活页面上的其他几个字段。在大多数情况下,这些其他字段可以留空。
-
主机名
-
某些ISP要求使用主机名来标识客户端。请求DHCP租约时,主机名字段中的值将作为DHCP客户端标识符和主机名发送。
-
别名IPv4地址
-
由于典型的IP别名VIP不能与DHCP一起使用,因此DHCP客户端将此值用作固定的IPv4别名地址。这对于访问DHCP作用域之外的单独的、静态编号的网络上的设备很有用。
-
拒绝指定主机DHCP
-
应被忽略的DHCP服务器IPv4地址。防火墙永远不会或尝试使用指定DHCP服务器提供的IP地址。
-
进阶设定
-
启用用于控制协议时序的选项。在大多数情况下,必须取消选中该选项,并且内部选项不变。
-
协议时间
-
此区域中的字段可
dhclient
对在此接口上管理地址时所用的时间进行精细控制。这些选项一般只需要保留默认值即可。 -
预设值
-
有几个用于预设协议定时值的选项。这些可作为自定义调整的起点或在需要将值重置为默认值时使用。
-
-
配置覆盖
-
使这些字段可以使用自定义
dhclient
配置文件。必须给出完整路径。很少需要使用自定义文件,但是某些ISP需要pfSense GUI中不支持的DHCP字段或选项。
PPP类型
PPP的连接类型包括PPP,PPPoE,PPTP和L2TP 。如果在接口页面上选择了其中一种类型,则可以按照说明更改其基本选项。
IPv6 WAN类型与IPv4相似,IPv6配置类型控制是否以及如何将IPv6地址分配给接口。有几种不同的配置IPv6的方法,确切的方法取决于此防火墙连接到的网络以及ISP部署IPv6的方式。
None
当IPv6配置类型设置为“None”时,接口上的IPv6被禁用。如果接口没有IPv6连接,或者接口的IP地址是以其他方式(例如,用于OpenVPN或GIF接口)进行管理,这将非常有用。
静态IPv6
静态IPv6的工作方式与静态IPv4设置相同。
使用静态IPv6时,该接口包含一个手动配置的IPv6地址。包括三个附加字段:IPv6 地址,前缀长度选择和IPv6 上游网关。
默认的IPv4和IPv6网关彼此独立工作。两者不能处在同一线路上。更改默认的IPv4网关对IPv6网关无效,反之亦然。
DHCP6
DHCP6将pfSense®配置为尝试通过DHCPv6自动对该接口进行IPv6配置。DHCPv6将使用IP地址、前缀长度、DNS服务器等配置接口,但不使用网关。网关是通过路由器通告获得的,因此此接口将设置为接受路由器通告。这是IPv6规范的一部分,而不是pfSense的限制。
对于IPv6 DHCP而言,还有几个其他字段可以设置:
-
使用IPv4连接作为父接口
-
设置后,将在此接口上使用IPv4而不是使用本机IPv6发送IPv6 DHCP请求。仅在特殊情况下,当ISP需要这种类型的配置时才需要这样做。
-
仅请求IPv6前缀
-
设置后,DHCPv6客户端不请求接口本身的地址,而仅请求委托的前缀。
-
DHCPv6前缀委派大小
-
如果ISP是通过前缀委派提供路由的IPv6网络,则它们将发布委派大小,可在此处选择。它的值通常在48到64之间。要使用该委派,另一个内部接口必须被设置为IPv6配置类型的监视接口,以便它可以使用由上游DHCPv6服务器委派地址。
-
发送IPv6前缀提示
-
设置后,DHCPv6前缀委派大小与请求一起发送,以通知上游服务器此防火墙需要多大的委派。如果ISP允许选择,并且所选大小在其允许的范围内,则将给出请求的大小,而不是默认大小。
-
调试
-
设置后,DHCPv6客户端以调试模式启动。
-
进阶设定
-
为DHCPv6客户端启用各种高级调整参数。这些选项很少使用,并且在需要它们时,这些值由ISP或网络管理员决定。
-
配置覆盖
-
让这些字段可以使用自定义配置文件。必须给出完整路径。很少需要使用自定义文件,但是某些ISP需要pfSense WebGUI中不支持的DHCP字段或选项。
SLAAC
无状态地址自动配置(SLAAC)是IPv6类型,它使pfSense尝试从发布前缀和相关信息的路由器通告(RA)中为接口配置IPv6地址。请注意,DNS通常不是通过RA提供的,因此pfSense在使用SLAAC时仍会尝试通过DHCPv6获取DNS服务器。将来,RA进程的RDNSS扩展可能允许从RA获取DNS服务器。
6RD隧道
6RD是一些ISP所采用的IPv6隧道技术,可快速为其网络提供IPv6支持,从而在最终用户路由器与ISP中继之间的特制IPv4数据包内传递IPv6流量。它与6to4有关,但打算在ISP网络中使用,它将ISP的IPv6地址用于客户端流量。要使用6RD,ISP必须提供三个信息:6RD前缀,6RD边界中继和6RD IPv4前缀长度。
-
6RD前缀
-
ISP分配的6RD IPv6前缀,例如
2001:db8::/32
。 -
6RD边界中继
-
ISP 6RD中继的IPv4地址。
-
6RD IPv4前缀长度
-
控制在6RD前缀内部编码有多少最终用户IPv4地址。通常由ISP提供。
0
意味着整个IPv4地址将嵌入6RD前缀内。如果ISP分配完全在同一较大子网内,则此值允许ISP通过删除冗余IPv4信息来有效地将更多IPv6地址路由给客户。
6to4隧道
与6RD类似,6to4是在IPv4内部建立IPv6流量的另一种方法。但是,与6RD不同,6to4使用常量前缀和中继。因此,没有使用6to4选项的用户可调整设置。6to4前缀始终为2002::/16
。2002::/16
前缀内的任何地址都被视为6to4地址,而不是本机IPv6地址。同样与6RD不同,6to4隧道不仅可以在最终用户ISP处终止,而且可以在Internet上的任何地方终止,因此用户与6to4中继之间的连接质量可以有很大差异。
6to4隧道始终终止于IPv4地址192.88.99.1
。该IPv4地址是任意广播的,这意味着尽管IPv4地址在任何地方都相同,但是可以将其区域性地路由到靠近用户的节点。
6to4的另一个不足之处是它依赖其他路由器在6to4网络和IPv6网络其余部分之间中继流量。某些IPv6对等点可能无法与6to4网络建立连接,因此,连接到6to4中继的客户端将无法访问这些对等点,并且这也可能取决于用户实际连接的6to4节点。
跟踪接口
使用DHCPv6前缀委派,“跟踪接口”选项可与另一个IPv6接口配合使用。当从ISP收到委托时,此选项指定将为ISP分配的接口分配IPv6地址,并且在获得较大委派的情况下,将使用委派中的前缀。
-
IPv6接口
-
当前为动态IPv6 WAN类型设置的系统上所有接口的列表,这些类型提供前缀委派(DHCPv6,PPPoE,6rd等)。从列表中选择接口,该接口将从ISP接收委派的子网信息。
-
IPv6前缀ID
如果ISP通过DHCPv6委派了多个前缀,则IPv6前缀ID控制/64
将在此接口上使用哪个委派子网。此值以十六进制指定。
例如,如果ISP提供了/ 60委派,则意味着有16个/ 64网络可用,因此可以使用从0到f的前缀ID。
接口组与本章中的其他接口不同,接口组不是可以分配的接口类型。接口组用于将防火墙或NAT规则应用于通用选项卡上的一组接口。基础OS中有多个接口,但是所有接口的规则都在每种类型的单个选项卡上进行管理。如果防火墙上存在许多功能相似的接口,它们实际上需要相同的规则,则可以创建一个接口组,以将规则同时添加到所有接口。接口仍然可以拥有自己的个人规则,这些规则将在组规则之后进行处理。
要创建接口组:
-
导航到网络接口>接口管理,接口组选项卡
-
输入组名。此名称只能包含大写和小写字母,不能包含数字,空格或特殊字符
-
输入组说明(可选)
-
通过按住Ctrl键单击从接口列表中选择相应接口条目,将接口添加为组成员
-
点击保存
用户规则的处理顺序为:
-
浮动规则
-
接口组规则
-
单个接口上的规则
例如,如果“组”选项卡上的规则与连接匹配,则将不会查询“接口”选项卡规则。同样,如果有快速设置的浮动规则与连接匹配,则将不会查询接口组规则。
处理顺序阻止了规则的某种组合,否则这些组合可能很合适。例如,如果组中存在常规阻止规则,则该规则不能被特定接口上的规则覆盖。与通过规则相同,特定的接口规则不能阻止通过组选项卡规则传递的流量。
与WAN接口一起使用
