华为防火墙常用的CLI:检查会话表
CLI:检查会话表
CLI:接口流量统计
CLI:检查会话表
会话表是设备转发报文的关键表项。所以当出现业务故障时,例如流量不通或者断断续续时,可以通过命令行查看会话表信息大致定位发生故障的模块或阶段。
- 如果该项业务已经建立了正确的会话表项,并且根据安全策略允许了该业务的转发,但此时业务仍然不通,有以下几种可能原因:
- 出接口发生了硬件故障(例如接口卡损坏,网线接触不良等)
- 下行设备丢弃了相关报文
- 路由配置有错误(执行命令display firewall session table verbose,查看会话表,检查出接口和下一跳信息)
- 出接口发送的报文有错误(执行命令display interface,查看接口统计计数,检查统计计数是否正常)
- 其他业务层面的丢包(例如带宽管理、攻击防范功能导致的丢包)
- 其他配置方面的问题
- 如果该项业务没有建立会话表项,有以下几种可能原因:
- 由于上游设备的问题或者是路由配置的问题,导致报文没有正确转发到设备上
- 设备上配置的安全策略不允许该报文的转发,例如安全策略动作被配置为“拒绝”,源IP被加入了黑名单等
- 入接口发生了硬件故障(例如接口卡损坏,网线接触不良等)
- 攻击防范方面,除黑名单之外,可能还有其他功能导致丢包
- 带宽管理功能可以限制会话数,当会话数超过阈值时,导致会话无法建立而直接丢包
- 其他配置方面的问题
通过命令行方式查看会话表的方法如下:
此处只列举部分常用命令,完整命令格式请参见命令参考手册。
- 查看会话表信息。
display firewall session table
- 查看会话表的详细信息。
display firewall session table verbose
- 查看指定虚拟系统的会话表信息。
display firewall session table vsys vsys-name
-
查看单边会话表详细信息。
display firewall session table verbose unidirection
- 查看IPv6会话表信息。
display firewall ipv6 session table
- 通常情况下设备上的会话表数目很大,逐条查看非常困难。所以该命令中提供多个参数(基于地址、端口等)可以选择需要查看的会话表的类型,有效利用这些参数可以减少查看会话表时显示的条目,缩短定位问题的时间。
- 对于NAT64会话,基于源/目的地址或端口查询会话时,只能基于NAT转换前的地址/端口查询,不能基于NAT转换后的地址/端口查询。
- 如果NAT转换前为IPv4地址,则使用display firewall session table [ verbose ]命令结合以下一个或多个参数组合查询:
- source inside start-ip-address [ to end-ip-address ]
- destination global start-ip-address [ to end-ip-address ]
- source-port inside port-number
- destination-port global port-number
Current Total Sessions : NUM TYPE VPN:SRCVPN --> DSTVPN SRCIP --> DSTIP
Current Total Sessions : NUM TYPE VPN:SRCVPN --> DSTVPN ID: ID-NUMBER Zone: SRCZONE--> DSTZONE Remote TTL: TOTALTIME Left: LEFTTIME Recv Interface: RECVINTERFACE Rev Slot: SLOTID CPU: CPUID Interface: OUTINTERFACE Nexthop: IP-ADDRESS <-- packets:NUMBER bytes:BYTES --> packets:NUMBER bytes:BYTES SRCIP --> DSTIP PolicyName: POLICYNAME TCP State: TCP State
各个参数含义如表3-7所示。其中斜体参数会根据实际情况显示不同内容。
|
参数 |
含义 |
|---|---|
|
Current Total Sessions |
当前会话表数统计。在原有连接正常,新连接无法建立时,检查总的会话数是否已经达到规格上限。会话表满的问题,可以通过降低会话老化时间解决。 |
|
TYPE |
该会话的协议类型,可能出现的情况与display firewall session table命令中的protocol参数的取值范围相同。 |
|
VPN:SRCVPN --> DSTVPN |
该会话的源VPN实例名称和目的VPN实例名称。 |
|
ID |
该会话的ID号。 |
|
Zone: SRCZONE--> DSTZONE |
该会话的源安全区域名称和目的安全区域名称。 |
|
Remote |
