Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

Dispositif de sécurité PIX/ASA - Forum Aux Questions

19 octobre 2014 - Traduction automatique
Autres versions: PDFpdf | Anglais (26 septembre 2014) | Commentaires


Questions


Introduction

Ce document apporte des réponses aux questions fréquemment posées (FAQ) relatives aux appliances de sécurité Cisco, telles que les appliances des gammes PIX 500 et ASA 5500.

Ce document est destiné aux administrateurs d'appliances de sécurité qui comprennent les commandes et les fonctionnalités CLI et qui ont déjà configuré d'anciennes versions du logiciel PIX.

Compatibilité avec la version de logiciel

Q. Quels périphériques prennent en charge PIX 7.x ?

A. PIX 515, PIX 515E, PIX 525, PIX 535 et toute les version de logiciel 7.x de support du Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500 (ASA 5510, ASA 5520, et ASA 5540) et plus tard.

Les appliances de sécurité PIX 501, PIX 506E et PIX 520 ne sont pas prises en charge dans le logiciel version 7.x.

Q. Je possède un modèle PIX 515/515E qui exécute le logiciel version 6.x et je souhaite le mettre à niveau vers la version 7.x. Est-ce possible ?

A. Oui, cela est possible à condition que vous disposiez des modules de mémoire nécessaires. Reportez-vous à la section Mise à niveau de la mémoire des appliances de sécurité Cisco PIX 515/515E pour le logiciel PIX version 7.0 pour connaître la configuration requise exacte avant de procéder à la mise à niveau de PIX 515/515E.

Q. Quelles sont les modifications et les nouvelles fonctionnalités de PIX 7.0 ? Lors de la mise à niveau de la version 6.x à la version 7.x, les anciennes fonctionnalités sont-elles automatiquement gérées ?

A. Référez-vous aux changements de la version 7.0 d'appareils de Sécurité PIX pour des détails liés aux changements et aux nouvelles caractéristiques de PIX 7.0.

La plupart des fonctionnalités et commandes modifiées et dépréciées sont converties automatiquement au démarrage de l'appliance de sécurité PIX 7.x sur votre système. Quelques fonctionnalités et commandes exigent une intervention manuelle avant ou pendant la mise à niveau. Reportez-vous à la section Fonctionnalités et commandes modifiées et dépréciées pour en savoir plus.

Questions de configuration

Q. Comment exécuter une configuration de base pour les appliances de sécurité exécutant la version 7.x ?

A. Référez-vous à la section de configuration de paramètres de base du guide de configuration de ligne de commande d'appareils de sécurité Cisco, version 7.1.

Q. Comment configurer les interfaces dans PIX 7.x ?

A. PIX/ASA 7.0 est installé pour ressembler au Cisco IOS® du routeur et de commutateur aussi près que possible. Dans PIX/ASA 7.0, la configuration se présente comme suit :

interface Ethernet0
         description Outside Interface
         speed 100
         duplex full
         nameif outside
         security-level 0
         ip address 10.10.80.4 255.255.255.0 standby 10.10.80.6

Référez-vous à configurer des paramètres d'interface sur le pour en savoir plus PIX 7.0.

Q. Comment créer une liste d'accès (ACL) sur ASA ou PIX ?

A. Une liste d'accès se compose d'un ou plusieurs entrées de contrôle d'accès (ACE) avec les mêmes Listes d'accès identification de liste d'accès sont utilisées pour contrôler l'accès au réseau ou pour spécifier le trafic pour que beaucoup de caractéristiques agissent au moment. Afin d'ajouter un ACE, utilisez la commande access-list <ID> extended en mode de configuration globale. Afin de supprimer un ACE, utilisez la forme no de cette commande. Afin de supprimer la liste d'accès complète, utilisez la commande clear configure access-list.

Cette commande access-list permet à tous les hôtes (sur l'interface à laquelle vous appliquez la liste d'accès) de passer par l'appliance de sécurité :

hostname(config)#access-list ACL_IN extended permit ip any any

Si une liste d'accès est configurée pour contrôler le trafic par l'intermédiaire de l'appliance de sécurité, elle doit être appliquée à l'interface avec la commande access-group avant qu'elle n'entre en vigueur. Une seule liste d'accès peut être appliquée à chaque interface dans chaque direction.

Entrez cette commande afin d'appliquer une liste d'accès étendue à la direction entrante ou sortante d'une interface :

hostname(config)#access-group access_list_name {in | out} interface interface_name 
[per-user-override]

Cet exemple affiche une liste d'accès entrante appliquée à l'interface interne qui autorise le réseau 10.0.0.0 /24 à passer par l'appliance de sécurité :

hostname(config)#access-list INSIDE extended permit ip 10.0.0.0 255.255.255.0 any
hostname(config)#access-group INSIDE in interface inside

Cet exemple affiche une liste d'accès entrante appliquée à l'interface externe qui permet à tous les hôtes à l'extérieur de l'appliance de sécurité d'accéder au Web par l'intermédiaire de l'appliance de sécurité sur le serveur à l'adresse 172.20.1.10 :

hostname(config)#access-list OUTSIDE extended permit tcp any host 172.20.1.10 eq www
hostname(config)#access-group OUTSIDE in interface outside

Remarque: les listes d'accès contiennent un « refus » implicite à la fin. Ceci signifie qu'une fois une ACL appliquée, le trafic non explicitement autorisé par un ACE dans l'ACL est refusé.

Q. Puis-je utiliser l'interface management0/0 sur ASA afin d'acheminer le trafic comme avec n'importe quelle autre interface ?

A. Oui. Reportez-vous à la commande management-only pour plus d'informations.

Q. Que signifie le contexte de sécurité dans l'appliance de sécurité ?

A. Vous pouvez partitionner un PIX matériel unique en plusieurs périphériques virtuels, connus sous le nom de contextes de sécurité. Chaque contexte devient un périphérique indépendant, avec ses propres stratégie de sécurité, interfaces et administrateurs. Les contextes multiples reviennent à avoir plusieurs périphériques autonomes. De nombreuses fonctionnalités sont prises en charge en mode de contexte multiple, notamment les tables de routage, les fonctionnalités de pare-feu, l'IPS et la gestion. Certaines fonctionnalités ne sont pas prises en charge, telles que les protocoles de routage VPN et dynamique.

Q. Comment configurer la fonctionnalité utilisateur de verrouillage de groupe VPN sur ASA ou PIX ?

A. Afin de configurer le verrouillage de groupe, envoyer le nom de stratégie de groupe dans l'attribut 25 de classe sur le serveur de Service RADIUS (Remote Authentication Dial-In User Service) et choisir le groupe afin de verrouiller l'utilisateur dans la stratégie.

Par exemple, afin de verrouiller l'utilisateur Cisco 123 dans le groupe RemoteGroup, définissez la classe de l'attribut 25 de l'Internet Engineering Task Force (IETF) OU=RemotePolicy pour cet utilisateur sur le serveur RADIUS.

Référez-vous à cet exemple de configuration afin de configurer le verrouillage du groupe sur des appliances de sécurité adaptables (ASA)/PIX :

group-policy RemotePolicy internal
group-policy RemotePolicy attributes
dns-server value x.x.x.x
group-lock value RemoteGroup

tunnel-group RemoteGroup type ipsec-ra
tunnel-group RemoteGroup general-attributes
address-pool cisco
authentication-server-group RADIUS-Group
default-group-policy RemotePolicy

Remarque:  OU définit la stratégie de groupe, et la stratégie de groupe verrouille l'utilisateur dans le groupe de tunnels préféré.

Afin de configurer votre Cisco Secure ACS pour Windows, le serveur RADIUS verrouille un utilisateur dans un groupe particulier configuré sur l'ASA.

Q. Comment saisir les paquets dans PIX/ASA ?

A. Des paquets peuvent être capturés dans PIX/ASA si vous utilisez la caractéristique de capture de paquet. Reportez-vous à ASA/PIX/FWSM : Configuration de l'exemple de capture de paquets à l'aide CLI et ASDM pour plus d'informations sur la façon de configurer la fonctionnalité de capture de paquets.

Q. Comment puis-je rediriger le trafic HTTP vers HTTPS sur ASA ?

A. Émettez le HTTP réorientent la commande en mode de configuration globale dans la commande spécifient que les dispositifs de sécurité réorientent des connexions HTTP à HTTPS.

hostname(config)#http redirect interface [port] 

Q. Comment est-ce qu'une ASA se renseigne sur l'adresse MAC de l'hôte ?

A. Une ASA émet une demande d'ARP de l'hôte dans un sous-réseau directement connecté même si elle fournit un paquet de synchronisation à l'ASA, qui a les informations d'ARP dans l'en-tête de la couche 2. Le Pare-feu n'apprend pas l'adresse MAC de l'hôte du paquet de synchronisation et doit émettre une demande d'ARP de lui. Si l'hôte ne répond pas pour la demande d'ARP, alors l'ASA relâche le paquet.

Q. Y a-t-il une partie incidence directe sur Cisco ASA quand le joncteur réseau I une interface physique et des sous-interfaces d'utilisation instaed d'utiliser de plusieurs interfaces physiques ?

A. Non Autre que le traitement supplémentaire exigé pour les en-têtes de 802.1Q dans les paquets, il n'y a pas aucun autre impact important sur Cisco ASA.

Q. Est-ce que je peux configurer NAT/PAT entre les mêmes interfaces sécurité de Cisco ASA ?

A. Oui. C'est possible de la version de logiciel 8.3 de Cisco ASA.

Questions de mise à niveau de logiciel

Q. J'ai effectué la mise à jour de mon périphérique PIX de la version 6.x vers la version 7.x. Après la mise à niveau, j'ai constaté une utilisation du CPU de 8 à 10 % plus élevée pour la même quantité de trafic ? Cette augmentation est-elle normale ?

A. PIX 7.0 a trois fois plus de Syslog et de nouvelles caractéristiques que les versions 6.x. L'utilisation accrue du CPU par rapport à la version 6.x est normale.

Problèmes de connectivité

Q. Je ne parviens pas à envoyer un ping en dehors de l'interface externe tout en utilisant l'appliance de sécurité 7.0. Comment résoudre ce problème ?

A. Deux options dans PIX 7.x permettent aux utilisateurs internes d'envoyer un ping vers l'extérieur. La première option est la configuration d'une règle spécifique pour chaque type de message d'écho. Exemple :

access-list 101 permit icmp any any echo-reply
        access-list 101 permit icmp any any source-quench 
        access-list 101 permit icmp any any unreachable  
        access-list 101 permit icmp any any time-exceeded
        access-group 101 in interface outside

Cela autorise seulement ces messages de retour à travers le pare-feu quand un utilisateur à l'intérieur envoie un ping à l'extérieur. Les autres types de messages d'état d'ICMP pourraient être hostiles et le pare-feu bloque tous les autres messages ICMP.

Une autre option consiste à configurer l'inspection icmp. Ceci permet à une adresse IP de confiance de traverser le pare-feu et autorise les réponses en retour seulement à l'adresse de confiance. De cette façon, toutes les interfaces internes peuvent envoyer un ping vers l'extérieur et le pare-feu autorise le retour des réponses. Ceci vous donne également l'avantage de surveiller le trafic ICMP qui traverse le pare-feu.

Exemple :

policy-map global_policy
    class inspection_default
     inspect icmp

Q. Je ne parviens pas à accéder à l'interface interne de l'appliance de sécurité lorsque je suis connecté par l'intermédiaire d'un tunnel VPN. Comment procéder ?

A. L'interface interne de l'appliance de sécurité ne peut pas être consultée de l'extérieur, et vice-versa, à moins que la gestion d'accès ne soit configurée en mode de configuration globale. Une fois la gestion d'accès activée, l'accès Telnet, SSH ou HTTP doit toujours être configuré pour les hôtes désirés.

pix(config)#management-access inside
pix(config)#show running-config management-access
management-access inside

Q. Pourquoi ne puis-je pas connecter le téléphone IP par l'intermédiaire du tunnel VPN avec ASA ?

A. Il peut s'agir d'un problème d'authentification. Vérifiez que l'authentification (X-auth) est activée pour le groupe d'utilisateurs du téléphone IP.

ASDM associé

Q. Comment activer/accéder à ASDM sur ASA/PIX ?

A. Vous devez activer le serveur HTTPS et autoriser les connexions HTTPS à l'appliance de sécurité afin d'utiliser ASDM. Toutes ces tâches sont complétées si vous utilisez la commande setup.

Reportez-vous à la section Permettre l'accès HTTPS pour l'ASDM pour plus d'informations.

Caractéristiques prises en charge

Q. Quels sont les deux modes de fonctionnement de l'appliance de sécurité ?

A. L'appliance de sécurité PIX peut fonctionner selon deux modes de pare-feu :

  1. Mode routé : en mode routé, des adresses IP sont attribuées aux interfaces PIX, qui agit comme un saut de routeur pour les paquets qui le traversent. Les décisions d'inspection et de transfert du trafic reposent sur les paramètres de couche 3. Les versions de logiciels pare-feu PIX antérieures à la version 7.0 fonctionnent de cette façon.

  2. Mode transparent : en mode transparent, aucune adresse IP n'est attribuée aux interfaces PIX. Il agit plutôt comme un pont de couche 2 qui gère une table d'adresses MAC et prend des décisions de transfert en fonction de cela. L'utilisation de listes d'accès IP étendues complètes est toujours disponible et le pare-feu peut inspecter l'activité IP sur n'importe quelle couche. Dans ce mode de fonctionnement, PIX est souvent désigné comme une « bosse sur le fil » ou un « pare-feu furtif ». Le fonctionnement du mode transparent présente d'autres différences significatives par rapport au mode routé :

    • seules deux interfaces sont prises en charge : interne et externe.

    • Le NAT n'est pas pris en charge ni même requis puisque le PIX n'agit plus comme un saut.

      Remarque: Le NAT et le PAT sont pris en charge dans le pare-feu transparent pour ASA/PIX versions 8.0(2) et ultérieures.

Reportez-vous à la section PIX/ASA : Exemple de configuration transparente de pare-feu pour plus d'informations sur la configuration de l'appliance de sécurité en mode transparent. Référez-vous à NAT dans le pour en savoir plus de mode transparent.

Remarque: Les modes transparent et routé utilisent une approche différente en termes de sécurité. Par conséquent, la configuration en cours d'exécution est effacée lorsque le PIX passe en mode transparent. Veillez à enregistrer votre configuration en cours d'exécution du mode routé sur un lecteur Flash ou un serveur externe.

Q. ASA prend-il en charge l'équilibrage de charge ISP ?

A. Non L'Équilibrage de charge doit être manipulé par un routeur qui passe le trafic aux dispositifs de sécurité.

Q. L'authentification MD5 avec BGP est-elle prise en charge par l'intermédiaire d'ASA ?

A. Non, l'authentification MD5 n'est pas prise en charge par ASA. Il existe toutefois un moyen de la désactiver. Reportez-vous à la section ASA/PIX : Exemple de configuration BGP par ASA pour plus d'informations.

Q. PIX/ASA prend-il en charge les interfaces EtherChannel/PortChannel ?

A. Oui, le soutien de l'EtherChannel est introduit dans la version de logiciel 8.4 ASA. Vous pouvez configurer jusqu'à 48 EtherChannels 802.3ad de huit actifs relie chacun. Le pour en savoir plus, se rapportent à des notes en version de version 8.4 ASA.

Q. Anyconnect et Client VPN Cisco peuvent-ils fonctionner conjointement sur ASA ?

A. Oui, puisqu'ils ne sont pas reliés entre eux. Anyconnect repose sur le protocole SSL, tandis que le Client VPN Cisco repose sur le protocole IPSEC.

Q. ASA/PIX peut-il bloquer Skype ?

A. Malheureusement, PIX/ASA n'est pas en mesure de bloquer le trafic skype. Skype a la capacité pour négocier les ports dynamiques et pour utiliser le trafic chiffré. Grâce au trafic chiffré, il est pratiquement impossible de le détecter, puisqu'il n'existe aucun modèle à rechercher.

Vous pouvez éventuellement utiliser un système de prévention des intrusions (IPS) Cisco. Certaines des signatures de ces systèmes sont capables de détecter un client Skype Windows qui se connecte au serveur Skype pour synchroniser sa version. Ceci a généralement lieu lorsque le client lance la connexion. Quand le capteur détecte la connexion Skype initiale, vous pouvez rechercher l'utilisateur du service et bloquer toutes les connexions lancées à partir de son adresse IP.

Q. ASA prend-il en charge SNMPv3 ?

A. Oui. Le logiciel Cisco ASA version 8.2 prend en charge le protocole simple de gestion de réseau SNMP version 3 (version la plus récente de ce protocole) et ajoute des options d'authentification et de confidentialité afin de sécuriser le fonctionnement du protocole.

Q. Existe-t-il un moyen de consigner les entrées de journal avec un nom plutôt qu'avec une adresse IP ?

A. Utilisez la commande names afin d'activer l'association d'un nom à une adresse IP. Vous pouvez associer un seul nom à une adresse IP. Vous devez utiliser la commande names avant d'utiliser la commande name. Utilisez la commande name immédiatement après avoir utilisé la commande names et avant d'utiliser la commande write memory.

La commande name vous permet d'identifier un hôte par un nom textuel et de mapper des chaînes de texte aux adresses IP. Utilisez la commande clear configure name pour effacer la liste des noms de la configuration. Utilisez la commande no names pour désactiver la consignation des valeurs de nom. Les deux commandes, name et names, sont enregistrées dans la configuration.

Q. La commande ip accounting est-elle disponible dans PIX/ASA 7.x ?

A. Non.

Q. Le logiciel de l'appliance de sécurité 7.0 prend-il en charge la fonctionnalité AYT (Are you there/êtes-vous là) ?

A. Oui. Dans un scénario AYT, un utilisateur distant dispose d'un pare-feu personnel installé sur le PC. Le client VPN impose la stratégie de pare-feu définie sur le pare-feu local, et il surveille ce pare-feu pour s'assurer qu'il fonctionne. Si le pare-feu cesse de fonctionner, le client VPN arrête la connexion au PIX ou à l'ASA. Ce mécanisme d'application de pare-feu s'appelle Are You There (AYT), parce que le client VPN surveille le pare-feu en lui envoyant des messages périodiques « are you there ? » messages. Si aucune réponse ne revient, le client VPN sait que le pare-feu est arrêté et termine sa connexion à l'appliance de sécurité PIX. L'administrateur réseau pourrait configurer ces pare-feu de PC à la source, mais avec cette approche, les utilisateurs peuvent personnaliser leurs propres configurations.

Q. Le protocole FTP avec TLS/SSL est-il pris en charge par l'intermédiaire de l'appliance de sécurité ?

A. Non. Dans une connexion FTP typique, le client ou le serveur doit indiquer à l'autre quel port utiliser pour des transfert de données. Le PIX inspecte cette conversation et ouvre ce port. Cependant, dans le cas du FTP avec TLS/SSL, cette conversation est chiffrée et le PIX est incapable de déterminer quels ports il convient d'ouvrir. Ainsi, le FTP avec la connexion TLS/SSL finit par échouer.

Une solution pour contourner cette situation consiste à utiliser un client FTP qui prend en charge l'utilisation d'un « clear command channel » tout en utilisant encore TLS/SSL pour chiffrer le canal de données. Cette option étant activée, PIX devrait pouvoir déterminer quel port doit être ouvert.

Q. L'appliance de sécurité prend-elle en charge DDNS ?

A. Oui, l'appliance de sécurité prend en charge DDNS. Référez-vous à Configuration du DNS dynamique pour plus d'informations.

