ZooMobile Posted August 19, 2015 · Report post Господа, столкнулся с проблемой, cisco asr1002 ISG создает лишние (фиктивные) сессии, тысячами!!! из-за чего память утекает привожу небольшой кусок ответа sh subscriber session #sh sss ses Codes: Lterm - Local Term, Fwd - forwarded, unauth - unathenticated, authen - authenticated, TC Ct. - Number of Traffic Classes on the main session Current Subscriber Information: Total sessions 2693 Uniq ID Interface State Service Up-time TC Ct. Identifier 4222 IP unauthen Lterm 00:39:35 0 10.124.129.145 125867 IP unauthen Lterm 00:00:31 0 10.183.243.251 2598 IP unauthen Lterm 00:37:10 0 10.229.93.24 25048 IP unauthen Lterm 00:24:26 0 10.82.52.8 1565 IP unauthen Lterm 00:22:35 0 10.63.55.19 984 IP unauthen Lterm 00:43:21 0 10.143.166.1 355 IP unauthen Lterm 00:36:35 0 10.192.254.131 918 IP unauthen Lterm 00:43:40 0 10.166.241.88 50386 IP unauthen Lterm 00:20:49 0 10.33.113.81 3249 IP unauthen Lterm 00:32:36 0 10.13.37.196 716 IP unauthen Lterm 00:38:27 0 10.216.149.202 579 IP unauthen Lterm 00:33:19 0 10.180.244.168 736 IP unauthen Lterm 00:29:58 0 10.239.129.99 29934 IP unauthen Lterm 00:21:39 0 10.51.11.12 1746 IP unauthen Lterm 00:34:09 0 10.243.138.254 5454 IP unauthen Lterm 00:26:09 0 10.4.235.115 2709 IP unauthen Lterm 00:40:51 0 10.89.61.189 3676 IP unauthen Lterm 00:37:10 0 10.248.244.246 12234 IP unauthen Lterm 00:22:53 0 10.92.6.71 5255 IP unauthen Lterm 00:37:58 0 10.212.214.50 3282 IP unauthen Lterm 00:40:44 0 10.60.35.195 12570 IP unauthen Lterm 00:26:35 0 10.115.147.189 все эти адреса фиктивные Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
infery Posted August 19, 2015 (edited) · Report post если это адреса не из вашего адресного пространства, то поможет активция uRPF на интерфейсах ip verify unicast source reachable-via any allow-self-ping Edited August 19, 2015 by infery Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ZooMobile Posted August 19, 2015 · Report post Да, это не наши адреса, спасибо, пробую Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ZooMobile Posted August 19, 2015 (edited) · Report post Спасибо, ДОБРЫЙ ЧЕЛОВЕК!! Перестало сыпаться! я счастлив, пользователи не ругаются. Хотелось бы выяснить откуда это взялось, ибо, присмотревшись к именам сессий становится ясно, что чутка проскакивает левых... но не значительно. Edited August 19, 2015 by ZooMobile Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
infery Posted August 19, 2015 (edited) · Report post Левые адреса точно не из вашего адресного пространства? На всех абонентских интерфейсах прописана команда? Дальше можно просто уточнить правила авторизации. Например так class-map type control match-any SUBSCRIBER-NETWORKS match source-ip-address 100.64.0.0 255.255.0.0 match source-ip-address 100.65.0.0 255.255.0.0 match source-ip-address 100.66.0.0 255.255.0.0 ! policy-map type control ISG-CUSTOMER-POLICY ! class type control SUBSCRIBER-NETWORKS event session-start .... Т.е. SUBSCRIBER-NETWORKS описывает src-ip, для которых требуется авторизация. Это можно делать во всех class type control. ISG будет авторизовывать только сессии из указанных диапазонов. Edited August 19, 2015 by infery Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tehmeh Posted August 20, 2015 · Report post Левые адреса точно не из вашего адресного пространства? На всех абонентских интерфейсах прописана команда? Дальше можно просто уточнить правила авторизации. Например так class-map type control match-any SUBSCRIBER-NETWORKS match source-ip-address 100.64.0.0 255.255.0.0 match source-ip-address 100.65.0.0 255.255.0.0 match source-ip-address 100.66.0.0 255.255.0.0 ! policy-map type control ISG-CUSTOMER-POLICY ! class type control SUBSCRIBER-NETWORKS event session-start .... Т.е. SUBSCRIBER-NETWORKS описывает src-ip, для которых требуется авторизация. Это можно делать во всех class type control. ISG будет авторизовывать только сессии из указанных диапазонов. Если у вас авторизация по DHCP Discover - такая схема вряд ли будет работать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted August 20, 2015 · Report post Используйте на доступе ipmb и на л3 urpf.. Спуферы у вас завелись Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...