status

Текущий статус RIP: версия, таймеры, фильтры, распространяемые маршруты и т. п.

virtual-router

Виртуальный маршрутизатор, информацию о маршрутах RIP которого необходимо отобразить: <vrf-name> | all

count

Отображение статистики о группе и источнике

virtual-router

Выбор виртуального маршрутизатора: <vrf-name> | all

summary

Суммарная информация о каждой записи в таблице мультикаст-маршрутизации

fill

Таблица маршрутизации мультикаст-трафика. Доступно указание параметра:

• ip — отображение записи для определенного IP-адреса; далее необходимо указать IP-адрес

ip

Отображение записи для определенного IP-адреса; необходимо указать IP-адрес

virtual-router

Выбор виртуального маршрутизатора

statistics

Статистика по сообщениям:

• IGMP Membership Query — сообщение сервера клиенту, в котором сервер просит обновить подписку на получаемые клиентом группы иначе, сервер перестанет вещать группу/группы в данный сегмент сети.

• IGMP Leave — сообщение клиента серверу; клиент сообщает, что желает убрать мультикаст-группу из списка получаемых.

• IGMP Membership Report — сообщение клиента серверу; клиент желает получать трафик этой группы

join

Отображение информации о группах IGMP

sources

Отображение информации об источниках мультикаст-трафика

groups

Отображение мультикаст-групп, полученных по протоколу IGMP. Отображается следующая информация:

• Общее количество групп.

• Интерфейс, через который группа доступна.

• Адрес группы.

• Режим INCLUDE или EXCLUDE.

• Таймер, определяющий время, через которое маршрутизатор перестанет пересылать трафик на интерфейс, если не будет получен ответный IGMP Membership Report.

• Время, в течение которого группа известна

interface

Отображение информации об интерфейсе, связанной с мультикаст-маршрутизацией:

• Название интерфейса, его статус и адрес.

• Версия IGMP.

• Опрашиватель и его адрес (Querier).

• Таймер, который обнуляется каждый раз, как приходит сообщение Query с меньшим IP-адресом.

Доступно указание:

• interface-name — название интерфейса.

• detail — подробная информация об интерфейсе

virtual-router

Выбор виртуального маршрутизатора, для которого необходимо отобразить информацию

vxlan-groups

Информация о группах VXLAN, использующихся в мультивещании

statistics

Статистика протокола

join

Отображение информации о группах PIM протокола

neighbor

Информация о соседях:

• Интерфейс, через который была получена информация о соседе.

• Адрес соседа.

• Время, с последнего начала работы PIM.

• Время, в течении которого сосед доступен.

• Приоритет DR

next-hop

Записи о адресах next-hop

state

Информация об известных S, G маршрутах, IIF (Incoming Interface), OIL (Outgoing Interface List)

rp-info

Отображение информации о Rendezvous Point (RP): адрес, разрешенные ASM группы с данного RP

interface

Информация об интерфейсах, настроенных для работы PIM: название и адрес интерфейса, адрес DR и т.п.

Также доступно указание параметров:

• interface-name — название интерфейса.

• traffic — статистика отправленных/полученных сообщений.

• detail — подробная информация об интерфейсе

group-type

Список разрешенных групповых адресов для SSM (Source Specific Multicast)

secondary

Отображение информации об интерфейсе с указанием дополнительного IP-адреса

all

Все протоколы

rip

Протокол RIP

bgp

Протокол BGP

igmp

Протокол IGMP

pim

Протокол PIM

ospf

Протокол OSPF

bfd

Протокол BFD

msdp

Протокол MSDP

mroute

Таблица мультикаст-маршрутизации mroute

ssmpingd

Инструмент тестирования мультикаст-вещания ssmpingd

date

Просмотр текущих значений даты и времени на узле:

Admin@SWG# execute date

dig

Проверка записи DNS домена:

Admin@SWG# execute dig host <hostname> <parameters>
Admin@SWG# execute dig host <IP-address> <parameters>

В команде можно использовать следующие параметры:

• reverse-lookup — получение имени устройства по IP-адресу;

• dns — указание IP-адреса DNS-сервера;

• tcp — использование протокола TCP вместо UDP

factory-reset

Возврат устройства в первоначальное состояние (доступно в версии 7.5.0 и выше):

Admin@SWG# execute factory-reset

Все данные и параметры будут утеряны. Версия ПО не изменится: сохранится версия, актуальная на момент запуска команды

install

Первоначальная настройка устройства.

