安全 : Cisco PIX 500 系列安全设备

PIX/ASA安全工具FAQ

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


问题


简介

本文提供回答关于与Cisco安全设备(常见问题)涉及的多数常见问题,例如PIX 500系列和ASA 5500系列设备。

本文的目标受众是了解CLI命令和功能并且有与初期的PIX软件版本的配置的体验的安全工具管理员。

与软件版本的兼容性

Q. 哪些设备支持 PIX 7.x?

A. PIX 515、PIX 515E, PIX 525, PIX 535和所有Cisco ASA 5500系列自适应安全设备(ASA 5510, ASA 5520和ASA 5540)支持软件版本7.x和以上。

软件版本 7.x 不支持 PIX 501、PIX 506E 和 PIX 520 安全设备。

Q. 我有在软件版本6.x运行的PIX 515/515E型号,并且我要升级到7.x。这是否可能?

A. 是,只要有必要的内存模块便可能。在升级 PIX 515/515E 之前,请参阅升级 Cisco PIX 515/515E 安全设备以支持 PIX 软件版本 7.0以了解确切的内存要求。

Q. PIX 7.0 中有哪些更改和新功能?当我从版本 6.x 升级到 7.x 时,是否会自动处理旧功能?

A. 有关 PIX 7.0 中的更改和新功能的详细信息,请参阅 PIX 安全设备版本 7.0 中的更改

在系统上引导 PIX 安全设备 7.x 时,会自动转换大多数已更改和已不再使用的功能和命令。少数功能和命令需要在升级之前或升级过程中手动干预。有关详细信息,请参阅已更改和已不再使用的功能和命令

配置问题

Q. 如何执行运行 7.x 的安全设备的基本配置?

A. 请参阅 Cisco 安全设备命令行配置指南 7.1 版配置基本设置部分。

Q. 如何配置 PIX 7.x 中的接口?

A. PIX/ASA 7.0设置越紧密越好类似于路由器和交换机Cisco IOS 。在 PIX/ASA 7.0 中,配置如下所示:

interface Ethernet0
         description Outside Interface
         speed 100
         duplex full
         nameif outside
         security-level 0
         ip address 10.10.80.4 255.255.255.0 standby 10.10.80.6

有关详细信息,请参阅配置 PIX 7.0 上的接口参数

Q. 如何在 ASA 或 PIX 上创建访问列表 (ACL)?

A. 访问列表由一个或多个具有相同访问列表 ID 的访问控制条目 (ACE) 组成。访问列表用于控制网络访问或指定许多功能要对其进行操作的数据流。要添加 ACE,请在全局配置模式下使用命令 access-list <ID> extended。要删除 ACE,请使用此命令的 no 形式。要删除整个访问列表,请使用 clear configure access-list 命令。

access-list 命令允许所有主机(在应用访问列表的接口上)通过安全设备:

hostname(config)#access-list ACL_IN extended permit ip any any

如果配置了访问列表以控制通过安全设备的数据流,则必须使用 access-group 命令将访问列表应用到某个接口才能使该访问列表生效。每个接口的每个方向上只能应用一个访问列表。

输入此命令以将扩展访问列表应用于接口的入站或出站方向:

hostname(config)#access-group access_list_name {in | out} interface interface_name 
[per-user-override]

本示例显示一个应用于内部接口的入站访问列表,它允许网络 10.0.0.0 /24 通过安全设备:

hostname(config)#access-list INSIDE extended permit ip 10.0.0.0 255.255.255.0 any
hostname(config)#access-group INSIDE in interface inside

本示例显示一个应用于外部接口的入站访问列表,它允许安全设备外部的所有主机通过安全设备对位于 172.20.1.10 的服务器进行 Web 访问:

hostname(config)#access-list OUTSIDE extended permit tcp any host 172.20.1.10 eq www
hostname(config)#access-group OUTSIDE in interface outside

注意: 访问列表末尾包含一条隐式的“deny”语句。这意味着,一旦应用 ACL,未被 ACL 中的 ACE 明确允许的所有数据流都将被拒绝。

Q. 能否使用在ASA的management0/0接口为了通过流量类似其他接口?

A. 可以。有关详细信息,请参阅 management-only 命令。

Q. 安全设备中的安全上下文是什么意思?

A. 您可以将一个硬件 PIX 分区为多个虚拟设备,这些虚拟设备称为安全上下文。每个上下文都成为一个独立的设备,具有其自己的安全策略、接口和管理员。多个上下文类似于具有多个独立的设备。多上下文模式下支持许多功能,包括路由表、防火墙功能、IPS 和管理。某些功能不受支持,包括 VPN 和动态路由协议。

Q. 如何在 ASA 或 PIX 上配置 VPN 用户组锁功能?

A. 要配置组锁,请在远程身份验证拨入用户服务 (RADIUS) 服务器上的类属性 25 中发送组策略名称,并选择组以将用户锁在策略内。

例如,要将 Cisco 123 用户锁在 RemoteGroup 组中,请在 RADIUS 服务器上为此用户定义 Internet 工程任务组 (IETF) 属性 25 类 OU=RemotePolicy

