报文端口映射
端口映射 时间:2021-04-03 阅读:()
i目录1APR配置·1-11.
1APR简介·1-11.
1.
1PBAR·1-11.
1.
2应用组·1-11.
2配置PBAR1-21.
3配置应用组1-21.
4配置接口的应用统计功能1-31.
5APR显示和维护·1-31.
6APR典型配置举例1-41.
6.
1APR典型配置举例·1-41-11APR配置MSR810/810-W/810-W-DB/810-LM/810-W-LM/2630/3610/3620/3640/3660/3600-28/3600-51路由器使用集中式命令行,MSR5660/5680路由器使用分布式命令行.
1.
1APR简介APR(ApplicationRecognition)即应用层协议识别.
一些基于应用的业务(例如QoS,ASPF)在进行报文处理时需要知道报文所属的应用层协议,APR可以为这样的业务提供应用识别服务,并能够对接口上接收或者发送的某个应用层协议的报文进行数目和速率统计.
APR为了更好地识别报文所属的应用层协议,提供了两种应用识别方法:基于端口的应用识别和基于内容特征的应用识别.
PBAR(PortBasedApplicationRecognition,基于端口的应用层协议识别):根据定义的应用层协议端口与应用的映射关系识别报文所属的应用层协议.
基于内容特征的应用层协议识别:提取应用报文区别于其它应用报文的特征,通过将报文的内容与特征库中的特征项进行匹配来识别报文所属的应用层协议.
这种识别方式目前还不支持.
下文中的应用均指设备可以通过APR识别出的应用层协议.
应用分为预定义应用和自定义应用两种:预定义应用由系统缺省创建;自定义应用由用户通过配置创建.
1.
1.
1PBARPBAR(PortBasedApplicationRecognition,基于端口的应用层协议识别)根据预定义的、自定义的端口与应用的映射关系识别出应用层协议.
预定义的端口与应用的映射关系由系统预先定义,自定义的端口与应用的映射关系由用户配置进行创建.
PBAR提供了以下两种映射机制来维护和使用自定义的端口与应用映射关系:通用端口映射:对用户自定义端口号和应用层协议建立映射关系.
例如:将2121端口映射为FTP协议,这样所有目的端口是2121的报文将被识别为FTP报文.
主机端口映射:对去往某些特定范围内主机的报文建立自定义端口号和应用层协议的映射.
例如:将目的地址为10.
110.
0.
0/16网段的、使用2121端口的报文映射为FTP报文.
主机范围可以通过配置ACL或者指定主机地址、网段来确定.
1.
1.
2应用组可以将具有相似特征的应用添加到一个应用组中.
一个应用组,就是若干个应用的集合.
如果报文被识别为属于某个应用,而该应用又属于某个应用组,则报文相当于被识别为属于某个应用组.
基于应用的业务可以对属于同一个应用组的报文做统一处理.
应用组分为预定义和自定义两种:预定义应用组由系统预先定义并包含了指定的预定义应用;自定义应用组由用户通过配置创建.
一个自定义应用组中可以包含多个预定义应用和自定义应用.
1-21.
2配置PBAR根据与应用层协议进行映射的对象范围的不同,可以将端口映射的配置分为以下四类:通用端口映射:对于所有报文,建立端口号与应用层协议的映射关系;基于ACL的主机端口映射:对于匹配指定ACL的报文,建立端口号与应用层协议的映射关系;基于网段的主机端口映射:对于目的地址为指定网段的报文,建立端口号与应用层协议的映射关系;基于IP地址的主机端口映射:对于目的地址为指定IP地址的报文,建立端口号与应用层协议的映射关系.
以上四类端口映射配置对于同一个报文的生效优先级从高到低依次为:基于IP地址、基于网段、基于ACL、通用.
而对于其中的每一类,指定传输层协议名称的配置优先级高于不指定传输层协议名称的配置.
表1-1配置PBAR操作命令说明进入系统视图system-view-配置通用端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]至少选其一缺省情况下,各应用层协议与其对应的知名端口号映射配置映射关系时,如果指定的应用不存在就会创建这个应用配置基于ACL的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]acl[ipv6]acl-number配置基于网段的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]subnet{ipipv4-address{mask-length|mask}|ipv6ipv6-addressprefix-length}[vpn-instancevpn-instance-name]配置基于IP地址的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]host{ip|ipv6}start-ip-address[end-ip-address][vpn-instancevpn-instance-name]1.
3配置应用组可以将具有相似特征的应用添加到一个应用组中或将一个应用组中的应用拷贝到另一个组中.
设备最多可支持配置65536个应用组,每个应用组里最多可以包含65536个自定义应用.
表1-2配置APR应用组操作命令说明进入系统视图system-view-创建应用组,并进入应用组视图app-groupgroup-name缺省情况下,系统中存在若干预定义应用组,可通过displayapp-grouppre-defined命令查看预定义的应用组不允许修改和删除1-3操作命令说明(可选)为自定义的应用组设置描述信息descriptiongroup-description缺省情况下,自定义应用组的描述信息为"User-definedapplicationgroup"在应用组中添加应用includeapplicationapplication-name缺省情况下,自定义应用组中不包含任何应用可以通过多次执行本命令添加多个应用添加应用时,如果对应的应用不存在就会创建这个应用在应用组中拷贝另一个应用组中的所有应用copyapp-groupgroup-name可以通过多次执行本命令拷贝多个应用组里的应用1.
4配置接口的应用统计功能接口的应用统计功能会消耗大量系统内存.
当系统出现内存告警时,请关闭接口的应用统计功能.
在接口上开启应用统计功能之后,设备能够对接口上收到或者发送的报文的数目、速率按照应用层协议分别进行统计,生成的统计信息可以通过displayapplicationstatistics命令查看.
表1-3配置接口的应用统计功能操作命令说明进入系统视图system-view-进入三层接口视图interfaceinterface-typeinterface-number-开启接口的应用统计功能applicationstatisticsenable[inbound|outbound]缺省情况下,接口的应用统计功能处于关闭状态可以同时开启接口两个方向上的应用统计功能1.
5APR显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后APR的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除APR的统计信息.
表1-4APR显示和维护操作命令显示应用信息displayapplication[nameapplication-name|pre-defined|user-defined]显示应用组信息displayapp-group[namegroup-name|pre-defined|user-defined]1-4操作命令显示接口上的应用统计信息(集中式设备)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number|nameapplication-name]*显示接口上的应用统计信息(分布式设备-独立运行模式/集中式IRF设备)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number[slotslot-number]|nameapplication-name]*显示接口上的应用统计信息(分布式设备-IRF模式)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number[chassischassis-numberslotslot-number]|nameapplication-name]*按指定类型的统计排名显示接口应用统计信息(集中式设备)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number按指定类型的统计排名显示接口应用统计信息(分布式设备-独立运行模式/集中式IRF设备)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number[slotslot-number]按指定类型的统计排名显示接口应用统计信息(分布式设备-IRF模式)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number[chassischassis-numberslotslot-number]显示预定义的端口映射信息displayport-mappingpre-defined显示自定义的端口映射信息displayport-mappinguser-defined[applicationapplication-name|portport-number]清除指定接口或所有接口的应用统计信息resetapplicationstatistics[interfaceinterface-typeinterface-number]1.
6APR典型配置举例1.
6.
1APR典型配置举例1.
组网需求主机通过Router与外网相连,通过配置Router实现丢弃主机向外部网络发送的目的端口为8080的HTTP连接报文.
2.
组网图图1-1APR典型配置组网图3.
配置步骤#创建应用组group1,并进入应用组视图.
system-view[Router]app-groupgroup11-5#添加HTTP应用.
[Router-app-group-group1]includeapplicationhttp[Router-app-group-group1]quit#配置HTTP应用层协议与TCP协议、端口8080之间的映射.
[Router]port-mappingapplicationhttpport8080protocoltcp#定义类classifier_1,匹配应用组group1.
[Router]trafficclassifierclassifier_1[Router-classifier-classifier_1]if-matchapp-groupgroup1[Router-classifier-classifier_1]quit#定义流行为bdeny,动作为流量过滤(deny),对数据包进行丢弃.
[Router]trafficbehaviorbdeny[Router-behavior-bdeny]filterdeny[Router-behavior-bdeny]quit#定义策略1,为类classifier_1指定流行为bdeny.
[Router]qospolicy1[Router-qospolicy-1]classifierclassifier_1behaviorbdeny[Router-qospolicy-1]quit#在GigabitEthernet2/0/1入方向上应用QoS策略.
[Router]interfacegigabitethernet2/0/1[Router-GigabitEthernet2/0/1]qosapplypolicy1inbound[Router-GigabitEthernet2/0/1]quit4.
验证配置以上配置完成后,主机将不能与外部网络建立HTTP连接.
1APR简介·1-11.
1.
1PBAR·1-11.
1.
2应用组·1-11.
2配置PBAR1-21.
3配置应用组1-21.
4配置接口的应用统计功能1-31.
5APR显示和维护·1-31.
6APR典型配置举例1-41.
6.
1APR典型配置举例·1-41-11APR配置MSR810/810-W/810-W-DB/810-LM/810-W-LM/2630/3610/3620/3640/3660/3600-28/3600-51路由器使用集中式命令行,MSR5660/5680路由器使用分布式命令行.
1.
1APR简介APR(ApplicationRecognition)即应用层协议识别.
一些基于应用的业务(例如QoS,ASPF)在进行报文处理时需要知道报文所属的应用层协议,APR可以为这样的业务提供应用识别服务,并能够对接口上接收或者发送的某个应用层协议的报文进行数目和速率统计.
APR为了更好地识别报文所属的应用层协议,提供了两种应用识别方法:基于端口的应用识别和基于内容特征的应用识别.
PBAR(PortBasedApplicationRecognition,基于端口的应用层协议识别):根据定义的应用层协议端口与应用的映射关系识别报文所属的应用层协议.
基于内容特征的应用层协议识别:提取应用报文区别于其它应用报文的特征,通过将报文的内容与特征库中的特征项进行匹配来识别报文所属的应用层协议.
这种识别方式目前还不支持.
下文中的应用均指设备可以通过APR识别出的应用层协议.
应用分为预定义应用和自定义应用两种:预定义应用由系统缺省创建;自定义应用由用户通过配置创建.
1.
1.
1PBARPBAR(PortBasedApplicationRecognition,基于端口的应用层协议识别)根据预定义的、自定义的端口与应用的映射关系识别出应用层协议.
预定义的端口与应用的映射关系由系统预先定义,自定义的端口与应用的映射关系由用户配置进行创建.
PBAR提供了以下两种映射机制来维护和使用自定义的端口与应用映射关系:通用端口映射:对用户自定义端口号和应用层协议建立映射关系.
例如:将2121端口映射为FTP协议,这样所有目的端口是2121的报文将被识别为FTP报文.
主机端口映射:对去往某些特定范围内主机的报文建立自定义端口号和应用层协议的映射.
例如:将目的地址为10.
110.
0.
0/16网段的、使用2121端口的报文映射为FTP报文.
主机范围可以通过配置ACL或者指定主机地址、网段来确定.
1.
1.
2应用组可以将具有相似特征的应用添加到一个应用组中.
一个应用组,就是若干个应用的集合.
如果报文被识别为属于某个应用,而该应用又属于某个应用组,则报文相当于被识别为属于某个应用组.
基于应用的业务可以对属于同一个应用组的报文做统一处理.
应用组分为预定义和自定义两种:预定义应用组由系统预先定义并包含了指定的预定义应用;自定义应用组由用户通过配置创建.
一个自定义应用组中可以包含多个预定义应用和自定义应用.
1-21.
2配置PBAR根据与应用层协议进行映射的对象范围的不同,可以将端口映射的配置分为以下四类:通用端口映射:对于所有报文,建立端口号与应用层协议的映射关系;基于ACL的主机端口映射:对于匹配指定ACL的报文,建立端口号与应用层协议的映射关系;基于网段的主机端口映射:对于目的地址为指定网段的报文,建立端口号与应用层协议的映射关系;基于IP地址的主机端口映射:对于目的地址为指定IP地址的报文,建立端口号与应用层协议的映射关系.
以上四类端口映射配置对于同一个报文的生效优先级从高到低依次为:基于IP地址、基于网段、基于ACL、通用.
而对于其中的每一类,指定传输层协议名称的配置优先级高于不指定传输层协议名称的配置.
表1-1配置PBAR操作命令说明进入系统视图system-view-配置通用端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]至少选其一缺省情况下,各应用层协议与其对应的知名端口号映射配置映射关系时,如果指定的应用不存在就会创建这个应用配置基于ACL的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]acl[ipv6]acl-number配置基于网段的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]subnet{ipipv4-address{mask-length|mask}|ipv6ipv6-addressprefix-length}[vpn-instancevpn-instance-name]配置基于IP地址的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]host{ip|ipv6}start-ip-address[end-ip-address][vpn-instancevpn-instance-name]1.
3配置应用组可以将具有相似特征的应用添加到一个应用组中或将一个应用组中的应用拷贝到另一个组中.
设备最多可支持配置65536个应用组,每个应用组里最多可以包含65536个自定义应用.
表1-2配置APR应用组操作命令说明进入系统视图system-view-创建应用组,并进入应用组视图app-groupgroup-name缺省情况下,系统中存在若干预定义应用组,可通过displayapp-grouppre-defined命令查看预定义的应用组不允许修改和删除1-3操作命令说明(可选)为自定义的应用组设置描述信息descriptiongroup-description缺省情况下,自定义应用组的描述信息为"User-definedapplicationgroup"在应用组中添加应用includeapplicationapplication-name缺省情况下,自定义应用组中不包含任何应用可以通过多次执行本命令添加多个应用添加应用时,如果对应的应用不存在就会创建这个应用在应用组中拷贝另一个应用组中的所有应用copyapp-groupgroup-name可以通过多次执行本命令拷贝多个应用组里的应用1.
4配置接口的应用统计功能接口的应用统计功能会消耗大量系统内存.
当系统出现内存告警时,请关闭接口的应用统计功能.
在接口上开启应用统计功能之后,设备能够对接口上收到或者发送的报文的数目、速率按照应用层协议分别进行统计,生成的统计信息可以通过displayapplicationstatistics命令查看.
表1-3配置接口的应用统计功能操作命令说明进入系统视图system-view-进入三层接口视图interfaceinterface-typeinterface-number-开启接口的应用统计功能applicationstatisticsenable[inbound|outbound]缺省情况下,接口的应用统计功能处于关闭状态可以同时开启接口两个方向上的应用统计功能1.
5APR显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后APR的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除APR的统计信息.
表1-4APR显示和维护操作命令显示应用信息displayapplication[nameapplication-name|pre-defined|user-defined]显示应用组信息displayapp-group[namegroup-name|pre-defined|user-defined]1-4操作命令显示接口上的应用统计信息(集中式设备)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number|nameapplication-name]*显示接口上的应用统计信息(分布式设备-独立运行模式/集中式IRF设备)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number[slotslot-number]|nameapplication-name]*显示接口上的应用统计信息(分布式设备-IRF模式)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number[chassischassis-numberslotslot-number]|nameapplication-name]*按指定类型的统计排名显示接口应用统计信息(集中式设备)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number按指定类型的统计排名显示接口应用统计信息(分布式设备-独立运行模式/集中式IRF设备)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number[slotslot-number]按指定类型的统计排名显示接口应用统计信息(分布式设备-IRF模式)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number[chassischassis-numberslotslot-number]显示预定义的端口映射信息displayport-mappingpre-defined显示自定义的端口映射信息displayport-mappinguser-defined[applicationapplication-name|portport-number]清除指定接口或所有接口的应用统计信息resetapplicationstatistics[interfaceinterface-typeinterface-number]1.
6APR典型配置举例1.
6.
1APR典型配置举例1.
组网需求主机通过Router与外网相连,通过配置Router实现丢弃主机向外部网络发送的目的端口为8080的HTTP连接报文.
2.
组网图图1-1APR典型配置组网图3.
配置步骤#创建应用组group1,并进入应用组视图.
system-view[Router]app-groupgroup11-5#添加HTTP应用.
[Router-app-group-group1]includeapplicationhttp[Router-app-group-group1]quit#配置HTTP应用层协议与TCP协议、端口8080之间的映射.
[Router]port-mappingapplicationhttpport8080protocoltcp#定义类classifier_1,匹配应用组group1.
[Router]trafficclassifierclassifier_1[Router-classifier-classifier_1]if-matchapp-groupgroup1[Router-classifier-classifier_1]quit#定义流行为bdeny,动作为流量过滤(deny),对数据包进行丢弃.
[Router]trafficbehaviorbdeny[Router-behavior-bdeny]filterdeny[Router-behavior-bdeny]quit#定义策略1,为类classifier_1指定流行为bdeny.
[Router]qospolicy1[Router-qospolicy-1]classifierclassifier_1behaviorbdeny[Router-qospolicy-1]quit#在GigabitEthernet2/0/1入方向上应用QoS策略.
[Router]interfacegigabitethernet2/0/1[Router-GigabitEthernet2/0/1]qosapplypolicy1inbound[Router-GigabitEthernet2/0/1]quit4.
验证配置以上配置完成后,主机将不能与外部网络建立HTTP连接.
两款半月湾 HMBcloud 春节88折日本和美国CN2 VPS主机套餐
春节期间我们很多朋友都在忙着吃好喝好,当然有时候也会偶然的上网看看。对于我们站长用户来说,基本上需要等到初八之后才会开工,现在有空就看看是否有商家的促销。这里看到来自HMBcloud半月湾服务商有提供两款春节机房方案的VPS主机88折促销活动,分别是来自洛杉矶CN2 GIA和日本CN2的方案。八八折优惠码:CNY-GIA第一、洛杉矶CN2 GIA美国原生IP地址、72小时退款保障、三网回程CN2 ...
10gbiz:香港/洛杉矶CN2直连线路VPS四折优惠,直连香港/香港/洛杉矶CN2四折
10gbiz怎么样?10gbiz在本站也多次分享过,是一家成立于2020的国人主机商家,主要销售VPS和独立服务器,机房目前有中国香港和美国洛杉矶、硅谷等地,线路都非常不错,香港为三网直连,电信走CN2,洛杉矶线路为三网回程CN2 GIA,10gbiz商家七月连续推出各种优惠活动,除了延续之前的VPS产品4折优惠,目前增加了美国硅谷独立服务器首月半价的活动,有需要的朋友可以看看。10gbiz优惠码...
HostYun(月18元),CN2直连香港大带宽VPS 50M带宽起
对于如今的云服务商的竞争着实很激烈,我们可以看到国内国外服务商的各种内卷,使得我们很多个人服务商压力还是比较大的。我们看到这几年的服务商变动还是比较大的,很多新服务商坚持不超过三个月,有的是多个品牌同步进行然后分别的跑路赚一波走人。对于我们用户来说,便宜的服务商固然可以试试,但是如果是不确定的,建议月付或者主力业务尽量的还是注意备份。HostYun 最近几个月还是比较活跃的,在前面也有多次介绍到商...
端口映射为你推荐
-
百度商城百度商城里抽奖全是假的www.kkk.comwww.kkk103.com网站产品质量有保证吗www.jjwxc.net晋江文学网 的网址是什么?psbc.com95580是什么诈骗信息不点网址就安全吧!rawtoolsRAW是什么衣服牌子8090lu.com8090lu.com怎么样了?工程有进展吗?www.33xj.compro/engineer 在哪里下载,为什么找不到下载网站?m.kan84.net经常使用http://www.feikan.cc看电影的进来帮我下啊菊爆盘请问网上百度贴吧里有些下载地址,他们就直接说菊爆盘,然后后面有字母和数字,比如dk几几几的,dadi.tv智能网络电视smartTV是什么牌子