[[tssltd:общие_настройки|Вернуться к оглавлению]] ==== Маркировка сетевого трафика ==== На устройстве МКСЗ «Diamond VPN/FW» поддерживаются механизмы маркировки сетевого трафика. Маркировка сетевых пакетом метками DSCP позволяет классифицировать трафик по сервисам и приложениям и использовать метки для управления пропускной способности. \\ Для задания маркировки в сетевых пакетах необходимо создать дополнительную цепочку фильтрации с типом «**forward**». Для создания новой цепочки необходимо подключить к устройству через web интерфейс. В главном меню выбрать пункт «**Межсетевой экран – Локальные правила**». В таблице «**Локальные правила**» необходимо выбрать текущую таблицу фильтрации «**IPv4: filter**» и нажать на кнопку «**Добавить цепочку**» (__//изобр. 11.d.1//__). {{ :tssltd:firewall_1.png | Создание цепочки с правилами фильтрации для маркировки сетевого трафика }}\\ __//Изобр. 11.d.1. Создание цепочки с правилами фильтрации для маркировки сетевого трафика//__ В новом окне «**Добавить цепочку**» в поле «**Тип цепочки правил**» необходимо задать значение «**forward**», в поле «**Название цепочки правил**» необходимо задать название «**smark**». В поле «**Приоритет**» и «**Политика**» необходимо оставить значения по умолчанию. После задания всех параметров необходимо нажать на кнопку «**Ок**» (__//изобр. 11.d.2//__). {{ :tssltd:firewall_2.png | Задание параметров цепочки фильтрации }}\\ __//Изобр. 11.d.2. Задание параметров цепочки фильтрации//__ Далее необходимо изменить значение приоритета для цепочки «**forward (HOOK: FORWARD)**». Для изменения значения поля приоритет необходимо выбрать цепочку «**forward (hook: forward)**» и нажать на кнопку «**Обновить**». (__//изобр. 11.d.3//__). {{ :tssltd:firewall_3.png | Изменение параметров цепочки фильтрации }}}\\ __//Изобр. 11.d.3. Изменение параметров цепочки фильтрации//__ В новом окне необходимо изменить значение поля «**Приоритет**» на **1** (__//изобр. 11.d.4//__). После изменения значения необходимо нажать на кнопку «**Ок**». {{ :tssltd:4z.png | Изменение параметра приоритет для цепочки фильтрации }}\\ __//Изобр. 11.d.4. Изменение параметра приоритет для цепочки фильтрации//__ Для сохранения настроек необходимо нажать на кнопку «**Сохранить**» (__//изобр. 11.d.5//__). {{ :tssltd:firewall_5.png | Просмотр информации о текущих правилах фильтрации и маркировки сетевого трафика }}\\ __//Изобр. 11.d.5. Сохранение настроек фильтрации и маркировки сетевого трафика//__ В результате у нас получается две цепочку для обработки транзитного трафика. Первая цепочка «**smark**» с приоритетом – **0** будет отрабатывать первой, вторая цепочку «**forward**» с приоритетом – **1** будет отрабатывать второй. Сначала будет происходить маркировка сетевого трафика, а потом его фильтрации при наличии правил фильтрации. Маркировка сетевых пакетов будет происходить в цепочку «**smark**», фильтрация сетевых пакетов будет происходить в цепочке «**forward**».\\ Далее необходимо задать правила маркировки для сетевого трафика. Для задания правил маркировки необходимо подключиться к устройству по протоколу ssh. Для отображения всех таблиц как цепочек с правилами фильтрации, так и маркировки сетевого трафика необходимо выполнить команду «**nft list ruleset**»: table ip filter { chain input { type filter hook input priority 30; policy accept; } chain forward { type filter hook forward priority filter + 1; policy accept; } chain output { type filter hook output priority 30; policy accept; } chain smark { type filter hook forward priority filter; policy accept; } } table ip nat { chain prerouting { type nat hook prerouting priority 30; policy accept; } chain postrouting { type nat hook postrouting priority 30; policy accept; } } На рисунке видно, что создано две цепочки: цепочка «**smark**» с приоритетом **0** и цепочка «**forward**» с приоритетом **1**. Для маркировки сетевого пакета необходимо использовать ключевую команду «**ip dscp set <номер DSCP метки>**». [[tssltd:общие_настройки|Вернуться к оглавлению]]