- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
全面深入交换机FFP技术探究
16 位的二层类型字段
三层字段(Layer 3 Fields):
源IP 地址字段
目的IP 地址字段
协议类型字段
四层字段(Layer 4 Fields):
可以申明一个TCP 的源端口、目的端口或者都申明
可以申明一个UDP 的源端口、目的端口或者都申明
2. 过滤域,指的就是在生成一条ACE 时,根据报文中的哪些字段用以对报文进行识别、分类;
3. 过滤域模板,就是这些字段组合的定义,对应于字段解析器中预先设置到的匹配域,比如,在生成某一条ACE时希望根据报文的目的IP 字段对报文进行识别、分类,而在生成另一条ACE 时,希望根据的是报文的源IP 地址字段和UDP 的源端口字段,这样,这两条ACE 就使用了不同的过滤域模板。
4. 规则(Rules),指的是ACE 过滤域模板对应的值,对应于查找匹配引擎中预先申明的匹配规则。
5. 行为(Action),指的是ACE中指定的动作,对应于动作策略引擎中预先申明的动作策略。
6. 比如有一条ACE 内容如下:
permit tcp host 192.168.12.2 any eq telnet
在这条ACE 中,匹配域为以下字段的集合:源IP地址字段、IP 协议字段、目的TCP 端口字段;
匹配规则为:源IP 地址=Host 192.168.12.2;IP 协议=TCP;TCP 目的端口= Telnet;
动作策略为:允许通过(permit),即do_not_drop。
在实现上,为每个应用创建一个或者多个ACL并关联,然后根据各种应用的优先级,将各应用关联的ACL按照硬件表项的优先级关系设置硬件,从而达到高优先级表项优先生效的目的。
在不同产品上,支持的过滤域模板数量存在较大差异,实现原理及含义也不近一样。
默认行为
在目前已经实现的各种FFP相关应用中,有些应用存在默认的行为,隐含"拒绝所有数据流"规则表项,目的是为了将不匹配的非法报文全部丢弃,对于这些存在默认行为的应用,存在默认添加的表项,占用了一定数量的硬件表项。
同时,在起机后空配置的情况下,会有一些CPP及信任模式的默认表项,这些隐含的表项也占用了一定数量的硬件表项,但是在统计硬件容量的过程中,又容易被忽略。
优先级冲突处理
应用优先级是指多种应用同时存在时,根据应用的优先级关系,将高优先级应用的ACE装在高优先级的硬件表项上,以保证高优先级的应用先生效,只有高优先级的应用没有表项匹配时,低优先级应用的表项才能生效。
某些应用由于隐含"拒绝所有数据流"规则,会存在一条deny any的表项,这导致在同一个端口下多种应用同时打开时产生优先级冲突,低优先级的应用表项完全不生效,例如:当一个端口同时打开DOT1X IP授权绑定、DHCP SNP绑定,这时候由于DOT1X IP授权绑定默认会添加一个denyip any的表项,导致而DHCP SNP绑定的所有表项不生效,因此,我们判断一个端口的某个应用配置是否生效是,需要考虑两个方面:
1. 端口下是否存在高优先级应用被匹配,或者存在影响这个端口的高优先级全局应用被匹配;
2. 端口下是否存在隐含"拒绝所有数据流"规则的高优先级应用。
3. 对于不同端口下的多种应用,则不存在优先级冲突。在交换机上嵌入各种功能强大FFP引擎后,使得交换机能够提供强大的数据流过滤功能,能很方便根据网络具体情况进行安全部署,对数据流进行控制,提高交换机在安全接入、汇聚等各方面的性能,在发展迅速的网络市场中将得到广泛应用。
上一篇:PIC的MC-CDMA系统多级型多用户检测技术
下一篇:WSN技术和无线测量技术