问题标签 [asa]

我正在使用 Visual Studio 2017 对 ASA 作业进行原型设计。我已经创建了输入和输出以及 ASA 查询。

这是我要测试的查询。查询在生产环境中成功运行，我想测试不同的输入数据。

我也生成了一些测试数据。在本地执行作业失败并显示错误消息“错误：对“生成”路径的访问被拒绝“

查看本地执行作业的输出

我现在挣扎了2个小时，不知道出了什么问题。我认为，失败是由“本地执行”环境的某些设置引起的，但我没有找到任何提示如何解决这个问题。

过去，我创建了一个备用 ASA 项目，该项目仍在工作并生成输出文件（csv 和 json）。我已经以管理员和用户身份启动了 VS 2017。

欢迎任何建议

这是我们通过 IPsec 隧道观察到的非常奇怪的行为，我们有两个站点使用站点到站点 VPN 隧道与 cisco ASA 连接，如下所示：

[LAN-1]---------[ASA-1]-------Internet-------[ASA-2]--------[LAN-2]

我们在 LAN-1 上有 Jenkins master，在 LAN-2 上有一些构建 slave。在随机的 vpn 隧道突然闪出几秒钟，它导致詹金斯断开所有从属设备和 distubes 正在运行的工作（RST当我的隧道突然出现并终止所有连接时，我感觉就像 ASA 发送数据包）

另外，如果我在 LAN-1 和 LAN-2 之间建立了 SSH 连接，那么 SSH 连接也会被重置。

当隧道关闭 10 秒并重新初始化所有内容时，Cisco ASA 是否可以发送 RST 数据包SA？

将 ASA 从 ASDM 迁移到 FMC，包括访问策略。完成该项目的步骤之一是将网络/服务对象及其组迁移到 FMC。计划通过使用正则表达式过滤 ASA 对象（来自 ASA 配置）并在 REST API 上运行 python 脚本来创建对象。现在我目前遇到的问题是将大量数据转移到 FMC，超过 3000 行。

目前正在尝试提出一种正则表达式模式，该模式将过滤多行字符串并匹配 REST API 的数据。使用 regex101 完成此任务。使用当前的正则表达式模式，我只匹配前两行的数据。我遇到的其他问题之一是并非所有行都包含'destination eq'，之后正则表达式匹配'port_no'。

有人可以协助正则表达式吗？根据当前的正则表达式，想要匹配“object-group service”、“service-object”和“destination eq”之后的数据，或者当“destination eq”不存在时？

谢谢

正则表达式：

要过滤的数据：

我制作了一个 bash 脚本，通过 SSH 使用 office365 IP 自动更新 Cisco ASA 上的对象组。

我从 MS 获取 IP，为 ASA 构建正确的命令语法，并将所有命令写入文件（现在 90 行，但由于这是动态的，它可以增长或缩小）。然后我想将文件中的命令推送到 ASA：

但是 sshpass 在第 70 行之后停止发送命令。所以 outfile.txt 有 90 行，但无论我尝试在哪个主机上“部署”命令，它只发送前 70 行。之后我得到一个

在防火墙上，我看到来自服务器的 TCP 重置，但正如我所说，在哪个主机（尝试不同的防火墙、路由器和其他服务器）上都没有关系，我尝试它不会发送超过前 70 行。

任何人都可以解决我的问题或以其他方式解决我的问题？

谢谢

我试图配置以下网络。

我无法从公用笔记本电脑打开http://142.12.56.68 。

我能够从 VLAN20 笔记本电脑 ping 到防火墙 192.158.99.1。

我在 asa 和 multi 交换机上有以下配置。请让我知道我还需要做什么才能完成这个网络。

对于 MultiSwitch，我有以下内容：

`网络图

我没有实验室 ASA 版本，所以在破坏防火墙之前我必须 200% 确定。如何使用 ssh 向 cisco ASA 批量发送 5-10 个命令？

我会考虑这样的事情：

ssh admin@my_asa < list_of_commands.txt

最好不要在 txt 文件中硬编码密码，但这并不重要。

我正在尝试使用 Ansible 向我的 Cisco ASA 发送“显示版本”命令，但遇到以下错误，我不知道为什么。不过，同样的事情适用于我的 Cisco 路由器。以下是一些可能有用的细节。

Ansible 主机：

阿萨剧本：

遇到错误：

-vvv 完全错误：

有人可以帮帮我吗？

我已经使用 asdm 站点到站点 VPN 向导配置了 IPsec。基于“show crypto isakmp sa”和“show ipsec sa”，隧道似乎正常运行。但是，从一个站点 ping 到另一个站点不起作用。

显示加密 isakmp sa：

'''

'''

显示 ipsec sa：

'''

'''

以下是 ASA 配置：

总部：

'''

'''

分支

'''

'''

我需要制作一个连接到我的Cisco ASA的并发 VPN 用户的时间表，如下图所示：

看！这是 splunk 中的“完美”时间表

另一个时间表截图在这里： https ://drive.google.com/file/d/1dW8nyG3dz3GbPiXuiXZofuhccoHpEHSP/view ?usp=sharing

在 splunk 中，这里发布的精彩查询使这成为可能： https ://community.splunk.com/t5/Splunk-Search/Concurrent-Active-VPN-Sessions-on-a-Timechart/mp/493141#M137524

如果我必须使用相同的逻辑来达到预期的结果，我只需要您的帮助将上述 splunk 查询的以下部分转换为 KQL：

预期输出（来自 splunk）：https ://drive.google.com/file/d/11F5p_zOGlgenIqVsToXiPlL2UplSIRNa/view?usp=sharing

示例数据（来自 Sentinel，已解析）： https ://drive.google.com/file/d/1wzansi1MfCnUylNHSeUHiw8POIxzS4q_/view?usp=sharing

是的，我们不得不从 splunk 切换到 Azure Sentinel。（不要问为什么。）

我负责设置一个带有 OpenLDAP 服务器的 Cisco ASA 5xxx 防火墙，用于在 VPN 中进行身份验证。到目前为止一切正常。

但是，我正在尝试检查用户的“memberOf”属性以评估他是否能够连接到连接配置文件隧道。事实上，我有一些连接配置文件，我想阻止用户访问它们中的每一个。根据 memberOf 值，我想允许或不允许用户访问隧道。所以我开始使用 DAP 规则来检查被认证用户的 memberOf ldap 属性。这个 memberOf 是我的 OpenLDAP 服务器中的一个覆盖，并且有许多 memberOf 属性。

我能够根据“ldap.uid”过滤规则并根据用户名拒绝访问。如果我尝试使用“ldap.memberOf”进行过滤，它就不再起作用了。就像 cisco DAP 规则无法识别此特定属性或其值一样。我不懂为什么 ：/。此属性的格式为：“cn=myGroup,ou=Groups,dc=xxxx,dc=yyyy”。我确实复制/粘贴了防火墙 DAP 规则中的值。

我使用 ASDM 来管理防火墙，但我不熟悉它的命令行...

如果有人想使它与“memberOf”一起使用，我将非常感激：D

先感谢您