1. statistics命令详解
此命令用来查看会话表的统计信息
display firewall session statistics [参数] [数值]1.1 配置案例
查看根系统的会话统计信息
<USG6300E>display firewall session statistics
2025-04-20 18:37:37.760
Session Statistics:
Slot 11 cpu 0: 255
Total 255 [0.01%] session(s) on all slots.
Session Creation Rate(num/s):
Slot 11 cpu 0: 1
Total session(s) creation rate on all slots is 1.
Max Session Statistics:
Slot 11 cpu 0: 67661, time:2025/04/08 16:19:40
Total max session(s) on all slot is 67661, time is 2025/04/08 16:19:40.
Max Session Creation Rate(num/s):
Slot 11 cpu 0: 7199, time:2025/02/28 16:09:56
Total max session(s) creation rate on all slot is 7199, time is 2025/02/28 16:09:56.查看所有系统的会话统计信息
<USG6300E>display firewall session statistics all-systems
2025-04-20 18:48:01.980
Session Statistics:
Slot 11 cpu 0: 252
Total 252 [0.01%] session(s) on all slots.
Session Creation Rate(num/s):
Slot 11 cpu 0: 6
Total session(s) creation rate on all slots is 6.
Max Session Statistics:
Slot 11 cpu 0: 67661, time:2025/04/08 16:19:40
Total max session(s) on all slot is 67661, time is 2025/04/08 16:19:40.
Max Session Creation Rate(num/s):
Slot 11 cpu 0: 7199, time:2025/02/28 16:09:56
Total max session(s) creation rate on all slot is 7199, time is 2025/02/28 16:09:56.1.2 参数说明
| 参数 | 数值 | 说明 |
| verbose | - | 显示会话表详细统计信息。 |
| vsys | vsys-name | 显示指定系统的会话表统计信息。根系统设备上缺省存在的一个特殊的系统,如果想单独查看根系统的会话统计信息时,vsys-name名称要用public |
| all-systems | - | 显示整机的会话表统计信息。 |
| source | inside/global | 指定发起端为指定IP地址的会话统计信息。 |
| inside | ip-address | 指定私网IP地址信息。 |
| inside | inside-source-port | 指定私网源端口。 |
| inside | inside-destination-port | 指定私网目的端口。 |
| global | ip-address | 指定公网IP地址信息。 |
| global | global-source-port | 指定公网源端口。 |
| global | global-destination-port | 指定公网目的端口。 |
| source-cpe | ipv6-address | 源CPE(Customer Premise Equipment)的IPv6地址。 |
| destination-cpe | ipv6-address | 目的CPE(Customer Premise Equipment)的IPv6地址。 |
| destination | inside/global | 指定目的端为指定IP地址的会话统计信息 |
| protocol | - | 指定协议。 |
| fastflow | - | 显示正在进行硬件快转的会话统计信息。 |
| fastflow-deny | - | 显示未进行硬件快转的会话统计信息。 |
| source-port | - | 指定源端口。 |
| destination-port | - | 指定目的端口。 |
| long-link | - | 显示长连接的信息。 |
| ipv6 | - | 查看IPv6会话信息。 |
1.3 输出说明
| 字段 | 说明 |
| Session Statistics | 当前会话统计信息。Slot x cpu y:x号槽位y号CPU的会话统计信息。Total 255 [0.01%] session(s) on all slots.:当前会话总数为255,占整机会话规格的0.01%。会话总数计算方法为各槽位会话数量之和。对于虚拟视图下的会话统计信息,[0.01%]表示当前虚拟系统中所有槽位的会话总数占该虚拟系统可使用的最大会话资源的百分比。 |
| Session Creation Rate(num/s) | 当前会话新建速率统计信息。Slot x cpu y:x号槽位y号CPU的会话新建速率统计信息。Total session(s) creation rate on all slots is 1.:当前所有槽位的会话新建速率总数为1。会话新建速率总数计算方法为各槽位会话新建速率之和。 |
| Session Statistics | 当前正在进行硬件快转的会话统计信息。-。Slot x cpu y:x号槽位y号CPU的硬件快转会话统计信息。Total 255 session(s) on all slots.:当前正在进行硬件快转的会话总数为255。会话总数计算方法为各槽位会话数量之和。 |
| Slot | 槽位号。 |
| cpu | CPU号。 |
| Max Session Statistics | 历史最大会话统计信息。Slot x cpu y: 67667, time:2025/04/8 16:19:40:x号槽位y号CPU在2025/04/8 16:19:40这一时刻会话总数到达峰值67667。Total max session(s) on all slot is 67667, time:2025/04/8 16:19:40:当前所有槽位的会话总数在2025/04/8 16:19:40这一时刻到达峰值67661。 |
| Max Session Creation Rate(num/s) | 历史最大会话新建速率信息。Slot x cpu y: 7199, time:2025/02/28 16:09:56:x号槽位y号CPU在2025/02/28 16:09:56这一时刻会话新建速率到达峰值7199。Total max session(s) creation rate on all slot is 7199, time:2025/02/28 16:09:56:当前所有槽位的会话新建速率总数在2025/02/28 16:09:56这一时刻到达峰值7199。 |
| Vsys name | 虚拟系统名称,public表示根系统。 |
| ID | 虚拟系统的标识。 |
2. table命令详解
此命令用来查看会话表的详细信息
display firewall session table [参数] [数值]2.1 配置案例
查看会话表简要信息
<USG6300E>display firewall session table
2025-04-20 19:22:45.120
Current Total Sessions : 256
dns VPN: public --> public 192.168.1.24:40960[222.82.XX.XX:36750] --> 8.8.8.8:53
dns VPN: public --> public 192.168.1.30:51303[222.82.XX.XX:9500] --> 223.5.5.5:53
dns VPN: public --> public 192.168.1.24:54102[222.82.XX.XX:9507] --> 223.5.5.5:53
dns VPN: public --> public 10.10.40.15:56004[222.82.XX.XX:37420] --> 61.128.114.133:53
dns VPN: public --> public 10.10.61.98:60987[222.82.XX.XX:37424] --> 61.128.114.133:53
tcp VPN: public --> public 223.115.100.47:1061 --> 222.82.XX.XX:20081[10.10.61.23:20081]
https VPN: public --> public 10.10.61.98:50293[222.82.XX.XX:28588] --> 172.217.14.234:443查看会话表详细信息
<USG6300E>display firewall session table verbose
2025-04-20 19:27:39.870
Current Total Sessions : 233
https VPN: public --> public ID: a487f836f835013c368054aa7
Zone: trust --> untrust TTL: 00:10:00 Left: 00:09:56
Recv Interface: XGigabitEthernet0/0/0
Interface: Dialer0 NextHop: 36.103.166.61
<--packets: 5 bytes: 360 --> packets: 5 bytes: 2,250
10.10.61.98:50400[222.82.xx.xx:2220] --> 36.103.166.61:443 PolicyName: trust-untrust
TCP State: established
dns VPN: public --> public ID: a487f832b935036a368054aa8
Zone: trust --> untrust TTL: 00:00:30 Left: 00:00:27
Recv Interface: XGigabitEthernet0/0/0
Interface: Dialer0 NextHop: 61.128.114.133
<--packets: 1 bytes: 205 --> packets: 1 bytes: 77
10.10.61.98:52199[222.82.xx.xx:37600] --> 61.128.114.133:53 PolicyName: trust-untrust
https VPN: public --> public ID: a487f82b925504fe568054998
Zone: trust --> untrust TTL: 00:10:00 Left: 00:05:26
Recv Interface: XGigabitEthernet0/0/0
Interface: Dialer0 NextHop: 20.197.71.89
<--packets: 14 bytes: 5,556 --> packets: 16 bytes: 3,541
10.10.30.203:49878[222.82.xx.xx:2973] --> 20.197.71.89:443 PolicyName: trust-untrust查看源自内部网络地址10.10.61.98基于TCP协议所建立的会话详细信息
<USG6300E>display firewall session table verbose source inside 10.10.61.98 protocol tcp
2025-04-20 19:36:54.140
Current Total Sessions : 40
https VPN: public --> public ID: a487f83776350599e68054cd1
Zone: trust --> untrust TTL: 00:00:10 Left: 00:00:05
Recv Interface: XGigabitEthernet0/0/0
Interface: Dialer0 NextHop: 49.119.128.16
<--packets: 12 bytes: 3,744 --> packets: 10 bytes: 3,814
10.10.61.98:50543[222.82.xx.xx:5589] --> 49.119.128.16:443 PolicyName: trust-untrust
TCP State: close
https VPN: public --> public ID: a487f83d28b506c5f68054cd1
Zone: trust --> untrust TTL: 00:00:05 Left: 00:00:03
Recv Interface: XGigabitEthernet0/0/0
Interface: Dialer0 NextHop: 142.250.217.74
<--packets: 0 bytes: 0 --> packets: 2 bytes: 104
10.10.61.98:50537[222.82.xx.xx:47079] --> 142.250.217.74:443 PolicyName: trust-untrust
TCP State: connecting
https VPN: public --> public ID: a587f8387b1501294268054cd1
Zone: trust --> untrust TTL: 00:00:10 Left: 00:00:05
Recv Interface: XGigabitEthernet0/0/0
Interface: Dialer0 NextHop: 49.119.128.16
<--packets: 16 bytes: 3,645 --> packets: 13 bytes: 4,746
10.10.61.98:50524[222.82.xx.xx:5571] --> 49.119.128.16:443 PolicyName: trust-untrust
TCP State: close
https VPN: public --> public ID: a587f81c486501965768054cd0
Zone: trust --> untrust TTL: 00:10:00 Left: 00:09:54
Recv Interface: XGigabitEthernet0/0/0
Interface: Dialer0 NextHop: 220.181.111.232
<--packets: 6 bytes: 555 --> packets: 8 bytes: 3,515
10.10.61.98:50522[222.82.xx.xx:5606] --> 220.181.111.232:443 PolicyName: trust-untrust
TCP State: established2.2 参数说明
| 参数 | 数值 | 说明 |
| verbose | - | 显示会话表详细统计信息。 |
| vsys | vsys-name | 显示指定系统的会话表统计信息。根系统设备上缺省存在的一个特殊的系统,如果想单独查看根系统的会话统计信息时,vsys-name名称要用public |
| source-zone | trust/untrust... | 指定源安全区域的会话表项。 |
| destination-zone | trust/untrust... | 指定目的安全区域的会话表项。 |
| default-policy | - | 匹配默认安全策略的会话表项。 |
| policy | policy-name | 匹配指定安全策略的会话表项。 |
| source-cpe | 源CPE的会话表项。 | |
| to | end-ipv6-address | 指定IPv6地址。 |
| to | end-ip-address | 指定IP地址。 |
| source | - | 源端为指定IP地址的会话表项。 |
| inside | - | 指定私网IP地址。 |
| inside | port-number | 指定内部端口。 |
| global | - | 公网IP地址。 |
| global | port-number | 指定外部端口。 |
| destination | - | 目的端为指定IP地址的会话表项。 |
| protocol | - | 指定IP协议的会话表项。 |
| source-port | - | 指定源端口的会话表项。 |
| destination-port | - | 指定目的端口的会话表项。 |
| interface | - | 指定出接口。 |
| vlan | vlan-id | 所有的VLAN会话表项。 |
| detail | - | 显示详细信息。 |
2.3 输出说明
| 字段 | 说明 |
| Current Total Sessions | 当前会话表数统计。在原有连接正常,新连接无法建立时,检查总的会话数是否已经达到规格上限。会话表满的问题,可以通过降低会话老化时间解决。 |
| icmp | 协议名称,ICMP、Telnet和HTTP |
| VPN:public --> public | VPN实例名称,表示方式为:源方向-->目的方向。 |
| Remote | 双机热备场景下,Remote说明当前为备机,该会话是从主机备份过来的。 |
| Zone: trust--> untrust | 会话的安全区域,表示方式为:源安全区域-->目的安全区域。 |
| Creation Time | 会话创建时间。 |
| udp | 协议名称。 |
| Slot: 0 CPU: 0 | 正向会话的槽位号和CPU号。 |
| Recv Interface | 正向报文的入接口。 |
| <--packets: 0 bytes: 0 | 该会话反方向的报文数(包括分片)和字节数统计。<==表示该会话反方向的报文正在进行硬件快转,<--表示该会话反方向的报文未进行硬件快转。 |
| ==> packets: 3782387 bytes: 211,813,672 | 该会话正方向的报文数(包括分片)和字节数统计。==>表示该会话正方向的报文正在进行硬件快转,-->表示该会话正方向的报文未进行硬件快转。 |
| 192.168.1.1:43985[1.1.1.1:2107]-->192.168.2.2:2048 | 会话表信息。如果该会话项为“+->”表示启用了ASPF。如果会话信息中有NAT转换,则使用“[]”标识NAT转换后的地址。如果会话是被配置了应用识别功能并且设置了连接数或连接速率限制的带宽策略所阻断的,则在会话被阻断后,会自动显示标记位“(B)”。 |
| ID | 当前会话ID。 |
| TTL | 该会话表项的老化时间。 |
| Interface | 正向报文的出接口。 |
| NextHop | 正向报文的下一跳IP地址。 |
| MAC | 正向报文的下一跳MAC地址。 |
| PolicyName | 命中的安全策略名称。“---”表示该会话对应的报文处于策略未决状态或者无需安全策略检查。策略未决是指策略中配置了应用匹配条件,设备正在对报文进行应用识别,尚未确定命中的安全策略。应用识别完成后,如果报文被安全策略放行刷新会话,该字段会显示命中的安全策略名称。无需安全策略检查的情况:比如接口启用了访问管理,则某些到达设备本身的报文会跳过安全策略检查。同一安全区域内的流量,默认不受缺省安全策略控制,转发动作为允许。 |
| duration | 会话持续时间。 |
