华为U SG 防火墙运维命令大全 1 查会话 使用场合 针对可以建会话的报文,可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙。 命令介绍(命令类) display firewall session table [ verbose ] { source { inside X.X.X.X | global X.X.X.X } | destination { inside X.X.X.X | global X.X.X.X } } [ source-vpn-instance { STRING<1-19> | public } | dest-vpn-instance { STRING<1-19> | public } ] [ application { gtp | ftp | h323 | http | hwcc | ras | mgcp | dns | pptp | qq | rtsp | ils | smtp | sip | nbt | stun | rpc | sqlnet | mms } ] [ nat ] [ destination-port INTEGER<1-65535> ] [ long-link ] 使用方法(工具类) 首先确定该五元组是否建会话,对于 TCP/UDP/ICMP(ICMP 只有 echo request 和 echo reply 建会话)/GRE/ESP/AH 的报文防火墙会建会话,其它比如 SCTP/OSPF/VRRP 等报文防火墙不建会话。如果会话已经建立,并且一直有后续报文命中刷新,基本可以排除防火墙的问题,除非碰到来回路径不一致情况,需要关闭状态检测。如果没有对应的五元组会话或者对于不建会话的报文,继续后续排查方法。 Global:表示在做 NAT 时转换后的IP。 Inside:表示在做 NAT 时转换前的IP。 使用示例 display firewall session table verbose source inside 10.160.30.2 14:29:51 2010/07/01 Current total sessions : 1 icmp VPN: public ->public Zone: trust -> local TTL: 00:00:20 Left: 00:00:20 Interface: I0 Nexthop: 127.0.0.1 MAC: 00-00-00-00-00-00 <-- packets:4462 bytes:374808 --> packets:4461 bytes:374724 10.160.30.17:43986<--10.160.30.2:43986 这里显示源地址为10.160.30.2 的报文的会话。这条会话为icmp 会话。以下是关键信息的解释: Zone: trust -> local 首包会话方向源域为trust,目地域为local(源域 -> 目的域) TTL: 00:00:20 Left: 00:00:20 ttl 表示会话表老化时间,left 表示会话表剩余多少时间老化 Interface: I0 Nexthop: 127.0.0.1 MAC: 00-00-00-00-00-00 会话首包方向出接口、下一跳 IP 地址和 MAC 地址 <-- packets:4462 bytes:374808 --> packets:4461 ...
