报文端口映射
端口映射 时间:2021-04-03 阅读:()
i目录1APR配置·1-11.
1APR简介·1-11.
1.
1PBAR·1-11.
1.
2应用组·1-11.
2配置PBAR1-21.
3配置应用组1-21.
4配置接口的应用统计功能1-31.
5APR显示和维护·1-31.
6APR典型配置举例1-41.
6.
1APR典型配置举例·1-41-11APR配置MSR810/810-W/810-W-DB/810-LM/810-W-LM/2630/3610/3620/3640/3660/3600-28/3600-51路由器使用集中式命令行,MSR5660/5680路由器使用分布式命令行.
1.
1APR简介APR(ApplicationRecognition)即应用层协议识别.
一些基于应用的业务(例如QoS,ASPF)在进行报文处理时需要知道报文所属的应用层协议,APR可以为这样的业务提供应用识别服务,并能够对接口上接收或者发送的某个应用层协议的报文进行数目和速率统计.
APR为了更好地识别报文所属的应用层协议,提供了两种应用识别方法:基于端口的应用识别和基于内容特征的应用识别.
PBAR(PortBasedApplicationRecognition,基于端口的应用层协议识别):根据定义的应用层协议端口与应用的映射关系识别报文所属的应用层协议.
基于内容特征的应用层协议识别:提取应用报文区别于其它应用报文的特征,通过将报文的内容与特征库中的特征项进行匹配来识别报文所属的应用层协议.
这种识别方式目前还不支持.
下文中的应用均指设备可以通过APR识别出的应用层协议.
应用分为预定义应用和自定义应用两种:预定义应用由系统缺省创建;自定义应用由用户通过配置创建.
1.
1.
1PBARPBAR(PortBasedApplicationRecognition,基于端口的应用层协议识别)根据预定义的、自定义的端口与应用的映射关系识别出应用层协议.
预定义的端口与应用的映射关系由系统预先定义,自定义的端口与应用的映射关系由用户配置进行创建.
PBAR提供了以下两种映射机制来维护和使用自定义的端口与应用映射关系:通用端口映射:对用户自定义端口号和应用层协议建立映射关系.
例如:将2121端口映射为FTP协议,这样所有目的端口是2121的报文将被识别为FTP报文.
主机端口映射:对去往某些特定范围内主机的报文建立自定义端口号和应用层协议的映射.
例如:将目的地址为10.
110.
0.
0/16网段的、使用2121端口的报文映射为FTP报文.
主机范围可以通过配置ACL或者指定主机地址、网段来确定.
1.
1.
2应用组可以将具有相似特征的应用添加到一个应用组中.
一个应用组,就是若干个应用的集合.
如果报文被识别为属于某个应用,而该应用又属于某个应用组,则报文相当于被识别为属于某个应用组.
基于应用的业务可以对属于同一个应用组的报文做统一处理.
应用组分为预定义和自定义两种:预定义应用组由系统预先定义并包含了指定的预定义应用;自定义应用组由用户通过配置创建.
一个自定义应用组中可以包含多个预定义应用和自定义应用.
1-21.
2配置PBAR根据与应用层协议进行映射的对象范围的不同,可以将端口映射的配置分为以下四类:通用端口映射:对于所有报文,建立端口号与应用层协议的映射关系;基于ACL的主机端口映射:对于匹配指定ACL的报文,建立端口号与应用层协议的映射关系;基于网段的主机端口映射:对于目的地址为指定网段的报文,建立端口号与应用层协议的映射关系;基于IP地址的主机端口映射:对于目的地址为指定IP地址的报文,建立端口号与应用层协议的映射关系.
以上四类端口映射配置对于同一个报文的生效优先级从高到低依次为:基于IP地址、基于网段、基于ACL、通用.
而对于其中的每一类,指定传输层协议名称的配置优先级高于不指定传输层协议名称的配置.
表1-1配置PBAR操作命令说明进入系统视图system-view-配置通用端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]至少选其一缺省情况下,各应用层协议与其对应的知名端口号映射配置映射关系时,如果指定的应用不存在就会创建这个应用配置基于ACL的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]acl[ipv6]acl-number配置基于网段的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]subnet{ipipv4-address{mask-length|mask}|ipv6ipv6-addressprefix-length}[vpn-instancevpn-instance-name]配置基于IP地址的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]host{ip|ipv6}start-ip-address[end-ip-address][vpn-instancevpn-instance-name]1.
3配置应用组可以将具有相似特征的应用添加到一个应用组中或将一个应用组中的应用拷贝到另一个组中.
设备最多可支持配置65536个应用组,每个应用组里最多可以包含65536个自定义应用.
表1-2配置APR应用组操作命令说明进入系统视图system-view-创建应用组,并进入应用组视图app-groupgroup-name缺省情况下,系统中存在若干预定义应用组,可通过displayapp-grouppre-defined命令查看预定义的应用组不允许修改和删除1-3操作命令说明(可选)为自定义的应用组设置描述信息descriptiongroup-description缺省情况下,自定义应用组的描述信息为"User-definedapplicationgroup"在应用组中添加应用includeapplicationapplication-name缺省情况下,自定义应用组中不包含任何应用可以通过多次执行本命令添加多个应用添加应用时,如果对应的应用不存在就会创建这个应用在应用组中拷贝另一个应用组中的所有应用copyapp-groupgroup-name可以通过多次执行本命令拷贝多个应用组里的应用1.
4配置接口的应用统计功能接口的应用统计功能会消耗大量系统内存.
当系统出现内存告警时,请关闭接口的应用统计功能.
在接口上开启应用统计功能之后,设备能够对接口上收到或者发送的报文的数目、速率按照应用层协议分别进行统计,生成的统计信息可以通过displayapplicationstatistics命令查看.
表1-3配置接口的应用统计功能操作命令说明进入系统视图system-view-进入三层接口视图interfaceinterface-typeinterface-number-开启接口的应用统计功能applicationstatisticsenable[inbound|outbound]缺省情况下,接口的应用统计功能处于关闭状态可以同时开启接口两个方向上的应用统计功能1.
5APR显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后APR的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除APR的统计信息.
表1-4APR显示和维护操作命令显示应用信息displayapplication[nameapplication-name|pre-defined|user-defined]显示应用组信息displayapp-group[namegroup-name|pre-defined|user-defined]1-4操作命令显示接口上的应用统计信息(集中式设备)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number|nameapplication-name]*显示接口上的应用统计信息(分布式设备-独立运行模式/集中式IRF设备)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number[slotslot-number]|nameapplication-name]*显示接口上的应用统计信息(分布式设备-IRF模式)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number[chassischassis-numberslotslot-number]|nameapplication-name]*按指定类型的统计排名显示接口应用统计信息(集中式设备)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number按指定类型的统计排名显示接口应用统计信息(分布式设备-独立运行模式/集中式IRF设备)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number[slotslot-number]按指定类型的统计排名显示接口应用统计信息(分布式设备-IRF模式)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number[chassischassis-numberslotslot-number]显示预定义的端口映射信息displayport-mappingpre-defined显示自定义的端口映射信息displayport-mappinguser-defined[applicationapplication-name|portport-number]清除指定接口或所有接口的应用统计信息resetapplicationstatistics[interfaceinterface-typeinterface-number]1.
6APR典型配置举例1.
6.
1APR典型配置举例1.
组网需求主机通过Router与外网相连,通过配置Router实现丢弃主机向外部网络发送的目的端口为8080的HTTP连接报文.
2.
组网图图1-1APR典型配置组网图3.
配置步骤#创建应用组group1,并进入应用组视图.
system-view[Router]app-groupgroup11-5#添加HTTP应用.
[Router-app-group-group1]includeapplicationhttp[Router-app-group-group1]quit#配置HTTP应用层协议与TCP协议、端口8080之间的映射.
[Router]port-mappingapplicationhttpport8080protocoltcp#定义类classifier_1,匹配应用组group1.
[Router]trafficclassifierclassifier_1[Router-classifier-classifier_1]if-matchapp-groupgroup1[Router-classifier-classifier_1]quit#定义流行为bdeny,动作为流量过滤(deny),对数据包进行丢弃.
[Router]trafficbehaviorbdeny[Router-behavior-bdeny]filterdeny[Router-behavior-bdeny]quit#定义策略1,为类classifier_1指定流行为bdeny.
[Router]qospolicy1[Router-qospolicy-1]classifierclassifier_1behaviorbdeny[Router-qospolicy-1]quit#在GigabitEthernet2/0/1入方向上应用QoS策略.
[Router]interfacegigabitethernet2/0/1[Router-GigabitEthernet2/0/1]qosapplypolicy1inbound[Router-GigabitEthernet2/0/1]quit4.
验证配置以上配置完成后,主机将不能与外部网络建立HTTP连接.
1APR简介·1-11.
1.
1PBAR·1-11.
1.
2应用组·1-11.
2配置PBAR1-21.
3配置应用组1-21.
4配置接口的应用统计功能1-31.
5APR显示和维护·1-31.
6APR典型配置举例1-41.
6.
1APR典型配置举例·1-41-11APR配置MSR810/810-W/810-W-DB/810-LM/810-W-LM/2630/3610/3620/3640/3660/3600-28/3600-51路由器使用集中式命令行,MSR5660/5680路由器使用分布式命令行.
1.
1APR简介APR(ApplicationRecognition)即应用层协议识别.
一些基于应用的业务(例如QoS,ASPF)在进行报文处理时需要知道报文所属的应用层协议,APR可以为这样的业务提供应用识别服务,并能够对接口上接收或者发送的某个应用层协议的报文进行数目和速率统计.
APR为了更好地识别报文所属的应用层协议,提供了两种应用识别方法:基于端口的应用识别和基于内容特征的应用识别.
PBAR(PortBasedApplicationRecognition,基于端口的应用层协议识别):根据定义的应用层协议端口与应用的映射关系识别报文所属的应用层协议.
基于内容特征的应用层协议识别:提取应用报文区别于其它应用报文的特征,通过将报文的内容与特征库中的特征项进行匹配来识别报文所属的应用层协议.
这种识别方式目前还不支持.
下文中的应用均指设备可以通过APR识别出的应用层协议.
应用分为预定义应用和自定义应用两种:预定义应用由系统缺省创建;自定义应用由用户通过配置创建.
1.
1.
1PBARPBAR(PortBasedApplicationRecognition,基于端口的应用层协议识别)根据预定义的、自定义的端口与应用的映射关系识别出应用层协议.
预定义的端口与应用的映射关系由系统预先定义,自定义的端口与应用的映射关系由用户配置进行创建.
PBAR提供了以下两种映射机制来维护和使用自定义的端口与应用映射关系:通用端口映射:对用户自定义端口号和应用层协议建立映射关系.
例如:将2121端口映射为FTP协议,这样所有目的端口是2121的报文将被识别为FTP报文.
主机端口映射:对去往某些特定范围内主机的报文建立自定义端口号和应用层协议的映射.
例如:将目的地址为10.
110.
0.
0/16网段的、使用2121端口的报文映射为FTP报文.
主机范围可以通过配置ACL或者指定主机地址、网段来确定.
1.
1.
2应用组可以将具有相似特征的应用添加到一个应用组中.
一个应用组,就是若干个应用的集合.
如果报文被识别为属于某个应用,而该应用又属于某个应用组,则报文相当于被识别为属于某个应用组.
基于应用的业务可以对属于同一个应用组的报文做统一处理.
应用组分为预定义和自定义两种:预定义应用组由系统预先定义并包含了指定的预定义应用;自定义应用组由用户通过配置创建.
一个自定义应用组中可以包含多个预定义应用和自定义应用.
1-21.
2配置PBAR根据与应用层协议进行映射的对象范围的不同,可以将端口映射的配置分为以下四类:通用端口映射:对于所有报文,建立端口号与应用层协议的映射关系;基于ACL的主机端口映射:对于匹配指定ACL的报文,建立端口号与应用层协议的映射关系;基于网段的主机端口映射:对于目的地址为指定网段的报文,建立端口号与应用层协议的映射关系;基于IP地址的主机端口映射:对于目的地址为指定IP地址的报文,建立端口号与应用层协议的映射关系.
以上四类端口映射配置对于同一个报文的生效优先级从高到低依次为:基于IP地址、基于网段、基于ACL、通用.
而对于其中的每一类,指定传输层协议名称的配置优先级高于不指定传输层协议名称的配置.
表1-1配置PBAR操作命令说明进入系统视图system-view-配置通用端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]至少选其一缺省情况下,各应用层协议与其对应的知名端口号映射配置映射关系时,如果指定的应用不存在就会创建这个应用配置基于ACL的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]acl[ipv6]acl-number配置基于网段的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]subnet{ipipv4-address{mask-length|mask}|ipv6ipv6-addressprefix-length}[vpn-instancevpn-instance-name]配置基于IP地址的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]host{ip|ipv6}start-ip-address[end-ip-address][vpn-instancevpn-instance-name]1.
3配置应用组可以将具有相似特征的应用添加到一个应用组中或将一个应用组中的应用拷贝到另一个组中.
设备最多可支持配置65536个应用组,每个应用组里最多可以包含65536个自定义应用.
表1-2配置APR应用组操作命令说明进入系统视图system-view-创建应用组,并进入应用组视图app-groupgroup-name缺省情况下,系统中存在若干预定义应用组,可通过displayapp-grouppre-defined命令查看预定义的应用组不允许修改和删除1-3操作命令说明(可选)为自定义的应用组设置描述信息descriptiongroup-description缺省情况下,自定义应用组的描述信息为"User-definedapplicationgroup"在应用组中添加应用includeapplicationapplication-name缺省情况下,自定义应用组中不包含任何应用可以通过多次执行本命令添加多个应用添加应用时,如果对应的应用不存在就会创建这个应用在应用组中拷贝另一个应用组中的所有应用copyapp-groupgroup-name可以通过多次执行本命令拷贝多个应用组里的应用1.
4配置接口的应用统计功能接口的应用统计功能会消耗大量系统内存.
当系统出现内存告警时,请关闭接口的应用统计功能.
在接口上开启应用统计功能之后,设备能够对接口上收到或者发送的报文的数目、速率按照应用层协议分别进行统计,生成的统计信息可以通过displayapplicationstatistics命令查看.
表1-3配置接口的应用统计功能操作命令说明进入系统视图system-view-进入三层接口视图interfaceinterface-typeinterface-number-开启接口的应用统计功能applicationstatisticsenable[inbound|outbound]缺省情况下,接口的应用统计功能处于关闭状态可以同时开启接口两个方向上的应用统计功能1.
5APR显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后APR的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除APR的统计信息.
表1-4APR显示和维护操作命令显示应用信息displayapplication[nameapplication-name|pre-defined|user-defined]显示应用组信息displayapp-group[namegroup-name|pre-defined|user-defined]1-4操作命令显示接口上的应用统计信息(集中式设备)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number|nameapplication-name]*显示接口上的应用统计信息(分布式设备-独立运行模式/集中式IRF设备)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number[slotslot-number]|nameapplication-name]*显示接口上的应用统计信息(分布式设备-IRF模式)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number[chassischassis-numberslotslot-number]|nameapplication-name]*按指定类型的统计排名显示接口应用统计信息(集中式设备)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number按指定类型的统计排名显示接口应用统计信息(分布式设备-独立运行模式/集中式IRF设备)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number[slotslot-number]按指定类型的统计排名显示接口应用统计信息(分布式设备-IRF模式)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number[chassischassis-numberslotslot-number]显示预定义的端口映射信息displayport-mappingpre-defined显示自定义的端口映射信息displayport-mappinguser-defined[applicationapplication-name|portport-number]清除指定接口或所有接口的应用统计信息resetapplicationstatistics[interfaceinterface-typeinterface-number]1.
6APR典型配置举例1.
6.
1APR典型配置举例1.
组网需求主机通过Router与外网相连,通过配置Router实现丢弃主机向外部网络发送的目的端口为8080的HTTP连接报文.
2.
组网图图1-1APR典型配置组网图3.
配置步骤#创建应用组group1,并进入应用组视图.
system-view[Router]app-groupgroup11-5#添加HTTP应用.
[Router-app-group-group1]includeapplicationhttp[Router-app-group-group1]quit#配置HTTP应用层协议与TCP协议、端口8080之间的映射.
[Router]port-mappingapplicationhttpport8080protocoltcp#定义类classifier_1,匹配应用组group1.
[Router]trafficclassifierclassifier_1[Router-classifier-classifier_1]if-matchapp-groupgroup1[Router-classifier-classifier_1]quit#定义流行为bdeny,动作为流量过滤(deny),对数据包进行丢弃.
[Router]trafficbehaviorbdeny[Router-behavior-bdeny]filterdeny[Router-behavior-bdeny]quit#定义策略1,为类classifier_1指定流行为bdeny.
[Router]qospolicy1[Router-qospolicy-1]classifierclassifier_1behaviorbdeny[Router-qospolicy-1]quit#在GigabitEthernet2/0/1入方向上应用QoS策略.
[Router]interfacegigabitethernet2/0/1[Router-GigabitEthernet2/0/1]qosapplypolicy1inbound[Router-GigabitEthernet2/0/1]quit4.
验证配置以上配置完成后,主机将不能与外部网络建立HTTP连接.
spinservers($89/月),圣何塞10Gbps带宽服务器,达拉斯10Gbps服务器
spinservers是Majestic Hosting Solutions LLC旗下站点,主要提供国外服务器租用和Hybrid Dedicated等产品的商家,数据中心包括美国达拉斯和圣何塞机房,机器一般10Gbps端口带宽,高配置硬件,支持使用PayPal、信用卡、支付宝或者微信等付款方式。目前,商家针对部分服务器提供优惠码,优惠后达拉斯机房服务器最低每月89美元起,圣何塞机房服务器最低每月...
白丝云-美国圣何塞4837/德国4837大带宽/美西9929,26元/月起
官方网站:点击访问白丝云官网活动方案:一、KVM虚拟化套餐A1核心 512MB内存 10G SSD硬盘 800G流量 2560Mbps带宽159.99一年 26一月套餐B1核心 512MB内存 10G SSD硬盘 2000G流量 2560Mbps带宽299.99一年 52一月套餐...
wordpress公司网站模板 wordpress简洁高级通用公司主题
wordpress公司网站模板,wordpresss简洁风格的高级通用自适应网站效果,完美自适应支持多终端移动屏幕设备功能,高级可视化后台自定义管理模块+规范高效的搜索优化。wordpress公司网站模板采用标准的HTML5+CSS3语言开发,兼容当下的各种主流浏览器: IE 6+(以及类似360、遨游等基于IE内核的)、Firefox、Google Chrome、Safari、Opera等;同时...
端口映射为你推荐
-
微信回应封杀钉钉微信发过来的钉钉链接打不开?18comic.fun18岁以后男孩最喜欢的网站百花百游百花净斑方多少钱一盒777k7.com怎么在这几个网站上下载图片啊www.777mu.com www.gangguan23.comwww.e12.com.cn上海高中除了四大名校,接下来哪所高中最好?顺便讲下它的各方面情况qq530.com求教:如何下载http://www.qq530.com/ 上的音乐www.789.com.cn有什么网站可以玩游戏的.m88.comm88.com现在的官方网址是哪个啊 ?m88.com分析软件?66smsm.comwww.zpwbj.com 这个网址是真的吗?我想知道它的真实性.......谢谢 我就剩50了,都给你了..............555sss.com不能在线播放了??555