1. Дроп трафика без анализа из конкретного VLAN:

   fdpi_cli vlan rule add <id> perm drop

2. Дроп трафика с предварительным анализом, но без передачи в статистику Netflow из конкретного VLAN (используется для работы с асимметричным трафиком, когда на площадку подается дубль трафика с другой площадки; требуется анализ с последующим исключением из статистики):

   fdpi_cli vlan rule add <id> perm hide

3. Пропуск трафика без какого-либо анализа из конкретного VLAN:

   fdpi_cli vlan rule add <id> perm pass

4. Вывод существующих настроек в SDR:

   fdpi_cli vlan rule dump

Добавлена возможность фильтрации вывода по типу правил:

Формат:

vlan rule dump [type]

type — тип правил:

• perm
• dhcp
• all (по умолчанию)

Примеры:

vlan rule dump perm

vlan rule dump dhcp

vlan rule dump

VLAN Rule позволяет гибко управлять сетевым трафиком на уровне VLAN и QinQ, назначать политики обработки пакетов для отдельных VLAN, диапазонов VLAN или QinQ-туннелей.

Поддерживаются следующие типы правил:

• dhcp — управляет обработкой DHCP-запросов:
  • dhcp enable — разрешить обработку DHCP-запросов в данном VLAN/QinQ
  • dhcp disable — запретить обработку DHCP; все DHCP-пакеты отбрасываются

• perm — базовая обработка трафика в VLAN/QinQ:
  • drop — полностью отбрасывать пакеты; не попадают в Netflow
  • pass — пропускать без обработки; учитываются в Netflow
  • accept — полная обработка в системе; учитываются в Netflow
  • hide — внутреннюю обработку выполняет система, после чего пакет отбрасывается:
    • не попадает в Netflow
    • не применяются услуги 9, 12, 15, 18, NAT и полисинг
    • не записывается через ajb (IPFIX, SIP, FTP и др.)

• pppoe — обработка PPPoE-трафика:
  • enable — разрешить обработку PPPoE
  • drop — дропать PPPoE-пакеты
  • pass — пропускать PPPoE без обработки
  • delay N — установить PPPoE-сессию с задержкой N секунд (0 < N < 16)

Правила применяются к диапазонам:

• одиночный VLAN: 156
• диапазон VLAN: 56-78
• любой VLAN: * или any
• QinQ:
  • 67.* / 67.any — S-VLAN=67, любой C-VLAN
  • *.68 / any.68 — любой S-VLAN, C-VLAN=68
  • *.* / any.any — любой QinQ
  • 12-156.78-90 — диапазоны S-VLAN и C-VLAN
  • 609.1-199 — S-VLAN=609, диапазон C-VLAN

При пересечении диапазонов:

1. сначала применяются наиболее общие правила (например, 1-4095, any.any)
2. затем более специфичные правила могут переопределять поведение

Пример:

vlan rule add 300-700 dhcp disable
vlan rule add 645 dhcp enable
vlan rule add 430-439 dhcp enable

• vlan rule add — добавить правило в SDR
• vlan rule modify — изменить правило в SDR
• vlan rule delete — удалить правило из SDR
• vlan rule show — показать все правила для VLAN/QinQ
• vlan rule dump [type] — вывести правила SDR с фильтрацией по типу (perm, dhcp, all)
• vlan rule purge vlan/qinq/all — очистка SDR VLAN/QinQ или обоих
• vlan rule apply — принудительное применение правил (не чаще 1 раза в минуту)

Применение изменений: изменения сохраняются в SDR и автоматически применяются через 5 минут после последней модификации.