- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
10-防火墙命令
本章节下载: 10-防火墙命令 (207.57 KB)
1.1.1 display firewall ethernet-frame-filter
1.1.2 display firewall ipv6 statistics
1.1.3 display firewall-statistics
1.1.6 firewall ethernet-frame-filter
1.1.7 firewall fragments-inspect
1.1.8 firewall fragments-inspect { high | low }
1.1.11 firewall ipv6 fragments-inspect
1.1.13 firewall packet-filter ipv6
1.1.14 reset firewall ethernet-frame-filter
1.1.15 reset firewall ipv6 statistics
1.1.16 reset firewall-statistics
【命令】
display firewall ethernet-frame-filter { all | dlsw | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
all:查看所有接口的以太网帧过滤统计信息。
dlsw:查看数据流流经DLSw模块时的以太网帧过滤统计信息。
interface interface-type interface-number:查看指定接口的以太网帧过滤统计信息。其中interface-type interface-number表示接口类型和接口编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display firewall ethernet-frame-filter命令用来查看以太网帧过滤情况的统计信息。
【举例】
# 查看接口Ethernet1/1上以太网帧过滤情况的统计信息。
<Sysname> display firewall ethernet-frame-filter interface ethernet 1/1
Interface: Ethernet1/1
In-bound Policy: acl 4000
From 2005-06-07 14:46:59 to 2005-06-07 16:16:23
0 packets, 0 bytes, 0% permitted,
0 packets, 0 bytes, 0% denied,
0 packets, 0 bytes, 0% permitted default,
0 packets, 0 bytes, 0% denied default,
Totally 0 packets, 0 bytes, 0% permitted,
Totally 0 packets, 0 bytes, 0% denied.
Out-bound Policy: acl 4000
From 2005-06-07 15:59:23 to 2005-06-07 16:16:23
0 packets, 0 bytes, 0% permitted,
0 packets, 0 bytes, 0% denied,
0 packets, 0 bytes, 0% permitted default,
0 packets, 0 bytes, 0% denied default,
Totally 0 packets, 0 bytes, 0% permitted,
Totally 0 packets, 0 bytes, 0% denied.
表1-1 display firewall ethernet-frame-filter显示信息描述表
|
字段 |
描述 |
|
Interface |
配置了以太网帧过滤功能的接口 |
|
In-bound Policy |
表示该接口上配置了入方向的ACL规则 |
|
Out-bound Policy |
表示该接口上配置了出方向的ACL规则 |
【命令】
display firewall ipv6 statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
all:查看IPv6防火墙的所有接口的过滤报文统计信息。
interface interface-type interface-number:查看IPv6防火墙的指定接口的过滤报文统计信息。其中,interface-type interface-number表示接口类型和接口编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display firewall ipv6 statistics命令用来查看IPv6防火墙的过滤报文统计信息。
【举例】
# 查看IPv6防火墙的过滤报文统计信息。
<Sysname> display firewall ipv6 statistics interface ethernet 1/1
Interface: ethernet1/1
In-bound Policy: acl6 2000
From 2008-06-04 10:25:21 to 2008-06-04 10:35:57
0 packets, 0 bytes, 0% permitted
0 packets, 0 bytes, 0% denied
0 packets, 0 bytes, 0% permitted default
0 packets, 0 bytes, 0% denied default
Totally 0 packets, 0 bytes, 0% permitted
Totally 0 packets, 0 bytes, 0% denied
表1-2 display firewall ipv6 statistics命令显示信息描述表
|
字段 |
描述 |
|
Interface |
配置了IPv6包过滤功能的接口 |
|
In-bound Policy |
表示该接口上配置了入方向的ACL规则 |
|
Out-bound Policy |
表示该接口上配置了出方向的ACL规则 |
|
acl6 |
IPv6 ACL编号 |
|
0 packets, 0 bytes, 0% permitted |
表示匹配到IPv6 ACL规则,且被允许通行的报文个数、字节数和比例 |
|
0 packets, 0 bytes, 0% denied |
表示匹配到IPv6 ACL规则,且被拒绝通行的报文个数、字节数和比例 |
|
0 packets, 0 bytes, 0% permitted default |
表示未匹配到任何IPv6 ACL规则,且根据缺省过滤规则被允许通行的报文个数、字节数和比例 |
|
0 packets, 0 bytes, 0% denied default |
表示未匹配到任何IPv6 ACL规则,且根据缺省过滤规则被拒绝通行的报文个数、字节数和比例 |
|
Totally 0 packets, 0 bytes, 0% permitted |
总计被允许通行的报文个数、字节数和比例 |
|
Totally 0 packets, 0 bytes, 0% denied |
总计被拒绝通行的报文个数、字节数和比例 |
【命令】
display firewall-statistics { all | fragments-inspect | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
all:查看IPv4防火墙的所有接口的过滤报文统计信息。
fragments-inspect:查看IPv4防火墙的分片报文检测统计信息。
interface interface-type interface-number:查看IPv4防火墙的指定接口的过滤报文统计信息。其中,interface-type interface-number表示接口类型和接口编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display firewall-statistics命令用来查看IPv4防火墙的过滤报文统计信息。
相关配置可参考命令firewall fragments-inspect。
可以记录的具有相同IP头16位标识的分片报文个数上限为50。
【举例】
# 查看分片报文检测信息。
<Sysname> display firewall-statistics fragments-inspect
Fragments inspection is enabled.
The high-watermark for clamping is 2000.
The low-watermark for clamping is 1500.
Current records for fragments inspection is 0.
表1-3 display firewall-statistics命令显示信息描述表
|
字段 |
描述 |
|
Fragments inspection is enabled |
防火墙分片报文检测功能开启 |
|
The high-watermark for clamping |
上限分片状态记录数目 |
|
The low-watermark for clamping |
下限分片状态记录数目 |
|
Current records for fragments inspection |
当前分片检测数 |
【命令】
firewall default { deny | permit }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
deny:过滤方式为禁止报文通过。
permit:过滤方式为允许报文通过。
【描述】
firewall default命令用来配置IPv4防火墙的缺省过滤方式。
缺省情况下,IPv4防火墙的缺省过滤方式为允许报文通过(permit)。
【举例】
# 配置IPv4防火墙的缺省过滤方式为禁止报文通过。
<Sysname> system-view
[Sysname] firewall default deny
【命令】
firewall enable
undo firewall enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
firewall enable命令用来启用IPv4防火墙功能。undo firewall enable命令用来关闭IPv4防火墙功能。
缺省情况下,IPv4防火墙功能处于关闭状态。
【举例】
# 启用IPv4防火墙功能。
<Sysname> system-view
[Sysname] firewall enable
【命令】
firewall ethernet-frame-filter { acl-number | name acl-name } { inbound | outbound }
undo firewall ethernet-frame-filter [ { acl-number | name acl-name } ] { inbound | outbound }
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
acl-number:二层访问控制列表号,取值范围为4000~4999。
name acl-name:指定二层访问控制列表的名称。其中,acl-name表示二层ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,二层ACL的名称不可以使用英文单词all。
inbound:过滤接口接收的数据包。
outbound:过滤接口转发的数据包。
【描述】
firewall ethernet-frame-filter命令用来配置接口的以太网帧过滤功能。undo firewall ethernet-frame-filter命令用来取消接口的以太网帧过滤功能。
缺省情况下,不对接口进行以太网帧过滤。
需要注意的是:
· 只有接口工作在网桥组下时,本配置才生效。
· 在接口的一个方向上,只能应用一个ACL来进行以太网帧过滤。
MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:
|
型号 |
命令 |
描述 |
|
MSR800 |
firewall ethernet-frame-filter |
支持 |
|
MSR 900 |
支持 |
|
|
MSR900-E |
支持 |
|
|
MSR 930 |
支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【举例】
# 在接口Ethernet1/1上配置入方向上的以太网帧过滤规则。
<Sysname> system-view
[Sysname] bridge enable
[Sysname] bridge 1 enable
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] bridge-set 1
[Sysname-Etherhet1/1] firewall ethernet-frame-filter 4001 inbound
【命令】
firewall fragments-inspect
undo firewall fragments-inspect
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
firewall fragments-inspect命令用来打开分片报文检测开关。undo firewall fragments-inspect命令用来关闭分片报文检测开关。
缺省情况下,分片检测开关处于关闭状态。
相关配置可参考命令display firewall-statistics fragments-inspect和firewall packet-filter。
【举例】
# 打开分片报文检测开关。
<Sysname> system-view
[Sysname] firewall fragments-inspect
【命令】
firewall fragments-inspect { high | low } { number | default }
undo firewall fragments-inspect { high | low }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
high:指定分片报文检测门限的上限阈值。
low:指定分片报文检测门限的下限阈值。
number:分片状态记录数目,取值范围为100~10000。
default:分片状态记录数目的缺省值。若指定该参数,则会将指定的分片报文检测门限阈值恢复为缺省值。
【描述】
