NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Используемые каналы указаны в списке каналов. Если указан только один канал, то это канал, чьи характеристики применяются к трафику. Если указаны несколько каналов, то они формируют цепочку каналов, через которые пройдет трафик. Максимальное количество каналов в цепочке – 8. Исключение трафика из обработки подсистемой Traffic Shaping Если в списке правил не указано ни одного канала, то трафик, соответствующий правилу, не будет проходить через какой-либо канал. Это также означает, что инициирующий трафик не будет обработан любыми другими соответствующими правилами каналов, которые возможно находятся в наборе правил. Это обеспечивает исключение определенного трафика из обработки подсистемой Traffic shaping. Такие правила не являются необходимыми, но если они находятся в начале набора правил каналов, они могут предотвратить Traffic Shaping последующими правилами. Каналы не работают с IP-правилами FwdFast Важно знать, что Traffic shaping не будет работать с трафиком, который проходит в результате запуска IP-правила FwdFast из набора IP-правил NetDefendOS. Причина заключается в том, что Traffic shaping выполняется с помощью механизма состояний (state engine) NetDefendOS, который является подсистемой, отвечающей за отслеживание соединений. IPправила FwdFast не направляют соединение в подсистему механизма состояний. Вместо этого пакеты не рассматриваются как часть соединения и индивидуально перенаправляются в точку назначения, обходя механизм состояний. 430
Рис. 10.2. Правила FwdFast обходят Traffic Shaping 10.1.3. Простое ограничение полосы пропускания Самый простой способ использования каналов – это ограничение полосы пропускания, при этом не требуется специальная планировка. В следующем примере ограничение полосы пропускания применяется только для входящего трафика. Именно в данном направлении чаще всего возникают проблемы с Интернет-соединением. Пример 10.1. Применение простого ограничения полосы пропускания Начните с создания простого канала, который ограничивает весь проходящий через него трафик до 2 Мбит/с, независимо от типа трафика. CLI gw-world:/> add Pipe std-in LimitKbpsTotal=2000 Web-интерфейс 1. Зайдите Traffic Management > Traffic Shaping > Pipes > Add > Pipe 2. Укажите подходящее имя канала, например, std-in 3. Введите значение 2000 в текстовом поле Total на вкладке Pipe Limits 4. Нажмите OK Трафик должен проходить через канал, и это выполняется за счет использования канала в Правиле канала. Мы будем использовать созданный выше канал для ограничения входящего трафика. Это ограничение применяется к пакетам трафика, а не к соединениям. При выполнении Traffic shaping нас интересует направление, в котором перемещаются данные, а не компьютер, инициировавший соединение. Создаем простое правило, разрешающее прохождение любого исходящего трафика. Добавляем созданный канал в обратную цепочку (return chain). Это означает, что пакеты, идущие в обратном направлении данного соединения (outside-in), должны проходить через канал std-in. CLI gw-world:/> add PipeRule ReturnChain=std-in SourceInterface=lan SourceNetwork=lannet DestinationInterface=wan DestinationNetwork=all-nets Service=all_services name=Outbound Web-интерфейс 1. Зайдите Traffic Management > Traffic Shaping > Pipes > Add > Pipe Rule 2. Укажите подходящее имя канала, например, outbound 3. Далее введите: • Service: all_services • Source Interface: lan • Source Network: lannet • Destination Interface: wan • Destination Network: all-nets 4. На вкладке Traffic Shaping выберите std-in в настройках для Return Chain 431
- Page 379 and 380: • ip_int - внутренний I
- Page 381 and 382: Оба соединения IKE и
- Page 383 and 384: настройки, такие ка
- Page 385 and 386: Алгоритм Диффи-Хел
- Page 387 and 388: пакете. Далее выпол
- Page 389 and 390: 9.3.6. Списки выбора а
- Page 391 and 392: Далее примените об
- Page 393 and 394: 9.4.1. Обзор IPsec-тунне
- Page 395 and 396: защищенный обмен д
- Page 397 and 398: 1. Зайдите Objects > VPN Obj
- Page 399 and 400: Режим настройки IKE C
- Page 401 and 402: Для запуска провер
- Page 403 and 404: Message ID : 0x00000000 Packet leng
- Page 405 and 406: Flags : E (encryption) Cookies : 0x
- Page 407 and 408: туннелям. По умолча
- Page 409 and 410: 10 секунд, а также не
- Page 411 and 412: 6. Нажмите OK Функция
- Page 413 and 414: г. Encapsulation Mode: Transport
- Page 415 and 416: • Service: all_services • Sourc
- Page 417 and 418: 9.6. Доступ к серверу
- Page 419 and 420: умолчанию с возмож
- Page 421 and 422: 9.7.3. Команды поиска
- Page 423 and 424: Список IKE proposal не со
- Page 425 and 426: 9.7.6. Особые признак
- Page 427 and 428: Глава 10. Управление
- Page 429: Интернет-услуг, в к
- Page 433 and 434: Web-интерфейс 1. Зайд
- Page 435 and 436: Значение приоритет
- Page 437 and 438: Приоритеты применя
- Page 439 and 440: • IP-адрес назначен
- Page 441 and 442: приоритета, и далее
- Page 443 and 444: административного
- Page 445 and 446: • Приоритет 6 - VoIP (50
- Page 447 and 448: Если используется S
- Page 449 and 450: 3.Далее устанавлива
- Page 451 and 452: помощью команды CLI p
- Page 453 and 454: 10.3.2. Ограничение ск
- Page 455 and 456: 2560 и 2560G. Иллюстраци
- Page 457 and 458: IP Address Stickiness (Привяз
- Page 459 and 460: Рис. 10.12. Привязка (St
- Page 461 and 462: 1. Зайдите Rules > IP Rule S
- Page 463 and 464: Глава 11. Режим высо
- Page 465 and 466: через интерфейс си
- Page 467 and 468: В результате сбоя sy
- Page 469 and 470: На приведенной схе
- Page 471 and 472: операционной систе
- Page 473 and 474: • Определить, како
- Page 475 and 476: Количество секунд
- Page 477 and 478: • Тип коммутатора
- Page 479 and 480: Для предотвращения
Используемые каналы указаны в списке каналов. Если указан только один канал, то это канал, чьи<br />
характеристики применяются к трафику. Если указаны несколько каналов, то они формируют<br />
цепочку каналов, через которые пройдет трафик. Максимальное количество каналов в цепочке – 8.<br />
Исключение трафика из обработки подсистемой Traffic Shaping<br />
Если в списке правил не указано ни одного канала, то трафик, соответствующий правилу, не будет<br />
проходить через какой-либо канал. Это также означает, что инициирующий трафик не будет<br />
обработан любыми другими соответствующими правилами каналов, которые возможно находятся в<br />
наборе правил.<br />
Это обеспечивает исключение определенного трафика из обработки подсистемой Traffic shaping.<br />
Такие правила не являются необходимыми, но если они находятся в начале набора правил каналов,<br />
они могут предотвратить Traffic Shaping последующими правилами.<br />
Каналы не работают с IP-правилами FwdFast<br />
Важно знать, что Traffic shaping не будет работать с трафиком, который проходит в результате<br />
запуска IP-правила FwdFast из набора IP-правил NetDefendOS.<br />
Причина заключается в том, что Traffic shaping выполняется с помощью механизма состояний (state<br />
engine) NetDefendOS, который является подсистемой, отвечающей за отслеживание соединений. IPправила<br />
FwdFast не направляют соединение в подсистему механизма состояний. Вместо этого<br />
пакеты не рассматриваются как часть соединения и индивидуально перенаправляются в точку<br />
назначения, обходя механизм состояний.<br />
430