Port-Forwarding
ASA 未將數據包轉發到出口介面
我們看到執行 Cisco ASA 5505 的一些非常奇怪的行為
9.1(2)我們的網路中有一個 SIP PBX。它的配置有點奇怪,它監聽我們的中繼的入站 SIP 請求
UDP/60052。所以在我們的 ASA 中,我在我們的外部介面上有一個從
UDP/5060到的埠轉發。UDP/6500290%的時間,這工作得很好。然而,剩下的 10% 的時間,到目前為止,它似乎是隨機的,ASA 決定不對傳入流量執行任何操作。
UDP/5060ASA 上的數據包擷取顯示 SIPINVITE請求outside到達介面,但它從未到達出口介面。我們沒有使用任何 SIP 檢查,因為內部伺服器使用
STUN重新映射其 SIP 標頭。NAT 規則:
nat (outside,any) source static obj_any obj_any destination static interface Swyx service Swyx-5060-Service-UDP Swyx-SIP-65002-UDP no-proxy-arp description BC Swyx 5060 > 65002訪問控制列表:
object-group service DM_INLINE_SERVICE_3 service-object object Swyx-RTP-55000 service-object object Swyx-SIP-65002-UDP service-object object RTP access-list outside_access_in_1 extended permit object-group DM_INLINE_SERVICE_3 any object Swyx log critical我錯過了什麼?此版本的 ASA 中是否存在任何已知錯誤?
所以,這裡並不完全有幫助,但我們已經用 Mikrotik 路由器替換了那個 ASA,這個問題已經消失了。
這顯然是 Cisco ASA 的某種錯誤或問題,但我基本上已經厭倦了這些小型 ASA 並開始更換它們。
發生這種情況時,您可以驗證 asa 的 cpu 使用情況和 mem 使用情況嗎?使用大 WAN 連結在高負載下輕鬆丟棄數據包