NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Содержимое ARP-кэша можно отобразить, используя CLI. CLI gw-world:/> arp -show ARP cache of iface lan Dynamic 10.4.0.1 = 1000:0000:4009 Expire=196 Dynamic 10.4.0.165 = 0002:a529:1f65 Expire=506 Очистка ARP-кэша (flushing) Если при изменении аппаратного обеспечения IP-адрес хоста не изменился, то наиболее вероятно, что будет использоваться новый MAC-адрес. Если в системе NetDefendOS присутствуют старые ARP-записи для этого хоста в его ARP-кэше, то эти записи станут недействительными в связи с изменением MAC-адреса и данные, отправленные к данному хосту, не достигнут назначения. После истечения срока действия ARP, NetDefendOS узнает новый MAC-адрес хоста, но иногда может возникнуть необходимость принудительного обновления. Саамы простой способ заключается в очистке ARP-кэша (flushing). При очистке все динамические ARP записи удаляются из кэша, что принуждает NetDefendOS посылать новые ARP-запросы для обнаружения соответствия MAC/IPадресов для подключенных хостов. Очистку можно осуществить, используя CLI-команду arp-flush: Пример 3.14. Очистка ARP-кэша В этом примере рассматривается, как очистить ARP-кэш через командную строку. CLI gw-world:/> arp –flush ARP cache of all interfaces flushed. Размер ARP-кэша По умолчанию ARP-кэш может содержать 4096 записей одновременно. Этого достаточно для большинства сценариев, но в редких случаях, например, когда несколько очень больших LAN-сетей непосредственно подключены к межсетевому экрану, в этом случае может потребоваться настройка этой величины. Размер ARP-кэша можно изменять с помощью расширенной опции ARP Cache Size. Для быстрого поиска записей в ARP-кэше используются хэш-таблицы. Для достижения максимальной эффективности хэш-таблица должна быть в два раза больше количества записей с индексами, так если самая крупная непосредственно подключенная LAN-сеть, содержит 500 IPадресов, размер хэш-таблицы должен быть не менее 1000. Администратор может изменять опцию ARP Hash Sizе в расширенных настройках ARP, по умолчанию значение этого параметра составляет 512. Опция ARP Hash Size VLAN подобна опции ARP Hash Size, но влияет на размер хэша для VLANинтерфейсов. Значение по умолчанию 64. 3.4.3. Создание ARP-объектов Для изменения метода системы NetDefendOS, обрабатывающего ARP на интерфейсе, администратор может создать в системе NetDefendOS ARP-объекты, каждый из которых имеет следующие параметры: 108
Mode Тип ARP-объекта. Может быть одним из: • Static – Создание фиксированного отображения в локальном ARP-кэше. • Publish – публикация IP-адреса на определенном MACадресе (или на этом интерфейсе). • XPublish – публикация IP-адреса на определенном MAC-адресе и “неправда” о MAC-адресе, отправляющем Ethernet-фрейм, содержащий ARP-ответ. Interface Локальный физический интерфейс для ARP-объекта. IP Address IP-адрес для MAC/IP-преобразования. MAC Address MAC-адрес для MAC/IP-преобразования. Три ARP-режима Static, Publish и XPublish будут рассмотрены ниже. Режим Static Статический (Static) ARP-объект добавляет определенное отображение MAC/IP-адреса в ARP-кэш системы NetDefendOS. Наиболее часто статические ARP-объекты применяются в таких ситуациях, когда некоторые внешние сетевые устройства не корректно отвечают ARP-запросы и отправляют неправильный MAC-адрес. Такие проблемы характерны для некоторых сетевых устройств, таких как беспроводные модемы. Статические ARP-объекты могут также использоваться для фиксации IP-адреса к определенному MAC-адресу в целях повышения безопасности или для того, чтобы избежать отказа в обслуживании при наличии в сети незаконных пользователей. Однако, такая защита действует только на пакеты, посылаемые на данный IP-адрес, и не распространяется на пакеты, отправляемые с данного адреса. Пример 3.15. Определение статических ARP-записей В данном примере рассматривается создание статического соответствия между IP-адресом 192.168.10.15 и Ethernet-адресом 4b:86:f6:c5:a2:14 на lan-интерфейсе: CLI gw-world:/> add ARP Interface=lan IP=192.168.10.15 Mode=Static MACAddress=4b-86-f6-c5-a2-14 Web-интерфейс 1. Перейти к Interfaces > ARP > Add > ARP 2. Выбрать из следующих выпадающих списков: • Mode: Static • Interface: lan 3. Ввести следующее: • IP Address: 192.168.10.15 • MAC: 4b-86-f6-c5-a2-14 4. Нажать кнопку OK 109
- Page 57 and 58: сообщений: команда
- Page 59 and 60: как клиент сервера
- Page 61 and 62: 2.3.3. Промежуточные
- Page 63 and 64: Проблема может воз
- Page 65 and 66: SYS Temp = 44.000 (C) (x) CPU Temp