双机热备场景下,Remote说明当前会话是备份会话,该会话是从对端设备备份过来的。 |
|
TTL |
会话表项总的存活时间。 |
|
Left |
会话表项剩余的存活时间。 |
|
Recv Interface |
正向报文的入接口。 |
|
Rev Slot: SLOTID CPU: CPUID |
反向会话的槽位号和CPU号。 |
|
Interface: |
报文出接口的接口号。 |
|
Nexthop |
报文下一跳的IP地址。 |
|
<-- packets:NUMBER bytes:BYTES |
该会话反方向的报文数和字节数统计。 <==表示该会话反方向的报文正在进行硬件快转,<--表示该会话反方向的报文未进行硬件快转。 |
|
--> packets:NUMBER bytes:BYTES |
该会话正方向的报文数和字节数统计。正常情况下应该与收到的报文数以及字节数相同,如果变少,说明存在丢包的情况。 ==>表示该会话正方向的报文正在进行硬件快转,-->表示该会话正方向的报文未进行硬件快转。 |
|
SRCIP --> DSTIP |
该会话的源IP地址、源端口号、目的IP地址、目的端口号。 地址的格式是x.x.x.x:portx[x.y.y.y:porty]-->z.z.z.z:portz,其中portx和portz分别是源和目的端口号。括号内为NAT转换后地址。如果没有进行NAT转换,则不显示括号内的内容。 |
|
PolicyName |
报文匹配的策略名称。 |
|
TCP State |
TCP连接状态,仅TCP会话显示此字段。
|
CLI:检查接口流量
在所有视图下,执行display interface命令可以查看接口当前运行状态和接口统计信息。
# 以10GE接口为例,查看10GE0/0/1接口的状态信息和统计信息。
<HUAWEI> display interface 10GE 1/0/1
10GE1/0/1 current state
: UP (ifindex: 6)
Line protocol current
state : UP
Description:
Switch Port, PVID : 1, TPID : 8100(Hex), The Maximum Frame Length is 9216
Internet protocol processing : disabled
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc12-3456
Port Mode: COMMON FIBER, Port Split/Aggregate: -
Speed: 10000, Loopback: NONE
Duplex: FULL, Negotiation: -
Input Flow-control:
DISABLE, Output Flow-control: ENABLE
Mdi: -, Fec: -
Last physical up time : 2022-03-28 10:44:55
Last physical down time : 2022-03-28 10:43:49
Current system time: 2022-03-28 15:53:50
Statistics last cleared:never
Last 300 seconds input rate: 79 bits/sec, 0 packets/sec
Last 300 seconds output rate: 491 bits/sec, 0 packets/sec
Input peak rate 181 bits/sec, Record time: 2022-03-28 10:45:15
Output peak rate 494 bits/sec, Record time: 2022-03-28 10:52:49
Input : 207592 bytes, 616 packets
Output: 1325324 bytes, 9268 packets
Input:
Unicast: 0, Multicast: 616
Broadcast: 0, Jumbo: 0
Discard: 0, Frames: --
Pause: 0, Ignoreds: 0
Total Error: 0
CRC: 0, Giants: 0
Jabbers: --, Fragments: 0
Runts: 0, DropEvents: 0
Alignments: 0, Symbols: 0
Output:
Unicast: 0, Multicast: 9268
Broadcast: 0, Jumbo: 0
Discard: 0, Buffers Purged: 0
Pause: 0
Input bandwidth utilization threshold : 90.00%
Output bandwidth utilization threshold: 90.00%
Last 300 seconds input utility rate: 0.01%
