TSSLTD

User Tools

Site Tools

Trace:
tssltd:маркировка_сетевого_трафика

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
tssltd:маркировка_сетевого_трафика [2023/10/09 16:14] n.ganenkovtssltd:маркировка_сетевого_трафика [2023/10/12 19:51] (current) n.ganenkov
Line 6: Line 6:
  
 На устройстве <wrap em>МКСЗ «Diamond VPN/FW»</wrap> поддерживаются механизмы маркировки сетевого трафика. Маркировка сетевых пакетом метками DSCP позволяет классифицировать трафик по сервисам и приложениям и использовать метки для управления пропускной способности. \\  На устройстве <wrap em>МКСЗ «Diamond VPN/FW»</wrap> поддерживаются механизмы маркировки сетевого трафика. Маркировка сетевых пакетом метками DSCP позволяет классифицировать трафик по сервисам и приложениям и использовать метки для управления пропускной способности. \\ 
-Для задания маркировки в сетевых пакетах необходимо создать дополнительную цепочку фильтрации с типом «**forward**». Для создания новой цепочки необходимо подключить к устройству через web интерфейс. В главном меню выбрать пункт «**Межсетевой экран – Локальные правила**» (__//изобр. 11.d.1//__).+Для задания маркировки в сетевых пакетах необходимо создать дополнительную цепочку фильтрации с типом «**forward**». Для создания новой цепочки необходимо подключить к устройству через web интерфейс. В главном меню выбрать пункт «**Межсетевой экран – Локальные правила**». В таблице «**Локальные правила**» необходимо выбрать текущую таблицу фильтрации «**IPv4: filter**» и нажать на кнопку «**Добавить цепочку**» (__//изобр. 11.d.1//__).
  
 <WRAP center round box 100%> <WRAP center round box 100%>
-{{ :tssltd:1z.png |}}\\+{{ :tssltd:firewall_1.png | Создание цепочки с правилами фильтрации для маркировки сетевого трафика }}\\
 __//Изобр. 11.d.1. Создание цепочки с правилами фильтрации для маркировки сетевого трафика//__ __//Изобр. 11.d.1. Создание цепочки с правилами фильтрации для маркировки сетевого трафика//__
 </WRAP> </WRAP>
  
-В таблице «**Локальные правила**» необходимо выбрать текущую цепочку фильтрации «**forward (hook: forward)**» и нажать на кнопку «**Добавить цепочку**» (__//изобр. 11.d.2//__). +В новом окне «**Добавить цепочку**» в поле «**Тип цепочки правил**» необходимо задать значение «**forward**», в поле «**Название цепочки правил**» необходимо задать название «**smark**». В поле «**Приоритет**» и «**Политика**» необходимо оставить значения по умолчанию. После задания всех параметров необходимо нажать на кнопку «**Ок**» (__//изобр. 11.d.2//__). 
  
 <WRAP center round box 100%> <WRAP center round box 100%>
-{{ :tssltd:2z.png |}}\\+{{ :tssltd:firewall_2.png | Задание параметров цепочки фильтрации }}\\
 __//Изобр. 11.d.2. Задание параметров цепочки фильтрации//__ __//Изобр. 11.d.2. Задание параметров цепочки фильтрации//__
 </WRAP> </WRAP>
  
-В новом окне «**Добавить цепочку**» в поле «**Тип цепочки правил**» необходимо задать значение «**forward**», в поле «**Название цепочки правил**» необходимо задать название «**smark**». В поле «**Приоритет**» и «**Политика**» необходимо оставить значения по умолчанию. После задания всех параметров необходимо нажать на кнопку «**Ок**» (__//изобр. 11.d.3//__).+Далее необходимо изменить значение приоритета для цепочки «**forward (HOOK: FORWARD)**». Для изменения значения поля приоритет необходимо выбрать цепочку «**forward (hook: forward)**» и нажать на кнопку «**Обновить**»(__//изобр. 11.d.3//__).
  
 <WRAP center round box 100%> <WRAP center round box 100%>
-{{ :tssltd:3z.png |}}\\+{{ :tssltd:firewall_3.png | Изменение параметров цепочки фильтрации }}}\\
 __//Изобр. 11.d.3. Изменение параметров цепочки фильтрации//__ __//Изобр. 11.d.3. Изменение параметров цепочки фильтрации//__
 </WRAP> </WRAP>
  
-Далее необходимо изменить значение приоритета для цепочки «**forward (HOOK: FORWARD)**»Для изменения значения поля приоритет необходимо выбрать цепочку «**forward (hook: forward)**» и нажать на кнопку «**Обновить**». В новом окне необходимо изменить значение поля «**Приоритет**» на **1** (__//изобр. 11.d.4//__).+В новом окне необходимо изменить значение поля «**Приоритет**» на **1** (__//изобр11.d.4//__). После изменения значения необходимо нажать на кнопку «**Ок**».
  
 <WRAP center round box 100%> <WRAP center round box 100%>
-{{ :tssltd:4z.png |}}\\+{{ :tssltd:4z.png | Изменение параметра приоритет для цепочки фильтрации }}\\
 __//Изобр. 11.d.4. Изменение параметра приоритет для цепочки фильтрации//__ __//Изобр. 11.d.4. Изменение параметра приоритет для цепочки фильтрации//__
 </WRAP> </WRAP>
  
-После изменения значения необходимо нажать на кнопку «**Ок**». Для сохранения настроек необходимо нажать на кнопку «**Сохранить**» (__//изобр. 11.d.5//__).+Для сохранения настроек необходимо нажать на кнопку «**Сохранить**» (__//изобр. 11.d.5//__).
  
 <WRAP center round box 100%> <WRAP center round box 100%>
-{{ :tssltd:5z.png |}}\\+{{ :tssltd:firewall_5.png | Просмотр информации о текущих правилах фильтрации и маркировки сетевого трафика }}\\
 __//Изобр. 11.d.5. Сохранение настроек фильтрации и маркировки сетевого трафика//__ __//Изобр. 11.d.5. Сохранение настроек фильтрации и маркировки сетевого трафика//__
 </WRAP> </WRAP>
  
 В результате у нас получается две цепочку для обработки транзитного трафика. Первая цепочка «**smark**» с приоритетом – **0** будет отрабатывать первой, вторая цепочку «**forward**» с приоритетом – **1** будет отрабатывать второй. Сначала будет происходить маркировка сетевого трафика, а потом его фильтрации при наличии правил фильтрации. Маркировка сетевых пакетов будет происходить в цепочку «**smark**», фильтрация сетевых пакетов будет происходить в цепочке «**forward**».\\  В результате у нас получается две цепочку для обработки транзитного трафика. Первая цепочка «**smark**» с приоритетом – **0** будет отрабатывать первой, вторая цепочку «**forward**» с приоритетом – **1** будет отрабатывать второй. Сначала будет происходить маркировка сетевого трафика, а потом его фильтрации при наличии правил фильтрации. Маркировка сетевых пакетов будет происходить в цепочку «**smark**», фильтрация сетевых пакетов будет происходить в цепочке «**forward**».\\ 
-Далее необходимо задать правила маркировки для сетевого трафика. Для задания правил маркировки необходимо подключиться к устройству по протоколу ssh. Для отображения всех таблиц как цепочек с правилами фильтрации, так и маркировки сетевого трафика необходимо выполнить команду «**nft list ruleset**» (__//изобр. 11.d.6//__).+Далее необходимо задать правила маркировки для сетевого трафика. Для задания правил маркировки необходимо подключиться к устройству по протоколу ssh. Для отображения всех таблиц как цепочек с правилами фильтрации, так и маркировки сетевого трафика необходимо выполнить команду «**nft list ruleset**»:
  
-<WRAP center round box 100%+<code
-{{ :tssltd:6z.png |}}\\ +table ip filter { 
-__//Изобр. 11.d.6. Просмотр информации о текущих правилах фильтрации и маркировки сетевого трафика//__ +        chain input { 
-</WRAP>+                type filter hook input priority 30; policy accept; 
 +        } 
 + 
 +        chain forward { 
 +                type filter hook forward priority filter + 1; policy accept; 
 +        
 + 
 +        chain output { 
 +                type filter hook output priority 30; policy accept; 
 +        } 
 + 
 +        chain smark { 
 +                type filter hook forward priority filter; policy accept; 
 +        } 
 +
 +table ip nat { 
 +        chain prerouting { 
 +                type nat hook prerouting priority 30; policy accept; 
 +        } 
 + 
 +        chain postrouting { 
 +                type nat hook postrouting priority 30; policy accept; 
 +        } 
 +} 
 +</code>
  
 На рисунке видно, что создано две цепочки: цепочка «**smark**» с приоритетом **0** и цепочка «**forward**» с приоритетом **1**. Для маркировки сетевого пакета необходимо использовать ключевую команду «**ip dscp set <номер DSCP метки>**». На рисунке видно, что создано две цепочки: цепочка «**smark**» с приоритетом **0** и цепочка «**forward**» с приоритетом **1**. Для маркировки сетевого пакета необходимо использовать ключевую команду «**ip dscp set <номер DSCP метки>**».
tssltd/маркировка_сетевого_трафика.1696857259.txt.gz · Last modified: 2023/10/09 16:14 by n.ganenkov
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki