More Related Content
Similar to Обнаружение сетевых аномалий и угроз c помощью инфраструктурного оборудования Cisco.
Similar to Обнаружение сетевых аномалий и угроз c помощью инфраструктурного оборудования Cisco. (20)
More from Cisco Russia (20)
Обнаружение сетевых аномалий и угроз c помощью инфраструктурного оборудования Cisco.
- 1. Михаил Кадер
mkader@cisco.com
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 1
- 2. Как получить подарок:
• внимательно слушать лекции по технологиям Cisco
• посещать демонстрации, включенные в основную программу
• пройти тесты на проверку знаний
Тесты будут открыты:
с 15:00 25 октября по 16:30 26 октября
www.ceq.com.ua
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 2
- 3. - Обоснование необходимости применения
- Что такое приложение?
- Как идентифицировать приложения?
- Что такое NBAR?
- Что такое NBAR2 (NBAR нового поколения)?
- Каким образом сообщается информация о приложении?
- Как управлять приложением?
- Передовые идеи
- Производительность и диагностика
- Потенциальные проблемы DPI/NBAR2
- Сценарии использования и примеры
- Мониторинг
- Стандартизация
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 3
- 4. Введение
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 4
- 5. система система
предотвращен предотвращения
ия сетевого вторжений на уровне
вторжения узлов
усовершенств
межсетевой web- сетевых ованных
экран прокси вторжений вредоносных
программ
поведенческ
защита от предотвращен аномалий
их
вирусов ие спама NetFlow
аномалий
журналы анализ SEIM- "черный список"
NetFlow
web-прокси NetFlow анализ IP-адресов
межсетевой анализ
журналы блокировка
экран для web- вредоносн
событий трафика учетных записей
ых
программ
масштабируемая
система мониторинг
распределения устройств
нагрузки
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 5
5
- 6. Netflow
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 6
- 7. Сбор данных в критических точках для обнаружения угроз в
исходящем сетевом трафике
Интернет
Шлюзы
интернет-
провайдера
Корпоративная
магистральная
сеть
Центр
Шлюзы обработки
ЦОД данных Коллектор
NetFlow
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco
7
7
- 8. Коллектор Сценарий NetFlow - ботнет
NetFlow
Центр управления
ботнетом - сервер
Command and
Control
Инфицированный
компьютер
сотрудника
Запрос NetFlow для определения
точек подключения
инфицированного узла
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 8
- 9. Сценарий NetFlow - ботнет (2)
Запрос NetFlow для определения всех ПК,
подключенных к ранее определенному
узлу C2
9
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 9
- 10. Совместная работа организаций
по обеспечению защиты
информации
Форум групп реагирования на угрозы
безопасности (FIRST)
*-ISAC (центры совместного
использования и анализа информации)
Исследовательско-аналитический центр
по системам доменных имен (DNS-OARC)
Организация по обмену информацией в
области защиты данных, передаваемых по
сети (NSIE)
Организация по обмену информацией в
области защиты данных оборонного
характера (DSIE)
Infragard
Специальная группа Bay Area APT (SIG)
1
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 10
0
- 11. Компании, специализирующиеся
на исследованиях в области
компьютерной безопасности
Damballa
SensorBase
SenderBase
FireEye
Netwitness
1
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 11
1
- 12. Источники
•на основе сигнатур
•пассивный сбор
•первичный источник
оповещения
•слабое воздействие на
устройства
•основной инструмент
исследования
•небольшой требуемый объем
памяти
•инструмент глубокого анализа
•возможность фильтрации
•ограниченное воздействие на
систему
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco
1
2
12
- 13. NetFlow: Принцип
работы
A
B
C
1
3
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 13
- 14. Шаблоны NetFlow для IOS,
NX-OS
# conf t
(config)# mls netflow interface
(config)# mls flow ip interface-full
(config)# ip flow-export source <interface x/x>
(config)# ip flow-export version <#>
(config)# ip flow-export destination <ip address | esl record>
<port>
(config-int)# ip flow ingress
#
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco
1
4
14
- 15. Шаблоны для IOS, NX-OS
# conf t
(config)# feature netflow
(config)# flow record <record-name> Включение NetFlow в
(config)# match ip ipv4 source address NX-OS
(config)# match ip ipv4 destination address
…
(config)# flow exporter <exporter-name>
(config)# destination <ip address | esl-record>
(config)# transport UDP 2055
(config)# version <#>
(config)# source <interface>
(config)# flow monitor <monitor-name>
(config)# record <record-name>
(config)# exporter <exporter-name>
(config-int)# ip flow monitor <monitor-name> input
(config)# end
#
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco
1
5
15
- 16. А если надо детальнее?
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 16
- 17. Распознавание сетевых приложений (Network Based Application Recognition,
NBAR) - это предлагаемая компанией Cisco инструментальная возможность
управления устройствами. С помощью NBAR осуществляется глубокий анализ
пакетов, в результате которого собирается статистическая информации о
трафике определенного приложения. Компания Cisco инвестировала большой
объем средств в разработку NBAR нового поколения. Например, NBAR в
оборудовании на ASR1k, с большим количеством новых распознаваемых
приложений и т.д.
Мы обсудим основные понятия, конфигурацию, новые возможности,
характерные особенности платформы и влияние на производительность. Также
затронем вопросы архитектуры и сценарии развертывания для системы
обнаружения и контроля приложений Application Visibility and Control (AVC).
Кроме того, будет обращено внимание на взаимосвязь с системами,
обладающими похожими возможностями, такими как QoS, NetFlow, IPV6 и
другими. Также предлагается обзор приложений для управления,
поддерживающих NBAR.
Тема актуальна как для предприятий, так и для поставщиков услуг, которым
необходимо знание о трафике определенного приложения и управление им.
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 17
- 18. Обоснование необходимости применения для
и
производительности приложений
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 18
- 19. MC/BR
Интернет / центр
обработки
данных, ЦОД
Webex
Глобальная сеть 1 MC/BR
(IP-VPN)
BR
BR
MC/BR
Глобальная сеть 2
BR (IPVPN, DMVPN)
Центр.
офис
BR
Бизнес-приложения MC/BR
Голосовой и видеотрафик
Приложения передачи данных
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 19
- 20. • Что происходит в моей сети?
Глобальная сеть 1
• Классификация голосового трафика
(IP-VPN)
• Классификация видеотрафика
• Критически важные приложения
• Низкоприоритетные приложения
просмотра WEB
Центр. Глобальная сеть 2
офис (IPVPN, DMVPN)
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 20
- 21. • Какие приложения испытывают
Глобальная сеть 1
трудности?
• Кто передает (IP-VPN)
слишком много
информации?
• Куда идет наибольший трафик?
Центр. Глобальная сеть 2
офис (IPVPN, DMVPN)
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 21
- 22. MC/BR
• Каким образом оптимизировать
голосовой и видеотрафик?
• Как оптимизировать сетевые
Глобальная сеть 1 MC/BR
ресурсы? (IP-VPN)
• Как управлять качеством видео при
перегруженности сети?
• Как обеспечить безопасность сети?
BR
MC/BR
Центр. Глобальная сеть 2
офис (IPVPN, DMVPN)
BR
MC/BR
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 22
- 23. Идентификация и
классификация
• Автоматическое распознавание
приложений
• Осведомленность о контексте
приложений
Управление сетью Мониторинг и
• Планирование, настройка, средства измерения
мониторинг, диагностика Основа Услуга • Планирование пропускной
• Сеансы, оконечные способности
устройства и инфраструктура • Видимость в сети и
сервисов поведение приложений
• Параметры соглашений об • Динамический поиск
уровнях обслуживания (SLA) ИТ Сетевые неисправностей
установки
Оптимизация Ресурсы Управление
• Ускорение работы • Установка приоритета
приложений, разгрузка критического для бизнеса
• Снижение трафика трафика
Оптимизация Управление
глобальной сети и задержек • Соответствие
при работе приложений установленным бизнес-
политикам и приоритетам
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 23
- 24. Обеспечение выполнения SLA прикладного уровня - измерение,
оповещение и выполнение
- Производительность устройств, также как и SLA сетевого уровня, не
переносится на производительность приложений
- Требуется анализ и измерение характеристик прикладного уровня
Обеспечение динамического управления характеристиками
- Функционирование приложений в реальном времени, предоставление отчетов
и мониторинг
- Возможность управления сервисными параметрами приложений
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 24
- 26. Сервер
?
