我需要在ASA 5505上configurationBGP,根据某些不支持的来源,我可以在Internet上find有关如何configurationBGP的信息。 我真的很喜欢专家来回答我的一些疑问。 你能在ASA 5505上configurationBGP吗? 1B。 如果你不能,你可以用什么来代替它?
我们最近已经在我们的办公室切换了我们的VDSL连接的ADSL2 +连接。 我对Cisco ASA进行此更改的唯一configuration更改是更改outside接口的PPPoE设置的用户名/密码,将MTU更改为1492,并交换物理接口上的调制解调器。 正如我所料,上传速度达到了10 + Mbps,但是我们的下载速度似乎在1到5Mbps之间的任何地方跳跃,而且是稳定的,从来没有达到应有的速度。 当我绕过ASA并直接进入调制解调器时,我可以在两个方向上获得完整的下载速度。 当ISP在第一跳监控我们的会话时,他们只看到1-5Mbps的stream量,没有任何队列丢失。 Smartnet三天前到期,帐户没有支付更新,所以当这个混乱被整理出来,我希望有人可以给我一些指向哪里看。
后面的故事: 我在IT部门工作的时候是一家从十年前刚开始创业的公司开始就有了仓库, 从那以后,我公司的老板就给仓库的老板提供了“好处”。 问题 仓库有一个旧的,devise不佳的Microsoft Access 2003应用程序,这个应用程序已经在我公司的服务器上托pipe了很长时间了。 他们通过RDP连接到它。 我们正在升级我们的服务器(和软件),并且希望它们完全脱离我们的networking,这是因为它们支持他们缺乏科技知识,他们的旧Windows Vista计算机,以及networking打印不断为他们打破。 我正在努力解决scheme,为他们移动他们的Access数据库。 其中一个需求是仓库主人可以从她的房子(外面)连接到它。 我们的业主仍然不想放弃他们,所以这里是我们的解决scheme:提供一个新的桌面计算机将托pipeMicrosoft Access数据库的仓库。 拿出他们的家庭级路由器,然后放入Cisco ASA 5505(免费延期贷款)。 使用文件共享(所以其他每台计算机也将需要Access 2003),以便每个人都可以得到它。 但是,我仍然试图找出允许用户从外部连接到Access资源的最佳方法。 我已经build立了本地接口,完成工作DHCP并指向OpenDNS的DNS服务器。 我没有他们的公共IP地址(虽然我知道它的静态),所以我也会build立公共int。 我已经build立了访问列表,允许来自仓库所有者的家(在静态IP)的stream量,以及来自我公司的stream量,因为我们将继续支持他们。 我对思科并不是很熟悉,但是一直在研究(想着很快就拿到CCNA),并且玩了ASA,我们最终会部署到他们的位置。 我的理解是,ASA可以支持VPN,这是正确的吗? 为了让外部用户连接到内部,在ASA中构buildVPNfunction是否最有意义? 有什么需要注意的吗? 或者你能想出更好的解决scheme吗?
我有一个站点到两个ASA 5520之间configuration的站点VPN。 我有一个ASA1后面的TFTP服务器,在“内部”networking上的IP为172.16.1.1。 我想能够通过VPN将ASA2的运行configuration复制到172.16.1.1,但是我无法做到这一点。 我可以从ASA2的“内部”networking上的一台机器上启动TFTP服务器。 有没有一种方法可以告诉ASA2从ASA2的“内部”networking进行TFTP连接,还是有更好的解决scheme?
我正在Stack Exchange中设置新的ASA,并试图遵循一些最佳实践,如使用configurationpipe理和最小权限 – 必要的用户。 我想要做的就是利用https服务器来下载正在运行的configuration。 如果您不知道,当启用https并且您有足够的权限时,您可以转到https:// asa-ip / config来下载当前正在运行的configuration。 有两个问题我想解决: 我为ASA设置了LDAP访问权限,以便我们可以使用Active Directory来授权给ASA。 它通过SSH工作,但http似乎仍然使用本地数据库,我不知道该命令导致HTTP服务器从LDAP源查找。 哪个aaa命令有必要授权低权限的用户以这种方式下载configuration的能力? 这是甚至可能或者我坚持做一个priv 15用户?
我已经创build了一个testing用户,该用户在configuration中被设置为特权15 : username test password **************** encrypted privilege 15 当我login到ASA 5510时,根据sh curpriv,我在特权1中 : login as: test [email protected]'s password: Type help or '?' for a list of available commands. asa> sh curpriv Username : test Current privilege level : 1 Current Mode/s : P_UNPR 尝试启用失败,即使我知道我有正确的启用密码: asa> en Password: ************************* Password: ************************* Password: ************************* Access denied. 从非特权login使我特权15 […]
我们有一个小型的商务办公室,但由于PCI合规性,我们需要把这个分成两个互联网(一个“兼容”,一个用于其他设备)。 我们目前有一个Draytek调制解调器/湾负载平衡器也具有防火墙,但这是非常基本的,不支持每个VLAN的单独的安全策略。 因此,我刚刚购买了一台ASA 5505,想要设置一些指标: 虚拟局域网: 外面(draytek) InsidePci(我们的安全区域,包含一个Windows域控制器/ dhcp / etc) 里面(只是一个普通的networking,只有互联网接入,没有连接到VLAN 我的问题: 目前一切都在一个子网192.168.2.x. draytek有一个静态的IP,其他的都是从我们的Windows DHCP服务器分配一个IP。 由于这个windows服务器将在'insidepci'networking内,我打算让这个vlan继续使用它,并且使用来自ASA的DHCP的常规“内部”networking。 那可能吗? 我是否需要将draytek放在它自己的子网上(因此只需要draytek就是192.168.3.x),因为看起来我不能在相同的范围内将IP分配给两个不同的VLAN。 从看在线指南之一,似乎我需要一个内部路由器? 我没有意识到这一点,我希望我可以只分配一个开关到'内部'VLAN和一个单独的开关到'insidepci'的VLAN? 这些VLAN之间不需要通信,但都需要能够访问“外部”(draytek网关)
我们在周末交换了ASA,我们取代了以前基于openvpn的VPN基础设施,现在在我们的ASA 5520和其他拥有linux(CentOS)路由器的站点之间使用IPSec。 VPN连接正常,但一段时间后连接失败。 在ASA上,它没有显示对等的ipsec SA,但它确实显示isakmp sa仍处于活动状态。 如果我清除连接两端的SA,则VPN将重新恢复。 我假设问题是一个更严重的问题,但似乎所有的提案具有相同的密钥生命周期(如下所示)。 任何想法可能是什么问题? 注 – 我从这些捕获混淆了IP地址; 我怀疑我的build议有问题,所以IP不应该是相关的。 假设所有的IP都是占位符。 ASA显示运行encryption crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec security-association lifetime seconds 86400 crypto dynamic-map OUTSIDE_DYN_MAP 10 set ikev1 transform-set ESP-3DES-SHA crypto dynamic-map OUTSIDE_DYN_MAP 10 set security-association lifetime seconds 288000 crypto dynamic-map OUTSIDE_DYN_MAP 10 set reverse-route crypto map vpnmap 10 […]
这个问题分两部分: 形状 如何将ASA5510的带宽限制在10Mbps以下? 目前我有: policy-map shape_policy class class-default shape average 9000000 36096 ! service-policy shape_policy interface outside 但是当我看着外部接口上的stream量时,它似乎有时会破坏10Mbps。 警察 另外,是否可以限制每个用户在ASA上的带宽? 我尝试过类似的东西(虽然目前还没有运行): police input 3000000 51200 conform-action transmit exceed-action drop police output 3000000 51200 conform-action transmit exceed-action drop 这是要走的路还是有更好的方法? 谢谢! //附录: 我应该添加我正在使用固件版本8.0(4),因为它可以帮助提供适当的configuration为最新的ASA。 // 状态: 我已经打开了一个赏金。 我有两个有趣的答案,虽然不确定。 一个似乎在支持的命令方面已经过时,另一个不回答问题的第二部分,让我不满意。 思科专家需要!
我使用Cisco ASA 5505和共享的DSL连接pipe理小型networking。 我想能够监视我的networking上的各种用户/设备(按IP地址)的带宽使用情况。 我可以使用ASA来做到吗? 有没有人得到这个工作? 做这个的最好方式是什么? 我在网上看到的一些想法: SNMP与像Cacti一样的工具 这是否给每个IP使用ASA或只是整体使用? Netflow与ntop一样的工具 无法得到这个工作。 看来ASA发送的Netflow并不完全是标准的。 Ntop收到他们,但似乎不知道他们是怎么做的。