Безопасность : Устройства защиты Cisco PIX серии 500

Часто задаваемые вопросы об устройствах защиты PIX/ASA

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (23 марта 2008) | Английский (22 августа 2015) | Отзыв


Вопросы


Введение

Этот документ дает ответы на большинство часто задаваемых вопросов, относящихся к устройствам защиты Cisco, а также устройствам PIX серии 500 и ASA серии 5500.

Целевая аудитория для этого документа является администратором устройства безопасности, который понимает команды CLI и функции и имеет опыт с конфигурацией более ранних Версий ПО PIX.

Совместимость с версией программного обеспечения

В. Какие устройства поддерживают PIX 7.x?

О. PIX 515, PIX 515E, PIX 525, PIX 535 и все многофункциональные устройства защиты Cisco ASA серии 5500 (ASA 5510, ASA 5520 и ASA 5540) поддерживает программное обеспечение версию 7.x и позже.

Приложения PIX 501, PIX 506E и PIX 520 не поддерживаются в ПО версии 7.x.

В. Я использую модель PIX 515/515E на базе ПО 6.x и хотелось бы обновить версию до to 7.x. Это возможно?

О. Да, это возможно при условии, что вы используете необходимые модули памяти. Перед обновлением PIX 515/515E обратитесь к разделу Обновление памяти приложения по безопасности Cisco PIX 515/515E для ПО PIX версии 7.0 для получения точных требований к памяти.

В. Что отличает PIX 7.0 от предыдущих версий? Выполняется ли автоматическая замена старых функций при обновлении с версии 6.x до 7.x?

О. Обратитесь к разделу Изменения в приложении по безопасности PIX версии 7.0 для получения более подробной информации о новых функциях и возможностях PIX 7.0.

Большинство функций и команд обновляются автоматически при загрузке в систему приложения безопасности PIX Security Appliance 7.x. Некоторые функции и команды требуют ручной коррекции до или во время обновления. Для получения дополнительной информации обратитесь к разделу Измененные и исключенные функции и команды .

Проблемы конфигурации

Вопрос. . Как делают вы выполняете базовую конфигурацию для Устройств безопасности, работающих 7. x ?

О. Обратитесь к разделу Настройка стандартных параметров документа Руководство Cisco по настройке безопасности в командной строке, версия 7.1.

В. Как настроить интерфейсы в PIX 7.x?

О. PIX/ASA 7.0 установлен, чтобы напомнить маршрутизатор и коммутировать Cisco IOS� максимально близко. В PIX/ASA 7.0 конфигурация читает как это:

interface Ethernet0
         description Outside Interface
         speed 100
         duplex full
         nameif outside
         security-level 0
         ip address 10.10.80.4 255.255.255.0 standby 10.10.80.6

Для получения дополнительной информации обратитесь к разделу Настройка параметров интерфейса на PIX 7.0. .

В. Как создать список доступа (ACL) на ASA или PIX?

О. Список доступа состоит из одной или нескольких записей контроля доступа (ACE) с одинаковым ID списка доступа. Списки доступа используются для управления доступом к сети или для обозначения трафика для активации многих функций. Для добавления ACE используйте <ID> команды access-list, расширенный в режиме глобальной конфигурации. Для удаления ACE используйте форму no этой команды. Для полного удаления списка доступа используйте команду clear configure access-list .

Команда access-list позволяет всем хостам (на интерфейсе, к которому вы ассоциируете список доступа) удовлетворять условиям безопасности:

hostname(config)#access-list ACL_IN extended permit ip any any

Если список доступа настроен на управление трафиком через параметры безопасности, то он должен быть направлен к интерфейсу командой access-group до начала работы. К одному интерфейсу в каждом направлении может быть направлен только один список доступа.

Используйте следующую команду для направления расширенного списка доступа к интерфейсу в одном из направлений:

hostname(config)#access-group access_list_name {in | out} interface interface_name 
[per-user-override]

Этот пример показывает входящий список доступа, направленный к внутреннему интерфейсу, который позволяет сети 10.0.0.0 /24 удовлетворять параметрам безопасности:

hostname(config)#access-list INSIDE extended permit ip 10.0.0.0 255.255.255.0 any
hostname(config)#access-group INSIDE in interface inside

Этот пример показывает входящий список доступа, направленный к внешнему интерфейсу, который позволяет всем хостам за пределами устройства безопасности иметь веб-доступ через устройства безопасности к серверу на 172.20.1.10:

hostname(config)#access-list OUTSIDE extended permit tcp any host 172.20.1.10 eq www
hostname(config)#access-group OUTSIDE in interface outside

Примечание: Списки доступа содержат неявное, "запрещают" в конце. Это означает, что при использовании ACL весь трафик, который не был явно разрешен ACE в ACL, отклоняется.

Вопрос. . Я могу использовать интерфейс management0/0 на ASA для прохождения трафика как какой-либо другой интерфейс?

Ответ. Да. Для получения дополнительной информации обратитесь к описанию команды management-only .

Вопрос. . Что делает Контекст безопасности в среднем значении Устройства безопасности?

О. Вы можете разделить единое аппаратное обеспечение PIX на множество виртуальных устройств, известных как контексты безопасности. Каждый контекст становится независимым устройством со своей собственной политикой безопасности, интерфейсами и администраторами. Наличие большого количества контекстов схоже с наличием большого количества автономных устройств. Многие функции поддерживаются в режиме нескольких контекстов: таблицы маршрутизации, функции брандмауера, IPS и управление. Некоторые функции, такие как VPN и протоколы динамической маршрутизации, не поддерживаются.

В. Как настроить функцию объединения пользователей в группу VPN на ASA или PIX?

О. Для настройки блокировки группы передайте название групповой политики в атрибуте Class 25 на сервере Cервиса RADIUS и выберите группу для захвата пользователя в политике.

Например, для захвата пользователя Cisco 123 в группу RemoteGroup, определите атрибут инженерной группы по развитию Интернета (IETF) 25 классов OU=RemotePolicy для этого пользователя на сервере RADIUS.

Обратитесь к этому примеру конфигурации для настройки группы, соединяют Устройство адаптивной защиты (ASA) / PIX:

group-policy RemotePolicy internal
group-policy RemotePolicy attributes
dns-server value x.x.x.x
group-lock value RemoteGroup

tunnel-group RemoteGroup type ipsec-ra
tunnel-group RemoteGroup general-attributes
address-pool cisco
authentication-server-group RADIUS-Group
default-group-policy RemotePolicy

Примечание:  OU устанавливает групповую политику, и групповая политика блокирует пользователя в предпочтительную туннельную группу.

Для устанавливания Cisco Secure ACS для Windows, сервер RADIUS для захвата пользователя в конкретную группу, настроенную на ASA.

Вопрос. . Как я могу перехватить пакеты в PIX/ASA?

О. При использовании функцию Захвата пакета, пакеты могут быть перехвачены в PIX/ASA. Обратитесь к ASA/PIX/FWSM: Пакетное Получение с помощью CLI и Примера конфигурации ASDM для получения дополнительной информации о том, как настроить функцию Захвата пакета.

Вопрос. . Как я могу перенаправить трафик HTTP к HTTPS на ASA?

О. Выполните команду перенаправления http в режиме глобальной конфигурации в заказе, указывают, что устройство безопасности перенаправляет соединения HTTP к HTTPS.

hostname(config)#http redirect interface [port] 

Вопрос. . Как ASA учится о MAC-адресе хоста?

О. ASA выполняет запрос ARP для хоста в напрямую подключенной подсети, даже если это выполняет SYN - пакет к ASA, который имеет информацию о ARP в заголовке уровня 2. Межсетевой экран не изучает MAC-адрес хоста от SYN - пакета и должен выполнить запрос ARP для него. Если хост не отвечает для запроса ARP, то ASA отбрасывает пакет.

Вопрос. . Когда я соединяю физический интерфейс магистралью и использую подчиненные интерфейсы instaed использования интерфейсов несколька физических каналов, есть ли какое-либо прямое влияние на Cisco ASA?

О. Нет. Кроме дополнительной обработки, требуемой для 802.1q заголовки в пакетах, на Cisco ASA нет никакого другого значительного влияния.

Вопрос. . Я могу настроить NAT/PAT между теми же безопасными интерфейсами Cisco ASA?

Ответ. Да. Это возможно от выпуска ПО Cisco ASA 8.3.

Проблемы обновления программного обеспечения

В. Я обновил(а) PIX с 6.x до 7.x. После этого я заметил(а), что загрузка ЦП увеличилась на 8-10% при прежнем объеме трафика? Является ли это стандартным поведением?

О. PIX 7.0 имеет в три раза больше системных журналов и новых функций, чем версии 6.x. Повышенная по сравнению с 6.x загрузка ЦП является вполне закономерной.

Проблемы подключения

Вопрос. . Я неспособен пропинговать за пределами внешнего интерфейса при использовании Устройства безопасности 7.0. Как это исправить?

О. В PIX 7.x существуют две опции, позволяющие внутренним пользователям провести наружное эхо-тестирование. Первая заключается в установке специфического правила для каждого типа эхо-сообщения. Например: :

access-list 101 permit icmp any any echo-reply
        access-list 101 permit icmp any any source-quench 
        access-list 101 permit icmp any any unreachable  
        access-list 101 permit icmp any any time-exceeded
        access-group 101 in interface outside

Поэтому, когда внутренний пользователь посылает сигналы на наружный хост, через межсетевой экран пройдут только эти ответные сообщения. Другие типы сообщений о состоянии ICMP могут быть вредоносными, и межсетевой экран блокирует все другие сообщения ICMP.

Следующий параметр служит для настройки проверки ICMP. . Это позволяет пропускать через межсетевой экран доверенные IP-адреса и получать ответ только на доверенный адрес. В этом случае все внутренние интерфейсы могут посылать наружу эхозапросы, и межсетевой экран при этом будет разрешать отклики. {\f3 Еще одно преимущество }–{\f3 возможность мониторинга трафика ICMP, который проходит через межсетевой экран.}

Например: :

policy-map global_policy
    class inspection_default
     inspect icmp

Вопрос. . Я неспособен обратиться к внутреннему интерфейсу Устройства безопасности, когда связано через VPN-туннель. Как это сделать?

О. К внутреннему интерфейсу Устройства безопасности нельзя обратиться от внешней стороны, и наоборот, пока управление доступом не настроено в режиме глобальной конфигурации. Если включена функция management-access, то доступ к Telnet, SSH и HTTP по-прежнему необходимо настроить на желаемые узлы.

pix(config)#management-access inside
pix(config)#show running-config management-access
management-access inside

Вопрос. . Почему я неспособен подключить IP-телефон через VPN-туннель с ASA?

О. Это может быть проблема аутентификации. Проверьте, что группе Пользователя IP-телефона включили аутентификацию (Xauth).

Связанный ASDM

Вопрос. . Как я позволяю/обращаюсь ASDM на ASA/PIX?

О. Необходимо включить сервер HTTPS и позволить Подключения HTTPS устройству безопасности для использования ASDM. Все эти задачи выполнены при использовании команды настройки.

Обратитесь к документу Разрешение HTTPS-доступа для ASDM для получения дополнительной информации.

Поддерживаемые характеристики

Вопрос. . Каковы два режима операций в Устройстве безопасности?

О. Приложение PIX может работать в двух различных режимах брандмауера:

  1. Режим маршрутизации — В режиме маршрутизации, PIX назначили IP-адреса на его интерфейсы и действия как транзитный участок для пакетов, которые проходят через него. Все действия по проверке трафика и передаче решений основаны на параметрах уровня 3. Так работают брандмауеры PIX версии ниже 7.0.

  2. Прозрачному режиму — В прозрачном режиме PIX не назначали IP-адреса на его интерфейсы. Вместо этого он работает как мост уровня 2, который сохраняет таблицу MAC-адресов и на основе ее передает решения. Использование полностью расширенного списка доступа IP все еще возможно, и брандмауер может проверить активность IP на любом уровне. В этом режиме PIX часто называют "удар в проводе" или "невидимый брандмауер". Существуют другие существенные различия относительно того, как прозрачный режим работает по сравнению с режимом маршрутизации:

    • Только два интерфейса поддерживаются — внутри и снаружи

    • NAT не поддерживается или требуется, так как PIX больше не является переходом.

      Примечание: NAT и PAT поддерживаются в прозрачном межсетевом экране для версий ASA/PIX 8.0 (2) и позже.

Обратитесь к PIX/ASA: Прозрачный Пример Конфигурации межсетевого экрана для получения дополнительной информации о том, как настроить Устройство безопасности в Прозрачном режиме. Обратитесь к NAT в Прозрачном режиме для получения дополнительной информации.

Примечание: Поскольку прозрачные режимы и режимы маршрутизации используют разные подходы к безопасности, рабочая конфигурация очищена, когда PIX коммутирован к прозрачному режиму. Сохраните текущую настройку режима маршрутизации на внешнем сервере или флеш-накопителе.

Вопрос. . ASA поддерживает распределение нагрузки интернет-провайдера?

О. Нет. Распределение нагрузки должно быть обработано маршрутизатором, который передает трафик к устройству безопасности.

Вопрос. . Аутентификация MD5 с BGP поддерживается через ASA?

О. Нет, Аутентификация MD5 не поддерживается через ASA, но обходной путь может быть должен отключить его. В документе ASA/PIX: BGP через Пример конфигурации ASA для получения дополнительной информации.

Вопрос. . EtherChannel поддержки PIX/ASA / Интерфейсы Portchannel?

О. Да, поддержите для EtherChannel, представлен в версии программного обеспечения 8.4 ASA. Можно настроить до 48 802.3ad EtherChannels восьми активных интерфейсов каждый. Для получения дополнительной информации сошлитесь на Комментарии к выпуску Версии ASA 8.4.

Вопрос. . Anyconnect и Cisco VPN Client могут сотрудничать на ASA?

О. Да, потому что они не взаимосвязаны. Anyconnect работает на SSL, и Cisco VPN Client работает на IPSEC.

Вопрос. . ASA/PIX, в состоянии заблокировать Skype?

О., К сожалению, PIX/ASA не в состоянии заблокировать трафик skype. Skype имеет возможность выполнить согласование о динамических портах и использовать зашифрованный поток данных. С зашифрованным потоком данных фактически невозможно обнаружить его, поскольку нет никаких образцов для поиска.

Вы могли в конечном счете использовать систему предотвращения вторжений Cisco (IPS) (IPS). Это имеет некоторые подписи, которые в состоянии обнаружить Windows Skype Client, который соединяется с сервером Skype для синхронизации его версии. Когда клиент инициируется соединение, это обычно делается. Когда датчик берет начальное соединение Skype, можно быть в состоянии найти человека, кто использует сервис и блокируется, все соединения инициировали от их IP-адреса.

Вопрос. . ASA поддерживает SNMPv3?

Ответ. Да. Выпуск ПО Cisco ASA 8.2 версий 3 Протокола SNMP поддержек, новейшая версия SNMP, и добавляет аутентификацию и опции конфиденциальности чтобы к операциям защищенного протокола.

В. Существует ли возможность получить записи журнала с именем вместо IP-адреса?

О. Используйте команду names для связывания имени и IP-адреса. Каждое имя может быть связано только с одним IP-адресом. Сначала необходимо использовать команду names , а затем команду name . Используйте команду name сразу после команды names и перед использованием команды write memory .

Команда name позволяет определить хост по текстовому имени и связать строки текста с IP-адресами. Используйте команду clear configure name для удаления списка имен из настройки. Используйте команду no names для отключения значений имен. Обе команды name и names сохраняются в настройке.

В. Доступна ли команда ip учета в PIX/ASA 7.x?

О. Нет.

Вопрос. . Устройство безопасности 7.0 поддерживают функцию Вы там (AYT)?

Ответ. Да. В сценарии AYT удаленный пользователь имеет собственный брандмауер, установленный на ПК. Клиент VPN применяет политику брандмауера, определенную на локальном брандмауере, и это говорит о том, что брандмауер работает. Если брандмауер перестает работать, клиент VPN сбрасывает подключение на PIX или ASA. Механизм использования брандмауера называется Are You There ("Ты здесь?"), потому что клиент VPN наблюдает за брандмауером и регулярно посылает сообщения "Ты здесь?". Если клиент VPN не получает ответ, он понимает, что брандмауер отключен и переключает соединение на устройство безопасности PIX. Администратор сети мог изначально настроить брандмауеры ПК, но при таком подходе пользователи могут применять свои собственные настройки.

Вопрос. . FTP с TLS/SSL поддерживается через Устройство безопасности?

Ответ. Нет. В стандартном FTP-соединении клиент или сервер должны указать другой стороне, какой порт будет использоваться для передачи данных. Брандмауэр PIX может определить процесс согласования и открыть этот порт. Однако, при использовании FTP с TLS/SSL этот диалог шифруется, и PIX не может определить нужный порт. Таким образом, соединение FTP с TLS/SSL разрывается.

Один возможный обходной путь в этой ситуации должен использовать клиента FTP, который поддерживает использование "ясного командного канала" при тихом использовании TLS/SSL для шифрования канала данных. Когда эта функция включена, PIX может определить порт, нуждающийся в открытии.

Вопрос. . Устройство безопасности поддерживает DDNS?

О. Да, DDNS поддержки Устройства безопасности. Обратитесь к динамическим DN Настройки для получения дополнительной информации.

Вопрос. . VPN WebVPN/SSL поддержки межсетевого экрана (PIX)?

О. Нет, но это поддерживается в Устройстве адаптивной защиты (ASA) серии 5500 Cisco.

Вопрос. . Cisco AnyConnect VPN Client поддержки межсетевого экрана (PIX)?

О. Нет, это поддерживается только в Устройстве адаптивной защиты (ASA) серии 5500 Cisco.

Вопрос. . Поддержка межсетевого экрана (PIX) какие-либо сервисные модули как SSM AIP и SSM CSC?

О. Нет.

Вопрос. . Cisco Security Appliance поддерживает Ручную манипуляцию по ключу IPSec (шифрование в ручном режиме)?

О. Нет.

Вопрос. . ASA поддерживает управление паролями с NT?

О. ASA не поддерживает управление паролями с NT.

Примечание: Устройство безопасности поддерживает управление паролями для RADIUS и Протоколов LDAP.

Вопрос. . ASA серии 5500 Cisco может сделать Маршрутизацию на основе политик (PBR) как маршрутизатор Cisco? Например, в то время как трафик HTTP должен маршрутизироваться к второму, почтовый трафик должен маршрутизироваться к первому интернет-провайдеру.

О., К сожалению, нет никакого способа сделать маршрутизацию на основе политик на ASA в это время. Это может быть опция, которая добавлена к ASA в будущем.

Примечание:  Команда route-map используется для перераспределения маршрутов между протоколами маршрутизации, такими как OSPF и RIP, с использованием метрик а не к регулярному трафику маршрута политики как в маршрутизаторах.

Вопрос. . Я могу использовать ASA 5510 в качестве Клиента Easy VPN?

О. Нет. Конфигурация Клиента Easy VPN только поддерживается на ASA 5505.

Вопрос. . ASA поддерживает Асимметричную маршрутизацию?

О. ASA поддерживает Асимметричную маршрутизацию в версии 8.2 (1) и позже. Это не поддерживается в версиях ASA прежде 8.2 (1).

Вопрос. . Я могу настроить динамическую маршрутизацию через VPN-туннель на ASA?

О. Нет. Это возможно только при помощи туннельных интерфейсов, которые еще не поддерживаются на ASA.

Вопрос. . ASA поддерживает клиента PPTP?

О. Нет.

Вопрос. . ASA поддерживает QOS, отмечающий пакет с DSCP-значением?

О. Нет, это поддерживает только соответствие с трафиком DSCP, и передайте его к устройствам на следующем узле, не изменяя DSCP-значения. Обратитесь к DSCP и Сохранению дифференцированных услуг (DiffServ) для получения дополнительной информации.

Вопрос. . Который преобразовывает IPSec (ESP, AH) поддерживаются на версиях ASA/PIX 7.0 и позже?

О. Только шифрование Безопасного закрытия полезной нагрузки (ESP) IPSec и аутентификация поддерживаются. Преобразования Заголовка аутентификации (AH) не поддерживаются на версиях ASA/PIX 7.0 и позже.

Вопрос. . ASA поддерживает Универсальный Plug and play (включай и работай) (UPnP) функция?

О. Нет, ASA не поддерживает Универсальный Plug and play (включай и работай) (UPnP) функция на данный момент.

Вопрос. . ASA поддерживает на основе источника маршрутизацию?

О. Нет.

Вопрос. . Трафик H.329 проходит через PIX/ASA 8.1 и позже?

О. Нет.

Вопрос. . ASA поддерживает контроль протокола H.460?

О. Нет.

Вопрос. . ASA поддерживает Проверку авторизации в режиме EXEC, которая регистрирует пользователя непосредственно в режим включения после аутентификации?

О. Нет, функция Проверки авторизации в режиме EXEC не поддерживается в ASA.

Вопрос. . ASA позволяет Широковещательному трафику проходить через свой интерфейс?

О. Нет.

Вопрос. . Действительно ли возможно настроить аутентификацию VPN L2L с двумя факторами между 5505 ASA?

О. Двухфакторная аутентификация может быть настроена, начинаясь с версии ASA 8.2.x только для VPN SSL и AnyConnect. Вы не можете настроить двухфакторную аутентификацию для VPN L2L.

Вопрос. . Действительно ли возможно добавить два телефонных прокси на том же ASA?

О. Нет. Не возможно добавить два телефонных прокси на том же ASA, поскольку ASA не поддерживает это.

Вопрос. . ASA поддерживает конфигурацию Netflow?

О. Да, эта функция поддерживается в версии 8.1.x Cisco ASA и позже. Для подробных данных полноценного внедрения обратитесь к Руководствам по внедрению Cisco Netflow. Для завершенной сводки конфигурации обратитесь к Примерам конфигурации для NewFlow Безопасный раздел Регистрации событий NetFlow Настройки Безопасная Регистрация событий.

Вопрос. . ASA поддерживает Sharepoint?

О. ASA 7.1 и 7.2 не поддерживает Sharepoint. Поддержка Sharepoint 2003 (2.0 и 3.0) запускается с версии ASA 8. x . Редактирование документов офиса для Sharepoint 2.0 и 3.0 в pureclientless режиме (никакой smarttunnels, никакое средство передачи порта) также поддерживается. Умные туннели могут использоваться также с ASA 8.0.4. 4. Все стандартные функции, поддерживавшие для Sharepoint 2003 в 8.0, поддерживаются на 2007 в версии ASA 8.2 5.

Вопрос. . ASA поддерживает собственный L2TP/КЛИЕНТА IPSEC на устройствах на базе Android?

О. Android не является полностью RFC-совместимым и поддерживаемый Cisco ASA начиная с версии 8.4.1. Для получения дополнительной информации обратитесь к Клиентам на обслуживании.

Вопрос. . Каково максимальное число ACL, которые могут быть настроены на ASA?

О. Нет никакого определенного предела для количества ACL, которые могут быть настроены на ASA. Это зависит от подарка памяти в ASA.

Вопрос. . Я могу резервировать конфигурацию ASA через SNMP?

О. Нет. Для достижения этого необходимо использовать SNMP writenet, который требует MIB Копии Config Cisco. В настоящее время это не поддерживается, потому что этот определенный MIB не поддерживается Cisco ASA.

Вопрос. . Я не могу инициировать представление портативного ПК во время вызова видеоконференции между Модулями Cisco Video. Видеовызов хорошо работает, но не работает видеопрезентация от портативного ПК. Как решить эту проблему?

О. Видеоконференция с представлением портативного ПК работает на протокол H.239, который не поддерживается в версиях программного обеспечения Cisco ASA прежде 8.2. Чтобы гарантировать, что представление данных работает на видеоконференции, Cisco ASA должен поддержать надлежащее согласование H.239 между видео оконечная точками. Эта поддержка доступна от выпуска ПО Cisco ASA 8.2 и позже. Обновление к стабильной версии в выпуске ПО, такой как 8.2.4, решит этот вопрос.

Вопрос. . Действительно ли возможно настроить Аутентификацию 802.1x на ASA 5505?

О. Нет. Не возможно настроить Аутентификацию 802.1x на ASA 5505.

Вопрос. . Cisco ASA поддерживает многоадресный трафик, который будет передаваться на VPN-туннеле IPSec?

О. Нет. Это не возможно, потому что это не поддерживается Cisco ASA. Как обходной путь, у вас может быть многоадресный трафик, инкапсулировавший с помощью GRE, прежде чем это будет зашифровано. Первоначально, пакет групповой адресации должен инкапсулироваться с помощью GRE на маршрутизаторе Cisco, тогда этот пакет GRE будет передан далее Cisco ASA для IP - безопасного шифрования.

Вопрос. . Cisco ASA работает в Активном / Активном режиме. Я хочу настроить Cisco ASA как Шлюз VPN. Это возможно?

О. Это не возможно, потому что составные контексты и VPN не могут работать одновременно. Cisco ASA может быть настроен для VPN когда только в Активном / Режиме ожидания.

Вопрос. . При использовании Cisco ASA как сервер VPN действительно ли возможно передать информацию о типе клиентской части (AnyConnect или IPSec) к Базе данных RADIUS через учетные записи?

О. Это не возможно, потому что нет такого атрибута для передачи типа сервиса, который использует клиент.

Вопрос. . Фильтр Ботнета ASA: Как вы проверяете для отчётов о динамических блоках на ASA?

О. Отчёты о динамических блоках на ASA могут быть проверены с командой вершины отчётов динамического фильтра показа. Для получения дополнительной информации обратитесь к Борьбе с Ботнетами Использование Фильтра трафика Ботнета Cisco ASA.

Вопрос. . Протокол CDP поддерживается на PIX/ASA?

О. Поскольку PIX/ASA является устройством безопасности, он не поддерживает CDP.

Вопрос. . Я могу управлять ASA с помощью Cisco Network Assistant (CNA)?

О. Да, последняя версия CNA поддерживает ASA. Обратитесь к Устройствам Поддерживаемый список для получения дополнительной информации.

Вопрос. . Действительно ли возможно настроить ASA, чтобы действовать как Центр сертификации (CA) и выполнить сертификат клиентам VPN?

О. Да, с ASA 8.x и позже можно настроить ASA для действия как локальная переменная Приблизительно В настоящее время, ASA только позволяет аутентификацию для VPN-клиентов SSL (SVC) с сертификатами, выполненными этим Приблизительно, Клиенты IPSEC еще не поддерживаются. Обратитесь к Локальному CA для получения дополнительной информации.

Примечание: Локальная функция CA не поддерживается при использовании активного/активного аварийного переключения или распределения нагрузки VPN. Локальный CA не может быть зависим от другого CA; это может действовать только как Узел CA.

Failover

Вопрос. . Может Устройство безопасности с лицензией на переключение быть частью активно-активного аварийного переключения?

О. Модули аварийного переключения Устройства безопасности могут использоваться в активной/активной паре аварийного переключения, как только у них есть новое аварийное переключение активное / активное установленное обновление лицензии (активный/активный, требует одной модели UR и одного "FO активная/активная" модель). Для получения дополнительной информации о лицензировании обратитесь к разделу Лицензии и спецификации функций .

Вопрос. . ASA поддерживает VPN SSL, когда настроено для аварийного переключения?

О. ASA поддерживает VPN SSL только, когда настроено для Активного/Резервного Аварийного переключения а не в Активном/Активном Аварийном переключении. Для получения дополнительной информации обратитесь к обработке Аварийного переключения ASA трафика Приложения VPN SSL и конфигураций.

Сообщения об ошибках

Вопрос. . Когда EZVPN включен на ASA 5505, я неспособен настроить аварийное переключение. Почему делает это сообщение об ошибках, появитесь: ошибка:-ОШИБКА]] vpnclient включает *, Отключают КОНФЛИКТ CONFIG аварийного переключения: Конфигурация, которая предотвратила бы успешную операцию Cisco Easy VPN remote, была обнаружена и упомянута выше. Решите вышеупомянутый конфликт (ы) конфигурации и реактивируйте?

О. Если ASA 5505 использует EasyVPN для удаленных пользователей (Клиентский режим), аварийное переключение работает, но если вам настроили ASA для использования его с Клиентом Easy VPN (Режим NEM режима Расширения сети), то это не работает, когда настроено Аварийное переключение. Таким образом, Аварийное переключение работает только, когда ASA использует EZVPN для удаленных пользователей (Клиентский режим), и таким образом, происходит этот errror.

Вопрос. . Когда я настраиваю третью VLAN, я получаю это сообщение об ошибках: ОШИБКА:-: Эта лицензия не позволяет настраивать больше чем 2 интерфейса с nameif, и без "нет направляют" команду на этом интерфейсе или на 1 интерфейсе (е) с nameif, уже настроенным. Как исправить эту ошибку?

О. Эта ошибка произошла из-за ограничения лицензии на ASA. Необходимо получить Безопасность Плюс лицензия для настройки большего количества VLAN как в режиме маршрутизации. Только три активных LAN могут быть настроены с Базовой лицензией и до 20 активных LAN с Безопасностью Плюс лицензия. Можно создать третью VLAN с Базовой лицензией, но эта VLAN только имеет связь или к внешней стороне или к внутренней части, но не в обоих направлениях. Если у вас должна быть связь в обоих направлениях, то необходимо обновить лицензию. Кроме того, если вы используете Базовую лицензию, позволяете, что этот интерфейс, чтобы быть третьей VLAN и ограничить ее от инициирования контакта к одной другой VLAN с именем хоста (config-if) # не направляет команду количества interface vlan. Таким образом третья VLAN может быть настроена.

Вопрос. . Что означает сообщение об ошибках: %ASA-6-110002: Подведенный для определения местоположения исходящего интерфейса для UDP от outside:x.x.x.x/xxxx до x. x . x . x/xxxx?

О. ASA дает это сообщение об ошибках, когда Клиент VPN пытается использовать одноранговую программу, и тот трафик входит в туннель, где не находится одноранговый сервер. Настройте разделение туннеля для решения этого вопроса так, чтобы трафик, который должен выйти в Интернет, не перемещался через Туннель, и пакет не отброшен межсетевым экраном. В документе ASA/PIX: Позвольте Разделенное туннелирование для Клиентов VPN на Примере конфигурации ASA для получения дополнительной информации о конфигурации Разделенного туннелирования в ASA.

Вопрос. . Что означает сообщение об ошибках: Ошибка: execUpgradeSoftware: операция испытала таймаут с 0 из полученного 1 байта?

О. Когда вы пытаетесь обновить SSM AIP с FTP, он может таймаут. Увеличьте Значение таймаута FTP для решения вопроса.

Например: :

configure terminal
service host
network-settings
ftp-timeout 2700
exit

Сохраните изменения.

Вопрос. . Что означает сообщение об ошибках: %ASA-4-402123: КРИПТО-: аппаратный ускоритель ASA встретился с ошибкой?

О. Для решения этого вопроса попробуйте один из этих обходных путей:

Вопрос. . Что означает сообщение об ошибках: неспособный передать сообщение аутентификации?

О. ASA не поддерживает управление паролями при использовании ЛОКАЛЬНОЙ (внутренней) аутентификации. Удалите управление паролями, если настроено для решения этого вопроса.

Вопрос. . Как может я решать это сообщение об ошибках, которое получено при тестировании аутентификации на ASA: ОШИБКА: Сервер проверки подлинности, не отвечающий: Никакая ошибка?
ASA# test aaa-server authentication TAC_SRVR_GRP username test password test123
Server IP Address or name: ACS-SERVER
INFO: Attempting Authentication test to IP address <ACS-SERVER> (timeout: 12 seconds)
ERROR: Authentication Server not responding: No error

О. Используйте любую из этих точек для решения этой проблемы:

  • Проверьте подключение от ASA до AAA-сервера через эхо - тест (ping test) и гарантируйте, что AAA-сервер достижим от ASA.

  • Проверьте связанную конфигурацию AAA на ASA и проверьте, упомянут ли AAA-сервер должным образом или нет.

    ASA# show run aaa-server 
    aaa-server RAD_SRVR_GRP protocol radius
    aaa-server RAD_SRVR_GRP host ACS-SERVER
     key *
    aaa-server TAC_SRVR_GRP protocol tacacs+
    aaa-server TAC_SRVR_GRP host ACS-SERVER
     key *
  • Проверьте, является ли Радиус портами TACACS, заблокированы любым межсетевым экраном в пути между AAA-сервером и ASA. Гарантируйте, что соответствующие порты открыты на основе используемого протокола.

  • Проверьте параметры на AAA-сервере.

  • Повторно загрузите AAA-сервер.

Успешный тест аутентификации похож на это:

ASA(config)# test aaa authentication topix host 10.24.10.10 username test password test1234
INFO: Attempting Authentication test to IP address <10.24.0.10> (timeout: 12 seconds)
INFO: Authentication Successful

Вопрос. . Что означает сообщение об ошибках: Ошибка открытия (в процентах) disk0:/.private/startup-config (Файловая система Только для чтения) Ошибочная команда выполнения [ОТКАЗАЛА]?

О. Отформатируйте флэш-память или команду FSCK в ASA/PIX для решения этого вопроса.

Вопрос. . Как может я решать это сообщение об ошибках ASDM: Несвязанные сокеты, не внедренные?

О. Когда версия 5.0 ASDM или позже работает на ASA, PIX или FWSM, и использует Обновление Java 6 10 или позже, эта проблема происходит. При загрузке ASDM это сообщение появляется:

ASDM cannot be loaded. Click OK to exit ASDM.
Unconnected sockets not implemented.

Для решения этого вопроса деинсталлируйте Обновление Java 6 10 и установите Обновление Java 6 7. Для получения дополнительной информации обратитесь к CSCsv12681 (только зарегистрированные клиенты).

Чтобы заставить ASDM загружаться правильно с Обновлением Java 6 10, обновите ASDM к ASDM 6.1 (5) 51. Для получения дальнейшей информации обратитесь к Клиентской операционной системе ASDM и разделу Требований к обозревателю Версии 6.1 (5) Комментариев к выпуску Cisco ASDM.

Вопрос. . Что означает сообщение об ошибках: %ASA-1-199010: Сигнал 11, пойманный в процессе/волокне (rtcli асинхронный процесс исполнителя) / (rtcli асинхронный исполнитель) в адресе 0xf132e03b, корректирующее действие в 0xca1961a0?

О. Эта проблема могла бы быть вызвана, когда ASDM используется для доступа к ASA или когда существует высокая загрузка ЦП на ASA. Это сообщение обычно появляется, когда механизм восстановления работоспособности после сбоя препятствует тому, чтобы система завершилась катастрофическим отказом.

Если нет никакой другой проблемы с этим сообщением, она может быть проигнорирована. Это - восстанавливаемая ошибка, которая не влияет на производительность.

Вопрос. . Трафик Oracle не проходит через межсетевой экран. Как устранить эту проблему?

О. Эта проблема вызвана функцией контроля sqlnet межсетевого экрана. Когда это происходит, соединения оторваны. Прокси TCP для механизма контроля sqlnet был разработан для обработки множественных кадров TNS в одном сегменте TCP. Контроль sqlnet обрабатывает много кадров TNS в одном пакете, представляющем комплекс кода.

Для решения этого вопроса инспекционный механизм не должен обрабатывать множественные кадры TNS в одном пакете. Предполагается то, что каждый кадр TNS, чтобы быть другим пакетом TCP и осмотрен индивидуально.

Ошибки в программном обеспечении были поданы для этого поведения; для получения дополнительной информации обратитесь к CSCsr27940 (только зарегистрированные клиенты) и CSCsr14351 (только зарегистрированные клиенты).

Решение для этой проблемы дано ниже.

Используйте команду no inspect sqlnet в режиме конфигурации класса для отключения контроля для sqlnet.

ASA(config)#class-map sqlnet-port
ASA(config-cmap)#match port tcp eq 1521
ASA(config-cmap)#exit
ASA(config)#policy-map sqlnet_policy
ASA(config-pmap)#class sqlnet-port
ASA(config-pmap-c)#no inspect sqlnet
ASA(config-pmap-c)#exit
ASA(config)#service-policy sqlnet_policy interface outside

Для получения дополнительной информации обратитесь к разделу контроля SQLNet Справочника по командам Cisco Security Appliance, Версии 8.0.

Вопрос. . Я неспособен скопировать образ программного обеспечения к флэш-памяти ASA, и я получаю сообщение об ошибках, подобное этому сообщению: Ошибка, пишущая disk0:/asa8XX-XX.bin (Не может выделить память),

О. Если межсетевой экран неспособен выделить память (ОЗУ) для загрузки образа программного обеспечения, эта проблема могла бы произойти.

