- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
25-APR命令
本章節下載: 25-APR命令 (492.62 KB)
目 錄
1.1.2 application statistics enable
1.1.3 apr protocol detect-threshold application-other
1.1.5 apr signature auto-update
1.1.6 apr signature auto-update-now
1.1.10 description (application group view)
1.1.11 description (NBAR view)
1.1.18 display application statistics
1.1.19 display application statistics top
1.1.20 display apr protocol detection-threshold-other
1.1.21 display apr signature library
1.1.22 display port-mapping pre-defined
1.1.23 display port-mapping user-defined
1.1.31 reset application statistics
1.1.37 user-defined-application
app-group命令用來創建應用組,並進入應用組視圖。如果指定的應用組已經存在,則直接進入應用組視圖。
undo app-group命令用來刪除指定的應用組。
【命令】
app-group group-name
undo app-group group-name
【缺省情況】
不存在應用組。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
group-name:應用組的名稱,為1~63個字符的字符串,不區分大小寫,不允許為係統保留的“invalid”或“other”。
【使用指導】
係統中最多可以定義1000個應用組。
【舉例】
# 創建名稱為aaa的應用組,並進入應用組視圖。
<Sysname> system-view
[Sysname] app-group aaa
[Sysname-app-group-aaa]
【相關命令】
· copy app-group
· description
· include application
application statistics enable命令用來開啟接口指定方向上的應用統計功能。
undo application statistics enable命令用來關閉接口指定方向上的應用統計功能。
【命令】
application statistics enable [ inbound | outbound ]
undo application statistics enable [ inbound | outbound ]
【缺省情況】
接口入方向和出方向上的應用統計功能處於關閉狀態。
【視圖】
二層接口視圖/三層接口視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
inbound:在接口的入方向上開啟應用統計功能。
outbound:在接口的出方向上開啟應用統計功能。
【使用指導】
如果不指定任何參數,則表示同時開啟接口出方向和入方向上的應用統計功能。
在接口上開啟應用統計功能之後,設備能夠對接口上收到或者發送的報文的數目、速率按照應用協議分別進行統計,生成的統計信息可以通過display application statistics命令查看。
接口的應用統計功能會消耗大量係統內存。當係統出現內存告警時,請關閉接口的應用統計功能。
【舉例】
# 在接口GigabitEthernet1/0/1上開啟入方向應用統計功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] application statistics enable inbound
# 在接口GigabitEthernet1/0/2上開啟出方向應用統計功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/2
[Sysname-GigabitEthernet1/0/2] application statistics enable outbound
# 在接口GigabitEthernet1/0/3上開啟所有方向應用統計功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/3
[Sysname-GigabitEthernet1/0/3] application statistics enable
# 在接口Vlan-interface 2上開啟入方向應用統計功能。
<Sysname> system-view
[Sysname] interface Vlan-interface 2
[Sysname-Vlan-interface2] application statistics enable inbound
【相關命令】
· display application statistics
apr protocol detect-threshold application-other命令用來配置指定協議報文被識別為other類應用的檢測閾值。
undo apr protocol detect-threshold application-other命令用來恢複缺省情況。
【命令】
apr protocol protocol-name detect-threshold { packet-count count | payload-length length } application-other
undo apr protocol protocol-name detect-threshold { packet-count | payload-length } application-other
【缺省情況】
設備使用特征庫中預定義的相關閾值將報文識別為other類應用。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
protocol-name:表示協議的名稱,為1~63個字符的字符串,不區分大小寫。
packet-count count:指定報文個數閾值,取值範圍為1~128。
payload-length length:指定報文載荷長度閾值,取值範圍為64~65536,單位為字節。
【使用指導】
若設備檢測某協議報文的總數和載荷長度均達到本命令指定的閾值後,仍然無法識別出該協議報文對應的上層應用,則將其歸類為該協議的other類應用。
針對同一個協議,可以重複執行本命令同時配置報文個數閾值和報文載荷長度閾值。
可以通過display apr protocol detection-threshold-other命令查看被識別為other類應用的報文檢測閾值。
【舉例】
# 設置檢測HTTP協議報文載荷長度閾值為2500個字節,報文個數檢測閾值為特征庫缺省值。
<Sysname> system-view
[sysname] apr protocol http detect-threshould payload-length 2500 application-other
【相關命令】
· display apr protocol detection-threshold-other
apr set detectlen命令用來配置NBAR規則的最大檢測字節數。
undo apr set detectlen命令用來恢複缺省情況。
【命令】
apr set detectlen bytes
undo apr set detectlen
【缺省情況】
未配置NBAR規則的最大檢測字節數。
【視圖】
NBAR規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
bytes:表示NBAR規則的最大檢測長度,取值範圍為0~4294967295,單位為字節。
【使用指導】
當設備識別出應用時,若不配置最大檢測字節數,設備將繼續檢測後續報文是否存在應用,這將對設備的性能產生影響;若配置最大檢測字節數,設備將從識別出應用的位置開始,判斷當前已檢測的字節長度是否超出配置的最大檢測字節數,若超出,則後續不進行檢測,若未超出,則繼續檢測後續報文。請管理員根據設備的實際情況配置此參數。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 為NBAR規則abcd配置最大檢測字節數為100000。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] apr set detectlen 100000
【相關命令】
· nbar application
apr signature auto-update命令用來開啟定期自動在線升級APR特征庫功能,並進入自動升級配置視圖。
undo apr signature auto-update命令用來關閉定期自動在線升級APR特征庫功能。
【命令】
apr signature auto-update
undo apr signature auto-update
【缺省情況】
定期自動在線升級APR特征庫功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
如果設備可以訪問官方網站上的特征庫服務專區,可以采用定期自動在線升級方式來對設備上的APR特征庫進行升級。
【舉例】
# 開啟定期自動在線升級APR特征庫功能,並進入自動升級配置視圖。
<Sysname> system-view
[Sysname] apr signature auto-update
[Sysname-apr-autoupdate]
【相關命令】
· override-current
· update schedule
apr signature auto-update-now命令用來立即自動在線升級APR特征庫。
【命令】
apr signature auto-update-now
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
執行此命令後,將立即自動在線升級設備上的APR特征庫,且會備份當前的APR特征庫文件。此命令的生效與否,與是否開啟了定期自動在線升級APR特征庫功能無關。
當管理員發現官方網站上的特征庫服務專區中的APR特征有更新時,可以選擇立即自動在線升級方式來及時升級APR特征庫版本。
【舉例】
# 立即自動升級APR特征庫。
<Sysname> system-view
[Sysname] apr signature auto-update-now
apr signature rollback命令用來回滾APR特征庫版本。
【命令】
apr signature rollback { factory | last }
