Команда drv_mgr показывает имена поддерживаемых настроек, режим доступа к ним, размер в байтах и диапазон допустимых значений.
Синтаксис
drv_mgr
Список выводимых настроек:
List of properties:
Name access type size (in bytes) range [min-max]
pcap_minimal_mtu read-only 4 [0-0]
fw_tcp_closed_ttl lsp-managed 4 [1-65535]
fw_tcp_synsent_ttl lsp-managed 4 [1-65535]
fw_tcp_synrcvd_ttl lsp-managed 4 [1-65535]
fw_tcp_estab_ttl lsp-managed 4 [1-65535]
fw_tcp_fin_ttl lsp-managed 4 [1-65535]
fw_tcp_strictness lsp-managed 4 [0-6]
fw_tcp_open_max lsp-managed 4 [0-1000000]
fw_tcp_half_open_max lsp-managed 4 [0-1000000]
fw_tcp_half_open_low lsp-managed 4 [0-1000000]
fw_tcp_conn_rate_max lsp-managed 4 unlimited
fw_tcp_conn_rate_low lsp-managed 4 unlimited
frag_dont_grow_fragments read-write 1 [0-1]
frag_minimize_size read-write 1 [0-1]
frag_df_options read-write 1 [0-3]
ipsec_breq_max read-write 4 unlimited
ipsec_breq_count read-only 4 unlimited
ipsec_recursive_policy read-write 1 [0-1]
Описание настроек IPsec драйвера приведено в Таблица 3
Таблица 3
|
Наименование настройки |
Тип доступа |
Размерность |
Рекомендуемые значения |
Значение по умолчанию |
|
Описание |
||||
|
frag_dont_grow_ fragments |
чтение-запись |
|
0-1 |
0 |
|
Чтобы избежать повторной перефрагментации пакетов промежуточными маршрутизаторами, предусмотрены следующие значения: 1 – размер фрагментов не будет превышать максимальный размер оригинальных фрагментов 0 – пакет фрагментируется без учета размера оригинальных фрагментов |
||||
|
frag_minimize_size |
Чтение-запись |
|
0-1 |
0 |
|
Чтобы избежать повторной перефрагментации пакетов промежуточными маршрутизаторами, предусмотрены следующие значения: 1 – размер фрагментов усредняется, т.е. минимизируется максимальный размер фрагмента при сохранении минимального количества фрагментов 0 – все фрагменты делаются максимального размера, кроме последнего. Пример: MTU – 270, пакет – 276 байтов, заголовок – 20 байт. Если значение 1, то фрагменты 148 и 148 байтов. Если значение 0, то фрагменты 268 и 28 байтов. |
||||
|
frag_df_options |
чтение запись |
|
0-3 |
0 |
|
Чтобы избежать повторной перефрагментации пакетов промежуточными маршрутизаторами, предусмотрены значения, которые определяют выставлять ли DF-бит на фрагментах: 0 – на фрагментах DF-бит всегда сбрасывается 1 – выставлять DF-бит у фрагментов, если оригинальный пакет был фрагментирован, не инкапсулирован в IPsec, и на фрагментах был выставлен DF-бит. Это значение позволяет восстанавливать DF-бит для открытого трафика. Таким образом, хост, отправивший пакет, может проводить MTU discovery для фрагментированных пакетов. 2 – выставлять DF-бит для фрагментированных IPsec-пакетов, если на соответствующем IPsec SA включено MTU discovery. Этот флаг позволяет проводить MTU discovery для фрагментированных пакетов драйверу и избавиться от повторной фрагментации IPsec пакетов: – IPsec-пакет может быть фрагментирован, если в SA установлен режим сброса или копирования DF-бита (DFHandling в LSP). При этом, если установлен режим копирования, в исходном пакете DF-бит должен быть сброшен – сочетание, когда включено MTU discovery и DFHandling = CLEAR имеет смысл только при frag_df_options ≥ 2, т.к. нет смысла проводить MTU discovery, когда DF-бит всегда сброшен. 3 – комбинация 1 и 2. |
||||
|
ipsec_breq_max |
чтение запись |
|
unlimited |
1000
|
|
Максимальное количество одновременно выполняющихся запросов на создание SA bundle. В LSP можно задать отдельные ограничения для каждого правила. |
||||
|
ipsec_breq_count |
чтение |
|
unlimited |
0
|
|
Текущее количество одновременно выполняющихся запросов на создание SA bundle. |
||||
|
ipsec_recursive_policy |
чтение |
|
0-1 |
0 |
|
Включение/выключение рекурсивного режима поиска правил IPsec для обработки пакетов. Настраивается в LSP через атрибут AllowNestedIPsec.
|
||||
|
pcap_minimal_mtu |
чтение |
|
|
1500 |
|
Минимальное значение MTU для всех сетевых интерфейсов. Значение вычисляется на основании параметров интерфейсов, доступных для драйвера. Таким образом, минимальное значение MTU, используемое IP-драйвером может отличаться. |
||||
|
fw_tcp_closed_ttl |
чтение |
секунды |
1-65535 |
5 |
|
fw_tcp_synsent_ttl |
чтение |
секунды |
1-65535 |
30 |
|
fw_tcp_synrcvd_ttl |
чтение |
секунды |
1-65535 |
60 |
|
fw_tcp_estab_ttl |
чтение |
секунды |
1-65535 |
3600 |
|
fw_tcp_fin_ttl |
чтение |
секунды |
1-65535 |
30 |
|
|
Время жизни записи о соединении. S-Terra Client сначала определяет состояние TCP соединения для каждого из партнеров, которые создают TCP соединение через шлюз безопасности. А в LSP в зависимости от этих состояний задано время жизни записи о соединении. |
|||
|
fw_tcp_strictness |
чтение |
|
0-6 |
3 |
|
Уровен "жесткости" к различным ситуациям, которые воспринимаются шлюзом как ошибочные |
||||
|
fw_tcp_open_max |
чтение |
|
0-1000000 |
65536 |
|
Максимальное количество разрешенных TCP-соединений. При превышении данного предела новые TCP-соединения будут отвергаться. Настраивается в LSP. |
||||
|
fw_tcp_half_open_max |
чтение |
|
0-1000000 |
500 |
|
Максимальное количество одновременно существующих полуоткрытых сеансов TCP, при достижении которого начинается их удаление при появлении нового запроса на соединение. Настраивается в LSP. |
||||
|
fw_tcp_half_open_low |
чтение |
|
0-1000000 |
400 |
|
Минимальное количество одновременно существующих полуоткрытых сеансов TCP, при достижении которого прекращается их удаление. Настраивается в LSP. |
||||
|
fw_tcp_conn_rate_max |
чтение |
|
unlimited |
500 |
|
Максимальная частота появления полуоткрытых сеансов TCP в минуту, по достижении которой начинается их удаление. Настраивается в LSP. |
||||
|
fw_tcp_conn_rate_low |
чтение |
|
unlimited |
400 |
|
Минимальная частота появления полуоткрытых сеансов TCP в минуту, по достижении которой прекращается их удаление. Настраивается в LSP. |
||||