要在自适应安全设备 (ASA)/PIX 上配置组锁,请参阅以下配置示例:

group-policy RemotePolicy internal
group-policy RemotePolicy attributes
dns-server value x.x.x.x
group-lock value RemoteGroup

tunnel-group RemoteGroup type ipsec-ra
tunnel-group RemoteGroup general-attributes
address-pool cisco
authentication-server-group RADIUS-Group
default-group-policy RemotePolicy

注意: OU 设置组策略,组策略将用户锁在首选隧道组中。

要设置您的 Cisco Secure ACS for Windows,RADIUS 服务器会将用户锁在 ASA 上配置的特定组中。

Q. 如何才能捕获 PIX/ASA 中的数据包?

A. 如果使用数据包捕获功能,则可以在 PIX/ASA 中捕获数据包。有关数据包捕获配置示例的详细信息,请参阅 ASA/PIX/FWSM:使用 CLI 和 ASDM 捕获数据包配置示例

Q. 如何才能在 ASA 上将 HTTP 数据流重定向到 HTTPS?

A. 在全局配置模式下发出 http redirect 命令以指定安全设备将 HTTP 连接重定向到 HTTPS。

hostname(config)#http redirect interface [port] 

Q. ASA如何得知主机的MAC地址?

A. ASA问题主机的一个ARP请求在直接地连接的子网,即使发出SYN数据包对ASA,有ARP信息在第2层报头。防火墙不了解主机的MAC地址从SYN数据包的,并且必须发出它的一个ARP请求。如果主机不为ARP请求应答, ASA然后丢弃数据包。

Q. 当我建立中继物理接口并且使用sub-interface instaed使用多个物理接口时,有没有其中任一在思科ASA的直接影响?

A. 不除为在数据包的802.1q报头要求的额外处理之外,没有在思科ASA的其他重大影响。

Q. 能否配置在思科ASA的同样安全接口的之间NAT/PAT ?

A. 可以。这从Cisco ASA软件版本8.3是可能的。

软件升级问题

Q. 我已将我的 PIX 从 6.x 升级到 7.x。升级后,我注意到对于同样的数据流量,CPU 使用率会高出 8-10%。此增加是否正常?

A. PIX 7.0 拥有的 Syslog 和新功能数量比 6.x 版本的三倍还多。与 6.x 相比,CPU 使用率增加是正常的。

连接问题

Q. 在使用安全设备 7.0 时,我无法 ping 通外部接口的外部。如何解决此问题?

A. PIX 7.x 中有两个允许内部用户 ping 外部的选项。第一个选项是为每个类型的 echo 消息设置一个特定规则。例如:

access-list 101 permit icmp any any echo-reply
        access-list 101 permit icmp any any source-quench 
        access-list 101 permit icmp any any unreachable  
        access-list 101 permit icmp any any time-exceeded
        access-group 101 in interface outside

当内部用户 ping 外部主机时,此选项只允许这些返回消息通过防火墙。其他类型的 ICMP 状态消息可能是恶意的,防火墙会阻止其他所有 ICMP 消息。

另一个选项是配置 icmp 检查。这将允许受信任的 IP 地址通过防火墙,并且只允许应答返回该受信任的地址。这样,所有内部接口能 ping 通外部,并且防火墙允许应答返回。这还提供了可以监控通过防火墙的 ICMP 数据流的优点。

例如:

policy-map global_policy
    class inspection_default
     inspect icmp

Q. 当通过 VPN 隧道连接时,我无法访问安全设备的内部接口。如何才能执行此操作?

A. 除非已在全局配置模式下配置 management-access,否则无法从外部访问安全设备的内部接口,反之亦然。启用 management-access 后,仍必须为所需的主机配置 Telnet、SSH 或 HTTP 访问。

pix(config)#management-access inside
pix(config)#show running-config management-access
management-access inside

Q. 为什么我无法使用 ASA 通过 VPN 隧道连接 IP 电话?

A. 这可能属于身份验证问题。请验证 IP 电话用户组是否已启用身份验证 (X-auth)。

涉及的ASDM

Q. 如何在 ASA/PIX 上启用/访问 ASDM?

A. 您需要启用 HTTPS 服务器并允许通过 HTTPS 连接至安全设备才能使用 ASDM。如果使用 setup 命令,将完成所有这些任务。

有关详细信息,请参阅允许对 ASDM 进行 HTTPS 访问

支持的功能

Q. 安全设备中的两个运行模式是什么?

A. PIX 安全设备可以在两个不同的防火墙模式下运行:

  1. 路由模式 - 在路由模式下,PIX 会为其接口分配 IP 地址并充当通过它的数据包的路由器跳。所有数据流检查和转发决策都基于第 3 层参数。这是 7.0 以前的 PIX 防火墙版本的运行方式。

  2. 透明模式 - 在透明模式下,PIX 不会为其接口分配 IP 地址。而是充当一个可以维护 MAC 地址表并根据该表做出转发决策的第 2 层网桥。完全扩展 IP 访问列表仍然可用,并且防火墙可以检查任何层的 IP 活动。在此运行模式下,PIX 经常被称为“线路插件”或“隐形防火墙”。关于透明模式的运行方式,与路由模式相比还存在其他显著差异:

    • 仅支持两个接口 - 内部和外部

    • 由于 PIX 不再是跳,因此不支持或不需要 NAT。

      注意: ASA/PIX版本的透明防火墙支持NAT和PAT 8.0(2)及以后。

请参阅 PIX/ASA:关于如何的透明防火墙配置示例配置在透明模式的安全工具的更多信息。在透明模式的参考的NAT欲知更多信息。

注意: 由于透明模式和路由模式使用不同的安全方法,因此在将 PIX 切换为透明模式时,将清除正在运行的配置。请务必将路由模式的运行中配置保存到闪存或外部服务器中。

Q. ASA 是否支持 ISP 负载均衡?

A. 否。负载均衡必须由将数据流传输到安全设备的路由器来处理。

Q. 与BGP的MD5认证通过ASA支持?

A. 不, MD5认证不通过ASA支持,但是应急方案可以是禁用它。请参阅 ASA/PIX:BGP通过ASA配置示例欲知更多信息。

Q. PIX/ASA 是否支持 EtherChannel 或 PortChannel 接口?

A. 是, EtherChannel的支持在ASA软件版本8.4介绍。您能配置八个激活接口48 802.3ad EtherChannel中的每一个。欲知更多信息,参考ASA版本8.4版本注释

Q. 能Anyconnect,并且Cisco VPN Client在ASA ?

A. 是,因为他们没有相互关连。Anyconnect在SSL和Cisco VPN Client在IPSEC工作工作。

Q. ASA/PIX 是否可以阻止 Skype?

A. 非常遗憾,PIX/ASA 不能阻止 Skype 数据流。Skype有功能协商动态端口和使用加密流量。对于加密数据流,由于没有要查找的模式,因此几乎检测不到它。

您可能最终使用思科入侵防御系统(IPS)。它有一些签名,这些签名可以检测连接到 Skype 服务器以同步其版本的 Windows Skype 客户端。这通常在客户端启动连接时执行。当传感器获得最初的 Skype 连接时,您可以找到使用该服务的人员,并阻止从他们的 IP 地址启动的所有连接。

Q. ASA 是否支持 SNMPv3?

A. 可以。Cisco ASA 软件版本 8.2 支持简单网络管理协议 (SNMP) 版本 3(最新的 SNMP 版本),并添加了身份验证和隐私选项以保护协议操作。

Q. 是否存在使用名称(而不使用 IP 地址)记录条目的方法?

A. 请使用 names 命令来启用名称与 IP 地址的关联。只能将一个名称与一个 IP 地址关联。在使用 name 命令之前,您必须首先使用 names 命令。请在使用 names 命令之后立即使用 name 命令,然后使用 write memory 命令。

name 命令允许您通过文本名称标识主机并将文本字符串映射到 IP 地址。请使用 clear configure name 命令以从配置中清除名称列表。请使用 no names 命令以禁用记录名称值。name 和 names 命令都保存在配置中。

Q. ip accounting 命令在 PIX/ASA 7.x 中是否可用?

A. 不能。

Q. 安全设备 7.0 是否支持 Are You There (AYT) 功能?

A. 可以。在 AYT 方案中,远程用户在 PC 上安装了一个个人防火墙。VPN 客户端强制执行在本地防火墙上定义的防火墙策略,并监控该防火墙以确保其正在运行。如果防火墙停止运行,VPN 客户端将断开与 PIX 或 ASA 的连接。此防火墙强制执行机制被称为 Are You There (AYT),因为 VPN 客户端通过定期向防火墙发送“are you there?”消息监控防火墙消息。如果未收到应答,VPN 客户端知道防火墙已关闭并终止其与 PIX 安全设备的连接。网络管理员可能最初配置了这些 PC 防火墙,但使用此方法,用户可以自定义他们自己的配置。

Q. 安全设备是否支持使用 TLS/SSL 的 FTP?

A. 不能。在典型的 FTP 连接中,客户端或服务器中的任何一方必须告诉另一方要用于数据传输的端口。PIX 可以检查此对话并打开该端口。但是,对于使用 TLS/SSL 的 FTP,此对话被加密,因此 PIX 无法确定要打开哪些端口。因此,使用 TLS/SSL 的 FTP 连接最终将失败。

在这种情况下,一个可能的解决方法是使用支持使用“清除命令信道”的 FTP 客户端,同时仍然使用 TLS/SSL 加密数据信道。启用此选项后,PIX 应该可以确定需要打开哪一个端口。

Q. 安全设备是否支持 DDNS?

A. 是,安全设备支持 DDNS。有关详细信息,请参阅配置动态 DNS

Q. PIX 是否支持 WebVPN/SSL VPN?

A. 否,但它在 Cisco 5500 系列自适应安全设备 (ASA) 中受到支持。

Q. PIX 是否支持 Cisco AnyConnect VPN 客户端?

A. 否,它只在 Cisco 5500 系列自适应安全设备 (ASA) 中受到支持。

Q. PIX 是否支持 AIP-SSM 和 CSC-SSM 之类的任何服务模块?

A. 不能。

Q. Cisco 安全设备是否支持 IPsec 手动密钥设置(手动加密)?

A. 不能。

Q. ASA 是否支持 NT 的口令管理?

A. ASA 不支持 NT 的口令管理。

注意: 安全设备支持 RADIUS 和 LDAP 协议的口令管理。

Q. Cisco 5500 系列 ASA 是否可以像 Cisco 路由器一样执行基于策略的路由 (PBR)?例如,邮件数据流应被路由到第一个 ISP,而 HTTP 数据流应被路由到第二个 ISP。

A. 非常遗憾,目前无法在 ASA 上执行基于策略的路由。这可能是将来要添加到 ASA 中的功能。

注意: route-map命令用于再分布路由在路由协议之间,例如OSPF和RIP,有使用的量度和不对策略路由正常数据流正如在路由器。

Q. 是否可以使用 ASA 5510 作为 Easy VPN 客户端?

A. 否。Easy VPN 客户端配置仅在 ASA 5505 中受到支持。

Q. ASA 是否支持不对称路由?

A. ASA 在版本 8.2(1) 及更高版本中支持不对称路由。在8.2(1)前的ASA版本不支持它。

Q. 能否配置在VPN通道的动态路由在ASA ?

A. 不能。这是仅可能的通过使用隧道接口, ASA不支持。

Q. ASA 是否支持 PPTP 客户端?

A. 不能。

Q. ASA 是否支持 QOS 使用 DSCP 值标记数据包?

A. 否,它只支持匹配 DSCP 数据流并在不更改 DSCP 值的情况下将其传输到下一跳设备。有关详细信息,请参阅 DSCP 和 Diffserv 保存

Q. ASA/PIX 版本 7.0 及更高版本上支持哪些 IPsec 转换(ESP 和 AH)?

A. 仅支持 IPsec 封装安全有效负载 (ESP) 加密和身份验证。ASA/PIX 版本 7.0 及更高版本上不支持身份验证报头 (AH) 转换。

Q. ASA 是否支持通用即插即用 (UPnP) 功能?

A. 否,目前 ASA 不支持通用即插即用 (UPnP) 功能。

Q. ASA是否支持基于来源的路由?

A. 不能。

Q. H.329流量是否穿过PIX/ASA 8.1及以后?

A. 不能。

Q. ASA是否支持H.460协议检测?

A. 不能。

Q. ASA是否支持EXEC授权,记录用户直接地到特权模式在验证以后?

A. 否,ASA 中不支持 EXEC 授权功能。

Q. ASA 是否允许广播数据流通过其接口?

A. 不能。

Q. 配置二要素在5505 ASA之间的L2L VPN验证是否是可能的?

A. 二要素验证可以从ASA仅版本8.2.x开始配置AnyConnect和SSL的VPN。您不能配置L2L的VPN二要素验证。

Q. 它是否是可能的添加同样ASA的两个电话代理?

A. 不能。它不是可能的添加和一样ASA不支持此的ASA的两个电话代理。

Q. ASA是否支持Netflow配置?

A. 此功能Cisco ASA版本8.1.x和以上支持是。关于完整实施细节,参考Cisco NetFlow实施指南。对于完整的配置摘要,参考配置Netflow安全事件日志的NewFlow安全事件日志部分的配置示例

Q. ASA是否支持Sharepoint ?

A. ASA 7.1和7.2不支持Sharepoint。为Sharepoint 2003支持(2.0和3.0)从ASA版本8.x开始。Sharepoint的2.0和3.0办公室文档在一个pureclientless模式(没有smarttunnels,没有端口转发器)也支持编辑。斯玛特通道可以自ASA 8.0.4使用。4.为在8.0的Sharepoint支持的所有基本功能2003支持在2007年在ASA版本8.2 5。

Q. ASA是否支持机器人设备的本地L2TP/IPsec客户端?

A. 不充分地是RFC兼容和支持的由Cisco ASA开始与版本8.4.1的机器人。欲知更多信息,参考支持的客户端

Q. 什么是在ASA可以配置ACL的最大?

A. 没有在ASA可以配置ACL的数量的定义限制。它取决于内存现在ASA。

Q. 能否通过SNMP备份ASA配置?

A. 不为了达到此,您需要使用SNMP writenet,要求思科设置复制MIB。目前,这,因为思科ASA,不支持此特定MIB不支持。

Q. 在Cisco视频单元之间的视频会议呼叫期间我不可以启动笔记本电脑演示。视频呼叫良好工作,但是从笔记本电脑的视频演示不工作。如何解决此问题?

A. 与笔记本电脑演示的一个视频会议研究H.239协议,思科在8.2前的ASA软件版本不支持。为了保证数据表示在视频会议工作,思科ASA应该支持H.239的适当的协商在视频端点之间的。此支持从Cisco ASA软件版本8.2和以上是可得到。对一个稳定的版本的升级在一个软件版本,例如8.2.4,将解决此问题。

Q. 配置在ASA 5505的802.1x验证是否是可能的?

A. 不能。配置在ASA 5505的802.1x验证是不可能的。

Q. 思科ASA在IPSec VPN发送的支持组播数据流是否建立隧道?

A. 不能。因为思科ASA,不支持这不是可能的。作为应急方案,您能有被加密使用GRE以前被封装的组播数据流。最初,使用在Cisco路由器的GRE组播信息包必须被封装,然后此GRE数据包进一步将转发对IPSec加密的思科ASA。

Q. 思科ASA在主动/主动模式运行。我要配置思科ASA作为VPN网关。这是否可能?

A. 因为多上下文和VPN不能同时,运行这不是可能的。思科ASA可以为仅VPN配置,当在活动/等待模式。

Q. 使用思科ASA作为VPN服务器,什么时候是发送关于客户端类型的信息(AnyConnect或IPSec)可能的到RADIUS数据库通过计费记录?

A. 这不是可能的,因为没有发送服务类型的这样属性客户端使用。

Q. ASA僵尸网络过滤器:如何检查关于动态块的报告关于ASA ?

A. 关于动态块的报告关于ASA可以检查与top命令显示动态过滤器的报告使用思科ASA僵尸网络数据流过滤器,欲知更多信息,参考抵抗的Botnets

Q. PIX/ASA支持思科设备发现协议(CDP) ?

A. 由于PIX/ASA是安全设备,不支持CDP。

Q. 使用Cisco Network Assistant (CNA),能否管理ASA ?

A. 是, CNA的新版本支持ASA。欲知更多信息,参考支持的列出设备

Q. 配置ASA作为认证机构(CA)和发行证书对VPN客户端是否是可能的?

A. 是,与ASA 8.x和以后您能配置ASA作为本地CA。目前, ASA只允许验证有此CA. IPSec客户端发出的证书的SSL VPN客户端不支持。参考本地CA欲知更多信息。

注意: 本地CA功能,如果使用活动/活动故障切换或VPN负载均衡,不支持。本地CA不可以是辅助对另一个CA;它能仅作为根CA。

故障切换

Q. 带有故障切换许可证的安全设备是否可以成为活动-活动故障切换的一部分?

A. 安全设备故障切换单元在安装了新的故障切换活动/活动许可证升级后,可在活动/活动故障切换对中使用(活动/活动需要一个 UR 模型和一个“FO 活动/活动”模型)。有关许可的详细信息,请参阅功能许可证和规格

Q. ASA是否支持SSL VPN,当配置为故障切换?

A. ASA支持SSL VPN,只有当配置为活动/等待故障切换和不在主动/主动故障切换。欲知更多信息,参考ASA SSL VPN应用程序流量和配置故障切换处理

错误消息

Q. 当EZVPN在ASA 5505时,启用我无法配置故障切换。为什么执行此错误消息请出现:错误:- ERROR]] vpnclient enable * Disable failover CONFIG CONFLICT:Configuration that would prevent successful Cisco Easy VPN Remote operation has been detected, and is listed above.请解决上述配置冲突并且重新启用

A. 如果 ASA 5505 对远程用户使用 EasyVPN(客户端模式),故障切换可正常运行,但是,如果已将 ASA 配置为与 Easy VPN 客户端一起使用(网络扩展模式 - NEM 模式),则在配置故障切换时它无法正常运行。因此,仅当 ASA 对远程用户使用 EZVPN(客户端模式)时故障切换才正常运行,因此会出现此错误。

Q. 当我配置第三个VLAN时,我收到此错误消息:::- ERROR:This license does not allow configuring more than 2 interfaces with nameif and without a "no forward" command on this interface or on 1 interface with nameif already configured.如何解决此问题?

A. 此错误生成了由于在ASA的一个许可证限制。您必须获取安全加上许可证为了配置更多VLAN正如在已路由模式。使用基本许可证只能配置三个活动 VLAN,使用附加安全许可证最多可以配置 20 个活动 VLAN。您可以使用基本许可证创建第三个 VLAN,但是此 VLAN 只能对外部或对内部通信,而不能同时进行双向通信。如果需要进行双向通信,则需要升级许可证。此外,如果使用基本许可证,请允许此接口成为第三个 VLAN 并使用 hostname(config-if)# no forward interface vlan number 命令限制它联系其他 VLAN。因此可以配置第三个 VLAN。

Q. 如何能解决此错误消息:%ASA-6-110002 :Failed to locate egress interface for UDP from outside:对x.x.x.x/xxxx的x.x.x.x/xxxx ?

A. 当 VPN 客户端尝试使用对等程序,并且该数据流进入其中没有对等服务器的隧道时,ASA 会显示此错误消息。请配置分割隧道以解决此问题,以便需要从接口出去的数据流不通过隧道传输并且数据包不被防火墙丢弃。请参阅 ASA/PIX:在 ASA 上对 VPN 客户端允许分割隧道配置示例

Q. 如何能解决此错误消息:Error:execUpgradeSoftware :操作被计时与0出于1接收的字节

A. 当您尝试使用 FTP 升级 AIP-SSM 时,可能会超时。请增加 FTP 超时值以解决问题。

例如:

configure terminal
service host
network-settings
ftp-timeout 2700
exit

保存更改。

Q. 如何能解决此错误消息:%ASA-4-402123 :CRYPTO :ASA硬件加速器遇到错误

A. 为了解决此问题,请尝试这些应急方案之一:

Q. 如何能解决此错误消息:无法传送认证消息

A. 当您使用 LOCAL(内部)身份验证时,ASA 不支持口令管理。请删除口令管理(如果已配置)以解决此问题。

Q. 如何能解决接收的此错误消息,当测试在ASA时的验证:ERROR:不响应的认证服务器:没有错误
ASA# test aaa-server authentication TAC_SRVR_GRP username test password test123
Server IP Address or name: ACS-SERVER
INFO: Attempting Authentication test to IP address <ACS-SERVER> (timeout: 12 seconds)
ERROR: Authentication Server not responding: No error

A. 请使用这些点中的任一个解决此问题:

  • 验证从ASA的连接到AAA服务器通过ping测试并且保证AAA服务器从ASA是可及的。

  • 验证在ASA的AAA相关的配置并且证实是否AAA服务器被提及适当地。

    ASA# show run aaa-server 
    aaa-server RAD_SRVR_GRP protocol radius
    aaa-server RAD_SRVR_GRP host ACS-SERVER
     key *
    aaa-server TAC_SRVR_GRP protocol tacacs+
    aaa-server TAC_SRVR_GRP host ACS-SERVER
     key *
  • 如果Radius是TACACS端口由任何防火墙阻塞在AAA服务器和ASA之间的路径请验证。保证打开对应的端口根据协议使用的。

  • 验证在AAA服务器的参数。

  • 重新加载AAA服务器。

验证的成功的测试如下所示:

ASA(config)# test aaa authentication topix host 10.24.10.10 username test password test1234
INFO: Attempting Authentication test to IP address <10.24.0.10> (timeout: 12 seconds)
INFO: Authentication Successful

Q. 如何能解决此错误消息:执行命令[FAILED]的%Error Opening disk0:/.private/startup-config (只读文件系统)错误

A. 在 ASA/PIX 中格式化闪存或使用 FSCK 命令来解决此问题。

Q. 如何能解决此ASDM错误消息:无关联的插槽没实现的

A. 此问题发生,当ASDM版本5.0或以上在ASA、PIX或者FWSM时运行,并且使用Java 6更新10或以上。当装载ASDM时,此消息出现:

ASDM cannot be loaded. Click OK to exit ASDM.
Unconnected sockets not implemented.

为了解决此问题,卸载Java 6请更新10,并且安装Java 6更新7。欲知更多信息,参考CSCsv12681 (仅限注册用户)

为了获得ASDM正确地装载与Java 6请更新10,更新ASDM对ASDM 6.1(5)51。详细信息,参考Cisco ASDM版本注释版本6.1(5)的ASDM客户端操作系统和浏览器要求部分。

Q. 如何能解决此错误消息:%ASA-1-199010 :信号11捉住了在进程/光纤(rtcli异步执行者进程)/(rtcli异步执行者)在地址0xf132e03b,在0xca1961a0的纠正措施

A. 此问题也许导致,当ASDM用于访问ASA时或,当有在ASA时的高CPU利用率。当错误恢复机制防止系统失败,此消息通常出现。

如果没有与此消息的其他问题,可以忽略。它是不影响性能的可恢复错误。

Q. Oracle流量不穿过防火墙。如何能解决此问题?

A. 此问题由防火墙的sqlnet检查功能导致。当它发生时,连接被撕毁。sqlnet检测引擎的TCP代理设计处理在一TCP数据段的多TNS帧。sqlnet检查处理在使代码的一数据包的许多TNS帧复杂。

为了解决此问题,检测引擎不应该处理在一数据包的多TNS帧。假设,每TNS帧是一不同的TCP数据包和单个检查。

软件Bug为此行为被归档了;欲知更多信息,参考CSCsr27940 (仅限注册用户)CSCsr14351 (仅限注册用户)

此问题的解决方案下面给。

请勿请使用Inspect sqlnet in命令等级配置模式为了禁用sqlnet的检查。

ASA(config)#class-map sqlnet-port
ASA(config-cmap)#match port tcp eq 1521
ASA(config-cmap)#exit
ASA(config)#policy-map sqlnet_policy
ASA(config-pmap)#class sqlnet-port
ASA(config-pmap-c)#no inspect sqlnet
ASA(config-pmap-c)#exit
ASA(config)#service-policy sqlnet_policy interface outside

