我有一个远程办公室,我连接到我们的公司networking,这个特定的网站有一个centurylink adsl2 +路由器,我需要通过DHCP连接协商rfc 1483。 dsl调制解调器处于桥接模式,并且连接到ASA的外部接口。 我需要configurationASA与ISP进行协商,以使接口启动并传输stream量。 RFC 1483通过DHCP多路复用设置基于llc的桥接模式vpi:8 VCI:35封装ADSL2 + 有什么最好的方法来设置的任何想法是?
我想“钉住”证书或至less是AnyConnect连接的证书颁发机构。 考虑到SSL传输的数量和被破坏的CA的数量,我希望确保在build立到VPN的连接时,只有由某个CA签名的证书被AnyConnect客户端接受为有效。 如何在ASA 5510上做到这一点?
我们有一台思科ASA 5510,它位于我们的边缘,充当光纤连接的PPPoE端点。 光纤连接带有一个静态IP,通过PPPoE分配,由ASA接收。 所有的工作正常,NAT工作,从内部的路由出站连接正确地通过光纤等。 随后,我们从同一个ISP那里订购了第二批IP地址(/ 28),他们已经完成了他们的工作。 不幸的是,我无法获得任何stream量通过新分配的IP。 从我读过的所有东西都不需要任何特别的configuration,以便能够使用这些新的IP,如果我创buildNAT / ACL规则,我应该能够接受新的范围内的传入连接,但是看起来他们根本没有击中ASA。 数据包filter显示NAT / ACL正确设置。 我已经读过,第二个子网应该在它们的末端路由,以便它通过现有的/ 30,但是ISP不能设置它。 他们build议新的网关的网关是范围内的第一个可用的地址。 我在ASA上创build了一个静态路由,通过第一个可用的路由这个networking,希望这是问题,但它没有解决问题。 这听起来类似于这个问题 – 思科ASA:如何路由PPPoE分配的子网? – 然而,我们是第二个子网,而不是一个子网。 ISP已经提出完全抛弃现有的/ 30,只使用/ 28(如果解决了这个问题就没有问题,我们现在还没有使用现有的/ 30)。 从本质上讲,使用PPPoE的ASA可以在一个接口上pipe理多个子网,而我只是错过了一些令人难以置信的明显的东西,或者这是ASA不支持的东西,我需要一个在它前面的路由器?
首先我很抱歉我的英文错误。 请帮助我解决与ARP请求冲突事件的问题。 我在这个机箱中安装了带有刀片服务器的IBM BladeCenter E主板。 在机箱背面有两个用于IBM BladeCenter交换机的Cisco Catalyst交换机模块3012。 每台刀片服务器都配有两个Broadcom网卡BCM5709S NetXtreme II。 一个网卡连接在一个交换机的机箱背板上,另一个网卡连接第二个交换机。 交换机连接到核心Cisco Catalyst 6509交换机。 我们还有一个防火墙Cisco ASA 5520,操作系统版本为8.0.4。 此ASA防火墙也通过一个接口连接到核心。 这个ASA的接口与刀片服务器在一个networking中。 所以思科ASA将服务器网段与其他网段分开。 这两个服务器NIC在智能负载平衡和故障转移分组中联合在一起。 你好同事! 首先我很抱歉我的英文错误。 请帮助我解决与ARP请求冲突事件的问题。 我们在刀片服务器上安装了IBM BladeCenter E刀片服务器。 在机箱背面有两个用于IBM BladeCenter交换机的Cisco Catalyst交换机模块3012。 每台刀片服务器都配有两个Broadcom网卡BCM5709S NetXtreme II。 在背板中,一个NIC连接到一个交换机,另一个NIC连接到第二个交换机。 交换机连接到核心Cisco Catalyst 6509交换机。 我们还有一个防火墙Cisco ASA 5520,操作系统版本为8.0.4。 此ASA防火墙也通过一个接口连接到核心。 这个ASA的接口与刀片服务器在一个networking中。 所以思科ASA将服务器网段与其他网段分开。 目标是提供抵制。 这就是为什么我们在组队configuration中同时使用两个NIC的原因。 团队参数是: types – 智能负载平衡和故障转移启用LiveLink – 无队卸载function – LSO,CO BACS […]
我正在尝试configuration两个不同的ASA 5510,以正确地将在h323video会议中使用的所有端口转发到内部networking上适当的video会议设备设置。 我们的总体networking布局如下; 我有两个独立的工作网站,每个网站都有独立的云访问。 我build立了一个站点到站点的VPN隧道,它提供站点间文件共享和站点间访问我们的交换服务器。 现在,点对点video会议工作正常,因为它正在经过VPN,但是在configuration防火墙configuration为从外部进行h323呼叫时遇到问题。 我已经与想要的外部video会议客户端合作来镜像他们已经打开的端口。 我试图configuration我们的防火墙,以允许从端口访问: 1718 udp 1719 udp 1720 tcp 1731 tcp 80 tcp 3230-3235 tcp 2326-2485 udp 3230-3280 udp 1024-65535 tcp/udp 在我开始咀嚼离开这么多港口之前,让我说我并不打算保持所有这些港口的开放。 一旦我们就dynamicTCP / UDP端口范围的广泛范围达成一致,我将缩小端口范围。 我主要关心的是configuration防火墙覆盖如此广泛的端口的最快捷和最简单的方法。 我原来的想法是做一个TCP / UDP服务组,包括所有上面列出的端口范围,并将该服务组整合到ACL和NAT规则中,但是当我试图创build规则时服务组不会传播。 (我一直在尝试使用ASDM,因为在这种情况下我的命令行的舒适度有点不稳定,目前我正在运行ASA 8.4 / ASDM 6.4) 目前的ACL规则是: access-list outside_access_in extended permit object-group TCPUDP any object VC_Unit object-group VC_services (VC_unit是位于内部的video会议设备,而VC_services是包含所有所需端口/端口范围的服务对象组。 在过去,我刚刚通过进入networking对象本身分配了端口转发规则,但似乎只支持指定一个特定的端口(即转发RDP时的3389 …不是端口范围或多个端口范围正如我在这种情况下所需要的那样)。 这可能是一个相当简单的问题,所以请原谅我的无知,但在这方面的任何援助将不胜感激。
我有一台2台设备,一台思科ASA,另一台设备。 思科和其他设备都具有IPsec隧道,但位于不同的位置。 我需要确保其他设备的源端口在NAT时不是UDP-500,因为这是与Cisco IPsec服务相同的端口,所以我们看到一个问题,即发送给其他设备的回复数据包击中了ASA。 根据思科的NAT常见问题( http://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/26704-nat-faq-00.html ),它保留了端口在默认情况下根据“Q.在configurationPAT(过载)时,每个内部全局IP地址可以创build的最大转换数是多less? 问题:如何强制所有PAT映射使用> 1024以上的源端口? 或者,我如何强制ASA忽略来自特定IP地址的IPsec数据包,并将它们视为正常的NAT数据包,并将它们转发回内部设备? 在Linux的iptables我会用这样的:iptables -t nat -A POSTROUTING -o eth0 -p udp -j SNAT – 对源xxxx:1024-30000
我们的networking如下图所示 PC1可以成功连接到服务器2(10.120.20.x / 24),PC4可以成功连接到服务器1(10.120.30.x / 24)。 我们的问题是,右侧的电脑(IP = 10.254.11.18)无法连接到服务器1.不幸的是,我不能改变这台电脑的IP(10.254.11.18) 我怎么解决这个问题?
我有一个访问规则和NAT规则,可以在安全设备软件版本8.0上正常工作 规则如下: 但是,我在安全设备软件版本8.4上运行的ASA上执行相同的规则工作时遇到了问题。 我知道configuration已经改变了,我想我应该为ath-security创build一个networking对象,同时定义我的访问和NAT规则,但是我没有在ASA上configuration任何东西,我的头很小。 我把它设置如下: 我在这里做错了什么? CORP-OUTSIDE和NM-OUTSIDE应该是不同的; 这是两个不同的ASA。 XXXX-OUTSIDE是每个设备的外部IP地址的networking对象。 CORP-OUTSIDE是在8.0软件的ASA上, NM-OUTSIDE是在ASA上的8.4软件 show running-config在ASA上使用8.0软件返回以下内容: 静态(内部,外部)tcp接口www LVMSecurity www netmask 255.255.255.255 show running-config用8.3软件在ASA上返回以下内容: 对象networkingAthertonSecurity-2.123 nat(内部,外部)静态接口服务tcp www www 使用ASDM数据包跟踪工具,我在8.3 ASA上得到以下错误: 信息:(sp-security-failed)Slowpath安全检查失败
我们试图确定哪些特定请求来自我们的Java应用程序内部。 我们更改了日志文件以包含IP地址,并使用httpServletRequest.getRemoteAddr()来获取该远程地址。 在运行Tomcat的本地开发机器上,这是可行的。 在我们的CI环境(Mac上的Tomcat)中,这是有效的。 问题是,在我们的舞台和生产环境中,这是行不通的。 我们总是从httpServletRequest.getRemoteAddr()中看到127.0.0.1。 我们的临时和生产环境都是运行CentOS的VMware虚拟机。 他们在ESXI内/内部运行,并且在Cisco 5500 ASA之后。 我们已经看到类似于这个问题的其他文章,说要查找“X-Forwarded-For”标题,并打印,如果它存在。 它不。 以下是通过请求发送的标题的完整列表。 我们对ASA或VMware的设置没有太多的了解,所以如果有什么可能导致这个问题的话,请提供一个详细的答案,让我们的IT团队去解决这个问题。 我们认为这可能与VMware有关,因为我们看到127.0.0.1。 如果是ASA,我们会假设我们会看到ASA的IP,但是我很开放,被告知我不正确。 完整的请求标题: user-agent:Mozilla/5.0+(compatible; UptimeRobot/2.0; http://www.uptimerobot.com/) accept:text/html,application/xhtml+xml,application/xml q=0.9,*/* q=0.8 accept-language:en-US,en q=0.8 accept-charset:ISO-8859-1,UTF-8 q=0.7,* q=0.7 host:host-omitted-for-stackoverflow.com connection:keep-alive 更新 – 我们刚刚意识到我们有一个本地端口redirect涉及: 唯一可能相关的是我们使用HTTP xinetd端口redirect将SSLstream量转发到内部端口: service https { disable = no flags = REUSE socket_type = stream wait = no user = root port = […]
我有一个思科asa 5505。外部和内部的IP是私有的IP,所以我不想NAT内部的IPs,因为他们出去的外部接口(有一个路由器上游的ASA 5505.我会做静态NAT?或如何在没有NAT的情况下将stream量从内部传递到外部(如ping)? 外部e0 / 0 VLAN 1000 IP:192.168.0.6 255.255.255.248 内部e0 / 1 VLAN 2 IP:192.168.0.230 255.255.255.252(这个int有一个下游的路由器,我想从互联网telnet到192.168.0.229/30) 上游路由器将1:1 Nat映射公共IP到ASA5505的下游路由器的IP。