如何在瞻博网络 SRX 5800 系列防火墙上查找无效会话

网络工程 防火墙 杜松 安全 杜松-朱诺斯 杜松-srx
2022-02-19 00:31:29

在瞻博网络 SRX 5800 系列防火墙中,当我们运行命令“ show security flow session summary node 0”时,我们看到它显示大量会话无效。但我们不知道具体哪些会话被称为无效。我们对获取这些无效会话的详细信息特别感兴趣,以便解决它们。

有人可以通过分享一些命令来帮助和指导,这些命令将帮助我们识别这些会话,即我们可以知道它们的源和目标 IP 地址、源端口/目标端口,就像我们在安全流输出中观察到的那样。

这是我们防火墙上的输出。

user@Juniper-FWR-SRX5-1> show security flow session node 0 summary 
node0:
--------------------------------------------------------------------------

Flow Sessions on FPC7 PIC1:
Unicast-sessions: 736296
Multicast-sessions: 0
Services-offload-sessions: 0
Failed-sessions: 1818245650
Sessions-in-use: 766287
  Valid sessions: 732701
  Pending sessions: 2
  Invalidated sessions: 33584  <------
  Sessions in other states: 0
Maximum-sessions: 1048576

Flow Sessions on FPC8 PIC0:
Unicast-sessions: 739223
Multicast-sessions: 0
Services-offload-sessions: 0
Failed-sessions: 1822969742
Sessions-in-use: 761647
  Valid sessions: 735542
  Pending sessions: 2
  Invalidated sessions: 26103 <------
  Sessions in other states: 0
Maximum-sessions: 1048576

非常感谢 !

1个回答

没有显示此信息的 show 命令。无效会话是应清理/删除的会话,将它们保存在内存中以便可以查看它们可能会出现其他问题。根据某些配置设置(即set security flow tcp-session rst-invalidate-session),行为可能会略有变化。

如果您的问题是一次性的,需要排除故障,我相信 JTAC 有一种方法可以做到这一点。但是,这不是可以定期完成的事情。

其它你可能感兴趣的问题
上一篇当 AIMD TCP 连接中的**延迟 ACK**“最终会达到超时”时,发送方缓冲区中的数据包会发生什么情况? 下一篇Path-MTU 黑洞检测究竟是如何工作的?