...
| Блок кода |
|---|
esr(config)# ip firewall mode stateless |
ip firewall sessions
...
counters
Командой выполняется включение счетчиков сессий для NAT и Firewall. Счетчики увеличиваются только тогда, когда устанавливается новая сессия. Для установленных сессий увеличения значений счетчиков не происходит при прохождении пакетов. Включение счетчиков снижает производительность маршрутизатора.
Команды для просмотра счетчиков и сессий описаны в разделах show ip firewall counters, show ip firewall sessions, show ipv6 firewall counters и show ipv6 firewall sessionsДанной командой настраивается фильтрация пакетов, для которых не удалось определить принадлежность к какому-либо известному соединению и которые не являются началом нового соединения.
Использование отрицательной формы команды (no) включает отбрасывание всех неизвестных отключает счетчики сессий.
Синтаксис
ip firewall sessions unknown <ACTION>[no] ip firewall sessions unknowncounters
Параметры
<ACTION> – правило обработки неизвестных сессий для межсетевого экрана:
- permit – разрешить неизвестные сессии.
- deny – отбрасывать неизвестные сессии.
- reject – отбрасывать неизвестные сессии и отправлять обратно пакет с ошибкой.
Команда не содержит параметров.
Значение по умолчанию
rejectОтключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip firewall sessions unknown permitcounters |
ip firewall sessions
...
generic-timeout
Данной командой определяется время жизни сессии для неподдерживаемых протоколов, по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions generic-timeout <TIME>noКомандой выполняется включение счетчиков сессий для NAT и Firewall. Счетчики увеличиваются только тогда, когда устанавливается новая сессия. Для установленных сессий увеличения значений счетчиков не происходит при прохождении пакетов. Включение счетчиков снижает производительность маршрутизатора.
Команды для просмотра счетчиков и сессий описаны в разделах show ip firewall counters, show ip firewall sessions, show ipv6 firewall counters и show ipv6 firewall sessions.
Использование отрицательной формы команды (no) отключает счетчики сессий.
Синтаксис
[no] ip firewall sessions countersgeneric-timeout
Параметры
Команда не содержит параметров<TIME> – время жизни сессии для неподдерживаемых протоколов, принимает значения в секундах [1..8553600].
Значение по умолчанию
Отключено60 секунд.
Необходимый уровень привилегий
...
| Блок кода |
|---|
esr(config)# ip firewall sessions countersgeneric-timeout 60 |
ip firewall sessions
...
icmp-timeout
Данной командой определяется время жизни ICMP-сессии для неподдерживаемых протоколов, по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
...
Синтаксис
ip firewall sessions genericicmp-timeout <TIME>
no ip firewall sessions genericicmp-timeout
Параметры
<TIME> – время жизни ICMP-сессии для неподдерживаемых протоколов, принимает значения в секундах [1..8553600].
Значение по умолчанию
60 30 секунд.
Необходимый уровень привилегий
...
| Блок кода |
|---|
esr(config)# ip firewall sessions genericicmp-timeout 60 |
ip firewall sessions
...
icmpv6-timeout
Данной командой определяется время жизни ICMPICMPv6-сессии, по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
...
Синтаксис
ip firewall sessions icmpicmpv6-timeout <TIME>
no ip firewall sessions icmpicmpv6-timeout
Параметры
<TIME> – время жизни ICMP ICMPv6-сессии, принимает значения в секундах [1..8553600].
...
| Блок кода |
|---|
esr(config)# ip firewall sessions icmpicmpv6-timeout 60 |
ip firewall sessions
...
max-
...
expect
Данной командой определяется время жизни ICMPv6-сессии, по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессийразмер таблицы сессий, ожидающих обработки.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions icmpv6max-timeoutexpect <TIME><COUNT>
no ip firewall sessions icmpv6max-timeoutexpect
Параметры
<TIMECOUNT> – время жизни ICMPv6-сессииразмер таблицы, принимает значения в секундах [1..8553600].
Значение по умолчанию
30 секунд.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
следующие значения:
- ESR-1511, ESR-1700, ESR-3100, ESR-3200L, ESR-3200, ESR-3300, vESR – 8553600
- ESR-1500 – 2430000
- ESR-1000, ESR-1200 – 3130000
- ESR-200 – 2259000
- ESR-100 – 1574000
Scroll Pagebreak - ESR-3x – 3260000
- ESR-2x – 2940000
- ESR-15 – 300000
- ESR-1x – 440000
Значение по умолчанию
256
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip firewall sessions icmpv6max-timeoutexpect 60512 |
ip firewall sessions max-
...
tracking
Данной командой определяется размер таблицы отслеживаемых сессий, ожидающих обработки.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
...
ip firewall sessions max-expecttracking <COUNT>
no ip firewall sessions max-expect tracking
Параметры
<COUNT> – размер таблицы, принимает следующие значения:
- ESR-1511, ESR-1700, ESR-3100, ESR-3200L, ESR-3200, ESR-3300, vESR – 8553600
- ESR-1500 – 24300001500 – 2430000
- ESR-1000, ESR-1200 – 31300001200 – 3130000
- ESR-200 – 2259000200 – 2259000
- ESR-100 – 1574000scroll-pagebreak
- ESR-3x – 3260000
- ESR-2x – 2940000
- ESR-15 – 300000
- ESR-1x – 440000
Значение по умолчанию
ESR-1x, ESR-15 – 64000
Для остальных моделей – 512000256
Необходимый уровень привилегий
...
| Блок кода |
|---|
esr(config)# ip firewall sessions max-expecttracking 512256000 |
ip firewall sessions
...
tcp-connect-
...
timeout
Данной командой определяется размер время жизни TCP-сессии в состоянии «соединение устанавливается», по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
...
Синтаксис
ip firewall sessions maxtcp-connect-trackingtimeout <COUNT><TIME>
no ip firewall sessions max- trackingtcp-connect-timeout
Параметры
<COUNTTIME> – размер таблицывремя жизни TCP-сессии в состоянии «соединение устанавливается», принимает следующие значения:
- ESR-1511, ESR-1700, ESR-3100, ESR-3200L, ESR-3200, ESR-3300, vESR – 8553600
- ESR-1500 – 2430000
- ESR-1000, ESR-1200 – 3130000
- ESR-200 – 2259000
- ESR-100 – 1574000
- ESR-3x – 3260000
- ESR-2x – 2940000
- ESR-15 – 300000
- ESR-1x – 440000
Значение по умолчанию
ESR-1x, ESR-15 – 64000
значения в секундах [1..8553600].
Значение по умолчанию
60 секунд.Для остальных моделей – 512000
Необходимый уровень привилегий
...
| Блок кода |
|---|
esr(config)# ip firewall sessions maxtcp-trackingconnect-timeout 256000120 |
ip firewall sessions tcp-
...
disconnect-timeout
Данной командой определяется время жизни TCP-сессии в состоянии «соединение устанавливается»закрывается», по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
...
ip firewall sessions tcp-connectdisconnect-timeout <TIME>
no ip firewall sessions tcp-connectdisconnect-timeout
Параметры
<TIME> – время жизни TCP-сессии в состоянии «соединение устанавливается»закрывается», принимает значения в секундах [1..8553600].
Значение по умолчанию
60 30 секунд.
Необходимый уровень привилегий
...
| Блок кода |
|---|
esr(config)# ip firewall sessions tcp-connectdisconnect-timeout 12010 |
ip firewall sessions tcp-
...
estabilished-timeout
Данной командой определяется время жизни TCP-сессии в состоянии «соединение закрывается»установлено», по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
...
ip firewall sessions tcp-disconnectestabilished-timeout <TIME>
no ip firewall sessions tcp-disconnectestabilished-timeout
Параметры
<TIME> – время жизни TCP-сессии в состоянии «соединение закрывается»установлено», принимает значения в секундах [1..8553600].
Значение по умолчанию
30 120 секунд.
Необходимый уровень привилегий
...
| Блок кода |
|---|
esr(config)# ip firewall sessions tcp-disconnectestabilished-timeout 103600 |
ip firewall sessions tcp-
...
latecome-timeout
Данной командой определяется время жизни TCP-сессии в состоянии «соединение установлено»ожидания, по истечении которого она считается устаревшей и удаляется происходит фактическое удаление закрытой TCP-сессии из таблицы отслеживаемых сессий.
...
ip firewall sessions tcp-estabilishedlatecome-timeout <TIME>
no ip firewall sessions tcp-estabilishedlatecome-timeout
Параметры
<TIME> – время жизни TCP-сессии в состоянии «соединение установлено»ожидания, принимает значения в секундах [1..8553600].
...
| Блок кода |
|---|
esr(config)# ip firewall sessions tcp-estabilishedlatecome-timeout 360010 |
ip firewall sessions
...
tracking
Данной командой определяется время ожидания, по истечении которого происходит фактическое удаление закрытой TCP-сессии из таблицы отслеживаемых сессийвключается функция отслеживания сессий уровня приложений для отдельных протоколов.
Использование отрицательной формы команды (no) устанавливает значение по умолчаниюотключает функцию отслеживания сессий уровня приложений для отдельных протоколов.
