3 4AVC_NFC_mkader © Cisco ( ) , 2012 ˝. ˚ ˜ !" " # . $% #%#& ' % Cisco 53 K 6! % 6˜ F ;%˜ "show" ˜! % =! # 4 MIB _ 6! % 6˜ 4 F & ˜ 6!' %˜ "custom-0X" ! Router

© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 1

Михаил Кадер[email protected]


Как получить подарок:

• внимательно слушать лекции по технологиям Cisco

• посещать демонстрации, включенные в основную программу

• пройти тесты на проверку знаний

Тесты будут открыты:

с 15:00 25 октября по 16:30 26 октября

www.ceq.com.ua


- Обоснование необходимости применения

- Что такое приложение?

- Как идентифицировать приложения?

- Что такое NBAR?

- Что такое NBAR2 (NBAR нового поколения)?

- Каким образом сообщается информация о приложении?

- Как управлять приложением?

- Передовые идеи

- Производительность и диагностика

- Потенциальные проблемы DPI/NBAR2

- Сценарии использования и примеры

- Мониторинг

- Стандартизация


Введение


межсетевой

экран

защита от

вирусов

система

предотвращения

вторжений на уровне

узлов

web-

прокси

предотвращен

ие спама

система

предотвращен

ия сетевого

вторжения

сетевых

вторжений

аномалий

NetFlow

усовершенств

ованных

вредоносных

программ

поведенческ

их

аномалий

NetFlow

журналы

событий

журналы

web-прокси

межсетевой

экран для web-

трафика

"черный список"

IP-адресов

блокировка

учетных записей

масштабируемая

система

распределения

нагрузки

мониторинг

устройств

анализ

NetFlow

SEIM-

анализ

анализ

вредоносн

ых

программ


Netflow


ИнтернетИнтернетИнтернет

Центр

обработки

данных

Центр

обработки

данных

Центр

обработки

данных

Шлюзы

интернет-

провайдера

Коллектор

NetFlow

Шлюзы

ЦОД

Корпоративная

магистральная

сеть

Сбор данных в критических точках для обнаружения угроз в исходящем сетевом трафике

7


Коллектор

NetFlow

Центр управления

ботнетом - сервер

Command and

Control

Центр управления

ботнетом - сервер

Command and

Control

Запрос NetFlow для определения

точек подключения

инфицированного узла

Сценарий NetFlow - ботнет

Инфицированный

компьютер

сотрудника

Инфицированный

компьютер

сотрудника


Запрос NetFlow для определения всех ПК,

подключенных к ранее определенному

узлу C2

Сценарий NetFlow - ботнет (2)

9


10

Совместная работа организаций

по обеспечению защиты

информации� Форум групп реагирования на угрозы

безопасности (FIRST)

� *-ISAC (центры совместного

использования и анализа информации)

� Исследовательско-аналитический центр

по системам доменных имен (DNS-OARC)

� Организация по обмену информацией в

области защиты данных, передаваемых по

сети (NSIE)

� Организация по обмену информацией в

области защиты данных оборонного

характера (DSIE)

� Infragard

� Специальная группа Bay Area APT (SIG)


11

Компании, специализирующиеся

на исследованиях в области

компьютерной безопасности

�Damballa

�SensorBase

�SenderBase

�FireEye

�Netwitness


Источники

•на основе сигнатур

•пассивный сбор

•первичный источник

оповещения

•инструмент глубокого анализа

•возможность фильтрации

•ограниченное воздействие на

систему

•слабое воздействие на

устройства

•основной инструмент

исследования

•небольшой требуемый объем

памяти

1 2


NetFlow: Принцип работы

AA

BB

CC 1 3


Шаблоны NetFlow для IOS, NX-OS

1 4

# conf t(config)# mls netflow interface(config)# mls flow ip interface-full(config)# ip flow-export source <interface x/x>(config)# ip flow-export version <#>(config)# ip flow-export destination <ip address | esl record> <port>(config-int)# ip flow ingress#


Шаблоны для IOS, NX-OS

1 5

# conf t(config)# feature netflow(config)# flow record <record-name>(config)# match ip ipv4 source address(config)# match ip ipv4 destination address…(config)# flow exporter <exporter-name>(config)# destination <ip address | esl-record>(config)# transport UDP 2055(config)# version <#>(config)# source <interface>(config)# flow monitor <monitor-name>(config)# record <record-name>(config)# exporter <exporter-name>(config-int)# ip flow monitor <monitor-name> input(config)# end#

Включение NetFlow в

NX-OS

Включение NetFlow в

NX-OS


А если надо детальнее?


Распознавание сетевых приложений (Network Based Application Recognition,NBAR) - это предлагаемая компанией Cisco инструментальная возможностьуправления устройствами. С помощью NBAR осуществляется глубокий анализпакетов, в результате которого собирается статистическая информации отрафике определенного приложения. Компания Cisco инвестировала большойобъем средств в разработку NBAR нового поколения. Например, NBAR воборудовании на ASR1k, с большим количеством новых распознаваемыхприложений и т.д.

Мы обсудим основные понятия, конфигурацию, новые возможности,характерные особенности платформы и влияние на производительность. Такжезатронем вопросы архитектуры и сценарии развертывания для системыобнаружения и контроля приложений Application Visibility and Control (AVC).Кроме того, будет обращено внимание на взаимосвязь с системами,обладающими похожими возможностями, такими как QoS, NetFlow, IPV6 идругими. Также предлагается обзор приложений для управления,поддерживающих NBAR.

Тема актуальна как для предприятий, так и для поставщиков услуг, которымнеобходимо знание о трафике определенного приложения и управление им.


Обоснование необходимости применения для

и

производительности приложений


Интернет / центр обработки

данных, ЦОД Webex

� Бизнес-приложения

� Голосовой и видеотрафик

� Приложения передачи данных

Глобальная сеть 1(IP-VPN)

Глобальная сеть 2(IPVPN, DMVPN)

MC/BR

MC/BR

BR

MC/BR

BR

MC/BR

BR

BR

Центр. офис





• Что происходит в моей сети?

• Классификация голосового трафика

• Классификация видеотрафика

• Критически важные приложения

• Низкоприоритетные приложения

просмотра WEB





• Какие приложения испытывают

трудности?

• Кто передает слишком много

информации?

• Куда идет наибольший трафик?




MC/BR

MC/BR

BR

MC/BR

BR

MC/BR


• Каким образом оптимизировать

голосовой и видеотрафик?

• Как оптимизировать сетевые

ресурсы?

• Как управлять качеством видео при

перегруженности сети?

• Как обеспечить безопасность сети?


ИТ

Ресурсы

Услуга

УправлениеОптимизация

Основа

Сетевые

установки

• Планирование, настройка, мониторинг, диагностика

• Сеансы, оконечные устройства и инфраструктура сервисов

• Параметры соглашений об уровнях обслуживания (SLA)

Управление сетью

• Ускорение работы приложений, разгрузка

• Снижение трафика глобальной сети и задержек при работе приложений

Оптимизация

• Планирование пропускной способности

• Видимость в сети и поведение приложений

• Динамический поиск неисправностей

Мониторинг и

средства измерения

• Установка приоритета критического для бизнеса трафика

• Соответствие установленным бизнес-политикам и приоритетам

Управление

• Автоматическое распознавание приложений

• Осведомленность о контексте приложений

Идентификация и

классификация


� Обеспечение выполнения SLA прикладного уровня - измерение, оповещение и выполнение

- Производительность устройств, также как и SLA сетевого уровня, не переносится на производительность приложений

- Требуется анализ и измерение характеристик прикладного уровня

� Обеспечение динамического управления характеристиками

- Функционирование приложений в реальном времени, предоставление отчетов и мониторинг

- Возможность управления сервисными параметрами приложений


Что такое приложение?


Клиент 1 Клиент 2

Сервер

?

Примеры приложений: Skype, Bittorrent, Emule, Gnutella и т.д.


Приложения могут основываться на протоколах, использующих стандартные порты IANA (протокол уровня L4)

Клиент 1 Клиент 2

СерверКлиент 1- сервер:

Клиент 2- сервер:

Протокол уровня L4


Приложения могут основываться на стандартных IP-протоколах (протокол уровня L3)

Клиент 1 OSPF:

Сервер

Протокол

уровня L3

Клиент 1:

Протокол маршрутизации:

OSPF


Приложения могут основываться на протоколах уровня L2, Ethertype: ARP, CDP (LLDP), VTP и т.д.

Клиент 1Клиент 2

Сервер

Протокол уровня L2

MAC-адрес IP-адрес0 1: 0 2: 0 3: 0 4: 0 5 : 0 6 1 9 2. 1 6 8. 0. 1 00 1: 0 2: 0 3: 0 4: 0 5 : 0 7 1 9 2. 1 6 8. 0. 1 10 1: 0 2: 0 3: 0 8: 0 9: 0 1 1 9 2. 1 6 8. 1. 2


� Ссылка на "специальные приложения" в NBAR

� Ваши собственные приложения также являются действительными приложениями!

FFFF0000 FFFF

Если в позиции X полезной нагрузки

обнаруживается "Moonbeam", то это –

"MyApplication"


� "Приложения" могут основываться на:

- уровне L4, использующем определенный порт (например, HTTP, FTP)

- уровне L3, использующем определенный тип протокола (например, ICMP, OSPF)

- уровне L2 (например, ARP, CDP)

- любом протоколе или приложении уровня L7, т.е. кодирование входит в полезную нагрузку (например, Skype)

- ваших собственных технических характеристиках (например, "MyApplication")

� Четкая граница между приложением, протоколом и сервисом отсутствует:

- Принятое соглашение: использовать понятие "приложение" во всех перечисленных вариантах

- Система NBAR, в соответствии со своими возможностями, определяет самое «вложенное» приложение

http://www.iana.org/protocols/

http://www.iana.org/assignments/port-numbers

http://www.iana.org/assignments/protocol-numbers/

http://www.iana.org/assignments/icmp-parameters

http://www.iana.org/assignments/arp-parameters/arp-parameters.xhtml


Как идентифицировать приложения?


� Преимущества:

- Стандартная настройка QoS

- Все счетчики доступны по протоколу SNMP с модулем MIB "CISCO-CLASS-BASED-QOS-MIB"

� Проблемы:

- Можно ли доверять источнику?

- Можно ли доверять источнику для правильной установки значения в поле кода дифференцированных сервисов DSCP?

- Не будет ли значение DSCP изменяться по пути следования?

- Одно приложение на DSCP?

class-map match-all class-videomatch dscp ef

!policy-map policy_video

class class-videobandwidth percent 30

!interface GigabitEthernet 0

service-policy output policy_video


� Идентификация приложения по IP-адресу, типу протокола и номеру порта

� Вопрос: Ваше мнение по данному вопросу?

Router(config)# access-list 107 permit tcp any host 192.168.1.2 eq www

HTTP 80%

… …


Отчет (предоставленный Lancope) 4 уровня без учета особенностей приложений

HTTP


Отчет (предоставленный Lancope) 7 уровня с учетом особенностей приложений

HTTP


� Является ли HTTP единственным приложением, работающим через порт 80?

- Skype, Bittorent, код червей Red&Nimda, троянские программы и пути обхода системы защиты, Xbox LIVE, приложения и игры и т.д.

� Каким образом мы узнаем, что HTTP - это действительно HTTP?

- Рассмотрим полезную нагрузку порта 80. Видим ли мы номер версии 1.0 или 1.1 ? Выполняются ли команды HTTP GET, PUT ? Другие?

- Что происходит с портом 8080? Этот порт обычно используется веб-браузером

- Что произойдет, если кто-нибудь решит запустить веб-сервер на порте TCP 23?

� Выводы:

- Протокол HTTP стал НОВЫМ транспортным протоколом

- Для четкой идентификации приложения необходимо тщательно исследовать полезную нагрузку

- Может не соблюдаться назначение порта (если оно имеет место)

- В идеальном случае следует проверить все порты определенного приложения



� Управляющая информация между двумя оконечными устройствами о способе открытия соединения для передачи данных

� В качестве соединения для передачи данных может выступать новое соединение TCP/UDP, которое в некоторых случаях не использует стандартный порт TCP.

� Для приоритезации трафика данных необходимо знать, какие порты TCP/UDP искать при открытии клиентом или сервером нового соединения для передачи данных.

� Примеры: FTP

� Вывод:

- Необходим анализ с отслеживанием состояния для динамически назначенных при установлении соединения номеров портов TCP и UDP


� Является ли приложением youtube?

- Если при проверке будет установлено, что имя узла = www.youtube.com, то "youtube" можно классифицировать

� Классификация по извлекаемому полю или субприложению

- Пример: Классификация HTTP (на основании URL, имен узлов или mime)

- Может использоваться в политике

� Классификация на основе DPI и ряда атрибутов приложения:

- Транспортный протокол реального времени (RTP): классификация полезной нагрузки основывается на данном алгоритме, в соответствии с которым пакет классифицируется как RTP по нескольким атрибутам в заголовке RTP.

� Вывод:- Необходимо также идентифицировать некоторые "извлекаемые поля

приложения"


� Возможные различные политики, основанные на информации о транспорте приложений, также известные как транспортная иерархия

� Транспортная иерархия приложений дает информацию о контексте

� Пример: SAP в TCP, SAP в HTTP или SAP в Citrix

- Как можно узнать о транспортной иерархии приложений, если сообщается только SAP?

- В частности, при наличии нескольких приложений 7 уровня

� Пример: методы перехода к IPv6

- IPv6 внутри IPv4

� Пример: приложения с туннелированием

� Вывод:

- Следует идентифицировать "транспорт приложений"


Что такое NBAR?


� Классификация трафика приложений на уровнях L4-L7

� Может использоваться совместно со средством распознавания протоколов (ProtocolDiscovery) для получения представления о структуре сетевого трафика

� Может использоваться совместно с MQC (модульного интерфейса управления качеством обслуживания) для управления структурой сетевого трафика

� NBAR помогает идентифицировать высоко- и низкоприоритетный трафик, к которому необходимо применить соответствующую политику QoS

� Интеграция с Flexible NetFlow (FNF): NBAR может экспортировать данные о трафике в коллектор NetFlow

� NBAR используется в качестве подсистемы глубокого анализа пакетов (DPI) в PfR

� Поддерживаемые устройства: ISR-G1 (85x, 87x, 18xx, 28xx, 38xx), ISR-G2 (86x, 88x, 89x, 19xx, 29xx, 39xx), 2600XM, 3700, 7200, 7301, 7304-NPE, ASR1000, 7600 FlexWAN и SIP-200, catalyst 6000 supervisor 32 PISA (в настоящее время снятые с производства)

- Примечание 1: не рекомендуется запускать NBAR на ISR-G1

- Примечание 2: NBAR2 (нового поколения) поддерживается только на ISR-G2 и ASR1000


� Идентифицирует приложения

- Статически назначенные

- Динамически назначенные в ходе установления соединения

� IP-протоколы, не относящиеся к TCP/UDP

� Эвристическая классификация:

- Анализ пакетов данных для определения структуры трафика приложений

- Классификация заголовков и анализ пакетов данных

� Анализ с отслеживанием состояния

- Отслеживание входящего и исходящего трафика приложений по мере прохождения по сети


Для четкой идентификации приложения необходимо тщательно исследовать полезную нагрузку

В идеальном случае следует проверить все порты определенного приложения

Необходим анализ с отслеживанием состояния для динамически назначенных при установлении соединения номеров портов TCP и UDP

Необходимо также идентифицировать некоторые "извлекаемые поля приложения"

Следует идентифицировать "транспортировку приложений"

NBAR Выводы по предыдущему разделу


� Распознавание протоколов (Protocol Discovery)

- Выявляет и предоставляет статистические данные по приложениям в реальном времени

- Отчетность: по интерфейсам, по приложениям, статистические данные по входящему и исходящему трафику : скорость передачи данных (бит/с), число пакетов и байтов

- Информация доступна в базе данных CISCO-NBAR-PROTOCOL-DISCOVERY-MIB

- Примечание: Flexible NetFlow дает возможность распознавания протоколов

� Классификация трафика посредством Modular QoS (модульный интерфейс качества обслуживания)

- Оптимизация приложений

- NBAR определяет эффективность использования пропускной способности сети при выполнении функций QoS:

Гарантированная пропускная способность (CBWFQ)

Применение политик и ограничение пропускной способности

Формирование трафика и разметка пакетов (ToS или DSCP)


� Настройка сбора статистических данных о трафике для всех приложений, известных NBAR

� Также используется для распознавания приложений

� Распознавание протоколов приложений на интерфейсах и заполнение базы данных CISCO-NBAR-PROTOCOL-DISCOVERY-MIB

� Поддержка как входящего, так и исходящего трафика

� Команда настройки

� Команда отображения

Router# show ip nbar protocol-discovery [interface interface-spec][stats {byte-count|bit-rate|packet-count}][protocol protocol-name| top-n number}]

Router(config)# interface fastethernet 0/0Router(config-if)# ip nbar protocol-discovery


Router# show ip nbar protocol-discovery top-n 5 Gigabit Ethernet0Input Output----- ------

Protocol Packet Count Packet CountByte Count Byte Count5min Bit Rate (bps) 5min Bit Rate (bps)5min Max Bit Rate (bps) 5min Max Bit Rate (bps)

