Configurar a característica do desvio do estado TCP no 5500 Series ASA

Documentos relacionados
Exemplo de configuração da característica do desvio do estado ASA 8.2.X TCP

ASA 8.3 e mais atrasado: Desabilite a inspeção global do padrão e permita a inspeção de aplicativo não-padrão usando o ASDM

ASA 8.3 e mais atrasado: Desabilite a inspeção global do padrão e permita a inspeção de aplicativo não-padrão usando o ASDM

ASA/PIX 7.X: Desabilite a inspeção global do padrão e permita a inspeção de aplicativo nãopadrão

FTD: Como permitir a configuração do desvio do estado TCP usando a política de FlexConfig

Edição ASA 8.3: MSS excedido - Os clientes HTTP não podem consultar a alguns Web site

Configurar um server público com Cisco ASDM

As conexões wireless da mobilidade falham e não recuperam quando o ASA é recarregado

PIX/ASA 7.x e later/fwsm: Ajuste o timeout de conexão SSH/Telnet/HTTP usando o exemplo da configuração MPF

Aplicação do aprimoramento de recursos ASA SNMP

ASA 7.x/PIX 6.x e acima: Aberto/bloco o exemplo de configuração das portas

PIX/ASA 7.x e later/fwsm: Ajuste o timeout de conexão SSH/Telnet/HTTP usando o exemplo da configuração MPF

Transferência de arquivo ASA com exemplo de configuração FXP

Este documento não se restringe a versões de software e hardware específicas.

ASA 8.3 e mais atrasado: Ajuste o timeout de conexão SSH/Telnet/HTTP usando o exemplo da configuração MPF

Configurando uma rede privado para privado de túnel IPSec de roteador com NAT e uma estática

ASA 8.3 e mais atrasado: Exemplo de Configuração de Habilitação de Serviços de FTP/TFTP

ASA 8.X e mais tarde: Adicionar ou altere uma lista de acessos com o exemplo da configuração GUI ASDM

Troubleshooting da configuração da tradução de endereço de rede ASA

ASA 8.3(x): Conecte três redes internas com o exemplo de configuração do Internet

Autenticação do proxy de autenticação de partida - Nenhuma Cisco IOS Firewall ou configuração de NAT

PIX/ASA 7.x: Exemplo de Configuração de Habilitação de Serviços de FTP/TFTP

Permita o acesso ao Internet para o módulo ips ASA 5500-X

ASDM 6.4: Túnel do VPN de Site-para-Site com exemplo de configuração IKEv2

FWSM: Pesquise defeitos o tráfego falhas devido para lesar xlates

Grupos da autorização do comando shell ACS no exemplo de configuração IO e ASA/PIX/FWSM

Grupos da autorização do comando shell ACS no exemplo de configuração IO e ASA/PIX/FWSM

Utilização de Números de Porta FTP Não- Padrão com NAT

Troubleshooting da configuração da tradução de endereço de rede ASA

Usando o Cisco IOS Firewall para permitir Java applets dos locais conhecidos ao negar outro

Função de balanceamento de carga IO NAT para duas conexões ISP

Configurar a transmissão da porta da versão ASA 9.x com NAT

Permita o Preprocessor Inline da normalização e compreenda a inspeção PRE-ACK e Cargo-ACK

Túnel VPN de Lan para Lan entre duas PIXes usando o exemplo de configuração PDM

PIX/ASA 7.x e FWSM: Indicações NAT e de PANCADINHA

ASA 8.3: Estabeleça e pesquise defeitos a Conectividade através do dispositivo do Cisco Security

Roteador Cisco como um servidor de VPN remoto usando o exemplo da configuração de SDM

Função de balanceamento de carga IO NAT com roteamento de extremidade aperfeiçoado para duas conexões com o Internet

Configurar a infraestrutura de software VRFciente (VASI) NAT em IOS-XE

Erros de GUI 7.x expressos do gerente das comunicações unificadas

Configurar o módulo de abertura de FirePOWER para eventos do tráfego do sistema usando ASDM (o Gerenciamento da Em-caixa)

Balanceamento de Carga de NAT no IOS para Duas Conexões de ISP

Configurando IPSec entre três roteadores usando endereços privados

Configurar o módulo de FirePOWER para a rede AMP ou o controle de arquivos com ASDM.

Criação de túnel redundante entre Firewall usando o PDM

Utilizando NAT em redes sobrepostas

PIX/ASA: Exemplo de configuração da característica da atualização automática do cliente do IPSec VPN

Capturas de pacote de informação ASA com CLI e exemplo da configuração ASDM

Exemplo de configuração do ISDN - IP

Configurar o acesso do telnet/ssh ao dispositivo com VRF

Exemplo transparente da configuração de firewall do módulo firewall service

Conhecimento do Firewall da ferramenta de segurança (ASA) e do ASDM adaptáveis. Conhecimento do dispositivo da potência de fogo.

PIX/ASA 7.x e mais tarde: Exemplo de configuração do filtro VPN (porta específica ou protocolo da licença) para o L2L e o Acesso remoto

CS-MARS: Adicionar o sensor do ips Cisco como um dispositivo de relatório ao exemplo de configuração CS-MARS

PIX/ASA 7.x e mais tarde com exemplo de configuração do Syslog

IPS 6.X e later/idsm2: A relação Inline emparelha o modo usando o exemplo de configuração IDM

Configurando a tradução de endereço de rede: Getting Started

Configurar a infraestrutura de software VRFciente (VASI) NAT em IOS-XE

Capturas de pacote de informação ASA com CLI e exemplo da configuração ASDM

Failover ISP com rotas padrão usando o seguimento IP SLA

SEGURANÇA APLICADA MATERIAL 19

Como Evitar Loops de Roteamento ao Usar NAT Dinâmico

IPS 7.X: Autenticação de login de usuário usando ACS 5.X como o exemplo da configuração de servidor RADIUS

Use o NAT para esconder o endereço IP real do ONS15454 para estabelecer uma sessão CTC

Configurar IP SLA que segue para as rotas estáticas IPv4 em um interruptor SG550XG

Matriz de Suporte de Catalyst Switch de Tradução de Endereço de Rede

ASA 8.3 e mais atrasado: Acesso de servidor do correio (S TP) no exemplo de configuração da rede interna

Como configurar o Cisco VPN 3000 Concentrator para apoiar a autenticação TACACS+ para contas de gerenciamento

IPSec/GRE com o NAT no exemplo de configuração do IOS Router

Configuração de exemplo utsando o comando ip nat outside source static

Índice. Introdução. Pré-requisitos. Requisitos

ASA 9.x: Configurar serviços FTP/TFTP

Configurar a decriptografia de SSL no módulo de FirePOWER usando ASDM (o Gerenciamento da Em-caixa)

Configurar receptores da notificação de SNMP em um interruptor com o CLI

Switches do 3550/3560 Series do catalizador usando o exemplo de configuração com base na porta do controle de tráfego

Exemplo de configuração para a integração NON-segura CUCM SCCP com CUC

Pré-requisitos. Requisitos. Componentes Utilizados

IPv4-Based ACL & configuração ACE no Switches ESW2-350G

Policy Routing with Catalyst 3550 Series Switch Configuration Example

Exemplo de configuração local da autenticação da Web do portal do convidado do Identity Services Engine

Exemplo de configuração do Syslog ASA

ACL no exemplo da configuração de controle do Wireless LAN

GRE sobre o IPsec com o EIGRP a distribuir com um exemplo de configuração do hub e das sites remoto múltiplo

Permita server UC para o conjunto da cruz da mobilidade de extensão (EMCC)

A integração da versão de ACS 5.4 com Motorola voa (AP) o exemplo de configuração 5.X

Vazamento de rota em redes MPLS/VPN

Configuração da recusa de técnicas de prevenção do serviço (série da Segurança) em switch empilhável do Sx500 Series

Configurar o Access point de pouco peso como um suplicante do 802.1x

Exclusão do tráfego ASA da inspeção CWs com exemplo de configuração FQDN

Configurar o ASA com regras do controle de acesso dos serviços da potência de fogo para filtrar o tráfego do cliente VPN de AnyConnect ao Internet

Pesquise defeitos o valor DSCP em mudanças QOS em ASR9000

Configurando o PPTP através da PAT para um Microsoft PPTP Server

Configurando a tradução de endereço de rede: Introdução

Centro de gerenciamento da potência de fogo: Contadores de acertos da política do controle de acesso do indicador

Permita o LAT sobre um túnel GRE com exemplo de configuração da Conversão de protocolo

Autenticação CS com ACS e autorização com exemplo de configuração local RBAC

Transcrição:

Configurar a característica do desvio do estado TCP no 5500 Series ASA Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Convenções Informações de Apoio Visão geral de características do desvio do estado TCP Informação da sustentação Configurar Cenário 1 Cenário 2 Verificar Troubleshooting Mensagens de erro Informações Relacionadas Introdução Este documento descreve como configurar a característica do desvio do estado TCP, que permite que o tráfego de saída e entrada corra através do Dispositivos de segurança adaptáveis Cisco ASA série 5500 separado (ASA). Pré-requisitos Requisitos Cisco ASA deve ter pelo menos a licença baixa instalada antes que você possa continuar com a configuração que está descrita neste documento. Componentes Utilizados A informação neste documento é baseada no 5500 Series de Cisco ASA que executa a versão de software 9.x.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando. Convenções Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos. Informações de Apoio Esta seção fornece uma vista geral da característica do desvio do estado TCP e da informação da sustentação relacionada. Visão geral de características do desvio do estado TCP Àrevelia, todo o tráfego que passa com o ASA é inspecionado através do algoritmo de segurança adaptável e é reservado completamente ou deixado cair baseado na política de segurança. A fim maximizar o desempenho do Firewall, o ASA verifica o estado de cada pacote (por exemplo, verifica se seja uma nova conexão ou uma conexão estabelecida) e atribui-lhe ao um ou outro o trajeto do gerenciamento de sessão (um pacote do sincronizar da nova conexão (SYN)), o caminho rápido (uma conexão estabelecida), ou o trajeto do plano do controle (inspeção avançada). Os pacotes de TCP que combinam as conexões atual no caminho rápido podem passar com o ASA sem uma reverificação de cada aspecto da política de segurança. Esta característica maximiza o desempenho. Contudo, o método que é usado a fim estabelecer a sessão no caminho rápido (que usa o pacote SYN) e as verificações que ocorrem no caminho rápido (tal como o número de sequência TCP) pode estar na maneira de soluções assimétricas do roteamento; os fluxos de partida e de entrada de uma conexão devem passar com o mesmo ASA. Por exemplo, uma nova conexão vai a ASA 1. O pacote SYN passa através do trajeto do gerenciamento de sessão, e uma entrada para a conexão é adicionada à tabela do caminho rápido. Se os pacotes subsequente nesta conexão atravessam ASA 1, os pacotes combinam a entrada no caminho rápido e estão passados completamente. Se os pacotes subsequente vão a ASA 2, onde não havia um pacote SYN que atravesse o trajeto do gerenciamento de sessão, a seguir não há nenhuma entrada no caminho rápido para a conexão, e os pacotes são deixados cair. Se você tem o roteamento assimétrico configurado nos roteadores fluxo acima, e o tráfego alterna entre dois ASA, a seguir você pode configurar a característica do desvio do estado TCP para o tráfego específico. A característica do desvio do estado TCP altera a maneira que as sessões estão estabelecidas no caminho rápido e desabilita as verificações do caminho rápido. Esta característica trata o tráfego TCP muito enquanto trata uma conexão de UDP: quando um pacote NON-SYN que combine as redes especificadas não incorpora o ASA, e lá é nenhuma entrada do caminho rápido, a seguir o pacote atravessa o trajeto do gerenciamento de sessão a fim estabelecer a conexão no caminho rápido. Uma vez no caminho rápido, o tráfego contorneia as

verificações do caminho rápido. Esta imagem fornece um exemplo do roteamento assimétrico, aonde o tráfego de saída atravessa um ASA diferente do que o tráfego de entrada: Nota: A característica do desvio do estado TCP é desabilitada à revelia no 5500 Series de Cisco ASA. Adicionalmente, a configuração do desvio do estado TCP pode causar um alto número de conexões se não é executada corretamente. Informação da sustentação Esta seção descreve a informação da sustentação para a característica do desvio do estado TCP. O do  do ââ do modo do contexto a característica do desvio do estado TCP é apoiado em único e em modos de contexto múltiplo. O do  do ââ do modo de firewall a característica do desvio do estado TCP é apoiado em roteado e em modos transparente. do  do ââ do Failover o Failover dos suportes de recurso do desvio do estado TCP. Estas características não são apoiadas quando você usa a característica do desvio do estado TCP: A inspeção de aplicativo do do  do ââ da inspeção de aplicativo exige que ambos que o tráfego de entrada e de saída passa com o mesmo ASA, assim que a inspeção de aplicativo não é apoiada com a característica do desvio do estado TCP. O Authentication, Authorization, and Accounting (AAA) autenticou o do  do ââ das sessões quando um usuário autentica com um ASA, o tráfego que os retornos através do outro ASA são negados porque o usuário não autenticou com esse ASA. O TCP Intercept, limite máximo da conexão embriônica, do  do ââ do randomization do

número de sequência TCP O ASA não faz trilha do estado da conexão, assim que estas características não são aplicadas. O do  do ââ da normalização TCP o normalizador TCP é desabilitado. O módulo de Serviços de segurança (SS) e do cartão dos Serviços de segurança do  do ââ da funcionalidade (SSC) você não pode usar a característica do desvio do estado TCP com nenhuns aplicativos que são executado em um SS ou em SSC, tal como a Segurança IPS ou de índice (CSC). Nota: Porque a sessão de conversão é estabelecida separadamente para cada ASA, assegure-se de que você configure a tradução de endereço da rede estática (NAT) em ambos os ASA para o tráfego do desvio do estado TCP. Se você usa o NAT dinâmico, o endereço que é escolhido para a sessão em ASA 1 diferirá do endereço que é escolhido para a sessão em ASA 2. Configurar Esta seção descreve como configurar a característica do desvio do estado TCP no 5500 Series ASA em duas encenações diferentes. Nota: Use a ferramenta de consulta de comandos (clientes registrados somente) a fim obter mais informação nos comandos que são usados nesta seção. Cenário 1 Esta é a topologia que é usada para a primeira encenação: Nota: Você deve aplicar a configuração que é descrita nesta seção a ambos os ASA.

Termine estas etapas a fim configurar a característica do desvio do estado TCP: 1. 2. Incorpore o comando do class_map_name do mapa de classe a fim criar um mapa da classe. O mapa da classe é usado a fim identificar o tráfego para que você quer desabilitar a inspeção do firewall stateful.nota: O mapa da classe que é usado neste exemplo é tcp_bypass.asa(config)#class-map tcp_bypass Inscreva o comando parameter do fósforo a fim especificar o tráfego do interesse dentro do mapa da classe. Quando você usa a estrutura de política modular, use o comando accesslist do fósforo no modo da configuração de mapa de classe a fim usar uma lista de acessos para a identificação do tráfego a que você quer aplicar ações. Está aqui um exemplo desta configuração: ASA(config)#class-map tcp_bypass ASA(config-cmap)#match access-list tcp_bypassnota: Os tcp_bypass são o nome da lista de acesso que é usada neste exemplo. Refira a seção de identificação do tráfego (mapa da classe da camada 3/4) do manual de configuração do 5500 Series de Cisco ASA usando o CLI, 8.2 para obter mais informações sobre de como especificar o tráfego do interesse. 3. Inscreva o comando name do mapa de política a fim adicionar um mapa de política ou editar um mapa de política (de que está já atual) que atribui as ações para ser considerações recolhidas ao tráfego do mapa da classe especificada. Quando você usa a estrutura de política modular, use o comando policy-map (sem o tipo palavra-chave) no modo de configuração global a fim atribuir ações ao tráfego que você identificou com um mapa da classe da camada 3/4 (o mapa de classe ou o tipo comando management do mapa de classe). Neste exemplo, o mapa de política é tcp_bypass_policy: 4. Inscreva o comando class no modo da configuração de mapa de política a fim atribuir o mapa criado da classe (tcp_bypass) ao mapa de política (tcp_bypass_policy) de modo que você possa atribuir as ações ao tráfego do mapa da classe. Neste exemplo, o mapa da classe é tcp_bypass: ASA(config-pmap)#class tcp_bypass 5. Incorpore o comando do TCP-estado-desvio das avançado-opções da conexão do grupo ao modo de configuração de classe a fim permitir a característica do desvio do estado TCP. Este comando foi introduzido na versão 8.2(1). O modo de configuração de classe é acessível do modo da configuração de mapa de política, segundo as indicações deste exemplo: ASA(config-pmap)#class tcp_bypass ASA(config-pmap-c)#set connection advanced-options tcp-state-bypass 6. Incorpore o policymap_name da serviço-política [global conecte o comando do intf] no modo de configuração global a fim ativar globalmente um mapa de política em todas as relações ou em uma relação visada. A fim desabilitar a política de serviços, não use nenhum formulário deste comando. Inscreva o comando service-policy a fim permitir um grupo de políticas em uma relação. A palavra-chave global aplica o mapa de política a todas as relações, e a palavra-chave da relação aplica o mapa de política a somente uma relação. Somente uma política global é permitida. A fim cancelar a política global em uma relação, você pode aplicar uma política de serviços a essa relação. Você pode aplicar somente um mapa de política a cada relação. Aqui está um exemplo: ASA(config-pmap-c)#service-policy tcp_bypass_policy outside Está aqui um exemplo de configuração para a característica do desvio do estado TCP em ASA1:

!--- Configure the access list to specify the TCP traffic!--- that needs to by-pass inspection to improve the performance. ASA1(config)#access-list tcp_bypass extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255.0!--- Configure the class map and specify the match parameter for the!--- class map to match the interesting traffic. ASA1(config)#class-map tcp_bypass ASA1(config-cmap)#description "TCP traffic that bypasses stateful firewall" ASA1(config-cmap)#match access-list tcp_bypass!--- Configure the policy map and specify the class map!--- inside this policy map for the class map. ASA1(config-cmap)#policy-map tcp_bypass_policy ASA1(config-pmap)#class tcp_bypass!--- Use the set connection advanced-options tcp-state-bypass!--- command in order to enable TCP state bypass feature. ASA1(config-pmap-c)#set connection advanced-options tcp-state-bypass!--- Use the service-policy policymap_name [ global interface intf ]!--- command in global configuration mode in order to activate a policy map!--- globally on all interfaces or on a targeted interface. ASA1(config-pmap-c)#service-policy tcp_bypass_policy outside!--- NAT configuration ASA1(config)#object network obj-10.1.1.0 ASA1(config-network-object)#subnet 10.1.1.0 255.255.255.0 ASA1(config-network-object)#nat(inside,outside) static 192.168.1.0 Está aqui um exemplo de configuração para a característica do desvio do estado TCP em ASA2:!--- Configure the access list to specify the TCP traffic!--- that needs to by-pass inspection to improve the performance. ASA2(config)#access-list tcp_bypass extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0 255.255.255.0!--- Configure the class map and specify the match parameter for the!--- class map to match the interesting traffic. ASA2(config)#class-map tcp_bypass ASA2(config-cmap)#description "TCP traffic that bypasses stateful firewall" ASA2(config-cmap)#match access-list tcp_bypass!--- Configure the policy map and specify the class map!--- inside this policy map for the class map. ASA2(config-cmap)#policy-map tcp_bypass_policy ASA2(config-pmap)#class tcp_bypass!--- Use the set connection advanced-options tcp-state-bypass!--- command in order to enable TCP state bypass feature. ASA2(config-pmap-c)#set connection advanced-options tcp-state-bypass

!--- Use the service-policy policymap_name [ global interface intf ]!--- command in global configuration mode in order to activate a policy map!--- globally on all interfaces or on a targeted interface. ASA2(config-pmap-c)#service-policy tcp_bypass_policy outside!--- NAT configuration ASA2(config)#object network obj-10.1.1.0 ASA2(config-network-object)#subnet 10.1.1.0 255.255.255.0 ASA1(config-network-object)#nat(inside,outside) static 192.168.1.0 Cenário 2 Esta seção descreve como configurar a característica do desvio do estado TCP no ASA para as encenações que usam o roteamento assimétrico, onde o tráfego incorpora e sae do ASA da mesma relação (u-gerencio). Está aqui a topologia que é usada nesta encenação: Termine estas etapas a fim configurar a característica do desvio do estado TCP: 1. Crie uma lista de acesso a fim combinar o tráfego que deve contornear a inspeção TCP: ASA(config)#access-list tcp_bypass extended permit tcp 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0 2. Incorpore o comando do class_map_name do mapa de classe a fim criar um mapa da classe. O mapa da classe é usado a fim identificar o tráfego para que você quer desabilitar a inspeção do firewall stateful.nota: O mapa da classe que é usado neste exemplo é tcp_bypass.asa(config)#class-map tcp_bypass

3. Inscreva o comando parameter do fósforo a fim especificar o tráfego do interesse no mapa da classe. Quando você usa a estrutura de política modular, use o comando access-list do fósforo no modo da configuração de mapa de classe a fim usar uma lista de acessos para a identificação do tráfego a que você quer aplicar ações. Está aqui um exemplo desta configuração: ASA(config)#class-map tcp_bypass ASA(config-cmap)#match access-list tcp_bypassnota: Os tcp_bypass são o nome da lista de acesso que é usada neste exemplo. Refira a identificação da seção do tráfego (mapa da classe da camada 3/4) do manual de configuração do 5500 Series de Cisco ASA usando o CLI, 8.2 para obter mais informações sobre de como especificar o tráfego do interesse. 4. Inscreva o comando name do mapa de política a fim adicionar um mapa de política ou editar um mapa de política (de que está já atual) esse ajusta as ações para ser considerações recolhidas ao tráfego do mapa da classe especificada. Quando você usa a estrutura de política modular, use o comando policy-map (sem o tipo palavra-chave) no modo de configuração global a fim atribuir as ações ao tráfego que você identificou com um mapa da classe da camada 3/4 (o mapa de classe ou o tipo comando management do mapa de classe). Neste exemplo, o mapa de política é tcp_bypass_policy: 5. Inscreva o comando class no modo da configuração de mapa de política a fim atribuir o mapa criado da classe (tcp_bypass) ao mapa de política (tcp_bypass_policy) de modo que você possa atribuir ações ao tráfego do mapa da classe. Neste exemplo, o mapa da classe é tcp_bypass: ASA(config-pmap)#class tcp_bypass 6. Incorpore o comando do TCP-estado-desvio das avançado-opções da conexão do grupo ao modo de configuração de classe a fim permitir a característica do desvio do estado TCP. Este comando foi introduzido na versão 8.2(1). O modo de configuração de classe é acessível do modo da configuração de mapa de política, segundo as indicações deste exemplo: ASA(config-pmap)#class tcp_bypass ASA(config-pmap-c)#set connection advanced-options tcp-state-bypass 7. Incorpore o policymap_name da serviço-política [global conecte o comando do intf] no modo de configuração global a fim ativar globalmente um mapa de política em todas as relações ou em uma relação visada. A fim desabilitar a política de serviços, não use nenhum formulário deste comando. Inscreva o comando service-policy a fim permitir um grupo de políticas em uma relação. A palavra-chave global aplica o mapa de política a todas as relações, e a palavra-chave da relação aplica a política a somente uma relação. Somente uma política global é permitida. A fim cancelar a política global em uma relação, você pode aplicar uma política de serviços a essa relação. Você pode aplicar somente um mapa de política a cada relação. Aqui está um exemplo: ASA(config-pmap-c)#service-policy tcp_bypass_policy inside 8. Permita o mesmo nível de segurança para o tráfego no ASA: ASA(config)#same-security-traffic permit intra-interface Está aqui um exemplo de configuração para a característica do desvio do estado TCP no ASA:!--- Configure the access list to specify the TCP traffic!--- that needs to bypass inspection to improve the performance. ASA(config)#access-list tcp_bypass extended permit tcp 192.168.2.0 255.255.255.0

192.168.1.0 255.255.255.0!--- Configure the class map and specify the match parameter for the!--- class map to match the interesting traffic. ASA(config)#class-map tcp_bypass ASA(config-cmap)#description "TCP traffic that bypasses stateful firewall" ASA(config-cmap)#match access-list tcp_bypass!--- Configure the policy map and specify the class map!--- inside this policy map for the class map. ASA(config-pmap)#class tcp_bypass!--- Use the set connection advanced-options tcp-state-bypass!--- command in order to enable TCP state bypass feature. ASA(config-pmap-c)#set connection advanced-options tcp-state-bypass!--- Use the service-policy policymap_name [ global interface intf ]!--- command in global configuration mode in order to activate a policy map!--- globally on all interfaces or on a targeted interface. ASA(config-pmap-c)#service-policy tcp_bypass_policy inside!--- Permit same security level traffic on the ASA to support U-turning ASA(config)#same-security-traffic permit intra-interface Verificar Inscreva o comando show conn a fim ver o número de TCP ativo e de conexões de UDP e a informação sobre as conexões de vários tipos. A fim indicar o estado de conexão para o tipo de conexão designado, inscreva o comando show conn no modo de exec privilegiado. Nota: Esse comando oferece suporte aos endereços IPv4 e IPv6. A saída que é indicada para as conexões que usam a característica do desvio do estado TCP inclui a bandeira B. Estão aqui umas saídas de exemplo: ASA(config)show conn 1 in use, 3 most used TCP tcp 10.1.1.1:49525 tcp 172.16.1.1:21, idle 0:01:10, bytes 230, flags b Troubleshooting Não há nenhuma informação de Troubleshooting específica para esta característica. Refira estes documentos para a informação de Troubleshooting geral da Conectividade: Capturas de pacote de informação ASA com CLI e exemplo da configuração ASDM ASA 8.2: O pacote corre através do Firewall de Cisco ASA Nota: As conexões do desvio do estado TCP não replicated à unidade em standby em um

par de failover. Mensagens de erro O ASA indica este Mensagem de Erro mesmo depois que a característica do desvio do estado TCP é permitida: %PIX ASA-4-313004:Denied ICMP type=icmp_type, from source_address oninterface interface_name to dest_address:no matching session Os pacotes do Internet Control Message Protocol (ICMP) são deixados cair pelo ASA devido às verificações de segurança que são adicionadas pela característica do stateful ICMP. Estes são geralmente respostas de eco ICMP sem uma requisição de eco válida já passada através do ASA, ou mensagens de erro ICMP que não são relacionados a nenhuma sessão TCP, UDP, ou ICMP estabelecida atualmente no ASA. O ASA indica este log mesmo se a característica do desvio do estado TCP é permitida porque a incapacidade desta funcionalidade (isto é, verifica das entradas do retorno ICMP para ver se há o tipo 3 na tabela de conexão) não é possível. Contudo, a característica do desvio do estado TCP trabalha corretamente. Incorpore este comando a fim impedir a aparência destas mensagens: hostname(config)#no logging message 313004 Informações Relacionadas Cisco Adaptive Security Device Manager Cisco ASA 5500 Series Adaptive Security Appliances Solicitações de Comentários (RFCs) Suporte Técnico e Documentação - Cisco Systems

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback