annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
8635
Visites
5
Compliment
77
Réponses

Demandez-moi N'importe Quoi - Sécurité : Travailleurs à distance sécurisés

 
Banner_fr_lp_900x150_AMA_Security_20mar_03apr_2020.png

 

Nos experts
divyanai.jpgDivya Nair est Ingénieur Technique Marketing au Security Business Group à Raleigh, en Caroline du Nord. Elle possède plus de 10 ans d'expérience dans les technologies de sécurité réseau Cisco, notamment les pare-feu (firewall), IPS, VPN et AAA; et se concentre actuellement sur les platesformes de gestion de VPN et de pare-feu. Divya est titulaire d'un Bachelier en Sciences Informatiques et de l'Ingénierie.

adganjoo.jpgAditya Ganjoo est Ingénieur Technique Marketing à Bangalore, en Inde. Il travaille avec Cisco depuis sept ans dans des domaines de sécurité tels que le pare-feu, le VPN et l'AAA. Aditya a dispensé des formations sur les technologies ASA et VPN. Il détient un baccalauréat en Technologie de l'Information. De plus, il est CCIE en Sécurité (CCIE # 58938). Il a été un contributeur constant dans la Communauté Cisco et a conduit plusieurs sessions au Cisco Live.

jonnoble.jpgJonny Noble dirige l'équipe Technique Marketing pour Cloud Security chez Cisco, avec une expertise dans Cisco Umbrella et les technologies environnantes. Depuis plus de 20 ans, Jonny a acquis une expérience dans les disciplines orientées aux clients pour diverses organisations mondiales hi-tech. Il possède également une riche expérience dans la présentation de sessions et de laboratoires de surveillance lors d'événements Cisco Live, ainsi que dans nombreux événements, salons et expositions pour les clients et partenaires. Jonny détient des diplômes en Électronique, Sociologie, un MBA en Affaires et est certifié CISSP.

Note : En posant une question sur ce forum, vous nous autorisez à être traduit dans toutes les langues disponibles dans la communauté. Nos experts pourraient ne pas être en mesure de répondre immédiatement à chaque question. N'oubliez pas que vous pouvez poursuivre également des conversations sur ce sujet dans les discussions de Sécurité.

Cet événement est gratuit et ouvert à tous les publics, y compris les partenaires commerciaux, les ingénieurs réseau et télécommunications, les étudiants et les clients de Cisco.


Posez vos questions ! Toutes les questions par rapport aux solutions de Sécurité seront répondues : VPN, ASA, Firepower, FTD, AnyConnect, Duo, Umbrella, WFO, licenses et meilleures pratiques.

Posez vos questions du 20 mars au 3 avril 2020.

Poser une Question

** Les compliments encouragent la participation de tous nos membres et experts **
Complimentez leur réponses à vos questions pour les remercier !

77 RÉPONSES 77

Je suppose que c'est l'ASA.

Vous auriez besoin des commandes suivantes pour accéder à Internet.
Nous devons épingler le trafic pour les utilisateurs d'AnyConnect.

same-security-traffic permit intra-interface

object network obj-AnyconnectPool
nat (outside,outside) dynamic interface

où "obj-AnyconnectPool" est le réseau AnyConnect Pool.

C'est une tête de réseau ASA car j'ai déjà le trafic intra-interface autorisé.

Je peux essayer le NAT que vous proposez. Ayant du mal à imaginer comment cela permettra au trafic de pénétrer à l'intérieur, j'essaierai dans une heure.

Je vous remercie.

* Voici la traduction d'un message créé à l'origine par tjjackson en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Le NAT que je vous propose permet l'accès à Internet aux utilisateurs d'AnyConnect, puisque vous avez mentionné qu'ils perdaient l'accès à Internet avec TunnelAll une fois qu'ils se connectaient à AnyConnect.

Pour l'accès interne, vous pouvez exempter le trafic AnyConnect à l'aide de ce NAT:

nat (inside,outside) source static any any destination static obj-Anyconnect obj-Anyconnect

Cordialement,
Aditya

Avec TunnelAll, tous peuvent-ils avoir accès à l'intérieur et être autorisés pour Internet, mais le trafic sortant de l'ASA pour Internet et non de leur réseau domestique, est-ce cela ?

