ASA Modular Policy Framework_04

Posted 2020-07-25

MPF

 class-map:什么流量

    3-4层：源目ip，协议号，端口

    5-7层：应用层http ftp telnet

 policy-map：做什么动作

     3-4层:较简单

    5-7层:限速，屏蔽关键字，比较复杂

 service-map：在哪里 匹配哪个class 执行哪个policy

class-map

ASA(config)# class-map 3-4 
ASA(config-cmap)# match ?

mpf-class-map mode commands/options:
  access-list                 Match an Access List
  any                         Match any packet
  default-inspection-traffic  Match default inspection traffic: 
                              ctiqbe----tcp--2748      dns-------udp--53       
                              ftp-------tcp--21        gtp-------udp--2123,3386
                              h323-h225-tcp--1720      h323-ras--udp--1718-1719
                              http------tcp--80        icmp------icmp          
                              ils-------tcp--389       ip-options-----rsvp     
                              mgcp------udp--2427,2727 netbios---udp--137-138  
                              radius-acct----udp--1646 rpc-------udp--111      
                              rsh-------tcp--514       rtsp------tcp--554      
                              sip-------tcp--5060      sip-------udp--5060     
                              skinny----tcp--2000      smtp------tcp--25       
                              sqlnet----tcp--1521      tftp------udp--69       
                              waas------tcp--1-65535   xdmcp-----udp--177      
  dscp                        Match IP DSCP (DiffServ CodePoints)    //ip包中tos里的字段
  flow                        Flow based Policy            //定义流
  port                        Match TCP/UDP port(s)        
  precedence                  Match IP precedence
  rtp                         Match RTP port numbers     //语音流量（ip udp rtp video/audio）
  tunnel-group                Match a Tunnel Group      //IPSec的tunnel里每条流（流由上面的flow 定义）的流量

flow与tunnel-group示例：将tunnel里的每条流（以不同目的ip区分流）限速56k

policy-map

为每一个流量定义行为

• • 发送流量到AIP㏒SM

  • 发送流量到CSC㏒SM

  • 发送Netflow信息

  • Qos对流量优先处理

  • Qos对流量进行police或shape处理

  • 运用层监控

  • 配置高级连接设置

全局和每一个接口只能配置一个policy map

在一个policy map中，行为处理的顺序如下。
    QoS 入方向流量的policing
    高级连接设置
    CSC‐SSM
    运用层监控
    AIP‐SSM
    QoS 出方向流量的policing
    QoS 优先级队列

    QoS 流量shaping

Service Policy

1.运用policy map到一个接口，或者全局运用到所有接口
2.策略的方向基于policy map的运用
    每接口:归类和行为被运用到两个方向上
    全局:归类和行为被运用到所有接口的入方向

    policing(出入都可)， shaping（出）和priority（出）例外

MPF对网管流量的控制

1.网络策略仅仅只控制穿越的流量
2.使用管理策略来控制抵达ASA的流量
3.只有一部分匹配功能可以使用
4.只有一部分行为可以使用

ASA(config)# class-map type management Management_Telnet_Traffic
ASA(config-cmap)# match port tcp eq telnet
ASA(config-cmap)# exit
ASA(config)# policy-map inside       //这个inside是个名字，由于一个接口只能用一个policy，取名方便识别
ASA(config-pmap)# class Management_Telnet_Traffic
ASA(config-pmap-c)# set connection conn-max 1 embryonic-conn-max 0 //最大连接数为1，半连接数无限制
ASA(config-pmap-c)# exit
ASA(config)# service-policy inside interface inside     //第一个inside是名字
ASA(config)# telnet 0 0 inside         //开启Telnet
ASA(config)# passwd cisco                //远程登录需要密码
.................待续

本文出自 “Try” 博客，请务必保留此出处http://beening.blog.51cto.com/9079117/1789357