|
|
Данный раздел находится на уровне network zone. Команда для создания новой зоны:
Admin@nodename# create network zone
Далее необходимо указать параметры зоны:
|
Параметр
|
Описание
|
|
name
|
Название зоны.
|
|
description
|
Описание зоны.
|
|
dos-protection-syn
|
Защита зоны от сетевого флуда для протокола TCP (SYN-flood):
-
enabled: включение/отключение защиты.
-
aggregate:
-
on — считаются все пакеты, входящие в интерфейсы данной зоны.
-
off — пакеты считаются отдельно для каждого IP-адреса.
-
alert-threshold: порог уведомления; если количество запросов превышает данный порог, то происходит запись события в системный журнал.
-
drop-threshold: порог отбрасывания пакетов; если количество запросов превышает указанное значение, то UserGate отбрасывает пакеты и записывает данное событие в системный журнал.
-
excluded-ips: список IP-адресов серверов, которые необходимо исключить из защиты.
|
|
dos-protection-udp
|
Защита зоны от сетевого флуда для протокола UDP:
-
enabled: включение/отключение защиты.
-
aggregate:
-
on — считаются все пакеты, входящие в интерфейсы данной зоны.
-
off — пакеты считаются отдельно для каждого IP-адреса.
-
alert-threshold: порог уведомления; если количество запросов превышает данный порог, то происходит запись события в системный журнал.
-
drop-threshold: порог отбрасывания пакетов; если количество запросов превышает указанное значение, то UserGate отбрасывает пакеты и записывает данное событие в системный журнал.
-
excluded-ips: список IP-адресов серверов, которые необходимо исключить из защиты.
|
|
dos-protection-icmp
|
Защита зоны от сетевого флуда для протокола ICMP:
-
enabled: включение/отключение защиты.
-
aggregate:
-
on — считаются все пакеты, входящие в интерфейсы данной зоны.
-
off — пакеты считаются отдельно для каждого IP-адреса.
-
alert-threshold: порог уведомления; если количество запросов превышает данный порог, то происходит запись события в системный журнал.
-
drop-threshold: порог отбрасывания пакетов; если количество запросов превышает указанное значение, то UserGate отбрасывает пакеты и записывает данное событие в системный журнал.
-
excluded-ips: список IP-адресов серверов, которые необходимо исключить из защиты.
|
|
enabled-services
|
Параметры контроля доступа зоны:
-
"Any ICMP": разрешение использования команды ping адреса UserGate.
-
SNMP: доступ к UserGate по протоколу SNMP (UDP 161).
-
rpc: XML-RPC для управления - позволяет управлять продуктом по API (TCP 4040).
-
VRRP: сервис, необходимый для объединения нескольких узлов UserGate в отказоустойчивый кластер (IP протокол 112).
-
"CLI over SSH": доступ к серверу для управления им с помощью CLI (command line interface), порт TCP 2200.
-
Cluster: сервис, необходимый для объединения нескольких узлов UserGate в кластер (TCP 4369, TCP 9000-9100).
-
"Admin Console": доступ к веб-консоли управления (TCP 8001).
|
|
service-addresses
|
Указание разрешённых IP-адресов для сервисов:
|
|
antispoof-enable
|
Включение/отключение защиты от IP-спуфинга:
|
|
antispoof-negate
|
Возможные значения:
При antispoof-negate on адреса источников, указанные в значении ip-spoofing-networks, будут являться адресами, которые не могут быть получены на интерфейсах данной зоны. В этом случае будут отброшены пакеты с указанными IP-адресами источников.
|
|
sessions-limit-enabled
|
Включение ограничения количества одновременных сессий с одного IP-адреса:
|
|
sessions-limit-exclusions
|
Добавление списка IP-адресов, для которых ограничение на количество одновременных сессий не будет действовать.
|
|
sessions-limit-threshold
|
Максимально возможное количество одновременных сессий с одного IP-адреса.
|
|
geoip
|
Коды GeoIP, которые используются в защите от IP-спуфинга.
|
|
ip-list
|
Список IP-адресов, которые используются в защите от IP-спуфинга.
|
Пример создания новой зоны:
Admin@nodename# create network zone name Test_zone description "Test_zone description" antispoof-enable on enabled-services [ "Any ICMP" DNS ] dos-protection-icmp enabled on
Для редактирования параметров зоны:
Admin@nodename# set network zone <zone-name>
Пример редактирования параметров зоны:
Admin@nodename# set network zone Test_zone dos-protection-syn enabled on
Команда удаления зоны или её параметров:
Admin@nodename# delete network zone <zone-name>
Параметры, доступные для удаления:
|
Параметр
|
Описание
|
|
dos-protection-syn
|
Защита зоны от сетевого флуда для протокола TCP (SYN-flood):
|
|
dos-protection-udp
|
Защита зоны от сетевого флуда для протокола UDP:
|
|
dos-protection-icmp
|
Защита зоны от сетевого флуда для протокола ICMP:
|
|
enabled-services
|
Установленные ранее параметры контроля доступа в данной зоне
|
|
geoip
|
Kоды GeoIP, которые используются в защите от IP-спуфинга.
|
|
ip-list
|
Cписок IP-адресов, которые используются в защите от IP-спуфинга.
|
Команда для просмотра настроек зоны:
Admin@nodename# show network zone <zone-name>
Настройка интерфейсов производится на уровне network interface:
Настройка adapter
Сетевые адаптеры настраиваются на уровне network interface adapter.
Создать сетевой адаптер нельзя. Для обновления существующего сетевого адаптера используется команда:
Admin@nodename# set network interface adapter <adapter_name>
Далее необходимо указать параметры сетевого адаптера:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение сетевого интерфейса:
|
|
description
|
Описание сетевого интерфейса.
|
|
alias
|
Алиас/псевдоним интерфейса.
|
|
iface-type
|
Тип интерфейса:
-
l3: интерфейс, работающий в режиме Layer 3 (можно назначить IP-адрес и использовать его в правилах межсетевого экрана, контентной фильтрации и других правилах, это стандартный режим работы интерфейса).
-
mirror: интерфейс, работающий в режиме Mirror (может получать трафик со SPAN-порта сетевого оборудования для его анализа).
|
|
iface-mode
|
Режим назначения IP-адреса:
Статический режим устанавливается автоматически при назначении интерфейсу IP-адреса.
|
|
zone
|
Зона, которой будет принадлежать интерфейс.
|
|
link-info
|
Настройка параметров сетевого интерфейса:
-
bc_forwarding: управление пересылкой пакетов directed broadcast, приходящих на указанный интерфейс.
-
proxy_arp, proxy_arp_vlan: механизм Proxy ARP. Параметр proxy_arp — UserGate будет отвечать на ARP-запросы адресов, не относящихся к сети интерфейса; proxy_arp_vlan — UserGate будет отвечать на ARP-запросы адресов, относящихся к сети интерфейса.
Указываются в следующем формате:
Admin@nodename# create network interface <iface-type> … link-info [ key/value ]
где key — название параметра. Название может состоять из строчных букв латинского алфавита (a — z) и знака подчеркивания (_).
value — значение параметра. Параметры могут принимать только целые числовые значения.
Например, чтобы включить использование механизма Proxy ARP используйте следующие key/value — proxy_arp/1; для отключения — proxy_arp/0.
Поле link-info будет отображено только в случае добавления параметров.
Важно! Удаление заданных параметров недоступно.
|
|
ip-addresses
|
Назначение интерфейсу IP-адреса.
Адрес задаётся в следующем виде: [ <ip_address/mask> ] или [ <ip_address/mask> <ip_address/mask> ], если необходимо назначить несколько IP-адресов (адреса перечисляются через пробел); маска подсети задаётся в десятичном виде.
Важно! Квадратные скобки обязательно должны быть отделены пробелами с обеих сторон.
|
|
mac
|
MAC-адрес интерфейса.
|
|
mtu
|
Указание размера MTU.
|
Команда удаления адаптера или его параметров:
Admin@nodename# delete network interface adapter <adapter-name>
Параметры, доступные для удаления:
|
Параметр
|
Описание
|
|
ip-addresses
|
Заданный IP-адрес.
|
|
dhcp-relay server-address
|
IP-адрес сервера DHCP.
|
Команда для отображения информации о всех сетевых адаптерах:
Admin@nodename# show network interface adapter
Для отображения информации об адаптере:
Admin@nodename# show network interface adapter <adapter-name>
Настройка VLAN
Интерфейсы VLAN настраиваются на уровне network interface vlan.
Команда для добавления нового VLAN-интерфейса:
Admin@nodename# create network interface vlan
Далее необходимо указать параметры:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение VLAN-интерфейса:
|
|
description
|
Описание интерфейса.
|
|
alias
|
Алиас/псевдоним интерфейса.
|
|
iface-type
|
Тип интерфейса:
-
l3: Layer 3 (можно назначить IP-адрес и использовать его в правилах межсетевого экрана, контентной фильтрации и других правилах, это стандартный режим работы интерфейса).
-
mirror: интерфейс, работающий в режиме Mirror (может получать трафик со SPAN-порта сетевого оборудования для его анализа).
|
|
iface-mode
|
Режим назначения IP-адреса:
Статический режим устанавливается автоматически при назначении интерфейсу IP-адреса.
|
|
tag
|
Тег VLAN. Допускается создание до 4094 интерфейсов.
|
|
node-name
|
Имя узла кластера, на котором создаётся VLAN.
|
|
interface
|
Физический интерфейс, на котором создается VLAN.
|
|
zone
|
Зона, которой будет принадлежать интерфейс.
|
|
link-info
|
Настройка параметров сетевого интерфейса:
-
bc_forwarding: управление пересылкой пакетов directed broadcast, приходящих на указанный интерфейс.
-
proxy_arp, proxy_arp_vlan: механизм Proxy ARP. Параметр proxy_arp — UserGate будет отвечать на ARP-запросы адресов, не относящихся к сети интерфейса; proxy_arp_vlan — UserGate будет отвечать на ARP-запросы адресов, относящихся к сети интерфейса.
Указываются в следующем формате:
Admin@nodename# create network interface <iface-type> … link-info [ key/value ]
где key — название параметра. Название может состоять из строчных букв латинского алфавита (a — z) и знака подчеркивания (_).
value — значение параметра. Параметры могут принимать только целые числовые значения.
Например, чтобы включить использование механизма Proxy ARP используйте следующие key/value — proxy_arp/1; для отключения — proxy_arp/0.
Поле link-info будет отображено только в случае добавления параметров.
Важно! Удаление заданных параметров недоступно.
|
|
ip-addresses
|
Назначение интерфейсу IP-адреса.
Адрес задаётся в следующем виде: [ <ip_address/mask> ] или [ <ip_address/mask> <ip_address/mask> ], если необходимо назначить несколько IP-адресов (адреса перечисляются через пробел); маска подсети задаётся в десятичном виде.
Важно! Квадратные скобки обязательно должны быть отделены пробелами с обеих сторон.
|
|
mac
|
MAC-адрес интерфейса.
|
|
mtu
|
Указание размера MTU.
|
|
dhcp-relay
|
Настройка работы DHCP-релея на интерфейсе. Необходимо указать:
-
enabled: включение/отключения релея:
-
utm-address: IP-адрес интерфейса UserGate, на который добавляется функция релея.
-
server-address: адреса серверов DHCP, куда необходимо пересылать DHCP-запросы клиентов.
|
Редактирование существующего VLAN:
Admin@nodename# set network interface vlan <vlan-name>
Параметры, доступные для обновления, аналогичны параметрам создания VLAN, кроме tag, node-name, interface (изменение значений этих параметров недоступно).
Команда удаления VLAN-интерфейса или его параметров:
Admin@nodename# delete network interface vlan <vlan-name>
Параметры, доступные для удаления:
|
Параметр
|
Описание
|
|
ip-addresses
|
Заданный IP-адрес.
|
|
dhcp-relay server-address
|
IP-адрес сервера DHCP.
|
Чтобы отобразить информацию о всех интерфейсах VLAN:
Admin@nodename# show network interface vlan
или об определённом интерфейсе:
Admin@nodename# show network interface vlan <vlan-name>
Настройка bond-интерфейса
Настройка бонд-интерфейса производится на уровне network interface bond.
Команда для создания бонд-интерфейса:
Admin@nodename# create network interface bond
Параметры, которые необходимо указать:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение интерфейса:
|
|
interface-name
|
Необходимо ввести номер, который будет отображён в имени интерфейса (например 1, тогда название созданного интерфейса будет bond1).
|
|
description
|
Описание интерфейса.
|
|
alias
|
Алиас/псевдоним интерфейса.
|
|
node-name
|
Узел кластера, на котором будет создан бонд-интерфейс.
|
|
zone
|
Зона, которой будет принадлежать бонд.
|
|
link-info
|
Настройка параметров сетевого интерфейса:
-
bc_forwarding: управление пересылкой пакетов directed broadcast, приходящих на указанный интерфейс.
-
proxy_arp, proxy_arp_vlan: механизм Proxy ARP. Параметр proxy_arp — UserGate будет отвечать на ARP-запросы адресов, не относящихся к сети интерфейса; proxy_arp_vlan — UserGate будет отвечать на ARP-запросы адресов, относящихся к сети интерфейса.
Указываются в следующем формате:
Admin@nodename# create network interface <iface-type> … link-info [ key/value ]
где key — название параметра. Название может состоять из строчных букв латинского алфавита (a — z) и знака подчеркивания (_).
value — значение параметра. Параметры могут принимать только целые числовые значения.
Например, чтобы включить использование механизма Proxy ARP используйте следующие key/value — proxy_arp/1; для отключения — proxy_arp/0.
Поле link-info будет отображено только в случае добавления параметров.
Важно! Удаление заданных параметров недоступно.
|
|
bonding
|
Дополнительные параметры бонд-интерфейса:
-
mode — режим работы бонда:
-
round-robin: режим Round robin (пакеты отправляются последовательно, начиная с первого доступного интерфейса и заканчивая последним. Эта политика применяется для балансировки нагрузки и отказоустойчивости).
-
active-backup: режим Active backup (только один сетевой интерфейс из объединенных будет активным. Другой интерфейс может стать активным только в том случае, когда упадет текущий активный интерфейс. При такой политике MAC-адрес бонд-интерфейса виден снаружи только через один сетевой порт, во избежание появления проблем с коммутатором. Данная политика применяется для обеспечения отказоустойчивости).
-
xor: режим XOR (передача распределяется между сетевыми картами используя формулу: [(«MAC-адрес источника» XOR «MAC-адрес назначения») по модулю «число интерфейсов»]. Получается, одна и та же сетевая карта передает пакеты одним и тем же получателям. Опционально распределение передачи может быть основано и на политике «xmit_hash». Политика XOR применяется для балансировки нагрузки и обеспечения отказоустойчивости).
-
broadcast: режим Broadcast (передает все на все сетевые интерфейсы. Эта политика применяется для отказоустойчивости).
-
802.3ad: режим IEEE 802.3ad (режим работы, установленный по умолчанию, поддерживается большинством сетевых коммутаторов. Создаются агрегированные группы сетевых карт с одинаковой скоростью и дуплексом. При таком объединении передача задействует все каналы в активной агрегации согласно стандарту IEEE 802.3ad. Выбор, через какой интерфейс отправлять пакет, определяется политикой; по умолчанию используется XOR-политика, можно также использовать «xmit_hash» политику).
-
transmit: режим Adaptive transmit load balancing (исходящий трафик распределяется в зависимости от загруженности каждой сетевой карты (определяется скоростью загрузки). Не требует дополнительной настройки на коммутаторе. Входящий трафик приходит на текущую сетевую карту. Если она выходит из строя, то другая сетевая карта берет себе MAC-адрес вышедшей из строя карты).
-
load: режим Adaptive load balancing. Включает в себя предыдущую политику плюс осуществляет балансировку входящего трафика. Не требует дополнительной настройки на коммутаторе. Балансировка входящего трафика достигается путем ARP-переговоров. Драйвер перехватывает ARP-ответы, отправляемые с локальных сетевых карт наружу, и переписывает MAC-адрес источника на один из уникальных MAC-адресов сетевой карты, участвующей в объединении. Таким образом, различные пиры используют различные MAC-адреса сервера. Балансировка входящего трафика распределяется последовательно (round-robin) между интерфейсами.
