命令功能
display firewall session table命令用来查看会话表的信息。
命令格式
display firewall session table [ verbose ] [ user user-name ] [ source { inside ip-address | global ip-address } | destination { inside ip-address | global ip-address } | [ policy policy-name ] source-vpn-instance { vpn-instance-name | public } | dest-vpn-instance { vpn-instance-name | public } | source-zone zone-name | destination-zone zone-name | service service-name | protocol protocol-name | application application-name | nat | source-port source-port | destination-port destination-port | long-link | local | remote ] *
display firewall session table [ verbose ] id session-id
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| verbose | 显示会话表的详细信息。 | - |
| id session-id | 显示指定会话ID的会话表项。 | 必须是已存在的会话ID。 |
| user user-name | 显示指定用户的会话表项。 | 必须是已存在的用户登录名。 |
| source | 显示源端为指定IP地址的会话表项。 | - |
| destination | 显示目的端为指定IP地址的会话表项。 | - |
| inside ip-address | 私网IP地址。 | 点分十进制格式。对于源IP地址,inside 指NAT转换前的私网IP地址;对于目的IP地址,inside指NAT Server的实际私网IP地址。 |
| global ip-address | 公网IP地址。 | 点分十进制格式。对于源IP地址,global 指NAT转换后的公网IP地址;对于目的IP地址,global指NAT Server供外部访问的公网IP地址。 |
| policy policy-name | 显示指定安全策略的会话表项。 | 必须是已经存在的安全策略名称。 |
| source-vpn-instance vpn-instance-name | 显示指定源VPN实例的会话表项。 | 必须是已存在的VPN实例名称。 |
| dest-vpn-instance vpn-instance-name | 显示指定目的VPN实例的会话表项。 | - |
| public | 显示不属于VPN实例的会话表项。 | - |
| source-zone zone-name | 显示指定源安全区域的会话表项。 | - |
| destination-zone zone-name | 显示指定目的安全区域的会话表项。 | - |
| service service-name | 显示指定服务的会话表项。 | 服务可以为:dns、ftp、gtp、h323 、http、hwcc、ils、mgcp、mms、msn、nbt、pptp、qq、ras、rpc、rtsp、sip、smtp、sqlnet、stun、telnet、tftp。 |
| protocol protocol-name | 显示指定IP协议的会话表项。 | 协议名称可以为:tcp、udp、icmp。 |
| application application-name | 显示指定应用的会话表项。 | - |
| nat | 显示所有的NAT会话表项。 | - |
| source-port source-port | 显示指定端口的会话表项。 | 整数形式,取值范围为1~65535。 |
| destination-port destination-port | 显示指定端口的会话表项。 | 整数形式,取值范围为1~65535。 |
| long-link | 显示长连接的会话表项。 | - |
| local | 显示本端设备的会话表信息。如果不指定local参数,表示显示所有会话表信息。 | - |
| remote | 显示对端设备所备份的会话表信息。如果不指定remote参数,表示显示所有会话表信息。 | - |
视图
所有视图
缺省级别
1:监控级
使用指南
在双机热备的组网环境中,可以通过选择local 或remote参数,按需要查看本端设备或对端设备的会话表信息。
使用实例
显示会话表简要信息。
<sysname> display firewall session tableCurrent Total Sessions : 4icmp VPN:public --> public Remote 192.168.1.1:43985-->192.168.2.2:2048telnet VPN:public --> public 192.168.3.1:2855-->192.168.3.2:23netbios-name VPN:public --> public 192.168.3.4:137-->192.168.3.255:137http VPN:public --> public 192.168.3.8:2559-->192.168.3.200:80| 项目 | 描述 |
|---|---|
| Current Total Sessions | 当前会话表数统计。在原有连接正常,新连接无法建立时,检查总的会话数是否已经达到规格上限。会话表满的问题,可以通过降低会话老化时间解决。 |
| icmp | 协议名称,举例中为http项。 |
| VPN:public --> public | VPN实例名称,表示方式为:源方向-->目的方向。 |
| Remote | Remote说明当前为备机,该会话是从主机备份过来的会话表。 |
| 192.168.1.1:43985-->192.168.2.2:2048 | 会话表信息。如果该会话项为"+->"表示启用了ASPF;如果会话信息中有NAT转换,则使用"[]"标识NAT转换后的地址。 |
| [表1display firewall session table命令输出信息描述] |
显示会话表详细信息。
<sysname> display firewall session table verboseCurrent Total Sessions : 2 http VPN:public --> public ID: a48f3648905d02c0553591da1Zone: trust--> local TTL: 00:20:00 Left: 00:19:56Output-interface: InLoopBack0 NextHop: 10.2.0.1 MAC: 00-00-00-00-00-00 <--packets:3073 bytes:3251431 -->packets:2881 bytes:705651 10.1.196.4:1864-->10.1.196.251:80 PolicyName: test
http VPN:public --> public ID: a58f3648904101d8d553591d58Zone: trust--> local TTL: 00:20:00 Left: 00:00:54Output-interface: InLoopBack0 NextHop: 10.2.0.1 MAC: 00-00-00-00-00-00 <--packets:104 bytes:29919 -->packets:205 bytes:71434 10.1.196.44:1723-->10.1.196.251:80 PolicyName: test| 项目 | 描述 |
|---|---|
| Current Total Sessions | 当前会话表数统计。 |
| http | 协议名称,举例中为http。 |
| VPN:public --> public | VPN实例名称,表示方式为:源方向-->目的方向。 |
| ID | 当前会话ID。 |
| trust--> local | 会话的安全区域,表示方式为:源安全区域-->目的安全区域。 |
| TTL | 该会话表项总的生存时间。 |
| Left | 该会话表项剩余生存时间。 |
| Output-interface | 出接口。 |
| NextHop | 下一跳IP地址。 |
| MAC | 下一跳MAC地址。 |
| <--packets:1269 bytes:66769 | 该会话入方向的报文数(包括分片)和字节数统计。 |
| -->packets:1081 bytes:43715 | 该会话出方向的分片报文数(包括分片)和字节数统计。 |
| PolicyName | 报文匹配的策略名称。 |
| [表2display firewall session table verbose命令输出信息描述] |
该命令在排错或者需要查看当前某个IP的具体流量的时候非常有用,可以进行查看。
相关学习推荐