路由器查看nat默认老化时间
- 0关注
- 0收藏,690浏览
问题描述:
要查看路由器MSR5660的nat默认老化时间
命令:dis session aging-time state
直接查看显示:SESSION is not configured.
随意设置一个协议的time然后再删除:
session aging-time state tcp-close 100
undo session aging-time state tcp-close 100
再查看dis session aging-time state就有了
请问这是出于啥考虑的设计呢,另外同设备不同版本的这个缺省老化时间一致吗
组网及组网描述:
不涉及
- 2023-10-30提问
- 举报
-
(0)
H3C路由器MSR5660的nat默认老化时间是由session功能模块控制的1。session功能模块是用于管理和维护设备上的会话表项的功能2。会话表项是用于记录设备上进行地址转换、防火墙、QoS等功能时产生的报文流信息的表项2。
当您第一次执行dis session aging-time state命令时,显示SESSION is not configured,是因为设备上还没有产生任何会话表项,所以没有对应的老化时间3。当您执行session aging-time state tcp-close 100命令时,您实际上是修改了TCP协议关闭状态下的会话表项的老化时间为100秒。这个命令会触发设备创建session功能模块,并初始化各种协议和应用的默认老化时间。当您执行undo session aging-time state tcp-close 100命令时,您只是将TCP协议关闭状态下的会话表项的老化时间恢复为默认值2秒,但并不会删除session功能模块或其他协议和应用的老化时间。所以当您再次执行dis session aging-time state命令时,就可以看到各种协议和应用的老化时间了。
这样设计的原因可能是为了节省设备的资源和提高设备的性能。如果设备上没有进行任何地址转换、防火墙、QoS等功能,就没有必要创建session功能模块或会话表项,也就没有必要显示老化时间。只有当设备上需要进行这些功能时,才会创建session功能模块或会话表项,并初始化或修改相应的老化时间。
同一设备不同版本的nat默认老化时间可能不一致,因为不同版本可能支持不同的协议和应用,或者对某些协议和应用的老化时间有所调整。您可以通过执行display version命令查看设备的版本信息,然后参考相应版本的配置指导文档,查看各种协议和应用的默认老化时间。
- 2023-10-30回答
- 评论(1)
- 举报
-
(1)
您好,参考
display nat session
display nat session命令用来显示NAT会话表项,即经过NAT地址转换处理的会话。
【命令】
display nat session [ [ responder ] { source-ip source-ip | destination-ip destination-ip } * [ vpn-instance vpn-instance-name ] ] [ slot slot-number ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
responder:表示以响应方的信息筛选显示NAT会话表项。若不指定该参数时,则以发起方的信息筛选显示NAT会话表项。
source-ip source-ip:显示指定源地址的NAT会话表项。source-ip表示源地址,该地址必须是创建NAT会话表项的报文的源地址。
destination-ip destination-ip:显示指定目的地址的NAT会话表项。destination-ip表示目的地址,该地址必须是创建NAT会话表项的报文的目的地址。
vpn-instance vpn-instance-name:显示指定目的VPN的NAT会话表项。vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。该VPN必须是报文中携带的VPN。如果不指定该参数,则显示目的IP不属于任何VPN的NAT会话表项。
slot slot-number:显示指定成员设备上的NAT会话表项,slot-number表示设备在IRF中的成员编号。若不指定该参数,则显示所有成员设备上的NAT会话表项。
verbose:显示NAT会话表项的详细信息。如果不配置则显示NAT会话表项的概要信息。
【使用指导】
如果不指定任何参数,则显示所有的NAT会话表项。
【举例】
# 显示1号成员设备上NAT会话表项的详细信息。
<Sysname> display nat session slot 1 verbose
Slot 1:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: SrcZone
Responder:
Source IP/port: 192.168.1.55/22
Destination IP/port: 192.168.1.10/1877
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: DestZone
State: TCP_SYN_SENT
Application: SSH
Start time: 2011-07-29 19:12:36 TTL: 28s
Initiator->Responder: 1 packets 48 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
表1-16 display nat session命令显示信息描述表
字段 | 描述 |
Initiator | 发起方的会话信息 |
Responder | 响应方的会话信息 |
Source IP/port | 源IP地址/端口号 |
Destination IP/port | 目的IP地址/端口号 |
DS-Lite tunnel peer | DS-Lite隧道对端地址。会话不属于任何DS-Lite隧道时,本字段显示为“-” |
VPN instance/VLAN ID/Inline ID | 会话所属的VPN实例/二层转发时会话所属的VLAN ID/二层转发时会话所属的INLINE。如果未指定则显示“-/-/-” |
Protocol | 传输层协议类型,包括:DCCP、ICMP、Raw IP 、SCTP、TCP、UDP、UDP-Lite |
Inbound interface | 报文的入接口 |
Source security zone | 源安全域,即入接口所属的安全域。若接口不属于任何安全域,则显示为“-” |
State | 会话状态 |
Application | 应用层协议类型,取值包括:FTP、DNS等,OTHER表示未知协议类型,其对应的端口为非知名端口 |
Start time | 会话创建时间 |
TTL | 会话剩余存活时间,单位为秒 |
Initiator->Responder | 发起方到响应方的报文数、报文字节数 |
Responder->Initiator | 响应方到发起方的报文数、报文字节数 |
Total sessions found | 当前查找到的会话表总数 |
【相关命令】
· reset nat session
- 2023-10-30回答
- 评论(1)
- 举报
-
(0)
您好,我想要查看的是NAT各协议的老化时间,不是查看某个nat session的老化时间
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
那除了我手动修改一下某个协议的时间之外,还有什么办法设备能显示出老化时间呢? 设备配置了动态nat、静态nat,有了nat session之后,再查看session agingtime state还是没有