安全 : 思科自适应安全设备 (ASA) 软件

ASA FAQ :当它建立或切断连接时,如何解释ASA生成的Syslog ?

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文描述如何解释传输控制协议(TCP)/用户数据报协议(UDP) Syslog的生成在可适应安全工具(ASA)设备,当建立并且切断连接时。

贡献用Vibhor Amrodia和杰伊约翰斯顿, Cisco TAC工程师。

当它建立或切断连接时,如何解释ASA生成的Syslog ?

在本文讨论的所有Syslog根据显示的网络拓扑此处。

网络拓扑

116149-qanda-ASA-01.png

情形 1:对ASA内部接口(标识)的管理数据流从内部主机被发出

%ASA-6-302013: Built inbound TCP connection 8 for 
inside:10.1.1.2/12523 (10.1.1.2/12523) to NP Identity
Ifc:10.1.1.1/22 (10.1.1.1/22)

%ASA-6-302014: Teardown TCP connection 8 for inside:
10.1.1.2/12523 to NP Identity Ifc:10.1.1.1/22 duration
0:00:53 bytes 2436 TCP FINs

方案 2:流量通过ASA从内部主机被发出和被注定到外部主机

%ASA-6-302013: Built outbound TCP connection 9 for outside:10.1.2.1/22 (10.1.2.1/22) 
to inside:10.1.1.2/53496 (10.1.1.2/53496)

%ASA-6-302014: Teardown TCP connection 9 for outside:10.1.2.1/22 to inside:
10.1.1.2/53496 duration 0:00:30 bytes 0 SYN Timeout

情形 3:对ASA外部接口(标识)的管理数据流从外部主机被发出

%ASA-6-302013: Built inbound TCP connection 10 for outside:10.1.2.1/28218 
(10.1.2.1/28218) to NP Identity Ifc:10.1.2.2/22 (10.1.2.2/22)

%ASA-6-302014: Teardown TCP connection 10 for outside:10.1.2.1/28218 to NP
Identity Ifc:10.1.2.2/22 duration 0:00:33 bytes 968 TCP Reset-O

场景 4:流量通过ASA从外部主机被发出和被注定到内部主机

%ASA-6-302013: Built inbound TCP connection 11 for outside:10.1.2.1/21647 
(10.1.2.1/21647) to inside:10.1.1.2/22 (10.1.1.2/22)

%ASA-6-302014: Teardown TCP connection 11 for outside:10.1.2.1/21647 to
inside:10.1.1.2/22 duration 0:00:00 bytes 0 TCP Reset

网络拓扑(安全接口)

116149-qanda-ASA-02.png

情形 1:流量通过ASA从内部主机被发出和被注定到外部主机

%ASA-6-302013: Built inbound TCP connection 0 for inside:10.1.1.2/28075 (10.1.1.2/28075)
to outside:10.1.2.1/23 (10.1.2.1/23)

%ASA-6-302014: Teardown TCP connection 0 for inside:10.1.1.2/28075 to outside:10.1.2.1/23
duration 0:00:46 bytes 144 TCP FINs

方案 2:流量通过ASA从外部主机被发出到内部主机

%ASA-6-302013: Built inbound TCP connection 1 for outside:10.1.2.1/17891 (10.1.2.1/17891)
to inside:10.1.1.2/23 (10.1.2.5/23)

%ASA-6-302014: Teardown TCP connection 1 for outside:10.1.2.1/17891 to inside:10.1.1.2/23
duration 0:00:08 bytes 165 TCP FIN

*Where 10.1.2.5是10.1.1.2的静态NAT IP

相关信息



Document ID: 116149