问题编号: 3398
问题主题: 我怎么才能通过asdm配置aip-ssm模块
提问者: v57fcrss
提问时间: 2006-4-1 9:56:31
提问内容: 一台asa5520-aip-ssm,asa5520内口的ip 为172.16.1.1/24
aip-ssmip 为172.16.1.2/24网关为172.16.1.1,在aip-ssm中
已经加了permit 172.16.1.0/24,可是无论是从asa5520上还是
sess 1里面,都无法互相ping通,请问我该怎么做才能配置好
ips功能。
回答者: luzuohua_cisco
回答时间: 2006-4-1 20:12:21
回答内容: 目前你所作的设置是正确的,但仅从这些信息无法判断问题,怎样使用asdm配置aip-ssm模块,可参考下面的文档:
http://www.cisco.com/en/us/products/ps6121/prod_technical_reference_list.html
关于aip-ssm更多的配置使用可参考:
http://www.cisco.com/univercd/cc/td/doc/product/multisec/modules/aipssm/index.htm
问题编号: 3397
问题主题: idsm2模块问题
提问者: fwsm
提问时间: 2006-3-31 10:53:08
提问内容: 1、idsm2模块自带多长时间的签名文件更新,怎么开始计算使用时间?
2、签名文件的更新是模块自行更新还是下载文件手动更新?
3、什么时间开始购买c
非常感谢!
回答者: jiangxing_cisco
回答时间: 2006-3-31 11:05:32
回答内容: 1、idsm2模块自带6个月的签名文件升级许可,可以从拿到产品开始计算。
2、签名文件可以自行更新也可以手动更新
3、由于从下订单到拿到实际license 需要一定时间所以还是和产品一起买比较好。
谢谢
问题编号: 3396
问题主题: asa5500
提问者: zhanglmcom
提问时间: 2006-3-31 9:42:09
提问内容: 我刚才听了杨振海先生讲的asa5500的产品讲座,有以下疑问请教:
你们网站上说asa5500设备具备防火墙、***、防病毒、ips等功能,从讲座上可以看出,ips和病毒防护是需要另外加模 块的,而5510没有那么多的模块插槽,也就是说asa5500不能同时具备ips和病毒防护功能?对么?
回答者: jiangxing_cisco
回答时间: 2006-3-31 9:53:03
回答内容: 目前的5500ips和病毒防护功两者选其一,如果两个都要需要两台。
谢谢
问题编号: 3395
问题主题: asa5500支持cluster的ac/ac方式,路由器呢?
提问者: yanalxy
提问时间: 2006-3-31 9:08:54
提问内容: 如果是7200路由器做l2tp或者pptp的lns,对用户连接的loadbalance如何实现,iosver12.2以下 。谢谢
回答者: jiangxing_cisco
回答时间: 2006-3-31 10:41:57
回答内容: 你可以试一下glbp(global load balance protocol)协议,将多个7200 加入一个glbp组,产生一个vip作为l2tp or pptp的接入地址,glbp协议可以实现负载分担。但你的ios必须升级。
祝你好运
问题编号: 3394
问题主题: fwsm透明模式配置遇到问题
提问者: ea110297
提问时间: 2006-3-30 19:13:24
提问内容: 你好,我按照fwsm guide book里面的参考配置对fwsm作transparent,遇到一些问题,请专家帮忙:
step1. msfc的vlan与fwsm的vlan关联已成功
step2. 已将single mode改成multiple mode
(问题a:我已经在single mode下作transparent试过不成功,表现为由fwsm managment_ip可以ping通inside的pc,也能ping通msfc的outside vlan,但就是inside的pc怎么都ping不到outside的msfc,且我已经作了icmp permit any和acl permit any in int inside/outside了,fwsm作transparent时是否必须使用multiple mode呢?)
step3. 在multiple mode下成功转换成transparent mode.
