Fehlerbehebung bei Verbindungen über PIX und ASA

Download-Optionen

  • PDF     (316.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (99.7 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (106.1 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:1. September 2011
Dokument-ID:71871

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument finden Sie Lösungsideen und -vorschläge für die Cisco Adaptive Security Appliance (ASA) der Serie ASA 5500 und die Cisco Security Appliance der Serie PIX 500. In den meisten Fällen sind Firewalls (PIX oder ASA) ein primäres Ziel, wenn Anwendungen oder Netzwerkquellen kaputt gehen oder nicht verfügbar sind, und werden als Ursache für Ausfälle verantwortlich gemacht. Nach einigen Tests auf der ASA oder PIX kann ein Administrator feststellen, ob die ASA/PIX das Problem verursacht.

Weitere Informationen zur schnittstellenbezogenen Fehlerbehebung auf den Cisco Security Appliances finden Sie unter PIX/ASA: Establish and Troubleshoot Connectivity through the Cisco Security Appliance.

Hinweis: Der Schwerpunkt dieses Dokuments liegt auf ASA und PIX. Sobald die Fehlerbehebung für die ASA oder PIX abgeschlossen ist, ist wahrscheinlich eine zusätzliche Fehlerbehebung für andere Geräte (Router, Switches, Server usw.) erforderlich.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf Cisco ASA 5510 mit den Betriebssystemen 7.2.1 und 8.3.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Verwandte Produkte

Dieses Dokument kann auch mit folgenden Hardware- und Softwareversionen verwendet werden:

  • ASA und PIX OS 7.0, 7.1, 8.3 und höher

  • Firewall Services Module (FWSM) 2.2, 2.3 und 3.1

Hinweis: Bestimmte Befehle und Syntax können je nach Softwareversion variieren.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Hintergrundinformationen

Im Beispiel wird davon ausgegangen, dass die ASA oder PIX in Produktion ist. Die ASA/PIX-Konfiguration kann relativ einfach (nur 50 Zeilen an Konfiguration) oder komplex (Hunderte bis Tausende von Konfigurationszeilen) sein. Benutzer (Clients) oder Server können sich entweder in einem sicheren Netzwerk (innen) oder in einem unsicheren Netzwerk (DMZ oder außen) befinden.

asa-pix-troubleshooting-1.gif

Die ASA beginnt mit dieser Konfiguration. Die Konfiguration soll dem Labor einen Bezugspunkt geben.

ASA Erstkonfiguration 
ciscoasa#show running-config
: Saved
:
ASA Version 7.2(1) 
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 172.22.1.160 255.255.255.0 
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 
!
interface Ethernet0/2
 nameif dmz
 security-level 50
 ip address 10.1.1.1 255.255.255.0 
!
interface Management0/0
 shutdown
 no nameif    
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list outside_acl extended permit tcp any host 172.22.1.254 eq www 
access-list inside_acl extended permit icmp 192.168.1.0 255.255.255.0 any 
access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq www 
access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq telnet 
pager lines 24
mtu outside 1500
mtu inside 1500
mtu dmz 1500
no asdm history enable
arp timeout 14400
global (outside) 1 172.22.1.253
nat (inside) 1 192.168.1.0 255.255.255.0



!--- The above NAT statements are replaced by the following statements !--- for ASA 8.3 and later.

object network obj-192.168.1.0
  subnet 192.168.1.0 255.255.255.0
  nat (inside,outside) dynamic 172.22.1.253


static (inside,outside) 192.168.1.100 172.22.1.254 netmask 255.255.255.255 


!--- The above Static NAT statement is replaced by the following statements !--- for ASA 8.3 and later.

object network obj-172.22.1.254
  host 172.22.1.254
  nat (inside,outside) static 192.168.1.100 
access-group outside_acl in interface outside
access-group inside_acl in interface inside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Problem

Ein Benutzer kontaktiert die IT-Abteilung und meldet, dass Anwendung X nicht mehr funktioniert. Der Vorfall wird an den ASA/PIX-Administrator eskaliert. Der Administrator hat nur wenig Kenntnis von dieser speziellen Anwendung. Bei Verwendung der ASA/PIX erkennt der Administrator, welche Ports und Protokolle die Anwendung X verwendet und was die Ursache des Problems sein könnte.

Lösung

Der ASA/PIX-Administrator muss so viele Informationen wie möglich vom Benutzer sammeln. Zu den hilfreichen Informationen gehören:

  • Quell-IP-Adresse - Dies ist normalerweise die Arbeitsstation oder der Computer des Benutzers.

  • Ziel-IP-Adresse - Die Server-IP-Adresse, mit der der Benutzer oder die Anwendung eine Verbindung herstellen möchte.

  • Ports und Protokolle der Anwendung

Häufig hat der Administrator das Glück, eine Antwort auf eine dieser Fragen zu erhalten. In diesem Beispiel kann der Administrator keine Informationen sammeln. Eine Überprüfung der ASA/PIX-Syslog-Meldungen ist ideal, wenn der Administrator nicht weiß, wonach er suchen soll, ist das Problem jedoch schwer zu lokalisieren.

Schritt 1 - Ermitteln der IP-Adresse des Benutzers

Es gibt viele Möglichkeiten, die IP-Adresse des Benutzers zu ermitteln. In diesem Dokument geht es um die ASA und PIX. In diesem Beispiel wird die IP-Adresse anhand der ASA und PIX ermittelt.

Der Benutzer versucht, mit der ASA/PIX zu kommunizieren. Diese Kommunikation kann ICMP, Telnet, SSH oder HTTP sein. Das ausgewählte Protokoll sollte auf der ASA/PIX nur begrenzte Aktivität aufweisen. In diesem Beispiel pingt der Benutzer den internen Anschluss der ASA an.

Der Administrator muss eine oder mehrere dieser Optionen einrichten, und dann muss der Benutzer einen Ping an die interne Schnittstelle der ASA senden.

  • Syslog

    Stellen Sie sicher, dass die Protokollierung aktiviert ist. Die Protokollierungsebene muss auf debug festgelegt werden. Die Protokollierung kann an verschiedene Standorte gesendet werden. In diesem Beispiel wird der ASA-Protokollpuffer verwendet. Möglicherweise benötigen Sie einen externen Protokollierungsserver in Produktionsumgebungen.

    ciscoasa(config)#logging enable
ciscoasa(config)#logging buffered debugging

    Der Benutzer sendet Pings an die interne Schnittstelle der ASA (Ping 192.168.1.1). Diese Ausgabe wird angezeigt.

    ciscoasa#show logging

!--- Output is suppressed.

%ASA-6-302020: Built ICMP connection for faddr 192.168.1.50/512 
gaddr 192.168.1.1/0 laddr 192.168.1.1/0
%ASA-6-302021: Teardown ICMP connection for faddr 192.168.1.50/512 
gaddr 192.168.1.1/0 laddr 192.168.1.1/0

!--- The user IP address is 192.168.1.50.

  • ASA-Erfassungsfunktion

    Der Administrator muss eine Zugriffsliste erstellen, die definiert, welchen Datenverkehr die ASA erfassen muss. Nach dem Definieren der Zugriffsliste enthält der Befehl capture die Zugriffsliste und wendet sie auf eine Schnittstelle an.

    ciscoasa(config)#access-list inside_test permit icmp any host 192.168.1.1
ciscoasa(config)#capture inside_interface access-list inside_test interface inside

    Der Benutzer sendet Pings an die interne Schnittstelle der ASA (Ping 192.168.1.1). Diese Ausgabe wird angezeigt.

    ciscoasa#show capture inside_interface
   1: 13:04:06.284897 192.168.1.50 > 192.168.1.1: icmp: echo request

!--- The user IP address is 192.168.1.50.

    Hinweis: Um die Erfassungsdatei auf ein System wie ethereal herunterzuladen, können Sie dies so tun, wie diese Ausgabe zeigt.

    
!--- Open an Internet Explorer and browse with this https link format:

https://[
        
        
          / 
         
           ]/capture/ 
          
            /pcap

    Weitere Informationen zur Paketerfassung in ASA finden Sie unter ASA/PIX: Packet Capturing using CLI and ASDM Configuration Example.

  • Fehlersuche

    Der Befehl debug icmp trace wird verwendet, um den ICMP-Datenverkehr des Benutzers zu erfassen.

    ciscoasa#debug icmp trace

    Der Benutzer sendet Pings an die interne Schnittstelle der ASA (Ping 192.168.1.1). Diese Ausgabe wird auf der Konsole angezeigt.

    ciscoasa# 

!--- Output is suppressed.

ICMP echo request from 192.168.1.50 to 192.168.1.1 ID=512 seq=5120 len=32
ICMP echo reply from 192.168.1.1 to 192.168.1.50 ID=512 seq=5120 len=32

!--- The user IP address is 192.168.1.50.

    Um debug icmp trace zu deaktivieren, verwenden Sie einen der folgenden Befehle:

    • Keine icmp-Ablaufverfolgung debuggen

    • Undebug icmp trace

    • Alle deaktivieren, Alle deaktivieren oder Alle ausführen

Jede dieser drei Optionen hilft dem Administrator, die Quell-IP-Adresse zu ermitteln. In diesem Beispiel ist die Quell-IP-Adresse des Benutzers 192.168.1.50. Der Administrator kann mehr über Anwendung X erfahren und die Ursache des Problems ermitteln.

Schritt 2 - Ermittlung der Ursache des Problems

Unter Bezugnahme auf die im Abschnitt Schritt 1 dieses Dokuments aufgeführten Informationen kennt der Administrator nun die Quelle einer X-Anwendungssitzung. Der Administrator ist bereit, mehr über Anwendung X zu erfahren und festzustellen, wo die Probleme auftreten können.

Der ASA/PIX-Administrator muss die ASA auf mindestens einen dieser Vorschläge vorbereiten. Sobald der Administrator bereit ist, startet der Benutzer Anwendung X und beschränkt alle anderen Aktivitäten, da zusätzliche Benutzeraktivitäten Verwirrung stiften oder den ASA/PIX-Administrator irreführen können.

  • Überwachen von Syslog-Meldungen

    Suchen Sie nach der Quell-IP-Adresse des Benutzers, den Sie in Schritt 1 gefunden haben. Der Benutzer startet die Anwendung X. Der ASA-Administrator gibt den Befehl show logging aus und zeigt die Ausgabe an.

    ciscoasa#show logging

!--- Output is suppressed.

%ASA-7-609001: Built local-host inside:192.168.1.50
%ASA-6-305011: Built dynamic TCP translation from inside:192.168.1.50/1107 
to outside:172.22.1.254/1025
%ASA-6-302013: Built outbound TCP connection 90 for outside:172.22.1.1/80 
(172.22.1.1/80) to inside:192.168.1.50/1107 (172.22.1.254/1025)

    Aus den Protokollen geht hervor, dass die Ziel-IP-Adresse 172.22.1.1, das Protokoll TCP, der Ziel-Port HTTP/80 ist und dass der Datenverkehr an die externe Schnittstelle gesendet wird.

  • Ändern Sie die Erfassungsfilter.

    Der Befehl access-list inside_test wurde bereits verwendet und wird hier verwendet.

    ciscoasa(config)#access-list inside_test permit ip host 192.168.1.50 any

!--- This ACL line captures all traffic from 192.168.1.50 !--- that goes to or through the ASA.

ciscoasa(config)#access-list inside_test permit ip any host 192.168.1.50 any

!--- This ACL line captures all traffic that leaves !--- the ASA and goes to 192.168.1.50.

ciscoasa(config)#no access-list inside_test permit icmp any host 192.168.1.1
ciscoasa(config)#clear capture inside_interface

!--- Clears the previously logged data. !--- The no capture inside_interface removes/deletes the capture.

    Der Benutzer startet die Anwendung X. Der ASA-Administrator gibt dann den Befehl show capture inside_interface aus und zeigt die Ausgabe an.

    ciscoasa(config)#show capture inside_interface
1: 15:59:42.749152 192.168.1.50.1107 > 172.22.1.1.80: 
S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK>
2: 15:59:45.659145 192.168.1.50.1107 > 172.22.1.1.80: 
S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK>
3: 15:59:51.668742 192.168.1.50.1107 > 172.22.1.1.80: 
S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK>

    Der erfasste Datenverkehr liefert dem Administrator mehrere wertvolle Informationen:

    • Zieladresse: 172.22.1.1

    • Port-Nummer: 80/http

    • Protokoll - TCP (beachten Sie das "S"- oder "syn"-Flag)

    Außerdem weiß der Administrator, dass der Datenverkehr für Anwendung X bei der ASA ankommt.

