10-思科防火墙:MPF对网管流量的控制

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了10-思科防火墙:MPF对网管流量的控制相关的知识,希望对你有一定的参考价值。

一、实验拓扑:
技术分享图片
二、实验要求:
什么是MPF呢?多模块的策略框架或者多协议策略框架。一般步骤:首先定义哪些流量,然后执行哪些动作;最后在哪里调用生效。
MPF做抵达ASA和穿越ASA流量的策略的。一般关注穿越ASA的流量,这个做的多。基本上穿越ASA的流量都可以做,只不过默认没有开启监控,开启监控就可以了。
命令行界面(英语:command-line interface,缩写:CLI)
1、ASA上开启Telnet功能,并控制Telnet的流量,最大连接数为1;
2、R2先远程登录ASA,然后再用W7去登录;
3、查看:W7是否可登录?如果断掉R2的远程登录连接,W7可以登录吗?

三、命令部署:
1、ASA上开启Telnet功能:
ASA(config)# telnet 0 0 inside //Inside内所有主机都可以进行远程登录ASA,默认登录密码是cisco

2、Class‐map配置:
ASA(config)# class-map type management aa //定义Class-map名字为:aa
ASA(config-cmap)# match port tcp eq 23//匹配Telnet流量

3、Policy‐map配置(执行什么动作):
ASA(config-cmap)# policy-map bb //定义Policy-map的名字为:bb,这个也要有一个名字,一会要调用到接口/全局
ASA(config-pmap)# class aa //匹配Class-map里的名字,相当于匹配Class-map里的流量;
ASA(config-pmap-c)# set connection conn-max 1 embryonic-conn-max 0 //设置最大连接控制数为1

4、Service‐Policy配置:
ASA(config-pmap-c)# service-policy bb interface inside //调用Policy-map到接口Inside

四、验证:
1、R2先登录ASA,W7登录效果:
R2#telnet 10.1.1.10
Trying 10.1.1.10 ... Open
User Access Verification
Password:
Type help or ‘?‘ for a list of available commands.
ASA>
W7登录:
技术分享图片
2、R2退出远程登录ASA,W7再登录:
技术分享图片
技术分享图片
技术分享图片

以上是关于10-思科防火墙:MPF对网管流量的控制的主要内容,如果未能解决你的问题,请参考以下文章

11-思科防火墙:MPF基本状态监控特性

14-思科防火墙:ASA对IP分片的处理

25-思科防火墙:配置访问控制

思科ASA5505防火墙放行流量实验

13-思科防火墙:ASA对TTL的处理

15-思科防火墙:TCP状态化旁路