| Both sides previous revisionPrevious revisionNext revision | Previous revision |
| tssltd:маркировка_сетевого_трафика [2022/10/19 11:23] – r.krestianinov | tssltd:маркировка_сетевого_трафика [2023/10/12 19:51] (current) – n.ganenkov |
|---|
| [[tssltd:общие_настройки|Вернуться к оглавлению]] | [[tssltd:общие_настройки|Вернуться к оглавлению]] |
| |
| На устройстве МКСЗ Diamond VPN/FW поддерживаются механизмы маркировки сетевого трафика. Маркировка сетевых пакетом метками DSCP позволяет классифицировать трафик по сервисам и приложениям и использовать метки для управления пропускной способности. \\ | ==== Маркировка сетевого трафика ==== |
| Для задания маркировки в сетевых пакетах необходимо создать дополнительную цепочку фильтрации с типом «forward». Для создания новой цепочки необходимо подключить к устройству через web интерфейс. В главном меню выбрать пункт «Межсетевой экран – Локальные правила» (см. рисунок 1). | |
| | |
| {{ :tssltd:1z.png |}} | |
| Рисунок 1 – Создание цепочки с правилами фильтрации для маркировки сетевого трафика | |
| |
| В таблице «Локальные правила» необходимо выбрать текущую цепочку фильтрации «forward (hook: forward)» и нажать на кнопку «Добавить цепочку» (см. рисунок 2). | <WRAP indent> |
| | |
| {{ :tssltd:2z.png |}} | |
| Рисунок 2 – Задание параметров цепочки фильтрации | |
| |
| В новом окне «Добавить цепочку» в поле «Тип цепочки правил» необходимо задать значение «forward», в поле «Название цепочки правил» необходимо задать название «smark». В поле «Приоритет» и «Политика» необходимо оставить значения по умолчанию. После задания всех параметров необходимо нажать на кнопку «Ок» (см. рисунок 3). | На устройстве <wrap em>МКСЗ «Diamond VPN/FW»</wrap> поддерживаются механизмы маркировки сетевого трафика. Маркировка сетевых пакетом метками DSCP позволяет классифицировать трафик по сервисам и приложениям и использовать метки для управления пропускной способности. \\ |
| | Для задания маркировки в сетевых пакетах необходимо создать дополнительную цепочку фильтрации с типом «**forward**». Для создания новой цепочки необходимо подключить к устройству через web интерфейс. В главном меню выбрать пункт «**Межсетевой экран – Локальные правила**». В таблице «**Локальные правила**» необходимо выбрать текущую таблицу фильтрации «**IPv4: filter**» и нажать на кнопку «**Добавить цепочку**» (__//изобр. 11.d.1//__). |
| {{ :tssltd:3z.png |}} | |
| Рисунок 3 – Изменение параметров цепочки фильтрации | |
| |
| Далее необходимо изменить значение приоритета для цепочки «forward (HOOK: FORWARD)». Для изменения значения поля приоритет необходимо выбрать цепочку «forward (hook: forward)» и нажать на кнопку «Обновить». В новом окне необходимо изменить значение поля «Приоритет» на 1 (см. рисунок 4). | <WRAP center round box 100%> |
| | {{ :tssltd:firewall_1.png | Создание цепочки с правилами фильтрации для маркировки сетевого трафика }}\\ |
| | __//Изобр. 11.d.1. Создание цепочки с правилами фильтрации для маркировки сетевого трафика//__ |
| | </WRAP> |
| |
| {{ :tssltd:4z.png |}} | В новом окне «**Добавить цепочку**» в поле «**Тип цепочки правил**» необходимо задать значение «**forward**», в поле «**Название цепочки правил**» необходимо задать название «**smark**». В поле «**Приоритет**» и «**Политика**» необходимо оставить значения по умолчанию. После задания всех параметров необходимо нажать на кнопку «**Ок**» (__//изобр. 11.d.2//__). |
| Рисунок 4 – Изменение параметра приоритет для цепочки фильтрации | |
| |
| После изменения значения необходимо нажать на кнопку «Ок». Для сохранения настроек необходимо нажать на кнопку «Сохранить» (см. рисунок 5). | <WRAP center round box 100%> |
| | {{ :tssltd:firewall_2.png | Задание параметров цепочки фильтрации }}\\ |
| | __//Изобр. 11.d.2. Задание параметров цепочки фильтрации//__ |
| | </WRAP> |
| |
| {{ :tssltd:5z.png |}} | Далее необходимо изменить значение приоритета для цепочки «**forward (HOOK: FORWARD)**». Для изменения значения поля приоритет необходимо выбрать цепочку «**forward (hook: forward)**» и нажать на кнопку «**Обновить**». (__//изобр. 11.d.3//__). |
