天亮了说晚安's Blog

原文作者: Mansur 原文链接: http://nbma.info/ipsec-ikev2-config/ IOS配置 1234567891011121314151617181920212223242526272829303132333435363738crypto ikev2 proposal IKE_PROPencryption 3des aes-cbc-256integrity sha256 sha512group 2 5 14prf sha256 sha(对随机数加密之后得到新的‘随机值’)crypto ikev2 policy IKE_PROLproposal IKE_PROPcrypto ikev2 keyring IKE_KEYpeer PEER_Baddress 23.1.1.3pre-shared-key IPSECKEYcrypto ikev2 profile IKE_PROFmatch identity remote address 23.1.1.3 255.255.255.255identity local address 12.1.1.1authentication local pre-shareauthentication remote pre-sharekeyring local IKE_KEYcrypto ipsec transform-set TRANS1 esp-des esp-md5-hmacmode tunnelcrypto ipsec transform-set TRANS2 esp-3des esp-sha256-hmacmode tunnelip access-list extended VPNpermit ip 14.1.1.0 0.0.0.255 35.1.1.0 0.0.0.255crypto map IKE_MAP 10 ipsec-isakmpset peer 23.1.1.3set transform-set TRANS1 TRANS2set ikev2-profile IKE_PROFmatch address VPNinterface e0/0crypto map IKE_MAP ASA配置 1......Read More

原文作者: Mansur 原文链接: http://nbma.info/ipsec-theory/ ipsec vpn，刚学完的时候以为自己掌握的还挺好的，各种排错无压力。去年到电信面试，连基本过程都说不清楚了，就记得是非对称加密协商对称加密的算法和密钥。说了一句跟HTTPS原理差不多……欸。趁着周末闲了赶紧再补补。 重新梳理了以前掌握的不清楚的几个概念，新学习了ikev2的原理和原理，放一起对比下常说的ipsec第一阶段协商的6个包或者总共9个包指的是ikev1的主模式。ikev1（即isakmp）第一阶段： isakmp sa主动模式：使用预共享密钥的远程拨号VPN（即思科私有的EZVPN），第一阶段只有3个包主模式：第一阶段6个包第二阶段： ipsec sa快速模式：3个包 ikev1的ipsec协商总共9个包，在没有nat穿越的情况下，这9个包的源目端口都是UDP 500，使用isakmp封装。9个包之后加密ESP封装。 ikev2第一阶段：ike_sa_init（2个包）第二阶段：ike_auth（2个包） 同样，这4个包的源目端口都是UDP 500，使用isakmp封装。4个包之后加密ESP封装。 SA和SPI：安全关联，分为ike sa和ipsec sa，包含封装方式，验证算法，加密算法，预共享密钥等IKE sa:双向的，一致，默认有效期一天IPSec sa:单向的，......Read More

原文作者: Mansur 原文链接: http://nbma.info/asa-tcp-traffic-back/ 环境R2，R3网关在ASA，R3背后有10.0.0.0网络，ASA路由10.0.0.0/24下一跳是R3问题，R2访问10.0.0.0/24网段时，流量到达ASA，icmp和udp可以通过，tcp会被丢弃 1，R2的10.1.1.44发起TCP流量访问10.0.0.0网段web server2，ASA收到改流量，发现出站接口是相同的security-level，需要敲下这条命令：ASA(config)#same-security permit intra-interface3，然后这个SYN包会通过R3路由到达R4，4，Web server返回SYN-ACK，这个包在到达R3之后，将会被直接通过mac地址转发到R25，R2收到该数据包会直接丢弃，这是因为ASA的“tcp序列号随机化”的默认特性，当ASA从任意接口收到一个的SYN包时，会将seq随机成另一个数字，记录在状态表中，然后再发出，这是他的一个安全策略。而在上例中，假定R2初始的SYN包的seq是12345，经过ASA被随机成为56789，R4回报只会确认收到56789，这个包在到达R2之后会被丢弃，因为R2希望确认123456，为了避免这种内部的异步路由导致的丢包，需要在ASA赦免特定tcp流量的状态化检测，配置如下： 12345678910111213141516object-group network LOCALnetwork-object 10.......Read More

