Você está na página 1de 14

Ferramenta de segurança FAQ PIX/ASA

Perguntas
Introdução
Compatibilidade com versão de software
Problemas de configuração
Edições do upgrade de software
Problemas de conectividade
ASDM relativo
Recursos suportados
Failover
Mensagens de erro
Informações Relacionadas

Introdução
Este documento dá respostas mais frequentemente às perguntas feitas (FAQ) relativas aos dispositivos do Cisco Security, tais como a série PIX
500 e os dispositivos do 5500 Series ASA.

O público-alvo para este documento é um administrador da ferramenta de segurança que compreenda comandos CLI e características e tenha a
experiência com a configuração de umas versões de software de PIX mais adiantadas.

Compatibilidade com versão de software


Q. Que dispositivos apoiam PIX 7.x?

A. PIX 515, PIX 515E, PIX 525, PIX 535 e toda a versão 7.x e mais recente do software de suporte do Dispositivos de segurança
adaptáveis Cisco ASA série 5500 (ASA 5510, ASA 5520, e ASA 5540).

As ferramentas de segurança do PIX 501, do PIX 506E, e do PIX 520 não são apoiadas na versão de software 7.x.

Q. Eu tenho um modelo PIX 515/515E que seja executado na versão de software 6.x, e eu quero promover a 7.x.
Isso é possível?

A. Sim, é possível fornecido lhe tem os módulos da memória necessária. Refira a upgrade de memória da ferramenta de segurança de
Cisco PIX 515/515E para a versão de software de PIX 7.0 para os requisitos de memória exatos antes que você promova PIX
515/515E.

Q. Que são as mudanças e os novos recursos em PIX 7.0? Quando eu promovo da versão 6.x à 7.x, são as
características velhas tomadas cuidado de automaticamente?

A. Refira mudanças na versão 7.0 da ferramenta de segurança PIX para os detalhes relativos às mudanças e aos novos recursos em
PIX 7.0.

A maioria mudaram e suplicaram características e os comandos são convertidos automaticamente quando botas da ferramenta de
segurança 7.x PIX em seu sistema. Alguns características e comandos exigem a intervenção manual antes ou durante a elevação.
Consulte características e comandos mudados e suplicados para mais informação.

Problemas de configuração
Q. Como você executa uma configuração básica para as ferramentas de segurança que executam 7.x?

A. Refira a seção configurando das configurações básicas do guia do comando line configuration do dispositivo do Cisco Security,
versão 7.1.

Q. Como eu configuro as relações em PIX 7.x?


A. O PIX/ASA 7.0 estabelece-se para assemelhar-se de tão perto quanto possível ao½ do¿Â do Cisco IOSï do roteador e do
interruptor. Em PIX/ASA 7.0, a configuração lê como esta:

interface Ethernet0
description Outside Interface
speed 100
duplex full
nameif outside
security-level 0
ip address 10.10.80.4 255.255.255.0 standby 10.10.80.6

Refira configurar parâmetros da relação em PIX 7.0 para mais informação.

Q. Como eu crio uma lista de acesso (ACL) no ASA ou no PIX?


A. Uma lista de acessos é composta de umas ou várias entradas de controle de acesso (ACE) com as mesmas Listas de acesso
identificação da lista de acessos é usada para controlar o acesso de rede ou para especificar o tráfego para que muitas características
atuem em cima. A fim adicionar um ACE, use o comando access-list <ID> estendido no modo de configuração global. A fim
remover um ACE, não use nenhum formulário deste comando. A fim remover a lista de acessos inteira, use o claro configuram o
comando access-list.

Este comando access-list permite que todos os anfitriões (na relação a que você aplica a lista de acessos) atravessem a ferramenta de
segurança:

hostname(config)#access-list ACL_IN extended permit ip any any

Se uma lista de acessos é configurada ao tráfego de controle através da ferramenta de segurança, deve ser aplicada a uma relação
com o comando access-group antes que tome o efeito. Somente uma lista de acessos pode ser aplicada a cada relação em cada
sentido.

Incorpore este comando a fim aplicar uma lista de acesso extendida à direção de entrada ou de saída de uma relação:

hostname(config)#access-group access_list_name {in | out} interface interface_name


[per-user-override]

Este exemplo mostra uma lista de acessos de entrada aplicada à interface interna que permite a rede 10.0.0.0 /24 através da
ferramenta de segurança:

hostname(config)#access-list INSIDE extended permit ip 10.0.0.0 255.255.255.0 any


hostname(config)#access-group INSIDE in interface inside

Este exemplo mostra uma lista de acessos de entrada aplicada à interface externa que permite que todos os anfitriões na parte externa
da ferramenta de segurança tenham o acesso à Web através da ferramenta de segurança ao server em 172.20.1.10:

hostname(config)#access-list OUTSIDE extended permit tcp any host 172.20.1.10 eq www


hostname(config)#access-group OUTSIDE in interface outside

Nota: As Listas de acesso contêm um implícito “negam” na extremidade. Isto significa que uma vez que um ACL é aplicado, todo o
tráfego permitido não explicitamente por um ACE no ACL está negado.

Q. Posso eu usar a relação management0/0 no ASA a fim passar o tráfego como alguma outra relação?

A. Sim. Refira o comando do Gerenciamento-somente para mais informação.

Q. Que o contexto de segurança na ferramenta de segurança significa?

A. Você pode dividir um único hardware PIX nos dispositivos virtuais múltiplos, conhecidos como contextos de segurança. Cada
contexto transforma-se um dispositivo independente, com seus próprios política de segurança, relações, e administradores. Os
contextos múltiplos são similares a ter dispositivos autônomo múltiplos. Muitas características são apoiadas no modo de contexto
múltiplo e incluem tabelas de roteamento, recursos de firewall, IPS, e Gerenciamento. Algumas características não são apoiadas,
incluindo o VPN e os protocolos de roteamento dinâmico.

Q. Como eu configuro a característica do grupo-fechamento do usuário VPN no ASA ou no PIX?

A. A fim configurar o fechamento do grupo, envie o nome da política do grupo no atributo de classe 25 no server do Remote
Authentication Dial-In User Service (RADIUS) e escolha o grupo a fim travar o usuário dentro da política.
Por exemplo, a fim travar o usuário do cisco123 no grupo de RemoteGroup, defina a classe OU=RemotePolicy do atributo 25 do
Internet Engineering Task Force (IETF) para este usuário no servidor Radius.

Refira este exemplo de configuração a fim configurar o fechamento do grupo em uma ferramenta de segurança adaptável (ASA)
/PIX:

group-policy RemotePolicy internal


group-policy RemotePolicy attributes
dns-server value x.x.x.x
group-lock value RemoteGroup

tunnel-group RemoteGroup type ipsec-ra


tunnel-group RemoteGroup general-attributes
address-pool cisco
authentication-server-group RADIUS-Group
default-group-policy RemotePolicy

Nota: O OU ajusta a política do grupo, e a política do grupo trava o usuário no grupo de túneis preferido.

A fim estabelecer seu Cisco Secure ACS for Windows, servidor Radius para travar um usuário em um grupo particular configurado
no ASA.

Q. Como posso eu capturar pacotes no PIX/ASA?

A. Os pacotes podem ser capturados no PIX/ASA se você usa a característica da captura de pacote de informação. Refira
ASA/PIX/FWSM: Pacote que captura usando o CLI e o exemplo da configuração ASDM para obter mais informações sobre de
como configurar a característica da captura de pacote de informação.

Q. Como posso eu reorientar o tráfego de HTTP ao HTTPS no ASA?

A. Emita o comando redirect HTTP no modo de configuração global em ordem especificam que a ferramenta de segurança
reorienta conexões de HTTP ao HTTPS.

hostname(config)#http redirect interface [port]

Q. Como um ASA aprende sobre o MAC address do host?

A. Um ASA emite uma requisição ARP para o host diretamente em uma sub-rede conectada mesmo se emite um pacote SYN ao
ASA, que tem a informação ARP no encabeçamento da camada 2. O Firewall não aprende o MAC address do host do pacote SYN e
tem que emitir uma requisição ARP para ele. Se o host não está respondendo para a requisição ARP, então o ASA deixa cair o
pacote.

Q. Há algum impacto direto em Cisco ASA quando o tronco I uma interface física e subinterfaces do uso instaed de
usar relações de físico múltiplo?

A. Não A não ser o processamento extra exigido para os encabeçamentos 802.1q nos pacotes, não há nenhum outro impacto
significativo em Cisco ASA.

Q. Posso eu configurar o NAT/PAT entre as mesmas interfaces de segurança de Cisco ASA?

A. Sim. Isto é possível do Software Release 8.3 de Cisco ASA.

Edições do upgrade de software


Q. Eu promovi meu PIX de 6.x a 7.x. Após a elevação eu observei um USO de CPU 8-10% mais alto para o mesmo
valor do tráfego? É este aumento normal?

A. O PIX 7.0 tem três vezes mais Syslog e novos recursos do que as versões 6.x. O USO de CPU aumentado comparado a 6.x é
normal.

Problemas de conectividade
Q. Eu sou incapaz de sibilar fora da interface externa ao usar a ferramenta de segurança 7.0. Como posso corrigir
este problema?
A. Há duas opções em PIX 7.x que permitem que os usuários internos sibilem fora. A primeira opção é setup uma regra específica
para cada tipo de mensagem de eco. Por exemplo:

access-list 101 permit icmp any any echo-reply


access-list 101 permit icmp any any source-quench
access-list 101 permit icmp any any unreachable
access-list 101 permit icmp any any time-exceeded
access-group 101 in interface outside

Isto permite somente estas mensagens do retorno com o Firewall quando um usuário interno sibila a um host exterior. Os outros tipos
de mensagens de status ICMP puderam ser hostis e o Firewall obstrui todos mensagens ICMP restantes.

Uma outra opção é configurar a inspeção ICMP. Isto permite que um endereço IP de Um ou Mais Servidores Cisco ICM NT
confiado atravesse o Firewall e permite respostas de volta ao endereço confiável somente. Esta maneira, todas as interfaces internas
pode sibilar exterior e o Firewall permite que as respostas retornem. Isto igualmente dá-lhe a vantagem de monitorar o tráfego ICMP
que atravessa o Firewall.

Por exemplo:

policy-map global_policy
class inspection_default
inspect icmp

Q. Eu sou incapaz de alcançar a interface interna da ferramenta de segurança quando conectado através de um
túnel VPN. Como posso fazer isso?

A. A interface interna da ferramenta de segurança não pode ser alcançada da parte externa, e vice-versa, a menos que o acesso de
gerenciamento for configurado no modo de configuração global. Uma vez que o acesso de gerenciamento é permitido, o acesso do
telnet, SSH, ou HTTP deve ainda ser configurado para os anfitriões desejados.

pix(config)#management-access inside
pix(config)#show running-config management-access
management-access inside

Q. Por que sou eu incapaz de conectar o telefone IP através do túnel VPN com o ASA?

A. Pode ser uma edição da autenticação. Verifique que o grupo de usuário de telefone IP tem a autenticação (X-AUTH) permitida.

ASDM relativo
Q. Como faz mim permite/acesso o ASDM em ASA/PIX?

A. Você precisa de permitir o servidor HTTPS e de permitir que as conexões de HTTPS à ferramenta de segurança a fim usar o
ASDM. Todas estas tarefas são terminadas se você usa o comando setup.

Refira permitir o acesso HTTPS para o ASDM para mais informação.

Recursos suportados
Q. Que são os dois modos de operações na ferramenta de segurança?

A. A ferramenta de segurança PIX pode operar-se em dois modos de firewall diferentes:

1. Modo roteado — No modo roteado, o PIX tem os endereços IP de Um ou Mais Servidores Cisco ICM NT atribuídos a suas
relações e atua como um salto do roteador para os pacotes que passam através dele. Toda a inspeção e decisões de
encaminhamento do tráfego são baseadas em parâmetros da camada 3. Isto é como as versões do PIX Firewall mais cedo de
7.0 se operam.
2. Modo transparente — No modo transparente o PIX não tem os endereços IP de Um ou Mais Servidores Cisco ICM NT
atribuídos a suas relações. Em lugar de atua como uma ponte da camada 2 que mantenha uma tabela de endereços MAC e faça
as decisões de encaminhamento baseadas naquela. O uso de lista de acesso IP estendido completas está ainda disponível e o
Firewall pode inspecionar a atividade IP em qualquer camada. Neste modo de operação o PIX é referido frequentemente como
um “Bump In The Wire” ou o “firewall furtivo”. Há outras diferenças significativas a respeito de como o modo transparente se
opera em comparação com o modo roteado:

Somente duas relações são apoiadas — para dentro e fora


O NAT não é apoiado ou é exigido desde que o PIX é já não um salto.

Nota: O NAT e a PANCADINHA são apoiados no Firewall transparente para liberações ASA/PIX 8.0(2) e mais
atrasado.

Refira o PIX/ASA: Exemplo transparente da configuração de firewall para obter mais informações sobre de como configurar a
ferramenta de segurança no modo transparente. Refira o NAT no modo transparente para mais informação.

Nota: Porque os modos transparentes e roteados usam aproximações diferentes à Segurança, a configuração running é cancelada
quando o PIX é comutado ao modo transparente. Seja certo salvar sua configuração running do modo roteado para piscar ou um
servidor interno.

Q. O ASA apoia o Balanceamento de carga ISP?

A. Não O Balanceamento de carga deve ser segurado por um roteador que passe o tráfego à ferramenta de segurança.

Q. A autenticação md5 com BGP é apoiada com o ASA?


A. Não, autenticação md5 não é apoiado com o ASA, mas uma ação alternativa pode ser desabilitá-la. Refira ASA/PIX: BGP com o
exemplo de configuração ASA para mais informação.

Q. O PIX/ASA apoia relações do EtherChannel/PortChannel?


A. Sim, o apoio para o EtherChannel é introduzido na versão de software 8.4 ASA. Você pode configurar até 48 802.3ad
EtherChannéis de oito interfaces ativa cada um. Para mais informação, refira Release Note da versão ASA 8.4.

Q. Pode Anyconnect e Cisco VPN Client trabalhe junto no ASA?


A. Sim, porque não são relacionados. Anyconnect trabalha no SSL e no Cisco VPN Client trabalha no IPSEC.

Q. É ASA/PIX pode obstruir Skype?

A. Infelizmente, o PIX/ASA não pode obstruir o tráfego do skype. Skype tem a capacidade de negociar portas dinâmica e de usar o
tráfego criptografado. Com tráfego criptografado, é virtualmente impossível detectá-lo porque não há nenhum teste padrão a
procurar.

Você poderia eventualmente usar um Sistema de prevenção de intrusões da Cisco (IPS). Tem algumas assinaturas que podem
detectar um cliente de Windows Skype que conecte a Skype o server para sincronizar sua versão. Isto é feito geralmente quando o
cliente é iniciado a conexão. Quando o sensor pegara a conexão inicial de Skype, você pode poder encontrar a pessoa que usa o
serviço, e obstrui todas as conexões iniciadas de seu endereço IP de Um ou Mais Servidores Cisco ICM NT.

Q. O ASA apoia o SNMPv3?

A. Sim. O Software Release 8.2 de Cisco ASA apoia a versão 3 do Simple Network Management Protocol (SNMP), a versão a mais
nova do SNMP, e adiciona opções da autenticação e da privacidade a fim fixar operações do protocolo.

Q. Há uma maneira às entradas de registro com um nome em vez de um endereço IP de Um ou Mais Servidores
Cisco ICM NT?

A. Use o comando names a fim permitir a associação de um nome com um endereço IP de Um ou Mais Servidores Cisco ICM NT.
Você pode associar somente um nome com um endereço IP de Um ou Mais Servidores Cisco ICM NT. Você deve primeiramente
usar o comando names antes que você use o comando name. Use o comando name imediatamente depois que você usa o
comando names e antes que você use o comando write memory.

O comando name permite que você identifique um host por um nome do texto e sequências de caracteres de texto do mapa aos
endereços IP de Um ou Mais Servidores Cisco ICM NT. Use o comando clear configure name a fim cancelar a lista dos nomes da
configuração. Use o comando no names a fim desabilitar valores de registro do nome. Ambos os comandos name e names salvar
na configuração.

Q. Está o comando ip accounting disponível em PIX/ASA 7.x?

A. Não.

Q. A ferramenta de segurança 7.0 apoia é você lá (AYT) caracteriza?


A. Sim. Em uma encenação AYT, um usuário remoto tem um firewall pessoal instalado no PC. O cliente VPN reforça a política de
firewall definida no Firewall local, e monitora esse Firewall para certificar-se de que se realizam as corridas. Se o Firewall para de
ser executado, o cliente VPN deixa cair a conexão ao PIX ou ao ASA. Este mecanismo de aplicação do Firewall é chamado é você lá
(AYT), porque o cliente VPN monitora o Firewall enviando o periódico “é você lá?” mensagens. Se nenhuma resposta vem, o cliente
VPN sabe que o Firewall está para baixo e termina sua conexão à ferramenta de segurança PIX. O administrador de rede pôde
configurar estes Firewall PC originalmente, mas com esta aproximação, os usuários podem personalizar suas próprias configurações.

Q. O FTP com TLS/SSL é apoiado através da ferramenta de segurança?

A. Não. Em uma conexão de FTP típica, o cliente ou o server devem dizer ao outro que porta a se usar para transferência de dados. O
PIX pode inspecionar esta conversação e abrir essa porta. Contudo, com o FTP com TLS/SSL, esta conversação é cifrada e o PIX é
incapaz de determinar que portas a abrir. Assim, o FTP com conexão TLS/SSL falha finalmente.

Uma alternativa possível é nesta situação usar um cliente de FTP que apoie o uso de “de um canal comando clear” ao ainda usar
TLS/SSL para cifrar o canal de dados. Com esta opção permitida, o PIX deve poder determinar que porta precisa de ser aberta.

Q. A ferramenta de segurança apoia o DDNS?


A. Sim, o apoio DDNS da ferramenta de segurança. Refira configurar os DN Dinâmicos para mais informação.

Q. Faz o suporte de PIX WebVPN/SSL VPN?


A. Não, mas é apoiado na ferramenta de segurança adaptável do Cisco 5500 Series (ASA).

Q. Faz o Cisco AnyConnect VPN Client do suporte de PIX?

A. Não, é apoiado somente na ferramenta de segurança adaptável do Cisco 5500 Series (ASA).

Q. Faz o suporte de PIX todos os Módulos de serviços como AIP-SSM e CSC-SSM?

A. Não.

Q. O dispositivo do Cisco Security apoia o chave manual do IPsec (criptografia manual)?

A. Não.

Q. O ASA apoia o gerenciamento de senha com NT?


A. O ASA não apoia o gerenciamento de senha com NT.

Nota: A ferramenta de segurança apoia o gerenciamento de senha para o RAIO e os protocolos ldap.

Q. Pode o Cisco 5500 Series ASA fazer um Policy Based Routing (PBR) como o roteador Cisco? Por exemplo, o
tráfego de correio deve ser distribuído ao primeiro ISP quando o tráfego HTTP dever ser distribuído ao segundo.

A. Infelizmente, não há nenhuma maneira de fazer neste tempo o roteamento baseado em política no ASA. Pode ser uma
característica que seja adicionada ao ASA no futuro.

Nota: O comando route-map é usado redistribuir rotas entre protocolos de roteamento, tais como o OSPF e o RASGO, com o uso
do medidor e não ao tráfego regular da rota da política como no Roteadores.

Q. Posso eu usar ASA 5510 como um cliente VPN fácil?

A. Não A configuração de cliente VPN fácil é apoiada somente em ASA 5505.

Q. Faz o roteamento assimétrico dos apoios ASA?

A. O ASA apoia o roteamento assimétrico na versão 8.2(1) e mais recente. Não é apoiado nas versões ASA antes de 8.2(1).

Q. Posso eu configurar o roteamento dinâmico sobre o túnel VPN no ASA?

A. Não. Isto é possível somente usando as interfaces de túnel, que não são apoiadas ainda no ASA.

Q. O ASA apoia o cliente de PPTP?

A. Não.

Q. O apoio QoS ASA que marca o pacote com DSCP avalia?

A. Não, apoia somente a harmonização do tráfego DSCP e passa-a aos dispositivos do salto seguinte sem mudar os valores DSCP.
Refira o DSCP e a preservação do DiffServ para mais informação.
Q. Que IPsec transforma (ESP, AH) é apoiado nas versões 7.0 e mais recente ASA/PIX?
A. Somente a criptografia e a autenticação do Encapsulating Security Payload (ESP) do IPsec são apoiadas. O Authentication Header
(AH) transforma não é apoiado nas versões 7.0 e mais recente ASA/PIX.

Q. O apoio Universal Plug and Play ASA (UPnP) caracteriza?

A. Não, ASA não apoia a característica de Universal Plug and Play (UPnP) a partir de agora.

Q. O ASA apoia o roteamento com base na origem?

A. Não.

Q. O tráfego H.329 passa com PIX/ASA 8.1 e mais atrasado?


A. Não.

Q. O ASA apoia a inspeção do protocolo H.460?


A. Não.

Q. O ASA apoia a autorização de exec, que registra o usuário diretamente no modo enable após a autenticação?

A. Não, característica da autorização de exec não é apoiado no ASA.

Q. O ASA permite que o tráfego de broadcast passe através de sua relação?


A. Não.

Q. É possível configurar uma autenticação de dois fatoras L2L VPN entre 5505 ASA?

A. A autenticação de dois fatores pode ser começo configurado com versão ASA 8.2.x somente para AnyConnect e SSL VPN. Você
não pode configurar a autenticação de dois fatores para L2L VPN.

Q. É possível adicionar dois proxys do telefone no mesmo ASA?


A. Não. Não é possível adicionar dois proxys do telefone no mesmo ASA que o ASA não apoia este.

Q. O ASA apoia a configuração Netflow?


A. Sim, esta característica é apoiada na versão ASA 8.1.x de Cisco e mais tarde. Para detalhes de implementação completos, refira os
guias de execução do cisco netflow. Para um sumário de configuração completo, refira os exemplos de configuração para a seção
segura do logging de evento de NewFlow de configurar o logging de evento seguro do Netflow.

Q. O ASA apoia Sharepoint?

A. O ASA 7.1 e 7.2 não apoia Sharepoint. Apoie para Sharepoint 2003 (2.0 e 3.0) começos com versão ASA 8.x. Editar documentos
do escritório para Sharepoint 2.0 e 3.0 em um modo pureclientless (nenhuns smarttunnels, nenhum remetente da porta) é apoiada
igualmente. os Smart-túneis podem ser usados também, até à data de ASA 8.0.4. 4. Todos os recursos básicos apoiados para
Sharepoint 2003 em 8.0 são apoiados para 2007 na versão ASA 8.2 5.

Q. O ASA apoia o cliente nativo L2TP/IPsec em dispositivos de Android?

A. Android não é inteiramente em conformidade com RFC e apoiado por Cisco ASA que começa com versão 8.4.1. Para mais
informação, refira clientes suportados.

Q. Que é o número máximo de ACL que podem ser configurados no ASA?


A. Não há nenhum limite definido para o número de ACL que podem ser configurados no ASA. Depende da memória atual no ASA.

Q. Pode o backup I a configuração ASA com o SNMP?

A. Não A fim conseguir isto, você precisa de usar o writenet SNMP, que exige a cópia MIB da configuração de Cisco. Atualmente,
isto não é apoiado porque este MIB específico não é apoiado por Cisco ASA.

Q. Eu não posso iniciar uma apresentação do portátil durante um atendimento de videoconferência entre unidades
da vídeo Cisco. O atendimento video trabalha muito bem, mas a apresentação video do portátil não trabalha.
Como esta edição é resolvida?
A. Uma videoconferência com uma apresentação do portátil trabalha no protocolo H.239, que não é apoiado em versões de software
de Cisco ASA antes de 8.2. A fim assegurar uma apresentação de dados trabalha em uma videoconferência, Cisco ASA deve apoiar a
negociação apropriada de H.239 entre os pontos finais video. Este apoio está disponível do Software Release 8.2 e Mais Recente de
Cisco ASA. Uma elevação a uma versão estável em um software release, tal como 8.2.4, resolverá esta edição.

Q. É possível configurar a autenticação do 802.1x no ASA 5505?

A. Não. Não é possível configurar a autenticação do 802.1x no ASA 5505.

Q. O tráfego multicast do apoio de Cisco ASA é enviado em um IPSec VPN escava um túnel?

A. Não. Não é possível porque este não é apoiado por Cisco ASA. Como uma ação alternativa, você pode ter o tráfego multicast
encapsulado usando o GRE antes que obtém cifrado. Inicialmente, o pacote de transmissão múltipla tem que ser encapsulado usando
o GRE em um roteador Cisco, a seguir este pacote GRE será enviado mais a Cisco ASA para a criptografia IPSec.

Q. Cisco ASA está sendo executado no Active/modo ativo. Eu quero configurar Cisco ASA como um gateway de
VPN. Isso é possível?
A. Isto não é possível porque os contextos múltiplos e o VPN não podem ser executado simultaneamente. Cisco ASA puder ser
configurado para o VPN quando somente no Active/modo standby.

Q. Ao usar Cisco ASA como um servidor de VPN, é possível enviar a informação sobre o tipo de cliente
(AnyConnect ou IPsec) a um base de dados RADIUS através dos registros de contabilidade?
A. Isto não é possível porque não há nenhum tal atributo para enviar o tipo de serviço que o cliente está usando.

Q. Filtro ASA Botnet: Como você verifica para ver se há relatórios sobre blocos dinâmicos no ASA?

A. Os relatórios sobre os blocos dinâmicos no ASA podem ser verificados com o comando top dos relatórios do dinâmico-filtro
da mostra. Para mais informação, refira o combate de Botnets usando o filtro de tráfego de Cisco ASA Botnet.

Q. O Cisco Discovery Protocol (CDP) é apoiado no PIX/ASA?


A. Porque o PIX/ASA é um dispositivo de segurança, não apoia o CDP.

Q. Posso eu controlar o ASA usando o Cisco Network Assistant (POSSA)?

A. Sim, a versão a mais atrasada da LATA apoia o ASA. Refira os dispositivos apoiados alistam para mais informação.

Q. É possível configurar o ASA para atuar como o Certification Authority (CA) e para emitir um certificado aos
clientes VPN?
A. Sim, com ASA 8.x e mais tarde você pode configurar o ASA para atuar como CA local. Atualmente, o ASA permite somente a
autenticação para os clientes VPN SSL com os Certificados emitidos por clientes de IPSec este CA não é apoiado ainda. Refira CA
local para mais informação.

Nota: A característica local de CA não é apoiada se você usa Failover ativo/ativo ou o Balanceamento de carga VPN. CA local não
pode ser subordinado a um outro CA; pode atuar somente como a CA raiz.

Failover
Q. Pode uma ferramenta de segurança com uma licença do Failover ser parte de um Failover ativo-ativo?

A. As unidades de failover da ferramenta de segurança podem ser usadas par de failover ativo/ativo uma vez que têm upgrade de
licença ativa/ativa nova do Failover instaladas (o active/active exige um modelo do UR e modelo ativo/ativo um “FO”). Refira
licenças de recurso e especificações para obter mais informações sobre de licenciar.

Q. O ASA apoia SSL VPN quando configurado para o Failover?

A. O ASA apoia SSL VPN somente quando configurado para Failover ativo/à espera e não Failover ativo/ativo. Para mais
informação, refira a manipulação do Failover ASA do tráfego e das configurações do aplicativo VPN SSL.

Mensagens de erro
Q. Eu sou incapaz de configurar o Failover quando o EZVPN é permitido em ASA 5505. Porque faz este
Mensagem de Erro apareça: erro:- o ERRO]] vpnclient permite * desabilite o CONFLITO da
CONFIGURAÇÃO do Failover: A configuração que impediria a operação remota bem
sucedida do Cisco Easy VPN foi detectada, e está listada acima. Resolva por favor
o conflito de configuração acima e re-permita-o?

A. Se o ASA 5505 usa o EasyVPN para usuários remotos (modo de cliente), o Failover trabalha, mas se você tem o ASA
configurado para o usar com cliente VPN fácil (modo da extensão de rede MODE-NEM), a seguir ele não trabalha quando o
Failover é configurado. Assim o Failover trabalha somente quando o ASA usa o EZVPN para usuários remotos (modo de cliente), e
assim que este errror ocorre.

Q. Eu recebo este Mensagem de Erro quando eu configuro o terceiro VLAN: :- ERRO: Esta licença não
reserva configurar mais de 2 relações com nameif e sem “nenhum” comando dianteiro
nesta relação ou em relações do on1 com o nameif já configurado. Como eu posso
solucionar esse erro?
A. Este erro tem ocorrido devido a uma limitação da licença no ASA. Você deve obter a Segurança mais a licença a fim configurar
mais VLAN como no modo roteado. Somente três Vlan ativo podem ser configurados com a licença baixa, e os até 20 Vlan ativo
com a Segurança mais a licença. Você pode criar um terceiro VLAN com a licença baixa, mas este VLAN tem somente uma
comunicação à parte externa ou ao interior mas não nos ambos sentidos. Se você precisa de ter a comunicação nos ambos sentidos, a
seguir você precisa de promover a licença. Igualmente, se você usa a licença baixa, permita que esta relação seja o terceiro VLAN e
limite-o de iniciar o contato outro a um VLAN com o hostname (config-if) # nenhum comando number vlan da relação
dianteira. Assim o terceiro VLAN pode ser configurado.

Q. Como posso eu resolva este Mensagem de Erro: %ASA-6-110002: Não encontram a interface de
saída para o UDP da parte externa: x.x.x.x/xxxx a x.x.x.x/xxxx?

A. O ASA dá este Mensagem de Erro quando o cliente VPN tenta usar o programa peer-to-peer e esse tráfego entra no túnel, onde o
server peer-to-peer não reside. Configurar o túnel em divisão a fim resolver esta edição de modo que o tráfego que precisa de sair ao
Internet não viaje através do túnel e do pacote não seja deixado cair pelo Firewall. Refira ASA/PIX: Permita o Split Tunneling para
clientes VPN no exemplo de configuração ASA para obter mais informações sobre da configuração do Split Tunneling no ASA.

Q. Como posso eu resolva este Mensagem de Erro: Erro: execUpgradeSoftware: operação


cronometrada para fora com o 0 dos bytes 1 recebidos?

A. Quando você tenta promover o AIP-SSM com o FTP, pode intervalo. Aumente o valor de timeout FTP a fim resolver a edição.

por exemplo:

configure terminal
service host
network-settings
ftp-timeout 2700
exit

Salvar mudanças.

Q. Como posso eu resolva este Mensagem de Erro: %ASA-4-402123: CRIPTO: O acelerador de


hardware ASA encontrou um erro?

A. A fim resolver esta edição, tente uma destas ações alternativas:

Desabilite os DTL nas relações ASA em que é permitida.

A fim terminar esta solução, ir ao perfil de Anyconnect no ASDM, e remover o tiquetaque ao lado da relação que trabalha para
o Anyconnect. Para mais informação, refira a possibilidade da Segurança da camada de transporte de datagram (DTL) com
conexões de AnyConnect (SSL).
Recarregue o ASA.

