Kontni kache
1 Gid itilizatè CISCO Elephant Flow Detection
2 Konsènan Deteksyon ak Ratrapaj Elephant Flow
3 Elephant Flow Upgrade soti nan entèlijan aplikasyon Bypass
4 Konfigirasyon Elephant Flow
5 Dokiman / Resous
5.1 Referans

Gid itilizatè CISCO Elephant Flow Detection

CISCO Elephant Flow Deteksyon

 

Flux elefan yo trè gwo (an total bytes), koule kontinyèl mete sou pye pa yon TCP (oswa lòt pwotokòl) koule mezire sou yon lyen rezo. Pa default, koule elefan yo pi gwo pase 1 GB/10 segonn. Yo ka lakòz presyon pèfòmans nan nwayo Snort. Flux elefan yo pa anpil, men yo ka okipe yon pati disproporsyone nan Pleasant total la sou yon peryòd de tan. Yo ka mennen nan pwoblèm, tankou itilizasyon CPU segondè, gout pake, ak sou sa.

Soti nan sant jesyon 7.2.0 ivè (aparèy Snort 3 sèlman), ou ka itilize karakteristik nan koule elefan pou detekte ak korije koule elefan, ki ede diminye estrès sistèm ak rezoud pwoblèm yo mansyone.

  • Konsènan Deteksyon ak Ratrapaj Koule Elefan, nan paj 1
  • Amelyorasyon Elephant Flow soti nan entèlijan aplikasyon Bypass, nan paj 1
  • Konfigirasyon Elephant Flow, nan paj 2

 

Konsènan Deteksyon ak Ratrapaj Elephant Flow

Ou ka itilize karakteristik deteksyon koule elefan an pou detekte ak korije koule elefan. Yo ka aplike aksyon ratrapaj sa yo:

  • Kontourne koule elefan–Ou ka konfigirasyon koule elefan pou kontoune enspeksyon Snort. Si sa a se configuré, Snort pa resevwa okenn pake nan koule sa a.
  • Flux elefan gaz–Ou ka aplike to limit nan koule a epi kontinye enspekte koule. Se to koule a kalkile dinamik epi 10% nan to koule a redwi. Snort voye vèdik la (koule QoS ak 10% mwens pousantaj koule) nan motè firewall la. Si w chwazi kontoune tout aplikasyon ki gen ladan aplikasyon ki pa idantifye, ou pa ka konfigirasyon aksyon gaz la (limit vitès) pou nenpòt ki koule.

Remak Pou deteksyon koule elefan an travay, Snort 3 dwe motè deteksyon an.

 

Elephant Flow Upgrade soti nan entèlijan aplikasyon Bypass

Entelijan aplikasyon Bypass (IAB) se obsolèt soti nan vèsyon 7.2.0 ivè pou aparèy Snort 3.
Pou aparèy ki kouri 7.2.0 oswa pita, ou dwe konfigirasyon anviwònman koule elefan nan seksyon Anviwònman Elephant Flow nan règleman AC (onglet Paramèt avanse).

Apre ajou nan 7.2.0 (oswa pita), si w ap itilize yon aparèy Snort 3, yo pral chwazi paramèt konfigirasyon koule elefan yo epi deplwaye nan seksyon Paramèt Elephant Flow epi yo pa nan seksyon Anviwònman Entelijan aplikasyon an, kidonk si ou pa te imigre nan anviwònman konfigirasyon Elephant Flow, aparèy ou an ap pèdi konfigirasyon koule elefan an sou pwochen deplwaman an.

Tablo ki anba la a montre konfigirasyon IAB oswa elefan koule yo ki ka aplike nan vèsyon 7.2.0 oswa pita ak nan vèsyon 7.1.0 oswa pi bonè ki ap kouri motè Snort 3 oswa Snort 2.

FIG 1 Elephant Flow Upgrade soti nan Intelligent Application Bypass.JPG

 

Konfigirasyon Elephant Flow

Ou ka konfigirasyon koule elefan pou pran aksyon sou koule elefan, ki ede rezoud pwoblèm, tankou fòs sistèm, itilizasyon CPU segondè, gout pake, ak sou sa.

Atansyon icon  Atansyon: Deteksyon koule elefan pa aplikab pou koule prefiltre, ou fè konfyans, oswa rapid voye, ki pa trete nan Snort. Kòm Snort detekte koule elefan, deteksyon koule elefan pa aplikab pou trafik chiffres.

Pwosedi

Etap 1

FIG 2 Pwosedi

Figi 1: Konfigirasyon deteksyon koule elefan

FIG 3 Konfigirasyon Elephant Flow Detection.jpg

Etap 2 Elephant Flow Deteksyon bouton aktive bouton an aktive pa default. Ou ka configured valè yo pou byte koule ak dire koule. Lè yo depase valè konfigirasyon ou yo, evènman koule elefan yo pwodwi.
Etap 3 Pou korije koule elefan, aktive bouton baskile Elephant Flow Remediation.
Etap 4 Pou fikse kritè pou ratrapaj koule elefan an, konfigirasyon valè pou % itilizasyon CPU, dire fennèt tan fiks yo, ak % gout pake.
Etap 5 Ou ka fè aksyon sa yo pou ratrapaj koule elefan lè li satisfè kritè konfigirasyon yo:
a. Bypass the flow-Pèmèt bouton sa a kontoune enspeksyon Snort pou aplikasyon oswa filtè yo chwazi. Chwazi nan:
• Tout aplikasyon ki gen ladan aplikasyon ki pa idantifye—Chwazi opsyon sa a pou evite tout trafik aplikasyon an. Si ou konfigirasyon opsyon sa a, ou pa ka konfigirasyon aksyon gaz la (limit to) pou nenpòt ki koule.
• Chwazi Aplikasyon/Filtè—Chwazi opsyon sa a pou chwazi aplikasyon yo oswa filtè ki gen trafik ou vle kontoune; gade Konfigirasyon kondisyon aplikasyon ak filtè.
b. Throttle koule a—Pèmèt bouton sa a pou aplike to limit nan koule a epi kontinye enspekte koule. Remake byen ke ou ka chwazi aplikasyon yo oswa filtè yo kontoune enspeksyon Snort ak gaz koule ki rete yo.

Remak

Otomatik retire gaz nan yon koule elefan throttled rive lè sistèm nan soti nan kontrent, se sa ki, pousantaj la.tage nan gout pake Snort pi piti pase papòt ou configuré. Kontinwe, limit pousantaj yo tou retire.
Ou ka tou manyèlman retire throttling nan yon koule elefan throttled, lè l sèvi avèk kòmandman defans menas sa yo:
• clear efd-throttle <5-tuple/all> bypass—Komand sa a retire throttling nan koule elefan an throttled ak kontourne enspeksyon Snort.
• clear efd-throttle <5-tuple/all>—Kòmandman sa a retire throttling nan koule elefan an throttled ak enspeksyon Snort kontinye. Yo sote ratrapaj koule elefan apre w fin itilize kòmandman sa a.
Pou plis enfòmasyon sou kòmandman sa yo, gade referans Cisco Secure Firewall menas defans kòmand.

Atansyon

Pran aksyon sou koule elefan (kontourne ak gaz koule) pa sipòte sou aparèy Cisco Firepower 2100 seri.

Etap 6 Nan seksyon Règ Egzanpsyon Ratrapaj, klike sou Add Rule pou konfigirasyon règ lis kontwòl aksè (ACL) L4 pou koule ki dwe egzante de ratrapaj.
Etap 7 Nan fenèt Ajoute Règ la, sèvi ak tab la Rezo pou ajoute detay rezo yo, se sa ki rezo sous la ak rezo destinasyon an. Sèvi ak tab la pò pou ajoute pò sous la ak pò destinasyon an.
Si yo detekte yon koule elefan epi li matche ak règ yo defini yo, yo pwodui yon evènman ak rezon ki fè kòm Elephant Flow Exempted nan tèt kolòn Rezon nan Evènman Koneksyon.
Etap 8 Nan seksyon Règ Egzanpsyon Ratrapaj la, ou kapab view koule yo ki egzante de aksyon ratrapaj la.
Etap 9 Klike sou OK pou konsève pou anviwònman koule elefan yo.
Etap 10 Klike sou Save pou konsève pou politik la.

Kisa pou w fè annapre
Deplwaye chanjman konfigirasyon; gade Deplwaye Chanjman Konfigirasyon.
Apre konfigirasyon anviwònman koule elefan ou yo, kontwole evènman koneksyon ou yo pou wè si yo detekte, kontourne oswa twonpe nenpòt koule. Ou kapab view sa a nan jaden an Rezon nan evènman koneksyon ou a. Twa rezon ki fè yo pou koneksyon koule elefan yo se:
• Elephant Flow
• Elephant Flow Throttled
• Elephant Flow Trusted

Atansyon icon Atansyon Pèmèt deteksyon koule elefan pou kont li pa lakòz jenerasyon evènman koneksyon pou koule elefan. Si yon evènman koneksyon deja konekte pou yon lòt rezon epi koule a se tou yon koule elefan, Lè sa a, jaden an Rezon gen enfòmasyon sa a. Sepandan, pou asire w ke w ap anrejistre tout koule elefan, ou dwe pèmèt koneksyon koneksyon nan règ kontwòl aksè ki aplikab yo.

Gade nan Cisco Secure Firewall Elephant Flow Detection pou plis enfòmasyon.

 

Li plis sou manyèl sa a epi telechaje PDF:

Dokiman / Resous

CISCO Elephant Flow Deteksyon [pdfGid Itilizatè
7.4, Elephant Flow Deteksyon, Deteksyon

Referans

Kite yon kòmantè

Adrès imel ou p ap pibliye. Jaden obligatwa yo make *