タグ付けされた質問 「cisco-asa」

PIX、VPN 3000シリーズ、侵入防止システム(IPS)製品ラインの機能を組み合わせたシスコの適応型セキュリティアプライアンス(ASA)

5
Cisco ASAサイト間VPNフェールオーバー
最近、国際的なMPLSを新しいASA 5510とサイト間VPNに置き換えました。ただし、これを展開すると、各リモートロケーションに冗長性のために2つのISPがあるという問題が発生しましたが、両方のインターフェイスでVPNを有効にすると、2つの間でフラップし、トンネルが引き裂かれて移動するときにトンネルが上下しますISP。シスコは現在8か月間これに取り組んでおり、複数のISPとの安定したトンネルはまだありません。 リモートオフィス: access-list RWS_TUNNEL remark Interesting traffic for IND-RWS tunnel access-list RWS_TUNNEL extended permit ip object-group BNG_tunnel_NETS object-group CORP_tunnel_NETS crypto map RWS_TUNNEL 1 match address RWS_TUNNEL crypto map RWS_TUNNEL 1 set peer 216.xxx.102.2 crypto map RWS_TUNNEL 1 set transform-set IND-RWS tunnel-group 216.xxx.102.2 type ipsec-l2l tunnel-group 216.xxx.102.2 ipsec-attributes pre-shared-key ***** …

1
透過ファイアウォールのパケット損失を見つける
レイヤ2トランスペアレントモードでCisco ASA 5585を使用します。構成は、ビジネスパートナーdmzと内部ネットワークの間の2つの10GEリンクのみです。シンプルなマップは次のようになります。 10.4.2.9/30 10.4.2.10/30 core01-----------ASA1----------dmzsw ASAには8.2(4)およびSSP20があります。スイッチは、12.2を備えた6500 Sup2Tです。スイッチまたはASAインターフェイスでのパケットドロップはありません!! スイッチ間の最大トラフィックは約1.8Gbpsで、ASAのCPU負荷は非常に低くなっています。 奇妙な問題があります。nms管理者は、6月に開始された非常に悪いパケット損失を見ています。パケット損失は非常に急速に増加していますが、その理由はわかりません。ファイアウォールを通過するトラフィックは一定のままですが、パケット損失は急速に増加しています。これらは、ファイアウォールを介して発生するnagios pingの失敗です。Nagiosは、すべてのサーバーに10のpingを送信します。一部の障害ではすべてのpingが失われますが、すべての障害で10個のpingがすべて失われるわけではありません。 奇妙なことは、nagiosサーバーからmtrを使用する場合、パケット損失はそれほど悪くないということです。 My traceroute [v0.75] nagios (0.0.0.0) Fri Jul 19 03:43:38 2013 Keys: Help Display mode Restart statistics Order of fields quit Packets Pings Host Loss% Snt Drop Last Best Avg Wrst StDev 1. 10.4.61.1 0.0% 1246 0 0.4 0.3 …

2
どのようにして、ASAがOSPFゾーンにNATされた「外部」アドレスをアナウンスするのですか?
デバイスの配置は次のとおりです。 BGP Peers + | | +------+-------+ | | | Juniper MX5 | | | +------+-------+ |.254 OSPF | 10.0.1.0/24 |.1 +------+-------+ | | | Cisco ASA | ASA NAT | | 10.0.0.1 <> 134.0.15.1 +------+-------+ |.254 |10.0.0.0/24 |.1 +------+-------+ | | | HOST1 | | | +--------------+ ASAが静的にルーティングされていないアドレス空間にNATを実行している場合、最上位のルーター(Juniper MX5)が到達する方法を知るために、OSPFゾーンにアナウンスされたNATアドレスをどのように取得しますか? …
19 ospf  cisco-asa 

5
Cisco ASAでVPNトンネルをリセットするにはどうすればよいですか?
それぞれASA 5520および5540を使用したサイト間VPNでは、時々トラフィックが通過しなくなり、特定のトラフィック選択/ ACLだけでトラフィックが失われることもありますが、他のトラフィックは同じVPNが実行されています。一定のpingが実行されていても発生します。その理由は、完全に安定していない衛星リンク上で実行されている可能性があります。 ASAの1つをリロードする代わりに、VPNを動作状態にリセットするにはどうすればよいですか?

3
Cisco ASAでビットトレントトラフィックをどのようにブロックしますか?
オンラインで参照されたビットトレントトラフィックをブロックする方法に関する古い外部のシスコの記事を参照しました。 私が見つけたこの手順は、時間の50%しか機能しません。 私は特定のポートをブロックするトレントをブロックし、正規表現を実行すると動作しますが、すべてのトラフィックをキャッチしません。 object-group service bit-torrent-services tcp-udp port-object eq 6969 port-object range 6881 6999 そして regex bit-torrent-tracker ".*[Ii][Nn][Ff][Oo]_[Hh][Aa][Ss][Hh]=.*" 誰かがビットトレントトラフィックを見つけるための最新の正規表現を持っていますか?または、これは現時点でASAの制限ですか?
13 cisco  cisco-asa 

5
ASA 5550-価値のあるリブート?
ロードおよび操作のロード(AnyConnect、NAT、ACL、RADIUSなど)を実行しているASA 5550があります。CPUとメモリの点では特に過負荷ではありませんが、3.5年以上の稼働時間があります。 最近、NAT免除ルールとともに別のIPSECトンネル(cryptomap経由)を展開しようとしましたが、ASAは非常に奇妙な動作を示しています。ACEを追加すると、説明フィールドのどこからでも大量のテキストがポップアップすることがあります。何をしても、オンボックスのPacketTracerツールを使用したテストでは、期待どおりの結果が得られません(たとえば、特別に構成されているにもかかわらず、ACLの下部でパケットがAny / Anyルールにヒットする上記のACLの上部にあるACE)。 とにかく、質問はこれです:誰かがASAを再起動することによって実際に何かを解決したことがありますか?これは私のお気に入りのオプションではありませんが、非常に奇妙な動作のため、トラブルシューティングは実を結ばなくなっています。
13 cisco-asa 

7
Cisco ASAでトラフィックを生成するにはどうすればよいですか?
多くの場所では、プロバイダールーター以外に、それぞれ1つのCisco ASA 5505と1つ以上のWiFi APのみがあります。サーバーやPCはありません。たまに訪れる訪問者向けのWiFiサービスだけです。プロバイダーが契約帯域幅を提供しているかどうかをリモートで確認したい。ASAモニタリングで使用済みの帯域幅を確認し、側のIperfを使用してトラフィックをASAに送信することで一方向をテストできました。 ASAが大量のトラフィックを生成できるようにする方法はありますか?
13 cisco-asa 

1
Cisco ASA:show interfaceの「tx hangs」カウンタとは何ですか?
からの次の出力を検討してくださいshow interface。 Interface GigabitEthernet0/1 "inside", is up, line protocol is up Hardware is i82546GB rev03, BW 1000 Mbps, DLY 10 usec Full-Duplex(Full-duplex), 1000 Mbps(1000 Mbps) Input flow control is unsupported, output flow control is off MAC address 5057.aaaa.25d7, MTU 1500 IP address 10.0.0.7, subnet mask 255.255.255.0 2708954646 packets input, 1614638330819 …
12 cisco-asa 

1
サイト間VPNトンネルがトラフィックを通過させない
多くのデータがトンネルを介してプッシュされているときに特定のサブネットからトラフィックをドロップしているように見えるサイト間VPNがあります。clear ipsec saもう一度走らせるには走らなければなりません。 実行中に次のことに気付きますshow crypto ipsec sa。SAタイミングの残りのキーの有効期間は、kBで0に達します。これが発生すると、トンネルはトラフィックを通過させません。キーを再生成しない理由がわかりません。 inbound esp sas: spi: 0x51BB8CAE (1371245742) transform: esp-3des esp-sha-hmac no compression in use settings ={L2L, Tunnel, } slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map sa timing: remaining key lifetime (kB/sec): (3796789/14690) IV size: 8 bytes replay detection support: Y Anti replay bitmap: 0xFFFFFFFF 0xFFFFFFFF …
12 vpn  cisco-asa 

1
PPPoEリンクを介したASA5505およびIPv6
Cisco ASA(この場合は5505)がPPPoE接続を介してIPv6を使用できるかどうかについて、多くの矛盾する情報があります。 シスコの公式ドキュメントが見た目を簡単にしているように見えますが、機能しないことを示す多くのフォーラム投稿があります。 ISPは、リンク自体に動的IPv6アドレスを割り当て、/56プレフィックス委任用の静的アドレスを提供するため、PPPoEリンクに自動構成されたアドレスを使用する必要があります。 これは可能ですか? プロバイダーはInternodeです。また、800シリーズルータで有効にするためのこのガイドを提供します。sh verASA の始まりは次のとおりです。 Cisco Adaptive Security Appliance Software Version 9.1(1) Device Manager Version 7.1(2)102 Hardware: ASA5505, 512 MB RAM, CPU Geode 500 MHz, Internal ATA Compact Flash, 128MB BIOS Flash M50FW016 @ 0xfff00000, 2048KB Encryption hardware device : Cisco ASA-5505 on-board accelerator (revision 0x0) Boot …
12 ipv6  cisco-asa 

3
8.3より前のASA設定の8.3+への移行
ASA構成を8.3以降に移行するベストプラクティスは何ですか? 次の変更を加えた新しい構成ファイルを手動で作成しました。 新しいネットワークオブジェクト 新しいNATステートメント ネットワークオブジェクトを参照する新しいアクセスリスト 私の次のステップは、8.2から8.3にアップグレードしてエラーを記録することです。構成をクリーンアップする代わりに、行ごとに再実行する方が簡単ですか?
12 cisco-asa 

2
IPsec VPNでは、事前共有キーはどのように暗号化されますか?
私はASA 8.0でIPsec VPNを行っていましたが、それについて少し理解しています。イニシエーターはISAKMPポリシーをレスポンダに送信することから始め、レスポンダは一致したポリシーを返信します。その後、Diffie-Hellman鍵が交換され、両方が事前共有鍵を相手に送信して認証を行います。 これで2つのキーができました。 1つはAES暗号化によって生成されます 1つはDiffie-Hellmanグループによって生成されます 事前共有キーの暗号化にはどのキーが使用されますか?
11 cisco  cisco-asa  vpn  ipsec 

2
DNS変換を使用したCisco ASAダブルNAT
Cisco ASA 9.0(3)でDNS変換付きの二重自動NATをセットアップしようとしていますが、DNSの部分でいくつかの課題があります。二重NATが正しく機能しているため、同じIPアドレスを持つサーバーが本番環境とラボにあります。b2masd1、nameif INSIDE(製品)およびmasd1、nameif DMZ(ラボ)を参照してください。 DMZ 10.195.18.182から1.195.18.182にpingすると、両方向で正しく変換が行われているのがわかります... D:10.195.18.182 S:192.168.11.101 D:1.195.18.182 S:10.195.18.182 <----------- <----------- 1) echo-request to 1.195.18.182 nat (INSIDE,DMZ) static 1.195.18.182 dns S:10.195.18.182 D:192.168.11.101 S:1.195.18.182 D:10.195.18.182 ------------> ------------> 2) echo-reply to 192.168.11.101 nat (DMZ,INSIDE) static 192.168.11.101 dns b2masd1 +-----------+ masd1 10.195.18.182 INSIDE | | DMZ 10.195.18.182 Mfg Server -------------| Cisco …
11 cisco  cisco-asa  firewall  nat  dns 

3
レイヤ2のないインターネットゲートウェイとしての2つのCisco ASA 5525-X
リストにNATを嫌う別の理由を追加します。企業ネットワークで2つのインターネット下りポイントを取り上げます。エッジデバイスはASA 5525-Xファイアウォールになります。従来は、これらをある種のクラスターに配置していましたが、これにはL2接続が必要です。これらのデバイスはネットワークの別の部分にあるため、L2接続は簡単なオプションではありません。 私が現在実行しているソリューションは、それらを独立したファイアウォールとして起動し、それぞれからデフォルトルートをアドバタイズすることです。すべてのECMP は、各フローに対して同じハッシュを持ち、それを「正しい」出力ファイアウォールに向けてプッシュする必要があります。 私の質問はこれです: L2リンクを必要とせずに2つのASAをクラスタ化する方法はありますか? 「いいえ」が#1への答えであると仮定して、現在のソリューションに2番目、3番目、100組の目が必要です。
11 cisco-asa  ecmp 

4
ASA 5505リモートアクセスVPN-接続は確立されましたが、インターネット/内部サブネットへのアクセスはありません
更新 ようやく9.1.4にアップグレードされました。すべての設定を行い、VPNを再度有効にしましたが、それでも同じ問題が発生していました。そこで、すべてのVPN構成情報をクリアして、ゼロから始めました。以下は私の現在の設定です。内部ネットワーク上のリソースに接続してアクセスできます。ただし、VPN経由でインターネットにアクセスすることはできません。 xlate per-session deny tcp any4 any4 xlate per-session deny tcp any4 any6 xlate per-session deny tcp any6 any4 xlate per-session deny tcp any6 any6 xlate per-session deny udp any4 any4 eq domain xlate per-session deny udp any4 any6 eq domain xlate per-session deny udp any6 any4 eq domain …
10 cisco-asa  vpn 

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.