This is an old revision of the document!
На устройстве МКСЗ Diamond VPN/FW поддерживаются механизмы маркировки сетевого трафика. Маркировка сетевых пакетом метками DSCP позволяет классифицировать трафик по сервисам и приложениям и использовать метки для управления пропускной способности.
Для задания маркировки в сетевых пакетах необходимо создать дополнительную цепочку фильтрации с типом «forward». Для создания новой цепочки необходимо подключить к устройству через web интерфейс. В главном меню выбрать пункт «Межсетевой экран – Локальные правила» (см. рисунок 1).
Рисунок 1 – Создание цепочки с правилами фильтрации для маркировки сетевого трафика
В таблице «Локальные правила» необходимо выбрать текущую цепочку фильтрации «forward (hook: forward)» и нажать на кнопку «Добавить цепочку» (см. рисунок 2).
Рисунок 2 – Задание параметров цепочки фильтрации
В новом окне «Добавить цепочку» в поле «Тип цепочки правил» необходимо задать значение «forward», в поле «Название цепочки правил» необходимо задать название «smark». В поле «Приоритет» и «Политика» необходимо оставить значения по умолчанию. После задания всех параметров необходимо нажать на кнопку «Ок» (см. рисунок 3).
Рисунок 3 – Изменение параметров цепочки фильтрации
Далее необходимо изменить значение приоритета для цепочки «forward (HOOK: FORWARD)». Для изменения значения поля приоритет необходимо выбрать цепочку «forward (hook: forward)» и нажать на кнопку «Обновить». В новом окне необходимо изменить значение поля «Приоритет» на 1 (см. рисунок 4).
Рисунок 4 – Изменение параметра приоритет для цепочки фильтрации
После изменения значения необходимо нажать на кнопку «Ок». Для сохранения настроек необходимо нажать на кнопку «Сохранить» (см. рисунок 5).
Рисунок 5 – Сохранение настроек фильтрации и маркировки сетевого трафика
В результате у нас получается две цепочку для обработки транзитного трафика. Первая цепочка «smark» с приоритетом – 0 будет отрабатывать первой, вторая цепочку «forward» с приоритетом – 1 будет отрабатывать второй. Сначала будет происходить маркировка сетевого трафика, а потом его фильтрации при наличии правил фильтрации. Маркировка сетевых пакетов будет происходить в цепочку «smark», фильтрация сетевых пакетов будет происходить в цепочке «forward».
Далее необходимо задать правила маркировки для сетевого трафика. Для задания правил маркировки необходимо подключиться к устройству по протоколу ssh. Для отображения всех таблиц как цепочек с правилами фильтрации, так и маркировки сетевого трафика необходимо выполнить команду «nft list ruleset» (см. рисунок 6).
Рисунок 6 – Просмотр информации о текущих правилах фильтрации и маркировки сетевого трафика
На рисунке видно, что создано две цепочки: цепочка «smark» с приоритетом 0 и цепочка «forward» с приоритетом 1. Для маркировки сетевого пакета необходимо использовать ключевую команду «ip dscp set <номер DSCP метки>».