firewall fragments-inspect { high | low }命令用来配置分片报文检测门限。undo firewall fragments-inspect { high | low }命令用来恢复缺省情况。
缺省情况下,分片状态记录数目的上限阈值为2000,下限阈值为1500。
需要注意的是,下限阈值必须小于或等于上限阈值。
相关配置可参考命令display firewall-statistics fragments-inspect和firewall packet-filter。
【举例】
# 配置分片报文检测门限的上限阈值为3000,下限阈值为缺省值。
<Sysname> system-view
[Sysname] firewall fragments-inspect high 3000
[Sysname] firewall fragments-inspect low default
【命令】
firewall ipv6 default { deny | permit }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
deny:过滤方式为禁止报文通过。
permit:过滤方式为允许报文通过。
【描述】
firewall ipv6 default命令用来配置IPv6防火墙的缺省过滤方式。对于未匹配到任何IPv6包过滤策略中引用的ACL规则的IPv6报文,防火墙使用默认的过滤方式对其进行过滤。
缺省情况下,IPv6防火墙的缺省过滤方式为允许报文通过(permit)。
【举例】
# 配置IPv6防火墙的缺省过滤方式为禁止报文通过。
<Sysname> system-view
[Sysname] firewall ipv6 default deny
【命令】
firewall ipv6 enable
undo firewall ipv6 enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
firewall ipv6 enable命令用来启用IPv6防火墙功能。undo firewall enable命令用来关闭IPv6防火墙功能。
缺省情况下,IPv6防火墙功能处于关闭状态。
【举例】
# 启用IPv6防火墙功能。
<Sysname> system-view
[Sysname] firewall ipv6 enable
【命令】
firewall ipv6 fragments-inspect
undo firewall ipv6 fragments-inspect
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
firewall ipv6 fragments-inspect命令用来打开IPv6分片报文检测开关。undo firewall ipv6 fragments-inspect命令用来关闭IPv6分片报文检测开关。
缺省情况下,IPv6分片报文检测开关处于关闭状态。
【举例】
# 打开IPv6分片报文检测开关。
<Sysname> system-view
[Sysname] firewall ipv6 fragments-inspect
【命令】
firewall packet-filter { acl-number | name acl-name } { inbound | outbound } [ match-fragments { exactly | normally } ]
undo firewall packet-filter { acl-number | name acl-name } { inbound | outbound }
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
acl-number:基本或高级访问控制列表号,取值范围为2000~4999。
name acl-name:指定基本或高级访问控制列表的名称。其中,acl-name表示IPv4 ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,IPv4 ACL的名称不可以使用英文单词all。
inbound:过滤接口接收的数据包。
outbound:过滤接口转发的数据包。
match-fragments { exactly | normally }:指定分片的匹配模式,只有高级访问控制列表才支持该参数,缺省的匹配模式为标准匹配模式。
· exactly:精确匹配模式。
· normally:标准匹配模式。
【描述】
firewall packet-filter命令用来配置接口的IPv4报文过滤功能。undo firewall packet-filter命令用来取消接口的报文过滤功能。
缺省情况下,不对通过接口的报文进行过滤。
在接口的一个方向上,只能应用一个IPv4 ACL来进行报文过滤。
相关配置可参考命令firewall fragments-inspect。
【举例】
# 使用ACL 2001在接口Serial2/0上对出方向的报文进行过滤。
<Sysname> system-view
[Sysname] interface serial 2/0
[Sysname-Serial2/0] firewall packet-filter 2001 outbound
【命令】
firewall packet-filter ipv6 { acl6-number | name acl6-name } { inbound | outbound }
undo firewall packet-filter ipv6 [ { acl6-number | name acl6-name } ] { inbound | outbound }
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
acl6-number:基本或高级IPv6访问控制列表号,取值范围为2000~3999。
name acl6-name:指定基本或高级访问控制列表的名称。其中,acl6-name表示IPv6 ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,IPv6 ACL的名称不可以使用英文单词all。
inbound:过滤接口接收的数据包。
outbound:过滤接口转发的数据包。
【描述】
firewall packet-filter ipv6命令用来配置接口的IPv6报文过滤功能。undo firewall packet-filter ipv6命令用来取消接口的IPv6报文过滤功能。
缺省情况下,不对通过接口的IPv6报文进行过滤。
在接口的一个方向上,只能应用一个IPv6 ACL来进行报文过滤。
【举例】
# 使用IPv6 ACL 2500在接口Ethernet1/1上对出方向的IPv6报文进行过滤。
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] firewall packet-filter ipv6 2500 outbound
【命令】
reset firewall ethernet-frame-filter { all | dlsw | interface interface-type interface-number }
【视图】
用户视图
【缺省级别】
1:监控级
【参数】
all:清除所有接口的以太网帧过滤统计信息。
dlsw:清除DLSw的以太网帧过滤统计信息。
interface interface-type interface-number:清除指定接口的以太网帧过滤统计信息。其中,interface-type interface-number表示接口类型和接口编号。
【描述】
reset firewall ethernet-frame-filter命令用来清除以太网帧过滤情况的统计信息。
【举例】
# 清除所有以太网帧过滤情况的统计信息。
<Sysname> reset firewall ethernet-frame-filter all
【命令】
reset firewall ipv6 statistics { all | interface interface-type interface-number }
【视图】
用户视图
【缺省级别】
1:监控级
【参数】
all:清除IPv6防火墙的所有接口的过滤报文统计信息。
interface interface-type interface-number:表示清除IPv6防火墙的指定接口的过滤报文统计信息。其中,interface-type interface-number表示接口类型和接口编号。
【描述】
reset firewall ipv6 statistics命令用来清除IPv6防火墙的过滤报文统计信息。
相关配置可参考命令display firewall ipv6 statistics。
【举例】
# 清除接口Ethernet1/1上IPv6防火墙的过滤报文统计信息。
<Sysname> reset firewall ipv6 statistics interface ethernet 1/1
【命令】
reset firewall-statistics { all | interface interface-type interface-number }
【视图】
用户视图
【缺省级别】
1:监控级
【参数】
all:清除IPv4防火墙的所有接口的过滤报文统计信息。
interface interface-type interface-number:表示清除IPv4防火墙的指定接口的过滤报文统计信息。其中,interface-type interface-number表示接口类型和接口编号。
【描述】
reset firewall-statistics命令用来清除IPv4防火墙的过滤报文统计信息。
【举例】
# 清除接口Ethernet1/1上IPv4防火墙的过滤报文统计信息。
<Sysname> reset firewall-statistics interface ethernet 1/1
【命令】
aging-time { fin | syn | tcp | udp } seconds
undo aging-time { fin | syn | tcp | udp }
【视图】
ASPF策略视图
【缺省级别】
2:系统级
【参数】
fin:指定等待切断TCP会话的超时时间。防火墙检测到报文中的FIN标志后,等待指定的时间后将切断TCP会话。
syn:指定TCP会话建立持续的超时时间。防火墙检测到报文中的SYN标志后,在指定的时间内如TCP会话未达到建立状态将切断会话。
tcp:指定TCP会话的空闲超时时间。
udp:指定UDP会话的空闲超时时间。
seconds:指定超时时间,取值范围为5~43200,单位为秒。
【描述】
aging-time命令用来配置FIN、SYN、TCP和UDP的超时时间。undo aging-time命令用来恢复缺省情况。
缺省情况下,FIN、SYN、TCP和UDP的超时时间分别为5秒、30秒、3600秒和30秒。
在超时时间以内,系统会保留所建立的会话。
相关配置可参考命令display aspf all、display aspf policy、display aspf session和display aspf interface。
【举例】
# 创建策略号为1 的ASPF策略,并进入该ASPF策略视图。
<Sysname> system-view
[Sysname] aspf-policy 1
# 配置TCP的SYN状态等待时间超时值为20秒。
[Sysname-aspf-policy-1] aging-time syn 20
# 配置TCP的FIN状态等待时间超时值为10秒。
[Sysname-aspf-policy-1] aging-time fin 10
# 配置TCP空闲时间超时值为3000秒。
[Sysname-aspf-policy-1] aging-time tcp 3000
# 配置UDP空闲超时值为110秒。
[Sysname-aspf-policy-1] aging-time udp 110
【命令】
aspf-policy aspf-policy-number
undo aspf-policy aspf-policy-number
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
aspf-policy-number:ASPF策略号,取值范围为1~99。
【描述】
aspf-policy命令用来创建ASPF策略,并进入ASPF策略视图。undo aspf-policy命令用来删除ASPF策略。
对于一个已定义的ASPF策略,可通过策略号对该策略进行应用。
【举例】
# 创建ASPF策略1,并进入该ASPF策略视图。
<Sysname> system-view
[Sysname] aspf-policy 1
[Sysname-aspf-policy-1]
【命令】
detect protocol [ java-blocking acl-number ] [ aging-time seconds ]
undo detect protocol
【视图】
ASPF策略视图
【缺省级别】
2:系统级
【参数】
protocol:ASPF支持的协议名称,其取值及含义如下:
· bootp:表示BOOTPC/BOOTPS协议,属于应用层协议;
· esp:表示ESP协议,属于传输层协议;
· ftp:表示FTP协议,属于应用层协议;
· h323:表示H323协议,属于应用层协议;
· http:表示HTTP协议,属于应用层协议;
· https:表示HTTPS协议,属于应用层协议;
· ike:表示IKE协议,属于应用层协议;
· rtsp:表示RTSP协议,属于应用层协议;
· smtp:表示SMTP协议,属于应用层协议;
· ssh:表示SSH/SCP协议,属于应用层协议;
· tcp:表示TCP协议,属于传输层协议;
· udp:表示UDP协议,属于传输层协议;
· vam:表示VAM协议,属于应用层协议。
java-blocking acl-number:仅对HTTP协议有效,表示阻断指定网段报文的Java Applets。其中,acl-number表示IPv4基本访问控制列表号,取值范围为2000~2999。
aging-time seconds:表示应用层协议的空闲超时时间。其中,seconds表示协议空闲超时时间,取值范围为5~43200,单位为秒。
【描述】
detect命令用来为应用层协议和传输层协议配置ASPF检测。undo detect命令用来恢复缺省情况。
缺省情况下,应用层协议的超时时间为3600秒;ESP协议超时时间为30秒,TCP协议的超时时间为3600秒;UDP协议的超时时间为30秒。
需要注意的是:
· 当协议类型为HTTP时,允许Java阻断。
· 如果同时配置了应用层协议检测和通用TCP/UDP检测,应用层协议检测优先于通用TCP/UDP检测。
· ASPF使用超时时间去管理协议的会话状态信息,以便决定何时终结一个会话状态信息的管理或删除一个不能正常建立的会话。设置超时时间是一个全局的配置,适用于所有的会话,可以保护系统资源不被恶意占用。
· detect命令配置的协议空闲的超时时间,其优先级大于aging-time命令的配置。
相关配置可参考命令display aspf all、display aspf policy、display aspf session和display aspf interface。
【举例】
# 为HTTP协议指定ASPF策略1进行检测。同时,设置ACL 2000使ASPF策略能够过滤来自服务器10.1.1.1上的Java Applets。
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule permit source 10.1.1.1 0
[Sysname-acl-basic-2000] rule deny source any
[Sysname-acl-basic-2000] quit
[Sysname] aspf-policy 1
[Sysname-aspf-policy-1] detect http java-blocking 2000
【命令】
display aspf all [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display aspf all命令用来查看所有的ASPF策略和会话信息。
【举例】
# 查看所有的ASPF策略和会话信息。
<Sysname> display aspf all
Policy Number 1:
Log: disable
SYN timeout: 30 s
FIN timeout: 5 s
TCP timeout: 3600 s
UDP timeout: 30 s
Detect Protocols:
ftp timeout 3600 s
tcp timeout 3600 s
[Interface Configuration]
Interface InboundPolicy OutboundPolicy
---------------------------------------------------------------
Ethernet1/1 none 1
[Established Sessions]
Session Initiator Responder Application Status
--------------------------------------------------------------------------
73A4844 1.1.1.50:1025 2.2.2.1:21 ftp FTP_CONXN_UP
表1-4 display aspf all命令显示信息描述表
|
字段 |
描述 |
|
[ASPF Policy Configuration] |
ASPF策略的配置信息 |
|
Policy Number |
ASPF策略号 |
|
SYN timeout |
TCP连接的SYN状态超时值 |
|
FIN timeout |
TCP会话的FIN状态超时值 |
|
TCP timeout |
TCP会话的空闲时间超时值 |
|
UDP timeout |
UDP会话的空闲时间超时值 |
|
Detect Protocols |
检测协议 |
|
[Interface Configuration] |
接口下应用ASPF策略的配置信息 |
|
Interface |
应用ASPF策略的接口 |
|
InboundPolicy |
入方向的ASPF策略 |
|
OutboundPolicy |
出方向的ASPF策略 |
|
Session |
会话ID |
|
Initiator |
发起方的IP地址及端口号 |
|
Responder |
响应方的IP地址及端口号 |
|
Application |
应用协议 |
|
Status |
会话状态 |
【命令】
display aspf interface [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display aspf interface命令用来查看接口上的ASPF策略信息。
【举例】
# 查看接口上的ASPF策略信息。
<Sysname> display aspf interface
[Interface Configuration]
Interface InboundPolicy OutboundPolicy
---------------------------------------------------------------
Serial2/1 1 none
表1-5 display aspf interface命令显示信息描述表
|
字段 |
描述 |
|
InboundPolicy |
入方向的ASPF策略 |
|
OutboundPolicy |
出方向的ASPF策略 |
【命令】
display aspf policy aspf-policy-number [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
aspf-policy-number:ASPF策略号,取值范围为1~99。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display aspf policy命令用来查看指定ASPF策略的信息。
【举例】
# 查看策略号为1的ASPF策略的信息。
<Sysname> display aspf policy 1
[ASPF Policy Configuration]
Policy Number 1:
Log: disable
SYN timeout: 30 s
FIN timeout: 5 s
TCP timeout: 3600 s
UDP timeout: 30 s
Detect Protocols
ftp timeout 120 s
tcp timeout 3600 s
表1-6 display aspf policy命令显示信息描述表
|
字段 |
描述 |
|
[ASPF Policy Configuration] |
ASPF策略的配置信息 |
|
Policy Number |
ASPF策略号 |
|
SYN timeout |
TCP连接的SYN状态超时值 |
|
FIN timeout |
TCP会话的FIN状态超时值 |
|
TCP timeout |
TCP会话的空闲时间超时值 |
|
UDP timeout |
UDP会话的空闲时间超时值 |
|
Detect Protocols |
检测协议 |
【命令】
display aspf session [ verbose ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
verbose:查看会话的详细信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display aspf session命令用来查看ASPF的会话信息。
【举例】
# 查看ASPF的会话信息。
<Sysname> display aspf session
[Established Sessions]
Session Initiator Responder Application Status
212BA84 169.254.1.121:1427 169.254.1.52:0 ftp-data TCP_DOWN
7148124 100.1.1.1:1027 200.1.1.2:21 ftp FTP_CONXN_UP
# 查看ASPF会话的详细信息。
<Sysname> display aspf session verbose
[Session 0x7148124]
Initiator: 100.1.1.1:1027 Responder: 200.1.1.2:21
Application protocol: ftp Status: FTP_CONXN_UP
Transport protocol: 6 Port: 21
Child: 0x0 Parent: 0x0
Interface: Ethernet1/1 Direction: outbound
Timeout 01:00:00 Time left 01:00:00
Initiator Bytes/Packets sent: 350/8
Responder Bytes/Packets sent: 324/6
Initiator tcp SeqNumber/AckNumber: 141385146/134665684
Responder tcp SeqNumber/AckNumber: 134665683/141385146
表1-7 display aspf session命令显示信息描述表
|
描述 |
|
|
Initiator |
发起方的IP地址及端口号 |
|
Responder |
响应方的IP地址及端口号 |
|
Application protocol |
应用协议 |
|
Status |
状态 |
|
Transport protocol |
传输层的协议号 |
|
Port |
应用层协议使用的端口号 |
|
Child |
子会话 |
|
Parent |
父会话 |
|
Interface: Ethernet1/1 Direction: outbound |
ASPF策略应用在接口Etherne1/1的出方向 |
|
Timeout |
为该协议设置的超时时间 |
|
Time left |
超时剩余时间 |
|
Initiator Bytes/Packets sent |
源发起方已发送字节/分组 |
|
Responder Bytes/Packets sent |
响应方已发送字节/分组 |
|
Initiator tcp SeqNumber/AckNumber |
源发起方TCP序列号/确认序列号 |
|
Responder tcp SeqNumber/AckNumber |
响应方TCP序列号/确认序列号 |
【命令】
display port-mapping [ application-name | port port-number ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
application-name:指定用于端口映射的应用的名称,其取值及含义如下:
· ftp:表示FTP协议;
· h323:表示H323协议;
· http:表示HTTP协议;
· https:表示HTTPS协议;
· ike:表示IKE协议;
· rtsp:表示RTSP协议;
· smtp:表示SMTP协议;
· ssh:表示SSH/SCP协议;
· vam:表示VAM协议。
port port-number:指定应用协议映射的端口。其中,port-number表示映射端口号,取值范围为0~65535。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display port-mapping命令用来查看端口映射信息。
相关配置可参考命令port-mapping。
【举例】
# 查看端口映射的所有信息。
<Sysname> display port-mapping
SERVICE PORT ACL TYPE
-------------------------------------------------
ftp 21 system defined
h323 1720 system defined
http 80 system defined
rtsp 554 system defined
smtp 25 system defined
ike 500 system defined
https 443 system defined
vam 18000 system defined
ssh 22 system defined
表1-8 display port-mapping命令显示信息描述表
|
字段 |
描述 |
|
SERVICE |
进行端口映射的应用层协议 |
|
PORT |
应用层协议映射的端口号 |
|
ACL |
指定主机范围的ACL号 |
|
TYPE |
端口映射类型,包括系统预定义和用户自定义两种类型 |
【命令】
firewall aspf aspf-policy-number { inbound | outbound }
undo firewall aspf aspf-policy-number { inbound | outbound }
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
aspf-policy-number:ASPF策略号,取值范围为1~99。
inbound:对接口入方向的报文应用ASPF策略。
outbound:对接口出方向的报文应用ASPF策略。
【描述】
firewall aspf命令用来在接口上应用ASPF策略。undo firewall aspf命令用来删除接口上的ASPF策略。
缺省情况下,接口上没有应用ASPF策略。
MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:
|
型号 |
命令 |
描述 |
|
MSR800 |
firewall aspf |
支持 |
|
MSR 900 |
支持 |
|
|
MSR900-E |
支持 |
|
|
MSR 930 |
支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【举例】
# 在接口Ethernet1/1的出方向上配置ASPF策略。
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] firewall aspf 1 outbound
【命令】
log enable
undo log enable
【视图】
ASPF策略视图
【缺省级别】
2:系统级
【参数】
无
【描述】
log enable命令用来使能ASPF会话日志功能。undo log enable命令用来关闭ASPF日志功能。
缺省情况下,ASPF会话日志功能处于关闭状态。
相关配置可参考命令display aspf all、display aspf policy、display aspf session和display aspf interface。
【举例】
# 使能ASPF会话日志功能。
<Sysname> system-view
[Sysname] aspf-policy 1
[Sysname-aspf-policy-1] log enable
【命令】
port-mapping application-name port port-number [ acl acl-number ]
undo port-mapping [ application-name port port-number [ acl acl-number ] ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
application-name:端口映射的应用名称,其取值及含义如下:
· ftp:表示FTP协议;
· h323:表示H323协议;
· http:表示HTTP协议;
· https:表示HTTPS协议;
· ike:表示IKE协议;
· rtsp:表示RTSP协议;
· smtp:表示SMTP协议;
· ssh:表示SSH/SCP协议;
· vam:表示VAM协议。
port port-number:应用层协议的端口。其中port-number表示端口号,取值范围为0~65535。
acl acl-number:用来指定主机范围的IPv4访问控制列表。其中,acl-number表示基本访问控制列表号,取值范围为2000~2999。
【描述】
port-mapping命令用来配置端口到应用层协议的映射。undo port-mapping命令用来删除端口映射项。
缺省情况下,没有端口到应用层协议的映射关系。
相关配置可参考命令display port-mapping。
【举例】
# 建立端口3456到FTP协议的映射。
<Sysname> system-view
[Sysname] port-mapping ftp port 3456
【命令】
reset aspf session
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
无
【描述】
reset aspf session命令用来清除ASPF的会话。
【举例】
# 清除ASPF的会话。
<Sysname> reset aspf session
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
