- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
16-ASPF命令
本章節下載: 16-ASPF命令 (236.79 KB)
aspf apply policy命令用來在接口上應用ASPF策略。
undo aspf apply policy命令用來刪除接口上應用的ASPF策略。
【命令】
aspf apply policy aspf-policy-number { inbound | outbound }
undo aspf apply policy aspf-policy-number { inbound | outbound }
【缺省情況】
接口上未應用ASPF策略。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
aspf-policy-number:ASPF策略號,取值範圍為1~256。
inbound:對接口入方向的報文應用ASPF策略。
outbound:對接口出方向的報文應用ASPF策略。
【使用指導】
隻有將定義好的ASPF策略應用到接口上,才能對通過接口的流量進行檢測。由於ASPF對於應用層協議狀態的保存和維護都是基於接口的,因此在實際應用中,必須保證報文入口的一致性,即必須保證連接發起方發送的報文和響應端返回的報文經過同一接口。
可以同時在接口的出方向和入方向上都應用ASPF策略。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在接口Vlan-interface100的出方向上應用ASPF策略。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] aspf apply policy 1 outbound
【相關命令】
· aspf policy
· display aspf all
· display aspf interface
aspf log sending-realtime enable命令用來開啟日誌的實時發送功能。
undo aspf log sending-realtime enable命令用來關閉日誌的實時發送功能。
【命令】
aspf log sending-realtime enable
undo aspf log sending-realtime enable
【缺省情況】
日誌的實時發送功能處於關閉狀態,使用緩存方式發送。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
日誌實時發送功能僅對安全策略、對象策略和包過濾模塊的日誌發送有效。
日誌的發送方式支持如下兩種:
· 緩存發送方式:同一數據流的首報文匹配相關策略生成並發送日誌後,設備緩存此日誌,同時啟動發送日誌的時間間隔定時器,隻有時間間隔到達後,才會判斷是否繼續發送此日誌。在此時間間隔內若有流量匹配此日誌,則發送日誌,若沒有則刪除緩存的此日誌。日誌緩存數目達到上限後,新增數據流匹配相關策略時不能生成日誌。日誌發送時間間隔缺省為5分鍾,且不能修改。
· 實時發送方式:同一數據流的首報文匹配相關策略生成並發送日誌後,設備不緩存此日誌,因此這種方式無日誌數目的限製。對於一條不間斷的流量,若匹配的策略允許報文通過,則設備僅發送一次日誌,若匹配的策略拒絕報文通過,則設備將對此條數據流的每個報文均發送一次日誌。
有關安全策略、對象策略和包過濾開啟記錄日誌功能的詳細介紹,請參見各自模塊的相關配置介紹。
【舉例】
# 開啟日誌的實時發送功能。
<Sysname> system-view
[Sysname] aspf log sending-realtime enable
aspf policy命令用來創建ASPF策略,並進入ASPF策略視圖。如果指定的ASPF策略已經存在,則直接進入ASPF策略視圖。
undo aspf policy命令用來刪除指定的ASPF策略。
【命令】
aspf policy aspf-policy-number
undo aspf policy aspf-policy-number
【缺省情況】
不存在ASPF策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
aspf-policy-number:ASPF策略號,取值範圍為1~256。
【舉例】
# 創建ASPF策略1,並進入該ASPF策略視圖。
<Sysname> system-view
[Sysname] aspf policy 1
[Sysname-aspf-policy-1]
【相關命令】
· display aspf all
· display aspf policy
detect命令用來為應用層協議配置ASPF檢測。
undo detect命令用來恢複缺省情況。
【命令】
detect { ftp | h323 | sccp | sip | gtp | ils | mgcp | nbt | pptp | rsh | rtsp | sqlnet | tftp | xdmcp }
undo detect { ftp | gtp | h323 | ils | mgcp | nbt | pptp | rsh | rtsp | sccp | sip | sqlnet | tftp | xdmcp }
【缺省情況】
對傳輸層協議和應用層協議FTP進行ASPF檢測。
【視圖】
ASPF策略視圖
【缺省用戶角色】
network-admin
【參數】
ftp:表示FTP協議,屬於應用層協議。
gtp:表示GTP(GPRS Tunneling Protocol,GPRS隧道協議)協議,屬於應用層協議。
h323:表示H.323協議族,屬於應用層協議。
ils:表示ILS(Internet Locator Service,互聯網定位服務)協議,屬於應用層協議。
mgcp:表示MGCP(Media Gateway Control Protocol,媒體網關控製協議)協議,屬於應用層協議。
nbt:表示NBT(NetBIOS over TCP/IP,基於TCP/IP的網絡基本輸入輸出係統)協議,屬於應用層協議。
pptp:表示PPTP(Point-to-Point Tunneling Protocol,點到點隧道協議)協議,屬於應用層協議。
rsh:表示RSH(Remote Shell,遠程外殼)協議,屬於應用層協議。
rtsp:表示RTSP(Real Time Streaming Protocol,實時流協議)協議,屬於應用層協議。
sccp:表示SCCP(Skinny Client Control Protocol,瘦小客戶端控製協議)協議,屬於應用層協議。
sip:表示SIP(Session Iniation Protocol,會話初始化協議)協議,屬於應用層協議。
sqlnet:表示SQLNET協議,屬於應用層協議。
tftp:表示TFTP協議,屬於應用層協議。
xdmcp:表示XDMCP(X Display Manager Control Protocol,X顯示監控)協議,屬於應用層協議。
【使用指導】
若配置了此命令,則對報文的應用層協議進行ASPF檢查;若沒有配置此命令,則僅對報文的傳輸層協議進行ASPF檢查。
在多通道應用層協議的應用需求中,必須配置此命令,否則會導致數據連接無法建立。此命令支持的應用層協議中除TFTP之外的所有應用層協議均為多通道應用層協議。
可通過多次執行本命令配置多種協議類型的ASPF檢測。
ASPF策略默認已經開啟對傳輸層協議的檢測,無需進行配置,也不能修改。檢測的傳輸層協議包括:TCP協議、UDP協議、UDP-Lite協議、SCTP協議、Raw IP協議、ICMP協議、ICMPv6協議和DCCP協議。
ASPF策略可以根據需要配置應用層協議的檢測,僅進行連接狀態信息的維護,不做協議狀態合法性檢查。
【舉例】
# 配置對FTP協議報文進行ASPF檢測。
<Sysname> system-view
[Sysname] aspf policy 1
[Sysname-aspf-policy-1] detect ftp
【相關命令】
· display aspf policy
display aspf all命令用來查看ASPF策略配置信息及應用ASPF策略的信息。
【命令】
display aspf all
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 查看所有的ASPF策略配置信息。
<Sysname> display aspf all
ASPF policy configuration:
Policy default:
ICMP error message check: Disabled
TCP SYN packet check: Disabled
Inspected protocol
FTP
Policy number: 1
ICMP error message check: Disabled
TCP SYN packet check: Disabled
Inspected protocol
FTP
Interface configuration:
GigabitEthernet1/0/1
Inbound policy : 1
Outbound policy: none
表1-1 display aspf all命令顯示信息描述表
|
字段 |
描述 |
|
ASPF policy configuration |
ASPF策略的配置信息 |
|
Policy default |
缺省ASPF策略 |
|
Policy number |
ASPF策略號 |
|
ICMP error message check |
ICMP差錯報文檢測功能的開啟狀態 |
|
TCP SYN packet check |
非SYN的TCP首報文丟棄功能的開啟狀態 |
|
Inspected protocol |
需要檢測的應用層協議 |
|
Interface configuration |
接口下應用ASPF策略的配置信息 |
|
Inbound policy |
接口入方向上應用的ASPF策略編號 |
|
Outbound policy |
接口出方向上應用的ASPF策略編號 |
【相關命令】
· aspf apply policy
· aspf policy
· display aspf policy
display aspf interface命令用來查看接口上的ASPF策略配置信息。
【命令】
display aspf interface
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 查看接口上的ASPF策略信息。
<Sysname> display aspf interface
Interface configuration:
Vlan-interface 100
Inbound policy : 1
Outbound policy: none
表1-2 display aspf interface命令顯示信息描述表
|
字段 |
描述 |
|
Interface configuration |
接口上應用ASPF策略的配置信息 |
|
Inbound policy |
接口入方向上應用的ASPF策略編號 |
|
Outbound policy |
接口出方向上應用的ASPF策略編號 |
【相關命令】
· aspf apply policy
· aspf policy
display aspf policy命令用來查看ASPF策略的配置信息。
【命令】
display aspf policy { aspf-policy-number | default }
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
aspf-policy-number:ASPF策略號,取值範圍為1~256。
default:缺省ASPF策略。
【舉例】
# 查看策略號為1的ASPF策略的配置信息。
<Sysname> display aspf policy 1
ASPF policy configuration:
Policy number: 1
ICMP error message check: Disabled
TCP SYN packet check: Enabled
表1-3 display aspf policy命令顯示信息描述表
|
字段 |
描述 |
|
ASPF policy configuration |
ASPF策略的配置信息 |
|
Policy number |
ASPF策略號 |
|
ICMP error message check |
ICMP差錯報文檢測功能的開啟狀態 |
|
TCP SYN packet check |
非SYN的TCP首報文丟棄功能的開啟狀態 |
|
Inspected protocol |
需要檢測的應用層協議 |
【相關命令】
· aspf policy
display aspf session命令用來查看ASPF的會話表信息。
【命令】
display aspf session [ ipv4 | ipv6 ] [ verbose ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
ipv4:查看ASPF創建的IPv4會話表。
ipv6:查看ASPF創建的IPv6會話表。
verbose:查看ASPF會話表的詳細信息。若不指定該參數,則表示查看ASPF會話表的概要信息。
【使用指導】
不指定ipv4和ipv6參數時,表示查看所有的ASPF會話表信息。
【舉例】
# 顯示ASPF創建的IPv4會話表的概要信息。
<Sysname> display aspf session ipv4
Slot 0:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Vlan-interface 100
Initiator:
Source IP/port: 192.168.1.18/1792
Destination IP/port: 192.168.1.55/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Vlan-interface 100
Total sessions found: 2
# 顯示IPv4 ASPF會話的詳細信息。
<Sysname> display aspf session ipv4 verbose
Slot 0:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Vlan-interface 100
Responder:
Source IP/port: 192.168.1.55/22
Destination IP/port: 192.168.1.18/1877
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Vlan-interface 101
State: TCP_SYN_SENT
Application: SSH
Start time: 2011-07-29 19:12:36 TTL: 28s
Initiator->Responder: 1 packets 48 bytes
Responder->Initiator: 0 packets 0 bytes
Initiator:
Source IP/port: 192.168.1.18/1792
Destination IP/port: 192.168.1.55/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Vlan-interface 100
Responder:
Source IP/port: 192.168.1.55/1792
Destination IP/port: 192.168.1.18/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Vlan-interface 101
State: ICMP_REQUEST
Application: OTHER
Start time: 2011-07-29 19:12:33 TTL: 55s
Initiator->Responder: 1 packets 60 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 2
表1-4 display aspf session命令顯示信息描述表
|
字段 |
描述 |
|
Initiator |
發起方到響應方的連接對應的會話信息 |
|
Responder |
響應方到發起方的連接對應的會話信息 |
|
Source IP/port |
源IP地址/端口號 |
|
Destination IP/port |
目的IP地址/端口號 |
|
DS-Lite tunnel peer |
DS-Lite隧道對端地址。會話不屬於任何DS-Lite隧道時,本字段顯示為“-” |
|
VPN-instance/VLAN ID/Inline ID |
會話所屬的MPLS L3VPN/二層轉發時會話所屬的VLAN ID/二層轉發時會話所屬的INLINE。未指定的參數則顯示為“-” |
|
Protocol |
傳輸層協議類型,取值包括:DCCP、ICMP、ICMPv6、Raw IP 、SCTP、TCP、UDP、UDP-Lite 括號中的數字表示協議號 |
|
Inbound interface |
報文的入接口 |
|
State |
會話的協議狀態 |
|
Application |
應用層協議類型,取值包括:FTP、DNS等,OTHER表示未知協議類型,其對應的端口為非知名端口 |
|
Start time |
會話的創建時間 |
|
TTL |
會話剩餘存活時間,單位為秒 |
|
Initiator->Responder |
發起方到響應方的報文數、報文字節數 |
|
Responder->Initiator |
響應方到發起方的報文數、報文字節數 |
|
Total sessions found |
當前查找到的會話總數 |
【相關命令】
· reset aspf session
icmp-error drop命令用來開啟ICMP差錯報文丟棄功能。
undo icmp-error drop命令用來關閉ICMP差錯報文丟棄功能。
【命令】
icmp-error drop
undo icmp-error drop
【缺省情況】
ICMP差錯報文丟棄功能處於關閉狀態。
【視圖】
ASPF策略視圖
【缺省用戶角色】
network-admin
【使用指導】
正常ICMP差錯報文中均攜帶有本報文對應連接的相關信息,根據這些信息可以匹配到相應的連接。如果匹配失敗,則根據當前配置決定是否丟棄該ICMP報文。
【舉例】
# 設置ASPF策略1丟棄非法的ICMP差錯報文。
<Sysname> system-view
[Sysname] aspf policy 1
[Sysname-aspf-policy-1] icmp-error drop
· aspf policy
· display aspf policy
reset aspf session命令用來刪除ASPF的會話表項。
【命令】
reset aspf session [ ipv4 | ipv6 ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
ipv4:刪除ASPF創建的IPv4會話表項。
ipv6:刪除ASPF創建的IPv6會話表項。
【使用指導】
如果不指定ipv4和ipv6參數,則表示刪除ASPF創建的所有會話表項。
【舉例】
# 清除ASPF創建的所有會話表項。
<Sysname> reset aspf session
· display aspf session
tcp syn-check命令用來開啟非SYN的TCP首報文丟棄功能。
undo tcp syn-check命令用來關閉非SYN的TCP首報文丟棄功能。
【命令】
tcp syn-check
undo tcp syn-check
【缺省情況】
非SYN的TCP首報文丟棄功能處於關閉狀態。
【視圖】
ASPF策略視圖
【缺省用戶角色】
network-admin
【使用指導】
ASPF對TCP連接的首報文進行檢測,查看是否為SYN報文,如果不是SYN報文則根據當前配置決定是否丟棄該報文。
當設備首次加入網絡時,網絡中原有TCP連接的非首包在經過新加入的設備時如果被丟棄,會中斷已有的連接,造成不好的用戶體驗,因此建議暫且不丟棄非SYN首包,等待網絡拓撲穩定後,再開啟非SYN首包丟棄功能。
【舉例】
# 設置ASPF策略1丟棄非SYN的TCP首報文。
<Sysname> system-view
[Sysname] aspf policy 1
[Sysname-aspf-policy-1] tcp syn-check
【相關命令】
· aspf policy
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
