Troubleshooting de Conexões via PIX e ASA

Introdução

Este documento fornece ideias de troubleshooting e sugestões para quando o Cisco ASA 5500 Series Adaptive Security Appliance (ASA) e o Cisco PIX 500 Series Security Appliance forem usados. Na maioria das vezes, quando os aplicativos ou as fontes de rede quebram ou não estão disponíveis, os firewalls (PIX ou ASA) tendem a ser o principal alvo e são apontados como a causa das interrupções. Com alguns testes no ASA ou PIX, um administrador pode determinar se o ASA/PIX causa ou não o problema.

Consulte PIX/ASA: Estabelecimento e Troubleshooting de Conectividade com o Cisco Security Appliance para saber mais sobre o troubleshooting relacionado a interfaces nos Cisco Security Appliances.

Observação: este documento se concentra no ASA e no PIX. Quando a solução de problemas for concluída no ASA ou no PIX, é provável que seja necessária uma solução de problemas adicional com outros dispositivos (roteadores, switches, servidores e assim por diante).

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas no Cisco ASA 5510 com OS 7.2.1 e 8.3.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Este documento também pode ser usado com as seguintes versões de hardware e software:

• ASA e PIX OS 7.0, 7.1, 8.3 e posterior

• Firewall Services Module (FWSM) 2.2, 2.3 e 3.1

Nota:Comandos e sintaxes específicos podem variar de acordo com a versão do software.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

O exemplo supõe que o ASA ou o PIX está em produção. A configuração do ASA/PIX pode ser relativamente simples (apenas 50 linhas de configuração) ou complexa (de centenas a milhares de linhas de configuração). Os usuários (clientes) ou servidores podem estar em uma rede segura (interna) ou em uma rede não segura (DMZ ou externa).

O ASA começa com essa configuração. A configuração destina-se a dar ao laboratório um ponto de referência.

ciscoasa#show running-config
: Saved
:
ASA Version 7.2(1) 
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 172.22.1.160 255.255.255.0 
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 
!
interface Ethernet0/2
 nameif dmz
 security-level 50
 ip address 10.1.1.1 255.255.255.0 
!
interface Management0/0
 shutdown
 no nameif    
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list outside_acl extended permit tcp any host 172.22.1.254 eq www 
access-list inside_acl extended permit icmp 192.168.1.0 255.255.255.0 any 
access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq www 
access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq telnet 
pager lines 24
mtu outside 1500
mtu inside 1500
mtu dmz 1500
no asdm history enable
arp timeout 14400
global (outside) 1 172.22.1.253
nat (inside) 1 192.168.1.0 255.255.255.0



!--- The above NAT statements are replaced by the following statements !--- for ASA 8.3 and later.

object network obj-192.168.1.0
  subnet 192.168.1.0 255.255.255.0
  nat (inside,outside) dynamic 172.22.1.253


static (inside,outside) 192.168.1.100 172.22.1.254 netmask 255.255.255.255 


!--- The above Static NAT statement is replaced by the following statements !--- for ASA 8.3 and later.

object network obj-172.22.1.254
  host 172.22.1.254
  nat (inside,outside) static 192.168.1.100 
access-group outside_acl in interface outside
access-group inside_acl in interface inside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Problema

Um usuário entra em contato com o departamento de TI e informa que o aplicativo X não funciona mais. O incidente é escalado para o administrador do ASA/PIX. O administrador tem pouco conhecimento desse aplicativo específico. Com o uso do ASA/PIX, o administrador descobre quais portas e protocolos o aplicativo X usa, bem como qual pode ser a causa do problema.

Solução

O administrador do ASA/PIX precisa coletar o máximo possível de informações do usuário. As informações úteis incluem:

• Endereço IP de origem—Geralmente, é a estação de trabalho ou o computador do usuário.

• Endereço IP destino—O endereço IP do servidor que o usuário ou aplicativo tenta conectar.