Q. PIX prend-il en charge WebVPN/SSL VPN ?

A. Non, mais il est pris en charge dans le serveur de sécurité adaptatif dédié de la gamme Cisco 5500 (ASA).

Q. PIX prend-il en charge Cisco AnyConnect VPN Client ?

A. Non, il est uniquement pris en charge dans le serveur de sécurité adaptatif dédié de la gamme Cisco 5500 (ASA).

Q. PIX prend-il en charge des modules de services tels qu'AIP-SSM et CSC-SSM ?

A. Non.

Q. L'appliance de sécurité Cisco prend-elle en charge la génération de clés manuelle IPsec (chiffrement manuel) ?

A. Non.

Q. ASA prend-il en charge la gestion des mots de passe avec NT ?

A. L'ASA ne prend en charge pas la gestion des mots de passe avec le NT.

Remarque: L'appliance de sécurité prend en charge la gestion des mots de passe pour les protocoles RADIUS et LDAP.

Q. ASA de la gamme Cisco 5500 peut-il effectuer un PBR (Policy Based Routing) comme un routeur Cisco ? Par exemple, le trafic de messagerie doit être acheminé vers le premier ISP tandis que le trafic http doit être acheminé vers le second.

A. Malheureusement, il n'y a aucune façon d'effectuer du Policy Based Routing (PBR) sur l'ASA à ce stade. Il peut s'agir d'une fonctionnalité qui sera ajoutée à l'ASA à l'avenir.

Remarque: La commande de route-map est utilisée de redistribuer des artères entre les protocoles de routage, tels que l'OSPF et le RIP, avec l'utilisation des mesures et pas au trafic habituel d'artère de stratégie comme dans des Routeurs.

Q. Puis-je utiliser ASA 5510 en tant que client Easy VPN ?

A. Non La configuration de client d'Easy VPN est seulement prise en charge sur l'ASA 5505.

Q. ASA prend-il en charge le routage asymétrique ?

A. L'ASA prend en charge le routage asymétrique dans la version 8.2(1) et ultérieures. Il n'est pas pris en charge dans des versions ASA avant 8.2(1).

Q. Est-ce que je peux configurer le routage dynamique au-dessus du tunnel VPN sur l'ASA ?

A. Non. C'est possible seulement à l'aide des interfaces de tunnel, qui ne sont pas encore prises en charge sur l'ASA.

Q. ASA prend-il en charge le client PPTP ?

A. Non.

Q. ASA prend-il en charge le marquage QOS des paquets avec une valeur DSCP ?

A. Non, il prend uniquement en charge le trafic DSCP et le passe aux périphériques du saut suivant sans changer les valeurs DSCP. Référez-vous à Conservation DSCP et DiffServ pour plus d'informations.

Q. Quelles sont les transformations IPsec (ESP, AH) prises en charge sur les versions 7.0 et ultérieures d'ASA/PIX ?

A. Seulement le chiffrement Encapsulating Security Payload (ESP) IPsec et l'authentification sont pris en charge. Les transformations de l'Authentication Header (AH) ne sont pas prises en charge sur les versions 7.0 et ultérieures d'ASA/PIX.

Q. ASA prend-il en charge la fonctionnalité UPnP (Universal Plug and Play) ?

A. Non, ASA ne prend dorénavant plus en charge la fonctionnalité UPnP (Universal Plug and Play).

Q. ASA prend-il en charge le routage fondé sur la source ?

A. Non.

Q. Le trafic H.329 traverse-il PIX/ASA 8.1 et plus tard ?

A. Non.

Q. ASA prend-il en charge l'inspection de protocole H.460 ?

A. Non.

Q. ASA prend-il en charge l'autorisation EXEC, qui connecte l'utilisateur directement au mode enable après authentification ?

A. Non, la fonctionnalité d'autorisation exec n'est pas prise en charge dans l'ASA

Q. ASA permet-il au trafic de diffusion de passer par son interface ?

A. Non.

Q. Est-il possible de configurer une authentification VPN L2L à deux facteurs entre les ASA 5505 ?

A. L'authentification à deux facteurs peut être début configuré avec la version 8.2.x ASA seulement pour AnyConnect et VPN SSL. Vous ne pouvez pas configurer l'authentification à deux facteurs pour le VPN L2L.

Q. Est-il possible d'ajouter deux proxys de téléphone sur le même ASA ?

A. Non. Il n'est pas possible d'ajouter deux proxys de téléphone sur la même ASA car l'ASA ne prend pas en charge ceci.

Q. L'ASA prend en charge-elle la configuration de NetFlow ?

A. Oui, cette caractéristique est prise en charge dans la version 8.1.x et ultérieures de Cisco ASA. Pour les détails d'implémentation complets, référez-vous aux guides d'implémentation de NetFlow de Cisco. Pour un résumé complet de configuration, référez-vous aux exemples de configuration pour l'événement sécurisé de NewFlow se connectant la section de configurer se connecter sécurisé d'événement de NetFlow.

Q. L'ASA prend en charge-elle Sharepoint ?

A. ASA 7.1 et 7.2 ne prennent en charge pas Sharepoint. Prenez en charge pour Sharepoint 2003 (2.0 et 3.0) débuts avec la version 8.x ASA. Éditer des documents office pour Sharepoint 2.0 et 3.0 en mode pureclientless (aucun smarttunnels, aucun expéditeur de port) est également pris en charge. des Intelligent-tunnels peuvent être aussi bien utilisés, en date d'ASA 8.0.4. 4. Toutes les caractéristiques de base prises en charge pour Sharepoint 2003 dans 8.0 sont prises en charge pour 2007 dans la version 8.2 5. ASA.

Q. L'ASA prend en charge-elle le client indigène L2TP/IPsec sur des périphériques d'Android ?

A. L'androïde n'est pas entièrement RFC conforme et pris en charge par Cisco ASA démarrant avec la version 8.4.1. Le pour en savoir plus, se rapportent aux clients pris en charge.

Q. Quel est le nombre maximal d'ACLs qui peut être configuré sur l'ASA ?

A. Il n'y a aucune limite définie pour le nombre d'ACLs qui peut être configuré sur l'ASA. Il dépend de la mémoire actuelle dans l'ASA.

Q. Peut-elle la sauvegarde I la configuration ASA par le SNMP ?

A. Non Afin de réaliser ceci, vous devez utiliser le writenet SNMP, qui exige le MIB de copie de config de Cisco. Actuellement, ceci n'est pas pris en charge parce que ce MIB de particularité n'est pas pris en charge par Cisco ASA.

Q. Je ne peux pas initier une présentation d'ordinateur portable pendant une conférence téléphonique entre les unités de vidéo de Cisco. L'appel vidéo fonctionne bien, mais la présentation visuelle de l'ordinateur portable ne fonctionne pas. Comment résoudre ce problème ?

A. Une conférence vidéo avec une présentation d'ordinateur portable travaille sur le protocole H.239, qui n'est pas pris en charge dans des versions de logiciel de Cisco ASA avant 8.2. Afin d'assurer une présentation des données fonctionne dans une conférence vidéo, Cisco ASA devrait prendre en charge la négociation appropriée de H.239 entre les points visuels d'extrémité. Ce support est fourni par la version de logiciel 8.2 et ultérieures de Cisco ASA. Une mise à jour à une version stable dans une version logicielle, telle que 8.2.4, résoudra ce problème.

Q. Est-il possible de configurer l'authentification de 802.1x sur l'ASA 5505 ?

A. Non. Il n'est pas possible de configurer l'authentification de 802.1x sur l'ASA 5505.

Q. Cisco ASA prend en charge-il le trafic de multidiffusion à envoyer sur un tunnel VPN d'IPsec ?

A. Non. Il n'est pas possible parce que ceci n'est pas pris en charge par Cisco ASA. Comme contournement, vous pouvez avoir le trafic de multidiffusion encapsulé utilisant GRE avant qui obtient chiffré. Au commencement, le paquet de multidiffusion doit être encapsulé utilisant GRE sur un routeur de Cisco, puis ce paquet GRE sera expédié plus loin à Cisco ASA pour le chiffrement IPSec.

Q. Cisco ASA s'exécute en mode d'Active/Active. Je veux configurer Cisco ASA comme passerelle VPN. Est-ce possible ?

A. Ce n'est pas possible parce que les plusieurs contextes et le VPN ne peuvent pas fonctionner simultanément. Cisco ASA peut être configuré pour le VPN quand seulement en mode d'Active/Standby.

Q. Quand utilisant Cisco ASA en tant que serveur VPN, est-il possible d'envoyer des informations sur le type de client (AnyConnect ou IPSec) à une base de données de RAYON par des enregistrements des comptes ?

A. Ce n'est pas possible parce qu'il n'y a aucun un tel attribut pour envoyer le type de service que le client utilise.

Q. Filtre ASA Botnet : Comment vérifiez-vous des états au sujet des blocs dynamiques sur l'ASA ?

A. Les états au sujet des blocs dynamiques sur l'ASA peuvent être vérifiés avec la commande supérieure d'états de dynamique-filtre d'exposition. Le pour en savoir plus, se rapportent à Botnets de combat utilisant le filtre du trafic de Cisco ASA Botnet.

Q. Le Protocole CDP (Cisco Discovery Protocol) est-il pris en charge sur PIX/ASA ?

A. Puisque PIX/ASA est un périphérique de sécurité, il ne prend en charge pas le CDP.

Q. Est-ce que je peux gérer l'ASA utilisant le Cisco Network Assistant (POUVEZ) ?

A. Oui, la dernière version de la BOÎTE prend en charge l'ASA. Référez-vous au pour en savoir plus de liste pris en charge par périphériques.

Q. Est-il possible de configurer l'ASA pour agir en tant qu'autorité de certification (CA) et pour fournir un certificat aux clients vpn ?

A. Oui, avec ASA 8.x et plus tard vous pouvez configurer l'ASA pour agir en tant que gens du pays CA. Actuellement, l'ASA permet seulement l'authentification pour les clients de VPN SSL avec les Certificats délivrés par cet des clients CA IPsec ne sont pas prises en charge encore. Référez-vous au pour en savoir plus des gens du pays CA.

Remarque: La caractéristique des gens du pays CA n'est pas prise en charge si vous utilisez le basculement actif/actif ou l'Équilibrage de charge VPN. Les gens du pays CA ne peuvent pas être subalternes à un autre CA ; il peut agir seulement comme la racine CA.

Basculement

Q. Une appliance de sécurité avec une licence de basculement peut-elle faire partie d'un basculement actif/actif ?

A. Des unités de Basculement de dispositifs de sécurité peuvent être utilisées dans une paire de basculement actif/actif une fois qu'elles ont un nouveau Basculement actif/mise à niveau de licence active installée (l'active/active exige un modèle UR et modèle actif/actif une « FO »). Reportez-vous à la section Licences et caractéristiques des fonctionnalités pour plus d'informations sur le système de licence.

Q. L'ASA prend en charge-elle le VPN SSL une fois configurée pour le Basculement ?

A. L'ASA prend en charge le VPN SSL seulement une fois configurée pour le basculement actif/veille et pas dans le basculement actif/actif. Le pour en savoir plus, se rapportent à la manipulation de Basculement ASA du trafic de l'application et des configurations de VPN SSL.

Messages d'erreur

Q. Je ne parviens pas à configurer le basculement lorsque la fonction EZVPN est activée sur ASA 5505. Pourquoi ce message d'erreur s'affiche-t-il : error :- ERROR]] vpnclient enable * Disable failover CONFIG CONFLICT: Configuration that would prevent successful Cisco Easy VPN Remote operation has been detected, and is listed above. Please resolve the above configuration conflict and re-enable?

A. Si ASA 5505 utilise EasyVPN pour des utilisateurs distants (mode client), le basculement fonctionne, mais si l'ASA est configuré pour l'utiliser avec le client Easy VPN (Network-Extension Mode-NEM mode), alors il ne fonctionne pas quand le basculement est configuré. Donc, le basculement fonctionne uniquement quand ASA utilise EZVPN pour des utilisateurs distants (mode client), et ainsi cette errreur se produit.

Q. Je reçois ce message d'erreur lors de la configuration du troisième VLAN : : - ERREUR : This license does not allow configuring more than 2 interfaces with nameif and without a "no forward" command on this interface or on 1 interface with nameif already configured. Comment est-ce que je peux résoudre cette erreur ?

A. Cette erreur est apparue en raison d'une limitation de licence sur l'ASA. Vous devez obtenir la licence Security Plus afin de configurer plus de VLAN en mode routé. Seulement trois VLAN actifs peuvent être configurés avec la licence de base, et jusqu'à 20 VLAN actifs avec la licence Security Plus. Vous pouvez créer un troisième VLAN avec la licence de base, mais ce VLAN a seulement une communication vers l'extérieur ou vers l'intérieur mais pas dans les deux directions. Si vous avez besoin d'avoir la communication dans les deux directions, alors vous avez besoin de mettre à niveau la licence. Également, si vous utilisez la licence de base, permettez à cette interface d'être le troisième VLAN et limitez-la pour qu'il ne lance pas de contact avec un autre VLAN avec la commande hostname(config-if)# no forward interface vlan number . Ainsi le troisième VLAN peut être configuré.

Q. Comment résoudre ce message d'erreur : %ASA-6-110002 : Failed to locate egress interface for UDP from outside: x.x.x.x/xxxx to x.x.x.x/xxxx?

A. L'ASA donne ce message d'erreur quand les essais de client vpn pour utiliser le programme peer-to-peer et ce trafic entre dans le tunnel, où le serveur peer-to-peer ne réside pas. Configurez le tunnel partagé afin de résoudre ce problème de sorte que le trafic qui doit aller en dehors d'Internet ne voyage pas par le tunnel et le paquet n'est pas abandonné par le pare-feu. Reportez-vous à la section ASA/PIX : Autoriser le split tunnelling pour les clients VPN dans l'exemple de configuration ASA pour plus d'informations sur la configuration du split tunnelling dans l'ASA.

Q. Comment résoudre ce message d'erreur : Erreur : execUpgradeSoftware : operation timed out with 0 out of 1 bytes received?

A. Quand vous essayez de mettre à niveau l'AIP-SSM avec le FTP, le délai peut expirer. Augmentez la valeur d'expiration du FTP afin de résoudre le problème.

Exemple :

configure terminal
service host
network-settings
ftp-timeout 2700
exit

Sauvegardez les modifications.

Q. Comment résoudre ce message d'erreur : %ASA-4-402123 : CRYPTO : L'accélérateur de matériel ASA a rencontré une erreur ?

A. Afin de résoudre ce problème, essayez un de ces contournements :

  • Désactivez le DTLS sur les interfaces ASA sur lesquelles il est activé.

    Afin de se terminer cette solution, aller au profil d'Anyconnect sur l'ASDM, et retirer le coutil près de l'interface fonctionnant pour l'Anyconnect. Le pour en savoir plus, se rapportent au DTLS (Datagram Transport Layer Security) avec des connexions d'AnyConnect (SSL).

  • Rechargez l'ASA.

    Ce problème surgit en raison d'une erreur dans l'accélérateur de matériel de l'ASA. Il y a deux bogues classées concernant ce comportement. Le pour en savoir plus, se rapportent à CSCsd43563 (clients enregistrés seulement) et à CSCsc64621" (clients enregistrés seulement).

Q. Comment résoudre ce message d'erreur : unable to send authentication message?

A. L'ASA ne prend pas en charge la gestion des mots de passe quand vous utilisez l'authentification (interne) LOCALE. Supprimez la gestion des mots de passe si elle est configurée, afin de résoudre ce problème.

Q. Comment peux je résolvez ce message d'erreur qui est reçu en testant l'authentification sur l'ASA : ERREUR : Serveur d'authentification ne répondant pas : Aucune erreur ?
ASA# test aaa-server authentication TAC_SRVR_GRP username test password test123
Server IP Address or name: ACS-SERVER
INFO: Attempting Authentication test to IP address <ACS-SERVER> (timeout: 12 seconds)
ERROR: Authentication Server not responding: No error

A. Employez l'un de ces points pour résoudre ce problème :

  • Vérifiez la Connectivité de l'ASA au serveur d'AAA par le test de ping et assurez-vous que le serveur d'AAA est accessible de l'ASA.

  • Vérifiez la configuration associée par AAA sur l'ASA et vérifiez, que le serveur d'AAA soit mentionné correctement ou pas.

    ASA# show run aaa-server 
    aaa-server RAD_SRVR_GRP protocol radius
    aaa-server RAD_SRVR_GRP host ACS-SERVER
     key *
    aaa-server TAC_SRVR_GRP protocol tacacs+
    aaa-server TAC_SRVR_GRP host ACS-SERVER
     key *
  • Vérifiez si le rayon est des ports TACACS sont bloqués par n'importe quel Pare-feu dans le chemin entre le serveur d'AAA et l'ASA. Assurez-vous que des ports correspondants sont ouverts ont basé sur le protocole utilisé.

  • Vérifiez les paramètres sur le serveur d'AAA.

  • Rechargez le serveur d'AAA.

Un essai réussi de l'authentification ressemble à ceci :

ASA(config)# test aaa authentication topix host 10.24.10.10 username test password test1234
INFO: Attempting Authentication test to IP address <10.24.0.10> (timeout: 12 seconds)
INFO: Authentication Successful

Q. Comment résoudre ce message d'erreur : %Error opening disk0:/.private/startup-config (Read-only file system) Error executing command [FAILED]?

A. Formatez l'éclair ou la commande de FSCK dans ASA/PIX afin de résoudre ce problème.

Q. Comment résoudre ce message d'erreur ASDM : Unconnected sockets not implemented?

A. Ce problème se produit quand ASDM version 5.0 ou ultérieure s'exécute sur l'ASA, PIX, ou FWSM, et utilise Java 6 mise à jour 10 ou ultérieure. En chargeant l'ASDM, ce message apparaît :

ASDM cannot be loaded. Click OK to exit ASDM.
Unconnected sockets not implemented.

Afin de résoudre ce problème, désinstallez Java 6 mise à jour 10, et installez Java mise à jour 7. Pour plus d'informations, référez-vous à CSCsv12681 (clients enregistrés seulement).

Afin qu'ASDM se charge correctement avec Java 6 mise à jour 10, mettez à jour ASDM pour ASDM 6.1(5)51. Pour des informations détaillées, référez-vous à la section Spécifications du navigateur et du système d'exploitation du client ASDM des informations de version 6.1(5) de Cisco ASDM.

Q. Comment résoudre ce message d'erreur : %ASA-1-199010 : Signal 11 caught in process/fiber(rtcli async executor process)/(rtcli async executor) at address 0xf132e03b, corrective action at 0xca1961a0?

A. Ce problème peut être causé quand ASDM est utilisé pour accéder à l'ASA ou quand il y a une utilisation élevée du CPU sur l'ASA. Ce message apparaît habituellement quand le mécanisme de reprise sur erreur empêche le système de tomber en panne.

S'il n'y a aucun autre problème avec ce message, il peut être ignoré. C'est une erreur réparable qui n'affecte pas le fonctionnement.

Q. Le trafic Oracle ne traverse pas le pare-feu. Comment puis-je résoudre ce problème ?

A. Ce problème est provoqué par la fonctionnalité d'inspection de sqlnet du pare-feu. Quand il se produit, les connexions sont arrachées. Le proxy de TCP pour le moteur d'inspection de sqlnet a été conçu pour gérer différentes trames TNS dans un seul segment TCP. L'inspection de sqlnet manipule beaucoup de trames TNS en un paquet, ce qui rend le code complexe.

Afin de résoudre ce problème, le moteur d'inspection ne devrait pas manipuler différentes trames dans un paquet. On suppose que chaque trame TNS est un paquet TCP différent et est inspecté individuellement.

Des erreurs de programmation ont été classées pour ce comportement ; pour plus d'informations, référez-vous à CSCsr27940 (clients enregistrés seulement) et à CSCsr14351 (clients enregistrés seulement).

La solution à ce problème est donnée ci-dessous.

Utilisez la commande no inspect sqlnet dans le mode de configuration de la classe afin de désactiver l'inspection pour le sqlnet.

ASA(config)#class-map sqlnet-port
ASA(config-cmap)#match port tcp eq 1521
ASA(config-cmap)#exit
ASA(config)#policy-map sqlnet_policy
ASA(config-pmap)#class sqlnet-port
ASA(config-pmap-c)#no inspect sqlnet
ASA(config-pmap-c)#exit
ASA(config)#service-policy sqlnet_policy interface outside

Pour plus d'informations, référez-vous à la section inspection SQLNet de la référence des commandes des appliances de sécurité Cisco, version 8,0.

Q. Je ne peux pas copier l'image logicielle sur l'éclair de l'ASA, et je reçois un message d'erreur semblable à ce message : Erreur d'écriture disk0:/asa8XX-XX.bin (ne peut pas allouer la mémoire)

A. Cette question pourrait se produire si le Pare-feu ne peut pas allouer la mémoire (RAM) pour charger l'image logicielle.

L'ASA met en mémoire tampon l'image entière dans la RAM tandis qu'elle est transférée vers l'ASA. Jusqu'à ce qu'il se termine l'écriture pour flasher, il doit y a un bloc mémoire libre disponible assez grand pour tenir l'image logicielle entière. Un plein bloc de mémoire doit être disponible pour mettre en mémoire tampon l'image entière avant que l'ASA l'écrive pour flasher.

L'utilisation de mémoire est directement liée aux caractéristiques activées sur votre ASA ; ces caractéristiques sont chargées chaque fois que votre ASA est amorcée, indépendamment de la façon dont l'image est chargée (par l'intermédiaire du réseau ou de l'éclair). Vous pouvez désactiver des configurations que vous n'êtes pas actuellement utilisant afin de réduire l'utilisation de mémoire. Notez que le webvpn, les SSLVPN, et la détection de menace tendent à consommer beaucoup de mémoire.

Vous pouvez également employer le moniteur ROM (ROMmon) pour copier l'image, ou vous pouvez placer votre paramètre de démarrage pour démarrer par l'intermédiaire du tftp et puis pour copier l'image après que l'ASA ait amorcé au-dessus du réseau. Puisque ROMmon ne charge pas la configuration, il ne charge pas ces caractéristiques ; donc, vous ne devriez pas éprouver la question quand vous employez cette méthode pour copier le fichier.

Essayez ces contournements.

Q. Comment résoudre ce message d'erreur : [ERROR] threat-detection statistics host number-of-rate 0 threat-detection statistics host number-of-rate 0 ^ % Invalid input detected at '^' marker?

A. Cette erreur peut se produire lorsque vous utilisez la fonctionnalité de détection des menaces dans l'ASDM. Utilisez CLI pour envoyer la commande ou passer à une version antérieure de l'ASDM afin de résoudre le problème.

Q. Comment résoudre ce message d'erreur : %ERROR : copying 'disk0:/csco_config/97/customization/index.ini' to a temporary ramfs file failed?

A. Cette question est due à l'ID de bogue Cisco CSCsy77628 (clients enregistrés seulement). Afin de résoudre ce problème, lancez la commande revert webvpn all en mode EXEC privilégié pour effacer toutes les configurations WebVPN. Reconfigurez à partir de zéro et rechargez alors l'ASA.

Q. Comment puis-je résoudre ce message d'erreur sur l'ASA : ERREUR : support : Mounting /dev/hda1 on /mnt/disk0 failed: Invalid argument ?

A. Reformatez l'instantané afin de résoudre ce problème. Si ceci ne résout pas le problème alors contactez le TAC pour davantage d'assistance.

Q. Je reçois ce message d'erreur sur l'ASA quand j'essaie d'ajouter des caractères non anglais dans une bannière : The CLI generated has unsupported characters. ASA does not accept such characters. The following line has unsupported characters. Comment est-ce que je peux résoudre cette erreur ?

A. Cette question est due à l'ID de bogue Cisco CSCsz32125 (clients enregistrés seulement). Afin de résoudre ce problème, mettez à niveau l'ASA avec la version de logiciel 8.0(4.34).

Q. Comment puis-je résoudre ce message d'erreur sur l'ASA : %ASA-1-216005 : ERREUR : Duplex-mismatch on Et0/0 resulted in transmitter lockup. A soft reset of the switch was performed?

A. Ce message d'erreur est affiché quand un duplex-mismatch existe entre le port spécifié et le périphérique qui y est connecté. Configurez les deux périphérique à auto ou hard-coding the duplex des deux côtés pour qu'ils soient les mêmes afin de corriger le duplex-mismatch. Ceci résout le problème.

Remarque: Le bogue Cisco CSCsm87892 a été classé concernant ce problème, et le bogue est déplacé à l'état résolu maintenant. Pour plus d'informations, référez-vous à CSCsm87892 (clients enregistrés seulement).

Q. Quand j'exécute le processus de récupération sur le module AIP-SSM, puis que le module redémarre à plusieurs reprises, je reçois ce message d'erreur : Bad magic number (0x-682a2af). Comment résoudre ce message d'erreur ?

A. Ce problème se produit quand vous utilisez le mauvais fichier pour la reprise ou la nouvelle création d'image. Si vous utilisez le fichier .pkg au lieu du fichier .img, alors cette action entraîne l'erreur. Cette erreur se produit également quand le fichier .img est bon, mais que l'ASA est coincé dans une boucle de démarrage. La seule manière de résoudre ce problème est de créer une nouvelle image du capteur.

Q. Pourquoi ce message d'erreur s'affiche-t-il quand je télécharge des mises à jour de corrélations globales pour AIP-SSM : collaborationApp[530] rep/E A global correlation update failed: Failed download of ibrs/1.1/config/default/1236210407 : La connexion HTTP a manqué mise à jour globale de corrélation collaborationApp[459] rep/E A a manqué : Téléchargement défectueux d'ibrs/1.1/drop/default/1296529950 : L'URI ne contient pas un IP address valide ?

A. Cette question pourrait se produire en raison du Filtrage URL qui est configuré, qui affecte la circulation, et aussi en raison de l'interface de gestion du module d'AIP SSM qui peut passer par l'ASA pour sortir à l'Internet. Assurez-vous que le filtrage URL configuré ne bloque pas les périphériques (AIP-SSM) en les empêchant d'atteindre les corrélations globales, ce qui résout le problème. Cette question se produit quand il y a de corruption dans une mise à jour précédente de CHROMATOGRAPHIE GAZEUSE. Ceci peut habituellement être corrigé en arrêtant le service de CHROMATOGRAPHIE GAZEUSE et en le tournant alors de retour en fonction. Dans IDM, choisissez la configuration > les stratégies > corrélation > inspection/réputation globales. Puis, placez l'inspection globale de corrélation (et la réputation filtrant si en fonction) à hors fonction. Appliquez les modifications et attendez 10 minutes. Allumez les caractéristiques arrières et les surveillez.

Q. Comment puis-je résoudre ce message d'erreur sur l'ASA : Secure Connection Failed. An error occurred during a connection to x.x.x.x. Cannot communicate securely with peer: no common encryption algorithm. ((Error code: ssl_error_no_cypher_overlap)?

A. Cette question est due à l'ID de bogue Cisco CSCtc37947 (clients enregistrés seulement). Afin de résoudre ce problème, supprimez les fichiers temporaires créés pour la mise à jour automatique du compte root sur CSC, puis redémarrez les services.

Q. Comment puis-je résoudre ce message d'erreur sur l'ASA pour Grayware : GraywarePattern : Pattern Update: The download file was unsuccessful for ActiveUpdate was unable to unzip the downloaded patch packages. The zip file may be corrupted. This can happen due to an unstable network connection. Please try downloading the file again. The error code is 24?

A. Afin de résoudre ce problème, introduisez la clé d'activation 3DES ou utilisez cette commande sur l'ASA : ciscoasa(config)# ssl encryption aes256-sha1 aes128-sha1 3des-sha1 des-sha1 rc4-md5 . Cette commande est utilisée pour spécifier les algorithmes de chiffrement que le protocole SSL/TLS utilise.

Q. Comment puis-je résoudre ce message d'erreur que je reçois lors de la configuration des interfaces sur ASA 5505 : ERREUR : This license does not allow configuring more than 2 interfaces with nameif and without a "no forward" command on this interface or on 1 interface?

A. Ce problème est dû au nombre d'interfaces autorisées à communiquer d'après la licence présente dans l'ASA. Pour des modèles avec un commutateur intégré, comme l'ASA 5505, utilisez la commande forward interface dans le mode de configuration de l'interface afin de restaurer une connectivité pour un VLAN et l'empêcher de contacter un autre VLAN. Afin d'empêcher un VLAN de contacter un autre VLAN, utilisez la forme no de cette commande. Vous pourriez avoir besoin de restreindre un VLAN selon le nombre de VLAN pris en charge par votre licence.

Q. Comment puis-je résoudre ce message d'erreur sur l'ASA : %%Error opening system: /running-config (No such device)?

A. Rechargez l'ASA afin de résoudre ce message d'erreur.

Q. J'ai reçu cette erreur : [[ERR-PAT-0003] The update system cannot find the required files in the decompressed set of update files, and cannot continue. This message is for diagnostic purpose only. Customers - please contact Technical Support. while upgrading to the latest pkg file on CSC-SSM. Quelle est la raison de cette erreur ?

A. Cette question est due à l'ID de bogue Cisco CSCta99320 (clients enregistrés seulement). Référez-vous à ce bogue pour plus d'informations.

Q. Je reçois ce message d'erreur sur l'ASA et l'ASA ne redémarre pas : mempool : error 12 creating global shared pool. Pourquoi ce problème se produit-il et comment le résoudre ?

A. Ce problème pourrait se poser quand vous essayez d'installer plus de RAM qu'approprié pour une plate-forme particulière. Par exemple, si vous essayez d'installer 4 Go de RAM dans un ASA5540, vous pourriez recevoir cette erreur car l'ASA5540 ne peut pas exécuter plus de 2 Go de RAM.

Gardez ces éléments à l'esprit quand vous installez la nouvelle RAM :

  • Seule la nouvelle RAM est installée dans l'ASA. La vieille RAM doit être retirée et NON chargée dans les emplacements supplémentaires de RAM.

  • La nouvelle RAM doit être installée dans un emplacement alternatif. Pour des performances optimales, installez le DIMMs dans les emplacements P13 et P15.

Q. Je reçois le message d'erreur suivant : %ASA-4-402125 : CRYPTO : La sonnerie d'Ipsec d'accélérateur de matériel ASA chronométrée (Desc= 0xD6AF25E0, CtrlStat= 0xA000, ResultP= 0xD2D10A00, ResultVal= 186, Cmd= 0x10, CmdSize= 0, Param= 0x0, Dlen= 152, DataP= 0xD2D10974, CtxtP= 0xD46E6B10, SWReset= 21), quand l'ASA relâche le paquet montrant la représentation sévèrement dégradée. Pourquoi cette question se produit-elle ?

A. Cette question est due à l'ID de bogue Cisco CSCti17266 (clients enregistrés seulement). Référez-vous à ce bogue pour plus d'informations.

Des autres introduisent des erreurs pour tests connexe à ce comportement sont CSCtn56501 (clients enregistrés seulement).

Q. Ce message d'erreur est reçu sur l'ASA : 418001 : le paquet d'À travers-le-périphérique à/de le réseau réservé à la Gestion est refusé : dst Mgt-Net:10.40.10.1 (type 8, code 0) du src In-DMZ:192.168.145.53 d'ICMP. Comment est-ce que je résous ceci ?

A. Retirez la commande réservée à la Gestion de l'interface où elle est configurée. Dans ce cas spécifique, du message d'erreur ci-dessus, retirez la commande réservée à la Gestion de l'interface de Mgt-net.

Q. Comment résoudre ce message d'erreur : %PIX|ASA-5-713137 : Reaper ignorant le refCnt [ref_count] et le tunnelCnt [tunnel_count] -- supprimer SA ! ?

A. Cette question est due à l'ID de bogue Cisco CSCsq91271 (clients enregistrés seulement). Référez-vous à ce bogue pour plus d'informations.

Q. Comment résoudre ce message d'erreur : « CRYPTO : L'ASA ignore l'écriture du plus défunt crypto fichier d'archivage car les maximum # des fichiers (2) permis ont été écrits à < disk0:/crypto_archive >. Archivez et veuillez retirez les fichiers de < disk0:/crypto_archive > si vous voulez des fichiers d'archivage plus cryptos enregistrés » ?

A. Ceci peut sont provoqué par en raison des malfunctionalities du moteur de chiffrement. Ce comportement a été les id ouverts une session de bogue Cisco CSCtg58074 (clients enregistrés seulement) et CSCsm77854 (clients enregistrés seulement). Un contournement provisoire est de supprimer les cryptos fichiers d'archivage de l'éclair et de recharger le périphérique. Cette erreur ne semble pas affecter le trafic existant. Si vous avez besoin d'une solution permanente à ceci, contactez Cisco TAC pour recevoir une image de construction d'ingénierie.

Q. Comment résoudre ce message d'erreur : Erreur : Le trafic du 19 février 2010|15:58:33|450001|XXX.YYY.ZZZ.ZZ||Deny pour le dst outside:XXX.YYY.ZZZ.ZZ/6667 du src inside:192.168.1.63/2988 du protocole 6, limite autorisée d'hôte de 10 a dépassé. ?

A. C'est une question connexe de permis. Si vous exécutez un permis de base sur votre Pare-feu, on ne te permettra pas pour établir plus de dix connexions. Vérifiez ceci utilisant la commande de show version. Afin de résoudre ce problème, exécutez une mise à niveau de licence sur votre Pare-feu. Contactez Cisco autorisant le pour en savoir plus d'équipe.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 68330