目录 - cisco · charging-action sid_040_rg_400_rate_00064action priority 1089 dynamic-only...
TRANSCRIPT
目录
简介问题故障排除解决方案配置示例相关的思科支持社区讨论
简介
本文描述用户以安全套接字协议层(SSL)流使用自由速率应用程序例如Whatsapp, Snapchat等,当阻塞其他用户数据流时的一个特定方案。此特定应用程序在Cisco运行聚集了5x00系列服务的路由器(ASR)。SSL是管理服务器验证、客户端验证和加密的通信服务器和客户端之间的计算机网络协议。
问题
要检测所有app,您需要分析的一些初始数据包。这两个矛盾的需求完成在可能最大的程度上。
a) 检测在第一数据包必须发生
b) 检测准确性必须是100%
如果尝试对fullfill需求(a) &标记在的所有apps不是实际上可能的)的第一数据包(在检测准确性的需求(b)遭受。为了使检测准确性好,您需要更多数据包分析批次apps (有app在第一数据包)检测的apps&流。在同一个app的情况下,它能发生您能标记在第一数据包的一些流,当同一个app的其他流需要分析的时更多数据包。
因此,如果其中任一个app是自由额定的,当阻塞其他流量,它能发生时app的初始数据包没获得检测,因为不传播充足的信息。特别是根据SSL的盒apps流,协议被标记使用服务器NAME征兆字段现在客户端Hello数据包或公用名称现在SSL证书。因为服务器名称是可选字段,总是不存在。 如此镜像所显示,在一个Whatsapp SSL流,在三方握手(TWH)以后客户端Hello数据包由app发送。显示服务器名征兆(SNI)字段的PCAP trace。并且被看到的客户端Hello数据包多重新传输最终被撤销。
并且,如此镜像所显示,他们是SNI字段,使用标记Whatsapp,不是存在的客户端Hello数据包的HEX字节。因此,客户端Hello数据包不可能被标记作为Whatsapp并且去未被发现。当此数据包落入另外规定值组,被撤销并且客户端Hello数据包多重新传输被看到(请参阅帧没有5449, 5453,5469)。最后,连接终止。几个这样流在pcap被看到。这是原因有用的活动,例如Whatsapp的镜像加载,不可以完成。
故障排除
这些命令给应用程序的分析程序stats。
检查插件版本:
解决方案
为了避免,您需要保证在app前的数据包(whatsapp请说)获得明显,并且必须经历。
请使用此ruledef :
不能丢弃任何数据包,匹配上述ruledef。此ruledef优先级必须上面匹配此数据包&造成它被撤销的默认ruledef (IP任何ruledef)。
通过使用此配置,匹配上述三条规则线路的仅数据包是自由额定的。这些在SSL流包括使用此ruledef,允许仅的最初的握手数据包(例如客户端Hello,服务器问候),而在SSL流的其他数据包不匹配此ruledef。因此,如果有属于您想要自由速率)的某个其他app的SSLflow (除whatsapp之外那里不可以在任何有用的处理,因为SSL流的只最初的两到三数据包允许使用此ruledef。
配置示例
建议的ruledef比all-ip_004_012_00016 ruledef (ip任何匹配=特鲁)需要有一高优先级和
允许流量类似于whatsapp与规定值组400和中的任一的ruledef.(sid_040_rg_400_rate_99999/sid_040_rg_400_rate_00032/ sid_040_rg_400_rate_00064速率)的充电的操作。
使用此设置,客户端Hello数据包押报价的ruledef和允许而不是重定向。这些是whatsapp规则被看到的两rulebases :
rulebase mbc-internet-rsaction priority 1087 dynamic-only ruledef WhatsApp_P2P_040_400_99999_All_internet charging-
action sid_040_rg_400_rate_99999action priority 1088 dynamic-only ruledef WhatsApp_P2P_040_400_00064_All_internet
charging-action sid_040_rg_400_rate_00064action priority 1089 dynamic-only ruledef
WhatsApp_P2P_040_400_00032_All_internet charging-action sid_040_rg_400_rate_00032action priority [1090-9909]
dynamic-only ruledef ssl_clienthello charging-action sid_040_rg_400_rate99999/00064/00032 -->
Higher priority than all-ip ruledef and charging action with rating group 400action priority
9910 dynamic-only ruledef all-ip_004_012_00016_MI_internet charging-action
sid_004_rg_012_rate_00016action priority 9920 dynamic-only ruledef all-
ip_004_012_00032_MI_internet charging-action sid_004_rg_012_rate_00032action priority 9930
dynamic-only ruledef all-ip_004_012_00064_MI_internet charging-action
sid_004_rg_012_rate_00064rulebase mbc-iphone-rsaction priority 1206 dynamic-only ruledef
WhatsApp_P2P_040_400_99999_All_iphone charging-action sid_040_rg_400_rate_99999action priority
1207 dynamic-only ruledef WhatsApp_P2P_040_400_00064_All_iphone charging-action
sid_040_rg_400_rate_00064action priority 1208 dynamic-only ruledef
WhatsApp_P2P_040_400_00032_All_iphone charging-action sid_040_rg_400_rate_00032action priority
[1209-8999] dynamic-only ruledef ssl_clienthello charging-action
sid_040_rg_400_rate99999/00064/00032 --> Higher priority than all-ip ruledef and charging action
with rating group 400action priority 9000 dynamic-only ruledef all-ip_015_150_00016_ALL_iphone
charging-action sid_015_rg_150_rate_00016action priority 9010 dynamic-only ruledef all-
ip_015_150_00032_ALL_iphone charging-action sid_015_rg_150_rate_00032action priority 9020
dynamic-only ruledef all-ip_015_150_00064_ALL_iphone charging-action
sid_015_rg_150_rate_00064action priority 9030 dynamic-only ruledef all-
ip_015_150_99999_ALL_iphone charging-action sid_015_rg_150_rate_99999charging-action
sid_040_rg_400_rate_99999content-id 400service-identifier 40billing-action egcdrcca charging
creditexitruledef ssl_clienthellotcp either-port = 443tcp payload-length >= 44tcp payload
starts-with hex-signature 16-03exit