思科ASAloggingDNSstream量的“定期翻译创buildicmp的失败…”,但它的工作原理

每隔几分钟,我们的思科ASA 5505防火墙就会logging我无法用我有限的思科体验计算出的错误。

Severity Date Time Syslog ID Source IP Destination IP Description 3 Mar 25 2010 17:21:14 305006 8.8.8.8 regular translation creation failed for icmp src inside:10.10.0.206 dst outside:8.8.8.8 (type 3, code 3) 3 Mar 25 2010 17:18:37 305006 8.8.4.4 regular translation creation failed for icmp src inside:10.10.0.206 dst outside:8.8.4.4 (type 3, code 3) 

logging的内部IP是我们的内部DNS服务器,外部IP是Google的公共DNS服务器,我们在本地BINDconfiguration中用作转发器。 ICMPtypes3代码3意味着“端口不可到达”。

启用“检查DNS”,“检查ICMP”和“检查ICMP错误”全局服务策略,并使用默认检查图。

我们的“外部”接口有一个固定的IP,我们的“内部”接口在10.10.0.0/16子网中。 10.10.0.206 IP是我们内部的BIND DNS服务器,DNSparsing正常。 使用不同的DNS转发器(如OpenDNS)会生成相同的错误。

我已经花了好几天的时间来解决这个问题了,所以我希望任何和所有的build议。

这看起来像是防火墙的NAT状态表超时和DNS服务器自身的超时不匹配。

ICMP端口不可访问正在由您的DNS服务器返回,可能是为了响应延迟收到的数据包。 BIND为每个出站查询select一个随机(ish)端口,并且在BIND停止监听该端口上的响应之后很长延迟的响应可能到达很长时间。

这就提出了为什么防火墙高兴地允许(晚)返回的数据包进入,而不会随后让ICMP错误返回的问题。

你可以尝试以下几点,从最可能的最不可能:

  • 您可能需要启用“检查ICMP”才能使ICMP回复正常工作 – 这是新版A​​SA软件的情况(截至8.2,我相信)
  • 检查内部接口上是否有适当的NAT语句,外部接口上是否有GLOBAL语句
  • 检查内部接口上的访问列表是否允许与此stream量匹配的出站ICMP

如果这些都不能解决问题,请尝试设置捕获,如下所示:

 asa(config)# access-list test permit icmp host 10.10.0.200 8.8.0.0 255.255.0.0 asa(config)# access-list test permit icmp host <outside interface IP> 8.8.0.0 255.255.0.0 asa(config)# access-list test permit icmp 8.8.0.0 255.255.0.0 host 10.10.0.200 asa(config)# access-list test permit icmp 8.8.0.0 255.255.0.0 host <outside interface IP> asa# capture test1 access-list test interface outside trace asa# capture test2 access-list test interface inside trace 

然后,logging几个这些错误(如果我记得正确,这是语法):

 asa# show capture test1 trace asa# show capture test2 trace 

这是我们在ASA看到这个消息的一个原因:

 regular translation creation failed for icmp src inside:10.xx3 dst outside:19.13.123.16 

当PC /服务器正在运行洪stream时,它会build立大量的NAT会话。 当用户closures/终止洪stream客户端,我们很长一段时间得到很多这个错误。

该怎么办:不确定。 为什么你得到这个消息为8.8.8.8谷歌公共DNS,不舒服。 它可能是一个程序在DNS服务器打开会话时被终止。