- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
04-會話管理配置
本章節下載: 04-會話管理配置 (275.95 KB)
目 錄
會話管理是為了實現攻擊檢測及防範等基於會話進行處理的業務而抽象出來的公共功能。此功能把傳輸層報文之間的交互關係抽象為會話,並根據發起方和響應方的報文信息對會話進行狀態更新和老化,支持多個業務特性分別對同一個業務報文進行處理。
會話管理主要基於傳輸層協議對報文進行檢測。其實質是通過檢測傳輸層協議信息來對連接的狀態進行跟蹤,並對所有連接的狀態信息進行基於會話表和關聯表的統一維護和管理。
客戶端向服務器發起連接請求報文的時候,係統會創建一個會話表項。該表項中記錄了一個會話所對應的請求報文信息和回應報文信息,包括源IP地址/端口號、目的IP地址/端口號、傳輸層協議類型、應用層協議類型、會話的協議狀態等。對於多通道協議(特指部分應用協議中,客戶端與服務器之間需要在已有連接基礎上協商新的連接來完成一個應用),會話管理還會根據協議的協商情況,創建一個或多個(由具體的應用協議決定)關聯表表項,用於關聯屬於同一個應用的不同會話。關聯表項在多通道協議協商的過程中創建,完成對多通道協議的支持後即被刪除。
上述會話管理的工作原理描述僅針對目的地址為單播地址的報文,對於目的地址是組播地址的報文稍有不同。組播報文到達設備後通常經由一個入接口到多個出接口進行轉發,因此對於同一個應用的組播報文的連接,在入接口和多個出接口均會建立起各自的會話表項,我們稱這類組播報文觸發建立的會話表項為組播會話表項,以區別於單播報文觸發建立的單播會話表項。若無特殊說明,本文中的會話表項不區分單播和組播類型。
設備對報文的轉發分為慢速轉發和快速轉發兩個階段。一條數據流的首報文首先會在設備上進行慢速轉發處理,設備根據此階段的處理結果為此條數據流創建會話表項。此條數據流的後續報文將直接匹配對應的會話表項進入快速轉發階段,設備根據此階段的處理結果實現對報文的快速放行或丟棄。有關慢速轉發和快速轉發的詳細介紹,請參見“三層技術-IP業務配置指導”中的“快速轉發”。
根據首報文是否被放行,可將會話分為放行會話和丟包會話。
若一條數據流的首報文經過設備處理之後被放行,則設備會為此條數據流生成會話表項,用於快速放行此條數據流的後續報文,我們將此類會話表項稱之為放行會話。
在實際應用中,放行會話其本身隻能實現連接狀態的跟蹤,並不能阻止潛在的攻擊報文通過。會話配合具體安全業務特性,可實現是否允許報文通過設備。
若一條數據流的首報文經過設備處理之後被丟棄,則設備會為此條數據流生成會話表項用於快速丟棄此條數據流的後續報文,我們將此類會話表項稱之為丟包會話。
除非特別說明,本文的會話均指放行會話。
設備基於會話的報文處理流程如下圖所示。
圖1-1 基於會話的報文處理流程圖
目前會話管理在設備上實現的具體功能如下:
· 支持對各協議報文創建會話、更新會話狀態以及根據協議狀態設置老化時間。
· 支持應用層協議的端口映射(參見“安全配置指導”中的“APR”),允許為應用層協議自定義對應的非通用端口號,同時可以根據應用層協議設置不同會話老化時間。
· 支持ICMP/ICMPv6差錯報文的映射,可以根據ICMP/ICMPv6差錯報文攜帶的信息查找原始的會話。
· 支持設置長連接會話,保證指定的會話在一段較長的時間內不會被老化。
· 支持應用層協議(如FTP)的控製通道和動態數據通道的會話管理。
· 支持對會話業務報文的熱備,實現多台設備之間會話以及基於會話的業務(ALG、ASPF)的動態表項的實時備份。
長連接老化時間僅在TCP會話進入穩態(TCP-EST狀態)時生效。在會話穩態時,長連接老化時間具有最高的優先級,其次為應用層協議老化時間,最後為協議狀態老化時間。
當會話數目過多時,若設備響應速度過慢,建議將協議狀態老化時間或應用層協議老化時間調高。
會話管理配置任務如下:
· 配置會話老化時間
· 配置會話日誌功能
· 配置會話統計功能
· 配置丟包會話
以下配置用於實現根據會話所處協議狀態來設置會話表項的老化時間。處於某協議狀態的會話,如果在該協議狀態老化時間內未被任何報文匹配,則會由於老化而被係統自動刪除。
(1) 進入係統視圖。
system-view
(2) 配置各協議狀態的會話老化時間。
session aging-time state { fin | icmp-reply | icmp-request | icmpv6-reply | icmpv6-request | rawip-open | rawip-ready | syn | tcp-close | tcp-est | tcp-time-wait | udp-open | udp-ready } time-value
缺省情況下,各協議狀態的會話老化時間為:
¡ FIN:30秒。
¡ ICMP-REPLY:30秒。
¡ ICMP-REQUEST:60秒。
¡ ICMPv6-REPLY:30秒
¡ ICMPv6-REQUEST:60秒
¡ RAWIP-OPEN:30秒。
¡ RAWIP-READY:60秒。
¡ SYN:30秒。
¡ TCP-CLOSE:2秒。
¡ TCP-EST:3600秒。
¡ TCP-TIME-WAIT:2秒。
¡ UDP-OPEN:30秒。
¡ UDP-READY:60秒。
