- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-应用层检测引擎命令
本章节下载: 01-应用层检测引擎命令 (217.53 KB)
目 录
1.1.3 inspect cpu-threshold disable
1.1.4 inspect stream-fixed-length
1.1.5 inspect stream-fixed-length disable
1.1.6 inspect tcp-reassemble enable
1.1.7 inspect tcp-reassemble max-segment
非缺省vSystem不支持本特性的部分命令,具体情况请见本文相关描述。有关vSystem的详细介绍请参见“虚拟化技术配置指导”中的“vSystem”。
display inspect status命令用来显示应用层检测引擎的工作状态。
【命令】
display inspect status
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【举例】
# 显示应用层检测引擎的运行状态。
<Sysname> display inspect status
Chassis 0 Slot 1:
Running status: normal
表1-1 display inspect status命令显示信息描述表
|
字段 |
描述 |
|
Running status |
应用层检测引擎的运行状态,包括如下取值: · bypass by configure:因为配置原因引擎无法处理报文 · bypass by cpu busy:因为CPU使用率过高导致引擎无法处理报文 · normal:引擎工作正常 |
inspect bypass命令用来关闭应用层检测引擎功能。
undo inspect bypass命令用来开启应用层检测引擎功能。
【命令】
inspect bypass
undo inspect bypass
【缺省情况】
应用层检测引擎功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
执行此命令会暂时中断DPI业务的处理,可能导致其他基于DPI功能的业务同时出现中断。例如,七层服务器负载均衡无法基于应用对报文进行负载均衡等。
非缺省vSystem不支持本命令。
应用层检测引擎对报文的检测是一个复杂且会占用一定的系统资源的过程。开启应用层检测功能后,如果出现CPU使用率过高等情况时,可以通过关闭此功能来保证设备的正常运行。
【举例】
# 关闭应用层检测引擎功能。
<Sysname> system-view
[Sysname] inspect bypass
【相关命令】
· display inspect status
inspect cpu-threshold disable命令用来关闭CPU门限响应功能。
undo inspect cpu-threshold disable命令用来开启CPU门限响应功能。
【命令】
inspect cpu-threshold disable
undo inspect cpu-threshold disable
【缺省情况】
CPU门限响应功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
应用层检测引擎对报文的检测是一个比较复杂且会占用一定系统资源的过程。当设备的CPU利用率较高时,应用层检测引擎CPU门限响应功能会启动如下机制来缓解系统资源紧张的问题。
· 当CPU利用率达到设备上配置的CPU利用率阈值时,系统会自动关闭应用层检测引擎的检测功能来保证设备的正常运行。
· 当设备的CPU利用率恢复到或低于设备上配置的CPU利用率恢复阈值时,系统会恢复应用层检测引擎的检测功能。
在系统CPU占用率较高的情况下,不建议用户配置此命令。
【举例】
# 关闭CPU门限响应功能。
<Sysname> system-view
[Sysname] inspect cpu-threshold disable
【相关命令】
· display inspect status
· inspect bypass
· inspect stream-fixed-length disable
inspect stream-fixed-length命令用来配置应用层检测引擎检测数据流的固定长度。
undo inspect stream-fixed-length命令用来恢复缺省情况。
【命令】
inspect stream-fixed-length { email I ftp } * length
undo inspect stream-fixed-length
【缺省情况】
应用层检测引擎对FTP协议和与E-mail相关协议数据流的固定检测长度均为32千字节。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
email:表示设置检测与E-mail协议相关类型数据流的固定长度,支持的E-mail协议包括SMTP、POP3和IMAP。
ftp:表示设置检测FTP协议类型数据流的固定长度。
length:表示设置检测指定协议类型数据流的固定长度,取值范围为1~2048,单位为千字节。
【使用指导】
非缺省vSystem不支持本命令。
调高此参数后,设备的吞吐量性能会下降,但是应用层信息识别的成功率会提高;同理调低参数后,设备的吞吐量会增加,但是应用层信息识别的成功率会降低。
【举例】
# 配置应用层检测引擎检测FTP协议类型数据流的固定长度为35千字节,检测HTTP协议类型数据流的固定长度为40千字节。
<Sysname> system-view
[Sysname] inspect stream-fixed-length ftp 35 http 40
【相关命令】
· inspect cpu-threshold disable
· inspect stream-fixed-length disable
inspect stream-fixed-length disable命令用来关闭应用层检测引擎检测固定长度数据流功能。
undo inspect stream-fixed-length disable命令用来开启应用层检测引擎检测固定长度数据流功能。
【命令】
inspect stream-fixed-length disable
undo inspect stream-fixed-length disable
【缺省情况】
应用层检测引擎检测固定长度数据流功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
应用层检测引擎检测固定长度数据流功能,是指应用层检测引擎只检测每条数据流首包后固定长度内的数据,不再检测超出固定长度后的数据。
【举例】
# 关闭应用层检测引擎检测固定长度数据流功能。
<Sysname> system-view
[Sysname] inspect stream-fixed-length disable
【相关命令】
· inspect cpu-threshold disable
· inspect stream-fixed-length
inspect tcp-reassemble enable命令用来开启TCP数据段重组功能。
undo inspect tcp-reassemble enable命令用来关闭TCP数据段重组功能。
【命令】
inspect tcp-reassemble enable
undo inspect tcp-reassemble enable
【缺省情况】
TCP数据段重组功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
大量的TCP乱序数据段极有可能会造成应用层检测引擎对此TCP数据流检测失败。例如应用层检测引擎需要检测TCP载荷中是否包含关键字“this is a secret”,由于数据段乱序,可能含有“a secret”的数据段先到达设备,含有“this is”的数据段后到达设备,这样就会造成应用层检测引擎对此TCP数据流检测失败。
为了提高应用层检测引擎对TCP数据流检测的准确率,可以在设备上开启TCP数据段重组功能。当接收到乱序的TCP数据段时,设备会将此数据段和来自于同一条数据流的后续数据段暂时保存至缓冲区,进行TCP数据段重组,完成数据段重组再送往后续流程处理。
若缓冲区中已缓存的数据段数目达到最大值(可以通过inspect tcp-reassemble max-segment命令来配置)时仍无法成功重组,则设备直接将已缓存的乱序数据段和此条数据流的所有后续TCP数据段送往后续流程处理,不再进行TCP重组。这样可以降低对设备转发性能的影响。
【举例】
# 开启TCP数据段重组功能。
<Sysname> system-view
[Sysname] inspect tcp-reassemble enable
【相关命令】
· inspect tcp-reassemble max-segment
inspect tcp-reassemble max-segment命令用来配置TCP重组缓冲区可缓存的TCP数据段最大数目。
undo inspect tcp-reassemble max-segment命令用来恢复缺省情况。
【命令】
inspect tcp-reassemble max-segment max-number
undo inspect tcp-reassemble max-segment
【缺省情况】
TCP重组缓冲区可缓存的TCP数据段最大数目为10。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
max-number:表示TCP重组缓冲区可缓存的TCP数据段最大数目,取值范围为10~50。
【使用指导】
非缺省vSystem不支持本命令。
在存在大量TCP乱序数据段的网络环境中,调高此参数,则可提高应用层检测引擎对TCP数据段检测的准确率,但是设备转发性能可能会下降。若调低此参数可避免因长时间缓存TCP数据段而造成设备转发性能下降,但是应用层检测引擎对TCP数据段检测的准确率会降低。请根据实际情况调整此参数。
本命令仅在开启TCP数据段重组功能后生效。
【举例】
# 配置TCP重组缓冲区中可缓存的TCP数据段最大数目为20。
<Sysname> system-view
[Sysname] inspect tcp-reassemble max-segment 20
【相关命令】
· inspect tcp-reassemble enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
