天亮了说晚安's Blog

本文转自：https://blog.51cto.com/hujizhou/1854608 ASA 8.3 以后，NAT 算是发生了很大的改变，之前也看过8.4 的ASA，改变的还有×××，加入了Ikev2 。MPF 方法加入了新的东西，QOS 和策略都加强了，这算是Cisco 把CCSP 的课程改为CCNP Security 的改革吧！ 拓扑图就是上面的，基本配置都是一样，地址每个路由器上一条默认路由指向ASA。  基本通信没问题，关于8.3 以后推出了两个概念，一个是network object 它可以代表一个主机或者子网的访问。另外一个是service object，代表服务。 1、地址池的形式的NAT 配置 老版本代表一个12.1.1.0 的地址池转换成200.200.200.3-200.200.200.254 一对一的转换 nat (inside) 1 12.1.1.0 255.255.255.0global (outside) 1 200.200.200.3-200.200.200.254 新版本(Network object NAT) ciscoasa(config)# object network insideciscoasa(config-network-object)# subnet 12.1.1.0 255.255.255.0ciscoasa(config-network-object)# exitciscoasa(config)# object network outside-poolciscoasa(config-network-object)# range 200.200.200.3 200.200.200.254ciscoasa(config-network-object)......Read More

本文转自：http://blog.sina.com.cn/s/blog_a70750300101h5s0.html 拓扑 ：这个拓扑比较的简单这里不需要解释： pix1的完整配置： interface Ethernet0 description LAN Failover Interface!interface Ethernet1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2!interface Ethernet2 nameif outside security-level 0 ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2!interface Ethernet3 description STATE Failover Interface failover lan unit primaryfailover lan interface wangjie Ethernet0failover key 123 failover link state Ethernet3failover interface ip wangjie 192.168.100.1 255.255.255.0 standby 192.168.100.2failover interface ip state 192.168.200.1 255.255.255.0 standby 192.168.200.2 failover lan enablefailover pix2的配置： failover lan unit secondaryfailover lan interface wangjie Ethernet0failover key 123 failover link state Ethernet3failover interface ip wangjie 192.168.100.1 255.2......Read More

本文转自：https://blog.51cto.com/luojinghappy/1045230 ASA failover可以通过一根交叉线直连，或者通过LAN的方式来实现。两种方式各有利弊，个人比较倾向LAN的方式，下面是一个LAN方式实现的配置实例。 如下图，两台ASA上的outside口，Inside口以及DMZ口都必须分别在同一网段。可以用独立交换机分开，也可以用VLAN实现。 在主ASA上的配置： A.A.A.A与B.B.B.B， C.C.C.C与D.D.D.D， E.E.E.E与F.F.F.F  G.G.G.G与H.H.H.H要分别在同一个网段内。 interface Ethernet0/0      description Outside Public Network       nameif outside       security-level 0       ip address A.A.A.A 255.255.255.0 standby B.B.B.B       interface Ethernet0/1       description Inside Private Network       nameif inside       security-level 100       ip address C.C.C.C 255.255.255.0 standby D.D.D.Dinterface Ethernet0/2       description LAN/STATE Failover Interfaceinterface Ethernet0/3       nameif dmz       security-level 50       ip address E.E.E.E 255.255.255.0......Read More

本文转自：https://www.cisco.com/c/zh_cn/support/docs/wireless/mobility-express/210532-WPA2-Enterprise-WLAN-with-Mobility-Expre.html 目录 简介先决条件要求使用的组件配置网络图配置在ME的配置宣称ISE的ME创建ISE的一个新用户创建验证规则创建授权规则终端设备的配置验证在ME的认证过程在ISE的认证过程 简介 本文描述如何设置一WLAN (无线局域网)以wi-fi受保护的访问2 (WPA2)企业安全用移动性Express控制器和一个外部远程验证拨入用户服务(RADIUS)服务器。身份服务引擎(ISE)使用作为外部RADIUS服务器示例。 用于此指南的可扩展的认证协议(EAP)是Protected Extensible Authentication Protocol (PEAP)。除那以外客户端分配到特定VLAN (除那个之外分配到WLAN ny默认)。 先决条件 要求 Cisco 建议您了解以下主题： 802.1xPEAP认证机构(CA)证书 使用的组件 本文档中的信息基于以下软件和硬件版本： ME v8.2 ISE v2.1 Windows 10笔记本电脑 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 配......Read More

本文转自：https://www.cisco.com/c/zh_cn/support/docs/wireless/mobility-express/213579-understand-and-configure-eap-tls-with-mo.html Contents IntroductionPrerequisitesRequirementsComponents Used背景信息EAP-TLS流在EAP-TLS流的步骤ConfigureCisco Mobility Express与Cisco Mobility Express的ISEEAP-TLS设置移动性在ISE的Express设置在ISE的信任认证EAP-TLS的客户端在客户端机器(Windows桌面)的下载用户证书EAP-TLS的无线配置文件VerifyTroubleshoot Introduction 本文描述如何设置一个无线局域网(WLAN)以在移动性Express控制器的802.1x安全。本文特别地也解释使用可扩展的认证协议(EAP) -传输层安全(TLS)。 Prerequisites Requirements Cisco 建议您了解以下主题： 移动性Express初始建立802.1x认证过程证书 Components Used 本文档中的信息基于以下软件和硬件版本： WLC 5508版本8.5身份服务引擎(ISE)版本2.1 The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.如果您的网络处......Read More

本文转自：https://www.cisco.com/c/zh_cn/support/docs/wireless/mobility-express/210531-Mobility-Express-Internal-DHCP.html Contents IntroductionPrerequisitesRequirementsComponents UsedConfigureGUI 配置配置管理网络的DHCP范围配置WLAN的DHCP范围CLI 配置配置管理网络的DHCP范围配置WLAN的DHCP范围VerifyTroubleshoot Introduction 本文如何提供指南给enable (event)内部动态主机配置协议(DHCP)服务器在移动性Express (ME)在接入点(AP) 3802以版本8.3.102.0。 Prerequisites Requirements Cisco推荐有在DHCP协议和移动性Express的基础知识。 Components Used 本文的信息根据AP 3802软件版本8.3.102.0。 The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command. Configure Note: 为了使用内部DHCP所有虚拟局域网是必须有在管理网络的一个DHCP池为了开始在ME的DHCP服务器进程。这是一......Read More

本文转自：https://www.cisco.com/c/zh_cn/support/docs/wireless/mobility-express/212484-configure-flexconnect-vlan-mappings-on-m.html 目录 简介先决条件要求使用的组件配置在Flexconnect社团级别的VLAN映射在AP级别的VLAN映射验证故障排除 简介 本文描述步骤配置flexconnect VLAN映射在接入点(AP)和flexconnect社团级别。 先决条件 要求 Cisco 建议您了解以下主题： Cisco Mobility Express部署和基本配置。在WLC的Flexconnect配置 使用的组件 本文档中的信息基于以下软件和硬件版本： 运行软件版本8.5的Cisco 2802 AP。在flexconnect模式运行的2802 AP的。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 Note:在移动性快速无线局域网控制器(WLC)上， VLAN相关的配置可以被执行在AP或在flexconnect社团级别。推荐运用配置在flexconnect社团级别，除非一些个AP的需要有一不同的配置。 配置 在Flexconnect社团级别的VLAN映射 在快速的移动性只有呼叫默认flexgroup的一flexconnect组。默认......Read More

本文转自：https://www.cisco.com/c/zh_cn/support/docs/wireless/mobility-express-aironet-access-points/215410-convert-capwap-1852-access-point-ap-to.html 目录 简介先决条件要求使用的组件配置步骤1.下载移动性快速软件AIR-AP1850-K9-ME-8-10-112-0.zip并且解压缩文件。步骤2.确保1852有网络协议(IP)地址。第 3 步：在转换AP不提及什么关于移动性高速公路前。步骤4.运行命令和使用ap1g4作为文件名。第 5 步：在AP重启以后的少量分钟， Cisco向导配置工具将启动。步骤6.如镜像所显示10.10.1.232分配作为移动性Express的管理IP地址和用于访问图形用户界面(GUI)。验证故障排除 简介 本文描述如何转换一轻量级接入点(LWAP) 1852对移动性Express (ME)。 先决条件 要求 Cisco 建议您了解以下主题： 对AP的CLI访问使用控制台电缆。简单文件传输协议(TFTP)服务器。 使用的组件 1852I APTFTP 服务器 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。 配置 网络图 步骤1.下载移动性快速软件AIR-AP1850-......Read More

本文转自：https://www.cisco.com/c/en/us/td/docs/security/asa/asa98/configuration/vpn/asa-98-vpn-config/webvpn-troubleshooting.html Chapter: Clientless SSL VPN Troubleshooting Chapter Contents Recover from Hosts File Errors When Using Application AccessWebVPN Conditional DebuggingCapture DataProtect Clientless SSL VPN Session Cookies Recover from Hosts File Errors When Using Application Access To prevent hosts file errors that can interfere with Application Access, close the Application Access window properly when you finish using Application Access. To do so, click the close icon. When Application Access terminates abnormally, the hosts file remains in a Clientless SSL VPN-customized state. Clientless SSL VPN checks the state the next time you start Application Access by searching for a hosts.webvpn file. If it finds one, a Backup HOSTS File Found error message appears, and Application Access is temporarily switched off. If Application Acces......Read More