Resolución de problemas de conexiones mediante PIX y ASA

Opciones de descarga

  • PDF     (313.8 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (100.1 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (106.4 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:1 de septiembre de 2011
ID del documento:71871

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento proporciona ideas y sugerencias de Troubleshooting para cuando utilice Cisco ASA 5500 Series Adaptive Security Appliance (ASA) y Cisco PIX 500 Series Security Appliance. Con frecuencia, cuando las aplicaciones o las fuentes de red se rompen o no están disponibles, los firewalls (PIX o ASA) tienden a ser un objetivo principal y se les culpa como la causa de las interrupciones. Con algunas pruebas en ASA o PIX, un administrador puede determinar si ASA/PIX causa o no el problema.

Consulte PIX/ASA: Establecer y Resolver Problemas de Conectividad a través del Dispositivo de Seguridad de Cisco para aprender más sobre la resolución de problemas relacionada con la interfaz en los dispositivos de seguridad de Cisco.

Nota: Este documento se centra en ASA y PIX. Una vez que se haya completado la resolución de problemas en ASA o PIX, es probable que sea necesario realizar una resolución de problemas adicional con otros dispositivos (routers, switches, servidores, etc.).

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

La información de este documento se basa en Cisco ASA 5510 con OS 7.2.1 y 8.3.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Productos Relacionados

Este documento también puede utilizarse con estas versiones de software y hardware:

  • ASA y PIX OS 7.0, 7.1, 8.3 y posterior

  • Firewall Services Module (FWSM) 2.2, 2.3 y 3.1

Nota: La sintaxis y los comandos específicos pueden variar según la versión del software.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Antecedentes

El ejemplo asume que ASA o PIX está en producción. La configuración de ASA/PIX puede ser relativamente simple (sólo 50 líneas de configuración) o compleja (cientos o miles de líneas de configuración). Los usuarios (clientes) o los servidores pueden encontrarse en una red segura (interna) o en una red no segura (DMZ o externa).

asa-pix-troubleshooting-1.gif

ASA comienza con esta configuración. La configuración está pensada para dar al laboratorio un punto de referencia.

Configuración inicial de ASA 
ciscoasa#show running-config
: Saved
:
ASA Version 7.2(1) 
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 172.22.1.160 255.255.255.0 
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 
!
interface Ethernet0/2
 nameif dmz
 security-level 50
 ip address 10.1.1.1 255.255.255.0 
!
interface Management0/0
 shutdown
 no nameif    
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list outside_acl extended permit tcp any host 172.22.1.254 eq www 
access-list inside_acl extended permit icmp 192.168.1.0 255.255.255.0 any 
access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq www 
access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq telnet 
pager lines 24
mtu outside 1500
mtu inside 1500
mtu dmz 1500
no asdm history enable
arp timeout 14400
global (outside) 1 172.22.1.253
nat (inside) 1 192.168.1.0 255.255.255.0



!--- The above NAT statements are replaced by the following statements !--- for ASA 8.3 and later.

object network obj-192.168.1.0
  subnet 192.168.1.0 255.255.255.0
  nat (inside,outside) dynamic 172.22.1.253


static (inside,outside) 192.168.1.100 172.22.1.254 netmask 255.255.255.255 


!--- The above Static NAT statement is replaced by the following statements !--- for ASA 8.3 and later.

object network obj-172.22.1.254
  host 172.22.1.254
  nat (inside,outside) static 192.168.1.100 
access-group outside_acl in interface outside
access-group inside_acl in interface inside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Problema

Un usuario se pone en contacto con el departamento de TI e informa de que la aplicación X ya no funciona. El incidente se deriva al administrador ASA/PIX. El administrador tiene poco conocimiento de esta aplicación en particular. Con el uso de ASA/PIX, el administrador descubre qué puertos y protocolos utiliza la aplicación X, así como cuál podría ser la causa del problema.

Solución

El administrador de ASA/PIX necesita recopilar tanta información del usuario como sea posible. La información útil incluye:

  • Dirección IP de origen: suele ser la estación de trabajo o el ordenador del usuario.

  • Dirección IP de destino: la dirección IP del servidor a la que el usuario o la aplicación intenta conectarse.

  • Puertos y protocolos que utiliza la aplicación

A menudo, el administrador tiene la suerte de poder obtener una respuesta a una de estas preguntas. En este ejemplo, el administrador no puede recopilar ninguna información. Una revisión de los mensajes de syslog ASA/PIX es ideal, pero es difícil localizar el problema si el administrador no sabe qué buscar.

Paso 1: Descubra la dirección IP del usuario

Hay muchas maneras de descubrir la dirección IP del usuario. Este documento trata sobre ASA y PIX, por lo que este ejemplo utiliza ASA y PIX para detectar la dirección IP.

El usuario intenta comunicarse con el ASA/PIX. Esta comunicación puede ser ICMP, Telnet, SSH o HTTP. El protocolo elegido debe tener una actividad limitada en el ASA/PIX. En este ejemplo específico, el usuario hace ping en la interfaz interna del ASA.

El administrador debe configurar una o más de estas opciones y luego hacer que el usuario haga ping en la interfaz interna del ASA.

  • Syslog

    Asegúrese de que el registro está activado. El nivel de registro debe configurarse en debug. El registro se puede enviar a varias ubicaciones. Este ejemplo utiliza el buffer de registro ASA. Es posible que necesite un servidor de registro externo en entornos de producción.

    ciscoasa(config)#logging enable
ciscoasa(config)#logging buffered debugging

    El usuario hace ping en la interfaz interna del ASA (ping 192.168.1.1). Se muestra este resultado.

    ciscoasa#show logging

!--- Output is suppressed.

%ASA-6-302020: Built ICMP connection for faddr 192.168.1.50/512 
gaddr 192.168.1.1/0 laddr 192.168.1.1/0
%ASA-6-302021: Teardown ICMP connection for faddr 192.168.1.50/512 
gaddr 192.168.1.1/0 laddr 192.168.1.1/0

!--- The user IP address is 192.168.1.50.

  • Función de captura ASA

    El administrador debe crear una lista de acceso que defina qué tráfico debe capturar el ASA. Después de definir la lista de acceso, el comando capture incorpora la lista de acceso y la aplica a una interfaz.

    ciscoasa(config)#access-list inside_test permit icmp any host 192.168.1.1
ciscoasa(config)#capture inside_interface access-list inside_test interface inside

    El usuario hace ping en la interfaz interna del ASA (ping 192.168.1.1). Se muestra este resultado.

    ciscoasa#show capture inside_interface
   1: 13:04:06.284897 192.168.1.50 > 192.168.1.1: icmp: echo request

!--- The user IP address is 192.168.1.50.

    Nota: Para descargar el archivo de captura a un sistema como ethereal, puede hacerlo como muestra esta salida.

    
!--- Open an Internet Explorer and browse with this https link format:

https://[
        
        
          / 
         
           ]/capture/ 
          
            /pcap

    Consulte Ejemplo de Configuración de ASA/PIX: Captura de Paquetes Usando CLI y ASDM para saber más sobre la Captura de Paquetes en ASA.

  • Depurar

    El comando debug icmp trace se utiliza para capturar el tráfico ICMP del usuario.

    ciscoasa#debug icmp trace

    El usuario hace ping en la interfaz interna del ASA (ping 192.168.1.1). Este resultado se muestra en la consola.

    ciscoasa# 

!--- Output is suppressed.

ICMP echo request from 192.168.1.50 to 192.168.1.1 ID=512 seq=5120 len=32
ICMP echo reply from 192.168.1.1 to 192.168.1.50 ID=512 seq=5120 len=32

!--- The user IP address is 192.168.1.50.

    Para inhabilitar debug icmp trace, utilice uno de estos comandos:

    • no debug icmp trace

    • undebug icmp trace

    • undebug all, Undebug all o un all

Estas tres opciones ayudan al administrador a determinar la dirección IP de origen. En este ejemplo, la dirección IP de origen del usuario es 192.168.1.50. El administrador está listo para obtener más información sobre la aplicación X y determinar la causa del problema.

Paso 2 - Localizar la causa del problema

Con referencia a la información enumerada en la sección Paso 1 de este documento, el administrador ahora conoce el origen de una sesión X de la aplicación. El administrador está listo para obtener más información acerca de la aplicación X y para comenzar a buscar dónde pueden estar los problemas.

El administrador de ASA/PIX necesita preparar el ASA para al menos una de estas sugerencias listadas. Una vez que el administrador está listo, el usuario inicia la aplicación X y limita todas las demás actividades, ya que la actividad adicional del usuario puede causar confusión o inducir a error al administrador de ASA/PIX.

