タグ付けされた質問 「cisco-asa」

新しいプロジェクトの一環として、Cisco ASA 5540ファイアウォールで約3000のIPsec接続を終了する必要があります。仕様によると、このプラットフォームがサポートするIPsecピアの最大数は5000であるため、問題はありません。 問題は、3000のリモートサイトすべてが一度にIPsec接続を確立しようとするとどうなるかです。たとえば、アップストリームスイッチが停止した場合です。一度にすべてではないかもしれませんが、タイマーによっては、10秒程度の非常に小さなウィンドウ内にある可能性があります。ASAは、リソースの観点から、すべての着信接続に対応しますか？起こりうる最悪の事態は何ですか？ 脅威検出のしきい値を調整する必要があることを理解しています。ASAは、IPsec接続を終了する以外には何もしません。NATも検査もありません。LAN側のOSPFに参加しますが、すべてのリモートサイトネットワークが要約されます。

10 cisco-asa  vpn  ipsec 

マルチコンテキストモードの既存のASA-5555Xがいくつかあり、トランスペアレントレイヤ2ファイアウォールとしてVLANごとに1つのコンテキストを使用しています。時間が経つにつれ、このソリューションに追加されており、5つのセキュリティコンテキストの元のライセンスを超えようとしています。 L-ASA-SC-10 =を購入しましたが、このアクティベーションキーを適用するためにASAを再起動する必要があるかどうかは不明です。アクティブスタンバイペアを解除する必要があることは知っています。 L-ASA-SC-10 =を実行中のASAに適用するには再起動が必要ですか？問題がある場合は、バージョン9.0（2）を使用しています。

10 cisco  security  vlan  cisco-asa  firewall 

DropboxはストレージにAmazon AWSを使用しているようです。そのため、dropbox.comへのトラフィックをブロックまたは操作することはできません。 AmazonAWSに依存するWebサービスはたくさんあるので、そのドメインをブロックすることはできません。 Dropboxトラフィックの処理方法について何か提案はありますか？ 私はCisco ASAから作業していますが、これはすべてのファイアウォールマネージャに当てはまると思います

10 cisco  qos  security  cisco-asa  firewall 

互いに冗長であると考えられる2つのデータセンターサイトがある場合。ファイアウォール構成をプライマリからバックアップに同期することはできますか？両方のファイアウォールを同時に更新し続けるための最良の方法は何ですか？ もしそうなら、何が必要ですか？ 使用される機器： メインDC 8.2.5を実行する2つのCisco ASA リモートDC 8.6を実行する2つのCisco ASA 2つのDC間のリンクは、両方のDCコアを接続するL2リンクです。ASAは各コアに接続します。

10 cisco-asa  redundancy  failover 

お客様の設定でよく知らないことがありました。「show access-list」のすべてのルールの最後にある「（hitcnt = 324165）」は、ルールの使用法、ヒット数を指していることを知っています。しかし、show access-listのこの出力では、ルールのオブジェクトエンティティと非オブジェクトエンティティに続く数字も表示されています。 例 access-list access-global-in line 5 extended deny ip object-group HA_Networks_All any log informational interval 300 0xf688d263 access-list access-global-in line 5 extended deny ip object-group HA_Networks_All(298) any(65537) log informational interval 300 (hitcnt=324165) 0xa2669c62 access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24 any log informational interval …

9 cisco  cisco-asa  acl 

FTP経由でASAからリモートサーバに番組技術をコピーしようとしています。私の問題は、提供しているパスワードに「@」があり、CLIによって誤って解釈されていることです。'\ @'を入れてみましたが、コマンドはまだ失敗します。 誰もがこれで運がありますか？ これは機能します show tech-support file ftp：// username：password@xxx.xxx.xxx.xxx/ASA-SHOW-TECH これは動作しません show tech-support file ftp：// username：p @ ssword @ xxx.xxx.xxx.xxx / ASA-SHOW-TECH

9 cisco  cisco-asa 

Cisco ASAは、NetFlow Secure Event Logging（NSEL）と呼ばれるバージョンのネットフローをサポートしています。フローを表示するためにコレクターでプロトコルの特別なサポートが必要ですか？プロトコルは従来のnetflowコレクターと互換性がありますか？私の実装では、成功したフローのみをコレクターに送信することを計画しています。

9 cisco  cisco-asa  netflow 

私は現在ラボで作業しており、ASAルーティングに問題があります。 現在のネットワークトポロジは次のとおりです。 現在、ASAまたはルーターのコンソールにログインすれば、問題なくインターネットに接続できます。2番目にレイヤ3スイッチにログインすると、ASAの内部インターフェイスにのみpingを実行できます。これにより、ASAからのリターンルーティングに問題があると思います。 レイヤー3スイッチに（実際の）インタールーティングを実行させたい。 これにより、いくつかの質問が表示されます。 ベストプラクティス-ルーターまたはASAにNAT（オーバーロード）を処理させる必要がありますか？ レイヤー2スイッチの1つに接続されたPCから172.16.2.2インターフェースにpingを送信できますが、172.16.2.1には送信できません（インタールーティングが機能していることを証明します-PCに172.20.100.8アドレスがあります）。PCから172.16.2.1にpingできないのに、レイヤ3スイッチからpingできないのはなぜですか？ DHCPサーバー（Windows）からIPアドレスを取得できません。理由についての洞察はありますか？ そして何よりも、なぜレイヤー3スイッチからインターネットにアクセスできないのですか？ 以下は、構成の連結ダンプです。 レイヤー3スイッチ： バージョン15.1 サービスパッドなし サービスタイムスタンプデバッグ日時ミリ秒 サービスタイムスタンプログ日時ミリ秒 サービスのパスワード暗号化なし サービスの圧縮構成 サポートされていないトランシーバのサービス ！ ！ ！ AAA新モデルなし ！ ip vrf mgmtVrf ！ ！ ！ vtpモード透過 ！ ！ ！ ！ ！ ！ スパニングツリーモードのpvst スパニングツリー拡張システムID ！ vlan内部割り当てポリシー昇順 ！ VLAN 3、12、100 ！ ！ ！ ！ ！ ！ ！ …

9 cisco  switch  cisco-asa  firewall  layer3 

ピアを設定するときに（通常はIPを使用します）暗号マップでFQDNを使用できますか。また、サーバーグループでLDAPサーバーまたはその他のAAAサーバーを定義するときにFQDNを使用できますか？どちらの場合も、FQDNは外部DNSサーバー（FQDNオブジェクト）への呼び出しによって解決する必要があります。 答えが「はい」の場合、その方法の簡単な例を提供してください。ACLでFQDNを使用し、外部DNSを設定し、ASAがそれらを適切に解決していることを確認する方法をすでに知っています。

8 cisco  cisco-asa  firewall  aaa 

クライアントを私の会社に接続するためのASA5510があります。反対側のさまざまなベンダー（Cisco、Sonicwall、Zyxel、Checkpointなど）でサイト間IPSec VPNを使用しています。 すべてのリモートLANについて、ネットワーククライアントを単一のIPアドレスに変換します。例えば： Client1 192.168.1.0/24ダイナミックPAT（非表示）abc1 / 24 Client2 172.16.0.0/16ダイナミックPAT（非表示）abc2 / 24 Client3 172.17.4.0/26ダイナミックPAT（非表示）abc3 / 24 現在の構成ではすべてが正常に機能していますが、Client1と同じIPアドレスを持つ新しいクライアント（ClientN）ができました。「ClientN 192.168.1.0/24 Dynamic PAT（hide）abcn / 24」を試してみましたが、実行すると、Client1が接続を失い、ClientNのネットワークを削除する必要がありました... 同じリモートIPアドレスにVPNの使用を許可するアイデアはありますか？ ASDMを使用してASAをセットアップします。

8 cisco-asa  vpn  nat  ipsec 

8.4（2）がロードされていた古いASA5550を棚から取り出しました。起動しようとすると、次のエラーが発生しました... ----------------------------------------------- Traceback output aborted. Flushing first exception frame: Abort: Assert failure vector 0x00000000 edi 0x00000002 esi 0x0973a2dc ebp 0x09fceef8 esp 0x09fceeec ebx 0x00000187 edx 0x09fcef30 ecx 0x00000006 eax 0x00000000 error code n/a eip 0xdd6a62a1 cs 0x00000073 eflags 0x00003246 CR2 0x00000000 Nested traceback attempted via signal, from: Abort: Assert failure …

