build立 2x思科ASA 5520的 ASA 8.3(1),ASDM 6.3(1) IPSecencryption设置: ESP-3DES-SHA,双向,完美的转发保密组1,8个HR生存期或4,608,000千字节,NAT-T启用 networkingA,芝加哥10.110.1.0/24 100 MBPS Cogent连接 networkingB,Denver 10.110.2.0/24以60 MBPS的速度进入数据中心光纤networking 问题 芝加哥和Devner(IPSec,HTTP,FTP等)之间的任何stream量都会以7 MBPS的丹佛 – 芝加哥和1.5 MBPS的芝加哥 – >丹佛的速度触发。 testing 微软更新下载60 + MBPS从任何一个networking,所以我知道两端的WAN连接是快速的。 重新启动两个防火墙只是为了好的措施。 从芝加哥ASA转移到另一个芝加哥ASA以预期的45-50 MBPS运行。 所以看起来我的ASA看起来不像是速率限制,或者IPSec在直通输出方面有问题。 CPU在白天为3-4%,在7 / 1.5MBPS的传输期间为10%。 芝加哥和丹佛之间的Traceroute达到了16跳,没有跳跃高于60ms 已经通过Windows中的IPSec隧道传输文件,在IPSec隧道之外作为HTTP或FTP通信,仍然可以看到7 / 1.5 MBPS的限制。 已经连接桌面到芝加哥的Cogent交换机,分配了一个WAN IP,传输HTTP和FTPstream量,仍然看到了7 / 1.5 MBPS的限制。 看着TCP窗口大小的转移,而我看到芝加哥和丹佛之间的限制,而只是下载一个文件。 两者都在65535。 问Datacenter看看线路是否有丢包,CRC错误等等,他们什么都看不到。 24小时ping显示没有丢包,平均响应时间为85ms。 仔细检查思科ASA设置,以确保没有发出“警察输出”命令。 我们的ASA很漂亮,因为我们有一些NAT,访问ACL和芝加哥的IPSec VPN。 问题 我无法弄清楚在处理故障时要处理什么OSI层。 我是否参与互联网服务提供商,并告诉他们我的问题? 我应该指点谁?
如何将Cisco交换机和ASA的configuration备份到SMB Windows共享? 我已经完全启用pipe理员通过SSH。 完整的命令将其保存到SMB共享是什么? 是“show run,保存为smb:// user:[email protected]/folder ???
我刚开始学习configuration思科ASA。 我的办公室借给我他们的旧ASA 5505,我打算做一个工厂重置。 在我这样做之前,我想把configuration备份到我连接到的机器上的文本文件。 现在,我只有控制台电缆连接,并使用PuTTylogin。 现有的configuration是相当大的,所以我无法做一个“显示运行”,然后复制/粘贴(configuration的开始被切断)。 我也尝试使用日志logging,但一切都在一起。 有没有办法将configuration直接导出到我的桌面上的文本文件(使用Win Server 2008)?
