Nội dung bài viết
8. GRE (Generic Routing Encapsulation)
Generic Routing Encapsulation (GRE) là một phương pháp truyền lưu lượng dữ liệu qua đường hầm giữa hai điểm cuối mà không cần mã hóa. Nó có thể được sử dụng để định tuyến các gói tin giữa hai địa điểm không được kết nối trực tiếp, mà không yêu cầu mã hóa. Nó cũng có thể được kết hợp với phương pháp mã hóa không thực hiện đường hầm của chính nó. IPsec trong chế độ transport có thể sử dụng GRE để đào đường hầm mã hóa lưu lượng dữ liệu bằng cách cho phép định tuyến truyền thống hoặc sử dụng các giao thức định tuyến. Giao thức GRE ban đầu được thiết kế bởi Cisco, và nó là chế độ đường hầm mặc định trên nhiều thiết bị của họ.
• Di chuyển tới Interfaces > assignments rồi chọn tab GRE
• Click Add để tạo GRE mới hoặc hoặc click edit để chỉnh sửa interface hiện có.
• Hoàn thành việc cài đặt như sau:
Parent interface Giao diện mà đường hầm GRE sẽ kết thúc. Thường sẽ là kết nối WAN hoặc các kiểu WAN.
GRE Remote Address Địa chỉ ngang hàng. Đây là địa chỉ mà các gói tin GRE sẽ được gửi bởi firewall này.
GRE tunnel local address Địa chỉ nội bộ cho phần cuối của đường hầm trên firewall này. FIrewall sẽ sử dụng địa chỉ này cho lưu lượng truy cập của chính nó trong đường hầm, và lưu lượng truy cập từ xa theo đường hầm sẽ được gửi đến địa chỉ này bởi remote peer.
GRE tunnel remote address Địa chỉ được firewall sử dụng bên trong đường hầm để đến đầu cuối cùng. Lưu lượng dữ liệu dành cho đầu cuối của đường hầm phải sử dụng địa chỉ này làm một gateway cho mục đích định tuyến.
GRE Tunnel Subnet Subnet mask cho địa chỉ interface GRE.
Description Mô tả ngắn gọn về đường hầm GRE này cho mục đích nhận diện.
• Click Save dể lưu
9. GIF (Generic tunnel InterFace)
A Generic Tunneling Interface (GIF) giống như GRE. Cả hai giao thức này đều là phương tiện để tạo đường hầm giữa hai máy chủ mà không cần mã hóa. Ngoài việc thêm đường hầm trực tiếp IPv4 hoặc IPv6, GIF có thể được sử dụng để tạo đường hầm IPv6 qua các network IPv4 và ngược lại. Đường hầm GIF thường được sử dụng để có được kết nối IPv6 tới đường hầm trung gian như Hurricane Electric ở những nơi kết nối IPv6 không khả dụng.
• Đi chuyển đến Interfaces > assignments rồi chọn tab GIF.
• Click Add để tạo một GIF mới, hoặc click edit để chỉnh sửa interface hiện có.
• Hoàn thành việc cài đặt như sau:
Parent interface mà trên đó đường hầm GIF sẽ kết thúc. Thường sẽ là kết nối WAN hoặc các kiểu WAN.
GIF Remote Address Địa chỉ ngang hàng nơi các gói tin GIF đóng gói sẽ được gửi bởi firewall; Địa chỉ bên ngoài có thể định tuyến ở đầu cuối của đường hầm.
GIF tunnel local address địa chỉ nội bộ dành cho điểm cuối của đường hầm trên firewall này. Firewall sẽ sử dụng địa chỉ này cho lưu lượng truy cập của chính nó trong đường hầm,và lưu lượng truy cập từ xa theo đường hầm sẽ được gửi đến địa chỉ này bởi the remote peer.
GIF tunnel remote address Địa chỉ được tường lửa sử dụng bên trong đường hầm để đến đầu kia. Lưu lượng truy cập đến đầu kia của đường hầm phải sử dụng địa chỉ này làm gateway cho mục đích định tuyến.
GIF Tunnel Subnet Subnet mask hoặc prefix length cho địa chỉ interface.
Route Caching Tuỳ chọn bộ nhớ cache route điều khiển route đến điểm cuối từ xa có được lưu vào bộ nhớ đệm hay không. Nếu đường dẫn đến remote peer là tĩnh, cài đặt này có thể tránh một lần tra cứu route cho một gói tin. Tuy nhiên, nếu đường dẫn phía xa có thể bị thay đổi, tùy chọn này có thể dẫn đến lưu lượng truy cập GIF không lưu thông khi route thay đổi.
ECN Friendly Behavior tuỳ chọn ECN Friendly Behavior điều khiển xem có hay không có Explicit Congestion Notification (ECN)- thực hành thân thiện với việc sao chép bit TOS vào / ra đường hầm lưu lượng truy cập được thực hiện bởi firewall. Theo mặc định tường lửa xóa bit TOS trên các gói tin hoặc set nó thành 0, tùy thuộc vào hướng lưu lượng truy cập. Với cài đặt tùy chọn này, bit được sao chép khi cần thiết giữa các gói bên trong và bên ngoài để thân thiện hơn với các router trung gian có thể thực hiện định hình lưu lượng truy cập. Hành vi này phá vỡ RFC 2893 vì vậy nó chỉ phải được sử dụng khi cả hai peer đồng ý bật tùy chọn.
