天亮了说晚安's Blog

原文作者: Mansur 原文链接: http://nbma.info/asa-tcp-traffic-back/ 环境R2，R3网关在ASA，R3背后有10.0.0.0网络，ASA路由10.0.0.0/24下一跳是R3问题，R2访问10.0.0.0/24网段时，流量到达ASA，icmp和udp可以通过，tcp会被丢弃 1，R2的10.1.1.44发起TCP流量访问10.0.0.0网段web server2，ASA收到改流量，发现出站接口是相同的security-level，需要敲下这条命令：ASA(config)#same-security permit intra-interface3，然后这个SYN包会通过R3路由到达R4，4，Web server返回SYN-ACK，这个包在到达R3之后，将会被直接通过mac地址转发到R25，R2收到该数据包会直接丢弃，这是因为ASA的“tcp序列号随机化”的默认特性，当ASA从任意接口收到一个的SYN包时，会将seq随机成另一个数字，记录在状态表中，然后再发出，这是他的一个安全策略。而在上例中，假定R2初始的SYN包的seq是12345，经过ASA被随机成为56789，R4回报只会确认收到56789，这个包在到达R2之后会被丢弃，因为R2希望确认123456，为了避免这种内部的异步路由导致的丢包，需要在ASA赦免特定tcp流量的状态化检测，配置如下： 12345678910111213141516object-group network LOCALnetwork-object 10.......Read More

原文作者: Mansur 原文链接: http://nbma.info/switch-redundancy/ 偶然想到这个问题，正好总结一下。 思科的堆叠技术：常见于低端设备，提供简化的本地管理，将一组交换机作为一个对象来管理，堆叠组内设备各自独立。MAC地址表项、ARP表项等不相同。VSS虚拟交换系统：可以将多台交换机组合为单一虚拟交换机，交换组内设备表项相同，统一设备管理。最终简化网络拓扑 其实将这四种技术称为“二层”“冗余”技术并不准确，因为其使用场景和作用即不相同也不冲突，并且工作范围也不是全都局限于二层，直接分类或者横向对比不是十分准确，这里只是将这几种容易混淆的概念列出，如果疏漏或错误，还请指正。 传统Port Channel 交换机端使用LACP或者PAgP协议，服务器端使用NIC teaming技术讲多条链路绑定在一起，STP运行在所有物理链路组成的逻辑链路上。优点是绝大部分交换机都支持这种技术，缺点是所有port channel的组成端口都必须位于同一台交换机上，可能造成单点故障 StackWise Catalyst低端交换上使用的堆叠技术，可以将两台交换机“合并”为一台进行使用和管理，同一prot channel当中的端口可以位于不同物理交换机上。不需要特殊配置，只需......Read More

原文作者: Mansur 原文链接: http://nbma.info/ipsec-vpn-ping-asa-inside/ 正常情况下，ASA只允许相应方向的地址ping对应的接口，公网地址能ping通ouside口，内部直连inside网段可以ping通inside口. 某公司在A/B两个IDC机房之间通过两台ASA配置了ipsec vpn，并且在A机房部署了zabbix监控，通过私有地址监控网络状态 在配置B机房的ASA监控时，从zabbix服务器无法ping到B机房的ASA inside口，查询思科文档发现如下文字： Ping 其他接口 management-access 命令使用户只有在使用全通道 IPSec VPN 或 SSL VPN 客户端（AnyConnect 2.x 客户端 SVC 1.x）或通过站点到站点 IPSec 通道连接到 PIX/ASA 时，才可以从外部连接到 management-access 接口。 除非已在全局配置模式下配置了 management-access，否则无法从外部访问 PIX 的内部接口。 asa(config)#**management-access inside** asa(config)#**show running-config management-access** management-access inside 在B机房ASA配置模式下，配置对应命令保存。 在9.2以前的版本，只需要配置management-access inside即可，但是在9.4之后，思科对ASA上配置ipsec的nat赦免规则做了调......Read More

原文作者: Mansur 原文链接: http://nbma.info/cisco-nat-nvi-back/ 困扰已久的路由器映射的回流问题终于解决了。 回流，简单的说就是内网终端通过映射后的公网地址访问内网服务。通常配置的inside-outside模式的nat是无法实现回流的， Cisco的domainless NAT Domainless就是说不再区分inside和outside，只是单纯地做NAT，用一个叫做NAT Virtual Interface的虚拟接口来实现，这样有什么好处呢？说实话，从界面上看不出来，但是从其实现角度，就可以通过路由的方式将带有ip nat enable配置的接口进来的包全部导入这个虚拟接口NVI0中。然后用数据包的源地址和目标地址分别查询SNAT表和DNAT表，根据结果进行NAT操作，随后进入真正的路由查询。 不管方向，不管路由，只要数据包进入了一块带有ip nat enable配置的物理网卡，就会进行NAT匹配以及匹配成功后的操作，不管是SNAT和DNAT都在这里进行。这个实现虽然很豪放，但是却解决了所有问题。 数据包在进入真正的路由查询前，NAT就已经完成了，在路由器看来，NAT操作被藏起来了，就好像数据包本来就是那个样子一样。当然Domainless的NAT也不再和任何其它操作关联，ACL，VPN感兴趣流匹配，policy rou......Read More

原文作者: Mansur 原文链接: http://nbma.info/cisco-asa-ssl-vpn-policy-base-security-group/ 之前已经说过了SSL VPN的基本配置，在此基础上，实现不同角色的用户使用不同的策略。 ASA防火墙根据用户的OU分配组策略的功能，是根据IETF的radius属性中的option 25实现的。radius服务器在进行身份验证和授权的过程中可以将包含用户OU的该属性值发送给ASA 注：IETF RADIUS option 25:RFC 2865 下面的配置案例，针对角色为SSLVPN-DBA的用户，ASA读取到这个属性时，将自动查询与该属性值一致的group-policy。 当一个用户存在多个OU时，ASA将按照ascii码表的顺序逐个查找角色对应的策略，一旦找到匹配，就不再查询其他角色。 Radius 在防火墙配置组策略之前，需要在radius上对需要的用户分配相应的OU。 ASA针对SSLVPN-DBA角色配置策略 aaa-server，tunnel-group配置在前一篇已写过 下发不同路由列表TECH-SPL 1access-list TECH-SPL extended permit ip 172.17.0.0 255.255.0.0 any 配置group-policy，关联需要下发的路由TECH-SPL、访问控制SSL-ACL、地址池SSL-POOL 12345678910111213141516group-policy SSLVPN-DBA internalg......Read More

原文作者: Mansur 原文链接: http://nbma.info/cisco-asa-ssl-vpn-configure/ 在ASA配置SSL VPN过程如下，接口和默认路由 略 创建地址池SSL-POOL 1ip local pool SSL-POOL 172.17.44.2-172.17.47.254 mask 255.255.252.0 配置区域策略 12same-security-traffic permit inter-interfacesame-security-traffic permit intra-interface 定义下发路由SSL-SPL 123456access-list SSL-SPL extended permit ip 172.17.0.0 255.255.0.0 anyaccess-list SSL-SPL extended permit ip 10.0.0.0 255.255.0.0 anyaccess-list SSL-SPL extended permit ip 10.201.0.0 255.255.0.0 anyaccess-list SSL-SPL extended permit ip 192.168.96.0 255.255.224.0 anyaccess-list SSL-SPL extended permit ip 10.101.0.0 255.255.0.0 anyaccess-list SSL-SPL extended permit ip 10.12.0.0 255.255.0.0 any 定义ACL策略SSL-ACL(可选) 1access-list SSL-ACL extended permit ip any any 定义radius认证服务器SSL(可选) 12345aaa-server SSL protocol radiusaaa-server SSL (inside) host 172.17.40.41 key XXXXXXXX authentication-port 1812 accountin......Read More

本文引自：https://www.cnblogs.com/yuanlipu/p/7442611.html（个别地方本人经过验证后修改添加） 方法一：亲测可用（此方法在二次打开时，弹出提示信息，退出时闪现退出窗口，体验感不太好） 在项目的第一个窗体的启动事件中 如form1_load() 中调用如下语句： //判断是否重复打开 public void check(object sender, EventArgs e) { System.Diagnostics.Process[] myProcesses = System.Diagnostics.Process.GetProcessesByName("WindowsFormsApplication1");//获取指定的进程名 if (myProcesses.Length > 1) //如果可以获取到知道的进程名则说明已经启动 { MessageBox.Show("程序已启动！"); Application.Exit(); //关闭系统 } } ================================================================================================ 方法二 ：未测试（引用前未测试，经本人测试可用，个人感觉比方法一要好些，二次打开时就提示，没有方法一中的闪现退出窗口的现象） 在项目的启动引导文件 Program.cs中加入判断语句： using System; using System.Collections.Generic; using System.Linq......Read More

本文转自：https://blog.51cto.com/cisco130/1228744 在2块HWIC-4ESW之间,一定要用一根网线连接起来，否则,VLAN无法使用，切记！ 这次在一台路由器上配备了两块HWIC-4ESW，开始时没有注意，根本没法用这两块以太网交换模块，搞得自己很紧张，以为碰到不良总代，出了O货，后来到官网上查了一下，原来还有这么一说，算是思科的一个小小硬伤吧，为什么不在机框总线里把这个问题处理好，却一定要在外面飞线呢？ 看来思科每次在嘲笑华为时，应该摸下自己的脸是否有点红了。 思科官方的文档：Configuring StackingStacking is the connection of two switch modules resident in the same chassis so that they behave as a single switch. When a chassis is populated with two switch modules, the user must configure both of them to operate in stacked mode. This is done by selecting one port from each switch module and configuring it to be a stacking partner. The user must then connect with a cable the stacking partners from each switch module to physically stack the switch modules. Any one port in a switch module can be d......Read More

本文转自：https://blog.swineson.me/dynamic-routing-and-nat-rules-for-anyconnect-server-on-cisco-asa/ 从ASA的设计来看，AnyConnect隧道不像是一个传统的Point-to-Point或Site-to-Site VPN隧道，而更像是一个IPSec Transform规则。每个客户端建立起隧道以后，ASA会为其动态生成一条路由，该路由具有如下特征： 类型为静态（STATIC）CIDR为/32接口为用户连入流量的来源接口，例如用户从公网访问则为outsite网关地址为接口对应的网关 动态路由协议 ASA和另一台路由器之间有一个BGP会话，现在想让另一台路由器能访问ASA上的AnyConnect客户端。那么有两种实现方法： 为每一个客户端宣告一条路由 这样很简单，BGP重分发静态路由即可。但是经过实验，ASA对动态生成的静态路由的重分发并不是十分靠谱：延迟严重，有的时候甚至根本不向BGP邻居推送更新消息。所以不是很建议使用这种方法。 至于大量/32条目污染路由表的问题，可以用auto-summary来解决。 预先宣告整个AnyConnect IP池 创建一条metric为254的静态路由，然后加入BGP的宣告列表即可。（注意ASA的metric 255等效于blackhole） 1234route outside 192.168.1.1 255.255.255.0 8.8.8.8......Read More