step4: 在multiple mode-transparent mode下并不如guide book所说的,像基本的nameif和security-level命令都不能用,且no shutdown端口根本无效,以下是我的配置输出:
fwsm# show run
: saved
:
fwsm version 2.3(2)
firewall transparent
resource acl-partition 12
enable password 8ry2yjiyt7rrxu24 encrypted
passwd 2kfqnbnidi.2kyou encrypted
hostname fwsm
ftp mode passive
pager lines 24
logging buffer-size 4096
class default
limit-resource ipsec 5
limit-resource mac-addresses 65535
limit-resource pdm 5
limit-resource ssh 5
limit-resource telnet 5
limit-resource all 0
!
no failover
failover lan unit sec
failover polltime unit 1 holdtime 15
failover polltime interface 15
failover interface-policy 50%
arp timeout 14400
!
timeout xlate 3:00:00
timeout c 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 rpc 0:10:00 h3
23 0:05:00 h225 1:00:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
terminal width 80
admin-c admin
c admin
description admin
member default
allocate-interface vlan500-vlan501
c disk:/admin.cfg
!
cryptochecksum:a7163d8d21a3001d59096a68a1144623
: end
fwsm# show interface
interface eobc "eobc", is up, line protocol is up
mac address 0000.1300.0000, mtu 1500
ip address 127.0.0.31, subnet mask 255.255.255.0
received 22182 packets, 1448847 bytes
transmitted 46400 packets, 1416323 bytes
dropped 0 packets
interface vlan500 "", is administratively down, line protocol is up
available for allocation to a c
interface vlan501 "", is administratively down, line protocol is up
available for allocation to a c
interface vlan502 "", is administratively down, line protocol is up
available for allocation to a c
fwsm# c t
fwsm(c interface vlan501
fwsm(c ?
at the end of show , use the pipe character '|' followed by:
begin|include|exclude|grep [-v] , to filter show output.
shutdown shutdown an interface.
fwsm(c nameif inside
type help or '?' for a list of available commands.
fwsm(c security-level 100
type help or '?' for a list of available commands.
fwsm(c exit
fwsm(c interface vlan500
fwsm(c nameif outside
type help or '?' for a list of available commands.
fwsm(c security-level 0
type help or '?' for a list of available commands.
fwsm(c no shutdown
fwsm(c interface vlan501
fwsm(c no shutdown
fwsm(c exit
fwsm(c exit
fwsm# show interface
interface eobc "eobc", is up, line protocol is up
mac address 0000.1300.0000, mtu 1500
ip address 127.0.0.31, subnet mask 255.255.255.0
received 22555 packets, 1472782 bytes
transmitted 47304 packets, 1442451 bytes
dropped 0 packets
interface vlan500 "", is administratively down, line protocol is up
available for allocation to a c
interface vlan501 "", is administratively down, line protocol is up
available for allocation to a c
interface vlan502 "", is administratively down, line protocol is up
available for allocation to a c
fwsm# show mode
firewall mode: multiple
the flash mode is the same as the running mode.
fwsm# show firewall
firewall mode: transparent
fwsm#
以上是我配置的截屏
问题b:为何我明明no shut了vlan,但show int还是显示admin down呢?但line protocol is up ?
问题c:在int vlan里连nameif和security-level命令都没有,只有no shut的命令是为什么呢?
问题d:请帮忙根据上述输出定位一下问题所在吧,我真一愁莫展了,谢谢!
问题e:总是听讲transparent mode没有router mode安全,也听讲cisco以前认为桥接模式不安全才一直不支持transparent的,顺便在这里向各位专家权威求证一 下:是不是transparent比router mode安全性要差呢?cisco后来终于支持transparent mode了是不是受市场商业因素驱动而至,而始终来讲transparent的安全性始终要比router mode低呢?
问题很多,谢谢各位专家!
