由于一些快速的变化,我还需要在新的位置提供vlan(s)。 拓扑如下所示: (main location, vlans:id=6(workstations),id=8(phones)) | my_switch01 \ \ some_not_sec_switches / / my_switch02 | (new location vlans:id=6,8) 我想确保my_switch01(hp4108GL)和my_switch02(3com 3824)之间的连接。 首先,我考虑购买两台ASA5505-BUN-K9设备,但我相信它们对于安全连接两个站点到站点(更像安全的L3连接)更有用。 他们有一个“透明防火墙模式”,但经过一些阅读,我仍然不确定是否有可能。 是否可以使用两个ASA5505-BUN-K9来保护两台交换机之间的连接,我称之为vlan-to-vlan?
我正在build立我的第一个思科防火墙。 首先有一点信息:我有两个asa5510安装在工作的主动/备用对中。 从我的ISP我有两个公共子网。 A / 29和A / 26。 在我的DMZ接口上,我有/ 26configuration。 在我的WAN接口上,我configuration了/ 29个IP。 我的isp通过/ 29主IP路由/ 26。 我正在运行ASA 8.2。 我closures了NAT-Control,因为除了一些内部接口以外,我不想使用nat。 实质上,我不想使用NAT,除非我指定它。 我有一个192.168.100.0/24networking的内部接口。 我试过设置nat limke这个: nat (inside) 1 192.168.100.0 255.255.255.0 global (WAN) 1 interface 我的印象是,这会让从192.168.100.0/24到WAN接口的连接进行端口地址转换。 我没有得到这个工作出于某种原因。 内部接口的安全级别为100,而安全级别为0。
我已经在8.2的ASA 5505上工作了。 它有两个接口,LAN /内部和WAN /外部。 从本地ASA的外部接口到远程F / W的外部接口(本地内部主机.1 / 32和远程内部主机.1 / 32之间)configuration了L2站点到站点IPSec隧道。 我想为单个端口启用端口转发到本地ASA的外部IP以转发到内部主机 如果我在CLI中应用以下configuration,这将允许在不中断IPSec隧道的情况下进行所需的通信? 我是ASA的新手,不想停止所需的端口(UDP 500/4500),以免触及外部接口和IPSec隧道或类似的东西。 access-list outside_access_in extended permit tcp any interface outside eq 555 static (inside,outside) tcp interface 555 192.168.0.2 555 netmask 255.255.255.255 目前没有outside_access_in,所以如果我添加这个,它会执行一个隐式否定任何后,并停止IPSec隧道?
在已configuration为使用SLDAP进行身份validation的ASA上设置dynamic访问策略时,是否可以使用组以外的属性? 说一个用户?
我们有一个坐在ASA 5505后面的Windows工作组。所有客户端都从ASA接收到他们的IP分配。 VPN已build立,我们可以连接到本地局域网,并通过IP连接到这些机器,但不能通过它们的主机名。 在所有机器内部都可以通过主机名连接,我们希望在用户通过VPN连接时也能这样做。 机器刚刚在一个工作组中,这是可能的,从谷歌内部和外部设置的DNS和ASA没有设置域?
我有一个IPSEC VPN问题,其中一个端点生成多个ISAKMP SA。 (在我的示例中,我已经replace了IP – 1.1.1.1是远程端点,10.10.10.10是远程networking上的对象,192.192.192.192是本地networking上的对象)。 >sh crypto isakmp sa 15 IKE Peer: 1.1.1.1 Type : L2L Role : responder Rekey : no State : MM_REKEY_DONE_H2 17 IKE Peer: 1.1.1.1 Type : L2L Role : responder Rekey : yes State : MM_ACTIVE_REKEY 发生这种情况时,任何方向都不能通过隧道发送任何stream量。 原本没有启用PFS,我已经启用和禁用它作为故障排除,没有任何区别。 当出现重复安全联盟(似乎在build立第一个通道后大约一个小时),在terminal监视器中反复进行以下操作: %ASA: Group = 1.1.1.1, IP = 1.1.1.1, IKE Initiator: New […]
我想允许主机从* .xyz.com(在互联网上)下载一些更新。 我应该如何只允许我的内部networking上的这台主机在ASA上访问* .xyz.com,访问可以通过http? 目前我没有任何NAT,我想通过ASDM来实现它。
对于思科来说是新的,我非常需要使用ASDM打开端口的帮助。 我已经尝试过natting,但它只允许1个外部和1个内部规则 恩。 内部静态规则10.xxx外部72.xxx外部静态规则72.xxx外部10.xxx 我可以访问像80,21,23,25等公共端口 我需要的是打开端口 1000-1100 我似乎无法做到这一点。 我也试过访问列表,但现在仍在工作。 我不确定我是否做对了。 如果有人知道这个问题,我将不胜感激,如果你能回答我的问题,说明如何打开端口。 谢谢
我花了很多时间在网上浏览解决scheme,但唉,所以我最后得出结论,这可能是一个有趣的话题发现。 这是任务: 1.我需要build立从MAC OS X(最好内置在IPSec客户端)到远程Cisco ASA 5500的VPN连接。 2.我拥有:两个证书,一个用于VPN连接,一个用于远程桌面login。 他们都存储在eToken上。 问题是在build立连接:在思科官方网站上有一个关于支持VPN客户端的评论,并且在IPSec客户端内置的mac os x似乎是合适的。 而且,对于ASA 5500,它既适用于“l2tp over ipsec”也适用于“Cisco IPSec”模式。 现在,我们尝试build立“Cisco IPSec”(设置>networking>添加连接)。 我有主机地址,帐户名称和密码,我相信这是正确的,因为我在Win7中检查它。 最有趣的是“身份validation设置”:在这里,我应该select一个证书,但是我的钥匙串报告,在我的钥匙串中没有合适的证书。 原因可能是证书的“types”。 我拥有的所有证书都被OS X标识为用户证书,因此不能用来授权机器( 顺便说一下,是不是? )。 好吧,如果我们试着在IPSec上使用l2tp,也会出现同样的问题:我甚至可以从eToken中select一个用户证书 ,但是我还没有机器证书 。 这在Windows中通常是这样的 : 运行Cisco VPN客户端 设置主机地址,而不仅仅是select证书(这是允许select:)) 点击连接,inputeToken的引脚,然后连接 那么如何build立一个连接,如果: 1.即使对于本地IPsec客户端,eToken的证书也是非常明显的。 2.另一端有一个cisco asa 5500。 或者我会很高兴的提示或链接到哪里我可以find关于思科VPNfunction的任何描述… 系统:OS X Lion 10.7.4,eToken SafeNet身份validation客户端8.0。 如果有人知道不同的客户的决定 – 这将是很高兴看到这里。 事先感谢!
是否可以configurationCisco ASA 5510接受来自Windows 7与Win7中的内置VPN客户端软件的连接? 我知道这个问题已经被问到,但是我希望从那以后有什么变化? 我感到困惑的是内置的Windows 7 VPN客户端支持 SSTP PPTP L2TP / IPSec的 并有3个选项..当然,思科ASA必须能够支持其中之一?