欢迎来到山海云栈，为您导读全站动态

山海 3周前留言互相学习👍
山海 3周前留言好的，已添加👍
知行 3周前留言学习了
知行 3周前留言里面可以加一个对应案例的二进制转十进制的方法吗？😊
晴天 1月前留言这个笔记写得很清楚，步骤一条一条列得明白。通过分层次的配置方法和具体例子，能参照快速进行配置安全策略的日志，而且告诉你不同设置的优先级，挺不错的。
风景如画 1月前留言在这个信息爆炸的时代，能遇到一个让人静下心来的网站太难得了！每一篇文字、每一张图片都传递着温度，仿佛在诉说一个真实的故事。尤其喜欢思享书韵，它让我有了参与感和归属感。谢谢你们创造了这样一个有灵魂的角落，会常回来看看的～❤️

最近文章

2025-05-05 WIN11 24H2无法用ensp？KB5053656补丁来 “救场”
2025-04-20 防火墙Session表内容详解
2025-04-16 VXLAN技术深度学习（一）：基础知识
2025-04-15 IPv4地址计算与换算详解
2025-04-11 如何解决eNSP Pro镜像启动慢？
2025-04-10 被夕阳治愈的下班时光
2025-04-10 草莓音乐节：民谣与时光的重逢
2025-04-10 《哪吒》：一部现象级动画的魅力

热门文章

封面图加载中

防火墙Session表内容详解

解读statistics与table命令的功能，并介绍其使用方法

本文作者 山海
文章发布日期 2025-04-20 19:48
热度 31
天气 雷阵雨 5°
本文共计
预计阅读

一、statistics命令详解

display firewall session statistics [参数] [数值]  #此命令用来查看会话表的统计信息。

1.1参数说明

参数	数值	说明
verbose	-	显示会话表详细统计信息。
vsys	vsys-name	显示指定系统的会话表统计信息。根系统设备上缺省存在的一个特殊的系统，如果想单独查看根系统的会话统计信息时，vsys-name名称要用public
all-systems	-	显示整机的会话表统计信息。
source	inside/global	指定发起端为指定IP地址的会话统计信息。
inside	ip-address	指定私网IP地址信息。
inside	inside-source-port	指定私网源端口。
inside	inside-destination-port	指定私网目的端口。
global	ip-address	指定公网IP地址信息。
global	global-source-port	指定公网源端口。
global	global-destination-port	指定公网目的端口。
source-cpe	ipv6-address	源CPE（Customer Premise Equipment）的IPv6地址。
destination-cpe	ipv6-address	目的CPE（Customer Premise Equipment）的IPv6地址。
destination	inside/global	指定目的端为指定IP地址的会话统计信息
protocol	-	指定协议。
fastflow	-	显示正在进行硬件快转的会话统计信息。
fastflow-deny	-	显示未进行硬件快转的会话统计信息。
source-port	-	指定源端口。
destination-port	-	指定目的端口。
long-link	-	显示长连接的信息。
ipv6	-	查看IPv6会话信息。

1.2输出说明

字段	说明
Session Statistics	当前会话统计信息。 Slot x cpu y：x号槽位y号CPU的会话统计信息。 Total 255 [0.01%] session(s) on all slots.：当前会话总数为255，占整机会话规格的0.01%。会话总数计算方法为各槽位会话数量之和。对于虚拟视图下的会话统计信息，[0.01%]表示当前虚拟系统中所有槽位的会话总数占该虚拟系统可使用的最大会话资源的百分比。
Session Creation Rate(num/s)	当前会话新建速率统计信息。 Slot x cpu y：x号槽位y号CPU的会话新建速率统计信息。 Total session(s) creation rate on all slots is 1.：当前所有槽位的会话新建速率总数为1。会话新建速率总数计算方法为各槽位会话新建速率之和。
Session Statistics	当前正在进行硬件快转的会话统计信息。-。 Slot x cpu y：x号槽位y号CPU的硬件快转会话统计信息。 Total 255 session(s) on all slots.：当前正在进行硬件快转的会话总数为255。会话总数计算方法为各槽位会话数量之和。
Slot	槽位号。
cpu	CPU号。
Max Session Statistics	历史最大会话统计信息。 Slot x cpu y: 67667, time:2025/04/8 16:19:40：x号槽位y号CPU在2025/04/8 16:19:40这一时刻会话总数到达峰值67667。 Total max session(s) on all slot is 67667, time:2025/04/8 16:19:40：当前所有槽位的会话总数在2025/04/8 16:19:40这一时刻到达峰值67661。
Max Session Creation Rate(num/s)	历史最大会话新建速率信息。 Slot x cpu y: 7199, time:2025/02/28 16:09:56：x号槽位y号CPU在2025/02/28 16:09:56这一时刻会话新建速率到达峰值7199。 Total max session(s) creation rate on all slot is 7199, time:2025/02/28 16:09:56：当前所有槽位的会话新建速率总数在2025/02/28 16:09:56这一时刻到达峰值7199。
Vsys name	虚拟系统名称，public表示根系统。
ID	虚拟系统的标识。

1.3配置示例

 <USG6300E>display firewall session statistics #查看根系统的会话统计信息
 2025-04-20 18:37:37.760 
  Session Statistics:
  Slot 11 cpu 0:     255
  Total 255 [0.01%] session(s) on all slots.
 
  Session Creation Rate(num/s):
  Slot 11 cpu 0:       1
  Total session(s) creation rate on all slots is 1.
 
  Max Session Statistics:
  Slot 11 cpu 0:   67661, time:2025/04/08 16:19:40
  Total max session(s) on all slot is 67661, time is 2025/04/08 16:19:40.
 
  Max Session Creation Rate(num/s):
  Slot 11 cpu 0:    7199, time:2025/02/28 16:09:56
  Total max session(s) creation rate on all slot is 7199, time is 2025/02/28 16:09:56.

 <USG6300E>display firewall session statistics all-systems #查看所有系统的会话统计信息
 2025-04-20 18:48:01.980 
  Session Statistics:
  Slot 11 cpu 0:     252
  Total 252 [0.01%] session(s) on all slots.
 
  Session Creation Rate(num/s):
  Slot 11 cpu 0:       6
  Total session(s) creation rate on all slots is 6.
 
  Max Session Statistics:
  Slot 11 cpu 0:   67661, time:2025/04/08 16:19:40
  Total max session(s) on all slot is 67661, time is 2025/04/08 16:19:40.
 
  Max Session Creation Rate(num/s):
  Slot 11 cpu 0:    7199, time:2025/02/28 16:09:56
  Total max session(s) creation rate on all slot is 7199, time is 2025/02/28 16:09:56.

二、table命令详解

display firewall session table [参数] [数值]  #此命令用来查看会话表的详细信息。

2.1参数说明

参数	数值	说明
verbose	-	显示会话表详细统计信息。
vsys	vsys-name	显示指定系统的会话表统计信息。根系统设备上缺省存在的一个特殊的系统，如果想单独查看根系统的会话统计信息时，vsys-name名称要用public
source-zone	trust/untrust...	指定源安全区域的会话表项。
destination-zone	trust/untrust...	指定目的安全区域的会话表项。
default-policy	-	匹配默认安全策略的会话表项。
policy	policy-name	匹配指定安全策略的会话表项。
source-cpe		源CPE的会话表项。
to	end-ipv6-address	指定IPv6地址。
to	end-ip-address	指定IP地址。
source	-	源端为指定IP地址的会话表项。
inside	-	指定私网IP地址。
inside	port-number	指定内部端口。
global	-	公网IP地址。
global	port-number	指定外部端口。
destination	-	目的端为指定IP地址的会话表项。
protocol	-	指定IP协议的会话表项。
source-port	-	指定源端口的会话表项。
destination-port	-	指定目的端口的会话表项。
interface	-	指定出接口。
vlan	vlan-id	所有的VLAN会话表项。
detail	-	显示详细信息。

2.2输出说明

字段	说明
Current Total Sessions	当前会话表数统计。在原有连接正常，新连接无法建立时，检查总的会话数是否已经达到规格上限。会话表满的问题，可以通过降低会话老化时间解决。
icmp	协议名称，ICMP、Telnet和HTTP
VPN:public --> public	VPN实例名称，表示方式为：源方向-->目的方向。
Remote	双机热备场景下，Remote说明当前为备机，该会话是从主机备份过来的。
Zone: trust--> untrust	会话的安全区域，表示方式为：源安全区域-->目的安全区域。
Creation Time	会话创建时间。
udp	协议名称。
Slot: 0 CPU: 0	正向会话的槽位号和CPU号。
Recv Interface	正向报文的入接口。
<--packets: 0 bytes: 0	该会话反方向的报文数（包括分片）和字节数统计。 <==表示该会话反方向的报文正在进行硬件快转，<--表示该会话反方向的报文未进行硬件快转。
==> packets: 3782387 bytes: 211,813,672	该会话正方向的报文数（包括分片）和字节数统计。 ==>表示该会话正方向的报文正在进行硬件快转，-->表示该会话正方向的报文未进行硬件快转。
192.168.1.1:43985[1.1.1.1:2107]-->192.168.2.2:2048	会话表信息。如果该会话项为“+->”表示启用了ASPF。如果会话信息中有NAT转换，则使用“[]”标识NAT转换后的地址。如果会话是被配置了应用识别功能并且设置了连接数或连接速率限制的带宽策略所阻断的，则在会话被阻断后，会自动显示标记位“(B)”。
ID	当前会话ID。
TTL	该会话表项的老化时间。
Interface	正向报文的出接口。
NextHop	正向报文的下一跳IP地址。
MAC	正向报文的下一跳MAC地址。
PolicyName	命中的安全策略名称。 “---”表示该会话对应的报文处于策略未决状态或者无需安全策略检查。策略未决是指策略中配置了应用匹配条件，设备正在对报文进行应用识别，尚未确定命中的安全策略。应用识别完成后，如果报文被安全策略放行刷新会话，该字段会显示命中的安全策略名称。无需安全策略检查的情况：比如接口启用了访问管理，则某些到达设备本身的报文会跳过安全策略检查。同一安全区域内的流量，默认不受缺省安全策略控制，转发动作为允许。
duration	会话持续时间。

2.3配置示例

<USG6300E>display firewall session table #查看会话表简要信息
 2025-04-20 19:22:45.120 
  Current Total Sessions : 256
  dns  VPN: public --> public  192.168.1.24:40960[222.82.XX.XX:36750] --> 8.8.8.8:53
  dns  VPN: public --> public  192.168.1.30:51303[222.82.XX.XX:9500] --> 223.5.5.5:53
  dns  VPN: public --> public  192.168.1.24:54102[222.82.XX.XX:9507] --> 223.5.5.5:53
  dns  VPN: public --> public  10.10.40.15:56004[222.82.XX.XX:37420] --> 61.128.114.133:53
  dns  VPN: public --> public  10.10.61.98:60987[222.82.XX.XX:37424] --> 61.128.114.133:53
  tcp  VPN: public --> public  223.115.100.47:1061 --> 222.82.XX.XX:20081[10.10.61.23:20081]
  https  VPN: public --> public  10.10.61.98:50293[222.82.XX.XX:28588] --> 172.217.14.234:443

<USG6300E>display firewall session table verbose  #查看会话表详细信息
 2025-04-20 19:27:39.870 
  Current Total Sessions : 233
  https  VPN: public --> public  ID: a487f836f835013c368054aa7
  Zone: trust --> untrust  TTL: 00:10:00  Left: 00:09:56
  Recv Interface: XGigabitEthernet0/0/0
  Interface: Dialer0  NextHop: 36.103.166.61
  <--packets: 5 bytes: 360 --> packets: 5 bytes: 2,250
  10.10.61.98:50400[222.82.xx.xx:2220] --> 36.103.166.61:443 PolicyName: trust-untrust
  TCP State: established
 
  dns  VPN: public --> public  ID: a487f832b935036a368054aa8
  Zone: trust --> untrust  TTL: 00:00:30  Left: 00:00:27
  Recv Interface: XGigabitEthernet0/0/0
  Interface: Dialer0  NextHop: 61.128.114.133
  <--packets: 1 bytes: 205 --> packets: 1 bytes: 77
  10.10.61.98:52199[222.82.xx.xx:37600] --> 61.128.114.133:53 PolicyName: trust-untrust
 
  https  VPN: public --> public  ID: a487f82b925504fe568054998
  Zone: trust --> untrust  TTL: 00:10:00  Left: 00:05:26
  Recv Interface: XGigabitEthernet0/0/0
  Interface: Dialer0  NextHop: 20.197.71.89
  <--packets: 14 bytes: 5,556 --> packets: 16 bytes: 3,541
  10.10.30.203:49878[222.82.xx.xx:2973] --> 20.197.71.89:443 PolicyName: trust-untrust

<USG6300E>display firewall session table verbose source inside 10.10.61.98 protocol tcp #查看源自内部网络地址10.10.61.98基于TCP协议所建立的会话详细信息
 2025-04-20 19:36:54.140 
  Current Total Sessions : 40
  https  VPN: public --> public  ID: a487f83776350599e68054cd1
  Zone: trust --> untrust  TTL: 00:00:10  Left: 00:00:05
  Recv Interface: XGigabitEthernet0/0/0
  Interface: Dialer0  NextHop: 49.119.128.16
  <--packets: 12 bytes: 3,744 --> packets: 10 bytes: 3,814
  10.10.61.98:50543[222.82.xx.xx:5589] --> 49.119.128.16:443 PolicyName: trust-untrust
  TCP State: close
 
  https  VPN: public --> public  ID: a487f83d28b506c5f68054cd1
  Zone: trust --> untrust  TTL: 00:00:05  Left: 00:00:03
  Recv Interface: XGigabitEthernet0/0/0
  Interface: Dialer0  NextHop: 142.250.217.74
  <--packets: 0 bytes: 0 --> packets: 2 bytes: 104
  10.10.61.98:50537[222.82.xx.xx:47079] --> 142.250.217.74:443 PolicyName: trust-untrust
  TCP State: connecting
 
  https  VPN: public --> public  ID: a587f8387b1501294268054cd1
  Zone: trust --> untrust  TTL: 00:00:10  Left: 00:00:05
  Recv Interface: XGigabitEthernet0/0/0
  Interface: Dialer0  NextHop: 49.119.128.16
  <--packets: 16 bytes: 3,645 --> packets: 13 bytes: 4,746
  10.10.61.98:50524[222.82.xx.xx:5571] --> 49.119.128.16:443 PolicyName: trust-untrust
  TCP State: close
 
  https  VPN: public --> public  ID: a587f81c486501965768054cd0
  Zone: trust --> untrust  TTL: 00:10:00  Left: 00:09:54
  Recv Interface: XGigabitEthernet0/0/0
  Interface: Dialer0  NextHop: 220.181.111.232
  <--packets: 6 bytes: 555 --> packets: 8 bytes: 3,515
  10.10.61.98:50522[222.82.xx.xx:5606] --> 220.181.111.232:443 PolicyName: trust-untrust
  TCP State: established