Hướng Dẫn Cấu Hình Flexible Packet Matching Trên Router Cisco

FLEXIBLE PACKET MATCHING TRÊN ROUTER CISCO LÀ GÌ?

Flexible Packet Matching (FPM) trên thiết bị Router Cisco là một công cụ khớp mẫu ACL, cung cấp các bộ lọc gói tùy chỉnh và kĩ lưỡng hơn. FPM cho phép người dùng so khớp trên các bit tùy ý của gói ở độ sâu tùy ý trong tiêu đề gói và tải trọng. FPM loại bỏ các ràng buộc đối với các trường cụ thể có giới hạn kiểm tra gói.

FPM cho phép người dùng tạo tiêu chí phân loại gói không trạng thái của riêng họ và xác định chính sách với nhiều hành động (chẳng hạn như thả, ghi nhật ký hoặc gửi Internet Control Message Protocol [ICMP] không thể truy cập) để chặn ngay các loại vi-rút, sâu máy tính và các cuộc tấn công mới.

Chính sách lọc của FPM được xác định thông qua những tác vụ sau:

  • Tải PHDF (để khớp trường tiêu đề giao thức)
  • Xác định class map và xác định chuỗi ngăn xếp giao thức (traffic class)
  • Xác định chính sách dịch vụ (chính sách lưu lượng truy cập)
  • Áp dụng chính sách dịch vụ cho một giao diện
  • Tệp Protocol Header Description
  • Mô tả bộ lọc

CẤU HÌNH FLEXIBLE PACKET MATCHING TRÊN ROUTER CISCO

Hướng Dẫn Cấu Hình Flexible Packet Matching Trên Router Cisco
Hướng Dẫn Cấu Hình Flexible Packet Matching Trên Router Cisco

Tạo Traffic Class Cho Flexible Packet Matching Trên Router Cisco

Dưới đây là các bước chi tiết để tạo lớp lưu lượng cho tính năng Flexible Packet Matching trên Router Cisco

  Lệnh hoặc Hành động Mục đích
Bước 1 enable

Ví dụ:

Router> enable

 

Bật chế độ EXEC đặc quyền

  • Nhập mật khẩu của bạn nếu được nhắc

 

Bước 2 configure terminal

Ví dụ:

Router# configure terminal

 

Vào chế độ cấu hình chung

 

Bước 3 load protocol location:filename

Ví dụ:

Router(config)# load protocol disk2:udp.phdf

 

(Tùy chọn) Tải PHDF lên bộ định tuyến.

  • Vị trí được chỉ định phải là cục bộ của Router Cisco
Note    Nếu PHDF không được tải, chỉ có thể sử dụng lệnh match start, nghĩa là bạn không thể ra lệnh match field.

 

Note    Đối với nền tảng ASR, tệp PHDF phải được sao chép thủ công (thông qua lệnh load protocol) sang hệ thống tệp bộ xử lý định tuyến (RP).

 

Bước 4 class-map [type {stack | access-control}] class-map-name [match-all | match-any]

Ví dụ:

Router(config)# class-map type access-control c1

 

Tạo một bản đồ lớp được sử dụng để khớp các gói với một lớp đã chỉ định và vào chế độ cấu hình bản đồ lớp.

  • type stack: Cho phép FPM xác định ngăn xếp giao thức chính xác để kiểm tra.
  • type access-control: Xác định mẫu chính xác cần tìm trong ngăn xếp giao thức quan tâm.
  • class-map-name: Có thể dài tối đa 40 ký tự chữ và số.
  • Nếu match-all hoặc match-any không được chỉ định, lưu lượng phải khớp với tất cả các tiêu chí khớp để được phân loại là một phần của lớp lưu lượng.
Bước 5 description character-string

Ví dụ:

Router(config-cmap)# description “match on slammer packets”

 

(Tùy chọn) Thêm mô tả vào class map.

 

Bước 6 match field protocol protocol-field {eq [mask] | neq | [mask] | gt | lt | range range | regex stringvalue [next next-protocol]

Ví dụ:

Router(config-cmap)# match field udp dest-port eq 0x59A

 

(Tùy chọn) Cấu hình tiêu chí đối sánh cho class map trên cơ sở các trường được xác định trong PHDF.

