Работа с соединениями

Вы можете просмотреть соединения одним из следующих способов:

• Для отображения таблицы соединений, установленных с устройства CPE, вам нужно в меню перейти в раздел SD-WAN → Устройства CPE, нажать на устройство CPE и выбрать вкладку Соединения.
• Для отображения таблицы всех соединений вам нужно в меню перейти в раздел Инфраструктура, нажать на кнопку Управление → Меню конфигурации рядом с контроллером и перейти в раздел Соединения.
• Для отображения графической топологии со всеми соединениями вам нужно в меню перейти в раздел Инфраструктура, нажать на кнопку Управление → Меню конфигурации рядом с контроллером и перейдите в раздел Топология.

При просмотре таблицы соединений информация о соединениях отображается в следующих столбцах таблицы:

• Источник – имя, идентификатор DPID и номер OpenFlow-порта устройства CPE источника соединения.
• Назначение – имя, идентификатор DPID и номер OpenFlow-порта устройства CPE назначения соединения.
• Нежелательный – контроллер использует соединение в последнюю очередь при расчете пути независимо от показателей мониторинга:
  • Y.
  • N.
• Пороговый мониторинг – мониторинг соединения:
  • Y.
  • N.
• MTU – значение MTU на соединении.
• Ошибок/секунду – количество ошибок в секунду на соединении.
• Использование (%) – загруженность соединения в процентах от скорости сервисного интерфейса источника.
• Задержка (мс.) – время задержки в миллисекундах при передаче трафика через соединение.
• Джиттер (мс.) – время джиттера в миллисекундах при передаче трафика через соединение.
• Потеря пакетов (%) – процент потерь пакетов трафика на соединении.
• Скорость (Мбит/сек.) – скорость передачи трафика через соединение в мегабитах в секунду.
• Стоимость – стоимость соединения.

Действия, которые вы можете выполнить с таблицей, описаны в инструкции Работа с таблицами компонентов решения.

Указание стоимости соединения

Чтобы указать стоимость соединения:

1. Перейдите к указанию стоимости соединения одним из следующих способов:
   • Если вы хотите указать стоимость соединения, установленного с устройства CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Соединения и нажмите на кнопку Управление → Указать стоимость рядом с соединением.
   • Если вы хотите указать стоимость одного из соединений в таблице всех соединений, в меню перейдите в раздел Инфраструктура, нажмите на кнопку Управление → Меню конфигурации рядом с контроллером, перейдите в раздел Соединения и нажмите на кнопку Управление → Указать стоимость рядом с соединением.
   • Если вы хотите указать стоимость одного из соединений в графической топологии со всеми соединениями, в меню перейдите в раздел Инфраструктура, нажмите на кнопку Управление → Меню конфигурации рядом с контроллером, перейдите в раздел Топология, нажмите на соединение и нажмите на кнопку Указать стоимость.
2. В открывшемся окне установите флажок Переопределить, чтобы указать стоимость соединения. По умолчанию флажок снят.
3. В поле Стоимость туннеля введите стоимость соединения. Если вы хотите указать такую же стоимость для встречного соединения, установите флажок Сохранить для обоих туннелей. По умолчанию флажок снят.
4. Нажмите на кнопку Сохранить.

   Стоимость соединения будет указана.

5. Если вы указали стоимость соединения, установленного с устройства CPE, в верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры устройства CPE.

Включение функции Dampening

Функция Dampening – это настраиваемый механизм, исключающий использование нестабильных соединений, состояние которых меняется слишком часто, при расчете путей. Для определения нестабильности соединений учитываются изменения следующих состояний:

• UP/LIVE → DOWN/NOT-LIVE.
• DOWN/NOT-LIVE → UP/LIVE.
• UP/LIVE → UP/NOT-LIVE.
• UP/NOT-LIVE → UP/LIVE.

Когда функция Dampening включена, каждое изменение состояния соединения, увеличивает значение показателя Penalty. Если показатель Penalty достигает порогового значения за указанный промежуток времени, доступ к соединению ограничивается (его стоимость повышается в 10 000 раз на указанный промежуток времени). Вы указываете значение каждого из этих параметров при включении функции Dampening. По умолчанию доступ к соединению возобновляется, если в течение 10 минут не происходит ни одного изменения состояния этого соединения.

Чтобы включить функцию Dampening:

1. Перейдите ко включению функции Dampening одним из следующих способов:
   • Если вы хотите включить функцию Dampening на соединении, установленном с устройства CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Соединения и нажмите на кнопку Управление → Dampening рядом с соединением.
   • Если вы хотите включить функцию Dampening на одном из соединений в таблице всех соединений, в меню перейдите в раздел Инфраструктура, нажмите на кнопку Управление → Меню конфигурации рядом с контроллером, перейдите в раздел Соединения и нажмите на кнопку Управление → Dampening рядом с соединением.
   • Если вы хотите включить функцию Dampening на одном из соединений в графической топологии со всеми соединениями, в меню перейдите в раздел Инфраструктура, нажмите на кнопку Управление → Меню конфигурации рядом с контроллером, перейдите в раздел Топология, нажмите на соединение и нажмите на кнопку Dampening.
2. В открывшемся окне установите флажок Включить, чтобы включить функцию Dampening на соединении. По умолчанию флажок снят.
3. В поле Максимальное время блокировки (мс.) введите время в миллисекундах, в течение которого доступ к соединению может быть ограничен. По истечении указанного времени все счетчики функции Dampening на соединении сбрасываются. Значение по умолчанию: 600000.
4. В поле Штраф введите число, которое прибавляется к показателю Penalty при изменении состояния соединения. Значение по умолчанию: 1.
5. В поле Порог блокировки введите значение показателя Penalty, при котором доступ к соединению ограничивается. Значение по умолчанию: 4.
6. В поле Интервал обновления (мс.) введите время в миллисекундах, за которое показатель Penalty должен набрать значение, указанное в поле Порог блокировки, чтобы доступ к соединению был ограничен. Значение по умолчанию: 120000.
7. Если вы хотите просмотреть статистику работы функции Dampening на соединении, нажмите на кнопку Загрузить статистику.
8. Нажмите на кнопку Сохранить.

   Функция Dampening будет включена на соединении.

9. Если вы включили функцию Dampening на соединении, установленном с устройства CPE, в верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры устройства CPE.

Включение функции Forward Error Correction

Функция Forward Error Correction или прямая коррекция ошибок (далее также FEC) снижает потери пакетов трафика на соединениях, особенно для UDP-приложений, и количество повторных передач пакетов (англ. retransmissions), которые ведут к задержкам, а также восстанавливает принимаемые данные на устройстве CPE. Восстановление данных обеспечивается избыточным кодированием потока данных на устройстве CPE источника.

Устройство CPE источника кодирует поток передающихся через соединение пакетов трафика и добавляет избыточные пакеты трафика. Использование кодирования на устройствах CPE может привести к задержкам, вызванным дополнительной обработкой данных.

Устройство CPE назначения буферизует принятые через соединение пакеты трафика и декодирует их, восстанавливая потерянные пакеты трафика, если это возможно. Мы рекомендуем использовать FEC на noisy links (или зашумленных соединениях) для уменьшения потери пакетов трафика и увеличения скорости TCP-соединений. Общая схема работы функции FEC представлена на рисунке ниже.

Схема работы функции FEC

Чтобы включить функцию FEC:

1. Перейдите ко включению функции FEC одним из следующих способов:
   • Если вы хотите включить функцию FEC на соединении, установленном с устройства CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Соединения и нажмите на кнопку Управление → FEC/реорганизация рядом с соединением.
   • Если вы хотите включить функцию FEC на одном из соединений в таблице всех соединений, в меню перейдите в раздел Инфраструктура, нажмите на кнопку Управление → Меню конфигурации рядом с контроллером, перейдите в раздел Соединения и нажмите на кнопку Управление → FEC/реорганизация рядом с соединением.
   • Если вы хотите включить функцию FEC на одном из соединений в графической топологии со всеми соединениями, в меню перейдите в раздел Инфраструктура, нажмите на кнопку Управление → Меню конфигурации рядом с контроллером, перейдите в раздел Топология, нажмите на соединение и нажмите на кнопку FEC/реорганизация.
2. В открывшемся окне установите флажок Переопределить, чтобы включить функцию FEC на соединении. По умолчанию флажок снят.
3. В раскрывающемся списке Степень избыточности (исходные/дополнительные пакеты) выберите соотношение между оригинальными пакетами трафика и дополнительными пакетами трафика с избыточным кодом. Значение по умолчанию: 0:0 FEC off – функция FEC не используется. Вы также можете указать соотношение между оригинальными пакетами трафика и избыточными пакетами трафика с избыточным кодом с помощью свойства контроллера topology.link.fec.ratio.
4. В поле Время введите время в миллисекундах, в течение которого пакет трафика может находиться в очереди для применения функции FEC. Диапазон значений: от 1 до 1000.
5. Нажмите на кнопку Сохранить.

   Функция FEC будет включена.

6. Если вы включили функцию FEC на соединении, установленном с устройства CPE, в верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры устройства CPE.

Определение значения MTU

Вы можете определить значение MTU на соединении, чтобы понять, почему на соединении происходит блокирование фрагментированных пакетов (см. рисунок ниже).

Соединения с пониженным размером MTU и сбросом фрагментированных пакетов

Значение MTU определяется за счет отправки LLDP-пакетов с переменным размером полезной нагрузки (англ. payload) через соединение. Минимальный определяемый размер значения MTU составляет 1280 байт, максимальный – 1500 байт. Определение значения MTU происходит автоматически при включении устройств CPE, а также с интервалом времени, указанным с помощью свойства контроллера topology.link.pmtud.scheduler.interval.sec.

Вы можете определить значение MTU вручную.

Чтобы вручную определить значение MTU,

перейдите к определению значения MTU вручную одним из следующих способов:

• Если вы хотите вручную определить значение MTU на соединении, установленном с устройства CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Соединения и нажмите на кнопку Управление → Проверить MTU рядом с соединением.
• Если вы хотите вручную определить значение MTU на одном из соединений в таблице всех соединений, в меню перейдите в раздел Инфраструктура, нажмите на кнопку Управление → Меню конфигурации рядом с контроллером, перейдите в раздел Соединения и нажмите на кнопку Управление → Проверить MTU рядом с соединением.

Значение MTU отобразится в столбце MTU.

Шифрование трафика

Шифрование трафика – это механизм, обеспечивающий безопасную передачу трафика между устройствами CPE через соединения. Например, вы можете шифровать трафик, который передается через незащищенные соединения.

Шифрование трафика не отменяет необходимости использовать другие средства защиты информации, такие как TLS, LDAPS и другие протоколы, защищающие трафик внутри наложенной сети.

Контроллер автоматически генерирует ключи для шифрования и дешифровки трафика и передает их устройствам CPE. Трафик шифруется на устройстве CPE источника с помощью ключа для шифрования. Устройство CPE назначения дешифрует трафик с помощью ключа для дешифровки.

Используемые ключи регулярно обновляются, чтобы у третьих лиц не было возможности зашифровать или дешифровать передаваемый трафик при перехватывании ключа. Вы можете указать время, по прошествии которого ключи обновляются на устройствах CPE, с помощью свойства контроллера topology.link.encryption.key.update.interval.minutes.

Шифрование трафика поддерживается только на устройствах CPE с программным обеспечением Kaspersky SD-WAN.

Если шифрование трафика включено на устройстве CPE, все соединения, построенные с использованием этого устройства CPE, передают зашифрованный трафик (включая новые соединения, которые будут построены позже). Если шифрование трафика выключено на устройстве CPE, оно передает незашифрованный трафик. При выключении шифрования трафика на устройстве CPE, которое до этого передавало зашифрованный трафик, ключи, сгенерированные контроллером для шифрования и дешифровки трафика, удаляются со всех связанных устройств CPE.

Шифрование трафика также можно включить или выключить на соединениях. Например, вы можете включить шифрование трафика на устройстве CPE, но выключить его на соединении, которое построено с использованием этого устройства CPE. При включении или выключении шифрования трафика на соединении вам нужно аналогичным образом настроить встречное соединение.

Включение шифрования трафика на устройстве CPE

Вы можете включить шифрование трафика в шаблоне CPE или на устройстве CPE. Параметры шифрования трафика, указанные в шаблоне CPE, автоматически распространяются на все устройства CPE, которые используют этот шаблон CPE.

Чтобы включить шифрование трафика на устройстве CPE:

1. Перейдите ко включению шифрования трафика на устройстве CPE одним из следующих способов:
   • Если вы хотите включить шифрование трафика в шаблоне CPE, в меню перейдите в раздел SD-WAN → Шаблоны CPE, нажмите на шаблон CPE и выберите вкладку Шифрование туннеля.
   • Если вы хотите включить шифрование трафика на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Шифрование туннеля и установите флажок Переопределить.

   Отобразится политика шифрования трафика.

2. В раскрывающемся списке Политика шифрования по умолчанию выберите одно из следующих значений:
   • Включено.
   • Выключено. Значение по умолчанию.
3. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона CPE или устройства CPE.

Включение шифрования трафика на соединении

При включении или выключении шифрования трафика на соединении вам нужно аналогичным образом настроить встречное соединение.

Чтобы включить шифрование трафика на соединении:

1. Перейдите ко включению шифрования трафика на соединении одним из следующих способов:
   • Если вы хотите включить шифрование трафика на соединении, установленном с устройства CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Соединения и нажмите на кнопку Управление → Включить шифрование рядом с соединением.
   • Если вы хотите включить шифрование трафика на одном из соединений в таблице всех соединений, в меню перейдите в раздел Инфраструктура, нажмите на кнопку Управление → Меню конфигурации рядом с контроллером, перейдите в раздел Соединения и нажмите на кнопку Управление → Включить шифрование рядом с соединением.
   • Если вы хотите включить шифрование трафика на одном из соединений в графической топологии со всеми соединениями, в меню перейдите в раздел Инфраструктура, нажмите на кнопку Управление → Меню конфигурации рядом с контроллером, перейдите в раздел Топология, нажмите на соединение и нажмите на кнопку Включить шифрование.
2. В открывшемся окне установите флажок Переопределить. По умолчанию флажок снят.
3. Установите флажок Включить шифрование, чтобы включить шифрование трафика на соединении. По умолчанию флажок снят.
4. Нажмите на кнопку Сохранить.

   Шифрование трафика будет включено на соединении.

5. Если вы включили шифрование трафика на соединении, установленном с устройства CPE, в верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры устройства CPE.