Таблица потоков#
Обзор#
Таблица потоков — это механизм на межсетевом экране для отслеживания и оптимизации нагрузки.
По умолчанию каждый входящий пакет проходит стандартный путь фильтрации: анализируется и проверяется на соответствие правилам. Однако если на МСЭ поступит много трафика, то проверка на правила увеличит нагрузку на ЦП и приведет к снижению пропускной способности.
В таблице потоков МСЭ автоматически ведет учет соединений и их состояний с помощью механизма conntrack. Пакеты, относящиеся к учтенным соединениям в таблице, будут отправлены по короткому пути в обход стандартного пути для дальнейшей обработки.
Чтобы включить таблицу потоков, необходимо:
Создать таблицу потоков;
Добавить входной и выходной интерфейсы;
Создать правило фильтрации с действием offload и указать таблицу потоков в offload-target.
Чтобы дополнительно сэкономить программные ресурсы МСЭ, включите аппаратную разгрузку. При этом сетевая карта устройства должна поддерживать соответствующий режим, иначе функция работать не будет.
Пример настройки#
Шаг |
Команда |
Описание |
|---|---|---|
1 |
set firewall flowtable FT01 interface |
Создает таблицу потоков FT01 и добавляет интерфейс |
2 |
set firewall flowtable FT01 interface |
Добавляет в таблицу потоков FT01 интерфейс |
3 |
set firewall ipv4 forward filter default-action |
По умолчанию отбрасывает все входящие пакеты на потоке FORWARD |
4 |
set firewall ipv4 forward filter rule 10 action |
Создает правило с порядковым номером 10 и включает разгрузку на потоке FORWARD |
5 |
set firewall ipv4 forward filter rule 10 offload-target |
Добавляет правило с порядковым номером 10 в цепочку правил и выбирает таблицу потоков |
6 |
set firewall ipv4 forward filter rule 10 state |
Добавляет правило с порядковым номером 10 в цепочку правил и выбирает установленные TCP-соединения на потоке FORWARD. После установления соединения пакеты будут переданы на таблицу потоков для разгрузки |
7 |
set firewall ipv4 forward filter rule 10 state |
Добавляет правило с порядковым номером 10 в цепочку правил и выбирает производные TCP-соединения на потоке FORWARD. После установления соединения все производные соединения также будут передаваться на таблицу потоков для разгрузки |
8 |
set firewall ipv4 forward filter rule 110 action |
Создает правило с порядковым номером 110 и принимает входящий трафик на потоке FORWARD |
9 |
set firewall ipv4 forward filter rule 110 destination address |
Добавляет правило с порядковым номером 110 в цепочку правил и указывает IPv4-адрес назначения |
10 |
set firewall ipv4 forward filter rule 110 destination port |
Добавляет правило с порядковым номером 110 в цепочку правил и указывает порт назначения |
11 |
set firewall ipv4 forward filter rule 110 inbound-interface name „eth0“ |
Добавляет правило с порядковым номером 110 в цепочку правил и указывает входной интерфейс |
12 |
set firewall ipv4 forward filter rule 110 protocol |
Добавляет правило с порядковым номером 110 в цепочку правил и выбирает протокол |
Список команд#
Режим «Конфигурирование»#
firewall flowtable <flow_table_name>#
Синтаксис:
set firewall flowtable
<flow_table_name>delete firewall flowtable
<flow_table_name>show firewall flowtable
Аргументы:
<flow_table_name>— имя таблицы потоков.
Режим: «Конфигурирование».
firewall flowtable <flow_table_name> interface <iface>#
Синтаксис:
set firewall flowtable
<flow_table_name>interface<iface>delete firewall flowtable
<flow_table_name>interface<iface>show firewall flowtable
<flow_table_name>interface
Аргументы:
<flow_table_name>— имя таблицы потоков;<iface>— интерфейс, через который трафик поступает на межсетевой экран и который станет участником таблицы потоков. Используйте подстановочный знак «*», чтобы отобразить любой последующий набор символов в названии.
Режим: «Конфигурирование».
Примечание
МСЭ автоматически определит входные интерфейсы через специальный механизм перехвата. Входной и выходной интерфейсы добавляются одной общей командой.
firewall flowtable <flow_table_name> description <text>#
Синтаксис:
set firewall flowtable
<flow_table_name>description<text>delete firewall flowtable
<flow_table_name>description<text>show firewall flowtable
<flow_table_name>description
Аргументы:
<flow_table_name>— имя таблицы потоков;<text>— описание для таблицы потоков.
Режим: «Конфигурирование».
firewall flowtable <flow_table_name> offload <hardware | software>#
Синтаксиc:
set firewall flowtable
<flow_table_name>offload<hardware | software>delete firewall flowtable
<flow_table_name>offload<hardware | software>show firewall flowtable
<flow_table_name>offload
Аргументы:
<flow_table_name>— имя таблицы потоков;<hardware>— аппаратная разгрузка. Сетевая карта устройства должна поддерживать данный тип разгрузки;<software>— программная разгрузка. Значение по умолчанию.
Режим: «Конфигурирование».
firewall [ipv4 | ipv6] forward filter rule <1-999999> action offload#
Синтаксис:
set firewall
[ipv4 | ipv6]forward filter rule<1-999999>action offloaddelete firewall
[ipv4 | ipv6]forward filter rule<1-999999>action offloadshow firewall
[ipv4 | ipv6]forward filter rule<1-999999>action
Аргументы:
<ipv4>— IPv4-трафик;<ipv6>— IPv6-трафик;<1-999999>— порядковый номер правила.
Режим: «Конфигурирование».
firewall [ipv4 | ipv6] forward filter rule <1-999999> offload-target <text>#
Синтаксис:
set firewall
[ipv4 | ipv6]forward filter rule<1-999999>offload-target<text>delete firewall
[ipv4 | ipv6]forward filter rule<1-999999>offload-target<text>show firewall
[ipv4 | ipv6]forward filter rule<1-999999>offload-target
Аргументы:
<ipv4>— IPv4-трафик;<ipv6>— IPv6-трафик;<1-999999>— порядковый номер правила;<text>— таблица потоков для разгрузки.
Режим: «Конфигурирование».