Ferramenta de segurança FAQ PIX/ASA

Transcrição

1 Ferramenta de segurança FAQ PIX/ASA Perguntas Introdução Compatibilidade com versão de software Problemas de configuração Edições do upgrade de software Problemas de conectividade ASDM relativo Recursos suportados Failover Mensagens de erro Informações Relacionadas Introdução Este documento dá respostas mais frequentemente às perguntas feitas (FAQ) relativas aos dispositivos do Cisco Security, tais como a série PIX 500 e os dispositivos do 5500 Series ASA. O público-alvo para este documento é um administrador da ferramenta de segurança que compreenda comandos CLI e características e tenha a experiência com a configuração de umas versões de software de PIX mais adiantadas. Compatibilidade com versão de software Q. Que dispositivos apoiam PIX 7.x? A. PIX 515, PIX 515E, PIX 525, PIX 535 e toda a versão 7.x e mais recente do software de suporte do Dispositivos de segurança adaptáveis Cisco ASA série 5500 (ASA 5510, ASA 5520, e ASA 5540). As ferramentas de segurança do PIX 501, do PIX 506E, e do PIX 520 não são apoiadas na versão de software 7.x. Q. Eu tenho um modelo PIX 515/515E que seja executado na versão de software 6.x, e eu quero promover a 7.x. Isso é possível? A. Sim, é possível fornecido lhe tem os módulos da memória necessária. Refira a upgrade de memória da ferramenta de segurança de Cisco PIX 515/515E para a versão de software de PIX 7.0 para os requisitos de memória exatos antes que você promova PIX 515/515E. Q. Que são as mudanças e os novos recursos em PIX 7.0? Quando eu promovo da versão 6.x à 7.x, são as características velhas tomadas cuidado de automaticamente? A. Refira mudanças na versão 7.0 da ferramenta de segurança PIX para os detalhes relativos às mudanças e aos novos recursos em PIX 7.0. A maioria mudaram e suplicaram características e os comandos são convertidos automaticamente quando botas da ferramenta de segurança 7.x PIX em seu sistema. Alguns características e comandos exigem a intervenção manual antes ou durante a elevação. Consulte características e comandos mudados e suplicados para mais informação. Problemas de configuração Q. Como você executa uma configuração básica para as ferramentas de segurança que executam 7.x? A. Refira a seção configurando das configurações básicas do guia do comando line configuration do dispositivo do Cisco Security, versão 7.1. Q. Como eu configuro as relações em PIX 7.x?

2 A. O PIX/ASA 7.0 estabelece-se para assemelhar-se de tão perto quanto possível ao do Cisco IOS do roteador e do interruptor. Em PIX/ASA 7.0, a configuração lê como esta: interface Ethernet0 description Outside Interface speed 100 duplex full nameif outside security-level 0 ip address standby Refira configurar parâmetros da relação em PIX 7.0 para mais informação. Q. Como eu crio uma lista de acesso (ACL) no ASA ou no PIX? A. Uma lista de acessos é composta de umas ou várias entradas de controle de acesso (ACE) com as mesmas Listas de acesso identificação da lista de acessos é usada para controlar o acesso de rede ou para especificar o tráfego para que muitas características atuem em cima. A fim adicionar um ACE, use o comando access-list <ID> estendido no modo de configuração global. A fim remover um ACE, não use nenhum formulário deste comando. A fim remover a lista de acessos inteira, use o claro configuram o comando access-list. Este comando access-list permite que todos os anfitriões (na relação a que você aplica a lista de acessos) atravessem a ferramenta de segurança: hostname(config)#access-list ACL_IN extended permit ip any any Se uma lista de acessos é configurada ao tráfego de controle através da ferramenta de segurança, deve ser aplicada a uma relação com o comando access-group antes que tome o efeito. Somente uma lista de acessos pode ser aplicada a cada relação em cada sentido. Incorpore este comando a fim aplicar uma lista de acesso extendida à direção de entrada ou de saída de uma relação: hostname(config)#access-group access_list_name {in out} interface interface_name [per-user-override] Este exemplo mostra uma lista de acessos de entrada aplicada à interface interna que permite a rede /24 através da ferramenta de segurança: hostname(config)#access-list INSIDE extended permit ip any hostname(config)#access-group INSIDE in interface inside Este exemplo mostra uma lista de acessos de entrada aplicada à interface externa que permite que todos os anfitriões na parte externa da ferramenta de segurança tenham o acesso à Web através da ferramenta de segurança ao server em : hostname(config)#access-list OUTSIDE extended permit tcp any host eq www hostname(config)#access-group OUTSIDE in interface outside Nota: As Listas de acesso contêm um implícito negam na extremidade. Isto significa que uma vez que um ACL é aplicado, todo o tráfego permitido não explicitamente por um ACE no ACL está negado. Q. Posso eu usar a relação management0/0 no ASA a fim passar o tráfego como alguma outra relação? A. Sim. Refira o comando do Gerenciamento-somente para mais informação. Q. Que o contexto de segurança na ferramenta de segurança significa? A. Você pode dividir um único hardware PIX nos dispositivos virtuais múltiplos, conhecidos como contextos de segurança. Cada contexto transforma-se um dispositivo independente, com seus próprios política de segurança, relações, e administradores. Os contextos múltiplos são similares a ter dispositivos autônomo múltiplos. Muitas características são apoiadas no modo de contexto múltiplo e incluem tabelas de roteamento, recursos de firewall, IPS, e Gerenciamento. Algumas características não são apoiadas, incluindo o VPN e os protocolos de roteamento dinâmico. Q. Como eu configuro a característica do grupo-fechamento do usuário VPN no ASA ou no PIX? A. A fim configurar o fechamento do grupo, envie o nome da política do grupo no atributo de classe 25 no server do Remote Authentication Dial-In User Service (RADIUS) e escolha o grupo a fim travar o usuário dentro da política.

3 Por exemplo, a fim travar o usuário do cisco123 no grupo de RemoteGroup, defina a classe OU=RemotePolicy do atributo 25 do Internet Engineering Task Force (IETF) para este usuário no servidor Radius. Refira este exemplo de configuração a fim configurar o fechamento do grupo em uma ferramenta de segurança adaptável (ASA) /PIX: group-policy RemotePolicy internal group-policy RemotePolicy attributes dns-server value x.x.x.x group-lock value RemoteGroup tunnel-group RemoteGroup type ipsec-ra tunnel-group RemoteGroup general-attributes address-pool cisco authentication-server-group RADIUS-Group default-group-policy RemotePolicy Nota: O OU ajusta a política do grupo, e a política do grupo trava o usuário no grupo de túneis preferido. A fim estabelecer seu Cisco Secure ACS for Windows, servidor Radius para travar um usuário em um grupo particular configurado no ASA. Q. Como posso eu capturar pacotes no PIX/ASA? A. Os pacotes podem ser capturados no PIX/ASA se você usa a característica da captura de pacote de informação. Refira ASA/PIX/FWSM: Pacote que captura usando o CLI e o exemplo da configuração ASDM para obter mais informações sobre de como configurar a característica da captura de pacote de informação. Q. Como posso eu reorientar o tráfego de HTTP ao HTTPS no ASA? A. Emita o comando redirect HTTP no modo de configuração global em ordem especificam que a ferramenta de segurança reorienta conexões de HTTP ao HTTPS. hostname(config)#http redirect interface [port] Q. Como um ASA aprende sobre o MAC address do host? A. Um ASA emite uma requisição ARP para o host diretamente em uma sub-rede conectada mesmo se emite um pacote SYN ao ASA, que tem a informação ARP no encabeçamento da camada 2. O Firewall não aprende o MAC address do host do pacote SYN e tem que emitir uma requisição ARP para ele. Se o host não está respondendo para a requisição ARP, então o ASA deixa cair o pacote. Q. Há algum impacto direto em Cisco ASA quando o tronco I uma interface física e subinterfaces do uso instaed de usar relações de físico múltiplo? A. Não A não ser o processamento extra exigido para os encabeçamentos 802.1q nos pacotes, não há nenhum outro impacto significativo em Cisco ASA. Q. Posso eu configurar o NAT/PAT entre as mesmas interfaces de segurança de Cisco ASA? A. Sim. Isto é possível do Software Release 8.3 de Cisco ASA. Edições do upgrade de software Q. Eu promovi meu PIX de 6.x a 7.x. Após a elevação eu observei um USO de CPU 8-10% mais alto para o mesmo valor do tráfego? É este aumento normal? A. O PIX 7.0 tem três vezes mais Syslog e novos recursos do que as versões 6.x. O USO de CPU aumentado comparado a 6.x é normal. Problemas de conectividade Q. Eu sou incapaz de sibilar fora da interface externa ao usar a ferramenta de segurança 7.0. Como posso corrigir este problema?

