- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
09-ASPF命令
本章节下载: 09-ASPF命令 (142.67 KB)
aspf apply policy命令用来在接口上应用ASPF策略。
undo aspf apply policy命令用来删除接口上应用的ASPF策略。
aspf apply policy aspf-policy-number { inbound | outbound }
undo aspf apply policy aspf-policy-number { inbound | outbound }
接口上没有应用ASPF策略。
aspf-policy-number:ASPF策略号,取值范围为1~256。
inbound:对接口入方向的报文应用ASPF策略。
outbound:对接口出方向的报文应用ASPF策略。
只有将定义好的ASPF策略应用到接口上,才能对通过接口的流量进行检测。由于ASPF对于应用层协议状态的保存和维护都是基于接口的,因此在实际应用中,必须保证报文入口的一致性,即必须保证连接发起方发送的报文和响应端返回的报文经过同一接口。
# 在接口GigabitEthernet2/0/1的出方向上应用ASPF策略。
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] aspf apply policy 1 outbound
· display aspf policy interface
aspf policy命令用来创建ASPF策略,并进入ASPF策略视图。
undo aspf policy命令用来删除指定的ASPF策略。
aspf policy aspf-policy-number
undo aspf policy aspf-policy-number
不存在ASPF策略。
aspf-policy-number:ASPF策略号,取值范围为1~256。
# 创建ASPF策略1,并进入该ASPF策略视图。
[Sysname] aspf policy 1
[Sysname-aspf-policy-1]
detect命令用来为应用层协议或传输层协议配置ASPF检测。
undo detect命令用来恢复缺省情况。
ASPF策略视图
dccp:表示DCCP(Datagram Congestion Control Protocol,数据报拥塞控制协议)协议,属于传输层协议;
ftp:表示FTP协议,属于应用层协议;
gtp:表示GTP(GPRS Tunneling Protocol,GPRS隧道协议)协议,属于应用层协议;
h323:表示H.323协议族,属于应用层协议;
icmp:表示ICMP协议,属于传输层协议;
icmpv6:表示ICMPv6协议,属于传输层协议;
ils:表示ILS(Internet Locator Service,互联网定位服务)协议,属于应用层协议;
mgcp:表示MGCP(Media Gateway Control Protocol,媒体网关控制协议)协议,属于应用层协议;
nbt:表示NBT(NetBIOS over TCP/IP,基于TCP/IP的网络基本输入输出系统)协议,属于应用层协议;
pptp:表示PPTP(Point-to-Point Tunneling Protocol,点到点隧道协议)协议,属于应用层协议;
rawip:表示Raw IP协议,属于传输层协议;
rsh:表示RSH(Remote Shell,远程外壳)协议,属于应用层协议;
rtsp:表示RTSP(Real Time Streaming Protocol,实时流协议)协议,属于应用层协议;
sccp:表示SCCP(Skinny Client Control Protocol,瘦小客户端控制协议)协议,属于应用层协议;
sctp:表示SCTP(Stream Control Transmission Protocol,流控制传输协议)协议,属于传输层协议;
sip:表示SIP(Session Iniation Protocol,会话初始化协议)协议,属于应用层协议;
sqlnet:表示SQLNET协议,属于应用层协议;
tcp:表示TCP协议,属于传输层协议;
tftp:表示TFTP协议,属于应用层协议;
udp:表示UDP协议,属于传输层协议;
udp-lite:表示UDP-Lite协议,属于传输层协议;
xdmcp:表示XDMCP(X Display Manager Control Protocol,X显示监控)协议,属于应用层协议。
在未配置应用层协议检测,直接配置TCP或UDP检测的情况下,可能会产生接收不到应答报文的情况,故建议应用层协议检测和TCP/UDP检测配合使用。
对于Telnet应用,直接配置通用TCP检测即可实现ASPF功能。
# 配置对FTP协议报文进行ASPF检测。
[Sysname] aspf policy 1
[Sysname-aspf-policy-1] detect ftp
display aspf all命令用来查看ASPF策略配置信息及接口应用ASPF策略的信息。
# 查看所有的ASPF策略配置信息。
ASPF policy configuration:
Policy number: 1
Enable ICMP error message check
Disable TCP SYN packet check
Detect these protocols:
FTP
TCP
Interface configuration:
GigabitEthernet2/0/1
Inbound policy : 1
Outbound policy: none
表1-1 display aspf all命令显示信息描述表
|
ASPF策略的配置信息 |
|
|
ASPF策略号 |
|
|
使能ICMP差错报文检测功能 |
|
|
丢弃非SYN的TCP首报文 |
|
|
去使能ICMP差错报文检测功能 |
|
|
不丢弃非SYN的TCP首报文 |
|
|
接口下应用ASPF策略的配置信息 |
|
|
接口入方向上应用的ASPF策略编号 |
|
|
接口出方向上应用的ASPF策略编号 |
· aspf apply policy
display aspf interface命令用来查看接口上的ASPF策略配置信息。
# 查看接口上的ASPF策略信息。
<Sysname> display aspf interface
Interface configuration:
GigabitEthernet2/0/1
Inbound policy : 1
Outbound policy: none
表1-2 display aspf interface命令显示信息描述表
|
接口上应用ASPF策略的配置信息 |
|
|
接口入方向上应用的ASPF策略编号 |
|
|
接口出方向上应用的ASPF策略编号 |
· aspf apply policy
display aspf policy命令用来查看ASPF策略的配置信息。
display aspf policy aspf-policy-number
aspf-policy-number:ASPF策略号,取值范围为1~256。
# 查看策略号为1的ASPF策略的配置信息。
<Sysname> display aspf policy 1
ASPF policy configuration:
Policy number: 1
Disable ICMP error message check
Disable TCP SYN packet check
Detect these protocols:
FTP
TCP
表1-3 display aspf policy命令显示信息描述表
display aspf session命令用来查看ASPF的会话表信息。
display aspf session [ ipv4 | ipv6 ] [ slot slot-number ] [ verbose ]
IRF模式:
display aspf session [ ipv4 | ipv6 ] [ chassis chassis-number slot slot-number ] [ verbose ]
ipv4:查看ASPF创建的IPv4会话表。
ipv6:查看ASPF创建的IPv6会话表。
slot slot-number:显示指定单板上的ASPF会话表,slot-number表示单板所在槽位号。不指定该参数时,显示所有单板上的ASPF会话表。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备的指定单板上的ASPF会话表,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。不指定该参数时,显示所有成员设备的所有单板上的ASPF会话表。(IRF模式)
verbose:查看ASPF会话表的详细信息。若不指定该参数,则表示查看ASPF会话表的概要信息。
不指定ipv4和ipv6参数时,表示查看所有的ASPF会话表信息。
# 显示ASPF创建的IPv4会话表的概要信息。(独立运行模式)
<Sysname> display aspf session ipv4
Slot 2:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Initiator:
Source IP/port: 192.168.1.18/1792
Destination IP/port: 192.168.1.55/2048
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Total sessions found: 2
# 显示ASPF创建的IPv4会话表的概要信息。(IRF模式)
<Sysname> display aspf session ipv4
Slot 2 in chassis 1:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Initiator:
Source IP/port: 192.168.1.18/1792
Destination IP/port: 192.168.1.55/2048
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Total sessions found: 2
# 显示IPv4 ASPF会话的详细信息。(独立运行模式)
<Sysname> display aspf session ipv4 verbose
Slot 2:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Responder:
Source IP/port: 192.168.1.55/22
Destination IP/port: 192.168.1.18/1877
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
App: SSH State: TCP_SYN_SENT
Start time: 2011-07-29 19:12:36 TTL: 28s
Interface(in) : GigabitEthernet2/0/1
Interface(out): GigabitEthernet2/0/2
Initiator->Responder: 1 packets 48 bytes
Responder->Initiator: 0 packets 0 bytes
Initiator:
Source IP/port: 192.168.1.18/1792
Destination IP/port: 192.168.1.55/2048
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Responder:
Source IP/port: 192.168.1.55/1792
Destination IP/port: 192.168.1.18/0
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
App: INVALID State: ICMP_REQUEST
Start time: 2011-07-29 19:12:33 TTL: 55s
Interface(in) : GigabitEthernet2/0/1
Interface(out): GigabitEthernet2/0/2
Initiator->Responder: 1 packets 6048 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 2
# 显示IPv4 ASPF会话的详细信息。(IRF模式)
<Sysname> display aspf session ipv4 verbose
Slot 2 in chassis 1:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Responder:
Source IP/port: 192.168.1.55/22
Destination IP/port: 192.168.1.18/1877
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
App: SSH State: TCP_SYN_SENT
Start time: 2011-07-29 19:12:36 TTL: 28s
Interface(in) : GigabitEthernet1/2/0/1
Interface(out): GigabitEthernet1/2/0/2
Initiator->Responder: 1 packets 48 bytes
Responder->Initiator: 0 packets 0 bytes
Initiator:
Source IP/port: 192.168.1.18/1792
Destination IP/port: 192.168.1.55/2048
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Responder:
Source IP/port: 192.168.1.55/1792
Destination IP/port: 192.168.1.18/0
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
App: INVALID State: ICMP_REQUEST
Start time: 2011-07-29 19:12:33 TTL: 55s
Interface(in) : GigabitEthernet1/2/0/1
Interface(out): GigabitEthernet1/2/0/2
Initiator->Responder: 1 packets 6048 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 2
# 显示ASPF创建的IPv4会话表的概要信息。(独立运行模式)
<Sysname> display aspf session ipv4
Slot 2:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Initiator:
Source IP/port: 192.168.1.18/1792
Destination IP/port: 192.168.1.55/2048
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Total sessions found: 2
# 显示ASPF创建的IPv4会话表的概要信息。(IRF模式)
<Sysname> display aspf session ipv4
Slot 2 in chassis 1:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Initiator:
Source IP/port: 192.168.1.18/1792
Destination IP/port: 192.168.1.55/2048
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Total sessions found: 2
# 显示IPv4 ASPF会话的详细信息。(独立运行模式)
<Sysname> display aspf session ipv4 verbose
Slot 2:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Responder:
Source IP/port: 192.168.1.55/22
Destination IP/port: 192.168.1.18/1877
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
App: SSH State: TCP_SYN_SENT
Start time: 2011-07-29 19:12:36 TTL: 28s
Interface(in) : GigabitEthernet2/0/1
Interface(out): GigabitEthernet2/0/2
Initiator->Responder: 1 packets 48 bytes
Responder->Initiator: 0 packets 0 bytes
Initiator:
Source IP/port: 192.168.1.18/1792
Destination IP/port: 192.168.1.55/2048
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Responder:
Source IP/port: 192.168.1.55/1792
Destination IP/port: 192.168.1.18/0
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
App: INVALID State: ICMP_REQUEST
Start time: 2011-07-29 19:12:33 TTL: 55s
Interface(in) : GigabitEthernet2/0/1
Interface(out): GigabitEthernet2/0/2
Initiator->Responder: 1 packets 6048 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 2
# 显示IPv4 ASPF会话的详细信息。(IRF模式)
<Sysname> display aspf session ipv4 verbose
Slot 2 in chassis 1:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Responder:
Source IP/port: 192.168.1.55/22
Destination IP/port: 192.168.1.18/1877
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
App: SSH State: TCP_SYN_SENT
Start time: 2011-07-29 19:12:36 TTL: 28s
Interface(in) : GigabitEthernet1/2/0/1
Interface(out): GigabitEthernet1/2/0/2
Initiator->Responder: 1 packets 48 bytes
Responder->Initiator: 0 packets 0 bytes
Initiator:
Source IP/port: 192.168.1.18/1792
Destination IP/port: 192.168.1.55/2048
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Responder:
Source IP/port: 192.168.1.55/1792
Destination IP/port: 192.168.1.18/0
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
App: INVALID State: ICMP_REQUEST
Start time: 2011-07-29 19:12:33 TTL: 55s
Interface(in) : GigabitEthernet1/2/0/1
Interface(out): GigabitEthernet1/2/0/2
Initiator->Responder: 1 packets 6048 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 2
表1-4 display aspf session命令显示信息描述表
|
源IP地址/端口号 |
|
|
目的IP地址/端口号 |
|
|
会话所属的MPLS L3VPN/二层转发时会话所属的VLAN ID/二层转发时会话所属的INLINE。未指定的参数则显示为“-” |
|
|
传输层协议类型,取值包括:DCCP、ICMP、ICMPv6、Raw IP 、SCTP、TCP、UDP、UDP-Lite |
|
|
应用层协议类型,INVALID表示未知协议类型,其对应的端口号为非知名端口 |
|
icmp-error drop命令用来开启ICMP差错报文检测功能。
undo icmp-error drop命令用来恢复缺省情况。
ICMP差错报文检测功能处于关闭状态。
ASPF策略视图
正常ICMP差错报文中均携带有本报文对应连接的相关信息,根据这些信息可以匹配到相应的连接。如果匹配失败,则根据当前配置决定是否丢弃该ICMP报文。
# 设置ASPF策略1丢弃非法的ICMP差错报文。
[Sysname] aspf policy 1
[Sysname-aspf-policy-1] icmp-error drop
reset aspf session命令用来删除ASPF的会话表项。
reset aspf session [ ipv4 | ipv6 ] [ slot slot-number ]
IRF模式:
reset aspf session [ ipv4 | ipv6 ] [ chassis chassis-number slot slot-number ]
ipv4:删除ASPF创建的IPv4会话表项。
ipv6:删除ASPF创建的IPv6会话表项。
slot slot-number:删除指定单板上的所有ASPF创建的会话表项,slot-number表示单板所在槽位号。不指定该参数时,删除所有单板上的所有ASPF创建的会话表项。(独立运行模式)
chassis chassis-number slot slot-number:删除指定成员设备的指定单板上的所有ASPF创建的会话表项,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。不指定该参数时,删除所有成员设备的所有单板上的所有ASPF创建的会话表项。(IRF模式)
如果不指定ipv4和ipv6参数,则表示删除ASPF创建的所有会话表项。
# 清除ASPF创建的所有会话表项。
tcp syn-check命令用来开启非SYN的TCP首报文丢弃功能。
undo tcp syn-check命令用来恢复缺省情况。
不丢弃非SYN的TCP首报文。
ASPF策略视图
ASPF对TCP连接的首报文进行检测,查看是否为SYN报文,如果不是SYN报文则根据当前配置决定是否丢弃该报文。
# 设置ASPF策略1丢弃非SYN的TCP首报文。
[Sysname] aspf policy 1
[Sysname-aspf-policy-1] tcp syn-check
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
