1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пн июл 28, 2025 20:52

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 9 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
Striker1e
 Заголовок сообщения: DFL и Security/Transport Equivalent
СообщениеДобавлено: Ср авг 31, 2011 17:44 
Не в сети

Зарегистрирован: Вт апр 29, 2008 13:02
Сообщений: 196
Сколько я ни настраиваю фаерволы, пришел к выводу, что что то я не совсем понимаю смысла этой галочки Security/Transport Equivalent.
1. Есть группа интерфейсов для выхода в интернет Group_wan (wan1 + wan2).
2. Есть группа тунелей для локалки Group_tunnels (IPSec_main + IPSec_back).
В каком случае мне нужно ставить "галочку", а в каком нет. На что это будет влиять?
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения: Re: DFL и Security/Transport Equivalent
СообщениеДобавлено: Чт сен 01, 2011 23:39 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Мануал 2.30, страница 116
Цитата:
When creating an interface group, the option Security/Transport Equivalent can be enabled (it is disabled by default). Enabling the option means that the group can be used as the destination interface in NetDefendOS rules where connections might need to be moved between two interfaces. For example, the interface might change with route failover or OSPF.
If a connection is moved from one interface to another within a group and Security/Transport Equivalent is enabled, NetDefendOS will not check the connection against the NetDefendOS rule sets with the new interface.
With the option disabled, a connection cannot be moved to another interface in the group and is instead dropped and must be reopened. This new connection is then checked against the NetDefendOS rule sets. In some cases, such as an alternative interface that is much slower, it may not be sensible to allow certain connections over the new interface.

То есть кратко - при наличии этой галки соединения можно "перекидывать" между интерфейсами без переоткрытия. Не факт только, что будет работать на файловере

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Dima G.
 Заголовок сообщения: Re: DFL и Security/Transport Equivalent
СообщениеДобавлено: Чт сен 01, 2011 23:57 
Не в сети

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва
С галочкой установленное соединение, например, TCP между двумя хостами не обрывается при смене destination interface внутри группы. Исходящие из LAN пакетики переводятся при обрыве WAN1 на WAN2. И DFL при этом не сбрасывает connection в своей таблице и не проверяет по списку IP Rules, вынуждая сделать re-open TCP сессии. Скажем так, допустим, Аська разлогинется как только TCP сессия оборвется.
Но такой прием сработает только если на двух WANах один адрес. Допустим, провайдер дает основной и доп. линк до своей сетки, соответственно, IP/подсеть одинаковые. Если разные, то галочку не надо ставить, все равно другая сторона отбросит пакет.
А вот во втором случае можно ставить. Адресация локалок на обоих концах статичная, хосты не заметят изменения.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения: Re: DFL и Security/Transport Equivalent
СообщениеДобавлено: Пт сен 02, 2011 06:03 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Если есть два L2 линка с единым адресом, то проще forward fast использовать
Хотя с transport/security конечно красиво

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Striker1e
 Заголовок сообщения: Re: DFL и Security/Transport Equivalent
СообщениеДобавлено: Пт сен 02, 2011 08:22 
Не в сети

Зарегистрирован: Вт апр 29, 2008 13:02
Сообщений: 196
Спасибо. Теперь хоть буду знать.
1. Значит для Group_wan галку не ставлю.
2. Для Group_tunnels ставлю. И правильно ли я понял: тогда для локалки программы даже и не заметят этого переключения (в смысле если онин тунель откажет) и будут работать стабильно как будто бы и не было никакого переключения тунелей?
Вернуться наверх
 Профиль  
 
Dima G.
 Заголовок сообщения: Re: DFL и Security/Transport Equivalent
СообщениеДобавлено: Пт сен 02, 2011 12:36 
Не в сети

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва
Striker1e писал(а):
2. Для Group_tunnels ставлю. И правильно ли я понял: тогда для локалки программы даже и не заметят этого переключения (в смысле если онин тунель откажет) и будут работать стабильно как будто бы и не было никакого переключения тунелей?

Ну в теории да. Разумеется, второй канал тоже должен быть поднят до наступления момента падения первого. Иначе в промежутках между поднятиями и переключениями сессии все равно могут отвалиться из-за таймаута по неответу.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)
Вернуться наверх
 Профиль  
 
Striker1e
 Заголовок сообщения: Re: DFL и Security/Transport Equivalent
СообщениеДобавлено: Пт сен 02, 2011 14:24 
Не в сети

Зарегистрирован: Вт апр 29, 2008 13:02
Сообщений: 196
Проверил. Работает. Но не идеально. Если подключение установлено но не используется, то все ок (а вот без галочки даже здесь отваливается). А вот если соединение активно используется, то в момент переключения вылетает. Попробую поиграться с параметрами мониторинга.
Вернуться наверх
 Профиль  
 
Dima G.
 Заголовок сообщения: Re: DFL и Security/Transport Equivalent
СообщениеДобавлено: Пт сен 02, 2011 14:46 
Не в сети

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва
Striker1e писал(а):
Проверил. Работает. Но не идеально. Если подключение установлено но не используется, то все ок (а вот без галочки даже здесь отваливается). А вот если соединение активно используется, то в момент переключения вылетает. Попробую поиграться с параметрами мониторинга.

При активном трафике сложно подобрать параметры мониторинга, чтобы незаметно все было. Если это ARP опрос или пинги, то придется ставить слишком частый опрос, а это чревато санкциями или банами в случае провайдера, либо нагрузкой на некий хост в случае туннелей. Если опрос интерфейса, то можно ужать до диких цифр в сотню миллисекунд. Вот только не скажется ли это на производительности DFLок. В общем, экспериментируйте :)

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)
Вернуться наверх
 Профиль  
 
Striker1e
 Заголовок сообщения: Re: DFL и Security/Transport Equivalent
СообщениеДобавлено: Чт окт 27, 2011 11:26 
Не в сети

Зарегистрирован: Вт апр 29, 2008 13:02
Сообщений: 196
Ну мне нужна стабильность 100% для тунелей. Впринципе у меня это получилось. Достаточно поставить пинг 100 мс или меньше. Мне хватило и 100 мс. И не так сильно по ресурсам. Я доволен. Отваливается канал - моментально переключается на другой. Для пользователя ничего не заметно - ТО ЧТО НУЖНО!
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 9 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 18

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB