网络访问控制列表
ACL主要功能如下:
ACL主要是基于五元组(源目的IP、源目的端口、协议)做perimit和deny。但是对于其他策略,例如最大连接数等无法管理,所以需要引入模块化策略
思科模块化策略框架
Class-Map
主要功能:
class-map配置参数
#1、创建class-map
class-map Class_1
#2、关联参数
match ? #具体参数如下
路由器和防火墙的class-map
class-map all是必须所有条件满足才触发(全true)、class-map any是满足一条即可触发(与或)
Match-all和Match-any
关于Class-Map多重组合
组合一:对列表所抓取的流量。执行默认序列中所有监控协议的检查
match default-inspection-traffic + match access-list
组合二:除match any 、match access-list、match default-inspection-traffic
match tunnel group
Policy-Map
主要功能:
policy-map配置参数
#1、创建Policy-Map
policy-map Policy_1
#2、关联Class-Map
class Class_1
#3、配置执行的动作
功能如下图
Policy-Map部署注意事项
一个policy-map可以包含多个class-map策略(理解为交警部门可以执行多个动作:查酒驾、查证件、查事故)
一个策略包含一个class-map和它所关联的行为
在一个policy-map中,一个行为类型一个数据包只匹配一个calss-map
状态化处理的数据包仅仅只匹配上第一个策略
每个接口只允许存在一个policy-map,全局也只均匀存在衣蛾policy-map
Service-Policy
主要功能:
Service-Policy配置参数
#1、应用于接口
service-policy Policy_1 interface Outside
#2、应用于全局(系统默认)
service-policy Policy_1 global
接口和全局的区别
模块化应用场景
1、网管流量限制
基于telnet和ssh流量限制最大连接数
2、ICMP与ESP协议监控
监控ICMP,确保返回流量吮吸穿越ASA
监控ESP,配置IPSec-pass-through确保VPN建立成功
3、TCP会话监控
如果TCP连接关闭或者闲置超时,会话正常情况下会从状态化表项中删除,利用会话监控计时器调整死亡时间
4、BGP穿越
处理BGP穿越防火墙邻居建立失败问题
5、状态化旁路
针对异步路由,实现状态化旁路