Cisco ASA 5505 :: 限制使用主機的技術(使用基本許可證最多 10 個)
不知道 ASA 5505 基本許可證將並發主機的數量限制為 10(RTFM,我知道)。執行“顯示本地主機”我看到我的主機數為 8,這對於位於 ASA 後面的生產 Web 伺服器來說太接近了。
進一步調查,我發現有幾台主機被計算為僅限 VPN 訪問,這讓我感到驚訝,因為這些是內部主機,既不接收也不啟動來自外部的流量。或者我認為,看起來有問題的 2 個內部主機(Linux 機器)定期通過埠 123 向外部 NTP 伺服器發送一個 UDP 數據包,以保持正確的系統時間。這有點嚴重,不是嗎?單個數據包算作主機,哎喲。
無論如何,我想我可以通過使用一個可公開訪問的伺服器作為 NTP 伺服器來保留這兩個主機,而不是去公共 NTP 伺服器獲取目前時間。基本上我希望主機計數反對:
- 我們的 2 個名稱伺服器 2) 生產網路伺服器接受 4 個 NAT’d public-to-dmz IPs
而不是針對只需要更新系統時間的私人伺服器。
另外,為了澄清一下,主機計數是基於任何內部介面接收/啟動到/從外部的流量?換句話說,私有 10.1.xx 上與外部沒有連接的伺服器不計為主機。
目前我需要保持在基本許可證 10 主機限制內,但隨著容量需求的增加,顯然會升級到 50 個使用者許可證。
這不是很好,但是在 ASA 和您的內部網路之間放置一個 NAT 路由器將限制 ASA 計數的主機數量,因為它只會計算 NAT 路由器,而在它後面沒有任何東西作為主機。
根據我的經驗,升級到更高的數字並不是那麼昂貴——可能比處理對內部網路進行 NAT 的麻煩更值得支付。
根據我的經驗,思科花費了很長時間來發布升級密鑰 - 所以請務必及時下訂單。當我在站點訪問期間發現 10 台主機問題時,我使用 NAT 技巧來啟動並執行遠端(如金沙薩中的遠端)網路。這讓我們度過了難關,直到思科讓我們升級,我們可以重新配置 ASA。
您可能不必使用 NAT - 我認為僅使用路由子網可能會起作用,但我還沒有嘗試過。