报文端口映射
端口映射 时间:2021-04-03 阅读:()
i目录1APR配置·1-11.
1APR简介·1-11.
1.
1PBAR·1-11.
1.
2应用组·1-11.
2配置PBAR1-21.
3配置应用组1-21.
4配置接口的应用统计功能1-31.
5APR显示和维护·1-31.
6APR典型配置举例1-41.
6.
1APR典型配置举例·1-41-11APR配置MSR810/810-W/810-W-DB/810-LM/810-W-LM/2630/3610/3620/3640/3660/3600-28/3600-51路由器使用集中式命令行,MSR5660/5680路由器使用分布式命令行.
1.
1APR简介APR(ApplicationRecognition)即应用层协议识别.
一些基于应用的业务(例如QoS,ASPF)在进行报文处理时需要知道报文所属的应用层协议,APR可以为这样的业务提供应用识别服务,并能够对接口上接收或者发送的某个应用层协议的报文进行数目和速率统计.
APR为了更好地识别报文所属的应用层协议,提供了两种应用识别方法:基于端口的应用识别和基于内容特征的应用识别.
PBAR(PortBasedApplicationRecognition,基于端口的应用层协议识别):根据定义的应用层协议端口与应用的映射关系识别报文所属的应用层协议.
基于内容特征的应用层协议识别:提取应用报文区别于其它应用报文的特征,通过将报文的内容与特征库中的特征项进行匹配来识别报文所属的应用层协议.
这种识别方式目前还不支持.
下文中的应用均指设备可以通过APR识别出的应用层协议.
应用分为预定义应用和自定义应用两种:预定义应用由系统缺省创建;自定义应用由用户通过配置创建.
1.
1.
1PBARPBAR(PortBasedApplicationRecognition,基于端口的应用层协议识别)根据预定义的、自定义的端口与应用的映射关系识别出应用层协议.
预定义的端口与应用的映射关系由系统预先定义,自定义的端口与应用的映射关系由用户配置进行创建.
PBAR提供了以下两种映射机制来维护和使用自定义的端口与应用映射关系:通用端口映射:对用户自定义端口号和应用层协议建立映射关系.
例如:将2121端口映射为FTP协议,这样所有目的端口是2121的报文将被识别为FTP报文.
主机端口映射:对去往某些特定范围内主机的报文建立自定义端口号和应用层协议的映射.
例如:将目的地址为10.
110.
0.
0/16网段的、使用2121端口的报文映射为FTP报文.
主机范围可以通过配置ACL或者指定主机地址、网段来确定.
1.
1.
2应用组可以将具有相似特征的应用添加到一个应用组中.
一个应用组,就是若干个应用的集合.
如果报文被识别为属于某个应用,而该应用又属于某个应用组,则报文相当于被识别为属于某个应用组.
基于应用的业务可以对属于同一个应用组的报文做统一处理.
应用组分为预定义和自定义两种:预定义应用组由系统预先定义并包含了指定的预定义应用;自定义应用组由用户通过配置创建.
一个自定义应用组中可以包含多个预定义应用和自定义应用.
1-21.
2配置PBAR根据与应用层协议进行映射的对象范围的不同,可以将端口映射的配置分为以下四类:通用端口映射:对于所有报文,建立端口号与应用层协议的映射关系;基于ACL的主机端口映射:对于匹配指定ACL的报文,建立端口号与应用层协议的映射关系;基于网段的主机端口映射:对于目的地址为指定网段的报文,建立端口号与应用层协议的映射关系;基于IP地址的主机端口映射:对于目的地址为指定IP地址的报文,建立端口号与应用层协议的映射关系.
以上四类端口映射配置对于同一个报文的生效优先级从高到低依次为:基于IP地址、基于网段、基于ACL、通用.
而对于其中的每一类,指定传输层协议名称的配置优先级高于不指定传输层协议名称的配置.