---------------- ------------------------ ----------- ------------skype 395 75

28539 6415 1000 1000 2000 2000

icmp 101 100 7360 6860 0 0 0 0

snmp 28 0 1988 0 0 0 0 0

netbios 9 0 738 0 0 0 0 0

unknown 205 204 14976 10404 0 00 0

Total 41304 40944 2649809 26198396000 60007000 7000

� Статистика Top-N для всех интерфейсов при включенной функции распознавания протоколов NBAR

� В базе данных NBAR-PD- MIB предоставляется статистика Top-N по всем интерфейсам, где N может отличаться для каждого интерфейса


� NBAR гарантирует эффективное использование пропускной способности сети при выполнении функций QoS:

� Распознавание протоколов приложений на интерфейсах

� Поддержка как входящего, так и исходящего трафика

� Заполнение базы данных CISCO-CLASS-BASED-QOS-MIB

- Счетчики до и после применения политики

� Команда настройки

Примечание: Контролируются только настроенные <applications>

Router(config)# class-map [match-any|match all] <myClass>Router(config-cmap)# match protocol < application>


policy-map limit-p2pclass peer2peerbandwidth percent 10

class-map match-any peer2peermatch protocol kazaa2match protocol gnutellamatch protocol fastrack

interface Serial1service-policy input limit-p2p

� Карта классов class-map определяет идентифицируемый трафик

� Карта политик policy-map определяет способ обработки трафика на основании карты классов class map


ip nbar custom lunar_light8 ascii Moonbeam tcp range 8000 8001

!

class-map solar_systemmatch protocol lunar_light

!

policy-map astronomyclass solar_systemset ip dscp AF21

!

interface Serial1service-policy output astronomy

• И м я ( “l u n a r l ig ht ” )- и м я к р и т е р и я п о и с к а с о о т в е т с т в и я д л и н о йд о 24 с и м в о л о в• С м е щ е н и е (п р оп у с т и т ь п е р в ы е " 8 " ба й т о в ) ) - у к а з ы в а е т с ян а ч а л ь н ы й б а й т с т р о к и и л и з н а ч е н и я в п а к е т е д а н н ы х, к о т о р о еп р о в е р я е т с я н а с о о т в е т с т в и е к р и т е р и ю п о и с к а , о т с ч е т б а й т о вн а ч и н а е т с я с н у л я• Ф о р м а т ( " a s c i i " )- о п р е д е л я е т с я ф о р м а т к р и т е р и я с о о т в е т с т в и яA S CI I , he x и л и de c im a l• З н а ч е н и е ( " Mo o n be a m " )- з н а ч е н и е к р и т е р и я п о и с к ас о о т в е т с т в у ю щ е г о з н а ч е н и ю в п а к е т е. П р и и с п о л ь з о в а н и иф о р м а т а A S CI I д л и н а н е п р е в ы ш а е т 1 6 с и м в о л о в• [ И с х о д н ы й п о р т и л и п о р т н а з н а ч е н и я ] ( " [ s o u r ce |d e st i n at io n ] " )-н е о б я з а т е л ь н ы й п а р а м е т р , о г р а н и ч и в а ю щ и й н а п р а в л е н и еа н а л и з а п а к е т а ; п о у м о л ч а н и ю и с п о л ь з у е т с я д в у н а п р а в л е н н ы йа н а л и з• T CP и л и U D P ( " t c p " )- у к а з ы в а е т с я п р о т о к о л ,и н к а п с у л и р о в а н н ы й в I P - п а к е т е• Д и а п а з о н и л и в ы б р а н н ы й н о м е р п о р т а ( п о р т о в ) ( " r a n g e 2 0 0 02 9 9 9 " ) - "д и а п а з о н " с " н а ч а л ь н ы м " и "к о н е ч н ы м " н о м е р а м ип о р т о в , м о ж е т у к а з ы в а т ь с я д и а п а з о н д о 1 0 0 0 н о м е р о в и л и о т 1 д о1 6 о т д е л ь н ы х н о м е р о в п о р т о в


� Используется для явной классификации на основании портов

� В системе NBAR приложения называются по умолчанию "custom-01", "custom-02" и т.д.

- Совет: давать приложениям осмысленные имена

- Имя будет появляться при распознавании протоколов и в экспорте NetFlow

� Для проверки доступны только первые 255 байтов полезной нагрузки

� До 16 пользовательских приложений (121 в NBAR2)

� Специальные приложения на основе извлекаемых полей на данный момент

отсутствуют (пример: URL, host т.д.)

� В случае, если порт связан с другим приложением, генерируется следующее

сообщение об ошибке:

используйте команду:

router(config)# ip nbar custom name [offset [format value]] [variable field-name field-length] [source|destinat ion] [tcp | udp] [range start end | port-number]

router# NBAR Error: Specified port(s) are associated with <prot ocol>

Router(config)# ip nbar port-map <name> tcp|udp <list of ports>


� Пользовательские приложения появляются в команде "show" распознавания протоколов и в базе данных MIB

� Для пользовательских приложений используется имя "custom-0X" или новое назначенное имя

Router# show ip nbar protocol-discovery top-n 5

Serial0/0 Input Output

Protocol Packet Count Packet Count Byte Count Byte Count 5 minute bit rate (bps)5 minute bit rate (bps)

---------- ----------------------------------------- ------custom-01 40565 40565

2596160 2596160 3000 3000

telnet 395 75 28539 6415 0 0

icmp 101 100 7360 6860 0 0

snmp 28 0 1988 0 0 0

netbios 9 0 738 0 0 0

unknown 205 204 14976 10404 0 0

Total 41304 40944 2649809 26198393000 3000


� Использование "множественных совпадений для отдельного порта" увеличивает гибкость распознавания пользовательских приложений

� Пример: идентифицировать UDP-пакеты в диапазоне портов назначения (5000-5005) и различными значениями "0xNN" в 20-ом байте полезной нагрузки

router(config)# ip nbar custom name [ offset [ format value]] [variable field-name field-length] [ source|destination] [tcp | udp] [range start end | port-number]

router(config)# ip nbar custom virus_home 20 variable scid 1 dest udp range 5000 5005router(config)# class-map active-craft router(config-cmap)# match protocol virus_home scid 0x15router(config-cmap)# match protocol virus_home scid 0x21router(config)# class-map passive-craft router(config-cmap)# match protocol virus_home scid 0x11router(config-cmap)# match protocol virus_home scid 0x22

•


Что такое NBAR2? (NBAR нового поколения)


NBAR нового поколения

NBAR нового поколения

IOS NBAR+150 сигнатур

IOS NBAR+150 сигнатур

Классификация SCEЕще больше сигнатур

Усовершенствованные методы классификации

Классификация «День-0»

+1100 сигнатур

Классификация SCEЕще больше сигнатур

Усовершенствованные методы классификации

Классификация «День-0»

+1100 сигнатур ИнновацииКлассификация трафика IPv6

Классификация вложенного трафика

Извлечение полей

Общая библиотека приложений

Атрибуты

ИнновацииКлассификация трафика IPv6

Классификация вложенного трафика

Извлечение полей

Общая библиотека приложений

Атрибуты

� NBAR2 - это вперед в разработке подсистем классификации

Фактически, это но с сохранением названия NBAR для единообразия

� Переработка архитектуры NBAR связана с использованием системы управления услугами Service Control Engine (SCE): усовершенствованные методы классификации, количество сигнатур, точность и т.д.

� Еще более тесная интеграция в будущем: классификация приложений «Дня-0»

� Система NBAR2 ориентирована только на ISR-G2 и ASR1K


� NBAR2 принимается в качестве межплатформенного механизма классификации приложений, разработанного компанией Cisco

� Поддерживает ~900 "приложений" и подклассификаций, а также около 100 новых сигнатур в год

� Классификация приложений все более усложняется и выступает в качестве основного средства дифференциации в системах DPI

Год

Механизм

классификации

Без отслеживания состояния

на уровне L4

На основании портов

Без классификации

протоколов

С отслеживанием состояния

(на основании потока)

Сигнатуры уровня L7

MPE – мультипакетная

подсистема

Методы нового поколения:

поведенческие и

статистические

1990 2000 2010 2020

Telnet, SNMP, SSH

HTTP, NNTP, POP3

RTP, Skype, Bittorrent

Разделение голосовой передачи

и чата, любые соединения P2P,

любые видео (совершенно новая

возможность)


� Общая библиотека приложений для различных платформ NBAR2

- Сигнатуры, не зависящие от платформ, объединение библиотек приложений NBAR и SCE

� Доставка сигнатур с помощью пакета протоколов

- Разделение обновления сигнатур и базового образа

- Установка нового пакета протоколов без прерывания работы

� Усовершенствованные методы классификации

- Поддержка IPv4, IPv6 и вложенного трафика (метод перехода на IPv6 и т.д.)

- Оптимальные методы классификации от SCE (мультипакетная подсистема Multi-Packet Engine)

- Классификация по категориям, подкатегориям и атрибутам

� До 121 пользовательских приложений

� И ряд других возможностей, представленных в данной презентации

15.2(1)T1,

IOS XE

3.3.0S

15.2(1)T1,

IOS XE

3.3.0S


Сигнатуры

протоколов

2000 Сегодняшний день

900

1200

100

IPv4 и IPv6

Сложные сигнатуры

NBAR2

http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6558/ps6616/product_bulletin_c25-627831.html

Библиотека приложений NBAR:


http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6558/ps6616/product_bulletin_c25-627831.html


FILETOPIA VENTRILO ISAKMP DNS SSL OPEN-VPN

ITUNES TEAMSPEAKYAHOO

MESSENGER VOIPWEBEX-MEETING CISCO IP CAMERA STEAM

NAPSTER PANDO RTMP WINDOWS UPDATE WINNY RTMPE

POCO WEBTHUNDER

YAHOO

MESSENGER VOIP

OVER SIP

ENCRYPTED BITTORRENT GOOGLETALK-VOICEMANOLITO

SSDP MAPLESTORY PPLIVE ENCRYPTED EMULE GOOGLETALK-FT BABELGUM

RADIUS TOMATOPANG ICQ MS-WBT STUN-NAT PPSTREAM

HTTP TUNNEL SONGSARI FRING VOIP NETWORKING-GNUTELLA LIVEMEETING RTMP

GURUGURUTEREDO IPV6

TUNNELEDWASTE YAHOO-VOID-OVER-SIP GMAIL

SORIBADAAYIYA IPV6

TUNNELEDKURO SOCKS VIBER

DHT6RD IPV6

TUNNELED

MSN MESSENGER

VOIP

GRIDFTP

SLINGISATAP IPV6

TUNNELEDGMAIL XMPP-CLIENT MEGAVIDEO

STUN BAIDU MOVIE STUN GMAIL-CHAT NETFLIX

GOOGLEEARTH MMS SSL GOOGLETALK-VIDEO GOOGLETALK-CHAT


Каким образом получить информацию о приложении?


� Поддерживается на всех платформах, на которых может выполняться распознавание протоколов NBAR

� Предоставляет статистические данные по приложениям, распознанным NBAR:

- скорость передачи данных (бит/с), число пакетов и байтов

- по направлению (входящий и исходящий трафик)

� Включает статистические данные для трафика, идентифицированного в соответствии с классификацией пользовательских специальных приложений

� Настраивает и предоставляет для просмотра несколько top-n таблиц со списком приложений, отсортированных по коэффициенту использования пропускной способности

� Настройка пороговых значений и уведомлений

12.2(15)T,

IOS XE 2.5

12.2(15)T,

IOS XE 2.5


� Если распознавание протоколов включается через MIB, то оно включено как IPv4, так и IPv6

� Однако, MIB наследует все параметры, которые были подключены через интерфейс командной строки (CLI)

Input Output

Protocol Packet Count Packet Count

Router(config-if)# ip nbar protocol-discovery ?ipv4 Enable protocol discovery only for ipv4ipv6 Enable protocol discovery only for ipv6<cr>

Router# show ip nbar protocol-discovery interface GigabitEthernet0/1/4 stats packet-count t op-n 5

Last clearing of "show ip nbar protocol-discovery" counters 00:00:34Input Output ----- ------

Protocol Packet Count Packet Count ------------------------ ------------------------ -------------guruguru 0 30 ipv6-icmp 3 2 unknown 0 3 Total 3 35

15.2(1)T1,

IOS XE

3.3.0S

15.2(1)T1,

IOS XE

3.3.0S


� Два индекса

- Интерфейс: ifIndex от IF-MIB

- Приложение: cnpdAllStatsProtocolsIndex

Router# show snmp mib ifmib ifindex FastEthernet0/0: Ifindex = 1FastEthernet1/0: Ifindex = 2Loopback0: Ifindex = 12…NMS% snmpwalk -c public <router> cnpdAllStatsEntrycnpdAllStatsProtocolName .2.1= STRING: "ftp"cnpdAllStatsProtocolName.2.2= STRING: "http"�cnpdAllStatsHCInPkt .2.1= Counter32: 20 cnpdAllStatsHCInPkt.2.2= Counter32: 8406...cnpdAllStatsHCOutPkts .2.1= Counter32: 10cnpdAllStatsHCOutPkts.2.2 = Counter32: 2830

cnpdAllStatsInBytes(5),cnpdAllStatsOutBytes(6) , cnpdAllStatsHCInPkt(7), cnpdAllStatsHCOutPkts(8), cnpdAllStatsHCInBytes(9), cnpdAllStatsHCOutBytes(10), cnpdAllStatsInBitRate(11), cnpdAllStatsOutBitRate(12)


� Устанавливаются пороговые значения для отдельных программ наинтерфейсе или статистические данные в независимости от приложения

- Пороговые значения для любой комбинации поддерживаемых приложений и/ или для всех приложений

� Настройка уведомлений на основе пороговых значений статистических данных

� Поддерживается таблица истории всех уведомлений о событиях (макс. 5000)

- Информация хранится в течение длительного периода времени в случае выхода за границы порогового значения

� Уведомление генерируется и отправляется вместе с краткой информацией о пороговом значении

- Использование механизма запаздывания предотвращает возникновение нескольких событий выхода за границы порогового значения в одной выборке


Таблица Описание SNMP-доступ

cnpdSupportedProtocols Список всех поддерживаемых протоколов Только для чтения

cnpdAllStats Все статистические данные NBAR по

интерфейсу

Только для чтения

cnpdTopNstats Таблица статистических данных Top-N Только для чтения

cnpdThresholdhistory История событий падения и роста показателей

по сравнению с пороговыми значениями

Только для чтения

cnpdStatus Включает или отключает применение NBAR по

отношению к интерфейсу, включая отметки

времени

Чтение-запись

cnpdTopNconfig Настройка таблицы top-N по интерфейсу Чтение-запись

cnpdThresholdconfig Настройка пороговых значений протокола Чтение-запись

cnpdNotificationsconfig Включение прерываний Чтение-запись

cnpdMIBNotifications События падения или роста показателей по

сравнению с пороговыми значениями

-

� Навигатор по объектам SNMP: http://www.cisco.com/go/mibs

� ftp://ftp.cisco.com/pub/mibs/v2/CISCO-NBAR-PROTOCOL-DISCOVERY-MIB.my


Пример уведомления t hSystemUpTime – время возникновения уведомления

У отслеживаемого протокола наблюдалось превышение настроенного порогового значения для интерфейса, но не было отмечено падение ниже порогового значения

Уведомление для каждого события

ThresholdRisingEvent,

для которого будет происходить событие

ThresholdFallingEventIfindex.3 Serial0/1

Значение выборки во время выхода за пороговое значения = 1 бит/с

(входящая + исходящая) скорость передачи данных

Настроенное нижнее пороговое значение для (входящей + исходящей) скорости передачи

данных = 5 бит/с

Отслеживаемый протокол 33 = Telnet

cnpdThresholdHistory

Router(config)# snmp-server enable traps cnpd


Class-Map Stats Table (cbQosCMstats)


cbQosObjectsTable

CISCO-CLASS-BASED-QOS-MIB

cbQosPolicyIndex 1055cbQosObjectsIndex 1055cbQosConfigIndex 1040cbQosObjectsType ‘policymap’cbQosParentObjectsIndex 0

cbQosPolicyIndex 1055cbQosObjectsIndex 1056cbQosConfigIndex 1033cbQosObjectsType ‘classmap’cbQosParentObjectsIndex 1055

cbQosPolicyIndex 1055cbQosObjectsIndex 1058cbQosConfigIndex 1037cbQosObjectsType ‘matchStatement’cbQosParentObjectsIndex 1056

cbQosPolicyIndex 1055cbQosObjectsIndex 1060cbQosConfigIndex 1039cbQosObjectsType ‘matchStatement’cbQosParentObjectsIndex 1056

предложение соответствия

карта политик

карта классов карта классов

предложение соответствия

ограничение трафика

предложение

соответствия

случайное обнаружение


� Отслеживает данные на уровнях со 2 по 4

� Определяет приложения по комбинации портов или портов и IP-адресов

� Информация о потоке - кто, что, когда, где

� Flexible NetFlow позволяет самостоятельно выбирать ключевые поля


Ка к и м о бр а з о м к э ш ир о в а т ь и н ф ор ма ц и ю?

Ка к о й и н т ер ф е йс н е о бх о д и м о о т с л е ж и в а т ь?