4 A. Há duas opções em PIX 7.x que permitem que os usuários internos sibilem fora. A primeira opção é setup uma regra específica para cada tipo de mensagem de eco. Por exemplo: access-list 101 permit icmp any any echo-reply access-list 101 permit icmp any any source-quench access-list 101 permit icmp any any unreachable access-list 101 permit icmp any any time-exceeded access-group 101 in interface outside Isto permite somente estas mensagens do retorno com o Firewall quando um usuário interno sibila a um host exterior. Os outros tipos de mensagens de status ICMP puderam ser hostis e o Firewall obstrui todos mensagens ICMP restantes. Uma outra opção é configurar a inspeção ICMP. Isto permite que um endereço IP de Um ou Mais Servidores Cisco ICM NT confiado atravesse o Firewall e permite respostas de volta ao endereço confiável somente. Esta maneira, todas as interfaces internas pode sibilar exterior e o Firewall permite que as respostas retornem. Isto igualmente dá-lhe a vantagem de monitorar o tráfego ICMP que atravessa o Firewall. Por exemplo: policy-map global_policy class inspection_default inspect icmp Q. Eu sou incapaz de alcançar a interface interna da ferramenta de segurança quando conectado através de um túnel VPN. Como posso fazer isso? A. A interface interna da ferramenta de segurança não pode ser alcançada da parte externa, e vice-versa, a menos que o acesso de gerenciamento for configurado no modo de configuração global. Uma vez que o acesso de gerenciamento é permitido, o acesso do telnet, SSH, ou HTTP deve ainda ser configurado para os anfitriões desejados. pix(config)#management-access inside pix(config)#show running-config management-access management-access inside Q. Por que sou eu incapaz de conectar o telefone IP através do túnel VPN com o ASA? A. Pode ser uma edição da autenticação. Verifique que o grupo de usuário de telefone IP tem a autenticação (X-AUTH) permitida. ASDM relativo Q. Como faz mim permite/acesso o ASDM em ASA/PIX? A. Você precisa de permitir o servidor HTTPS e de permitir que as conexões de HTTPS à ferramenta de segurança a fim usar o ASDM. Todas estas tarefas são terminadas se você usa o comando setup. Refira permitir o acesso HTTPS para o ASDM para mais informação. Recursos suportados Q. Que são os dois modos de operações na ferramenta de segurança? A. A ferramenta de segurança PIX pode operar-se em dois modos de firewall diferentes: Modo roteado No modo roteado, o PIX tem os endereços IP de Um ou Mais Servidores Cisco ICM NT atribuídos a suas relações e atua como um salto do roteador para os pacotes que passam através dele. Toda a inspeção e decisões de encaminhamento do tráfego são baseadas em parâmetros da camada 3. Isto é como as versões do PIX Firewall mais cedo de 7.0 se operam. Modo transparente No modo transparente o PIX não tem os endereços IP de Um ou Mais Servidores Cisco ICM NT atribuídos a suas relações. Em lugar de atua como uma ponte da camada 2 que mantenha uma tabela de endereços MAC e faça as decisões de encaminhamento baseadas naquela. O uso de lista de acesso IP estendido completas está ainda disponível e o Firewall pode inspecionar a atividade IP em qualquer camada. Neste modo de operação o PIX é referido frequentemente como um Bump In The Wire ou o firewall furtivo. Há outras diferenças significativas a respeito de como o modo transparente se opera em comparação com o modo roteado: Somente duas relações são apoiadas para dentro e fora O NAT não é apoiado ou é exigido desde que o PIX é já não um salto. Nota: O NAT e a PANCADINHA são apoiados no Firewall transparente para liberações ASA/PIX 8.0(2) e mais

5 atrasado. Refira o PIX/ASA: Exemplo transparente da configuração de firewall para obter mais informações sobre de como configurar a ferramenta de segurança no modo transparente. Refira o NAT no modo transparente para mais informação. Nota: Porque os modos transparentes e roteados usam aproximações diferentes à Segurança, a configuração running é cancelada quando o PIX é comutado ao modo transparente. Seja certo salvar sua configuração running do modo roteado para piscar ou um servidor interno. Q. O ASA apoia o Balanceamento de carga ISP? A. Não O Balanceamento de carga deve ser segurado por um roteador que passe o tráfego à ferramenta de segurança. Q. A autenticação md5 com BGP é apoiada com o ASA? A. Não, autenticação md5 não é apoiado com o ASA, mas uma ação alternativa pode ser desabilitá-la. Refira ASA/PIX: BGP com o exemplo de configuração ASA para mais informação. Q. O PIX/ASA apoia relações do EtherChannel/PortChannel? A. Sim, o apoio para o EtherChannel é introduzido na versão de software 8.4 ASA. Você pode configurar até ad EtherChannéis de oito interfaces ativa cada um. Para mais informação, refira Release Note da versão ASA 8.4. Q. Pode Anyconnect e Cisco VPN Client trabalhe junto no ASA? A. Sim, porque não são relacionados. Anyconnect trabalha no SSL e no Cisco VPN Client trabalha no IPSEC. Q. É ASA/PIX pode obstruir Skype? A. Infelizmente, o PIX/ASA não pode obstruir o tráfego do skype. Skype tem a capacidade de negociar portas dinâmica e de usar o tráfego criptografado. Com tráfego criptografado, é virtualmente impossível detectá-lo porque não há nenhum teste padrão a procurar. Você poderia eventualmente usar um Sistema de prevenção de intrusões da Cisco (IPS). Tem algumas assinaturas que podem detectar um cliente de Windows Skype que conecte a Skype o server para sincronizar sua versão. Isto é feito geralmente quando o cliente é iniciado a conexão. Quando o sensor pegara a conexão inicial de Skype, você pode poder encontrar a pessoa que usa o serviço, e obstrui todas as conexões iniciadas de seu endereço IP de Um ou Mais Servidores Cisco ICM NT. Q. O ASA apoia o SNMPv3? A. Sim. O Software Release 8.2 de Cisco ASA apoia a versão 3 do Simple Network Management Protocol (SNMP), a versão a mais nova do SNMP, e adiciona opções da autenticação e da privacidade a fim fixar operações do protocolo. Q. Há uma maneira às entradas de registro com um nome em vez de um endereço IP de Um ou Mais Servidores Cisco ICM NT? A. Use o comando names a fim permitir a associação de um nome com um endereço IP de Um ou Mais Servidores Cisco ICM NT. Você pode associar somente um nome com um endereço IP de Um ou Mais Servidores Cisco ICM NT. Você deve primeiramente usar o comando names antes que você use o comando name. Use o comando name imediatamente depois que você usa o comando names e antes que você use o comando write memory. O comando name permite que você identifique um host por um nome do texto e sequências de caracteres de texto do mapa aos endereços IP de Um ou Mais Servidores Cisco ICM NT. Use o comando clear configure name a fim cancelar a lista dos nomes da configuração. Use o comando no names a fim desabilitar valores de registo do nome. Ambos os comandos name e names salvar na configuração. Q. Está o comando ip accounting disponível em PIX/ASA 7.x? Q. A ferramenta de segurança 7.0 apoia é você lá (AYT) caracteriza? A. Sim. Em uma encenação AYT, um usuário remoto tem um firewall pessoal instalado no PC. O cliente VPN reforça a política de firewall definida no Firewall local, e monitora esse Firewall para certificar-se de que se realizam as corridas. Se o Firewall para de ser executado, o cliente VPN deixa cair a conexão ao PIX ou ao ASA. Este mecanismo de aplicação do Firewall é chamado é você lá (AYT), porque o cliente VPN monitora o Firewall enviando o periódico é você lá? mensagens. Se nenhuma resposta vem, o cliente

6 VPN sabe que o Firewall está para baixo e termina sua conexão à ferramenta de segurança PIX. O administrador de rede pôde configurar estes Firewall PC originalmente, mas com esta aproximação, os usuários podem personalizar suas próprias configurações. Q. O FTP com TLS/SSL é apoiado através da ferramenta de segurança? Em uma conexão de FTP típica, o cliente ou o server devem dizer ao outro que porta a se usar para transferência de dados. O PIX pode inspecionar esta conversação e abrir essa porta. Contudo, com o FTP com TLS/SSL, esta conversação é cifrada e o PIX é incapaz de determinar que portas a abrir. Assim, o FTP com conexão TLS/SSL falha finalmente. Uma alternativa possível é nesta situação usar um cliente de FTP que apoie o uso de de um canal comando clear ao ainda usar TLS/SSL para cifrar o canal de dados. Com esta opção permitida, o PIX deve poder determinar que porta precisa de ser aberta. Q. A ferramenta de segurança apoia o DDNS? A. Sim, o apoio DDNS da ferramenta de segurança. Refira configurar os DN Dinâmicos para mais informação. Q. Faz o suporte de PIX WebVPN/SSL VPN? A. Não, mas é apoiado na ferramenta de segurança adaptável do Cisco 5500 Series (ASA). Q. Faz o Cisco AnyConnect VPN Client do suporte de PIX? A. Não, é apoiado somente na ferramenta de segurança adaptável do Cisco 5500 Series (ASA). Q. Faz o suporte de PIX todos os Módulos de serviços como AIP-SSM e CSC-SSM? Q. O dispositivo do Cisco Security apoia o chave manual do IPsec (criptografia manual)? Q. O ASA apoia o gerenciamento de senha com NT? A. O ASA não apoia o gerenciamento de senha com NT. Nota: A ferramenta de segurança apoia o gerenciamento de senha para o RAIO e os protocolos ldap. Q. Pode o Cisco 5500 Series ASA fazer um Policy Based Routing (PBR) como o roteador Cisco? Por exemplo, o tráfego de correio deve ser distribuído ao primeiro ISP quando o tráfego HTTP dever ser distribuído ao segundo. A. Infelizmente, não há nenhuma maneira de fazer neste tempo o roteamento baseado em política no ASA. Pode ser uma característica que seja adicionada ao ASA no futuro. Nota: O comando route-map é usado redistribuir rotas entre protocolos de roteamento, tais como o OSPF e o RASGO, com o uso do medidor e não ao tráfego regular da rota da política como no Roteadores. Q. Posso eu usar ASA 5510 como um cliente VPN fácil? A. Não A configuração de cliente VPN fácil é apoiada somente em ASA Q. Faz o roteamento assimétrico dos apoios ASA? A. O ASA apoia o roteamento assimétrico na versão 8.2(1) e mais recente. Não é apoiado nas versões ASA antes de 8.2(1). Q. Posso eu configurar o roteamento dinâmico sobre o túnel VPN no ASA? Isto é possível somente usando as interfaces de túnel, que não são apoiadas ainda no ASA. Q. O ASA apoia o cliente de PPTP? Q. O apoio QoS ASA que marca o pacote com DSCP avalia? A. Não, apoia somente a harmonização do tráfego DSCP e passa-a aos dispositivos do salto seguinte sem mudar os valores DSCP. Refira o DSCP e a preservação do DiffServ para mais informação.

7 Q. Que IPsec transforma (ESP, AH) é apoiado nas versões 7.0 e mais recente ASA/PIX? A. Somente a criptografia e a autenticação do Encapsulating Security Payload (ESP) do IPsec são apoiadas. O Authentication Header (AH) transforma não é apoiado nas versões 7.0 e mais recente ASA/PIX. Q. O apoio Universal Plug and Play ASA (UPnP) caracteriza? A. Não, ASA não apoia a característica de Universal Plug and Play (UPnP) a partir de agora. Q. O ASA apoia o roteamento com base na origem? Q. O tráfego H.329 passa com PIX/ASA 8.1 e mais atrasado? Q. O ASA apoia a inspeção do protocolo H.460? Q. O ASA apoia a autorização de exec, que registra o usuário diretamente no modo enable após a autenticação? A. Não, característica da autorização de exec não é apoiado no ASA. Q. O ASA permite que o tráfego de broadcast passe através de sua relação? Q. É possível configurar uma autenticação de dois fatoras L2L VPN entre 5505 ASA? A. A autenticação de dois fatores pode ser começo configurado com versão ASA 8.2.x somente para AnyConnect e SSL VPN. Você não pode configurar a autenticação de dois fatores para L2L VPN. Q. É possível adicionar dois proxys do telefone no mesmo ASA? Não é possível adicionar dois proxys do telefone no mesmo ASA que o ASA não apoia este. Q. O ASA apoia a configuração Netflow? A. Sim, esta característica é apoiada na versão ASA 8.1.x de Cisco e mais tarde. Para detalhes de implementação completos, refira os guias de execução do cisco netflow. Para um sumário de configuração completo, refira os exemplos de configuração para a seção segura do logging de evento de NewFlow de configurar o logging de evento seguro do Netflow. Q. O ASA apoia Sharepoint? A. O ASA 7.1 e 7.2 não apoia Sharepoint. Apoie para Sharepoint 2003 (2.0 e 3.0) começos com versão ASA 8.x. Editar documentos do escritório para Sharepoint 2.0 e 3.0 em um modo pureclientless (nenhuns smarttunnels, nenhum remetente da porta) é apoiada igualmente. os Smart-túneis podem ser usados também, até à data de ASA Todos os recursos básicos apoiados para Sharepoint 2003 em 8.0 são apoiados para 2007 na versão ASA Q. O ASA apoia o cliente nativo L2TP/IPsec em dispositivos de Android? A. Android não é inteiramente em conformidade com RFC e apoiado por Cisco ASA que começa com versão Para mais informação, refira clientes suportados. Q. Que é o número máximo de ACL que podem ser configurados no ASA? A. Não há nenhum limite definido para o número de ACL que podem ser configurados no ASA. Depende da memória atual no ASA. Q. Pode o backup I a configuração ASA com o SNMP? A. Não A fim conseguir isto, você precisa de usar o writenet SNMP, que exige a cópia MIB da configuração de Cisco. Atualmente, isto não é apoiado porque este MIB específico não é apoiado por Cisco ASA. Q. Eu não posso iniciar uma apresentação do portátil durante um atendimento de videoconferência entre unidades da vídeo Cisco. O atendimento video trabalha muito bem, mas a apresentação video do portátil não trabalha.

8 Como esta edição é resolvida? A. Uma videoconferência com uma apresentação do portátil trabalha no protocolo H.239, que não é apoiado em versões de software de Cisco ASA antes de 8.2. A fim assegurar uma apresentação de dados trabalha em uma videoconferência, Cisco ASA deve apoiar a negociação apropriada de H.239 entre os pontos finais video. Este apoio está disponível do Software Release 8.2 e Mais Recente de Cisco ASA. Uma elevação a uma versão estável em um software release, tal como 8.2.4, resolverá esta edição. Q. É possível configurar a autenticação do 802.1x no ASA 5505? Não é possível configurar a autenticação do 802.1x no ASA Q. O tráfego multicast do apoio de Cisco ASA é enviado em um IPSec VPN escava um túnel? Não é possível porque este não é apoiado por Cisco ASA. Como uma ação alternativa, você pode ter o tráfego multicast encapsulado usando o GRE antes que obtém cifrado. Inicialmente, o pacote de transmissão múltipla tem que ser encapsulado usando o GRE em um roteador Cisco, a seguir este pacote GRE será enviado mais a Cisco ASA para a criptografia IPSec. Q. Cisco ASA está sendo executado no Active/modo ativo. Eu quero configurar Cisco ASA como um gateway de VPN. Isso é possível? A. Isto não é possível porque os contextos múltiplos e o VPN não podem ser executado simultaneamente. Cisco ASA puder ser configurado para o VPN quando somente no Active/modo standby. Q. Ao usar Cisco ASA como um servidor de VPN, é possível enviar a informação sobre o tipo de cliente (AnyConnect ou IPsec) a um banco de dados RADIUS através dos registros de contabilidade? A. Isto não é possível porque não há nenhum tal atributo para enviar o tipo de serviço que o cliente está usando. Q. Filtro ASA Botnet: Como você verifica para ver se há relatórios sobre blocos dinâmicos no ASA? A. Os relatórios sobre os blocos dinâmicos no ASA podem ser verificados com o comando top dos relatórios do dinâmico-filtro da mostra. Para mais informação, refira o combate de Botnets usando o filtro de tráfego de Cisco ASA Botnet. Q. O Cisco Discovery Protocol (CDP) é apoiado no PIX/ASA? A. Porque o PIX/ASA é um dispositivo de segurança, não apoia o CDP. Q. Posso eu controlar o ASA usando o Cisco Network Assistant (POSSA)? A. Sim, a versão a mais atrasada da LATA apoia o ASA. Refira os dispositivos apoiados alistam para mais informação. Q. É possível configurar o ASA para atuar como o Certification Authority (CA) e para emitir um certificado aos clientes VPN? A. Sim, com ASA 8.x e mais tarde você pode configurar o ASA para atuar como CA local. Atualmente, o ASA permite somente a autenticação para os clientes VPN SSL com os Certificados emitidos por clientes de IPSec este CA não é apoiado ainda. Refira CA local para mais informação. Nota: A