4 votes

Chocula avatar

Cisco ASA 5505 :: Techniques pour limiter le nombre d'hôtes consommés (maximum 10 avec licence de base)

Demandé el 25 de Octobre, 2011
Quand la question a-t-elle été
10382 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je n'étais pas au courant que la licence de base ASA 5505 limite le nombre d'hôtes simultanés à 10 (RTFM, je sais). En exécutant un "show local-host", je vois mon nombre d'hôtes à 8, un peu trop proche du confort avec un serveur web de production derrière l'ASA.

En enquêtant plus loin, je vois quelques hôtes comptés qui sont restreints à l'accès VPN uniquement, ce qui m'a surpris car ce sont des hôtes internes qui ne reçoivent ni n'initient de trafic vers/de l'extérieur. Ou du moins je le pensais, il semblerait que les 2 hôtes internes en question (boîtes Linux) envoient périodiquement un unique paquet UDP sur le port 123 vers des serveurs NTP extérieurs pour garder l'heure système correcte. C'est un peu extrême, non? Un seul paquet compte comme un hôte, aïe.

Quoi qu'il en soit, je pense que je peux préserver ces 2 hôtes en utilisant un des serveurs accessibles publiquement comme serveur NTP, plutôt que d'aller à l'extérieur vers un serveur NTP public pour obtenir l'heure actuelle. Fondamentalement, je voudrais que le nombre d'hôtes soit lié à :

1) nos 2 serveurs de noms 2) serveur web de production acceptant 4 IPs NAT'd publics-vers-dmz

et non pas contre des serveurs privés qui ont simplement besoin que leurs horaires soient à jour.

Aussi, pour clarifier, le nombre d'hôtes est basé sur toute interface interne qui reçoit/initie du trafic de/vers l'extérieur? En d'autres termes, un serveur sur le réseau privé 10.1.x.x qui n'a aucune connectivité vers l'extérieur N'EST PAS compté comme un hôte.

Pour le moment, je dois rester dans la limite de 10 hôtes de la licence de base, mais je passerai évidemment à la licence utilisateur 50 lorsque les besoins en capacité augmenteront.

Demandé el 25 de Octobre, 2011 par Chocula

Réponses

Trop de publicités?

3voto

Chocula avatar
Chocula Points 824

La question était essentiellement : sans mise à niveau, quelles techniques peut-on utiliser pour économiser l'utilisation de l'hôte. @dunxd était le plus proche donc il obtient la mention, même si les frais de mettre un routeur entre le serveur ASA et les serveurs sont plus élevés que la mise à niveau (installation dans une installation colo, payer $$ par U par mois)

Pour les futurs novices de l'ASA, la limite de 10 hôtes s'applique à toute interface interne (dmz ou privée) qui initie ou reçoit du trafic vers/depuis l'extérieur. Ainsi, dans mon cas, j'ai un serveur web NIC configuré sur l'interface DMZ 172.16.x.x avec 5 alias x.2, x.3, etc. Le nombre d'hôtes est de 6. J'ai également 2 serveurs de noms sur la DMZ qui portent le nombre d'hôtes à 8. C'est bon, conforme aux termes de la licence. Cependant, vérifiez ceci :

Si vous vous connectez en VPN à votre ASA et que vous vous connectez en SSH à l'un des serveurs internes sur une interface privée, cela augmentera également votre nombre d'hôtes. Un peu douteux, à mon avis, quand je me connecte en ssh au serveur Web dmz sur son NIC 10.1.x.x (interface privée) que cela compte comme un hôte (obtention déjà de 6X le nombre d'hôtes pour l'interface dmz sur cette MÊME machine). De toute façon, l'accès VPN n'est pas considéré comme un accès local, même si vous contournez les listes d'accès applicables aux utilisateurs "vrais" externes et que vous travaillez effectivement à l'intérieur.

Ce dernier point, le support technique de Cisco n'a rien à dire à ce sujet, mais, désolé, "je ne peux pas commenter là-dessus", en gros, oui, je suis d'accord, mais j'aime mon travail.

En fin de compte, vous devez mettre à niveau. Juste difficile de justifier les dépenses dans une installation d'hébergement à budget limité - c'est comme augmenter les impôts pour les pauvres pendant une récession. Cisco prend son appareil le moins cher, puis applique des restrictions à son utilisation qui le rendent inutilisable pour tout ce qui dépasse les cas d'utilisation les plus simples. Bah, fin de la diatribe ;-) J'espère que cela aidera les futurs novices...

Répondu el 26 de Octobre, 2011 par Chocula (824 Points )

2voto

dunxd avatar
dunxd Points 9390

Ce n'est pas sympa, mais mettre un routeur NAT entre l'ASA et votre réseau interne limitera le nombre d'hôtes comptés par l'ASA, car il ne comptera que le routeur NAT, et rien derrière lui en tant qu'hôte.

La mise à niveau vers un nombre plus élevé n'est pas si chère à mon expérience - probablement préférable de payer cela que de gérer les tracas du NAT de votre réseau interne.

A mon avis, Cisco a mis beaucoup de temps à émettre des clés de mise à niveau - alors assurez-vous de passer votre commande à temps. J'ai utilisé l'astuce du NAT pour mettre en place un réseau distant (loin comme à Kinshasa) lors d'une visite sur site lorsque j'ai rencontré le problème des 10 hôtes. Cela nous a dépannés jusqu'à ce que Cisco nous ait fourni la mise à niveau, et nous avons pu reconfigurer l'ASA.

Vous pourriez ne pas avoir à utiliser le NAT - je pense qu'avoir simplement un sous-réseau routé fonctionnerait probablement, mais je n'ai pas essayé cela.

Répondu el 25 de Octobre, 2011 par dunxd (9390 Points )

2voto

ewwhite avatar
ewwhite Points 193555

300 $ permet d'acheter une mise à niveau de votre licence. Cela peut être une meilleure solution à long terme.

Répondu el 25 de Octobre, 2011 par ewwhite (193555 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X