Juniper 防火墙session拥堵案例解决
周一的时候一上班接到公司同事告知连接服务器巨慢。我打开防火墙查看日志发现session数量占据超过90%,可能过多的并发session造成了防火墙的拥堵。于是我看是查找问题根源来解决。
首先我用图形界面登录防火墙发现不能使用命令行模式控制,于是我configure--update----save to file导出防火墙的配置发现
set interface ethernet0/2 manage web,然后加了一条语句:set interface ethernet0/2 manage telnet重新导入防火墙配置,现在可以telnet防火墙为所欲为了,哈哈。
进入防火墙就好办了,由于我们的服务器网段是100.100开头的,于是我
get session | i 100.100
发现100.100.0.44的服务器session最多,怎么清除它(session)呢,于是我telnet 防火墙,运行命令
clear session src-ip 100.100.0.44
发现这台服务器的并发session达到了9万多,这还得了,我发现我们的防火墙配置文件(刚才导出的txt文档)中
set ipsec access-session maximum 90000
这条语句告诉我们的访问session最大值,怪不得所有服务器会挂掉,防火墙的session已满。于是我加大防火墙的安全访问session最大值
set ipsec access-session maximum 540000,马上我们的防火墙负载降下来了。当然这只是权宜之计,要找出罪魁祸首才是解决问题的根源所在。刚才查出是0.44那台服务器的问题,经过以上处理可以登录服务器了,经过netstat ps等命令的查看我发现是这台服务器运行的tomcat有问题,关掉tomcat服务后发现一切正常了,找开发人员慢慢解决吧。
怎么分析出罪魁祸首呢,有一款叫NSSA的软件可以分析session记录,下载地址是http://performanceclassifieds.net/NSSA.zip。当然得导出session记录,于是我在一台服务器centos 6.5系统上安装tftp服务,为了多快好省我yum install -y tftp* , 注意配置文件是
vi /etc/xinetd.d/tftp
service tftp
{
socket_type = dgram
protocol = udp
wait = yes
user = root
server = /usr/sbin/in.tftpd
server_args = -s /tftp -c #注意必须加-c这个参数,
创建的意思
disable = no
per_source = 11
cps = 100 2
flags = IPv4
注意了这个-s就是源文件存放路径。于是我在防火墙上运行命令
get session > tftp 100.100.0.45 20120821.nss,成功把session记录导入到
45上,NSSA这个软件是个压缩文件解压缩后找到nssa.exe就是主程序然后Load
20120821.nss文件点击auto analyze就可以查看到了。
总结一下,解决这个问题需要掌握的知识点:
1.juniper防火墙的设置命令
clear session src-ip 100.100.0.44
get session > tftp 100.100.0.45 20120821.nss
get session | 100.100.0.44
set ipsec access-session maximum 540000
2.安装NSSA软件。网址上面有。
3、在centos系统上安装tftp服务
yum -y install tftp*
vi /etc/xinetd.d/tftp
disable = no (把yes改为no)
server_args = -s /tftp -c
service xinetd restart
注意tftp用的是udp 69端口在监听。
4.注意你的硬件防火墙最大的安全session并发是多少,不要超过,否则防火墙很可能会挂掉。
转载于:https://blog.51cto.com/dadloveu/968040
Juniper 防火墙session拥堵案例解决相关推荐
- Juniper防火墙session会话数过高的解决方法
文章目录 前言 一.会话数量急剧增加 二.会话数过量的解决办法 1.防火墙NAT的子网掩码过大 2.最重要的原因--上网行为管理的全网段的实时扫描 总结 *希望这篇文章能够对您有参考作用**!* *点 ...
- 170222、使用Spring Session和Redis解决分布式Session跨域共享问题
使用Spring Session和Redis解决分布式Session跨域共享问题 原创 2017-02-27 徐刘根 Java后端技术 前言 对于分布式使用Nginx+Tomcat实现负载均衡,最常用 ...
- Juniper 防火墙的MIP/VIP/DIP
Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:MIP.VIP和DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务. MIP MIP是"一对一" ...
- Juniper防火墙丢失ScreenOS的灾难恢复
Juniper的防火墙是一台硬件防火墙,有硬件系统也有软件系统也就是ScreenOS,硬件会出故障软件自然也会出故障,在实际使用中我就碰到过多次Juniper防火墙ScreenOS丢失的情况,大多数情 ...
- iis php session丢失,Session丢失的解决办法小结
原标题:Session丢失的解决办法小结 对于ASP.PHP网站且使用我司虚拟主机的用户,如果超时太短,可提交工单申请更换应用程序池(该应用程序池设置为只按时间回收,回收时间30分钟). 如果更换程序 ...
- Juniper防火墙命令行查错工具snoop的使用
Juniper防火墙命令行查错工具snoop的使用 摘要:Snoop 是Juniper防火墙另外一个有效的查错工具,它和debug flow basic的区别是: snoop类似于在防火墙的接口上抓包 ...
- php session不生效_php验证session无效的解决方法
本文实例讲述了php验证session无效的解决方法.分享给大家供大家参考.具体方法如下: 一.问题 今天在配置 apache+php环境时折腾了很久很久,后来成功了但发现验证码图片可以生成,在登录验 ...
- Juniper防火墙备份与恢复处理方法
为防止Juniper防火墙设备故障情况下造成网络中断,保障用户业务不间断运行,现针对Juniper防火墙故障情况下的快速恢复做具体描述. 一.设备重启动:Juniper防火墙在工作期间出现运行异常 ...
- Juniper防火墙新手教程8:Juniper防火墙配置的导入及导出
Juniper防火墙的配置文件可以通过多种方法导入导出,以便在防火墙出现故障时进行紧急恢复,因此维护防火墙要养成经常备份配置文件的好习惯.下面看看Juniper防火墙对配置文件可以做的一些操作. 使用 ...
最新文章
- python画动态爱心-【Python】五分钟画一条动态心形曲线~
- 一个基于 Spring Boot 的项目骨架,拿走即用
- 从web移动端布局到react native布局
- java批量提取文件夹名称_bat 批量提取指定目录下的文件名
- Cesium:各种坐标转换
- Flutter BuildOwner之dirty elements简析
- 智能寻迹(循迹)小车项目思路 + 代码
- 物体检测学习笔记-3D相机成像原理简介
- 分布式服务框架 HSF
- hikaricp mysql_HikariCP 个人实例
- 『危机领导力』告诉我们如何带好团队
- 用excel绘制统计图表(清风建模学习笔记)
- 研究了1天的ckfinder记录
- 苹果最早明年在Apple Watch中引入microLED显示屏
- 惠普g7服务器硬盘阵列,HP DL388 G7 服务器重新做RAID
- Innovus——数据准备和验证
- 随手记录系列-伯克森悖论-李永乐谈学习-辛普森悖论
- 全志h3通用固件_全志h3详细刷机教程
- MLP多层感知器+BP算法原理及实战
- 【vue】npm引进 QRCode 二维码生成器
热门文章
- 通俗易懂的生产环境Web应用架构介绍
- RxSwift PriorityQueue 优先级队列的实现
- jQuery常用工具方法
- Android 5.0+(RecycleView、CardView、Palette)
- 如何使用利用LaTeX制作个人简历
- Android Developers:使ListView滑动流畅
- .iOS APP Project or Mac APP Project编译错误提示: My Mac 64-bit is not valid for Running the scheme...
- Linux kill 多余用户终端
- submin 安装攻略
- Linux 命令(130)—— userdel 命令