cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
7999
Visitas
122
ÚTIL
33
Respuestas

Implementación y Troubleshooting en ASA (Adaptive Security Appliance) - Pregunte al experto

Cisco Moderador
Community Manager
Community Manager

Botón para participar

Aclare todas sus dudas acerca de cómo solucionar problemas y de cómo implementar los equipos de seguridad ASA. La familia de productos Cisco Asa (Adaptive Security Appliance)  protegen redes corporativas y centros de datos de todos los tamaños; entregan capacidades de Firewall de alto desempeño, cifrado y protección contra ataques. En esta sesión usted podrá aprender cómo proveer a los usuarios un acceso rápido y seguro tanto a los datos como a los recursos de una red, donde sea, cuando sea y en cualquier dispositivo.  

Haga sus preguntas del 29 de Agosto al 16 de Septiembre del 2016.



Detalles del especialista 


David Roman es un ingeniero de soporte del grupo de Firewall, colabora desde hace 3 años en este grupo del TAC GTC. Ha trabajado con diferentes tecnologías de seguridad como el ASA, FirePOWER, CX, IOS e IOS-XE Zone Based Firewall y Cisco Security Manager. Previo a Cisco ha trabajado en Nortel, Avaya y Oracle en puestos de Soporte, Administración de Redes y Seguridad. David es egresado de la carrea de Tecnologías de la Información y Comunicación de la Universidad Tecnológica de Nezahualcóyotl. Cuenta con el Cisco CCNA y actualmente se prepara para el CCIE en Seguridad.

David puede no ser capaz de responder a todas las preguntas, debido al volumen esperado durante este evento. Recuerde que también puede hacer sus preguntas en nuestra sub-comunidad de Seguridad https://supportforums.cisco.com/es/community/5626/seguridad

 

** ¡Las calificaciones fomentan la participación! **
Por favor asegúrese de calificar special-programs.png las respuestas a sus preguntas.

33 RESPUESTAS 33

zepe77001
Level 1
Level 1

Ingeniero David buen dia,

En pro de las vulenrabilidades de SNMP Y CLI presentadas en los ASA, la recomendacion es actualizar a la v.9.1.7, suponiendo que se tiene un ASA 5550 con una version muy baja 8.0.4 y en estado ACTIVE / FAILOVER,  te pregunto lo siguinte:

1.cual es el proceso recomendado de actualización escalonado para alcanzar la version superior(9.1.7)

2.Que cambios a nivel de Hardware y Software deben ser implementados en el dispositivo, ya que después de la version 8.3, se presentan cambios drásticos en la configuración de las ACL y NAT.

Quedo atento a tu valiosa información.

muchas gracias, saludos.

Hola Zepe77001,

La version 9.1(7)9 del ASA contiene la solucion para las siguientes vulnerabilidades:

  • Cisco ASA SNMP Remote Code Execution Vulnerability
  • Cisco ASA ACL ICMP Echo Request Code Filtering Vulnerability
  • Cisco ASA Cross Site Scripting SSLVPN Vulnerability

Al respecto de actualizar un ASA5550 desde 8.0(4) hasta 9.1(7)9, los requerimientos son los siguientes:

El ASA5550 requiere de 4 GB de Memoria RAM, por suerte esa es la cantidad por defecto que contiene el ASA5550.

El proceso escalonado seria:

1) De 8.0(4) a 8.2(5)

2) De 8.2(5) a 8.4(7) (deshabilitar nat-control antes de comenzar este paso para evitar configuracion innecesaria, si es que estaba habilitado).

3) De 8.4(7) a 9.1(7)9

En el paso 2, el ASA automaticamente hara la migracion de los comandos a la nueva sintaxis, los mayores cambios estan relacionados con NAT y con las Listas de Acceso (ACLs). En los siguientes enlaces viene informacion acerca de los cambios:

http://www.cisco.com/c/en/us/td/docs/security/asa/asa83/upgrading/migrating.html

https://supportforums.cisco.com/document/48646/asa-83-upgrade-what-you-need-know

El proceso de actualizacion de los equipos en Failover es primero actualizar la unidad "Standby", hacer un "Failover" y despues actualizar la otra unidad.

