我想调整我的故障转移轮询时间。 拟议的专栏是我想要设置为。 我相信下面的命令将获得我想要从前两行,但我不知道如何调整其余的。 failover polltime unit msec 500 holdtime 2 failover polltime interface msec 400 holdtime 2
我是一个小型托pipe公司的兼职系统pipe理员,目前有20个不同的公共服务器。 我们有一个27个子网块,它给了我们最多30个可用的IP地址。 我知道的很多,但是如何最大限度地增加可用于Cisco ASA(5510)上的DMZ的IP数? ASA的外部接口需要公共IP之一,对吗? 我可以将其余的IP分配给DMZ接口吗? 我已经读了DMZ子网:去NAT或不去NAT? 问题,并意识到nating并不坏,但我更愿意在DMZ接口上创build一个具有公共IP地址的子网。 我只是不知道如何才能做到这一点,而不浪费IP地址…对不起,问一个可能微不足道的问题。 更多背景信息:我们即将切换ISP(以降低带宽成本),这将使我们的公共IP范围从25个子网块减less到27个子网块。 旧的设置很简单,但浪费IP地址。 现在我需要更加小心,而且我的networking技能还不够。
我有一个思科ASA5510,我们必须在两个独立的接口上分离networking。 除了networkingB需要访问networkingA上的打印机之外,networking应该与彼此无关。 Network A: 192.168.137.0/24 Printer: 192.168.137.20 Network B: 192.168.0.0/24 我已经从networkingA向ASDM接口中的打印机IP添加了传入规则,但客户端无法打印。 我们以前的路由器被configuration为让stream量通过,所以networkingB上的客户端已经configuration好了,所以如果stream量允许的话,它应该可以工作。 如何让networkingB上的客户端与打印机通信? 更新: find了下面的防火墙日志(感谢resmon6): %ASA-5-305013:与正向和反向stream程匹配的非对称NAT规则; 连接协议src接口名称:source_address / source_port [(idfw_user)] dst接口名称:dst_address / dst_port [(idfw_user)]由于NAT反向path故障而被拒绝。 尝试使用其实际地址连接到映射主机时被拒绝。 我是ASA的新手,所以请耐心等待,我想我应该在Configuration > Firewall > NAT Rules添加NAT规则,但是应该只允许翻译打印机的设置是什么? 更新2: 这是目前的NAT规则: Result of the command: "show run nat" nat (NetworkA) 101 0.0.0.0 0.0.0.0 nat (NetworkB) 101 0.0.0.0 0.0.0.0 nat (NetworkC) 101 0.0.0.0 0.0.0.0 […]
试图设置ASA5505。 半工作,但有外部访问服务的问题。 ASA5505基本许可证,版本8.2。 (加上升级到无限的内部主机)。 警报:我是Cisco Noob。 10.10.39.X是隐私的地方持有人。 (编辑:减less混淆) 我想出了这个configuration,并在今晚进行testing。 ASA Version 8.2(1) ! hostname <removed> domain-name <removed> enable password <removed> encrypted passwd <removed> encrypted names ! interface Vlan1 nameif inside security-level 100 ip address 172.21.36.1 255.255.252.0 ! interface Vlan2 nameif outside security-level 0 ip address 10.10.39.10 255.255.255.248 ! interface Ethernet0/0 switchport access vlan 2 ! […]
ASA5505版本8.4+(使用9.1) 添加静态NAT的端口范围。 object network server_x host 123.123.123.123 access-list outside_in extended permit tcp any object server_x range 1000 2000 object network server_x nat (inside,outside) static interface service tcp range 1000 2000?? ….我有点失落在静态的部分。 如何静态NAT一个端口范围? 更新#1 我仍然试图解决这个问题,我有一个困难的时间,我有1000端口转发电话系统远程工作者的VoIP电话,我不能做他们一个端口一次,ASA5505configuration将是巨大的! 更新#2 我不能做1:1 Static Nat,然后在访问列表中定义范围。 内部networking上的不同IP地址上的许多服务使用相同的外部IP。
我试图设置特权级别2,以便它有权读取和修改对象和对象组。 显示他们似乎没有问题。 我也可以进入configuration模式。 我只是不能得到' object-group network blah '命令工作(它显示为未经授权)。 不过,我遇到了一些奇怪的事情。 我做了以下,发现我认为是改变的正确路线: ciscoasa# sh run all priv all …权限cmd级别15模式configuration命令对象组… 但是,当我尝试应用这个: ciscoasa(config)# privilege cmd level 2 mode configure command object-group ERROR: specified command 'object-group' not found in mode 'configure'. 任何人都可以摆脱任何光?
