当ASA重新启动时,无线移动连接失败且不恢复

下载选项

  • PDF     (327.8 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (177.4 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (198.8 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2013 年 4 月 4 日
文档 ID:116074

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文描述了一个问题:通过自适应安全设备(ASA)的移动路径连接(使用用户数据报协议(UDP)和IP协议93)可能会中断并继续失败,直到重新加载移动设备,或者移动路径流量被停止并短暂处于非活动状态并重新启动。

先决条件

要求

Cisco 建议您了解以下主题:

  • 思科自适应安全设备(ASA)
  • 无线局域网控制器(WLC)

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的信息,请参阅 Cisco 技术提示规则。

问题

在这种情况下,10.10.1.2的无线LAN控制器(WLC)尝试与10.10.9.3的WLC通信,但通信失败。

此问题可能由以下任一事件触发:

  • ASA将重新启动。
  • 路由表由管理员或路由协议修改。
  • 接口关闭,然后由管理员重新打开。

除移动流量外,任何UDP或非TCP IP协议都可能遇到此问题。 

此问题不是Bug,而是网络拓扑和ASA配置的结果。有关此问题的原因和解决方案,请参阅下文。

网络拓扑示例


116074-problem-solution-asa-01.png

ASA路由配置:

!
route outside 0.0.0.0 0.0.0.0 192.168.4.3 1
route inside 10.0.0.0 255.0.0.0 192.168.254.1 1
!
same-security-traffic permit intra-interface
!

ASA dmz接口配置:

!
interface Gigabit-Ethernet0/1.10
 vlan 10
 nameif dmz
 security-level 75
 ip address 10.10.9.1 255.255.255.240 standby 10.10.9.2 
!

问题触发器

当位于10.10.1.2的WLC发送发往位于10.10.9.3的WLC的流量时,会触发问题。这些数据包导致ASA在其连接表中建立连接,将移动流量从错误的ASA接口(内部)发送出去。

116074-problem-solution-asa-02.png

此问题是由ASA的目标接口“dmz”在建立连接时处于关闭/关闭状态引起的,这会导致连接建立出不同的非最佳接口。dmz接口可能由于电缆问题、以太网或端口通道协商问题而关闭,或者可能因管理原因关闭。

在出现问题时,移动路径连接可视为ASA的“接口内”,即将数据包从它们到达的同一内部接口路由回:

ASA# show conn address 10.10.1.2
15579 in use, 133142 most used
97 inside 10.10.9.3 inside 10.10.1.2, idle 0:00:00, bytes 32210
UDP inside 10.10.9.3:16666 inside 10.10.1.2:16666, idle 0:00:00, bytes 4338, flags -
97 inside 10.10.9.3 inside 10.10.1.2, idle 0:00:00, bytes 157240
ASA#

位于10.10.1.2的移动终端继续发送发往10.10.9.3的流量,该流量与这些现有连接匹配。即使dmz接口进入up/up状态,源自10.10.1.2的移动流量也会与表中的现有连接匹配(而不是构建到dmz接口的新连接),这会重置ASA上连接的超时,从而延长问题的时间。

总之,这些事件可能会触发问题:

  1. 位于10.10.1.2的设备向10.10.9.3发送协议97或UDP数据包。
  2. ASA在内部接口上接收数据包,但dmz接口关闭,这会导致路由表中缺少通往目的网络的更具体路由。由于ASA上启用same-security permit intra-interface命令,因此它遵循为10.0.0.0/8网络配置的静态路由,通过内部接口返回,在连接表中建立连接,然后将数据包从内部接口发送回内部网络。
  3. 在某个时候,dmz接口可能会重新打开,路由会重新添加到表中;但是,由于协议97流量的连接已在步骤#2中建立,因此后续数据包将与连接匹配,并且路由表被覆盖,并且流量不会到达dmz上的服务器。

解决方案

解决方案 1

解决此问题的一个可能解决方案是从ASA中删除same-security permit intra-interface命令。此解决方案可防止从接收原始数据包的同一接口重新建立u-turn连接,这样,当接口打开时,就可以建立正确的连接。但是,根据ASA的路由表,此解决方案可能不起作用(根据路由表,流量可能路由到目标之外的其他接口),并且ASA上的其他连接可能需要same-security permit intra-interface命令。

解决方案 2 

对于此特定实例,通过启用超时浮动连接功能成功缓解了问题。默认情况下未启用此功能,在ASA的新接口(dmz接口启用时)向路由表添加到某个终端的更首选路由后一分钟,ASA将断开这些连接。然后,当下一个数据包到达ASA时,使用更首选的接口(dmz,而不是10.10.9.3主机的内部接口)立即重建连接。

ASA(config)# timeout floating-conn 0:01:00

116074-problem-solution-asa-03.png

当问题得到缓解时,ASA连接表中会构建正确的连接,并自动恢复连接:

ASA# show conn address 10.10.1.2
15329 in use, 133142 most used
97 dmz 10.10.9.3 inside10.10.1.2, idle 0:00:00, bytes 3175742510
UDP dmz 10.10.9.3:16666 inside 10.10.1.2:16666, idle 0:00:00, bytes 40651338, flags -
97 dmz 10.10.9.3 inside10.10.1.2, idle 0:00:00, bytes 1593457240
ASA#

相关信息

修订历史记录

版本 发布日期 备注
1.0
04-Apr-2013
初始版本
TAC Authored

由思科工程师提供

  • Jay Johnston
    Cisco TAC Engineer.

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品