ccie培训：FPM（灵活包匹配）技术

taike

FPM的简介：
　　FPM是一种下一代的访问控制匹配工具，这个技术提供了更多的详细的和自定义的包过滤功能。FPM允许用户去匹配一个包内的任意bit以及可以匹配包内包头或者负载内的任意深度ccie培训的内容。
　　FPM允许用户去创建属于自己的无状态的包分类的标准，并且可以为策略定义多种的行为（比如drop，log 或者发送ICMP不可达消息）来立刻过滤新病毒，蠕虫以及网络攻击。
　　需要注意的是该特性不是所有的IOS都支持。
　　FPM的局限性：
　　FPM不能缓解网络攻击，因为缓解攻击是需要有状态的数据包分类。
　　因为FPM是无状态的，所以它不能跟踪由协议控制的自协商的端口号，换句话说，如果需要使用FPM技术，那么必须手工的定义端口号。
　　FPM不能执行IP包的分片或者TCP流的重组。
　　FPM检测只对IPv4的单播数据包有效。
　　FPM不能使用IP选项来对数据包进行分类。
　　FPM不支持组播数据包的检测。
　　FPM不支持隧道接口和MPLS接口。
　　FPM不能配置在FlexWAN接口卡上。
　　FPM的策略不支持对控制层面的映射。
　　对于用户来说，FPM技术可以创建一系列的过滤策略，ccie培训用来及时的检测和过滤新的病毒和网络攻击。过滤策略需要通过如下的步骤进行定义：
　　1.加载PHDF文件（用来使流量匹配预先定义的协议，如IP，TCP，UDP等）
　　2.定义类型图和协议栈（用来分类需要进行检查的流）
　　3.定义策略（用来针对流做出行为）
　　4.在接口上运用该策略。
　　PHDF文件：
　　协议头被定义在一个单独的文件内，这个ccie培训文件我们成为PHDF文件。我们使用PHDF文件来对数据包的协议进行匹配，PHDF文件通过使用XML语言来定义整个协议的内容，用户也可以通过编写XML语言来定义自己的PHDF文件。
　　我们在路由器来调用这些文件来跟踪整个数据包。PHDF文件可以在CISCO网站上找到。
　　调用PHDF文件的方法：
　　 load protocol location:filename
　　例如：
　　Load Protocol flash:/ip.phdf
　　 Load Protocol flash:/tcp.phdf
　　ccie培训
　　(需要注意的是，如果没有定义PHDF文件的使用，那么在下一步匹配协议头的时候我们只能使用match start命令，而不能使用matc定义Class Map：思科培训
　　在FPM技术中依然使用CISCO的MQC语句来对流量进行匹配和过滤。
　　首先我们需要定义对什么样的协议进行跟踪：
　　 class-map type stack match-all map-name
　　 match field IP protocol eq 0x6 next TCP
　　在这个语句中我们定义了我们需要跟踪IP协议号为6的TCP协议，当对数据包检测发现匹配该类型图的时候，将会进行下一步的检查。
　　在定义完对协议的跟踪后我们定义需要ccie培训匹配的数据包的内容：
　　 class-map type access-control match-all map-name
　　 match field protocol protocol-field {eq [mask] | neq [mask] | gt | lt | range range | regex string} value
　　在这语句内我们可以定义所需要匹配的协议内的协议字段名，例如：
　　 match field TCP dest-port eq 8000
　　在这个语句中我们匹配TCP协议域内的dest-port字段为8000的数据包。我们需要注意的是，由于特定流量可能使用别的服务所使用的端口ccie培训，在不影响正常流量的前提下我们需要定义更为深层次的检测。我们可以针对数据包的2层负载和3层负载的特定字段来进行检测：
　　match start {l2-start | l3-start} offset number size number {eq | neq | gt | lt | range range | regex string} value [value2]
　　
　　例如：
　　match start l3-start offset 28 size 4 eq 0xE9030201
　　
　　在IP协议数据包的第28位起，包含4个byte的特征字段：E9030201
　　需要注意的是：上面offset的数值要注意，ccie培训如果是ip包中的第一个byte位，则offset为0，第二个byte位，则offset为1，offset是从0开始计数而不是1。
　　对于数据包的特征值，我们可以通过sniffer软件反复抓包，收集信息来进行定义。
　　定义Policy Map：ccie培训
　　我们需要定义一个策略图来调用类型图：
　　 policy-map type access-control policy-name
　　class class-map
　　在调用了类以后，我们需要定义一个匹配该类的丢弃行为：
　　drop
　　在接口下调用策略图：
　　在定义了策略以后，我们需要在接口下调用该策略，并定义生效的方向（input或output）：
　　 Interface fa0/0
　　service-policy type access-control [input | output] policy-name
　　至此，我们的FPM就配置完毕了，我们可以通过如下的命令来检查配置和数据包的匹配状况：
　　 show policy-map type access-control interface
　　show protocol phdf ip