    Wenn die Ausgabe die Ausgabe des Befehls show capture inside_interface war, dann erreichte der Anwendungsdatenverkehr entweder nie die ASA, oder der Erfassungsfilter war nicht so eingestellt, dass er den Datenverkehr erfasst:

    ciscoasa#show capture inside_interface
0 packet captured
0 packet shown

    In diesem Fall sollte der Administrator den Computer des Benutzers sowie alle Router oder anderen Netzwerkgeräte untersuchen, die sich im Pfad zwischen dem Benutzercomputer und der ASA befinden.

    Hinweis: Wenn der Datenverkehr an einer Schnittstelle eingeht, zeichnet der Befehl capture die Daten auf, bevor der Datenverkehr von den ASA-Sicherheitsrichtlinien analysiert wird. Beispielsweise verweigert eine Zugriffsliste den gesamten eingehenden Datenverkehr an einer Schnittstelle. Der Befehl capture zeichnet den Datenverkehr weiterhin auf. Die ASA-Sicherheitsrichtlinie analysiert dann den Datenverkehr.

  • Fehlersuche

    Der Administrator ist mit der Anwendung X nicht vertraut und weiß daher nicht, welcher der Debugdienste für die Untersuchung von Anwendung X aktiviert werden soll. Debug ist zu diesem Zeitpunkt möglicherweise nicht die beste Fehlerbehebungsoption.

Mit den in Schritt 2 erfassten Informationen erhält der ASA-Administrator wertvolle Informationen in mehreren Bereichen. Dem Administrator ist bekannt, dass der Datenverkehr an der internen Schnittstelle der ASA, der Quell-IP-Adresse, der Ziel-IP-Adresse und der Serviceanwendung eingeht, die X verwendet (TCP/80). Aus den Syslogs weiß der Administrator auch, dass die Kommunikation ursprünglich erlaubt war.

Schritt 3 - Bestätigung und Überwachung des Anwendungsdatenverkehrs

Der ASA-Administrator möchte bestätigen, dass der Datenverkehr von Anwendung X die ASA verlassen hat, und den zurückkehrenden Datenverkehr vom Server Anwendung X überwachen.

  • Überwachen von Syslog-Meldungen

    Filtern von Syslog-Meldungen für die Quell-IP-Adresse (192.168.1.50) oder die Ziel-IP-Adresse (172.22.1.1). Die Filterung von Syslog-Meldungen über die Befehlszeile ähnelt der Protokollierung anzeigen | Include 192.168.1.50 oder show logging | einschließlich 172.22.1.1. In diesem Beispiel wird der Befehl show logging ohne Filter verwendet. Die Ausgabe wird unterdrückt, um das Lesen zu erleichtern.

    ciscoasa#show logging

!--- Output is suppressed.

%ASA-7-609001: Built local-host inside:192.168.1.50
%ASA-7-609001: Built local-host outside:172.22.1.1
%ASA-6-305011: Built dynamic TCP translation from inside:192.168.1.50/1107 
to outside:172.22.1.254/1025
%ASA-6-302013: Built outbound TCP connection 90 for outside:172.22.1.1/80 
(172.22.1.1/80) to inside:192.168.1.50/1107 (172.22.1.254/1025)
%ASA-6-302014: Teardown TCP connection 90 for outside:172.22.1.1/80 
to inside:192.168.1.50/1107 duration 0:00:30 bytes 0 SYN Timeout
%ASA-7-609002: Teardown local-host outside:172.22.1.1 duration 0:00:30
%ASA-6-305012: Teardown dynamic TCP translation from inside:192.168.1.50/1107 
to outside:172.22.1.254/1025 duration 0:01:00
%ASA-7-609002: Teardown local-host inside:192.168.1.50 duration 0:01:00

    Die Syslog-Meldung zeigt an, dass die Verbindung aufgrund des SYN-Timeouts geschlossen wurde. Dem Administrator wird mitgeteilt, dass keine Antworten des Anwendungs-X-Servers von der ASA empfangen wurden. Die Gründe für das Abbrechen der Syslog-Nachricht können variieren.

    Das SYN-Timeout wird protokolliert, weil nach 30 Sekunden, die nach dem Drei-Wege-Handshake-Abschluss auftreten, eine erzwungene Verbindungsbeendigung vorliegt. Dieses Problem tritt in der Regel dann auf, wenn der Server auf eine Verbindungsanforderung nicht reagiert und in den meisten Fällen nicht mit der Konfiguration auf PIX/ASA in Zusammenhang steht.

    Informationen zur Behebung dieses Problems finden Sie in der folgenden Checkliste:

    1. Stellen Sie sicher, dass der statische Befehl korrekt eingegeben wurde und sich nicht mit anderen statischen Befehlen überschneidet, z. B.

      static (inside,outside) x.x.x.x  y.y.y.y netmask 255.255.255.255

      Die statische NAT in ASA 8.3 und höher kann wie folgt konfiguriert werden:

      object network obj-y.y.y.y
 host y.y.y.y
 nat (inside,outside) static x.x.x.x

    2. Stellen Sie sicher, dass eine Zugriffsliste vorhanden ist, um von außen Zugriff auf die globale IP-Adresse zu ermöglichen, und dass diese an die Schnittstelle gebunden ist:

      access-list OUTSIDE_IN extended permit tcp any host x.x.x.x eq www
access-group OUTSIDE_IN in interface outside

    3. Für eine erfolgreiche Verbindung mit dem Server muss das Standard-Gateway auf die DMZ-Schnittstelle von PIX/ASA verweisen.

    Weitere Informationen zu den Syslog-Meldungen finden Sie unter ASA-Systemmeldungen.

  • Erstellen eines neuen Erfassungsfilters

    Aus zuvor erfassten Datenverkehr- und Syslog-Meldungen weiß der Administrator, dass Anwendung X die ASA über die externe Schnittstelle verlassen sollte.

    ciscoasa(config)#access-list outside_test permit tcp any host 172.22.1.1 eq 80

!--- When you leave the source as 'any', it allows !--- the administrator to monitor any network address translation (NAT).

ciscoasa(config)#access-list outside_test permit tcp host 172.22.1.1 eq 80 any

!--- When you reverse the source and destination information, !--- it allows return traffic to be captured.

ciscoasa(config)#capture outside_interface access-list outside_test interface outside

    Der Benutzer muss eine neue Sitzung mit Anwendung X starten. Nachdem der Benutzer eine neue Sitzung der Anwendung X initiiert hat, muss der ASA-Administrator den Befehl show capture outside_interface auf der ASA eingeben.

    ciscoasa(config)#show capture outside_interface
3 packets captured
   1: 16:15:34.278870 172.22.1.254.1026 > 172.22.1.1.80: 
S 1676965539:1676965539(0) win 65535 <mss 1380,nop,nop,sackOK>
   2: 16:15:44.969630 172.22.1.254.1027 > 172.22.1.1.80: 
S 990150551:990150551(0) win 65535 <mss 1380,nop,nop,sackOK>
   3: 16:15:47.898619 172.22.1.254.1027 > 172.22.1.1.80: 
S 990150551:990150551(0) win 65535 <mss 1380,nop,nop,sackOK>
3 packets shown

    Die Erfassung zeigt Datenverkehr, der die externe Schnittstelle verlässt, jedoch keinen Antwortverkehr vom Server 172.22.1.1 an. Diese Erfassung zeigt die Daten beim Verlassen der ASA.

  • Verwenden Sie die Option zur Paketverfolgung.

    Aus den vorherigen Abschnitten hat der ASA-Administrator ausreichend Informationen zur Verwendung der Paket-Tracer-Option in der ASA erhalten.

    Hinweis: ASA unterstützt den Befehl Packet-Tracer ab Version 7.2.

    ciscoasa#packet-tracer input inside tcp 192.168.1.50 1025 172.22.1.1 http

!--- This line indicates a source port of 1025. If the source !--- port is not known, any number can be used. !--- More common source ports typically range !--- between 1025 and 65535.

Phase: 1
Type: CAPTURE
Subtype: 
Result: ALLOW
Config:
Additional Information:
MAC Access list

Phase: 2
Type: ACCESS-LIST
Subtype: 
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 3
Type: FLOW-LOOKUP
Subtype: 
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow
              
Phase: 4
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   172.22.1.0      255.255.255.0   outside

Phase: 5
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group inside_acl in interface inside
access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq www 
Additional Information:

Phase: 6
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:
              
Phase: 7
Type: CAPTURE
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 8
Type: NAT
Subtype: 
Result: ALLOW
Config:
nat (inside) 1 192.168.1.0 255.255.255.0
  match ip inside 192.168.1.0 255.255.255.0 outside any
    dynamic translation to pool 1 (172.22.1.254)
    translate_hits = 6, untranslate_hits = 0
Additional Information:
Dynamic translate 192.168.1.50/1025 to 172.22.1.254/1028 
using netmask 255.255.255.255

Phase: 9
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:       
nat (inside) 1 192.168.1.0 255.255.255.0
  match ip inside 192.168.1.0 255.255.255.0 outside any
    dynamic translation to pool 1 (172.22.1.254)
    translate_hits = 6, untranslate_hits = 0
Additional Information:

Phase: 10
Type: CAPTURE
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 11
Type: CAPTURE
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 12
Type: IP-OPTIONS
Subtype: 
Result: ALLOW 
Config:
Additional Information:

Phase: 13
Type: CAPTURE
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 14
Type: FLOW-CREATION
Subtype: 
Result: ALLOW
Config:
Additional Information:
New flow created with id 94, packet dispatched to next module

Phase: 15
Type: ROUTE-LOOKUP
Subtype: output and adjacency
Result: ALLOW
Config:
Additional Information:
found next-hop 172.22.1.1 using egress ifc outside
adjacency Active
next-hop mac address 0030.a377.f854 hits 11

!--- The MAC address is at Layer 2 of the OSI model. !--- This tells the administrator the next host !--- that should receive the data packet.


Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow

    Die wichtigste Ausgabe des Befehls "packet-tracer" ist die letzte Zeile, nämlich "Action: allow".

Die drei Optionen in Schritt 3 zeigen dem Administrator jeweils, dass die ASA nicht für die Probleme mit Anwendung X verantwortlich ist. Der Datenverkehr der Anwendung X verlässt die ASA, und die ASA erhält keine Antwort vom Server der Anwendung X.

Nächste Schritte

Es gibt viele Komponenten, die es der Anwendung X ermöglichen, für Benutzer richtig zu funktionieren. Zu den Komponenten gehören der Computer des Benutzers, der Client-X der Anwendung, das Routing, Zugriffsrichtlinien und der Server-X der Anwendung. Im vorherigen Beispiel haben wir bewiesen, dass die ASA den Datenverkehr von Anwendung X empfängt und weiterleitet. Server- und Anwendungs-X-Administratoren sollten sich jetzt beteiligen. Administratoren sollten überprüfen, ob die Anwendungsdienste ausgeführt werden, alle Protokolle auf dem Server überprüfen und sicherstellen, dass der Datenverkehr des Benutzers vom Server und der Anwendung X empfangen wird.

Problem: TCP-Proxy-Verbindungsfehlermeldung wird beendet

Sie erhalten folgende Fehlermeldung:

%PIX|ASA-5-507001: Terminating TCP-Proxy connection from 
interface_inside:source_address/source_port to interface_outside:dest_address/dest_port - 
reassembly limit of limit bytes exceeded

Lösung

Erläuterung: Diese Meldung wird angezeigt, wenn der Grenzwert für den Reassemblierungspuffer während der Assemblierung von TCP-Segmenten überschritten wird.

  • source_address/source_port - Die Quell-IP-Adresse und der Quell-Port des Pakets, das die Verbindung initiiert.

  • dest_address/dest_port - Die Ziel-IP-Adresse und der Ziel-Port des Pakets, das die Verbindung initiiert.

  • interface_inside - Der Name der Schnittstelle, an der das Paket ankommt, das die Verbindung initiiert hat.

  • interface_outside - Der Name der Schnittstelle, auf der das Paket, das die Verbindung initiiert hat, beendet wird.

  • limit - Die konfigurierte embryonale Verbindungsgrenze für die Datenverkehrsklasse.

Die Lösung für dieses Problem besteht darin, die RTSP-Prüfung in der Sicherheits-Appliance wie dargestellt zu deaktivieren.

policy-map global_policy
 class inspection_default
  inspect dns migrated_dns_map_1 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  no inspect rtsp

Weitere Informationen finden Sie unter Cisco Bug ID CSCsl1529 (nur für registrierte Kunden).

Problem: "%ASA-6-110003: Routing konnte den nächsten Hop für Protokoll von der src-Schnittstelle nicht finden" Fehlermeldung

ASA verwirft Datenverkehr mit folgendem Fehler:%ASA-6-110003: Beim Routing wurde der nächste Hop für das Protokoll von der src-Schnittstelle:src IP/src-Port zur dest-Schnittstelle:dest IP/dest-Port-Fehlermeldung nicht gefunden.

Lösung

Dieser Fehler tritt auf, wenn die ASA versucht, den nächsten Hop in einer Schnittstellen-Routing-Tabelle zu finden. In der Regel wird diese Nachricht empfangen, wenn ASA eine Übersetzung (Xlate) für eine Schnittstelle und eine Route hat, die auf eine andere Schnittstelle verweist. Überprüfen Sie die NAT-Anweisungen auf fehlerhafte Konfigurationen. Durch Beheben der Fehlkonfiguration kann der Fehler behoben werden.

Problem: Von ASA blockierte Verbindung mit " %ASA-5-305013: Asymmetrische NAT-Regeln für Vorwärts- und Rückwärtsflüsse abgeglichen" Fehlermeldung

Die Verbindung wird von der ASA blockiert, und es wird folgende Fehlermeldung empfangen:

%ASA-5-305013: Asymmetric NAT rules matched for forward
	 and reverse flows; Connection protocol src
	 interface_name:source_address/source_port dest
	 interface_name:dest_address/dest_port denied due to NAT reverse path
	 failure.

Lösung

Bei der Ausführung der NAT versucht die ASA außerdem, das Paket umzukehren und überprüft, ob eine Übersetzung vorliegt. Wenn keine oder eine andere NAT-Übersetzung erkannt wird, liegt eine Diskrepanz vor. Diese Fehlermeldung wird am häufigsten angezeigt, wenn unterschiedliche NAT-Regeln für ausgehenden und eingehenden Datenverkehr mit derselben Quelle und demselben Ziel konfiguriert sind. Prüfen Sie die NAT-Anweisung für den betreffenden Datenverkehr.

Problem: Empfangsfehler - %ASA-5-321001: Grenzwert für Ressourcen-"Verbindungen" von 10000 für System erreicht

Lösung

Dieser Fehler bedeutet, dass die maximale Anzahl von Verbindungen für einen Server auf einer ASA erreicht wurde. Dies könnte ein Hinweis auf einen DoS-Angriff auf einen Server in Ihrem Netzwerk sein. Verwenden Sie MPF auf der ASA, und reduzieren Sie den Grenzwert für embryonale Verbindungen. Aktivieren Sie außerdem Dead Connection Detection (DCD). Weitere Informationen finden Sie in diesem Konfigurationsausschnitt:

class-map limit
 match access-list limit
!
policy-map global_policy
 class limit
  set connection embryonic-conn-max 50
  set connection timeout embryonic 0:00:10 dcd
!
access-list limit line 1 extended permit tcp any host x.x.x.x

Problem: Empfangsfehler %PIX-1-106021: TCP/UDP-Rückwärtspfadüberprüfung von src_addr zu dest_addr auf Schnittstelle int_name ablehnen

Lösung

Diese Protokollmeldung wird empfangen, wenn die umgekehrte Pfadüberprüfung aktiviert ist. Führen Sie diesen Befehl aus, um das Problem zu beheben und die Rückwärtspfadüberprüfung zu deaktivieren:

no ip verify reverse-path interface

Problem: Unterbrechung der Internetverbindung aufgrund von Bedrohungserkennung

Diese Fehlermeldung wird auf dem ASA-Gerät empfangen:

%ASA-4-733100: [Miralix Licen 3000] drop rate-1 exceeded. Current burst
rate is 100 per second, max configured rate is 10; Current average rate is 4
per second, max configured rate is 5; Cumulative total count is 2526

Lösung

Diese Meldung wird von der Bedrohungserkennung aufgrund der Standardkonfiguration generiert, wenn ein ungewöhnliches Datenverkehrsverhalten erkannt wird. Die Nachricht konzentriert sich auf Miralix License 3000, einen TCP/UDP-Port. Suchen Sie das Gerät, das Port 3000 verwendet. Überprüfen Sie die grafischen ASDM-Statistiken auf Bedrohungserkennung, und überprüfen Sie die häufigsten Angriffe, um festzustellen, ob Port 3000 und die Quell-IP-Adresse angezeigt werden. Wenn es sich um ein legitimes Gerät handelt, können Sie die einfache Bedrohungserkennungsrate auf ASA erhöhen, um diese Fehlermeldung zu beheben.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
17-Oct-2006
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.