Last 300 seconds output utility rate: 0.01%
表3-6 display interface命令输出信息描述
项目
描述
current state
显示接口的物理状态。
UP:接口物理层处于正常启动的状态。
DOWN:接口物理层出现故障。
Transceiver type mismatch:介质类型不匹配。
The optical power is too low:光模块光功率过低。
Port unavailable:拆分、高性能模式等配置导致的端口不可用。
Cable for stack or peer-link interface only:线缆仅堆叠口或peer-link口支持。
Transceiver type for stack only:介质类型仅堆叠口支持。
RTU license down:License资源不足。
Serdes-Mode mismatch:频点模式不足导致端口无法UP。
SerDes P/N mismatch:光模块与端口数据通道映射模式不匹配。
Single forward state:光电模块Phy故障。
Configuration conflicts with transceiver:配置和介质类型冲突。
Device hardware verification failed:设备硬件验证失败。
Transceiver loose:介质未插紧。
Administratively DOWN:如果网络管理员在该接口执行shutdown命令,将显示状态为Administratively DOWN。
Flow Down:接口的流量状态为Down。该状态与绑定的管理VRRP状态一致。如果绑定的管理VRRP状态为Backup或者Initialize,则业务接口的流量状态为Down。
OFFLINE:该接口所在的单板不在位。
ERROR DOWN(monitor-link):由于上行接口链路故障导致下行接口error down。
Line protocol current state
显示该接口的IPv4链路协议状态。
UP:接口的链路协议处于正常的启动状态。
UP (Mac-flapping blocked):由于网络上产生环路导致接口下的流量阻断。
DOWN (BFD status down):与该接口绑定的BFD会话状态变为down。
DOWN (Main BFD status down):与主接口联动的BFD会话状态down,并且联动二层或三层子接口状态。只能在二层或三层子接口显示该状态。
DOWN (Bit-error-detection down):接口误码率超过误码告警阈值。
DOWN (Main bit-error-detection down):二层或三层子接口对应主接口误码率超过误码告警阈值,只能在二层或三层子接口上显示该状态。缺省情况下,主接口的误码功能联动二层或三层子接口。
DOWN (dampening suppressed):接口处于协议模块抑制状态。
DOWN:接口的链路协议层出现故障,或者没有在此接口配置IP地址。
以支持IP业务的接口为例,如果没有配置IP地址,则接口协议状态为Down。
UP (spoofing):表示该接口的链路协议状态spoofing特性,也就是该接口的链路协议状态永远是Up。
Switch Port
显示接口是二层接口。
如果接口是三层接口,此处则显示为“Route Port”。
PVID
接口的缺省VLAN的编号。
TPID
显示接口支持的帧类型。
缺省情况下,TPID是0x8100,表示802.1Q帧。
The Maximum Transmit Unit
接口的最大传输单元(MTU)。例如以太网接口的缺省值是1500字节。长度大于MTU的报文,将会被分片后再发送。如果设置了不准分片,会被丢弃。
The Maximum Frame Length
接口允许通过的最长帧。可以使用命令jumboframe enable配置。
Internet protocol processing
若接口为三层接口且已配置IP地址,则显示为IP地址。若接口为二层接口或未配置IP地址,此处显示为“disabled”。
IP Sending Frames' Format
接口发送的Ethernet帧的格式。PKTFMT_ETHNT_2为缺省的帧格式。Ethernet在接收帧时,可以识别如下几种帧格式:
PKTFMT_ETHNT_2
Ethernet_SNAP
802.2
802.3
Hardware address
接口的MAC地址。
Last physical up time
接口上次物理Up的时刻,“-”表示接口的此物理状态没有发生过变化。
接口状态变为Up时,如果配置了时区且处于夏令时,时间显示格式为YYYY/MM/DD HH:MM:SS UTC±HH:MM DST。
Last physical down time
接口上次物理Down的时刻,“-”表示接口的此物理状态没有发生过变化。
接口状态变为Down时,如果配置了时区且处于夏令时,时间显示格式为YYYY/MM/DD HH:MM:SS UTC±HH:MM DST。
Last 300 seconds input rate
这一字段显示了在前5分钟内通过接口接收的比特速率和报文速率。
如果该接口处于混杂模式下,读取LAN上所有的分组,这样就提供了一种在网络中流动的数据测试方法。
如果该接口不处于混杂模式下,仅对发送和接收的流量记录,那么这里的数据是该接口发送和接收的流量。
通过命令set flow-stat interval可以修改统计时间间隔。
Last 300 seconds output rate
这一字段显示了在前5分钟内通过接口发送的比特速率和报文速率。
如果该接口处于混杂模式下,读取LAN上所有的分组,这样就提供了一种在网络中流动的数据测试方法。
如果该接口不处于混杂模式下,仅对发送和接收的流量记录,那么这里的数据是该接口发送和接收的流量。
通过命令set flow-stat interval可以修改统计时间间隔。
Last 300 seconds output utility rate
发送报文的速率占总带宽的百分比。
Current system time
当前系统时间。如果配置了时区且处于夏令时,时间显示格式为YYYY/MM/DD HH:MM:SS UTC±HH:MM DST。
Statistics last cleared
上次清除本接口统计信息的时间。
Input peak rate
每个统计时间间隔内,设备会统计接收报文的平均速率,这一字段显示了在所有统计时间间隔内,接收报文平均速率中的最大值。
通过命令set flow-stat interval可以修改统计时间间隔。取值范围是10~600,必须为10的整数倍。单位是秒。缺省情况下,接口流量统计时间间隔是300秒。
Input bandwidth utilization threshold
接口接收IPv4/IPv6流量的带宽利用率。
Input Flow-control
入方向流量控制状态。
ENABLE:接口开启了入方向流量控制功能。
DISABLE:接口关闭了入方向流量控制功能。
Input
接口收到的总报文数和总字节数。报文被分为三类:正确报文(包含单播报文、广播报文、组播报文)、错误报文和丢弃报文。
840968 bytes, 3899 packets:正确的报文数和字节数。
接口接收的正确报文的总报文数和总字节数。包括以下的报文类型:
◾Unicast:长度为大于等于64字节小于等于非Jumbo帧长最大值的单播报文数目。
◾Multicast:长度为大于等于64字节小于等于非Jumbo帧长最大值的组播报文数目。
◾Broadcast:长度为大于等于64字节小于等于非Jumbo帧长最大值的广播报文数目。
◾Jumbo:帧长大于最大非Jumbo帧长小于等于最大Jumbo帧长且FCS正确的报文数目。
◾Discard:接口在物理层检测时发现的丢弃报文数目,其值始终为0。
◾Frames:接口接收的802.3长度和实际数据长度不符的报文数目。
◾Pause:Pause帧数目。
◾Overrun:管理接口接收的丢包计数。
◾Over-car-pps:管理接口执行qos lr pps命令配置限速功能,由于限速导致的丢包的数目。
◾Ignoreds:接口接收的OpCode不是PAUSE的MAC控制帧的报文数目。
Total Error:接口收到的错误报文总数。包括以下的报文类型:
◾CRC:长度大于等于64字节小于等于接口最大Jumbo帧且存在CRC错误的报文数目。
◾Giants:接口接收的超过最大Jumbo帧长且FCS正确的报文数目。
◾Jabbers:接口接收的帧长大于最大非Jumbo帧长小于等于最大Jumbo帧长且FCS错误的报文数目,其值始终为0。
◾Fragments:接口接收到的碎片报文数目。碎片报文是指接收长度小于64字节,且CRC不正确的报文。
◾Runts:接口接收的超小帧且FCS正确的报文数目。超小帧是指长度小于64字节、格式正确且包含有效的CRC字段的帧。
◾DropEvents:接口接收的报文因为芯片缓存池满(GBP full)或者反压(Back Pressure)导致的丢包数目。
◾Alignment:接口接收的帧对齐错误的报文数目。
◾Symbols:接口接收的编码错误的报文数目。
Output peak rate
每个统计时间间隔内,设备会统计发送报文的平均速率,这一字段显示了在所有统计时间间隔内,发送报文平均速率中的最大值。
通过命令set flow-stat interval可以修改统计时间间隔。取值范围是10~600,必须为10的整数倍。单位是秒。缺省情况下,接口流量统计时间间隔是300秒。
Output bandwidth utilization threshold
接口发送IPv4/IPv6流量的带宽利用率。
Output Flow-control
出方向流量控制状态。
ENABLE:接口开启了出方向流量控制功能。
DISABLE:接口关闭了出方向流量控制功能。
Output
接口发送的总报文数和总字节数。报文被分为三类:正确报文(包含单播报文、广播报文、组播报文)、错误报文和丢弃报文。
840968 bytes, 3899 packets:正确的报文数和字节数。
接口发送的正确报文的总报文数和总字节数。包括以下的报文类型:
◾Unicast:长度为大于等于64字节小于等于非Jumbo帧长最大值的单播报文数目。
◾Multicast:长度为大于等于64字节小于等于非Jumbo帧长最大值的组播报文数目。
◾Broadcast:长度为大于等于64字节小于等于非Jumbo帧长最大值的广播报文数目。
◾Jumbo:帧长大于最大非Jumbo帧长小于等于最大Jumbo帧长且FCS正确的报文数目。
◾Discard:接口在物理层检测时发现的丢弃报文数目,其值始终为0。
◾Frames:接口发送的802.3长度和实际数据长度不符的报文数目。
◾Pause:Pause帧数目。
◾Overrun:管理接口发送的丢包计数。
◾Over-car-pps:管理接口执行qos lr pps命令配置限速功能,由于限速导致的丢包的数目。
◾Ignoreds:接口发送的OpCode不是PAUSE的MAC控制帧的报文数目。
Total Error:接口发送的错误报文总数。包括以下的报文类型:
◾CRC:长度大于等于64字节小于等于接口最大Jumbo帧且存在CRC错误的报文数目。
◾Giants:接口发送的超过最大Jumbo帧长且FCS正确的报文数目。
◾Jabbers:接口发送的帧长大于最大非Jumbo帧长小于等于最大Jumbo帧长且FCS错误的报文数目,其值始终为0。
◾Fragments:接口发送到的碎片报文数目。碎片报文是指发送长度小于64字节,且CRC不正确的报文。
◾Runts:接口发送的超小帧且FCS正确的报文数目。超小帧是指长度小于64字节、格式正确且包含有效的CRC字段的帧。
◾DropEvents:接口发送的报文因为芯片缓存池满(GBP full)或者反压(Back Pressure)导致的丢包数目。
◾Alignment:接口发送的帧对齐错误的报文数目。
◾Symbols:接口发送的编码错误的报文数目。
Route Port
三层接口。
Port Mode
接口工作模式。
COMMON COPPER:接口工作在电信号模式,如接口为电接口、光接口插入光电模块或高速线缆等。
COMMON FIBER:接口工作在光信号模式,如光接口插入光模块或AOC线缆等。
AUTO:接口工作模式未识别,如光接口未插入任何介质。
Port Split
电接口的拆分状态。
“-”表示不涉及。
disable:表示当前接口未拆分,仅在支持拆分的接口中显示。
enable:表示当前接口是由于接口拆分而生成的,仅在拆分生效后显示。
Enable after board reset:表示接口拆分需要在单板重启后才能生效。当使用命令port split对接口进行拆分操作后且未重启单板前,显示为此状态。
Disable after board reset:表示接口合并需要在单板重启后才能生效。当使用命令undo port split对接口进行合并操作后且未重启单板前,显示为此状态。
Port Split/Aggregate
光接口的拆分或聚合状态。
“-”表示不涉及。
disable:表示当前接口未拆分,仅在支持拆分的接口中显示。
enable:表示当前接口是由于接口拆分而生成的,仅在拆分生效后显示。
Enable after board reset:表示接口拆分需要在单板重启后才能生效。当使用命令port split对接口进行拆分操作后且未重启单板前,显示为此状态。
Disable after board reset:表示接口合并需要在单板重启后才能生效。当使用命令undo port split对接口进行合并操作后且未重启单板前,显示为此状态。
drops
丢弃计数。
Status
显示接口的使用状态。
UP:接口物理状态UP,如果是lacp协商模式的TRUNK,需lacp协商成功。
DOWN:接口物理状态down,如果是lacp协商模式的TRUNK,lacp协商失败时无论物理状态是否UP都显示DOWN。
Description
对接口的说明,支持空格,区分大小写,最多可输入242个字符。该说明信息便于用户了解该接口的作用。
如果没有通过命令description配置接口的描述信息,则默认的显示为空。
ifindex
接口索引。
errors
错误计数。
Speed
接口当前带宽。
自协商模式下,可以使用命令speed auto配置。
非自协商模式下,可以使用命令speed配置。
Loopback
接口环回配置。可以使用命令loopback配置。
Duplex
接口工作的双工模式。“FULL”表示全双工模式,“HALF”表示半双工模式。
Negotiation
接口自协商状态。
ENABLE:接口开启了自协商功能。
DISABLE:接口关闭了自协商功能。
Mdi
"接口网线类型。
网线类型在电接口下显示auto,在光接口下显示为“-”。"。
Fec
光接口的FEC模式。
RS-FEC:开启了RS-FEC功能。
BASE-FEC:开启了BASE-R FEC功能。
NONE:没有配置FEC功能,或者不支持FEC模式。
光接口的物理状态为DOWN时,显示“-”。
浙公网安备 33010602011771号