- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
13-會話管理配置
本章節下載: 13-會話管理配置 (178.75 KB)
目 錄
WX1800H係列、WX2500H係列和WX3000H係列不支持slot參數。
設備各款型對於本節所描述的特性支持情況有所不同,詳細差異信息如下:
|
係列 |
型號 |
產品代碼 |
特性 |
描述 |
|
WX1800H係列 |
WX1804H |
EWP-WX1804H-PWR-CN |
會話管理 |
支持 |
|
WX2500H係列 |
WX2510H WX2510H-F WX2540H WX2540H-F WX2560H |
EWP-WX2510H-PWR EWP-WX2510H-F-PWR EWP-WX2540H EWP-WX2540H-F EWP-WX2560H |
支持 |
|
|
WX3000H係列 |
WX3010H WX3010H-X WX3010H-L WX3024H WX3024H-L WX3024H-F |
EWP-WX3010H EWP-WX3010H-X-PWR EWP-WX3010H-L-PWR EWP-WX3024H EWP-WX3024H-L-PWR EWP-WX3024H-F |
WX3010H支持 WX3010H-X支持 WX3010H-L不支持 WX3024H支持 WX3024H-L不支持 WX3024H-F支持 |
|
|
WX3500H係列 |
WX3508H WX3510H WX3520H WX3520H-F WX3540H |
EWP-WX3508H EWP-WX3510H EWP-WX3520H EWP-WX3520H-F EWP-WX3540H |
支持 |
|
|
WX5500E係列 |
WX5510E WX5540E |
EWP-WX5510E EWP-WX5540E |
支持 |
|
|
WX5500H係列 |
WX5540H WX5560H WX5580H |
EWP-WX5540H EWP-WX5560H EWP-WX5580H |
支持 |
|
|
AC插卡係列 |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
支持 |
會話管理是為了實現NAT(Network Address Translation,網絡地址轉換)、ASPF(Advanced Stateful Packet Filter,高級狀態包過濾)、攻擊檢測及防範等基於會話進行處理的業務而抽象出來的公共功能。此功能把傳輸層報文之間的交互關係抽象為會話,並根據發起方和響應方的報文信息對會話進行狀態更新和老化,支持多個業務特性分別對同一個業務報文進行處理。
會話管理實現的主要功能包括:
· 報文到會話的快速匹配;
· 傳輸層協議狀態的管理;
· 報文應用層協議類型的識別;
· 按照協議狀態或應用層協議類型對會話進行老化;
· 支持指定的會話維持較為長時間的連接;
· 為需要進行端口協商的應用層協議提供特殊的報文匹配;
· 支持對ICMP/ICMPv6差錯控製報文的解析以及根據解析結果進行會話的匹配。
會話管理主要基於傳輸層協議對報文進行檢測。其實質是通過檢測傳輸層協議信息來對連接的狀態進行跟蹤,並對所有連接的狀態信息進行基於會話表和關聯表的統一維護和管理。
客戶端向服務器發起連接請求報文的時候,係統會創建一個會話表項。該表項中記錄了一個會話所對應的請求報文信息和回應報文信息,包括源IP地址/端口號、目的IP地址/端口號、傳輸層協議類型、應用層協議類型、會話的協議狀態等。對於多通道協議(特指部分應用協議中,客戶端與服務器之間需要在已有連接基礎上協商新的連接來完成一個應用),會話管理還會根據協議的協商情況,創建一個或多個(由具體的應用協議決定)關聯表表項,用於關聯屬於同一個應用的不同會話。關聯表項在多通道協議協商的過程中創建,完成對多通道協議的支持後即被刪除。
上述會話管理的工作原理描述僅針對目的地址為單播地址的報文,對於目的地址是組播地址的報文稍有不同。組播報文到達設備後通常經由一個入接口到多個出接口進行轉發,因此對於同一個應用的組播報文的連接,在入接口和多個出接口均會建立起各自的會話表項,我們稱這類組播報文觸發建立的會話表項為組播會話表項,以區別於單播報文觸發建立的單播會話表項。若無特殊說明,本文中的會話表項不區分單播和組播類型。
在實際應用中,會話管理作為公共功能,隻能實現連接狀態的跟蹤,並不能阻止潛在的攻擊報文通過。會話管理配合ASPF特性,可實現根據連接狀態信息動態地決定是否允許數據包通過防火牆進入內部區域,以便阻止惡意的入侵。
目前會話管理在設備上實現的具體功能如下:
· 支持對各協議報文創建會話、更新會話狀態以及根據協議狀態設置老化時間。
· 支持ICMP/ICMPv6差錯報文的映射,可以根據ICMP/ICMPv6差錯報文攜帶的信息查找原始的會話。
· 支持設置長連接會話,保證指定的會話在一段較長的時間內不會被老化。
· 支持應用層協議(如FTP)的控製通道和動態數據通道的會話管理。
會話管理支持的配置包括:協議狀態的會話老化時間、長連接會話規則及刪除會話。這些配置可根據實際應用需求選擇進行,配置無先後順序的要求,相互不關聯。
長連接老化時間僅在TCP會話進入穩態(TCP-EST狀態)時生效。在會話穩態時,長連接老化時間具有最高的優先級,其次為協議狀態老化時間。
當會話數目過多時(大於80萬條),建議不要將協議狀態老化時間設置得過短,否則會造成設備響應速度過慢。
以下配置用於實現根據會話所處協議狀態來設置會話表項的老化時間。處於某協議狀態的會話,如果在該協議狀態老化時間內未被任何報文匹配,則會由於老化而被係統自動刪除。
表1-1 配置各協議狀態的會話老化時間
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置各協議狀態的會話老化時間 |
session aging-time state { fin | icmp-reply | icmp-request | rawip-open | rawip-ready | syn | tcp-close | tcp-est | tcp-time-wait | udp-open | udp-ready } time-value |
缺省情況下,各協議狀態的會話老化時間為: · FIN:30秒 · ICMP-REPLAY:30秒 · ICMP-REQUEST:60秒 · RAWIP-OPEN:30秒 · RAWIP-READY:60秒 · SYN:30秒 · TCP-CLOSE:2秒 · TCP-EST:3600秒 · TCP-TIME-WAIT:2秒 · UDP-OPEN:30秒 · UDP-READY:60秒 |
針對進入TCP-EST狀態的TCP會話,用戶可以根據需要將符合指定特征的TCP會話設置為長連接會話。長連接會話的老化時間不會隨著狀態的變遷而更改,可以將其設置得比普通會話的老化時間更長,或者設置成永不老化。被設置成永不老化的長連接會話,隻有當會話的發起方或響應方主動發起關閉連接請求或管理員手動刪除該會話時,才會被刪除。
係統支持配置多條長連接會話規則。
表1-2 配置長連接會話規則
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置長連接會話規則 |
session persistent acl [ ipv6 ] acl-number [ aging-time time-value ] |
缺省情況下,無長連接會話規則 |
開啟會話統計功能之後,設備將對收到和發送的基於會話的業務報文數目和報文字節數進行統計。基於單播會話的報文統計信息可通過display session table命令查看,基於單播報文類型的報文統計信息可通過display session statistics命令查看;基於組播會話的報文統計信息可通過display session table multicast命令查看,基於組播報文類型的報文統計信息可通過display session statistics multicast命令查看。
表1-3 配置會話統計
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟會話統計功能 |
session statistics enable |
缺省情況下,會話統計功能處於關閉狀態 |
在非對稱路徑網絡中,若設備上未開啟會話業務熱備份功能,則需要將會話狀態機的模式配置為寬鬆模式,可以避免設備異常丟包。
在對稱路徑網絡中,建議保持缺省狀態,即嚴格模式。
表1-4 配置會話狀態機為寬鬆模式
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置會話狀態機為寬鬆模式 |
session state-machine mode loose |
缺省情況下,會話狀態機為嚴格模式 |
會話日誌是為滿足網絡管理員安全審計的需要,對用戶的訪問信息、用戶IP地址的轉換信息、用戶的網絡流量信息等進行記錄,並可采用日誌的格式發送給日誌主機或者輸出到信息中心。
存活時間或收發數目達到一定閾值的會話才會以日誌的形式進行記錄並輸出,該閾值包括以下兩種類型:
· 時間閾值:當一個會話存在的時間達到設定的時間閾值時,輸出會話日誌。
· 流量閾值:分為報文數閾值和字節數閾值兩種。當一個會話收發的報文數或字節數達到設定的流量閾值時,輸出會話日誌。為使流量閾值能觸發輸出會話日誌,必須開啟會話統計功能;否則,會話會由於無法統計報文的流量信息而不能通過流量閾值觸發輸出會話日誌。
同時配置了時間閾值和流量閾值的情況下,隻要有一個閾值到達,就會輸出相應的會話日誌,並將所有的閾值統計信息清零。
同時隻能有一種流量閾值有效,以最後一次配置的閾值類型為準,例如,先配置報文數閾值再配置字節數閾值,則當前有效的閾值是字節數閾值,隻會輸出達到字節數閾值的會話日誌。
開啟會話日誌功能後,若開啟了新建會話日誌功能和刪除會話日誌功能,則在會話表創建和刪除時分別輸出一次會話日誌;否則在會話表創建和刪除時不會輸出會話日誌。
需要注意的是:會話日誌功能和Flow日誌功能的相關配置必須同時配置後才能生成會話日誌信息。有關Flow日誌模塊的相關配置請參見“網絡管理和監控配置指導”中的“Flow日誌”。
表1-5 配置會話日誌功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
(可選)配置輸出會話日誌的時間閾值 |
session log time-active time-value |
缺省情況下,未配置輸出會話日誌的時間閾值 |
|
(可選)配置輸出會話日誌的流量閾值 |
session log { bytes-active bytes-value | packets-active packets-value } |
缺省情況下,未配置輸出會話日誌的流量閾值 |
|
(可選)開啟新建會話日誌功能 |
session log flow-begin |
缺省情況下,新建會話日誌功能處於關閉狀態 |
|
(可選)開啟刪除會話日誌功能 |
session log flow-end |
缺省情況下,刪除會話日誌功能處於關閉狀態 |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
開啟會話日誌功能 |
session log enable { ipv4 | ipv6 } [ acl acl-number ] { inbound | outbound } |
缺省情況下,會話日誌功能處於關閉狀態 |
session log time-active、session log { bytes-active bytes-value | packets-active packets-value }、session log flow-begin和session log flow-end以上命令至少選其一。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後會話的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除會話統計信息。
表1-6 會話管理顯示和維護
|
操作 |
命令 |
|
顯示各協議狀態的會話老化時間 |
display session aging-time state |
|
顯示IPv4單播會話表信息 |
display session table ipv4 [ slot slot-number ] [ source-ip start-source-ip [ end-source-ip ] ] [ destination-ip start-destination-ip [ end-destination-ip ] ] [ protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite } ] [ source-port source-port ] [ destination-port destination-port ] [ verbose ] |
|
顯示IPv6單播會話表信息 |
display session table ipv6 [ slot slot-number ] [ source-ip start-source-ip [ end-source-ip ] ] [ destination-ip start-destination-ip [ end-destination-ip ] ] [ protocol { dccp | icmpv6 | raw-ip | sctp | tcp | udp | udp-lite } ] [ source-port source-port ] [ destination-port destination-port ] [ verbose ] |
|
根據五元組顯示IPv4單播會話統計信息 |
display session statistics ipv4 { source-ip source-ip | destination-ip destination-ip | protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite } | source-port source-port | destination-port destination-port } * [ slot slot-number [ cpu cpu-number ] ] |
|
根據五元組顯示IPv6單播會話統計信息 |
display session statistics ipv6 { source-ip source-ip | destination-ip destination-ip | protocol { dccp | icmpv6 | raw-ip | sctp | tcp | udp | udp-lite } | source-port source-port | destination-port destination-port } * [ slot slot-number [ cpu cpu-number ] ] |
|
顯示單播會話統計信息 |
display session statistics [ summary ] [ slot slot-number ] |
|
顯示IPv4組播會話表信息 |
display session table multicast ipv4 [ slot slot-number ] [ source-ip start-source-ip [ end-source-ip ] ] [ destination-ip start-destination-ip [ end-destination-ip ] ] [ protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite } ] [ source-port source-port ] [ destination-port destination-port ] [ verbose ] |
|
顯示IPv6組播會話表信息 |
display session table multicast ipv6 [ slot slot-number ] [ source-ip start-source-ip [ end-source-ip ] ] [ destination-ip start-destination-ip [ end-destination-ip ] ] [ protocol { dccp | icmpv6 | raw-ip | sctp | tcp | udp | udp-lite } ] [ source-port source-port ] [ destination-port destination-port ] [ verbose ] |
|
顯示組播會話統計信息 |
display session statistics multicast [ slot slot-number ] |
|
顯示關聯表信息 |
display session relation-table { ipv4 | ipv6 } [ slot slot-number ] |
|
刪除IPv4單播會話表項 |
reset session table ipv4 [ slot slot-number ] [ source-ip source-ip ] [ destination-ip destination-ip ] [ protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite } ] [ source-port source-port ] [ destination-port destination-port ] |
|
刪除IPv6單播會話表項 |
reset session table ipv6 [ slot slot-number ] [ source-ip source-ip ] [ destination-ip destination-ip ] [ protocol { dccp | icmpv6 | raw-ip | sctp | tcp | udp | udp-lite } ] [ source-port source-port ] [ destination-port destination-port ] |
|
刪除所有單播會話項 |
reset session table [ slot slot-number ] |
|
清除單播會話統計信息 |
reset session statistics [ slot slot-number ] |
|
刪除IPv4組播會話表項 |
reset session table multicast ipv4 [ slot slot-number ] [ source-ip source-ip ] [ destination-ip destination-ip ] [ protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite } ] [ source-port source-port ] [ destination-port destination-port ] |
|
刪除IPv6組播會話表項 |
reset session table multicast ipv6 [ slot slot-number ] [ source-ip source-ip ] [ destination-ip destination-ip ] [ protocol { dccp | icmpv6 | raw-ip | sctp | tcp | udp | udp-lite } ] [ source-port source-port ] [ destination-port destination-port ] |
|
刪除所有組播會話項 |
reset session table multicast [ slot slot-number ] |
|
清除組播會話統計信息 |
reset session statistics multicast [ slot slot-number ] |
|
刪除關聯表項 |
reset session relation-table [ ipv4 | ipv6 ] [ slot slot-number ] |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
