- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
14-APR配置
本章節下載: 14-APR配置 (242.98 KB)
目 錄
APR(Application Recognition)即應用層協議識別。一些基於應用的業務(例如ASPF和帶寬管理等)在進行報文處理時需要知道報文所屬的應用層協議,APR可以為這樣的業務提供應用識別服務,並能夠對接口上接收或者發送的某個應用層協議的報文進行數目和速率統計。APR支持以下應用識別方式:PBAR(Port Based Application Recognition,基於端口的應用層協議識別)和NBAR(Network Based Application Recognition,基於內容特征的應用層協議識別)。
PBAR根據端口與應用的映射關係識別出報文所屬的應用層協議,並支持以下類型的映射關係:
· 預定義的端口與應用的映射關係:由係統預先定義。
· 自定義的端口與應用的映射關係:由管理員進行創建。
根據與應用層協議進行映射的對象範圍的不同,PBAR提供以下映射機製來維護和使用自定義的端口與應用映射關係:
· 通用端口映射:對於所有報文,建立自定義端口號和應用層協議建立映射關係。例如:將2121端口映射為FTP協議,這樣所有目的端口是2121的報文將被識別為FTP報文。
· 主機端口映射:對去往某些特定範圍內主機的報文建立自定義端口號和應用層協議的映射。例如:將目的地址為10.110.0.0/16網段的、使用2121端口的報文映射為FTP報文。主機範圍可以通過配置ACL或者指定主機地址、網段來確定。
主機端口映射還可以細分為如下類型:
¡ 基於ACL的主機端口映射:對於匹配指定ACL的報文,建立端口號與應用層協議的映射關係;
¡ 基於網段的主機端口映射:對於目的地址為指定網段的報文,建立端口號與應用層協議的映射關係;
¡ 基於IP地址的主機端口映射:對於目的地址為指定IP地址的報文,建立端口號與應用層協議的映射關係。
以上端口映射配置對於同一個報文的生效優先級從高到低依次為:基於IP地址、基於網段、基於ACL、通用。而對於其中的每一類,指定傳輸層協議名稱的配置優先級高於不指定傳輸層協議名稱的配置。
NBAR提取應用報文的特征,通過將報文的內容與特征庫中的特征項進行匹配來識別報文所屬的應用層協議。
NBAR支持兩種類型的特征:
· 預定義特征:由設備上的APR特征庫自動生成。
· 自定義特征:由管理員手工配置。
可以將具有相似特征的應用添加到一個應用組中。一個應用組,就是若幹個應用的集合。如果報文被識別為屬於某個應用,而該應用又屬於某個應用組,則報文相當於被識別為屬於某個應用組。基於應用的業務(例如ASPF和帶寬管理等)可以對屬於同一個應用組的報文做統一處理。
一個自定義應用組中可以包含多個預定義應用和自定義應用。
APR特征庫是用來對經過設備的應用層流量進行字符串特征識別的資源庫,包含PBAR和NBAR特征。隨著互聯網業務的不斷變化和發展,網絡上的應用也在迅速的增加和變化,需要及時升級設備中的APR特征庫,同時設備也支持APR特征庫回滾功能。
APR特征庫升級包括如下幾種方式:
· 定期自動在線升級:設備根據管理員設置的時間定期自動更新本地的APR特征庫。
· 立即自動在線升級:管理員手工觸發設備立即更新本地的APR特征庫。
· 手動離線升級:當設備無法自動獲取APR特征庫服務時,需要管理員先手動獲取最新的APR特征庫,再更新設備本地的APR特征庫。
設備使用當前APR特征庫版本進行識別應用時,如果管理員發現設備識別應用的誤報率較高或出現異常情況,則可以將其回滾到上一版本或出廠版本。
APR特征庫的升級需要安裝License。License過期後,APR功能可以采用設備中已有的APR特征庫正常工作,但無法升級特征庫。關於License的詳細介紹請參見“基礎配置指導”中的“License管理”。
APR配置任務如下:
(1) 配置PBAR
(2) 配置自定義NBAR規則
(3) (可選)配置應用組
(4) (可選)配置全局應用統計功能
(5) (可選)配置接口的應用統計功能
(6) (可選)配置APR特征庫升級和回滾
(1) 進入係統視圖。
system-view
(2) 配置端口映射。請至少選擇其中一項進行配置。
¡ 配置通用端口映射。
port-mapping application application-name port port-number [ protocol protocol-name ]
¡ 配置基於ACL的主機端口映射。
port-mapping application application-name port port-number [ protocol protocol-name ] acl [ ipv6 ] acl-number
¡ 配置基於網段的主機端口映射。
port-mapping application application-name port port-number [ protocol protocol-name ] subnet { ip ipv4-address { mask-length | mask } | ipv6 ipv6-address prefix-length } [ vpn-instance vpn-instance-name ]
¡ 配置基於IP地址的主機端口映射。
port-mapping application application-name port port-number [ protocol protocol-name ] host { ip | ipv6 } start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ]
缺省情況下,各應用層協議與其對應的知名端口號映射。
配置映射關係時,如果指定的應用不存在就會創建這個應用。
當APR特征庫中預定義的應用規則不能滿足用戶需求時,可以使用本特性自定義NBAR規則,以及配置該NBAR規則的屬性和特征。但不能對預定義的NBAR規則進行刪除和修改。
自定義NBAR規則下可配置的匹配項包括如下內容:
· 匹配的特征
· 匹配的目的IP地址網段
· 匹配的源IP地址網段
· 匹配的方向
· 匹配的端口號
一條自定義NBAR規則中可以同時配置多個匹配項,僅當所有已配置的匹配項都被匹配成功後,報文與該NBAR規則才能匹配成功。其中,特征可以同時配置多個,且至少匹配上一個特征才能匹配到該匹配項。
(1) 進入係統視圖。
system-view
(2) 創建自定義NBAR規則,並進入自定義NBAR規則視圖。
nbar application application-name protocol { http | tcp | udp }
(3) (可選)配置自定義NBAR規則的描述信息。
description text
缺省情況下,自定義NBAR規則的描述信息為User defined application。
(4) 配置自定義NBAR規則的特征。
signature [ signature-id ] [ field field-name ] [ offset offset-value ] { hex hex-vector | regex regex-pattern | string string }
缺省情況下,未配置自定義NBAR規則的特征。
(5) (可選)配置自定義NBAR規則匹配的目的IP地址網段。
destination ip ipv4-address [ mask-length ]
缺省情況下,NBAR規則匹配所有目的IP地址網段。
(6) (可選)配置自定義NBAR規則匹配的源IP地址網段。
source ip ipv4-address [ mask-length ]
缺省情況下,NBAR規則匹配所有源IP地址網段。
(7) (可選)配置NBAR規則的匹配方向。
direction { to-client | to-server }
缺省情況下,NBAR規則的匹配方向是雙向的。
(8) (可選)配置自定義NBAR規則匹配的端口號。
service-port { port-num | range start-port end-port }
缺省情況下,NBAR規則匹配所有端口號。
(9) (可選)配置NBAR規則的最大檢測字節數。
apr set detectlen bytes
缺省情況下,未配置NBAR規則的最大檢測字節數。
(10) (可選)禁用該自定義NBAR規則。
disable
缺省情況下,自定義的NBAR規則處於生效狀態。
(11) 激活自定義NBAR規則
inspect activate
有關inspect activate命令的詳細介紹請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。
(1) 進入係統視圖。
system-view
(2) 創建應用組,並進入應用組視圖。
app-group group-name
(3) (可選)為自定義的應用組設置描述信息。
description text
缺省情況下,自定義應用組的描述信息為“User-defined application group”。
(4) 向應用組中添加應用。請至少選擇其中一項進行配置。
¡ 在應用組中複製另一個應用組中的所有應用。
copy app-group group-name
可以通過多次執行本命令複製多個應用組裏的應用。
¡ 在應用組中添加應用。
include application application-name
缺省情況下,應用組中不包含應用。
開啟本功能後,設備將不區分接口,對所有收到或者發送的報文的數目、速率按照應用協議進行統計。管理員可到Web界麵中的“概覽 > 流量監控”頁麵查看相關統計信息。
本功能與接口下的應用統計功能(通過application statistics enable命令配置)相互獨立,互不影響。
當係統出現內存告警時,可以通過關閉本功能降低對內存的消耗。
(1) 進入係統視圖。
system-view
(2) 開啟全局應用統計功能。
application global statistics enable
缺省情況下,全局應用統計功能處於關閉狀態。
在接口上開啟應用統計功能之後,設備能夠對接口上收到或者發送的報文的數目、速率按照應用層協議分別進行統計,生成的統計信息可以通過display application statistics命令查看。
接口的應用統計功能會消耗大量係統內存。當係統出現內存告警時,請關閉接口的應用統計功能。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 開啟接口的應用統計功能。
application statistics enable [ inbound | outbound ]
缺省情況下,接口的應用統計功能處於關閉狀態。
如果不指定任何參數,則表示同時開啟接口出方向和入方向上的應用統計功能。
請勿刪除設備存儲介質根目錄下的/dpi/文件夾,否則設備升級或回滾特征庫會失敗。
當係統內存使用狀態處於告警門限狀態時,請勿進行特征庫升級或回滾,否則易造成設備特征庫升級或回滾失敗,進而影響NBAR業務的正常運行。有關內存告警門限狀態的詳細介紹請參見“基礎配置指導”中的“設備管理”。
同一時刻隻能對一個特征庫進行升級,如果當前已有其他特征庫正在升級,請稍後再試。
如果設備可以訪問官方網站上的特征庫服務專區,可以采用定期自動在線升級方式來對設備上的APR特征庫進行升級。
該方式下,需要確保設備能通過靜態或動態域名解析方式獲得官方網站的IP地址,並與之路由可達,否則設備升級APR特征庫會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
(1) 進入係統視圖。
system-view
(2) 開啟定期自動在線升級APR特征庫功能,並進入自動在線升級配置視圖。
apr signature auto-update
缺省情況下,定期自動在線升級APR特征庫功能處於關閉狀態。
(3) 配置定期自動在線升級APR特征庫的時間。
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
缺省情況下,設備在每天02:01:00至04:01:00之間自動升級APR特征庫。
(4) (可選)配置定期自動在線升級APR特征庫時覆蓋當前的特征文件。
override-current
缺省情況下,定期自動在線升級APR特征庫時不會覆蓋當前的特征庫文件,而是同時備份當前的特征庫文件。
當管理員發現官方網站的特征庫服務專區中的APR特征有更新時,可以選擇立即自動在線升級方式來及時升級APR特征庫版本。
該方式下,需要確保設備能通過靜態或動態域名解析方式獲得官方網站的IP地址,並與之路由可達,否則設備升級APR特征庫會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
(1) 進入係統視圖。
system-view
(2) 立即自動在線升級APR特征庫。
apr signature auto-update-now
如果設備不能訪問官方網站上的特征庫服務專區,管理員可以采用如下幾種方式手動離線升級APR特征庫版本。
· 本地升級:使用本地保存的特征庫文件升級係統上的APR特征庫版本。
· FTP/TFTP升級:通過FTP或TFTP方式下載遠程服務器上保存的特征庫文件,並升級係統上的APR特征庫版本。
使用本地升級方式離線升級APR特征庫版本時,特征庫文件隻能存儲在當前主控板上,否則設備升級特征庫會失敗。(獨立運行模式)
使用本地升級方式離線升級APR特征庫版本時,特征庫文件隻能存儲在當前全局主用主控板上,否則設備升級特征庫會失敗。(IRF模式)
(1) 進入係統視圖。
system-view
(2) 手動離線升級APR特征庫。
apr signature update [ override-current ] file-path
APR特征庫版本每次回滾前,設備都會備份當前版本。多次回滾上一版本的操作將會在當前版本和上一版本之間反複切換。例如當前APR特征庫版本是V2,上一版本是V1,第一次執行回滾到上一版本的操作後,特征庫替換成V1版本,再執行回滾上一版本的操作則特征庫重新變為V2版本。
升級APR特征庫時,如果沒有備份當前特征庫文件,則回滾APR特征庫到上一版本會失敗。
(1) 進入係統視圖。
system-view
(2) 回滾APR特征庫。
apr signature rollback { factory | last }
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後APR的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除APR的統計信息。
表1-1 APR顯示和維護
|
操作 |
命令 |
|
顯示應用組信息 |
display app-group [ name group-name ] |
|
顯示應用信息 |
display application [ name application-name | pre-defined | user-defined ] |
|
顯示接口上的應用統計信息 |
(獨立運行模式) display application statistics [ direction { inbound | outbound } | interface interface-type interface-number [ slot slot-number [ cpu cpu-number ] ] | name application-name ] * (IRF模式) display application statistics [ direction { inbound | outbound } | interface interface-type interface-number [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] | name application-name ] * |
|
按指定類型的統計排名顯示接口應用統計信息 |
(獨立運行模式) display application statistics top number { bps | bytes | packets | pps } interface interface-type interface-number [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display application statistics top number { bps | bytes | packets | pps } interface interface-type interface-number [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
顯示當前APR特征庫的版本信息 |
display apr signature library |
|
顯示預定義的端口映射信息 |
display port-mapping pre-defined |
|
顯示自定義的端口映射信息 |
display port-mapping user-defined [ application application-name | port port-number ] |
|
清除指定接口或所有接口的應用統計信息 |
reset application statistics [ interface interface-type interface-number ] |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
