MPF簡介
MPF三大組成部分
配置3到4層政策
OSI 3到4層Class-map定義流量
OSI 3到4層Policy-map運用行為到流量
OSI 3到4層policy-map詳解
Service Policy
1.運用policy-map到一個接口,或者全局運用到所有接口
2.政策的方向基于policy-map的運用
- 沒接口:歸類和行為被運用到兩個方向上 全局:歸
- 類和行為被運用到所有接口的入方向 policing,
- shaping和priority例外
MPF對網管流量的控制
拓撲圖需求如下所示:
比對acl規則全局放行icmp/telnet 流量,但拒絕outside進入的icmp
(接口通路規則優于全局通路規則,注意全局規則隻能有一個生效)
由于網絡政策隻能控制穿越的流量,而抵達ASA的流量隻能用管理政策來控制,是以通過CLI配置管理政策步驟如下:
首先在ASA輸入放行 telnet 192.168.30.0 255.255.255.0 inside 的流量
Asdm圖像化添加管理政策步驟如下:
在ASA原預設全局政策下添加狀态話監控icmp流量,這樣outbound方向的icmp流量就可以允許通過了,telnet流量預設也允許通過。
(ASA預設隻對tcp/udp流量進行狀态監控,icmp和esp預設拒絕)
想要放行ESP流量,首先acl抓取esp流量,再在class-map調用acl,接着可以在預設的policy-map調用class-map動作為監控ipsec雙向通過流量(一個policy可以有多個access,其中每個class有各自的動作),最後在預設的service-map中調用global_policy
限制無用idle時間内關閉重置連接配接,首先acl比對流量,class-map調用acl,再在policy-map調用class-map。注意測試得知,隻能将一個policy-map配置作為全局的service-policy
這裡逾時沒有斷開連接配接,但是idle時間重新整理了,不知道為什麼可能自動重建立立連接配接了
由于預設ASA工作在透明模式并處理穿越流量時不減TTL值
(源tracer目的主機,發送ttl值為1且端口号大于3000的udp封包,第一跳路由收到後減去ttl值後為零,發送icmp逾時給源,源收到後記錄位址資訊,再發送ttl為2的封包給目的,直到目的接收到後檢測沒有大于3000的端口服務後發送icmp端口不可達資訊給源)
思科tracer預設發送端口号為33434的udp封包,是以定義acl抓取大于33433的udp封包
定義一個class-map比對acl,
在全局調用的server-policy global_policy裡調用class-map動作為減ttl
測試成功!!!