Cisco ASA 5505 :: Técnicas para limitar hosts consumidos (máx. 10 com licença básica)

Navegue suas respostas
4

Não estava ciente de que a licença básica do ASA 5505 restringe o número de hosts simultâneos a 10 (RTFM, eu sei). Executando um "show local-host" eu vejo meu host contar em 8, um pouco perto demais para o conforto de um servidor web de produção sentado atrás do ASA.

Investigando mais, vejo alguns hosts contados restritos apenas ao acesso VPN, o que me surpreendeu, pois são hosts internos que não recebem nem iniciam o tráfego de / para fora. Ou então pensei, parece que os dois hosts internos em questão (caixas Linux) enviam periodicamente um único pacote UDP pela porta 123 para os servidores NTP externos para manter o horário correto do sistema. Isso é um pouco severo, não? Um único pacote conta como host, ai.

De qualquer forma, acho que posso preservar esses 2 hosts usando um dos servidores publicamente acessíveis como um servidor NTP, em vez de ir para fora do servidor NTP público para obter a hora atual. Basicamente, eu gostaria que a contagem de host fosse contra:

1) nossos 2 servidores de nomes 2) servidor web de produção aceitando 4 IPs public-to-dmz NATs

e não contra servidores privados que simplesmente precisam atualizar seus tempos de sistema.

Além disso, apenas para esclarecer, a contagem de host é baseada em qualquer interface interna que recebe / inicia o tráfego de / para o exterior? Em outras palavras, um servidor em particular 10.1.x.x que não tem conectividade com o exterior NÃO é contado como um host.

Por enquanto, eu preciso ficar dentro do limite de host da licença base 10, mas obviamente atualizarei para 50 licenças de usuário conforme a necessidade de capacidade aumentar.

    
por virtualeyes 25.10.2011 / 11:11

3 respostas

2

Não é legal, mas colocar um roteador NAT entre o ASA e sua rede interna limitará o número de hosts que o ASA conta, já que contará apenas o roteador NAT e nada atrás dele como host.

A atualização para um número maior não é tão cara na minha experiência - provavelmente vale a pena pagar isso do que lidar com o incômodo de NATing sua rede interna.

Na minha experiência, a Cisco demorou um longo tempo para emitir as chaves de atualização - por isso, certifique-se de fazer seu pedido em tempo hábil. Eu usei o truque NAT para obter uma rede remota (remota como em Kinshasa) funcionando quando encontrei o problema de 10 hosts durante uma visita ao site. Isso nos ajudou até que a Cisco nos forneceu a atualização e pudemos reconfigurar o ASA.

Você pode não ter que usar o NAT - acho que ter uma sub-rede roteada provavelmente funcionaria, mas eu não tentei isso.

    
por 25.10.2011 / 12:55
3

A questão era essencialmente: sem atualizar, que técnicas podem ser empregadas para conservar o uso do host. @dunxd foi o mais próximo, então ele recebe a concordância, embora a despesa de colocar um roteador entre o ASA e os servidores seja maior do que a atualização (configuração em um local, pagar $$ por U por mês)

Para iniciantes ASA futuros, o limite de 10 hosts se aplica a qualquer interface interna (dmz ou privada) que inicie ou receba tráfego de / para o exterior. Então, no meu caso, eu tenho um servidor da Web NIC definido na interface DMZ 172.16.xx com 5 aliases x.2, x.3, etc. A contagem de hosts é 6. Eu também tenho 2 servidores de nomes na DMZ que trazem a contagem de hosts para 8. Tudo bem, em linha com os termos da licença. No entanto, verifique isso:

Se você VPN em seu ASA e, em seguida, SSH em um dos servidores internos em uma interface privada, isso também irá incrementar sua contagem de host. Um pouco sombrio, IMO, quando eu ssh no servidor web dmz em sua 10.1.x.x NIC (interface privada) que conta como um host (já obtendo contagem de hosts 6X para a interface dmz nesta mesma máquina). De qualquer forma, o acesso VPN não é considerado acesso local, mesmo que você ignore qualquer lista de acesso aplicável a usuários "verdadeiros" externos e esteja efetivamente trabalhando internamente.

Este último ponto do Cisco TAC não tem nada a dizer, mas, desculpe, "não posso comentar sobre isso", como em, sim, eu concordo, mas gosto do meu trabalho.

No final, você tem que atualizar. Só é difícil justificar a despesa em uma configuração de hospedagem econômica - é como aumentar os impostos para os pobres durante uma recessão. A Cisco usa seu dispositivo mais barato e, em seguida, aplica restrições ao seu uso que o tornam inutilizável para qualquer coisa além dos casos de uso mais simples. Bah, reclamações ;-) Espero que isso ajude futuros novatos ...

    
por 26.10.2011 / 10:22
2

$ 300 compra uma atualização para sua licença. Essa pode ser uma solução melhor a longo prazo.

    
por 25.10.2011 / 13:45

Tags

Acesso ao Amazon EC2 gui? Gerenciamento de cabos