Задание действия в правиле
В области Action задается действие, которое будет применено к пакету, если пакет попадает под данное правило (Рисунок 23). Из выпадающего списка выбирается одно из действий:
· Pass – пропускать пакет.
· Drop – не пропускать пакет.
· Classify mark – маркировать пакет.
В соседнем поле можно указать дополнительное действие – проверку TCP-флагов.
Действия Pass и Drop без проверки TCP-флагов используются для создания правил пакетной фильтрации.
Действия Pass и Drop с проверкой TCP-флагов могут быть использованы для разрешения (запрещения) инициировать TCP-соединение с локального адреса или извне системы (зависит от правила – для исходящего или входящего трафика).
Действие Pass:
· No extended action – пропускать пакет без проверок (Рисунок 16)
· TCP flags – провести проверку пакета на TCP-флаги (Рисунок 17):
· Connection initiate – пропускать первый пакет для инициации TCP-соединения (разрешается инициировать TCP-соединение).
· Connection established – пропускать пакет, принадлежащий установленному TCP-соединению.
Действие Drop:
· No extended action – не пропускать пакет.
· TCP flags – провести проверку пакета на TCP-флаги:
· Connection initiate – не пропускать первый пакет для инициации TCP-соединения (запрещается инициировать TCP-соединение).
· Connection established – не пропускать пакет, принадлежащий установленному TCP-соединению.
Действия Pass и Drop с проверкой TCP-флагов могут быть использованы для разрешения (запрещения) инициировать TCP-соединение с локального адреса или извне системы.
Рисунок 16
Рисунок 17
Действие Classify mark:
Для указания приоритета обработки пакета и эффективного продвижения пакетов по маршруту от одного узла сети к другому, для обеспечения качества обслуживания (QoS) выполняется маркирование пакетов. Для маркирования используется либо значение IP Precedence (IPP), либо значение DSCP.
На Рисунок 18 показана область Action при выборе действия Classify mark. Биты ToS-байта пронумерованы так же, как в документе по RFC 2474. Для маркировки следует использовать биты с 0 по 2 (IPP) или с 0 по 5 (DSCP), биты 6 и 7 зарезервированы и используются для специальной сигнализации, и для них переключатель должен стоять в положении «retain». В противном случае, при попытке сохранения правила выдается предупреждение: «Two less significant bits of TOS byte should be retained unless you know exactly what you are doing. Do you want to proceed?»
Рисунок 18
Для указания значений битов можно использовать либо переключатель с тремя положениями, либо флажок Custom values. Переключатель имеет 3 положения:
· Retain – оставить значение бита без изменений, как в пришедшем пакете.
· Set – в бите установить значение 1.
· Clear – в бите установить значение 0.
При изменении значений битов с помощью переключателя, в поле TOS set отображается значение байта в десятичном виде, а в поле TOS set mask – значение маски в десятичном виде. При установке флажка Custom values в поля TOS set и TOS set mask значения нужно ввести вручную в десятичном виде.
Значение IP Precedence
Значение IP Precedence (IPP) вносится в старшие 3 бита ToS-байта IP-заголовка пакета – в биты с номерами от 0 до 2. В Таблица 2 указаны значения приоритетов.
Таблица 2
|
Прио ритет |
Ключевое слово |
Рекомендация к использованию |
IPP |
|
0 |
Routine – обычный пакет |
По умолчанию |
000 |
|
1 |
Priority – приоритетный (предпочтительный) пакет |
Для приложений данных |
001 |
|
2 |
Immediate – немедленный пакет |
Для приложений данных |
010 |
|
3 |
Flash – мгновенный (срочный) пакет |
Для сигнализации вызовов |
100 |
|
4 |
Flash-override – быстрее, чем мгновенный (экстренный) пакет |
Для видеоконференций и потокового видео |
100 |
|
5 |
Critical – критический пакет |
Для голосового трафика |
101 |
|
6 |
Internet – пакет межсетевого управления |
Зарезервирован, не используется |
|
|
7 |
Network – пакет управляющей информации |
Зарезервирован, не используется |
|
Значение DSCP
Значение DSCP вносится в старшие 6 битов ToS-байта – в биты с номерами от 0 до 5 (Рисунок 19). В Таблица 3 и Таблица 4 указаны значения DSCP для модели дифференцированного обслуживания (DiffServ).
Рисунок 19
Дифференцированное обслуживание не гарантирует определенный уровень сервиса, а стремится упорядочить весь трафик по классам таким образом, чтобы каждый класс получил лучший или худший уровень обслуживания по отношению к остальным.
Значение DSCP может быть выражено в цифровой форме или с использованием специальных ключевых слов, называемых поведением сетевых участков (PHB – Per-Hop Behavior). Определено три класса DSCP маркировки (Таблица 3):
· доставка по возможности (BE – Best Effort или DSCP 0);
· гарантированная доставка (AF – Assured Forwarding) (RFC 2597);
· срочная доставка (EF – Expedited Forwarding) (RFC 2598).
В дополнение к этим трем определенным классам существуют коды селектора классов (CS1-CS7), которые идентичны значениям IP Precedence (1-7).
В гарантированной доставке определены еще 4 класса. Обозначение класса начинаются с AF и далее следуют две цифры. Первая цифра определяет AF класс и принимает значения от 1 (низкий приоритет обработки) до 4 (высокий приоритет обработки пакета). Вторая цифра определяет уровень вероятности сброса пакета в пределах каждого класса и принимает значения от 1 (низкая вероятность сброса) до 3 (высокая вероятность сброса) (Таблица 4).
Негарантированная доставка пакетов имеет значение DSCP 0.
Для немедленной передачи пакетов указывается DSCP 101110.
Чем больше значение DSCP, тем больше приоритет обслуживания. Иногда такое количество классов избыточно, и последние 3 бита заполняют нулями.
Таблица 3
|
Код селектора классов (CS) |
Описание |
PHB-политика |
DSCP |
|
|
DSCP 0 |
Best Effort (BE) – default – 000000 |
PHB-политика негарантированной доставки пакетов, доставка по возможности. Рекомендуется для трафика данных – передача файлов, приложения электронной почты, HTTP и др. |
000000 |
|
|
CS1 |
Class 1 |
Assured Forwarding (AF) |
PHB-политика гарантированной доставки пакетов. Используется для видеотрафика, видеоконференций и рекомендуется значение DSCP 100010 (AF41). |
100010 см Таблица 4 |
|
CS2 |
Class 2 |
|||
|
CS3 |
Class 3 |
|||
|
CS4 |
Class 4 |
|||
|
CS5 |
Express Forwarding (EF) – 101110 |
PHB-политика немедленной передачи пакетов, срочная доставка. Рекомендуется для голосового трафика |
101110 |
|
|
CS6 |
Stays the same (used for IP routing protocols) |
|
|
|
|
CS7 |
Stays the same (link layer and routing protocol keep alive) |
|
|
|
Таблица 4
Классы гарантированной доставки пакетов
|
Приоритет отбрасывания пакета |
Приоритет обработки |
|||
|
Class 1 (низкий) |
Class 2 |
Class 3 |
Class 4 (высокий) |
|
|
Низкий |
001010 AF11 |
010010 AF21 |
011010 AF31 |
100010 AF41 |
|
Средний |
001100 AF12 |
010100 AF 22 |
011100 AF32 |
100100 AF42 |
|
Высокий |
001110 AF13 |
010110 AF23 |
011110 AF33 |
100110 AF43 |
Класс 4 обрабатывается более приоритетно, чем класс 3, класс 3 – более приоритетно, чем класс 2 и т.д.