登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

16-安全命令参考

目录

04-ASPF命令

本章节下载 04-ASPF命令  (143.19 KB)

04-ASPF命令

目  录

1 ASPF

1.1 ASPF配置命令

1.1.1 aspf apply policy

1.1.2 aspf policy

1.1.3 detect

1.1.4 display aspf all

1.1.5 display aspf interface

1.1.6 display aspf policy

1.1.7 display aspf session

1.1.8 icmp-error drop

1.1.9 reset aspf session

1.1.10 tcp syn-check

 

1 ASPF

1.1  ASPF配置命令

1.1.1  aspf apply policy

aspf apply policy命令用来在接口上应用ASPF策略。

undo aspf apply policy命令用来删除接口上应用的ASPF策略。

【命令】

aspf apply policy aspf-policy-number { inbound | outbound }

undo aspf apply policy aspf-policy-number { inbound | outbound }

【缺省情况】

接口上未应用ASPF策略。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

aspf-policy-number:ASPF策略号,取值范围为1~256。

inbound:对接口入方向的报文应用ASPF策略。

outbound:对接口出方向的报文应用ASPF策略。

【使用指导】

只有将定义好的ASPF策略应用到接口上,才能对通过接口的流量进行检测。由于ASPF对于应用层协议状态的保存和维护都是基于接口的,因此在实际应用中,必须保证报文入口的一致性,即必须保证连接发起方发送的报文和响应端返回的报文经过同一接口。

可以同时在接口的出方向和入方向上都应用ASPF策略。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在接口Vlan-interface100的出方向上应用ASPF策略。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname-Vlan-interface100] aspf apply policy 1 outbound

【相关命令】

·              aspf policy

·              display aspf all

·              display aspf interface

1.1.2  aspf policy

aspf policy命令用来创建ASPF策略,并进入ASPF策略视图。如果指定的ASPF策略已经存在,则直接进入ASPF策略视图。

undo aspf policy命令用来删除指定的ASPF策略。

【命令】

aspf policy aspf-policy-number

undo aspf policy aspf-policy-number

【缺省情况】

不存在ASPF策略。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

aspf-policy-number:ASPF策略号,取值范围为1~256。

【举例】

# 创建ASPF策略1,并进入该ASPF策略视图。

<Sysname> system-view

[Sysname] aspf policy 1

[Sysname-aspf-policy-1]

【相关命令】

·              display aspf all

·              display aspf policy

1.1.3  detect

detect命令用来为应用层协议配置ASPF检测。

undo detect命令用来恢复缺省情况。

【命令】

detect { ftp | h323 | sccp | sip | gtp | ils | mgcp | nbt | pptp | rsh | rtsp | sqlnet | tftp | xdmcp }

undo detect { ftp | gtp | h323 | ils | mgcp | nbt | pptp | rsh | rtsp | sccp | sip | sqlnet | tftp | xdmcp }

【缺省情况】

对传输层协议和应用层协议FTP进行ASPF检测。

【视图】

ASPF策略视图

【缺省用户角色】

network-admin

【参数】

ftp:表示FTP协议,属于应用层协议。

gtp:表示GTP(GPRS Tunneling Protocol,GPRS隧道协议)协议,属于应用层协议。

h323:表示H.323协议族,属于应用层协议。

ils:表示ILS(Internet Locator Service,互联网定位服务)协议,属于应用层协议。

mgcp:表示MGCP(Media Gateway Control Protocol,媒体网关控制协议)协议,属于应用层协议。

nbt:表示NBT(NetBIOS over TCP/IP,基于TCP/IP的网络基本输入输出系统)协议,属于应用层协议。

pptp:表示PPTP(Point-to-Point Tunneling Protocol,点到点隧道协议)协议,属于应用层协议。

rsh:表示RSH(Remote Shell,远程外壳)协议,属于应用层协议。

rtsp:表示RTSP(Real Time Streaming Protocol,实时流协议)协议,属于应用层协议。

sccp:表示SCCP(Skinny Client Control Protocol,瘦小客户端控制协议)协议,属于应用层协议。

sip:表示SIP(Session Iniation Protocol,会话初始化协议)协议,属于应用层协议。

sqlnet:表示SQLNET协议,属于应用层协议。

tftp:表示TFTP协议,属于应用层协议。

xdmcp:表示XDMCP(X Display Manager Control Protocol,X显示监控)协议,属于应用层协议。

【使用指导】

若配置了此命令,则对报文的应用层协议进行ASPF检查;若没有配置此命令,则仅对报文的传输层协议进行ASPF检查。

在多通道应用层协议的应用需求中,必须配置此命令,否则会导致数据连接无法建立。此命令支持的应用层协议中除TFTP之外的所有应用层协议均为多通道应用层协议。

可通过多次执行本命令配置多种协议类型的ASPF检测。

ASPF策略默认已经开启对传输层协议的检测,无需进行配置,也不能修改。检测的传输层协议包括:TCP协议、UDP协议、UDP-Lite协议、SCTP协议、Raw IP协议、ICMP协议、ICMPv6协议和DCCP协议。

ASPF策略可以根据需要配置应用层协议的检测,仅进行连接状态信息的维护,不做协议状态合法性检查。

【举例】

# 配置对FTP协议报文进行ASPF检测。

<Sysname> system-view

[Sysname] aspf policy 1

[Sysname-aspf-policy-1] detect ftp

【相关命令】

·              display aspf policy

1.1.4  display aspf all

display aspf all命令用来查看ASPF策略配置信息及应用ASPF策略的信息。

【命令】

display aspf all

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 查看所有的ASPF策略配置信息。

<Sysname> display aspf all

ASPF policy configuration:

  Policy default:

    ICMP error message check: Disabled

    TCP SYN packet check: Disabled

    Inspected protocol

      FTP

  Policy number: 1

    ICMP error message check: Disabled

    TCP SYN packet check: Disabled

    Inspected protocol

      FTP

 

Interface configuration:

  GigabitEthernet1/0/2

    Inbound policy : 1

    Outbound policy: none

表1-1 display aspf all命令显示信息描述表

字段

描述

ASPF policy configuration

ASPF策略的配置信息

Policy default

缺省ASPF策略

Policy number

ASPF策略号

ICMP error message check

ICMP差错报文检测功能的开启状态

TCP SYN packet check

非SYN的TCP首报文丢弃功能的开启状态

Inspected protocol

需要检测的应用层协议

Interface configuration

接口下应用ASPF策略的配置信息

Inbound policy

接口入方向上应用的ASPF策略编号

Outbound policy

接口出方向上应用的ASPF策略编号

 

【相关命令】

·              aspf apply policy

·              aspf policy

·              display aspf policy

1.1.5  display aspf interface

display aspf interface命令用来查看接口上的ASPF策略配置信息。

【命令】

display aspf interface

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 查看接口上的ASPF策略信息。

<Sysname> display aspf interface

Interface configuration:

  Vlan-interface 100

    Inbound policy : 1

    Outbound policy: none

表1-2 display aspf interface命令显示信息描述表

字段

描述

Interface configuration

接口上应用ASPF策略的配置信息

Inbound policy

接口入方向上应用的ASPF策略编号

Outbound policy

接口出方向上应用的ASPF策略编号

 

【相关命令】

·              aspf apply policy

·              aspf policy

1.1.6  display aspf policy

display aspf policy命令用来查看ASPF策略的配置信息。

【命令】

display aspf policy { aspf-policy-number | default }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

aspf-policy-number:ASPF策略号,取值范围为1~256。

default:缺省ASPF策略。

【举例】

# 查看策略号为1的ASPF策略的配置信息。

<Sysname> display aspf policy 1

ASPF policy configuration:

  Policy number: 1

    ICMP error message check: Disabled

    TCP SYN packet check: Enabled

表1-3 display aspf policy命令显示信息描述表

字段

描述

ASPF policy configuration

ASPF策略的配置信息

Policy number

ASPF策略号

ICMP error message check

ICMP差错报文检测功能的开启状态

TCP SYN packet check

非SYN的TCP首报文丢弃功能的开启状态

Inspected protocol

需要检测的应用层协议

 

【相关命令】

·              aspf policy

1.1.7  display aspf session

display aspf session命令用来查看ASPF的会话表信息。

【命令】

display aspf session [ ipv4 | ipv6 ] [ verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

ipv4:查看ASPF创建的IPv4会话表。

ipv6:查看ASPF创建的IPv6会话表。

verbose:查看ASPF会话表的详细信息。若不指定该参数,则表示查看ASPF会话表的概要信息。

【使用指导】

不指定ipv4ipv6参数时,表示查看所有的ASPF会话表信息。

【举例】

# 显示ASPF创建的IPv4会话表的概要信息。

<Sysname> display aspf session ipv4

Initiator:

  Source      IP/port: 192.168.1.18/1877

  Destination IP/port: 192.168.1.55/22

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: Vlan-interface 100

Initiator:

  Source      IP/port: 192.168.1.18/1792

  Destination IP/port: 192.168.1.55/2048

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: ICMP(1)

  Inbound interface: Vlan-interface 100

 

Total sessions found: 2

# 显示IPv4 ASPF会话的详细信息。

<Sysname> display aspf session ipv4 verbose

Initiator:

  Source       IP/port: 192.168.1.18/1877

  Destination IP/port: 192.168.1.55/22

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: Vlan-interface 100

Responder:

  Source       IP/port: 192.168.1.55/22

  Destination IP/port: 192.168.1.18/1877

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: Vlan-interface 101

State: TCP_SYN_SENT

Application: SSH

Start time: 2011-07-29 19:12:36  TTL: 28s

Initiator->Responder:         1 packets         48 bytes

Responder->Initiator:         0 packets          0 bytes

 

Initiator:

  Source      IP/port: 192.168.1.18/1792

  Destination IP/port: 192.168.1.55/2048

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: ICMP(1)

  Inbound interface: Vlan-interface 100

Responder:

  Source      IP/port: 192.168.1.55/1792

  Destination IP/port: 192.168.1.18/0

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: ICMP(1)

  Inbound interface: Vlan-interface 101

State: ICMP_REQUEST

Application: OTHER

Start time: 2011-07-29 19:12:33  TTL: 55s

Initiator->Responder:          1 packets         60 bytes

Responder->Initiator:          0 packets          0 bytes

 

Total sessions found: 2

图1-1 display aspf session命令显示信息描述表

字段

描述

Initiator

发起方到响应方的连接对应的会话信息

Responder

响应方到发起方的连接对应的会话信息

Source IP/port

源IP地址/端口号

Destination IP/port

目的IP地址/端口号

DS-Lite tunnel peer

DS-Lite隧道对端地址。会话不属于任何DS-Lite隧道时,本字段显示为“-”

VPN-instance/VLAN ID/Inline ID

会话所属的MPLS L3VPN(暂不支持)/二层转发时会话所属的VLAN ID/二层转发时会话所属的INLINE。未指定的参数则显示为“-”

Protocol

传输层协议类型,取值包括:DCCP、ICMP、ICMPv6、Raw IP 、SCTP、TCP、UDP、UDP-Lite

括号中的数字表示协议号

Inbound interface

报文的入接口

State

会话的协议状态

Application

应用层协议类型,取值包括:FTP等,OTHER表示未知协议类型,其对应的端口为非知名端口

Start time

会话的创建时间

TTL

会话剩余存活时间,单位为秒

Initiator->Responder

发起方到响应方的报文数、报文字节数

Responder->Initiator

响应方到发起方的报文数、报文字节数

Total sessions found

当前查找到的会话总数

 

【相关命令】

·              reset aspf session

1.1.8  icmp-error drop

icmp-error drop命令用来开启ICMP差错报文检测功能。

undo icmp-error drop命令用来关闭ICMP差错报文检测功能。

【命令】

icmp-error drop

undo icmp-error drop

【缺省情况】

ICMP差错报文检测功能处于关闭状态。

【视图】

ASPF策略视图

【缺省用户角色】

network-admin

【使用指导】

正常ICMP差错报文中均携带有本报文对应连接的相关信息,根据这些信息可以匹配到相应的连接。如果匹配失败,则根据当前配置决定是否丢弃该ICMP报文。

【举例】

# 设置ASPF策略1丢弃非法的ICMP差错报文。

<Sysname> system-view

[Sysname] aspf policy 1

[Sysname-aspf-policy-1] icmp-error drop

【相关命令】

·              aspf policy

·              display aspf policy

1.1.9  reset aspf session

reset aspf session命令用来删除ASPF的会话表项。

【命令】

reset aspf session [ ipv4 | ipv6 ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

ipv4:删除ASPF创建的IPv4会话表项。

ipv6:删除ASPF创建的IPv6会话表项。

【使用指导】

如果不指定ipv4ipv6参数,则表示删除ASPF创建的所有会话表项。

【举例】

# 清除ASPF创建的所有会话表项。

<Sysname> reset aspf session

【相关命令】

·              display aspf session

1.1.10  tcp syn-check

tcp syn-check命令用来开启非SYN的TCP首报文丢弃功能。

undo tcp syn-check命令用来关闭非SYN的TCP首报文丢弃功能。

【命令】

tcp syn-check

undo tcp syn-check

【缺省情况】

非SYN的TCP首报文丢弃功能处于关闭状态。

【视图】

ASPF策略视图

【缺省用户角色】

network-admin

【使用指导】

ASPF对TCP连接的首报文进行检测,查看是否为SYN报文,如果不是SYN报文则根据当前配置决定是否丢弃该报文。

当设备首次加入网络时,网络中原有TCP连接的非首包在经过新加入的设备时如果被丢弃,会中断已有的连接,造成不好的用户体验,因此建议暂且不丢弃非SYN首包,等待网络拓扑稳定后,再开启非SYN首包丢弃功能。

【举例】

# 设置ASPF策略1丢弃非SYN的TCP首报文。

<Sysname> system-view

[Sysname] aspf policy 1

[Sysname-aspf-policy-1] tcp syn-check

【相关命令】

·              aspf policy

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们