我们看到运行 Cisco ASA 5505 的一些非常奇怪的行为9.1(2)
我们的网络中有一个 SIP PBX。它的配置有点奇怪,它监听我们的中继的入站 SIP 请求UDP/60052
。
所以在我们的 ASA 中,我在我们的外部接口上有一个从UDP/5060
到的端口转发。UDP/65002
90%的时间,这工作得很好。
然而,剩下的 10% 的时间,到目前为止,它似乎是随机的,ASA 决定不对传入流量执行任何操作。UDP/5060
ASA 上的数据包捕获显示 SIPINVITE
请求outside
到达接口,但它从未到达出口接口。
我们没有使用任何 SIP 检查,因为内部服务器使用STUN
重新映射其 SIP 标头。
NAT 规则:
nat (outside,any) source static obj_any obj_any destination static interface Swyx service Swyx-5060-Service-UDP Swyx-SIP-65002-UDP no-proxy-arp description BC Swyx 5060 > 65002
访问控制列表:
object-group service DM_INLINE_SERVICE_3
service-object object Swyx-RTP-55000
service-object object Swyx-SIP-65002-UDP
service-object object RTP
access-list outside_access_in_1 extended permit object-group DM_INLINE_SERVICE_3 any object Swyx log critical
我错过了什么?此版本的 ASA 中是否存在任何已知错误?
发生这种情况时,您可以验证 asa 的 cpu 使用情况和 mem 使用情况吗?使用大 WAN 链接在高负载下轻松丢弃数据包
所以,这里并不完全有帮助,但我们已经用 Mikrotik 路由器替换了那个 ASA,这个问题已经消失了。
这显然是 Cisco ASA 的某种错误或问题,但我基本上已经厌倦了这些小型 ASA 并开始更换它们。