Logo

EcoRouter

EcoNAT

EcoQOE

EcoBypass

EcoSwitch

English
  • Оборудование
  • Вход в систему
  • Подсказки и горячие клавиши
  • Работа с общей конфигурацией устройства
  • Первичная настройка
  • Хранилище сертификатов SSL
  • Настройки интерфейсов
  • ACL
  • Карты классов трафика
  • Подсистема NAT
  • Подсистема BRAS
  • Подсистема DPI
  • Подсистема логирования
  • Перенаправление DNS-запросов
  • Подмена IP-адресов в DNS-ответах
  • Защита от TCP SYN Flooding
  • Функция Sniffer
  • Общая диагностика системы
  • Действия с прошивкой
  • Счётчики
  • Справочник по командам

    • Общие настройки EcoNAT Documentation / Пулы / Общие настройки

    Ветка конфигурации system.nat_defaults содержит общие настройки системы и настройки, применяемые по умолчанию ко всем создаваемым пулам (блоки timeouts_inactivity и limits_peruser копируются в пул при его создании). В таблице ниже дано описание параметров данной ветки конфигурации.


    ПараметрОписание
    vlan_modeОбработка и анализ пакетов до указанного уровня инкапсуляции. Возможные значения: untagged, vlan, qinq

    inner_vlan

    outer_vlan

    Значение поля TPID внутреннего тега 802.1Q (C-VLAN). По умолчанию 0x8100.

    Значение поля TPID внешнего тега 802.1Q (S-VLAN). По умолчанию 0x8100.

    Данные параметры доступны в конфигурации устройств EcoSGE с сетевыми контроллерами Intel серий 710/810 и необходимы для правильной обработки трафика QinQ

    alg dns

    Опция ALG для DNS запросов и ответов при трансляциях из IPv4 в IPv4 (NAT44). Возможные значения: on, off.

    Примечание. Если опция включена, то при получении ответа DNS-сервера таймер неактивности соответствующей исходящей UDP-сессии (timeouts_inactivity udp_session) сразу устанавливается в 0, и сессия помечается как подлежащая немедленному удалению (статус "To be deleted right now")

    alg dns64

    Опция ALG для DNS запросов и ответов при трансляциях из IPv6 в IPv4 (NAT64). Возможные значения: on, off.

    При включенной опции:

    • запрос типа AAAA будет преобразован в тип A;
    • ответ типа А будет преобразован в тип АААА;
    • запросы типа A и ответы типа AAAA не преобразовываются
    alg ftpОпция ALG для протокола FTP при трансляциях из IPv4 в IPv4 (NAT44). Возможные значения: on, off
    alg ftp64Опция ALG для протокола FTP при трансляциях из IPv6 в IPv4 (NAT64). Возможные значения: on, off
    alg pptpОпция ALG для протокола PPTP. Возможные значения: on, off
    alg rtspОпция ALG для протокола RTSP. Возможные значения: on, off
    alg sipОпция ALG для протокола SIP при трансляциях из IPv4 в IPv4 (NAT44). Возможные значения: on, off
    alg sip64Опция ALG для протокола SIP при трансляциях из IPv6 в IPv4 (NAT64). Возможные значения: on, off
    alg alg_on_bnatОпция ALG для трансляций из IPv4 в IPv4 (NAT44) в пулах nat и static. Возможные значения: on, off
    alg alg64_on_bnatОпция ALG для трансляций из IPv6 в IPv4 (NAT64) в пулах static64. Возможные значения: on, off
    sessions_per_translationКоличество активных сессий на трансляцию
    udp_inbound_refreshВключает обновление UDP-трансляций входящими (ingress) пакетами. Возможные значения: on, off
    forward_traffic

    Включить (on) / отключить (off) пересылку пакетов через платформу EcoSGE. Значение по умолчанию: on.

    Отключение пересылки пакетов может потребоваться, когда, например, платформа EcoSGE используется только для анализа и логирования зеркалированного трафика

    l2mtuМаксимальный размер (в байтах) кадра Ethernet на входе, включая заголовки и исключая поле контрольной суммы. Диапазон допустимых значений – от 576 до 9692. По умолчанию 9216
    port_block_sizeРазмер блока портов для пулов CGNAT и CGNAT64. Не рекомендуется изменять значение данного параметра. По умолчанию 128. Допустимые значения в стандартной конфигурации: 64, 128, 256, 512. По запросу заказчика набор допустимых значений может быть расширен: 8, 16, 32, 64, 128, 256, 512. Для применения нового значения необходимо перезагрузить устройство
    portlimit_lowЗначение используемого диапазона "нижних" портов (до 1024) для каждого пользователя. Варианты значений параметра: nolimit, 64, 128, 256, 512
    low_to_all_udpПозволяет использовать порты из верхнего диапазона, если порты из нижнего диапазона исчерпаны. Варианты значений параметра: on/off
    lldpВключение (on) / выключение (off) протокола LLDP. По умолчанию on
    lldp_hostnameИмя хоста, которое будет использоваться в LLDP-сообщениях
    permit_invalid_flow

    Включить (on) / отключить (off) функцию заведения сессий по TCP-сегментам, у которых не выставлен флаг SYN. Значение по умолчанию: off.

    TCP-сессия всегда начинается с сегмента с выставленным SYN-флагом, и такие пакеты могут быть ошибочными или вредоносными, поэтому по умолчанию новые сессии по таким сегментам не заводятся, а сами сегменты отбрасываются.

    Однако в некоторых случаях данное поведение может быть полезным. Например, когда часть трафика идёт по другому маршруту или для корректной работы TCP-соединений, по которым длительное время не передаются данные.

    Этот параметр является глобальным: он влияет на поведение всего устройства и не может быть переопределён в пулах. Для применения изменений требуется выполнить команду apply

    pppoe_analyzerВключить (on) / выключить (off) обработку трафика PPPoE. По умолчанию off
    timeouts_inactivity {}В этом разделе задаются тайм-ауты неактивности (в секундах) для разных протоколов и состояний TCP. По истечении тайм-аута неиспользуемая трансляция/сессия принудительно закрывается
    timeouts_inactivity translationВремя в секундах, до истечения которого абоненту, даже в случае его неактивности, будет гарантировано выделение портов на одном и том же глобальном IP-адресе. Рекомендованное значение по умолчанию 86400
    timeouts_inactivity udpТайм-аут неактивности в секундах для UDP-соединений. По истечении заданного времени порт на глобальном IP-адресе освобождается. По умолчанию 300
    timeouts_inactivity icmpТайм-аут неактивности в секундах для ICMP-соединений. По истечении заданного времени порт на глобальном IP-адресе освобождается. По умолчанию 60
    timeouts_inactivity tcp_handshakeТайм-аут неактивности в секундах, устанавливаемый для TCP-соединений при получении пакета с флагом SYN или SYN-ACK. По умолчанию 4
    timeouts_inactivity tcp_activeТайм-аут неактивности в секундах, устанавливаемый для TCP-соединений при получении пакета с флагом ACK. По истечении заданного времени порт на глобальном IP-адресе освобождается. По умолчанию 300
    timeouts_inactivity tcp_finalТайм-аут для завершения TCP-сессий в секундах. По умолчанию 240
    timeouts_inactivity tcp_resetТайм-аут для сброса TCP-сессий в секундах. По умолчанию 4
    timeouts_inactivity tcp_session_activeТайм-аут неактивности в секундах для активных TCP-сессий. По умолчанию 120
    timeouts_inactivity udp_sessionТайм-аут неактивности в секундах для активных UDP-сессий. По умолчанию 120
    timeouts_inactivity icmp_sessionТайм-аут неактивности в секундах для активных ICMP-сессий. По умолчанию 120
    timeouts_inactivity otherТайм-аут неактивности в секундах для прочих соединений по протоколу IP (например, для GRE). По истечении заданного времени протокол на глобальном IP-адресе освобождается. По умолчанию 300. Применимо только к пулам NAT и Static
    timeouts_inactivity specialТайм-аут неактивности в секундах для протоколов, которым требуется большее значение тайм-аута. По умолчанию 600
    timeouts_inactivity special_tcp_ports ( )TCP-порты, к которым применяется увеличенное значение тайм-аута
    limits_peruser {}Ограничения числа портов для пользователей
    limits_peruser portlimit_icmpЭтот параметр описывает максимальное количество одновременно существующих ICMP-сессий для пользователя

    limits_peruser portlimit_tcp

    limits_peruser portlimit_udp

    Лимит числа глобальных (внешних) портов, которые могут быть выделены одному пользователю (локальному IP-адресу). Рекомендуется задавать значения, кратные 64, от 64 до 32256. Операторам связи имеет смысл назначать для обычных пользователей (физических лиц): от 1024 до 4096. Значения менее 1024 могут приводить к проблемам с работоспособностью некоторых приложений. Значение более 32256 может привести к тому, что один пользователь сможет исчерпать порты IP-адреса.

    Для пользователей, особенно требовательных к числу портов, имеет смысл создать отдельный CGNAT-пул с меньшим коэффициентом уплотнения (меньше локальных IP-адресов на один глобальный), либо использовать NAT-пул для выделения пользователю целого IP-адреса со всеми портами на период его активности

    timezoneЧасовой пояс. Принимает значения от utc-12 до utc+14. По умолчанию задано значение utc+3 (при наличии лицензии СОРМ – utc). Список всех часовых поясов выводится командой timezone ? непосредственно в ветке nat_defaults

    Параметр vlan_mode может принимать значения untagged, vlan, qinq. При значении untagged устройство EcoSGE будет обрабатывать только нетегированный трафик, при vlan – нетегированный и с одной меткой, при qinq – нетегированный, с одной и с двумя метками.

    По умолчанию (значение параметра untagged) EcoSGE пропускает прозрачно всё, что отличается от стандартного IP, для того чтобы беспрепятственно передавался трафик по протоколам типа BFD, OSPF, BGP и т. п. В том числе IP-пакеты с опциями (кроме фрагментированных IP-пакетов с опциями), а также тегированный трафик пропускаются без натирования.

    При включении режима vlan, EcoNAT увидит метку в L2 заголовке, заглянет под неё и перенаправит IP в соответствии с имеющимися правилами с той же меткой. При этом IP-адреса под различными метками не должны пересекаться, так как для EcoNAT это будет восприниматься как один и тот же абонент. Например, если придет пакет с IP-адресом 192.168.1.100 и с меткой VLAN 100 и пакет с IP-адресом 192.168.1.100 и с меткой VLAN 200, то фактически это будут разные абоненты, но для EcoNAT, это будет один и тот же адрес абонента. Таким образом может быть нарушена передача трафика.