我们目前在具有冗余 ip 连接的位置运行 ASA9。我们很乐意进行配置,ip sla以便 Internet 访问能够在单个运营商中断的情况下继续存在。我知道 ip sla 命令,但是当我尝试预填充所需的 NAT 规则时,第二条规则的添加将覆盖第一条规则。下面是一个例子:
object network NYHQ_GUESTWIRELESS_10.110.6.0_24
nat (NYHQ-GUESTWIRELESS,NYHQ-OUTSIDE_FIOS) dynamic interface
当我尝试添加额外的 nat 规则时,也许
nat (NYHQ-GUESTWIRELESS,NYHQ-OUTSIDE_COGENT) dynamic interface
新规则会覆盖先前存在的规则,如下所示:
object network NYHQ_GUESTWIRELESS_10.110.6.0_24
nat (NYHQ-GUESTWIRELESS,NYHQ-OUTSIDE_COGENT) dynamic interface
有什么方法可以让这两个规则都到位,以便 NAT 可以与我们的 SLA 规则合作,以确保无论使用哪个提供商,NAT 仍能正常工作?
我已经在 ScreenOS 路由器 (SSG-5) 和 Cisco 3925 之间设置了一个点对点传输 ipsec 会话。 ipsec 传输本身运行良好,但是一旦我尝试通过传输引导协议 41 流量,数据包就不会不能正常运输。
我首先假设您需要为 ipsec 连接创建一个隧道,然后使用 ipsec 隧道的传出接口将 ip6in4 隧道作为目标,但是 screenos 不会让您在隧道上创建隧道。
此外,我尝试使用基于策略的 vpn,但是当我尝试使用“隧道 vpn”作为策略目标时,它告诉我未知命令?基于策略的 ipsec 是否有主开/关开关?
以下是我认为的相关配置,尽管我很乐意根据需要提供更多信息。
SCREENOS CONFIG:
---------------------------
set zone id 105 "mytunnel_TUNNEL"
set zone "mytunnel_TUNNEL" tcp-rst
set interface "tunnel.5" zone "mytunnel_TUNNEL"
set address "mytunnel_TUNNEL" "fdee:7e1e::/32" fdee:7e1e::/32
set ike gateway "micmplsv4" address 2.2.2.157 Main outgoing-interface "ethernet0/0" preshare "igdZeIcKNobfusol+CQcpIfvwnFwrxb5g==" sec-level compatible
set vpn "mytunnel" gateway "micmplsv4" no-replay transport idletime 0 sec-level compatible
set vpn "mytunnel" monitor optimized …我正在尝试在已经使用 POSIX ACL 的环境中使用 NFS4 ACL。我在互联网上找到了一些网站,它们解释了有关 NFS4 ACL 的一些技术细节以及它们是如何创建的,但是当我尝试执行这些工具时,这些工具似乎对我来说失败了。
有没有人有很好的资源/教程来解释如何设置 NFS4 ACL?
当我尝试从服务器更改 ACL 集时:
[root@ny-bar01 foo_server]# nfs4_setfacl -e /nfs/obfuscate/
Operation to request attribute not supported.
Failed to instantiate ACL.
当我尝试从客户端更改 ACL 集时:
[root@ny-baz02 foo_client]# nfs4_setfacl -R -e .
Failed setxattr operation: Operation not permitted
An error occurred during recursive file tree walk.
我正在 Stack Exchange 设置我们的新 ASA,并尝试遵循一些最佳实践,例如使用配置管理和最低权限所需的用户。我想要做的是利用 https 服务器下载正在运行的配置。如果您不知道,当启用 https 并且您有足够的权限时,您可以转到https://asa-ip/config下载当前运行的配置。
我试图解决两个问题:
我已经为 ASA 设置了 LDAP 访问,以便我们可以使用我们的 Active Directory 对 ASA 进行身份验证。它通过 ssh 工作,但 http 似乎仍然使用 LOCAL 数据库,而且我不知道导致 http 服务器从 LDAP 源查找的命令。
需要哪些 aaa 命令来授权低权限用户以这种方式下载配置?这甚至是可能的还是我一直在创建一个 priv 15 用户?
这是我以前从未考虑过的事情,希望得到专家的意见。我们日复一日地将 VLAN 用于各种网络任务。我的做法是,一般来说,如果某些东西支持 VLAN,那么该端口就会被中继,因为如果您需要在单个链接上做不止一件事的最轻微的机会,它就很有意义。
然而,当我思考这个问题时,我想知道这种思路是否会影响性能?影响可以忽略不计吗?
下面附上一个我写的 puppet 模块,它将 iptables 配置推送到我们的负载均衡器。它可以工作,除了 so-bans-apply 脚本在每次木偶运行时运行,而不管服务本身是否真的有更新。我的问题是为什么每次运行都会触发 exec,我怎样才能让它在订阅的服务刷新时运行?
我曾尝试删除 Exec 中的“onlyif”语句,认为可能 onlyif 会触发无条件执行,但即使没有“onlyif”,exec 仍会触发每次运行木偶。
节点定义的指定与此类似,但未指定任何参数:
node /or-rtlb\d{2}/ {
include iptables
}
这是类本身的代码:
class iptables ($ApplyBans=true)
{
if $hostname =~ /(?i:or-rtlb\d{2})/ {
$ip6tables_file="or-rtlbs.ip6tables"
$iptables_file="or-rtlbs.iptables"
}
if $hostname =~ /(?i:or-puptest)/ {
$ip6tables_file="or-rtlbs.ip6tables"
$iptables_file="or-rtlbs.iptables"
}
case $::osfamily {
RedHat:
{
file { "/etc/sysconfig":
ensure => directory,
owner => root,
group => root,
mode => 0755
}
file { "ip6tables-file":
path => "/etc/sysconfig/ip6tables",
ensure => present,
owner => root,
group => root,
mode => …我的系统很少有 ipv6 地址。我想将请求从一个系统转发到另一个系统。因此我保留了这个选项
net.ipv6.conf.all.forwarding = 1
在 sysctl.conf 中
但是请求没有像在 ipv4 中那样被转发,它也给我在启动时出错。net.ipv6.conf.all.forwarding 1 是未知密钥