09-安全配置指导

10-APR配置

1 APR配置

1.1 APR简介

APR（Application Recognition）即应用层协议识别。一些基于应用的业务（例如QoS，ASPF）在进行报文处理时需要知道报文所属的应用层协议，APR可以为这样的业务提供应用识别服务，并能够对接口上接收或者发送的某个应用层协议的报文进行数目和速率统计。APR为了更好地识别报文所属的应用层协议，提供了两种应用识别方法：基于端口的应用识别和基于内容特征的应用识别。

· PBAR（Port Based Application Recognition，基于端口的应用层协议识别）：根据定义的应用层协议端口与应用的映射关系识别报文所属的应用层协议。

· 基于内容特征的应用层协议识别：提取应用报文区别于其它应用报文的特征，通过将报文的内容与特征库中的特征项进行匹配来识别报文所属的应用层协议。这种识别方式目前还不支持。

下文中的应用均指设备可以通过APR识别出的应用层协议。应用分为预定义应用和自定义应用两种：预定义应用由系统缺省创建；自定义应用由用户通过配置创建。

1.1.1 PBAR

PBAR（Port Based Application Recognition，基于端口的应用层协议识别）根据预定义的、自定义的端口与应用的映射关系识别出应用层协议。预定义的端口与应用的映射关系由系统预先定义，自定义的端口与应用的映射关系由用户配置进行创建。

PBAR提供了以下两种映射机制来维护和使用自定义的端口与应用映射关系：

· 通用端口映射：对用户自定义端口号和应用层协议建立映射关系。例如：将2121端口映射为FTP协议，这样所有目的端口是2121的报文将被识别为FTP报文。

· 主机端口映射：对去往某些特定范围内主机的报文建立自定义端口号和应用层协议的映射。例如：将目的地址为10.110.0.0/16网段的、使用2121端口的报文映射为FTP报文。主机范围可以通过配置ACL或者指定主机地址、网段来确定。

1.1.2 应用组

可以将具有相似特征的应用添加到一个应用组中。一个应用组，就是若干个应用的集合。如果报文被识别为属于某个应用，而该应用又属于某个应用组，则报文相当于被识别为属于某个应用组。基于应用的业务可以对属于同一个应用组的报文做统一处理。

应用组分为预定义和自定义两种：预定义应用组由系统预先定义并包含了指定的预定义应用；自定义应用组由用户通过配置创建。一个自定义应用组中可以包含多个预定义应用和自定义应用。

1.2 配置PBAR

根据与应用层协议进行映射的对象范围的不同，可以将端口映射的配置分为以下四类：

· 通用端口映射：对于所有报文，建立端口号与应用层协议的映射关系；

· 基于ACL的主机端口映射：对于匹配指定ACL的报文，建立端口号与应用层协议的映射关系；

· 基于网段的主机端口映射：对于目的地址为指定网段的报文，建立端口号与应用层协议的映射关系；

· 基于IP地址的主机端口映射：对于目的地址为指定IP地址的报文，建立端口号与应用层协议的映射关系。

以上四类端口映射配置对于同一个报文的生效优先级从高到低依次为：基于IP地址、基于网段、基于ACL、通用。而对于其中的每一类，指定传输层协议名称的配置优先级高于不指定传输层协议名称的配置。

表1-1 配置PBAR

操作	命令	说明
进入系统视图	system-view	-
配置通用端口映射	port-mapping application application-name port port-number [ protocol protocol-name ]	至少选其一缺省情况下，各应用层协议与其对应的知名端口号映射配置映射关系时，如果指定的应用不存在就会创建这个应用
配置基于ACL的主机端口映射	port-mapping application application-name port port-number [ protocol protocol-name ] acl acl-number
配置基于网段的主机端口映射	port-mapping application application-name port port-number [ protocol protocol-name ] subnet ip ipv4-address { mask-length \| mask }
配置基于IP地址的主机端口映射	port-mapping application application-name port port-number [ protocol protocol-name ] host ip start-ip-address [ end-ip-address ]

1.3 配置应用组

可以将具有相似特征的应用添加到一个应用组中或将一个应用组中的应用拷贝到另一个组中。设备最多可支持配置65536个应用组，每个应用组里最多可以包含65536个自定义应用。

表1-2 配置APR应用组

操作	命令	说明
进入系统视图	system-view	-
创建应用组，并进入应用组视图	app-group group-name	缺省情况下，系统中存在若干预定义应用组，可通过display app-group pre-defined命令查看预定义的应用组不允许修改和删除
（可选）为自定义的应用组设置描述信息	description group-description	缺省情况下，自定义应用组的描述信息为“User-defined application group”
在应用组中添加应用	include application application-name	缺省情况下，自定义应用组中不包含任何应用可以通过多次执行本命令添加多个应用添加应用时，如果对应的应用不存在就会创建这个应用
在应用组中拷贝另一个应用组中的所有应用	copy app-group group-name	可以通过多次执行本命令拷贝多个应用组里的应用

1.4 配置接口的应用统计功能

接口的应用统计功能会消耗大量系统内存。当系统出现内存告警时，请关闭接口的应用统计功能。

在接口上开启应用统计功能之后，设备能够对接口上收到或者发送的报文的数目、速率按照应用层协议分别进行统计，生成的统计信息可以通过display application statistics命令查看。

表1-3 配置接口的应用统计功能

操作	命令	说明
进入系统视图	system-view	-
进入三层接口视图	interface interface-type interface-number	-
开启接口的应用统计功能	application statistics enable [ inbound \| outbound ]	缺省情况下，接口的应用统计功能处于关闭状态可以同时开启接口两个方向上的应用统计功能

1.5 APR显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示配置后APR的运行情况，通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除APR的统计信息。

表1-4 APR显示和维护

操作	命令
显示应用信息	display application [ name application-name \| pre-defined \| user-defined ]
显示应用组信息	display app-group [ name group-name \| pre-defined \| user-defined ]
显示接口上的应用统计信息	display application statistics [ direction { inbound \| outbound } \| interface interface-type interface-number \| name application-name ] *
按指定类型的统计排名显示接口应用统计信息	display application statistics top number { bps \| bytes \| packets \| pps } interface interface-type interface-number
显示预定义的端口映射信息	display port-mapping pre-defined
显示自定义的端口映射信息	display port-mapping user-defined [ application application-name \| port port-number ]
清除指定接口或所有接口的应用统计信息	reset application statistics [ interface interface-type interface-number ]