我正在尝试configurationCisco ASA 5510防火墙以允许从LAN到DMZ Web服务器的访问。 Web服务器位于DMZ中,正在使用端口8080.我不希望用户每次尝试访问该站点时都键入端口号。 所以它应该从80到8080端口。我已经做到了外部访问。 当外部用户尝试访问Web服务器时,端口转发工作正常,但对LAN用户不起作用。 我用ASDM来做到这一点。 你能帮忙搞清楚吗? 什么命令来解决这个问题? 谢谢。
路由问题在这里。 在双ISP的情况下,有两种方法可以使用外部IP,并将它们置于更高安全级别的Web服务器上? 我遇到的问题是在ISP2的返回path。 我相信这是因为Cisco ASA的默认路由是ISP1。 所以,如果一个请求在ISP2上来的话,它会成功的触发网页服务器,但是当这个数据包被返回的时候,这个请求者不会期望的IP地址在ISP1链路上被取消和重载。 ISP方面: ISP1 = 1.1.1.1/30 ISP2 = 2.2.2.1/30 在我身边: interface e0/1 (ISP1) has IP 1.1.1.2 interface e0/2 (ISP2) has IP 2.2.2.2 static (dmz,ISP1) tcp interface www 10.0.0.10 www netmask 255.255.255.255 static (dmz,ISP2) tcp interface www 10.0.0.10 www netmask 255.255.255.255 show route 10.0.0.0/24, directly connected dmz 1.1.1.0/30,directly connected ISP1 2.2.2.0/30,directly connected […]
目前,我们拥有一个带有IP池的ASA,允许外部承包商远程连接和访问我们的networking。 我们想要做的是限制他们一旦连接就可以得到什么。 我对这个问题的知识有限,但是在做出改变之前尽量拼凑起来,因为我显然想在拉动触发器之前尽可能多地研究。 我是新来的这个职位,宁愿不把它拿下来。 🙂 ASA上有一个名为“vpnpool-Contractor”的IP地址为10.50.50.20-254的本地池。 我想让他们只能访问三台服务器: 10.50.35.40 10.50.35.41 10.50.35.42 在我看来,我应该可以使用ACL来禁止他们访问除列出的任何内容之外的任何内容,但不能100%确定我的语法。 这是我迄今为止: Config t access-list vpnpool-Contractor-ACL permit 10.50.50.0 10.50.35.40 access-list vpnpool-Contractor-ACL permit 10.50.50.0 10.50.35.41 access-list vpnpool-Contractor-ACL permit 10.50.50.0 10.50.35.42 access-list vpnpool-Contractor-ACL deny any any 但是我想我仍然需要将它绑定到界面/组以使其工作…或者我记得那是错的吗? 任何帮助将不胜感激,谢谢!
所以我开始了使用思科ASA 5520(9.1(5))的Squid 3.3.8的可怕冒险。 我认为问题是stream量到达了squid盒子,但是它不是到达实际的守护进程或者它没有发送(我认为它没有进入守护进程) ASA sh wccp Global WCCP information: Router information: Router Identifier: 192.168.1.1 Protocol Version: 2.0 Service Identifier: web-cache Number of Cache Engines: 1 Number of routers: 1 Total Packets Redirected: 1049 Redirect access-list: wccp-traffic Total Connections Denied Redirect: 0 Total Packets Unassigned: 1 Group access-list: wccp-servers Total Messages Denied to Group: 1 […]