Dépannage des connexions via PIX et ASA

Options de téléchargement

  • PDF     (313.6 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (98.4 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (104.5 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:1 septembre 2011
ID du document:71871

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document fournit des idées et des suggestions de dépannage pour quand vous utilisez le dispositif de sécurité adaptatif dédié (ASA) de la gamme Cisco ASA 5500 et le dispositif de sécurité de la gamme Cisco PIX 500. Le plus souvent, quand des applications ou sources réseau sont endommagées ou ne sont pas disponibles, les pare-feu (PIX ou ASA) ont tendance à être une cible primaire et à être accusés d'être la cause des pannes. Avec certains tests sur ASA ou PIX, un administrateur peut déterminer si ASA/PIX pose le problème.

Référez-vous à PIX/ASA : Établir et dépanner la connectivité par le dispositif de sécurité Cisco afin d'en savoir plus sur le dépannage lié à l'interface sur les dispositifs de sécurité Cisco.

Remarque : ce document se concentre sur ASA et PIX. Une fois que le dépannage est terminé sur ASA ou PIX, il est probable qu'un dépannage supplémentaire sera nécessaire avec d'autres périphériques (routeurs, commutateurs, serveurs, etc.).

Conditions préalables

Exigences

Aucune exigence spécifique n'est associée à ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur Cisco ASA 5510 avec OS 7.2.1 et 8.3.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Produits connexes

Ce document peut également être utilisé avec les versions de matériel et de logiciel suivantes :

  • ASA et PIX OS 7.0, 7.1, 8.3 et versions ultérieures

  • Module de services pare-feu (FWSM) 2.2, 2.3 et 3.1

Remarque : la syntaxe et les commandes spécifiques peuvent varier selon les versions du logiciel.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

L'exemple suppose qu'ASA ou PIX est en production. La configuration ASA/PIX peut être relativement simple (seulement 50 lignes de configuration) ou complexe (des centaines à des milliers de lignes de configuration). Les utilisateurs (clients) ou les serveurs peuvent être sur un réseau sécurisé (interne) ou sur un réseau non sécurisé (DMZ ou externe).

asa-pix-troubleshooting-1.gif

ASA démarre avec cette configuration. La configuration est destinée à donner au laboratoire un point de référence.

Configuration initiale d'ASA 
ciscoasa#show running-config
: Saved
:
ASA Version 7.2(1) 
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 172.22.1.160 255.255.255.0 
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 
!
interface Ethernet0/2
 nameif dmz
 security-level 50
 ip address 10.1.1.1 255.255.255.0 
!
interface Management0/0
 shutdown
 no nameif    
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list outside_acl extended permit tcp any host 172.22.1.254 eq www 
access-list inside_acl extended permit icmp 192.168.1.0 255.255.255.0 any 
access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq www 
access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq telnet 
pager lines 24
mtu outside 1500
mtu inside 1500
mtu dmz 1500
no asdm history enable
arp timeout 14400
global (outside) 1 172.22.1.253
nat (inside) 1 192.168.1.0 255.255.255.0



!--- The above NAT statements are replaced by the following statements !--- for ASA 8.3 and later.

object network obj-192.168.1.0
  subnet 192.168.1.0 255.255.255.0
  nat (inside,outside) dynamic 172.22.1.253


static (inside,outside) 192.168.1.100 172.22.1.254 netmask 255.255.255.255 


!--- The above Static NAT statement is replaced by the following statements !--- for ASA 8.3 and later.

object network obj-172.22.1.254
  host 172.22.1.254
  nat (inside,outside) static 192.168.1.100 
access-group outside_acl in interface outside
access-group inside_acl in interface inside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Problème

Un utilisateur contacte le service informatique et signale que l'application X ne fonctionne plus. L'incident est remonté à l'administrateur ASA/PIX. L'administrateur a peu de connaissances de cette application particulière. À l'aide d'ASA/de PIX, l'administrateur découvre quels ports et protocoles l'application X utilise, ainsi que ce qui pourrait être la cause du problème.

Solution

L'administrateur ASA/PIX doit recueillir autant d'informations que possible de l'utilisateur. Les informations utiles sont :

  • Adresse IP source : il s'agit généralement de la station de travail ou de l'ordinateur de l'utilisateur.

  • Adresse IP de destination : adresse IP du serveur que l'utilisateur ou l'application tente de connecter.

  • Les ports et protocoles que l'application utilise.

Souvent, l'administrateur est chanceux s'il est capable d'obtenir une réponse à l'une de ces questions. Pour cet exemple, l'administrateur ne peut recueillir aucune information. Un examen des messages syslog ASA/PIX est idéal, mais il est difficile de localiser le problème si l'administrateur ne sait pas quoi rechercher.

Étape 1 - Découvrir l'adresse IP de l'utilisateur

Il y a beaucoup de façons de découvrir l'adresse IP de l'utilisateur. Ce document est relatif à ASA et à PIX. Cet exemple utilise donc ASA et PIX pour découvrir l'adresse IP.

L'utilisateur tente de communiquer avec ASA/PIX. Cette communication peut être ICMP, Telnet, SSH ou HTTP. Le protocole choisi devrait avoir limité l'activité sur ASA/PIX. Dans cet exemple spécifique, l'utilisateur effectue un ping sur l'interface interne d'ASA.

L'administrateur a besoin de configurer une ou plusieurs des options suivantes, puis que l'utilisateur effectue un ping sur l'interface interne d'ASA.

  • Syslog

    Assurez-vous que la journalisation est activée. Le niveau de journalisation doit être défini sur debug. La journalisation peut être envoyée à différents emplacements. Cet exemple utilise la mémoire tampon du journal ASA. Vous pouvez avoir besoin d'un serveur de journalisation externe dans les environnements de production.

    ciscoasa(config)#logging enable
ciscoasa(config)#logging buffered debugging

    L'utilisateur effectue un ping sur l'interface interne d'ASA (ping 192.168.1.1). La sortie suivante s'affiche.

    ciscoasa#show logging

!--- Output is suppressed.

%ASA-6-302020: Built ICMP connection for faddr 192.168.1.50/512 
gaddr 192.168.1.1/0 laddr 192.168.1.1/0
%ASA-6-302021: Teardown ICMP connection for faddr 192.168.1.50/512 
gaddr 192.168.1.1/0 laddr 192.168.1.1/0

!--- The user IP address is 192.168.1.50.

  • Fonctionnalité Capture d'ASA

    L'administrateur a besoin de créer une liste d'accès qui définit quel trafic ASA doit capturer. Une fois la liste d'accès créée, la commande capture incorpore la liste d'accès et l'applique à l'interface.

    ciscoasa(config)#access-list inside_test permit icmp any host 192.168.1.1
ciscoasa(config)#capture inside_interface access-list inside_test interface inside

    L'utilisateur effectue un ping sur l'interface interne d'ASA (ping 192.168.1.1). La sortie suivante s'affiche.

    ciscoasa#show capture inside_interface
   1: 13:04:06.284897 192.168.1.50 > 192.168.1.1: icmp: echo request

!--- The user IP address is 192.168.1.50.

    Remarque : afin de télécharger le fichier de capture sur un système tel qu'ethereal, vous pouvez le faire comme le montre cette sortie.

    
!--- Open an Internet Explorer and browse with this https link format:

https://[
        
        
          / 
         
           ]/capture/ 
          
            /pcap

    Référez-vous à ASA/PIX : Exemple de configuration de capture de paquets à l'aide de CLI et ASDM afin d'en savoir plus sur la capture de paquets dans ASA.

  • Déboguer

    La commande debug icmp trace est utilisée pour capturer le trafic ICMP de l'utilisateur.

    ciscoasa#debug icmp trace

    L'utilisateur effectue un ping sur l'interface interne d'ASA (ping 192.168.1.1). Cette sortie est affichée sur la console.

    ciscoasa# 

!--- Output is suppressed.

ICMP echo request from 192.168.1.50 to 192.168.1.1 ID=512 seq=5120 len=32
ICMP echo reply from 192.168.1.1 to 192.168.1.50 ID=512 seq=5120 len=32

!--- The user IP address is 192.168.1.50.

    Afin de désactiver debug icmp trace, utilisez l'une des commandes suivantes :

    • no debug icmp trace

    • undebug icmp trace

    • undebug all, Undebug all ou un all

Chacune de ces trois options aide l'administrateur à déterminer l'adresse IP source. En cet exemple, l'adresse IP source de l'utilisateur est 192.168.1.50. L'administrateur est prêt à en apprendre plus sur l'application X et à déterminer la cause du problème.

Étape 2 - Localiser la cause du problème

Concernant les informations mentionnées dans la section Étape 1 de ce document, l'administrateur connaît maintenant la source d'une session de l'application x. L'administrateur est prêt à en apprendre plus sur l'application X et à commencer à localiser le problème.

