我正在Cisco交换机和Fortinet 100E防火墙之间build立一个2以太网中继。 到目前为止,下面的工作(我可以从思科192.168.1.2 ping,并从Fortinet 192.168.1.1得到答复): interface Port-channel1 switchport trunk native vlan 1 switchport trunk encapsulation dot1q switchport trunk allowed vlan 255 switchport mode trunk ! interface FastEthernet0/1 switchport trunk native vlan 1 switchport trunk encapsulation dot1q switchport trunk allowed vlan 255 switchport mode trunk channel-group 1 mode active ! interface FastEthernet0/2 switchport trunk native vlan […]
我最近为我的家庭办公室购买了一台Cisco ASA 5500。 我计划在本周末进行安装和configuration,但是我只想到它可能不支持UPnP,而且我已经非常喜欢我的networking上的UPnP(主要是使用我的PS3连接到我的媒体服务器)。 那么,有没有人知道是否有一种方法可以在ASA上进行UPnP(谷歌似乎没有这么想),或者是否有可能以某种方式在使用ASA的networking上启用UPnP? 我不确定路由器是不是UPnP中不可或缺的一部分,或者我可以在机器上设置一个服务,类似于大多数人使用他们的路由器进行DHCP,但是我可以轻松地在服务器上运行一个DHCP服务networking来完成同样的事情。
( 更新与configuration,见底部)。 当我坐在两台交换机之间时,我有一个关于思科ASA 5505处理两个集群接口的能力的问题。 我画了一个图来说明这个设置的麻烦,因为用书面forms来描述它只会令人困惑。 ( 为了清楚起见,configuration细节已被清除 )。 基本上从networking的其余部分连接到ASA 5505(通过多路传输2960)是很好的。 不过,我期待访问5505的另一侧(这将在大部分是在自己的networking)的第二个开关。 但是,当我尝试从防火墙到达2960G交换机时,我没有得到任何回应。 (无法从交换机ping 192.168.200.254 ,或从防火墙ping 192.168.200.1 )。 我无法获得防火墙的辅助端口(Eth0 / 1)和第二台交换机之间最简单的连接。 我希望能够将这个连接作为一个中继接口来运行,这样大多数机器将会在防火墙后面的vlan中,但是将来我可以把连接到第二个交换机的机器的vlans提供给其余的networking。 但是,我不能基本访问当前状态下的交换机。 人们说,他们认为5505不能做到这一点,因为它是一个“荣耀的开关”,但究竟是什么阻止了它呢? 从我的angular度来看,如果一个Trunk接口在Eth0 / 0接口上正常工作,为什么我不能在Eth0 / 1上做同样的工作,所以第二个交换机可以通过防火墙访问呢? 对这个问题的长期性质抱歉,但是我真的很想知道在设置中是否存在根本性错误 – 或者在configuration中必须有错。 干杯,合作 更新: 5505configuration在这里: http ://pastebin.com/sB7GpqiA基础设施的IP /密码/等改为匿名,但vlans和内部ips应符合图。 我还在所有接口上添加了“允许任何”来排除防火墙。 Vlan1也configuration,但它没有分配任何东西,这是vlan2我试图通过访问交换机。
我是一个小型托pipe公司的兼职系统pipe理员,目前有20个不同的公共服务器。 我们有一个27个子网块,它给了我们最多30个可用的IP地址。 我知道的很多,但是如何最大限度地增加可用于Cisco ASA(5510)上的DMZ的IP数? ASA的外部接口需要公共IP之一,对吗? 我可以将其余的IP分配给DMZ接口吗? 我已经读了DMZ子网:去NAT或不去NAT? 问题,并意识到nating并不坏,但我更愿意在DMZ接口上创build一个具有公共IP地址的子网。 我只是不知道如何才能做到这一点,而不浪费IP地址…对不起,问一个可能微不足道的问题。 更多背景信息:我们即将切换ISP(以降低带宽成本),这将使我们的公共IP范围从25个子网块减less到27个子网块。 旧的设置很简单,但浪费IP地址。 现在我需要更加小心,而且我的networking技能还不够。
我试图设置特权级别2,以便它有权读取和修改对象和对象组。 显示他们似乎没有问题。 我也可以进入configuration模式。 我只是不能得到' object-group network blah '命令工作(它显示为未经授权)。 不过,我遇到了一些奇怪的事情。 我做了以下,发现我认为是改变的正确路线: ciscoasa# sh run all priv all …权限cmd级别15模式configuration命令对象组… 但是,当我尝试应用这个: ciscoasa(config)# privilege cmd level 2 mode configure command object-group ERROR: specified command 'object-group' not found in mode 'configure'. 任何人都可以摆脱任何光?
