报文端口映射
端口映射 时间:2021-04-03 阅读:()
i目录1APR配置·1-11.
1APR简介·1-11.
1.
1PBAR·1-11.
1.
2应用组·1-11.
2配置PBAR1-21.
3配置应用组1-21.
4配置接口的应用统计功能1-31.
5APR显示和维护·1-31.
6APR典型配置举例1-41.
6.
1APR典型配置举例·1-41-11APR配置MSR810/810-W/810-W-DB/810-LM/810-W-LM/2630/3610/3620/3640/3660/3600-28/3600-51路由器使用集中式命令行,MSR5660/5680路由器使用分布式命令行.
1.
1APR简介APR(ApplicationRecognition)即应用层协议识别.
一些基于应用的业务(例如QoS,ASPF)在进行报文处理时需要知道报文所属的应用层协议,APR可以为这样的业务提供应用识别服务,并能够对接口上接收或者发送的某个应用层协议的报文进行数目和速率统计.
APR为了更好地识别报文所属的应用层协议,提供了两种应用识别方法:基于端口的应用识别和基于内容特征的应用识别.
PBAR(PortBasedApplicationRecognition,基于端口的应用层协议识别):根据定义的应用层协议端口与应用的映射关系识别报文所属的应用层协议.
基于内容特征的应用层协议识别:提取应用报文区别于其它应用报文的特征,通过将报文的内容与特征库中的特征项进行匹配来识别报文所属的应用层协议.
这种识别方式目前还不支持.
下文中的应用均指设备可以通过APR识别出的应用层协议.
应用分为预定义应用和自定义应用两种:预定义应用由系统缺省创建;自定义应用由用户通过配置创建.
1.
1.
1PBARPBAR(PortBasedApplicationRecognition,基于端口的应用层协议识别)根据预定义的、自定义的端口与应用的映射关系识别出应用层协议.
预定义的端口与应用的映射关系由系统预先定义,自定义的端口与应用的映射关系由用户配置进行创建.
PBAR提供了以下两种映射机制来维护和使用自定义的端口与应用映射关系:通用端口映射:对用户自定义端口号和应用层协议建立映射关系.
例如:将2121端口映射为FTP协议,这样所有目的端口是2121的报文将被识别为FTP报文.
主机端口映射:对去往某些特定范围内主机的报文建立自定义端口号和应用层协议的映射.
例如:将目的地址为10.
110.
0.
0/16网段的、使用2121端口的报文映射为FTP报文.
主机范围可以通过配置ACL或者指定主机地址、网段来确定.
1.
1.
2应用组可以将具有相似特征的应用添加到一个应用组中.
一个应用组,就是若干个应用的集合.
如果报文被识别为属于某个应用,而该应用又属于某个应用组,则报文相当于被识别为属于某个应用组.
基于应用的业务可以对属于同一个应用组的报文做统一处理.
应用组分为预定义和自定义两种:预定义应用组由系统预先定义并包含了指定的预定义应用;自定义应用组由用户通过配置创建.
一个自定义应用组中可以包含多个预定义应用和自定义应用.
1-21.
2配置PBAR根据与应用层协议进行映射的对象范围的不同,可以将端口映射的配置分为以下四类:通用端口映射:对于所有报文,建立端口号与应用层协议的映射关系;基于ACL的主机端口映射:对于匹配指定ACL的报文,建立端口号与应用层协议的映射关系;基于网段的主机端口映射:对于目的地址为指定网段的报文,建立端口号与应用层协议的映射关系;基于IP地址的主机端口映射:对于目的地址为指定IP地址的报文,建立端口号与应用层协议的映射关系.
以上四类端口映射配置对于同一个报文的生效优先级从高到低依次为:基于IP地址、基于网段、基于ACL、通用.
而对于其中的每一类,指定传输层协议名称的配置优先级高于不指定传输层协议名称的配置.
表1-1配置PBAR操作命令说明进入系统视图system-view-配置通用端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]至少选其一缺省情况下,各应用层协议与其对应的知名端口号映射配置映射关系时,如果指定的应用不存在就会创建这个应用配置基于ACL的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]acl[ipv6]acl-number配置基于网段的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]subnet{ipipv4-address{mask-length|mask}|ipv6ipv6-addressprefix-length}[vpn-instancevpn-instance-name]配置基于IP地址的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]host{ip|ipv6}start-ip-address[end-ip-address][vpn-instancevpn-instance-name]1.
3配置应用组可以将具有相似特征的应用添加到一个应用组中或将一个应用组中的应用拷贝到另一个组中.
设备最多可支持配置65536个应用组,每个应用组里最多可以包含65536个自定义应用.
表1-2配置APR应用组操作命令说明进入系统视图system-view-创建应用组,并进入应用组视图app-groupgroup-name缺省情况下,系统中存在若干预定义应用组,可通过displayapp-grouppre-defined命令查看预定义的应用组不允许修改和删除1-3操作命令说明(可选)为自定义的应用组设置描述信息descriptiongroup-description缺省情况下,自定义应用组的描述信息为"User-definedapplicationgroup"在应用组中添加应用includeapplicationapplication-name缺省情况下,自定义应用组中不包含任何应用可以通过多次执行本命令添加多个应用添加应用时,如果对应的应用不存在就会创建这个应用在应用组中拷贝另一个应用组中的所有应用copyapp-groupgroup-name可以通过多次执行本命令拷贝多个应用组里的应用1.
4配置接口的应用统计功能接口的应用统计功能会消耗大量系统内存.
当系统出现内存告警时,请关闭接口的应用统计功能.
在接口上开启应用统计功能之后,设备能够对接口上收到或者发送的报文的数目、速率按照应用层协议分别进行统计,生成的统计信息可以通过displayapplicationstatistics命令查看.
表1-3配置接口的应用统计功能操作命令说明进入系统视图system-view-进入三层接口视图interfaceinterface-typeinterface-number-开启接口的应用统计功能applicationstatisticsenable[inbound|outbound]缺省情况下,接口的应用统计功能处于关闭状态可以同时开启接口两个方向上的应用统计功能1.
5APR显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后APR的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除APR的统计信息.
表1-4APR显示和维护操作命令显示应用信息displayapplication[nameapplication-name|pre-defined|user-defined]显示应用组信息displayapp-group[namegroup-name|pre-defined|user-defined]1-4操作命令显示接口上的应用统计信息(集中式设备)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number|nameapplication-name]*显示接口上的应用统计信息(分布式设备-独立运行模式/集中式IRF设备)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number[slotslot-number]|nameapplication-name]*显示接口上的应用统计信息(分布式设备-IRF模式)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number[chassischassis-numberslotslot-number]|nameapplication-name]*按指定类型的统计排名显示接口应用统计信息(集中式设备)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number按指定类型的统计排名显示接口应用统计信息(分布式设备-独立运行模式/集中式IRF设备)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number[slotslot-number]按指定类型的统计排名显示接口应用统计信息(分布式设备-IRF模式)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number[chassischassis-numberslotslot-number]显示预定义的端口映射信息displayport-mappingpre-defined显示自定义的端口映射信息displayport-mappinguser-defined[applicationapplication-name|portport-number]清除指定接口或所有接口的应用统计信息resetapplicationstatistics[interfaceinterface-typeinterface-number]1.
6APR典型配置举例1.
6.
1APR典型配置举例1.
组网需求主机通过Router与外网相连,通过配置Router实现丢弃主机向外部网络发送的目的端口为8080的HTTP连接报文.
2.
组网图图1-1APR典型配置组网图3.
配置步骤#创建应用组group1,并进入应用组视图.
system-view[Router]app-groupgroup11-5#添加HTTP应用.
[Router-app-group-group1]includeapplicationhttp[Router-app-group-group1]quit#配置HTTP应用层协议与TCP协议、端口8080之间的映射.
[Router]port-mappingapplicationhttpport8080protocoltcp#定义类classifier_1,匹配应用组group1.
[Router]trafficclassifierclassifier_1[Router-classifier-classifier_1]if-matchapp-groupgroup1[Router-classifier-classifier_1]quit#定义流行为bdeny,动作为流量过滤(deny),对数据包进行丢弃.
[Router]trafficbehaviorbdeny[Router-behavior-bdeny]filterdeny[Router-behavior-bdeny]quit#定义策略1,为类classifier_1指定流行为bdeny.
[Router]qospolicy1[Router-qospolicy-1]classifierclassifier_1behaviorbdeny[Router-qospolicy-1]quit#在GigabitEthernet2/0/1入方向上应用QoS策略.
[Router]interfacegigabitethernet2/0/1[Router-GigabitEthernet2/0/1]qosapplypolicy1inbound[Router-GigabitEthernet2/0/1]quit4.
验证配置以上配置完成后,主机将不能与外部网络建立HTTP连接.
1APR简介·1-11.
1.
1PBAR·1-11.
1.
2应用组·1-11.
2配置PBAR1-21.
3配置应用组1-21.
4配置接口的应用统计功能1-31.
5APR显示和维护·1-31.
6APR典型配置举例1-41.
6.
1APR典型配置举例·1-41-11APR配置MSR810/810-W/810-W-DB/810-LM/810-W-LM/2630/3610/3620/3640/3660/3600-28/3600-51路由器使用集中式命令行,MSR5660/5680路由器使用分布式命令行.
1.
1APR简介APR(ApplicationRecognition)即应用层协议识别.
一些基于应用的业务(例如QoS,ASPF)在进行报文处理时需要知道报文所属的应用层协议,APR可以为这样的业务提供应用识别服务,并能够对接口上接收或者发送的某个应用层协议的报文进行数目和速率统计.
APR为了更好地识别报文所属的应用层协议,提供了两种应用识别方法:基于端口的应用识别和基于内容特征的应用识别.
PBAR(PortBasedApplicationRecognition,基于端口的应用层协议识别):根据定义的应用层协议端口与应用的映射关系识别报文所属的应用层协议.
基于内容特征的应用层协议识别:提取应用报文区别于其它应用报文的特征,通过将报文的内容与特征库中的特征项进行匹配来识别报文所属的应用层协议.
这种识别方式目前还不支持.
下文中的应用均指设备可以通过APR识别出的应用层协议.
应用分为预定义应用和自定义应用两种:预定义应用由系统缺省创建;自定义应用由用户通过配置创建.
1.
1.
1PBARPBAR(PortBasedApplicationRecognition,基于端口的应用层协议识别)根据预定义的、自定义的端口与应用的映射关系识别出应用层协议.
预定义的端口与应用的映射关系由系统预先定义,自定义的端口与应用的映射关系由用户配置进行创建.
PBAR提供了以下两种映射机制来维护和使用自定义的端口与应用映射关系:通用端口映射:对用户自定义端口号和应用层协议建立映射关系.
例如:将2121端口映射为FTP协议,这样所有目的端口是2121的报文将被识别为FTP报文.
主机端口映射:对去往某些特定范围内主机的报文建立自定义端口号和应用层协议的映射.
例如:将目的地址为10.
110.
0.
0/16网段的、使用2121端口的报文映射为FTP报文.
主机范围可以通过配置ACL或者指定主机地址、网段来确定.
1.
1.
2应用组可以将具有相似特征的应用添加到一个应用组中.
一个应用组,就是若干个应用的集合.
如果报文被识别为属于某个应用,而该应用又属于某个应用组,则报文相当于被识别为属于某个应用组.
基于应用的业务可以对属于同一个应用组的报文做统一处理.
应用组分为预定义和自定义两种:预定义应用组由系统预先定义并包含了指定的预定义应用;自定义应用组由用户通过配置创建.
一个自定义应用组中可以包含多个预定义应用和自定义应用.
1-21.
2配置PBAR根据与应用层协议进行映射的对象范围的不同,可以将端口映射的配置分为以下四类:通用端口映射:对于所有报文,建立端口号与应用层协议的映射关系;基于ACL的主机端口映射:对于匹配指定ACL的报文,建立端口号与应用层协议的映射关系;基于网段的主机端口映射:对于目的地址为指定网段的报文,建立端口号与应用层协议的映射关系;基于IP地址的主机端口映射:对于目的地址为指定IP地址的报文,建立端口号与应用层协议的映射关系.
以上四类端口映射配置对于同一个报文的生效优先级从高到低依次为:基于IP地址、基于网段、基于ACL、通用.
而对于其中的每一类,指定传输层协议名称的配置优先级高于不指定传输层协议名称的配置.
表1-1配置PBAR操作命令说明进入系统视图system-view-配置通用端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]至少选其一缺省情况下,各应用层协议与其对应的知名端口号映射配置映射关系时,如果指定的应用不存在就会创建这个应用配置基于ACL的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]acl[ipv6]acl-number配置基于网段的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]subnet{ipipv4-address{mask-length|mask}|ipv6ipv6-addressprefix-length}[vpn-instancevpn-instance-name]配置基于IP地址的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]host{ip|ipv6}start-ip-address[end-ip-address][vpn-instancevpn-instance-name]1.
3配置应用组可以将具有相似特征的应用添加到一个应用组中或将一个应用组中的应用拷贝到另一个组中.
设备最多可支持配置65536个应用组,每个应用组里最多可以包含65536个自定义应用.
表1-2配置APR应用组操作命令说明进入系统视图system-view-创建应用组,并进入应用组视图app-groupgroup-name缺省情况下,系统中存在若干预定义应用组,可通过displayapp-grouppre-defined命令查看预定义的应用组不允许修改和删除1-3操作命令说明(可选)为自定义的应用组设置描述信息descriptiongroup-description缺省情况下,自定义应用组的描述信息为"User-definedapplicationgroup"在应用组中添加应用includeapplicationapplication-name缺省情况下,自定义应用组中不包含任何应用可以通过多次执行本命令添加多个应用添加应用时,如果对应的应用不存在就会创建这个应用在应用组中拷贝另一个应用组中的所有应用copyapp-groupgroup-name可以通过多次执行本命令拷贝多个应用组里的应用1.
4配置接口的应用统计功能接口的应用统计功能会消耗大量系统内存.
当系统出现内存告警时,请关闭接口的应用统计功能.
在接口上开启应用统计功能之后,设备能够对接口上收到或者发送的报文的数目、速率按照应用层协议分别进行统计,生成的统计信息可以通过displayapplicationstatistics命令查看.
表1-3配置接口的应用统计功能操作命令说明进入系统视图system-view-进入三层接口视图interfaceinterface-typeinterface-number-开启接口的应用统计功能applicationstatisticsenable[inbound|outbound]缺省情况下,接口的应用统计功能处于关闭状态可以同时开启接口两个方向上的应用统计功能1.
5APR显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后APR的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除APR的统计信息.
表1-4APR显示和维护操作命令显示应用信息displayapplication[nameapplication-name|pre-defined|user-defined]显示应用组信息displayapp-group[namegroup-name|pre-defined|user-defined]1-4操作命令显示接口上的应用统计信息(集中式设备)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number|nameapplication-name]*显示接口上的应用统计信息(分布式设备-独立运行模式/集中式IRF设备)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number[slotslot-number]|nameapplication-name]*显示接口上的应用统计信息(分布式设备-IRF模式)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number[chassischassis-numberslotslot-number]|nameapplication-name]*按指定类型的统计排名显示接口应用统计信息(集中式设备)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number按指定类型的统计排名显示接口应用统计信息(分布式设备-独立运行模式/集中式IRF设备)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number[slotslot-number]按指定类型的统计排名显示接口应用统计信息(分布式设备-IRF模式)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number[chassischassis-numberslotslot-number]显示预定义的端口映射信息displayport-mappingpre-defined显示自定义的端口映射信息displayport-mappinguser-defined[applicationapplication-name|portport-number]清除指定接口或所有接口的应用统计信息resetapplicationstatistics[interfaceinterface-typeinterface-number]1.
6APR典型配置举例1.
6.
1APR典型配置举例1.
组网需求主机通过Router与外网相连,通过配置Router实现丢弃主机向外部网络发送的目的端口为8080的HTTP连接报文.
2.
组网图图1-1APR典型配置组网图3.
配置步骤#创建应用组group1,并进入应用组视图.
system-view[Router]app-groupgroup11-5#添加HTTP应用.
[Router-app-group-group1]includeapplicationhttp[Router-app-group-group1]quit#配置HTTP应用层协议与TCP协议、端口8080之间的映射.
[Router]port-mappingapplicationhttpport8080protocoltcp#定义类classifier_1,匹配应用组group1.
[Router]trafficclassifierclassifier_1[Router-classifier-classifier_1]if-matchapp-groupgroup1[Router-classifier-classifier_1]quit#定义流行为bdeny,动作为流量过滤(deny),对数据包进行丢弃.
[Router]trafficbehaviorbdeny[Router-behavior-bdeny]filterdeny[Router-behavior-bdeny]quit#定义策略1,为类classifier_1指定流行为bdeny.
[Router]qospolicy1[Router-qospolicy-1]classifierclassifier_1behaviorbdeny[Router-qospolicy-1]quit#在GigabitEthernet2/0/1入方向上应用QoS策略.
[Router]interfacegigabitethernet2/0/1[Router-GigabitEthernet2/0/1]qosapplypolicy1inbound[Router-GigabitEthernet2/0/1]quit4.
验证配置以上配置完成后,主机将不能与外部网络建立HTTP连接.
妮妮云(100元/月)阿里云香港BGP专线 2核 4G
妮妮云的来历妮妮云是 789 陈总 张总 三方共同投资建立的网站 本着“良心 便宜 稳定”的初衷 为小白用户避免被坑妮妮云的市场定位妮妮云主要代理市场稳定速度的云服务器产品,避免新手购买云服务器的时候众多商家不知道如何选择,妮妮云就帮你选择好了产品,无需承担购买风险,不用担心出现被跑路 被诈骗的情况。妮妮云的售后保证妮妮云退款 通过于合作商的友好协商,云服务器提供2天内全额退款,超过2天不退款 物...
星梦云60元夏日促销,四川100G高防4H4G10M,西南高防月付特价
星梦云怎么样?星梦云好不好,资质齐全,IDC/ISP均有,从星梦云这边租的服务器均可以备案,属于一手资源,高防机柜、大带宽、高防IP业务,一手整C IP段,四川电信,星梦云专注四川高防服务器,成都服务器,雅安服务器 。官方网站:点击访问星梦云官网活动方案:1、成都电信年中活动机(封锁UDP,不可解封):机房CPU内存硬盘带宽IP防护流量原价活动价开通方式成都电信优化线路4vCPU4G40G+50...
JustHost:俄罗斯/新西伯利亚vps,512MB内存/5GB空间/不限流量/200Mbps/KVM/自由更换IP,$1.57/月
justhost怎么样?justhost是一家俄罗斯主机商,2006年成立,提供各种主机服务,vps基于kvm,有HDD和SSD硬盘两种,特色是200Mbps不限流量(之前是100Mbps,现在升级为200Mbps)。下面是HDD硬盘的KVM VPS,性价比最高,此外还有SSD硬盘的KVM VPS,价格略高。支持Paypal付款。国内建议选择新西伯利亚或者莫斯科DataLine。支持Paypal付...
端口映射为你推荐
-
易烊千玺弟弟创魔方世界纪录王俊凯和王源两人和易烊千玺的弟弟玩过吗Baby被问婚变绯闻黄晓明baby一起出来带娃,想要打破离婚传闻?同ip网站查询服务器禁PING 是不是就可以解决同IP网站查询问题比肩工场比肩成局 什么意思百度关键词分析百度竞价关键词分析需要从哪些数据入手?www.119mm.com看电影上什么网站??www.119mm.comwww.993mm+com精品集!郭泊雄郭佰雄最后一次出现是什么时候?125xx.comwww.free.com 是官方网站吗?avtt4.comwww.51kao4.com为什么进不去啊?