Синтаксис
ip firewall sessions tcp-latecome-timeout <TIME> tracking { <PROTOCOL> | sip [ port <OBJECT-GROUP-SERVICE> | session-lifetime <TIME> ] }
no ip firewall sessions tcp-latecome-timeout tracking { <PROTOCOL> | sip [ port <OBJECT-GROUP-SERVICE> ] | all }
Параметры
<TIMEPROTOCOL> – время ожиданияпротокол уровня приложений, сессии которого должны отслеживаться, принимает значения в секундах [1..8553600].
Значение по умолчанию
120 секунд.
Необходимый уровень привилегий
[ftp, h323, pptp, netbios-ns];
<OBJECT-GROUP-SERVICE> – имя профиля TCP/UDP-портов SIP-сессии, задаётся строкой до 31 символа. Если группа не указана, то отслеживание сессий SIP будет осуществляться для порта 5060;
Вместо имени отдельного протокола можно использовать ключ "all", который включает функцию отслеживания сессий уровня приложений для всех доступных протоколов.
<TIME> – время жизни отслеживаемой SIP-сессии, по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий. Принимает значения в секундах [1..8553600].
Значение по умолчанию
Отключено для всех протоколов.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip firewall sessions tcp-latecome-timeout 10tracking ftp |
ip firewall sessions
...
udp-assured-timeout
Данной командой включается функция отслеживания сессий уровня приложений для отдельных протоколовопределяется время жизни UDP-сессии в состоянии «соединение подтверждено», по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) отключает функцию отслеживания сессий уровня приложений для отдельных протоколов.
Синтаксис
ip firewall sessions tracking { <PROTOCOL> | sip [ port <OBJECT-GROUP-SERVICE> | session-lifetime <TIME> ] }
no ip firewall sessions tracking { <PROTOCOL> | sip [ port <OBJECT-GROUP-SERVICE> ] | all }
Параметры
<PROTOCOL> – протокол уровня приложений, сессии которого должны отслеживаться, принимает значения [ftp, h323, pptp, netbios-ns];
<OBJECT-GROUP-SERVICE> – имя профиля TCP/UDP-портов SIP-сессии, задаётся строкой до 31 символа. Если группа не указана, то отслеживание сессий SIP будет осуществляться для порта 5060;
Вместо имени отдельного протокола можно использовать ключ "all", который включает функцию отслеживания сессий уровня приложений для всех доступных протоколов.
устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions udp-assured-timeout <TIME>no ip firewall sessions udp-assured-timeoutПараметры
<TIME> – время жизни UDP-сессии в состоянии «соединение подтверждено», принимает значения <TIME> – время жизни отслеживаемой SIP-сессии, по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий. Принимает значения в секундах [1..8553600].
Значение по умолчанию
Отключено для всех протоколов180 секунд.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip firewall sessions tracking ftpudp-assured-timeout 3600 |
ip firewall sessions udp-
...
wait-timeout
Данной командой определяется время жизни UDP-сессии в состоянии «соединение не подтверждено», по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
...
ip firewall sessions udp-assuredwait-timeout <TIME>
no ip firewall sessions udp-assuredwait-timeout
Параметры
<TIME> – время жизни UDP-сессии в состоянии «соединение не подтверждено», принимает значения в секундах [1..8553600].
Значение по умолчанию
180 30 секунд.
Необходимый уровень привилегий
1510
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip firewall sessions udp-assuredwait-timeout 360060 |
ip firewall sessions
...
unknown
Данной командой настраивается фильтрация пакетов, для которых не удалось определить принадлежность к какому-либо известному соединению и которые не являются началом нового соединенияДанной командой определяется время жизни UDP-сессии в состоянии «соединение не подтверждено», по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчаниювключает отбрасывание всех неизвестных сессий.
Синтаксис
ip firewall sessions udp-wait-timeout <TIME>unknown <ACTION>
[no]no ip firewall sessions udp-wait-timeoutunknown
Параметры
...
<ACTION> – правило обработки неизвестных сессий для межсетевого экрана:
- permit – разрешить неизвестные сессии.
- deny – отбрасывать неизвестные сессии.
- reject – отбрасывать неизвестные сессии и отправлять обратно пакет с ошибкой.
Значение по умолчанию
30 секунд.reject
Необходимый уровень привилегий
1015
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip firewall sessions udp-wait-timeout 60unknown permit |
match application
Данной командой устанавливается профиль приложений, для которых должно срабатывать правило. Данная функция используется для фильтрации по приложениям (механизм DPI).
...