característica local de CA não é apoiada se você usa Failover ativo/ativo ou o Balanceamento de carga VPN. CA local não pode ser subordinado a um outro CA; pode atuar somente como a CA raiz. Failover Q. Pode uma ferramenta de segurança com uma licença do Failover ser parte de um Failover ativo-ativo? A. As unidades de failover da ferramenta de segurança podem ser usadas par de failover ativo/ativo uma vez que têm upgrade de licença ativa/ativa nova do Failover instaladas (o active/active exige um modelo do UR e modelo ativo/ativo um FO ). Refira licenças de recurso e especificações para obter mais informações sobre de licenciar. Q. O ASA apoia SSL VPN quando configurado para o Failover? A. O ASA apoia SSL VPN somente quando configurado para Failover ativo/à espera e não Failover ativo/ativo. Para mais informação, refira a manipulação do Failover ASA do tráfego e das configurações do aplicativo VPN SSL. Mensagens de erro

9 Q. Eu sou incapaz de configurar o Failover quando o EZVPN é permitido em ASA Porque faz este Mensagem de Erro apareça: erro:- o ERRO]] vpnclient permite * desabilite o CONFLITO da CONFIGURAÇÃO do Failover: A configuração que impediria a operação remota bem sucedida do Cisco Easy VPN foi detectada, e está listada acima. Resolva por favor o conflito de configuração acima e re-permita-o? A. Se o ASA 5505 usa o EasyVPN para usuários remotos (modo de cliente), o Failover trabalha, mas se você tem o ASA configurado para o usar com cliente VPN fácil (modo da extensão de rede MODE-NEM), a seguir ele não trabalha quando o Failover é configurado. Assim o Failover trabalha somente quando o ASA usa o EZVPN para usuários remotos (modo de cliente), e assim que este errror ocorre. Q. Eu recebo este Mensagem de Erro quando eu configuro o terceiro VLAN: :- ERRO: Esta licença não reserva configurar mais de 2 relações com nameif e sem nenhum comando dianteiro nesta relação ou em relações do on1 com o nameif já configurado. Como eu posso solucionar esse erro? A. Este erro tem ocorrido devido a uma limitação da licença no ASA. Você deve obter a Segurança mais a licença a fim configurar mais VLAN como no modo roteado. Somente três Vlan ativo podem ser configurados com a licença baixa, e os até 20 Vlan ativo com a Segurança mais a licença. Você pode criar um terceiro VLAN com a licença baixa, mas este VLAN tem somente uma comunicação à parte externa ou ao interior mas não nos ambos sentidos. Se você precisa de ter a comunicação nos ambos sentidos, a seguir você precisa de promover a licença. Igualmente, se você usa a licença baixa, permita que esta relação seja o terceiro VLAN e limite-o de iniciar o contato outro a um VLAN com o hostname (config-if) # nenhum comando number vlan da relação dianteira. Assim o terceiro VLAN pode ser configurado. Q. Como posso eu resolva este Mensagem de Erro: %ASA : Não encontram a interface de saída para o UDP da parte externa: x.x.x.x/xxxx a x.x.x.x/xxxx? A. O ASA dá este Mensagem de Erro quando o cliente VPN tenta usar o programa peer-to-peer e esse tráfego entra no túnel, onde o server peer-to-peer não reside. Configurar o túnel em divisão a fim resolver esta edição de modo que o tráfego que precisa de sair ao Internet não viaje através do túnel e do pacote não seja deixado cair pelo Firewall. Refira ASA/PIX: Permita o Split Tunneling para clientes VPN no exemplo de configuração ASA para obter mais informações sobre da configuração do Split Tunneling no ASA. Q. Como posso eu resolva este Mensagem de Erro: Erro: execupgradesoftware: operação cronometrada para fora com o 0 dos bytes 1 recebidos? A. Quando você tenta promover o AIP-SSM com o FTP, pode intervalo. Aumente o valor de timeout FTP a fim resolver a edição. por exemplo: configure terminal service host network-settings ftp-timeout 2700 exit Salvar mudanças. Q. Como posso eu resolva este Mensagem de Erro: %ASA : CRIPTO: O acelerador de hardware ASA encontrou um erro? A. A fim resolver esta edição, tente uma destas ações alternativas: Desabilite os DTL nas relações ASA em que é permitida. A fim terminar esta