回答者: jiangxing_cisco
回答时间: 2006-3-31 10:28:13
回答内容:
问题a的答复:fwsm作transparent时不需要multiple mode。
问题b,c,d的答复:在step4中,你还处在system c c 是用来管理用的,不适用于用户的流量保护,所以你说的这些命令无效,请进入使用命令“changeto c admin”进入admin c
问题e的答复:transparent 模式有很多缺点:不支持active-active,不支持nat,不支持qos。
问题主题: 我怎么才能通过asdm配置aip-ssm模块
提问者: v57fcrss
提问时间: 2006-4-1 9:56:31
提问内容: 一台asa5520-aip-ssm,asa5520内口的ip 为172.16.1.1/24
aip-ssmip 为172.16.1.2/24网关为172.16.1.1,在aip-ssm中
已经加了permit 172.16.1.0/24,可是无论是从asa5520上还是
sess 1里面,都无法互相ping通,请问我该怎么做才能配置好
ips功能。
回答者: luzuohua_cisco
回答时间: 2006-4-1 20:12:21
回答内容: 目前你所作的设置是正确的,但仅从这些信息无法判断问题,怎样使用asdm配置aip-ssm模块,可参考下面的文档:
http://www.cisco.com/en/us/products/ps6121/prod_technical_reference_list.html
关于aip-ssm更多的配置使用可参考:
http://www.cisco.com/univercd/cc/td/doc/product/multisec/modules/aipssm/index.htm
问题编号: 3397
问题主题: idsm2模块问题
提问者: fwsm
提问时间: 2006-3-31 10:53:08
提问内容: 1、idsm2模块自带多长时间的签名文件更新,怎么开始计算使用时间?
2、签名文件的更新是模块自行更新还是下载文件手动更新?
3、什么时间开始购买c
非常感谢!
回答者: jiangxing_cisco
回答时间: 2006-3-31 11:05:32
回答内容: 1、idsm2模块自带6个月的签名文件升级许可,可以从拿到产品开始计算。
2、签名文件可以自行更新也可以手动更新
3、由于从下订单到拿到实际license 需要一定时间所以还是和产品一起买比较好。
谢谢
问题编号: 3396
问题主题: asa5500
提问者: zhanglmcom
提问时间: 2006-3-31 9:42:09
提问内容: 我刚才听了杨振海先生讲的asa5500的产品讲座,有以下疑问请教:
你们网站上说asa5500设备具备防火墙、***、防病毒、ips等功能,从讲座上可以看出,ips和病毒防护是需要另外加模 块的,而5510没有那么多的模块插槽,也就是说asa5500不能同时具备ips和病毒防护功能?对么?
回答者: jiangxing_cisco
回答时间: 2006-3-31 9:53:03
回答内容: 目前的5500ips和病毒防护功两者选其一,如果两个都要需要两台。
谢谢
问题编号: 3395
问题主题: asa5500支持cluster的ac/ac方式,路由器呢?
提问者: yanalxy
提问时间: 2006-3-31 9:08:54
提问内容: 如果是7200路由器做l2tp或者pptp的lns,对用户连接的loadbalance如何实现,iosver12.2以下 。谢谢
回答者: jiangxing_cisco
回答时间: 2006-3-31 10:41:57
回答内容: 你可以试一下glbp(global load balance protocol)协议,将多个7200 加入一个glbp组,产生一个vip作为l2tp or pptp的接入地址,glbp协议可以实现负载分担。但你的ios必须升级。
祝你好运
问题编号: 3394
问题主题: fwsm透明模式配置遇到问题
提问者: ea110297
提问时间: 2006-3-30 19:13:24
提问内容: 你好,我按照fwsm guide book里面的参考配置对fwsm作transparent,遇到一些问题,请专家帮忙:
step1. msfc的vlan与fwsm的vlan关联已成功
step2. 已将single mode改成multiple mode
(问题a:我已经在single mode下作transparent试过不成功,表现为由fwsm managment_ip可以ping通inside的pc,也能ping通msfc的outside vlan,但就是inside的pc怎么都ping不到outside的msfc,且我已经作了icmp permit any和acl permit any in int inside/outside了,fwsm作transparent时是否必须使用multiple mode呢?)
step3. 在multiple mode下成功转换成transparent mode.
step4: 在multiple mode-transparent mode下并不如guide book所说的,像基本的nameif和security-level命令都不能用,且no shutdown端口根本无效,以下是我的配置输出:
fwsm# show run
: saved
:
fwsm version 2.3(2)
firewall transparent
resource acl-partition 12
enable password 8ry2yjiyt7rrxu24 encrypted
passwd 2kfqnbnidi.2kyou encrypted
hostname fwsm
ftp mode passive
pager lines 24
logging buffer-size 4096
class default
limit-resource ipsec 5
limit-resource mac-addresses 65535
limit-resource pdm 5
limit-resource ssh 5
limit-resource telnet 5
limit-resource all 0
!
no failover
failover lan unit sec
failover polltime unit 1 holdtime 15
failover polltime interface 15
failover interface-policy 50%
arp timeout 14400
!
timeout xlate 3:00:00
timeout c 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 rpc 0:10:00 h3
23 0:05:00 h225 1:00:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
terminal width 80
admin-c admin
c admin
description admin
member default
allocate-interface vlan500-vlan501
c disk:/admin.cfg
!
cryptochecksum:a7163d8d21a3001d59096a68a1144623
: end
fwsm# show interface
interface eobc "eobc", is up, line protocol is up
mac address 0000.1300.0000, mtu 1500
ip address 127.0.0.31, subnet mask 255.255.255.0
received 22182 packets, 1448847 bytes
transmitted 46400 packets, 1416323 bytes
dropped 0 packets
interface vlan500 "", is administratively down, line protocol is up
available for allocation to a c
interface vlan501 "", is administratively down, line protocol is up
available for allocation to a c
interface vlan502 "", is administratively down, line protocol is up
available for allocation to a c
fwsm# c t
fwsm(c interface vlan501
fwsm(c ?
at the end of show , use the pipe character '|' followed by:
begin|include|exclude|grep [-v] , to filter show output.
shutdown shutdown an interface.
fwsm(c nameif inside
type help or '?' for a list of available commands.
fwsm(c security-level 100
type help or '?' for a list of available commands.
fwsm(c exit
fwsm(c interface vlan500
fwsm(c nameif outside
type help or '?' for a list of available commands.
fwsm(c security-level 0
type help or '?' for a list of available commands.
fwsm(c no shutdown
fwsm(c interface vlan501
fwsm(c no shutdown
fwsm(c exit
fwsm(c exit
fwsm# show interface
interface eobc "eobc", is up, line protocol is up
mac address 0000.1300.0000, mtu 1500
ip address 127.0.0.31, subnet mask 255.255.255.0
received 22555 packets, 1472782 bytes
transmitted 47304 packets, 1442451 bytes
dropped 0 packets
interface vlan500 "", is administratively down, line protocol is up
available for allocation to a c
interface vlan501 "", is administratively down, line protocol is up
available for allocation to a c
interface vlan502 "", is administratively down, line protocol is up
available for allocation to a c
fwsm# show mode
firewall mode: multiple
the flash mode is the same as the running mode.
fwsm# show firewall
firewall mode: transparent
fwsm#
以上是我配置的截屏
问题b:为何我明明no shut了vlan,但show int还是显示admin down呢?但line protocol is up ?
问题c:在int vlan里连nameif和security-level命令都没有,只有no shut的命令是为什么呢?
问题d:请帮忙根据上述输出定位一下问题所在吧,我真一愁莫展了,谢谢!
问题e:总是听讲transparent mode没有router mode安全,也听讲cisco以前认为桥接模式不安全才一直不支持transparent的,顺便在这里向各位专家权威求证一 下:是不是transparent比router mode安全性要差呢?cisco后来终于支持transparent mode了是不是受市场商业因素驱动而至,而始终来讲transparent的安全性始终要比router mode低呢?
问题很多,谢谢各位专家!
