Anticisco http://www.anticisco.ru/forum/ |
|
Задачка про контроль за полуоткрытыми сессиями http://www.anticisco.ru/forum/viewtopic.php?f=3&t=37 |
Страница 1 из 1 |
Автор: | Fedia [ 24 дек 2008, 22:49 ] |
Заголовок сообщения: | Задачка про контроль за полуоткрытыми сессиями |
Пусть есть пограничный маршрутизатор с настроенным межсетевым экраном (ip inspect) Задача: сделать так, чтобы полуоткрытые (embryonic) TCP-сессии начинали удаляться при достижении общего порога в 1000 полуоткрытых сессий и одновременно 1-минутного (one-minute) порога в 1000 полуоткрытых сессий. Нижний порог (когда маршрутизатор должен перестать принудительно удалять полуоткрытые сессии) - 800 сессий Нужно написать несколько строчек конфига. Дерзайте! |
Автор: | platinum [ 29 дек 2008, 18:50 ] |
Заголовок сообщения: | Re: Задачка про контроль за полуоткрытыми сессиями |
ip inspect tcp max-incomplete low 800 ip inspect tcp max-incomplete high 1000 ip inspect one-minute low 800 ip inspect one-minute high 1000 Наверное так |
Автор: | Fedia [ 30 дек 2008, 18:58 ] |
Заголовок сообщения: | Re: Задачка про контроль за полуоткрытыми сессиями |
Привожу контр-пример: проходит 2 минуты, максимум достигает 1000, одноминутное кол-во едва домтигает 500 Но при этом удаление начнётся. А надо, чтобы удаление началось только при выполнении обоих критериев А то слишком просто, прям из конфиг-гайда |
Автор: | Motylek [ 15 сен 2009, 14:04 ] |
Заголовок сообщения: | Re: Задачка про контроль за полуоткрытыми сессиями |
ммм.. ну решение то будет? :) |
Автор: | Hando [ 15 сен 2009, 14:20 ] |
Заголовок сообщения: | Re: Задачка про контроль за полуоткрытыми сессиями |
ip inspect tcp synwait-time 60 соотв если за минуту не получает ack на наш syn/ack embryonic рвется |
Автор: | LAG [ 15 сен 2009, 15:10 ] |
Заголовок сообщения: | Re: Задачка про контроль за полуоткрытыми сессиями |
Но по умолчанию tcp synwait-time is 30 sec. Соотвественно не совсем понятно, как "проходит 2 минуты, максимум достигает 1000, одноминутное кол-во едва домтигает 500". |
Автор: | Hando [ 15 сен 2009, 15:15 ] |
Заголовок сообщения: | Re: Задачка про контроль за полуоткрытыми сессиями |
кстати да R2(config)#do sh run | s inspect ( вбил что хоть что то выводилось по sh ip inspect all ) ip inspect tcp max-incomplete host 30 block-time 0 R2(config)#do sh ip inspect all Session audit trail is disabled Session alert is enabled one-minute (sampling period) thresholds are [unlimited : unlimited] connections max-incomplete sessions thresholds are [unlimited : unlimited] max-incomplete tcp connections per host is 30. Block-time 0 minute. tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec <--- tcp idle-time is 3600 sec -- udp idle-time is 30 sec tcp reassembly queue length 16; timeout 5 sec; memory-limit 1024 kilo bytes dns-timeout is 5 sec R2(config)# |
Автор: | Fedia [ 15 сен 2009, 16:10 ] |
Заголовок сообщения: | Re: Задачка про контроль за полуоткрытыми сессиями |
ip inspect synwait-time 60 Тогда будет одновременно. |
Автор: | Hando [ 15 сен 2009, 16:17 ] |
Заголовок сообщения: | Re: Задачка про контроль за полуоткрытыми сессиями |
i won i won ;p |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |