CCIE.pl site 4 CCIE wannabies FAQ  Search  Memberlist  Usergroups  Statistics Register  Log in  Album Board Navigation Forum Forum index Memberlist Search Usergroups Statystyki Log in Username: Password: Remember me  I forgot my password Register Statistics Users write 81755 posts, 10146 topics We have 4396 registered users The newest registered user is piotrmu Links Cisco FAQ PL CCIE Population Welcome Witaj na CCIE.pl ASA - isakmp policy i rsa-sig Author: gonte @ Yesterday 9:45 Spotkał się ktoś może z problemem z certyfikatami na ASA (5520) ? Konfiguracja poniżej - problem pojawił sie w chwili gdy zdefiniowałem więcej niż jedną policy isakmp wygląda to tak jak by ASA w ogóle nie wysyłała policy z auth rsa-sig ? Wersja ASA to 8.0(5) identyczna sytuacja jest na 8.2(1) ASA access-list CRYPTO extended permit ip 136.1.121.0 255.255.255.0 136.1.23.0 255.255.255.0 crypto isakmp enable outside crypto isakmp policy 10 authentication rsa-sig encryption aes hash sha group 2 lifetime 86400 crypto ipsec transform-set AES esp-aes esp-sha-hmac crypto map VPN 10 match address CRYPTO crypto map VPN 10 set peer 136.1.123.3 crypto map VPN 10 set transform-set AES crypto map VPN 10 set security-association lifetime seconds 28800 crypto map VPN 10 set security-association lifetime kilobytes 4608000 crypto map VPN interface outside crypto ca trustpoint IE revocation-check crl none enrollment url http://10.0.0.100:80/certsrv/mscep/mscep.dll crl configure tunnel-group 136.1.123.3 type ipsec-l2l tunnel-group 136.1.123.3 ipsec-attributes trust-point IE R3 ip access-list extended CRYPTO permit ip 136.1.23.0 0.0.0.255 136.1.121.0 0.0.0.255 crypto isakmp policy 10 encr aes group 2 ! ! crypto ipsec transform-set AES esp-aes esp-sha-hmac ! crypto map VPN 10 ipsec-isakmp set peer 136.1.123.12 set transform-set AES match address CRYPTO ! ! ! interface FastEthernet0/0 ip address 136.1.123.3 255.255.255.0 duplex auto speed auto crypto map VPN Błędy jakie dostaję przy takiej konfiguracji na ASA: Feb 08 09:07:16 [IKEv1]: There is no valid IKE proposal available, check IPSec SA configuration! Feb 08 09:07:16 [IKEv1]: Removing peer from peer table failed, no match! Feb 08 09:07:16 [IKEv1]: Error: Unable to remove PeerTblEntry Feb 08 09:07:18 [IKEv1 DEBUG]: Pitcher: receive... [ Read Full ] Comments: 2 :: View Comments (Post your comment) Zdolność przełączania Author: marian @ 7 February 2010, 20:37 Witam, Na wielu routerach (szczególnie tych tańszych) podawany jest parametr o nazwie "zdolność przełączania". W związku z tym mam pytanie czy jest to ten sam parametr który nazywa się po angielsku System Capacity(podawany w jupkach) ? Na switchach z kolei podawany jest parametr o nazwie Packet Switching Capacities. Czy ktoś mógłby mnie uświadomość czym jest ta "zdolność przełączania" i jak te parametry mają się do siebie Dzieki za wszelką pomoc. Pozdrawiam Comments: 7 :: View Comments (Post your comment) ASA i IP options. Author: gubit @ 7 February 2010, 16:52 Czy na ASA da się przepuścić ruch zawierający IP options? W logach mam: Code: Feb 07 2010 17:19:36: %ASA-6-106012: Deny IP from 136.1.121.1 to 150.1.3.3, IP options: "Record Route" Feb 07 2010 17:22:44: %ASA-6-106012: Deny IP from 136.1.123.3 to 150.1.1.1, IP options: "Loose Src Routing" Dropowanie jest niezależnie od kierunku - zarówno ruch inside->outside jak i outside->inside. Access-listy na interfejsach INSIDE i OUTSIDE to permit ip any any. Dropowany jest ruch idący zarówno przez ASA jak i do ASA, ale ja bym chciał przepuścić ten ruch idący "przez", ten ruch "do" mniej mnie interesuje. Dla TCP options jest tcp-map, ale czy da się przepuścić IP options? Soft na ASA to 8.0(4). W całym Configuration Guide (dla 8.0) zarówno "ip option" jak i "ip-option" występuje zero razy, więc może się tego w ogóle nie da przepuścić? Opis loga oczywiście czytałem: http://www.cisco.com/en/U....html#wp4768924 ale w niczym on mi nie pomaga. Comments: 3 :: View Comments (Post your comment) 1711 problem z NATem Author: gmrs @ 6 February 2010, 22:33 Witam, Chciałbym wykorzystać do podziału mojego łącza router 1711. Mój provider dostarcza stały niepubliczny adres IP. [zakończone ethernetem] Konfiguracja NATa oraz routingu nie była problemem. Problem dotyczy natomiast prędkości uzyskiwanych przy takiej konfiguracji. Łącze posiada następujące parametry Download- 20Mb/s Upload-/4Mb/s, jednak maksymalna prędkość jaką udało mi się uzyskać podczas testów to 10Mb/s. Według specyfikacji technicznej osiągnięcie na tym sprzecie prędkości 20Mb/s nie powinno być problemem, w związku z tym jeżeli ktoś byłby w stanie podpowiedzieć i pomóc w rozwiązaniu problemu będę bardzo wdzięczny. Podłączony zarówno laptop jak i wrt54gs linksysa osiągają deklarowane przez mojego ISP parametry. Wersja flasha to:c1700-k9o3sy7-mz.123-11.T11.bin Wynik polecenia: show running-config Router#sh *Mar 1 09:53:20.455: %SYS-5-CONFIG_I: Configured from console by console run Building configuration... Current configuration : 1086 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! ! mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 no aaa new-model ip subnet-zero ! ! ! ! ip cef ip ips po max-events 100 no ftp-server write-enable ! ! ! ! ! no crypto isakmp ccm ! ! ! interface FastEthernet0 ip address 10.10.10.25 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 ! interface Vlan1 ip address 192.168.0.1 255.0.0.0 ip nat inside ip virtual-reassembly ! interface Async1 no ip address ! ip classless ip route 0.0.0.0 0.0.0.0 10.10.10.10 no ip http server no ip http secure-server ! ip nat inside source list 100 interface FastEthernet0 overload ! ! access-list 100 ... [ Read Full ] Comments: 2 :: View Comments (Post your comment) Lab do Wireless Author: horac @ 5 February 2010, 17:47 Ma ktos moze zlozonego laba do sciezki Wireless ? bo jak patrzylem po cenach apekow, kontrolerow to mi sie slabo robi. Ktos moze po taniosci zestawial sobie labika, jesli tak chetnie bym sie dowiedzial ile $ zainstwestowal i co mogl przecwiczyc a co nie. Comments: 2 :: View Comments (Post your comment) Welcome Guest The time now is 9 February 2010, 08:07 Recent topics » ACS 5.1 i autentykacja wykorzystaniem TACACS » Szukam sprzetu do celow dydaktycznych » ASA - isakmp policy i rsa-sig » Zasilacz do 3550 » sprzedam switcha 2950G EI 12 portow » Zdolność przełączania » Szukam pracy » ASA i IP options. » Annex A w Cisco 836 » IOS 15.0 maintenance-mode Who is Online Users last 1 hours: 41 Registered, 6 Hidden and 1547 Guests Registered users: peper, aron, posiu, abacalypse, Alex, BaB, bast, byegood, dorvin, Ern, gacek, garfield, gonte, gregor1, hanys, House, jepes, keddie, lapluk, lbromirs, lukibest, m0n0wall, miodziarz1, Neferith, onsighter, pele, pio, PioterPL, Piotras, Praetor, r0g4l, rafaelp, rayos, ruprecht, slappy, sobolaqe1, stentor, Tokash, vrankom, xal, z3ll Users last hour:120 [ Who is Online ] In total there are 28 users online :: 7 Registered, 1 Hidden and 20 Guests Registered Users: byegood, garfield, jepes, lbromirs, lukibest, sobolaqe1, xal Most users ever online was 168 on 25 June 2007, 21:48 Recent Public Pics Poster: krisator 17 December 2009, 11:08 Rating: not rated Comments: 0 Poster: weis 10 December 2009, 13:40 Rating: not rated Comments: 1 Powered by phpBB modified by Przemo © 2003 phpBB Group This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries.