- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
18-会话管理命令
本章节下载: 18-会话管理命令 (163.96 KB)
1.1.2 display application aging-time
1.1.3 display session aging-time
1.1.4 display session relation-table
1.1.5 display session statistics
1.1.8 reset session statistics
1.1.11 session log bytes-active
1.1.12 session log enable (Interface view)
1.1.13 session log packets-active
1.1.14 session log time-active
application aging-time { dns | ftp | msn | qq | sip } time-value
undo application aging-time [ dns | ftp | msn | qq | sip ]
2:系统级
dns:表示DNS协议的会话超时时间。
ftp:表示FTP协议的会话超时时间。
msn:表示MSN协议的会话超时时间。
qq:表示QQ协议的会话超时时间。
sip:表示SIP协议的会话超时时间。
time-value:指定的超时时间,取值范围为5~100000,单位为秒。
application aging-time命令用来设置应用层协议的会话超时时间。undo application aging-time命令用来恢复缺省情况,如果不指定应用层协议类型,则将所有应用层协议的会话超时时间恢复为缺省情况。
· dns:60秒;
· ftp:3600秒;
· msn:3600秒;
· qq:60秒;
· sip:300秒。
# 设置FTP协议的会话超时时间为1800秒。
[Sysname] application aging-time ftp 1800
display application aging-time [ | { begin | exclude | include } regular-expression ]
1:监控级
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display application aging-time命令用来显示应用层协议的会话超时时间。
未调整各应用层协议的会话超时时间之前,可通过本命令查看到各应用层协议的缺省会话超时时间。
相关配置请参考命令application aging-time。
# 显示当前各应用层协议的会话超时时间。
<Sysname> display application aging-time
Protocol Aging-time(s)
ftp 3600
dns 60
sip 300
msn 3600
qq 60
表1-1 display application aging-time命令显示信息描述表
display session aging-time [ | { begin | exclude | include } regular-expression ]
1:监控级
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display session aging-time命令用来显示各协议状态的会话超时时间。
未调整各协议状态的会话超时时间之前,可通过本命令查看到各协议状态的缺省会话超时时间。
# 显示当前各协议状态的会话超时时间。
<Sysname> display session aging-time
Protocol Aging-time(s)
syn 30
tcp-est 3600
fin 30
udp-open 30
udp-ready 60
icmp-open 60
icmp-closed 30
rawip-open 30
rawip-ready 60
accelerate 10
表1-2 display session aging-time命令显示信息描述表
display session relation-table [ | { begin | exclude | include } regular-expression ]
1:监控级
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display session relation-table命令用来显示关联表信息。
# 显示所有的关联表。
<Sysname> display session relation-table
Local IP/Port Global IP/Port MatchMode
192.168.1.22/99 10.153.2.22/99 Local
APP:QQ Pro:UDP TTL:2000s AllowConn:10
Local IP/Port Global IP/Port MatchMode
192.168.1.100/99 10.153.2.100/99 Local
APP:FTP Pro:TCP TTL:2000s AllowConn:10
Total find: 2
表1-3 display session relation-table命令显示信息描述表
|
内网IP地址/端口号 |
|
|
外网IP地址/端口号 |
|
|
会话表向关联表匹配模式,包括:Local、Global、Either · Local表示新建会话的源IP/源端口与关联表的Local IP/Port匹配 · Global表示新建会话的目的IP/目的端口与关联表的Global IP/Port匹配 · Either表示新建会话的信息与关联表的Local IP/Port或Global IP/Port匹配 |
|
|
应用层协议类型,包括:FTP、MSN、QQ等 |
|
|
传输层协议类型,包括:TCP、UDP |
|
display session statistics [ | { begin | exclude | include } regular-expression ]
1:监控级
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display session statistics命令用来显示会话统计信息。
需要注意的是:如果不指定任何参数,则显示所有的会话统计信息。
# 显示所有的会话统计信息。
<Sysname> display session statistics
Current session(s):593951
Current TCP session(s): 0
Half-Open: 0 Half-Close: 0
Current UDP session(s): 593951
Current ICMP session(s): 0
Current RAWIP session(s): 0
Current relation table(s): 50000
Session establishment rate: 184503/s
TCP Session establishment rate: 0/s
UDP Session establishment rate: 184503/s
ICMP Session establishment rate: 0/s
RAWIP Session establishment rate: 0/s
Received TCP: 1538 packet(s) 337567 byte(s)
Received UDP: 86810494849 packet(s) 4340524910260 byte(s)
Received ICMP: 307232 packet(s) 17206268 byte(s)
Received RAWIP: 0 packet(s) 0 byte(s)
Dropped TCP: 0 packet(s) 0 byte(s)
Dropped UDP: 0 packet(s) 0 byte(s)
Dropped ICMP: 0 packet(s) 0 byte(s)
Dropped RAWIP: 0 packet(s) 0 byte(s)
表1-4 display session statistics命令显示信息描述表
|
系统当前的TCP连接数 |
|
|
系统当前的TCP半开连接数 |
|
|
系统当前的TCP半关闭连接数 |
|
|
系统当前的UDP连接数 |
|
|
系统当前的ICMP连接数 |
|
|
系统当前的Raw IP连接数 |
|
|
系统创建TCP会话的速率 |
|
|
系统创建UDP会话的速率 |
|
|
系统创建ICMP会话的速率 |
|
|
系统创建Raw IP会话的速率 |
|
|
系统当前收到的TCP报文数、报文字节数 |
|
|
系统当前收到的UDP报文数、报文字节数 |
|
|
系统当前收到的ICMP报文数、报文字节数 |
|
|
系统当前收到的Raw IP报文数、报文字节数 |
|
|
系统当前丢弃的TCP报文数、报文字节数 |
|
|
系统当前丢弃的UDP报文数、报文字节数 |
|
|
系统当前丢弃的ICMP报文数、报文字节数 |
|
|
系统当前丢弃的Raw IP报文数、报文字节数 |
1:监控级
source-ip source-ip:显示指定源IP地址的会话表。其中,source-ip表示源IP地址。
destination-ip destination-ip:显示指定目的IP地址的会话表。其中,destination-ip表示目的IP地址。
protocol-type { icmp | raw-ip | tcp | udp }:显示指定协议类型的会话表。其中,传输层协议类型可包括:ICMP、RawIP、TCP和UDP。
source-port source-port:显示指定发起方源端口号的会话表。其中,source-port表示源端口号,取值范围为0~65535。
destination-port destination-port:显示指定发起方目的端口号的会话表。其中,destination-port表示目的端口号,取值范围为0~65535。
count:显示会话表的数目。
verbose:显示会话表的详细信息。缺省显示会话表的概要信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display session table命令用来显示会话表信息。
· 如果同时指定多个显示过滤参数,则表示对同时符合这些参数条件的会话表进行显示。
# 显示所有的会话表的概要信息。
<Sysname> display session table
Initiator:
Source IP/Port : 192.168.1.18/2048
Dest IP/Port : 192.168.1.55/768
Pro : ICMP(ICMP(1))
VPN-Instance/VLAN ID/VLL ID:
Initiator:
Source IP/Port : 192.168.1.18/1212
Dest IP/Port : 192.168.1.55/23
Pro : TCP(TCP(6))
VPN-Instance/VLAN ID/VLL ID:
Total find: 2
# 显示所有的会话表的详细信息。
<Sysname> display session table verbose
Initiator:
Source IP/Port : 192.168.1.19/137
Dest IP/Port : 192.168.1.255/137
VPN-Instance/VLAN ID/VLL ID:
Responder:
Source IP/Port : 192.168.1.255/137
Dest IP/Port : 192.168.1.19/137
VPN-Instance/VLAN ID/VLL ID:
Pro: UDP(17) App: NBT-name State: UDP-OPEN
Start time: 2014-03-17 10:39:43 TTL: 2s
Received packet(s)(Init): 6 packet(s) 468 byte(s)
Received packet(s)(Reply): 0 packet(s) 0 byte(s)
Initiator:
Source IP/Port : 192.168.1.18/1212
Dest IP/Port : 192.168.1.55/23
VPN-Instance/VLAN ID/VLL ID:
Responder:
Source IP/Port : 192.168.1.55/23
Dest IP/Port : 192.168.1.18/1212
VPN-Instance/VLAN ID/VLL ID:
Pro: TCP(6) App: TELNET State: TCP-EST
Start time: 2014-03-17 09:30:33 TTL: 3600s
Received packet(s)(Init): 1173 packet(s) 47458 byte(s)
Received packet(s)(Reply): 1168 packet(s) 61845 byte(s)
Total find: 2
# 显示源IP地址为1.1.1.1的会话表的数目。
<Sysname> display session table source-ip 1.1.1.1 count
Matching session count: 100
表1-5 display session table命令显示信息描述表
|
源IP地址/端口号 |
|
|
目的IP地址/端口号 |
|
|
传输层协议类型,包括:TCP、UDP、ICMP、Raw IP |
|
|
VPN-Instance/VLAN ID/VLL ID |
会话所属的MPLS L3VPN/会话二层转发时会话所属的VLAN ID/二层转发时会话所属的INLINE,目前设备暂不支持VPN功能 |
|
应用层协议类型,包括:FTP、DNS、MSN、QQ等,unknown表示非知名端口对应的协议类型 |
|
2:系统级
source-ip source-ip:删除指定发起方源IP地址的会话表。其中,source-ip表示源IP地址。
destination-ip destination-ip:删除指定发起方目的IP地址的会话表。其中,destination-ip表示目的IP地址。
protocol-type { icmp | raw-ip | tcp | udp }:删除指定协议类型的会话表。其中,传输层协议类型可包括:ICMP、RawIP、TCP和UDP。
source-port source-port:删除指定发起方源端口号的会话表。其中,source-port表示源端口号,取值范围为0~65535。
destination-port destination-port:删除指定发起方目的端口号的会话表。其中,destination-port表示目的端口号,取值范围为0~65535。
reset session命令用来删除会话表。
# 删除所有会话表。
# 删除发起方源IP地址为10.10.10.10的所有会话表。
<Sysname> reset session source-ip 10.10.10.10
1:监控级
reset session statistics命令用来清除会话统计信息。
# 清除所有的会话统计信息。
<Sysname> reset session statistics
2:系统级
accelerate:表示超时加速队列的会话超时时间。
fin:表示TCP协议FIN_WAIT状态的会话超时时间。
icmp-closed:表示ICMP协议CLOSED状态的会话超时时间。
icmp-open:表示ICMP协议OPEN状态的会话超时时间。
rawip-open:表示RAWIP_OPEN状态的会话超时时间。
rawip-ready:表示RAWIP_READY状态的会话超时时间。
syn:表示TCP协议SYN_SENT和SYN_RCV状态的会话超时时间。
tcp-est:表示TCP协议ESTABLISHED状态的会话超时时间。
udp-open:表示UDP协议OPEN状态的会话超时时间。
udp-ready:表示UDP协议READY状态的会话超时时间。
time-value:指定的超时时间,取值范围为5~100000,单位为秒。
session aging-time命令用来设置各协议状态的会话超时时间。undo session aging-time命令用来恢复缺省情况,如果不指定任何参数,则将所有协议状态的会话超时时间恢复为缺省情况。
· accelerate:10秒;
· fin:30秒;
· icmp-closed:30秒;
· icmp-open:60秒;
· rawip-open:30秒;
· rawip-ready:60秒;
· syn:30秒;
· tcp-est:3600秒;
· udp-open:30秒;
· udp-ready:60秒。
当前各协议状态的会话超时时间可通过命令display session aging-time查看。
# 设置TCP协议半开状态的超时时间为60秒。
[Sysname] session aging-time syn 60
session checksum { all | { icmp | tcp | udp } * }
undo session checksum { all | { icmp | tcp | udp } * }
2:系统级
all:对TCP、UDP、ICMP报文均进行校验和检查。
icmp:对ICMP报文进行校验和检查。
tcp:对TCP报文进行校验和检查。
udp:对UDP报文进行校验和检查。
session checksum命令用来设置对各协议报文进行校验和检查。undo session checksum命令用来取消对协议报文进行校验和检查。
# 设置对UDP报文进行校验和检查。
[Sysname] session checksum udp
【命令】
session log bytes-active bytes-value
undo session log bytes-active
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
bytes-value:表示会话日志的字节数阈值,取值范围为1~1000,单位为兆字节。
【描述】
session log bytes-active命令用来配置输出会话日志的字节数流量阈值。undo session log bytes-active命令用来恢复缺省情况。
缺省情况下,不依据字节数流量阈值发送会话日志。
【举例】
# 设置输出会话日志的字节数流量阈值为10兆字节。
<Sysname> system-view
[Sysname] session log byte-active 10
【命令】
session log enable [ acl acl-number ] { inbound | outbound }
undo session log enable [ acl acl-number ] { inbound | outbound }
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
acl acl-number:指定匹配会话日志的ACL规则。其中acl-number表示ACL规则序号,取值范围为2000~3999。
inbound:指定输出入方向的会话日志。
outbound:指定输出出方向的会话日志。
【描述】
session log enable命令用来使能会话日志功能。undo session log enable用来关闭指定的会话日志功能。
缺省情况下,会话日志功能处于关闭状态。
需要注意的是:
· 如果不指定参数acl,则表示允许输出经过接口的所有会话的日志。
· 可配置仅输出单方向的会话日志,也可以配置输出双向的会话日志。每个方向上可以配置一个ACL规则,后续的配置会覆盖相同方向上之前的配置。
【举例】
# 在Vlan1接口下开启会话日志功能,指定输出经过此接口入方向上的所有会话日志。
<Sysname> system-view
[Sysname] interface vlan-interface 1
[Sysname-Vlan-interface1] session log enable inbound
# 在Vlan2接口下开启会话日志功能,指定输出此接口出方向上匹配ACL 2050的会话日志。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] session log enable acl 2050 outbound
【命令】
session log packets-active packets-value
undo session log packets-active
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
packets-value:表示会话日志的报文数阈值,取值范围为1~1000,单位为兆包。
【描述】
session log packets-active命令用来配置输出会话日志的报文数流量阈值。undo session log packets-active命令用来恢复缺省情况。
缺省情况下,不依据报文数流量阈值发送会话日志。
【举例】
# 设置输出会话日志的流量阈值为10兆报文数。
<Sysname> system-view
[Sysname] session log packets-active 10
【命令】
session log time-active time-value
undo session log time-active
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
time-value:表示会话日志的时间阈值,取值范围为10~120,单位为分钟,只能为10的整数倍。
【描述】
session log time-active命令用来配置输出会话日志的时间阈值。undo session log time-active用来删除会话日志的时间阈值设置。
缺省情况下,不依据时间阈值发送会话日志。
【举例】
# 设置输出会话日志的时间阈值为50分钟。
<Sysname> system
[Sysname] session log time-active 50
2:系统级
session mode hybird命令用来设置会话管理的工作模式为混合模式,即会话管理可以同时处理双向会话流和单向会话流。undo session mode命令用恢复缺省情况。
缺省情况下,会话管理的工作模式为双向模式,仅能处理双向会话流。
单向会话流是指一个会话中仅有一个方向的报文会通过设备,而另一个方向的报文不通过设备。
双向会话流是指一个会话的所有报文都会通过设备。
# 设置会话管理的工作模式为混合模式。
[Sysname] session mode hybrid
session persist acl acl-number [ aging-time time-value ]
2:系统级
acl-number:ACL编号,取值范围为2000~3999。
aging-time time-value:长连接会话的老化时间。其中,time-value表示指定的老化时间,取值范围为0~360,单位为小时,缺省为24小时。0表示永不老化。
session persist acl命令用来配置长连接会话规则。undo session persist命令用来清除长连接会话规则。
· 长连接会话在老化时间之内不会因为没有报文命中而被超时删除。在必要时用户可以通过命令删除相关的会话;
# 配置符合ACL 2000规则的会话为长连接,老化时间为72小时。
[Sysname] session persist acl 2000 aging-time 72
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
