MPF

創(chuàng)新互聯(lián)服務(wù)項(xiàng)目包括恩平網(wǎng)站建設(shè)、恩平網(wǎng)站制作、恩平網(wǎng)頁制作以及恩平網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢(shì)、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，恩平網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到恩平省份的部分城市，未來相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

基本MPF架構(gòu)介紹

 class-map:什么流量,對(duì)流分類

    3-4層：源目ip，協(xié)議號(hào)，端口

    5-7層：應(yīng)用層http ftp telnet

 policy-map：添加多個(gè)類，為每個(gè)類做什么動(dòng)作

   3-4層:較簡單

    5-7層:限速，屏蔽關(guān)鍵字，比較復(fù)雜

 service-policy：在哪里 匹配哪個(gè)class 執(zhí)行哪個(gè)policy

class-map

ASA(config)# class-map 3-4  ASA(config-cmap)# match ? mpf-class-map mode commands/options:   access-list                 Match an Access List   any                         Match any packet   default-inspection-traffic  Match default inspection traffic:                                ctiqbe----tcp--2748      dns-------udp--53                                      ftp-------tcp--21        gtp-------udp--2123,3386                               h423-h325-tcp--1720      h423-ras--udp--1718-1719                               http------tcp--80        icmp------icmp                                         ils-------tcp--389       ip-options-----rsvp                                    mgcp------udp--2427,2727 netbios---udp--137-138                                 radius-acct----udp--1646 rpc-------udp--111                                     rsh-------tcp--514       rtsp------tcp--554                                     sip-------tcp--5060      sip-------udp--5060                                    skinny----tcp--2000      smtp------tcp--25                                      sqlnet----tcp--1521      tftp------udp--69                                      waas------tcp--1-65535   xdmcp-----udp--177         dscp                        Match IP DSCP (DiffServ CodePoints)    //ip包中tos里的字段   flow                        Flow based Policy            //定義流   port                        Match TCP/UDP port(s)           precedence                  Match IP precedence   rtp                         Match RTP port numbers     //語音流量（ip udp rtp video/audio）   tunnel-group                Match a Tunnel Group      //IPSec的tunnel里每條流（流由上面的flow 定義）的流量

flow與tunnel-group示例：將tunnel里的每條流（以不同目的ip區(qū)分流）限速56k

policy-map

為每一個(gè)流量定義行為

• • 發(fā)送流量到AIP-SSM    //送往IPS 過濾檢查是否有危險(xiǎn)代碼

  • 發(fā)送流量到CSC-SSM     //送往防病毒模塊 查看是否有病毒

  • 發(fā)送Netflow信息        //將匹配的流量信息發(fā)到網(wǎng)管

  • Qos對(duì)流量優(yōu)先處理        //優(yōu)先級(jí)

  • Qos對(duì)流量進(jìn)行police或shape處理    //限速

  • 運(yùn)用層監(jiān)控

  • 配置高級(jí)連接設(shè)置        //大連接數(shù)，半開連接等等

全局和每一個(gè)接口只能配置一個(gè)policy map

在一個(gè)policy map中，行為處理的順序如下。
  QoS 入方向流量的policing
  高級(jí)連接設(shè)置
  CSC-SSM
  運(yùn)用層監(jiān)控
  AIP-SSM
  QoS 出方向流量的policing
  QoS 優(yōu)先級(jí)隊(duì)列

  QoS 流量shaping

Service Policy
1.運(yùn)用policy map到一個(gè)接口，或者全局運(yùn)用到所有接口
2.策略的方向基于policy map的運(yùn)用
   每接口:歸類和行為被運(yùn)用到兩個(gè)方向上
   全局:歸類和行為被運(yùn)用到所有接口的入方向

   policing(出入都可)， shaping（出）和priority（出）例外

MPF對(duì)網(wǎng)管流量的控制

1.網(wǎng)絡(luò)策略僅僅只控制穿越的流量

2.使用管理策略來控制抵達(dá)ASA的流量
3.只有一部分匹配功能可以使用
4.只有一部分行為可以使用

class-map

ASA(config)# class-map type management Management_Telnet_Traffic ASA(config-cmap)# match port tcp eq telnet ASA(config-cmap)# exit