L'administrateur ASA/PIX doit préparer ASA pour au moins l'une des suggestions énumérées. Une fois que l'administrateur est prêt, l'utilisateur lance l'application X et limite toute autre activité car une activité utilisateur supplémentaire pourrait entraîner la confusion ou tromper l'administrateur ASA/PIX.

  • Surveiller les messages syslog.

    Recherchez l'adresse IP source de l'utilisateur que vous avez localisée à l'étape 1. L'utilisateur lance l'application X. L'administrateur ASA émet la commande show logging et affiche la sortie.

    ciscoasa#show logging

!--- Output is suppressed.

%ASA-7-609001: Built local-host inside:192.168.1.50
%ASA-6-305011: Built dynamic TCP translation from inside:192.168.1.50/1107 
to outside:172.22.1.254/1025
%ASA-6-302013: Built outbound TCP connection 90 for outside:172.22.1.1/80 
(172.22.1.1/80) to inside:192.168.1.50/1107 (172.22.1.254/1025)

    Les journaux indiquent que l'adresse IP de destination est 172.22.1.1, que le protocole est TCP, que le port de destination est HTTP/80 et que le trafic est envoyé à l'interface externe.

  • Modifier les filtres de capture.

    La commande access-list inside_test a été utilisée précédemment et est utilisée ici.

    ciscoasa(config)#access-list inside_test permit ip host 192.168.1.50 any

!--- This ACL line captures all traffic from 192.168.1.50 !--- that goes to or through the ASA.

ciscoasa(config)#access-list inside_test permit ip any host 192.168.1.50 any

!--- This ACL line captures all traffic that leaves !--- the ASA and goes to 192.168.1.50.

ciscoasa(config)#no access-list inside_test permit icmp any host 192.168.1.1
ciscoasa(config)#clear capture inside_interface

!--- Clears the previously logged data. !--- The no capture inside_interface removes/deletes the capture.

    L'utilisateur lance l'application X. L'administrateur ASA émet alors la commande show capture inside_interface et affiche la sortie.

    ciscoasa(config)#show capture inside_interface
1: 15:59:42.749152 192.168.1.50.1107 > 172.22.1.1.80: 
S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK>
2: 15:59:45.659145 192.168.1.50.1107 > 172.22.1.1.80: 
S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK>
3: 15:59:51.668742 192.168.1.50.1107 > 172.22.1.1.80: 
S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK>

    Le trafic capturé fournit à l'administrateur plusieurs informations précieuses :

    • Adresse de destination : 172.22.1.1

    • Numéro de port : 80/http

    • Protocole : TCP (notez l'indicateur S ou syn)

    En outre, l'administrateur sait également que le trafic de données pour l'application X arrive à ASA.

    Si la sortie avait été la sortie de commande show capture inside_interface suivante, le trafic de l'application n'a jamais atteint ASA ou le filtre de capture n'était pas défini pour capturer le trafic :

    ciscoasa#show capture inside_interface
0 packet captured
0 packet shown

    Dans ce cas, l'administrateur doit envisager d'examiner l'ordinateur de l'utilisateur ainsi que tout routeur ou autres périphériques réseau sur le chemin entre l'ordinateur de l'utilisateur et ASA.

    Remarque : lorsque le trafic arrive sur une interface, la commande capture enregistre les données avant que les stratégies de sécurité ASA analysent le trafic. Par exemple, une liste d'accès refuse tout le trafic entrant sur une interface. La commande capture enregistre néanmoins le trafic. La stratégie de sécurité ASA analyse alors le trafic.

  • Déboguer

    L'administrateur n'est pas familiarisé avec l'application X ; il ne sait donc pas lequel des services de débogage activer pour l'examen de l'application X. Le débogage n'est peut-être pas la meilleure option de dépannage à ce stade.

Avec les informations collectées à l'étape 2, l'administrateur ASA gagne plusieurs bribes d'informations précieuses. L'administrateur sait que le trafic arrive à l'interface interne d'ASA, il connaît l'adresse IP source et l'adresse IP de destination, et il sait quel service l'application X utilise (TCP/80). À partir des messages syslog, l'administrateur sait également que la communication a été initialement permise.

Étape 3 - Vérifier et surveiller le trafic d'une application

L'administrateur ASA veut vérifier que le trafic de l'application X a quitté ASA et également surveiller tout trafic de retour à partir du serveur de l'application X.

  • Surveiller les messages syslog.

    Filtrez les messages syslog pour l'adresse IP source (192.168.1.50) ou l'adresse IP de destination (172.22.1.1). À partir de la ligne de commande, le filtrage des messages syslog ressemble à show logging | include 192.168.1.50 ou show logging | include 172.22.1.1. Dans cet exemple, la commande show logging est utilisé sans filtres. La sortie est supprimée afin de rendre la lecture facile.

    ciscoasa#show logging

!--- Output is suppressed.

%ASA-7-609001: Built local-host inside:192.168.1.50
%ASA-7-609001: Built local-host outside:172.22.1.1
%ASA-6-305011: Built dynamic TCP translation from inside:192.168.1.50/1107 
to outside:172.22.1.254/1025
%ASA-6-302013: Built outbound TCP connection 90 for outside:172.22.1.1/80 
(172.22.1.1/80) to inside:192.168.1.50/1107 (172.22.1.254/1025)
%ASA-6-302014: Teardown TCP connection 90 for outside:172.22.1.1/80 
to inside:192.168.1.50/1107 duration 0:00:30 bytes 0 SYN Timeout
%ASA-7-609002: Teardown local-host outside:172.22.1.1 duration 0:00:30
%ASA-6-305012: Teardown dynamic TCP translation from inside:192.168.1.50/1107 
to outside:172.22.1.254/1025 duration 0:01:00
%ASA-7-609002: Teardown local-host inside:192.168.1.50 duration 0:01:00

    Le message syslog indique que la connexion est fermée en raison de l'expiration de SYN. Cela indique à l'administrateur qu'aucune réponse du serveur de l'application X n'a été reçue par ASA. Les raisons d'arrêt des messages syslog peuvent varier.

    L'expiration de SYN est enregistrée dans un journal en raison d'un arrêt de connexion forcé après 30 secondes qui se produit après l'achèvement de la connexion en trois temps. Ce problème se produit habituellement si le serveur ne répond pas à une demande de connexion, et, dans la plupart des cas, n'est pas lié à la configuration sur PIX/ASA.

    Afin de résoudre ce problème, référez-vous à la liste de contrôle suivante :

    1. Assurez-vous que la commande static est entrée correctement et qu'elle ne chevauche pas d'autres commandes static, par exemple,

      static (inside,outside) x.x.x.x  y.y.y.y netmask 255.255.255.255

      La NAT statique dans ASA 8.3 et versions ultérieures peut être configurée comme indiqué ici :

      object network obj-y.y.y.y
 host y.y.y.y
 nat (inside,outside) static x.x.x.x

    2. Assurez-vous qu'il existe une liste d'accès afin de permettre l'accès à l'adresse IP globale à partir de l'extérieur et qu'elle est liée à l'interface :

      access-list OUTSIDE_IN extended permit tcp any host x.x.x.x eq www
access-group OUTSIDE_IN in interface outside

    3. Pour une connexion réussie avec le serveur, la passerelle par défaut sur le serveur doit pointer vers l'interface DMZ de PIX/ASA.

    Référez-vous à Messages système ASA pour plus d'informations sur les messages syslog.

  • Créer un nouveau filtre de capture.

    Grâce au précédent trafic capturé et aux précédents messages syslog, l'administrateur sait que l'application X devrait quitter ASA via l'interface externe.

    ciscoasa(config)#access-list outside_test permit tcp any host 172.22.1.1 eq 80

!--- When you leave the source as 'any', it allows !--- the administrator to monitor any network address translation (NAT).

ciscoasa(config)#access-list outside_test permit tcp host 172.22.1.1 eq 80 any

!--- When you reverse the source and destination information, !--- it allows return traffic to be captured.

ciscoasa(config)#capture outside_interface access-list outside_test interface outside

    L'utilisateur doit lancer une nouvelle session avec l'application X. Une fois que l'utilisateur a lancé une nouvelle session de l'application X, l'administrateur ASA doit émettre la commande show capture outside_interface sur ASA.

    ciscoasa(config)#show capture outside_interface
3 packets captured
   1: 16:15:34.278870 172.22.1.254.1026 > 172.22.1.1.80: 
S 1676965539:1676965539(0) win 65535 <mss 1380,nop,nop,sackOK>
   2: 16:15:44.969630 172.22.1.254.1027 > 172.22.1.1.80: 
S 990150551:990150551(0) win 65535 <mss 1380,nop,nop,sackOK>
   3: 16:15:47.898619 172.22.1.254.1027 > 172.22.1.1.80: 
S 990150551:990150551(0) win 65535 <mss 1380,nop,nop,sackOK>
3 packets shown

    La capture montre le trafic quittant l'interface externe mais ne montre aucun trafic de réponse en provenance du serveur 172.22.1.1. Cette capture montre les données lorsqu'elles quittent ASA.

  • Utiliser l'option de suivi de paquets.

    Grâce aux sections précédentes, l'administrateur ASA a appris assez d'informations pour utiliser l'option packet-tracer dans ASA.

    Remarque : l'ASA prend en charge la commande packet-tracer à partir de la version 7.2.

    ciscoasa#packet-tracer input inside tcp 192.168.1.50 1025 172.22.1.1 http

!--- This line indicates a source port of 1025. If the source !--- port is not known, any number can be used. !--- More common source ports typically range !--- between 1025 and 65535.

Phase: 1
Type: CAPTURE
Subtype: 
Result: ALLOW
Config:
Additional Information:
MAC Access list

Phase: 2
Type: ACCESS-LIST
Subtype: 
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 3
Type: FLOW-LOOKUP
Subtype: 
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow
              
Phase: 4
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   172.22.1.0      255.255.255.0   outside

Phase: 5
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group inside_acl in interface inside
access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq www 
Additional Information:

Phase: 6
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:
              
Phase: 7
Type: CAPTURE
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 8
Type: NAT
Subtype: 
Result: ALLOW
Config:
nat (inside) 1 192.168.1.0 255.255.255.0
  match ip inside 192.168.1.0 255.255.255.0 outside any
    dynamic translation to pool 1 (172.22.1.254)
    translate_hits = 6, untranslate_hits = 0
Additional Information:
Dynamic translate 192.168.1.50/1025 to 172.22.1.254/1028 
using netmask 255.255.255.255

Phase: 9
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:       
nat (inside) 1 192.168.1.0 255.255.255.0
  match ip inside 192.168.1.0 255.255.255.0 outside any
    dynamic translation to pool 1 (172.22.1.254)
    translate_hits = 6, untranslate_hits = 0
Additional Information:

Phase: 10
Type: CAPTURE
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 11
Type: CAPTURE
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 12
Type: IP-OPTIONS
Subtype: 
Result: ALLOW 
Config:
Additional Information:

Phase: 13
Type: CAPTURE
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 14
Type: FLOW-CREATION
Subtype: 
Result: ALLOW
Config:
Additional Information:
New flow created with id 94, packet dispatched to next module

Phase: 15
Type: ROUTE-LOOKUP
Subtype: output and adjacency
Result: ALLOW
Config:
Additional Information:
found next-hop 172.22.1.1 using egress ifc outside
adjacency Active
next-hop mac address 0030.a377.f854 hits 11

!--- The MAC address is at Layer 2 of the OSI model. !--- This tells the administrator the next host !--- that should receive the data packet.


Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow

    La sortie la plus importante de la commande packet-tracer est la dernière ligne, qui est Action : allow.

Les trois options à l'étape 3 montrent chacune à l'administrateur qu'ASA n'est pas responsable des problèmes de l'application X. Le trafic de l'application X quitte ASA et ASA ne reçoit pas de réponse du serveur de l'application X.

Opérations suivantes

Il y a beaucoup de composants qui permettent à l'application X de fonctionner correctement pour des utilisateurs. Ces composants incluent l'ordinateur de l'utilisateur, le client de l'application X, le routage, les stratégies d'accès et le serveur de l'application X. Dans l'exemple précédent, nous avons montré qu'ASA reçoit et transfert le trafic de l'application X. Les administrateurs du serveur et de l'application X doivent maintenant s'impliquer. Les administrateurs doivent vérifier que les services de l'application s'exécutent, passer en revue tous les journaux sur le serveur et vérifier que le trafic de l'utilisateur est reçu par le serveur et l'application X.

Problème : message d'erreur de fin de connexion TCP-Proxy

Vous recevez le message d'erreur suivant :

%PIX|ASA-5-507001: Terminating TCP-Proxy connection from 
interface_inside:source_address/source_port to interface_outside:dest_address/dest_port - 
reassembly limit of limit bytes exceeded

Solution

Explication : ce message s'affiche lorsque la limite du tampon de réassemblage est dépassée pendant l'assemblage des segments TCP.

  • source_address/source_port - Adresse IP source et port source du paquet lançant la connexion.

