Physikalische Schnittstellen konfigurieren

Sie können die allgemeinen, IPv4-, IPv6- und erweiterten Einstellungen einer physischen Schnittstelle konfigurieren.

Allgemeine Einstellungen

Konfigurieren Sie die folgenden Einstellungen:

1. Name: Geben Sie einen Namen ein. Sie können diesen später ändern. Es dürfen maximal 58 Zeichen verwendet werden.
2. Hardware: Eine physische Schnittstelle, zum Beispiel Port1, PortA oder eth0. Diese kann nicht geändert werden.

3. Ausbruchmodus: Wählen Sie eine Breakout-Konfiguration, um Hochgeschwindigkeitsschnittstellen in zwei oder mehr Schnittstellen mit niedrigeren Geschwindigkeiten aufzuteilen. Siehe Breakout-Schnittstellen.

   Beschränkung

   Diese Option ist nur bei Geräten der XGS-Serie verfügbar, die Breakout-Schnittstellen unterstützen.

4. Netzwerkzone: Der Schnittstelle zugewiesene Zone.

IPv4-Konfiguration

Sie können eine physische Schnittstelle mit einer statischen IP-Adresse, einem PPPoE-Benutzernamen und -Passwort oder automatisch mit DHCP konfigurieren.

1. Wählen IPv4-Konfiguration.

2. Wählen Sie die IP-Zuweisung Methode aus den folgenden Optionen:

   • Statisch: Weisen Sie der Schnittstelle eine statische IP-Adresse und ein Gateway zu.
   • PPPoE: Verwenden Sie den Benutzernamen und das Passwort, die Sie von Ihrem Internetanbieter erhalten haben, um eine IP-Adresse von einem PPPoE-Server zu beziehen.

   • DHCP: Eine IP-Adresse von einem DHCP-Server beziehen.

     Notiz

     Die Firewall unterstützt keine Differentiated Services Field Codepoints (DSCP) für systemgenerierten DHCP- und ARP-Verkehr, beispielsweise wenn die Firewall als DHCP-Client, Relay-Agent oder Server fungiert.

   Beschränkung

   Die IP-Zuweisung kann auf keiner Schnittstelle, auf der ein VLAN konfiguriert ist, von statisch auf PPPoE oder DHCP geändert werden.

   StatischPPPoEDHCP

   Sie können der Schnittstelle eine statische IP-Adresse zuweisen.

   1. Geben Sie eine IPv4-Adresse für die Schnittstelle ein.
   2. Ändern Sie die Subnetzmaske bei Bedarf.
   3. Geben Sie einen ein Gateway-Name.
   4. Geben Sie einen ein Gateway-IP-Adresse.

   Sie können den Benutzernamen und das Passwort Ihres Internetanbieters verwenden, um eine IP-Adresse von einem PPPoE-Server zu erhalten.

   1. Geben Sie eine IPv4-Adresse für die Schnittstelle ein.
   2. Ändern Sie die Subnetzmaske bei Bedarf.

   3. Geben Sie die Bevorzugte IP-Adresse Adresse für die PPPoE-Verbindung. Viele Internetanbieter weisen PPPoE-Verbindungen eine statische IP-Adresse zu. Die Firewall ermöglicht es Ihnen, diese statische IP-Adresse an die PPPoE-Verbindung zu binden.

      Notiz

      Je nach Konfiguration des PPPoE-Servers kann der PPPoE-Verbindung eine andere als die bevorzugte IP-Adresse zugewiesen werden.

   4. Geben Sie einen ein Gateway-Name.

   5. Geben Sie einen ein Gateway-IP-Adresse.
   6. Geben Sie den Benutzernamen des PPPoE-Kontos ein.
   7. Geben Sie das PPPoE-Kontopasswort ein.
   8. Geben Sie die Zugangskonzentrator/Dienstname: Die Firewall initiiert nur solche Sitzungen mit dem Zugriffskonzentrator, die den angegebenen Dienst bereitstellen können.

   9. Wählen LCP-Echointervall Geben Sie den Wert nur dann ein, wenn Sie den Standardwert ändern möchten. Die Firewall sendet in diesen Intervallen Echo-Anfragen, um zu prüfen, ob die Verbindung aktiv ist.

      Notiz

      Das Deaktivieren des Kontrollkästchens schaltet LCP nicht aus. Es setzt lediglich das Intervall auf den Standardwert (20 Sekunden) zurück.

   10. Wählen LCP-Fehler Geben Sie den Wert nur dann ein, wenn Sie die Standardanzahl der Echo-Anfragen ändern möchten. Erhält die Firewall nach diesen Anfragen keine Antwort vom Client, trennt sie die PPPoE-Verbindung.

       Notiz

       Das Deaktivieren des Kontrollkästchens schaltet LCP nicht ab. Es setzt lediglich die Anzahl der Echo-Anfrageversuche auf den Standardwert (3) zurück.

   11. Geben Sie die Vereinbaren Sie einen Termin für die Wiederverbindung.: Die einer PPPoE-Verbindung zugewiesene Adresse, ob dynamisch oder statisch (bevorzugt), kann eine vordefinierte Gültigkeitsdauer haben. Nach Ablauf der Gültigkeit wird die PPPoE-Verbindung getrennt und neu aufgebaut. Um einen erneuten Verbindungsaufbau während der Arbeitszeit zu verhindern, aktivieren Sie den PPPoE-Wiederaufbauplan.

       Wenn die Verbindung wiederhergestellt wird, kann der PPPoE-Verbindung eine dynamische Adresse anstelle der bevorzugten IP-Adresse zugewiesen werden.

   12. Unter DSL-Einstellungen, einschalten VDSL Wenn Sie möchten, dass die Firewall automatisch ein VLAN für die PPPoE-Verbindung erstellt, und dann ein VLAN angeben, dann VLAN-Tag Dafür. Wenn Sie es aktivieren, müssen Sie kein VLAN manuell erstellen. Schnittstelle > Schnittstelle hinzufügen > VLAN hinzufügen.

   Sie können eine IP-Adresse von einem DHCP-Server beziehen.

   1. Geben Sie eine IPv4-Adresse für die Schnittstelle ein.
   2. Ändern Sie die Subnetzmaske bei Bedarf.
   3. Geben Sie einen ein Gateway-Name.
   4. Geben Sie einen ein Gateway-IP-Adresse.

IPv6-Konfiguration

Um eine WAN-Schnittstelle zu konfigurieren, können Sie Folgendes verwenden: Statisch oder DHCP: Um eine interne Schnittstelle zu konfigurieren, können Sie Folgendes verwenden: Statisch, DHCP, oder Delegiert Methoden.

Auswahl DHCP für eine WAN-Schnittstelle und Delegiert Für eine interne Schnittstelle können Sie die IPv6-Präfixdelegierung konfigurieren, um die IPv6-Adressierung in Ihrer Umgebung zu vereinfachen. Siehe DHCP-Präfixdelegierung.

1. Wählen IPv6-Konfiguration.

2. Wählen Sie die IP-Zuweisung Methode aus den folgenden Optionen:

   • Statisch: Weisen Sie jeder Schnittstelle eine statische IP-Adresse zu.
   • DHCP: Eine IPv6-Adresse von einem DHCPv6-Server oder durch Präfixdelegierung vom ISP beziehen.

   • Delegiert: Weisen Sie internen Schnittstellen eine IPv6-Adresse unter Verwendung des vom ISP delegierten Präfixes zu.

     Notiz

     Die Firewall unterstützt DSCP nicht für systemgenerierten DHCP- und ARP-Verkehr, beispielsweise wenn die Firewall als DHCP-Client, Relay-Agent oder Server fungiert.

   Beschränkung

   Die IP-Zuweisung kann auf keiner Schnittstelle mit konfiguriertem VLAN von statisch auf DHCP oder delegiert geändert werden.

   StatischDHCPDelegiert

   Sie können eine statische IP-Adresse für die WAN- und internen Schnittstellen festlegen.

   1. Geben Sie eine IPv6-Adresse für die Schnittstelle ein.
   2. Ändern Sie das Präfix, wenn Sie möchten.
   3. Geben Sie einen ein Gateway-Name.
   4. Geben Sie einen ein Gateway-IP-Adresse.

   Sie können eine IP-Adresse und weitere Parameter von einem DHCPv6-Server beziehen. Sie können ein IPv6-Präfix von Ihrem Internetdienstanbieter erhalten und dieses mithilfe der DHCP-Präfixdelegierung an interne Schnittstellen weiterleiten.

   1. Wählen Sie die Modus Konfiguration einer IPv6-Adresse mithilfe zustandsbehafteter oder zustandsloser Methoden.

      • Auto: Eine IPv6-Adresse wird der Schnittstelle automatisch gemäß der verwendeten Konfigurationsmethode zugewiesen. Die Methode kann sein: DHCP-only oder Staatenlos.

      • Handbuch: Wählen Sie je nach Ihrer Methode (DHCPv6 oder SLAAC) zur Zuweisung einer IPv6-Adresse an die Schnittstelle eine der folgenden Optionen aus:

        • Mit DHCP-only: Die Firewall weist der Schnittstelle die vom DHCPv6-Server bereitgestellte Adresse und weitere Parameter zu.
        • Mit Staatenlos: Die Firewall weist die Schnittstellenadresse mithilfe der zustandslosen Adressautokonfiguration (SLAAC) gemäß den in der Router Advertisement (RA)-Nachricht angegebenen Flags „Managed Address Configuration“ (M) und „Other Configuration“ (O) zu. Sie können auswählen Andere Konfigurationen vom DHCP-Server akzeptieren Weitere Parameter können Sie über den DHCPv6-Server konfigurieren. Siehe Fügen Sie eine IPv6-Router-Werbung hinzu.

   2. Einschalten DHCP-Präfixdelegierung Wenn Sie ein von Ihrem Internetdienstanbieter delegiertes IPv6-Präfix wünschen. Siehe DHCP-Präfixdelegierung.

   3. Einschalten Bevorzugtes delegiertes Präfix Wenn Sie ein bevorzugtes Präfix angeben möchten, können Sie dies tun. Ihr Internetdienstanbieter kann Ihnen das bevorzugte Präfix oder ein anderes zuweisen. Die Präfixlänge muss zwischen 48 und 64 liegen.

   4. Einschalten DHCP-Schnellzuweisung Wenn Sie einen Austausch mit zwei Nachrichten (Anfrage und Antwort) anstelle eines Austauschs mit vier Nachrichten (Anfrage, Werbung, Anfrage und Antwort) verwenden möchten, bietet diese Option eine schnellere Konfiguration.

      Notiz

      Sie müssen Rapid Commit auf dem DHCPv6-Server aktivieren.

   5. Geben Sie einen ein Gateway-Name.

   6. Geben Sie einen ein Gateway-IP-Adresse.

      Beschränkung

      Sie können die Einstellung nicht vornehmen. Gateway-IP-Adresse wenn Sie eingestellt haben Modus Zu Handbuch Und Staatenlos.

   Verwenden Sie das delegierte IPv6-Präfix der WAN-Schnittstelle, um internen Schnittstellen und Endgeräten automatisch IPv6-Adressen zuzuweisen.

   1. Wählen Sie die Upstream-Schnittstelle Wählen Sie aus der Dropdown-Liste die WAN-Schnittstelle aus, die Sie mit DHCP-Präfixdelegierung konfiguriert haben. Die Firewall delegiert automatisch eine IPv6-Adresse und ein Präfix, die in der Liste erscheinen. IPv6-Adresse Feld.
   2. Einschalten Router-Werbung Wenn die Firewall als RA-Server fungieren soll, siehe IPv6-Router-Werbung.
   3. Einschalten DHCPv6-Server Wenn Sie einen DHCPv6-Server so konfigurieren möchten, dass er weitere DHCP-Parameter wie DNS bereitstellt, verwenden Sie diese Option. Diese Option stellt keine IPv6-Adressen bereit.
   4. Geben Sie einen ein Gateway-Name Wenn Zone ist eingestellt auf VAN.
   5. Geben Sie einen ein Gateway-IP Wenn Zone ist eingestellt auf VAN.

Erweiterte Einstellungen

Porteinstellungen

Konfigurieren Sie die folgenden Einstellungen:

1. Verbindungsmodus: Schnittstellengeschwindigkeit und Duplexmodus für die Synchronisierung. Wählen Sie einen Modus aus der Liste.

   Die angezeigten Optionen hängen vom Gerätemodell ab.

   Notiz

   Geschwindigkeitsunterschiede zwischen dem Gerät und Routern und Switches von Drittanbietern können zu Fehlern oder Kollisionen, Verbindungsabbrüchen, erhöhter Latenz oder langsamer Leistung führen.

   Notiz

   Die Flexi-Port-Module der Firewalls XGS 2100, 2300, 3100 und 3300 erfordern für alle SFP+-Ports die gleiche Geschwindigkeitskonfiguration. Siehe Sophos- und Drittanbieter-Transceiver und SFP-Kompatibilitätsliste.

2. Automatische Aushandlung des Medientyps: Automatische Geschwindigkeits- und Duplex-Aushandlung. Ein- oder ausschalten.

3. Vorwärtsfehlerkorrektur (FEC): FEC-Modus der Schnittstelle. Wählen Sie einen Modus aus der Liste.

   Die angezeigten Optionen hängen vom Gerätemodell ab.

   Um die empfohlenen Einstellungen zu verwenden, gehen Sie wie folgt vor:

   1. Klicken Empfohlene Einstellungen anzeigen.
   2. Klicken Empfohlene Konfiguration laden.

So konfigurieren Sie 25-, 50- und 100-Gbit/s-Ports

Um 25-, 50- und 100-Gbit/s-Ports zu konfigurieren, gehen Sie wie folgt vor:

1. Vergewissern Sie sich, dass das Kabel ordnungsgemäß an den Anschluss angeschlossen ist.
2. Gehen Sie in der Web-Administrationskonsole zu Netzwerk > Schnittstellen.
3. Bearbeiten Sie die Benutzeroberfläche und in Erweiterte Einstellungen, unter Porteinstellungen: Wählen Sie die Verbindungsgeschwindigkeit aus in Verbindungsmodus.

4. Klicken Speichern.

   Dadurch wird der Verbindungsmodus in der Hardware festgelegt.

5. Bearbeiten Sie die Benutzeroberfläche erneut, und zwar in Erweiterte Einstellungen, unter Porteinstellungen, klicken Empfohlene Einstellungen anzeigen.

6. Klicken Empfohlene Konfiguration laden.
7. Klicken Speichern.

Bei allen anderen Ports, einschließlich der 40-Gbit/s-Ports, werden die empfohlenen Einstellungen direkt nach Auswahl des Verbindungsmodus angezeigt.

Schnittstelleneinstellungen (IPv4- und IPv6-Einstellungen)

Konfigurieren Sie die folgenden Einstellungen:

1. PERSON: MTU-Wert (Maximum Transmission Unit) in Byte. Dies ist die maximale Paketgröße, die ein Netzwerk übertragen kann. Pakete, die größer als der angegebene Wert sind, werden vor dem Versand in kleinere Pakete aufgeteilt.

   Notiz

   Wenn Sie den MTU-Wert von XFRM-Schnittstellen ändern, stellen Sie sicher, dass er mindestens 113 Bytes kleiner ist als die MTU-Größe der abhörenden Schnittstelle.

   Beispiel:

   MTU der Listening-Schnittstelle: 1400

   XFRM MTU: 1287 oder niedriger

   Dies verhindert Paketverluste während des FastPath-Offloads, falls die SSL/TLS-Entschlüsselung auf den IPsec-VPN-Datenverkehr angewendet wird.

2. MSS überschreiben: MSS (Maximale Segmentgröße) in Byte. Es handelt sich um die Datenmenge, die in einem TCP-Paket übertragen werden kann.

3. Standard-MAC-Adresse verwenden: Verwenden Sie die Standard-MAC-Adresse der Schnittstelle. Standardmäßig wird der erste als Mitgliedsport eingebundene Port zur Standard-MAC-Adresse.
4. Standard-MAC-Adresse überschreiben: Die Standard-MAC-Adresse der Schnittstelle kann überschrieben und eine neue Adresse eingegeben werden. Beim Zurücksetzen auf Werkseinstellungen wird die Adresse auf die Standard-MAC-Adresse zurückgesetzt.

Schnittstelleneinstellungen (nur IPv6-Einstellungen)

Konfigurieren Sie die folgenden Einstellungen:

1. DAD-Versuche: Anzahl der aufeinanderfolgenden Neighbor Solicitation-Nachrichten, die während der Duplicate Address Detection (DAD)-Durchführung auf einer vorläufigen Adresse gesendet wurden.
2. Zulässige RA-Server: Liste der MAC- oder IPv6-Adressen von Router Advertisement (RA)-Servern, von denen die Schnittstelle die zustandslose Konfiguration akzeptieren soll.