NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Интервал (в миллисекундах) между попытками запросов. По умолчанию устанавливается 10000, минимальное значение 100 мс. • Sample Число попыток запросов, используемое в качестве величины для вычисления процента потерь (Percentage Loss) и средней задержки (Average Latency). Не может быть меньше 1. • Maximum Failed Poll Attempts Максимальное допустимое количество неудачных опросов. Если это число превышено, то хост считается недоступным. • Max Average Latency Максимальное среднее время ожидания (в миллисекундах) между запросом и ответом. Если этот порог превышен, то хост считается недоступным. Величина Average Latency вычисляется как среднее время ответов хоста. Если ответ на запрос не получен, то среднее время не вычисляется. Опция обязательной доступности хоста (Reachability Required) Reachability Required – опция, которая может быть включена для хоста. При выборе данной опции для того, чтобы маршрут функционировал, хост должен определиться как доступный. Если хост, отмеченный, как обязательно доступный, не отвечает, несмотря на то, что другие хосты доступны, маршрут считается отказавшим. Если группа хостов выбрана для мониторинга, то для нескольких из них можно включить опцию Reachability Required. При определении системой NetDefendOS недоступности одного из таких хостов, маршрут считается отказавшим. Параметры HTTP Если метод мониторинга – HTTP, то можно указать следующие параметры: • Request URL Запрашиваемый URL • Expected Response Ожидаемый ответ от Web-сервера. Анализ ожидаемого ответа обеспечивает возможность тестирования не только доступности хоста, но и работоспособности Web-сервера. Если, например, в ответе Web-сервера для определенной базы данных указывается текст “Database OK”, то отсутствие такого отчета указывает на то, что сервер работает, а приложение базы данных - нет. Проблема, возникающая в том случае, если не определен ни один маршрут При подключении к Интернет-провайдеру всегда должен быть определен маршрут внешней сети. Этот маршрут определяет, на каком интерфейсе может быть найдена сеть, существующая между межсетевым экраном NetDefend и провайдером. Если в системе к шлюзу Интернет-провайдера определен только маршрут по умолчанию (сеть назначения all-nets), то в зависимости от используемого оборудования, механизм мониторинга маршрутов может функционировать не так, как ожидается. Такая проблема возникает достаточно редко, причина ее появления – игнорирование ARP-запросов на неактивных маршрутах. 154
4.2.5. Расширенные настройки Route Failover Для свойства Route Failover в системе NetDefendOS предусмотрены следующие расширенные настройки: Iface poll interval Время (в миллисекундах) после отправки запросов, по истечении которого интерфейс признается недоступным. По умолчанию: 500 ARP poll interval Время (в миллисекундах) поиска хостов (ARP-lookup). Для некоторых маршрутов может не применяться. По умолчанию: 1000 Ping poll interval Время (в миллисекундах) между отправкой к хосту Ping-запросов. По умолчанию: 1000 Grace time Временной диапазон (в секундах) между первоначальным запуском или запуском после реконфигурации и началом мониторинга. По умолчанию: 30 Consecutive fails Число последовательных неудачных запросов, необходимых для того, чтобы маршрут считался недоступным. По умолчанию: 5 Consecutive success Число последовательных удачных запросов, необходимых для того, чтобы маршрут считался доступным. По умолчанию: 5 Gratuitous ARP on fail Отправление Gratuitous ARP-запросов в режиме высокой отказоустойчивости (High Availability, HA) для уведомления хостов об изменениях на Ethernet-интерфейсе и изменениях IP-адресов. По умолчанию: Включена 4.2.6. Proxy ARP Обзор Как уже было сказано в разделе 3.4, «ARP», ARP применяется для преобразования IP-адреса, используемого хостом Ethernet-сети, в MAC-адрес этого хоста. 155
- Page 103 and 104: • Remote Endpoint (Удаленн
- Page 105 and 106: (Name ) (Action) источника
- Page 107 and 108: Хост в Ethernet-сети мо
- Page 109 and 110: Mode Тип ARP-объекта. М
- Page 111 and 112: Рисунок 3.2. ARP-ответ
- Page 113 and 114: ARP Match Ethernet Sender Опре
- Page 115 and 116: По умолчанию: 64 ARP IP
- Page 117 and 118: При определении кр
- Page 119 and 120: Исключения составл
- Page 121 and 122: приоритет. 3.5.5. Папк
- Page 123 and 124: Примечание На рису