  • dest_address/dest_port - Adresse IP de destination et port de destination du paquet lançant la connexion.

  • interface_inside - Nom de l'interface sur laquelle le paquet qui a lancé la connexion arrive.

  • interface_outside - Nom de l'interface sur laquelle le paquet qui a lancé la connexion sort.

  • limit - Limite de la connexion embryonnaire configurée pour la classe de trafic.

La résolution de ce problème est de désactiver l'inspection RTSP dans le dispositif de sécurité, comme indiqué.

policy-map global_policy
 class inspection_default
  inspect dns migrated_dns_map_1 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  no inspect rtsp

Référez-vous à l'ID de bogue Cisco CSCsl15229 (clients enregistrés seulement) pour plus de détails.

Problème : "%ASA-6-110003 : Le routage n'a pas pu localiser le tronçon suivant pour le protocole à partir de l'interface src" Message d'erreur

ASA abandonne le trafic avec l'erreur : %ASA-6-110003 : Le routage n'a pas réussi à localiser le tronçon suivant pour le protocole de l'interface src : port src IP/src à l'interface dest : message d'erreur dest IP/dest port.

Solution

Cette erreur se produit lorsque l'ASA tente de trouver le saut suivant sur une table de routage d'interface. En général, ce message est reçu quand ASA a une traduction (xlate) construite sur une interface et une route pointant vers une autre interface. Recherchez une configuration incorrecte sur les instructions NAT. La résolution de la mauvaise configuration peut résoudre l'erreur.

Problème : connexion bloquée par ASA avec le message d'erreur « %ASA-5-305013 : Asymmetric NAT rules match for forward and reverse flows »

La connexion est bloquée par ASA et le message d'erreur suivant s'affiche :

%ASA-5-305013: Asymmetric NAT rules matched for forward
	 and reverse flows; Connection protocol src
	 interface_name:source_address/source_port dest
	 interface_name:dest_address/dest_port denied due to NAT reverse path
	 failure.

Solution

Lorsque la NAT est exécutée, ASA tente également d'inverser le paquet et vérifie si cela a un impact sur une traduction. S'il n'atteint aucune traduction NAT ou une traduction NAT différente, alors il y a une non-correspondance. Ce message d'erreur s'affiche le plus souvent lorsque différentes règles NAT sont configurées pour le trafic sortant et entrant avec la même source et la même destination. Vérifiez l'instruction NAT pour le trafic concerné.

Problème : erreur de réception - %ASA-5-321001 : la limite de « cons » de ressource de 10000 a été atteinte pour le système

Solution

Cette erreur signifie que les connexions d'un serveur situé sur un ASA ont atteint leur limite maximale. Cela peut indiquer une attaque DoS contre un serveur de votre réseau. Utilisez MPF sur l'ASA et réduisez la limite de connexions embryonnaires. Activez également la détection des connexions inactives (DCD, Dead Connection Detection). Référez-vous à cet extrait de configuration :

class-map limit
 match access-list limit
!
policy-map global_policy
 class limit
  set connection embryonic-conn-max 50
  set connection timeout embryonic 0:00:10 dcd
!
access-list limit line 1 extended permit tcp any host x.x.x.x

Problème : erreur de réception %PIX-1-106021 : refuser la vérification du chemin inverse TCP/UDP de src_addr à dest_addr sur l'interface int_name

Solution

Ce message de journal est reçu lorsque la vérification du chemin inverse est activée. Émettez cette commande afin de résoudre le problème et désactiver la vérification du chemin inverse :

no ip verify reverse-path interface

Problème : interruption de la connectivité Internet due à la détection des menaces

Ce message d'erreur est reçu sur l'ASA :

%ASA-4-733100: [Miralix Licen 3000] drop rate-1 exceeded. Current burst
rate is 100 per second, max configured rate is 10; Current average rate is 4
per second, max configured rate is 5; Cumulative total count is 2526

Solution

Ce message est généré par la détection des menaces en raison de la configuration par défaut lorsqu'un comportement anormal du trafic est détecté. Le message se concentre sur la licence Miralix 3000 qui est un port TCP/UDP. Localisez le périphérique qui utilise le port 3000. Vérifiez les statistiques graphiques ASDM pour la détection des menaces et vérifiez les principales attaques pour voir si le port 3000 et l'adresse IP source sont affichés. S'il s'agit d'un périphérique légitime, vous pouvez incrémenter le taux de détection des menaces de base sur ASA afin de résoudre ce message d'erreur.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
17-Oct-2006
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits