drv_mgr

Команда drv_mgr показывает имена поддерживаемых настроек, режим доступа к ним, размер в байтах и диапазон допустимых значений.

Синтаксис

drv_mgr

Список выводимых настроек:

List of properties:

name                     access type    size (in bytes)     range [min-max]

pq_tos_mask              read-write     1                   unlimited

pq_drop_low_pri_ifs      read-write     variable            unlimited

pq_drop_thres            read-write     4                   [0-100]

pq_thread_q_size         read-write     4                   [1-16383]

pq_send_q_size           read-write     4                   [0-2047]

pq_force_ordering        read-write     1                   [0-1]

pq_wait_cycles           read-write     4                   [0-100000]

fw_tcp_closed_ttl        lsp-managed    4                   [1-65535]

fw_tcp_synsent_ttl       lsp-managed    4                   [1-65535]

fw_tcp_synrcvd_ttl       lsp-managed    4                   [1-65535]

fw_tcp_estab_ttl         lsp-managed    4                   [1-65535]

fw_tcp_fin_ttl           lsp-managed    4                   [1-65535]

fw_tcp_strictness        lsp-managed    4                   [0-6]

fw_tcp_open_max          lsp-managed    4                   [0-1000000]

fw_tcp_half_open_max     lsp-managed    4                   [0-1000000]

fw_tcp_half_open_low     lsp-managed    4                   [0-1000000]

fw_tcp_conn_rate_max     lsp-managed    4                   unlimited

fw_tcp_conn_rate_low     lsp-managed    4                   unlimited

frag_dont_grow_fragments read-write     1                   [0-1]

frag_minimize_size       read-write     1                   [0-1]

frag_df_options          read-write     1                   [0-3]

frag_reassemble_timeout  read-write     1                   [0-255]

qos_preclassify          read-write     1                   [0-1]

ipsec_breq_max           read-write     4                   unlimited

ipsec_breq_count         read-only      4                   unlimited

ipsec_recursive_policy   lsp-managed    1                   [0-1]

ipsec_nat_allow_nonlocal lsp-managed    1                   [0-1]

pkt_link_max_pkts        read-write     4                   [100-10000]

pkt_link_max_kbytes      read-write     4                   [200-20000]

 

 

Описание настроек IPsec драйвера приведено в Таблица 1

Таблица 1

Наименование настройки

Тип доступа

Размерность

Рекомендуемые значения

Значение по умолчанию

Описание

frag_dont_grow_fragments

чтение-запись

 

0-1

0

Чтобы избежать повторной перефрагментации пакетов промежуточными маршрутизаторами, предусмотрены следующие значения:

1 – размер фрагментов не будет превышать максимальный размер оригинальных фрагментов

0 – пакет фрагментируется без учета размера оригинальных фрагментов

frag_minimize_size

чтение-запись

 

0-1

0

Чтобы избежать повторной перефрагментации пакетов промежуточными маршрутизаторами, предусмотрены следующие значения:

1 – размер фрагментов усредняется, т.е. минимизируется максимальный размер фрагмента при сохранении минимального количества фрагментов

0 – все фрагменты делаются максимального размера, кроме последнего.

Пример: MTU – 270, пакет – 276 байтов, заголовок – 20 байтов.

Если значение 1, то фрагменты 148 и 148 байтов.

Если значение 0, то фрагменты 268 и 28 байтов.

frag_df_options

чтение-запись

 

0-3

0

Чтобы избежать повторной перефрагментации пакетов промежуточными маршрутизаторами, предусмотрены значения, которые определяют выставлять ли DF-бит на фрагментах:

0 – на фрагментах DF-бит всегда сбрасывается

1 – выставлять DF-бит у фрагментов, если оригинальный пакет был фрагментирован, не инкапсулирован в IPsec, и на фрагментах был выставлен DF-бит. Это значение позволяет восстанавливать DF-бит для открытого трафика. Таким образом, хост, отправивший пакет, может проводить MTU discovery для фрагментированных пакетов.

2 – выставлять DF-бит для фрагментированных IPsec-пакетов, если на соответствующем IPsec SA включено MTU discovery. Этот флаг позволяет проводить MTU discovery для фрагментированных пакетов драйверу и избавиться от повторной фрагментации IPsec пакетов:

– IPsec-пакет может быть фрагментирован, если в SA установлен режим сброса или копирования DF-бита (DFHandling в LSP). При этом, если установлен режим копирования, в исходном пакете DF-бит должен быть сброшен

– сочетание, когда включено MTU discovery и DFHandling = CLEAR имеет смысл только при frag_df_options ≥ 2, т.к. нет смысла проводить MTU discovery, когда DF-бит всегда сброшен.

3 – комбинация 1 и 2.

frag_reassemble_timeout

чтение-запись 

секунды 

0-255 

0

Время жизни фрагмента в секундах.

Если значение 0 – таймаут не задается.

Если параметр больше 0, то данное значение используется наряду с TTL фрагмента, чтобы определить, когда его можно удалить из очереди. А именно, фрагмент будет удалён по прошествии указанного количества секунд (но не больше TTL). Рекомендуется устанавливать значение не более 2-3 секунд.

ipsec_breq_max

чтение-запись

 

unlimited

1000

 

Максимальное количество одновременно выполняющихся запросов на создание SA bundle. В LSP можно задать отдельные ограничения для каждого правила.

ipsec_breq_count

чтение

 

unlimited

0

 

Текущее количество одновременно выполняющихся запросов на создание SA bundle.

ipsec_recursive_policy

lsp-managed

 

0-1

0

Включение/выключение рекурсивного режима поиска правил IPsec для обработки пакетов. Настраивается в LSP через атрибут AllowNestedIPsec.

ipsec_nat_allow_nonlocal

lsp-managed

 

0-1

1

Разрешение шифровать транзитный трафик при использовании IKECFG-интерфейса. Параметр зависит от лицензионного ограничения (Accept transit traffic).

pkt_link_max_pkts

чтение-запись

пакеты

100-10000

100 пакетов

Максимальный размер (в пакетах) очереди обмена (packet link) между драйвером-перехватчиком и службой tcp-инкасуляции/smart firewall.

pkt_link_max_kbytes

чтение-запись

килобайты

200-20000

200 килобайт

Максимальный размер (в килобайтах) очереди обмена (packet link) между драйвером-перехватчиком и службой tcp-инкасуляции/smart firewall.

fw_tcp_closed_ttl

Настраиваются в LSP

lsp-managed

секунды

1-65535

5

fw_tcp_synsent_ttl

lsp-managed

секунды

1-65535

30

fw_tcp_synrcvd_ttl

lsp-managed

секунды

1-65535

60

fw_tcp_estab_ttl

lsp-managed

секунды

1-65535

3600

fw_tcp_fin_ttl

lsp-managed

секунды

1-65535

30

fw_tcp_strictness

lsp-managed

 

0-6

3

Уровень "жесткости" к различным ситуациям, которые воспринимаются клиентом как ошибочные.

fw_tcp_open_max

lsp-managed

 

0-1000000

65536

Максимальное количество разрешенных TCP-соединений. При превышении данного предела новые TCP-соединения будут отвергаться. Настраивается в LSP.

fw_tcp_half_open_max

lsp-managed

 

0-1000000

500

Максимальное количество одновременно существующих полуоткрытых сеансов TCP, при достижении которого начинается их удаление при появлении нового запроса на соединение. Настраивается в LSP.

fw_tcp_half_open_low

lsp-managed

 

0-1000000

400

Минимальное количество одновременно существующих полуоткрытых сеансов TCP, при достижении которого прекращается их удаление. Настраивается в LSP.

fw_tcp_conn_rate_max

lsp-managed

 

unlimited

500

Максимальная частота появления полуоткрытых сеансов TCP в минуту, по достижении которой начинается их удаление. Настраивается в LSP.

fw_tcp_conn_rate_low

lsp-managed

 

unlimited

400

Минимальная частота появления полуоткрытых сеансов TCP в минуту, по достижении которой прекращается их удаление. Настраивается в LSP.

qos_preclassify

чтение-запись

 

0-1

0

Использование предварительной классификации пакетов:

1 – предварительная классификация включена;

0 – предварительная классификация выключена

pq_tos_mask

чтение-запись

Битовая маска

0-255

255

Битовая маска (1 байт), на которую умножается побитно поле TOS (Type of Service – 1 байт) IP-заголовка пакета для определения приоритетных пакетов. Если результат умножения не равен нулю, пакет – приоритетный. Если значение pq_tos_mask=255, то при любом не равном нулю значении поля TOS, пакет является приоритетным.

pq_drop_low_pri_ifs

чтение-запись

 

список физичес ких имен интерфей сов через запятую (без пробелов)

 

Включение/выключение механизма уничтожения неприоритетных пакетов, поступающих на интерфейс:

если имя интерфейса есть в списке – неприоритетные пакеты уничтожаются при уровне заполнения очереди pq_drop_thres и выше;

если имени интерфейса нет в списке – уровень заполнения очереди pq_drop_thres не учитывается, и считается, что поступающие пакеты имеют одинаковый приоритет.

Допускается указание интерфейсов, которые в данный момент в системе отсутствуют, но при появлении такого интерфейса он будет учитываться в списке.

pq_drop_thres

чтение-запись

проценты

1-100

90

Процент заполнения очереди пакетов от максимального количества пакетов, при котором неприоритетные пакеты начинают уничтожаться. Приоритетные пакеты будут приниматься, пока не будет достигнута граница pq_thread_q_size или pq_send_q_size. Для пакетов низкого приоритета аналогичная граница – pq_thread_q_size*pq_drop_thres/100 или pq_send_q_size*pq_drop_thres/100 (pq_drop_thres влияет на очередь отправки только если pq_force_ordering=1).

pq_thread_q_size

чтение-запись

кол-во пакетов

1-16383

2000

Максимальное число пакетов в очереди, ожидающих обработки нитками драйвера. При достижении этого значения пакеты начинают уничтожаться вне зависимости от приоритета.

pq_send_q_size

чтение-запись

кол-во пакетов

0-2047

2032

Максимальное число пакетов в очереди отправки (очередь отправки предназначена для восстановления порядка пакетов после параллельной обработки трафика).

pq_force_ordering

чтение-запись

 

0-1

1

Если выставлено значение 1, то по достижении границы pq_send_q_size пакеты начинают удаляться. Если значение 0, то при заполненной очереди отправки пакеты отправляются минуя эту очередь.

pq_wait_cycles

чтение-запись

 

0-100000

100

Количество циклов ожидания при пустой очереди пакетов, ожидающих обработку нитками драйвера.

             

 

 

Межсетевой экран определяет состояние TCP-cоединения для каждого из партнеров и, в зависимости от этого, выставляет время жизни записи о соединении. В Таблице 2 приведены стандартные названия для состояний TCP и соответствующие параметры drv_mgr, задающие время жизни. Также в таблице приведены соответствия параметров drv_mgr атрибутам LSP.

Таблица 2

Состояние

Атрибут LSP

Структура атрибута LSP

Параметр в drv_mgr (только для просмотра)

Параметры TCP, задающие время жизни соединения

CLOSED, LISTEN

TCPClosedTimeout

FirewallParameters

fw_tcp_closed_ttl

SYNSENT

TCPSynSentTimeout

FirewallParameters

fw_tcp_synsent_ttl

SYNRCVD

TCPSynRcvdTimeout

FirewallParameters

fw_tcp_synrcvd_ttl

ESTAB

TCPEstablishedTimeout

FirewallParameters

fw_tcp_estab_ttl

FINWAIT-1, FINWAIT-2, CLOSING, TIMEWAIT, LASTACK, CLOSED

TCPFinTimeout

FirewallParameters

fw_tcp_fin_ttl

Параметры TCP, ограничивающие количество сессий

-

TCPStrictnessLevel

FirewallParameters

fw_tcp_strictness

-

TCPSessionsMax

FirewallParameters

fw_tcp_open_max

-

TCPHalfOpenMax

FirewallParameters

fw_tcp_half_open_max

-

TCPHalfOpenLow

FirewallParameters

fw_tcp_half_open_low

-

TCPSessionRateMax

FirewallParameters

fw_tcp_conn_rate_max

-

TCPSessionRateLow

FirewallParameters

fw_tcp_conn_rate_low

Прочие параметры

-

TCPStrictnessLevel

FirewallParameters

fw_tcp_strictness

-

AllowNestedIPsec

GlobalParameters

ipsec_recursive_policy