отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

FireSight 6 - Cisco ASA 5525X Firepower 6

Добрый день, коллеги! 

Если кто либо уже сталкивался с этой ситуацией то прошу помочь, либо оставить свой предположения. 

Недавно обновил ВМ машину Firesight и модули Firepower до 6 0,0,1. После чего внезапно  все стало блокироваться, перезагрузка АSA или модуля не помогает. Помогает лишь полное выключение самого модуля sw-module module sfr shutdown. 

После чего включаю обратно, работает где то час, полтора и снова все блокируется. Пробовал убирать все правила с access policy и intrusion policy, не помогает. 

5 ОТВЕТ.
New Member

Не уверен что проблема

Не уверен что проблема совпадает,  но: у нас похожая проблема при включении Ssl инспектирования. После включения какое-то время работает,  потом 90% сайтов перестают открываться.  В логе Asa очень много сообщений о том,  что sfr блокирует ssl трафик,  хотя согласно политики проверяется только трафик с outside в dmz и дефолтное правило - пропускать шифрованный трафик. 

New Member

Здравствуйте,У меня появилась

Здравствуйте,

У меня появилась похожая проблема после обновления до версии 6.0.0.1. Через некоторое время страницы в браузере начинают открываться очень медленно.

Причину нашли на приграничном маршрутизаторе, который установлен после ASAна нем переполняются NAT-трансляция. Причем, соединения создаются в огромном количестве именно на запросы, которые модуль Firepower блокирует, т.е. они вообще не должны доходить до приграничного роутера.

На данный момент проблему решил ограничением тайм-аута TCP NAT-трансляций до 2 часов на роутере. Пока всё работает.

Но в любом случае это не правильно. Кейс никто не открывал по этому поводу?

С уважением,

Денис.

New Member

 Пробовал с ними бороться по

 Пробовал с ними бороться по средствам кейса в ТАС-  пришёл к выводу что пока рано в продакшн... Само Ssl инспектирование оч сырое. В 6.0.1 вроде как пофикстли  мою проблему (в логе и дальше пишет что блочит соединения,  но по факту вроде как работает)  и тут буквально вчера всплыла проблема с Skype. На последней версии под Windows,  не удаётся авторизоваться. Откатываешься на предыдущую -  все ок.  В браузере не открывалась страница login.skype.com. Выключаю инспектирование -  все ок. Приетом в логе коннектов  никаких намеков на блокировку соединений нет. 

В общем видимо надо ещё долго ждать стабильного релиза.

New Member

Всем привет! 

Всем привет! 

У меня такая проблема появилась после обновления до 6,0 версии. 

Пришлось выключить DNS Policy и SSL. Но полностью проблему она не решила, были жуткие тормоза. Вот так и работал до 6.0.0.1 версии, после все нормализовалось включил DNS Policy. 

SSL не стал задействовать прочитав статью  (ссылку не смог найти) где указывали на кривость проверки что приводит к сильным тормозам.  Вроде бы статья была от автора этого курса  

https://www.udemy.com/sourcefire-certification/learn/ 

Помню лишь что был совет дождаться версии 6.1 что якобы Cisco в курсе этого и сейчас работают над этим. 

Сейчас версия у меня 6.0.1-1213.  Полет нормальный. 

New Member

И да, забыл написать что в

И да, забыл написать что в этом статье автор советовал обновить ASAшку до 9.5.2 версии. Что по совету Cisco 9.5.2 идеально подходит для 6 версий FirePower. 

111
Просмотры
0
Полезный материал
5
Ответы