This is an old revision of the document!
Маркировка сетевого трафика
На устройстве МКСЗ «Diamond VPN/FW» поддерживаются механизмы маркировки сетевого трафика. Маркировка сетевых пакетом метками DSCP позволяет классифицировать трафик по сервисам и приложениям и использовать метки для управления пропускной способности.
Для задания маркировки в сетевых пакетах необходимо создать дополнительную цепочку фильтрации с типом «forward». Для создания новой цепочки необходимо подключить к устройству через web интерфейс. В главном меню выбрать пункт «Межсетевой экран – Локальные правила» (изобр. 11.d.1).
Изобр. 11.d.1. Создание цепочки с правилами фильтрации для маркировки сетевого трафика
В таблице «Локальные правила» необходимо выбрать текущую цепочку фильтрации «forward (hook: forward)» и нажать на кнопку «Добавить цепочку» (изобр. 11.d.2).
Изобр. 11.d.2. Задание параметров цепочки фильтрации
В новом окне «Добавить цепочку» в поле «Тип цепочки правил» необходимо задать значение «forward», в поле «Название цепочки правил» необходимо задать название «smark». В поле «Приоритет» и «Политика» необходимо оставить значения по умолчанию. После задания всех параметров необходимо нажать на кнопку «Ок» (изобр. 11.d.3).
Изобр. 11.d.3. Изменение параметров цепочки фильтрации
Далее необходимо изменить значение приоритета для цепочки «forward (HOOK: FORWARD)». Для изменения значения поля приоритет необходимо выбрать цепочку «forward (hook: forward)» и нажать на кнопку «Обновить». В новом окне необходимо изменить значение поля «Приоритет» на 1 (изобр. 11.d.4).
Изобр. 11.d.4. Изменение параметра приоритет для цепочки фильтрации
После изменения значения необходимо нажать на кнопку «Ок». Для сохранения настроек необходимо нажать на кнопку «Сохранить» (изобр. 11.d.5).
Изобр. 11.d.5. Сохранение настроек фильтрации и маркировки сетевого трафика
В результате у нас получается две цепочку для обработки транзитного трафика. Первая цепочка «smark» с приоритетом – 0 будет отрабатывать первой, вторая цепочку «forward» с приоритетом – 1 будет отрабатывать второй. Сначала будет происходить маркировка сетевого трафика, а потом его фильтрации при наличии правил фильтрации. Маркировка сетевых пакетов будет происходить в цепочку «smark», фильтрация сетевых пакетов будет происходить в цепочке «forward».
Далее необходимо задать правила маркировки для сетевого трафика. Для задания правил маркировки необходимо подключиться к устройству по протоколу ssh. Для отображения всех таблиц как цепочек с правилами фильтрации, так и маркировки сетевого трафика необходимо выполнить команду «nft list ruleset» (изобр. 11.d.6).
Изобр. 11.d.6. Просмотр информации о текущих правилах фильтрации и маркировки сетевого трафика
На рисунке видно, что создано две цепочки: цепочка «smark» с приоритетом 0 и цепочка «forward» с приоритетом 1. Для маркировки сетевого пакета необходимо использовать ключевую команду «ip dscp set <номер DSCP метки>».