标签: cisco-asa

我想知道是否没有 Fortigates 与我们可以在 ASA 上找到的packet-tracer命令等效的命令。

以下是不知道的人的执行示例：

NAT 和通过：

lev5505# packet-tracer input inside tcp 192.168.3.20 9876 8.8.8.8 80

Phase: 1
Type: ACCESS-LIST
Subtype: 
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   0.0.0.0         0.0.0.0         outside

Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group inside-in in interface inside
access-list inside-in extended permit tcp any any eq www 
access-list inside-in remark Allows DNS
Additional Information:

Phase: …

每当我在 ASA 中编写一些命令时，它都会隐藏完整的命令并显示命令的位。有什么方法可以增加我在 ASA 中编写的命令的长度，以便它不会隐藏在终端会话中编写的命令？我试图用谷歌搜索它但无法找到解决方案

(ASA)#sho run object-group id $

背景故事：

我在一家公司的 IT 部门工作，当我的公司大约十年前刚起步时，该公司获得了在仓库外工作的空间。从此以后，我公司的业主们就向仓库的业主们提供了“恩惠”。

问题

仓库中有一个旧的、设计不佳的 Microsoft Access 2003 应用程序，它已经在我公司的服务器上托管了很长时间。他们通过 RDP 连接到它。

我们正在升级我们的服务器（和软件），并希望它们完全脱离我们的网络，因为支持他们缺乏技术知识、他们的旧 Windows Vista 计算机以及事实上网络打印对他们来说一直在中断。

我正在研究一个解决方案，为他们在内部移动他们的 Access 数据库。需求之一是仓库所有者可以从她的房子（外面）连接到它。

我们的所有者仍然不想放弃它们，所以这里是我们的解决方案：为仓库提供一台新的台式计算机，它将托管 Microsoft Access 数据库。取出他们的家用路由器，并放入 Cisco ASA 5505（免费延长贷款）。使用文件共享（因此其他每台计算机也需要 Access 2003），以便每个人都可以使用它。

但是，我仍在尝试找出允许外部用户连接到 Access 资源的最佳方法。

我已经构建了本地接口，完成了工作 DHCP 并指向 OpenDNS 的 DNS 服务器。我还没有他们的公共 IP 地址（虽然我知道它是静态的），所以我也会构建公共 int。

我已经建立了访问列表，以允许来自仓库所有者家（在静态 IP 上）的流量以及来自我公司的流量，因为我们将继续支持它们。

我对 Cisco 不是很熟悉，但一直在学习（考虑尽快参加 CCNA），并且玩过我们最终将部署到他们位置的 ASA。我的理解是 ASA 可以支持 VPN，这是正确的吗？

为了让外部用户连接到内部，将 VPN 功能内置到 ASA 中是否最有意义？有什么我应该考虑的警告吗？

或者你能想到什么更好的解决方案？

我有一台 Ubuntu 服务器，它需要能够通过 Cisco AnyConnect VPN 连接到我们的一个应用程序的另一台服务器。

但是，由于我们将此服务器用于多个应用程序，因此我们无法通过 VPN 路由所有流量。

因此，理想情况下，VPN 应设置为仅通过隧道传输到外部网络内 IP 地址的流量，其余流量将正常从我们的网络传输。

我知道这对于 OpenVPN 之类的东西是可能的，但我不知道如何在 AnyConnect 之类的东西上做到这一点。有谁知道我该怎么做？

我已从 ASA 5510 导出现有证书+密钥：

asa5510(config)# crypto ca export MYTRUSTSTORE pkcs12 MYPASSWORD

将输出保存在文件 (vpn-cisco.pkcs12) 中，现在我试图将证书和密钥提取到单独的文件中，如下所示：

openssl pkcs12 -in cisco-vpn.pkcs12 -nocerts -out privateKey.pem

我收到的错误：

139708630054816:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:1319:
139708630054816:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:tasn_dec.c:381:Type=PKCS12

如果我运行openssl pkcs12 -info ...或任何其他命令，同样的错误。

我尝试再次导出文件并使用 ASDM 而不是 CLI 进行比较，但文件完全相同。

谷歌搜索错误只是说文件的编码可能以某种方式关闭，但没有具体细节。

我有一个 CISCO ASA 5506-X，有 4 个配置的接口和一组访问列表等。它是通过 CLI 配置的，并在路由模式下运行，而不是透明的。一切都运行良好，但现在我遇到了一个我无法解决的问题：

其中一个接口包含一个子网 (192.168.2.*)，其中的设备发出 UDP 广播以发现另一种设备。这些其他设备位于另一个接口 (192.168.3.*) 的另一个子网中。udp 广播在某个端口上是全局的 (255.255.255.255)。

我希望在 192.168.2.* 中发出的全局 UDP 广播也被发送到 192.168.3.* - 当然也允许返回。

在其他 Cisco 设备上，我已经发现可以使用ip helper-address和ip forward-protocol命令来做到这一点- 但据我所知，ASA 型号不支持这些。

那么，如何获得跨接口的全局 UDP 广播？

我们正在从一组地址迁移到另一组地址，均为 /24，并尝试将迁移期间的任何停机时间降至最低。理想情况下，当我们关闭旧电路时，我们会同时运行一段时间。共有 4 个 Internet 连接，每对都运行 BGP。

然后将其中的每一个路由到 Cisco ASA，该 ASA 连接到交换机，该交换机在该子网上连接了多个服务器。

在上图中，左侧部分是今天存在的部分，我希望添加右侧部分。

我已经连接了 ASA 并且它们都在 10.20.20.0/24 子网上，第一个 ASA 接口为 10.20.20.1，第二个 ASA 接口为 10.20.20.254。

这里的问题是所有服务器都将 10.20.20.1 作为默认路由，我真的很想将流量路由回它进来的方式。也就是说，互联网 -> ASA #2 -> 服务器 -> 返回ASA #2。当然，就像今天一样，它将响应发送回 ASA #1，并且没有找到它的翻译。

我会以错误的方式解决这个问题吗？

编辑：我应该提到外 #1 和外 #2 有不同的公共 /24 网络。我们正在从 ISP 提供的块迁移到我们自己的块。

我在主机托管设施中使用Cisco ASA 5505 50 用户防火墙。此位置的系统正在执行对其他远程站点（也运行 Pix 或 ASA 设备）的监控。我已经建立了站点到站点隧道，但在其当前许可方案下达到了设备的硬限制。ASA 5505 型号仅限于 10 个同步 IPsec 隧道。

我很好奇我在这里的选择。理想情况下，我希望能够处理 15-20 个连接。根据研究，我似乎可以添加额外的Security Plus许可证以扩展到 25 个 VPN 隧道。另一个选项似乎是转向 Cisco ASA 5510。

鉴于我在 colo 拥有少量系统，是否只是为了获得额外的 VPN 功能而迁移到 ASA 5510？将 ASA 5505 升级到 25-VPN 选项是否有任何缺点（硬件/性能/等）？还有其他我错过的选择吗？

这里有一些系统的混搭，所以请耐心等待。从本质上讲，我在尝试备份远程 Linux 服务器时在使用适用于 Oracle 的 Backup Exec 代理时遇到了一些问题。BE 代理似乎使用 RMAN 来备份数据库

备份服务器在一个 VLAN 上，目标服务器在另一个 VLAN 上，Cisco ASA 防火墙提供了它们之间的唯一链接。这是设计使然，因为备份服务器要支持多个客户端，并且每个客户端都必须位于自己的 VLAN 上，以防止它们相互访问。我已将推荐的端口添加到防火墙，以至少允许代理与媒体服务器通信。

备份开始得很好（实际上，同一台服务器上较小的 Oracle 数据库可以毫无问题地完成），但显然需要几个小时才能完成的 200GB 数据库无法完成。

我认为该问题与http://www.symantec.com/business/support/index?page=content&id=TECH59632相关，它表示在备份开始时在端口 5633 上建立了一个 CORBA 会话并且之前使用过每个 RMAN 操作，但是在传输数据时，CORBA 会话的套接字没有收到任何数据包。由于防火墙上的连接超时为 60 分钟，因此 CORBA 会话被丢弃，并且当 RMAN 代理尝试执行其下一个操作时，整个过程会爆炸。赛门铁克说这个问题在早期版本的 Backup Exec 中得到了解决，但没有详细说明任何额外的设置来强制执行它。

将防火墙上的连接超时设置为足以覆盖备份窗口的时间（例如 12 小时）似乎是错误的做法，因为这是一个范围内的更改，这也会影响（例如) 对另一个客户端的 Web 服务器的 Web 请求。

将 Linux 服务器移动到与备份服务器相同的 LAN 中是不可能的。

我不是 Linux 大师，但我大致了解我的方法。到目前为止，我已经尝试开始使用 libkeepalive ( http://libkeepalive.sourceforge.net/ ) 来强制使用 KEEPALIVE TCP 标志创建 beremote 进程的套接字，但快速netstat -top表明它没有被占用。要么我错误地使用了 libkeepalive，要么它不适用于 beremote 二进制文件

我想我正在寻找适合我所处环境的选项。我想我正在寻找以下一项或多项：

• 一种配置 BE 代理以保持连接活动的方法？ …

我的 ASA 集群上的远程访问 VPN 连接有一个奇怪的问题。

正常的站点到站点隧道和 AnyConnect 连接工作正常。但是，特殊的 ipsec ikev1 隧道没有。它建立并保持正常运行，但客户端（在本例中为 Avaya VPN 电话）既没有收到客户端地址，也没有要求提供地址（有点不确定该怪谁）。

此图显示了连接建立时的连接。请注意，分配的 IP 地址为空。字节 TX 为“0”是很自然的，因为内部网络没有客户端可路由。

我尝试通过 ASDM 调试它，但没有运气。我对 CLI 没有足够的信心进行控制台调试，因为我们大量使用“通知”关键字来匹配我们拥有的每个 ACL。

建议？