命令拆解:che -tlooh 是什么?
这个命令的全称应该是 display session table [options],你输入的 che 是 display session table 的命令缩写(在华为防火墙上,很多长命令都有简写形式)。
-tlooh 是这个命令的一个参数组合,它由多个独立的参数组合而成,用来精确地筛选和显示你关心的会话信息,我们来把它拆解开:
-t: 代表table,这个参数用来指定查看会话表。-l: 代表layer,这个参数用来指定查看特定网络层(L2, L3, L4)的会话。-o: 代表order,这个参数用来指定会话列表的排序方式。-o: 第二个o同样代表order,但在这里是重复使用,用来指定第二个排序字段。-h: 代表hash,这个参数用来显示会话的哈希信息,这对于排查性能问题和哈希冲突非常有用。
che -tlooh 的完整含义是:
“以 layer 为第一排序字段,以 hash 值为第二排序字段,来显示会话表的信息。”
参数详解与使用示例
下面我们详细解释每个参数以及如何组合使用它们。
基本命令:che -t
不加任何参数时,che -t 会显示当前防火墙上所有的会话条目,信息量巨大,通常用于快速查看会话总数。
<HUAWEI> display session table -t
参数 -l (Layer - 网络层)
用于筛选特定网络层的会话,这对于诊断特定层次的问题非常高效。
-l l2: 显示二层(数据链路层)会话,通常是VLAN内或MAC地址相关的。-l l3: 显示三层(网络层)会话,通常是IP报文相关的,比如ICMP、GRE等。-l l4: 显示四层(传输层)会话,这是最常见的,比如TCP、UDP的会话。
示例:只查看所有TCP和UDP的四层会话
<HUAWEI> display session table -t -l l4
参数 -o (Order - 排序)
用于对会话列表进行排序,方便你找出流量最大、连接数最多的会话。
-o start-time: 按会话的开始时间排序。-o end-time: 按会话的结束时间排序。-o bytes: 按会话的字节数排序(流量大小)。-o packets: 按会话的包数量排序。-o idle-time: 按会话的空闲时间排序。
示例:按流量(字节数)从大到小查看所有会话
<HUAWEI> display session table -t -o bytes
参数 -h (Hash - 哈希)
这是一个高级参数,主要用于性能调优和故障排查,它会显示每个会话在会话表中的哈希值和哈希桶信息。
- 为什么需要哈希信息? 防火墙的会话表是一个大型数据结构,为了快速查找和更新会话,它使用哈希算法将五元组(源IP、源端口、目的IP、目的端口、协议)映射到一个哈希桶中,正常情况下,每个桶里的会话数量很少(理想情况是1个),如果某个桶里的会话数量非常多,就会形成“哈希冲突”,导致查找效率下降,影响防火墙性能。
示例:查看所有会话,并显示其哈希信息
<HUAWEI> display session table -t -h
输出结果中会增加 Hash 和 Bucket 字段,你可以通过分析这些字段来是否存在严重的哈希冲突。
che -tlooh 的实际应用场景
现在我们把 -l, -o, -o, -h 组合起来,看看 che -tlooh 这个强大命令的实际用途。
场景:排查网络慢,怀疑是某个应用占用了大量带宽
-
定位流量大户:我们想知道哪个会话占用的流量最大,我们可以按流量排序。
<HUAWEI> display session table -t -o bytes
假设我们发现一个源IP为
168.1.100,目的端口为443(HTTPS)的会话流量异常高。 -
精确定位:现在我们只想看这个特定IP的会话。
<HUAWEI> display session table -t source-ip 192.168.1.100
-
深入分析(使用
che -tlooh): 为了更深入地分析这个高流量会话是否存在性能瓶颈,我们可以使用che -tlooh。-l l4: 我们关心的是四层的TCP/UDP会话。-o bytes: 第一排序是流量,把最耗流的会话放在最前面。-o hash: 第二排序是哈希值,这会把流量相似的会话按哈希值分组,你可以一眼看出是否存在哈希冲突,如果多个高流量会话被分到了同一个哈希桶(Bucket值相同),那就可能存在性能问题。
最终命令:
<HUAWEI> display session table -t -l l4 -o bytes -o hash
通过这个命令的输出,网络管理员可以同时做到:
- 快速识别:哪个会话流量最大。
- 性能诊断:检查是否存在哈希冲突,判断防火墙的会话处理能力是否成为瓶颈。
相关常用命令
除了 che -tlooh,还有一些相关的命令也非常实用:
-
clear session table: 清空会话表,这通常用于在策略变更后强制刷新会话,或者快速终止所有会话。慎用!<HUAWEI> clear session table
-
reset connection: 强制终止指定的会话,这是更精确的操作。<HUAWEI> reset connection source-ip 192.168.1.100 destination-port 80
-
display session table verbose: 显示详细的会话信息,包括应用层信息(如URL、域名等,如果开启了ALG或IPS/IDS检测)。<HUAWEI> display session table -t verbose
| 参数 | 全称 | 作用 | 示例 |
|---|---|---|---|
-t |
table |
指定查看会话表 | che -t |
-l |
layer |
按网络层筛选 | -l l4 (只看四层会话) |
-o |
order |
指定排序字段 | -o bytes (按流量排序) |
-h |
hash |
显示哈希信息,用于性能分析 | -h |
che -tlooh 是一个将流量排序和哈希分析结合起来的高级命令,是华为防火墙管理员进行性能瓶颈排查和深度流量分析的利器,它帮助管理员不仅看到“谁在用流量”,还能分析“防火墙处理这些流量的效率如何”。
