Перейти к содержанию

Функциональность фильтров трафика системы Numa Edge#

Механизм фильтров трафика предназначен для выборки требуемых пакетов по критериям, определённым фильтром. Заданный фильтр сам по себе никак не влияет на обрабатываемый устройством трафик, однако может использоваться при задании политик маршрутизации, QoS и модификации трафика.

Определение фильтров трафика#

Фильтр трафика представляет собой именованный упорядоченный набор правил отбора. Каждое правило содержит набор критериев, с которым сравнивается обрабатываемый пакет, соответствие всем критериям правила означает, что пакет удовлетворяет заданному фильтру. Так как правила фильтра упорядочены, проверка соответствия пакета заданным правилам производится в порядке нумерации правил. Это особенно важно при использовании правил исключения из фильтра, пакет удовлетворяющий критериям такого правила будет считаться не соответствующим заданному фильтру и проверка по дальнейшим определённым фильтром правилам проводиться не будет.

Примеры настройки фильтров трафика#

Пример настройки фильтра трафика с двумя правилами#

В примере показана настройка фильтра на определение трафика, идущего на указанные IP-адреса по протоколам HTTP, HTTPS и FTP из определенной подсети. Данные протоколы базируются на транспортном протоколе TCP и используют стандартные порты для установки как открытых, так и защищенных (SSL/TLS) соединений. В дальнейшем этот фильтр может быть использован в рамках реализации политик QoS для приоритизации трафика при распределении пропускной способности канала, а также рамках реализации политик маршрутизации, модификации и клонирования трафика. При этом возможно использование фильтра как во всех политиках одновременно, так и в рамках реализации одной конкретной политики.

Для выполнения данной настройки создаётся фильтр трафика Server с двумя определёнными правилами:

  • правило номер 10 настроено на определение пакетов, приходящих от IP-адресов из подсети 192.168.10.0/24;
  • правило номер 20 настроено на определение пакетов, направляемых на IP-адреса 192.168.20.10-192.168.20.12 и порты номер 80, 443 и 21 (при создании правила используются имена http,https и ftp, соответствующие данным портам) по протоколу TCP.

При такой настройке трафик соответствует критериям фильтра, при соответствии всем критериям, указанным в одном из правил.

Для выполнения данной настройки необходимо выполнить следующую последовательность команд в режиме настройки:

Пример – Настройка фильтра трафика с двумя правилами#
  1. Создание фильтра трафика с именем Server и указание его описания 
    1
2
    [edit]
admin@edge# set filter Server description "Server traffic filter"
  2. Указание текстового описания для правила определения адреса источника 
    1
2
    [edit]
admin@edge# set filter Server rule 10 description "Source address"
  3. Указание подсети 192.168.10.0/24 в качестве адресов источника поступления данных в рамках данного правила 
    1
2
    [edit]
admin@edge# set filter Server rule 10 source address 192.168.10.0/24
  4. Указание текстового описания для правила определения адреса и порта получателя 
    1
2
    [edit]
admin@edge# set filter Server rule 20 description "Destination address and port"
  5. Указание TCP в качестве протокола, пакеты которого должны определяться в рамках данного правила 
    1
2
    [edit]
admin@edge# set filter Server rule 20 protocol tcp
  6. Указание диапазона адресов 192.168.20.10-192.168.20.12 в качестве адресов назначения для отправки данных в рамках данного правила 
    1
2
    [edit]
admin@edge# set filter Server rule 20 destination address 192.168.20.10-192.168.20.12
  7. Указание портов http,https,ftp (порты номер 80, 443 и 21) в качестве портов назначения для отправки данных в рамках данного правила 
    1
2
    [edit]
admin@edge# set filter Server rule 20 destination port http,https,ftp
  8. Фиксация настройки 
    1
2
    [edit]
admin@edge# commit
  9. Отображение настройки 
     1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
    [edit]
admin@edge# show filter
   Server {
      description "Server traffic filter"
      rule 10 {
         description "Source address"
         source {
            address 192.168.10.0/24
         }
      }
      rule 20 {
         description "Destination address and port"
         destination {
            address 192.168.20.10-192.168.20.12
            port http,https,ftp
         }
         protocol tcp
      }
   }

Пример настройки фильтра трафика с правилом исключения#

В примере выполняется настройка фильтра трафика с именем ICMP с применением правила исключения. Первое правило является правилом исключения. Оно настроено на исключение пакетов, приходящих с IP-адреса 192.168.10.20 по протоколу ICMP. Второе правило настроено на определение пакетов, приходящих из подсети 192.168.10.0/24 по протоколу ICMP. При такой настройке, трафик проверяется на соответствие критериям правил в порядке нумерации. Трафик считается соответствующим критериям фильтра, если он соответствует критериям второго правила и не соответствует критериям первого.

Для выполнения данной настройки необходимо выполнить следующую последовательность команд в режиме настройки:

Пример – Настройка фильтра трафика с правилом исключения#
  1. Создание фильтра трафика с именем ICMP и указание его описания 
    1
2
    [edit]
admin@edge# set filter ICMP description "ICMP 192.168.10.0/24 exclude 192.168.10.20"
  2. Указание адреса отправителя трафика для дальнейшего исключения его из диапазона. В качестве отправителя указывается IP-адрес 192.168.10.20 
    1
2
    [edit]
admin@edge# set filter ICMP rule 10 source address 192.168.10.20
  3. Указание ICMP в качестве протокола, пакеты которого должны определяться в рамках данного правила 
    1
2
    [edit]
admin@edge# set filter ICMP rule 10 protocol icmp
  4. Указание параметра исключения пакетов, удовлетворяющих критериям правила фильтрации трафика, из фильтра
    1
2
    [edit]
admin@edge# set filter ICMP rule 10 exclude
  5. Указание ICMP в качестве протокола, пакеты которого должны определяться в рамках данного правила 
    1
2
    [edit]
admin@edge# set filter ICMP rule 20 protocol icmp
  6. Указание адреса отправителя трафика. В качестве отправителя указывается подсеть 192.168.10.0/24 
    1
2
    [edit]
admin@edge# set filter ICMP rule 20 source address 192.168.10.0/24
  7. Фиксация настройки 
    1
2
    [edit]
admin@edge# commit
  8. Отображение настройки 
     1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
    [edit]
admin@edge# show filter
   ICMP {
      description "ICMP 192.168.10.0/24 exclude 192.168.10.20"
      rule 10 {
         exclude
         protocol icmp
         source {
            address 192.168.10.20
         }
      }
      rule 20 {
         protocol icmp
         source {
            address 192.168.10.0/24
         }
      }
   }