Monthly Archives: 十一月 2011

问题编号：1 提问内容： ASA5510做clientvpn，5510的内网地址与clientvpn用户的本地地址重叠，请问怎么解决？ 192.168.1.0/24inside–ASA5510–ISP–ROUTER–192.168.1.0/24 clientvpn 回答内容： VPN接入用户可以自行安排一段IP, 内部L3设备设置静态路由指向ASA内部接口即可 问题编号：2 提问内容： 请问PIX 535和ASA系列，能否做到将两个端口绑定在一起，作用与SWITCH的PORT－CHANNEL，路由器的channel-group? 回答内容： ASA/PIX没有ether channel功能 问题编号：3 提问内容： 我们学校互联网出口使用了一台PIX535防火墙，目前通过MRTG监测软件发现连接数已达到70万，但实际我们的用户也就四千人，此种情况是否代表有安全攻击存在，有什么命令可以在设备上查看具体连接细节吗，是不是TCP半连接太多，在PIX上使用什么命令可以防范半连接攻击？ 回答内容： 利用 show connection以及show local-host, 建议限制内部IP对外的会话数量,启用外部连接的tcp syn cookie功能 问题编号：4 提问内容： 请问ASA5500的冗余工作模式A/S是否通过hello包的机制来检测对端故障？检测时间是多少，hello包的传递是通过failover link吗？还有，ASA5500工作在a/s时，是否可直接连接路由器，如果只能通过交换机连接路由器，那交换机的作用是什么？ 回答内容： ASA的冗余有两类数据，一个是hello，一个是状态信息.所以可以做到完全切换,用户连接无需中断.最好将两类数据分别置入不同的冗余VLAN进行传输. ASA的冗余连接建议通过交换机,也就是L2的连接方式 问题编号：5 提问内容： ASA5500支持A/A工作模式，是否通过context实现？如果是，在物理接口侧是不是启用子接口方式将不同子接口划入不同的Context实现A/A？ 回答内容： ASA5500的A/A是通过虚拟防火墙的方式实现, 具体连接支持物理与逻辑线路等多种方式 问题编号：6 … Continue reading →