Kontenut ħabi
1 Gwida għall-Utent tas-Sejbien tal-Fluss tal-Iljunfanti CISCO
2 Dwar Sejbien u Rimedju tal-Fluss tal-Iljunfanti
3 Aġġornament tal-Fluss tal-Iljunfanti minn Bypass tal-Applikazzjoni Intelliġenti
4 Ikkonfigura l-Fluss tal-Iljunfanti
5 Dokumenti / Riżorsi
5.1 Referenzi

Gwida għall-Utent tas-Sejbien tal-Fluss tal-Iljunfanti CISCO

Sejbien tal-Fluss tal-Iljunfanti CISCO

 

Il-flussi tal-iljunfanti huma estremament kbar (f'bytes totali), flussi kontinwi stabbiliti minn fluss TCP (jew protokolli oħra) imkejla fuq konnessjoni tan-netwerk. B'mod awtomatiku, il-flussi tal-iljunfanti huma dawk akbar minn 1 GB/10 sekondi. Jistgħu jikkawżaw pressjoni fuq il-prestazzjoni fil-qlub Snort. Il-flussi tal-iljunfanti mhumiex numerużi, iżda jistgħu jokkupaw sehem sproporzjonat tal-bandwidth totali fuq perjodu ta 'żmien. Jistgħu jwasslu għal problemi, bħal użu għoli ta 'CPU, qtar ta' pakketti, eċċ.

Miċ-ċentru ta 'ġestjoni 7.2.0 'il quddiem (apparati Snort 3 biss), tista' tuża l-karatteristika tal-fluss tal-iljunfanti biex tiskopri u tirrimedja l-flussi tal-iljunfanti, li tgħin biex tnaqqas l-istress tas-sistema u ssolvi l-kwistjonijiet imsemmija.

  • Dwar Sejbien u Rimedju tal-Fluss tal-Iljunfanti, f’paġna 1
  • Aġġornament tal-Fluss tal-Iljunfanti minn Bypass tal-Applikazzjoni Intelliġenti, f'paġna 1
  • Ikkonfigura Elephant Flow, f'paġna 2

 

Dwar Sejbien u Rimedju tal-Fluss tal-Iljunfanti

Tista 'tuża l-karatteristika ta' skoperta tal-fluss tal-iljunfanti biex tiskopri u tirrimedja l-flussi tal-iljunfanti. Jistgħu jiġu applikati l-azzjonijiet ta’ rimedju li ġejjin:

  • Bypass il-fluss tal-iljunfant– Tista' tikkonfigura l-fluss tal-iljunfant biex tevita l-ispezzjoni Snort. Jekk dan huwa kkonfigurat, Snort ma jirċievi l-ebda pakkett minn dak il-fluss.
  • Fluss tal-iljunfant tat-throttle–Tista' tapplika limitu tar-rata għall-fluss u tkompli tispezzjona l-flussi. Ir-rata tal-fluss hija kkalkulata b'mod dinamiku u 10% tar-rata tal-fluss hija mnaqqsa. Snort jibgħat il-verdett (fluss QoS b'rata ta 'fluss ta' 10% inqas) lill-magna tal-firewall. Jekk tagħżel li tevita l-applikazzjonijiet kollha inklużi applikazzjonijiet mhux identifikati, ma tistax tikkonfigura l-azzjoni tat-throttle (limitu tar-rata) għal kwalunkwe fluss.

Nota Biex is-sejbien tal-fluss tal-iljunfant jaħdem, Snort 3 għandu jkun il-magna tal-iskoperta.

 

Aġġornament tal-Fluss tal-Iljunfanti minn Bypass tal-Applikazzjoni Intelliġenti

Intelliġenti Applikazzjoni Bypass (IAB) hija deprecated mill-verżjoni 7.2.0 'il quddiem għall-apparati Snort 3.
Għal apparati li jħaddmu 7.2.0 jew aktar tard, trid tikkonfigura s-settings tal-fluss tal-iljunfanti taħt it-taqsima Settings tal-Fluss tal-Iljunfanti fil-politika AC (tab tas-settings avvanzati).

Wara l-aġġornament għal 7.2.0 (jew aktar tard), jekk qed tuża apparat Snort 3, is-settings tal-konfigurazzjoni tal-fluss tal-iljunfant se jinġabru u jiġu skjerati mit-taqsima tal-Elephant Flow Settings u mhux mit-taqsima tal-Intelliġenti Applikazzjoni Bypass Settings, allura jekk inti ma emigrawx lejn is-settings tal-konfigurazzjoni tal-Fluss tal-Iljunfanti, it-tagħmir tiegħek jitlef il-konfigurazzjoni tal-fluss tal-iljunfanti mal-iskjerament li jmiss.

It-tabella li ġejja turi l-IAB jew il-konfigurazzjonijiet tal-fluss tal-iljunfanti li jistgħu jiġu applikati għall-verżjoni 7.2.0 jew aktar tard u għall-verżjoni 7.1.0 jew preċedenti li qed iħaddmu magni Snort 3 jew Snort 2.

FIG 1 Aġġornament tal-Fluss tal-Iljunfanti minn Applikazzjoni Intelliġenti Bypass.JPG

 

Ikkonfigura l-Fluss tal-Iljunfanti

Tista 'tikkonfigura l-fluss tal-iljunfant biex tieħu azzjonijiet fuq il-flussi tal-iljunfanti, li tgħin biex issolvi kwistjonijiet, bħal pressjoni tas-sistema, utilizzazzjoni għolja tas-CPU, qtar tal-pakketti, eċċ.

Ikona ta' kawtela  Attenzjoni: Is-sejbien tal-fluss tal-iljunfanti mhuwiex applikabbli għal flussi ffiltrati minn qabel, fdati, jew mgħoddija malajr, li ma jipproċessawx permezz ta 'Snort. Peress li l-flussi tal-iljunfanti jiġu skoperti minn Snort, is-sejbien tal-fluss tal-iljunfanti mhuwiex applikabbli għat-traffiku kriptat.

Proċedura

Pass 1

FIG 2 Proċedura

Figura 1: Ikkonfigura l-Kxif tal-Fluss tal-Iljunfanti

FIG 3 Ikkonfigura Elephant Flow Detection.jpg

Pass 2 Il-buttuna ta' toggle ta' Sejbien tal-Fluss tal-Iljunfanti hija attivata b'mod awtomatiku. Tista 'tikkonfigura l-valuri għall-bytes tal-fluss u t-tul tal-fluss. Meta jaqbżu l-valuri kkonfigurati tiegħek, jiġu ġġenerati avvenimenti tal-fluss tal-iljunfanti.
Pass 3 Biex tirranġa l-flussi tal-iljunfanti, ppermetti l-buttuna ta' toggle ta' Rimedju tal-Fluss tal-Iljunfanti.
Pass 4 Biex tissettja l-kriterji għar-rimedju tal-fluss tal-iljunfant, ikkonfigura l-valuri għall-utilizzazzjoni tas-CPU %, it-tul tat-twieqi ta’ ħin fiss, u l-waqgħa tal-pakkett %.
Pass 5 Tista' twettaq l-azzjonijiet li ġejjin għar-rimedju tal-fluss tal-iljunfanti meta tissodisfa l-kriterji kkonfigurati:
a. Bypass il-fluss—Ippermetti din il-buttuna biex tevita l-ispezzjoni Snort għal applikazzjonijiet jew filtri magħżula. Agħżel minn:
• L-applikazzjonijiet kollha inklużi applikazzjonijiet mhux identifikati—Agħżel din l-għażla biex tevita t-traffiku kollu tal-applikazzjoni. Jekk tikkonfigura din l-għażla, ma tistax tikkonfigura l-azzjoni tat-throttle (limitu tar-rata) għal kwalunkwe fluss.
• Agħżel Applikazzjonijiet/Filtri—Agħżel din l-għażla biex tagħżel l-applikazzjonijiet jew il-filtri li t-traffiku tagħhom trid tevita; ara Konfigurazzjoni ta' Kundizzjonijiet ta' Applikazzjoni u Filtri.
b. Throttle il-fluss—Ippermetti din il-buttuna biex tapplika limitu tar-rata għall-fluss u kompli tispezzjona l-flussi. Innota li tista 'tagħżel l-applikazzjonijiet jew il-filtri biex tevita l-ispezzjoni Snort u throttle l-flussi li jifdal.

Nota

It-tneħħija awtomatika tat-throttle minn fluss tal-iljunfant throttled isseħħ meta s-sistema tkun barra minn tensjoni, jiġifieri, il-perċentwal.tage ta' qtar tal-pakketti Snort huwa inqas mil-limitu kkonfigurat tiegħek. Konsegwentement, il-limitazzjoni tar-rata titneħħa wkoll.
Tista' wkoll tneħħi manwalment it-throttling minn fluss ta' iljunfant throttled, billi tuża l-kmandi ta' difiża tat-theddid li ġejjin:
• clear efd-throttle <5-tuple/all> bypass—Dan il-kmand ineħħi t-throttling mill-fluss tal-iljunfant throttled u jevita l-ispezzjoni Snort.
• clear efd-throttle <5-tuple/all>—Dan il-kmand ineħħi t-throttling mill-fluss tal-iljunfant throttled u l-ispezzjoni Snort tkompli. Ir-rimedjazzjoni tal-fluss tal-iljunfanti tinqabeż wara li tuża dan il-kmand.
Għal aktar informazzjoni dwar dawn il-kmandi, ara r-Referenza tal-Kmand tad-Difiża tat-Theddida ta' Cisco Secure Firewall.

Attenzjoni

It-teħid ta' azzjoni fuq il-flussi tal-iljunfanti (bypass u throttle il-fluss) mhuwiex appoġġjat fuq it-tagħmir tas-serje Cisco Firepower 2100.

Pass 6 Fit-taqsima tar-Regola ta 'Eżenzjoni ta' Rimedju, ikklikkja Żid Regola biex tikkonfigura r-regoli tal-lista ta 'kontroll ta' aċċess (ACL) L4 għal flussi li għandhom ikunu eżentati mir-rimedju.
Pass 7 Fit-tieqa Żid Regola, uża t-tab Netwerks biex iżżid id-dettalji tan-netwerk, jiġifieri n-netwerk tas-sors u n-netwerk tad-destinazzjoni. Uża t-tab Portijiet biex iżżid il-port tas-sors u l-port tad-destinazzjoni.
Jekk tinstab fluss tal-iljunfant u jaqbel mar-regoli li huma definiti, jiġi ġġenerat avveniment bir-raġuni bħala Fluss tal-Iljunfanti Eżentat fl-intestatura tal-kolonna Raġuni ta 'Avvenimenti ta' Konnessjoni.
Pass 8 Fit-taqsima tar-Regola ta 'Eżenzjoni ta' Rimedju, tista ' view il-flussi li huma eżentati mill-azzjoni ta' rimedju.
Pass 9 Ikklikkja OK biex issalva s-settings tal-fluss tal-iljunfant.
Pass 10 Ikklikkja Save biex issalva l-politika.

X'għandek tagħmel wara
Tiskjera bidliet fil-konfigurazzjoni; ara Tiskjera Tibdil fil-Konfigurazzjoni.
Wara li kkonfigurat is-settings tal-fluss tal-iljunfant tiegħek, immonitorja l-avvenimenti tal-konnessjoni tiegħek biex tara jekk jinstabx xi flussi, jiġu bypassed jew throttled. Tista view dan fil-qasam Raġuni tal-avveniment tal-konnessjoni tiegħek. It-tliet raġunijiet għall-konnessjonijiet tal-fluss tal-iljunfanti huma:
• Fluss tal-Iljunfant
• Iljunfant Flow Throttled
• Elephant Flow Trusted

Ikona ta' kawtela Attenzjoni L-abilitazzjoni tas-sejbien tal-fluss tal-iljunfanti waħedha ma tikkawżax ġenerazzjoni ta' avvenimenti ta' konnessjoni għall-flussi tal-iljunfanti. Jekk avveniment ta' konnessjoni diġà jkun illoggjat għal raġuni oħra u l-fluss huwa wkoll fluss tal-iljunfant, allura l-qasam Raġuni jkun fih din l-informazzjoni. Madankollu, biex tiżgura li qed tilloggja l-flussi kollha tal-iljunfanti, trid tattiva l-illoggjar tal-konnessjoni fir-regoli applikabbli tal-kontroll tal-aċċess.

Irreferi għal Cisco Secure Firewall Elephant Flow Detection għal aktar informazzjoni.

 

Aqra Aktar Dwar Dan il-Manwal u Niżżel il-PDF:

Dokumenti / Riżorsi

Sejbien tal-Fluss tal-Iljunfanti CISCO [pdfGwida għall-Utent
7.4, Sejbien tal-Fluss tal-Iljunfanti, Sejbien

Referenzi

Ħalli kumment

L-indirizz elettroniku tiegħek mhux se jiġi ppubblikat. L-oqsma meħtieġa huma mmarkati *