Схема подключения проходных: из двух, трех и более точек, фото, видео

Содержание

из двух, трех и более точек, фото, видео

Главная » Электрика » Как подключить проходной выключатель (управление светом из двух и более точек)

Нынешние цены на электричество заставляют задуматься об экономии там, где раньше об этом даже не думал. Например, освещение на лестнице. Неважно, в частном или многоэтажном доме — все равно платить нужно. Раньше просто оставляли свет гореть. Сегодня задумываешься о том, чтобы его выключить, но бегать вверх/вниз тоже нерадостно. Оказывается есть решение. Чтобы свет не горел постоянно, существуют схемы управления лампами из нескольких мест. То есть один или несколько светильников могут включаться и выключаться из нескольких точек. Выключатели для этого нужны особенные. Называются они проходными. Иногда встречаются названия «дублирующие» или «перекидные». Все это  — один тип электрооборудования. Отличаются от обычных большим числом контактов. Соответственно и схема подключения проходного выключателя сложнее. Тем не менее, разобраться можно.

 

Содержание статьи

Как выглядит и работатет проходной выключатель

Если говорить о лицевой стороне, то отличие единственное: едва заметная стрелочка на клавише вверх и вниз.

Как выглядит проходной одноклавишный выключатель. Видите, есть двойные стрелочки

Если говорить об электрической схеме, все тоже просто: в обычных выключателях только два контакта, в проходных (еще называют перекидными) три контакта, два из которых — общие. В схеме приличествуют всегда два или больше таких устройства, вот при помощи этих общих проводов они и коммутируются.

Разница — в количестве контактов

Принцип работы прост. Изменением положения клавиши вход подключается к одному из выходов. То есть у этих устройств только два рабочих положения:

  • вход соединен с выходом 1;
  • вход соединен с выходом 2.

Никаких других промежуточных положений нет. Благодаря этому все и работает. Так как контакт переключается из одного положения в другое, электрики считают, что правильнее их называть «переключатели».

Так что проходной переключатель — это тоже это устройство.

Чтобы не полагаться на наличие или отсутствие стрелочек на клавишах, нужно осмотреть контактную часть. На фирменных изделиях должна быть нанесена схема, позволяющая понять, какого типа оборудование у вас в руках. Она точно есть на изделиях фирм Lezard (Лезард),  Legrand (Легранд),  Viko (Вико). На китайских экземплярах они часто отсутствуют.

Так выглядит перекидной выключатель с тыла

Если такой схемы нет, смотрите на клеммы (медные контакты в отверстиях): их должно быть три. Но далеко не всегда на недорогих экземплярах та клемма, что стоит одна — это вход. Часто они перепутаны. Чтобы найти где же находится общий контакт, необходимо прозвонить контакты между собой при разных положениях клавиши. Сделать это обязательно, иначе ничего работать не будет, а само устройство может сгореть.

Вам нужен будет тестер или мультиметр. Если есть мультиметр, переводите его в режим звука — он пищит при наличии контакта. Если в наличии стрелочный тестер, прозваниваете на короткое замыкание. Ставите щуп на один из контактов, находите с каким из двух он звонится (прибор пищит или стрелка показывает КЗ — отклоняется вправо до упора). Не меняя положение щупов, изменяете положение клавиши. Если КЗ пропало, один из этих двух — общий. Теперь осталось проверить который. Не переключая клавишу передвигаете один из щупов на другой контакт. Если есть КЗ, то тот контакт, с которого щуп не двигали и есть общий (это вход).

Может станет понятнее, если посмотрите видео о том,  как найти вход (общий контакт) для проходного выключателя.

Как подключить варочную панель написано тут, а про установку и включение водонагревателя — в этой статье.

Схема подключения проходного выключателя с двух мест

Такая схема удобна в двухэтажном доме на лестнице, в проходной комнате, в длинном коридоре. Можно применить ее и в спальне — выключать верхний свет у входа и возле кровати (сколько раз приходилось вставать, чтобы его включить/выключить?).

Электрическая схема включения проходного выключателя с 2 мест

Ноль и земля (если есть) заводятся сразу на светильник. Фаза подается на выход первого переключателя, вход второго заводится на свободный провод светильника, выходы двух устройств соединяются между собой.

Глядя на эту схему, несложно понять, как работает проходной выключатель. В том, положении, что на рисунке, светильник включен. Нажав на клавишу любого из устройств, цепь разрываем. Точно также, при выключенном положении, переведя любой из них в другое положение мы замкнем цепь через одну из перемычек и лампа загорится.

Чтобы было понятнее, что и с чем соединять, как прокладывать провода, приведем несколько изображений.

Расключение проводов на проходном выключателе

Если говорить о помещении, то прокладывать провода нужно примерно так, как на фото ниже. По современным правилам все они должны находится на расстоянии 15 см от потолка. Укладываться они могут в монтажные коробы или лотки, концы проводов заводятся в монтажные коробки. Это удобно: при необходимости можно заменить пробитый провод. Также по последним нормам все соединения происходят только в монтажных коробках и при помощи контакторов. Если же делаете скрутки, то лучше их пропаять, а сверху хорошенько замотать изолентой.

Возвратный провод лампы подсоединяется ко выходу второго выключателя. Белым обозначены провода, соединяющие между собой выходы обоих устройств.

Как разводятся провода по помещению

Как все соединить в клеммной коробке рассказано в видео.

Как самому подключить люстру читайте тут. 

Схема на 3 точки

Чтобы иметь возможность включать/выключать свет с трех мест, необходимо к двум выключателям купить перекрестный (крестовой) переключатель. От описанных ранее он отличается наличием двух входов и двух выходов. Он переключает сразу пару контактов. Как все должно быть организовано, смотрите на рисунке. Если разобрались с тем, что выше, понять эту просто.

Электрическая схема управления лампой с трех точек

Как собрать такую схему? Вот порядок действий:

  1. Ноль (и заземление, если есть) заводится сразу на лампу.
  2. Фаза подключается ко входу одного из проходных выключателей (с тремя входами).
  3. Вход второго подается на свободный провод лампы.
  4. Два выхода одного трехконтактного устройства заводятся на вход перекрестного переключателя (с четырьмя входами).
  5. Два выхода второго трехконтактного устройства заводятся на вторую пару контактов переключателя с четырьмя входами.

Та же схема, но уже в другом ракурсе — куда подключать провода на корпусах.

Куда подключать провода

А вот примерно так разводить по помещению.

Проводка при управлении лампой из трех мест

Если вам нужна схема на четыре, пять и боле точек, то отличается она только количеством перекрестных переключателей (на четыре входа/выхода).

Выключателей (с тремя входами/выходами) всегда в любой схеме два — в самом начале и в самом конце цепи. Все остальные элементы — перекрестные устройства.

Схема подключения проходных выключателей на 5 точек

Уберете один «перекрестник»,  получите схему управления из четырех точек. Добавите еще — будет уже схема на 6 мест управления.

Чтобы окончательно уложить все в голове, посмотрите еще это видео.

О правилах соединения проводов в распределительной коробке читайте тут.

Двухклавишный проходной выключатель: схема подключения

Чтобы с нескольких мест управлять освещением двух ламп (или групп ламп) с одного выключателя есть двухклавишные проходные выключатели. Они имеют шесть контактов. При необходимости общие провода находите по тому же принципу, как и в обычном устройстве этого типа, только прозванивать придется большее количество проводов.

Схема подключения 2-х клавишного проходного выключателя отличается только тем, что проводов будет больше: фаза должна подаваться на оба входа первого выключателя, также как и с двух входов второго должна уходить на две лампы (или две группы ламп, если речь идет о многорожковой люстре).

Принцип подключения двухклавишных проходных выключателей

Если необходимо организовать управление двумя источниками света из трех и более точек, придется в каждой точке ставить по два перекрестных переключателя: двухклавишных их просто нет. В этом случае одна пара контактов заводится на один перекрестник, вторая — на другой. И дальше, при необходимости они между собой соединяются. На последний в цепи двухклавишный переходной выключатель подключают выходов обоих перекрестников.

Как организовать управление двумя лампами из четырех мест

Если вдуматься, все не так уж и сложно, а схема подключения проходного выключателя из 2-х точек, так вообще простая. Только проводов много…

Проходной выключатель схема подключения на 3 точки

Любой выключатель в помещении располагается таким образом, чтобы им было удобно пользоваться, даже в темноте. Никто ведь не устанавливает его в дальнем конце комнаты, он должен быть на входе, «под рукой». Исключение составляет коридор или прихожая. Если выключатель установлен на входе в квартиру, то как погасить свет, когда вы выходите из коридора? Приходится возвращаться к его началу, а затем идти в темноте: это небезопасно.

Если ваша прихожая или коридор достаточно длинные, можно установить двойной или даже тройной проходной выключатель. Все точки будут равнозначными, при включении (выключении) любой клавиши, соответственно загорается (гаснет) освещение.

Единственное неудобство: у таких приспособлений нет фиксированного положения «вкл» или «выкл». Все зависит от соседних коммутационных блоков. То есть, запоминать: «вверх» — включить, а «вниз» — выключить, бессмысленно.

Разумеется, никакой магии тут нет. Схема подключения проходного выключателя с 3-х мест отработана, и успешно реализуется своими руками. Единственное условие — придется купить специальные коммутационные блоки, и достаточный запас проводов. Каждый проходной выключатель оснащен инструкцией, в которую входит схема подключения на 3 точки. На тыльной стороне обязательно присутствует маркировка с различными способами подключения.

Общие принципы работы проходных выключателей

Чтобы понять, как работает схема, рассмотрим основные ее элементы на примере двух точек включения (самая распространенная):

  1. Вместо выключателя в классическом понимании (прибор, размыкающий цепь), используется переключатель. То есть, с одной стороны два контакта, а с другой — один. При этом фаза (которая подается на светоточку), не коммутируется на один из выходов, а наоборот, заводится на оба контакта, с одной стороны.
  2. Цепь будет замкнутой в том случае, когда оба переключателя находятся в одном положении. То есть, или обе клавиши вверх, или обе клавиши вниз. Один из коммутаторов условно считается входным, на него приходит фазный питающий провод. В зависимости от положения клавиши, напряжение подается на один из выходных контактов, которые в свою очередь соединяются со входной парой второго коммутатора (выходного). На схеме хорошо видно, в каком случае цепь замкнута, а в каком разомкнута.
  3. Практически это работает следующим образом: вы подходите к началу коридора, включаете освещение. Пройдя до конца, вы с помощью второго коммутатора гасите свет. Двигаясь в обратном направлении, вы просто переводите клавиши в другое положение, сохраняя тот же алгоритм.

На предыдущей схеме было показано, как организовать схему с помощью распределительной коробки. Это правильный способ, но он приводит к перерасходу кабеля: линии дублируются, появляются дополнительные клеммные группы. Соединить переключатели можно напрямую, если позволяет конфигурация комнаты.

Система работает так же точно, только вам придется протянуть горизонтальный провод между выключателями. При этом не нужно монтировать распределительную коробку и прокладывать «лишние» провода.

Подключение проходных переключателей с 3-х мест

Если вы разобрались с принципом работы двухточечной схемы, проще будет понять подключение в одну цепь сразу 3 коммутационных устройств. Довольно часто требуется смонтировать проходной выключатель с трех мест. Например, большая прихожая с выходом в три коридора, длинный проход с ответвлением посередине. Или лестница на второй и третий этажи, с общим освещением пролетов. В каждой точке должен быть коммутатор, с помощью которого можно управлять одной светоточкой. Разумеется, требуется соблюдение общего правила: включив освещение в одном месте, вы можете погасить его в любом другом.

При такой организации питания, одинаковые устройства не подойдут. В крайних точках (это условное понятие, только для реализации схемного решения) устанавливаются переключатели. Так же, как и в двухточечной схеме. В центре монтируется так называемый проходной коммутатор с 4 контактами.

Важно! Если переключатели можно использовать как в многоточечной, так и в классической схеме, проходные выключатели имеют одно предназначение.

При таком подключении крайние коммутаторы работают по схеме двух точек, но включение света также зависит от положения проходного переключателя. Принципиальное отличие от двухточечной системы — свет зажигается не только в том случае, когда крайние выключатели находятся в разных положениях. Проходной коммутатор перенаправляет фазу от верхнего контакта входного выключателя на нижний контакт выходного, и наоборот. Для наглядности изобразим фазный провод разными цветами:

  1. Все клавиши в положение «вниз», свет не горит. Включаем коммутатор №1: по черной линии, фаза проходит через всю цепь, источник света зажигается.
  2. Далее нам необходимо погасить свет в районе выключателя №2. Переводим клавишу в положение «вверх», (№1 также вверху), черная линия размыкается, на входе красной линии фазы нет. Свет погас.
  3. Переводим клавишу выключателя №3 в положение «вверх». Замыкается цепь красной линии, свет зажегся. Для того, чтобы он погас, достаточно перевести любой из коммутаторов в другое положение.

Схема выглядит несколько мудрено, однако работает исправно, и главное — безопасно. Все манипуляции происходят лишь с фазным концом, замыкание исключено. Опять же, можно выполнить монтаж с помощью распределительной коробки, или напрямую соединить коммутаторы проводами. Во втором случае, экономия кабеля налицо.

Если возникнет необходимость создания дополнительных точек включения, используются проходные коммутаторы с 6 контактами.

Количество таких устройств неограниченно, схема подачи электроэнергии работает по такому же принципу. Любой из коммутаторов может подать напряжение на световую точку, либо выключить свет.

Трехклавишный проходной выключатель

Такой коммутатор на самом деле проходным не является, и не может быть использован в схеме освещения с несколькими точками включения. Многие начинающие электрики (не профессиональные) путают эти понятия, и пытаются организовать проходную схему на трехклавишнике.

Монтажная схема явно дает понять, что проходное включение невозможно. Фазный провод на входе один, никакого перебрасывания линии на так называемые «крайние» коммутаторы не будет.

Обычно с помощью таких выключателей организовывают сложную многоуровневую схему освещения на люстре. Однако можно подключить к нему несколько световых точек:

  • В одной комнате (или коридоре) — для освещения разных рабочих зон. При этом источники света могут быть различной мощности.
  • В разных комнатах, на каждую клавишу заводится отдельный светильник.

При этом важно соблюдать главный принцип: размыкается фазный проводник, ноль постоянно заведен на источник света.

Итог

Если вам не совсем понятен принцип сложных коммутаций, просто соедините провода по одной из предложенных схем. При первом включении обязательно используйте защитный автомат: в случае ошибки он защитит цепь от короткого замыкания.

Видео по теме

Проходной выключатель – схема подключения на 3 точки

Раньше всё было проще, жили в стандартных домах со стандартной электроосветительной сетью. Зашли в комнату, нажали клавишу выключателя, свет появился, при выходе обратно отключили. Сейчас всё чаще в городских квартирах и загородных домах интерьер проектируют дизайнеры, а у них может быть такое видение вашего будущего жилища, что весьма актуальным станет вопрос управления одними и теми же светильниками из нескольких мест. В таком случае на помощь придёт проходной выключатель. Схема подключения на 3 точки считается не слишком сложной и при этом максимально комфортной. Поговорим о ней более подробно, когда и где она применяется, как подключить всё самому и что для этого потребуется?

Где применить такую схему?

Проходные выключатели придумали для того, чтобы на одни и те же осветительные приборы (или их группы), размещённые в длинных коридорах или больших по площади помещениях, можно было подавать и снимать напряжение из разных точек.

Схема подключения проходного выключателя именно из трёх мест чаще всего используется при следующих обстоятельствах:

  1. Когда имеются длинные коридоры, откуда есть выходы в несколько разных комнат или помещений. На входе в такой коридор освещение включается одним выключателем, а дальше где-то посередине установлен второй, а в конце помещения третий коммутационный аппарат. С их помощью можно отключать освещение из той точки, где вы находитесь на данный момент, а не возвращаться для этого в начало коридора.
  2. В загородных домах для освещения приусадебного участка или двора. Например, при выходе из дома установлен один переключатель, которым включаются светильники во дворе. А два других установлены на каких-то дворовых постройках (гараж, сарай), дойдя до которых можно отключить освещение.
  3. В многоквартирных домах на три этажа. При входе на первый этаж включили свет во всём подъезде, поднявшись на второй либо третий этаж, отключили. В данном случае схема подключения проходных выключателей позволяет существенно экономить электричество, ведь зачастую бывает, что свет в подъездах горит сутками напролёт.
  4. Когда большая детская комната имеет несколько спальных мест. Всего устанавливается три выключателя: один при входе в комнату, два других возле детских кроватей. Зайдя в спальню, ребёнок включает свет, доходит до своего спального места, ложится в кровать и отключает освещение.
  5. В загородных домах с помощью проходного выключателя с трёх мест можно управлять освещением лестничных пролётов или маршей. Один аппарат установлен внизу в начале лестницы, при подъёме им включается освещение всего марша. Поднявшись на второй этаж, установлен другой выключатель, с помощью которого свет отключается. А третий расположен выше, где лестница подходит к чердаку, чтобы поднявшись туда отключить освещение всего марша и не наматывать лишние киловатты, пока вы будете заниматься своими делами в чердачном помещении.

Вариантов на самом деле ещё очень много, мы рассмотрели самые популярные, но и из этого видно, насколько схема подключения проходного выключателя с 3-х мест сделает нашу жизнь комфортнее.

Схема коммутации

В чём особенность?

Внешне проходной коммутационный аппарат похож на обыкновенный, но это пока не начнёте внимательно изучать его устройство.

У обычного аппарата есть два контакта – входной и выходной, при нажатии на клавишу они замыкаются или размыкаются между собой, таким образом создавая электрическую цепь либо разрывая её.

У проходного выключателя три контакта – один общий входной и два на выходе. Внутри контактной части расположен перекидной элемент, который никогда не находится в промежуточном положении посередине. При нажатии на клавишу, происходит его переключение на одну или на вторую цепь, таким образом он соединяет общий входной контакт с одним либо с другим выходящим.

Вариант тройного контроля освещения предусматривает использование перекрёстного выключателя. Его конструктивная особенность в том, что имеется четыре контактные точки (две входных и две выходных).

Подключение перекрёстного выключателя всегда выполняется посередине между проходными. Одна пара его контактов соединяется с выходящими контактами первого проходного устройства, вторая пара соответственно с выходящими контактами другого проходного переключателя.

Имейте в виду, что при подключении выключателей из 3 разных мест на одну группу освещения, все три коммутационных аппарата дублируют действия друг друга. В связи с этим у их клавиш не будет чётко обозначенных положений «включено», «отключено», всякий раз они могут находиться в разных позициях.

Принцип работы проходного и перекрестного выключателей подробно и доступно показан в видео от Алексея Земскова:

Что потребуется?

Для производства электромонтажных работ приобретите такие материалы:

  • распределительная коробка;
  • осветительный прибор;
  • проходные выключатели – 2 шт.;
  • перекрёстный переключатель;
  • подрозетники – 3 шт.;
  • 2-х, 3-х и 4-х жильный провод.

Также при работе у вас под рукой всегда должны быть такие инструменты:

Электрическая коммутация

Перед началом работ не забывайте о своей безопасности, отключите автомат питающей сети, проверьте, что отсутствует напряжение, и только потом приступайте к монтажным и коммутационным действиям с электропроводкой.

В распределительную коробку должно подходить пять проводов:

  • 2-х жильный – ноль и фаза от питающей сети;
  • 2-х жильный – ноль и фаза от осветительного прибора;
  • 3-х жильный – от одного проходного выключателя;
  • 3-х жильный – от второго проходного выключателя;
  • 4-х жильный – от перекрёстного выключателя.

Если ваш светильник конструктивно должен заземляться, то понадобится провод с тремя жилами и для подключения осветительного прибора, и для питающей сети (фаза, земля и ноль).

Каждое соединение необходимо выполнять в распределительной коробке, это удобно – в одном месте коммутировать сразу несколько участков электропроводки. Сама коробка выполняет функцию промежуточного звена между питающей сетью и проходными переключателями.

А теперь давайте подключаться, нет ничего сложного, главное, будьте внимательны:

  1. Сначала соединяется нулевой провод из питающей сети с нулевой жилой провода, идущего на светильник.
  2. Фазный провод из питающей сети соедините с жилой, идущей на общий входящий контакт первого проходного выключателя.
  3. Теперь пара проводов от выходящих контактов первого проходного выключателя подключается к любой одной паре проводов перекрёстного аппарата.
  4. Абсолютно аналогичная коммутация производится и со вторым проходным выключателем. Его пара проводов от выходящих контактов соединяется с оставшейся парой проводов перекрёстного аппарата.
  5. Осталось соединить фазу светильника с жилой общего входящего контакта на втором проходном выключателе.

Произведите соответствующие подсоединения жил на контактах переключателей и в патроне осветительного прибора (фаза и ноль).

Советуем, сначала опробовать работу собранной схемы, а потом только изолировать места скруток, дабы точно увидеть, что всё сделано верно. Включите автомат от источника питания, и опробуйте действие переключателей. Любым из трёх коммутационных аппаратов лампочка включается, и отключается. Всё действует правильно? Тогда завершайте работы. Снова отключите напряжение, заизолируйте места скруток при помощи изоленты, закрепите защитные крышки и клавиши на выключателях.

Аналогичным образом выполняется схема подключения двухклавишного проходного выключателя, только в этой ситуации понадобится установить два перекрёстных устройства.

Можно подключать в схему управления светильниками и четвёртый переключатель, и пятый, тогда получится контролировать ещё большее пространство, например подъездное освещение многоэтажного дома. Конечно, в таких случаях схема будет сложнее. Но если вы поняли сам принцип на рассмотренной схеме управления из трёх мест, справиться с большим количеством точек у вас тоже получится.

Подборка видео

В этом видео показана работа двух проходных и перекидного выключателей на специально собранном стенде:

Еще одно подробное описание той же схемы, только выключатели соединяются напрямую:

И практический пример — монтаж трех выключателей в длинном коридоре:

Схема подключения проходного выключателя: Инструкция +Видео

Проходной выключатель: как подключить, особенности, разновидности. Перед тем, как выбрать и определиться с покупкой, стоит все-таки узнать – что такое проходной выключатель, для чего он требуется и в чем его отличительная особенность от стандартных одно-, двух- и трехклавишных переключателей. Одноклавишный выключатель проходного типа требуется для того, чтобы управлять лишь одной линией или контуром  для освещения из разных точек, которые расположены в нескольких частях квартиры или коттеджа. Получается, что одним выключателем при входе в коридор или комнату вы будут включать освещение, а другим, расположенным в ином месте, то же самое освещение сможете выключить.

Обычно подобное часто практикуется в спальной комнате, когда человек заходит в спальню и включает свет возле двери. Далее можно прилечь и у изголовья или тумбы отключить свет. В двухэтажных домах все проще – включите лампочку на первом этапе, поднимитесь по лестнице и сможете отключить свет со второго этажа.

Общие сведения

Подбор, конструкции и отличия выключателей проходного типа

Перед тем, как собирать подобную схему для управления, требуется обратить внимание на такие моменты:

  1. Для монтажных работ проходного типа выключателя требуется трехжильный кабель – NYМ 3*1.5 мм2 или ВВГнг-Ls 3*1.5 мм2.
  2. Не старайтесь собрать такую схему на выключателях обычного типа.

Основное отличие стандартных от проходных переключателей заключается в том, сколько в них контактов. Простые одноклавишник имеют лишь две клеммы, чтобы подключать провода (выход и вход), а проходного типа целых три! На обычном же электрическая цепь освещения или замкнута, или нет, и третьего просто не дано.

Обратите внимание, что проходной вариант лучше именовать не элементом для выключения, а переключателем, потому что конкретно он переключает электрическую цепь с одного работающего контакта на второй.

По внешнему виду спереди они могут казаться одинаковыми, но на клавише переходного элемента может быть значок, который состоит их вертикальных треугольников. Постарайтесь не перепутать их с элементами перекидного или перекрестного типа (о них подробнее поговорим дальше). У таких треугольники смотрят в исключительно горизонтально. Зато  со второй стороны можно заметить разницу – у проходного элемента 1 клемма сверху, а снизу расположены сразу две.

У обычного 1 сверху и столько же снизу. Большинство людей путают по этим параметрам переключатели с одноклавишными выключателями, но двухклавишные тут точно не подойдут, хотя тоже имеют 3 клеммы. Есть существенная разница в работе контактов. При замыкании одного контакта у проходного типа переключателя автоматически замыкается второй, а вот у двухклавишников подобной функции нет.  При этом обратите внимание, что предварительное положение, когда две электрические цепи разомкнуты, у проходного вовсе нет.

Подробности вопроса

Подключение переключателя

В первую очередь требуется правильно подключать сам выключатель в подрозетнике, и для этого стоит снять клавишу, а кроме них еще и рамки накладного типа. В разобранном виде вы сразу заметите три клеммы для контактов. Самой главной задачей является найти из них общую. На высококачественных изделиях с внутернней стороны обязательно есть схема, и если вы разбираетесь в этом, то сможете с легкостью сориентироваться по ней. Если же вы приобрели бюджетную модель, или любая электрическая схема является для вас еще тем дремучим лесом, то на помощь придет обычный тестер китайского происхождения в режиме прозвонки цепи (можно использовать даже индикаторную отвертку на батарейке).

При помощи щупов на тестере следует попеременно касаться всех контактов и искать тот, на котором тестер начнет «пищать» или покажет «0» при любых положениях клавиши ВКЛ и ВЫКЛ. все куда проще сделать при помощи индикаторной отвертки. После того, как будет найдена общая клемма, на нее следует подключить фазу с кабеля питания. На остальные клеммы стоит присоединить два остальные провода. Причем какой из них куда пойдет не имеет значения. Выключатель следует собрать и закрепить в подрозетнике. Это один из этапов подключения проходного выключателя. Со вторым следует проделать все то же самое – найти общую клемму, подключить на нее проводник фазного типа, который будет идти на осветительный прибор и на оставшиеся подсоединить другие жилы.

Схема подключения выключателя проходного типа в распределительной коробке

Теперь самое главное, это правильно выполнить сборку схемы в распределительной коробке. В нее должны входить четыре трехжильных кабеля:

  • Питание с автомата освещения распределительного щита.
  • Кабель на первый переключатель и на второй.
  • Кабель на люстру или другой осветительный прибор.

При подключении проводов удобнее ориентироваться по цветной маркировке. Если будет трехжильный кабель ВВГ, то у нее самыми распространенными цветами является белый/серый (это фаза), синий («ноль») и желто-зеленый (это земля). Есть и другой вариант – фаза белая/серая, «ноль» коричневый, а земля черная. Начинается сборка с нулевых проводников. Требуется соединить нулевую жилу с кабеля вводного автомата и ноль, который отходит на светильник в одну точку при помощи клемм ваго. Далее требуется соединить все заземляющие жилы, если у вас есть проводник для заземления. Аналогично, как и с нулевыми проводами, «землю» следует объединить с вводного кабеля с «землей» кабеля, который отходит на освещение. Этот провод нужно подключить к корпусу светильника.

Остается правильно и без ошибок выполнить подключение фазных проводников. Фазу с вводного кабеля следует присоединить к фазе уходящего провода на общую клемму первого переключателя. Общий же провод со второго переключателя следует при помощи отдельного зажима ваго соединить с фазной жилой провода на освещение. Когда все будет выполнено, останется лишь соединить между собой отходящие жилы с двух выключателей между собой, и при этом не играет роли, как именно вы будете их соединять. Допускается даже перепутать цвета, но все-таки лучше, если вы будете придерживаться расцветки, чтобы в будущем не запутаться. На этом можно считать, что схема полностью собрана, подать напряжение и проверить освещение.

А теперь отметьте себе основные правила, которые стоит для себя запомнить:

  • Фаза с автомата должна идти на общий проводник переключателя №1.
  • Эта же фаза должна выходить с общего проводника второго выключателя на осветительный прибор.
  • Остальные два проводника вспомогательного типа следует соединить между собой в распределительной коробке.
  • Земля и ноль должны подаваться напрямую без выключателей сразу на лампы.

Теперь стоит поговорить об управлении освещением при помощи новых выключателей.

Перекидные выключатели – управление с трех/четырех мест

Что же делать в том случае, когда вы хотите управлять одним освещением из трех или четырех точек? Тогда с цепи будет еще третий и четвертый переключатель. Казалось, требуется купить лишь еще один проходной элемент, но все не так просто. Здесь не подойдет выключатель с тремя клеммами, потому что соединяемых проводов в распределительной коробке будет четыре. Здесь очень кстати будет применение перекидного, или как его еще называют, крестового/промежуточного/перекрестного выключателя. Его ключевое отличие состоит в том, что у него четыре выхода – два снизу и столько же сверху. Его устанавливают как раз в промежутке между двумя проходными. Начать стоит с распаечной коробки, в ней следует найти два второстепенных провода от второго и первого переключателя. Нужно рассоединить их и подключить между ними перекидной шнур. Те провода, что расположены с первого, подключите на вход, а те, что идут на второй – к клеммам выхода. Схему подключения проходного выключателя следует всегда проверять, потому что часто бывает так, что выход и вход у них расположен на одной стороне.

Естественно, что не нужно запихивать сам перекидной провод в распаечную коробку, хватит и того, что вы заведете туда концы от четырехжильного кабеля. А сам выключатель следует разместить в любом удобно для вас месте – возле кровати, в середине коридора и прочее. Свет можно переключать и выключать со всех точек. Главным достоинством системы является то, что вы можете изменять ее до бесконечности и добавлять сколько угодно выключателей перекидного типа. Проходных будет всего два (в конце и начале), а в промежутке между ними будет хоть 13 перекидных.

Полезные сведения

Ошибки при подключении

При этом этапе поиска и подключения основной клеммы в проходном выключателе совершают ошибку. Многие почему-то не проверяют схему и наивно полагают, что общая клемма – это та, где лишь один контакт. Если собрать схему таким образом, то переключатели будут неправильно  работать, потому что все они зависят друг от друга. Помните о том, что на разных выключателях общий контакт может быть где угодно! Лучше всего его вызвонить «вживую», при помощи индикаторной отвертки или тестера. Чаще всего с такой проблемой можно столкнуться при замене или монтаже переключателей от разных фирм. Если ранее все работало, а после замены схемы перестала функционировать, значит, вы перепутали провода.

Еще может быть и такой вариант, что новый переключатель совсем не  проходной. Также важно помнить о тои, что подсветку внутри изделия не может влиять на принцип переключений. Еще одной популярной ошибкой является неправильное подключение перекрестных провода, когда оба кабеля с первого проходного переключателя усаживают на верхние контакты, а со второго на верхние. Между тем у крестовых выключателей механизм переключений и схема несколько отличаются, и подключать провода требуется крест-накрест.

Недостатки

Первый недостаток заключается в том, что нет конкретного положения клавиш ВЫКЛ или ВКЛ, которые есть в стандартных. Если перегорела лампа и ее следует заменить, то при подобной схеме можно не сразу понять, включен свет или выключен. Будет неприятно, когда при замене лампа может попросту взорваться около глаз. В таком случае самым простым и безопасным способом будет отключение автомата освещения в щитке. Вторым недостатком является большое число соединений в распаечных коробках. Чем больше у вас световых точек, тем больше их количество в распределительной коробке. Подключение кабеля по схемам без распаечных коробок уменьшит число соединений, но может в несколько раз увеличить или расход кабеля, или число жил. Если у вас проводка идет под потолок, то потребуется оттуда опускать провод для каждого переключателя, а после поднимать вверх. Лучший вариант здесь – использование реле импульсного типа.

схема подключения проходного выключателя с 2х мест и более

Каждый владелец квартиры или дома желает максимально комфортно проводить время в своем жилище и сделать своё нахождение в помещении беззаботным и удобным. Большое количество разных осветительных приборов в совокупности с большой площадью жилых помещений может привести к неудобству включения и выключения света при переходе из одной комнаты в другую. На помощь в решении этой проблемы и для упрощения жизни были придуманы проходные выключатели.

Зачем нужны проходные выключатели?

Проходные выключатели – решение, которое достаточно давно и с успехом применяется при устройстве освещения. С их помощью можно включать и выключать один и тот же осветительный прибор из нескольких точек помещения. Благодаря этому, например, человек вошедший в коридор может включить свет в начале и выключить, когда будет выходить из него в другой части этого помещения.

Существуют и другие способы, позволяющие упростить управление светом в разных частях помещения (датчики, сенсоры), но преимуществом проходных выключателей является простота монтажа, надежная работа при любых условиях и относительная дешевизна этого решения.

Подобные способы широко применяют как в загородных домах, так и в жилых помещениях многоквартирных домов. В зависимости от привычек и потребностей жителей помещения проходные выключатели могут монтироваться в коридорах, у входа в комнаты, у кроватей или мест отдыха и в других местах по желанию.

Принцип работы и отличия проходных выключателей от обычных

Принцип работы стандартных настенных выключателей освещения основан на разрыве или соединения питающей фазы.

Обратите внимание! Согласно правилам ПУЭ разрывать в выключателе необходимо именно фазу, а не ноль.

Это важно для безопасной эксплуатации осветительных приборов и отсутствие напряжения на них при выключении с помощью выключателя. Обычный выключатель имеет два контакта: один для подключения питающей фазы и другой для подключения осветительного устройства. При этом переключатель имеет два положения: «включено» и «выключено».

Проходной выключатель имеет такой же размер и внешний вид (под любой интерьер и цветовые решения), но конструктивно несколько отличается от обычного: он не имеет положения «выключено» и имеет 3 контакта для подключения отходящих проводников. Такое устройство монтируется попарно с другим выключателем такого же типа. В проходном выключателе не происходит разрыв цепи, а выполняется перекидывание фазы с одного контакта на другой.

Принципиальные электрические схемы управления освещением

Рассмотрим схемы установки выключателей для одного прибора в разных точках помещения, а также управление несколькими группами осветительных приборов из нескольких мест.

Схема управления освещением с двух мест: два проходных выключателя

Для включения осветительных приборов из двух мест собирается система из двух проходных одноклавишных выключателей и проводников необходимой длины. К осветительному прибору подводится нулевой провод. А к первому выключателю, на его входной контакт, подводят фазу. Два контакта выхода первого выключателя соединяются с двумя выходами второго выключателя. А от входа второго выключателя тянут фазу к осветительному прибору.

Например, мы имеем два выключателя. Условно назовем их Вкл1 и Вкл2. Каждый из них имеет по три контакта: №1, №2, №3 и №1’, №2’, №3’ соответственно. Тогда на контакт №1’ Вкл2 подключается фазный провод, а к контакту №1 Вкл1 провод от осветительного прибора. Контакты №2 и №2’ соединяются друг с другом, то же самое делают и с контактами №3 и №3’. Именно в этом и состоит принцип перекидывания фазы с одних контактов на другие, а, следовательно, и возможность работы проходных выключателей.

Данная схема представлена для включения света из двух мест. Схемы для систем из трех, четырёх и более мест выглядят сложнее, но принцип работы остается неизменным.

Схема управления освещением с трёх и более мест: использование перекрёстных выключателей

Метод включения лампочек из трех и более мест отличается тем, что в схему добавляется специальный перекрестный переключатель. Конструктивно такое устройство имеет два контакта на входе и два контакта на выходе, что позволяет ему перекидывать контакты. Он может располагаться в любой удобной точке помещения между двумя одинарными проходными выключателями. Фаза подводится на входной контакт первого проходного выключателя, два его выхода подключаются к выходам перекрестного переключателя. От двух оставшихся выходов переключателя провода тянут к выходам второго выключателя, а от его входа подключают осветительный прибор (на который уже подключен нулевой проводник). Звучит сложно, но на самом деле устроено достаточно просто.

Независимое управление двумя и более лампочками: схемы подключения двух и трёхклавишных проходных выключателей

Иногда возникает необходимость управления несколькими лампами из разных точек помещения. Для этого не имеет смысла устанавливать на каждую лампу отдельные проходные выключатели, потому что можно воспользоваться двухклавишными или трехклавишными вариантами. Двухклавишные проходные выключатели имеют в конструкции два входа и четыре выхода, трехклавишные – три входа и шесть выходов.

Согласно плану расположения осветительных приборов, производится монтаж проводки, распределительных коробок и подготовка точек (подрозетников) для установки выключателей. Подключение схоже с проходными выключателями для одного осветительного прибора. При этом, ввиду сложности устройства такой системы и большого количества проводников, лучше всего производить подключение ориентируясь на заранее нарисованную схему и план расположения осветительных приборов.

Если же требуется включать две группы осветительных приборов из трех точек, то используют два двухклавишных проходных выключателя и один двойной перекрестный переключатель. Такой переключатель имеет восемь контактных групп: четыре используются для одного осветительного прибора и четыре – для другого.

Рекомендации по монтажу

Проходные выключатели – удобный способ управления светом в просторных жилых помещениях. Но несмотря на то, что схема их подключения достаточно легкая, все же определенные знания и навыки в электротехнике при установке лишними точно не будут.

Самый сложный процесс, который предстоит монтажнику – это устройство скрытой проводки к будущим точкам монтажа выключателей и осветительным приборам от распределительных коробок. Для такого вида работ необходим навык штробления стен и специальный инструмент (штроборез с алмазными дисками, перфоратор, промышленный пылесос). Завершая работы по укладке электрического кабеля, обязательно тестируют все линии на предмет обрывов и правильности подключения, а для этого понадобится мультиметр с прозвонкой.  А вот любые выключатели, в том числе и проходные, окончательно монтируют только после завершения всех чистовых отделочных работ.

При выборе проходных выключателей лучше всего ориентироваться на именитых иностранных производителей электротехнической продукции: Legrand, ABB, Sneider Electric. Но если бюджет ограничен, то можно приобрести и отечественные варианты.

И самое главное, помните: электричество – опасно для жизни, все работы производите только при отключённом электропитании и с соблюдением правил электробезопасности!

меры безопасности и ошибки при монтаже

Содержание статьи:

Одноклавишные модели проходных переключателей позволяют управлять одной системой освещения с нескольких мест. Дублирующие устройства от стандартных отличаются большим количеством контактов. Правильная схема подключения проходного выключателя позволит создать коммуникации с независимым управлением.

Конструкция и отличия перекидных выключателей

Маркировка переключателя

Проходной переключатель применяется для включения и выключения света из разных концов комнаты или коридора. Активация источников света обычно осуществляется около входа в помещение, а отключение – из другой зоны.

Дублирующие модели внешне могут выглядеть как стандартные переключатели. На лицевой подвижной стороне имеется маркировка в виде стрелок, направленных вверх-вниз. Если у стандартного выключателя есть один вход и один выход, то у перекидного их по два. Подобный конструктивный прием исключает разрыв тока – он перенаправляется на выход.

Перекидные изделия имеют 3 медных контактных клеммы. Под корпусом можно посмотреть схему подсоединения. У простого выключателя – двухжильная коммутация, у проходного – трехжильная, для перенаправления напряжения с контакта на контакт.

Подключать для одного источника света нужно парные приборы, с подводом к каждому фазы и нуля. Изменяя положение кнопки, пользователь обеспечивает замыкание цепи – лампа загорится. Размыкание фазного кабеля происходит при выключении – свет тухнет.

Клавиши в одном положении – свет включен. В разных положениях – выключен.

Параметры выбора

Таблица степеней защиты

Перед приобретением коммутирующего устройства необходимо принять во внимание:

  • тип управления – клавиша, сенсор или пульт ДУ;
  • способ установки – монтаж осуществляется накладным (открытая проводка, на дюбель-саморезы) и встроенным (скрытая проводка, в подрозетниках на распорках) методом;
  • совместимость с источниками света – для люминесцентных ламп подойдут модели Х и АХ, для лампочек накаливания – А;
  • степень защиты – в спальнях допускается устанавливать коммутаторы с IP03, в ванных – с IP04-IP05, на улице – с не ниже IP55;
  • контактные зажимы – промежуточный аппарат оснащается винтовыми фиксаторами с прижимными пластинами или безвинтовым крепежом.

Подсоединение коммутирующих изделий производится на трехжильный провод с сечением 1,5 мм2.

Где применяется подобная система управления освещением

Применение перекидного выключателя в длинном коридоре

Проходной выключатель увеличивает комфорт и возможности управления одним светильником или группой ламп из нескольких мест. Технология применяется в квартирах, общественных зданиях и частных домах:

  • Лестничные пролеты. Маршевый светильник включается внизу, а выключается вверху человеком после подъема по ступенькам. Схема позволяет установить реле времени, чтобы отключение света производилось автономно.
  • Длинные коридоры. Удобный вариант для жителей частных домов. Если необходимо выйти из помещения, используется переключатель в начале, чтобы лампочка загорелась. После преодоления коридора достаточно отключить свет нажатием клавиши другого прибора.
  • Проходные комнаты. Включение лампы осуществляется возле дверного проема. Зайдя в другую комнату, пользователь не возвращается обратно – линия обесточивается сразу же.
  • Спальни. Свет включается у двери, а выключается рядом с кроватью.

Электросхема актуальна для подземных переходов, в подъездах.

Подсоединение промежуточного выключателя

Поиск общей клеммы индикаторной отверткой

Перед подключением переключателя нужно найти схему с обратной стороны. Далее понадобится:

  1. Снять с изделия кнопку и накладную рамку.
  2. После разборки найти 3 клеммы контактов и выбрать общую согласно схеме на корпусе.
  3. При отсутствии обозначений или их непонимании можно воспользоваться тестером или отверткой с индикатором.
  4. Щупами мультиметра прикоснуться ко всем контактам и найти тот, при касании к которому аппарат запищит, выдаст нулевое значение при включении или выключении клавиш.
  5. Индикаторной отверткой проделать аналогичный тест.
  6. К общей клемме подсоединить фазу от кабеля питания.
  7. Остальные клеммы подкинуть к двум оставшимся проводникам.

Дублирующее устройство подключается аналогичным образом.

Схема подключения кабелей ПВ в распределительном коробе

Схемы установки перекидного выключателя

Важным этапом является сборка схемы проходного выключателя в распредкоробе. На нее заходят 4 провода с 3-мя жилами – кабель питания от автомата управления светом с распредщитка, кабель на 1-й и 2-й переключатель, кабель на источник света.

В процессе работ нужно ориентироваться на цвет провода:

  • фаза – белый/серый;
  • ноль – синий/коричневый;
  • земля – желто-зеленый/черный.

Сборка предусматривает следующий пошаговый алгоритм:

  1. Соединение нейтральной жилы, идущей от кабеля ввода автомата и нуля, отходящего к светильнику клеммами.
  2. Подсоединение всех жил земли при наличии заземляющего проводника. Земля от ввода подкидывается на землю отвода клеммами.
  3. Подключение заземления к корпусу осветительного прибора.
  4. Сцепка фазы от кабеля ввода с фазой от уходящего кабеля и крепление их на общей клемме в 1-м переключателе.
  5. Сцепка общего провода 2-го переключателя с фазой кабеля освещения клеммой.
  6. Соединение второстепенных отходящих жил выключателей № 1 и № 2.
  7. Подача напряжения и тестирование конструкции.

Придерживайтесь цветовой маркировки, чтобы потом не запутаться.

Особенности подключения одноклавишного переключателя с двух точек

Схема переключателя, управляемого с двух мест, предусматривает использования парных приборов, завод проводов светильника и трехжильных кабелей выключателей в распредкороб. Для работ будут нужны отвертки (индикаторная, плоская, крестовая), канцелярский ножик, бокорезы, перфоратор, уровень и рулетка.

Требования к подключению

Процесс установки переключателей предусматривает штробление стен

Правильный процесс установки предусматривает:

  • функционирование переключателей в паре – они должны дублировать друг друга;
  • штробление стены при скрытой укладке или использование лотков/коробов при открытой проводке;
  • завод концов кабелей в монтажные короба и соединение контакторами;
  • применение 5 кабелей – 1 для запитки от автомата, 3 для выключателей и 1 для освещения;
  • использование трехжильного медного провода сечением 2,5 мм2;
  • вывод нуля и земли на лампу непосредственно;
  • направление коричневого фазного провода через переключатели на осветительный прибор;
  • подкидывание выключателей в разрыве кабеля фазы.

Фаза через выключатель нужна для безопасности ремонта или замены светильников.

Алгоритм подключения

Перед началом работ нужно обесточить электросеть

Схема подключения проходного выключателя на 2 точки реализуется следующим образом:

  1. Обесточивание помещения через щиток.
  2. Проверка наличия напряжения индикаторной отверткой.
  3. Удаление с концов проводов изоляционного покрытия.
  4. Поиск фазного кабеля индикаторной отверткой.
  5. Фиксация фазного провода с одним из проводов (белым или красным) коммутатора при помощи скрутки.
  6. Соединение проводов между собой нулевыми клеммами.
  7. Подкидывание отдельного провода от выключателя №2 на светильник.
  8. Скрутка кабеля от светильника с нулевым в распределительном коробе.

Скрутку пропаивают и обматывают изолентой.

Характеристики сенсорных моделей выключателей

Сенсорный проходной выключатель

Сенсорный переключатель источников света коммутирует ток посредством высокомощного транзистора или тиристора. Сигнал для открытия или закрытия гаджета подается с датчика, реагирующего на внешний раздражитель.

В качестве сенсора используются два типа датчиков – акустические или движения. Существуют модели с емкостными датчиками, реагирующими на касания с 1-3 см. Управление приборами осуществляется дистанционно, что повышает их функциональные возможности.

Внешне сенсорный одноклавишный переключатель имеет вид гладкой стеклянной панели. Световая индикация заметна в момент подключения. Красный цвет отображает включение, голубой – отключение. К приборам могут подключаться лампы накаливания или газоразрядные. Группа из сенсорного выключателя и светодиодного светильника работает со сбоями, но проблема устраняет посредством специального адаптера.

Основные ошибки при подключении

Одной из ошибок подключения является неправильный выбор общей клеммы

В процессе сборки синхронной конструкции начинающие мастера делают несколько ошибок:

  • Использование более 2-х переходных выключателей. Увеличиваются затраты на кабель и распредкоробки.
  • Неправильный выбор общей клеммы. Элемент с одним контактом может быть где угодно. Для его поиска нужно сделать прозвонку мультиметром или индикаторной отверткой.
  • Перепутанные провода. Проблема возникает при монтаже устройств разных производителей.
  • Неправильное подключение перекрестных моделей. Два кабеля прибора № 1 ставят на верхние контакты, а прибора № 2 – на нижние. Нужно произвести расключение и поставить их крест-на-крест.

По подсветке нельзя идентифицировать перекрестный тип коммутатора.

Минусы проходного переключателя

Недостаток проходных выключателей – отсутствие конкретного положения клавиши ВКЛ/ВЫКЛ, которое есть в обычных

Несмотря на качество управления светом и повышение комфорта проживания в квартире или доме дублирующие коммутаторы имеют недостатки:

  • Нет маркировки выключения и включения клавиш, как у стандартных моделей. По этой причине невозможно определить, когда перегорела лампа. Для ее замены обесточивается автомат света через щиток.
  • Большое количество скруток в распредкоробе. Число соединений зависит от количества светоточек. Можно уменьшить скрутки, подключив кабель напрямую, но это увеличит его метраж. Для потолочных светильников понадобится провести провод вверх, опустить вниз, соединить с переключателем и снова вывести наверх. Проблему решит импульсное реле, через которое будет проходить кабель.
  • Лампы с разных точек одновременно не включаются и не отключаются.

Несущественные минусы практически не отражаются на качестве работы приборов. Если схема переключателя реализуется своими руками, в первое время пользователь может путаться.

Удобство переключателей проходного типа экономит время на возврат из одного конца комнаты в другой, чтобы выключить свет. Все модели выглядят аккуратно, стильно, при правильном подключении прослужат несколько лет.

Решено: Количество одновременных подключений, отображаемых в CPView U …

У меня вопрос о количестве одновременных подключений, отображаемых в утилите CPView.

Утилита CPView прекрасная и для большинства моих коллег очень простая и нестабильная утилита для быстрой проверки производительности. Обычно мы используем кластерное решение, и я должен признать, что то, что мы видим на активных и резервных узлах в отношении подключений, довольно запутанно. Когда SecureXL активен, он показывает только активные соединения на узле STANDBY, но не всю сводку синхронизированных соединений из таблицы соединений.

Активный узел:

Резервный узел:

Эта ситуация верна в соответствии с sk103496:

Симптомы

  • Количество одновременных подключений к энергосистеме меньше, чем показано в CP показано в выходных данных « fw ctl pstat » или в выходных данных команды « fw tab -t connections -s ».

  • Количество одновременных подключений, отображаемое в CPView Utility, различается в зависимости от того, включен или отключен SecureXL.

Причина

Команда « fwaccel stats » (счетчик « C total conns ») показывает соединения в модуле SecureXL FWAccel.
Команда « fw ctl pstat » (счетчик « Concurrent Connections ») показывает соединения в модуле FW.

Утилита CPView предназначена для отображения фактического количества подключений, которые в настоящее время проходят через шлюз безопасности. Этот счетчик настраивается в соответствии с тем, какой модуль ядра Check Point обрабатывает трафик:

  • Когда SecureXL включен , CPView Utility показывает подключения от модуля SecureXL FWAccel (выполните команду fwaccel stats | grep “C total conns “)
  • Когда SecureXL отключен , CPView Utility показывает подключения от модуля FW (запустите команду fw tab -t connections -s и обратитесь к столбцу #VALS )

Разница в количестве подключений при включении или отключении SecureXL связана с тем, что:

  • SIM-модуль SecureXL не показывает , а не определенные подключения – e.g., подключения синхронизации ClusterXL.
  • Модуль FW не , а не показывает определенные соединения – например, отложенные соединения.

Кроме того, большая разница между выводом команды « fwaccel conns -s » и выводом « fwaccel stats | grep «C total conns» ‘связано с тем, что команда’ fwaccel conns -s ‘показывает как клиент-серверные соединения и , так и сервер-клиент, а команда’ fwaccel stats grep "C total conns" ‘| сжимает эти соединения в одно соединение .

Решение

Исправление не требуется; система функционирует так, как задумано.

По крайней мере, для меня имеет смысл видеть равные параллельные соединения в CPView для обоих членов кластера. В этом случае легко увидеть, что он синхронизирован.

Вы знаете кого-нибудь, что стоит за современным дизайном?

Вы предпочитаете оставить как есть или изменить вид на равный?

Неблокирующих контрольных точек в Informix Dynamic Server

Настройте Informix Dynamic Server, чтобы воспользоваться преимуществами неблокирующих контрольных точек и RTO_SERVER_RESTART в среде онлайн-обработки транзакций

Скотт Лэшли
Опубликовано 22 марта 2007 г.

IBM Informix Dynamic Server (IDS) использует память (буферный пул , ) для кэширования обновления транзакций приложения (вставки / обновления / удаления).Это улучшает производительность резко, потому что серверу не нужно сбрасывать транзакции в стабильное хранилище (диск) при фиксации. Обновления также логически записываются в стабильное хранилище (называемое логическим журналом или журналом повтора ), так что в случае неожиданного сбоя все зафиксированные транзакции могут быть восстановлены. Когда происходит непредвиденный сбой, IDS обращается к журналу повторов и выполняет логические обновления системы в том порядке, в котором транзакции были изначально обновлены, чтобы восстановить систему до согласованного с транзакциями состояния на момент прерывания работы системы.

Bufferpool

В этом документе термин буферный пул относится к одному или нескольким буферным пулам, которые настроены для системы.

Во время нормальной работы транзакционные обновления, содержащиеся в пуле буферов, должны периодически сбрасываться на диск, чтобы IDS могла своевременно восстанавливаться после непредвиденного сбоя. Если обновления никогда не сбрасываются на диск из пула буферов, IDS должна восстановить систему, начиная с первого когда-либо выполненного обновления. Периодически сбрасывая обновления, содержащиеся в пуле буферов, на диск, IDS может ограничить количество обновлений, требуемых для воспроизведения во время быстрого восстановления.

Моменты времени, когда IDS периодически сбрасывает буферный пул на диск, известны как пунктов пропуска . Предыдущие версии IDS поддерживают алгоритм контрольной точки блокировки что заставляет систему блокировать все транзакционные обновления, пока буферный пул сброшен на диск. С введением IDS версии 9 появилась дополнительная контрольная точка. Был представлен алгоритм, получивший название Fuzzy Checkpoint. Это было введено как попытка ограничить количество обновлений, необходимых для сброса на диск во время обработки контрольной точки.К сожалению, алгоритм не полностью избавил от блокировки транзакций во время сброса пула буферов на диск. Кроме того, это привело к непредсказуемости восстановления базы данных после неожиданного сбоя.

Основной проблемой для многих администраторов баз данных IDS является определение того, как настроить контрольные точки. Приложения, чувствительные к требованиям времени отклика, настраивают очистку LRU как очень агрессивную, чтобы ограничить блокировку транзакций во время контрольной точки. Приложения, которые имеют политику целевого времени восстановления (RTO), пытаются контролировать частоту контрольных точек, чтобы ограничить время, необходимое IDS для восстановления после неожиданного сбоя.Приложения, которым требуются обе политики, обнаруживают, что они работают друг против друга. Слишком частые контрольные точки вызывают нежелательную блокировку транзакций; недостаточно частые контрольные точки подвергают IDS потенциально долгому быстрому восстановлению. Настройка сервера для соответствия обеим политикам может вызывать затруднения, особенно если рабочая нагрузка приложения переменная.

IDS, версия 11.10 представляет новый алгоритм контрольной точки, который практически не блокирует работу. Обновления транзакций блокируются на очень короткое время (обычно доли секунды), пока запускается контрольная точка.Затем транзакции могут выполнять обновления, в то время как пул буферов, содержащий все обновления транзакций, сбрасывается на диск. Если не блокировать во время очистки пула буферов, очистка LRU может быть менее агрессивной, что, в свою очередь, предоставляет приложению больше ресурсов ЦП для обработки транзакций. Кроме того, поскольку контрольные точки не блокируют транзакционные обновления, контрольные точки могут выполняться чаще, чтобы соответствовать политикам RTO.

IDS, версия 11.10 также представляет новый параметр файла ONCONFIG, RTO_SERVER_RESTART.Имя RTO_SERVER_RESTART означает перезапуск сервера целевого времени восстановления. Этот параметр конфигурации позволяет администратору баз данных указать целевое время в секундах, которое IDS может использовать во время быстрого восстановления, чтобы вернуть сервер в рабочее состояние после неожиданного сбоя. Когда параметр конфигурации RTO_SERVER_RESTART определен, IDS будет контролировать частоту контрольных точек, включая автоматическую настройку для переменных рабочих нагрузок, чтобы убедиться, что IDS может соответствовать целевому времени быстрого восстановления.

Использование параметра RTO_SERVER_RESTART ONCONFIG

В рамках обычных транзакционных обновлений (см. Рисунок 2: Анатомия транзакции) управление транзакциями IDS использует физический журнал для сохранения перед изображениями обновляемых страниц и логического журнала в записывать транзакционные обновления.На этапе восстановления физического журнала при быстром восстановлении база данных восстанавливается до физически согласованного состояния до этапа воспроизведения журнала. На этапе воспроизведения журнала применяются записи журнала, чтобы привести базу данных в транзакционно согласованное состояние во время непредвиденного сбоя.

Проблема, которая может возникнуть как часть логического воспроизведения, заключается в том, что каждая из записей журнала может генерировать ввод-вывод. Если для этого ввода-вывода требуется, чтобы страница была прочитана с диска, производительность воспроизведения журнала может быть значительно снижена. Незнание того, сколько операций ввода-вывода может произойти во время быстрого восстановления, может сделать быстрое восстановление непредсказуемым.

Чтобы сделать быстрое восстановление более предсказуемым, IDS должна контролировать количество операций ввода-вывода, которые будут происходить во время быстрого восстановления. Когда параметр конфигурации RTO_SERVER_RESTART настроен для использования, IDS использует физический журнал для сохранения дополнительных образов перед в рамках управления транзакциями с намерением, чтобы во время быстрого восстановления не происходило никаких случайных операций ввода-вывода, поскольку все страницы, необходимые для воспроизведения журнала, сначала загружается в буферный пул во время восстановления физического журнала.

Чтобы быть эффективным, параметр конфигурации RTO_SERVER_RESTART должен быть включен до создания экземпляра IDS.Включение RTO_SERVER_RESTART не повлияет на текущее быстрое восстановление; это повлияет только на следующее быстрое восстановление, если произойдет непредвиденный сбой.

PHYSFILE – Физический размер журнала

Для IDS версии 11.10 параметр конфигурации PHYSFILE (физический размер журнала) в файле ONCONFIG должен быть установлен равным 110 процентам от общего размера всех пулов буферов. Это сделано для того, чтобы обеспечить быстрое восстановление для использования всех ресурсов буферного пула для максимально быстрого восстановления базы данных для поддержания политики RTO_SERVER_RESTART.Хотя установка PHYSFILE на 110 процентов от общего размера всех пулов буферов не является требованием для корректности транзакции, она обеспечивает оптимальные ресурсы для максимальной производительности быстрого восстановления независимо от того, активен ли RTO_SERVER_RESTART или нет.

Если в системе есть огромный буферный пул, где заполнена только часть буферного пула с обновлениями лучше подойдет меньший размер физического журнала. Имея большой физический журнал также не повлияет на производительность. Обычно достаточно физического журнала размером от 1 до 4 ГБ, в зависимости от транзакционной нагрузки и скорости дисков.

Дополнительное физическое ведение журнала? Как это повлияет на производительность транзакций?

Новый алгоритм контрольной точки требует большей активности физического журнала. Это потому что алгоритм Fuzzy Checkpoint устарел. Приложения, настроенные для IDS, Версия 7.x должна практически не замечать изменений в скорости физического ведения журнала. Приложения, настроенные для алгоритма нечеткой контрольной точки, представленного в IDS версии 9.x, могут испытывать увеличение физического ведения журнала в зависимости от типа транзакций.

Когда сервер настроен с RTO_SERVER_RESTART, есть еще больше физических ведение журнала. Увеличение количества физических журналов приведет к увеличению числа контрольных точек. Это можно легко исправить, увеличив размер физического журнала. Новой функцией IDS версии 11.10 является возможность изменять размер и / или местоположение физического журнала с помощью onparams , не требуя режима ожидания или перезагрузки системы.

В худшем случае, как показал тест TPCC, резкое увеличение физического журнала, поскольку транзакции TPCC обновляют в основном данные записей и избегайте обновления индексов.После увеличения размера физического журнала было незначительное снижение производительности транзакций (менее пяти процентов) из-за дополнительной активности физического журнала. Алгоритм неблокирующей контрольной точки и снятие блокировки во время контрольных точек более чем компенсировал это снижение производительности общим чистым увеличением производительности транзакций, когда контрольные точки включены в тестовое тестирование.

Настройка контрольных точек

В предыдущих версиях IDS четыре условия могут запускать контрольную точку:

  1. Административные события, например, архивирование, добавление пространства баз данных, загрузка и завершение работы сервера с использованием команды onmode -c и т. Д. на
  2. Физический журнал заполнен на 75 процентов
  3. Одна контрольная точка в пространстве логического журнала (IDS не может перезаписать логический журнал, содержащий текущую контрольную точку, поэтому IDS запускает контрольную точку перед перемещением в этот логический журнал)
  4. Параметр конфигурации CKPTINTVL в файл ONCONFIG

С введением IDS версии 11.10 также представлена ​​новая функция, которая позволяет IDS автоматически запускать контрольные точки для поддержания RTO_SERVER_RESTART политики или поддерживать хорошую производительность контрольных точек, или и то, и другое, независимо от изменения рабочей нагрузки транзакции.

CKPTINTVL по сравнению с RTO_SERVER_RESTART

Параметр конфигурации CKPTINTVL, который определяет частоту контрольных точек, позволяет администратору баз данных настроить IDS для запуска контрольной точки через определенные промежутки времени. Этот параметр конфигурации является основным средством управления быстрым временем восстановления; однако он не принимает во внимание активность рабочей нагрузки и поэтому очень негибкий, что часто приводит к непредсказуемым результатам.

Когда IDS настроен с включенным параметром конфигурации RTO_SERVER_RESTART, IDS смотрит на прошлую производительность быстрого восстановления вместе с текущей транзакционной активностью и автоматически запускает контрольную точку, чтобы поддерживать как политику RTO_SERVER_RESTART, так и предсказуемое время отклика транзакции.

Параметры конфигурации RTO_SERVER_RESTART и CKPTINTVL являются взаимоисключающими; только один из этих параметров может быть активен одновременно. Если сервер настроен с RTO_SERVER_RESTART, CKPTINTVL игнорируется.

Когда может произойти блокировка транзакции во время контрольной точки?

Во время обработки контрольной точки транзакции продолжают потреблять ресурсы как физического, так и логического журнала. IDS не позволяет транзакциям перезаписывать физический журнал (известный как переполнение физического журнала) или логический журнал, поэтому транзакции обновления блокируются до завершения контрольной точки. Будущие контрольные точки будут учитывать производительность контрольных точек в прошлом и будут чаще запускать контрольные точки, чтобы избежать блокировки транзакций.Если контрольные точки запускаются из-за того, что в системе заканчиваются ресурсы физического или логического журнала, рассмотрите возможность увеличения этих ресурсов, чтобы уменьшить частоту контрольных точек.

Самонастраивающийся IDS

Как упоминалось выше, IDS версии 11.10 автоматически запускает контрольные точки, чтобы помочь поддерживать оптимальную производительность. IDS также включает несколько дополнительных функций автоматической настройки. Как и в случае с большинством функций, некоторые клиенты могут не захотеть ими пользоваться. Следовательно, IDS дополнительно имеет новые параметры ONCONFIG для управления использованием этих функций.

Автоматические контрольные точки

Вы можете установить параметр конфигурации AUTO_CKPTS в файле ONCONFIG, чтобы отключить автоматический запуск контрольных точек путем игнорирования прошлой работы контрольной точки. Это приводит к возврату сервера к запуску контрольных точек на основе только четырех событий, указанных выше в разделе «Настройка контрольных точек».

Вы также можете управлять автоматическими контрольными точками, используя onmode –Wm или –wf . По умолчанию автоматические контрольные точки включены.

Настройка LRU

В предыдущих версиях IDS приложения, чувствительные к транзакциям время отклика требовало агрессивной очистки LRU, чтобы уменьшить блокировку транзакций что произошло во время КПП. В IDS версии 11.10 транзакции не заблокирован во время обработки контрольной точки, и, следовательно, очистку LRU можно ослабить. Промывка LRU нужна только для замены страниц; то есть, когда новая страница, отсутствующая в пуле буферов, заменяет страницу, к которой не было доступа в течение некоторого времени.Если сервер обнаруживает условие, при котором часто используемые страницы, доступные только для чтения, заменяются, сервер автоматически сделает очистку LRU более агрессивной, чтобы поддерживать хорошую производительность.

Хорошей отправной точкой для установки параметров промывки LRU является:

  • lru_min_dirty = 70
  • lru_max_dirty = 80

Вы можете использовать параметр конфигурации AUTO_LRU_TUNING для автоматического включения LRU промывка включена или выключена. Вы также можете контролировать это (наряду с настройкой минимального значения LRU и max), используя onmode –wm .

Автоматическая настройка LRU и политика RTO

В некоторых ситуациях обработка контрольной точки не может очистить bufferpool на диск своевременно. Это может произойти из-за того, что количество транзакционная активность создает так много данных (так много грязных буферов), что подсистема ввода-вывода просто не может справиться с очисткой. Это создает ситуацию, когда очистка пула буферов во время обработки контрольной точки занимает больше времени, чем политика RTO_SERVER_RESTART. Когда это происходит, создается рекомендация по производительности.

Листинг 1. Рекомендации по производительности – очистка буферного пула
 Рекомендации по производительности: время очистки буферного пула ## больше, чем
RTO_SERVER_RESTART ##.
Результаты: сервер IDS не может соответствовать политике RTO.
Действие: автоматическая настройка более агрессивной промывки LRU.
Настройка LRU для буферного пула - id ## size ## k
Старый max ## min ## Новый max ## min ## 

Если AUTO_LRU_TUNING включен, IDS автоматически настроит сброс LRU на 10%. более агрессивный. Если AUTO_LRU_TUNING выключен, Действие сообщения Совет по производительности:

 Действие: Автоматическая настройка LRU отключена.Включите автоматическую настройку LRU или
измените промывку LRU на более агрессивную. 

Если сделать промывку LRU более агрессивной во время нормальной обработки, будет меньше буферы для очистки во время обработки контрольной точки, что позволяет своевременно завершить обработку контрольной точки. Более агрессивная очистка LRU может повлиять на производительность транзакций, поскольку некоторые циклы ЦП, используемые для транзакций, теперь будут потребляться очисткой LRU.

AIO VPs

Использование готовых фрагментов файлов становится все более распространенным.Настройка сервера с правильным количеством AIO VP может быть затруднительно. IDS, версия 11.10 будет автоматически отслеживать производительность AIO VP. Когда IDS обнаруживает, что их недостаточно AIO VP, будет добавлен новый вице-президент AIO. IDS также будет контролировать количество уборщиков потоков и добавит более чистых потоков по мере необходимости. Вы можете включить эту функцию или выключить с помощью параметра конфигурации AUTO_AIO_VPS, а также onmode –wm и -wf .

RAS_PLOG_SPEED и RAS_LLOG_SPEED

Параметры конфигурации RAS_PLOG_SPEED и RAS_LLOG_SPEED используются для хранения скорости, с которой физический и логический журнал может быть восстановлен во время быстрого восстановления.RAS_PLOG_SPEED изначально устанавливается при инициализации физического журнала. RAS_LLOG_SPEED инициализируется до 1/8 от RAS_PLOG_SPEED. Каждый раз, когда происходит быстрое восстановление, IDS обновляет эти значения, чтобы отразить реальную скорость восстановления. Единицы – количество страниц в секунду.

Почему именно параметры ONCONFIG?

Создание этих параметров ONCONFIG позволяет клиентам, которые встраивают IDS в свои приложения, предоставлять предварительно вычисленные значения, поэтому для достижения оптимальной производительности настройка не требуется.Администраторы баз данных никогда не должны изменять эти значения, если это не предписано Службой технической поддержки IBM.

Рекомендации по дополнительной настройке

Ниже приведен список параметров файла ONCONFIG, для которых могут потребоваться дополнительные настройка с введением IDS, версия 11.10:

PHYSBUFF

Значение по умолчанию для размера физического буфера журнала должно быть 128 КБ. Когда Параметр конфигурации RTO_SERVER_RESTART включен, размер физического буфера журнала по умолчанию составляет 512 КБ.Если вы решите использовать меньшее значение, IDS выдаст сообщение о том, что оптимальная производительность не может быть достигнута. Использование физического буфера журнала меньше размера по умолчанию повлияет только на производительность, но не на целостность транзакции.

LOGBUFF

Значение по умолчанию для размера буфера логического журнала – 64 КБ. Если вы решите использовать меньшее значение, будет сгенерировано сообщение о том, что оптимальная производительность может не быть достигнутым. Использование буфера логического журнала меньше 64 КБ повлияет только на производительность, но не на целостность транзакции.Если для базы данных или приложения определено использование буферизованного ведения журнала, увеличение размера LOGBUFF сверх 64 КБ повысит производительность.

LOGFILES и LOGSIZE

Трудно определить оптимальный объем пространства журнала (LOGFILES * LOGSIZE), поскольку он зависит от требований приложения и использования. Объем места для журнала действительно зависит от нескольких факторов:

  • Объем операций обновления. Для большего количества обновлений требуется больше места для журнала.
  • Точка восстановления (RPO).Какой объем потери данных можно допустить в случае катастрофического события? Делая более частое резервное копирование журналов, вы снижаете риск потери транзакций.
  • Репликация Enterprise и HDR. Обе эти службы репликации могут влиять на количество и размер файлов журнала. Если ваша система использует одну или обе эти службы репликации, обратитесь к разделам по определению размера логического журнала в руководствах пользователя IDS.

Вот несколько рекомендаций:

  • Легче управлять меньшим количеством файлов журналов большего размера, чем большим количеством файлов журналов меньшего размера.Слишком много места для журнала не повлияет на производительность, но нехватка файлов журнала и пространство журнала может повлиять на производительность из-за частого запуска контрольных точек.
  • Большие двоичные объекты пространства больших двоичных объектов не регистрируются, но они включены в резервную копию журнала, в которой был создан большой двоичный объект. Это означает, что большие двоичные объекты не освобождаются до тех пор, пока не будет создана резервная копия журнала, в котором они были созданы. Поэтому, если большие двоичные объекты пространства больших двоичных объектов часто обновляются, вам может потребоваться более частое резервное копирование журнала, чтобы получить больше свободного места в пространстве больших двоичных объектов.
  • Хорошей отправной точкой для приложений, которые генерируют небольшой объем данных журнала, является 10 файлов журнала по 10 МБ каждый. Хорошая отправная точка для приложений, создающих большой объем данных журнала – это 10 файлов журнала по 100 МБ каждый.
  • Раньше пользователи пытались настроить размер файла журнала в соответствии с RPO. политика. В устойчивом состоянии, при определенной скорости транзакций, файл журнала будет заполнить и создать автоматическую резервную копию журнала. Если нет необходимости поддерживать политику RPO, этот метод работает хорошо.Но если требуется политика RPO, лучшим методом является использование Планировщика, инструмента, который управляет и выполняет запланированные задачи обслуживания, мониторинга и администрирования (также представленные в IDS, Версия 11.10), чтобы вставить задачу, которая выполняется в желаемом частота для поддержания политики.

    С помощью Планировщика IDS может автоматически создавать резервные копии файлов журналов в определенное время в течение дневного цикла. Если пространство журнала заполняется до того, как журналы будут скопированы и переработаны, вы можете создать резервную копию журналов, вы можете добавить дополнительный файл журнала, чтобы продолжить обработку транзакции, или вы можете добавить задачу для обнаружения этой ситуации и автоматического выполнения любой операции. .

Дополнительные файлы журналов всегда можно добавить в любое время, и сервер автоматически добавит файлы журналов, когда это необходимо для согласованности транзакций, например, с длинными транзакциями, которые могут занимать большие объемы пространства журнала.

Рекомендации по производительности

IDS, версия 11.10 пытается просмотреть конфигурацию сервера и транзакцию рабочая нагрузка, чтобы определить, оптимально ли настроена система. Если IDS обнаруживает, что сервер не настроен оптимально, он генерирует рекомендацию по производительности, которая помещается в журнал сообщений ( MSGPATH ).Каждое предупреждающее сообщение обычно содержит предлагаемое изменение конфигурации, которое улучшит производительность сервера.

Ниже приведены некоторые примеры рекомендаций по производительности и их значение:

Листинг 2. Рекомендации по производительности – физический журнал слишком мал для RTO_SERVER_RESTART
 Рекомендации по производительности: размер физического журнала меньше рекомендуемого размера
для сервера, настроенного с помощью RTO_SERVER_RESTART.
Результаты. Быстрое восстановление может быть неоптимальным.
Действие: для максимальной производительности быстрого восстановления, когда включен RTO_SERVER_RESTART,
увеличьте размер физического журнала как минимум до ## Кб.Для серверов, настроенных с
большой буферный пул, это может не понадобиться. Обратитесь к IBM Informix
Руководство администратора для получения дополнительной информации. 

Обычно физический журнал должен составлять 110 процентов от общего размера объединенного буферные пулы. Это необходимо для того, чтобы при быстром восстановлении операции ввода-вывода выполнялись практически без операций ввода-вывода. вперед. Фактический необходимый размер может быть немного меньше, чем рекомендуемый размер, особенно для систем с большими буферными пулами. Этот документ содержит некоторые предложения по размеру физического журнала.

Листинг 3. Рекомендации по производительности – слишком долгое время загрузки сервера IDS
 Рекомендации по производительности: время загрузки «##» на 50 процентов больше, чем
RTO_SERVER_RESTART ##
Результаты: инициализация сервера занимает много времени, и IDS не может выполнить
RTO_SERVER_RESTART политика. Увеличьте RTO_SERVER_RESTART как минимум до ## секунд.
Действие: отключение RTO_SERVER_RESTART. 

Это утверждение происходит, когда произошел нормальный перезапуск сервера и по какой-либо причине перезагрузка сервера занимает так много времени, что невозможно поддерживать политику RTO_SERVER_RESTART.

Листинг 4. Рекомендации по производительности – физический журнал слишком мал
 Рекомендации по производительности: заканчивается место для физического журнала.
Результаты: блокировка транзакций до завершения контрольной точки.
Действие: Увеличьте размер физического журнала. 

Это утверждение может произойти, когда контрольная точка обрабатывается и физический журнал исчерпывается до критической точки, где дальнейшие транзакции могут вызвать переполнение физического журнала.

Листинг 5. Рекомендации по производительности – слишком маленький логический журнал
 Рекомендации по производительности: логическому журналу не хватает места.Результаты: блокировка транзакций до завершения контрольной точки.
Действие: Увеличьте размер логического журнала. 

Это утверждение может произойти, когда контрольная точка обрабатывается, и логический журнал исчерпывается до критической точки, когда дальнейшие транзакции могут вызвать переполнение логического журнала.

Листинг 6. Рекомендации по производительности – контрольные точки блокировки длинных транзакций
 Рекомендации по производительности: длинные транзакции запускают контрольные точки блокировки.
Результаты: блокировка транзакций до завершения контрольной точки.Действие: Увеличьте размер логического журнала. 

Длинные транзакции вызывают частые контрольные точки, и необходимо выполнить блокировку транзакций, чтобы защитить критически важные ресурсы логического журнала для обеспечения согласованности транзакций.

Листинг 7. Рекомендации по производительности – физический журнал слишком мал для очистки буферного пула
 Рекомендации по производительности: физический журнал слишком мал для размещения времени
требуется для очистки буферного пула.
Результаты: транзакции могут блокироваться во время контрольных точек.Действие: Увеличьте размер физического файла как минимум до ## КБ. 

IDS запустила обработку контрольной точки, но не может очистить пул буферов вовремя до того, как транзакция займет оставшиеся 25 процентов физического журнала. Увеличение размера физического журнала до рекомендуемого значения должно помочь решить эту проблему.

Листинг 8. Рекомендации по производительности – размер логического журнала слишком мал для очистки буферного пула.
 Рекомендации по производительности: пространство логического журнала слишком мало для учета времени
требуется для очистки буферного пула.Результаты: транзакции могут блокироваться во время контрольных точек.
Действие: Увеличьте размер пространства логического журнала как минимум до ## КБ. 

IDS запустила обработку контрольной точки, но не может очистить пул буферов до того, как транзакция потребляет оставшиеся ресурсы логического журнала. Увеличение размера логического журнала до рекомендованного значения должно помочь решить эту проблему.

Листинг 9. Рекомендации по производительности – физический журнал слишком мал для размещения автоматических контрольных точек.
 Рекомендации по производительности: физический журнал слишком мал для автоматического
контрольно-пропускные пункты.Результаты: автоматические контрольные точки отключены.
Действие: Увеличьте размер физического журнала как минимум до ## КБ. 

Если сервер может генерировать физический журнал активности быстрее, чем автоматические контрольные точки справитесь, вам следует отключить автоматические контрольные точки. Если физический журнал меньше чем 10 МБ (10000 КБ), или сервер может генерировать физический журнал активности так быстро, что контрольная точка будет создаваться примерно каждые 35 секунд, тогда автоматические контрольные точки отключаются. Это может часто происходить, когда IDS использует настройки по умолчанию в ONCONFIG.std без учета настройки сервера. Увеличение размера физического журнала до рекомендуемого значения должно решить эту проблему.

Листинг 10. Рекомендации по производительности – логический журнал слишком мал для размещения автоматических контрольных точек.
 Рекомендации по производительности: пространство логического журнала слишком мало для автоматического
контрольно-пропускные пункты.
Результаты: автоматические контрольные точки отключены.
Действие: Увеличьте пространство логического журнала как минимум до ## КБ. 

Если сервер может генерировать активность логического журнала быстрее, чем автоматические контрольные точки справитесь, вам следует отключить автоматические контрольные точки.Если логический журнал меньше чем 20 МБ (20000 КБ), или сервер может генерировать активность логического журнала так быстро, что контрольная точка будет генерироваться примерно каждые 35 секунд, автоматические контрольные точки отключены. Это может часто происходить, когда сервер IDS использует настройки по умолчанию из файла ONCONFIG.std, не обращая внимания на настройку сервера. Увеличение объема логического журнала до рекомендуемого значения должно решить эту проблему.

Контроль производительности контрольных точек

С внедрением IDS V11.1, сервер IDS теперь отслеживает работу контрольных точек. Информацию о контрольной точке можно получить из onstat или sysmaster.

Дополнительную информацию о мониторинге контрольных точек с помощью onstat -ckp и sysmaster см. В таблицах 1 и 2.

Как работают неблокирующие контрольные точки?

На рисунке 1 вы видите секрет неблокирующей контрольной точки IDS. Для справки, на рисунке используется поток журнала (логический журнал), чтобы указать течение времени. Из рисунка 2 вы знаете, что каждая транзакция вставляет записи журнала в поток журнала.Поток журнала никогда не возвращается во времени; он всегда увеличивается.

Рисунок 1. Анатомия неблокирующей контрольной точки

На рисунке 1 интервал контрольной точки 9 является текущим интервалом. В какой-то момент запрашивается контрольная точка и начинается интервал 10. Начало интервала 10 перекрывается с завершением интервала 9, в то время как интервал 9 обрабатывает контрольную точку. Когда все страницы, которые были изменены до начала интервала 10, были сброшены на диск, интервал 9 заканчивается. По окончании интервала 9 быстрое восстановление может начать восстановление с начала интервала 9.

Почему это называется неблокирующей контрольной точкой?

Обработка контрольной точки требует времени ожидания транзакции для сбора контрольной точки Информация. Продолжительность этого периода ожидания настолько мала, что, как правило, большинство транзакций никогда не блокируются по нему. Если они действительно блокируются, продолжительность периода блокировки будет очень короткой. На рисунке 1 показано сравнение периода блокировки неблокирующих контрольных точек со старым алгоритмом контрольных точек, используемым в предыдущих версиях IDS.

Рисунок 2.Анатомия транзакции

Заключение

До IDS V11.1 администрирование производительности контрольных точек иногда было сложной задачей настройки. Администраторы баз данных потратили бесчисленные часы на настройку файла ONCONFIG, чтобы добиться максимальной производительности транзакций. Некоторым администраторам баз данных IDS будет сложно доверять IDS для автоматической настройки на переменные рабочие нагрузки. Надеюсь, эта статья поможет убедить вас в том, что IDS наконец-то преодолела эту проблему обычным для IDS способом… за счет производительности и простоты.

Ресурсы для загрузки
Связанные темы
  • Cheetah beta: Получите бесплатная пробная версия “Cheetah” и участие в следующей эволюции Informix Динамический сервер.
  • developerWorks Informix Zone: читайте статьи и руководства, а также подключайтесь к другим ресурсам, чтобы расширить свои навыки работы с Informix.
  • Создайте свой следующий проект разработки с IBM пробное программное обеспечение, доступное для загрузки непосредственно с developerWorks.

QRadar: Обзор устранения неполадок CheckPoint

Решение проблемы


Обзор
Использование двоичного файла LEAPIPE2SYSLOG для устранения неполадок
Устранение неполадок – SIC pull
Устранение неполадок LEA Service
Какие порты необходимо открыть для использования OPSEC / LEA?
Устранение проблем конфигурации

Обзор


Протокол OPSEC / LEA выполняет двоичный файл, называемый leapipe2syslog, который был создан с помощью CheckPoint SDK, для получения событий межсетевого экрана из CheckPoint.По умолчанию он использует TCP-соединение с портом 18184. Полученные события загружаются в двоичный файл, а затем отправляются обратно через UDP на порт 18184, чтобы любой DSM, прослушивающий этот порт, анализировал события и пересылал их по конвейеру.

Использование двоичного файла LEAPIPE2SYSLOG для устранения неполадок


После настройки источника журнала создается файл конфигурации для передачи в двоичный файл leapipe2syslog . Протокол обычно использует этот двоичный файл в качестве демона (фоновой службы) для получения и формирования событий, но его можно запустить на переднем плане, чтобы получить представление о любых возможных проблемах с подключением.

Двоичный файл находится в « / opt / qradar / bin / leapipe2syslog », а сгенерированный файл конфигурации должен находиться в « / store / tmp » и иметь вид « leapipe_config _ ####. Conf . “.
Чтобы увидеть, как ваша конфигурация выполняется в двоичном файле, используйте следующую команду:

/ opt / qradar / bin / leapipe2syslog -vV -s /store/tmp/leapipe_config_<####>.conf

Где <####> – число, добавленное в конец имени файла.команда -vV обеспечивает подробный вывод в окно терминала.
Чтобы отправить вывод в текстовый файл для отправки, хранения или поиска, используйте следующую версию команды:

/ opt / qradar / bin / leapipe2syslog -vV -s /store/tmp/leapipe_config_<####>.conf > .txt

Проверка этого файла позволяет пользователю видеть выходные данные отладки двоичного файла leapipe. Большую часть полезной информации об отладке соединения можно найти после строки «Вызов opsec_Mainloop».

Ошибка SIC (это проблемы с сертификатами / CN / DN) или COMM FAILURE / COMM IS DEAD для проблем с каналом связи может быть замечена здесь, указывая на то, что были предоставлены неправильные параметры конфигурации.

ПРИМЕР ОШИБОК ВЫВОДА (из двоичного вывода):
A) Доверие не было инициализировано или установлено ранее. Это необходимо сбросить в SmartConsole:

Пример ошибок вывода

[6585 151541840] @ VM199-22.q1labs.lab [5 октября 10:25:33] call_handlers_list: преобразование не выполнено, установите cn = cp_mgmt, O = Контрольная точка1..example3 как sic name

[6585 151541840] @ VM199-22.q1labs.lab [5 октября 10:25:33] PM_session_init: данный сеанс O (CN = vm19922_app, O = CheckPoint1..example3; cn = cp_mgmt, O = CheckPoint1..example3; 18184; lea).
[6585 151541840] @ VM199-22.q1labs.lab [5 октября 10:25:33] PM_policy_query: сеанс ввода O (CN = vm19922_app, O = CheckPoint1..example3; cn = cp_mgmt, O = CheckPoint1..example3; 18184; ле).
[6585 151541840] @ VM199-22.q1labs.lab [5 окт., 10:25:33] PM_policy_query: правило найдено (ME; cn = cp_mgmt, O = CheckPoint1..example3; 18184; lea; sslca (1/1)).
[6585 151541840] @ VM199-22.q1labs.lab [5 окт., 10:25:33] PM_policy_query: успешно завершено. 1-й метод = sslca
[6585 151541840] @ VM199-22.q1labs.lab [5 октября 10:25:33] filter_method_array: метод аутентификации sslca не инициализирован, удалите его из результата запроса.
[6585 151541840] @ VM199-22.q1labs.lab [5 окт., 10:25:33] PM_policy_choose: успешно завершено. выберите: ОТКАЗАТЬ.
[6585 151541840] @ VM199-22.q1labs.lab [5 октября, 10:25:33] policy_choose: выбрать не удалось.
[6585 151541840] @ VM199-22.q1labs.lab [5 окт., 10:25:33] sic_client_negotiate_auth_method: сбой при выборе политики.
[6585 151541840] @ VM199-22.q1labs.lab [5 октября 10:25:33] fwasync_do_mux_in: 13: обработчик вернулся с ошибкой
[6585 151541840] @ VM199-22.q1labs.lab [5 октября 10:25: 33] sic_client_end_handler: для conn id = 13
-> [6585 151541840] @ VM199-22.q1labs.lab [5 октября, 10:25:33] opsec_auth_client_connected: сбой подключения (119)
-> [6585 151541840] @ VM199-22.q1labs.lab [5 окт., 10:25:33] opsec_auth_client_connected: Ошибка SIC для lea: клиенту не удалось выбрать метод аутентификации для службы lea
-> [6585 151541840] @ VM199-22.q1labs.lab [5 окт. : 25: 33] opsec_auth_client_connected: conn = (nil) opaque = 0x90a7e80 err = 0 comm = 0x90a8990
-> [6585 151541840] @ VM199-22.q1labs.lab [5 октября 10: 25:33] comm не удалось подключиться 0x90a8990
[6585 151541840] @ VM199-22.q1labs.lab [5 окт. 10:25:33] OPSEC_SET_ERRNO: err = 8 Связь не подключена / невозможно подключиться (pre = 0)
[6585 151541840] @ VM199-22.q1labs.lab [5 октября 10:25:33] COM 0x90a8990 получил сигнал 131075
[6585 151541840] @ VM199-22.q1labs.lab [5 октября 10:25:33] уничтожение связи 0x90a8990
[6585 151541840] @ VM199-22.q1labs.lab [5 октября 10:25: 33] Уничтожение comm 0x90a8990 с 2 активными сеансами
-> [6585 151541840] @ VM199-22.q1labs.lab [5 октября 10:25:33] Уничтожение сеанса (90ab3c8) id 3 (ent = 90a5690) Причина = SIC_FAILURE



B) Неправильный АТРИБУТ SIC в QRadar (установите только cp вместо cp_mgmt):
Сервер отвечает правильным именем правила, которое не соответствует нашей конфигурации, поэтому процесс завершается ошибкой.

Пример SIC ATTRIBUTE

[13875 150833232] @ VM199-22.q1labs.lab [5 октября 10:51:23] set_keep_alive (comm 0x88): первая настройка времени: сеанс: 3, интервал: 5000


[13875 150833232] @ VM199-22.q1labs.lab [5 октября, 10:51:23] fwasync_conn_params: ->
[13875 150833232] @ VM199-22.q1labs.lab [5 октября, 10:51:23] fwasync_connbuf_realloc: перераспределение 0 от 0 до 1028
[13875 150833232] @ VM199-22.q1labs.lab [5 октября 10:51:23] fwasync_conn_get: получить максимальный размер буфера (4194304).
[13875 150833232] @ VM199-22.q1labs.lab [5 октября 10:51:23] fwasync_connbuf_realloc: перераспределение 0 с 0 на 1028
[13875 150833232] @ VM199-22.q1labs.lab [5 октября 10:51: 23] sic_client_set_version: 13: версия протокола 5

00
[13875 150833232] @ VM199-22.q1labs.lab [5 октября 10:51:23] cpsicdemux_check_mode: server_mode = 1 | required_mode = 1
[13875 150833232] @ VM199-22.q1labs.lab [5 октября 10:51:23] fwasync_conn_get: получить максимальный размер буфера (4194304).
[13875 150833232] @ VM199-22.q1labs.lab [5 октября 10:51:23] fwasync_conn_get: получить максимальный размер буфера (4194304).
-> [13875 150833232] @ VM199-22.q1labs.lab [5 окт., 10:51:23] sic_client_handler: сервер отправил клиенту неправильное sic-имя cn = cp_mgmt , o = CheckPoint1..example3
-> [ 13875 150833232] @ VM199-22.q1labs.lab [5 окт. 10:51:23] sic_client_handler: Попытка установить соединение с sic-именем “ CN = cp , O = CheckPoint1..example3″ ,
, но коллега говорит его оригинальное имя – “cn = cp_mgmt, o = CheckPoint1..example3 “.
[13875 150833232] @ VM199-22.q1labs.lab [5 окт. 10:51:23] fwasync_do_mux_in: 13: обработчик вернулся с ошибкой
[13875 150833232] @ VM199-22.q1labs.lab [5 окт. 10:51:23] sic_client_end_handler: для conn id = 13
-> [13875 150833232] @ VM199-22.q1labs.lab [5 октября 10:51:23] opsec_auth_client_connected: сбой подключения (111)
-> [ 13875 150833232] @ VM199-22.q1labs.lab [5 окт. 10:51:23] opsec_auth_client_connected: Ошибка SIC для lea: одноранговый узел отправил неправильный DN: cn = cp_mgmt, o = CheckPoint1..example3
[13875 150833232] @ VM199-22.q1labs.lab [5 октября 10:51:23] opsec_auth_client_connected: conn = (nil) opaque = 0xd8 err = 0 comm = 0x

88
[13875 150833232] @ VM199-22. q1labs.lab [5 окт. 10:51:23] Comm не удалось подключиться 0x88
-> [13875 150833232] @ VM199-22.q1labs.lab [5 окт 10:51:23] OPSEC_SET_ERRNO: err = 8 Связь не установлена подключен / Невозможно подключиться (pre = 0)
[13875 150833232] @ VM199-22.q1labs.lab [5 октября 10:51:23] COM 0x88 получил сигнал 131075
[13875 150833232] @ VM199-22.q1labs.lab [5 окт. 10:51:23] уничтожение comm 0x88
[13875 150833232] @ VM199-22.q1labs.lab [5 окт 10:51:23] Уничтожение comm 0x88 с 2 активными сессиями
[13875 150833232] @ VM199-22.q1labs.lab [5 окт., 10:51:23] Удаление сеанса (b8) с идентификатором 3 (ent = 900aa80), причина = SIC_FAILURE
[13875 150833232] @ VM199-22.q1labs.lab [5 окт., 10:51 : 23] ИДЕНТИФИКАТОР СЕССИИ: 3 отправляет DG_TYPE = 3

C) ПЛОХОЕ ИМЯ ПРИЛОЖЕНИЯ (установлено vm1992_app вместо vm19922_app):
Сервер пытается найти метод аутентификации для неправильно названного приложения.Когда это происходит, CheckPoint не инициализируется и не работает.

Пример неверного имени приложения

[20565 166664272] @ VM199-22.q1labs.lab [5 октября 10:54:23] call_handlers_list: преобразование не выполнено, установите CN = cp_mgmt, O = CheckPoint1..example3 как sic имя


[20565 166664272] @ VM199-22.q1labs.lab [5 октября 10:54:23] PM_session_init: данный сеанс O (CN = vm1992_app, O = CheckPoint1..example3; CN = cp_mgmt, O = CheckPoint1. .example3; 18184; lea).
[20565 166664272] @ VM199-22.q1labs.lab [5 окт., 10:54:23] PM_policy_query: сеанс ввода O (CN = vm1992_app, O = CheckPoint1..example3; CN = cp_mgmt, O = CheckPoint1..example3; 18184; lea).
[20565 166664272] @ VM199-22.q1labs.lab [5 окт. 10:54:23] PM_policy_query: правило найдено (ME; CN = cp_mgmt, O = CheckPoint1..example3; 18184; lea; sslca (1/1) ).
[20565 166664272] @ VM199-22.q1labs.lab [5 октября 10:54:23] PM_policy_query: успешно завершено. 1-й метод = sslca
-> [20565 166664272] @ VM199-22.q1labs.lab [5 октября 10:54:23] filter_method_array: метод аутентификации sslca не инициализирован, удалите его из результата запроса.
-> [20565 166664272] @ VM199-22.q1labs.lab [5 октября 10:54:23] PM_policy_choose: успешно завершено. выберите: ОТКАЗАТЬ.
-> [20565 166664272] @ VM199-22.q1labs.lab [5 октября 10:54:23] policy_choose: выбрать не удалось.
[20565 166664272] @ VM199-22.q1labs.lab [5 окт, 10:54:23] sic_client_negotiate_auth_method: сбой при выборе политики.
[20565 166664272] @ VM199-22.q1labs.lab [5 окт, 10:54:23] fwasync_do_mux_in: 13: обработчик вернулся с ошибкой
[20565 166664272] @ VM199-22.q1labs.lab [5 окт. 10:54:23] sic_client_end_handler: для conn id = 13
[20565 166664272] @ VM199-22.q1labs.lab [5 окт. 10:54:23] opsec_auth_client_connected: сбой подключения (119)
- > [20565 166664272] @ VM199-22.q1labs.lab [5 окт. 10:54:23] opsec_auth_client_connected: ошибка SIC для lea: клиенту не удалось выбрать метод аутентификации для службы lea
[20565 166664272] @ VM199-22 .q1labs.lab [5 окт, 10:54:23] opsec_auth_client_connected: conn = (nil) opaque = 0x9f230e0 err = 0 comm = 0x9f25a30
[20565 166664272] @ VM199-22.q1labs.lab [5 окт. 10:54:23] Comm не удалось подключиться 0x9f25a30
[20565 166664272] @ VM199-22.q1labs.lab [5 окт. 10:54:23] OPSEC_SET_ERRNO: err = 8 Связь не подключена / не работает для подключения (pre = 0)
[20565 166664272] @ VM199-22.q1labs.lab [5 окт. 10:54:23] COM 0x9f25a30 получил сигнал 131075
[20565 166664272] @ VM199-22.q1labs.lab [5 окт. 10:54:23] уничтожение comm 0x9f25a30
[20565 166664272] @ VM199-22.q1labs.lab [5 окт 10:54:23] Уничтожение comm 0x9f25a30 с 2 активными сессиями
-> [20565 166664272] @ VM199-22.q1labs.lab [5 окт. 10:54:23] Уничтожение сеанса (9f28508) id 3 (ent = 9f22ef0) cause = SIC_FAILURE

Если ваш источник журналов CheckPoint работает, он останется активным и продолжит распечатывать журналы. Если ваш источник журнала CheckPoint не работает, он закроется, и журналы остановятся. Для отображения сбоев связи и выхода из журнала может потребоваться минута.

Устранение неполадок - SIC pull

Если вы не можете получить сертификат, вот наиболее частые причины:

  1. Неверный одноразовый пароль для получения сертификата.
  2. Политика не установлена. Если это было так, вам нужно будет сбросить объект и из Smart Dashboard перейдите в Политика, Установить. Также опубликуйте изменения и установите в базу данных, чтобы убедиться, что все обновлено.
  3. Порт 18210 и 18184 не открыт. Вы можете проверить, открыты ли эти порты, с помощью сеанса tcpdump. Например, в командной строке введите команду
    tcpdump -nnAs0 -i eth0 порт 18210 и порт 18184 .

Если они не открыты, пожалуйста, просмотрите раздел «Мои записи SIC кажутся правильными, но я получаю ОТКАЗ, используя аутентификацию sslca» для настройки правил межсетевого экрана.

Примеры успешного и неудачного извлечения сертификата.

Успешное извлечение сертификата из /var/log/qradar.log

root @ example tmp # cat opsec_cert_192.0.2.X.log


Полное имя объекта sic:
CN =, O = (as определено в конфигурации источника журналов)
Сертификат успешно создан и записан в "/opt/qradar/conf/opsec_cert_192.0.2.X.p12".

Неудачное получение сертификата из / var / log / qradar.log

Неуспешное извлечение сертификата (из qradar.log):


24 сентября 10:59:41 192.0.2.X [ecs] [Thread-150979] com.q1labs.semsources.sources.LEA.LEAProvider: [ ИНФОРМАЦИЯ] [НЕ: 0000006000] [192.0.2.X / - -] [- / - -] Следующее сообщение подавляется 1 раз за 300000 миллисекундSep 24 10:59:41 192.0.2.X [ecs] [Thread-150979] com.q1labs.semsources.sources.LEA.LEAProvider: [ОШИБКА] [НЕ: 0070003100] [192.0.2.X / - -] [- / - -] Не удалось получить сертификат для сервера LEA 192.0.2.X.Sep 24 10:59:41 192.0.2.X [ecs] [Thread-150979] com.q1labs.semsources.sources.LEA.LEAProvider: [INFO] [NOT: 0000006000] [192.0.2.X / - -] [- / - -] Следующее сообщение подавляется 1 раз за 300000 миллисекунд 24 10:59:41 192.0.2.X [ecs] [Thread-150979] com.q1labs.semsources.sources.LEA.LEAProvider: [ ИНФОРМАЦИЯ] [НЕ: 0000006000] [192.0.2.X / - -] [- / - -] Следующее сообщение подавляется 1 раз за 300000 миллисекундSep 24 10:59:41 192.0.2.X [ecs] [Thread-150979] com.q1labs.semsources.sources.LEA.LEAProvider: [ОШИБКА] [НЕ: 0000003000] [192.0.2.X / - -] [- / - -] Ошибка Opsec. rc = -1 err = -93 Указанный объект не существует в Cer
tificate Authority
24 сентября 10:59:41 192.0.2.X [ecs] [Thread-150979] com.q1labs.semsources.sources.LEA .LEAProvider: [INFO] [NOT: 0000006000] [192.0.2.X / - -] [- / - -] Следующее сообщение подавлено 1 раз за 300000 миллисекунд
24 сентября 10:59:41 192.0.2.X [ecs ] [Thread-150979] com.q1labs.semsources.sources.LEA.LEAProvider: [ERROR] [NOT: 0070003100] [192.0.2.X / - -] [- / - -] Не удалось получить сертификат для LEA сервер 192.0.2.X.
24 сентября 10:59:41 192.0.2.X [ecs] [Thread-150979] com.q1labs.semsources.sources.LEA.LEAS Источник: [ОШИБКА] [НЕ: 0070003100] [192.0.2.X / - - ] [- / - -] Похоже, возникла проблема конфигурации с подключением к поставщику LEA Provider 192.0.2.X .

Поиск и устранение неисправностей Служба LEA


Работает ли служба LEA?
Команда: ps -ef | grep -i lea
[root @ example tmp] # ps -ef | grep lea
root 5472 15114 0 14:20 pts / 2 00:00:00 grep lea
root 11442 1 0 Sep23 tty1 00:00:00 / sbin / mingetty --noclear tty1
корень 31840 18763 0 14:19? 00:00:00 / opt / qradar / bin / leapipe2syslog -s / store / tmp / leapipe_config_46350.conf

В файле /var/log/qradar.log вы также можете увидеть, что служба LEA запущена:

Служба LEA работает


сен 24 14:19:11 192.0.2.X [ecs] [Тема поставщика протокола OPSEC LEA: поставщик LEA 192.0.2.X] com.q1labs.semsources.sources.LEA.LEASource: [INFO] [NOT: 0000006000] [192.0.2.X / - -] [- / - - ] OPSEC LEA provider 'LEA Provider 192.0.2.X' config ok; теперь пытаюсь запустить ...
24 сен, 14:19:33 192.0.2.X [ecs] [Тема поставщика протокола OPSEC LEA: поставщик 192 LEA.0.2.X] com.q1labs.semsources.sources.LEA.LEAS Источник: [ИНФОРМАЦИЯ] [НЕ: 0000006000] [192.0.2.X / - -] [- / - -] Поставщик LEA поставщика OPSEC LEA 192.0.2. X ', сейчас работает .


Могу ли я использовать один и тот же сертификат в нескольких конфигурациях контрольных точек?

Вы можете столкнуться с проблемой, когда у вас есть два сервера, с которых вы пытаетесь получить журналы, особенно если они используют один и тот же объект Opsec. Например 10.10.x.1 и 10.10.x.2. Поскольку вы можете получить только один сертификат, вам необходимо сделать следующее:

  • Настроить 10.10.x.1 в пользовательском интерфейсе QRadar, чтобы получить одноразовый сертификат из 10.10.x.1 для объекта. В конфигурации объекта вы увидите сообщение «Доверие установлено».
  • При настройке 10.10.x.2 в пользовательском интерфейсе не пытайтесь извлечь сертификат, так как это не удастся, так как это только одноразовое извлечение. Вместо этого установите флажок «Указать сертификат» и заполните тот же сертификат, который использовался для 10.10.x.1. Это должно быть /opt/qradar/conf/opsec_cert_10.10.x.1.p12.
Как только мы выяснили, что он использует тот же объект OPSEC, мы указали сертификат для их вторичного сервера на тот же сертификат, что и их первичный сервер, и они заработали.

Какие порты нужно открыть для использования OPSEC / LEA?


Какие порты нужно открыть для использования OPSEC / LEA?
Для вытягивания сертификата вам потребуется 18210 двунаправленных
Для LEA вам потребуется 18184 двунаправленных.

Какой тип аутентификации (sslca, sslca_clear или clear) мне следует использовать?
Большинство установок будут использовать sslca. Вы можете попробовать дополнительные типы аутентификации, если они были настроены в контрольной точке, но по умолчанию вы должны использовать sslca.

Чтобы проверить конфигурацию, вы можете:

Устранение проблем конфигурации


Все мои записи SIC кажутся правильными, но я получаю ОТКАЗ, используя аутентификацию sslca.Если вы видите это сообщение PM_policy_choose: завершено успешно. выберите: DENY в выходных данных leapipe_config, этот раздел устранения неполадок может предоставить некоторые решения для решения этой проблемы.
Вернитесь к Использование двоичного файла LEAPIPE2SYSLOG для устранения неполадок в leapipe_config, если вам требуется дополнительная информация.

Пример отказа в контрольной точке

[13448 -135006528] @ example.q1labs.inc [24 сен 14:07:46] PM_policy_query: успешно завершено.1-й метод = sslca


[13448 -135006528] @ example.q1labs.inc [24 сен 14:07:46] filter_method_array: метод аутентификации sslca не инициализирован, удалите его из результата запроса.
[13448 -135006528] @ example.q1labs.inc [24 сен, 14:07:46] PM_policy_choose: успешно завершено. выберите: ОТКАЗАТЬ.
[13448 -135006528] @ example.q1labs.inc [24 сен 14:07:46] policy_choose: выбрать не удалось.
[13448 -135006528] @ example.q1labs.inc [24 сен 14:07:46] sic_client_negotiate_auth_method: сбой при выборе политики.

Проверьте конфигурацию сертификата

  1. Найдите сертификат для OPSEC. Он будет выглядеть как /opt/qradar/conf/trusted_certificates/lea/opsec_cert_.p12
  2. Выполните команду:
    keytool -list -keystore .p12 -storetype PKCS12 -v
  3. Нажмите введите, так как сертификат не имеет пароля.
  4. Результат должен выглядеть примерно так:

Пример вывода Keytool


[root @ VM199-22 lea] # keytool -list -keystore opsec_cert_192.0.2.X.p12 -storetype PKCS12 -v

Введите пароль хранилища ключей: <нажмите ENTER - без пароля>

****************** ПРЕДУПРЕЖДЕНИЕ ПРЕДУПРЕЖДЕНИЕ ПРЕДУПРЕЖДЕНИЕ **** *************
* Целостность информации, хранящейся в хранилище ключей *
*, НЕ проверена! Чтобы проверить его целостность, *
* вы должны предоставить пароль srckeystore. *
***************** ПРЕДУПРЕЖДЕНИЕ ПРЕДУПРЕЖДЕНИЕ ПРЕДУПРЕЖДЕНИЕ *****************

Тип хранилища ключей: PKCS12
Поставщик хранилища ключей: IBMJCE

Ваше хранилище ключей содержит 2 записи

Псевдоним: Example_ca
Дата создания: 5 октября 2017 г.
Тип записи: trustCertEntry

Владелец: O = CheckPoint1..example3
Издатель: O = CheckPoint1..example3
Серийный номер: 1
Действителен с: 29.06.17 9:23 до: 24.06.37 9:23
Отпечатки сертификата:
MD5: C8: B3 : 04: 6B: D3: 10: F3: E8: 49: B5: 85: 01: 89: D4: 10: F5
SHA1: 88: 29: 6C: F0: 12: 49: 1F: 2E: F5: 72 : AB: 6A: 16: 83: AB: 2B: EE: 81: FF: 33
SHA256: 89: A4: A7: 77: CB: 3B: 40: E9: 6D: 08: 6A: 95: A4: 1F : ED: D4: B8: DF: 51: 83: 44: 15: EA: 2C: D2: 28: AA: 10: F4: 10: 99: CE
Имя алгоритма подписи: SHA256withRSA
Версия: 3

Расширения:

# 1: ObjectId: 2.5.29.15 Criticality = false
KeyUsage [
DigitalSignature
Key_CertSign
Crl_Sign
]

# 2: ObjectId: 2.5.29.19 Criticality = true
BasicConstraints: [
CA: true
PathLen: 2147483647
]

**** **************************************
********** ********************************
-> Псевдоним: vm19922_app
Дата создания: 5 октября , 2017
Тип записи: trustCertEntry

-> Владелец: CN = vm19922_app, O = CheckPoint1..example3
-> Эмитент: O = CheckPoint1..example3
Серийный номер: 175cb
Действителен с: 17.10.17 10:33 до: 04.10.22 10:33
Отпечатки сертификатов:
MD5: 22: 26: 40: 61: D2: A8: 37: 14: FE: 03: 1D: 59: 87: 8F: 91: FE
SHA1: 9A: 8D: 26: 78: 53: 2B: DC: FB: C2: 22: C9: 49: 46: 20: B1: 4A: 89: A9: A2: D7
SHA256: A6: 1D: B7: DB: 2C: 08: 97: AF: 1C: 0D: 89: 38: 14: 10: B4: 6F: B2: DA: BB: 3A: 70: 85: 02: 40: 9B: 41: AE: C4: AC: 74: AA: 33
Имя алгоритма подписи: SHA256withRSA
Версия: 3

Расширения:

# 1: ObjectId: 2.5.29.31 Criticality = false
CRLDistributionPoints [
1 Точки распространения CRL:

Точка распространения: [
Имя точки распространения: [URIName:, http: // CheckPoint1: 18264 / ICA_CRL0.crl CN = ICA_CRL0, O = CheckPoint1 .. example3]
Флаги причины: null
Издатель: null
]
]

# 2: ObjectId: 2.5.29.15 Criticality = false
KeyUsage [
DigitalSignature
Key_Encipherment
]

# 3: ObjectId: 2.5.29.19 Criticality = false
BasicConstraints: [
CA: false
PathLen: undefined
]


Основные строки, которые мы проверяем:
  • Псевдоним: vm19922_app
  • Владелец: CN = vm19922_app, O = CheckPoint1..example3
  • Издатель: O = CheckPoint1..example3

Этот сертификат подходит для конфигурации OPSEC / LEA источника журнала с использованием:
  • Атрибут SIC объекта приложения OPSEC (имя SIC): CN = vm19922_app, O = CheckPoint1. .example3
  • Атрибут SIC источника журнала (имя SIC объекта): CN = cp_mgmt, O = CheckPoint1..example3

Здесь можно с уверенностью проверить OPSEC_SIC_NAME, но CN для OPSEC_ENTITY_SIC_NAME все еще необходимо проверить, но он обычно cp_mgmt.
Используя эти сведения, убедитесь, что ваша конфигурация источника журналов имеет правильное значение « O = » в полях SIC Attribute и SIC Entity.

Конфигурация межсетевого экрана


Во-вторых, настройка правила межсетевого экрана через SmartConsole является рекомендуемым первым шагом для R80 / R80.10 или любого другого сервера управления CheckPoint с включенной SmartConsole.
  1. Войдите в Smart Console
  2. Щелкните "Политики безопасности" слева.
  3. Создайте правило брандмауэра:
    Источник: <Ваш сервер контрольной точки>
    Назначение: Любые службы и приложения
    :
    https: 443
    ssh_version_2 : 22
    FW1_lea: 18184
    FW1_ica_pull: 18210
    FW1_ica_mgmt tools: 18265
    FW1_ica_services: 18264
    icap: 1344
    Установить: Цели политики
    Действие: Принять

  4. Публикация любых изменений, установка политик, установка политики
  5. Попытка подключиться к серверу из QRadar еще раз.

Внесение исправлений с помощью CLI


Наконец, если метод Smart Console не устраняет проблему, мы можем попытаться сделать это через CLI.

В некоторых случаях, даже если в файле fwopsec.conf нет другого конкретного auth_type , вам все равно может потребоваться вручную добавить sslca как auth_type из-за настроек в другом месте .

  1. Используя сеанс SSH, подключитесь к серверу управления Checkpoint и перейдите в экспертный режим.
  2. Измените каталог на $ FWDIR \ conf с помощью команды:
    cd $ FWDIR \ conf
  3. Найдите файл fwopsec.conf.
  4. Добавьте следующие строки в конец файла:
  • lea_server auth_type sslca
  • lea_server auth_port 18184
  • Перезапустите службу контрольной точки с помощью команды cpstop / cpstart, чтобы изменения вступили в силу.
  • Пример файла fwopsec.conf

    -Типичный файл fwopsec выглядит так:


    [Expert @ checkpointr75_mgmt] # cat fwopsec.conf
    #
    # (c) Copyright 1993-2011 Check Point Software Technologies Ltd.
    # All права защищены.
    #
    # Это конфиденциальная информация Check Point Software Technologies
    # Ltd., которая предоставляется только в информационных целях и для использования
    # исключительно в сочетании с авторизованным использованием Check Point Software
    # Technologies Ltd.продукты. Просмотр и использование этой информации регулируется
    #, насколько это возможно, в соответствии с условиями лицензионного соглашения
    #, которое разрешает использование соответствующего продукта.
    #
    # Этот файл по умолчанию не имеет активных записей.
    # Начиная с этой версии Check Point, цель этого файла конфигурации OPSEC
    #:
    # 1) Представить стандартную конфигурацию методов безопасности
    # и номеров портов серверов OPSEC в Check Point.
    # 2) Разрешить администратору изменять эти значения по умолчанию.
    # 3) Для настройки нестандартных методов безопасности для клиентских продуктов OPSEC.
    #
    # Примечание:
    # Чтобы изменить метод безопасности для старых серверных продуктов OPSEC, используйте
    # SmartDashboard для редактирования метода обратной совместимости серверов UFP / CVP
    #.
    #
    # Формат записи конфигурации:
    #
    #
    # Где:
    # - одно из:
    # sam_server, lea_server, ela_server, cpmi_server, uaa_server.
    # является одним из:
    # auth_port: сервер OPSEC прослушивает защищенные соединения
    # на следующем номере порта.
    # порт: сервер OPSEC ожидает сброса соединений
    # на следующем номере порта.
    # - это целочисленный номер порта:
    # 0: означает, что этот метод безопасности отключен.
    #> 0: указывает номер порта для этого метода безопасности.
    #
    # Возможно, что конкретный сервер OPSEC будет прослушивать как безопасные, так и чистые соединения
    # (на двух разных портах!).
    # Метод безопасности «clear» можно использовать только для соединений с продуктами
    # OPSEC с использованием OPSEC SDK версии 4.

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *

    Начните вводить, то что вы ищите выше и нажмите кнопку Enter для поиска. Нажмите кнопку ESC для отмены.

    Вернуться наверх