Утилиты для работы с настройками IPsec драйвера

drv_mgr – показывает список всех поддерживаемых настроек

drv_mgr show – для просмотра настроек IPsec-драйвера

drv_mgr set – изменения настроек IPsec-драйвера

drv_mgr reload – не предназначена для пользователя, загружает все настройки.

Утилиты предназначены для работы с настройками IPsec драйвера и помогают в решении проблем, возникающих на S-Terra Gate, если на обработку поступает больший объем трафика, чем может обработать шлюз безопасности. Эту ситуацию будем называть "перегрузка". В связи с перегрузкой возникают следующая проблема: при перегрузке уничтожаются пакеты, которые не успевают обрабатываться, при этом приоритет пакетов (поле TOS IP-заголовка) не учитывается. Качественное решение данной проблемы может быть реализовано только в рамках всего IP-стека. Здесь рассматриваются решения только в рамках IPsec драйвера, поэтому учитываются только те ситуации, где узким местом для трафика является IPsec драйвер.

Для IPsec драйвера вводятся некоторые настройки. Так введена граница, после которой в очередь может попасть только высокоприоритетный пакет. В ОС Linux очередь ограничена максимальным количеством пакетов, при достижении которого пакет не будет обработан вне зависимости от приоритета. Для управления таким поведением могут быть использованы следующие параметры, настраиваемые через утилиту drv_mgr: pq_thread_q_size, pq_send_q_size, pq_force_ordering, pq_tos_mask, pq_drop_low_pri_ifs, pq_drop_thres.

 

Примечание

Описание настройки параметров с целью оптимизации IPsec обработки сетевого трафика на многопроцессорных системах приведено в документе «Настройка шлюза», в разделе «Настройка параметров параллельной обработки сетевого трафика».