Questions tagged «cisco-asa»

我们的办公室在辩论是否需要在我们的VMWare群集上安装硬件防火墙或设置虚拟防火墙。 我们的环境由3个服务器节点（每个16个核，每个带64 GB RAM）和2个1 GB的交换器，带iSCSI共享存储阵列组成。 假设我们将资源专用于VMWare设备，那么选择虚拟防火墙而不是虚拟防火墙有什么好处？ 如果我们选择使用硬件防火墙，带有ClearOS之类的专用服务器防火墙与Cisco防火墙相比将如何？

16 networking  firewall  vmware-esxi  cisco-asa 

我刚刚在Strongswan（4.5）的站点到站点之间建立了一个VPN隧道。隧道看起来不错，并已连接到另一侧，但是似乎无法通过该隧道路由流量。 任何想法？ 谢谢！ 网络图 +----------------------------------+ |Dedicated server: starfleet | +-----------------+ | | | CISCO ASA | | +-------------------------| internet | | | |eth0: XX.XX.XX.195/29 +-------------------| YY.YYY.YYY.155 | | +-------------------------| +------+----------+ | |virbr1: 192.168.100.1/24 | | | +----+--------------------| | | | | | | | | +-----------------+ | | | |network …

15 linux  vpn  kvm-virtualization  cisco-asa  strongswan 

我们正在尝试配置我们的Cisco 5505，并且已通过ASDM完成。 有一个我们无法解决的大问题，那就是当您从内到外再返回时。 例如，我们有一个“内部”服务器，如果我们在内部或外部，我们希望能够以相同的地址到达该服务器。 问题在于添加了一条规则，该规则将允许流量从内部到外部再返回。

10 domain-name-system  cisco  cisco-asa 

我目前管理6台Cisco ASA设备（2对5510和1对5550）。它们都工作得很好并且很稳定，所以这更多是一个最佳实践的建议问题，而不是“ OMG坏了，请帮我修复它”。 我的网络分为多个VLAN。几乎每个服务角色都有其自己的VLAN，因此DB服务器将具有自己的VLAN，APP服务器和Cassandra节点。 通过仅允许特定的拒绝休息基础来管理流量（因此默认策略是丢弃所有流量）。我通过为每个网络接口创建两个ACL来做到这一点，例如： 访问列表dc2-850-db-in ACL，该访问控制列表以“ in”方向应用于dc2-850-db接口 以“出”方向应用于dc2-850-db接口的访问列表dc2-850-db-out ACL 一切都非常紧凑并且可以按预期工作，但是我想知道这是否是最好的选择？ 目前，我已经拥有30个以上的VLAN，我必须说，在某些情况下管理这些VLAN变得有些混乱。 可能像通用/共享ACL这样的东西在这里可以帮到我可以从其他ACL继承的东西，但是AFAIK没有这样的东西... 任何建议，不胜感激。

9 networking  security  cisco  cisco-asa  best-practices 

我有三个站点，多伦多（1.1.1.1），密西沙加（2.2.2.2）和旧金山（3.3.3.3）。所有三个站点都具有ASA5520。所有站点通过彼此之间的两个站点到站点VPN链接连接在一起。 我的问题是，多伦多和旧金山之间的隧道非常不稳定，每40分钟到60分钟一趟。多伦多和密西沙加之间的隧道（以相同的方式配置）很好，没有掉落。 我还注意到我的ping下降了，但是ASA认为隧道仍在运行。 这是隧道的配置。 多伦多（1.1.1.1） crypto map Outside_map 1 match address Outside_cryptomap crypto map Outside_map 1 set peer 3.3.3.3 crypto map Outside_map 1 set ikev1 transform-set ESP-AES-256-MD5 ESP-AES-256-SHA crypto map Outside_map 1 set ikev2 ipsec-proposal AES256 group-policy GroupPolicy_3.3.3.3 internal group-policy GroupPolicy_3.3.3.3 attributes vpn-idle-timeout none vpn-tunnel-protocol ikev1 ikev2 tunnel-group 3.3.3.3 type …

9 cisco  cisco-asa  cisco-vpn 

我试图在我们的ASA5520上设置L2TP / IPSec，以为我们的开发人员之一提供附带条件。当您使用内置vpn子系统时，Windows VPN子系统显然为登录存储了kerberos或NTLM cookie，而Cisco VPN客户端和AnyConnect客户端则不这样做。 当我尝试通过Windows 7连接到VPN时，连接失败： %ASA-5-713257: Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: Group 2 %ASA-5-713257: Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: Group 2 %ASA-5-713257: Phase 1 failure: Mismatched attribute types for class Group …

9 windows-7  vpn  cisco-asa  ipsec  l2tp 

我正在使用StrongSwan在Amazon EC2实例上的Linux实例和通过其Cisco集中器的远程网络之间建立VPN。我需要将来自Linux实例本身的数据包路由到远程子网中的计算机。 建立连接正常，但没有路由任何数据包。 我认为我需要设置一些特定的路由规则，该怎么做呢？ 软件 Linux内核3.5.0-41， Ubuntu 12.10， strongSwan 5.1.1（从源代码构建）， iptables-没有规则。 网络 本地 亚马逊弹性IP：56.xxx 面向公众的LAN IP：172.xxx 本地虚拟子网：10.254.0.0/16 本地虚拟IP：10.254.5.174 远程 思科集中器的公共IP：62.xxx 远程子网：10.192.0.0/12 组态 ipsec.conf config setup conn %default keyexchange = ikev1 type = tunnel ikelifetime = 86400 keylife = 28800 keyingtries = %forever esp = 3des-sha ike = 3des-md5-modp1024 forceencaps = …

8 routing  cisco-asa  strongswan