选择区域语言: EN CN HK

10-安全命令参考

14-会话管理命令

本章节下载  (144.31 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR6600/Command/Command_Manual/H3C_SR6600_CR-R2420(V1.12)/10/201212/765595_30005_0.htm

14-会话管理命令


1 会话管理配置命令

1.1  会话管理配置命令

1.1.1  application aging-time

【命令】

application aging-time { dns | ftp | msn | qq } time-value

undo application aging-time [ dns | ftp | msn | qq ]

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

dns:表示DNS协议的会话超时时间。

ftp:表示FTP协议的会话超时时间。

msn:表示MSN协议的会话超时时间。

qq:表示QQ协议的会话超时时间。

time-value:指定的超时时间,取值范围为5~100000,单位为秒。

【描述】

application aging-time命令用来设置应用层协议的会话超时时间。undo application aging-time命令用来恢复缺省情况,如果不指定应用层协议类型,则将所有应用层协议的会话超时时间恢复为缺省情况。

缺省情况下:

l              DNS协议的会话超时时间为60秒;

l              FTP协议的会话超时时间为3600秒;

l              MSN协议的会话超时时间为3600秒;

l              QQ协议的会话超时时间为60秒。

【举例】

# 设置FTP协议的会话超时时间为1800秒。

<Sysname> system-view

[Sysname] application aging-time ftp 1800

1.1.2  display application aging-time

【命令】

display application aging-time

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

【描述】

display application aging-time命令用来显示应用层协议的会话超时时间。

未调整各应用层协议的会话超时时间之前,可通过本命令查看到各应用层协议的缺省会话超时时间。

相关配置请参考命令application aging-time

【举例】

# 显示当前各应用层协议的会话超时时间。

<Sysname> display application aging-time

Protocol                        Aging-time(s)

ftp                               3600

dns                               60

msn                               3600

qq                                60

表1-1 display application aging-time命令显示信息描述表

字段

描述

Protocol

应用层协议类型

Aging-time(s)

会话超时时间,单位为秒

 

1.1.3  display session aging-time

【命令】

display session aging-time

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

【描述】

display session aging-time命令用来显示各协议状态的会话超时时间。

未调整各协议状态的会话超时时间之前,可通过本命令查看到各协议状态的缺省会话超时时间。

相关配置请参考命令session aging-time

【举例】

# 显示当前各协议状态的会话超时时间。

<Sysname> display session aging-time

Protocol                 Aging-time(s)

 syn                      30

 tcp-est                  3600

 fin                      30

 udp-open                 30

 udp-ready                60

 icmp-open                60

 icmp-closed              30

 rawip-open               30

 rawip-ready              60

 accelerate               10

表1-2 display session aging-time命令显示信息描述表

字段

描述

Protocol

各状态下的协议类型

Aging-time(s)

会话超时时间,单位为秒

 

1.1.4  display session relation-table

【命令】

集中式设备:

display session relation-table

分布式设备:

display session relation-table [ slot slot-num ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

slot slot-num:显示分布式设备上指定接口板的关联表。其中,slot-num表示接口板所在槽位号。

【描述】

display session relation-table命令用来显示关联表信息。

需要注意的是,如果不指定slot,则显示所有接口板的关联表信息。

【举例】

# 显示所有的关联表。

<Sysname> display session relation-table

Local IP/Port       Global IP/Port      MatchMode

192.168.1.22/99    10.153.2.22/99       Local

APP:QQ    Pro:UDP    TTL:2000s    AllowConn:10

Local IP/Port       Global IP/Port      MatchMode

192.168.1.100/99    10.153.2.100/99       Local

APP:FTP    Pro:TCP    TTL:2000s    AllowConn:10

Total find:  2

表1-3 display relation table命令显示信息描述表

字段

描述

Local IP/Port

内网IP地址/端口号

Global IP/Port

外网IP地址/端口号

MatchMode

会话表向关联表匹配模式,包括:Local、Global、Either

l      Local表示新建会话的源IP/源端口与关联表的Local IP/Port匹配

l      Global表示新建会话的目的IP/目的端口与关联表的Global IP/Port匹配

l      Either表示新建会话的信息与关联表的Local IP/Port或Global IP/Port匹配

App

应用层协议类型,包括:FTP、MSN、QQ

Pro

传输层协议类型,包括:TCP、UDP

TTL

关联表的剩余存活时间,单位为秒

AllowConn

关联表允许创建的会话数

Total find

当前查找到的关联表总数

 

1.1.5  display session statistics

【命令】

集中式设备:

display session statistics

分布式设备:

display session statistics [ slot slot-num ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

slot slot-num:显示分布式设备指定接口板槽号的会话表统计信息。

【描述】

display session statistics命令用来显示会话统计信息。

需要注意的是,如果不指定slot,则显示所有接口板的会话统计信息。

【举例】

# 显示会话统计信息。

<sysname> display session statistics

 

Current session(s):593951

         Current     TCP session(s): 0

                 Half-Open: 0            Half-Close: 0

         Current     UDP session(s): 593951

         Current    ICMP session(s): 0

         Current   RAWIP session(s): 0

 

Current relation table(s): 50000

 

Session establishment rate:    184503/s

         TCP     Session establishment rate:      0/s

         UDP     Session establishment rate:  184503/s

         ICMP    Session establishment rate:      0/s

         RAWIP   Session establishment rate:      0/s

 

Received     TCP:                   1538 packet(s)                  337567 byte(s)

Received     UDP:           86810494849 packet(s)          4340524910260 byte(s)

Received    ICMP:                 307232 packet(s)                17206268 byte(s)

Received   RAWIP:                     0 packet(s)                       0 byte(s)

Dropped      TCP:                    0 packet(s)                      0 byte(s)

Dropped      UDP:                     0 packet(s)                       0 byte(s)

Dropped     ICMP:                     0 packet(s)                       0 byte(s)

Dropped    RAWIP:                     0 packet(s)                       0 byte(s)

表1-4 display session statistics命令显示信息描述表

字段

描述

Current session(s)

系统当前的总会话数

Current TCP session(s)

系统当前的TCP连接数

Half-Open

系统当前的TCP半开连接数

Half-Close

系统当前的TCP半关闭连接数

Current UDP session(s)

系统当前的UDP连接数

Current ICMP session(s)

系统当前的ICMP连接数

Current RAWIP session(s)

系统当前的Raw IP连接数

Current relation table(s)

总关联表个数

Session establishment rate

系统创建会话的速率

TCP Session establishment rate

系统创建TCP会话的速率

UDP Session establishment rate

系统创建UDP会话的速率

ICMP Session establishment rate

系统创建ICMP会话的速率

RAWIP Session establishment rate

系统创建Raw IP会话的速率

Received TCP

系统当前收到的TCP报文数、报文字节数

Received UDP

系统当前收到的UDP报文数、报文字节数

Received ICMP

系统当前收到的ICMP报文数、报文字节数

Received RAWIP

系统当前收到的Raw IP报文数、报文字节数

Dropped TCP

系统当前丢弃的TCP报文数、报文字节数

Dropped UDP

系统当前丢弃的UDP报文数、报文字节数

Dropped ICMP

系统当前丢弃的ICMP报文数、报文字节数

Dropped RAWIP

系统当前丢弃的Raw IP报文数、报文字节数

 

1.1.6  display session table

【命令】

集中式设备:

display session table [ source-ip source-ip ] [ destination-ip destination-ip ] [ verbose ]

分布式设备:

display session table [ slot slot-num ] [ source-ip source-ip ] [ destination-ip destination-ip ] [ verbose ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

slot slot-num:显示分布式设备指定接口板的会话表。其中,slot-num表示接口板所在槽位号。

source-ip source-ip:显示指定源IP地址的会话表。其中,source-ip表示源IP地址。

destination-ip destination-ip:显示指定目的IP地址的会话表。其中,destination-ip表示目的IP地址。

verbose:显示会话表的详细信息。缺省显示会话表的概要信息。

【描述】

display session table命令用来显示会话表信息。

需要注意的是:

l              如果不指定任何参数,则显示所有会话表信息;

l              如果不指定slot,则显示所有接口板的会话统计信息;

l              如果source-ipdestination-ip都指定,则对源IP地址和目的IP地址都进行过滤。

【举例】

# 显示会话表的概要信息。

<Sysname> display session table slot 1

Initiator:

  Source IP/Port : 192.168.1.18/2048

  Dest IP/Port    : 192.168.1.55/768

  Pro              : ICMP(ICMP(1))

  VPN-Instance/VLAN ID/VLL ID:

 

Initiator:

  Source IP/Port : 192.168.1.18/1212

  Dest IP/Port   : 192.168.1.55/23

  Pro              : TCP(TCP(6))

  VPN-Instance/VLAN ID/VLL ID:

 

Total find: 2

# 显示所有的会话表的详细信息。

<Sysname> display session table verbose

Initiator:

  Source IP/Port : 192.168.1.19/137

  Dest IP/Port   : 192.168.1.255/137

  VPN-Instance/VLAN ID/VLL ID:

Responder:

  Source IP/Port : 192.168.1.255/137

  Dest IP/Port   : 192.168.1.19/137

  VPN-Instance/VLAN ID/VLL ID:

Pro: UDP(17)    App: NBT-name          State: UDP-OPEN

Start time: 2009-03-17 10:39:43  TTL: 2s

Root                     Zone(in): Management

                         Zone(out): Local

Received packet(s)(Init): 6 packet(s) 468 byte(s)

Received packet(s)(Reply): 0 packet(s) 0 byte(s)

 

Initiator:

  Source IP/Port : 192.168.1.18/1212

  Dest IP/Port   : 192.168.1.55/23

  VPN-Instance/VLAN ID/VLL ID:

Responder:

  Source IP/Port : 192.168.1.55/23

  Dest IP/Port    : 192.168.1.18/1212

  VPN-Instance/VLAN ID/VLL ID:

Pro: TCP(6)     App: TELNET            State: TCP-EST

Start time: 2009-03-17 09:30:33  TTL: 3600s

Root                     Zone(in): Management

                         Zone(out): Local

Received packet(s)(Init): 1173 packet(s) 47458 byte(s)

Received packet(s)(Reply): 1168 packet(s) 61845 byte(s)

 

 Total find: 2

表1-5 display session table命令显示信息描述表

字段

描述

Initiator

发起方

Responder

响应方

Source IP/Port

源IP地址/端口号

Dest IP/Port

目的IP地址/端口号

Pro

传输层协议类型,包括:TCP、UDP、ICMP、Raw IP

App

应用层协议类型,包括:FTP、DNS、MSN、QQ等

unknown表示非知名端口对应的协议类型

State

会话状态,包括:

l      Accelerate

l      SYN

l      TCP-EST

l      FIN

l      UDP-OPEN

l      UDP-READY

l      ICMP-OPEN

l      ICMP-CLOSED

l      RAWIP-OPEN

l      RAWIP-READY

VPN-Instance

所属VPN实例名

Start Time

会话创建时间

TTL

会话剩余存活时间,单位为秒

Received packet(s)(Init)

发起方到响应方的报文数、报文字节数

Received packet(s)(Reply)

响应方到发起方的报文数、报文字节数

 

1.1.7  reset session

【命令】

集中式设备:

reset session [ source-ip source-ip ] [ destination-ip destination-ip ] [ protocol-type protocol-type ] [ source-port  source-port ] [ destination-port destination-port ] [ vpn-instance vpn-instance-name ]

分布式设备:

reset session [ slot slot-num ] [ source-ip source-ip ] [ destination-ip destination-ip ] [ protocol-type protocol-type ] [ source-port  source-port ] [ destination-port destination-port ] [ vpn-instance vpn-instance-name ]

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

slot slot-num:删除分布式设备指定接口板的会话表。其中,slot-num表示接口板所在槽位号。

source-ip source-ip:删除指定发起方源IP地址的会话表。其中,source-ip表示源IP地址。

destination-ip destination-ip:删除指定发起方目的IP地址的会话表。其中,destination-ip表示目的IP地址。

protocol-type protocol-type:删除指定协议类型的会话表。其中,protocol-type表示传输层协议类型,包括:TCP、UDP、ICMP、RawIP。

source-port source-port:删除指定发起方源端口号的会话表。其中,source-port表示源端口号。

destination-port destination-port:删除指定发起方目的端口号的会话表。其中,destination-port表示目的端口号。

vpn-instance vpn-instance-name:删除指定VPN的会话表。其中,vpn-instance-name表示VPN实例名,为1~31个字符的字符串,区分大小写。

【描述】

reset session命令用来删除会话表。

需要注意的是:

l              如果不指定slot,则删除所有接口板的会话统计信息;

l              如果不指定vpn-instance-name,而指定了其它参数,则表示删除匹配其它条件的非VPN网络的会话表;

l              如果不指定任何参数,则表示删除所有会话表。

【举例】

# 删除所有会话表。

<Sysname> reset session

# 删除发起方源IP地址为10.10.10.10的所有会话表。

<Sysname> reset session source-ip 10.10.10.10

1.1.8  reset session statistics

【命令】

集中式设备:

reset session statistics

分布式设备:

reset session statistics [ slot slot-num ]

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

slot slot-num:清除分布式设备指定接口板的会话统计信息。其中,slot-num表示接口板所在槽位号。

【描述】

reset session statistics命令用来清除会话统计信息。

需要注意的,如果不指定slot,则清除所有接口板的会话统计信息。

【举例】

# 清除所有的会话统计信息。

<Sysname> reset session statistics

 

1.1.9  session aging-time

【命令】

session aging-time { accelerate | fin | icmp-closed | icmp-open | rawip-open | rawip-ready | syn | tcp-est | udp-open | udp-ready } time-value

undo session aging-time [ accelerate | fin | icmp-closed | icmp-open | rawip-open | rawip-ready | syn | tcp-est | udp-open | udp-ready ]

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

accelerate:表示超时加速队列的会话超时时间。

fin:表示TCP协议FIN_WAIT状态的会话超时时间。

icmp-closed:表示ICMP协议CLOSED状态的会话超时时间。

icmp-open:表示ICMP协议OPEN状态的会话超时时间。

rawip-open:表示RAWIP_OPEN状态的会话超时时间。

rawip-ready:表示RAWIP_READY状态的会话超时时间。

syn:表示TCP协议SYN_SENT和SYN_RCV状态的会话超时时间。

tcp-est:表示TCP协议ESTABLISHED状态的会话超时时间。

udp-open:表示UDP协议OPEN状态的会话超时时间。

udp-ready:表示UDP协议READY状态的会话超时时间。

time-value:指定的超时时间,取值范围为5~100000,单位为秒。

【描述】

session aging-time命令用来设置各协议状态的会话超时时间。undo session aging-time命令用来恢复缺省情况,如果不指定任何参数,则将所有协议状态的会话超时时间恢复为缺省情况。

缺省情况下,各协议状态的会话超时时间如下:

l              accelerate:10s

l              fin:30s

l              icmp-closed:30s

l              icmp-open:60s

l              rawip-open:30s

l              rawip-ready:60s

l              syn:30s

l              tcp-est:3600s

l              udp-open:30s

l              udp-ready:60s

当前各协议状态的会话超时时间可通过命令display session aging-time查看。

【举例】

# 设置TCP协议半开状态的超时时间为60秒。

<Sysname> system-view

[Sysname] session aging-time syn 60

1.1.10  session checksum

【命令】

session checksum { all | { icmp | tcp | udp } * }

undo session checksum { all | { icmp | tcp | udp } * }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

all:对TCP、UDP、ICMP报文均进行校验和检查。

icmp:对ICMP报文进行校验和检查。

tcp:对TCP报文进行校验和检查。

udp:对UDP报文进行校验和检查。

【描述】

session checksum命令用来设置对各协议报文进行校验和检查。undo session checksum命令用来取消对协议报文进行校验和检查。

缺省情况下,不进行校验和检查。

【举例】

# 设置对UDP报文进行校验和检查。

<Sysname> system-view

[Sysname] session checksum udp

1.1.11  session early-ageout

【命令】

session early-ageout shorten-time threshold-high threshold-high-value threshold-low threshold-low-value

undo session early-ageout

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

shorten-time:会话超时时间缩短的长度,取值范围为5~100000,单位为秒。

threshold-high-value:会话数比例阈值高门限,取值范围为1~100,单位为百分比。

threshold-low-value:会话数比例阈值低门限,取值范围为1~100,单位为百分比。threshold-low-value不能够大于threshold-high-value

【描述】

session early-ageout命令用来设置会话超时时间缩短的长度。undo session early-ageout命令用来恢复缺省情况。

缺省情况下,没有设置会话超时时间缩短的长度。

会话数比例指的是当前建立的会话数和会话总规格数的比例。当会话数比例超过阈值高门限threshold-high-value时,会话超时时间将缩短shorten-time即会话超时提前,当会话数比例等于或者低于阈值低门限threshold-low-value时,会话超时时间将恢复到由命令application aging-time或者session aging-time所设置的正常值。

需要注意的是,如果配置的会话超时时间正常值与缩短长度之差小于5秒,则会话超时时间将修改为5秒。

【举例】

# 配置当会话数比例高于80时,会话超时时间将缩短100秒,会话数比例低于20时,会话超时时间恢复到正常值。

<Sysname> system-view

[Sysname] session early-ageout 100 threshold-high 80 threshold-low 20

1.1.12  session log bytes-active

【命令】

session log bytes-active bytes-value

undo session log bytes-active

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

bytes-value:表示会话日志的字节数阈值,取值范围为1~1000,单位为兆字节。

【描述】

session log bytes-active命令用来配置输出会话日志的字节数流量阈值。undo session log bytes-active命令用来恢复缺省情况。

缺省情况下,会话的字节数流量阈值为0,表示不依据字节数流量阈值发送会话日志。

【举例】

# 设置输出会话日志的字节数流量阈值为10兆字节数。

<Sysname> system-view

[Sysname] session log byte-active 10

1.1.13  session log enable (Interface view)

【命令】

session log enable [ acl acl-number ] { inbound | outbound }

undo session log enable { inbound | outbound }

【视图】

接口视图

【缺省级别】

2:系统级

【参数】

acl acl-number:指定匹配会话日志的ACL规则。其中acl-number表示ACL规则序号,取值范围为2000~3999。

inbound:指定输出入方向的会话日志。

outbound:指定输出出方向的会话日志。

【描述】

session log enable命令用来使能会话日志功能。undo session log enable用来恢复缺省情况。

缺省情况下,会话日志功能处于关闭状态。

需要注意的是:

l              如果不指定参数acl,则表示允许输出经过接口的所有会话的日志。

l              可配置仅输出单方向的会话日志,也可以配置输出双向的会话日志。每个方向上可以配置一个ACL规则,后续的配置会覆盖相同方向上之前的配置。

【举例】

# 在GigabitEthernet1/0/1接口下开启会话日志功能,指定输出经过此接口入方向上的所有会话日志。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] session log enable inbound

# 在GigabitEthernet1/0/2接口下开启会话日志功能,指定输出此接口出方向上匹配ACL2050的会话日志。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/2

[Sysname-GigabitEthernet1/0/2] session log enable acl 2050 outbound

1.1.14  session log packets-active

【命令】

session log packets-active packets-value

undo session log packets-active

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

packets-value:表示会话日志的报文数阈值,取值范围为1~1000,单位为兆包。

【描述】

session log packets-active命令用来配置输出会话日志的报文数流量阈值。undo session log packets-active命令用来恢复缺省情况。

缺省情况下,会话的报文数流量阈值为0,表示不依据报文数流量阈值发送会话日志。

【举例】

# 设置输出会话日志的流量阈值为10兆报文数。

<Sysname> system-view

[Sysname] session log packets-active 10

1.1.15  session log time-active

【命令】

session log time-active time-value

undo session log time-active

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

time-value:表示会话日志的时间阈值,取值范围为10~120,单位为分钟,只能为10的整数倍。

【描述】

session log time-active命令用来配置输出会话日志的时间阈值。undo session log time-active用来删除会话日志的时间阈值设置。

缺省情况下,会话的时间阈值为0,表示不依据时间阈值发送会话日志。

【举例】

# 设置输出会话日志的时间阈值为50分钟。

<Sysname> system

[Sysname] session log time-active 50

1.1.16  session max-entries

【命令】

集中式设备:

session max-entries max-entries

undo session max-entries [ max-entries ]

分布式设备:

session max-entries max-entries slot slot-number

undo session max-entries [ max-entries ] slot slot-number

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

max-entries:会话连接数的最大值,取值范围为1~10000000。

slot-number:单板所在的槽位号。(分布式设备)

【描述】

session max-entries命令用来设置会话连接数的最大值。对于分布式设备,会话连接数还可以按照单板所在的槽位号来配置。undo session max-entries命令用来取消会话连接数最大值的设置。

缺省情况下,会话连接数最大值因产品型号不同而有所差异。

需要注意的是:

l              实际配置时,会话连接数的最大值不能够超过设备或者单板的会话连接数规格。

l              执行undo命令时,如果配置的max-entries参数和之前用命令session max-entries配置的不相同,则保持原来的配置,即undo命令不生效。

【举例】

# 设置会话连接数的最大值为100000。

<Sysname> system

[Sysname] session max-entries 100000

1.1.17  session persist acl

【命令】

session persist acl acl-number [ aging-time time-value ]

undo session persist

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

acl-number:ACL编号,取值范围为2000~3999。

aging-time time-value:长连接会话的老化时间。其中,time-value表示指定的老化时间,取值范围为0~360,0表示永不老化,缺省的老化时间为24小时。

【描述】

session persist acl命令用来配置长连接会话规则。undo session persist命令用来清除长连接会话规则。

缺省情况下,无长连接会话规则。

需要注意的是:

l              长连接会话在老化时间之内不会因为没有报文命中而被超时删除。在必要时用户可以通过命令删除相关的会话;

l              一个长连接会话规则只能引用一个ACL。

l              长连接会话配置仅对处于建立状态的TCP会话生效。

相关配置可参考命令reset session

【举例】

# 配置符合ACL 2000规则的会话为长连接,老化时间为72小时。

<Sysname> system-view

[Sysname] session persist acl 2000 aging-time 72

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!