Connecties voor probleemoplossing via PIX en ASA

Downloadopties

  • PDF     (313.1 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (99.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (104.9 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:1 september 2011
Document-id:71871

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document bevat ideeën en suggesties voor probleemoplossing wanneer u de Cisco ASA 5500 Series adaptieve security applicatie (ASA) en de Cisco PIX 500 Series security applicatie gebruikt. Vaker dan niet, wanneer toepassingen of netwerkbronnen breken of niet beschikbaar zijn, hebben firewalls (PIX of ASA) de neiging een primair doel te zijn en als oorzaak van stroomuitval te worden aangewezen. Bij sommige testen op de ASA of PIX kan een beheerder bepalen of de ASA/PIX het probleem veroorzaakt.

Raadpleeg PIX/ASA: Connectiviteit vaststellen en problemen oplossen via de Cisco security applicatie om meer te weten te komen over de interface-gerelateerde probleemoplossing op de Cisco security applicaties.

Opmerking: dit document is gericht op de ASA en PIX. Als het oplossen van problemen is voltooid op de ASA of PIX, is het waarschijnlijk dat er extra probleemoplossing nodig is met andere apparaten (routers, switches, servers, enzovoort).

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op Cisco ASA 5510 met OS 7.2.1 en 8.3.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Verwante producten

Dit document kan ook worden gebruikt voor de volgende hardware- en softwareversies:

  • ASA en PIX OS 7.0, 7.1, 8.3 en hoger

  • Firewallservicesmodule (FWSM) 2.2, 2.3 en 3.1

Opmerking: specifieke opdrachten en syntax kunnen tussen softwareversies verschillen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Achtergrondinformatie

In het voorbeeld wordt ervan uitgegaan dat de ASA of PIX in productie is. De ASA/PIX-configuratie kan relatief eenvoudig (slechts 50 configuratielijnen) of complex (honderden tot duizenden configuratielijnen) zijn. Gebruikers (clients) of servers kunnen zich op een beveiligd netwerk (binnen) of een onveilig netwerk (DMZ of buiten) bevinden.

asa-pix-troubleshooting-1.gif

ASA begint met deze configuratie. De configuratie is bedoeld om het laboratorium een referentiepunt te geven.

ASA initiële configuratie 
ciscoasa#show running-config
: Saved
:
ASA Version 7.2(1) 
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 172.22.1.160 255.255.255.0 
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 
!
interface Ethernet0/2
 nameif dmz
 security-level 50
 ip address 10.1.1.1 255.255.255.0 
!
interface Management0/0
 shutdown
 no nameif    
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list outside_acl extended permit tcp any host 172.22.1.254 eq www 
access-list inside_acl extended permit icmp 192.168.1.0 255.255.255.0 any 
access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq www 
access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq telnet 
pager lines 24
mtu outside 1500
mtu inside 1500
mtu dmz 1500
no asdm history enable
arp timeout 14400
global (outside) 1 172.22.1.253
nat (inside) 1 192.168.1.0 255.255.255.0



!--- The above NAT statements are replaced by the following statements !--- for ASA 8.3 and later.

object network obj-192.168.1.0
  subnet 192.168.1.0 255.255.255.0
  nat (inside,outside) dynamic 172.22.1.253


static (inside,outside) 192.168.1.100 172.22.1.254 netmask 255.255.255.255 


!--- The above Static NAT statement is replaced by the following statements !--- for ASA 8.3 and later.

object network obj-172.22.1.254
  host 172.22.1.254
  nat (inside,outside) static 192.168.1.100 
access-group outside_acl in interface outside
access-group inside_acl in interface inside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Probleem

Een gebruiker neemt contact op met de IT afdeling en meldt dat applicatie X niet meer werkt. Het incident escaleert naar de ASA/PIX-beheerder. De beheerder heeft weinig kennis van deze specifieke toepassing. Met het gebruik van ASA/PIX, ontdekt de beheerder welke poorten en protocollen applicatie X gebruikt en wat de oorzaak van het probleem zou kunnen zijn.

Oplossing

De ASA/PIX-beheerder moet zo veel mogelijk informatie van de gebruiker verzamelen. Nuttige informatie:

  • Bron IP adres-dit is typisch het werkstation of de computer van de gebruiker.

  • IP-adres van bestemming—Het IP-adres van de server dat de gebruiker of de toepassing probeert te verbinden.

  • Poorten en protocollen die de toepassing gebruikt

Vaak heeft de beheerder geluk als hij in staat is om een antwoord te krijgen op een van deze vragen. In dit voorbeeld kan de beheerder geen informatie verzamelen. Een overzicht van ASA/PIX syslog berichten is ideaal maar het is moeilijk om het probleem te vinden als de beheerder niet weet wat te zoeken.

Stap 1 - Ontdek het IP-adres van de gebruiker

Er zijn vele manieren om het IP adres van de gebruiker te ontdekken. Dit document gaat over de ASA en PIX, dus dit voorbeeld gebruikt de ASA en PIX om het IP-adres te ontdekken.

De gebruiker probeert te communiceren met de ASA/PIX. Deze communicatie kan zijn ICMP, Telnet, SSH of HTTP. Het gekozen protocol moet beperkte activiteit op de ASA/PIX hebben. In dit specifieke voorbeeld, pingelt de gebruiker de binneninterface van ASA.

De beheerder moet een of meer van deze opties instellen en de gebruiker de interne interface van de ASA laten pingen.

  • Syslog

    Controleer of de logboekregistratie is ingeschakeld. Het registratieniveau moet worden ingesteld om te debuggen. Logboekregistratie kan naar verschillende locaties worden verzonden. In dit voorbeeld wordt de ASA-logbuffer gebruikt. Mogelijk hebt u een externe registratieserver nodig in productieomgevingen.

    ciscoasa(config)#logging enable
ciscoasa(config)#logging buffered debugging

    De gebruiker pingelt de binneninterface van ASA (ping 192.168.1.1). Deze uitvoer wordt weergegeven.

    ciscoasa#show logging

!--- Output is suppressed.

%ASA-6-302020: Built ICMP connection for faddr 192.168.1.50/512 
gaddr 192.168.1.1/0 laddr 192.168.1.1/0
%ASA-6-302021: Teardown ICMP connection for faddr 192.168.1.50/512 
gaddr 192.168.1.1/0 laddr 192.168.1.1/0

!--- The user IP address is 192.168.1.50.

  • ASA-opnamefunctie

    De beheerder moet een toegangslijst maken die bepaalt welk verkeer de ASA moet opnemen. Nadat de toegangslijst is gedefinieerd, neemt het opnamebevel de toegangslijst op en past het toe op een interface.

    ciscoasa(config)#access-list inside_test permit icmp any host 192.168.1.1
ciscoasa(config)#capture inside_interface access-list inside_test interface inside

    De gebruiker pingelt de binneninterface van ASA (ping 192.168.1.1). Deze uitvoer wordt weergegeven.

    ciscoasa#show capture inside_interface
   1: 13:04:06.284897 192.168.1.50 > 192.168.1.1: icmp: echo request

!--- The user IP address is 192.168.1.50.

    Opmerking: om het opnamebestand te kunnen downloaden naar een systeem zoals etheral, kunt u dit doen zoals deze uitvoer laat zien.

    
!--- Open an Internet Explorer and browse with this https link format:

https://[
        
        
          / 
         
           ]/capture/ 
          
            /pcap

    Raadpleeg ASA/PIX: Packet Capturing met behulp van CLI en ASDM Configuration Voorbeeld om meer te weten te komen over pakketvastlegging in ASA.

  • Debuggen

    De opdracht debug icmp trace wordt gebruikt om het ICMP-verkeer van de gebruiker op te nemen.

    ciscoasa#debug icmp trace

    De gebruiker pingelt de binneninterface van ASA (ping 192.168.1.1). Deze uitvoer wordt weergegeven op de console.

    ciscoasa# 

!--- Output is suppressed.

ICMP echo request from 192.168.1.50 to 192.168.1.1 ID=512 seq=5120 len=32
ICMP echo reply from 192.168.1.1 to 192.168.1.50 ID=512 seq=5120 len=32

!--- The user IP address is 192.168.1.50.

    Gebruik een van deze opdrachten om debug icmp-trace uit te schakelen:

    • geen debug icmp-spoor

    • debug icmp-spoor ongedaan maken

    • undebug alles, undebug alles, of un allen

Met elk van deze drie opties kan de beheerder het IP-bronadres bepalen. In dit voorbeeld is het IP-bronadres van de gebruiker 192.168.1.50. De beheerder is bereid om meer over toepassing X te leren en de oorzaak van het probleem te bepalen.

Stap 2 - Zoek de oorzaak van het probleem

Met verwijzing naar de informatie die in de sectie Stap 1 van dit document wordt vermeld, kent de beheerder nu de bron van een toepassing X sessie. De beheerder is bereid om meer te weten te komen over toepassing X en te beginnen te vinden waar de problemen kunnen zijn.

De ASA/PIX-beheerder moet de ASA voorbereiden voor ten minste een van deze suggesties in de lijst. Zodra de beheerder klaar is, stelt de gebruiker toepassing X in en beperkt alle andere activiteit aangezien de extra gebruikersactiviteit verwarring zou kunnen veroorzaken of de beheerder ASA/PIX zou kunnen misleiden.

  • Controleer syslog berichten.

    Zoek naar het IP-bronadres van de gebruiker die u in Stap 1 hebt geplaatst. De gebruiker start applicatie X. De ASA beheerder geeft de opdracht show logging uit en bekijkt de output.

    ciscoasa#show logging

!--- Output is suppressed.

%ASA-7-609001: Built local-host inside:192.168.1.50
%ASA-6-305011: Built dynamic TCP translation from inside:192.168.1.50/1107 
to outside:172.22.1.254/1025
%ASA-6-302013: Built outbound TCP connection 90 for outside:172.22.1.1/80 
(172.22.1.1/80) to inside:192.168.1.50/1107 (172.22.1.254/1025)

    De logboeken onthullen dat het bestemmingsIP adres 172.2.1.1 is, het protocol TCP is, de bestemmingshaven HTTP/80 is, en dat het verkeer wordt verzonden naar de buiteninterface.

  • Wijzig de opnamefilters.

    De access-list inside_test opdracht werd eerder gebruikt en wordt hier gebruikt.

    ciscoasa(config)#access-list inside_test permit ip host 192.168.1.50 any

!--- This ACL line captures all traffic from 192.168.1.50 !--- that goes to or through the ASA.

ciscoasa(config)#access-list inside_test permit ip any host 192.168.1.50 any

!--- This ACL line captures all traffic that leaves !--- the ASA and goes to 192.168.1.50.

ciscoasa(config)#no access-list inside_test permit icmp any host 192.168.1.1
ciscoasa(config)#clear capture inside_interface

!--- Clears the previously logged data. !--- The no capture inside_interface removes/deletes the capture.

    De gebruiker start applicatie X. De ASA beheerder geeft vervolgens de show Capture inside_interface commando uit en bekijkt de output.

    ciscoasa(config)#show capture inside_interface
1: 15:59:42.749152 192.168.1.50.1107 > 172.22.1.1.80: 
S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK>
2: 15:59:45.659145 192.168.1.50.1107 > 172.22.1.1.80: 
S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK>
3: 15:59:51.668742 192.168.1.50.1107 > 172.22.1.1.80: 
S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK>

    Het opgenomen verkeer biedt de beheerder verschillende waardevolle informatie:

    • Doeladres—172.2.1.1

    • Poortnummer—80/http

    • Protocol—TCP (merk de "S" of syn vlag op)

    Bovendien weet de beheerder ook dat het gegevensverkeer voor toepassing X bij ASA aankomt.

    Als de output deze show was geweest om de opdrachtoutput van inside_interface op te nemen, dan bereikte het toepassingsverkeer de ASA nooit of de opnamefilter was niet ingesteld om het verkeer op te nemen:

    ciscoasa#show capture inside_interface
0 packet captured
0 packet shown

    In dit geval zou de beheerder moeten overwegen de computer van de gebruiker en elke router of andere netwerkapparaten in het pad tussen de gebruikerscomputer en de ASA te onderzoeken.

    Opmerking: wanneer verkeer op een interface aankomt, legt de opnameopdracht de gegevens vast voordat een ASA-beveiligingsbeleid het verkeer analyseert. Een toegangslijst ontkent bijvoorbeeld al het inkomende verkeer op een interface. Het opnamebevel slaat nog steeds het verkeer op. Het ASA beveiligingsbeleid analyseert vervolgens het verkeer.

  • Debuggen

    De beheerder is niet vertrouwd met toepassing X en weet daarom niet welke van de debug-diensten voor toepassing X onderzoek toelaten. Debug is op dit moment mogelijk niet de beste optie voor probleemoplossing.

Met de informatie die in Stap 2 wordt verzameld, krijgt de ASA-beheerder verschillende bits waardevolle informatie. De beheerder weet dat het verkeer aankomt op de binneninterface van de ASA, het IP-bronadres, het IP-adres van de bestemming en het X-gebruik van de servicetoepassing (TCP/80). Vanuit de syslogs weet de beheerder ook dat de communicatie aanvankelijk was toegestaan.

Stap 3 - Toepassingsverkeer bevestigen en bewaken

De ASA beheerder wil bevestigen dat applicatie X verkeer de ASA heeft verlaten en om het even welk terugkeerverkeer van de applicatie X server te controleren.

  • Controleer syslog berichten.

    Filter syslogberichten voor het IP-adres van de bron (192.168.1.50) of het IP-adres van de bestemming (172.2.1.1). Vanuit de opdrachtregel zien filterende syslog-berichten er uit als logboekregistratie tonen | omvat 192.168.1.50 of toon houtkap | omvat 172.22.1.1. In dit voorbeeld, wordt de opdracht show logging gebruikt zonder filters. De -uitgang wordt onderdrukt om het lezen te vergemakkelijken.

    ciscoasa#show logging

!--- Output is suppressed.

%ASA-7-609001: Built local-host inside:192.168.1.50
%ASA-7-609001: Built local-host outside:172.22.1.1
%ASA-6-305011: Built dynamic TCP translation from inside:192.168.1.50/1107 
to outside:172.22.1.254/1025
%ASA-6-302013: Built outbound TCP connection 90 for outside:172.22.1.1/80 
(172.22.1.1/80) to inside:192.168.1.50/1107 (172.22.1.254/1025)
%ASA-6-302014: Teardown TCP connection 90 for outside:172.22.1.1/80 
to inside:192.168.1.50/1107 duration 0:00:30 bytes 0 SYN Timeout
%ASA-7-609002: Teardown local-host outside:172.22.1.1 duration 0:00:30
%ASA-6-305012: Teardown dynamic TCP translation from inside:192.168.1.50/1107 
to outside:172.22.1.254/1025 duration 0:01:00
%ASA-7-609002: Teardown local-host inside:192.168.1.50 duration 0:01:00

    Het syslogbericht geeft aan dat de verbinding is gesloten vanwege de onderbreking van SYN. Dit vertelt de beheerder dat de ASA geen applicatie X server antwoorden heeft ontvangen. Syslog bericht beëindiging redenen kan variëren.

    De SYN timeout wordt ingelogd vanwege een geforceerde verbinding na 30 seconden die optreedt na het voltooien van de handdruk. Deze kwestie komt gewoonlijk voor als de server er niet in slaagt om aan een verbindingsverzoek gevolg te geven, en, in de meeste gevallen, is niet verwant met de configuratie op PIX/ASA.

    Raadpleeg deze controlelijst om dit probleem op te lossen:

    1. Zorg ervoor dat de statische opdracht correct is ingevoerd en dat deze niet overlapt met andere statische opdrachten, bijvoorbeeld:

      static (inside,outside) x.x.x.x  y.y.y.y netmask 255.255.255.255

      De statische NAT in ASA 8.3 en hoger kan worden geconfigureerd zoals hier:

      object network obj-y.y.y.y
 host y.y.y.y
 nat (inside,outside) static x.x.x.x

    2. Zorg ervoor dat een toegangslijst bestaat om toegang tot het globale IP adres van de buitenkant toe te staan en dat het aan de interface gebonden is:

      access-list OUTSIDE_IN extended permit tcp any host x.x.x.x eq www
access-group OUTSIDE_IN in interface outside

    3. Voor een succesvolle verbinding met de server moet de standaardgateway op de server naar de DMZ-interface van PIX/ASA wijzen.

    Raadpleeg ASA System Berichten voor meer informatie over de syslogberichten.

  • Maak een nieuw opnamefilter.

    Van eerder opgenomen verkeers- en syslog-berichten weet de beheerder dat applicatie X de ASA via de buiteninterface moet verlaten.

    ciscoasa(config)#access-list outside_test permit tcp any host 172.22.1.1 eq 80

!--- When you leave the source as 'any', it allows !--- the administrator to monitor any network address translation (NAT).

ciscoasa(config)#access-list outside_test permit tcp host 172.22.1.1 eq 80 any

!--- When you reverse the source and destination information, !--- it allows return traffic to be captured.

ciscoasa(config)#capture outside_interface access-list outside_test interface outside

    De gebruiker moet een nieuwe sessie starten met applicatie X. Nadat de gebruiker een nieuwe applicatie X sessie gestart heeft, moet de ASA beheerder de opdracht show capture buitenkant_interface op de ASA uitgeven.

    ciscoasa(config)#show capture outside_interface
3 packets captured
   1: 16:15:34.278870 172.22.1.254.1026 > 172.22.1.1.80: 
S 1676965539:1676965539(0) win 65535 <mss 1380,nop,nop,sackOK>
   2: 16:15:44.969630 172.22.1.254.1027 > 172.22.1.1.80: 
S 990150551:990150551(0) win 65535 <mss 1380,nop,nop,sackOK>
   3: 16:15:47.898619 172.22.1.254.1027 > 172.22.1.1.80: 
S 990150551:990150551(0) win 65535 <mss 1380,nop,nop,sackOK>
3 packets shown

    De opname toont verkeer dat de buiteninterface verlaat, maar toont geen antwoordverkeer vanaf de 172.2.1.1 server. Deze opname laat de gegevens zien terwijl ze de ASA verlaat.

  • Gebruik de optie packet-tracer.

    Uit vorige secties heeft de ASA-beheerder voldoende informatie geleerd om de pakkettracer-optie in de ASA te gebruiken.

    Opmerking: ASA ondersteunt de packet-tracer opdracht die in versie 7.2 begint.

    ciscoasa#packet-tracer input inside tcp 192.168.1.50 1025 172.22.1.1 http

!--- This line indicates a source port of 1025. If the source !--- port is not known, any number can be used. !--- More common source ports typically range !--- between 1025 and 65535.

Phase: 1
Type: CAPTURE
Subtype: 
Result: ALLOW
Config:
Additional Information:
MAC Access list

Phase: 2
Type: ACCESS-LIST
Subtype: 
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 3
Type: FLOW-LOOKUP
Subtype: 
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow
              
Phase: 4
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   172.22.1.0      255.255.255.0   outside

Phase: 5
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group inside_acl in interface inside
access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq www 
Additional Information:

Phase: 6
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:
              
Phase: 7
Type: CAPTURE
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 8
Type: NAT
Subtype: 
Result: ALLOW
Config:
nat (inside) 1 192.168.1.0 255.255.255.0
  match ip inside 192.168.1.0 255.255.255.0 outside any
    dynamic translation to pool 1 (172.22.1.254)
    translate_hits = 6, untranslate_hits = 0
Additional Information:
Dynamic translate 192.168.1.50/1025 to 172.22.1.254/1028 
using netmask 255.255.255.255

Phase: 9
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:       
nat (inside) 1 192.168.1.0 255.255.255.0
  match ip inside 192.168.1.0 255.255.255.0 outside any
    dynamic translation to pool 1 (172.22.1.254)
    translate_hits = 6, untranslate_hits = 0
Additional Information:

Phase: 10
Type: CAPTURE
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 11
Type: CAPTURE
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 12
Type: IP-OPTIONS
Subtype: 
Result: ALLOW 
Config:
Additional Information:

Phase: 13
Type: CAPTURE
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 14
Type: FLOW-CREATION
Subtype: 
Result: ALLOW
Config:
Additional Information:
New flow created with id 94, packet dispatched to next module

Phase: 15
Type: ROUTE-LOOKUP
Subtype: output and adjacency
Result: ALLOW
Config:
Additional Information:
found next-hop 172.22.1.1 using egress ifc outside
adjacency Active
next-hop mac address 0030.a377.f854 hits 11

!--- The MAC address is at Layer 2 of the OSI model. !--- This tells the administrator the next host !--- that should receive the data packet.


Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow

    De belangrijkste uitvoer van de opdracht packet-tracer is de laatste regel, namelijk Action: allow.

De drie opties in Stap 3 tonen de beheerder dat ASA niet verantwoordelijk is voor de toepassing X-problemen. Het applicatie X verkeer verlaat de ASA en de ASA ontvangt geen antwoord van de applicatie X server.

Wat is nu?

Er zijn vele componenten die toepassing X toestaan om correct voor gebruikers te werken. De componenten zijn de computer van de gebruiker, de applicatie X-client, routing, toegangsbeleid en de applicatie X-server. In het vorige voorbeeld hebben we bewezen dat de ASA het applicatie X-verkeer ontvangt en doorstuurt. De server en applicatie X beheerders moeten nu betrokken worden. Beheerders moeten controleren of de toepassingsservices actief zijn, alle logbestanden op de server bekijken en controleren of het verkeer van de gebruiker door de server en applicatie X wordt ontvangen.

Probleem: Foutmelding voor het beëindigen van TCP-Proxy-verbinding

U ontvangt deze foutmelding:

%PIX|ASA-5-507001: Terminating TCP-Proxy connection from 
interface_inside:source_address/source_port to interface_outside:dest_address/dest_port - 
reassembly limit of limit bytes exceeded

Oplossing

Uitleg: Dit bericht wordt weergegeven wanneer de grenswaarde voor de hermontagebuffer tijdens het samenstellen van TCP-segmenten wordt overschreden.

  • source_address/source_port - Het IP-bronadres en de bronpoort van het pakket waarmee de verbinding wordt gestart.

  • dest_address/dest_port - Het IP-adres van de bestemming en de bestemmingshaven van het pakket dat de verbinding initieert.

  • interface_inside - De naam van de interface waarop het pakket dat de verbinding heeft geïnitieerd, aankomt.

  • interface_external - De naam van de interface waarop het pakket dat de verbinding heeft geïnitieerd, afsluit.

  • limiet - De ingestelde embryonale verbindingslimiet voor de verkeersklasse.

De resolutie voor dit probleem is om de RTSP-inspectie in het security apparaat uit te schakelen zoals getoond.

policy-map global_policy
 class inspection_default
  inspect dns migrated_dns_map_1 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  no inspect rtsp

Raadpleeg Cisco bug-id CSC15229 (alleen geregistreerde klanten) voor meer informatie.

Probleem: "%ASA-6-110003: Routing is niet gelukt om next-hop voor protocol vanaf src interface te vinden" Foutmelding

ASA laat verkeer vallen met de fout:%ASA-6-110003: Routing heeft volgende-hop voor protocol niet gevonden vanaf src-interface:src IP/src-poort naar dest-interface:dest IP/dest-poortfoutmelding.

Oplossing

Deze fout treedt op wanneer de ASA probeert de volgende hop op een interface-routingtabel te vinden. Meestal wordt dit bericht ontvangen wanneer ASA een vertaling (xlate) naar één interface en een route heeft gemaakt die op een andere interface wijzen. Controleer op een foutieve configuratie van de NAT-verklaringen. Mogelijk lost u de fout op door de verkeerde configuratie op te lossen.

Probleem: verbinding geblokkeerd door ASA met " %ASA-5-305013: Asymmetrische NAT-regels gekoppeld voor voorwaartse en omgekeerde stromen" Foutbericht

De verbinding wordt geblokkeerd door ASA en deze foutmelding wordt ontvangen:

%ASA-5-305013: Asymmetric NAT rules matched for forward
	 and reverse flows; Connection protocol src
	 interface_name:source_address/source_port dest
	 interface_name:dest_address/dest_port denied due to NAT reverse path
	 failure.

Oplossing

Wanneer NAT wordt uitgevoerd, probeert ASA ook het pakket om te keren en controleert of dit bij een vertaling terecht komt. Als het om het even welke of een verschillende NAT vertaling niet raakt, dan is er een wanverhouding. U ziet deze foutmelding het meest meestal wanneer er verschillende NAT-regels zijn geconfigureerd voor uitgaand en inkomend verkeer met dezelfde bron en bestemming. Controleer de NAT-verklaring voor het desbetreffende verkeer.

Probleem: Ontvangstfout - %ASA-5-321001: Resource 'conns' limit of 10000 bereikt voor systeem

Oplossing

Deze fout betekent dat de verbindingen voor een server die zich over een ASA bevindt, hun maximumgrens hebben bereikt. Dit kan een indicatie zijn van een DoS-aanval op een server in uw netwerk. Gebruik MPF op de ASA en verlaag de embryonale verbindingsgrens. Schakel ook DCD (Dead Connection Detection) in. Raadpleeg dit configuratiefragment:

class-map limit
 match access-list limit
!
policy-map global_policy
 class limit
  set connection embryonic-conn-max 50
  set connection timeout embryonic 0:00:10 dcd
!
access-list limit line 1 extended permit tcp any host x.x.x.x

Probleem: Ontvang fout %PIX-1-106021: Ontken TCP/UDP omgekeerde padcontrole van src_addr naar dest_addr op interface int_name

Oplossing

Dit logbericht wordt ontvangen wanneer de reverse path check is ingeschakeld. Geef deze opdracht uit om het probleem op te lossen en de controle van het omgekeerde pad uit te schakelen:

no ip verify reverse-path interface

Probleem: onderbreking van internetconnectiviteit door detectie van bedreigingen

Deze foutmelding wordt ontvangen op de ASA:

%ASA-4-733100: [Miralix Licen 3000] drop rate-1 exceeded. Current burst
rate is 100 per second, max configured rate is 10; Current average rate is 4
per second, max configured rate is 5; Cumulative total count is 2526

Oplossing

Dit bericht wordt gegenereerd door detectie van bedreigingen vanwege de standaardconfiguratie wanneer een abnormaal verkeersgedrag wordt gedetecteerd. Het bericht is gericht op Miralix Licen 3000, een TCP/UDP-poort. Zoek het apparaat met poort 3000. Controleer de grafische statistieken van ASDM voor detectie van bedreigingen en controleer de bovenste aanvallen om te zien of poort 3000 en het IP-adres van de bron worden weergegeven. Als het een legitiem apparaat is, kunt u het basispercentage van de bedreigingsopsporing op ASA verhogen om deze foutenmelding op te lossen.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
17-Oct-2006
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten