- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
16-ASPF命令
本章节下载: 16-ASPF命令 (238.30 KB)
ICG2000D/3000S/3000F/3000F-DP/5000G/5000T路由器使用集中式命令行,ICG 6000路由器使用分布式命令行。
aspf apply policy命令用来在接口上应用ASPF策略。
undo aspf apply policy命令用来删除接口上应用的ASPF策略。
【命令】
aspf apply policy aspf-policy-number { inbound | outbound }
undo aspf apply policy aspf-policy-number { inbound | outbound }
【缺省情况】
接口上未应用ASPF策略。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
aspf-policy-number:ASPF策略号,取值范围为1~256。
inbound:对接口入方向的报文应用ASPF策略。
outbound:对接口出方向的报文应用ASPF策略。
【使用指导】
只有将定义好的ASPF策略应用到接口上,才能对通过接口的流量进行检测。由于ASPF对于应用层协议状态的保存和维护都是基于接口的,因此在实际应用中,必须保证报文入口的一致性,即必须保证连接发起方发送的报文和响应端返回的报文经过同一接口。
可以同时在接口的出方向和入方向上都应用ASPF策略。
【举例】
# 在接口GigabitEthernet1/0/1的出方向上应用ASPF策略。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] aspf apply policy 1 outbound
【相关命令】
· aspf policy
· display aspf all
· display aspf interface
aspf apply policy命令用来在安全域间实例上应用ASPF策略。
undo aspf apply policy命令用来取消应用在安全域间实例上的指定ASPF策略。
【命令】
aspf apply policy aspf-policy-number
undo aspf apply policy aspf-policy-number
【缺省情况】
安全域间实例上应用了一个缺省的ASPF策略。
【视图】
安全域间实例视图
【支持的缺省用户角色】
network-admin
【参数】
aspf-policy-number:ASPF策略号,取值范围为1~256。
【使用指导】
创建安全域间实例时,系统默认为该实例应用一个缺省的ASPF策略。该策略支持对所有传输层协议和FTP协议报文进行ASPF检测,但是ICMP差错报文检查功能和非SYN的TCP首报文丢弃功能处于关闭状态,并且默认的策略不可改变,如果需要调整ASPF策略,需要自定义一个ASPF策略,并在安全域间实例上引用。
【举例】
# 在安全域间实例上应用ASPF策略。
<Sysname> system-view
[Sysname] security-zone name trust
[Sysname-security-zone-Trust] import interface gigabitethernet 1/0/1
[Sysname-security-zone-Trust] quit
[Sysname] security-zone name untrust
[Sysname-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Sysname-security-zone-Untrust] quit
[Sysname] zone-pair security source trust destination untrust
[Sysname-zone-pair-security-Trust-Untrust] aspf apply policy 1
【相关命令】
· aspf policy
· display aspf all
· zone-pair security(基础命令参考/安全域)
aspf icmp-error reply命令用来开启设备在域间策略丢包时,发送ICMP差错报文功能。
undo aspf icmp-error reply命令用来恢复缺省情况。
【命令】
aspf icmp-error reply
undo aspf icmp-error reply
【缺省情况】
在域间策略丢包时,设备不发送ICMP差错报文。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
缺省情况下,设备在安全域间实例下配置安全域间策略,丢弃不符合策略的报文,但不发送ICMP差错报文,这样可以减少网络上的无用报文,节约带宽。
使用traceroute功能时,需要用到ICMP差错报文,需要开启发送ICMP差错报文的功能。
【举例】
# 开启设备在域间策略丢包时,发送ICMP差错报文功能。
<Sysname> system-view
[Sysname] aspf icmp-error reply
aspf policy命令用来创建ASPF策略,并进入ASPF策略视图。如果指定的ASPF策略已经存在,则直接进入ASPF策略视图。
undo aspf policy命令用来删除指定的ASPF策略。
【命令】
aspf policy aspf-policy-number
undo aspf policy aspf-policy-number
【缺省情况】
不存在ASPF策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
aspf-policy-number:ASPF策略号,取值范围为1~256。
【举例】
# 创建ASPF策略1,并进入该ASPF策略视图。
<Sysname> system-view
[Sysname] aspf policy 1
[Sysname-aspf-policy-1]
【相关命令】
· display aspf all
· display aspf policy
detect命令用来为应用层协议配置ASPF检测。
undo detect命令用来恢复缺省情况。
【命令】
detect { dns[ action { drop | logging } * ] | { ftp | h323 | http | sccp | sip | smtp } [ action drop ] | gtp | ils | mgcp | nbt | pptp | rsh | rtsp | sqlnet | tftp | xdmcp }
undo detect { dns | ftp | gtp | h323 | http | ils | mgcp | nbt | pptp | rsh | rtsp | sccp | sip | smtp | sqlnet | tftp | xdmcp }
【缺省情况】
仅对传输层协议进行检测,不对应用层协议进行ASPF检测。
【视图】
ASPF策略视图
【缺省用户角色】
network-admin
【参数】
dns:表示DNS协议,属于应用层协议;
ftp:表示FTP协议,属于应用层协议;
gtp:表示GTP(GPRS Tunneling Protocol,GPRS隧道协议)协议,属于应用层协议;
h323:表示H.323协议族,属于应用层协议;
http:表示HTTP协议,属于应用层协议;
ils:表示ILS(Internet Locator Service,互联网定位服务)协议,属于应用层协议;
mgcp:表示MGCP(Media Gateway Control Protocol,媒体网关控制协议)协议,属于应用层协议;
nbt:表示NBT(NetBIOS over TCP/IP,基于TCP/IP的网络基本输入输出系统)协议,属于应用层协议;
pptp:表示PPTP(Point-to-Point Tunneling Protocol,点到点隧道协议)协议,属于应用层协议;
rsh:表示RSH(Remote Shell,远程外壳)协议,属于应用层协议;
rtsp:表示RTSP(Real Time Streaming Protocol,实时流协议)协议,属于应用层协议;
sccp:表示SCCP(Skinny Client Control Protocol,瘦小客户端控制协议)协议,属于应用层协议;
sip:表示SIP(Session Iniation Protocol,会话初始化协议)协议,属于应用层协议;
smtp:表示SMTP协议,属于应用层协议;
sqlnet:表示SQLNET协议,属于应用层协议;
tftp:表示TFTP协议,属于应用层协议;
xdmcp:表示XDMCP(X Display Manager Control Protocol,X显示监控)协议,属于应用层协议;
action:设置对检测到的非法报文的处理行为。若不指定该参数,则表示放行报文。
drop:表示丢弃报文。
logging:表示生成日志信息。
【使用指导】
若配置了此命令,则对报文的应用层协议进行ASPF检查;若没有配置此命令,则仅对报文的传输层协议进行ASPF检查。
如果设备上其他业务模块开启ALG功能时,即便未配置多通道应用层协议的ASPF检测,多通道协议的数据连接也可以建立成功。例如:开启DPI相关业务功能时会打开ALG功能,此时DPI处理的多通道协议(如SIP等)报文进行ASPF处理时,即便未配置SIP协议的ASPF检测,SIP协议的数据连接也可以建立成功;开启NAT ALG功能时,即便未配置多通道协议的ASPF检测,多通道协议的数据连接也可以建立成功。但是在设备上未配置DPI(Deep Packet Inspection,深度报文检测)相关业务功能只配置了ASPF功能的情况下,必须配置此命令,否则会导致数据连接无法建立。此命令支持的应用层协议中除HTTP、SMTP和TFTP之外的所有应用层协议均为多通道应用层协议。
可通过多次执行本命令配置多种协议类型的ASPF检测。
ASPF策略默认已经开启对传输层协议的检测,无需进行配置,也不能修改。检测的传输层协议包括:TCP协议、UDP协议、UDP-Lite协议、SCTP协议、Raw IP协议、ICMP协议、ICMPv6协议和DCCP协议。
ASPF策略可以根据需要配置应用层协议的检测。目前,设备对支持action参数的应用层协议(DNS、FTP、H323、HTTP、SCCP、SIP、SMTP)进行协议状态合法性检查,对不符合协议状态的报文根据action参数的配置进行丢弃处理。对于其它应用层协议,仅进行连接状态信息的维护,不做协议状态合法性检查。
【举例】
# 配置对FTP协议报文进行ASPF检测。
<Sysname> system-view
[Sysname] aspf policy 1
[Sysname-aspf-policy-1] detect ftp
# 配置对DNS协议进行应用层协议检测,丢弃不符合协议状态的报文,并生成日志信息。
<Sysname> system-view
[Sysname] aspf policy 1
[Sysname-aspf-policy-1] detect dns action drop logging
【相关命令】
· display aspf policy
display aspf all命令用来查看ASPF策略配置信息及应用ASPF策略的信息。
【命令】
display aspf all
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 查看所有的ASPF策略配置信息。
<Sysname> display aspf all
ASPF policy configuration:
Policy default:
ICMP error message check: Disabled
TCP SYN packet check: Disabled
Inspected protocol Action
FTP None
Policy number: 1
ICMP error message check: Disabled
TCP SYN packet check: Disabled
Inspected protocol Action
FTP None
Interface configuration:
GigabitEthernet1/0/1
Inbound policy : 1
Outbound policy: none
表1-1 display aspf all命令显示信息描述表
|
字段 |
描述 |
|
ASPF policy configuration |
ASPF策略的配置信息 |
|
Policy default |
缺省ASPF策略 |
|
Policy number |
ASPF策略号 |
|
ICMP error message check |
ICMP差错报文检测功能的开启状态 |
|
TCP SYN packet check |
非SYN的TCP首报文丢弃功能的开启状态 |
|
Inspected protocol |
需要检测的应用层协议 |
|
Action |
对检测到的非法协议报文的处理行为 · Drop:丢弃 · Log:生成日志信息 · None:不做处理,放行 “-”表示该协议不支持此配置项 |
|
Interface configuration |
接口下应用ASPF策略的配置信息 |
|
Inbound policy |
接口入方向上应用的ASPF策略编号 |
|
Outbound policy |
接口出方向上应用的ASPF策略编号 |
【相关命令】
· aspf apply policy
· aspf policy
· display aspf policy
display aspf interface命令用来查看接口上的ASPF策略配置信息。
【命令】
display aspf interface
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 查看接口上的ASPF策略信息。
<Sysname> display aspf interface
Interface configuration:
GigabitEthernet1/0/1
Inbound policy : 1
Outbound policy: none
表1-2 display aspf interface命令显示信息描述表
|
字段 |
描述 |
|
Interface configuration |
接口上应用ASPF策略的配置信息 |
|
Inbound policy |
接口入方向上应用的ASPF策略编号 |
|
Outbound policy |
接口出方向上应用的ASPF策略编号 |
【相关命令】
· aspf apply policy
· aspf policy
display aspf policy命令用来查看ASPF策略的配置信息。
【命令】
display aspf policy { aspf-policy-number | default }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
aspf-policy-number:ASPF策略号,取值范围为1~256。
default:缺省ASPF策略。
【举例】
# 查看策略号为1的ASPF策略的配置信息。
<Sysname> display aspf policy 1
ASPF policy configuration:
Policy number: 1
ICMP error message check: Disabled
TCP SYN packet check: Enabled
Inspected protocol Action
FTP Drop
HTTP None
RSH -
表1-3 display aspf policy命令显示信息描述表
|
字段 |
描述 |
|
ASPF policy configuration |
ASPF策略的配置信息 |
|
Policy number |
ASPF策略号 |
|
ICMP error message check |
ICMP差错报文检测功能的开启状态 |
|
TCP SYN packet check |
非SYN的TCP首报文丢弃功能的开启状态 |
|
Inspected protocol |
需要检测的应用层协议 |
|
Action |
对检测到的非法报文的处理行为 · Drop:丢弃 · Log:生成日志信息 · None:不做处理,放行 “-”表示该协议不支持此配置项 |
【相关命令】
· aspf policy
display aspf session命令用来查看ASPF的会话表信息。
【命令】
集中式设备-独立运行模式:
display aspf session [ ipv4 | ipv6 ] [ verbose ]
分布式设备-独立运行模式/集中式设备-IRF模式:
display aspf session [ ipv4 | ipv6 ] [ slot slot-number ] [ verbose ]
分布式设备-IRF模式:
display aspf session [ ipv4 | ipv6 ] [ chassis chassis-number slot slot-number ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv4:查看ASPF创建的IPv4会话表。
ipv6:查看ASPF创建的IPv6会话表。
slot slot-number:显示指定单板上的ASPF会话表,slot-number表示单板所在槽位号。不指定该参数时,显示所有单板上的ASPF会话表。(分布式设备-独立运行模式)
slot slot-number:显示指定成员设备上的ASPF会话表,slot-number表示设备在IRF中的成员编号。不指定该参数时,显示所有成员设备上的ASPF会话表。(集中式设备-IRF模式)
chassis chassis-number slot slot-number:显示指定成员设备的指定单板上的ASPF会话表,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。不指定该参数时,显示所有成员设备的所有单板上的ASPF会话表。(分布式IRF设备-IRF模式)
verbose:查看ASPF会话表的详细信息。若不指定该参数,则表示查看ASPF会话表的概要信息。
【使用指导】
不指定ipv4和ipv6参数时,表示查看所有的ASPF会话表信息。
【举例】
# 显示ASPF创建的IPv4会话表的概要信息。(集中式设备-独立运行模式)
<Sysname> display aspf session ipv4
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: SrcZone
Initiator:
Source IP/port: 192.168.1.18/1792
Destination IP/port: 192.168.1.55/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/1
Source security zone: SrcZone
Total sessions found: 2
# 显示ASPF创建的IPv4会话表的概要信息。(分布式设备-独立运行模式/集中式设备-IRF模式)
<Sysname> display aspf session ipv4
Slot 1:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/1/0/1
Source security zone: SrcZone
Initiator:
Source IP/port: 192.168.1.18/1792
Destination IP/port: 192.168.1.55/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/1/0/1
Source security zone: SrcZone
Total sessions found: 2
# 显示ASPF创建的IPv4会话表的概要信息。(分布式设备-IRF模式)
<Sysname> display aspf session ipv4
Slot 1 in chassis 1:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/1/0/1
Source security zone: SrcZone
Initiator:
Source IP/port: 192.168.1.18/1792
Destination IP/port: 192.168.1.55/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/1/0/1
Source security zone: SrcZone
Total sessions found: 2
# 显示IPv4 ASPF会话的详细信息。(集中式设备-独立运行模式)
<Sysname> display aspf session ipv4 verbose
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: SrcZone
Responder:
Source IP/port: 192.168.1.55/22
Destination IP/port: 192.168.1.18/1877
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: DestZone
State: TCP_SYN_SENT
Application: SSH
Start time: 2011-07-29 19:12:36 TTL: 28s
Initiator->Responder: 1 packets 48 bytes
Responder->Initiator: 0 packets 0 bytes
Initiator:
Source IP/port: 192.168.1.18/1792
Destination IP/port: 192.168.1.55/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/1
Source security zone: SrcZone
Responder:
Source IP/port: 192.168.1.55/1792
Destination IP/port: 192.168.1.18/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/2
Source security zone: DestZone
State: ICMP_REQUEST
Application: OTHER
Start time: 2011-07-29 19:12:33 TTL: 55s
Initiator->Responder: 1 packets 60 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 2
# 显示IPv4 ASPF会话的详细信息。(分布式设备-独立运行模式/集中式设备-IRF模式)
<Sysname> display aspf session ipv4 verbose
Slot 1:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/1/0/1
Source security zone: SrcZone
Responder:
Source IP/port: 192.168.1.55/22
Destination IP/port: 192.168.1.18/1877
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/1/0/2
Source security zone: DestZone
State: TCP_SYN_SENT
Application: SSH
Start time: 2011-07-29 19:12:36 TTL: 28s
Initiator->Responder: 1 packets 48 bytes
Responder->Initiator: 0 packets 0 bytes
Initiator:
Source IP/port: 192.168.1.18/1792
Destination IP/port: 192.168.1.55/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/1/0/1
Source security zone: SrcZone
Responder:
Source IP/port: 192.168.1.55/1792
Destination IP/port: 192.168.1.18/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/1/0/2
Source security zone: DestZone
State: ICMP_REQUEST
Application: OTHER
Start time: 2011-07-29 19:12:33 TTL: 55s
Initiator->Responder: 1 packets 6048 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 2
# 显示IPv4 ASPF会话的详细信息。(分布式设备-IRF模式)
<Sysname> display aspf session ipv4 verbose
Slot 1 in chassis 1:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/1/0/1
Source security zone: SrcZone
Responder:
Source IP/port: 192.168.1.55/22
Destination IP/port: 192.168.1.18/1877
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/1/0/2
Source security zone: DestZone
State: TCP_SYN_SENT
Application: SSH
Start time: 2011-07-29 19:12:36 TTL: 28s
Initiator->Responder: 1 packets 48 bytes
Responder->Initiator: 0 packets 0 bytes
Initiator:
Source IP/port: 192.168.1.18/1792
Destination IP/port: 192.168.1.55/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/1/0/1
Source security zone: SrcZone
Responder:
Source IP/port: 192.168.1.55/1792
Destination IP/port: 192.168.1.18/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/1/0/2
Source security zone: DestZone
State: ICMP_REQUEST
Application: OTHER
Start time: 2011-07-29 19:12:33 TTL: 55s
Initiator->Responder: 1 packets 6048 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 2
表1-4 display aspf session命令显示信息描述表
|
字段 |
描述 |
|
Initiator |
发起方到响应方的连接对应的会话信息 |
|
Responder |
响应方到发起方的连接对应的会话信息 |
|
Source IP/port |
源IP地址/端口号 |
|
Destination IP/port |
目的IP地址/端口号 |
|
DS-Lite tunnel peer |
DS-Lite隧道对端地址。会话不属于任何DS-Lite隧道时,本字段显示为“-” |
|
VPN-instance/VLAN ID/Inline ID |
会话所属的MPLS L3VPN/二层转发时会话所属的VLAN ID/二层转发时会话所属的INLINE。未指定的参数则显示为“-” |
|
Protocol |
传输层协议类型,取值包括:DCCP、ICMP、ICMPv6、Raw IP 、SCTP、TCP、UDP、UDP-Lite 括号中的数字表示协议号 |
|
Inbound interface |
报文的入接口 |
|
Source security zone |
源安全域,即入接口所属的安全域。若接口不属于任何安全域,则显示为“-” |
|
State |
会话的协议状态 |
|
Application |
应用层协议类型,取值包括:FTP、DNS等,OTHER表示未知协议类型,其对应的端口为非知名端口 |
|
Start time |
会话的创建时间 |
|
TTL |
会话剩余存活时间,单位为秒 |
|
Initiator->Responder |
发起方到响应方的报文数、报文字节数 |
|
Responder->Initiator |
响应方到发起方的报文数、报文字节数 |
|
Total sessions found |
当前查找到的会话总数 |
【相关命令】
· reset aspf session
icmp-error drop命令用来开启ICMP差错报文检测功能。
undo icmp-error drop命令用来关闭ICMP差错报文检测功能。
【命令】
icmp-error drop
undo icmp-error drop
【缺省情况】
ICMP差错报文检测功能处于关闭状态。
【视图】
ASPF策略视图
【缺省用户角色】
network-admin
【使用指导】
正常ICMP差错报文中均携带有本报文对应连接的相关信息,根据这些信息可以匹配到相应的连接。如果匹配失败,则根据当前配置决定是否丢弃该ICMP报文。
【举例】
# 设置ASPF策略1丢弃非法的ICMP差错报文。
<Sysname> system-view
[Sysname] aspf policy 1
[Sysname-aspf-policy-1] icmp-error drop
· aspf policy
· display aspf policy
reset aspf session命令用来删除ASPF的会话表项。
【命令】
集中式设备-独立运行模式:
reset aspf session [ ipv4 | ipv6 ]
分布式设备-独立运行模式/集中式设备-IRF模式:
reset aspf session [ ipv4 | ipv6 ] [ slot slot-number ]
分布式设备-IRF模式:
reset aspf session [ ipv4 | ipv6 ] [ chassis chassis-number slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
ipv4:删除ASPF创建的IPv4会话表项。
ipv6:删除ASPF创建的IPv6会话表项。
slot slot-number:删除指定单板上的所有ASPF创建的会话表项,slot-number表示单板所在槽位号。不指定该参数时,删除所有单板上的所有ASPF创建的会话表项。(分布式设备-独立运行模式)
slot slot-number:删除指定成员设备上的所有ASPF创建的会话表项,slot-number表示设备在IRF中的成员编号。不指定该参数时,删除所有成员设备上的所有ASPF创建的会话表项。(集中式设备-IRF模式)
chassis chassis-number slot slot-number:删除指定成员设备的指定单板上的所有ASPF创建的会话表项,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。不指定该参数时,删除所有成员设备的所有单板上的所有ASPF创建的会话表项。(分布式设备-IRF模式)
【使用指导】
如果不指定ipv4和ipv6参数,则表示删除ASPF创建的所有会话表项。
【举例】
# 清除ASPF创建的所有会话表项。
<Sysname> reset aspf session
· display aspf session
tcp syn-check命令用来开启非SYN的TCP首报文丢弃功能。
undo tcp syn-check命令用来关闭非SYN的TCP首报文丢弃功能。
【命令】
tcp syn-check
undo tcp syn-check
【缺省情况】
非SYN的TCP首报文丢弃功能处于关闭状态。
【视图】
ASPF策略视图
【缺省用户角色】
network-admin
【使用指导】
ASPF对TCP连接的首报文进行检测,查看是否为SYN报文,如果不是SYN报文则根据当前配置决定是否丢弃该报文。
【举例】
# 设置ASPF策略1丢弃非SYN的TCP首报文。
<Sysname> system-view
[Sysname] aspf policy 1
[Sysname-aspf-policy-1] tcp syn-check
【相关命令】
· aspf policy
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
