选择区域语言: EN CN HK

10-安全命令参考

17-会话管理命令

本章节下载  (177.37 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR6600/Command/Command_Manual/H3C_SR6600_SR6600-X_CR(V5)-R3303(V1.23)/10/201702/973912_30005_0.htm

17-会话管理命令


1 会话管理

1.1  会话管理配置命令

1.1.1  application aging-time

【命令】

application aging-time { dns | ftp | msn | qq | sip } time-value

undo application aging-time [ dns | ftp | msn | qq | sip ]

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

dns:表示DNS协议的会话超时时间。

ftp:表示FTP协议的会话超时时间。

msn:表示MSN协议的会话超时时间。

qq:表示QQ协议的会话超时时间。

sip:表示SIP协议的会话超时时间。

time-value:指定的超时时间,取值范围为5~100000,单位为秒。

【描述】

application aging-time命令用来设置应用层协议的会话超时时间。undo application aging-time命令用来恢复缺省情况,如果不指定应用层协议类型,则将所有应用层协议的会话超时时间恢复为缺省情况。

缺省情况下:

·     DNS协议的会话超时时间为60秒;

·     FTP协议的会话超时时间为3600秒;

·     MSN协议的会话超时时间为3600秒;

·     QQ协议的会话超时时间为60秒;

·     SIP协议的会话超时时间为300秒。

【举例】

# 设置FTP协议的会话超时时间为1800秒。

<Sysname> system-view

[Sysname] application aging-time ftp 1800

1.1.2  display application aging-time

【命令】

display application aging-time [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display application aging-time命令用来显示应用层协议的会话超时时间。

未调整各应用层协议的会话超时时间之前,可通过本命令查看到各应用层协议的缺省会话超时时间。

相关配置请参考命令application aging-time

【举例】

# 显示当前各应用层协议的会话超时时间。

<Sysname> display application aging-time

 Protocol                Aging-time(s)

 ftp                      3600

 dns                      60

 sip                      300

 msn                      3600

 qq                       60

表1-1 display application aging-time命令显示信息描述表

字段

描述

Protocol

应用层协议类型

Aging-time(s)

会话超时时间,单位为秒

 

1.1.3  display session aging-time

【命令】

display session aging-time [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display session aging-time命令用来显示各协议状态的会话超时时间。

未调整各协议状态的会话超时时间之前,可通过本命令查看到各协议状态的缺省会话超时时间。

相关配置请参考命令session aging-time

【举例】

# 显示当前各协议状态的会话超时时间。

<Sysname> display session aging-time

 Protocol                 Aging-time(s)

 syn                       10

 tcp-est                  3600

 fin                       10

 udp-open                 10

 udp-ready                30

 icmp-open                30

 icmp-closed             10

 rawip-open              30

 rawip-ready             60

 accelerate              5

表1-2 display session aging-time命令显示信息描述表

字段

描述

Protocol

各状态下的协议类型

Aging-time(s)

会话超时时间,单位为秒

 

1.1.4  display session hardware

【命令】

非IRF模式:

display session hardware slot slot-number [ | { begin | exclude | include } regular-expression ]

IRF模式:

display session hardware chassis chassis-number slot slot-number [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

slot slot-number:显示指定单板上的会话个数slot-number表示单板所在槽位号。(非IRF模式)

chassis chassis-number slot slot-number:显示指定成员设备上指定单板的会话表,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display session hardware命令用来查看对应槽位的硬件会话个数。

需要注意的是,该命令仅支持查看SPE-FWM-200、SPE-IPS-200、SPE-ACG-200和FIP600线卡上的会话个数。

SR6600/SR6600-X路由器各款型对于本节所描述的命令的支持情况有所不同,详细差异信息如下:

型号

命令

描述

SR6602

display session hardware

不支持

SR6602-X

不支持

SR6604/SR6608/SR6616

支持

SR6604-X/SR6608-X/SR6616-X

支持

 

【举例】

# 显示3槽位的硬件会话个数。

<Sysname> display session hardware slot 3

 Current hardware session(s): 100

表1-3 display session hardware命令显示信息描述表

字段

描述

Current hardware session(s)

当前硬件中的会话个数

 

1.1.5  display session relation-table

【命令】

非IRF模式:

display session relation-table [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

IRF模式:

display session relation-table [ chassis chassis-number slot slot-number ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

slot slot-number:显示指定单板上的关联表,slot-number表示单板所在槽位号。(非IRF模式)

SR6600/SR6600-X路由器各款型对于本节所描述的参数的支持情况有所不同,详细差异信息如下:

型号

参数

描述

SR6602

slot slot-number

不支持

SR6602-X

支持

SR6604/SR6608/SR6616

支持

SR6604-X/SR6608-X/SR6616-X

支持

 

chassis chassis-number slot slot-number:显示指定成员设备上指定单板的关联表,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

 

【描述】

display session relation-table命令用来显示关联表信息。

需要注意的是:如果不指定slot,则显示所有单板的关联表信息。

【举例】

# 显示所有的关联表。

<Sysname> display session relation-table

Local IP/Port       Global IP/Port      MatchMode

192.168.1.22/99    10.153.2.22/99       Local

APP:QQ    Pro:UDP    TTL:2000s    AllowConn:10

Local IP/Port       Global IP/Port      MatchMode

192.168.1.100/99    10.153.2.100/99       Local

APP:FTP    Pro:TCP    TTL:2000s    AllowConn:10

Total find:  2

表1-4 display session relation-table命令显示信息描述表

字段

描述

Local IP/Port

内网IP地址/端口号

Global IP/Port

外网IP地址/端口号

MatchMode

会话表向关联表匹配模式,包括:Local、Global、Either

·     Local表示新建会话的源IP/源端口与关联表的Local IP/Port匹配

·     Global表示新建会话的目的IP/目的端口与关联表的Global IP/Port匹配

·     Either表示新建会话的信息与关联表的Local IP/Port或Global IP/Port匹配

App

应用层协议类型,包括:FTP、MSN、QQ等

Pro

传输层协议类型,包括:TCP、UDP

TTL

关联表的剩余存活时间,单位为秒

AllowConn

关联表允许创建的会话数

Total find

当前查找到的关联表总数

 

1.1.6  display session statistics

【命令】

非IRF模式:

display session statistics [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

IRF模式:

display session statistics [ chassis chassis-number slot slot-number ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

slot slot-number:显示指定单板上的会话表统计信息,slot-number表示单板所在槽位号。(非IRF模式)

SR6600/SR6600-X路由器各款型对于本节所描述的参数的支持情况有所不同,详细差异信息如下:

型号

参数

描述

SR6602

slot slot-number

不支持

SR6602-X

支持

SR6604/SR6608/SR6616

支持

SR6604-X/SR6608-X/SR6616-X

支持

 

chassis chassis-number slot slot-number:显示指定成员设备上指定单板的会话表,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

 

【描述】

display session statistics命令用来显示会话统计信息。

需要注意的是:

·     如果不指定slot,则显示所有单板的会话统计信息;

·     如果按照指定虚拟设备显示会话统计信息,信息中不显示丢弃报文数的统计信息。

·     如果不指定任何参数,则显示所有的会话统计信息。

·     display session statistics命令无法查看SPE-FWM-200、SPE-IPS-200、SPE-ACG-200和FIP600线卡上的会话统计信息。

【举例】

# 显示所有的会话统计信息。

<Sysname> display session statistics

 

Current session(s):593951

         Current     TCP session(s): 0

                 Half-Open: 0            Half-Close: 0

         Current     UDP session(s): 593951

         Current    ICMP session(s): 0

         Current   RAWIP session(s): 0

 

Current relation table(s): 50000

 

Session establishment rate:    184503/s

         TCP     Session establishment rate:      0/s

         UDP     Session establishment rate:  184503/s

         ICMP    Session establishment rate:      0/s

         RAWIP   Session establishment rate:     0/s

 

Received     TCP:                   1538 packet(s)                  337567 byte(s)

Received     UDP:           86810494849 packet(s)          4340524910260 byte(s)

Received    ICMP:                 307232 packet(s)                17206268 byte(s)

Received   RAWIP:                       0 packet(s)                        0 byte(s)

Dropped      TCP:                       0 packet(s)                        0 byte(s)

Dropped      UDP:                       0 packet(s)                        0 byte(s)

Dropped     ICMP:                       0 packet(s)                        0 byte(s)

Dropped    RAWIP:                       0 packet(s)                        0 byte(s)

表1-5 display session statistics命令显示信息描述表

字段

描述

Current session(s)

系统当前的总会话数

Current TCP session(s)

系统当前的TCP连接数

Half-Open

系统当前的TCP半开连接数

Half-Close

系统当前的TCP半关闭连接数

Current UDP session(s)

系统当前的UDP连接数

Current ICMP session(s)

系统当前的ICMP连接数

Current RAWIP session(s)

系统当前的Raw IP连接数

Current relation table(s)

总关联表个数

Session establishment rate

系统创建会话的速率

TCP Session establishment rate

系统创建TCP会话的速率

UDP Session establishment rate

系统创建UDP会话的速率

ICMP Session establishment rate

系统创建ICMP会话的速率

RAWIP Session establishment rate

系统创建Raw IP会话的速率

Received TCP

系统当前收到的TCP报文数、报文字节数

Received UDP

系统当前收到的UDP报文数、报文字节数

Received ICMP

系统当前收到的ICMP报文数、报文字节数

Received RAWIP

系统当前收到的Raw IP报文数、报文字节数

Dropped TCP

系统当前丢弃的TCP报文数、报文字节数

Dropped UDP

系统当前丢弃的UDP报文数、报文字节数

Dropped ICMP

系统当前丢弃的ICMP报文数、报文字节数

Dropped RAWIP

系统当前丢弃的Raw IP报文数、报文字节数

 

1.1.7  display session table

【命令】

非IRF模式:

display session table [ slot slot-number ] [ source-ip source-ip ] [ destination-ip destination-ip ] [ verbose ] [ | { begin | exclude | include } regular-expression ]

IRF模式:

display session table [ chassis chassis-number slot slot-number ] [ source-ip source-ip ] [ destination-ip destination-ip ] [ verbose ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

slot slot-number:显示指定单板上的会话表,slot-number表示单板所在槽位号。(非IRF模式)

SR6600/SR6600-X路由器各款型对于本节所描述的参数的支持情况有所不同,详细差异信息如下:

型号

参数

描述

SR6602

slot slot-number

不支持

SR6602-X

支持

SR6604/SR6608/SR6616

支持

SR6604-X/SR6608-X/SR6616-X

支持

 

chassis chassis-number slot slot-number:显示指定成员设备上指定单板的会话表,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)

source-ip source-ip:显示指定源IP地址的会话表。其中,source-ip表示源IP地址。

destination-ip destination-ip:显示指定目的IP地址的会话表。其中,destination-ip表示目的IP地址。

verbose:显示会话表的详细信息。缺省显示会话表的概要信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display session table命令用来显示会话表信息。

需要注意的是:

·     如果不指定任何参数,则显示所有会话表信息;

·     如果不指定slot,则显示所有单板上的会话表信息;

·     如果同时指定多个显示过滤参数,则表示对同时符合这些参数条件的会话表进行显示。

·     display session table命令无法查看SPE-FWM-200、SPE-IPS-200、SPE-ACG-200和FIP600线卡上的会话表信息。

【举例】

# 显示所有的会话表的概要信息。

<Sysname> display session table

Initiator:

  Source IP/Port : 192.168.1.18/2048

  Dest IP/Port    : 192.168.1.55/768

  Pro              : ICMP(ICMP(1))

  VPN-Instance/VLAN ID/VLL ID:

 

Initiator:

  Source IP/Port : 192.168.1.18/1212

  Dest IP/Port   : 192.168.1.55/23

  Pro              : TCP(TCP(6))

  VPN-Instance/VLAN ID/VLL ID:

 

Total find: 2

# 显示所有的会话表的详细信息。

<Sysname> display session table verbose

Initiator:

  Source IP/Port : 192.168.1.19/137

  Dest IP/Port   : 192.168.1.255/137

  VPN-Instance/VLAN ID/VLL ID:

Responder:

  Source IP/Port : 192.168.1.255/137

  Dest IP/Port   : 192.168.1.19/137

  VPN-Instance/VLAN ID/VLL ID:

Pro: UDP(17)    App: NBT-name          State: UDP-OPEN

Start time: 2009-03-17 10:39:43  TTL: 2s

Root                     Zone(in): Management

                         Zone(out): Local

Received packet(s)(Init): 6 packet(s) 468 byte(s)

Received packet(s)(Reply): 0 packet(s) 0 byte(s)

 

Initiator:

  Source IP/Port : 192.168.1.18/1212

  Dest IP/Port   : 192.168.1.55/23

  VPN-Instance/VLAN ID/VLL ID:

Responder:

  Source IP/Port : 192.168.1.55/23

  Dest IP/Port    : 192.168.1.18/1212

  VPN-Instance/VLAN ID/VLL ID:

Pro: TCP(6)     App: TELNET            State: TCP-EST

Start time: 2009-03-17 09:30:33  TTL: 3600s

Root                     Zone(in): Management

                         Zone(out): Local

Received packet(s)(Init): 1173 packet(s) 47458 byte(s)

Received packet(s)(Reply): 1168 packet(s) 61845 byte(s)

 

 Total find: 2

表1-6 display session table命令显示信息描述表

字段

描述

Initiator:

发起方的会话信息

Responder:

响应方的会话信息

Source IP/Port

源IP地址/端口号

Dest IP/Port

目的IP地址/端口号

Pro

传输层协议类型,包括:TCP、UDP、ICMP、Raw IP

VPN-Instance/VLAN ID/VLL ID

会话所属的MPLS L3VPN/二层转发时会话所属的VLAN ID/二层转发时会话所属的INLINE

App

应用层协议类型,包括:FTP、DNS、MSN、QQ等,unknown表示非知名端口对应的协议类型

State

会话状态,包括:

·     Accelerate

·     SYN

·     TCP-EST

·     FIN

·     UDP-OPEN

·     UDP-READY

·     ICMP-OPEN

·     ICMP-CLOSED

·     RAWIP-OPEN

·     RAWIP-READY

Start Time

会话创建时间

TTL

会话剩余存活时间,单位为秒

Zone(in)

安全域入域

Zone(out)

安全域出域

Received packet(s)(Init)

发起方到响应方的报文数、报文字节数

Received packet(s)(Reply)

响应方到发起方的报文数、报文字节数

Total find

当前查找到的会话表总数

 

1.1.8  reset session

【命令】

非IRF模式:

reset session [ slot slot-number ] [ source-ip source-ip ] [ destination-ip destination-ip ] [ protocol-type { icmp | raw-ip | tcp | udp } ] [ source-port  source-port ] [ destination-port destination-port ] [ vpn-instance vpn-instance-name ]

IRF模式:

reset session [ chassis chassis-number slot slot-number ] [ source-ip source-ip ] [ destination-ip destination-ip ] [ protocol-type { icmp | raw-ip | tcp | udp } ] [ source-port  source-port ] [ destination-port destination-port ] [ vpn-instance vpn-instance-name ]

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

slot slot-number:删除指定单板上的会话表,slot-number表示单板所在槽位号。(非IRF模式)

SR6600/SR6600-X路由器各款型对于本节所描述的参数的支持情况有所不同,详细差异信息如下:

型号

参数

描述

SR6602

slot slot-number

不支持

SR6602-X

支持

SR6604/SR6608/SR6616

支持

SR6604-X/SR6608-X/SR6616-X

支持

 

chassis chassis-number slot slot-number:显示指定成员设备上指定单板的会话表,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)

source-ip source-ip:删除指定发起方源IP地址的会话表。其中,source-ip表示源IP地址。

destination-ip destination-ip:删除指定发起方目的IP地址的会话表。其中,destination-ip表示目的IP地址。

protocol-type { icmp | raw-ip | tcp | udp }:删除指定协议类型的会话表。其中,传输层协议类型可包括:ICMP、RawIP、TCP和UDP。

source-port source-port:删除指定发起方源端口号的会话表。其中,source-port表示源端口号,取值范围为0~65535。

destination-port destination-port:删除指定发起方目的端口号的会话表。其中,destination-port表示目的端口号,取值范围为0~65535。

vpn-instance vpn-instance-name:删除指定VPN的会话表。其中,vpn-instance-name表示表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

【描述】

reset session命令用来删除会话表。

需要注意的是:

·     如果不指定slot,则删除所有单板上的会话表;

·     如果不指定vpn-instance-name,则表示删除匹配其它条件的公网中的会话表;

·     如果不指定任何参数,则表示删除所有会话表。

【举例】

# 删除所有会话表。

<Sysname> reset session

# 删除发起方源IP地址为10.10.10.10的所有会话表。

<Sysname> reset session source-ip 10.10.10.10

1.1.9  reset session statistics

【命令】

非IRF模式:

reset session statistics [ slot slot-number ]

IRF模式:

reset session statistics [ chassis chassis-number slot slot-number ]

【视图】

用户视图

【缺省级别】

1:监控级

【参数】

slot slot-number:清除指定单板上的会话统计信息,slot-number表示单板所在槽位号。(非IRF模式)

SR6600/SR6600-X路由器各款型对于本节所描述的参数的支持情况有所不同,详细差异信息如下:

型号

参数

描述

SR6602

slot slot-number

不支持

SR6602-X

支持

SR6604/SR6608/SR6616

支持

SR6604-X/SR6608-X/SR6616-X

支持

 

chassis chassis-number slot slot-number:显示指定成员设备上指定单板的会话表,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)

【描述】

reset session statistics命令用来清除会话统计信息。

需要注意的是:如果不指定slot,则清除所有单板上的会话统计信息。

【举例】

# 清除所有的会话统计信息。

<Sysname> reset session statistics

1.1.10  session aging-time

【命令】

session aging-time { accelerate | fin | icmp-closed | icmp-open | rawip-open | rawip-ready | syn | tcp-est | udp-open | udp-ready } time-value

undo session aging-time [ accelerate | fin | icmp-closed | icmp-open | rawip-open | rawip-ready | syn | tcp-est | udp-open | udp-ready ]

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

accelerate:表示超时加速队列的会话超时时间。

fin:表示TCP协议FIN_WAIT状态的会话超时时间。

icmp-closed:表示ICMP协议CLOSED状态的会话超时时间。

icmp-open:表示ICMP协议OPEN状态的会话超时时间。

rawip-open:表示RAWIP_OPEN状态的会话超时时间。

rawip-ready:表示RAWIP_READY状态的会话超时时间。

syn:表示TCP协议SYN_SENT和SYN_RCV状态的会话超时时间。

tcp-est:表示TCP协议ESTABLISHED状态的会话超时时间。

udp-open:表示UDP协议OPEN状态的会话超时时间。

udp-ready:表示UDP协议READY状态的会话超时时间。

time-value:指定的超时时间,取值范围为5~100000,单位为秒。

【描述】

session aging-time命令用来设置各协议状态的会话超时时间。undo session aging-time命令用来恢复缺省情况,如果不指定任何参数,则将所有协议状态的会话超时时间恢复为缺省情况。

缺省情况下,各协议状态的会话超时时间为:

·     accelerate:10秒

·     fin:30秒

·     icmp-closed:30秒

·     icmp-open:60秒

·     rawip-open:30秒

·     rawip-ready:60秒

·     syn:30秒

·     tcp-est:3600秒

·     udp-open:30秒

·     udp-ready:60秒

当前各协议状态的会话超时时间可通过命令display session aging-time查看。

【举例】

# 设置TCP协议半开状态的超时时间为60秒。

<Sysname> system-view

[Sysname] session aging-time syn 60

1.1.11  session checksum

【命令】

session checksum { all | { icmp | tcp | udp } * }

undo session checksum { all | { icmp | tcp | udp } * }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

all:对TCP、UDP、ICMP报文均进行校验和检查。

icmp:对ICMP报文进行校验和检查。

tcp:对TCP报文进行校验和检查。

udp:对UDP报文进行校验和检查。

【描述】

session checksum命令用来设置对各协议报文进行校验和检查。undo session checksum命令用来取消对协议报文进行校验和检查。

缺省情况下,不进行校验和检查。

【举例】

# 设置对UDP报文进行校验和检查。

<Sysname> system-view

[Sysname] session checksum udp

1.1.12  session early-ageout

【命令】

session early-ageout shorten-time threshold-high threshold-high-value threshold-low threshold-low-value

undo session early-ageout

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

shorten-time:会话超时时间缩短的长度,取值范围为5~100000,单位为秒。

threshold-high-value:会话数比例阈值高门限,取值范围为1~100,单位为百分比。

threshold-low-value:会话数比例阈值低门限,取值范围为1~100,单位为百分比。threshold-low-value不能够大于threshold-high-value

【描述】

session early-ageout命令用来设置会话超时时间缩短的长度。undo session early-ageout命令用来恢复缺省情况。

缺省情况下,没有设置会话超时时间缩短的长度。

会话数比例指的是当前建立的会话数和会话总规格数的比例。当会话数比例超过阈值高门限threshold-high-value时,会话超时时间将缩短shorten-time即会话超时提前,当会话数比例等于或者低于阈值低门限threshold-low-value时,会话超时时间将恢复到由命令application aging-time或者session aging-time所设置的正常值。

需要注意的是,如果配置的会话超时时间正常值与缩短长度之差小于5秒,则按照最小的5s进行会话超时时间更新。

【举例】

# 配置当会话数比例高于80时,会话超时时间将缩短100秒,会话数比例低于20时,会话超时时间恢复到正常值。

<Sysname> system-view

[Sysname] session early-ageout 100 threshold-high 80 threshold-low 20

1.1.13  session log bytes-active

【命令】

session log bytes-active bytes-value

undo session log bytes-active

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

bytes-value:表示会话日志的字节数阈值,取值范围为1~1000,单位为兆字节。

【描述】

session log bytes-active命令用来配置输出会话日志的字节数流量阈值。undo session log bytes-active命令用来恢复缺省情况。

缺省情况下,不依据字节数流量阈值发送会话日志。

【举例】

# 设置输出会话日志的字节数流量阈值为10兆字节。

<Sysname> system-view

[Sysname] session log byte-active 10

1.1.14  session log enable

【命令】

session log enable [ acl acl-number ] { inbound | outbound }

undo session log enable [ acl acl-number ] { inbound | outbound }

【视图】

接口视图

【缺省级别】

2:系统级

【参数】

acl acl-number:指定匹配会话日志的ACL规则。其中acl-number表示ACL规则序号,取值范围为2000~3999。

inbound:指定输出入方向的会话日志。

outbound:指定输出出方向的会话日志。

【描述】

session log enable命令用来使能会话日志功能。undo session log enable用来关闭指定的会话日志功能。

缺省情况下,会话日志功能处于关闭状态。

需要注意的是:

·     如果不指定参数acl,则表示允许输出经过接口的所有会话的日志。

·     可配置仅输出单方向的会话日志,也可以配置输出双向的会话日志。每个方向上可以配置一个ACL规则,后续的配置会覆盖相同方向上之前的配置。

【举例】

# 在GigabitEthernet3/0/1接口下开启会话日志功能,指定输出经过此接口入方向上的所有会话日志。

<Sysname> system-view

[Sysname] interface gigabitethernet 3/0/1

[Sysname-GigabitEthernet3/0/1] session log enable inbound

# 在GigabitEthernet3/0/2接口下开启会话日志功能,指定输出此接口出方向上匹配ACL 2050的会话日志。

<Sysname> system-view

[Sysname] interface gigabitethernet 3/0/2

[Sysname-GigabitEthernet3/0/2] session log enable acl 2050 outbound

1.1.15  session log packets-active

【命令】

session log packets-active packets-value

undo session log packets-active

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

packets-value:表示会话日志的报文数阈值,取值范围为1~1000,单位为兆包。

【描述】

session log packets-active命令用来配置输出会话日志的报文数流量阈值。undo session log packets-active命令用来恢复缺省情况。

缺省情况下,不依据报文数流量阈值发送会话日志。

【举例】

# 设置输出会话日志的流量阈值为10兆报文数。

<Sysname> system-view

[Sysname] session log packets-active 10

1.1.16  session log time-active

【命令】

session log time-active time-value

undo session log time-active

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

time-value:表示会话日志的时间阈值,取值范围为10~120,单位为分钟,只能为10的整数倍。

【描述】

session log time-active命令用来配置输出会话日志的时间阈值。undo session log time-active用来删除会话日志的时间阈值设置。

缺省情况下,不依据时间阈值发送会话日志。

【举例】

# 设置输出会话日志的时间阈值为50分钟。

<Sysname> system

[Sysname] session log time-active 50

1.1.17  session max-entries

【命令】

非IRF模式:

session max-entries max-entries slot slot-number

undo session max-entries [ max-entries ] slot slot-number

IRF模式:

session max-entries max-entries chassis chassis-number slot slot-number

undo session max-entries [ max-entries ] chassis chassis-number slot slot-number

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

max-entries:会话连接数的最大值,取值范围为1~10000000。

slot-number:单板所在的槽位号。(非IRF模式)

SR6600/SR6600-X路由器各款型对于本节所描述的参数的支持情况有所不同,详细差异信息如下:

型号

参数

描述

SR6602

slot slot-number

不支持

SR6602-X

支持

SR6604/SR6608/SR6616

支持

SR6604-X/SR6608-X/SR6616-X

支持

 

chassis chassis-number slot slot-number:设置指定成员设备上指定单板的会话连接数,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)

【描述】

session max-entries命令用来设置会话连接数的最大值。对于分布式设备,会话连接数还可以按照单板所在的槽位号来配置。undo session max-entries命令用来取消会话连接数最大值的设置。

缺省情况下,会话连接数最大值因产品型号不同而有所差异,具体请参见产品规格。

需要注意的是,实际配置时,会话连接数的最大值不能够超过设备或者单板的会话连接数规格。

【举例】

# 设置会话连接数的最大值为100000。

<Sysname> system

[Sysname] session max-entries 100000

1.1.18  session persist acl

【命令】

session persist acl acl-number [ aging-time [ seconds ] time-value ]

undo session persist

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

acl-number:ACL编号,取值范围为2000~3999。

aging-time time-value:长连接会话的老化时间。其中,time-value表示指定的老化时间,取值范围为0~360,单位为小时,缺省为24小时。0表示永不老化。

seconds:长连接会话的老化时间单位为秒级,即配置了此参数后,time-value单位为秒,取值范围为5~100000。

【描述】

session persist acl命令用来配置长连接会话规则。undo session persist命令用来清除长连接会话规则。

缺省情况下,无长连接会话规则。

需要注意的是:

·     长连接会话在老化时间之内不会因为没有报文命中而被超时删除。在必要时用户可以通过命令删除相关的会话;

·     一个长连接会话规则只能引用一个ACL。

相关配置可参考命令reset session

【举例】

# 配置符合ACL 2000规则的会话为长连接,老化时间为72小时。

<Sysname> system-view

[Sysname] session persist acl 2000 aging-time 72

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!