不知道 ASA 5505 基本许可证将并发主机数量限制为 10 个(RTFM,我知道)。运行“show local-host”时,我看到我的主机数量为 8 个,对于位于 ASA 后面的生产 Web 服务器来说,这个数字有点太接近了。
进一步调查后,我发现有几台主机被限制只能通过 VPN 访问,这让我很惊讶,因为这些是内部主机,既不接收也不发起与外部的通信。或者说,我是这样认为的,这 2 台内部主机(Linux 机器)似乎会定期通过端口 123 向外部 NTP 服务器发送单个 UDP 数据包,以保持正确的系统时间。这有点严重,不是吗?单个数据包算作一台主机,哎哟。
无论如何,我认为我可以通过利用其中一个可公开访问的服务器作为 NTP 服务器来保留这两个主机,而不是到外面的公共 NTP 服务器获取当前时间。基本上,我希望主机计数与以下情况相反:
1)我们的 2 个名称服务器 2)生产 Web 服务器接受 4 个 NAT 的公共到 DMZ IP
而不是针对只需要更新系统时间的私人服务器。
另外,需要澄清的是,主机数是基于任何接收/发起来自外部流量的内部接口的?换句话说,没有与外部连接的私有 10.1.xx 上的服务器不算作主机。
目前,我需要保持在基本许可证 10 个主机限制内,但随着容量需求的增加,显然会升级到 50 个用户许可证。
答案1
这不是很好,但是在 ASA 和内部网络之间放置 NAT 路由器将限制 ASA 计数的主机数量,因为它只会计算 NAT 路由器,而不会将其后面的任何内容计为主机。
根据我的经验,升级到更高的号码并不是那么昂贵 - 可能比处理内部网络 NAT 的麻烦更值得。
根据我的经验,思科需要很长时间才能发布升级密钥 - 因此请确保及时下订单。当我在现场访问期间发现 10 台主机问题时,我使用 NAT 技巧来启动并运行远程(金沙萨的远程)网络。这帮我们度过了难关,直到思科为我们升级,我们才可以重新配置 ASA。
您可能不必使用 NAT - 我认为只要有一个路由子网就可能有效,但我还没有尝试过。
答案2
问题本质上是:不升级的情况下,可以采用什么技术来节省主机使用率。@dunxd 是最接近的,所以他得到了认可,尽管在 ASA 和服务器之间安装路由器的费用高于升级费用(在托管设施中设置,每月每 U 支付 $$)
对于未来的 ASA 新手,10 个主机限制适用于任何发起或接收来自外部流量的内部接口(dmz 或私有)。因此,在我的例子中,我在 DMZ 接口 172.16.xx 上设置了一个 Web 服务器 NIC,并带有 5 个别名 x.2、x.3 等。主机数为 6。我在 DMZ 上还有 2 个名称服务器,使主机数达到 8。这很好,符合许可条款。但是,请看一下:
如果您通过 VPN 接入 ASA,然后通过 SSH 接入私有接口上的 1 个内部服务器,那么这也会增加您的主机数。在我看来,这有点可疑,当我通过 ssh 接入 10.1.xx NIC(私有接口)上的 dmz web 服务器时,该服务器算作一个主机(在同一台机器上,dmz 接口的主机数已经是 6 倍)。无论如何,VPN 访问不被视为本地访问,即使您绕过适用于“真正”外部用户的任何访问列表,并且有效地在内部工作。
对于后一点,思科 TAC 没有什么可说的,但是,抱歉,“无法对此发表评论”,就像,是的,我同意,但我喜欢我的工作。
最后你不得不升级。在预算托管设置中很难证明这笔费用是合理的——这就像在经济衰退期间增加穷人的税收。思科采用他们最便宜的设备,然后对其使用施加限制,使其无法用于最简单的用例之外的任何用途。哎呀,抱怨结束了 ;-) 希望这对未来的新手有所帮助...
答案3
300 美元可升级您的许可证。这可能是更好的长期解决方案。