1. Дроп трафика без анализа из конкретного VLAN:

   fdpi_cli vlan rule add <id> perm drop

2. Дроп трафика с предварительным анализом, но без передачи в статистике Netflow из конкретного VLAN (Используется для работы с асимметричным трафиком, когда на площадку подается дубль трафика с другой площадки. Необходимо провести анализ и дропнуть трафик, чтобы он не попал в статистику):

   fdpi_cli vlan rule add <id> perm hide

3. Пропуск трафика без какого-либо анализа из конкретного VLAN:

   fdpi_cli vlan rule add <id> perm pass

4. Вывод существующих настроек в SDR:

   fdpi_cli vlan rule dump

Добавлена возможность фильтрации вывода по типу правил:

Формат:

vlan rule dump [type]

type — тип правил: perm, dhcp, all (по умолчанию)

Примеры:

vlan rule dump perm

vlan rule dump dhcp

vlan rule dump

VLAN Rule позволяет гибко управлять сетевым трафиком на уровне VLAN и QinQ, назначать определенные политики обработки пакетов для отдельных VLAN, диапазонов VLAN или QinQ-туннелей.

Поддерживаются следующие типы правил:

• dhcp — управляет обработкой DHCP-запросов.
  • dhcp enable — разрешить обработку DHCP-запросов в данном VLAN/QinQ.
  • dhcp disable — запретить обработку DHCP. Все DHCP-пакеты в этом VLAN/QinQ будут отбрасываться.
• perm — определяет базовую обработку всего трафика в VLAN/QinQ.
  • drop — полностью отбрасывать все пакеты. Пакеты не проходят дальнейшую обработку и не попадают в статистику Netflow.
  • pass — пропускать пакеты без обработки. Пакеты учитываются в статистике Netflow.
  • accept — пропускать пакеты для дальнейшей полной обработки в системе. Пакеты учитываются в статистике Netflow.
  • hide — пакет проходит внутренние этапы обработки (с исключениями), но после обработки в любом случае отбрасывается. При этом:
    • пакет не попадает в статистику Netflow;
    • не применяются услуги 9, 12, 15, 18, NAT, а также полисинг (общий и канальный);
    • пакет не записывается через ajb — в IPFIX, SIP, FTP и др.

Добавлена поддержка обработки PPPoE-трафика в правилах VLAN.

Правила PPPoE:

vlan rule add <Range> pppoe [enable | drop | pass | delay N]

Правила PPPoE с фильтрацией Service-Name:

vlan rule add <Range> pppoe sname <Service-Name> [enable | drop | pass | delay N]

Разрешения:

• enable — разрешена обработка PPPoE
• drop — дропать PPPoE-пакеты
• pass — пропускать PPPoE без обработки
• delay N — устанавливать PPPoE-сессию с задержкой N секунд (0 < N < 16)

Правила применяются к диапазонам, которые задаются в следующем формате:

• Для одиночного VLAN: 156
• Для диапазона VLAN: 56-78
• Для любого VLAN: * или any
• Для QinQ:
  • 67.* или 67.any — S-VLAN=67, любой C-VLAN
  • *.68 или any.68 — любой S-VLAN, C-VLAN=68
  • *.* или any.any — любой QinQ
  • 12-156.78-90 — диапазон S-VLAN [12..156], диапазон C-VLAN [78..90]
  • 609.1-199 — S-VLAN=609, диапазон C-VLAN [1..199]

Если диапазоны нескольких правил пересекаются, система определяет итоговое действие по принципу "от общего к частному":

1. Сначала применяются правила с самыми широкими диапазонами (например, 1-4095 или any.any)
2. Затем более узкие правила могут переопределить действие

Пример:

vlan rule add 300-700 dhcp disable
vlan rule add 645 dhcp enable
vlan rule add 430-439 dhcp enable

• vlan rule add — добавление нового правила в SDR
• vlan rule modify — изменение существующего правила в SDR
• vlan rule delete — удаление правила из SDR
• vlan rule show — показывает все правила для указанного VLAN/QinQ
• vlan rule dump — выводит правила из SDR
• vlan rule purge vlan/qinq/all — очистка SDR VLAN/QinQ или обоих
• vlan rule apply — принудительное применение правил (не чаще 1 раза в минуту)

Особенности применения изменений: изменения сохраняются в SDR и применяются автоматически спустя 5 минут после последней модификации.