请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
楼主: vsop5207

【跟我一起读】Cisco ASA 设备使用指南(第3版)

[复制链接]
发表于 2018-1-5 16:15:07 | 显示全部楼层
6.为什么需要虚拟化?有哪些优势(1)ISP  给多个客户提供安全服务
(2)学校个给多个网络隔离
(3)大企业多部门隔离
(4)企业有重叠网络
(5)数据中心提供端到端的虚拟化环境

优势就是ASA 物尽其用!

7.透明模式部署有哪些注意事项?

ASA 透明模式需要首先配置一个管理IP ,ASA 透明模式可以做安全策略,但是不能做路由,比如OSPF  RIP  什么的,还有不能座VPN, 毕竟透明模式就是桥接,好处是可以不改变拓扑提供安全!

8.ASA 支持哪些高可用?适合什么环境?


支持多集群,这个估计是大企业,ISP ,哪些什么跨国企业交常见;一般企业用failover 这种,适合普通企业,企业大小改变ASA 型号高低端咯
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-1-7 11:34:05 | 显示全部楼层
6.为什么需要虚拟化?有哪些优势
先说虚拟化是啥:将1个物理防火墙分为多个独立的虚拟防火墙。由三个模块构成,分别是:系统执行空间、管理虚拟防火墙(一般为admin)、用户虚拟防火墙。系统执行空间主要是用来为虚拟防火墙定义属性和参数,存储在nvram,而虚拟防火墙存可以储在本地flash或则网络存储。
虚拟化的优势就是能否将资源最大化使用,能个独立使用各个虚拟ASA,不会相互干扰

7.透明模式部署有哪些注意事项?
1. 必须配置一个管理地址,切管理地址不能是主机掩码,跟被监控的网络是一个子网。
2.只允许2个接口,不管你实际有几个物理接口,#这个跟版本有关系,8.4以后可以多个桥接组,每个桥接组2个端口
3. 可用使用扩展控制列表去放行3层流量。可以使用ethertype access list 去控制其他非ip协议。

8.ASA 支持哪些高可用?适合什么环境?

ASA 支持cluster
ASA 支持failover   AA  或者AS模式
ASA 支持冗余链路

cluster 适合ISP ,数据中心,分流
failover 适合各种环境
冗余链路支持接核心交换机这种情况

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-1-8 15:15:22 | 显示全部楼层
  读书进行时,大家积极参与活动!   分享也是一种快乐!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-1-9 13:47:38 | 显示全部楼层
9. 站点到站点IPSec VPN 建立有哪些步骤?
1)启用ISAKMP
2)创建ISAKMP策略
3)创建隧道组
4)定义IPSec策略
5)创建加密映射集
6)配置流量过滤器(可选)
7)绕过NAT(可选)

10.SSL VPN 有哪些优化配置?
ASA 提供多种优化SSL VPN性能方法,包括缓存和压缩网络对象。
缓存可增强无客户端 SSL VPN性能。它将经常重复使用的对象存储在系统缓存中,这会减少对内容执行重复重写和压缩的需要。它减少了无客户端 SSL VPN 和远程服务器之间的流量,结果让很多应用运行效率更高。
默认情况下会启用缓存。你可以在缓存模式下使用缓存命令自定义你环境中的缓存运行方式。

11.  请分享一个或者多个你处理过的VPN 故障案例!
VPN Client无法解析 DNS
在建立隧道之后,如果 VPN Client无法解析 DNS,则可能是前端设备 (ASA/PIX) 中的DNS服务器配置存在问题。此外,请检查VPN Client和DNS服务器之间的连接。DNS服务器配置必须在组策略下配置,并在隧道组常规属性中的组策略下应用。

VPN Client无法根据名称连接内部服务器
VPN Client无法根据名称对远程端或前端内部网络的主机或服务器执行ping操作。此时需要启用ASA上的split-dns 配置以解决此问题。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-1-9 16:42:42 | 显示全部楼层
本帖最后由 YilinChen 于 2018-1-10 13:41 编辑

HOHO,要开始贴配置了

9. 站点到站点IPSec VPN 建立有哪些步骤?
第一步,创建第一阶段协商策略(IKE SA)
ASA(config)# crypto ikev1 policy 10
ASA(config-ikev1-policy)# authentication pre-share
ASA(config-ikev1-policy)# encryption 3des
ASA(config-ikev1-policy)# hash sha
ASA(config-ikev1-policy)# group 2
ASA(config-ikev1-policy)# lifetime 864000

第二步,明确声明在外部接口充许启用ikev1
ASA(config)#crypto ikev1 enable outside

第三步,创建第二阶段协商策略(IPSec SA)
ASA(config)# crypto ipsec ikev1 transform-set ASAtoR1 esp-3des esp-sha-hmac

第四步,配置预共享密钥
ASA(config)# tunnel-group A.A.A.A(远端设备公网接口IP)type ipsec-l2l
ASA(config)# tunnel-group A.A.A.A(远端设备公网接口IP)ipsec-attributes
ASA(config-tunnel-ipsec)# ikev1 pre-shared-key cisco123

第五步,创建ACL用于匹配感兴趣流
ASA(config)# access-list L2LVPN extended permit ip B.B.B.0 255.255.255.0[内网IP地址段]  C.C.C.0 255.255.255.0[远端内部IP地址段]

第六步,创建Crypto MAP 和之前的配置的策略进行关联
ASA(config)#crypto map CYMAP 10 match address L2LVPN
ASA(config)#crypto map CYMAP 10 set peer A.A.A.A
ASA(config)#crypto map CYMAP 10 set ikev1 transform-set ASAtoR1

第七步,将Crypto MAP 应用到相应接口上
ASA(config)#crypto map CYMAP interface outside

第八步,配置Twice Identify NAT 避免感兴趣流被NAT
ASA(config)#objet network L2L-INSIDE
ASA(config-network-object)#subnet B.B.B.0 255.255.255.0
ASA(config)#objet network L2L-REMOTE
ASA(config-network-object)#subnet C.C.C.0 255.255.255.0
ASA(config-network-object)#exit
ASA(config)#nat (inside,outside) source static L2L-INSIDE L2L-INSIDE destination L2L-REMOTE L2L-REMOTE

10.SSL VPN 有哪些优化配置?

可以基于本地账号认证,也可以基于Radius/TACAS+/LDAP等远端账号实现认证;那么在这个认证登陆时,其实还可以基于用户组进行区分,当用户使用Anyconnnect登陆时,
可以选择属于哪个用户组,以实现不同用户组对应不对访问权限;

当基于ACS实现时,通过配置匹配相关的Radius 扩展属性(对应用户组名),现实DACL;

另一个优化,是当使用Anyconnnect时,连接到哪个IP/URL,默认是没办法有下拉菜单去选择的,只会记录上一次登陆过的IP/URL,这样不是很方便,其实也能基于Profile实现下拉菜单,但似乎必须是基于ASDM配置才行,命令行下不能实现,我自己也没真正实现过,希望有大神能写个完整的实现教程提供给大家



11.  请分享一个或者多个你处理过的VPN 故障案例!


拓扑说明:
多家分支机构FW通过 IPSEC VPN 和总部FW互联,实现内网通信;
故障现象:
A分支机构 表示 存在不定时 随机性丢包,访问业务系统 卡顿/掉线,其它分支机构表示没有这样的故障现象;
分析:业务系统IP属于内网地址段,只有经过IPSEC VPN Tunnel 才能通信,IPSEC VPN是基于UDP的,仔细检查UDP相关策略/防护配置后,发现A分支机构 为防止UDP洪泛攻击,设置了防护策略,关闭UDP洪泛攻击防护后,故障恢复。




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
发表于 2018-1-10 08:04:25 | 显示全部楼层
9. 站点到站点IPSec VPN 建立有哪些步骤?

第一阶段

有主模式和积极模式2种

主模式执行3步,6个数据包的双向交换.过程如下:


1.对等体间协商如何来保护管理连接.(使用加密变换集来保护)


2.对等体间使用DH算法来共享密钥以及保护连接.


3.对等体间进行彼此的验证.


积极模式执行的过程:


1.交换保护管理连接的策略,DH算法建立公钥/密钥对并在对等体间进行认证.


2.对收到的数据包做验证,DH算法来共享加密的密钥,并查看连接是否成功建立.


PS:除了预共享密钥认证外.其他的认证方式默认为主模式.

第二阶段
快速模式
协商IPSEC SA使用的安全参数,创建IPSEC SA,使用AH或ESP来加密IP数据流



10.SSL VPN 有哪些优化配置?

关联AD 域控做认证算不算?   记录账户名应该算一个吧? 其他还有就不说很清楚了

11.  请分享一个或者多个你处理过的VPN 故障案例!


前段时间处理过一个思科与其他厂家IPSec VPN 对接的故障,原因是因为默认有一个用了PFS,而思科默认是没有开启的。这里就要提醒一下,一定要去了解设备默认开启哪些特性,默认参数是什么
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-1-10 14:25:36 | 显示全部楼层
9. 站点到站点IPSec VPN 建立有哪些步骤?图片详细分享IPSec VPN 建立的两个阶段

10.SSL VPN 有哪些优化配置?
可以配远程用户最大在线时长,房子设备网关一直保持会话,因为如果移动出差办公人员数量很大的话,保持这个connect会话也是需要很大资源的


11.  请分享一个或者多个你处理过的VPN 故障案例!
帮客户处理过一个隧道分离的故障,因为没有开启隧道分离导致VPN 链接后只能访问企业资源,无法上外网,开启隧道分离即可。
还处理过一个就是客户IPSec VPN ,两边的感兴趣流不一致导致无法建立起隧道,通过debug crypto有报错,根据报错找到的故障原因。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-1-10 15:57:28 | 显示全部楼层
Rocky 发表于 2018-1-9 13:47
9. 站点到站点IPSec VPN 建立有哪些步骤?
1)启用ISAKMP
2)创建ISAKMP策略

   不错,谢谢分享!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-1-10 15:57:48 | 显示全部楼层
YilinChen 发表于 2018-1-9 16:42
HOHO,要开始贴配置了

9. 站点到站点IPSec VPN 建立有哪些步骤?

   不错,谢谢分享!  有图有案例!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-1-10 15:58:52 | 显示全部楼层
938332752 发表于 2018-1-10 14:25
9. 站点到站点IPSec VPN 建立有哪些步骤?图片详细分享IPSec VPN 建立的两个阶段

10.SSL VPN 有哪些优化 ...

   不错,谢谢分享!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2018-4-26 17:35 , Processed in 0.105033 second(s), 50 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表