这是关于Cisco ASA 5510路由器。 我们有两个ISP,每个都有一个IPv4地址块。 我想映射DMZ中的一台服务器,使两个公有IPv4地址指向它。 像这样: ISP1 71.43.230.100 – > DMZ 10.0.1.100 ISP2 205.23.53.100 – > DMZ 10.0.1.100 如何将两个公有IPv4地址映射到单个DMZ IPv4地址?
最近遇到了一个问题,即向接口添加dynamicNAT会打破所有通过RPF故障接口的转换stream量。 我们发现,添加该命令导致NAT反向path过滤开始丢弃接口上的大部分stream量,此前RPF检查没有发生(或者至less以前没有出现在packet-tracer结果中)。 该接口已经有数百个NAT免除,静态和dynamic策略NAT,但是添加了第一个dynamicNAT(带有小的/ 29个源限制,以及与99%的翻译无关的目标接口)引发了这些故障。 这是什么打破了它: nat (Public) 33 172.16.14.0 255.255.255.248 outside tcp 0 0 udp 0 global (Voice) 33 10.0.8.180 netmask 255.255.255.255 RPF中引用的规则失败是内部的主要PAT规则; 没有任何关于添加的configuration应该干扰成功反向的规则: Phase: 9 Type: NAT Subtype: rpf-check Result: DROP Config: nat (public) 0 0.0.0.0 0.0.0.0 outside nat-control match ip Public any inside any no translation group, implicit deny policy_hits = 7274 Additional […]
我在ASA群集上遇到了一个远程访问VPN连接的奇怪问题。 正常的站点到站点隧道和AnyConnect连接工作得很好。 但是,一个特殊的ipsec ikev1隧道不会。 它build立并维持,但是客户端(在这种情况下是一个Avaya VPN电话)既不接收客户端地址,也不要求客户端地址(不确定责任人)。 该图像显示build立连接时的情况。 请注意,分配的IP地址是空白的。 字节TX为“0”是非常自然的,因为内部的networking没有客户端路由到。 我尝试通过ASDMdebugging,但没有运气。 我没有足够的信心使用CLI进行控制台debugging,因为我们使用“通知”关键字来严格匹配每个我们拥有的ACL。 build议?
生成Cisco VPN .pcf文件以便分发给最终用户的最有效方法是什么? 这适用于ASA 5500系列防火墙。 来自Mac工作站,我不再有权访问工作的Cisco VPN客户端。 这可以在客户端软件之外完成吗?
调查到远程办公室的慢速VPN连接(思科ASA IPSec),我注意到我们的防火墙有很多访问规则匹配: Denied ICMP type=3, code=4 from *ip_address* on interface outside 我注意到远程站点的traceroute包含相同的IP地址,在我们的ISP和远程站点使用的ISP之间。 之前我也看到一条消息 No matching connection for ICMP error mesage: icmp src outside *ip_address* dst identity:*firewall_outside_ip_address* (type 3, code 4) on outside interface. Original IP payload: protocol 50 src *firewall_outside_ip_address* dst *remote_site_ip_address* 思科build议,这可能是一个攻击的症状 ,但我不这么认为。 协议50是ESP,它是IPSec的一部分。 远程站点通过IPSec VPN使用远端的Cisco ASA 5505和总部的ASA 5510连接到HQ。 ICMPtypes= 3,代码= 4表示需要碎片并且不设置碎片。 设置不分段对于IPSec ESP数据包来说是正常的。 […]
我们在我们的networking中使用思科ASA的防火墙和NATfunction(200台计算机)。 是否有可能configurationCisco ASA检测我们的networking内的stream量嗅探(例如wireshark)和networking检查(例如“nmap -sP 192.168.0。*”)? 在linux路由器上有一个叫做“antisniff”的工具,ASA有没有类似的东西?
这里有一些系统混搭,请耐心等待。 从本质上讲,在尝试备份远程Linux服务器时,使用Oracle的Backup Exec代理程序遇到了一些麻烦。 BE代理似乎使用RMAN来备份数据库 备份服务器位于一个VLAN上,目标服务器位于另一个VLAN上,Cisco ASA防火墙提供它们之间的唯一链接。 这是devise上的,因为备份服务器支持大量的客户端,每个客户端必须在自己的VLAN上,以防止它们互相访问。 我已将推荐的端口添加到防火墙,以至less允许代理与媒体服务器通话。 备份开始的足够好(实际上,同一台服务器上的较小的Oracle数据库完成没有问题),但一个200GB的数据库,显然需要几个小时才能完成,不能完成。 我认为这个问题与http://www.symantec.com/business/support/index?page=content&id=TECH59632有关,它说在备份开始时在端口5633上build立一个CORBA会话,每个RMAN操作,但在传输数据时,CORBA会话的套接字不接收数据包。 由于防火墙上的连接超时时间为60分钟,因此CORBA会话将被丢弃,并且当RMAN代理尝试执行下一个操作时,整个进程会发生爆炸。 赛门铁克表示,这个问题在早期版本的Backup Exec中得到修复,但是并没有详细说明任何额外的设置来强制执行。 将防火墙上的连接超时设置为足够高以覆盖备份窗口的时间(例如12小时)似乎是错误的,因为这是一个不动产范围的变化,这也将影响连接寿命(例如)Web请求到另一个客户的Web服务器。 将Linux服务器移到与备份服务器相同的局域网中是不可能的。 我不是一个Linux大师,但我大致知道我的方式。 到目前为止,我已经尝试开始使用libkeepalive( http://libkeepalive.sourceforge.net/ )强制使用KEEPALIVE TCP标志创build远程进程的套接字创build,但是快速的netstat -top表明它没有使用。 要么我使用libkeepalive不正确,或者它不适用于beremote二进制 我想我正在寻找一个适合我所处的环境的选项。我想我正在寻找一个或多个以下内容: 一种configurationBE代理以保持连接活动的方法? 一种将keepalive标志注入到现有TCP连接(例如通过cronjob)的方法? 一种告诉Cisco设备增加特定源/目标(也许是策略映射)的连接超时的方法? 任何/所有(其他)的想法欢迎… J. RE:@Weaver评论 根据要求, class-map , policy-map和service-map条目… class-map CLS_INSPECTION_TRAFFIC match default-inspection-traffic class-map CLS_ALL_TRAFFIC match any class-map CLS_BACKUPEXEC_CORBA description Oracle/DB2 CORBA port for BackupExec traffic match port tcp eq 5633 […]
我们有一个Cisco ASA 5510路由器,并试图让几个用户设置VPN访问。 他们在家中运行Windows 7 x64,无法安装我们的路由器的VPN客户端(它只能在32位Windows上运行)。 我知道有Cisco AnyConnect,但是我很好奇Windows 7中的内置VPN是否可以与Cisco ASA 5510配合使用。如果是这样,任何人都可以指出我需要在Windows 7 VPN中设置什么设置为了它的工作。 谢谢。
我在同一地点使用Cisco ASA 5505 50用户防火墙。 在这个位置的系统正在监测附加的远程站点(也运行Pix或ASA设备),我已经build立了站点到站点的隧道,但是在当前的许可scheme下已经达到了硬件限制。 ASA 5505型号仅限于10个IPsec隧道。 我很好奇我的select。 理想情况下,我想能够处理15-20个连接。 从研究来看,我似乎可以添加一个额外的Security Plus许可证,以扩展到25个VPN隧道。 另一种select似乎正在转向思科ASA 5510。 鉴于我在科罗拉多有less量的系统,正在转移到ASA 5510只是为了获得额外的VPNfunction矫枉过正? 将ASA 5505升级到25-VPN选项有什么缺点(硬件/性能等)? 还有其他的select我错过了吗?
我是思科的新手,我有一些困难: 我想列出所有用户帐户。 show users只显示当前login的用户。 我没有更改启用密码的问题,但我想看到所有可用的用户,所以我可以更改特定的用户密码。 如何列出所有用户帐户? 我将如何重置特定用户的密码? 使用3750,3560交换机和55 / 10-20 ASA。