回答者: jiangxing_cisco
回答时间: 2006-3-31 10:28:13
回答内容:
问题a的答复:fwsm作transparent时不需要multiple mode。
问题b,c,d的答复:在step4中,你还处在system c c 是用来管理用的,不适用于用户的流量保护,所以你说的这些命令无效,请进入使用命令“changeto c admin”进入admin c
问题e的答复:transparent 模式有很多缺点:不支持active-active,不支持nat,不支持qos。
问题主题: 我怎么才能通过asdm配置aip-ssm模块
提问者: v57fcrss
提问时间: 2006-4-1 9:56:31
提问内容: 一台asa5520-aip-ssm,asa5520内口的ip 为172.16.1.1/24
aip-ssmip 为172.16.1.2/24网关为172.16.1.1,在aip-ssm中
已经加了permit 172.16.1.0/24,可是无论是从asa5520上还是
sess 1里面,都无法互相ping通,请问我该怎么做才能配置好
ips功能。
回答者: luzuohua_cisco
回答时间: 2006-4-1 20:12:21
回答内容: 目前你所作的设置是正确的,但仅从这些信息无法判断问题,怎样使用asdm配置aip-ssm模块,可参考下面的文档:
http://www.cisco.com/en/us/products/ps6121/prod_technical_reference_list.html
关于aip-ssm更多的配置使用可参考:
http://www.cisco.com/univercd/cc/td/doc/product/multisec/modules/aipssm/index.htm
问题编号: 3397
问题主题: idsm2模块问题
提问者: fwsm
提问时间: 2006-3-31 10:53:08
提问内容: 1、idsm2模块自带多长时间的签名文件更新,怎么开始计算使用时间?
2、签名文件的更新是模块自行更新还是下载文件手动更新?
3、什么时间开始购买c
非常感谢!
回答者: jiangxing_cisco
回答时间: 2006-3-31 11:05:32
回答内容: 1、idsm2模块自带6个月的签名文件升级许可,可以从拿到产品开始计算。
2、签名文件可以自行更新也可以手动更新
3、由于从下订单到拿到实际license 需要一定时间所以还是和产品一起买比较好。
谢谢
问题编号: 3396
问题主题: asa5500
提问者: zhanglmcom
提问时间: 2006-3-31 9:42:09
提问内容: 我刚才听了杨振海先生讲的asa5500的产品讲座,有以下疑问请教:
你们网站上说asa5500设备具备防火墙、***、防病毒、ips等功能,从讲座上可以看出,ips和病毒防护是需要另外加模 块的,而5510没有那么多的模块插槽,也就是说asa5500不能同时具备ips和病毒防护功能?对么?
回答者: jiangxing_cisco
回答时间: 2006-3-31 9:53:03
回答内容: 目前的5500ips和病毒防护功两者选其一,如果两个都要需要两台。
谢谢
问题编号: 3395
问题主题: asa5500支持cluster的ac/ac方式,路由器呢?
提问者: yanalxy
提问时间: 2006-3-31 9:08:54
提问内容: 如果是7200路由器做l2tp或者pptp的lns,对用户连接的loadbalance如何实现,iosver12.2以下 。谢谢
回答者: jiangxing_cisco
回答时间: 2006-3-31 10:41:57
回答内容: 你可以试一下glbp(global load balance protocol)协议,将多个7200 加入一个glbp组,产生一个vip作为l2tp or pptp的接入地址,glbp协议可以实现负载分担。但你的ios必须升级。
祝你好运
问题编号: 3394
问题主题: fwsm透明模式配置遇到问题
提问者: ea110297
提问时间: 2006-3-30 19:13:24
提问内容: 你好,我按照fwsm guide book里面的参考配置对fwsm作transparent,遇到一些问题,请专家帮忙:
step1. msfc的vlan与fwsm的vlan关联已成功
step2. 已将single mode改成multiple mode
(问题a:我已经在single mode下作transparent试过不成功,表现为由fwsm managment_ip可以ping通inside的pc,也能ping通msfc的outside vlan,但就是inside的pc怎么都ping不到outside的msfc,且我已经作了icmp permit any和acl permit any in int inside/outside了,fwsm作transparent时是否必须使用multiple mode呢?)
step3. 在multiple mode下成功转换成transparent mode.
step4: 在multiple mode-transparent mode下并不如guide book所说的,像基本的nameif和security-level命令都不能用,且no shutdown端口根本无效,以下是我的配置输出:
fwsm# show run
: saved
:
fwsm version 2.3(2)
firewall transparent
resource acl-partition 12
enable password 8ry2yjiyt7rrxu24 encrypted
passwd 2kfqnbnidi.2kyou encrypted
hostname fwsm
ftp mode passive
pager lines 24
logging buffer-size 4096
class default
limit-resource ipsec 5
limit-resource mac-addresses 65535
limit-resource pdm 5
limit-resource ssh 5
limit-resource telnet 5
limit-resource all 0
!
no failover
failover lan unit sec
failover polltime unit 1 holdtime 15
failover polltime interface 15
failover interface-policy 50%
arp timeout 14400
!
timeout xlate 3:00:00
timeout c 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 rpc 0:10:00 h3
23 0:05:00 h225 1:00:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
terminal width 80
admin-c admin
c admin
description admin
member default
allocate-interface vlan500-vlan501
c disk:/admin.cfg
!
cryptochecksum:a7163d8d21a3001d59096a68a1144623
: end
fwsm# show interface
interface eobc "eobc", is up, line protocol is up
mac address 0000.1300.0000, mtu 1500
ip address 127.0.0.31, subnet mask 255.255.255.0
received 22182 packets, 1448847 bytes
transmitted 46400 packets, 1416323 bytes
dropped 0 packets
interface vlan500 "", is administratively down, line protocol is up
available for allocation to a c
interface vlan501 "", is administratively down, line protocol is up
available for allocation to a c
interface vlan502 "", is administratively down, line protocol is up
available for allocation to a c
fwsm# c t
fwsm(c interface vlan501
fwsm(c ?
at the end of show , use the pipe character '|' followed by:
begin|include|exclude|grep [-v] , to filter show output.
shutdown shutdown an interface.
fwsm(c nameif inside
type help or '?' for a list of available commands.
fwsm(c security-level 100
type help or '?' for a list of available commands.
fwsm(c exit
fwsm(c interface vlan500
fwsm(c nameif outside
type help or '?' for a list of available commands.
fwsm(c security-level 0
type help or '?' for a list of available commands.
fwsm(c no shutdown
fwsm(c interface vlan501
fwsm(c no shutdown
fwsm(c exit
fwsm(c exit
fwsm# show interface
interface eobc "eobc", is up, line protocol is up
mac address 0000.1300.0000, mtu 1500
ip address 127.0.0.31, subnet mask 255.255.255.0
received 22555 packets, 1472782 bytes
transmitted 47304 packets, 1442451 bytes
dropped 0 packets
interface vlan500 "", is administratively down, line protocol is up
available for allocation to a c
interface vlan501 "", is administratively down, line protocol is up
available for allocation to a c
interface vlan502 "", is administratively down, line protocol is up
available for allocation to a c
fwsm# show mode
firewall mode: multiple
the flash mode is the same as the running mode.
fwsm# show firewall
firewall mode: transparent
fwsm#
以上是我配置的截屏
问题b:为何我明明no shut了vlan,但show int还是显示admin down呢?但line protocol is up ?
问题c:在int vlan里连nameif和security-level命令都没有,只有no shut的命令是为什么呢?
问题d:请帮忙根据上述输出定位一下问题所在吧,我真一愁莫展了,谢谢!
问题e:总是听讲transparent mode没有router mode安全,也听讲cisco以前认为桥接模式不安全才一直不支持transparent的,顺便在这里向各位专家权威求证一 下:是不是transparent比router mode安全性要差呢?cisco后来终于支持transparent mode了是不是受市场商业因素驱动而至,而始终来讲transparent的安全性始终要比router mode低呢?
问题很多,谢谢各位专家!
回答者: jiangxing_cisco
回答时间: 2006-3-31 10:28:13
回答内容:
问题a的答复:fwsm作transparent时不需要multiple mode。
问题b,c,d的答复:在step4中,你还处在system c c 是用来管理用的,不适用于用户的流量保护,所以你说的这些命令无效,请进入使用命令“changeto c admin”进入admin c
问题e的答复:transparent 模式有很多缺点:不支持active-active,不支持nat,不支持qos。
问题编号: 3398
问题主题: 我怎么才能通过asdm配置aip-ssm模块
提问者: v57fcrss
提问时间: 2006-4-1 9:56:31
提问内容: 一台asa5520-aip-ssm,asa5520内口的ip 为172.16.1.1/24
aip-ssmip 为172.16.1.2/24网关为172.16.1.1,在aip-ssm中
已经加了permit 172.16.1.0/24,可是无论是从asa5520上还是
sess 1里面,都无法互相ping通,请问我该怎么做才能配置好
ips功能。
回答者: luzuohua_cisco
回答时间: 2006-4-1 20:12:21
回答内容: 目前你所作的设置是正确的,但仅从这些信息无法判断问题,怎样使用asdm配置aip-ssm模块,可参考下面的文档:
http://www.cisco.com/en/us/products/ps6121/prod_technical_reference_list.html
关于aip-ssm更多的配置使用可参考:
http://www.cisco.com/univercd/cc/td/doc/product/multisec/modules/aipssm/index.htm
问题编号: 3397
问题主题: idsm2模块问题
提问者: fwsm
提问时间: 2006-3-31 10:53:08
提问内容: 1、idsm2模块自带多长时间的签名文件更新,怎么开始计算使用时间?
2、签名文件的更新是模块自行更新还是下载文件手动更新?
3、什么时间开始购买c
非常感谢!
回答者: jiangxing_cisco
回答时间: 2006-3-31 11:05:32
回答内容: 1、idsm2模块自带6个月的签名文件升级许可,可以从拿到产品开始计算。
2、签名文件可以自行更新也可以手动更新
3、由于从下订单到拿到实际license 需要一定时间所以还是和产品一起买比较好。
谢谢
问题编号: 3396
问题主题: asa5500
提问者: zhanglmcom
提问时间: 2006-3-31 9:42:09
提问内容: 我刚才听了杨振海先生讲的asa5500的产品讲座,有以下疑问请教:
你们网站上说asa5500设备具备防火墙、***、防病毒、ips等功能,从讲座上可以看出,ips和病毒防护是需要另外加模 块的,而5510没有那么多的模块插槽,也就是说asa5500不能同时具备ips和病毒防护功能?对么?
回答者: jiangxing_cisco
回答时间: 2006-3-31 9:53:03
回答内容: 目前的5500ips和病毒防护功两者选其一,如果两个都要需要两台。
谢谢
问题编号: 3395
问题主题: asa5500支持cluster的ac/ac方式,路由器呢?
提问者: yanalxy
提问时间: 2006-3-31 9:08:54
提问内容: 如果是7200路由器做l2tp或者pptp的lns,对用户连接的loadbalance如何实现,iosver12.2以下 。谢谢
回答者: jiangxing_cisco
回答时间: 2006-3-31 10:41:57
回答内容: 你可以试一下glbp(global load balance protocol)协议,将多个7200 加入一个glbp组,产生一个vip作为l2tp or pptp的接入地址,glbp协议可以实现负载分担。但你的ios必须升级。
祝你好运
问题编号: 3394
问题主题: fwsm透明模式配置遇到问题
提问者: ea110297
提问时间: 2006-3-30 19:13:24
提问内容: 你好,我按照fwsm guide book里面的参考配置对fwsm作transparent,遇到一些问题,请专家帮忙:
step1. msfc的vlan与fwsm的vlan关联已成功
step2. 已将single mode改成multiple mode
(问题a:我已经在single mode下作transparent试过不成功,表现为由fwsm managment_ip可以ping通inside的pc,也能ping通msfc的outside vlan,但就是inside的pc怎么都ping不到outside的msfc,且我已经作了icmp permit any和acl permit any in int inside/outside了,fwsm作transparent时是否必须使用multiple mode呢?)
step3. 在multiple mode下成功转换成transparent mode.
step4: 在multiple mode-transparent mode下并不如guide book所说的,像基本的nameif和security-level命令都不能用,且no shutdown端口根本无效,以下是我的配置输出:
fwsm# show run
: saved
:
fwsm version 2.3(2)
firewall transparent
resource acl-partition 12
enable password 8ry2yjiyt7rrxu24 encrypted
passwd 2kfqnbnidi.2kyou encrypted
hostname fwsm
ftp mode passive
pager lines 24
logging buffer-size 4096
class default
limit-resource ipsec 5
limit-resource mac-addresses 65535
limit-resource pdm 5
limit-resource ssh 5
limit-resource telnet 5
limit-resource all 0
!
no failover
failover lan unit sec
failover polltime unit 1 holdtime 15
failover polltime interface 15
failover interface-policy 50%
arp timeout 14400
!
timeout xlate 3:00:00
timeout c 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 rpc 0:10:00 h3
23 0:05:00 h225 1:00:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
terminal width 80
admin-c admin
c admin
description admin
member default
allocate-interface vlan500-vlan501
c disk:/admin.cfg
!
cryptochecksum:a7163d8d21a3001d59096a68a1144623
: end
fwsm# show interface
interface eobc "eobc", is up, line protocol is up
mac address 0000.1300.0000, mtu 1500
ip address 127.0.0.31, subnet mask 255.255.255.0
received 22182 packets, 1448847 bytes
transmitted 46400 packets, 1416323 bytes
dropped 0 packets
interface vlan500 "", is administratively down, line protocol is up
available for allocation to a c
interface vlan501 "", is administratively down, line protocol is up
available for allocation to a c
interface vlan502 "", is administratively down, line protocol is up
available for allocation to a c
fwsm# c t
fwsm(c interface vlan501
fwsm(c ?
at the end of show , use the pipe character '|' followed by:
begin|include|exclude|grep [-v] , to filter show output.
shutdown shutdown an interface.
fwsm(c nameif inside
type help or '?' for a list of available commands.
fwsm(c security-level 100
type help or '?' for a list of available commands.
fwsm(c exit
fwsm(c interface vlan500
fwsm(c nameif outside
type help or '?' for a list of available commands.
fwsm(c security-level 0
type help or '?' for a list of available commands.
fwsm(c no shutdown
fwsm(c interface vlan501
fwsm(c no shutdown
fwsm(c exit
fwsm(c exit
fwsm# show interface
interface eobc "eobc", is up, line protocol is up
mac address 0000.1300.0000, mtu 1500
ip address 127.0.0.31, subnet mask 255.255.255.0
received 22555 packets, 1472782 bytes
transmitted 47304 packets, 1442451 bytes
dropped 0 packets
interface vlan500 "", is administratively down, line protocol is up
available for allocation to a c
interface vlan501 "", is administratively down, line protocol is up
available for allocation to a c
interface vlan502 "", is administratively down, line protocol is up
available for allocation to a c
fwsm# show mode
firewall mode: multiple
the flash mode is the same as the running mode.
fwsm# show firewall
firewall mode: transparent
fwsm#
以上是我配置的截屏
问题b:为何我明明no shut了vlan,但show int还是显示admin down呢?但line protocol is up ?
问题c:在int vlan里连nameif和security-level命令都没有,只有no shut的命令是为什么呢?
问题d:请帮忙根据上述输出定位一下问题所在吧,我真一愁莫展了,谢谢!
问题e:总是听讲transparent mode没有router mode安全,也听讲cisco以前认为桥接模式不安全才一直不支持transparent的,顺便在这里向各位专家权威求证一 下:是不是transparent比router mode安全性要差呢?cisco后来终于支持transparent mode了是不是受市场商业因素驱动而至,而始终来讲transparent的安全性始终要比router mode低呢?
问题很多,谢谢各位专家!
回答者: jiangxing_cisco
回答时间: 2006-3-31 10:28:13
回答内容:
问题a的答复:fwsm作transparent时不需要multiple mode。
问题b,c,d的答复:在step4中,你还处在system c c 是用来管理用的,不适用于用户的流量保护,所以你说的这些命令无效,请进入使用命令“changeto c admin”进入admin c
问题e的答复:transparent 模式有很多缺点:不支持active-active,不支持nat,不支持qos。
转载于:https://blog.51cto.com/cisco/4699
176
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
