Управление ролями физических интерфейсов

Физические интерфейсы (порты) устройства Kaspersky NGFW могут иметь следующие роли:

• Интерфейс плоскости передачи данных (англ. data plane interface) предназначен для обработки пользовательского трафика.

  Интерфейсы плоскости передачи данных могут принимать и отправлять Jumbo-кадры со значением L2 MTU (максимальная единица передачи, англ. maximum transmit unit) от 64 до 9216 байт. Если Kaspersky NGFW получает кадр (далее также "пакет"), у которого L2 MTU больше 9216 байт, такой пакет отбрасывается. Вы не можете изменить допустимое значение L2 MTU для Kaspersky NGFW.

• Выделенный интерфейс управления (англ. dedicated management interface) предназначен для управления устройством Kaspersky NGFW. Когда на устройство Kaspersky NGFW идет атака, направленная на отказ в обслуживании, или похожий трафик, устройство остается доступным через выделенные интерфейсы управления.

Вы можете изменять роли физических интерфейсов по отдельности, а также назначать одну роль сразу нескольким физическим интерфейсам, если к устройствам этих интерфейсов применен один сетевой шаблон. По умолчанию Kaspersky NGFW поставляется с одним физическим выделенным интерфейсом управления. Все остальные физические интерфейсы являются интерфейсами плоскости передачи данных.

В списке сетевых интерфейсов выделенные интерфейсы управления в столбце Тип отмечены тегом Выделенный порт управления.

Вы можете самостоятельно назначить любому количеству физических интерфейсов Kaspersky NGFW роль выделенных интерфейсов управления. Допускается ситуация, когда всем физическим интерфейсам назначена только роль интерфейса плоскости передачи данных или только роль выделенного интерфейса управления.

Вы можете изменять роль физического интерфейса Kaspersky NGFW также с помощью командной строки. Роль выделенного интерфейса управления может быть назначена только физическим интерфейсам в следующих случаях:

• У физического интерфейса нет сабинтерфейсов.

  Требуется сначала удалить сабинтерфейсы физического интерфейса, если вы хотите назначить ему роль выделенного интерфейса управления.

• Физический интерфейс не входит в состав агрегированного интерфейса.

  Требуется сначала исключить физический интерфейс из агрегированного интерфейса, если вы хотите назначить ему роль выделенного интерфейса управления.

• Физический интерфейс не является агрегированным интерфейсом.
• Физический интерфейс не входит в состав сетевого моста (англ. bridge).
• Физический интерфейс не добавлен в зону безопасности типа L2.

Управление ролями физических интерфейсов через Консоль

Чтобы изменить роль физического интерфейса Kaspersky NGFW:

1. В главном меню Консоли Open Single Management Platform перейдите в раздел Приложения и сервисы → NGFW.
2. Перейдите к списку интерфейсов одним из следующих способов:
   • Если вы хотите роль интерфейса в шаблоне устройств, в меню откройте вкладку Сетевые шаблоны, нажмите на шаблон устройства и выберите раздел Интерфейсы.
   • Если вы хотите изменить роль интерфейса на устройстве Kaspersky NGFW, в меню откройте вкладку Устройства, нажмите на устройство Kaspersky NGFW и выберите раздел Интерфейсы.

   Отобразится таблица сетевых интерфейсов.

3. Выполните одно из следующих действий:
   • Если вы хотите создать новый интерфейс и назначить ему роль выделенного интерфейса управления, нажмите Создать верхней рабочей области.
   • Если вы хотите назначить роль выделенного интерфейса управления существующему физическому интерфейсу, выберите в таблице интерфейс с типом Физический и нажмите Изменить в верхней рабочей области.

     Вы не можете изменить роль существующего интерфейса, если у него есть сабинтерфейсы, он входит в состав агрегированного интерфейса или сетевого моста.

4. В открывшейся панели во вкладке Общее в параметре Роль выберите необходимый вариант – Плоскость передачи данных или Выделенный порт управления и сохраните изменения.

5. Если вы изменили роль интерфейса на конкретном устройст

   ве Kaspersky NGFW, перезагрузите это устройство, чтобы изменения вступили в силу.
6. Если вы изменили роль интерфейса в шаблоне, перезагрузите все устройства, которые используют параметры интерфейсов из этого шаблона (в параметрах интерфейса на устройстве выключен переключатель Переопределить), чтобы изменения вступили в силу.

Управление ролями физических интерфейсов через командную строку

Чтобы изменить роль физического интерфейса Kaspersky NGFW через командную строку:

1. Если вы хотите узнать роль определенного интерфейса, выполните следующую команду:

   show interfaces name <название интерфейса>

2. Перейдите в меню настройки интерфейса, выполнив в командной строке следующую команду:

   interface <название интерфейса>

   где <название интерфейса> – это название физического интерфейса, роль которого вы хотите изменить.

3. Перейдите к настройке роли физического интерфейса, выполнив команду control.
4. Назначьте физическому интерфейсу необходимую роль, выполнив одну из следующих команд:
   • dataplane-interface – назначить роль интерфейса плоскости передачи данных (data plane port).

     Интерфейс плоскости передачи данных будет включен в сегмент сети VRF Main. Для некоторых платформ невозможно назначить некоторым физическим интерфейсам роль интерфейса плоскости передачи данных.

   • no dataplane-interface – назначить роль выделенного интерфейса управления.

     Если до назначения роли выделенного интерфейса управления физический интерфейс был включен в зону безопасности, для выделенного интерфейса управления зона безопасности будет сброшена и недоступна для настройки. Выделенный интерфейс управления будет включен в сегмент сети VRF Management.

5. Если вы хотите выйти из активного меню, выполните следующую команду:

   exit

6. Примените изменения конфигурации Kaspersky NGFW и перезагрузите устройство, чтобы изменения вступили в силу.

Описание семейств команд и ссылку на полный список команд для настройки работы Kaspersky NGFW вы можете найти в разделе Управление Kaspersky NGFW с помощью командной строки.

Особенности и ограничения выделенных интерфейсов управления

Выделенные интерфейсы управления имеют следующие особенности и ограничения:

• Вы не можете включить выделенный интерфейс управления в зону безопасности.

  При назначении интерфейса в качестве выделенного интерфейса управления параметры зоны безопасности недоступны.

• Вы не можете изменить тип сегмента сети выделенного интерфейса управления. По умолчанию они включаются в сегмент сети VRF Management.

  Только интерфейсы с ролью выделенного интерфейса управления могут быть включены в сегмент сети VRF Management. При смене роли интерфейса на выделенный порт управления он автоматически включается в сегмент сети VRF Management.

• Вы не можете создавать для выделенных интерфейсов управления сабинтерфейсы.
• Вы не можете добавлять выделенные интерфейсы управления в агрегированные интерфейсы или в состав сетевого моста.

В начало