我有一个问题类似于思科ASA日志“定期翻译创buildicmp的失败…”,但它的工作原理,但在我的情况下,来源是MacBook Pro(10.7)不运行BIND。 每隔几分钟我的ASAlogging以下消息,但DNSparsing工作正常: %ASA-3-305006: regular translation creation failed for icmp src inside:172.16.0.180 dst outside:8.8.8.8 (type 3, code 3) 有什么需要关注的信息吗? 有没有办法阻止这个消息,而不是完全禁用事件305006?
在ASA和其他对等体之间可以有多个VPN,每个隧道都有自己的PSK? 例如,encryption映射1将具有PSK“testing”并且在10.10.10.0/24和11.11.11.0/24之间监视通信。 Crypty map 2将具有相同的对等体PSK“test2”,并在192.168.1.0/24和192.168.30.0/24之间查看traficc
我正试图在5505上进行交通pipe理。我可以像平时一样进行警务,但是一如既往地执行警务工作,它会上下起伏,不会达到最佳效果。 我得到关于ERROR: 'shape' can only be configured for class "class-default"的信息ERROR: 'shape' can only be configured for class "class-default" ,当试图创build我自己的class级地图,虽然我不能找出一种方法来绑定类默认地图向下港口。 以下是我尝试自己的class级和政策时所得到的结果: ASA(config)# class-map test ASA(config-cmap)# match port tcp eq 80 ASA(config-cmap)# exit ASA(config)# policy-map test ASA(config-pmap)# ? MPF policy-map configuration commands class Policy criteria description Specify policy-map description exit Exit from MPF policy-map configuration mode help […]
免责声明:我不是一个networking大师,但我很快学习! 忍受着我。 情况 :我有一个由几台服务器组成的colo安装程序,一个iscsi SAN,连接到Cisco 3560G交换机,由思科ASA设备保护。 交换机(和服务器)使用vlan进行configuration,使得iscsistream量位于专用vlan上(实际上两个用于冗余和吞吐量),而其他所有networkingstream量都在另一个vlan上。 我也有一个基本的SOHO设置,为此我有另一个Cisco 3560G和我的ISP提供的一个荒谬的路由器(这是一个Cisco路由器,实际上不允许您路由多个子网)。 我目前的configuration是我相信被称为“棒上的路由器”configuration。 我的本地SOHO是一个标准的192.168.10.0/24networking,而colo是10.0.0.0/8。 我已经设法configuration本地3560G来处理我所有的本地机器,并且我还configuration了我的路由器,使其拥有持久的IPSEC VPN连接,这非常棒。 我可以从任何SOHO客户端连接到我的任何colo服务器(要清楚,我可以访问vlan1上的任何设备)。 目标 :我希望我的一些本地SOHO主机能够访问位于vlan2上的COLO上的iscsi … 与客户端的区别是ping 10.10.10.x(vlan1)和10.10.0.x(vlan2)…我无法弄清楚我需要做什么才能使其工作。 我发现,我认为这是有道理的是我iscsi vlan(vlan2)没有直接连接到ASA,因此不能由ASA NAT'd。 Vlan2设备直接从iscsi guest和host连接,stream量由交换机pipe理。 ASA不知道有关vlan2的stream量。 可能的解决scheme :是否有可能通过我的科洛交换机(他们是完全相同的型号和规格)'trunk'我soho开关,这样的vlan信息是共享的,他们可以'谈'。 我不知道我需要发布什么更具体的信息,但如果任何人可以借给一些援助,我真的很感激。 对不起,如果我不是很清楚,但networking不是我的特长。
我有一个运行以下软件/pipe理器版本的Cisco ASA 5540: 思科自适应安全设备软件版本8.2(2) 设备pipe理器版本6.3(2) 我使用ASDM来不断修改防火墙,没有任何问题。 最近,我需要SSH进入防火墙进行一些更多的技术更改,login后使用我的ACS凭据,我继续尝试启用(priv模式),并获得拒绝访问。 我知道我使用的密码是正确的…但我想我会改变它rq。 因此,我决定login到ASDM,并通过[configuration>设备设置>设备名称/密码]部分更改密码。 我input旧密码,然后input新密码和确认的新密码。 应用configuration并将其保存到闪存(没有错误,旧密码错误)。 一切都很好,新的密码已经改变了。 我甚至可以使用ASDM的CLI来发出show running-config enable并查看我新encryption的密码。 请注意,我在running-config有以下内容: enable password xxxx1HNMUkxxxx encrypted passwd xxxxaUTcbVSxxxxx encrypted 所以我改变了enable密码,而不是正常的密码。 我再次用我的ACS凭据SSH进入防火墙,继续发出enable命令,然后是新设置的密码。 拒绝访问! 任何洞察力,build议,甚至笑话…我真的在这一点上看任何反馈。
我们有一个我们正在使用的Cisco ASA 5510(47-7523-01 Rev A0),以便用户可以从家中连接到VPN。 我自己使用这种连接来对我们不会停顿的旧数据库系统进行深夜备份。 直到本周它都运行良好,但是现在似乎每个人都马上被踢开了,大概有12人同时上场。 我的IT人员告诉我这个人比我长六个月,VPN连接是10MB,10MB。 当我遇到麻烦时,我也logging了一些日志,我记下了对应日志的logging和发生的事情。 我不太了解VPN,看看他们是否可以安全地发布。 也就是说,我已经在您的网站上发现了一些关于如何使用ASAconfiguration和设置VPN的文章,我将会看看他们。 我在别的地方读到连接速度可能是问题,但我不知道这个事实…
我用我们networking的Cisco ASA 5505设备取代了老化的防火墙(使用Linux的自定义设置)。 这是一个非常简单的设置,大约有10个工作站和一个Small Business Server 2008。 为SMTP,HTTPS,远程桌面等设置传入端口到SBS进展良好 – 他们正在像他们应该的工作。 但是,我还没有成功允许传入的VPN连接。 尝试连接(运行Windows 7)的客户端在“validation用户名和密码…”对话框之前30秒后才会收到错误消息。 我们有一个外部的静态IP,所以我不能在另一个IP地址上build立VPN连接。 我已经转发了TCP端口1723,就像我为SMTP和其他端口一样,通过添加一个静态NAT路由将端口1723上的SBS服务器的stream量转换为外部接口。 另外,我build立了一个允许所有GRE数据包(src any,dst any)的访问规则。 我认为我必须以某种方式将传入的GRE数据包转发到SBS服务器,但这是我卡住的地方。 我正在使用ADSM来configuration5505(不是控制台)。 很感谢任何forms的帮助! 编辑:另见相关的问题在这里: PPTP通过思科ASA 5505(8.2)
在这里工作的思科ASA 5510正在退役,我想知道用户使用它的情况。 我没有自己设置这个东西,但是通过找出一个老用户列表来添加同样的用户到新系统中是很好的。
我的一个客户端有一个处于主动模式的IIS 7 FTP服务器,位于Cisco ASA 5505的后面。由于外部客户端(一旦指示了IE设置)就可以正常连接到FTP服务器,因此这种设置是已知的。 Windows中的命令行FTP和FileZilla设置为活动模式也按预期工作。 这个客户的姊妹公司现在有用户试图连接,但无法。 即使IEconfiguration正确,FileZilla设置为“活动”。 似乎命令通道有时会build立连接,但数据通道总是失败。 这个姊妹公司也使用Cisco ASA 5505.我确定这个问题是他们的ASA的configuration。 如下面的configuration代码片段所示,他们的ASA启用了“ftp mode passive”全局configuration选项,我很确定这是问题所在。 我试图找出什么configurationbuild议,他们添加到他们的configuration,但我真的很感激的build议…我是一个ASA新手,仍然试图加快速度的事情。 ASAVersion7.2(2) ! **ftpmodepassive** clocktimezoneEST-5 clocksummer-timeEDTrecurring dnsserver-groupDefaultDNS domain-namevbllc.com same-security-trafficpermitinter-interface same-security-trafficpermitintra-interface access-listnonatextendedpermitip10.0.4.0255.255.255.0192.168.255.0255.255.255.0 access-listnonatextendedpermitip10.0.4.0255.255.255.010.0.0.0255.255.255.0 access-listnonatextendedpermitip10.0.4.0255.255.255.010.0.5.0255.255.255.0 access-listnonatextendedpermitipany10.0.14.0255.255.255.128 access-listny-vpnextendedpermitip10.0.4.0255.255.255.010.0.0.0255.255.255.0 access-listny-vpnextendedpermitip192.168.255.0255.255.255.010.0.0.0255.255.255.0 access-listacl_outside2extendedpermiticmpanyany access-listacl_outside2extendedpermitiphost66.117.119.221host216.143.137.27 access-listacl_outside2extendedpermitiphost66.117.119.214host216.143.137.27 access-listOutsideNew_40_cryptomapextendedpermitip10.0.4.0255.255.255.010.0.5.0255.255.255.0 access-listOutsideOld_access_inextendedpermiticmpanyany access-listSplitTunnel_splitTunnelAclstandardpermitany access-listacl_outside_fiberextendedpermiticmpanyany nopager loggingenable loggingbuffer-size10000 loggingbufferednotifications loggingasdminformational mtuOutsideOld1500 mtuInside1500 mtutest11500 mtuOutsideNew1500 mtuOutsideFiber1500 mtumanagement1500 iplocalpoolvpn192.168.255.1-192.168.255.254 iplocalpoolSplitTunnel10.0.14.50-10.0.14.99 icmpunreachablerate-limit1burst-size1 icmppermitanyOutsideOld icmppermitanyInside icmppermitanyOutsideNew […]
我们正在使用一些脚本来备份我们的ASA和交换机。 它工作得很好。 我注意到,虽然偶尔TFTP的备份不会像没有扩展名的普通“文件”,而是.tmp文件。 好奇的原因。 我已经手动确认, .tmp文件的大小和内容始终相同,然后手动备份相同备份设备的非.tmp文件。 为什么会这样呢? 有什么办法来防止它? 有什么理由要关心吗? 它似乎完全随机发生,并立即创build(我已经尝试在脚本中启用更长的sleep语句不起作用)。 设备正在将备份写入Spiceworks TFTP服务器。 我会做一些调查,看看发生了什么,如果我能find答案或提供更多的可靠信息。 另外,现在我已经在备份HP Procurve设备的100%时间内实现了这个function,TFTP将它们写为.tmp文件。 谢谢