我目前正在修改互联网到达我的前端服务器的过程,我对现有的一个堆栈有一个奇怪的问题。 在服务器上面有一个物理防火墙,如果我使用这个防火墙,我开始在整个子网上接收数据包丢失,如果我使用wireshark,我可以看到ARP请求,但是我仍然会丢失数据包。 第二我把这个防火墙拿出来,问题消失了。 如果我绕过防火墙直接到前端服务器,我仍然没有得到任何问题。 所有这一切使我相信我的configuration一定有什么问题,但我看不到我的生活: interface ethernet0 100full interface ethernet1 100full interface ethernet2 auto shutdown nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 intf2 security4 enable password ************ encrypted passwd ************ encrypted hostname sbc-cfw-02 fixup protocol dns maximum-length 512 no fixup protocol ftp 21 no fixup protocol h323 h225 1720 no fixup protocol […]
Deny IP due to Land Attack from IP to IP我一直在不断地出现loginDeny IP due to Land Attack from IP to IP错误。 源IP地址和目标IP地址是相同的。 任何人都可以请指导我可能是什么问题,我该如何解决这个问题?
思科ASA 5505是否function强大,足以取代Cisco PIX 503? PIX在vpn上运行大约10个站点到站点的VPN和40个以上的个人用户。
我按照说明在思科的[netscreen to PIX VPN] http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00801c4445指导下在netscreen设备和Cisco PIX之间configurationVPN 。 shtml文章。 唯一的区别是我正在运行PIX 6.3(5)和Juniper Netscreen 6.1.0r2.0(防火墙+ VPN)。 我精确地遵循了两种configuration,当我尝试连接时,Juniper返回: 2010-02-21 12:54:28 information IKE: Removed Phase 2 SAs after receiving a notification message. 2010-02-21 12:54:28 information IKE pix_public_IP: Received a notification message for DOI 1 14 NO-PROPOSAL-CHOSEN. 2010-02-21 12:54:28 information IKE pix_public_IP Phase 2: Initiated negotiations. 在Netscreen上,我使用DH组#2,3DES-CBC和SHA-1创build了名为ToCorpOffice的阶段2提案,并且在configuration自动密钥IKE时,我select了ToCorpOffice并删除了所有其他转换。 我相信我已经在PIX上configuration了相同的: sysopt connection permit-ipsec […]
我有一个像素515e运行像素6.3瓦/ 64MB RAM,3个以太网接口,只有2使用中。 我使用它作为约100台设备的互联网网关,每天约6 Mbps(兆比特每秒)的入站峰值,约为出站值的10%-20%。 这很好,没有问题。 我们不使用任何VPNfunction。 虽然PIX不知道/关心这个大多数客户端是无线的。 我们有合规/政策问题,所以我们要强制用户在使用互联网之前进行身份validation,并补充详细的日志。 我build议用另一种产品replacePIX; 我的build议(Windows +未命名的门户软件)失败了,所以我们又回到了使用一直工作得很好的PIX。 所以我烧了一些我的预算,但是我需要想出一个解决scheme,最好是使用我的。 我的理解是,PIX实际上可以对用户进行身份validation和审计访问。 我真的不需要详细的URL日志,我真正需要的是准确的date和时间,用户名,MAC地址,本地IP地址,本地端口(翻译+未翻译),远程IP,远程端口和八位字节计数 我相信我有一个处理伐木,所以我的问题是 1)在允许访问互联网之前,这个PIX是否需要authentication? 我的意思是所有的互联网接入(游戏,telnet,…),不只是HTTP。 任何指导,使这项工作? 注意:我无法控制我的用户设备,我可以拒绝他们访问(原因),但我无法在他们的计算机上安装软件。 2)现在任何支持互联网的设备(PC,Mac,iphone,android)都可以访问互联网。 我想确保它们继续工作,那么这些改变是否足以与这些现有设备一起工作呢? 3)如果我继续下去,这个pix会不堪重负(CPU /内存)? 在高峰时段,我看到了每秒800多个数据包。 4)如果这是一个坏主意,请提供build议 注意我不想讨论这个政策。 如果用户想要超出他们同意的政策,我真的不在乎,但他们需要使用/购买自己的3G服务进行这样的活动,并留在(W)局域网。
我们有两个站点,一个大的南方站点和一个小的北方站点,两个Cisco PIX防火墙之间定义了一个VPN。 在此VPN上,Shoretel IP电话stream量以及所有其他networkingstream量。 我们最近将北方的小型办公室换成了Bt Infinity(纤维),所有的系统都运转良好,也就是说,直到上个星期,它们才完美运作。 请注意,那一天没有任何变化。 除了电话系统之外,来自曼彻斯特的VPNstream量都在各个方面都有作用。 Shoretel公司的驯服的电话工程师告诉我们,这是由于电话系统数据包的DF(不碎片)位在其业务上开启,所需有效载荷为1472,而IPSec开销1472不能满足行MTU。 如果我从我们的南部办公室到我们的北部办公室做MTUtesting,我会得到以下结果: C:\>ping <NorthernOfficeServerIP> -f -l 1472 Pinging <NorthernOfficeServerIP> with 1472 bytes of data: Reply from <OutsideInterfaceOfSourthernPixIP>: Packet needs to be fragmented but DF set. Packet needs to be fragmented but DF set. PIX上的VPN设置如下: sysopt connection permit-ipsec crypto ipsec transform-set chevelle esp-des esp-md5-hmac crypto map transam 1 […]
我正在通过无线Verizon FiOS路由器上的几台笔记本电脑扩展我的家庭networking,其中包括: Linksys 24端口交换机 思科Pix 515 Cisco 3640路由器 一个新的开发桌面和三个新的机器作为数据库服务器,Web服务器和备份系统。 我的公司正在移动办公室,我们已经退役了一些旧的硬件,我可以拿起劳工的代价把它从办公室搬回家。 使用专用Web和数据库服务器的好处对我来说非常有价值。 我对networking拓扑结构知之甚less,除了将所有东西插入交换机,然后插入廉价的Verizon路由器。 (Verizon提供了一个同轴电缆连接,路由器必须将其转换成以太网,然后才能将其与任何此设备一起使用)。 问题: 这个设备推荐的拓扑结构是什么? Verizon路由器 – >像素 – > 3600 – >开关? 3600甚至是必要的吗? Verizon路由器有一个WAN端口和4个客户端端口,全部10/100。 假设我不使用Pix,是否有从verizon路由器到交换机的多个连接进行连接的性能优势? 我应该使用Pix吗? 软件防火墙是一个痛苦,如果我有这样的设备躺在附近,似乎很愚蠢。 还有什么我应该知道的? 我在这浪费时间吗? 我还获得了一个7英尺的架子,架子,配线架,UPS,配线架等,这些都将进入一个方便的空调衣柜。 所有的build设性意见表示赞赏
我们刚刚获得了新的互联网光纤服务。 我们的ISP给了我们一个/ 30的WAN和/ 29的LAN? build立新的ISP服务时,我从来没有见过这样的情况。 我总是给一个IP地址块(如果需要)在相同的范围内。 因此,给出的WAN地址网关从ISP分配给路由器。 所以,如果我设置我们的FW使用可用/ 30地址(与他们的设备的网关),我可以上网。 但是,我不知道如何设置他们给我们的/ 29。 我们要求5个IP用于networking服务器/ VPN服务器/其他服务器。 这是否需要我们获得路由器? 我们通常使用我们的FW(CISCO PIX 515)和ISP提供的路由器作为外部路由。 但是,/ 30和/ 29是不同的地址。 现在这是常态吗?
我们使用思科ASA为我们的IPSEC VPN使用EZVPN方法。 我们经常会遇到一些问题,即ISP已经改变了他们的networking,我们的VPN就停止工作了。 ISP十次中有九次否认他们的改变可能阻止了这个工作 – 我怀疑是因为他们不明白究竟是什么原因导致了这个问题。 我不想和他们争吵,而是试着把他们指向一个可能得到更快解决的方向。 在我目前的事件中,我可以ssh到ASA的外部接口,并做一些小动作: sh crypto isakmp sa Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: {Public IP address of London ASA} Type : user Role : initiator Rekey : no State : AM_TM_INIT_XAUTH_V6C […]
我刚开始一些思科培训,我想知道是否有任何可用的免费模拟器。