IP : Dispositivos de segurança Cisco PIX 500 Series

Ferramenta de segurança FAQ PIX/ASA

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (1 Julho 2009) | Inglês (22 Agosto 2015) | Feedback


Perguntas


Introdução

Este documento dá respostas mais frequentemente às perguntas feitas (FAQ) relativas aos dispositivos do Cisco Security, tais como a série PIX 500 e os dispositivos do 5500 Series ASA.

O público-alvo para este documento é um administrador da ferramenta de segurança que compreenda comandos CLI e características e tenha a experiência com a configuração de umas versões de software de PIX mais adiantadas.

Compatibilidade com versão de software

Q. Que dispositivos apoiam PIX 7.x?

A. PIX 515, PIX 515E, PIX 525, PIX 535 e toda a versão 7.x e mais recente do software de suporte do Dispositivos de segurança adaptáveis Cisco ASA série 5500 (ASA 5510, ASA 5520, e ASA 5540).

As ferramentas de segurança do PIX 501, do PIX 506E, e do PIX 520 não são apoiadas na versão de software 7.x.

Q. Eu tenho um modelo PIX 515/515E que seja executado na versão de software 6.x, e eu quero promover a 7.x. Isso é possível?

A. Sim, é possível fornecido lhe tem os módulos da memória necessária. Refira a upgrade de memória da ferramenta de segurança de Cisco PIX 515/515E para a versão de software de PIX 7.0 para os requisitos de memória exatos antes que você promova PIX 515/515E.

Q. Que são as mudanças e os novos recursos em PIX 7.0? Quando eu promovo da versão 6.x à 7.x, são as características velhas tomadas cuidado de automaticamente?

A. Refira mudanças na versão 7.0 da ferramenta de segurança PIX para os detalhes relativos às mudanças e aos novos recursos em PIX 7.0.

A maioria mudaram e suplicaram características e os comandos são convertidos automaticamente quando botas da ferramenta de segurança 7.x PIX em seu sistema. Alguns características e comandos exigem a intervenção manual antes ou durante a elevação. Consulte características e comandos mudados e suplicados para mais informação.

Problemas de configuração

Q. Como você executa uma configuração básica para as ferramentas de segurança que executam 7.x?

A. Refira a seção configurando das configurações básicas do guia do comando line configuration do dispositivo do Cisco Security, versão 7.1.

Q. Como eu configuro as relações em PIX 7.x?

A. O PIX/ASA 7.0 estabelece-se para assemelhar-se de tão perto quanto possível ao½ do¿Â do Cisco IOSï do roteador e do interruptor. Em PIX/ASA 7.0, a configuração lê como esta:

interface Ethernet0
         description Outside Interface
         speed 100
         duplex full
         nameif outside
         security-level 0
         ip address 10.10.80.4 255.255.255.0 standby 10.10.80.6

Refira configurar parâmetros da relação em PIX 7.0 para mais informação.

Q. Como eu crio uma lista de acesso (ACL) no ASA ou no PIX?

A. Uma lista de acessos é composta de umas ou várias entradas de controle de acesso (ACE) com as mesmas Listas de acesso identificação da lista de acessos é usada para controlar o acesso de rede ou para especificar o tráfego para que muitas características atuem em cima. A fim adicionar um ACE, use o comando access-list <ID> estendido no modo de configuração global. A fim remover um ACE, não use nenhum formulário deste comando. A fim remover a lista de acessos inteira, use o claro configuram o comando access-list.

Este comando access-list permite que todos os anfitriões (na relação a que você aplica a lista de acessos) atravessem a ferramenta de segurança:

hostname(config)#access-list ACL_IN extended permit ip any any

Se uma lista de acessos é configurada ao tráfego de controle através da ferramenta de segurança, deve ser aplicada a uma relação com o comando access-group antes que tome o efeito. Somente uma lista de acessos pode ser aplicada a cada relação em cada sentido.

Incorpore este comando a fim aplicar uma lista de acesso extendida à direção de entrada ou de saída de uma relação:

hostname(config)#access-group access_list_name {in | out} interface interface_name 
[per-user-override]

Este exemplo mostra uma lista de acessos de entrada aplicada à interface interna que permite a rede 10.0.0.0 /24 através da ferramenta de segurança:

hostname(config)#access-list INSIDE extended permit ip 10.0.0.0 255.255.255.0 any
hostname(config)#access-group INSIDE in interface inside

Este exemplo mostra uma lista de acessos de entrada aplicada à interface externa que permite que todos os anfitriões na parte externa da ferramenta de segurança tenham o acesso à Web através da ferramenta de segurança ao server em 172.20.1.10:

hostname(config)#access-list OUTSIDE extended permit tcp any host 172.20.1.10 eq www
hostname(config)#access-group OUTSIDE in interface outside

Nota: As Listas de acesso contêm um implícito “negam” na extremidade. Isto significa que uma vez que um ACL é aplicado, todo o tráfego permitido não explicitamente por um ACE no ACL está negado.

Q. Posso eu usar a relação management0/0 no ASA a fim passar o tráfego como alguma outra relação?

A. Sim. Refira o comando do Gerenciamento-somente para mais informação.

Q. Que o contexto de segurança na ferramenta de segurança significa?

A. Você pode dividir um único hardware PIX nos dispositivos virtuais múltiplos, conhecidos como contextos de segurança. Cada contexto transforma-se um dispositivo independente, com seus próprios política de segurança, relações, e administradores. Os contextos múltiplos são similares a ter dispositivos autônomo múltiplos. Muitas características são apoiadas no modo de contexto múltiplo e incluem tabelas de roteamento, recursos de firewall, IPS, e Gerenciamento. Algumas características não são apoiadas, incluindo o VPN e os protocolos de roteamento dinâmico.

Q. Como eu configuro a característica do grupo-fechamento do usuário VPN no ASA ou no PIX?

A. A fim configurar o fechamento do grupo, envie o nome da política do grupo no atributo de classe 25 no server do Remote Authentication Dial-In User Service (RADIUS) e escolha o grupo a fim travar o usuário dentro da política.

Por exemplo, a fim travar o usuário do cisco123 no grupo de RemoteGroup, defina a classe OU=RemotePolicy do atributo 25 do Internet Engineering Task Force (IETF) para este usuário no servidor Radius.

Refira este exemplo de configuração a fim configurar o fechamento do grupo em uma ferramenta de segurança adaptável (ASA) /PIX:

group-policy RemotePolicy internal
group-policy RemotePolicy attributes
dns-server value x.x.x.x
group-lock value RemoteGroup

tunnel-group RemoteGroup type ipsec-ra
tunnel-group RemoteGroup general-attributes
address-pool cisco
authentication-server-group RADIUS-Group
default-group-policy RemotePolicy

Nota:  O OU ajusta a política do grupo, e a política do grupo trava o usuário no grupo de túneis preferido.

A fim estabelecer seu Cisco Secure ACS for Windows, servidor Radius para travar um usuário em um grupo particular configurado no ASA.

Q. Como posso eu capturar pacotes no PIX/ASA?

A. Os pacotes podem ser capturados no PIX/ASA se você usa a característica da captura de pacote de informação. Refira ASA/PIX/FWSM: Pacote que captura usando o CLI e o exemplo da configuração ASDM para obter mais informações sobre de como configurar a característica da captura de pacote de informação.

Q. Como posso eu reorientar o tráfego de HTTP ao HTTPS no ASA?

A. Emita o comando redirect HTTP no modo de configuração global em ordem especificam que a ferramenta de segurança reorienta conexões de HTTP ao HTTPS.

hostname(config)#http redirect interface [port] 

Q. Como um ASA aprende sobre o MAC address do host?

A. Um ASA emite uma requisição ARP para o host diretamente em uma sub-rede conectada mesmo se emite um pacote SYN ao ASA, que tem a informação ARP no encabeçamento da camada 2. O Firewall não aprende o MAC address do host do pacote SYN e tem que emitir uma requisição ARP para ele. Se o host não está respondendo para a requisição ARP, então o ASA deixa cair o pacote.

Q. Há algum impacto direto em Cisco ASA quando o tronco I uma interface física e subinterfaces do uso instaed de usar relações de físico múltiplo?

A. Não A não ser o processamento extra exigido para os encabeçamentos 802.1q nos pacotes, não há nenhum outro impacto significativo em Cisco ASA.

Q. Posso eu configurar o NAT/PAT entre as mesmas interfaces de segurança de Cisco ASA?

A. Sim. Isto é possível do Software Release 8.3 de Cisco ASA.

Edições do upgrade de software

Q. Eu promovi meu PIX de 6.x a 7.x. Após a elevação eu observei um USO de CPU 8-10% mais alto para o mesmo valor do tráfego? É este aumento normal?

A. O PIX 7.0 tem três vezes mais Syslog e novos recursos do que as versões 6.x. O USO de CPU aumentado comparado a 6.x é normal.

Problemas de conectividade

Q. Eu sou incapaz de sibilar fora da interface externa ao usar a ferramenta de segurança 7.0. Como posso corrigir este problema?

A. Há duas opções em PIX 7.x que permitem que os usuários internos sibilem fora. A primeira opção é setup uma regra específica para cada tipo de mensagem de eco. Por exemplo:

access-list 101 permit icmp any any echo-reply
        access-list 101 permit icmp any any source-quench 
        access-list 101 permit icmp any any unreachable  
        access-list 101 permit icmp any any time-exceeded
        access-group 101 in interface outside

Isto permite somente estas mensagens do retorno com o Firewall quando um usuário interno sibila a um host exterior. Os outros tipos de mensagens de status ICMP puderam ser hostis e o Firewall obstrui todos mensagens ICMP restantes.

Uma outra opção é configurar a inspeção ICMP. Isto permite que um endereço IP de Um ou Mais Servidores Cisco ICM NT confiado atravesse o Firewall e permite respostas de volta ao endereço confiável somente. Esta maneira, todas as interfaces internas pode sibilar exterior e o Firewall permite que as respostas retornem. Isto igualmente dá-lhe a vantagem de monitorar o tráfego ICMP que atravessa o Firewall.

Por exemplo:

policy-map global_policy
    class inspection_default
     inspect icmp

Q. Eu sou incapaz de alcançar a interface interna da ferramenta de segurança quando conectado através de um túnel VPN. Como posso fazer isso?

A. A interface interna da ferramenta de segurança não pode ser alcançada da parte externa, e vice-versa, a menos que o acesso de gerenciamento for configurado no modo de configuração global. Uma vez que o acesso de gerenciamento é permitido, o acesso do telnet, SSH, ou HTTP deve ainda ser configurado para os anfitriões desejados.

pix(config)#management-access inside
pix(config)#show running-config management-access
management-access inside

Q. Por que sou eu incapaz de conectar o telefone IP através do túnel VPN com o ASA?

A. Pode ser uma edição da autenticação. Verifique que o grupo de usuário de telefone IP tem a autenticação (X-AUTH) permitida.

ASDM relativo

Q. Como faz mim permite/acesso o ASDM em ASA/PIX?

A. Você precisa de permitir o servidor HTTPS e de permitir que as conexões de HTTPS à ferramenta de segurança a fim usar o ASDM. Todas estas tarefas são terminadas se você usa o comando setup.

Refira permitir o acesso HTTPS para o ASDM para mais informação.

Recursos suportados

Q. Que são os dois modos de operações na ferramenta de segurança?

A. A ferramenta de segurança PIX pode operar-se em dois modos de firewall diferentes:

  1. Modo roteado — No modo roteado, o PIX tem os endereços IP de Um ou Mais Servidores Cisco ICM NT atribuídos a suas relações e atua como um salto do roteador para os pacotes que passam através dele. Toda a inspeção e decisões de encaminhamento do tráfego são baseadas em parâmetros da camada 3. Isto é como as versões do PIX Firewall mais cedo de 7.0 se operam.

  2. Modo transparente — No modo transparente o PIX não tem os endereços IP de Um ou Mais Servidores Cisco ICM NT atribuídos a suas relações. Em lugar de atua como uma ponte da camada 2 que mantenha uma tabela de endereços MAC e faça as decisões de encaminhamento baseadas naquela. O uso de lista de acesso IP estendido completas está ainda disponível e o Firewall pode inspecionar a atividade IP em qualquer camada. Neste modo de operação o PIX é referido frequentemente como um “Bump In The Wire” ou o “firewall furtivo”. Há outras diferenças significativas a respeito de como o modo transparente se opera em comparação com o modo roteado:

    • Somente duas relações são apoiadas — para dentro e fora

    • O NAT não é apoiado ou é exigido desde que o PIX é já não um salto.

      Nota: O NAT e a PANCADINHA são apoiados no Firewall transparente para liberações ASA/PIX 8.0(2) e mais atrasado.

Refira o PIX/ASA: Exemplo transparente da configuração de firewall para obter mais informações sobre de como configurar a ferramenta de segurança no modo transparente. Refira o NAT no modo transparente para mais informação.

Nota: Porque os modos transparentes e roteados usam aproximações diferentes à Segurança, a configuração running é cancelada quando o PIX é comutado ao modo transparente. Seja certo salvar sua configuração running do modo roteado para piscar ou um servidor interno.

Q. O ASA apoia o Balanceamento de carga ISP?

A. Não O Balanceamento de carga deve ser segurado por um roteador que passe o tráfego à ferramenta de segurança.

Q. A autenticação md5 com BGP é apoiada com o ASA?

A. Não, autenticação md5 não é apoiado com o ASA, mas uma ação alternativa pode ser desabilitá-la. Refira ASA/PIX: BGP com o exemplo de configuração ASA para mais informação.

Q. O PIX/ASA apoia relações do EtherChannel/PortChannel?

A. Sim, o apoio para o EtherChannel é introduzido na versão de software 8.4 ASA. Você pode configurar até 48 802.3ad EtherChannéis de oito interfaces ativa cada um. Para mais informação, refira Release Note da versão ASA 8.4.

Q. Pode Anyconnect e Cisco VPN Client trabalhe junto no ASA?

A. Sim, porque não são relacionados. Anyconnect trabalha no SSL e no Cisco VPN Client trabalha no IPSEC.

Q. É ASA/PIX pode obstruir Skype?

A. Infelizmente, o PIX/ASA não pode obstruir o tráfego do skype. Skype tem a capacidade de negociar portas dinâmica e de usar o tráfego criptografado. Com tráfego criptografado, é virtualmente impossível detectá-lo porque não há nenhum teste padrão a procurar.

Você poderia eventualmente usar um Sistema de prevenção de intrusões da Cisco (IPS). Tem algumas assinaturas que podem detectar um cliente de Windows Skype que conecte a Skype o server para sincronizar sua versão. Isto é feito geralmente quando o cliente é iniciado a conexão. Quando o sensor pegara a conexão inicial de Skype, você pode poder encontrar a pessoa que usa o serviço, e obstrui todas as conexões iniciadas de seu endereço IP de Um ou Mais Servidores Cisco ICM NT.

Q. O ASA apoia o SNMPv3?

A. Sim. O Software Release 8.2 de Cisco ASA apoia a versão 3 do Simple Network Management Protocol (SNMP), a versão a mais nova do SNMP, e adiciona opções da autenticação e da privacidade a fim fixar operações do protocolo.

Q. Há uma maneira às entradas de registro com um nome em vez de um endereço IP de Um ou Mais Servidores Cisco ICM NT?

A. Use o comando names a fim permitir a associação de um nome com um endereço IP de Um ou Mais Servidores Cisco ICM NT. Você pode associar somente um nome com um endereço IP de Um ou Mais Servidores Cisco ICM NT. Você deve primeiramente usar o comando names antes que você use o comando name. Use o comando name imediatamente depois que você usa o comando names e antes que você use o comando write memory.

O comando name permite que você identifique um host por um nome do texto e sequências de caracteres de texto do mapa aos endereços IP de Um ou Mais Servidores Cisco ICM NT. Use o comando clear configure name a fim cancelar a lista dos nomes da configuração. Use o comando no names a fim desabilitar valores de registro do nome. Ambos os comandos name e names salvar na configuração.

Q. Está o comando ip accounting disponível em PIX/ASA 7.x?

A. Não.

Q. A ferramenta de segurança 7.0 apoia é você lá (AYT) caracteriza?

A. Sim. Em uma encenação AYT, um usuário remoto tem um firewall pessoal instalado no PC. O cliente VPN reforça a política de firewall definida no Firewall local, e monitora esse Firewall para certificar-se de que se realizam as corridas. Se o Firewall para de ser executado, o cliente VPN deixa cair a conexão ao PIX ou ao ASA. Este mecanismo de aplicação do Firewall é chamado é você lá (AYT), porque o cliente VPN monitora o Firewall enviando o periódico “é você lá?” mensagens. Se nenhuma resposta vem, o cliente VPN sabe que o Firewall está para baixo e termina sua conexão à ferramenta de segurança PIX. O administrador de rede pôde configurar estes Firewall PC originalmente, mas com esta aproximação, os usuários podem personalizar suas próprias configurações.

Q. O FTP com TLS/SSL é apoiado através da ferramenta de segurança?

A. Não. Em uma conexão de FTP típica, o cliente ou o server devem dizer ao outro que porta a se usar para transferência de dados. O PIX pode inspecionar esta conversação e abrir essa porta. Contudo, com o FTP com TLS/SSL, esta conversação é cifrada e o PIX é incapaz de determinar que portas a abrir. Assim, o FTP com conexão TLS/SSL falha finalmente.

Uma alternativa possível é nesta situação usar um cliente de FTP que apoie o uso de “de um canal comando clear” ao ainda usar TLS/SSL para cifrar o canal de dados. Com esta opção permitida, o PIX deve poder determinar que porta precisa de ser aberta.

Q. A ferramenta de segurança apoia o DDNS?

A. Sim, o apoio DDNS da ferramenta de segurança. Refira configurar os DN Dinâmicos para mais informação.

Q. Faz o suporte de PIX WebVPN/SSL VPN?

A. Não, mas é apoiado na ferramenta de segurança adaptável do Cisco 5500 Series (ASA).

Q. Faz o Cisco AnyConnect VPN Client do suporte de PIX?

A. Não, é apoiado somente na ferramenta de segurança adaptável do Cisco 5500 Series (ASA).

Q. Faz o suporte de PIX todos os Módulos de serviços como AIP-SSM e CSC-SSM?

A. Não.

Q. O dispositivo do Cisco Security apoia o chave manual do IPsec (criptografia manual)?

A. Não.

Q. O ASA apoia o gerenciamento de senha com NT?

A. O ASA não apoia o gerenciamento de senha com NT.

Nota: A ferramenta de segurança apoia o gerenciamento de senha para o RAIO e os protocolos ldap.

Q. Pode o Cisco 5500 Series ASA fazer um Policy Based Routing (PBR) como o roteador Cisco? Por exemplo, o tráfego de correio deve ser distribuído ao primeiro ISP quando o tráfego HTTP dever ser distribuído ao segundo.

A. Infelizmente, não há nenhuma maneira de fazer neste tempo o roteamento baseado em política no ASA. Pode ser uma característica que seja adicionada ao ASA no futuro.

Nota: O comando route-map é usado redistribuir rotas entre protocolos de roteamento, tais como o OSPF e o RASGO, com o uso do medidor e não ao tráfego regular da rota da política como no Roteadores.

Q. Posso eu usar ASA 5510 como um cliente VPN fácil?

A. Não A configuração de cliente VPN fácil é apoiada somente em ASA 5505.

Q. Faz o roteamento assimétrico dos apoios ASA?

A. O ASA apoia o roteamento assimétrico na versão 8.2(1) e mais recente. Não é apoiado nas versões ASA antes de 8.2(1).

Q. Posso eu configurar o roteamento dinâmico sobre o túnel VPN no ASA?

A. Não. Isto é possível somente usando as interfaces de túnel, que não são apoiadas ainda no ASA.

Q. O ASA apoia o cliente de PPTP?

A. Não.

Q. O apoio QoS ASA que marca o pacote com DSCP avalia?

A. Não, apoia somente a harmonização do tráfego DSCP e passa-a aos dispositivos do salto seguinte sem mudar os valores DSCP. Refira o DSCP e a preservação do DiffServ para mais informação.

Q. Que IPsec transforma (ESP, AH) é apoiado nas versões 7.0 e mais recente ASA/PIX?

A. Somente a criptografia e a autenticação do Encapsulating Security Payload (ESP) do IPsec são apoiadas. O Authentication Header (AH) transforma não é apoiado nas versões 7.0 e mais recente ASA/PIX.

Q. O apoio Universal Plug and Play ASA (UPnP) caracteriza?

A. Não, ASA não apoia a característica de Universal Plug and Play (UPnP) a partir de agora.

Q. O ASA apoia o roteamento com base na origem?

A. Não.

Q. O tráfego H.329 passa com PIX/ASA 8.1 e mais atrasado?

A. Não.

Q. O ASA apoia a inspeção do protocolo H.460?

A. Não.

Q. O ASA apoia a autorização de exec, que registra o usuário diretamente no modo enable após a autenticação?

A. Não, característica da autorização de exec não é apoiado no ASA.

Q. O ASA permite que o tráfego de broadcast passe através de sua relação?

A. Não.

Q. É possível configurar uma autenticação de dois fatoras L2L VPN entre 5505 ASA?

A. A autenticação de dois fatores pode ser começo configurado com versão ASA 8.2.x somente para AnyConnect e SSL VPN. Você não pode configurar a autenticação de dois fatores para L2L VPN.

Q. É possível adicionar dois proxys do telefone no mesmo ASA?

A. Não. Não é possível adicionar dois proxys do telefone no mesmo ASA que o ASA não apoia este.

Q. O ASA apoia a configuração Netflow?

A. Sim, esta característica é apoiada na versão ASA 8.1.x de Cisco e mais tarde. Para detalhes de implementação completos, refira os guias de execução do cisco netflow. Para um sumário de configuração completo, refira os exemplos de configuração para a seção segura do logging de evento de NewFlow de configurar o logging de evento seguro do Netflow.

Q. O ASA apoia Sharepoint?

A. O ASA 7.1 e 7.2 não apoia Sharepoint. Apoie para Sharepoint 2003 (2.0 e 3.0) começos com versão ASA 8.x. Editar documentos do escritório para Sharepoint 2.0 e 3.0 em um modo pureclientless (nenhuns smarttunnels, nenhum remetente da porta) é apoiada igualmente. os Smart-túneis podem ser usados também, até à data de ASA 8.0.4. 4. Todos os recursos básicos apoiados para Sharepoint 2003 em 8.0 são apoiados para 2007 na versão ASA 8.2 5.

Q. O ASA apoia o cliente nativo L2TP/IPsec em dispositivos de Android?

A. Android não é inteiramente em conformidade com RFC e apoiado por Cisco ASA que começa com versão 8.4.1. Para mais informação, refira clientes suportados.

Q. Que é o número máximo de ACL que podem ser configurados no ASA?

A. Não há nenhum limite definido para o número de ACL que podem ser configurados no ASA. Depende da memória atual no ASA.

Q. Pode o backup I a configuração ASA com o SNMP?

A. Não A fim conseguir isto, você precisa de usar o writenet SNMP, que exige a cópia MIB da configuração de Cisco. Atualmente, isto não é apoiado porque este MIB específico não é apoiado por Cisco ASA.

Q. Eu não posso iniciar uma apresentação do portátil durante um atendimento de videoconferência entre unidades da vídeo Cisco. O atendimento video trabalha muito bem, mas a apresentação video do portátil não trabalha. Como esta edição é resolvida?

A. Uma videoconferência com uma apresentação do portátil trabalha no protocolo H.239, que não é apoiado em versões de software de Cisco ASA antes de 8.2. A fim assegurar uma apresentação de dados trabalha em uma videoconferência, Cisco ASA deve apoiar a negociação apropriada de H.239 entre os pontos finais video. Este apoio está disponível do Software Release 8.2 e Mais Recente de Cisco ASA. Uma elevação a uma versão estável em um software release, tal como 8.2.4, resolverá esta edição.

Q. É possível configurar a autenticação do 802.1x no ASA 5505?

A. Não. Não é possível configurar a autenticação do 802.1x no ASA 5505.

Q. O tráfego multicast do apoio de Cisco ASA é enviado em um IPSec VPN escava um túnel?

A. Não. Não é possível porque este não é apoiado por Cisco ASA. Como uma ação alternativa, você pode ter o tráfego multicast encapsulado usando o GRE antes que obtém cifrado. Inicialmente, o pacote de transmissão múltipla tem que ser encapsulado usando o GRE em um roteador Cisco, a seguir este pacote GRE será enviado mais a Cisco ASA para a criptografia IPSec.

Q. Cisco ASA está sendo executado no Active/modo ativo. Eu quero configurar Cisco ASA como um gateway de VPN. Isso é possível?

A. Isto não é possível porque os contextos múltiplos e o VPN não podem ser executado simultaneamente. Cisco ASA puder ser configurado para o VPN quando somente no Active/modo standby.

Q. Ao usar Cisco ASA como um servidor de VPN, é possível enviar a informação sobre o tipo de cliente (AnyConnect ou IPsec) a um base de dados RADIUS através dos registros de contabilidade?

A. Isto não é possível porque não há nenhum tal atributo para enviar o tipo de serviço que o cliente está usando.

Q. Filtro ASA Botnet: Como você verifica para ver se há relatórios sobre blocos dinâmicos no ASA?

A. Os relatórios sobre os blocos dinâmicos no ASA podem ser verificados com o comando top dos relatórios do dinâmico-filtro da mostra. Para mais informação, refira o combate de Botnets usando o filtro de tráfego de Cisco ASA Botnet.

Q. O Cisco Discovery Protocol (CDP) é apoiado no PIX/ASA?

A. Porque o PIX/ASA é um dispositivo de segurança, não apoia o CDP.

Q. Posso eu controlar o ASA usando o Cisco Network Assistant (POSSA)?

A. Sim, a versão a mais atrasada da LATA apoia o ASA. Refira os dispositivos apoiados alistam para mais informação.

Q. É possível configurar o ASA para atuar como o Certification Authority (CA) e para emitir um certificado aos clientes VPN?

A. Sim, com ASA 8.x e mais tarde você pode configurar o ASA para atuar como CA local. Atualmente, o ASA permite somente a autenticação para os clientes VPN SSL com os Certificados emitidos por clientes de IPSec este CA não é apoiado ainda. Refira CA local para mais informação.

Nota: A característica local de CA não é apoiada se você usa Failover ativo/ativo ou o Balanceamento de carga VPN. CA local não pode ser subordinado a um outro CA; pode atuar somente como a CA raiz.

Failover

Q. Pode uma ferramenta de segurança com uma licença do Failover ser parte de um Failover ativo-ativo?

A. As unidades de failover da ferramenta de segurança podem ser usadas par de failover ativo/ativo uma vez que têm upgrade de licença ativa/ativa nova do Failover instaladas (o active/active exige um modelo do UR e modelo ativo/ativo um “FO”). Refira licenças de recurso e especificações para obter mais informações sobre de licenciar.

Q. O ASA apoia SSL VPN quando configurado para o Failover?

A. O ASA apoia SSL VPN somente quando configurado para Failover ativo/à espera e não Failover ativo/ativo. Para mais informação, refira a manipulação do Failover ASA do tráfego e das configurações do aplicativo VPN SSL.

Mensagens de erro

Q. Eu sou incapaz de configurar o Failover quando o EZVPN é permitido em ASA 5505. Porque faz este Mensagem de Erro apareça: erro:- o ERRO]] vpnclient permite * desabilite o CONFLITO da CONFIGURAÇÃO do Failover: A configuração que impediria a operação remota bem sucedida do Cisco Easy VPN foi detectada, e está listada acima. Resolva por favor o conflito de configuração acima e re-permita-o?

A. Se o ASA 5505 usa o EasyVPN para usuários remotos (modo de cliente), o Failover trabalha, mas se você tem o ASA configurado para o usar com cliente VPN fácil (modo da extensão de rede MODE-NEM), a seguir ele não trabalha quando o Failover é configurado. Assim o Failover trabalha somente quando o ASA usa o EZVPN para usuários remotos (modo de cliente), e assim que este errror ocorre.

Q. Eu recebo este Mensagem de Erro quando eu configuro o terceiro VLAN: :- ERRO: Esta licença não reserva configurar mais de 2 relações com nameif e sem “nenhum” comando dianteiro nesta relação ou em relações do on1 com o nameif já configurado. Como eu posso solucionar esse erro?

A. Este erro tem ocorrido devido a uma limitação da licença no ASA. Você deve obter a Segurança mais a licença a fim configurar mais VLAN como no modo roteado. Somente três Vlan ativo podem ser configurados com a licença baixa, e os até 20 Vlan ativo com a Segurança mais a licença. Você pode criar um terceiro VLAN com a licença baixa, mas este VLAN tem somente uma comunicação à parte externa ou ao interior mas não nos ambos sentidos. Se você precisa de ter a comunicação nos ambos sentidos, a seguir você precisa de promover a licença. Igualmente, se você usa a licença baixa, permita que esta relação seja o terceiro VLAN e limite-o de iniciar o contato outro a um VLAN com o hostname (config-if) # nenhum comando number vlan da relação dianteira. Assim o terceiro VLAN pode ser configurado.

Q. Como posso eu resolva este Mensagem de Erro: %ASA-6-110002: Não encontram a interface de saída para o UDP da parte externa: x.x.x.x/xxxx a x.x.x.x/xxxx?

A. O ASA dá este Mensagem de Erro quando o cliente VPN tenta usar o programa peer-to-peer e esse tráfego entra no túnel, onde o server peer-to-peer não reside. Configurar o túnel em divisão a fim resolver esta edição de modo que o tráfego que precisa de sair ao Internet não viaje através do túnel e do pacote não seja deixado cair pelo Firewall. Refira ASA/PIX: Permita o Split Tunneling para clientes VPN no exemplo de configuração ASA para obter mais informações sobre da configuração do Split Tunneling no ASA.

Q. Como posso eu resolva este Mensagem de Erro: Erro: execUpgradeSoftware: operação cronometrada para fora com o 0 dos bytes 1 recebidos?

