请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 1367|回复: 3

问下ASA的SSLVPN的session和user的区别

[复制链接]
发表于 2018-6-14 16:18:03 | 显示全部楼层 |阅读模式
0可用金钱
本帖最后由 maguanghua2013 于 2018-6-14 16:31 编辑

我们这是两台ASA 5525-X做failover主备。这个型号show version显示硬件支持的anyconnect peer最多是750

当我show vpn-sessiondb的时候看的信息如下:

  1. ciscoasa/act# show vpn-sessiondb
  2. ---------------------------------------------------------------------------
  3. VPN Session Summary                                                        
  4. ---------------------------------------------------------------------------
  5.                                Active : Cumulative : Peak Concur : Inactive
  6.                              ----------------------------------------------
  7. AnyConnect Client            :    525 :      79790 :         542 :        7
  8.   SSL/TLS/DTLS               :    525 :      79790 :         542 :        7
  9. Clientless VPN               :      0 :        334 :           9
  10.   Browser                    :      0 :        334 :           9
  11. ---------------------------------------------------------------------------
  12. Total Active and Inactive    :    532             Total Cumulative :  80124
  13. Device Total VPN Capacity    :    750
  14. Device Load                  :    71%
  15. ---------------------------------------------------------------------------

  16. ---------------------------------------------------------------------------
  17. Tunnels Summary
  18. ---------------------------------------------------------------------------
  19.                                Active : Cumulative : Peak Concurrent   
  20.                              ----------------------------------------------
  21. Clientless                   :      0 :        418 :               9
  22. AnyConnect-Parent            :    532 :      79706 :             542
  23. SSL-Tunnel                   :    509 :     330616 :             512
  24. ---------------------------------------------------------------------------
  25. Totals                       :   1041 :     410740
  26. ---------------------------------------------------------------------------

  27. ciscoasa/act#
复制代码


这里显示的设备负载是532/750 = 71%,也就是说anyconnect peer是以session数量计算的。这个没疑问。

看输出能明白,这个532是包含活动会话525个和非活动会话7个。但是这几个数字应该都不是实际的在线用户数量。

在我 show vpn-sessiondb 的同时,我用snmp取得的两个值分别如下
oid:crasNumSessions
值:532

oid: crasNumUsers
值:450
这俩oid来自CISCO-REMOTE-ACCESS-MONITOR-MIB:

.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoRemoteAccessMonitorMIB.ciscoRasMonitorMIBObjects.crasActivity.crasNumSessions:

.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoRemoteAccessMonitorMIB.ciscoRasMonitorMIBObjects.crasActivity.crasNumUsers:

users数量是450,session数是532

所以问题来了,session数量和user数量有啥区别??session计数的依据是啥,为啥是用session作为VPN peer的限制,而不是用户数?

这个session看起来也不像是单个用户使用多台设备登录的并发,更不可能是单个用户通过VPN发起了多个TCP连接。。。想不明白。


另外,我们使用的是宁盾双因素认证作为radius服务器和审计服务器。在宁盾审计上,我们看到的当前在线用户数是200??
这个又跟通过snmp在ASA上获取的不一样,有什么说法吗?



  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (2 评价)
发表于 2018-6-21 23:29:23 | 显示全部楼层
users应该指人类通过软件建立连接的用户数,而session除了包含人类通过软件建立连接之外还包括非人类通过其他方式建立的连接,例如某些后台进程或程序建立的连接。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-6-22 10:21:49 | 显示全部楼层
Rocky 发表于 2018-6-21 23:29
users应该指人类通过软件建立连接的用户数,而session除了包含人类通过软件建立连接之外还包括非人类通过其 ...

搜过思科官网,也没找到类似这个命令的相关的解释。。好像只能这么理解了
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-8-21 17:38:07 | 显示全部楼层
user就是登录VPN的用户数,10个人共享1个用户名密码(如果系统不限制的话),user就是1。
session就是登录VPN的会话数,10个人共享1个用户名密码或者10个人用10个用户名密码,session都是10。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-10-20 04:38 , Processed in 0.127291 second(s), 35 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表