Admin@SWG# execute install <parameter>

• master — настройка устройства в качестве главного узла. Задайте логин и пароль администратора.

• slave — настройка устройства в качестве дополнительного узла кластера. Укажите следующие параметры:

  • interface — интерфейса для подключения к кластеру;

  • master-ip — IP-адрес главного узла;

  • master-secret — секретный код, необходимый для подключения узла в кластер;

  • slave-ip — IP-адрес резервного узла, который будет назначен на интерфейс, используемый для подключения к кластеру. Можно указать в виде IP-адреса (например, 192.168.0.1) или в виде IP-адреса и маски подсети (например, 192.168.0.1/24). Доступно в версии 7.4.0 и выше.

  • gateway-address — IP-адрес шлюза. Шлюз необходимо указать, если узлы кластера находятся в разных подсетях.

• mc — настройка устройства через UserGate Management Center. Укажите следующие параметры:

  • device-code — уникальный код устройства, используемый для подключения узла к UGMC;

  • mc-ip — IP-адрес UGMC;

  • login — задать логин администратора SWG;

  • password — задать пароль учетной записи администратора SWG

netcheck

Проверка доступности стороннего HTTP или HTTPS-сервера. Могут быть использованы следующие параметры:

• address — доменное имя узла для проверки доступности по TCP или URL — для HTTP;

• dns-ip — IP-адрес сервера DNS;

• dns-tcp — использование TCP вместо UDP для DNS-запроса;

• check-cert — проверка SSL-сертификата;

• type — проверка доступности по:

  • http;

  • tcp (если порт не указан, то используется порт 80);

• data — запрос содержимого сайта. По умолчанию запрашиваются только заголовки;

• timeout — максимальный тайм-аут ожидания ответа от веб-сервера;

• user-agent — параметр для указания типа браузера. На некоторых сайтах может быть разрешен доступ только с определенных браузеров. Значение параметра указывается в двойных кавычках.

Admin@SWG# execute netcheck type tcp address <host-domain-name> data on
Admin@SWG# execute netcheck address <host-domain-name>

ping

Проверка доступности определенного узла. Можно задать следующие параметры:

• host — IP-адрес или доменное имя узла.

• count — количество отправляемых echo-запросов. Если параметр не задан, отправка пакетов будет происходить, пока соединение не будет прервано пользователем (для прерывания необходимо нажать комбинацию клавиш Ctrl + C).

• numeric — не определять имена.

• timestamp — отображение временных меток.

• interval — интервал времени, через который будет производиться отправка пакетов. Указывается в секундах.

• ttl — время жизни пакета.

• interface — адрес выбранного интерфейса будет использоваться в качестве адреса источника для выполнения ping.

• mtu — максимальный размер блока данных отправляемых пакетов.

• virtual-router — имя виртуального маршрутизатора.

Admin@SWG# execute ping host <hostname> count <number>

reboot

Перезагрузка устройства:

Admin@SWG# execute reboot

restore-mac

Восстановление mac-адреса интерфейса:

Admin@SWG# execute restore-mac interface <interface-name>

shutdown

Выключение устройства:

Admin@SWG# execute shutdown

traceroute

Трассировка соединения до определенного узла. Параметры команды:

• host <ip-or-domain> — IP-адрес или имя домена, для которого производится трассировка;

• interface <iface-name> — интерфейс, с которого будут отправляться пакеты;

• not-map-ip — не искать hostname для IP-адреса при отображении;

• use-icmp-echo — использовать ICMP echo;

• port — указать порт вместо порта по умолчанию (1 — 65535);

• min-interval — минимальный интервал между пакетами.

