誤検知が発生する Server の IP が判明している場合は、
- Traffic rule の作成
- Zone による対応
をすることによって、誤検知を回避する事ができます。
1. Traffic rule の作成
以下の様なトラフィックが誤検知された場合を考えます。
- IP address : Server side = 10.10.10.10
- Protocol : TCP
- Port : network side = port 8888
以下の様な Traffic rule を作成し当該 traffic を ignore(bypass) することができます。
SCE#>configure
SCE(config)#>interface LineCard 0
SCE(config if)#>traffic-rule name TEST IP-addresses subscriber-side all network-side 10.10.10.10 protocol TCP ports subscriber-side all network-side 8888 flags all direction both traffic-counter none action ignore
Traffic Rule の設定方法に関しましては、コチラのドキュメントをご参照ください。
GUI(SCA-BB console)から設定したい場合は、"Service Configuration Editor -> Filtered Traffic" から設定
(詳しくはコチラのドキュメントをご参照ください。)
* Traffic rule を Workaround とする場合は、当該 traffic 任意の Service に分類することはできず、bypass するのみになります。
2. Zone による対応
以下の様なトラフィックが誤検知された場合を考えます。
- IP address : Server side = 10.10.10.10
- Protocol : TCP
- Port : network side = port 8888
以下の手順で当該 traffic を新たな service に分類される様にします。
- SCA-BB console で以下のパラメータを持つ Protocol を作成する
- Signature: <誤分類される signature>
- IP Protocol: *
- Port range: 8888
- SCA-BB console の Classification -> Configuration -> Zone から新しい Zone を作成する
- 新しい service を作成し、protocol には、1. で作成した protocol, Zone には、2. で作成した zone を指定する
以下は zone を使用し、当該 traffic が新しい service B に分類される例になります。
既存の Service, Protocol 及び Zone をそれぞれ Protocol : EX1 , Zone : *, Service : A
先ほどの例の Service, Protocol 及び Zone をそれぞれ Protocol : EX1 , Zone : Z1, Service : B
Service | Flavor | Protocol | Zone | Initiating side |
A | * | EX1 | * | * |
B | * | EX1 | Z1 | * |
zone を設定した事により、Service B は Service A よりもマッチする要素が多くなるので、当該 traffic は Service B に分類されます。
(Service B に関しては、新規 service で無くても、当該 traffic を分類させたい Service にしてもよい)
3.6.0 以降であれば、service へ分類される際の priority を
Zone > Flavor > Protocol > Init-Side
と変更が可能になるので、以下のように新たに protocol を定義しなくても Service B に zone を設定することで
当該 traffic を Service B に分類させる事ができます。
Service | Zone | Flavor | Protocol | Initiating side |
A | * | * | EX1 | * |
B | Z1 | * | * | * |
一般的にどの様に service に分類されるかはコチラのドキュメントをご参照ください。
