ASA5500 Series and PIX FireWallとCatalyst間の通信障害

2007.10.30 Author: hoge

CiscoSystems セキュリティアプライアンスネタです。

ASAやPIXとCatalyst間の通信障害についてメモっておきます。
ASAを検証中に確認した不具合となり、CiscoSystemsにて同様の現象が確認されています。

不具合が確認されているCatalyst製品群は下記。
下記型番以外でも発生する可能性はあると考えて良い。

Catalyst2950、3550、3750、3560シリーズ製品

ASA製品とCatalyst製品、又は、PIX製品とCatalyst製品の間の接続を100/FULL固定で設定すると、Catalyst製品側のポートで「FCS errors」等々のInput Errorが確認出来る。

各Catalyst製品にて、「sh int count err」実行して値を確認する。
通信発生のたびに各異常数値が上昇します。

CiscoSystems社の回避策は、確認できるかぎり下記である。

1、解決A
 「duplex mode」及び「speed」を「Auto Auto」の設定とする。
 通常運用は、Autoを推奨する。

2、解決B
 ・PIX: 6.3(5.126) 又は 7.0(2.4) 以降へのソフトウェアバージョンアップ
  (7.1、7.2 以降では発生しない様子)
 ・ASA: 7.0(6.28) 7.1(2.48) 7.2(2.8) 以降へのソフトウェアバージョンアップ

3、対象製品及びソフトウェア

・PIX 6.3: CSCsg93082
・PIX 7.x: CSCei57980
・ASA: CSCsh38415

 上記は、バグIDとなっております。
 IDトレースが可能なアカウントを所有の方は、トレースしてみると良い。

名古屋のWebシステム開発・ネットワーク構築会社 コネクティボへ