Наименование настройки

Тип доступа

Размер
ность

Рекомен
дуемые значе ния

Значение по умол чанию

Описание

pq_tos_mask 

чтение запись

битовая маска

1-255

255

Битовая маска (1 байт), на которую умножается побитно поле TOS (Type of Service – 1 байт) IP-заголовка пакета для определения приоритетных пакетов. Если результат умножения не равен нулю, пакет – приоритетный. Если значение pq_tos_mask=255, то при любом не равном нулю значении поля TOS, пакет является приоритетным.

pq_drop_low_pri_ifs

чтение запись

список физичес ких имен интерфей сов через запятую (без пробелов)

Включение/выключение механизма уничтожения неприоритетных пакетов, поступающих на интерфейс:

если имя интерфейса есть в списке – неприоритетные пакеты уничтожаются при уровне заполнения очереди pq_drop_thres и выше;

если имени интерфейса нет в списке – уровень заполнения очереди pq_drop_thres не учитывается, и считается, что поступающие пакеты имеют одинаковый приоритет.

Допускается указание интерфейсов, которые в данный момент в системе отсутствуют, но при появлении такого интерфейса он будет учитываться в списке.

pq_drop_thres

чтение запись

процен ты

1-100

90

Процент заполнения очереди пакетов от максимального количества пакетов, при котором неприоритетные пакеты начинают уничтожаться. Приоритетные пакеты будут приниматься, пока не будет достигнута граница pq_thread_q_size или pq_send_q_size. Для пакетов низкого приоритета аналогичная граница – pq_thread_q_size*pq_drop_thres/100 или pq_send_q_size*pq_drop_thres/100 (pq_drop_thres влияет на очередь отправки только если pq_force_ordering=1).

pq_thread_q_size

чтение запись

кол-во пакетов

0-16383

2000

Максимальное число пакетов в очереди, ожидающих обработки нитками драйвера. При достижении этого значения пакеты начинают уничтожаться вне зависимости от приоритета.

pq_send_q_size

чтение запись

кол-во пакетов

0-2047

2032

Максимальное число пакетов в очереди отправки (очередь отправки предназначена для восстановления порядка пакетов после параллельной обработки трафика).

pq_force_ordering

чтение запись

0-1

1

Если выставлено значение 1, то по достижении границы pq_send_q_size пакеты начинают удаляться. Если значение 0, то при заполненной очереди отправки пакеты отправляются минуя эту очередь.

frag_dont_grow_fragments

чтение запись

0-1

0

Чтобы избежать повторной перефрагментации пакетов промежуточными маршрутизаторами, предусмотрены значения:

1 – размер фрагментов не будет превышать максимальный размер оригинальных фрагментов;

0 – пакет фрагментируется без учета размера оригинальных фрагментов.

frag_minimize_size 

чтение запись

0-1

0

Чтобы избежать повторной перефрагмен тации пакетов промежуточными маршрути заторами предусмотрены значения:

1 – размер фрагментов усредняется, т.е. минимизируется максимальный размер фрагмента при сохранении минимального количества фрагментов;

0 – все фрагменты делаются макси мального размера, кроме последнего.

Пример: MTU – 270, пакет – 276 байтов, заголовок – 20 байт.

Если значение 1, то фрагменты 148 и 148 байтов.
Если значение 0 – фрагменты 268 и 28 байтов.

frag_df_options 

чтение запись

0-3

0

Чтобы избежать повторной перефрагмен тации пакетов промежуточными маршру тизаторами, предусмотрены значения, которые определяют выставлять ли DF-бит на фрагментах:

0 – на фрагментах DF-бит всегда сбрасывается

1 – выставлять DF-бит у фрагментов, если оригинальный пакет был фрагмен тирован, не инкапсулирован в IPsec, и на фрагментах был выставлен DF-бит. Этот флаг позволяет восстанавливать DF-флаг для открытого трафика, таким образом хост, отправивший пакет может проводить MTU discovery для фрагментированных пакетов.

2 – выставлять DF-бит для фрагменти рованных IPsec-пакетов, если на соот ветствующем IPsec SA включено MTU discovery. Этот флаг позволяет прово дить MTU discovery для фрагментиро ванных пакетов драйверу и избавиться от повторной фрагментации IPsec пакетов:

- IPsec-пакет может быть фрагменти рован, если в SA установлен режим сброса или копирования DF-бита (DFHandling в LSP). При этом если установлен режим копирования, в исходном пакете DF-бит должен быть сброшен.

- сочетание когда включено MTU discovery и DFHandling = CLEAR имеет смысл только при frag_df_options ≥ 2, т.к. нет смысла проводить MTU discovery, когда DF-бит всегда сброшен.

3 – комбинация 1 и 2.

qos_preclassify

чтение запись

0-1

0

Использование предварительной классификации пакетов:

1 –- предварительная классификация включена;

0 – предварительная классификация выключена

ipsec_breq_max

чтение запись

unlimited

1000

Максимальное количество одновременно выполняющихся запросов на создание SA bundle. В LSP можно задать отдельные ограничения для каждого правила.

ipsec_breq_count

чтение

unlimited

0

Текущее количество одновременно выполняющихся запросов на создание SA bundle.

ipsec_recursive_policy

чтение запись

0

Включение/выключение рекурсивного режима поиска правил IPsec для обработки пакетов. Настраивается в LSP через атрибут AllowNestedIPsec

fw_tcp_closed_ttl

чтение

секунды

5

Время жизни записи о соединении.

S-Terra Gate сначала определяет состояние TCP соединения для каждого из партнеров, которые создают TCP соединение через шлюз безопасности. А в LSP в зависимости от этих состояний задано время жизни записи о соединении (см.таблицу соответствий). Настраиваются в LSP

fw_tcp_synsent_ttl

чтение

секунды

30

fw_tcp_synrcvd_ttl

чтение

секунды

60

fw_tcp_estab_ttl

чтение

секунды

3600

fw_tcp_fin_ttl

чтение

секунды

30

fw_tcp_strictness

чтение

0-6

3

Уровень "жесткости" к различным ситуациям, которые воспринимаются шлюзом как ошибочные. Настраивается в LSP атрибуте TCPStrictnessLevel.

fw_tcp_open_max 

чтение

65536

Максимальное количество разрешенных TCP-соединений. При превышении данного предела новые TCP-соединения будут отвергаться. Настраивается в LSP.

fw_tcp_half_open_max

чтение

1-1000000

500

Максимальное количество одновременно существующих полуоткрытых сеансов TCP, при достижении которого начинается их удаление при появлении нового запроса на соединение. Настраивается в LSP.

fw_tcp_half_open_low

чтение

1-1000000

400

Минимальное количество одновременно существующих полуоткрытых сеансов TCP, при достижении которого прекращается их удаление. Настраивается в LSP.

fw_tcp_conn_rate_max

чтение

unlimited

500

Максимальная частота появления полуоткрытых сеансов TCP в минуту, по достижении которой начинается их удаление. Настраивается в LSP.

fw_tcp_conn_rate_low

чтение

unlimited

400

Минимальная частота появления полуоткрытых сеансов TCP в минуту, по достижении которой прекращается их удаление. Настраивается в LSP.