© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 1
Михаил Кадер[email protected]
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 2
Как получить подарок:
• внимательно слушать лекции по технологиям Cisco
• посещать демонстрации, включенные в основную программу
• пройти тесты на проверку знаний
Тесты будут открыты:
с 15:00 25 октября по 16:30 26 октября
www.ceq.com.ua
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 3
- Обоснование необходимости применения
- Что такое приложение?
- Как идентифицировать приложения?
- Что такое NBAR?
- Что такое NBAR2 (NBAR нового поколения)?
- Каким образом сообщается информация о приложении?
- Как управлять приложением?
- Передовые идеи
- Производительность и диагностика
- Потенциальные проблемы DPI/NBAR2
- Сценарии использования и примеры
- Мониторинг
- Стандартизация
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 4
Введение
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 555
межсетевой
экран
защита от
вирусов
система
предотвращения
вторжений на уровне
узлов
web-
прокси
предотвращен
ие спама
система
предотвращен
ия сетевого
вторжения
сетевых
вторжений
аномалий
NetFlow
усовершенств
ованных
вредоносных
программ
поведенческ
их
аномалий
NetFlow
журналы
событий
журналы
web-прокси
межсетевой
экран для web-
трафика
"черный список"
IP-адресов
блокировка
учетных записей
масштабируемая
система
распределения
нагрузки
мониторинг
устройств
анализ
NetFlow
SEIM-
анализ
анализ
вредоносн
ых
программ
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 6
Netflow
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 7
ИнтернетИнтернетИнтернет
Центр
обработки
данных
Центр
обработки
данных
Центр
обработки
данных
Шлюзы
интернет-
провайдера
Коллектор
NetFlow
Шлюзы
ЦОД
Корпоративная
магистральная
сеть
Сбор данных в критических точках для обнаружения угроз в исходящем сетевом трафике
7
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 8
Коллектор
NetFlow
Центр управления
ботнетом - сервер
Command and
Control
Центр управления
ботнетом - сервер
Command and
Control
Запрос NetFlow для определения
точек подключения
инфицированного узла
Сценарий NetFlow - ботнет
Инфицированный
компьютер
сотрудника
Инфицированный
компьютер
сотрудника
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 9
Запрос NetFlow для определения всех ПК,
подключенных к ранее определенному
узлу C2
Сценарий NetFlow - ботнет (2)
9
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 10
10
Совместная работа организаций
по обеспечению защиты
информации� Форум групп реагирования на угрозы
безопасности (FIRST)
� *-ISAC (центры совместного
использования и анализа информации)
� Исследовательско-аналитический центр
по системам доменных имен (DNS-OARC)
� Организация по обмену информацией в
области защиты данных, передаваемых по
сети (NSIE)
� Организация по обмену информацией в
области защиты данных оборонного
характера (DSIE)
� Infragard
� Специальная группа Bay Area APT (SIG)
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 11
11
Компании, специализирующиеся
на исследованиях в области
компьютерной безопасности
�Damballa
�SensorBase
�SenderBase
�FireEye
�Netwitness
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 12
Источники
•на основе сигнатур
•пассивный сбор
•первичный источник
оповещения
•инструмент глубокого анализа
•возможность фильтрации
•ограниченное воздействие на
систему
•слабое воздействие на
устройства
•основной инструмент
исследования
•небольшой требуемый объем
памяти
1 2
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 13
NetFlow: Принцип работы
AA
BB
CC 1 3
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 14
Шаблоны NetFlow для IOS, NX-OS
1 4
# conf t(config)# mls netflow interface(config)# mls flow ip interface-full(config)# ip flow-export source <interface x/x>(config)# ip flow-export version <#>(config)# ip flow-export destination <ip address | esl record> <port>(config-int)# ip flow ingress#
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 15
Шаблоны для IOS, NX-OS
1 5
# conf t(config)# feature netflow(config)# flow record <record-name>(config)# match ip ipv4 source address(config)# match ip ipv4 destination address…(config)# flow exporter <exporter-name>(config)# destination <ip address | esl-record>(config)# transport UDP 2055(config)# version <#>(config)# source <interface>(config)# flow monitor <monitor-name>(config)# record <record-name>(config)# exporter <exporter-name>(config-int)# ip flow monitor <monitor-name> input(config)# end#
Включение NetFlow в
NX-OS
Включение NetFlow в
NX-OS
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 16
А если надо детальнее?
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 17
Распознавание сетевых приложений (Network Based Application Recognition,NBAR) - это предлагаемая компанией Cisco инструментальная возможностьуправления устройствами. С помощью NBAR осуществляется глубокий анализпакетов, в результате которого собирается статистическая информации отрафике определенного приложения. Компания Cisco инвестировала большойобъем средств в разработку NBAR нового поколения. Например, NBAR воборудовании на ASR1k, с большим количеством новых распознаваемыхприложений и т.д.
Мы обсудим основные понятия, конфигурацию, новые возможности,характерные особенности платформы и влияние на производительность. Такжезатронем вопросы архитектуры и сценарии развертывания для системыобнаружения и контроля приложений Application Visibility and Control (AVC).Кроме того, будет обращено внимание на взаимосвязь с системами,обладающими похожими возможностями, такими как QoS, NetFlow, IPV6 идругими. Также предлагается обзор приложений для управления,поддерживающих NBAR.
Тема актуальна как для предприятий, так и для поставщиков услуг, которымнеобходимо знание о трафике определенного приложения и управление им.
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 18
Обоснование необходимости применения для
и
производительности приложений
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 19
Интернет / центр обработки
данных, ЦОД Webex
� Бизнес-приложения
� Голосовой и видеотрафик
� Приложения передачи данных
Глобальная сеть 1(IP-VPN)
Глобальная сеть 2(IPVPN, DMVPN)
MC/BR
MC/BR
BR
MC/BR
BR
MC/BR
BR
BR
Центр. офис
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 20
Глобальная сеть 1(IP-VPN)
Глобальная сеть 2(IPVPN, DMVPN)
Центр. офис
• Что происходит в моей сети?
• Классификация голосового трафика
• Классификация видеотрафика
• Критически важные приложения
• Низкоприоритетные приложения
просмотра WEB
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 21
Глобальная сеть 1(IP-VPN)
Глобальная сеть 2(IPVPN, DMVPN)
Центр. офис
• Какие приложения испытывают
трудности?
• Кто передает слишком много
информации?
• Куда идет наибольший трафик?
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 22
Глобальная сеть 1(IP-VPN)
Глобальная сеть 2(IPVPN, DMVPN)
MC/BR
MC/BR
BR
MC/BR
BR
MC/BR
Центр. офис
• Каким образом оптимизировать
голосовой и видеотрафик?
• Как оптимизировать сетевые
ресурсы?
• Как управлять качеством видео при
перегруженности сети?
• Как обеспечить безопасность сети?
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 23
ИТ
Ресурсы
Услуга
УправлениеОптимизация
Основа
Сетевые
установки
• Планирование, настройка, мониторинг, диагностика
• Сеансы, оконечные устройства и инфраструктура сервисов
• Параметры соглашений об уровнях обслуживания (SLA)
Управление сетью
• Ускорение работы приложений, разгрузка
• Снижение трафика глобальной сети и задержек при работе приложений
Оптимизация
• Планирование пропускной способности
• Видимость в сети и поведение приложений
• Динамический поиск неисправностей
Мониторинг и
средства измерения
• Установка приоритета критического для бизнеса трафика
• Соответствие установленным бизнес-политикам и приоритетам
Управление
• Автоматическое распознавание приложений
• Осведомленность о контексте приложений
Идентификация и
классификация
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 24
� Обеспечение выполнения SLA прикладного уровня - измерение, оповещение и выполнение
- Производительность устройств, также как и SLA сетевого уровня, не переносится на производительность приложений
- Требуется анализ и измерение характеристик прикладного уровня
� Обеспечение динамического управления характеристиками
- Функционирование приложений в реальном времени, предоставление отчетов и мониторинг
- Возможность управления сервисными параметрами приложений
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 25
Что такое приложение?
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 26
Клиент 1 Клиент 2
Сервер
?
Примеры приложений: Skype, Bittorrent, Emule, Gnutella и т.д.
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 27
Приложения могут основываться на протоколах, использующих стандартные порты IANA (протокол уровня L4)
Клиент 1 Клиент 2
СерверКлиент 1- сервер:
Клиент 2- сервер:
Протокол уровня L4
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 28
Приложения могут основываться на стандартных IP-протоколах (протокол уровня L3)
Клиент 1 OSPF:
Сервер
Протокол
уровня L3
Клиент 1:
Протокол маршрутизации:
OSPF
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 29
Приложения могут основываться на протоколах уровня L2, Ethertype: ARP, CDP (LLDP), VTP и т.д.
Клиент 1Клиент 2
Сервер
Протокол уровня L2
MAC-адрес IP-адрес0 1: 0 2: 0 3: 0 4: 0 5 : 0 6 1 9 2. 1 6 8. 0. 1 00 1: 0 2: 0 3: 0 4: 0 5 : 0 7 1 9 2. 1 6 8. 0. 1 10 1: 0 2: 0 3: 0 8: 0 9: 0 1 1 9 2. 1 6 8. 1. 2
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 30
� Ссылка на "специальные приложения" в NBAR
� Ваши собственные приложения также являются действительными приложениями!
FFFF0000 FFFF
Если в позиции X полезной нагрузки
обнаруживается "Moonbeam", то это –
"MyApplication"
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 31
� "Приложения" могут основываться на:
- уровне L4, использующем определенный порт (например, HTTP, FTP)
- уровне L3, использующем определенный тип протокола (например, ICMP, OSPF)
- уровне L2 (например, ARP, CDP)
- любом протоколе или приложении уровня L7, т.е. кодирование входит в полезную нагрузку (например, Skype)
- ваших собственных технических характеристиках (например, "MyApplication")
� Четкая граница между приложением, протоколом и сервисом отсутствует:
- Принятое соглашение: использовать понятие "приложение" во всех перечисленных вариантах
- Система NBAR, в соответствии со своими возможностями, определяет самое «вложенное» приложение
http://www.iana.org/protocols/
http://www.iana.org/assignments/port-numbers
http://www.iana.org/assignments/protocol-numbers/
http://www.iana.org/assignments/icmp-parameters
http://www.iana.org/assignments/arp-parameters/arp-parameters.xhtml
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 32
Как идентифицировать приложения?
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 33
� Преимущества:
- Стандартная настройка QoS
- Все счетчики доступны по протоколу SNMP с модулем MIB "CISCO-CLASS-BASED-QOS-MIB"
� Проблемы:
- Можно ли доверять источнику?
- Можно ли доверять источнику для правильной установки значения в поле кода дифференцированных сервисов DSCP?
- Не будет ли значение DSCP изменяться по пути следования?
- Одно приложение на DSCP?
class-map match-all class-videomatch dscp ef
!policy-map policy_video
class class-videobandwidth percent 30
!interface GigabitEthernet 0
service-policy output policy_video
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 34
� Идентификация приложения по IP-адресу, типу протокола и номеру порта
� Вопрос: Ваше мнение по данному вопросу?
Router(config)# access-list 107 permit tcp any host 192.168.1.2 eq www
HTTP 80%
… …
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 35
Отчет (предоставленный Lancope) 4 уровня без учета особенностей приложений
HTTP
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 36
Отчет (предоставленный Lancope) 7 уровня с учетом особенностей приложений
HTTP
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 37
� Является ли HTTP единственным приложением, работающим через порт 80?
- Skype, Bittorent, код червей Red&Nimda, троянские программы и пути обхода системы защиты, Xbox LIVE, приложения и игры и т.д.
� Каким образом мы узнаем, что HTTP - это действительно HTTP?
- Рассмотрим полезную нагрузку порта 80. Видим ли мы номер версии 1.0 или 1.1 ? Выполняются ли команды HTTP GET, PUT ? Другие?
- Что происходит с портом 8080? Этот порт обычно используется веб-браузером
- Что произойдет, если кто-нибудь решит запустить веб-сервер на порте TCP 23?
� Выводы:
- Протокол HTTP стал НОВЫМ транспортным протоколом
- Для четкой идентификации приложения необходимо тщательно исследовать полезную нагрузку
- Может не соблюдаться назначение порта (если оно имеет место)
- В идеальном случае следует проверить все порты определенного приложения
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 38
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 39
� Управляющая информация между двумя оконечными устройствами о способе открытия соединения для передачи данных
� В качестве соединения для передачи данных может выступать новое соединение TCP/UDP, которое в некоторых случаях не использует стандартный порт TCP.
� Для приоритезации трафика данных необходимо знать, какие порты TCP/UDP искать при открытии клиентом или сервером нового соединения для передачи данных.
� Примеры: FTP
� Вывод:
- Необходим анализ с отслеживанием состояния для динамически назначенных при установлении соединения номеров портов TCP и UDP
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 40
� Является ли приложением youtube?
- Если при проверке будет установлено, что имя узла = www.youtube.com, то "youtube" можно классифицировать
� Классификация по извлекаемому полю или субприложению
- Пример: Классификация HTTP (на основании URL, имен узлов или mime)
- Может использоваться в политике
� Классификация на основе DPI и ряда атрибутов приложения:
- Транспортный протокол реального времени (RTP): классификация полезной нагрузки основывается на данном алгоритме, в соответствии с которым пакет классифицируется как RTP по нескольким атрибутам в заголовке RTP.
� Вывод:- Необходимо также идентифицировать некоторые "извлекаемые поля
приложения"
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 41
� Возможные различные политики, основанные на информации о транспорте приложений, также известные как транспортная иерархия
� Транспортная иерархия приложений дает информацию о контексте
� Пример: SAP в TCP, SAP в HTTP или SAP в Citrix
- Как можно узнать о транспортной иерархии приложений, если сообщается только SAP?
- В частности, при наличии нескольких приложений 7 уровня
� Пример: методы перехода к IPv6
- IPv6 внутри IPv4
� Пример: приложения с туннелированием
� Вывод:
- Следует идентифицировать "транспорт приложений"
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 42
Что такое NBAR?
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 43
� Классификация трафика приложений на уровнях L4-L7
� Может использоваться совместно со средством распознавания протоколов (ProtocolDiscovery) для получения представления о структуре сетевого трафика
� Может использоваться совместно с MQC (модульного интерфейса управления качеством обслуживания) для управления структурой сетевого трафика
� NBAR помогает идентифицировать высоко- и низкоприоритетный трафик, к которому необходимо применить соответствующую политику QoS
� Интеграция с Flexible NetFlow (FNF): NBAR может экспортировать данные о трафике в коллектор NetFlow
� NBAR используется в качестве подсистемы глубокого анализа пакетов (DPI) в PfR
� Поддерживаемые устройства: ISR-G1 (85x, 87x, 18xx, 28xx, 38xx), ISR-G2 (86x, 88x, 89x, 19xx, 29xx, 39xx), 2600XM, 3700, 7200, 7301, 7304-NPE, ASR1000, 7600 FlexWAN и SIP-200, catalyst 6000 supervisor 32 PISA (в настоящее время снятые с производства)
- Примечание 1: не рекомендуется запускать NBAR на ISR-G1
- Примечание 2: NBAR2 (нового поколения) поддерживается только на ISR-G2 и ASR1000
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 44
� Идентифицирует приложения
- Статически назначенные
- Динамически назначенные в ходе установления соединения
� IP-протоколы, не относящиеся к TCP/UDP
� Эвристическая классификация:
- Анализ пакетов данных для определения структуры трафика приложений
- Классификация заголовков и анализ пакетов данных
� Анализ с отслеживанием состояния
- Отслеживание входящего и исходящего трафика приложений по мере прохождения по сети
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 45
Для четкой идентификации приложения необходимо тщательно исследовать полезную нагрузку
В идеальном случае следует проверить все порты определенного приложения
Необходим анализ с отслеживанием состояния для динамически назначенных при установлении соединения номеров портов TCP и UDP
Необходимо также идентифицировать некоторые "извлекаемые поля приложения"
Следует идентифицировать "транспортировку приложений"
NBAR Выводы по предыдущему разделу
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 46
� Распознавание протоколов (Protocol Discovery)
- Выявляет и предоставляет статистические данные по приложениям в реальном времени
- Отчетность: по интерфейсам, по приложениям, статистические данные по входящему и исходящему трафику : скорость передачи данных (бит/с), число пакетов и байтов
- Информация доступна в базе данных CISCO-NBAR-PROTOCOL-DISCOVERY-MIB
- Примечание: Flexible NetFlow дает возможность распознавания протоколов
� Классификация трафика посредством Modular QoS (модульный интерфейс качества обслуживания)
- Оптимизация приложений
- NBAR определяет эффективность использования пропускной способности сети при выполнении функций QoS:
Гарантированная пропускная способность (CBWFQ)
Применение политик и ограничение пропускной способности
Формирование трафика и разметка пакетов (ToS или DSCP)
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 47
� Настройка сбора статистических данных о трафике для всех приложений, известных NBAR
� Также используется для распознавания приложений
� Распознавание протоколов приложений на интерфейсах и заполнение базы данных CISCO-NBAR-PROTOCOL-DISCOVERY-MIB
� Поддержка как входящего, так и исходящего трафика
� Команда настройки
� Команда отображения
Router# show ip nbar protocol-discovery [interface interface-spec][stats {byte-count|bit-rate|packet-count}][protocol protocol-name| top-n number}]
Router(config)# interface fastethernet 0/0Router(config-if)# ip nbar protocol-discovery
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 48
Router# show ip nbar protocol-discovery top-n 5 Gigabit Ethernet0Input Output----- ------
Protocol Packet Count Packet CountByte Count Byte Count5min Bit Rate (bps) 5min Bit Rate (bps)5min Max Bit Rate (bps) 5min Max Bit Rate (bps)
---------------- ------------------------ ----------- ------------skype 395 75
28539 6415 1000 1000 2000 2000
icmp 101 100 7360 6860 0 0 0 0
snmp 28 0 1988 0 0 0 0 0
netbios 9 0 738 0 0 0 0 0
unknown 205 204 14976 10404 0 00 0
Total 41304 40944 2649809 26198396000 60007000 7000
� Статистика Top-N для всех интерфейсов при включенной функции распознавания протоколов NBAR
� В базе данных NBAR-PD- MIB предоставляется статистика Top-N по всем интерфейсам, где N может отличаться для каждого интерфейса
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 49
� NBAR гарантирует эффективное использование пропускной способности сети при выполнении функций QoS:
� Распознавание протоколов приложений на интерфейсах
� Поддержка как входящего, так и исходящего трафика
� Заполнение базы данных CISCO-CLASS-BASED-QOS-MIB
- Счетчики до и после применения политики
� Команда настройки
Примечание: Контролируются только настроенные <applications>
Router(config)# class-map [match-any|match all] <myClass>Router(config-cmap)# match protocol < application>
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 50
policy-map limit-p2pclass peer2peerbandwidth percent 10
class-map match-any peer2peermatch protocol kazaa2match protocol gnutellamatch protocol fastrack
interface Serial1service-policy input limit-p2p
� Карта классов class-map определяет идентифицируемый трафик
� Карта политик policy-map определяет способ обработки трафика на основании карты классов class map
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 51
ip nbar custom lunar_light8 ascii Moonbeam tcp range 8000 8001
!
class-map solar_systemmatch protocol lunar_light
!
policy-map astronomyclass solar_systemset ip dscp AF21
!
interface Serial1service-policy output astronomy
• И м я ( “l u n a r l ig ht ” )- и м я к р и т е р и я п о и с к а с о о т в е т с т в и я д л и н о йд о 24 с и м в о л о в• С м е щ е н и е (п р оп у с т и т ь п е р в ы е " 8 " ба й т о в ) ) - у к а з ы в а е т с ян а ч а л ь н ы й б а й т с т р о к и и л и з н а ч е н и я в п а к е т е д а н н ы х, к о т о р о еп р о в е р я е т с я н а с о о т в е т с т в и е к р и т е р и ю п о и с к а , о т с ч е т б а й т о вн а ч и н а е т с я с н у л я• Ф о р м а т ( " a s c i i " )- о п р е д е л я е т с я ф о р м а т к р и т е р и я с о о т в е т с т в и яA S CI I , he x и л и de c im a l• З н а ч е н и е ( " Mo o n be a m " )- з н а ч е н и е к р и т е р и я п о и с к ас о о т в е т с т в у ю щ е г о з н а ч е н и ю в п а к е т е. П р и и с п о л ь з о в а н и иф о р м а т а A S CI I д л и н а н е п р е в ы ш а е т 1 6 с и м в о л о в• [ И с х о д н ы й п о р т и л и п о р т н а з н а ч е н и я ] ( " [ s o u r ce |d e st i n at io n ] " )-н е о б я з а т е л ь н ы й п а р а м е т р , о г р а н и ч и в а ю щ и й н а п р а в л е н и еа н а л и з а п а к е т а ; п о у м о л ч а н и ю и с п о л ь з у е т с я д в у н а п р а в л е н н ы йа н а л и з• T CP и л и U D P ( " t c p " )- у к а з ы в а е т с я п р о т о к о л ,и н к а п с у л и р о в а н н ы й в I P - п а к е т е• Д и а п а з о н и л и в ы б р а н н ы й н о м е р п о р т а ( п о р т о в ) ( " r a n g e 2 0 0 02 9 9 9 " ) - "д и а п а з о н " с " н а ч а л ь н ы м " и "к о н е ч н ы м " н о м е р а м ип о р т о в , м о ж е т у к а з ы в а т ь с я д и а п а з о н д о 1 0 0 0 н о м е р о в и л и о т 1 д о1 6 о т д е л ь н ы х н о м е р о в п о р т о в
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 52
� Используется для явной классификации на основании портов
� В системе NBAR приложения называются по умолчанию "custom-01", "custom-02" и т.д.
- Совет: давать приложениям осмысленные имена
- Имя будет появляться при распознавании протоколов и в экспорте NetFlow
� Для проверки доступны только первые 255 байтов полезной нагрузки
� До 16 пользовательских приложений (121 в NBAR2)
� Специальные приложения на основе извлекаемых полей на данный момент
отсутствуют (пример: URL, host т.д.)
� В случае, если порт связан с другим приложением, генерируется следующее
сообщение об ошибке:
используйте команду:
router(config)# ip nbar custom name [offset [format value]] [variable field-name field-length] [source|destinat ion] [tcp | udp] [range start end | port-number]
router# NBAR Error: Specified port(s) are associated with <prot ocol>
Router(config)# ip nbar port-map <name> tcp|udp <list of ports>
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 53
� Пользовательские приложения появляются в команде "show" распознавания протоколов и в базе данных MIB
� Для пользовательских приложений используется имя "custom-0X" или новое назначенное имя
Router# show ip nbar protocol-discovery top-n 5
Serial0/0 Input Output
Protocol Packet Count Packet Count Byte Count Byte Count 5 minute bit rate (bps)5 minute bit rate (bps)
---------- ----------------------------------------- ------custom-01 40565 40565
2596160 2596160 3000 3000
telnet 395 75 28539 6415 0 0
icmp 101 100 7360 6860 0 0
snmp 28 0 1988 0 0 0
netbios 9 0 738 0 0 0
unknown 205 204 14976 10404 0 0
Total 41304 40944 2649809 26198393000 3000
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 54
� Использование "множественных совпадений для отдельного порта" увеличивает гибкость распознавания пользовательских приложений
� Пример: идентифицировать UDP-пакеты в диапазоне портов назначения (5000-5005) и различными значениями "0xNN" в 20-ом байте полезной нагрузки
router(config)# ip nbar custom name [ offset [ format value]] [variable field-name field-length] [ source|destination] [tcp | udp] [range start end | port-number]
router(config)# ip nbar custom virus_home 20 variable scid 1 dest udp range 5000 5005router(config)# class-map active-craft router(config-cmap)# match protocol virus_home scid 0x15router(config-cmap)# match protocol virus_home scid 0x21router(config)# class-map passive-craft router(config-cmap)# match protocol virus_home scid 0x11router(config-cmap)# match protocol virus_home scid 0x22
•
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 55
Что такое NBAR2? (NBAR нового поколения)
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 56
NBAR нового поколения
NBAR нового поколения
IOS NBAR+150 сигнатур
IOS NBAR+150 сигнатур
Классификация SCEЕще больше сигнатур
Усовершенствованные методы классификации
Классификация «День-0»
+1100 сигнатур
Классификация SCEЕще больше сигнатур
Усовершенствованные методы классификации
Классификация «День-0»
+1100 сигнатур ИнновацииКлассификация трафика IPv6
Классификация вложенного трафика
Извлечение полей
Общая библиотека приложений
Атрибуты
ИнновацииКлассификация трафика IPv6
Классификация вложенного трафика
Извлечение полей
Общая библиотека приложений
Атрибуты
� NBAR2 - это вперед в разработке подсистем классификации
Фактически, это но с сохранением названия NBAR для единообразия
� Переработка архитектуры NBAR связана с использованием системы управления услугами Service Control Engine (SCE): усовершенствованные методы классификации, количество сигнатур, точность и т.д.
� Еще более тесная интеграция в будущем: классификация приложений «Дня-0»
� Система NBAR2 ориентирована только на ISR-G2 и ASR1K
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 57
� NBAR2 принимается в качестве межплатформенного механизма классификации приложений, разработанного компанией Cisco
� Поддерживает ~900 "приложений" и подклассификаций, а также около 100 новых сигнатур в год
� Классификация приложений все более усложняется и выступает в качестве основного средства дифференциации в системах DPI
Год
Механизм
классификации
Без отслеживания состояния
на уровне L4
На основании портов
Без классификации
протоколов
С отслеживанием состояния
(на основании потока)
Сигнатуры уровня L7
MPE – мультипакетная
подсистема
Методы нового поколения:
поведенческие и
статистические
1990 2000 2010 2020
Telnet, SNMP, SSH
HTTP, NNTP, POP3
RTP, Skype, Bittorrent
Разделение голосовой передачи
и чата, любые соединения P2P,
любые видео (совершенно новая
возможность)
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 58
� Общая библиотека приложений для различных платформ NBAR2
- Сигнатуры, не зависящие от платформ, объединение библиотек приложений NBAR и SCE
� Доставка сигнатур с помощью пакета протоколов
- Разделение обновления сигнатур и базового образа
- Установка нового пакета протоколов без прерывания работы
� Усовершенствованные методы классификации
- Поддержка IPv4, IPv6 и вложенного трафика (метод перехода на IPv6 и т.д.)
- Оптимальные методы классификации от SCE (мультипакетная подсистема Multi-Packet Engine)
- Классификация по категориям, подкатегориям и атрибутам
� До 121 пользовательских приложений
� И ряд других возможностей, представленных в данной презентации
15.2(1)T1,
IOS XE
3.3.0S
15.2(1)T1,
IOS XE
3.3.0S
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 59
Сигнатуры
протоколов
2000 Сегодняшний день
900
1200
100
IPv4 и IPv6
Сложные сигнатуры
NBAR2
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6558/ps6616/product_bulletin_c25-627831.html
Библиотека приложений NBAR:
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 60
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6558/ps6616/product_bulletin_c25-627831.html
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 61
FILETOPIA VENTRILO ISAKMP DNS SSL OPEN-VPN
ITUNES TEAMSPEAKYAHOO
MESSENGER VOIPWEBEX-MEETING CISCO IP CAMERA STEAM
NAPSTER PANDO RTMP WINDOWS UPDATE WINNY RTMPE
POCO WEBTHUNDER
YAHOO
MESSENGER VOIP
OVER SIP
ENCRYPTED BITTORRENT GOOGLETALK-VOICEMANOLITO
SSDP MAPLESTORY PPLIVE ENCRYPTED EMULE GOOGLETALK-FT BABELGUM
RADIUS TOMATOPANG ICQ MS-WBT STUN-NAT PPSTREAM
HTTP TUNNEL SONGSARI FRING VOIP NETWORKING-GNUTELLA LIVEMEETING RTMP
GURUGURUTEREDO IPV6
TUNNELEDWASTE YAHOO-VOID-OVER-SIP GMAIL
SORIBADAAYIYA IPV6
TUNNELEDKURO SOCKS VIBER
DHT6RD IPV6
TUNNELED
MSN MESSENGER
VOIP
GRIDFTP
SLINGISATAP IPV6
TUNNELEDGMAIL XMPP-CLIENT MEGAVIDEO
STUN BAIDU MOVIE STUN GMAIL-CHAT NETFLIX
GOOGLEEARTH MMS SSL GOOGLETALK-VIDEO GOOGLETALK-CHAT
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 62
Каким образом получить информацию о приложении?
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 63
� Поддерживается на всех платформах, на которых может выполняться распознавание протоколов NBAR
� Предоставляет статистические данные по приложениям, распознанным NBAR:
- скорость передачи данных (бит/с), число пакетов и байтов
- по направлению (входящий и исходящий трафик)
� Включает статистические данные для трафика, идентифицированного в соответствии с классификацией пользовательских специальных приложений
� Настраивает и предоставляет для просмотра несколько top-n таблиц со списком приложений, отсортированных по коэффициенту использования пропускной способности
� Настройка пороговых значений и уведомлений
12.2(15)T,
IOS XE 2.5
12.2(15)T,
IOS XE 2.5
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 64
� Если распознавание протоколов включается через MIB, то оно включено как IPv4, так и IPv6
� Однако, MIB наследует все параметры, которые были подключены через интерфейс командной строки (CLI)
Input Output
Protocol Packet Count Packet Count
Router(config-if)# ip nbar protocol-discovery ?ipv4 Enable protocol discovery only for ipv4ipv6 Enable protocol discovery only for ipv6<cr>
Router# show ip nbar protocol-discovery interface GigabitEthernet0/1/4 stats packet-count t op-n 5
Last clearing of "show ip nbar protocol-discovery" counters 00:00:34Input Output ----- ------
Protocol Packet Count Packet Count ------------------------ ------------------------ -------------guruguru 0 30 ipv6-icmp 3 2 unknown 0 3 Total 3 35
15.2(1)T1,
IOS XE
3.3.0S
15.2(1)T1,
IOS XE
3.3.0S
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 65
� Два индекса
- Интерфейс: ifIndex от IF-MIB
- Приложение: cnpdAllStatsProtocolsIndex
Router# show snmp mib ifmib ifindex FastEthernet0/0: Ifindex = 1FastEthernet1/0: Ifindex = 2Loopback0: Ifindex = 12…NMS% snmpwalk -c public <router> cnpdAllStatsEntrycnpdAllStatsProtocolName .2.1= STRING: "ftp"cnpdAllStatsProtocolName.2.2= STRING: "http"�cnpdAllStatsHCInPkt .2.1= Counter32: 20 cnpdAllStatsHCInPkt.2.2= Counter32: 8406...cnpdAllStatsHCOutPkts .2.1= Counter32: 10cnpdAllStatsHCOutPkts.2.2 = Counter32: 2830
cnpdAllStatsInBytes(5),cnpdAllStatsOutBytes(6) , cnpdAllStatsHCInPkt(7), cnpdAllStatsHCOutPkts(8), cnpdAllStatsHCInBytes(9), cnpdAllStatsHCOutBytes(10), cnpdAllStatsInBitRate(11), cnpdAllStatsOutBitRate(12)
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 66
� Устанавливаются пороговые значения для отдельных программ наинтерфейсе или статистические данные в независимости от приложения
- Пороговые значения для любой комбинации поддерживаемых приложений и/ или для всех приложений
� Настройка уведомлений на основе пороговых значений статистических данных
� Поддерживается таблица истории всех уведомлений о событиях (макс. 5000)
- Информация хранится в течение длительного периода времени в случае выхода за границы порогового значения
� Уведомление генерируется и отправляется вместе с краткой информацией о пороговом значении
- Использование механизма запаздывания предотвращает возникновение нескольких событий выхода за границы порогового значения в одной выборке
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 67
Таблица Описание SNMP-доступ
cnpdSupportedProtocols Список всех поддерживаемых протоколов Только для чтения
cnpdAllStats Все статистические данные NBAR по
интерфейсу
Только для чтения
cnpdTopNstats Таблица статистических данных Top-N Только для чтения
cnpdThresholdhistory История событий падения и роста показателей
по сравнению с пороговыми значениями
Только для чтения
cnpdStatus Включает или отключает применение NBAR по
отношению к интерфейсу, включая отметки
времени
Чтение-запись
cnpdTopNconfig Настройка таблицы top-N по интерфейсу Чтение-запись
cnpdThresholdconfig Настройка пороговых значений протокола Чтение-запись
cnpdNotificationsconfig Включение прерываний Чтение-запись
cnpdMIBNotifications События падения или роста показателей по
сравнению с пороговыми значениями
-
� Навигатор по объектам SNMP: http://www.cisco.com/go/mibs
� ftp://ftp.cisco.com/pub/mibs/v2/CISCO-NBAR-PROTOCOL-DISCOVERY-MIB.my
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 68
Пример уведомления t hSystemUpTime – время возникновения уведомления
У отслеживаемого протокола наблюдалось превышение настроенного порогового значения для интерфейса, но не было отмечено падение ниже порогового значения
Уведомление для каждого события
ThresholdRisingEvent,
для которого будет происходить событие
ThresholdFallingEventIfindex.3 Serial0/1
Значение выборки во время выхода за пороговое значения = 1 бит/с
(входящая + исходящая) скорость передачи данных
Настроенное нижнее пороговое значение для (входящей + исходящей) скорости передачи
данных = 5 бит/с
Отслеживаемый протокол 33 = Telnet
cnpdThresholdHistory
Router(config)# snmp-server enable traps cnpd
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 69
Class-Map Stats Table (cbQosCMstats)
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 70
cbQosObjectsTable
CISCO-CLASS-BASED-QOS-MIB
cbQosPolicyIndex 1055cbQosObjectsIndex 1055cbQosConfigIndex 1040cbQosObjectsType ‘policymap’cbQosParentObjectsIndex 0
cbQosPolicyIndex 1055cbQosObjectsIndex 1056cbQosConfigIndex 1033cbQosObjectsType ‘classmap’cbQosParentObjectsIndex 1055
cbQosPolicyIndex 1055cbQosObjectsIndex 1058cbQosConfigIndex 1037cbQosObjectsType ‘matchStatement’cbQosParentObjectsIndex 1056
cbQosPolicyIndex 1055cbQosObjectsIndex 1060cbQosConfigIndex 1039cbQosObjectsType ‘matchStatement’cbQosParentObjectsIndex 1056
предложение соответствия
карта политик
карта классов карта классов
предложение соответствия
ограничение трафика
предложение
соответствия
случайное обнаружение
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 71
� Отслеживает данные на уровнях со 2 по 4
� Определяет приложения по комбинации портов или портов и IP-адресов
� Информация о потоке - кто, что, когда, где
� Flexible NetFlow позволяет самостоятельно выбирать ключевые поля
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 72
Ка к и м о бр а з о м к э ш ир о в а т ь и н ф ор ма ц и ю?
Ка к о й и н т ер ф е йс н е о бх о д и м о о т с л е ж и в а т ь?
Ка к и е д а н н ы е н е о бх о д и м о к о л и ч е с т в е н н о о ц е н и в а т ь?Router(config)# flow record my-recordRouter(config-flow-record)# match ipv4 destination addressRouter(config-flow-record)# match ipv4 source addre ssRouter(config-flow-record)# collect counter bytes
Ку д а н е о бх о д и м о о т пр а в и т ь д а н н ы е?Router(config)# flow exporter my-exporterRouter(config-flow-exporter)# destination 1.1.1.1
Router(config)# flow monitor my-monitorRouter(config-flow-monitor)# exporter my-exporterRouter(config-flow-monitor)# record my-record
Router(config)# interface s3/0
Router(config-if)# ip flow monitor my-monitor input
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 73
router# show flow mon <app_mon> cache
IPV4 SRC ADDR IPV4 DST ADDR APP NAME=============== =============== ===============10.0.1.1 10.0.1.2 nbar rtcp10.0.1.1 10.0.1.2 nbar ssh10.0.1.1 10.0.1.2 nbar telnet10.0.1.1 10.0.1.2 NBAR lunar_light
NBAR = специальные приложения
router(config)# flow record app_recordrouter(config-flow-record)# match ipv4 source addressrouter(config-flow-record)# match ipv4 destination addressrouter(config-flow-record)# match application name
Пример отчета (Cisco Prime Assurance)
Включение имени приложения
NBAR в запись Flexible NetFlow
устанавливает связь имени
приложения с отчетом о потоках.
IOS XE
3.1.1S
15.0(1)M
IOS XE
3.1.1S
15.0(1)M
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 74
� Глобальный идентификатор приложения - это уникальный идентификатор для каждого приложения, сообщаемый во все подсистемы DPI в Cisco
- IOS ISR, IOS-XE ASR1k, модуль анализа сети, межсетевой экран IOS
- В перспективе: WAAS Express и т.д.
� Собственный формат Cisco, основанный на
- протоколе уровня L4, т.е. стандартных портах IANA
- протоколе уровня L3, т.е. типе протоколов IANA
- протоколе уровня L2, т.е. Ethertype
- протоколах и приложениях уровня L7: собственные назначения (НЕ зарегистрированные IANA для уровня L7)
� Переход к IETF при помощи данной кодировки идентификатора приложений
- "Экспорт информации о приложениях в IPFIX"
- http://tools.ietf.org/html/draft-claise-export-application-info-in-ipfix-04, вскоре ожидается выход RFC
IOS XE
3.4 S
15.2(2)T
IOS XE
3.4 S
15.2(2)T
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 75
� Подсистема присваивает идентификаторам числовые значения следующим образом:
- Engine: prot (IANA_L3_STANDARD, ID: 1)
- Engine: port (IANA_L4_STANDARD, ID: 3)
- Engine: NBAR (NBAR_CUSTOM, ID: 6)
- Engine: cisco (CISCO_L7_GLOBAL, ID: 13)
Router # show ip nbar protocol-idProtocol Name id type----------------------------------------------ftp 21 L4 IANAhttp 80 L4 IANA…
Router # show flow exporter option application tableEngine: prot (IANA_L3_STANDARD, ID: 1)
appID Name Description----- ---- -----------1:8 egp Exterior Gateway P rotocol1:47 gre General Routing En capsulation
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 76
� Account-On-Resolution: данные счетчиков и таймеров кэшируются в таблице потока до его классификации, т.к. NBAR2 может брать для классификации несколько пакетов
� До тех пор, пока приложение не будет классифицировано, для имени приложения "application name" используется значение "unknown"
� После классификации потока начинается подсчет его параметров в кэше FNF, при этом добавляются данные счетчиков, кэшированные в таблице потока
Eth0 Unknown 2
Eth0 HTTP 1
SYN
SYN-ACK
ACK
GET URL
200 OK
unknown
unknown
HTTP
router(config)# flow record <app_record>router(config-flow-record)# match application name [ account-on-resolution ]
Eth0 HTTP 3
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 77
� Цель: снизить количество экспортированных потоков на монитор
Пример: NBAR на интерфейсе Интернет => будет по-прежнему получать информацию от наиболее популярных веб-сайтов
� Параметр настройки детализации позволит учитывать 1 из 10 потоков для указанного монитора
� Все пакеты, принадлежащие одному и тому же выборочному потоку, будут регистрироваться FNF для каждого экземпляра монитора
router(config)# sampler <sampler-name>
router(config-sampler)# mode {deterministic|random} 1 out-of <value M>
router(config-sampler)# granularity {packet (default) | connection}
IOS XE
3.4S
IOS
Future
IOS XE
3.4S
IOS
Future
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 78
� Обычно время устаревания записи FNF основывается на времени ожидания
� Добавляется экспорт на основе транзакций:
– закрытие записи о соединении в момент завершения транзакции или потока
– для обнаружения действительного завершения потока (но не паузу в соединении)
– для отличия нескольких транзакций одного и того же потока, например, когда необходимо извлечь поля из пакета
– время ожидания может отличаться от приложения к приложению
– для сохранения свободных ресурсов в кэш-памяти
– для возможности снижения загрузки коллектора за счет отправки только одной записи при завершении потока
� При экспорте, настроенном на "Transaction End", все записи FNF передаются при завершении потока или транзакции, которая создала данную запись
router(config)# flow monitor <monitor-name>router(config-flow-monitor)# cache timeout event transaction-end
IOS XE
3.4S
IOS
Future
IOS XE
3.4S
IOS
Future
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 79
� AVC поддерживает новые параметры измерений на основании данных NBAR и общей таблицы потока (CFT)
- initiator направление потока
- new-connections количество наблюдаемых инициаций соединений
- sum-duration общее время в секундах для всех соединений
- transaction-id идентификатор транзакции между клиентом и сервером
router(config)# flow record <record-name>
router(config-flow-record)# match application name
router(config-flow-record)# match connection transaction-id
router(config-flow-record)# collect connection new-connections
router(config-flow-record)# collect connection sum-duration
router(config-flow-record)# collect connection initiator
router(config-flow-record)# collect flow end-reason
•
•
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 80
router(config)# flow record <app_record> router(config-flow-record)# match interface inputrouter(config-flow-record)# match ipv4 source addressrouter(config-flow-record)# match ipv4 destination addressrouter(config-flow-record)# match application name account-on-resolution router(config-flow-record)# collect counter packets router(config-flow-record)# collect counter bytes
router(config)# flow exporter <app_collector> router(config-flow-exporter)# destination <ip address>router(config-flow-exporter)# option interface-tablerouter(config-flow-exporter)# option application-tablerouter(config-flow-exporter)# option application-attributes
router(config)# flow monitor <app_monitor> router(config-flow-monitor)# record <app_record> router(config-flow-monitor)# exporter <app_collector>router(config-flow-monitor)# cache timeout event transaction-end
router(config)# interface eth0/0router(config-if)# ip flow monitor <app_monitor> input
Экспорт значений атрибутов для всех приложений. См. следующий раздел
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 81
� Формирование отчетов по приложениям IPv6 при помощи Flexible NetFlow
15.2(1)T1,
IOS XE
3.3.0S
15.2(1)T1,
IOS XE
3.3.0S
router(config)# flow record app_recordrouter(config-flow-record)# match ipv6 source addressrouter(config-flow-record)# match ipv6 destination addressrouter(config-flow-record)# match application name
Router# show flow monitor APPIPv6 cache format table
IPV6 SOURCE ADDRESS IPV6 DESTINATION ADDRESS APPL NAME2A01:E35:8ABF:9510:FA1E:DFFF:FEE1:E789 2A01:E35:8AB F:9510:222:55FF:FEE6:BA98 http
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 82
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 83
Protocol Discovery или Flexible NetFlow
� Подходит для начального этапа, особенно при отсутствии установленного коллектора NetFlow
� Удобное использование команды "show" с 5 минутной частотой
� Полезный механизм пороговых значений в базе данных MIB
� Незначительно рагружает ЦП
� Отсутствует информация о 5 элементах потока (IP-адрес/ протокол/ порты)
� Более полная информация за счет информационных элементов Flexible NetFlow
� Однако, в большей степени влияет на производительность
� Особенности:
� Точный учет параметров потока до классификации
� Информация на основе выборки
� В перспективе: Извлекаемые поля
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 84
Как управлять приложением?
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 85
Глобальная сеть 1(IP-VPN)
Глобальная сеть 2(IPVPN, DMVPN)
MC/BR
MC/BR
BR
MC/BR
BR
MC/BR
BR
BR
Центр. офис
!
!
!class-map my-class
match protocol <application-1>match protocol <application-2>
!
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 86
� Выбор на основе атрибутов допускает сопоставление нескольких типов определенных элементов
Глобальная сеть 1(IP-VPN)
Глобальная сеть 2(IPVPN, DMVPN)
MC/BR
MC/BR
BR
MC/BR
BR
MC/BR
BR
BR
Центр. офис
15.2(2)T1
XE 3.4.0S
15.2(2)T1
XE 3.4.0S
!class-map my-class
match protocol attribute category email!
Примечание: атрибут "email" включает несколько почтовых программ -
outlook, gmail, hotmail, yahoo-mail
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 87
Классификация приложений в понятных терминах
Упрощение настройки управления и агрегирование отчетов
file-sharing client-server ftp-group n n n
browsing other other y y y
net-admin routing-protocol ipsec-group unassigned unassigned unassigned
other tunneling-protocols imap-group
internet-privacy network-management irc-group
instant-messaging voice-video-chat-collaboration kerberos-group
email authentication-services ldap-group
newsgroup database sqlsvr-group
voice-and-video naming-services netbios-group
business-and-productivity-tools terminal nntp-group
industrial-protocols streaming pop3-group
gaming p2p-networking snmp-group
obsolete p2p-file-transfer tftp-group
trojan control-and-signaling fasttrack-group
layer3-over-ip inter-process-rpc gnutella-group
location-based-services remote-access-terminal skinny-group
layer2-non-ip network-protocol edonkey-emule-group
commercial-media-distribution bittorrent-group
rich-media-http-content smtp-group
license-manager windows-live-messanger-group
epayement yahoo-messenger-group
storage flash-group
backup-systems skype-group
one-click-hosting corba-group
15.2(2)T1
IOS XE
3.4S
15.2(2)T1
IOS XE
3.4S
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 88
� Группировка приложений, основанная на различных характеристиках или свойствах� для каждого атрибута существует набор возможных значений
� в каждом приложение каждому атрибуту назначается значение из набора
� в настоящее время категория, подкатегория, группа приложений, p2p, туннелирование, шифрование поддерживают � статическое присвоение значений атрибутов приложениям
� в настоящее время используется для укрупненной оценки качества обслуживания QoS при составлении отчетов
� Команда "match" QoS допускает настройку определенного значения атрибута� Если новое приложение получает настроенное значение атрибута, то автоматически попадает
в тот же самый класс
� В шаблоне вариантов FnF передается сопоставление приложений и атрибутов� Коллектор может генерировать отчеты, агрегированные по атрибутам
� Дополнительно см. главную страницу библиотеки приложений
router(config-flow-exporter)# option application-attributes
IOS XE
3.4S,
IOS in
future
IOS XE
3.4S,
IOS in
future
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 89
� Группы приложений- группировка приложений, входящих в один и тот же комплект приложений или относящихся к
одному и тому же "бренду", например, приложения Yahoo-Messenger, Yahoo-VoIP-messenger
и Yahoo-VoIP-over-SIP попадают в группу "yahoo-messenger-group"
� Категория- группировка приложений с похожей функциональностью с точки зрения конечного
пользователя. Например, ‘email’, `gaming’, `newsgroup’ и т.д.
� Подкатегории- Также как и категории, представляют дополнительный уровень группировки приложений с
похожей функциональностью с точки зрения инфраструктуры или сети. например,`routing-protocol’, `database’, ‘streaming’ и т.д.
� P2P-Technology: логический атрибут, показывающий, использует ли приложение технологию p2p (не поддерживается ASR1000)
� Tunnel: логический атрибут, показывающий, используется ли приложение для туннелирования других приложений
� Encrypted: логический атрибут, показывающий, зашифровано ли приложение
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 90
http://www.cisco.com/en/US/partner/prod/collateral/ps7045/ps6129/ps6257/ps6135/cisco_insight.html
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 91
� У каждого атрибута есть значение по умолчанию (например, "unassigned" или "other"). Приложения, которым не назначен определенный атрибут, получают значения данного атрибута по умолчанию
� Специальным протоколам назначаются значения атрибутов по умолчанию
Атрибут Тип: Группа по умолчанию Примеры
Группы приложений Группа other skype, skinny, icq
Категория Группа other email, browsing
Подкатегории Группа other epayment, storage
Peer-to-peer логический p2p-tech-unassigned yes, no
Tunnel логический tunnel-unassignedyes, no
Encrypted логический encrypted-unassignedyes, no
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 92
� Атрибуты можно использовать в картах классов class-maps следующим образом:
� Использование необязательного аргумента [protocol] преобразует команду к виду match protocol <protocol>. Это поможет определить протоколы, назначенные в группе.
� Например, команда:
� Точно такая же, как:
� (config-cmap)#match protocol http
� Вложенные операторы "class-maps" и "match not" и все остальные спецификации MQC работают с атрибутами также, как и стандартный оператор "match protocol"
� Следующая комбинация подходит также и для неизвестного трафика
router(config-cmap)# match protocol attribute <attribute> <group> [proto col]router(config-cmap)# match protocol attribute category browsing
router(config-cmap)# match protocol attribute category browsing http
router(config-cmap)# match protocol http
router(config-cmap)# match protocol attribute sub-category other
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 93
router# show ip nbar protocol-attribute httpProtocol Name : http
category : browsingsub-category : other
application-group : otherp2p-technology : p2p-tech-no
tunnel : tunnel-noencrypted : encrypted-no
router# show ip nbar attribute ?application-group application-group attributecategory category attributeencrypted Encrypted applicationsp2p-technology Applications based on p2p-technologysub-category sub-category attributetunnel Tunnelled applications| Output modifiers
<cr>
router# show ip nbar attribute category gamingblizwow World of Warcraft Gaming Pro tocolbnet bnetdirectplay DirectPlaydirectplay8 DirectPlay8doom doom Id Software... ...
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 94
� Извлекаемые поля NBAR из HTTP, RTP, Citrix и пр. для настройки QoS
� Пример полей заголовка HTTP
� Извлекаемые поля Flexible NetFlow в перспективе
Router(config-cmap)# match protocol http ?content-encoding Encoding mechanism used to packag e entity bodyfrom E-mail of human controlling the u ser-agenthost Host name of Origin Server contai ning resourcelocation Exact location of resource from r equestmime Content-Type of entity bodyreferer Address the resource request was obtained fromserver Software used by Origin Server ha ndling requesturl Uniform Resource Locator pathuser-agent Software used by agent sending th e request
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 95
Citrix Edonkey FastTrack Gmail Gnutella Kazaa2 RTP Webex-
meeting
ica-tag text-chat file-transfer file-transfer file-transfer file-transfer audio audio
app file-transfer video video
search-file-
name
payload-
type
payload-
type
Citrix: http://www.cisco.com/en/US/docs/ios/qos/command/reference/qos_m1.html#wp1037938
Fasttrack: http://www.cisco.com/en/US/docs/ios/qos/command/reference/qos_m1.html#wp1038015
Gnutella: http://www.cisco.com/en/US/docs/ios/qos/command/reference/qos_m1.html#wp1038081
RTP: http://www.cisco.com/en/US/docs/ios/qos/command/reference/qos_m1.html#wp1038481
HTTP: http://www.cisco.com/en/US/docs/ios/qos/command/reference/qos_m1.html#wp1058795
(предыдущий слайд)
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 96
КОДЕКТип полезной
нагрузки
G0.711 (аудио)0 (алгоритм мю-типа) 8
(алгоритм А-типа)
G0.721 (аудио) 2
G0.722 (аудио) 9
G0.723 (аудио) 4
G0.728 (аудио) 15
G.729 (аудио) 18
H.261 (видео) 31
MPEG-1 (A/V)
MPEG-2 (A/V)
14 (аудио), 32 (видео), 33 (A-V)
Динамический 96–127
� Упрощает классификацию голосового и видео трафика
- IP-телефония, потоковая передача и видео в режиме реального времени, аудио- и видеоконференции, факс через Интернет
� Распознает RTP-пакеты на основании типа полезной нагрузки и кодеков
Router(config)# match protocol rtp ?audio match voice packetspayload-type match an explicit PT (Payload Type)video match video packets
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 97
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+-+ |V=2|P|X| CC |M| PT | sequence number | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+-+ | timestamp | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+-+ | synchronization source (SSRC) identi fier | +=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= +=+=+=+=+=+=+=+=+ | contributing source (CSRC) identifi ers | | .... | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+-+
� Транспортный протокол реального времени (RTP) – RFC 1889
� Профиль RTP для аудио- и видеоконференций с минимальным управлением – RFC 1890
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 98
� Протокол метаданных: сообщает параметры потока и атрибуты узлам сети по пути следования
� База метаданных потока: хранит информацию об атрибутах потока и согласовывает метаданные источников и получателей
- Источник: создает метаданные
- Потребитель: использует метаданные
� QoS может сопоставлять атрибуты метаданных
� Узлы, не поддерживающие метаданные, будут их просто передавать
База метаданных
База метаданных
База метаданных
База метаданных
10.1.1.2
Router (config-cmap)# match
application webex-meeting version X
База метаданных
Объявление
метаданных
Q1 CY12)
Источник метаданных
(1st:WebEx client
Q1 CY12)
15.2(1)T15.2(1)T
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 99
Перспективные разработки
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 100
Пакет TCP/UDP?
На основе сигнатуры
IANA-поиск
Приложение из данного потока
распознано?
настраиваемые параметры совпадают?
стандартный порт Greedy +
полезная нагрузка
:
Эвристические методы обработки по
первому пакету
Эвристические методы мультипакетной
обработки (*)
В качестве крайне меры - на основе порта
Отказ: "неизвестный" поток
Включено распознавание протоколов?
� �� � � � � � � �� � � � � �
Да
Да
Да
Нет
Нет
Нет
� � � � � � � � � � � �� � � � � � � � � � � � � � � � � � � � � � � � � � �� � �Да
Нет
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 101
Q O S�� � � � � �� �� � � F le x i b leNe t F lo w A C L�� � � � � I P Se c�� � � � � �� � �� � � Qo S�� � � � � � �� � � �� � �� � � � � � �� � � � ��� �ВыполнениеВходные характеристики
ВыполнениеВыходные характеристики
Q O S�� � � ��� � � � � � �
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 102
� Пакет протоколов – это набор приложений, разработанных и собранных в один пакет
� Пакет протоколов представляет собой средство распространения обновлений приложений в промежуток между выпусками версий IOS. Обновления могут быть загружены на маршрутизатор без замены IOS
� В данный момент новый пакет протоколов компонуется с новыми образами IOS
- Однако, новый пакет может быть выпущен для исправления ошибки или поддержки новых приложений
� В любой момент времени на устройстве установлен единственный "активный" пакет протоколов
• Вновь загружаемый пакет протоколов заменяет текущий
• В образе IOS устройства имеется встроенный пакет протоколов по умолчанию
• Если активный пакет протоколов выгружается, для образа восстанавливается встроенный пакет протоколов по умолчанию
• специальные протоколы и PDLM (для быстрого внесения исправлений) сохраняются
• Загрузка и выгрузка пакета протоколов приводит к сбросу текущего состояния классификации и статистических данных
• Примечание: на данном этапе для пользователей отсутствует возможность определения собственного пакета протоколов
15.2(1)T
XE 3.4.0S
15.2(1)T
XE 3.4.0S
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 103
� Команда загрузки пакета протоколов:
config# ip nbar protocol-pack <protocol pack file> [force]
Пример:
ip nbar protocol-pack harddisk:protocolPackFile
� Для выгрузки любого ранее загруженного пакета протоколов следует выполнить вышеуказанную командную строку со значение "no" для аргумента "version"
Пример:
no ip nbar protocol-pack harddisk:protocolPackFile [force]
� Другим способом возврата к пакету протоколов по умолчанию является команда
ip nbar protocol-pack harddisk:protocolPackFile
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 104
� Командная строка должны выполняться с аргументом "force" в следующих сценариях:
1. При необходимости сохранения конфигурации загруженного пакета протоколов при переходе на новые или более ранние версии IOS
2. Аргумент "Force" можно использовать для замещения активного пакета протоколов. При использовании аргумента "force" командная строка принимается, если пакет протоколов не содержит текущего активного протокола (протоколов)
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 105
� Для отображения информации о загруженном (активном) пакете протоколов или файле пакета протоколов, располагающемся на маршрутизаторе, необходимо выполнить следующую команду:
�
� Без использования аргумента "detail" отобразится название, издатель и версия пакета протоколов.
� При использовании аргумента "detail" отобразятся подробные сведения о пакете, например, протоколы и их версии.
router# show ip nbar protocol-pack <active | protocol pack file> [detail]
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 106
� Классификация приложений, работающих с использованием IPv6
� Классификация приложений, использующих механизмы инкапсуляции IPv6 в IPv4 (v6 over v4): Teredo, isatap, 6to4, 6rd
� Сбор статистических данных при распознавания протоколов можно настроить на интерфейс только для IPv4, только для IPv6 или для обоих версий протоколов
При включении обоих вариантов агрегированные статистические данные показываются по приложениям
Трафик v6 over v4 показывается как трафик IPv4
� Политики Modular QoS применяются как к трафику v4, так и к v6
� Мониторы потоков могут применять как к трафику v4, так и к v6
Трафик v6 over v4 показывается как трафик IPv4
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 107
� Классифицируется трафик внутри туннеля
- ipv6inip – классифицирует приложения в трафике IPv6, инкапсулированном в полезную нагрузку типа 41 протокола IPv4
- teredo – классифицирует приложения в трафике IPv6, инкапсулированном в туннели teredo
� Настройка будет применяться к трафику IPv4, наблюдаемому на интерфейсах с включенным NBAR
Router(config)# ip nbar classification tunneled-traffic ipv6inip | teredo
15.2(2)T1
XE 3.5S
15.2(2)T1
XE 3.5S
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 108
Производительность и диагностика
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 109
ASR1000 ESP, модуль
переадресации плоскости
данных
Макс.
пропускная
способность
[Гбит/с]
Макс.
Производите-
льность
[млн пакетов в
сек.]
Макс. кол-во
IP-потоков
[млн.]
Макс.
кол-во
соединений в
сек.
[тыс.
потоков/с]
Стандартная
пропускная
способность
[Гбит/с]
ESP5 5 подлежит
уточнению
0.75 подлежит
уточнению
2.5
ESP10 10 3.5 1.65 150 5
ESP20 20 5 3.5 200 10
ESP40 20 5 3.5 200 10
- Для одного сервиса
- NBAR2: не оказывает воздействия на ЦП RP, влияет только на ESP ЦП
- ISRG2 еще не оценивалась
ESP: встроенный сервисный процессор
• ASR1000, ESP40/RP2 с пакетами размером 1500 байтов
Распознавание протоколов (PD) : +/-20% ЦП
PD + QoS : +/- 25% ЦП
PD + подпротокол QoS : +/-26 % ЦП
PD + подпротокол QoS + FNF : +/- 26% ЦП
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 110
Router# show ip nbar resources flow NBAR flow statistics
Maximum no of sessions allowed : 1000000 Maximum memory usage allowed : 367001 KBytesActive sessions : 0 Active memory usage : 43712 KBytesPeak session : 1223 Peak memory usage : 43712 Kbytes
Router(config)# ip nbar resources flow max-session <number of sessi ons>Router(config)# ip nbar resources protocol max-session <link age in
multiple of system link age (secs.)>
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 111
Router# show ip nbar resourcesNBAR memory usage for tracking Stateful sessions
System link age : 30 secsInitial memory : 1160 KBytesMax initial memory : 2320 KBytesMemory expansion : 116 KBytesMax memory expansion : 116 KBytesMemory in use : 1160 KBytesMax memory allowed : 4640 KBytesActive links : 0Total links : 10000Flow Object in Use : 0
Router(config)# ip nbar resources flow max-session <define max allowed session>
Router(config)# ip nbar resources system <System link age (in seconds)> <initial memory (in Kbytes)> <amount of memory to expand by (in kBytes)>
Router(config)# ip nbar resources protocol <Link age in multiples o f system link age (secs.)
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 112
� При низком % распознавания трафика системой NBAR следует выполнить модернизацию...
• http://www.cisco.com/go/easy и http://forums.cisco.com/eforum/servlet/EEM?page=eem&fn=script&scriptId=2101
Router# show ip nbar protocol-discovery top-n 5 Serial0/0
Input Output Protocol Packet Count Packet Count
Byte Count Byte Count 5 minute bit rate (bps) 5 minute bit rate (bps)
---------- ------------------------ ----------------- -------. . .. . .
unknown 205 204 14976 10404 0 0
Total 41304 40944 2649809 26198393000 3000
][
]100)[((%)
total
unknowntotalizedNBARrecogn
×−=
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 113
� Далее: дальнейшее изучение трафика на этих портах
� Возможно, специальный протокол
� "Команды отладки Debug IP NBAR следует включать только в тщательно контролируемых условиях! “
Router# debug ip nbar unclassified-port-stats
Router# show ip nbar unclassified-port-stats
Port Proto # of Packets
------- -------- -------
6346 tcp 347679
27005 udp 55043
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 114
� Сброс всех счетчиков
• Сброс счетчиков на конкретном интерфейсе
Router# clear ip nbar
Clear all NBAR Protocol Discovery statistics? [yes] :
Cleared NBAR Protocol Discovery statistics on all i nterfaces.
NBAR packet capture is not enabled.
NBAR state-graph tracing is not enabled
Port Statistics for unclassified packets is not tur ned on.
Router# clear ip nbar protocol-discovery interface fast eth ernet 0
Clearing NBAR Protocol Discovery statistics on Fast Ethernet0.
Proceed? [yes]:
Router#
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 115
� Почему?
- Если одно приложение вызывает ряд вопросов
- Для снижения влияния на производительность: достигается только для приложения с отслеживанием состояния в мультипакетной подсистеме (уточнить заранее)
� "Отключение" означает удаление приложения из списка поддерживаемых активных приложений
- Не допускается использовать при настройке, т.к. приложение исчезнет из описания конфигурации
- В результате произойдет сброс подсистемы NBAR
� Если сигнатуры приложения взаимозависимы, все они должны быть отключены или включены
• например, приложения HTTP и HTTP с туннелированием
• Одновременно можно отключить до 7 приложений
� Полезно использовать при диагностике
• Внутренние функции отладки необходимо использовать крайне осторожно, консультируясь с представителями Cisco
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 116
Потенциальные проблемы DPI/NBAR2
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 117
� Не IP-трафик
� Пакеты с метками MPLS
� Ассиметричные потоки с приложениями с отслеживанием состояния
• Если поток в обоих направлениях не проходит через одно и то же устройство, то классификация с отслеживанием состояния не будет выполняться успешно
• Ограниченная поддержка нескольких приложений (например, HTTP)
� Шифрованный или туннелированный трафик
- Транзитный трафик IPSec, классифицированный как IPSec
- В случае транзитных туннелей детуннелирование поддерживается для ограниченного типа туннелей (v6 в v4)
- Примечание. Тем не менее, в ряде случаев можно успешно применять мультипакетныеэвристические методы, используемые для трафика SSL/TLS. Например, skype, gtalk
� Фрагментация IP-пакетов
• Попытка классификации только по первому фрагменту
• Касается мультипакетной классификации
� Out-of-order пакеты, возможно, не будут правильно классифицированы
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 118
� Перезапуск состоит в отключении и повторном включении NBAR. В ходе перезапуска все пакеты классифицируются NBAR как "Unknown" После завершения перезапуска классификация включается
� Перезапуск NBAR выполняется в следующих случаях:
- добавление специального протокола через интерфейс командной строки
- загрузка PDLM
- аварийное переключение RP
- аварийное переключение FP
- установка пакета протоколов
- изменение длительности соединения
- изменение ресурсов. Выполнение команды "ip nbar resources flow"
� При аварийном переключении RP статистика распознавания протоколов теряется
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 119
� Неподдерживаемые интерфейсы
- Интерфейсы коммутируемого доступа
- Динамические туннели, такие как динамический интерфейс виртуальных туннелей (DVTI)
- Каналы Fast Etherchannel
- Туннели IPv6, оканчивающиеся на маршрутизаторе
- Многоканальные интерфейсы, такие как многоканальный протокол "точка-точка" (MLPPP) и Multilink Frame Relay
- Многопротокольная коммутация по меткам (MPLS)
- Оверлейные интерфейсы Overlay Transport Virtualization (OTV)
- Агрегированные каналы
- Инфраструктура сервисов VRF-Aware Service Infrastructure (VASI)
- Туннели IPSec GETVPN
� Пакеты, исходящие от или предназначенные маршрутизатору, на котором работает NBAR
� Пакеты многоадресной рассылки
� При проектировании предусматривалось временное отключение обработки NBAR при обновлении ПО без прерывания работы (ISSU)
� Распознавание протоколов на 32 интерфейсах максимум
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 120
� Для интерфейсов должен быть включен режим коммутации (CEF)
- Интерфейсы Fast EtherChannel не поддерживаются
� Поддержка туннельного интерфейса
- Совместная настройка NBAR на основном и туннельном интерфейсе не поддерживается, за исключение туннелей IPSec
- Туннели IPSec GETVPN не поддерживаются
� Примечание. Поддерживаются следующее
- пакеты, исходящие от или предназначенные маршрутизатору, на котором работает NBAR
- пакеты многоадресной рассылки
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 121
Сценарии использования и примеры
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 122
Class-map match-all business-criticalmatch protocol citrixmatch access-group 101
class-map match-any browsingmatch protocol attribute category browsing
class-map match-any internal-browsingmatch protocol http url “*myserver.com*”
policy-map internal-browsing-policyclass internal-browsing
bandwidth remaining percent 60
policy-map my-network-policyclass business-critical
prioritypolice cir percent 50
class browsingbandwidth remaining percent 30service-policy internal-browsing-policy
interface eth0/0service-policy output my-network-policy
Просмотр внутр.
ресурсов:
60% от объема
просмотра ресурсов
Просмотр ресурсов:
30 % избыточной пропускной
способности
(=15 % канала передачи данных)
Остаток:
70 % избыточной пропускной
способности
(=35 % канала передачи
данных)
Критически важные для
бизнеса:
Высший приоритет
50 % гарантированной
Приложение Пропускная способность Приоритет
Критически
важные для
бизнеса
Гарантированная 50 % Высокий
Просмотр
ресурсов
30 % (=15 % канала
передачи данных)
Стандартный
Просмотр
внутр.
ресурсов
60% (из объема
просмотра ресурсов)
Остальное 70 % (=35 % канала
передачи данных)
Стандартный
Гарантированная
пропускная
способность (50
% канала
передачи
данных)
Избыточная
пропускная
способность
(50 % канала
передачи
данных)
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 123
� Настройка сбора статистических данных трафика для протоколов IPv4 и IPv6
� Формирование отчетов по приложениям IPv6 при помощи FlexibleNetFlow
Глобальная сеть 1(IP-VPN)
Глобальная сеть 2(IPVPN, DMVPN)
MC/BR
MC/BR
BR
MC/BR
BR
MC/BR
BR
BR
Центр. офис
Веб-сервер
15.2(1)T1,
IOS XE
3.3.0S
15.2(1)T1,
IOS XE
3.3.0S
flow record <app_record>match ipv6 source addressmatch ipv6 destination addressmatch application name
show flow monitor <APPIPv6> cache format table
IPV6 SOURCE ADDRESS IPV6 DESTINATION ADDRESS APPL NAME2A01:E35:8ABF:9510:FA1E:DFFF:FEE1:E789 2A01:E35:8AB F:9510:222:55FF:FEE6:BA98 http
interface Gi1/1ip nbar protocol-discovery [ipv4|ipv6]
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 124
� Классификация приложений с отслеживание состояния для создания политик, независимо от трафика v4 или v6, упрощение управления политиками
Глобальная сеть 1(IPVPN)
Глобальная сеть 2(IPVPN, DMVPN)
MC/BR
MC/BR
BR
MC/BR
BR
MC/BR
BR
BR
Центр. офис
IPv4
IPv6 в исходном виде
Интернет
class-map my-classmatch protocol ssh
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 125
� Обнаружение трафика IPv6 в IPv4 (ISATAP, Teredo, 6to4,..)
� Классификация приложений с отслеживанием состояния для трафика IPv6 в IPv4
Глобальная сеть 1(IPVPN)
Глобальная сеть 2(IPVPN, DMVPN)
MC/BR
MC/BR
BR
MC/BR
BR
MC/BR
BR
BR
Центр. офис
15.2(2)T1,
IOS XE
3.5.0S
15.2(2)T1,
IOS XE
3.5.0S
Веб-сервер
IPv6 в естественном виде
IPv6 в IPv4
ISATAP
NBAR к л а с с и ф и ц ир у е т д а н н ы й
п о т о к п о у м о л ч а н и ю к а к "ISATAP"
При включенной проверке туннелей IPv6 система NBAR
классифицирует данных поток как "HTTP"
interface Gi1/1ip nbar classification tunneled-traffic ?
ipv6inip Tunnel type ISATAP, 6to4 and 6RDteredo Tunnel type TEREDO
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 126
Ограничение скорости для аномального трафика
router(config)# class-map match-any MyVirusMap
router(config-cmap)# match protocol http url "*default.ida*“
router(config-cmap)# match protocol http url "*cmd.exe*"
router(config-cmap)# match protocol http url "*root.exe*
router(config)# policy-map MyVirusPolicy
router(config-pmap)# class MyVirusMap
router(config-pmap-c)# set dscp 1
router(config-pmap-c)# police 1000000 31250 31250 conform-action drop exceed-action drop violate-action drop
router(config)# interface serial 0/0
router(config-if)# service-policy input MyVirusPolicy
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 127
Router# show policy-map interface serial 0/0
Serial0/0
Service-policy input: MyVirusPolicy
Class-map: MyVirusMap (match-any)
5 packets, 300 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: protocol http url "*default.ida*"
5 packets, 300 bytes
5 minute rate 0 bps
Match: protocol http url "*cmd.exe*"
0 packets, 0 bytes
5 minute rate 0 bps
Match: protocol http url "*root.exe*"
0 packets, 0 bytes
5 minute rate 0 bps
police:
1000000 bps, 31250 limit, 31250 extended limit
conformed 5 packets, 300 bytes; action: drop
exceeded 0 packets, 0 bytes; action: drop
violated 0 packets, 0 bytes; action: drop
conformed 0 bps, exceed 0 bps, violate 0 bps
Class-map: class-default (match-any)
5 packets, 300 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: any
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 128
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 129
Мониторинг
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 130
Альтернативные решения NetFlow
1 3 0
Открытый исходный код
Университета штата
Огайо
Открытый исходный
код SourceForge
Коммерческая
v5 и v9 v5 и выше v5 и выше
Да Да Да
Командная строка,
аналогичная ACL
Командная строка,
аналогичная tcpdump
Графический
интерфейс
пользователя
По запросу через
сервис Google Code
Оперативная Оперативная
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 131
Lancope
Инструментальная панель
1 3 1
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 132
1 3 2
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ CiscoAVC_NFC_mkader 133
Когда?Когда?
Сколько?Сколько?
ИсполнительИсполнительИсполнительИсполнитель
Каким
образом?
Каким
образом?