我们不建议将接口组与多个WAN一起使用。这样做似乎很方便,但是组规则与实际的WAN选项卡规则没有得到相同的处理。例如,WAN类型的接口(在接口配置上选择的网关)的选项卡上的规则将收到答复,从而允许pf通过其进入的接口将流量返回。组选项卡规则不会收到答复,这实际上意味着组规则只能在具有默认网关的WAN上按预期方式运行。
PPPSPPP接口有四种类型:
-
适用于3G / 4G和调制解调器设备的普通PPP
-
DSL或类似连接的PPPoE
-
需要ISP进行身份验证的ISP的PPTP和L2TP。
在大多数情况下,这些都是直接从接口设置中管理的,但也可以在网络接口>接口管理,PPPS选项卡下进行编辑。
多链路PPP(MLPPP)
编辑PPP实例还可以为支持的提供程序配置多链路PPP(MLPPP)。MLPPP将多个PPP链接绑定到一个较大的聚合通道中。与其他多WAN技术不同,使用MLPPP可以将所有链路的全部带宽用于单个连接,并且通常不涉及负载平衡和故障转移。MLPPP链接被表示为具有一个IP地址的一个接口,如果一个链接失败,则连接功能相同,但带宽容量减小。
PPP(点对点协议)接口类型
添加或编辑PPP条目,如下所示:
PPP(3G / 4G,调制解调器)
PPP链接类型用于通过串行设备与调制解调器对话。可以是用于访问蜂窝网络的USB 3G / 4G加密狗,也可以是用于拨号访问的旧硬件调制解调器。选择PPP链接类型后,链接接口列表中将填充可用于与调制解调器进行通信的串行设备。单击特定条目选择它以供使用。选择接口后,可以选择输入PPP条目的描述。
注意:不会自动检测到调制解调器的串行设备。一些调制解调器将自己显示为多个设备,而PPP线路的子设备可能是任何可用的选择,但是从最后一个设备开始,然后尝试第一个设备,然后尝试其他设备(如果这些设备都不起作用)。
在配置3G / 4G网络时,服务提供商选项会预先填充页面上的其他相关字段。
-
选择一个国家/地区,例如中国,以激活该国家/地区中 已知的蜂窝网络提供商的提供商下拉菜单
-
从列表中选择一个提供商,例如中国电信,激活plan下拉列表。
-
选择一个plan,其余字段将填充该提供者和plan已知值
如果需要其他值,或者使用未列出的提供程序时,可以手动配置服务提供程序选项:
-
用户名和密码
-
用于PPP登录的凭据。
-
电话号码
-
要在ISP上拨号以获得访问权限的号码。对于3G / 4G,该数字通常是
99#
或#777
,对于拨号,通常是传统的电话号码。 -
接入点名称(APN)
-
一些ISP要求使用此字段来标识客户端连接到的服务。一些提供商使用它来区分消费者计划和业务计划或旧版网络。
-
APN号码
-
APN号码, 可选设置。如果设置了APN,则默认为1;如果未设置APN,则忽略。
-
SIM卡密码
-
SIM卡上的安全码,以防止未经授权使用SIM卡。如果SIM卡没有PIN,请不要在此处输入任何内容。
-
SIM PIN等待时间
-
PIN发送到SIM后等待SIM发现网络的秒数。如果延迟时间不够长,则解锁后SIM卡可能没有时间正确初始化。
-
初始化字符串
-
调制解调器初始化字符串(如果需要)。命令开头不要包含AT。大多数现代调制解调器不需要自定义初始化字符串。
-
连接超时
-
等待连接尝试成功的时间(以秒为单位)。默认值为45秒。
-
正常运行时间记录
-
选中后,将跟踪连接的正常运行时间,并将其显示在状态>网络接口上。
PPPoE(以太网上的点对点协议)
PPPoE是验证和获得ISP网络(最常见于DSL网络)的一种流行方法。
配置PPPoE连接,通过设置链路类型为PPPoE协议并完成其余设置:
-
链接接口
-
用于PPPoE的列表网络接口。这些通常是物理接口,但也可以在其他一些接口类型(例如VLAN)上工作。对于普通PPPoE,选择一个,对于MLPPP,选择多个。
-
描述
-
PPP条目的描述性说明
-
用户名和密码
-
此PPPoE线路的用户凭据。由ISP提供。
-
服务名称
-
大多数ISP留空,有些要求将此设置为特定值。如果留空时连接不起作用,请与ISP联系以确认该值。
-
配置NULL服务名称
-
一些ISP要求发送NULL而不是空白服务名称。 ISP认为此行为必要时,请选中此选项。
-
定期复位
-
配置断开连接并重新启动时的预设时间。这很少需要,但是在某些情况下,当ISP强制进行每日重新连接或类似的行为时,它可以更好地处理重新连接。
PPTP(点对点隧道协议)
请不要与PPTP VPN混淆,这种类型的PPTP接口旨在连接到ISP并进行身份验证,与PPPoE的工作原理几乎相同。PPTP WAN的选项与相同名称的PPPoE选项相同。有关配置信息,请参阅上一节。
L2TP(第2层隧道协议)
此处配置的L2TP用于连接到需要ISP身份验证来作为WAN类型的ISP。L2TP的工作原理与PPTP相同。有关配置信息,请参阅前面的部分。
高级PPP选项
所有PPP类型都有一些共同的高级选项,可以在此处的条目中进行编辑。在大多数情况下,无需更改这些设置。要显示这些选项,请单击 显示高级选项。
-
按需拨号
-
PPP链接的默认行为是立即连接,当链接丢失时,它将立即尝试重新连接。此行为被描述为一直在线。按需拨号将延迟此连接尝试。设置后,防火墙将等待数据包尝试通过此接口离开,然后它将进行连接。连接后,将不会自动断开连接。
-
空闲超时
-
默认情况下,PPP连接将无限期保持打开状态。指定的空闲超时值将要求防火墙监视线路的活动,如果在给定的时间内链接上没有流量,则链接将被断开。如果还设置了按需拨号,则防火墙将返回按需拨号模式。
注意:pfSense®将默认执行网关监视,它将每秒在接口上生成两个ICMP ping。 在这种情况下,空闲超时将不起作用。可以通过编辑此PPP链接的网关并选中禁用网关监视来解决此问题。
-
压缩(vjcomp)
-
此选项控制是否使用Van Jacobson TCP标头压缩。默认情况下,它将在登录期间与对等方协商,因此如果双方都支持该功能,则将使用它。选中禁用vjcomp将导致始终禁用该功能。通常,此功能很有用,因为它为每个TCP数据包节省了几个字节。该选项几乎应始终保持启用状态。此压缩对于启用了现代扩展(例如时间戳或SACK)的TCP连接无效,该扩展会修改连续数据包之间的TCP选项。
-
TCPmssFix
-
tcpmssfix选项使PPP守护程序调整传入和传出的TCP SYN段,以便请求的最大段大小(MSS)不大于接口MTU允许的数量。在大多数情况下,这是必要的,以避免因路由器丢弃ICMP“数据报太大”消息而引起的问题。如果没有这些消息,原始计算机将发送数据,它通过流氓路由器,然后命中具有MTU的计算机,该MTU不足以容纳数据。由于设置了IP“Do n't Fragment”选项,因此本机将ICMP“ Datagram Too Big”消息发送回原始发件人并丢弃数据包。流氓路由器会丢弃ICMP消息,而原始发件人永远不会发现它必须减小片段大小或从其传出数据中丢弃IP Do n't Fragment选项。如果此行为不受欢迎,请选中禁用tcpmssfix。
注意:接口的MTU和MSS值也可以在接口配置页面上进行调整。
-
ShortSeq
-
仅当协商了MLPPP时,此选项才有意义。它禁止使用较短的多链接片段头,每帧节省两个字节。对于非多链接的连接,不必禁用此功能。如果MLPPP处于活动状态,并且必须禁用此功能,请选中禁用shortseq。
-
AFCComp
-
地址控制字段压缩选项仅适用于异步链接类型。每帧节省两个字节。要禁用此功能,请选中“禁用ACF压缩”。
-
ProtoComp
-
对于大多数帧,协议字段压缩选项每帧保存一个字节。要禁用此功能,请选中禁用协议压缩。
GRE(通用路由封装)
通用路由封装(GRE)是一种无需加密即可在两个端点之间建立隧道流量的方法。它可用于在不直接连接且不需要加密的两个位置之间路由数据包。它也可以与不执行自己的隧道传输的加密方法结合使用。处于传输模式的IPsec 可以使用GRE来允许传统路由或使用路由协议的方式通过隧道传输加密的流量。GRE协议最初是由Cisco设计的,并且是许多设备上的默认隧道模式。
创建或管理GRE接口:
-
导航到网络接口>接口管理,GRE选项卡
-
完成如下设置:
-
父接口
