Обзор политики модификации трафика

Обзор политик модификации трафика#

Политики модификации трафика – это механизм, позволяющий изменять параметры пакетов, соответствующих критериям определённого фильтра, а именно:

изменять значение поля DSCP;
изменять максимальный размер сегмента TCP (MSS).

В настройках Numa Edge политики модификации трафика сгруппированы узлами policy modify для трафика IPv4 и policy modify-ipv6 для трафика IPv6, которые служат контейнерами для операторов политики. Действующими операторами политики определяются правила модификации трафика. При этом модификация трафика, согласно определённой политике, производится только в случае её применения к конкретному интерфейсу и только для исходящего трафика.

Политики модификации трафика применяются последними перед отправкой данных: после маршрутизации, межсетевого экрана, применения фильтров QoS, но до непосредственной обработки QoS.

Применение политик модификации трафика при прохождения трафика через Numa Edge показано на рисунке.

Определённая политика модификации трафика применяется к определённому виртуальному или физическому интерфейсу.

Примеры настройки политик модификации трафика#

В данном разделе приведены примеры настройки для политик маршрутизации. Рассматриваются следующие вопросы:

Пример настройки политики модификации исходящего трафика с изменением значения поля DSCP;
Пример настройка политики модификации исходящего трафика с изменением максимального размера сегмента TCP (MSS).

Пример настройки политики модификации исходящего трафика с изменением значения поля DSCP#

В примере выполняется настройка политики модификации трафика, передающегося по протоколам TCP или UDP, для которого порт источника пакета равен 5060 (порт по умолчанию для протокола SIP), на интерфейсе eth2 с изменением значения поля DSCP на значение, равное EF (ускоренная пересылка). Таким образом весь исходящий трафик, удовлетворяющий критериям, будет иметь малые задержками в очереди пересылки.

Для выполнения данной настройки необходимо выполнить следующую последовательность команд в режиме настройки:

Создание фильтра SIP_filter:

1 2	`[edit] admin@edge# set filter SIP_filter`

Создание правила 10 для фильтра SIP_filter по определению атрибутов трафика протоколов TCP или UDP:
1 2
[edit] admin@edge# set filter SIP_filter rule 10 protocol tcp_udp
Указание порта источника пакета равного 5060 для правила 10 фильтра SIP_filter:
1 2
[edit] admin@edge# set filter SIP_filter rule 10 source port 5060
Фиксация настройки:
1 2
[edit] admin@edge# commit

Отображение настройки фильтра:

[edit]
admin@edge# show filter
   SIP_filter {
      rule 10 {
         protocol tcp_udp
         source {
            port 5060
         }
      }
   }

Создание в правиле 10 политики модификации трафика SIP_policy условия применения данной политики при совпадении атрибутов с указанными в фильтре SIP_filter:
1 2
[edit] admin@edge# set policy modify SIP_policy rule 10 match filter SIP_filter
Установка в правиле 10 политики модификации трафика SIP_policy изменения значения поля DSCP на значение, равное EF:
1 2
[edit] admin@edge# set policy modify SIP_policy rule 10 set dscp EF
Фиксация настройки:
1 2
[edit] admin@edge# commit

Отображение настройки политики модификации трафика:

[edit]
admin@edge# show policy modify
   SIP_policy {
      rule 10 {
         match {
            filter SIP_filter
         }
         set {
            dscp EF
         }
      }
   }

Применение политики модификации трафика для исходящего трафика на интерфейсе eth2:
1 2
[edit] admin@edge# set interfaces ethernet eth2 policy out modify SIP_policy
Фиксация настройки:
1 2
[edit] admin@edge# commit

Отображение настройки применённых политик модификации трафика для интерфейса eth2:

[edit]
admin@edge# show interfaces ethernet eth2
   policy {
      out {
         modify SIP_policy
      }
   }

Пример настройки политики модификации исходящего трафика с изменением максимального размера сегмента TCP (MSS)#

В примере выполняется настройка политики модификации трафика, передающегося по протоколу TCP на интерфейсе eth1 с изменением значения максимального размера сегмента TCP (MSS) на значение, равное 1250 байт.

Для выполнения данной настройки необходимо выполнить следующую последовательность команд в режиме настройки:

Создание фильтра TCP_SYN_filter:

1 2	`[edit] admin@edge# set filter TCP_SYN_filter`

Создание правила 10 для фильтра TCP_SYN_filter по определению атрибутов трафика протокола TCP:
1 2
[edit] admin@edge# set filter TCP_SYN_filter rule 10 protocol tcp
Установка флага TCP SYN для правила 10 фильтра TCP_SYN_filter:
1 2
[edit] admin@edge# set filter TCP_SYN_filter rule 10 tcp flags SYN
Фиксация настройки:
1 2
[edit] admin@edge# commit

Отображение настройки фильтра:

[edit]
admin@edge# show filter
   TCP_SYN_filter {
      rule 10 {
         protocol tcp
         tcp {
            flags SYN
         }
      }
   }

Создание в правиле 10 политики модификации трафика MSS_modify_policy условия применения данной политики при совпадении атрибутов с указанными в фильтре TCP_SYN_filter:
1 2
[edit] admin@edge# set policy modify MSS_modify_policy rule 10 match filter TCP_SYN_filter
Установка в правиле 10 политики модификации трафика MSS_modify_policy изменения значения максимального размера сегмента TCP (MSS) на значение, равное 1250 байт:
1 2
[edit] admin@edge# set policy modify MSS_modify_policy rule 10 set tcp-mss 1250
Фиксация настройки:
1 2
[edit] admin@edge# commit

Отображение настройки политики модификации трафика:

[edit]
admin@edge# show policy modify
   MSS_modify_policy {
      rule 10 {
         match {
            filter TCP_SYN_filter
         }
         set {
            tcp-mss 1250
         }
      }
   }

Применение политики модификации трафика для исходящего трафика на интерфейсе eth1:
1 2
[edit] admin@edge# set interfaces ethernet eth1 policy out modify MSS_modify_policy
Фиксация настройки:
1 2
[edit] admin@edge# commit

Отображение настройки применённых политик модификации трафика для интерфейса eth1:

[edit]
admin@edge# show interfaces ethernet eth1
   policy {
       out {
          modify MSS_modify_policy
       }
   }