Juniper防火墙session会话数过高的解决方法
文章目錄
- 前言
- 一、會話數量急劇增加
- 二、會話數過量的解決辦法
- 1、防火墻NAT的子網掩碼過大
- 2、最重要的原因——上網行為管理的全網段的實時掃描
- 總結
- *希望這篇文章能夠對您有參考作用**!*
- *點個贊吧!!!*
前言
最近公司里新上了一臺深信服的上網行為管理,設備上架后公司的網絡狀況急轉直下,數據丟包率在3%左右,放在在云上的業務系統也因為網絡狀況老是掉線
提示:防火墻是一臺9年前的Juniper 140,設備比較老,但是性能各方面還不錯。
一、會話數量急劇增加
幾天前我登錄防火墻進行常規的檢查,發現防火墻的sesion哪一欄爆紅了。當時懷疑是中病毒了,于是用CRT登錄Juniper,檢查會話數。本來以為***get clern session*** 清除一下會話數就好了。結果草率了!不到兩分鐘會話數又滿了。
發現里面重復的出現了172.16.7.3(現在是看不到了,已經處理掉了),
這個IP是上網行為管理的地址,后來在上網行為管理里進行數據抓包 ,用的軟件連接https://www.liliuping.com/lee/36.html
NSSA不知道是哪個大神寫出來的可以自動對會話數進行排名使用方法和軟件下載都在這個連接里:https://www.liliuping.com/lee/36.html
會話數排名最高的是 172.16.7.3這個地址
二、會話數過量的解決辦法
1、防火墻NAT的子網掩碼過大
先找到發送掃描的地址 ,我檢查了防火墻的NAT發現7個VLAN 段就一條NAT 而且子網掩碼是255.255.0.0,直接改成一個VLAN 一個NAT。
2、最重要的原因——上網行為管理的全網段的實時掃描
深信服的上網行為管理在實時的進行全網段的掃描,他不是按照7個網段掃描而是172.16.0.0~172.16.255.254 一共多少個IP地址就不算了 ,導致會話數一下就滿了。不用說 果斷在上網行為管理上吧全網段掃描關閉,改成一個網段一個網段的掃描。
改完之后ping百度500個包丟包率為0%
問題解決 會話數恢復到正常
**
總結
**
1、運維工作復雜,如果經驗不足的話遇到這些事情是沒有什么頭緒的,最好的辦法就冷靜下來分析現象,同時也要增加自己的技能比如說抓包分析,交換路由要懂一點;
2、找排錯方向,比如這個例子中首先懷疑的是中病毒了,但是經過一段時間的論證并不是中毒,這個時候就需要迅速的改變思路,它是不是環路了,是不是路由寫錯了;總結就是不能一棵樹上吊死,及時的轉變方向,只有找對問題在哪才能更快的解決。
**
希望這篇文章能夠對您有參考作用*!*
點個贊吧!!!
**
總結
以上是生活随笔為你收集整理的Juniper防火墙session会话数过高的解决方法的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【thinkPhP】96PHPCN音乐电
- 下一篇: 卖萌