表1-1配置PBAR操作命令说明进入系统视图system-view-配置通用端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]至少选其一缺省情况下,各应用层协议与其对应的知名端口号映射配置映射关系时,如果指定的应用不存在就会创建这个应用配置基于ACL的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]acl[ipv6]acl-number配置基于网段的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]subnet{ipipv4-address{mask-length|mask}|ipv6ipv6-addressprefix-length}[vpn-instancevpn-instance-name]配置基于IP地址的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]host{ip|ipv6}start-ip-address[end-ip-address][vpn-instancevpn-instance-name]1.
3配置应用组可以将具有相似特征的应用添加到一个应用组中或将一个应用组中的应用拷贝到另一个组中.
设备最多可支持配置65536个应用组,每个应用组里最多可以包含65536个自定义应用.
表1-2配置APR应用组操作命令说明进入系统视图system-view-创建应用组,并进入应用组视图app-groupgroup-name缺省情况下,系统中存在若干预定义应用组,可通过displayapp-grouppre-defined命令查看预定义的应用组不允许修改和删除1-3操作命令说明(可选)为自定义的应用组设置描述信息descriptiongroup-description缺省情况下,自定义应用组的描述信息为"User-definedapplicationgroup"在应用组中添加应用includeapplicationapplication-name缺省情况下,自定义应用组中不包含任何应用可以通过多次执行本命令添加多个应用添加应用时,如果对应的应用不存在就会创建这个应用在应用组中拷贝另一个应用组中的所有应用copyapp-groupgroup-name可以通过多次执行本命令拷贝多个应用组里的应用1.
4配置接口的应用统计功能接口的应用统计功能会消耗大量系统内存.
当系统出现内存告警时,请关闭接口的应用统计功能.
在接口上开启应用统计功能之后,设备能够对接口上收到或者发送的报文的数目、速率按照应用层协议分别进行统计,生成的统计信息可以通过displayapplicationstatistics命令查看.
表1-3配置接口的应用统计功能操作命令说明进入系统视图system-view-进入三层接口视图interfaceinterface-typeinterface-number-开启接口的应用统计功能applicationstatisticsenable[inbound|outbound]缺省情况下,接口的应用统计功能处于关闭状态可以同时开启接口两个方向上的应用统计功能1.
5APR显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后APR的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除APR的统计信息.
表1-4APR显示和维护操作命令显示应用信息displayapplication[nameapplication-name|pre-defined|user-defined]显示应用组信息displayapp-group[namegroup-name|pre-defined|user-defined]1-4操作命令显示接口上的应用统计信息(集中式设备)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number|nameapplication-name]*显示接口上的应用统计信息(分布式设备-独立运行模式/集中式IRF设备)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number[slotslot-number]|nameapplication-name]*显示接口上的应用统计信息(分布式设备-IRF模式)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number[chassischassis-numberslotslot-number]|nameapplication-name]*按指定类型的统计排名显示接口应用统计信息(集中式设备)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number按指定类型的统计排名显示接口应用统计信息(分布式设备-独立运行模式/集中式IRF设备)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number[slotslot-number]按指定类型的统计排名显示接口应用统计信息(分布式设备-IRF模式)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number[chassischassis-numberslotslot-number]显示预定义的端口映射信息displayport-mappingpre-defined显示自定义的端口映射信息displayport-mappinguser-defined[applicationapplication-name|portport-number]清除指定接口或所有接口的应用统计信息resetapplicationstatistics[interfaceinterface-typeinterface-number]1.
6APR典型配置举例1.
6.
1APR典型配置举例1.
组网需求主机通过Router与外网相连,通过配置Router实现丢弃主机向外部网络发送的目的端口为8080的HTTP连接报文.
2.
组网图图1-1APR典型配置组网图3.
配置步骤#创建应用组group1,并进入应用组视图.
system-view[Router]app-groupgroup11-5#添加HTTP应用.
[Router-app-group-group1]includeapplicationhttp[Router-app-group-group1]quit#配置HTTP应用层协议与TCP协议、端口8080之间的映射.
[Router]port-mappingapplicationhttpport8080protocoltcp#定义类classifier_1,匹配应用组group1.
[Router]trafficclassifierclassifier_1[Router-classifier-classifier_1]if-matchapp-groupgroup1[Router-classifier-classifier_1]quit#定义流行为bdeny,动作为流量过滤(deny),对数据包进行丢弃.
[Router]trafficbehaviorbdeny[Router-behavior-bdeny]filterdeny[Router-behavior-bdeny]quit#定义策略1,为类classifier_1指定流行为bdeny.
[Router]qospolicy1[Router-qospolicy-1]classifierclassifier_1behaviorbdeny[Router-qospolicy-1]quit#在GigabitEthernet2/0/1入方向上应用QoS策略.
[Router]interfacegigabitethernet2/0/1[Router-GigabitEthernet2/0/1]qosapplypolicy1inbound[Router-GigabitEthernet2/0/1]quit4.
验证配置以上配置完成后,主机将不能与外部网络建立HTTP连接.
1APR简介·1-11.
1.
1PBAR·1-11.
1.
2应用组·1-11.
2配置PBAR1-21.
3配置应用组1-21.
4配置接口的应用统计功能1-31.
5APR显示和维护·1-31.
6APR典型配置举例1-41.
6.
1APR典型配置举例·1-41-11APR配置MSR810/810-W/810-W-DB/810-LM/810-W-LM/2630/3610/3620/3640/3660/3600-28/3600-51路由器使用集中式命令行,MSR5660/5680路由器使用分布式命令行.
1.
1APR简介APR(ApplicationRecognition)即应用层协议识别.
一些基于应用的业务(例如QoS,ASPF)在进行报文处理时需要知道报文所属的应用层协议,APR可以为这样的业务提供应用识别服务,并能够对接口上接收或者发送的某个应用层协议的报文进行数目和速率统计.
APR为了更好地识别报文所属的应用层协议,提供了两种应用识别方法:基于端口的应用识别和基于内容特征的应用识别.
PBAR(PortBasedApplicationRecognition,基于端口的应用层协议识别):根据定义的应用层协议端口与应用的映射关系识别报文所属的应用层协议.
基于内容特征的应用层协议识别:提取应用报文区别于其它应用报文的特征,通过将报文的内容与特征库中的特征项进行匹配来识别报文所属的应用层协议.
这种识别方式目前还不支持.
下文中的应用均指设备可以通过APR识别出的应用层协议.
应用分为预定义应用和自定义应用两种:预定义应用由系统缺省创建;自定义应用由用户通过配置创建.
1.
1.
1PBARPBAR(PortBasedApplicationRecognition,基于端口的应用层协议识别)根据预定义的、自定义的端口与应用的映射关系识别出应用层协议.
预定义的端口与应用的映射关系由系统预先定义,自定义的端口与应用的映射关系由用户配置进行创建.
PBAR提供了以下两种映射机制来维护和使用自定义的端口与应用映射关系:通用端口映射:对用户自定义端口号和应用层协议建立映射关系.
例如:将2121端口映射为FTP协议,这样所有目的端口是2121的报文将被识别为FTP报文.
主机端口映射:对去往某些特定范围内主机的报文建立自定义端口号和应用层协议的映射.
例如:将目的地址为10.
110.
0.
0/16网段的、使用2121端口的报文映射为FTP报文.
主机范围可以通过配置ACL或者指定主机地址、网段来确定.
1.
1.
2应用组可以将具有相似特征的应用添加到一个应用组中.
一个应用组,就是若干个应用的集合.
如果报文被识别为属于某个应用,而该应用又属于某个应用组,则报文相当于被识别为属于某个应用组.
基于应用的业务可以对属于同一个应用组的报文做统一处理.
应用组分为预定义和自定义两种:预定义应用组由系统预先定义并包含了指定的预定义应用;自定义应用组由用户通过配置创建.
一个自定义应用组中可以包含多个预定义应用和自定义应用.
1-21.
2配置PBAR根据与应用层协议进行映射的对象范围的不同,可以将端口映射的配置分为以下四类:通用端口映射:对于所有报文,建立端口号与应用层协议的映射关系;基于ACL的主机端口映射:对于匹配指定ACL的报文,建立端口号与应用层协议的映射关系;基于网段的主机端口映射:对于目的地址为指定网段的报文,建立端口号与应用层协议的映射关系;基于IP地址的主机端口映射:对于目的地址为指定IP地址的报文,建立端口号与应用层协议的映射关系.
以上四类端口映射配置对于同一个报文的生效优先级从高到低依次为:基于IP地址、基于网段、基于ACL、通用.
而对于其中的每一类,指定传输层协议名称的配置优先级高于不指定传输层协议名称的配置.
表1-1配置PBAR操作命令说明进入系统视图system-view-配置通用端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]至少选其一缺省情况下,各应用层协议与其对应的知名端口号映射配置映射关系时,如果指定的应用不存在就会创建这个应用配置基于ACL的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]acl[ipv6]acl-number配置基于网段的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]subnet{ipipv4-address{mask-length|mask}|ipv6ipv6-addressprefix-length}[vpn-instancevpn-instance-name]配置基于IP地址的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]host{ip|ipv6}start-ip-address[end-ip-address][vpn-instancevpn-instance-name]1.
3配置应用组可以将具有相似特征的应用添加到一个应用组中或将一个应用组中的应用拷贝到另一个组中.
设备最多可支持配置65536个应用组,每个应用组里最多可以包含65536个自定义应用.
表1-2配置APR应用组操作命令说明进入系统视图system-view-创建应用组,并进入应用组视图app-groupgroup-name缺省情况下,系统中存在若干预定义应用组,可通过displayapp-grouppre-defined命令查看预定义的应用组不允许修改和删除1-3操作命令说明(可选)为自定义的应用组设置描述信息descriptiongroup-description缺省情况下,自定义应用组的描述信息为"User-definedapplicationgroup"在应用组中添加应用includeapplicationapplication-name缺省情况下,自定义应用组中不包含任何应用可以通过多次执行本命令添加多个应用添加应用时,如果对应的应用不存在就会创建这个应用在应用组中拷贝另一个应用组中的所有应用copyapp-groupgroup-name可以通过多次执行本命令拷贝多个应用组里的应用1.
4配置接口的应用统计功能接口的应用统计功能会消耗大量系统内存.
当系统出现内存告警时,请关闭接口的应用统计功能.
在接口上开启应用统计功能之后,设备能够对接口上收到或者发送的报文的数目、速率按照应用层协议分别进行统计,生成的统计信息可以通过displayapplicationstatistics命令查看.
表1-3配置接口的应用统计功能操作命令说明进入系统视图system-view-进入三层接口视图interfaceinterface-typeinterface-number-开启接口的应用统计功能applicationstatisticsenable[inbound|outbound]缺省情况下,接口的应用统计功能处于关闭状态可以同时开启接口两个方向上的应用统计功能1.
5APR显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后APR的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除APR的统计信息.
表1-4APR显示和维护操作命令显示应用信息displayapplication[nameapplication-name|pre-defined|user-defined]显示应用组信息displayapp-group[namegroup-name|pre-defined|user-defined]1-4操作命令显示接口上的应用统计信息(集中式设备)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number|nameapplication-name]*显示接口上的应用统计信息(分布式设备-独立运行模式/集中式IRF设备)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number[slotslot-number]|nameapplication-name]*显示接口上的应用统计信息(分布式设备-IRF模式)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number[chassischassis-numberslotslot-number]|nameapplication-name]*按指定类型的统计排名显示接口应用统计信息(集中式设备)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number按指定类型的统计排名显示接口应用统计信息(分布式设备-独立运行模式/集中式IRF设备)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number[slotslot-number]按指定类型的统计排名显示接口应用统计信息(分布式设备-IRF模式)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number[chassischassis-numberslotslot-number]显示预定义的端口映射信息displayport-mappingpre-defined显示自定义的端口映射信息displayport-mappinguser-defined[applicationapplication-name|portport-number]清除指定接口或所有接口的应用统计信息resetapplicationstatistics[interfaceinterface-typeinterface-number]1.
6APR典型配置举例1.
6.
1APR典型配置举例1.
组网需求主机通过Router与外网相连,通过配置Router实现丢弃主机向外部网络发送的目的端口为8080的HTTP连接报文.
2.
组网图图1-1APR典型配置组网图3.
配置步骤#创建应用组group1,并进入应用组视图.
system-view[Router]app-groupgroup11-5#添加HTTP应用.
[Router-app-group-group1]includeapplicationhttp[Router-app-group-group1]quit#配置HTTP应用层协议与TCP协议、端口8080之间的映射.
[Router]port-mappingapplicationhttpport8080protocoltcp#定义类classifier_1,匹配应用组group1.
[Router]trafficclassifierclassifier_1[Router-classifier-classifier_1]if-matchapp-groupgroup1[Router-classifier-classifier_1]quit#定义流行为bdeny,动作为流量过滤(deny),对数据包进行丢弃.
[Router]trafficbehaviorbdeny[Router-behavior-bdeny]filterdeny[Router-behavior-bdeny]quit#定义策略1,为类classifier_1指定流行为bdeny.
[Router]qospolicy1[Router-qospolicy-1]classifierclassifier_1behaviorbdeny[Router-qospolicy-1]quit#在GigabitEthernet2/0/1入方向上应用QoS策略.
[Router]interfacegigabitethernet2/0/1[Router-GigabitEthernet2/0/1]qosapplypolicy1inbound[Router-GigabitEthernet2/0/1]quit4.
验证配置以上配置完成后,主机将不能与外部网络建立HTTP连接.
1C2G5M轻量服务器48元/年,2C4G8M三年仅198元,COM域名首年1元起
腾讯云双十一活动已于今天正式开启了,多重优惠享不停,首购服务器低至0.4折,比如1C2G5M轻量应用服务器仅48元/年起,2C4G8M也仅70元/年起;个人及企业用户还可以一键领取3500-7000元满减券,用于支付新购、续费、升级等各项账单;企业用户还可以以首年1年的价格注册.COM域名。活动页面:https://cloud.tencent.com/act/double11我们分享的信息仍然以秒...
UCloud年度大促活动可选香港云服务器低至年134元
由于行业需求和自媒体的倾向问题,对于我们个人站长建站的方向还是有一些需要改变的。传统的个人网站建站内容方向可能会因为自媒体的分流导致个人网站很多行业不再成为流量的主导。于是我们很多个人网站都在想办法进行重新更换行业,包括前几天也有和网友在考虑是不是换个其他行业做做。这不有重新注册域名重新更换。鉴于快速上手的考虑还是采用香港服务器,这不腾讯云和阿里云早已不是新账户,考虑到新注册UCLOUD账户还算比...
FBICDN,0.1元解决伪墙/假墙攻击,超500 Gbps DDos 防御,每天免费流量高达100G,免费高防网站加速服务
最近很多网站都遭受到了伪墙/假墙攻击,导致网站流量大跌,间歇性打不开网站。这是一种新型的攻击方式,攻击者利用GWF规则漏洞,使用国内服务器绑定host的方式来触发GWF的自动过滤机制,造成GWF暂时性屏蔽你的网站和服务器IP(大概15分钟左右),使你的网站在国内无法打开,如果攻击请求不断,那么你的网站就会是一个一直无法正常访问的状态。常规解决办法:1,快速备案后使用国内服务器,2,使用国内免备案服...
端口映射为你推荐
-
微盟赔付方案2020公司裁员的赔偿标准哈利波特罗恩升级当爸哈利波特七中罗恩和哈利吵架时,罗恩去哪儿公司网络被攻击最近企业受到网络攻击的事件特别多,怎么才能有效地保护企业的网络安全呢?硬盘工作原理硬盘是如何工作的地图应用哪个手机定位软件最好用?lunwenjiancepaperrater论文检测准确吗冯媛甑冯媛甄多大啊?百度关键词工具如何通过百度官方工具提升关键词排名百度关键词分析关键词怎么分析?sss17.com一玩棋牌吧(www.17wqp.com)怎么样?