背景介绍:在新的平台的ASA会有SSL cache的概念针对新建的ssl session,所以也会因此导致出现memory leak,这个我会在后续的文章再做详解解释。正常情况下,SSL的cache会因为一下几种原因被清楚掉:
1. SSL session超时
2. cache entry超过上限,会清楚最老的session
3. 8.0.3.10之后的版本会每分钟尝试去clear 超时的session
常用的show命令:
asa# show ssl cache #查看cache的统计信息
asa# show ssl error #查看SSL的报错信息
asa# show ssl objects #SSL function针对内存的分配信息
asa# show counters protocol sslalert #SSL协商的告警信息(包含发送和接收的)
asa# show counters protocol ssldev #SSL device code信息
asa# show counters protocol sslerr #OPENSSL 协商报错信息
asa# show counters protocol sslnp #Soft-np的信息,这个是9.x之后引入的feature
针对ssl的问题此外还建议大家把log level设置到debugging级别,才会有更详细的协商信息吐出。
常用debug 命令:
debug menu ssl 1 #针对ssl counter的debug
debug menu ssl 2 #等同于show ssl mib
debug menu ssl 3 #等同于show ssl error,8.x之后版本可以不需要debug此命令
常用配置调整命令:
ciscoasa(config)# ssl client-version [any | sslv3-only | tlsv1-only]
ciscoasa(config)# ssl server-version [any | sslv3 | sslv3-only | tlsv1 | tlsv1-only]
ciscoasa(config)# ssl encryption [any | 3des-sha1| aes128-sha1 | aes256-sha1 | des-sha1 | dhe-aes128-sha1 | dhe-aes256-sha1 | null-sha1 | rc4-md5 | rc4-sha1 ]
BR,
Gerry