模块化的policyclass-map分类,可以做qos,只能做llq,和rate-limit

还可以基于特定流量做安全策略

接口和全局上启用安全策略

对vpn进行匹配分类做qos

全局策略只能有一个。只能添加和更改。

例子:class-map iss

match

default-inspection-traffic(默认监控流量)

flow ip destination-address (跟目的ip)

rtp(语音协议)tunnel-group(匹配vpn)

一个class-map里面不能多重匹配,除了tunnel-group和default-inspect-traffic以外

policy map做策略

基于某个特定的class做策略

例子:

policy-map outside_policy

class internet

1.ips

2.inspection

3.police

4.llq

5.connection parameters 设置连接参数

例子:

access-list tcp permit tcp any any eq

class-map tcp

match access-list tcp

policy-map global_policy

class tcp

set connection conn-max 100(最大半开连接数100个)set connection embryonic-conn-max 10

conforms符合的流量如何处理

exceeds超过的流量如何处理

例子:policy-map outside_policy

class se

police 56000 1000 conform-action transmit exceed-action drop

ips

一种在线的:这个包必须到ips哪里过一圈(inline mode)

fail-close:如果ips坏了,全部过不了

fail-open:如果ips坏了,全部可以过

一种杂合的:发一份到ips,原文直接发到目的地。(promiscuous mode)

例子:

policy-map outside_policy

class internet

ips inline fail-open

语音流量匹配:policy-map outside_policy

class s2s_voice

priority

对tcp的设置

policy-map outside_policy

class dmz_servers

set connection conn-max 200

set connection embryonic-conn-max 25

应用:

service-policy outside_policy interfacer outside(接口应用)

show service-policy