我想使用SNMP监视ASA 5505 VPN端点上的数据包丢失情况。 这样我就可以在Cacti中查看价格,并且/或者在Nagios中获得提醒。 但是,我不确定我应该使用什么SNMP值来测量数据包丢失。 在ASA中,我可以运行sh interface Internet stats来显示连接到Internet的接口的stream量统计信息。 这显示1分钟和5分钟的下降率。 这些措施是否是丢包指标? 我可以访问的SNMP值是否对应于这些值? 我应该看看不同的价值观吗? ASA甚至能够测量数据包丢失?
在ASA 5505上我如何允许icmp请求输出(和回应),同时不允许来自外部接口的响应。
我们目前正在使用我们的ASA5585(dynamicPAT)从特定子网到外部接口的IP进行所有操作。 我们正在经历游泳池疲惫,因此需要扩大全球IP范围。 任何人都可以想到一种切入新的范围的方式,而不会丢弃现有的连接? 感谢您的期待!
感谢你们对我的帮助。 我有一个思科ASA 8.4双重isp连接(两线pppoeauthentication)。 我为每个连接configuration两个vdpn组,并将两个vpdn用户名添加到我的思科configuration中。 我想知道是否可以在vpdn username命令中指定组pppoe。 事实上,这两条线来自同一个ISP,账户在两条线上工作。 所以,有时候会有一些麻烦。 我有两个固定IP,我需要确保VPN IP设置在VPN接口上,而不是在外部接口上(请参阅下面的configuration文件)。 我希望我很清楚。 随意问我如果需要更精确 ASA Conf线路: vpdn group swisscominternet request dialout pppoe vpdn group swisscominternet localname [email protected] vpdn group swisscominternet ppp authentication chap vpdn group swisscomvpnsas request dialout pppoe vpdn group swisscomvpnsas localname [email protected] vpdn group swisscomvpnsas ppp authentication chap vpdn username [email protected] password ***** vpdn username […]
我有一个新的PBX,我已经设置,我将使用第三方SIP提供商,他们已经提前给我一个外部号码,现在我需要允许来自3个不同主机的stream量能够访问pbx上的一系列端口。 我假设这是我可以做一个静态规则的东西,但每次我试图添加第二个主机,它会声明规则已经存在或冲突。 我已经设置了ACL来允许通信,所有这些都是将stream量从3个特定的外部地址路由到内部接口上的服务器的问题。 ASA是5505,目前运行8.4。 显示运行状态 davenport# show run static static (inside,outside) tcp interface 2001 192.168.100.150 2001 netmask 255.255.255.255 static (inside,outside) tcp interface ssh 192.168.100.150 ssh netmask 255.255.255.255 static (inside,outside) tcp interface www Safety2008 8040 netmask 255.255.255.255 static (inside,outside) tcp interface 8041 Safety2008 8041 netmask 255.255.255.255
我们对站点HQ和BX使用Cisco 5500系列ASA,并且在站点到站点之间有一个vpn, BX(子网192.168.6.0)可以访问总部子网192.168.200.0子网,但不能访问总部的192.168.0.0子网。 数据包跟踪显示,数据正在传输到这两个站点,但是会丢失。 我找不到问题的根源。 我觉得这是关于路由,但不能指出问题。 我知道,我发布日志是更好的,但我不知道如何。 我需要一个手,在这里没有。 感谢和新年快乐。 K.
我目前在我的本地(内部)networking上有一台新的戴尔服务器,我已经安装了四个nics中的三个来创build一个团队。 下面的例子。 NIC_1 – mac: 000000000001 – ip: n/a NIC_2 – mac: 000000000002 – ip: 10.99.1.102 NIC_3 – mac: 000000000003 – ip: 10.99.1.103 NIC_4 – mac: 000000000004 – ip: 10.99.1.104 SUPERFASTNIC – mac: 000000000002 – ip: 10.99.1.105 目前我使用nics 2-4来创build团队。 问题是当创build团队(SuperFastNic)时,它具有NIC_2,NIC_3或NIC_4的MAC地址,而不是它自己的唯一MAC地址。 这会导致我的路由器端出现问题,并且由于2个不同的IP地址具有相同的MAC,所以会引发警告。 我的ASA5505不断显示以下警告… Received ARP request collision from 10.99.1.105/0000.0000.0002 on interface inside with existing ARP entry […]
我通过运行8.4(3)的ASA 5520s在两个站点之间build立了一个IPSec链路,当stream量通过IPSec VPN时,性能变得非常差。 设备上的CPU是〜13%,内存在408 MB,活动的VPN会话2.两个设备上的负载特别低。 两个站点之间的延迟是〜40ms。 通过防火墙的两台主机之间wireshark文件传输的屏幕截图IPSec VPN以10MBPS的速度执行。 请注意更改的窗口大小。 View post on imgur.com 通过防火墙的两台主机之间wireshark文件传输的屏幕截图不会超过55MBPS的IPSec性能。 恒定的窗口大小。 View post on imgur.com 当通过IPSec VPN传输范围为46,796到65535时,我显示的窗口大小不一致。当以55 + MBPS执行时,窗口大小始终为65,535。 这是否显示我在ASA或Layer1 / 2问题中configurationIPSec VPN时出现问题? 使用ping xxxxxx -f -l我终于得到了一个1418字节的非片段,因此IP / ICMP头= 1446的1418 + 28。我知道我在ASA和以太网上有1500组。 我确实有“强制TCP代理连接的最大段大小为”1380“字节设置在ASA上configuration>高级> TCP选项下。 使用IPERF,我每隔几秒就会得到一个“TCP窗口全部”,大约3 MBPS的性能。 View post on imgur.com 在ASA上显示运行 http://pastebin.com/uKM4Jh76 显示cry加速器统计信息 http://pastebin.com/xQahnqK3
我尝试使用Cisco ASDM 6.4 for ASA 5505 Version 8.2(5)设置VPN远程访问。 为了build立VPN我遵循这个步骤 。 完成这一步后,我的信息如下所示: VPN Tunnel Interface: outside PPP authentication: MS-CHAP-V1 MS-CHAP-V2 IPsec authentication uses pre-shared key: MyKey Tunnel Group Name: DefaultRAGroup Default Group Policy: DefaultRAGroup User authentication using local user database New users created in the local database: MyUser Pool of IP addresses for VPN clients: VPN-Pool […]
我们有一个Cisco 1921路由器,在我们的一个分支机构运行IOS 15.1,通过L2L IPsec VPN连接到在总部运行ASA 7.2的ASA5510。 ASA还使用Cisco VPN客户端为基于现场的用户提供IPSec远程访问VPN。 networking看起来像这样: 192.168.14.0/24 – RT – Internet – ASA – 192.168.10.0/24 |—-L2L VPN—-|| |—-RA VPN—- 192.168.10.223-192.168.10.242 (远程访问VPN使用192.168.10.0/24networking内的地址) 问题是,尽pipeRA VPN用户可以访问192.168.10.0/24(和其他连接的L2L VPN),但他们无法访问192.168.14.0/24networking。 以下是ASAconfiguration的一些有趣的部分: interface Ethernet0/0 nameif outside security-level 0 ip address EXTERNAL_IP 255.255.255.240 ! interface Ethernet0/3 nameif inside security-level 100 ip address 192.168.10.252 255.255.255.0 ! same-security-traffic permit inter-interface same-security-traffic permit […]