Este documento fornece ideias de troubleshooting e sugestões para quando o Cisco ASA 5500 Series Adaptive Security Appliance (ASA) e o Cisco PIX 500 Series Security Appliance forem usados. Na maioria das vezes, quando os aplicativos ou as fontes de rede quebram ou não estão disponíveis, os firewalls (PIX ou ASA) tendem a ser o principal alvo e são apontados como a causa das interrupções. Com alguns testes no ASA ou PIX, um administrador pode determinar se o ASA/PIX causa ou não o problema.
Consulte PIX/ASA: Estabelecimento e Troubleshooting de Conectividade com o Cisco Security Appliance para saber mais sobre o troubleshooting relacionado a interfaces nos Cisco Security Appliances.
Observação: este documento se concentra no ASA e no PIX. Quando a solução de problemas for concluída no ASA ou no PIX, é provável que seja necessária uma solução de problemas adicional com outros dispositivos (roteadores, switches, servidores e assim por diante).
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas no Cisco ASA 5510 com OS 7.2.1 e 8.3.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Este documento também pode ser usado com as seguintes versões de hardware e software:
ASA e PIX OS 7.0, 7.1, 8.3 e posterior
Firewall Services Module (FWSM) 2.2, 2.3 e 3.1
Nota:Comandos e sintaxes específicos podem variar de acordo com a versão do software.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
O exemplo supõe que o ASA ou o PIX está em produção. A configuração do ASA/PIX pode ser relativamente simples (apenas 50 linhas de configuração) ou complexa (de centenas a milhares de linhas de configuração). Os usuários (clientes) ou servidores podem estar em uma rede segura (interna) ou em uma rede não segura (DMZ ou externa).
O ASA começa com essa configuração. A configuração destina-se a dar ao laboratório um ponto de referência.
Configuração inicial do ASA |
---|
ciscoasa#show running-config : Saved : ASA Version 7.2(1) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0/0 nameif outside security-level 0 ip address 172.22.1.160 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Ethernet0/2 nameif dmz security-level 50 ip address 10.1.1.1 255.255.255.0 ! interface Management0/0 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive access-list outside_acl extended permit tcp any host 172.22.1.254 eq www access-list inside_acl extended permit icmp 192.168.1.0 255.255.255.0 any access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq www access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq telnet pager lines 24 mtu outside 1500 mtu inside 1500 mtu dmz 1500 no asdm history enable arp timeout 14400 global (outside) 1 172.22.1.253 nat (inside) 1 192.168.1.0 255.255.255.0 !--- The above NAT statements are replaced by the following statements !--- for ASA 8.3 and later. object network obj-192.168.1.0 subnet 192.168.1.0 255.255.255.0 nat (inside,outside) dynamic 172.22.1.253 static (inside,outside) 192.168.1.100 172.22.1.254 netmask 255.255.255.255 !--- The above Static NAT statement is replaced by the following statements !--- for ASA 8.3 and later. object network obj-172.22.1.254 host 172.22.1.254 nat (inside,outside) static 192.168.1.100 access-group outside_acl in interface outside access-group inside_acl in interface inside timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global prompt hostname context Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e : end |
Um usuário entra em contato com o departamento de TI e informa que o aplicativo X não funciona mais. O incidente é escalado para o administrador do ASA/PIX. O administrador tem pouco conhecimento desse aplicativo específico. Com o uso do ASA/PIX, o administrador descobre quais portas e protocolos o aplicativo X usa, bem como qual pode ser a causa do problema.
O administrador do ASA/PIX precisa coletar o máximo possível de informações do usuário. As informações úteis incluem:
Endereço IP de origem—Geralmente, é a estação de trabalho ou o computador do usuário.
Endereço IP destino—O endereço IP do servidor que o usuário ou aplicativo tenta conectar.
Portas e protocolos usados pelo aplicativo
Muitas vezes, o administrador tem a sorte de obter uma resposta para uma dessas perguntas. Para este exemplo, o administrador não pode coletar nenhuma informação. Uma revisão das mensagens de syslog do ASA/PIX é ideal, mas será difícil localizar o problema se o administrador não souber o que procurar.
Há muitas maneiras de descobrir o endereço IP do usuário. Este documento é sobre o ASA e o PIX, portanto este exemplo usa o ASA e o PIX para descobrir o endereço IP.
O usuário tenta se comunicar com o ASA/PIX. Essa comunicação pode ser ICMP, Telnet, SSH ou HTTP. O protocolo escolhido deve ter atividade limitada no ASA/PIX. Neste exemplo específico, o usuário efetua ping na interface interna do ASA.
O administrador precisa configurar uma ou mais dessas opções e fazer com que o usuário execute um ping para a interface interna do ASA.
Syslog
Verifique se o registro está ativado. O nível do log deve ser definido como debug. O registro pode ser enviado para vários locais. Este exemplo usa o buffer de log do ASA. Você pode precisar de um servidor de registro externo em ambientes de produção.
ciscoasa(config)#logging enable ciscoasa(config)#logging buffered debugging
O usuário efetua ping na interface interna do ASA (ping 192.168.1.1). Esta saída é exibida.
ciscoasa#show logging !--- Output is suppressed. %ASA-6-302020: Built ICMP connection for faddr 192.168.1.50/512 gaddr 192.168.1.1/0 laddr 192.168.1.1/0 %ASA-6-302021: Teardown ICMP connection for faddr 192.168.1.50/512 gaddr 192.168.1.1/0 laddr 192.168.1.1/0 !--- The user IP address is 192.168.1.50.
Recurso de captura do ASA
O administrador precisa criar uma lista de acesso que defina o tráfego que o ASA precisa capturar. Após a definição da lista de acesso, o comando capture incorpora a lista de acesso e a aplica a uma interface.
ciscoasa(config)#access-list inside_test permit icmp any host 192.168.1.1 ciscoasa(config)#capture inside_interface access-list inside_test interface inside
O usuário efetua ping na interface interna do ASA (ping 192.168.1.1). Esta saída é exibida.
ciscoasa#show capture inside_interface 1: 13:04:06.284897 192.168.1.50 > 192.168.1.1: icmp: echo request !--- The user IP address is 192.168.1.50.
Nota:Para baixar o arquivo de captura para um sistema como o ethereal, você pode proceder conforme mostrado nesta saída.
!--- Open an Internet Explorer and browse with this https link format: https://[/ ]/capture/ /pcap
Consulte ASA/PIX: Exemplo de Configuração de Captura de Pacotes usando CLI e ASDM para saber mais sobre a Captura de Pacotes no ASA.
Debug
O comando debug icmp trace é usado para capturar o tráfego ICMP do usuário.
ciscoasa#debug icmp trace
O usuário efetua ping na interface interna do ASA (ping 192.168.1.1). Esta saída é exibida no console.
ciscoasa# !--- Output is suppressed. ICMP echo request from 192.168.1.50 to 192.168.1.1 ID=512 seq=5120 len=32 ICMP echo reply from 192.168.1.1 to 192.168.1.50 ID=512 seq=5120 len=32 !--- The user IP address is 192.168.1.50.
Para desabilitar o debug icmp trace, use um destes comandos:
no debug icmp trace
undebug icmp trace
undebug all, Undebug all ou un all
Cada uma dessas três opções ajuda o administrador a determinar o endereço IP origem. Neste exemplo, o endereço IP origem do usuário é 192.168.1.50. O administrador está pronto para aprender mais sobre o aplicativo X e determinar a causa do problema.
Com referência às informações listadas na seção Etapa 1 deste documento, o administrador agora conhece a origem de uma sessão X do aplicativo. O administrador está pronto para aprender mais sobre o aplicativo X e começar a localizar onde os problemas podem estar.
O administrador do ASA/PIX precisa preparar o ASA para pelo menos uma das sugestões listadas. Quando o administrador estiver pronto, o usuário iniciará o aplicativo X e limitará todas as outras atividades, já que atividades adicionais do usuário podem causar confusão ou induzir o administrador do ASA/PIX a erro.
Monitore as mensagens de syslog.
Procure o endereço IP de origem do usuário que você identificou no Passo 1. O usuário inicia o aplicativo X. O administrador do ASA executa o comando show logging e exibe a saída.
ciscoasa#show logging !--- Output is suppressed. %ASA-7-609001: Built local-host inside:192.168.1.50 %ASA-6-305011: Built dynamic TCP translation from inside:192.168.1.50/1107 to outside:172.22.1.254/1025 %ASA-6-302013: Built outbound TCP connection 90 for outside:172.22.1.1/80 (172.22.1.1/80) to inside:192.168.1.50/1107 (172.22.1.254/1025)
Os registros revelam que o endereço IP destino é 172.22.1.1, o protocolo é TCP, a porta destino é HTTP/80 e que o tráfego é enviado para a interface externa.
Modifique os filtros de captura.
O comando access-list inside_test foi usado anteriormente e é usado aqui.
ciscoasa(config)#access-list inside_test permit ip host 192.168.1.50 any !--- This ACL line captures all traffic from 192.168.1.50 !--- that goes to or through the ASA. ciscoasa(config)#access-list inside_test permit ip any host 192.168.1.50 any !--- This ACL line captures all traffic that leaves !--- the ASA and goes to 192.168.1.50. ciscoasa(config)#no access-list inside_test permit icmp any host 192.168.1.1 ciscoasa(config)#clear capture inside_interface !--- Clears the previously logged data. !--- The no capture inside_interface removes/deletes the capture.
O usuário inicia o aplicativo X. Em seguida, o administrador do ASA executa o comando show capture inside_interface e exibe a saída.
ciscoasa(config)#show capture inside_interface 1: 15:59:42.749152 192.168.1.50.1107 > 172.22.1.1.80: S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK> 2: 15:59:45.659145 192.168.1.50.1107 > 172.22.1.1.80: S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK> 3: 15:59:51.668742 192.168.1.50.1107 > 172.22.1.1.80: S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK>
O tráfego capturado fornece ao administrador várias informações valiosas:
Endereço destino—172.22.1.1
Número da porta—80/http
Protocolo—TCP (observe a flag "S" ou syn)
Além disso, o administrador também sabe que o tráfego de dados do aplicativo X chega ao ASA.
Se a saída tiver sido a saída do comando show capture inside_interface, o tráfego do aplicativo nunca terá alcançado o ASA ou o filtro de captura não foi definido para capturar o tráfego:
ciscoasa#show capture inside_interface 0 packet captured 0 packet shown
Nesse caso, o administrador deve considerar investigar o computador do usuário e qualquer roteador ou dispositivo de rede no caminho entre esse computador e o ASA.
Nota:Quando o tráfego chega em uma interface, o comando capture registra os dados antes que qualquer política de segurança do ASA analise o tráfego. Por exemplo, uma lista de acesso nega todo o tráfego de entrada em uma interface. O comando capture ainda registra o tráfego. A política de segurança do ASA analisa o tráfego.
Debug
O administrador não está familiarizado com o aplicativo X e, portanto, não sabe qual dos serviços de depuração ativar para a investigação do aplicativo X. A depuração pode não ser a melhor opção de solução de problemas neste momento.
Com as informações coletadas na Etapa 2, o administrador do ASA obtém vários bits de informações valiosas. O administrador sabe que o tráfego chega à interface interna do ASA, endereço IP origem, endereço IP destino e o aplicativo de serviço X usa (TCP/80). A partir dos syslogs, o administrador também sabe que a comunicação foi inicialmente permitida.
O administrador do ASA deseja confirmar se o tráfego do aplicativo X saiu do ASA, bem como monitorar qualquer tráfego de retorno do servidor do aplicativo X.
Monitore as mensagens de syslog.
Filtre as mensagens de syslog para o endereço IP origem (192.168.1.50) ou o endereço IP destino (172.22.1.1). Na linha de comando, a filtragem de mensagens de syslog é semelhante a show logging | inclua 192.168.1.50 ou show logging | incluir 172.22.1.1. Neste exemplo, o comando show logging é usado sem filtros. A saída é suprimida para facilitar a leitura.
ciscoasa#show logging !--- Output is suppressed. %ASA-7-609001: Built local-host inside:192.168.1.50 %ASA-7-609001: Built local-host outside:172.22.1.1 %ASA-6-305011: Built dynamic TCP translation from inside:192.168.1.50/1107 to outside:172.22.1.254/1025 %ASA-6-302013: Built outbound TCP connection 90 for outside:172.22.1.1/80 (172.22.1.1/80) to inside:192.168.1.50/1107 (172.22.1.254/1025) %ASA-6-302014: Teardown TCP connection 90 for outside:172.22.1.1/80 to inside:192.168.1.50/1107 duration 0:00:30 bytes 0 SYN Timeout %ASA-7-609002: Teardown local-host outside:172.22.1.1 duration 0:00:30 %ASA-6-305012: Teardown dynamic TCP translation from inside:192.168.1.50/1107 to outside:172.22.1.254/1025 duration 0:01:00 %ASA-7-609002: Teardown local-host inside:192.168.1.50 duration 0:01:00
A mensagem de syslog indica que a conexão foi fechada devido ao tempo limite de SYN. Isso informa ao administrador que nenhuma resposta do servidor de aplicativos X foi recebida pelo ASA. Os motivos do encerramento da mensagem do Syslog podem variar.
O tempo limite de SYN é registrado devido a um encerramento forçado de conexão após 30 segundos que ocorre após a conclusão do handshake triplo. Esse problema geralmente ocorre se o servidor não responde a uma solicitação de conexão e, na maioria dos casos, não está relacionado à configuração no PIX/ASA.
Para resolver esse problema, consulte esta lista de verificação:
Verifique se o comando static foi inserido corretamente e se não se sobrepõe a outros comandos static, por exemplo,
static (inside,outside) x.x.x.x y.y.y.y netmask 255.255.255.255
O NAT estático no ASA 8.3 e posterior pode ser configurado como mostrado aqui:
object network obj-y.y.y.y host y.y.y.y nat (inside,outside) static x.x.x.x
Certifique-se de que exista uma lista de acesso para permitir o acesso ao endereço IP global a partir do exterior e que ela esteja vinculada à interface:
access-list OUTSIDE_IN extended permit tcp any host x.x.x.x eq www access-group OUTSIDE_IN in interface outside
Para uma conexão bem-sucedida com o servidor, o gateway padrão no servidor deve apontar para a interface DMZ do PIX/ASA.
Consulte Mensagens de Sistema do ASA para obter mais informações sobre as mensagens do Syslog.
Crie um novo filtro de captura.
A partir de mensagens de syslog e tráfego capturadas anteriormente, o administrador sabe que o aplicativo X deve deixar o ASA através da interface externa.
ciscoasa(config)#access-list outside_test permit tcp any host 172.22.1.1 eq 80 !--- When you leave the source as 'any', it allows !--- the administrator to monitor any network address translation (NAT). ciscoasa(config)#access-list outside_test permit tcp host 172.22.1.1 eq 80 any !--- When you reverse the source and destination information, !--- it allows return traffic to be captured. ciscoasa(config)#capture outside_interface access-list outside_test interface outside
O usuário precisa iniciar uma nova sessão com o aplicativo X. Depois que o usuário inicia uma nova sessão do aplicativo X, o administrador do ASA precisa executar o comando show capture outside_interface no ASA.
ciscoasa(config)#show capture outside_interface 3 packets captured 1: 16:15:34.278870 172.22.1.254.1026 > 172.22.1.1.80: S 1676965539:1676965539(0) win 65535 <mss 1380,nop,nop,sackOK> 2: 16:15:44.969630 172.22.1.254.1027 > 172.22.1.1.80: S 990150551:990150551(0) win 65535 <mss 1380,nop,nop,sackOK> 3: 16:15:47.898619 172.22.1.254.1027 > 172.22.1.1.80: S 990150551:990150551(0) win 65535 <mss 1380,nop,nop,sackOK> 3 packets shown
A captura mostra o tráfego saindo da interface externa, mas não mostra nenhum tráfego de resposta do servidor 172.22.1.1. Essa captura mostra os dados à medida que eles saem do ASA.
Uso da opção packet-tracer.
Nas seções anteriores, o administrador do ASA aprendeu informações suficientes para usar a opção packet-tracer no ASA.
Nota:O ASA oferece suporte ao comando packet-tracer a partir da versão 7.2.
ciscoasa#packet-tracer input inside tcp 192.168.1.50 1025 172.22.1.1 http !--- This line indicates a source port of 1025. If the source !--- port is not known, any number can be used. !--- More common source ports typically range !--- between 1025 and 65535. Phase: 1 Type: CAPTURE Subtype: Result: ALLOW Config: Additional Information: MAC Access list Phase: 2 Type: ACCESS-LIST Subtype: Result: ALLOW Config: Implicit Rule Additional Information: MAC Access list Phase: 3 Type: FLOW-LOOKUP Subtype: Result: ALLOW Config: Additional Information: Found no matching flow, creating a new flow Phase: 4 Type: ROUTE-LOOKUP Subtype: input Result: ALLOW Config: Additional Information: in 172.22.1.0 255.255.255.0 outside Phase: 5 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group inside_acl in interface inside access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq www Additional Information: Phase: 6 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 7 Type: CAPTURE Subtype: Result: ALLOW Config: Additional Information: Phase: 8 Type: NAT Subtype: Result: ALLOW Config: nat (inside) 1 192.168.1.0 255.255.255.0 match ip inside 192.168.1.0 255.255.255.0 outside any dynamic translation to pool 1 (172.22.1.254) translate_hits = 6, untranslate_hits = 0 Additional Information: Dynamic translate 192.168.1.50/1025 to 172.22.1.254/1028 using netmask 255.255.255.255 Phase: 9 Type: NAT Subtype: host-limits Result: ALLOW Config: nat (inside) 1 192.168.1.0 255.255.255.0 match ip inside 192.168.1.0 255.255.255.0 outside any dynamic translation to pool 1 (172.22.1.254) translate_hits = 6, untranslate_hits = 0 Additional Information: Phase: 10 Type: CAPTURE Subtype: Result: ALLOW Config: Additional Information: Phase: 11 Type: CAPTURE Subtype: Result: ALLOW Config: Additional Information: Phase: 12 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 13 Type: CAPTURE Subtype: Result: ALLOW Config: Additional Information: Phase: 14 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 94, packet dispatched to next module Phase: 15 Type: ROUTE-LOOKUP Subtype: output and adjacency Result: ALLOW Config: Additional Information: found next-hop 172.22.1.1 using egress ifc outside adjacency Active next-hop mac address 0030.a377.f854 hits 11 !--- The MAC address is at Layer 2 of the OSI model. !--- This tells the administrator the next host !--- that should receive the data packet. Result: input-interface: inside input-status: up input-line-status: up output-interface: outside output-status: up output-line-status: up Action: allow
A saída mais importante do comando packet-tracer é a última linha: Action: allow.
As três opções na Etapa 3 mostram ao administrador que o ASA não é responsável pelos problemas do aplicativo X. O tráfego do aplicativo X sai do ASA e o ASA não recebe uma resposta do servidor do aplicativo X.
Há muitos componentes que permitem que o aplicativo X funcione corretamente para os usuários. Os componentes incluem o computador do usuário, o cliente do aplicativo X, roteamento, políticas de acesso e o servidor do aplicativo X. No exemplo anterior, provamos que o ASA recebe e encaminha o tráfego do aplicativo X. Os administradores do servidor e do aplicativo X devem participar. Os administradores devem verificar se os serviços do aplicativo estão em execução, examinar os logs no servidor e verificar se o tráfego do usuário é recebido pelo servidor e pelo aplicativo X.
Você recebe esta mensagem de erro:
%PIX|ASA-5-507001: Terminating TCP-Proxy connection from interface_inside:source_address/source_port to interface_outside:dest_address/dest_port - reassembly limit of limit bytes exceeded
Explicação: Esta mensagem é exibida quando o limite do buffer de remontagem é excedido durante a montagem de segmentos TCP.
source_address/source_port - O endereço IP origem e a porta origem do pacote que inicia a conexão.
dest_address/dest_port - O endereço IP destino e a porta destino do pacote que inicia a conexão.
interface_inside - O nome da interface na qual o pacote que iniciou a conexão chega.
interface_outside - O nome da interface na qual o pacote que iniciou a conexão existe.
limit - O limite de conexão embrionária configurado para a classe de tráfego.
A solução para esse problema é desabilitar a inspeção de RTSP no Security Appliance como mostrado.
policy-map global_policy class inspection_default inspect dns migrated_dns_map_1 inspect ftp inspect h323 h225 inspect h323 ras inspect rsh no inspect rtsp
Consulte o bug da Cisco ID CSCsl15229 (somente clientes registrados) para obter mais detalhes.
O ASA descarta o tráfego com a mensagem de erro:%ASA-6-110003: falha de roteamento ao localizar o próximo salto para o protocolo da interface src:porta src IP/src para a interface dest:IP destino/porta dest.
Esse erro ocorre quando o ASA tenta encontrar o próximo salto em uma tabela de roteamento de interface. Normalmente, essa mensagem é recebida quando o ASA tem uma conversão (xlate) construída em uma interface e uma rota apontando para uma interface diferente. Verifique se há um erro de configuração nas instruções NAT. A resolução do erro de configuração pode resolver o erro.
A conexão está bloqueada pelo ASA e esta mensagem de erro é recebida:
%ASA-5-305013: Asymmetric NAT rules matched for forward and reverse flows; Connection protocol src interface_name:source_address/source_port dest interface_name:dest_address/dest_port denied due to NAT reverse path failure.
Quando o NAT é executado, o ASA também tenta reverter o pacote e verifica se ele atinge alguma conversão. Se ele não atingir nenhuma ou uma conversão de NAT diferente, haverá uma incompatibilidade. Geralmente, essa mensagem de erro é exibida quando há diferentes regras de NAT configuradas para o tráfego de saída e de entrada com a mesma origem e destino. Verifique a instrução NAT para o tráfego em questão.
Esse erro significa que as conexões para um servidor localizado em um ASA atingiram seu limite máximo. Isso pode ser uma indicação de um ataque de DoS a um servidor em sua rede. Use MPF no ASA e reduza o limite de conexões embrionárias. Além disso, habilite a detecção de conexão inoperante (DCD). Consulte este snippet de configuração:
class-map limit match access-list limit ! policy-map global_policy class limit set connection embryonic-conn-max 50 set connection timeout embryonic 0:00:10 dcd ! access-list limit line 1 extended permit tcp any host x.x.x.x
Essa mensagem de log é recebida quando a verificação de caminho reverso está habilitada. Execute este comando para resolver o problema e desabilitar a verificação de caminho reverso:
no ip verify reverse-path interface
Esta mensagem de erro é recebida no ASA:
%ASA-4-733100: [Miralix Licen 3000] drop rate-1 exceeded. Current burst rate is 100 per second, max configured rate is 10; Current average rate is 4 per second, max configured rate is 5; Cumulative total count is 2526
Essa mensagem é gerada pela detecção de ameaças devido à configuração padrão quando um comportamento de tráfego anômalo é detectado. A mensagem enfoca o Miralix License 3000, que é uma porta TCP/UDP. Localize o dispositivo que está usando a porta 3000. Verifique as estatísticas gráficas do ASDM para detecção de ameaças e verifique os principais ataques para ver se ele mostra a porta 3000 e o endereço IP origem. Se for um dispositivo legítimo, você poderá aumentar a taxa básica de detecção de ameaças no ASA para resolver essa mensagem de erro.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
17-Oct-2006 |
Versão inicial |