le 06-04-2020 10:54 AM - dernière modification le 07-04-2020 10:24 AM par Monica Lluis
Note : En posant une question sur ce forum, vous nous autorisez à être traduit dans toutes les langues disponibles dans la communauté. Nos experts pourraient ne pas être en mesure de répondre immédiatement à chaque question. N'oubliez pas que vous pouvez poursuivre également des conversations sur ce sujet dans les discussions de Sécurité.
Cet événement est gratuit et ouvert à tous les publics, y compris les partenaires commerciaux, les ingénieurs réseau et télécommunications, les étudiants et les clients de Cisco.
Posez vos questions ! Toutes les questions par rapport aux solutions de Sécurité seront répondues : AnyConnect, VPN, Adaptive Security Appliance ASA, Politique d'accès dynamique (Dynamic Access Policy), scan d'hôte (Host Scan), détection de réseau de confiance (Trusted Network Detection TND), sélection de passerelle optimale (Optimal Gateway Selection OGS), WFO, licenses et meilleures pratiques, entre autres.
Posez vos questions du 6 au 17 avril 2020.
** Les compliments encouragent la participation de tous nos membres et experts **
Complimentez leur réponses à vos questions pour les remercier !
le 14-04-2020 02:25 PM
Salut Sheraz,
Bien sûr !
Voici quelques documents qui vous aideront à comprendre OpenSSL et son utilisation :
Cordialement,
Dinesh Moudgil
le 14-04-2020 02:49 PM
Bonjour à tous.
J'ai posé cette question dans le sujet sur la sécurité du réseau, mais je vais la reprendre ici.
J'ai récemment discuté avec un collègue au sujet de la possibilité de la mise en œuvre du suivant schéma.
Il y a deux périphériques qui se trouvent en HA, par exemple deux ASA 5508-x ou deux Firepower 1140.
Est-il possible d'implémenter sur un réseau cela et NAT, et DMZ, et AnyConnect configuré sur la même paire de périphériques ?
Si oui, quelle est la meilleure façon de le faire ? Configurer deux interfaces externes, une pour NAT (par exemple, outside_nat), la seconde pour l'interface externe de AnyConnect (par exemple, outside_anyconnect), ou bien, il vaut mieux de tout configurer sur la même interface (par exemple, outside) ? ...
Si nous considérons la première option (configurer les deux appareils dans HA, configurer le canal de port et le diviser en 5 subs-outside_nat, inside_nat, DMZ, outside_anyconnect, inside_anyconnect) dans ce cas là, la question se pose pour les deux routes sur les interfaces externes. Est-il possible de configurer deux routes par défaut sur l'ASA ou Firepower ? ...
* Voici la traduction d'un message créé à l'origine par kapydan88 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 15-04-2020 12:53 PM
Bonjour kapydan88
Définitivement c'est possible.
Le scénario le plus courant est une interface unique qui gère tout et pour les clients qui ont un double FAI pour la redondance, l'interface secondaire ne transmet aucun trafic. Si la liaison principale tombe en panne, l'interface secondaire prend le relais et gère tout le trafic.
Cependant, nous avons des UC qui ne veulent pas que ce double FAI secondaire soit juste inactif pour équilibrer le trafic. Comme vous l'avez mentionné sur ASA, nous ne pouvons pas avoir plus d'un itinéraire avec la même métrique; il y a si longtemps, la seule façon d'y parvenir était avec les astuces NAT, mais depuis que nous avons introduit PBR en 9.4.1, c'est très facile à accomplir.
Dans le cas d'AnyConnect en particulier, nous avons également des UC qui font ce que vous avez l'intention, avoir une interface dédiée qui n'est pas la valeur par défaut pour les utilisateurs d'AnyConnect, afin qu'ils ne mangent pas la bande passante du lien principal.
Comment cela fonctionne ?
Vous ajoutez simplement une route secondaire par défaut avec une métrique plus élevée et vous configurez AnyConnect sur cette interface secondaire. Lorsque les connexions AnyConnect atteignent cette interface, l'ASA ou le FTD seront en mesure de répondre en utilisant cette route secondaire, car il s'agit d'une connexion à la boîte (to-the-box).
Une fois la connexion AnyConnect établie, une route hôte pour cette connexion sera installée en utilisant le next-hop correct.
À retenir:
*Je ne sais pas quel sera le cas d'utilisation de l'interface anyconnect-inside dans votre diagramme.
Si vous souhaitez développer le sujet, je peux vous aider.
Cordialement,
Gustavo
le 14-04-2020 03:40 PM
Rebonjour,
Je retombe sur un bug assez étrange, je crois:
J'ai testé un déploiement d'accès à distance sur un FTDv dans KVM et étrangement ce déploiement continue à échouer avec un délai assez long pour afficher l'erreur (ce déploiement a échoué en raison d'une erreur de configuration ...)
Regardons maintenant le FTD en bash avec:
tail -f /ngfw/var/log/messages
J'ai remarqué qu'il y avait une progression de la copie du package AnyConnect mais dès qu'il atteint 70% -72%, il s'arrête et ne continue pas le progrès du déploiement.
Apr 13 01:57:36 FTD-1 SF-IMS[9624]: [9624] sftunneld:control_services [INFO] FSTREAM_STATUS: Sending back task status 'Processing'
Apr 13 01:57:37 FTD-1 SF-IMS[9624]: [9624] sftunneld:stream_file [INFO] task_id=6
Apr 13 01:57:37 FTD-1 SF-IMS[9624]: [9624] sftunneld:stream_file [INFO] peer=a1f1e77e-44e0-11e9-a967-39f0b3b399ab
Apr 13 01:57:37 FTD-1 SF-IMS[9624]: [9624] sftunneld:stream_file [INFO] ELASTIC_FSTREAM status: curr_read=32385024, curr_write=32385024, total_bytes=46197839, stream_id_src=0, stream_id_dest=6, seq_id_src=4518, seq_id_dest=4518, state =Processing, started:2020 04 13 01:51:55 UTC, expires:2020 04 13 01:58:38 UTC
Apr 13 01:57:37 FTD-1 SF-IMS[9624]: [9624] sftunneld:stream_file [INFO] ELASTIC_FSTREAM status:: File copy 70 % completed, 32385024 bytes of file copied out of 46197839
J'ai été surpris car j'ai une bande passante assez puissante et la copie a été assez rapide jusqu'au moment où elle s'est arrêtée, et nous parlons de moins de 50 Mo de fichier, pas de 500 Mo.
Existe-t-il un moyen de copier manuellement le package AnyConnect dans bash, de la même manière que cela peut être fait avec les packages des mises à jour de FTD ?
Merci!
NOTE :
J'ai remarqué que le copy path du AnyConnect package se trouve dans ce dossier:
/ngfw/var/cisco/deploy/pkg/var/cisco/packages/lina/domain/AnyConnect Image/111/
Je viens donc de télécharger le paquet via wget, et j'ai relancé le policy push, cela a pris du temps mais la copie était toujours à 0%, puis elle s'est pursuit jusqu'à compléter le 100%. Dieu merci ! :)
Ne serait-il pas plus simple de télécharger ces packages manuellement ? Je pense que cela devrait être possible avec FDM via l'API REST, mais non pas avec les devices gérés par FMC ?
P.D. : Est-ce qu'il y a un bug déposé pour cela ?
* Voici la traduction d'un message créé à l'origine par giovanni.augusto en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 14-04-2020 03:48 PM
Salut giovanni.augusto,
Avant l'extrait que vous avez partagé, avez-vous observé le cgroups process annuler le processus ?
Lorsqu'un processus consomme plus de mémoire que ce qui était prescrit, le cgroups process détecte cette condition et met fin au processus. Lorsqu'un processus est terminé, les fonctionnalités et les capacités qui dépendent de ce processus peuvent échouer.
Combien de mémoire avez-vous alloué au FMCv ?
Voici les exigences :
Cordialement,
Gustavo
le 14-04-2020 03:59 PM
Salut Gustavo,
J'utilise un FMC 2500 physique, version 6.5.0.4 je ne m'attendais vraiment pas à un problème de capacité.
Les logs que j'ai partagés proviennent du FTD, qui est virtualisé dans KVM.
FTD a 4 vCPU et 8 Go de RAM, le serveur exécute uniquement ce VM pour le moment, en tant qu'image de preuve FTD.
La version du FTD est 6.5.0 (aucun correctif n'a été installé pour le moment).
À propos de cgroups, honnêtement, je ne l'ai pas remarqué mais je vais réessayer avec un autre téléchargement d'image donc j'attends un comportement similaire.
Est-ce que les cgroups déposeront un log message dans le FMC ou le FTD ? Un logfile spécifique ou les messages habituels ?
* Voici la traduction d'un message créé à l'origine par giovanni.augusto en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 14-04-2020 04:02 PM
Quelle est la meilleure configuration ou la configuration idéale pour un ASA avant d'entrer dans le réseau de production ?
* Voici la traduction d'un message créé à l'origine par Rohitmanoharan en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 14-04-2020 04:08 PM
Salut Rohit,
Il peut y avoir beaucoup de choses à vérifier avant de mettre une device en production et cela dépendra de plusieurs facteurs, du blindage du pare-feu (firewall) aux meilleures pratiques. Je vous suggère de passer en revue les liens ci-dessous et de nous faire savoir si vous avez une requête spécifique :
Pulkit
le 15-04-2020 08:17 AM
Auriez-vous une recommandation par rapport à la version Cisco ASA liée au VPN RA ?
Cordialement
Viral Patel
* Voici la traduction d'un message créé à l'origine par patelvc7601 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 15-04-2020 08:26 AM
Salut Viral,
Certaines versions "ASA OS" recommandées sont publiées sur CCO. Vous pouvez accéder au lien suivant pour voir les versions suggérées pour un pare-feu 5585-X (Firewall).
Merci,
Dinesh Moudgil
le 15-04-2020 09:03 AM
Actuellement, le développement recommande :
Celles-ci sont les deux versions favorites actuellement sur cisco.com. Les versions recommandées sont basées sur la télémétrie, nous avons donc besoin de temps pour que les plus récentes versions soient déployées. Une fois que nous aurons recueilli les commentaires des installations réelles et fonctionnelles, nous prendrons des décisions précises basées sur les faits (défauts détectés par le client, cas de TAC, escalation, etc.).
le 15-04-2020 09:21 AM
Bonjour l'équipe,
J'ai une autre question.
Dans mon cas, nous avons Cisco FTD comme pare-feu de périmètre et nous voulons créer le VPN d'accès à distance AnyConnect (remote access VPN), mais nous ne voulons pas utiliser des IPs d'interface externes pour mettre fin à notre VPN AnyConnect, lorsque nous avons la connexion Internet, nous avons le sous-réseau /28, nous avons une adresse IP publique gratuite que je veux pouvoir l'utiliser pour la terminaison d'accès au VPN.
Pourriez-vous s'il vous plaît me guider comment puis-je atteindre cette exigence avec Cisco FTD ?
Merci
Basavaraj
* Voici la traduction d'un message créé à l'origine par BasavarajNingappa6558 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 15-04-2020 09:34 AM
Vous pouvez certainement le faire, vous devez d'abord configurer une deuxième interface avec la nouvelle IP et ensuite configurer AnyConnect comme d'habitude. Tant que cette adresse IP est accessible à partir des clients et que le FAI transfère le trafic vers votre appareil FTD, cela devrait fonctionner normalement.
le 15-04-2020 09:39 AM
Étant donné que j'ai une connexion Internet, si j'installe la deuxième interface et je configure l'adresse IP, où dois-je connecter l'autre terminaison ?
Je ne peux pas connecter une interface supplémentaire au fournisseur, n'est-ce pas ?
Je n'ai pas compris très bien votre solution, pouvez-vous s'il vous plaît être plus précis et me donner une idée de comment je devrais m'y prendre ?
Merci
Basavaraj
* Voici la traduction d'un message créé à l'origine par BasavarajNingappa6558 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 15-04-2020 09:48 AM
Salut Basavaraj,
Ce que Jason a voulu dire dans son message précédent, c'est que vous pouvez configurer une autre interface pour laquelle vous pouvez utiliser le sous-réseau /28 et y terminer le RA-VPN. Cela vient du fait que vous ne voulez pas configurer RA-VPN sur un lien externe existant.
Maintenant, en ce qui concerne le routage et la connectivité, la logique reste la même, nous devons avoir la nouvelle interface connectée à une liaison montante (uplink) d'où les utilisateurs finaux pourront avoir la connectivité/accessibilité.
J'espère que cela clarifie notre réponse.
Pulkit
Découvrez et enregistrez vos notes préférées. Revenez pour trouver les réponses d'experts, des guides étape par étape, des sujets récents et bien plus encore.
Êtes-vous nouveau ici? Commencez par ces conseils. Comment utiliser la communauté Guide pour les nouveaux membres
Parcourez les liens directs de la Communauté et profitez de contenus personnalisés en français