- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
15-APR命令
本章節下載: 15-APR命令 (351.19 KB)
目 錄
1.1.2 application statistics enable
1.1.4 apr signature auto-update
1.1.5 apr signature auto-update-now
1.1.9 description (application group view)
1.1.10 description (NBAR view)
1.1.16 display application statistics
1.1.17 display application statistics top
1.1.18 display apr signature information
1.1.19 display port-mapping pre-defined
1.1.20 display port-mapping user-defined
1.1.28 reset application statistics
app-group命令用來創建應用組,並進入應用組視圖。如果指定的應用組已經存在,則直接進入應用組視圖。
undo app-group命令用來刪除指定的應用組。
【命令】
app-group group-name
undo app-group group-name
【缺省情況】
不存在應用組。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
group-name:應用組的名稱,為1~63個字符的字符串,不區分大小寫,不允許為係統保留的“invalid”或“other”。
【使用指導】
係統中最多可以定義1000個應用組。
【舉例】
# 創建名稱為aaa的應用組,並進入應用組視圖。
<Sysname> system-view
[Sysname] app-group aaa
[Sysname-app-group-aaa]
【相關命令】
· copy app-group
· description
· include application
application statistics enable命令用來開啟接口指定方向上的應用統計功能。
undo application statistics enable命令用來關閉接口指定方向上的應用統計功能。
【命令】
application statistics enable [ inbound | outbound ]
undo application statistics enable [ inbound | outbound ]
【缺省情況】
接口入方向和出方向上的應用統計功能處於關閉狀態。
【視圖】
三層接口視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
inbound:在接口的入方向上開啟應用統計功能。
outbound:在接口的出方向上開啟應用統計功能。
【使用指導】
如果不指定任何參數,則表示同時開啟接口出方向和入方向上的應用統計功能。
在接口上開啟應用統計功能之後,設備能夠對接口上收到或者發送的報文的數目、速率按照應用協議分別進行統計,生成的統計信息可以通過display application statistics命令查看。
接口的應用統計功能會消耗大量係統內存。當係統出現內存告警時,請關閉接口的應用統計功能。
【舉例】
# 在接口GigabitEthernet1/0/1上開啟入方向應用統計功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] application statistics enable inbound
# 在接口GigabitEthernet1/0/2上開啟出方向應用統計功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/2
[Sysname-GigabitEthernet1/0/2] application statistics enable outbound
# 在接口GigabitEthernet1/0/3上開啟所有方向應用統計功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/3
[Sysname-GigabitEthernet1/0/3] application statistics enable
【相關命令】
· display application statistics
apr set detectlen命令用來配置NBAR規則的最大檢測字節數。
undo apr set detectlen命令用來恢複缺省情況。
【命令】
apr set detectlen bytes
undo apr set detectlen
【缺省情況】
不限製NBAR規則的最大檢測字節數。
【視圖】
NBAR規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
bytes:表示NBAR規則的最大檢測長度,取值範圍為0~4294967295,單位為字節。
【使用指導】
當設備識別出應用時,若不配置最大檢測字節數,設備將繼續檢測後續報文是否存在應用,這將對設備的性能產生影響;若配置最大檢測字節數,設備將從識別出應用的位置開始,判斷當前已檢測的字節長度是否超出配置的最大檢測字節數,若超出,則後續不進行檢測,若未超出,則繼續檢測後續報文。請管理員根據設備的實際情況配置此參數。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 為NBAR規則abcd配置最大檢測字節數為100000。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] apr set detectlen 100000
【相關命令】
· nbar application
apr signature auto-update命令用來開啟定期自動在線升級APR特征庫功能,並進入自動升級配置視圖。
undo apr signature auto-update命令用來關閉定期自動在線升級APR特征庫功能。
【命令】
apr signature auto-update
undo apr signature auto-update
【缺省情況】
定期自動在線升級APR特征庫功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
如果設備可以訪問H3C官方網站上的特征庫服務專區,可以采用定期自動在線升級方式來對設備上的APR特征庫進行升級。
【舉例】
# 開啟定期自動在線升級APR特征庫功能,並進入自動升級配置視圖。
<Sysname> system-view
[Sysname] apr signature auto-update
[Sysname-apr-autoupdate]
【相關命令】
· update schedule
· override-current
apr signature auto-update-now命令用來立即自動在線升級APR特征庫。
【命令】
apr signature auto-update-now
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
執行此命令後,將立即自動在線升級設備上的APR特征庫,且會備份當前的APR特征庫文件。此命令的生效與否,與是否開啟了定期自動在線升級APR特征庫功能無關。
當管理員發現H3C官方網站上的特征庫服務專區中的APR特征有更新時,可以選擇立即自動在線升級方式來及時升級APR特征庫版本。
【舉例】
# 立即自動升級APR特征庫。
<Sysname> system-view
[Sysname] apr signature auto-update-now
apr signature rollback命令用來回滾APR特征庫版本。
【命令】
apr signature rollback { factory | last }
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
factory:表示把APR特征庫回滾到出廠版本。
last:表示把APR特征庫回滾到上一版本。
【使用指導】
設備使用當前APR特征庫版本進行識別應用時,如果管理員發現設備識別應用的誤報率較高或出現異常情況,則可以對當前APR特征庫版本進行回滾。
APR特征庫版本每次回滾前,設備都會備份當前版本。多次回滾上一版本將會在當前版本和上一版本之間反複切換。例如當前APR特征庫版本是V2,上一版本是V1,第一次執行回滾到上一版本的操作後,特征庫替換成V1版本,再執行回滾上一版本的操作則特征庫重新變為V2版本。
升級APR特征庫時,如果沒有備份當前特征庫文件,則回滾APR特征庫到上一版本會失敗。
【舉例】
# 配置APR特征庫回滾到上一版本。
<Sysname> system-view
[Sysname] apr signature rollback last
apr signature update命令用來手動離線升級APR特征庫。
【命令】
apr signature update [ override-current ] file-path
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
override-current:表示覆蓋當前版本的特征庫文件。如果不指定本參數,則表示當前特征庫在升級之後作為備份特征庫保存在設備上。
file-path:指定特征庫文件的路徑,為1~255個字符的字符串。
【使用指導】
如果設備不能訪問H3C官方網站上的特征庫服務專區,管理員可以采用如下幾種方式手動離線升級APR特征庫版本。
· 本地升級:使用本地保存的特征庫文件升級係統上的APR特征庫版本。特征庫文件隻能存儲在當前主用設備上,否則設備升級特征庫會失敗。
· FTP/TFTP升級:通過FTP或TFTP方式下載遠程服務器上保存的特征庫文件,並升級係統上的APR特征庫版本。
參數file-path的取值與手動離線升級的操作方式有關。本地升級時參數file-path取值請參見表1-1;FTP/TFTP升級時參數file-path取值請參見表1-2。
|
升級場景 |
參數file-path取值 |
說明 |
|
特征庫文件的存儲位置與當前工作路徑一致 |
filename |
可以執行pwd命令查看當前工作路徑 有關pwd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
|
特征庫文件的存儲位置與當前工作路徑不一致,且在相同存儲介質上 |
filename |
需要先執行cd命令將工作路徑切換至特征庫文件所在目錄下 有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
|
特征庫文件的存儲位置與當前工作路徑不在相同存儲介質上 |
path/ filename |
需要先執行cd命令將工作路徑切換至特征庫文件所在存儲介質的根目錄下,再指定特征庫文件的相對路徑 有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
表1-2 FTP/TFTP升級時參數file-path取值說明表
|
升級場景 |
參數file-path取值 |
說明 |
|
特征庫文件存儲在開啟FTP服務的遠程服務器上 |
ftp://username:password@server/filename |
username為登錄FTP服務器的用戶名,password為登錄FTP服務器的密碼,server為FTP服務器的IP地址或主機名 當FTP的用戶名和密碼中使用了“:”、“@”和“/”三種特殊字符時,需要將這三種特殊字符替換為其對應的轉義字符。“:”、“@”和“/”三種特殊字符對應的轉義字符分別為“%3A或%3a”、“%40”和“%2F或%2f” |
|
特征庫文件存儲在開啟TFTP服務的遠程服務器上 |
tftp://server/filename |
server為TFTP服務器的IP地址或主機名 |
當采用FTP/TFTP方式升級特征庫時,如果指定的是服務器的主機名,則需要確保設備能通過靜態或動態域名解析方式獲得FTP/TFTP服務器的IP地址,並與之路由可達。否則設備升級特征庫會失敗。有關域名解析功能的詳細配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
【舉例】
# 配置手動離線升級APR特征庫,且采用TFTP方式,APR特征庫文件的遠程路徑為tftp://192.168.0.10/apr-1.0.2-en.dat。
<Sysname> system-view
[Sysname] apr signature update tftp://192.168.0.10/apr-1.0.2-en.dat
# 配置手動離線升級APR特征庫,且采用FTP方式,APR特征庫文件的遠程路徑為ftp://192.168.0.10/apr-1.0.2-en.dat,用戶名為user:123,密碼為user@abc/123。
<Sysname> system-view
[Sysname] apr signature update ftp://user%3A123:user%40abc%[email protected]/apr-1.0.2-en.dat
# 配置手動離線升級APR特征庫,且采用本地方式,APR特征庫文件的本地路徑為cfa0:/apr-1.0.23-en.dat,且當前工作路徑為cfa0:。
<Sysname> system-view
[Sysname] apr signature update apr-1.0.23-en.dat
# 配置手動離線升級APR特征庫,且采用本地方式,APR特征庫文件的本地路徑為cfa0:/dpi/apr-1.0.23-en.dat,且當前工作路徑為cfa0:。
<Sysname> cd dpi
<Sysname> system-view
[Sysname] apr signature update apr-1.0.23-en.dat
# 配置手動離線升級APR特征庫,且采用本地方式,APR特征庫文件的本地路徑為cfb0:/dpi/apr-1.0.23-en.dat,當前工作路徑為cfa0:。
<Sysname> cd cfb0:/
<Sysname> system-view
[Sysname] apr signature update dpi/apr-1.0.23-en.dat
copy app-group命令用來在應用組中複製另一個應用組中的所有應用。
【命令】
copy app-group group-name
【視圖】
應用組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
group-name:要複製應用組的名稱,為1~63個字符的字符串,不區分大小寫,不允許為係統保留的“invalid”和“other”。
【使用指導】
可以通過多次執行本命令複製多個應用組裏的應用。
【舉例】
# 在應用組abc中複製應用組bcd中的所有應用。
<Sysname> system-view
[Sysname] app-group abc
[Sysname-app-group-abc] copy app-group bcd
【相關命令】
· app-group
· include application
description命令用來為自定義的應用組設置描述信息。
undo description命令用來恢複缺省情況。
【命令】
description text
undo description
【缺省情況】
自定義應用組的描述信息為“User-defined application group”。
【視圖】
應用組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
text:應用組的描述信息,為1~127個字符的字符串,當有空格時,必須用雙引號把所有字符串引起來,區分大小寫。
【使用指導】
通過合理編寫描述信息,便於管理員快速理解和識別該應用組的作用,有利於後期維護。
【舉例】
# 配置名稱為aaa的應用組描述信息為“User defined aaa group”。
<Sysname> system-view
[Sysname] app-group aaa
[Sysname-app-group-aaa] description "User defined aaa group"
【相關命令】
· app-group
description命令用來配置自定義NBAR規則的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description text
undo description
【缺省情況】
自定義NBAR規則的描述信息為“User defined application”。
【視圖】
NBAR規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
text:NBAR規則的描述信息,為1~127個字符的字符串,區分大小寫。
【使用指導】
通過合理編寫描述信息,便於管理員快速理解和識別本條NBAR規則的作用,有利於後期維護。
【舉例】
# 配置自定義NBAR規則abcd的描述信息為“A user-defined application based on HTTP”。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] description "A user-defined application based on HTTP"
【相關命令】
· nbar application
destination命令用來配置自定義NBAR規則匹配的目的IP地址網段。
undo destination命令用來恢複缺省情況。
【命令】
destination ip ipv4-address [ mask-length ]
undo destination
【缺省情況】
NBAR規則匹配所有目的IP地址網段。
【視圖】
NBAR規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip ipv4-address:指定匹配的目的IPv4地址或網段,為點分十進製格式。
mask-length:子網掩碼長度,取值範圍為0~32。
【使用指導】
在同一個NBAR規則視圖下多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置NBAR規則abcd匹配的目的IP地址網段為192.168.1.0/24。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] destination ip 192.168.1.0 24
【相關命令】
· nbar application
direction命令用來配置NBAR規則的匹配方向。
undo direction命令用來恢複缺省情況。
【命令】
direction { to-client | to-server }
undo direction
【缺省情況】
NBAR規則的匹配方向是雙向的。
【視圖】
NBAR規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
to-client:表示對Server訪問Client的流量進行基於NBAR規則的應用識別。
to-server:表示對Client訪問Server的流量進行基於NBAR規則的應用識別。
【使用指導】
在同一個NBAR規則視圖下多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置NBAR規則abcd的匹配方向為Client訪問Server。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] direction to-server
【相關命令】
· nbar application
disable命令用來禁用該自定義NBAR規則。
undo disable命令用來恢複缺省情況。
【命令】
disable
undo disable
【缺省情況】
自定義的NBAR規則處於生效狀態。
【視圖】
NBAR規則視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
當在某些網絡環境中,如果一些NBAR規則暫時不會被用到,而且又不想將其從設備上刪除時,可以執行本命令來禁用這些規則。
【舉例】
# 禁用自定義NBAR規則abcd。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] disable
【相關命令】
· nbar application
display app-group命令用來顯示應用組信息。
【命令】
display app-group [ name group-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
name group-name:顯示指定名稱的應用組信息。group-name表示應用組的名稱,不區分大小寫,為1~63個字符的字符串,不區分大小寫,不允許為係統保留的“invalid”和“other”。
【舉例】
# 顯示係統所有應用組的信息。
<Sysname> display app-group
User-defined count:3
Group Name Type Group ID
6767 User-defined 0x00800002
er User-defined 0x00800001
hbc User-defined 0x00800003
# 顯示自定義應用組名稱為er的應用組的信息。
<Sysname> display app-group name er
Group English name: er
Group Chinese name: er
Group ID: 0x00800001
Type: User-defined
Application count: 2
Include application list:
Application name Type App ID
114Travel Pre-defined 0x0000542c
banc User-defined 0x00800001
pre-defined app-group count:0
Include pre-defined app-group list:
App-group name Type App-group ID
表1-3 display app-group命令顯示信息描述表
|
字段 |
描述 |
|
User-defined count |
自定義應用組的個數 |
|
Group Name |
自定義應用組的名稱 |
|
Group English name |
應用組的英文名稱 |
|
Group Chinese name |
應用組的中文名稱 |
|
Group ID |
應用組的ID號 |
|
Type |
類型 |
|
Application count |
應用組下包含的應用的個數 |
|
Include application list |
包含的應用列表 |
|
Application name |
應用組中添加應用名 |
|
App ID |
應用組中添加應用的ID號 |
|
pre-defined app-group count |
應用組中包含的預定義應用組的個數(暫不支持) |
|
Include pre-defined app-group list |
包含的預定義應用組列表(暫不支持) |
|
App-group name |
應用組中添加的預定義應用組名(暫不支持) |
|
App-group ID |
應用組中添加的預定義應用組的ID號(暫不支持) |
【相關命令】
· app-group
· include
display application命令用來顯示應用信息。
【命令】
display application [ name application-name | pre-defined | user-defined ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
name application-name:顯示指定名稱的應用信息。application-name表示應用的名稱,為1~63個字符的字符串,不區分大小寫,不允許為係統保留的“invalid”和“other”。
pre-defined:顯示係統預定義的應用列表。
user-defined:顯示用戶自定義的應用列表。
【使用指導】
若不指定任何參數,則表示顯示所有的應用信息。
【舉例】
# 顯示係統預定義的應用列表。
<Sysname> display application pre-defined
Pre-defined count: 817
Application name Type App ID Tunnel Encrypted DetectLen
12530WAP_Application_We Pre-defined 0x000003ac No No 0
b_HTTP
12580_Application_HTTP Pre-defined 0x00000312 No No 0
126_Web_Email_Download_ Pre-defined 0x000002b7 No No 0
HTTP
126_Web_Email_Login_HTT Pre-defined 0x000002b3 No No 0
P
126_Web_Email_Read_Emai Pre-defined 0x000002b4 No No 0
l_HTTP
126_Web_Email_Receive_E Pre-defined 0x000002b6 No No 0
mail_HTTP
126_Web_Email_Send_Emai Pre-defined 0x000002b5 No No 0
l_HTTP
126_Web_Email_Upload_HT Pre-defined 0x000002b8 No No 0
TP
139_mobile_weibo_commen Pre-defined 0x000001da No No 0
t_HTTP
139_mobile_weibo_login_ Pre-defined 0x000001d9 No No 0
HTTP
139_mobile_weibo_login_ Pre-defined 0x00000444 No No 0
---- More ----
# 顯示用戶自定義的應用列表。
<Sysname> display application user-defined
User-defined count: 4
Application name Type App ID Tunnel Encrypted DetectLen
def User-defined 0x00800002 No No 0
dfer User-defined 0x00800003 No No 0
efer User-defined 0x00800004 No No 0
fdfad User-defined 0x00800001 No No 0
# 顯示所有應用列表。
<Sysname> display application
Total count: 821
Pre-defined count: 817
User-defined count: 4
Application name Type App ID Tunnel Encrypted DetectLen
12530WAP_Application_We Pre-defined 0x000003ac No No 0
b_HTTP
12580_Application_HTTP Pre-defined 0x00000312 No No 0
126_Web_Email_Download_ Pre-defined 0x000002b7 No No 0
HTTP
126_Web_Email_Login_HTT Pre-defined 0x000002b3 No No 0
P
126_Web_Email_Read_Emai Pre-defined 0x000002b4 No No 0
l_HTTP
126_Web_Email_Receive_E Pre-defined 0x000002b6 No No 0
mail_HTTP
126_Web_Email_Send_Emai Pre-defined 0x000002b5 No No 0
l_HTTP
126_Web_Email_Upload_HT Pre-defined 0x000002b8 No No 0
TP
139_mobile_weibo_commen Pre-defined 0x000001da No No 0
t_HTTP
139_mobile_weibo_login_ Pre-defined 0x000001d9 No No 0
HTTP
139_mobile_weibo_login_ Pre-defined 0x00000444 No No 0
HTTPS
139Mail_Login_HTTP Pre-defined 0x000001cb No No 0
139Mail_Login_HTTPS Pre-defined 0x0000038c No No 0
139Mail_Login_TCP Pre-defined 0x0000044b No No 0
163TV_HTTP Pre-defined 0x000004c3 No No 0
17173_Application_HTTP Pre-defined 0x00000350 No No 0
178Game_Application_HTT Pre-defined 0x00000222 No No 0
P
17K_fiction_Application Pre-defined 0x00000330 No No 0
_HTTP
19lou_Login_http_stream Pre-defined 0x000002c0 No No 0
19lou_Publish_Or_Reply_ Pre-defined 0x000002c2 No No 0
http_stream1
19lou_Publish_Or_Reply_ Pre-defined 0x000002c3 No No 0
http_stream2
19lou_View_http_stream Pre-defined 0x000002c1 No No 0
1ting_Music_Application Pre-defined 0x000001bc No No 0
_Mobile_HTTP
21CN_Email_Read_HTTP Pre-defined 0x000003fb No No 0
21CN_Email_Send_HTTP Pre-defined 0x000003fc No No 0
---- More ----
# 顯示名稱為telnet的應用信息。
<Sysname> display application name telnet
Application English Name: telnet
Application Chinese Name: telnet
Application ID: 0x0000000e
Tunnel: No
Encrypted: No
表1-4 display application命令顯示信息描述表
|
字段 |
描述 |
|
Total count |
應用總數 |
|
Pre-defined count |
預定義應用總數 |
|
User-defined count |
自定義應用總數 |
|
Application Name |
應用名 |
|
Type |
應用的類型,取值包括: · Pre-defined:係統預定義 · User-defined:用戶自定義 |
|
App ID/Application ID |
應用協議編號 |
|
Tunnel |
應用是否為隧道類型,例如L2TP為一個隧道類型的應用 |
|
Encrypted |
應用是否為加密類型,例如HTTPS為一個加密類型的應用 |
|
DetectLen |
檢測長度,分為預定義的檢測長度和自定義的檢測長度 |
|
Application English Name |
應用的英文名稱 |
|
Application Chinese Name |
應用的中文名稱 |
【相關命令】
· app-group
· include
display application statistics命令用來顯示接口上的應用統計信息。
【命令】
display application statistics [ direction { inbound | outbound } | interface interface-type interface-number [ slot slot-number ] ] | name application-name ] *
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
direction:顯示指定方向的應用統計信息。
inbound:顯示接口入方向的應用統計信息。
outbound:顯示接口出方向的應用統計信息。
interface interface-type interface-number:顯示指定接口的應用統計信息。interface-type interface-number表示要顯示統計信息的接口類型和接口編號。
slot slot-number:顯示指定成員設備上全局接口的應用統計信息。slot-number表示設備在IRF中的成員編號。該參數僅在指定顯示全局接口(例如VLAN接口、Tunnel接口)時可見。
name application-name:顯示指定名稱的應用統計信息。application-name表示應用的名稱,為1~63個字符的字符串,不區分大小寫,不允許為係統保留的“invalid”和“other”。
【使用指導】
如果不指定任何參數,則表示顯示所有接口的應用統計信息。
隻有在接口應用統計功能開啟的情況下,接口才能產生相應的應用統計信息。因此,使用本命令查看接口統計信息之前,請確保接口的應用統計功能處於開啟狀態。
可以按應用名稱、接口出方向、接口入方向、接口名稱分別顯示相應的應用統計信息,也可以通過指定多個參數,顯示同時符合多個參數的應用統計信息。
【舉例】
# 顯示接口上的所有應用統計信息。
<Sysname> display application statistics
Interface : GigabitEthernet1/0/1
Application In/Out Packets Bytes PPS BPS
appaaaaasg IN 190023111111111111 252334402111111111 2342222222 3411222222
OUT 170034 270011351 3211 451134
app2 IN 2195 18560000 300 654222
OUT 21986666666 655555555123123101 55551 5454125111
aPP3 IN 2195 17560000 300 45161
OUT 21986666666 5555555551231231 55551 5454125111
Interface : GigabitEthernet1/0/2
Application In/Out Packets Bytes PPS BPS
app4 IN 1900231111111 252334402111 2342222222 3411222222
OUT 170034 270011351 3211 451134
app2 IN 2195 18560000 300 654222
OUT 21986666666 65555555512 55551 45412
App123456981200 IN 2195 17560000 300 45161
123456789012300 OUT 21986666666 5555555551231231 55551 54541251
11111111111100
01234567890100
0123456
# 顯示接口Vlan-interface1上所有應用的統計信息。
<Sysname> display application statistics interface vlan-interface 1
Interface : Vlan-interface1
Application In/Out Packets Bytes PPS BPS
appaaaaasg IN 190023111111111111 252334402111111111 2342222222 3411222222
OUT 170034 270011351 3211 451134
app2 IN 2195 18560000 300 654222
OUT 21986666666 655555555123123101 55551 5454125111
APP3 IN 2195 17560000 300 45161
OUT 21986666666 5555555551231231 55551 5454125111
# 顯示接口GigabitEthernet1/0/1上所有的入方向應用統計信息。
<Sysname> display application statistics interface gigabitethernet 1/0/1 direction inbound
Interface : GigabitEthernet1/0/1
Application In/Out Packets Bytes PPS BPS
appaaaaasg IN 190023111111111111 252334402111111111 2342222222 3411222222
app2 IN 2195 18560000 300 654222
APP3 IN 2195 17560000 300 45161
# 顯示接口GigabitEthernet1/0/1上所有的出方向應用統計信息。
<Sysname> display application statistics interface gigabitethernet 1/0/1 direction outbound
Interface : GigabitEthernet1/0/1
Application In/Out Packets Bytes PPS BPS
appaaaaasg OUT 190023111111111111 252334402111111111 2342222222 3411222222
app2 OUT 2195 18560000 300 654222
APP3 OUT 2195 17560000 300 45161
# 顯示應用名稱為app1的統計信息。
<Sysname> display application statistics name app1
Interface : GigabitEthernet1/0/1
Application In/Out Packets Bytes PPS BPS
app1 IN 190023111111111111 252334402111111111 2342222222 3411222222
OUT 170034 270011351 3211 451134
Interface : GigabitEthernet1/0/2
Application In/Out Packets Bytes PPS BPS
app1 IN 190023111111111111 252334402111111111 2342222222 3411222222
OUT 170034 270011351 3211 451134
Interface : GigabitEthernet1/0/3
Application In/Out Packets Bytes PPS BPS
app1 IN 190023111111111111 252334402111111111 2342222222 3411222222
表1-5 display application statistics命令顯示信息描述表
|
字段 |
描述 |
|
Interface |
接口的名稱 |
|
Application |
應用的名稱 |
|
In/Out |
入方向/出方向 |
|
Packets |
接口上接收或發送的報文個數 |
|
Bytes |
接口上接收或發送的字節數 |
|
PPS |
每秒報文數 |
|
BPS |
每秒比特數 |
【相關命令】
· app-group
· application statistics enable
display application statistics top命令用來按指定類型的統計排名顯示接口應用統計信息。
【命令】
display application statistics top number { bps | bytes | packets | pps } interface interface-type interface-number [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
number:顯示排名前number的應用統計信息,取值範圍為0~4294967295。
bytes:顯示接口字節數為前number的應用統計信息。
bps:顯示接口比特速率統計為前number的應用統計信息。
packets:顯示接口包數為前number的應用統計信息。
pps:顯示接口包速率統計為前number的應用統計信息。
interface interface-type interface-number:顯示指定接口的應用統計信息。interface-type interface-number指定要顯示統計信息的接口類型和接口編號。
slot slot-number:顯示指定成員設備上全局接口的應用統計信息。slot-number表示設備在IRF中的成員編號。該參數僅在指定顯示全局接口(例如VLAN接口、Tunnel接口)時可見。
【使用指導】
隻有在接口應用統計功能開啟的情況下,接口才能產生相應的應用統計信息。因此,使用本命令查看接口統計信息之前,請確保接口的應用統計功能處於開啟狀態。
係統以接口上某一個應用的出方向和入方向的統計值之和為依據對應用進行排名。統計值相同的應用,再按照應用名稱的字母順序排列。
【舉例】
# 顯示接口GigabitEthernet1/0/1上包數為前3的應用統計信息。
<Sysname> display application statistics top 3 packets interface gigabitethernet 1/0/1
Interface : GigabitEthernet1/0/1
Application In/Out Packets Bytes PPS BPS
appaaaaasg IN 190023111111111111 252334402111111111 2342222222 3411222222
OUT 170034 270011351 3211 451134
app2 IN 2196 18560000 300 654222
OUT 21986666666 655555555123123101 55551 5454125111
aPP3 IN 2195 17560000 300 45161
OUT 21986666666 5555555551231231 55551 5454125111
# 顯示接口GigabitEthernet1/0/1字節數為前3的應用統計信息。
<Sysname> display application statistics top 3 bytes interface gigabitethernet 1/0/1
Interface : GigabitEthernet1/0/1
Application In/Out Packets Bytes PPS BPS
appaaaaasg IN 190023111111111111 252334402111111111 2342222222 3411222222
OUT 170034 270011351 3211 451134
app2 IN 2196 18560000 300 654222
OUT 21986666666 155555555123123101 55551 5454125111
aPP3 IN 2195 17560000 300 45161
OUT 21986666666 5555555551231231 55551 5454125111
# 顯示接口GigabitEthernet1/0/1包速率為前3的應用統計信息。
<Sysname> display application statistics top 3 pps interface gigabitethernet 1/0/1
Interface : GigabitEthernet1/0/1
Application In/Out Packets Bytes PPS BPS
appaaaaasg IN 190023111111111111 252334402111111111 2342222222 3411222222
OUT 170034 270011351 3211 451134
app2 IN 2196 18560000 305 654222
OUT 21986666666 655555555123123101 55551 5454125111
aPP3 IN 2195 17560000 300 45161
OUT 21986666666 5555555551231231 55551 5454125111
# 顯示接口GigabitEthernet1/0/1比特速率為前3的應用統計信息。
<Sysname> display application statistics top 3 bps interface gigabitethernet 1/0/1
Interface : GigabitEthernet1/0/1
Application In/Out Packets Bytes PPS BPS
appaaaaasg IN 190023111111111111 252334402111111111 2342222222 9411222222
OUT 170034 270011351 3211 451134
app2 IN 2196 18560000 300 654222
OUT 21986666666 155555555123123101 55551 5454125111
aPP3 IN 2195 17560000 300 45161
OUT 21986666666 5555555551231231 55551 5454125111
表1-6 display application statistics top命令顯示信息描述表
|
字段 |
描述 |
|
Interface |
接口的名稱 |
|
Application |
應用的名稱 |
|
In/Out |
入方向/出方向 |
|
Packets |
接口上接收或發送的報文個數 |
|
Bytes |
接口上接收或發送的字節數 |
|
PPS |
每秒報文數 |
|
BPS |
每秒比特數 |
【相關命令】
· app-group
· application statistics enable
display apr signature information命令用來顯示當前APR特征庫的版本信息。
【命令】
display apr signature information
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示當前特征庫版本信息
<Sysname> display apr signature information
APR signature library information:
Type SigVersion ReleaseTime Size
Current 1.0.49 Tue Sep 13 06:54:01 2016 659744
Last 1.0.52 Wed Nov 02 07:14:03 2016 702640
Factory 1.0.0 Fri Dec 31 16:00:00 1999 77040
表1-7 display apr signature information命令顯示信息描述表
|
字段 |
描述 |
|
Type |
APR特征庫版本,包括如下取值: · Current:當前版本 · Last:上一版本 · Factory:出廠版本 |
|
SigVersion |
APR特征庫版本號 |
|
ReleaseTime |
APR特征庫發布時間 |
|
Size |
APR特征庫大小,單位是Bytes |
display port-mapping pre-defined命令用來顯示預定義的端口映射信息。
【命令】
display port-mapping pre-defined
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示預定義的端口映射信息。
<Sysname> display port-mapping pre-defined
Application Protocol Port
tacacs-ds TCP 65
UDP 65
net-bios-dgm TCP 137, 138, 139
UDP 137, 138, 139
ftp TCP 21
tftp UDP 69
表1-8 display port-mapping pre-defined命令顯示信息描述表
|
字段 |
描述 |
|
Application |
進行端口映射的應用層協議 |
|
Protocol |
傳輸層協議類型 |
|
Port |
應用層協議的端口號 |
【相關命令】
· display port-mapping
· port-mapping
display port-mapping user-defined命令用來顯示自定義的端口映射信息。
【命令】
display port-mapping user-defined [ application application-name | port port-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
application application-name:顯示指定端口映射的應用協議。application-name表示應用協議名稱,為1~63個字符的字符串,不區分大小寫,不允許為係統保留的“invalid”和“other”。該應用層協議名稱必須標準且能夠被設備識別。
port port-number:顯示指定應用層協議的端口。port-number表示端口號,取值範圍為0~65535。
【使用指導】
若不指定任何參數,則表示顯示所有的用戶自定義端口映射信息。
【舉例】
# 顯示所有自定義的端口映射信息。
<Sysname> display port-mapping user-defined
Application Port Protocol Match Type Match Condition
-------------------------------------------------------------
FTP 21 TCP --- ---
FTP 21 UDP IPv4 host 10.10.10.1(vpn1)
FTP 2121 UDP IPv4 host [11.10.10.1, 11.10.10.10](vpn2)
FTP 21 UDP IPv4 subnet 10.10.10.1/24
FTP 21 SCTP IPv6 host 2000:fdb8::1:00ab:853c:39ab
HTTP 899 TCP IPV4 ACL 2002
HTTP 999 SCTP IPv6 ACL 2002
表1-9 display port-mapping user-defined命令顯示信息描述表
|
字段 |
描述 |
|
Application |
進行端口映射的應用層協議 |
|
Port |
應用層協議映射的端口號 |
|
Protocol |
傳輸層協議類型 |
|
Match Type |
匹配方式,包括以下類型: · ---:表示通配,即未指定匹配類型和匹配條件,所有報文都可以進行匹配 · IPv4 host:表示基於報文的目的IPv4地址進行匹配 · IPv6 host:表示基於報文的目的IPv6地址進行匹配 · IPv4 subnet:表示基於報文的目的IPv4網段進行匹配 · IPv6 subnet:表示基於報文的目的IPv6網段進行匹配 · IPv4 ACL:表示基於IPv4 ACL進行匹配 · IPv6 ACL:表示基於IPv6 ACL進行匹配 |
|
Match Condition |
匹配條件,包括以下幾種情況: · 對於IPv4 host/IPv6 host匹配方式,顯示為主機報文的目的IP地址 · 對於IPv4 subnet/IPv6 subnet匹配方式,顯示為主機報文的目的網段地址 · 對於IPv4 ACL/IPv6 ACL匹配方式,顯示為ACL編號 對於host和subnet類型的端口映射配置,如果指定了主機所屬的VPN,則還會顯示其所屬的VPN多實例名稱 |
include application命令用來在應用組中添加應用。
undo include application命令用來在應用組中刪除應用。
【命令】
include application application-name
undo include application application-name
【缺省情況】
應用組中不包含應用。
【視圖】
應用組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
application-name:向應用組中添加的應用的名稱,為1~63個字符的字符串,不區分大小寫,不允許為係統保留的invalid或other。
【使用指導】
可以通過多次執行本命令為一個應用組中添加多個預定義應用和自定義應用,每個組裏最多可以包含1000個自定義應用,預定義應用個數不限製。
向應用組中添加應用時,如果對應的應用不存在就會創建這個應用,但該應用的報文是否能被識別,取決於係統中是否定義了相應的識別規則,比如端口映射配置。
【舉例】
# 在應用組abc中增加應用HTTP和FTP。
<Sysname> system-view
[Sysname] app-group abc
[Sysname-app-group-abc] include application http
[Sysname-app-group-abc] include application ftp
【相關命令】
· app-group
· copy app-group
nbar application命令用來創建自定義NBAR規則,並進入NBAR規則視圖。如果指定的NBAR規則已經存在,則直接進入NBAR規則視圖。
undo nbar application命令用來刪除指定的自定義NBAR規則。
【命令】
nbar application application-name protocol { http | tcp | udp }
undo nbar application application-name
【缺省情況】
不存在自定義NBAR規則。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
application-name:指定自定義NBAR規則的名稱,為1~63個字符的字符串,不區分大小寫,不允許為係統保留的“invalid”、“other”和係統預定義應用的名稱。
http:表示該規則用於識別基於HTTP協議的報文。
tcp:表示該規則用於識別基於TCP協議的報文。
udp:表示該規則用於識別基於UDP協議的報文。
【使用指導】
如果APR特征庫中預定義的應用規則不能滿足用戶需求,可以使用本命令自定義NBAR規則,以及配置該應用規則的屬性和特征。但不能對預定義的NBAR規則進行刪除和修改。
一條自定義NBAR規則下可配置的匹配項包括如下內容:
· 匹配的目的IP地址網段
· 匹配的源IP地址網段
· 匹配的方向
· 匹配的端口號
· 匹配的特征
在一條自定義NBAR規則中匹配的特征可配置多條,但是除了匹配特征以外的其他四個匹配項分別隻能配置一個。
一條自定義NBAR規則中可以同時配置多個匹配項,且隻有所配置的匹配項都被匹配成功後,報文與該NBAR規則才能匹配成功。但是多個特征之間的匹配原則是或的關係。
【舉例】
# 創建名稱為abcd的自定義NBAR規則,並指定該規則用於識別基於HTTP協議的報文。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd]
override-current命令用來配置定期自動在線升級APR特征庫時覆蓋當前的特征文件。
undo override-current命令用來恢複缺省情況。
【命令】
override-current
undo override-current
【缺省情況】
定期自動在線升級APR特征庫時不會覆蓋當前的特征庫文件,而是同時備份當前的特征庫文件。
【視圖】
自動升級配置視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
可以通過開啟此功能解決升級APR特征庫時設備內存不足的問題。在設備剩餘內存充裕的情況下,不建議配置該功能,因為APR特征庫升級時,如果沒有備份當前特征庫文件,則不能回滾到上一版本。
【舉例】
# 配置定期自動在線升級APR特征庫時覆蓋當前的特征文件。
<Sysname> system-view
[Sysname] apr signature auto-update
[Sysname-apr-autoupdate] override-current
【相關命令】
· apr signature auto-update
port-mapping命令用來配置通用端口映射。
undo port-mapping命令用來刪除指定的通用端口映射。
【命令】
port-mapping application application-name port port-number [ protocol protocol-name ]
undo port-mapping application application-name port port-number [ protocol protocol-name ]
【缺省情況】
各應用層協議與其對應的知名端口號映射。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
application application-name:指定端口映射的應用層協議。application-name表示應用協議名稱。為1~63個字符的字符串,不區分大小寫,不允許為係統保留的“invalid”和“other”。該應用層協議名稱必須標準且能夠被設備識別。
port port-number:指定與應用層協議映射的端口。port-number表示端口號,取值範圍為0~65535。
protocol protocol-name:指定應用層協議使用的傳輸層協議名稱,其取值及含義如下:
· dccp:表示DCCP(Datagram Congestion Control Protocol,數據報擁塞控製協議)協議。
· sctp:表示SCTP(Stream Control Transmission Protocol,流控製傳輸協議)協議。
· tcp:表示TCP協議。
· udp:表示UDP協議。
· udp-lite:表示UDP-Lite協議。
【使用指導】
若不指定protocol參數,則表示所有傳輸層協議的指定報文均可被識別為指定應用層協議的報文。
如果報文的目的端口號與某個通用端口映射匹配,則該報文將被識別為相應的應用層協議報文。
對於端口號、傳輸層協議參數均相同但是應用層協議名稱不相同的兩個配置,新的配置會覆蓋原有的配置。
指定傳輸層協議名稱的映射優先級高於不指定傳輸層協議名稱的映射。
【舉例】
# 建立端口3456到FTP協議的通用端口映射。
<Sysname> system-view
[Sysname] port-mapping application ftp port 3456
【相關命令】
· display port-mapping user-defined
port-mapping acl命令用來配置基於ACL的主機端口映射。
undo port-mapping acl命令用來刪除指定的主機端口映射。
【命令】
port-mapping application application-name port port-number [ protocol protocol-name ] acl [ ipv6 ] acl-number
