本帖最后由 maguanghua2013 于 2018-6-14 16:31 编辑 我们这是两台ASA 5525-X做failover主备。这个型号show version显示硬件支持的anyconnect peer最多是750
当我show vpn-sessiondb的时候看的信息如下:
ciscoasa/act# show vpn-sessiondb
---------------------------------------------------------------------------
VPN Session Summary
---------------------------------------------------------------------------
Active : Cumulative : Peak Concur : Inactive
----------------------------------------------
AnyConnect Client : 525 : 79790 : 542 : 7
SSL/TLS/DTLS : 525 : 79790 : 542 : 7
Clientless VPN : 0 : 334 : 9
Browser : 0 : 334 : 9
---------------------------------------------------------------------------
Total Active and Inactive : 532 Total Cumulative : 80124
Device Total VPN Capacity : 750
Device Load : 71%
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Tunnels Summary
---------------------------------------------------------------------------
Active : Cumulative : Peak Concurrent
----------------------------------------------
Clientless : 0 : 418 : 9
AnyConnect-Parent : 532 : 79706 : 542
SSL-Tunnel : 509 : 330616 : 512
---------------------------------------------------------------------------
Totals : 1041 : 410740
---------------------------------------------------------------------------
ciscoasa/act#
这里显示的设备负载是532/750 = 71%,也就是说anyconnect peer是以session数量计算的。这个没疑问。
看输出能明白,这个532是包含活动会话525个和非活动会话7个。但是这几个数字应该都不是实际的在线用户数量。
在我 show vpn-sessiondb 的同时,我用snmp取得的两个值分别如下
oid:crasNumSessions
值:532
oid: crasNumUsers
值:450
这俩oid来自CISCO-REMOTE-ACCESS-MONITOR-MIB:
.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoRemoteAccessMonitorMIB.ciscoRasMonitorMIBObjects.crasActivity.crasNumSessions:
.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoRemoteAccessMonitorMIB.ciscoRasMonitorMIBObjects.crasActivity.crasNumUsers:
users数量是450,session数是532
所以问题来了,session数量和user数量有啥区别??session计数的依据是啥,为啥是用session作为VPN peer的限制,而不是用户数?
这个session看起来也不像是单个用户使用多台设备登录的并发,更不可能是单个用户通过VPN发起了多个TCP连接。。。想不明白。
另外,我们使用的是宁盾双因素认证作为radius服务器和审计服务器。在宁盾审计上,我们看到的当前在线用户数是200??
这个又跟通过snmp在ASA上获取的不一样,有什么说法吗?