Juniper 防火牆session擁堵案例解決

時間 2021-02-15

標籤 web centos tomcat 安全服務器 session 併發 socket ide .net 欄目系統安全简体版

原文原文鏈接

週一的時候一上班接到公司同事告知鏈接服務器巨慢。我打開防火牆查看日誌發現session數量佔據超過90%，可能過多的併發session形成了防火牆的擁堵。因而我看是查找問題根源來解決。web

首先我用圖形界面登陸防火牆發現不能使用命令行模式控制，因而我configure--update----save to file導出防火牆的配置發現
set interface ethernet0/2 manage web，而後加了一條語句：set interface ethernet0/2 manage telnet從新導入防火牆配置，如今能夠telnet防火牆隨心所欲了，哈哈。centos

進入防火牆就好辦了，因爲咱們的服務器網段是100.100開頭的，因而我tomcat

get session |　ｉ　100.100安全

發現100.100.0.44的服務器session最多，怎麼清除它（session）呢，因而我telnet 防火牆，運行命令服務器

clear session src-ip 100.100.0.44session

發現這臺服務器的併發session達到了9萬多，這還得了，我發現咱們的防火牆配置文件（剛纔導出的txt文檔）中併發

set ipsec access-session maximum 90000socket

這條語句告訴咱們的訪問session最大值，怪不得全部服務器會掛掉，防火牆的session已滿。因而我加大防火牆的安全訪問session最大值ide

set ipsec access-session maximum 540000,立刻咱們的防火牆負載降下來了。固然這只是權宜之計，要找出罪魁禍首纔是解決問題的根源所在。剛纔查出是0.44那臺服務器的問題，通過以上處理能夠登陸服務器了，通過netstat ps等命令的查看我發現是這臺服務器運行的tomcat有問題，關掉tomcat服務後發現一切正常了，找開發人員慢慢解決吧。.net

怎麼分析出罪魁禍首呢，有一款叫NSSA的軟件能夠分析session記錄，下載地址是http://performanceclassifieds.net/NSSA.zip。固然得導出session記錄，因而我在一臺服務器centos 6.5系統上安裝tftp服務，爲了多快好省我yum install -y tftp* , 注意配置文件是

vi /etc/xinetd.d/tftp
service tftp
{
        socket_type             = dgram
        protocol                = udp
        wait                    = yes
        user                    = root
        server                  = /usr/sbin/in.tftpd
        server_args             = -s /tftp -c #注意必須加-c這個參數，

建立的意思
        disable                 = no
        per_source              = 11
        cps                     = 100 2
        flags                   = IPv4

注意了這個-s就是源文件存放路徑。因而我在防火牆上運行命令

get session > tftp 100.100.0.45 20120821.nss,成功把session記錄導入到

45上，NSSA這個軟件是個壓縮文件解壓縮後找到nssa.exe就是主程序而後Load

20120821.nss文件點擊auto analyze就能夠查看到了。

總結一下，解決這個問題須要掌握的知識點：

1.juniper防火牆的設置命令

clear session src-ip 100.100.0.44

get session > tftp 100.100.0.45 20120821.nss

get session | 100.100.0.44

set ipsec access-session maximum 540000

2.安裝NSSA軟件。網址上面有。

三、在centos系統上安裝tftp服務