国家 / 地区

12-安全命令参考

16-ASPF命令

本章节下载  (215.41 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR_Winet/H3C_MSR_810_WiNet/Command/Command_Manual/H3C_MSR_WiNet_CR(V7)-R0605-6W200/12/201911/1244970_30005_0.htm

16-ASPF命令


1 ASPF

说明

MSR810-W-WiNet/810-LM-WiNet/830-5BEI-WiNet/830-6EI-WiNet/830-6BHI-WiNet/830-10BHI-WiNet/830-10BEI-WiNet路由器不支持IPv6相关参数。

 

1.1  ASPF配置命令

1.1.1  aspf apply policy (Interface view)

aspf apply policy命令用来在接口上应用ASPF策略。

undo aspf apply policy命令用来删除接口上应用的ASPF策略。

【命令】

aspf apply policy aspf-policy-number { inbound | outbound }

undo aspf apply policy aspf-policy-number { inbound | outbound }

【缺省情况】

接口上未应用ASPF策略。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

aspf-policy-number:ASPF策略号,取值范围为1~256。

inbound:对接口入方向的报文应用ASPF策略。

outbound:对接口出方向的报文应用ASPF策略。

【使用指导】

只有将定义好的ASPF策略应用到接口上,才能对通过接口的流量进行检测。由于ASPF对于应用层协议状态的保存和维护都是基于接口的,因此在实际应用中,必须保证报文入口的一致性,即必须保证连接发起方发送的报文和响应端返回的报文经过同一接口。

可以同时在接口的出方向和入方向上都应用ASPF策略。

【举例】

# 在接口GigabitEthernet1/0/1的出方向上应用ASPF策略。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] aspf apply policy 1 outbound

【相关命令】

·     aspf policy

·     display aspf all

·     display aspf interface

1.1.2  aspf apply policy (Zone-pair view)

aspf apply policy命令用来在安全域间实例上应用ASPF策略。

undo aspf apply policy命令用来取消应用在安全域间实例上的指定ASPF策略。

【命令】

aspf apply policy aspf-policy-number

undo aspf apply policy aspf-policy-number

【缺省情况】

安全域间实例上应用了一个缺省的ASPF策略。

【视图】

安全域间实例视图

【支持的缺省用户角色】

network-admin

【参数】

aspf-policy-number:ASPF策略号,取值范围为1~256。

【使用指导】

创建安全域间实例时,系统默认为该实例应用一个缺省的ASPF策略。该策略支持对所有传输层协议和FTP协议报文进行ASPF检测,但是ICMP差错报文检查功能和非SYN的TCP首报文丢弃功能处于关闭状态,并且默认的策略不可改变,如果需要调整ASPF策略,需要自定义一个ASPF策略,并在安全域间实例上引用。

【举例】

# 在安全域间实例上应用ASPF策略。

<Sysname> system-view

[Sysname] security-zone name trust

[Sysname-security-zone-Trust] import interface gigabitethernet 1/0/1

[Sysname-security-zone-Trust] quit

[Sysname] security-zone name untrust

[Sysname-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Sysname-security-zone-Untrust] quit

[Sysname] zone-pair security source trust destination untrust

[Sysname-zone-pair-security-Trust-Untrust] aspf apply policy 1

【相关命令】

·     aspf policy

·     display aspf all

·     zone-pair security(基础命令参考/安全域)

1.1.3  aspf icmp-error reply

aspf icmp-error reply命令用来开启设备在域间策略丢包时,发送ICMP差错报文功能。

undo aspf icmp-error reply命令用来恢复缺省情况。

【命令】

aspf icmp-error reply

undo aspf icmp-error reply

【缺省情况】

在域间策略丢包时,设备不发送ICMP差错报文。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

缺省情况下,设备在安全域间实例下配置安全域间策略,丢弃不符合策略的报文,但不发送ICMP差错报文,这样可以减少网络上的无用报文,节约带宽。

使用traceroute功能时,需要用到ICMP差错报文,需要开启发送ICMP差错报文的功能。

【举例】

# 开启设备在域间策略丢包时,发送ICMP差错报文功能。

<Sysname> system-view

[Sysname] aspf icmp-error reply

1.1.4  aspf policy

aspf policy命令用来创建ASPF策略,并进入ASPF策略视图。如果指定的ASPF策略已经存在,则直接进入ASPF策略视图。

undo aspf policy命令用来删除指定的ASPF策略。

【命令】

aspf policy aspf-policy-number

undo aspf policy aspf-policy-number

【缺省情况】

不存在ASPF策略。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

aspf-policy-number:ASPF策略号,取值范围为1~256。

【举例】

# 创建ASPF策略1,并进入该ASPF策略视图。

<Sysname> system-view

[Sysname] aspf policy 1

[Sysname-aspf-policy-1]

【相关命令】

·     display aspf all

·     display aspf policy

1.1.5  detect

detect命令用来为应用层协议配置ASPF检测。

undo detect命令用来恢复缺省情况。

【命令】

detect { { dns[ action { drop | logging } * ]  | ftp | h323 | http | sccp | sip | smtp } [ action drop ] | gtp | ils | mgcp | nbt | pptp | rsh | rtsp | sqlnet | tftp | xdmcp }

undo detect { dns | ftp |  gtp | h323 | http | ils | mgcp | nbt | pptp | rsh | rtsp | sccp | sip | smtp | sqlnet | tftp | xdmcp }

【缺省情况】

仅对传输层协议进行检测,不对应用层协议进行ASPF检测。

【视图】

ASPF策略视图

【缺省用户角色】

network-admin

【参数】

dns:表示DNS协议,属于应用层协议;

ftp:表示FTP协议,属于应用层协议;

gtp:表示GTP(GPRS Tunneling Protocol,GPRS隧道协议)协议,属于应用层协议;

h323:表示H.323协议族,属于应用层协议;

http:表示HTTP协议,属于应用层协议;

ils:表示ILS(Internet Locator Service,互联网定位服务)协议,属于应用层协议;

mgcp:表示MGCP(Media Gateway Control Protocol,媒体网关控制协议)协议,属于应用层协议;

nbt:表示NBT(NetBIOS over TCP/IP,基于TCP/IP的网络基本输入输出系统)协议,属于应用层协议;

pptp:表示PPTP(Point-to-Point Tunneling Protocol,点到点隧道协议)协议,属于应用层协议;

rsh:表示RSH(Remote Shell,远程外壳)协议,属于应用层协议;

rtsp:表示RTSP(Real Time Streaming Protocol,实时流协议)协议,属于应用层协议;

sccp:表示SCCP(Skinny Client Control Protocol,瘦小客户端控制协议)协议,属于应用层协议;

sip:表示SIP(Session Iniation Protocol,会话初始化协议)协议,属于应用层协议;

smtp:表示SMTP协议,属于应用层协议;

sqlnet:表示SQLNET协议,属于应用层协议;

tftp:表示TFTP协议,属于应用层协议;

xdmcp:表示XDMCP(X Display Manager Control Protocol,X显示监控)协议,属于应用层协议;

action:设置对检测到的非法报文的处理行为。若不指定该参数,则表示放行报文。

drop:表示丢弃报文。

logging:表示生成日志信息。

【使用指导】

若配置了此命令,则对报文的应用层协议进行ASPF检查;若没有配置此命令,则仅对报文的传输层协议进行ASPF检查。

如果设备上其他业务模块开启ALG功能时,即便未配置多通道应用层协议的ASPF检测,多通道协议的数据连接也可以建立成功。例如:开启DPI相关业务功能时会打开ALG功能,此时DPI处理的多通道协议(如SIP等)报文进行ASPF处理时,即便未配置SIP协议的ASPF检测,SIP协议的数据连接也可以建立成功;开启NAT ALG功能时,即便未配置多通道协议的ASPF检测,多通道协议的数据连接也可以建立成功。但是在设备上未配置DPI(Deep Packet Inspection,深度报文检测)相关业务功能只配置了ASPF功能的情况下,必须配置此命令,否则会导致数据连接无法建立。此命令支持的应用层协议中除HTTP、SMTP和TFTP之外的所有应用层协议均为多通道应用层协议。

可通过多次执行本命令配置多种协议类型的ASPF检测。

ASPF策略默认已经开启对传输层协议的检测,无需进行配置,也不能修改。检测的传输层协议包括:TCP协议、UDP协议、UDP-Lite协议、SCTP协议、Raw IP协议、ICMP协议、ICMPv6协议和DCCP协议。

ASPF策略可以根据需要配置应用层协议的检测。目前,设备对支持action参数的应用层协议(DNS、FTP、H323、HTTP、SCCP、SIP、SMTP)进行协议状态合法性检查,对不符合协议状态的报文根据action参数的配置进行丢弃处理。对于其它应用层协议,仅进行连接状态信息的维护,不做协议状态合法性检查。

【举例】

# 配置对FTP协议报文进行ASPF检测。

<Sysname> system-view

[Sysname] aspf policy 1

[Sysname-aspf-policy-1] detect ftp

# 配置对DNS协议进行应用层协议检测,丢弃不符合协议状态的报文,并生成日志信息。

<Sysname> system-view

[Sysname] aspf policy 1

[Sysname-aspf-policy-1] detect dns action drop logging

【相关命令】

·     display aspf policy

1.1.6  display aspf all

display aspf all命令用来查看ASPF策略配置信息及应用ASPF策略的信息。

【命令】

display aspf all

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 查看所有的ASPF策略配置信息。

<Sysname> display aspf all

ASPF policy configuration:

  Policy default:

    ICMP error message check: Disabled

    TCP SYN packet check: Disabled

    Inspected protocol    Action

      FTP                  None

  Policy number: 1

    ICMP error message check: Disabled

    TCP SYN packet check: Disabled

    Inspected protocol    Action

      FTP                  None

 

Interface configuration:

  GigabitEthernet1/0/1

    Inbound policy : 1

    Outbound policy: none

表1-1 display aspf all命令显示信息描述表

字段

描述

ASPF policy configuration

ASPF策略的配置信息

Policy default

缺省ASPF策略

Policy number

ASPF策略号

ICMP error message check

ICMP差错报文检测功能的开启状态

TCP SYN packet check

非SYN的TCP首报文丢弃功能的开启状态

Inspected protocol

需要检测的应用层协议

Action

对检测到的非法协议报文的处理行为

·     Drop:丢弃

·     None:不做处理,放行

“-”表示该协议不支持此配置项

Interface configuration

接口下应用ASPF策略的配置信息

Inbound policy

接口入方向上应用的ASPF策略编号

Outbound policy

接口出方向上应用的ASPF策略编号

 

【相关命令】

·     aspf apply policy

·     aspf policy

·     display aspf policy

1.1.7  display aspf interface

display aspf interface命令用来查看接口上的ASPF策略配置信息。

【命令】

display aspf interface

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 查看接口上的ASPF策略信息。

<Sysname> display aspf interface

Interface configuration:

  GigabitEthernet1/0/1

    Inbound policy : 1

    Outbound policy: none

表1-2 display aspf interface命令显示信息描述表

字段

描述

Interface configuration

接口上应用ASPF策略的配置信息

Inbound policy

接口入方向上应用的ASPF策略编号

Outbound policy

接口出方向上应用的ASPF策略编号

 

【相关命令】

·     aspf apply policy

·     aspf policy

1.1.8  display aspf policy

display aspf policy命令用来查看ASPF策略的配置信息。

【命令】

display aspf policy { aspf-policy-number | default }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

aspf-policy-number:ASPF策略号,取值范围为1~256。

default:缺省ASPF策略。

【举例】

# 查看策略号为1的ASPF策略的配置信息。

<Sysname> display aspf policy 1

ASPF policy configuration:

  Policy number: 1

    ICMP error message check: Disabled

    TCP SYN packet check: Enabled

    Inspected protocol   Action

     FTP                  Drop

     HTTP                 None

     RSH                  -

表1-3 display aspf policy命令显示信息描述表

字段

描述

ASPF policy configuration

ASPF策略的配置信息

Policy number

ASPF策略号

ICMP error message check

ICMP差错报文检测功能的开启状态

TCP SYN packet check

非SYN的TCP首报文丢弃功能的开启状态

Inspected protocol

需要检测的应用层协议

Action

对检测到的非法报文的处理行为

·     Drop:丢弃

·     Log:生成日志信息

·     None:不做处理,放行

“-”表示该协议不支持此配置项

 

【相关命令】

·     aspf policy

1.1.9  display aspf session

display aspf session命令用来查看ASPF的会话表信息。

【命令】

集中式设备-独立运行模式:

display aspf session [ ipv4 | ipv6 ] [ verbose ]

集中式设备-IRF模式:

display aspf session [ ipv4 | ipv6 ] [ slot slot-number ] [ verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

ipv4:查看ASPF创建的IPv4会话表。

ipv6:查看ASPF创建的IPv6会话表。

slot slot-number:显示指定成员设备上的ASPF会话表,slot-number表示设备在IRF中的成员编号。不指定该参数时,显示所有成员设备上的ASPF会话表。(集中式设备-IRF模式)

verbose:查看ASPF会话表的详细信息。若不指定该参数,则表示查看ASPF会话表的概要信息。

【使用指导】

不指定ipv4ipv6参数时,表示查看所有的ASPF会话表信息。

【举例】

# 显示ASPF创建的IPv4会话表的概要信息。(集中式设备-独立运行模式)

<Sysname> display aspf session ipv4

Initiator:

  Source      IP/port: 192.168.1.18/1877

  Destination IP/port: 192.168.1.55/22

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet1/0/1

  Source security zone: SrcZone

Initiator:

  Source      IP/port: 192.168.1.18/1792

  Destination IP/port: 192.168.1.55/2048

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: ICMP(1)

  Inbound interface: GigabitEthernet1/0/1

  Source security zone: SrcZone

 

Total sessions found: 2

# 显示ASPF创建的IPv4会话表的概要信息。(集中式设备-IRF模式)

<Sysname> display aspf session ipv4

Slot 1:

Initiator:

  Source      IP/port: 192.168.1.18/1877

  Destination IP/port: 192.168.1.55/22

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet1/1/0/1

  Source security zone: SrcZone

Initiator:

  Source      IP/port: 192.168.1.18/1792

  Destination IP/port: 192.168.1.55/2048

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: ICMP(1)

  Inbound interface: GigabitEthernet1/1/0/1

  Source security zone: SrcZone

 

Total sessions found: 2

# 显示IPv4 ASPF会话的详细信息。(集中式设备-独立运行模式)

<Sysname> display aspf session ipv4 verbose

Initiator:

  Source       IP/port: 192.168.1.18/1877

  Destination IP/port: 192.168.1.55/22

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet1/0/1

  Source security zone: SrcZone

Responder:

  Source       IP/port: 192.168.1.55/22

  Destination IP/port: 192.168.1.18/1877

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet1/0/2

  Source security zone: DestZone

State: TCP_SYN_SENT

Application: SSH

Start time: 2011-07-29 19:12:36  TTL: 28s

Initiator->Responder:         1 packets         48 bytes

Responder->Initiator:         0 packets          0 bytes

 

Initiator:

  Source      IP/port: 192.168.1.18/1792

  Destination IP/port: 192.168.1.55/2048

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: ICMP(1)

  Inbound interface: GigabitEthernet1/0/1

  Source security zone: SrcZone

Responder:

  Source      IP/port: 192.168.1.55/1792

  Destination IP/port: 192.168.1.18/0

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: ICMP(1)

  Inbound interface: GigabitEthernet1/0/2

  Source security zone: DestZone

State: ICMP_REQUEST

Application: OTHER

Start time: 2011-07-29 19:12:33  TTL: 55s

Initiator->Responder:          1 packets         60 bytes

Responder->Initiator:          0 packets          0 bytes

 

Total sessions found: 2

# 显示IPv4 ASPF会话的详细信息。(集中式设备-IRF模式)

<Sysname> display aspf session ipv4 verbose

Slot 1:

Initiator:

  Source      IP/port: 192.168.1.18/1877

  Destination IP/port: 192.168.1.55/22

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet1/1/0/1

  Source security zone: SrcZone

Responder:

  Source      IP/port: 192.168.1.55/22

  Destination IP/port: 192.168.1.18/1877

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet1/1/0/2

  Source security zone: DestZone

State: TCP_SYN_SENT

Application: SSH

Start time: 2011-07-29 19:12:36  TTL: 28s

Initiator->Responder:         1 packets         48 bytes

Responder->Initiator:         0 packets          0 bytes

 

Initiator:

  Source      IP/port: 192.168.1.18/1792

  Destination IP/port: 192.168.1.55/2048

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: ICMP(1)

  Inbound interface: GigabitEthernet1/1/0/1

  Source security zone: SrcZone

Responder:

  Source      IP/port: 192.168.1.55/1792

  Destination IP/port: 192.168.1.18/0

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: ICMP(1)

  Inbound interface: GigabitEthernet1/1/0/2

  Source security zone: DestZone

State: ICMP_REQUEST

Application: OTHER

Start time: 2011-07-29 19:12:33  TTL: 55s

Initiator->Responder:         1 packets         6048 bytes

Responder->Initiator:         0 packets          0 bytes

 

Total sessions found: 2

表1-4 display aspf session命令显示信息描述表

字段

描述

Initiator

发起方到响应方的连接对应的会话信息

Responder

响应方到发起方的连接对应的会话信息

Source IP/port

源IP地址/端口号

Destination IP/port

目的IP地址/端口号

DS-Lite tunnel peer

DS-Lite隧道对端地址。会话不属于任何DS-Lite隧道时,本字段显示为“-”

VPN-instance/VLAN ID/Inline ID

会话所属的MPLS L3VPN/二层转发时会话所属的VLAN ID/二层转发时会话所属的INLINE。未指定的参数则显示为“-”

Protocol

传输层协议类型,取值包括:DCCP、ICMP、ICMPv6、Raw IP 、SCTP、TCP、UDP、UDP-Lite

括号中的数字表示协议号

Inbound interface

报文的入接口

Source security zone

源安全域,即入接口所属的安全域。若接口不属于任何安全域,则显示为“-”

State

会话的协议状态

Application

应用层协议类型,取值包括:FTP、DNS等,OTHER表示未知协议类型,其对应的端口为非知名端口

Start time

会话的创建时间

TTL

会话剩余存活时间,单位为秒

Initiator->Responder

发起方到响应方的报文数、报文字节数

Responder->Initiator

响应方到发起方的报文数、报文字节数

Total sessions found

当前查找到的会话总数

 

【相关命令】

·     reset aspf session

1.1.10  icmp-error drop

icmp-error drop命令用来开启ICMP差错报文检测功能。

undo icmp-error drop命令用来关闭ICMP差错报文检测功能。

【命令】

icmp-error drop

undo icmp-error drop

【缺省情况】

ICMP差错报文检测功能处于关闭状态。

【视图】

ASPF策略视图

【缺省用户角色】

network-admin

【使用指导】

正常ICMP差错报文中均携带有本报文对应连接的相关信息,根据这些信息可以匹配到相应的连接。如果匹配失败,则根据当前配置决定是否丢弃该ICMP报文。

【举例】

# 设置ASPF策略1丢弃非法的ICMP差错报文。

<Sysname> system-view

[Sysname] aspf policy 1

[Sysname-aspf-policy-1] icmp-error drop

【相关命令】

·     aspf policy

·     display aspf policy

1.1.11  reset aspf session

reset aspf session命令用来删除ASPF的会话表项。

【命令】

集中式设备-独立运行模式:

reset aspf session [ ipv4 | ipv6 ]

集中式设备-IRF模式:

reset aspf session [ ipv4 | ipv6 ] [ slot slot-number ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

ipv4:删除ASPF创建的IPv4会话表项。

ipv6:删除ASPF创建的IPv6会话表项。

slot slot-number:删除指定成员设备上的所有ASPF创建的会话表项,slot-number表示设备在IRF中的成员编号。不指定该参数时,删除所有成员设备上的所有ASPF创建的会话表项。(集中式设备-IRF模式)

【使用指导】

如果不指定ipv4ipv6参数,则表示删除ASPF创建的所有会话表项。

【举例】

# 清除ASPF创建的所有会话表项。

<Sysname> reset aspf session

【相关命令】

·     display aspf session

1.1.12  tcp syn-check

tcp syn-check命令用来开启非SYN的TCP首报文丢弃功能。

undo tcp syn-check命令用来关闭非SYN的TCP首报文丢弃功能。

【命令】

tcp syn-check

undo tcp syn-check

【缺省情况】

非SYN的TCP首报文丢弃功能处于关闭状态。

【视图】

ASPF策略视图

【缺省用户角色】

network-admin

【使用指导】

ASPF对TCP连接的首报文进行检测,查看是否为SYN报文,如果不是SYN报文则根据当前配置决定是否丢弃该报文。

【举例】

# 设置ASPF策略1丢弃非SYN的TCP首报文。

<Sysname> system-view

[Sysname] aspf policy 1

[Sysname-aspf-policy-1] tcp syn-check

【相关命令】

·     aspf policy

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!