Jump to content
Калькуляторы

Cisco ISG создает фиктивные сессии

Господа, столкнулся с проблемой, cisco asr1002 ISG создает лишние (фиктивные) сессии, тысячами!!! из-за чего память утекает

привожу небольшой кусок ответа sh subscriber session

 

#sh sss ses
Codes: Lterm - Local Term, Fwd - forwarded, unauth - unathenticated, authen -
authenticated, TC Ct. - Number of Traffic Classes on the main session

Current Subscriber Information: Total sessions 2693
Uniq ID Interface    State    Service     Up-time  TC Ct. Identifier
4222    IP           unauthen Lterm       00:39:35 0      10.124.129.145
125867  IP           unauthen Lterm       00:00:31 0      10.183.243.251
2598    IP           unauthen Lterm       00:37:10 0      10.229.93.24
25048   IP           unauthen Lterm       00:24:26 0      10.82.52.8
1565    IP           unauthen Lterm       00:22:35 0      10.63.55.19
984     IP           unauthen Lterm       00:43:21 0      10.143.166.1
355     IP           unauthen Lterm       00:36:35 0      10.192.254.131
918     IP           unauthen Lterm       00:43:40 0      10.166.241.88
50386   IP           unauthen Lterm       00:20:49 0      10.33.113.81
3249    IP           unauthen Lterm       00:32:36 0      10.13.37.196
716     IP           unauthen Lterm       00:38:27 0      10.216.149.202
579     IP           unauthen Lterm       00:33:19 0      10.180.244.168
736     IP           unauthen Lterm       00:29:58 0      10.239.129.99
29934   IP           unauthen Lterm       00:21:39 0      10.51.11.12
1746    IP           unauthen Lterm       00:34:09 0      10.243.138.254
5454    IP           unauthen Lterm       00:26:09 0      10.4.235.115
2709    IP           unauthen Lterm       00:40:51 0      10.89.61.189
3676    IP           unauthen Lterm       00:37:10 0      10.248.244.246
12234   IP           unauthen Lterm       00:22:53 0      10.92.6.71
5255    IP           unauthen Lterm       00:37:58 0      10.212.214.50
3282    IP           unauthen Lterm       00:40:44 0      10.60.35.195
12570   IP           unauthen Lterm       00:26:35 0      10.115.147.189

все эти адреса фиктивные

Share this post


Link to post
Share on other sites

если это адреса не из вашего адресного пространства, то поможет активция uRPF на интерфейсах

ip verify unicast source reachable-via any allow-self-ping

Edited by infery

Share this post


Link to post
Share on other sites

Спасибо, ДОБРЫЙ ЧЕЛОВЕК!!

Перестало сыпаться! я счастлив, пользователи не ругаются.

Хотелось бы выяснить откуда это взялось, ибо, присмотревшись к именам сессий становится ясно, что чутка проскакивает левых... но не значительно.

Edited by ZooMobile

Share this post


Link to post
Share on other sites

Левые адреса точно не из вашего адресного пространства? На всех абонентских интерфейсах прописана команда?

Дальше можно просто уточнить правила авторизации. Например так

 

class-map type control match-any SUBSCRIBER-NETWORKS
match source-ip-address 100.64.0.0 255.255.0.0 
match source-ip-address 100.65.0.0 255.255.0.0 
match source-ip-address 100.66.0.0 255.255.0.0 
!
policy-map type control ISG-CUSTOMER-POLICY
!
class type control SUBSCRIBER-NETWORKS event session-start
  ....

 

Т.е. SUBSCRIBER-NETWORKS описывает src-ip, для которых требуется авторизация. Это можно делать во всех class type control.

ISG будет авторизовывать только сессии из указанных диапазонов.

Edited by infery

Share this post


Link to post
Share on other sites

Левые адреса точно не из вашего адресного пространства? На всех абонентских интерфейсах прописана команда?

Дальше можно просто уточнить правила авторизации. Например так

 

class-map type control match-any SUBSCRIBER-NETWORKS
match source-ip-address 100.64.0.0 255.255.0.0 
match source-ip-address 100.65.0.0 255.255.0.0 
match source-ip-address 100.66.0.0 255.255.0.0 
!
policy-map type control ISG-CUSTOMER-POLICY
!
class type control SUBSCRIBER-NETWORKS event session-start
  ....

 

Т.е. SUBSCRIBER-NETWORKS описывает src-ip, для которых требуется авторизация. Это можно делать во всех class type control.

ISG будет авторизовывать только сессии из указанных диапазонов.

 

Если у вас авторизация по DHCP Discover - такая схема вряд ли будет работать.

Share this post


Link to post
Share on other sites

Используйте на доступе ipmb и на л3 urpf.. Спуферы у вас завелись

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this