對於處於TCP-EST狀態的TCP會話以及處於UDP-READY狀態的UDP會話,根據所屬的應用層協議類型或應用的老化時間進行老化,老化時間可配置。對於進入穩定狀態的其它應用層協議的會話,則仍然遵循協議狀態的會話老化時間進行老化。
此功能中的應用層協議或應用由APR模塊定義,有關APR功能的詳細介紹請參見“安全配置指導”中的“APR”。
(1) 進入係統視圖。
system-view
(2) 配置應用層協議的會話老化時間。
session aging-time application application-name time-value
缺省情況下,部分協議的會話老化時間如下,單位為秒:
¡ DNS:30。
¡ FTP:3600。
¡ GTP-CONTROL:60。
¡ GTP-USER:60。
¡ GPRS-DATA:60。
¡ GPRS-SIG:60。
¡ H225、H245:3600。
¡ RAS、SIP:300。
¡ RTSP:3600。
¡ TFTP:60。
¡ ILS:3600。
¡ MGCP-CALLAGENT:60。
¡ MGCP-GATEWAY:60。
¡ PPTP:3600。
¡ RSH:60。
¡ SCCP:3600。
¡ SQLNET:600。
¡ XDMCP:3600。
¡ BOOTPC:120。
¡ BOOTPS:120。
¡ FTP-DATA:240。
¡ HTTPS:600。
¡ L2TP:120。
¡ NETBIOS-DGM:3600。
¡ NETBIOS-NS:3600。
¡ NETBIOS-SSN:3600。
¡ NTP:120。
¡ QQ:120。
¡ RIP:120。
¡ SNMP:120。
¡ SNMPTRAP:120。
¡ STUN:600。
¡ SYSLOG:120。
¡ TACACS-DS:120。
¡ WHO:120。
其它預定義應用層協議和自定義應用層協議的缺省會話老化時間為1200秒。
可以將符合指定特征且進入TCP-EST狀態的TCP會話設置為長連接會話,該類會話的老化時間不會隨著狀態的變遷而改變。可以設置長連接會話的老化時間,或者將其設置為永不老化。
對於長連接會話規則觸發生成的長連接會話不會因為其配置的刪除、修改或沒有報文命中而被刪除,隻有當會話的發起方或響應方主動發起關閉連接請求、達到長連接會話老化時間或管理員手動刪除該會話時,才會被刪除。
(1) 進入係統視圖。
system-view
(2) 配置長連接會話規則。
session persistent acl [ ipv6 ] acl-number [ aging-time time-value ]
會話日誌是為滿足網絡管理員安全審計的需要,對用戶的訪問信息、用戶IP地址的轉換信息、用戶的網絡流量信息等進行記錄,並可采用日誌的格式發送給日誌主機或者輸出到信息中心。
存活時間或收發數目達到一定閾值的會話才會以日誌的形式進行記錄並輸出,該閾值包括以下兩種類型:
· 時間閾值:當一個會話存在的時間達到設定的時間閾值時,輸出會話日誌。
· 流量閾值:分為報文數閾值和字節數閾值兩種。當一個會話收發的報文數或字節數達到設定的流量閾值時,輸出會話日誌。為使流量閾值能觸發輸出會話日誌,必須開啟軟件快速轉發的會話統計功能;否則,會話會由於無法統計報文的流量信息而不能通過流量閾值觸發輸出會話日誌。
同時配置了時間閾值和流量閾值的情況下,隻要有一個閾值到達,就會輸出相應的會話日誌,並將所有的閾值統計信息清零。
同時隻能有一種流量閾值有效,以最後一次配置的閾值類型為準,例如,先配置報文數閾值再配置字節數閾值,則當前有效的閾值是字節數閾值,隻會輸出達到字節數閾值的會話日誌。
開啟會話日誌功能後,若開啟了新建會話日誌功能和刪除會話日誌功能,則在會話表創建和刪除時分別輸出一次會話日誌;否則在會話表創建和刪除時不會輸出會話日誌。
因為會話日誌僅支持通過快速日誌輸出方式進行輸出,開啟會話日誌功能後,必須配置快速日誌輸出的相關功能才能輸出會話日誌信息。有關快速日誌輸出模塊的相關配置請參見“網絡管理和監控配置指導”中的“快速日誌輸出”。
(1) 進入係統視圖。
system-view
(2) (可選)配置輸出會話日誌的時間閾值。
session log time-active time-value
缺省情況下,不依據時間閾值發送會話日誌。
(3) (可選)配置輸出會話日誌的流量閾值。
session log { bytes-active bytes-value | packets-active packets-value }
缺省情況下,未配置輸出會話日誌的流量閾值。
(4) (可選)開啟新建會話日誌功能。
session log flow-begin
缺省情況下,新建會話日誌功能處於關閉狀態。
(5) (可選)開啟刪除會話日誌功能。
session log flow-end
缺省情況下,刪除會話日誌功能處於關閉狀態。
(6) 進入接口視圖。
interface interface-type interface-number
(7) 開啟會話日誌功能。
session log enable { ipv4 | ipv6 } [ acl acl-number ] { inbound | outbound }
缺省情況下,會話日誌功能處於關閉狀態。
