如果有一条静态路由告诉数据包到达routerA,但是还有一个encryption映射,告诉数据包通过VPN,会发生什么? 它会首先到达路由表还是经过VPN隧道?
ASA1是8.4(2)@ 192.168.1.1,在这之后是host1 @ 192.168.1.10 ASA2是8.4(3)@ 192.168.2.1,在这之后是host2 @ 192.168.2.10 从主机1到主机2的ping工作正常,但是我无法在ASA2上的接口(192.168.2.1)内通过主机1的通道ping通。 我不确定从哪里开始? 我想通过VPN访问所有pipe理function,所以我在ASA2上input了以下内容: ssh 192.168.1.0 255.255.255.0 inside http 192.168.1.0 255.255.255.0 inside 但是我无法ping,通过SSH连接,或者通过ASDM连接到host1的ASA2。 ASA2已经configuration了management-access inside用于pipe理本地机器。 我不认为在这里有任何不正确的NATconfiguration,子网之间应该没有NAT; ASA1: nat (Inside,Outside) source static 192.168.1.0/24 192.168.1.0/24 destination static 192.168.2.0/24 192.168.2.0/24 ASA2: nat (Inside,Outside) source static 192.168.2.0/24 192.168.2.0/24 destination static 192.168.1.0/24 192.168.1.0/24 我可以检查或更改什么? 更新 OK我已经在每个ASA上运行一个数据包捕获,并从ASA1到ASA2进行捕获。 由于某种原因,来自ASA的ping不能通过隧道发送。 ASA1# show capture testc access-list capture […]
我必须运行很多ACL /访问组和networking对象命令,并且我发现每个命令都有1024个字符的限制 – 即使它跨越多行。 在代码中,我使用了1000个字符作为限制,并且每次通过SSH发送尽可能多的行到CLI。 这需要很长的时间。 我正在考虑像* nix中的shell脚本,或Windows中的batch file。 我见过很多关于导入/导出configuration的文章,但是我正在谈论的是在正在运行的系统上运行命令,而不是在重新启动/重新启动时执行命令。 我不更改核心映像,只需访问一些可以在ASA上进行更改的访问参数,而无需重新启动或closures/不closures。 Desired:一种运行发送到ASA的tftp'd / ftp'd / scp'd文件内容的方法,就像我在CLI上input的一样。 我将准备命令,写入文件,发送文件,然后逐行运行文件的内容,就像我login到ASA一样。
我目前有我的思科ASA 5505防火墙configuration为从外部接口转发端口80到我的dmz接口上的主机。 我还需要允许我的内部接口上的客户端通过在其浏览器中input公共ip / dnslogging来访问dmz中的主机。 按照这里的说明,我可以做到这一点 ,导致以下configuration: static (dmz,outside) tcp interface www 192.168.1.5 www netmask 255.255.255.255 static (dmz,inside) tcp 74.125.45.100 www 192.168.1.5 www netmask 255.255.255.255 (其中74.125.45.100是我的公网IP, 192.168.1.5是dmz主机的IP) 这个工作很好,除了我的networking有一个dynamic的公共IP,并且这个configuration因此会在我的公共IP改变时立即中断。 有没有办法做到我想用dynamicIP? 注意:添加内部DNSlogging不会解决我的问题,因为我有多个dmz主机映射到公共IP上的不同端口。
我们的客户希望将他的ASA5520从7.2升级到8.x. 他有一个很大的configuration,并使用了很多function。 例如。 a / s故障转移,子接口,~70个VPN隧道(ssl和ipsec),一堆分组对象,一些策略映射,很多ACL,NAT豁免等….. 有没有人有一些最佳的实践经验? 在configuration语法8.x有很多不同之处吗? SAM
我正在使用ASDM接口处理我的第一个Cisco ASA(5505)。 我必须转发HTTP,HTTPS,PPTP和另一个端口到几个内部服务器。 我很确定我已经弄清楚了,并成功地(我相信,还没有真正testing过))创build和应用静态NAT规则,除了HTTPS以外的所有内容。 通过接口我可以添加443的规则,并且所有看起来都不错,但是当我点击[apply]时出现以下错误,然后删除443 / HTTPS条目: [错误]静态(内部,外部)tcp接口443 192.168.0.151 443networking掩码255.255.255.255 tcp 0 0 udp 0无法为静态PAT保留端口443 错误:无法下载政策 我在创build其他规则方面没有任何问题,并且仍然可以成功创build其他端口规则(例如,“4434”作为testing),所以现在我无所适从,有什么想法? 提前致谢。
有没有办法阻止所有使用5510 ASA防火墙的广告?
因此,我们有一个小问题是任何内部服务器都没有(非ICMP)访问到外面被阻止。 我们目前的configuration是: inside_access_in any —> any —> icmp inside_access_out any —> any —> ip 我明白,如果我添加“任何 – 任何 – IP”inside_access_in可能会解决这个问题,对吧? 我的主要问题是,为什么? inside_access_in和inside_access_out有什么区别? 将添加“任何 – >任何 – > IP”“inside_access_in”提供从外部世界的任何额外的访问内部接口 – 我不想做的事情.. 这里是sh run access-group; sh run access-group access-group inside_access_in in interface inside access-group inside_access_out out interface inside access-group outside_access_in in interface outside
让我先说我不是交易的networkingpipe理员,而且这个防火墙最初是由一个不再可用的思科顾问设置的。 我们有一个配有Cisco ASA 5505的小型办公室,并配有基于IP的打印机。 打印机可以远程访问供应商打印会计凭证。 由于供应商正在更改ISP,我需要更新供应商的公共IP地址。 如果你看下面的代码片段,我不知道为什么他们没有使用规则的确切地址,而是xxx.xxx.xxx.0,然后在说明中注明了具体的公共IP地址。 是不是应该把xxx.xxx.xxx.250作为开头呢? 当我更新供应商的新公共IP地址时,我是否应该不插入他们来自的特定公共IP地址,而不是允许整个公众/ 24(他们的公有IP来自哪个networking)? 这里是我可以在configuration中find的片段,这些不是真正的IP: name 192.168.0.106 host-prt-000.106-printing01 name 192.168.0.107 host-prt-000.107-printing02 name XXX.XXX.XXX.0 vendor-srv-PrintingVendor description Specific Print Source: XXX.XXX.XXX.250 object network vendor-srv-PrintingVendor subnet XXX.XXX.XXX.0 255.255.255.0 description AccountingVendor object network host-prt-000.106-printing01 host 192.168.0.106 description accounting HP object network host-prt-000.107-printing02 host 192.168.0.107 description xerox 提前致谢。 大卫
我刚买了一台ASA 5505,我的数据中心正在为我设置。 他们告诉我,设置ASA与NAT路由将打破内部networking上的Web / DNS服务器。 例如:WAN IP地址66.xxx.47.x – 在内部networking上转换为LAN IP地址192.168.0.1 – 不会向内部Web / DNS服务器提供WAN IP,这显然会中断DNS – 当然DC提供没有其他细节。 大多数人在透明模式下提供的ASA背后? 看起来像瞬态模式有一些缺点,没有终止VPNstream量是其中之一。 看起来像路由/ NAT是最安全的/多function的,但也许我没有看到瞬态模式的好处,表面上看起来像一个快速和肮脏的方式来起床和运行,希望更多。 反馈表示赞赏,我不得不很快打电话给你。