如何在Netscreen SSG140上过期非活动会话？

Question

我有一个Juniper Netscreen SSG-140。

在试验VoIP服务时，我定义了一个自定义策略，用于允许可能使用的端口从通过互联网连接的系统发送回VoIP服务器。因为在过去，当VoIP系统的UDP会话过期的速度快于生成保存生命时，我就遇到了问题，因此我将这个自定义服务的超时设置为“从不”。

经过多次实验后，我碰巧注意到，我的会话依赖防火墙的次数已经从几千次增加到了超过36000次。

在与VoIP“专家”讨论之后，我将超时设置为30分钟；然而，在实验过程中设置的所有会话都在那里，超过3天之后。

是否有一种方法可以强制这些旧会话过期并从会话表中删除，还是我正在重新设置防火墙？

(实际上，这两个防火墙--它们都在一个集群中。)

Answer 1

您可以使用clear session命令。诀窍是要清除哪些会话。简单的解决方法是clear session all，但这几乎和重新设置整个防火墙一样糟糕(除非用户能够立即重新建立连接，而不是等待防火墙恢复)。

查看clear session命令的选项。根据您的情况，您可能可以缩小会话范围，以便根据src-ip、dst-port等进行清除。

您可以使用get session查看所有会话。因为它是一个非常大的列表，所以可以对TFTP执行get session > tftp x.x.x.x filename，这是一个可以脱机排序的会话表的副本。