Мы наблюдаем очень странное поведение нашего Cisco ASA 5505, работающего 9.1(2)
В нашей сети есть SIP PBX. У него немного странная конфигурация, он прослушивает входящие SIP-запросы для нашей магистрали на UDP/60052.
Итак, в нашем ASA у меня есть перенаправление портов от UDP/5060 к UDP/65002 на нашем внешнем интерфейсе. В 90% случаев это работает нормально.
Однако оставшиеся 10% времени, а пока это кажется случайным, ASA решает не делать что-нибудь с входящим UDP/5060 трафик. Захват пакета на ASA показывает SIP INVITE запрос, попавший в outside интерфейс, но он никогда не достигает выходного интерфейса.
Мы не используем проверку SIP, поскольку внутренний сервер использует STUN для переназначения его заголовков SIP.
Правило NAT:
nat (outside,any) source static obj_any obj_any destination static interface Swyx service Swyx-5060-Service-UDP Swyx-SIP-65002-UDP no-proxy-arp description BC Swyx 5060 > 65002
ACL:
object-group service DM_INLINE_SERVICE_3
service-object object Swyx-RTP-55000
service-object object Swyx-SIP-65002-UDP
service-object object RTP
access-list outside_access_in_1 extended permit object-group DM_INLINE_SERVICE_3 any object Swyx log critical
Что я пропустил? Есть ли какие-нибудь известные ошибки в этой версии ASA?
Итак, здесь не совсем полезно, но мы заменили ASA на маршрутизатор Mikrotik, и эта проблема исчезла.
Это явно какая-то ошибка или проблема с Cisco ASA, но мне в основном надоели эти маленькие ASA, и я начал их заменять.
Можете ли вы проверить использование процессора и памяти asa, когда это произойдет? Легко сделать отброшенные пакеты asa при высокой нагрузке с большим WAN-каналом