-
mii-monitoring: периодичность MII-мониторинга в миллисекундах. Определяет, как часто будет проверяться состояние линии на наличие отказов.
-
down-delay: время (в миллисекундах) задержки перед отключением интерфейса, если произошел сбой соединения. Эта опция действительна только для мониторинга MII (miimon). Значение параметра должно быть кратным значениям miimon.
-
up-delay: время задержки в миллисекундах, перед тем как поднять канал при обнаружении его восстановления. Этот параметр возможен только при MII-мониторинге (miimon). Значение параметра должно быть кратным значениям miimon.
-
lacp-rate: интервал, с которым будут передаваться партнером LACPDU-пакеты в режиме 802.3ad. Возможные значения:
-
failover-mac: определение способа назначения MAC-адресов на объединенные интерфейсы в режиме Active backup при переключении интерфейсов. Возможные значения:
-
disabled: устанавливает одинаковый MAC-адрес на всех интерфейсах во время переключения.
-
active: MAC-адрес на бонд-интерфейсе будет всегда таким же, как на текущем активном интерфейсе. MAC-адреса на резервных интерфейсах не изменяются. MAC-адрес на бонд-интерфейсе меняется во время обработки отказа.
-
follow: MAC-адрес на бонд-интерфейсе будет таким же, как на первом интерфейсе, добавленном в объединение. На втором и последующем интерфейсе этот MAC не устанавливается, пока они в резервном режиме. MAC-адрес прописывается во время обработки отказа, когда резервный интерфейс становится активным, он принимает новый MAC (тот, что на бонд-интерфейсе), а старому активному интерфейсу прописывается MAC, который был на текущем активном.
-
xmit-hash: определение хэш-политики передачи пакетов через объединенные интерфейсы в режиме XOR или IEEE 802.3ad. Возможные значения:
-
l2: использует только MAC-адреса для генерации хэша. При этом алгоритме трафик для конкретного сетевого хоста будет отправляться всегда через один и тот же интерфейс. Алгоритм совместим с IEEE 802.3ad.
-
l2-3: использует как MAC-адреса, так и IP-адреса для генерации хэша. Алгоритм совместим с IEEE 802.3ad.
-
l3-4: используются IP-адреса и протоколы транспортного уровня (TCP или UDP) для генерации хэша. Алгоритм не всегда совместим с IEEE 802.3ad, так как в пределах одного и того же TCP- или UDP-взаимодействия могут передаваться как фрагментированные, так и нефрагментированные пакеты. Во фрагментированных пакетах порт источника и порт назначения отсутствуют. В результате в рамках одной сессии пакеты могут дойти до получателя не в том порядке, так как отправляются через разные интерфейсы.
-
interface: интерфейсы, которые будут объединены в бонд.
|
|
iface-mode
|
Режим назначения IP-адреса:
Статический режим устанавливается автоматически при назначении интерфейсу IP-адреса.
|
|
iface-type
|
Тип создаваемого интерфейса:
|
|
ip-addresses
|
Назначение интерфейсу IP-адреса.
Адрес задаётся в следующем виде: [ <ip_address/mask> ] или [ <ip_address/mask> <ip_address/mask> ], если необходимо назначить несколько IP-адресов (адреса перечисляются через пробел); маска подсети задаётся в десятичном виде.
Важно! Квадратные скобки обязательно должны быть отделены пробелами с обеих сторон.
|
|
mac
|
MAC-адрес интерфейса.
|
|
mtu
|
Указание размер MTU.
|
Обновление существующего бонд-интерфейса:
Admin@nodename# set network interface bond <bond-name>
Параметры, доступные для обновления, аналогичны параметрам создания бонд-интерфейс, кроме interface-name, node-name (изменение значений этих параметров недоступно).
Команда удаления бонд-интерфейса или его параметров:
Admin@nodename# delete network interface bond <bond-name>
Параметры, доступные для удаления:
|
Параметр
|
Описание
|
|
ip-addresses
|
Заданный IP-адрес.
|
|
dhcp-relay server-address
|
IP-адрес сервера DHCP.
|
|
bonding interface
|
Интерфейсы, объединённые в бонд.
|
Чтобы отобразить информацию о всех бонд-интерфейсах:
Admin@nodename# show network interface bond
или об определённом интерфейсе:
Admin@nodename# show network interface bond <bond-name>
Данный раздел находится на уровне network gateway.
Для добавления нового шлюза используется команда:
Admin@nodename# create network gateway
Доступные параметры:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение шлюза:
|
|
name
|
Название шлюза.
|
|
description
|
Описание шлюза.
|
|
interface
|
Интерфейс, использующийся для выхода в Интернет.
|
|
ip
|
IP-адрес шлюза.
|
|
node-name
|
Выбор узла кластера, для которого настраивается шлюз.
|
|
weight
|
Вес шлюза (чем больше вес, тем большая доля трафика идет через шлюз).
|
|
balancing
|
Режим балансировки - весь трафик в интернет будет распределен между шлюзами в соответствии с указанными весами:
|
|
default
|
Использование данного шлюза в качестве шлюза по умолчанию:
|
Обновление параметров шлюза:
Admin@nodename# set network gateway <gateway-name>
Список параметров, доступных для изменения, аналогичен списку, доступному при создании шлюза.
Команда для удаления шлюза:
Admin@nodename# delete network gateway <gateway-name>
Чтобы отобразить информацию о всех шлюзах:
Admin@nodename# show network gateway
или об определённом шлюзе:
Admin@nodename# show network gateway <gateway-name>
В данном разделе описана настройка маршрутизации с использованием интерфейса командной строки. Настройка производится на уровне network routes.
Для добавления нового статического маршрута используется команда:
Admin@nodename# create network routes <parameters>
Далее указываются параметры:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение использования статического маршрута:
|
|
name
|
Имя маршрута.
|
|
description
|
Описание маршрута.
|
|
node-name
|
Выбор узла кластера для настройки маршрутизации.
|
|
type
|
Тип маршрута:
-
unicast — стандартный тип маршрута. Пересылает трафик, адресованный на адреса назначения, через заданный шлюз.
-
unreachable — трафик отбрасывается. Источнику отправляется ICMP сообщение host unreachable (type 3 code 1).
-
prohibit — трафик отбрасывается. Источнику отправляется ICMP сообщение host unreachable (type 3 code 13).
-
blackhole — трафик отбрасывается (теряется), не сообщая источнику о том, что данные не достигли адресата.
|
|
destination-ip
|
IP-адрес подсети назначения; указывается в формате <ip/mask>.
|
|
gateway
|
IP-адрес шлюза, через который будет доступна указанная подсеть; этот IP-адрес должен быть доступен с устройства.
|
|
interface
|
Интерфейс, через который будет добавлен маршрут.
|
|
metric
|
Метрика маршрута. Если маршрутов в данную сеть несколько: чем меньше метрика, тем более приоритетен маршрут.
|
Пример добавления статического маршрута:
Admin@nodename# create network routes name test_route description "Test static route" destination-ip 192.168.200.0/2
4 gateway 192.168.100.100 interface port1 type unicast metric 1 enabled on
Admin@nodename#
Admin@nodename# show network routes test_route
name : test_route
description : Test static route
enabled : on
node-name : testnode1
interface : port1
type : unicast
destination-ip : 192.168.200.0/24
gateway : 192.168.100.100
metric : 1
Чтобы изменить параметры созданного ранее статического маршрута, используйте команду:
Admin@nodename# set network routes <route-name>
Параметры, доступные для изменения, представлены в таблице выше.
Используйте следующую команду для удаления статического маршрута:
Admin@nodename# delete network routes <route-name>
Пример удаления статического маршрута:
Admin@nodename# delete network routes test_route
Для отображения статических маршрутов:
Admin@nodename# show network routes
Настройка системных серверов DNS производится на уровне network dns system-dns-servers.
Для добавления новых DNS-серверов или обновления существующего списка используются следующие команды:
Admin@nodename# set network dns system-dns-servers ip [ <ip> <ip> ... ]
Для удаления всего списка адресов серверов DNS:
Admin@nodename# delete network dns system-dns-servers
Для удаления определённых серверов:
Admin@nodename# delete network dns system-dns-servers ip [ <ip> <ip> ... ]
Для отображения списка системных DNS-серверов используется команда:
Admin@nodename# show network dns
|
