Mga sulod itago
1 CISCO Elephant Flow Detection Giya sa Gumagamit
2 Mahitungod sa Elephant Flow Detection ug Remediation
3 Pag-upgrade sa Elephant Flow gikan sa Intelligent Application Bypass
4 I-configure ang Elephant Flow
5 Mga Dokumento / Mga Kapanguhaan
5.1 Mga pakisayran

CISCO Elephant Flow Detection Giya sa Gumagamit

CISCO Elephant Flow Detection

 

Ang mga agos sa elepante hilabihan ka dako (sa kinatibuk-an nga mga byte), padayon nga mga agos nga gipahimutang sa usa ka TCP (o uban pang mga protocol) nga dagan nga gisukod sa usa ka link sa network. Sa kasagaran, ang agos sa elepante kay mas dako pa sa 1 GB/10 segundos. Mahimo kini nga hinungdan sa kabug-at sa pasundayag sa mga core sa Snort. Ang mga agos sa elepante dili daghan, apan mahimo silang mag-okupar sa usa ka dili katimbang nga bahin sa kinatibuk-ang bandwidth sa usa ka yugto sa panahon. Mahimong mosangpot kini sa mga problema, sama sa taas nga paggamit sa CPU, mga packet drop, ug uban pa.

Gikan sa management center 7.2.0 pataas (Snort 3 device lamang), mahimo nimong gamiton ang feature sa pag-agos sa elepante aron mahibal-an ug ma-remediate ang mga agos sa elepante, nga makatabang sa pagpamenos sa stress sa sistema ug pagsulbad sa nahisgutang mga isyu.

  • Mahitungod sa Elephant Flow Detection ug Remediation, sa panid 1
  • Pag-upgrade sa Elephant Flow gikan sa Intelligent Application Bypass, sa panid 1
  • I-configure ang Elephant Flow, sa panid 2

 

Mahitungod sa Elephant Flow Detection ug Remediation

Mahimo nimong gamiton ang feature sa pag-detect sa dagan sa elepante aron makamatikod ug makaayo sa mga agos sa elepante. Ang mosunod nga mga aksyon sa pag-ayo mahimong magamit:

  • Pag-bypass sa agos sa elepante–Mahimo nimong i-configure ang agos sa elepante aron malaktawan ang pag-inspeksyon sa Snort. Kung kini gi-configure, ang Snort dili makadawat bisan unsang pakete gikan sa kana nga dagan.
  • Throttle elephant flow–Mahimo nimong i-apply ang rate-limit sa agos ug magpadayon sa pag-inspeksyon sa mga agos. Ang rate sa pag-agos gikalkula nga dinamiko ug 10% sa rate sa pag-agos ang pagkunhod. Ang Snort nagpadala sa hukom (QoS flow nga adunay 10% nga mas ubos nga flow rate) ngadto sa firewall engine. Kung gipili nimo nga laktawan ang tanan nga mga aplikasyon lakip ang wala mailhi nga mga aplikasyon, dili nimo ma-configure ang aksyon sa throttle (rate-limit) alang sa bisan unsang dagan.

Nota Aron molihok ang pag-detect sa agos sa elepante, ang Snort 3 kinahanglan nga mao ang makina sa pag-ila.

 

Pag-upgrade sa Elephant Flow gikan sa Intelligent Application Bypass

Ang Intelligent Application Bypass (IAB) wala na magamit gikan sa bersyon 7.2.0 pataas alang sa Snort 3 nga mga aparato.
Para sa mga device nga nagdagan sa 7.2.0 o sa ulahi, kinahanglan nimong i-configure ang mga setting sa pag-agos sa elepante ubos sa seksyon sa Elephant Flow Settings sa AC policy (Advanced settings tab).

Pag-post sa pag-upgrade sa 7.2.0 (o sa ulahi), kung naggamit ka usa ka Snort 3 nga aparato, ang mga setting sa pag-configure sa agos sa elepante mapili ug i-deploy gikan sa seksyon sa Elephant Flow Settings ug dili gikan sa seksyon sa Intelligent Application Bypass Settings, busa kung ikaw wala pa migrate sa Elephant Flow configuration settings, mawala sa imong device ang elephant flow configuration sa sunod nga deployment.

Ang mosunod nga talaan nagpakita sa IAB o elephant flow configurations nga mahimong magamit sa bersyon 7.2.0 o sa ulahi ug sa bersyon 7.1.0 o mas sayo pa nga nagpadagan sa Snort 3 o Snort 2 nga makina.

FIG 1 Elephant Flow Upgrade gikan sa Intelligent Application Bypass.JPG

 

I-configure ang Elephant Flow

Mahimo nimong i-configure ang pagdagayday sa elepante aron molihok sa mga agos sa elepante, nga makatabang sa pagsulbad sa mga isyu, sama sa pagduso sa sistema, taas nga paggamit sa CPU, paghulog sa pakete, ug uban pa.

Icon sa pagbantay  Atensyon: Ang pag-detect sa agos sa elepante dili magamit alang sa prefiltered, kasaligan, o paspas nga pagpasa nga mga agos, nga dili maproseso pinaagi sa Snort. Ingon nga ang pag-agos sa elepante nakit-an sa Snort, ang pag-detect sa agos sa elepante dili magamit alang sa na-encrypt nga trapiko.

Pamaagi

Lakang 1

FIG 2 Pamaagi

Hulagway 1: I-configure ang Elephant Flow Detection

FIG 3 I-configure ang Elephant Flow Detection.jpg

Lakang 2 Ang Elephant Flow Detection toggle button gipalihok pinaagi sa default. Mahimo nimong i-configure ang mga kantidad alang sa mga byte sa dagan ug gidugayon sa dagan. Kung molapas sila sa imong gi-configure nga mga kantidad, ang mga panghitabo sa pagdagayday sa elepante mabuhat.
Lakang 3 Aron ma-remediate ang agos sa elepante, i-enable ang toggle button sa Elephant Flow Remediation.
Lakang 4 Aron mabutang ang mga pamatasan alang sa pag-ayo sa agos sa elepante, i-configure ang mga kantidad alang sa paggamit sa CPU%, gidugayon sa gitakdang oras windows, ug paghulog sa pakete%.
Lakang 5 Mahimo nimong buhaton ang mosunod nga mga aksyon para sa pag-ayo sa pagdagayday sa elepante kung makaabot kini sa gi-configure nga pamatasan:
a. I-bypass ang dagan—I-enable kini nga buton aron makalikay sa Snort inspection para sa pinili nga mga aplikasyon o mga filter. Pagpili gikan sa:
• Tanan nga mga aplikasyon lakip ang wala mailhi nga mga aplikasyon—Pilia kini nga kapilian aron malaktawan ang tanan nga trapiko sa aplikasyon. Kung imong i-configure kini nga kapilian, dili nimo ma-configure ang aksyon sa throttle (rate-limit) alang sa bisan unsang dagan.
• Pilia ang Aplikasyon/Mga Filter—Pilia kini nga opsyon aron mapili ang mga aplikasyon o mga filter kansang trapiko gusto nimong laktawan; tan-awa ang Pag-configure sa mga Kondisyon sa Aplikasyon ug mga Filter.
b. I-throttle ang dagan—I-enable kini nga buton aron magamit ang rate-limit sa agos ug ipadayon ang pagsusi sa mga agos. Timan-i nga mahimo nimong pilion ang mga aplikasyon o mga filter aron malaktawan ang pag-inspeksyon sa Snort ug i-throttle ang nahabilin nga mga agos.

Nota

Awtomatikong pagtangtang sa throttle gikan sa usa ka throttled nga agos sa elepante mahitabo kung ang sistema wala na sa pagpugos, nga mao, ang porsyentotage sa Snort packet drops mas ubos kay sa imong gi-configure nga threshold. Tungod niini, gitangtang usab ang limitasyon sa rate.
Mahimo usab nimo nga mano-mano ang pagtangtang sa throttling gikan sa usa ka throttled nga agos sa elepante, gamit ang mosunod nga mga mando sa pagdepensa sa hulga:
• tin-aw nga efd-throttle <5-tuple/all> bypass—Kini nga command magtangtang sa throttling gikan sa throttled nga agos sa elepante ug mo-bypass sa Snort inspection.
• tin-aw nga efd-throttle <5-tuple/all>—Kini nga command nagtangtang sa throttling gikan sa throttled nga agos sa elepante ug ang Snort inspection nagpadayon. Ang pag-ayo sa agos sa elepante gilaktawan pagkahuman gigamit kini nga mando.
Alang sa dugang nga impormasyon bahin niini nga mga sugo, tan-awa ang Cisco Secure Firewall Threat Defense Command Reference.

Atensyon

Ang pag-aksyon sa mga agos sa elepante (bypass ug throttle ang agos) dili suportado sa Cisco Firepower 2100 series nga mga himan.

Lakang 6 Sa seksyon sa Remediation Exemption Rule, i-klik ang Add Rule aron ma-configure ang L4 access control list (ACL) nga mga lagda alang sa mga agos nga kinahanglang i-exempt sa remediation.
Lakang 7 Sa Add Rule window, gamita ang Networks tab aron idugang ang mga detalye sa network, kana ang gigikanan nga network ug ang destinasyon nga network. Gamita ang tab nga Mga Port aron idugang ang gigikanan nga pantalan ug ang destinasyon nga pantalan.
Kung mamatikdan ang pagdagayday sa elepante ug motakdo kini sa mga lagda nga gihubit, mamugna ang usa ka panghitabo nga adunay rason isip Elephant Flow Exempted sa ulohan sa kolum sa Reason sa Connection Events.
Lakang 8 Sa seksyon sa Remediation Exemption Rule, mahimo nimo view ang mga agos nga wala’y labot sa aksyon sa remediation.
Lakang 9 I-klik ang OK aron i-save ang mga setting sa pagdagayday sa elepante.
Lakang 10 I-klik ang Save aron i-save ang polisiya.

Unsa ang sunod nga buhaton
I-deploy ang mga kausaban sa configuration; tan-awa ang Deploy Configuration Changes.
Pagkahuman sa pag-configure sa imong mga setting sa pag-agos sa elepante, bantayan ang imong mga panghitabo sa koneksyon aron makita kung adunay bisan unsang mga agos nga nakit-an, na-bypass, o na-throttle. Mahimo nimo view kini sa natad sa Rason sa imong koneksyon nga panghitabo. Ang tulo ka mga hinungdan sa koneksyon sa agos sa elepante mao ang:
• Pag-agos sa Elepante
• Ang Pag-agos sa Elepante Gi-throttle
• Gisaligan ang Daloy sa Elepante

Icon sa pagbantay Atensyon Ang pagpagana sa pag-ila sa agos sa elepante nga mag-inusara dili hinungdan sa pagmugna sa mga panghitabo sa koneksyon alang sa mga agos sa elepante. Kung ang usa ka panghitabo sa koneksyon na-log na alang sa lain nga hinungdan ug ang dagan usa usab ka dagan sa elepante, nan ang natad sa Rason adunay kini nga kasayuran. Bisan pa, aron masiguro nga imong gi-log ang tanan nga mga agos sa elepante, kinahanglan nimo nga magamit ang pag-log sa koneksyon sa mga magamit nga mga lagda sa pagkontrol sa pag-access.

Tan-awa ang Cisco Secure Firewall Elephant Flow Detection para sa dugang nga impormasyon.

 

Basaha ang Dugang Mahitungod Niini nga Manwal & Pag-download sa PDF:

Mga Dokumento / Mga Kapanguhaan

CISCO Elephant Flow Detection [pdf] Giya sa Gumagamit
7.4, Elephant Flow Detection, Detection

Mga pakisayran

Pagbilin ug komento

Ang imong email address dili mamantala. Ang gikinahanglan nga mga natad gimarkahan *