Questions tagged «cisco-asa»

最近，我们用新的ASA 5510和站点到站点VPN取代了国际MPLS。但是，当我们部署它时，我们遇到了一个问题，其中每个远程位置都有2个ISP进行冗余，但是当在两个接口上启用VPN时，它会在两个接口之间摆动，并且随着隧道的拆除和在隧道之间的移动，隧道也会上下移动。 ISP。思科已经为此工作了8个月，但我们仍然没有与多个ISP保持稳定的隧道。 远程办公室： access-list RWS_TUNNEL remark Interesting traffic for IND-RWS tunnel access-list RWS_TUNNEL extended permit ip object-group BNG_tunnel_NETS object-group CORP_tunnel_NETS crypto map RWS_TUNNEL 1 match address RWS_TUNNEL crypto map RWS_TUNNEL 1 set peer 216.xxx.102.2 crypto map RWS_TUNNEL 1 set transform-set IND-RWS tunnel-group 216.xxx.102.2 type ipsec-l2l tunnel-group 216.xxx.102.2 ipsec-attributes pre-shared-key …

21 cisco  cisco-asa  vpn  failover  redundancy 

我们在第2层透明模式下使用Cisco ASA 5585。该配置仅是我们的业务合作伙伴dmz与内部网络之间的两个10GE链接。一个简单的地图如下所示。 10.4.2.9/30 10.4.2.10/30 core01-----------ASA1----------dmzsw ASA具有8.2（4）和SSP20。交换机是6500 Sup2T和12.2。在任何交换机或ASA接口上都没有丢包！交换机之间的最大流量约为1.8Gbps，并且ASA上的CPU负载非常低。 我们有一个奇怪的问题。我们的nms管理员发现非常糟糕的数据包丢失始于6月的某个时候。丢包的速度非常快，但是我们不知道为什么。通过防火墙的流量保持不变，但是数据包丢失迅速增长。这些是我们通过防火墙看到的nagios ping故障。Nagios向每个服务器发送10次ping。有些故障会使所有ping失效，而并非所有故障会使所有十个ping失效。 奇怪的是，如果我们使用来自nagios服务器的mtr，则数据包丢失不是很严重。 My traceroute [v0.75] nagios (0.0.0.0) Fri Jul 19 03:43:38 2013 Keys: Help Display mode Restart statistics Order of fields quit Packets Pings Host Loss% Snt Drop Last Best Avg Wrst StDev 1. 10.4.61.1 0.0% 1246 0 0.4 0.3 0.3 …

19 cisco  switch  cisco-asa  firewall  packet-loss 

设备安排如下： BGP Peers + | | +------+-------+ | | | Juniper MX5 | | | +------+-------+ |.254 OSPF | 10.0.1.0/24 |.1 +------+-------+ | | | Cisco ASA | ASA NAT | | 10.0.0.1 <> 134.0.15.1 +------+-------+ |.254 |10.0.0.0/24 |.1 +------+-------+ | | | HOST1 | | | +--------------+ 如果您让ASA执行NAT来寻址非静态路由到其的地址空间，您如何将NAT的地址通告到OSPF区域，以便顶部的路由器（Juniper MX5）知道如何到达它？ …

19 ospf  cisco-asa 

在分别使用ASA 5520和5540的站点到站点VPN上，我注意到不时的流量不再通过，有时仅针对一种特定的流量选择/ ACL甚至缺少流量，而其他流量超过相同的VPN正在运行。即使不断执行ping操作，也会发生这种情况。原因可能是它运行在不稳定的卫星链路上。 如何将VPN重置为工作状态，而不是重新加载ASA之一？

16 cisco  cisco-asa  vpn  cisco-commands 

我已经参考了一篇有关如何阻止Bit torrent流量在线参考的旧的外部Cisco文章，此处 我发现此过程仅在50％的时间内有效。 我发现阻止了特定于torrent的特定端口，并且进行了正则表达式可以正常工作，但它并没有捕获所有流量。 object-group service bit-torrent-services tcp-udp port-object eq 6969 port-object range 6881 6999 和 regex bit-torrent-tracker ".*[Ii][Nn][Ff][Oo]_[Hh][Aa][Ss][Hh]=.*" 有谁拥有更多最新的正则表达式来查找点种子流量？还是这是ASA目前的限制？

13 cisco  cisco-asa 

我有一个正在执行负载和操作负载（AnyConnect，NAT，ACL，RADIUS等）的ASA 5550。在CPU和内存方面，它并没有特别重载，但是正常运行时间超过3.5年。 最近，我一直在尝试部署另一个IPSEC隧道（通过密码映射）以及NAT免除规则，但是ASA表现出非常奇怪的行为。有时，当我添加ACE时，描述字段中的任何地方都会弹出大量文本。不管我做什么，使用现成的PacketTracer工具进行的测试都不会产生预期的结果（例如-尽管有一个专门配置的包，但我看到该包达到了ACL底部的Any / Any规则） ACE在上述ACL的顶部）。 无论如何，问题是这样的：是否有人通过重启ASA实际解决了任何问题？这不是我最喜欢的选项，但是由于出现了非常奇怪的行为，我发现故障排除变得毫无结果。

13 cisco-asa 

在许多地方，除了提供商路由器之外，每个公司只有一个Cisco ASA 5505，一个或多个WiFi AP。无需服务器或PC，仅提供偶尔访问者的WiFi服务。我想远程检查提供商是否提供了我们约定的带宽。我可以在ASA监控中看到已用的带宽，并通过使用Iperf将流量发送到ASA来测试一个方向。 有什么方法可以让ASA产生大量流量？

13 cisco-asa 

考虑以下输出show interface： Interface GigabitEthernet0/1 "inside", is up, line protocol is up Hardware is i82546GB rev03, BW 1000 Mbps, DLY 10 usec Full-Duplex(Full-duplex), 1000 Mbps(1000 Mbps) Input flow control is unsupported, output flow control is off MAC address 5057.aaaa.25d7, MTU 1500 IP address 10.0.0.7, subnet mask 255.255.255.0 2708954646 packets input, 1614638330819 …

12 cisco-asa 

我有一个站点到站点VPN，当通过隧道推送大量数据时，它似乎正在丢弃来自特定子网的流量。我必须设法clear ipsec sa使其恢复原状。 运行时，我注意到以下内容show crypto ipsec sa。SA定时剩余密钥生存期对于kB达到0。发生这种情况时，隧道不会通过流量。我不明白为什么它不更新密钥。 inbound esp sas: spi: 0x51BB8CAE (1371245742) transform: esp-3des esp-sha-hmac no compression in use settings ={L2L, Tunnel, } slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map sa timing: remaining key lifetime (kB/sec): (3796789/14690) IV size: 8 bytes replay detection support: Y Anti replay bitmap: 0xFFFFFFFF 0xFFFFFFFF …

12 vpn  cisco-asa 

我看到有关Cisco ASA（在本例中为5505）是否可以通过PPPoE连接使用IPv6的许多冲突信息。 我看到了Cisco的官方文档，使它看起来很容易，但是我看到很多论坛帖子都说它不起作用。 ISP要求我们为PPPoE链接使用自动配置的地址，因为它们会为链接本身分配动态的IPv6地址，并为我们提供静态/56的前缀委派。 这可能吗？ 我们的提供者是节点间；并且提供了在800系列路由器上启用的本指南。sh ver我们的ASA 的开始是： Cisco Adaptive Security Appliance Software Version 9.1(1) Device Manager Version 7.1(2)102 Hardware: ASA5505, 512 MB RAM, CPU Geode 500 MHz, Internal ATA Compact Flash, 128MB BIOS Flash M50FW016 @ 0xfff00000, 2048KB Encryption hardware device : Cisco ASA-5505 on-board accelerator (revision 0x0) Boot …

12 ipv6  cisco-asa 

将ASA配置迁移到8.3并转发的最佳实践是什么？ 我通过以下更改手动创建了一个新的配置文件： 新的网络对象 新的NAT语句 引用网络对象的新访问列表 我的下一步将是从8.2升级到8.3，同时注意所有错误。与其清理配置，不如逐行重新进行配置，会更容易吗？

12 cisco-asa 

我在ASA 8.0上进行了IPsec VPN，对此我了解一些。发起方首先将其ISAKMP策略发送给响应方，然后响应方发回匹配的策略。此后，Diffie-Hellman密钥进行交换，然后将两者都将预共享的密钥发送给另一个进行身份验证。 现在我们有两个键： 一个将通过AES加密生成 一个将由Diffie-Hellman组生成 哪个密钥用于加密预共享密钥？

11 cisco  cisco-asa  vpn  ipsec 

我正在尝试在Cisco ASA 9.0（3）上设置具有DNS转换功能的双重自动NAT，并且在DNS部分遇到一些挑战。我使双NAT正常工作，因此在生产环境和实验室中有一台具有相同IP地址的服务器。请参见b2masd1，名称为INSIDE（生产）和masd1，名称为DMZ（实验室）。 当您从DMZ 10.195.18.182 ping到1.195.18.182时，我看到双向翻译正确进行... D:10.195.18.182 S:192.168.11.101 D:1.195.18.182 S:10.195.18.182 <----------- <----------- 1) echo-request to 1.195.18.182 nat (INSIDE,DMZ) static 1.195.18.182 dns S:10.195.18.182 D:192.168.11.101 S:1.195.18.182 D:10.195.18.182 ------------> ------------> 2) echo-reply to 192.168.11.101 nat (DMZ,INSIDE) static 192.168.11.101 dns b2masd1 +-----------+ masd1 10.195.18.182 INSIDE | | DMZ 10.195.18.182 Mfg Server -------------| Cisco ASA …

11 cisco  cisco-asa  firewall  nat  dns 

将另一个讨厌NAT的原因添加到列表中。我在公司网络中提出了两个Internet出口点。边缘设备将是ASA 5525-X防火墙。传统上，您会将它们放入某种集群中，但这需要二级连接。由于这些设备将位于我的网络的不同部分中，因此L2连接不是一个容易的选择。 我当前正在运行的解决方案是将它们同时设置为独立的防火墙，并从每个防火墙通告默认路由。任何ECMP 对于每个流都应具有相同的哈希，并将其推向“正确的”出口防火墙。 我的问题是这样的： 有没有一种方法可以在不使用L2链路的情况下对两个ASA进行集群？ 假设“否”是＃1的答案，我希望我的当前解决方案能有第二/三/百双眼睛。

11 cisco-asa  ecmp 

更新资料 最终升级到9.1.4。我完成了所有配置，重新启用了VPN，但仍然遇到同样的问题。因此，我清除了所有VPN配置信息并从头开始。以下是我当前的配置。我能够连接和访问内部网络上的资源。但是，我无法通过VPN访问互联网。 xlate per-session deny tcp any4 any4 xlate per-session deny tcp any4 any6 xlate per-session deny tcp any6 any4 xlate per-session deny tcp any6 any6 xlate per-session deny udp any4 any4 eq domain xlate per-session deny udp any4 any6 eq domain xlate per-session deny udp any6 any4 eq domain …

10 cisco-asa  vpn