Adaptive Security Appliance (ASA) firmy Cisco, które łączy w sobie funkcjonalność linii produktów PIX, VPN 3000 i Intrusion Prevention Systems (IPS)
Niedawno zastąpiliśmy międzynarodowy MPLS nowymi ASA 5510 i VPNami typu site-to-site. Jednak po wdrożeniu tego napotkaliśmy problem polegający na tym, że każda zdalna lokalizacja ma 2 dostawców usług internetowych w celu zapewnienia nadmiarowości, ale podczas włączania VPN na obu interfejsach klapy...
Układ urządzenia jest następujący: BGP Peers + | | +------+-------+ | | | Juniper MX5 | | | +------+-------+ |.254 OSPF | 10.0.1.0/24 |.1 +------+-------+ | | | Cisco ASA | ASA NAT | | 10.0.0.1 <> 134.0.15.1 +------+-------+ |.254 |10.0.0.0/24 |.1 +------+-------+ | | | HOST1 | |...
Używamy Cisco ASA 5585 w trybie transparentnym warstwy 2. Konfiguracja to tylko dwa łącza 10GE między naszym partnerem biznesowym dmz a naszą siecią wewnętrzną. Prosta mapa wygląda tak. 10.4.2.9/30 10.4.2.10/30 core01-----------ASA1----------dmzsw ASA ma 8.2 (4) i SSP20. Przełączniki to 6500...
W sieci VPN typu site-to-site używającej odpowiednio ASA 5520 i 5540 zauważyłem, że od czasu do czasu ruch już nie przechodzi, czasami po prostu brakuje ruchu tylko dla jednego określonego wyboru ruchu / ACL, podczas gdy inny ruch ponad działa ta sama sieć VPN. Dzieje się tak, mimo że ciągle działa...
W wielu lokalizacjach mamy tylko jeden Cisco ASA 5505 każdy i jeden lub więcej punktów dostępowych WiFi, oprócz routera dostawcy. Brak serwerów lub komputerów, tylko usługa WiFi dla okazjonalnych gości. Chcę zdalnie sprawdzić, czy dostawca podaje nam zakontraktowaną przepustowość. Widziałem używane...
Mam ASA 5550, który wykonuje obciążenia i operacje (AnyConnect, NAT, ACL, RADIUS itp.). Nie jest szczególnie przeciążony pod względem procesora i pamięci, ale ma czas pracy ponad 3,5 roku. Ostatnio próbowałem wdrożyć inny tunel IPSEC (za pomocą cryptomap) wraz z regułą zwolnienia NAT, ale ASA...
Odniosłem się do starego zewnętrznego artykułu Cisco na temat blokowania ruchu Bit torrent, o którym mowa tutaj Ta procedura, którą znalazłem, działa tylko w 50% przypadków. Uważam, że blokowanie portów specyficznych dla torrentów i wykonywanie wyrażenia regularnego działa, po prostu nie...
Jakie są najlepsze praktyki migrowania konfiguracji ASA do wersji 8.3 i dalej? Utworzyłem ręcznie nowy plik konfiguracyjny z następującymi zmianami: nowe obiekty sieciowe nowe instrukcje NAT nowe listy dostępu odnoszące się do obiektów sieciowych Moim następnym krokiem byłoby uaktualnienie z...
Widzę wiele sprzecznych informacji na temat tego, czy Cisco ASA (5505 w tym przypadku) może korzystać z IPv6 przez połączenie PPPoE. Widzę oficjalną dokumentację Cisco, która sprawia, że wygląda to łatwo , ale widzę wiele postów na forum stwierdzających, że to nie działa. ISP wymaga, abyśmy...
Rozważ następujące dane wyjściowe z show interface: Interface GigabitEthernet0/1 "inside", is up, line protocol is up Hardware is i82546GB rev03, BW 1000 Mbps, DLY 10 usec Full-Duplex(Full-duplex), 1000 Mbps(1000 Mbps) Input flow control is unsupported, output flow control is off MAC address...
Mam sieć VPN typu lokacja-lokacja, która wydaje się zmniejszać ruch z określonej podsieci, gdy przez tunel przepychana jest duża ilość danych. Muszę biec, clear ipsec sażeby znów zacząć. Podczas uruchamiania zauważam następujące informacje show crypto ipsec sa. Pozostały okres ważności klucza...
Robiłem IPsec VPN na ASA 8.0 i trochę o tym rozumiem. Inicjator rozpoczyna od wysłania swojej polityki ISAKMP do respondera, a on odpowiada z powrotem dopasowanej polityce. Następnie klucz Diffie-Hellman zostaje wymieniony, a następnie oba wysyłają klucz wstępny do drugiego w celu...
Próbuję skonfigurować podwójną automatyczną translację NAT z tłumaczeniem DNS w Cisco ASA 9.0 (3) i mam kilka problemów z częścią DNS. Mam podwójną translację NAT działającą poprawnie, dzięki czemu mam serwer w produkcji i w laboratorium z tym samym adresem IP. Patrz b2masd1, nameif INSIDE...
Dodaj kolejny powód do nienawiści NAT do listy. Przywołuję dwa punkty wyjścia z Internetu w naszej sieci korporacyjnej. Urządzeniami brzegowymi będą zapory ogniowe ASA 5525-X. Tradycyjnie umieszczasz je w jakimś klastrze, ale wymaga to łączności L2. Ponieważ te urządzenia będą znajdować się w...
Wygląda na to, że Dropbox korzysta z Amazon AWS do przechowywania danych, więc nie jestem w stanie po prostu blokować ani przekierowywać ruchu na dropbox.com Ponieważ istnieje wiele usług internetowych opartych na AmazonAWS, nie mogę po prostu zablokować tej domeny. Czy masz jakieś sugestie...
Mamy kilka istniejących ASA-5555X w trybie wielu kontekstów i używamy jednego kontekstu per-vlan jako przezroczystej zapory ogniowej warstwy 2. Z czasem dodawaliśmy do tego rozwiązania i wkrótce przekroczymy naszą pierwotną licencję na 5 kontekstów bezpieczeństwa. Kupiliśmy L-ASA-SC-10 =, ale nie...
Jeśli mam dwie witryny centrów danych, które są uważane za zbędne. Czy można zsynchronizować konfigurację zapory ogniowej z podstawowej do kopii zapasowej? Jaki jest najlepszy sposób na jednoczesne aktualizowanie obu zapór? Jeśli tak, co jest wymagane? Użyte wyposażenie: Główny prąd...
W ramach nowego projektu musimy zakończyć około 3000 połączeń IPsec na zaporze Cisco ASA 5540. Zgodnie ze specyfikacją maksymalna liczba peerów IPsec obsługiwanych przez tę platformę wynosi 5000, więc nie powinno być problemu. Pytanie brzmi: co się stanie, jeśli WSZYSTKIE zdalne witryny 3000...
Aktualizacja W końcu został zaktualizowany do wersji 9.1.4. Skonfigurowałem wszystko, ponownie włączyłem VPN i nadal miałem ten sam problem. Wyczyściłem wszystkie informacje o konfiguracji VPN i zacząłem od zera. Poniżej znajduje się moja aktualna konfiguracja. Jestem w stanie łączyć się i...
Próbuję skopiować program show z ASA na zdalny serwer przez FTP. Mój problem polega na tym, że hasło, które podaję, ma znak „@” i jest interpretowane nieprawidłowo przez CLI. Próbowałem wstawić „\ @”, ale polecenie nadal nie działa. Czy ktoś ma z tym szczęście? To działa pokaż plik pomocy...