- Page 67 and 68: SNMP-доступа. Порт 161
- Page 69 and 70: gw-world:/> pcapdump -size 1024 -st
- Page 71 and 72: • Имя файла (без ра
- Page 73 and 74: Примечание: Резерв
- Page 75 and 76: Глава 3.Основные пр
- Page 77 and 78: 2. Указать подходящ
- Page 79 and 80: 3.1.5. Автоматически
- Page 81 and 82: "" Web-интерфейс 1. Пер
- Page 83 and 84: Другие свойства се
- Page 85 and 86: интегрированный с I
- Page 87 and 88: 3.2.5. Service Groups (Сервис
- Page 89 and 90: • Туннельные интер
- Page 91 and 92: Процесс запуска бу
- Page 93 and 94: i. Обозначить интер
- Page 95 and 96: Здесь клавиша Tab ис
- Page 97 and 98: • Для одного физич
- Page 99 and 100: Пример 3.10. Определе
- Page 101 and 102: провайдер не назна
- Page 103 and 104: • Remote Endpoint (Удаленн
- Page 105 and 106: (Name ) (Action) источника
- Page 107: Хост в Ethernet-сети мо
- Page 111 and 112: Рисунок 3.2. ARP-ответ
- Page 113 and 114: ARP Match Ethernet Sender Опре
- Page 115 and 116: По умолчанию: 64 ARP IP
- Page 117 and 118: При определении кр
- Page 119 and 120: Исключения составл
- Page 121 and 122: приоритет. 3.5.5. Папк
- Page 123 and 124: Примечание На рису
- Page 125 and 126: В некоторых случая
- Page 127 and 128: Возвращаемся на ис
- Page 129 and 130: определения действ
- Page 131 and 132: 3.7.3. Запросы CA серти
- Page 133 and 134: gw-world:/> time -set YYYY-mm-DD HH
- Page 135 and 136: Для работы с URL-прот
- Page 137 and 138: Следует помнить, чт
- Page 139 and 140: Пример 3.28. Настройк
- Page 141 and 142: Глава 4. Маршрутиза
- Page 143 and 144: Рисунок 4.1 Сценарий
- Page 145 and 146: Рисунок 4.2. Примене
- Page 147 and 148: Преимущества опред
- Page 149 and 150: given default gateway (автома
- Page 151 and 152: Мониторинг автомат
- Page 153 and 154: опрашивать один ил
- Page 155 and 156: 4.2.5. Расширенные на
- Page 157 and 158: Рисунок 4.4. Пример Pr
Содержимое ARP-кэша можно отобразить, используя CLI.<br />
CLI<br />
gw-world:/> arp -show<br />
ARP cache of iface lan<br />
Dynamic 10.4.0.1 = 1000:0000:4009 Expire=196<br />
Dynamic 10.4.0.165 = 0002:a529:1f65 Expire=506<br />
Очистка ARP-кэша (flushing)<br />
Если при изменении аппаратного обеспечения IP-адрес хоста не изменился, то наиболее вероятно,<br />
что будет использоваться новый MAC-адрес. Если в системе NetDefendOS присутствуют старые<br />
ARP-записи для этого хоста в его ARP-кэше, то эти записи станут недействительными в связи с<br />
изменением MAC-адреса и данные, отправленные к данному хосту, не достигнут назначения.<br />
После истечения срока действия ARP, NetDefendOS узнает новый MAC-адрес хоста, но иногда<br />
может возникнуть необходимость принудительного обновления. Саамы простой способ заключается<br />
в очистке ARP-кэша (flushing). При очистке все динамические ARP записи удаляются из кэша, что<br />
принуждает NetDefendOS посылать новые ARP-запросы для обнаружения соответствия MAC/IPадресов<br />
для подключенных хостов.<br />
Очистку можно осуществить, используя CLI-команду arp-flush:<br />
Пример 3.14. Очистка ARP-кэша<br />
В этом примере рассматривается, как очистить ARP-кэш через командную строку.<br />
CLI<br />
gw-world:/> arp –flush<br />
ARP cache of all interfaces flushed.<br />
Размер ARP-кэша<br />
По умолчанию ARP-кэш может содержать 4096 записей одновременно. Этого достаточно для<br />
большинства сценариев, но в редких случаях, например, когда несколько очень больших LAN-сетей<br />
непосредственно подключены к межсетевому экрану, в этом случае может потребоваться настройка<br />
этой величины. Размер ARP-кэша можно изменять с помощью расширенной опции ARP Cache Size.<br />
Для быстрого поиска записей в ARP-кэше используются хэш-таблицы. Для достижения<br />
максимальной эффективности хэш-таблица должна быть в два раза больше количества записей с<br />
индексами, так если самая крупная непосредственно подключенная LAN-сеть, содержит 500 IPадресов,<br />
размер хэш-таблицы должен быть не менее 1000. Администратор может изменять опцию<br />
ARP Hash Sizе в расширенных настройках ARP, по умолчанию значение этого параметра составляет<br />
512.<br />
Опция ARP Hash Size VLAN подобна опции ARP Hash Size, но влияет на размер хэша для VLANинтерфейсов.<br />
Значение по умолчанию 64.<br />
3.4.3. Создание ARP-объектов<br />
Для изменения метода системы NetDefendOS, обрабатывающего ARP на интерфейсе,<br />
администратор может создать в системе NetDefendOS ARP-объекты, каждый из которых имеет<br />
следующие параметры:<br />
108