我们有2个通过IPSEC VPN连接到远程Cisco ASA的站点: 站点1 1.5Mb T1连接Cisco(1)2841 站点2 1.5Mb T1连接Cisco 2841 此外: 站点1具有第二个广域网3Mb绑定的T1连接Cisco 5510,连接到与Cisco(1)2841相同的LAN。 基本上,通过Cisco ASA 5510连接的远程访问(VPN)用户需要访问位于站点2末端的服务。这是由于服务销售的方式 – Cisco 2841路由器不在我们的pipe理之下,它的设置允许从本地LAN连接VLAN 1 IP地址10.20.0.0/24。 我的想法是让来自远程用户的所有stream量通过思科ASA发往站点2,通过站点1和站点2之间的VPN。最终结果是所有到达站点2的stream量都来自站点1。 我正在努力寻找关于如何设置的大量信息。 所以,首先,任何人都可以证实我想达到的目标是可能的吗? 其次,任何人都可以帮助我纠正下面的configuration或指向我这样一个configuration的例子吗? 非常感谢。 interface Ethernet0/0 nameif outside security-level 0 ip address 7.7.7.19 255.255.255.240 interface Ethernet0/1 nameif inside security-level 100 ip address 10.20.0.249 255.255.255.0 object-group network group-inside-vpnclient description All inside networks accessible to […]
我们在我们公司使用Openvpn连接外部客户与我们的办公室networking。 build立新的路由器Cisco ASA 5505后,我们需要转发Openvpn和WWW的端口,以保持这两个服务的运行。 我的理解是,我需要在防火墙中设置这5个端口转发,以保持服务运行: Outside UDP 443 -> INTERNALIPADDRESS 1194 Outside UDP 1194 -> INTERNALIPADDRESS 1194 Outside TCP 443 -> INTERNALIPADDRESS 1194 Outside TCP 1194 -> INTERNALIPADDRESS 1194 Outside TCP 80 -> INTERNALIPADDRESS 80 任何人都可以给我一个提示如何从CLIconfiguration这个翻译规则。 非常感谢。
没有深入了解,我在思科ASA后面安装了ISA 2004服务器。 自安装ASA以来,我无法再发送电子邮件到一个特定的域名。 我收到一个“500非RFC符合的响应收到”反弹。 在DMZ中使用来自服务器的Telnet会话,我证实只有在ASA链中时,才能通过邮件会话进入该域。 据说ASA没有configuration过滤邮件,但是我确实看到远程邮件服务器正在进行初始响应(例如,用一堆星号代替问候语,粗略search似乎是思科常见的问题)。 当我直接用另一个不同品牌的不同路由器replaceASA时,我毫不犹豫地将电子邮件发送到有问题的域名。 因此,无论思科在邮件会话中做什么,无论ISA服务器在邮件会话中做什么,问题都是如此。 这里有一个问题:我无法控制 ASA,只有ISA Server。 这个乱七八糟的最快捷的方法是什么,以便我可以尽快让电子邮件stream向这个域名?
我问了一会儿这个问题 ,然后在ASA 5510上发现了“时间范围”命令。 是否可以设置两组访问列表规则,在一天中的不同时间生效? 例如,现在我有: access-list Wireless-AL extended permit ip object-group Wireless any time-range SchoolDay access-list Wireless-AL extended permit ip any object-group Wireless time-range SchoolDay policy-map WirelessLimit class Wireless-AL police input 1000000 187500 police output 1000000 187500 我可以join并设置: access-list Wireless-AL extended permit ip object-group Wireless any time-range SchoolDay access-list Wireless-AL extended permit ip any object-group […]
我是一家公司的networkingpipe理员。 所以我的公司有两个SITE,A和B,而且我们通过光纤从我们的ISP使用4MB的互联网。 我的IP是 10.1.5.x,子网掩码为os 255.255.252.0 我正在使用Cisco路由器2800系列的互联网连接周边,就在我的LAN之前,我有一个思科ASA 5520,这是在现场A ..所有这些设备configuration正确,正常工作,因为他们从公司configuration我们在哪买了机器。 但是,由于我们有两个站点,因此我们购买了另外两台Cisco 2800系列路由器和一台Cisco ASA 5520,我必须在SITE Bconfiguration它。 OBS; 我得到了约。 站点A上有150台电脑,站点B上有100台电脑,全部连接到我的局域网和互联网,以及专用域。 我的问题是,我对ASA业务很陌生,没有太多的经验。 那么如何在B站点上configuration路由器和Asa呢? 