ISA假死现象

我用ISA 好长时间了,对它也算是很熟悉了,用它做防火墙、路由真的不错,但一直有个问题,就是ISA会假死。下面是我在ISACN上的一个贴:


http://www.isacn.org/bbs/index.php?showtopic=42952&hl=
单位网络用量越来越大,可设备却一直舍不得投,不过现在已经买了个CISCO 2850的路由器,不过ISA的优点还是不能代替。
起初没设备只能拿一台IBM xServer做ISA,配置不高,也不算低吧,跑Windows 2003倒是没问题,只是内存才256,是一台机架。用来当ISA还真为难了一点点。
原来我的策略是有什么坏的封什么,比如有BT封BT,这样的话效果真差,而且后期好多P2P根本就是变形金刚,没办法。
后来我的策略换了一下,很有效。要让用户访问什么只开什么,比如我只开HTTP、DNS、DHCP、POP3、HTTPS、QQ等等,这样的话BT、电驴都被禁了。

不过问题也出现了,单位接的是10M电信光纤,网络用3天左右时ISA服务会死掉,或者是用户量很大时,或者是某些有毒机子开着时也会死掉。实在没办法了,我就把策略换成全部允许,也就是不做任何限制。很奇怪反而且一直都不会死。
我分析了一下,原因应该是服务器内存太少了(事件查看器里有记录),而如果用限制策略,再加上客户数据量一大,自然拒绝的数据包也就多,就算不用保存,ISA 还是要花费资源的,量一大就导致服务停止了。

也可能是其它地方的设置有误吧,但我感觉我的设置应该没多少问题的。当然只有一个ISA不能解决问题,关键是现在人手不够,不能对局域网内几百台电脑都做很好的检查,病毒也是一大主犯。

刚好也遇到另一位朋友的问题,跟我的一模一样,他的贴如下:

http://www.isacn.org/bbs/index.php?showtopic=42748&st=0&p=298406&#entry298406
 /> ISA2006经常出现“假死”现象,有朋友遇到过吗?, 问题已解决,谢谢大家!

该会员当前不在线 xuxiaolu84
post 2007年12月3日 20:08
帖子 #1
 

新会员


团队: 新会员
发帖: 16
金钱: 2500 元
编号: 32,838
注册: 2007-12-03
末访: 昨天, 20:35
积分: 607


新手第一次发帖,请大家多多关照,谢谢!

先说下单位的网络状况
单位可以上网的网络包括10.248.2.0-10.248.11.0这10个VLAN,VLAN之间可以互访,ISA的内部接口在10.248.13.0网段内,独享VLAN,ISA的外部接口IP为10.248.0.2,默认网关为10.248.0.1,ISA到内部其他VLAN是做了静态路由的,10.248.0.1是一台CISCO5520硬墙,ISA内与ISA外之间是做得路由关系,NAT由硬墙来做,另外硬墙还把内部2台服务器发布到了公网,是全端口映射。对外出口带宽是10M。

再说下ISA服务器的情况
ISA服务器用得是一台IBMX3650,CPU为2G*4,内存2G
操作系统用的win2003企业版SP1
ISA版本是2006企业版,阵列中只有这一台
已打了2006最新的支持补丁
服务器上安装了SYMANTEC ANTIVIRUS10.1.5客户端,自动上网升级

接着说下用户的情况
我们目前上网的用户数约有500多人,其中大部分是一般用户,加入到了微软的AD,只有本地的USER权限,使用客户端代理上网,只能使用HTTP,HTTPS,FTP,SMTP,POP3,PING,NOTES等一般的协议。
另有一批常驻的访客,客户端不归我们管,使用SNAT上网,除了一般用户的协议外,他们还可以访问自己公司的VPN,这批用户的数量约为40人
还有一些高级的访客,使用了允许所有出站通讯的SNAT。
然后是公司高层,使用了允许所有出站通讯的客户端。

最后是ISA的配置情况
ISA启用了PPTPVPN,用户数为100,并将1723端口发布到了公网
配置了淹没设置,允许每个IP最大TCP并发数为200,对于服务器和分子公司的公网IP,设置了最大并发数为6000。
使用的日志方式是文件日志,未使用系统数据库,未开启URL缓存。
禁止了QQ,方式是禁止IP和签名(另在DNS里也有设置)。
内部的域、地址、服务器,均已在内部网络中设置为不转发。
对于需要验证用户身份的规则全部都放在了最底下。

我们单位的ISA是10月份上的,一开始人少,大概只有60多人,用得很顺畅,SNAT下BT都很爽,但11月中旬后人多了起来,大部分新用户加入,最近ISA经常会出现怪问题,症状如下:
1,有时候ISA用得好好的,忽然一下子SNAT的用户就不能新建连接了,外部的用户也无法访问内部的服务器了。
2,出问题的时候我还可以作为SNAT用户使用远程桌面登录ISA,但我的机器PING不通ISA了(正常情况下可以)
3,登录上去后,在ISA上无法PING通任何内部或外部的地址。显示超时
4,查询日志的话,任何SNAT日志均无法显示,比如ISA不停的PING一个地址,或者一个地址不停的PINGISA,在日志查询中设置了相应的过滤规则后都不显示任何记录。
5,查询系统日志,没有服务上的错误,在应用程序中只有某个地址的最大连接数超标的警告或者错误,并且一般都在出问题前的10~40分钟里
6,客户端用户和WEB代理用户还可以正常使用
7,如果SNAT用户在出问题前已经建立了一个连接,比如持续不断的PING某个地址,或者运行某个网络程序,出问题后依旧能PING通那个地址并能正常使用那个程序,只是不能再PING通一个新的地址或者重新运行那个程序了。
8,出现问题后可能在几分钟后恢复正常,但多数情况下是会持续下去,重启ISA服务能解决,但很可能在短期内又一次出问题,也有持续了2天没有出问题的情况。
9,出问题的时候系统资源占用情况很正常,没有变多也没有变少。另外这个问题在连接数很多、流量很大的时候会出现,在连接数少,流量很少的时候也会出现。


不知道大家有碰到这样的情况吗?大家估计下我这可能是怎么回事呢?谢谢大家了!!

找到问题的原因了……
淹没设置里面的“每规则允许最大连接数”设小了,只有6000个,改到6000000就很正常了。


综合起来看,我觉得一是我自己分析的拒绝服务,二是xuxiaolu84所说的每规则允许最大连接数
posted @ 2007-12-13 13:21  jcjks  阅读(1118)  评论(0编辑  收藏  举报