建设工作站服务器
路由选择
闸道
网关设置
网关集团
静态路由
公共IP路由
路由协议
故障诊断
防火墙的主要功能之一是进行路由通信。 本章介绍了几个与路由有关的主题,包括网关、静态路由、路由协议、公用IP地址路由、路由信息显示等。
闸道
网关是路由的关键,是可以通过其他网络到达的系统。 大多数人熟悉的网关类型是默认网关,是系统连接到互联网或其他网络的路由器,没有更具体的路由。 网关还用于静态路由,需要通过特定的本地路由器到达其他网络。 在大多数典型网络中,网关始终与系统上的接口之一位于同一子网中。 例如,如果防火墙的IP地址为192.168.22.5/24,则到其他网络的网关必须在192.168.22.x中。 一个需要注意的例外是点对点接口,如基于PPP协议使用的接口,它们通常在另一个子网中具有网关IP地址,因为这些接口不会以相同的方式使用。
网关地址系列( IPv4和IPv6 )。
使用路由和网关时,IPv4和IPv6地址的功能和过程相同,但给定路由的所有地址必须包含相同的一组地址。 例如,IPv6网络需要使用IPv6网关/路由器进行路由。 无法创建使用IPv4网关地址的IPv6网络的路由。 使用网关组时也适用同样的限制。 网关组中的所有网关必须具有相同的地址族。
管理网关
在将网关用于任何目的之前,必须将其添加到防火墙配置中。
如果要将网关用于WAN类型的接口,请在接口的配置页中添加网关,或者手动添加网关,然后从接口下拉列表中进行选择。
动态接口类型(如DHCP和PPPoE )将接收在网关列表中标记为“动态”的自动网关。 这些网关的参数调整与静态网关相同,但动态网关可能不会被删除。
或添加管理网关:
导航到系统路由管理器
单击“网关”选项卡
单击列表顶部或底部的“添加”以创建新网关
单击现有网关条目旁边的“edit现有网关”
单击条目旁边以删除现有网关
单击“禁用活动网关”
单击“启用已禁用的网关”
网关设置
添加或编辑网关时,将显示一个页面,其中列出了用于控制网关行为的所有选项。
您只需要设置接口、名称和网关( IP地址)。
接口
通过网关到达的接口。 例如,如果这是局域网子网上的本地网关,请在此选择局域网接口。
地址系列
IPv4或IPv6,具体取决于此网关的地址类型。
名字
在网关列表中引用的网关的名称。 只能使用字母数字字符或下划线,但不能使用空格。 例如,WANGW,GW_WAN和WANGATE有效,但不是WANGW。
闸道
网关的IP地址。 如上所述,它必须位于直接在选定接口上配置的子网中。
默认网关
选中后,网关将被视为系统的默认网关。 如果没有其他更具体的路线,请使用此选项。 防火墙包括IPv4默认网关和IPv6默认网关。
禁用网关监视
默认情况下,系统每秒ping每个网关一次,以监视到达被监视的IP地址之前的通信延迟和数据包丢失情况。 此数据用于显示网关的状态信息。 如果由于任何原因不希望进行此监视,可以选中禁用网关监视将其禁用。 请注意,如果不监视网关的状态,多广域网将无法检测到故障,因此无法正常工作。
监视IP
此选项用于配置确定网关状态的IP地址。 缺省情况下,ping网关IP地址。 这并不总是可取的,尤其是在网关IP地址是本地的情况下。 在这种情况下,更有意义的是ping更远的上游,例如互联网上的ISP dns服务器或服务器。 另一种情况是,由于ISP容易出现上游故障,因此在互联网上ping主机是一种更准确的测试,可以确定是否有广域网可用,而不是测试链路本身。 一些常见的选择包括谷歌的公共DNS服务器,以及谷歌和雅虎等常用网站。 如果在此框中指定的IP地址没有直接连接,则会添加静态路由,以便通过预期的网关访问监视IP地址的通信。 每个网关必须具有唯一的监视IP地址。
您可以通过访问系统的状态网关或使用仪表板上的网关小部件检查防火墙检测到的网关的状态。 如果网关显示Online,则显示器的IP地址恢复正常ping。
强制状态
如果选择了“将网关标记为关闭”,则即使从监视IP地址返回ping,网关也将始终被视为关闭。 当WAN运行不稳定且被网关转换中断时,这很有用。 网关可以强制停机,在稳定之前其他网关优先。
说明
作为参考,网关条目选项的说明。 您可以将有关要使用的网关或接口的简要说明留空。
高级选项
您可以修改多个参数以控制网关在多广域网场景中的监视或处理方式。 大多数用户不需要更改这些值。 要访问高级选项,请单击“显示高级选项”按钮。 如果设置了高级选项,此部分将自动展开。 有关使用多个WAN连接的详细信息,请参阅多个WAN连接。
比重
使用多WAN时,如果两个WAN的带宽不同,比重参数会调整WAN的利用率。 例如,如果WAN1为5Mbit/s,WAN2为10Mbit/s,则WAN1的权重为1,WAN2的权重为2。 然后,每三个连接一个使用广域网,两个使用广域网2。 使用此方法可以更好地利用和分配可用带宽。 可以选择1到30的比重。
数据有效载荷
为了节省带宽,缺省情况下,dpinger守护进程将ping有效载荷大小为0,并阻止ICMP回显请求包含任何数据。 然而,在极少数情况下,CPE、ISP路由器或中间跳可能丢弃或拒绝没有有效载荷的ICMP分组。 在这种情况下,请将有效载荷的大小设置为大于0。 通常,1的大小足以满足受影响的设备。
延迟阈值
此字段控制网关认为正常的延迟量。 此值以毫秒( ms )表示。 From字段的值是将网关视为警告状态的子边界,但不会关闭。 如果延迟超过“至”字段中的值,则会将其视为关闭,并从服务中删除。 这些字段的正确值可能会有所不同,具体取决于要使用的连接类型以及防火墙和监视IP地址之间的ISP或设备。 默认值为300到500。
在其他一般情况下,可能需要调整这些值。 例如,即使在更高的延迟时间内,由于一些DSL线路也能正常操作,因此如果将To参数增加到700以上,可以减少网关被认为已经关闭的次数,并实际操作是可接受的。 另一个示例是通过GIF隧道连接到提供程序,例如he.net for IPv6。 由于GIF隧道的性质和隧道服务器上的负载,即使延迟时间达到900毫秒,隧道也可以在ICMP ping响应报告中正常工作。
丢包阈值
与延迟阈值类似,丢包阈值监视IP地址的丢包量,并控制将其视为不可用。 该值用百分比表示,0表示无损失,100表示全部损失。 From字段的值是将网关视为警告状态的子边界,但不会关闭。 如果数据包丢失量超过“To”字段中的值,它将被视为关闭,并从服务器中删除。 这些字段的正确值取决于所使用的连接类型以及防火墙和监视器IP地址之间的ISP或设备。 默认值为10到20。
与延迟类似,连接倾向于丢失不同数量的数据包,并且继续以可用方式工作,特别是在监视到IP地址的路径丢失或延迟ICMP以支持其他通信时。 即使观察到无法使用的连接和少量损失,部分损失显示为45%,也可以使用。 如果在工作正常的WAN网关上出现丢失警报,请在From和To字段中输入较高的值,直到线路平衡良好。
探测间隔
此字段中的值控制ping发送到监视IP地址的频率(以毫秒为单位)。 默认值每秒ping两次。 500毫秒。 在某些情况下,每秒会添加一个小ping,例如需要监视但数据费用较高的连接。 只要不违反以下时间限制,该值可以安全地增加,但不超过报警间隔: 值越低,ping越频繁,准确性越高,但会消耗更多资源。 以高精度为代价,高值对不稳定行为不敏感,资源消耗也少。
分组丢失间隔
视为数据包丢失之前的时间(毫秒)。 默认值为2000毫秒( 2秒)。 必须等于或大于高延迟阈值。
如果知道正常工作时线路的等待时间很长,可以增加该线路的值进行补偿。
时间段
平均结果的平均时间(以毫秒为单位)。 默认值为60000(60秒,1分钟)。 在较长的时间段内,触发警报需要较长的延迟和丢失时间,但较少受到Ping结果中不稳定行为的影响。
持续时间必须至少为探测间隔和损耗间隔总和的两倍。 否则,可能至少有一个探测器未完成。
警报间隔
守护进程检查警报条件的间隔。 以毫秒为单位。 默认值为1000(1秒)。 此值必须大于或等于探测间隔,因为探测器之间不可能发生报警。
使用非本地网关
使用接口特定的路由选项和非本地网关允许非标准配置,其中网关IP地址位于接口子网之外。 一些供应商采取了这些措施,而不将网关放在每个客户子网中,以减少IPV4地址的供应。 除非上游供应商要求,否则请勿激活此选项。
网关集团
网关组定义用于故障切换或负载平衡的网关组。 网关组还可以在GUI的某些区域中用作服务故障转移的接口值,例如Open***、IPsec和动态DNS。
有关这些功能的设置,请参阅多个WAN连接。
静态路由
如果主机或网络可以通过非默认网关路由器到达,则必须使用静态路由。 pfSense知道直接连接的网络,并按照路由表中的说明到达所有其他网络。 在内部路由器连接到其他内部子网的网络中,必须定义静态路由才能到达该网络。 必须首先将通过这些其他网络的路由器添加为网关。
静态路由是在系统路由管理的“静态路由”选项卡中配置的。
管理静态路由
添加路由:
系统路由管理,导航到“静态路由”选项卡
单击“添加静态路由”
输入以下配置:
目标网络指定使用此路由可以到达的网络和子网掩码。
网关定义通过此网络到达的路由器。
禁用:设置是否不使用静态路由。
说明:输入说明文本,供管理员参考
单击“保存”
单击“应用更改”
管理已存储的静态路由:
系统路由管理,导航到“静态路由”选项卡
在现有条目的右侧,单击“编辑静态路由”
单击现有条目右侧的“删除静态路由”
在现有条目的右侧,单击“禁用静态路由”
在现有条目的右侧,单击“启用静态路由”
单击“应用更改”
静态路由设置示例
下图是网络拓扑。
静态路由
上图中静态路由192.168.2.0/24网络不在直接连接到pfSense的接口上,因此您需要使用静态路由来了解防火墙如何到达网络。 如上所述,在添加静态路由之前,必须首先定义网关。
静态路由配置
也可能需要调整防火墙的规则。 使用自定义局域网规则时,必须通过局域网上的静态路由允许网络访问。
绕过同一接口通信的防火墙规则
在许多情况下,使用静态路由会导致通信不对称结束。 这意味着流量是沿着不同的路径而不是单向传播的。 如下图所示。
非对称路由
从PC1到PC2的通信通过pfSense,因为它是PC1的缺省网关,但是反向通信直接从路由器发送到PC1。 由于pfSense是有状态防火墙,因此要正确过滤通信,必须检查整个连接的通信。 在这种非对称路由的情况下,有状态的防火墙会丢弃合法的通信,因为无法在任何方向都看不到通信量的情况下保持正常。 这通常只影响TCP。 因为其他协议没有正式的连接握手协议来识别用于状态跟踪。
在非对称路由场景中,有防止合法流量丢弃的选项。 此选项中添加了防火墙规则,可以使用一组更宽松的规则选项和状态处理来定义通过静态路由定义的网络之间的所有通信量。 要启用此选项:
单击“高级系统设置”
单击防火墙/NAT选项卡
选择在同一接口上绕过通信的防火墙规则
单击“保存”
或者,您可以手动添加防火墙规则以允许类似的通信。 需要两个规则:通信进入的接口选项卡(例如LAN )和“浮动”选项卡。
导航到防火墙规则策略
单击通信进入的接口选项卡(例如LAN )
单击列表顶部添加新规则
设定以下内容:
协议:
TCP
发送方地址:
本地系统利用静态路由的地址,如LAN Net
目标地址:
路由另一端的网络
TCP标志:
设置为任意徽标(在高级选项下) ) )。
状态类型:
选择" Sloppy "状态。 在“高级”选项下)
单击“保存”
单击浮动选项卡
单击列表顶部添加新规则
设定以下内容:
接口:
流量源接口,如局域网
方向:
出局
协议:
TCP
发送方地址:
本地系统利用静态路由的地址,如LAN Net
目标地址:
路由另一端的网络
TCP标志:
设置为任何徽标(在高级选项下) )。
状态类型:
选择" Sloppy "状态。 在“高级”选项下)
单击“保存”
如果防火墙日志显示来自其他源或目标的其他通信被阻止,例如TCP标志“TCP:SA”或“TCP:PA”,则可以调整或复制规则以匹配该通信。
注意
如果需要在静态路由的子网之间进行通信过滤,则应该在路由器上进行过滤,而不是在防火墙上进行。 这是因为防火墙不在网络上,因此可以有效地控制流量。
公用IP地址路由
54人阅读
本节介绍在单个防火墙部署中将公共IP子网分配给内部接口的公共IP地址的路由。
IP分配
您必须至少为ISP分配两个公共IP子网。 一个用于防火墙的广域网,另一个用于内部接口。 这通常是WAN的/30子网,将第二个子网分配给内部接口。 WAN和内部IP的分配如下图所示。
湾IP范围
198.51.100.64/30
IP地址分配198.51.100.65ISP路由器( pfSense默认网关) 198.51.100.66 pfsense广域网接口IP地址
内部IP范围
192.0.2.128/29
IP地址分配192.0.2.129pfSense OPT1接口192.0.2.131192.0.2.132192.0.2.133192.0.0.13192.0.0
首先配置广域网和OPT接口。 如果需要,局域网接口也可以用于公共IP地址。 在本示例中,LAN是专用IP子网,而OPT1是公用IP子网。
广域网接口配置
适当添加IP地址和网关。 如下图所示。
OPT1接口配置
启用OPT1后,可以更改名称并配置IP地址和子网掩码。 如下图所示。
配置NAT
如果要在内部接口上使用公共IP地址,则必须将内部通信转换为WAN IP的缺省设置。
导航到防火墙NAT
单击“出站”标签
选择hybridoutboundnatrulegeneration。 选择“混合出站NAT规则生成”
单击“保存”
要在列表顶部添加新规则,请单击以下设置:
Do not NAT :
选中后,NAT将被禁用
界面:
广域网
协议:
纽约
Source :
中输入本地公用网络IP子网。 192.0.2.128/29
目标:
纽约
单击“保存”
它涵盖了将通过WAN接口离开本地接口的所有通信转换为WAN IP地址的默认自动规则。 来自OPT1网络192.0.2.128/29的通信不会转换,因为手动添加的规则会将其排除在NAT之外。 此配置将保留其他内部接口的自动行为,以避免失去自动出站NAT规则的优势。 下图显示了此配置。
如果要在所有本地接口上使用公共IP地址,请设置Disable Outbound NAT“禁用出站NAT”,而不是混合模式。
防火墙规则设置
NAT和IP地址配置完成。 必须添加防火墙规则才能允许出站和入站流量。 下图显示了一种类似DMZ的配置,其中到LAN子网的所有通信都被拒绝,OPT1接口IP地址允许DNS和ping,并且允许HTTP出站。
要允许来自互联网的通信到达内部接口的公共IP地址,请将规则添加到WAN中以使用公共IP地址作为目标。 图WAN防火墙规则显示了允许从内部接口上的公共IP地址之一HTTP到192.0.2.130的规则。
注意
如果没有NAT,流量将从LAN流向此公共子网。 如果不需要此操作,请相应调整局域网防火墙和NAT规则。 此外,还可能需要绕过策略路由以允许从局域网到接口的路由。
路由协议
pfSense目前支持三种路由协议。
路由信息协议( RIP ) )。
边界网关协议( BGP )
OSPF (开放最短路径优先) )
本节将详细介绍这些内容,并假设您了解路由协议。 对路由协议的深入讨论超出了本书的范围。
RIP
RIP是路由插件的一部分。 要安装:
转到“系统插件管理”
单击“可用插件”
在列表中找到routed
单击右侧的安装“路由”
点击确认
等待安装完成
导航到系统服务RIP
要配置RIP :
选中Enable RIP框
选择等待和发送路由更新的接口rip
选择修复版本
如果正在使用RIPv2且需要网络密码,请输入RIPv2 password。
单击“保存”
RIP将立即启动,并开始在指定接口上发送和接收路由更新。
BGP
要使用OpenBSD的OpenBGPD插件,必须首先安装它。
转到“系统插件管理”
单击“可用插件”
在列表中找到OpenBGPD
单击右侧的安装OpenBGPD
点击确认
等待安装完成
导航到系统服务OpenBGPD
BGP是一种复杂的野兽,详细说明不在本书的讨论范围内。 对于了解BGP的人来说,在pfSense上放置OpenBGPD是直接的。 在开发这个插件的过程中,我们使用了O&; #039; 依赖Reilly的BGP书籍,并将其推荐给想导入BGP的人。
OpenBGPD插件的典型配置格式如下:
使用远程AS在Group选项卡中配置组
在Neighbors选项卡中,将一个或多个邻居设置为定义的组的成员
在Settings选项卡中,根据需要配置本地AS和网络通知
OSPF
pfsense具有一个使用Quagga路由守护程序的OSPF插件。 要安装:
转到“系统插件管理”
单击“可用插件”
在列表中找到Quagga_OSPF
单击右侧的安装Quagga_OSPF
点击确认
等待安装完成
导航到系统服务Quagga OSPF
OSPF也不像BGP那么复杂,但是是相当复杂的路由协议。 虽然OSPFD的配置细节也超出了本文档的范围,但对于熟悉OSPF的人来说,很清楚在GUI中找到的配置选项。
Quagga OSPF插件的典型配置格式如下:
根据需要添加接口,将本地接口子网标记为被动,并将其他OSPF路由器作为活动对象。
根据需要配置常规设置,如路由器id、区域id等。
故障诊断
诊断通信流量问题时,首先检查pfSense的已知路由。
查看路由
有两种方法可以显示根: WebGUI和命令行。
要在WebGUI中查看根,请转到系统诊断根,如下图所示。
命令行输出与WebGUI的输出类似。
#netstat-rWn
路由表
互联网:
dstinationgatewayflagsusemtunetifexpire
efault 198.51.100.1 ugs 18221500 igb 1
10.2.0.0/24link#2U01500igb0
10.2.0.1link#2UHS016384lo0
127.0.0.1link#11UH20416384lo0
198.51.100.0/24link # 3u 11811500 I gb1
198.51.100.100:08:a2:09:95:b6u hs 27891500 igb 1
198.51.100.2link#3UHS016384lo0
这些页面上显示的列表示根的各种属性。 本节稍后将详细介绍。
目的地)。
此列包含目标主机或网络。 系统的默认路由显示为default。 否则,主机将按IP地址显示,网络将显示IP地址和CIDR子网掩码。
网关)网关
网关是发送到特定目的地的数据包路由器。 如果此列中显示链接(如link#1),则网络可以通过此接口直接访问,不需要特殊路由。 如果主机能够识别MAC地址,则它是本地可访问的主机,ARP表中有一个条目,包将直接发送到其中。
标志)
有很多标志。 所有这些徽标都在FreeBSD的Netstat(1)手册页中介绍,如下表所示。
路由表标志和含义
代表文字
马克
意义
1RTF_PROTO1协议特定路由标志#12RTF_PROTO2协议特定路由标志#23RTF_PROTO3协议特定路由标志# 3BRTF_BLACKHOLE在更新期间破坏包bRTF_BROADCAST表示广播地址DRTF_DYNAMIC,为了通过重定向来动态地创建GRTF_GATEWAY目的地,需要HRTF_HOST主机输入(否则为网络) 必须中介传输LRTF_LLINFO链接地址转换的有效协议mmanager )手动传输到RRTF_REJECT主机或无法访问网络的SRTF_STATIC上的URTF_UP可用路由xrtic
例如,标记为UGS的路由是可用的路由,并且经由列出的网关发送分组是静态路由。
参考
此列计算给定路由的当前活动使用次数。
使用
通过该路径发送的数据包总数。 这将增加数据包利用路由,从而有助于确定路由是否实际在使用。
Netif
用于此路由的网络接口。
快速
对于动态条目,此字段将显示此路由直到其过期,直到不再使用。
使用跟踪根目录
Traceroute是一个非常有用的工具,用于测试和验证路由和多广域网功能。 它显示了从数据包的一端到另一端的路径中的每个“跳”,以及到达其中点所需的延迟。 在pfSense中,您可以导航到系统诊断并跟踪路由,也可以在命令行中使用traceroute来跟踪路由。 在Windows上,程序名称为tracert。
每个IP数据包都包含生存时间( TTL )的值。 当路由器传递包时,TTL会递减1。 如果路由器接收到TTL包,且目标不是本地连接的网络,则路由器将丢弃该包,并返回ICMP错误消息“已过期”。 这是为了限制路由组的影响。 否则,每个分组都会出现无限循环。
Traceroute使用此TTL将路径映射到特定的网络目的地。 以发送TTL为1的第一个包开始。 第一个路由器(通常为默认网关)返回ICMP超时生存时间错误。 从发送包到接收ICMP错误的时间是显示的时间,与发送错误的IP地址及其反向DNS (如果有)一起列出。 发送TTL为1的3个分组并显示响应时间后,将TTL增加到2并发送3个分组,注意与第2跳相同的信息。 Traceroute会递增TTL并重复此过程,直到达到指定的目标或超过最大跳数。
Traceroute在Windows和Unix类操作系统( BSD、Linux、Mac OS X、Unix等)上的功能略有不同。 Windows使用ICMP响应请求包( ping ),而Unix系统缺省使用UDP包。 因为ICMP和UDP是第4层协议,而traceroute在第3层完成,所以使用的协议几乎没有关系,除非考虑策略路由配置。 来自Windows客户端的Traceroute基于哪些规则允许ICMP响应请求进行策略路由,而Unix类客户端根据与正在使用的UDP端口匹配的规则进行路由。
在此示例中,traceroute用于显示www.google.com的路由。
#traceroute
traceroute:warning:www.Google.comhasmultipleaddresses; using74.125.95.99
traceroutetowww.l.Google.com ( 74.125.95.99 )、64hopsmax和40bytepackets
1酷睿( 172.17.23.1 ) 1.450ms1.901ms2.213ms
272.17.25.21(172.17.25.21 ) 4.852ms3.698ms3.120ms
3 bb1-G4-0-2.IP ltin.ameritech.net ( 151.164.42.156 ) 3.275ms3.210ms3.215ms
4151.164.93.49(151.164.93.49 ) 8.791ms8.593ms8.891ms
574.125.48.117(74.125.48.117 ) 8.460ms39.941ms8.551ms
6209.85.254.120(209.85.254.120 ) 10.376ms8.904ms8.765ms
7209.85.241.22(209.85.241.22 ) 19.479ms20.058ms19.550ms
8209.85.241.29(209.85.241.29 ) 20.547ms19.761ms
209.85.241.27(209.85.241.27 ) 20.131ms
9209.85.240.49(209.85.240.49 ) 30.184ms
72.14.239.189(72.14.239.189 ) 21.337ms21.756ms
10iw-in-f99.Google.com ( 74.125.95.99 ) 19.793ms19.665ms20.603ms
结果表明,到达那里需要10跳,逐跳延迟一般会增加。
注意
使用多广域网等策略路由时,防火墙本身在traceroute中可能不显示为单跳。 如果使用策略路由,traceroute无法将其检测为中间路由器,因为pf在转发包时不会减少TTL。
路由和V-P-N
根据使用的v-p-n的不同,根可能不会显示在远程表中。 IPsec不使用路由表,而是使用IPsec安全策略数据库( SPD )条目在内核中进行内部处理。 静态路由不会使通信通过IPsec连接。 由于Open***使用系统路由表,因此可以通过Openv-p-n隧道访问的网络具有与以下示例类似的条目:
#netstat-rWn
路由表
互联网:
dstinationgatewayflagsusemtunetifexpire
efault 198.51.100.1 ugs 924211500 em0
10.6.0.0/1610.6.203.1 ugs 01500 o * * * C2
10.6.203.0/2410.6.203.2 ugs 01500 o * * * C2
10.6.203.1link#9UH01500o***c2
10.6.203.2link#9UHS016384lo0
10.7.0.0/24link # 2u 12607711500 em1
10.7.0.1link#2UHS016384lo0
127.0.0.1link#7UH86616384lo0
198.51.100.0/24link # 1u 1251471500 em0
198.51.100.7link#1UHS016384lo0
Openv-p-n接口为10.6.203.2,网关为10.6.203.1,接口为o***c2。 在本示例中,可以使用Openv-p-n访问的网络为10.6.0.0/16。
对于IPsec,跟踪路由没有像Openv-p-n这样的路由设置有用,因为IPsec隧道本身没有IP地址。 在IPsec中将根跟踪运行到目标时,将显示为IPsec隧道的跳过超时。
详情请访问云服务器、域名注册、虚拟主机的问题,请访问西部数码代理商官方网站: www.chenqinet.cn