pfSense book之路由
发布时间:2025-10-25 点击:17
建站服务器
路由
网关
网关设置
网关组
静态路由
路由公共ip
路由协议
故障排查
防火墙的主要功能之一是进行路由通信。本章介绍几个与路由相关的主题,包括网关,静态路由,路由协议,公网ip地址的路由以及路由信息的显示。
网关
网关是路由的关键; 它们是通过其他网络可以到达的系统。 大多数人熟悉的网关类型是默认网关,它是系统连接到互联网或任何其他网络的路由器,它没有更具体的路由可以到达。 网关也用于静态路由,其中必须通过特定的本地路由器到达其他网络。 在大多数普通网络中,网关始终与系统上的其中一个接口位于同一个子网中。 例如,如果防火墙的ip地址为192.168.22.5/24,则到另一个网络的网关必须位于192.168.22.x之内。 一个值得注意的例外是点对点接口,如基于ppp协议中使用的接口,这些接口通常在另一个子网中具有网关ip地址,因为它们不以相同的方式使用。
网关地址系列(ipv4和ipv6)
使用路由和网关时,ipv4和ipv6地址的功能和过程相同,但给定路由的所有地址都必须包含同一系列的地址。 例如,ipv6网络必须使用ipv6网关/路由器进行路由。 无法为使用ipv4网关地址的ipv6网络创建路由。 在使用网关组时,也适用相同的限制; 网关组中的所有网关都必须具有相同的地址系列。
管理网关
在网关可用于任何目的之前,必须将其添加到防火墙配置中。
如果网关将用于wan类型接口,则可以将该网关添加到该接口的配置页面中,或者可以先手动添加网关,然后从接口的下拉列表中选择。
动态接口类型(如dhcp和pppoe)会收到一个在网关列表中标记为“动态”的自动网关。 这些网关的参数调整与静态网关的参数相同,但动态网关可能不会被删除。
添加或管理网关:
导航到系统>路由管理
单击网关选项卡
在列表的顶部或底部单击添加,创建新的网关
在现有网关的条目旁边单击编辑现有网关
单击条目旁边删除现有网关
单击禁用活动网关
单击启用被禁用的网关
网关设置
在添加或编辑网关时,会显示一个页面,其中列出了用于控制网关行为的所有选项。
唯一需要的设置是接口,名称和网关(ip地址)。
接口
通过网关到达的接口。例如,如果这是lan子网上的本地网关,请在此处选择lan接口。
地址系列
ipv4或ipv6,具体取决于此网关的地址类型。
名称
在网关列表中引用的网关的名称。 它只能包含字母数字字符或下划线,但不能包含空格。 例如:wangw,gw_wan和wangate有效,但不能是wan gw。
网关
网关的ip地址。如前所述,这必须位于在选定接口上直接配置的子网中。
默认网关
选中后,该网关将被视为系统的默认网关。这是当没有其他更具体的路由时使用它。 防火墙可以有一个ipv4默认网关和一个ipv6默认网关。
禁用网关监视
默认情况下,系统每秒会ping每个网关一次,以监控到达被监视ip地址的流量延迟和数据包丢失情况。 该数据用于网关状态信息显示。 如果出于任何原因不希望进行此监视,可以通过选中禁用网关监视来禁用它。 请注意,如果不监控网关状态,则多wan将无法正常工作,因为它无法检测到故障。
监视ip
该选项配置用于确定网关状态的ip地址。默认情况下,系统将ping网关ip地址。这并不总是可取的,特别是在网关ip地址是本地的情况下。在这种情况下,更有意义的是ping更远的上游,例如互联网上的isp dns服务器或服务器。另一种情况是,当isp易出现上游故障时,因此在互联网上ping主机是更准确的测试,以确定广域网是否可用,而不是测试链路本身。一些流行的选择包括google公共dns服务器或流行的网站,如google或yahoo。如果此框中指定的ip地址未直接连接,则会添加一条静态路由,以确保通过预期网关访问监控ip地址的流量。每个网关必须具有唯一的监控ip地址。
通过访问系统状态>网关或使用仪表板上的网关小部件可以检查防火墙感知的网关状态。如果网关显示online,则显示器ip地址正在成功返回ping。
强制状态
当选中“标记网关为关闭”时,即使从监视ip地址返回ping,网关也始终被视为关闭。 这对于wan运行不稳定并且网关转换导致中断的情况很有用。 网关可以被强制进入停机状态,以便其他网关可以成为首选,直到它稳定为止。
描述
网关条目的可选描述以供参考。关于它用于的网关或接口的简短说明,可以留空不填。
高级选项
可以更改多个参数以控制多wan场景中的网关监视或处理方式。 大多数用户不需要改变这些值。 要访问高级选项,请单击显示高级选项按钮。 如果设置了任何高级选项,则此部分会自动展开。 有关使用多个wan连接的更多信息,请参阅多个wan连接。
比重
使用多wan时,如果两个wan具有不同的带宽量,比重参数会调整wan使用的比率。 例如,如果wan1有5mbit / s,wan2有10mbit / s,则wan1的权重为1,wan2的权重为2.然后,每三个连接出去一个使用wan,两个使用wan2。 使用这种方法,可以更好地利用可用带宽进行分配。 可以选择从1到30的比重。
数据有效负载
为了节省带宽,默认情况下,dpinger守护程序会发送有效负载大小为0的ping,以便icmp回显请求中不包含任何数据。 但是,在极少数情况下,cpe,isp路由器或中间跳可能丢弃或拒绝没有有效载荷的icmp数据包。 在这些情况下,请将有效负载大小设置为大于0。通常,1的大小足以满足受影响的设备。
延迟阈值
该字段控制此网关认为正常的延迟量。该值以毫秒(ms)表示。 “from”字段中的值是将网关视为警告状态的下边界,但不会关闭。如果延迟超过“to”字段中的值,则会将其视为关闭并从服务中删除。这些字段中的正确值可能因所使用的连接类型以及防火墙和监视ip地址之间的isp或设备而异。默认值是从300到500。
其他一些常见情况可能需要调整这些值。例如,即使在更高的延迟时间内,一些dsl线路也可以正常运行,因此将to参数增加到700或更多时,可以降低网关被视为关闭的次数,事实上,它的运行是可以接受的。另一个例子是通过一个gif隧道连接到一个提供商,比如he.net for ipv6。由于gif隧道的性质以及隧道服务器上的负载,即使延迟时间高达900毫秒,通过icmp ping响应报告,隧道仍可以工作。
丢包阀值
与延迟阈值类似,数据包丢失阈值控制监视ip地址的数据包丢失量,然后视为不可用。该值以百分比表示,0表示无损,100表示全损。 “from”字段中的值是将网关视为警告状态的下边界,但不会关闭。如果数据包丢失量超过“to”字段中的值,则会将其视为关闭并从服务中删除。这些字段中的正确值可能因所使用的连接类型以及防火墙和监视器ip地址之间的isp或设备而异。默认值是从10到20。
与延迟一样,连接可能倾向于不同数量的数据包丢失,并且仍以可用方式运行,尤其是在监视ip地址的路径丢失或延迟icmp以支持其他流量时。我们观察到无法使用的连接和少量的损失,有些甚至在显示45%的损失时也可用。如果在正常运行的wan网关上发生丢失警报,请在from和to字段中输入较高的值,直到达到线路的良好平衡。
探测间隔
该字段中的值控制向监视ip地址发送ping的频率(以毫秒为单位)。 缺省值是每秒钟ping两次(500毫秒)。 在某些情况下,例如需要监控但具有高数据费用的连接,即使每秒钟都会有小的ping也会加起来。 只要该值小于或等于警报间隔并且不违反下面列出的时间段的限制,则该值可以安全地增加。 较低的值会更频繁地ping,并且更准确,但会消耗更多资源。 以较高的准确度为代价,较高的值对不稳定的行为不敏感并且消耗较少的资源。
丢包间隔
数据包被视为丢失之前的时间(以毫秒为单位)。默认值是2000毫秒(2秒)。必须大于或等于高延迟阈值。
如果已知线路在正常工作时具有高等待时间,则可以增加该线路的值以进行补偿。
时间段
平均结果平均的时间量(以毫秒为单位)。 默认值是60000(60秒,一分钟)。 较长的时间周期需要更多时间用于延迟或丢失以触发警报,但不易受ping结果中不稳定行为的影响。
时间段必须大于探测间隔和损耗间隔总和的两倍,否则可能至少有一个探测未完成。
警报间隔
守护进程检查警报条件的时间间隔(以毫秒为单位)。默认值是1000(1秒)。该值必须大于或等于探测间隔,因为探测之间不可能发生警报。
使用非本地网关
通过接口特定路由选项使用非本地网关允许网关ip地址存在于接口子网之外的非标准配置。 有些提供商为了减少ipv4地址的供应,不把网关放到每个客户子网上,而采取了这种措施。 除非上游供应商要求,否则不要激活此选项。
网关组
网关组定义了用于故障转移或负载平衡的网关组。网关组还可以在gui的某些区域用作服务故障转移的接口值,例如open*,ipsec和动态dns。
有关设置这些功能的信息,请参阅多个wan连接。
静态路由
当主机或网络通过默认网关以外的其他路由器可达时必须使用静态路由。 pfsense知道直接连
行业B2B门户网站运营 内容为王的六方面
变更备案信息-备案平台
阿里云服务器购买指南
网站的用户体验都表现在哪些方面?
docker与虚拟机有什么区别
gpu云服务器价格文档介绍内容
刚刚提交的验证时间等了近分钟都没反应
腾讯云服务器怎么进去
路由
网关
网关设置
网关组
静态路由
路由公共ip
路由协议
故障排查
防火墙的主要功能之一是进行路由通信。本章介绍几个与路由相关的主题,包括网关,静态路由,路由协议,公网ip地址的路由以及路由信息的显示。
网关
网关是路由的关键; 它们是通过其他网络可以到达的系统。 大多数人熟悉的网关类型是默认网关,它是系统连接到互联网或任何其他网络的路由器,它没有更具体的路由可以到达。 网关也用于静态路由,其中必须通过特定的本地路由器到达其他网络。 在大多数普通网络中,网关始终与系统上的其中一个接口位于同一个子网中。 例如,如果防火墙的ip地址为192.168.22.5/24,则到另一个网络的网关必须位于192.168.22.x之内。 一个值得注意的例外是点对点接口,如基于ppp协议中使用的接口,这些接口通常在另一个子网中具有网关ip地址,因为它们不以相同的方式使用。
网关地址系列(ipv4和ipv6)
使用路由和网关时,ipv4和ipv6地址的功能和过程相同,但给定路由的所有地址都必须包含同一系列的地址。 例如,ipv6网络必须使用ipv6网关/路由器进行路由。 无法为使用ipv4网关地址的ipv6网络创建路由。 在使用网关组时,也适用相同的限制; 网关组中的所有网关都必须具有相同的地址系列。
管理网关
在网关可用于任何目的之前,必须将其添加到防火墙配置中。
如果网关将用于wan类型接口,则可以将该网关添加到该接口的配置页面中,或者可以先手动添加网关,然后从接口的下拉列表中选择。
动态接口类型(如dhcp和pppoe)会收到一个在网关列表中标记为“动态”的自动网关。 这些网关的参数调整与静态网关的参数相同,但动态网关可能不会被删除。
添加或管理网关:
导航到系统>路由管理
单击网关选项卡
在列表的顶部或底部单击添加,创建新的网关
在现有网关的条目旁边单击编辑现有网关
单击条目旁边删除现有网关
单击禁用活动网关
单击启用被禁用的网关
网关设置
在添加或编辑网关时,会显示一个页面,其中列出了用于控制网关行为的所有选项。
唯一需要的设置是接口,名称和网关(ip地址)。
接口
通过网关到达的接口。例如,如果这是lan子网上的本地网关,请在此处选择lan接口。
地址系列
ipv4或ipv6,具体取决于此网关的地址类型。
名称
在网关列表中引用的网关的名称。 它只能包含字母数字字符或下划线,但不能包含空格。 例如:wangw,gw_wan和wangate有效,但不能是wan gw。
网关
网关的ip地址。如前所述,这必须位于在选定接口上直接配置的子网中。
默认网关
选中后,该网关将被视为系统的默认网关。这是当没有其他更具体的路由时使用它。 防火墙可以有一个ipv4默认网关和一个ipv6默认网关。
禁用网关监视
默认情况下,系统每秒会ping每个网关一次,以监控到达被监视ip地址的流量延迟和数据包丢失情况。 该数据用于网关状态信息显示。 如果出于任何原因不希望进行此监视,可以通过选中禁用网关监视来禁用它。 请注意,如果不监控网关状态,则多wan将无法正常工作,因为它无法检测到故障。
监视ip
该选项配置用于确定网关状态的ip地址。默认情况下,系统将ping网关ip地址。这并不总是可取的,特别是在网关ip地址是本地的情况下。在这种情况下,更有意义的是ping更远的上游,例如互联网上的isp dns服务器或服务器。另一种情况是,当isp易出现上游故障时,因此在互联网上ping主机是更准确的测试,以确定广域网是否可用,而不是测试链路本身。一些流行的选择包括google公共dns服务器或流行的网站,如google或yahoo。如果此框中指定的ip地址未直接连接,则会添加一条静态路由,以确保通过预期网关访问监控ip地址的流量。每个网关必须具有唯一的监控ip地址。
通过访问系统状态>网关或使用仪表板上的网关小部件可以检查防火墙感知的网关状态。如果网关显示online,则显示器ip地址正在成功返回ping。
强制状态
当选中“标记网关为关闭”时,即使从监视ip地址返回ping,网关也始终被视为关闭。 这对于wan运行不稳定并且网关转换导致中断的情况很有用。 网关可以被强制进入停机状态,以便其他网关可以成为首选,直到它稳定为止。
描述
网关条目的可选描述以供参考。关于它用于的网关或接口的简短说明,可以留空不填。
高级选项
可以更改多个参数以控制多wan场景中的网关监视或处理方式。 大多数用户不需要改变这些值。 要访问高级选项,请单击显示高级选项按钮。 如果设置了任何高级选项,则此部分会自动展开。 有关使用多个wan连接的更多信息,请参阅多个wan连接。
比重
使用多wan时,如果两个wan具有不同的带宽量,比重参数会调整wan使用的比率。 例如,如果wan1有5mbit / s,wan2有10mbit / s,则wan1的权重为1,wan2的权重为2.然后,每三个连接出去一个使用wan,两个使用wan2。 使用这种方法,可以更好地利用可用带宽进行分配。 可以选择从1到30的比重。
数据有效负载
为了节省带宽,默认情况下,dpinger守护程序会发送有效负载大小为0的ping,以便icmp回显请求中不包含任何数据。 但是,在极少数情况下,cpe,isp路由器或中间跳可能丢弃或拒绝没有有效载荷的icmp数据包。 在这些情况下,请将有效负载大小设置为大于0。通常,1的大小足以满足受影响的设备。
延迟阈值
该字段控制此网关认为正常的延迟量。该值以毫秒(ms)表示。 “from”字段中的值是将网关视为警告状态的下边界,但不会关闭。如果延迟超过“to”字段中的值,则会将其视为关闭并从服务中删除。这些字段中的正确值可能因所使用的连接类型以及防火墙和监视ip地址之间的isp或设备而异。默认值是从300到500。
其他一些常见情况可能需要调整这些值。例如,即使在更高的延迟时间内,一些dsl线路也可以正常运行,因此将to参数增加到700或更多时,可以降低网关被视为关闭的次数,事实上,它的运行是可以接受的。另一个例子是通过一个gif隧道连接到一个提供商,比如he.net for ipv6。由于gif隧道的性质以及隧道服务器上的负载,即使延迟时间高达900毫秒,通过icmp ping响应报告,隧道仍可以工作。
丢包阀值
与延迟阈值类似,数据包丢失阈值控制监视ip地址的数据包丢失量,然后视为不可用。该值以百分比表示,0表示无损,100表示全损。 “from”字段中的值是将网关视为警告状态的下边界,但不会关闭。如果数据包丢失量超过“to”字段中的值,则会将其视为关闭并从服务中删除。这些字段中的正确值可能因所使用的连接类型以及防火墙和监视器ip地址之间的isp或设备而异。默认值是从10到20。
与延迟一样,连接可能倾向于不同数量的数据包丢失,并且仍以可用方式运行,尤其是在监视ip地址的路径丢失或延迟icmp以支持其他流量时。我们观察到无法使用的连接和少量的损失,有些甚至在显示45%的损失时也可用。如果在正常运行的wan网关上发生丢失警报,请在from和to字段中输入较高的值,直到达到线路的良好平衡。
探测间隔
该字段中的值控制向监视ip地址发送ping的频率(以毫秒为单位)。 缺省值是每秒钟ping两次(500毫秒)。 在某些情况下,例如需要监控但具有高数据费用的连接,即使每秒钟都会有小的ping也会加起来。 只要该值小于或等于警报间隔并且不违反下面列出的时间段的限制,则该值可以安全地增加。 较低的值会更频繁地ping,并且更准确,但会消耗更多资源。 以较高的准确度为代价,较高的值对不稳定的行为不敏感并且消耗较少的资源。
丢包间隔
数据包被视为丢失之前的时间(以毫秒为单位)。默认值是2000毫秒(2秒)。必须大于或等于高延迟阈值。
如果已知线路在正常工作时具有高等待时间,则可以增加该线路的值以进行补偿。
时间段
平均结果平均的时间量(以毫秒为单位)。 默认值是60000(60秒,一分钟)。 较长的时间周期需要更多时间用于延迟或丢失以触发警报,但不易受ping结果中不稳定行为的影响。
时间段必须大于探测间隔和损耗间隔总和的两倍,否则可能至少有一个探测未完成。
警报间隔
守护进程检查警报条件的时间间隔(以毫秒为单位)。默认值是1000(1秒)。该值必须大于或等于探测间隔,因为探测之间不可能发生警报。
使用非本地网关
通过接口特定路由选项使用非本地网关允许网关ip地址存在于接口子网之外的非标准配置。 有些提供商为了减少ipv4地址的供应,不把网关放到每个客户子网上,而采取了这种措施。 除非上游供应商要求,否则不要激活此选项。
网关组
网关组定义了用于故障转移或负载平衡的网关组。网关组还可以在gui的某些区域用作服务故障转移的接口值,例如open*,ipsec和动态dns。
有关设置这些功能的信息,请参阅多个wan连接。
静态路由
当主机或网络通过默认网关以外的其他路由器可达时必须使用静态路由。 pfsense知道直接连
行业B2B门户网站运营 内容为王的六方面
变更备案信息-备案平台
阿里云服务器购买指南
网站的用户体验都表现在哪些方面?
docker与虚拟机有什么区别
gpu云服务器价格文档介绍内容
刚刚提交的验证时间等了近分钟都没反应
腾讯云服务器怎么进去
上一篇:百度云上买了个云服务器后怎么用
下一篇:云服务器怎么使用内网