Cisco ASA 5505:: Методы для ограничения использованных хостов (макс. 10 с базовой лицензией)
ls -d */
"-d" означает, не копаются в каталогах, "* /" только соответствует каталогам.
Это неприятно, но установка NAT-маршрутизатора между ASA и вашей внутренней сетью ограничит количество хостов, подсчитываемых ASA, так как он будет учитывать только NAT-маршрутизатор и ничего позади это как хост.
По моему опыту, обновление до большего числа не так уж и дорого - вероятно, стоит заплатить это, чем иметь дело с проблемами NAT в вашей внутренней сети.
По моему опыту, Cisco потребовала ДОЛГОГО времени для выдачи ключей апгрейда - поэтому не забывайте оформлять заказ заранее. Я использовал уловку NAT для запуска и работы удаленной (удаленной, как в Киншасе) сети, когда обнаружил проблему с 10 хостами во время посещения сайта. Это продолжало нас, пока Cisco не предоставила нам обновление, и мы не смогли перенастроить ASA.
Возможно, вам не придется использовать NAT - я думаю, что просто наличие маршрутизируемой подсети, вероятно, подойдет, но я не сказал: Я пробовал это.
За 300 долларов можно купить обновление вашей лицензии. Это может быть лучшим долгосрочным решением.
По сути, вопрос заключался в следующем: какие методы можно использовать без обновления, чтобы снизить нагрузку на хост. @dunxd был самым близким, поэтому он получил одобрение, хотя затраты на установку маршрутизатора между ASA и серверами больше, чем затраты на обновление (установка в центре города, оплата в долларах за единицу в месяц)
Для будущих новичков ASA ограничение в 10 хостов применяется к любому внутреннему интерфейсу (dmz или частному), который инициирует или принимает трафик извне. Итак, в моем случае у меня есть сетевой адаптер веб-сервера, установленный на интерфейсе DMZ 172.16.xx с 5 псевдонимами x.2, x.3 и т. Д. Количество хостов - 6. У меня также есть 2 сервера имен в DMZ, которые приносят количество хостов. по 8. Это нормально, в соответствии с условиями лицензии. Однако проверьте следующее:
Если вы подключитесь к ASA через VPN, а затем по SSH на 1 из внутренних серверов на частном интерфейсе, это тоже увеличит количество ваших хостов. Немного сомнительно, IMO, когда я ssh в веб-сервер dmz на его 10.1.xx NIC (частный интерфейс), который считается хостом (уже получаю 6X количество хостов для интерфейса dmz на этом ЖЕСТКОМ компьютере). В любом случае, доступ к VPN не считается локальным доступом, даже если вы обходите любые списки доступа, применимые к «истинным» внешним пользователям, и эффективно работаете внутри.
Об этом последнем пункте Cisco TAC ничего не говорит, но извините, "не могу это комментировать", например, да, я согласен, но мне нравится моя работа.
В конце концов, вам придется обновиться. Сложно оправдать расходы на установку бюджетного хостинга - это как повышение налогов для бедных во время рецессии. Cisco берет свое самое дешевое устройство, затем применяет ограничения на его использование, которые делают его непригодным для чего-либо, кроме простейших вариантов использования. Ба, разглагольствуй ;-) Надеюсь, это поможет будущим новичкам ...