我在思科ASA防火墙上configuration了以下规则: access-list OUTSIDE_IN extended permit tcp any host xx.xx.xx.xx eq 3306 access-list OUTSIDE_IN extended permit tcp any host xx.xx.xx.xx eq 2083 access-list OUTSIDE_IN extended permit tcp any host xx.xx.xx.xx eq 2087 access-list OUTSIDE_IN extended permit tcp any host xx.xx.xx.xx eq 2095 现在,当我想添加一个规则,只允许一个stream量tcp到指定的IP地址,如下图,我的规则是失败与ERROR: % Invalid Hostname sh run access-list OUTSIDE_IN extended permit tcp ip yy.yy.yy.yy host […]
从我所读到的,你可以使用ASA 5505上的switchport monitor命令设置一个Span端口,因为ASA的后面实际上是一个交换机。 在我的5520,我没有看到switchport命令时发出一个? 通过CLI。 人们如何监测非5505的stream量? 我的目标是将运行混杂模式的IDS / IPS设备连接到5520上的以太网端口,以监控WANstream量。 我不希望必须通过交换机传递WANstream量,因为这需要我获得两个(用于冗余)STP /交换端口function的交换机。 另外,我们在设备上安装了用于光纤WAN连接的4GE SSM模块,因此不能添加IPS模块。 我们的IPS系统是Cisco IPS 4240.另一种select是将Netflow或详细的系统日志消息发送到IPS设备吗? 在5505上设置交换机端口访问指南: http ://www.wr-mem.com/?p = 66
我正在尝试重置ASA5550上所有接口上所有访问列表上的hitcnt统计信息。 我知道clear <access-list> counters命令。 但是没有办法清除所有访问列表上的计数器吗?
所以基本上我们有一个Cisco ASA 5505(我们从客户那里inheritance了这个,我们没有任何思科的经验)。 现在基本上,我们必须通过在主线上添加跟踪ID来设置故障转移中的广域网线路。 我们将跟踪ID设置为1,将SLA ID设置为123,这些只是我们在Cisco网站上的Cisco ISP故障转移指南中find的随机值。 这很好 – 当主线路断开时,它会从路由表中dynamic地删除一条路由,并将stream量从另一条线路上强制下去。 然而,我们有一个网站到现场的VPN的时刻是绑定到主线。 但是,当主线发生故障时,VPN不会故障切换到另一条线路,因为需要将某些configuration置于原地。 这意味着没有VPN,因为它绑定到一条不再活动的线路。 首先,我们已经通过ASDM(GUI)完成了所有的configuration,并且如果命令行是一个不同的球类游戏,我们希望继续这样做。 是否有可能通过graphics用户界面来做到这一点,如果是这样,一般的设置/过程是什么,任何帮助,非常感谢! 编辑:我也假设一些configuration将需要到位的站点到站点VPN的另一端,它交换VPN连接到远程办公室,这是现在唯一的活动线路的另一行。 IT的一端是思科5505,另一端是5510。
我的外部防火墙和互联网之间的networking拓扑结构相当复杂,如下所示。 每隔一段时间 – 我还没有find一个模式 – 我们得到了显着的数据包丢失程度,大约25%。 大部分时间都在0.5%以下。 据我可以告诉唯一的共同点是,所有丢弃的stream量都是从vpn server Cisco ASA 5505到gateway router Cisco 2901的接口。 编辑 除了纯丢弃的数据包之外,我还在寻找响应时间。 从gateway router到vpn server或fiber uplink任何stream量正在增加精确的 200毫秒,而相比于停止一步的ping而言。 由于高ping响应时间是CPU被刷新的常见指标,我选中了show process cpu ,但是它只显示了大约40%的利用率。 有什么想法吗? 结束编辑 假设问题确实存在于ASA和2901之间的接口上,我清除了两个设备上的接口统计信息。 从那时起,我们已经有了几个丢包增加的时期。 接口统计信息如下,但从我的angular度来看,不会显示任何exception情况 – 没有畸形或丢包,接口重置等。双工和速度设置相匹配。 我错过了什么? 所有这些硬件都在build设中,至less有100 mbps的连接。 网关路由器 show interfaces GigabitEthernet 0/0 GigabitEthernet0/0 is up, line protocol is up Hardware is CN Gigabit Ethernet, address is […]