  • Supervisar mensajes de syslog.

    Busque la dirección IP de origen del usuario que encontró en el Paso 1. El usuario inicia la aplicación X. El administrador de ASA ejecuta el comando show logging y visualiza el resultado.

    ciscoasa#show logging

!--- Output is suppressed.

%ASA-7-609001: Built local-host inside:192.168.1.50
%ASA-6-305011: Built dynamic TCP translation from inside:192.168.1.50/1107 
to outside:172.22.1.254/1025
%ASA-6-302013: Built outbound TCP connection 90 for outside:172.22.1.1/80 
(172.22.1.1/80) to inside:192.168.1.50/1107 (172.22.1.254/1025)

    Los registros revelan que la dirección IP de destino es 172.22.1.1, que el protocolo es TCP, que el puerto de destino es HTTP/80 y que el tráfico se envía a la interfaz externa.

  • Modifique los filtros de captura.

    El comando access-list inside_test se utilizó anteriormente y se utiliza aquí.

    ciscoasa(config)#access-list inside_test permit ip host 192.168.1.50 any

!--- This ACL line captures all traffic from 192.168.1.50 !--- that goes to or through the ASA.

ciscoasa(config)#access-list inside_test permit ip any host 192.168.1.50 any

!--- This ACL line captures all traffic that leaves !--- the ASA and goes to 192.168.1.50.

ciscoasa(config)#no access-list inside_test permit icmp any host 192.168.1.1
ciscoasa(config)#clear capture inside_interface

!--- Clears the previously logged data. !--- The no capture inside_interface removes/deletes the capture.

    El usuario inicia la aplicación X. El administrador de ASA entonces ejecuta el comando show capture inside_interface y visualiza el resultado.

    ciscoasa(config)#show capture inside_interface
1: 15:59:42.749152 192.168.1.50.1107 > 172.22.1.1.80: 
S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK>
2: 15:59:45.659145 192.168.1.50.1107 > 172.22.1.1.80: 
S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK>
3: 15:59:51.668742 192.168.1.50.1107 > 172.22.1.1.80: 
S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK>

    El tráfico capturado proporciona al administrador varios datos valiosos:

    • Dirección de destino: 172.22.1.1

    • Número de puerto: 80/http

    • Protocolo: TCP (observe el indicador "S" o syn)

    Además, el administrador también sabe que el tráfico de datos para la aplicación X llega al ASA.

    Si el resultado fue este resultado del comando show capture inside_interface, entonces el tráfico de la aplicación nunca llegó al ASA o el filtro de captura no se configuró para capturar el tráfico:

    ciscoasa#show capture inside_interface
0 packet captured
0 packet shown

    En este caso, el administrador debe considerar investigar el equipo del usuario y cualquier router u otros dispositivos de red en la trayectoria entre el equipo del usuario y el ASA.

    Nota: Cuando el tráfico llega a una interfaz, el comando capture registra los datos antes de que cualquier política de seguridad de ASA analice el tráfico. Por ejemplo, una lista de acceso deniega todo el tráfico entrante en una interfaz. El comando capture aún registra el tráfico. A continuación, la política de seguridad de ASA analiza el tráfico.

  • Depurar

    El administrador no está familiarizado con la aplicación X y, por lo tanto, no sabe cuál de los servicios de depuración habilitar para la investigación de la aplicación X. Debug podría no ser la mejor opción de troubleshooting en este momento.

Con la información recopilada en el paso 2, el administrador de ASA obtiene varios bits de información valiosa. El administrador sabe que el tráfico llega a la interfaz interna del ASA, la dirección IP de origen, la dirección IP de destino y la aplicación de servicio que utiliza X (TCP/80). A partir de los registros del sistema, el administrador también sabe que la comunicación se permitió inicialmente.

Paso 3: Confirmar y supervisar el tráfico de aplicaciones

El administrador de ASA desea confirmar que el tráfico X de la aplicación ha salido del ASA, así como supervisar cualquier tráfico de retorno del servidor X de la aplicación.

  • Supervisar mensajes de syslog.

    Filtre los mensajes de syslog para la dirección IP de origen (192.168.1.50) o la dirección IP de destino (172.22.1.1). Desde la línea de comandos, el filtrado de los mensajes de syslog se parece a show logging | include 192.168.1.50 or show logging | incluir 172.22.1.1. En este ejemplo, el comando show logging se utiliza sin filtros. La salida se suprime para facilitar la lectura.

    ciscoasa#show logging

!--- Output is suppressed.

%ASA-7-609001: Built local-host inside:192.168.1.50
%ASA-7-609001: Built local-host outside:172.22.1.1
%ASA-6-305011: Built dynamic TCP translation from inside:192.168.1.50/1107 
to outside:172.22.1.254/1025
%ASA-6-302013: Built outbound TCP connection 90 for outside:172.22.1.1/80 
(172.22.1.1/80) to inside:192.168.1.50/1107 (172.22.1.254/1025)
%ASA-6-302014: Teardown TCP connection 90 for outside:172.22.1.1/80 
to inside:192.168.1.50/1107 duration 0:00:30 bytes 0 SYN Timeout
%ASA-7-609002: Teardown local-host outside:172.22.1.1 duration 0:00:30
%ASA-6-305012: Teardown dynamic TCP translation from inside:192.168.1.50/1107 
to outside:172.22.1.254/1025 duration 0:01:00
%ASA-7-609002: Teardown local-host inside:192.168.1.50 duration 0:01:00

    El mensaje syslog indica que la conexión se cerró debido a la falta de tiempo de espera SYN. Esto indica al administrador que ASA no recibió respuestas del servidor X de la aplicación. Las razones de terminación de los mensajes de Syslog pueden variar.

    El tiempo de espera SYN se registra debido a una terminación forzada de la conexión después de 30 segundos que ocurre después de la finalización del protocolo de enlace de tres vías. Este problema ocurre generalmente si el servidor no puede responder a una solicitud de conexión y, en la mayoría de los casos, no está relacionado con la configuración en PIX/ASA.

    Para resolver este problema, consulte esta lista de comprobación:

    1. Asegúrese de que el comando static se ha escrito correctamente y de que no se superpone con otros comandos estáticos, por ejemplo,

      static (inside,outside) x.x.x.x  y.y.y.y netmask 255.255.255.255

      La NAT estática en ASA 8.3 y versiones posteriores se puede configurar como se muestra aquí:

      object network obj-y.y.y.y
 host y.y.y.y
 nat (inside,outside) static x.x.x.x

    2. Asegúrese de que exista una lista de acceso para permitir el acceso a la dirección IP global desde el exterior y que esté vinculada a la interfaz:

      access-list OUTSIDE_IN extended permit tcp any host x.x.x.x eq www
access-group OUTSIDE_IN in interface outside

    3. Para una conexión exitosa con el servidor, la gateway predeterminada en el servidor debe apuntar hacia la interfaz DMZ de PIX/ASA.

    Consulte Mensajes del Sistema ASA para obtener más información sobre los mensajes de syslog.

  • Cree un nuevo filtro de captura.

    A partir del tráfico capturado anteriormente y de los mensajes de syslog, el administrador sabe que la aplicación X debería salir del ASA a través de la interfaz externa.

    ciscoasa(config)#access-list outside_test permit tcp any host 172.22.1.1 eq 80

!--- When you leave the source as 'any', it allows !--- the administrator to monitor any network address translation (NAT).

ciscoasa(config)#access-list outside_test permit tcp host 172.22.1.1 eq 80 any

!--- When you reverse the source and destination information, !--- it allows return traffic to be captured.

ciscoasa(config)#capture outside_interface access-list outside_test interface outside

    El usuario debe iniciar una nueva sesión con la aplicación X. Después de que el usuario haya iniciado una nueva sesión X de la aplicación, el administrador de ASA necesita ejecutar el comando show capture outside_interface en ASA.

    ciscoasa(config)#show capture outside_interface
3 packets captured
   1: 16:15:34.278870 172.22.1.254.1026 > 172.22.1.1.80: 
S 1676965539:1676965539(0) win 65535 <mss 1380,nop,nop,sackOK>
   2: 16:15:44.969630 172.22.1.254.1027 > 172.22.1.1.80: 
S 990150551:990150551(0) win 65535 <mss 1380,nop,nop,sackOK>
   3: 16:15:47.898619 172.22.1.254.1027 > 172.22.1.1.80: 
S 990150551:990150551(0) win 65535 <mss 1380,nop,nop,sackOK>
3 packets shown

    La captura muestra el tráfico que sale de la interfaz externa pero no muestra ningún tráfico de respuesta del servidor 172.22.1.1. Esta captura muestra los datos cuando salen del ASA.

