Cisco ASA Shun-functie configureren om virtuele apparaten vrij te stellen

Downloadopties

  • PDF     (254.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (101.8 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (95.5 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:2 september 2025
Document-id:224664

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriƫntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u de Cisco ASA configureert om het virtuele toestel vrij te stellen van de component voor bedreigingsdetectie. De Cisco ASA-component voor bedreigingsdetectie voert pakketinspecties uit op DNS en andere protocollen. Umbrella Support raadt deze wijzigingen in de ASA-configuratie aan om te voorkomen dat deze functie in strijd is met onze virtuele toepassing:

    • Stel het virtuele toestel vrij van de functie 'shun' voor de detectie van bedreigingen, zoals beschreven in dit artikel.
    • Vrijstelling van de Virtual Appliance van DNS-pakketinspectie om onze DNS-codering (DNScrypt) mogelijk te maken, die in dit artikel wordt behandeld: Cisco ASA Firewall blokkeert DNScrypt.

    Threat Detection 'Shun'-functie

    Wanneer de functie 'Shun' is ingeschakeld, kan de ASA een IP-adres van de bron volledig blokkeren dat detectieregels voor bedreigingen activeert. Meer details zijn te vinden in het Cisco-artikel: ASA Threat Detection Functionality and Configuration.

    De Virtual Appliance stuurt normaal gesproken een zeer groot aantal DNS-query's naar Umbrella DNS-resolvers. In gevallen waarin er een lokaal probleem is met de verbinding met de resolvers (zoals een tijdelijke netwerkonderbreking/latentie) kunnen deze query's mislukken. Vanwege het enorme volume aan query's dat wordt verzonden, zorgt zelfs een klein percentage dat faalt ervoor dat de ASA de Virtual Appliance mijdt; wat leidt tot een volledige DNS-uitval voor een bepaalde periode.

    Het virtuele toestel vrijstellen

    Opmerking: de opdrachten in dit artikel zijn alleen bedoeld als richtlijn en het wordt aanbevolen om een Cisco-expert te raadplegen voordat u wijzigingen aanbrengt in een productieomgeving.

    Via CLI:

    • Voer de volgende opdracht uit om te voorkomen dat het IP-adres van het toestel wordt genegeerd: no shun

    Via ASDM-interface:

    • Kies het deelvenster Configuratie > Firewall > Dreigingsdetectie.
    • Als u wilt voorkomen dat het IP-adres van het toestel wordt gemeden, voert u een adres in het veld 'Netwerken uitgesloten van schuwen' in. U kunt meerdere adressen of subnetten invoeren, gescheiden door komma's.

    Bepaal of het apparaat is 'gemeden'

    Als deze stappen niet zijn gevolgd, kan het apparaat in sommige omstandigheden worden 'gemeden', wat leidt tot een DNS-storing.

    Wanneer het virtuele toestel geen externe connectiviteit heeft, ziet de console er als volgt uit:

    console connectivity display

    De Cisco ASA registreert het evenement als volgt:

    4|06 jun 2014 14:00:42|401004: Gemoed pakket: 192.168.1.3 ==> 208.67.222.222 op interface binnen
    4|06 jun 2014 14:00:42|401004: Gemoed pakket: 192.168.1.3 ==> 208.67.222.222 op interface binnen

    Als u een lijst met momenteel gemeden IP-adressen wilt zien, voert u deze opdracht uit op de ASA: show shun

    Voer deze opdracht uit op de ASA om de momenteel gemeden IP-adressen onmiddellijk te wissen: clear shun

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    02-Sep-2025
    Eerste vrijgave
    1.0
    22-Aug-2025
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten