• 博客园logo
  • 会员
  • 众包
  • 新闻
  • 博问
  • 闪存
  • 赞助商
  • HarmonyOS
  • Chat2DB
    • 搜索
      所有博客
    • 搜索
      当前博客
  • 写随笔 我的博客 短消息 简洁模式
    用户头像
    我的博客 我的园子 账号设置 会员中心 简洁模式 ... 退出登录
    注册 登录
深秋、
博客园 | 首页 | 新随笔 | 新文章 | 联系 | 订阅 订阅 | 管理

2024年8月12日

百诺教育-ASA防火墙-5
摘要: ssl-vpn 基本配置 asa配置 配置webvpn: webvpn enable outside 配置认证用户: username admin password cisco 客户端登陆测试 ssl-vpn与asdm共存 配置ssl-vpn的端口,避免和asdm冲突 默认两者都是443端口,改变任 阅读全文
posted @ 2024-08-12 21:42 深秋、 阅读(41) 评论(0) 推荐(0)
 
百诺教育-ASA防火墙-4
摘要: 防火墙路由和交换 防火墙vlan应用 在dmz区域应用三个vlan. 创建逻辑和物理接口 int e3.1 vlan 10 分配vlan名称和安全级别 interface e3.1 vlan 10 nameif dmz1 security-level 10 分配vlan的ip地址 int 3.1 n 阅读全文
posted @ 2024-08-12 21:42 深秋、 阅读(21) 评论(0) 推荐(0)
 
百诺教育-ASA防火墙-3
摘要: nat nat的建立是为了解决一些问题,随着互联网的发展发生了: 为了减缓全球地址耗尽。 内部使用了rfc1918地址。 为了保护内部地址。 nat同时也增加了隐藏的内部拓扑结构的安全性。 访问穿越防火墙 由高安全级别到低允许 由低安全级别到高拒绝 内部地址转换 内部nat转换使主机地址从高安全级别 阅读全文
posted @ 2024-08-12 21:41 深秋、 阅读(31) 评论(0) 推荐(0)
 
百诺教育-ASA防火墙-2
摘要: 1.1asa实验环境简介 1.1.1物理拓扑图 1.1.2逻辑拓扑图 1.2各设备初始化配置 sw: vlan 2 name inside vlan 3 name dmz vlan 4 name outside int range f0/1 - 2 sw mo acc sw acc vlan 2 i 阅读全文
posted @ 2024-08-12 21:31 深秋、 阅读(25) 评论(0) 推荐(0)
 
百诺教育-ASA防火墙-1
摘要: 防火墙基础 什么是防火墙 firewall代表一个系统或一组系统,执行两个或多个网络之间的访问控制策略,通常用于网络的边界或边缘,防止外部威胁,当然。也可以用于网络内部,防止内部的威胁。 防火墙类型 包过滤packet-filtering 代理服务器proxy server 基于状态的包过滤stat 阅读全文
posted @ 2024-08-12 21:31 深秋、 阅读(42) 评论(0) 推荐(0)
 
13.DMVPN
摘要: 老的ipsec vpn技术在高扩展上的问题 1.两次加解密 2.两次占用中心带宽 1.ipsec vpn配置过多 2.每个客户端需要维护扩多的ipsec sa 3.每个客户需要固定ip地址dmvpn是一个高扩展性的vpn 1.mgre 多点gre,类似于fr,fr我们需要fr map,一个ip到dl 阅读全文
posted @ 2024-08-12 21:29 深秋、 阅读(67) 评论(0) 推荐(0)
 
12.EZVPN.
摘要: easy vpn gw: aaa new-model aaa authentication login remote local aaa authorization network remote local username cisco password 0 cisco crypto isakmp 阅读全文
posted @ 2024-08-12 21:29 深秋、 阅读(22) 评论(0) 推荐(0)
 
11.b Remote VPN IPSEC Profile
摘要: ipsec profile 实际配置 预先配置 GW用loopback 0 模拟inside 网络,e1/0 是互联网接口(202.100.1.2), 所有设备都 只有直联路由。 Step1:GW PAT 转换 GW: Ip access -list ex nat Permit ip host 1. 阅读全文
posted @ 2024-08-12 21:29 深秋、 阅读(1) 评论(0) 推荐(0)
 
11.a Remote VPN ISAKMP Profile
摘要: remote vpn server端 1.第一阶段 a.(策略) pre-share(不是单纯的key,group+key) dh group 2 b.am(3个包)密码的安全性在hash保障 1.5 a.xauth (1.安全2.用户认证3.aaa) b.mode-config(推送策略1.ip 阅读全文
posted @ 2024-08-12 21:29 深秋、 阅读(1) 评论(0) 推荐(0)
 
