Este documento proporciona ideas y sugerencias de Troubleshooting para cuando utilice Cisco ASA 5500 Series Adaptive Security Appliance (ASA) y Cisco PIX 500 Series Security Appliance. Con frecuencia, cuando las aplicaciones o las fuentes de red se rompen o no están disponibles, los firewalls (PIX o ASA) tienden a ser un objetivo principal y se les culpa como la causa de las interrupciones. Con algunas pruebas en ASA o PIX, un administrador puede determinar si ASA/PIX causa o no el problema.
Consulte PIX/ASA: Establecer y Resolver Problemas de Conectividad a través del Dispositivo de Seguridad de Cisco para aprender más sobre la resolución de problemas relacionada con la interfaz en los dispositivos de seguridad de Cisco.
Nota: Este documento se centra en ASA y PIX. Una vez que se haya completado la resolución de problemas en ASA o PIX, es probable que sea necesario realizar una resolución de problemas adicional con otros dispositivos (routers, switches, servidores, etc.).
No hay requisitos específicos para este documento.
La información de este documento se basa en Cisco ASA 5510 con OS 7.2.1 y 8.3.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
Este documento también puede utilizarse con estas versiones de software y hardware:
ASA y PIX OS 7.0, 7.1, 8.3 y posterior
Firewall Services Module (FWSM) 2.2, 2.3 y 3.1
Nota: La sintaxis y los comandos específicos pueden variar según la versión del software.
El ejemplo asume que ASA o PIX está en producción. La configuración de ASA/PIX puede ser relativamente simple (sólo 50 líneas de configuración) o compleja (cientos o miles de líneas de configuración). Los usuarios (clientes) o los servidores pueden encontrarse en una red segura (interna) o en una red no segura (DMZ o externa).
ASA comienza con esta configuración. La configuración está pensada para dar al laboratorio un punto de referencia.
Configuración inicial de ASA |
---|
ciscoasa#show running-config : Saved : ASA Version 7.2(1) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0/0 nameif outside security-level 0 ip address 172.22.1.160 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Ethernet0/2 nameif dmz security-level 50 ip address 10.1.1.1 255.255.255.0 ! interface Management0/0 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive access-list outside_acl extended permit tcp any host 172.22.1.254 eq www access-list inside_acl extended permit icmp 192.168.1.0 255.255.255.0 any access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq www access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq telnet pager lines 24 mtu outside 1500 mtu inside 1500 mtu dmz 1500 no asdm history enable arp timeout 14400 global (outside) 1 172.22.1.253 nat (inside) 1 192.168.1.0 255.255.255.0 !--- The above NAT statements are replaced by the following statements !--- for ASA 8.3 and later. object network obj-192.168.1.0 subnet 192.168.1.0 255.255.255.0 nat (inside,outside) dynamic 172.22.1.253 static (inside,outside) 192.168.1.100 172.22.1.254 netmask 255.255.255.255 !--- The above Static NAT statement is replaced by the following statements !--- for ASA 8.3 and later. object network obj-172.22.1.254 host 172.22.1.254 nat (inside,outside) static 192.168.1.100 access-group outside_acl in interface outside access-group inside_acl in interface inside timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global prompt hostname context Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e : end |
Un usuario se pone en contacto con el departamento de TI e informa de que la aplicación X ya no funciona. El incidente se deriva al administrador ASA/PIX. El administrador tiene poco conocimiento de esta aplicación en particular. Con el uso de ASA/PIX, el administrador descubre qué puertos y protocolos utiliza la aplicación X, así como cuál podría ser la causa del problema.
El administrador de ASA/PIX necesita recopilar tanta información del usuario como sea posible. La información útil incluye:
Dirección IP de origen: suele ser la estación de trabajo o el ordenador del usuario.
Dirección IP de destino: la dirección IP del servidor a la que el usuario o la aplicación intenta conectarse.
Puertos y protocolos que utiliza la aplicación
A menudo, el administrador tiene la suerte de poder obtener una respuesta a una de estas preguntas. En este ejemplo, el administrador no puede recopilar ninguna información. Una revisión de los mensajes de syslog ASA/PIX es ideal, pero es difícil localizar el problema si el administrador no sabe qué buscar.
Hay muchas maneras de descubrir la dirección IP del usuario. Este documento trata sobre ASA y PIX, por lo que este ejemplo utiliza ASA y PIX para detectar la dirección IP.
El usuario intenta comunicarse con el ASA/PIX. Esta comunicación puede ser ICMP, Telnet, SSH o HTTP. El protocolo elegido debe tener una actividad limitada en el ASA/PIX. En este ejemplo específico, el usuario hace ping en la interfaz interna del ASA.
El administrador debe configurar una o más de estas opciones y luego hacer que el usuario haga ping en la interfaz interna del ASA.
Syslog
Asegúrese de que el registro está activado. El nivel de registro debe configurarse en debug. El registro se puede enviar a varias ubicaciones. Este ejemplo utiliza el buffer de registro ASA. Es posible que necesite un servidor de registro externo en entornos de producción.
ciscoasa(config)#logging enable ciscoasa(config)#logging buffered debugging
El usuario hace ping en la interfaz interna del ASA (ping 192.168.1.1). Se muestra este resultado.
ciscoasa#show logging !--- Output is suppressed. %ASA-6-302020: Built ICMP connection for faddr 192.168.1.50/512 gaddr 192.168.1.1/0 laddr 192.168.1.1/0 %ASA-6-302021: Teardown ICMP connection for faddr 192.168.1.50/512 gaddr 192.168.1.1/0 laddr 192.168.1.1/0 !--- The user IP address is 192.168.1.50.
Función de captura ASA
El administrador debe crear una lista de acceso que defina qué tráfico debe capturar el ASA. Después de definir la lista de acceso, el comando capture incorpora la lista de acceso y la aplica a una interfaz.
ciscoasa(config)#access-list inside_test permit icmp any host 192.168.1.1 ciscoasa(config)#capture inside_interface access-list inside_test interface inside
El usuario hace ping en la interfaz interna del ASA (ping 192.168.1.1). Se muestra este resultado.
ciscoasa#show capture inside_interface 1: 13:04:06.284897 192.168.1.50 > 192.168.1.1: icmp: echo request !--- The user IP address is 192.168.1.50.
Nota: Para descargar el archivo de captura a un sistema como ethereal, puede hacerlo como muestra esta salida.
!--- Open an Internet Explorer and browse with this https link format: https://[/ ]/capture/ /pcap
Consulte Ejemplo de Configuración de ASA/PIX: Captura de Paquetes Usando CLI y ASDM para saber más sobre la Captura de Paquetes en ASA.
Depurar
El comando debug icmp trace se utiliza para capturar el tráfico ICMP del usuario.
ciscoasa#debug icmp trace
El usuario hace ping en la interfaz interna del ASA (ping 192.168.1.1). Este resultado se muestra en la consola.
ciscoasa# !--- Output is suppressed. ICMP echo request from 192.168.1.50 to 192.168.1.1 ID=512 seq=5120 len=32 ICMP echo reply from 192.168.1.1 to 192.168.1.50 ID=512 seq=5120 len=32 !--- The user IP address is 192.168.1.50.
Para inhabilitar debug icmp trace, utilice uno de estos comandos:
no debug icmp trace
undebug icmp trace
undebug all, Undebug all o un all
Estas tres opciones ayudan al administrador a determinar la dirección IP de origen. En este ejemplo, la dirección IP de origen del usuario es 192.168.1.50. El administrador está listo para obtener más información sobre la aplicación X y determinar la causa del problema.
Con referencia a la información enumerada en la sección Paso 1 de este documento, el administrador ahora conoce el origen de una sesión X de la aplicación. El administrador está listo para obtener más información acerca de la aplicación X y para comenzar a buscar dónde pueden estar los problemas.
El administrador de ASA/PIX necesita preparar el ASA para al menos una de estas sugerencias listadas. Una vez que el administrador está listo, el usuario inicia la aplicación X y limita todas las demás actividades, ya que la actividad adicional del usuario puede causar confusión o inducir a error al administrador de ASA/PIX.
