cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
4831
Visitas
15
ÚTIL
11
Respuestas

Tema: ASA Adaptive Security Appliance Troubleshooting

Cisco Moderador
Community Manager
Community Manager

con Itzcoatl Espinosa



Lea la biografía

Bienvenidos a la conversación en el CSC en Español. Esta es su oportunidad de aprender y hacer todas las preguntas que tenga acerca de  ASA Adaptive Security Appliance Troubleshooting

Itzcoatl Espinosa es egresado del Instituto Tecnológico y de Estudios Superiores de Monterrey (ITESM) Campus Santa Fe, donde cursó la carrera de Ingeniería Electrónica y Comunicaciones (IEC '07). Dentro de su área de experiencia se encuentran tecnologías de WAN, Firewall, VPN. Él cuenta con con más de cinco años de experiencia como Ingeniero de Soporte y cuenta con las siguientes certificaciones de Cisco: CCNA, CCNP, CCSP y recientemente obtuvo el CCIE Security (#33540). Actualmente trabaja en el área de Soporte para tencnologías de Seguridad y Data Center de Cisco Latinoamérica.

Por favor use las estrellas para calificar las respuestas y así informar a Itzcoatl que usted ha recibido una  respuesta adecuada.

Puede ser que Itzcoatl no pueda responder cada una de las preguntas debido la cantidad que anticipamos para este evento.  Recuerde que usted puede preguntar o seguir haciendo preguntas en la comunidad de Seguridad

Este evento estará abierto desde el lunes 16 de abril hasta el viernes 27 de abril . Visite esta conversación para ver las respuestas a sus preguntas.

.

11 RESPUESTAS 11

Gerardo Urrusti
Level 1
Level 1

Hola Itzcoatl:

Deseo obtener estadísticas de la red en mi ASA, entiendo que puedo configurar netflow. Tendrás algun ejemplo para su configuración?

De antemano muchas gracias.

Gerardo,

Te mando la documentación que habla al respecto. Deberás correr la versión 8.2 (dependiendo la plataforma), para poderlo configurar.

http://www.cisco.com/en/US/partner/docs/security/asa/asa82/netflow/netflow.html

http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/monitor_nsel.html

Este es un ejemplo de configuración:

(config)# flow-export destination inside 172.16.254.100

(config)# flow-export template timeout-rate 1

(config)# flow-export delay flow-create 60

(config)# logging flow-export syslogs disable

(config)# access-list netflow-export extended permit ip any any

(config)# class-map netflow-export-class

(config-cmap)#match access-list netflow-export

(config)# policy-map global_policy

(config-pmap)# class netflow-export-class

(config-pmap-c)# flow-export event-type all destination 172.16.254.100

(config)#service-policy global_policy global

Para revisar que esté funcionando puedes checarlo con el comando

show flow-export counters

Gracias,

Itzcoatl Espinosa

Hola, buenos días,

Estoy tratando de configurar un túnel site to site en un ASA versión 8.3.2. La verdad no me queda claro cómo debo realizar el nat exempt en esta nueva versión, y así evitar que el tráfico de mi red local salga traducido al ir por la VPN. Me podrías ayudar con esto? Gracias!!

Sebastián

Sebastían,

Te mando un ejemplo de configuración para túneles de site-to-site y clientes remotos de VPN.

LAN TO LAN VPN

-red local: 192.168.1.0/24

-red remota: 192.168.2.0/24

a) Deberas crear un object group para cada red

Object network obj-local

     Subnet 192.168.1.0 255.255.255.0

Object network obj-remote

     Subnet 192.168.2.0 255.255.255.0

b) Configurar el nat estatico para evitar su traducción, cuando el tráfico salga por la interfaz outside.

Nat (inside,outside) 1 source static obj-local obj-local destination static obj-remote obj-remote

CLIENTES Remotos de VPN

(Cisco Easy VPN client, Cisco VPN Client, Anyconnect)

Si se configura una pool de direcciones para los clientes de vpn, se deberá:

a) Crear el object group, de la pool de vpn:

Object network obj-vpnpool

     Subnet 192.168.3.0 255.255.255.0

b) Configurar el nat estático para este tráfico:

Nat (inside,outside) 1 source static any any destination static obj-vpnpool obj-vpnpool

Espero haya respondido tu pregunta

saludos.

Itzcoatl

Hola!!

Tengo un módulo de filtrado de contenido CSC, sin embargo aún no sé como mandar el tráfico del ASa al módulo

y verificar si realmente lo está haciendo. Qué puedo hacer?

Muchas gracias por tu tiempo, un saludo!

Gustavo,

Te mando la documentación que habla de la configuración inicial del ASA y del CSC. Este explica como mandar el tráfico y como verificar que este sea inspeccionado.

https://supportforums.cisco.com/docs/DOC-14970

Muchas gracias,

Saludos,

Itzcoatl

Hola:

Tengo este problema, espero que me puedan ayudar. Estoy experimentando lentitud en la red. Quisiera saber si tienes algún ejemplo para darle prioridad a mi tráfico de VPN y que no tenga latencia?

Gracias!!

Juan Carlos, 

Te mando un ejemplo de configuración, suponiendo que estás corriendo tráfico de voz sobre un túnel de VPN y se le quiere dar prioridad a este.

Además deseas aplicar una política para limitar el resto del tráfico (TCP por ejemplo).

Asumamos lo siguiente:

-El ancho de banda de upload de la interface outside es de 1Mbps.

- Le dedicaremos 300kbps para la VPN, 100kbps serán garantizados para el tráfico de voz y 200kbps para el resto del tráfico del túnel.

- Se reserva 500kbps para el tráfico de TCP y 200kbps para lo resto del tráfico.

-El nombre del tunnel-group es tunnel-grp1.

-El tráfico de voz tiene la bandera de dscp ef.

Te mando un ejemplo,solamente deberás ajustar los número a lo que tengas en tu red.

ASA(config)# priority-queue outside

ASA(config)# access-list tcp-traffic-acl permit tcp any any

ASA(config)# class-map tcp-traffic-class

ASA(config-cmap)# match access-list tcp-traffic-acl

ASA(config)# class-map TG1-voice-class

ASA(config-cmap)# match tunnel-group tunnel-grp1

ASA(config-cmap)# match dscp ef

ASA(config-cmap)# class-map TG1-rest-class

ASA(config-cmap)# match tunnel-group tunnel-grp1

ASA(config-cmap)# match flow ip destination-address

ASA(config)# policy-map police-priority-policy

ASA(config-pmap)# class tcp-traffic-class

ASA(config-pmap-c)# police output 500000

ASA(config-pmap-c)# class TG1-voice-class

ASA(config-pmap-c)# priority

ASA(config-pmap-c)# class TG1-rest-class

ASA(config-pmap-c)# police output 200000

ASA(config-pmap-c)# class class-default

ASA(config-pmap-c)# police output 200000

ASA(config-pmap-c)# service-policy police-priority-policy

interface outside

Espero te sirva este ejemplo:

Saludos

Itzcoatl

garza66ezt
Level 1
Level 1

hola buen dia, soy novato en cisco me gustaria saber como iniciarme en esto para aprender a configurar routers, switch, puntos de acceso y como obtener un obtener el sistema operativo internetwork ISO o un simulador.

Para empezarespero contar con tu apoyo, gracias

Hola Atiliano:

  Gracias por escribir. Si tienes alguna duda de los productos de Cisco, la puedes publicar en la subcomunidad general https://supportforums.cisco.com/community/spanish/general o en las subcomunidades de las diferentes tecnologías que soporta Cisco. Si quieres conocer más a fondo cómo funciona la Comunidad de Soporte de Cisco en Español, puedes ver el siguiente video:  https://supportforums.cisco.com/videos/3206.

Seguimos en contacto.

Cisco Moderador
Community Manager
Community Manager

Agradecemos a Itzcoatl y a todos los usuarios que participaron en este Ask the Expert. ¡Estén al pendiente de futuros eventos!

Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco: