使用场合
针对可以建会话的报文,可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙。
命令介绍(命令类)
display firewall session table [ verbose ] { source { inside X.X.X.X | global X.X.X.X } | destination { inside X.X.X.X
| global X.X.X.X } } [ source-vpn-instance { STRING<1-19> | public } | dest-vpn-instance { STRING<1-19> | public } ]
[ application { gtp | ftp | h323 | http | hwcc | ras | mgcp | dns | pptp | qq | rtsp | ils | smtp | sip | nbt | stun
| rpc | sqlnet | mms } ] [ nat ] [ destination-port INTEGER<1-65535> ] [ long-link ]
使用方法(工具类)
首先确定该五元组是否建会话,对于
TCP/UDP/ICMP
(
ICMP
只有
echo request
和
echo reply
建会话)
/GRE/ESP/AH
的报文防火墙
会建会话,其它比如
SCTP/OSPF/VRRP
等报文防火墙不建会话。如果会话已经建立,并且一直有后续报文命中刷新,基本可以排除防
火墙的问题,除非碰到来回路径不一致情况,需要关闭状态检测。如果没有对应的五元组会话或者对于不建会话的报文,继续后续排
查方法。
Global
:表示在做
NAT
时转换后的
IP
。
Inside
:表示在做
NAT
时转换前的
IP
。
使用示例
display firewall session table verbose source inside
10.160.30.2