pfSense® 支持多种类型的网络接口,可直接使用物理接口,也可通过其他协议(例如 PPP 或 VLAN)实现。接口的分配和新建虚拟接口均在 网络接口 > 接口管理 下进行。
物理和虚拟接口
本章讨论的大多数接口都可以在 网络接口 > 接口管理 下分配为 WAN、LAN 或 OPT 接口。当前定义和检测到的所有接口都直接在该页面或可分配的接口列表中列出。默认列表仅包含物理接口,但 网络接口 > 接口管理 下的其他选项卡可创建虚拟接口,创建后即可进行分配。
pfSense 上的接口支持多种选项组合,可在单个接口上承载多个网络和协议,也可将多个接口绑定为更大容量或冗余的虚拟接口。所有接口一视同仁,每个接口都可配置为任意角色,默认的 WAN 和 LAN 接口可以重命名或另作他用。物理接口和虚拟接口分配后,处理方式和功能相同。例如,VLAN 接口可以拥有与物理接口相同的配置类型。部分接口类型在分配后会接受特殊处理,具体将在各节介绍。
局限性
尽管 pfSense 对接口数量没有硬性限制,但大量接口可能给管理带来不便。例如,防火墙配置接口可能需要更长时间,GUI 的选项卡或菜单项也可能出现渲染问题。多数硬件可容纳尽可能多的接口,问题通常由驱动程序差异引起,与硬件本身相关,而非操作系统或 pfSense 软件所致。
接口配置
分配新接口的步骤:
- 导航到 网络接口 > 接口管理;
- 从 可用网络端口 列表中选择新接口;
- 点击“+”号进行添加。
新分配的接口将显示在列表中。防火墙会为其分配默认名称,如 OPT1、OPT2,编号随分配顺序递增。前两个接口的默认名称为 WAN 和 LAN,但均可重命名。这些 OPTx 名称会出现在 网络接口 菜单下,例如 网络接口 > OPT1。选择该接口的菜单选项即可打开其配置页面。以下选项适用于所有接口类型。
描述
接口名称。在接口菜单、防火墙规则策略、DHCP 服务以及整个 GUI 中,该名称用于标识接口。名称只能包含字母、数字和下划线(_)。
IPv4 配置类型
配置接口的 IPv4 设置,详见后文“IPv4 WAN 类型”。
IPv6 配置类型
配置接口的 IPv6 设置,详见后文“IPv6 WAN 类型”。
MAC 地址
可更改接口的 MAC 地址以模仿原设备。
注意: 建议避免这种做法。通常可通过重置相连设备、清除 ARP 缓存或等待旧 ARP 条目过期来清除旧的 MAC。这是一个临时性问题的长期解决方案。
欺骗旧防火墙的 MAC 地址可使从旧路由器到新路由器的过渡更平滑,不必担心设备和上游路由器的 ARP 缓存。也可用于欺骗某台设备,使其认为仍在与之前的设备通信,例如在某些使用静态 ARP 或基于 MAC 地址过滤的网络环境中。这在有线调制解调器上很常见,更换调制解调器后可能需要重新注册 MAC 地址。如需还原原始 MAC 地址,可清空此选项并重启防火墙,或输入网卡原始 MAC 地址保存应用后再清空该值。
MTU(最大传输单元)
最大传输单元(MTU)字段通常可留空,必要时可更改。某些情况可能需要较低的 MTU 以确保数据包大小适应互联网连接,大多数情况下 WAN 连接类型默认假设的值即可正常工作。对于使用巨型帧的网络,可在此增加数值。在典型以太网网络中默认值为 1500,实际值会因接口配置而异。
MSS(最大分段大小)
类似于 MTU,MSS 字段将 TCP 连接的最大段大小“固定”为指定大小,以解决路径 MTU 发现的问题。
速度和双工
链路速度和双工默认为自动选择,由防火墙与对端(通常是交换机)协商最佳设置。接口的速度和双工设置必须与连接设备匹配。例如,防火墙设置为“自动选择”时,交换机也必须配置为“自动选择”;如果交换机强制指定速度和双工,防火墙也必须与之匹配。
阻止私有网络
选中后,pfSense® 会自动插入规则,阻止 RFC 1918 网络(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16)以及回环网络(127.0.0.0/8)从该接口上通信。通常仅在 WAN 类型接口上需要此选项,以防止通过公共接口传入私有网络流量。
