- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
09-ASPF命令
本章节下载: 09-ASPF命令 (146.48 KB)
aspf apply policy命令用来在接口上应用ASPF策略。
undo aspf apply policy命令用来删除接口上应用的ASPF策略。
aspf apply policy aspf-policy-number { inbound | outbound }
undo aspf apply policy aspf-policy-number { inbound | outbound }
接口上没有应用ASPF策略。
aspf-policy-number:ASPF策略号,取值范围1~256。
inbound:对接口入方向的报文应用ASPF策略。
outbound:对接口出方向的报文应用ASPF策略。
只有将定义好的ASPF策略应用到接口上,才能对通过接口的流量进行检测。由于ASPF对于应用层协议状态的保存和维护都是基于接口的,因此在实际应用中,必须保证报文入口的一致性,即必须保证连接发起方发送的报文和响应端返回的报文经过同一接口。
# 在接口GigabitEthernet0/1的出方向上应用ASPF策略。
[Sysname] interface gigabitethernet 0/1
[Sysname-GigabitEthernet0/1] aspf apply policy 1 outbound
· display aspf policy interface
aspf apply policy命令用来在安全域间实例上应用ASPF策略。
undo aspf apply policy命令用来取消应用在安全域间实例上的指定ASPF策略。
aspf apply policy aspf-policy-number
undo aspf apply policy aspf-policy-number
aspf-policy-number:ASPF策略号,取值范围为1~256。
创建安全域间实例时,系统默认为该实例应用一个缺省的ASPF策略,该策略支持对所有协议进行ASPF检测,但默认的策略不可改变,如果需要调整ASPF策略,需要自定义一个ASPF策略,并在安全域间实例上引用。
# 在安全域间实例上应用ASPF策略。
[Sysname] security-zone name trust
[Sysname-security-zone-Trust] import interface gigabitethernet 0/1
[Sysname-security-zone-Trust] quit
[Sysname] security-zone name untrust
[Sysname-security-zone-Untrust] import interface gigabitethernet 0/2
[Sysname-security-zone-Untrust] quit
[Sysname] zone-pair security source trust destination untrust
[Sysname-zone-pair-security-Trust-Untrust] aspf apply policy 1
· zone-pair security(基础命令参考/安全域)
aspf policy命令用来创建ASPF策略,并进入ASPF策略视图。
undo aspf policy命令用来删除指定的ASPF策略。
aspf policy aspf-policy-number
undo aspf policy aspf-policy-number
不存在ASPF策略。
aspf-policy-number:ASPF策略号,取值范围1~256。
# 创建ASPF策略1,并进入该ASPF策略视图。
[Sysname] aspf policy 1
[Sysname-aspf-policy-1]
detect命令用来为应用层协议或传输层协议配置ASPF检测。
undo detect命令用来恢复缺省情况。
ASPF策略视图
dccp:表示DCCP(Datagram Congestion Control Protocol,数据报拥塞控制协议)协议,属于传输层协议;
dns:表示DNS协议,属于应用层协议。
ftp:表示FTP协议,属于应用层协议;
gtp:表示GTP(GPRS Tunneling Protocol,GPRS隧道协议)协议,属于应用层协议;
h323:表示H.323协议族,属于应用层协议;
http:表示HTTP协议,属于应用层协议。
icmp:表示ICMP协议,属于传输层协议;
icmpv6:表示ICMPv6协议,属于传输层协议;
ils:表示ILS(Internet Locator Service,互联网定位服务)协议,属于应用层协议;
mgcp:表示MGCP(Media Gateway Control Protocol,媒体网关控制协议)协议,属于应用层协议;
nbt:表示NBT(NetBIOS over TCP/IP,基于TCP/IP的网络基本输入输出系统)协议,属于应用层协议;
pptp:表示PPTP(Point-to-Point Tunneling Protocol,点到点隧道协议)协议,属于应用层协议;
rawip:表示Raw IP协议,属于传输层协议;
rsh:表示RSH(Remote Shell,远程外壳)协议,属于应用层协议;
rtsp:表示RTSP(Real Time Streaming Protocol,实时流协议)协议,属于应用层协议;
sccp:表示SCCP(Skinny Client Control Protocol,瘦小客户端控制协议)协议,属于应用层协议;
sctp:表示SCTP(Stream Control Transmission Protocol,流控制传输协议)协议,属于传输层协议;
smtp:表示SMTP协议,属于应用层协议。
sqlnet:表示SQLNET协议,属于应用层协议;
tcp:表示TCP协议,属于传输层协议;
tftp:表示TFTP协议,属于应用层协议;
udp:表示UDP协议,属于传输层协议;
udp-lite:表示UDP-Lite协议,属于传输层协议;
xdmcp:表示XDMCP(X Display Manager Control Protocol,X显示监控)协议,属于应用层协议。
在未配置应用层协议检测,直接配置TCP或UDP检测的情况下,可能会产生接收不到应答报文的情况,故建议应用层协议检测和TCP/UDP检测配合使用。
对于Telnet应用,直接配置通用TCP检测即可实现ASPF功能。
# 配置对FTP协议报文进行ASPF检测。
[Sysname] aspf policy 1
[Sysname-aspf-policy-1] detect ftp
display aspf all命令用来查看ASPF策略配置信息及接口应用ASPF策略的信息。
# 查看所有的ASPF策略配置信息。
ASPF policy configuration:
Policy number: 1
Enable ICMP error message check
Disable TCP SYN packet check
Detect these protocols:
FTP
TCP
Interface configuration:
GigabitEthernet0/1
Inbound policy : 1
Outbound policy: none
表1-1 display aspf all命令显示信息描述表
|
ASPF策略的配置信息 |
|
|
ASPF策略号 |
|
|
使能ICMP差错报文检测功能 |
|
|
丢弃非SYN的TCP首报文 |
|
|
去使能ICMP差错报文检测功能 |
|
|
不丢弃非SYN的TCP首报文 |
|
|
接口下应用ASPF策略的配置信息 |
|
|
接口入方向上应用的ASPF策略编号 |
|
|
接口出方向上应用的ASPF策略编号 |
· aspf apply policy
display aspf interface命令用来查看接口上的ASPF策略配置信息。
# 查看接口上的ASPF策略信息。
<Sysname> display aspf interface
Interface configuration:
GigabitEthernet0/1
Inbound policy : 1
Outbound policy: none
表1-2 display aspf interface命令显示信息描述表
|
接口上应用ASPF策略的配置信息 |
|
|
接口入方向上应用的ASPF策略编号 |
|
|
接口出方向上应用的ASPF策略编号 |
· aspf apply policy
display aspf policy命令用来查看ASPF策略的配置信息。
display aspf policy aspf-policy-number
aspf-policy-number:ASPF策略号,取值范围1~256。
# 查看策略号为1的ASPF策略的配置信息。
<Sysname> display aspf policy 1
ASPF policy configuration:
Policy number: 1
Disable ICMP error message check
Disable TCP SYN packet check
Detect these protocols:
FTP
TCP
表1-3 display aspf policy命令显示信息描述表
|
ASPF策略的配置信息 |
|
|
ASPF策略号 |
|
|
使能ICMP差错报文检测功能 |
|
|
丢弃非SYN的TCP首报文 |
|
|
去使能ICMP差错报文检测功能 |
|
|
不丢弃非SYN的TCP首报文 |
|
display aspf session命令用来查看ASPF的会话表信息。
display aspf session [ ipv4 ] [ verbose ]
ipv4:查看ASPF创建的IPv4会话表。
verbose:查看ASPF会话表的详细信息。若不指定该参数,则表示查看ASPF会话表的概要信息。
不指定ipv4参数时,表示查看所有的ASPF会话表信息。
# 显示ASPF创建的IPv4会话表的概要信息。
<Sysname> display aspf session ipv4
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
DS-Lite tunnel peer: -
Protocol: TCP(6)
Inbound interface: GigabitEthernet0/1
Source security zone: SrcZone
Initiator:
Source IP/port: 192.168.1.18/1792
Destination IP/port: 192.168.1.55/2048
DS-Lite tunnel peer: -
Protocol: ICMP(1)
Inbound interface: GigabitEthernet0/1
Source security zone: SrcZone
Total sessions found: 2
# 显示IPv4 ASPF会话的详细信息。
<Sysname> display aspf session ipv4 verbose
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
DS-Lite tunnel peer: -
Protocol: TCP(6)
Inbound interface: GigabitEthernet0/1
Source security zone: SrcZone
Responder:
Source IP/port: 192.168.1.55/22
Destination IP/port: 192.168.1.18/1877
DS-Lite tunnel peer: -
Protocol: TCP(6)
Inbound interface: GigabitEthernet0/0
Source security zone: DestZone
State: TCP_SYN_SENT
Application: SSH
Start time: 2011-07-29 19:12:36 TTL: 28s
Initiator->Responder: 1 packets 48 bytes
Responder->Initiator: 0 packets 0 bytes
Initiator:
Source IP/port: 192.168.1.18/1792
Destination IP/port: 192.168.1.55/2048
DS-Lite tunnel peer: -
Protocol: ICMP(1)
Inbound interface: GigabitEthernet0/1
Source security zone: SrcZone
Responder:
Source IP/port: 192.168.1.55/1792
Destination IP/port: 192.168.1.18/0
DS-Lite tunnel peer: -
Protocol: ICMP(1)
Inbound interface: GigabitEthernet0/0
Source security zone: DestZone
State: ICMP_REQUEST
Application: OTHER
Start time: 2011-07-29 19:12:33 TTL: 55s
Initiator->Responder: 1 packets 60 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 2
表1-4 display aspf session命令显示信息描述表
|
源IP地址/端口号 |
|
|
目的IP地址/端口号 |
|
|
DS-Lite隧道对端地址。会话不属于任何DS-Lite隧道时,本字段显示为“-” |
|
|
传输层协议类型,取值包括:DCCP、ICMP、ICMPv6、Raw IP 、SCTP、TCP、UDP、UDP-Lite |
|
|
应用层协议类型,取值包括:FTP、DNS等,OTHER表示未知协议类型,其对应的端口为非知名端口 |
|
icmp-error drop命令用来开启ICMP差错报文检测功能。
undo icmp-error drop命令用来恢复缺省情况。
ICMP差错报文检测功能处于关闭状态。
ASPF策略视图
正常ICMP差错报文中均携带有本报文对应连接的相关信息,根据这些信息可以匹配到相应的连接。如果匹配失败,则根据当前配置决定是否丢弃该ICMP报文。
# 设置ASPF策略1丢弃非法的ICMP差错报文。
[Sysname] aspf policy 1
[Sysname-aspf-policy-1] icmp-error drop
reset aspf session命令用来删除ASPF的会话表项。
ipv4:删除ASPF创建的IPv4会话表项。
如果不指定ipv4参数,则表示删除ASPF创建的所有会话表项。
# 清除ASPF创建的所有会话表项。
tcp syn-check命令用来开启非SYN的TCP首报文丢弃功能。
undo tcp syn-check命令用来恢复缺省情况。
不丢弃非SYN的TCP首报文。
ASPF策略视图
ASPF对TCP连接的首报文进行检测,查看是否为SYN报文,如果不是SYN报文则根据当前配置决定是否丢弃该报文。
# 设置ASPF策略1丢弃非SYN的TCP首报文。
[Sysname] aspf policy 1
[Sysname-aspf-policy-1] tcp syn-check
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
