Netscreen SSG140で非アクティブなセッションを期限切れにするにはどうすればよいですか?
ジュニパーネットスクリーンSSG-140を持っています。
VoIPサービスを試しているときに、使用中の可能なポートをインターネット経由で接続しているシステムからVoIPサーバーに送り返すことを許可するために使用されるカスタムポリシーを定義しました。以前は、キープアライブが生成されるよりも早くUDPセッションが期限切れになると、VoIPシステムが壊れてしまうという問題があったため、このカスタムサービスのタイムアウトを「never」に設定しました。
多くの実験の後、ファイアウォールでのセッション数が数千から36000を超えることに気づきました。
VoIPの「専門家」と話し合った後、タイムアウトを30分に設定しました。ただし、実験プロセス中に設定されたすべてのセッションは、3日以上経ってもまだそこにあります。
これらの古いセッションを強制的に期限切れにしてセッションテーブルから削除する方法はありますか、それともファイアウォールのリセットを検討していますか?
(両方のファイアウォール、実際には-それらはクラスター内にあります。)
clear sessionコマンドを使用できます。秘訣は、どのセッションをクリアするかです。簡単な方法はclear session allですが、ファイアウォール全体をリセットするのとほぼ同じくらい悪いです(ただし、ユーザーはファイアウォールが復旧するのを待たずに、すぐに接続を再確立できます)。
clear sessionコマンドのオプションを確認してください。状況に応じて、src-ip、dst-portなどに基づいて、セッションを絞り込んでクリアすることができます。
get sessionを使用して、すべてのセッションを表示できます。これは非常に大きなリストであるため、get session > tftp x.x.x.x filenameを実行して、オフラインで並べ替えることができる場所にセッションテーブルのコピーをTFTPで転送できます。