我们有一个网站到现场IPSEC VPN,两个端点都是Cisco PIX 515e的。 两端的链接都是100MB,但VPN上的速度(使用jperflogging)最多为4MB。 显然这代表了我们应该得到的速度的巨大鸿沟。 我很欣赏将有VPN的开销,但肯定不是那么多。 看着它,两个PIX的所有接口都将其MTU设置为1500.运行一些testing来检查pathMTU显示如下: 通过VPN隧道 SITEA – > SITEB = Path MTU 1300 SITEB – > SITEA =pathMTU 1434 不使用VPN隧道 SITEA – > SITEB = Path MTU 1500 SITEB – > SITEA = Path MTU 1500 所以; 在创build隧道之前,pathMTUbuild议1500的接口MTU是可以的。 然而,在VPN上运行相同的testing返回较低的build议MTU,并在那个不同的testing。 我们应该把我们的PIX上的MTU放到build议的1300/1434值中的一个还是一个红鲱鱼? 和; 如果我们将MTU降到这些值,我们是否也需要相应地更改MSS(两个设备上的当前默认值)。 任何指导,将不胜感激,因为这不是一个链接,我们可以尝试101件事情没有正当理由,由于业务性质和链接。 提前谢谢了。
考虑在我们的networking集群前为我们的互联网边缘思科ASA(5500-X)防火墙。 目前,我们使用iptables的Linux机器。 日志分析系统检测对WordPress博客的暴力攻击,论坛垃圾邮件,黑客攻击等等。 非法活动将导致有问题的IP地址短暂的阻塞。 然而,被阻止的IP列表大约有30,000个IPv4地址。 我们可以使用API或类似的方法将这些加载到Cisco 5500-X中,并且可以处理多less个IP地址/规则? 我们目前使用ipset(一个哈希表)来处理大量的IP块。 谢谢!
为了防止IP源地址欺骗(RFC 2827),我在思科ASA 5505上启用了反向path过滤(RPF)。 拓扑结构是aprox。 喜欢这个。 每个网段都有自己的IPv4子网和IPv6子网。 宾客 vlan 40 | | vlan 2 | vlan 10 外面——— ASA ——–里面 | | vlan 30 | DMZ 我已经启用了这样的RPF: ip verify reverse-path interface outside ip verify reverse-path interface inside ip verify reverse-path interface guests ip verify reverse-path interface dmz 在外部界面上,我看到有些东西被RPF阻止,如: Feb 20 2014 11:25:06: %ASA-1-106021: Deny ICMP reverse […]
我打算通过无线PTP网桥将现有的Cisco 3750交换机连接到3560C交换机。 该网桥将受到WPA2保护,但是我正在寻求交换机之间的安全措施,以防止通过任一交换机进行其他无线访问。 他们不支持IPSec,只有802.1Q隧道,购买额外的硬件不太可能。 我正在考虑在交换机之间使用TrustSec手动模式 。 经过一番努力读入TrustSec和MACsec之后,我确定这是一个很好的select,因为它是一个共享的媒介。 两个问题: 我能否可靠地防止其他无线stream量使用TrustSec访问交换机? 有没有人知道3000系列交换机有更好的select?
我所要做的就是将运行configuration从Cisco Catalyst 2560 PoE 24复制到Catalyst 3560 PoE 48.这是原始交换机的f0 / 1: interface FastEthernet0/1 switchport access vlan 40 switchport mode access switchport voice vlan 98 srr-queue bandwidth share 10 10 60 20 priority-queue out mls qos trust cos auto qos trust <———————- no cdp enable spanning-tree portfast 在之前的2560年,它被设置为“自动qos voip trust”(箭头); 当我将运行configuration导入到3560时,出现以下错误: AutoQoS错误:已configurationAutoQoS 我关掉了全局自动debuggingqos和no mls qos的 autoqos,删除了自动qos信任,然后是一个自动qos voip信任 […]
我试图build立一个局域网到局域网的IPsec隧道,在一个端点,我有一个旧的CISCO 871W运行IOS 12.3(8)YI2。 命令“tunnel mode ipsec ipv4”不起作用: router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#interface tunnel 1 router(config-if)#tunnel mode ipsec ipv4 ^ % Invalid input detected at '^' marker. router(config-if)#tunnel mode ? aurp AURP TunnelTalk AppleTalk encapsulation cayman Cayman TunnelTalk AppleTalk encapsulation dvmrp DVMRP multicast tunnel eon EON compatible CLNS tunnel […]
我试图与另一方合作,在我们和他们之间build立一个站点到站点的IPsec VPN。 我们在NAT后面,所以需要他们的思科(IOS 9.1.7上的ASA 5510)匹配我们的IKE ID(Cisco说法中的key-id)。 问题是对方说他们只能在全球范围内启用key-id,而不是在隧道级别,所以他们不能这样做,因为会影响到其他的VPN。 这是正确的,键ID匹配是一个全或无的事情? 如果启用,它用于所有隧道,而不仅仅是那些需要它? 我发现的唯一的文献是思科本身 ,似乎意味着一个全球性的范围,但我不是思科configuration的专家,因此这个问题。 要更改对端标识方法,请input以下命令: encryptionisakmp标识{地址| 主机名| key-id id-string | 汽车} 有没有其他的办法可以正确匹配我们NAT的IPsec隧道? 我们仅限于使用PSK的IPsec和IKEv1。 不幸的是,证书不是一个选项。
我有一台客户机购买了两台SonicWall NSA 5600,他们希望将来自不同供应商的2个WAN连接运行到两个sonicwalls中,并将其连接到两台Cisco交换机上,以实现完全冗余和故障转移。 我感到困惑的是这种设置需要什么。 如果我理解正确,每个路由器的一个端口将连接到每个防火墙。 两台交换机都有4个VLAN,一个用于WAN,一个用于服务器,一个用于电话,另一个用于客户端工作站。 我认为生成树需要在交换机级别或交换机间链路上启用冗余? 哪些VLAN需要加标签,哪些VLAN应该包含HA心跳线? 如何做到这一点,我正在苦苦思索。 任何援助将不胜感激。 谢谢! -Sylus
我们使用无线连接运行Cisco VPN 3000客户端(3030)的Windows XP SP2客户端。 当closuresVPN时,客户端从DHCP获得它们的DNS服务器(它们绝对不是静态configuration的)。 在某些情况下,即使VPN集中器发出不同的DNS服务器地址,客户端也会继续试图与DNS服务器通话。 有没有人看过这个? 谢谢
我在一家公司工作了两个网站。 两个站点通过一个vpn连接与两个cisco 850盒子连接在一起。 我们经常面对的问题(通常在早晨,一夜不活动之后),是build立联系是非常痛苦的,因为我们必须在成功之前重试十次。 我在两台计算机上都安装了Wireshark,而且我观察到: 在客户端: -> SYN -> <- SYN/ACK <- -> ACK -> <- RST <- 在服务器上: <- SYN <- -> SYN/ACK -> <- ACK <- <- RST <- 都收到一个RST(我猜从VPN)! 我不知道会导致这个问题的是什么? 任何人都面临类似的问题? 任何线索如何解决这个问题? 我认为这个问题可能与一些超时configuration有关(因为它只发生在早上) 更新: 感谢所有您的答案,我已经将您的build议转发给我的networkingpipe理员,但我还在等待他的回答。 只要我收到回复,我会在这个主题上发帖。 因为我已经付出了恩惠,即使我的问题没有解决,赏金也会自动归属。