| Рисунок 5 – Сохранение настроек фильтрации и маркировки сетевого трафика | |
| |
| В результате у нас получается две цепочку для обработки транзитного трафика. Первая цепочка «smark» с приоритетом – 0 будет отрабатывать первой, вторая цепочку «forward» с приоритетом – 1 будет отрабатывать второй. Сначала будет происходить маркировка сетевого трафика, а потом его фильтрации при наличии правил фильтрации. Маркировка сетевых пакетов будет происходить в цепочку «smark», фильтрация сетевых пакетов будет происходить в цепочке «forward».\\ | <WRAP center round box 100%> |
| Далее необходимо задать правила маркировки для сетевого трафика. Для задания правил маркировки необходимо подключиться к устройству по протоколу ssh. Для отображения всех таблиц как цепочек с правилами фильтрации, так и маркировки сетевого трафика необходимо выполнить команду «nft list ruleset» (см. рисунок 6). | {{ :tssltd:firewall_3.png | Изменение параметров цепочки фильтрации }}}\\ |
| | __//Изобр. 11.d.3. Изменение параметров цепочки фильтрации//__ |
| {{ :tssltd:6z.png |}} | </WRAP> |
| Рисунок 6 – Просмотр информации о текущих правилах фильтрации и маркировки сетевого трафика | |
| | |
| На рисунке видно, что создано две цепочки: цепочка «smark» с приоритетом 0 и цепочка «forward» с приоритетом 1. Для маркировки сетевого пакета необходимо использовать ключевую команду «ip dscp set <номер DSCP метки>». | |
| |
| | В новом окне необходимо изменить значение поля «**Приоритет**» на **1** (__//изобр. 11.d.4//__). После изменения значения необходимо нажать на кнопку «**Ок**». |
| | |
| | <WRAP center round box 100%> |
| | {{ :tssltd:4z.png | Изменение параметра приоритет для цепочки фильтрации }}\\ |
| | __//Изобр. 11.d.4. Изменение параметра приоритет для цепочки фильтрации//__ |
| | </WRAP> |
| | |
| | Для сохранения настроек необходимо нажать на кнопку «**Сохранить**» (__//изобр. 11.d.5//__). |
| | |
| | <WRAP center round box 100%> |
| | {{ :tssltd:firewall_5.png | Просмотр информации о текущих правилах фильтрации и маркировки сетевого трафика }}\\ |
| | __//Изобр. 11.d.5. Сохранение настроек фильтрации и маркировки сетевого трафика//__ |
| | </WRAP> |
| | |
| | В результате у нас получается две цепочку для обработки транзитного трафика. Первая цепочка «**smark**» с приоритетом – **0** будет отрабатывать первой, вторая цепочку «**forward**» с приоритетом – **1** будет отрабатывать второй. Сначала будет происходить маркировка сетевого трафика, а потом его фильтрации при наличии правил фильтрации. Маркировка сетевых пакетов будет происходить в цепочку «**smark**», фильтрация сетевых пакетов будет происходить в цепочке «**forward**».\\ |
| | Далее необходимо задать правила маркировки для сетевого трафика. Для задания правил маркировки необходимо подключиться к устройству по протоколу ssh. Для отображения всех таблиц как цепочек с правилами фильтрации, так и маркировки сетевого трафика необходимо выполнить команду «**nft list ruleset**»: |
| | |
| | <code> |
| | table ip filter { |
| | chain input { |
| | type filter hook input priority 30; policy accept; |
| | } |
| | |
| | chain forward { |
| | type filter hook forward priority filter + 1; policy accept; |
| | } |
| | |
| | chain output { |
| | type filter hook output priority 30; policy accept; |
| | } |
| | |
| | chain smark { |
| | type filter hook forward priority filter; policy accept; |
| | } |
| | } |
| | table ip nat { |
| | chain prerouting { |
| | type nat hook prerouting priority 30; policy accept; |
| | } |
| | |
| | chain postrouting { |
| | type nat hook postrouting priority 30; policy accept; |
| | } |
| | } |
| | </code> |
| | |
| | На рисунке видно, что создано две цепочки: цепочка «**smark**» с приоритетом **0** и цепочка «**forward**» с приоритетом **1**. Для маркировки сетевого пакета необходимо использовать ключевую команду «**ip dscp set <номер DSCP метки>**». |
| | |
| | </WRAP> |
| | |
| | [[tssltd:общие_настройки|Вернуться к оглавлению]] |