Supervisar mensajes de syslog.
Busque la dirección IP de origen del usuario que encontró en el Paso 1. El usuario inicia la aplicación X. El administrador de ASA ejecuta el comando show logging y visualiza el resultado.
ciscoasa#show logging !--- Output is suppressed. %ASA-7-609001: Built local-host inside:192.168.1.50 %ASA-6-305011: Built dynamic TCP translation from inside:192.168.1.50/1107 to outside:172.22.1.254/1025 %ASA-6-302013: Built outbound TCP connection 90 for outside:172.22.1.1/80 (172.22.1.1/80) to inside:192.168.1.50/1107 (172.22.1.254/1025)
Los registros revelan que la dirección IP de destino es 172.22.1.1, que el protocolo es TCP, que el puerto de destino es HTTP/80 y que el tráfico se envía a la interfaz externa.
Modifique los filtros de captura.
El comando access-list inside_test se utilizó anteriormente y se utiliza aquí.
ciscoasa(config)#access-list inside_test permit ip host 192.168.1.50 any !--- This ACL line captures all traffic from 192.168.1.50 !--- that goes to or through the ASA. ciscoasa(config)#access-list inside_test permit ip any host 192.168.1.50 any !--- This ACL line captures all traffic that leaves !--- the ASA and goes to 192.168.1.50. ciscoasa(config)#no access-list inside_test permit icmp any host 192.168.1.1 ciscoasa(config)#clear capture inside_interface !--- Clears the previously logged data. !--- The no capture inside_interface removes/deletes the capture.
El usuario inicia la aplicación X. El administrador de ASA entonces ejecuta el comando show capture inside_interface y visualiza el resultado.
ciscoasa(config)#show capture inside_interface 1: 15:59:42.749152 192.168.1.50.1107 > 172.22.1.1.80: S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK> 2: 15:59:45.659145 192.168.1.50.1107 > 172.22.1.1.80: S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK> 3: 15:59:51.668742 192.168.1.50.1107 > 172.22.1.1.80: S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK>
El tráfico capturado proporciona al administrador varios datos valiosos:
Dirección de destino: 172.22.1.1
Número de puerto: 80/http
Protocolo: TCP (observe el indicador "S" o syn)
Además, el administrador también sabe que el tráfico de datos para la aplicación X llega al ASA.
Si el resultado fue este resultado del comando show capture inside_interface, entonces el tráfico de la aplicación nunca llegó al ASA o el filtro de captura no se configuró para capturar el tráfico:
ciscoasa#show capture inside_interface 0 packet captured 0 packet shown
En este caso, el administrador debe considerar investigar el equipo del usuario y cualquier router u otros dispositivos de red en la trayectoria entre el equipo del usuario y el ASA.
Nota: Cuando el tráfico llega a una interfaz, el comando capture registra los datos antes de que cualquier política de seguridad de ASA analice el tráfico. Por ejemplo, una lista de acceso deniega todo el tráfico entrante en una interfaz. El comando capture aún registra el tráfico. A continuación, la política de seguridad de ASA analiza el tráfico.
Depurar
El administrador no está familiarizado con la aplicación X y, por lo tanto, no sabe cuál de los servicios de depuración habilitar para la investigación de la aplicación X. Debug podría no ser la mejor opción de troubleshooting en este momento.
Con la información recopilada en el paso 2, el administrador de ASA obtiene varios bits de información valiosa. El administrador sabe que el tráfico llega a la interfaz interna del ASA, la dirección IP de origen, la dirección IP de destino y la aplicación de servicio que utiliza X (TCP/80). A partir de los registros del sistema, el administrador también sabe que la comunicación se permitió inicialmente.
El administrador de ASA desea confirmar que el tráfico X de la aplicación ha salido del ASA, así como supervisar cualquier tráfico de retorno del servidor X de la aplicación.
Supervisar mensajes de syslog.
