取消
显示结果 
搜索替代 
您的意思是: 
cancel
5992
查看次数
16
有帮助
3
回复

问下ASA的SSLVPN的session和user的区别

Mansur
Spotlight
Spotlight
本帖最后由 maguanghua2013 于 2018-6-14 16:31 编辑
我们这是两台ASA 5525-X做failover主备。这个型号show version显示硬件支持的anyconnect peer最多是750
当我show vpn-sessiondb的时候看的信息如下:
ciscoasa/act# show vpn-sessiondb 
---------------------------------------------------------------------------
VPN Session Summary
---------------------------------------------------------------------------
Active : Cumulative : Peak Concur : Inactive
----------------------------------------------
AnyConnect Client : 525 : 79790 : 542 : 7
SSL/TLS/DTLS : 525 : 79790 : 542 : 7
Clientless VPN : 0 : 334 : 9
Browser : 0 : 334 : 9
---------------------------------------------------------------------------
Total Active and Inactive : 532 Total Cumulative : 80124
Device Total VPN Capacity : 750
Device Load : 71%
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Tunnels Summary
---------------------------------------------------------------------------
Active : Cumulative : Peak Concurrent
----------------------------------------------
Clientless : 0 : 418 : 9
AnyConnect-Parent : 532 : 79706 : 542
SSL-Tunnel : 509 : 330616 : 512
---------------------------------------------------------------------------
Totals : 1041 : 410740
---------------------------------------------------------------------------
ciscoasa/act#

这里显示的设备负载是532/750 = 71%,也就是说anyconnect peer是以session数量计算的。这个没疑问。
看输出能明白,这个532是包含活动会话525个和非活动会话7个。但是这几个数字应该都不是实际的在线用户数量。
在我 show vpn-sessiondb 的同时,我用snmp取得的两个值分别如下
oid:crasNumSessions
值:532
oid: crasNumUsers
值:450
这俩oid来自CISCO-REMOTE-ACCESS-MONITOR-MIB:
.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoRemoteAccessMonitorMIB.ciscoRasMonitorMIBObjects.crasActivity.crasNumSessions:
.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoRemoteAccessMonitorMIB.ciscoRasMonitorMIBObjects.crasActivity.crasNumUsers:


users数量是450,session数是532
所以问题来了,session数量和user数量有啥区别??session计数的依据是啥,为啥是用session作为VPN peer的限制,而不是用户数?
这个session看起来也不像是单个用户使用多台设备登录的并发,更不可能是单个用户通过VPN发起了多个TCP连接。。。想不明白。
另外,我们使用的是宁盾双因素认证作为radius服务器和审计服务器。在宁盾审计上,我们看到的当前在线用户数是200??
这个又跟通过snmp在ASA上获取的不一样,有什么说法吗?
3 条回复3

Rockyw
Spotlight
Spotlight
users应该指人类通过软件建立连接的用户数,而session除了包含人类通过软件建立连接之外还包括非人类通过其他方式建立的连接,例如某些后台进程或程序建立的连接。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !

Mansur
Spotlight
Spotlight
Rocky 发表于 2018-6-21 23:29
users应该指人类通过软件建立连接的用户数,而session除了包含人类通过软件建立连接之外还包括非人类通过其 ...

搜过思科官网,也没找到类似这个命令的相关的解释。。好像只能这么理解了

gang liu
Level 1
Level 1
user就是登录VPN的用户数,10个人共享1个用户名密码(如果系统不限制的话),user就是1。
session就是登录VPN的会话数,10个人共享1个用户名密码或者10个人用10个用户名密码,session都是10。
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接