cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión

Implementación y Troubleshooting en ASA (Adaptive Security Appliance) - Pregunte al experto

Botón para participar

Aclare todas sus dudas acerca de cómo solucionar problemas y de cómo implementar los equipos de seguridad ASA. La familia de productos Cisco Asa (Adaptive Security Appliance)  protegen redes corporativas y centros de datos de todos los tamaños; entregan capacidades de Firewall de alto desempeño, cifrado y protección contra ataques. En esta sesión usted podrá aprender cómo proveer a los usuarios un acceso rápido y seguro tanto a los datos como a los recursos de una red, donde sea, cuando sea y en cualquier dispositivo.  

Haga sus preguntas del 29 de Agosto al 16 de Septiembre del 2016.



Detalles del especialista 


David Roman es un ingeniero de soporte del grupo de Firewall, colabora desde hace 3 años en este grupo del TAC GTC. Ha trabajado con diferentes tecnologías de seguridad como el ASA, FirePOWER, CX, IOS e IOS-XE Zone Based Firewall y Cisco Security Manager. Previo a Cisco ha trabajado en Nortel, Avaya y Oracle en puestos de Soporte, Administración de Redes y Seguridad. David es egresado de la carrea de Tecnologías de la Información y Comunicación de la Universidad Tecnológica de Nezahualcóyotl. Cuenta con el Cisco CCNA y actualmente se prepara para el CCIE en Seguridad.

David puede no ser capaz de responder a todas las preguntas, debido al volumen esperado durante este evento. Recuerde que también puede hacer sus preguntas en nuestra sub-comunidad de Seguridad https://supportforums.cisco.com/es/community/5626/seguridad

 

** ¡Las calificaciones fomentan la participación! **
Por favor asegúrese de calificar special-programs.png las respuestas a sus preguntas.

32 RESPUESTAS
New Member

Hola No tengo mucha

Hola 
No tengo mucha experiencia con productos de Cisco, actualmente estoy teniendo problemas con un ASA 5505 ¿Me podrían ayudar?
Necesito hacer una configuración muy muy básica, quiero abrir 2 o 3 
puertos (www, etc) y lograr que los host locales puedan acceder a internet. 


Estuve consultando en internet y con algo de experiencia que tengo 
con un PIX 501 realice una configuración, pero creo que tengo muchos errores aún. Todavía no he probado el equipo pero quiero consultar, por si las dudas

Adjunto la configuración:   
 
 
---------------------------------------------------- 


Los datos que tengo son los siguientes. 

IP PUBLICA: 190.21.29.69 /  255.255.255.252 
Puerta de enlace: 190.210.29.70 
IP FIREWALL (interna): 172.16.110.254/24 


# define direcciones IP 


ip address inside 172.16.110.254 255.255.255.0 

ip address outside 190.210.29.69 255.255.255.252 

interface ethernet0 auto 

interface ethernet1 100full 



# configura nateo para internet 

route outside 0 0 190.210.29.70 

nat (inside) 1 172.16.110.0 255.255.255.0 

global (outside) 1 190.210.29.69 


# Habilita http y FTP para host internos 

access-list salida extended permit tcp 172.16.110.0 255.255.255.0 any 
eq 80 

access-list salida extended permit tcp 172.16.110.0 255.255.255.0 any 
eq 20 

access-list salida extended permit tcp 172.16.110.0 255.255.255.0 any 
eq 21 



#aplica regla anterior 

access-group salida in interface inside 

#Habilita acceso desde afuera a puerto 80 y 135 (tcp y udp) 

access-list entrada extended permit tcp any host 190.210.29.69 eq 80 

access-list entrada extended permit tcp any host 190.210.29.69 eq 135 

access-list entrada extended permit udp any host 190.210.29.69 eq 135 



#aplica regla anterior 

access-group entrada in interface outside 


write memory 


Saludos y gracias! . 

Cisco Employee

Hola Federico,

Hola Federico,

Por supuesto que le podemos ayudar. Desconozco que version tenga el ASA5505 en cuestion, pero generalmente, lo recomendado es tener el equipo en la ultima version.

Al momento de escribir esta respuesta, esa version es 9.2(4)14.

Menciono esto debido que a partir de la version 8.3, la sintaxis de algunos comandos cambio asi como el soporte de versiones previas a 8.3 es limitado.

Sin embargo, si el equipo ya se encuentra configurado y no se desea hacerle una actualizacion, pongo los comandos tanto de las versiones previas a 8.3 como esa y superiores.

En caso de que se desee hacer la actualizacion y se cumpla con el requisito de tener 512 MB de memoria RAM para instalarle las versiones 8.3 (se puede verificar con "show version | include RAM") entonces si es recomendado hacer la actualizacion. Este link contiene informacion muy valiosa sobre las actualizaciones (https://supportforums.cisco.com/document/48646/asa-83-upgrade-what-you-need-know).

Ahora, con respecto a la ayuda solicitada, tomando en cuenta los datos proporcionados:

IP PUBLICA: 190.21.29.69 / 255.255.255.252
Puerta de enlace: 190.210.29.70
IP FIREWALL (interna): 172.16.110.254/24

La configuracion de las interfaces (recordar que el ASA5505 contiene un switch interno, por lo que maneja interfaces Fisicas e Interfaces VLAN) seria la siguiente:

1) Crear las interfaces VLAN:

(Las VLANs utilizadas en el ejemplo pueden ser modificadas acorde a la configuracion local del sitio o se pueden usar las del ejemplo si asi se desea tambien)

hostname(config)# interface vlan 100
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address 190.21.29.69 255.255.255.252
hostname(config-if)# no shutdown

hostname(config-if)# interface vlan 200
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 172.16.110.254 255.255.255.0
hostname(config-if)# no shutdown

2) Asignar las VLANs a las interfaces fisicas:

