URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 447
[ Назад ]

Исходное сообщение
"Помогите разобраться с CBAC"
Отправлено gintonic , 15-Янв-13 12:25

Всем привет.
Есть сеть. На фронтенде стоит ISR 3825 (C3825-ADVIPSERVICESK9-M), Version 12.4(23), RELEASE SOFTWARE (fc1). На ней настроен CBAC. ACL большие приводить не буду.
Настройки ip inspect такие:
router#sh ip inspect conf
Session audit trail is disabled
Session alert is enabled
one-minute (sampling period) thresholds are [4000 : 5000] connections
max-incomplete sessions thresholds are [4000 : 5000]
max-incomplete tcp connections per host is 500. Block-time 1 minute.
tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec
tcp idle-time is 1800 sec -- udp idle-time is 30 sec
dns-timeout is 20 sec
Inspection Rule Configuration
Inspection name Standart
    tcp alert is on audit-trail is off timeout 1800
    icmp alert is on audit-trail is off timeout 10
    udp alert is on audit-trail is off timeout 30
Inspection name DMZ
    tcp alert is on audit-trail is off timeout 1800
    udp alert is on audit-trail is off timeout 30
    icmp alert is on audit-trail is off timeout 10
----
router#sh ip inspect statistics
Packet inspection statistics [process switch:fast switch]
  tcp packets: [196648142:3737246967]
  udp packets: [2995756:959738358]
   packets: [345046:155409]
Interfaces configured for inspection 3
Session creations since subsystem startup or last reset 167687253
Current session counts (estab/half-open/terminating) [2173:30:1]
Maxever session counts (estab/half-open/terminating) [6513:523:244]
Last session created 00:00:00
Last statistic reset 20w3d
Last session creation rate 1996
Maxever session creation rate 13272
Last half-open session total 30
----
Меня пугает несоответствие half-open = 30 и Last session creation rate 1996
Если уменьшаю значения max-incomplete sessions, то роутер начинает дропить коннекты.
Почему такая большая скорость создание новых сессий при небольшом количестве полуоткрытых?
Это прочитал http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5708/ps...
ответа не нашёл, только ещё больше вопросов...

Содержание

Помогите разобраться с CBAC,fantom, 12:35 , 15-Янв-13
- Помогите разобраться с CBAC,gintonic, 12:42 , 15-Янв-13

Сообщения в этом обсуждении

"Помогите разобраться с CBAC"
Отправлено fantom , 15-Янв-13 12:35

>[оверквотинг удален]
> Last statistic reset 20w3d
> Last session creation rate 1996
> Maxever session creation rate 13272
> Last half-open session total 30
> ----
> Меня пугает несоответствие half-open = 30 и Last session creation rate 1996
> Если уменьшаю значения max-incomplete sessions, то роутер начинает дропить коннекты.
> Почему такая большая скорость создание новых сессий при небольшом количестве полуоткрытых?
> Это прочитал http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5708/ps...
> ответа не нашёл, только ещё больше вопросов...
ну так у вас 2173 estab....

"Помогите разобраться с CBAC"
Отправлено gintonic , 15-Янв-13 12:42

>> Это прочитал http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5708/ps...
>> ответа не нашёл, только ещё больше вопросов...
> ну так у вас 2173 estab....
Ну бывает и так:
router#sh ip inspect statistics
Packet inspection statistics [process switch:fast switch]
  tcp packets: [196701402:3743635653]
  udp packets: [2995860:959864998]
   packets: [345056:155425]
Interfaces configured for inspection 3
Session creations since subsystem startup or last reset 167736504
Current session counts (estab/half-open/terminating) [1971:10:4]
Maxever session counts (estab/half-open/terminating) [6513:523:244]
Last session created 00:00:00
Last statistic reset 20w3d
Last session creation rate 2204
Maxever session creation rate 13272
Last half-open session total 10
Если настраивать по приведённой выше инструкции, то max-incomplete должен быть гораздо меньше установленных значений, но при этом начинают дропиться новые подключения. Это как?
Как отмониторить к какому IP идут эти "Last session creation rate 2204" ???