Здравствуйте !
В тему в первую очередь призывается САППРОТ !

Участники разборки :
DFL 260E 10.22.01.04-26411
DFL 210 2.27.00.14-14093
Полуночный воспаленный мозХХХХ
Cacti.
на DFL210


На DFL260e


Внимание вопрос ?!
Где KeepAlive ?! на туннелях IpSec ?
Или как его настроить ?! Пол ночи сидел , не смог найти ....
поэтому у меня Cacti И показывает исходящий траффик в туннеле -0. И для нее это мертвый туннель .....

а вот входящий - есть - потому что в 2.27 - такое есть

PS Не предлагать мониторинг на маршруте .....

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

AП!!!!
Где саппорт ?!

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Насколько мне известно, по DFL-ам может подсказать только Сергей Васильев из московского офиса. Но он тут появлялся последний раз в начале 2015 года.

_________________
Ответы на все вопросы здесь: http://www.dlink.ru/ru/contacts/

Спасибо !
Попробую позвонить . если мне повезет

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Ну да, ну да... Не хочет он помогать как-то..

Кстати, в этой прошивке до кучи не работает LinkStatus для маршрута, прикрученного к IPSec-туннелю. Туннель лежит, а маршрут активен.

А ни кто и не мониторит линк статусами ... все по старинке ицмп.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

IPSec-туннели, которые друг друга бэкапят, все же удобнее мониторить статусом канала, ИМХО. Во-первых, ICMP нагружает сеть. Нагрузка невеликая, в целом, но она есть. Статус канала этой особенности лишен. Во-вторых, ICMP имет некоторую задержку в опросе. Стандартно, если не ошибаюсь, 1 секунда, но можно выкрутить ручку до упора и весь смысл мониторинга пропадет. Статус канала, опять же, срабатывает почти мгновенно - при установленных бэкапных туннелях, потери (лично у меня) - 1 пакет. Ну, раз в пятилетку два пакета теряется.

А в какой момент статус IPsec переходит в down? И как системе быть если каналы в режиме on demand - т.е. канал по отсутствию нагрузки "остановился", но по первому же байту - будет восстанавливаться. В такой ситуации к каналу в состоянии down никто и не обратится...

С ходу - не могу ответить. Опять же, я приводил аргументы, почему мониторить статус канала бывает нужно. Или, если угодно, почему этот функционал выкидывать нельзя

Господа, отвлеклись от темы ..

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Просто ответ на эти вопросы и является ответом на вопрос "почему не мониторит"...

Судя по всему, в 10 версии NetDefend они keepalive оставили только для "больших" моделей...
в мануале от 10.21 написано:
Note: Link monitoring is not available on all NetDefend models
The link monitoring feature is only available with the D-Link NetDefend
DFL-1600, 1660, 2500, 2560 and 2560G.

Я смотрю что сюда саппорт еще не заходил
Может знающие участники форума подскажут по функционалу?
в адвансед сетинг ипсека есть такая штука
Hardware Acceleration
IPsec Hardware Acceleration: (None | Inline | Coprocessor)
Disable Public-Key Hardware Acceleration:

ДОгадываюсь что это аппаратное ускорение шифрования, но варианты выбора между инлайн и сопроцессор мне не понятны. В инструкции 10,21,02 такого описания не нашел.

Ну я нашел только такое упоминание:

Hardware Acceleration
Anti-Virus performance, like IDP scanning performance, can be increased with an optional
hardware acceleration upgrade on the SG50, SG4200 and SG4400 Security Gateways. Multiple
streams are accelerated asynchronously in this optional hardware to boost overall throughput.
The console command
Device:/> hwaccel
can be used to check if acceleration is installed. Note that Anti-Virus is not available on the
discontinued SG30 model.

Hardware Acceleration - это некий рудимент, который D-Link'овские программеры не вырезали из прошивки Клавистера при ребрендинге.
В железках D-Link'а эта опция не поддерживается. В нее невозможно вставить Acceleration Cards.

Для Клавистера это:

CLA-APP-SG50-XCEL
Clavister Security Gateway 50 Series, xPerformance Card

CLA-APP-SG3100-XCEL
Clavister Security Gateway 3100 Series, xPerformance Card

CLA-APP-SG4X00-XCEL
Clavister Security Gateway 4200 and 4400 Series, xPerformance Card

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Да, еще вот что нашел:

It's possible, you could also run a selftest on the IPsec accelerator using the "selftest -cryptoaccel" CLI command.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...