開啟軟件快速轉發的會話統計功能之後,設備將對收到和發送的基於會話的業務報文數目和報文字節數進行統計。基於單播會話的報文統計信息可通過display session table命令查看,基於單播報文類型的報文統計信息可通過display session statistics命令查看;基於組播會話的報文統計信息可通過display session table multicast命令查看,基於組播報文類型的報文統計信息可通過display session statistics multicast命令查看。
(1) 進入係統視圖。
system-view
(2) 開啟軟件快速轉發的會話統計功能。
session statistics enable
軟件快速轉發的會話統計功能處於關閉狀態。
開啟會話數目的Top排名統計功能之後,設備將對基於會話的業務進行會話數目統計,分別基於源地址和目的地址對新建會話數目進行排序。
(1) 進入係統視圖。
system-view
(2) 開啟會話數目的Top排名統計功能。
session top-statistics enable
缺省情況下,會話數目的Top排名統計功能處於關閉狀態。
(3) (可選)顯示會話數目的Top 10排名統計信息。
display session top-statistics
缺省情況下,設備僅會對允許通過的報文生成放行會話表項。若一條數據流的首報文被設備丟棄,則此條流量的後續報文都會按照慢速轉發過程處理,這樣會影響設備處理報文的性能。開啟丟包會話功能後,設備會對丟棄的報文生成丟包會話表項,此條流量的後續報文直接匹配丟包會話進行快速丟包,從而提高設備處理報文的性能。
係統會按照指定的老化時間定期刪除丟包會話,丟包會話的老化時間不會被報文刷新而重新計時。
當丟包會話表項達到閾值時,設備對後續丟棄的報文不再生成丟包會話表項。
丟包會話功能僅適用於ASPF和連接數限製模塊處理的報文,其他模塊丟棄報文時不能生成丟包會話。
丟包會話表項不支持下發硬件芯片。
開啟會話業務熱備份功能後,丟包會話表項不會被備份到對端設備。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
T5000係列 |
T5010、T5020、T5030-G |
支持 |
|
T5030、T5060、T5080、T5000-C、T5000-S |
不支持 |
|
|
T10X0係列 |
T1020、T1030、T1050、T1060、T1080 |
支持 |
|
T1000-AK係列 |
T1000-AK335、T1000-AK340、T1000-AK345、T1000-AK350、T1000-AK355、T1000-AK365 |
支持 |
|
T1000-AI係列 |
T1000-AI-25、T1000-AI-35、T1000-AI-50、T1000-AI-55、T1000-AI-60、T1000-AI-65、T1000-AI-70、T1000-AI-80、T1000-AI-90 |
支持 |
|
插卡 |
IM-IPSX-IV、LSQM1IPSDSC0、LSWM1IPSD0 |
支持 |
(1) 進入係統視圖。
system-view
(2) 開啟丟包會話功能。
session fast-drop { aspf | conntection-limit } * enable
缺省情況下,丟包會話功能處於關閉狀態。
(3) 配置丟包會話的老化時間。
session fast-drop aging-time time-value
缺省情況下,丟包會話的老化時間是3秒。
(4) 配置丟包會話在會話總數中的最大占比。
session fast-drop resource-ratio ratio
缺省情況下,丟包會話在會話總數中的最大占比20‰。
開啟丟包會話Top排名統計功能後,設備將對基於丟包會話的業務進行丟包會話數目統計,分別基於源地址和目的地址對新建丟包會話數目進行排序。丟包會話Top排名統計信息可以通過display session fast-drop top-statistics命令查看。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
T5000係列 |
T5010、T5020、T5030-G |
支持 |
|
T5030、T5060、T5080、T5000-C、T5000-S |
不支持 |
|
|
T10X0係列 |
T1020、T1030、T1050、T1060、T1080 |
支持 |
|
T1000-AK係列 |
T1000-AK335、T1000-AK340、T1000-AK345、T1000-AK350、T1000-AK355、T1000-AK365 |
支持 |
|
T1000-AI係列 |
T1000-AI-25、T1000-AI-35、T1000-AI-50、T1000-AI-55、T1000-AI-60、T1000-AI-65、T1000-AI-70、T1000-AI-80、T1000-AI-90 |
支持 |
|
插卡 |
IM-IPSX-IV、LSQM1IPSDSC0、LSWM1IPSD0 |
支持 |
(1) 進入係統視圖。
system-view
(2) 開啟丟包會話Top排名統計功能。
session fast-drop top-statistics enable
缺省情況下,丟包會話Top排名統計功能處於關閉狀態。
開啟會話表項使用率突變告警功能後,係統會以10秒為周期對會話表項使用率進行統計,若設備達到會話表項使用率突變告警閾值條件,則會輸出相應的會話告警信息。用於對會話表項突然大幅升高或降低的情況進行監控,以便實時了解設備會話表項的穩定性。
會話表項變化率是指周期結束時與周期起始時會話表項數量的差值所占周期起始時的會話表項數的百分比。會話表項起始使用率是指設備檢測周期起始時的會話數所占係統會話最大規格數的百分比。
當設備會話數在一個周期的變化率達到會話表項突變告警閾值,且會話表項的起始使用率大於起始告警閾值時,則會產生告警。
(1) 進入係統視圖。
system-view
(2) 開啟會話表項使用率突變告警功能。
session alarm usage-abrupt enable
缺省情況下,會話表項使用率突變告警功能處於關閉狀態。
(3) 配置會話表項使用率的突變告警閾值。
session alarm usage-abrupt threshold threshold-value [ base-threshold base-value ]
缺省情況下,會話表項突變告警閾值為20%,會話表項起始使用率告警閾值為10%。
開啟會話新建速率突變告警功能後,係統會以10秒為周期對會話表項新建速率進行統計,若設備達到會話新建速率突變告警閾值條件,則會輸出相應的會話告警信息。用於對會話表項新建速率突然大幅升高或降低的情況進行監控,以便實時了解設備會話表項的穩定性。
會話新建速率變化率是指周期結束時與周期起始時會話新建速率的差值所占周期起始時的會話新建速率的百分比。會話新建速率起始百分比是指設備檢測周期起始時新建速率所占10萬的百分比值。
當設備會話新建速率在一個周期的變化率達到會話新建速率突變告警閾值,且會話新建速率起始百分比大於起始告警閾值時,則會產生告警。
(1) 進入係統視圖。
system-view
(2) 開啟會話新建速率突變告警功能。
session alarm rate-abrupt enable
缺省情況下,會話新建速率突變告警功能處於關閉狀態。
(3) 配置會話新建速率的突變告警閾值。
session alarm rate-abrupt threshold threshold-value [ base-threshold base-value ]
缺省情況下,會話新建速率突變告警閾值為20%,會話新建速率起始告警閾值為10%。
開啟會話嚐試新建速率突變告警功能後,係統會以10秒為周期對會話表項嚐試新建速率進行統計,若設備達到會話嚐試新建速率突變告警閾值條件,則會輸出相應的會話告警信息。用於對會話表項嚐試新建速率突然大幅升高或降低的情況進行監控,以便實時了解設備會話表項的穩定性。
會話嚐試新建速率變化率是指周期結束時與周期起始時會話嚐試新建速率的差值所占周期起始時的會話嚐試新建速率的百分比。會話嚐試新建速率起始百分比是指設備檢測周期起始時嚐試新建速率所占10萬的百分比值。
當會話嚐試新建速率在一個周期的變化率達到會話新建速率突變告警閾值,且會話嚐試新建速率起始百分比大於起始告警閾值百分比時,產生告警。
(1) 進入係統視圖。
system-view
(2) 開啟會話嚐試新建速率突變告警功能。
session alarm try-rate-abrupt enable
缺省情況下,會話嚐試新建速率突變告警功能處於關閉狀態。
(3) 配置會話嚐試新建速率的突變告警閾值。
session alarm try-rate-abrupt threshold threshold-value [ base-threshold base-value ]
缺省情況下,會話嚐試新建速率突變告警閾值百分比為20%,會話嚐試新建速率起始告警閾值百分比為10%。
缺省情況下ALG不支持對分片報文進行處理,開啟該功能後,指定協議的分片報文將支持進行ALG處理,當前僅支持對SIP協議的分片報文開啟該功能。
(1) 進入係統視圖。
system-view
(2) 開啟ALG支持分片報文處理功能。
session alg fragment sip
缺省情況下,ALG支持分片報文處理功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後會話的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除會話統計信息。
表1-1 會話管理顯示和維護
|
操作 |
命令 |
|
顯示應用層協議的會話老化時間 |
display session aging-time application |
|
顯示各協議狀態的會話老化時間 |
display session aging-time state |
|
顯示單播丟包會話的統計信息 |
display session fast-drop statistics [ summary ] [ slot slot-number ] |
|
顯示IPv4單播丟包會話表項信息 |
display session fast-drop table ipv4 [ slot slot-number ] [ verbose ] |
|
顯示IPv6單播丟包會話表項信息 |
display session fast-drop table ipv6 [ slot slot-number ] [ verbose ] |
|
顯示丟包會話數目的Top的排名統計信息 |
display session fast-drop top-statistics { last-1-hour | last-24-hours | last-30-days } |
|
顯示關聯表項信息 |
display session relation-table { ipv4 | ipv6 } [ slot slot-number ] |
|
顯示單播會話統計信息 |
display session statistics [ history-max | summary ] [ slot slot-number ] |
|
根據五元組顯示IPv4單播會話統計信息 |
display session statistics ipv4 [ [ responder ] { application application-name | destination-ip destination-ip | destination-port destination-port | destination-zone destination-zone-name | interface interface-type interface-number | protocol { dccp | dns | ftp | gtp | h323 | http | icmp | ils | mgcp | nbt | pptp | raw-ip | rsh | rtsp | sccp | sctp | sip | smtp | sqlnet | ssh | tcp | telnet | tftp | udp | udp-lite | xdmcp } | security-policy-rule rule-name | source-ip source-ip | source-port source-port | source-zone source-zone-name | state { dccp-closereq | dccp-closing | dccp-open | dccp-partopen | dccp-request | dccp-respond | dccp-timewait | icmp-reply | icmp-request | rawip-open | rawip-ready | sctp-closed | sctp-cookie-echoed | sctp-cookie-wait | sctp-established | sctp-shutdown-ack-sent | sctp-shutdown-recd | sctp-shutdown-sent | tcp-close | tcp-close-wait | tcp-est | tcp-fin-wait | tcp-last-ack | tcp-syn-recv | tcp-syn-sent | tcp-syn-sent2 | tcp-time-wait | udp-open | udp-ready | udplite-open | udplite-ready } | vpn-instance vpn-instance-name } * ] [ slot slot-number ] |
|
根據五元組顯示IPv6單播會話統計信息 |
display session statistics ipv6 [ [ responder ] { application application-name | destination-ip destination-ip | destination-port destination-port | destination-zone destination-zone-name | interface interface-type interface-number | protocol { dccp | dns | ftp | gtp | h323 | http | icmpv6 | ils | mgcp | nbt | pptp | raw-ip | rsh | rtsp | sccp | sctp | sip | smtp | sqlnet | ssh | tcp | telnet | tftp | udp | udp-lite | xdmcp } | security-policy-rule rule-name | source-ip source-ip | source-port source-port | source-zone source-zone-name | state { dccp-closereq | dccp-closing | dccp-open | dccp-partopen | dccp-request | dccp-respond | dccp-timewait | icmpv6-reply | icmpv6-request | rawip-open | rawip-ready | sctp-closed | sctp-cookie-echoed | sctp-cookie-wait | sctp-established | sctp-shutdown-ack-sent | sctp-shutdown-recd | sctp-shutdown-sent | tcp-close | tcp-close-wait | tcp-est | tcp-fin-wait | tcp-last-ack | tcp-syn-recv | tcp-syn-sent | tcp-syn-sent2 | tcp-time-wait | udp-open | udp-ready | udplite-open | udplite-ready } | vpn-instance vpn-instance-name } * ] [ slot slot-number ] |
|
顯示組播會話統計信息 |
display session statistics multicast [ slot slot-number ] |
|
顯示IPv4單播會話表信息 |
display session table ipv4 [ slot slot-number ] [ [ responder ] { application application-name | destination-ip start-destination-ip [ end-destination-ip ] | destination-port destination-port | destination-zone destination-zone-name | interface interface-type interface-number | protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite } | security-policy-rule rule-name | source-ip start-source-ip [ end-source-ip ] | source-port source-port | source-zone source-zone-name | state { dccp-closereq | dccp-closing | dccp-open | dccp-partopen | dccp-request | dccp-respond | dccp-timewait | icmp-reply | icmp-request | rawip-open | rawip-ready | sctp-closed | sctp-cookie-echoed | sctp-cookie-wait | sctp-established | sctp-shutdown-ack-sent | sctp-shutdown-recd | sctp-shutdown-sent | tcp-close | tcp-close-wait | tcp-est | tcp-fin-wait | tcp-last-ack | tcp-syn-recv | tcp-syn-sent | tcp-syn-sent2 | tcp-time-wait | udp-open | udp-ready | udplite-open | udplite-ready } | vpn-instance vpn-instance-name } * ] [ verbose ] |
|
顯示IPv6單播會話表信息 |
display session table ipv6 [ slot slot-number ] [ [ responder ] { application application-name | destination-ip start-destination-ip [ end-destination-ip ] | destination-port destination-port | destination-zone destination-zone-name | interface interface-type interface-number | protocol { dccp | icmpv6 | raw-ip | sctp | tcp | udp | udp-lite } | security-policy-rule rule-name | source-ip start-source-ip [ end-source-ip ] | source-port source-port | source-zone source-zone-name | state { dccp-closereq | dccp-closing | dccp-open | dccp-partopen | dccp-request | dccp-respond | dccp-timewait | icmpv6-reply | icmpv6-request | rawip-open | rawip-ready | sctp-closed | sctp-cookie-echoed | sctp-cookie-wait | sctp-established | sctp-shutdown-ack-sent | sctp-shutdown-recd | sctp-shutdown-sent | tcp-close | tcp-close-wait | tcp-est | tcp-fin-wait | tcp-last-ack | tcp-syn-recv | tcp-syn-sent | tcp-syn-sent2 | tcp-time-wait | udp-open | udp-ready | udplite-open | udplite-ready } | vpn-instance vpn-instance-name } * ] [ verbose ] |
|
顯示IPv4組播會話表信息 |