阻止 Bogon 网络
选中后,pfSense 将阻止来自未分配和保留网络列表的流量。此列表由防火墙定期自动更新。
IPv4 WAN 类型
分配接口后,大多数情况下需要为其配置 IP 地址。对于 IPv4 连接,可选类型包括:静态 IPv4、DHCP、PPP、PPPoE、PPTP 和 L2TP。
None
IPv4 配置类型 设置为 None 时,接口上的 IPv4 被禁用。适用于接口没有 IPv4 连接,或 IP 地址通过其他方式(例如 OpenVPN 或 GIF 接口)管理的情况。
静态 IPv4
使用静态 IPv4 时,接口包含手动配置的 IP 地址,并提供三个附加选项:IPv4 地址、子网掩码(通过 CIDR 下拉列表选择)和 IPv4 上游网关。
在内部接口(如 LAN、DMZ)上配置静态 IPv4:
- 选择 IPv4 配置类型 为“静态 IPv4”;
- 输入 IPv4 地址 并选择合适的子网掩码;
- 不要选择 IPv4 上游网关。
在 WAN 类型接口上配置静态 IPv4:
- 选择 IPv4 配置类型 为“静态 IPv4”;
- 输入地址与掩码;
- 从列表中选择一个 IPv4 上游网关,或点击“+”图标添加新网关。
注意: 仅当选中 IPv4 上游网关时,pfSense® 才会将该接口视为 NAT 和相关功能的 WAN 类型接口。对于内部接口(如 LAN 或 DMZ),不应在此选择网关,内部接口的网关仍可用于静态路由。
DHCP
接口设置为 DHCP 时,pfSense 将通过 DHCP 自动获取 IPv4 地址配置。此选项还会激活页面上的其他字段,大多数情况下可留空。
- 主机名:某些 ISP 要求使用主机名标识客户端,请求 DHCP 租约时该值将作为客户端标识符和主机名发送。
- 别名 IPv4 地址:由于典型 IP 别名 VIP 无法与 DHCP 配合使用,此值用作固定的 IPv4 别名地址,适用于访问 DHCP 作用域之外的独立静态网络设备。
- 拒绝指定主机 DHCP:应被忽略的 DHCP 服务器 IPv4 地址,防火墙将不会使用该服务器提供的 IP。
进阶设定:启用对协议时序的精细控制,一般保持默认。
- 协议时间:可调整
dhclient管理地址时的各项时长。 - 预设值:提供几个预设协议定时选项,用于自定义调整起点或恢复默认。
- 协议时间:可调整
- 配置覆盖:允许使用自定义
dhclient配置文件(需提供完整路径)。很少需要,仅当 ISP 要求 GUI 不支持的 DHCP 字段或选项时才使用。
PPP 类型
PPP 类型包括 PPP、PPPoE、PPTP 和 L2TP。在接口页面上选择其中一种类型后,可按照说明修改基本选项。
IPv6 WAN 类型
与 IPv4 类似,IPv6 配置类型控制是否以及如何为接口分配 IPv6 地址。配置方式取决于防火墙连接的网络及 ISP 的 IPv6 部署方式。
None
IPv6 配置类型 设置为“None”时,接口上的 IPv6 被禁用。适用于接口无 IPv6 连接,或 IP 地址通过其他方式(如 OpenVPN 或 GIF 接口)管理的情况。
静态 IPv6
与静态 IPv4 类似,包含手动配置的 IPv6 地址、前缀长度和 IPv6 上游网关。默认 IPv4 和 IPv6 网关独立工作,修改默认 IPv4 网关不影响 IPv6 网关,反之亦然。
DHCP6
将 pfSense 配置为通过 DHCPv6 自动获取 IPv6 配置。DHCPv6 提供 IP 地址、前缀长度、DNS 服务器等,但不包括网关。网关通过路由器通告获得,因此接口会设置为接受路由器通告,这是 IPv6 规范的要求,并非 pfSense 限制。
可用的附加字段:
- 使用 IPv4 连接作为父接口:通过 IPv4 而非本机 IPv6 发送 DHCPv6 请求,仅 ISP 要求时使用。
- 仅请求 IPv6 前缀:不请求接口本身地址,仅请求委派前缀。
- DHCPv6 前缀委派大小:若 ISP 通过前缀委派提供路由的 IPv6 网络,在此选择委派大小(通常为 48 到 64)。另一个内部接口需设置为“跟踪接口”以使用委派地址。
- 发送 IPv6 前缀提示:将选择的委派大小与请求一同发送,通知上游服务器所需委派大小。
- 调试:以调试模式启动 DHCPv6 客户端。
- 进阶设定:各种高级调整参数,极少使用。
- 配置覆盖:允许使用自定义配置文件,仅当 ISP 要求 GUI 不支持的字段或选项时使用。
SLAAC
无状态地址自动配置(SLAAC)通过路由器通告(RA)获取前缀和相关信息配置 IPv6 地址。DNS 通常不由 RA 提供,因此 pfSense 仍会通过 DHCPv6 尝试获取 DNS 服务器。未来 RA 的 RDNSS 扩展可能允许从 RA 获取 DNS。
6RD 隧道
6RD 是某些 ISP 采用的 IPv6 隧道技术,通过在 IPv4 数据包内封装 IPv6 流量实现快速支持。需 ISP 提供三项信息:
- 6RD 前缀:ISP 分配的 6RD IPv6 前缀,例如
2001:db8::/32。 - 6RD 边界中继:ISP 6RD 中继的 IPv4 地址。
- 6RD IPv4 前缀长度:控制最终用户 IPv4 地址编码到前缀内的程度,由 ISP 提供。0 表示整个 IPv4 地址将被嵌入。
6to4 隧道
与 6RD 类似但使用固定前缀 2002::/16 和中继地址 192.88.99.1(任播地址)。无需用户配置,但因其依赖其他路由器中继流量,连接质量可能不一,且某些 IPv6 对等点可能与 6to4 网络无法连通。
跟踪接口
配合 DHCPv6 前缀委派使用,指定某个接口将从 ISP 委派的子网中获取 IPv6 地址。
- IPv6 接口:当前系统上提供前缀委派的动态 IPv6 WAN 接口列表,选择接收委派子网信息的接口。
- IPv6 前缀 ID:若 ISP 委派多个前缀,此十六进制值控制在该接口上使用哪个
/64子网。例如,委派/60意味着有 16 个/64可用,前缀 ID 可取 0 到 f。
接口组
接口组 并非可分配的接口类型,而是用于将防火墙或 NAT 规则应用到一组接口。若防火墙上存在多个功能相似的接口,需要相同的规则集,可创建接口组以便统一添加规则。各接口仍可拥有独立规则,组规则会先于接口规则处理。
创建接口组:
- 导航到 网络接口 > 接口管理,接口组 选项卡;
- 单击“添加”创建新组;
- 输入组名(只能包含大小写字母,不能包含数字、空格或特殊字符);
- 输入组说明(可选);
- 按住 Ctrl 键单击选择多个接口作为组成员;
- 点击 保存。
每个接口组在 防火墙 > 规则策略 下会拥有单独的选项卡,便于集中管理规则。
组规则处理顺序
用户规则的处理顺序为:
- 浮动规则
- 接口组规则
- 单个接口上的规则
若“组”选项卡上的规则匹配连接,则不会查询“接口”选项卡规则。同样,若设置了 快速 的浮动规则匹配连接,则不会查询接口组规则。此顺序意味着某些规则组合不可行,例如组中的常规阻止规则无法被特定接口上的规则覆盖;同样,接口规则也无法阻止通过组规则放行的流量。
与 WAN 接口一起使用
不建议在多 WAN 场景下使用接口组。组规则与 WAN 选项卡规则的处理方式不同:WAN 类型接口(在接口配置中选择了网关)的规则会收到答复,允许流量按原路返回;而组选项卡规则不会收到答复,因此实际上只能在具有默认网关的 WAN 上按预期工作。
PPPS
PPP 接口有四种类型:
- PPP:适用于 3G/4G 和调制解调器设备。
- PPPoE:常用于 DSL 等连接。
- PPTP 和 L2TP:用于需要 ISP 身份验证的连接。
通常直接从接口设置管理,也可在 网络接口 > 接口管理 的 PPPS 选项卡下编辑。
多链路 PPP(MLPPP)
编辑 PPP 实例时,可为支持的提供商配置多链路 PPP(MLPPP)。MLPPP 将多个 PPP 链路绑定为一个聚合通道,所有链路的全部带宽可用于单个连接,通常不涉及负载平衡和故障转移。MLPPP 链接表示为一个 IP 地址的单个接口,若某链路失败,连接仍可工作,只是带宽容量减小。
PPP(点对点协议)接口类型
添加或编辑 PPP 条目:
- 导航到 网络接口 > 接口管理,PPPS 选项卡;
- 单击“编辑”图标修改现有条目,或单击“添加”图标新建;
- 设置链接类型,页面上的其余选项会随之变化。
PPP(3G/4G,调制解调器)
用于通过串行设备与调制解调器通信,例如 USB 3G/4G 加密狗或传统拨号调制解调器。选择 PPP 链接类型后,链接接口列表会显示可用于与调制解调器通信的串行设备,单击条目选择。可选择性地输入描述。
注意: 不会自动检测调制解调器的串行设备。部分调制解调器显示为多个设备,PPP 线路的子设备可从最后一个设备开始尝试,若不成功再尝试其他设备。
配置 3G/4G 网络时,服务提供商选项可预先填充其他字段:
- 选择国家/地区(如“中国”)以激活已知蜂窝网络提供商列表;
- 从列表中选择提供商(如“中国电信”),激活计划列表;
- 选择计划,其余字段将填入该提供商和计划的已知值。
若需要其他值或使用未列出的提供商,可手动配置:
- 用户名和密码:PPP 登录凭据。
- 电话号码:ISP 拨号号码,3G/4G 通常为
99#或#777,拨号则使用传统号码。 - 接入点名称(APN):部分 ISP 要求,用于标识客户端连接的服务。
- APN 号码:可选,若设置 APN 则默认为 1。
- SIM 卡密码:SIM 卡安全码,若 SIM 无 PIN 则留空。
- SIM PIN 等待时间:PIN 发送后等待 SIM 发现网络的秒数。
- 初始化字符串:调制解调器初始化字符串,命令开头不要包含 AT,多数现代调制解调器无需自定义。
- 连接超时:等待连接尝试成功的时间(秒),默认 45 秒。
- 正常运行时间记录:选中后,连接正常运行时间将显示在 状态 > 网络接口 上。
PPPoE(以太网上的点对点协议)
PPPoE 是 ISP(尤其是 DSL 网络)常用的验证和接入方式。
配置 PPPoE 连接:
- 将链路类型设置为 PPPoE;
- 链接接口:选择用于 PPPoE 的网络接口(通常为物理接口,也可用 VLAN 等)。普通 PPPoE 选一个,MLPPP 可选多个。
- 描述:条目说明。
- 用户名和密码:由 ISP 提供。
- 服务名称:大多数留空,部分 ISP 要求特定值。
- 配置 NULL 服务名称:若 ISP 要求发送 NULL 而非空白服务名称,请选中。
- 定期复位:配置在预设时间断开并重启连接,很少需要,但有助于处理 ISP 强制每日重连等情况。
PPTP(点对点隧道协议)
请勿与 PPTP VPN 混淆。此类型用于连接到 ISP 并进行身份验证,工作原理与 PPPoE 相似,选项与 PPPoE 相同。
L2TP(第 2 层隧道协议)
用于连接需要 ISP 身份验证的 WAN 类型 ISP,工作原理与 PPTP 相同,配置参考前文。
高级 PPP 选项
所有 PPP 类型都有一些共有的高级选项。在大多数情况下无需更改。单击“高级选项”齿轮图标可显示。
- 按需拨号:默认行为是立即连接且链路丢失时立即重连(“一直在线”)。启用后,防火墙将等待有数据包尝试通过此接口离开时才发起连接,连接后不会自动断开。
空闲超时:默认 PPP 连接无限期保持。若指定超时值,链路在给定时间无流量时断开。若同时启用按需拨号,防火墙将返回按需拨号模式。
注意: pfSense® 默认执行网关监视,每秒生成两个 ICMP ping,会导致空闲超时失效。可编辑此 PPP 链接的网关并禁用网关监视来解决。
- 压缩(vjcomp):控制 Van Jacobson TCP 报头压缩。默认在登录时协商,双方支持则使用。通常应保持启用。对于启用了时间戳或 SACK 等现代扩展的 TCP 连接,此压缩无效。
TCPmssFix:使 PPP 守护进程调整传入和传出的 TCP SYN 段,使请求的最大段大小(MSS)不大于接口 MTU 允许的值。通常必须启用,以避免因路由器丢弃 ICMP“数据报太大”消息引起的问题。若需禁用,请选中“禁用 tcpmssfix”。
注意: 接口的 MTU 和 MSS 也可在接口配置页面上调整。
- ShortSeq:仅当协商了 MLPPP 时有效。禁止使用较短的多链路片段头,每帧节省两个字节。非多链路连接无需禁用。若 MLPPP 处于活动状态且必须禁用,选中“禁用 shortseq”。
- AFCComp:地址控制字段压缩,仅适用于异步链路,每帧节省两个字节。要禁用,选中“禁用 ACF 压缩”。
- ProtoComp:协议字段压缩,大多数帧每帧节省一个字节。要禁用,选中“禁用协议压缩”。
GRE(通用路由封装)
GRE 是一种无需加密即可在两个端点之间建立隧道流量的方法,可用于在不直接连接且不需加密的两个位置间路由数据包,也可与自身不执行隧道传输的加密方法结合使用。IPsec 传输模式可使用 GRE 来通过隧道传输加密流量,并允许传统路由或路由协议。
创建或管理 GRE 接口:
- 导航到 网络接口 > 接口管理,GRE 选项卡;
- 单击“添加”新建,或单击“编辑”修改现有接口;
填写以下设置:
- 父接口:通常为 WAN 或 WAN 类型接口。
- GRE 远程地址:远端对等体地址,即隧道另一端可路由的外部地址。
- GRE 隧道本地地址:本端防火墙在隧道内的地址,用于自身通信,远端将隧道传输的流量发往此地址。
- GRE 隧道远端地址:隧道另一端地址,目的地为此端的流量需以此地址作为网关。
- GRE 隧道子网:接口地址的子网掩码。
- 描述:简短说明。
- 点击 保存。
GIF(通用隧道接口)
GIF 与 GRE 类似,均用于在不加密的情况下在两个主机之间建立隧道。除直接传送 IPv4 或 IPv6 外,GIF 还可用于通过 IPv4 网络传送 IPv6 或反之。GIF 隧道通常用于从隧道代理获取 IPv6 连接。与 GRE 相比,GIF 可承载更多信息,但支持不如 GRE 广泛。例如,GIF 隧道能够在两个位置间桥接第 2 层,而 GRE 不能。
创建或管理 GIF 接口:
- 导航到 网络接口 > 接口管理,GIF 选项卡;
- 单击“添加”新建或“编辑”修改现有接口;
设置以下项:
- 父接口:通常为 WAN 或 WAN 类型接口。
- GIF 远程地址:远端对等体地址,本端发出 GIF 数据包的目标 IP。例如,向 Hurricane Electric 建立 IPv6-in-IPv4 隧道时,此为隧道服务器的IPv4 地址,如
209.51.181.2。 - GIF 隧道本地地址:本端防火墙在隧道内的地址,远端向该地址发送隧道流量。同上例,即客户端 IPv6 地址。
- GIF 隧道远程地址:隧道另一端地址,去往远端的流量以此地址为网关。同上例,即服务器 IPv6 地址。
- GIF 隧道子网:接口前缀长度,如
64。 - 路由缓存:控制是否缓存到远程端点的路由。若路径静态,可避免每包路由查找;若路径可变,可能导致流量中断。
- ECN 友好行为:控制在进出隧道时是否复制 TOS 位。默认清除 TOS 或置零;启用后,会根据需要在内外数据包间复制,以便与可进行流量整形的中间路由器更友好地协作。此行为违反 RFC 2893,仅当双方同意启用时才应使用。
- 描述:简短说明。
- 点击 保存。
接口创建后,在 网络接口 菜单下启用接口并添加防火墙规则。
LAGG(链路聚合)
链路聚合由 lagg(4) 类型接口(LAGG)处理,将多个物理接口组合为一个逻辑接口,可获得额外带宽、冗余或两者兼有。
注意: LACP 仅在可堆叠时可在多个交换机上使用。
创建或管理 LAGG 接口:
- 导航到 网络接口 > 接口管理,LAGGs 选项卡;
