Применение сетевой политики и контроль приложений становятся все более важными задачами для каждой сети. Когда дело доходит до регулирования сетевого трафика, Cisco предлагает несколько полезных инструментов. Один из таких инструментов — NBAR (Network-Based Application Recognition) — предоставляет возможность определять и контролировать специфические приложения, использующие сеть.
NBAR позволяет администраторам сети применять политики для различных приложений, исходящих из сети или в нее входящих, и классифицировать трафик, основываясь на признаках, таких как протокол, порт и другие атрибуты. С использованием NBAR можно создать классы обслуживания, определить приложения, задать приоритеты и ограничения для каждого класса.
В этой статье мы рассмотрим основы настройки NBAR на оборудовании Cisco. Мы рассмотрим шаги по активации NBAR на маршрутизаторе или коммутаторе Cisco, созданию класса обслуживания с определенным приложением и настройке политики для этого класса. Также мы рассмотрим, как проверить статистику использования трафика для каждого класса.
Что такое NBAR и для чего она нужна?
С помощью NBAR можно применять политики QoS (Quality of Service – качество обслуживания) на основе приложений, а не только на основе IP-адресов и портов. Это позволяет оптимизировать использование пропускной способности, повысить производительность и улучшить качество обслуживания для различных приложений.
Преимущества NBAR: |
---|
1. Идентификация и классификация трафика на основе протоколов верхнего уровня OSI модели. |
2. Гранулярное управление трафиком и применение политик QoS на уровне приложений. |
3. Возможность оптимизации использования пропускной способности и повышения производительности сети. |
4. Усиленная безопасность за счет возможности блокировать нежелательные приложения или контролировать их использование. |
NBAR может быть использована как самостоятельно, так и в комбинации с другими технологиями маршрутизации и коммутации Cisco, такими как ACL (Access Control Lists) и политиками QoS.
Раздел 1
Настройка NBAR (Network-Based Application Recognition) на маршрутизаторе Cisco позволяет идентифицировать и классифицировать различные сетевые приложения и протоколы. NBAR использует глубокий анализ пакетов для определения и отслеживания трафика на основе его содержимого.
Для начала работы с NBAR на маршрутизаторе Cisco, необходимо выполнить следующие шаги:
- Подготовка маршрутизатора: убедитесь, что ваш маршрутизатор имеет подходящую версию операционной системы Cisco IOS, которая поддерживает функцию NBAR. Проверьте доступность команды ‘show nbar version’ в командной строке маршрутизатора.
- Активация NBAR: для активации NBAR на интерфейсе маршрутизатора используйте команду ‘ip nbar protocol-discovery’ в режиме конфигурации интерфейса.
- Настройка сопоставления: определите классы трафика, которые вы хотите отслеживать, и примените соответствующие сопоставления для каждого класса. Для этого используйте команды ‘class-map’ и ‘match protocol’ в режиме конфигурации интерфейса.
- Настройка соглашения: создайте соглашение политики для обработки трафика, соответствующего определенному классу. Для этого используйте команды ‘policy-map’ и ‘class’ в режиме конфигурации интерфейса.
- Применение соглашения: примените созданное соглашение к интерфейсу маршрутизатора, используя команду ‘service-policy input’ в режиме конфигурации интерфейса.
После выполнения этих шагов маршрутизатор Cisco будет способен распознавать и классифицировать трафик на основе приложений и протоколов, что позволит вам контролировать и управлять сетевым трафиком более эффективно.
Основы настройки NBAR
Настройка NBAR на оборудовании Cisco позволяет выделить определенные приложения и виды трафика, чтобы применять к ним различные политики качества обслуживания (QoS) или блокировать их. Это помогает улучшить производительность сети и обеспечить более эффективное использование ресурсов.
Для настройки NBAR необходимо выполнить несколько шагов:
- Включить NBAR на интерфейсах устройства.
- Создать класс-мап, который определяет критерии классификации трафика, такие как протокол, порт и т. д.
- Создать политику маркировки, которая определяет, какой тип обслуживания будет применяться к определенному классу трафика.
- Связать класс-мап с политикой маркировки.
- Применить политику маркировки к интерфейсу или входящему/исходящему направлению трафика.
После выполнения этих шагов NBAR будет готов к работе. Он будет классифицировать и маркировать трафик в соответствии с настроенными правилами. Это позволяет управлять и контролировать приложения, используемые в сети, и обеспечивать соответствующий уровень обслуживания.
Раздел 2
- Определить критерии и параметры, по которым будет происходить фильтрация и классификация трафика.
- Изучить возможности и функциональные возможности NBAR, чтобы принять решение о настройке.
- Определить типы трафика, которые требуется контролировать и управлять.
После того, как цели и задачи настройки определены, можно приступить к конфигурации NBAR на маршрутизаторе Cisco. Процесс настройки может включать следующие шаги:
- Включение функциональности NBAR на маршрутизаторе.
- Определение критериев фильтрации и классификации трафика с использованием протоколов и портов.
- Настройка действий, которые маршрутизатор будет выполнять при обнаружении определенного типа трафика.
- Проверка и тестирование настроенной функциональности NBAR.
- Мониторинг и анализ трафика с использованием NBAR.
Следует помнить, что настройка NBAR требует определенных знаний и навыков в области сетевой инженерии. Поэтому рекомендуется обращаться за помощью к специалистам или использовать документацию от Cisco для получения дополнительной информации о настройке NBAR.
Как установить NBAR на Cisco-устройство?
Для установки NBAR (Network-Based Application Recognition) на Cisco-устройство необходимо выполнить следующие шаги:
- Войдите в режим привилегий на маршрутизаторе или коммутаторе Cisco, используя команду
enable
. - Перейдите в режим глобальной конфигурации с помощью команды
configure terminal
. - Активируйте NBAR, используя команду
nbar protocol-pack discover
. Это позволит маршрутизатору искать и распознавать различные протоколы и приложения в сетевом трафике. - Задайте критерии сопоставления пакетов для NBAR, используя команды
class-map
иmatch protocol
. Например, вы можете создать класс сопоставления для HTTP-трафика следующим образом:- Создайте класс-сопоставление с помощью команды
class-map <имя класса>
. - Внутри класса-сопоставления используйте команду
match protocol http
для сопоставления HTTP-трафика.
- Создайте класс-сопоставление с помощью команды
- Создайте политику сопоставления для NBAR с помощью команды
policy-map <имя политики>
. Внутри политики вы можете указать действия, которые необходимо выполнить для сопоставленных пакетов. Например, вы можете установить ограничение скорости для HTTP-трафика. - Примените политику сопоставления к интерфейсу с помощью команды
service-policy input <имя политики>
. Политика будет применяться к входящему трафику на данном интерфейсе.
После выполнения этих шагов NBAR будет активирован на вашем Cisco-устройстве и будет выполнять сопоставление и обработку сетевого трафика в соответствии с заданными критериями.
Раздел 3
Настройка NBAR на Cisco
После того, как у вас установлен оборудование Cisco и настроен маршрутизатор, вы можете приступить к настройке NBAR. NBAR — это интеллектуальный сетевой сервис, который позволяет опознавать сетевые приложения и обрабатывать их трафик в соответствии с заданными правилами.
1. Войдите в режим глобальной конфигурации:
Router# | enable |
Router# | configure terminal |
2. Включите NBAR на интерфейсе:
Router(config)# | interface GigabitEthernet0/1 |
Router(config-if)# | ip nbar protocol-discovery |
3. Создайте класс-маппер для приложения, которое вы хотите опознавать:
Router(config)# | class-map match-any HTTP |
Router(config-cmap)# | match protocol http |
4. Создайте политику сопоставления для класс-маппера:
Router(config)# | policy-map HTTP-POLICY |
Router(config-pmap)# | class HTTP |
Router(config-pmap-c)# | police 1000000 |
5. Примените политику к интерфейсу:
Router(config)# | interface GigabitEthernet0/1 |
Router(config-if)# | service-policy input HTTP-POLICY |
Теперь маршрутизатор Cisco будет опознавать и обрабатывать трафик протокола HTTP с использованием заданной политики сопоставления.
Конфигурирование NBAR: шаг за шагом
Настройка NBAR (Network-Based Application Recognition) на устройствах Cisco может быть очень полезным в сети для определения и классификации различных видов сетевых трафиков. Ниже приведена пошаговая инструкция, которая поможет вам настроить NBAR на своем устройстве Cisco.
Шаг 1: Создание класс-карты
Создайте класс-карту, которая позволит определить, какой тип трафика вы хотите классифицировать и применить соответствующие действия. Например, вы можете создать класс-карту для HTTP-трафика.
class-map match-any HTTP-Traffic
match protocol http
Шаг 2: Создание политики QoS
Создайте политику QoS, в которой определите, какие классы-карты должны использоваться и каким образом должен быть обработан трафик. Например, вы можете создать политику, которая приоритизирует HTTP-трафик.
policy-map QoS
class HTTP-Traffic
priority
class class-default
fair-queue
Шаг 3: Применение политики QoS
Примените созданную политику QoS к интерфейсу вашего устройства Cisco, на котором вы хотите использовать NBAR.
interface GigabitEthernet0/1
service-policy input QoS
Шаг 4: Включение NBAR на интерфейсе
Включите NBAR на интерфейсе, чтобы устройство Cisco могло начать классифицировать и обрабатывать трафик согласно ранее созданной политике.
ip nbar protocol-discovery
ip nbar protocol-discovery http
Шаг 5: Проверка конфигурации
После завершения настройки NBAR вы можете проверить текущую конфигурацию с помощью команды show policy-map interface и убедиться, что классы-карты и политики правильно настроены и применяются к трафику.
show policy-map interface GigabitEthernet0/1
Следуя этим шагам, вы сможете успешно настроить NBAR на вашем устройстве Cisco и определить различные типы сетевого трафика для применения соответствующих политик QoS.
