This discussion is locked

Tema: ASA Adaptive Security Appliance Troubleshooting

Sin Contestar
Abr 16th, 2012
User Badges:
  • Silver, 250 points or more

con Itzcoatl Espinosa



Lea la biografía


Bienvenidos a la conversación en el CSC en Español. Esta es su oportunidad de aprender y hacer todas las preguntas que tenga acerca de  ASA Adaptive Security Appliance Troubleshooting


Itzcoatl Espinosa es egresado del Instituto Tecnológico y de Estudios Superiores de Monterrey (ITESM) Campus Santa Fe, donde cursó la carrera de Ingeniería Electrónica y Comunicaciones (IEC '07). Dentro de su área de experiencia se encuentran tecnologías de WAN, Firewall, VPN. Él cuenta con con más de cinco años de experiencia como Ingeniero de Soporte y cuenta con las siguientes certificaciones de Cisco: CCNA, CCNP, CCSP y recientemente obtuvo el CCIE Security (#33540). Actualmente trabaja en el área de Soporte para tencnologías de Seguridad y Data Center de Cisco Latinoamérica.


Por favor use las estrellas para calificar las respuestas y así informar a Itzcoatl que usted ha recibido una  respuesta adecuada.


Puede ser que Itzcoatl no pueda responder cada una de las preguntas debido la cantidad que anticipamos para este evento.  Recuerde que usted puede preguntar o seguir haciendo preguntas en la comunidad de Seguridad


Este evento estará abierto desde el lunes 16 de abril hasta el viernes 27 de abril . Visite esta conversación para ver las respuestas a sus preguntas.

.

  • 1
  • 2
  • 3
  • 4
  • 5
Calificación General: 0 (3 ratings)
Loading.
Gerardo Urrusti Vie, 04/20/2012 - 09:57
User Badges:

Hola Itzcoatl:


Deseo obtener estadísticas de la red en mi ASA, entiendo que puedo configurar netflow. Tendrás algun ejemplo para su configuración?


De antemano muchas gracias.

Itzcoatl Espinosa Mar, 04/24/2012 - 07:53
User Badges:
  • Cisco Employee,
  • Events Top Contributors,

    2013

Gerardo,


Te mando la documentación que habla al respecto. Deberás correr la versión 8.2 (dependiendo la plataforma), para poderlo configurar.


http://www.cisco.com/en/US/partner/docs/security/asa/asa82/netflow/netflow.html


http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/monitor_nsel.html


Este es un ejemplo de configuración:



(config)# flow-export destination inside 172.16.254.100

(config)# flow-export template timeout-rate 1

(config)# flow-export delay flow-create 60

(config)# logging flow-export syslogs disable

(config)# access-list netflow-export extended permit ip any any

(config)# class-map netflow-export-class

(config-cmap)#match access-list netflow-export

(config)# policy-map global_policy

(config-pmap)# class netflow-export-class

(config-pmap-c)# flow-export event-type all destination 172.16.254.100


(config)#service-policy global_policy global


Para revisar que esté funcionando puedes checarlo con el comando


show flow-export counters


Gracias,


Itzcoatl Espinosa

Sebastian Garcia Lun, 04/23/2012 - 07:27
User Badges:

Hola, buenos días,


Estoy tratando de configurar un túnel site to site en un ASA versión 8.3.2. La verdad no me queda claro cómo debo realizar el nat exempt en esta nueva versión, y así evitar que el tráfico de mi red local salga traducido al ir por la VPN. Me podrías ayudar con esto? Gracias!!


Sebastián

Itzcoatl Espinosa Mar, 04/24/2012 - 08:30
User Badges:
  • Cisco Employee,
  • Events Top Contributors,

    2013

Sebastían,


Te mando un ejemplo de configuración para túneles de site-to-site y clientes remotos de VPN.



LAN TO LAN VPN


-red local: 192.168.1.0/24

-red remota: 192.168.2.0/24


a) Deberas crear un object group para cada red


Object network obj-local

     Subnet 192.168.1.0 255.255.255.0


Object network obj-remote

     Subnet 192.168.2.0 255.255.255.0


b) Configurar el nat estatico para evitar su traducción, cuando el tráfico salga por la interfaz outside.


Nat (inside,outside) 1 source static obj-local obj-local destination static obj-remote obj-remote



CLIENTES Remotos de VPN

(Cisco Easy VPN client, Cisco VPN Client, Anyconnect)


Si se configura una pool de direcciones para los clientes de vpn, se deberá:


a) Crear el object group, de la pool de vpn:


Object network obj-vpnpool

     Subnet 192.168.3.0 255.255.255.0


b) Configurar el nat estático para este tráfico:


Nat (inside,outside) 1 source static any any destination static obj-vpnpool obj-vpnpool



Espero haya respondido tu pregunta


saludos.


