04-16-2012 08:06 AM - editado 03-21-2019 06:10 PM
Bienvenidos a la conversación en el CSC en Español. Esta es su oportunidad de aprender y hacer todas las preguntas que tenga acerca de ASA Adaptive Security Appliance Troubleshooting
Itzcoatl Espinosa es egresado del Instituto Tecnológico y de Estudios Superiores de Monterrey (ITESM) Campus Santa Fe, donde cursó la carrera de Ingeniería Electrónica y Comunicaciones (IEC '07). Dentro de su área de experiencia se encuentran tecnologías de WAN, Firewall, VPN. Él cuenta con con más de cinco años de experiencia como Ingeniero de Soporte y cuenta con las siguientes certificaciones de Cisco: CCNA, CCNP, CCSP y recientemente obtuvo el CCIE Security (#33540). Actualmente trabaja en el área de Soporte para tencnologías de Seguridad y Data Center de Cisco Latinoamérica.
Por favor use las estrellas para calificar las respuestas y así informar a Itzcoatl que usted ha recibido una respuesta adecuada.
Puede ser que Itzcoatl no pueda responder cada una de las preguntas debido la cantidad que anticipamos para este evento. Recuerde que usted puede preguntar o seguir haciendo preguntas en la comunidad de Seguridad
Este evento estará abierto desde el lunes 16 de abril hasta el viernes 27 de abril . Visite esta conversación para ver las respuestas a sus preguntas.
.
el 04-20-2012 09:57 AM
Hola Itzcoatl:
Deseo obtener estadísticas de la red en mi ASA, entiendo que puedo configurar netflow. Tendrás algun ejemplo para su configuración?
De antemano muchas gracias.
el 04-24-2012 07:53 AM
Gerardo,
Te mando la documentación que habla al respecto. Deberás correr la versión 8.2 (dependiendo la plataforma), para poderlo configurar.
http://www.cisco.com/en/US/partner/docs/security/asa/asa82/netflow/netflow.html
http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/monitor_nsel.html
Este es un ejemplo de configuración:
(config)# flow-export destination inside 172.16.254.100
(config)# flow-export template timeout-rate 1
(config)# flow-export delay flow-create 60
(config)# logging flow-export syslogs disable
(config)# access-list netflow-export extended permit ip any any
(config)# class-map netflow-export-class
(config-cmap)#match access-list netflow-export
(config)# policy-map global_policy
(config-pmap)# class netflow-export-class
(config-pmap-c)# flow-export event-type all destination 172.16.254.100
(config)#service-policy global_policy global
Para revisar que esté funcionando puedes checarlo con el comando
show flow-export counters
Gracias,
Itzcoatl Espinosa
el 04-23-2012 07:27 AM
Hola, buenos días,
Estoy tratando de configurar un túnel site to site en un ASA versión 8.3.2. La verdad no me queda claro cómo debo realizar el nat exempt en esta nueva versión, y así evitar que el tráfico de mi red local salga traducido al ir por la VPN. Me podrías ayudar con esto? Gracias!!
Sebastián
el 04-24-2012 08:30 AM
Sebastían,
Te mando un ejemplo de configuración para túneles de site-to-site y clientes remotos de VPN.
LAN TO LAN VPN
-red local: 192.168.1.0/24
-red remota: 192.168.2.0/24
a) Deberas crear un object group para cada red
Object network obj-local
Subnet 192.168.1.0 255.255.255.0
Object network obj-remote
Subnet 192.168.2.0 255.255.255.0
b) Configurar el nat estatico para evitar su traducción, cuando el tráfico salga por la interfaz outside.
Nat (inside,outside) 1 source static obj-local obj-local destination static obj-remote obj-remote
CLIENTES Remotos de VPN
(Cisco Easy VPN client, Cisco VPN Client, Anyconnect)
Si se configura una pool de direcciones para los clientes de vpn, se deberá:
a) Crear el object group, de la pool de vpn:
Object network obj-vpnpool
Subnet 192.168.3.0 255.255.255.0
b) Configurar el nat estático para este tráfico:
Nat (inside,outside) 1 source static any any destination static obj-vpnpool obj-vpnpool
Espero haya respondido tu pregunta
saludos.
Itzcoatl
el 04-24-2012 09:34 AM
Hola!!
Tengo un módulo de filtrado de contenido CSC, sin embargo aún no sé como mandar el tráfico del ASa al módulo
y verificar si realmente lo está haciendo. Qué puedo hacer?
Muchas gracias por tu tiempo, un saludo!
el 04-24-2012 11:45 AM
Gustavo,
Te mando la documentación que habla de la configuración inicial del ASA y del CSC. Este explica como mandar el tráfico y como verificar que este sea inspeccionado.
https://supportforums.cisco.com/docs/DOC-14970
Muchas gracias,
Saludos,
Itzcoatl
el 04-26-2012 11:20 AM
Hola:
Tengo este problema, espero que me puedan ayudar. Estoy experimentando lentitud en la red. Quisiera saber si tienes algún ejemplo para darle prioridad a mi tráfico de VPN y que no tenga latencia?
Gracias!!
el 04-27-2012 07:44 AM
Juan Carlos,
Te mando un ejemplo de configuración, suponiendo que estás corriendo tráfico de voz sobre un túnel de VPN y se le quiere dar prioridad a este.
Además deseas aplicar una política para limitar el resto del tráfico (TCP por ejemplo).
Asumamos lo siguiente:
-El ancho de banda de upload de la interface outside es de 1Mbps.
- Le dedicaremos 300kbps para la VPN, 100kbps serán garantizados para el tráfico de voz y 200kbps para el resto del tráfico del túnel.
- Se reserva 500kbps para el tráfico de TCP y 200kbps para lo resto del tráfico.
-El nombre del tunnel-group es tunnel-grp1.
-El tráfico de voz tiene la bandera de dscp ef.
Te mando un ejemplo,solamente deberás ajustar los número a lo que tengas en tu red.
ASA(config)# priority-queue outside
ASA(config)# access-list tcp-traffic-acl permit tcp any any
ASA(config)# class-map tcp-traffic-class
ASA(config-cmap)# match access-list tcp-traffic-acl
ASA(config)# class-map TG1-voice-class
ASA(config-cmap)# match tunnel-group tunnel-grp1
ASA(config-cmap)# match dscp ef
ASA(config-cmap)# class-map TG1-rest-class
ASA(config-cmap)# match tunnel-group tunnel-grp1
ASA(config-cmap)# match flow ip destination-address
ASA(config)# policy-map police-priority-policy
ASA(config-pmap)# class tcp-traffic-class
ASA(config-pmap-c)# police output 500000
ASA(config-pmap-c)# class TG1-voice-class
ASA(config-pmap-c)# priority
ASA(config-pmap-c)# class TG1-rest-class
ASA(config-pmap-c)# police output 200000
ASA(config-pmap-c)# class class-default
ASA(config-pmap-c)# police output 200000
ASA(config-pmap-c)# service-policy police-priority-policy
interface outside
Espero te sirva este ejemplo:
Saludos
Itzcoatl
el 04-27-2012 09:04 AM
hola buen dia, soy novato en cisco me gustaria saber como iniciarme en esto para aprender a configurar routers, switch, puntos de acceso y como obtener un obtener el sistema operativo internetwork ISO o un simulador.
Para empezarespero contar con tu apoyo, gracias
el 04-27-2012 10:14 AM
Hola Atiliano:
Gracias por escribir. Si tienes alguna duda de los productos de Cisco, la puedes publicar en la subcomunidad general https://supportforums.cisco.com/community/spanish/general o en las subcomunidades de las diferentes tecnologías que soporta Cisco. Si quieres conocer más a fondo cómo funciona la Comunidad de Soporte de Cisco en Español, puedes ver el siguiente video: https://supportforums.cisco.com/videos/3206.
Seguimos en contacto.
el 04-27-2012 07:10 PM
Agradecemos a Itzcoatl y a todos los usuarios que participaron en este Ask the Expert. ¡Estén al pendiente de futuros eventos!
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad