คำถามติดแท็ก cisco-asa

Adaptive Security Appliance (ASA) ของ Cisco ซึ่งรวมฟังก์ชันการทำงานจากกลุ่มผลิตภัณฑ์ PIX, VPN 3000 และ Intrusion Prevention Systems (IPS)

5
การซิงโครไนซ์ VPN ของ Cisco ASA แบบไซต์ต่อไซต์
เมื่อเร็ว ๆ นี้เราได้เปลี่ยน MPLS ระหว่างประเทศด้วย ASA 5510s ใหม่และ VPN จากเว็บไซต์สู่เว็บไซต์ อย่างไรก็ตามเมื่อเราปรับใช้สิ่งนี้เราพบปัญหาที่แต่ละสถานที่ห่างไกลมี 2 ISPs สำหรับความซ้ำซ้อน แต่เมื่อเปิดใช้งาน VPN บนทั้งสองอินเตอร์เฟสมันจะสลับระหว่างทั้งสองกับอุโมงค์ขึ้นและลงเมื่ออุโมงค์ถูกฉีกขาดและย้ายระหว่าง ผู้ให้บริการอินเทอร์เน็ต ซิสโก้ได้ดำเนินการมาเป็นเวลา 8 เดือนแล้วและเรายังไม่มีอุโมงค์ที่เสถียรสำหรับ ISP หลาย ๆ เครื่อง สำนักงานระยะไกล: access-list RWS_TUNNEL remark Interesting traffic for IND-RWS tunnel access-list RWS_TUNNEL extended permit ip object-group BNG_tunnel_NETS object-group CORP_tunnel_NETS crypto map RWS_TUNNEL 1 match address RWS_TUNNEL …

1
การค้นหาการสูญเสียแพ็กเก็ตไฟร์วอลล์แบบโปร่งใส
เราใช้ Cisco ASA 5585 ในโหมดโปร่งใสเลเยอร์ 2 การกำหนดค่าเป็นเพียงสองลิงก์ 10GE ระหว่างคู่ค้าทางธุรกิจของเราและเครือข่ายภายในของเรา แผนที่ง่าย ๆ จะมีหน้าตาแบบนี้ 10.4.2.9/30 10.4.2.10/30 core01-----------ASA1----------dmzsw ASA มี 8.2 (4) และ SSP20 สวิทช์ 6500 Sup2T พร้อม 12.2 ไม่มีแพ็กเก็ตตกลงบนสวิตช์หรืออินเตอร์เฟส ASA !! ปริมาณการใช้งานสูงสุดของเราคือประมาณ 1.8Gbps ระหว่างสวิตช์และโหลด CPU บน ASA ต่ำมาก เรามีปัญหาแปลก ๆ ผู้ดูแลระบบ nms ของเราเห็นการสูญเสียแพ็คเก็ตที่แย่มากซึ่งเริ่มในช่วงเดือนมิถุนายน การสูญเสียแพ็คเก็ตกำลังเติบโตอย่างรวดเร็ว แต่เราไม่รู้ว่าทำไม การรับส่งข้อมูลผ่านไฟร์วอลล์ยังคงมีอยู่อย่างต่อเนื่อง แต่การสูญหายของแพ็คเก็ตก็เพิ่มขึ้นอย่างรวดเร็ว นี่คือความล้มเหลวในการ pag ของ nagios ที่เราเห็นผ่านไฟร์วอลล์ …

2
คุณจะให้ ASA ประกาศที่อยู่ NAT'd 'ข้างนอก' ในโซน OSPF ได้อย่างไร
การจัดเรียงอุปกรณ์มีดังนี้: BGP Peers + | | +------+-------+ | | | Juniper MX5 | | | +------+-------+ |.254 OSPF | 10.0.1.0/24 |.1 +------+-------+ | | | Cisco ASA | ASA NAT | | 10.0.0.1 <> 134.0.15.1 +------+-------+ |.254 |10.0.0.0/24 |.1 +------+-------+ | | | HOST1 | | | +--------------+ หากคุณมี ASA …
19 ospf  cisco-asa 

5
ฉันจะรีเซ็ตอุโมงค์ VPN บน Cisco ASA ได้อย่างไร
บน VPN ไซต์ต่อไซต์โดยใช้ ASA 5520 และ 5540 ตามลำดับฉันสังเกตเห็นว่าการรับส่งข้อมูลเป็นครั้งคราวไม่ผ่านอีกต่อไปบางครั้งก็มีปริมาณการใช้งานที่ขาดหายไปสำหรับการเลือกการรับส่งข้อมูลเฉพาะ / ACL ในขณะที่การรับส่งข้อมูลอื่น ๆ VPN เดียวกันกำลังทำงาน มันเกิดขึ้นแม้ว่าจะมีการ ping คงที่ สาเหตุอาจเกิดจากลิงก์ผ่านดาวเทียมที่ไม่เสถียรอย่างสมบูรณ์ ฉันจะรีเซ็ต VPN ให้อยู่ในสถานะทำงานแทนที่จะโหลด ASA ใหม่ได้อย่างไร

3
คุณจะบล็อกทราฟฟิกของ bit bit ด้วย Cisco ASA ได้อย่างไร
ฉันได้อ้างถึงบทความภายนอกของ Cisco เก่าเกี่ยวกับวิธีการบล็อกปริมาณการใช้งานบิตฝนตกหนักอ้างอิงออนไลน์ที่นี่ ขั้นตอนนี้ฉันพบว่าใช้งานได้ 50% เท่านั้น ฉันค้นหาการบล็อกพอร์ตเฉพาะ bit torrent และการทำ regex ใช้งานได้ก็ไม่ได้รับปริมาณการรับส่งข้อมูลทั้งหมด object-group service bit-torrent-services tcp-udp port-object eq 6969 port-object range 6881 6999 และ regex bit-torrent-tracker ".*[Ii][Nn][Ff][Oo]_[Hh][Aa][Ss][Hh]=.*" ไม่มีใครมี regex ล่าสุดสำหรับการค้นหาปริมาณการใช้ bit torrent หรือนี่เป็นข้อ จำกัด ของ ASA ในเวลานี้หรือไม่?
13 cisco  cisco-asa 

5
ASA 5550 - รีบูตเครื่องคุ้มค่าหรือไม่
ฉันมี ASA 5550 ที่ทำงานโหลดและโหลดการดำเนินการ (AnyConnect, NAT, ACL, RADIUS และอื่น ๆ ) มันไม่ได้มีภาระมากเกินไปในแง่ของ CPU & หน่วยความจำ แต่มันใช้งานได้นานกว่า 3.5 ปี เมื่อเร็ว ๆ นี้ฉันได้พยายามปรับใช้ IPSec อื่น (ผ่าน cryptomap) พร้อมกับกฎการยกเว้น NAT แต่ ASA แสดงพฤติกรรมที่แปลกมาก บางครั้งเมื่อฉันเพิ่ม ACE จำนวนมากของข้อความปรากฏขึ้นจากที่ใดก็ได้ในฟิลด์คำอธิบาย ไม่ว่าฉันจะทำอะไรการทดสอบของฉันด้วยเครื่องมือ PacketTracer แบบ on-box ไม่ให้ผลลัพธ์ที่ฉันคาดหวัง (ตัวอย่างเช่น - ฉันเห็นแพ็กเก็ตชนกฎใด ๆ / ใด ๆ ที่ด้านล่างของ ACL แม้ว่าจะมีการกำหนดค่าเฉพาะ ACE ที่ด้านบนสุดของ …
13 cisco-asa 

7
ฉันจะสร้างปริมาณการใช้งานบน Cisco ASA ได้อย่างไร
ในหลายพื้นที่เรามี Cisco ASA 5505 เพียงหนึ่งเดียวเท่านั้นและหนึ่ง WiFi WiFi อย่างน้อยหนึ่งรายการนอกเหนือจากเราเตอร์ของผู้ให้บริการ ไม่มีเซิร์ฟเวอร์หรือพีซีเพียงบริการ WiFi สำหรับผู้เข้าชมเป็นครั้งคราว ฉันต้องการตรวจสอบจากระยะไกลว่าผู้ให้บริการให้แบนด์วิดท์ตามสัญญาหรือไม่ ฉันสามารถเห็นแบนด์วิดท์ที่ใช้ในการตรวจสอบ ASA และทดสอบทิศทางเดียวโดยส่งปริมาณข้อมูลไปยัง ASA โดยใช้ Iperf ที่ด้านข้างของฉัน มีวิธีใดที่จะให้ ASA สร้างปริมาณการใช้งานได้มาก?
13 cisco-asa 

1
Cisco ASA: ตัวนับ“ tx hangs” บนอินเทอร์เฟซการแสดงคืออะไร
พิจารณาผลลัพธ์ต่อไปนี้จากshow interface: Interface GigabitEthernet0/1 "inside", is up, line protocol is up Hardware is i82546GB rev03, BW 1000 Mbps, DLY 10 usec Full-Duplex(Full-duplex), 1000 Mbps(1000 Mbps) Input flow control is unsupported, output flow control is off MAC address 5057.aaaa.25d7, MTU 1500 IP address 10.0.0.7, subnet mask 255.255.255.0 2708954646 packets input, 1614638330819 …
12 cisco-asa 

1
อุโมงค์ VPN จากไซต์สู่ไซต์ไม่ส่งการรับส่งข้อมูล
ฉันมี VPN ไซต์ต่อไซต์ที่ดูเหมือนว่าจะลดทราฟฟิกจากซับเน็ตเฉพาะเมื่อข้อมูลจำนวนมากถูกส่งผ่านอุโมงค์ ฉันต้องวิ่งclear ipsec saเพื่อให้มันไปได้อีกครั้ง show crypto ipsec saผมแจ้งให้ทราบต่อไปนี้เมื่อทำงาน อายุการใช้งาน SA ที่เหลืออยู่ของคีย์จะสูงถึง 0 สำหรับ kB เมื่อสิ่งนี้เกิดขึ้นอุโมงค์ไม่ผ่านการจราจร ฉันไม่เข้าใจว่าทำไมมันไม่ rekey inbound esp sas: spi: 0x51BB8CAE (1371245742) transform: esp-3des esp-sha-hmac no compression in use settings ={L2L, Tunnel, } slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map sa timing: remaining key lifetime (kB/sec): (3796789/14690) IV …
12 vpn  cisco-asa 

1
ASA5505 และ IPv6 ผ่าน PPPoE Link
ฉันเห็นข้อมูลที่ขัดแย้งมากมายเกี่ยวกับว่า Cisco ASA (5505 ในกรณีนี้) สามารถใช้ IPv6 ผ่านการเชื่อมต่อ PPPoE ได้หรือไม่ ฉันเห็นเอกสารอย่างเป็นทางการของCisco ทำให้ดูง่ายแต่ฉันเห็นโพสต์ในฟอรัมมากมายที่ระบุว่าไม่ทำงาน ผู้ให้บริการอินเทอร์เน็ตที่เราต้องใช้ที่อยู่ autoconfigured สำหรับการเชื่อมโยง PPPoE เช่นที่พวกเขากำหนดแบบไดนามิกที่อยู่ IPv6 ที่จะเชื่อมโยงตัวเองและให้เราคงที่/56สำหรับการมอบหมายคำนำหน้า เป็นไปได้ไหม ผู้ให้บริการของเราคือInternode ; และให้คำแนะนำนี้เพื่อเปิดใช้งานในเราเตอร์ 800 ซีรีส์ จุดเริ่มต้นของsh verASA ของเราคือ: Cisco Adaptive Security Appliance Software Version 9.1(1) Device Manager Version 7.1(2)102 Hardware: ASA5505, 512 MB RAM, CPU Geode 500 MHz, Internal ATA …
12 ipv6  cisco-asa 

3
โอนย้ายการกำหนดค่า ASA ล่วงหน้า 8.3 ให้เป็น 8.3+
แนวปฏิบัติที่ดีที่สุดในการโยกย้าย ASA ไปเป็น 8.3 และส่งต่อคืออะไร? ฉันสร้างไฟล์ปรับแต่งใหม่ด้วยตนเองโดยมีการเปลี่ยนแปลงต่อไปนี้: วัตถุเครือข่ายใหม่ คำสั่ง NAT ใหม่ รายการเข้าถึงใหม่อ้างอิงวัตถุเครือข่าย ขั้นตอนต่อไปของฉันคือการอัปเกรดจาก 8.2 เป็น 8.3 เก็บบันทึกข้อผิดพลาดใด ๆ แทนที่จะล้างการกำหนดค่ามันจะง่ายกว่าที่จะทำใหม่ทีละบรรทัด?
12 cisco-asa 

2
ใน IPsec VPN คีย์ที่แบ่งปันล่วงหน้ามีการเข้ารหัสอย่างไร
ฉันกำลังทำ IPsec VPN บน ASA 8.0 และฉันเข้าใจเพียงเล็กน้อยเกี่ยวกับสิ่งนั้น ผู้ริเริ่มเริ่มต้นด้วยการส่งนโยบาย ISAKMP ไปยังผู้ตอบคำถามและผู้ตอบกลับจะส่งนโยบายที่ตรงกันกลับมา หลังจากนั้นคีย์ Diffie-Hellman จะได้รับการแลกเปลี่ยนจากนั้นทั้งคู่ก็ส่งคีย์ที่แชร์ล่วงหน้าไปยังอีกอันเพื่อการตรวจสอบความถูกต้อง ตอนนี้เรามีสองปุ่ม: หนึ่งจะถูกสร้างขึ้นโดยการเข้ารหัส AES หนึ่งจะถูกสร้างขึ้นโดยกลุ่ม Diffie-Hellman คีย์ใดที่ใช้เพื่อเข้ารหัสคีย์ที่แบ่งปันล่วงหน้า
11 cisco  cisco-asa  vpn  ipsec 

2
Cisco ASA สองเท่า NAT พร้อมการแปล DNS
ฉันกำลังพยายามตั้งค่า NAT อัตโนมัติสองเท่าด้วยการแปล DNS บน Cisco ASA 9.0 (3) และฉันมีความท้าทายเล็กน้อยกับส่วน DNS ฉันได้ NAT สองครั้งทำงานอย่างถูกต้องเช่นฉันมีเซิร์ฟเวอร์ในการผลิตและในห้องปฏิบัติการที่มีที่อยู่ IP เดียวกัน ดู b2masd1, nameif INSIDE (การผลิต) และ masd1, nameif DMZ (แล็บ) เมื่อคุณ ping จาก DMZ 10.195.18.182 ถึง 1.195.18.182 ฉันเห็นคำแปลที่เกิดขึ้นอย่างถูกต้องทั้งสองทิศทาง ... D:10.195.18.182 S:192.168.11.101 D:1.195.18.182 S:10.195.18.182 <----------- <----------- 1) echo-request to 1.195.18.182 nat (INSIDE,DMZ) static 1.195.18.182 dns …
11 cisco  cisco-asa  firewall  nat  dns 

3
Cisco ASA 5525-X สองตัวเป็นเกตเวย์อินเทอร์เน็ตที่ไม่มีเลเยอร์ 2
เพิ่มอีกเหตุผลที่จะเกลียด NAT ในรายการ ฉันขอคะแนนความก้าวหน้าทางอินเทอร์เน็ตสองจุดในเครือข่ายองค์กรของเรา อุปกรณ์ที่ทันสมัยจะเป็นไฟร์วอลล์ ASA 5525-X เดิมคุณจะใส่สิ่งเหล่านี้ลงในคลัสเตอร์บางประเภท แต่ต้องใช้การเชื่อมต่อ L2 เนื่องจากอุปกรณ์เหล่านี้จะแยกส่วนของเครือข่ายของฉันการเชื่อมต่อ L2 จึงไม่ใช่ตัวเลือกที่ง่าย โซลูชันที่ทำงานอยู่ในปัจจุบันของฉันคือการทำให้ทั้งคู่เป็นไฟร์วอลล์อิสระและโฆษณาเส้นทางเริ่มต้นจากแต่ละเส้นทาง ECMP ใด ๆควรมีแฮชเดียวกันสำหรับแต่ละโฟลว์และส่งไปยังไฟร์วอลล์ egress ที่ "ถูกต้อง" คำถามของฉันคือ: มีวิธีการคลัสเตอร์ ASA สองกลุ่มโดยไม่ต้องการลิงก์ L2 หรือไม่ ฉันต้องการดวงตาคู่ที่สอง / สาม / ร้อยบนโซลูชันปัจจุบันของฉันโดยสมมติว่า "ไม่" คือคำตอบของ # 1
11 cisco-asa  ecmp 

4
ASA 5505 remote access VPN - มีการสร้างการเชื่อมต่อ แต่ไม่มีการเข้าถึงอินเทอร์เน็ต / ไปยัง subnet
ปรับปรุง ในที่สุดก็อัพเกรดเป็น 9.1.4 ฉันได้รับการกำหนดค่าทุกอย่างเปิดใช้งาน VPN อีกครั้งและยังคงมีปัญหาเดียวกัน ดังนั้นฉันจึงล้างข้อมูลการกำหนดค่า VPN ทั้งหมดและเริ่มจากศูนย์ ด้านล่างคือการกำหนดค่าปัจจุบันของฉัน ฉันสามารถเชื่อมต่อและเข้าถึงทรัพยากรบนเครือข่ายภายใน อย่างไรก็ตามฉันไม่สามารถเข้าถึงอินเทอร์เน็ตผ่าน VPN ได้ xlate per-session deny tcp any4 any4 xlate per-session deny tcp any4 any6 xlate per-session deny tcp any6 any4 xlate per-session deny tcp any6 any6 xlate per-session deny udp any4 any4 eq domain xlate per-session deny udp …
10 cisco-asa  vpn 

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.