因特网 / 网络设置如果服务器只有一个以太网界面,在网页上 网络 项下的第一个的功能选项只会显示为 网络设置,而不会有LAN/DHCP的功能选项,因为只有一个以太网界面的系统,DHCP服务器的服务不会在该接口启动。
如果服务器拥有一个以上的以太网界面,则在网页上 网络 项下的第一个功能选项会显示为 因特网,其中,第一个以太网界面(称为eth0)会在防火墙准备好时被指派为连接外部网络的“以太网界面”,而第二个以太网界面会(eth1)被用来连接防火墙所保护的内部网络(称为局域网络接口)。
服务器中eth0的IP地址,它应是一个固定IP地址,在此状况下,其它人可以明确无误地存取服务器。为了方便初次从Web界面设置服务器,我们仍然提供透过DHCP客户端或PPPoE自动获取IP地址的方法。系统在一开始尚未做任何设置之前,在以太网界面eth0上,是会先执行DHCP客户端的。一旦网络允许您使用Web浏览器去存取服务器,您应该取消系统在原先执行的DHCP客户端的 自动设置 ,并指定IP地址。
eth0获取IP地址有三个选项:
1. 透过DHCP客户端(自动设置“Yes”后之DHCP选项)
2. 透过PPPoE(自动设置“Yes”后之PPPoE选项)
3. 固定IP(手动设置,取消“Yes”的核取项目送出)
您仅可从中择一。如果使用PPPoE,那就不能再用DHCP客户端和固定IP;如使用了静态IP(将自动项目里“Yes”的核取项目取消送出),则其它两项就不能使用了。
当选择自动设置时,您也需要指定究竟想要使用哪种方式去获取IP地址,如DHCP客户端或PPPoE;一旦选择DHCP或者PPPoE,系统会忽略此菜单中的其它如IP地址、子网掩码、预设网关和DNS服务器等项目。DHCP的参数如IP地址、子网掩码、预设网关和DNS服务器,都是从eth0隶属的子网络的DHCP服务器上获得的。针对PPPoE的情况,必须要将相应的数据填入PPPoE页面中。
IP别名 (IP Aliasing) 的特点是一个以太网界面可以拥有若干IP地址。通常,因先前指定的主IP地址在eth0上,这若干的“别名”IP地址应居于同一个子网络。指定一个不属于此子网络的IP地址是没有意义的,除非您的子网络并未被很好地隔开。
这里,我们要快速介绍一下“子网络”的概念。您通常会看到类似于61.2.34.56或者192.168.1.34如此的IPv4地址;实际上,它代表一个32位二进制的数据流。例如,
1.2.3.4 →00000001 00000010 00000011 00000100
61.2.34.56 → 00111101 00000010 00100010 00110100
上面符号中的每个0和1都是一“位”。为分辨一组IP地址是否属于同一子集,您可执行位对位逻辑运算(bit-wise AND),并检查结果是否一样。如结果一样,那我们就可以说这组IP地址属于同一子网络。我们以下列方式详细解释什么是AND操作:
0 AND 0 → 0
0 AND 1 → 0
1 AND 0 → 0
1 AND 1 → 1
IP 地址 1.2.3.4 有着 网络屏蔽(netmask) 255.255.255.0
00000001 00000010 00000011 00000100
AND ) 11111111 11111111 11111111 00000000
- >> 00000001 00000010 00000011 00000000
(AND操作的结果是1.2.3.0。有时,我们将此子网络表示为1.2.3.0/24,因为在子网掩码上有24个“1”。一个有效的子网掩码在开头时是连贯的1。所以,您不用担心如何将那24个1放入32个位置中)
IP别名 可以与防火墙中的 端口转送 (Port Forwarding) 结合起来,将工作量分派给数个服务器来处理。防火墙的特征会在后面章节作介绍。
PPPoE (以太网络点对点服务)
PPPoE基于以太网络上的点对点的协定。通常,DSL服务商(即ISP) 用它来控制针对他们网络的存取。以太网络的最大传输单元一般是1500字节。但是在PPPoE的封包前面加入两个字节的信息,包含MTU(一次传送数据中,最大的数据量)的信息在PPP封包里,这时候PPP封包的长度至少为1492字节。为安全起见,请最好把将在服务器后面的主机的MTU值都设低一点。DSL服务商 (即ISP) 会将帐号和密码给您,让您能在此页中输入该数据。
LAN/DHCP
如果服务器只有一个以太网界面,则不会有 LAN/DHCP 的功能选项。当系统拥有两个以太网界面时,此功能接口才会显现。