Aussi en ce qui concerne le routage, ajouteriez-vous une route là dans l'ASA ou bien faut-il injecter une route down stream comme suggéré ?

* Voici la traduction d'un message créé à l'origine par tjjackson en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

C'est correct.
TunnelAll signifie que le trafic doit atteindre la tête de réseau (ASA) et à partir de là, nous acheminons le trafic (avec l'utilisation de Dynamic PAT sur l'interface extérieure) vers Internet.

Vous auriez besoin d'une route inverse (pour le pool) sur le périphérique en aval (down stream).
Quelque chose comme ça:

ip route x.x.x.x mask <ASA inside interface IP> 

Cordialement,
Aditya

J'utilise déjà ce NAT pour l'accès interne. Comment puis-je permettre au pool IP pour AnyConnect d'être autorisé à Internet via le périphérique de tête de réseau ?

Le client se connecte sur AnyConnect - Il reçoit une adresse IP du pool IP AnyConnect.
Avec le NAT ci-dessous, ils peuvent atteindre les réseaux internes mais non pas Internet. [J'ai remplacé le "any" par un groupe d'objets interne.]

nat (inside,outside) source static any any destination static obj-Anyconnect obj-Anyconnect

Question:

Qu'est-ce qu'il faut exactement pour permettre à "AnyConnect IP pool" d'aller aussi sur Internet? Parce que ce NAT ne permet pas au client de sortir sur Internet.

* Voici la traduction d'un message créé à l'origine par tjjackson en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut,

Le guide suivant détaille toutes les étapes nécessaires pour y parvenir :

Veuillez jeter un coup d'œil et faites-nous savoir si vous avez des questions.

Je l'ai déjà mentionné dans mon post précédent.

Utilisez ce NAT:

object network obj-AnyconnectPool
nat (outside,outside) dynamic interface

 

Nous avons donc 2 instructions NAT pour le pool IP AnyConnect ?

* Voici la traduction d'un message créé à l'origine par tjjackson en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Oui, un pour l'accès au réseau interne et un pour l'accès à Internet.

Je voulais vous dire MERCI.

Le dernier lien que vous avez fourni, c'est exactement ce dont j'avais besoin!

Je dois encore comprendre le routage back-end mais je suis très heureux d'annoncer qu'AnyConnect fonctionne dans la configuration TunnelAll pour moi grâce à vous.

Voici la traduction d'un message créé à l'origine par tjjackson en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Heureux d'aider.

Je souhaite envoyer du matériel audio que j'ai sur mon ordinateur aux participants à mes réunions. Je veux qu'ils puissent écouter les extraits que j'ai sélectionné. Est-ce possible?

* Voici la traduction d'un message créé à l'origine par ORI1ori1 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Bonjour,

J'ai besoin de créer un nouveau VLAN02 pour le WIFI guest (invité) et de configurer certaines règles pour restreindre l'accès à une adresse IP.
Mon ASA5506 est en mode BVI.

Les interfaces ASA actuelles sont comme ceci;
BVI1 – inside
GIG1/1 - outside -
GIG1/2 - inside_1 -
GIG1/3 - inside_2 -
GIG1/4 - inside_3 -
GIG1/5 - inside_4 -
GIG1/6 - inside_5 -
GIG1/7 - inside_6 -
GIG1/8 - inside_7 -
Management1/1 -

Je veux attribuer GIG1/5 pour VLAN02 en tant que Wi-Fi invité et attribuer une adresse IP pour ce nouveau VLAN.

  • Quelle est la meilleure pratique pour le faire? S'il vous plaît.
  • Est-il possible de démontrer le réglage depuis ASDM ?

* Voici la traduction d'un message créé à l'origine par saids3 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Mise en Route
Bienvenue dans la Communauté !

La communauté est un hub pour vous connecter avec vos pairs et les spécialistes Cisco, pour demander de l'aide, partager votre expertise, développer votre réseau et évoluer professionnellement.
Vous êtes un nouvel arrivant ? Cliquez ici pour en savoir plus.

Nous voulons que votre navigation soit la meilleure, donc vous trouverez des liens pour vous aider à être rapidement familiarisé avec la Communauté Cisco :