欲知更多信息,参考Cisco安全设备命令参考的Sqlnet检查部分,版本8.0

Q. 我无法复制软件镜像到ASA的闪存,并且我收到错误消息类似于此消息:写入disk0:/asa8XX-XX.bin的错误(不能分配内存)

A. 此问题也许出现,如果防火墙无法分配内存(RAM)装载软件镜像。

当转接对ASA时, ASA缓冲在RAM的整个镜像。直到它完成文字闪烁,必须有足够大一个可用的空闲内存块保持整个软件镜像。在ASA写入它闪烁前,一个全部内存存储区一定取得到缓冲整个镜像。

内存使用与在您的ASA启用的功能直接地涉及;这些功能装载,每次您的ASA是启动,不管镜像如何装载(通过网络或闪存)。您能禁用功能您当前不是使用为了减少内存使用。注意WebVPN、SSLVPN和威胁检测倾向于浪费很多内存。

您能也使用ROM监控器(ROMMON)复制镜像,或者您能设置您的启动参数通过tftp启动然后复制镜像,在ASA在网络后启动。因为ROMmon不装载配置,不装载这些功能;因此,当您使用此方法复制文件时,您不应该遇到问题。

尝试这些应急方案。

Q. 如何能解决此错误消息:[ERROR]威胁检测统计信息主机编号速率0威胁检测统计信息主机编号速率0 ^ %无效输入检测在‘^’标记

A. 当您在 ASDM 中使用威胁检测功能时,可能出现此错误。请使用 CLI 发送命令或降级 ASDM 以解决此问题。

Q. 如何能解决此错误消息:%ERROR :复制'disk0:/csco_config/97/customization/index.ini对一个临时ramfs文件失败

A. 此问题归结于Cisco Bug ID CSCsy77628 (仅限注册用户)。要解决此问题,请在特权 EXEC 模式下发出 revert webvpn all 命令以清除所有 WebVPN 配置。从头开始重新配置,然后重新加载 ASA。

Q. 如何能解决在ASA的此错误消息:ERROR:登上:Mounting /dev/hda1 on /mnt/disk0 failed:无效参数

A. 重新格式化闪存以解决此问题。如果这不能解决问题,请与 TAC 联系以获得进一步协助。

Q. 当我尝试在标语时的添加非英语字符我收到在ASA的此错误消息:CLI生成的有不支持的字符。ASA不接受这样字符。以下线路有不支持的字符。如何解决此问题?

A. 此问题归结于Cisco Bug ID CSCsz32125 (仅限注册用户)。为了解决此问题,请升级与软件版本8.0(4.34)的ASA。

Q. 如何能解决在ASA的此错误消息:%ASA-1-216005 :ERROR:在Et0/0的Duplex-mismatch导致发射器锁住。交换机的软重置被执行了

A. 此错误消息被看到,当duplex-mismatch存在指定的端口和连接对它的设备之间时。设置两个设备对自动硬编码在两边的双工是同样为了更正duplex-mismatch。这将解决该问题。

注意: Cisco Bug ID CSCsm87892关于此问题被归档了,并且bug当前被迁移向解决的状态。欲知更多信息,参考CSCsm87892 (仅限注册用户)。

Q. 当我进行在AIP-SSM模块时的恢复进程模块重复然后重新启动,我收到此错误消息:损坏的幻数(0x-682a2af)。如何能解决此错误消息?

A. 当您使用错误文件恢复或重新映像,此问题发生。如果使用.pkg文件而不是.img,此操作然后导致此错误。此错误也出现,当.img文件是好,但是ASA在引导程序环路被滞留。解决此问题的唯一方法是再镜像传感器。

Q. 为什么执行此错误消息请出现,当我下载为AIP-SSM的全局相关性更新:collaborationApp[530] rep/E A全局相关性更新失败的:ibrs/1.1/config/default/1236210407下载失败:HTTP连接失败失败的collaborationApp[459] rep/E A全局相关性更新:ibrs/1.1/drop/default/1296529950下载失败:URI不包含有效IP地址

A. 此问题也许发生由于配置,影响通信流的URL过滤,并且由于可以通过ASA出去到互联网AIP-SSM模块的管理接口。确保配置的不阻塞URL过滤设备(AIP-SSM)从到达全局相关性,解决问题。当有在一次上一个GC更新的损坏此问题出现。这可能被关闭GC服务然后打开它通常更正回到。在IDM,请选择Configuration>策略>全局相关性>检查/名誉。然后,设置全局相关性检查(和名誉过滤,如果)对。应用更改并且等待10分钟。启用功能返回并且监控。

Q. 如何能解决在ASA的此错误消息:失败的。在对x.x.x.x的一连接时发生的错误。不能安全地通信与对等体:没有普通的加密算法。(错误代码:ssl_error_no_cypher_overlap) ?

A. 此问题归结于Cisco Bug ID CSCtc37947 (仅限注册用户)。为了解决此问题,请从在CSC的根帐户删除为自动更新创建的临时文件,然后重新启动服务。

Q. 如何能解决在ASA的此错误消息Grayware的:GraywarePattern :模式更新:下载文件为ActiveUpdate是不成功无法解下载的补丁程序包压缩。压缩文件可能是损坏的。这能发生由于一个不稳定的网络连接。请再试一次下载文件。错误代码是24

