El dispositivo de seguridad adaptable de Cisco (ASA) que combina la funcionalidad de las líneas de productos PIX, VPN 3000 series y sistemas de prevención de intrusiones (IPS)
Recientemente reemplazamos MPLS internacionales con nuevos ASA 5510 y VPN de sitio a sitio. Sin embargo, cuando implementamos esto, nos encontramos con un problema en el que cada ubicación remota tiene 2 ISP para la redundancia, pero al habilitar la VPN en ambas interfaces, se agita entre los dos y...
La disposición del dispositivo es la siguiente: BGP Peers + | | +------+-------+ | | | Juniper MX5 | | | +------+-------+ |.254 OSPF | 10.0.1.0/24 |.1 +------+-------+ | | | Cisco ASA | ASA NAT | | 10.0.0.1 <> 134.0.15.1 +------+-------+ |.254 |10.0.0.0/24 |.1 +------+-------+ |...
Utilizamos el Cisco ASA 5585 en un modo transparente de capa 2. La configuración son solo dos enlaces 10GE entre nuestro socio comercial dmz y nuestra red interna. Un mapa simple se ve así. 10.4.2.9/30 10.4.2.10/30 core01-----------ASA1----------dmzsw El ASA tiene 8.2 (4) y SSP20. Los...
En una VPN de sitio a sitio que usa un ASA 5520 y 5540, respectivamente, noté que de vez en cuando el tráfico ya no pasa, a veces incluso falta tráfico solo para una selección de tráfico / ACL específica, mientras que otro tráfico sobre Se está ejecutando la misma VPN. Sucede a pesar de que hay un...
En muchas ubicaciones, solo tenemos un Cisco ASA 5505 cada uno y uno o más puntos de acceso WiFi, además del enrutador del proveedor. Sin servidores ni PC, solo servicio WiFi para visitantes ocasionales. Quiero verificar de forma remota si el proveedor nos da el ancho de banda contratado. Pude ver...
Tengo un ASA 5550 que realiza cargas y cargas de operaciones (AnyConnect, NAT, ACL, RADIUS, etc., etc.). No está particularmente sobrecargado en términos de CPU y memoria, pero tiene un tiempo de actividad de más de 3.5 años. Últimamente he estado intentando implementar otro túnel IPSEC (a través...
He hecho referencia a un antiguo artículo externo de Cisco sobre cómo bloquear el tráfico de torrent Bit referenciado en línea aquí Este procedimiento que he encontrado solo funciona el 50% del tiempo. Encuentro el bloqueo de puertos específicos de bit torrent, y hacer la expresión regular...
¿Cuáles son las mejores prácticas para migrar ASA config a 8.3 y hacia adelante? He creado manualmente un nuevo archivo de configuración con los siguientes cambios: nuevos objetos de red nuevas declaraciones NAT Nuevas listas de acceso que hacen referencia a objetos de red Mis próximos pasos...
Veo mucha información contradictoria sobre si un Cisco ASA (5505 en este caso) puede usar IPv6 a través de una conexión PPPoE. Veo la documentación oficial de Cisco haciendo que parezca fácil , pero veo muchas publicaciones en el foro que indican que no funciona. El ISP requiere que usemos una...
Tengo una VPN de sitio a sitio que parece estar bajando el tráfico de una subred en particular cuando se ingresan muchos datos a través del túnel. Tengo que correr clear ipsec sapara que vuelva a funcionar. Noto lo siguiente cuando corro show crypto ipsec sa. La duración restante de la clave de...
Considere el siguiente resultado de show interface: Interface GigabitEthernet0/1 "inside", is up, line protocol is up Hardware is i82546GB rev03, BW 1000 Mbps, DLY 10 usec Full-Duplex(Full-duplex), 1000 Mbps(1000 Mbps) Input flow control is unsupported, output flow control is off MAC address...
Agregue otra razón para odiar a NAT a la lista. Estoy sacando dos puntos de salida de Internet en nuestra red corporativa. Los dispositivos de borde serán firewalls ASA 5525-X. Tradicionalmente, los pondría en algún tipo de clúster, pero esto requiere conectividad L2. Dado que estos dispositivos...
Estoy tratando de configurar el doble NAT automático con traducción de DNS en Cisco ASA 9.0 (3), y tengo algunos desafíos con la parte de DNS. Obtuve el doble NAT funcionando correctamente, de modo que tengo un servidor en producción y en el laboratorio con la misma dirección IP. Ver b2masd1,...
Estaba haciendo IPsec VPN en ASA 8.0, y entiendo un poco sobre eso. El iniciador comienza enviando su política ISAKMP al respondedor, y el respondedor devuelve la política coincidente. Después de eso, la clave Diffie-Hellman se intercambia, y luego ambas envían la clave previamente compartida a la...
Tenemos algunos ASA-5555X existentes en modo de contexto múltiple, y estamos usando un contexto por vlan como un firewall transparente de capa2. Con el tiempo, hemos ido agregando a esta solución, y estamos a punto de superar nuestra licencia original de 5 contextos de seguridad. Compramos...
Parece que Dropbox usa Amazon AWS para su almacenamiento, por lo que no puedo bloquear o limitar el tráfico a dropbox.com Dado que hay muchos servicios web que dependen de AmazonAWS, no puedo simplemente bloquear ese dominio. ¿Tienes alguna sugerencia sobre cómo manejar el tráfico de Dropbox?...
Si tengo dos sitios de centros de datos que se consideran redundantes entre sí. ¿Es posible sincronizar la configuración del cortafuegos del primario al respaldo? ¿Cuál es la mejor manera de mantener actualizados ambos firewalls al mismo tiempo? Si es así, ¿qué se requiere? Equipamiento...
Como parte de un nuevo proyecto, tenemos el requisito de terminar alrededor de 3000 conexiones IPsec en un firewall Cisco ASA 5540. De acuerdo con las especificaciones, el IPsec Peers máximo que admite esta plataforma es 5000, por lo que no debería haber ningún problema. La pregunta es ¿qué sucede...
Actualizar Finalmente se actualizó a 9.1.4. Lo configuré todo, volví a habilitar VPN y seguía teniendo el mismo problema. Entonces, borré toda la información de configuración de VPN y comencé desde cero. A continuación se muestra mi configuración actual. Puedo conectarme y acceder a recursos en la...
Estoy trabajando en un laboratorio en este momento y tengo algunos problemas con el enrutamiento ASA. Aquí está la topología de red actual: Actualmente, si inicio sesión en la consola en el ASA o en el enrutador, puedo acceder a Internet sin problemas. En el segundo inicio de sesión en el...