配置在5500系列的ASA的TCP状态旁路功能-Cisco.PDF

配置在5500系列的ASA的TCP状态旁路功能 目录 简介 先决条件 要求 使用的组件 规则 背景信息 TCP状态旁路功能概述 支持信息 配置 场景 1 场景 2 验证 故障排除 错误消息 相关信息 简介 本文描述如何配置TCP状态旁路功能，允许出站和入站数据流流经分开的Cisco ASA 5500系列自适 应安全设备(ASA)。 先决条件 要求 思科ASA必须有安装的至少基础许可证，在您能继续进行在本文描述的配置前。 使用的组件 运行软件版本9.x的本文档中的信息根据5500系列Cisco的ASA。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 背景信息 此部分提供TCP状态旁路功能和相关支持信息的概述。 TCP状态旁路功能概述 默认情况下，穿过ASA的所有流量通过自适应安全算法被检查和通过允许或丢弃基于安全策略。为 了最大化防火墙性能， ASA检查每数据包的状态(例如，证实它是否是新连接或建立的连接)并且分 配它到任一会话管理路径(新连接同步(SYN)数据包)，快速路径(建立的连接)，或者控制层面路径(先 进的检查)。 在快速路径匹配当前连接的TCP信息包能穿过ASA，不用安全策略的每个方面复校。此功能最大化 性能。然而，使用为了在快速路径(建立会话使用SYN数据包)的方法，并且在快速路径发生的检查 (例如TCP序列号)能阻碍不对称的路由解决方案;连接的出站和入站流必须穿过同样ASA。 例如，新连接去ASA 1。SYN数据包穿过会话管理路径，并且连接的一个条目被添加到快速路径表 。如果在此连接的后续信息包通过ASA 1 ，数据包在快速路径匹配条目和通过通过。如果后续信息 包去ASA 2 ，其中没有通过会话管理路径的SYN数据包，则没有条目在连接的快速路径，并且数据 包丢弃。 如果有在上游路由器配置的不对称路由，并且流量交替在两ASA之间，则您能配置特定的流量的 TCP状态旁路功能。TCP状态旁路功能改变方式会话在快速路径建立并且禁用快速路径检查。当对 待UDP连接，此功能对待TCP数据流：当匹配指定的网络时的非SYN数据包输入ASA和那里是没有 快速路径条目，然后数据包通过会话管理路径为了在快速路径建立连接。一旦在快速路径，流量绕 过快速路径检查。 此镜像提供不对称路由示例，出站流量比入站数据流通过不同的ASA ： 注意 ：默认情况下TCP状态旁路功能在5500系列Cisco的ASA禁用。另外，如果没有适当地实 现， TCP状态旁路配置能导致连接大量。 支持信息 此部分描述TCP状态旁路功能的支持信息。 上下文模式â TCP状态旁路功能单个和多个上下文模式支持  。 防火墙模式â TCP状态旁路功能已路由和透明模式支持  。 故障切换â  TCP状态旁路功能支持故障切换。 这些功能，当您使用TCP状态旁路功能时，不支持： 应用检查â  应用检查要求入站和出站通流量通过同样ASA的两个，因此应用检查不支持与 TCP状态旁路功能。 验证、授权和统计(AAA)认证的会话â  ，当用户验证与一个ASA，回归通过另一个ASA拒绝 的流量，因为用户没有验证与该ASA。 TCP拦截，最大初期连接限制， TCP序列号随机化â  ASA不连接的状态的跟踪，因此这些 功能没有应用。 TCP标准化â  TCP规整器禁用。 安全服务模块(SSM)和安全服务卡德(SSC)功能â  您不能以在SSM或SSC运行，例如IPS或 内容安全的任何应用程序使用TCP状态旁路功能(CSC)。 注意 ：由于转换会话为每个ASA分开建立，请保证您配置静态网络地址转换(NAT)在两个 TCP状态旁路流量的ASA。如果使用动态NAT，为ASA的1会话选择的地址与为ASA的2.会话 选择的地址将有所不同。 配置 此部分描述如何配置在ASA的TCP状态旁路功能5500系列在两个不同的方案。 注意 ：请使用命令查找工具(仅限注册用户)为了得到关于在此部分使用的命令的更多信息。 场景 1 这是使用第一个方案的拓扑： 注意 ：您必须运用在对两个的此部分描述ASA的配置。 完成这些步骤为了配置TCP状态旁路功能： 1. 输入类映