似乎只有“故障转移”接口需要的备用地址。 这是用下面的命令给出的例子: failover interface ip failover_link 10.99.99.253 255.255.255.252 standby 10.99.99.254 我所看到的大多数configuration示例都有外部int有一个备用地址: Interface ethernet0 Nameif outside Ip address 10.5.1.1 255.255.255.0 standby 10.5.1.2 为什么外部接口需要一个备用地址,如果发生故障切换,它将使用主ASA的IP?
目前,我正在试图构build我们的networking,以完全支持BGP和Multi-homing。 我们目前的公司规模是40名员工,但其中的主要部分是我们的开发部门。 我们是一家软件公司,连接到互联网是一个要求,因为当networking停止时,90%的工作停止。 唯一托pipe在现场(需要保持)是我们的交换服务器。 现在我面临着两个不同的方向,想知道如果我能得到你的意见。 我们将有2个互联网服务提供商是20meg上下/专用光纤(所以40megs组合)。 这是作为一个以太网电缆交给我们的服务器机房。 ISP#1第一个数字ISP#2 CenturyLink 我们目前有2个ASA5505,但是第二个没有使用。 在那里有一个故障转移,它只需要安全+许可证与主设备匹配。 但这取决于networking结构。 我一直在寻找所需的硬件,完全是多余的,我发现我们将会是以下任一种。 2个具有故障转移许可证的Cisco 2921+系列路由器。 他们将前往ASA,或者连接一个故障转移状态或1个ISP到每个2921系列路由器,然后每个ASA连接1个线路(因此所有4个硬件组件将被主动使用)。 所以2个Cisco 2921+系列路由器2个Cisco ASA5505防火墙 其他路线2x SonicWalls NSA2400MX系列。 1个主要和次要将处于故障转移状态。 这将从networking中删除ASA,比思科路由便宜2k左右。 这也带来了失败的原因,因为它只是2个sonicwalls它也将使我们可以扩展到200-400用户(取决于他们的configuration)。 这也使得声波墙。 所以真正的问题是,sonicwall的附加function是否还需要付出更多的钱才能保持思科路线? 谢谢!
我有一些箱子,我不想允许任何进出口stream量到互联网除了Windows更新。 但是防火墙(Cisco ASA)显然只支持基于IP的规则。 尽我所能告诉微软更新通过任何其他的事情,然后按需要微软列出的半打url掩码不会出现的可能。 我已经开始构build完整的WSUS,然后手动复制更新文件,以便不需要直接访问Microsoft,但对于涉及的极less数框,这听起来非常重要。 我也围绕手动更新四处奔波,但我不确定如何方便和自信地确保正确的更新正在按正确的顺序应用。 任何方向的任何想法,将不胜感激。 我希望尽可能简单/有成本效益,但是对于唯一绝对需要的互联网接入政策来说,灵活性很小。
由于我们改变了互联网提供商,我们必须改变防火墙设置的方式。 我们设置的方式有ADSL调制解调器,我们必须做一个全桥模式,防火墙的configuration必须在外部接口上用PPPoE用户名和密码,CHAPauthentication,WAN IP和WAN子网掩码从静态IP变为使用PPPoE选项。 [见附件] 使用PPPoE选项一直工作正常,但问题是如果我们拔掉防火墙的电源线。 这个“外部”接口变为空白 – 没有广域网IP,PPPoE用户名和密码。 所以基本上,我们必须重新input这个信息。 这是常见的还是一个错误? 有任何想法吗? 谢谢
是否有一个命令或GUI选项来获取出站连接列表。 理想情况下,我想知道内部IP地址,外部IP地址和使用的远程端口。 我不需要太多的历史,但一两个小时是有帮助的。
我目前正在pipe理一个IP地址为10.10.10.x / 23的环境。 我们有3个VLAN设置,我用这个术语非常松散。 我之所以说松散地使用这个术语,是因为3个VLAN之间可以完全访问。 VLAN10是我们的内部networking,VLAN20是客户Wifi,VLAN30是我们的DMZ。 环境有你的典型的服务器,工作站,打印机加上我们有安全摄像头,但没有VOIP。 我们有近200个工作站,29台打印机,20台服务器,40台安全摄像机。 客人的WiFi只能访问互联网,就是这样,而不是我的内部networking。 我在规划VLAN设置时遇到的一些问题是,目前我们的ASA5505是“路由”stream量,并且具有VLAN的ACL,我应该这样保留还是应该将ACL移到我的Cisco 3750X交换机上? 现在我的心情是设置VLANS如下: VLAN 10 Servers 10.10.10.x/24 20 Workstations 10.10.20.x/24 30 Internal Wifi 10.10.30.x/24 40 Cameras and Server 10.10.40.x/24 100 DMZ 192.168.100.x/24 110 Guest WiFi 192.168.110.x/24 我也不知道是否应该保持打印机在工作站,服务器相同的VLAN或将他们分开到自己的VLAN? 如果他们在自己的VLAN中,打印机服务器是否也在该VLAN上?
在VPN重新configuration期间,我们已经遇到了相当大的问题,VPNstream量没有传递给对端。 使用数据包跟踪器,我们得到了以下debugging: 第一阶段到第九阶段顺利通过。 […] 阶段:10 types:VPN 子types:encryption 结果:DROP configuration: 附加信息: 结果: input接口:内部 input状态:上 input线状态:向上 输出接口:newiface 输出状态:向上 输出线状态:向上 行动: 下降 丢弃原因: (acl-drop)stream被configuration的规则拒绝 我们search了很多文档,但没有任何帮助。
你系统pipe理员正在做什么来确保你远程pipe理防火墙的能力是最安全的? 什么是最安全的设置,只有使用控制台连接和物理接触防火墙?
我需要在Cisco ASA 5505中允许通过TCP / 1494和TCP / 2598(入站和出站)到IP范围10.1.25.1到10.1.25.254的stream量。 有人可以帮我这个吗? 在思科ADSM 6.0 for ASA下,我可以添加一个networking对象,但只有一个IP地址,但不包含范围。 谢谢!
这是我一直在努力的一个问题,看似简单的答案(并非所有的IT问题?)。 这就是在两个直接连接的子网之间通过ASA传输stream量的问题 虽然我知道最好的做法是有互联网 – >防火墙 – >路由器,在许多情况下,这是不可能的。 例如,In有一个带有两个接口的ASA,名为OutsideNetwork(10.19.200.3/24)和InternalNetwork(10.19.4.254/24)。 你可以期望Outside能够达到10.19.4.1,或者至less达到10.19.4.254,但是ping接口只会带来坏消息。 命令的结果:“ping OutsideNetwork 10.19.4.254” 键入转义序列以中止。 发送5个100字节的ICMP回声到10.19.4.254,超时时间为2秒: ????? 成功率为0%(0/5) 当然,你会认为你可以添加一个静态路由,无济于事。 [错误]路由Outsidenetwork 10.19.4.0 255.255.255.0 10.19.4.254 1 不能添加路由,连接路由存在 在这一点上,你可能会有一个NAT或访问列表的问题。 访问列表Outsidenetwork_access_in扩展许可ip任何任何 访问列表InternalNetwork_access_in扩展许可证ip任何任何 没有dynamicNAT(或静态NAT),并允许Unnattedstream量。 当我尝试ping上述地址(来自Outsidenetwork的10.19.4.254)时,从0级日志logging(debugging)中得到这个错误信息。 从NP Identity Ifc:10.19.200.3/0到Outsidenetwork:10.19.4.1/0,路由无法findicmp的下一跳 这导致我设置相同的安全stream量许可 ,并在两个接口之间分配相同的,更less和更多的安全编号。 我可以忽略明显的东西吗? 是否有命令设置分类高于连接路由的静态路由?