Este problema elevara devido a um erro no acelerador de hardware do ASA. Há dois erros arquivados em relação a este
comportamento. Para mais informação, refira CSCsd43563 (clientes registrados somente) e CSCsc64621" (clientes registrados
somente).

Q. Como posso eu resolva este Mensagem de Erro: incapaz de enviar o mensagem de autenticação?

A. O ASA não apoia o gerenciamento de senha quando você usa a autenticação (interna) LOCAL. Remova o gerenciamento de
senha se configurado a fim resolver esta edição.

Q. Como posso eu resolva este Mensagem de Erro que é recebido ao testar a autenticação no ASA: ERRO:
Authentication Server que não responde: Nenhum erro?

ASA# test aaa-server authentication TAC_SRVR_GRP username test password test123


Server IP Address or name: ACS-SERVER
INFO: Attempting Authentication test to IP address <ACS-SERVER> (timeout: 12 seconds)
ERROR: Authentication Server not responding: No error

A. Use qualquens um pontos para resolver este problema:

Verifique a Conectividade do ASA ao servidor AAA através do teste de ping e assegure-se de que o servidor AAA seja
alcançável do ASA.
Verifique a configuração relacionada AAA no ASA e verifique se o servidor AAA esteja mencionado corretamente ou não.

ASA# show run aaa-server


aaa-server RAD_SRVR_GRP protocol radius
aaa-server RAD_SRVR_GRP host ACS-SERVER
key *
aaa-server TAC_SRVR_GRP protocol tacacs+
aaa-server TAC_SRVR_GRP host ACS-SERVER
key *
Verifique se o raio é portas TACACS é obstruído por qualquer Firewall no trajeto entre o servidor AAA e o ASA. Assegure-se
de que as portas correspondente estejam abertas baseiem no protocolo usado.
Verifique os parâmetros no servidor AAA.
Recarregue o servidor AAA.

Um teste bem-sucedido da autenticação olha como este:

ASA(config)# test aaa authentication topix host 10.24.10.10 username test password test1234
INFO: Attempting Authentication test to IP address <10.24.0.10> (timeout: 12 seconds)
INFO: Authentication Successful

Q. Como posso eu resolva este Mensagem de Erro: %Error que abre o erro
disk0:/.private/startup-config (sistema de arquivos de leitura apenas) que
executa o [FAILED] do comando?

A. Formate o flash ou o comando fsck em ASA/PIX a fim resolver esta edição.

Q. Como posso eu resolva este Mensagem de Erro ASDM: Soquetes desligado não executados?

A. Esta edição ocorre quando a versão 5.0 ou mais recente ASDM é executado no ASA, no PIX, ou no FWSM, e usa a atualização
10 das Javas 6 ou mais tarde. Ao carregar o ASDM, esta mensagem aparece:

ASDM cannot be loaded. Click OK to exit ASDM.


Unconnected sockets not implemented.

A fim resolver esta edição, desinstale a atualização 10 das Javas 6, e instale a atualização 7 das Javas 6. Para mais informação, refira
CSCsv12681 (clientes registrados somente).

A fim conseguir o ASDM carregar corretamente com a atualização 10 das Javas 6, atualize o ASDM a ASDM 6.1(5)51. Para a
informação detalhada, refira a seção do sistema operacional e dos requerimentos de navegador do cliente ASDM da versão
6.1(5) dos Release Note de Cisco ASDM.

Q. Como posso eu resolva este Mensagem de Erro: %ASA-1-199010: Sinal 11 travado em


processo/fibra () do executor do async do rtcli do processo/(executor do async do
rtcli) no endereço 0xf132e03b, ação corretiva em 0xca1961a0?

A. Esta edição pôde ser causada quando o ASDM está usado para alcançar o ASA ou quando há utilização elevada da CPU no ASA.
Esta mensagem aparece geralmente quando o mecanismo da recuperação de erro impede que o sistema cause um crash.

Se não há nenhuma outra edição com esta mensagem, pode ser ignorada. É um erro recuperável que não impacte o desempenho.

Q. O tráfego do Oracle não passa com o Firewall. Como resolvo esse problema?

A. Esta edição é causada pela característica da inspeção do sqlnet do Firewall. Quando ocorre, as conexões estão rasgadas para fora.
O proxy TCP para o motor da inspeção do sqlnet foi projetado segurar quadros múltiplos TNS em um segmento TCP. A inspeção do
sqlnet segura muitos quadros TNS em um pacote que torna o código complexo.

A fim resolver esta edição, o motor da inspeção não deve segurar quadros múltiplos TNS em um pacote. Supõe-se que cada quadro
TNS para ser um pacote de TCP diferente e é inspecionado individualmente.

Os Bug de Software foram arquivados para este comportamento; para mais informação, refira CSCsr27940 (clientes registrados
somente) e CSCsr14351 (clientes registrados somente).

A solução para este problema é dada abaixo.

Use o nenhum inspecionam o comando do sqlnet no modo de configuração de classe a fim desabilitar a inspeção para o sqlnet.

ASA(config)#class-map sqlnet-port
ASA(config-cmap)#match port tcp eq 1521
ASA(config-cmap)#exit
ASA(config)#policy-map sqlnet_policy
ASA(config-pmap)#class sqlnet-port
ASA(config-pmap-c)#no inspect sqlnet
ASA(config-pmap-c)#exit
ASA(config)#service-policy sqlnet_policy interface outside

Para mais informação, refira a seção da inspeção de SQLNet da referência de comandos do dispositivo do Cisco Security, versão
8.0.

Q. Eu sou incapaz de copiar a imagem do software ao flash do ASA, e eu recebo um Mensagem de Erro similar a
esta mensagem: Erro que escreve disk0:/asa8XX-XX.bin (não pode atribuir a memória)

A. Esta edição pôde ocorrer se o Firewall é incapaz de atribuir a memória (RAM) para carregar a imagem do software.

O ASA protege a imagem inteira em RAM quando for transferido ao ASA. Até que termine a escrita para piscar, deve haver um
bloco de memória livre disponível grande bastante para guardar a imagem do software inteira. Um bloco de memória cheia deve
estar disponível para proteger a imagem inteira antes que o ASA a escreva para piscar.

A utilização de memória é relacionada diretamente às características permitidas em seu ASA; estas características são carregadas
cada vez que seu ASA é carreg, apesar de como a imagem?a (através da rede ou do flash). Você podido desabilitar as características
que você não está usando atualmente a fim reduzir a utilização de memória. Note que o WebVPN, SSLVPN, e a detecção da ameaça
tendem a consumir muita memória.

