闭关修炼

0

本文作者:h3cisco  发布于:2012-5-20  分类:生活专区  点击:

闭关修炼中

 

暂不写文章

ASA 8.4 New Feature :User-identity by AD-Agent

0

本文作者:h3cisco  发布于:2012-5-4  分类:网络技术  点击:

其实蛮排斥ASA的8.3以后的OS,因为很多东西和以前都不一样了,但是没办法,历史在前进,技术在发展,不得不学它,所以最近浅究了一下ASA的8.4,ASA8.4一个很大的亮点就是他的User-identity,以前ASA 做策略都是针对ip地址,但是IP地址一般都会变动,现在针对user-identity的feature出来以后,策略就会做的更精确了。

它的原理是这样的,就是在AD上安装一个AD-Agent ,这个Agent 会把AD的信息同步到ASA上,ASA 得到这些user account以后,就可以在策略里面调用了。其实这个很我前面介绍的Pala Alto的User-identity一样,但是Pala Alto的这个feature很早就出来了,是它产品的一个卖点,ASA最近才出来,所以抄袭的Pala Alto的嫌疑还是蛮大的。但是不论这么样,这个功能出来了确实进步很大。

因为是新技术,国内网上的资料还是蛮少的,搜了一些国外的论坛,走了一些子弯路,终于整出来了,不容易呀,现在贴出来,供参考.....

Juniper SRX HA Cluster

0

本文作者:h3cisco  发布于:2012-5-2  分类:网络技术  点击:

  Junier SRX的一个亮点就是实现HA ,和普通的设备做HA 不太一样,普通设备做完ASA 以后两台设备完全独立,但是SRX 的HA做完以后两台设备可以看做成一个整体,将会一台设备上面看到对方的接口,并且完全可以像使用自己的本地接口一样使用这个接口。

在做HA之前SRX 需要连接注意三根线:

1、Control line :用来传输两个设备之间的Control plane的信息   对应接口名称   fxp1

2、Data line :用来同步两个设备的data plane 信息       对应接口名称                fab0  and   fab 1

3、Manage line:用来分别管理这两个设备                对应接口名称                      fxp0....

Juniper SRX Route Base VPN

0

本文作者:h3cisco  发布于:2012-5-1  分类:网络技术  点击:

 SRX 实现site to site VPN 一共有两种方式,一种是基于策略(前面文章已经介绍过了),一种是基于路由,有点像Cisco 的Gre VPN ,通过Gre tunnel来传路由。

拓扑很简单,如下:

192.168.83.0/24------------(192.168.83.200)SRX1(172.32.1.15)- - - - - -- - - -- - -(172.32.1.1)SRX2(192.168.80.200)----------------------192.168.80.24/24

1、基本接口、trust、untrust zone配置省略  (以下配置都是在SRX1上,SRX2上同理)

2、配置St0 虚拟接口,和Cisco的虚拟接口一样,用来传路由 .....

体验最强下一代防火墙Palo alto

0

本文作者:h3cisco  发布于:2012-4-28  分类:网络技术  点击:

最强防火墙是谁呢?

Cisco ?  no no

Juniper ?  也不是

我想应该是 Palo alto ,它应该是下一代防火墙的标杆,现在目前大部分防火墙都是三层防火墙,有个别是4层,如Juniper 的SRX。 Palo alto  应该算是真正的7层防火墙了。

Juniper SRX 设备安全管理

0

本文作者:h3cisco  发布于:2012-4-24  分类:网络技术  点击:

为了安全起见,一般设备之允许管理员进行特定的方式来管理设备。

这里实验只允许192.168.7.0/24的网段对设备SSH 管理。

 

edit firewall filter management]

srx@srx100h# show 

term per-ssh {

    from {

        address {

            192.168.7.0/24;   (只允许192.168.7.0/24通过SSH来管理设备)

 

Juniper SRX Dynamic VPN Auth by IAS Radius

0

本文作者:h3cisco  发布于:2012-4-9  分类:网络技术  点击:

上一次做Dynamic vpn(http://www.h3cisco.cn/post/138.html)采用的是本地账户验证,现在换成windows 的IAS Radius账户验证。

1、配置IAS

 1.1 安装IAS和AD省略。

 1.2 在IAS添加Radius client,

...

Juniper SRX Dynamic VPN

0

本文作者:h3cisco  发布于:2012-4-7  分类:网络技术  点击:

Juniper的Dyanmic VPN是一种和Cisco Remote vpn差不多的IPsec VPN。Juniper SRX默认支持两个用户同时拨入,如果需要更多用户,就需要买相关license。

和Cisco remote vpn一样需要安装一个客户端,然后可以通过本地和AAA 的用户来验证。但是还是有些地方和Cisco不太一样,在实验的过程中,将阐明清楚。

拓扑图很简单:

Trust PC------------------------------SRX-------------------------Untrust VPN Client  

                192.168.80.0/24                      172.32.1.0/24

配置步骤:

Cisco 网站改版,软件下载不了

0

本文作者:h3cisco  发布于:2012-4-6  分类:网络技术  点击:

 想曾几何时,Cisco的网站是不是改版了,我一个超级权限的CCO账号既然现在连ASA IOS都不能下载,甚至VPN 的client也下不了。

 

晒晒的我的下载历史,

 

Juniper SRX NAT

0

本文作者:h3cisco  发布于:2012-4-5  分类:网络技术  点击:

 SRX 支持3种形式的NAT,

1、Source NAT

2、Destination NAT

3、Static NAT

但是每种下面又有很多形式的NAT,其实很早就像写一篇SRX NAT的帖子,但是种类太多了,没办法一一列举,现在就列出几个常用的NAT。

Page 1 of 13 « 首页...«12345678910111213»...尾页 »