數據層面：

FPM Flexible Packet Matching

FPM是CisCOIOS新一代的ACL根據任意條件，無無狀態的匹配數據包的頭部負載，或者全部分析協議，更易于規則的創建用于替代傳統ACL，對特定惡意流量的基礎架構過濾

• 無狀態
• ipv4單播
• 不支持option選項
• 不支持tunnel接口
• 不支持WAN
• 不支持初始化分片

匹配流量方式：

• the use of a Protocol Header Description File (PHDF)
• direct matching of traffic based on length and offset
• a mix of the two

查看fpm文件

more system:/fpm/phdf/ip.phdf

more system:/fpm/phdf/tcp.phdf

more system:/fpm/phdf/udp.phdf

more system:/fpm/phdf/icmp.phdf

moresystem:/fpm/phdf/ether.phdf

上傳文件后加載

load protocol system:/fpm/phdf/ip.phdf

load protocol system:/fpm/phdf/tcp.phdf

load protocol system:/fpm/phdf/udp.phdf

NetFlow介紹

■提供高層次的診斷，·分類和識別網絡異常。

■使用netflow來檢查那些行為改變明顯的攻擊是非常有效的

■就像wiretap一樣捕獲數據包

■NetFlow像電話賬單

??? ·通過學習話單，你可以學習到很多：誰在和誰進行通話，通過什么協議和端口，多長時間，速度如何，持續多久等等。

??? ·NetFlow是某種形式上的遙感技術，路由器和交換機作為一個感應器，推送流量信息到NetFlow collector。

標準? 只能對 鍵值??

靈活 鍵值和非鍵值

用途：

?Network monitoring(網絡監控)

Application monitoring and profiling(應用監控和分析)

User monitoring and profiling（用戶監控和分析）

Network planning and analysis（網絡規劃和分析）

Security analysis(安全分析)

Billing and accounting(記賬和審計)

netflow 組件：

實驗：

!

flow record QYT-Record

?match ipv4 source address

?match ipv4 destination address

?collect counter bytes

!

!

flow exporter Netflow-Exporter

?destination 202.100.1.241

?transport udp 666

?export-protocol'netflow-v9

flow monitor Monitor1

?exporter Netflow-Exporter

?record QYT-Record

!

!

flow monitor Monitor2

?exporter Netflow-Exporter

?record netflow ipv4 original-input

!

!

interface GigabitEthernet1

?ip flow monitor Monitor2 input

?ip address 202.100.1.10 255.255.255.0

!

interface GigabitEthernet2

?ip flow monitor Monitor1 input

?ip address 10.1.1.10 255.255.255.0

!

ip flow-top-talkers

?top 5

?sort-by packets

?match protocol 1

!

flow-sampler-map QYT

?mode random one-out-of 10

!

interface GigabitEthernet1

?flow-sampler QYT

!

show flow exporter statistics

show flow monitor name Monitor1 cache format table

show ip flow top-talkers

PRGT 圖形工具

控制層面

• 為數據層面構建路由表和轉發表
• 在進程級別上運行
• 與慢速數據路徑進程(slow data path processes)和管理進程分享CPU資源
• 默認情況下，也分享到主CPU的路徑(隊列)

CoPP提供基本的資源保護功能

• 允許或拒絕到控制層面的訪問
• 對訪問控制層面的流量限速
• 比基礎設施ACL更便于管理
• 在一個虛擬Control Plane接口上配置一個Service Policy

CPPr提供靈活的資源保護和設備防火墻功能

• 創建多個隊列到進程級別
• 自動分離主機終結的流量和慢速過境的數據層面流量
• 配置一個ServicePolicy并在一個虛擬Control Plane子接口上調用

host subinterface ：SSH、SNMP、BGP、OSPF、EIGRP

transit subinterface：數據包并非直接發往路由器本身，而是穿越路由器的流量

CEF-exception subinterface：i.e. ARP, L2 Keepalives and all non-IP host traffic

管理層面

• 提供對設備管理特性的訪問
• 在進程級別上運行
• 與慢速數據路勁進程和control plane進程分享CPU資源
• 默認情況下，也分享到主CPU的路徑(隊列)

可以過濾抵達設備的管理訪問，使用多重的獨立機制：接口ACL、服務特殊的ACL、CoPP、MPP

CPU/MEM通告