Você pode igualmente usar o monitor de rom (ROMMON) para copiar a imagem, ou você pode ajustar seu parâmetro de
inicialização para carreg através de tftp e para copiar então a imagem depois que o ASA carreg sobre a rede. Desde que ROMmon
não carrega a configuração, não carrega estas características; consequentemente, você não deve experimentar a edição quando você
usa este método para copiar o arquivo.

Tente estas ações alternativas.

Desabilite a detecção da ameaça no Firewall.

Incorpore estes comandos a fim desabilitar a detecção da ameaça:

conf t
!
no threat-detection basic-threat

no threat-detection statistics tcp-intercept


no threat-detection statistics

!
wr mem
Desabilite os processos WebVPN-relacionados.
Use o ROMmon para copiar a imagem.

Para informações detalhadas sobre de como usar o monitor de ROM para carregar uma imagem do software, refira a utilização
do monitor de ROM para carregar uma imagem do software.

Q. Como posso eu resolva este Mensagem de Erro: as estatísticas da ameaça-detecção da número-


-taxa 0 do host das estatísticas da ameaça-detecção do [ERROR] hospedam % da
entrada inválida do ^ da número--taxa 0 detectada no marcador do “^”?
A. Este erro pode ocorrer quando você usar a característica da detecção da ameaça no ASDM. Use o CLI para enviar o comando ou
para degradar o ASDM a fim resolver esta edição.

Q. Como posso eu resolva este Mensagem de Erro: %ERROR:


'disk0:/csco_config/97/customization/index.ini de copi ao ramfs provisórios
arquivam falhado?

A. Esta edição é devido à identificação de bug Cisco CSCsy77628 (clientes registrados somente). A fim resolver esta edição o
comando all do webvpn do comando revert no modo de exec privilegiado cancelar todas as configurações WebVPN. Reconfigure
a partir do zero e recarregue então o ASA.

Q. Como posso eu resolva este Mensagem de Erro no ASA: ERRO: montagem: Montar /dev/hda1 em
/mnt/disk0 falhou: Argumento inválido?

A. Reformat o instantâneo a fim resolver esta edição. Se isto não resolve a edição a seguir contacta o TAC para a assistência
adicional.

Q. Eu recebo este Mensagem de Erro no ASA quando eu tento adicionar caráteres NON-ingleses em uma bandeira:
O CLI gerado tem caráteres unsupported. O ASA não aceita tais caráteres. A
seguinte linha tem caráteres unsupported. Como eu posso solucionar esse erro?

A. Esta edição é devido à identificação de bug Cisco CSCsz32125 (clientes registrados somente). A fim resolver esta edição,
promova o ASA com versão de software 8.0(4.34).

Q. Como posso eu resolva este Mensagem de Erro no ASA: %ASA-1-216005: ERRO: A


incompatibilidade bidirecional em Et0/0 conduziu ao aprisionamento do
transmissor. Um soft reset do interruptor foi executado?

A. Este Mensagem de Erro é considerado quando uma incompatibilidade bidirecional existe entre a porta especificada e o dispositivo
que lhe está conectado. Ajuste dispositivos ao automóvel ou à duro-codificação o duplex em ambos os lados para ser o mesmos a
fim corrigir a incompatibilidade bidirecional. Isto resolve a edição.

Nota: A identificação de bug Cisco CSCsm87892 foi arquivada em relação a este problema, e o erro é movido para estado resolved
agora. Para mais informação, refira CSCsm87892 (clientes registrados somente).

Q. Quando eu executo o processo de recuperação no módulo AIP-SSM e então nas repartições do módulo
repetidamente, eu recebo este Mensagem de Erro: Número mágico ruim (0x-682a2af). Como posso eu
resolver este Mensagem de Erro?
A. Esta edição acontece quando você usa o arquivo incorreto para a recuperação ou reimaging. Se você usa o arquivo .package em
vez do .img, a seguir esta ação causa este erro. Este erro igualmente ocorre quando o arquivo .img é bom, mas o ASA está colado no
laço da bota. A única maneira de resolver esta edição é à nova imagem o sensor.

Q. Porque faz este Mensagem de Erro apareça quando eu transfiro atualizações globais das correlações para AIP-
SSM: atualização global da correlação collaborationApp[530] rep/E A falhada: Falha
de download de ibrs/1.1/config/default/1236210407: Conexão de HTTP falhado
atualização global da correlação collaborationApp[459] rep/E A falhada: Falha de
download de ibrs/1.1/drop/default/1296529950: URI não contém um endereço IP
válido?

A. Esta edição pôde ocorrer devido à Filtragem URL que é configurada, que afeta o fluxo de tráfego, e também devido à interface de
gerenciamento do módulo AIP-SSM que pode atravessar o ASA sair ao Internet. Certifique-se de que a Filtragem URL configurada
não obstrui os dispositivos (AIP-SSM) de alcançar as correlações globais, que resolve a edição. Esta edição ocorre quando há uma
corrupção em uma atualização precedente do GC. Isto pode geralmente ser corrigido desligando o serviço do GC e então girando o
para trás sobre. No IDM, escolha a configuração > as políticas > correlação > inspeção/reputação globais. Então, ajuste a
inspeção global da correlação (e a reputação que filtra se sobre) a fora. Aplique as mudanças e espere os minutos 10. Gire as
características traseiras sobre e monitore-as.

Q. Como posso eu resolva este Mensagem de Erro no ASA: Conexão segura falhada. Um erro ocorreu
durante uma conexão a x.x.x.x. Não pode comunicar-se firmemente com o par: nenhum
algoritmo de criptografia comum. (Código de erro: ssl_error_no_cypher_overlap)?

A. Esta edição é devido à identificação de bug Cisco CSCtc37947 (clientes registrados somente). A fim resolver esta edição, remova
os arquivos temporário criados para a auto atualização da conta raiz no CSC, e reinicie então os serviços.
Q. Como posso eu resolva este Mensagem de Erro no ASA para Grayware: GraywarePattern: Atualização
do teste padrão: O arquivo da transferência era mal sucedido para ActiveUpdate
era incapaz de abrir o zíper os pacotes transferidos da correção de programa. O
arquivo zip pode ser corrompido. Isto pode acontecer devido a uma conexão de rede
instável. Tente por favor transferir o arquivo outra vez. O código de erro é 24?

A. A fim resolver esta edição, incorpore a chave de ativação 3DES ou use este comando no ASA: rc4-md5 do des-sha1 da
criptografia aes256-sha1 aes128-sha1 3des-sha1 SSL do ciscoasa(config)#. Este comando é usado especificar os algoritmos de
criptografia que o protocolo SSL/TLS usa.

Q. Como posso eu resolva este Mensagem de Erro que eu recebi ao configurar as relações em ASA 5505: ERRO:
Esta licença não reserva configurar mais de 2 relações com nameif e sem “nenhum”
comando dianteiro nesta relação ou em relações do on1?

A. Esta edição é devido ao número de relações permitidas comunicar-se baseado na licença atual no ASA. Para modelos com um
interruptor incorporado, tal como o ASA 5505, use o comando interface dianteiro no modo de configuração da interface a fim
restaurar a Conectividade para um VLAN de iniciar o contato a um outro VLAN. A fim restringir um VLAN de iniciar o contato a
um outro VLAN, não use nenhum formulário deste comando. Você pôde precisar de restringir um VLAN segundo sua licença
quantos VLAN apoia.

Q. Como posso eu resolva este Mensagem de Erro no ASA: sistema de abertura %Error: /running-
config (nenhum tal dispositivo)?

A. Recarregue o ASA a fim resolver este Mensagem de Erro.

Q. Eu recebi este erro: [ERR-PAT-0003] o sistema da atualização não pode encontrar os


arquivos requerido no grupo descomprimido de arquivos da atualização, e não pode
continuar. Esta mensagem é para o propósito de diagnóstico somente. Clientes -
contacte por favor o Suporte técnico. ao promover ao arquivo de pacote o mais
atrasado em CSC-SSM. Por que este erro ocorre?

A. Esta edição é devido à identificação de bug Cisco CSCta99320 (clientes registrados somente). Consulte este bug para obter mais
informações.

Q. Eu recebo este Mensagem de Erro no ASA, e o ASA não recarrega: mempool: pool compartilhado
global criador do erro 12. Por que esta edição ocorre, e como pode ser resolved?

A. Este problema pôde ocorrer quando você tenta instalar mais RAM do que é apropriado para uma plataforma particular. Por
exemplo, se você tenta instalar 4 GB de RAM em um ASA5540, você pôde receber este erro porque o ASA5540 não deve executar
mais de 2 GB de RAM.

Mantenha estes artigos na mente quando você instala RAM novo:

Somente RAM novo é instalado no ASA. RAM velho deve ser removido e não carregado nos entalhes extra de RAM.
RAM novo deve ser instalado no entalhe alterno. Para o desempenho ideal, instale os DIMM nos entalhes P13 e P15.

Q. Eu recebo este erro: %ASA-4-402125: CRIPTO: O anel do IPsec do acelerador de hardware


ASA cronometrado para fora (Desc= 0xD6AF25E0, CtrlStat= 0xA000, ResultP=
0xD2D10A00, ResultVal= 186, Cmd= 0x10, CmdSize= 0, Param= 0x0, Dlen= 152, DataP=
0xD2D10974, CtxtP= 0xD46E6B10, SWReset= 21), quando o ASA deixar cair o pacote que exibe
severamente o desempenho degradado. Por que esta edição ocorre?
A. Esta edição é devido à identificação de bug Cisco CSCti17266 (clientes registrados somente). Consulte este bug para obter mais
informações.

Outros introduzem erros de funcionamento relacionado a este comportamento são CSCtn56501 (clientes registrados somente).

Q. Este Mensagem de Erro é recebido no ASA: 418001: o pacote do Através--dispositivo


para/desde a rede do Gerenciamento-somente é negado: dst Mgt-Net:10.40.10.1 do
src In-DMZ:192.168.145.53 ICMP (tipo 8, código 0). Como eu resolvo este?

A. Remova o comando do Gerenciamento-somente da relação onde é configurado. Neste caso específico, do Mensagem de Erro
acima, remova o comando do Gerenciamento-somente da relação da MGT-rede.
Q. Como posso eu resolva este Mensagem de Erro: %PIX|ASA-5-713137: [ref_count] de
ultrapassagem do refCnt da ceifeira e [tunnel_count] do tunnelCnt -- suprimindo
do SA!?

A. Esta edição é devido à identificação de bug Cisco CSCsq91271 (clientes registrados somente). Consulte este bug para obter mais
informações.

Q. Como posso eu resolva este Mensagem de Erro: “CRIPTO: O ASA está saltando a escrita do
arquivo morto cripto o mais atrasado porque o máximos # dos arquivos (2)
permitidos foram escritos < a disk0:/crypto_archive >. Por favor arquive & remova
arquivos < de disk0:/crypto_archive > se você quer uns arquivos mortos mais
criptos salvar”?

A. Isto pode ser causado devido aos malfunctionalities da crypto-engine. Este comportamento foi o Bug da Cisco entrado ID
CSCtg58074 (clientes registrados somente) e CSCsm77854 (clientes registrados somente). Uma solução temporária é suprimir dos
arquivos mortos criptos do flash e recarregar o dispositivo. Este erro não parece afetar o tráfego existente. Se você precisa uma
solução permanente a esta, contacte o tac Cisco para receber uma imagem da construção da engenharia.

Q. Como posso eu resolva este Mensagem de Erro: Erro: O tráfego do 19 de fevereiro


2010|15:58:33|450001|XXX.YYY.ZZZ.ZZ||Deny para o dst outside:XXX.YYY.ZZZ.ZZ/6667
do src inside:192.168.1.63/2988 do protocolo 6, limite licenciado do host de 10
excedeu.?

A. Este é um problema relacionado da licença. Se você executa uma licença baixa em seu Firewall, não estará permitido você
estabelecer mais de dez conexões. Verifique isto que usa o comando show version. A fim resolver esta edição, execute uma upgrade
de licença em seu Firewall. Contacte Cisco que licencia a equipe para mais informação.

Informações Relacionadas
Perguntas frequentes sobre AnyConnect VPN Client
Perguntas Frequentes do Cisco Secure Desktop (CSD)
Soluções de Troubleshooting Mais Comuns de VPN IPsec L2L e de Acesso Remoto
Q&A

© 1992-2016 Cisco Systems Inc. Todos os direitos reservados.

Data da Geração do PDF: 14 Outubro 2016

http://www.cisco.com/cisco/web/support/BR/104/1043/1043994_pix-7x-faq.html