设置应用程序映射

创建应用程序映射规则，以便标识报告中的流量。这些规则可以标识流量类型，例如 ToS、主机、子网或 NBAR2 应用程序。

您可以使用应用程序映射来组合、区分或更明确地标识报告中的流量：

区分流量：通过将流量子类型重新映射到不同的目标端口来分隔较大的流量块。
例如，假定报告显示 TCP 端口 20 上的大块 FTP 流量。您希望分别跟踪来自内部 FTP 服务器的 FTP 流量和外部 Internet 流量。要实现这一点，您可以创建一个主机应用程序映射规则，将其命名为内部 FTP 流量。规则的主机值与内部 FTP 服务器的 IP 地址相匹配。端口值是 20。您可以指定 65000 作为目标端口，此端口当前未接收任何流量。

现在，报告会显示 TCP 端口 65000 上有来自 FTP 服务器的流量，它标记为内部 FTP 流量。另一个 TCP 端口 20 上的流量仍被标记为 FTP。
组合流量：通过把各种类型的流量重新映射到一个目标端口，将这些流量作为一个整体来报告。
例如，假定您的企业邮件系统使用 IMAP 和 POP 协议。 IMAP 邮件使用 TCP 端口 443，POP 邮件使用 TCP 端口 109 和 100。您想在报告中显示组合的邮件流量，为此，您可以创建一个应用程序映射规则，以便将每种类型的邮件流量重新映射到端口 3100。这些流量将在报告中组合，并用规则名称邮件进行标记。即便您创建了多个规则，对于将流量映射到端口 3100 的所有规则，程序都将使用同一名称。
标识流量：使用应用程序映射来重新标记流量，而不进行组合或分隔。

应用程序映射影响以下报告：

注意：

应用程序映射不影响数据流取证报告。
仍以区分各种类型的 FTP 流量为例，数据流取证会话协议报告会显示映射 FTP 子类别之前的原始 FTP 流量。

显示 NBAR2 数据的数据流取证报告将显示官方应用程序名称和 ID，而不管您具有什么样的应用程序映射规则。
报告显示规则生效时间范围内的映射结果。如果您今天创建规则，则上周数据的报告不会显示规则的影响。如果您在报告时间范围内创建、删除或编辑了应用程序映射规则，在您更改规则时该报告可能会出现巨大变化。

您可以执行下列应用程序映射任务：

详细信息：