我们在我们的办公室就是否有必要在我们的 VMWare 集群上安装硬件防火墙或设置虚拟防火墙进行辩论。

我们的环境由 3 个服务器节点（16 个内核，每个内核 64 GB RAM）和 2 个 1 GB 交换机和 iSCSI 共享存储阵列组成。

假设我们将资源专用于 VMWare 设备，那么选择硬件防火墙而不是虚拟防火墙是否有任何好处？

如果我们选择使用硬件防火墙，那么带有 ClearOS 之类的专用服务器防火墙与 Cisco 防火墙相比如何？

我刚刚使用strongswan（4.5）建立了一个站点到站点的VPN隧道。隧道看起来不错并且连接到另一侧，但似乎路由流量通过隧道存在问题。

任何的想法？

谢谢！

网络图

+----------------------------------+
|Dedicated server: starfleet       |                   +-----------------+
|                                  |                   |  CISCO ASA      |
|        +-------------------------|     internet      |                 |
|        |eth0: XX.XX.XX.195/29    +-------------------|  YY.YYY.YYY.155 |
|        +-------------------------|                   +------+----------+
|        |virbr1: 192.168.100.1/24 |                          |
|        +----+--------------------|                          |
|             |                    |                          |
|             |                    |                   +-----------------+
|             |                    |                   |network          |
|     +-------+                    |                   |                 |
|     |                            |                   |172.30.20.0/27   |
|     |                            |                   +-----------------+
| +------------------------------+ |
| | kvm server: enterprise       | |
| |                              | |
| …

我们正在尝试配置 Cisco 5505，并且已通过 ASDM 完成。

有一个我们无法解决的大问题，那就是当你从里到外再回来的时候。

例如，我们有一个“内部”服务器，如果我们在内部或外部，我们希望能够使用相同的地址访问该服务器。

问题是添加一个规则，允许从内部到外部的流量，然后再返回。

我正在尝试在我们的 ASA5520 上设置 L2TP/IPSec，以支持我们的一位开发人员的边缘案例。当您使用内置 vpn 子系统时，Windows VPN 子系统显然会存储用于登录的 kerberos 或 NTLM cookie，而 Cisco VPN 客户端和 AnyConnect 客户端不会这样做。

当我尝试通过 Windows 7 连接到 VPN 时，连接失败：

%ASA-5-713257: Phase 1 failure:  Mismatched attribute types for class Group Description:  Rcv'd: Unknown  Cfg'd: Group 2
%ASA-5-713257: Phase 1 failure:  Mismatched attribute types for class Group Description:  Rcv'd: Unknown  Cfg'd: Group 2
%ASA-5-713257: Phase 1 failure:  Mismatched attribute types for class Group Description:  Rcv'd: Unknown  Cfg'd: Group 2
%ASA-5-713257: Phase 1 failure:  Mismatched attribute types for class …

我有三个站点，多伦多 (1.1.1.1)、密西沙加 (2.2.2.2) 和旧金山 (3.3.3.3)。所有三个站点都有 ASA 5520。所有站点都通过两个站点到站点 VPN 链路相互连接在一起。

我的问题是多伦多和旧金山之间的隧道非常不稳定，每 40 分钟到 60 分钟就会下降一次。多伦多和密西沙加之间的隧道（以相同方式配置）很好，没有掉线。

我还注意到我的 ping 下降了，但 ASA 认为隧道仍在运行。

这是隧道的配置。

多伦多 (1.1.1.1)

crypto map Outside_map 1 match address Outside_cryptomap
crypto map Outside_map 1 set peer 3.3.3.3 
crypto map Outside_map 1 set ikev1 transform-set ESP-AES-256-MD5 ESP-AES-256-SHA
crypto map Outside_map 1 set ikev2 ipsec-proposal AES256

group-policy GroupPolicy_3.3.3.3 internal
group-policy GroupPolicy_3.3.3.3 attributes
 vpn-idle-timeout none
 vpn-tunnel-protocol ikev1 ikev2

tunnel-group 3.3.3.3 type ipsec-l2l
tunnel-group 3.3.3.3 general-attributes
 default-group-policy GroupPolicy_3.3.3.3
tunnel-group 3.3.3.3 ipsec-attributes
 ikev1 pre-shared-key *****
 isakmp …

我目前管理着 6 台 Cisco ASA 设备（2 对 5510 和 1 对 5550）。它们都工作得很好并且很稳定，所以这更像是一个最佳实践建议问题，而不是“天哪，它坏了帮我修复它”。

我的网络被分成多个 VLAN。几乎每个服务角色都有自己的 VLAN，因此 DB 服务器将有自己的 VLAN、APP 服务器、Cassandra 节点。

流量在仅允许特定，拒绝休息的基础上进行管理（因此默认策略是丢弃所有流量）。我通过为每个网络接口创建两个 ACL 来做到这一点，例如：

• access-list dc2-850-db-in ACL 应用于“in”方向的 dc2-850-db 接口
• access-list dc2-850-db-out ACL 应用于“out”方向的 dc2-850-db 接口

这一切都非常紧凑并且按预期工作，但是我想知道这是否是最好的方法？ 目前，我已经拥有超过 30 个 VLAN，我必须说在某些时候管理这些 VLAN 变得有些混乱。

可能像公共/共享 ACL 之类的东西在这里会有所帮助，我可以从其他 ACL 继承，但 AFAIK 没有这样的东西......

任何建议非常感谢。

我正在考虑在 Cisco ASA 后面设置一个 DMZ，该 DMZ 将包含大量 HTTP 前端负载平衡器和 SSL 卸载服务 - 超过 100 个 IP，集中在少数主机上。

过去，我将所有主机都保留在 RFC1918 私有 IP 上，并为我通常在 DMZ 中公开的每个服务添加了静态映射（IP-by-IP）。这变得很烦人，因为我们已经开始以足够快的速度添加额外的 DMZ IP，以至于单独设置每个 IP 变得很烦人。我想对其进行更改，以便将整个 DMZ 子网设置为允许来自外部的 HTTP 和 HTTPS --> dmz，以便负载均衡器可以根据需要获取新 IP，而无需每次都更新 ASA 配置。

我现在想知道的是，将 DMZ 放在 RFC1918 子网上并在整个子网中使用静态 NAT 是否有意义，或者我是否应该让 DMZ 直接分配外部 IP，并仅依赖于访问列表和身份 NAT/NAT 豁免。

一些粗略的 ASCII 艺术作品：

使用直接外部 IP 地址的示例：
  互联网 ---> ASA ---> 内部 (10.1.0.0/16)
                  |
                  +-----> DMZ (1.2.3.0/24)

使用 NATed IP 地址的示例：
  互联网 ---> ASA ---> 内部 (10.1.0.0/16)
                  |
     (1.2.3.0/24) +-----> DMZ (10.99.0.0/24) …

我正在 Amazon EC2 实例上的 Linux 实例和通过其 Cisco 集中器的远程网络之间使用 strongSwan 设置 VPN。我需要从远程子网中的一台机器上的 Linux 实例本身路由数据包。

连接建立正常，但没有数据包被路由。

我想我需要设置一些特定的路由规则，我应该怎么做？

软件

• Linux 内核 3.5.0-41，
• Ubuntu 12.10，
• strongSwan 5.1.1（从源代码构建），
• iptables - 没有规则。

网络

当地的

• 亚马逊弹性 IP：56.xxx
• 面向公众的局域网 IP：172.xxx
• 本地虚拟子网：10.254.0.0/16
• 本地虚拟IP：10.254.5.174

偏僻的

• Cisco集中器公网IP：62.xxx
• 远程子网：10.192.0.0/12

配置

配置文件

config setup

conn %default
    keyexchange = ikev1
    type = tunnel
    ikelifetime = 86400
    keylife = 28800
    keyingtries = %forever
    esp = 3des-sha
    ike = 3des-md5-modp1024
    forceencaps = yes
    leftauth = psk
    rightauth = psk

conn myconnection
    left = 172.x.x.x
    leftsubnet = …

当谈到思科的东西时，我是个白痴。我通常可以找出大多数防火墙并了解网络掩码、IP 地址、DMZ、NAT 等。但出于某种原因，我就是不了解 Cisco ASA。CLI 和 ASDM。

长话短说，我正在寻找一个好的网站或可以为我提供带有评论的基本配置文件的人，以便我能够理解它。

是的，我尝试过 RTFM。

非常感谢大家。

我希望在使用 PuTTY 访问 Cisco ASA 上的 CLI 时能够使用 Home、End 和 Delete 键。目前，当我使用这些键时，我会看到 ~ 字符。

我尝试将 Home 和 End 的 PuTTY 会话键盘设置从 Standard 更改为 rxvt - 这导致 Delete 给出 ~，Home 什么都不做，而 End 给出 w。

是否可以让我的键盘正常工作？

我让这一切都可以正常连接到 Linux，但不能连接到 Cisco 设备。