Outer Source Filtering Tắt tính năng lọc tự động của nguồn GIF bên ngoài để đảm bảo khớp với ứng dụng ngang hàng từ xa đã định cấu hình. Khi bị tắt, lọc martian và inbound không được thực hiện, điều này cho phép định tuyến không đối xứng của lưu lượng bên ngoài.
Description Mô tả ngắn gọn về đường hầm GRE này cho mục đích nhận diện
• Click Save
10. LAGG (Link Aggregation)
Link aggregation được xử lý bởi các giao diện loại lagg (LAGG) trên pfSense. LAGG kết hợp nhiều giao diện vật lý với nhau như một giao diện logic.
Để tạo hoặc quản lý interface LAGG:
• Đi chuyển đến Interfaces > assignments rồi chọn tab LAGGs.
• Click Add để tạo một LAGG mới, hoặc click edit để chỉnh sửa interface hiện có
• Hoàn thành việc cài đặt như sau:
Parent Interfaces Danh sách này chứa tất cả các giao diện hiện chưa được gán và các thành viên của giao diện LAGG hiện tại khi chỉnh sửa phiên bản hiện có. Để thêm giao diện vào LAGG này, hãy chọn một hoặc nhiều giao diện trong danh sách này..
Note: Một interface chỉ có thể được thêm vào một nhóm LAGG nếu nó không được gắn. Nếu một interface không có trong danh sách, nó có khả năng đã được gắn như là một interface.
LAGG Protocol Hiện tại có sáu chế độ hoạt động khác nhau cho interface LAGG: LACP, Failover, Load Balance, Round Robin, và None.
LACP Hỗ trợ IEEE 802.3ad Link Aggregation Control Protocol (LACP) và Marker Protocol. LACP sẽ thương lượng một tập hợp các liên kết tập hợp với các peer trong một hoặc nhiều Link Aggregated Groups. Mỗi LAG bao gồm các cổng có cùng tốc độ, được set thành full-duplex. Lưu lượng truy cập sẽ được cân bằng trên các port trong LAG với tổng tốc độ lớn nhất, trong hầu hết các trường hợp sẽ chỉ có một LAG có chứa tất cả các port. Trong trường hợp có thay đổi về kết nối vật lý, Link Aggregation sẽ nhanh chóng chuyển sang một cấu hình mới.
Failover Chỉ gửi và nhận lưu lượng truy cập thông qua port master. Nếu port master không khả dụng thì cổng hoạt động tiếp theo sẽ được sử dụng. Interface đầu tiên được thêm vào là port master; mọi interface được thêm vào sau đó được sử dụng làm thiết bị chuyển đổi dự phòng.
Load Balance Chế độ Load Balance chấp nhận lưu lượng đến trên bất kỳ cổng nào của nhóm LAGG và cân bằng lưu lượng đi trên bất kỳ cổng nào đang hoạt động trong Group LAGG. Lưu lượng ra ngoài được cân bằng tải dựa trên tất cả các port đang hoạt động trong LAGG bằng cách sử dụng hàm chia nhỏ được tính bằng một số yếu tố, chẳng hạn như địa chỉ IP nguồn và đích, địa chỉ MAC và thẻ VLAN.
Round Robin Chế độ này chấp nhận lưu lượng vào trên bất kỳ cổng nào của nhóm LAGG và gửi lưu lượng truy cập đi bằng thuật toán round robin scheduling. Thông thường, điều này có nghĩa là lưu lượng truy cập đó sẽ được gửi theo trình tự, sử dụng lần lượt từng giao diện trong nhóm.
Description Mô tả ngắn gọn về đường hầm LAGG này cho mục đích nhận diện
• Click Save
11. Interface Configuration
Giao diện mới được gán sẽ được hiển thị trong danh sách. Interface mới sẽ có tên mặc định do firewall cấp, chẳng hạn như OPT1 hoặc OPT2, với số thứ tự ngày càng tăng dựa trên thứ tự gán port. Hai giao diện đầu tiên mặc định có tên WAN và LAN nhưng chúng có thể được đổi tên. Các tên OPTx xuất hiện trong menu Interface, chẳng hạn như Interface > OPT1
12. Physical and Virtual Interfaces
Theo mặc định, danh sách này chỉ bao gồm các interface vật lý, nhưng các tab khác trong Interfaces > assignments có thể tạo interface ảo mà sau đó có thể được gán. Các giao diện trên pfSense hỗ trợ nhiều tổ hợp tùy chọn khác nhau trên chính các giao diện. Chúng cũng có thể hỗ trợ nhiều mạng và giao thức trên một interface duy nhất, hoặc nhiều interface có thể được liên kết với nhau thành một dung lượng lớn hơn hoặc Virtual Interface dự phòng.
Tất cả các giao diện được đối xử bình đẳng; Mọi giao diện đều có thể được cấu hình cho bất kỳ loại kết nối hoặc vai trò nào. Các giao diện WAN và LAN mặc định có thể được đổi tên và sử dụng theo các cách khác.
Interface vật lý và interface ảo được xử lý giống nhau sau khi được gán và có cùng khả năng.