好的,所以我有一个简单的VPN IPSEC设置,使用一个具有公共IP地址和172.16.255.1的回送接口的Linux主机。 在右侧,我有一个Cisco ASA 5505 9.1。 问题是Cisco ASA在debugging“PHASE 2 Completed”时说,所以我知道与我的ISKMP协商没有冲突。 但是,我收到以下这应该表示networkingACL不匹配,但我无法弄清楚。 Apr 09 14:30:26 [IKEv1 DEBUG]Group = xx137.133, IP = xx137.133, IKE got a KEY_ADD msg for SA: SPI = 0x61af9f82 Apr 09 14:30:26 [IKEv1 DEBUG]Group = xx137.133, IP = xx137.133, Pitcher: received KEY_UPDATE, spi 0x95cad3f0 Apr 09 14:30:26 [IKEv1 DEBUG]Group = xx137.133, IP = […]
这是我们的场景: 我们有一个Cisco ASA 5512x,我们有来自不同ISP连接的2个不同的互联网连接。 ISP A用于浏览stream量的用户(普通互联网),ISP B用于站点到站点隧道,静态公共IP用于从外部访问服务器。 因此,我们在Cisco ASA上的configuration是,默认路由(0.0.0.0)来自ISP A,其度量值为1,而另一个具有度量值2的默认路由为ISP B. 现在的问题是,我们有一个Web服务器可以通过ISP从外部通过ISP B(注意:静态NATconfiguration为映射web服务器的内部IP和ISP B的静态公共IP),但显然当这个服务器响应请求,这些通过ISP A出去,因为有默认路由。 这给我们造成了很多问题。有没有办法configuration思科ASA从ISP B回复? 而用户一般stream量仍然通过ISP A。
我试图让各种设备和运行7.2(1)的Cisco ASA 5520之间的VPN工作。 当试图与运行OX X 10.5.8的Mac连接时,我一直得到这个错误:在ASA上它说: Sep 16 13:44:02 [IKEv1 DEBUG]: Group = <redacted>, IP = <redacted>, All SA proposals found unacceptable Sep 16 13:44:02 [IKEv1]: IP = <redacted>, All IKE SA proposals found unacceptable! 我怎么能告诉Mac要求ASA不提供?
我有一个Cisco ASA 5510如此configuration: interface Ethernet0/0 description ### Trunk for inside, wlan ### speed 1000 no nameif no security-level no ip address interface Ethernet0/0.10 description ### OFFICE ### vlan 10 nameif inside security-level 100 ip address 172.18.0.1 255.255.255.0 interface Ethernet0/0.12 description ### WIRELESS ### vlan 12 nameif wlan security-level 20 ip address 172.18.2.1 255.255.255.128 interface Ethernet0/3 […]
我希望在使用PuTTY访问思科ASA上的CLI时能够使用Home,End和Delete键。 目前当我使用这些键我看到〜字符。 我已经尝试更改PuTTY会话键盘设置为家庭和结束从标准为rxvt – 这导致删除给〜,家庭什么都不做,并且结束给w。 是否有可能让我的键盘行为? 我有这一切工作正常的连接到Linux,但不是思科设备。
对不起noob问题,我几年没有这样做… 我有一个思科ASA与一个工作的VPN,我设置了五年前,我想转发http通过内部IP地址。 我担心的是:唯一需要通过ASA访问ASA的方法是通过VPN,而且我不在设备附近,因此失去连接性不是一个select。 我一直在读它,因为我已经忘记了,似乎我基本上需要: 为int和ext IP设置nat源 启用NAT里面 启用nat外部 听起来是正确的? 我需要这样做两次,对于两组IP(int和ext)。 是否可以在不中断连接的情况下启用NAT? 这样做的典型方式是否正常工作?
到目前为止,我一直参与在专业环境中使用思科硬件,但在一个小的层面上。 最近,我们要求我们的新设备要符合PCI合规性,因为我们在服务器之间传输了大量的stream量,所以我们决定在高端的思科硬件上投入一些资金(至less是高端的到目前为止我一直在使用 – 思科5505 /思科5510s)。 我们有: 2 * Cisco ASA 5550 4 * Cisco Catalyst 2960G-48TC 将有两个机架,每个ASA和2个交换机。 我一直在思考一段交叉连接所有事情的最佳方法,并出现了以下模式: 所以2个ASA工作在HA模式,主动/备用(我们不能使用主动/主动,因为我们有很多的VPN会话) ASA使用两个链路0/3 – 0/3作为FOLINK和1/3 – 1/3作为STATELINK相互连接 ASA中的0/0是来自ISP的订阅源 ASA使用LACP捆绑包(每个两个电缆)与本地机架中的每个交换机连接, 交换机也使用LACP捆绑相互连接 现在请求build议 – 这个devise有什么问题吗? 有什么可以改进/改变,使其更好?
我的ASA 5505有三个VLAN。 一个连接到outside的互联网,一个是我们办公室的office (连接到公司的VPN),另一个是公共的resource-centre 。 每个VLAN位于一个单独的子网上。 我想确保从office到VPN或互联网的stream量优先于来自resource-centrestream量。 换句话说,我不希望resource-centrestream量压倒officestream量。 我可以为我的两个vlans创buildACL: access-list resource-centre-traffic extended permit ip 192.168.0.0 255.255.255.0 any access-list resource-centre-traffic extended permit ip any 192.168.0.0 255.255.255.0 access-list office-traffic extended permit ip 172.16.0.0 255.255.255.0 any access-list office-traffic extended permit ip any 172.16.0.0 255.255.255.0 我认为我需要做的是确定与办公室stream量相匹配的stream量优先级 – 这意味着stream入/stream出办公室的stream量永远不会受到来自资源中心的stream量中断的影响吗? 我很困惑,因为我也可以在资源中心stream量上设置stream量监pipe,但是我不认为这是我想要做的事情,因为我并不关心资源中心使用多less带宽只要它不影响办公室交通。
我正在寻找一个电子商务网站的数据库使用ASA 5520。 根据Cisco ASA 5520自适应安全设备的销售终止和终止声明 ,该产品目前正处于一系列终止使用期限(跨越3/2013至9/2018)之间。 我可以安全使用这个防火墙多长时间,如果我select这个产品,我将面临哪些风险? 值得注意的是,防火墙是由一个主要的云服务器公司pipe理的,(据推测,他们已经获得了即将到期的服务合同)。
如果我只想允许出站stream量的HTTP,POP3,IMAP4,SMTPfunction(即没有托pipe在站点的服务器),是否还有其他端口需要打开以允许这些function工作(例如,DNS UDP端口)? 另请参阅: 始终打开的出站端口 如果下面的一些答案看起来很奇怪,请参阅这篇文章的编辑 – 我删除了很多细节,似乎要求完全回答不同的问题。