solução, ir ao perfil de Anyconnect no ASDM, e remover o tiquetaque ao lado da relação que trabalha para o Anyconnect. Para mais informação, refira a possibilidade da Segurança da camada de transporte de datagram (DTL) com conexões de AnyConnect (SSL). Recarregue o ASA. Este problema elevara devido a um erro no acelerador de hardware do ASA. Há dois erros arquivados em relação a este comportamento. Para mais informação, refira CSCsd43563 (clientes registrados somente) e CSCsc64621" (clientes registrados somente). Q. Como posso eu resolva este Mensagem de Erro: incapaz de enviar o mensagem de autenticação? A. O ASA não apoia o gerenciamento de senha quando você usa a autenticação (interna) LOCAL. Remova o gerenciamento de

10 senha se configurado a fim resolver esta edição. Q. Como posso eu resolva este Mensagem de Erro que é recebido ao testar a autenticação no ASA: ERRO: Authentication Server que não responde: Nenhum erro? ASA# test aaa-server authentication TAC_SRVR_GRP username test password test123 Server IP Address or name: ACS-SERVER INFO: Attempting Authentication test to IP address <ACS-SERVER> (timeout: 12 seconds) ERROR: Authentication Server not responding: No error A. Use qualquens um pontos para resolver este problema: Verifique a Conectividade do ASA ao servidor AAA através do teste de ping e assegure-se de que o servidor AAA seja alcançável do ASA. Verifique a configuração relacionada AAA no ASA e verifique se o servidor AAA esteja mencionado corretamente ou não. ASA# show run aaa-server aaa-server RAD_SRVR_GRP protocol radius aaa-server RAD_SRVR_GRP host ACS-SERVER key * aaa-server TAC_SRVR_GRP protocol tacacs+ aaa-server TAC_SRVR_GRP host ACS-SERVER key * Verifique se o raio é portas TACACS é obstruído por qualquer Firewall no trajeto entre o servidor AAA e o ASA. Assegure-se de que as portas correspondente estejam abertas baseiem no protocolo usado. Verifique os parâmetros no servidor AAA. Recarregue o servidor AAA. Um teste bem-sucedido da autenticação olha como este: ASA(config)# test aaa authentication topix host username test password test1234 INFO: Attempting Authentication test to IP address < > (timeout: 12 seconds) INFO: Authentication Successful Q. Como posso eu resolva este Mensagem de Erro: %Error que abre o erro disk0:/.private/startup-config (sistema de arquivos de leitura apenas) que executa o [FAILED] do comando? A. Formate o flash ou o comando fsck em ASA/PIX a fim resolver esta edição. Q. Como posso eu resolva este Mensagem de Erro ASDM: Soquetes desligado não executados? A. Esta edição ocorre quando a versão 5.0 ou mais recente ASDM é executado no ASA, no PIX, ou no FWSM, e usa a atualização 10 das Javas 6 ou mais tarde. Ao carregar o ASDM, esta mensagem aparece: ASDM cannot be loaded. Click OK to exit ASDM. Unconnected sockets not implemented. A fim resolver esta edição, desinstale a atualização 10 das Javas 6, e instale a atualização 7 das Javas 6. Para mais informação, refira CSCsv12681 (clientes registrados somente). A fim conseguir o ASDM carregar corretamente com a atualização 10 das Javas 6, atualize o ASDM a ASDM 6.1(5)51. Para a informação detalhada, refira a seção do sistema operacional e dos requerimentos de navegador do cliente ASDM da versão 6.1(5) dos Release Note de Cisco ASDM. Q. Como posso eu resolva este Mensagem de Erro: %ASA : Sinal 11 travado em processo/fibra () do executor do async do rtcli do processo/(executor do async do rtcli) no endereço 0xf132e03b, ação corretiva em 0xca1961a0? A. Esta edição pôde ser causada quando o ASDM está usado para alcançar o ASA ou quando há utilização elevada da CPU no ASA. Esta mensagem aparece geralmente quando o mecanismo da recuperação de erro impede que o sistema cause um crash. Se não há nenhuma outra edição com esta mensagem, pode ser ignorada. É um erro recuperável que não impacte o desempenho. Q. O tráfego do Oracle não passa com o Firewall. Como resolvo esse problema? A. Esta edição é causada pela característica da inspeção do sqlnet do Firewall. Quando ocorre, as conexões estão rasgadas para fora.