目  錄

1 會話管理

1.1 會話管理簡介

1.1.1 會話管理的工作原理

1.1.2 會話管理在設備上的實現

1.2 會話管理配置限製和指導

1.3 配置協議狀態會話老化時間

1.4 配置應用層協議會話老化時間

1.5 配置長連接會話規則

1.6 配置會話統計功能

1.7 配置會話日誌功能

1.8 會話管理顯示和維護

1.8.1 顯示會話老化時間

1.8.2 顯示和清除會話表項信息

1.8.3 顯示和清除會話統計信息

1 會話管理

1.1  會話管理簡介

會話管理是為了實現NAT（Network Address Translation，網絡地址轉換）、ASPF（Advanced Stateful Packet Filter，高級狀態包過濾）、攻擊檢測及防範等基於會話進行處理的業務而抽象出來的公共功能。此功能把傳輸層報文之間的交互關係抽象為會話，並根據發起方和響應方的報文信息對會話進行狀態更新和老化，支持多個業務特性分別對同一個業務報文進行處理。

1.1.1  會話管理的工作原理

會話管理主要基於傳輸層協議對報文進行檢測。其實質是通過檢測傳輸層協議信息來對連接的狀態進行跟蹤，並對所有連接的狀態信息進行基於會話表和關聯表的統一維護和管理。

客戶端向服務器發起連接請求報文的時候，係統會創建一個會話表項。該表項中記錄了一個會話所對應的請求報文信息和回應報文信息，包括源IP地址/端口號、目的IP地址/端口號、傳輸層協議類型、應用層協議類型、會話的協議狀態等。對於多通道協議（特指部分應用協議中，客戶端與服務器之間需要在已有連接基礎上協商新的連接來完成一個應用），會話管理還會根據協議的協商情況，創建一個或多個（由具體的應用協議決定）關聯表表項，用於關聯屬於同一個應用的不同會話。關聯表項在多通道協議協商的過程中創建，完成對多通道協議的支持後即被刪除。

上述會話管理的工作原理描述僅針對目的地址為單播地址的報文，對於目的地址是組播地址的報文稍有不同。組播報文到達設備後通常經由一個入接口到多個出接口進行轉發，因此對於同一個應用的組播報文的連接，在入接口和多個出接口均會建立起各自的會話表項，我們稱這類組播報文觸發建立的會話表項為組播會話表項，以區別於單播報文觸發建立的單播會話表項。若無特殊說明，本文中的會話表項不區分單播和組播類型。

在實際應用中，會話管理作為公共功能，隻能實現連接狀態的跟蹤，並不能阻止潛在的攻擊報文通過。會話管理配合ASPF特性，可實現根據連接狀態信息動態地決定是否允許數據包通過防火牆進入內部區域，以便阻止惡意的入侵。

1.1.2  會話管理在設備上的實現

目前會話管理在設備上實現的具體功能如下：

·     支持對各協議報文創建會話、更新會話狀態以及根據協議狀態設置老化時間。

·     支持ICMP/ICMPv6差錯報文的映射，可以根據ICMP/ICMPv6差錯報文攜帶的信息查找原始的會話。

·     支持設置長連接會話，保證指定的會話在一段較長的時間內不會被老化。

·     支持應用層協議（如FTP）的控製通道和動態數據通道的會話管理。

1.2  會話管理配置限製和指導

長連接老化時間僅在TCP會話進入穩態（TCP-EST狀態）時生效。在會話穩態時，長連接老化時間具有最高的優先級，其次為應用層協議老化時間，最後為協議狀態老化時間。

當會話數目過多時，若設備響應速度過慢，建議將協議狀態老化時間或應用層協議老化時間調高。

1.3  配置協議狀態會話老化時間

1. 功能簡介

以下配置用於實現根據會話所處協議狀態來設置會話表項的老化時間。處於某協議狀態的會話，如果在該協議狀態老化時間內未被任何報文匹配，則會由於老化而被係統自動刪除。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     配置各協議狀態的會話老化時間。

session aging-time state { fin | icmp-reply | icmp-request | rawip-open | rawip-ready | syn | tcp-est | udp-open | udp-ready } time-value

缺省情況下，各協議狀態的會話老化時間為：

¡     FIN：30秒。

¡     ICMP-REPLAY：30秒。

¡     ICMP-REQUEST：60秒。

¡     RAWIP-OPEN：30秒。

¡     RAWIP-READY：60秒。

¡     SYN：30秒。

¡     TCP-EST：3600秒。

¡     UDP-OPEN：30秒。

¡     UDP-READY：60秒。

1.4  配置應用層協議會話老化時間

1. 功能簡介

對於處於TCP-EST狀態的TCP會話以及處於UDP-READY狀態的UDP會話，根據所屬的應用層協議類型的老化時間進行老化，老化時間可配置。對於進入穩定狀態的其它應用層協議的會話，則仍然遵循協議狀態的會話老化時間進行老化。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     配置應用層協議的會話老化時間。

session aging-time application { dns | ftp | gtp | h225 | h245 | ils | mgcp | nbt | pptp | ras | rsh | rtsp | sccp | sip | sqlnet | tftp | xdmcp } time-value

缺省情況下，各協議的會話老化時間如下：

¡     DNS：1秒。

¡     FTP：3600秒。

¡     GTP：60秒。

¡     H.225：3600秒。

¡     H.245：3600秒。

¡     ILS：3600秒。

¡     MGCP：60秒。

¡     NBT：3600秒。

¡     PPTP：3600秒。

¡     RAS：300秒。

¡     RSH：60秒。

¡     RTSP：3600秒。

¡     SCCP：3600秒。

¡     SIP：300秒。

¡     SQLNET：600秒。

¡     TFTP：60秒。

¡     XDMCP：3600秒。

1.5  配置長連接會話規則

1. 功能簡介

可以將符合指定特征且進入TCP-EST狀態的TCP會話設置為長連接會話，該類會話的老化時間不會隨著狀態的變遷而改變。可以設置長連接會話的老化時間，或者將其設置為永不老化。

對於長連接會話規則觸發生成的長連接會話不會因為其配置的刪除、修改或沒有報文命中而被刪除，隻有當會話的發起方或響應方主動發起關閉連接請求、達到長連接會話老化時間或管理員手動刪除該會話時，才會被刪除。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     配置長連接會話規則。

session persistent acl [ ipv6 ] acl-number [ aging-time time-value ]

1.6  配置會話統計功能

1. 功能簡介

開啟會話統計功能之後，設備將對收到和發送的基於會話的業務報文數目和報文字節數進行統計。基於單播會話的報文統計信息可通過display session table命令查看，基於單播報文類型的報文統計信息可通過display session statistics命令查看。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     開啟會話統計功能。

session statistics enable

缺省情況下，會話統計功能處於關閉狀態。

1.7  配置會話日誌功能

1. 功能簡介

會話日誌是為滿足網絡管理員安全審計的需要，對用戶的訪問信息、用戶IP地址的轉換信息、用戶的網絡流量信息等進行記錄，並可采用日誌的格式發送給日誌主機或者輸出到信息中心。

存活時間或收發數目達到一定閾值的會話才會以日誌的形式進行記錄並輸出，該閾值包括以下兩種類型：

·     時間閾值：當一個會話存在的時間達到設定的時間閾值時，輸出會話日誌。

·     流量閾值：分為報文數閾值和字節數閾值兩種。當一個會話收發的報文數或字節數達到設定的流量閾值時，輸出會話日誌。

同時隻能有一種流量閾值有效，以最後一次配置的閾值類型為準，例如，先配置報文數閾值再配置字節數閾值，則當前有效的閾值是字節數閾值，隻會輸出達到字節數閾值的會話日誌。

在未指定相關閾值（流量閾值、時間閾值）的情況下，若會話日誌功能處於開啟狀態，則僅在會話表創建和刪除的時候分別輸出一次會話日誌。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     （可選）配置輸出會話日誌的時間閾值。

session log time-active time-value

缺省情況下，不依據時間閾值發送會話日誌。

(3)     （可選）配置輸出會話日誌的流量閾值。

¡     配置報文數流量閾值。

session log packets-active packets-value

缺省情況下，不依據報文數流量閾值發送會話日誌。

¡     配置字節數流量閾值。

session log bytes-active bytes-value

缺省情況下，不依據字節數流量閾值發送會話日誌。

同時配置了時間閾值和流量閾值的情況下，隻要有一個閾值到達，就會輸出相應的會話日誌，並將所有的閾值統計信息清零。

(4)     進入接口視圖。

interface interface-type interface-number

(5)     開啟會話日誌功能。

session log enable { ipv4 | ipv6 } [ acl acl-number ] { inbound | outbound }

缺省情況下，會話日誌功能處於關閉狀態。

1.8  會話管理顯示和維護

1.8.1  顯示會話老化時間

可在任意視圖下執行以下命令：

·     顯示應用層協議的會話老化時間。

display session aging-time application

·     顯示各協議狀態的會話老化時間。

display session aging-time state

1.8.2  顯示和清除會話表項信息

1. 顯示會話表項信息

可在任意視圖下執行以下命令：

·     顯示關聯表項信息。

display session relation-table { ipv4 | ipv6 } [ slot slot-number ]

·     顯示IPv4單播會話表項信息。

display session table ipv4 [ slot slot-number ] [ source-ip start-source-ip [ end-source-ip ] ] [ destination-ip start-destination-ip [ end-destination-ip ] ] [ protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite } ] [ source-port source-port ] [ destination-port destination-port ] [ vpn-instance vpn-instance-name ] [ verbose ]

·     顯示IPv6單播會話表項信息。

display session table ipv6 [ slot slot-number ] [ source-ip start-source-ip [ end-source-ip ] ] [ destination-ip start-destination-ip [ end-destination-ip ] ] [ protocol { dccp | icmpv6 | raw-ip | sctp | tcp | udp | udp-lite } ] [ source-port source-port ] [ destination-port destination-port ] [ vpn-instance vpn-instance-name ] [ verbose ]

·     顯示IPv4組播會話表項信息。

display session table multicast ipv4 [ slot slot-number ] [ destination-ip start-destination-ip [ end-destination-ip ] | destination-port destination-port | protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite } | source-ip start-source-ip [ end-source-ip ] | source-port source-port ] * [ verbose ]

2. 清除會話表項信息

請在用戶視圖下執行以下命令：

·     刪除關聯表項。

reset session relation-table [ ipv4 | ipv6 ] [ slot slot-number ]

·     刪除所有單播會話表項。

reset session table [ slot slot-number ]

·     刪除IPv4單播會話表項。

reset session table ipv4 [ slot slot-number ] [ source-ip source-ip ] [ destination-ip destination-ip ] [ protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite } ] [ source-port  source-port ] [ destination-port destination-port ] [ vpn-instance vpn-instance-name ]

·     刪除所有IP類型的組播會話表項。

reset session table multicast [ slot slot-number ]

·     刪除IPv4組播會話表項。

reset session table multicast ipv4 [ slot slot-number ] [ source-ip source-ip ] [ destination-ip destination-ip ] [ protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite } ] [ source-port source-port ] [ destination-port destination-port ] [ vpn-instance vpn-instance-name ]

1.8.3  顯示和清除會話統計信息

1. 顯示會話統計信息

可在任意視圖下執行以下命令：

·     顯示單播會話統計信息。

display session statistics [ summary ] [ slot slot-number ]

·     根據五元組顯示IPv4單播會話統計信息。

display session statistics ipv4 { destination-ip destination-ip | destination-port destination-port | protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite } | source-ip source-ip | source-port source-port } * [ slot slot-number ]

·     根據五元組顯示IPv6單播會話統計信息。

display session statistics ipv6 { source-ip source-ip | destination-ip destination-ip | protocol { dccp | icmpv6 | raw-ip | sctp | tcp | udp | udp-lite } | source-port source-port | destination-port destination-port } * [ slot slot-number ]

·     顯示組播會話統計信息。

display session statistics multicast [ slot slot-number ]

2. 清除會話統計信息

請在用戶視圖下執行以下命令：

·     清除單播會話統計信息。

reset session statistics [ slot slot-number ]

·     清除組播會話統計信息。

reset session statistics multicast [ slot slot-number ]