我有一个小型办公室networking,目前由十台机器,一台千兆交换机和一台路由器/防火墙组成,configuration相当明显。 我需要添加一个Cisco ASA 5505来支持networking上多台机器的第三方VPN连接。 我的问题是你通常如何设置? 具体来说,你会使用什么networking拓扑结构? 我想我的困惑源于我现在有两台路由器来处理这个事实。 我宁愿只在一个网关接口上提供networking上的机器,以便能够避免在每台机器上pipe理静态路由。
可悲的是,我已经回到了ASA 8.2(5)33,这是我不太熟悉的。 我已经在两个接口之间configuration了NAT,但是stream量没有通过,因为我无法使ACL工作。 (这个不是很大的完整configuration在这里,但是为了保持这个post整洁,我刚贴了下面的重要部分); interface Ethernet0/0 switchport access vlan 108 ! interface Ethernet0/6 switchport access vlan 104 ! interface Ethernet0/7 switchport access vlan 105 ! interface Vlan104 description BUILDING2 nameif BUILDING2 security-level 0 ip address 10.104.0.1 255.255.255.0 ! interface Vlan105 description BUILDING1 nameif BUILDING1 security-level 0 ip address 10.105.0.1 255.255.255.0 ! interface Vlan108 description Main […]
我问了一个类似的问题,但没有得到任何答案,所以我要尝试和重述。 我有4个地点的企业和3个遥控器 当您在公司所在地时,您可以完全访问所有networking。 192.168.3.x 192.168.2.x 192.168.1.x 192.168.0.x 所有地点通过站点到站点vpn连接到公司位置。 如果您在远程位置,则可以访问该位置和公司位置。 公司位置处理所有VPNstream量。 但是,当您将VPN插入公司位置时,无法在公司位置以外看到。 任何人都可以提供一些信息或链接解释如何让VPN用户看到所有的位置? 谢谢 静态路由configuration 网关最后一个网关是207.255.x.1到networking0.0.0.0 C 207.255.x.0 255.255.255.0直接连接在外面 S 10.0.1.6 255.255.255.255 [1/0] via 207.255.x.1,outside S 10.0.1.5 255.255.255.255 [1/0]通过207.255.x.1,外部 S 192.168.0.0 255.255.255.0 [1/0]通过192.168.0.1,里面 C 192.168.1.0 255.255.255.0直接连接在里面 S 192.168.2.0 255.255.255.0 [1/0]通过192.168.2.1,里面 S 192.168.3.0 255.255.255.0 [1/0]通过192.168.3.1,里面 S * 0.0.0.0 0.0.0.0 [1/0]通过207.255.x.1,外部 [1/0] via 192.168.1.1, outside
我无法从Windows 7 64bit访问Cisco asa 5505 。 问题是我可以使用另一台PC( WinXP 32bit )的ASDM连接,并且可以使用我的win7 64bit连接到另一台Cisco ASA5505 。 我猜这是一个java / windows安全问题。 我禁用了我的Win 64 bit firewall ,但没有成功。 我在win7 64bit上安装了许多jdk和jre : C:\Program Files (x86)\Java\jre6\ C:\Program Files (x86)\Java\jdk1.6.0_41\ C:\Program Files\Java\jre6\ C:\Program Files\Java\jdk1.6.0_41 我也尝试将javapath修改为ASDM链接,例如: "C:\Program Files (x86)\Java\jre6\bin\javaw.exe" -Xms64m -Xmx512m -Dsun.swing.enableImprovedDragGesture=true -classpath lzma.jar;jploader.jar;asdm-launcher.jar;retroweaver-rt-2.0.jar com.cisco.launcher.Launcher 要么 "C:\Program Files\Java\jre6\bin\javaw.exe" -Xms64m -Xmx512m -Dsun.swing.enableImprovedDragGesture=true -classpath lzma.jar;jploader.jar;asdm-launcher.jar;retroweaver-rt-2.0.jar com.cisco.launcher.Launcher 这里是ASDM日志: Java […]
我想在MS Azure中设置各种基础架构,然后可以在配备Cisco Meraki MX安全设备的多个位置使用。 不幸的是,MX不支持基于路由的VPN,而Azure在使用基于路由的VPN时仅支持多个站点到站点networking。 我认为AWS和其他云服务提供商可能存在类似的挑战。 我想我可以使用虚拟防火墙(如Cisco ASAv)来解决这个限制,但是我一直没有find任何明确的说明文件或营销材料。 我知道过去我已经用物理ASA完成了集线器/分支VPN,但是我没有使用ASAv的经验。 有没有人有过使用ASAv(或任何其他虚拟防火墙)做云提供商集线器的经验,并且使用不支持IKEv2或基于路由的VPN(如Meraki MX,Cisco ASA等)的防火墙进行分支办公?
这是这个问题的一个特定扩展。 我有两个ASA,进入Procurve交换机,然后进入IPS。 一切都很好,只是procurve绝对拒绝自动与ASA的谈判… asa的运行100full,并procurve自动协商到100half。 它是为两个ASA的,所以它可能不是一个失败,一切正常,如果我强制procurve 100full。 有没有其他人看到这个问题? 我一直在购买更多的惠普硬件,但是我并不热衷于购买那些与思科骨干不兼容的设备。
首先,我只想承认我缺乏build立/维护防火墙和交换服务器等关键硬件的知识。 我是一家小型特许学校的技术协调员,在6个月前就进入了这个职位,当时在过去的4到5年里,还没有任何技术支持。 不用说,我已经在相当长一段时间里对networking的布局和众多问题进行了逆向工程。 我的知识基础确实面向基本的硬件/软件故障排除,而且我的networking基础设施知识有很大的缺陷,但是我真的是唯一一个能够纠正networking问题的人。 昨天,我和我们新的光纤ISP提供商的networking工程师用一个新的ASA5510防火墙取代了老化的PIX515防火墙,并插入了新铺设的光纤连接。 networking工程师对ASA5510中的configuration进行了镜像,使其完全像在PIX515中设置的一样进行端口和IP转发。 在更换之后,互联网完全符合预期带宽的巨大增长(从2 x 1.5mb T-1连接升级到20mb光纤连接) 我们注意到第二天,我们无法收到来自外部域的任何入站电子邮件到我们的交换服务器。 在做了一些疯狂的谷歌研究之后,我想我可以放心地说,我们这里的主要问题是需要改变我们的DNSlogging的公共IP地址,以准确地反映伴随着我们改变ISP的IP地址的变化。 我的问题是多方面的,因为我想我知道问题是什么,但是我不知道要采取哪一步尝试解决问题。 我会无限欣赏任何能够给我一些专业见解的人。 我想重申一个事实,我可能会错过一些相关的信息(比如我们的邮件服务器的公共IP地址),因为我不知道我们networking的具体历史和configuration,也不知道如何去find这些信息。
这是我的三个select: 现在我有一个思科ASA,我用于防火墙,VLAN路由器,网关和ISP故障转移。 ASA没有足够的控制来满足我的需求,而且执行许可证的成本非常高。 所以升级许可证是我最不喜欢的select。 我的思科也只有100Mb接口,所以我的两个VLAN之间的文件传输将非常慢。 我正在考虑让一个戴尔的R210 II处理所有这些任务。 它的dell规格最低的机架服务器。 我只想添加一个4端口的千兆网卡。 我将使用它来设置我的两个VLAN之间的路由,一个防火墙,以及所有使用IPTables的ISP故障转移。 有人build议我把这个服务器包含到我的虚拟服务器中,这个虚拟服务器是一个具有相同物理备份的大型4u服务器,但是将域控制器和应用程序服务器与防火墙放在同一个物理设备上似乎是个坏主意。 DMZ服务器。 我想去第二个选项,因为它将连接服务器从我的其他服务器中分离出来。 这也便宜很多,我将完全控制IPTables。 我们的networking中有大约200个设备,在这样的低端服务器上似乎很容易处理。 我是否错过了一些东西,或者我应该继续与IPTables单独的Linux服务器?
因此,我正在进入一家想从IPCop防火墙转移出来的公司,并用Cisco ASA 5505取而代之。 我决定先用我们的远程设备中的ASA来代替IPCop防火墙,并在以后更换集线器IPCop盒(或许甚至从不)。 我们远程设施中的每个IPCop防火墙都使用证书隧道传输到单个集线器IPCop盒。 为了保持一致,我想使用证书来创build从新的ASA到集线器IPCop框的VPN隧道。 到目前为止我所做的是: 在ASA上生成RSA密钥对 使用手动注册在ASA上添加了hub IPCop box作为信任点 生成信任点的注册请求 将注册请求发送到IPCop框并与其build立连接 在创build连接时导入由IPCop框创build的身份证书 validationASA中IPCop框的根证书 通过VPN向导来创buildNAT免除和隧道组等 无论如何,VPN隧道仍然没有打开。 有一个神奇的“翻转开关”的步骤,我忘了? 我是否全部错了?
是否可以将远程访问VPN设置为对位于同一ASA上站点到站点VPN另一端的RADIUS服务器进行身份validation? 我有一个ASA 5505,是在一个分支机构与一个站点到总部的VPN站点(与一个5510),然后我想在5505上设置远程访问VPN为本站的家庭用户将validation到位于RADIUS服务器在总公司局域网上。 这可能吗? 这将同我在当前现场的只读域控制器上设置另一个RADIUS服务器。 谢谢