Konfigurieren physischer Schnittstellen
Sie können die allgemeinen, IPv4-, IPv6- und erweiterten Einstellungen einer physischen Schnittstelle konfigurieren.
Allgemeine Einstellungen
Konfigurieren Sie die folgenden Einstellungen:
- Name: Geben Sie einen Namen ein. Sie können diesen später ändern. Sie können maximal 58 Zeichen verwenden.
- Hardware: Eine physische Schnittstelle, z. B. Port1, PortA oder eth0. Sie können dies nicht ändern.
-
Breakout-Modus: Wählen Sie eine Breakout-Konfiguration, um Hochgeschwindigkeitsschnittstellen in zwei oder mehr Schnittstellen mit niedrigerer Geschwindigkeit aufzuteilen. Siehe Breakout-Schnittstellen.
Beschränkung
Diese Option wird nur auf Geräten der XGS-Serie angezeigt, die Breakout-Schnittstellen unterstützen.
-
Netzwerkzone: Der Schnittstelle zugewiesene Zone.
IPv4-Konfiguration
Sie können eine physische Schnittstelle mit einer statischen IP-Adresse, einem PPPoE-Benutzernamen und -Passwort oder automatisch mit DHCP konfigurieren.
- Wählen IPv4-Konfiguration.
-
Wählen Sie die IP-Zuweisung Methode aus den folgenden Optionen:
- Statisch: Weisen Sie der Schnittstelle eine statische IP-Adresse und ein Gateway zu.
- PPPoE: Verwenden Sie den Benutzernamen und das Passwort, die Sie von Ihrem ISP erhalten haben, um eine IP-Adresse von einem PPPoE-Server zu erhalten.
-
DHCP: Beziehen Sie eine IP-Adresse von einem DHCP-Server.
Notiz
Die Firewall unterstützt keine Differentiated Services Field Codepoints (DSCP) für systemgenerierten DHCP- und ARP-Verkehr, beispielsweise wenn die Firewall ein DHCP-Client, Relay-Agent oder Server ist.
Beschränkung
Sie können die IP-Zuweisung auf keiner Schnittstelle mit konfiguriertem VLAN von statisch auf PPPoE oder DHCP ändern.
Sie können eine statische IP-Adresse für die Schnittstelle angeben.
- Geben Sie eine IPv4-Adresse für die Schnittstelle ein.
- Ändern Sie bei Bedarf die Subnetzmaske.
- Geben Sie einen Gateway-Name.
- Geben Sie einen Gateway-IP-Adresse.
Sie können den Benutzernamen und das Kennwort verwenden, die Sie von Ihrem ISP erhalten haben, um eine IP-Adresse von einem PPPoE-Server zu erhalten.
- Geben Sie eine IPv4-Adresse für die Schnittstelle ein.
- Ändern Sie die Subnetzmaske, wenn Sie möchten.
-
Geben Sie den Bevorzugte IP Adresse für die PPPoE-Verbindung. Viele Internetdienstanbieter weisen PPPoE-Verbindungen eine statische IP-Adresse zu. Die Firewall ermöglicht es Ihnen, die statische IP-Adresse an die PPPoE-Verbindung zu binden.
Notiz
Je nach PPPoE-Serverkonfiguration kann der PPPoE-Verbindung eine andere als die bevorzugte IP-Adresse zugewiesen werden.
-
Geben Sie einen Gateway-Name.
- Geben Sie einen Gateway-IP-Adresse.
- Geben Sie den Benutzernamen des PPPoE-Kontos ein.
- Geben Sie das Passwort des PPPoE-Kontos ein.
- Geben Sie den Zugriffskonzentrator/DienstnameDie Firewall initiiert nur die Sitzungen mit dem Zugriffskonzentrator, die den angegebenen Dienst bereitstellen können.
-
Wählen LCP-Echointervall Nur wenn Sie den Standardwert ändern möchten, geben Sie den Wert ein. Die Firewall sendet in diesen Intervallen Echo-Anfragen, um zu prüfen, ob die Verbindung aktiv ist.
Notiz
Durch das Deaktivieren des Kontrollkästchens wird LCP nicht deaktiviert. Es setzt lediglich das Intervall auf den Standardwert (20 Sekunden) zurück.
-
Wählen LCP-Fehler Nur wenn Sie die Standardanzahl der Echo-Anfragen ändern möchten, geben Sie den Wert ein. Erhält die Firewall nach diesen Anfragen keine Antwort vom Client, trennt sie die PPPoE-Verbindung.
Notiz
Durch das Deaktivieren des Kontrollkästchens wird LCP nicht deaktiviert. Es setzt lediglich die Anzahl der Echoanforderungsversuche auf den Standardwert (3) zurück.
-
Geben Sie den Planen Sie eine Zeit für die erneute Verbindung einDie einer PPPoE-Verbindung zugewiesene Adresse (dynamisch oder statisch (bevorzugt)) kann eine vordefinierte Gültigkeitsdauer haben. Nach Ablauf der Gültigkeit wird die PPPoE-Verbindung beendet und wiederhergestellt. Um eine Wiederherstellung während der Arbeitszeit zu verhindern, aktivieren Sie den PPPoE-Wiederverbindungszeitplan.
Bei der erneuten Verbindung kann der PPPoE-Verbindung anstelle der bevorzugten IP-Adresse eine dynamische Adresse zugewiesen werden.
-
Unter DSL-Einstellungen, schalten Sie VDSL wenn Sie möchten, dass die Firewall automatisch ein VLAN für die PPPoE-Verbindung erstellt und dann ein VLAN-Tag dafür. Wenn Sie es einschalten, müssen Sie kein VLAN manuell erstellen auf Schnittstelle > Schnittstelle hinzufügen > VLAN hinzufügen.
Sie können eine IP-Adresse von einem DHCP-Server erhalten.
- Geben Sie eine IPv4-Adresse für die Schnittstelle ein.
- Ändern Sie bei Bedarf die Subnetzmaske.
- Geben Sie einen Gateway-Name.
- Geben Sie einen Gateway-IP-Adresse.
IPv6-Konfiguration
Um eine WAN-Schnittstelle zu konfigurieren, können Sie Statisch oder DHCPUm eine interne Schnittstelle zu konfigurieren, können Sie Statisch, DHCP, oder Delegiert Methoden.
Auswählen DHCP für eine WAN-Schnittstelle und Delegiert für eine interne Schnittstelle ermöglicht Ihnen die Konfiguration der IPv6-Präfixdelegierung, um die IPv6-Adressierung in Ihrer Umgebung zu vereinfachen. Siehe DHCP-Präfixdelegierung.
- Wählen IPv6-Konfiguration.
-
Wählen Sie die IP-Zuweisung Methode aus den folgenden Optionen:
- Statisch: Weisen Sie einer beliebigen Schnittstelle eine statische IP-Adresse zu.
- DHCP: Erhalten Sie eine IPv6-Adresse von einem DHCPv6-Server oder durch Präfixdelegierung vom ISP.
-
Delegiert: Weisen Sie internen Schnittstellen mithilfe des vom ISP delegierten Präfixes eine IPv6-Adresse zu.
Notiz
Die Firewall unterstützt kein DSCP für systemgenerierten DHCP- und ARP-Verkehr, beispielsweise wenn die Firewall ein DHCP-Client, Relay-Agent oder Server ist.
Beschränkung
Sie können die IP-Zuweisung auf keiner Schnittstelle mit konfiguriertem VLAN von statisch auf DHCP oder Delegiert ändern.
Sie können eine statische IP-Adresse für das WAN und die internen Schnittstellen angeben.
- Geben Sie eine IPv6-Adresse für die Schnittstelle ein.
- Ändern Sie das Präfix, wenn Sie möchten.
- Geben Sie einen Gateway-Name.
- Geben Sie einen Gateway-IP-Adresse.
Sie können eine IP-Adresse und andere Parameter von einem DHCPv6-Server beziehen. Sie können ein IPv6-Präfix vom ISP erhalten und es mithilfe der DHCP-Präfixdelegierung an interne Schnittstellen delegieren.
-
Wählen Sie die Modus um eine IPv6-Adresse mit zustandsbehafteten oder zustandslosen Methoden zu konfigurieren.
- Auto: Der Schnittstelle wird automatisch eine IPv6-Adresse entsprechend der von Ihnen verwendeten Konfigurationsmethode zugewiesen. Die Methode kann Nur DHCP oder Staatenlos.
-
Handbuch: Wählen Sie basierend auf Ihrer Methode (DHCPv6 oder SLAAC) zum Zuweisen einer IPv6-Adresse zur Schnittstelle eine der folgenden Optionen aus:
- Mit Nur DHCP, weist die Firewall der Schnittstelle die vom DHCPv6-Server bereitgestellte Adresse und andere Parameter zu.
- Mit StaatenlosDie Firewall weist die Schnittstellenadresse mithilfe der Stateless Address Auto-Configuration (SLAAC) entsprechend den in der Router Advertisement (RA)-Nachricht angegebenen Flags für die verwaltete (M) Adresskonfiguration und andere (O) Konfiguration zu. Sie können auswählen Andere Konfiguration von DHCP akzeptieren um weitere Parameter über den DHCPv6-Server zu konfigurieren. Siehe Hinzufügen einer IPv6-Router-Werbung.
-
Einschalten DHCP-Präfixdelegierung wenn Sie ein IPv6-Präfix von Ihrem ISP delegieren lassen möchten. Siehe DHCP-Präfixdelegierung.
- Einschalten Bevorzugtes delegiertes Präfix Wenn Sie das gewünschte Präfix angeben möchten. Der ISP kann das bevorzugte oder ein anderes Präfix delegieren. Sie müssen eine Präfixlänge zwischen 48 und 64 eingeben.
-
Einschalten DHCP-Rapid-Commit Wenn Sie einen Nachrichtenaustausch mit zwei Nachrichten (Anfordern und Antworten) anstelle eines Nachrichtenaustauschs mit vier Nachrichten (Anfordern, Anzeigen, Anfordern und Antworten) verwenden möchten. Diese Option ermöglicht eine schnellere Konfiguration.
Notiz
Sie müssen Rapid Commit im DHCPv6-Server aktivieren.
-
Geben Sie einen Gateway-Name.
-
Geben Sie einen Gateway-IP-Adresse.
Beschränkung
Sie können nicht festlegen, Gateway-IP-Adresse wenn Sie eingestellt haben Modus Zu Handbuch Und Staatenlos.
Verwenden Sie das delegierte IPv6-Präfix der WAN-Schnittstelle, um internen Schnittstellen und Endpunktgeräten automatisch IPv6-Adressen zuzuweisen.
- Wählen Sie die Upstream-Schnittstelle aus der Dropdown-Liste. Dies ist die WAN-Schnittstelle, die Sie mit DHCP-Präfixdelegierung konfiguriert haben. Die Firewall delegiert automatisch eine IPv6-Adresse und ein Präfix, das im IPv6-Adresse Feld.
- Einschalten Router-Werbung wenn die Firewall als RA-Server fungieren soll. Siehe IPv6-Router-Ankündigung.
- Einschalten DHCPv6-Server Wenn Sie einen DHCPv6-Server so konfigurieren möchten, dass er andere DHCP-Parameter wie DNS bereitstellt. Diese Option stellt keine IPv6-Adressen bereit.
- Geben Sie einen Gateway-Name Wenn Zone ist eingestellt auf VAN.
- Geben Sie einen Gateway-IP Wenn Zone ist eingestellt auf VAN.
Erweiterte Einstellungen
Porteinstellungen
Konfigurieren Sie die folgenden Einstellungen:
-
Link-Modus: Schnittstellengeschwindigkeit und Duplex für die Synchronisierung. Wählen Sie einen Modus aus der Liste aus.
Die angezeigten Optionen sind abhängig vom Gerätetyp.
Notiz
Eine Geschwindigkeitsdiskrepanz zwischen dem Gerät und Routern und Switches von Drittanbietern kann zu Fehlern oder Kollisionen, Verbindungsabbrüchen, erhöhter Latenz oder langsamer Leistung führen.
