排除通过pix和asa的连接故障.pdfVIP

排除通过 PIX 和 ASA 的连接故障 目录 简介 先决条件 要求 使用的组件 相关产品 规则 背景信息 问题 解决方案 步骤 1 - 发现用户的 IP 地址 步骤 2 - 找出问题的根源 步骤 3 - 确认和监控应用流量 接下来做什么？ 问题：终止 TCP 代理连接错误消息 解决方案 问题：%ASA-6-110003 ：失败的路由找出协议的下一跳从src接口”错误消息 解决方案 问题：与“%ASA-5-305013的ASA阻塞的连接：为转发和反向流”错误消息匹配的不对称NAT规则 解决方案 问题：接收错误- %ASA-5-321001 ：资源‘为系统到达的conns’限制10000 解决方案 问题：接收错误%PIX-1-106021 ：拒绝TCP/UDP反向路径检查从src_addr到dest_addr在接口 int_name 解决方案 问题：Internet连接的中断由于威胁检测 解决方案 相关信息 简介 本文档提供有关使用 Cisco ASA 5500 系列自适应安全设备 (ASA) 和 Cisco PIX 500 系列安全设备 时的故障排除方法和建议。当应用程序或网络源中断或不可用时，防火墙（PIX 或 ASA）通常成为 主要目标并可能引起中断。管理员在 ASA 或 PIX 上进行一些测试便能确定是否为 ASA/PIX 引发的 问题。 请参阅 PIX/ASA：通过 Cisco 安全设备建立连接并排除连接故障获取有关在 Cisco 安全设备上进行 接口相关故障排除的详细信息。 注意： 本文档重点介绍 ASA 和 PIX。在 ASA 或 PIX 上完成故障排除后，有可能需要在其他设备 （路由器、交换机、服务器等等）上进行额外的故障排除。 先决条件 要求 本文档没有任何特定的要求。 使用的组件 本文档中的信息根据与OS 7.2.1和8.3的思科ASA 5510。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 相关产品 本文档也可用于以下硬件和软件版本： ASA和PIX OS 7.0， 7.1， 8.3和以后 防火墙服务模块 (FWSM) 2.2、2.3 和 3.1 注意： 特定命令和语法因软件版本而异。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 背景信息 示例假设 ASA 或 PIX 处于生产状态。ASA/PIX 配置可以相对简单（仅有 50 个配置行），以可以相 对复杂（有成百上千的配置行）。用户（客户端）或服务器可以在安全网络（内部）上，也可以在 不安全网络（DMZ 或外部）上。 ASA 从此配置开始。此配置旨在为实验室提供一个参考点。 ASA 初始配置 ciscoasa#show running-config : Saved : ASA Version 7.2(1) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0/0 nameif outside security-level 0 ip address 60 ! interface Ethernet0/1 nameif inside security-level 100 ip address ! interface Ethernet0/2 nameif dmz security-level 50 ip address ! interface Management0/0 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive access-list outside_acl extended permit tcp any host 54 eq www access-list inside_acl extended permit icmp any access-list inside_acl extended permit tcp any eq www access-list inside_acl extended permit tcp any eq telnet pager lines 24 mtu outside