NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
IP-адрес 0.0.0.0 не может быть совместно используемым<br />
Необходимо избегать назначения IP-адреса 0.0.0.0 в качестве совместно используемого IP-адреса.<br />
При использовании IP-адреса 0.0.0.0 в качестве совместно используемого IP-адреса произойдет<br />
переход операционной системы NetDefend в режим блокировки (Lockdown Mode).<br />
Поврежденные интерфейсы<br />
Повреждения интерфейсов невозможно определить, кроме случаев, когда повреждения касаются<br />
функционирования операционной системы NetDefendOS. Это означает, что обработка ситуации<br />
отказа не будет инициироваться в случае, если активное устройство все еще способно отправить<br />
пакет обнаружения неактивному устройству через любой из своих интерфейсов, даже если один или<br />
несколько интерфейсов будут несправны.<br />
Изменение идентификатора кластера<br />
Изменение идентификатора кластера в рабочей сети не рекомендуется по двум причинам. Вопервых,<br />
это приведет к изменению аппаратного адреса для совместно используемых IP-адресов, что<br />
повлечет проблемы для всех устройств, присоединенных к внутренней LAN-сети, т.к. они хранят в<br />
ARP-кэше старый аппаратный адрес до истечения его срока действия. Такие устройства будут<br />
вынуждены очистить ARP-кэш.<br />
Во-вторых, это разорвет соединение между межсетевыми экранами кластера на то время, пока они<br />
используют разные конфигурации. Возникнет ситуация, при которой оба устройства кластера будут<br />
активными одновременно.<br />
Неверные контрольные суммы в пакетах обнаружения<br />
Пакеты обнаружения кластера намеренно отправляются с ошибочными контрольными суммами. Это<br />
делается для того, чтобы их было невозможно передавать дальше по маршруту. Некоторые<br />
маршрутизаторы могут указывать эти ошибочные контрольные суммы в своих системных<br />
сообщениях.<br />
Использование протокола OSPF<br />
Если для определения метрики маршрутов применяется протокол OSPF, кластер не может<br />
использоваться в качестве выделенного маршрутизатора (designated router).<br />
Если протокол OSPF должен применяться, тогда должен быть доступен другой выделенный<br />
маршрутизатор в той же OSPF-области (OSPF area), где находится кластер. Целесообразно иметь<br />
второй резервный выделенный маршрутизатор, который будет предоставлять данные о метриках<br />
OSPF, в случае если основной выделенный маршрутизатор выйдет из строя.<br />
PPPoE-туннели и DHCP-клиенты<br />
По причинам, связанным с применением совместно используемых IP-адресов в HA-кластере, не<br />
следует организовывать PPPoE-туннели и производить настройку DHCP-клиентов в HA-кластере.<br />
11.5. Обновление HA-кластера<br />
Версии операционной системы NetDefendOS на master-устройстве и slave-устройстве одного HAкластера<br />
должны совпадать. Когда новая версия NetDefendOS становится доступной, ее необходимо<br />
установить на оба устройства кластера, и обновление должно производиться на каждом устройстве в<br />
отдельности.<br />
Основным принципом процесса обновления кластера является то, что установка нового ПО на<br />
неактивное устройство не повлияет на работу кластера, а только на некоторое время сделает<br />
неактивное устройство недоступным.<br />
Общая последовательность шагов следующая:<br />
472