ZooMobile Опубликовано 19 августа, 2015 · Жалоба Господа, столкнулся с проблемой, cisco asr1002 ISG создает лишние (фиктивные) сессии, тысячами!!! из-за чего память утекает привожу небольшой кусок ответа sh subscriber session #sh sss ses Codes: Lterm - Local Term, Fwd - forwarded, unauth - unathenticated, authen - authenticated, TC Ct. - Number of Traffic Classes on the main session Current Subscriber Information: Total sessions 2693 Uniq ID Interface State Service Up-time TC Ct. Identifier 4222 IP unauthen Lterm 00:39:35 0 10.124.129.145 125867 IP unauthen Lterm 00:00:31 0 10.183.243.251 2598 IP unauthen Lterm 00:37:10 0 10.229.93.24 25048 IP unauthen Lterm 00:24:26 0 10.82.52.8 1565 IP unauthen Lterm 00:22:35 0 10.63.55.19 984 IP unauthen Lterm 00:43:21 0 10.143.166.1 355 IP unauthen Lterm 00:36:35 0 10.192.254.131 918 IP unauthen Lterm 00:43:40 0 10.166.241.88 50386 IP unauthen Lterm 00:20:49 0 10.33.113.81 3249 IP unauthen Lterm 00:32:36 0 10.13.37.196 716 IP unauthen Lterm 00:38:27 0 10.216.149.202 579 IP unauthen Lterm 00:33:19 0 10.180.244.168 736 IP unauthen Lterm 00:29:58 0 10.239.129.99 29934 IP unauthen Lterm 00:21:39 0 10.51.11.12 1746 IP unauthen Lterm 00:34:09 0 10.243.138.254 5454 IP unauthen Lterm 00:26:09 0 10.4.235.115 2709 IP unauthen Lterm 00:40:51 0 10.89.61.189 3676 IP unauthen Lterm 00:37:10 0 10.248.244.246 12234 IP unauthen Lterm 00:22:53 0 10.92.6.71 5255 IP unauthen Lterm 00:37:58 0 10.212.214.50 3282 IP unauthen Lterm 00:40:44 0 10.60.35.195 12570 IP unauthen Lterm 00:26:35 0 10.115.147.189 все эти адреса фиктивные Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
infery Опубликовано 19 августа, 2015 (изменено) · Жалоба если это адреса не из вашего адресного пространства, то поможет активция uRPF на интерфейсах ip verify unicast source reachable-via any allow-self-ping Изменено 19 августа, 2015 пользователем infery Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ZooMobile Опубликовано 19 августа, 2015 · Жалоба Да, это не наши адреса, спасибо, пробую Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ZooMobile Опубликовано 19 августа, 2015 (изменено) · Жалоба Спасибо, ДОБРЫЙ ЧЕЛОВЕК!! Перестало сыпаться! я счастлив, пользователи не ругаются. Хотелось бы выяснить откуда это взялось, ибо, присмотревшись к именам сессий становится ясно, что чутка проскакивает левых... но не значительно. Изменено 19 августа, 2015 пользователем ZooMobile Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
infery Опубликовано 19 августа, 2015 (изменено) · Жалоба Левые адреса точно не из вашего адресного пространства? На всех абонентских интерфейсах прописана команда? Дальше можно просто уточнить правила авторизации. Например так class-map type control match-any SUBSCRIBER-NETWORKS match source-ip-address 100.64.0.0 255.255.0.0 match source-ip-address 100.65.0.0 255.255.0.0 match source-ip-address 100.66.0.0 255.255.0.0 ! policy-map type control ISG-CUSTOMER-POLICY ! class type control SUBSCRIBER-NETWORKS event session-start .... Т.е. SUBSCRIBER-NETWORKS описывает src-ip, для которых требуется авторизация. Это можно делать во всех class type control. ISG будет авторизовывать только сессии из указанных диапазонов. Изменено 19 августа, 2015 пользователем infery Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehmeh Опубликовано 20 августа, 2015 · Жалоба Левые адреса точно не из вашего адресного пространства? На всех абонентских интерфейсах прописана команда? Дальше можно просто уточнить правила авторизации. Например так class-map type control match-any SUBSCRIBER-NETWORKS match source-ip-address 100.64.0.0 255.255.0.0 match source-ip-address 100.65.0.0 255.255.0.0 match source-ip-address 100.66.0.0 255.255.0.0 ! policy-map type control ISG-CUSTOMER-POLICY ! class type control SUBSCRIBER-NETWORKS event session-start .... Т.е. SUBSCRIBER-NETWORKS описывает src-ip, для которых требуется авторизация. Это можно делать во всех class type control. ISG будет авторизовывать только сессии из указанных диапазонов. Если у вас авторизация по DHCP Discover - такая схема вряд ли будет работать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 20 августа, 2015 · Жалоба Используйте на доступе ipmb и на л3 urpf.. Спуферы у вас завелись Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...