Ка к и е д а н н ы е н е о бх о д и м о к о л и ч е с т в е н н о о ц е н и в а т ь?Router(config)# flow record my-recordRouter(config-flow-record)# match ipv4 destination addressRouter(config-flow-record)# match ipv4 source addre ssRouter(config-flow-record)# collect counter bytes

Ку д а н е о бх о д и м о о т пр а в и т ь д а н н ы е?Router(config)# flow exporter my-exporterRouter(config-flow-exporter)# destination 1.1.1.1

Router(config)# flow monitor my-monitorRouter(config-flow-monitor)# exporter my-exporterRouter(config-flow-monitor)# record my-record

Router(config)# interface s3/0

Router(config-if)# ip flow monitor my-monitor input


router# show flow mon <app_mon> cache

IPV4 SRC ADDR IPV4 DST ADDR APP NAME=============== =============== ===============10.0.1.1 10.0.1.2 nbar rtcp10.0.1.1 10.0.1.2 nbar ssh10.0.1.1 10.0.1.2 nbar telnet10.0.1.1 10.0.1.2 NBAR lunar_light

NBAR = специальные приложения

router(config)# flow record app_recordrouter(config-flow-record)# match ipv4 source addressrouter(config-flow-record)# match ipv4 destination addressrouter(config-flow-record)# match application name

Пример отчета (Cisco Prime Assurance)

Включение имени приложения

NBAR в запись Flexible NetFlow

устанавливает связь имени

приложения с отчетом о потоках.

IOS XE

3.1.1S

15.0(1)M

IOS XE

3.1.1S

15.0(1)M


� Глобальный идентификатор приложения - это уникальный идентификатор для каждого приложения, сообщаемый во все подсистемы DPI в Cisco

- IOS ISR, IOS-XE ASR1k, модуль анализа сети, межсетевой экран IOS

- В перспективе: WAAS Express и т.д.

� Собственный формат Cisco, основанный на

- протоколе уровня L4, т.е. стандартных портах IANA

- протоколе уровня L3, т.е. типе протоколов IANA

- протоколе уровня L2, т.е. Ethertype

- протоколах и приложениях уровня L7: собственные назначения (НЕ зарегистрированные IANA для уровня L7)

� Переход к IETF при помощи данной кодировки идентификатора приложений

- "Экспорт информации о приложениях в IPFIX"

- http://tools.ietf.org/html/draft-claise-export-application-info-in-ipfix-04, вскоре ожидается выход RFC

IOS XE

3.4 S

15.2(2)T

IOS XE

3.4 S

15.2(2)T


� Подсистема присваивает идентификаторам числовые значения следующим образом:

- Engine: prot (IANA_L3_STANDARD, ID: 1)

- Engine: port (IANA_L4_STANDARD, ID: 3)

- Engine: NBAR (NBAR_CUSTOM, ID: 6)

- Engine: cisco (CISCO_L7_GLOBAL, ID: 13)

Router # show ip nbar protocol-idProtocol Name id type----------------------------------------------ftp 21 L4 IANAhttp 80 L4 IANA…

Router # show flow exporter option application tableEngine: prot (IANA_L3_STANDARD, ID: 1)

appID Name Description----- ---- -----------1:8 egp Exterior Gateway P rotocol1:47 gre General Routing En capsulation


� Account-On-Resolution: данные счетчиков и таймеров кэшируются в таблице потока до его классификации, т.к. NBAR2 может брать для классификации несколько пакетов

� До тех пор, пока приложение не будет классифицировано, для имени приложения "application name" используется значение "unknown"

� После классификации потока начинается подсчет его параметров в кэше FNF, при этом добавляются данные счетчиков, кэшированные в таблице потока

Eth0 Unknown 2

Eth0 HTTP 1

SYN

SYN-ACK

ACK

GET URL

200 OK

unknown

unknown

HTTP

router(config)# flow record <app_record>router(config-flow-record)# match application name [ account-on-resolution ]

Eth0 HTTP 3


� Цель: снизить количество экспортированных потоков на монитор

Пример: NBAR на интерфейсе Интернет => будет по-прежнему получать информацию от наиболее популярных веб-сайтов

� Параметр настройки детализации позволит учитывать 1 из 10 потоков для указанного монитора

� Все пакеты, принадлежащие одному и тому же выборочному потоку, будут регистрироваться FNF для каждого экземпляра монитора

router(config)# sampler <sampler-name>

router(config-sampler)# mode {deterministic|random} 1 out-of <value M>

router(config-sampler)# granularity {packet (default) | connection}

IOS XE

3.4S

IOS

Future

IOS XE

3.4S

IOS

Future


� Обычно время устаревания записи FNF основывается на времени ожидания

� Добавляется экспорт на основе транзакций:

– закрытие записи о соединении в момент завершения транзакции или потока

– для обнаружения действительного завершения потока (но не паузу в соединении)

– для отличия нескольких транзакций одного и того же потока, например, когда необходимо извлечь поля из пакета

– время ожидания может отличаться от приложения к приложению

– для сохранения свободных ресурсов в кэш-памяти

– для возможности снижения загрузки коллектора за счет отправки только одной записи при завершении потока

� При экспорте, настроенном на "Transaction End", все записи FNF передаются при завершении потока или транзакции, которая создала данную запись

router(config)# flow monitor <monitor-name>router(config-flow-monitor)# cache timeout event transaction-end

IOS XE

3.4S

IOS

Future

IOS XE

3.4S

IOS

Future


� AVC поддерживает новые параметры измерений на основании данных NBAR и общей таблицы потока (CFT)

- initiator направление потока

- new-connections количество наблюдаемых инициаций соединений

- sum-duration общее время в секундах для всех соединений

- transaction-id идентификатор транзакции между клиентом и сервером

router(config)# flow record <record-name>

router(config-flow-record)# match application name

router(config-flow-record)# match connection transaction-id

router(config-flow-record)# collect connection new-connections

router(config-flow-record)# collect connection sum-duration

router(config-flow-record)# collect connection initiator

router(config-flow-record)# collect flow end-reason

•

•


router(config)# flow record <app_record> router(config-flow-record)# match interface inputrouter(config-flow-record)# match ipv4 source addressrouter(config-flow-record)# match ipv4 destination addressrouter(config-flow-record)# match application name account-on-resolution router(config-flow-record)# collect counter packets router(config-flow-record)# collect counter bytes

router(config)# flow exporter <app_collector> router(config-flow-exporter)# destination <ip address>router(config-flow-exporter)# option interface-tablerouter(config-flow-exporter)# option application-tablerouter(config-flow-exporter)# option application-attributes

router(config)# flow monitor <app_monitor> router(config-flow-monitor)# record <app_record> router(config-flow-monitor)# exporter <app_collector>router(config-flow-monitor)# cache timeout event transaction-end

router(config)# interface eth0/0router(config-if)# ip flow monitor <app_monitor> input

Экспорт значений атрибутов для всех приложений. См. следующий раздел


� Формирование отчетов по приложениям IPv6 при помощи Flexible NetFlow

15.2(1)T1,

IOS XE

3.3.0S

15.2(1)T1,

IOS XE

3.3.0S

router(config)# flow record app_recordrouter(config-flow-record)# match ipv6 source addressrouter(config-flow-record)# match ipv6 destination addressrouter(config-flow-record)# match application name

Router# show flow monitor APPIPv6 cache format table

IPV6 SOURCE ADDRESS IPV6 DESTINATION ADDRESS APPL NAME2A01:E35:8ABF:9510:FA1E:DFFF:FEE1:E789 2A01:E35:8AB F:9510:222:55FF:FEE6:BA98 http



Protocol Discovery или Flexible NetFlow

� Подходит для начального этапа, особенно при отсутствии установленного коллектора NetFlow

� Удобное использование команды "show" с 5 минутной частотой

� Полезный механизм пороговых значений в базе данных MIB

� Незначительно рагружает ЦП

� Отсутствует информация о 5 элементах потока (IP-адрес/ протокол/ порты)

� Более полная информация за счет информационных элементов Flexible NetFlow

� Однако, в большей степени влияет на производительность

� Особенности:

� Точный учет параметров потока до классификации

� Информация на основе выборки

� В перспективе: Извлекаемые поля


Как управлять приложением?




MC/BR

MC/BR

BR

MC/BR

BR

MC/BR

BR

BR


!

!

!class-map my-class

match protocol <application-1>match protocol <application-2>

!


� Выбор на основе атрибутов допускает сопоставление нескольких типов определенных элементов



MC/BR

MC/BR

BR

MC/BR

BR

MC/BR

BR

BR


15.2(2)T1

XE 3.4.0S

15.2(2)T1

XE 3.4.0S

!class-map my-class

match protocol attribute category email!

Примечание: атрибут "email" включает несколько почтовых программ -

outlook, gmail, hotmail, yahoo-mail


Классификация приложений в понятных терминах

Упрощение настройки управления и агрегирование отчетов

file-sharing client-server ftp-group n n n

browsing other other y y y

net-admin routing-protocol ipsec-group unassigned unassigned unassigned

other tunneling-protocols imap-group

internet-privacy network-management irc-group

instant-messaging voice-video-chat-collaboration kerberos-group

email authentication-services ldap-group

newsgroup database sqlsvr-group

voice-and-video naming-services netbios-group

business-and-productivity-tools terminal nntp-group

industrial-protocols streaming pop3-group

gaming p2p-networking snmp-group

obsolete p2p-file-transfer tftp-group

trojan control-and-signaling fasttrack-group

layer3-over-ip inter-process-rpc gnutella-group

location-based-services remote-access-terminal skinny-group

layer2-non-ip network-protocol edonkey-emule-group

commercial-media-distribution bittorrent-group

rich-media-http-content smtp-group

license-manager windows-live-messanger-group

epayement yahoo-messenger-group

storage flash-group

backup-systems skype-group

one-click-hosting corba-group

15.2(2)T1

IOS XE

3.4S

15.2(2)T1

IOS XE

3.4S


� Группировка приложений, основанная на различных характеристиках или свойствах� для каждого атрибута существует набор возможных значений

� в каждом приложение каждому атрибуту назначается значение из набора

� в настоящее время категория, подкатегория, группа приложений, p2p, туннелирование, шифрование поддерживают � статическое присвоение значений атрибутов приложениям

� в настоящее время используется для укрупненной оценки качества обслуживания QoS при составлении отчетов

� Команда "match" QoS допускает настройку определенного значения атрибута� Если новое приложение получает настроенное значение атрибута, то автоматически попадает

в тот же самый класс

� В шаблоне вариантов FnF передается сопоставление приложений и атрибутов� Коллектор может генерировать отчеты, агрегированные по атрибутам

� Дополнительно см. главную страницу библиотеки приложений

router(config-flow-exporter)# option application-attributes

IOS XE

3.4S,

IOS in

future

IOS XE

3.4S,

IOS in

future


� Группы приложений- группировка приложений, входящих в один и тот же комплект приложений или относящихся к

одному и тому же "бренду", например, приложения Yahoo-Messenger, Yahoo-VoIP-messenger

и Yahoo-VoIP-over-SIP попадают в группу "yahoo-messenger-group"

� Категория- группировка приложений с похожей функциональностью с точки зрения конечного

пользователя. Например, ‘email’, `gaming’, `newsgroup’ и т.д.

� Подкатегории- Также как и категории, представляют дополнительный уровень группировки приложений с

похожей функциональностью с точки зрения инфраструктуры или сети. например,`routing-protocol’, `database’, ‘streaming’ и т.д.

� P2P-Technology: логический атрибут, показывающий, использует ли приложение технологию p2p (не поддерживается ASR1000)

� Tunnel: логический атрибут, показывающий, используется ли приложение для туннелирования других приложений

� Encrypted: логический атрибут, показывающий, зашифровано ли приложение


http://www.cisco.com/en/US/partner/prod/collateral/ps7045/ps6129/ps6257/ps6135/cisco_insight.html


� У каждого атрибута есть значение по умолчанию (например, "unassigned" или "other"). Приложения, которым не назначен определенный атрибут, получают значения данного атрибута по умолчанию

� Специальным протоколам назначаются значения атрибутов по умолчанию

Атрибут Тип: Группа по умолчанию Примеры

Группы приложений Группа other skype, skinny, icq

Категория Группа other email, browsing

Подкатегории Группа other epayment, storage

Peer-to-peer логический p2p-tech-unassigned yes, no

Tunnel логический tunnel-unassignedyes, no

Encrypted логический encrypted-unassignedyes, no


� Атрибуты можно использовать в картах классов class-maps следующим образом:

� Использование необязательного аргумента [protocol] преобразует команду к виду match protocol <protocol>. Это поможет определить протоколы, назначенные в группе.

� Например, команда:

� Точно такая же, как:

� (config-cmap)#match protocol http

� Вложенные операторы "class-maps" и "match not" и все остальные спецификации MQC работают с атрибутами также, как и стандартный оператор "match protocol"

� Следующая комбинация подходит также и для неизвестного трафика

router(config-cmap)# match protocol attribute <attribute> <group> [proto col]router(config-cmap)# match protocol attribute category browsing

router(config-cmap)# match protocol attribute category browsing http

router(config-cmap)# match protocol http

router(config-cmap)# match protocol attribute sub-category other


router# show ip nbar protocol-attribute httpProtocol Name : http

category : browsingsub-category : other

application-group : otherp2p-technology : p2p-tech-no

tunnel : tunnel-noencrypted : encrypted-no

router# show ip nbar attribute ?application-group application-group attributecategory category attributeencrypted Encrypted applicationsp2p-technology Applications based on p2p-technologysub-category sub-category attributetunnel Tunnelled applications| Output modifiers

<cr>

router# show ip nbar attribute category gamingblizwow World of Warcraft Gaming Pro tocolbnet bnetdirectplay DirectPlaydirectplay8 DirectPlay8doom doom Id Software... ...


� Извлекаемые поля NBAR из HTTP, RTP, Citrix и пр. для настройки QoS

� Пример полей заголовка HTTP

� Извлекаемые поля Flexible NetFlow в перспективе

Router(config-cmap)# match protocol http ?content-encoding Encoding mechanism used to packag e entity bodyfrom E-mail of human controlling the u ser-agenthost Host name of Origin Server contai ning resourcelocation Exact location of resource from r equestmime Content-Type of entity bodyreferer Address the resource request was obtained fromserver Software used by Origin Server ha ndling requesturl Uniform Resource Locator pathuser-agent Software used by agent sending th e request


Citrix Edonkey FastTrack Gmail Gnutella Kazaa2 RTP Webex-

meeting

ica-tag text-chat file-transfer file-transfer file-transfer file-transfer audio audio

app file-transfer video video

search-file-

name

payload-

type

payload-

type

Citrix: http://www.cisco.com/en/US/docs/ios/qos/command/reference/qos_m1.html#wp1037938

Fasttrack: http://www.cisco.com/en/US/docs/ios/qos/command/reference/qos_m1.html#wp1038015

Gnutella: http://www.cisco.com/en/US/docs/ios/qos/command/reference/qos_m1.html#wp1038081

RTP: http://www.cisco.com/en/US/docs/ios/qos/command/reference/qos_m1.html#wp1038481

HTTP: http://www.cisco.com/en/US/docs/ios/qos/command/reference/qos_m1.html#wp1058795

(предыдущий слайд)


КОДЕКТип полезной

нагрузки

G0.711 (аудио)0 (алгоритм мю-типа) 8

(алгоритм А-типа)

G0.721 (аудио) 2

G0.722 (аудио) 9

G0.723 (аудио) 4

G0.728 (аудио) 15

G.729 (аудио) 18

H.261 (видео) 31

MPEG-1 (A/V)

MPEG-2 (A/V)

14 (аудио), 32 (видео), 33 (A-V)

Динамический 96–127

� Упрощает классификацию голосового и видео трафика

- IP-телефония, потоковая передача и видео в режиме реального времени, аудио- и видеоконференции, факс через Интернет

� Распознает RTP-пакеты на основании типа полезной нагрузки и кодеков

Router(config)# match protocol rtp ?audio match voice packetspayload-type match an explicit PT (Payload Type)video match video packets


0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+-+ |V=2|P|X| CC |M| PT | sequence number | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+-+ | timestamp | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+-+ | synchronization source (SSRC) identi fier | +=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= +=+=+=+=+=+=+=+=+ | contributing source (CSRC) identifi ers | | .... | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+-+

� Транспортный протокол реального времени (RTP) – RFC 1889

� Профиль RTP для аудио- и видеоконференций с минимальным управлением – RFC 1890


� Протокол метаданных: сообщает параметры потока и атрибуты узлам сети по пути следования

� База метаданных потока: хранит информацию об атрибутах потока и согласовывает метаданные источников и получателей

- Источник: создает метаданные

- Потребитель: использует метаданные

� QoS может сопоставлять атрибуты метаданных

� Узлы, не поддерживающие метаданные, будут их просто передавать

База метаданных




10.1.1.2

Router (config-cmap)# match

application webex-meeting version X


Объявление

метаданных

Q1 CY12)

Источник метаданных

(1st:WebEx client

Q1 CY12)

15.2(1)T15.2(1)T


Перспективные разработки


Пакет TCP/UDP?

На основе сигнатуры

IANA-поиск

Приложение из данного потока

распознано?

настраиваемые параметры совпадают?

стандартный порт Greedy +

полезная нагрузка

:

Эвристические методы обработки по

первому пакету

Эвристические методы мультипакетной

обработки (*)

В качестве крайне меры - на основе порта

Отказ: "неизвестный" поток

Включено распознавание протоколов?

� ��

Да

Да

Да

Нет

Нет

Нет

� � � � � � � � � � � �� Да

Нет


Q O S�� F le x i b leNe t F lo w A C L�� I P Se c�� Qo S�� ВыполнениеВходные характеристики

ВыполнениеВыходные характеристики

Q O S��


� Пакет протоколов – это набор приложений, разработанных и собранных в один пакет

� Пакет протоколов представляет собой средство распространения обновлений приложений в промежуток между выпусками версий IOS. Обновления могут быть загружены на маршрутизатор без замены IOS

� В данный момент новый пакет протоколов компонуется с новыми образами IOS

- Однако, новый пакет может быть выпущен для исправления ошибки или поддержки новых приложений

� В любой момент времени на устройстве установлен единственный "активный" пакет протоколов

• Вновь загружаемый пакет протоколов заменяет текущий

• В образе IOS устройства имеется встроенный пакет протоколов по умолчанию

• Если активный пакет протоколов выгружается, для образа восстанавливается встроенный пакет протоколов по умолчанию

• специальные протоколы и PDLM (для быстрого внесения исправлений) сохраняются

• Загрузка и выгрузка пакета протоколов приводит к сбросу текущего состояния классификации и статистических данных

• Примечание: на данном этапе для пользователей отсутствует возможность определения собственного пакета протоколов

15.2(1)T

XE 3.4.0S

15.2(1)T

XE 3.4.0S


� Команда загрузки пакета протоколов:

config# ip nbar protocol-pack <protocol pack file> [force]

Пример:

ip nbar protocol-pack harddisk:protocolPackFile

� Для выгрузки любого ранее загруженного пакета протоколов следует выполнить вышеуказанную командную строку со значение "no" для аргумента "version"

Пример:

no ip nbar protocol-pack harddisk:protocolPackFile [force]

� Другим способом возврата к пакету протоколов по умолчанию является команда

ip nbar protocol-pack harddisk:protocolPackFile


� Командная строка должны выполняться с аргументом "force" в следующих сценариях:

1. При необходимости сохранения конфигурации загруженного пакета протоколов при переходе на новые или более ранние версии IOS

2. Аргумент "Force" можно использовать для замещения активного пакета протоколов. При использовании аргумента "force" командная строка принимается, если пакет протоколов не содержит текущего активного протокола (протоколов)


� Для отображения информации о загруженном (активном) пакете протоколов или файле пакета протоколов, располагающемся на маршрутизаторе, необходимо выполнить следующую команду:

�

� Без использования аргумента "detail" отобразится название, издатель и версия пакета протоколов.

� При использовании аргумента "detail" отобразятся подробные сведения о пакете, например, протоколы и их версии.

router# show ip nbar protocol-pack <active | protocol pack file> [detail]


� Классификация приложений, работающих с использованием IPv6

� Классификация приложений, использующих механизмы инкапсуляции IPv6 в IPv4 (v6 over v4): Teredo, isatap, 6to4, 6rd

� Сбор статистических данных при распознавания протоколов можно настроить на интерфейс только для IPv4, только для IPv6 или для обоих версий протоколов

При включении обоих вариантов агрегированные статистические данные показываются по приложениям

Трафик v6 over v4 показывается как трафик IPv4

� Политики Modular QoS применяются как к трафику v4, так и к v6

� Мониторы потоков могут применять как к трафику v4, так и к v6

Трафик v6 over v4 показывается как трафик IPv4


� Классифицируется трафик внутри туннеля

- ipv6inip – классифицирует приложения в трафике IPv6, инкапсулированном в полезную нагрузку типа 41 протокола IPv4

- teredo – классифицирует приложения в трафике IPv6, инкапсулированном в туннели teredo

� Настройка будет применяться к трафику IPv4, наблюдаемому на интерфейсах с включенным NBAR

Router(config)# ip nbar classification tunneled-traffic ipv6inip | teredo

15.2(2)T1

XE 3.5S

15.2(2)T1

XE 3.5S


Производительность и диагностика


ASR1000 ESP, модуль

переадресации плоскости

данных

Макс.

пропускная

способность

[Гбит/с]

Макс.

Производите-

льность

[млн пакетов в

сек.]

Макс. кол-во

IP-потоков

[млн.]

Макс.

кол-во

соединений в

сек.

[тыс.

потоков/с]

Стандартная



[Гбит/с]

ESP5 5 подлежит

уточнению

0.75 подлежит

уточнению

2.5

ESP10 10 3.5 1.65 150 5

ESP20 20 5 3.5 200 10

ESP40 20 5 3.5 200 10

- Для одного сервиса

- NBAR2: не оказывает воздействия на ЦП RP, влияет только на ESP ЦП

- ISRG2 еще не оценивалась

ESP: встроенный сервисный процессор

• ASR1000, ESP40/RP2 с пакетами размером 1500 байтов

Распознавание протоколов (PD) : +/-20% ЦП

PD + QoS : +/- 25% ЦП

PD + подпротокол QoS : +/-26 % ЦП

PD + подпротокол QoS + FNF : +/- 26% ЦП


Router# show ip nbar resources flow NBAR flow statistics

Maximum no of sessions allowed : 1000000 Maximum memory usage allowed : 367001 KBytesActive sessions : 0 Active memory usage : 43712 KBytesPeak session : 1223 Peak memory usage : 43712 Kbytes

Router(config)# ip nbar resources flow max-session <number of sessi ons>Router(config)# ip nbar resources protocol max-session <link age in

multiple of system link age (secs.)>


Router# show ip nbar resourcesNBAR memory usage for tracking Stateful sessions

System link age : 30 secsInitial memory : 1160 KBytesMax initial memory : 2320 KBytesMemory expansion : 116 KBytesMax memory expansion : 116 KBytesMemory in use : 1160 KBytesMax memory allowed : 4640 KBytesActive links : 0Total links : 10000Flow Object in Use : 0

Router(config)# ip nbar resources flow max-session <define max allowed session>

Router(config)# ip nbar resources system <System link age (in seconds)> <initial memory (in Kbytes)> <amount of memory to expand by (in kBytes)>

Router(config)# ip nbar resources protocol <Link age in multiples o f system link age (secs.)


� При низком % распознавания трафика системой NBAR следует выполнить модернизацию...

• http://www.cisco.com/go/easy и http://forums.cisco.com/eforum/servlet/EEM?page=eem&fn=script&scriptId=2101

Router# show ip nbar protocol-discovery top-n 5 Serial0/0

Input Output Protocol Packet Count Packet Count

Byte Count Byte Count 5 minute bit rate (bps) 5 minute bit rate (bps)

---------- ------------------------ ----------------- -------. . .. . .

unknown 205 204 14976 10404 0 0

Total 41304 40944 2649809 26198393000 3000

][

]100)[((%)

total

unknowntotalizedNBARrecogn

×−=


� Далее: дальнейшее изучение трафика на этих портах

� Возможно, специальный протокол

� "Команды отладки Debug IP NBAR следует включать только в тщательно контролируемых условиях! “

Router# debug ip nbar unclassified-port-stats

Router# show ip nbar unclassified-port-stats

Port Proto # of Packets

------- -------- -------

6346 tcp 347679

27005 udp 55043


� Сброс всех счетчиков

• Сброс счетчиков на конкретном интерфейсе

Router# clear ip nbar

Clear all NBAR Protocol Discovery statistics? [yes] :

Cleared NBAR Protocol Discovery statistics on all i nterfaces.

NBAR packet capture is not enabled.

NBAR state-graph tracing is not enabled

Port Statistics for unclassified packets is not tur ned on.

Router# clear ip nbar protocol-discovery interface fast eth ernet 0

Clearing NBAR Protocol Discovery statistics on Fast Ethernet0.

Proceed? [yes]:

Router#


� Почему?

- Если одно приложение вызывает ряд вопросов

- Для снижения влияния на производительность: достигается только для приложения с отслеживанием состояния в мультипакетной подсистеме (уточнить заранее)

� "Отключение" означает удаление приложения из списка поддерживаемых активных приложений

- Не допускается использовать при настройке, т.к. приложение исчезнет из описания конфигурации

- В результате произойдет сброс подсистемы NBAR

� Если сигнатуры приложения взаимозависимы, все они должны быть отключены или включены

• например, приложения HTTP и HTTP с туннелированием

• Одновременно можно отключить до 7 приложений

� Полезно использовать при диагностике

• Внутренние функции отладки необходимо использовать крайне осторожно, консультируясь с представителями Cisco


Потенциальные проблемы DPI/NBAR2


� Не IP-трафик

� Пакеты с метками MPLS

� Ассиметричные потоки с приложениями с отслеживанием состояния

• Если поток в обоих направлениях не проходит через одно и то же устройство, то классификация с отслеживанием состояния не будет выполняться успешно

• Ограниченная поддержка нескольких приложений (например, HTTP)

� Шифрованный или туннелированный трафик

- Транзитный трафик IPSec, классифицированный как IPSec

- В случае транзитных туннелей детуннелирование поддерживается для ограниченного типа туннелей (v6 в v4)

- Примечание. Тем не менее, в ряде случаев можно успешно применять мультипакетныеэвристические методы, используемые для трафика SSL/TLS. Например, skype, gtalk

� Фрагментация IP-пакетов

• Попытка классификации только по первому фрагменту

• Касается мультипакетной классификации

� Out-of-order пакеты, возможно, не будут правильно классифицированы


� Перезапуск состоит в отключении и повторном включении NBAR. В ходе перезапуска все пакеты классифицируются NBAR как "Unknown" После завершения перезапуска классификация включается

� Перезапуск NBAR выполняется в следующих случаях:

- добавление специального протокола через интерфейс командной строки

- загрузка PDLM

- аварийное переключение RP

- аварийное переключение FP

- установка пакета протоколов

- изменение длительности соединения

- изменение ресурсов. Выполнение команды "ip nbar resources flow"

� При аварийном переключении RP статистика распознавания протоколов теряется


� Неподдерживаемые интерфейсы

- Интерфейсы коммутируемого доступа

- Динамические туннели, такие как динамический интерфейс виртуальных туннелей (DVTI)

- Каналы Fast Etherchannel

- Туннели IPv6, оканчивающиеся на маршрутизаторе

- Многоканальные интерфейсы, такие как многоканальный протокол "точка-точка" (MLPPP) и Multilink Frame Relay

- Многопротокольная коммутация по меткам (MPLS)

- Оверлейные интерфейсы Overlay Transport Virtualization (OTV)

- Агрегированные каналы

- Инфраструктура сервисов VRF-Aware Service Infrastructure (VASI)

- Туннели IPSec GETVPN

� Пакеты, исходящие от или предназначенные маршрутизатору, на котором работает NBAR

� Пакеты многоадресной рассылки

� При проектировании предусматривалось временное отключение обработки NBAR при обновлении ПО без прерывания работы (ISSU)

� Распознавание протоколов на 32 интерфейсах максимум


� Для интерфейсов должен быть включен режим коммутации (CEF)

- Интерфейсы Fast EtherChannel не поддерживаются

� Поддержка туннельного интерфейса

- Совместная настройка NBAR на основном и туннельном интерфейсе не поддерживается, за исключение туннелей IPSec

- Туннели IPSec GETVPN не поддерживаются

� Примечание. Поддерживаются следующее

- пакеты, исходящие от или предназначенные маршрутизатору, на котором работает NBAR

- пакеты многоадресной рассылки


Сценарии использования и примеры


Class-map match-all business-criticalmatch protocol citrixmatch access-group 101

class-map match-any browsingmatch protocol attribute category browsing

class-map match-any internal-browsingmatch protocol http url “*myserver.com*”

policy-map internal-browsing-policyclass internal-browsing

bandwidth remaining percent 60

policy-map my-network-policyclass business-critical

prioritypolice cir percent 50

class browsingbandwidth remaining percent 30service-policy internal-browsing-policy

interface eth0/0service-policy output my-network-policy

Просмотр внутр.

ресурсов:

60% от объема

просмотра ресурсов

Просмотр ресурсов:

30 % избыточной пропускной

способности

(=15 % канала передачи данных)

Остаток:

70 % избыточной пропускной

способности

(=35 % канала передачи

данных)

Критически важные для

бизнеса:

Высший приоритет

50 % гарантированной

Приложение Пропускная способность Приоритет

Критически

важные для

бизнеса

Гарантированная 50 % Высокий

Просмотр

ресурсов

30 % (=15 % канала

передачи данных)

Стандартный

Просмотр

внутр.

ресурсов

60% (из объема

просмотра ресурсов)

Остальное 70 % (=35 % канала

передачи данных)

Стандартный

Гарантированная


способность (50

% канала

передачи

данных)

Избыточная



(50 % канала

передачи

данных)


� Настройка сбора статистических данных трафика для протоколов IPv4 и IPv6

� Формирование отчетов по приложениям IPv6 при помощи FlexibleNetFlow



MC/BR

MC/BR

BR

MC/BR

BR

MC/BR

BR

BR


Веб-сервер

15.2(1)T1,

IOS XE

3.3.0S

15.2(1)T1,

IOS XE

3.3.0S

flow record <app_record>match ipv6 source addressmatch ipv6 destination addressmatch application name

show flow monitor <APPIPv6> cache format table

IPV6 SOURCE ADDRESS IPV6 DESTINATION ADDRESS APPL NAME2A01:E35:8ABF:9510:FA1E:DFFF:FEE1:E789 2A01:E35:8AB F:9510:222:55FF:FEE6:BA98 http

interface Gi1/1ip nbar protocol-discovery [ipv4|ipv6]


� Классификация приложений с отслеживание состояния для создания политик, независимо от трафика v4 или v6, упрощение управления политиками

Глобальная сеть 1(IPVPN)


MC/BR

MC/BR

BR

MC/BR

BR

MC/BR

BR

BR


IPv4

IPv6 в исходном виде

Интернет

class-map my-classmatch protocol ssh


� Обнаружение трафика IPv6 в IPv4 (ISATAP, Teredo, 6to4,..)

� Классификация приложений с отслеживанием состояния для трафика IPv6 в IPv4

Глобальная сеть 1(IPVPN)


MC/BR

MC/BR

BR

MC/BR

BR

MC/BR

BR

BR


15.2(2)T1,

IOS XE

3.5.0S

15.2(2)T1,

IOS XE

3.5.0S

Веб-сервер

IPv6 в естественном виде

IPv6 в IPv4

ISATAP

NBAR к л а с с и ф и ц ир у е т д а н н ы й

п о т о к п о у м о л ч а н и ю к а к "ISATAP"

При включенной проверке туннелей IPv6 система NBAR

классифицирует данных поток как "HTTP"

interface Gi1/1ip nbar classification tunneled-traffic ?

ipv6inip Tunnel type ISATAP, 6to4 and 6RDteredo Tunnel type TEREDO


Ограничение скорости для аномального трафика

router(config)# class-map match-any MyVirusMap

router(config-cmap)# match protocol http url "*default.ida*“

router(config-cmap)# match protocol http url "*cmd.exe*"

router(config-cmap)# match protocol http url "*root.exe*

router(config)# policy-map MyVirusPolicy

router(config-pmap)# class MyVirusMap

router(config-pmap-c)# set dscp 1

router(config-pmap-c)# police 1000000 31250 31250 conform-action drop exceed-action drop violate-action drop

router(config)# interface serial 0/0

router(config-if)# service-policy input MyVirusPolicy


Router# show policy-map interface serial 0/0

Serial0/0

Service-policy input: MyVirusPolicy

Class-map: MyVirusMap (match-any)

5 packets, 300 bytes

5 minute offered rate 0 bps, drop rate 0 bps

Match: protocol http url "*default.ida*"


5 minute rate 0 bps

Match: protocol http url "*cmd.exe*"

0 packets, 0 bytes

5 minute rate 0 bps

Match: protocol http url "*root.exe*"

0 packets, 0 bytes

5 minute rate 0 bps

police:

1000000 bps, 31250 limit, 31250 extended limit

conformed 5 packets, 300 bytes; action: drop

exceeded 0 packets, 0 bytes; action: drop

violated 0 packets, 0 bytes; action: drop

conformed 0 bps, exceed 0 bps, violate 0 bps

Class-map: class-default (match-any)


5 minute offered rate 0 bps, drop rate 0 bps

Match: any



Мониторинг


Альтернативные решения NetFlow

1 3 0

Открытый исходный код

Университета штата

Огайо

Открытый исходный

код SourceForge

Коммерческая

v5 и v9 v5 и выше v5 и выше

Да Да Да

Командная строка,

аналогичная ACL

Командная строка,

аналогичная tcpdump

Графический

интерфейс

пользователя

По запросу через

сервис Google Code

Оперативная Оперативная


Lancope

Инструментальная панель

1 3 1


1 3 2


Когда?Когда?

Сколько?Сколько?

ИсполнительИсполнительИсполнительИсполнитель

Каким

образом?

Каким

образом?

Documents

3 4AVC_NFC_mkader © Cisco ( ) , 2012 ˝. ˚ ˜ !" " # . $% #%#& ' % Cisco 53 K 6! % 6˜ F ;%˜ "show" ˜! % =! # 4 MIB _ 6! % 6˜ 4 F & ˜ 6!' %˜ "custom-0X" ! Router