ZooMobile Posted August 19, 2015 Господа, столкнулся с проблемой, cisco asr1002 ISG создает лишние (фиктивные) сессии, тысячами!!! из-за чего память утекает привожу небольшой кусок ответа sh subscriber session #sh sss ses Codes: Lterm - Local Term, Fwd - forwarded, unauth - unathenticated, authen - authenticated, TC Ct. - Number of Traffic Classes on the main session Current Subscriber Information: Total sessions 2693 Uniq ID Interface State Service Up-time TC Ct. Identifier 4222 IP unauthen Lterm 00:39:35 0 10.124.129.145 125867 IP unauthen Lterm 00:00:31 0 10.183.243.251 2598 IP unauthen Lterm 00:37:10 0 10.229.93.24 25048 IP unauthen Lterm 00:24:26 0 10.82.52.8 1565 IP unauthen Lterm 00:22:35 0 10.63.55.19 984 IP unauthen Lterm 00:43:21 0 10.143.166.1 355 IP unauthen Lterm 00:36:35 0 10.192.254.131 918 IP unauthen Lterm 00:43:40 0 10.166.241.88 50386 IP unauthen Lterm 00:20:49 0 10.33.113.81 3249 IP unauthen Lterm 00:32:36 0 10.13.37.196 716 IP unauthen Lterm 00:38:27 0 10.216.149.202 579 IP unauthen Lterm 00:33:19 0 10.180.244.168 736 IP unauthen Lterm 00:29:58 0 10.239.129.99 29934 IP unauthen Lterm 00:21:39 0 10.51.11.12 1746 IP unauthen Lterm 00:34:09 0 10.243.138.254 5454 IP unauthen Lterm 00:26:09 0 10.4.235.115 2709 IP unauthen Lterm 00:40:51 0 10.89.61.189 3676 IP unauthen Lterm 00:37:10 0 10.248.244.246 12234 IP unauthen Lterm 00:22:53 0 10.92.6.71 5255 IP unauthen Lterm 00:37:58 0 10.212.214.50 3282 IP unauthen Lterm 00:40:44 0 10.60.35.195 12570 IP unauthen Lterm 00:26:35 0 10.115.147.189 все эти адреса фиктивные Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
infery Posted August 19, 2015 (edited) если это адреса не из вашего адресного пространства, то поможет активция uRPF на интерфейсах ip verify unicast source reachable-via any allow-self-ping Edited August 19, 2015 by infery Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ZooMobile Posted August 19, 2015 Да, это не наши адреса, спасибо, пробую Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ZooMobile Posted August 19, 2015 (edited) Спасибо, ДОБРЫЙ ЧЕЛОВЕК!! Перестало сыпаться! я счастлив, пользователи не ругаются. Хотелось бы выяснить откуда это взялось, ибо, присмотревшись к именам сессий становится ясно, что чутка проскакивает левых... но не значительно. Edited August 19, 2015 by ZooMobile Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
infery Posted August 19, 2015 (edited) Левые адреса точно не из вашего адресного пространства? На всех абонентских интерфейсах прописана команда? Дальше можно просто уточнить правила авторизации. Например так class-map type control match-any SUBSCRIBER-NETWORKS match source-ip-address 100.64.0.0 255.255.0.0 match source-ip-address 100.65.0.0 255.255.0.0 match source-ip-address 100.66.0.0 255.255.0.0 ! policy-map type control ISG-CUSTOMER-POLICY ! class type control SUBSCRIBER-NETWORKS event session-start .... Т.е. SUBSCRIBER-NETWORKS описывает src-ip, для которых требуется авторизация. Это можно делать во всех class type control. ISG будет авторизовывать только сессии из указанных диапазонов. Edited August 19, 2015 by infery Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tehmeh Posted August 20, 2015 Левые адреса точно не из вашего адресного пространства? На всех абонентских интерфейсах прописана команда? Дальше можно просто уточнить правила авторизации. Например так class-map type control match-any SUBSCRIBER-NETWORKS match source-ip-address 100.64.0.0 255.255.0.0 match source-ip-address 100.65.0.0 255.255.0.0 match source-ip-address 100.66.0.0 255.255.0.0 ! policy-map type control ISG-CUSTOMER-POLICY ! class type control SUBSCRIBER-NETWORKS event session-start .... Т.е. SUBSCRIBER-NETWORKS описывает src-ip, для которых требуется авторизация. Это можно делать во всех class type control. ISG будет авторизовывать только сессии из указанных диапазонов. Если у вас авторизация по DHCP Discover - такая схема вряд ли будет работать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted August 20, 2015 Используйте на доступе ipmb и на л3 urpf.. Спуферы у вас завелись Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...