最佳答案
display nat session命令用来显示NAT会话表项,即经过NAT地址转换处理的会话。
【命令】
display nat session [ [ responder ] { source-ip source-ip | destination-ip destination-ip } * [ vpn-instance vpn-instance-name ] ] [ slot slot-number ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
responder:表示以响应方的信息筛选显示NAT会话表项。若不指定该参数时,则以发起方的信息筛选显示NAT会话表项。
source-ip source-ip:显示指定源地址的NAT会话表项。source-ip表示源地址,该地址必须是创建NAT会话表项的报文的源地址。
destination-ip destination-ip:显示指定目的地址的NAT会话表项。destination-ip表示目的地址,该地址必须是创建NAT会话表项的报文的目的地址。
vpn-instance vpn-instance-name:显示指定目的VPN的NAT会话表项。vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。该VPN必须是报文中携带的VPN。如果不指定该参数,则显示目的IP不属于任何VPN的NAT会话表项。
slot slot-number:显示指定成员设备上的NAT会话表项,slot-number表示设备在IRF中的成员编号。若不指定该参数,则显示所有成员设备上的NAT会话表项。
verbose:显示NAT会话表项的详细信息。如果不配置则显示NAT会话表项的概要信息。
【使用指导】
如果不指定任何参数,则显示所有的NAT会话表项。
【举例】
# 显示1号成员设备上NAT会话表项的详细信息。
<Sysname> display nat session slot 1 verbose
Slot 1:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: SrcZone
Responder:
Source IP/port: 192.168.1.55/22
Destination IP/port: 192.168.1.10/1877
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: DestZone
State: TCP_SYN_SENT
Application: SSH
Start time: 2011-07-29 19:12:36 TTL: 28s
Initiator->Responder: 1 packets 48 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
表1-16 display nat session命令显示信息描述表
字段 | 描述 |
Initiator | 发起方的会话信息 |
Responder | 响应方的会话信息 |
Source IP/port | 源IP地址/端口号 |
Destination IP/port | 目的IP地址/端口号 |
DS-Lite tunnel peer | DS-Lite隧道对端地址。会话不属于任何DS-Lite隧道时,本字段显示为“-” |
VPN instance/VLAN ID/Inline ID | 会话所属的VPN实例/二层转发时会话所属的VLAN ID/二层转发时会话所属的INLINE。如果未指定则显示“-/-/-” |
Protocol | 传输层协议类型,包括:DCCP、ICMP、Raw IP 、SCTP、TCP、UDP、UDP-Lite |
Inbound interface | 报文的入接口 |
Source security zone | 源安全域,即入接口所属的安全域。若接口不属于任何安全域,则显示为“-” |
State | 会话状态 |
Application | 应用层协议类型,取值包括:FTP、DNS等,OTHER表示未知协议类型,其对应的端口为非知名端口 |
Start time | 会话创建时间 |
TTL | 会话剩余存活时间,单位为秒 |
Initiator->Responder | 发起方到响应方的报文数、报文字节数 |
Responder->Initiator | 响应方到发起方的报文数、报文字节数 |
Total sessions found | 当前查找到的会话表总数 |
【相关命令】
· reset nat session
(0)
V5路由器查看nat会话默认的老化时长如下:
nat aging-time命令用来设置地址转换表项的有效时间。undo nat aging-time用来将指定协议类型的地址转换表项的有效时间恢复为缺省情况。
缺省情况下,各协议的地址转换表项的有效时间如下:
1)DNS协议地址转换表项的有效时间为10秒;
2)FTP协议控制链路(ftp-ctrl)地址转换表项的有效时间为300秒;
3)FTP协议数据链路(ftp-data)地址转换表项的有效时间为300秒;
4)ICMP地址转换表项的有效时间为10秒;
5)NO-PAT转换方式下的私网地址和公网地址转换表项的有效时间为240秒;
6)PPTP协议地址转换表项的有效时间为300秒;
7)TCP地址转换表项的有效时间为300秒;
8)TCP协议fin、rst连接地址转换表项的有效时间为10秒;
9)协议syn连接地址转换表项的有效时间为10秒;
10)UDP地址转换表项的有效时间为240秒。
V7的设备nat aging-time命令已经取消,目前把nat会话转移到了session功能某块中,对应的协议和应用协议的默认的老化时长如下:
[H3C]display session aging-time state
State Aging Time(s)
SYN 30
TCP-EST 3600
FIN 30
UDP-OPEN 30
UDP-READY 60
ICMP-REQUEST 60
ICMP-REPLY 30
RAWIP-OPEN 30
RAWIP-READY 60
UDPLITE-OPEN 30
UDPLITE-READY 60
DCCP-REQUEST 30
DCCP-EST 3600
DCCP-CLOSEREQ 30
SCTP-INIT 30
SCTP-EST 3600
SCTP-SHUTDOWN 30
ICMPV6-REQUEST 60
ICMPV6-REPLY 30
TCP-TIME-WAIT 2
TCP-CLOSE 2
[H3C]display session aging-time application
Application Aging time(s)
bootpc 120
bootps 120
dns 1
ftp 3600
ftp-data 240
gprs-data 60
gprs-sig 60
gtp-control 60
gtp-user 60
h225 3600
h245 3600
https 600
ils 3600
l2tp 120
mgcp-callagent 60
mgcp-gateway 60
netbios-dgm 3600
netbios-ns 3600
netbios-ssn 3600
ntp 120
pptp 3600
qq 120
ras 300
rip 120
rsh 60
rtsp 3600
sccp 3600
sip 300
snmp 120
snmptrap 120
sqlnet 600
stun 600
syslog 120
tacacs-ds 120
tftp 60
who 120
xdmcp 3600
others: 1200
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
怎么修改会话老化时间?