08-SecPath防火墙DAR特性V2.0(精)

1、DAR 特性应用排错SecPath防火墙DAR特性ISSUE 2.0杭州华三谪信技术有限公司版权所有.未经授权不得使用与传ISIToIP解决方赛专家日期：DAR特性简介H3CDAR 特性应用排错目录DAR 特性简介P2P 限流介绍DAR 命令DAR特性简介H3CDAR 特性应用排错深度应用感知(Deeper Application Recognition,简称DAR) DAR是一个智能的识别分类工具，它可以对报文中第4层 到第7层的内容和一些动态协议(如BT、HTTP、FTP、RTP)进行检查和识别，以区分出各种基于应用的协议， 它也能够对某些应用协议的载荷进行匹配目录DAR 特性简介DAR特

2、性简介H3CDAR 特性应用排错P2P流介绍DAR 命令P2P限流介绍H3C P2P技术是一种用于不同PC用户之间、不经过中继设备 直接交换数据或服务的技术。由于P2P技术的飞速发展，互联网的存储模式将由目前的 “内容位于中心”模式转变为“内容分散存储”模式，改 变了Internet现在的以大网站为中心的流量状态。网上常用的P2P软件主要有BT、eDonkey、eMule等。目录DAR 特性简介P2P 限流介绍DAR 命令DAR 特性应用排错创建BT报文的流分类创建BT报文的流行为创建BT报文的QoS策略将BT报文的QoS策略应用到相应的网络接口上DAR命令之一配置对 BT 报文的匹配规则H3

3、C traffic classifier btH3C-classifier-bt if-match protocol bittorrent配置对 BT 报文的限流规则（限流在 20K）H3Ctraffic behavior btH3C-behavior-btcar cir 160000BT报文识别和限流的基本配置H3CH3C在某个策略上应用对BT报文的匹配规则H3C qos policy policysample H3C-qospolicy-policysampleclassilier bt behavior bt将BT报文的QOS策略应用到相应的网络接口上：H3Cinterface type

4、 number H3C-GigabitEthernetO/1 qos applypolicy policysample outbound |inboundDAR命令之二H3C目录DAR 特性简介P2P 限流介绍DAR 命令DAR 特性应用排错DAR典型应用H3C要求在SecPath对内网用户上传和下载BT进行限流组网图组网图: :详细配置（一）H3Cfirewall packet-filter default permit防火墙包过滤默认改为允许防火墙包过滤默认改为允许H3Cfirewall zone untrustH3C-zone-untrust add interface GigabitE

5、thernetO/O添加外期接口到添加外期接口到unjust域域H3Cfirewall zone trustH3C-zone-trust add interface GigabitEthernet 0/1添加内网接口到添加内网接口到trust域域H3C acl number 2002创建标准访问控制列表创建标准访问控制列表2002H3C-acl-basic-2002rule permit配置需要进行配置需要进行NAT转换的转换的P地址范围地址范围H3Cacl number 3010创建高级访问控制列表创建高级访问控制列表3010H3C-acl-adv-301 OJrule permit ip

6、destination 55配置需要限制配置需要限制B T下载的下载的P网段网段H3C外网出户详细配置（二）H3CH3C-acl-adv-301 OJrule deny ip不限制其他网段的不限制其他网段的BT下载下载2详细配置（二）H3CH3Cacl number 3011H3C-acl-adv-3011rule permit ip source 55配置霜要限制配置霜要限制BT上传的上传的P网段网段H3C-acl-adv-3011 Jrule deny ip不限制其他阿段的不限制其他阿段的BT上传上传H3Ctime-r

7、angetest 08:30 to 18:00 working-day创建创建BT报文限流的时间段报文限流的时间段H3Cacl number 2001H3C-acl-basic-2001 Jrule permit time-range test配置配置BT报文限流的时间段报文限流的时间段H3C interface GigabitEthernet 0/0H3C-GigabitEthernet0/0 ip address H3C-GigabitEthernet0/0 nat outbound 20021/直接使用该接口的直接使用该接口的P地址作地址

8、作为为NAT转换后转换后的的IP地址地址,对匹配标准访问控制对匹配标准访问控制列表列表2002的数据报文的源地址进行的数据报文的源地址进行NA丫转换丫转换详细配置（三）H3CH3Cinterface GigabitEthernet 0/1H3C-GigabitEthernetO/1 ip address H3Ctrafficclassifier BT_Download创建创建BT下载报文流分类下载报文流分类H3C-classifier-BT_Downloadif match protocol bittorrent匹配匹配BT报文报文H3C-cl

9、assifier-BT_Downloadif-match acl 3010配置需要限制配置需要限制B T下载的下载的IP网段网段H3C-classifier-BT_Downloadif match acl 2001配置需要限制配置需要限制BT下载的时间段下载的时间段H3C traffic classifier BT_Upload创建创建BT上传报文流分类上传报文流分类详细配置（二）H3CH3C-classifier-BT_Uploadif-match protocol bittorrent匹配匹配BT报文报文H3C-classifier-BT_Uploadif-match acl 3011配置

10、需要限制配置需要限制BT上传的沪网段上传的沪网段H3C-classifier-BT_Uploadif-match acl 2001配置需要限制配置需要限制BT上传的时间段上传的时间段14详细配置（四）H3CH3Ctraffic behavior BT_Download创建创建B下报文下载流行为下报文下载流行为H3C-behavior-BT_Downloadcar cir 160000限流限流160kbpsH3Ctraffic behavior BT_Upload创建创建BY报文上传流行为报文上传流行为H3C-behavior-BT_Uploadcar cir 160000限流限流160kbps

11、H3Cqos policy BT_Download创連创連BT报文下载报文下载QOS策略策略H3C-qospolicy-BT_Downloadclassifier BT_Download behaviorBT_Download创建创建BT报文下载报文下载QOS策略策略H3C qos policy BT_Upload创建创建BT报文上传报文上传QOS策略策略H3C-qospolicy-BT_Uploadclassifier BT_Upload behavior BT_Upload创建创建BT报文上传报文上传QOS策略策略H3C interface GigabitEthernet 0/1 H3C-

12、GigabitEthernetO/1 qos apply policyBT_Download outbound在内网接口上应用在内网接口上应用BT报文下載报文下載QOS策略策略H3C-GigabitEthernetO/1 qos apply policy BT_Upload inbound在内网接口上应用在内网接口上应用BT报文上传报文上传QOS策略策略DAR调试与显示H3C目录DAR 特性简介P2P 限流介绍DAR 命令DAR 特性应用DAR 调试与排错DAR调试与显示H3C操作命令查看DAR的模块信息display dar information查看DAR的协议信息display dar

13、protocol all | protocol-name 查看用户预定义协议的重命名信息display dar protocol-rename查看DAR的报文统计信息display dar protocol-statistic protocol protocol name | top top-number | all interface type numberdirection in | out打开DAR的调试信息开关debugging dar packet | eve nt | error | all 关闭DAR的调试信息开关undo debugging dar packet | event

14、 | error | all清除会话连接缓存reset dar session淸除DAR的协议统计信息reset dar protocol-statistic protocol protocol- name |interface type number * | No.Time| Source *DestinationProtocol | Info5 0.0018155361. 52.107.62TCP3 564 901(3 O.OQ009173.0.253221.19388171BitTor Handshake2 0.00006453222.209.94

15、.53TCP3229 203(1 A CCCCCC*1 n n fJL C JENAA JCCk f A A HT/OS3 Q、HI Frame 3 (122 byres on wire, 122 bytes captured) Ethernet II, Src: Micro-St_5e:7c:lf00:10:dc:52；7个：1宁)，Dst: HuaweiTe_4DAR应用BT特征码H3C.A| . . .E.00C119itTorrenolexprot .N.h?.t prctoc o.0-447bdora4 dJ raodbof d08004e/coaslPO阳.aA-UD2 2 4 0

16、2of obecl98sn eo.u08 C3ro8o00 4 04 8 odco eoc 4 3商b4ce41b 4 6 24b 5 872000f61rcL40fb9 0 5 3 3o cbfe6 afo o 3 dO8foosf4fee76 eo00000000u 1 2 3 4 5 .b7-ooooooo o o o o oo o o8DAR调试与显示H3C+ inxerner叶orocol, src: 53 (10.173.0. 253), osr : 221.193.8&171.S TransnHssion Corrtfol ProrocolfSrc Port: 3926 (3926,Dst Port: 15944 Cln BvfTorrpnTDAR排错H3CT 先在接口下配置qos限流，然后再下载。T 如果防火墙上设置限流前，一个已经建立了会话的正 在