-
通常,这是WAN或WAN类型的接口。
-
GRE远程地址
-
远端对等体的地址。这是此防火墙将发送GRE数据包的地址;隧道另一端的可路由外部地址。
-
GRE隧道本地地址
-
此防火墙上隧道末端的内部地址。防火墙会将这个地址用于其自身在隧道中的通信,并且远程对等体会将隧道传输的远程通信发送到该地址。
-
GRE隧道的远端地址
-
隧道内防火墙用来到达另一端的地址。目的地为隧道另一端的流量必须将此地址用作网关来进行路由。
-
GRE隧道子网
-
GRE接口地址的子网掩码。
-
描述
-
此GRE隧道的简短描述。
-
-
点击保存
通用隧道接口(GIF)与GRE类似;两种协议都是在不加密的情况下在两个主机之间建立隧道流量的一种方法。除了直接通过隧道传送IPv4或IPv6之外,GIF还可用于通过IPv4网络传送IPv6,反之亦然。GIF隧道通常用于在无法使用IPv6连接的位置获得与隧道代理的IPv6连接。
与GRE相比,GIF接口在隧道中承载的信息更多,但是GIF并未得到广泛支持。例如,GIF隧道能够在两个位置之间桥接第2层,而GRE无法。
要创建或管理GIF接口,请执行以下操作:
-
导航到网络接口>接口管理,GIF选项卡
-
完成如下设置:
-
父接口
-
通常,这是WAN或WAN类型的接口。
-
GIF远程地址
-
远端对等体的地址。这是此防火墙将发送GIF数据包的地址;隧道另一端的可路由外部地址。例如,在通往Hurricane Electric的IPv6-in-IPv4隧道中,这将是隧道服务器的IPv4地址,例如
209.51.181.2
。 -
GIF隧道本地地址
-
此防火墙上隧道末端的内部地址。防火墙会将这个地址用于其自身在隧道中的通信,并且远程对等方会将隧道传输的远程通信发送到该地址。例如,当通过Hurricane Electric隧道传输IPv6-in-IPv4时,他们将其称为客户端IPv6地址。
-
GIF隧道远程地址
-
隧道内防火墙用来到达另一端的地址。目的地为隧道另一端的流量必须将此地址用作网关以进行路由。例如,当通过Hurricane Electric隧道传输IPv6-in-IPv4时,他们将其称为服务器IPv6地址。
-
GIF隧道子网
-
接口地址的子网掩码或前缀长度。在此示例中为
64
。 -
路由缓存
-
路由缓存选项控制是否缓存到远程端点的路由。如果到远程对等方的路径是静态的,则设置此项可以避免每个数据包进行一次路由查找。但是,如果到远端的路径可以更改,则此选项可能会导致GIF流量在路由更改时无法流动。
-
ECN友好行为
-
该选项控制是否通过防火墙执行ECN友好行为,在隧道进出流量中复制TOS位。默认情况下,防火墙清除数据包上的TOS位或将其设置为0。设置此选项后,将根据需要在内部和外部数据包之间复制该位,以与可以执行流量整形的中间路由器更加友好。此行为破坏了RFC 2893,因此仅当两个对等方都同意启用该选项时,才必须使用它。
-
描述
-
出于文档目的,此GIF隧道的简短描述。
-
-
点击保存
创建接口后,在网络接口菜单上,启用接口并添加防火墙规则。
LAGG(链路聚合)链接聚合由pfSense®的lagg(4)类型接口(LAGG)处理。LAGG将多个物理接口组合为一个逻辑接口。可以获得额外的带宽,或者进行冗余,或者两者兼而有之。
注意:如果LACP可堆叠,则LACP仅可在多个交换机上使用 。
要创建或管理LAGG接口:
-
父接口
-
此列表包含所有当前未分配的接口,以及编辑现有实例时当前LAGG接口的成员。要将接口添加到此LAGG,请在此列表中选择一个或多个接口。
注意:如果未分配接口,则只能将其添加到LAGG组。如果列表中不存在接口,则可能已将其分配为接口。
-
LAGG协议
-
LAGG接口当前有六种不同的操作模式:LACP,故障转移,负载平衡,循环和None。
-
LACP
-
最常用的LAGG协议。此模式支持IEEE 802.3ad链路聚合控制协议(LACP)和标记协议。在LACP模式下,与交换机(还必须支持LACP)进行协商,以形成一组同时处于活动状态的端口。称为链路聚合组或LAG。LAG中每个端口的速度和MTU必须相同,并且这些端口还必须以全双工模式运行。如果链路丢失到LAG上的端口,则LAG继续运行,但容量降低。这样,LACP LAGG捆绑包既可以获取冗余,又可以增加带宽。
LAG上所有端口之间的流量是平衡的,但是,对于两个单主机之间的通信,它一次只能使用一个端口,因为客户端一次只能与一个MAC地址对话。对于通过多个设备的多个连接,此限制实际上变得无关紧要。该限制也与故障转移无关。
除了在pfSense上配置此选项外,交换机还必须在这些端口上启用LACP或将端口捆绑到LAG组中。双方必须就配置达成一致,以使其正常工作。
-
故障转移
-
使用故障转移LAGG协议时,流量仅在组的主接口上发送。如果主接口出现故障,流量将使用下一个可用接口。主接口是列表中选择的第一个接口,并将按顺序继续,直到到达所选接口的末尾。
注意:默认情况下,只能在活动接口上接收流量。在可调参数上创建一个项目:
net.link.lagg.failover_rx_all
,值为1
,则可以允许在每个成员接口上接收流量。 -
负载均衡
-
负载均衡模式在LAGG组的任何端口上接受入站流量,并在LAGG组的任何活动端口上平衡出站流量。这是一个静态设置,不监视链接状态,也不与交换机协商。基于LAGG中的所有活动端口,使用多个因素(例如源和目标IP地址,MAC地址和VLAN标记)计算出的哈希值,对出站流量进行负载平衡。
-
循环
-
此模式在LAGG组的任何端口上接受入站流量,并使用循环调度算法发送出站流量。通常,这意味着将依次使用组中的每个接口按顺序发送流量。
-
None
-
此模式将禁用LAGG接口上的流量,而不禁用接口本身。操作系统仍会相信该接口已启动并且可以使用,但是不会在该组上发送或接收任何流量。
-
-
描述
-
关于此LAGG实例的用途的简短说明。
-
点击保存
创建LAGG接口后,它的工作原理与其他任何物理接口一样。在网络接口菜单下分配LAGG接口,并填写IP地址等信息,或在其上构建其他内容,例如VLAN。
LAGG和流量整形器
由于FreeBSD中的限制,lagg(4)
不支持altq(4)
,因此无法直接在LAGG接口上使用流量整形器。vlan(4)
接口支持altq(4)
,并且可以在LAGG接口的顶部使用VLAN,因此使用VLAN可以解决此问题。作为替代解决方法,限制器可以控制LAGG接口上的带宽使用。
LAGG吞吐量
使用LAGG并不一定保证全部的吞吐量等于所有接口的总和。特别是,单个流不会超过LAGG成员接口的吞吐量。对LAGG上的流量进行散列的方式是,两个主机(例如pfSense和上游网关)之间的流将仅使用单个链接,因为该流位于每一侧的单个MAC地址之间。
在有许多主机使用不同的MAC地址进行通信的网络中,使用率可能接近LAGG中所有接口的总和。
QinQ配置
QinQ,也称为IEEE 802.1ad或堆叠VLAN,是一种在已被VLAN标识的数据包中嵌套VLAN标识的流量或“双重标记”流量的方法。
QinQ用于在包含一个外部标识的单个链接上移动VLAN组,这在某些ISP,城域以太网或位置之间的数据中心链接中可以找到。如果位置之间的基础结构不会从数据包中剥离标签,则这是在各个位置之间中继VLAN的快速/简便方法,而无需在站点之间建立具有中继功能的连接。
在pfSense®中设置QinQ接口非常简单:
-
导航到网络接口>接口管理,QinQ选项卡
-
配置QinQ条目,如下所示:
-
点击保存完成设置
在下图中,QinQ接口被配置为通过igb3上的链路以2000的第一级标识来承载VLAN 10和20的标记流量。
如何使用QinQ接口主要取决于网络的需求,一般可以以某种方式分配并配置结果接口,或者桥接到其本地等效VLAN(例如,将分配的igb2_vlan10桥接到igb3_2000_10,依此类推)。
QinQ配置在设置的两端大致相同。例如,如果双方使用相同的接口配置,则离开站点A在igb3_2000_10上的流量将通过igb3上的VLAN 2000,从另一端在igb3上的VLAN 2000上在站点B上通过,然后在igb3_2000_10上通过站点B。