不知道,ASA 5505基地许可证限制并发主机的数量为10(RTFM,我知道)。 运行一个“显示本地主机”我看到我的主机数为8,有点过于接近ASA后面的生产Web服务器的舒适度。
进一步调查,我发现有几台主机只能访问VPN,这让我很吃惊,因为这些主机不接收内部主机,也不主动发起外部stream量。 或者我想,看起来像两个内部主机(Linux机箱)周期性地通过端口123发送一个UDP数据包到外面的NTP服务器,以保持正确的系统时间。 这有点严重,不是吗? 单个数据包计为主机,哎。
无论如何,我认为我可以通过使用一个可公开访问的服务器作为NTP服务器来保留这两个主机,而不是到公共NTP服务器之外获取当前时间。 基本上我想主持人违规:
1)我们的2个名字服务器2)生产networking服务器接受4个NAT到public-to-dmz的IP
而不是针对只需要系统时间更新的私人服务器。
另外,为了澄清,主机计数是基于任何内部接口接收/启动来自外部的stream量? 换句话说,没有连接到外部的10.1.xx私有服务器不算作主机。
目前我需要保持在基本许可证10主机限制内,但随着容量需求的增加,显然会升级到50个用户许可证。
这是不好的,但在ASA和您的内部networking之间放置一个NAT路由器将限制ASA计数的主机数量,因为它只会统计NAT路由器,而没有作为主机。
根据我的经验,升级到更高的数字并不昂贵 – 可能值得付出,而不是处理NAT内部networking的麻烦。
根据我的经验,思科已经花了很长时间来发行升级密钥 – 所以请务必及时下订单。 我在网站访问中发现10台主机的问题时,使用了NAT技术来启动并运行远程(远程,如金沙萨)networking。 直到思科升级我们,我们才能重新configurationASA。
你可能不需要使用NAT – 我认为只是有一个路由子网可能会工作,但我没有尝试过。
问题主要是:没有升级,可以采用什么技术来节省主机的使用。 @dunxd是最接近的,所以他得到了点头,虽然在ASA和服务器之间粘贴一个路由器的花费大于升级(在一个可乐设施中设置,每U每月支付$$)
对于将来的ASA新手,10主机限制适用于启动或接收外部stream量的任何内部接口(dmz或私有)。 所以,在我的情况下,我有一个networking服务器网卡在DMZ接口172.16.xx上设置,具有5个别名x.2,x.3等。主机数量是6.我也有2个名称服务器在DMZ带来主机计数这很好,符合许可条款。 不过,看看这个:
如果您将VPN连接到您的ASA,然后通过SSH连接到专用接口上的一台内部服务器,那么您的主机数量也会增加。 有点阴影,国际海事组织,当我ssh到它的10.1.xx网卡(私人接口),作为一个主机的dmznetworking服务器(已经获得6X主机计数的dmz接口在同一台机器上)。 无论如何,即使绕过任何适用于“真实”的外部用户的访问列表,并且在内部有效地工作,VPN访问也不被视为本地访问。
后一点Cisco TAC没有什么可说的,但对不起,“不能评论这个”,如同,是的,我同意,但是喜欢我的工作。
最后你必须升级。 在预算托pipe设置中,要certificate这笔费用是合理的,就像在经济衰退期间增加对穷人的税收一样。 思科采用他们最便宜的设备,然后对其使用施加限制,使其不可用于任何超出最简单用例的情况。 巴,咆哮;-)希望这有助于未来的新手…
300美元购买升级许可证。 这可能是一个更好的长期解决scheme。