Не знал, что базовая лицензия ASA 5505 ограничивает количество одновременных хостов до 10 (RTFM, я знаю). Запустив «show local-host», я вижу, что количество моих хостов равно 8, что слишком близко для рабочего веб-сервера, расположенного за ASA.
Продолжая расследование, я вижу пару подсчитанных хостов, которые ограничены только доступом к VPN, что меня удивило, так как это внутренние хосты, которые не получают и не инициируют трафик извне. По крайней мере, я так думал, похоже, что 2 рассматриваемых внутренних хоста (ящики Linux) периодически отправляют один пакет UDP через порт 123 на внешние серверы NTP, чтобы поддерживать правильное системное время. Это немного сурово, не так ли? Одиночный пакет считается хостом, ай.
В любом случае, думая, что я могу сохранить эти 2 хоста, используя один общедоступный сервер в качестве NTP-сервера, вместо того, чтобы выходить на общедоступный NTP-сервер, чтобы узнать текущее время. В принципе, я бы хотел, чтобы количество хостов не соответствовало:
1) 2 наших сервера имен 2) рабочий веб-сервер, принимающий 4 IP-адреса public-to-dmz с NAT
и не против частных серверов, которым просто необходимо обновить системное время.
Кроме того, чтобы уточнить, количество хостов основано на любом внутреннем интерфейсе, который получает / инициирует трафик извне / извне? Другими словами, сервер на частном сервере 10.1.x.x, не имеющий связи с внешним миром, НЕ считается хостом.
В настоящее время мне нужно оставаться в пределах базовой лицензии 10 хостов, но, очевидно, я обновлю лицензию до 50 пользователей по мере увеличения емкости.
По сути, вопрос заключался в следующем: какие методы можно использовать без обновления для экономии ресурсов хоста. @dunxd был самым близким, поэтому он получил одобрение, хотя затраты на подключение маршрутизатора между ASA и серверами больше, чем на обновление (установка на объекте Colo, оплата в долларах за единицу в месяц)
Для будущих новичков ASA ограничение в 10 хостов применяется к любому внутреннему интерфейсу (dmz или частному), который инициирует или принимает трафик к / от внешнего. Итак, в моем случае у меня есть сетевая карта веб-сервера, установленная на интерфейсе DMZ 172.16.xx с 5 псевдонимами x.2, x.3 и т. Д. Количество хостов - 6. У меня также есть 2 сервера имен в DMZ, которые приносят количество хостов по 8. Это нормально, в соответствии с условиями лицензии. Однако проверьте это:
Если вы подключите VPN к своему ASA, а затем по SSH к одному из внутренних серверов на частном интерфейсе, это также увеличит количество ваших хостов. Немного сомнительно, ИМО, когда я подключаюсь к веб-серверу dmz на его сетевом адаптере 10.1.x.x (частный интерфейс), который считается хостом (уже получаю 6-кратное количество хостов для интерфейса dmz на этом ЖЕСТКОМ компьютере). В любом случае, доступ к VPN не считается локальным доступом, даже если вы обходите любые списки доступа, применимые к «истинным» внешним пользователям, и эффективно работаете внутри.
Об этом последнем пункте Cisco TAC ничего не говорит, но, извините, «не могу это комментировать», например, да, я согласен, но мне нравится моя работа.
В конце концов вам придется обновиться. Сложно оправдать расходы на установку бюджетного хостинга - это как повышение налогов для бедных во время рецессии. Cisco берет их самое дешевое устройство, а затем применяет ограничения на его использование, которые делают его непригодным для чего-либо, кроме простейших вариантов использования. Ба, разглагольствуй ;-) Надеюсь, это поможет будущим новичкам ...
За 300 долларов можно купить обновление вашей лицензии. Это может быть лучшим долгосрочным решением.
Это нехорошо, но установка NAT-маршрутизатора между ASA и вашей внутренней сетью ограничит количество хостов, подсчитываемых ASA, поскольку он будет считать только NAT-маршрутизатор и ничего за ним как хост.
По моему опыту, обновление до большего числа не так уж дорого - вероятно, стоит заплатить, чем иметь дело с трудностями при преобразовании вашей внутренней сети через NAT.
По моему опыту, Cisco потратила ДОЛГОЕ время на выдачу ключей обновления, поэтому не забывайте размещать заказ вовремя. Я использовал уловку NAT для запуска и работы удаленной (удаленной, как в Киншасе) сети, когда обнаружил проблему с 10 хостами во время посещения сайта. Это продолжало нас, пока Cisco не предоставила нам обновление, и мы не смогли перенастроить ASA.
Возможно, вам не придется использовать NAT - я думаю, что, вероятно, подойдет просто маршрутизированная подсеть, но я этого не пробовал.