display firewall session table
命令功能
display firewall session table命令用来查看会话表的信息。
命令格式
display firewall session table [ verbose ] [ all-systems | vsys vys-name ] [ source-zone source-zone | destination-zone destination-zone | { default-policy | policy policy-name } | source-cpe start-ipv6-address [ to end-ipv6-address ] | source { inside start-ip-address [ to end-ip-address ] | global start-ip-address [ to end-ip-address ] } | destination-cpe start-ipv6-address [ to end-ipv6-address ] | destination { inside start-ip-address [ to end-ip-address ] | global start-ip-address [ to end-ip-address ] } | slot slot-id cpu cpu-id | protocol protocol-name | application application-name | source-port { inside port-number | global port-number } | destination-port { inside port-number | global port-number } | interface { interface-name | interface-type interface-number } | service service-type | vlan vlan-id | long-link | user user-name | { local | remote } ] *
display firewall session table [ verbose ] slb [ [ destination { vip start-ip-address [ to end-ip-address ] | rip start-ip-address [ to end-ip-address ] } ] | [ source start-ip-address [ to end-ip-address ] ] | [ destination-port { vport port-number | rport port-number } ] | [ source-port port-number ] | [ slot slot-id cpu cpu-id ] ] *
display firewall session table [ verbose ] session-id session-id
参数说明
参数 |
参数说明 |
取值 |
verbose |
显示会话表的详细信息。 |
- |
session-id session-id |
显示指定会话ID的会话表项。 |
必须是已存在的会话ID。 |
all-systems |
显示所有系统的会话表项。 |
- |
vsys vys-name |
显示指定虚拟系统的会话表项。 |
必须是已存在的虚拟系统的名称。 |
source-zone source-zone |
显示指定源安全区域的会话表项。 |
- |
destination-zone destination-zone |
显示指定目的安全区域的会话表项。 |
- |
default-policy |
显示默认策略的会话表项。 |
- |
policy policy-name |
显示指定策略的会话表项。 |
必须为已存在的策略的名称。 |
source-cpe |
显示源CPE的会话表项。 |
- |
destination-cpe |
显示目的CPE的会话表项。 |
- |
start-ipv6-address [ to end-ipv6-address ] |
指定IPv6地址。 · 如果选择to end-ipv6-address参数,表示指定起始IPv6地址的同时指定结束IPv6地址。 · · 如果不选择to end-ipv6-address参数,表示仅指定一个起始IPv6地址。 · |
- |
source |
显示源端为指定IP地址的会话表项。 |
- |
destination |
显示目的端为指定IP地址的会话表项。 |
- |
inside |
私网IP地址。 |
点分十进制格式。 · 对于NAT场景,inside是指NAT转换前的私网IP地址或NAT Server的实际私网IP地址。 · 对于非NAT场景,inside是指实际IP地址。 |
global |
公网IP地址。 |
点分十进制格式。 · 对于NAT场景,global指NAT转换后的公网IP地址或NAT Server供外部访问的公网IP地址。 · 对于非NAT场景,global是指实际IP地址。 |
start-ip-address [ to end-ip-address ] |
指定起始IP地址。 · 如果选择to end-ip-address参数,表示指定起始IP地址的同时指定结束IPv6地址。 · · 如果不选择to end-ip-address参数,表示仅指定一个起始IP地址。 · |
- |
slot slot-id |
显示指定槽位的会话表项。 仅Eudemon8000E-X支持该参数。 |
- |
cpu cpu-id |
显示指定CPU ID的会话表项。 仅Eudemon8000E-X支持该参数。 |
- |
service service-name |
显示指定服务的会话表项。 |
服务可以为:dns、ftp、h323 、http、hwcc、ils、mgcp、mms、msn、nbt、pptp、qq、ras、rpc、rtsp、sip、smtp、sqlnet、stun、telnet、tftp。 |
protocol protocol-name |
显示指定IP协议的会话表项。 |
协议名称可以为:tcp、udp、icmp、gre、ah、esp。 |
application application-name |
显示指定应用的会话表项。 |
- |
vlan vlan-id |
显示所有的VLAN会话表项。 |
必须是已存在的VLAN的ID。 |
source-port |
显示指定源端口的会话表项。 |
- |
destination-port |
显示指定目的端口的会话表项。 |
- |
inside port-number |
指定内部端口。 |
整数形式,取值范围为1~65535。 |
global port-number |
指定外部端口。 |
整数形式,取值范围为1~65535。 |
long-link |
显示长连接的会话表项。 |
- |
user user-name |
显示指定用户的会话表项。 |
必须是已存在的用户登录名。 |
local |
显示本端设备的会话表信息。如果不指定local参数,表示显示所有会话表信息。 |
- |
remote |
显示对端设备所备份的会话表信息。如果不指定remote参数,表示显示所有会话表信息。 |
- |
slb |
显示服务器负载均衡的会话表项。 |
- |
destination |
显示指定目的IP地址的服务器负载均衡会话表项。 |
- |
source |
显示指定源IP地址的服务器负载均衡会话表项。 |
- |
vip start-ip-address [ to end-ip-address ] |
显示指定虚拟IP地址的服务器负载均衡会话表项。 · 如果选择to end-ip-address参数,表示指定起始IP地址的同时指定结束IP地址。 · · 如果不选择to end-ip-address参数,表示仅指定一个起始IP地址。 · |
- |
rip start-ip-address [ to end-ip-address ] |
显示指定真实IP地址的服务器负载均衡会话表项。 · 如果选择to end-ip-address参数,表示指定起始IP地址的同时指定结束IP地址。 · · 如果不选择to end-ip-address参数,表示仅指定一个起始IP地址。 · |
- |
destination-port { vport port-number | rport port-number } |
显示指定目的端口的服务器负载均衡会话表项。 · 选择vport port-number,表示指定虚拟端口。 · 选择rport port-number,表示指定真实端口。 |
- |
source-port { vport port-number | rport port-number } |
显示指定源端口的服务器负载均衡会话表项。 · 选择vport port-number,表示指定虚拟端口。 · 选择rport port-number,表示指定真实端口。 |
- |
视图
所有视图
缺省级别
1:监控级
使用指南
在双机热备的组网环境中,可以通过选择local或remote参数,按需要查看本端设备或对端设备的会话表信息。
使用实例
# 显示会话表简要信息。
<sysname> display firewall session table
Current Total Sessions: 3
icmp VPN:public --> public Remote 192.168.1.1:43985-->192.168.2.2:2048
telnet VPN:public --> public 192.168.3.1:2855-->192.168.3.2:23
http VPN:public --> public 192.168.3.8:2559-->192.168.3.200:80
表1 display firewall session table命令输出信息描述 |
|
项目 |
描述 |
Current Total Sessions |
当前会话表数统计。在原有连接正常,新连接无法建立时,检查总的会话数是否已经达到规格上限。会话表满的问题,可以通过降低会话老化时间解决。 |
icmp |
协议名称,举例中为ICMP、Telnet和HTTP项。 |
VPN:public --> public |
VPN实例名称,表示方式为:源方向-->目的方向。 |
Remote |
Remote说明当前为备机,该会话是从主机备份过来的会话表。 |
192.168.1.1:43985-->192.168.2.2:2048 |
会话表信息。如果该会话项为“+->”表示启用了ASPF;如果会话信息中有NAT转换,则使用“[]”标识NAT转换后的地址。 |
# 显示会话表详细信息。以Eudemon200E-N/1000E-N为例。
<sysname> display firewall session table verbose
Current Total Sessions: 2
PPLive VPN:public --> public ID: a38f36333beb0f5654453374
Zone: trust--> untrust TTL: 00:02:00 Left: 00:00:35
Interface: GigabitEthernet0/0/1 NextHop: 10.2.206.129 MAC: 00-0f-e2-25-db-4f
<--packets:16 bytes:784 -->packets:16 bytes:1648
10.1.17.16:5041[10.1.206.132:2053]-->10.1.44.48:18006 PolicyName: policy_sec_internetaccess
HTTP VPN:public --> public ID: a48f3636f5030144b54453ad0
Zone: trust--> untrust TTL: 00:00:10 Left: 00:00:05
Interface: GigabitEthernet0/0/1 NextHop: 10.2.206.129 MAC: 00-0f-e2-25-db-4f
<--packets:5 bytes:602 -->packets:5 bytes:265
10.1.17.16:24206[10.1.206.132:2107]-->10.1.208.88:80 PolicyName: policy_sec_internetaccess
表2 display firewall session table verbose命令输出信息描述 |
|
项目 |
描述 |
Current Total Sessions |
当前会话表数统计。 |
PPLive |
协议名称,举例中为PPLive和hHTTP项。 |
VPN:public --> public |
VPN实例名称,表示方式为:源方向-->目的方向。 |
ID |
当前会话ID。 |
local--> trust |
会话的安全区域,表示方式为:源安全区域-->目的安全区域。 |
TTL |
该会话表项总的生存时间。 |
Left |
该会话表项剩余生存时间。 |
Interface |
出接口。 |
NextHop |
下一跳IP地址。 |
MAC |
下一跳MAC地址。 |
<--packets:5 bytes:602 |
该会话入方向的报文数(包括分片)和字节数统计。 |
-->packets:5 bytes:265 |
该会话出方向的分片报文数(包括分片)和字节数统计。 |
10.1.17.16:24206[10.1.206.132:2107]-->10.1.208.88:80 |
会话表信息。会话信息中有NAT转换,“[]”内IP地址即为NAT转换后的地址。 |
PolicyName |
策略名称。 |
# 根据会话ID显示会话表的详细信息。以Eudemon200E-N/1000E-N为例。
<sysname> display firewall session table verboseid a58f3fe91023015aa15344e75b
Current Total Sessions: 1
icmp VPN:public --> public ID: a58f3fe91023015aa15344e75b
Zone: local--> trust TTL: 00:00:20 Left: 00:00:09 Creation Time: 2014/04/09 06:23:23 Duration: 00:00:12
Interface: GigabitEthernet0/0/0 NextHop: 7.7.7.1 MAC: 44-37-e6-97-78-fe
<--packets:3 bytes:252 -->packets:3 bytes:252
7.7.7.222:43982-->7.7.7.1:2048
NextSeqNo2Svr: 1000565407 FinRst: 0
表3 display firewall session table verbose命令输出信息描述 |
|
项目 |
描述 |
Current Total Sessions |
当前会话表数统计。 |
icmp |
协议名称。 |
VPN:public --> public |
VPN实例名称,表示方式为:源方向-->目的方向。 |
ID |
当前会话ID。 |
local--> trust |
会话的安全区域,表示方式为:源安全区域-->目的安全区域。 |
TTL |
该会话表项总的生存时间。 |
Left |
该会话表项剩余生存时间。 |
Creation Time |
会话创建时间。 |
Duration |
会话持续时间。 |
Interface |
出接口。 |
NextHop |
下一跳IP地址。 |
MAC |
下一跳MAC地址。 |
<--packets:3 bytes:252 |
该会话入方向的报文数(包括分片)和字节数统计。 |
-->packets:3 bytes:252 |
该会话出方向的分片报文数(包括分片)和字节数统计。 |
7.7.7.222:43982-->7.7.7.1:2048 |
会话表信息。会话信息中有NAT转换,“[]”内IP地址即为NAT转换后的地址。 |
NextSeqNo2Svr |
下一个发往对端设备的TCP报文序列号。序列号为0时可能是UDP或未开启乱序检测功能,非0时为TCP会话报文序列号。 |
FinRst |
FinRst状态。取值为0或1,0表示没有收到fin或者RST报文,1表示收到fin或者RST报文,终止TCP会话。 |
说明:
NextSeqNo2Svr和FinRst只在TCP协议时有效,非TCP协议时均显示为0。
父主题: 会话表与长连接配置命令
举例:
HRP_M<HHH-FW01-E1000E>dis firewall session table verbose source inside 10.241.189.118
2023-10-30 14:43:16.764 +08:00
Current Total Sessions : 1
tcp VPN: public --> public ID: a68f5cc72f908126f1f653fc101
Zone: CMIT --> trust TTL: 00:00:05 Left: 00:00:03
Recv Interface: Eth-Trunk1.1119
Interface: GigabitEthernet1/0/9 NextHop: 10.119.58.22 MAC: fc1b-d11a-5511
<--packets: 0 bytes: 0 --> packets: 2 bytes: 120
10.241.189.118:14862 --> 10.241.174.2:8088[10.111.144.85:8088] PolicyName: CMIT_trust_3
TCP State: connecting