我正在处理高带宽情况,需要确定哪些主机正在发送/接收最多的数据。 我如何获得将包含这些信息的日志? 我很好parsing或编写代码,但我不确定如何提取信息。
在我的networking中,我有3个远程站点和一个本地站点,都通过我们的中央dhcp服务器接收DHCP。 所有的网站都有ASA和dhcprelay等等。 我有两个域控制器 – 是否有可能将第二个dc设置为辅助dhcp服务器,将信息添加到ASA – 并将其用作主dhcp服务器脱机时的故障转移? 这会造成问题吗? 谢谢
思科ASA 5505是否function强大,足以取代Cisco PIX 503? PIX在vpn上运行大约10个站点到站点的VPN和40个以上的个人用户。
伙计们,有一个奇怪的,需要你的专家的帮助。 对于我们在审计中出现的大量使用的外部服务器,nmap -Pn扫描显示如下: Starting Nmap 5.51 … Host pub.ip is up (0.0032s latency). Not shown: 993 filtered ports PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 80/tcp open http 113/tcp closed auth 119/tcp open nntp 8008/tcp open http 8010/tcp open xmpp 现在这是一个公共的FTP / SFTP服务器,物理主机上的netstat / lsof确认只有端口21(ftp),22(ssh)和25(内部smtp)在监听。 ASA FWconfiguration显示它只允许从pub IP到ftp / ssh上的内部IP的NAT: static (dmz3,pub1) pub.ip […]
我们正在使用5505 ASA Sec +(8.2)。 有三个接口:内部(172.17.0.0/24),dmz(172.16.0.0/24)和外部(例如1.2.3.4)。 有一些静态NAT规则将1.2.3.4转换为dmz上的服务器(包括1.2.3.4:80到172.16.0.10:80)。 这些工作从外面。 如何让内部用户使用外部IP以与外部用户相同的方式访问DMZ服务器? 因为我们正在使用端口地址转换(取决于端口号的几个不同的服务器),我想避免DNS修改。 无论我们是否使用NAT来进行直接的dmz内部stream量(大部分stream量都将通过公共IP)。 当前的NATconfiguration: ASA Version 8.2(5) same-security-traffic permit inter-interface same-security-traffic permit intra-interface global (outside) 1 interface global (dmz) 2 interface nat (inside) 1 172.17.0.0 255.255.255.0 nat (dmz) 1 172.16.0.0 255.255.255.0 static (dmz,outside) tcp interface www 172.16.0.10 www netmask 255.255.255.255 static (dmz,outside) tcp interface https 172.16.0.10 https netmask […]
我遇到了一个问题,我的思科ASA 5510-v8.2无法与VLAN特定端口组中的虚拟机进行通信。 思科ASA目前正坐在一群拥有公共IP的虚拟机前。 这部分需要保持不变。 另外,我还有一个软件防火墙(在思科ASA之前剩下的pfSense)作为虚拟机运行,具有公共IP以及172.29 / 24子网上的IP。 我想要做的,最终目标是去掉软件防火墙,并且拥有172.29 / 24networking以及公共IP,所有这些都可以通过思科ASA访问。 物理设置: Cicso ASA 5510v8.2 <— single ethernet —> NIC/Server running VMWare ESXi 5.5 逻辑设置: 作为一个 Interfaces –> Ethernet 0/0 Public \-> Ethernet 0/1 Internal (currently has public IP, and acts as a gateway for a sub-net of public IP's) (native) \-> Ethernet 0/1.1 VLan-Passthrough Public […]
我在cisco站点上按照这个文档build立了L2TP over IPsec连接。 当我尝试从我的Windows XPbuild立一个VPN到ASA 5505,当我点击“连接”button后,出现“正在连接….”对话框,过了一会儿,我得到这个错误消息:错误800:无法build立VPN连接。 VPN服务器可能无法访问,或者可能无法正确configuration此连接的安全参数。 ASA 7.2(4) ASDM版本5.2(4) Windows XP SP3 Windows XP和ASA 5505位于相同的LAN上用于testing目的。 编辑1:在Cisco设备上定义了两个VLAN(Cisco ASA5505的标准设置)。 – 端口0在VLAN2之外; – 和VLAN1上的端口1到7,在里面。 我从Linksys家庭路由器(10.50.10.1)到端口0(外部)的Cisco ASA5505路由器上运行电缆。 端口0有cisco内部使用的IP 192.168.1.1,我也分配了外部IP 10.50.10.206到端口0(外部)。 我从Windows XP向端口1(内部)的Cisco路由器运行电缆。 端口1被分配来自Cisco路由器192.168.1.2的IP。 Windows XP也通过无线连接到我的Linksys家庭路由器(10.50.10.141)。 编辑2:当我尝试build立vpn时,思科设备实时日志查看器显示7个条目,如下所示: Severity:5 Date:Sep 15 2009 Time: 14:51:29 SyslogID: 713904 Destination IP = 10.50.10.141, Decription: No crypto map bound to interface… dropping pkt 编辑3:这是目前在路由器上的设置。 […]