选择区域语言: EN CN HK

07-安全分册

05-会话管理命令

本章节下载  (126.75 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR6600/Command/Command_Manual/H3C_SR6600_CM-R2315(V1.11)/07/201212/765438_30005_0.htm

05-会话管理命令


1 会话管理配置命令

1.1  会话管理配置命令

1.1.1  application aging-time

【命令】

application aging-time { dns | ftp | msn | qq } time-value

undo application aging-time [ dns | ftp | msn | qq ]

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

dns:表示DNS协议的会话超时时间。

ftp:表示FTP协议的会话超时时间。

msn:表示MSN协议的会话超时时间。

qq:表示QQ协议的会话超时时间。

time-value:指定的超时时间,取值范围为5~100000,单位为秒。

【描述】

application aging-time命令用来设置应用层协议的会话超时时间。undo application aging-time命令用来恢复缺省情况,如果不指定应用层协议类型,则将所有应用层协议的会话超时时间恢复为缺省情况。

缺省情况下:

l              DNS协议的会话超时时间为60秒;

l              FTP协议的会话超时时间为3600秒;

l              MSN协议的会话超时时间为3600秒;

l              QQ协议的会话超时时间为60秒。

【举例】

# 设置FTP协议的会话超时时间为1800秒。

<Sysname> system-view

[Sysname] application aging-time ftp 1800

1.1.2  display session relation-table

【命令】

集中式设备:

display session relation-table

分布式设备:

display session relation-table [ slot slot-num ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

slot slot-num:显示分布式设备上指定接口板的关联表。其中,slot-num表示接口板所在槽位号。

【描述】

display session relation-table命令用来显示关联表信息。

需要注意的是,如果不指定slot,则显示所有接口板的关联表信息。

【举例】

# 显示所有的关联表。

<Sysname> display session relation-table

Local IP/Port       Global IP/Port      MatchMode

192.168.1.22/99    10.153.2.22/99       Local

APP:QQ    Pro:UDP    TTL:2000s    AllowConn:10

Local IP/Port       Global IP/Port      MatchMode

192.168.1.100/99    10.153.2.100/99       Local

APP:FTP    Pro:TCP    TTL:2000s    AllowConn:10

Total find:  2

表1-1 display relation table命令显示信息描述表

字段

描述

Local IP/Port

内网IP地址/端口号

Global IP/Port

外网IP地址/端口号

MatchMode

会话表向关联表匹配模式,包括:Local、Global、Either

l      Local表示新建会话的源IP/源端口与关联表的Local IP/Port匹配

l      Global表示新建会话的目的IP/目的端口与关联表的Global IP/Port匹配

l      Either表示新建会话的信息与关联表的Local IP/Port或Global IP/Port匹配

App

应用层协议类型,包括:FTP、MSN、QQ

Pro

传输层协议类型,包括:TCP、UDP

TTL

关联表的剩余存活时间,单位为秒

AllowConn

关联表允许创建的会话数

Total find

当前查找到的关联表总数

 

1.1.3  display session statistics

【命令】

集中式设备:

display session statistics

分布式设备:

display session statistics [ slot slot-num ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

slot slot-num:显示分布式设备指定接口板槽号的会话表统计信息。

【描述】

display session statistics命令用来显示会话统计信息。

需要注意的是,如果不指定slot,则显示所有接口板的会话统计信息。

【举例】

# 显示会话统计信息。

<sysname> display session statistics

 

Current session(s):593951

         Current     TCP session(s): 0

                 Half-Open: 0            Half-Close: 0

         Current     UDP session(s): 593951

         Current    ICMP session(s): 0

         Current   RAWIP session(s): 0

 

Current relation table(s): 50000

 

Session establishment rate:    184503/s

         TCP     Session establishment rate:      0/s

         UDP     Session establishment rate:  184503/s

         ICMP    Session establishment rate:      0/s

         RAWIP   Session establishment rate:      0/s

 

Received     TCP:                   1538 packet(s)                  337567 byte(s)

Received     UDP:           86810494849 packet(s)          4340524910260 byte(s)

Received    ICMP:                 307232 packet(s)                17206268 byte(s)

Received   RAWIP:                     0 packet(s)                       0 byte(s)

Dropped      TCP:                    0 packet(s)                      0 byte(s)

Dropped      UDP:                     0 packet(s)                       0 byte(s)

Dropped     ICMP:                     0 packet(s)                       0 byte(s)

Dropped    RAWIP:                     0 packet(s)                       0 byte(s)

表1-2 display session statistics命令显示信息描述表

字段

描述

Current session(s)

系统当前的总会话数

Current TCP session(s)

系统当前的TCP连接数

Half-Open

系统当前的TCP半开连接数

Half-Close

系统当前的TCP半关闭连接数

Current UDP session(s)

系统当前的UDP连接数

Current ICMP session(s)

系统当前的ICMP连接数

Current RAWIP session(s)

系统当前的Raw IP连接数

Current relation table(s)

总关联表个数

Session establishment rate

系统创建会话的速率

TCP Session establishment rate

系统创建TCP会话的速率

UDP Session establishment rate

系统创建UDP会话的速率

ICMP Session establishment rate

系统创建ICMP会话的速率

RAWIP Session establishment rate

系统创建Raw IP会话的速率

Received TCP

系统当前收到的TCP报文数、报文字节数

Received UDP

系统当前收到的UDP报文数、报文字节数

Received ICMP

系统当前收到的ICMP报文数、报文字节数

Received RAWIP

系统当前收到的Raw IP报文数、报文字节数

Dropped TCP

系统当前丢弃的TCP报文数、报文字节数

Dropped UDP

系统当前丢弃的UDP报文数、报文字节数

Dropped ICMP

系统当前丢弃的ICMP报文数、报文字节数

Dropped RAWIP

系统当前丢弃的Raw IP报文数、报文字节数

 

1.1.4  display session table

【命令】

集中式设备:

display session table [ source-ip source-ip ] [ destination-ip destination-ip ] [ verbose ]

分布式设备:

display session table [ slot slot-num ] [ source-ip source-ip ] [ destination-ip destination-ip ] [ verbose ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

slot slot-num:显示分布式设备指定接口板的会话表。其中,slot-num表示接口板所在槽位号。

source-ip source-ip:显示指定源IP地址的会话表。其中,source-ip表示源IP地址。

destination-ip destination-ip:显示指定目的IP地址的会话表。其中,destination-ip表示目的IP地址。

verbose:显示会话表的详细信息。缺省显示会话表的概要信息。

【描述】

display session table命令用来显示会话表信息。

需要注意的是:

l              如果不指定任何参数,则显示所有会话表信息;

l              如果不指定slot,则显示所有接口板的会话统计信息;

l              如果source-ipdestination-ip都指定,则对源IP地址和目的IP地址都进行过滤。

【举例】

# 显示会话表的概要信息。

<Sysname> display session table slot 1

Initiator:

  Source IP/Port : 50.1.47.42/1024

  Dest IP/Port   : 20.1.1.1/69

  Pro            : TCP(TCP(6))

  VPN-Instance/VLAN ID/VLL ID: test  

# 显示会话表的详细信息。

<Sysname> display session table slot 1 verbose

Initiator:

  Source IP/Port : 50.1.47.42/1024

  Dest IP/Port   : 20.1.1.1/69

  VPN-Instance/VLAN ID/VLL ID:  test

Responder:

  Source IP/Port : 20.1.1.1/69

  Dest IP/Port   : 2.3.3.4/19416

  VPN-Instance/VLAN ID/VLL ID:

Pro: UDP(17) App: TFTP              State: UDP-OPEN

Start time: 2009-03-26 23:09:30  TTL: 99988s

Received packet(s)(Init): 4 packet(s) 432 byte(s)

Received packet(s)(Reply): 0 packet(s) 0 byte(s)

 

表1-3 display session table命令显示信息描述表

字段

描述

Initiator

发起方

Responder

响应方

Source IP/Port

源IP地址/端口号

Dest IP/Port

目的IP地址/端口号

Pro

传输层协议类型,包括:TCP、UDP、ICMP、Raw IP

App

应用层协议类型,包括:FTP、DNS、MSN、QQ等

unknown表示非知名端口对应的协议类型

State

会话状态,包括:

l      Accelerate

l      SYN

l      TCP-EST

l      FIN

l      UDP-OPEN

l      UDP-READY

l      ICMP-OPEN

l      ICMP-CLOSED

l      RAWIP-OPEN

l      RAWIP-READY

VPN-Instance

所属VPN实例名

Start Time

会话创建时间

TTL

会话剩余存活时间,单位为秒

Received packet(s)(Init)

发起方到响应方的报文数、报文字节数

Received packet(s)(Reply)

响应方到发起方的报文数、报文字节数

 

1.1.5  reset session

【命令】

集中式设备:

reset session [ source-ip source-ip ] [ destination-ip destination-ip ] [ protocol-type protocol-type ] [ source-port  source-port ] [ destination-port destination-port ] [ vpn-instance vpn-instance-name ]

分布式设备:

reset session [ slot slot-num ] [ source-ip source-ip ] [ destination-ip destination-ip ] [ protocol-type protocol-type ] [ source-port  source-port ] [ destination-port destination-port ] [ vpn-instance vpn-instance-name ]

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

slot slot-num:删除分布式设备指定接口板的会话表。其中,slot-num表示接口板所在槽位号。

source-ip source-ip:删除指定发起方源IP地址的会话表。其中,source-ip表示源IP地址。

destination-ip destination-ip:删除指定发起方目的IP地址的会话表。其中,destination-ip表示目的IP地址。

protocol-type protocol-type:删除指定协议类型的会话表。其中,protocol-type表示传输层协议类型,包括:TCP、UDP、ICMP、RawIP。

source-port source-port:删除指定发起方源端口号的会话表。其中,source-port表示源端口号。

destination-port destination-port:删除指定发起方目的端口号的会话表。其中,destination-port表示目的端口号。

vpn-instance vpn-instance-name:删除指定VPN的会话表。其中,vpn-instance-name表示VPN实例名,为1~31个字符的字符串,区分大小写。

【描述】

reset session命令用来删除会话表。

需要注意的是:

l              如果不指定slot,则删除所有接口板的会话统计信息;

l              如果不指定vpn-instance-name,而指定了其它参数,则表示删除匹配其它条件的非VPN网络的会话表;

l              如果不指定任何参数,则表示删除所有会话表。

【举例】

# 删除所有会话表。

<Sysname> reset session

# 删除发起方源IP地址为10.10.10.10的所有会话表。

<Sysname> reset session source-ip 10.10.10.10

1.1.6  reset session statistics

【命令】

集中式设备:

reset session statistics

分布式设备:

reset session statistics [ slot slot-num ]

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

slot slot-num:清除分布式设备指定接口板的会话统计信息。其中,slot-num表示接口板所在槽位号。

【描述】

reset session statistics命令用来清除会话统计信息。

【举例】

# 清除所有的会话统计信息。

<Sysname> reset session statistics

1.1.7  session aging-time

【命令】

session aging-time { accelerate | fin | icmp-closed | icmp-open | rawip-open | rawip-ready | syn | tcp-est | udp-open | udp-ready } time-value

undo session aging-time [ accelerate | fin | icmp-closed | icmp-open | rawip-open | rawip-ready | syn | tcp-est | udp-open | udp-ready ]

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

accelerate:表示超时加速队列的会话超时时间。

fin:表示TCP协议FIN_WAIT状态的会话超时时间。

icmp-closed:表示ICMP协议CLOSED状态的会话超时时间。

icmp-open:表示ICMP协议OPEN状态的会话超时时间。

rawip-open:表示RAWIP_OPEN状态的会话超时时间。

rawip-ready:表示RAWIP_READY状态的会话超时时间。

syn:表示TCP协议SYN_SENT和SYN_RCV状态的会话超时时间。

tcp-est:表示TCP协议ESTABLISHED状态的会话超时时间。

udp-open:表示UDP协议OPEN状态的会话超时时间。

udp-ready:表示UDP协议READY状态的会话超时时间。

time-value:指定的超时时间,取值范围为5~100000,单位为秒。

【描述】

session aging-time命令用来设置各协议状态的会话超时时间。undo session aging-time命令用来恢复缺省情况,如果不指定任何参数,则将所有协议状态的会话超时时间恢复为缺省情况。

缺省情况下,各协议状态的会话超时时间如下:

l              超时加速队列:10秒;

l              TCP协议FIN_WAIT状态:30秒;

l              ICMP协议CLOSED状态:30秒;

l              ICMP协议OPEN状态:60秒;

l              RAWIP_OPEN状态:30秒;

l              RAWIP_READY状态:60秒;

l              TCP协议SYN_SENT状态和SYN_RCV状态:30秒;

l              TCP协议ESTABLISHED状态:3600秒;

l              UDP协议OPEN状态:30秒;

l              UDP协议READY状态:60秒;

【举例】

# 设置TCP协议半开状态的超时时间为60秒。

<Sysname> system-view

[Sysname] session aging-time syn 60

1.1.8  session checksum

【命令】

session checksum { all | { icmp | tcp | udp } * }

undo session checksum { all | { icmp | tcp | udp } * }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

all:对TCP、UDP、ICMP报文均进行校验和检查。

icmp:对ICMP报文进行校验和检查。

tcp:对TCP报文进行校验和检查。

udp:对UDP报文进行校验和检查。

【描述】

session checksum命令用来设置对各协议报文进行校验和检查。undo session checksum命令用来取消对协议报文进行校验和检查。

缺省情况下,不进行校验和检查。

【举例】

# 设置对UDP报文进行校验和检查。

<Sysname> system-view

[Sysname] session checksum udp

1.1.9  session log bytes-active

【命令】

session log bytes-active bytes-value

undo session log bytes-active

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

bytes-value:表示会话日志的字节数阈值,取值范围为1~1000,单位为兆字节。

【描述】

session log bytes-active命令用来配置输出会话日志的字节数流量阈值。undo session log bytes-active命令用来恢复缺省情况。

缺省情况下,会话的字节数流量阈值为0,表示不依据字节数流量阈值发送会话日志。

【举例】

# 设置输出会话日志的字节数流量阈值为10兆字节数。

<Sysname> system-view

[Sysname] session log byte-active 10

1.1.10  session log packets-active

【命令】

session log packets-active packets-value

undo session log packets-active

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

packets-value:表示会话日志的报文数阈值,取值范围为1~1000,单位为兆包。

【描述】

session log packets-active命令用来配置输出会话日志的报文数流量阈值。undo session log packets-active命令用来恢复缺省情况。

缺省情况下,会话的报文数流量阈值为0,表示不依据报文数流量阈值发送会话日志。

【举例】

# 设置输出会话日志的流量阈值为10兆报文数。

<Sysname> system-view

[Sysname] session log packets-active 10

1.1.11  session log enable (Interface view)

【命令】

session log enable [ acl acl-number ] { inbound | outbound }

undo session log enable { inbound | outbound }

【视图】

接口视图

【缺省级别】

2:系统级

【参数】

acl acl-number:指定匹配会话日志的ACL规则。其中acl-number表示ACL规则序号,取值范围为2000~3999。

inbound:指定输出入方向的会话日志。

outbound:指定输出出方向的会话日志。

【描述】

session log enable命令用来使能会话日志功能。undo session log enable用来恢复缺省情况。

缺省情况下,会话日志功能处于关闭状态。

需要注意的是:

l              如果不指定参数acl,则表示允许输出经过接口的所有会话的日志。

l              可配置仅输出单方向的会话日志,也可以配置输出双向的会话日志。每个方向上可以配置一个ACL规则,后续的配置会覆盖相同方向上之前的配置。

【举例】

# 在GigabitEthernet1/1接口下开启会话日志功能,指定输出经过此接口入方向上的所有会话日志。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/1

[Sysname-GigabitEthernet1/1] session log enable inbound

# 在GigabitEthernet1/2接口下开启会话日志功能,指定输出此接口出方向上匹配ACL2050的会话日志。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/2

[Sysname-GigabitEthernet1/2] session log enable acl 2050 outbound

1.1.12  session log time-active

【命令】

session log time-active time-value

undo session log time-active

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

time-value:表示会话日志的时间阈值,取值范围为10~120,单位为分钟,只能为10的整数倍。

【描述】

session log time-active命令用来配置输出会话日志的时间阈值。undo session log time-active用来删除会话日志的时间阈值设置。

缺省情况下,会话的时间阈值为0,表示不依据时间阈值发送会话日志。

【举例】

# 设置输出会话日志的时间阈值为50分钟。

<Sysname> system

[Sysname] session log time-active 50

1.1.13  session persist acl

【命令】

session persist acl acl-number

undo session persist

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

acl-number:ACL编号,取值范围为2000~3999。

【描述】

session persist acl命令用来配置长连接会话规则。undo session persist acl命令用来清除长连接会话规则。

缺省情况下,无长连接会话规则。

需要注意的是:

l              长连接会话不会因为没有报文命中而被超时删除。在必要时用户可以通过命令删除相关的会话;

l              长连接规则同时引用的ACL只能有一个,新设置的ACL会覆盖旧的ACL。

l              长连接会话配置仅对TCP会话生效。

相关配置可参考命令reset session

【举例】

# 将符合ACL2000规则的会话设置成长连接。

<Sysname> system-view

[Sysname] session persist acl 2000

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!