R1和R2有两根线路相连,使用BGP,R1有两组路由,192.168.1.0/24和192.168.2.0/24,当两根线都通的状态下,两组路由流量分散平衡在两个线路上,当其中任意一根断的情况下,只通192.168.1.0/24流量。
ASA的IKEv2的共享密钥和证书配置
很多地方看见对SVTI的说明是gre over ipsec,因为这个东西都加密了,看不见内容,也说不了什么。偶然看见思科社区http://www.cisco-club.com.cn/space-113351-do-blog-id-8866.html关于juniper SRX和思科对联SVTI,具体看了一下juniper配置,完全是ipsec的接口模式,没有gre参与,
如果使用传统的IPsec建立的VPN站点,由于源地址是无法指定IP,所以R1无法使用虚拟IP和R4建立VPN关联。 SVTI在IPsec内嵌了GRE,由tunnel指定源IP和目的IP,加挂IPsec,IPsec的起点和终点就和tunnel指定的相同,这样就可以实现IPsec的源IP指定。
在MPLS VPN网络里的客户,如果使用动态路由OSPF,就会被MPLS网割断,形成的区不完整。解决这个问题方法使用sham-link命令,可以使分割两面的区一体化。R3和R5是PE,R1是P,R7和R8是CE,R3和R8的F0/0之间建立area 0区,R5和R7的F1/0之间也建立area 0区,如果用一般重分发的方法,得到对端的OSPF路由是O IA而
透过IEEE 802.1q in IEEE 802.1q(Q-in-Q)的方式,我们可以让VLAN的数量增加超过4096(4096*4096),也可以让客户自行设定Trunk穿过Service Provider所提供的Ethernet Solution(如:FTTx)。 假设现在的网络架构为: SW1 F0/
ip prefix-list之路由过滤
在论坛上看见一个核心交换机和汇聚交换机接口第二IP通信的问题,值得思考。 当核心交换机配置第二IP,汇聚交换机的通过trunk连接到核心交换机,并且配置的接口IP和第二IP一个网段,当汇聚交换机没有启用3层路由功能的时候,它们之间可以正常通信,但当汇聚交换机启用3层路由功能之后,核心交换机反而不能访问汇聚交换机了。 为了验证这种现象,用了两台路由模拟器
当开启了思科路由或者交换机上的AAA认证,打算配置telnet接入使用外部的radius服务器认证,如果使用了default group,那么即便是不配置console和vty这两个地方,默认就被配置了成远程的radius服务器了。如下面这样 aaa new-model aaa authentication login default group radi
交换机的端口认证很多地方采用IEEE 802.1x,看见思科说有基于web的认证,于是尝试一下,终于以失败告终,究其原因,没有ACS,而是用的Windows的IAS的RADIUS方式,交换机请求的东西,IAS无法给予。 我都配置出请求认证的画面了,就是认证失败,但是在windows里面看记录是给予了许可,debug思科交
当你和一个外部的公司接续了VPN站点,由于本公司内部网络发生了变化,原来用于和对方接续的自己一方的IP地址段被迫变成了其它的地址段,而对方公司很难交涉,难道VPN就不能用了,的确在以前版本的ASA的确没办法了,只能在ASA内侧加一个路由器进行NAT源地址变化。 从8.3版发生了很多重大改变,NAT是其中之一。NAT不再是
很多网络都要求冗余结构,一台防火墙的一个网口坏了,或者网线掉了,或者下级接续的网络设备出问题了,那岂不是网络就断了。 好在ASA是可以冗余双接口,模拟成一个虚拟的接口的。 好,下面看配置,很简单。 interface Ethernet0/1 description TO SW3560G-A no nameif no security-level&
如何让ASA的认证使用Windows的域用户来确认呢,域认证我们知道使用的的LDAP协议。 举例说明。 aaa-server shen.com protocol ldap 定义认证使用的域名(这只是个名字,当然为了好管理,最好是和实际域名相同),使用ldap协议 max-failed-attempts 2 规定可以错几次密码aaa-server shen.com (i
我们知道思科路由器里有sla,用来监视目的点的死活情况,根据死活来调整本地网络设备的配置。 作为防火墙的ASA是不是也有这样的功能,当然有了,不过版本低了真不知道到底有没有,我确认的是8.3版。 下面简单说一下用法,估计在路由器上会用的人,一看就明白了。 route outside 0.0.0.0 0.0.0.0 122.*.*.185 1 track 1ro
拓扑结构R1----R2-----R3 R1#sh runBuilding configuration... Current configuration : 1086 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-en
前两天有个帖子提到这个问题,并且说只要加入隧道分离列表就可以实现,这个案例以前从来没有见过,很有挑战意味。通过本人仔细分析,发现那位朋友的说法站不住脚,并且实际配置也不能实现。按照我对隧道分离列表的理解,那个是为了远程客户端拨入用的,也就是说对站点的配置不起作用,如果更深入探讨隧道分离列表,其实该列表的作用并不是在防火墙上,而是作用在客户端上,也就是对客户端加了敏感流量,其它的流量还是从客户端
看见几次有人说TED,引擎搜索都困难。终于让我搜出来是Tunnel End-Point Discovery的缩写。我就认真的研读一番,发现某些人给人家的建议实在不妥,你真搞清楚它了。首先它是思科私有协议,只在IOS下运行,你说ASA能行吗?!其次它只能运行在外网IP在同一网段的环境,真是鸡肋,搞这个有用吗!还用继续下去吗?我没感到有什么实用价值。难怪搜索引擎都不收入,没人用嘛。不过终于学习了一点东
Copyright © 2005-2024 51CTO.COM 版权所有 京ICP证060544号
