Перейти к содержимому
Калькуляторы

Cisco ISG создает фиктивные сессии

Ответить

ZooMobile   

ZooMobile
Опубликовано · Жалоба

Господа, столкнулся с проблемой, cisco asr1002 ISG создает лишние (фиктивные) сессии, тысячами!!! из-за чего память утекает

привожу небольшой кусок ответа sh subscriber session

 

#sh sss ses
Codes: Lterm - Local Term, Fwd - forwarded, unauth - unathenticated, authen -
authenticated, TC Ct. - Number of Traffic Classes on the main session

Current Subscriber Information: Total sessions 2693
Uniq ID Interface    State    Service     Up-time  TC Ct. Identifier
4222    IP           unauthen Lterm       00:39:35 0      10.124.129.145
125867  IP           unauthen Lterm       00:00:31 0      10.183.243.251
2598    IP           unauthen Lterm       00:37:10 0      10.229.93.24
25048   IP           unauthen Lterm       00:24:26 0      10.82.52.8
1565    IP           unauthen Lterm       00:22:35 0      10.63.55.19
984     IP           unauthen Lterm       00:43:21 0      10.143.166.1
355     IP           unauthen Lterm       00:36:35 0      10.192.254.131
918     IP           unauthen Lterm       00:43:40 0      10.166.241.88
50386   IP           unauthen Lterm       00:20:49 0      10.33.113.81
3249    IP           unauthen Lterm       00:32:36 0      10.13.37.196
716     IP           unauthen Lterm       00:38:27 0      10.216.149.202
579     IP           unauthen Lterm       00:33:19 0      10.180.244.168
736     IP           unauthen Lterm       00:29:58 0      10.239.129.99
29934   IP           unauthen Lterm       00:21:39 0      10.51.11.12
1746    IP           unauthen Lterm       00:34:09 0      10.243.138.254
5454    IP           unauthen Lterm       00:26:09 0      10.4.235.115
2709    IP           unauthen Lterm       00:40:51 0      10.89.61.189
3676    IP           unauthen Lterm       00:37:10 0      10.248.244.246
12234   IP           unauthen Lterm       00:22:53 0      10.92.6.71
5255    IP           unauthen Lterm       00:37:58 0      10.212.214.50
3282    IP           unauthen Lterm       00:40:44 0      10.60.35.195
12570   IP           unauthen Lterm       00:26:35 0      10.115.147.189

все эти адреса фиктивные

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

infery   

infery
Опубликовано (изменено) · Жалоба

если это адреса не из вашего адресного пространства, то поможет активция uRPF на интерфейсах

ip verify unicast source reachable-via any allow-self-ping

Изменено пользователем infery

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

ZooMobile   

ZooMobile
Опубликовано (изменено) · Жалоба

Спасибо, ДОБРЫЙ ЧЕЛОВЕК!!

Перестало сыпаться! я счастлив, пользователи не ругаются.

Хотелось бы выяснить откуда это взялось, ибо, присмотревшись к именам сессий становится ясно, что чутка проскакивает левых... но не значительно.

Изменено пользователем ZooMobile

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

infery   

infery
Опубликовано (изменено) · Жалоба

Левые адреса точно не из вашего адресного пространства? На всех абонентских интерфейсах прописана команда?

Дальше можно просто уточнить правила авторизации. Например так

 

class-map type control match-any SUBSCRIBER-NETWORKS
match source-ip-address 100.64.0.0 255.255.0.0 
match source-ip-address 100.65.0.0 255.255.0.0 
match source-ip-address 100.66.0.0 255.255.0.0 
!
policy-map type control ISG-CUSTOMER-POLICY
!
class type control SUBSCRIBER-NETWORKS event session-start
  ....

 

Т.е. SUBSCRIBER-NETWORKS описывает src-ip, для которых требуется авторизация. Это можно делать во всех class type control.

ISG будет авторизовывать только сессии из указанных диапазонов.

Изменено пользователем infery

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

tehmeh   

tehmeh
Опубликовано · Жалоба

Левые адреса точно не из вашего адресного пространства? На всех абонентских интерфейсах прописана команда?

Дальше можно просто уточнить правила авторизации. Например так

 

class-map type control match-any SUBSCRIBER-NETWORKS
match source-ip-address 100.64.0.0 255.255.0.0 
match source-ip-address 100.65.0.0 255.255.0.0 
match source-ip-address 100.66.0.0 255.255.0.0 
!
policy-map type control ISG-CUSTOMER-POLICY
!
class type control SUBSCRIBER-NETWORKS event session-start
  ....

 

Т.е. SUBSCRIBER-NETWORKS описывает src-ip, для которых требуется авторизация. Это можно делать во всех class type control.

ISG будет авторизовывать только сессии из указанных диапазонов.

 

Если у вас авторизация по DHCP Discover - такая схема вряд ли будет работать.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

zhenya`   

zhenya`
Опубликовано · Жалоба

Используйте на доступе ipmb и на л3 urpf.. Спуферы у вас завелись

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Активное оборудование Ethernet, IP, MPLS, SDN/NFV...