选择区域语言: EN CN HK

11-安全命令参考

09-ASPF命令

本章节下载  (142.70 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR6600-X/Command/Command_Manual/H3C_SR6600_SR6600-X_CR-R7103P08-6W104/11/201705/993637_30005_0.htm

09-ASPF命令


1 ASPF

1.1  ASPF配置命令

1.1.1  aspf apply policy (Interface view)

aspf apply policy命令用来在接口上应用ASPF策略。

undo aspf apply policy命令用来删除接口上应用的ASPF策略。

【命令】

aspf apply policy aspf-policy-number { inbound | outbound }

undo aspf apply policy aspf-policy-number { inbound | outbound }

【缺省情况】

接口上没有应用ASPF策略。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

aspf-policy-number:ASPF策略号,取值范围为1~256。

inbound:对接口入方向的报文应用ASPF策略。

outbound:对接口出方向的报文应用ASPF策略。

【使用指导】

只有将定义好的ASPF策略应用到接口上,才能对通过接口的流量进行检测。由于ASPF对于应用层协议状态的保存和维护都是基于接口的,因此在实际应用中,必须保证报文入口的一致性,即必须保证连接发起方发送的报文和响应端返回的报文经过同一接口。

可以同时在接口的出方向和入方向上都应用ASPF策略。

【举例】

# 在接口GigabitEthernet2/0/1的出方向上应用ASPF策略。

<Sysname> system-view

[Sysname] interface gigabitethernet 2/0/1

[Sysname-GigabitEthernet2/0/1] aspf apply policy 1 outbound

【相关命令】

·     aspf policy

·     display aspf policy all

·     display aspf policy interface

1.1.2  aspf policy

aspf policy命令用来创建ASPF策略,并进入ASPF策略视图。

undo aspf policy命令用来删除指定的ASPF策略。

【命令】

aspf policy aspf-policy-number

undo aspf policy aspf-policy-number

【缺省情况】

不存在ASPF策略。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

aspf-policy-number:ASPF策略号,取值范围为1~256。

【举例】

# 创建ASPF策略1,并进入该ASPF策略视图。

<Sysname> system-view

[Sysname] aspf policy 1

[Sysname-aspf-policy-1]

【相关命令】

·     display aspf all

·     display aspf policy

1.1.3  detect

detect命令用来为应用层协议或传输层协议配置ASPF检测。

undo detect命令用来恢复缺省情况。

【命令】

detect { dccp | ftp | gtp | h323 | icmp | icmpv6 | ils | mgcp | nbt | pptp | rawip | rsh | rtsp | sccp | sctp | sip | sqlnet | tcp | tftp | udp | udp-lite | xdmcp }

undo detect { dccp | ftp | gtp | h323 | icmp | icmpv6 | ils | mgcp | nbt | pptp | rawip | rsh | rtsp | sccp | sctp | sip | sqlnet | tcp | tftp | udp | udp-lite | xdmcp }

【缺省情况】

未配置应用层和传输层协议ASPF检测。

【视图】

ASPF策略视图

【缺省用户角色】

network-admin

【参数】

dccp:表示DCCPDatagram Congestion Control Protocol,数据报拥塞控制协议)协议,属于传输层协议;

ftp:表示FTP协议,属于应用层协议;

gtp:表示GTPGPRS Tunneling ProtocolGPRS隧道协议)协议,属于应用层协议;

h323:表示H.323协议族,属于应用层协议;

icmp:表示ICMP协议,属于传输层协议;

icmpv6:表示ICMPv6协议,属于传输层协议;

ils:表示ILS(Internet Locator Service,互联网定位服务)协议,属于应用层协议;

mgcp:表示MGCPMedia Gateway Control Protocol,媒体网关控制协议)协议,属于应用层协议;

nbt:表示NBTNetBIOS over TCP/IP,基于TCP/IP的网络基本输入输出系统)协议,属于应用层协议;

pptp:表示PPTPPoint-to-Point Tunneling Protocol,点到点隧道协议)协议,属于应用层协议;

rawip:表示Raw IP协议,属于传输层协议;

rsh:表示RSH(Remote Shell,远程外壳)协议,属于应用层协议;

rtsp:表示RTSPReal Time Streaming Protocol,实时流协议)协议,属于应用层协议;

sccp:表示SCCPSkinny Client Control Protocol,瘦小客户端控制协议)协议,属于应用层协议;

sctp:表示SCTPStream Control Transmission Protocol,流控制传输协议)协议,属于传输层协议;

sip:表示SIPSession Iniation Protocol,会话初始化协议)协议,属于应用层协议;

sqlnet:表示SQLNET协议,属于应用层协议;

tcp:表示TCP协议,属于传输层协议;

tftp:表示TFTP协议,属于应用层协议;

udp:表示UDP协议,属于传输层协议;

udp-lite:表示UDP-Lite协议,属于传输层协议;

xdmcp:表示XDMCP(X Display Manager Control Protocol,X显示监控)协议,属于应用层协议。

【使用指导】

可通过多次执行本命令配置多种协议类型的ASPF检测。

在未配置应用层协议检测,直接配置TCP或UDP检测的情况下,可能会产生接收不到应答报文的情况,故建议应用层协议检测和TCP/UDP检测配合使用。

对于Telnet应用,直接配置通用TCP检测即可实现ASPF功能。

【举例】

# 配置对FTP协议报文进行ASPF检测。

<Sysname> system-view

[Sysname] aspf policy 1

[Sysname-aspf-policy-1] detect ftp

【相关命令】

·     display aspf policy

1.1.4  display aspf all

display aspf all命令用来查看ASPF策略配置信息及接口应用ASPF策略的信息。

【命令】

display aspf all

【视图】

任意视图

【缺省用户角色】

network-admin

netword-operator

【举例】

# 查看所有的ASPF策略配置信息。

<Sysname> display aspf all

ASPF policy configuration:

  Policy number: 1

    Enable ICMP error message check

    Disable TCP SYN packet check

    Detect these protocols:

      FTP

      TCP

 

Interface configuration:

  GigabitEthernet2/0/1

    Inbound policy : 1

    Outbound policy: none

表1-1 display aspf all命令显示信息描述表

字段

描述

ASPF policy configuration

ASPF策略的配置信息

Policy number

ASPF策略号

Enable ICMP error message check

使能ICMP差错报文检测功能

Enable TCP SYN packet check

丢弃非SYN的TCP首报文

Disable ICMP error message check

去使能ICMP差错报文检测功能

Disable TCP SYN packet check

不丢弃非SYN的TCP首报文

Detect these protocols

需要检测的协议

Interface configuration

接口下应用ASPF策略的配置信息

Inbound policy

接口入方向上应用的ASPF策略编号

Outbound policy

接口出方向上应用的ASPF策略编号

 

【相关命令】

·     aspf apply policy

·     aspf policy

·     display aspf policy

1.1.5  display aspf interface

display aspf interface命令用来查看接口上的ASPF策略配置信息。

【命令】

display aspf interface

【视图】

任意视图

【缺省用户角色】

network-admin

netword-operator

【举例】

# 查看接口上的ASPF策略信息。

<Sysname> display aspf interface

Interface configuration:

  GigabitEthernet2/0/1

    Inbound policy : 1

    Outbound policy: none

表1-2 display aspf interface命令显示信息描述表

字段

描述

Interface configuration

接口上应用ASPF策略的配置信息

Inbound policy

接口入方向上应用的ASPF策略编号

Outbound policy

接口出方向上应用的ASPF策略编号

 

【相关命令】

·     aspf apply policy

·     aspf policy

1.1.6  display aspf policy

display aspf policy命令用来查看ASPF策略的配置信息。

【命令】

display aspf policy aspf-policy-number

【视图】

任意视图

【缺省用户角色】

network-admin

netword-operator

【参数】

aspf-policy-number:ASPF策略号,取值范围为1~256。

【举例】

# 查看策略号为1的ASPF策略的配置信息。

<Sysname> display aspf policy 1

ASPF policy configuration:

  Policy number: 1

    Disable ICMP error message check

    Disable TCP SYN packet check

    Detect these protocols:

      FTP

      TCP

表1-3 display aspf policy命令显示信息描述表

字段

描述

ASPF policy configuration

ASPF策略的配置信息

Policy number

ASPF策略号

Enable ICMP error message check

使能ICMP差错报文检测功能

Enable TCP SYN packet check

丢弃非SYN的TCP首报文

Disable ICMP error message check

去使能ICMP差错报文检测功能

Disable TCP SYN packet check

不丢弃非SYN的TCP首报文

Detect these protocols

需要检测的协议

 

【相关命令】

·     aspf policy

1.1.7  display aspf session

display aspf session命令用来查看ASPF的会话表信息。

【命令】

独立运行模式:

display aspf session [ ipv4 | ipv6 ] [ slot slot-number ] [ verbose ]

IRF模式:

display aspf session [ ipv4 | ipv6 ] [ chassis chassis-number slot slot-number ] [ verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

netword-operator

【参数】

ipv4:查看ASPF创建的IPv4会话表。

ipv6:查看ASPF创建的IPv6会话表。

slot slot-number:显示指定单板上的ASPF会话表,slot-number表示单板所在槽位号。不指定该参数时,显示所有单板上的ASPF会话表。(独立运行模式)

chassis chassis-number slot slot-number:显示指定成员设备的指定单板上的ASPF会话表,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。不指定该参数时,显示所有成员设备的所有单板上的ASPF会话表。(IRF模式)

verbose:查看ASPF会话表的详细信息。若不指定该参数,则表示查看ASPF会话表的概要信息。

【使用指导】

不指定ipv4ipv6参数时,表示查看所有的ASPF会话表信息。

【举例】

# 显示ASPF创建的IPv4会话表的概要信息。(独立运行模式)

<Sysname> display aspf session ipv4

Slot 2:

Initiator:

  Source      IP/port: 192.168.1.18/1877

  Destination IP/port: 192.168.1.55/22

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

 

Initiator:

  Source      IP/port: 192.168.1.18/1792

  Destination IP/port: 192.168.1.55/2048

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: ICMP(1)

 

Total sessions found: 2

# 显示ASPF创建的IPv4会话表的概要信息。(IRF模式)

<Sysname> display aspf session ipv4

Slot 2 in chassis 1:

Initiator:

  Source      IP/port: 192.168.1.18/1877

  Destination IP/port: 192.168.1.55/22

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

 

Initiator:

  Source      IP/port: 192.168.1.18/1792

  Destination IP/port: 192.168.1.55/2048

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: ICMP(1)

 

Total sessions found: 2

# 显示IPv4 ASPF会话的详细信息。(独立运行模式)

<Sysname> display aspf session ipv4 verbose

Slot 2:

Initiator:

  Source      IP/port: 192.168.1.18/1877

  Destination IP/port: 192.168.1.55/22

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

Responder:

  Source      IP/port: 192.168.1.55/22

  Destination IP/port: 192.168.1.18/1877

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

App: SSH   State: TCP_SYN_SENT

Start time: 2011-07-29 19:12:36  TTL: 28s

Interface(in) : GigabitEthernet2/0/1

Interface(out): GigabitEthernet2/0/2

Initiator->Responder:         1 packets         48 bytes

Responder->Initiator:         0 packets          0 bytes

 

Initiator:

  Source      IP/port: 192.168.1.18/1792

  Destination IP/port: 192.168.1.55/2048

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: ICMP(1)

Responder:

  Source      IP/port: 192.168.1.55/1792

  Destination IP/port: 192.168.1.18/0

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: ICMP(1)

App: INVALID   State: ICMP_REQUEST

Start time: 2011-07-29 19:12:33  TTL: 55s

Interface(in) : GigabitEthernet2/0/1

Interface(out): GigabitEthernet2/0/2

Initiator->Responder:         1 packets         6048 bytes

Responder->Initiator:         0 packets          0 bytes

 

Total sessions found: 2

# 显示IPv4 ASPF会话的详细信息。(IRF模式)

<Sysname> display aspf session ipv4 verbose

Slot 2 in chassis 1:

Initiator:

  Source      IP/port: 192.168.1.18/1877

  Destination IP/port: 192.168.1.55/22

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

Responder:

  Source      IP/port: 192.168.1.55/22

  Destination IP/port: 192.168.1.18/1877

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

App: SSH   State: TCP_SYN_SENT

Start time: 2011-07-29 19:12:36  TTL: 28s

Interface(in) : GigabitEthernet1/2/0/1

Interface(out): GigabitEthernet1/2/0/2

Initiator->Responder:         1 packets         48 bytes

Responder->Initiator:         0 packets          0 bytes

 

Initiator:

  Source      IP/port: 192.168.1.18/1792

  Destination IP/port: 192.168.1.55/2048

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: ICMP(1)

Responder:

  Source      IP/port: 192.168.1.55/1792

  Destination IP/port: 192.168.1.18/0

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: ICMP(1)

App: INVALID   State: ICMP_REQUEST

Start time: 2011-07-29 19:12:33  TTL: 55s

Interface(in) : GigabitEthernet1/2/0/1

Interface(out): GigabitEthernet1/2/0/2

Initiator->Responder:         1 packets         6048 bytes

Responder->Initiator:         0 packets          0 bytes

 

Total sessions found: 2

# 显示ASPF创建的IPv4会话表的概要信息。(独立运行模式)

<Sysname> display aspf session ipv4

Slot 2:

Initiator:

  Source      IP/port: 192.168.1.18/1877

  Destination IP/port: 192.168.1.55/22

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

 

Initiator:

  Source      IP/port: 192.168.1.18/1792

  Destination IP/port: 192.168.1.55/2048

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: ICMP(1)

 

Total sessions found: 2

# 显示ASPF创建的IPv4会话表的概要信息。(IRF模式)

<Sysname> display aspf session ipv4

Slot 2 in chassis 1:

Initiator:

  Source      IP/port: 192.168.1.18/1877

  Destination IP/port: 192.168.1.55/22

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

 

Initiator:

  Source      IP/port: 192.168.1.18/1792

  Destination IP/port: 192.168.1.55/2048

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: ICMP(1)

 

Total sessions found: 2

# 显示IPv4 ASPF会话的详细信息。(独立运行模式)

<Sysname> display aspf session ipv4 verbose

Slot 2:

Initiator:

  Source      IP/port: 192.168.1.18/1877

  Destination IP/port: 192.168.1.55/22

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

Responder:

  Source      IP/port: 192.168.1.55/22

  Destination IP/port: 192.168.1.18/1877

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

App: SSH   State: TCP_SYN_SENT

Start time: 2011-07-29 19:12:36  TTL: 28s

Interface(in) : GigabitEthernet2/0/1

Interface(out): GigabitEthernet2/0/2

Initiator->Responder:         1 packets         48 bytes

Responder->Initiator:         0 packets          0 bytes

 

Initiator:

  Source      IP/port: 192.168.1.18/1792

  Destination IP/port: 192.168.1.55/2048

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: ICMP(1)

Responder:

  Source      IP/port: 192.168.1.55/1792

  Destination IP/port: 192.168.1.18/0

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: ICMP(1)

App: INVALID   State: ICMP_REQUEST

Start time: 2011-07-29 19:12:33  TTL: 55s

Interface(in) : GigabitEthernet2/0/1

Interface(out): GigabitEthernet2/0/2

Initiator->Responder:         1 packets         6048 bytes

Responder->Initiator:         0 packets          0 bytes

 

Total sessions found: 2

# 显示IPv4 ASPF会话的详细信息。(IRF模式)

<Sysname> display aspf session ipv4 verbose

Slot 2 in chassis 1:

Initiator:

  Source      IP/port: 192.168.1.18/1877

  Destination IP/port: 192.168.1.55/22

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

Responder:

  Source      IP/port: 192.168.1.55/22

  Destination IP/port: 192.168.1.18/1877

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

App: SSH   State: TCP_SYN_SENT

Start time: 2011-07-29 19:12:36  TTL: 28s

Interface(in) : GigabitEthernet1/2/0/1

Interface(out): GigabitEthernet1/2/0/2

Initiator->Responder:         1 packets         48 bytes

Responder->Initiator:         0 packets          0 bytes

 

Initiator:

  Source      IP/port: 192.168.1.18/1792

  Destination IP/port: 192.168.1.55/2048

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: ICMP(1)

Responder:

  Source      IP/port: 192.168.1.55/1792

  Destination IP/port: 192.168.1.18/0

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: ICMP(1)

App: INVALID   State: ICMP_REQUEST

Start time: 2011-07-29 19:12:33  TTL: 55s

Interface(in) : GigabitEthernet1/2/0/1

Interface(out): GigabitEthernet1/2/0/2

Initiator->Responder:         1 packets         6048 bytes

Responder->Initiator:         0 packets          0 bytes

 

Total sessions found: 2

表1-4 display aspf session命令显示信息描述表

字段

描述

Initiator

发起方到响应方的连接对应的会话信息

Responder

响应方到发起方的连接对应的会话信息

Source IP/port

源IP地址/端口号

Dest IP/port

目的IP地址/端口号

VPN-instance/VLAN ID/VLL ID

会话所属的MPLS L3VPN/二层转发时会话所属的VLAN ID/二层转发时会话所属的INLINE。未指定的参数则显示为“-”

Protocol

传输层协议类型,取值包括:DCCP、ICMP、ICMPv6、Raw IP 、SCTP、TCP、UDP、UDP-Lite

括号中的数字表示协议号

App

应用层协议类型,INVALID表示未知协议类型,其对应的端口号为非知名端口

State

会话的协议状态

Start time

会话的创建时间

TTL

会话剩余存活时间,单位为秒

Interface(in)

会话的入接口

Interface(out)

会话的出接口

Initiator->Responder

发起方到响应方的报文数、报文字节数

Responder->Initiator

响应方到发起方的报文数、报文字节数

Total sessions found

当前查找到的会话总数

 

【相关命令】

·     reset aspf session

1.1.8  icmp-error drop

icmp-error drop命令用来开启ICMP差错报文检测功能。

undo icmp-error drop命令用来恢复缺省情况。

【命令】

icmp-error drop

undo icmp-error drop

【缺省情况】

ICMP差错报文检测功能处于关闭状态。

【视图】

ASPF策略视图

【缺省用户角色】

network-admin

【使用指导】

正常ICMP差错报文中均携带有本报文对应连接的相关信息,根据这些信息可以匹配到相应的连接。如果匹配失败,则根据当前配置决定是否丢弃该ICMP报文。

【举例】

# 设置ASPF策略1丢弃非法的ICMP差错报文。

<Sysname> system-view

[Sysname] aspf policy 1

[Sysname-aspf-policy-1] icmp-error drop

【相关命令】

·     aspf policy

·     display aspf policy

1.1.9  reset aspf session

reset aspf session命令用来删除ASPF的会话表项。

【命令】

独立运行模式:

reset aspf session [ ipv4 | ipv6 ] [ slot slot-number ]

IRF模式:

reset aspf session [ ipv4 | ipv6 ] [ chassis chassis-number slot slot-number ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

ipv4:删除ASPF创建的IPv4会话表项。

ipv6:删除ASPF创建的IPv6会话表项。

slot slot-number:删除指定单板上的所有ASPF创建的会话表项,slot-number表示单板所在槽位号。不指定该参数时,删除所有单板上的所有ASPF创建的会话表项。(独立运行模式)

chassis chassis-number slot slot-number:删除指定成员设备的指定单板上的所有ASPF创建的会话表项,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。不指定该参数时,删除所有成员设备的所有单板上的所有ASPF创建的会话表项。(IRF模式)

【使用指导】

如果不指定ipv4ipv6参数,则表示删除ASPF创建的所有会话表项。

【举例】

# 清除ASPF创建的所有会话表项。

<Sysname> reset aspf session

【相关命令】

·     display aspf session

1.1.10  tcp syn-check

tcp syn-check命令用来开启非SYN的TCP首报文丢弃功能。

undo tcp syn-check命令用来恢复缺省情况。

【命令】

tcp syn-check

undo tcp syn-check

【缺省情况】

不丢弃非SYN的TCP首报文。

【视图】

ASPF策略视图

【缺省用户角色】

network-admin

【使用指导】

ASPF对TCP连接的首报文进行检测,查看是否为SYN报文,如果不是SYN报文则根据当前配置决定是否丢弃该报文。

当设备首次加入网络时,网络中原有TCP连接的非首包在经过新加入的设备时如果被丢弃,会中断已有的连接,造成不好的用户体验,因此建议暂且不丢弃非SYN首包,等待网络拓扑稳定后,再开启非SYN首包丢弃功能。

【举例】

# 设置ASPF策略1丢弃非SYN的TCP首报文。

<Sysname> system-view

[Sysname] aspf policy 1

[Sysname-aspf-policy-1] tcp syn-check

【相关命令】

·     aspf policy

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!