- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
10-APR命令
本章节下载: 10-APR命令 (457.49 KB)
目 录
1.1.2 application statistics enable
1.1.3 apr protocol detection-threshold application-other
1.1.5 apr signature auto-update
1.1.6 apr signature auto-update-now
1.1.10 description (application group view)
1.1.11 description (NBAR view)
1.1.18 display application statistics
1.1.19 display application statistics top
1.1.20 display apr protocol detection-threshold-other
1.1.21 display apr signature library
1.1.22 display port-mapping pre-defined
1.1.23 display port-mapping user-defined
1.1.31 reset application statistics
1.1.37 user-defined-application
app-group命令用来创建应用组,并进入应用组视图。如果指定的应用组已经存在,则直接进入应用组视图。
undo app-group命令用来删除指定的应用组。
【命令】
app-group group-name
undo app-group group-name
【缺省情况】
不存在应用组。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-name:应用组的名称,为1~63个字符的字符串,不区分大小写,不允许为系统保留的“invalid”或“other”。
【使用指导】
系统中最多可以定义1000个应用组。
【举例】
# 创建名称为aaa的应用组,并进入应用组视图。
<Sysname> system-view
[Sysname] app-group aaa
[Sysname-app-group-aaa]
【相关命令】
· copy app-group
· description
· include application
application statistics enable命令用来开启接口指定方向上的应用统计功能。
undo application statistics enable命令用来关闭接口指定方向上的应用统计功能。
【命令】
application statistics enable [ inbound | outbound ]
undo application statistics enable [ inbound | outbound ]
【缺省情况】
接口入方向和出方向上的应用统计功能处于关闭状态。
【视图】
二层接口视图/三层接口视图
【缺省用户角色】
network-admin
context-admin
【参数】
inbound:在接口的入方向上开启应用统计功能。
outbound:在接口的出方向上开启应用统计功能。
【使用指导】
如果不指定任何参数,则表示同时开启接口出方向和入方向上的应用统计功能。
在接口上开启应用统计功能之后,设备能够对接口上收到或者发送的报文的数目、速率按照应用协议分别进行统计,生成的统计信息可以通过display application statistics命令查看。
接口的应用统计功能会消耗大量系统内存。当系统出现内存告警时,请关闭接口的应用统计功能。
【举例】
# 在接口Ten-GigabitEthernet1/0/5上开启入方向应用统计功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/5
[Sysname-Ten-GigabitEthernet1/0/5] application statistics enable inbound
# 在接口Ten-GigabitEthernet1/0/6上开启出方向应用统计功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/6
[Sysname-Ten-GigabitEthernet1/0/6] application statistics enable outbound
# 在接口Ten-GigabitEthernet1/0/7上开启所有方向应用统计功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/7
[Sysname-Ten-GigabitEthernet1/0/7] application statistics enable
# 在接口Vlan-interface 2上开启入方向应用统计功能。
<Sysname> system-view
[Sysname] interface Vlan-interface 2
[Sysname-Vlan-interface2] application statistics enable inbound
【相关命令】
· display application statistics
apr protocol detection-threshold application-other命令用来配置指定协议报文被识别为other类应用的检测阈值。
undo apr protocol detection-threshold application-other命令用来恢复缺省情况。
【命令】
apr protocol protocol-name detection-threshold { packet-count count | payload-length length } application-other
undo apr protocol protocol-name detection-threshold { packet-count | payload-length } application-other
【缺省情况】
设备使用特征库中预定义的相关阈值将报文识别为other类应用。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
protocol-name:表示协议的名称,为1~63个字符的字符串,不区分大小写。
packet-count count:指定报文个数阈值,取值范围为1~128。
payload-length length:指定报文载荷长度阈值,取值范围为64~65536,单位为字节。
【使用指导】
若设备检测某协议报文的总数和载荷长度均达到本命令指定的阈值后,仍然无法识别出该协议报文对应的上层应用,则将其归类为该协议的other类应用。
针对同一个协议,可以重复执行本命令同时配置报文个数阈值和报文载荷长度阈值。
可以通过display apr protocol detection-threshold-other命令查看被识别为other类应用的报文检测阈值。
【举例】
# 设置检测HTTP协议报文载荷长度阈值为2500个字节,报文个数检测阈值为特征库缺省值。
<Sysname> system-view
[sysname] apr protocol http detection-threshould payload-length 2500 application-other
【相关命令】
· display apr protocol detection-threshold-other
apr set detectlen命令用来配置NBAR规则的最大检测字节数。
undo apr set detectlen命令用来恢复缺省情况。
【命令】
apr set detectlen bytes
undo apr set detectlen
【缺省情况】
未配置NBAR规则的最大检测字节数。
【视图】
NBAR规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
bytes:表示NBAR规则的最大检测长度,取值范围为0~4294967295,单位为字节。
【使用指导】
当设备识别出应用时,若不配置最大检测字节数,设备将继续检测后续报文是否存在应用,这将对设备的性能产生影响;若配置最大检测字节数,设备将从识别出应用的位置开始,判断当前已检测的字节长度是否超出配置的最大检测字节数,若超出,则后续不进行检测,若未超出,则继续检测后续报文。请管理员根据设备的实际情况配置此参数。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 为NBAR规则abcd配置最大检测字节数为100000。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] apr set detectlen 100000
【相关命令】
· nbar application
apr signature auto-update命令用来开启定期自动在线升级APR特征库功能,并进入自动升级配置视图。
undo apr signature auto-update命令用来关闭定期自动在线升级APR特征库功能。
【命令】
apr signature auto-update
undo apr signature auto-update
【缺省情况】
定期自动在线升级APR特征库功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
如果设备可以访问官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的APR特征库进行升级。
【举例】
# 开启定期自动在线升级APR特征库功能,并进入自动升级配置视图。
<Sysname> system-view
[Sysname] apr signature auto-update
[Sysname-apr-autoupdate]
【相关命令】
· override-current
· update schedule
apr signature auto-update-now命令用来立即自动在线升级APR特征库。
【命令】
apr signature auto-update-now
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
执行此命令后,将立即自动在线升级设备上的APR特征库,且会备份当前的APR特征库文件。此命令的生效与否,与是否开启了定期自动在线升级APR特征库功能无关。
当管理员发现官方网站上的特征库服务专区中的APR特征有更新时,可以选择立即自动在线升级方式来及时升级APR特征库版本。
【举例】
# 立即自动升级APR特征库。
<Sysname> system-view
[Sysname] apr signature auto-update-now
apr signature rollback命令用来回滚APR特征库版本。
【命令】
apr signature rollback { factory | last }
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
factory:表示把APR特征库回滚到出厂版本。
last:表示把APR特征库回滚到上一版本。
【使用指导】
设备使用当前APR特征库版本进行识别应用时,如果管理员发现设备识别应用的误报率较高或出现异常情况,则可以对当前APR特征库版本进行回滚。
APR特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本将会在当前版本和上一版本之间反复切换。例如当前APR特征库版本是V2,上一版本是V1,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。
升级APR特征库时,如果没有备份当前特征库文件,则回滚APR特征库到上一版本会失败。
【举例】
# 配置APR特征库回滚到上一版本。
<Sysname> system-view
[Sysname] apr signature rollback last
apr signature update命令用来手动离线升级APR特征库。
【命令】
apr signature update [ override-current ] file-path
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
override-current:表示覆盖当前版本的特征库文件。如果不指定本参数,则表示当前特征库在升级之后作为备份特征库保存在设备上。
file-path:指定特征库文件的路径,为1~255个字符的字符串。
【使用指导】
如果设备不能访问官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级APR特征库版本。
· 本地升级:使用本地保存的特征库文件升级系统上的APR特征库版本。
· FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的APR特征库版本。
使用本地升级方式离线升级APR特征库版本时,特征库文件只能存储在当前主用主控板上,否则设备升级特征库会失败。(独立运行模式)
使用本地升级方式离线升级APR特征库版本时,特征库文件只能存储在当前全局主用主控板上,否则设备升级特征库会失败。(IRF模式)
参数file-path的取值与手动离线升级的操作方式有关。本地升级时参数file-path取值请参见表1-1;FTP/TFTP升级时参数file-path取值请参见表1-2。
表1-1 本地升级时参数file-path取值说明表
|
升级场景 |
参数file-path取值 |
说明 |
|
特征库文件的存储位置与当前工作路径一致 |
filename |
可以执行pwd命令查看当前工作路径 有关pwd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
特征库文件的存储位置与当前工作路径不一致,且在相同存储介质上 |
filename |
需要先执行cd命令将工作路径切换至特征库文件所在目录下 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
特征库文件的存储位置与当前工作路径不在相同存储介质上 |
path/ filename |
需要先执行cd命令将工作路径切换至特征库文件所在存储介质的根目录下,再指定特征库文件的相对路径 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
表1-2 FTP/TFTP升级时参数file-path取值说明表
|
升级场景 |
参数file-path取值 |
说明 |
|
特征库文件存储在开启FTP服务的远程服务器上 |
ftp://username:password@server/filename |
username为登录FTP服务器的用户名,password为登录FTP服务器的密码,server为FTP服务器的IP地址或主机名 当FTP的用户名和密码中使用了“:”、“@”和“/”三种特殊字符时,需要将这三种特殊字符替换为其对应的转义字符。“:”、“@”和“/”三种特殊字符对应的转义字符分别为“%3A或%3a”、“%40”和“%2F或%2f” |
|
特征库文件存储在开启TFTP服务的远程服务器上 |
tftp://server/filename |
server为TFTP服务器的IP地址或主机名 |
当采用FTP/TFTP方式升级特征库时,如果指定的是服务器的主机名,则需要确保设备能通过静态或动态域名解析方式获得FTP/TFTP服务器的IP地址,并与之路由可达。否则设备升级特征库会失败。有关域名解析功能的详细配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
【举例】
# 配置手动离线升级APR特征库,且采用TFTP方式,APR特征库文件的远程路径为tftp://192.168.0.10/apr-1.0.2-en.dat。
<Sysname> system-view
[Sysname] apr signature update tftp://192.168.0.10/apr-1.0.2-en.dat
# 配置手动离线升级APR特征库,且采用FTP方式,APR特征库文件的远程路径为ftp://192.168.0.10/apr-1.0.2-en.dat,用户名为user:123,密码为user@abc/123。
<Sysname> system-view
[Sysname] apr signature update ftp://user%3A123:user%40abc%2F123@192.168.0.10/apr-1.0.2-en.dat
# 配置手动离线升级APR特征库,且采用本地方式,APR特征库文件的本地路径为cfa0:/apr-1.0.23-en.dat,且当前工作路径为cfa0:。
<Sysname> system-view
[Sysname] apr signature update apr-1.0.23-en.dat
# 配置手动离线升级APR特征库,且采用本地方式,APR特征库文件的本地路径为cfa0:/dpi/apr-1.0.23-en.dat,且当前工作路径为cfa0:。
<Sysname> cd dpi
<Sysname> system-view
[Sysname] apr signature update apr-1.0.23-en.dat
# 配置手动离线升级APR特征库,且采用本地方式,APR特征库文件的本地路径为cfb0:/dpi/apr-1.0.23-en.dat,当前工作路径为cfa0:。
<Sysname> cd cfb0:/
<Sysname> system-view
[Sysname] apr signature update dpi/apr-1.0.23-en.dat
copy app-group命令用来在应用组中复制另一个应用组中的所有应用。
【命令】
copy app-group group-name
【视图】
应用组视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-name:要复制应用组的名称,为1~63个字符的字符串,不区分大小写,不允许为系统保留的“invalid”和“other”。
【使用指导】
可多次执行本命令复制多个应用组里的应用。
【举例】
# 在应用组abc中复制应用组bcd中的所有应用。
<Sysname> system-view
[Sysname] app-group abc
[Sysname-app-group-abc] copy app-group bcd
【相关命令】
· app-group
· include application
description命令用来配置自定义应用组的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
自定义应用组的描述信息为“User-defined application group”。
【视图】
应用组视图
【缺省用户角色】
network-admin
context-admin
【参数】
text:应用组的描述信息,为1~127个字符的字符串,区分大小写,当有空格时,必须用双引号把所有字符串引起来。
【使用指导】
通过合理编写描述信息,便于管理员快速理解和识别该应用组的作用,有利于后期维护。
【举例】
# 配置名称为aaa的自定义应用组描述信息为“User defined aaa group”。
<Sysname> system-view
[Sysname] app-group aaa
[Sysname-app-group-aaa] description "User defined aaa group"
【相关命令】
· app-group
description命令用来配置自定义NBAR规则的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
自定义NBAR规则的描述信息为“User defined application”。
【视图】
NBAR规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
text:NBAR规则的描述信息,为1~127个字符的字符串,区分大小写。
【使用指导】
通过合理编写描述信息,便于管理员快速理解和识别本条NBAR规则的作用,有利于后期维护。
【举例】
# 配置自定义NBAR规则abcd的描述信息为“A user-defined application based on HTTP”。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] description "A user-defined application based on HTTP"
【相关命令】
· nbar application
destination命令用来配置自定义NBAR规则匹配的目的IP地址网段。
undo destination命令用来恢复缺省情况。
【命令】
destination ip ipv4-address [ mask-length ]
undo destination
【缺省情况】
NBAR规则匹配所有目的IP地址网段。
【视图】
NBAR规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip ipv4-address:指定匹配的目的IPv4地址或网段,为点分十进制格式。
mask-length:子网掩码长度,取值范围为0~32。如果未指定本参数,则默认子网掩码长度为32。
【使用指导】
在同一个NBAR规则视图下多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置NBAR规则abcd匹配的目的IP地址网段为192.168.1.0/24。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] destination ip 192.168.1.0 24
【相关命令】
· nbar application
detection命令用来配置自定义NBAR规则特征的检查项。
undo detection命令用来删除自定义NBAR规则特征的检查项。
【命令】
detection detection-id field field-name match-type { exclude | include } { hex hex-vector | regex regex-pattern | text text-string } [ offset offset-value [ depth depth-value ] | relative-offset relative-offset-value [ relative-depth relative-depth-value ] ]
undo detection { all | detection-id }
【缺省情况】
未配置自定义NBAR规则特征的检查项。
【视图】
NBAR规则特征视图
【缺省用户角色】
network-admin
context-admin
【参数】
detection-id:表示检查项的ID,取值范围为1~255。
field field-name:表示在指定的协议域中匹配检查项,field-name表示协议域名称,取值范围为1~31个字符,区分大小写,可通过输入“?”获取支持的协议域。
match-type { exclude | include }:表示检查项和检查内容的匹配方式。
· exclude:不包含。
· include:包含。
hex hex-vector:指定匹配检查项的16进制向量。取值范围为8~256个字符的字符串,且字符个数必须为偶数,输入参数必须在两个竖杠(|)之间,例如|123456|。
regex regex-pattern:指定匹配检查项的正则表达式,为3~253个字符的字符串,支持所有可输入字符,区分大小写。
text text-string:指定匹配检查项的字符串,为3~256个字符的字符串,支持所有可输入字符,区分大小写。
offset offset-value:表示检查项的绝对偏移量,设备将在协议域起始位置偏移指定字节后的内容中去匹配检查项,offset-value表示字节偏移量,取值范围为0~65535,单位为字节。如果未指定本参数,将从协议域起始位置后的所有内容中去匹配检查项。
depth depth-value:表示检查项的检测深度,取值范围为3~65535,单位为字节。
relative-offset relative-offset-value:表示检查项之间的相对偏移量,设备将在上一个检查项的结束位置偏移指定字节后的内容中去匹配检查项,relative-offset-value表示字节偏移量,取值范围为-32767~32767,单位为字节。如果取值为负数,则表示从上一个检查项的结束位置开始向前偏移指定字节。
relative-depth relative-depth-value:表示检查项之间的相对深度,取值范围为3~65535,单位为字节。
all:表示所有检查项。
【使用指导】
一个NBAR规则特征下可以配多个检查项,检查项之间为逻辑与的关系,匹配顺序为配置顺序,仅当特征的所有检查项均匹配成功时,该特征才可以匹配成功。配置检查项匹配的协议字段时,建议依据HTTP协议中各头域顺序进行配置,否则可能会影响设备的检测结果。
【举例】
# 在名为app_http的自定义NBAR规则中,配置编号为1的检查项,检测的协议域为http-uri、检测内容为文本abc、偏移量为10字节、检测深度为50字节。
<Sysname> system-view
[Sysname] nbar application app_http protocol http
[Sysname-nbar-application-app_http] signature 1 field uri string abcdefg
[Sysname-nbar-applicationn-signature-app_http-1] detection 1 field uri match-type include text abc offset 10 depth 50
direction命令用来配置NBAR规则的匹配方向。
undo direction命令用来恢复缺省情况。
【命令】
direction { to-client | to-server }
undo direction
【缺省情况】
NBAR规则的匹配方向是双向的。
【视图】
NBAR规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
to-client:表示对Server访问Client的流量进行基于NBAR规则的应用识别。
to-server:表示对Client访问Server的流量进行基于NBAR规则的应用识别。
【使用指导】
在同一个NBAR规则视图下多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置NBAR规则abcd的匹配方向为Client访问Server。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] direction to-server
【相关命令】
· nbar application
disable命令用来禁用自定义NBAR规则。
undo disable命令用来恢复缺省情况。
【命令】
disable
undo disable
【缺省情况】
自定义NBAR规则处于生效状态。
【视图】
NBAR规则视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
当在某些网络环境中,如果一些NBAR规则暂时不会被用到,而且又不想将其从设备上删除时,可以执行本命令来禁用这些规则。
【举例】
# 禁用自定义NBAR规则abcd。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] disable
【相关命令】
· nbar application
display app-group命令用来显示应用组信息。
【命令】
display app-group [ name group-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
name group-name:显示指定名称的应用组信息。group-name表示应用组的名称,为1~63个字符的字符串,不区分大小写,不允许为系统保留的“invalid”和“other”。若不指定应用组,则表示显示所有应用组信息。
【举例】
# 显示系统所有应用组的信息。
<Sysname> display app-group
User-defined count:3
Group Name Type Group ID
6767 User-defined 0x00800002
er User-defined 0x00800001
hbc User-defined 0x00800003
# 显示自定义应用组名称为er的应用组的信息。
<Sysname> display app-group name er
Group English name: er
Group Chinese name: er
Group ID: 0x00800001
Type: User-defined
Application count: 2
Include application list:
Application name Type App ID
114Travel Pre-defined 0x0000542c
banc User-defined 0x00800001
pre-defined app-group count:0
Include pre-defined app-group list:
App-group name Type App-group ID
表1-3 display app-group命令显示信息描述表
|
字段 |
描述 |
|
User-defined count |
自定义应用组的个数 |
|
Group Name |
自定义应用组的名称 |
|
Group English name |
应用组的英文名称 |
|
Group Chinese name |
应用组的中文名称 |
|
Group ID |
应用组的ID号 |
|
Type |
类型 |
|
Application count |
应用组下包含的应用的个数 |
|
Include application list |
包含的应用列表 |
|
Application name |
应用组中添加应用名 |
|
App ID |
应用组中添加应用的ID号 |
|
pre-defined app-group count |
(暂不支持)应用组中包含的预定义应用组的个数 |
|
Include pre-defined app-group list |
(暂不支持)包含的预定义应用组列表 |
|
App-group name |
(暂不支持)应用组中添加的预定义应用组名 |
|
App-group ID |
(暂不支持)应用组中添加的预定义应用组的ID号 |
【相关命令】
· app-group
· include
display application命令用来显示应用信息。
【命令】
display application [ name application-name | pre-defined | user-defined ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
name application-name:显示指定名称的应用信息。application-name表示应用的名称,为1~63个字符的字符串,不区分大小写,不允许为系统保留的“invalid”和“other”。
pre-defined:显示系统预定义的应用列表。
user-defined:显示用户自定义的应用列表。
【使用指导】
若不指定任何参数,则表示显示所有的应用信息。
【举例】
# 显示系统预定义的应用列表。
<Sysname> display application pre-defined
Pre-defined count: 817
Application name Type App ID Tunnel Encrypted DetectLen
12530WAP_Application_We Pre-defined 0x000003ac No No 0
b_HTTP
12580_Application_HTTP Pre-defined 0x00000312 No No 0
126_Web_Email_Download_ Pre-defined 0x000002b7 No No 0
HTTP
126_Web_Email_Login_HTT Pre-defined 0x000002b3 No No 0
P
126_Web_Email_Read_Emai Pre-defined 0x000002b4 No No 0
l_HTTP
126_Web_Email_Receive_E Pre-defined 0x000002b6 No No 0
mail_HTTP
126_Web_Email_Send_Emai Pre-defined 0x000002b5 No No 0
l_HTTP
126_Web_Email_Upload_HT Pre-defined 0x000002b8 No No 0
TP
139_mobile_weibo_commen Pre-defined 0x000001da No No 0
t_HTTP
139_mobile_weibo_login_ Pre-defined 0x000001d9 No No 0
HTTP
139_mobile_weibo_login_ Pre-defined 0x00000444 No No 0
---- More ----
# 显示用户自定义的应用列表。
<Sysname> display application user-defined
User-defined count: 4
Application name Type App ID Tunnel Encrypted DetectLen
def User-defined 0x00800002 No No 0
dfer User-defined 0x00800003 No No 0
efer User-defined 0x00800004 No No 0
fdfad User-defined 0x00800001 No No 0
# 显示所有应用列表。
<Sysname> display application
Total count: 821
Pre-defined count: 817
User-defined count: 4
Application name Type App ID Tunnel Encrypted DetectLen
12530WAP_Application_We Pre-defined 0x000003ac No No 0
b_HTTP
12580_Application_HTTP Pre-defined 0x00000312 No No 0
126_Web_Email_Download_ Pre-defined 0x000002b7 No No 0
HTTP
126_Web_Email_Login_HTT Pre-defined 0x000002b3 No No 0
P
126_Web_Email_Read_Emai Pre-defined 0x000002b4 No No 0
l_HTTP
126_Web_Email_Receive_E Pre-defined 0x000002b6 No No 0
mail_HTTP
126_Web_Email_Send_Emai Pre-defined 0x000002b5 No No 0
l_HTTP
126_Web_Email_Upload_HT Pre-defined 0x000002b8 No No 0
TP
139_mobile_weibo_commen Pre-defined 0x000001da No No 0
t_HTTP
139_mobile_weibo_login_ Pre-defined 0x000001d9 No No 0
HTTP
139_mobile_weibo_login_ Pre-defined 0x00000444 No No 0
HTTPS
139Mail_Login_HTTP Pre-defined 0x000001cb No No 0
139Mail_Login_HTTPS Pre-defined 0x0000038c No No 0
139Mail_Login_TCP Pre-defined 0x0000044b No No 0
163TV_HTTP Pre-defined 0x000004c3 No No 0
17173_Application_HTTP Pre-defined 0x00000350 No No 0
178Game_Application_HTT Pre-defined 0x00000222 No No 0
P
17K_fiction_Application Pre-defined 0x00000330 No No 0
_HTTP
19lou_Login_http_stream Pre-defined 0x000002c0 No No 0
19lou_Publish_Or_Reply_ Pre-defined 0x000002c2 No No 0
http_stream1
19lou_Publish_Or_Reply_ Pre-defined 0x000002c3 No No 0
http_stream2
19lou_View_http_stream Pre-defined 0x000002c1 No No 0
1ting_Music_Application Pre-defined 0x000001bc No No 0
_Mobile_HTTP
21CN_Email_Read_HTTP Pre-defined 0x000003fb No No 0
21CN_Email_Send_HTTP Pre-defined 0x000003fc No No 0
---- More ----
# 显示名称为telnet的应用信息。
<Sysname> display application name telnet
Application English Name: telnet
Application Chinese Name: telnet
Application ID: 0x0000000e
Tunnel: No
Encrypted: No
表1-4 display application命令显示信息描述表
|
字段 |
描述 |
|
Total count |
应用总数 |
|
Pre-defined count |
预定义应用总数 |
|
User-defined count |
自定义应用总数 |
|
Application Name |
应用名 |
|
Type |
应用的类型,取值包括: · Pre-defined:系统预定义 · User-defined:用户自定义 |
|
App ID/Application ID |
应用协议编号 |
|
Tunnel |
应用是否为隧道类型,例如L2TP为一个隧道类型的应用 |
|
Encrypted |
应用是否为加密类型,例如HTTPS为一个加密类型的应用 |
|
DetectLen |
检测长度,分为预定义的检测长度和自定义的检测长度 |
|
Application English Name |
应用的英文名称 |
|
Application Chinese Name |
应用的中文名称 |
【相关命令】
· app-group
· include
display application statistics命令用来显示接口上的应用统计信息。
【命令】
(独立运行模式)
display application statistics [ direction { inbound | outbound } | interface interface-type interface-number [ slot slot-number [ cpu cpu-number ] ] | name application-name ] *
(IRF模式)
display application statistics [ direction { inbound | outbound } | interface interface-type interface-number [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] | name application-name ] *
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
direction:显示指定方向的应用统计信息。
inbound:显示接口入方向的应用统计信息。
outbound:显示接口出方向的应用统计信息。
interface interface-type interface-number:显示指定接口的应用统计信息。interface-type interface-number表示要显示统计信息的接口类型和接口编号。
slot slot-number:显示指定单板上全局接口的应用统计信息。slot-number表示单板所在的槽位号。该参数仅在指定显示全局接口(例如VLAN接口、Tunnel接口)时可见。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备的指定单板上全局接口的应用统计信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。该参数仅在指定显示全局接口(例如VLAN接口、Tunnel接口)时可见。(IRF模式)
cpu cpu-number:显示指定CPU上全局接口的应用统计信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。(独立运行模式)(IRF模式)
name application-name:显示指定名称的应用统计信息。application-name表示应用的名称,为1~63个字符的字符串,不区分大小写,不允许为系统保留的“invalid”和“other”。
【使用指导】
如果不指定任何参数,则表示显示所有接口的应用统计信息。
只有在接口应用统计功能开启的情况下,接口才能产生相应的应用统计信息。因此,使用本命令查看接口统计信息之前,请确保接口的应用统计功能处于开启状态。
可以按应用名称、接口出方向、接口入方向、接口名称分别显示相应的应用统计信息,也可以通过指定多个参数,显示同时符合多个参数的应用统计信息。
【举例】
# 显示Ten-GigabitEthernet1/0/5接口上的所有应用统计信息。
<Sysname> display application statistics interface Ten-GigabitEthernet1/0/5
Interface : Ten-GigabitEthernet1/0/5
Application In/Out Packets Bytes PPS BPS
Slot 1 :
http IN 275 78631 0 275
OUT 357 255251 0 101
https IN 403 39267 0 44
OUT 681 623501 0 32
netbios-dgm IN 3 729 0 32
OUT 0 0 0 0
netbios-ns IN 248 22816 2 1423
OUT 0 0 0 0
telnet IN 801 43374 10 4509
OUT 1519 65388 20 6774
# 显示Vlan-interface 2接口上的所有应用统计信息。
<Sysname> display application statistics interface Vlan-interface 2
Interface : Vlan-interface2
Application In/Out Packets Bytes PPS BPS
Slot 1 :
http IN 275 78631 0 275
OUT 357 255251 0 101
https IN 403 39267 0 44
OUT 681 623501 0 32
netbios-dgm IN 3 729 0 32
OUT 0 0 0 0
netbios-ns IN 248 22816 2 1423
OUT 0 0 0 0
telnet IN 801 43374 10 4509
OUT 1519 65388 20 6774
表1-5 display application statistics命令显示信息描述表
|
字段 |
描述 |
|
Interface |
接口的名称 |
|
Application |
应用的名称 |
|
In/Out |
入方向/出方向 |
|
Packets |
接口上接收或发送的报文个数 |
|
Bytes |
接口上接收或发送的字节数 |
|
PPS |
每秒报文数 |
|
BPS |
每秒比特数 |
【相关命令】
· app-group
· application statistics enable
display application statistics top命令用来按指定类型的统计排名显示接口应用统计信息。
【命令】
(独立运行模式)
display application statistics top number { bps | bytes | packets | pps } interface interface-type interface-number [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display application statistics top number { bps | bytes | packets | pps } interface interface-type interface-number [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
number:显示排名前number的应用统计信息,取值范围为0~4294967295。
bytes:显示接口字节数为前number的应用统计信息。
bps:显示接口比特速率统计为前number的应用统计信息。
packets:显示接口包数为前number的应用统计信息。
pps:显示接口包速率统计为前number的应用统计信息。
interface interface-type interface-number:显示指定接口的应用统计信息。interface-type interface-number指定要显示统计信息的接口类型和接口编号。
slot slot-number:显示指定单板上全局接口的应用统计信息。slot-number表示单板所在的槽位号。该参数仅在指定显示全局接口(例如VLAN接口、Tunnel接口)时可见。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备的指定单板上全局接口应用的统计信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。该参数仅在指定显示全局接口(例如VLAN接口、Tunnel接口)时可见。(IRF模式)
cpu cpu-number:显示指定CPU上全局接口的应用统计信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。(独立运行模式)(IRF模式)
【使用指导】
只有在接口应用统计功能开启的情况下,接口才能产生相应的应用统计信息。因此,使用本命令查看接口统计信息之前,请确保接口的应用统计功能处于开启状态。
系统以接口上某一个应用的出方向和入方向的统计值之和为依据对应用进行排名。统计值相同的应用,再按照应用名称的字母顺序排列。
【举例】
# 显示Ten-GigabitEthernet1/0/5接口上包数为前3的应用统计信息。
<Sysname> display application statistics top 3 packets interface ten-gigabitethernet 1/0/5
Interface : Ten-GigabitEthernet1/0/5
Application In/Out Packets Bytes PPS BPS
Slot 1 :
telnet IN 1389 75219 0 44
OUT 2626 112745 0 54
https IN 468 42830 0 123
OUT 746 626101 0 91
netbios-ns IN 965 88780 2 1411
OUT 0 0 0 0
# 显示Vlan-interface 2接口上包数为前3的应用统计信息。
<Sysname> display application statistics top 3 packets interface Vlan-interface 2
Interface : Vlan-interface2
Application In/Out Packets Bytes PPS BPS
Slot 1 :
telnet IN 1389 75219 0 44
OUT 2626 112745 0 54
https IN 468 42830 0 123
OUT 746 626101 0 91
netbios-ns IN 965 88780 2 1411
OUT 0 0 0 0
表1-6 display application statistics top命令显示信息描述表
|
字段 |
描述 |
|
Interface |
接口的名称 |
|
Application |
应用的名称 |
|
In/Out |
入方向/出方向 |
|
Packets |
接口上接收或发送的报文个数 |
|
Bytes |
接口上接收或发送的字节数 |
|
PPS |
每秒报文数 |
|
BPS |
每秒比特数 |
【相关命令】
· app-group
· application statistics enable
display apr protocol detection-threshold-other命令用来显示被识别为other类应用的报文检测阈值。
【命令】
display apr protocol [ protocol-name ] detection-threshold-other
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
protocol-name:表示协议的名称,为1~63个字符的字符串,不区分大小写。若不指定本参数,则表示显示所有被识别为other类应用的报文检测阈值信息。
【举例】
# 查看协议识别成other应用的检测阈值信息。
<Sysname> display apr protocol detection-threshold-other
Detection threshold information:
Protocol: general_udp
Packet count: 45
Payload length: 3200 bytes
Protocol: general_tcp
Packet count: 40
Payload length: 3000 bytes
Protocol: http
Packet count: 10
Payload length: 2500 bytes
Protocol: https
Packet count: 20
Payload length: 2800 bytes
表1-7 display apr protocol detection-threshold命令显示信息描述表
|
字段 |
描述 |
|
Detection threshold information |
报文的检测阈值信息 |
|
Protocol |
协议名称 |
|
Packet count |
报文个数检测阈值 |
|
Payload length |
报文载荷总长度检测阈值,单位为字节 |
【相关命令】
· apr protocol detection-threshold application-other
display apr signature library命令用来显示当前APR特征库的版本信息。
【命令】
display apr signature library
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示当前特征库版本信息
<Sysname> display apr signature library
APR signature library information:
Type SigVersion ReleaseTime Size
Current 1.0.49 Tue Sep 13 06:54:01 2016 659744
Last 1.0.52 Wed Nov 02 07:14:03 2016 702640
Factory 1.0.0 Fri Dec 31 16:00:00 1999 77040
表1-8 display apr signature library命令显示信息描述表
|
字段 |
描述 |
|
Type |
APR特征库版本,包括如下取值: · Current:当前版本 · Last:上一版本 · Factory:出厂版本 |
|
SigVersion |
APR特征库版本号 |
|
ReleaseTime |
APR特征库发布时间 |
|
Size |
APR特征库大小,单位是Bytes |
display port-mapping pre-defined命令用来显示预定义的端口映射信息。
【命令】
display port-mapping pre-defined
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示预定义的端口映射信息。
<Sysname> display port-mapping pre-defined
Application Protocol Port
afs3-kaserver TCP 7004
UDP 7004
aol TCP 5190, 5191, 5192, 5193
UDP 5190, 5191, 5192, 5193
appleqtc TCP 458
UDP 458
bgp TCP 179
UDP 179
表1-9 display port-mapping pre-defined命令显示信息描述表
|
字段 |
描述 |
|
Application |
进行端口映射的应用 |
|
Protocol |
传输层协议类型 |
|
Port |
应用的端口号 |
【相关命令】
· display port-mapping
· port-mapping
display port-mapping user-defined命令用来显示自定义的端口映射信息。
【命令】
display port-mapping user-defined [ application application-name | port port-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
application application-name:显示指定端口映射的应用协议。application-name表示应用协议名称,为1~63个字符的字符串,不区分大小写,不允许为系统保留的“invalid”和“other”。该应用名称必须标准且能够被设备识别。
port port-number:显示指定应用的端口。port-number表示端口号,取值范围为0~65535。
【使用指导】
若不指定任何参数,则表示显示所有的用户自定义端口映射信息。
【举例】
# 显示所有自定义的端口映射信息。
<Sysname> display port-mapping user-defined
Application Port Protocol Match Type Match Condition
-------------------------------------------------------------
FTP 21 TCP --- ---
FTP 21 UDP IPv4 host 10.10.10.1(vpn1)
FTP 2121 UDP IPv4 host [11.10.10.1, 11.10.10.10](vpn2)
FTP 21 UDP IPv4 subnet 10.10.10.1/24
FTP 21 SCTP IPv6 host 2000:fdb8::1:00ab:853c:39ab
HTTP 899 TCP IPV4 ACL 2002
HTTP 999 SCTP IPv6 ACL 2002
表1-10 display port-mapping user-defined命令显示信息描述表
|
字段 |
描述 |
|
Application |
进行端口映射的应用 |
|
Port |
应用映射的端口号 |
|
Protocol |
传输层协议类型 |
|
Match Type |
匹配方式,包括以下类型: · ---:表示通配,即未指定匹配类型和匹配条件,所有报文都可以进行匹配 · IPv4 host:表示基于报文的目的IPv4地址进行匹配 · IPv6 host:表示基于报文的目的IPv6地址进行匹配 · IPv4 subnet:表示基于报文的目的IPv4网段进行匹配 · IPv6 subnet:表示基于报文的目的IPv6网段进行匹配 · IPv4 ACL:表示基于IPv4 ACL进行匹配 · IPv6 ACL:表示基于IPv6 ACL进行匹配 |
|
Match Condition |
匹配条件,包括以下几种情况: · 对于IPv4 host/IPv6 host匹配方式,显示为主机报文的目的IP地址 · 对于IPv4 subnet/IPv6 subnet匹配方式,显示为主机报文的目的网段地址 · 对于IPv4 ACL/IPv6 ACL匹配方式,显示为ACL编号 对于host和subnet类型的端口映射配置,如果指定了主机所属的VPN,则还会显示其所属的MPLS L3VPN的VPN实例名称 |
include application命令用来在应用组中添加应用。
undo include application命令用来在应用组中删除应用。
【命令】
include application application-name
undo include application application-name
【缺省情况】
应用组中不存在应用。
【视图】
应用组视图
【缺省用户角色】
network-admin
context-admin
【参数】
application-name:向应用组中添加的应用的名称,为1~63个字符的字符串,不区分大小写,不允许为系统保留的invalid或other。
【使用指导】
可多次执行本命令为一个应用组中添加多个预定义应用和自定义应用,每个组里可以包含的应用个数不限制。
向应用组中添加应用时,如果对应的应用不存在就会创建这个应用,但该应用的报文是否能被识别,取决于系统中是否定义了相应的识别规则,比如端口映射配置。
【举例】
# 在应用组abc中增加应用HTTP和FTP。
<Sysname> system-view
[Sysname] app-group abc
[Sysname-app-group-abc] include application http
[Sysname-app-group-abc] include application ftp
【相关命令】
· app-group
· copy app-group
nbar application命令用来创建自定义NBAR规则,并进入NBAR规则视图。如果指定的NBAR规则已经存在,则直接进入NBAR规则视图。
undo nbar application命令用来删除指定的自定义NBAR规则。
【命令】
nbar application application-name protocol { http | tcp | udp }
undo nbar application application-name
【缺省情况】
不存在自定义NBAR规则。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
application-name:指定自定义NBAR规则的名称,为1~63个字符的字符串,不区分大小写,不允许为系统保留的“invalid”、“other”和系统预定义应用的名称。
http:表示该规则用于识别基于HTTP协议的报文。
tcp:表示该规则用于识别基于TCP协议的报文。
udp:表示该规则用于识别基于UDP协议的报文。
【使用指导】
如果APR特征库中预定义的应用规则不能满足用户需求,可以使用本命令自定义NBAR规则,以及配置该规则的属性和特征。但不能对预定义的NBAR规则进行删除和修改。
【举例】
# 创建名称为abcd的自定义NBAR规则,并指定该规则用于识别基于HTTP协议的报文。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd]
override-current命令用来配置定期自动在线升级APR特征库时覆盖当前的特征文件。
undo override-current命令用来恢复缺省情况。
【命令】
override-current
undo override-current
【缺省情况】
定期自动在线升级APR特征库时不会覆盖当前的特征库文件,而是同时备份当前的特征库文件。
【视图】
自动升级配置视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
可以通过开启此功能解决升级APR特征库时设备内存不足的问题。在设备剩余内存充裕的情况下,不建议配置该功能,因为APR特征库升级时,如果没有备份当前特征库文件,则不能回滚到上一版本。
【举例】
# 配置定期自动在线升级APR特征库时覆盖当前的特征文件。
<Sysname> system-view
[Sysname] apr signature auto-update
[Sysname-apr-autoupdate] override-current
【相关命令】
· apr signature auto-update
port-mapping命令用来配置通用端口映射。
undo port-mapping命令用来删除指定的通用端口映射。
【命令】
port-mapping application application-name port port-number [ protocol protocol-name ]
undo port-mapping application application-name port port-number [ protocol protocol-name ]
【缺省情况】
各应用与其对应的常用的端口号映射。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
application application-name:指定端口映射的应用。application-name表示应用名称。为1~63个字符的字符串,不区分大小写,不允许为系统保留的“invalid”和“other”。该应用名称必须标准且能够被设备识别。
port port-number:指定与应用映射的端口。port-number表示端口号,取值范围为0~65535。
protocol protocol-name:指定应用使用的传输层协议名称,其取值及含义如下:
· dccp:表示DCCP(Datagram Congestion Control Protocol,数据报拥塞控制协议)协议。
· sctp:表示SCTP(Stream Control Transmission Protocol,流控制传输协议)协议。
· tcp:表示TCP协议。
· udp:表示UDP协议。
· udp-lite:表示UDP-Lite协议。
【使用指导】
若不指定protocol参数,则表示所有传输层协议的指定报文均可被识别为指定应用的报文。
如果报文的目的端口号与某个通用端口映射匹配,则该报文将被识别为相应的应用报文。
指定传输层协议名称的映射优先级高于不指定传输层协议名称的映射。
应用名称不同,其他参数相同时,多次执行本命令,最后一次执行的命令生效。
不能通过重复执行本命令来修改与应用映射的端口号。如需修改端口号,请先通过undo port-mapping application命令删除通用端口映射,再执行port-mapping application命令。
【举例】
# 建立端口3456到FTP协议的通用端口映射。
<Sysname> system-view
[Sysname] port-mapping application ftp port 3456
【相关命令】
· display port-mapping user-defined
port-mapping acl命令用来配置基于ACL的主机端口映射。
undo port-mapping acl命令用来删除指定的主机端口映射。
【命令】
port-mapping application application-name port port-number [ protocol protocol-name ] acl [ ipv6 ] acl-number
undo port-mapping application application-name port port-number [ protocol protocol-name ] acl [ ipv6 ] acl-number
【缺省情况】
各应用与其对应的常用的端口号映射。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
application application-name:指定端口映射的应用。application-name表示应用名称。为1~63个字符的字符串,不区分大小写,不允许为系统保留的“invalid”和“other”。该应用名称必须标准且能够被设备识别。
port port-number:指定与应用映射的端口。port-number表示端口号,取值范围为0~65535。
protocol protocol-name:指定应用使用的传输层协议名称,其取值及含义如下:
· dccp:表示DCCP(Datagram Congestion Control Protocol,数据报拥塞控制协议)协议。
· sctp:表示SCTP(Stream Control Transmission Protocol,流控制传输协议)协议。
· tcp:表示TCP协议。
· udp:表示UDP协议。
· udp-lite:表示UDP-Lite协议。
acl [ ipv6 ] acl-number:ACL编号,取值范围为2000~2999。如果指定ipv6,则表示IPv6 ACL,否则表示IPv4 ACL。即使指定的ACL中开启统计功能后,此ACL也不会统计匹配此PBAR的流量。
【使用指导】
若不指定protocol参数,则表示所有传输层协议的指定报文均可被识别为指定应用的报文。
对于匹配指定ACL的报文(其目的IP地址与ACL中某规则指定的源IP地址参数相匹配),如果报文的目的端口号与某个映射关系匹配,则该报文将被识别为对应的应用报文。
应用名称不同,其他参数相同时,多次执行本命令,最后一次执行的命令生效。
指定传输层协议名称的映射优先级高于不指定传输层协议名称的映射。
【举例】
# 为匹配ACL 2000的报文,建立端口3456到FTP协议的映射。
<Sysname> system-view
[Sysname] port-mapping application ftp port 3456 acl 2000
【相关命令】
· display port-mapping user-defined
port-mapping host命令用来设置基于IP地址的主机端口映射。
undo port-mapping host命令用来删除指定IP地址的主机端口映射。
【命令】
port-mapping application application-name port port-number [ protocol protocol-name ] host { ip | ipv6 } start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ]
undo port-mapping application application-name port port-number [ protocol protocol-name ] host { ip | ipv6 } start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ]
【缺省情况】
各应用与其对应的常用的端口号映射。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
application application-name:指定端口映射的应用。application-name表示应用名称,为1~63个字符的字符串,不区分大小写,不允许为系统保留的“invalid”和“other”。该应用名称必须标准且能够被设备识别。
port port-number:指定与应用映射的端口。port-number表示端口号,取值范围为0~65535。
protocol protocol-name:指定应用使用的传输层协议名称,其取值及含义如下:
· dccp:表示DCCP(Datagram Congestion Control Protocol,数据报拥塞控制协议)协议。
· sctp:表示SCTP(Stream Control Transmission Protocol,流控制传输协议)协议。
· tcp:表示TCP协议。
· udp:表示UDP协议。
· udp-lite:表示UDP-Lite协议。
ip:指定基于IPv4地址的主机端口映射。
ipv6:指定基于IPv6地址的主机端口映射。
start-ip-address [ end-ip-address ]:表示IPv4地址范围或IPv6地址范围。start-ip-address表示起始IP地址,end-ip-address表示终止IP地址。如果仅配置start-ip-address,则表示单个主机;如果同时配置start-ip-address和end-ip-address,则表示位于start-ip-address和end-ip-address范围内的所有主机,其中的end-ip-address必须大于等于start-ip-address。
vpn-instance vpn-instance-name:表示报文所属的VPN。vpn-instance-name为MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示报文属于公网。
【使用指导】
若不指定protocol参数,则表示所有传输层协议的指定报文均可被识别为指定应用的报文。
对于目的地址为指定地址或指定范围的地址的报文,如果报文的目的端口号与某个映射关系匹配,则该报文将被识别为对应的应用报文。
对于应用协议、端口号、传输层协议参数均相同的配置,要求各配置中指定的IP地址或者IP地址范围不能重叠。
应用名称不同,其他参数相同时,多次执行本命令,最后一次执行的命令生效。
指定传输层协议名称的映射优先级高于不指定传输层协议名称的映射。
【举例】
# 为目的IP地址范围为1.1.1.1~1.1.1.10的IPv4报文,建立端口3456到FTP协议的映射。
<Sysname> system-view
[Sysname] port-mapping application ftp port 3456 host ip 1.1.1.1 1.1.1.10
# 为目的IP地址为1::1的IPv6报文,建立端口3456到FTP协议的映射。
<Sysname> system-view
[Sysname] port-mapping application ftp port 3456 host ipv6 1::1
【相关命令】
· display port-mapping user-defined
port-mapping subnet命令用来配置基于网段的主机端口映射。
undo port-mapping subnet命令用来删除指定网段的主机端口映射。
【命令】
port-mapping application application-name port port-number [ protocol protocol-name ] subnet { ip ipv4-address { mask-length | mask } | ipv6 ipv6-address prefix-length } [ vpn-instance vpn-instance-name ]
undo port-mapping application application-name port port-number [ protocol protocol-name ] subnet { ip ipv4-address { mask-length | mask } | ipv6 ipv6-address prefix-length } [ vpn-instance vpn-instance-name ]
【缺省情况】
各应用与其对应的常用的端口号映射。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
application application-name:指定端口映射的应用。application-name表示应用名称。为1~63个字符的字符串,不区分大小写,不允许为系统保留的“invalid”和“other”。该应用名称必须标准且能够被设备识别。
port port-number:指定与应用映射的端口。port-number表示端口号,取值范围为0~65535。
protocol protocol-name:指定应用使用的传输层协议名称,其取值及含义如下:
· dccp:表示DCCP(Datagram Congestion Control Protocol,数据报拥塞控制协议)。
· sctp:表示SCTP(Stream Control Transmission Protocol,流控制传输协议)。
· tcp:表示TCP协议。
· udp:表示UDP协议。
· udp-lite:表示UDP-Lite协议。
ip ipv4-address { mask-length | mask }:指定IPv4网段。其中,ipv4-address表示IPv4地址;mask-length表示子网掩码长度,取值范围为1~32;mask表示子网掩码,为点分十进制格式。
ipv6 ipv6-address prefix-length:指定IPv6网段。其中,ipv6-address表示IPv6地址;prefix-length表示IPv6前缀长度,取值范围为1~128。
vpn-instance vpn-instance-name:表示主机所属的VPN。vpn-instance-name为MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示主机属于公网。
【使用指导】
若不指定protocol参数,则表示所有传输层协议的指定端口的报文均被识别为指定应用的报文。
对于目的地址为指定网段的报文,如果报文的目的端口号与某个映射关系匹配,则该报文将被识别为对应的应用报文。
PBAR以最精确的网络范围对报文进行匹配,即如果配置了多条网段映射关系,且各映射关系中指定的网段范围互相包含,则使用网络范围最小的映射配置进行匹配。
应用名称不同,其他参数相同时,多次执行本命令,最后一次执行的命令生效。
指定传输层协议名称的映射优先级高于不指定传输层协议名称的映射。
【举例】
# 为目的网段地址为1.1.1.0/24的IPv4主机报文,建立端口3456到FTP协议的映射。
<Sysname> system-view
[Sysname] port-mapping application ftp port 3456 subnet ip 1.1.1.0 24
# 为目的网段地址为1:: /120的IPv6主机报文,建立端口3456到FTP协议的映射。
<Sysname> system-view
[Sysname] port-mapping application ftp port 3456 subnet ipv6 1:: 120
【相关命令】
· display port-mapping user-defined
reset application statistics命令用来清除指定接口或所有接口的应用统计信息。
【命令】
reset application statistics [ interface interface-type interface-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
interface interface-type interface-number:清除指定接口上的应用统计信息。interface-type interface-number表示接口类型和接口编号。如果不指定此参数,则表示清除所有接口上的应用统计信息。
【举例】
# 清除所有接口的应用统计信息。
<Sysname> reset application statistics
【相关命令】
· application statistics enable
· display application statistics
risk type命令用来配置自定义应用的风险类型。
undo risk type命令用来删除自定义应用的风险类型。
【命令】
risk type risk-type
undo risk type [ risk-type ]
【缺省情况】
未配置自定义应用的风险类型。
【视图】
自定义应用视图
【缺省用户角色】
network-admin
context-admin
【参数】
risk-type:表示风险类型的名称,不区分大小写,可通过输入“?”来获取支持的风险类型名称。
【使用指导】
多次执行本命令,可为一个自定义应用配置多个风险类型。所属的风险类型越多,表示该应用的风险级别越高。管理员可根据应用的风险级别配置相应的防护策略(例如安全策略),保护内网安全。在执行undo risk type命令时,如果不指定风险类型,将删除该自定义应用的所有风险类型。
【举例】
# 配置自定义应用app1的风险类型为Tunneling和Misoperation。
<sysname> system-view
[sysname] user-defined-application app1
[sysname-user-defined-app-app1] risk type Tunneling
[sysname-user-defined-app-app1] risk type Misoperation
service-port命令用来配置自定义NBAR规则匹配的端口号。
undo service-port命令用来恢复缺省情况。
【命令】
service-port { port-num | range start-port end-port }
undo service-port
【缺省情况】
NBAR规则匹配所有端口号。
【视图】
NBAR规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
port-num:指定规则匹配的端口号,取值范围为0~65535。
range:指定规则匹配的端口号范围。
start-port:表示起始端口号,取值范围为0~65535。
end-port:表示终止端口号,取值范围为0~65535。
【使用指导】
本命令配置的端口号用来匹配报文的目的端口。
在同一个NBAR规则视图下多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置NBAR规则abcd的端口号范围为2001~2004。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] service-port range 2001 2004
【相关命令】
· direction
signature命令用来创建自定义NBAR规则的特征,并进入NBAR规则特征视图。如果指定的NBAR规则特征已存在,则直接进入NBAR规则特征视图。
undo signature命令用来删除自定义NBAR规则的特征。
【命令】
signature [ signature-id ] [ field field-name ] [ offset offset-value ] { hex hex-vector | regex regex-pattern | string string }
undo signature signature-id
【缺省情况】
未配置自定义NBAR规则的特征。
【视图】
NBAR规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
signature-id:指定NBAR规则特征的编号。取值范围为1~65535。若未指定本参数,系统将按照步长从5开始,自动分配规则中不存在的5的最小整倍数作为ID,步长为5。例如,现有规则的最大编号为28,上次自动分配的编号是5,接着手动配置一条编号为10的规则,再自动配置一条规则,此规则自动分配的编号是15。
field field-name:表示在指定的协议域中匹配特征,field-name表示协议域名称,且这些协议域是系统预定义的,不可自定义。只有基于HTTP协议的NBAR规则中的特征才能指定协议域,不指定协议域表示在整个HTTP报文中匹配特征。
offset offset-value:表示在数据起始位置的偏移指定字节后的内容中去匹配特征,offset-value表示字节偏移量,取值范围为0~65535,单位为字节。如果未指定本参数,将从数据起始位置后的所有内容中去匹配特征。如果指定了协议域,则偏移值从协议域的起始位置计算。
hex hex-vector:指定16进制向量特征。取值范围为8~256个字符的字符串,且字符个数必须为偶数,输入参数必须在两个竖杠(|)之间。
regex regex-pattern:指定正则表达式特征,为3~253个字符的字符串,支持所有可输入字符,区分大小写。
string string:指定字符串特征,为3~256个字符的字符串,支持所有可输入字符,区分大小写。
【使用指导】
对于一个自定义应用,允许配置多个特征(特征编号不同),特征可以是字符串、16进制向量或者正则表达式,不同特征之间是逻辑或的关系。
特征编号相同时,多次执行本命令,最后一次执行的命令生效。
正则表达式有如下限制:
· 正则表达式中,总的分支不能超过四个。例如'abc(c|d|e|\x3D)'有效,'abc(c|onreset|onselect|onchange|style\x3D)'无效。
· 正则表达式中,括号不能嵌套,即括号中不能有括号。例如'ab((abcs*?))'无效。
· 正则表达式中,分支不支持串联,即分支后面不能有分支。例如'ab(a|b)(c|d)^\\r\\n]+?'无效。
· 正则表达式中,零次重复量词'*'和'?'前面必须有四个确定字符。例如'abc*'无效,'abcd*DoS\x2d\d{5}\x20\x2bxi\\r\\nJOIN'有效。
【举例】
# 在名为abcd的自定义NBAR规则中创建编号为1的自定义NBAR规则特征,配置字符串特征为abcdefg,并进入NBAR规则特征视图。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] signature 1 string abcdefg
[Sysname-nbar-application-abcd-signature-1]
# 在名为ddd的自定义NBAR规则中创建编号为2的自定义NBAR规则特征,配置16进制向量特征为123456。
<Sysname> system-view
[Sysname] nbar application ddd protocol http
[Sysname-nbar-application-ddd] signature 2 hex |123456|
[Sysname-nbar-application-ddd-signature-2]
【相关命令】
· detection
source命令用来配置自定义NBAR规则匹配的源IP地址网段。
undo source命令用来恢复缺省情况。
【命令】
source ip ipv4-address [ mask-length ]
undo source
【缺省情况】
NBAR规则匹配所有源IP地址网段。
【视图】
NBAR规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip ipv4-address:指定匹配的源IPv4地址或网段,为点分十进制格式。
mask-length:子网掩码长度,取值范围为0~32。
【使用指导】
在同一个NBAR规则视图下多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置应用abcd的源网段。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] source ip 192.168.2.0 24
【相关命令】
· nbar application
update schedule命令用来配置定期自动升级APR特征库的时间。
undo update schedule命令用来恢复缺省情况。
【命令】
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
undo update schedule
【缺省情况】
设备会在每天02:01:00至04:01:00之间自动升级APR特征库。
【视图】
自动升级配置视图
【缺省用户角色】
network-admin
context-admin
【参数】
daily:表示自动升级周期为每天。
weekly:表示以一周为周期,在指定一天进行自动升级。
fri:表示星期五。
mon:表示星期一。
sat:表示星期六。
sun:表示星期日。
thu:表示星期四。
tue:表示星期二。
wed:表示星期三。
start-time time:指定自动升级开始时间,time的格式为hh:mm:ss,取值范围为00:00~23:59:59。
tingle minutes:指定抖动时间,即实际自动升级开始时间的偏差范围,取值范围为0~120,单位为分钟。在start-time指定时间的前后各偏移抖动时间的一半作为自动升级的时间范围,例如,指定自动升级的开始时间为01:00:00,抖动时间为60分钟,则自动升级的时间范围为00:30:00至01:30:00。
【举例】
# 配置定期自动升级APR特征库的时间为每周一的23:10:00,抖动时间为10分钟。
<Sysname> system-view
[Sysname] apr signature auto-update
[Sysname-apr-autoupdate] update schedule weekly mon start-time 23:10:00 tingle 10
【相关命令】
· apr signature auto-update
user-defined-application命令用来进入自定义应用视图。
undo user-defined-application命令用来删除指定自定义应用的配置。
【命令】
user-defined-application application-name
undo user-defined-application application-name
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
application-name:指定自定义应用的名称,为1~63个字符的字符串,不区分大小写,不允许为系统保留的“invalid”、“other”和系统预定义应用的名称。
【使用指导】
进入自定义应用视图后,可为NBAR类型和PBAR类型的自定义应用配置风险类型。指定的自定义应用必须已存在。
【举例】
# 进入名为app1的自定义应用视图。
<sysname> system-view
[sysname] user-defined-application app1
[sysname-user-defined-app-app1]
【相关命令】
· nbar application
· port-mapping
· port-mapping acl
· port-mapping host
· port-mapping subnet
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