- 单击“添加”新建,或“编辑”修改现有实例;
完成以下设置:
父接口:列表包含所有当前未分配的接口(编辑时还包含当前 LAGG 成员)。选择一个或多个接口加入 LAGG。
注意: 只有未分配的接口才能加入 LAGG 组。若接口不在列表,可能已被分配。
LAGG 协议:支持六种模式。
- LACP:最常用。支持 IEEE 802.3ad 链路聚合控制协议。与支持 LACP 的交换机协商形成一组活动端口,称为链路聚合组(LAG)。LAG 中各端口速率和 MTU 必须相同,且需全双工。链路丢失时容量降低,兼具冗余和带宽增加效果。LAG 上流量是平衡的,但两主机间通信一次只能使用一个端口,因为客户端一次只能与一个 MAC 地址通信。对于多设备多连接场景,限制可忽略。交换机端也需相应配置 LACP 或绑定端口。
故障转移:仅通过主接口(列表中第一个接口)发送流量;主接口故障时使用下一可用接口。
注意: 默认仅在活动接口接收流量。若需允许在每个成员接口上接收流量,可在可调参数中添加
net.link.lagg.failover_rx_all,值设为1。- 负载均衡:通过任意活动端口接受入站流量,并在所有活动端口间基于源/目标 IP、MAC 和 VLAN 标签等哈希值平衡出站流量。静态设置,不监视链路状态也不与交换机协商。
- 循环:在组内所有端口上接受入站流量,并采用循环调度算法依次发送出站流量。
- None:禁止收发流量,但接口仍被视为启用。
- 描述:用途说明。
- 点击 保存。
LAGG 接口创建后,可像物理接口一样分配,配置 IP 地址,或在其上创建 VLAN 等。
LAGG 和流量整形器
由于 FreeBSD 限制,lagg(4) 不支持 altq(4),因此无法直接在 LAGG 接口上使用流量整形器。但 vlan(4) 接口支持 altq(4),可在 LAGG 之上创建 VLAN 来绕过限制。替代方案是使用限制器控制带宽。
LAGG 吞吐量
使用 LAGG 不保证吞吐量等于所有接口速率之和。单个流不会超过成员接口的吞吐量。流量哈希方式使得两个主机之间的流只能使用单链路。当内网有多个使用不同 MAC 地址通信的主机时,整体利用率才可接近成员接口总和。
QinQ 配置
QinQ(IEEE 802.1ad,又称堆叠 VLAN)是一种在已标记 VLAN 的数据包中再嵌套一层 VLAN 标签(双重标记)的方法。常用于在单条链路上承载一组 VLAN,某些 ISP、城域以太网或数据中心互联场景中使用。
设置 QinQ 接口:
- 导航到 网络接口 > 接口管理,QinQ 选项卡;
- 单击“添加”创建新条目;
配置以下内容:
- 父接口:承载 QinQ 流量的接口。
- 第一级标识:外部 VLAN ID,或由提供商指定的站点间链路 VLAN ID。
- 将接口添加到 QinQ 接口组:选中后会自动创建名为“QinQ”的接口组,可用于一次过滤所有 QinQ 子接口。当存在成百上千个 QinQ 标识时,可大幅减少工作量。
- 描述:可选,标识条目。
- 成员:内部 VLAN ID 列表,可逐行添加或输入范围(如 100-150)。
- 点击 保存。
例如,以下配置在 igb3 接口上使用第一级标识 2000 承载 VLAN 10 和 20 的标记流量:
条目显示在“QinQ”选项卡摘要列表中:
自动生成的接口组无法手动编辑。由于接口未分配,无法修改组。如需重建,可从列表中删除 QinQ 实例,然后重新编辑并保存。接口组在 防火墙 > 规则策略 下生成一个 QinQ 选项卡,可添加规则确保通过 QinQ 链路双向传送流量。
QinQ 接口的使用方式依网络需求而定,通常可将其分配给某个接口并配置,或桥接到本地等效 VLAN(例如将 igb2_vlan10 桥接到 igb3_2000_10)。在两端的配置应大致相同:一端出站的 igb3_2000_10 流量会通过 igb3 上的 VLAN 2000,在另一端被接收并出现在同级接口上。
觉得内容不错?我要
