转到正文

天亮了说晚安's Blog

欢迎您的光临! http://www.tllswa.com

存档

分类: 网络相关

思科ASA配置SSLVPN

2 月 7
网络相关, 防火墙

原文作者: Mansur 原文链接: http://nbma.info/cisco-asa-ssl-vpn-configure/ 在ASA配置SSL VPN过程如下,接口和默认路由 略 创建地址池SSL-POOL 1ip local pool SSL-POOL 172.17.44.2-172.17.47.254 mask 255.255.252.0 配置区域策略 12same-security-traffic permit inter-interfacesame-security-traffic permit intra-interface 定义下发路由SSL-SPL 123456access-list SSL-SPL extended permit ip 172.17.0.0 255.255.0.0 anyaccess-list SSL-SPL extended permit ip 10.0.0.0 255.255.0.0 anyaccess-list SSL-SPL extended permit ip 10.201.0.0 255.255.0.0 anyaccess-list SSL-SPL extended permit ip 192.168.96.0 255.255.224.0 anyaccess-list SSL-SPL extended permit ip 10.101.0.0 255.255.0.0 anyaccess-list SSL-SPL extended permit ip 10.12.0.0 255.255.0.0 any 定义ACL策略SSL-ACL(可选) 1access-list SSL-ACL extended permit ip any any 定义radius认证服务器SSL(可选) 12345aaa-server SSL protocol radiusaaa-server SSL (inside) host 172.17.40.41 key XXXXXXXX authentication-port 1812 accountin......Read More

我要发言 阅读全文

CISCO 路由器 HWIC-4ESW 配置案例

11 月 18
交换机, 网络相关, 路由器

本文转自:https://blog.51cto.com/cisco130/1228744 在2块HWIC-4ESW之间,一定要用一根网线连接起来,否则,VLAN无法使用,切记! 这次在一台路由器上配备了两块HWIC-4ESW,开始时没有注意,根本没法用这两块以太网交换模块,搞得自己很紧张,以为碰到不良总代,出了O货,后来到官网上查了一下,原来还有这么一说,算是思科的一个小小硬伤吧,为什么不在机框总线里把这个问题处理好,却一定要在外面飞线呢? 看来思科每次在嘲笑华为时,应该摸下自己的脸是否有点红了。 思科官方的文档:Configuring StackingStacking is the connection of two switch modules resident in the same chassis so that they behave as a single switch. When a chassis is populated with two switch modules, the user must configure both of them to operate in stacked mode. This is done by selecting one port from each switch module and configuring it to be a stacking partner. The user must then connect with a cable the stacking partners from each switch module to physically stack the switch modules. Any one port in a switch module can be d......Read More

我要发言 阅读全文

Cisco ASA做AnyConnect服务器时的动态路由协议和NAT规则设置

9 月 29
网络相关, 防火墙

本文转自:https://blog.swineson.me/dynamic-routing-and-nat-rules-for-anyconnect-server-on-cisco-asa/ 从ASA的设计来看,AnyConnect隧道不像是一个传统的Point-to-Point或Site-to-Site VPN隧道,而更像是一个IPSec Transform规则。每个客户端建立起隧道以后,ASA会为其动态生成一条路由,该路由具有如下特征: 类型为静态(STATIC)CIDR为/32接口为用户连入流量的来源接口,例如用户从公网访问则为outsite网关地址为接口对应的网关 动态路由协议 ASA和另一台路由器之间有一个BGP会话,现在想让另一台路由器能访问ASA上的AnyConnect客户端。那么有两种实现方法: 为每一个客户端宣告一条路由 这样很简单,BGP重分发静态路由即可。但是经过实验,ASA对动态生成的静态路由的重分发并不是十分靠谱:延迟严重,有的时候甚至根本不向BGP邻居推送更新消息。所以不是很建议使用这种方法。 至于大量/32条目污染路由表的问题,可以用auto-summary来解决。 预先宣告整个AnyConnect IP池 创建一条metric为254的静态路由,然后加入BGP的宣告列表即可。(注意ASA的metric 255等效于blackhole) 1234route outside 192.168.1.1 255.255.255.0 8.8.8.8......Read More

我要发言 阅读全文

ASA防火墙 NAT新版老版的配置方法对比

9 月 29
网络相关, 防火墙

本文转自:https://blog.51cto.com/hujizhou/1854608 ASA 8.3 以后,NAT 算是发生了很大的改变,之前也看过8.4 的ASA,改变的还有×××,加入了Ikev2 。MPF 方法加入了新的东西,QOS 和策略都加强了,这算是Cisco 把CCSP 的课程改为CCNP Security 的改革吧! 拓扑图就是上面的,基本配置都是一样,地址每个路由器上一条默认路由指向ASA。  基本通信没问题,关于8.3 以后推出了两个概念,一个是network object 它可以代表一个主机或者子网的访问。另外一个是service object,代表服务。 1、地址池的形式的NAT 配置 老版本代表一个12.1.1.0 的地址池转换成200.200.200.3-200.200.200.254 一对一的转换 nat (inside) 1 12.1.1.0 255.255.255.0global (outside) 1 200.200.200.3-200.200.200.254 新版本(Network object NAT) ciscoasa(config)# object network insideciscoasa(config-network-object)# subnet 12.1.1.0 255.255.255.0ciscoasa(config-network-object)# exitciscoasa(config)# object network outside-poolciscoasa(config-network-object)# range 200.200.200.3 200.200.200.254ciscoasa(config-network-object)......Read More

我要发言 阅读全文

pix 和asa failover的基本配置

9 月 9
网络相关, 防火墙

本文转自:http://blog.sina.com.cn/s/blog_a70750300101h5s0.html 拓扑 :这个拓扑比较的简单这里不需要解释: pix1的完整配置: interface Ethernet0 description LAN Failover Interface!interface Ethernet1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2!interface Ethernet2 nameif outside security-level 0 ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2!interface Ethernet3 description STATE Failover Interface failover lan unit primaryfailover lan interface wangjie Ethernet0failover key 123 failover link state Ethernet3failover interface ip wangjie 192.168.100.1 255.255.255.0 standby 192.168.100.2failover interface ip state 192.168.200.1 255.255.255.0 standby 192.168.200.2 failover lan enablefailover pix2的配置: failover lan unit secondaryfailover lan interface wangjie Ethernet0failover key 123 failover link state Ethernet3failover interface ip wangjie 192.168.100.1 255.2......Read More

我要发言 阅读全文

802.1x与移动性Express (ME) 8.2和ISE 2.1的WLAN + VLAN覆盖

8 月 25
网络相关

本文转自:https://www.cisco.com/c/zh_cn/support/docs/wireless/mobility-express/210532-WPA2-Enterprise-WLAN-with-Mobility-Expre.html 目录 简介先决条件要求使用的组件配置网络图配置在ME的配置宣称ISE的ME创建ISE的一个新用户创建验证规则创建授权规则终端设备的配置验证在ME的认证过程在ISE的认证过程 简介 本文描述如何设置一WLAN (无线局域网)以wi-fi受保护的访问2 (WPA2)企业安全用移动性Express控制器和一个外部远程验证拨入用户服务(RADIUS)服务器。身份服务引擎(ISE)使用作为外部RADIUS服务器示例。 用于此指南的可扩展的认证协议(EAP)是Protected Extensible Authentication Protocol (PEAP)。除那以外客户端分配到特定VLAN (除那个之外分配到WLAN ny默认)。 先决条件 要求 Cisco 建议您了解以下主题: 802.1xPEAP认证机构(CA)证书 使用的组件 本文档中的信息基于以下软件和硬件版本: ME v8.2 ISE v2.1 Windows 10笔记本电脑 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。 配......Read More

我要发言 阅读全文

用移动性Express和ISE了解并且配置EAP-TLS

8 月 25
网络相关

本文转自:https://www.cisco.com/c/zh_cn/support/docs/wireless/mobility-express/213579-understand-and-configure-eap-tls-with-mo.html Contents IntroductionPrerequisitesRequirementsComponents Used背景信息EAP-TLS流在EAP-TLS流的步骤ConfigureCisco Mobility Express与Cisco Mobility Express的ISEEAP-TLS设置移动性在ISE的Express设置在ISE的信任认证EAP-TLS的客户端在客户端机器(Windows桌面)的下载用户证书EAP-TLS的无线配置文件VerifyTroubleshoot Introduction 本文描述如何设置一个无线局域网(WLAN)以在移动性Express控制器的802.1x安全。本文特别地也解释使用可扩展的认证协议(EAP) -传输层安全(TLS)。 Prerequisites Requirements Cisco 建议您了解以下主题: 移动性Express初始建立802.1x认证过程证书 Components Used 本文档中的信息基于以下软件和硬件版本: WLC 5508版本8.5身份服务引擎(ISE)版本2.1 The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.如果您的网络处......Read More

我要发言 阅读全文

移动性Express内部DHCP

8 月 25
网络相关

本文转自:https://www.cisco.com/c/zh_cn/support/docs/wireless/mobility-express/210531-Mobility-Express-Internal-DHCP.html Contents IntroductionPrerequisitesRequirementsComponents UsedConfigureGUI 配置配置管理网络的DHCP范围配置WLAN的DHCP范围CLI 配置配置管理网络的DHCP范围配置WLAN的DHCP范围VerifyTroubleshoot Introduction 本文如何提供指南给enable (event)内部动态主机配置协议(DHCP)服务器在移动性Express (ME)在接入点(AP) 3802以版本8.3.102.0。 Prerequisites Requirements Cisco推荐有在DHCP协议和移动性Express的基础知识。 Components Used 本文的信息根据AP 3802软件版本8.3.102.0。 The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command. Configure Note: 为了使用内部DHCP所有虚拟局域网是必须有在管理网络的一个DHCP池为了开始在ME的DHCP服务器进程。这是一......Read More

我要发言 阅读全文

配置在移动性Express控制器的Flexconnect VLAN映射

8 月 25
网络相关

本文转自:https://www.cisco.com/c/zh_cn/support/docs/wireless/mobility-express/212484-configure-flexconnect-vlan-mappings-on-m.html 目录 简介先决条件要求使用的组件配置在Flexconnect社团级别的VLAN映射在AP级别的VLAN映射验证故障排除 简介 本文描述步骤配置flexconnect VLAN映射在接入点(AP)和flexconnect社团级别。 先决条件 要求 Cisco 建议您了解以下主题: Cisco Mobility Express部署和基本配置。在WLC的Flexconnect配置 使用的组件 本文档中的信息基于以下软件和硬件版本: 运行软件版本8.5的Cisco 2802 AP。在flexconnect模式运行的2802 AP的。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。 Note:在移动性快速无线局域网控制器(WLC)上, VLAN相关的配置可以被执行在AP或在flexconnect社团级别。推荐运用配置在flexconnect社团级别,除非一些个AP的需要有一不同的配置。 配置 在Flexconnect社团级别的VLAN映射 在快速的移动性只有呼叫默认flexgroup的一flexconnect组。默认......Read More

我要发言 阅读全文

备案信息

苏ICP备15013660号

天亮了说晚安's Blog
Copyright © 2024 天亮了说晚安's Blog Design by SRS Solutions 返回页首