Admin@SWG# execute traceroute host <hostname>

name

Название зоны

dos-protection-syn

Защита зоны от сетевого флуда для протокола TCP (SYN-flood):

• enabled — включение/отключение защиты.

• aggregate — суммирование пакетов:

  • on — считаются все пакеты, входящие в интерфейсы данной зоны;

  • off — пакеты считаются отдельно для каждого IP-адреса.

• alert-threshold — порог уведомления. Если количество запросов превышает указанный порог, происходит запись события в системный журнал.

• drop-threshold — порог отбрасывания пакетов. Если количество запросов превышает указанное значение, UserGate отбрасывает пакеты и записывает это событие в системный журнал.

• excluded-ips — список IP-адресов, которые необходимо исключить из защиты

dos-protection-udp

Защита зоны от сетевого флуда для протокола UDP:

• enabled — включение/отключение защиты.

• aggregate — суммирование пакетов:

  • on — считаются все пакеты, входящие в интерфейсы данной зоны;

  • off — пакеты считаются отдельно для каждого IP-адреса.

• alert-threshold — порог уведомления. Если количество запросов превышает данный порог, то происходит запись события в системный журнал.

• drop-threshold — порог отбрасывания пакетов. Если количество запросов превышает указанное значение, то UserGate отбрасывает пакеты и записывает данное событие в системный журнал.

• excluded-ips — список IP-адресов серверов, которые необходимо исключить из защиты

dos-protection-icmp

Защита зоны от сетевого флуда для протокола ICMP:

• enabled — включение/отключение защиты.

• aggregate — суммирование пакетов:

  • on — считаются все пакеты, входящие в интерфейсы данной зоны;

  • off — пакеты считаются отдельно для каждого IP-адреса.

• alert-threshold — порог уведомления. Если количество запросов превышает данный порог, то происходит запись события в системный журнал.

• drop-threshold — порог отбрасывания пакетов. Если количество запросов превышает указанное значение, то UserGate отбрасывает пакеты и записывает данное событие в системный журнал.

• excluded-ips — список IP-адресов серверов, которые необходимо исключить из защиты

enabled-services

Параметры контроля доступа зоны:

• "Any ICMP": разрешение использования команды ping адреса UserGate.

• SNMP: доступ к UserGate по протоколу SNMP (UDP 161).

• response-pages: разрешение для показа страницы авторизации Captive-портала и страницы блокировки (TCP 80, 443, 8002).

• rpc: XML-RPC для управления - позволяет управлять продуктом по API (TCP 4040).

• ha: сервис, необходимый для объединения нескольких узлов UserGate в кластер (TCP 4369, TCP 9000-9100).

• VRRP: сервис, необходимый для объединения нескольких узлов UserGate в отказоустойчивый кластер (IP протокол 112).

• "Admin Console": доступ к веб-консоли управления (TCP 8001).

• DNS: доступ к сервису DNS-прокси (TCP 53, UDP 53).

• "HTTP Proxy": доступ к сервису HTTP(S)-прокси (TCP 8090).

• "Authorization agent": доступ к серверу, необходимый для работы агентов авторизации Windows и терминальных серверов (UDP 1813).

• "SMTP Proxy": сервис фильтрации SMTP-трафика от спама и вирусов. Необходим только при публикации почтового сервера в Интернет.

• "POP3 Proxy": сервис фильтрации POP3-трафика от спама и вирусов. Необходим только при публикации почтового сервера в Интернет.

• "CLI over SSH": доступ к серверу для управления им с помощью CLI (command line interface), порт TCP 2200.

• VPN: доступ к серверу для подключения к нему клиентов L2TP VPN (UDP 500, 4500).

• SCADA: сервис фильтрации АСУ ТП-трафика. Необходим только при контроле АСУ ТП-трафика.

• "REVERSE PROXY": сервис, необходимый для публикации внутренних ресурсов с помощью Reverse-прокси.

• "PROXY PORTAL": сервис, необходимый для публикации внутренних ресурсов с помощью SSL VPN.

• L7 DNS: детектирование трафика DNS на уровне приложений.

• L7 NTP: детектирование трафика NTP на уровне приложений.

• "SAML SERVER": выбор SAML-сервера в списке сервисов зоны и общих настройках UserGate.

• "Log Analyzer": сервис анализатора журналов Log analyzer. Необходимо включить его, если планируется использовать данный сервер UserGate в качестве Log analyzer (TCP 2023 и 9713).

• "Dynamic routing OSPF": сервис динамической маршрутизации OSPF.

• "Dynamic routing BGP": сервис динамической маршрутизации BGP.

• "SNMP Proxy": сервис используется для построения распределенной системы мониторинга (позволяет регулировать нагрузку и организовывать мониторинг распределенной сетевой инфраструктуры).

• "SSH Proxy": сервис, использующийся для инициирования трафика SSH.

• Multicast: сервис мультикастинга.

• NTP: доступ к сервису точного времени, запущенному на сервере UserGate.

• "Dynamic routing RIP": сервис динамической маршрутизации RIP.

• UserID agent: сервис для осуществления прозрачной аутентификации. В качестве источника данных аутентификации используются журналы ActiveDirectory и Syslog.

• BFD: сервис Bidirectonal Forwarding Detection для быстрого обнаружения сетевых ошибок

service-addresses

Указание разрешенных IP-адресов для сервисов:

• service — выбор сервисов (список соответствует enabled-services);

• allowed-addresses — разрешенные адреса:

  • allowed-ips — указать разрешенные IP-адреса;

  • geoip — указать код GeoIP;

  • ip-list — указать заранее созданный в библиотеке элементов список IP-адресов

antispoof-enabled

Включение/отключение защиты от IP-спуфинга

antispoof-negate

При antispoof-negate on адреса источников, указанные в значении ip-spoofing-networks, будут являться адресами, которые не могут быть получены на интерфейсах данной зоны. В этом случае будут отброшены пакеты с указанными IP-адресами источников

geoip

Коды GeoIP, которые используются в защите от IP-спуфинга

ip-list

Список IP-адресов, которые используются в защите от IP-спуфинга

enabled

Включение/отключение интерфейса

interface-name

Необходимо ввести номер, который будет отображен в имени интерфейса (например 1, тогда название созданного интерфейса будет bond1)

zone

Зона, которой будет принадлежать бонд-интерфейс

bonding

Дополнительные параметры бонд-интерфейса:

• mode — режим работы бонда:

  • round-robin — режим Round robin (пакеты отправляются последовательно, начиная с первого доступного интерфейса и заканчивая последним. Эта политика применяется для балансировки нагрузки и отказоустойчивости).

  • active-backup — режим Active backup (только один сетевой интерфейс из объединенных будет активным. Другой интерфейс может стать активным только в том случае, когда упадет текущий активный интерфейс. При такой политике MAC-адрес бонд-интерфейса виден снаружи только через один сетевой порт, во избежание появления проблем с коммутатором. Данная политика применяется для обеспечения отказоустойчивости).

  • xor — режим XOR (передача распределяется между сетевыми картами используя формулу: [(«MAC-адрес источника» XOR «MAC-адрес назначения») по модулю «число интерфейсов»]. Получается, одна и та же сетевая карта передает пакеты одним и тем же получателям. Опционально распределение передачи может быть основано и на политике «xmit_hash». Политика XOR применяется для балансировки нагрузки и обеспечения отказоустойчивости).

  • broadcast — режим Broadcast (передает все на все сетевые интерфейсы. Эта политика применяется для отказоустойчивости).

