Резервные копии занимают много времени, что брандмауэр закрывает соединение
Похож на одну из двух возможностей.
1. Существует проблема с кроном
2. Существует проблема с php из командной строки
Попробуйте более простую команду как касание или копия, чтобы удостовериться, что крон работает.
php интерфейс командной строки установлен на Вашей услуге хостинга? Если так, затем возможно, необходимо рассмотреть код для использования CLI эффективно
Надеюсь, это поможет
Фон на тайм-ауте/Таймерах ASA:
Глобальный тайм-аут ведет, виртуальный канал TCP (сессия) неактивный таймер и значения по умолчанию к 60 минутам. Глобальный тайм-аут udp для дыр UDP и значений по умолчанию к 2 минутам. Глобальный тайм-аут xlate для разрешения переводов, которые задерживаются после того, как ведение испытало таймаут. Вести (TCP) тайм-аут имеет приоритет по xlate тайм-ауту. Следующий абзац далее объясняет, что отношения между ведут и xlate таймеры.
Если ведение успешно разъединяется через разрушение TCP, ведение и xlate идут с ним (если динамичный xlate, статический NAT и статический xlate's PAT никогда не удаляется). Если ведение испытывает таймаут, то xlate таймер принят во внимание. Если xlate испытывает таймаут сначала (Вы устанавливаете его очень низко), он не удалит соединение, пока ведение не испытает таймаут.
ASA имеет несколько методов для контакта с переменными тайм-аутами. Коннектикут является тем, где глобальная установка может быть переопределена на основе карты класса - это должно быть предпочтено по увеличению глобальной установки, если это возможно.
Другой интересной функцией, которой обладает ASA, является мертвое обнаружение соединения - DCD. DCD позволяет, Вы для хранения [глобальными] ведете тайм-аут в 60 минут (значение по умолчанию) и когда 60 минут достигнуты - ASA man-in-the-middle имитации пустые данные ACKs к каждой конечной точке как другая конечная точка. Пустые данные работают, чтобы препятствовать тому, чтобы порядковые номера увеличили. Если обе стороны отвечают неактивный сброс таймера соединения на 0, и начинается снова. Если любая сторона не отвечает после количества набора попыток (настраивающихся) в установленный срок удалено ведение, и xlate таймер получает уместность, как описано выше.
Я рекомендовал бы настроить карту класса и добавить его к Вашей политике, которая включает DCD. Можно использовать ACL, или порт (другие доступны также). Используя порт быстро, легок, и будет работать хорошо, если Вы уверены, что TCP/5633 - то, где проблема находится..
Я использовал global_policy ниже, но не стесняюсь корректироваться по мере необходимости.
class-map BE-CORBA_class
description Backup Exec CORBA Traffic Class
match port tcp eq 5633
policy-map global_policy
class BE-CORBA_class
-->::Choose one below::<--
set connection timeout idle 1:00:00 dcd --> for 8.2(2) and up
set connection timeout tcp 1:00:00 dcd --> for prior to 8.2(2)
service-policy global_policy global
@Comment
Согласно справочнику - "Пакет может соответствовать только одной карте класса в карте политики для каждого типа функции".
Ключевая фраза полужирным. Пакет, пересекающий интерфейс, может соответствовать нескольким классам в карте политики, но только если те классы используют различные "функции". При прокрутке просто немногого в вышеупомянутой ссылке, Вы будете видеть различные перечисленные функции. Та целая страница является золотым рудником для лакомых кусочков MPF.
Поскольку Вы упомянули, что у Вас есть a match any карта класса определила и затем ссылаемый как класс в карте политики - при выполнении каких-либо других пределов соединения TCP и соединения UDP и изменений тайм-аутов в том классе сопоставления политики затем последующие карты класса, которые соответствуют трафику - если установлено в карте политики - не выполнят пределы соединения TCP и соединения UDP, и тайм-аут изменяется на том пакете.
Если Вы отправляете весь ACL, class-map policy-mapи service-policyмы можем определить наверняка.
Так же, как я не поклонник приложений, берущих их игрушки и идущих домой (и приводящий резервное копирование к сбою), когда один единственный сеанс TCP уничтожается, в этом случае я сказал бы просто тайм-аут сеанса TCP ASA.
Помещение жесткого предела продолжительности сессии вообще является действительно просто продуктом потребности ASA отследить все соединения для поддержания состояния (и обычно, NAT) - если Вы работаете против ограничения соединения своего устройства, затем это может быть проблемой, но иначе, просто провернуть его до 6 часов или что-то.
Если оба узла в концах сеанса TCP не пойдут темные, ASA явится свидетелем одного конца или другого окончания соединения, когда это заканчивается естественно, и разъедините соединение затем (или инициируйте более короткий полузамкнутый тайм-аут соединения), таким образом, Вы вряд ли закончите с тонной мертвых соединений, забивающих вещи. Устройства конечной точки имеют интерес к разъединению бесполезных соединений, также - веб-серверы являются хорошим примером, поскольку у них обычно будут намного более короткие тайм-ауты соединения, чем Ваш ASA.
Вы могли бы рассмотреть использование универсального прокси TCP на удаленной машине Linux, которая отвечает и вперед соединения от Backup Exec до локального порта CORBA. (Вы могли легко принять меры, чтобы сервер Backup Exec соединился с этим прокси посредством правил NAT о Вашем брандмауэре.), Что прокси TCP должны были бы установить опцию SO_KEEPALIVE на сокете слушания, который это создает. Моим прокси предпочтительным является rinetd, но беглый взгляд на источник показывает, что они не устанавливают опцию SO_KEEPALIVE на своем слушающем сокете (таким образом, необходимо было бы изменить его для получения поведения, которое Вы хотите). Там, возможно, другой универсальный прокси TCP, который действительно устанавливает SO_KEEPALIVE по умолчанию (или как опция), но я не знаю о том первое, что пришло на ум.
Другая опция могла бы состоять в том, чтобы поднять туннель SSH к удаленной машине как часть сценария перед заданием w/клиентский набор SSH для или использования SO_KEEPALIVE или пустых пакетов SSH для поддержания соединения.