Notiz
Flexi-Port-Module in XGS 2100, 2300, 3100 und 3300 Firewalls erfordern die gleiche Geschwindigkeitskonfiguration für alle SFP+-Ports. Siehe Transceiver und SFP-Kompatibilitätsliste von Sophos und Drittanbietern.
-
Automatische Aushandlung des Medientyps: Automatische Aushandlung von Geschwindigkeit und Duplex. Schalten Sie es ein oder aus.
-
Vorwärtsfehlerkorrektur (FEC): FEC-Modus der Schnittstelle. Wählen Sie einen Modus aus der Liste aus.
Die angezeigten Optionen sind abhängig vom Gerätemodell.
Um die empfohlenen Einstellungen zu verwenden, gehen Sie wie folgt vor:
- Klicken Empfohlene Einstellungen anzeigen.
- Klicken Empfohlene Konfiguration laden.
So konfigurieren Sie 25-, 50- und 100-Gbit/s-Ports
Gehen Sie wie folgt vor, um 25-, 50- und 100-Gbit/s-Ports zu konfigurieren:
- Stellen Sie sicher, dass das Kabel richtig mit dem Anschluss verbunden ist.
- Gehen Sie in der Webadministrationskonsole zu Netzwerk > Schnittstellen.
- Bearbeiten Sie die Schnittstelle und Erweiterte Einstellungen, unter Porteinstellungen, wählen Sie die Verbindungsgeschwindigkeit in Link-Modus.
-
Klicken Speichern.
Dadurch wird der Link-Modus in der Hardware eingestellt.
-
Bearbeiten Sie die Schnittstelle erneut und Erweiterte Einstellungen, unter Porteinstellungenauf Empfohlene Einstellungen anzeigen.
- Klicken Empfohlene Konfiguration laden.
- Klicken Speichern.
Für alle anderen Ports, einschließlich 40-Gbit/s-Ports, werden Ihnen die empfohlenen Einstellungen sofort nach der Auswahl des Verbindungsmodus angezeigt.
Schnittstelleneinstellungen (IPv4- und IPv6-Einstellungen)
Konfigurieren Sie die folgenden Einstellungen:
-
PERSON: MTU-Wert (Maximum Transmission Unit) in Bytes. Dies ist die größte Paketgröße, die ein Netzwerk übertragen kann. Pakete, die den angegebenen Wert überschreiten, werden vor dem Senden in kleinere Pakete aufgeteilt.
Notiz
Wenn Sie den MTU-Wert von XFRM-Schnittstellen ändern, stellen Sie sicher, dass er mindestens 113 Bytes niedriger ist als die MTU-Größe der Abhörschnittstelle.
Beispiel:
MTU der Abhörschnittstelle: 1400
XFRM MTU: 1287 oder niedriger
Dies verhindert den Verlust von Paketen während der FastPath-Auslagerung, wenn die SSL/TLS-Entschlüsselung auf den IPsec-VPN-Verkehr angewendet wird.
-
MSS überschreiben: MSS (Maximale Segmentgröße) in Bytes. Dies ist die Datenmenge, die in einem TCP-Paket übertragen werden kann.
- Standard-MAC-Adresse verwenden: Verwenden Sie die Standard-MAC-Adresse der Schnittstelle. Standardmäßig wird der erste als Mitgliedsport enthaltene Port zur Standard-MAC-Adresse.
- Standard-MAC-Adresse überschreiben: Überschreiben Sie die Standard-MAC-Adresse der Schnittstelle und geben Sie eine neue Adresse ein. Beim Zurücksetzen auf die Werkseinstellungen wird die Adresse auf die Standard-MAC-Adresse zurückgesetzt.
Schnittstelleneinstellungen (Nur IPv6-Einstellungen)
Konfigurieren Sie die folgenden Einstellungen:
- DAD-Versuche: Anzahl der aufeinanderfolgenden Neighbor Solicitation-Nachrichten, die während der Durchführung der Duplicate Address Detection (DAD) für eine vorläufige Adresse gesendet wurden.
- Erlaubte RA-Server: Liste der MAC- oder IPv6-Adressen von Router Advertisement (RA)-Servern, von denen die Schnittstelle die zustandslose Konfiguration akzeptieren soll.