目录
一、MPF的简介
MPF(modular policy framework),模块化策略框架,它与Qos中的MQC(modular Qos command)模块化的Qos命令行比较类似。我们可以使用MPF来实现一些Qos或者基于内容的过滤、协议攻击监测、高级TCP设置,限速分流等流量控制功能。在一些比较复杂的场合,这个功能是十分重要的,尤其是存在多种网络流量的时候,这个时候如果没有做QoS或者MPF或使用相关的流控制技术的话,可能会给相关机构造成十分严重的损失的。
注:Qos(Quality of Server),服务质量,它是一种解决网络延迟与阻塞的技术,它对于即时流量,如语音、视频等的应用是十分重要的。当网络发生拥塞的时候,所有的数据流量都可能会被丢弃,包括重要的即时流量,所以为了更好的调度系统的资源与优化系统性能及满足不同的用户应用不同的服务需求,QoS应运而生了。
二、MPF的三大模块
(1)Class maps:用于流量分类
可以定义3-7层应用网络策略流量
(2)Policy maps:定义相关的策略
可以定义3-7层流量控制的策略
(3)Service policy:策略的应用
在接口,或全局所有接口,启用一个policy map
注意:在防火墙中,Class-map只能匹配一个,一个接口只能应用policy,而policy却可以调用多个class。
三、OSI 3到4层Class-map定义流量
1.定义class-map的名字
2.定义需要匹配的参数
| 访问控制列表ACL |
| 任何流量any |
| 默认监控流量(default-inspection-traffic) |
| IP DSCP值(dscp) |
| IP flow |
| TCP和UDP端口号 |
| IP优先级(precedence) |
| RTP端口 |
| VPN tunnel group(tunnel-group) |
四、OSI 3到4层policy-map定义策略
1.一个policy map可以包含多个策略。
2.一个策略包含一个class map和它所关联的行为。
3.在一个policy map中,一个行为类型,一个数据包只匹配一个class map.
4.状态化处理的数据包,仅仅只会匹配上第一个策略,就算在多个接口上都运用了policy map。
5.在一个policy map中,行为处理的顺序如下:
1)QoS入方向流量的policing
2)高级连接设置
3)CSC-SSM
4)应用层监控
5)AIP-SSM
6)QoS出方向流量的policing
7)OoS优先级队列
五、QoS流量shaping
Service Policy
1.应用policy map到一个接口,或者全局运用到所有的接口
2.策略的方向基于policy map的应用
每接口:归类和行为被应用到两个方向上
全局:归类和行为被应用到所有接口的入方向
policing,shaping和priority例外
总结
本章节简单地介绍了一下这个防火墙的MPF架构,这个内容都是理论化知识,我们理解一下就可以了。好了,我们在下一个章节再见,加油!
454
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