  • 802.3ad — режим IEEE 802.3ad (режим работы, установленный по умолчанию, поддерживается большинством сетевых коммутаторов. Создаются агрегированные группы сетевых карт с одинаковой скоростью и дуплексом. При таком объединении передача задействует все каналы в активной агрегации согласно стандарту IEEE 802.3ad. Выбор, через какой интерфейс отправлять пакет, определяется политикой; по умолчанию используется XOR-политика, можно также использовать «xmit_hash» политику).

  • transmit — режим Adaptive transmit load balancing (исходящий трафик распределяется в зависимости от загруженности каждой сетевой карты (определяется скоростью загрузки). Не требует дополнительной настройки на коммутаторе. Входящий трафик приходит на текущую сетевую карту. Если она выходит из строя, то другая сетевая карта берет себе MAC-адрес вышедшей из строя карты).

  • load — режим Adaptive load balancing. Включает в себя предыдущую политику плюс осуществляет балансировку входящего трафика. Не требует дополнительной настройки на коммутаторе. Балансировка входящего трафика достигается путем ARP-переговоров. Драйвер перехватывает ARP-ответы, отправляемые с локальных сетевых карт наружу, и переписывает MAC-адрес источника на один из уникальных MAC-адресов сетевой карты, участвующей в объединении. Таким образом, различные пиры используют различные MAC-адреса сервера. Балансировка входящего трафика распределяется последовательно (round-robin) между интерфейсами.

• mii-monitoring — периодичность MII-мониторинга в миллисекундах. Определяет, как часто будет проверяться состояние линии на наличие отказов.

• down-delay — время (в миллисекундах) задержки перед отключением интерфейса, если произошел сбой соединения. Эта опция действительна только для мониторинга MII (miimon). Значение параметра должно быть кратным значениям miimon.

• up-delay — время задержки в миллисекундах, перед тем как поднять канал при обнаружении его восстановления. Этот параметр возможен только при MII-мониторинге (miimon). Значение параметра должно быть кратным значениям miimon.

• lacp-rate — интервал, с которым будут передаваться партнером LACPDU-пакеты в режиме 802.3ad. Возможные значения:

  • slow — запрос партнера на передачу LACPDU-пакетов каждые 30 секунд;

  • fast — запрос партнера на передачу LACPDU-пакетов каждую секунду.

• failover-mac — определение способа назначения MAC-адресов на объединенные интерфейсы в режиме Active backup при переключении интерфейсов. Возможные значения:

  • disabled — устанавливает одинаковый MAC-адрес на всех интерфейсах во время переключения.

  • active — MAC-адрес на бонд-интерфейсе будет всегда таким же, как на текущем активном интерфейсе. MAC-адреса на резервных интерфейсах не изменяются. MAC-адрес на бонд-интерфейсе меняется во время обработки отказа.

  • follow — MAC-адрес на бонд-интерфейсе будет таким же, как на первом интерфейсе, добавленном в объединение. На втором и последующем интерфейсе этот MAC не устанавливается, пока они в резервном режиме. MAC-адрес прописывается во время обработки отказа, когда резервный интерфейс становится активным, он принимает новый MAC (тот, что на бонд-интерфейсе), а старому активному интерфейсу прописывается MAC, который был на текущем активном.

• xmit-hash — определение хэш-политики передачи пакетов через объединенные интерфейсы в режиме XOR или IEEE 802.3ad. Возможные значения:

  • l2 — использует только MAC-адреса для генерации хэша. При этом алгоритме трафик для конкретного сетевого хоста будет отправляться всегда через один и тот же интерфейс. Алгоритм совместим с IEEE 802.3ad.

  • l2-3 — использует как MAC-адреса, так и IP-адреса для генерации хэша. Алгоритм совместим с IEEE 802.3ad.