Itzcoatl

Gustavo Hernandez Mar, 04/24/2012 - 09:34
User Badges:

Hola!!



Tengo un módulo de filtrado de contenido CSC, sin embargo aún no sé como mandar el tráfico del ASa al módulo

y verificar si realmente lo está haciendo. Qué puedo hacer?


Muchas gracias por tu tiempo, un saludo!

Itzcoatl Espinosa Mar, 04/24/2012 - 11:45
User Badges:
  • Cisco Employee,
  • Events Top Contributors,

    2013

Gustavo,


Te mando la documentación que habla de la configuración inicial del ASA y del CSC. Este explica como mandar el tráfico y como verificar que este sea inspeccionado.


https://supportforums.cisco.com/docs/DOC-14970


Muchas gracias,


Saludos,


Itzcoatl

Juan Carlos Strassen Jue, 04/26/2012 - 11:20
User Badges:

Hola:



Tengo este problema, espero que me puedan ayudar. Estoy experimentando lentitud en la red. Quisiera saber si tienes algún ejemplo para darle prioridad a mi tráfico de VPN y que no tenga latencia?


Gracias!!

Itzcoatl Espinosa Vie, 04/27/2012 - 07:44
User Badges:
  • Cisco Employee,
  • Events Top Contributors,

    2013

Juan Carlos, 


Te mando un ejemplo de configuración, suponiendo que estás corriendo tráfico de voz sobre un túnel de VPN y se le quiere dar prioridad a este.

Además deseas aplicar una política para limitar el resto del tráfico (TCP por ejemplo).


Asumamos lo siguiente:


-El ancho de banda de upload de la interface outside es de 1Mbps.

- Le dedicaremos 300kbps para la VPN, 100kbps serán garantizados para el tráfico de voz y 200kbps para el resto del tráfico del túnel.


- Se reserva 500kbps para el tráfico de TCP y 200kbps para lo resto del tráfico.

-El nombre del tunnel-group es tunnel-grp1.

-El tráfico de voz tiene la bandera de dscp ef.


Te mando un ejemplo,solamente deberás ajustar los número a lo que tengas en tu red.



ASA(config)# priority-queue outside


ASA(config)# access-list tcp-traffic-acl permit tcp any any

ASA(config)# class-map tcp-traffic-class

ASA(config-cmap)# match access-list tcp-traffic-acl


ASA(config)# class-map TG1-voice-class

ASA(config-cmap)# match tunnel-group tunnel-grp1

ASA(config-cmap)# match dscp ef


ASA(config-cmap)# class-map TG1-rest-class

ASA(config-cmap)# match tunnel-group tunnel-grp1

ASA(config-cmap)# match flow ip destination-address


ASA(config)# policy-map police-priority-policy

ASA(config-pmap)# class tcp-traffic-class

ASA(config-pmap-c)# police output 500000

ASA(config-pmap-c)# class TG1-voice-class

ASA(config-pmap-c)# priority

ASA(config-pmap-c)# class TG1-rest-class

ASA(config-pmap-c)# police output 200000

ASA(config-pmap-c)# class class-default

ASA(config-pmap-c)# police output 200000


ASA(config-pmap-c)# service-policy police-priority-policy

interface outside



Espero te sirva este ejemplo:


Saludos


Itzcoatl

garza66ezt Vie, 04/27/2012 - 09:04
User Badges:

hola buen dia, soy novato en cisco me gustaria saber como iniciarme en esto para aprender a configurar routers, switch, puntos de acceso y como obtener un obtener el sistema operativo internetwork ISO o un simulador.

Para empezarespero contar con tu apoyo, gracias

Cisco Moderador Vie, 04/27/2012 - 10:14
User Badges:
  • Silver, 250 points or more

Hola Atiliano:


  Gracias por escribir. Si tienes alguna duda de los productos de Cisco, la puedes publicar en la subcomunidad general https://supportforums.cisco.com/community/spanish/general o en las subcomunidades de las diferentes tecnologías que soporta Cisco. Si quieres conocer más a fondo cómo funciona la Comunidad de Soporte de Cisco en Español, puedes ver el siguiente video:  https://supportforums.cisco.com/videos/3206.



Seguimos en contacto.

Cisco Moderador Vie, 04/27/2012 - 19:10
User Badges:
  • Silver, 250 points or more

Agradecemos a Itzcoatl y a todos los usuarios que participaron en este Ask the Expert. ¡Estén al pendiente de futuros eventos!