·        Cặp đối số từ khóa next next-protocol chỉ khả dụng sau khi định cấu hình lệnh chỉ khả dụng sau khi cấu hình lệnh class-map type stack.

 

Bước 7 match start {l2-start | l3-startoffset number size number {eq | neq | gt | lt | range range | regex string} {value [value2] | [string]}

Ví dụ:

Router(config-cmap)# match start l3-start offset 224 size 4 eq 0x4011010

 

(Tùy chọn) Cấu hình tiêu chí khớp cho class map trên cơ sở tiêu đề gói dữ liệu (Layer 2) hoặc tiêu đề mạng (Layer 3).

 

Bước 8 match class class-name [packet-range low high | byte-range low highsession

Ví dụ:

Router(config-cmap)# match class c2 packet-range 1 5 session

 

(Tùy chọn) Định cấu hình tiêu chí khớp cho class map xác định một phiên (flow) chứa các gói quan tâm, sau đó được áp dụng cho tất cả các gói được truyền trong phiên.

Các từ khóa packet-rangebyte-range tạo cơ chế lọc giúp tăng hiệu suất và độ chính xác phù hợp của bản đồ lớp FPM dựa trên biểu thức chính quy bằng cách phân loại lưu lượng nằm trong phạm vi số gói hoặc byte gói hẹp của mỗi luồng gói.

Khi từ khóa session được sử dụng với đối số class-name, kết quả phân loại được giữ nguyên cho các gói tiếp theo của cùng một phiên gói.

Khi từ khóa session được sử dụng với từ khóa packet-range hoặc byte-range, kết quả phân loại được giữ nguyên cho các gói hoặc byte được chỉ định của cùng một phiên gói.

 

Bước 9 exit

Ví dụ:

Router(config-cmap)# exit

 

Thoát khỏi chế độ cấu hình class-map

 

Bước 10 exit

Ví dụ:

Router(config)# exit

 

Thoát khỏi chế độ cấu hình chung

 

Bước 11 show class-map [type {stack | access-control} | class-map-name]

Ví dụ:

Router# show class-map type access-control slammer

 

(Tùy chọn) Hiển thị FPM class maps đã định cấu hình.

 

Tạo Traffic Policy Cho Flexible Packet Matching Trên Router Cisco

Dưới đây là các bước chi tiết để tạo lớp lưu lượng cho tính năng Flexible Packet Matching trên Router Cisco

  Lệnh hoặc Hành động Mục đích
Bước 1 enable

Ví dụ:

Router> enable

 

Bật chế độ EXEC đặc quyền

  • Nhập mật khẩu của bạn nếu được nhắc

 

Bước 2 configure terminal

Ví dụ:

Router# configure terminal

 

Vào chế độ cấu hình chung

 

Bước 3 policy-map type access-control policy-map-name

Ví dụ:

Router(config)# policy-map type access-control fpm-udp-policy

 

Tạo hoặc sửa đổi policy map có thể được đính kèm vào một hoặc nhiều giao diện để chỉ định chính sách dịch vụ và vào chế độ cấu hình policy-map.

 

Bước 4 description character-string

Ví dụ:

Router(config-pmap)# description “policy for UDP based attacks”

 

(Tùy chọn) Thêm mô tả vào policy map.

 

Bước 5 class class-name insert-before class-name

Ví dụ:

Router(config-pmap)# class slammer

 

Chỉ định tên của traffic class được xác định trước, được cấu hình bằng lệnh class-map. Lệnh class cũng phân loại lưu lượng truy cập vào chính sách lưu lượng và vào chế độ cấu hình policy-map.

  • Đối số và từ khóa insert-before class-name thêm class map vào bất kỳ vị trí nào trong policy map. Nếu tùy chọn này không được đưa ra, class map sẽ được thêm vào cuối policy map.

 

Bước 6 drop [all]

Ví dụ:

Router(config-pmap-c)# drop all

 

(Tùy chọn) Cấu hình traffic class để loại bỏ các gói thuộc về một lớp cụ thể.

Từ khóa all được sử dụng để loại bỏ toàn bộ luồng gói thuộc traffic class.

Nếu lệnh này được ban hành, hãy lưu ý các hạn chế sau:

  • Loại bỏ các gói là hành động duy nhất có thể được cấu hình trong traffic class
  • Khi traffic class được cấu hình với lệnh drop, không thể định cấu hình chính sách “child” (nested) cho traffic class cụ thể này qua lệnh service policy
  • Loại bỏ các gói không thể được cấu hình cho class mặc định được chỉ định thông qua lệnh class class-default
  • Nếu lệnh drop all được chỉ định, thì lệnh này chỉ có thể được liên kết với lệnh class map type access-control
Bước 7 log [all]

Ví dụ:

Router(config-pmap-c)# log all

 

(Tùy chọn) Tạo log messages cho traffic class.

Từ khóa all được sử dụng để ghi nhật ký toàn bộ luồng gói bị loại bỏ thuộc traffic class. Từ khóa này chỉ khả dụng cho class map lớp được tạo bằng lệnh class-map type access-control

 

Bước 8 service-policy policy-map-name

Ví dụ:

Router(config-pmap-c)# service policy fpm-udp-policy

 

Tạo chính sách dịch vụ phân cấp.

 

Bước 9 exit

Ví dụ:

Router(config-pmap-c)# exit

Example:

Router(config-pmap)# exit

 

Thoát khỏi chế độ cấu hình policy-map class và chế độ cấu hình policy-map.

 

Bước 10 interface type number

Ví dụ:

Router(config)# interface gigabitEthernet 0/1

 

Cấu hình một kiểu giao diện và vào chế độ cấu hình giao diện

 

Bước 11 service-policy type access-control {input | outputpolicy-map-name

Ví dụ:

Router(config-if)# service-policy type access-control input fpm-policy

 

Chỉ định loại và tên của traffic policy được gắn với hướng đầu vào hoặc đầu ra của một giao diện.

 

Bước 12 exit

Ví dụ:

Router(config-if)# exit

 

Thoát khỏi chế độ cấu hình giao diện.

 

Bước 13 exit

Ví dụ:

Router(config)# exit

 

Thoát khỏi chế độ cấu hình chung.

 

Bước 14 show policy-map [type access-control | interface type number | input | output]

Ví dụ:

Router# show policy-map type access-control interface gigabitethernet 0/1

 

(Tùy chọn) Xác minh cấu hình FPM.

Note    Khi một traffic policy được tạo cho FPM, một gói phù hợp có thể được sao chép hoặc chuyển hướng đến một giao diện đích khác.

 


ĐỊA CHỈ PHÂN PHỐI ROUTER CISCO CHÍNH HÃNG GIÁ TỐT NHẤT

ANBINHNET ™ là nhà phân phối Cisco chính hãng, uy tín hàng đầu tại Việt Nam. Đến với chúng tôi, quý khách hàng sẽ nhận được những thông tin chính xác về nguồn gốc xuất xứ, giấy tờ, chứng chỉ, với mức giá Discount theo quy định của Cisco, đặc biệt hơn là hàng luôn sẵn kho số lượng lớn để đáp ứng nhu cầu của khách hàng.

ANBINHNET ™ có văn phòng giao dịch tại 2 thành phố lớn nhất là Hà Nội và Hồ Chí Minh (Sài Gòn), giúp mang lại sự thuận tiện cho khách hàng có nhu cầu mua thiết bị Router Cisco Chính Hãng có thể đến trực tiếp văn phòng của chúng tôi, cũng như rút ngắn thời gian giao hàng các sản phẩm Cisco Router Giá Tốt đến với khách hàng.

Để Nhận Thông Tin Hỗ Trợ Báo Giá Dự Án, Đặt Hàng, Giao Hàng, Bảo Hành, Khuyến Mại, Hỗ Trợ Kỹ Thuật của các sản phẩm Router CiscoHãy Chát Ngay với chúng tôi ở khung bên dưới hoặc gọi điện tới số hotline hỗ trợ 24/7 của ANBINHNET ™. Hoặc quý khách có thể liên hệ tới văn phòng của chúng tôi tại theo thông tin sau:

Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Hà Nội

Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Sài Gòn

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

HOTLINE 24/7: 098.234.5005 - 0967.40.70.80