我们发现运行 Cisco ASA 5505 的计算机出现了一些非常奇怪的行为9.1(2)
我们的网络内有一个 SIP PBX。它的配置有点奇怪,它会监听我们中继的入站 SIP 请求UDP/60052
。
UDP/5060
因此,在我们的 ASA 中,我在外部接口上有一个从到的端口转发UDP/65002
。90% 的时间里,这都可以正常工作。
然而,剩下的 10% 的时间,到目前为止似乎是随机的,ASA 决定不这样做任何事物传入UDP/5060
流量。ASA 上的数据包捕获显示 SIPINVITE
请求到达outside
接口,但从未到达出口接口。
我们不使用任何 SIP 检查,因为内部服务器用于STUN
重新映射其 SIP 标头。
NAT 规则:
nat (outside,any) source static obj_any obj_any destination static interface Swyx service Swyx-5060-Service-UDP Swyx-SIP-65002-UDP no-proxy-arp description BC Swyx 5060 > 65002
访问控制列表(ACL):
object-group service DM_INLINE_SERVICE_3
service-object object Swyx-RTP-55000
service-object object Swyx-SIP-65002-UDP
service-object object RTP
access-list outside_access_in_1 extended permit object-group DM_INLINE_SERVICE_3 any object Swyx log critical
我错过了什么?此版本的 ASA 中是否存在任何已知错误?
答案1
发生这种情况时,您能验证 ASA 的 CPU 使用率和内存使用率吗?在高负载和大 WAN 链路下,ASA 很容易丢弃数据包
答案2
因此,这里没有完全的帮助,但是我们已经用 Mikrotik 路由器替换了那个 ASA,这个问题就消失了。
这显然是 Cisco ASA 的某种错误或问题,但我基本上已经厌倦了这些小型 ASA 并开始更换它们。