Фильтрация и сбор статистики трафика, поступающего из внешних источников, осуществляется через взаимодействие с сервером gRPC – сервер для удаленного вызова процедур, который использует протокол RPC для обмена сообщениями между клиентом и сервером.

Настройка фильтрации и сбора статистики трафика, поступающего из внешних источников, выполняется в ветке ecofilter-balancer external-acl.

В ветке ecofilter-balancer external-acl настраиваются идентификатор сервера gRPC, названия таблиц и соответствующие действия для трафика, поступающего с той или иной таблицы. 

Параметры фильтрации трафика, поступающего из внешних источников:

• connection – настройки соединения с сервером gRPC. Максимальное количество настроенных соединений – 1. Имени соединения gRPC <NAME> присваивается произвольное значение (например, GRPC-PROTECTED). Параметры для установки соединения: 

  • CAcert – имя корневого сертификата, скаченного командой call ecofilter-balancer download-certificate-key. Обязательный параметр, если включен протокол Transport layer Security (далее – TLS);
  • cert – имя клиентского сертификата, скаченного командой call ecofilter-balancer download-certificate-key;
  • key – имя клиентского ключа, скаченного командой call ecofilter-balancer download-certificate-key;
  • tls – включение/выключение протокола TLS. Параметры TLS:
    • • enable – включить TLS,
      • disable – выключить TLS;
  • type – тип записей:
    • • protected-network – для получения записей в таблицу с условием фильтрации <action> – protected-network;

• • uri – унифицированный идентификатор сервера gRPC. Идентификатор представляется в виде IP-адреса и порта через двоеточие или доменного имени и порта через двоеточие (например, 10.210.9.220:30498).
  • verify – уровень верификации сертификата сервера CAcert. Параметры verify:
    • • ignore – не проверять сертификат. По умолчанию установлен параметр ignore,
      • verify-if-present – проверять, если сертификат присутствует у сервера,
      • verify – проверять сертификат сервера;
• keepalives – управление отправки пакетов keep-alive серверу gRPC . Варианты:

  • true – включение отправки пакетов keep-alive после запуска Устройства,

  • false – выключение отправки пакетов keep-alive после запуска Устройства. По умолчанию false.

• keepalives-time – период, по истечении которого отправляется ping-запрос серверу gRPC (в миллисекундах). По умолчанию 1000.
• keepalives-timeout – время, в течении которого ожидается подтверждение запроса от сервера gRPC (в миллисекундах). По умолчанию 1000.
• reconnection-time – время ожидания переподключения к gRPC серверу. Варианты времени ожидания: 5sec, 10sec, 30sec, 1min, 5min, 10min. По умолчанию – 5sec.
  Если Устройство теряет связь с сервером, то в течение указанного времени ожидает восстановление связи. Если связь за это время не восстанавливается, то сбрасывает все таблицы;
• table – название таблицы, с которого на Устройство приходит трафик. Имя table <NAME> должно совпадать с названием таблицы на удаленном сервере gRPC (например, rkn_port+gb). Параметры table:
  • action – условия фильтрации для таблиц. Возможные значения action: 
    • block – блокировать трафик,
    • ignore – всегда пропускать данный трафик, 
    • protected-network – перенаправить трафик, принадлежащий защищенным сетям, для дальнейшей защиты от DDoS-атак на EcoFilter в режиме DDS.

Значения параметров задаются командой set. Синтаксис команды настройки фильтрации и сбора статистики трафика, поступающего из внешних источников:

set ecofilter-balancer external-acl connection CAcert <NAME> cert <NAME> key <NAME> tls {enable | disable} type [<protected-network>] uri <IP-ADDRESS> verify {ignore | verify | verify-if-present} [keepalives {true | false}] [keepalives-time <NUM>] [keepalives-timeout <NUM>] [reconnection-time {5sec | 10sec | 30sec | 1min | 5min | 10min}] table <NAME> action {block | ignore | protected-network}

Пример команды:

admin# set ecofilter-balancer external-acl keepalives true
set ecofilter-balancer external-acl keepalives-time 1000
set ecofilter-balancer external-acl keepalives-timeout 1000
set ecofilter-balancer external-acl reconnection-time 10sec
set ecofilter-balancer external-acl table rkn_port+gb action protected-network
set ecofilter-balancer external-acl connection GRPC uri testserver.ru:443 tls enable type protected-network CAcert cert.crt cert clientcert.pem key clientkey.pem verify ignore