A. 为了解决此问题,请输入3DES激活密钥或请使用此on命令ASA :ciscoasa(config)- ssl encryption aes256-sha1 aes128-sha1 3des-sha1 des-sha1 rc4-md5。此命令用于指定SSL/TLS协议使用的加密算法。

Q. 如何能解决此错误消息接收的该I,当配置在ASA 5505时的接口:ERROR:此许可证不允许配置超过2个接口与nameif和没有“没有向前” on命令此接口或在1个接口

A. 此问题归结于接口数量允许的通信基于许可证现在ASA。对于型号用一内置的交换机,例如ASA 5505,请使用interface命令的转发在接口配置模式为了恢复一个VLAN的连接从启动联系方式到另一个VLAN。为了限制从启动联系方式的一个VLAN到另一个VLAN,请使用此命令no表示。您也许需要根据多少VLAN限制一个VLAN您的许可证支持。

Q. 如何能解决在ASA的此错误消息:%Error Opening system: /running设置(没有这样设备)

A. 重新加载ASA为了解决此错误消息。

Q. 我接收此错误:[ERR-PAT-0003]更新系统不找到在被解压的套的必需文件更新文件,并且不能继续。此消息是为仅诊断目的。客户-请联系支持人。当升级对在CSC-SSM时的最新的pkg文件。为什么会出现此错误?

A. 此问题归结于Cisco Bug ID CSCta99320 (仅限注册用户)。有关详细信息,请参阅此 Bug。

Q. 我收到在ASA的此错误消息,并且ASA不重新启动:mempool :错误12创建的全局共享池。此问题为什么出现,并且如何可以是解决的?

A. 此问题也许发生,当您设法安装更多RAM比时为特定平台是适当的。例如,如果设法安装4 GB在ASA5540的RAM,您也许收到此错误,因为ASA5540不应该运行超过2 GB RAM。

当您安装新的RAM:时,请记住这些项目

  • 仅新的RAM在ASA安装。在额外的RAM slot应该删除和不装载旧有RAM。

  • 在交替的slot应该安装新的RAM。对于最佳性能,请安装在slot P13和P15的DIMM。

Q. 我收到此错误:%ASA-4-402125 :CRYPTO :被计时的(Desc= ASA硬件加速器Ipsec环0xD6AF25E0, CtrlStat= 0xA000, ResultP= 0xD2D10A00, ResultVal= 186, Cmd= 0x10, CmdSize= 0, Param= 0x0, Dlen= 152, DataP= 0xD2D10974, CtxtP= 0xD46E6B10, SWReset= 21),当ASA丢弃严重地陈列下降的性能的数据包。此问题为什么出现?

A. 此问题归结于Cisco Bug ID CSCti17266 (仅限注册用户)。有关详细信息,请参阅此 Bug。

与此行为涉及的另一bug是CSCtn56501 (仅限注册用户)。

Q. 此错误消息在ASA接收:418001 :到/从仅管理网络的通过这设备数据包拒绝:icmp src DMZ:192.168.145.53 dst MgtNet:10.40.10.1 (类型8,代码0)如何解决此问题?

A. 配置的接口删除唯一的命令。对这个特殊情况,从上述错误消息,请从Mgt NET接口删除唯一的命令。

Q. 如何能解决此错误消息:%PIX|ASA-5-713137 :收割机覆盖的refCnt [ref_count]和tunnelCnt [tunnel_count]--删除SA!

A. 此问题归结于Cisco Bug ID CSCsq91271 (仅限注册用户)。有关详细信息,请参阅此 Bug。

Q. 如何能解决此错误消息:“CRYPTO :因为最大#文件(2)允许写入对< disk0:/crypto_archive >, ASA跳过最新的crypto归档文件文字。如果想要更加crypto的归档文件保存”,从< disk0:/crypto_archive >请归档&删除文件

A. 这可以导致由于加密引擎的malfunctionalities。此行为是登陆的Cisco Bug ID CSCtg58074 (仅限注册用户)和CSCsm77854 (仅限注册用户)。临时应急方案是删除从闪存的crypto归档文件和重新加载设备。此错误不似乎影响现有流量。如果需要永久解决方案对此,请与Cisco TAC联系接收工程构造镜像。

Q. 如何能解决此错误消息:Error:协议6 src inside:192.168.1.63/2988 dst的outside:XXX.YYY.ZZZ.ZZ/6667二月19 2010|15:58:33|450001|XXX.YYY.ZZZ.ZZ||Deny流量,准许的主机限制10超过。

A. 这是许可证相关问题。如果运行在您的防火墙的一基础许可证,您不会允许建立超过十连接。使用show version命令,验证此。为了解决此问题,请执行在您的防火墙的一个许可证升级。与思科许可授权的团队联系欲知更多信息。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 68330