policy-map

ASA(config)# policy-map inside       //這個(gè)inside是個(gè)名字，由于一個(gè)接口只能用一個(gè)policy，取名方便識(shí)別 ASA(config-pmap)# class Management_Telnet_Traffic        //添加一個(gè)類 ASA(config-pmap-c)# set connection conn-max 1 embryonic-conn-max 0 //動(dòng)作：大連接數(shù)為1，半連接數(shù)無限制 ASA(config-pmap-c)# exit

service-policy

ASA(config)# service-policy inside interface inside     //運(yùn)用到接口：第一個(gè)inside是名字 ASA(config)# telnet 0 0 inside         //開啟Telnet ASA(config)# passwd cisco                //遠(yuǎn)程登錄需要密碼

MPF基本狀態(tài)監(jiān)控特性

ASA默認(rèn)只對(duì)TCP/UDP流量進(jìn)行狀態(tài)監(jiān)控，ICMP ping和ESP默認(rèn)禁止

icmp:直接在默認(rèn)全局policy里的class中加個(gè)inspect icmp

policy-map global_policy  class inspection_default   inspect icmp

esp:ipsec分協(xié)商和加密，協(xié)商部分是UDP故能生成cnnection 表，但加密部分不能生成表項(xiàng)，故出去了回不來

access-list ESP extended permit esp any any class-map ESP   match access-list ESP    policy-map global_policy   class ESP     inspect ipsec-pass-thru

ASA會(huì)話超時(shí)

如果出現(xiàn)TCP連接關(guān)閉事件，或閑置超時(shí)事件，會(huì)話表項(xiàng)會(huì)被刪除

等待SYN/ACK   超時(shí)時(shí)間30s  

半關(guān)閉     10分鐘    tcp 是雙向的，單向存在的時(shí)間

閑置時(shí)間    1小時(shí)    沒數(shù)據(jù)包的連接 idle時(shí)間

Telnet的connection表項(xiàng)超時(shí)時(shí)間DCD

access-list global_mpc_1 extended permit tcp 10.1.1.0   255.255.255.0 host 202.100.1.1 eq telnet    class-map Client-to-Server-Telnet   match access-list global_mpc_1    policy-map global_policy   class Client-to-Server-Telnet     set connection timeout idle 4:00:00 reset dcd 0:15:00 5     //超時(shí)后會(huì)清除connection表項(xiàng)  reset：清除表后還會(huì)向兩邊發(fā)送reset報(bào)文，使得兩端也清除連接信息     // dcd（探測鄰居存活）:每15分鐘檢測一次，5次超時(shí)則清除

ASA默認(rèn)對(duì)穿越流量不減TTL，也可激活

（順便提下，win的tracert發(fā)得是icmp報(bào)文，而路由器traceroute發(fā)的是UDP報(bào)文）

class-map Traceroute   match access-list Traceroute        //acl抓包看看端口33434，自己對(duì)著寫，記得放行流量 policy-map global_policy   class Traceroute     set connection decrement-ttl    //ttl減一

    穿越ASA 別人寫的就是好..

MPF TCP規(guī)范化

ASA對(duì)IP分片的處理

1.緩存一個(gè)數(shù)據(jù)包的所有分片，直到所有分片被收齊。
2.確認(rèn)分片被適當(dāng)?shù)那蟹帧?br />3.重組裝IP分片，并對(duì)其進(jìn)行TCP規(guī)范化和運(yùn)用層監(jiān)控處理。

4.發(fā)送分片就和收到它們的時(shí)候一樣

ASA(config)# fragment ? configure mode commands/options:   chain       Configure maximum number of elements in a fragment set //一個(gè)包最多 多少個(gè)分片   reassembly  Configure reassembly option   size        Configure maximum number of blocks in database  //每個(gè)接口最多緩存1000個(gè)分片   timeout     Configure number of seconds to assemble a fragment set //一個(gè)包多少S內(nèi)沒有收到全部分片完成重組。則全部丟棄 ASA(config)# fragment size 1000 Outside  ASA(config)# fragment chain 24 Outside  ASA(config)# fragment timeout 5 Outside

MPF TCP規(guī)范化

1.確認(rèn)遵循TCP協(xié)議，并且阻止逃避***
2.默認(rèn)情況下，只是允許最小的TCP特性（option字段全部置1）
3.執(zhí)行TCP初始化序列號(hào)擾亂以保護(hù)內(nèi)部主機(jī)（防止會(huì)話挾持）

4.為上層監(jiān)控提供對(duì)字節(jié)流的重組裝

這會(huì)導(dǎo)致異步鏈路的一些鏈接建立失?。ㄈ鐃cp的握手）:

解決：采用TCP狀態(tài)化旁路（TCP Bypass）

  TCP Bypass用MPF歸類特定流量，以訪問控制列表對(duì)待這些流量，同時(shí)也關(guān)閉了ASA對(duì)這些流量的三層監(jiān)控，認(rèn)證代理和TCP規(guī)范化處理，故只能旁路可信流量

實(shí)驗(yàn)：TCP Bypass

inside的lo0訪問DMZ的lo0口，走的是ospf過防火墻

DMZ(config)#ip route 7.7.7.7 255.255.255.255 10.0.0.72    //在DMZ上添加指向inside的lo0靜態(tài)路由

當(dāng)inside的lo0 Telnet DMZ的lo0時(shí)，去的包過防火墻而回來的包走的10.0.0.0網(wǎng)段，形成異步鏈路

Telnet默認(rèn)是不通的：

但可以ping，不受影響

ASA(config)# access-list tcpbypass permit tcp host 7.7.7.7 host 2.2.2.2 eq tel ASA(config)# class-map tcpbypass  ASA(config-cmap)# match access-list tcpbypass ASA(config-cmap)# exit ASA(config)# policy-map tcpbypass ASA(config-pmap)# class tcpbypass ASA(config-pmap-c)# set connection advanced-options tcp-state-bypass ASA(config-pmap-c)# exit ASA(config)# service-policy tcpbypass interface inside

ASA(config)# show conn detail  Flags: B - initial SYN from outside, b - TCP state-bypass or nailed, TCP DMZ: 2.2.2.2/23 inside: 7.7.7.7/55245,     flags b , idle 3m47s, uptime 3m50s, timeout 1h0m, bytes 31

這種connection表項(xiàng)無法正常檢測到鏈路是否終結(jié)，只能等超時(shí)清除

實(shí)驗(yàn)：BGP 穿越ASA

*Mar  1 01:08:35.219: %TCP-6-BADAUTH: No MD5 digest from 2.2.2.2(179) to 7.7.7.7(15325) (RST //原由：經(jīng)過bgp md5（tcp頭部+密碼+偽首部->hash）散列后的值會(huì)在bgp的報(bào)文中添加option為tcp的字段，type類型為19      而ASA會(huì)將tcp type=19 的option字段全改成1了,并

MPF支持動(dòng)態(tài)運(yùn)用協(xié)議

Cisco ASA默認(rèn)嗅探很多動(dòng)態(tài)協(xié)議（FTP,HTTP），只需ACL放行初始化會(huì)話，ASA會(huì)自動(dòng)放行后續(xù)會(huì)話

FTP：

 高優(yōu)先級(jí) 以主動(dòng)模式訪問 低優(yōu)先級(jí)的FTP時(shí)

  第一信道：由高優(yōu)先級(jí)先發(fā)起的，會(huì)建立connection會(huì)話，也能回來

  第二信道：由低先發(fā)起，但ASA已經(jīng)嗅探到第一信道的port數(shù)據(jù)，根據(jù)port建立了對(duì)應(yīng)的connection會(huì)話，所以第二信道能通

  但當(dāng)FTP的端口不是21

  第一信道：高到低能建立conn

  第二信道：由于端口不是21，ASA并不知道是FTP，沒有記錄port信息，也就沒有conn表項(xiàng)，低到高，通不了

class-map New-FTP     match port tcp eq 2121    //FTP自定義端口 policy-map global_policy     class New-FTP         inspect ftp

  被動(dòng)發(fā)起都是client，怎么都能通，除非client在低優(yōu)先級(jí)，那么acl放行第一信道即可，如果不是21，第二信道也要放

以下是做了PAT的FTP，ASA會(huì)修改port數(shù)據(jù)，ip，端口發(fā)給外網(wǎng)，自動(dòng)建立conn和PAT表項(xiàng)

MPF運(yùn)用層策略

DNS..............

配置MPF URL過濾

定義URL過濾服務(wù)器: url-server (DMZ) vendor websense host 192.168.1.100 定義需要過濾的流量: filter url http 10.1.1.0 255.255.255.0 0.0.0.0 0.0.0.0 allow //allow表示服務(wù)器掛了就放行配置正則表達(dá)式: regex Shrun "sh/run" regex WWWCisco www.cisco.com 配置運(yùn)用層監(jiān)控類型的Class-Map: class-map type inspect http match-all Match-HTTP-Class match request header host regex WWWCisco match not request uri regex Shrun 配置運(yùn)用層監(jiān)控類型的Policy-Map: policy-map type inspect http Control-HTTP parameters protocol-violation action reset class Match-HTTP-Class reset 調(diào)用運(yùn)用層監(jiān)控類型的Policy-Map: policy-map global_policy class inspection_default inspect http Control-HTTP

配置ESMTP運(yùn)用層控制
配置運(yùn)用層監(jiān)控類型的Policy-Map: policy-map type inspect esmtp Control-ESMTP match header length gt 4096 reset 調(diào)用運(yùn)用層監(jiān)控類型的Policy-Map: policy-map global_policy class inspection_default no inspect esmtp inspect esmtp Control-ESMTP

MPF連接控制與TCP Intercept

access-list global_mpc extended permit tcp any host   202.100.1.1 eq www class-map Connection-Control   match access-list global_mpc policy-map global_policy   class Connection-Control     set connection conn-max 1000 embryonic-conn-max 600 per-client-max 10 per-client-embryonic-max 5

MPF實(shí)現(xiàn)QoS

有兩種方式實(shí)現(xiàn)QoS:

    Policing:丟棄超時(shí)速率限制的流量；支持對(duì)一個(gè)接口出入流量配置；丟棄會(huì)造成TCP重傳

    Shaping：緩存超過限制的流量；只支持對(duì)一個(gè)接口的出流量配置；緩存會(huì)減少TCP重傳，但會(huì)造成抖動(dòng)

    Priority Queuing：優(yōu)先隊(duì)列

Policing

配置HTTP限速     內(nèi)部接口入方向 class-map HTTP-Traffic   match port tcp eq www policy-map Inside-policy   class HTTP-Traffic     police input 1000000 1500 service-policy Inside-policy interface Inside 配置ICMP限速     外部接口出方向 access-list Outside_mpc extended permit icmp any any class-map ICMP-Traffic   match access-list Outside_mpc policy-map Outside-policy   class ICMP-Traffic     police output 56000 1500 service-policy Outside-policy interface Outside

Shaping
出接口 policy-map Outside-policy   class class-default     shape average 10000000 service-policy Outside-policy interface Outside

Priority Queuing

1.Cisco ASA默認(rèn)為一個(gè)接口收到的流量執(zhí)行best‐effort隊(duì)列
2.best‐effort隊(duì)列是一個(gè)基于FIFO機(jī)制的服務(wù)
3.應(yīng)該在一個(gè)接口為那些延時(shí)敏感的流量，例如:語音流量創(chuàng)建一個(gè)優(yōu)
先級(jí)隊(duì)列。
4.Cisco ASA在移動(dòng)數(shù)據(jù)包到best‐effort隊(duì)列之前，首先騰空優(yōu)先級(jí)隊(duì)列
5.使用Cisco MPF配置優(yōu)先級(jí)隊(duì)列

priority-queue Outside   tx-ring-limit 128 （硬件隊(duì)列 大512）        //只有當(dāng)硬件隊(duì)列滿了，設(shè)備發(fā)生擁塞了，才會(huì)使用到軟件隊(duì)列   queue-limit 2048 （軟件隊(duì)列 大2048）        //此隊(duì)列機(jī)制都有各自的調(diào)度機(jī)制和丟棄機(jī)制 class-map VoIP   match dscp ef            //通過dscp字段是否為ef判斷語言 policy-map Outside-policy   class VoIP     priority service-policy Outside-policy interface Outside

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

網(wǎng)站題目：ASAModularPolicyFramework_04-創(chuàng)新互聯(lián)
分享URL：http://www.rwnh.cn/article0/ceshio.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供動(dòng)態(tài)網(wǎng)站、用戶體驗(yàn)、外貿(mào)建站、外貿(mào)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計(jì)公司、響應(yīng)式網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)