在进行内存和代码升级后,我们有相当数量的asa 5520(主动/备用对)出现问题。 该问题performance为失去与故障转移接口上的另一半的连接,并且通常伴随着备用设备的重新加载。 既然内存和代码都被触及了,我们就把这两个都视为问题的根源。 在适当的情况下,代码正在被重新调整,但这并不总是可行的。 有没有办法在设备启动和运行的时候testing内存(比如memtest)? 5520的运行8.2(3)W / 2GB RAM。 05:05:36 %ASA-1-105005: (Secondary) Lost Failover communications with mate on interface outside 05:05:36 %ASA-1-105005: (Secondary) Lost Failover communications with mate on interface inside 05:05:36 %ASA-1-105008: (Secondary) Testing Interface outside 05:05:36 %ASA-1-105008: (Secondary) Testing Interface inside 05:05:37 %ASA-1-105009: (Secondary) Testing on interface inside Passed 05:05:38 %ASA-1-105009: (Secondary) […]
所以我有一个拥有IPSec VPN的iPad。 我能够从外部连接罚款,我可以访问我的本地局域网文件就好了。 当我从同一设备连接Cisco AnyConnect客户端时,它允许我login,但根本不能访问任何LAN资源或任何外部资源,直到断开AnyConnect VPN连接。 任何人都可以帮助我了解我需要在ASA上看到什么来纠正这个问题,或者有什么想法吗? 谢谢!
我在ASA5505和Microsoft TMG 2010 SP2之间configuration了ASA IPSec隧道。 隧道有时会工作几个小时,然后断开连接,有时连续工作5分钟,然后断开连接。 当它断开时,有时需要10分钟才能重新build立安全联盟,有时需要45分钟才能重新build立安全联盟。 我怀疑隧道的一端是重新连接的连接,另一端不是,但我真的不知道如何解决这个问题。 从TMG端进行故障排除比从TMG端进行故障排除要困难得多, 尽pipe我怀疑TMG是问题所在。 我在哪里可以在ASA去确定为什么IPSec隧道正在下降?
我有一些VPN站点的MTU低于标准(1500)。 我至less有一个站点,在这个站点上,数据包的碎片影响了构buildIPSEC隧道的成功。 我能够在远程站点的设备上设置MTU。 不过,在总部,我不想把MTU设置成最低的共同标准。 有没有办法将MTU设置为低于指定IP地址的stream量? 碎片是我需要担心的functionVPN连接吗? 这是否值得在没有问题的地方解决? 总部设备是ASA 5510.远程站点有ASA 5505。
我们的思科防火墙有一个很奇怪的问题, 如果在我们的osx机器上运行以下命令来禁用窗口缩放支持: sudo sysctl -w net.inet.tcp.rfc1323 = 0 我们看到下载速度提高了近40%(使用不同的linux iso映像镜进行testing)。 如果我直接将我的机器放在外部调制解调器上(在范围内手动设置一个外部IP地址),在rfc1323启用和禁用的情况下,带宽保持不变,所以它必须是思科。 别的要注意的是: 我们的Linux设备都没有这个问题 有没有人遇到过这个问题? 我似乎在旧的邮件列表中发现了一些模糊的引用,详细描述了不再适用于cisco ios的PIX解决方法。 提前致谢。
我们有一对ASA 5510s(8.4.3),我们使用LDAPauthentication进行VPN和SSH访问。 在所有使用RADIUS的Catalyst交换机上,我们可以在RADIUSconfiguration(2008R2 NPS)中将shell:priv-lvl设置为15。 但是,在ASA(包括所有的思科文档)上,我能find的最好的办法是通过在其中embedded“15”并将其映射到“权限级别RADIUS属性”来滥用其他字段(如标题或公司) AAAconfiguration。 我真正想要做的是在AD组中为每个人分配L15权限,而不必键入共享密码。 任何人都知道是否有办法做到这一点?
看看我的ASA 5520的ASDM(6.4),我可以很好地总结一下stream量状态,例如“接口stream量使用”和“每秒连接数”。 这工作得很好,但只显示过去5-6分钟左右的数据。 最近有人问我是否有可能在过去的某个特定时间提取同样types的stream量数据。 (如:从xx:xx:xx @ time xx:xx:xx查找3分钟内的stream量使用情况) 我注意到,我的ASA 5520正在logging它正在处理的警告,错误等。 但根据我通过ASA的search,交通数据不logging(还)。 logging交通数据量(如上所述)实际上是一种可能性? 有什么方法可以找出过去的stream量和这些值的数据? 谢谢!
我最近在局域网边上安装了Cisco ASA 5505防火墙。 设置很简单: 互联网< – > ASA < – > LAN 我想通过build立一个6in4隧道到SixXS来为局域网中的主机提供IPv6连接。 将ASA作为隧道端点是很好的,所以它可以防火墙IPv4和IPv6通信。 不幸的是,ASA显然不能创build一个隧道本身,并且不能端口转发协议41的stream量,所以我相信我将不得不做下面的其中一个: 在防火墙之外设置一个拥有自己IP的主机,并将其作为隧道端点。 然后ASA可以防火墙并将v6子网路由到LAN。 在作为端点的防火墙内设置一个主机,通过vlan或其他方式分开,然后将stream量回送到ASA,在那里进行防火墙和路由。 这似乎是人为的,但会允许我使用虚拟机而不是物理机器作为端点。 任何其他方式? 你会build议什么是设置的最佳方法? PS如果需要,我可以提供一个备用公共IP地址,并且可以在我们的VMware基础架构中启动另一个虚拟机。
我们使用思科ASA为我们的IPSEC VPN使用EZVPN方法。 我们经常会遇到一些问题,即ISP已经改变了他们的networking,我们的VPN就停止工作了。 ISP十次中有九次否认他们的改变可能阻止了这个工作 – 我怀疑是因为他们不明白究竟是什么原因导致了这个问题。 我不想和他们争吵,而是试着把他们指向一个可能得到更快解决的方向。 在我目前的事件中,我可以ssh到ASA的外部接口,并做一些小动作: sh crypto isakmp sa Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: {Public IP address of London ASA} Type : user Role : initiator Rekey : no State : AM_TM_INIT_XAUTH_V6C […]
我将Cisco ASA设置为客户端VPN服务器。 该设备依靠freeradius来validation用户。 Freeradius又被configuration为查询OpenLDAP。 modules / ldap文件已被configuration为使用以下filter(每个组下列出的成员使用属性memberUid)检查组的所有权: groupmembership_filter = "(&(objectClass=posixGroup)(memberUid=%{User-Name}))" 文件freeradius / users有这样的说法: DEFAULT LDAP-Group != "cn=unixadm,ou=groups,dc=services,dc=company,dc=com", Auth-Type := Reject 我想使用多个成员资格检查,例如,只允许属于一组组的用户。 显然,如果多于一个组被指定,freeradius就会失败。 我正在寻找一种方法来列出多个组。 用于freeradius和openldap的操作系统是Ubuntu 10.04。