Como todo cambio mayor en la red, se recomienda hacer este proceso durante una ventana de mantenimiento como precaucion para evitar afectaciones a los usuarios.

Saludos cordiales,

David Roman

Cisco TAC

areyes7019
Level 1
Level 1

hay manera de bloquear la aplicacion ultrasurf mediante el modulo FirePOWER

Hola areyes7019,

Si es posible bloquear la aplicacion "UltraSurf" utilizando el FirePOWER:

1. Crear una regla de Access Control Policy Rule.
2. Dar un nombre a la regla y la accion debe ser "Block".
3. Navegar a la pestana "Applications".
4. Buscar "Available Applications" y "Ultrasurf".
5. Click "Ultrasurf" y luego "Add to Rule".
6. Click la pestana "Logging".
7. Seleccionar "log at beginning of connection".
8. Seleccionar "Defense Center"
9. Seleccionar"Add Rule".
10. Aplicar la Politica

Esto funciona en las siguientes versiones de SourceFIRE: 6.1.0, 6.0.1.1 y 5.4.1.7 con VDB 266.2

Saludos cordiales,

David Roman

Cisco TAC

Cisco Moderador
Community Manager
Community Manager

Hola David

Buen día, te compartimos algunas de las preguntas comunes que existen en torno al tema:

1) ¿Cuáles son los requerimientos de Hardware y Software para configurar Alta Disponibilidad en el ASA (HA) ?

2) ¿Qué herramientas de troubleshooting ofrece el ASA ?

3) ¿Cómo se hace troubleshooting de un crash en el ASA ?

4) ¿Es posible hacer que aparezca el ASA como un hop en un Traceroute?                                              

5) ¿A partir de que versión del ASA Software se soporta Policy Based Routing (PBR) con Route-Maps ?

Hola Moderador :)

Aqui las respuestas:

1) Cuales son los requerimientos de Hardware y Software para configurar Alta Disponibilidad en el ASA (HA) ?

- El hardware debe ser el mismo modelo, mismo numero y tipo de interfaces, mismos modulos (si existe alguno) y la misma cantidad de memoria RAM. Sobre el software debe estar configurado en el mismo modo (ruteado o transparente) el mismo modo de contexto (uno o multiple) y el la misma version de ASA Software.

2) Que herramientas de troubleshooting ofrece el ASA ?

- Existe la herramienta de Packet Tracer que inyecta un paquete en alguna determinada interfaz y nos muestra todos los procesos a los que es sometido y el resultado final (si es permitido o denegado).

- La herramienta de Packet Capture para capturar el trafico en tiempo real en una o mas interfaces.

- Los SYSLOGs y DEBUGs

3) Como se hace troubleshooting de un crash en el ASA ?

- Se recomienda obtener el 'show crashinfo' si el equipo lo genero para ser decodificado por el Cisco CLI Analyzer o por el Cisco TAC. Asi como determinar si hubo algun cambio que ocasiono el crash.

4) Es posible hacer que aparezca el ASA como un hop en un Traceroute ?

- Si, configurando una policy-map que decremente el TTL (Time to Live)

ciscoasa(config)# class-map global-policy
ciscoasa(config-cmap)# match any
ciscoasa(config-cmap)# exit
ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class global-policy
ciscoasa(config-pmap-c)# set connection decrement-ttl
ciscoasa(config-pmap-c)# exit

5) A partir de que version del ASA Software se soporta Policy Based Routing (PBR) con Route-Maps ?

- A partir de la version 9.4(1)

Saludos cordiales,

David Roman

Cisco TAC

pjbarbozasaba1
Level 1
Level 1

Buenas Tardes,

Tengo muchisimas dudas acerca de la configuración de un ASA 5516-x, y ojala me ayuden a despejarlas.

En la red de mi trabajo necesitan implementar este equipo y no se como hacerlo. Para ponerte en contexto en el cual tengo que configurarlo detallo alguno punto a considerar (quizas falten)

Edificio 1 - (Donde esta el core de la red)

* 1 WLC 5508

* Stack de Switch  

1 SW 3750 catalyst 12P (fibra)

1 SW 3750 catalyst 24P

* Asa 5516

*  1 AIR-CAP 1602I

Edificio 2 

* 1 SW Catalyst 3750

* 8 AIR-CAP 1602I

Edificio 3 

* 1 SW Catalyst 3750

* 8 AIR-CAP 1602I

Edificio 4

* 1 SW Catalyst 3750

* 4 AIR-CAP 1602I

En cuanto, a las direcciones IP estoy trabajando en el rango de 172.16.x.0/24. Tambien tengo configurada VLans en el Stack de sw del Edificio 1.

Desde ya muchas gracias.

Hola pjbarbozasaba1,

Con mucho gusto le puedo ayudar, con que parte de la implementación necesita ayuda ?

Saludos cordiales,

David Roman

Cisco TAC

Hola David, muchas gracias por responder. 

Estaría necesitando ayuda con la configuracion del ASA;

Me estaria faltando brindar a los usuarios el servicio de internet mediante la vinculación del Asa con el Sw3750. Osea tengo configuradas varias Vlans de Management, Clientes-Wifi, Datos, Servidores, en el Stack. Estas Vlans no se si las tengo que agregar en el asa?

La vinculacion vi que se hace atraves de un portchannel, lo cual lo tengo configurado desde el lado del sw, pero no asi desde el asa.

Saludos

Hola pjbarbozasaba1,

Si es posible configurar PortChannels en el ASA, todas las interfaces que sean parte del PortChannel deben ser del mismo tipo, velocidad y con el mismo modo duplex. Las interfaces fisicas que sean parte del PortChannel no deben tener un "name" configurado.

La configuracion de un PortChannel (EtherChannel) en el ASA es la siguiente:

El ASA soporta los modos Active, Passive y On:

• Active — Envia y recibe notificaciones de LACP
• Passive — Solo recibe notificaciones LACP
• On — El EtherChannel siempre esta encendido y LACP no es utilizado

Nota: El modo no puede ser Passive en ambos lados.

Por ejemplo si deseamos hacer un PortChannel de 2 puertos:

ciscoasa(config)# interface gigabitethernet 0/0
ciscoasa(config-if)# channel-group 1 mode active
ciscoasa(config-if)# no nameif

ciscoasa(config)# interface gigabitethernet 0/1
ciscoasa(config-if)# channel-group 1 mode active
ciscoasa(config-if)# no nameif

ciscoasa(config)# interface port-channel 1
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# ip address x.x.x.x x.x.x.x

Ahora, si lo que se desea es enviar varias VLANs a traves del PortChannel (como en este escenario), entonces tenemos que crear Sub-Interfaces en el PortChannel para pasar varias VLANs, por ejemplo:

ciscoasa(config)# interface port-channel 1
ciscoasa(config-if)# no nameif

ciscoasa(config)# interface port-channel 1.100
ciscoasa(config-subif)# vlan 100
ciscoasa(config-subif)# nameif inside
ciscoasa(config-subif)# security-level 100
ciscoasa(config-subif)# ip address x.x.x.x x.x.x.x

ciscoasa(config)# interface port-channel 1.200
ciscoasa(config-subif)# vlan 200
ciscoasa(config-subif)# nameif dmz
ciscoasa(config-subif)# security-level 50
ciscoasa(config-subif)# ip address x.x.x.x x.x.x.x

Del lado del switch, el port channel debe ser configurado en modo trunk (switch port mode trunk)

Por ejemplo:

3750(config)# interface fa0/2
3750(config-if)# channel-group 1 mode active
3750(config-if)# exit

3750(config)# interface fa0/3
3750(config-if)# channel-group 1 mode active
3750(config-if)# exit

3750(config)# interface port-channel 1
3750(config-if)# switchport trunk encapsulation dot1q
3750(config-if)# switchport mode trunk
3750(config-if)# switchport trunk allowed vlan 100,200

Despues de ello, para que las VLANs puedan salir a internet a traves del ASA, es necesario configurar el PAT:

Por ejemplo:

Si el ASA5505 tiene una version menor a 8.3:

ciscoasa(config)# nat (inside) 1 172.16.110.0 255.255.255.0
ciscoasa(config)# global (outside) 1 interface

Si el ASA5505 tiene version 8.3 o mayor:

ciscoasa(config)# object network obj_inside
ciscoasa(config-network-object)# subnet 172.16.110.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic interface

Y asi para cada interfaz...

Saludos cordiales,

David Roman
Cisco TAC

Hola David, muchas gracias por responder 

Me surgieron algunas preguntas con la configuracion que añadiste.

1. Si no entendi mal la configuracion del port-channel que debo aplicar para mi escenario es esta:

ciscoasa(config)# interface port-channel 1
ciscoasa(config-if)# no nameif

ciscoasa(config)# interface port-channel 1.100
ciscoasa(config-subif)# vlan 100
ciscoasa(config-subif)# nameif inside
ciscoasa(config-subif)# security-level 100
ciscoasa(config-subif)# ip address x.x.x.x x.x.x.x

ciscoasa(config)# interface port-channel 1.200
ciscoasa(config-subif)# vlan 200
ciscoasa(config-subif)# nameif dmz
ciscoasa(config-subif)# security-level 50
ciscoasa(config-subif)# ip address x.x.x.x x.x.x.x

La pregunta es si las Vlan que se agregan aqui tienen que tener correspondencia con las que se crearon en el sw3750. Es decir si tengo 15 Vlan, voy a tener 15 Subinterfaces?

2. La version de asa que tengo es 9.5(2)

Osea que tengo que usar esta parte de la configuracion

ciscoasa(config)# object network obj_inside
ciscoasa(config-network-object)# subnet 172.16.110.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic interface

Esta parte no me quedo claro. La ip que usaste en el ejemplo a que interfaz o vlan corresponderia?

Y cuando decis que hay que crear un object network para cada interfaz a que interfaz te referis? 

Saludos

Hola pjbarbozasaba1,

Asi es, Si hay 15 VLANs en el Switch que se desean enviar al ASA, entonces si hay que crear 15 sub-interfaces en el PortChannel del ASA.

El NAT que puse fue un ejemplo.

Digamos que tenemos 2 sub-interfaces, Inside y DMZ. Entonces hay que crear el NAT para cada una de ellas, por ejemplo:

Si en Inside, la subred es 192.168.1.0/24 y en DMZ es 10.10.10.0/24 y se desea que ambas subredes salgan a internet utilizando la direccion IP de la interfaz Outside:

ciscoasa(config)# object network obj_inside
ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic interface

ciscoasa(config)# object network obj_DMZ
ciscoasa(config-network-object)# subnet 10.10.10.0 255.255.255.0
ciscoasa(config-network-object)# nat (DMZ,outside) dynamic interface

Y asi sucesivamente, para las 15 interfaces si asi se desea.

Saludos cordiales,

David Roman

Cisco TAC

Hola David, 

He sacado la config del asa en como esta actualmente, y le he añadido lo que me dijiste. 

ASA Version 9.5(2)
!
hostname ciscoasa
names
!
interface GigabitEthernet1/1
no nameif
Channel-group 1 mode active
no security-level
no ip address
!
interface GigabitEthernet1/2
no nameif
channel-group 1 mode active
no security-level
no ip address
!
interface GigabitEthernet1/3
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet1/4
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet1/5
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet1/6
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet1/7
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet1/8
shutdown
no nameif
no security-level
no ip address
!
interface Management1/1
management-only
no nameif
no security-level
no ip address
!
interface port-channel 1
no nameif
!
interface port-channel 1.110
vlan 110
nameif Datos
security-level 100
ip address 172.16.1.0 255.255.255.0
!
interface port-channel 1.150
vlan 150
nameif Servidor
security-level 50
ip address 172.16.2.0 255.255.255.0
!
interface port-channel 1.350
vlan 350
nameif Cliente-Wifi-1
security-level 100
ip address 172.16.3.0 255.255.255.0
!
interface port-channel 1.400
vlan 400
nameif Cliente-Wifi-2
security-level 100
ip address 172.16.4.0 255.255.255.0
!
ftp mode passive
object network obj_Datos
subnet 172.16.1.0 255.255.255.0
nat (Datos,outside) dynamic interface
!
object network obj_Servidor
subnet 172.16.2.0 255.255.255.0
nat (Servidor,outside) dynamic interface
!
object network obj_Cliente-wifi-1
subnet 172.16.3.0 255.255.255.0
nat (Cliente-wifi-1,outside) dynamic interface
!
object network obj_Cliente-wifi-2
subnet 172.16.4.0 255.255.255.0
nat (Cliente-wifi-2,outside) dynamic interface

object network obj_any
subnet 0.0.0.0 0.0.0.0
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
no failover
no monitor-interface service-module
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
!
object network obj_any
nat (any,outside) dynamic interface
route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
service sw-reset-button
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpoint _SmartCallHome_ServerCA
no validation-usage
crl configure
crypto ca trustpool policy
crypto ca certificate chain _SmartCallHome_ServerCA
certificate ca 6ecc7aa5a7032009b8cebcf4e952d491
308205ec 308204d4 a0030201 0202106e cc7aa5a7 032009b8 cebcf4e9 52d49130
0d06092a 864886f7 0d010105 05003081 ca310b30 09060355 04061302 55533117
30150603 55040a13 0e566572 69536967 6e2c2049 6e632e31 1f301d06 0355040b
13165665 72695369 676e2054 72757374 204e6574 776f726b 313a3038 06035504
0b133128 63292032 30303620 56657269 5369676e 2c20496e 632e202d 20466f72
20617574 686f7269 7a656420 75736520 6f6e6c79 31453043 06035504 03133c56
65726953 69676e20 436c6173 73203320 5075626c 69632050 72696d61 72792043
65727469 66696361 74696f6e 20417574 686f7269 7479202d 20473530 1e170d31
30303230 38303030 3030305a 170d3230 30323037 32333539 35395a30 81b5310b
30090603 55040613 02555331 17301506 0355040a 130e5665 72695369 676e2c20
496e632e 311f301d 06035504 0b131656 65726953 69676e20 54727573 74204e65
74776f72 6b313b30 39060355 040b1332 5465726d 73206f66 20757365 20617420
68747470 733a2f2f 7777772e 76657269 7369676e 2e636f6d 2f727061 20286329
3130312f 302d0603 55040313 26566572 69536967 6e20436c 61737320 33205365
63757265 20536572 76657220 4341202d 20473330 82012230 0d06092a 864886f7
0d010101 05000382 010f0030 82010a02 82010100 b187841f c20c45f5 bcab2597
a7ada23e 9cbaf6c1 39b88bca c2ac56c6 e5bb658e 444f4dce 6fed094a d4af4e10
9c688b2e 957b899b 13cae234 34c1f35b f3497b62 83488174 d188786c 0253f9bc
7f432657 5833833b 330a17b0 d04e9124 ad867d64 12dc744a 34a11d0a ea961d0b
15fca34b 3bce6388 d0f82d0c 948610ca b69a3dca eb379c00 48358629 5078e845
63cd1941 4ff595ec 7b98d4c4 71b350be 28b38fa0 b9539cf5 ca2c23a9 fd1406e8
18b49ae8 3c6e81fd e4cd3536 b351d369 ec12ba56 6e6f9b57 c58b14e7 0ec79ced
4a546ac9 4dc5bf11 b1ae1c67 81cb4455 33997f24 9b3f5345 7f861af3 3cfa6d7f
81f5b84a d3f58537 1cb5a6d0 09e4187b 384efa0f 02030100 01a38201 df308201
db303406 082b0601 05050701 01042830 26302406 082b0601 05050730 01861868
7474703a 2f2f6f63 73702e76 65726973 69676e2e 636f6d30 12060355 1d130101
ff040830 060101ff 02010030 70060355 1d200469 30673065 060b6086 480186f8
45010717 03305630 2806082b 06010505 07020116 1c687474 70733a2f 2f777777
2e766572 69736967 6e2e636f 6d2f6370 73302a06 082b0601 05050702 02301e1a
1c687474 70733a2f 2f777777 2e766572 69736967 6e2e636f 6d2f7270 61303406
03551d1f 042d302b 3029a027 a0258623 68747470 3a2f2f63 726c2e76 65726973
69676e2e 636f6d2f 70636133 2d67352e 63726c30 0e060355 1d0f0101 ff040403
02010630 6d06082b 06010505 07010c04 61305fa1 5da05b30 59305730 55160969
6d616765 2f676966 3021301f 30070605 2b0e0302 1a04148f e5d31a86 ac8d8e6b
c3cf806a d448182c 7b192e30 25162368 7474703a 2f2f6c6f 676f2e76 65726973
69676e2e 636f6d2f 76736c6f 676f2e67 69663028 0603551d 11042130 1fa41d30
1b311930 17060355 04031310 56657269 5369676e 4d504b49 2d322d36 301d0603
551d0e04 1604140d 445c1653 44c1827e 1d20ab25 f40163d8 be79a530 1f060355
1d230418 30168014 7fd365a7 c2ddecbb f03009f3 4339fa02 af333133 300d0609
2a864886 f70d0101 05050003 82010100 0c8324ef ddc30cd9 589cfe36 b6eb8a80
4bd1a3f7 9df3cc53 ef829ea3 a1e697c1 589d756c e01d1b4c fad1c12d 05c0ea6e
b2227055 d9203340 3307c265 83fa8f43 379bea0e 9a6c70ee f69c803b d937f47a
6decd018 7d494aca 99c71928 a2bed877 24f78526 866d8705 404167d1 273aeddc
481d22cd 0b0b8bbc f4b17bfd b499a8e9 762ae11a 2d876e74 d388dd1e 22c6df16
b62b8214 0a945cf2 50ecafce ff62370d ad65d306 4153ed02 14c8b558 28a1ace0
5becb37f 954afb03 c8ad26db e6667812 4ad99f42 fbe198e6 42839b8f 8f6724e8
6119b5dd cdb50b26 058ec36e c4c875b8 46cfe218 065ea9ae a8819a47 16de0c28
6c2527b9 deb78458 c61f381e a4c4cb66
quit
telnet timeout 5
no ssh stricthostkeycheck
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
dynamic-access-policy-record DfltAccessPolicy
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
call-home reporting anonymous
Cryptochecksum:50187aeb5a29f52885a6057d0633563a
: end

Lo que esta en azul, lo tendria que modificar? en el caso de route outside 0.0.0.0 0.0.0.0 192.168.1.1 aqui va la ip publica? 

user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside

y en el caso de la ultima linea, http va para cada vlan? le estaria faltando alguna configuracion a ese template de config?

muchas gracias. saludos 

Hola pjbarbozasaba1,

Una disculpa por la demora!

Sobre la configuracion:

route outside 0.0.0.0 0.0.0.0 192.168.1.1

La IP despues de los ceros debe ser el siguiente salto (next-hop) del ASA, la IP del modem de internet por ejemplo.

Las linea que siguen:

user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside

La primera es acerca del domain por defecto que sera utilizado para la configuracion de Identity Firewall, sin embargo veo que no esta siendo utilizado asi que se puede dejar esa linea.

Las otras dos lineas son acerca del servicio HTTP en el ASA (ASDM), con la segunda linea se declara desde que redes se puede accesar al ASDM.

Despues, la linea de

dhcpd auto_config outside

Es utilizada cuando el ASA actua como servidor DHCP y se desea enviar la informacion recibida de DNS, Dominio, Wins, etc desde (outside) hacia la interfaz donde se tenga configurado que el ASA funcione como servidor DHCP (no hay ninguna en este caso). Asi que esa linea no es necesaria.

La parte de los Port Channels se ve correcta!

Saludos cordiales,

David Roman

Cisco TAC

zepe77001
Level 1
Level 1

Ingeniero David buen día,

Viendo que en la migración de un ASA 5550 de 8.2 a 8.3 hay cambios a nivel de las líneas NAT, en base con tu experiencia al respecto que recomendaciones me podrías brindar y aspectos a tener super en cuenta?

Quedo atento a comentarios.

Mil gracias.

Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco: