Anticisco - Просмотр темы - Rate Policing For Zone-Based Policy Firewall (ZBFW) ?

Сообщения без ответов | Активные темы

Текущее время: 20 апр 2024, 09:10

Rate Policing For Zone-Based Policy Firewall (ZBFW) ?

Модератор: Fedia

Страница 1 из 1

[ Сообщений: 8 ]

Версия для печати

Пред. тема | След. тема

Rate Policing For Zone-Based Policy Firewall (ZBFW) ?

Автор	Сообщение
Silent_D Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk	Rate Policing For Zone-Based Policy Firewall (ZBFW) ? Добрый день! Подскажите, pls, как эту модную и полезную фичу включить? В далеком 2010 году в доке упоминалось: Rate Policing For Zone-Based Policy Firewall Cisco IOS Software Release 12.4(9)T augments ZFW with rate-limiting by adding the capability to police traffic matching the definitions of a specific class-map as it traverses the firewall from one security zone to another. This provides the convenience of offering one configuration point to describe specific traffic, apply firewall policy, and police that traffic’s bandwidth consumption. Configuring ZFW Policing ZFW policing limits traffic in a policy-map’s class-map to a user-defined rate value between 8,000 and 2,000,000,000 bits per second, with a configurable burst value in the range of 1,000 to 512,000,000 bytes. ZFW policing can only specify bandwidth use in bytes/second, packet/second and bandwidth percentage policing are not offered. ZFW policing can be applied with or without interface-based policing. Therefore, if additional policing capabilities are required, these features can be applied by interface-based policing. ZFW policing is configured by an additional line of configuration in the policy-map, which is applied after the policy action: Код: policy-map type inspect private-allowed-policy class type inspect http-class inspect police rate [bps rate value <8000-2000000000>] burst [value in bytes <1000-512000000>] https://www.cisco.com/c/en/us/support/d ... l#rate-zbf Но что-то я в IOS-XE 16.9 такой фичи не наблюдаю. Эту модную аугментацию куда-то перенесли или совсем выпилили? Есть спецы по security, кто может пролить свет на эту тему? В обычном policy-map она есть, а в policy-map type inspect - нет. Код: policy-map TEST-1 class TEST-1 police rate 50000000 burst 25000 conform-action transmit exceed-action drop policy-map type inspect TEST class type inspect TEST inspect class class-default drop Код: c1111-VPN(config)#policy-map type inspect TEST c1111-VPN(config-pmap)# class type inspect TEST c1111-VPN(config-pmap-c)#inspect c1111-VPN(config-pmap-c)#? Policy-map class configuration commands: cxsc CXSC Inspection drop Drop the packet exit Exit from class action configuration mode inspect ZBFW inspection no Negate or set default values of a command pass Pass the packet service-policy Deep Packet Inspection Engine (service-policy тут - это не про это). _________________ Knowledge is Power
01 ноя 2019, 03:35

Silent_D Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk	Re: Rate Policing For Zone-Based Policy Firewall (ZBFW) ? И в 2015 году эта фича еще была. И даже типа работала. Zone Based Firewall (ZBF) на Cisco маршрутизаторах http://www.ccienetlab.com/security/10-z ... torah.html Zone-Based Policy Firewall Design and Application Guide https://www.cisco.com/c/en/us/support/d ... guide.html _________________ Knowledge is Power
01 ноя 2019, 07:30

Silent_D Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk	Re: Rate Policing For Zone-Based Policy Firewall (ZBFW) ? Ну я конечно вышел из положения через "interface-based policing". И оно даже работает. Код: policy-map Rate-Limit class class-default police rate 50000000 interface Vlan50 description LAN ip address 10.x.x.x 255.255.255.0 ip nat inside zone-member security LAN no autostate service-policy input Rate-Limit service-policy output Rate-Limit ip virtual-reassembly Кстати, это правильно, или есть какой-то более модный вариант, чтобы было меньше drop-ов? policy-map с shape average не хочет применяться на Vlan интерфейс: Код: c1111-VPN(config)#interface Vlan50 c1111-VPN(config-if)# service-policy output Shape-Average Service-policy Shape-Average not supported on Vlan50 Ни так: Код: policy-map Shape-Average class class-default shape average 50000000 Ни так: Код: policy-map WFQ class class-default fair-queue policy-map Shape-Average class class-default shape average 50000000 service-policy WFQ Ни так: Код: policy-map WFQ class class-default fair-queue policy-map Rate-Limit-WFQ class class-default police rate 50000000 service-policy WFQ c1111-VPN(config)#interface Vlan50 c1111-VPN(config-if)# service-policy output Rate-Limit-WFQ Cannot attach queuing-based child policy to a non-queuing based class Output queueing feature not supported on Vlan50 _________________ Knowledge is Power
01 ноя 2019, 20:05

Silent_D Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk	Re: Rate Policing For Zone-Based Policy Firewall (ZBFW) ? Да, похоже, что это не баг, это фича! И все, что они могут из QoS на SVI (Vlan) интерфейсах, это Rate Limit? За столько лет наука не продвинулась ни на шаг? Сапожники! https://community.cisco.com/t5/switchin ... -p/1009900 SVI for Cisco Integrated Services Routers https://www.cisco.com/c/en/us/products/ ... 4c9f4.html SVI on Cisco Integrated Services Routers is designed to provide basic Layer 3 functions for the Layer 2 switch ports that belong to a specific VLAN. The SVI does not provide the same feature set and functions as the integrated Layer 3 Ethernet ports of the integrated services routers and should not be used to entirely replace the Layer 3 Ethernet ports. Customer who need additional Layer 3 Ethernet ports for their Integrated Services Routers may consider the use of 1- and 2-Port Fast Ethernet High-Speed WIC for modular ISR platforms. _________________ Knowledge is Power
01 ноя 2019, 20:50

Bessmertniy Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525	Re: Rate Policing For Zone-Based Policy Firewall (ZBFW) ? А чем плох police? Цыцка когда-то писала что шейперы имеет смысл вешать на скоростях до двух мегабит, а на более высоких лучше полисить - дешевле по ресурсам и не увеличивается serialisation delay. На виртуальных интерфейсах полноценного QoS никогда и не было, там же буферов нет чтобы очереди строить.
03 ноя 2019, 09:44

Silent_D Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk	Re: Rate Policing For Zone-Based Policy Firewall (ZBFW) ? Delay не увеличивается, да, но drop-ов много. Или на 50М быстрее еще раз передать, чем ждать в очереди? Bessmertniy писал(а): На виртуальных интерфейсах полноценного QoS никогда и не было, там же буферов нет чтобы очереди строить. А в чем проблема сделать там буфера? _________________ Knowledge is Power
03 ноя 2019, 10:27

Bessmertniy Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525	Re: Rate Policing For Zone-Based Policy Firewall (ZBFW) ? Субъективно на медленных каналах дропы заметно, на быстрых это не ощущается. Делать буфера на виртеальных интерфейсах вроде как просто не целесообразно опять же из-за увеличения serialisation delay, ну и память же не резиновая по крайней мере раньше была, а интерфейсов можно напилить вагон. Ну и при текущей стоимости каналов QoS не особо целесообразен, особенно в операторских масштабах.
03 ноя 2019, 11:11

Silent_D Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk	Re: Rate Policing For Zone-Based Policy Firewall (ZBFW) ? Bessmertniy писал(а): Ну и при текущей стоимости каналов QoS не особо целесообразен, особенно в операторских масштабах. Да, как гласит старая байка: "Лучший способ обеспечения QoS - это добавить еще полосы!". _________________ Knowledge is Power
03 ноя 2019, 23:45
Показать сообщения за: Поле сортировки

Страница 1 из 1

[ Сообщений: 8 ]

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 58

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения