1. Location:
  2. / Computer learning >> Datamaskin læring >> cyber security >> nettverk >> Lan-Local Area Networks >>

Cisco ASA og BGP peering problemer: Command line tips

Her er dine to problemer:

1. Den ASA strimler TCP Option 19. Dette blir brukt av Border Gateway Protocol (BGP) for godkjenning.

2. Den ASA randomiserer TCP sekvensnummer.

forklarer Rask Packet blogger Ivan Pepeljnak hvordan BÅDE vCloud og VEPA mislykkes i virtualisering nettverk

Les Brandon Carrolls
GlobalConfig.net blogg

Brandon drøfter nettverksdokumentasjonen for å lage sikkerhetspolitikk

Brandon hjelper deg å lære hvordan man skal håndtere SPAN porter

Brandon intervjuer nettverk junkie Scott Morris på om du trenger en sertifisering

Med Option 19 blir strippet, BGP rutere som er konfigurert for godkjenning vil ikke se legitimasjon fra sine jevn og dermed vil ikke etablere BGP nabo. Du kan utføre en liten kommandolinje kung-fu for å løse dette problemet:

Først matche BGP Trafikk.

access-liste BGP utvidet tillatelse tcp noen eq BGP noen

access-list BGP utvidet tillatelse tcp alle alle eq BGP

Neste opprette en TCP Kart som gjør at Option 19.

tcp-kart BGP

tcp-alternativene spenner 19 19 tillate

Nå opprette en klasse-kart for å matche BGP ACL du opprettet tidligere.

klasse-kart BGP

kamp access-liste BGP

Til slutt legges klasse kartet til den globale politikken:

policy-kart global_policy

klasse BGP

set forbindelse avanserte-alternativer BGP

Nå for det andre problemet, mens du fortsatt er i politikk-kart konfigurasjon modus, må du deaktivere tilfeldig rekkefølge nummerering. Anmeldelser

set forbindelse tilfeldig sekvens-nummer disable

Der har du det: En ganske enkel konfigurasjon som kan løse massevis av hodepine. Og her er noen gode nyheter: Når du lære hvordan ASA håndterer dette BGP trafikken, kan du begynne å forstå hvorfor du har andre problemer i ditt nettverk

Les mer hurtig pakke bloggere
<. br>
Fast Packet bloggeren Michael J. Martin krever session-basert program-aware routing

Fast Packet blogger Josh Stephens lurer på om du er klar til å håndtere datasenteret nettverks administrative spørsmål

Fast Packet blogger Ivan Pepeljnak forklarer hvordan både vCloud og VEPA mislykkes i virtualisering nettverk

I mange tilfeller jeg har sett TCP kartene som brukes til å håndtere problemer som passerer søknaden trafikk gjennom ASAs ved å tillate eller nekte visse attributter av TCP. Også når ting ser litt morsomt det kan ikke skade å deaktivere tilfeldig rekkefølge nummerering. Noen programmer bruker sekvensnumre for godkjenning. Hvis sekvensnummeret endres, kan pakken ikke godkjenne. Når du er i tvil, prøv å bruke noe som Wireshark nettverk analysator å fange pakkene på begge sider av ASA for å se hvilke endringer, og deretter prøve å fjerne ASA fra trafikken banen. Hvis du kan se hva som er endret og verifisere funksjonalitet uten ASA, kan du ofte få ASA å stoppe hindre vellykket trafikkstrømmer.