  • l3-4 — используются IP-адреса и протоколы транспортного уровня (TCP или UDP) для генерации хэша. Алгоритм не всегда совместим с IEEE 802.3ad, так как в пределах одного и того же TCP- или UDP-взаимодействия могут передаваться как фрагментированные, так и нефрагментированные пакеты. Во фрагментированных пакетах порт источника и порт назначения отсутствуют. В результате в рамках одной сессии пакеты могут дойти до получателя не в том порядке, так как отправляются через разные интерфейсы.

• interface — интерфейсы, которые будут объединены в бонд

iface-mode

Режим назначения IP-адреса:

• dhcp — получение динамического IP-адреса по DHCP;

• manual — без адреса.

Статический режим устанавливается автоматически при назначении интерфейсу IP-адреса

ip-addresses

Назначение IP-адреса для интерфейса.

Адрес задается в следующем виде: [ <ip_address/mask> ] или [ <ip_address/mask> <ip_address/mask> ], если необходимо назначить несколько IP-адресов (адреса перечисляются через пробел). Маска подсети задается в десятичном виде.

mac

MAC-адрес интерфейса

mtu

Указание размер MTU

dhcp-relay

Настройка работы DHCP-ретранслятора на интерфейсе. Необходимо указать:

• enabled — включение/отключения ретранслятора.

• utm-address — IP-адрес интерфейса устройства, на который добавляется функция ретранслятора.

• server-address — адреса серверов DHCP, куда необходимо пересылать DHCP-запросы клиентов

ip-addresses

Заданный IP-адрес

dhcp-relay server-address

IP-адрес сервера DHCP

bonding interface

Интерфейсы, объединенные в бонд

enabled

Включение/отключение моста

interface-name

Необходимо ввести номер, который будет отображен в имени интерфейса (например, 1, тогда название созданного интерфейса будет bridge1)

zone

Зона, которой будет принадлежать мост

bridging

Дополнительные параметры моста:

• iface-type — режим работы интерфейса:

  • l2 — Layer 2 (создаваемому мосту не нужно назначать IP-адрес и прописывать маршруты и шлюзы для его корректной работы. В данном режиме мост работает на уровне MAC-адресов, транслируя пакет из одного сегмента в другой. В этом случае невозможно использовать правила Mail security; контентная фильтрация в этом режиме работает).

  • l3 — Layer 3 (можно назначить IP-адрес и использовать его в правилах межсетевого экрана, контентной фильтрации и других правилах, это стандартный режим работы интерфейса).

• interface — интерфейсы, которые будут использованы для создания моста.

• stp — включение/отключение использование STP (Spanning Tree Protocol) для защиты от петель.

• forward-delay — задержка перед переключением моста в активный режим (Forwarding), в случае если включен STP (указывается в секундах).

• max-age — время, по истечении которого STP-соединение считается потерянным (указывается в секундах).

• bypass-pair — пара интерфейсов, которая будет использована для построения байпас-моста. Необходима поддержка оборудования ПАК UserGate

iface-mode

Режим назначения IP-адреса:

• dhcp — получение динамического IP-адреса по DHCP;

• manual — без адреса.

Статический режим устанавливается автоматически при назначении интерфейсу IP-адреса

ip-addresses

Назначение интерфейсу IP-адреса.

Адрес задается в следующем виде: [ <ip_address/mask> ] или [ <ip_address/mask> <ip_address/mask> ], если необходимо назначить несколько IP-адресов (адреса перечисляются через пробел). Маска подсети задается в десятичном виде.

mac

MAC-адрес интерфейса

mtu

Указание размера MTU

dhcp-relay

Настройка работы DHCP-ретранслятора на интерфейсе. Необходимо указать:

• enabled — включение/отключения ретранслятора.

• utm-address — IP-адрес интерфейса устройства, на который добавляется функция ретранслятора.

• server-address — адреса серверов DHCP, куда необходимо пересылать DHCP-запросы клиентов

ip-addresses

Заданный IP-адрес

dhcp-relay server-address

IP-адрес сервера DHCP

enabled

Включение/отключение интерфейса

interface-name

Название интерфейса

ip-addresses

Назначение интерфейсу IP-адреса.

