07-安全命令参考

17-防火墙命令

本章节下载  (189.91 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WX/H3C_WX3000/Command/Command_Manual/H3C_CR(E3703P61_R2509P61_R3709P61)-6W108/07/201707/1012804_30005_0.htm

17-防火墙命令


1 防火墙

1.1  包过滤防火墙配置命令

说明

·     包过滤防火墙配置命令的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。

·     本文涉及的包过滤防火墙和ASPF功能需要用户需要购买License,并完成注册之后才能使用,License可以通过购买特性软件授权书获得,授权书上提供了注册WIAA(Wireless Intelligent Application Aware,无线智能业务感知)特性需要使用的License授权码及特性功能说明。详细的操作流程,请参见《H3C无线控制产品License激活申请和注册操作指导》,添加License的相关配置请参见“基础配置命令”中的“License管理命令”。

 

1.1.1  display firewall ipv6 statistics

【命令】

display firewall ipv6 statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

all:查看IPv6防火墙的所有接口的过滤报文统计信息。

interface interface-type interface-number:查看IPv6防火墙的指定接口的过滤报文统计信息。其中,interface-type interface-number表示接口类型和接口编号。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display firewall ipv6 statistics命令用来查看IPv6防火墙的过滤报文统计信息。

【举例】

# 查看IPv6防火墙的过滤报文统计信息。

<Sysname> display firewall ipv6 statistics interface Vlan-interface 100

  Interface: Vlan-interface100

  In-bound Policy: acl6 2000

  From 2013-06-04 10:25:21  to 2013-06-04 10:35:57

     0 packets, 0 bytes, 0% permitted

     0 packets, 0 bytes, 0% denied

     0 packets, 0 bytes, 0% permitted default

     0 packets, 0 bytes, 0% denied default

  Totally 0 packets, 0 bytes, 0% permitted

  Totally 0 packets, 0 bytes, 0% denied

表1-1 display firewall ipv6 statistics命令显示信息描述表

字段

描述

Interface

配置了IPv6包过滤功能的接口

In-bound Policy

表示该接口上配置了入方向的ACL规则

Out-bound Policy

表示该接口上配置了出方向的ACL规则

acl6

IPv6 ACL编号

0 packets, 0 bytes, 0% permitted

表示匹配到IPv6 ACL规则,且被允许通行的报文个数、字节数和比例

0 packets, 0 bytes, 0% denied

表示匹配到IPv6 ACL规则,且被拒绝通行的报文个数、字节数和比例

0 packets, 0 bytes, 0% permitted default

表示未匹配到任何IPv6 ACL规则,且根据缺省过滤规则被允许通行的报文个数、字节数和比例

0 packets, 0 bytes, 0% denied default

表示未匹配到任何IPv6 ACL规则,且根据缺省过滤规则被拒绝通行的报文个数、字节数和比例

Totally 0 packets, 0 bytes, 0% permitted

总计被允许通行的报文个数、字节数和比例

Totally 0 packets, 0 bytes, 0% denied

总计被拒绝通行的报文个数、字节数和比例

 

1.1.2  display firewall-statistics

【命令】

display firewall-statistics { all | interface interface-type interface-number | user-profile user-profile-name } [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

all:查看IPv4防火墙所有的过滤报文统计信息。

interface interface-type interface-number:查看IPv4防火墙的指定接口的过滤报文统计信息。其中,interface-type interface-number表示接口类型和接口编号。

user-profile user-profile-name:查看IPv4防火墙的指定User Profile的过滤报文统计信息。其中,user-profile-name表示User Profile的名称,为1~31个字符的字符串,区分大小写。有关User Profile的详细介绍,请参见“安全配置指导”中的“User Profile”。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display firewall-statistics命令用来查看IPv4防火墙的过滤报文统计信息。

【举例】

# 查看防火墙所有的过滤报文统计信息。

<Sysname> display firewall-statistics all

  Firewall is enable, default filtering method is 'permit'.

 

  Interface: Vlan-interface3

  In-bound Policy: acl 3001

  From 2012-11-11 14:03:44 to 2012-11-11 14:07:41

     0 packets, 0 bytes, 0% permitted,

     0 packets, 0 bytes, 0% denied,

     0 packets, 0 bytes, 0% permitted default,

     0 packets, 0 bytes, 0% denied default,

  Totally 0 packets, 0 bytes, 0% permitted,

  Totally 0 packets, 0 bytes, 0% denied.

 

表1-2 display firewall-statistics命令显示信息描述表

字段

描述

Firewall is enable

表示防火墙功能的状态

default filtering method is 'permit'

表示防火墙缺省的过滤方式

Interface

配置了包过滤功能的接口

In-bound Policy

表示该接口上配置了入方向的ACL规则

Out-bound Policy

表示该接口上配置了出方向的ACL规则

acl

IPv4 ACL编号

0 packets, 0 bytes, 0% permitted

表示匹配到ACL规则,且被允许通行的报文个数、字节数和比例

0 packets, 0 bytes, 0% denied

表示匹配到ACL规则,且被拒绝通行的报文个数、字节数和比例

0 packets, 0 bytes, 0% permitted default

表示未匹配到任何ACL规则,且根据缺省过滤规则被允许通行的报文个数、字节数和比例

0 packets, 0 bytes, 0% denied default

表示未匹配到任何ACL规则,且根据缺省过滤规则被拒绝通行的报文个数、字节数和比例

Totally 0 packets, 0 bytes, 0% permitted

总计被允许通行的报文个数、字节数和比例

Totally 0 packets, 0 bytes, 0% denied

总计被拒绝通行的报文个数、字节数和比例

 

1.1.3  firewall default

【命令】

firewall default { deny | permit }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

deny:过滤方式为禁止报文通过。

permit:过滤方式为允许报文通过。

【描述】

firewall default命令用来配置IPv4防火墙的缺省过滤方式。

缺省情况下,IPv4防火墙的缺省过滤方式为允许报文通过(permit)。

【举例】

# 配置IPv4防火墙的缺省过滤方式为禁止报文通过。

<Sysname> system-view

[Sysname] firewall default deny

1.1.4  firewall ipv6 default

【命令】

firewall ipv6 default { deny | permit }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

deny:过滤方式为禁止报文通过。

permit:过滤方式为允许报文通过。

【描述】

firewall ipv6 default命令用来配置IPv6防火墙的缺省过滤方式。对于未匹配到任何IPv6包过滤策略中引用的ACL规则的IPv6报文,防火墙使用默认的过滤方式对其进行过滤。

缺省情况下,IPv6防火墙的缺省过滤方式为允许报文通过(permit)。

【举例】

# 配置IPv6防火墙的缺省过滤方式为禁止报文通过。

<Sysname> system-view

[Sysname] firewall ipv6 default deny

1.1.5  firewall enable

【命令】

firewall enable

undo firewall enable

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

firewall enable命令用来启用IPv4防火墙功能。undo firewall enable命令用来关闭IPv4防火墙功能。

缺省情况下,IPv4防火墙功能处于关闭状态。

【举例】

# 启用IPv4防火墙功能。

<Sysname> system-view

[Sysname] firewall enable

1.1.6  firewall ipv6 enable

【命令】

firewall ipv6 enable

undo firewall ipv6 enable

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

firewall ipv6 enable命令用来启用IPv6防火墙功能。undo firewall enable命令用来关闭IPv6防火墙功能。

缺省情况下,IPv6防火墙功能处于关闭状态。

【举例】

# 启用IPv6防火墙功能。

<Sysname> system-view

[Sysname] firewall ipv6 enable

1.1.7  firewall packet-filter ( interface view)

【命令】

firewall packet-filter { acl-number | name acl-name } { inbound | outbound }

undo firewall packet-filter { acl-number | name acl-name } { inbound | outbound }

【视图】

接口视图

【缺省级别】

2:系统级

【参数】

acl-number:基本或高级访问控制列表号,取值范围为2000~3999。

name acl-name:指定基本或高级访问控制列表的名称。其中,acl-name表示IPv4 ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,IPv4 ACL的名称不可以使用英文单词all。

inbound:过滤接口接收的数据包。

outbound:过滤接口转发的数据包。

【描述】

firewall packet-filter命令用来在接口上应用IPv4报文过滤功能。undo firewall packet-filter命令用来取消接口上应用的IPv4报文过滤功能。

缺省情况下,不对通过接口的报文进行过滤。

在接口的一个方向上,只能应用一个IPv4 ACL来进行报文过滤。

【举例】

# 在接口WLAN-ESS1上应用IPv4报文过滤功能,使用ACL 2001对出方向的报文进行过滤。

<Sysname> system-view

[Sysname] interface wlan-ess 1

[Sysname-WLAN-ESS1] firewall packet-filter 2001 outbound

1.1.8  firewall packet-filter ipv6

【命令】

firewall packet-filter ipv6 { acl6-number | name acl6-name } { inbound | outbound }

undo firewall packet-filter ipv6 [ { acl6-number | name acl6-name } ] { inbound | outbound }

【视图】

接口视图

【缺省级别】

2:系统级

【参数】

acl6-number:基本或高级IPv6访问控制列表号,取值范围为2000~3999。

name acl6-name:指定基本或高级访问控制列表的名称。其中,acl6-name表示IPv6 ACL的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,IPv6 ACL的名称不可以使用英文单词all。

inbound:过滤接口接收的数据包。

outbound:过滤接口转发的数据包。

【描述】

firewall packet-filter ipv6命令用来配置接口的IPv6报文过滤功能。undo firewall packet-filter ipv6命令用来取消接口的IPv6报文过滤功能。

缺省情况下,不对通过接口的IPv6报文进行过滤。

在接口的一个方向上,仅可以应用一个IPv6 ACL来进行报文过滤。

【举例】

# 使用IPv6 ACL 2500在接口VLAN100上进行IPv6报文过滤。

<Sysname> system-view

[Sysname] interface Vlan-interface 100

[Sysname-Vlan-interface100] firewall packet-filter ipv6 2500 outbound

1.1.9  firewall packet-filter (user-profile view)

【命令】

firewall packet-filter { acl-number | name acl-name } { inbound | outbound }

undo firewall packet-filter { acl-number | name acl-name } { inbound | outbound }

【视图】

User Profile视图

【缺省级别】

2:系统级

【参数】

acl-number:基本或高级访问控制列表号,取值范围为2000~3999。

name acl-name:指定基本或高级访问控制列表的名称。其中,acl-name表示IPv4 ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,IPv4 ACL的名称不可以使用英文单词all。

inbound:过滤内部网络用户发送的数据包。

outbound:过滤外部网络用户发送的数据包。

【描述】

firewall packet-filter命令用来在User Profile上应用IPv4报文过滤功能。undo firewall packet-filter命令用来取消User Profile上应用的IPv4报文过滤功能。

缺省情况下,不对任何用户的报文进行过滤。

当用户认证成功后,若被授权下发了User Profile属性,且该User Profile上应用了报文过滤功能,则该用户上线后接收或者发送的报文将会受到报文过滤功能的控制,与该功能中指定的ACL相匹配的用户报文将被正常转发或阻止。

在User Profile视图下,一个方向上只能应用一个ACL来进行报文过滤。

【举例】

# 在User Profile aaa上应用IPv4报文过滤功能,使用ACL 2001对用户发送的报文进行过滤。

<Sysname> system-view

[Sysname] user-profile aaa

[Sysname-user-profile-aaa] firewall packet-filter 2001 inbound

1.1.10  reset firewall ipv6 statistics

【命令】

reset firewall ipv6 statistics { all | interface interface-type interface-number }

【视图】

用户视图

【缺省级别】

1:监控级

【参数】

all:清除IPv6防火墙的所有接口的过滤报文统计信息。

interface interface-type interface-number:表示清除IPv6防火墙的指定接口的过滤报文统计信息。其中,interface-type interface-number表示接口类型和接口编号。

【描述】

reset firewall ipv6 statistics命令用来清除IPv6防火墙的过滤报文统计信息。

相关配置可参考命令display firewall ipv6 statistics

【举例】

# 清除接口VLAN100上IPv6防火墙的过滤报文统计信息。

<Sysname> reset firewall ipv6 statistics interface Vlan-interface 100

1.1.11  reset firewall-statistics

【命令】

reset firewall-statistics { all | interface interface-type interface-number | user-profile user-profile-name }

【视图】

用户视图

【缺省级别】

1:监控级

【参数】

all:清除IPv4防火墙所有的过滤报文统计信息。

interface interface-type interface-number:表示清除IPv4防火墙的指定接口的过滤报文统计信息。其中,interface-type interface-number表示接口类型和接口编号。

user-profile user-profile-name:表示清除IPv4防火墙的指定User Profile的过滤报文统计信息。其中,user-profile-name表示User Profile的名称,为1~31个字符的字符串,区分大小写。有关User Profile的详细介绍,请参见“安全配置指导”中的“User Profile”。

【描述】

reset firewall-statistics命令用来清除IPv4防火墙的过滤报文统计信息。

【举例】

# 清除接口WLAN-DBSS 1:4上IPv4防火墙的过滤报文统计信息。

<Sysname> reset firewall-statistics interface WLAN-DBSS 1:4

1.2  ASPF配置命令

说明

ASPF配置命令的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。

 

1.2.1  aspf-policy

【命令】

aspf-policy aspf-policy-number

undo aspf-policy aspf-policy-number

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

aspf-policy-number:ASPF策略号,取值范围为1~99。

【描述】

aspf-policy命令用来创建ASPF策略,并进入ASPF策略视图。undo aspf-policy命令用来删除ASPF策略。

对于一个已定义的ASPF策略,可通过策略号对该策略进行应用。

【举例】

# 创建ASPF策略1,并进入该ASPF策略视图。

<Sysname> system-view

[Sysname] aspf-policy 1

[Sysname-aspf-policy-1]

1.2.2  display aspf all

【命令】

display aspf all [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display aspf all命令用来查看所有的ASPF策略和会话信息。

【举例】

# 查看所有的ASPF策略信息。

<Sysname> display aspf all

[ASPF Policy Configuration]

  Policy Number 1:

    icmp-error drop

    tcp syn-check

  Policy Number 2:

    undo icmp-error drop

    undo tcp syn-check

 

[Interface Configuration]

   Interface                      InboundPolicy   OutboundPolicy

 ---------------------------------------------------------------

   WLAN-ESS1                      1               2

表1-3 display aspf all命令显示信息描述表

字段

描述

[ASPF Policy Configuration]

ASPF策略的配置信息

Policy Number

ASPF策略号

icmp-error drop

丢弃ICMP差错报文

tcp syn-check

丢弃非SYN的TCP首报文

undo icmp-error drop

不丢弃ICMP差错报文

undo tcp syn-check

不丢弃非SYN的TCP首报文

[Interface Configuration]

接口下应用ASPF策略的配置信息

Interface

应用ASPF策略的接口

InboundPolicy

入方向的ASPF策略

OutboundPolicy

出方向的ASPF策略

 

1.2.3  display aspf interface

【命令】

display aspf interface [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display aspf interface命令用来查看接口上的ASPF策略信息。

【举例】

# 查看接口上的ASPF策略信息。

<Sysname> display aspf interface

[Interface Configuration]

   Interface                      InboundPolicy   OutboundPolicy

 ---------------------------------------------------------------

   WLAN-ESS1                      1               0

表1-4 display aspf interface命令显示信息描述表

字段

描述

InboundPolicy

入方向的ASPF策略

OutboundPolicy

出方向的ASPF策略

 

1.2.4  display aspf policy

【命令】

display aspf policy aspf-policy-number [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

aspf-policy-number:ASPF策略号,取值范围为1~99。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display aspf policy命令用来查看指定ASPF策略的信息。

【举例】

# 查看策略号为1的ASPF策略的信息。

<Sysname> display aspf policy 1

[ASPF Policy Configuration]

  Policy Number 1:

    icmp-error drop

    tcp syn-check

表1-5 display aspf policy命令显示信息描述表

字段

描述

[ASPF Policy Configuration]

ASPF策略的配置信息

Policy Number

ASPF策略号

icmp-error drop

丢弃ICMP差错报文

tcp syn-check

丢弃非SYN的TCP首报文

undo icmp-error drop

不丢弃ICMP差错报文

undo tcp syn-check

不丢弃非SYN的TCP首报文

 

1.2.5  display port-mapping

【命令】

display port-mapping [ application-name | port port-number ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

application-name:指定用于端口映射的应用的名称,其取值及含义如下:

·     ftp:表示FTP协议;

·     gtp-c:表示GTP-CGPRS Tunneling Protocol ControlGTP控制面)协议;

·     gtp-u:表示GTP-UGPRS Tunneling Protocol UserGTP用户面)协议;

·     gtp-v0:表示GTP-V0GPRS Tunneling Protocol V0)协议;

·     h323:表示H323协议;

·     http:表示HTTP协议;

·     rtsp:表示RTSP协议;

·     sccp:表示SCCP协议;

·     sip:表示SIP协议;

·     smtp:表示SMTP协议;

·     sqlnet:表示SQLNET协议;

port port-number:指定应用协议映射的端口。其中,port-number表示映射端口号,取值范围为065535

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display port-mapping命令用来查看端口映射信息。

相关配置可参考命令port-mapping

【举例】

# 查看端口映射的所有信息。

<Sysname> display port-mapping

  SERVICE    PORT       ACL        TYPE

 -------------------------------------------------

  ftp          21                  system defined

  gtp-c      2123                  system defined

  gtp-u      2152                  system defined

  gtp-v0     3386                  system defined

  h323       1720                  system defined

  http         80                  system defined

  rtsp        554                  system defined

  sccp       2000                  system defined

  sip        5060                  system defined

  smtp         25                  system defined

  sqlnet     1521                  system defined

表1-6 display port-mapping命令显示信息描述表

字段

描述

SERVICE

进行端口映射的应用层协议

PORT

应用层协议映射的端口号

ACL

指定主机范围的ACL

TYPE

端口映射类型,包括系统预定义和用户自定义两种类型

 

1.2.6  firewall aspf (interface view)

【命令】

firewall aspf aspf-policy-number { inbound | outbound }

undo firewall aspf aspf-policy-number { inbound | outbound }

【视图】

接口视图

【缺省级别】

2:系统级

【参数】

aspf-policy-number:ASPF策略号,取值范围为1~99。

inbound:对接口入方向的报文应用ASPF策略。

outbound:对接口出方向的报文应用ASPF策略。

【描述】

firewall aspf命令用来在接口上应用ASPF策略。undo firewall aspf命令用来取消接口上应用的ASPF策略。

缺省情况下,接口上没有应用ASPF策略。

【举例】

# 在接口WLAN-ESS1的出方向上配置ASPF策略1。

<Sysname> system-view

[Sysname] interface wlan-ess 1

[Sysname-WLAN-ESS1] firewall aspf 1 outbound

1.2.7  firewall aspf (user-profile view)

【命令】

firewall aspf aspf-policy-number { inbound | outbound }

undo firewall aspf aspf-policy-number { inbound | outbound }

【视图】

User Profile视图

【缺省级别】

2:系统级

【参数】

aspf-policy-number:ASPF策略号,取值范围为1~99。

inbound:过滤内部网络用户发送的数据包。

outbound:过滤外部网络用户发送的数据包。

【描述】

firewall aspf命令用来在User Profile上应用ASPF策略。undo firewall aspf命令用来取消User Profile上应用的ASPF策略。

缺省情况下,User Profile上没有应用ASPF策略。

将定义好ASPF策略应用到User Profile上,能够对认证成功且通过User Profile授权的用户所接收或发送的流量进行检测。通常情况下,防火墙要保护的认证用户位于内网侧。因此,如果要检测并过滤内部网络用户对外部网络资源的访问报文,则应该在User Profile视图下将ASPF应用到入方向上;如果要检测并过滤外部网络用户对内部网络用户的访问报文,则应该在User Profile视图下将ASPF应用到出方向上。

【举例】

# 在User Profile aaa上应用ASPF策略1,对用户收到的报文进行过滤。

<Sysname> system-view

[Sysname] user-profile aaa

[Sysname-user-profile-aaa] firewall aspf 1 outbound

1.2.8  icmp-error drop

【命令】

icmp-error drop

undo icmp-error drop

【视图】

ASPF策略视图

【缺省级别】

2:系统级

【参数】

【描述】

icmp-error drop命令用来配置ICMP差错报文丢弃功能。undo icmp-error drop命令用来恢复缺省情况。

缺省情况下,不丢弃ICMP差错报文。

相关配置可参考命令aspf-policy

【举例】

# 设置ASPF策略1丢弃ICMP差错报文。

<Sysname> system-view

[Sysname] aspf-policy 1

[Sysname-aspf-policy-1] icmp-error drop

1.2.9  port-mapping

【命令】

port-mapping application-name port port-number [ acl acl-number ]

undo port-mapping [ application-name port port-number [ acl acl-number ] ]

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

application-name:端口映射的应用名称,其取值及含义如下:

·     ftp:表示FTP协议;

·     gtp-c:表示GTP-CGPRS Tunneling Protocol ControlGTP控制面)协议;

·     gtp-u:表示GTP-UGPRS Tunneling Protocol UserGTP用户面)协议;

·     gtp-v0:表示GTP-V0GPRS Tunneling Protocol V0)协议;

·     h323:表示H323协议;

·     http:表示HTTP协议;

·     rtsp:表示RTSP协议;

·     sccp:表示SCCP协议;

·     sip:表示SIP协议;

·     smtp:表示SMTP协议;

·     sqlnet:表示SQLNET协议;

port port-number:应用层协议的端口。其中port-number表示端口号,取值范围为065535

acl acl-number:用来指定主机范围的IPv4访问控制列表。其中,acl-number表示基本访问控制列表号,取值范围为20002999

【描述】

port-mapping命令用来配置端口到应用层协议的映射。undo port-mapping命令用来删除端口映射项。

缺省情况下,没有端口到应用层协议的映射关系。

相关配置可参考命令display port-mapping

【举例】

# 建立端口3456到FTP协议的映射。

<Sysname> system-view

[Sysname] port-mapping ftp port 3456

1.2.10  tcp syn-check

【命令】

tcp syn-check

undo tcp syn-check

【视图】

ASPF策略视图

【缺省级别】

2:系统级

【参数】

【描述】

tcp syn-check命令用来配置非SYN的TCP首报文丢弃功能。undo tcp syn-check命令用来恢复缺省情况。

缺省情况下,不丢弃非SYN的TCP首报文。

相关配置可参考命令aspf-policy

【举例】

# 设置ASPF策略1丢弃非SYN的TCP首报文。

<Sysname> system-view

[Sysname] aspf-policy 1

[Sysname-aspf-policy-1] tcp syn-check

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们