ASA буферизует весь образ в ОЗУ, в то время как это передано ASA. Пока это не завершает запись во флэш-память, должен быть доступный свободный блок памяти, достаточно большой для удержания всего образа программного обеспечения. Один блок полной памяти должен быть доступным для буферизации всего образа, прежде чем ASA запишет его для мигания.

Использование памяти непосредственно отнесено к опциям, активированным на ASA; эти функции загружены каждый раз, когда ASA загружен, независимо от того, как образ загружен (через сеть или флэш-память). Можно отключить опции, которые вы в настоящее время не используете для сокращения использования памяти. Обратите внимание на то, что WebVPN, SSLVPN и обнаружение угрозы имеют тенденцию использовать большую память.

Можно также использовать ROM монитор (rommon) для копирования образа, или можно заставить параметр загрузки загружаться через tftp и затем копировать образ после того, как ASA загрузился по сети. Так как ROMmon не загружает конфигурацию, он не загружает эти функции; поэтому, вы не должны испытывать проблему при использовании этого метода для копирования файла.

Попробуйте эти обходные пути.

Вопрос. . Что означает сообщение об ошибках: [ОШИБКА] threat-detection статистика номер узла скорости 0 threat-detection статистика номер узла скорости 0 ^ % Недопустимый ввод обнаружена в '^' маркер?

О. В то время как вы используете функцию обнаружения угрозы в ASDM, эта ошибка может произойти. Или используйте CLI, чтобы передать команду или понизить ASDM для решения этого вопроса.

Вопрос. . Что означает сообщение об ошибках: %ERROR: копирование 'disk0:/csco_config/97/customization/index.ini' к временному ramfs файлу отказало?

О. Эта проблема происходит из-за идентификатора ошибки Cisco CSCsy77628 (только зарегистрированные клиенты). Для решения этого вопроса команда revert webvpn all команды в привилегированном режиме EXEC для очистки всех конфигураций WebVPN. Реконфигурируйте с нуля и затем повторно загрузите ASA.

Вопрос. . Как может я решать это сообщение об ошибках на ASA: ОШИБКА: установка: Установка/dev/hda1 на/mnt/disk0 отказала: Недопустимый аргумент?

О. Переформатируйте флэш-память для решения этого вопроса. Если это не решает вопрос, тогда связываются с TAC для дальнейшей поддержки.

Вопрос. . Когда я пытаюсь добавить неанглийские символы в баннере, я получаю это сообщение об ошибках на ASA: генерируемый CLI имеет неподдерживаемые символы. ASA не принимает такие символы. Придерживающаяся линия (и) имеет неподдерживаемые символы. Как исправить эту ошибку?

О. Эта проблема происходит из-за идентификатора ошибки Cisco CSCsz32125 (только зарегистрированные клиенты). Для решения этого вопроса обновите ASA с версией программного обеспечения 8.0 (4.34).

Вопрос. . Как может я решать это сообщение об ошибках на ASA: %ASA-1-216005: ОШИБКА: Несогласованность дуплексных параметров на Et0/0 привела к тупику передатчика. Программный сброс коммутатора был выполнен?

О. Это сообщение об ошибках замечено, когда несогласованность дуплексных параметров существует между указанным портом и устройством, которое связано с ним. Набор оба устройства или к автоматическому или к жесткое кодирование дуплекс с обеих сторон, чтобы быть тем же для исправления несогласованности дуплексных параметров. Это решает вопрос.

Примечание: В идентификатор ошибки Cisco CSCsm87892 был подан относительно этой проблемы и дефекта, переходят Решенное состояние теперь. Для получения дополнительной информации обратитесь к CSCsm87892 (только зарегистрированные клиенты).

Вопрос. . Когда я выполняю процесс восстановления на модуле SSM AIP и затем модуле неоднократно перезагрузки, я получаю это сообщение об ошибках: Недопустимый системный код (0x-682a2af). Что означает сообщение об ошибках?

О. Эта проблема происходит при использовании неправильного файла для восстановления или повторно захватывания образ. При использовании .pkg файл вместо .img, то это действие вызывает эту ошибку. Эта ошибка также происходит, когда .img файл хорош, но ASA застревает в цикле загрузки. Единственный способ решить этот вопрос состоит в том, чтобы повторно захватить образ датчик.

Вопрос. . Почему делает это сообщение об ошибках, появляются, когда я загружаю Глобальные обновления Корреляций для SSM AIP: collaborationApp[530] rep/E обновление глобальной взаимосвязи отказал: Прерванная загрузка ibrs/1.1/config/default/1236210407: Соединение HTTP отказало collaborationApp[459] rep/E подведенное обновление глобальной взаимосвязи: Прерванная загрузка ibrs/1.1/drop/default/1296529950: URI не содержит действительный IP - адрес?

О. Эта проблема могла бы произойти из-за фильтрации URL-адресов, которая настроена, который влияет на трафик, и также из-за интерфейса управления модуля SSM AIP, который может пройти через ASA для ухода к Интернету. Удостоверьтесь, что настроенная фильтрация URL-адресов не блокирует устройства (SSM AIP) от достижения Глобальных Корреляций, который решает вопрос. Когда существует повреждение в предыдущем обновлении GC, эта проблема происходит. Это может обычно исправляться путем выключения сервиса GC и затем превращения его назад на. В IDM выберите Configuration> Policies> Global Correlation> Inspection/Reputation. Затем Глобальный Контроль Корреляции набора (и фильтрация Репутации, если На) к Выключено. Примените изменения и ждите в течение 10 минут. Возвратите функции на и монитор.

Вопрос. . Как может я решать это сообщение об ошибках на ASA: Отказавшее Безопасное соединение. Ошибка произошла во время соединения с x. x . x . x . Не может связаться надежно с узлом: никакой общий алгоритм (ы) шифрования. Код ошибки: ssl_error_no_cypher_overlap)?

О. Эта проблема происходит из-за идентификатора ошибки Cisco CSCtc37947 (только зарегистрированные клиенты). Для решения этого вопроса удалите временные файлы, созданные для автоматического обновления от корневой учетной записи на CSC, и затем перезапустите сервисы.

Вопрос. . Как может я решать это сообщение об ошибках на ASA для Grayware: GraywarePattern: Обновление Образца: файл загрузок был неуспешен для ActiveUpdate, было неспособно разархивировать zip на загруженных пакетах патчей. Файл архива zip может быть поврежден. Это может произойти из-за соединения нестабильной сети. Попытайтесь загрузить файл снова.. Код ошибки равняется 24?

О. Для решения этого вопроса введите ключ активации 3DES или используйте эту команду на ASA: CiscoASA (config) # ssl encryption aes256-sha1 aes128-sha1 3des-sha1 des-sha1 rc4-md5 . Эта команда используется для определения алгоритмов шифрования, которые использует SSL/ПРОТОКОЛ TLS.

Вопрос. . Как может я решать это сообщение об ошибках, которое я получил при настройке интерфейсов на ASA 5505: ОШИБКА: Эта лицензия не позволяет настраивать больше чем 2 интерфейса с nameif, и без "нет направляют" команду на этом интерфейсе или на 1 интерфейсе (е)?

О. Эта проблема происходит из-за количества интерфейсов, позволенных связываться на основе подарка лицензии в ASA. Для моделей со встроенным коммутатором, таких как ASA 5505, используют прямую интерфейсную команду в режиме конфигурации интерфейса для восстановления подключения для одной VLAN от инициирования контакта к другой VLAN. Для ограничения одной VLAN от инициирования контакта к другой VLAN используйте эту команду с параметром no. Вы, возможно, должны были бы ограничить одну VLAN в зависимости от сколько VLAN поддержка лицензий.

Вопрос. . Как может я решать это сообщение об ошибках на ASA: ошибка открытия (в процентах) system:/running-config (Никакое такое устройство)?

О. Повторно загрузите ASA для решения этого сообщения об ошибках.

Вопрос. . Я получил эту ошибку: [ERR-PAT-0003] система обновления не может найти необходимые файлы в распакованном наборе файлов обновления и не может продолжиться. Это сообщение для диагностического назначения только. Клиенты - свяжитесь с Технической поддержкой. при обновлении к последнему pkg файлу на SSM CSC. Почему происходит эта ошибка?

О. Эта проблема происходит из-за идентификатора ошибки Cisco CSCta99320 (только зарегистрированные клиенты). Для получения дополнительных сведений обратитесь к документации по данной ошибке.

Вопрос. . Я получаю это сообщение об ошибках на ASA, и ASA не перезагружает: mempool: ошибка 12 глобальных создания совместно использовала пул. Почему эта проблема происходит, и как она может быть решена?

О. Эта проблема могла бы произойти, когда вы пытаетесь установить больше ОЗУ, чем является соответствующим конкретной платформе. Например, при попытке установить 4 ГБ ОЗУ в ASA5540, вы могли бы получить эту ошибку, потому что ASA5540 не должен выполнять больше чем 2 ГБ ОЗУ.

Помните эти элементы при установке нового ОЗУ:

  • Только новое ОЗУ установлено в ASA. Старое ОЗУ должно быть удалено и НЕ загружено в дополнительных слотах RAM.

  • Новое ОЗУ должно быть установлено в переменном слоте. Для оптимальной производительности установите DIMM в слотах P13 и P15.

Вопрос. . Я получаю эту ошибку: %ASA-4-402125: КРИПТО-: вызов Ipsec аппаратного ускорителя ASA испытал таймаут (Desc = 0xD6AF25E0, CtrlStat = 0xA000, ResultP = 0xD2D10A00, ResultVal = 186, cmd = 0x10, CmdSize = 0, Param = 0x0, Dlen = 152, DataP = 0xD2D10974, CtxtP = 0xD46E6B10, SWReset = 21), когда ASA отбрасывает пакет, показывающий сильно ухудшенную производительность. Почему происходит эта проблема?

О. Эта проблема происходит из-за идентификатора ошибки Cisco CSCti17266 (только зарегистрированные клиенты). Для получения дополнительных сведений обратитесь к документации по данной ошибке.

Другой дефект, отнесенный к этому поведению, является CSCtn56501 (только зарегистрированные клиенты).

Вопрос. . Это сообщение об ошибках получено на ASA: 418001: пакетная сеть management-only к/ота через устройство запрещена: src icmp В - DMZ:192.168.145.53 Mgt-Net:10.40.10.1 dst (вводят 8, код 0). Как это исправить?

О. Удалите команду management-only из интерфейса, где это настроено. В этом конкретном случае, из вышеупомянутого сообщения об ошибках, удаляют команду management-only из интерфейса Сети Mgt.

Вопрос. . Что означает сообщение об ошибках: %PIX|ASA-5-713137: Жнец наиважнейший refCnt [ref_count] и tunnelCnt [tunnel_count] - удаление SA!?

О. Эта проблема происходит из-за идентификатора ошибки Cisco CSCsq91271 (только зарегистрированные клиенты). Для получения дополнительных сведений обратитесь к документации по данной ошибке.

Вопрос. . Что означает сообщение об ошибках: "КРИПТО-: ASA пропускает запись последнего Крипто-Архивного файла, поскольку максимум # файлов (2) позволенный был записан в <disk0:/crypto_archive>. Заархивируйте и удалите файлы из <disk0:/crypto_archive>, если вы хотите больше Крипто-сохраненных Архивных файлов"?

О. Это может быть вызвано из-за malfunctionalities ядра шифрования. Это поведение было зарегистрировано в идентификаторах ошибок Cisco CSCtg58074 (только зарегистрированные клиенты) и CSCsm77854 (только зарегистрированные клиенты). Временный обходной путь должен удалить крипто-архивные файлы из флэш-памяти и повторно загрузить устройство. Эта ошибка, кажется, не влияет на существующий трафик. При необходимости постоянного решения к этому свяжитесь с Центром технической поддержки Cisco для получения технического образа сборки.

Вопрос. . Что означает сообщение об ошибках: Ошибка: 19 февраля 2010|15:58:33|450001|XXX.YYY.ZZZ.ZZ || Запрещают трафик для src протокола 6 inside:192.168.1.63/2988 dst outside:XXX.YYY.ZZZ.ZZ/6667, лицензируемый предел хоста 10 превышенных.?

О. Это - связанная проблема лицензии. При выполнении базовой лицензии на межсетевом экране вам не разрешат установить больше чем десять соединений. Проверьте это использование команды Show version. Для решения этого вопроса выполните обновление лицензии на межсетевом экране. Свяжитесь с Группой лицензирования Cisco для получения дополнительной информации.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 68330