タグ付けされた質問 「cisco-asa」

オフィスでは、ハードウェアファイアウォールを取得する必要があるか、VMWareクラスターで仮想ファイアウォールを設定する必要があるかについて議論しています。 環境は、iSCSI共有ストレージアレイを備えた2つの1 GBスイッチ上の3つのサーバーノード（それぞれ16 GBのRAMを備えた16コア）で構成されています。 リソースをVMWareアプライアンス専用にする場合、仮想ファイアウォールよりもハードウェアファイアウォールを選択するメリットはありますか？ ハードウェアファイアウォールを使用することを選択した場合、ClearOSなどの専用サーバーファイアウォールは、Ciscoファイアウォールと比較してどのようになりますか？

16 networking  firewall  vmware-esxi  cisco-asa 

strongswan（4.5）を使用してサイト間でvpnトンネルを設定しました。トンネルは正常に見え、反対側に接続されていますが、トンネルを介したトラフィックのルーティングに問題があるようです。 何か案が？ ありがとう！ ネットワーク図 +----------------------------------+ |Dedicated server: starfleet | +-----------------+ | | | CISCO ASA | | +-------------------------| internet | | | |eth0: XX.XX.XX.195/29 +-------------------| YY.YYY.YYY.155 | | +-------------------------| +------+----------+ | |virbr1: 192.168.100.1/24 | | | +----+--------------------| | | | | | | | | +-----------------+ | | | |network …

15 linux  vpn  kvm-virtualization  cisco-asa  strongswan 

Cisco 5505の設定を試みており、ASDMを介して行われています。 私たちが解決できない大きな問題が1つあります。それは、あなたが内側から外側に行き、再び戻るときです。 たとえば、「内部」にサーバーがあり、内部にいる場合でも外部にいる場合でも、同じアドレスでこのサーバーにアクセスできるようにしたいとします。 問題は、内部から外部へのトラフィックを許可し、その後再びトラフィックを許可するルールを追加することです。

10 domain-name-system  cisco  cisco-asa 

現在、6台のCisco ASAデバイス（5510の2ペアと5550の1ペア）を管理しています。これらはすべて非常にうまく動作し、安定しているため、「OMGが壊れているため、修正に役立つ」というよりは、ベストプラクティスのアドバイスの質問の方が多くなります。 ネットワークが複数のVLANに分割されています。ほとんどのサービスの役割には独自のVLANがあるため、DBサーバーには独自のVLAN、APPサーバー、Cassandraノードがあります。 トラフィックは、特定の許可のみ、残りの拒否のみの基本で管理されています（したがって、デフォルトのポリシーは、すべてのトラフィックをドロップすることです）。これを行うには、ネットワークインターフェイスごとに2つのACLを作成します。例： 「in」方向でdc2-850-dbインターフェイスに適用されるaccess-list dc2-850-db-in ACL 「out」方向でdc2-850-dbインターフェイスに適用されているaccess-list dc2-850-db-out ACL それはすべてかなりタイトで期待どおりに機能しますが、これが最善の方法であるかどうか疑問に思っていましたか？ 現時点では、30を超えるVLANが存在するようになりましたが、それらを管理するためにいくつかの点で少し混乱していると言わざるを得ません。 おそらく、共通のACLや共有ACLのようなものが役に立ちますが、他のACLから継承できますが、そのようなことはありません... アドバイスは大歓迎です。

9 networking  security  cisco  cisco-asa  best-practices 

トロント（1.1.1.1）、ミシサガ（2.2.2.2）、サンフランシスコ（3.3.3.3）の3つのサイトがあります。3つのサイトすべてにASA 5520があります。すべてのサイトは、相互に2つのサイト間VPNリンクで接続されています。 私の問題は、トロントとサンフランシスコの間のトンネルが非常に不安定で、40分から60分ごとに低下していることです。トロントとミシサガの間のトンネル（同じように構成されています）は、ドロップなしで問題ありません。 ドロップのあるpingにも気づきましたが、ASAはトンネルがまだ稼働していると考えています。 トンネルの構成は次のとおりです。 トロント（1.1.1.1） crypto map Outside_map 1 match address Outside_cryptomap crypto map Outside_map 1 set peer 3.3.3.3 crypto map Outside_map 1 set ikev1 transform-set ESP-AES-256-MD5 ESP-AES-256-SHA crypto map Outside_map 1 set ikev2 ipsec-proposal AES256 group-policy GroupPolicy_3.3.3.3 internal group-policy GroupPolicy_3.3.3.3 attributes vpn-idle-timeout none vpn-tunnel-protocol ikev1 ikev2 tunnel-group 3.3.3.3 …

9 cisco  cisco-asa  cisco-vpn 

私たちのASA5520でL2TP / IPSecをセットアップして、開発者の1人のフリンジケースをサポートしようとしています。組み込みのvpnサブシステムを使用すると、Windows VPNサブシステムはログイン用のkerberosまたはNTLM cookieを格納するように見え、Cisco VPNクライアントとAnyConnectクライアントはこれを行いません。 Windows 7経由でVPNに接続しようとすると、接続が失敗します。 %ASA-5-713257: Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: Group 2 %ASA-5-713257: Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: Group 2 %ASA-5-713257: Phase 1 failure: Mismatched attribute types for class Group …

9 windows-7  vpn  cisco-asa  ipsec  l2tp 

Amazon EC2インスタンスのLinuxインスタンスとCiscoコンセントレータを介したリモートネットワークの間にstrongSwanを使用してVPNを設定しています。Linuxインスタンス自体からのパケットをリモートサブネットのマシンにルーティングする必要があります。 接続は確立されましたが、パケットはルーティングされません。 特定のルーティングルールを設定する必要があると思いますが、どうすればよいですか？ ソフトウェア Linuxカーネル3.5.0-41、 Ubuntu 12.10、 strongSwan 5.1.1（ソースから作成）、 iptables-ルールなし。 通信網 地元 Amazon Elastic IP：56.xxx 公衆LAN IP：172.xxx ローカル仮想サブネット：10.254.0.0/16 ローカル仮想IP：10.254.5.174 リモート CiscoコンセントレータのパブリックIP：62.xxx リモートサブネット：10.192.0.0/12 構成 ipsec.conf config setup conn %default keyexchange = ikev1 type = tunnel ikelifetime = 86400 keylife = 28800 keyingtries = %forever esp = 3des-sha ike = 3des-md5-modp1024 …

8 routing  cisco-asa  strongswan 

次の状況があります。 Client subnet(192.168.0.0 /24) ----> Router ----> Internet ----> ASA(172.17.0.2 /24) ----> (172.17.0.1 /24)Gateway ----> (10.0.0.0 /8)Many subnets クライアントサブネットを「多くのサブネット」に論理的に接続する必要があります。左側にCisco 2901があり、もう一方にASAがあります。ルータとASAの間にIPsec接続を構築しました。IPsec接続自体は機能しますが、ゲートウェイの背後にあるアドレスにはアクセスできません。IPsec接続のローカルネットワークは10.0.0.0/8ネットワークです。 ASAは、ゲートウェイを介してトラフィックをルーティングする必要があることを認識しません(172.17.0.1)。すでに内部インターフェイスにデフォルトルートを設定しています10.0.0.0 255.0.0.0.0 172.17.0.1が、機能しません... すべてのトラフィックをゲートウェイ経由でルーティングする必要があることをASAに伝えるにはどうすればよいですか？

vpn  routing  cisco-asa  ipsec  ios