模块化策略框架三部曲
定义需要做访问控制的流量(class-map)
关联流量到网络策略(policy-map)
接口下或全局激活网络策略(service-policy)
Class-map
基于OSI 3-4层的Class-map,关联需要执行访问控制的3到4层流量
基于OSI 5-7层的Class-map,关联需要执行访问控制的5到7层流量(应用层)
Policy-map
基于OSI 3-4层的Policy-map,关联需要执行访问控制的3-4层流量
基于OSI 5-7层的Policy-map,关联需要执行访问控制的5-7层流量
一个Policy-map可以包含多个策略
一个策略包含一个class-map以及为其定义的行为
每个接口只允许存在一个Policy-map(对出入流量做处理),全局也只允许存在一个Policy-map(只对入方向执行处理)
Service-map
基于接口部署启用Policy-map
基于全局部署启用Policy-map
一个Policy
ASAv(config)# class-map class_1ASAv(config-cmap)# match ?mpf-class-map mode commands/options:access-list Match an Access Listany Match any packetdefault-inspection-traffic Match default inspection traffic:ctiqbe----tcp--2748 diameter--tcp--3868diameter--tcp/tls--5868 diameter--sctp-3868dns-------udp--53 ftp-------tcp--21gtp-------udp--2123,3386 h323-h225-tcp--1720h323-ras--udp--1718-1719 http------tcp--80icmp------icmp ils-------tcp--389ip-options-----rsvp m3ua------sctp-2905mgcp------udp--2427,2727 netbios---udp--137-138radius-acct----udp--1646 rpc-------udp--111rsh-------tcp--514 rtsp------tcp--554sip-------tcp--5060 sip-------udp--5060skinny----tcp--2000 smtp------tcp--25sqlnet----tcp--1521 tftp------udp--69vxlan-----udp--4789 waas------tcp--1-65535xdmcp-----udp--177dscp Match IP DSCP (DiffServ CodePoints)# 与QOS相关flow Flow based Policyport Match TCP/UDP/SCTP port(s)precedence Match IP precedence# 与QOS相关rtp Match RTP port numberstunnel-group Match a Tunnel Group
Example 控制telnet 最大连接数量为1
ASAv(config)# class-map type management c1ASAv(config-cmap)# match port tcp eq 23ASAv(config-cmap)# exitASAv(config-cmap)# exitASAv(config)# policy-map p1ASAv(config-pmap)# class c1ASAv(config-pmap-c)# set connection conn-max 1ASAv(config-pmap-c)# exitASAv(config-pmap)# exitASAv(config)# service-policy p1 interface Inside_1
若有收获,就点个赞吧
0 人点赞