display session table multicast ipv4 [ slot slot-number ] [ [ responder ] { destination-ip start-destination-ip [ end-destination-ip ] | destination-port destination-port | protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite } | source-ip start-source-ip [ end-source-ip ] | source-port source-port } * ] [ verbose ] |
|
顯示IPv6組播會話表信息 |
display session table multicast ipv6 [ slot slot-number ] [ [ responder ] { destination-ip start-destination-ip [ end-destination-ip ] | destination-port destination-port | protocol { dccp | icmpv6 | raw-ip | sctp | tcp | udp | udp-lite } | source-ip start-source-ip [ end-source-ip ] | source-port source-port } * ] [ verbose ] |
|
顯示會話數目的Top 10排名統計信息 |
display session top-statistics { last-1-hour | last-24-hours | last-30-days } |
|
刪除關聯表項 |
reset session relation-table [ ipv4 | ipv6 ] [ slot slot-number ] |
|
清除單播會話統計信息 |
reset session statistics [ slot slot-number ] |
|
清除組播會話統計信息 |
reset session statistics multicast [ slot slot-number ] |
|
刪除所有IP類型的單播會話表項 |
reset session table [ slot slot-number ] |
|
刪除IPv4單播會話表項 |
reset session table ipv4 [ slot slot-number ] [ source-ip source-ip ] [ destination-ip destination-ip ] [ protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite } ] [ source-port source-port ] [ destination-port destination-port ] [ vpn-instance vpn-instance-name ] |
|
刪除IPv6單播會話表項 |
reset session table ipv6 [ slot slot-number ] [ source-ip source-ip ] [ destination-ip destination-ip ] [ protocol { dccp | icmpv6 | raw-ip | sctp | tcp | udp | udp-lite } ] [ source-port source-port ] [ destination-port destination-port ] [ vpn-instance vpn-instance-name ] |
|
刪除所有IP類型的組播會話表項 |
reset session table multicast [ slot slot-number ] |
|
刪除IPv4組播會話表項 |
reset session table multicast ipv4 [ slot slot-number ] [ source-ip source-ip ] [ destination-ip destination-ip ] [ protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite } ] [ source-port source-port ] [ destination-port destination-port ] [ vpn-instance vpn-instance-name ] |
|
刪除IPv6組播會話表項 |
reset session table multicast ipv6 [ slot slot-number ] [ source-ip source-ip ] [ destination-ip destination-ip ] [ protocol { dccp | icmpv6 | raw-ip | sctp | tcp | udp | udp-lite } ] [ source-port source-port ] [ destination-port destination-port ] [ vpn-instance vpn-instance-name ] |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