A. Quando você tenta promover o AIP-SSM com o FTP, pode intervalo. Aumente o valor de timeout FTP a fim resolver a edição.

por exemplo:

configure terminal
service host
network-settings
ftp-timeout 2700
exit

Salvar mudanças.

Q. Como posso eu resolva este Mensagem de Erro: %ASA-4-402123: CRIPTO: O acelerador de hardware ASA encontrou um erro?

A. A fim resolver esta edição, tente uma destas ações alternativas:

Q. Como posso eu resolva este Mensagem de Erro: incapaz de enviar o mensagem de autenticação?

A. O ASA não apoia o gerenciamento de senha quando você usa a autenticação (interna) LOCAL. Remova o gerenciamento de senha se configurado a fim resolver esta edição.

Q. Como posso eu resolva este Mensagem de Erro que é recebido ao testar a autenticação no ASA: ERRO: Authentication Server que não responde: Nenhum erro?
ASA# test aaa-server authentication TAC_SRVR_GRP username test password test123
Server IP Address or name: ACS-SERVER
INFO: Attempting Authentication test to IP address <ACS-SERVER> (timeout: 12 seconds)
ERROR: Authentication Server not responding: No error

A. Use qualquens um pontos para resolver este problema:

  • Verifique a Conectividade do ASA ao servidor AAA através do teste de ping e assegure-se de que o servidor AAA seja alcançável do ASA.

  • Verifique a configuração relacionada AAA no ASA e verifique se o servidor AAA esteja mencionado corretamente ou não.

    ASA# show run aaa-server 
    aaa-server RAD_SRVR_GRP protocol radius
    aaa-server RAD_SRVR_GRP host ACS-SERVER
     key *
    aaa-server TAC_SRVR_GRP protocol tacacs+
    aaa-server TAC_SRVR_GRP host ACS-SERVER
     key *
  • Verifique se o raio é portas TACACS é obstruído por qualquer Firewall no trajeto entre o servidor AAA e o ASA. Assegure-se de que as portas correspondente estejam abertas baseiem no protocolo usado.

  • Verifique os parâmetros no servidor AAA.

  • Recarregue o servidor AAA.

Um teste bem-sucedido da autenticação olha como este:

ASA(config)# test aaa authentication topix host 10.24.10.10 username test password test1234
INFO: Attempting Authentication test to IP address <10.24.0.10> (timeout: 12 seconds)
INFO: Authentication Successful

Q. Como posso eu resolva este Mensagem de Erro: %Error que abre o erro disk0:/.private/startup-config (sistema de arquivos de leitura apenas) que executa o [FAILED] do comando?

A. Formate o flash ou o comando fsck em ASA/PIX a fim resolver esta edição.

Q. Como posso eu resolva este Mensagem de Erro ASDM: Soquetes desligado não executados?

A. Esta edição ocorre quando a versão 5.0 ou mais recente ASDM é executado no ASA, no PIX, ou no FWSM, e usa a atualização 10 das Javas 6 ou mais tarde. Ao carregar o ASDM, esta mensagem aparece:

ASDM cannot be loaded. Click OK to exit ASDM.
Unconnected sockets not implemented.

A fim resolver esta edição, desinstale a atualização 10 das Javas 6, e instale a atualização 7 das Javas 6. Para mais informação, refira CSCsv12681 (clientes registrados somente).

A fim conseguir o ASDM carregar corretamente com a atualização 10 das Javas 6, atualize o ASDM a ASDM 6.1(5)51. Para a informação detalhada, refira a seção do sistema operacional e dos requerimentos de navegador do cliente ASDM da versão 6.1(5) dos Release Note de Cisco ASDM.

Q. Como posso eu resolva este Mensagem de Erro: %ASA-1-199010: Sinal 11 travado em processo/fibra () do executor do async do rtcli do processo/(executor do async do rtcli) no endereço 0xf132e03b, ação corretiva em 0xca1961a0?

A. Esta edição pôde ser causada quando o ASDM está usado para alcançar o ASA ou quando há utilização elevada da CPU no ASA. Esta mensagem aparece geralmente quando o mecanismo da recuperação de erro impede que o sistema cause um crash.

Se não há nenhuma outra edição com esta mensagem, pode ser ignorada. É um erro recuperável que não impacte o desempenho.

Q. O tráfego do Oracle não passa com o Firewall. Como resolvo esse problema?

A. Esta edição é causada pela característica da inspeção do sqlnet do Firewall. Quando ocorre, as conexões estão rasgadas para fora. O proxy TCP para o motor da inspeção do sqlnet foi projetado segurar quadros múltiplos TNS em um segmento TCP. A inspeção do sqlnet segura muitos quadros TNS em um pacote que torna o código complexo.

A fim resolver esta edição, o motor da inspeção não deve segurar quadros múltiplos TNS em um pacote. Supõe-se que cada quadro TNS para ser um pacote de TCP diferente e é inspecionado individualmente.

Os Bug de Software foram arquivados para este comportamento; para mais informação, refira CSCsr27940 (clientes registrados somente) e CSCsr14351 (clientes registrados somente).

A solução para este problema é dada abaixo.

Use o nenhum inspecionam o comando do sqlnet no modo de configuração de classe a fim desabilitar a inspeção para o sqlnet.

ASA(config)#class-map sqlnet-port
ASA(config-cmap)#match port tcp eq 1521
ASA(config-cmap)#exit
ASA(config)#policy-map sqlnet_policy
ASA(config-pmap)#class sqlnet-port
ASA(config-pmap-c)#no inspect sqlnet
ASA(config-pmap-c)#exit
ASA(config)#service-policy sqlnet_policy interface outside

Para mais informação, refira a seção da inspeção de SQLNet da referência de comandos do dispositivo do Cisco Security, versão 8.0.

Q. Eu sou incapaz de copiar a imagem do software ao flash do ASA, e eu recebo um Mensagem de Erro similar a esta mensagem: Erro que escreve disk0:/asa8XX-XX.bin (não pode atribuir a memória)

A. Esta edição pôde ocorrer se o Firewall é incapaz de atribuir a memória (RAM) para carregar a imagem do software.

O ASA protege a imagem inteira em RAM quando for transferido ao ASA. Até que termine a escrita para piscar, deve haver um bloco de memória livre disponível grande bastante para guardar a imagem do software inteira. Um bloco de memória cheia deve estar disponível para proteger a imagem inteira antes que o ASA a escreva para piscar.

A utilização de memória é relacionada diretamente às características permitidas em seu ASA; estas características são carregadas cada vez que seu ASA é carreg, apesar de como a imagem?a (através da rede ou do flash). Você podido desabilitar as características que você não está usando atualmente a fim reduzir a utilização de memória. Note que o WebVPN, SSLVPN, e a detecção da ameaça tendem a consumir muita memória.

Você pode igualmente usar o monitor de rom (ROMMON) para copiar a imagem, ou você pode ajustar seu parâmetro de inicialização para carreg através de tftp e para copiar então a imagem depois que o ASA carreg sobre a rede. Desde que ROMmon não carrega a configuração, não carrega estas características; consequentemente, você não deve experimentar a edição quando você usa este método para copiar o arquivo.

Tente estas ações alternativas.

Q. Como posso eu resolva este Mensagem de Erro: as estatísticas da ameaça-detecção da número--taxa 0 do host das estatísticas da ameaça-detecção do [ERROR] hospedam % da entrada inválida do ^ da número--taxa 0 detectada no marcador do “^”?

A. Este erro pode ocorrer quando você usar a característica da detecção da ameaça no ASDM. Use o CLI para enviar o comando ou para degradar o ASDM a fim resolver esta edição.

Q. Como posso eu resolva este Mensagem de Erro: %ERROR: 'disk0:/csco_config/97/customization/index.ini de copi ao ramfs provisórios arquivam falhado?

A. Esta edição é devido à identificação de bug Cisco CSCsy77628 (clientes registrados somente). A fim resolver esta edição o comando all do webvpn do comando revert no modo de exec privilegiado cancelar todas as configurações WebVPN. Reconfigure a partir do zero e recarregue então o ASA.

Q. Como posso eu resolva este Mensagem de Erro no ASA: ERRO: montagem: Montar /dev/hda1 em /mnt/disk0 falhou: Argumento inválido?

A. Reformat o instantâneo a fim resolver esta edição. Se isto não resolve a edição a seguir contacta o TAC para a assistência adicional.

Q. Eu recebo este Mensagem de Erro no ASA quando eu tento adicionar caráteres NON-ingleses em uma bandeira: O CLI gerado tem caráteres unsupported. O ASA não aceita tais caráteres. A seguinte linha tem caráteres unsupported. Como eu posso solucionar esse erro?

A. Esta edição é devido à identificação de bug Cisco CSCsz32125 (clientes registrados somente). A fim resolver esta edição, promova o ASA com versão de software 8.0(4.34).

Q. Como posso eu resolva este Mensagem de Erro no ASA: %ASA-1-216005: ERRO: A incompatibilidade bidirecional em Et0/0 conduziu ao aprisionamento do transmissor. Um soft reset do interruptor foi executado?

A. Este Mensagem de Erro é considerado quando uma incompatibilidade bidirecional existe entre a porta especificada e o dispositivo que lhe está conectado. Ajuste dispositivos ao automóvel ou à duro-codificação o duplex em ambos os lados para ser o mesmos a fim corrigir a incompatibilidade bidirecional. Isto resolve a edição.

Nota: A identificação de bug Cisco CSCsm87892 foi arquivada em relação a este problema, e o erro é movido para estado resolved agora. Para mais informação, refira CSCsm87892 (clientes registrados somente).

Q. Quando eu executo o processo de recuperação no módulo AIP-SSM e então nas repartições do módulo repetidamente, eu recebo este Mensagem de Erro: Número mágico ruim (0x-682a2af). Como posso eu resolver este Mensagem de Erro?

A. Esta edição acontece quando você usa o arquivo incorreto para a recuperação ou reimaging. Se você usa o arquivo .package em vez do .img, a seguir esta ação causa este erro. Este erro igualmente ocorre quando o arquivo .img é bom, mas o ASA está colado no laço da bota. A única maneira de resolver esta edição é à nova imagem o sensor.

Q. Porque faz este Mensagem de Erro apareça quando eu transfiro atualizações globais das correlações para AIP-SSM: atualização global da correlação collaborationApp[530] rep/E A falhada: Falha de download de ibrs/1.1/config/default/1236210407: Conexão de HTTP falhado atualização global da correlação collaborationApp[459] rep/E A falhada: Falha de download de ibrs/1.1/drop/default/1296529950: URI não contém um endereço IP válido?

A. Esta edição pôde ocorrer devido à Filtragem URL que é configurada, que afeta o fluxo de tráfego, e também devido à interface de gerenciamento do módulo AIP-SSM que pode atravessar o ASA sair ao Internet. Certifique-se de que a Filtragem URL configurada não obstrui os dispositivos (AIP-SSM) de alcançar as correlações globais, que resolve a edição. Esta edição ocorre quando há uma corrupção em uma atualização precedente do GC. Isto pode geralmente ser corrigido desligando o serviço do GC e então girando o para trás sobre. No IDM, escolha a configuração > as políticas > correlação > inspeção/reputação globais. Então, ajuste a inspeção global da correlação (e a reputação que filtra se sobre) a fora. Aplique as mudanças e espere os minutos 10. Gire as características traseiras sobre e monitore-as.

Q. Como posso eu resolva este Mensagem de Erro no ASA: Conexão segura falhada. Um erro ocorreu durante uma conexão a x.x.x.x. Não pode comunicar-se firmemente com o par: nenhum algoritmo de criptografia comum. (Código de erro: ssl_error_no_cypher_overlap)?

A. Esta edição é devido à identificação de bug Cisco CSCtc37947 (clientes registrados somente). A fim resolver esta edição, remova os arquivos temporário criados para a auto atualização da conta raiz no CSC, e reinicie então os serviços.

Q. Como posso eu resolva este Mensagem de Erro no ASA para Grayware: GraywarePattern: Atualização do teste padrão: O arquivo da transferência era mal sucedido para ActiveUpdate era incapaz de abrir o zíper os pacotes transferidos da correção de programa. O arquivo zip pode ser corrompido. Isto pode acontecer devido a uma conexão de rede instável. Tente por favor transferir o arquivo outra vez. O código de erro é 24?

A. A fim resolver esta edição, incorpore a chave de ativação 3DES ou use este comando no ASA: rc4-md5 do des-sha1 da criptografia aes256-sha1 aes128-sha1 3des-sha1 SSL do ciscoasa(config)#. Este comando é usado especificar os algoritmos de criptografia que o protocolo SSL/TLS usa.

Q. Como posso eu resolva este Mensagem de Erro que eu recebi ao configurar as relações em ASA 5505: ERRO: Esta licença não reserva configurar mais de 2 relações com nameif e sem “nenhum” comando dianteiro nesta relação ou em relações do on1?

A. Esta edição é devido ao número de relações permitidas comunicar-se baseado na licença atual no ASA. Para modelos com um interruptor incorporado, tal como o ASA 5505, use o comando interface dianteiro no modo de configuração da interface a fim restaurar a Conectividade para um VLAN de iniciar o contato a um outro VLAN. A fim restringir um VLAN de iniciar o contato a um outro VLAN, não use nenhum formulário deste comando. Você pôde precisar de restringir um VLAN segundo sua licença quantos VLAN apoia.

Q. Como posso eu resolva este Mensagem de Erro no ASA: sistema de abertura %Error: /running-config (nenhum tal dispositivo)?

A. Recarregue o ASA a fim resolver este Mensagem de Erro.

Q. Eu recebi este erro: [ERR-PAT-0003] o sistema da atualização não pode encontrar os arquivos requerido no grupo descomprimido de arquivos da atualização, e não pode continuar. Esta mensagem é para o propósito de diagnóstico somente. Clientes - contacte por favor o Suporte técnico. ao promover ao arquivo de pacote o mais atrasado em CSC-SSM. Por que este erro ocorre?

A. Esta edição é devido à identificação de bug Cisco CSCta99320 (clientes registrados somente). Consulte este bug para obter mais informações.

Q. Eu recebo este Mensagem de Erro no ASA, e o ASA não recarrega: mempool: pool compartilhado global criador do erro 12. Por que esta edição ocorre, e como pode ser resolved?

A. Este problema pôde ocorrer quando você tenta instalar mais RAM do que é apropriado para uma plataforma particular. Por exemplo, se você tenta instalar 4 GB de RAM em um ASA5540, você pôde receber este erro porque o ASA5540 não deve executar mais de 2 GB de RAM.

Mantenha estes artigos na mente quando você instala RAM novo:

  • Somente RAM novo é instalado no ASA. RAM velho deve ser removido e não carregado nos entalhes extra de RAM.

  • RAM novo deve ser instalado no entalhe alterno. Para o desempenho ideal, instale os DIMM nos entalhes P13 e P15.

Q. Eu recebo este erro: %ASA-4-402125: CRIPTO: O anel do IPsec do acelerador de hardware ASA cronometrado para fora (Desc= 0xD6AF25E0, CtrlStat= 0xA000, ResultP= 0xD2D10A00, ResultVal= 186, Cmd= 0x10, CmdSize= 0, Param= 0x0, Dlen= 152, DataP= 0xD2D10974, CtxtP= 0xD46E6B10, SWReset= 21), quando o ASA deixar cair o pacote que exibe severamente o desempenho degradado. Por que esta edição ocorre?

A. Esta edição é devido à identificação de bug Cisco CSCti17266 (clientes registrados somente). Consulte este bug para obter mais informações.

Outros introduzem erros de funcionamento relacionado a este comportamento são CSCtn56501 (clientes registrados somente).

Q. Este Mensagem de Erro é recebido no ASA: 418001: o pacote do Através--dispositivo para/desde a rede do Gerenciamento-somente é negado: dst Mgt-Net:10.40.10.1 do src In-DMZ:192.168.145.53 ICMP (tipo 8, código 0). Como eu resolvo este?

A. Remova o comando do Gerenciamento-somente da relação onde é configurado. Neste caso específico, do Mensagem de Erro acima, remova o comando do Gerenciamento-somente da relação da MGT-rede.

Q. Como posso eu resolva este Mensagem de Erro: %PIX|ASA-5-713137: [ref_count] de ultrapassagem do refCnt da ceifeira e [tunnel_count] do tunnelCnt -- suprimindo do SA!?

A. Esta edição é devido à identificação de bug Cisco CSCsq91271 (clientes registrados somente). Consulte este bug para obter mais informações.

Q. Como posso eu resolva este Mensagem de Erro: “CRIPTO: O ASA está saltando a escrita do arquivo morto cripto o mais atrasado porque o máximos # dos arquivos (2) permitidos foram escritos < a disk0:/crypto_archive >. Por favor arquive & remova arquivos < de disk0:/crypto_archive > se você quer uns arquivos mortos mais criptos salvar”?

A. Isto pode ser causado devido aos malfunctionalities da crypto-engine. Este comportamento foi o Bug da Cisco entrado ID CSCtg58074 (clientes registrados somente) e CSCsm77854 (clientes registrados somente). Uma solução temporária é suprimir dos arquivos mortos criptos do flash e recarregar o dispositivo. Este erro não parece afetar o tráfego existente. Se você precisa uma solução permanente a esta, contacte o tac Cisco para receber uma imagem da construção da engenharia.

Q. Como posso eu resolva este Mensagem de Erro: Erro: O tráfego do 19 de fevereiro 2010|15:58:33|450001|XXX.YYY.ZZZ.ZZ||Deny para o dst outside:XXX.YYY.ZZZ.ZZ/6667 do src inside:192.168.1.63/2988 do protocolo 6, limite licenciado do host de 10 excedeu.?

A. Este é um problema relacionado da licença. Se você executa uma licença baixa em seu Firewall, não estará permitido você estabelecer mais de dez conexões. Verifique isto que usa o comando show version. A fim resolver esta edição, execute uma upgrade de licença em seu Firewall. Contacte Cisco que licencia a equipe para mais informação.


Informações Relacionadas


Document ID: 68330