NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
помощью настройки DPD Expire Time), то узел считается недействующим и соединение<br />
разрывается. Система NetDefendOS пытается автоматически повторно установить туннель после<br />
определенного периода времени (указанного с помощью настройки DPD Keep Time).<br />
Расширенные настройки DPD описаны в Разделе 9.4.6, «Расширенные настройки IPsec». Для IPsecтуннелей<br />
NetDefendOS функция DPD включена по умолчанию. Отключение функции не приведет к<br />
выключению возможности ответить на сообщение DPD-R-U-THERE с другого узла.<br />
Keep-alive<br />
Функция IPsec Keep-alive обеспечивает сохранение туннеля в любое время, даже если передача<br />
данных не выполняется. Это выполняется с помощью непрерывной отправки запросов ICMP Ping<br />
через туннель. Если нет ответов на запросы ping, то соединение разрывается и выполняется попытка<br />
автоматической повторной установки туннеля. Данная функция является полезной только для<br />
туннелей LAN to LAN.<br />
Дополнительно можно указать IP-адрес источника и/или назначения. Рекомендуется указать IP-адрес<br />
назначения хоста, который способен отвечать на сообщения ICMP. Если IP-адрес назначения не<br />
указан, система NetDefendOS будет использовать первый IP-адрес в удаленной сети.<br />
Необходимо использовать функцию keep-alive, если можно установить туннель LAN to LAN с<br />
непостоянным трафиком только с одной стороны, но необходимо сохранить его для хостов на другом<br />
узле. Если узел, установивший туннель, использует функцию keep-alive для сохранения туннеля,<br />
любые хосты на противоположной стороне могут использовать туннель, даже если другой узел не<br />
может установить туннель в случае необходимости.<br />
Различия между DPD и Keep-alive<br />
DPD и Keep-alive выполняют практически одну и ту же функцию, определяющую, сохранен ли<br />
IPsec-туннель и осуществляющую повторную установку туннеля. Тем не менее, существуют<br />
различия:<br />
• Функция Keep-alive используется только для IPsec-туннелей LAN to LAN. Не используется с<br />
удаленными клиентами.<br />
• С помощью функции Keep-alive можно значительно быстрее определить, что соединение<br />
нарушено, и выполнить повторную установку соединения.<br />
Нет необходимости в одновременном включении функций Keep-alive и DPD для туннеля LAN to<br />
LAN, так как, если отправлены запросы keep-alive pings, запуск функции DPD не произойдет.<br />
Быстрый запуск IPsec-туннеля<br />
Данный раздел содержит подробные сведения об IPsec-туннелях. Информация о быстром запуске<br />
шагов по установке для этих протоколов в типичных сценариях находится в следующих разделах:<br />
• Раздел 9.2.1, «Создание IPsec-туннелей LAN to LAN с использованием общих ключей».<br />
• Раздел 9.2.2, «Создание IPsec-туннелей LAN to LAN с использованием сертификатов».<br />
• Раздел 9.2.3, «Подключение удаленных клиентов к IPsec-туннелю с использованием общих<br />
ключей».<br />
• Раздел 9.2.4, «Подключение удаленных клиентов к IPsec-туннелю с использованием<br />
сертификатов».<br />
Помимо раздела о быстром запуске, более подробная информация об установке туннеля<br />
представлена ниже.<br />
9.4.2. Установка туннелей LAN to LAN с использованием<br />
общих ключей<br />
VPN обеспечивает географически разделенным локальным вычислительным сетям (LAN)<br />
394