セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

プライマリ ISP のリンクがデュアル ISP セットアップで再度オンラインになったら ASA を経由する UDP のトラフィックが失敗する

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

適応性があるセキュリティ アプライアンス モデル(ASA)にルーティング テーブルから宛先に宛先 サブネット毎に 2 つの出力 インターフェイスおよび優先ルートがしばらくの間取除かれればある場合、User Datagram Protocol (UDP; ユーザ データグラム プロトコル)接続は優先ルート gets がルーティング テーブルに再追加したときに失敗する場合があります。 TCP 接続はまた問題から影響を受けるかもしれませんが TCP がパケットロスを検出するので、これらの接続はエンドポイントによって自動的に中断 され、ルーティングの後でより多くの最適ルートを使用して再製されて変更して下さい。

この問題はまたルーティング プロトコルが使用され、トポロジーの変更が ASA のルーティング テーブルの変更を引き起こせば場合見られる場合があります。

注: Sundar Sreenivasan によって貢献される、Cisco TAC エンジニア。

はじめに

要件

この問題に直面するために、ASA のルーティング テーブルは変更する必要があります。 これは ASA が IGP (OSPF、EIGRP、RIP)によってルーティングを学習している時冗長な方法で二重 ISP リンクとよくありますまたは。

この問題はよる再収束を ASA によって使用していたより少ない優先ルートが優先 する下部のメトリック ルートと取り替えられるかどれをにプライマリ ISP リンクが再びオンラインになるか、または前述の IGP が見ると発生します。 プライマリか優先ルートが ASA のルーティング テーブルに再インストールされればそれから長命接続を、UDP SIP 登録のような、失敗する GRE、等見ます。

使用するコンポーネント

このドキュメントの情報は、次のハードウェアとソフトウェアのバージョンに基づくものです。

  • 任意の Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス

  • ASA バージョン 8.2(5)、8.3(2)12、8.4(1)1、8.5(1) およびそれ以降

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

問題

ルーティング テーブル エントリが ASA のルーティング テーブルから削除され、ルートが宛先に到達するインターフェイスからなければファイアウォールによって構築されたその外部 宛先が付いている接続は ASA によって削除されます。 これは接続が宛先提供のルーティングエントリが付いている異なるインターフェイスを使用して再度構築することができるように発生します。

ただし、特定のルーティングが表に戻って追加されれば新しい、特定のルーティングを使用するために、接続はアップデートされなかったりしより少なく最適インターフェイスを使用し続けます。

たとえばファイアウォールにインターネットに- 「外部」直面し、「バックアップすれば」2 つのインターフェイスがあると、考慮して下さい-これら二つのルーティングは ASA の設定にあります:

route outside 0.0.0.0 0.0.0.0 10.1.1.1 1 track 1
route backup 0.0.0.0 0.0.0.0 172.16.1.1 254

外部およびバックアップインターフェイスが両方「の上で」ある場合、ファイアウォールによる接続によって構築された発信は 1.の優先 する メトリックがあるので、outside インターフェイスを使用します。 outside インターフェイスが(またはルートをトラッキングしている SLA 監視機能は接続切断に出会います)シャットダウンされればトラッキングされた IP に、outside インターフェイスを使用して接続はバックアップインターフェイスを使用してバックアップインターフェイスが宛先へルートの唯一のインターフェイスであるので、中断 され、再製されました。

問題は outside インターフェイスがバックアップを持って来られるか、またはトラッキングされたルートが再度支持されたルートになるとき発生します。 ルーティング テーブルはオリジナル ルートを優先するためにアップデートされますが現在の接続はより多くの優先 する メトリックの outside インターフェイスで ASA にあり、バックアップインターフェイスを横断し続け、削除されないし、作り直されます。 これはまだ ASA のインターフェース別 ルーティング テーブルで存在 するバックアップ デフォルト ルートという理由によります。 接続は接続が削除されるまでより少ない優先ルートが付いているインターフェイスを使用し続けます; UDP の場合には、これは不明確であるかもしれません。

この状況は外部 SIP 登録または他の UDP 接続のような長命接続に問題を、引き起こす場合があります。

解決策

この特定の問題を提起するために、新しい 機能は接続を新しいインターフェイスで中断 され、再製します ASA に宛先へのより多くの優先ルートがルーティング テーブルに追加される場合追加されました。 機能(デフォルトでディセーブルにされます)をアクティブにするために、タイムアウト浮かべ conn コマンドにゼロ以外のタイムアウトを設定 して下さい。 このタイムアウト(HH で規定 される: MM: SS は)一度より多くの優先ルートがルーティング テーブルに戻って追加される接続を中断 する前に時間を ASA 待機規定 します:

これは機能を有効に する CLI 例です。 この CLI を使うと、パケットが異なっているが今ある現在の接続で受信されれば、宛先へのより多くの優先ルートは、接続 1 分以降 中断 され、(新しいのを使用して再製されて、より多くの優先ルート):

ASA# config terminal
ASA(config)# timeout floating-conn 0:01:00
ASA(config)# end
ASA# show run timeout
timeout conn 1:00:00 half-closed 0:10:00 udp 0:50:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:01:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout xlate 0:01:00
timeout pat-xlate 0:00:30
timeout floating-conn 0:01:00
ASA#

この機能はバージョン 8.2(5)の ASA プラットフォームに、ASA ソフトウェアの新しいバージョンを含んで 8.3(2)12、8.4(1)1、および 8.5(1)、追加されます。

この機能を設定しない ASA コードのバージョンを実行すれば、問題への回避策は手動でされるクリア ローカル ホスト <IP> かクリア conn <IP> で使用できるようによりよいルートにもかかわらずより少ない優先ルートを奪取 し続ける UDP 接続をフラッシュすることです。

コマンドレファレンスはタイムアウト セクションの下にこの新しい 機能をリストします。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 113592