报文端口映射
端口映射 时间:2021-04-03 阅读:()
i目录1APR配置·1-11.
1APR简介·1-11.
1.
1PBAR·1-11.
1.
2应用组·1-11.
2配置PBAR1-21.
3配置应用组1-21.
4配置接口的应用统计功能1-31.
5APR显示和维护·1-31.
6APR典型配置举例1-41.
6.
1APR典型配置举例·1-41-11APR配置MSR810/810-W/810-W-DB/810-LM/810-W-LM/2630/3610/3620/3640/3660/3600-28/3600-51路由器使用集中式命令行,MSR5660/5680路由器使用分布式命令行.
1.
1APR简介APR(ApplicationRecognition)即应用层协议识别.
一些基于应用的业务(例如QoS,ASPF)在进行报文处理时需要知道报文所属的应用层协议,APR可以为这样的业务提供应用识别服务,并能够对接口上接收或者发送的某个应用层协议的报文进行数目和速率统计.
APR为了更好地识别报文所属的应用层协议,提供了两种应用识别方法:基于端口的应用识别和基于内容特征的应用识别.
PBAR(PortBasedApplicationRecognition,基于端口的应用层协议识别):根据定义的应用层协议端口与应用的映射关系识别报文所属的应用层协议.
基于内容特征的应用层协议识别:提取应用报文区别于其它应用报文的特征,通过将报文的内容与特征库中的特征项进行匹配来识别报文所属的应用层协议.
这种识别方式目前还不支持.
下文中的应用均指设备可以通过APR识别出的应用层协议.
应用分为预定义应用和自定义应用两种:预定义应用由系统缺省创建;自定义应用由用户通过配置创建.
1.
1.
1PBARPBAR(PortBasedApplicationRecognition,基于端口的应用层协议识别)根据预定义的、自定义的端口与应用的映射关系识别出应用层协议.
预定义的端口与应用的映射关系由系统预先定义,自定义的端口与应用的映射关系由用户配置进行创建.
PBAR提供了以下两种映射机制来维护和使用自定义的端口与应用映射关系:通用端口映射:对用户自定义端口号和应用层协议建立映射关系.
例如:将2121端口映射为FTP协议,这样所有目的端口是2121的报文将被识别为FTP报文.
主机端口映射:对去往某些特定范围内主机的报文建立自定义端口号和应用层协议的映射.
例如:将目的地址为10.
110.
0.
0/16网段的、使用2121端口的报文映射为FTP报文.
主机范围可以通过配置ACL或者指定主机地址、网段来确定.
1.
1.
2应用组可以将具有相似特征的应用添加到一个应用组中.
一个应用组,就是若干个应用的集合.
如果报文被识别为属于某个应用,而该应用又属于某个应用组,则报文相当于被识别为属于某个应用组.
基于应用的业务可以对属于同一个应用组的报文做统一处理.
应用组分为预定义和自定义两种:预定义应用组由系统预先定义并包含了指定的预定义应用;自定义应用组由用户通过配置创建.
一个自定义应用组中可以包含多个预定义应用和自定义应用.
1-21.
2配置PBAR根据与应用层协议进行映射的对象范围的不同,可以将端口映射的配置分为以下四类:通用端口映射:对于所有报文,建立端口号与应用层协议的映射关系;基于ACL的主机端口映射:对于匹配指定ACL的报文,建立端口号与应用层协议的映射关系;基于网段的主机端口映射:对于目的地址为指定网段的报文,建立端口号与应用层协议的映射关系;基于IP地址的主机端口映射:对于目的地址为指定IP地址的报文,建立端口号与应用层协议的映射关系.
以上四类端口映射配置对于同一个报文的生效优先级从高到低依次为:基于IP地址、基于网段、基于ACL、通用.
而对于其中的每一类,指定传输层协议名称的配置优先级高于不指定传输层协议名称的配置.
