ASA SSL 故障排查

  • A+
所属分类:安全 网络

背景介绍:在新的平台的ASA会有SSL cache的概念针对新建的ssl session,所以也会因此导致出现memory leak,这个我会在后续的文章再做详解解释。正常情况下,SSL的cache会因为一下几种原因被清楚掉:

ASA SSL 故障排查
  • SSL session超时
  • cache entry超过上限,会清楚最老的session
  • 8.0.3.10之后的版本会每分钟尝试去clear 超时的session

常用的show命令:

asa# show ssl cache            #查看cache的统计信息
asa# show ssl error             #查看SSL的报错信息
asa# show ssl objects          #SSL function针对内存的分配信息
asa# show counters protocol sslalert  #SSL协商的告警信息(包含发送和接收的)
asa# show counters protocol ssldev   #SSL device code信息
asa# show counters protocol sslerr    #OPENSSL 协商报错信息
asa# show counters protocol sslnp    #Soft-np的信息,这个是9.x之后引入的feature

针对ssl的问题此外还建议大家把log level设置到debugging级别,才会有更详细的协商信息吐出。

常用debug 命令:

debug menu ssl 1     #针对ssl counter的debug
debug menu ssl 2     #等同于show ssl mib
debug menu ssl 3     #等同于show ssl error,8.x之后版本可以不需要debug此命令

常用配置调整命令:

ciscoasa(config)# ssl client-version [any | sslv3-only | tlsv1-only]
ciscoasa(config)# ssl server-version [any | sslv3 | sslv3-only | tlsv1 |  tlsv1-only]
ciscoasa(config)# ssl encryption [any | 3des-sha1| aes128-sha1 | aes256-sha1 | des-sha1 | dhe-aes128-sha1 | dhe-aes256-sha1 |  null-sha1 | rc4-md5 | rc4-sha1 ]
  • 我的微信
  • 欢迎大家,与我交流,非诚勿扰谢谢
  • weinxin
  • 奕知伴解 微信公众号
  • 扫一扫关注,从此不迷路。
  • weinxin
刘銮奕

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: