Adaptive Security Appliance (ASA) da Cisco, que combina a funcionalidade das linhas de produtos PIX, VPN 3000 series e Intrusion Prevention Systems (IPS)
Recentemente, substituímos o MPLS internacional por novos ASA 5510s e VPNs site a site. No entanto, quando implantamos isso, encontramos um problema em que cada local remoto possui 2 ISPs para redundância, mas ao ativar a VPN nas duas interfaces, ele alterna entre os dois e o túnel fica para cima e...
A disposição do dispositivo é a seguinte: BGP Peers + | | +------+-------+ | | | Juniper MX5 | | | +------+-------+ |.254 OSPF | 10.0.1.0/24 |.1 +------+-------+ | | | Cisco ASA | ASA NAT | | 10.0.0.1 <> 134.0.15.1 +------+-------+ |.254 |10.0.0.0/24 |.1 +------+-------+ | | |...
Usamos o Cisco ASA 5585 em um modo transparente layer2. A configuração são apenas dois links 10GE entre nosso parceiro de negócios dmz e nossa rede interna. Um mapa simples é assim. 10.4.2.9/30 10.4.2.10/30 core01-----------ASA1----------dmzsw O ASA possui 8.2 (4) e SSP20. Os comutadores são...
Em uma VPN site a site usando um ASA 5520 e 5540, respectivamente, notei que, de tempos em tempos, o tráfego não passa mais, às vezes há apenas o tráfego ausente apenas para uma seleção de tráfego / ACL específica enquanto outro tráfego a mesma VPN está sendo executada. Isso acontece mesmo que haja...
Em muitos locais, temos apenas um Cisco ASA 5505 cada um e mais um ponto de acesso WiFi, além do roteador do provedor. Sem servidores ou PCs, apenas serviço WiFi para visitantes ocasionais. Desejo verificar remotamente se o provedor nos fornece a largura de banda contratada. Eu pude ver a largura...
Eu tenho um ASA 5550 que esteja executando cargas e cargas de operações (AnyConnect, NAT, ACL, RAIO, etc, etc). Não é particularmente sobrecarregado em termos de CPU e memória, mas possui um tempo de atividade de mais de 3,5 anos. Ultimamente, tenho tentado implantar outro túnel IPSEC (via...
Mencionei um antigo artigo externo da Cisco sobre como bloquear o tráfego de torrent Bit referenciado on-line Aqui Este procedimento que eu encontrei funciona apenas 50% do tempo. Acho que bloqueia portas específicas de torrents de bits e, fazendo o regex funcionar, ele simplesmente não captura...
Quais são as melhores práticas que migram a configuração do ASA para 8.3 e para a frente? Criei manualmente um novo arquivo de configuração com as seguintes alterações: novos objetos de rede novas declarações NAT novas listas de acesso que referenciam objetos de rede Meus próximos passos...
Eu vejo muitas informações conflitantes sobre se um Cisco ASA (5505 neste caso) pode ou não usar o IPv6 através de uma conexão PPPoE. Vejo a documentação oficial da Cisco fazendo com que pareça fácil , mas vejo muitas postagens no fórum afirmando que não funciona. O ISP exige que usemos um...
Eu tenho uma VPN site a site que parece estar perdendo tráfego de uma sub-rede específica quando muitos dados estão sendo enviados pelo túnel. Eu tenho que correr clear ipsec sapara voltar a funcionar . Percebo o seguinte ao executar show crypto ipsec sa. O tempo de vida útil restante da chave SA...
Considere a seguinte saída de show interface: Interface GigabitEthernet0/1 "inside", is up, line protocol is up Hardware is i82546GB rev03, BW 1000 Mbps, DLY 10 usec Full-Duplex(Full-duplex), 1000 Mbps(1000 Mbps) Input flow control is unsupported, output flow control is off MAC address...
Adicione outro motivo para odiar o NAT na lista. Estou trazendo dois pontos de saída da Internet em nossa rede corporativa. Os dispositivos de borda serão firewalls ASA 5525-X. Tradicionalmente, você os colocava em algum tipo de cluster, mas isso requer conectividade L2. Como esses dispositivos...
Estou tentando configurar o Auto NAT duplo com tradução de DNS no Cisco ASA 9.0 (3) e estou tendo alguns desafios com a parte do DNS. Recebi o dobro do NAT funcionando corretamente, de modo que tenho um servidor em produção e no laboratório com o mesmo endereço IP. Consulte b2masd1, nomeif INSIDE...
Eu estava fazendo VPN IPsec no ASA 8.0 e entendo um pouco sobre isso. O iniciador inicia enviando sua política ISAKMP para o respondente e o respondente envia de volta a política correspondente. Depois disso, a chave Diffie-Hellman recebe troca e, em seguida, ambas enviam a chave pré-compartilhada...
Temos algum ASA-5555X existente no modo de contexto múltiplo e estamos usando um contexto por vlan como um firewall layer2 transparente. Com o tempo, adicionamos essa solução e estamos prestes a exceder nossa licença original de 5 contextos de segurança. Compramos L-ASA-SC-10 =, mas não está claro...
Parece que o Dropbox usa o Amazon AWS para seu armazenamento, por isso não sou capaz de bloquear ou impedir o tráfego no dropbox.com Como existem muitos serviços da Web que dependem do AmazonAWS, não posso simplesmente bloquear esse domínio. Você tem alguma sugestão sobre como lidar com o...
Se eu tiver dois sites de datacenter considerados redundantes entre si. É possível sincronizar a configuração do firewall do primário para o backup? Qual é a melhor maneira de manter os dois firewalls atualizados ao mesmo tempo? Se sim, o que é necessário? Equipamento usado: DC...
Como parte de um novo projeto, temos o requisito de encerrar cerca de 3000 conexões IPsec em um firewall Cisco ASA 5540. De acordo com as especificações, o máximo de IPsec Peers suportado por esta plataforma é de 5000, portanto não deve haver um problema. A questão é o que acontece se todos os...
Atualizar Finalmente foi atualizado para 9.1.4. Eu configurei tudo, reativei a VPN e ainda estava tendo o mesmo problema. Então, limpei todas as informações de configuração da VPN e comecei do zero. Abaixo está minha configuração atual. Consigo conectar e acessar recursos na rede interna. No...
Estou trabalhando em um laboratório agora e estou tendo alguns problemas com o roteamento ASA. Aqui está a topologia de rede atual: Atualmente, se eu entrar no console no ASA ou no roteador, posso sair para a Internet sem problemas. No segundo que eu entrei no switch da camada 3, só posso...