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
factory:表示把APR特征庫回滾到出廠版本。
last:表示把APR特征庫回滾到上一版本。
【使用指導】
設備使用當前APR特征庫版本進行識別應用時,如果管理員發現設備識別應用的誤報率較高或出現異常情況,則可以對當前APR特征庫版本進行回滾。
APR特征庫版本每次回滾前,設備都會備份當前版本。多次回滾上一版本將會在當前版本和上一版本之間反複切換。例如當前APR特征庫版本是V2,上一版本是V1,第一次執行回滾到上一版本的操作後,特征庫替換成V1版本,再執行回滾上一版本的操作則特征庫重新變為V2版本。
升級APR特征庫時,如果沒有備份當前特征庫文件,則回滾APR特征庫到上一版本會失敗。
【舉例】
# 配置APR特征庫回滾到上一版本。
<Sysname> system-view
[Sysname] apr signature rollback last
apr signature update命令用來手動離線升級APR特征庫。
【命令】
apr signature update [ override-current ] file-path [ vpn-instance vpn-instance-name ] [ source { ip | ipv6 } { ip-address | interface interface-type interface-number } ]
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
override-current:表示覆蓋當前版本的特征庫文件。如果不指定本參數,則表示當前特征庫在升級之後作為備份特征庫保存在設備上。
file-path:指定特征庫文件的路徑,為1~255個字符的字符串。
vpn-instance vpn-instance-name:表示TFTP、FTP服務器所屬的VPN實例。vpn-instance-name為MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果不指定該參數,則表示TFTP、FTP服務器位於公網中。
本參數的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
F1000-AK9110、F1000-AK9210 |
不支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
source:指定手動離線升級特征庫時產生的報文的源IP地址。
本參數的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
F1000-AK9110、F1000-AK9210 |
不支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
ip ip-address:指定IPv4地址。
本參數的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
F1000-AK9110、F1000-AK9210 |
不支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
ipv6 ip-address:指定IPv6地址。
本參數的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
F1000-AK9110、F1000-AK9210 |
不支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
interface interface-type interface-number:指定該接口的主IPv4地址或接口上最小的IPv6地址為源IP地址。
本參數的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
F1000-AK9110、F1000-AK9210 |
不支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
【使用指導】
如果設備不能訪問官方網站上的特征庫服務專區,管理員可以采用如下幾種方式手動離線升級APR特征庫版本。
· 本地升級:使用本地保存的特征庫文件升級係統上的APR特征庫版本。
· FTP/TFTP升級:通過FTP或TFTP方式下載遠程服務器上保存的特征庫文件,並升級係統上的APR特征庫版本。
使用本地升級方式離線升級APR特征庫版本時,特征庫文件隻能存儲在當前主用設備上,否則設備升級特征庫會失敗。
參數file-path的取值與手動離線升級的操作方式有關。本地升級時參數file-path取值請參見表1-1;FTP/TFTP升級時參數file-path取值請參見表1-2。
表1-1 本地升級時參數file-path取值說明表
|
升級場景 |
參數file-path取值 |
說明 |
|
特征庫文件的存儲位置與當前工作路徑一致 |
filename |
可以執行pwd命令查看當前工作路徑 有關pwd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
|
特征庫文件的存儲位置與當前工作路徑不一致,且在相同存儲介質上 |
filename |
需要先執行cd命令將工作路徑切換至特征庫文件所在目錄下 有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
|
特征庫文件的存儲位置與當前工作路徑不在相同存儲介質上 |
path/ filename |
需要先執行cd命令將工作路徑切換至特征庫文件所在存儲介質的根目錄下,再指定特征庫文件的相對路徑 有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
表1-2 FTP/TFTP升級時參數file-path取值說明表
|
升級場景 |
參數file-path取值 |
說明 |
|
特征庫文件存儲在開啟FTP服務的遠程服務器上 |
ftp://username:password@server/filename |
username為登錄FTP服務器的用戶名,password為登錄FTP服務器的密碼,server為FTP服務器的IP地址或主機名 當FTP的用戶名和密碼中使用了“:”、“@”和“/”三種特殊字符時,需要將這三種特殊字符替換為其對應的轉義字符。“:”、“@”和“/”三種特殊字符對應的轉義字符分別為“%3A或%3a”、“%40”和“%2F或%2f” |
|
特征庫文件存儲在開啟TFTP服務的遠程服務器上 |
tftp://server/filename |
server為TFTP服務器的IP地址或主機名 |
當采用FTP/TFTP方式升級特征庫時,如果指定的是服務器的主機名,則需要確保設備能通過靜態或動態域名解析方式獲得FTP/TFTP服務器的IP地址,並與之路由可達。否則設備升級特征庫會失敗。有關域名解析功能的詳細配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
如果管理員希望手動離線升級特征庫時產生的報文的源IP地址是一個特定的地址時,可配置source參數。例如,當組網環境中設備發出的報文需要經過NAT設備等進行地址轉換後才能訪問TFTP、FTP服務器時,則需要管理員通過source參數指定一個符合NAT設備地址轉換規則的源IP地址,使設備發出的報文可以進行NAT設備的地址轉換等處理,正常訪問TFTP、FTP服務器。
【舉例】
# 配置手動離線升級APR特征庫,且采用TFTP方式,APR特征庫文件的遠程路徑為tftp://192.168.0.10/apr-1.0.2-en.dat。
<Sysname> system-view
[Sysname] apr signature update tftp://192.168.0.10/apr-1.0.2-en.dat
# 配置手動離線升級APR特征庫,且采用FTP方式,APR特征庫文件的遠程路徑為ftp://192.168.0.10/apr-1.0.2-en.dat,用戶名為user:123,密碼為user@abc/123。
<Sysname> system-view
[Sysname] apr signature update ftp://user%3A123:user%40abc%[email protected]/apr-1.0.2-en.dat
# 配置手動離線升級APR特征庫,且采用本地方式,APR特征庫文件的本地路徑為cfa0:/apr-1.0.23-en.dat,且當前工作路徑為cfa0:。
<Sysname> system-view
[Sysname] apr signature update apr-1.0.23-en.dat
# 配置手動離線升級APR特征庫,且采用本地方式,APR特征庫文件的本地路徑為cfa0:/dpi/apr-1.0.23-en.dat,且當前工作路徑為cfa0:。
<Sysname> cd dpi
<Sysname> system-view
[Sysname] apr signature update apr-1.0.23-en.dat
# 配置手動離線升級APR特征庫,且采用本地方式,APR特征庫文件的本地路徑為cfb0:/dpi/apr-1.0.23-en.dat,當前工作路徑為cfa0:。
<Sysname> cd cfb0:/
<Sysname> system-view
[Sysname] apr signature update dpi/apr-1.0.23-en.dat
copy app-group命令用來在應用組中複製另一個應用組中的所有應用。
【命令】
copy app-group group-name
【視圖】
應用組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
group-name:要複製應用組的名稱,為1~63個字符的字符串,不區分大小寫,不允許為係統保留的“invalid”和“other”。
【使用指導】
可多次執行本命令複製多個應用組裏的應用。
【舉例】
# 在應用組abc中複製應用組bcd中的所有應用。
<Sysname> system-view
[Sysname] app-group abc
[Sysname-app-group-abc] copy app-group bcd
【相關命令】
· app-group
· include application
description命令用來配置自定義應用組的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description text
undo description
【缺省情況】
自定義應用組的描述信息為“User-defined application group”。
【視圖】
應用組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
text:應用組的描述信息,為1~127個字符的字符串,區分大小寫,當有空格時,必須用雙引號把所有字符串引起來。
【使用指導】
通過合理編寫描述信息,便於管理員快速理解和識別該應用組的作用,有利於後期維護。
【舉例】
# 配置名稱為aaa的自定義應用組描述信息為“User defined aaa group”。
<Sysname> system-view
[Sysname] app-group aaa
[Sysname-app-group-aaa] description "User defined aaa group"
【相關命令】
· app-group
description命令用來配置自定義NBAR規則的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description text
undo description
【缺省情況】
自定義NBAR規則的描述信息為“User defined application”。
【視圖】
NBAR規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
text:NBAR規則的描述信息,為1~127個字符的字符串,區分大小寫。
【使用指導】
通過合理編寫描述信息,便於管理員快速理解和識別本條NBAR規則的作用,有利於後期維護。
【舉例】
# 配置自定義NBAR規則abcd的描述信息為“A user-defined application based on HTTP”。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] description "A user-defined application based on HTTP"
【相關命令】
· nbar application
destination命令用來配置自定義NBAR規則匹配的目的IP地址網段。
undo destination命令用來恢複缺省情況。
【命令】
destination ip ipv4-address [ mask-length ]
undo destination
【缺省情況】
NBAR規則匹配所有目的IP地址網段。
【視圖】
NBAR規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip ipv4-address:指定匹配的目的IPv4地址或網段,為點分十進製格式。
mask-length:子網掩碼長度,取值範圍為0~32。如果未指定本參數,則默認子網掩碼長度為32。
【使用指導】
在同一個NBAR規則視圖下多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置NBAR規則abcd匹配的目的IP地址網段為192.168.1.0/24。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] destination ip 192.168.1.0 24
【相關命令】
· nbar application
detection命令用來配置自定義NBAR規則特征的檢查項。
undo detection命令用來刪除自定義NBAR規則特征的檢查項。
【命令】
detection detection-id field field-name match-type { exclude | include } { hex hex-vector | regex regex-pattern | text text-string } [ offset offset-value [ depth depth-value ] | relative-offset relative-offset-value [ relative-depth relative-depth-value ] ]
undo detection { all | detection-id }
【缺省情況】
未配置自定義NBAR規則特征的檢查項。
【視圖】
NBAR規則特征視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
detection-id:表示檢查項的ID,取值範圍為1~255。
field field-name:表示在指定的協議域中匹配檢查項,field-name表示協議域名稱,取值範圍為1~31個字符,區分大小寫,可通過輸入“?”獲取支持的協議域。
match-type { exclude | include }:表示檢查項和檢查內容的匹配方式。
· exclude:不包含。
· include:包含。
hex hex-vector:指定匹配檢查項的16進製向量。取值範圍為8~256個字符的字符串,且字符個數必須為偶數,輸入參數必須在兩個豎杠(|)之間,例如|123456|。
regex regex-pattern:指定匹配檢查項的正則表達式,為3~253個字符的字符串,支持所有可輸入字符,區分大小寫。
text text-string:指定匹配檢查項的字符串,為3~256個字符的字符串,支持所有可輸入字符,區分大小寫。
offset offset-value:表示檢查項的絕對偏移量,設備將在協議域起始位置偏移指定字節後的內容中去匹配檢查項,offset-value表示字節偏移量,取值範圍為0~65535,單位為字節。如果未指定本參數,將從協議域起始位置後的所有內容中去匹配檢查項。
depth depth-value:表示檢查項的檢測深度,取值範圍為3~65535,單位為字節。
relative-offset relative-offset-value:表示檢查項之間的相對偏移量,設備將在上一個檢查項的結束位置偏移指定字節後的內容中去匹配檢查項,relative-offset-value表示字節偏移量,取值範圍為-32767~32767,單位為字節。如果取值為負數,則表示從上一個檢查項的結束位置開始向前偏移指定字節。
relative-depth relative-depth-value:表示檢查項之間的相對深度,取值範圍為3~65535,單位為字節。
all:表示所有檢查項。
【使用指導】
一個NBAR規則特征下可以配多個檢查項,檢查項之間為邏輯與的關係,匹配順序為配置順序,僅當特征的所有檢查項均匹配成功時,該特征才可以匹配成功。配置檢查項匹配的協議字段時,建議依據HTTP協議中各頭域順序進行配置,否則可能會影響設備的檢測結果。
【舉例】
# 在名為app_http的自定義NBAR規則中,配置編號為1的檢查項,檢測的協議域為http-uri、檢測內容為文本abc、偏移量為10字節、檢測深度為50字節。
<Sysname> system-view
[Sysname] nbar application app_http protocol http
[Sysname-nbar-application-app_http] signature 1 field uri string abcdefg
[Sysname-nbar-applicationn-signature-app_http-1] detection 1 field uri match-type include text abc offset 10 depth 50
direction命令用來配置NBAR規則的匹配方向。
undo direction命令用來恢複缺省情況。
【命令】
direction { to-client | to-server }
undo direction
【缺省情況】
NBAR規則的匹配方向是雙向的。
【視圖】
NBAR規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
to-client:表示對Server訪問Client的流量進行基於NBAR規則的應用識別。
to-server:表示對Client訪問Server的流量進行基於NBAR規則的應用識別。
【使用指導】
在同一個NBAR規則視圖下多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置NBAR規則abcd的匹配方向為Client訪問Server。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] direction to-server
【相關命令】
· nbar application
disable命令用來禁用自定義NBAR規則。
undo disable命令用來恢複缺省情況。
【命令】
disable
undo disable
【缺省情況】
自定義NBAR規則處於生效狀態。
【視圖】
NBAR規則視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
當在某些網絡環境中,如果一些NBAR規則暫時不會被用到,而且又不想將其從設備上刪除時,可以執行本命令來禁用這些規則。
【舉例】
# 禁用自定義NBAR規則abcd。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] disable
【相關命令】
· nbar application
display app-group命令用來顯示應用組信息。
【命令】
display app-group [ name group-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
name group-name:顯示指定名稱的應用組信息。group-name表示應用組的名稱,為1~63個字符的字符串,不區分大小寫,不允許為係統保留的“invalid”和“other”。若不指定應用組,則表示顯示所有應用組信息。
【舉例】
# 顯示係統所有應用組的信息。
<Sysname> display app-group
User-defined count:3
Group Name Type Group ID
6767 User-defined 0x00800002
er User-defined 0x00800001
hbc User-defined 0x00800003
# 顯示自定義應用組名稱為er的應用組的信息。
<Sysname> display app-group name er
Group English name: er
Group Chinese name: er
Group ID: 0x00800001
Type: User-defined
Application count: 2
Include application list:
Application name Type App ID
114Travel Pre-defined 0x0000542c
banc User-defined 0x00800001
pre-defined app-group count:0
Include pre-defined app-group list:
App-group name Type App-group ID
表1-3 display app-group命令顯示信息描述表
|
字段 |
描述 |
|
User-defined count |
自定義應用組的個數 |
|
Group Name |
自定義應用組的名稱 |
|
Group English name |
