安全 : 思科自适应安全设备 (ASA) 软件

当ASA重新启动时,无线移动性连接发生故障和不恢复

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文描述移动性路径连接的问题(使用用户数据报协议(UDP)和IP协议93)该横断可适应安全工具(ASA)也许断开和继续发生故障,直到移动性设备重新加载,或者移动性路径流量被终止并且短时间被留下非激活然后重新启动。

贡献用杰伊约翰斯顿, Cisco TAC工程师。

先决条件

要求

Cisco 建议您了解以下主题:

  • 思科可适应安全工具(ASA)
  • 无线局域网控制器(WLC)

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的信息,请参阅 Cisco 技术提示规则

问题

在这种情况下一个无线局域网控制器(WLC) 10.10.1.2的尝试通信与WLC在10.10.9.3,但是通信发生故障。

此问题可以由任何这些事件触发:

  • ASA重新启动。
  • 管理员或路由协议修改路由表。
  • 接口由管理员关闭,然后带来备份。

除移动性流量以外,此问题也许是有经验的为所有UDP或非TCP IP协议。 

此问题是没有bug,然而网络拓扑和ASA配置的结果。下面请参阅关于原因和解决方案对此问题。

示例网络结构


116074-problem-solution-asa-01.png

ASA路由配置:

!
route outside 0.0.0.0 0.0.0.0 192.168.4.3 1
route inside 10.0.0.0 255.0.0.0 192.168.254.1 1
!
same-security-traffic permit intra-interface
!

ASA dmz接口配置:

!
interface Gigabit-Ethernet0/1.10
vlan 10
nameif dmz
security-level 75
ip address 10.10.9.1 255.255.255.240 standby 10.10.9.2
!

问题触发

当在10.10.1.2的WLC发送流量被注定对WLC在10.10.9.3时,问题被触发。这些数据包在发送移动性流量错误的ASA接口的其连接表里造成ASA建立连接(里面)。

116074-problem-solution-asa-02.png

此问题由目的地接口“dmz是”导致的ASA的down/down状态,在连接被建立了时候,导致被构件一个不同的连接,非最优接口。dmz接口也许下降由于电缆问题、以太网或者Port-Channel协商问题,或者也许管理性被关闭的。

在问题时,移动性路径连接能被看到和创建作为“接口内” ASA,路由他们到达的数据包取消同一个内部接口:

ASA# show conn address 10.10.1.2
15579 in use, 133142 most used
97 inside 10.10.9.3 inside 10.10.1.2, idle 0:00:00, bytes 32210
UDP inside 10.10.9.3:16666 inside 10.10.1.2:16666, idle 0:00:00, bytes 4338, flags -
97 inside 10.10.9.3 inside 10.10.1.2, idle 0:00:00, bytes 157240
ASA#

在10.10.1.2的移动性终端继续发送被注定的流量到10.10.9.3,匹配这些现有连接。即使dmz接口是进步对UP/UP状态,从10.10.1.2发出的移动性流量在重置连接超时在ASA的,延长问题的表里将匹配现有连接(而不是建立对dmz接口的一个新连接)。

总之,这些事件能触发问题:

  1. 在10.10.1.2的设备发送协议97或UDP数据包对10.10.9.3。
  2. ASA收到在内部接口的数据包,但是dmz接口发生故障,导致具体的路由对目的地网络丢失从路由表。因为intra-interface命令相同的安全性的permit在ASA启用,在连接表里跟随为10.0.0.0/8网络上一步配置的一条静态小路通过内部接口,建立连接,然后发送数据包取消往内部网络的内部接口。
  3. 有时dmz接口也许恢复,并且路由被添加回到表;然而,因为协议97流量的连接在步骤#2已经被建立了,后续信息包将匹配连接,并且路由表覆盖,并且流量不到达在dmz的服务器。

解决方案

解决方案 1

此问题的一个可能的解决方案将删除intra-interface命令相同的安全性的permit从ASA。此解决方案防止U字型转向连接被构件取消原始信息包接收,允许将被构件的正确连接的同一个接口,当接口出来时。然而,根据ASA的路由表,此解决方案也许不工作(流量也许路由到另一个接口除根据路由表的有意目的地之外),并且intra-interface命令相同的安全性的permit也许是必要的为在ASA的其他连接。

解决方案 2 

对于此特定实例,问题通过启用超时浮动CONN功能顺利地减轻。此功能,默认情况下没有启用,造成ASA切断这些连接一分钟,在更多首选路由到其中一个终端被添加到路由表ASA的新接口后,发生,当dmz接口出来时。连接立即然后重建,当下一个信息包到达在ASA,使用更多首选的接口时(dmz,而不是10.10.9.3主机的里面)。

ASA(config)# timeout floating-conn 0:01:00

116074-problem-solution-asa-03.png

当问题被减轻时,正确连接在ASA连接表里被建立,并且连接自动地恢复:

ASA# show conn address 10.10.1.2
15329 in use, 133142 most used
97 dmz 10.10.9.3 inside10.10.1.2, idle 0:00:00, bytes 3175742510
UDP dmz 10.10.9.3:16666 inside 10.10.1.2:16666, idle 0:00:00, bytes 40651338, flags -
97 dmz 10.10.9.3 inside10.10.1.2, idle 0:00:00, bytes 1593457240
ASA#

相关信息



Document ID: 116074