- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
02-APR命令
本章节下载: 02-APR命令 (193.10 KB)
目 录
1.1.2 apr signature auto-update
1.1.3 apr signature auto-update-now
1.1.10 display apr signature information
apr set detectlen命令用来配置NBAR规则的最大检测字节数。
undo apr set detectlen命令用来恢复缺省情况。
【命令】
apr set detectlen bytes
undo apr set detectlen
【缺省情况】
未配置NBAR规则的最大检测字节数。
【视图】
NBAR规则视图
【缺省用户角色】
network-admin
【参数】
bytes:表示NBAR规则的最大检测长度,取值范围为0~4294967295,单位为字节。
【使用指导】
当设备识别出应用时,若不配置最大检测字节数,设备将继续检测后续报文是否存在应用,这将对设备的性能产生影响;若配置最大检测字节数,设备将从识别出应用的位置开始,判断当前已检测的字节长度是否超出配置的最大检测字节数,若超出,则后续不进行检测,若未超出,则继续检测后续报文。请管理员根据设备的实际情况配置此参数。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 为NBAR规则abcd配置最大检测字节数为100000。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] apr set detectlen 100000
【相关命令】
· nbar application
apr signature auto-update命令用来开启定期自动在线升级APR特征库功能,并进入自动升级配置视图。
undo apr signature auto-update命令用来关闭定期自动在线升级APR特征库功能。
【命令】
apr signature auto-update
undo apr signature auto-update
【缺省情况】
定期自动在线升级APR特征库功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
如果设备可以访问官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的APR特征库进行升级。
【举例】
# 开启定期自动在线升级APR特征库功能,并进入自动升级配置视图。
<Sysname> system-view
[Sysname] apr signature auto-update
[Sysname-apr-autoupdate]
【相关命令】
· override-current
· update schedule
apr signature auto-update-now命令用来立即自动在线升级APR特征库。
【命令】
apr signature auto-update-now
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
执行此命令后,将立即自动在线升级设备上的APR特征库,且会备份当前的APR特征库文件。此命令的生效与否,与是否开启了定期自动在线升级APR特征库功能无关。
当管理员发现官方网站上的特征库服务专区中的APR特征有更新时,可以选择立即自动在线升级方式来及时升级APR特征库版本。
【举例】
# 立即自动升级APR特征库。
<Sysname> system-view
[Sysname] apr signature auto-update-now
apr signature rollback命令用来回滚APR特征库版本。
【命令】
apr signature rollback { factory | last }
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
factory:表示把APR特征库回滚到出厂版本。
last:表示把APR特征库回滚到上一版本。
【使用指导】
设备使用当前APR特征库版本进行识别应用时,如果管理员发现设备识别应用的误报率较高或出现异常情况,则可以对当前APR特征库版本进行回滚。
APR特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本将会在当前版本和上一版本之间反复切换。例如当前APR特征库版本是V2,上一版本是V1,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。
升级APR特征库时,如果没有备份当前特征库文件,则回滚APR特征库到上一版本会失败。
【举例】
# 配置APR特征库回滚到上一版本。
<Sysname> system-view
[Sysname] apr signature rollback last
apr signature update命令用来手动离线升级APR特征库。
【命令】
apr signature update [ override-current ] file-path
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
override-current:表示覆盖当前版本的特征库文件。如果不指定本参数,则表示当前特征库在升级之后作为备份特征库保存在设备上。
