タグ付けされた質問 「cisco-asa」

最近、国際的なMPLSを新しいASA 5510とサイト間VPNに置き換えました。ただし、これを展開すると、各リモートロケーションに冗長性のために2つのISPがあるという問題が発生しましたが、両方のインターフェイスでVPNを有効にすると、2つの間でフラップし、トンネルが引き裂かれて移動するときにトンネルが上下しますISP。シスコは現在8か月間これに取り組んでおり、複数のISPとの安定したトンネルはまだありません。 リモートオフィス： access-list RWS_TUNNEL remark Interesting traffic for IND-RWS tunnel access-list RWS_TUNNEL extended permit ip object-group BNG_tunnel_NETS object-group CORP_tunnel_NETS crypto map RWS_TUNNEL 1 match address RWS_TUNNEL crypto map RWS_TUNNEL 1 set peer 216.xxx.102.2 crypto map RWS_TUNNEL 1 set transform-set IND-RWS tunnel-group 216.xxx.102.2 type ipsec-l2l tunnel-group 216.xxx.102.2 ipsec-attributes pre-shared-key ***** …

21 cisco  cisco-asa  vpn  failover  redundancy 

レイヤ2トランスペアレントモードでCisco ASA 5585を使用します。構成は、ビジネスパートナーdmzと内部ネットワークの間の2つの10GEリンクのみです。シンプルなマップは次のようになります。 10.4.2.9/30 10.4.2.10/30 core01-----------ASA1----------dmzsw ASAには8.2（4）およびSSP20があります。スイッチは、12.2を備えた6500 Sup2Tです。スイッチまたはASAインターフェイスでのパケットドロップはありません!! スイッチ間の最大トラフィックは約1.8Gbpsで、ASAのCPU負荷は非常に低くなっています。 奇妙な問題があります。nms管理者は、6月に開始された非常に悪いパケット損失を見ています。パケット損失は非常に急速に増加していますが、その理由はわかりません。ファイアウォールを通過するトラフィックは一定のままですが、パケット損失は急速に増加しています。これらは、ファイアウォールを介して発生するnagios pingの失敗です。Nagiosは、すべてのサーバーに10のpingを送信します。一部の障害ではすべてのpingが失われますが、すべての障害で10個のpingがすべて失われるわけではありません。 奇妙なことは、nagiosサーバーからmtrを使用する場合、パケット損失はそれほど悪くないということです。 My traceroute [v0.75] nagios (0.0.0.0) Fri Jul 19 03:43:38 2013 Keys: Help Display mode Restart statistics Order of fields quit Packets Pings Host Loss% Snt Drop Last Best Avg Wrst StDev 1. 10.4.61.1 0.0% 1246 0 0.4 0.3 …

19 cisco  switch  cisco-asa  firewall  packet-loss 

デバイスの配置は次のとおりです。 BGP Peers + | | +------+-------+ | | | Juniper MX5 | | | +------+-------+ |.254 OSPF | 10.0.1.0/24 |.1 +------+-------+ | | | Cisco ASA | ASA NAT | | 10.0.0.1 <> 134.0.15.1 +------+-------+ |.254 |10.0.0.0/24 |.1 +------+-------+ | | | HOST1 | | | +--------------+ ASAが静的にルーティングされていないアドレス空間にNATを実行している場合、最上位のルーター（Juniper MX5）が到達する方法を知るために、OSPFゾーンにアナウンスされたNATアドレスをどのように取得しますか？ …

19 ospf  cisco-asa 

それぞれASA 5520および5540を使用したサイト間VPNでは、時々トラフィックが通過しなくなり、特定のトラフィック選択/ ACLだけでトラフィックが失われることもありますが、他のトラフィックは同じVPNが実行されています。一定のpingが実行されていても発生します。その理由は、完全に安定していない衛星リンク上で実行されている可能性があります。 ASAの1つをリロードする代わりに、VPNを動作状態にリセットするにはどうすればよいですか？

15 cisco  cisco-asa  vpn  cisco-commands 

オンラインで参照されたビットトレントトラフィックをブロックする方法に関する古い外部のシスコの記事を参照しました。 私が見つけたこの手順は、時間の50％しか機能しません。 私は特定のポートをブロックするトレントをブロックし、正規表現を実行すると動作しますが、すべてのトラフィックをキャッチしません。 object-group service bit-torrent-services tcp-udp port-object eq 6969 port-object range 6881 6999 そして regex bit-torrent-tracker ".*[Ii][Nn][Ff][Oo]_[Hh][Aa][Ss][Hh]=.*" 誰かがビットトレントトラフィックを見つけるための最新の正規表現を持っていますか？または、これは現時点でASAの制限ですか？

13 cisco  cisco-asa 

ロードおよび操作のロード（AnyConnect、NAT、ACL、RADIUSなど）を実行しているASA 5550があります。CPUとメモリの点では特に過負荷ではありませんが、3.5年以上の稼働時間があります。 最近、NAT免除ルールとともに別のIPSECトンネル（cryptomap経由）を展開しようとしましたが、ASAは非常に奇妙な動作を示しています。ACEを追加すると、説明フィールドのどこからでも大量のテキストがポップアップすることがあります。何をしても、オンボックスのPacketTracerツールを使用したテストでは、期待どおりの結果が得られません（たとえば、特別に構成されているにもかかわらず、ACLの下部でパケットがAny / Anyルールにヒットする上記のACLの上部にあるACE）。 とにかく、質問はこれです：誰かがASAを再起動することによって実際に何かを解決したことがありますか？これは私のお気に入りのオプションではありませんが、非常に奇妙な動作のため、トラブルシューティングは実を結ばなくなっています。

13 cisco-asa 

多くの場所では、プロバイダールーター以外に、それぞれ1つのCisco ASA 5505と1つ以上のWiFi APのみがあります。サーバーやPCはありません。たまに訪れる訪問者向けのWiFiサービスだけです。プロバイダーが契約帯域幅を提供しているかどうかをリモートで確認したい。ASAモニタリングで使用済みの帯域幅を確認し、側のIperfを使用してトラフィックをASAに送信することで一方向をテストできました。 ASAが大量のトラフィックを生成できるようにする方法はありますか？

13 cisco-asa 

からの次の出力を検討してくださいshow interface。 Interface GigabitEthernet0/1 "inside", is up, line protocol is up Hardware is i82546GB rev03, BW 1000 Mbps, DLY 10 usec Full-Duplex(Full-duplex), 1000 Mbps(1000 Mbps) Input flow control is unsupported, output flow control is off MAC address 5057.aaaa.25d7, MTU 1500 IP address 10.0.0.7, subnet mask 255.255.255.0 2708954646 packets input, 1614638330819 …

12 cisco-asa 

多くのデータがトンネルを介してプッシュされているときに特定のサブネットからトラフィックをドロップしているように見えるサイト間VPNがあります。clear ipsec saもう一度走らせるには走らなければなりません。 実行中に次のことに気付きますshow crypto ipsec sa。SAタイミングの残りのキーの有効期間は、kBで0に達します。これが発生すると、トンネルはトラフィックを通過させません。キーを再生成しない理由がわかりません。 inbound esp sas: spi: 0x51BB8CAE (1371245742) transform: esp-3des esp-sha-hmac no compression in use settings ={L2L, Tunnel, } slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map sa timing: remaining key lifetime (kB/sec): (3796789/14690) IV size: 8 bytes replay detection support: Y Anti replay bitmap: 0xFFFFFFFF 0xFFFFFFFF …

12 vpn  cisco-asa 

Cisco ASA（この場合は5505）がPPPoE接続を介してIPv6を使用できるかどうかについて、多くの矛盾する情報があります。 シスコの公式ドキュメントが見た目を簡単にしているように見えますが、機能しないことを示す多くのフォーラム投稿があります。 ISPは、リンク自体に動的IPv6アドレスを割り当て、/56プレフィックス委任用の静的アドレスを提供するため、PPPoEリンクに自動構成されたアドレスを使用する必要があります。 これは可能ですか？ プロバイダーはInternodeです。また、800シリーズルータで有効にするためのこのガイドを提供します。sh verASA の始まりは次のとおりです。 Cisco Adaptive Security Appliance Software Version 9.1(1) Device Manager Version 7.1(2)102 Hardware: ASA5505, 512 MB RAM, CPU Geode 500 MHz, Internal ATA Compact Flash, 128MB BIOS Flash M50FW016 @ 0xfff00000, 2048KB Encryption hardware device : Cisco ASA-5505 on-board accelerator (revision 0x0) Boot …

12 ipv6  cisco-asa 

ASA構成を8.3以降に移行するベストプラクティスは何ですか？ 次の変更を加えた新しい構成ファイルを手動で作成しました。 新しいネットワークオブジェクト 新しいNATステートメント ネットワークオブジェクトを参照する新しいアクセスリスト 私の次のステップは、8.2から8.3にアップグレードしてエラーを記録することです。構成をクリーンアップする代わりに、行ごとに再実行する方が簡単ですか？

12 cisco-asa 

私はASA 8.0でIPsec VPNを行っていましたが、それについて少し理解しています。イニシエーターはISAKMPポリシーをレスポンダに送信することから始め、レスポンダは一致したポリシーを返信します。その後、Diffie-Hellman鍵が交換され、両方が事前共有鍵を相手に送信して認証を行います。 これで2つのキーができました。 1つはAES暗号化によって生成されます 1つはDiffie-Hellmanグループによって生成されます 事前共有キーの暗号化にはどのキーが使用されますか？

11 cisco  cisco-asa  vpn  ipsec 

Cisco ASA 9.0（3）でDNS変換付きの二重自動NATをセットアップしようとしていますが、DNSの部分でいくつかの課題があります。二重NATが正しく機能しているため、同じIPアドレスを持つサーバーが本番環境とラボにあります。b2masd1、nameif INSIDE（製品）およびmasd1、nameif DMZ（ラボ）を参照してください。 DMZ 10.195.18.182から1.195.18.182にpingすると、両方向で正しく変換が行われているのがわかります... D:10.195.18.182 S:192.168.11.101 D:1.195.18.182 S:10.195.18.182 <----------- <----------- 1) echo-request to 1.195.18.182 nat (INSIDE,DMZ) static 1.195.18.182 dns S:10.195.18.182 D:192.168.11.101 S:1.195.18.182 D:10.195.18.182 ------------> ------------> 2) echo-reply to 192.168.11.101 nat (DMZ,INSIDE) static 192.168.11.101 dns b2masd1 +-----------+ masd1 10.195.18.182 INSIDE | | DMZ 10.195.18.182 Mfg Server -------------| Cisco …

11 cisco  cisco-asa  firewall  nat  dns 

リストにNATを嫌う別の理由を追加します。企業ネットワークで2つのインターネット下りポイントを取り上げます。エッジデバイスはASA 5525-Xファイアウォールになります。従来は、これらをある種のクラスターに配置していましたが、これにはL2接続が必要です。これらのデバイスはネットワークの別の部分にあるため、L2接続は簡単なオプションではありません。 私が現在実行しているソリューションは、それらを独立したファイアウォールとして起動し、それぞれからデフォルトルートをアドバタイズすることです。すべてのECMP は、各フローに対して同じハッシュを持ち、それを「正しい」出力ファイアウォールに向けてプッシュする必要があります。 私の質問はこれです： L2リンクを必要とせずに2つのASAをクラスタ化する方法はありますか？ 「いいえ」が＃1への答えであると仮定して、現在のソリューションに2番目、3番目、100組の目が必要です。

11 cisco-asa  ecmp 

更新 ようやく9.1.4にアップグレードされました。すべての設定を行い、VPNを再度有効にしましたが、それでも同じ問題が発生していました。そこで、すべてのVPN構成情報をクリアして、ゼロから始めました。以下は私の現在の設定です。内部ネットワーク上のリソースに接続してアクセスできます。ただし、VPN経由でインターネットにアクセスすることはできません。 xlate per-session deny tcp any4 any4 xlate per-session deny tcp any4 any6 xlate per-session deny tcp any6 any4 xlate per-session deny tcp any6 any6 xlate per-session deny udp any4 any4 eq domain xlate per-session deny udp any4 any6 eq domain xlate per-session deny udp any6 any4 eq domain …

10 cisco-asa  vpn