安全 : 思科自适应安全设备 (ASA) 软件

ASA FAQ :ASA为什么发送数据包到IPS模块没有IPS策略配置?

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文描述思科可适应安全工具(ASA)为什么也许发送流量到检查的一个嵌入式服务模块,当没有入侵防御系统(IPS)模块策略在配置里时。

贡献用Prapanch Ramamoorthy和Abhishek Prabhakar, Cisco TAC工程师。

Q. 当没有配置时的IPS策略ASA为什么发送数据包到检查的IPS模块?

A.

很可能,连接被建立发送流量到检查的IPS模块,当ASA配置,并且连接是活跃的。

例如,有ASA5515-IPS的一客户没有已配置的策略在发送流量的策略映射对软件IPS模块;然而,流量到达在从ASA的模块。

当您使用在IPS时的数据包显示功能,您能看到来自到IPS ASA的流量:

14:34:38.341927 IP 192.168.1.2.1719 > 192.168.10.39.1888: UDP, length 128
14:34:38.341992 IP 192.168.1.2.1719 > 192.168.10.39.1888: UDP, length 128
14:34:38.345031 IP 192.168.1.2.1719 > 192.168.110.39.1888: UDP, length 34
14:34:38.345068 IP 192.168.1.2.1719 > 192.168.110.39.1888: UDP, length 34

清除了在感觉接口的IPS的接口统计信息,并且数据包接收:

sensor#  show interfaces portChannel
MAC statistics from interface PortChannel0/0
Interface function = Sensing interface
Description =
Media Type = backplane
Default Vlan = 0
InlineMode = Unpaired
Pair Status = N/A
Hardware Bypass Capable = No
Hardware Bypass Paired = N/A
Link Status = Up
Admin Enabled Status = Enabled
Link Speed = N/A
Link Duplex = N/A
Missed Packet Percentage = 0
Total Packets Received = 128
Total Bytes Received = 17904
Total Packets Transmitted = 128
Total Bytes Transmitted = 17904

问题的原因某时是那从前配置被添加到ASA发送流量到IPS模块的,并且未清除connnections,在IPS配置在ASA后删除。这是普通与经常通过流量的非TCP协议。


在ASA,请输入show conn命令确定数据包您在IPS模块看到是否有连接项。为了看到uptimes,请输入detail命令的show conn。为了保证连接没有重定向对IPS,您也许必须输入clear conn <address> on命令ASA清除那些特定连接:

ASA# clear conn address 192.168.1.2
3 connection(s) deleted.
ASA#

相关信息


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 116145