8 cisco  cisco-asa  firewall  troubleshooting 

以下のためにリモートアクセス（RA）とのLAN-to-LAN（L2L）VPN、私は現在のCisco VPNのペアを操作するインターネットエッジの外側にルータとは何かにPIX 535sの内部ペアに結び付けられ内部に縛ら3005のコンセントレータ実際の内部ネットワークへの通過が許可される前のファイアウォール外部インターフェース。VPN 3005とPIX 535はどちらもASA-5545Xプラットフォームに置き換えられています。これらのファイアウォールは、主要なインターネットトラフィック用ではなく、VPN専用です。また、プライベートラインを介してデータセンターに入るトラフィックの内部ファイアウォールとしても機能します。 VPNファイアウォール（5545）の内部インターフェースが別のサブネットにある場合、セキュリティ境界のために、VPNトラフィックと潜在的に他のプライベートライントラフィックを処理する単一のファイアウォールに内部ファイアウォールACLを組み合わせて、ルーティングの問題を回避します。メインのインターネットファイアウォールから、またはそれは本当に重要ではないのですか？ OSPFは現在、インターネットファイアウォール（w / default-originate）およびVPN 3005で実行されています。このデータセンターはWebトラフィックの主要なDCであるので（パンとバター）、配置の潜在的な問題を排除する必要があります。少しでもこれに干渉する可能性のあるVPNファイアウォール。 ** 5545の内部インターフェイスが最初にL2エッジスイッチに到達し、次にAGGスイッチにトランク接続してセキュリティを向上させるか、内部回線を直接Aggレイヤにドロップする必要があります。また、プライベートライントラフィックがさらに別のインターフェイスを通過する可能性があることも考慮してください。 5545の将来。 問題となっているASA-5545X *について、L3接続の関連部分のみを以下に示します。 インターネット | エッジRTR +エッジRTR | 5545 *（VPN /内部fw）+ 5540（DCのトラフィックの送受信用のインターネットfw） | Agg-1 + Agg-2 | 等 L2スイッチのペアは、Aggスイッチに到達する前にすべてのエッジデバイスを接続します。 ファイアウォールの外側のパブリックIPスペース、内側はプライベート。 （各ファイアウォールは、示されていない個別のフェイルオーバーペアの一部です。5545および5540 相互作用はありません。） ベストプラクティスと見なすことができる回答またはコメントを探すこと、またはあなたが見つけたものは、典型的なエンタープライズネットワークで最もうまく機能します。

8 cisco  security  cisco-asa  vpn  switching 

4つのセキュリティコンテキストで9.0（1）を実行しているASAがあります。コンテキストを変更するときの標準的な手順は、そのコンテキスト内で「write mem」を実行することです。ただし、場合によっては、同じ変更ウィンドウですべてのコンテキストを変更する必要があります。システムコンテキストから "write mem"を実行して、すべてのコンテキスト構成を一度に保存できますか？

8 cisco  cisco-asa  firewall 

「nameif」インターフェイス属性を変更または名前変更するときに、Cisco ASAで悪い経験をしました。 ASA構成で使用されている名前を変更するか、単に既存の名前を削除するだけで構成に影響があるかどうかを知りたいです。

8 cisco  cisco-asa  firewall 

9.1.2を備えたASA5525-Xを持っています。その上にいくつかのインターフェースがありますが、主に私は見ています： （偽のサブネット） 10.0.0.0/24内、セキュリティレベル100 10.0.200.0/24外、セキュリティレベル0 DMZ 10.0.100.0/24、セキュリティレベル50 DMZにDNSサーバー10.0.100.1があり、内部から問題なくアクセスできます。ただし、インターネット上のユーザーには10.0.200.95（この例では実際のIPではありません）として表示されます。私はこれが機能するために必要だと思ったものを持っていますが、それをテストすると、パケットはデフォルトのACLによってドロップされています。 関連する構成要素： interface GigabitEthernet0/0 nameif outside security-level 0 ip address 10.0.200.194 255.255.255.192 interface GigabitEthernet0/6 nameif DMZ security-level 50 ip address 10.0.100.254 255.255.255.0 interface GigabitEthernet0/7 nameif inside security-level 100 ip address 10.0.0.254 255.255.255.0 object network DMZ-DNS-Server-1 host 10.0.100.1 nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination …

8 cisco  cisco-asa  nat