タグ付けされた質問 「cisco-asa」

私はこれを確認するためのラボASAを持っていないので、Ciscoのドキュメントを読んでも、確実に％100未満でした。 私が本当に知りたいのは、グループポリシーから属性をプルした場合、DfltGrpPolicyですでに設定されているものに置き換えられますか？ ここに良い例があります： group-policy DfltGrpPolicy attributes dns-server value 1.1.1.1 group-policy BLAH-VPN attributes dns-server value 5.5.5.5 次に、dns-serverステートメントをBLAH-VPNから削除すると、そのグループはDfltGrpPolicyで設定された値を使用しますか？

8 cisco  security  cisco-asa  firewall 

ASAの外部インターフェイスでDMZ内のWebサーバーへのNATを実行します。可能なすべてのインターフェースでproxy-arpを無効にしたいと思います。NATステートメントのために、外部インターフェイスでproxy-arpを有効にする必要があることは知っています。DMZインターフェイスでもプロキシARPを有効にする必要がありますか？

8 cisco-asa  nat 

休業。この質問には、より焦点を当てる必要があります。現在、回答を受け付けていません。 この質問を改善してみませんか？質問を更新して、この投稿を編集するだけで1つの問題に焦点を当てます。 2年前休業。 TL / DR 静的NATルールを設定して、パブリックインターネットIPアドレスを使用して、内部ネットワークの専用マシンに直接SSHで接続できるようにします。その結果、AnyConnect VPNを介して接続すると、専用マシンにSSH接続できなくなります。どうして？どうすれば修正できますか？ 長い話： AnyConnect VPNセッションを終了するために使用するASA 5512-Xがあります。これは非常にうまく機能しています。人々はAnyConnectを使用してASAに接続し、特別に割り当てられたIPプールからIPアドレスを取得し、アクセスリストに入力したすべてにアクセスできます。 これで、ポート22をネットワーク内の専用マシンに直接転送するというアイデアがあります（内部インターフェイスと外部インターフェイスしかありません）。これにより、パブリックIPアドレスにSSHで接続し、専用マシンで終了することができます。 VPN接続。 セットアップは十分に簡単に見えました： object network MyEndpoint host 10.0.0.1 nat (inside, outside) static interface service tcp ssh ssh access-list from_outside_inside extended permit tcp any object MyEndpoint eq ssh access-group from_outside_inside in interface outside そしてそれは実際に動作します。今私はできる ssh ssh.mydomain.com 実際に専用マシンでsshセッションを取得します。ただし、ssh 10.0.0.1静的NATを設定する前に、以前のようにAnyConnectを介してASA /ネットワークに接続すると、この成功はもはや機能しなくなります。 …

7 cisco-asa  nat  cisco-anyconnect 

Cisco ASAファイアウォールを通過する必要があるTCP接続を設定するためにトラフィックジェネレータを使用しています。 私のトポロジは次のようになります。 +------------------+ | CISCO ASA | +------------+ | | | Client +-------+Outside | | 10.1.202.1| |10.1.202.254 | | | | | +------------+ +------------+ | Inside| |Server | | 10.1.102.254+--------+10.1.102.19 | | | | | +------------------+ +------------+ 外部ネットワーク（10.1.202.1/24）の1つのホストから内部ネットワーク（10.1.102.19/24）のサーバーへの接続を確立する必要があります。 SYNがファイアウォール（10.1。（1/2）02.254）を通過し、SYN-ACKが通過せずにドロップされることがWiresharkでわかります（キャプチャを参照してください：内部インターフェイスと外部インターフェイス）。 からshow asp drop、次の理由でフレームがドロップされることが通知されます。 TCP failed 3 way handshake (tcp-3whs-failed) ARPは使用していませんが、デフォルトゲートウェイであるファイアウォールインターフェイスのMACアドレスを使用しています。 …

7 cisco-asa  firewall  tcp 

最初の問題： ASA 5525-Xの物理ポートが足りなくなった 私の最初のソリューション：ポートチャネルにサブインターフェイスを作成し、スイッチを使用してVLANを集約する 次の問題：残りの構成を維持したまま、元のインターフェースに割り当てられた名前を新しいサブインターフェースに移動するにはどうすればよいですか？ 名前を再割り当てする前に元のインターフェイスで' no nameif 'ディレクティブを発行すると、ASAはその名前を参照していたすべての設定要素を削除します。 元の名前を再割り当てする前に' nameif 'ディレクティブを再発行してインターフェースの名前を一時的なものに変更すると、元の名前を参照していたすべての構成要素が更新され、新しい名前が反映されます。結局、私は自分の目標に近づいていません。 これまで私が資金を提供してきた唯一の解決策は明白なものです。startup-configをオフラインで編集し、変更を適用した状態でファイアウォールをリロードしてください。これに関して私が気に入らないのは、リロード時間です。ASAはすぐに起動しません。1日の終わりに、小さなメンテナンスウィンドウにダウンタイムを忍び込むことはできません（インターネットはダウンしていますか？ええと、今は復旧しています-私だったに違いありません）。代わりに、より長いメンテナンスウィンドウをスケジュールする必要があります。 更新：関連質問、サブインターフェースのCisco ASA startup-configコマンドの順序を確認してください。 名前をあるインターフェースから新しいインターフェースに「移動」する一方で、他のすべてをそのままにしておく別の方法はありますか？

7 cisco-asa 

Cisco ASA 5510を1つ本番環境で使用しています。 それは： ASAバージョン 8.0(2) ASDMバージョン 6.0(2) 1GB RAM（最近256MBからアップグレード） 64MBフラッシュ フラッシュと設定をバックアップしました。 ASAのバージョンをに9.1(4)、ASDMのバージョンをにアップグレードする必要があります。7.1(5) 次のクエリがあります。 ソフトウェアのアップグレードのために、フラッシュを64MBからより大きなフラッシュにアップグレードする必要がありますか？ から8.0(2)への推奨アップグレードパスは何9.1(4)ですか？ これらのバージョン間でのNAT構文の変更などが原因で、スタートアップ構成を手動で更新する必要がありますか？または、推奨されるアップグレードパスに従っている場合、これは自動的に行われますか？ 御時間ありがとうございます！

7 cisco  cisco-asa 

まず、ネットワーキングの問題が常に頭を悩ませていることを指摘しておきます。特にルーティングについては、「ああ、わかった」という瞬間がまだないので、これは非常に基本的な設定ミスである可能性があります。 Cisco ASA 5505を1つのインターフェイスのパブリックIPアドレスに接続し、2番目のインターフェイスを内部ネットワークに接続するように設定しようとしています。現在、内部ネットワークは192.168.1.0/24にあり、ISPから取得したパブリックIPは125.xxxの範囲にあります。 ASAに3つのインターフェイスを設定しました。 内部 IP: 192.168.1.3 Mask: 255.255.255.0 Ports 1-6 Sec Level 100 外側 IP: 125.x.x.x Mask: 255.0.0.0 Port 0 Sec Level 0 管理 IP: 10.0.0.1 Mask: 255.255.255.0 Port 7 Restricted to management Restrict flow to Outside (had to do this for licensing reasons) ファイアウォールに、内部ネットワークの任意のソースから安全性の低いネットワークへのIPトラフィックを許可するアクセスルールがあります（IPv4と6の両方に1つあります）。 インターネットに接続するルーターをポート0に接続し、コンピューターをポート1にIP 192.168.1.20、マスク255.255.255.0、ゲートウェイで接続します192.168.1.3。このPCを使用すると、pingを実行できます192.168.1.3が、それ以上は実行できません8.8.8.8。パブリックIPアドレスまたはpingを実行できません。 同じPCをルーターに直接接続してパブリックIPアドレスを直接割り当てると、インターネットに問題なくアクセスできます。ここでの問題は、内部からのパスを表示するためにいくつかの静的ルートを追加する必要があることだと思います<->外部から。どんな助けや提案でも大歓迎です。 …

7 cisco  routing  cisco-asa  troubleshooting 

アクティブ/パッシブで実行されている2つのASA 5540とインターネットプロバイダーのジュニパールーターの間にOSPFを設定しました。route-mapを介してACLのコンテンツに基づいてルートをアドバタイズしたいと思います。 router ospf 1 router-id X.X.X.A network X.X.X.B 255.255.255.248 area 0 area 0 authentication message-digest log-adj-changes redistribute static metric 10 subnets route-map annonce_ospf_isp route-map annonce_ospf_isp permit 1 match ip address redistribute_isp access-list redistribute_isp standard permit Y.Y.Y.C 255.255.255.252 / 30をアドバタイズしても問題ありません。ospfデータベースに表示され、ルートが他のルーターに挿入されます。 ただし、/ 32をアドバタイズしても何も起こりません。データベースにないため、アドバタイズされません。 access-list redistribute_neo standard permit host Y.Y.Y.D 何が問題ですか？

7 cisco  cisco-asa  ospf  juniper  troubleshooting 

私は2日間この場所にいて、ASA-5505を構成するまで、数え切れないほどのフォーラムやチュートリアルに参加しています。ASAからのpingを使用していても、インターネットにアクセスできません。ネットワーク上でASAを「見る」ことができません。基本的に、コンソール以外のハードウェアの死体です。私のモデムもブリッジモードに設定されています。これは私が従ったチュートリアルです：ここ ..次にどこへ行くかわからない..「外部」VLANが誤って構成されているようであり、私は非常に多くの浸透を試みたので、何か大きなことを見落としていることは明らかです。ASAから8.8.8.8にpingできると、幸せになります。 Comcastの設定は次のとおりです。 Gateway MAC Address 78:CD:8E:D9:FB:34 WAN MAC Address 78:CD:8E:D9:FB:37 WAN DHCP IP Address 50.135.170.116 WAN DHCP IPv6 Address ::/64 WAN DHCP IPv6 DNS (primary) :: WAN DHCP IPv6 DNS (secondary) :: WAN DHCP Subnet Mask 255.255.254.0 WAN DHCP Default Gateway 50.xx.xx.1 WAN Internet IP Address 74.xx.xx.230 DNS (primary) …

7 cisco  cisco-asa  firewall 

8.2を実行しているASA5540でのリモートアクセス、L2L、およびダイナミックL2Lトンネルの混合に関する問題があります。 以下は関連する設定の抜粋です：- crypto dynamic-map outside-crypto-dynamic-map 10 match address outside-crypto-dynamic-map-10 crypto dynamic-map outside-crypto-dynamic-map 10 set transform-set ESP-3DES-MD5 crypto dynamic-map outside-crypto-dynamic-map 20 set transform-set ESP-3DES-MD5 crypto map outside-crypto-map 201 match address outside-crypto-map-201 crypto map outside-crypto-map 201 set peer X.X.X.X crypto map outside-crypto-map 201 set transform-set ESP-3DES-MD5 crypto map outside-crypto-map 202 match address …

7 cisco  cisco-asa  ipsec 

8.4を実行しているASAに次の設定があります。 object network SERVER-01 host 192.168.0.1 ! object network SERVER-01 nat (Inside,Outside) static interface service tcp 3389 5001 この構成を数回繰り返して、RDPがASAの背後にある複数のマシンの異なるポートで使用できるようにしました。5001は1つのサーバーに転送し、5002は別のサーバーに転送します。 ただし、上記の構成のこの1つのサーバーでは、ポート5555をパブリックに同じプライベートIP 192.168.0.1のポート5555に転送します。 上記の設定を入力しようとしたが、ポート番号が異なる場合、上書きされます。NATエントリを追加するように見えず、そのエントリを置き換えるだけです。これは、各内部IPに一度に転送できるポートは1つだけであることを示しています。それは正しいですか、またはさまざまなパブリックポートを内部ホストに転送できますが、他の方法を使用できますか？もしそうなら、どうですか？

7 cisco  cisco-asa  nat 

ASA 5525-X IPSバンドル（.250）とIPS（.37）の管理IPがある管理ネットワーク（192.168.25.0/24）があります。IPSには、ASAの背後にあるレイヤ3（.1）スイッチのデフォルトゲートウェイがあります（Ciscoのドキュメントによると）。 トラフィックをIPSに戻すために、L3スイッチを指す192.168.25.0/24のルートを作成しました。 私が入力すると#sh routeASAに： C 192.168.30.0 255.255.255.0 is directly connected, inside C 192.168.25.0 255.255.255.0 is directly connected, management C 192.168.35.0 255.255.255.0 is directly connected, outside S* 0.0.0.0 0.0.0.0 [1/0] via 192.168.35.1, outside 同時に#sh running-config route： route outside 0.0.0.0 0.0.0.0 192.168.35.1 1 route inside 192.168.25.0 255.255.255.0 192.168.30.2 1 したがって、ルーティングテーブルには、サブネットが直接接続されており、管理インターフェイストラフィックがIPSに渡されないという情報があります。しかし、IPSはインターネットにアクセスでき、トラフィックはL3スイッチを通過します（カウンターを確認しました）。 …

7 cisco  security  cisco-asa  firewall 

データセンターVPNピア用に2つのIPアドレスを使用してリモートサイトを構成しました-1つのプライマリ（1.1.1.1）、1つのバックアップ（2.2.2.2）。プライマリピアに障害が発生すると、リモートサイトはDPDを使用して障害を検出します（約15秒後）。それはSAを破棄し、次にプライマリピアへの再接続を試みます！約30秒間応答がないと、最終的にバックアップピアが試行され、すぐに接続されます。他の誰かがこれを見たことがありますか？この不要な30秒の待機を回避する方法はありますか？ （コードバージョンは8.2（5）、以下の構成） リモートサイトのファイアウォール： crypto ipsec transform-set L2L-VPN-TRANSFORM esp-3des esp-sha-hmac crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 ! tunnel-group 1.1.1.1 type ipsec-l2l tunnel-group 1.1.1.1 general-attributes default-group-policy L2L-VPN-POLICY tunnel-group 1.1.1.1 ipsec-attributes pre-shared-key ***** tunnel-group 2.2.2.2 type ipsec-l2l tunnel-group 2.2.2.2 general-attributes default-group-policy L2L-VPN-POLICY tunnel-group 2.2.2.2 ipsec-attributes pre-shared-key ***** …

7 vpn  ipsec  failover  cisco-asa 

最近Cisco Feature Navigatorを使用して、IOSイメージをアップグレードするかどうかを評価（およびそれらを比較）しましたが、ASAソフトウェアはサポートしていません。ASAの画像とCFNを比較する簡単な方法はありますか？そうでない場合は、手動でリリースノートをとかさずにこれをどのように行いますか？

7 cisco-asa