Клиент 1 Клиент 2
Примеры приложений: Skype, Bittorrent, Emule, Gnutella и т.д.
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 26
- 27. Сервер
Клиент 1- сервер:
Клиент 2- сервер:
Протокол уровня L4
Клиент 1 Клиент 2
Приложения могут основываться на протоколах, использующих
стандартные порты IANA (протокол уровня L4)
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 27
- 28. Сервер
Клиент 1:
Протокол маршрутизации:
OSPF
Клиент 1 Протокол OSPF:
уровня L3
Приложения могут основываться на стандартных IP-
протоколах (протокол уровня L3)
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 28
- 29. Сервер
MAC-адрес IP-адрес
0
1
0
2
0
3
0
4
0
5
0
6
1
9
2
1
6
8
0
1
0
:
:
:
:
:
.
.
.
0
1
0
2
0
3
0
4
0
5
0
7
1
9
2
1
6
8
0
1
1
:
:
:
:
:
.
.
.
0
1
0
2
0
3
0
8
0
9
0
1
1
9
2
1
6
8
1
2
:
:
:
:
:
.
.
.
Протокол уровня L2
Клиент 2
Клиент 1
Приложения могут основываться на протоколах уровня L2, Ethertype:
ARP, CDP (LLDP), VTP и т.д.
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 29
- 30. FFFF0000 FFFF
Если в позиции X полезной нагрузки
обнаруживается "Moonbeam", то это –
"MyApplication"
Ссылка на "специальные приложения" в NBAR
Ваши собственные приложения также являются
действительными приложениями!
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 30
- 31. "Приложения" могут основываться на:
- уровне L4, использующем определенный порт (например, HTTP, FTP)
- уровне L3, использующем определенный тип протокола (например, ICMP, OSPF)
- уровне L2 (например, ARP, CDP)
- любом протоколе или приложении уровня L7, т.е. кодирование входит в
полезную нагрузку (например, Skype)
- ваших собственных технических характеристиках (например, "MyApplication")
Четкая граница между приложением, протоколом и сервисом отсутствует:
- Принятое соглашение: использовать понятие "приложение" во всех
перечисленных вариантах
- Система NBAR, в соответствии со своими возможностями, определяет самое
«вложенное» приложение
http://www.iana.org/protocols/
http://www.iana.org/assignments/port-numbers
http://www.iana.org/assignments/protocol-numbers/
http://www.iana.org/assignments/icmp-parameters
http://www.iana.org/assignments/arp-parameters/arp-parameters.xhtml
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 31
- 33. class-map match-all class-video
match dscp ef
!
policy-map policy_video
class class-video
bandwidth percent 30
!
interface GigabitEthernet 0
service-policy output policy_video
Преимущества:
- Стандартная настройка QoS
- Все счетчики доступны по протоколу SNMP с модулем MIB "CISCO-CLASS-BASED-QOS-MIB"
Проблемы:
- Можно ли доверять источнику?
- Можно ли доверять источнику для правильной установки значения в поле кода
дифференцированных сервисов DSCP?
- Не будет ли значение DSCP изменяться по пути следования?
- Одно приложение на DSCP?
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 33
- 34. Router(config)# access-list 107 permit tcp any host
192.168.1.2 eq www
Идентификация приложения по IP-адресу, типу протокола и номеру
порта
Вопрос: Ваше мнение по данному вопросу?
HTTP 80%
… …
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 34
- 35. HTTP
Отчет (предоставленный Lancope) 4 уровня без учета особенностей приложений
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 35
- 36. HTTP
Отчет (предоставленный Lancope) 7 уровня с учетом особенностей приложений
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 36
- 37. Является ли HTTP единственным приложением, работающим через порт 80?
- Skype, Bittorent, код червей Red&Nimda, троянские программы и пути обхода
системы защиты, Xbox LIVE, приложения и игры и т.д.
Каким образом мы узнаем, что HTTP - это действительно HTTP?
- Рассмотрим полезную нагрузку порта 80. Видим ли мы номер версии 1.0 или
1.1 ? Выполняются ли команды HTTP GET, PUT ? Другие?
- Что происходит с портом 8080? Этот порт обычно используется веб-браузером
- Что произойдет, если кто-нибудь решит запустить веб-сервер на порте TCP 23?
Выводы:
- Протокол HTTP стал НОВЫМ транспортным протоколом
- Для четкой идентификации приложения необходимо тщательно исследовать
полезную нагрузку
- Может не соблюдаться назначение порта (если оно имеет место)
- В идеальном случае следует проверить все порты определенного приложения
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 37
- 38. AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 38
- 39. Управляющая информация между двумя оконечными устройствами
о способе открытия соединения для передачи данных
В качестве соединения для передачи данных может выступать
новое соединение TCP/UDP, которое в некоторых случаях не
использует стандартный порт TCP.
Для приоритезации трафика данных необходимо знать, какие порты
TCP/UDP искать при открытии клиентом или сервером нового
соединения для передачи данных.
Примеры: FTP
Вывод:
- Необходим анализ с отслеживанием состояния для динамически назначенных
при установлении соединения номеров портов TCP и UDP
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 39
- 40. Является ли приложением youtube?
- Если при проверке будет установлено, что имя узла = www.youtube.com, то
"youtube" можно классифицировать
Классификация по извлекаемому полю или субприложению
- Пример: Классификация HTTP (на основании URL, имен узлов или mime)
- Может использоваться в политике
Классификация на основе DPI и ряда атрибутов приложения:
- Транспортный протокол реального времени (RTP): классификация полезной
нагрузки основывается на данном алгоритме, в соответствии с которым пакет
классифицируется как RTP по нескольким атрибутам в заголовке RTP.
Вывод:
- Необходимо также идентифицировать некоторые "извлекаемые поля
приложения"
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 40
- 41. Возможные различные политики, основанные на информации о
транспорте приложений, также известные как транспортная
иерархия
Транспортная иерархия приложений дает информацию о контексте
Пример: SAP в TCP, SAP в HTTP или SAP в Citrix
- Как можно узнать о транспортной иерархии приложений, если сообщается
только SAP?
- В частности, при наличии нескольких приложений 7 уровня
Пример: методы перехода к IPv6
- IPv6 внутри IPv4
Пример: приложения с туннелированием
Вывод:
- Следует идентифицировать "транспорт приложений"
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 41
- 43. Классификация трафика приложений на уровнях L4-L7
Может использоваться совместно со средством распознавания протоколов (Protocol
Discovery) для получения представления о структуре сетевого трафика
Может использоваться совместно с MQC (модульного интерфейса управления качеством
обслуживания) для управления структурой сетевого трафика
NBAR помогает идентифицировать высоко- и низкоприоритетный трафик, к которому
необходимо применить соответствующую политику QoS
Интеграция с Flexible NetFlow (FNF): NBAR может экспортировать данные о трафике в
коллектор NetFlow
NBAR используется в качестве подсистемы глубокого анализа пакетов (DPI) в PfR
Поддерживаемые устройства: ISR-G1 (85x, 87x, 18xx, 28xx, 38xx), ISR-G2 (86x, 88x, 89x,
19xx, 29xx, 39xx), 2600XM, 3700, 7200, 7301, 7304-NPE, ASR1000, 7600 FlexWAN и SIP-200,
catalyst 6000 supervisor 32 PISA (в настоящее время снятые с производства)
- Примечание 1: не рекомендуется запускать NBAR на ISR-G1
- Примечание 2: NBAR2 (нового поколения) поддерживается только на ISR-G2 и ASR1000
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 43
- 44. Идентифицирует приложения
- Статически назначенные
- Динамически назначенные в ходе установления соединения
IP-протоколы, не относящиеся к TCP/UDP
Эвристическая классификация:
- Анализ пакетов данных для определения структуры трафика
приложений
- Классификация заголовков и анализ пакетов данных
Анализ с отслеживанием состояния
- Отслеживание входящего и исходящего трафика приложений по
мере прохождения по сети
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 44
- 45. NBAR Выводы по предыдущему разделу
Для четкой идентификации приложения необходимо
тщательно исследовать полезную нагрузку
В идеальном случае следует проверить все порты
определенного приложения
Необходим анализ с отслеживанием состояния для
динамически назначенных при установлении
соединения номеров портов TCP и UDP
Необходимо также идентифицировать некоторые
"извлекаемые поля приложения"
Следует идентифицировать "транспортировку
приложений"
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 45
- 46. Распознавание протоколов (Protocol Discovery)
- Выявляет и предоставляет статистические данные по приложениям в реальном
времени
- Отчетность: по интерфейсам, по приложениям, статистические данные по
входящему и исходящему трафику :
скорость передачи данных (бит/с), число пакетов и байтов
- Информация доступна в базе данных CISCO-NBAR-PROTOCOL-DISCOVERY-MIB
- Примечание: Flexible NetFlow дает возможность распознавания протоколов
Классификация трафика посредством Modular QoS (модульный
интерфейс качества обслуживания)
- Оптимизация приложений
- NBAR определяет эффективность использования пропускной способности сети
при выполнении функций QoS:
Гарантированная пропускная способность (CBWFQ)
Применение политик и ограничение пропускной способности
Формирование трафика и разметка пакетов (ToS или DSCP)
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 46
- 47. Настройка сбора статистических данных о трафике для всех
приложений, известных NBAR
Также используется для распознавания приложений
Распознавание протоколов приложений на интерфейсах и
заполнение базы данных CISCO-NBAR-PROTOCOL-DISCOVERY-
MIB
Поддержка как входящего, так и исходящего трафика
Команда настройки
Router(config)# interface fastethernet 0/0
Router(config-if)# ip nbar protocol-discovery
Команда отображения
Router# show ip nbar protocol-discovery [interface
interface-spec][stats {byte-count|bit-rate|packet-
count}][protocol protocol-name| top-n number}]
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 47
- 48. Router# show ip nbar protocol-discovery top-n 5 GigabitEthernet0
Input Output
----- ------
Protocol Packet Count Packet Count
Byte Count Byte Count
5min Bit Rate (bps) 5min Bit Rate (bps)
5min Max Bit Rate (bps) 5min Max Bit Rate (bps)
---------------- ------------------------ -----------
------------ Статистика Top-N
skype 395 75 для всех
28539 6415 интерфейсов при
1000 1000 включенной функции
2000 2000 распознавания
icmp 101 100 протоколов NBAR
7360 6860
0 0 В базе данных
0 0 NBAR-PD- MIB
snmp 28 0 предоставляется
1988 0 статистика Top-N по
0 0 всем интерфейсам,
0 0 где N может
netbios 9 0 отличаться для
738 0 каждого интерфейса
0 0
0 0
unknown 205 204
14976 10404
0 0
0 0
Total 41304 40944
2649809 2619839
6000 6000
7000 7000
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 48
- 49. NBAR гарантирует эффективное использование пропускной
способности сети при выполнении функций QoS:
Распознавание протоколов приложений на интерфейсах
Поддержка как входящего, так и исходящего трафика
Заполнение базы данных CISCO-CLASS-BASED-QOS-MIB
- Счетчики до и после применения политики
Команда настройки
Router(config)# class-map [match-any|match all] <myClass>
Router(config-cmap)# match protocol <application>
Примечание: Контролируются только настроенные <applications>
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 49
- 50. Карта классов class-map определяет
идентифицируемый трафик
class-map match-any peer2peer
match protocol kazaa2
match protocol gnutella
match protocol fastrack
Карта политик policy-map определяет способ
обработки трафика на основании карты
классов class map
policy-map limit-p2p
class peer2peer
bandwidth percent 10
interface Serial1
service-policy input limit-p2p
AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 50