我想为思科ASA 5510添加一个冗余接口。pipe理接口当前使用的是Ethernet0 / 1(10.1.25.254/24)作为冗余接口的接口之一。 所以我想把Management0 / 0设置成新的pipe理界面。 我想使用的另一个接口是Ethernet0 / 2(10.1.0.254/24)冗余接口。 Ethernet0 / 3(10.1.251.5/24)接口不会成为冗余接口的一部分。 我给了Management0 / 0一个IP地址10.1.254.5,并且能够连接win7到Management0 / 0并使用10.1.254.5作为网关。 并ping(10.1.251.0/24)networking上的另一个地址,但我无法ping接口(10.1.254.5)本身。 我也不能使用ASDM / SSHlogin到10.1.254.5的ASA。 我在configuration>设备pipe理>pipe理访问> ASDM / HTTPS / Telnet / SSH中设置规则。 这看起来像Ethernet0 / 1接口的原始规则。 我能想到的最后一件事情就是改变configuration>设备pipe理>pipe理访问>pipe理界面。 我对改变它有点紧张,对它的描述有些模糊。 如果我改变它会怎么做? 什么是更改pipe理界面的正确方法?
使用ASA 5505可以阻止HTTPS网站吗? 我有矛盾的信息。
有没有一步一步的指导configuration一个ASA 5505在那里? 我经常遇到的大部分信息都是同一篇文章的转贴。 我发现迄今为止最有用的指导是这一个。 http://www.firewall.cx/ftopic-7053-days0-orderasc-0.html
我正在使用Cisco ASA 5510.我将pipe理界面更改为不同的界面。 我使用命令“pipe理访问”来获得新的接口工作,但旧的界面继续工作。 所以我不确定这个命令是干什么的。 我认为这样做只有选定的接口可以用于Web界面和SSH,但事实并非如此。 那么它是做什么的?
我最近为我的家庭办公室购买了一台Cisco ASA 5500。 我计划在本周末进行安装和configuration,但是我只想到它可能不支持UPnP,而且我已经非常喜欢我的networking上的UPnP(主要是使用我的PS3连接到我的媒体服务器)。 那么,有没有人知道是否有一种方法可以在ASA上进行UPnP(谷歌似乎没有这么想),或者是否有可能以某种方式在使用ASA的networking上启用UPnP? 我不确定路由器是不是UPnP中不可或缺的一部分,或者我可以在机器上设置一个服务,类似于大多数人使用他们的路由器进行DHCP,但是我可以轻松地在服务器上运行一个DHCP服务networking来完成同样的事情。
我显然没有做正确的事情(思科绝对不是我的专长,对我来说是如此裸露),但是我没有任何运气设置从内部networking到外部的出口过滤,目的是拒绝所有出站stream量保存为也运行DNS,NTP等的HTTP代理(Squid)服务器。 如果我删除所有的ACL规则,它的工作正常:NAT的罚款(双NAT的罚款),我可以浏览网页等 然而,我认为是正确的(我经历了一堆令人困惑的文档,其中一些是错误的版本,因此我在思科土地的困境)似乎并不奏效,虽然不一致。 进行远程logintesting时,我第一次使用它的access-group 。 按CTRL-]转义,再按键,再次运行命令,超时。 删除所有访问组分配,不起作用。 回来validation(正如我input这个)和远程login再次工作。 打开debugging日志logging,显示日志确认数据包被丢弃,但它看起来不正确,我想我可能会将我的规则应用到错误的接口或错误的方向。 以下是一些相关信息: 服务器:192.168.2.5/24内部:192.168.2.0/24外部:10.0.0.254/24(< – testing环境,在我的真实LAN上有IP)。 这是我的configuration的相对片段: access-list server_out extended permit tcp host 192.168.2.5 any eq www global (outside) 10 interface nat (inside) 10 192.168.2.0 255.255.255.0 access-group server_out in interface inside 再次,几分钟前,我没有访问组线,它的工作。 我也从几台机器上尝试了这个,而192.168.2.0/24上的另一台机器曾经工作过一次或两次(甚至几分钟前), 即使这里没有任何允许规则 ,而且我假设了默认的拒绝规则一旦你创build一个ACL就会适用。 编辑 这里有一些日志logging为您的观赏乐趣 – 这是一个成功的远程login到我的真实LAN上的networking服务器(10.0.0.12): %ASA-6-305011: Built dynamic TCP translation from inside:192.168.2.5/36097 to outside:10.0.0.254/57787 […]
我的思科ASA 5505上有三个USB端口。我find的所有思科文档都表示它们是“将来使用”的。 任何人都知道这是否已经更新? 或者如果它会?
我一直负责设置我们的ASA,以允许来自两个ISP的stream量。 目前,ISP1用于邮件,VPN,远程工作网站(SBS 2003)和互联网。 我的老板想让我设置DMZ接口来接受HTTPstream量,并将其引导到内部的Web服务器(如第二个外部接口)。 最后,他希望我把服务从ISP1一个接一个地移到ISP2。 从我读过的一切,这是不可能的。 这似乎需要ASA不支持的基于策略的路由。 我find了这个: https : //learningnetwork.cisco.com/docs/DOC-10831 。 纠正我,如果我错了,但这似乎允许HTTP(S)连接在ISP2从内部发起,它不会工作内部托pipe一个Web服务器,是吗? 另外,我发现使用多个ISP的参考,但要做到这一点,需要在ASA外部的路由器,如下所示: http : //www.youtube.com/watch_popup?v= 2rVkUIuXEMM&vq=hd720#t =31 。 由于我们没有额外的路由器或三层交换机,所以这个选项也不适用于我。 有人可以告诉我这是甚么可能吗? 如果是这样的话,请你指点我正确的方向开始? 感谢大家
( 更新与configuration,见底部)。 当我坐在两台交换机之间时,我有一个关于思科ASA 5505处理两个集群接口的能力的问题。 我画了一个图来说明这个设置的麻烦,因为用书面forms来描述它只会令人困惑。 ( 为了清楚起见,configuration细节已被清除 )。 基本上从networking的其余部分连接到ASA 5505(通过多路传输2960)是很好的。 不过,我期待访问5505的另一侧(这将在大部分是在自己的networking)的第二个开关。 但是,当我尝试从防火墙到达2960G交换机时,我没有得到任何回应。 (无法从交换机ping 192.168.200.254 ,或从防火墙ping 192.168.200.1 )。 我无法获得防火墙的辅助端口(Eth0 / 1)和第二台交换机之间最简单的连接。 我希望能够将这个连接作为一个中继接口来运行,这样大多数机器将会在防火墙后面的vlan中,但是将来我可以把连接到第二个交换机的机器的vlans提供给其余的networking。 但是,我不能基本访问当前状态下的交换机。 人们说,他们认为5505不能做到这一点,因为它是一个“荣耀的开关”,但究竟是什么阻止了它呢? 从我的angular度来看,如果一个Trunk接口在Eth0 / 0接口上正常工作,为什么我不能在Eth0 / 1上做同样的工作,所以第二个交换机可以通过防火墙访问呢? 对这个问题的长期性质抱歉,但是我真的很想知道在设置中是否存在根本性错误 – 或者在configuration中必须有错。 干杯,合作 更新: 5505configuration在这里: http ://pastebin.com/sB7GpqiA基础设施的IP /密码/等改为匿名,但vlans和内部ips应符合图。 我还在所有接口上添加了“允许任何”来排除防火墙。 Vlan1也configuration,但它没有分配任何东西,这是vlan2我试图通过访问交换机。
我试图NAT外部地址到一个不是本地的内部地址,但在站点到站点VPN连接的远程端。 这可能吗? 日志说路由无法find下一跳的TCP从外部xxxx / xxx到里面:yyyy / yyyy 我可以连接到yyyy地址就好了,所以VPN是up的。 nat (outside,outside) source static any any destination static web-server-outside web-server-inside service http tomcat-http access-list outside_cryptomap extended permit object-group DM_INLINE_SERVICE_1 any object vpn-network access-list outside_access_in extended permit object-group DM_INLINE_SERVICE_2 any object-group DM_INLINE_NETWORK_2 object-group network DM_INLINE_NETWORK_2 network-object object web-server-inside network-object object web-server-outside object-group service DM_INLINE_SERVICE_2 service-object tcp destination eq […]