Маркировка сетевого трафика
На устройстве МКСЗ «Diamond VPN/FW» поддерживаются механизмы маркировки сетевого трафика. Маркировка сетевых пакетом метками DSCP позволяет классифицировать трафик по сервисам и приложениям и использовать метки для управления пропускной способности.
Для задания маркировки в сетевых пакетах необходимо создать дополнительную цепочку фильтрации с типом «forward». Для создания новой цепочки необходимо подключить к устройству через web интерфейс. В главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо выбрать текущую таблицу фильтрации «IPv4: filter» и нажать на кнопку «Добавить цепочку» (изобр. 11.d.1).
Изобр. 11.d.1. Создание цепочки с правилами фильтрации для маркировки сетевого трафика
В новом окне «Добавить цепочку» в поле «Тип цепочки правил» необходимо задать значение «forward», в поле «Название цепочки правил» необходимо задать название «smark». В поле «Приоритет» и «Политика» необходимо оставить значения по умолчанию. После задания всех параметров необходимо нажать на кнопку «Ок» (изобр. 11.d.2).
Изобр. 11.d.2. Задание параметров цепочки фильтрации
Далее необходимо изменить значение приоритета для цепочки «forward (HOOK: FORWARD)». Для изменения значения поля приоритет необходимо выбрать цепочку «forward (hook: forward)» и нажать на кнопку «Обновить». (изобр. 11.d.3).
}
Изобр. 11.d.3. Изменение параметров цепочки фильтрации
В новом окне необходимо изменить значение поля «Приоритет» на 1 (изобр. 11.d.4). После изменения значения необходимо нажать на кнопку «Ок».
Изобр. 11.d.4. Изменение параметра приоритет для цепочки фильтрации
Для сохранения настроек необходимо нажать на кнопку «Сохранить» (изобр. 11.d.5).
Изобр. 11.d.5. Сохранение настроек фильтрации и маркировки сетевого трафика
В результате у нас получается две цепочку для обработки транзитного трафика. Первая цепочка «smark» с приоритетом – 0 будет отрабатывать первой, вторая цепочку «forward» с приоритетом – 1 будет отрабатывать второй. Сначала будет происходить маркировка сетевого трафика, а потом его фильтрации при наличии правил фильтрации. Маркировка сетевых пакетов будет происходить в цепочку «smark», фильтрация сетевых пакетов будет происходить в цепочке «forward».
Далее необходимо задать правила маркировки для сетевого трафика. Для задания правил маркировки необходимо подключиться к устройству по протоколу ssh. Для отображения всех таблиц как цепочек с правилами фильтрации, так и маркировки сетевого трафика необходимо выполнить команду «nft list ruleset»:
table ip filter {
chain input {
type filter hook input priority 30; policy accept;
}
chain forward {
type filter hook forward priority filter + 1; policy accept;
}
chain output {
type filter hook output priority 30; policy accept;
}
chain smark {
type filter hook forward priority filter; policy accept;
}
}
table ip nat {
chain prerouting {
type nat hook prerouting priority 30; policy accept;
}
chain postrouting {
type nat hook postrouting priority 30; policy accept;
}
}
На рисунке видно, что создано две цепочки: цепочка «smark» с приоритетом 0 и цепочка «forward» с приоритетом 1. Для маркировки сетевого пакета необходимо использовать ключевую команду «ip dscp set <номер DSCP метки>».