21-APR配置
本章节下载: 21-APR配置 (192.42 KB)
目 录
APR(Application Recognition)即应用层协议识别。一些基于应用的业务(例如QoS,ASPF等)在进行报文处理时需要知道报文所属的应用层协议,APR可以为这样的业务提供应用识别服务,并能够对接口上接收或者发送的某个应用层协议的报文进行数量和速率统计。APR为了更好地识别报文所属的应用层协议,提供了一种基于端口的应用识别(PBAR)。
PBAR(Port Based Application Recognition,基于端口的应用层协议识别)根据端口与应用的映射关系识别出应用层协议。映射关系包括系统预定义的映射以及用户配置的自定义映射。
PBAR提供了以下两种映射机制来维护和使用自定义的端口与应用映射关系:
· 通用端口映射:对管理员自定义端口号和应用层协议建立映射关系。例如:将2121端口映射为FTP协议,这样所有目的端口是2121的报文将被识别为FTP报文。
· 主机端口映射:对去往某些特定范围内主机的报文建立自定义端口号和应用层协议的映射。例如:将目的地址为10.110.0.0/16网段的、使用2121端口的报文映射为FTP报文。主机范围可以通过配置ACL或者指定主机地址、网段来确定。
根据与应用层协议进行映射的对象范围的不同,可以将端口映射分为以下四类:
· 通用端口映射:对于所有报文,建立端口号与应用层协议的映射关系;
· 基于ACL的主机端口映射:对于匹配指定ACL的报文,建立端口号与应用层协议的映射关系;
· 基于网段的主机端口映射:对于目的地址为指定网段的报文,建立端口号与应用层协议的映射关系;
· 基于IP地址的主机端口映射:对于目的地址为指定IP地址的报文,建立端口号与应用层协议的映射关系。
以上四类端口映射配置对于同一个报文的生效优先级从高到低依次为:基于IP地址、基于网段、基于ACL、通用。而对于其中的每一类,指定传输层协议名称的配置优先级高于不指定传输层协议名称的配置。
可以将具有相似特征的应用添加到一个应用组中。一个应用组,就是若干个应用的集合。如果报文被识别为属于某个应用,而该应用又属于某个应用组,则报文相当于被识别为属于某个应用组。基于应用的业务可以对属于同一个应用组的报文做统一处理。
应用组分为预定义和自定义两种:预定义应用组由系统预先定义并包含了指定的预定义应用,预定义的应用组不允许修改和删除;自定义应用组由管理员通过配置创建。一个自定义应用组中可以包含多个预定义应用和自定义应用。
APR配置任务如下:
(1) 配置PBAR
(2) (可选)配置应用组
(3) (可选)配置接口的应用统计功能
(1) 进入系统视图。
system-view
(2) 配置端口映射。请至少选择其中一项进行配置。
¡ 配置通用端口映射。
port-mapping application application-name port port-number [ protocol protocol-name ]
¡ 配置基于ACL的主机端口映射。
port-mapping application application-name port port-number [ protocol protocol-name ] acl [ ipv6 ] acl-number
¡ 配置基于网段的主机端口映射。
port-mapping application application-name port port-number [ protocol protocol-name ] subnet { ip ipv4-address { mask-length | mask } | ipv6 ipv6-address prefix-length } [ vpn-instance vpn-instance-name ]
¡ 配置基于IP地址的主机端口映射。
port-mapping application application-name port port-number [ protocol protocol-name ] host { ip | ipv6 } start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ]
缺省情况下,各应用层协议与其对应的知名端口号映射。
配置映射关系时,如果指定的应用不存在就会创建这个应用。
可以将具有相似特征或者相似限制要求的应用添加到一个应用组中或将一个应用组中的所有应用复制到另一个应用组中。设备最多可支持配置65536个应用组,每个应用组里最多可以包含65536个自定义应用。
(1) 进入系统视图。
system-view
(2) 创建应用组,并进入应用组视图。
app-group group-name
缺省情况下,系统中存在若干预定义应用组,可通过display app-group pre-defined命令查看。
(3) (可选)为自定义的应用组设置描述信息。
description text
缺省情况下,自定义应用组的描述信息为“User-defined application group”。
(4) 在应用组中添加应用。
include application application-name
缺省情况下,自定义应用组中不包含应用。
可以通过多次执行本命令添加多个应用,如果对应的应用不存在就会创建这个应用。
(5) (可选)在应用组中复制另一个应用组中的所有应用。
copy app-group group-name
可以通过多次执行本命令复制多个应用组里的应用。
在接口上开启应用统计功能之后,设备能够对接口上收到或者发送的报文的数目、速率按照应用层协议分别进行统计,生成的统计信息可以通过display application statistics命令查看。
接口的应用统计功能会占用大量系统内存,当系统出现内存告警时,请关闭接口的应用统计功能。
(1) 进入系统视图。
system-view
(2) 进入三层接口视图。
interface interface-type interface-number
(3) 开启接口的应用统计功能。
application statistics enable [ inbound | outbound ]
缺省情况下,接口的应用统计功能处于关闭状态。
可以通过多次执行本命令,同时开启接口两个方向上的应用统计功能。
在完成上述配置后,在任意视图下执行display命令可以显示配置后APR的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除APR的统计信息。
表1-1 APR显示和维护
|
操作 |
命令 |
|
显示应用信息 |
display application [ name application-name | pre-defined | user-defined ] |
|
显示应用组信息 |
display app-group [ name group-name | pre-defined | user-defined ] |
|
显示接口上的应用统计信息 |
display application statistics [ direction { inbound | outbound } | interface interface-type interface-number [ slot slot-number ] | name application-name ] * |
|
按指定类型的统计排名显示接口应用统计信息 |
display application statistics top number { bps | bytes | packets | pps } interface interface-type interface-number [ slot slot-number ] |
|
显示预定义的端口映射信息 |
display port-mapping pre-defined |
|
显示自定义的端口映射信息 |
display port-mapping user-defined [ application application-name | port port-number ] |
|
清除接口上的应用统计信息 |
reset application statistics [ interface interface-type interface-number ] |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