10.Redundancy VPN(设备备份)
摘要: 设备备份的高可用性vpn client: cry isa pol 10 au pre hash md5 cry isa key 0 cisco address 202.100.2.100 cry ipsec transform-set cisco esp-des esp-md5-hmac ip ac 阅读全文
posted @ 2024-08-12 21:28 深秋、 阅读(1) 评论(0) 推荐(0)
 
9.HA高可用性VPN(链路备份)
摘要: 高可用性vpn client: cry isa pol 1 au pre hash md5 cry isa key 0 cisco address 202.100.1.2 cry isa key 0 cisco address 61.128.128.3 cry ipsec transform-set 阅读全文
posted @ 2024-08-12 21:28 深秋、 阅读(1) 评论(0) 推荐(0)
 
8.ISAKMP Keepalive
摘要: vpn keeplive机制 如果对方某个接口dwon,这边的安全关联是不会消失的,生存期是1个小时。1个小时加密的流量相当于被仍到黑洞里面去。永远只有加密。 我们希望能够探测到这个安全是否ok,那么我们需要一个包活机制,来周期性的发送一个hello包,来探测对方的活动状态,这个技术叫做cry is 阅读全文
posted @ 2024-08-12 21:28 深秋、 阅读(51) 评论(0) 推荐(0)
 
7.VPN的访问控制列表
摘要: vpn的acl ipsec的流量 第一阶段第二阶段总共有9个包如果是主模式封装进源目端口500.第一第二阶段结束就进入实际的加密,按照协议的选择可能是esp也可能是ah internet: ip access-list ex control permit udp host 202.100.1.10 阅读全文
posted @ 2024-08-12 21:28 深秋、 阅读(1) 评论(0) 推荐(0)
 
6.RRI
摘要: rri 作用:反向路由注入, 使用场合: rri这个主要和ha(高可用性)相关的fcatruc一起使用,如上图:一个公司有两个网关(gw1,gw2)分别与两个sp相连来提供高可用性,gw1是remote的首选拨入点,当gw1不能抵达的时候选择第二拨入点gw2. 但是这样的ha的设计引入了内部serv 阅读全文
posted @ 2024-08-12 21:28 深秋、 阅读(58) 评论(0) 推荐(0)
 
5.NAT-T
摘要: nat-t nat-t的transport封装 会用一个源末均为4500号端口,插入一个udp hdr和non-ike 插入一个udp hdr和non-ike no crypto ipsec nat-transparency udp-encaps(打开nat-t) nat keeplive 默认由i 阅读全文
posted @ 2024-08-12 21:27 深秋、 阅读(46) 评论(0) 推荐(0)
 
4.GRE OVER IPSEC
摘要: gre over ipsec site1: int f0/0 ip add 202.100.1.1 255.255.255.0 no sh int lo0 ip add 1.1.1.1 255.255.255.255int lo1 ip add 2.2.2.2 255.255.255.255 int 阅读全文
posted @ 2024-08-12 21:27 深秋、 阅读(15) 评论(0) 推荐(0)
 
3.IPSEC OVER GRE
摘要: ipsec over gre 工程不推荐 加密包在router里边处理过程,和map撞击的方法 主要为了跑动态路由协议 问:为什么我们需要用到GRE? 答:Ipsec VPN 不能够支持加密二层和组播流量,这样一个限制就意味着 不能够通过Ipsec VPN 运行动态路由协议。为了解决这个问题,我们采 阅读全文
posted @ 2024-08-12 21:27 深秋、 阅读(55) 评论(0) 推荐(0)
 
2.动态 VS 静态 Crypto MAP
摘要: 动态对静态的vpn 如果都是cisco产品,可不用这种技术,因为cisco有更好的解决方法ezvpn.如果是不同厂家产品可使用此技术。 zhongxin: ip route 0.0.0.0 0.0.0.0 123.1.1.2 fengzhi: ip route 0.0.0.0 0.0.0.0 123 阅读全文
posted @ 2024-08-12 21:27 深秋、 阅读(19) 评论(0) 推荐(0)
 
1.d MAP的处理
摘要: 接收方收到vpn流量的处理 是否感兴趣流 是否加密 有无map action n/a 加密 有 解密 是 不加密 有 drop 是 不加密 没有 forword n/a 加密 没有 解密 所有可能进和出的接口都应用上map 阅读全文
posted @ 2024-08-12 21:26 深秋、 阅读(6) 评论(0) 推荐(0)
 
1.c L2l IPSEC Profile
摘要: r1: inter e1/0 ip add 123.1.1.1 255.255.255.0 no sh inter lo0 ip add 1.1.1.1 255.255.255.255r2: int e0/0 ip add 123.1.1.2 255.255.255.0 no sh int lo0 阅读全文
posted @ 2024-08-12 21:26 深秋、 阅读(10) 评论(0) 推荐(0)
 
 

公告


博客园  ©  2004-2025
浙公网安备 33010602011771号 浙ICP备2021040463号-3