Команда drv_mgr показывает список всех поддерживаемых настроек, режим доступа к ним, размер в байтах и диапазон допустимых значений:
Синтаксис
drv_mgr
Список выводимых настроек:
List of properties:
name access type size (in bytes) range [min-max]
pcap_minimal_mtu read-only 4 [0-0]
fw_tcp_closed_ttl lsp-managed 4 [1-65535]
fw_tcp_synsent_ttl lsp-managed 4 [1-65535]
fw_tcp_synrcvd_ttl lsp-managed 4 [1-65535]
fw_tcp_estab_ttl lsp-managed 4 [1-65535]
fw_tcp_fin_ttl lsp-managed 4 [1-65535]
fw_tcp_strictness lsp-managed 4 [0-6]
fw_tcp_open_max lsp-managed 4 [0-1000000]
fw_tcp_half_open_max lsp-managed 4 [0-1000000]
fw_tcp_half_open_low lsp-managed 4 [0-1000000]
fw_tcp_conn_rate_max lsp-managed 4 unlimited
fw_tcp_conn_rate_low lsp-managed 4 unlimited
frag_dont_grow_fragments read-write 1 [0-1]
frag_minimize_size read-write 1 [0-1]
frag_df_options read-write 1 [0-3]
qos_preclassify read-write 1 [0-1]
ipsec_breq_max read-write 4 unlimited
ipsec_breq_count read-only 4 unlimited
ipsec_recursive_policy read-write 1 [0-1]
Описание настроек IPsec драйвера
Таблица 2
Наименование настройки |
Тип доступа |
Размер |
Рекомен |
Значение по умол чанию |
Описание |
frag_dont_grow_fragments |
чтение запись |
|
0-1 |
0 |
Чтобы избежать повторной перефрагментации пакетов промежуточными маршрутизаторами, предусмотрены значения: 1 – размер фрагментов не будет превышать максимальный размер оригинальных фрагментов; 0 – пакет фрагментируется без учета размера оригинальных фрагментов. |
frag_minimize_size |
чтение запись |
|
0-1 |
0 |
Чтобы избежать повторной перефрагмен тации пакетов промежуточными маршрути заторами предусмотрены значения: 1 – размер фрагментов усредняется, т.е. минимизируется максимальный размер фрагмента при сохранении минимального количества фрагментов; 0 – все фрагменты делаются макси мального размера, кроме последнего. Пример: MTU – 270, пакет – 276 байтов, заголовок – 20 байтов. Если значение 1, то фрагменты 148 и 148 байтов. |
frag_df_options |
чтение запись |
|
0-3 |
0 |
Чтобы избежать повторной перефрагмен тации пакетов промежуточными маршру тизаторами, предусмотрены значения, которые определяют выставлять ли DF-бит на фрагментах: 0 – на фрагментах DF-бит всегда сбрасывается 1 – выставлять DF-бит у фрагментов, если оригинальный пакет был фрагмен тирован, не инкапсулирован в IPsec, и на фрагментах был выставлен DF-бит. Этот флаг позволяет восстанавливать DF-флаг для открытого трафика, таким образом хост, отправивший пакет может проводить MTU discovery для фрагментированных пакетов. 2 – выставлять DF-бит для фрагменти рованных IPsec-пакетов, если на соот ветствующем IPsec SA включено MTU discovery. Этот флаг позволяет прово дить MTU discovery для фрагментиро ванных пакетов драйверу и избавиться от повторной фрагментации IPsec пакетов: - IPsec-пакет может быть фрагменти рован, если в SA установлен режим сброса или копирования DF-бита (DFHandling в LSP). При этом если установлен режим копирования, в исходном пакете DF-бит должен быть сброшен. - сочетание когда включено MTU discovery и DFHandling = CLEAR имеет смысл только при frag_df_options ≥ 2, т.к. нет смысла проводить MTU discovery, когда DF-бит всегда сброшен. 3 – комбинация 1 и 2. |
qos_preclassify |
чтение запись |
|
0-1 |
0 |
Использование предварительной классификации пакетов: 1 –- предварительная классификация включена; 0 – предварительная классификация выключена |
ipsec_breq_max |
чтение запись |
|
unlimited |
1000 |
Максимальное количество одновременно выполняющихся запросов на создание SA bundle. В LSP можно задать отдельные ограничения для каждого правила. |
ipsec_breq_count |
чтение |
|
unlimited |
0 |
Текущее количество одновременно выполняющихся запросов на создание SA bundle. |
ipsec_recursive_policy |
чтение запись |
|
|
0 |
Включение/выключение рекурсивного режима поиска правил IPsec для обработки пакетов. Настраивается в LSP через атрибут AllowNestedIPsec |
pcap_minimal_mtu |
чтение |
1500 |
Минимальное значение MTU для всех сетевых интерфейсов. Значение вычисляется на основании параметров интерфейсов, доступных для драйвера. Таким образом, минимальное значение MTU, используемое IP-драйвером может отличаться. |
||
fw_tcp_closed_ttl |
чтение |
секунды |
|
5 |
Время жизни записи о соединении. S-Terra Gate сначала определяет состояние TCP соединения для каждого из партнеров, которые создают TCP соединение через шлюз безопасности. А в LSP в зависимости от этих состояний задано время жизни записи о соединении (см.таблицу соответствий). Настраиваются в LSP |
fw_tcp_synsent_ttl |
чтение |
секунды |
|
30 |
|
fw_tcp_synrcvd_ttl |
чтение |
секунды |
|
60 |
|
fw_tcp_estab_ttl |
чтение |
секунды |
|
3600 |
|
fw_tcp_fin_ttl |
чтение |
секунды |
|
30 |
|
fw_tcp_strictness |
чтение |
|
0-6 |
3 |
Уровен "жесткости" к различным ситуациям, которые воспринимаются шлюзом как ошибочные. Настраивается в LSP атрибуте TCPStrictnessLevel. |
fw_tcp_open_max |
чтение |
|
|
65536 |
Максимальное количество разрешенных TCP-соединений. При превышении данного предела новые TCP-соединения будут отвергаться. Настраивается в LSP. |
fw_tcp_half_open_max |
чтение |
|
1-1000000 |
500 |
Максимальное количество одновременно существующих полуоткрытых сеансов TCP, при достижении которого начинается их удаление при появлении нового запроса на соединение. Настраивается в LSP. |
fw_tcp_half_open_low |
чтение |
|
1-1000000 |
400 |
Минимальное количество одновременно существующих полуоткрытых сеансов TCP, при достижении которого прекращается их удаление. Настраивается в LSP. |
fw_tcp_conn_rate_max |
чтение |
|
unlimited |
500 |
Максимальная частота появления полуоткрытых сеансов TCP в минуту, по достижении которой начинается их удаление. Настраивается в LSP. |
fw_tcp_conn_rate_low |
чтение |
|
unlimited |
400 |
Минимальная частота появления полуоткрытых сеансов TCP в минуту, по достижении которой прекращается их удаление. Настраивается в LSP. |