欢迎来到天天文库
浏览记录
ID:20604371
大小:905.17 KB
页数:46页
时间:2018-10-14
《华为usg防火墙运维命令大全》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、华为USG防火墙运维命令大全1查会话使用场合针对可以建会话的报文,可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙。命令介绍(命令类)displayfirewallsessiontable[verbose]{source{insideX.X.X.X
2、globalX.X.X.X}
3、destination{insideX.X.X.X
4、globalX.X.X.X}}[source-vpn-instance{STRING<1-19>
5、public}
6、dest-vpn-instance{STRING<1-19>
7、public}][a
8、pplication{gtp
9、ftp
10、h323
11、http
12、hwcc
13、ras
14、mgcp
15、dns
16、pptp
17、qq
18、rtsp
19、ils
20、smtp
21、sip
22、nbt
23、stun
24、rpc
25、sqlnet
26、mms}][nat][destination-portINTEGER<1-65535>][long-link]使用方法(工具类)首先确定该五元组是否建会话,对于TCP/UDP/ICMP(ICMP只有echorequest和echoreply建会话)/GRE/ESP/AH的报文防火墙会建会话,其它比如SCTP/OSPF/VRRP等报文防火墙不建会话。如果会话已经
27、建立,并且一直有后续报文命中刷新,基本可以排除防火墙的问题,除非碰到来回路径不一致情况,需要关闭状态检测。如果没有对应的五元组会话或者对于不建会话的报文,继续后续排查方法。Global:表示在做NAT时转换后的IP。Inside:表示在做NAT时转换前的IP。 使用示例displayfirewallsessiontableverbosesourceinside10.160.30.2 14:29:51 2010
28、/07/01 Currenttotalsessions:1 icmp VPN:public->public
29、 Zone:trust->local TTL:00:00:20 Left:00:00:20 Interface:I0 Nexthop:127.0.0.1 MAC:00-00-00-00-00-00
30、 <--packets:4462bytes:374808 -->packets:4461bytes:374724 10.160.30.17:43986<--10.160.30.2:43986
31、 这里显示源地址为10.160.30.2的报文的会话。这条会话为icmp会话。以下是关键信息的解释:Zone:trust->local首包会话方向源域为trust,目地域为local(源域->目的域)TTL:00:00:20 Left:00:00:20ttl表示会话表老化时间,left表示会话表剩余多少时间老化Interface:I0 Nexthop:127.0.0.1 MAC:00-00-00-00-00-00会话首包方向出接口、下一跳IP地址和MAC地址<--packets:44
32、62bytes:374808 -->packets:4461bytes:374724<--代表会话inbound方向的字节数和报文数,-->代表会话outboun
此文档下载收益归作者所有