第一个以太网界面eth0是用来连接外部网络的。第二个接口eth1则是连接本地网络所用的。有时,我们称其为LAN (局域网络)。
LAN接口需要拥有一个IP地址。假设此接口上的DHCP服务器在开启状态,子网络上的机器如保持以 DHCP客户端来运行,则子网络上的机器便可从此服务器上获取IP地址,此DHCP服务器将在一个指定的IP范围内,分派IP地址给各个机器。
我们再三反复强调--请记住:一个子网络只能运行一个DHCP服务器。如同一网络上有一个以上的DHCP服务器在运行,您将无法确定DHCP客户端究竟是从哪个特定的DHCP服务器上获取他们的IP地址。另外,一般情况下,有一些网络设置是与DHCP相关联的。如果在同一子网络上存在一个以上的DHCP服务器,将会导致在DHCP客户端的网络设置发生一些冲突,以至于从错误的服务器上获取错误的信息。
范例:由局域网络的接口去分派IP地址
让我们用上面的图表作范例。点击 System >> 网络 >> DHCP/LAN,按如下设置:
IP 地址: 172.16.9.1
子网掩码: 255.255.255.0
启动DHCP服务器 (on)
启始 IP: 172.16.9.100
终点 IP: 172.16.9.200
因DHCP服务器在接口eth1上开启,如A、B和C主机各自保持DHCP客户端运行,它们都将获取一个在172.16.9.100 到172.16.9.200之间的IP地址。
此外,设置网络时必须要格外小心。许多人都在使用LAN连接外部网络时错误地使用了相互冲突的IP地址。例如,如您的外部网络是172.16.9.0/24,那LAN就应在设置时避免这一系列的IP地址。
记住此原则来避免网络冲突非常重要。当您使用防火墙把办公室与实验室之间作分隔,或在现有网络中建构一个无线基地台时,使用了相互冲突的IP地址,是一个常见的错误。这种情形常在您临时将自己的机器,置于一个现有网络中并在该地设置完成后,然后又将它带到其它地方去时经常发生。我们会在后面的内容中详细叙述。
如果DHCP服务器处于关闭状态,那eth1接口会变成一个寻常的以太网界面。请注意DHCP客户端并未在接口eth1运行,它就不会从其它DHCP服务器上获取IP地址。如果您想要关闭此接口上的DHCP服务器,一定要确保您要为eth1设置正确的IP地址。
您会有机会将此服务器设置安装到私有网络,以作为分隔传输。(请查阅档案结尾部分 部署设置 章节中的“分隔办公室和实验室之间的网络传输”)如机器上有两个以太网界面,在首次设置中,防火墙会自动运行。当您为eth0和eth1设置IP地址时,您要小心避免使它们属于同一个网络。例如,如果eth0属于192.168.1.0/24,您就不能将eth1也置于此网络。而应将之置于如172.16.2.1中,在此状况下,它就不会与IP地址在192.168.1.0/24中的其它机器冲突了。
静态路由
静态路由 是用来指定关联的网关,以明确地使网络传输至某特定子网络。例如,至网络172.16.9.0/24的传输须经由192.168.11.10,那您就需要在路由表中指定它,以使传输到达正确的地方。
范例:设置静态路由
在上图中,防火墙后的本地网络是192.168.11.0/24。然而,在G网关后有另一个网络172.16.9.0/24。G有两个以太网界面:一个的IP是192.168.11.10,另一个的IP是属于172.16.9.0/24的。因此,如果我们要经过G将传输从192.168.11.1传送172.16.9.0/24,我们要这么设置:
目的网络:172.16.9.0
子网掩码:255.255.255.0
网关:192.168.11.10
请注意,此网关不是“预设网关”;这只是至172.16.9.0/24的预设网关。而且,进行上面的设置并不能保证防火墙eth1和网关后的另一个服务器(表示为A 如上图 2.4)就可以平稳地连接了。A处也需要相同的设置,在此状况下,它就知道网络192.168.11.0/24是相应地在网关G背后的。正如图表中所示,A主机需要将它的网关设为172.16.9.1,以连接192.168.11.0/24。在此状况下,,防火墙至A的传输就可以拥有正确的路由以得到从A发出的封包。
重新启动
当系统设置有做过涉及网络相关的变更,或是一连串的更动,都需要重新启动系统,以确保新的设置值有真正被加载,系统才能如预期的运作。
欲重启系统,在Web端接口可点选至此页面按下重新启动按钮即可重启,或按下接口右上方的红色重新启动图示亦可。
|
已拥有固定IP的情况下设置的方式。如固接式网络或是原网络中有DHCP主机的存在。