我想知道这个访问列表在ASA 5555-X上的含义是什么? 访问列表TEST_INSIDE扩展许可证udp主机192.168.1.99 eq 7600主机192.168.1.1 我对“eq 7600”部分感到困惑,因为我通常在ACL的末尾看到这一点,而不是在中间。 先谢谢你!
我们的思科ASA 5515有时会有数千个连接,其空闲时间>configuration的连接超时。 在很多情况下,连接显示空闲100多个小时。 这最终导致NAT / PAT耗尽,我们需要手动closures连接。 “显示连接详细信息”将显示如此连接吨: TCP Outside: XXX.XXX.XXX.XXX/443 Inside: YYY.YYY.YYY.YYY/#####, flags xA , idle 46D18h, uptime 146D4h, timeout -, bytes 0 但是,如果我show running-config timeout ,似乎所有超时从ASA默认值保持不变: 命令的结果: show running-config timeout timeout xlate 3:00:00 timeout pat-xlate 0:01:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 […]
我试图设置思科asa 5505远程VPN访问IKEv1预共享密钥,所以我可以使用L2TP / IPsec隧道访问Windows本机VPN客户端。 我们已经configuration了IKEv1预共享密钥,并且已经configuration了一个组ID,但由于Windows不支持组ID,我需要使用DefaultRA组。 添加了正确的IKEv1策略后,我完成了第一阶段。 但为了解决阶段2中的不匹配问题,我发现需要将ESP-3DES-SHA-TRANS传输集添加到dynamicencryption映射中。 问题是:在使用asdm将正确的转换集(ESP-3DES-SHA-TRANS)添加到encryption映射之后,路由器拒绝让任何stream量在Internet上stream出…不仅仅是VPNstream量,而是所有stream量。 我尝试过两次,需要重启防火墙两次,让它再次运行。 不知道我是否应该发布任何正在运行的configuration。 我们没有任何高级路由,只是一个真正的静态路由。 我们有另一个使用静态encryption映射的站点到站点的VPN。 但它不应该影响。 任何想法可能导致这种行为? 将变换集添加到encryption映射的cli命令是什么?
我将running-config复制/粘贴到直接连接的PC上的.txt文件中。 如何粘贴或以其他方式将该configuration上传到ASA? 我发现的所有资源只是谈论使用TFTP,但必须有一种方法,只需粘贴回运行configuration…
我正在使用Google Cloud VPN网关,并试图连接到第三方网站上的CISCO ASA 5545设备。 这是一个静态路由设置,Cisco路由器仅使用IKE v1。 我有这个问题,从日志的地方,我可以看到连接build立,然后它说,调度后立即更正,然后收到INVALID_ID_INFORMATION错误通知,然后收到删除IKE_SA vpn_ [PEER IP],然后删除IKE_SA vpn_ [PEER IP] VPN PUBLIC IP] … [PEER IP]。 这在日志中继续重复。 显然有configuration不合适; 内部部署客户端要求我将encryption更改为AES-256或3des,因为“设备不支持AES 128”。 一旦您select使用IKEv1,是否可以更改Google Cloud VPN的encryption? 根据文档https://cloud.google.com/compute/docs/vpn/advanced,IKEv1使用aes-cbc-128encryption,是否可以将其更改为aes-256? 是否有可能使内部设备与aes-128一起工作?
我们有一个思科5510路由器,我可以成功地configuration从外部接口到内部地址端口的端口转发。 如果我从外面访问它,它正常工作,但如果我从内部访问它不起作用。 如何使内部请求正确parsing? 具体而言,我想向externalip:external端口发出一个请求,并且不pipe请求是来自外部接口还是来自内部接口,都将其路由到internalip:internal端口。 不幸的是,我不能修改DNS条目,因此如果可能的话,我正在寻找在ASA的地址转换中这样做的方法。
在思科ASA上,有没有办法让用户访问pipe理function(查看/更改configuration)而不提供主要启用密码?
没有使用静态IP地址,是否有可能使思科ASA使用DNS名称而不是IP地址? 例如,如果我想限制DMZ中的主机只能访问一个特定的Web服务,但是这个Web服务可能是全局负载平衡的,或者使用DynDNS或者云,那么ACL如何expression,以便固定的IP地址不是“使用和pipe理员不必打开和closuresIP地址?
这是我在做我的ASA的连接计数 asa#show conn count 100使用中,3389使用最多 作为一个# 我想重置最常用的计数。 我怎么做?
我们刚刚收到光纤上行链路,我正在尝试configurationCisco ASA 5505以正确使用它。 提供商要求我们通过PPPoE连接,并设法将ASAconfiguration为PPPoE客户端并build立连接。 ASA被PPPoE分配了一个IP地址,我可以从ASA ping到Internet,但是我应该可以访问整个/ 28子网。 我不知道如何获得在ASA上configuration的子网,以便我可以路由或NAT可用的公共地址到各种内部主机。 我分配的范围是:188.xx.xx.176 / 28我通过PPPoE获得的地址是188.xx.xx.177 / 32,根据我们的提供者是我们的默认网关地址。 他们声称子网正确地路由到我们身边。 ASA如何知道它在光纤接口上负责的范围? 我如何使用我的范围内的地址? 澄清我的configuration; ASA目前configuration为在端口Ethernet0 / 0(接口vlan2,外部昵称)上默认路由到我们的ADSL上行链路。 光纤连接到端口Ethernet0 / 2(接口vlan50,绰号光纤),所以我可以configuration和testing它作为默认路由之前。 一旦我清楚如何设置它,我将完全用光纤replace外部接口。 我的configuration(相当长): : Saved : ASA Version 8.3(2)4 ! hostname gw domain-name example.com enable password ****** encrypted passwd ****** encrypted names name 10.10.1.0 Inside-dhcp-network description Desktops and clients that receive their IP […]