ZooMobile Posted August 19, 2015 · Report post Господа, столкнулся с проблемой, cisco asr1002 ISG создает лишние (фиктивные) сессии, тысячами!!! из-за чего память утекает привожу небольшой кусок ответа sh subscriber session #sh sss ses Codes: Lterm - Local Term, Fwd - forwarded, unauth - unathenticated, authen - authenticated, TC Ct. - Number of Traffic Classes on the main session Current Subscriber Information: Total sessions 2693 Uniq ID Interface State Service Up-time TC Ct. Identifier 4222 IP unauthen Lterm 00:39:35 0 10.124.129.145 125867 IP unauthen Lterm 00:00:31 0 10.183.243.251 2598 IP unauthen Lterm 00:37:10 0 10.229.93.24 25048 IP unauthen Lterm 00:24:26 0 10.82.52.8 1565 IP unauthen Lterm 00:22:35 0 10.63.55.19 984 IP unauthen Lterm 00:43:21 0 10.143.166.1 355 IP unauthen Lterm 00:36:35 0 10.192.254.131 918 IP unauthen Lterm 00:43:40 0 10.166.241.88 50386 IP unauthen Lterm 00:20:49 0 10.33.113.81 3249 IP unauthen Lterm 00:32:36 0 10.13.37.196 716 IP unauthen Lterm 00:38:27 0 10.216.149.202 579 IP unauthen Lterm 00:33:19 0 10.180.244.168 736 IP unauthen Lterm 00:29:58 0 10.239.129.99 29934 IP unauthen Lterm 00:21:39 0 10.51.11.12 1746 IP unauthen Lterm 00:34:09 0 10.243.138.254 5454 IP unauthen Lterm 00:26:09 0 10.4.235.115 2709 IP unauthen Lterm 00:40:51 0 10.89.61.189 3676 IP unauthen Lterm 00:37:10 0 10.248.244.246 12234 IP unauthen Lterm 00:22:53 0 10.92.6.71 5255 IP unauthen Lterm 00:37:58 0 10.212.214.50 3282 IP unauthen Lterm 00:40:44 0 10.60.35.195 12570 IP unauthen Lterm 00:26:35 0 10.115.147.189 все эти адреса фиктивные Share this post Link to post Share on other sites
infery Posted August 19, 2015 (edited) · Report post если это адреса не из вашего адресного пространства, то поможет активция uRPF на интерфейсах ip verify unicast source reachable-via any allow-self-ping Edited August 19, 2015 by infery Share this post Link to post Share on other sites
ZooMobile Posted August 19, 2015 · Report post Да, это не наши адреса, спасибо, пробую Share this post Link to post Share on other sites
ZooMobile Posted August 19, 2015 (edited) · Report post Спасибо, ДОБРЫЙ ЧЕЛОВЕК!! Перестало сыпаться! я счастлив, пользователи не ругаются. Хотелось бы выяснить откуда это взялось, ибо, присмотревшись к именам сессий становится ясно, что чутка проскакивает левых... но не значительно. Edited August 19, 2015 by ZooMobile Share this post Link to post Share on other sites
infery Posted August 19, 2015 (edited) · Report post Левые адреса точно не из вашего адресного пространства? На всех абонентских интерфейсах прописана команда? Дальше можно просто уточнить правила авторизации. Например так class-map type control match-any SUBSCRIBER-NETWORKS match source-ip-address 100.64.0.0 255.255.0.0 match source-ip-address 100.65.0.0 255.255.0.0 match source-ip-address 100.66.0.0 255.255.0.0 ! policy-map type control ISG-CUSTOMER-POLICY ! class type control SUBSCRIBER-NETWORKS event session-start .... Т.е. SUBSCRIBER-NETWORKS описывает src-ip, для которых требуется авторизация. Это можно делать во всех class type control. ISG будет авторизовывать только сессии из указанных диапазонов. Edited August 19, 2015 by infery Share this post Link to post Share on other sites
tehmeh Posted August 20, 2015 · Report post Левые адреса точно не из вашего адресного пространства? На всех абонентских интерфейсах прописана команда? Дальше можно просто уточнить правила авторизации. Например так class-map type control match-any SUBSCRIBER-NETWORKS match source-ip-address 100.64.0.0 255.255.0.0 match source-ip-address 100.65.0.0 255.255.0.0 match source-ip-address 100.66.0.0 255.255.0.0 ! policy-map type control ISG-CUSTOMER-POLICY ! class type control SUBSCRIBER-NETWORKS event session-start .... Т.е. SUBSCRIBER-NETWORKS описывает src-ip, для которых требуется авторизация. Это можно делать во всех class type control. ISG будет авторизовывать только сессии из указанных диапазонов. Если у вас авторизация по DHCP Discover - такая схема вряд ли будет работать. Share this post Link to post Share on other sites
zhenya` Posted August 20, 2015 · Report post Используйте на доступе ipmb и на л3 urpf.. Спуферы у вас завелись Share this post Link to post Share on other sites