應用組的英文名稱 |
|
Group Chinese name |
應用組的中文名稱 |
|
Group ID |
應用組的ID號 |
|
Type |
類型 |
|
Application count |
應用組下包含的應用的個數 |
|
Include application list |
包含的應用列表 |
|
Application name |
應用組中添加應用名 |
|
App ID |
應用組中添加應用的ID號 |
|
pre-defined app-group count |
(暫不支持)應用組中包含的預定義應用組的個數 |
|
Include pre-defined app-group list |
(暫不支持)包含的預定義應用組列表 |
|
App-group name |
(暫不支持)應用組中添加的預定義應用組名 |
|
App-group ID |
(暫不支持)應用組中添加的預定義應用組的ID號 |
【相關命令】
· app-group
· include
display application命令用來顯示應用信息。
【命令】
display application [ name application-name | pre-defined | user-defined ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
name application-name:顯示指定名稱的應用信息。application-name表示應用的名稱,為1~63個字符的字符串,不區分大小寫,不允許為係統保留的“invalid”和“other”。
pre-defined:顯示係統預定義的應用列表。
user-defined:顯示用戶自定義的應用列表。
【使用指導】
若不指定任何參數,則表示顯示所有的應用信息。
【舉例】
# 顯示係統預定義的應用列表。
<Sysname> display application pre-defined
Pre-defined count: 817
Application name Type App ID Tunnel Encrypted DetectLen
12530WAP_Application_We Pre-defined 0x000003ac No No 0
b_HTTP
12580_Application_HTTP Pre-defined 0x00000312 No No 0
126_Web_Email_Download_ Pre-defined 0x000002b7 No No 0
HTTP
126_Web_Email_Login_HTT Pre-defined 0x000002b3 No No 0
P
126_Web_Email_Read_Emai Pre-defined 0x000002b4 No No 0
l_HTTP
126_Web_Email_Receive_E Pre-defined 0x000002b6 No No 0
mail_HTTP
126_Web_Email_Send_Emai Pre-defined 0x000002b5 No No 0
l_HTTP
126_Web_Email_Upload_HT Pre-defined 0x000002b8 No No 0
TP
139_mobile_weibo_commen Pre-defined 0x000001da No No 0
t_HTTP
139_mobile_weibo_login_ Pre-defined 0x000001d9 No No 0
HTTP
139_mobile_weibo_login_ Pre-defined 0x00000444 No No 0
---- More ----
# 顯示用戶自定義的應用列表。
<Sysname> display application user-defined
User-defined count: 4
Application name Type App ID Tunnel Encrypted DetectLen
def User-defined 0x00800002 No No 0
dfer User-defined 0x00800003 No No 0
efer User-defined 0x00800004 No No 0
fdfad User-defined 0x00800001 No No 0
# 顯示所有應用列表。
<Sysname> display application
Total count: 821
Pre-defined count: 817
User-defined count: 4
Application name Type App ID Tunnel Encrypted DetectLen
12530WAP_Application_We Pre-defined 0x000003ac No No 0
b_HTTP
12580_Application_HTTP Pre-defined 0x00000312 No No 0
126_Web_Email_Download_ Pre-defined 0x000002b7 No No 0
HTTP
126_Web_Email_Login_HTT Pre-defined 0x000002b3 No No 0
P
126_Web_Email_Read_Emai Pre-defined 0x000002b4 No No 0
l_HTTP
126_Web_Email_Receive_E Pre-defined 0x000002b6 No No 0
mail_HTTP
126_Web_Email_Send_Emai Pre-defined 0x000002b5 No No 0
l_HTTP
126_Web_Email_Upload_HT Pre-defined 0x000002b8 No No 0
TP
139_mobile_weibo_commen Pre-defined 0x000001da No No 0
t_HTTP
139_mobile_weibo_login_ Pre-defined 0x000001d9 No No 0
HTTP
139_mobile_weibo_login_ Pre-defined 0x00000444 No No 0
HTTPS
139Mail_Login_HTTP Pre-defined 0x000001cb No No 0
139Mail_Login_HTTPS Pre-defined 0x0000038c No No 0
139Mail_Login_TCP Pre-defined 0x0000044b No No 0
163TV_HTTP Pre-defined 0x000004c3 No No 0
17173_Application_HTTP Pre-defined 0x00000350 No No 0
178Game_Application_HTT Pre-defined 0x00000222 No No 0
P
17K_fiction_Application Pre-defined 0x00000330 No No 0
_HTTP
19lou_Login_http_stream Pre-defined 0x000002c0 No No 0
19lou_Publish_Or_Reply_ Pre-defined 0x000002c2 No No 0
http_stream1
19lou_Publish_Or_Reply_ Pre-defined 0x000002c3 No No 0
http_stream2
19lou_View_http_stream Pre-defined 0x000002c1 No No 0
1ting_Music_Application Pre-defined 0x000001bc No No 0
_Mobile_HTTP
21CN_Email_Read_HTTP Pre-defined 0x000003fb No No 0
21CN_Email_Send_HTTP Pre-defined 0x000003fc No No 0
---- More ----
# 顯示名稱為telnet的應用信息。
<Sysname> display application name telnet
Application English Name: telnet
Application Chinese Name: telnet
Application ID: 0x0000000e
Tunnel: No
Encrypted: No
表1-4 display application命令顯示信息描述表
|
字段 |
描述 |
|
Total count |
應用總數 |
|
Pre-defined count |
預定義應用總數 |
|
User-defined count |
自定義應用總數 |
|
Application Name |
應用名 |
|
Type |
應用的類型,取值包括: · Pre-defined:係統預定義 · User-defined:用戶自定義 |
|
App ID/Application ID |
應用協議編號 |
|
Tunnel |
應用是否為隧道類型,例如L2TP為一個隧道類型的應用 |
|
Encrypted |
應用是否為加密類型,例如HTTPS為一個加密類型的應用 |
|
DetectLen |
檢測長度,分為預定義的檢測長度和自定義的檢測長度 |
|
Application English Name |
應用的英文名稱 |
|
Application Chinese Name |
應用的中文名稱 |
【相關命令】
· app-group
· include
display application statistics命令用來顯示接口上的應用統計信息。
【命令】
display application statistics [ direction { inbound | outbound } | interface interface-type interface-number [ slot slot-number ] | name application-name ] *
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
direction:顯示指定方向的應用統計信息。
inbound:顯示接口入方向的應用統計信息。
outbound:顯示接口出方向的應用統計信息。
interface interface-type interface-number:顯示指定接口的應用統計信息。interface-type interface-number表示要顯示統計信息的接口類型和接口編號。
slot slot-number:顯示指定成員設備上全局接口的應用統計信息。slot-number表示設備在IRF中的成員編號。該參數僅在指定顯示全局接口(例如VLAN接口、Tunnel接口)時可見。
name application-name:顯示指定名稱的應用統計信息。application-name表示應用的名稱,為1~63個字符的字符串,不區分大小寫,不允許為係統保留的“invalid”和“other”。
【使用指導】
如果不指定任何參數,則表示顯示所有接口的應用統計信息。
隻有在接口應用統計功能開啟的情況下,接口才能產生相應的應用統計信息。因此,使用本命令查看接口統計信息之前,請確保接口的應用統計功能處於開啟狀態。
可以按應用名稱、接口出方向、接口入方向、接口名稱分別顯示相應的應用統計信息,也可以通過指定多個參數,顯示同時符合多個參數的應用統計信息。
【舉例】
# 顯示GigabitEthernet1/0/1接口上的所有應用統計信息。
<Sysname> display application statistics interface GigabitEthernet1/0/1
Interface : GigabitEthernet1/0/1
Application In/Out Packets Bytes PPS BPS
Slot 1 :
http IN 275 78631 0 275
OUT 357 255251 0 101
https IN 403 39267 0 44
OUT 681 623501 0 32
netbios-dgm IN 3 729 0 32
OUT 0 0 0 0
netbios-ns IN 248 22816 2 1423
OUT 0 0 0 0
telnet IN 801 43374 10 4509
OUT 1519 65388 20 6774
表1-5 display application statistics命令顯示信息描述表
|
字段 |
描述 |
|
Interface |
接口的名稱 |
|
Application |
應用的名稱 |
|
In/Out |
入方向/出方向 |
|
Packets |
接口上接收或發送的報文個數 |
|
Bytes |
接口上接收或發送的字節數 |
|
PPS |
每秒報文數 |
|
BPS |
每秒比特數 |
【相關命令】
· app-group
· application statistics enable
display application statistics top命令用來按指定類型的統計排名顯示接口應用統計信息。
【命令】
display application statistics top number { bps | bytes | packets | pps } interface interface-type interface-number [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
number:顯示排名前number的應用統計信息,取值範圍為0~4294967295。
bytes:顯示接口字節數為前number的應用統計信息。
bps:顯示接口比特速率統計為前number的應用統計信息。
packets:顯示接口包數為前number的應用統計信息。
pps:顯示接口包速率統計為前number的應用統計信息。
interface interface-type interface-number:顯示指定接口的應用統計信息。interface-type interface-number指定要顯示統計信息的接口類型和接口編號。
slot slot-number:顯示指定成員設備上全局接口的應用統計信息。slot-number表示設備在IRF中的成員編號。該參數僅在指定顯示全局接口(例如VLAN接口、Tunnel接口)時可見。
【使用指導】
隻有在接口應用統計功能開啟的情況下,接口才能產生相應的應用統計信息。因此,使用本命令查看接口統計信息之前,請確保接口的應用統計功能處於開啟狀態。
係統以接口上某一個應用的出方向和入方向的統計值之和為依據對應用進行排名。統計值相同的應用,再按照應用名稱的字母順序排列。
【舉例】
# 顯示GigabitEthernet1/0/1接口上包數為前3的應用統計信息。
<Sysname> display application statistics top 3 packets interface gigabitethernet 1/0/1
Interface : GigabitEthernet1/0/1
Application In/Out Packets Bytes PPS BPS
Slot 1 :
telnet IN 1389 75219 0 44
OUT 2626 112745 0 54
https IN 468 42830 0 123
OUT 746 626101 0 91
netbios-ns IN 965 88780 2 1411
OUT 0 0 0 0
表1-6 display application statistics top命令顯示信息描述表
|
字段 |
描述 |
|
Interface |
接口的名稱 |
|
Application |
應用的名稱 |
|
In/Out |
入方向/出方向 |
|
Packets |
接口上接收或發送的報文個數 |
|
Bytes |
接口上接收或發送的字節數 |
|
PPS |
每秒報文數 |
|
BPS |
每秒比特數 |
【相關命令】
· app-group
· application statistics enable
display apr protocol detection-threshold-other命令用來顯示被識別為other類應用的報文檢測閾值。
【命令】
display apr protocol [ protocol-name ] detection-threshold-other
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
protocol-name:表示協議的名稱,為1~63個字符的字符串,不區分大小寫。若不指定本參數,則表示顯示所有被識別為other類應用的報文檢測閾值信息。
【舉例】
# 查看協議識別成other應用的檢測閾值信息。
<Sysname> display apr protocol detection-threshold-other
Detection threshold information:
Protocol: general_udp
Packet count: 45
Payload length: 3200 bytes
Protocol: general_tcp
Packet count: 40
Payload length: 3000 bytes
Protocol: http
Packet count: 10
Payload length: 2500 bytes
Protocol: https
Packet count: 20
Payload length: 2800 bytes
表1-7 display apr protocol detection-threshold命令顯示信息描述表
|
字段 |
描述 |
|
Detection threshold information |
報文的檢測閾值信息 |
|
Protocol |
協議名稱 |
|
Packet count |
報文個數檢測閾值 |
|
Payload length |
報文載荷總長度檢測閾值,單位為字節 |
【相關命令】
· apr protocol detect-threshold application-other
display apr signature library命令用來顯示當前APR特征庫的版本信息。
【命令】
display apr signature library
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示當前特征庫版本信息
<Sysname> display apr signature library
APR signature library information:
Type SigVersion ReleaseTime Size
Current 1.0.49 Tue Sep 13 06:54:01 2016 659744
Last 1.0.52 Wed Nov 02 07:14:03 2016 702640
Factory 1.0.0 Fri Dec 31 16:00:00 1999 77040
表1-8 display apr signature library命令顯示信息描述表
|
字段 |
描述 |
|
Type |
APR特征庫版本,包括如下取值: · Current:當前版本 · Last:上一版本 · Factory:出廠版本 |
|
SigVersion |
APR特征庫版本號 |
|
ReleaseTime |
APR特征庫發布時間 |
|
Size |
APR特征庫大小,單位是Bytes |
display port-mapping pre-defined命令用來顯示預定義的端口映射信息。
【命令】
display port-mapping pre-defined
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示預定義的端口映射信息。
<Sysname> display port-mapping pre-defined
Application Protocol Port
afs3-kaserver TCP 7004
UDP 7004
aol TCP 5190, 5191, 5192, 5193
UDP 5190, 5191, 5192, 5193
appleqtc TCP 458
UDP 458
bgp TCP 179
UDP 179
表1-9 display port-mapping pre-defined命令顯示信息描述表
|
字段 |
描述 |
|
Application |
進行端口映射的應用層協議 |
|
Protocol |
傳輸層協議類型 |
|
Port |
應用層協議的端口號 |
【相關命令】
· display port-mapping
· port-mapping
display port-mapping user-defined命令用來顯示自定義的端口映射信息。
【命令】
display port-mapping user-defined [ application application-name | port port-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
application application-name:顯示指定端口映射的應用協議。application-name表示應用協議名稱,為1~63個字符的字符串,不區分大小寫,不允許為係統保留的“invalid”和“other”。該應用層協議名稱必須標準且能夠被設備識別。
port port-number:顯示指定應用層協議的端口。port-number表示端口號,取值範圍為0~65535。
【使用指導】
若不指定任何參數,則表示顯示所有的用戶自定義端口映射信息。
【舉例】
# 顯示所有自定義的端口映射信息。
<Sysname> display port-mapping user-defined
Application Port Protocol Match Type Match Condition
-------------------------------------------------------------
FTP 21 TCP --- ---
FTP 21 UDP IPv4 host 10.10.10.1(vpn1)
FTP 2121 UDP IPv4 host [11.10.10.1, 11.10.10.10](vpn2)
FTP 21 UDP IPv4 subnet 10.10.10.1/24
FTP 21 SCTP IPv6 host 2000:fdb8::1:00ab:853c:39ab
HTTP 899 TCP IPV4 ACL 2002
HTTP 999 SCTP IPv6 ACL 2002
表1-10 display port-mapping user-defined命令顯示信息描述表
|
字段 |
描述 |
|
Application |
進行端口映射的應用層協議 |
|
Port |
應用層協議映射的端口號 |
|
Protocol |
傳輸層協議類型 |
|
Match Type |
匹配方式,包括以下類型: · ---:表示通配,即未指定匹配類型和匹配條件,所有報文都可以進行匹配 · IPv4 host:表示基於報文的目的IPv4地址進行匹配 · IPv6 host:表示基於報文的目的IPv6地址進行匹配 · IPv4 subnet:表示基於報文的目的IPv4網段進行匹配 · IPv6 subnet:表示基於報文的目的IPv6網段進行匹配 · IPv4 ACL:表示基於IPv4 ACL進行匹配 · IPv6 ACL:表示基於IPv6 ACL進行匹配 |
|
Match Condition |
匹配條件,包括以下幾種情況: · 對於IPv4 host/IPv6 host匹配方式,顯示為主機報文的目的IP地址 · 對於IPv4 subnet/IPv6 subnet匹配方式,顯示為主機報文的目的網段地址 · 對於IPv4 ACL/IPv6 ACL匹配方式,顯示為ACL編號 對於host和subnet類型的端口映射配置,如果指定了主機所屬的VPN,則還會顯示其所屬的MPLS L3VPN的VPN實例名稱 |
include application命令用來在應用組中添加應用。
undo include application命令用來在應用組中刪除應用。
【命令】
include application application-name
undo include application application-name
【缺省情況】
應用組中不存在應用。
【視圖】
應用組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
application-name:向應用組中添加的應用的名稱,為1~63個字符的字符串,不區分大小寫,不允許為係統保留的invalid或other。
【使用指導】
可多次執行本命令為一個應用組中添加多個預定義應用和自定義應用,每個組裏可以包含的應用個數不限製。
向應用組中添加應用時,如果對應的應用不存在就會創建這個應用,但該應用的報文是否能被識別,取決於係統中是否定義了相應的識別規則,比如端口映射配置。
【舉例】
# 在應用組abc中增加應用HTTP和FTP。
<Sysname> system-view
[Sysname] app-group abc
[Sysname-app-group-abc] include application http
[Sysname-app-group-abc] include application ftp
【相關命令】
· app-group
· copy app-group
nbar application命令用來創建自定義NBAR規則,並進入NBAR規則視圖。如果指定的NBAR規則已經存在,則直接進入NBAR規則視圖。
undo nbar application命令用來刪除指定的自定義NBAR規則。
【命令】
nbar application application-name protocol { http | tcp | udp }
undo nbar application application-name
【缺省情況】
不存在自定義NBAR規則。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
application-name:指定自定義NBAR規則的名稱,為1~63個字符的字符串,不區分大小寫,不允許為係統保留的“invalid”、“other”和係統預定義應用的名稱。
http:表示該規則用於識別基於HTTP協議的報文。
tcp:表示該規則用於識別基於TCP協議的報文。
udp:表示該規則用於識別基於UDP協議的報文。
【使用指導】
如果APR特征庫中預定義的應用規則不能滿足用戶需求,可以使用本命令自定義NBAR規則,以及配置該規則的屬性和特征。但不能對預定義的NBAR規則進行刪除和修改。
【舉例】
# 創建名稱為abcd的自定義NBAR規則,並指定該規則用於識別基於HTTP協議的報文。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd]
override-current命令用來配置定期自動在線升級APR特征庫時覆蓋當前的特征文件。
undo override-current命令用來恢複缺省情況。
【命令】
override-current
undo override-current
【缺省情況】
定期自動在線升級APR特征庫時不會覆蓋當前的特征庫文件,而是同時備份當前的特征庫文件。
【視圖】
自動升級配置視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
可以通過開啟此功能解決升級APR特征庫時設備內存不足的問題。在設備剩餘內存充裕的情況下,不建議配置該功能,因為APR特征庫升級時,如果沒有備份當前特征庫文件,則不能回滾到上一版本。
【舉例】
# 配置定期自動在線升級APR特征庫時覆蓋當前的特征文件。
<Sysname> system-view
[Sysname] apr signature auto-update
[Sysname-apr-autoupdate] override-current
【相關命令】
· apr signature auto-update
port-mapping命令用來配置通用端口映射。
undo port-mapping命令用來刪除指定的通用端口映射。
【命令】
port-mapping application application-name port port-number [ protocol protocol-name ]
undo port-mapping application application-name port port-number [ protocol protocol-name ]
【缺省情況】
各應用層協議與其對應的常用的端口號映射。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
application application-name:指定端口映射的應用層協議。application-name表示應用協議名稱。為1~63個字符的字符串,不區分大小寫,不允許為係統保留的“invalid”和“other”。該應用層協議名稱必須標準且能夠被設備識別。
port port-number:指定與應用層協議映射的端口。port-number表示端口號,取值範圍為0~65535。
protocol protocol-name:指定應用層協議使用的傳輸層協議名稱,其取值及含義如下:
· dccp:表示DCCP(Datagram Congestion Control Protocol,數據報擁塞控製協議)協議。
· sctp:表示SCTP(Stream Control Transmission Protocol,流控製傳輸協議)協議。
· tcp:表示TCP協議。
· udp:表示UDP協議。
· udp-lite:表示UDP-Lite協議。
【使用指導】
若不指定protocol參數,則表示所有傳輸層協議的指定報文均可被識別為指定應用層協議的報文。
如果報文的目的端口號與某個通用端口映射匹配,則該報文將被識別為相應的應用層協議報文。
指定傳輸層協議名稱的映射優先級高於不指定傳輸層協議名稱的映射。
應用層協議名稱不同,其他參數相同時,多次執行本命令,最後一次執行的命令生效。
不能通過重複執行本命令來修改與應用層協議映射的端口號。如需修改端口號,請先通過undo port-mapping application命令刪除通用端口映射,再執行port-mapping application命令。
【舉例】
# 建立端口3456到FTP協議的通用端口映射。
<Sysname> system-view
[Sysname] port-mapping application ftp port 3456
【相關命令】
· display port-mapping user-defined
port-mapping acl命令用來配置基於ACL的主機端口映射。
undo port-mapping acl命令用來刪除指定的主機端口映射。
【命令】
port-mapping application application-name port port-number [ protocol protocol-name ] acl [ ipv6 ] acl-number
undo port-mapping application application-name port port-number [ protocol protocol-name ] acl [ ipv6 ] acl-number
【缺省情況】
各應用層協議與其對應的常用的端口號映射。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
application application-name:指定端口映射的應用層協議。application-name表示應用層協議名稱。為1~63個字符的字符串,不區分大小寫,不允許為係統保留的“invalid”和“other”。該應用層協議名稱必須標準且能夠被設備識別。
port port-number:指定與應用層協議映射的端口。port-number表示端口號,取值範圍為0~65535。
protocol protocol-name:指定應用層協議使用的傳輸層協議名稱,其取值及含義如下:
· dccp:表示DCCP(Datagram Congestion Control Protocol,數據報擁塞控製協議)協議。
· sctp:表示SCTP(Stream Control Transmission Protocol,流控製傳輸協議)協議。
· tcp:表示TCP協議。
· udp:表示UDP協議。
· udp-lite:表示UDP-Lite協議。
acl [ ipv6 ] acl-number:ACL編號,取值範圍為2000~2999。如果指定ipv6,則表示IPv6 ACL,否則表示IPv4 ACL。即使指定的ACL中開啟統計功能後,此ACL也不會統計匹配此PBAR的流量。
【使用指導】
若不指定protocol參數,則表示所有傳輸層協議的指定報文均可被識別為指定應用層協議的報文。
對於匹配指定ACL的報文(其目的IP地址與ACL中某規則指定的源IP地址參數相匹配),如果報文的目的端口號與某個映射關係匹配,則該報文將被識別為對應的應用層協議報文。
應用層協議名稱不同,其他參數相同時,多次執行本命令,最後一次執行的命令生效。
指定傳輸層協議名稱的映射優先級高於不指定傳輸層協議名稱的映射。
【舉例】
# 為匹配ACL 2000的報文,建立端口3456到FTP協議的映射。
<Sysname> system-view
[Sysname] port-mapping application ftp port 3456 acl 2000
【相關命令】
· display port-mapping user-defined
port-mapping host命令用來設置基於IP地址的主機端口映射。
undo port-mapping host命令用來刪除指定IP地址的主機端口映射。
【命令】
port-mapping application application-name port port-number [ protocol protocol-name ] host { ip | ipv6 } start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ]
undo port-mapping application application-name port port-number [ protocol protocol-name ] host { ip | ipv6 } start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ]
【缺省情況】
各應用層協議與其對應的常用的端口號映射。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
application application-name:指定端口映射的應用層協議。application-name表示應用層協議名稱,為1~63個字符的字符串,不區分大小寫,不允許為係統保留的“invalid”和“other”。該應用層協議名稱必須標準且能夠被設備識別。
port port-number:指定與應用層協議映射的端口。port-number表示端口號,取值範圍為0~65535。
protocol protocol-name:指定應用層協議使用的傳輸層協議名稱,其取值及含義如下:
· dccp:表示DCCP(Datagram Congestion Control Protocol,數據報擁塞控製協議)協議。
· sctp:表示SCTP(Stream Control Transmission Protocol,流控製傳輸協議)協議。
· tcp:表示TCP協議。
· udp:表示UDP協議。
· udp-lite:表示UDP-Lite協議。
ip:指定基於IPv4地址的主機端口映射。
ipv6:指定基於IPv6地址的主機端口映射。
start-ip-address [ end-ip-address ]:表示IPv4地址範圍或IPv6地址範圍。start-ip-address表示起始IP地址,end-ip-address表示終止IP地址。如果僅配置start-ip-address,則表示單個主機;如果同時配置start-ip-address和end-ip-address,則表示位於start-ip-address和end-ip-address範圍內的所有主機,其中的end-ip-address必須大於等於start-ip-address。
vpn-instance vpn-instance-name:表示報文所屬的VPN。vpn-instance-name為MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果不指定該參數,則表示報文屬於公網。
【使用指導】
若不指定protocol參數,則表示所有傳輸層協議的指定報文均可被識別為指定應用層協議的報文。
對於目的地址為指定地址或指定範圍的地址的報文,如果報文的目的端口號與某個映射關係匹配,則該報文將被識別為對應的應用層協議報文。
對於應用協議、端口號、傳輸層協議參數均相同的配置,要求各配置中指定的IP地址或者IP地址範圍不能重疊。
應用層協議名稱不同,其他參數相同時,多次執行本命令,最後一次執行的命令生效。
指定傳輸層協議名稱的映射優先級高於不指定傳輸層協議名稱的映射。
【舉例】
# 為目的IP地址範圍為1.1.1.1~1.1.1.10的IPv4報文,建立端口3456到FTP協議的映射。
<Sysname> system-view
[Sysname] port-mapping application ftp port 3456 host ip 1.1.1.1 1.1.1.10
# 為目的IP地址為1::1的IPv6報文,建立端口3456到FTP協議的映射。
<Sysname> system-view
[Sysname] port-mapping application ftp port 3456 host ipv6 1::1
【相關命令】
· display port-mapping user-defined
port-mapping subnet命令用來配置基於網段的主機端口映射。
undo port-mapping subnet命令用來刪除指定網段的主機端口映射。
【命令】
port-mapping application application-name port port-number [ protocol protocol-name ] subnet { ip ipv4-address { mask-length | mask } | ipv6 ipv6-address prefix-length } [ vpn-instance vpn-instance-name ]
undo port-mapping application application-name port port-number [ protocol protocol-name ] subnet { ip ipv4-address { mask-length | mask } | ipv6 ipv6-address prefix-length } [ vpn-instance vpn-instance-name ]
【缺省情況】
各應用層協議與其對應的常用的端口號映射。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
application application-name:指定端口映射的應用層協議。application-name表示應用層協議名稱。為1~63個字符的字符串,不區分大小寫,不允許為係統保留的“invalid”和“other”。該應用層協議名稱必須標準且能夠被設備識別。
port port-number:指定與應用層協議映射的端口。port-number表示端口號,取值範圍為0~65535。
protocol protocol-name:指定應用層協議使用的傳輸層協議名稱,其取值及含義如下:
· dccp:表示DCCP(Datagram Congestion Control Protocol,數據報擁塞控製協議)。
· sctp:表示SCTP(Stream Control Transmission Protocol,流控製傳輸協議)。
· tcp:表示TCP協議。
· udp:表示UDP協議。
· udp-lite:表示UDP-Lite協議。
ip ipv4-address { mask-length | mask }:指定IPv4網段。其中,ipv4-address表示IPv4地址;mask-length表示子網掩碼長度,取值範圍為1~32;mask表示子網掩碼,為點分十進製格式。
ipv6 ipv6-address prefix-length:指定IPv6網段。其中,ipv6-address表示IPv6地址;prefix-length表示IPv6前綴長度,取值範圍為1~128。
vpn-instance vpn-instance-name:表示主機所屬的VPN。vpn-instance-name為MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果不指定該參數,則表示主機屬於公網。
【使用指導】
若不指定protocol參數,則表示所有傳輸層協議的指定端口的報文均被識別為指定應用層協議的報文。
對於目的地址為指定網段的報文,如果報文的目的端口號與某個映射關係匹配,則該報文將被識別為對應的應用層協議報文。
PBAR以最精確的網絡範圍對報文進行匹配,即如果配置了多條網段映射關係,且各映射關係中指定的網段範圍互相包含,則使用網絡範圍最小的映射配置進行匹配。
應用層協議名稱不同,其他參數相同時,多次執行本命令,最後一次執行的命令生效。
指定傳輸層協議名稱的映射優先級高於不指定傳輸層協議名稱的映射。
【舉例】
# 為目的網段地址為1.1.1.0/24的IPv4主機報文,建立端口3456到FTP協議的映射。
<Sysname> system-view
[Sysname] port-mapping application ftp port 3456 subnet ip 1.1.1.0 24
# 為目的網段地址為1:: /120的IPv6主機報文,建立端口3456到FTP協議的映射。
<Sysname> system-view
[Sysname] port-mapping application ftp port 3456 subnet ipv6 1:: 120
【相關命令】
· display port-mapping user-defined
reset application statistics命令用來清除指定接口或所有接口的應用統計信息。
【命令】
reset application statistics [ interface interface-type interface-number ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interface interface-type interface-number:清除指定接口上的應用統計信息。interface-type interface-number表示接口類型和接口編號。如果不指定此參數,則表示清除所有接口上的應用統計信息。
【舉例】
# 清除所有接口的應用統計信息。
<Sysname> reset application statistics
【相關命令】
· application statistics enable
· display application statistics
risk type命令用來配置自定義應用的風險類型。
undo risk type命令用來刪除自定義應用的風險類型。
【命令】
risk type risk-type
undo risk type [ risk-type ]
【缺省情況】
未配置自定義應用的風險類型。
【視圖】
自定義應用視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
risk-type:表示風險類型的名稱,不區分大小寫,可通過輸入“?”來獲取支持的風險類型名稱。
【使用指導】
多次執行本命令,可為一個自定義應用配置多個風險類型。所屬的風險類型越多,表示該應用的風險級別越高。管理員可根據應用的風險級別配置相應的防護策略(例如安全策略),保護內網安全。在執行undo risk type命令時,如果不指定風險類型,將刪除該自定義應用的所有風險類型。
【舉例】
# 配置自定義應用app1的風險類型為Tunneling和Misoperation。
<sysname> system-view
[sysname] user-defined-application app1
[sysname-user-defined-app-app1] risk type Tunneling
[sysname-user-defined-app-app1] risk type Misoperation
service-port命令用來配置自定義NBAR規則匹配的端口號。
undo service-port命令用來恢複缺省情況。
【命令】
service-port { port-num | range start-port end-port }
undo service-port
【缺省情況】
NBAR規則匹配所有端口號。
【視圖】
NBAR規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
port-num:指定規則匹配的端口號,取值範圍為0~65535。
range:指定規則匹配的端口號範圍。
start-port:表示起始端口號,取值範圍為0~65535。
end-port:表示終止端口號,取值範圍為0~65535。
【使用指導】
本命令配置的端口號用來匹配報文的源端口和目的端口。首先匹配報文的目的端口,當目的端口匹配失敗後,再匹配源端口,隻要其中一類端口與配置的端口號匹配成功就算此報文與此條件匹配成功。
在同一個NBAR規則視圖下多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置NBAR規則abcd的端口號範圍為2001~2004。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] service-port range 2001 2004
【相關命令】
· direction
signature命令用來創建自定義NBAR規則的特征,並進入NBAR規則特征視圖。如果指定的NBAR規則特征已存在,則直接進入NBAR規則特征視圖。
undo signature命令用來刪除自定義NBAR規則的特征。
【命令】
signature [ signature-id ] [ field field-name ] [ offset offset-value ] { hex hex-vector | regex regex-pattern | string string }
undo signature signature-id
【缺省情況】
未配置自定義NBAR規則的特征。
【視圖】
NBAR規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
signature-id:指定NBAR規則特征的編號。取值範圍為1~65535。若未指定本參數,係統將按照步長從5開始,自動分配規則中不存在的5的最小整倍數作為ID,步長為5。例如,現有規則的最大編號為28,上次自動分配的編號是5,接著手動配置一條編號為10的規則,再自動配置一條規則,此規則自動分配的編號是15。
field field-name:表示在指定的協議域中匹配特征,field-name表示協議域名稱,且這些協議域是係統預定義的,不可自定義。隻有基於HTTP協議的NBAR規則中的特征才能指定協議域,不指定協議域表示在整個HTTP報文中匹配特征。
offset offset-value:表示在數據起始位置的偏移指定字節後的內容中去匹配特征,offset-value表示字節偏移量,取值範圍為0~65535,單位為字節。如果未指定本參數,將從數據起始位置後的所有內容中去匹配特征。如果指定了協議域,則偏移值從協議域的起始位置計算。
hex hex-vector:指定16進製向量特征。取值範圍為8~256個字符的字符串,且字符個數必須為偶數,輸入參數必須在兩個豎杠(|)之間。
regex regex-pattern:指定正則表達式特征,為3~253個字符的字符串,支持所有可輸入字符,區分大小寫。
string string:指定字符串特征,為3~256個字符的字符串,支持所有可輸入字符,區分大小寫。
【使用指導】
對於一個自定義應用,允許配置多個特征(特征編號不同),特征可以是字符串、16進製向量或者正則表達式,不同特征之間是邏輯或的關係。
特征編號相同時,多次執行本命令,最後一次執行的命令生效。
正則表達式有如下限製:
· 正則表達式中,總的分支不能超過四個。例如'abc(c|d|e|\x3D)'有效,'abc(c|onreset|onselect|onchange|style\x3D)'無效。
· 正則表達式中,括號不能嵌套,即括號中不能有括號。例如'ab((abcs*?))'無效。
· 正則表達式中,分支不支持串聯,即分支後麵不能有分支。例如'ab(a|b)(c|d)^\\r\\n]+?'無效。
· 正則表達式中,零次重複量詞'*'和'?'前麵必須有四個確定字符。例如'abc*'無效,'abcd*DoS\x2d\d{5}\x20\x2bxi\\r\\nJOIN'有效。
【舉例】
# 在名為abcd的自定義NBAR規則中創建編號為1的自定義NBAR規則特征,配置字符串特征為abcdefg,並進入NBAR規則特征視圖。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] signature 1 string abcdefg
[Sysname-nbar-application-abcd-signature-1]
# 在名為ddd的自定義NBAR規則中創建編號為2的自定義NBAR規則特征,配置16進製向量特征為123456。
<Sysname> system-view
[Sysname] nbar application ddd protocol http
[Sysname-nbar-application-ddd] signature 2 hex |123456|
[Sysname-nbar-application-ddd-signature-2]
【相關命令】
· detection
source命令用來配置自定義NBAR規則匹配的源IP地址網段。
undo source命令用來恢複缺省情況。
【命令】
source ip ipv4-address [ mask-length ]
undo source
【缺省情況】
NBAR規則匹配所有源IP地址網段。
【視圖】
NBAR規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip ipv4-address:指定匹配的源IPv4地址或網段,為點分十進製格式。
mask-length:子網掩碼長度,取值範圍為0~32。
【使用指導】
在同一個NBAR規則視圖下多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置應用abcd的源網段。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] source ip 192.168.2.0 24
【相關命令】
· nbar application
update schedule命令用來配置定期自動升級APR特征庫的時間。
undo update schedule命令用來恢複缺省情況。
【命令】
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
undo update schedule
【缺省情況】
設備會在每天02:01:00至04:01:00之間自動升級APR特征庫。
【視圖】
自動升級配置視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
daily:表示自動升級周期為每天。
weekly:表示以一周為周期,在指定一天進行自動升級。
fri:表示星期五。
mon:表示星期一。
sat:表示星期六。
sun:表示星期日。
thu:表示星期四。
tue:表示星期二。
wed:表示星期三。
start-time time:指定自動升級開始時間,time的格式為hh:mm:ss,取值範圍為00:00~23:59:59。
tingle minutes:指定抖動時間,即實際自動升級開始時間的偏差範圍,取值範圍為0~120,單位為分鍾。在start-time指定時間的前後各偏移抖動時間的一半作為自動升級的時間範圍,例如,指定自動升級的開始時間為01:00:00,抖動時間為60分鍾,則自動升級的時間範圍為00:30:00至01:30:00。
【舉例】
# 配置定期自動升級APR特征庫的時間為每周一的23:10:00,抖動時間為10分鍾。
<Sysname> system-view
[Sysname] apr signature auto-update
[Sysname-apr-autoupdate] update schedule weekly mon start-time 23:10:00 tingle 10
【相關命令】
· apr signature auto-update
user-defined-application命令用來進入自定義應用視圖。
undo user-defined-application命令用來刪除指定自定義應用的配置。
【命令】
user-defined-application application-name
undo user-defined-application application-name
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
application-name:指定自定義應用的名稱,為1~63個字符的字符串,不區分大小寫,不允許為係統保留的“invalid”、“other”和係統預定義應用的名稱。
【使用指導】
進入自定義應用視圖後,可為NBAR類型和PBAR類型的自定義應用配置風險類型。指定的自定義應用必須已存在。
【舉例】
# 進入名為app1的自定義應用視圖。
<sysname> system-view
[sysname] user-defined-application app1
[sysname-user-defined-app-app1]
【相關命令】
· nbar application
· port-mapping
· port-mapping acl
· port-mapping host
· port-mapping subnet
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
