我们正在从一组地址迁移到另一组地址,都是/ 24,并尝试尽量减less迁移过程中的停机时间。 理想情况下,我们将在closures旧电路的同时运行一段时间。 总共有4个互联网连接,每对都运行BGP。 然后,每个路由器都被路由到思科ASA,思科ASA连接到在该子网上连接了多个服务器的交换机。 在上图中,左边部分是今天所存在的,我正在寻找右边。 我连接了ASA,并且在10.20.20.0/24子网上都有这两个,第一个ASA接口为10.20.20.1,第二个ASA接口为10.20.20.254。 这里的问题是,所有的服务器都有10.20.20.1作为它们的默认路由,我真的很想把stream量路由回去。就是说,internet – > ASA#2 – > server – >返回ASA#2。 就像今天一样,当然,它会将响应发送回ASA#1,并且找不到它的翻译。 我是否以错误的方式去做这件事? 编辑:我应该提到,外面的#1和外面的#2有不同的公共/ 24networking。 我们正在从ISP提供的块迁移到我们自己的块。
我们使用Cisco ASA 5505作为我们networking上的防火墙和IPSec VPN端点。 我们使用拆分隧道来减less我们的互联网链接上的负载。 换句话说,当某人连接到VPN时,他们的DNS查询将通过我们的内部DNS服务器,并且通过隧道发送parsing为10.0.0.0/8的主机的所有stream量。 其他stream量通过其本地互联网网关发送。 这对IPv4stream量很有效。 我现在已经推出了IPv6连接(一个SixXS 6in4隧道)到局域网上的所有服务器和桌面。 我们的用户数量(有希望增长)在家里有自己的IPv6连接。 当我将内部服务器的IPv6地址添加到我们的内部Bind9 DNS时,一些外部用户无法正常连接到内部服务器。 我假设他们从我们的DNS及其应用程序获得AAAAlogging,并且具有对AAAA地址的偏好,试图通过IPv6直接连接到服务器,而不是使用IPSec隧道。 他们遇到我们的防火墙,最终超时并通过IPv4连接。 作为回应,我从DNS中删除了AAAAlogging。 根据这个论坛post ,Cisco IPSec客户端不支持IPv6,所以我不得不花费昂贵的升级到AnyConnect。 我想到的解决方法: 为LAN主机提供AAAAlogging的裂脑DNS,只有Alogging到VPN客户端。 VPN客户端在特定的IPv4范围内,但不知道如何设置裂脑DNS。 简单地不在内部DNS提供AAAAlogging。 这将限制我们的IPv6使用从内部客户端连接到发布AAAAlogging的互联网服务器。 内部stream量将保持IPv4。 请问您的想法? 有没有一种解决scheme可以让我继续使用IPSec VPN,还可以在服务器上通告IPv6?
我的组织有一个Cisco ASA 5510,我已经作为我们办公室的防火墙/网关。 远程用户会寻找的大部分资源都存在于里面。 我已经实施了一般的交易 – 基本内部networking与出站NAT,一个主要的外部接口与公共服务的PAT池中的一些辅助公共IP,一对站点到另一个分支的站点到站点IPSec链接等。而我正在使用VPN。 我有WebVPN(无客户端SSL VPN)工作,甚至遍历站点到站点的链接。 目前,我正在离开一个传统的OpenVPN AS来实现胖客户端VPN。 我想要做的是对所有VPN的身份validation方法进行标准化,然后切换到Cisco的IPSec厚VPN服务器。 我想弄清楚这些VPN用户(胖客户端和无客户端)的身份validation的真正可能性。 我的组织使用Google Apps,我们已经使用dotnetopenauth来validation用户的内部服务。 我希望能够为瘦和厚的VPN做同样的事情。 或者,使用RSA公钥对(ssh-keygentypes)的基于签名的解决scheme将有助于识别用户@硬件。 我试图摆脱传统的用户名/密码身份validation,特别是如果它是思科内部(只是另一个密码设置pipe理,用户忘记)。 我知道我可以映射到现有的LDAP服务器上,但是我们只有大约10%的用户群(主要是Linux shell访问的开发者)创build了LDAP帐户。 我想我正在寻找的是一个中间件,思科认为它是一个LDAP服务器,但将与用户现有的OpenID标识接口。 我在思科看到的任何东西都表明它可以在本地完成这一任务。 但RSA公钥将是亚军,并且比独立的甚至LDAPauthentication要好得多。 这里真的有用吗?
我有一个CISCO ASA 5506-X,带有4个configuration的接口和一组访问列表等,它通过CLI进行configuration,并以路由模式运行,不透明。 一切运行良好,但现在我有一个问题,我还无法解决: 其中一个接口包含一个子网(192.168.2。*),其中的设备发送UDP广播来发现另一种设备。 其他设备位于另一个接口(192.168.3。*)的另一个子网中。 在某个端口上,udp广播是全局的(255.255.255.255)。 我想要在192.168.2。*中发送的全局UDP广播也发送到192.168.3。* – 并且当然也允许返回。 在其他思科设备上,我已经发现可以使用ip helper-address和ip forward-protocol命令来做到这一点 – 但是ASA模型并不支持这些,据我所知。 那么,我如何通过接口获得全局UDP广播呢?
更具体地说,我有一个客户要求阻止中国的知识产权范围。 我知道如何做到这一点。 我将使用https://www.countryipblocks.net/e_country_data/CN_netmask.txt中的IP并创build一个ACL。 那么如果你看看有3,412个networking,我将不得不封锁。 我真正要问的是有一个方法可以制作一个超级大的ACL? 如果这是连续的IP空间,我可以超网,但事实并非如此。
每当我在ASA中写入一些命令,它就隐藏完整的命令并显示命令的位。 增加我在ASA中编写的命令长度的方法是什么,所以它不会隐藏写在terminal会话上的命令? 我试图谷歌,但无法find解决scheme (ASA)#sho run object-group id $
假设你有一个小的Windows域configuration如下: 域名是ad.example.com (按照这些准则 ) DC1在10.10.10.3 DC2在10.10.10.4 DC1和DC2正在运行AD集成的DNS和DHCP服务器angular色 AD DHCPconfiguration了10.10.10.50-99的地址池 AD DHCP发布的客户端租约的006 DNS Servers选项设置为DC运行AD集成DNS的地址(即10.10.10.3和10.10.10.4) AD集成的DNS服务器将google 8.8.8.8configuration为转发器 10.10.10.0/24子网通过内部地址为10.10.10.1的Cisco ASA连接到Internet ASA是10.10.10.0/24networking的网关 vpn.example.com是parsing为ASA外部IP地址的公共DNS项 远程Windows计算机使用指向vpn.example.com的Cisco IPSec VPN客户端通过ASA连接到10.10.10.0/24networking 远程Windows计算机从10.10.10.200-10.10.10.254发布IP地址 分离隧道被启用,使得只有10.10.10.0/24stream量被隧道化(该站点的最高可用上游带宽仅为2Mbps) 对于有时通过VPN连接的Windows笔记本电脑,他们的DNS应该如何configuration? 如果移动Windows笔记本电脑只接受随机的公共DNS服务器地址,则当隧道处于非活动状态时,它将向随机公用DNS服务器发送_ldap._tcp.site._sites.ad.example.com DNS查询。 这是标准的做法吗? 不知何故,这似乎是一个坏主意。 另一方面,如果Windows笔记本电脑configuration了只有内部DNS服务器10.10.10.3和10.10.10.4(如此处严格推荐 ),那么VPN客户端无法parsingvpn.example.com以build立VPN连接 – 这是一个鸡与鸡的问题。 在通过VPN连接的Windows笔记本电脑上,DNS应该有什么更奇怪的事情发生吗? VPN客户端对Windows DNS查询有多less控制? 应该启用DNS分割隧道? 启用DNS拆分隧道似乎意味着我们依靠VPN客户端拦截DNS查询,如_ldap._tcp.site._sites.ad.example.com以防止它们被发送到公共DNS服务器。 VPN客户端中的DNS拆分隧道是严格可靠的吗? 对于这一点,似乎有些应用程序可能完全忽略了VPN适配器,并尝试使用物理适配器上的公共DNS服务器来parsingWindows域地址。 这是我应该关心的吗? 另一种select – 通过隧道发送所有的DNS查findAD集成的DNS服务器 – 这似乎是一个坏主意,原因有两个:1)当用户是通道时,通道可能比公共DNS服务器高得多来自ASA的许多跳跃。 2)似乎名称将parsing为与ASA附近的服务器对应的IP地址,而不是远程计算机。 如果我正确理解这一点,那就意味着在CDN上访问媒体时遇到问题。 (编辑: 这是一个经历这个问题的人的例子。 )
目前我们正在ASA9上运行冗余IP连接。 我们很乐意configurationip sla以便互联网接入能够承受单一运营商的中断。 我知道ip sla命令,但是当我尝试预先填充所需的NAT规则时,第二个规则的添加会覆盖第一个。 这里是一个例子: object network NYHQ_GUESTWIRELESS_10.110.6.0_24 nat (NYHQ-GUESTWIRELESS,NYHQ-OUTSIDE_FIOS) dynamic interface 当我尝试添加额外的NAT规则时,也许 nat (NYHQ-GUESTWIRELESS,NYHQ-OUTSIDE_COGENT) dynamic interface 新规则覆盖了先前存在的规则,如下所示: object network NYHQ_GUESTWIRELESS_10.110.6.0_24 nat (NYHQ-GUESTWIRELESS,NYHQ-OUTSIDE_COGENT) dynamic interface 有什么方法可以使这两条规则就绪,以便NAT可以与我们的SLA规则合作,以确保无论使用哪个提供商,NAT仍然正常工作?
我正在考虑在思科ASA背后设置一个DMZ,它将包含大量的HTTP前端负载均衡器和SSL卸载服务 – 超过100个IP,主要集中在less量的主机上。 在过去,我将所有主机放在RFC1918专用IP上,并为每个通常在DMZ中公开的服务添加了静态映射(IP-by-IP)。 由于我们已经开始以足够快的速度添加额外的DMZ IP,使得每个IP地址单独设置变得令人讨厌,这已经变得非常烦人。 我想对其进行更改,以便整个DMZ子网设置为允许来自外部的HTTP和HTTPS – > dmz,以便负载平衡器可以根据需要抓取新的IP,而不必每次都更新ASAconfiguration。 我现在想知道的是DMZ是否在RFC1918子网上,在整个子网上使用静态NAT,还是我应该让DMZ直接分配外部IP,而仅仅依靠访问列表和身份NAT / NAT免除。 一些粗糙的ASCII艺术品: 使用直接外部IP地址的示例: Internet —> ASA —> Internal(10.1.0.0/16) | + —–> DMZ(1.2.3.0/24) 使用NATed IP地址的示例: Internet —> ASA —> Internal(10.1.0.0/16) | (1.2.3.0/24)+ —–> DMZ(10.99.0.0/24) 我看到使用NAT地址的优点是可移植性 – 如果我的上游提供者和分配改变了,我不需要重新编号我的内部DMZ。 缺点是复杂性 – 现在我必须在自己的networking内部处理内部和外部IP地址等。根据您的经验,哪种设置效果更好?
我正在尝试在我们的ASA5520上安装L2TP / IPSec,以支持我们的开发人员的一个附带案例。 Windows VPN子系统在使用内置vpn子系统时明显存储login的Kerberos或NTLM cookie,而Cisco VPN客户端和AnyConnect客户端则不这样做。 当我尝试通过Windows 7连接到VPN时,连接失败: %ASA-5-713257: Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: Group 2 %ASA-5-713257: Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: Group 2 %ASA-5-713257: Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: […]