我有一台 Juniper Netscreen SSG-140。
在试验 VoIP 服务时,我定义了一个自定义策略,用于允许通过互联网连接的系统将可能正在使用的端口发送回 VoIP 服务器。由于我过去遇到过 VoIP 系统崩溃的问题,即当 UDP 会话过期速度快于生成保持活动的速度时,系统会崩溃,因此我将此自定义服务的超时设置为“永不”。
经过多次实验后,我偶然发现防火墙上的会话数量已经从几千个增加到 36000 多个。
经过与 VoIP“专家”讨论,我将超时时间设置为 30 分钟;然而,3 天多过去了,实验过程中设置的所有会话仍然存在。
有没有办法可以强制这些旧会话过期并从会话表中删除,或者我是否正在考虑重置防火墙?
(实际上,两个防火墙都位于一个集群中。)
答案1
您可以使用clear session命令。诀窍在于清除哪些会话。最简单的方法是clear session all,但这几乎与重置整个防火墙一样糟糕(除了用户可以立即重新建立连接,而不是等待防火墙恢复)。
查看命令的选项clear session。根据您的情况,您可能可以根据 、 等缩小要清除的会话src-ip范围dst-port。
您可以使用它get session来查看所有会话。由于这是一个非常大的列表,您可以get session > tftp x.x.x.x filename通过 TFTP 将会话表的副本复制到某个地方,然后进行离线排序。