【华为】查看防火墙会话表命令

xmweisi

已于 2025-03-03 13:36:42 修改

阅读量931

点赞数 21

分类专栏：华为网络工程师-HCIA/HCIP/HCIE 文章标签：华为服务器网络

于 2025-03-03 13:33:56 首次发布

本文链接：https://blog.youkuaiyun.com/weixin_49224830/article/details/145985255

版权

华为网络工程师-HCIA/HCIP/HCIE 专栏收录该内容

12 篇文章

订阅专栏

命令功能

display firewall session table命令用来查看会话表的信息。

命令格式

display firewall session table [ verbose ] [ user user-name ] [ source { inside ip-address | global ip-address } | destination { inside ip-address | global ip-address } | [ policy policy-name ] source-vpn-instance { vpn-instance-name | public } | dest-vpn-instance { vpn-instance-name | public } | source-zone zone-name | destination-zone zone-name | service service-name | protocol protocol-name | application application-name | nat | source-port source-port | destination-port destination-port | long-link | local | remote ] *

display firewall session table [ verbose ] id session-id

参数说明

参数	参数说明	取值
verbose	显示会话表的详细信息。	-
id session-id	显示指定会话ID的会话表项。	必须是已存在的会话ID。
user user-name	显示指定用户的会话表项。	必须是已存在的用户登录名。
source	显示源端为指定IP地址的会话表项。	-
destination	显示目的端为指定IP地址的会话表项。	-
inside ip-address	私网IP地址。	点分十进制格式。对于源IP地址，inside指NAT转换前的私网IP地址；对于目的IP地址，inside指NAT Server的实际私网IP地址。
global ip-address	公网IP地址。	点分十进制格式。对于源IP地址，global指NAT转换后的公网IP地址；对于目的IP地址，global指NAT Server供外部访问的公网IP地址。
policy policy-name	显示指定安全策略的会话表项。	必须是已经存在的安全策略名称。
source-vpn-instance vpn-instance-name	显示指定源VPN实例的会话表项。	必须是已存在的VPN实例名称。
dest-vpn-instance vpn-instance-name	显示指定目的VPN实例的会话表项。	-
public	显示不属于VPN实例的会话表项。	-
source-zone zone-name	显示指定源安全区域的会话表项。	-
destination-zone zone-name	显示指定目的安全区域的会话表项。	-
service service-name	显示指定服务的会话表项。	服务可以为：dns、ftp、gtp、h323 、http、hwcc、ils、mgcp、mms、msn、nbt、pptp、qq、ras、rpc、rtsp、sip、smtp、sqlnet、stun、telnet、tftp。
protocol protocol-name	显示指定IP协议的会话表项。	协议名称可以为：tcp、udp、icmp。
application application-name	显示指定应用的会话表项。	-
nat	显示所有的NAT会话表项。	-
source-port source-port	显示指定端口的会话表项。	整数形式，取值范围为1～65535。
destination-port destination-port	显示指定端口的会话表项。	整数形式，取值范围为1～65535。
long-link	显示长连接的会话表项。	-
local	显示本端设备的会话表信息。如果不指定local参数，表示显示所有会话表信息。	-
remote	显示对端设备所备份的会话表信息。如果不指定remote参数，表示显示所有会话表信息。	-

视图

所有视图

缺省级别

1：监控级

使用指南

在双机热备的组网环境中，可以通过选择local或remote参数，按需要查看本端设备或对端设备的会话表信息。

使用实例

# 显示会话表简要信息。

<sysname> display firewall session tableCurrent Total Sessions : 4icmp VPN:public --> public Remote 192.168.1.1:43985-->192.168.2.2:2048telnet  VPN:public --> public 192.168.3.1:2855-->192.168.3.2:23netbios-name  VPN:public --> public 192.168.3.4:137-->192.168.3.255:137http  VPN:public --> public 192.168.3.8:2559-->192.168.3.200:80

表1 display firewall session table命令输出信息描述
项目	描述
Current Total Sessions	当前会话表数统计。在原有连接正常，新连接无法建立时，检查总的会话数是否已经达到规格上限。会话表满的问题，可以通过降低会话老化时间解决。
icmp	协议名称，举例中为http项。
VPN:public --> public	VPN实例名称，表示方式为：源方向-->目的方向。
Remote	Remote说明当前为备机，该会话是从主机备份过来的会话表。
192.168.1.1:43985-->192.168.2.2:2048	会话表信息。如果该会话项为“+->”表示启用了ASPF；如果会话信息中有NAT转换，则使用“[]”标识NAT转换后的地址。

# 显示会话表详细信息。

<sysname> display firewall session table verboseCurrent Total Sessions : 2                                                    http  VPN:public --> public  ID: a48f3648905d02c0553591da1Zone: trust--> local  TTL: 00:20:00  Left: 00:19:56Output-interface: InLoopBack0  NextHop: 10.2.0.1  MAC: 00-00-00-00-00-00  <--packets:3073 bytes:3251431   -->packets:2881 bytes:705651  10.1.196.4:1864-->10.1.196.251:80 PolicyName: test
http  VPN:public --> public  ID: a58f3648904101d8d553591d58Zone: trust--> local  TTL: 00:20:00  Left: 00:00:54Output-interface: InLoopBack0  NextHop: 10.2.0.1  MAC: 00-00-00-00-00-00  <--packets:104 bytes:29919   -->packets:205 bytes:71434  10.1.196.44:1723-->10.1.196.251:80 PolicyName: test

表2 display firewall session table verbose命令输出信息描述
项目	描述
Current Total Sessions	当前会话表数统计。
http	协议名称，举例中为http。
VPN:public --> public	VPN实例名称，表示方式为：源方向-->目的方向。
ID	当前会话ID。
trust--> local	会话的安全区域，表示方式为：源安全区域-->目的安全区域。
TTL	该会话表项总的生存时间。
Left	该会话表项剩余生存时间。
Output-interface	出接口。
NextHop	下一跳IP地址。
MAC	下一跳MAC地址。
<--packets:1269 bytes:66769	该会话入方向的报文数（包括分片）和字节数统计。
-->packets:1081 bytes:43715	该会话出方向的分片报文数（包括分片）和字节数统计。
PolicyName	报文匹配的策略名称。