- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
04-會話管理配置
本章節下載: 04-會話管理配置 (364.96 KB)
目 錄
會話管理是為了實現NAT(Network Address Translation,網絡地址轉換)、ASPF(Advanced Stateful Packet Filter,高級狀態包過濾)、攻擊檢測及防範等基於會話進行處理的業務而抽象出來的公共功能。此功能把傳輸層報文之間的交互關係抽象為會話,並根據發起方和響應方的報文信息對會話進行狀態更新和老化,支持多個業務特性分別對同一個業務報文進行處理。
會話管理主要基於傳輸層協議對報文進行檢測。其實質是通過檢測傳輸層協議信息來對連接的狀態進行跟蹤,並對所有連接的狀態信息進行基於會話表和關聯表的統一維護和管理。
客戶端向服務器發起連接請求報文的時候,係統會創建一個會話表項。該表項中記錄了一個會話所對應的請求報文信息和回應報文信息,包括源IP地址/端口號、目的IP地址/端口號、傳輸層協議類型、應用層協議類型、會話的協議狀態等。對於多通道協議(特指部分應用協議中,客戶端與服務器之間需要在已有連接基礎上協商新的連接來完成一個應用),會話管理還會根據協議的協商情況,創建一個或多個(由具體的應用協議決定)關聯表表項,用於關聯屬於同一個應用的不同會話。關聯表項在多通道協議協商的過程中創建,完成對多通道協議的支持後即被刪除。
上述會話管理的工作原理描述僅針對目的地址為單播地址的報文,對於目的地址是組播地址的報文稍有不同。組播報文到達設備後通常經由一個入接口到多個出接口進行轉發,因此對於同一個應用的組播報文的連接,在入接口和多個出接口均會建立起各自的會話表項,我們稱這類組播報文觸發建立的會話表項為組播會話表項,以區別於單播報文觸發建立的單播會話表項。若無特殊說明,本文中的會話表項不區分單播和組播類型。
設備對報文的轉發分為慢速轉發和快速轉發兩個階段。一條數據流的首報文首先會在設備上進行慢速轉發處理,設備根據此階段的處理結果為此條數據流創建會話表項。此條數據流的後續報文將直接匹配對應的會話表項進入快速轉發階段,設備根據此階段的處理結果實現對報文的快速放行或丟棄。有關慢速轉發和快速轉發的詳細介紹,請參見“三層技術-IP業務配置指導”中的“快速轉發”。
根據首報文是否被放行,可將會話分為放行會話和丟包會話。
若一條數據流的首報文經過設備處理之後被放行,則設備會為此條數據流生成會話表項,用於快速放行此條數據流的後續報文,我們將此類會話表項稱之為放行會話。
在實際應用中,放行會話其本身隻能實現連接狀態的跟蹤,並不能阻止潛在的攻擊報文通過。會話配合具體安全業務特性,可實現是否允許報文通過設備。
若一條數據流的首報文經過設備處理之後被丟棄,則設備會為此條數據流生成會話表項用於快速丟棄此條數據流的後續報文,我們將此類會話表項稱之為丟包會話。
除非特別說明,本文的會話均指放行會話。
設備基於會話的報文處理流程如下圖所示。
圖1-1 基於會話的報文處理流程圖
目前會話管理在設備上實現的具體功能如下:
· 支持對各協議報文創建會話、更新會話狀態以及根據協議狀態設置老化時間。
· 支持應用層協議的端口映射(參見“安全配置指導”中的“APR”),允許為應用層協議自定義對應的非通用端口號,同時可以根據應用層協議設置不同會話老化時間。
· 支持ICMP/ICMPv6差錯報文的映射,可以根據ICMP/ICMPv6差錯報文攜帶的信息查找原始的會話。
· 支持設置長連接會話,保證指定的會話在一段較長的時間內不會被老化。
· 支持應用層協議(如FTP)的控製通道和動態數據通道的會話管理。
· 支持對會話業務報文的熱備,實現多台設備之間會話以及基於會話的業務(NAT、ALG、ASPF)的動態表項的實時備份。
長連接老化時間僅在TCP會話進入穩態(TCP-EST狀態)時生效。在會話穩態時,長連接老化時間具有最高的優先級,其次為應用層協議老化時間,最後為協議狀態老化時間。
當會話數目過多時,若設備響應速度過慢,建議將協議狀態老化時間或應用層協議老化時間調高。
會話管理配置任務如下:
· 配置會話老化時間
· 配置會話熱備功能
· 配置會話日誌功能
· 配置會話統計功能
· 配置丟包會話
以下配置用於實現根據會話所處協議狀態來設置會話表項的老化時間。處於某協議狀態的會話,如果在該協議狀態老化時間內未被任何報文匹配,則會由於老化而被係統自動刪除。
(1) 進入係統視圖。
system-view
(2) 配置各協議狀態的會話老化時間。
session aging-time state { fin | icmp-reply | icmp-request | icmpv6-reply | icmpv6-request | rawip-open | rawip-ready | syn | tcp-close | tcp-est | tcp-time-wait | udp-open | udp-ready } time-value
缺省情況下,各協議狀態的會話老化時間如下,單位為秒:
¡ FIN:30。
¡ ICMP-REPLY:30。
¡ ICMP-REQUEST:60。
¡ ICMPv6-REPLY:30。
¡ ICMPv6-REQUEST:60。
¡ RAWIP-OPEN:30。
¡ RAWIP-READY:60。
¡ SYN:30。
¡ TCP-CLOSE:2。
¡ TCP-EST:3600。
¡ TCP-TIME-WAIT:2。
¡ UDP-OPEN:30。
¡ UDP-READY:60。
對於處於TCP-EST狀態的TCP會話以及處於UDP-READY狀態的UDP會話,根據所屬的應用層協議類型或應用的老化時間進行老化,老化時間可配置。對於進入穩定狀態的其它應用層協議的會話,則仍然遵循協議狀態的會話老化時間進行老化。
此功能中的應用層協議或應用由APR模塊定義,有關APR功能的詳細介紹請參見“安全配置指導”中的“APR”。
(1) 進入係統視圖。
system-view
(2) 配置應用層協議的會話老化時間。
session aging-time application application-name time-value
缺省情況下,部分協議的會話老化時間如下,單位為秒:
¡ DNS:30。
¡ FTP:3600。
¡ GTP-CONTROL:60。
¡ GTP-USER:60。
¡ GPRS-DATA:60。
¡ GPRS-SIG:60。
¡ H225、H245:3600。
¡ RAS、SIP:300。
¡ RTSP:3600。
¡ TFTP:60。
¡ ILS:3600。
¡ MGCP-CALLAGENT:60。
¡ MGCP-GATEWAY:60。
¡ PPTP:3600。
¡ RSH:60。
¡ SCCP:3600。
¡ SQLNET:600。
¡ XDMCP:3600。
¡ BOOTPC:120。
¡ BOOTPS:120。
¡ FTP-DATA:240。
¡ HTTPS:600。
¡ L2TP:120。
¡ NETBIOS-DGM:3600。
¡ NETBIOS-NS:3600。
¡ NETBIOS-SSN:3600。
¡ NTP:120。
¡ QQ:120。
¡ RIP:120。
¡ SNMP:120。
¡ SNMPTRAP:120。
¡ STUN:600。
¡ SYSLOG:120。
¡ TACACS-DS:120。
¡ WHO:120。
其它預定義應用層協議和自定義應用層協議的缺省會話老化時間為1200秒。
可以將符合指定特征且進入TCP-EST狀態的TCP會話設置為長連接會話,該類會話的老化時間不會隨著狀態的變遷而改變。可以設置長連接會話的老化時間,或者將其設置為永不老化。
對於長連接會話規則觸發生成的長連接會話不會因為其配置的刪除、修改或沒有報文命中而被刪除,隻有當會話的發起方或響應方主動發起關閉連接請求、達到長連接會話老化時間或管理員手動刪除該會話時,才會被刪除。
(1) 進入係統視圖。
system-view
(2) 配置長連接會話規則。
session persistent acl [ ipv6 ] acl-number [ aging-time time-value ]
在主備組網環境中,當出現非對稱路徑流量時,需要將會話狀態機的模式配置為寬鬆模式,可以避免異常會話丟包。
在雙主組網環境中,當出現非對稱路徑流量時,需要將會話狀態機的模式配置為簡化模式,會話斷開後可以及時老化會話。
一般情況下,不建議更改會話狀態機的模式,保持缺省模式即可。僅建議出現非對稱路徑流量時,更改會話狀態機的模式,更改會話狀態的模式後,基於會話的安全檢測會下降。
(1) 進入係統視圖。
system-view
(2) 配置會話狀態機的模式。
session state-machine mode { compact | loose }
缺省情況下,會話狀態機為嚴格模式。
會話業務熱備功能實現了多台設備之間會話以及基於會話的業務的動態表項的熱備份。互為備份的兩台設備(通常為企業中心網關設備)對外提供一個虛擬IP地址與對端設備(通常為企業分支網關設備)進行通信。當一台設備出現故障時,利用相關冗餘設備協商機製將當前設備上的業務流量切換到備份設備上繼續進行業務的處理和轉發,整個流量切換過程對於對端設備完全透明,不需要對端設備添加任何額外的配置。由於對動態表項進行了熱備份,因此當業務流量從發生故障的設備切換到另一台設備後,並不會導致業務中斷,可實現業務的平滑切換。
設備同時還支持會話業務的自動熱備份功能。自動熱備份功能是指係統自動備份啟用了ALG功能的某些應用產生的會話表和關聯表,這些應用包括H323、SIP和ILS。
對於DNS和HTTP類型的應用協議,通常在很少的報文交互之後就會斷開連接,當發生主備切換造成當前連接中斷時,客戶端會立即重新發起請求,用戶通常感知不到連接異常。因此,在大多數情況下這些應用協議不需要進行會話備份。如果用戶明確知道當前的HTTP會話或者DNS會話將會持續較長的連接時間,或者確實希望對這兩個應用協議創建的會話進行備份,可以通過該命令開啟DNS或者HTTP的會話備份功能。
當網絡中有可能存在非對稱流量時,如果業務流量很大,需要備份的會話比較多,這時可能會由於備份不及時使部分業務有延時甚至不通,為解決此問題可在設備上配置“支持非對稱流量”功能。例如,TCP業務的SYN報文由一台設備轉發,而ACK報文由另一台設備轉發,若會話表還未備份過來,將導致報文因狀態錯誤被丟棄。
在IRF組網環境中,當開啟會話業務熱備份功能的情況下,若需要配置NAT業務,則必須保證NAT業務配置在IRF成員設備的全局接口上(例如聚合口、冗餘口);若在物理接口上配置了NAT業務,則建議關閉會話業務熱備份功能。
此功能不能與RBM熱備功能(hot-backup enable)同時使用。有關RBM熱備功能的詳細介紹,請參見“可靠性命令參考”中的“雙機熱備(RBM)”。
(1) 進入係統視圖。
system-view
(2) 開啟會話業務熱備份功能。
session synchronization enable [ asymmetric ]
缺省情況下,會話業務熱備功能處於關閉狀態。
開啟會話業務熱備份功能後,缺省情況下,DNS和HTTP協議的會話備份功能處於關閉狀態,其它應用協議的會話備份功能處於開啟狀態。
(3) (可選)開啟指定類型會話業務熱備份功能。
session synchronization { dns | http } *
缺省情況下,DNS、HTTP應用協議的會話備份功能處於關閉狀態。
在雙機熱備環境中,會話工作在主備模式下,隻能有一台設備處理安全業務;會話工作在雙主模式下,兩台設備可以同時處理安全業務,充分利用設備資源,提高係統的負載能力。
在雙主組網環境中,為達到兩台設備均衡處理業務的目的,設備必須能夠根據不同的組網環境支持不同的會話創建方式。目前,設備支持的會話創建方式包括如下幾種:
· 哈希算法方式:根據哈希結果將首包流量送到相應設備創建會話,同一條流量的接收設備和創建會話的設備可能不同。此種方式適用於流量在兩台設備上分布不太均勻的網絡情況。
· 本地創建方式:首包流量在接收此報文的設備上進行創建會話,同一條流量的接收設備和創建會話的設備是同一台設備。此種方式適用於流量在兩台設備上分布比較均勻的網絡情況。
在雙主組網環境中,由於UDP協議自身機製原因,對於同一條UDP流量的報文設備無法區分其是正向報文還是反向報文。所以在缺省情況下,當UDP反向報文未匹配到會話時,設備不會將此報文透傳到另一台設備,而是將此報文當作一個新的正向報文嚐試為其創建會話,這時會產生如下兩種問題:
· 如果設備上的安全控製策略僅允許單向流量通過,則會導致反向報文被丟棄。
· 如果設備上的安全控製策略允許雙向流量通過,則會導致同一條UDP流量創建了兩條會話,這種情況下會影響某些安全業務對報文的處理。
為了解決以上問題,可以在雙主模式下開啟未匹配會話時透傳UDP報文的功能。開啟本功能後,當UDP報文在接收設備上未匹配到會話時,設備會將此UDP報文透傳到另一台設備進行處理,若另一台設備上也未匹配會話,則會在此設備上為其創建會話。
在雙主組網環境中,對於同一條TCP流量的報文設備能夠區分其是正向報文還是反向報文。當TCP正向報文未匹配到會話時,設備會為此報文創建會話,當TCP反向報文未匹配到會話時,設備會將此報文透傳到另一台設備。
· 一般情況下,不建議開啟未匹配會話時透傳UDP報文的功能。僅建議在雙主組網環境中,如果同一條UDP流量出現了非對稱路徑,且會話備份不及時的情況下,開啟本功能。開啟本功能後,會影響設備的轉發性能。
· 開啟未匹配會話時透傳UDP報文的功能後,當UDP報文未匹配會話時,若會話的創建方式為哈希算法方式,則根據哈希結果決定在哪個設備上為此UDP報文創建會話,若會話的創建方式為本地創建方式,則會將此UDP報文透傳到另一台設備。
· 會話雙主模式僅支持三層轉發,不支持二層轉發。
· 會話雙主模式僅支持基於流的流分類策略,有關流分類策略的詳細介紹,請參見“三層技術-IP業務配置指導”中的“多CPU報文負載分擔”。
· 會話雙主模式不支持AFT功能。
(1) 進入係統視圖。
system-view
(2) 開啟會話的雙主功能。
session dual-active enable
缺省情況下,會話的雙主功能處於關閉狀態,會話工作在主備模式下。
(3) 開啟會話業務熱備份功能。
具體配置請參見“1.8 配置會話業務熱備份功能”。
(4) 配置雙主模式下會話的創建方式。
session dual-active create-mode { hash | local }
缺省情況下,雙主模式下會話的創建方式為本地優先。
(5) (可選)在雙主模式下開啟未匹配會話時透傳UDP報文的功能。
session dual-active transparent udp enable
缺省情況下,在雙主模式下未匹配會話時透傳UDP報文的功能處於關閉狀態。
(6) (可選)配置會話狀態機的模式為簡化模式。
具體配置請參見“1.7 配置會話狀態機的模式”。
會話日誌是為滿足網絡管理員安全審計的需要,對用戶的訪問信息、用戶IP地址的轉換信息、用戶的網絡流量信息等進行記錄,並可采用日誌的格式發送給日誌主機或者輸出到信息中心。
存活時間或收發數目達到一定閾值的會話才會以日誌的形式進行記錄並輸出,該閾值包括以下兩種類型:
· 時間閾值:當一個會話存在的時間達到設定的時間閾值時,輸出會話日誌。
· 流量閾值:分為報文數閾值和字節數閾值兩種。當一個會話收發的報文數或字節數達到設定的流量閾值時,輸出會話日誌。為使流量閾值能觸發輸出會話日誌,必須開啟軟件快速轉發的會話統計功能;否則,會話會由於無法統計報文的流量信息而不能通過流量閾值觸發輸出會話日誌。
同時配置了時間閾值和流量閾值的情況下,隻要有一個閾值到達,就會輸出相應的會話日誌,並將所有的閾值統計信息清零。
同時隻能有一種流量閾值有效,以最後一次配置的閾值類型為準,例如,先配置報文數閾值再配置字節數閾值,則當前有效的閾值是字節數閾值,隻會輸出達到字節數閾值的會話日誌。
開啟會話日誌功能後,若開啟了新建會話日誌功能和刪除會話日誌功能,則在會話表創建和刪除時分別輸出一次會話日誌;否則在會話表創建和刪除時不會輸出會話日誌。
除了刪除會話時輸出的日誌,輸出其他會話日誌時由於會話還沒有刪除,所以缺省情況下會話刪除時間(EndTime)字段顯示為空。若需滿足部分特殊場景的規範要求,可配置所有會話日誌均攜帶會話刪除時間字段,將其他會話日誌的會話刪除時間字段顯示為創建會話的時間,該功能在一般場景中無需配置。
因為會話日誌僅支持通過Flow日誌或快速日誌輸出方式進行輸出,缺省使用Flow日誌形式,所以開啟會話日誌功能後,必須配置Flow日誌或快速日誌輸出的相關功能才能輸出會話日誌信息。有關Flow日誌模塊的相關配置請參見“網絡管理和監控配置指導”中的“Flow日誌”。有關快速日誌輸出模塊的相關配置請參見“網絡管理和監控配置指導”中的“快速日誌輸出”。
(1) 進入係統視圖。
system-view
(2) (可選)配置輸出會話日誌的時間閾值。
session log time-active time-value
缺省情況下,不依據時間閾值發送會話日誌。
(3) (可選)配置輸出會話日誌的流量閾值。
session log { bytes-active bytes-value | packets-active packets-value }
缺省情況下,未配置輸出會話日誌的流量閾值。
(4) (可選)開啟新建會話日誌功能。?
session log flow-begin
缺省情況下,新建會話日誌功能處於關閉狀態。
(5) (可選)開啟刪除會話日誌功能。
session log flow-end
缺省情況下,刪除會話日誌功能處於關閉狀態。
(6) (可選)配置所有會話日誌均攜帶會話刪除時間字段。
session log with-endtime
缺省情況下,僅刪除會話日誌攜帶會話刪除時間字段。
(7) 進入接口視圖。
interface interface-type interface-number
(8) 開啟會話日誌功能。
session log enable { ipv4 | ipv6 } [ acl acl-number ] { inbound | outbound }
缺省情況下,會話日誌功能處於關閉狀態。
開啟軟件快速轉發的會話統計功能之後,設備將對收到和發送的基於會話的業務報文數目和報文字節數進行統計。基於單播會話的報文統計信息可通過display session table命令查看,基於單播報文類型的報文統計信息可通過display session statistics命令查看;基於組播會話的報文統計信息可通過display session table multicast命令查看,基於組播報文類型的報文統計信息可通過display session statistics multicast命令查看。
(1) 進入係統視圖。
system-view
(2) 開啟軟件快速轉發的會話統計功能。
session statistics enable
缺省情況下,軟件快速轉發的會話統計功能處於關閉狀態。
開啟會話數目的Top排名統計功能之後,設備將對基於會話的業務進行會話數目統計,分別基於源地址和目的地址對新建會話數目進行排序。
(1) 進入係統視圖。
system-view
(2) 開啟會話數目的Top排名統計功能。
session top-statistics enable
缺省情況下,會話數目的Top排名統計功能處於關閉狀態。
(3) (可選)顯示會話數目的Top 10排名統計信息。
display session top-statistics { last-1-hour | last-24-hours | last-30-days }
開啟IPv4會話數據的Top排名統計功能之後,設備將對設備基於會話業務的新建會話速率和並發會話數目進行統計,並根據源IPv4地址或目的IPv4地址進行排行。排行結果可以通過登錄設備Web管理頁麵查看。
通過配置統計策略可以指定統計會話的源或目的IPv4地址。若指定了源或目的IPv4地址,則僅對指定的IPv4地址進行統計;若不指定任何源或目的IPv4地址,則對所有的會話進行統計。
(1) 進入係統視圖。
system-view
(2) 進入IPv4會話數據Top排名統計策略視圖。
session ip-top-count policy
(3) 配置作為會話數據Top排名統計策略過濾條件的源IPv4地址。
source-ip subnet subnet-ip-address mask-length
缺省情況下,不存在源IPv4地址的過濾條件。
(4) 配置作為會話數據Top排名統計策略過濾條件的目的IPv4地址。
destination-ip subnet subnet-ip-address mask-length
缺省情況下,不存在目的IP地址的過濾條件。
(5) 返回係統視圖
quit
(6) 開啟IP會話數據的Top排名統計功能。
session ip-top-count enable
缺省情況下,IPv4會話數據的Top排名統計功能處於關閉狀態。
開啟IPv6會話數據的Top排名統計功能之後,設備將對設備基於會話業務的新建會話速率和並發會話數目進行統計,並根據源IP地址或目的IPv6地址進行排行。排行結果可以通過登錄設備Web管理頁麵查看。
通過配置統計策略可以指定統計會話的源或目的IPv6地址。若指定了源或目的IPv6地址,則僅對指定的IPv6地址進行統計;若不指定任何源或目的IPv6地址,則對所有的會話進行統計。
(1) 進入係統視圖。
system-view
(2) 進入IPv6會話數據Top排名統計策略視圖。
session ipv6-top-count policy
(3) 配置作為會話數據Top排名統計策略過濾條件的源IPv6地址。
source-ip subnet subnet-ipv6-address prefix-length
缺省情況下,不存在源IPv6地址的過濾條件。
(4) 配置作為會話數據Top排名統計策略過濾條件的目的IPv6地址。
destination-ip subnet subnet-ipv6-address prefix-length
缺省情況下,不存在目的IPv6地址的過濾條件。
(5) 返回係統視圖
quit
(6) 開啟IPv6會話數據的Top排名統計功能。
session ipv6-top-count enable
缺省情況下,IPv6會話數據的Top排名統計功能處於關閉狀態。
缺省情況下,設備僅會對允許通過的報文生成放行會話表項。若一條數據流的首報文被設備丟棄,則此條流量的後續報文都會按照慢速轉發過程處理,這樣會影響設備處理報文的性能。開啟丟包會話功能後,設備會對丟棄的報文生成丟包會話表項,此條流量的後續報文直接匹配丟包會話進行快速丟包,從而提高設備處理報文的性能。
係統會按照指定的老化時間定期刪除丟包會話,丟包會話的老化時間不會被報文刷新而重新計時。
當丟包會話表項達到閾值時,設備對後續丟棄的報文不再生成丟包會話表項。
丟包會話功能僅適用於ASPF和連接數限製模塊處理的報文,其他模塊丟棄報文時不能生成丟包會話。
開啟會話業務熱備份功能後,丟包會話表項不會被備份到對端設備。
(1) 進入係統視圖。
system-view
(2) 開啟丟包會話功能。
session fast-drop { aspf | conntection-limit } * enable
缺省情況下,丟包會話功能處於關閉狀態。
(3) 配置丟包會話的老化時間。
session fast-drop aging-time time-value
缺省情況下,丟包會話的老化時間是3秒。
(4) 配置丟包會話在會話總數中的最大占比。
session fast-drop resource-ratio ratio
缺省情況下,丟包會話在會話總數中的最大占比50‰。
開啟丟包會話Top排名統計功能後,設備將對基於丟包會話的業務進行丟包會話數目統計,分別基於源地址和目的地址對新建丟包會話數目進行排序。丟包會話Top排名統計信息可以通過display session fast-drop top-statistics命令查看。
(1) 進入係統視圖。
system-view
(2) 開啟丟包會話Top排名統計功能。
session fast-drop top-statistics enable
缺省情況下,丟包會話Top排名統計功能處於關閉狀態。
開啟丟包會話的硬件快速轉發後,設備會將丟包流量觸發創建的丟包會話表項下發硬件芯片,後續報文將直接匹配硬件芯片中的丟包會話表項進行報文丟棄,從而實現設備的快速丟包。
此功能僅在丟包會話功能和硬件快速轉發功能均處於開啟狀態時才能生效。有關硬件快速轉發功能的詳細介紹,請參見“三層技術-IP業務配置指導”中的“快速轉發”。
一般情況下建議開啟此功能,當需要定位硬件芯片是否存在故障時,可以關閉此功能。
(1) 進入係統視圖。
system-view
(2) 丟包會話的硬件快速轉發功能。
session fast-drop hardware-fast-forwarding
缺省情況下,丟包會話的硬件快速轉發功能處於關閉狀態。
會話上限使用率告警日誌功能用於實時監測設備上會話表項、關聯表項、丟包會話表項的使用率。打開會話上限使用率告警日誌功能後,當到達上限使用率閾值時,就會發送告警日誌通知網絡管理員:
· 當設備上會話表項上限使用率達到指定閾值時,發送超過會話表項上限使用率閾值告警;當會話表項上限使用率低於指定閾值時,發送低於會話表項上限使用率閾值告警。
· 當設備上關聯表項上限使用率達到指定閾值時,發送超過關聯表項上限使用率閾值告警;當關聯表項上限使用率低於指定閾值時,發送低於關聯表項上限使用率閾值告警。
· 當設備上丟包會話表項上限使用率達到指定閾值時,發送超過丟包會話表項上限使用率閾值告警;當丟包會話表項上限使用率低於指定閾值時,發送低於丟包會話表項上限使用率閾值告警。
(1) 進入係統視圖。
system-view
(2) 開啟會話上限使用率告警日誌功能。
session alarm-log enable
缺省情況下,會話上限使用率告警日誌功能處於關閉狀態。
(3) 配置會話表項上限使用率告警閾值。
session usage threshold threshold-value
缺省情況下,會話表項上限使用率告警閾值為95%。
(4) 配置關聯表項上限使用率告警閾值。
session relation-table-usage threshold threshold-value
缺省情況下,關聯表項上限使用率告警閾值為95%。
(5) 配置丟包會話表項上限使用率告警閾值
session fast-drop-usage threshold threshold-value
缺省情況下,丟包會話表項上限使用率閾值為95%。
開啟會話表項使用率突變告警功能後,係統會以10秒為周期對會話表項使用率進行統計,若設備達到會話表項使用率突變告警閾值條件,則會輸出相應的會話告警信息。用於對會話表項突然大幅升高或降低的情況進行監控,以便實時了解設備會話表項的穩定性。
會話表項變化率是指周期結束時與周期起始時會話表項數量的差值所占周期起始時的會話表項數的百分比。會話表項起始使用率是指設備檢測周期起始時的會話數所占係統會話最大規格數的百分比。
當設備會話數在一個周期的變化率達到會話表項突變告警閾值,且會話表項的起始使用率大於起始告警閾值時,則會產生告警。
(1) 進入係統視圖。
system-view
(2) 開啟會話表項使用率突變告警功能。
session alarm usage-abrupt enable
缺省情況下,會話表項使用率突變告警功能處於關閉狀態。
(3) 配置會話表項使用率的突變告警閾值。
session alarm usage-abrupt threshold threshold-value [ base-threshold base-value ]
缺省情況下,會話表項突變告警閾值為20%,會話表項起始使用率告警閾值為10%。
開啟會話新建速率突變告警功能後,係統會以10秒為周期對會話表項新建速率進行統計,若設備達到會話新建速率突變告警閾值條件,則會輸出相應的會話告警信息。用於對會話表項新建速率突然大幅升高或降低的情況進行監控,以便實時了解設備會話表項的穩定性。
會話新建速率變化率是指周期結束時與周期起始時會話新建速率的差值所占周期起始時的會話新建速率的百分比。會話新建速率起始百分比是指設備檢測周期起始時新建速率所占10萬的百分比值。
當設備會話新建速率在一個周期的變化率達到會話新建速率突變告警閾值,且會話新建速率起始百分比大於起始告警閾值時,則會產生告警。
(1) 進入係統視圖。
system-view
(2) 開啟會話新建速率突變告警功能。
session alarm rate-abrupt enable
缺省情況下,會話新建速率突變告警功能處於關閉狀態。
(3) 配置會話新建速率的突變告警閾值。
session alarm rate-abrupt threshold threshold-value [ base-threshold base-value ]
缺省情況下,會話新建速率突變告警閾值為20%,會話新建速率起始告警閾值為10%。
開啟會話嚐試新建速率突變告警功能後,係統會以10秒為周期對會話表項嚐試新建速率進行統計,若設備達到會話嚐試新建速率突變告警閾值條件,則會輸出相應的會話告警信息。用於對會話表項嚐試新建速率突然大幅升高或降低的情況進行監控,以便實時了解設備會話表項的穩定性。
會話嚐試新建速率變化率是指周期結束時與周期起始時會話嚐試新建速率的差值所占周期起始時的會話嚐試新建速率的百分比。會話嚐試新建速率起始百分比是指設備檢測周期起始時嚐試新建速率所占10萬的百分比值。
當會話嚐試新建速率在一個周期的變化率達到會話新建速率突變告警閾值,且會話嚐試新建速率起始百分比大於起始告警閾值百分比時,產生告警。
(1) 進入係統視圖。
system-view
(2) 開啟會話嚐試新建速率突變告警功能。
session alarm try-rate-abrupt enable
缺省情況下,會話嚐試新建速率突變告警功能處於關閉狀態。
(3) 配置會話嚐試新建速率的突變告警閾值。
session alarm try-rate-abrupt threshold threshold-value [ base-threshold base-value ]
缺省情況下,會話嚐試新建速率突變告警閾值百分比為20%,會話嚐試新建速率起始告警閾值百分比為10%。
缺省情況下ALG不支持對IP分片和TCP分段報文進行處理,開啟該功能後,指定協議的IP分片和TCP分段報文將支持進行ALG處理,當前僅支持對SIP協議的IP分片和TCP分段報文開啟該功能。
(1) 進入係統視圖。
system-view
(2) 開啟ALG支持IP分片和TCP分段報文處理功能。
session alg fragment sip
缺省情況下,ALG支持IP分片和TCP分段報文處理功能處於關閉狀態。
在SIP應用組網環境中,由於數據流量在匹配關聯表項時不會匹配目的地址,若同一客戶端需要通過設備多個出接口訪問多個服務器則有可能匹配錯誤的關聯表項,導致數據流量無法正常轉發。
開啟SIP協議關聯表項匹配目的地址功能後,當數據流量匹配關聯表項時,需要同時匹配目的地址,從而準確匹配關聯表項轉發數據流量。
(1) 進入係統視圖。
system-view
(2) 開啟SIP協議關聯表項匹配目的地址功能。
session relation-table match destination-ip sip enable
缺省情況下,SIP協議關聯表項匹配目的地址功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後會話的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除會話統計信息。
表1-1 會話管理顯示和維護
|
操作 |
命令 |
|
顯示應用層協議的會話老化時間 |
display session aging-time application |
|
顯示各協議狀態的會話老化時間 |
display session aging-time state |
|
顯示單播丟包會話的統計信息 |
display session fast-drop statistics [ summary ] [ slot slot-number ] |
|
顯示IPv4單播丟包會話表項信息 |
display session fast-drop table ipv4 [ slot slot-number ] [ verbose ] |
|
顯示IPv6單播丟包會話表項信息 |
display session fast-drop table ipv6 [ slot slot-number ] [ verbose ] |
|
顯示丟包會話數目的Top的排名統計信息 |
display session fast-drop top-statistics { last-1-hour | last-24-hours | last-30-days } |
|
顯示IPv4會話數據Top排名統計策略的配置內容 |
display session ip-top-count policy |
|
顯示IPv6會話數據Top排名統計策略的配置內容 |
display session ipv6-top-count policy |
|
顯示關聯表項信息 |
display session relation-table { ipv4 | ipv6 } [ slot slot-number ] [ count number ] [ { application application-name | destination-ip destination-ip | destination-port destination-port | protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite } | source-ip source-ip | source-port source-port } * ] |
|
顯示單播會話統計信息 |
display session statistics [ history-max | summary ] [ slot slot-number ] |
|
根據五元組顯示IPv4單播會話統計信息 |
display session statistics ipv4 [ [ responder ] { application application-name | destination-ip destination-ip | destination-port destination-port | destination-zone destination-zone-name | interface interface-type interface-number | protocol { dccp | dns | ftp | gtp | h323 | http | icmp | ils | mgcp | nbt | pptp | raw-ip | rsh | rtsp | sccp | sctp | sip | smtp | sqlnet | ssh | tcp | telnet | tftp | udp | udp-lite | xdmcp } | security-policy-rule rule-name | source-ip source-ip | source-port source-port | source-zone source-zone-name | state { dccp-closereq | dccp-closing | dccp-open | dccp-partopen | dccp-request | dccp-respond | dccp-timewait | icmp-reply | icmp-request | rawip-open | rawip-ready | sctp-closed | sctp-cookie-echoed | sctp-cookie-wait | sctp-established | sctp-shutdown-ack-sent | sctp-shutdown-recd | sctp-shutdown-sent | tcp-close | tcp-close-wait | tcp-est | tcp-fin-wait | tcp-last-ack | tcp-syn-recv | tcp-syn-sent | tcp-syn-sent2 | tcp-time-wait | udp-open | udp-ready | udplite-open | udplite-ready } | vpn-instance vpn-instance-name } * ] [ slot slot-number ] |
|
根據五元組顯示IPv6單播會話統計信息 |
display session statistics ipv6 [ [ responder ] { application application-name | destination-ip destination-ip | destination-port destination-port | destination-zone destination-zone-name | interface interface-type interface-number | protocol { dccp | dns | ftp | gtp | h323 | http | icmpv6 | ils | mgcp | nbt | pptp | raw-ip | rsh | rtsp | sccp | sctp | sip | smtp | sqlnet | ssh | tcp | telnet | tftp | udp | udp-lite | xdmcp } | security-policy-rule rule-name | source-ip source-ip | source-port source-port | source-zone source-zone-name | state { dccp-closereq | dccp-closing | dccp-open | dccp-partopen | dccp-request | dccp-respond | dccp-timewait | icmpv6-reply | icmpv6-request | rawip-open | rawip-ready | sctp-closed | sctp-cookie-echoed | sctp-cookie-wait | sctp-established | sctp-shutdown-ack-sent | sctp-shutdown-recd | sctp-shutdown-sent | tcp-close | tcp-close-wait | tcp-est | tcp-fin-wait | tcp-last-ack | tcp-syn-recv | tcp-syn-sent | tcp-syn-sent2 | tcp-time-wait | udp-open | udp-ready | udplite-open | udplite-ready } | vpn-instance vpn-instance-name } * ] [ slot slot-number ] |
|
顯示組播會話統計信息 |
display session statistics multicast [ slot slot-number ] |
|
顯示設備整機的會話統計概要信息 |
display session statistics summary all |
|
顯示IPv4單播會話表信息 |
display session table ipv4 [ slot slot-number ] [ [ responder ] { application application-name | destination-ip start-destination-ip [ end-destination-ip ] | destination-port destination-port | destination-zone destination-zone-name | interface interface-type interface-number | protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite } | security-policy-rule rule-name | source-ip start-source-ip [ end-source-ip ] | source-port source-port | source-zone source-zone-name | state { dccp-closereq | dccp-closing | dccp-open | dccp-partopen | dccp-request | dccp-respond | dccp-timewait | icmp-reply | icmp-request | rawip-open | rawip-ready | sctp-closed | sctp-cookie-echoed | sctp-cookie-wait | sctp-established | sctp-shutdown-ack-sent | sctp-shutdown-recd | sctp-shutdown-sent | tcp-close | tcp-close-wait | tcp-est | tcp-fin-wait | tcp-last-ack | tcp-syn-recv | tcp-syn-sent | tcp-syn-sent2 | tcp-time-wait | udp-open | udp-ready | udplite-open | udplite-ready } | vpn-instance vpn-instance-name } * ] [ verbose ] |
|
顯示IPv6單播會話表信息 |
display session table ipv6 [ slot slot-number ] [ [ responder ] { application application-name | destination-ip start-destination-ip [ end-destination-ip ] | destination-port destination-port | destination-zone destination-zone-name | interface interface-type interface-number | protocol { dccp | icmpv6 | raw-ip | sctp | tcp | udp | udp-lite } | security-policy-rule rule-name | source-ip start-source-ip [ end-source-ip ] | source-port source-port | source-zone source-zone-name | state { dccp-closereq | dccp-closing | dccp-open | dccp-partopen | dccp-request | dccp-respond | dccp-timewait | icmpv6-reply | icmpv6-request | rawip-open | rawip-ready | sctp-closed | sctp-cookie-echoed | sctp-cookie-wait | sctp-established | sctp-shutdown-ack-sent | sctp-shutdown-recd | sctp-shutdown-sent | tcp-close | tcp-close-wait | tcp-est | tcp-fin-wait | tcp-last-ack | tcp-syn-recv | tcp-syn-sent | tcp-syn-sent2 | tcp-time-wait | udp-open | udp-ready | udplite-open | udplite-ready } | vpn-instance vpn-instance-name } * ] [ verbose ] |
|
顯示IPv4組播會話表信息 |
display session table multicast ipv4 [ slot slot-number ] [ [ responder ] { destination-ip start-destination-ip [ end-destination-ip ] | destination-port destination-port | protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite } | source-ip start-source-ip [ end-source-ip ] | source-port source-port } * ] [ verbose ] |
|
顯示IPv6組播會話表信息 |
display session table multicast ipv6 [ slot slot-number ] [ [ responder ] { destination-ip start-destination-ip [ end-destination-ip ] | destination-port destination-port | protocol { dccp | icmpv6 | raw-ip | sctp | tcp | udp | udp-lite } | source-ip start-source-ip [ end-source-ip ] | source-port source-port } * ] [ verbose ] |
|
顯示會話數目的Top 10排名統計信息 |
display session top-statistics { last-1-hour | last-24-hours | last-30-days } |
|
顯示雙主模式下會話透傳報文的統計信息 |
display session dual-active transparent statistics [ slot slot-number ] |
|
刪除關聯表項 |
reset session relation-table [ ipv4 | ipv6 ] [ slot slot-number ] [ { application application-name | destination-ip destination-ip | destination-port destination-port | protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite } | source-ip source-ip | source-port source-port } * ] |
|
清除單播會話統計信息 |
reset session statistics [ slot slot-number ] |
|
清除組播會話統計信息 |
reset session statistics multicast [ slot slot-number ] |
|
刪除所有IP類型的單播會話表項 |
reset session table [ slot slot-number ] |
|
刪除IPv4單播會話表項 |
reset session table ipv4 [ slot slot-number ] [ source-ip source-ip ] [ destination-ip destination-ip ] [ protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite } ] [ source-port source-port ] [ destination-port destination-port ] [ vpn-instance vpn-instance-name ] |
|
刪除IPv6單播會話表項 |
reset session table ipv6 [ slot slot-number ] [ source-ip source-ip ] [ destination-ip destination-ip ] [ protocol { dccp | icmpv6 | raw-ip | sctp | tcp | udp | udp-lite } ] [ source-port source-port ] [ destination-port destination-port ] [ vpn-instance vpn-instance-name ] |
|
刪除所有IP類型的組播會話表項 |
reset session table multicast [ slot slot-number ] |
|
刪除IPv4組播會話表項 |
reset session table multicast ipv4 [ slot slot-number ] [ source-ip source-ip ] [ destination-ip destination-ip ] [ protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite } ] [ source-port source-port ] [ destination-port destination-port ] [ vpn-instance vpn-instance-name ] |
|
刪除IPv6組播會話表項 |
reset session table multicast ipv6 [ slot slot-number ] [ source-ip source-ip ] [ destination-ip destination-ip ] [ protocol { dccp | icmpv6 | raw-ip | sctp | tcp | udp | udp-lite } ] [ source-port source-port ] [ destination-port destination-port ] [ vpn-instance vpn-instance-name ] |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
