08-APR配置
本章节下载: 08-APR配置 (108.88 KB)
APR(Application Recognition)即应用层协议识别。一些基于应用的业务在进行报文处理时需要知道报文所属的应用层协议,APR可以为这样的业务提供应用识别服务。APR支持以下应用识别方式:PBAR(Port Based Application Recognition,基于端口的应用层协议识别)和NBAR(Network Based Application Recognition,基于内容特征的应用层协议识别)。目前,仅支持PBAR。
PBAR根据端口与应用的映射关系识别出报文所属的应用层协议,并支持以下类型的映射关系:
· 预定义的端口与应用的映射关系:由系统预先定义。
· 自定义的端口与应用的映射关系:由管理员进行创建。
根据与应用层协议进行映射的对象范围的不同,PBAR提供以下映射机制来维护和使用自定义的端口与应用映射关系:
· 通用端口映射:对于所有报文,建立自定义端口号和应用层协议建立映射关系。例如:将2121端口映射为FTP协议,这样所有目的端口是2121的报文将被识别为FTP报文。
· 主机端口映射:对去往某些特定范围内主机的报文建立自定义端口号和应用层协议的映射。例如:将目的地址为10.110.0.0/16网段的、使用2121端口的报文映射为FTP报文。主机范围可以通过配置ACL或者指定主机地址、网段来确定。
主机端口映射还可以细分为如下类型:
¡ 基于ACL的主机端口映射:对于匹配指定ACL的报文,建立端口号与应用层协议的映射关系;
¡ 基于网段的主机端口映射:对于目的地址为指定网段的报文,建立端口号与应用层协议的映射关系;
¡ 基于IP地址的主机端口映射:对于目的地址为指定IP地址的报文,建立端口号与应用层协议的映射关系。
以上端口映射配置对于同一个报文的生效优先级从高到低依次为:基于IP地址、基于网段、基于ACL、通用。而对于其中的每一类,指定传输层协议名称的配置优先级高于不指定传输层协议名称的配置。
(1) 进入系统视图。
system-view
(2) 配置端口映射。请至少选择其中一项进行配置。
¡ 配置通用端口映射。
port-mapping application application-name port port-number [ protocol protocol-name ]
¡ 配置基于ACL的主机端口映射。
port-mapping application application-name port port-number [ protocol protocol-name ] acl [ ipv6 ] acl-number
¡ 配置基于网段的主机端口映射。
port-mapping application application-name port port-number [ protocol protocol-name ] subnet { ip ipv4-address { mask-length | mask } | ipv6 ipv6-address prefix-length } [ vpn-instance vpn-instance-name ]
¡ 配置基于IP地址的主机端口映射。
port-mapping application application-name port port-number [ protocol protocol-name ] host { ip | ipv6 } start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ]
缺省情况下,各应用层协议与其对应的知名端口号映射。
配置映射关系时,如果指定的应用不存在就会创建这个应用。
在完成上述配置后,在任意视图下执行display命令可以显示配置后APR的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除APR的统计信息。
表1-1 APR显示和维护
操作 |
命令 |
显示预定义的端口映射信息 |
display port-mapping pre-defined |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!