netscreen session数不足的应对

550M SESSION数不足的应对：防火墙提供了一种主动失效机制，当会话表的使用达到一个高限值时（比如最大并发会话数的80%），缩短会话超时值，提前删除会话。当会话表的使用低于某个低限值时（比如最大并发会话数的60%），超时值恢复为默认值，超时进程恢复正常。主动失效机制将以设定的会话主动失效速率缩短默认的会话超时值，加速会话失效。失效速率值可在2~10个单位间选择（每个单位表示10秒）。该功能要通过命令来设置。

set flow aging low-watermark 70

set flow aging high-watermark 80

set flow aging early-ageout 6

上述设置的作用是当会话表的使用达到最大并发会话数的80%时，启动主动失效机制加速会话失效。此时，TCP的会话超时值由1800秒缩短为1740秒， HTTP的会话超时值由300秒缩短为240秒，而UDP的会话超时值缩短为0。防火墙将自动删除超时值超过1740秒的TCP会话和超时值超过240秒的HTTP会话，首先开始删除最早的会话。提前60秒超时的设置导致所有的UDP会话超时，并在下一次垃圾清扫时被删除。当会话表的使用下降到最大并发会话数的70%时，停止加速失效，会话超时值恢复为原来的默认值。