请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 134|回复: 0

问下ASA的SSLVPN的session和user的区别

[复制链接]
发表于 7 天前 | 显示全部楼层 |阅读模式
0可用金钱
本帖最后由 maguanghua2013 于 2018-6-14 16:31 编辑

我们这是两台ASA 5525-X做failover主备。这个型号show version显示硬件支持的anyconnect peer最多是750

当我show vpn-sessiondb的时候看的信息如下:

  1. ciscoasa/act# show vpn-sessiondb
  2. ---------------------------------------------------------------------------
  3. VPN Session Summary                                                        
  4. ---------------------------------------------------------------------------
  5.                                Active : Cumulative : Peak Concur : Inactive
  6.                              ----------------------------------------------
  7. AnyConnect Client            :    525 :      79790 :         542 :        7
  8.   SSL/TLS/DTLS               :    525 :      79790 :         542 :        7
  9. Clientless VPN               :      0 :        334 :           9
  10.   Browser                    :      0 :        334 :           9
  11. ---------------------------------------------------------------------------
  12. Total Active and Inactive    :    532             Total Cumulative :  80124
  13. Device Total VPN Capacity    :    750
  14. Device Load                  :    71%
  15. ---------------------------------------------------------------------------

  16. ---------------------------------------------------------------------------
  17. Tunnels Summary
  18. ---------------------------------------------------------------------------
  19.                                Active : Cumulative : Peak Concurrent   
  20.                              ----------------------------------------------
  21. Clientless                   :      0 :        418 :               9
  22. AnyConnect-Parent            :    532 :      79706 :             542
  23. SSL-Tunnel                   :    509 :     330616 :             512
  24. ---------------------------------------------------------------------------
  25. Totals                       :   1041 :     410740
  26. ---------------------------------------------------------------------------

  27. ciscoasa/act#
复制代码


这里显示的设备负载是532/750 = 71%,也就是说anyconnect peer是以session数量计算的。这个没疑问。

看输出能明白,这个532是包含活动会话525个和非活动会话7个。但是这几个数字应该都不是实际的在线用户数量。

在我 show vpn-sessiondb 的同时,我用snmp取得的两个值分别如下
oid:crasNumSessions
值:532

oid: crasNumUsers
值:450
这俩oid来自CISCO-REMOTE-ACCESS-MONITOR-MIB:

.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoRemoteAccessMonitorMIB.ciscoRasMonitorMIBObjects.crasActivity.crasNumSessions:

.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoRemoteAccessMonitorMIB.ciscoRasMonitorMIBObjects.crasActivity.crasNumUsers:

users数量是450,session数是532

所以问题来了,session数量和user数量有啥区别??session计数的依据是啥,为啥是用session作为VPN peer的限制,而不是用户数?

这个session看起来也不像是单个用户使用多台设备登录的并发,更不可能是单个用户通过VPN发起了多个TCP连接。。。想不明白。


另外,我们使用的是宁盾双因素认证作为radius服务器和审计服务器。在宁盾审计上,我们看到的当前在线用户数是200??
这个又跟通过snmp在ASA上获取的不一样,有什么说法吗?



  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (2 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2018-6-21 06:47 , Processed in 0.082623 second(s), 27 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表