คำถามติดแท็ก cisco-asa

เรามีการถกเถียงกันในสำนักงานของเราว่าจะต้องมีไฟร์วอลล์ฮาร์ดแวร์หรือตั้งค่าเสมือนบนคลัสเตอร์ VMWare ของเราหรือไม่ สภาพแวดล้อมของเราประกอบด้วย 3 โหนดเซิร์ฟเวอร์ (16 คอร์ w / 64 GB RAM แต่ละ) มากกว่า 2x 1 GB สลับกับอาร์เรย์เก็บข้อมูลที่ใช้ร่วมกันของ iSCSI สมมติว่าเราจะทุ่มเททรัพยากรให้กับอุปกรณ์ VMWare เราจะได้รับประโยชน์จากการเลือกไฟร์วอลล์ฮาร์ดแวร์ผ่านเครื่องเสมือนหรือไม่? หากเราเลือกที่จะใช้ไฟร์วอลล์ฮาร์ดแวร์ฮาร์ดแวร์ไฟร์วอลล์เฉพาะที่มี ClearOS จะเปรียบเทียบกับไฟร์วอลล์ของ Cisco ได้อย่างไร

16 networking  firewall  vmware-esxi  cisco-asa 

ฉันเพิ่งตั้งค่า vpn tunnel site-to-site พร้อม strongswan (4.5) อุโมงค์ดูดีและเชื่อมต่อกับด้านอื่น ๆ แต่ดูเหมือนว่ามีปัญหาการรับส่งข้อมูลเส้นทางผ่านอุโมงค์ ความคิดใด ๆ ขอบคุณ! แผนภาพเครือข่าย +----------------------------------+ |Dedicated server: starfleet | +-----------------+ | | | CISCO ASA | | +-------------------------| internet | | | |eth0: XX.XX.XX.195/29 +-------------------| YY.YYY.YYY.155 | | +-------------------------| +------+----------+ | |virbr1: 192.168.100.1/24 | | | +----+--------------------| | | | …

15 linux  vpn  kvm-virtualization  cisco-asa  strongswan 

เราพยายามกำหนดค่า Cisco 5505 ของเราและดำเนินการผ่าน ASDM มีปัญหาใหญ่อย่างหนึ่งที่เราไม่สามารถแก้ไขได้และนั่นคือเมื่อคุณไปจากภายในสู่ภายนอกและกลับเข้ามาอีกครั้ง ตัวอย่างเรามีเซิร์ฟเวอร์ "ข้างใน" และเราต้องการที่จะเข้าถึงเซิร์ฟเวอร์นี้ด้วยที่อยู่เดียวกันถ้าเราอยู่ข้างในหรือถ้าเราอยู่ข้างนอก ปัญหากำลังเพิ่มกฎที่อนุญาตการรับส่งข้อมูลจากภายในสู่ภายนอกแล้วกลับเข้ามาอีกครั้ง

10 domain-name-system  cisco  cisco-asa 

ปัจจุบันฉันจัดการอุปกรณ์ Cisco ASA 6 เครื่อง (2 คู่ 5510 วินาทีและ 1 คู่ 5550 วินาที) พวกเขาทำงานค่อนข้างดีและมีความเสถียรดังนั้นนี่เป็นคำถามที่แนะนำการปฏิบัติที่ดีที่สุดมากกว่า "OMG มันเสียช่วยฉันแก้ไขได้" เครือข่ายของฉันแบ่งออกเป็นหลาย VLAN บทบาทการให้บริการในแต่ละครั้งค่อนข้างมี VLAN ของตัวเองดังนั้นเซิร์ฟเวอร์ DB จะมี VLAN, เซิร์ฟเวอร์แอพ, โหนด Cassandra ของตัวเอง ปริมาณการใช้ข้อมูลถูกจัดการโดยอนุญาตเฉพาะข้อมูลพื้นฐานที่เหลือเท่านั้น (ดังนั้นนโยบายเริ่มต้นคือปล่อยปริมาณข้อมูลทั้งหมด) ฉันทำได้โดยสร้าง ACL สองตัวต่ออินเตอร์เฟสเครือข่ายเช่น: access-list dc2-850-db-in ACL ที่ถูกนำไปใช้กับอินเตอร์เฟส dc2-850-db ในทิศทาง "in" access-list dc2-850-db-out ACL ที่ใช้กับอินเตอร์เฟส dc2-850-db ในทิศทาง "ออก" มันค่อนข้างแน่นและทำงานได้ตามที่คาดหวัง แต่ฉันสงสัยว่านี่เป็นวิธีที่ดีที่สุดที่จะไปไหม? ในขณะที่ฉันได้มาถึงจุดที่ฉันมีมากกว่า …

9 networking  security  cisco  cisco-asa  best-practices 

ฉันมีสามไซต์โตรอนโต (1.1.1.1) Mississauga (2.2.2.2) และซานฟรานซิสโก (3.3.3.3) ทั้งสามไซต์มี ASA 5520 ไซต์ทั้งหมดเชื่อมต่อกันพร้อมกับลิงก์ VPN ระหว่างไซต์สองแห่งระหว่างสถานที่อื่น ปัญหาของฉันคืออุโมงค์ระหว่างโตรอนโตและซานฟรานซิสโกไม่เสถียรมากลดลงทุก 40 นาทีถึง 60 นาที อุโมงค์ระหว่างโตรอนโตและ Mississauga (ซึ่งมีการกำหนดค่าในลักษณะเดียวกัน) นั้นใช้ได้โดยไม่มีการหยด ฉันยังสังเกตเห็นว่าการ ping ของฉันลดลง แต่ ASA คิดว่าอุโมงค์ยังคงเปิดใช้งานอยู่ นี่คือการกำหนดค่าของอุโมงค์ โตรอนโต (1.1.1.1) crypto map Outside_map 1 match address Outside_cryptomap crypto map Outside_map 1 set peer 3.3.3.3 crypto map Outside_map 1 set ikev1 …

9 cisco  cisco-asa  cisco-vpn 

ฉันกำลังพยายามติดตั้ง L2TP / IPSec บน ASA5520 ของเราเพื่อรองรับเคสสำหรับนักพัฒนาของเรา ระบบย่อย Windows VPN จะเก็บคุกกี้ kerberos หรือ NTLM สำหรับการเข้าสู่ระบบเมื่อคุณใช้ระบบย่อย vpn ในตัวและไคลเอนต์ Cisco VPN และไคลเอนต์ AnyConnect ไม่ได้ทำเช่นนี้ เมื่อฉันพยายามเชื่อมต่อ VPN ผ่าน Windows 7 การเชื่อมต่อล้มเหลว: %ASA-5-713257: Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: Group 2 %ASA-5-713257: Phase 1 failure: Mismatched attribute …

9 windows-7  vpn  cisco-asa  ipsec  l2tp 

ฉันได้ทำการตรวจสอบ cacti หลายอย่างใน Cisco ASA 5505s ของฉันแล้ว แต่ไม่มีสิ่งใดที่บ่งบอกระดับการรับส่งข้อมูลที่ไหลผ่านช่องทาง VPN บนพวกเขา ข้อมูลนี้พร้อมใช้งานผ่าน SNMP บน ASA และมีใครที่นี่สามารถจัดการกราฟนี้ใน Cacti หรือระบบอื่นได้หรือไม่ NB - ฉันสนใจติดตามการรับส่งข้อมูลจากไซต์ระยะไกลของฉันมากกว่าการรับส่งข้อมูล IPSEC ทั้งหมดที่เข้าสู่ ASA 5510 ของ HQ

2 cisco-asa  snmp  cacti