每隔几分钟,我们的思科ASA 5505防火墙就会logging我无法用我有限的思科体验计算出的错误。 Severity Date Time Syslog ID Source IP Destination IP Description 3 Mar 25 2010 17:21:14 305006 8.8.8.8 regular translation creation failed for icmp src inside:10.10.0.206 dst outside:8.8.8.8 (type 3, code 3) 3 Mar 25 2010 17:18:37 305006 8.8.4.4 regular translation creation failed for icmp src inside:10.10.0.206 dst outside:8.8.4.4 (type 3, code 3) logging的内部IP是我们的内部DNS服务器,外部IP是Google的公共DNS服务器,我们在本地BINDconfiguration中用作转发器。 […]
我有两个通过cisco的站点到站点vpn连接的站点。 一个站点有一个思科ASA路由器,另一个有一个思科870路由器 隧道已经build立, 并活跃 ,但我不能通过链接发送任何stream量… ASAconfiguration是: ASA Version 8.0(2) ! hostname ASA enable password **** encrypted names ! interface Vlan1 nameif inside security-level 100 ip address 172.16.10.5 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address xxxx 255.255.255.248 ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 […]
我们使用5505,其中主要连接是来自提供商的DHCP IP(外部),并且我们有一个具有静态IP的备份ISP(outsideBackup)。 我们是否可以在外部界面上创build一个SLA监视器,即使没有设置网关(比如说检查Google DNS或其他非常的IP地址)? 如果没有一个具体的小学路线指令,我担心这个行动计划对我们不起作用。 我们发现,我们在ASDM中设置的备份/故障切换似乎只在接口closures时才起作用,而不是实际的连接。
思科ASA 5505,8.4.3 局域网:10.0.15.0,安全级别100 WIRELESS:10.0.17.0,安全级别75 WAN:安全级别0 从WIRELESS接口,我需要访问局域网上的服务器。 问题是WAN1上无线业务stream出,并且不能返回到LAN。 为了在局域网上解决这个问题,我简单地为服务器创build了DNS条目,指向局域网IP。 这在WIRELESS接口上是不可能的,因为它使用外部DNS服务器。 我希望WIRELESS接口使用外部IP,然后通过防火墙传回。 我必须发布哪些附加信息来帮助find解决此问题的方法?
我使用L2TP VPN连接到从家到总部的ASA5505。 然后,总部通过站点到站点IPSEC隧道连接到其他办公室。 当在总部(192.168.100.0/24)时,我可以ping /访问远程办公室(192.168.200.0/24)OK。 当远程连接到总部时,我可以从road-warrior笔记本电脑上ping /访问总部。 我的问题是,当从家中远程连接到总部时,我无法ping /访问其他办公室子网 在家用笔记本电脑上,L2TP VPN连接被设置为使用HQ作为互联网网关将所有stream量路由到VPN连接,我可以证实这一点。 我不能做traceroute(我得到超时),因为我的政策不允许,不知道如何在ASA上正确启用它。 任何想法是什么错,configuration如下: names name 192.168.200.0 othersite ! interface Vlan1 nameif inside security-level 100 ip address 192.168.100.1 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address 34.35.36.3 255.255.255.252 ! same-security-traffic permit intra-interface access-list inside_nat0_outbound extended permit ip 192.168.100.0 255.255.255.0 othersite 255.255.255.0 access-list inside_nat0_outbound extended […]
我在一所寄宿学校有Cisco ASA 5510设置。 我确定很多(大多数)学生在白天下载文件,看电影等,这导致了我们networking的学术方面受到影响。 白天学生甚至不应该在他们的房间里,所以我configuration了ASA来监控他们的网段并限制他们的出站带宽。 这解决了我们所有的学术问题,每个人都很高兴。 除了常驻学生。 我被要求在一天结束时更改/取消警务政策,让居民在晚上可以使用未使用的带宽。 没有理由让带宽在晚上被闲置,因为它会在白天被滥用。 有没有办法在ASA上设置基于时间的策略? 理想情况下,我希望能够在晚上和周末全天开放networking。 如果我无法设置基于时间的策略,是否可以安排ASA在特定的时间加载一组命令? 我想我可以在我们的服务器上设置一个计划任务来login,并用一个简单的脚本进行修改,但是这看起来像是一个黑客,我希望有一个更好或更标准的方法来实现这一点。 谢谢。 编辑:如果有一个完全不同的解决scheme,可以实现类似的目标,我也会对此感兴趣。 免费/便宜将是理想的,但如果单独的互联网连接是我唯一的select,那么为了更好或更有效地做到这一点,可能值得花钱争取硬件或软件。
我有一个现有的Cisco ASA 5520在外部接口上configuration了一个/ 28子网。 我的主机提供商只是给我提供了一个新的非相邻/ 28子网,它被路由到我的ASA的外部接口。 这是当前的IPconfiguration 1.1.1.145 –> ISP Gateway 1.1.1.146 –> ISP Reserved 1.1.1.147 –> ISP Reserved 1.1.1.148 –> Primary ASA Outside Int 1.1.1.149 –> Secondary ASA Outside Int 1.1.1.150 – 1.1.1.158 –> Usable IPs 2.2.2.240 – 2.2.2.254 –> New Subnet, Routed to 1.1.1.148 我试图使用2.2.2.240 IP在ASA上创build一个NAT,但似乎没有工作。 从我所能理解的情况来看,我可能需要在ASA上添加一个路由,但是我不知道应该添加什么。 应该是这样的 route Outside 2.2.2.240 255.255.255.240 1.1.1.148 […]
我是一家私立学校的承包商,负责开发公共API到他们的数据库以用于移动应用程序。 他们在校园内托pipe自己的网站,networking由运行CLI 8.2的Cisco ASA 5510控制。 他们为我提供了一个专门的刀片服务器和一个静态IP用于这个项目,所以我让SysAdmin把IP映射到机器上,并打开端口80和端口22的访问权限。 最后,那家伙说他尽力了,但似乎没有用。 他显然不是configuration他们系统的人,而且我对思科没有任何经验,所以我希望这里有人能指点我的方向。 以下是他发给我的“show run”命令的输出: http : //pastebin.com/ikdSRg7j 。 我们试图打开的机器,但不工作以211结束,他们的网站工作正常209。 我知道关于思科ASA端口转发在ServerFault上有很多问题,但即使在阅读ASA手册后,我对设备的使用经验也很less,以至于答案对我无能为力。 我提前道歉和感谢。
在我们的公司networking上,我们正在检测工作站,打开太多的IP地址75.126.196.159(端口3478)的连接,导致Cisco ASA防火墙5550检测到“SYN攻击”并达到其连接限制,导致严重的stream量降低合法stream量。 我们的Symantec Endpoint Protection(SEP)v12.1具有每个工作站上的最新定义,因此不会检测到任何exception行为。 作为一种缓解机制,我添加了一个本地的SEP(防火墙)规则来阻止入站/出站到IP地址的所有stream量,原因是75.126.196.159 任何其他的build议,以减轻和解决这个问题?
我有两个接口的思科ASA 5505(版本8.2(2)); 内部(安全级别100)和外部(安全级别50)。 里面有一个子网10.1.1.0/24。 交通从内到外都没有NAT, 这是由上游路由器处理的。 我想configuration防火墙,以便内部接口上的任何系统都可以启动到外部的连接并接收返回的stream量,但是外部世界不能启动到内部系统的连接。 让stream量很容易: access-list inside_in extended permit IP 10.1.1.0 255.255.255.0 any 但是我需要在ASA上configuration什么,才能在不打开防火墙的情况下让响应返回到所有stream量? 通常这是由NAT处理,但在这种情况下,我不想使用NAT。