Anticisco
https://anticisco.ru/forum/

ASA5520 flow limit
https://anticisco.ru/forum/viewtopic.php?f=8&t=510
Страница 1 из 1

Автор:  Ilya [ 05 фев 2010, 18:32 ]
Заголовок сообщения:  ASA5520 flow limit

Добрый день, коллеги.

моя многострадальная (неудачная что ли попалась) АСАшка снова чудит, уже второй раз. Смысл такой, настроены ряд трансляций:

Код:
nat (inside) 0 access-list NAT0
nat (inside) 1 access-list NAT
nat (outside) 0 access-list vpns
nat (outside) 5 access-list SMTP dns outside tcp 15000 500  udp 400

global (inside) 5 192.168.100.130
global (VTK) 1 interface
global (outside) 1 interface


В общем, смысл такой, что только одна трансляция имеет коннекшн-лимиты.
Раз в несколько дней (разное количество) асашка начинает применять эти лимиты ко всем остальным трансляциям, исключая nat 0. Что сразу выливается в плешь у меня на голове.
Спасает ребут.

для справки упомянутые списки NAT и SMTP:

Код:
access-list SMTP line 1 extended permit tcp any host 62.x.9.216 eq www (hitcnt=0) 0x76f67400
access-list SMTP line 2 extended permit tcp any host 62.x.9.216 eq https (hitcnt=0) 0x0c56b102
access-list SMTP line 3 extended permit tcp any host 62.x.9.216 eq 7143 (hitcnt=0) 0x637ac85f
access-list SMTP line 4 extended permit tcp any host 62.x.9.216 eq 7993 (hitcnt=0) 0x3d57d53d
access-list SMTP line 5 extended permit tcp any host 62.x.9.216 eq 7110 (hitcnt=0) 0xfe261e4d
access-list SMTP line 6 extended permit tcp any host 62.x.9.216 eq 7995 (hitcnt=0) 0x467afe73
access-list SMTP line 7 extended permit tcp any host 62.x.9.216 eq domain (hitcnt=0) 0x37613c5b
access-list SMTP line 8 extended permit udp any host 62.x.9.216 eq domain (hitcnt=0) 0xe0d6e927
access-list SMTP line 9 extended permit tcp any host 62.x.9.216 eq smtp (hitcnt=0) 0x9e331af3
access-list SMTP line 10 extended permit tcp any host 62.x.9.216 eq 2525 (hitcnt=0) 0xa119c712
access-list SMTP line 11 extended permit tcp any host 62.x.9.216 eq 7025 (hitcnt=0) 0xe496ef82


Код:
access-list NAT line 1 extended permit ip 192.168.2.0 255.255.255.0 any (hitcnt=0) 0xfd7cca37
access-list NAT line 2 extended permit ip 192.168.3.0 255.255.255.0 any (hitcnt=0) 0xfeefc4b0
access-list NAT line 3 extended permit ip 192.168.100.0 255.255.255.0 any (hitcnt=0) 0xd0ce34f9
access-list NAT line 4 extended permit ip 192.168.4.0 255.255.255.0 any (hitcnt=0) 0x11ad55e6
access-list NAT line 5 extended permit ip 192.168.10.0 255.255.255.0 any (hitcnt=0) 0x783edd7e
access-list NAT line 6 extended permit ip 172.16.0.0 255.255.0.0 any (hitcnt=0) 0xee5e2980
access-list NAT line 7 extended permit ip 172.17.0.0 255.255.0.0 any (hitcnt=0) 0xa85ea099
access-list NAT line 8 extended permit ip 192.168.230.0 255.255.255.0 any (hitcnt=0) 0xc0871b5b


адрес интерфейса outside - 62.x.9.220

Обновление с 8.0.4 до 8.0.5 не помогло. на 7.х откатываться не могу.

Собственно вопросов несколько:
1. Нет ли ошибки в конфигах?
2. Если нет, то в принципе можно сделать коннекшн-лимиты через policy-map. Какое из двух решений лучше?
3. Другие идеи?

Заранее спасибо.

С уважением,
Илья

Автор:  Fedia [ 05 фев 2010, 21:45 ]
Заголовок сообщения:  Re: ASA5520 flow limit

Илюх, я мыслю так же: если гора не идёт к Магомету... Делаем set connection в политике и дело в шляпе. Должно быть :)

Кстати, вот это чето делает
nat (outside) 0 access-list vpns
?

Автор:  Ilya [ 05 фев 2010, 21:57 ]
Заголовок сообщения:  Re: ASA5520 flow limit

Fedia писал(а):
Илюх, я мыслю так же: если гора не идёт к Магомету... Делаем set connection в политике и дело в шляпе. Должно быть :)

Кстати, вот это чето делает
nat (outside) 0 access-list vpns
?

:) А зачем вообще два метода установки лимитов?

nat 0 на outside я делал для remote vpn клиентов. может зря. перестраховался просто

Автор:  Fedia [ 07 фев 2010, 12:25 ]
Заголовок сообщения:  Re: ASA5520 flow limit

Дело у в том, что как ты помнишь nat 0 отрабатывает только в сторону интерфейсов с меньшей или такой же секурностью. Получается, что ты зря смущаешь железку.
Я бы убрал.

Автор:  Ilya [ 08 фев 2010, 17:00 ]
Заголовок сообщения:  Re: ASA5520 flow limit

Спасибо за науку, Сереж, убрал. Переделал на полиси-мап, полет нормальный.

Темку можно закрыть и перебросить в решенные по безопасности.

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/