asa sslvpn配置
本地用户配置1234567891011121314151617181920212223242526272829303132333435363738394041424344** 本地用户配置**基本配置不在赘述,只讲VPN相关配置,(本地用户密码认证)sslvpn用户DHCP ip local pool SslVpnUser 192.168.1.1-192.168.1.100 mask 255.255.255.0nat免除 nat (inside,outside) source static obj_network obj_network destination static sslsub sslsubacl配置 access-list sslacl extended permit tcp object sslsub object obj_30.2.2.0 \\源为vpn用户,目的为内网网段 access-list sslacl2 standard permit host 172.17.1.254 \\标准acl,只写目的 注意: 此处的两种类型ACL在下方根据场景选择性调用,可以调 ...
asa ipsec配置
ISP配置12345inter g0/0 ip add 1.1.1.1 255.255.255.248inter g0/1 ip add 2.1.1.1 255.255.255.248
AF1配置12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455公网接口配置inter g0/0 nameif outside ip add 1.1.1.1 255.255.255.248内网接口配置inter g0/1 nameif inside ip add 10.1.1.1 255.255.255.248内网网络对象配置 object network user_network subnet 10.2.1.0 255.255.255.0 nat (inside,outside) dynamic interface //对此网段地址做源地址转换,转换地址为出接口地址策略配置(ACL) access-list InToOut extended pe ...
ASA上网配置
实验拓扑
ISP配置12345inter g0/0 ip add 1.1.1.1 255.255.255.248inter g0/1 ip add 2.1.1.1 255.255.255.248
AF1配置1234567891011121314151617181920公网接口配置inter g0/0 nameif outside ip add 1.1.1.1 255.255.255.248内网接口配置inter g0/1 nameif inside ip add 10.1.1.1 255.255.255.248内网网络对象配置 object network user_network subnet 10.2.1.0 255.255.255.0 nat (inside,outside) dynamic interface //对此网段地址做源地址转换,转换地址为出接口地址策略配置(ACL) access-list InToOut extended permit ip object user_network any access-list InToOut extended p ...
cisco route多出口冗余
1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071#其实这个实验根本不需要用到track和IP SLA,只需2条metric不同的静态路由即可。这里我写出来只是想了解下track的用法。track 2 interface FastEthernet0/0 line-protocol #这是一种track的写法,能直接检测接口的链路通断状态,我觉得要比结合IP SLA的更简单,但是不如IP SLA控制的精细。 delay down 5 up 5!track 3 rtr 3 reachability #结合下方的IP SLA 3实现检测下一跳是否可达。 delay down 5 up 5!!!!!!interface FastEthernet0/0 ip address 23.0.0.2 255.255.255.0 ip nat outside ip virtual-reas ...
Cisco catalyst 9500堆叠配置
开启stackwise virtual 功能,并配置机框编号123456789> enable \\进入全局模式# switch 1 renumber 2 \\配置机框编号为2# switch 1 priority 5 \\配置优先级,可选值为1-15# configure terminal \\进入全局配置模式(config)# stackwise-virtual (config-stackwise-virtual)# domain 2# write memory # reload \\保存配置并重启
配置stackwise virtual 链路123456配置模式下进入端口视图#(config) int ten1/0/2#(config-if) stackwise-virtual link 1# write memory # reload \\保存配置并重启
配置双活DAD(Dual-Actice-Detection)检测1234567使用一个业务口,光口或者电口均可配置模式下进入端口视图,#(config) int g1/0/48#(config-if) stackwise ...
Cisco ASA SSLVPN 可信证书配置
创建trustpoint1234567891011fqdn = 证书绑定的域名subject-name = 证书绑定的域名enrollment terminal无需配置keypair示例命令: crypto ca trustpoint vpn_point enrollment terminal fqdn vpn.xx.com subject-name vpn.xx.com no ca-check
证书导入12345678910111213141516示例命令:crypto ca import vpn_point pkcs12 ebe111Enter the base 64 encoded pkcs12. //此处提示需要导入由base64编码的证书文件-----BEGIN PKCS12----- #证书内容-----END PKCS12-----quitWARNING: CA certificates can be used to validate VPN connections,by default. Please adjust the validation ...
ocserv vpn服务器搭建
更新数据源12apt-get update
安装ocserv服务端1apt-get install ocserv
开启数据转发123456789101112编辑sysctl.conf,取消 net.ipv4.ip_forward=1的注释,并重新加载sysctl.conf文件vim /etc/sysctl.confnet.ipv4.ip_forward=1# 保存文件并退出sysctl -p配置iptable natiptables -t nat -A POSTROUTING -j MASQUERADE# 如果报错请先安装iptable,安装命令如下apt-get install iptable
配置本地用户认证1234567891011# 新建用户名存储文件,本地用户认证会读取此文件中的内容cd /etc/ocservtouch ocpasswd# 修改ocserv配置文件,认证方式为本地认证,读取文件为ocpasswdvim /etc/ocserv/ocserv.confauth = "plain[passwd=/etc/ocserv/ocpasswd]"# 重 ...
debian11设置时间
系统版本: Debian 11
修改时区12dpkg-reconfigure tzdata使用键盘方向键依次选择 Asia/Shanghai
修改为24小时制12localectl set-locale LC_TIME=en_GB.UTF-8# 然后重启系统
查看系统时间12root@system:~# dateFri 27 May 12:12:12 CST 2022
FortiGate用Sniffer命令抓包
基本命令123命令: diagnose sniffer packet.# diag sniffer packet <interface> <'filter'> <verbose> <count>
抓包参数示例interface123456789<interface> 指定实际的接口名称,可以是真实的物理接口名称,也可以是VLAN 的逻辑接口名称,当使用“any”关键字时,表示抓全部接口的数据包。例:#diag sniffer packet port1 //表示抓物理接口为port1 的所有数据包#diag sniffer packet any //表示抓所有接口的所有数据包#diag sniffer packet port1-v10 //当在物理接口建立一个VLAN 子接口,其逻辑接口名为port1-v10,此时表示抓port1-v10 接口的所有数据包,此处一定注意一个问题,由于抓包命令中的空格使用来区分参数字段的,但是在逻辑接口创建时,接口名称支持空格,考虑到今后抓包分析的方便,建议在创建逻辑接口时不要 ...
iperf3使用教程
iperf下载iperf官网点击 Download iPerf binaries ,根据自己的电脑系统安装相应的版本
iperf3 仅支持命令行模式,无gui界面
常用参数
windows: cmd切换到iperf安装目录, ./iperf3.exe [option]
mac os : 直接运行命令 iperf [option]
1234567891011iperf -s //以服务器模式运行iperf -c //以客户端模式运行iperf -c dst-ip //dst-ip 是指服务器地址-i : 指定回显间隔,单位是s; 默认为1s-d : 指定传输带宽,单位支持m g(M G)-n : 指定传输文件大小,单位支持 m g(M G)-u : 测试udp传输带宽-R : 反向传输,可以理解为服务器和客户端互换角色
测试示例123456服务端ip : 192.168.1.100客户端ip : 192.168.1.99服务端: iperf3 -s客户端: iperf3 -c 192.168.1.100 -b 100m -n 1G -i 3