这个问题分为两部分：

形状

如何将 ASA5510 的带宽限制在 10Mbps 以下？

目前我有：

policy-map shape_policy
class class-default
 shape average 9000000 36096
!
service-policy shape_policy interface outside

但是当我查看外部接口上的流量时，它似乎有时会超过 10Mbps。

警察

另外，是否可以限制每个用户在 ASA 上占用的带宽？我已经尝试过类似的东西（虽然它目前没有运行）：

police input 3000000 51200 conform-action transmit exceed-action drop
police output 3000000 51200 conform-action transmit exceed-action drop

这是要走的路还是有更好的方法？

谢谢！

// 附录：

我应该补充一点，我使用的是 8.0(4) 版固件，因为它可以帮助为最新的 ASA 提供正确的配置。

// 地位：

我开了赏金。我得到了两个有趣的答案，虽然不确定。一个在支持的命令方面似乎已经过时，另一个没有回答问题的第二部分，让我不满意。需要思科专家！

我发现很难从 Cisco 和 Juniper 购买：

• 在他们的网站上找不到价格标签，更不用说在线购买功能了
• “购买思科”谷歌搜索将主要返回销售二手设备的网站。我在我所在的地理区域（即法国）没有找到任何经销商。
• 如果我理解正确的话，购买新设备的典型方法是询问 Cisco（或 Juniper）“合作伙伴”，但这些合作伙伴似乎是安全专业人员，他们想要审核我的系统（当然不是免费的），建议我买什么，然后把他们建议我买的卖给我。.

我习惯在互联网上购买其他 IT 设备（例如服务器），任何查询都会返回数百个经销商，包括在线和实体。我错过了什么吗？从 Cisco 和 Juniper 购买的标准方式是什么？

我只是在寻找一个值得信赖的在线经销商，它可以让我比较价格并在线购买我的设备！

问题是……我们有一个包含很多 Cisco 交换机的网络。

有人在网络上插入了一个集线器，然后我们开始看到“奇怪”的行为；客户端和服务器之间的通信错误，或网络超时、网络连接中断等。似乎该集线器（或 SOHO 交换机）以某种方式特别吓坏了我们的 Cisco 3700 系列交换机。

断开那个集线器或网络设备类型的 SOHO 交换机，事情又恢复了。

我们正在尝试为 SNMP 和管理等获得一个集中的日志服务器，看看我们是否可以在有人在我们不知情的情况下做这种事情时捕获错误或缩小范围，因为事情似乎有效，因为大多数情况下，没有问题，我们只是在特定的交换机上遇到奇怪的奇怪事件，这些事件似乎没有任何解释，直到我们发现有人决定自己解决问题以扩展他们房间中的可用端口。

没有进入程序更改或锁定端口或“在我们的组织中他们会被解雇”的答案，有人可以解释为什么添加一个小型交换机或集线器，不一定是 SOHO 路由器（即使是一个愚蠢的集线器显然也导致 3700 吓坏了） ) 将 DHCP 请求发送出去，会导致问题吗？老板说这是因为 Cisco 越来越糊涂了，因为那个流氓集线器/交换机正在将多个 MAC/IP 桥接到 Cisco 交换机的一个端口中，他们只是因此而窒息，但我认为他们的路由表应该能够处理多台机器的到来进入港口。任何人之前都看到过这种行为并对发生的事情有更清晰的解释？

我想知道未来的故障排除和更好的理解，只是挥手说“你不能”。

这是一场表演赛

当前配置：25591 字节

！

版本 12.2

没有服务台

服务时间戳调试日期时间毫秒

服务时间戳记录日期时间毫秒

服务密码加密

！

主机名 ＃＃＃＃＃＃＃＃＃＃＃

！

启动标志

引导结束标记

！

启用秘密 5 ############

！

！

！

没有 aaa 新模型

交换机 1 提供 ws-c3750g-24ps

交换机 2 规定 ws-c3750-48ts

交换机 3 规定 ws-c3750-48ts

交换机 4 规定 ws-c3750-48ts

交换机 5 规定 ws-c3750-48ts

系统 mtu 路由 …

目前我公司已被另一家公司收购。因此，另外两家公司的用户将迁移到我们的办公室。

如果我们可以根据用户尝试使用 dot1x 登录的域为用户选择 vlan，那将非常方便。

EG VLAN

• 100 公司A
• 200 B公司
• 300公司C

有人将笔记本电脑放在桌子上，插入网络端口并按 CTRL-ALT-DEL，选择域名 CompanyB 并登录。

我想要的结果是 dot1x 能够确定这是来自 CompanyB 的用户并设置网络端口以动态反映 vlan 200。

可能的？

我有许多 Cisco IP 电话以以下方式运行（过于简化）：

• 与 DHCP 协商 IP、DNS、TFTP 等。
• 在 TFTP 服务器上查找 SEPXXXXXXXXXXXX.cnf.xml 配置文件，其中 X 是电话的 MAC 地址
• 如有必要，解析配置文件以加载其配置并更新固件（也存储在 TFTP 服务器上）

这里的问题是我有一些电话需要放在小型办公室或人们的家中。我需要能够随时更新配置文件，所以我不能只是预先配置手机并将其发送出去。如何通过 Internet 确保 TFTP 访问安全并防止未经授权的人访问配置文件？我知道我可以执行基于 IP 的 ACL，但这并不能阻止有人欺骗 IP 的可能性。

我们有一个主要是 Cisco 网络，但对于我们的接入层，我们通常部署瞻博网络集群交换交换机。为了复制这一点，我们有兴趣在我们的产品开发实验室中部署一些瞻博网络交换机。缺点是我们在那个实验室中有一百多个 vlan。

是否支持 VTP？他们为 cisco 授权了吗？或者我是否必须从我们的其他交换机上获取一份 vlan 数据库的副本并在瞻博网络交换机上手动实施？

我是 Linux 和 rsyslog 的新手。我已经使用日志文件很多年了，但我从来没有设置过。在这一点上，我有一些概念证明设备指向我的 Debain Linux 服务器。我将系统日志消息传入并写入单个文件：/var/log/prd/fwlog 我只关心 3 种设备类型 - 交换机、路由器和防火墙。（所有思科）我的 rsyslog.conf 相当简单，我只修改了基本配置，注释掉了我不喜欢/不需要的东西？

剪掉了注释掉的东西。

$ModLoad immark  # provides --MARK-- message capability    

$ModLoad imudp
$UDPServerRun 514

$FileOwner root
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022

$WorkDirectory /var/spool/rsyslog

$IncludeConfig /etc/rsyslog.d/*.conf

*.*          /var/log/prd/fwlog

最后我的问题！

1. 我想将日志中的路由器和交换机旋转和分离，日志中的日期标记为“rslog-YYYY-MM-DD”，防火墙也转换为日志中的日期标记为“fwlog-YYYY-MM-DD”

2. 我想在 48 小时后压缩（gzip？）日志。

我需要在我的配置中添加什么？

我想我将目录和文件添加到 /etc/logrotate.d/rsyslog 中的 rsyslog

/var/log/syslog
{
        rotate 7
        daily
        missingok
        notifempty
        delaycompress
        compress
        postrotate
                invoke-rc.d rsyslog rotate > /dev/null
        endscript
}

/var/log/prd/fwlog*
/var/log/prd/rslog*

{
        rotate 4
        weekly
        missingok
        notifempty
        compress
        delaycompress …

我在谷歌上搜索这个并没有发现任何东西。

如果您有 100 个奇怪的 Cisco 路由器和交换机，您如何推出新的 IOS 版本？当然不是通过手动登录每个设备。我发现的唯一东西是 Cisco Auto-Upgrade Manager，但这仅适用于 ISR。

是通过脚本部署 Cisco 交换机和路由器更新的唯一方法吗？我可以编写此脚本，但在执行此操作之前，我想确保唯一的方法是使用我自己的脚本。

编辑：需要明确的是，我不是在寻找一种让路由器自动更新自己的方法，只是一种将 IOS 更新推送到路由器的自动方法。

编辑：就像更新 Puppet Device Managemnet（与 Foreman）工作得很好，但我可能只使用 SolarWinds NCM

我正在对作为故障转移集群一部分的备用 Cisco ASA 5508-X 防火墙执行维护。重新加载后，我注意到集群状态在设备应该恢复后很长时间仍然失败。

我让数据中心工作人员连接了一个串行控制台，并在重启循环中收到了以下信息：

Attempt autoboot: "boot disk0:"
media drive disk0: not present
boot: cannot determine first file name on device "disk0:"
autoboot: All boot attempts have failed.

这对我来说绝对是新的，因为我已经习惯了旧的 ASA 5505 和 5510 防火墙的低故障率。

此设备是故障转移设备，当前没有 SmartNet。但是，从此类故障中恢复的最佳方法是什么？服务目前没有受到影响，但我找不到任何简单的程序可以遵循。

由于某种原因，我无法通过 ssh 连接到 Cisco Catalyst C3750 交换机。这是我收到的错误消息：

   ssh_dispatch_run_fatal: Connection to 192.168.7.6 port 22: Invalid key length

这是我正在使用的 SSH 配置：

   Host 192.168.7.6
   IdentitiesOnly yes
   KexAlgorithms=+diffie-hellman-group1-sha1

我的 SSH 版本是：

   OpenSSH_7.6p1, OpenSSL 1.1.0h-fips  27 Mar 2018

我已经跑了：

   crypto key generate rsa

在交换机上并生成了一个2048长度的密钥，但这没有帮助。我也重新加载了开关。

谢谢