Filtre los mensajes de syslog para la dirección IP de origen (192.168.1.50) o la dirección IP de destino (172.22.1.1). Desde la línea de comandos, el filtrado de los mensajes de syslog se parece a show logging | include 192.168.1.50 or show logging | incluir 172.22.1.1. En este ejemplo, el comando show logging se utiliza sin filtros. La salida se suprime para facilitar la lectura.
ciscoasa#show logging !--- Output is suppressed. %ASA-7-609001: Built local-host inside:192.168.1.50 %ASA-7-609001: Built local-host outside:172.22.1.1 %ASA-6-305011: Built dynamic TCP translation from inside:192.168.1.50/1107 to outside:172.22.1.254/1025 %ASA-6-302013: Built outbound TCP connection 90 for outside:172.22.1.1/80 (172.22.1.1/80) to inside:192.168.1.50/1107 (172.22.1.254/1025) %ASA-6-302014: Teardown TCP connection 90 for outside:172.22.1.1/80 to inside:192.168.1.50/1107 duration 0:00:30 bytes 0 SYN Timeout %ASA-7-609002: Teardown local-host outside:172.22.1.1 duration 0:00:30 %ASA-6-305012: Teardown dynamic TCP translation from inside:192.168.1.50/1107 to outside:172.22.1.254/1025 duration 0:01:00 %ASA-7-609002: Teardown local-host inside:192.168.1.50 duration 0:01:00
El mensaje syslog indica que la conexión se cerró debido a la falta de tiempo de espera SYN. Esto indica al administrador que ASA no recibió respuestas del servidor X de la aplicación. Las razones de terminación de los mensajes de Syslog pueden variar.
El tiempo de espera SYN se registra debido a una terminación forzada de la conexión después de 30 segundos que ocurre después de la finalización del protocolo de enlace de tres vías. Este problema ocurre generalmente si el servidor no puede responder a una solicitud de conexión y, en la mayoría de los casos, no está relacionado con la configuración en PIX/ASA.
Para resolver este problema, consulte esta lista de comprobación:
Asegúrese de que el comando static se ha escrito correctamente y de que no se superpone con otros comandos estáticos, por ejemplo,
static (inside,outside) x.x.x.x y.y.y.y netmask 255.255.255.255
La NAT estática en ASA 8.3 y versiones posteriores se puede configurar como se muestra aquí:
object network obj-y.y.y.y host y.y.y.y nat (inside,outside) static x.x.x.x
Asegúrese de que exista una lista de acceso para permitir el acceso a la dirección IP global desde el exterior y que esté vinculada a la interfaz:
access-list OUTSIDE_IN extended permit tcp any host x.x.x.x eq www access-group OUTSIDE_IN in interface outside
Para una conexión exitosa con el servidor, la gateway predeterminada en el servidor debe apuntar hacia la interfaz DMZ de PIX/ASA.
Consulte Mensajes del Sistema ASA para obtener más información sobre los mensajes de syslog.
Cree un nuevo filtro de captura.
A partir del tráfico capturado anteriormente y de los mensajes de syslog, el administrador sabe que la aplicación X debería salir del ASA a través de la interfaz externa.
ciscoasa(config)#access-list outside_test permit tcp any host 172.22.1.1 eq 80 !--- When you leave the source as 'any', it allows !--- the administrator to monitor any network address translation (NAT). ciscoasa(config)#access-list outside_test permit tcp host 172.22.1.1 eq 80 any !--- When you reverse the source and destination information, !--- it allows return traffic to be captured. ciscoasa(config)#capture outside_interface access-list outside_test interface outside
El usuario debe iniciar una nueva sesión con la aplicación X. Después de que el usuario haya iniciado una nueva sesión X de la aplicación, el administrador de ASA necesita ejecutar el comando show capture outside_interface en ASA.
ciscoasa(config)#show capture outside_interface 3 packets captured 1: 16:15:34.278870 172.22.1.254.1026 > 172.22.1.1.80: S 1676965539:1676965539(0) win 65535 <mss 1380,nop,nop,sackOK> 2: 16:15:44.969630 172.22.1.254.1027 > 172.22.1.1.80: S 990150551:990150551(0) win 65535 <mss 1380,nop,nop,sackOK> 3: 16:15:47.898619 172.22.1.254.1027 > 172.22.1.1.80: S 990150551:990150551(0) win 65535 <mss 1380,nop,nop,sackOK> 3 packets shown
La captura muestra el tráfico que sale de la interfaz externa pero no muestra ningún tráfico de respuesta del servidor 172.22.1.1. Esta captura muestra los datos cuando salen del ASA.
Utilice la opción packet-tracer.
En las secciones anteriores, el administrador de ASA ha aprendido suficiente información para utilizar la opción packet-tracer en ASA.
Nota: ASA soporta el comando packet-tracer a partir de la versión 7.2.
ciscoasa#packet-tracer input inside tcp 192.168.1.50 1025 172.22.1.1 http !--- This line indicates a source port of 1025. If the source !--- port is not known, any number can be used. !--- More common source ports typically range !--- between 1025 and 65535. Phase: 1 Type: CAPTURE Subtype: Result: ALLOW Config: Additional Information: MAC Access list Phase: 2 Type: ACCESS-LIST Subtype: Result: ALLOW Config: Implicit Rule Additional Information: MAC Access list Phase: 3 Type: FLOW-LOOKUP Subtype: Result: ALLOW Config: Additional Information: Found no matching flow, creating a new flow Phase: 4 Type: ROUTE-LOOKUP Subtype: input Result: ALLOW Config: Additional Information: in 172.22.1.0 255.255.255.0 outside Phase: 5 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group inside_acl in interface inside access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq www Additional Information: Phase: 6 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 7 Type: CAPTURE Subtype: Result: ALLOW Config: Additional Information: Phase: 8 Type: NAT Subtype: Result: ALLOW Config: nat (inside) 1 192.168.1.0 255.255.255.0 match ip inside 192.168.1.0 255.255.255.0 outside any dynamic translation to pool 1 (172.22.1.254) translate_hits = 6, untranslate_hits = 0 Additional Information: Dynamic translate 192.168.1.50/1025 to 172.22.1.254/1028 using netmask 255.255.255.255 Phase: 9 Type: NAT Subtype: host-limits Result: ALLOW Config: nat (inside) 1 192.168.1.0 255.255.255.0 match ip inside 192.168.1.0 255.255.255.0 outside any dynamic translation to pool 1 (172.22.1.254) translate_hits = 6, untranslate_hits = 0 Additional Information: Phase: 10 Type: CAPTURE Subtype: Result: ALLOW Config: Additional Information: Phase: 11 Type: CAPTURE Subtype: Result: ALLOW Config: Additional Information: Phase: 12 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 13 Type: CAPTURE Subtype: Result: ALLOW Config: Additional Information: Phase: 14 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 94, packet dispatched to next module Phase: 15 Type: ROUTE-LOOKUP Subtype: output and adjacency Result: ALLOW Config: Additional Information: found next-hop 172.22.1.1 using egress ifc outside adjacency Active next-hop mac address 0030.a377.f854 hits 11 !--- The MAC address is at Layer 2 of the OSI model. !--- This tells the administrator the next host !--- that should receive the data packet. Result: input-interface: inside input-status: up input-line-status: up output-interface: outside output-status: up output-line-status: up Action: allow
El resultado más importante del comando packet-tracer es la última línea, que es Action: allow.
Las tres opciones del paso 3 muestran al administrador que ASA no es responsable de los problemas de la aplicación X. El tráfico X de la aplicación abandona el ASA y el ASA no recibe una respuesta del servidor X de la aplicación.
Hay muchos componentes que permiten que la aplicación X funcione correctamente para los usuarios. Los componentes incluyen el equipo del usuario, el cliente X de la aplicación, el enrutamiento, las directivas de acceso y el servidor X de la aplicación. En el ejemplo anterior, se demostró que ASA recibe y reenvía el tráfico X de la aplicación. Los administradores del servidor y de la aplicación X deben participar ahora. Los administradores deben comprobar que los servicios de aplicación se están ejecutando, revisar los registros del servidor y comprobar que el servidor y la aplicación X reciben el tráfico del usuario.
Recibe este mensaje de error:
%PIX|ASA-5-507001: Terminating TCP-Proxy connection from interface_inside:source_address/source_port to interface_outside:dest_address/dest_port - reassembly limit of limit bytes exceeded
Explicación: Este mensaje aparece cuando se supera el límite del búfer de reensamblado durante el montaje de segmentos TCP.
source_address/source_port: Dirección IP de origen y puerto de origen del paquete que inicia la conexión.
dest_address/dest_port: Dirección IP de destino y puerto de destino del paquete que inicia la conexión.
interface_inside: el nombre de la interfaz en la que llega el paquete que inició la conexión.
interface_outside: nombre de la interfaz en la que sale el paquete que inició la conexión.
limit - El límite de conexiones embrionarias configurado para la clase de tráfico.
La solución para este problema es inhabilitar la inspección RTSP en el dispositivo de seguridad como se muestra.
policy-map global_policy class inspection_default inspect dns migrated_dns_map_1 inspect ftp inspect h323 h225 inspect h323 ras inspect rsh no inspect rtsp
Consulte Cisco bug ID CSCsl15229 (sólo clientes registrados) para obtener más detalles.
ASA descarta el tráfico con el error:%ASA-6-110003: El ruteo no pudo localizar el siguiente salto para el protocolo de la interfaz src:puerto src IP/src a la interfaz dest:mensaje de error del puerto dest IP/dest.
Este error ocurre cuando el ASA intenta encontrar el salto siguiente en una tabla de ruteo de interfaz. Normalmente, este mensaje se recibe cuando ASA tiene una traducción (xlate) construida en una interfaz y una ruta que señala una interfaz diferente. Verifique si hay un error de configuración en las sentencias NAT. La resolución del error de configuración puede resolver el error.
ASA bloquea la conexión y se recibe este mensaje de error:
%ASA-5-305013: Asymmetric NAT rules matched for forward and reverse flows; Connection protocol src interface_name:source_address/source_port dest interface_name:dest_address/dest_port denied due to NAT reverse path failure.
Cuando se realiza la NAT, ASA también intenta invertir el paquete y verifica si esto llega a alguna traducción. Si no llega a ninguna traducción NAT o a una traducción NAT diferente, entonces hay una discordancia. Normalmente, aparece este mensaje de error cuando hay diferentes reglas NAT configuradas para el tráfico saliente y entrante con el mismo origen y destino. Verifique la sentencia NAT para el tráfico en cuestión.
Este error significa que las conexiones para un servidor ubicado a través de un ASA han alcanzado su límite máximo. Esto podría indicar un ataque de DoS a un servidor de su red. Utilice MPF en el ASA y reduzca el límite de conexiones embrionarias. Además, habilite Dead Connection Detection (DCD). Consulte este fragmento de configuración:
class-map limit match access-list limit ! policy-map global_policy class limit set connection embryonic-conn-max 50 set connection timeout embryonic 0:00:10 dcd ! access-list limit line 1 extended permit tcp any host x.x.x.x
Este mensaje de registro se recibe cuando se habilita la verificación de la ruta inversa. Ejecute este comando para resolver el problema y desactivar la verificación de trayectoria inversa:
no ip verify reverse-path interface
Este mensaje de error se recibe en el ASA:
%ASA-4-733100: [Miralix Licen 3000] drop rate-1 exceeded. Current burst rate is 100 per second, max configured rate is 10; Current average rate is 4 per second, max configured rate is 5; Cumulative total count is 2526
Este mensaje lo genera la detección de amenazas debido a la configuración predeterminada cuando se detecta un comportamiento de tráfico anómalo. El mensaje se centra en la licencia Miralix 3000, que es un puerto TCP/UDP. Localice el dispositivo que está utilizando el puerto 3000. Verifique las estadísticas gráficas de ASDM para la detección de amenazas y verifique los principales ataques para ver si muestra el puerto 3000 y la dirección IP de origen. Si se trata de un dispositivo legítimo, puede aumentar la tasa básica de detección de amenazas en ASA para resolver este mensaje de error.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
17-Oct-2006 |
Versión inicial |