Tweet
Các hạn chế của CBAC
Nếu bạn cấu hình lại ACL của mình khi bạn cấu hình CBAC, nên biết rằng nếu ACL của bạn khóa traffic TFTP vào một cổng, bạn sẽ không thể thực hiện netboot qua cổng này.
- CBAC hoạt động cho các gói IP và một số lượng nhỏ các gói trong giao thức ICMP. Chỉ có TCP, UDP và các packet ICMP phổ biến nhất được giám sát. Các traffc IP khác, như là các quảng bá giao thức tìm đường không thể bị xem xét bằng CBAC mà thay vào đó nên bị lọc bằng extended ACL.
- Việc xem xét H.323v2 và giao thức Real Time Streaming Protocol (RTSP) chỉ hỗ trợ cho các ứng dụng multimedia client/server: Cisco IP/TV, RealNetworks RealAudio G2 Player, và Apple QuickTime 4.
Các giao thức hỗ trợ:
Bạn có thể cấu hình CBAC để xem xét tất cả các session TCP và UDP. Bạn cũng có thể cấu hình CBAC xem xét chi tiết các giao thức ở tầng ứng dụng như sau:
- Các session TCP, không cần quan tâm giao thức ở tầng ứng dụng là gì
- Các session UDP, không cần quan tâm giao thức ở tầng ứng dụng là gì
- FTP
- SMTP
- SQL*NET
- TFTP
- Các câu lệnh trong UNIX R (rlogin, rexec, rsh)
- RPC (Sun RPC, không phải là DCE RPC hoặc Microsoft RPC)
- HTTP (Chặn Java)
- Microsoft NetShow
- RealAudio
- StreamWorks
- VDOLive
- CU-SeeMe
- H.323
- RTSP
RTSP
RTSP là giao thức tầng ứng dụng dùng để điều khiển việc phân phối dữ liệu có thuộc tính thời gian thật như là audio và video. Theo như định nghĩa trong RFC 2326, RTSP có thể hoạt động dùng UDP hoặc TCP. Hiện tại, CBAC chỉ hỗ trợ cho RTSP trên nền TCP, mà được hiện thực bởi nhiều nhà cung cấp sản phẩm bao gồm : Cisco IP/TV, RealAudio G2 Player, Apple QuickTime 4 software, và RealNetworks.
RTSP có thể dùng nhiều cơ chế transport dữ liệu khác nhau, các loại sau được CBAC hỗ trợ:
- RealNetworks Real Data Transport (RDT): RDT là giao thức riêng được phát triền bởi RealNetwork nhằm truyền tải dữ liệu, sử dụng RTSP cho việc điều khiển liên lạc và RDT cho các kết nối dữ liệu và việc truyền lại những gói bị mất.
- Interleaved (dùng tunnel mode): RTSP dùng kênh điều khiển để thiết lập tunnel cho traffic RTP hoặc RDT.
- Synchronized Multimedia Integration Language (SMIL): SMIL là một ngôn ngữ tương tự như HTML cho phép việc tạo ra các ứng dụng multimedia có thể tương tác được chứa các thành phần như nhạc, voice, hình ảnh, text, video và đồ họa.
- Real-Time Transport Protocol (RTP): RTP là giao thức tầng transport cho RTSP. RTP dùng các packet UDP để truyền các dữ liệu thời gian thực. Nó có thể được dùng kết hợp với giao thức Real-time Transport Control Protocol (RTCP) để lấy các đáp ứng về chất lượng truyền và thông tin về các bên tham gia vào session.
Khi RTSP dùng TCP port 554 hoặc 8554 để mở kết nối đến một server multimedia. Port dữ liệu giữa client và server được thương lượng giữa client và server trên UDP port giữa 1024 và 65536. RTP và RTCP port làm việc chung với nhau, với RTP dùng một số port chẵn và RTCP dùng giá trị port liên tiếp nhau.
CBAC dùng client port và các thông tin kết nối để tạo ra các dòng ACL động. Khi các kết nối kết thúc, CBAC tự động loại bỏ các dòng ACL động này
H.323
CBAC hỗ trợ xem xét H.323:
- H.323v1 : Khi một kết nối TCP được tạo ra giữa client và server (H.225), một kênh riêng biệt cho việc điều khiển media (H.245) được mở ra thông qua các kênh multimedia để đánh giá và cho các hoạt động thương lượng có trong dịch vụ video.
- H.323v2 cung cấp thêm các tùy chọn, bao gồm "fast start". Lựa chọn này giúp tối thiểu hoá thời gian trễ giữa thời gian người sử dụng khởi tạo một kết nối và thời gian người sử dụng lấy được dữ liệu. Phiên bản này tương thích ngược với việc giám sát version 1. Client mở một kết nối đếm server dùng port 1720. Kênh dữ liệu giữa client và server được tự động thương lượng dùng các UDP port giữa 1024 và 65536
CBAC dùng các port client và các thông tin kết nối để tạo ra các dòng động trong ACL. Khi các kết nối kết thúc, CBAC tự động loại bỏ các dòng ACL động này
Nếu bạn cấu hình lại ACL của mình khi bạn cấu hình CBAC, nên biết rằng nếu ACL của bạn khóa traffic TFTP vào một cổng, bạn sẽ không thể thực hiện netboot qua cổng này.
- CBAC hoạt động cho các gói IP và một số lượng nhỏ các gói trong giao thức ICMP. Chỉ có TCP, UDP và các packet ICMP phổ biến nhất được giám sát. Các traffc IP khác, như là các quảng bá giao thức tìm đường không thể bị xem xét bằng CBAC mà thay vào đó nên bị lọc bằng extended ACL.
- Việc xem xét H.323v2 và giao thức Real Time Streaming Protocol (RTSP) chỉ hỗ trợ cho các ứng dụng multimedia client/server: Cisco IP/TV, RealNetworks RealAudio G2 Player, và Apple QuickTime 4.
Các giao thức hỗ trợ:
Bạn có thể cấu hình CBAC để xem xét tất cả các session TCP và UDP. Bạn cũng có thể cấu hình CBAC xem xét chi tiết các giao thức ở tầng ứng dụng như sau:
- Các session TCP, không cần quan tâm giao thức ở tầng ứng dụng là gì
- Các session UDP, không cần quan tâm giao thức ở tầng ứng dụng là gì
- FTP
- SMTP
- SQL*NET
- TFTP
- Các câu lệnh trong UNIX R (rlogin, rexec, rsh)
- RPC (Sun RPC, không phải là DCE RPC hoặc Microsoft RPC)
- HTTP (Chặn Java)
- Microsoft NetShow
- RealAudio
- StreamWorks
- VDOLive
- CU-SeeMe
- H.323
- RTSP
RTSP
RTSP là giao thức tầng ứng dụng dùng để điều khiển việc phân phối dữ liệu có thuộc tính thời gian thật như là audio và video. Theo như định nghĩa trong RFC 2326, RTSP có thể hoạt động dùng UDP hoặc TCP. Hiện tại, CBAC chỉ hỗ trợ cho RTSP trên nền TCP, mà được hiện thực bởi nhiều nhà cung cấp sản phẩm bao gồm : Cisco IP/TV, RealAudio G2 Player, Apple QuickTime 4 software, và RealNetworks.
RTSP có thể dùng nhiều cơ chế transport dữ liệu khác nhau, các loại sau được CBAC hỗ trợ:
- RealNetworks Real Data Transport (RDT): RDT là giao thức riêng được phát triền bởi RealNetwork nhằm truyền tải dữ liệu, sử dụng RTSP cho việc điều khiển liên lạc và RDT cho các kết nối dữ liệu và việc truyền lại những gói bị mất.
- Interleaved (dùng tunnel mode): RTSP dùng kênh điều khiển để thiết lập tunnel cho traffic RTP hoặc RDT.
- Synchronized Multimedia Integration Language (SMIL): SMIL là một ngôn ngữ tương tự như HTML cho phép việc tạo ra các ứng dụng multimedia có thể tương tác được chứa các thành phần như nhạc, voice, hình ảnh, text, video và đồ họa.
- Real-Time Transport Protocol (RTP): RTP là giao thức tầng transport cho RTSP. RTP dùng các packet UDP để truyền các dữ liệu thời gian thực. Nó có thể được dùng kết hợp với giao thức Real-time Transport Control Protocol (RTCP) để lấy các đáp ứng về chất lượng truyền và thông tin về các bên tham gia vào session.
Khi RTSP dùng TCP port 554 hoặc 8554 để mở kết nối đến một server multimedia. Port dữ liệu giữa client và server được thương lượng giữa client và server trên UDP port giữa 1024 và 65536. RTP và RTCP port làm việc chung với nhau, với RTP dùng một số port chẵn và RTCP dùng giá trị port liên tiếp nhau.
CBAC dùng client port và các thông tin kết nối để tạo ra các dòng ACL động. Khi các kết nối kết thúc, CBAC tự động loại bỏ các dòng ACL động này
H.323
CBAC hỗ trợ xem xét H.323:
- H.323v1 : Khi một kết nối TCP được tạo ra giữa client và server (H.225), một kênh riêng biệt cho việc điều khiển media (H.245) được mở ra thông qua các kênh multimedia để đánh giá và cho các hoạt động thương lượng có trong dịch vụ video.
- H.323v2 cung cấp thêm các tùy chọn, bao gồm "fast start". Lựa chọn này giúp tối thiểu hoá thời gian trễ giữa thời gian người sử dụng khởi tạo một kết nối và thời gian người sử dụng lấy được dữ liệu. Phiên bản này tương thích ngược với việc giám sát version 1. Client mở một kết nối đếm server dùng port 1720. Kênh dữ liệu giữa client và server được tự động thương lượng dùng các UDP port giữa 1024 và 65536
CBAC dùng các port client và các thông tin kết nối để tạo ra các dòng động trong ACL. Khi các kết nối kết thúc, CBAC tự động loại bỏ các dòng ACL động này