表1-1配置PBAR操作命令说明进入系统视图system-view-配置通用端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]至少选其一缺省情况下,各应用层协议与其对应的知名端口号映射配置映射关系时,如果指定的应用不存在就会创建这个应用配置基于ACL的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]acl[ipv6]acl-number配置基于网段的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]subnet{ipipv4-address{mask-length|mask}|ipv6ipv6-addressprefix-length}[vpn-instancevpn-instance-name]配置基于IP地址的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]host{ip|ipv6}start-ip-address[end-ip-address][vpn-instancevpn-instance-name]1.
3配置应用组可以将具有相似特征的应用添加到一个应用组中或将一个应用组中的应用拷贝到另一个组中.
设备最多可支持配置65536个应用组,每个应用组里最多可以包含65536个自定义应用.
表1-2配置APR应用组操作命令说明进入系统视图system-view-创建应用组,并进入应用组视图app-groupgroup-name缺省情况下,系统中存在若干预定义应用组,可通过displayapp-grouppre-defined命令查看预定义的应用组不允许修改和删除1-3操作命令说明(可选)为自定义的应用组设置描述信息descriptiongroup-description缺省情况下,自定义应用组的描述信息为"User-definedapplicationgroup"在应用组中添加应用includeapplicationapplication-name缺省情况下,自定义应用组中不包含任何应用可以通过多次执行本命令添加多个应用添加应用时,如果对应的应用不存在就会创建这个应用在应用组中拷贝另一个应用组中的所有应用copyapp-groupgroup-name可以通过多次执行本命令拷贝多个应用组里的应用1.
4配置接口的应用统计功能接口的应用统计功能会消耗大量系统内存.
当系统出现内存告警时,请关闭接口的应用统计功能.
在接口上开启应用统计功能之后,设备能够对接口上收到或者发送的报文的数目、速率按照应用层协议分别进行统计,生成的统计信息可以通过displayapplicationstatistics命令查看.
表1-3配置接口的应用统计功能操作命令说明进入系统视图system-view-进入三层接口视图interfaceinterface-typeinterface-number-开启接口的应用统计功能applicationstatisticsenable[inbound|outbound]缺省情况下,接口的应用统计功能处于关闭状态可以同时开启接口两个方向上的应用统计功能1.
5APR显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后APR的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除APR的统计信息.
表1-4APR显示和维护操作命令显示应用信息displayapplication[nameapplication-name|pre-defined|user-defined]显示应用组信息displayapp-group[namegroup-name|pre-defined|user-defined]1-4操作命令显示接口上的应用统计信息(集中式设备)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number|nameapplication-name]*显示接口上的应用统计信息(分布式设备-独立运行模式/集中式IRF设备)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number[slotslot-number]|nameapplication-name]*显示接口上的应用统计信息(分布式设备-IRF模式)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number[chassischassis-numberslotslot-number]|nameapplication-name]*按指定类型的统计排名显示接口应用统计信息(集中式设备)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number按指定类型的统计排名显示接口应用统计信息(分布式设备-独立运行模式/集中式IRF设备)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number[slotslot-number]按指定类型的统计排名显示接口应用统计信息(分布式设备-IRF模式)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number[chassischassis-numberslotslot-number]显示预定义的端口映射信息displayport-mappingpre-defined显示自定义的端口映射信息displayport-mappinguser-defined[applicationapplication-name|portport-number]清除指定接口或所有接口的应用统计信息resetapplicationstatistics[interfaceinterface-typeinterface-number]1.
6APR典型配置举例1.
6.
1APR典型配置举例1.
组网需求主机通过Router与外网相连,通过配置Router实现丢弃主机向外部网络发送的目的端口为8080的HTTP连接报文.
2.
组网图图1-1APR典型配置组网图3.
配置步骤#创建应用组group1,并进入应用组视图.
system-view[Router]app-groupgroup11-5#添加HTTP应用.
[Router-app-group-group1]includeapplicationhttp[Router-app-group-group1]quit#配置HTTP应用层协议与TCP协议、端口8080之间的映射.
[Router]port-mappingapplicationhttpport8080protocoltcp#定义类classifier_1,匹配应用组group1.
[Router]trafficclassifierclassifier_1[Router-classifier-classifier_1]if-matchapp-groupgroup1[Router-classifier-classifier_1]quit#定义流行为bdeny,动作为流量过滤(deny),对数据包进行丢弃.
[Router]trafficbehaviorbdeny[Router-behavior-bdeny]filterdeny[Router-behavior-bdeny]quit#定义策略1,为类classifier_1指定流行为bdeny.
[Router]qospolicy1[Router-qospolicy-1]classifierclassifier_1behaviorbdeny[Router-qospolicy-1]quit#在GigabitEthernet2/0/1入方向上应用QoS策略.
[Router]interfacegigabitethernet2/0/1[Router-GigabitEthernet2/0/1]qosapplypolicy1inbound[Router-GigabitEthernet2/0/1]quit4.
验证配置以上配置完成后,主机将不能与外部网络建立HTTP连接.
1APR简介·1-11.
1.
1PBAR·1-11.
1.
2应用组·1-11.
2配置PBAR1-21.
3配置应用组1-21.
4配置接口的应用统计功能1-31.
5APR显示和维护·1-31.
6APR典型配置举例1-41.
6.
1APR典型配置举例·1-41-11APR配置MSR810/810-W/810-W-DB/810-LM/810-W-LM/2630/3610/3620/3640/3660/3600-28/3600-51路由器使用集中式命令行,MSR5660/5680路由器使用分布式命令行.
1.
1APR简介APR(ApplicationRecognition)即应用层协议识别.
一些基于应用的业务(例如QoS,ASPF)在进行报文处理时需要知道报文所属的应用层协议,APR可以为这样的业务提供应用识别服务,并能够对接口上接收或者发送的某个应用层协议的报文进行数目和速率统计.
APR为了更好地识别报文所属的应用层协议,提供了两种应用识别方法:基于端口的应用识别和基于内容特征的应用识别.
PBAR(PortBasedApplicationRecognition,基于端口的应用层协议识别):根据定义的应用层协议端口与应用的映射关系识别报文所属的应用层协议.
基于内容特征的应用层协议识别:提取应用报文区别于其它应用报文的特征,通过将报文的内容与特征库中的特征项进行匹配来识别报文所属的应用层协议.
这种识别方式目前还不支持.
下文中的应用均指设备可以通过APR识别出的应用层协议.
应用分为预定义应用和自定义应用两种:预定义应用由系统缺省创建;自定义应用由用户通过配置创建.
1.
1.
1PBARPBAR(PortBasedApplicationRecognition,基于端口的应用层协议识别)根据预定义的、自定义的端口与应用的映射关系识别出应用层协议.
预定义的端口与应用的映射关系由系统预先定义,自定义的端口与应用的映射关系由用户配置进行创建.
PBAR提供了以下两种映射机制来维护和使用自定义的端口与应用映射关系:通用端口映射:对用户自定义端口号和应用层协议建立映射关系.
例如:将2121端口映射为FTP协议,这样所有目的端口是2121的报文将被识别为FTP报文.
主机端口映射:对去往某些特定范围内主机的报文建立自定义端口号和应用层协议的映射.
例如:将目的地址为10.
110.
0.
0/16网段的、使用2121端口的报文映射为FTP报文.
主机范围可以通过配置ACL或者指定主机地址、网段来确定.
1.
1.
2应用组可以将具有相似特征的应用添加到一个应用组中.
一个应用组,就是若干个应用的集合.
如果报文被识别为属于某个应用,而该应用又属于某个应用组,则报文相当于被识别为属于某个应用组.
基于应用的业务可以对属于同一个应用组的报文做统一处理.
应用组分为预定义和自定义两种:预定义应用组由系统预先定义并包含了指定的预定义应用;自定义应用组由用户通过配置创建.
一个自定义应用组中可以包含多个预定义应用和自定义应用.
1-21.
2配置PBAR根据与应用层协议进行映射的对象范围的不同,可以将端口映射的配置分为以下四类:通用端口映射:对于所有报文,建立端口号与应用层协议的映射关系;基于ACL的主机端口映射:对于匹配指定ACL的报文,建立端口号与应用层协议的映射关系;基于网段的主机端口映射:对于目的地址为指定网段的报文,建立端口号与应用层协议的映射关系;基于IP地址的主机端口映射:对于目的地址为指定IP地址的报文,建立端口号与应用层协议的映射关系.
以上四类端口映射配置对于同一个报文的生效优先级从高到低依次为:基于IP地址、基于网段、基于ACL、通用.
而对于其中的每一类,指定传输层协议名称的配置优先级高于不指定传输层协议名称的配置.
表1-1配置PBAR操作命令说明进入系统视图system-view-配置通用端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]至少选其一缺省情况下,各应用层协议与其对应的知名端口号映射配置映射关系时,如果指定的应用不存在就会创建这个应用配置基于ACL的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]acl[ipv6]acl-number配置基于网段的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]subnet{ipipv4-address{mask-length|mask}|ipv6ipv6-addressprefix-length}[vpn-instancevpn-instance-name]配置基于IP地址的主机端口映射port-mappingapplicationapplication-nameportport-number[protocolprotocol-name]host{ip|ipv6}start-ip-address[end-ip-address][vpn-instancevpn-instance-name]1.
3配置应用组可以将具有相似特征的应用添加到一个应用组中或将一个应用组中的应用拷贝到另一个组中.
设备最多可支持配置65536个应用组,每个应用组里最多可以包含65536个自定义应用.
表1-2配置APR应用组操作命令说明进入系统视图system-view-创建应用组,并进入应用组视图app-groupgroup-name缺省情况下,系统中存在若干预定义应用组,可通过displayapp-grouppre-defined命令查看预定义的应用组不允许修改和删除1-3操作命令说明(可选)为自定义的应用组设置描述信息descriptiongroup-description缺省情况下,自定义应用组的描述信息为"User-definedapplicationgroup"在应用组中添加应用includeapplicationapplication-name缺省情况下,自定义应用组中不包含任何应用可以通过多次执行本命令添加多个应用添加应用时,如果对应的应用不存在就会创建这个应用在应用组中拷贝另一个应用组中的所有应用copyapp-groupgroup-name可以通过多次执行本命令拷贝多个应用组里的应用1.
4配置接口的应用统计功能接口的应用统计功能会消耗大量系统内存.
当系统出现内存告警时,请关闭接口的应用统计功能.
在接口上开启应用统计功能之后,设备能够对接口上收到或者发送的报文的数目、速率按照应用层协议分别进行统计,生成的统计信息可以通过displayapplicationstatistics命令查看.
表1-3配置接口的应用统计功能操作命令说明进入系统视图system-view-进入三层接口视图interfaceinterface-typeinterface-number-开启接口的应用统计功能applicationstatisticsenable[inbound|outbound]缺省情况下,接口的应用统计功能处于关闭状态可以同时开启接口两个方向上的应用统计功能1.
5APR显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后APR的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除APR的统计信息.
表1-4APR显示和维护操作命令显示应用信息displayapplication[nameapplication-name|pre-defined|user-defined]显示应用组信息displayapp-group[namegroup-name|pre-defined|user-defined]1-4操作命令显示接口上的应用统计信息(集中式设备)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number|nameapplication-name]*显示接口上的应用统计信息(分布式设备-独立运行模式/集中式IRF设备)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number[slotslot-number]|nameapplication-name]*显示接口上的应用统计信息(分布式设备-IRF模式)displayapplicationstatistics[direction{inbound|outbound}|interfaceinterface-typeinterface-number[chassischassis-numberslotslot-number]|nameapplication-name]*按指定类型的统计排名显示接口应用统计信息(集中式设备)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number按指定类型的统计排名显示接口应用统计信息(分布式设备-独立运行模式/集中式IRF设备)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number[slotslot-number]按指定类型的统计排名显示接口应用统计信息(分布式设备-IRF模式)displayapplicationstatisticstopnumber{bps|bytes|packets|pps}interfaceinterface-typeinterface-number[chassischassis-numberslotslot-number]显示预定义的端口映射信息displayport-mappingpre-defined显示自定义的端口映射信息displayport-mappinguser-defined[applicationapplication-name|portport-number]清除指定接口或所有接口的应用统计信息resetapplicationstatistics[interfaceinterface-typeinterface-number]1.
6APR典型配置举例1.
6.
1APR典型配置举例1.
组网需求主机通过Router与外网相连,通过配置Router实现丢弃主机向外部网络发送的目的端口为8080的HTTP连接报文.
2.
组网图图1-1APR典型配置组网图3.
配置步骤#创建应用组group1,并进入应用组视图.
system-view[Router]app-groupgroup11-5#添加HTTP应用.
[Router-app-group-group1]includeapplicationhttp[Router-app-group-group1]quit#配置HTTP应用层协议与TCP协议、端口8080之间的映射.
[Router]port-mappingapplicationhttpport8080protocoltcp#定义类classifier_1,匹配应用组group1.
[Router]trafficclassifierclassifier_1[Router-classifier-classifier_1]if-matchapp-groupgroup1[Router-classifier-classifier_1]quit#定义流行为bdeny,动作为流量过滤(deny),对数据包进行丢弃.
[Router]trafficbehaviorbdeny[Router-behavior-bdeny]filterdeny[Router-behavior-bdeny]quit#定义策略1,为类classifier_1指定流行为bdeny.
[Router]qospolicy1[Router-qospolicy-1]classifierclassifier_1behaviorbdeny[Router-qospolicy-1]quit#在GigabitEthernet2/0/1入方向上应用QoS策略.
[Router]interfacegigabitethernet2/0/1[Router-GigabitEthernet2/0/1]qosapplypolicy1inbound[Router-GigabitEthernet2/0/1]quit4.
验证配置以上配置完成后,主机将不能与外部网络建立HTTP连接.
CloudServer:$4/月KVM-2GB/50GB/5TB/三个数据中心
CloudServer是一家新的VPS主机商,成立了差不多9个月吧,提供基于KVM架构的VPS主机,支持Linux或者Windows操作系统,数据中心在美国纽约、洛杉矶和芝加哥机房,都是ColoCrossing的机器。目前商家在LEB提供了几款特价套餐,最低月付4美元(或者$23.88/年),购买更高级别套餐还能三个月费用使用6个月,等于前半年五折了。下面列出几款特别套餐配置信息。CPU:1cor...
raksmart:全新cloud云服务器系列测评,告诉你raksmart新产品效果好不好
2021年6月底,raksmart开发出来的新产品“cloud-云服务器”正式上线对外售卖,当前只有美国硅谷机房(或许以后会有其他数据中心加入)可供选择。或许你会问raksmart云服务器怎么样啊、raksm云服务器好不好、网络速度快不好之类的废话(不实测的话),本着主机测评趟雷、大家受益的原则,先开一个给大家测评一下!官方网站:https://www.raksmart.com云服务器的说明:底层...
Megalayer(159元 )年付CN2优化带宽VPS
Megalayer 商家我们还算是比较熟悉的,商家主要业务方向是CN2优化带宽、国际BGP和全向带宽的独立服务器和站群服务器,且后来也有增加云服务器(VPS主机)业务。这次中秋节促销活动期间,有发布促销活动,这次活动力度认为还是比较大的,有提供香港、美国、菲律宾的年付VPS主机,CN2优化方案线路的低至年付159元。这次活动截止到10月30日,如果我们有需要的话可以选择。第一、特价限量年付VPS主...
端口映射为你推荐
-
留学生认证留学生为什么要做学历认证?access数据库access数据库主要学什么李子柒年入1.6亿魔兽rpg箱庭世界1.6怎么进入魔门bbs.99nets.com怎么把电脑的IP设置和路由器一个网段比肩工场比肩是什么意思,行比肩大运的主要意象陈嘉垣马德钟狼吻案事件是怎么回事haole018.comhttp://www.haoledy.com/view/32092.html 轩辕剑天之痕11、12集在线观看haokandianyingwang谁给个好看的电影网站看看。汴京清谈求好看的鼠猫文~222cc.com求都市后宫小说、越多越好