シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

誤検知問題の一般的な Workaround について

誤検知が発生する Server の IP が判明している場合は、

  1. Traffic rule の作成
  2. Zone による対応

をすることによって、誤検知を回避する事ができます。

1. Traffic rule の作成

以下の様なトラフィックが誤検知された場合を考えます。

  • IP address : Server side = 10.10.10.10
  • Protocol : TCP
  • Port : network side = port 8888

以下の様な Traffic rule を作成し当該 traffic を ignore(bypass) することができます。

SCE#>configure

SCE(config)#>interface LineCard 0

SCE(config if)#>traffic-rule name TEST IP-addresses subscriber-side all network-side 10.10.10.10 protocol TCP ports subscriber-side all network-side 8888 flags all direction both traffic-counter none action ignore

Traffic Rule の設定方法に関しましては、コチラのドキュメントをご参照ください。

GUI(SCA-BB console)から設定したい場合は、"Service Configuration Editor -> Filtered Traffic" から設定

(詳しくはコチラのドキュメントをご参照ください。)

* Traffic rule を Workaround とする場合は、当該 traffic 任意の Service に分類することはできず、bypass するのみになります。


2. Zone による対応

以下の様なトラフィックが誤検知された場合を考えます。

  • IP address : Server side = 10.10.10.10
  • Protocol : TCP
  • Port : network side = port 8888

以下の手順で当該 traffic を新たな service に分類される様にします。

  1. SCA-BB console で以下のパラメータを持つ Protocol を作成する   
    • Signature: <誤分類される signature>
    • IP Protocol: *
    • Port range: 8888

  2. SCA-BB console の Classification -> Configuration -> Zone から新しい Zone を作成する

  3. 新しい service を作成し、protocol には、1. で作成した protocol, Zone には、2. で作成した zone を指定する

以下は zone を使用し、当該 traffic が新しい service B に分類される例になります。

既存の Service, Protocol 及び Zone をそれぞれ Protocol : EX1 , Zone :  *, Service : A

先ほどの例の Service, Protocol 及び Zone をそれぞれ Protocol : EX1 , Zone :  Z1, Service : B

Service

Flavor

Protocol

Zone

Initiating side

A

*

EX1

*

*

B

*

EX1

Z1

*

zone を設定した事により、Service B は Service A よりもマッチする要素が多くなるので、当該 traffic は Service B に分類されます。

(Service B に関しては、新規 service で無くても、当該 traffic を分類させたい Service にしてもよい)

3.6.0 以降であれば、service へ分類される際の priority を

Zone > Flavor > Protocol > Init-Side

と変更が可能になるので、以下のように新たに protocol を定義しなくても Service B に zone を設定することで

当該 traffic を Service B に分類させる事ができます。

Service

Zone

Flavor

Protocol

Initiating side

A

*

*

EX1

*

B

Z1

*

*

*

一般的にどの様に service に分類されるかはコチラのドキュメントをご参照ください。

バージョン履歴
改訂番号
1/1
最終更新:
‎11-16-2011 09:34 PM
更新者:
 
ラベル(1)