EcoNAT Documentation

Фильтрация абонентского трафика, к которому не применяется NAT EcoNAT Documentation / Фильтрация абонентского трафика, к которому не применяется NAT

По умолчанию подсистема DPI выполняет фильтрацию трафика только тех абонентов, IP-адреса которых попадают в какой-либо из пулов NAT.

Если какой-либо диапазон IP-адресов абонентов не подвергается NAT (например, маршрутизируемые в интернет «реальные» адреса абонентов, скажем, из сети 194.85.16.0/24), для выполнения фильтрации необходимо выполнить следующие действия:

Создать новый пул NAT.

MyEcoNAT:1:# create pool url

Задать пулу тип fake.

MyEcoNAT:2:# edit poolurl

MyEcoNAT:3:pools.poolurl# type fake

Задать пулу poolurl минимальный приоритет.

MyEcoNAT:4:pools.poolurl# priority 10000

Создать ACL.

MyEcoNAT:6:pools.poolurl# create acl url

Вписать в aclurl правила.

MyEcoNAT:7:pools.poolurl# use aclurl poolurl

MyEcoNAT:8:pools.poolurl# edit aclurl

MyEcoNAT:9:acls.aclurl# 10 allow ip 194.85.16.0/24 any

Применить конфигурацию.

MyEcoNAT:10:acls.aclurl# apply

APPLY CONFIGURATION IS DIFFER, PROCESS APPLY

…

          pools

            poolurl

              # pool is valid and will be activated during apply

                type fake

                enable

                acl aclurl

                priority 10000

                connection_logging on

          acls

              aclurl {

                10 permit ip src net 194.85.16.0/24 dst any

RECONFIG FUNCTION PROCESSING

EconatEngineReconfig output success

APPLY SUCCESS

Save applied configuration into profile 'lastapply'

Данному вспомогательному пулу рекомендуется установить минимальный приоритет – т. е. значение параметра priority должно быть больше, чем у всех других пулов NAT (чем меньше значение priority, тем выше приоритет). Таким образом, в данном пуле будет обрабатываться трафик, который не обрабатывается другими NAT пулами.

Вспомогательный пул типа fake позволяет осуществлять логирование соединений с соответствующих IP-адресов по протоколам Syslog и Netflow.