原文作者: Mansur 原文链接: http://nbma.info/switch-redundancy/ 偶然想到这个问题，正好总结一下。 思科的堆叠技术：常见于低端设备，提供简化的本地管理，将一组交换机作为一个对象来管理，堆叠组内设备各自独立。MAC地址表项、ARP表项等不相同。VSS虚拟交换系统：可以将多台交换机组合为单一虚拟交换机，交换组内设备表项相同，统一设备管理。最终简化网络拓扑 其实将这四种技术称为“二层”“冗余”技术并不准确，因为其使用场景和作用即不相同也不冲突，并且工作范围也不是全都局限于二层，直接分类或者横向对比不是十分准确，这里只是将这几种容易混淆的概念列出，如果疏漏或错误，还请指正。 传统Port Channel 交换机端使用LACP或者PAgP协议，服务器端使用NIC teaming技术讲多条链路绑定在一起，STP运行在所有物理链路组成的逻辑链路上。优点是绝大部分交换机都支持这种技术，缺点是所有port channel的组成端口都必须位于同一台交换机上，可能造成单点故障 StackWise Catalyst低端交换上使用的堆叠技术，可以将两台交换机“合并”为一台进行使用和管理，同一prot channel当中的端口可以位于不同物理交换机上。不需要特殊配置，只需......Read More

原文作者: Mansur 原文链接: http://nbma.info/ipsec-vpn-ping-asa-inside/ 正常情况下，ASA只允许相应方向的地址ping对应的接口，公网地址能ping通ouside口，内部直连inside网段可以ping通inside口. 某公司在A/B两个IDC机房之间通过两台ASA配置了ipsec vpn，并且在A机房部署了zabbix监控，通过私有地址监控网络状态 在配置B机房的ASA监控时，从zabbix服务器无法ping到B机房的ASA inside口，查询思科文档发现如下文字： Ping 其他接口 management-access 命令使用户只有在使用全通道 IPSec VPN 或 SSL VPN 客户端（AnyConnect 2.x 客户端 SVC 1.x）或通过站点到站点 IPSec 通道连接到 PIX/ASA 时，才可以从外部连接到 management-access 接口。 除非已在全局配置模式下配置了 management-access，否则无法从外部访问 PIX 的内部接口。 asa(config)#**management-access inside** asa(config)#**show running-config management-access** management-access inside 在B机房ASA配置模式下，配置对应命令保存。 在9.2以前的版本，只需要配置management-access inside即可，但是在9.4之后，思科对ASA上配置ipsec的nat赦免规则做了调......Read More

原文作者: Mansur 原文链接: http://nbma.info/cisco-nat-nvi-back/ 困扰已久的路由器映射的回流问题终于解决了。 回流，简单的说就是内网终端通过映射后的公网地址访问内网服务。通常配置的inside-outside模式的nat是无法实现回流的， Cisco的domainless NAT Domainless就是说不再区分inside和outside，只是单纯地做NAT，用一个叫做NAT Virtual Interface的虚拟接口来实现，这样有什么好处呢？说实话，从界面上看不出来，但是从其实现角度，就可以通过路由的方式将带有ip nat enable配置的接口进来的包全部导入这个虚拟接口NVI0中。然后用数据包的源地址和目标地址分别查询SNAT表和DNAT表，根据结果进行NAT操作，随后进入真正的路由查询。 不管方向，不管路由，只要数据包进入了一块带有ip nat enable配置的物理网卡，就会进行NAT匹配以及匹配成功后的操作，不管是SNAT和DNAT都在这里进行。这个实现虽然很豪放，但是却解决了所有问题。 数据包在进入真正的路由查询前，NAT就已经完成了，在路由器看来，NAT操作被藏起来了，就好像数据包本来就是那个样子一样。当然Domainless的NAT也不再和任何其它操作关联，ACL，VPN感兴趣流匹配，policy rou......Read More

原文作者: Mansur 原文链接: http://nbma.info/cisco-asa-ssl-vpn-policy-base-security-group/ 之前已经说过了SSL VPN的基本配置，在此基础上，实现不同角色的用户使用不同的策略。 ASA防火墙根据用户的OU分配组策略的功能，是根据IETF的radius属性中的option 25实现的。radius服务器在进行身份验证和授权的过程中可以将包含用户OU的该属性值发送给ASA 注：IETF RADIUS option 25:RFC 2865 下面的配置案例，针对角色为SSLVPN-DBA的用户，ASA读取到这个属性时，将自动查询与该属性值一致的group-policy。 当一个用户存在多个OU时，ASA将按照ascii码表的顺序逐个查找角色对应的策略，一旦找到匹配，就不再查询其他角色。 Radius 在防火墙配置组策略之前，需要在radius上对需要的用户分配相应的OU。 ASA针对SSLVPN-DBA角色配置策略 aaa-server，tunnel-group配置在前一篇已写过 下发不同路由列表TECH-SPL 1access-list TECH-SPL extended permit ip 172.17.0.0 255.255.0.0 any 配置group-policy，关联需要下发的路由TECH-SPL、访问控制SSL-ACL、地址池SSL-POOL 12345678910111213141516group-policy SSLVPN-DBA internalg......Read More

原文作者: Mansur 原文链接: http://nbma.info/cisco-asa-ssl-vpn-configure/ 在ASA配置SSL VPN过程如下，接口和默认路由 略 创建地址池SSL-POOL 1ip local pool SSL-POOL 172.17.44.2-172.17.47.254 mask 255.255.252.0 配置区域策略 12same-security-traffic permit inter-interfacesame-security-traffic permit intra-interface 定义下发路由SSL-SPL 123456access-list SSL-SPL extended permit ip 172.17.0.0 255.255.0.0 anyaccess-list SSL-SPL extended permit ip 10.0.0.0 255.255.0.0 anyaccess-list SSL-SPL extended permit ip 10.201.0.0 255.255.0.0 anyaccess-list SSL-SPL extended permit ip 192.168.96.0 255.255.224.0 anyaccess-list SSL-SPL extended permit ip 10.101.0.0 255.255.0.0 anyaccess-list SSL-SPL extended permit ip 10.12.0.0 255.255.0.0 any 定义ACL策略SSL-ACL(可选) 1access-list SSL-ACL extended permit ip any any 定义radius认证服务器SSL(可选) 12345aaa-server SSL protocol radiusaaa-server SSL (inside) host 172.17.40.41 key XXXXXXXX authentication-port 1812 accountin......Read More

本文引自：https://www.cnblogs.com/yuanlipu/p/7442611.html（个别地方本人经过验证后修改添加） 方法一：亲测可用（此方法在二次打开时，弹出提示信息，退出时闪现退出窗口，体验感不太好） 在项目的第一个窗体的启动事件中 如form1_load() 中调用如下语句： //判断是否重复打开 public void check(object sender, EventArgs e) { System.Diagnostics.Process[] myProcesses = System.Diagnostics.Process.GetProcessesByName("WindowsFormsApplication1");//获取指定的进程名 if (myProcesses.Length > 1) //如果可以获取到知道的进程名则说明已经启动 { MessageBox.Show("程序已启动！"); Application.Exit(); //关闭系统 } } ================================================================================================ 方法二 ：未测试（引用前未测试，经本人测试可用，个人感觉比方法一要好些，二次打开时就提示，没有方法一中的闪现退出窗口的现象） 在项目的启动引导文件 Program.cs中加入判断语句： using System; using System.Collections.Generic; using System.Linq......Read More