我有一个Cisco ASA 5505连接到Active Directory服务器进行VPN身份validation。 通常我们会限制这个OU到一个特定的OU,但在这种情况下需要访问的用户分布在多个OU中。 所以,我想用一个组来指定哪些用户可以远程访问。 我已经创build了该组,并添加了用户,但是我很难弄清楚如何拒绝不属于该组的用户。 现在,如果有人连接,他们将得到正确的组策略“companynamera”,如果他们在该组中,所以LDAP映射工作。 但是,不在该组中的用户仍然authentication正常,并且其组策略成为其第一个组的LDAPpath,即CN = Domain Users,CN = Users,DC = example,DC = com,然后仍然允许访问。 如何添加一个filter,以便将不是 “companynamera”的所有内容映射到不可访问? configuration我正在使用(有些东西,如ACL和映射删除,因为他们只是噪音在这里): gateway# show run : Saved : ASA Version 8.2(1) ! hostname gateway domain-name corp.company-name.com enable password gDZcqZ.aUC9ML0jK encrypted passwd gDZcqZ.aUC9ML0jK encrypted names name 192.168.0.2 dc5 description FTP Server name 192.168.0.5 dc2 description Everything server […]
(重新定义了与实际LAN拓扑相匹配的问题…) 我有一个新的思科ASA-5512-X防火墙,它将进入现有的networking堆栈,将一些特定的客户端服务器与我们其余的LAN(即不是边缘设备)分开。 现有的局域网基础设施已经有一个数据VLAN(普通networking节点所在的地方),一个pipe理VLAN(系统pipe理员桌面和备份设备所在的地方)和一个设备VLAN(所有networking设备的“远程pipe理”服务器直播)。 核心防火墙对所有VLAN进行防火墙security-level声明,以允许系统pipe理员/备份服务器同时访问数据和设备VLAN,同时防止数据和设备VLAN相互通话。 下面是试图解释当前的设置。 213.48.xx.xx ( MGT_VLAN Gi0/1.10 sec 100 ) | ____( DVCS_VLAN Gi0/1.12 sec 80 ) | / ( DATA_VLAN Gi0/1.100 sec 80 ) | / +————————[Core F/W]————————+ | | | 172.31.0.10 172.31.255.10 172.31.100.10 | | | ————————————————————————————- MgtVLAN#10:172.31.0.0/24 | DvcsVLAN#12:172.31.255.0/24 | DataVLAN#100:172.31.100.0/23 ————————————————————————————- | | | | | \ \ \ […]
我很想知道在ASA上设置限制和策略的最佳做法是什么,以保护设备在用作多租户防火墙时保持服务。 例如,在最近发生几起服务器受到攻击的事件之后,我们现在在所有接口上都有带宽监pipe和连接限制。 在这种情况下,由于超载或许可证限制,单个租户最好打墙,而不是所有租户都离线。 编辑 有问题的ASA是故障转移HA中的一对5525-X,运行ASA9.0(1),但是对于任何ASA平台来说,一般的答案都是很好的。
有人可以简要介绍一下如何在Cisco ASA 5505上使用QoS吗? 我有警务的基础知识,但是塑造和优先事项呢? 基本上我想要做的是为我的VPN子网(在一个名为priority-traffic的对象组)中划出一些带宽。 我已经看到了这个思科QoS文档 ,但是configuration整形和优先级队列在我的testing中似乎没有任何影响。 从kernel.org下载完整的linux内核将通过VPN提高到服务器的ping能力。 警察通过这项testing已经取得了成功,尽pipe它似乎并不高效(我在4.5兆位带宽中的3个上限了非VPNstream量)。 我误解了testing的结果吗? 我想这里有一些简单的概念,我不是在这里抓的。 编辑: 这是我的configuration到目前为止(我有4.5兆带宽): access-list priority-traffic extended permit ip object-group priority-traffic any access-list priority-traffic extended permit ip any object-group priority-traffic access-list priority-traffic extended permit icmp object-group priority-traffic any access-list priority-traffic extended permit icmp any object-group priority-traffic access-list non-priority-traffic extended deny ip object-group priority-traffic any access-list non-priority-traffic […]
我正在尝试configuration一个新的5505,但是我打开的端口允许从外面进入。 我的设置是康卡斯特商业调制解调器(W /单静态IP) – > ASA(10.0.0.1) – >(愚蠢)交换机 – > NAS(10.0.0.10)。 我试图打开端口5001的NAS。 我对IOS很新,所以我主要在ASDM工作。 不知道我是否为自己过度复杂,或者我被卡住了。 我的运行configuration是 – ASA Version 8.2(5) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names name 10.0.0.10 MiniSrvr description MiniSrvr ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! […]
我一直在制定一个项目来绘制我的组织的networking基础设施。 对于networking设备(我们是思科网店),我一直在运行show cdp neighbors命令来查看所有的连接和通过哪个接口。 我注意到,我们的ASA没有出现在这些命令的输出中(它连接到思科交换机)。 我通过show ?运行了一个命令列表show ? CDP也不会显示为选项。 我的问题是这样的:是否有一个命令类似于show cdp neighbors ,将显示ASA连接到哪些设备?
我使用被动模式连接到cisco防火墙后面的ftp服务器时遇到了问题。 但是,当我closures“扩展被动”(ftp控制台客户端应用程序中的epsv)时,ftp可以工作在活动模式和“扩展被动”模式下,但它不再起作用 – 所有的命令都会导致超时。 然而,我们需要使用非扩展被动模式。 有任何想法吗? 谢谢,哈拉德 更新/解决scheme 事实certificate,这不完全是ASA的错,还是它? 我不得不在proftpdconfiguration中伪装。 我将proftpd-config中的伪装地址设置为ftp-server域的IP地址,导致stream量通过asa时出现意想不到的事情。 现在 – 没有地址伪装 – 一切工作得很好。
如果外部IP地址也用于PAT,是否可以设置PPTP VPN通信(客户端外部和服务器内部)以通过Cisco ASA 5505? 思科示例转发从外部到内部VPN服务器的所有NATstream量。 我目前只有一个IP可用,需要PAT。
我对pipe理思科设备很陌生,请耐心等待。 我正在为我的办公室configuration一台Cisco ASA 5505路由器,而且我的控制台configuration基本知识足够合理 – 我们的业务需求不是很奢侈。 但是,我们的ping被路由器丢弃了。 如何configuration路由器以允许ICMP回显请求? 还有其他types的ICMP请求应该被允许吗? 允许他们所有的潜在缺点是什么?
我刚刚翻新了ASA 5505。 它工作正常,直到无需重新加载或拔掉电源插头,当我这样做,它是温暖的(即使经过几分钟的使用,所以仍然感到寒冷,而触摸它),在这种情况下,它只需重新启动链1或2秒。 我不得不拔掉电源,等待5分钟,然后重新插上电源(可能是让它冷却或清空电容器?)。 我不知道这是从电源问题(这有一些噪音,但我认为这是正常的),我试图通过一些PoE设备(Cisco 7940G)的插件加载更多的电源,它工作正常,所以它看起来更像是ASA本身的问题。 我发布了一个重启周期的video,没有显示在控制台端口上。 你有什么想法是什么问题? 我必须将其发送回供应商吗? 我试图更新ASA映像,但是这不会改变任何东西。 谢谢 编辑:我也看到里面的橙色LED。