ASA FAQ: Waarom stuurt de ASA pakketten naar de IPS module zonder IPS beleidsconfiguratie?

Downloadopties

  • PDF     (145.9 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (90.3 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (74.1 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:7 juni 2013
Document-id:116145

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft waarom de Cisco adaptieve security applicatie (ASA) verkeer naar een ingesloten servicemodule voor inspectie zou kunnen doorsturen wanneer er geen IPS-modulebeleid (Inbraakpreventiesysteem) in de configuratie aanwezig is.

Q. Waarom stuurt de ASA pakketten naar de IPS module voor inspectie wanneer er geen IPS-beleid is ingesteld?

A.

Het is mogelijk dat een verbinding werd gebouwd om verkeer naar de IPS-module te sturen voor inspectie toen de ASA werd geconfigureerd, en dat verbinding nog actief is.

Zo heeft een klant met een ASA 5515-IPS geen geconfigureerd beleid in een beleidslijn om het verkeer naar de software IPS-module te sturen; het verkeer komt echter aan bij de module van de ASA.

Wanneer u de pakketweergavefunctie op IPS gebruikt, kunt u het verkeer zien dat naar IPS van de ASA komt:

14:34:38.341927 IP 192.168.1.2.1719 > 192.168.10.39.1888: UDP, length 128
14:34:38.341992 IP 192.168.1.2.1719 > 192.168.10.39.1888: UDP, length 128
14:34:38.345031 IP 192.168.1.2.1719 > 192.168.110.39.1888: UDP, length 34
14:34:38.345068 IP 192.168.1.2.1719 > 192.168.110.39.1888: UDP, length 34

De interfacestatistieken op de IPS-sensatieinterface werden gewist en er werden pakketten ontvangen:

sensor#  show interfaces portChannel
MAC statistics from interface PortChannel0/0
   Interface function = Sensing interface
   Description =
   Media Type = backplane
   Default Vlan = 0
   InlineMode = Unpaired
   Pair Status = N/A
   Hardware Bypass Capable = No
   Hardware Bypass Paired = N/A
   Link Status = Up
   Admin Enabled Status = Enabled
   Link Speed = N/A
   Link Duplex = N/A
   Missed Packet Percentage = 0
   Total Packets Received = 128
   Total Bytes Received = 17904
   Total Packets Transmitted = 128
   Total Bytes Transmitted = 17904

De oorzaak van de kwestie is dat ergens in het verleden een configuratie werd toegevoegd aan de ASA om verkeer naar de IPS-module te sturen, en de verbindingen werden niet gewist nadat de IPS-configuratie was verwijderd op de ASA. Dit is gebruikelijk met niet-TCP protocollen die constant verkeer doorgeven.


Op de ASA, voer het tonen conn bevel in om te bepalen of de pakketten die u op de IPS module ziet verbindingsingangen hebben. Om de uptimes te zien, voer de opdracht tonen in detail. Om ervoor te zorgen dat de verbindingen niet opnieuw naar IPS worden gericht, kunt u het heldere verbinding <adres>opdracht op de ASA moeten invoeren om deze specifieke verbindingen te wissen:

ASA# clear conn address 192.168.1.2
3 connection(s) deleted.
ASA#

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
07-Jun-2013
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Prapanch Ramamoorthy and Abhishek Prabhakar
    Cisco TAC Engineers.

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten