- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
07-ASPF命令
本章节下载: 07-ASPF命令 (158.51 KB)
对于本节命令中的CPU参数,仅T9006/T9010/T9014产品支持。
aspf apply policy命令用来在安全域间实例上应用ASPF策略。
undo aspf apply policy命令用来取消应用在安全域间实例上的指定ASPF策略。
【命令】
aspf apply policy aspf-policy-number
undo aspf apply policy aspf-policy-number
【缺省情况】
安全域间实例上应用了一个缺省的ASPF策略。
【视图】
安全域间实例视图
【支持的缺省用户角色】
network-admin
context-admin
【参数】
aspf-policy-number:ASPF策略号,取值范围为1~256。
【使用指导】
创建安全域间实例时,系统默认为该实例应用一个缺省的ASPF策略。该策略支持对所有传输层协议和FTP协议报文进行ASPF检测,但是ICMP差错报文检查功能和非SYN的TCP首报文丢弃功能处于关闭状态,并且默认的策略不可改变,如果需要调整ASPF策略,需要自定义一个ASPF策略,并在安全域间实例上引用。
【举例】
# 在安全域间实例上应用ASPF策略。
<Sysname> system-view
[Sysname] security-zone name trust
[Sysname-security-zone-Trust] import interface gigabitethernet 1/0/1
[Sysname-security-zone-Trust] quit
[Sysname] security-zone name untrust
[Sysname-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Sysname-security-zone-Untrust] quit
[Sysname] zone-pair security source trust destination untrust
[Sysname-zone-pair-security-Trust-Untrust] aspf apply policy 1
【相关命令】
· aspf policy
· display aspf all
· zone-pair security(基础命令参考/安全域)
aspf icmp-error reply命令用来开启设备在域间策略丢包时,发送ICMP差错报文功能。
undo aspf icmp-error reply命令用来恢复缺省情况。
【命令】
aspf icmp-error reply
undo aspf icmp-error reply
【缺省情况】
在域间策略丢包时,设备不发送ICMP差错报文。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
缺省情况下,设备在安全域间实例下配置安全域间策略,丢弃不符合策略的报文,但不发送ICMP差错报文,这样可以减少网络上的无用报文,节约带宽。
使用traceroute功能时用到ICMP差错报文,需要开启发送ICMP差错报文的功能。
【举例】
# 开启设备在域间策略丢包时,发送ICMP差错报文功能。
<Sysname> system-view
[Sysname] aspf icmp-error reply
aspf policy命令用来创建ASPF策略,并进入ASPF策略视图。如果指定的ASPF策略已经存在,则直接进入ASPF策略视图。
undo aspf policy命令用来删除指定的ASPF策略。
【命令】
aspf policy aspf-policy-number
undo aspf policy aspf-policy-number
【缺省情况】
不存在ASPF策略。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
aspf-policy-number:ASPF策略号,取值范围为1~256。
【举例】
# 创建ASPF策略1,并进入该ASPF策略视图。
<Sysname> system-view
[Sysname] aspf policy 1
[Sysname-aspf-policy-1]
【相关命令】
· display aspf all
· display aspf policy
detect命令用来为应用层协议配置ASPF检测。
undo detect命令用来恢复缺省情况。
【命令】
detect { { dns | ftp | h323 | http | sccp | sip | smtp } [ action drop ] | gtp | ils | mgcp | nbt | pptp | rsh | rtsp | sqlnet | tftp | xdmcp }
undo detect { dns | ftp | gtp | h323 | http | ils | mgcp | nbt | pptp | rsh | rtsp | sccp | sip | smtp | sqlnet | tftp | xdmcp }
【缺省情况】
仅对传输层协议进行检测,不对应用层协议进行ASPF检测。
【视图】
ASPF策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
dns:表示DNS协议,属于应用层协议;
ftp:表示FTP协议,属于应用层协议;
gtp:表示GTP(GPRS Tunneling Protocol,GPRS隧道协议)协议,属于应用层协议;
h323:表示H.323协议族,属于应用层协议;
http:表示HTTP协议,属于应用层协议;
ils:表示ILS(Internet Locator Service,互联网定位服务)协议,属于应用层协议;
mgcp:表示MGCP(Media Gateway Control Protocol,媒体网关控制协议)协议,属于应用层协议;
nbt:表示NBT(NetBIOS over TCP/IP,基于TCP/IP的网络基本输入输出系统)协议,属于应用层协议;
pptp:表示PPTP(Point-to-Point Tunneling Protocol,点到点隧道协议)协议,属于应用层协议;
rsh:表示RSH(Remote Shell,远程外壳)协议,属于应用层协议;
rtsp:表示RTSP(Real Time Streaming Protocol,实时流协议)协议,属于应用层协议;
sccp:表示SCCP(Skinny Client Control Protocol,瘦小客户端控制协议)协议,属于应用层协议;
sip:表示SIP(Session Iniation Protocol,会话初始化协议)协议,属于应用层协议;
smtp:表示SMTP协议,属于应用层协议;
sqlnet:表示SQLNET协议,属于应用层协议;
tftp:表示TFTP协议,属于应用层协议;
xdmcp:表示XDMCP(X Display Manager Control Protocol,X显示监控)协议,属于应用层协议;
action:设置对检测到的非法报文的处理行为。若不指定该参数,则表示放行报文。
drop:表示丢弃报文。
【使用指导】
若配置了此命令,则对报文的应用层协议进行ASPF检查;若没有配置此命令,则仅对报文的传输层协议进行ASPF检查。
在多通道应用层协议的应用需求中,必须配置此命令,否则会导致数据连接无法建立。此命令支持的应用层协议中除HTTP、SMTP和TFTP之外的所有应用层协议均为多通道应用层协议。
可通过多次执行本命令配置多种协议类型的ASPF检测。
ASPF策略默认已经开启对传输层协议的检测,无需进行配置,也不能修改。检测的传输层协议包括:TCP协议、UDP协议、UDP-Lite协议、SCTP协议、Raw IP协议、ICMP协议、ICMPv6协议和DCCP协议。
ASPF策略可以根据需要配置应用层协议的检测。目前,设备对部分应用层协议(DNS、FTP、H323、HTTP、SCCP、SIP、SMTP),即支持action参数的应用层协议还支持进行协议状态合法性检查,对不符合协议状态的报文进行丢弃处理。对于其它应用层协议,仅进行连接状态信息的维护,不做协议状态合法性检查。
【举例】
# 配置对FTP协议报文进行ASPF检测。
<Sysname> system-view
[Sysname] aspf policy 1
[Sysname-aspf-policy-1] detect ftp
【相关命令】
· display aspf policy
display aspf all命令用来查看ASPF策略配置信息及应用ASPF策略的信息。
【命令】
display aspf all
【视图】
任意视图
【缺省用户角色】
network-admin
netword-operator
context-admin
context-operator
【举例】
# 查看所有的ASPF策略配置信息。
<Sysname> display aspf all
ASPF policy configuration:
Policy default:
ICMP error message check: Disabled
TCP SYN packet check: Disabled
Inspected protocol Action
FTP None
Policy number: 1
ICMP error message check: Disabled
TCP SYN packet check: Disabled
Inspected protocol Action
FTP None
Zone-pair security application:
Source Trust destination Trust
Apply ASPF policy: default
表1-1 display aspf all命令显示信息描述表
|
字段 |
描述 |
|
ASPF policy configuration |
ASPF策略的配置信息 |
|
Policy default |
缺省ASPF策略 |
|
Policy number |
ASPF策略号 |
|
ICMP error message check |
ICMP差错报文检测功能的开启状态 |
|
TCP SYN packet check |
非SYN的TCP首报文丢弃功能的开启状态 |
|
Inspected protocol |
需要检测的应用层协议 |
|
Action |
对检测到的非法协议报文的处理行为 · Drop:丢弃 · None:不做处理,放行 “-”表示该协议不支持此配置项 |
|
Zone-pair security application |
安全域间实例下应用ASPF策略的配置信息 |
|
Source Trust destination Trust |
安全域间实例信息 |
|
Apply ASPF policy |
安全域间实例应用的ASPF策略编号 |
【相关命令】
· aspf apply policy
· aspf policy
· display aspf policy
display aspf policy命令用来查看ASPF策略的配置信息。
【命令】
display aspf policy { aspf-policy-number | default }
【视图】
任意视图
【缺省用户角色】
network-admin
netword-operator
context-admin
context-operator
【参数】
aspf-policy-number:ASPF策略号,取值范围为1~256。
default:缺省ASPF策略。
【举例】
# 查看策略号为1的ASPF策略的配置信息。
<Sysname> display aspf policy 1
ASPF policy configuration:
Policy number: 1
ICMP error message check: Disabled
TCP SYN packet check: Enabled
Inspected protocol Action
FTP Drop
HTTP None
RSH -
表1-2 display aspf policy命令显示信息描述表
|
字段 |
描述 |
|
ASPF policy configuration |
ASPF策略的配置信息 |
|
Policy number |
ASPF策略号 |
|
ICMP error message check |
ICMP差错报文检测功能的开启状态 |
|
TCP SYN packet check |
非SYN的TCP首报文丢弃功能的开启状态 |
|
Inspected protocol |
需要检测的应用层协议 |
|
Action |
对检测到的非法报文的处理行为 · Drop:丢弃 · Log:生成日志信息 · None:不做处理,放行 “-”表示该协议不支持此配置项 |
【相关命令】
· aspf policy
display aspf session命令用来查看ASPF的会话表信息。
【命令】
分布式设备-独立运行模式/集中式IRF设备:
display aspf session [ ipv4 | ipv6 ] [ slot slot-number [ cpu cpu-number ] ] [ verbose ]
分布式设备-IRF模式:
display aspf session [ ipv4 | ipv6 ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
netword-operator
context-admin
context-operator
【参数】
ipv4:查看ASPF创建的IPv4会话表。
ipv6:查看ASPF创建的IPv6会话表。
slot slot-number:显示指定单板上的ASPF会话表,slot-number表示单板所在槽位号。不指定该参数时,显示所有单板上的ASPF会话表。(分布式设备-独立运行模式)
slot slot-number:显示指定成员设备上的ASPF会话表,slot-number表示设备在IRF中的成员编号。不指定该参数时,显示所有成员设备上的ASPF会话表。(集中式IRF设备)
chassis chassis-number slot slot-number:显示指定成员设备的指定单板上的ASPF会话表,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。不指定该参数时,显示所有成员设备的所有单板上的ASPF会话表。(分布式IRF设备-IRF模式)
cpu cpu-number:显示指定CPU上的ASPF会话表,cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
verbose:查看ASPF会话表的详细信息。若不指定该参数,则表示查看ASPF会话表的概要信息。
【使用指导】
不指定ipv4和ipv6参数时,表示查看所有的ASPF会话表信息。
【举例】
# 显示ASPF创建的IPv4会话表的概要信息。(分布式设备-独立运行模式/集中式IRF设备)
<Sysname> display aspf session ipv4
Slot 1:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: SrcZone
Initiator:
Source IP/port: 192.168.1.18/1792
Destination IP/port: 192.168.1.55/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/1
Source security zone: SrcZone
Total sessions found: 2
# 显示ASPF创建的IPv4会话表的概要信息。(分布式设备-IRF模式)
<Sysname> display aspf session ipv4
Slot 1 in chassis 1:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: SrcZone
Initiator:
Source IP/port: 192.168.1.18/1792
Destination IP/port: 192.168.1.55/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/1
Source security zone: SrcZone
Total sessions found: 2
# 显示IPv4 ASPF会话的详细信息。(分布式设备-独立运行模式/集中式IRF设备)
<Sysname> display aspf session ipv4 verbose
Slot 1:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: SrcZone
Responder:
Source IP/port: 192.168.1.55/22
Destination IP/port: 192.168.1.18/1877
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: DestZone
State: TCP_SYN_SENT
Application: SSH
Start time: 2011-07-29 19:12:36 TTL: 28s
Initiator->Responder: 1 packets 48 bytes
Responder->Initiator: 0 packets 0 bytes
Initiator:
Source IP/port: 192.168.1.18/1792
Destination IP/port: 192.168.1.55/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/1
Source security zone: SrcZone
Responder:
Source IP/port: 192.168.1.55/1792
Destination IP/port: 192.168.1.18/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/2
Source security zone: DestZone
State: ICMP_REQUEST
Application: OTHER
Start time: 2011-07-29 19:12:33 TTL: 55s
Initiator->Responder: 1 packets 6048 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 2
# 显示IPv4 ASPF会话的详细信息。(分布式设备-IRF模式)
<Sysname> display aspf session ipv4 verbose
Slot 1 in chassis 1:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: SrcZone
Responder:
Source IP/port: 192.168.1.55/22
Destination IP/port: 192.168.1.18/1877
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: DestZone
State: TCP_SYN_SENT
Application: SSH
Start time: 2011-07-29 19:12:36 TTL: 28s
Initiator->Responder: 1 packets 48 bytes
Responder->Initiator: 0 packets 0 bytes
Initiator:
Source IP/port: 192.168.1.18/1792
Destination IP/port: 192.168.1.55/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/1
Source security zone: SrcZone
Responder:
Source IP/port: 192.168.1.55/1792
Destination IP/port: 192.168.1.18/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/2
Source security zone: DestZone
State: ICMP_REQUEST
Application: OTHER
Start time: 2011-07-29 19:12:33 TTL: 55s
Initiator->Responder: 1 packets 6048 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 2
表1-3 display aspf session命令显示信息描述表
|
字段 |
描述 |
|
Initiator |
发起方到响应方的连接对应的会话信息 |
|
Responder |
响应方到发起方的连接对应的会话信息 |
|
Source IP/port |
源IP地址/端口号 |
|
Destination IP/port |
目的IP地址/端口号 |
|
DS-Lite tunnel peer |
DS-Lite隧道对端地址。会话不属于任何DS-Lite隧道时,本字段显示为“-” |
|
VPN-instance/VLAN ID/Inline ID |
会话所属的MPLS L3VPN/二层转发时会话所属的VLAN ID/二层转发时会话所属的INLINE。未指定的参数则显示为“-” |
|
Protocol |
传输层协议类型,取值包括:DCCP、ICMP、ICMPv6、Raw IP 、SCTP、TCP、UDP、UDP-Lite 括号中的数字表示协议号 |
|
Inbound interface |
报文的入接口 |
|
Source security zone |
源安全域,即入接口所属的安全域。若接口不属于任何安全域,则显示为“-” |
|
State |
会话的协议状态 |
|
Application |
应用层协议类型,取值包括:FTP、DNS等,OTHER表示未知协议类型,其对应的端口为非知名端口 |
|
Start time |
会话的创建时间 |
|
TTL |
会话剩余存活时间,单位为秒 |
|
Initiator->Responder |
发起方到响应方的报文数、报文字节数 |
|
Responder->Initiator |
响应方到发起方的报文数、报文字节数 |
|
Total sessions found |
当前查找到的会话总数 |
【相关命令】
· reset aspf session
icmp-error drop命令用来开启ICMP差错报文检测功能。
undo icmp-error drop命令用来关闭ICMP差错报文检测功能。
【命令】
icmp-error drop
undo icmp-error drop
【缺省情况】
ICMP差错报文检测功能处于关闭状态。
【视图】
ASPF策略视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
正常ICMP差错报文中均携带有本报文对应连接的相关信息,根据这些信息可以匹配到相应的连接。如果匹配失败,则根据当前配置决定是否丢弃该ICMP报文。
【举例】
# 设置ASPF策略1丢弃非法的ICMP差错报文。
<Sysname> system-view
[Sysname] aspf policy 1
[Sysname-aspf-policy-1] icmp-error drop
· aspf policy
· display aspf policy
reset aspf session命令用来删除ASPF的会话表项。
【命令】
分布式设备-独立运行模式/集中式IRF设备:
reset aspf session [ ipv4 | ipv6 ] [ slot slot-number [ cpu cpu-number ] ]
分布式设备-IRF模式:
reset aspf session [ ipv4 | ipv6 ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4:删除ASPF创建的IPv4会话表项。
ipv6:删除ASPF创建的IPv6会话表项。
slot slot-number:删除指定单板上的所有ASPF创建的会话表项,slot-number表示单板所在槽位号。不指定该参数时,删除所有单板上的所有ASPF创建的会话表项。(分布式设备-独立运行模式)
slot slot-number:删除指定成员设备上的所有ASPF创建的会话表项,slot-number表示设备在IRF中的成员编号。不指定该参数时,删除所有成员设备上的所有ASPF创建的会话表项。(集中式IRF设备)
chassis chassis-number slot slot-number:删除指定成员设备的指定单板上的所有ASPF创建的会话表项,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。不指定该参数时,删除所有成员设备的所有单板上的所有ASPF创建的会话表项。(分布式设备-IRF模式)
cpu cpu-number:删除指定CPU上的所有ASPF创建的会话表项,cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
如果不指定ipv4和ipv6参数,则表示删除ASPF创建的所有会话表项。
【举例】
# 清除ASPF创建的所有会话表项。
<Sysname> reset aspf session
· display aspf session
tcp syn-check命令用来开启非SYN的TCP首报文丢弃功能。
undo tcp syn-check命令用来关闭非SYN的TCP首报文丢弃功能。
【命令】
tcp syn-check
undo tcp syn-check
【缺省情况】
非SYN的TCP首报文丢弃功能处于关闭状态。
【视图】
ASPF策略视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
ASPF对TCP连接的首报文进行检测,查看是否为SYN报文,如果不是SYN报文则根据当前配置决定是否丢弃该报文。
【举例】
# 设置ASPF策略1丢弃非SYN的TCP首报文。
<Sysname> system-view
[Sysname] aspf policy 1
[Sysname-aspf-policy-1] tcp syn-check
【相关命令】
· aspf policy
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