Адрес задается в следующем виде: [ <ip_address/mask> ], маска подcети задается в десятичном виде.

iface-mode

Режим назначения IP-адреса:

• dhcp — получение динамического IP-адреса по DHCP;

• manual — без адреса.

Статический режим устанавливается автоматически при назначении интерфейсу IP-адреса

zone

Зона, которой будет принадлежать интерфейс

mac

MAC-адрес интерфейса

mtu

Указание размера MTU

dhcp-relay

Настройка работы DHCP-ретранслятора на интерфейсе. Необходимо указать:

• enabled — включение/отключения ретранслятора.

• utm-address — IP-адрес интерфейса устройства, на который добавляется функция ретранслятора (принимает значения <ip | none>).

• server-address — адреса серверов DHCP, куда необходимо пересылать DHCP-запросы клиентов

ip-addresses

Заданный IP-адрес

dhcp-relay

IP-адрес сервера DHCP

enabled

Включение/отключение интерфейса PPPoE

interface-name

Необходимо ввести номер, который будет отображен в имени интерфейса (например, 1, тогда название созданного интерфейса будет ppp1)

zone

Зона, которой будет принадлежать интерфейс

config

Дополнительные параметры PPPoE интерфейса:

• interface — интерфейс, на котором будет создаваться интерфейс PPPoE;

• login — имя пользователя для соединения PPPoE;

• password — пароль пользователя для соединения PPPoE;

• persist-connection — автоматическое переподключение при обрыве связи;

• auth-type — тип авторизации:

  • CHAP;

  • PAP;

• holdoff — интервал времени в секундах после разрыва соединения перед повторным запуском;

• default-route — интерфейс PPPoE в качестве маршрута по умолчанию;

• echo-interval — интервал проверки соединения;

• echo-failure — количество неуспешных проверок соединения, после которого SWG считает, что соединение отсутствует и разрывает его;

• providers-dns — использование DNS-серверов, выданных провайдером;

• connection-attempts — количество неуспешных попыток подключения, после которых попытки автосоединения будут прекращены;

• service-name — имя сервиса необходимо прописывать в случае предоставления провайдером

mtu

Указание размера MTU. По умолчанию установлено значение 1492 байт, подходящее для стандартного размера кадра Ethernet

enabled

Включение/отключение VLAN-интерфейса

iface-type

Тип интерфейса:

• l3 — Layer 3 (можно назначить IP-адрес и использовать его в правилах межсетевого экрана, контентной фильтрации и других правилах, это стандартный режим работы интерфейса).

• mirror — интерфейс, работающий в режиме mirror (может получать трафик со SPAN-порта сетевого оборудования для его анализа)

iface-mode

Режим назначения IP-адреса:

• dhcp — получение динамического IP-адреса по DHCP.

• manual — без адреса.

Статический режим устанавливается автоматически при назначении интерфейсу IP-адреса

tag

Тег VLAN. Допускается создание до 4094 интерфейсов

interface

Физический интерфейс, на котором создается VLAN

zone

Зона, которой будет принадлежать интерфейс

ip-addresses

Назначение интерфейсу IP-адреса.

Адрес задается в следующем виде: [ <ip_address/mask> ] или [ <ip_address/mask> <ip_address/mask> ], если необходимо назначить несколько IP-адресов (адреса перечисляются через пробел). Маска подсети задается в десятичном виде.

mac

MAC-адрес интерфейса

mtu

Указание размера MTU

dhcp-relay

Настройка работы DHCP-ретранслятора на интерфейсе. Необходимо указать:

• enabled — включение/отключения ретранслятора.

• utm-address — IP-адрес интерфейса устройства, на который добавляется функция ретранслятора.

• server-address — адреса серверов DHCP, куда необходимо пересылать DHCP-запросы клиентов

ip-addresses

Заданный IP-адрес

dhcp-relay server-address

IP-адрес сервера DHCP

enabled

Включение/отключение сетевого интерфейса

iface-type

Тип интерфейса:

• l3 — интерфейс, работающий в режиме Layer 3 (можно назначить IP-адрес и использовать его в правилах межсетевого экрана, контентной фильтрации и других правилах, это стандартный режим работы интерфейса).

• mirror — интерфейс, работающий в режиме mirror (может получать трафик со SPAN-порта сетевого оборудования для его анализа)

iface-mode

Режим назначения IP-адреса:

• dhcp — получение динамического IP-адреса по DHCP;

• manual — без адреса.

Статический режим устанавливается автоматически при назначении интерфейсу IP-адреса

zone

Зона, которой будет принадлежать интерфейс

ip-addresses

Назначение интерфейсу IP-адреса.

Адрес задаётся в следующем виде: [ <ip_address/mask> ] или [ <ip_address/mask> <ip_address/mask> ], если необходимо назначить несколько IP-адресов (адреса перечисляются через пробел). Маска подсети задаётся в десятичном виде.

mac

MAC-адрес интерфейса

mtu

Указание размера MTU

rx-ring

Размер буфера RX ring интерфейса типа adapter

tx-ring

Размер буфера TX ring интерфейса типа adapter

dhcp-relay

Настройка работы DHCP-ретранслятора на интерфейсе. Необходимо указать:

• enabled — включение/отключения ретранслятора.

• utm-address — IP-адрес интерфейса устройства, на который добавляется функция ретранслятора (принимает значения <ip | none>).

• server-address — адреса серверов DHCP, куда необходимо пересылать DHCP-запросы клиентов

ip-addresses

Заданный IP-адрес

dhcp-relay server-address

IP-адрес сервера DHCP

enabled

Включение/отключение шлюза

interface

Интерфейс, используемый для выхода в Интернет:

• port — выбор конкретного порта (port0, port1, port2 и т. д.);

• auto — после выбора этого параметра порт определится автоматически. Для узлов, не прошедших инициализацию, опция доступна начиная с релиза ПО 7.3.0

virtual-router

Виртуальный маршрутизатор, для которого настраивается шлюз

ip

IP-адрес шлюза

weight

Вес шлюза (чем больше вес, тем большая доля трафика идет через шлюз)

balancing

Включение режима балансировки — весь трафик в интернет будет распределен между шлюзами в соответствии с указанными весами

default

Использование данного шлюза в качестве шлюза по умолчанию

name

Уникальное имя виртуального маршрутизатора

interfaces

Интерфейсы, которые будут использованы в виртуальном маршрутизаторе. Интерфейсы, добавленные в другие виртуальные маршрутизаторы, добавлены быть не могут; любой из интерфейсов может принадлежать только одному виртуальному маршрутизатору. В виртуальный маршрутизатор разрешается добавлять интерфейсы всех типов — физические, виртуальные (VLAN), бондинг, VPN и другие

routes

Добавление статических маршрутов.

• destination-ip — IP-адрес подсети назначения. Указывается в формате <ip/mask>.

• type — тип маршрута:

  • unicast — стандартный тип маршрута. Пересылает трафик, адресованный на адреса назначения, через заданный шлюз.

  • unreachable — трафик отбрасывается. Источнику отправляется ICMP-сообщение host unreachable (type 3 code 1).

  • prohibit — трафик отбрасывается. Источнику отправляется ICMP-сообщение host unreachable (type 3 code 13).

  • blackhole — трафик отбрасывается (теряется), не сообщая источнику о том, что данные не достигли адресата.

• enabled — включение/отключение использования статического маршрута.

• gateway — IP-адрес шлюза, через который будет доступна указанная подсеть. Этот IP-адрес должен быть доступен с устройства.

• metric — метрика маршрута. Маршрут с меньшей метрикой более приоритетен