- Page 125 and 126: В некоторых случая
- Page 127 and 128: Возвращаемся на ис
- Page 129 and 130: определения действ
- Page 131 and 132: 3.7.3. Запросы CA серти
- Page 133 and 134: gw-world:/> time -set YYYY-mm-DD HH
- Page 135 and 136: Для работы с URL-прот
- Page 137 and 138: Следует помнить, чт
- Page 139 and 140: Пример 3.28. Настройк
- Page 141 and 142: Глава 4. Маршрутиза
- Page 143 and 144: Рисунок 4.1 Сценарий
- Page 145 and 146: Рисунок 4.2. Примене
- Page 147 and 148: Преимущества опред
- Page 149 and 150: given default gateway (автома
- Page 151 and 152: Мониторинг автомат
- Page 153: опрашивать один ил
- Page 157 and 158: Рисунок 4.4. Пример Pr
- Page 159 and 160: был хотя бы маршрут
- Page 161 and 162: • Каждый ISP предост
- Page 163 and 164: 2. Если найден тольк
- Page 165 and 166: маршрут не изменяе
- Page 167 and 168: gw-world:/> add RouteBalancingInsta
- Page 169 and 170: подсетей, OSPF может
- Page 171 and 172: Совет: Кольцевая то
- Page 173 and 174: ASBR Граничные маршр
- Page 175 and 176: В примере виртуаль
- Page 177 and 178: Объект Автономная
- Page 179 and 180: 4.5.3.2. Объект OSPF Area и
- Page 181 and 182: Обмен информацией
- Page 183 and 184: 183
- Page 185 and 186: внешние маршруты, и
- Page 187 and 188: Offset Metric Метрика уве
- Page 189 and 190: Повторить шаги 1 - 5
- Page 191 and 192: 4.5.6. Пример OSPF В дан
- Page 193 and 194: 4.6. Многоадресная м
- Page 195 and 196: Рисунок 4.14. Многоад
- Page 197 and 198: Рисунок 4.15 Многоад
- Page 199 and 200: Рисунок 4.16. Работа
- Page 201 and 202: 4. OK 4.6.3.2. Настройка I
- Page 203 and 204: 4. OK • Source Interface: wan •
Интервал (в миллисекундах) между попытками запросов. По умолчанию устанавливается<br />
10000, минимальное значение 100 мс.<br />
• Sample<br />
Число попыток запросов, используемое в качестве величины для вычисления процента<br />
потерь (Percentage Loss) и средней задержки (Average Latency). Не может быть меньше 1.<br />
• Maximum Failed Poll Attempts<br />
Максимальное допустимое количество неудачных опросов. Если это число превышено, то<br />
хост считается недоступным.<br />
• Max Average Latency<br />
Максимальное среднее время ожидания (в миллисекундах) между запросом и ответом. Если<br />
этот порог превышен, то хост считается недоступным. Величина Average Latency<br />
вычисляется как среднее время ответов хоста. Если ответ на запрос не получен, то среднее<br />
время не вычисляется.<br />
Опция обязательной доступности хоста (Reachability Required)<br />
Reachability Required – опция, которая может быть включена для хоста. При выборе данной опции<br />
для того, чтобы маршрут функционировал, хост должен определиться как доступный. Если хост,<br />
отмеченный, как обязательно доступный, не отвечает, несмотря на то, что другие хосты доступны,<br />
маршрут считается отказавшим.<br />
Если группа хостов выбрана для мониторинга, то для нескольких из них можно включить опцию<br />
Reachability Required. При определении системой NetDefendOS недоступности одного из таких<br />
хостов, маршрут считается отказавшим.<br />
Параметры HTTP<br />
Если метод мониторинга – HTTP, то можно указать следующие параметры:<br />
• Request URL<br />
Запрашиваемый URL<br />
• Expected Response<br />
Ожидаемый ответ от Web-сервера.<br />
Анализ ожидаемого ответа обеспечивает возможность тестирования не только доступности хоста,<br />
но и работоспособности Web-сервера. Если, например, в ответе Web-сервера для определенной базы<br />
данных указывается текст “Database OK”, то отсутствие такого отчета указывает на то, что сервер<br />
работает, а приложение базы данных - нет.<br />
Проблема, возникающая в том случае, если не определен ни один маршрут<br />
При подключении к Интернет-провайдеру всегда должен быть определен маршрут внешней сети.<br />
Этот маршрут определяет, на каком интерфейсе может быть найдена сеть, существующая между<br />
межсетевым экраном NetDefend и провайдером. Если в системе к шлюзу Интернет-провайдера<br />
определен только маршрут по умолчанию (сеть назначения all-nets), то в зависимости от<br />
используемого оборудования, механизм мониторинга маршрутов может функционировать не так, как<br />
ожидается.<br />
Такая проблема возникает достаточно редко, причина ее появления – игнорирование ARP-запросов<br />
на неактивных маршрутах.<br />
154