• Portas e protocolos usados pelo aplicativo

Muitas vezes, o administrador tem a sorte de obter uma resposta para uma dessas perguntas. Para este exemplo, o administrador não pode coletar nenhuma informação. Uma revisão das mensagens de syslog do ASA/PIX é ideal, mas será difícil localizar o problema se o administrador não souber o que procurar.

Etapa 1 - Descobrir o endereço IP do usuário

Há muitas maneiras de descobrir o endereço IP do usuário. Este documento é sobre o ASA e o PIX, portanto este exemplo usa o ASA e o PIX para descobrir o endereço IP.

O usuário tenta se comunicar com o ASA/PIX. Essa comunicação pode ser ICMP, Telnet, SSH ou HTTP. O protocolo escolhido deve ter atividade limitada no ASA/PIX. Neste exemplo específico, o usuário efetua ping na interface interna do ASA.

O administrador precisa configurar uma ou mais dessas opções e fazer com que o usuário execute um ping para a interface interna do ASA.

• Syslog

  Verifique se o registro está ativado. O nível do log deve ser definido como debug. O registro pode ser enviado para vários locais. Este exemplo usa o buffer de log do ASA. Você pode precisar de um servidor de registro externo em ambientes de produção.

  ciscoasa(config)#logging enable
  ciscoasa(config)#logging buffered debugging
  

  O usuário efetua ping na interface interna do ASA (ping 192.168.1.1). Esta saída é exibida.

  ciscoasa#show logging
  
  !--- Output is suppressed.
  
  %ASA-6-302020: Built ICMP connection for faddr 192.168.1.50/512 
  gaddr 192.168.1.1/0 laddr 192.168.1.1/0
  %ASA-6-302021: Teardown ICMP connection for faddr 192.168.1.50/512 
  gaddr 192.168.1.1/0 laddr 192.168.1.1/0
  
  !--- The user IP address is 192.168.1.50.
  
  

• Recurso de captura do ASA

  O administrador precisa criar uma lista de acesso que defina o tráfego que o ASA precisa capturar. Após a definição da lista de acesso, o comando capture incorpora a lista de acesso e a aplica a uma interface.

  ciscoasa(config)#access-list inside_test permit icmp any host 192.168.1.1
  ciscoasa(config)#capture inside_interface access-list inside_test interface inside
  

  O usuário efetua ping na interface interna do ASA (ping 192.168.1.1). Esta saída é exibida.

  ciscoasa#show capture inside_interface
     1: 13:04:06.284897 192.168.1.50 > 192.168.1.1: icmp: echo request
  
  !--- The user IP address is 192.168.1.50.
  
  

  Nota:Para baixar o arquivo de captura para um sistema como o ethereal, você pode proceder conforme mostrado nesta saída.

  
  !--- Open an Internet Explorer and browse with this https link format:
  
  https://[
          
          
            / 
           
             ]/capture/ 
            
              /pcap 
             
            
          
  

  Consulte ASA/PIX: Exemplo de Configuração de Captura de Pacotes usando CLI e ASDM para saber mais sobre a Captura de Pacotes no ASA.

• Debug

  O comando debug icmp trace é usado para capturar o tráfego ICMP do usuário.

  ciscoasa#debug icmp trace
  

  O usuário efetua ping na interface interna do ASA (ping 192.168.1.1). Esta saída é exibida no console.

  ciscoasa# 
  
  !--- Output is suppressed.
  
  ICMP echo request from 192.168.1.50 to 192.168.1.1 ID=512 seq=5120 len=32
  ICMP echo reply from 192.168.1.1 to 192.168.1.50 ID=512 seq=5120 len=32
  
  !--- The user IP address is 192.168.1.50.
  
  

  Para desabilitar o debug icmp trace, use um destes comandos:

  • no debug icmp trace

  • undebug icmp trace

  • undebug all, Undebug all ou un all

Cada uma dessas três opções ajuda o administrador a determinar o endereço IP origem. Neste exemplo, o endereço IP origem do usuário é 192.168.1.50. O administrador está pronto para aprender mais sobre o aplicativo X e determinar a causa do problema.

Etapa 2 - Localizar a causa do problema

Com referência às informações listadas na seção Etapa 1 deste documento, o administrador agora conhece a origem de uma sessão X do aplicativo. O administrador está pronto para aprender mais sobre o aplicativo X e começar a localizar onde os problemas podem estar.

O administrador do ASA/PIX precisa preparar o ASA para pelo menos uma das sugestões listadas. Quando o administrador estiver pronto, o usuário iniciará o aplicativo X e limitará todas as outras atividades, já que atividades adicionais do usuário podem causar confusão ou induzir o administrador do ASA/PIX a erro.

• Monitore as mensagens de syslog.

  Procure o endereço IP de origem do usuário que você identificou no Passo 1. O usuário inicia o aplicativo X. O administrador do ASA executa o comando show logging e exibe a saída.

  ciscoasa#show logging
  
  !--- Output is suppressed.
  
  %ASA-7-609001: Built local-host inside:192.168.1.50
  %ASA-6-305011: Built dynamic TCP translation from inside:192.168.1.50/1107 
  to outside:172.22.1.254/1025
  %ASA-6-302013: Built outbound TCP connection 90 for outside:172.22.1.1/80 
  (172.22.1.1/80) to inside:192.168.1.50/1107 (172.22.1.254/1025)

  Os registros revelam que o endereço IP destino é 172.22.1.1, o protocolo é TCP, a porta destino é HTTP/80 e que o tráfego é enviado para a interface externa.

• Modifique os filtros de captura.

  O comando access-list inside_test foi usado anteriormente e é usado aqui.

  ciscoasa(config)#access-list inside_test permit ip host 192.168.1.50 any
  
  !--- This ACL line captures all traffic from 192.168.1.50 !--- that goes to or through the ASA.
  
  ciscoasa(config)#access-list inside_test permit ip any host 192.168.1.50 any
  
  !--- This ACL line captures all traffic that leaves !--- the ASA and goes to 192.168.1.50.
  
  ciscoasa(config)#no access-list inside_test permit icmp any host 192.168.1.1
  ciscoasa(config)#clear capture inside_interface
  
  !--- Clears the previously logged data. !--- The no capture inside_interface removes/deletes the capture.
  
  

  O usuário inicia o aplicativo X. Em seguida, o administrador do ASA executa o comando show capture inside_interface e exibe a saída.

  ciscoasa(config)#show capture inside_interface
  1: 15:59:42.749152 192.168.1.50.1107 > 172.22.1.1.80: 
  S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK>
  2: 15:59:45.659145 192.168.1.50.1107 > 172.22.1.1.80: 
  S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK>
  3: 15:59:51.668742 192.168.1.50.1107 > 172.22.1.1.80: 
  S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK>

  O tráfego capturado fornece ao administrador várias informações valiosas:

  • Endereço destino—172.22.1.1

  • Número da porta—80/http

  • Protocolo—TCP (observe a flag "S" ou syn)

  Além disso, o administrador também sabe que o tráfego de dados do aplicativo X chega ao ASA.

  Se a saída tiver sido a saída do comando show capture inside_interface, o tráfego do aplicativo nunca terá alcançado o ASA ou o filtro de captura não foi definido para capturar o tráfego:

  ciscoasa#show capture inside_interface
  0 packet captured
  0 packet shown

  Nesse caso, o administrador deve considerar investigar o computador do usuário e qualquer roteador ou dispositivo de rede no caminho entre esse computador e o ASA.

  Nota:Quando o tráfego chega em uma interface, o comando capture registra os dados antes que qualquer política de segurança do ASA analise o tráfego. Por exemplo, uma lista de acesso nega todo o tráfego de entrada em uma interface. O comando capture ainda registra o tráfego. A política de segurança do ASA analisa o tráfego.

• Debug

  O administrador não está familiarizado com o aplicativo X e, portanto, não sabe qual dos serviços de depuração ativar para a investigação do aplicativo X. A depuração pode não ser a melhor opção de solução de problemas neste momento.

Com as informações coletadas na Etapa 2, o administrador do ASA obtém vários bits de informações valiosas. O administrador sabe que o tráfego chega à interface interna do ASA, endereço IP origem, endereço IP destino e o aplicativo de serviço X usa (TCP/80). A partir dos syslogs, o administrador também sabe que a comunicação foi inicialmente permitida.

Etapa 3 - Confirmar e monitorar o tráfego de aplicativos

O administrador do ASA deseja confirmar se o tráfego do aplicativo X saiu do ASA, bem como monitorar qualquer tráfego de retorno do servidor do aplicativo X.

• Monitore as mensagens de syslog.

  Filtre as mensagens de syslog para o endereço IP origem (192.168.1.50) ou o endereço IP destino (172.22.1.1). Na linha de comando, a filtragem de mensagens de syslog é semelhante a show logging | inclua 192.168.1.50 ou show logging | incluir 172.22.1.1. Neste exemplo, o comando show logging é usado sem filtros. A saída é suprimida para facilitar a leitura.

  ciscoasa#show logging
  
  !--- Output is suppressed.
  
  %ASA-7-609001: Built local-host inside:192.168.1.50
  %ASA-7-609001: Built local-host outside:172.22.1.1
  %ASA-6-305011: Built dynamic TCP translation from inside:192.168.1.50/1107 
  to outside:172.22.1.254/1025
  %ASA-6-302013: Built outbound TCP connection 90 for outside:172.22.1.1/80 
  (172.22.1.1/80) to inside:192.168.1.50/1107 (172.22.1.254/1025)
  %ASA-6-302014: Teardown TCP connection 90 for outside:172.22.1.1/80 
  to inside:192.168.1.50/1107 duration 0:00:30 bytes 0 SYN Timeout
  %ASA-7-609002: Teardown local-host outside:172.22.1.1 duration 0:00:30
  %ASA-6-305012: Teardown dynamic TCP translation from inside:192.168.1.50/1107 
  to outside:172.22.1.254/1025 duration 0:01:00
  %ASA-7-609002: Teardown local-host inside:192.168.1.50 duration 0:01:00

  A mensagem de syslog indica que a conexão foi fechada devido ao tempo limite de SYN. Isso informa ao administrador que nenhuma resposta do servidor de aplicativos X foi recebida pelo ASA. Os motivos do encerramento da mensagem do Syslog podem variar.

  O tempo limite de SYN é registrado devido a um encerramento forçado de conexão após 30 segundos que ocorre após a conclusão do handshake triplo. Esse problema geralmente ocorre se o servidor não responde a uma solicitação de conexão e, na maioria dos casos, não está relacionado à configuração no PIX/ASA.

  Para resolver esse problema, consulte esta lista de verificação:

  1. Verifique se o comando static foi inserido corretamente e se não se sobrepõe a outros comandos static, por exemplo,

     static (inside,outside) x.x.x.x  y.y.y.y netmask 255.255.255.255
     

     O NAT estático no ASA 8.3 e posterior pode ser configurado como mostrado aqui:

     object network obj-y.y.y.y
      host y.y.y.y
      nat (inside,outside) static x.x.x.x

  2. Certifique-se de que exista uma lista de acesso para permitir o acesso ao endereço IP global a partir do exterior e que ela esteja vinculada à interface:

     access-list OUTSIDE_IN extended permit tcp any host x.x.x.x eq www
     access-group OUTSIDE_IN in interface outside
     

  3. Para uma conexão bem-sucedida com o servidor, o gateway padrão no servidor deve apontar para a interface DMZ do PIX/ASA.

  Consulte Mensagens de Sistema do ASA para obter mais informações sobre as mensagens do Syslog.

• Crie um novo filtro de captura.

  A partir de mensagens de syslog e tráfego capturadas anteriormente, o administrador sabe que o aplicativo X deve deixar o ASA através da interface externa.

  ciscoasa(config)#access-list outside_test permit tcp any host 172.22.1.1 eq 80
  
  !--- When you leave the source as 'any', it allows !--- the administrator to monitor any network address translation (NAT).
  
  ciscoasa(config)#access-list outside_test permit tcp host 172.22.1.1 eq 80 any
  
  !--- When you reverse the source and destination information, !--- it allows return traffic to be captured.
  
  ciscoasa(config)#capture outside_interface access-list outside_test interface outside
  

  O usuário precisa iniciar uma nova sessão com o aplicativo X. Depois que o usuário inicia uma nova sessão do aplicativo X, o administrador do ASA precisa executar o comando show capture outside_interface no ASA.

  ciscoasa(config)#show capture outside_interface
  3 packets captured
     1: 16:15:34.278870 172.22.1.254.1026 > 172.22.1.1.80: 
  S 1676965539:1676965539(0) win 65535 <mss 1380,nop,nop,sackOK>
     2: 16:15:44.969630 172.22.1.254.1027 > 172.22.1.1.80: 
  S 990150551:990150551(0) win 65535 <mss 1380,nop,nop,sackOK>
     3: 16:15:47.898619 172.22.1.254.1027 > 172.22.1.1.80: 
  S 990150551:990150551(0) win 65535 <mss 1380,nop,nop,sackOK>
  3 packets shown

  A captura mostra o tráfego saindo da interface externa, mas não mostra nenhum tráfego de resposta do servidor 172.22.1.1. Essa captura mostra os dados à medida que eles saem do ASA.

• Uso da opção packet-tracer.

  Nas seções anteriores, o administrador do ASA aprendeu informações suficientes para usar a opção packet-tracer no ASA.

  Nota:O ASA oferece suporte ao comando packet-tracer a partir da versão 7.2.

  ciscoasa#packet-tracer input inside tcp 192.168.1.50 1025 172.22.1.1 http
  
  !--- This line indicates a source port of 1025. If the source !--- port is not known, any number can be used. !--- More common source ports typically range !--- between 1025 and 65535.
  
  Phase: 1
  Type: CAPTURE
  Subtype: 
  Result: ALLOW
  Config:
  Additional Information:
  MAC Access list
  
  Phase: 2
  Type: ACCESS-LIST
  Subtype: 
  Result: ALLOW
  Config:
  Implicit Rule
  Additional Information:
  MAC Access list
  
  Phase: 3
  Type: FLOW-LOOKUP
  Subtype: 
  Result: ALLOW
  Config:
  Additional Information:
  Found no matching flow, creating a new flow
                
  Phase: 4
  Type: ROUTE-LOOKUP
  Subtype: input
  Result: ALLOW
  Config:
  Additional Information:
  in   172.22.1.0      255.255.255.0   outside
  
  Phase: 5
  Type: ACCESS-LIST
  Subtype: log
  Result: ALLOW
  Config:
  access-group inside_acl in interface inside
  access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq www 
  Additional Information:
  
  Phase: 6
  Type: IP-OPTIONS
  Subtype: 
  Result: ALLOW
  Config:
  Additional Information:
                
  Phase: 7
  Type: CAPTURE
  Subtype: 
  Result: ALLOW
  Config:
  Additional Information:
  
  Phase: 8
  Type: NAT
  Subtype: 
  Result: ALLOW
  Config:
  nat (inside) 1 192.168.1.0 255.255.255.0
    match ip inside 192.168.1.0 255.255.255.0 outside any
      dynamic translation to pool 1 (172.22.1.254)
      translate_hits = 6, untranslate_hits = 0
  Additional Information:
  Dynamic translate 192.168.1.50/1025 to 172.22.1.254/1028 
  using netmask 255.255.255.255
  
  Phase: 9
  Type: NAT
  Subtype: host-limits
  Result: ALLOW
  Config:       
  nat (inside) 1 192.168.1.0 255.255.255.0
    match ip inside 192.168.1.0 255.255.255.0 outside any
      dynamic translation to pool 1 (172.22.1.254)
      translate_hits = 6, untranslate_hits = 0
  Additional Information:
  
  Phase: 10
  Type: CAPTURE
  Subtype: 
  Result: ALLOW
  Config:
  Additional Information:
  
  Phase: 11
  Type: CAPTURE
  Subtype: 
  Result: ALLOW
  Config:
  Additional Information:
  
  Phase: 12
  Type: IP-OPTIONS
  Subtype: 
  Result: ALLOW 
  Config:
  Additional Information:
  
  Phase: 13
  Type: CAPTURE
  Subtype: 
  Result: ALLOW
  Config:
  Additional Information:
  
  Phase: 14
  Type: FLOW-CREATION
  Subtype: 
  Result: ALLOW
  Config:
  Additional Information:
  New flow created with id 94, packet dispatched to next module
  
  Phase: 15
  Type: ROUTE-LOOKUP
  Subtype: output and adjacency
  Result: ALLOW
  Config:
  Additional Information:
  found next-hop 172.22.1.1 using egress ifc outside
  adjacency Active
  next-hop mac address 0030.a377.f854 hits 11
  
  !--- The MAC address is at Layer 2 of the OSI model. !--- This tells the administrator the next host !--- that should receive the data packet.
  
  
  Result:
  input-interface: inside
  input-status: up
  input-line-status: up
  output-interface: outside
  output-status: up
  output-line-status: up
  Action: allow

  A saída mais importante do comando packet-tracer é a última linha: Action: allow.

As três opções na Etapa 3 mostram ao administrador que o ASA não é responsável pelos problemas do aplicativo X. O tráfego do aplicativo X sai do ASA e o ASA não recebe uma resposta do servidor do aplicativo X.

O que vem a seguir?

Há muitos componentes que permitem que o aplicativo X funcione corretamente para os usuários. Os componentes incluem o computador do usuário, o cliente do aplicativo X, roteamento, políticas de acesso e o servidor do aplicativo X. No exemplo anterior, provamos que o ASA recebe e encaminha o tráfego do aplicativo X. Os administradores do servidor e do aplicativo X devem participar. Os administradores devem verificar se os serviços do aplicativo estão em execução, examinar os logs no servidor e verificar se o tráfego do usuário é recebido pelo servidor e pelo aplicativo X.

Problema: mensagem de erro de encerramento de conexão TCP-Proxy

Você recebe esta mensagem de erro:

%PIX|ASA-5-507001: Terminating TCP-Proxy connection from 
interface_inside:source_address/source_port to interface_outside:dest_address/dest_port - 
reassembly limit of limit bytes exceeded

Solução

Explicação: Esta mensagem é exibida quando o limite do buffer de remontagem é excedido durante a montagem de segmentos TCP.

• source_address/source_port - O endereço IP origem e a porta origem do pacote que inicia a conexão.

• dest_address/dest_port - O endereço IP destino e a porta destino do pacote que inicia a conexão.

• interface_inside - O nome da interface na qual o pacote que iniciou a conexão chega.

• interface_outside - O nome da interface na qual o pacote que iniciou a conexão existe.

• limit - O limite de conexão embrionária configurado para a classe de tráfego.

A solução para esse problema é desabilitar a inspeção de RTSP no Security Appliance como mostrado.

policy-map global_policy
 class inspection_default
  inspect dns migrated_dns_map_1 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  no inspect rtsp

Consulte o bug da Cisco ID CSCsl15229 (somente clientes registrados) para obter mais detalhes.

Problema: Mensagem de Erro "%ASA-6-110003: Falha do roteamento ao localizar o próximo salto para o protocolo da interface src"

O ASA descarta o tráfego com a mensagem de erro:%ASA-6-110003: falha de roteamento ao localizar o próximo salto para o protocolo da interface src:porta src IP/src para a interface dest:IP destino/porta dest.

Solução

Esse erro ocorre quando o ASA tenta encontrar o próximo salto em uma tabela de roteamento de interface. Normalmente, essa mensagem é recebida quando o ASA tem uma conversão (xlate) construída em uma interface e uma rota apontando para uma interface diferente. Verifique se há um erro de configuração nas instruções NAT. A resolução do erro de configuração pode resolver o erro.

Problema: Conexão bloqueada pelo ASA com a mensagem de erro " %ASA-5-305013: Regras NAT assimétricas correspondentes para fluxos de encaminhamento e de reversão"

A conexão está bloqueada pelo ASA e esta mensagem de erro é recebida:

%ASA-5-305013: Asymmetric NAT rules matched for forward
	 and reverse flows; Connection protocol src
	 interface_name:source_address/source_port dest
	 interface_name:dest_address/dest_port denied due to NAT reverse path
	 failure.

Solução

Quando o NAT é executado, o ASA também tenta reverter o pacote e verifica se ele atinge alguma conversão. Se ele não atingir nenhuma ou uma conversão de NAT diferente, haverá uma incompatibilidade. Geralmente, essa mensagem de erro é exibida quando há diferentes regras de NAT configuradas para o tráfego de saída e de entrada com a mesma origem e destino. Verifique a instrução NAT para o tráfego em questão.

Problema: Erro de recebimento - %ASA-5-321001: o limite de 'conns' do recurso de 10000 foi atingido para o sistema

Solução

Esse erro significa que as conexões para um servidor localizado em um ASA atingiram seu limite máximo. Isso pode ser uma indicação de um ataque de DoS a um servidor em sua rede. Use MPF no ASA e reduza o limite de conexões embrionárias. Além disso, habilite a detecção de conexão inoperante (DCD). Consulte este snippet de configuração:

class-map limit
 match access-list limit
!
policy-map global_policy
 class limit
  set connection embryonic-conn-max 50
  set connection timeout embryonic 0:00:10 dcd
!
access-list limit line 1 extended permit tcp any host x.x.x.x 

Problema: Erro de recebimento %PIX-1-106021: negar verificação de caminho reverso TCP/UDP de src_addr para dest_addr na interface int_name

Solução

Essa mensagem de log é recebida quando a verificação de caminho reverso está habilitada. Execute este comando para resolver o problema e desabilitar a verificação de caminho reverso:

no ip verify reverse-path interface  
       

Problema: Interrupção da conectividade com a Internet devido à detecção de ameaças

Esta mensagem de erro é recebida no ASA:

%ASA-4-733100: [Miralix Licen 3000] drop rate-1 exceeded. Current burst
rate is 100 per second, max configured rate is 10; Current average rate is 4
per second, max configured rate is 5; Cumulative total count is 2526

Solução

Essa mensagem é gerada pela detecção de ameaças devido à configuração padrão quando um comportamento de tráfego anômalo é detectado. A mensagem enfoca o Miralix License 3000, que é uma porta TCP/UDP. Localize o dispositivo que está usando a porta 3000. Verifique as estatísticas gráficas do ASDM para detecção de ameaças e verifique os principais ataques para ver se ele mostra a porta 3000 e o endereço IP origem. Se for um dispositivo legítimo, você poderá aumentar a taxa básica de detecção de ameaças no ASA para resolver essa mensagem de erro.

Informações Relacionadas

• Referência de comandos do Cisco ASA
• Referência de Comandos do Cisco PIX
• Mensagens de erro e do sistema do Cisco ASA
• Mensagens de erro e do sistema do Cisco PIX
• Suporte para dispositivos de segurança adaptáveis Cisco ASA 5500 Series
• Suporte aos dispositivos de segurança Cisco PIX 500 Series
• Suporte Técnico e Documentação - Cisco Systems