file-path:指定特征库文件的路径,为1~255个字符的字符串。
【使用指导】
如果设备不能访问官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级APR特征库版本。
· 本地升级:使用本地保存的特征库文件升级系统上的APR特征库版本。
· FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的APR特征库版本。
参数file-path的取值与手动离线升级的操作方式有关。本地升级时参数file-path取值请参见表1-1;FTP/TFTP升级时参数file-path取值请参见表1-2。
表1-1 本地升级时参数file-path取值说明表
|
升级场景 |
参数file-path取值 |
说明 |
|
特征库文件的存储位置与当前工作路径一致 |
filename |
可以执行pwd命令查看当前工作路径 有关pwd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
特征库文件的存储位置与当前工作路径不一致,且在相同存储介质上 |
filename |
需要先执行cd命令将工作路径切换至特征库文件所在目录下 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
特征库文件的存储位置与当前工作路径不在相同存储介质上 |
path/ filename |
需要先执行cd命令将工作路径切换至特征库文件所在存储介质的根目录下,再指定特征库文件的相对路径 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
表1-2 FTP/TFTP升级时参数file-path取值说明表
|
升级场景 |
参数file-path取值 |
说明 |
|
特征库文件存储在开启FTP服务的远程服务器上 |
ftp://username:password@server/filename |
username为登录FTP服务器的用户名,password为登录FTP服务器的密码,server为FTP服务器的IP地址或主机名 当FTP的用户名和密码中使用了“:”、“@”和“/”三种特殊字符时,需要将这三种特殊字符替换为其对应的转义字符。“:”、“@”和“/”三种特殊字符对应的转义字符分别为“%3A或%3a”、“%40”和“%2F或%2f” |
|
特征库文件存储在开启TFTP服务的远程服务器上 |
tftp://server/filename |
server为TFTP服务器的IP地址或主机名 |
当采用FTP/TFTP方式升级特征库时,如果指定的是服务器的主机名,则需要确保设备能通过静态或动态域名解析方式获得FTP/TFTP服务器的IP地址,并与之路由可达。否则设备升级特征库会失败。有关域名解析功能的详细配置请参见“网络互通配置指导”中的“域名解析”。
【举例】
# 配置手动离线升级APR特征库,且采用TFTP方式,APR特征库文件的远程路径为tftp://192.168.0.10/apr-1.0.2-en.dat。
<Sysname> system-view
[Sysname] apr signature update tftp://192.168.0.10/apr-1.0.2-en.dat
# 配置手动离线升级APR特征库,且采用FTP方式,APR特征库文件的远程路径为ftp://192.168.0.10/apr-1.0.2-en.dat,用户名为user:123,密码为user@abc/123。
<Sysname> system-view
[Sysname] apr signature update ftp://user%3A123:user%40abc%2F123@192.168.0.10/apr-1.0.2-en.dat
# 配置手动离线升级APR特征库,且采用本地方式,APR特征库文件的本地路径为cfa0:/apr-1.0.23-en.dat,且当前工作路径为cfa0:。
<Sysname> system-view
[Sysname] apr signature update apr-1.0.23-en.dat
# 配置手动离线升级APR特征库,且采用本地方式,APR特征库文件的本地路径为cfa0:/dpi/apr-1.0.23-en.dat,且当前工作路径为cfa0:。
<Sysname> cd dpi
<Sysname> system-view
[Sysname] apr signature update apr-1.0.23-en.dat
# 配置手动离线升级APR特征库,且采用本地方式,APR特征库文件的本地路径为cfb0:/dpi/apr-1.0.23-en.dat,当前工作路径为cfa0:。
<Sysname> cd cfb0:/
<Sysname> system-view
[Sysname] apr signature update dpi/apr-1.0.23-en.dat
description命令用来配置自定义NBAR规则的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
自定义NBAR规则的描述信息为“User defined application”。
【视图】
NBAR规则视图
【缺省用户角色】
network-admin
【参数】
text:NBAR规则的描述信息,为1~127个字符的字符串,区分大小写。
【使用指导】
通过合理编写描述信息,便于管理员快速理解和识别本条NBAR规则的作用,有利于后期维护。
【举例】
# 配置自定义NBAR规则abcd的描述信息为“A user-defined application based on HTTP”。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] description "A user-defined application based on HTTP"
【相关命令】
· nbar application
destination命令用来配置自定义NBAR规则匹配的目的IP地址网段。
undo destination命令用来恢复缺省情况。
【命令】
destination { ip ipv4-address [ mask-length ] | ipv6 ipv6-address [ prefix-length ] }
undo destination
【缺省情况】
NBAR规则匹配所有目的IP地址网段。
【视图】
NBAR规则视图
【缺省用户角色】
network-admin
【参数】
ip ipv4-address:指定匹配的目的IPv4地址或网段,为点分十进制格式。
mask-length:子网掩码长度,取值范围为0~32。
ipv6 ipv6-address:指定匹配的目的IPv6地址或网段。
prefix-length:IPv6地址的前缀长度,取值范围为0~128。
【使用指导】
在同一个NBAR规则视图下多次执行本命令,最后一次执行的命令生效。
暂不支持IPv6地址,规则中配置IPv6类型的目的IP地址网段后,IPv6报文无法匹配此条件。
【举例】
# 配置NBAR规则abcd匹配的目的IP地址网段为192.168.1.0/24。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] destination ip 192.168.1.0 24
【相关命令】
· nbar application
direction命令用来配置NBAR规则的匹配方向。
undo direction命令用来恢复缺省情况。
【命令】
direction { to-client | to-server }
undo direction
【缺省情况】
NBAR规则的匹配方向是双向的。
【视图】
NBAR规则视图
【缺省用户角色】
network-admin
【参数】
to-client:表示对Server访问Client的流量进行基于NBAR规则的应用识别。
to-server:表示对Client访问Server的流量进行基于NBAR规则的应用识别。
【使用指导】
在同一个NBAR规则视图下多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置NBAR规则abcd的匹配方向为Client访问Server。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] direction to-server
【相关命令】
· nbar application
disable命令用来禁用自定义NBAR规则。
undo disable命令用来恢复缺省情况。
【命令】
disable
undo disable
【缺省情况】
自定义NBAR规则处于生效状态。
【视图】
NBAR规则视图
【缺省用户角色】
network-admin
【使用指导】
当在某些网络环境中,如果一些NBAR规则暂时不会被用到,而且又不想将其从设备上删除时,可以执行本命令来禁用这些规则。
【举例】
# 禁用自定义NBAR规则abcd。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] disable
【相关命令】
· nbar application
display apr signature information命令用来显示当前APR特征库的版本信息。
【命令】
display apr signature information
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示当前特征库版本信息
<Sysname> display apr signature information
APR signature library information:
Type SigVersion ReleaseTime Size
Current 1.0.49 Tue Sep 13 06:54:01 2016 659744
Last 1.0.52 Wed Nov 02 07:14:03 2016 702640
Factory 1.0.0 Fri Dec 31 16:00:00 1999 77040
表1-3 display apr signature information命令显示信息描述表
|
字段 |
描述 |
|
Type |
APR特征库版本,包括如下取值: · Current:当前版本 · Last:上一版本 · Factory:出厂版本 |
|
SigVersion |
APR特征库版本号 |
|
ReleaseTime |
APR特征库发布时间 |
|
Size |
APR特征库大小,单位是Bytes |
nbar application命令用来创建自定义NBAR规则,并进入NBAR规则视图。如果指定的NBAR规则已经存在,则直接进入NBAR规则视图。
undo nbar application命令用来删除指定的自定义NBAR规则。
【命令】
nbar application application-name protocol { http | tcp | udp }
undo nbar application application-name
【缺省情况】
不存在自定义NBAR规则。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
application-name:指定自定义NBAR规则的名称,为1~63个字符的字符串,不区分大小写,不允许为系统保留的“invalid”、“other”和系统预定义应用的名称。
http:表示该规则用于识别基于HTTP协议的报文。
tcp:表示该规则用于识别基于TCP协议的报文。
udp:表示该规则用于识别基于UDP协议的报文。
【使用指导】
如果APR特征库中预定义的应用规则不能满足用户需求,可以使用本命令自定义NBAR规则,以及配置该规则的属性和特征。但不能对预定义的NBAR规则进行删除和修改。
【举例】
# 创建名称为abcd的自定义NBAR规则,并指定该规则用于识别基于HTTP协议的报文。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd]
override-current命令用来配置定期自动在线升级APR特征库时覆盖当前的特征文件。
undo override-current命令用来恢复缺省情况。
【命令】
override-current
undo override-current
【缺省情况】
定期自动在线升级APR特征库时不会覆盖当前的特征库文件,而是同时备份当前的特征库文件。
【视图】
自动升级配置视图
【缺省用户角色】
network-admin
【使用指导】
可以通过开启此功能解决升级APR特征库时设备内存不足的问题。在设备剩余内存充裕的情况下,不建议配置该功能,因为APR特征库升级时,如果没有备份当前特征库文件,则不能回滚到上一版本。
【举例】
# 配置定期自动在线升级APR特征库时覆盖当前的特征文件。
<Sysname> system-view
[Sysname] apr signature auto-update
[Sysname-apr-autoupdate] override-current
【相关命令】
· apr signature auto-update
service-port命令用来配置自定义NBAR规则匹配的端口号。
undo service-port命令用来恢复缺省情况。
【命令】
service-port { port-num | range start-port end-port }
undo service-port
【缺省情况】
NBAR规则匹配所有端口号。
【视图】
NBAR规则视图
【缺省用户角色】
network-admin
【参数】
port-num:指定规则匹配的端口号,取值范围为0~65535。
range:指定规则匹配的端口号范围。
start-port:表示起始端口号,取值范围为0~65535。
end-port:表示终止端口号,取值范围为0~65535。
【使用指导】
本命令配置的端口号用来匹配报文的源端口和目的端口。首先匹配报文的目的端口,当目的端口匹配失败后,再匹配源端口,只要其中一类端口与配置的端口号匹配成功就算此报文与此条件匹配成功。
在同一个NBAR规则视图下多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置NBAR规则abcd的端口号范围为2001~2004。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] service-port range 2001 2004
【相关命令】
· direction
signature命令用来配置自定义NBAR规则的特征。
undo signature命令用来在取消自定义NBAR规则的特征。
【命令】
signature [ signature-id ] [ field field-name ] [ offset offset-value ] { hex hex-vector | regex regex-pattern | string string }
undo signature signature-id
【缺省情况】
未配置自定义NBAR规则的特征。
【视图】
NBAR规则视图
【缺省用户角色】
network-admin
【参数】
signature-id:指定NBAR规则特征的编号。取值范围为1~65535。若未指定本参数,系统将按照步长从5开始,自动分配规则中不存在的5的最小整倍数作为ID,步长为5。例如,现有规则的最大编号为28,上次自动分配的编号是5,接着手动配置一条编号为10的规则,再自动配置一条规则,此规则自动分配的编号是15。
field field-name:表示在指定的协议域中匹配特征,field-name表示协议域名称,且这些协议域是系统预定义的,不可自定义。只有基于HTTP协议的NBAR规则中的特征才能指定协议域,不指定协议域表示在整个HTTP报文中匹配特征。
offset offset-value:表示在数据起始位置的偏移指定字节后的内容中去匹配特征,offset-value表示字节偏移量,取值范围为0~65535,单位为字节。如果未指定本参数,将从数据起始位置后的所有内容中去匹配特征。如果指定了协议域,则偏移值从协议域的起始位置计算。
hex hex-vector:指定16进制向量特征。取值范围为6~254个字符的字符串,输入参数必须在两个竖杠(|)之间。
regex regex-pattern:指定正则表达式特征,为3~253个字符的字符串,支持所有可输入字符,区分大小写。
string string:指定字符串特征,为3~256个字符的字符串,支持所有可输入字符,区分大小写。
【使用指导】
对于一个自定义应用,允许配置多个特征(特征编号不同),特征可以是字符串、16进制向量或者正则表达式,不同特征之间是逻辑或的关系。
特征编号相同时,多次执行本命令,最后一次执行的命令生效。
正则表达式有如下限制:
· 正则表达式中,总的分支不能超过四个。例如'abc(c|d|e|\x3D)'有效,'abc(c|onreset|onselect|onchange|style\x3D)'无效。
· 正则表达式中,括号不能嵌套,即括号中不能有括号。例如'ab((abcs*?))'无效。
· 正则表达式中,分支不支持串联,即分支后面不能有分支。例如'ab(a|b)(c|d)^\\r\\n]+?'无效。
· 正则表达式中,零次重复量词'*'和'?'前面必须有四个确定字符。例如'abc*'无效,'abcd*DoS\x2d\d{5}\x20\x2bxi\\r\\nJOIN'有效。
【举例】
# 为NBAR规则abcd配置字符串特征为abcdefg。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] signature 1 string abcdefg
# 为NBAR规则ddd配置16进制向量特征为123456。
<Sysname> system-view
[Sysname] nbar application ddd protocol http
[Sysname-nbar-application-ddd] signature 2 hex |123456|
【相关命令】
· nbar application
source命令用来配置自定义NBAR规则匹配的源IP地址网段。
undo source命令用来恢复缺省情况。
【命令】
source { ip ipv4-address [ mask-length ] | ipv6 ipv6-address [ prefix-length ] }
undo source
【缺省情况】
NBAR规则匹配所有源IP地址网段。
【视图】
NBAR规则视图
【缺省用户角色】
network-admin
【参数】
ip ipv4-address:指定匹配的源IPv4地址或网段,为点分十进制格式。
mask-length:子网掩码长度,取值范围为0~32。
ipv6 ipv6-address:指定匹配的源IPv6地址或网段。
prefix-length:IPv6地址的前缀长度,取值范围为0~128。
【使用指导】
在同一个NBAR规则视图下多次执行本命令,最后一次执行的命令生效。
暂不支持IPv6地址,规则中配置IPv6类型的源IP地址网段后,IPv6报文无法匹配此条件。
【举例】
# 配置应用abcd的源网段。
<Sysname> system-view
[Sysname] nbar application abcd protocol http
[Sysname-nbar-application-abcd] source ip 192.168.2.0 24
【相关命令】
· nbar application
update schedule命令用来配置定期自动升级APR特征库的时间。
undo update schedule命令用来恢复缺省情况。
【命令】
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
undo update schedule
【缺省情况】
设备会在每天02:01:00至04:01:00之间自动升级APR特征库。
【视图】
自动升级配置视图
【缺省用户角色】
network-admin
【参数】
daily:表示自动升级周期为每天。
weekly:表示以一周为周期,在指定一天进行自动升级。
fri:表示星期五。
mon:表示星期一。
sat:表示星期六。
sun:表示星期日。
thu:表示星期四。
tue:表示星期二。
wed:表示星期三。
start-time time:指定自动升级开始时间,time的格式为hh:mm:ss,取值范围为00:00~23:59:59。
tingle minutes:指定抖动时间,即实际自动升级开始时间的偏差范围,取值范围为0~120,单位为分钟。在start-time指定时间的前后各偏移抖动时间的一半作为自动升级的时间范围,例如,指定自动升级的开始时间为01:00:00,抖动时间为60分钟,则自动升级的时间范围为00:30:00至01:30:00。
【举例】
# 配置定期自动升级APR特征库的时间为每周一的23:10:00,抖动时间为10分钟。
<Sysname> system-view
[Sysname] apr signature auto-update
[Sysname-apr-autoupdate] update schedule weekly mon start-time 23:10:00 tingle 10
【相关命令】
· apr signature auto-update
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