(En este ejemplo, Ethernet0/0 es la red interna y Ethernet0/1 es la salida al exterior)

hostname(config)# interface ethernet 0/0
hostname(config-if)# switchport access vlan 100
hostname(config-if)# no shutdown

hostname(config-if)# interface ethernet 0/1
hostname(config-if)# switchport access vlan 200
hostname(config-if)# no shutdown

3) Configurar la ruta por defecto:

ciscoasa(config)# route outside 0 0 190.210.29.70

4) Configurar el NAT (PAT) para que la red interna pueda salir a Internet utilizando la direccion IP de la interfaz outside:

Si el ASA5505 tiene una version menor a 8.3:

ciscoasa(config)# nat (inside) 1 172.16.110.0 255.255.255.0
ciscoasa(config)# global (outside) 1 interface

Si el ASA5505 tiene version 8.3 o mayor:

ciscoasa(config)# object network obj_inside
ciscoasa(config-network-object)# subnet 172.16.110.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic interface

5) No es necesario crear listas de acceso para el trafico de inside (red interna) a outside (internet) ya que la interfaz inside tiene un nivel de seguridad de 100 y la interfaz outside tiene 0 (y por defecto, de mayor nivel a menor, el trafico esta permitido).

Sin embargo, para el trafico de outside (internet) a inside (red interna) si requerimos configurar access-list y tambien NAT, pero debemos conocer las IPs internas a las que deseamos enviar el trafico, por ejemplo:

Como ejemplo, queremos accesar a 172.16.110.10 en el puerto 80 y 135 desde Internet.

a) Configurar NAT (Static PAT):

Si el ASA5505 tiene una version menor a 8.3:

static (inside,outside) TCP interface 80 172.16.110.10 80 netmask 255.255.255.255
static (inside,outside) TCP interface 135 172.16.110.10 135 netmask 255.255.255.255

Si el ASA5505 tiene version 8.3 o mayor:

ciscoasa(config)# object network obj-172.16.110.10
ciscoasa(config-network-object)# host 172.16.110.10

ciscoasa(config)# object service 80
ciscoasa(config-service-object)# service tcp destination eq 80

ciscoasa(config)# object service 135
ciscoasa(config-service-object)# service tcp destination eq 135

ciscoasa(config)# nat (outside,inside) source static any any destination static interface obj-172.16.110.10 service 80 80
ciscoasa(config)# nat (outside,inside) source static any any destination static interface obj-172.16.110.10 service 135 135

b) Configurar las listas de acceso:

Si el ASA5505 tiene una version menor a 8.3 (aqui se usa la IP 'nateada'):

access-list entrada extended permit tcp any host 190.210.29.69 eq 80
access-list entrada extended permit tcp any host 190.210.29.69 eq 135

Si el ASA5505 tiene version 8.3 o mayor (aqui se usa la IP real):

access-list entrada extended permit tcp any host 172.16.110.10 eq 80
access-list entrada extended permit tcp any host 172.16.110.10 eq 135

c) Aplicar la lista de acceso a la interfaz outside:

access-group entrada in interface outside

Con esta configuracion es suficiente para que el ASA5505 funcione. Si tiene alguna duda, por favor aviseme.

Saludos cordiales,

David Roman
Cisco TAC

New Member

hola Cuento con un Firewall

hola 

Cuento con un Firewall Cisco ASA 5510, se ha comprado para un cliente hace poco y quiero hacer lo siguiente en su red:
(Ahora el cliente tiene una red local con un Router 192.168.1.1, conectado a un cable modem). Su red local de ordenadores está en el rango 192.168.1.X y conecta directamente a internet a través del router.


1.- Primeramente me gustaría intercalar el firewall entre el router y su red local. Para hacerlo, voy a cambiar la IP del router a una subred totalmente diferente para evitarme posibles accesos a la red local en el caso de que alguien quiera atacar el router, por así decirlo. Por ejemplo al router le voy a poner la IP:172.26.0.1 MASK: 255.255.255.0


2.- El firewall tiene 4 bocas de comunicación RJ45, además de la de management y AUX. En las primeras dos he determinado lo siguiente:
a. BOCA1 (nombre "Inside"): IP 192.168.1.1 para que haga de gateway con la red local tal y como estaba configurado antes el router. Esta boca está conectada directamente al Switch, mismo al que van todos los ordenadores de la red.
b. BOCA2 (nombre "Outside"): IP 172.26.0.2 para redirigir todas las peticiones de tráfico de internet de los ordenadores de la red local, al router y que salga de manera segura. En este caso la BOCA se encuentra lógicamente conectada solo al router.


Siguiendo el asistente de configuración que se señala para el ASA 5510, se menciona un punto en el que se deben crear rutas estadísticas; para utilizar o no la traducción del NAT y comunicar las bocas o interfaces, como les llaman en el manual.


Bueno, en sí la situación es que se me esta complicando hacer las cosas. He estado creando reglas, rutas estadísticas, dinámicas y todo lo mencionado en el manual pero hasta ahora solamente he conseguido es hacer ping al router desde la red local, a ello se me da como respuesta un OK, pero no he conseguido salir hacia afuera.


Entonces solicito a ustedes apoyo para que me ayuden a conocer qué rutas, reglas o pasos debo seguir para poder salir de una IP, por ejemplo: 192.168.1.10 a través del firewall (192.168.1.1) a internet por medio del router (172.26.0.1)?

gracias.

Cisco Employee

Hola Dan,

Hola Dan,

Con base a la descripcion que me proporciona, opino que necesita agregar la siguiente configuracion:

1) Configurar el NAT para que la red interna sea traducida a a IP de la interfaz outside (172.26.0.2)

Si el ASA5505 tiene una version menor a 8.3:

ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
ciscoasa(config)# global (outside) 1 interface

Si el ASA5505 tiene version 8.3 o mayor:

ciscoasa(config)# object network obj_inside
ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic interface

De esta forma, todo el trafico interno saldra del ASA con la IP 172.26.0.2 que el Router a su vez debera traducir a su direccion publica de Internet.

No es necesario configurar listas de acceso ya que por defecto, de inside (security level 100) a outside (security level 0) el trafico esta permitido.

2) Configurar la ruta por defecto en el ASA:

ciscoasa(config)# route outside 0 0 172.26.0.2

Dicha ruta enviara el trafico dirigido a Internet hacia el Router (172.26.0.2)

3) (Opcional) Permitir ICMP Ping de la red interna al Internet:

ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class inspection_default
ciscoasa(config-pmap-c)# inspect icmp

Con estos pasos de configuracion debe ser suficiente para que la red interna pueda acceder al Internet.

Si tiene alguna duda o problema por favor hagamelo saber.

Saludos cordiales,

David Roman

Cisco TAC

New Member

David, culaes  serian  tus

David, culaes  serian  tus  recomendaciones  para  el  Hardening en los equipos ASA?

Cisco Employee

Hola Miguel,

Hola Miguel,

Existen varias recomendaciones acerca de Hardening en el ASA.

Algunas de las mas comunes son:

  • Mantener el software actualizado
  • Utilizar el modelo AAA (Authentication, Authorization and Accounting) con el protocolo TACACS+ para proteger el equipo (dicho protocolo cifra el contenido del paquete a diferencia de RADIUS que solo cifra el usuario y contrasena).
  • Utilizar protocos seguros cuando sea posible (SSH en lugar de Telnet, SCP en lugar de TFTP, etc).
  • Configurar autenticacion para los protocolos de ruteo dinamico.

En los siguientes enlaces puede encontrar informacion acerca de estas y otras recomendaciones:

http://www.cisco.com/web/about/security/intelligence/firewall-best-practices.html

http://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html

Saludos Cordiales,

David Roman

Cisco TAC

New Member

Hola David,

Hola David,

Mi pregunta es acerca de la arquitectura del ASA, es esperado que cuando pinguees la interfaz outside de tu ASA desde tu inside LAN no se reciba respuesta, ¿cuál es la razón por la que el ASA se diseño de esta manera? ¿Es posible modificar este comportamiento?

Saludos y gracias de antemano.

Cisco Employee

Hola David,

Hola David,

Si, es esperado que no funcione el Ping desde un host en la Inside hacia la interfaz Outside del ASA.

La razon de esta limitacion es por seguridad, para que el ASA mantenga la separacion de dominios de broadcast.

Esta limitacion esta documentada en el siguiente BUG:

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCsj27466/?reffering_site=dumpcr

La unica excepcion a esto es cuando un usuario se conecta al ASA a traves de un tunel de VPN (SSL o IPSec) y el tunel termina por ejemplo en la Outside y se configura lo siguiente para la Inside:

ciscoasa(config)#management-access inside

Saudos cordiales,

David Roman

Cisco TAC

New Member

Hola David,

Hola David,

Mi pregunta es acerca de los niveles de seguridad en las interfaces de un ASA, quiero saber como se comporta el paquete cuando pasa entre diferentes niveles (Ejm: 0, 50, 100) y a su vez la influencia de las access-list en estas interfaces. El asa que verifica primero para dejar pasa el paquete el nivel de seguridad de la interfaz o el access-list?. Y si es necesario aplicar un access-list en el sentido OUT del firewall o con que se encuentre activa en el sentido IN es suficiente?

Saludos y gracias de antemano 

Cisco Employee

Hola Luis,

Hola Luis,
Lo primero que revisa el ASA en un paquete es si ya existe una conexion relacionada a ese paquete; Si no, entonces continua hacia la Lista de Acceso (ACL).
La forma en la que el nivel de seguridad de las interfaces funciona es que por defecto, de un nivel de seguridad mayor a uno menor, existe un "permit" implicito (que no se puede ver en la configuracion), si se desea limitar el acceso entonces se puede aplicar una Lista de Acceso (ACL).
Y si el trafico viene de una interfaz con nivel de seguridad menor hacia una interfaz con nivel de seguridad mayor, entonces por defecto existe un "deny" implicito (que tampoco se ve en la configuracion), que de igual forma se puede modificar con una Lista de Acceso (ACL).
Si tenemos trafico entre interfaces con el mismo nivel de seguridad, entonces se debe aplicar el siguiente comando de configuracion global:


ciscoasa(config)# same-security-traffic permit inter-interface


http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/S/cmdref3/s1.html#pgfId-1444448


En el siguiente link podemos encontrar mas informacion acerca del uso que hace el ASA al "security-level":


http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/S/cmdref3/s1.html#pgfId-1475933


Acerca de sentido de la Lista de Acceso:


IN (Inbound) es utilizado para trafico que entra a una interfaz del ASA.
OUT (Outbound) es utilizado para trafico que sale de una interfaz en el ASA.


La mejor forma de entender este concepto es con un ejemplo.
Digamos que existen tres interfaces internas en el ASA (Inside, HR y Eng) y un servidor Web en la Outside al cual se desea limitar el acceso a solo un usuario de Inside, un usuario de HR y un usuario de Eng.
En lugar de configurar tres Listas de Acceso IN en Inside, HR y Eng, podemos configurar solo una Lista en Outside permitiendo los tres usuarios hacia el servidor web:


hostname(config)# access-list OUTSIDE extended permit tcp host 10.1.1.14 host 209.165.200.225 eq www
hostname(config)# access-list OUTSIDE extended permit tcp host 10.1.2.67 host 209.165.200.225 eq www
hostname(config)# access-list OUTSIDE extended permit tcp host 10.1.3.34 host 209.165.200.225 eq www
hostname(config)# access-group OUTSIDE out interface outside


En el siguiente enlace se explica el mismo escenario con un diagrama:


http://www.cisco.com/c/en/us/td/docs/security/asa/asa96/configuration/firewall/asa-96-firewall-config/access-rules.html#ID-2124-0000001b


Por lo que la respuesta a la pregunta de si es necesario configurar ambas es que: Depende, pero generalmente si ya se permitio el acceso en una lista IN, entonces no es necesario configurar la lista OUT.
Saludos cordiales,

David Roman

Cisco TAC

New Member

Buenos dias estimado Roman

Buenos dias estimado Roman

He implementado un Cisco ASA 5545-x recientemente con las configuraciones basicas y una regla de que deniega el acceso desde Internet al puerto Outside.

Ahora necesito configurar reglas de salidas para poder denegar el acceso desde los usuarios a paginas tales como Youtube, Facebook. Encontré algunas informaciones en la web pero no me funcionan, use el fqn y no me bloquea nada.

Quisiera que me puedas brindar una ayuda con alguna configuracion de ejemplo que si funcione.

Muchas gracias, saludos cordiales

Cisco Employee

Hola Carlitos,

Hola Carlitos,

Para bloquear sitios como Youtube, Facebook, etc. Recomendamos la utilizacion del modulo FirePOWER en el ASA, ya que ofrece una solucion mucho mas robusta en comparacion a bloquear solamente utilizando el ASA sin dicho modulo, y las razones son las siguientes:

1) Con FirePOWER, se puede inspeccionar y bloquear el trafico cifrado (HTTPS), de otra manera utilizando Expresiones Regulares en el ASA solo se puede bloquear HTTP y los usuarios pueden omitir (saltar) las reglas de inspeccion de HTTP con el simple hecho de usar HTTPS.

2) Dada la naturaleza de dichos sitios que utilizan multiples direcciones IP y que pueden llegar a cambiar constantemente o incluso son diferentes dependiendo de la region del mundo (CDN), el bloquear por direcciones IP o incluso por FQDN genera resultados intermitentes.

3) Con FirePOWER se pueden bloquear sitios basados en categorias (Redes Sociales, Videos, etc)

Entre otras ventajas.

El ASA5545-X soporta el modulo de software de FirePOWER, solo se requiere tener el disco duro de estado solido (SSD) en el que se instala el modulo asi como la licencia de "URL Filtering".

En el siguiente enlace puede encontrar informacion acerca del modulo:

http://www.cisco.com/c/en/us/td/docs/security/asa/quick_start/sfr/firepower-qsg.html

Adicionalmente, en el siguiente video de la Comunidad de Soporte de Cisco podemos observar como se configuran dichas reglas en el FirePOWER:

https://www.youtube.com/watch?v=nXIBDQqekPY

Finalmente, si FirePOWER no es una opcion, podemos utilizar expresiones regulares para bloquear trafico HTTP, por ejemplo:

regex domainlist1 "\.facebook\.com"
regex domainlist2 "\.youtube\.com"

access-list inside_mpc extended permit tcp any any eq www

class-map type regex match-any DomainBlockList
match regex domainlist1
match regex domainlist2

class-map type inspect http match-all BlockDomainsClass
match request header host regex class DomainBlockList

class-map httptraffic
match access-list inside_mpc

policy-map type inspect http http_inspection_policy
parameters
protocol-violation action drop-connection
class BlockDomainsClass
reset log

policy-map inside-policy
class httptraffic
inspect http http_inspection_policy

service-policy inside-policy interface inside

Sin embargo esta configuracion solo funcionara cuando los usuarios naveguen a "http://www.facebook.com o http://www.youtube.com" y no cuando utilicen HTTPS por lo que FirePOWER es mucho mejor para esta tarea.

Saludos cordiales,

David Roman

Cisco TAC

New Member

Comentarte estimado David que

Comentarte estimado David que ya solicite el modulo de FirePower, y como es la primera vez que voy a instalar quería consultarte si es que no tienes algunas recomendaciones para llevar a cabo su implementacion y configuración, te lo agradecería

Muchas gracias, saludos cordiales

Cisco Employee

Hola Carlitos,

Hola Carlitos,

El modulo FirePOWER comparte la interfaz Management 0/0 con el ASA. Dependiendo de como este la red interna (si existe un Switch de Capa 2 o un equipo de Capa 3), se puede configurar el direccionamiento IP del modulo:

http://www.cisco.com/c/en/us/td/docs/security/asa/quick_start/sfr/firepower-qsg.html#pgfId-144598

Sobre la instalacion, primero se debe cargar el archivo de arranque (boot) del SFR al ASA, por ejemplo:

Descargar el archivo .img (boot) y .pkg (software) del siguiente enlace:

https://software.cisco.com/download/release.html?mdfid=286271173&softwareid=286277393&release=6.1.0&relind=AVAILABLE&rellifecycle=&reltype=latest

Cargar el archivo al ASA:

ciscoasa# copy ftp://<FTP_SERVER>/asasfr-5500x-boot-6.1.0-330.img
 disk0:/asasfr-5500x-boot-6.1.0-330.img

Inicializar el modulo con el archivo de boot:

ciscoasa# sw-module module sfr recover configure image disk0:
 /asasfr-5500x-boot-6.1.0-330.img

Correr el siguiente comando para iniciar el proceso:

ciscoasa# sw-module module sfr recover boot

Esperar aproximadamente 15 minutos para que el modulo inicialice (verificar que el status del modulo sea Up/Up con el 'show module') y despues accesar con el comando:

ciscoasa# session sfr console

El usuario por defecto es admin y el password Admin123

Una vez dentro, configurar los parametros de red del modulo con el comando setup

Despues de esa configuracion, instalar el software de FirePOWER:

asasfr-boot >system install http://<HTTP_SERVER>/asasfr-sys-6.1.0-330.pkg

Ya que el modulo este funcionando, es posible administrarlo con el FireSIGHT o via ASDM:

http://www.cisco.com/c/en/us/support/docs/security/firesight-management-center/118596-configure-firesight-00.html

http://www.cisco.com/c/en/us/td/docs/security/asa/quick_start/sfr/firepower-qsg.html#pgfId-141094

En el siguiente enlace podemos observar tambien como enviarel trafico hacia el modulo:

http://www.cisco.com/c/en/us/support/docs/security/asa-firepower-services/118644-configure-firepower-00.html#anc12

Basicamente se configura una Lista de Acceso para determinar el trafico que queremos enviar (puede ser todo el trafico):

ciscoasa(config)# access-list sfr_redirect extended permit ip any any

Se crea una class-map:

ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect

Y finalmente en el policy-map global se referencia dicha class-map para enviar el trafico:

ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class sfr
ciscoasa(config-pmap-c)# sfr fail-open

Por ultimo, en el siguiente video podemos ver como configurar las politicas de URL Filtering que nos permiten filtrar sitios web:https://www.youtube.com/watch?v=nXIBDQqekPY

Saludos cordiales,

David Roman

Cisco TAC

New Member

Ingeniero David buen dia,

Ingeniero David buen dia,

En pro de las vulenrabilidades de SNMP Y CLI presentadas en los ASA, la recomendacion es actualizar a la v.9.1.7, suponiendo que se tiene un ASA 5550 con una version muy baja 8.0.4 y en estado ACTIVE / FAILOVER,  te pregunto lo siguinte:

1.cual es el proceso recomendado de actualización escalonado para alcanzar la version superior(9.1.7)

2.Que cambios a nivel de Hardware y Software deben ser implementados en el dispositivo, ya que después de la version 8.3, se presentan cambios drásticos en la configuración de las ACL y NAT.

Quedo atento a tu valiosa información.

muchas gracias, saludos.

Cisco Employee

Hola Zepe77001,

Hola Zepe77001,

La version 9.1(7)9 del ASA contiene la solucion para las siguientes vulnerabilidades:

  • Cisco ASA SNMP Remote Code Execution Vulnerability
  • Cisco ASA ACL ICMP Echo Request Code Filtering Vulnerability
  • Cisco ASA Cross Site Scripting SSLVPN Vulnerability

Al respecto de actualizar un ASA5550 desde 8.0(4) hasta 9.1(7)9, los requerimientos son los siguientes:

El ASA5550 requiere de 4 GB de Memoria RAM, por suerte esa es la cantidad por defecto que contiene el ASA5550.

El proceso escalonado seria:

1) De 8.0(4) a 8.2(5)

2) De 8.2(5) a 8.4(7) (deshabilitar nat-control antes de comenzar este paso para evitar configuracion innecesaria, si es que estaba habilitado).

3) De 8.4(7) a 9.1(7)9

En el paso 2, el ASA automaticamente hara la migracion de los comandos a la nueva sintaxis, los mayores cambios estan relacionados con NAT y con las Listas de Acceso (ACLs). En los siguientes enlaces viene informacion acerca de los cambios:

http://www.cisco.com/c/en/us/td/docs/security/asa/asa83/upgrading/migrating.html

https://supportforums.cisco.com/document/48646/asa-83-upgrade-what-you-need-know

El proceso de actualizacion de los equipos en Failover es primero actualizar la unidad "Standby", hacer un "Failover" y despues actualizar la otra unidad.

Como todo cambio mayor en la red, se recomienda hacer este proceso durante una ventana de mantenimiento como precaucion para evitar afectaciones a los usuarios.

Saludos cordiales,

David Roman

Cisco TAC

New Member

hay manera de bloquear la

hay manera de bloquear la aplicacion ultrasurf mediante el modulo FirePOWER

Cisco Employee

Hola areyes7019,

Hola areyes7019,

Si es posible bloquear la aplicacion "UltraSurf" utilizando el FirePOWER:

1. Crear una regla de Access Control Policy Rule.
2. Dar un nombre a la regla y la accion debe ser "Block".
3. Navegar a la pestana "Applications".
4. Buscar "Available Applications" y "Ultrasurf".
5. Click "Ultrasurf" y luego "Add to Rule".
6. Click la pestana "Logging".
7. Seleccionar "log at beginning of connection".
8. Seleccionar "Defense Center"
9. Seleccionar"Add Rule".
10. Aplicar la Politica

Esto funciona en las siguientes versiones de SourceFIRE: 6.1.0, 6.0.1.1 y 5.4.1.7 con VDB 266.2

Saludos cordiales,

David Roman

Cisco TAC

Hola David

Hola David

Buen día, te compartimos algunas de las preguntas comunes que existen en torno al tema:

1) ¿Cuáles son los requerimientos de Hardware y Software para configurar Alta Disponibilidad en el ASA (HA) ?

2) ¿Qué herramientas de troubleshooting ofrece el ASA ?

3) ¿Cómo se hace troubleshooting de un crash en el ASA ?

4) ¿Es posible hacer que aparezca el ASA como un hop en un Traceroute?                                              

5) ¿A partir de que versión del ASA Software se soporta Policy Based Routing (PBR) con Route-Maps ?

Cisco Employee

Hola Moderador :)

Hola Moderador :)

Aqui las respuestas:

1) Cuales son los requerimientos de Hardware y Software para configurar Alta Disponibilidad en el ASA (HA) ?

- El hardware debe ser el mismo modelo, mismo numero y tipo de interfaces, mismos modulos (si existe alguno) y la misma cantidad de memoria RAM. Sobre el software debe estar configurado en el mismo modo (ruteado o transparente) el mismo modo de contexto (uno o multiple) y el la misma version de ASA Software.

2) Que herramientas de troubleshooting ofrece el ASA ?

- Existe la herramienta de Packet Tracer que inyecta un paquete en alguna determinada interfaz y nos muestra todos los procesos a los que es sometido y el resultado final (si es permitido o denegado).

- La herramienta de Packet Capture para capturar el trafico en tiempo real en una o mas interfaces.

- Los SYSLOGs y DEBUGs

3) Como se hace troubleshooting de un crash en el ASA ?

- Se recomienda obtener el 'show crashinfo' si el equipo lo genero para ser decodificado por el Cisco CLI Analyzer o por el Cisco TAC. Asi como determinar si hubo algun cambio que ocasiono el crash.

4) Es posible hacer que aparezca el ASA como un hop en un Traceroute ?

- Si, configurando una policy-map que decremente el TTL (Time to Live)

ciscoasa(config)# class-map global-policy
ciscoasa(config-cmap)# match any
ciscoasa(config-cmap)# exit
ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class global-policy
ciscoasa(config-pmap-c)# set connection decrement-ttl
ciscoasa(config-pmap-c)# exit

5) A partir de que version del ASA Software se soporta Policy Based Routing (PBR) con Route-Maps ?

- A partir de la version 9.4(1)

Saludos cordiales,

David Roman

Cisco TAC

New Member

Buenas Tardes,

Buenas Tardes,

Tengo muchisimas dudas acerca de la configuración de un ASA 5516-x, y ojala me ayuden a despejarlas.

En la red de mi trabajo necesitan implementar este equipo y no se como hacerlo. Para ponerte en contexto en el cual tengo que configurarlo detallo alguno punto a considerar (quizas falten)

Edificio 1 - (Donde esta el core de la red)

* 1 WLC 5508

* Stack de Switch  

1 SW 3750 catalyst 12P (fibra)

1 SW 3750 catalyst 24P

* Asa 5516

*  1 AIR-CAP 1602I

Edificio 2 

* 1 SW Catalyst 3750

* 8 AIR-CAP 1602I

Edificio 3 

* 1 SW Catalyst 3750

* 8 AIR-CAP 1602I

Edificio 4

* 1 SW Catalyst 3750

* 4 AIR-CAP 1602I

En cuanto, a las direcciones IP estoy trabajando en el rango de 172.16.x.0/24. Tambien tengo configurada VLans en el Stack de sw del Edificio 1.

Desde ya muchas gracias.

Cisco Employee

Hola pjbarbozasaba1,

Hola pjbarbozasaba1,

Con mucho gusto le puedo ayudar, con que parte de la implementación necesita ayuda ?

Saludos cordiales,

David Roman

Cisco TAC

New Member

Hola David, muchas gracias

Hola David, muchas gracias por responder. 

Estaría necesitando ayuda con la configuracion del ASA;

Me estaria faltando brindar a los usuarios el servicio de internet mediante la vinculación del Asa con el Sw3750. Osea tengo configuradas varias Vlans de Management, Clientes-Wifi, Datos, Servidores, en el Stack. Estas Vlans no se si las tengo que agregar en el asa?

La vinculacion vi que se hace atraves de un portchannel, lo cual lo tengo configurado desde el lado del sw, pero no asi desde el asa.

Saludos

Cisco Employee

Hola pjbarbozasaba1,

Hola pjbarbozasaba1,

Si es posible configurar PortChannels en el ASA, todas las interfaces que sean parte del PortChannel deben ser del mismo tipo, velocidad y con el mismo modo duplex. Las interfaces fisicas que sean parte del PortChannel no deben tener un "name" configurado.

La configuracion de un PortChannel (EtherChannel) en el ASA es la siguiente:

El ASA soporta los modos Active, Passive y On:

• Active — Envia y recibe notificaciones de LACP
• Passive — Solo recibe notificaciones LACP
• On — El EtherChannel siempre esta encendido y LACP no es utilizado

Nota: El modo no puede ser Passive en ambos lados.

Por ejemplo si deseamos hacer un PortChannel de 2 puertos:

ciscoasa(config)# interface gigabitethernet 0/0
ciscoasa(config-if)# channel-group 1 mode active
ciscoasa(config-if)# no nameif

ciscoasa(config)# interface gigabitethernet 0/1
ciscoasa(config-if)# channel-group 1 mode active
ciscoasa(config-if)# no nameif

ciscoasa(config)# interface port-channel 1
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# ip address x.x.x.x x.x.x.x

Ahora, si lo que se desea es enviar varias VLANs a traves del PortChannel (como en este escenario), entonces tenemos que crear Sub-Interfaces en el PortChannel para pasar varias VLANs, por ejemplo:

ciscoasa(config)# interface port-channel 1
ciscoasa(config-if)# no nameif

ciscoasa(config)# interface port-channel 1.100
ciscoasa(config-subif)# vlan 100
ciscoasa(config-subif)# nameif inside
ciscoasa(config-subif)# security-level 100
ciscoasa(config-subif)# ip address x.x.x.x x.x.x.x

ciscoasa(config)# interface port-channel 1.200
ciscoasa(config-subif)# vlan 200
ciscoasa(config-subif)# nameif dmz
ciscoasa(config-subif)# security-level 50
ciscoasa(config-subif)# ip address x.x.x.x x.x.x.x

Del lado del switch, el port channel debe ser configurado en modo trunk (switch port mode trunk)

Por ejemplo:

3750(config)# interface fa0/2
3750(config-if)# channel-group 1 mode active
3750(config-if)# exit

3750(config)# interface fa0/3
3750(config-if)# channel-group 1 mode active
3750(config-if)# exit

3750(config)# interface port-channel 1
3750(config-if)# switchport trunk encapsulation dot1q
3750(config-if)# switchport mode trunk
3750(config-if)# switchport trunk allowed vlan 100,200

Despues de ello, para que las VLANs puedan salir a internet a traves del ASA, es necesario configurar el PAT:

Por ejemplo:

Si el ASA5505 tiene una version menor a 8.3:

ciscoasa(config)# nat (inside) 1 172.16.110.0 255.255.255.0
ciscoasa(config)# global (outside) 1 interface

Si el ASA5505 tiene version 8.3 o mayor:

ciscoasa(config)# object network obj_inside
ciscoasa(config-network-object)# subnet 172.16.110.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic interface

Y asi para cada interfaz...

Saludos cordiales,

David Roman
Cisco TAC

New Member

Hola David, muchas gracias

Hola David, muchas gracias por responder 

Me surgieron algunas preguntas con la configuracion que añadiste.

1. Si no entendi mal la configuracion del port-channel que debo aplicar para mi escenario es esta:

ciscoasa(config)# interface port-channel 1
ciscoasa(config-if)# no nameif

ciscoasa(config)# interface port-channel 1.100
ciscoasa(config-subif)# vlan 100
ciscoasa(config-subif)# nameif inside
ciscoasa(config-subif)# security-level 100
ciscoasa(config-subif)# ip address x.x.x.x x.x.x.x

ciscoasa(config)# interface port-channel 1.200
ciscoasa(config-subif)# vlan 200
ciscoasa(config-subif)# nameif dmz
ciscoasa(config-subif)# security-level 50
ciscoasa(config-subif)# ip address x.x.x.x x.x.x.x

La pregunta es si las Vlan que se agregan aqui tienen que tener correspondencia con las que se crearon en el sw3750. Es decir si tengo 15 Vlan, voy a tener 15 Subinterfaces?

2. La version de asa que tengo es 9.5(2)

Osea que tengo que usar esta parte de la configuracion

ciscoasa(config)# object network obj_inside
ciscoasa(config-network-object)# subnet 172.16.110.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic interface

Esta parte no me quedo claro. La ip que usaste en el ejemplo a que interfaz o vlan corresponderia?

Y cuando decis que hay que crear un object network para cada interfaz a que interfaz te referis? 

Saludos

Cisco Employee

Hola pjbarbozasaba1,

Hola pjbarbozasaba1,

Asi es, Si hay 15 VLANs en el Switch que se desean enviar al ASA, entonces si hay que crear 15 sub-interfaces en el PortChannel del ASA.

El NAT que puse fue un ejemplo.

Digamos que tenemos 2 sub-interfaces, Inside y DMZ. Entonces hay que crear el NAT para cada una de ellas, por ejemplo:

Si en Inside, la subred es 192.168.1.0/24 y en DMZ es 10.10.10.0/24 y se desea que ambas subredes salgan a internet utilizando la direccion IP de la interfaz Outside:

ciscoasa(config)# object network obj_inside
ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic interface

ciscoasa(config)# object network obj_DMZ
ciscoasa(config-network-object)# subnet 10.10.10.0 255.255.255.0
ciscoasa(config-network-object)# nat (DMZ,outside) dynamic interface

Y asi sucesivamente, para las 15 interfaces si asi se desea.

Saludos cordiales,

David Roman

Cisco TAC

New Member

Hola David, 

Hola David, 

He sacado la config del asa en como esta actualmente, y le he añadido lo que me dijiste. 

ASA Version 9.5(2)
!
hostname ciscoasa
names
!
interface GigabitEthernet1/1
no nameif
Channel-group 1 mode active
no security-level
no ip address
!
interface GigabitEthernet1/2
no nameif
channel-group 1 mode active
no security-level
no ip address
!
interface GigabitEthernet1/3
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet1/4
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet1/5
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet1/6
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet1/7
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet1/8
shutdown
no nameif
no security-level
no ip address
!
interface Management1/1
management-only
no nameif
no security-level
no ip address
!
interface port-channel 1
no nameif
!
interface port-channel 1.110
vlan 110
nameif Datos
security-level 100
ip address 172.16.1.0 255.255.255.0
!
interface port-channel 1.150
vlan 150
nameif Servidor
security-level 50
ip address 172.16.2.0 255.255.255.0
!
interface port-channel 1.350
vlan 350
nameif Cliente-Wifi-1
security-level 100
ip address 172.16.3.0 255.255.255.0
!
interface port-channel 1.400
vlan 400
nameif Cliente-Wifi-2
security-level 100
ip address 172.16.4.0 255.255.255.0
!
ftp mode passive
object network obj_Datos
subnet 172.16.1.0 255.255.255.0
nat (Datos,outside) dynamic interface
!
object network obj_Servidor
subnet 172.16.2.0 255.255.255.0
nat (Servidor,outside) dynamic interface
!
object network obj_Cliente-wifi-1
subnet 172.16.3.0 255.255.255.0
nat (Cliente-wifi-1,outside) dynamic interface
!
object network obj_Cliente-wifi-2
subnet 172.16.4.0 255.255.255.0
nat (Cliente-wifi-2,outside) dynamic interface

object network obj_any
subnet 0.0.0.0 0.0.0.0
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
no failover
no monitor-interface service-module
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
!
object network obj_any
nat (any,outside) dynamic interface
route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
service sw-reset-button
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpoint _SmartCallHome_ServerCA
no validation-usage
crl configure
crypto ca trustpool policy
crypto ca certificate chain _SmartCallHome_ServerCA
certificate ca 6ecc7aa5a7032009b8cebcf4e952d491
308205ec 308204d4 a0030201 0202106e cc7aa5a7 032009b8 cebcf4e9 52d49130
0d06092a 864886f7 0d010105 05003081 ca310b30 09060355 04061302 55533117
30150603 55040a13 0e566572 69536967 6e2c2049 6e632e31 1f301d06 0355040b
13165665 72695369 676e2054 72757374 204e6574 776f726b 313a3038 06035504
0b133128 63292032 30303620 56657269 5369676e 2c20496e 632e202d 20466f72
20617574 686f7269 7a656420 75736520 6f6e6c79 31453043 06035504 03133c56
65726953 69676e20 436c6173 73203320 5075626c 69632050 72696d61 72792043
65727469 66696361 74696f6e 20417574 686f7269 7479202d 20473530 1e170d31
30303230 38303030 3030305a 170d3230 30323037 32333539 35395a30 81b5310b
30090603 55040613 02555331 17301506 0355040a 130e5665 72695369 676e2c20
496e632e 311f301d 06035504 0b131656 65726953 69676e20 54727573 74204e65
74776f72 6b313b30 39060355 040b1332 5465726d 73206f66 20757365 20617420
68747470 733a2f2f 7777772e 76657269 7369676e 2e636f6d 2f727061 20286329
3130312f 302d0603 55040313 26566572 69536967 6e20436c 61737320 33205365
63757265 20536572 76657220 4341202d 20473330 82012230 0d06092a 864886f7
0d010101 05000382 010f0030 82010a02 82010100 b187841f c20c45f5 bcab2597
a7ada23e 9cbaf6c1 39b88bca c2ac56c6 e5bb658e 444f4dce 6fed094a d4af4e10
9c688b2e 957b899b 13cae234 34c1f35b f3497b62 83488174 d188786c 0253f9bc
7f432657 5833833b 330a17b0 d04e9124 ad867d64 12dc744a 34a11d0a ea961d0b
15fca34b 3bce6388 d0f82d0c 948610ca b69a3dca eb379c00 48358629 5078e845
63cd1941 4ff595ec 7b98d4c4 71b350be 28b38fa0 b9539cf5 ca2c23a9 fd1406e8
18b49ae8 3c6e81fd e4cd3536 b351d369 ec12ba56 6e6f9b57 c58b14e7 0ec79ced
4a546ac9 4dc5bf11 b1ae1c67 81cb4455 33997f24 9b3f5345 7f861af3 3cfa6d7f
81f5b84a d3f58537 1cb5a6d0 09e4187b 384efa0f 02030100 01a38201 df308201
db303406 082b0601 05050701 01042830 26302406 082b0601 05050730 01861868
7474703a 2f2f6f63 73702e76 65726973 69676e2e 636f6d30 12060355 1d130101
ff040830 060101ff 02010030 70060355 1d200469 30673065 060b6086 480186f8
45010717 03305630 2806082b 06010505 07020116 1c687474 70733a2f 2f777777
2e766572 69736967 6e2e636f 6d2f6370 73302a06 082b0601 05050702 02301e1a
1c687474 70733a2f 2f777777 2e766572 69736967 6e2e636f 6d2f7270 61303406
03551d1f 042d302b 3029a027 a0258623 68747470 3a2f2f63 726c2e76 65726973
69676e2e 636f6d2f 70636133 2d67352e 63726c30 0e060355 1d0f0101 ff040403
02010630 6d06082b 06010505 07010c04 61305fa1 5da05b30 59305730 55160969
6d616765 2f676966 3021301f 30070605 2b0e0302 1a04148f e5d31a86 ac8d8e6b
c3cf806a d448182c 7b192e30 25162368 7474703a 2f2f6c6f 676f2e76 65726973
69676e2e 636f6d2f 76736c6f 676f2e67 69663028 0603551d 11042130 1fa41d30
1b311930 17060355 04031310 56657269 5369676e 4d504b49 2d322d36 301d0603
551d0e04 1604140d 445c1653 44c1827e 1d20ab25 f40163d8 be79a530 1f060355
1d230418 30168014 7fd365a7 c2ddecbb f03009f3 4339fa02 af333133 300d0609
2a864886 f70d0101 05050003 82010100 0c8324ef ddc30cd9 589cfe36 b6eb8a80
4bd1a3f7 9df3cc53 ef829ea3 a1e697c1 589d756c e01d1b4c fad1c12d 05c0ea6e
b2227055 d9203340 3307c265 83fa8f43 379bea0e 9a6c70ee f69c803b d937f47a
6decd018 7d494aca 99c71928 a2bed877 24f78526 866d8705 404167d1 273aeddc
481d22cd 0b0b8bbc f4b17bfd b499a8e9 762ae11a 2d876e74 d388dd1e 22c6df16
b62b8214 0a945cf2 50ecafce ff62370d ad65d306 4153ed02 14c8b558 28a1ace0
5becb37f 954afb03 c8ad26db e6667812 4ad99f42 fbe198e6 42839b8f 8f6724e8
6119b5dd cdb50b26 058ec36e c4c875b8 46cfe218 065ea9ae a8819a47 16de0c28
6c2527b9 deb78458 c61f381e a4c4cb66
quit
telnet timeout 5
no ssh stricthostkeycheck
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
dynamic-access-policy-record DfltAccessPolicy
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
call-home reporting anonymous
Cryptochecksum:50187aeb5a29f52885a6057d0633563a
: end

Lo que esta en azul, lo tendria que modificar? en el caso de route outside 0.0.0.0 0.0.0.0 192.168.1.1 aqui va la ip publica? 

user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside

y en el caso de la ultima linea, http va para cada vlan? le estaria faltando alguna configuracion a ese template de config?

muchas gracias. saludos 

Cisco Employee

Hola pjbarbozasaba1,

Hola pjbarbozasaba1,

Una disculpa por la demora!

Sobre la configuracion:

route outside 0.0.0.0 0.0.0.0 192.168.1.1

La IP despues de los ceros debe ser el siguiente salto (next-hop) del ASA, la IP del modem de internet por ejemplo.

Las linea que siguen:

user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside

La primera es acerca del domain por defecto que sera utilizado para la configuracion de Identity Firewall, sin embargo veo que no esta siendo utilizado asi que se puede dejar esa linea.

Las otras dos lineas son acerca del servicio HTTP en el ASA (ASDM), con la segunda linea se declara desde que redes se puede accesar al ASDM.

Despues, la linea de

dhcpd auto_config outside

Es utilizada cuando el ASA actua como servidor DHCP y se desea enviar la informacion recibida de DNS, Dominio, Wins, etc desde (outside) hacia la interfaz donde se tenga configurado que el ASA funcione como servidor DHCP (no hay ninguna en este caso). Asi que esa linea no es necesaria.

La parte de los Port Channels se ve correcta!

Saludos cordiales,

David Roman

Cisco TAC

New Member

Ingeniero David buen día,

Ingeniero David buen día,

Viendo que en la migración de un ASA 5550 de 8.2 a 8.3 hay cambios a nivel de las líneas NAT, en base con tu experiencia al respecto que recomendaciones me podrías brindar y aspectos a tener super en cuenta?

Quedo atento a comentarios.

Mil gracias.

2226
Visitas
122
ÚTIL
32
Respuestas