- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
11-会话管理命令
本章节下载: 11-会话管理命令 (164.84 KB)
目 录
1.1.2 display application aging-time
1.1.3 display session aging-time
1.1.4 display session relation-table
1.1.5 display session statistics
1.1.8 reset session statistics
1.1.11 session log enable (NAT interface view)
1.1.12 session log time-active
【命令】
application aging-time { dns | ftp | msn | qq | sip } time-value
undo application aging-time [ dns | ftp | msn | qq | sip ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
dns:表示DNS协议的会话超时时间。
ftp:表示FTP协议的会话超时时间。
msn:表示MSN协议的会话超时时间。
qq:表示QQ协议的会话超时时间。
sip:表示SIP协议的会话超时时间。
time-value:指定的超时时间,取值范围为5~100000,单位为秒。
【描述】
application aging-time命令用来设置应用层协议的会话超时时间。undo application aging-time命令用来恢复缺省情况,如果不指定应用层协议类型,则将所有应用层协议的会话超时时间恢复为缺省情况。
缺省情况下:
· DNS协议的会话超时时间为60秒;
· FTP协议的会话超时时间为3600秒;
· MSN协议的会话超时时间为3600秒;
· QQ协议的会话超时时间为60秒;
· SIP协议的会话超时时间为300秒。
【举例】
# 设置FTP协议的会话超时时间为1800秒。
<Sysname> system-view
[Sysname] application aging-time ftp 1800
【命令】
display application aging-time [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display application aging-time命令用来显示应用层协议的会话超时时间。
未调整各应用层协议的会话超时时间之前,可通过本命令查看到各应用层协议的缺省会话超时时间。
相关配置请参考命令application aging-time。
【举例】
# 显示当前各应用层协议的会话超时时间。
<Sysname> display application aging-time
Protocol Aging-time(s)
ftp 3600
dns 60
sip 300
msn 3600
qq 60
表1-1 display application aging-time命令显示信息描述表
|
字段 |
描述 |
|
Protocol |
应用层协议类型 |
|
Aging-time(s) |
会话超时时间,单位为秒 |
【命令】
display session aging-time [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
对于单板丝印为IM-NAT和IM-NAT-II的单板,该命令不生效。
display session aging-time命令用来显示各协议状态的会话超时时间。
未调整各协议状态的会话超时时间之前,可通过本命令查看到各协议状态的缺省会话超时时间。
相关配置请参考命令session aging-time。
【举例】
# 显示当前各协议状态的会话超时时间。
<Sysname> display session aging-time
Protocol Aging-time(s)
syn 60
tcp-est 300
fin 30
udp-open 60
udp-ready 60
icmp-open 100
icmp-closed 30
rawip-open 30
rawip-ready 60
accelerate 10
表1-2 display session aging-time命令显示信息描述表
|
字段 |
描述 |
|
Protocol |
各状态下的协议类型 |
|
Aging-time(s) |
会话超时时间,单位为秒 |
【命令】
display session relation-table [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
slot slot-number:显示设备上指定单板的关联表。其中,slot-number表示单板所在槽位号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
对于单板丝印为IM-NAT和IM-NAT-II的单板,该命令不生效。
display session relation-table命令用来显示关联表信息。
需要注意的是:如果不指定slot,则显示所有单板的关联表信息。
【举例】
# 显示6号槽位上的关联表。
<Sysname> display session relation-table slot 6
Relations on slot 6:
Local IP/Port Global IP/Port MatchMode
192.168.1.22/99 10.153.2.22/99 Local
APP:QQ Pro:UDP TTL:2000s AllowConn:10
Local IP/Port Global IP/Port MatchMode
192.168.1.100/99 10.153.2.100/99 Local
APP:FTP Pro:TCP TTL:2000s AllowConn:10
Total find: 2
表1-3 display session relation-table命令显示信息描述表
|
字段 |
描述 |
|
Relations on slot 6: |
6号槽位上的关联表 |
|
Local IP/Port |
内网IP地址/端口号 |
|
Global IP/Port |
外网IP地址/端口号 |
|
MatchMode |
会话表向关联表匹配模式,包括:Local、Global、Either · Local表示新建会话的源IP/源端口与关联表的Local IP/Port匹配 · Global表示新建会话的目的IP/目的端口与关联表的Global IP/Port匹配 · Either表示新建会话的信息与关联表的Local IP/Port或Global IP/Port匹配 |
|
App |
应用层协议类型,包括:FTP、MSN、QQ等 |
|
Pro |
传输层协议类型,包括:TCP、UDP |
|
TTL |
关联表的剩余存活时间,单位为秒 |
|
AllowConn |
关联表允许创建的会话数 |
|
Total find |
当前查找到的关联表总数 |
【命令】
display session statistics [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
slot slot-number:显示设备指定单板槽号的会话表统计信息,slot-number表示单板所在槽位号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
对于单板丝印为IM-NAT和IM-NAT-II的单板,该命令不生效。
display session statistics命令用来显示会话统计信息。
需要注意的是:
· 如果不指定slot,则显示所有单板的会话统计信息;
· 如果不指定任何参数,则显示所有的会话统计信息。
【举例】
# 显示槽位号为13的单板上所有的会话统计信息。
<Sysname> display session statistics slot 13
Current session(s):1
Current TCP session(s): 1
Half-Open: 0 Half-Close: 0
Current UDP session(s): 0
Current ICMP session(s): 0
Current RAWIP session(s): 0
Current relation table(s): 0
Session establishment rate: 0/s
TCP Session establishment rate: 0/s
UDP Session establishment rate: 0/s
ICMP Session establishment rate: 0/s
RAWIP Session establishment rate: 0/s
Received TCP: 1356789815 packet(s) 109664852650 byte(s)
Received UDP: 2204480244 packet(s) 196761214058 byte(s)
Received ICMP: 10793095 packet(s) 2611913306 byte(s)
Received RAWIP: 4789685 packet(s) 452146335 byte(s)
Dropped TCP: 2 packet(s) 99 byte(s)
Dropped UDP: 17541392 packet(s) 3300787996 byte(s)
Dropped ICMP: 0 packet(s) 0 byte(s)
Dropped RAWIP: 0 packet(s) 0 byte(s)
表1-4 display session statistics命令显示信息描述表
|
字段 |
描述 |
|
Current session(s) |
系统当前的总会话数 |
|
Current TCP session(s) |
系统当前的TCP连接数 |
|
Half-Open |
系统当前的TCP半开连接数 |
|
Half-Close |
系统当前的TCP半关闭连接数 |
|
Current UDP session(s) |
系统当前的UDP连接数 |
|
Current ICMP session(s) |
系统当前的ICMP连接数 |
|
Current RAWIP session(s) |
系统当前的Raw IP连接数 |
|
Current relation table(s) |
总关联表个数 |
|
Session establishment rate |
系统创建会话的速率 |
|
TCP Session establishment rate |
系统创建TCP会话的速率 |
|
UDP Session establishment rate |
系统创建UDP会话的速率 |
|
ICMP Session establishment rate |
系统创建ICMP会话的速率 |
|
RAWIP Session establishment rate |
系统创建Raw IP会话的速率 |
|
Received TCP |
系统当前收到的TCP报文数、报文字节数 |
|
Received UDP |
系统当前收到的UDP报文数、报文字节数 |
|
Received ICMP |
系统当前收到的ICMP报文数、报文字节数 |
|
Received RAWIP |
系统当前收到的Raw IP报文数、报文字节数 |
|
Dropped TCP |
系统当前丢弃的TCP报文数、报文字节数 |
|
Dropped UDP |
系统当前丢弃的UDP报文数、报文字节数 |
|
Dropped ICMP |
系统当前丢弃的ICMP报文数、报文字节数 |
|
Dropped RAWIP |
系统当前丢弃的Raw IP报文数、报文字节数 |
【命令】
display session table [ slot slot-number ] [ source-ip source-ip ] [ destination-ip destination-ip ] [ protocol-type { icmp | raw-ip | tcp | udp } ] [ source-port source-port ] [ destination-port destination-port ] [ count | verbose ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
slot slot-number:显示指定单板上的会话表。其中,slot-number表示单板所在槽位号。
source-ip source-ip:显示指定源IP地址的会话表。其中,source-ip表示源IP地址。
destination-ip destination-ip:显示指定目的IP地址的会话表。其中,destination-ip表示目的IP地址。
protocol-type { icmp | raw-ip | tcp | udp }:显示指定协议类型的会话表。其中,传输层协议类型可包括:ICMP、RawIP、TCP和UDP。单板丝印为IM-NAT和IM-NAT-II的单板不支持本关键字。
source-port source-port:显示指定发起方源端口号的会话表。其中,source-port表示源端口号,取值范围为0~65535。单板丝印为IM-NAT和IM-NAT-II的单板不支持本关键字。
destination-port destination-port:显示指定发起方目的端口号的会话表。其中,destination-port表示目的端口号,取值范围为0~65535。单板丝印为IM-NAT和IM-NAT-II的单板不支持本关键字。
count:显示会话表的数目。单板丝印为IM-NAT和IM-NAT-II的单板不支持本关键字。
verbose:显示会话表的详细信息。缺省显示会话表的概要信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display session table命令用来显示会话表信息。
需要注意的是:
· 如果不指定任何参数,则显示所有会话表信息;
· 如果不指定slot,则显示所有单板上的会话表信息;
· 如果同时指定多个显示过滤参数,则表示对同时符合这些参数条件的会话表进行显示。
【举例】
# 显示所有的会话表的概要信息。
<Sysname> display session table
Sessions on slot 6:
Total find: 0
Sessions on slot 1:
Total find: 0
Sessions on slot 13:
Initiator:
Source IP/Port : 6.6.6.2/2673
Dest IP/Port : 6.6.6.1/179
Pro : TCP(6)
VPN-Instance/VLAN ID/VLL ID:
Total find: 1
# 显示所有的会话表的详细信息。
<Sysname> display session table verbose
Sessions on slot 6:
Total find: 0
Sessions on slot 1:
Total find: 0
Sessions on slot 13:
Initiator:
Source IP/Port : 6.6.6.2/2673
Dest IP/Port : 6.6.6.1/179
VPN-Instance/VLAN ID/VLL ID:
Responder:
Source IP/Port : 6.6.6.1/179
Dest IP/Port : 6.6.6.2/2673
VPN-Instance/VLAN ID/VLL ID:
Pro: TCP(6) App: BGP State: SYN
Start time: 2009-06-22 15:58:52 TTL: 27s
Received packet(s)(Init): 1 packet(s) 59 byte(s)
Received packet(s)(Reply): 0 packet(s) 0 byte(s)
Total find: 1
# 显示源IP地址为1.1.1.1的会话表的数目。
<Sysname> display session table source-ip 1.1.1.1 count
Matching session count: 100
表1-5 display session table命令显示信息描述表
|
字段 |
描述 |
|
Sessions on slot 6: |
槽位号为6的单板上的会话表信息 |
|
Initiator: |
发起方的会话信息 |
|
Responder: |
响应方的会话信息 |
|
Source IP/Port |
源IP地址/端口号 |
|
Dest IP/Port |
目的IP地址/端口号 |
|
Pro |
传输层协议类型,包括:TCP、UDP、ICMP、Raw IP |
|
VPN-Instance/VLAN ID/VLL ID |
会话所属的MPLS L3VPN/二层转发时会话所属的VLAN ID/二层转发时会话所属的INLINE |
|
App |
应用层协议类型,包括:FTP、DNS、MSN、QQ等,unknown表示非知名端口对应的协议类型 |
|
State |
会话状态,包括: · Accelerate · SYN · TCP-EST · FIN · UDP-OPEN · UDP-READY · ICMP-OPEN · ICMP-CLOSED · RAWIP-OPEN · RAWIP-READY |
|
Start Time |
会话创建时间 |
|
TTL |
会话剩余存活时间,单位为秒 |
|
Received packet(s)(Init) |
发起方到响应方的报文数、报文字节数 |
|
Received packet(s)(Reply) |
响应方到发起方的报文数、报文字节数 |
|
Total find |
当前查找到的会话表总数 |
【命令】
reset session [ slot slot-number ] [ source-ip source-ip ] [ destination-ip destination-ip ] [ protocol-type protocol-type ] [ source-port source-port ] [ destination-port destination-port ] [ vpn-instance vpn-instance-name ]
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
slot slot-number:删除指定单板上的会话表。其中,slot-number表示单板所在槽位号。
source-ip source-ip:删除指定发起方源IP地址的会话表。其中,source-ip表示源IP地址。
destination-ip destination-ip:删除指定发起方目的IP地址的会话表。其中,destination-ip表示目的IP地址。
protocol-type protocol-type:删除指定协议类型的会话表。其中,protocol-type表示传输层协议类型,包括:TCP、UDP、ICMP、RawIP。
source-port source-port:删除指定发起方源端口号的会话表。其中,source-port表示源端口号,取值范围为0~65535。
destination-port destination-port:删除指定发起方目的端口号的会话表。其中,destination-port表示目的端口号,取值范围为0~65535。
vpn-instance vpn-instance-name:删除指定VPN的会话表。其中,vpn-instance-name表示MPLS L3VPN实例名,为1~31个字符的字符串,区分大小写。
【描述】
reset session命令用来删除会话表。
需要注意的是:
· 如果不指定slot,则删除所有单板的会话表;
· 如果不指定vpn-instance-name,则表示删除匹配其它条件的公网中的会话表;
· 如果不指定任何参数,则表示删除所有会话表。
【举例】
# 删除所有会话表。
<Sysname> reset session
# 删除发起方源IP地址为10.10.10.10的所有会话表。
<Sysname> reset session source-ip 10.10.10.10
【命令】
reset session statistics [ slot slot-number ]
【视图】
用户视图
【缺省级别】
1:监控级
【参数】
slot slot-number:清除指定单板上的会话统计信息,slot-number表示单板所在槽位号。
【描述】
对于单板丝印为IM-NAT和IM-NAT-II的单板,该命令不生效。
reset session statistics命令用来清除会话统计信息。
需要注意的是,如果不指定slot,则清除所有单板上的会话统计信息;
【举例】
# 清除所有的会话统计信息。
<Sysname> reset session statistics
【命令】
session aging-time { accelerate | fin | icmp-closed | icmp-open | rawip-open | rawip-ready | syn | tcp-est | udp-open | udp-ready } time-value
undo session aging-time [ accelerate | fin | icmp-closed | icmp-open | rawip-open | rawip-ready | syn | tcp-est | udp-open | udp-ready ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
accelerate:表示超时加速队列的会话超时时间,取值范围为5~100000,单位为秒,对于单板丝印为IM-NAT和IM-NAT-II的单板,暂时不支持此参数。
fin:表示TCP协议FIN_WAIT状态的会话超时时间,取值范围为5~100000,单位为秒,对于单板丝印为IM-NAT和IM-NAT-II的单板,暂时不支持此参数。
icmp-closed:表示ICMP协议CLOSED状态的会话超时时间,取值范围为5~100000,单位为秒,对于单板丝印为IM-NAT和IM-NAT-II的单板,暂时不支持此参数。
icmp-open:表示ICMP协议OPEN状态的会话超时时间,取值范围为5~100000,单位为秒,对于单板丝印为IM-NAT和IM-NAT-II的单板,暂时不支持此参数。
rawip-open:表示RAWIP_OPEN状态的会话超时时间,取值范围为5~100000,单位为秒,对于单板丝印为IM-NAT和IM-NAT-II的单板,暂时不支持此参数。
rawip-ready:表示RAWIP_READY状态的会话超时时间,取值范围为5~100000,单位为秒,对于单板丝印为IM-NAT和IM-NAT-II的单板,暂时不支持此参数。
syn time-value:表示TCP协议SYN_SENT和SYN_RCV状态的会话超时时间,取值范围为5~100000,单位为秒。对于单板丝印为IM-NAT和IM-NAT-II的单板,有效取值范围为5~15秒。
tcp-est time-value:表示TCP协议ESTABLISHED状态的会话超时时间,取值范围为5~100000,单位为秒。对于单板丝印为IM-NAT和IM-NAT-II的单板,有效取值范围为180~3600。
udp-open:表示UDP协议OPEN状态的会话超时时间,取值范围为5~100000,单位为秒。对于单板丝印为IM-NAT和IM-NAT-II的单板,暂时不支持此参数。
udp-ready time-value:表示UDP协议READY状态的会话超时时间,取值范围为5~100000,单位为秒。对于单板丝印为IM-NAT和IM-NAT-II的单板,有效取值范围为50~179。
【描述】
session aging-time命令用来设置各协议状态的会话超时时间。undo session aging-time命令用来恢复缺省情况,如果不指定任何参数,则将所有协议状态的会话超时时间恢复为缺省情况。
缺省情况下,各协议状态的会话超时时间如下:
· 超时加速队列:10秒;
· TCP协议FIN_WAIT状态:30秒;
· ICMP协议CLOSED状态:30秒;
· ICMP协议OPEN状态:60秒;
· RAWIP_OPEN状态:30秒;
· RAWIP_READY状态:60秒;
· TCP协议SYN_SENT和SYN_RCV状态:15秒;
· TCP协议ESTABLISHED状态:300秒;
· UDP协议OPEN状态:30秒;
· UDP协议READY状态:60秒;
当前各协议状态的会话超时时间可通过命令display session aging-time查看。
【举例】
# 设置TCP协议半开状态的超时时间为10秒。
<Sysname> system-view
[Sysname] session aging-time syn 10
【命令】
session checksum { all | { icmp | tcp | udp } * }
undo session checksum { all | { icmp | tcp | udp } * }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
all:对TCP、UDP、ICMP报文均进行校验和检查。
icmp:对ICMP报文进行校验和检查。
tcp:对TCP报文进行校验和检查。
udp:对UDP报文进行校验和检查。
【描述】
对于单板丝印为IM-NAT和IM-NAT-II的单板,该命令不生效。
session checksum命令用来设置对各协议报文进行校验和检查。undo session checksum命令用来取消对协议报文进行校验和检查。
缺省情况下,不进行校验和检查。
【举例】
# 设置对UDP报文进行校验和检查。
<Sysname> system-view
[Sysname] session checksum udp
【命令】
session log enable [ acl acl-number ]
undo session log enable
【视图】
NAT业务接口视图
【缺省级别】
2:系统级
【参数】
acl acl-number:指定匹配会话日志的ACL规则。其中acl-number表示ACL规则序号,取值范围为2000~3999。
【描述】
session log enable命令用来使能会话日志功能。undo session log enable用来恢复缺省情况。
缺省情况下,会话日志功能处于关闭状态。
需要注意的是:
· 如果不指定参数acl,则表示允许输出经过接口的所有会话的日志。
· 对于单板丝印为IM-NAT和IM-NAT-II的单板,设备不会输出静态地址转换和内部服务器的相关日志信息。
【举例】
# 在NAT5/0/1业务接口下开启会话日志,指定输出此接口上匹配ACL2050的会话日志。
<Sysname> system-view
[Sysname] interface nat 5/0/1
[Sysname-NAT5/0/1] session log enable acl 2050
【命令】
session log time-active time-value
undo session log time-active
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
time-value:表示输出活跃流会话日志的时间阈值,取值范围为10~120,单位为分钟,只能为10的整数倍。
【描述】
session log time-active命令用来配置输出活跃流会话日志的时间阈值。undo session log time-active用来删除活跃流会话日志的时间阈值设置。
缺省情况下,活跃流会话日志的时间阈值为0,表示不发送活跃流会话日志。
【举例】
# 设置输出活跃流会话日志的时间阈值为50分钟。
<Sysname> system
[Sysname] session log time-active 50
【命令】
session persist acl acl-number [ aging-time time-value ]
undo session persist
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
acl-number:ACL编号,取值范围为2000~3999。
aging-time time-value:长连接会话的老化时间。其中,time-value表示指定的老化时间,取值范围为0~360,单位为小时,缺省为24小时。0表示永不老化。
【描述】
对于单板丝印为IM-NAT和IM-NAT-II的单板,该命令不生效。
session persist acl命令用来配置长连接会话规则。undo session persist acl命令用来清除长连接会话规则。
缺省情况下,无长连接会话规则。
需要注意的是:
· 长连接会话在老化时间之内不会因为没有报文命中而被超时删除。在必要时用户可以通过命令删除相关的会话;
· 一个长连接会话规则只能引用一个ACL。
相关配置可参考命令reset session。
【举例】
# 配置符合ACL2000规则的会话为长连接,老化时间为72小时。
<Sysname> system-view
[Sysname] session persist acl 2000 aging-time 72
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
