This discussion is locked

Tema: ASA Adaptive Security Appliance Troubleshooting

Unanswered Question
Apr 16th, 2012

con Itzcoatl Espinosa



Lea la biografía

Bienvenidos a la conversación en el CSC en Español. Esta es su oportunidad de aprender y hacer todas las preguntas que tenga acerca de  ASA Adaptive Security Appliance Troubleshooting

Itzcoatl Espinosa es egresado del Instituto Tecnológico y de Estudios Superiores de Monterrey (ITESM) Campus Santa Fe, donde cursó la carrera de Ingeniería Electrónica y Comunicaciones (IEC '07). Dentro de su área de experiencia se encuentran tecnologías de WAN, Firewall, VPN. Él cuenta con con más de cinco años de experiencia como Ingeniero de Soporte y cuenta con las siguientes certificaciones de Cisco: CCNA, CCNP, CCSP y recientemente obtuvo el CCIE Security (#33540). Actualmente trabaja en el área de Soporte para tencnologías de Seguridad y Data Center de Cisco Latinoamérica.

Por favor use las estrellas para calificar las respuestas y así informar a Itzcoatl que usted ha recibido una  respuesta adecuada.

Puede ser que Itzcoatl no pueda responder cada una de las preguntas debido la cantidad que anticipamos para este evento.  Recuerde que usted puede preguntar o seguir haciendo preguntas en la comunidad de Seguridad

Este evento estará abierto desde el lunes 16 de abril hasta el viernes 27 de abril . Visite esta conversación para ver las respuestas a sus preguntas.

.

I have this problem too.
0 votes
  • 1
  • 2
  • 3
  • 4
  • 5
Average Rating: 0 (3 ratings)
geurrusti Fri, 04/20/2012 - 09:57

Hola Itzcoatl:

Deseo obtener estadísticas de la red en mi ASA, entiendo que puedo configurar netflow. Tendrás algun ejemplo para su configuración?

De antemano muchas gracias.

itespino Tue, 04/24/2012 - 07:53

Gerardo,

Te mando la documentación que habla al respecto. Deberás correr la versión 8.2 (dependiendo la plataforma), para poderlo configurar.

http://www.cisco.com/en/US/partner/docs/security/asa/asa82/netflow/netflow.html

http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/monitor_nsel.html

Este es un ejemplo de configuración:

(config)# flow-export destination inside 172.16.254.100

(config)# flow-export template timeout-rate 1

(config)# flow-export delay flow-create 60

(config)# logging flow-export syslogs disable

(config)# access-list netflow-export extended permit ip any any

(config)# class-map netflow-export-class

(config-cmap)#match access-list netflow-export

(config)# policy-map global_policy

(config-pmap)# class netflow-export-class

(config-pmap-c)# flow-export event-type all destination 172.16.254.100

(config)#service-policy global_policy global

Para revisar que esté funcionando puedes checarlo con el comando

show flow-export counters

Gracias,

Itzcoatl Espinosa

sebastiangarcia Mon, 04/23/2012 - 07:27

Hola, buenos días,

Estoy tratando de configurar un túnel site to site en un ASA versión 8.3.2. La verdad no me queda claro cómo debo realizar el nat exempt en esta nueva versión, y así evitar que el tráfico de mi red local salga traducido al ir por la VPN. Me podrías ayudar con esto? Gracias!!

Sebastián

itespino Tue, 04/24/2012 - 08:30

Sebastían,

Te mando un ejemplo de configuración para túneles de site-to-site y clientes remotos de VPN.

LAN TO LAN VPN

-red local: 192.168.1.0/24

-red remota: 192.168.2.0/24

a) Deberas crear un object group para cada red

Object network obj-local

     Subnet 192.168.1.0 255.255.255.0

Object network obj-remote

     Subnet 192.168.2.0 255.255.255.0

b) Configurar el nat estatico para evitar su traducción, cuando el tráfico salga por la interfaz outside.

Nat (inside,outside) 1 source static obj-local obj-local destination static obj-remote obj-remote

CLIENTES Remotos de VPN

(Cisco Easy VPN client, Cisco VPN Client, Anyconnect)

Si se configura una pool de direcciones para los clientes de vpn, se deberá:

a) Crear el object group, de la pool de vpn:

Object network obj-vpnpool

     Subnet 192.168.3.0 255.255.255.0

b) Configurar el nat estático para este tráfico:

Nat (inside,outside) 1 source static any any destination static obj-vpnpool obj-vpnpool

Espero haya respondido tu pregunta

saludos.