如何configuration相应的站点Aconfiguration…以便ASA和路由器可以相互通信? 如何configuration路由协议? NAT,PAT等,我怎么能实现VLAN,所以我可以隔离来自不同部门的PC,这样他们就不会看到对方,也不会向其他人发送不必要的stream量或广播。 这是来自站点A上的ASA的SHOW RUNconfiguration ASA-FW# sh run : Saved : ASA Version 7.0(8) ! hostname ASA-FW enable password encrypted passwd encrypted names dns-guard ! interface GigabitEthernet0/0 description "Link-To-GW-Router" nameif outside security-level 0 ip address 41.223.156.109 255.255.255.248 […]
我们有一个合作伙伴要求我们为我们托pipe的Web应用程序获得HSM。 这对我们来说是新的东西,我们一直在我们的Web服务器上安装我们的SSL证书,并且从不需要硬件设备。 我们目前有2个Cisco ASA 5510防火墙处于主备configuration。 两个ASA都安装了ASA-SSM-10安全模块。 Web应用程序是一个标准的HTTPS网页,不需要validation。 我想知道是否可以使用思科ASA来满足这个要求,或者如果我们需要购买另一台设备。 我正在做一些search,并阅读思科的无客户端webvpnfunction。 这听起来可能会起作用,但我不确定。 我们基本上希望ASA处理SSL并代理与我们的Web服务器的连接。 我们不想提示input用户名或密码来连接或显示任何门户网站,只显示网页。 如果ASA无法做到这一点,是否有任何build议networking附加的硬件安全模块? 我们正在使用VMware vCenter,因此我们宁愿将外部设备连接到networking,而不是为每个ESXi主机购买HSM卡。 谢谢, 德里克
我在学校有一个实验室项目,我很难如何部署PIX 515e设备。 我对思科ASA / PIX非常新,我没有足够的时间来彻底学习它。 我们组想要为公共Web服务器,邮件服务器和DNS服务器设置一个DMZ区域。 是否有可能在透明模式有一个DMZ或我需要在路由模式? 如果是,请告诉我如何?
我可以ping所有networking设备,但似乎并没有解决他们的主机名。 ipconfig / all显示我指向正确的DNS服务器。 我可以“ping”dnsname“”,它会解决,但它不会解决任何其他名称。 拆分隧道build立,所以外面的DNS解决好了 所以有一个问题可能是DNS,但我有服务器共享的IP地址,所以我想我可以这样做。 例如:\ 10.0.0.1 \ well我不能以这种方式得到它,我得到“指定的networking名称不再可用”我可以ping它,但我无法打开共享。 以下是ASAconfiguration: ASA Version 8.2(1) ! hostname KG-ASA domain-name example.com names ! interface Vlan1 nameif inside security-level 100 ip address 10.0.0.253 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address dhcp setroute ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface […]
如果在没有Microsoft CA可用的情况下将ASA5505configuration为自己的CA并使用户能够自行注册,那么正确的步骤是什么? 具体来说,我希望我们的ASA使用VPN和SSL连接的证书,我已经设法通过ASDMconfiguration本地authentication中心,但我无法弄清楚ASA用来下载其证书的URL是什么。 另外,您是否需要单独的VPN和SSL密钥对? 您可以使用证书来连接到ASA的SSH连接吗? 先谢谢你。
有什么方法可以debuggingASA防火墙规则应用程序? 我创build了两个简单的访问规则:允许任何ICMP并允许任何UDP。 第一个工作,我可以平。 udp不起作用。 在ASDM中运行跟踪(模拟数据包)显示数据包被隐式拒绝规则丢弃,但我不明白为什么它不匹配任何UDP规则? 我可以启用规则评估的日志logging吗? 以下是我认为相关的configuration(对不起,不是思科专家,使用ASDM): access-list Split-tunnel-ACL standard permit 10.65.0.0 255.255.0.0 access-list outside_access_in extended permit icmp any any access-list outside_access_in remark test access-list outside_access_in extended permit udp host xxxx host yyyy 我也尝试任何一个,而不是xxxx和yyyy没有什么不同。 数据包跟踪表示数据包在访问检查阶段被隐式拒绝规则丢弃。 icmp规则正在工作。 更多数据: Result of the command: "packet-tracer input outside udp xxxx 5060 yyyy 5060 detailed" Phase: 1 Type: ROUTE-LOOKUP Subtype: […]