undo port-mapping application application-name port port-number [ protocol protocol-name ] acl [ ipv6 ] acl-number
【缺省情況】
各應用層協議與其對應的知名端口號映射。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
application application-name:指定端口映射的應用層協議。application-name表示應用層協議名稱。為1~63個字符的字符串,不區分大小寫,不允許為係統保留的“invalid”和“other”。該應用層協議名稱必須標準且能夠被設備識別。
port port-number:指定與應用層協議映射的端口。port-number表示端口號,取值範圍為0~65535。
protocol protocol-name:指定應用層協議使用的傳輸層協議名稱,其取值及含義如下:
· dccp:表示DCCP(Datagram Congestion Control Protocol,數據報擁塞控製協議)協議。
· sctp:表示SCTP(Stream Control Transmission Protocol,流控製傳輸協議)協議。
· tcp:表示TCP協議。
· udp:表示UDP協議。
· udp-lite:表示UDP-Lite協議。
acl [ ipv6 ] acl-number:ACL編號,取值範圍為2000~2999。如果指定ipv6,則表示IPv6 ACL,否則表示IPv4 ACL。即使指定的ACL中開啟統計功能後,此ACL也不會統計匹配此PBAR的流量。
【使用指導】
若不指定protocol參數,則表示所有傳輸層協議的指定報文均可被識別為指定應用層協議的報文。
對於匹配指定ACL的報文(其目的IP地址與ACL中某規則指定的源IP地址參數相匹配),如果報文的目的端口號與某個映射關係匹配,則該報文將被識別為對應的應用層協議報文。
對於端口號、傳輸層協議、ACL參數均相同但是應用層協議名稱不相同的兩個配置,新的配置會覆蓋原有的配置。
指定傳輸層協議名稱的映射優先級高於不指定傳輸層協議名稱的映射。
【舉例】
# 為匹配ACL 2000的報文,建立端口3456到FTP協議的映射。
<Sysname> system-view
[Sysname] port-mapping application ftp port 3456 acl 2000
【相關命令】
· display port-mapping user-defined
port-mapping host命令用來設置基於IP地址的主機端口映射。
undo port-mapping host命令用來刪除指定IP地址的主機端口映射。
【命令】
port-mapping application application-name port port-number [ protocol protocol-name ] host { ip | ipv6 } start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ]
undo port-mapping application application-name port port-number [ protocol protocol-name ] host { ip | ipv6 } start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ]
【缺省情況】
各應用層協議與其對應的知名端口號映射。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
application application-name:指定端口映射的應用層協議。application-name表示應用層協議名稱,為1~63個字符的字符串,不區分大小寫,不允許為係統保留的“invalid”和“other”。該應用層協議名稱必須標準且能夠被設備識別。
port port-number:指定與應用層協議映射的端口。port-number表示端口號,取值範圍為0~65535。
protocol protocol-name:指定應用層協議使用的傳輸層協議名稱,其取值及含義如下:
· dccp:表示DCCP(Datagram Congestion Control Protocol,數據報擁塞控製協議)協議。
· sctp:表示SCTP(Stream Control Transmission Protocol,流控製傳輸協議)協議。
· tcp:表示TCP協議。
· udp:表示UDP協議。
· udp-lite:表示UDP-Lite協議。
ip:指定基於IPv4地址的主機端口映射。
ipv6:指定基於IPv6地址的主機端口映射。
start-ip-address [ end-ip-address ]:表示IPv4地址範圍或IPv6地址範圍。start-ip-address表示起始IP地址,end-ip-address表示終止IP地址。如果僅配置start-ip-address,則表示單個主機;如果同時配置start-ip-address和end-ip-address,則表示位於start-ip-address和end-ip-address範圍內的所有主機,其中的end-ip-address必須大於等於start-ip-address。
vpn-instance vpn-instance-name:表示報文所屬的VPN。vpn-instance-name為VPN多實例名稱,為1~31個字符的字符串,區分大小寫。如果不指定該參數,則表示報文屬於公網。
【使用指導】
若不指定protocol參數,則表示所有傳輸層協議的指定報文均可被識別為指定應用層協議的報文。
對於目的地址為指定地址或指定範圍的地址的報文,如果報文的目的端口號與某個映射關係匹配,則該報文將被識別為對應的應用層協議報文。
對於應用協議、端口號、傳輸層協議參數均相同的配置,要求各配置中指定的IP地址或者IP地址範圍不能重疊。
對於端口號、傳輸層協議、IP地址或地址範圍參數均相同但是應用層協議名稱不相同的兩個配置,新的配置會覆蓋原有的配置。
指定傳輸層協議名稱的映射優先級高於不指定傳輸層協議名稱的映射。
【舉例】
# 為目的IP地址範圍為1.1.1.1~1.1.1.10的IPv4報文,建立端口3456到FTP協議的映射。
<Sysname> system-view
[Sysname] port-mapping application ftp port 3456 host ip 1.1.1.1 1.1.1.10
# 為目的IP地址為1::1的IPv6報文,建立端口3456到FTP協議的映射。
<Sysname> system-view
[Sysname] port-mapping application ftp port 3456 host ipv6 1::1
【相關命令】
· display port-mapping user-defined
port-mapping subnet命令用來配置基於網段的主機端口映射。
undo port-mapping subnet命令用來刪除指定網段的主機端口映射。
【命令】
port-mapping application application-name port port-number [ protocol protocol-name ] subnet { ip ipv4-address { mask-length | mask } | ipv6 ipv6-address prefix-length } [ vpn-instance vpn-instance-name ]
undo port-mapping application application-name port port-number [ protocol protocol-name ] subnet { ip ipv4-address { mask-length | mask } | ipv6 ipv6-address prefix-length } [ vpn-instance vpn-instance-name ]
【缺省情況】
各應用層協議與其對應的知名端口號映射。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
application application-name:指定端口映射的應用層協議。application-name表示應用層協議名稱。為1~63個字符的字符串,不區分大小寫,不允許為係統保留的“invalid”和“other”。該應用層協議名稱必須標準且能夠被設備識別。
port port-number:指定與應用層協議映射的端口。port-number表示端口號,取值範圍為0~65535。
protocol protocol-name:指定應用層協議使用的傳輸層協議名稱,其取值及含義如下:
· dccp:表示DCCP(Datagram Congestion Control Protocol,數據報擁塞控製協議)。
· sctp:表示SCTP(Stream Control Transmission Protocol,流控製傳輸協議)。
· tcp:表示TCP協議。
· udp:表示UDP協議。
· udp-lite:表示UDP-Lite協議。
ip:指定基於IPv4網段的主機端口映射。
ipv4-address { mask-length | mask }:指定IPv4網段。其中,ipv4-address表示IPv4地址;mask-length表示子網掩碼長度,取值範圍為1~32;mask表示子網掩碼,為點分十進製格式。
ipv6:指定基於IPv6網段的主機端口映射。
ipv6-address prefix-length:指定IPv6網段。其中,ipv6-address表示IPv6地址;prefix-length表示IPv6前綴長度,取值範圍為1~128。
vpn-instance vpn-instance-name:表示主機所屬的VPN。vpn-instance-name為VPN多實例名稱,為1~31個字符的字符串,區分大小寫。如果不指定該參數,則表示主機屬於公網。
【使用指導】
若不指定protocol參數,則表示所有傳輸層協議的指定端口的報文均被識別為指定應用層協議的報文。
對於目的地址為指定網段的報文,如果報文的目的端口號與某個映射關係匹配,則該報文將被識別為對應的應用層協議報文。
PBAR以最精確的網絡範圍對報文進行匹配,即如果配置了多條網段映射關係,且各映射關係中指定的網段範圍互相包含,則使用網絡範圍最小的映射配置進行匹配。
對於端口號、傳輸層協議、IP網段參數均相同但是應用層協議名稱不相同的兩個配置,新的配置會覆蓋原有的配置。
指定傳輸層協議名稱的映射優先級高於不指定傳輸層協議名稱的映射。
【舉例】
# 為目的網段地址為1.1.1.0/24的IPv4主機報文,建立端口3456到FTP協議的映射。
<Sysname> system-view
[Sysname] port-mapping application ftp port 3456 subnet ip 1.1.1.0 24
# 為目的網段地址為1:: /120的IPv6主機報文,建立端口3456到FTP協議的映射。
<Sysname> system-view
[Sysname] port-mapping application ftp port 3456 subnet ipv6 1:: 120
【相關命令】
· display port-mapping user-defined
reset application statistics命令用來清除指定接口或所有接口的應用統計信息。
【命令】
reset application statistics [ interface interface-type interface-number ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interface interface-type interface-number:清除指定接口上的應用統計信息。interface-type interface-number表示接口類型和接口編號。如果不指定此參數,則表示清除所有接口上的應用統計信息。
【舉例】
# 清除接口GigabitEthernet1/0/1上的應和統計信息。
<Sysname> reset application statistics interface gigabitethernet 1/0/1
# 清除所有統計信息。
<Sysname> reset application statistics
【相關命令】
· application statistics enable
· display application statistics
service-port命令用來配置自定義NBAR規則匹配的端口號。
undo service-port命令用來恢複缺省情況。
【命令】
service-port { port-num | range start-port end-port }
undo service-port
【缺省情況】
NBAR規則匹配所有端口號。
【視圖】
NBAR規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
port-num:指定規則匹配的端口號,取值範圍為0~65535。
range:指定規則匹配的端口號範圍。
start-port:表示起始端口號,取值範圍為0~65535。
end-port:表示終止端口號,取值範圍為0~65535。
【使用指導】
本命令配置的端口號用來匹配報文的源端口和目的端口。首先匹配報文的目的端口,當目的端口匹配失敗後,再匹配源端口,隻要其中一類端口與配置的端口號匹配成功就算此報文與此條件匹配成功。
在同一個NBAR規則視圖下多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置NBAR規則abcd的端口號範圍為2001~2004。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] service-port range 2001 2004
【相關命令】
· direction
signature命令用來配置自定義NBAR規則的特征。
undo signature命令用來在取消自定義NBAR規則的特征。
【命令】
signature [ signature-id ] [ field field-name ] [ offset offset-value ] { hex hex-vector | regex regex-pattern | string string }
undo signature signature-id
【缺省情況】
NBAR規則中不存在特征。
【視圖】
NBAR規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
signature-id:指定NBAR規則特征的編號。取值範圍為1~65535。若未指定本參數,係統將按照步長從5開始,自動分配規則中不存在的5的最小整倍數作為ID,步長為5。例如,現有規則的最大編號為28,上次自動分配的編號是5,接著手動配置一條編號為10的規則,再自動配置一條規則,此規則自動分配的編號是15。
field field-name:表示在指定的協議域中去匹配特征,field-name表示協議域名稱,且這些協議域是係統預定義的,不可自定義。隻有基於HTTP協議的NBAR規則中的特征才能指定協議域,不指定協議域表示在整個HTTP報文中匹配特征。
offset offset-value:表示在數據起始位置的偏移指定字節後的內容中去匹配特征,offset-value表示字節偏移量,取值範圍為0~65535,單位為字節。如果未指定本參數,將從數據起始位置後的所有內容中去匹配特征。如果指定了協議域,則偏移值從協議域的起始位置計算。
hex hex-vector:指定16進製向量特征。取值範圍為6~254個字符的字符串,輸入參數必須在兩個豎杠(|)之間。
regex regex-pattern:指定正則表達式特征,為3~253個字符的字符串,支持所有可輸入字符,區分大小寫。
string string:指定字符串特征,為3~256個字符的字符串,支持所有可輸入字符,區分大小寫。
【使用指導】
對於一個自定義應用,允許配置多個特征,特征可以是字符串、16進製向量或者正則表達式,不同特征之間是邏輯或的關係。
【舉例】
# 為NBAR規則abcd配置字符串特征為abcdefg。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] signature 1 string abcdefg
# 為NBAR規則ddd配置16進製向量特征為123456。
<Sysname> system-view
[Sysname] nbar application ddd protocol http
[Sysname-nbar-application-ddd] signature 2 hex |123456|
【相關命令】
· nbar application
source命令用來配置自定義NBAR規則匹配的源IP地址網段。
undo source命令用來恢複缺省情況。
【命令】
source ip ipv4-address [ mask-length ]
undo source
【缺省情況】
不存在源IP地址網段限製。
【視圖】
NBAR規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip ipv4-address:指定匹配的源IPv4地址或網段,為點分十進製格式。
mask-length:子網掩碼長度,取值範圍為0~32。
【使用指導】
在同一個NBAR規則視圖下多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置應用abcd的源網段。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] source ip 192.168.2.0 24
【相關命令】
· nbar application
update schedule命令用來配置定期自動升級APR特征庫的時間。
undo update schedule命令用來恢複缺省情況。
【命令】
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
undo update schedule
【缺省情況】
設備會在每天02:01:00至04:01:00之間自動升級APR特征庫。
【視圖】
自動升級配置視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
daily:表示自動升級周期為每天。
weekly:表示以一周為周期,在指定一天進行自動升級。
fri:表示星期五。
mon:表示星期一。
sat:表示星期六。
sun:表示星期日。
thu:表示星期四。
tue:表示星期二。
wed:表示星期三。
start-time time:指定自動升級開始時間,time的格式為hh:mm:ss,取值範圍為00:00~23:59:59。
tingle minutes:指定抖動時間,即實際自動升級開始時間的偏差範圍,取值範圍為0~120,單位為分鍾。在start-time指定時間的前後各偏移抖動時間的一半作為自動升級的時間範圍,例如,指定自動升級的開始時間為01:00:00,抖動時間為60分鍾,則自動升級的時間範圍為00:30:00至01:30:00。
【舉例】
# 配置定期自動升級APR特征庫的時間為每周一的23:10:00,抖動時間為10分鍾。
<Sysname> system-view
[Sysname] apr signature auto-update
[Sysname-apr-autoupdate] update schedule weekly mon start-time 23:10:00 tingle 10
【相關命令】
· apr signature auto-update
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