Itzcoatl

gusnandez Tue, 04/24/2012 - 09:34

Hola!!

Tengo un módulo de filtrado de contenido CSC, sin embargo aún no sé como mandar el tráfico del ASa al módulo

y verificar si realmente lo está haciendo. Qué puedo hacer?

Muchas gracias por tu tiempo, un saludo!

itespino Tue, 04/24/2012 - 11:45

Gustavo,

Te mando la documentación que habla de la configuración inicial del ASA y del CSC. Este explica como mandar el tráfico y como verificar que este sea inspeccionado.

https://supportforums.cisco.com/docs/DOC-14970

Muchas gracias,

Saludos,

Itzcoatl

jcstrassen Thu, 04/26/2012 - 11:20

Hola:

Tengo este problema, espero que me puedan ayudar. Estoy experimentando lentitud en la red. Quisiera saber si tienes algún ejemplo para darle prioridad a mi tráfico de VPN y que no tenga latencia?

Gracias!!

itespino Fri, 04/27/2012 - 07:44

Juan Carlos, 

Te mando un ejemplo de configuración, suponiendo que estás corriendo tráfico de voz sobre un túnel de VPN y se le quiere dar prioridad a este.

Además deseas aplicar una política para limitar el resto del tráfico (TCP por ejemplo).

Asumamos lo siguiente:

-El ancho de banda de upload de la interface outside es de 1Mbps.

- Le dedicaremos 300kbps para la VPN, 100kbps serán garantizados para el tráfico de voz y 200kbps para el resto del tráfico del túnel.

- Se reserva 500kbps para el tráfico de TCP y 200kbps para lo resto del tráfico.

-El nombre del tunnel-group es tunnel-grp1.

-El tráfico de voz tiene la bandera de dscp ef.

Te mando un ejemplo,solamente deberás ajustar los número a lo que tengas en tu red.

ASA(config)# priority-queue outside

ASA(config)# access-list tcp-traffic-acl permit tcp any any

ASA(config)# class-map tcp-traffic-class

ASA(config-cmap)# match access-list tcp-traffic-acl

ASA(config)# class-map TG1-voice-class

ASA(config-cmap)# match tunnel-group tunnel-grp1

ASA(config-cmap)# match dscp ef

ASA(config-cmap)# class-map TG1-rest-class

ASA(config-cmap)# match tunnel-group tunnel-grp1

ASA(config-cmap)# match flow ip destination-address

ASA(config)# policy-map police-priority-policy

ASA(config-pmap)# class tcp-traffic-class

ASA(config-pmap-c)# police output 500000

ASA(config-pmap-c)# class TG1-voice-class

ASA(config-pmap-c)# priority

ASA(config-pmap-c)# class TG1-rest-class

ASA(config-pmap-c)# police output 200000

ASA(config-pmap-c)# class class-default

ASA(config-pmap-c)# police output 200000

ASA(config-pmap-c)# service-policy police-priority-policy

interface outside

Espero te sirva este ejemplo:

Saludos

Itzcoatl

garza66ezt Fri, 04/27/2012 - 09:04

hola buen dia, soy novato en cisco me gustaria saber como iniciarme en esto para aprender a configurar routers, switch, puntos de acceso y como obtener un obtener el sistema operativo internetwork ISO o un simulador.

Para empezarespero contar con tu apoyo, gracias

Cisco.Moderador Fri, 04/27/2012 - 10:14

Hola Atiliano:

  Gracias por escribir. Si tienes alguna duda de los productos de Cisco, la puedes publicar en la subcomunidad general https://supportforums.cisco.com/community/spanish/general o en las subcomunidades de las diferentes tecnologías que soporta Cisco. Si quieres conocer más a fondo cómo funciona la Comunidad de Soporte de Cisco en Español, puedes ver el siguiente video:  https://supportforums.cisco.com/videos/3206.

Seguimos en contacto.

Cisco.Moderador Fri, 04/27/2012 - 19:10

Agradecemos a Itzcoatl y a todos los usuarios que participaron en este Ask the Expert. ¡Estén al pendiente de futuros eventos!

Actions

Login or Register to take actions

This Discussion

Posted April 16, 2012 at 8:06 AM
Stats:
Replies:11 Avg. Rating:
Views:1891 Votes:0
Shares:0

Discussions Leaderboard