我一直在尝试深究这一点,好吧,好像我不能。 我们在一个数据中心有一台ASA5505(软件版本为8.3)的服务器。 他们运行各种各样的服务,包括我们的网站,内部XMPP服务器,游戏服务器(Minecraft和军团要塞2,大部分都使用UDP),邮件… 每天大概在太平洋时间PST附近,防火墙的系统负载从通常的30%上升到80%以上,networking速度变得非常糟糕。 根据show processes cpu-hog ,“Quack进程”(什么鸭子?!),尤其是“Dispatch Unit”,好像占用CPU一点点。 networking坏了似乎有一种模式。 大约2秒钟全速,然后减速到2停止。 在此期间,我启用了日志loggingfunction,没有什么有趣的事情出现。 只是一些阻塞的ICMP请求,有点奇怪, Deny IP due to Land Attack from [one of our IPs] to [the exact same IP] ,但这可能是一个实际的攻击? 无论如何,从两台服务器到防火墙本身,速度都是很糟糕的,尽pipe两台服务器之间的ping通总是很好,但这使得我负担过重。 我不确定networking是如何build立起来的,所以防火墙和服务器之间可能只有一个小小的转换。 另一个奇怪的事情,但是,这也许是正常的(找不到任何关于它的),在show threat-detection statistics我们的服务器/虚拟机的内部IP首先出现,一些实际上有大于0的数字fw-drop 。 下次出现这个问题时,我该怎么办? 任何想法可能会导致这个? 我应该禁用限制政策地图(见下文)? 编辑:从防火墙ping服务器也将显示这些症状。 这里有更多的系统信息: access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300 access-list […]
大家,早安, 就在最近刚刚注册了这个网站,因为我正在寻找一些困扰我一个星期的问题。 我希望我在正确的地方张贴。 如果没有,那么我的道歉。 无论如何,在这个问题上。 我工作的公司通过8×8托pipeVoIP服务。 我们的Cisco电话是通过他们提供的SPA504G。 问题是,我可以让手机连接到networking,我可以让他们configuration连接到8×8的服务。 一旦他们从8×8的系统中拉出他们的configuration文件,并重新启动,他们回来,似乎工作得很好。 大约30秒到一分钟后,所有线路松动连接,手机重新开机。 当它回来时,他们不能再连接。 我们有两个VLAN,一个用于数据,另一个用于VoIP,我们在ASA上使用CDP和LLDP来dynamic分配设备连接的VLAN。 ASA还configuration为使VoIP电话不能在数据VLAN上工作,并且计算机将无法在VoIP VLAN上接收到任何内容。 当电话执行最后一次重新启动并恢复时,CDP和LLDP都closures。 我把它们打开并重新启动手机。 当它恢复时,它可以正常工作约30秒,然后再次发生。 我尝试在手机中手动分配VoIP VLAN并分配一个静态IP,将CDP和LLDPclosures,但手机根本无法连接回networking。 它会在初始化networking或检查DNS。 任何关于这个问题的帮助将不胜感激。 路由器:Cisco ASA5505 | 交换机:Cisco Small Business 48端口| 电话:思科SPA504G
我一直在与这个ASA 5505打了一天。 我真的很陌生,需要社区的支持! 我完全configuration了CISCO 5505,允许我通过VPN连接浏览互联网。 但我无法访问LAN端(我的远程资源)的任何东西。 当通过VPN(Cisco VPN CLient)连接时,我想使用ADAM或SSH访问防火墙。 这是我的configuration: CiscoASA(config)# show run : Saved : ASA Version 9.0(1) ! hostname CiscoASA enable password s/ffffuuuuuuuuu encrypted passwd ffffuuuuuuuuu encrypted names ip local pool VPN_IP_POOL 10.0.3.80-10.0.3.90 mask 255.255.255.0 ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface […]
我们有两个ASA故障切换设置为主动/主动。 除了使用VPN连接,这似乎对我们所做的一切都很好。 似乎每当主ASA发生故障,所有VPN连接都将丢失。 我是configurationASA HA的新手,但是从我读到的内容来看,我知道必须将故障转移设置为“主动/备用”,以使VPN连接也可以进行故障转移。 正确? 两个ASA都有匹配的VPNconfiguration,安装了证书并分配了地址池。 我的问题是什么将我需要将ASA从主动/主动切换到主动/待机?
我有一个问题,思科ASA 5505 VPNconfiguration。 我为Windows客户端设置了l2tp。 我可以连接到VPN,但: 当我有“在远程networking上使用默认网关”启用网卡我有权访问networking中的所有资源,但我没有互联网接入(无法打开网站等)。 当我有“在远程networking上使用默认网关”NIC禁用我没有访问networking资源,但我有互联网接入。 在我的configuration文件有一点点混乱,我试图使用ASDM,并试图configuration思科Anyconnect,但configuration中的这些行并不重要,不工作。 我的VPN子网是192.168.20.0,我只需要Windows的l2tp。 如果有人想在这里帮助我的configuration: Saved : ASA Version 9.1(2) ! hostname ciscoasa enable password xxx encrypted names ip local pool poolVPN 192.168.20.10-192.168.20.30 mask 255.255.255.0 ! interface GigabitEthernet0/0 nameif inside security-level 100 ip address 192.168.0.254 255.255.255.0 ! interface GigabitEthernet0/1 nameif outside security-level 0 ip address xxx.xxx.xxx.26 255.255.255.248 ! interface GigabitEthernet0/2 […]
我们使用运行版本9.0的Cisco ASA 5505将我们的企业(内部)networking与开发实验室(外部)networking分开。 我们希望使用NAT或PAT根据所使用的URL \端口将内部接口IP转发到设备主机。 这可能吗? 进出口。 insideIP \ jira会映射到端口80上的jira服务器,IP \ console会将SSH映射到端口22上的另一台实验室主机 第一步是端口80,因为这将是一个代理服务器,将做剩下的。
我面临以下问题,在CISCO ASA 5510上创build一个具有“只读”访问权限的新帐户。此帐户将用于备份ASA运行configuration的脚本。 我希望添加到特权级别的命令是: no terminal pager terminal pager 24 我希望用户只能读取权限,而这两个命令是一样的。 或者也许有更好的/其他的方式来实现这一点。
我对pipe理思科ASA设备有点新,我正在尽我所能学习,但是我在这里遇到了问题。 长话短说,我们正试图将医院的ADT HL7饲料连接到我们的远程服务器。 为此,我们通过思科5510连接到思科5510的L2L隧道。 我们的思科5510直接连接到托pipe我们Mirth HL7接口的Linux机箱。 隧道已经build立,但是他们不能把他们的接口连接到我们的。 他们也不能通过指定的端口(7249,7250)telnet到我们的设备。 我认为与这个问题有关的是,他们可以从我们的接口主机向我们发送ping命令,但是我们无法ping通它们。 为什么这种单向ping发生? 这是ASAconfiguration的转储。 访问列表客户访问列表扩展许可证IP主机10.253.253.254主机172.16.25.6 访问列表客户访问列表扩展许可证IP主机10.253.253.254主机172.16.25.7 访问列表客户访问列表扩展许可证IP主机10.253.253.254主机172.16.25.8 访问列表客户访问列表扩展许可证ip 10.253.253.0 255.255.255.0主机172.16.25.8 access-list Customer-filter-acl扩展许可证icmp any any access-list Customer-filter-acl扩展许可证tcp主机172.16.25.6主机10.253.253.254 eq 7249 access-list Customer-filter-acl extended permit tcp host 172.16.25.6 host 10.253.253.254 eq 7250 access-list Customer-filter-acl扩展许可证tcp主机172.16.25.7主机10.253.253.254 eq 7249 access-list Customer-filter-acl扩展许可证tcp主机172.16.25.7主机10.253.253.254 eq 7250 access-list Customer-filter-acl扩展许可证tcp主机172.16.25.8主机10.253.253.254 eq 7249 access-list Customer-filter-acl扩展许可证tcp主机172.16.25.8主机10.253.253.254 eq 7250
我们有一个Cisco ASA 5506-X(运行ASA 9.5(1))和一个/ 28公共networking。 公共networking中的第一个可用地址分配给ASA的外部接口,并对内部networking上的多个服务器具有NAT / PAT。 其余的地址都NAT到内部和DMZnetworking上的服务器。 我希望能够使用DMZ的外部接口地址访问内部networking上的所有PAT'ed服务。 而且由于外部接口地址使用PAT,我不允许使用DNS修改。 主要原因是我们的邮件服务器位于内部networking,我们使用外部接口地址作为我们的主要地址(和公共邮件服务器地址)。 传入的SMTP连接被分配给我们的垃圾邮件filter,而客户端访问(和networking邮件)被直接分配给邮件服务器。
好的,这是这个场景。 我有4个地点与MPLS连接。 我在主要位置安装了一个ASA 10.20.1.0。 在内部和全球的stream量都很好,但是…我不能将stream量通过MPLS路由到另一个networking。 即使有一条规则允许任何不太安全的接口(它应该使用相同的接口in / out,对不对?),它被隐式拒绝规则阻塞。 我有一个networking的静态路由和ASA可以ping它 – 只是没有在ASA的内部networking的stream量。 -Jason