  • Utilice la opción packet-tracer.

    En las secciones anteriores, el administrador de ASA ha aprendido suficiente información para utilizar la opción packet-tracer en ASA.

    Nota: ASA soporta el comando packet-tracer a partir de la versión 7.2.

    ciscoasa#packet-tracer input inside tcp 192.168.1.50 1025 172.22.1.1 http

!--- This line indicates a source port of 1025. If the source !--- port is not known, any number can be used. !--- More common source ports typically range !--- between 1025 and 65535.

Phase: 1
Type: CAPTURE
Subtype: 
Result: ALLOW
Config:
Additional Information:
MAC Access list

Phase: 2
Type: ACCESS-LIST
Subtype: 
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 3
Type: FLOW-LOOKUP
Subtype: 
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow
              
Phase: 4
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   172.22.1.0      255.255.255.0   outside

Phase: 5
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group inside_acl in interface inside
access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq www 
Additional Information:

Phase: 6
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:
              
Phase: 7
Type: CAPTURE
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 8
Type: NAT
Subtype: 
Result: ALLOW
Config:
nat (inside) 1 192.168.1.0 255.255.255.0
  match ip inside 192.168.1.0 255.255.255.0 outside any
    dynamic translation to pool 1 (172.22.1.254)
    translate_hits = 6, untranslate_hits = 0
Additional Information:
Dynamic translate 192.168.1.50/1025 to 172.22.1.254/1028 
using netmask 255.255.255.255

Phase: 9
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:       
nat (inside) 1 192.168.1.0 255.255.255.0
  match ip inside 192.168.1.0 255.255.255.0 outside any
    dynamic translation to pool 1 (172.22.1.254)
    translate_hits = 6, untranslate_hits = 0
Additional Information:

Phase: 10
Type: CAPTURE
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 11
Type: CAPTURE
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 12
Type: IP-OPTIONS
Subtype: 
Result: ALLOW 
Config:
Additional Information:

Phase: 13
Type: CAPTURE
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 14
Type: FLOW-CREATION
Subtype: 
Result: ALLOW
Config:
Additional Information:
New flow created with id 94, packet dispatched to next module

Phase: 15
Type: ROUTE-LOOKUP
Subtype: output and adjacency
Result: ALLOW
Config:
Additional Information:
found next-hop 172.22.1.1 using egress ifc outside
adjacency Active
next-hop mac address 0030.a377.f854 hits 11

!--- The MAC address is at Layer 2 of the OSI model. !--- This tells the administrator the next host !--- that should receive the data packet.


Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow

    El resultado más importante del comando packet-tracer es la última línea, que es Action: allow.

Las tres opciones del paso 3 muestran al administrador que ASA no es responsable de los problemas de la aplicación X. El tráfico X de la aplicación abandona el ASA y el ASA no recibe una respuesta del servidor X de la aplicación.

¿Qué es lo siguiente?

Hay muchos componentes que permiten que la aplicación X funcione correctamente para los usuarios. Los componentes incluyen el equipo del usuario, el cliente X de la aplicación, el enrutamiento, las directivas de acceso y el servidor X de la aplicación. En el ejemplo anterior, se demostró que ASA recibe y reenvía el tráfico X de la aplicación. Los administradores del servidor y de la aplicación X deben participar ahora. Los administradores deben comprobar que los servicios de aplicación se están ejecutando, revisar los registros del servidor y comprobar que el servidor y la aplicación X reciben el tráfico del usuario.

Problema: Mensaje de error de terminación de la conexión TCP-Proxy

Recibe este mensaje de error:

%PIX|ASA-5-507001: Terminating TCP-Proxy connection from 
interface_inside:source_address/source_port to interface_outside:dest_address/dest_port - 
reassembly limit of limit bytes exceeded

Solución

Explicación: Este mensaje aparece cuando se supera el límite del búfer de reensamblado durante el montaje de segmentos TCP.

  • source_address/source_port: Dirección IP de origen y puerto de origen del paquete que inicia la conexión.

  • dest_address/dest_port: Dirección IP de destino y puerto de destino del paquete que inicia la conexión.

  • interface_inside: el nombre de la interfaz en la que llega el paquete que inició la conexión.

  • interface_outside: nombre de la interfaz en la que sale el paquete que inició la conexión.

  • limit - El límite de conexiones embrionarias configurado para la clase de tráfico.

La solución para este problema es inhabilitar la inspección RTSP en el dispositivo de seguridad como se muestra.

policy-map global_policy
 class inspection_default
  inspect dns migrated_dns_map_1 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  no inspect rtsp

Consulte Cisco bug ID CSCsl15229 (sólo clientes registrados) para obtener más detalles.

Problema: "%ASA-6-110003: el enrutamiento no pudo encontrar el siguiente salto para el protocolo desde la interfaz src" Mensaje de error

ASA descarta el tráfico con el error:%ASA-6-110003: El ruteo no pudo localizar el siguiente salto para el protocolo de la interfaz src:puerto src IP/src a la interfaz dest:mensaje de error del puerto dest IP/dest.

Solución

Este error ocurre cuando el ASA intenta encontrar el salto siguiente en una tabla de ruteo de interfaz. Normalmente, este mensaje se recibe cuando ASA tiene una traducción (xlate) construida en una interfaz y una ruta que señala una interfaz diferente. Verifique si hay un error de configuración en las sentencias NAT. La resolución del error de configuración puede resolver el error.

Problema: conexión bloqueada por ASA con el mensaje de error " %ASA-5-305013: reglas NAT asimétricas coincidentes para flujos de reenvío e inverso"

ASA bloquea la conexión y se recibe este mensaje de error:

%ASA-5-305013: Asymmetric NAT rules matched for forward
	 and reverse flows; Connection protocol src
	 interface_name:source_address/source_port dest
	 interface_name:dest_address/dest_port denied due to NAT reverse path
	 failure.

Solución

Cuando se realiza la NAT, ASA también intenta invertir el paquete y verifica si esto llega a alguna traducción. Si no llega a ninguna traducción NAT o a una traducción NAT diferente, entonces hay una discordancia. Normalmente, aparece este mensaje de error cuando hay diferentes reglas NAT configuradas para el tráfico saliente y entrante con el mismo origen y destino. Verifique la sentencia NAT para el tráfico en cuestión.

Problema: error de recepción - %ASA-5-321001: se alcanzó el límite de 10000 'conns' de recurso para el sistema

Solución

Este error significa que las conexiones para un servidor ubicado a través de un ASA han alcanzado su límite máximo. Esto podría indicar un ataque de DoS a un servidor de su red. Utilice MPF en el ASA y reduzca el límite de conexiones embrionarias. Además, habilite Dead Connection Detection (DCD). Consulte este fragmento de configuración:

class-map limit
 match access-list limit
!
policy-map global_policy
 class limit
  set connection embryonic-conn-max 50
  set connection timeout embryonic 0:00:10 dcd
!
access-list limit line 1 extended permit tcp any host x.x.x.x

Problema: Error de recepción %PIX-1-106021: Denegar comprobación de ruta inversa TCP/UDP de src_addr a dest_addr en la interfaz int_name

Solución

Este mensaje de registro se recibe cuando se habilita la verificación de la ruta inversa. Ejecute este comando para resolver el problema y desactivar la verificación de trayectoria inversa:

no ip verify reverse-path interface

Problema: interrupción de la conectividad a Internet debido a la detección de amenazas

Este mensaje de error se recibe en el ASA:

%ASA-4-733100: [Miralix Licen 3000] drop rate-1 exceeded. Current burst
rate is 100 per second, max configured rate is 10; Current average rate is 4
per second, max configured rate is 5; Cumulative total count is 2526

Solución

Este mensaje lo genera la detección de amenazas debido a la configuración predeterminada cuando se detecta un comportamiento de tráfico anómalo. El mensaje se centra en la licencia Miralix 3000, que es un puerto TCP/UDP. Localice el dispositivo que está utilizando el puerto 3000. Verifique las estadísticas gráficas de ASDM para la detección de amenazas y verifique los principales ataques para ver si muestra el puerto 3000 y la dirección IP de origen. Si se trata de un dispositivo legítimo, puede aumentar la tasa básica de detección de amenazas en ASA para resolver este mensaje de error.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
17-Oct-2006
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos