Juniper防火墙session会话数过高的解决方法

最新推荐文章于 2024-03-21 09:00:24 发布
最新推荐文章于 2024-03-21 09:00:24 发布
阅读量4.4k 收藏 3
点赞数 1
分类专栏: 运维 文章标签: 网络 运维 ssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shdtc0/article/details/108845136
版权

文章目录

前言

最近公司里新上了一台深信服的上网行为管理,设备上架后公司的网络状况急转直下,数据丢包率在3%左右,放在在云上的业务系统也因为网络状况老是掉线

提示:防火墙是一台9年前的Juniper 140,设备比较老,但是性能各方面还不错。

一、会话数量急剧增加

几天前我登录防火墙进行常规的检查,发现防火墙的sesion哪一栏爆红了。当时怀疑是中病毒了,于是用CRT登录Juniper,检查会话数。本来以为***get clern session*** 清除一下会话数就好了。结果草率了!不到两分钟会话数又满了。

在这里插入图片描述
发现里面重复的出现了172.16.7.3(现在是看不到了,已经处理掉了),
这个IP是上网行为管理的地址,后来在上网行为管理里进行数据抓包 ,用的软件连接https://www.liliuping.com/lee/36.html
NSSA不知道是哪个大神写出来的可以自动对会话数进行排名使用方法和软件下载都在这个连接里:https://www.liliuping.com/lee/36.html
会话数排名最高的是 172.16.7.3这个地址
在这里插入图片描述

二、会话数过量的解决办法

1、防火墙NAT的子网掩码过大

先找到发送扫描的地址 ,我检查了防火墙的NAT发现7个VLAN 段就一条NAT 而且子网掩码是255.255.0.0,直接改成一个VLAN 一个NAT。

2、最重要的原因——上网行为管理的全网段的实时扫描

深信服的上网行为管理在实时的进行全网段的扫描,他不是按照7个网段扫描而是172.16.0.0~172.16.255.254 一共多少个IP地址就不算了 ,导致会话数一下就满了。不用说 果断在上网行为管理上吧全网段扫描关闭,改成一个网段一个网段的扫描。在这里插入图片描述
改完之后ping百度500个包丢包率为0%在这里插入图片描述
问题解决 会话数恢复到正常
在这里插入图片描述

**

总结

**
1、运维工作复杂,如果经验不足的话遇到这些事情是没有什么头绪的,最好的办法就冷静下来分析现象,同时也要增加自己的技能比如说抓包分析,交换路由要懂一点;
2、找排错方向,比如这个例子中首先怀疑的是中病毒了,但是经过一段时间的论证并不是中毒,这个时候就需要迅速的改变思路,它是不是环路了,是不是路由写错了;总结就是不能一棵树上吊死,及时的转变方向,只有找对问题在哪才能更快的解决。

**

希望这篇文章能够对您有参考作用*!*

点个赞吧!!!

**

不是三毛没有半
关注
专栏目录
配置防火墙要当心参数陷阱:会话
citangua9904的博客
01-15 609
配置防火墙有个重要的参数可支持并发的会话数,但是这个会话数很容易引起误解。。。。[@more@]以juniper ssg 520m 为例 http://www.juniper.net/cn/zh/products-service...
windows会话数过排查及解决方案--保姆级教程
最新发布
weixin_45362397的博客
10-08 373
因公司网络经常被拉爆,排查发现是某些ip话数几万条,所以在防火墙进行了每台电脑IP的会话数上限进行了控制。产生后续影响----->控制后会话数超过限制的无法上外网,
路由器连接数限制功能设置指导
04-26
路由器连接数限制功能设置指导
Juniper防火墙 session问题
weixin_34233856的博客
07-14 937
问题:session 100%日志报错:Session utilization has reached 43257, which is 90% of the system capacity!session 连接过解决方法:1、通过telnet 或 consol的方法登录到防火墙2、使用get session 查看总的session会话数,如果大于300 一般属于不正常情况...
Juniper防火墙SSG-140 session问题
Jian Sun_的博客
10-20 391
(5)通过clear session src-ip 192.168.0.234, 查看192.168.0.234的session的连接数。查看总的session会话数,如果大于300 一般属于不正常情况。(1)通过telnet 或 consol的方法登录到防火墙;(4)定位故障服务器地址为 192.168.0.234。查看192.168.段的session 连接情况。
拦截相同IP连接数过大的会话请求
weixin_34122604的博客
06-16 525
拦截相同IP连接数过大的会话请求系统环境:Centos 6.5 x64 为避免Linux主机遭受***,需要定时查看主机上的会话连接数。对于同一IP会话数过的,肯定判断为不正常。可以通过shell脚本定时把不正常的IP加入进防火墙中,来DROP掉它。[root@host ssh]#vi /etc/ssh/blockip#!/bin/bash#auto drop IP ...
防火墙会话机制
m0_73642707的博客
03-09 560
当一台主机访问服务器时,第一个数据报文到达防火墙后,防火墙会首先查看会话表。随后的数据报文在到达防火墙时,将不再查看策略表,而是直接查看会话表进行匹配,并据此进行转发。当返回的流量与会话表中的记录匹配时,防火墙将不再进行安全策略检查,从而提处理效率。这意味着防火墙不仅关注单个报文的内容,还会考虑报文所属的会话状态。在某些特殊情况下,如报文来回路径不一致的组网环境中,防火墙可能只会收到通信过程中的后续报文。在这种模式下,防火墙将能够通过后续报文建立会话,保证业务的正常进行。
如果有几千个Session,怎么提效率?
weixin_52222660的博客
06-16 308
Session 信息存储在持久化存储中,如数据库,文件系统或NoSQL存储中,这样可以避免将所有Session信息存储在内存中,从而减少内存的使用量。:设置合理的 Session 失效策略,例如根据用户活动时间,最大不活动时间等来决定 Session 的失效时间,可以减少无用的Session信息。:将 Session 信息从一台服务器复制到另一台服务器上,这样可以实现负载均衡,并将会话信息在多个服务器之间共享。
解决服务器session限制的方法
weixin_39833509的博客
06-26 4903
当服务器限制用户一次只能session, 使用下面 except AttributeError: getrecord().ncirecord() 共用之前的session: <requests.sessions.Session object at 0x7f25c1d38be0> <requests.sessions.Session object at 0x7f25c...
H3C防火墙会话详细说明
08-06
本文详细介绍了H3C防火墙会话建立转发过程。包括tcp/udp/icmp/rawip等。通过本资源,你会对防火墙有更深层次的理解。
介绍防火墙登录,组网,策略,会话和检测
sgg236的博客
03-21 1902
介绍防火墙登录,组网,安全策略,会话表和状态检测,以及部分操作。
Oracle 防止防火墙中断会话方法
wu_wu2009的专栏
05-17 787
SQLNET.EXPIRE_TIME(分钟)修改为比防火墙TCP连接时间短,数据库在该时间内自动连接客户端,需重启Listener Oracle技术博客 http://blog.csdn.net/inthirties/article/category/599446 Oracle Dave Oracle Roger Oracle Tom
单机session共享问题的解决
小诚信驿站
04-05 1573
在前台验证码使用servlet写的或者登录数据放入session中,但是当项目要发生产环境的话会产生该问题,原因是session只存在于单机如果多台服务器的话,在登录或者验证码等问题从session获取值时报错。 以下以验证码为例。 环境现场代码: 1、web.xml中配置                validateCode         com.msok.insure.
连接数过导致网络故障处理
weixin_34319999的博客
05-03 2230
前段时间,一连发现好几个用户的路由器里面的连接数过,我仔细查看了一下,发现有一个通用的问题   就是: 用户有连接很多LAN口的连接,都是指向内网IP有些甚至是255.255.255.255的目标地址,这样直接导致用户连接数过,无法正常访问其他的网络资源   我初步分析,有可能是以下几种情况,一种是病毒,另一种是内网软件通过P2p直接相连   不管三七二一,直接禁止内网互访,问题...
NAT session异常,路由器性能超限,造成图像预览失败
weixin_46370922的博客
07-24 2661
一、路由器上报性能超限 二、dis nat session all,发现 出现了192.168.32 地址段,而路由器并未做该段的静态nat,只对192.168.100段做了3个地址的静态nat,该地址是3个nvr的网卡2地址。 三、查看nat会话数 达到2000上线,找到原因了,192.168.32.段莫名其妙的nat会话造成性能超限。 四、运用acl功能 因为下级网络无法判断出了什么问题,只能针对192.168.32段的数据进行阻断,分别配置: acl number 3...
php单机session消失_Session 失效的原因汇总及解决丢失办法
weixin_39603505的博客
03-09 351
昨天去GTSC面试,有面试官问我关于Session丢失之后怎么查的问题,说老实话,开发到现在很少碰到这样的情况,唯一想到的就是Session超时,还有就是做Session读写日志,发觉面试官听了之后不是很满意,汗!不管怎么说,是个学习的好机会,今天抽空查了一下网上关于这些问题的处理方法,总结一下,希望对大家有所帮助。顺便提一下asp中Session的工作原理:asp的Session是具有进程依赖性...
路由器里的并发连接数与性能的关系
weixin_33812433的博客
09-02 5827
PS: 同学老家要买路由器,叫我帮他挑呢,顺便涨涨姿势吧 !路由器里的“连接数”主要是指并发连接数,它是路由器能够同时处理的点对点连接的数目。那么,连接究竟是一个什么概念呢?它的大小会对用户的日常使用产生什么影响呢? 要了解连接数,首先需要明白一个概念,那就是“会话”。这个“会话”可不是我们平时的谈话,但是可以用平时的谈话来理解,两个人在谈话时...
利用H3C Secpath防火墙限制TCP会话连接
weixin_34218890的博客
09-08 1437
在局域网内的某台PC感染病毒,它会发起大量的连接,迅速消耗路由器资源,导致路由器效率下降,影响其他用户使用。NAT限制最大连接数可以避免出现这种情况。通过连接数限制功能,可以设置某种特征的连接数上限,从而可以实现NAT限制最大连接数的功能。配置如下:# 创建ACL并配置规则,来匹配源IP地址为192.168.1.2/24的数据。system-view[Quidway] acl...
安全防御保护之防火墙(一)
Samons_的博客
03-17 643
防火墙也被称为防护墙,它是一种位于内部网络与外部网络之间的网络安全系统,可以将内部网络和外部网络隔离。在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害流量或数据包)的设备。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值