Раздел 4: Настройка NBAR на маршрутизаторе Cisco
Шаг 1: Подключитесь к маршрутизатору Cisco с помощью программы терминала или консоли.
Шаг 2: Войдите в режим настройки.
enableconfigure terminal
Шаг 3: Включите NBAR.
interface <название интерфейса>nbar protocol-discovery
Примечание: замените <название интерфейса> на название интерфейса, к которому вы хотите применить NBAR.
Шаг 4: Настройте сопоставление класс-маппингов для определения типов трафика.
class-map <имя класса>match protocol <имя протокола>exitpolicy-map <имя политики>class <имя класса>exit
Примечание: замените <имя класса> на имя, которое вы хотите присвоить классу, и <имя протокола> на имя протокола, который вы хотите сопоставить с классом.
Шаг 5: Примените политику к интерфейсу.
interface <название интерфейса>service-policy <имя политики>
Примечание: замените <название интерфейса> на название интерфейса, к которому вы хотите применить политику, и <имя политики> на имя политики, которую вы хотите применить.
Шаг 6: Сохраните конфигурацию.
exitcopy running-config startup-config
Теперь NBAR настроен на вашем маршрутизаторе Cisco. Он будет сопоставлять типы трафика и применять соответствующую политику на заданном интерфейсе.
Примеры использования NBAR
Протоколы, которые могут быть обнаружены и классифицированы с помощью NBAR, включают HTTP, FTP, SMTP, DNS, Telnet, SSH и другие. Приведем несколько примеров использования NBAR:
Протокол | Пример использования |
---|---|
HTTP | Можно использовать NBAR для обнаружения и классификации HTTP-трафика, что позволяет настраивать QoS для этого протокола. Например, можно приоритизировать трафик для определенных веб-сайтов или приложений. |
FTP | NBAR может помочь обнаружить и классифицировать FTP-трафик, что позволяет применять соответствующие политики управления пропускной способностью и приоритизации для этого протокола. |
SMTP | Используя NBAR, можно распознать и классифицировать трафик SMTP, позволяя применять правила QoS для электронной почты, например, приоритизировать отправку и доставку сообщений. |
DNS | NBAR может обнаруживать и классифицировать трафик DNS, что позволяет применять соответствующие политики для управления этим протоколом, например, ограничивать или приоритизировать DNS-запросы. |
Telnet | С помощью NBAR можно обнаруживать и классифицировать трафик Telnet, что позволяет применять политики QoS для этого протокола, например, ограничивать доступ к удаленным устройствам по Telnet. |
SSH | Используя NBAR, можно обнаруживать и классифицировать трафик SSH, позволяя применять политики QoS для обеспечения безопасности и эффективности SSH-соединений. |
Комбинируя NBAR с другими функциями маршрутизатора, такими как QoS и ACL, можно создать более гибкое и эффективное управление сетевым трафиком на маршрутизаторе Cisco.
Раздел 5
Для начала настройки NBAR необходимо выполнить следующие шаги:
- Подключитесь к маршрутизатору Cisco с помощью программы эмуляции терминала, такой как PuTTY.
- Войдите в режим привилегированного пользователя, выполнив команду
enable
и введя пароль администратора. - Перейдите в режим конфигурации, введя команду
configure terminal
. - Выберите интерфейс, на котором хотите настроить NBAR, с помощью команды
interface
, за которой следует имя интерфейса (например,interface FastEthernet0/0
). - Включите функцию NBAR с помощью команды
ip nbar protocol-discovery
. - Сохраните настройки с помощью команды
write memory
для сохранения настроек в постоянной памяти маршрутизатора.
После выполнения этих шагов NBAR будет настроен и готов к использованию. Вы можете использовать команду show ip nbar protocol-discovery
, чтобы увидеть список распознаваемых NBAR протоколов и количество потоков, связанных с каждым из них.
NBAR также предоставляет возможность настраивать сопоставление приложений с помощью команды match protocol
. Например, вы можете создать сопоставление для приложения HTTP, используя команду match protocol http
.
Настройка NBAR на маршрутизаторе Cisco может быть полезной для различных задач, таких как контроль использования интернет-трафика, обнаружение и предотвращение атак на сеть, а также оптимизация ресурсов сети.
Основные команды NBAR
Для настройки NBAR на Cisco используются следующие основные команды:
ip nbar protocol-discovery
: включает функцию обнаружения протоколов NBAR на интерфейсе.interface <�интерфейс>
: переход в режим настройки интерфейса.ip nbar protocol-discovery interface
: включает функцию обнаружения протоколов NBAR на указанном интерфейсе.show ip nbar protocol-discovery
: отображает информацию о протоколах, обнаруженных NBAR.clear ip nbar protocol-discovery stats
: сбрасывает статистику обнаружения протоколов NBAR.
Эти команды позволяют включить и настроить функцию NBAR, отображать информацию о протоколах и сбрасывать статистику. Они составляют основу для настройки NBAR на Cisco и помогают эффективно управлять трафиком в сети.