我的外部防火墙和互联网之间的networking拓扑结构相当复杂,如下所示。 每隔一段时间 – 我还没有find一个模式 – 我们得到了显着的数据包丢失程度,大约25%。 大部分时间都在0.5%以下。 据我可以告诉唯一的共同点是,所有丢弃的stream量都是从vpn server Cisco ASA 5505到gateway router Cisco 2901的接口。 编辑 除了纯丢弃的数据包之外,我还在寻找响应时间。 从gateway router到vpn server或fiber uplink任何stream量正在增加精确的 200毫秒,而相比于停止一步的ping而言。 由于高ping响应时间是CPU被刷新的常见指标,我选中了show process cpu ,但是它只显示了大约40%的利用率。 有什么想法吗? 结束编辑 假设问题确实存在于ASA和2901之间的接口上,我清除了两个设备上的接口统计信息。 从那时起,我们已经有了几个丢包增加的时期。 接口统计信息如下,但从我的angular度来看,不会显示任何exception情况 – 没有畸形或丢包,接口重置等。双工和速度设置相匹配。 我错过了什么? 所有这些硬件都在build设中,至less有100 mbps的连接。 网关路由器 show interfaces GigabitEthernet 0/0 GigabitEthernet0/0 is up, line protocol is up Hardware is CN Gigabit Ethernet, address is […]
由于乱序,我们看到大量的数据包被丢弃。 这些数字足够大,可能会对networking性能产生影响。 我们已经把它分成了几个内部IP,并且这些连接似乎在443上触及Google的服务器。下面的Gist中显示的两台计算机都运行Chrome和环聊扩展; 就像公司里的其他人一样。 一个是Mac,一个是PC。 试图弄清楚到底发生了什么,我什么也没有做。 任何人都可以帮我解释一下这个或下一步做什么? 要点下面,用日志 : house200-fw01# sh asp drop Frame drop: No route to host (no-route) 56 Flow is denied by configured rule (acl-drop) 1459 First TCP packet not SYN (tcp-not-syn) 37 TCP failed 3 way handshake (tcp-3whs-failed) 351 TCP RST/FIN out of order (tcp-rstfin-ooo) 530 TCP packet SEQ past window […]
我们正在考虑部署思科ASA 5520 – 我正在研究安全上下文function ,并且想知道是否有人以这种方式部署了他们的ASA,以及它是如何为他们制定的。 你有没有遇到过你希望在部署之前知道的东西? 你有没有注意到任何性能问题? 有没有人真的使用这个function? -Josh
我把我的头发弄出来搞清楚了。 我的启动configuration是好的,我可以用show命令查看它。 我试图将其复制到tftp服务器: asa5505# copy startup-config tftp Address or name of remote host []? ipaddress Destination filename [startup-config]? t !! %Error writing tftp://ipaddress/t (Timed out attempting to connect) 在我的TFTP服务器(SolarWinds)上,我得到以下内容: binary, PUT. Started file name: C:\TFTP-Root\t binary, PUT. File Exists, C:\TFTP-Root\t binary, PUT. Deleting Existing File. binary, PUT. Interrupted by client, cause: The process cannot access […]
我在Cisco ASA 5510上创build了多个ssh帐户。用户使用密码login,一切正常。 我现在想使用ssh的authorized_keysfunction,这样用户就可以不用密码loginASA。 这可能吗? 谢谢!
目前,我们已经在ASA 5510上安装了VPN。我已经设置了使用NPS进行RADIUS身份validation,但从来没有真正configuration过多的会计。 我想要设置这个能够告诉更多人在远程办公时正在做什么/访问。 我现在把它设置得很基本: aaa-server VPN protocol radius aaa-server VPN host 10.10.4.25 timeout 3 key “password” authentication-port 1812 accounting-port 1813 radius-common-pw “password” 在NPS上,根据NPS(本地)>会计,我看到“configuration会计”,这是简单的吗? 还有什么事情需要做会计发送到主机10.10.4.25? 它看起来太直白了。 感谢您的input。
我试图在我们的ASA 5505和Juniper ssg5之间build立一个ipsec隧道。 隧道正在运行,但我无法通过它获取任何数据。 我在本地networking是172.16.1.0和远程是192.168.70.0。 但是我不能在他们的networking上ping任何东西。 当我设置ipsec时,我收到“第二阶段确定”。 我认为这是适用的configuration的一部分。 数据似乎没有通过隧道,但我不知道… object network our-network subnet 172.16.1.0 255.255.255.0 object network their-network subnet 192.168.70.0 255.255.255.0 access-list outside_cryptomap extended permit ip object our-network object their-network crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto map outside_map 1 match address outside_cryptomap crypto map outside_map 1 set pfs crypto map outside_map 1 set […]
在我的思科路由器,我有多个启动语句,如果其中一个图像加载失败或意外删除。 例如路由器可能有一个configuration,如: boot system flash disk0:PREFERED_IMAGE.bin boot system flash disk0:OLD_IMAGE.bin 路由器首先尝试启动PREFERED_IMAGE.bin,因为它是第一个顺序。 我可以configuration一个ASA吗? 或者在ASA中执行多个启动语句会导致问题? boot system disk0:/PREFERED_IMAGE.bin boot system disk0:/OLD_IMAGE.bin asdm system disk0:/PREFERED_ASDM.bin asdm system disk0:/OLD_ASDM.bin
我们使用思科ASA 5510,我必须更改当前站点到站点VPN上的对等IP地址。 每当我有类似的问题,我删除当前的VPN,然后从头创build一个新的。谷歌search后,我发现了一些解决scheme,只改变对端IP,但他们不为我工作。 这是链接到最后一个职位,当我失去了几个小时没有结果。 我的问题是:我可以更改只有对端的IP地址,当我需要或者我必须从头开始新的vpn?
我现在两次在ASA 5505版本的控制台上运行“reload”命令。 9.1(3),它完全擦除了我的configuration,并重置为出厂默认设置。 在重新加载之前,我已经确认了我的内存。 我看到一篇关于必须将configuration寄存器更改为0x1以避免擦除所有内容的文章,但这似乎极不合常理,为了节省我所有的努力,我不得不手动更改一个难以理解的寄存器值。 当然,ASA没有configuration为默认擦除所有内容… 我真的觉得我在这里错过了一些东西。 如何使用IOS 9.1正确重启ASA 5505?