我使用以下命令来configuration思科ASA以允许我查询snmp snmp-server host inside 10.20.30.40 community public version 2c 我需要自动化这个任务,我的问题是如何检测接口名称(在这种情况下)知道只有使用SSH的IP地址?
如果我在ASA上特别排查某些问题,那么能够将我所看到的系统日志消息过滤到只有那些相关的东西通常很有用。 如果我正在排除类似VPN隧道的故障,那么我可以使用类似于“vpn”类来过滤: logging class vpn buffered 6 但是,如果我想对ACL进行故障排除,那么即使这些消息存在syslog“类别”,也没有类,因此从106开始。 如果我想过滤一个没有定义类的“类”,我应该做一些类似于下面的类,还是有更好的方法? logging list mylist message 106000-106999 logging buffered mylist 这显然假设我想login到内部缓冲区。 如果我想login到其他地方,我会适当地更改命令。 有什么特别的原因,为什么一些系统日志“类别”没有定义的类? 仅仅是为了避免使用less量经常使用的类名称来污染类名称空间呢? 非常感谢
我有一个关于VPN的大问题,我无法解决或连接点(可能会导致问题) 我们的一位客户希望用更好的东西来取代旧的snapgear,所以他们selectASA来做。 我已经在ASA中创build了所有的configuration,并在我们的testingnetworking中进行了testing。 我能够将客户机从外部连接到ASA VPN,并能ping通networking内的任何机器。 一切都很完美。 之后,我已经为客户站点设置了相同的防火墙/configuration,并且一旦我将ASA连接到他们的networking,并尝试使用任何连接从外部连接,我都无法ping他们的networking内的任何机器。 所有的networking,子网都遥不可及。 起初,我已经设置了ASA接口的静态路由和静态IP,但没有运气。 然后我设置了接口,从DHCP服务器获取IP地址,以及所有从“L3核心交换机”进行所有路由的所有路由,而没有任何运气。 ASA的configuration(dynamic) : Saved : : Serial Number: xxxxxxxx : Hardware: ASA5506, 4096 MB RAM, CPU Atom C2000 series 1250 MHz, 1 CPU (4 cores) : ASA Version 9.5(2) ! hostname xxxxxxxx enable password xxxxxxxxxxxxxx encrypted passwd xxxxxxxxxxxxxx encrypted names ip local pool VPN_xxxxxx 10.13.3.2-10.13.3.200 mask […]
RemoteSite (172.16.1.*) | Internet — InternetUsers | ASA — LocalUsers (192.168.1.*) | InsideNet (10.1.1.*) | Router | DeeperNet (10.22.22.*) 我有一个Cisco ASA 5510有三个接口,内部/外部/本地用户。 在内部有两个子网,InsideNet和DeeperNet,由一个简单的路由器连接。 ASA的路由表中有一个DeeperNet的条目。 远程站点通过外部接口上的LAN到LAN连接。 (此VPN包含InsideNet和DeeperNet,因此RemoteSite的用户可以联系DeeperNet上的服务器) 所有到InsideNet(10.1.1.1)上的Web服务器的stream量都需要redirect到Deepernet上的Web服务器(10.22.22.22)对于本地用户,这可以通过静态NAT规则轻松完成: static(inside,localusers)10.1.1.1 10.22.22.22 netmask 255.255.255.255 来自互联网用户的任何stream量都来自ASA的公共IP,并且使用静态NAT规则也很容易处理。 静态(内部,外部)203.203.203.203 10.22.22.22networking掩码255.255.255.255 我遇到问题的地方是VPN用户。 我不确定VPNfunction如何与NAT交互,以及NAT和VPN应用于ASA的顺序。 如何configuration一个静态NAT规则,以便任何通过VPN向远程用户发送数据的远程用户都将其redirect到10.22.22.22? 此NAT在VPNstream量select之前还是之后生效? (也就是说,如果将VPNconfiguration为RemoteSite < – > InsideNet,只有stream量通过10.1.1.1进入DeeperNet IP,或者ASA会查看真实的IP并确定它不属于VPN的一部分? )
使用Windows XP和Cisco VPN客户端版本5.0.4.xxx连接到远程客户站点。 我们可以build立连接并启动一个RDP会话,但是在1-2分钟内连接断开,VPN连接断开。 build立连接的PC在一个DMZ上,该DMZ被NAT到一个公共IP地址。 如果我们将PC直接移动到互联网上而不在DMZ上,则连接将起作用,而且我们不会遇到任何断开连接。 我们使用运行7.2.4的PIX 515E,并且从DMZ连接到其他客户站点的类似设置没有任何问题。 在客户端的VPN设置是非常基本的,使用TCP端口10000上的IPSec。不知道他们正在使用什么设备的对等,但我的猜测将是一个ASA。 有什么想法是什么问题? 发生问题时,以下是来自VPN客户端的日志。 真正的IP地址已经改为:RemotePeerIP。 4 14:39:30.593 09/23/09 Sev = Info / 4 CM / 0x63100024尝试连接服务器“RemotePeerIP” 5 14:39:30.593 09/23/09 Sev = Info / 6 CM / 0x6310002F为TCP连接分配本地TCP端口1942。 6 14:39:30.796 09/23/09 Sev = Info / 4 IPSEC / 0x63700008 IPSec驱动程序已成功启动 7 14:39:30.796 09/23/09 Sev = Info / 4 IPSEC […]
AnyConnect在Windows XP下正常工作。 在Ubuntu Linux 9.10 32位上,我下载了anyconnect-linux-2.4.0202-k9.tar.gz,安装了它,并尝试连接到同一个ASA防火墙。 它失败了: >> state: Connecting >> notice: Establishing VPN session… >> error: AnyConnect package unavailable or corrupted. Contact your system administrator. >> notice: Connection attempt has failed. >> state: Disconnected >> state: Disconnected 然后,我从cisco.com下载了任何connect-linux-2.4.0202-k9.pkg并将其安装在ASA的闪存中: foobar# show flash –#– –length– —–date/time—— path 75 8192 Nov 12 2009 05:02:58 log 154 4181246 […]
我在世界各地有许多Cisco ASA 5505和PIX 506e充当VPN端点。 他们连接到总部的Cisco VPN集中器3000。 我正在使用Easy VPN来设置VPN(即,大多数configuration集中在VPN集中器上)大多数端点工作得非常好。 但是,有三个不这样做。 2个ASA和1个PIX与我们networking中的一个VLAN断开连接。 这是我的监控服务器运行的VLAN – 所以这些端点看起来好像已经closures了。 但是,我仍然可以ping用户VLAN中的端点。 如果我然后SSH到端点上,并ping我的监控服务器,连接回来。 然后大约10分钟后再次停止工作。 我已经查看了我的端点的configuration,我看不到任何重大的差异。 一个共同的特点是受影响的端点通过零售质量路由器连接到互联网。 但是,我不明白这会如何影响VPN隧道内的stream量。 任何想法或build议? 我也在思科的论坛上有一个主题https://supportforums.cisco.com/thread/344638 。 另一个人报告了同样的问题。
我有一个约60-70 vpn隧道的ASA 5510。 我在设备上有四个接口:1)外部,2)192.168.1.0,3)192.168.2.0,4)192.168.3.0 VPN隧道从远程站点(192.168.200.0)configuration到ASA上的192.168.2.0子网。 我有远程应用程序,我希望远程站点的用户能够访问托pipe在192.168.3.0子网上的用户。 我可以在位于ASA上的子网之间路由stream量。 任何方式我可以将stream量从远程站点路由到192.168.3.0?
在我看来,这是一个非常简单的问题,我可以自己回答,但是我一直没能find关于这个问题的任何信息。 我有一个Cisco ASA 5510有4个FastEthernet接口。 我想知道是否可以使用这些接口中的2个或3个作为端口通道,以聚合多个VLAN的带宽。 我在思科网站和Google上找不到任何信息。 这只是一个愚蠢的/疯狂的想法还是我错过了什么? 预先感谢您的帮助, 安托万 编辑:我检查了思科ASA命令参考指南 ,并没有端口通道命令…
升级一个正在运行的5.3.1的Pix到8.0.4。 内存/ IOS升级进行得很顺利,但8.0.4configuration并不完全正常。 它所基于的5.3.1configuration工作正常。 基本上,我有三个networking(内部,外部,DMZ)与dmz静态映射到外部地址上的一些地址。 问题似乎是,这些地址无法发送或接收来自外部(互联网)的stream量。DMZ上没有静态映射的东西似乎工作正常。 所以,基本上: 内部 – >外部:工程内部 – > DMZ:工作DMZ – >内部:工作,在规则允许DMZ(非静态) – >外部:工程 但: DMZ(静态) – >外部:失败外部 – > DMZ:失败(所以说,udp 1194stream量到.102,http到.104) 我怀疑有一些我configuration的NAT /全局部分,但不能为我的生活弄清楚什么。 帮助,任何人? 完整的configuration如下。 感谢您的任何想法! ! PIX版本8.0(4) ! 主机名防火墙 域名asasdkpaskdspakdpoak.com 启用密码xxxxxxxxencryption passwd xxxxxxxxencryption 名 ! 接口Ethernet0 外面的名字 安全级别0 IP地址XX.XX.XX.100 255.255.255.224 ! 接口Ethernet1 名称里面 安全级别100 IP地址192.168.68.1 255.255.255.0 ! 接口Ethernet2 名称dmz 安全级别10 […]