Cisco併購一家忘了叫啥名公司後所推出的產品...
Cisco Building Broadband Service Manager
其實就是一個管理公共網路上Internet的Gateway,一般像在飯店、機場、餐廳或在企業裡有提供訪客上網服務的,大概都用得到。 裡面是Windows 2000 Server + SQL Server 2000 + ISA2000 可提供線上刷卡預付,或是用完再依鐘點計費;另外還提供頻寬保留或限定的功能。 在我的case裡是訪客在大廳登記時,如需存取Internet,則由櫃台小姐發給一組Access Code,有效時間就看業主要定多久,一般設個2至4小時也都夠了,然後訪客不管用無線網路或有線網路連上業主公司內部網路,在802.1x user authentication failed之後,會將其導至Guest VLAN,而Guest VLAN網段的Default Gateway就是BBSM。訪客只要打開Browser隨意鍵入任一網站,就會帶出一個驗証畫面要求輸入Access Code,鍵入櫃台小姐所發給的Access Code之後即可如常連上Internet。
講的相當簡單,事實上也不太難,但佈建在客戶端時,最好能了解客戶整個的網路環境,一般比較常遇到的問題就是Guest VLAN的routing和NAT,如果只有一個Guest VLAN的話就相當單純,Default Gateway指向BBSM就對了,但如果有很多Guest VLAN的話,就要確定BBSM與各Guest VLAN之間的Routing是不是OK;還有就是NAT,BBSM本身並不做NAT,所以在BBSM的External就必須要有一台不管是Firewall or WAN Load-balance的設備來處理NAT。
allenhua 發表在 痞客邦 留言(0) 人氣(357)
客戶的內部網路環境有個Proxy Server
所有的Client都要手動在Browser裡設定Proxy Server才能瀏覽網頁.
客戶內部網段為192.168.1.0/24 Proxy Server為192.168.1.1:8080,Fortigate 設定Transparent mode接在某台測試用switch的uplink port,結果WebFilter功能就完全無法發揮功能,設定要擋的網頁,user仍然高高興興地連上去,連一點log都看不到....
原來是由於Proxy Server的關係,Fortigate並不看走non-standard port的HTTP traffics. 所以必須手動下command要求Fortigate對TCP/8080看HTTP的東西
allenhua 發表在 痞客邦 留言(0) 人氣(2,395)
Juniper/Netscreen Firewall 應用於單一 Public IP的環境下
HTTP VIP建不起來?
剛好在vlab看到有人在問類似的問題,順手回了一下
Netscreen本身具有Web Management的功能也佔用HTTP 80
allenhua 發表在 痞客邦 留言(0) 人氣(435)
有些時候我們會需要從外部來管理公司的防火牆
當然,我們不可能允許任何來源都可以進入防火牆的管理介面
至少也要透過VPN來管理防火牆
本篇說明了如何設定Cisco PIX Firewall讓VPN網段可開啟PIX PDM管理頁面
allenhua 發表在 痞客邦 留言(0) 人氣(231)
To enable web access on Foundry switch.
Need to perform following actions.
1. Need to configure SNMP community on it.
2. Login username: get password:snmp-ro community for read-only privilege
Login username: set password:snmp-rw community for read-write full privilege
allenhua 發表在 痞客邦 留言(0) 人氣(257)
在現今的Internet環境下,愈來愈多的remote access vpn需要在NAT下與PIX建立VPN...
這時需要在PIX上設定NAT Traversal功能...
isakmp nat-traversal
Network Address Translation (NAT), include Port Address Translation(PAT), is used in many networks where IPSec is also used, but there are a number of incompatibilities that prevent IPSec packets from successfully traversing NAT devices. NAT traversal enable ESP packets to pass through one or more NAT devices.
allenhua 發表在 痞客邦 留言(0) 人氣(769)
LMI Type
After IOS 11.2, the LMI type is autosensed and no configuration is needed.
Inverse ARP
inverse arp should be disabled in partial meshed frame-relay topology.(Hub & Spoke)
inverse arp should be disabled before bringing up the interface.
allenhua 發表在 痞客邦 留言(0) 人氣(151)
用來避免被DDoS的command....
IOS Router也適用..
The ip verify reverse-path command is a security feature that does a route lookup based on the source address. Usually, the route lookup is based on the destination address. This is why it is called reverse path forwarding. With this command enabled, packets are dropped if there is no route found for the packet or the route found does not match the interface on which the packet arrived.
allenhua 發表在 痞客邦 留言(0) 人氣(580)
最近在安裝Fortinet這家公司的防火牆Fortigate時,遇到一些狀況..
在asymroute enable的情形之下,有些問題產生..
單一Fortigate劃分成兩個Virtual Domain. 各有兩個interface
原先的想法為Fortigate前後各有一個Router,透過RIP/OSPF 用equal cost path達到load-sharing的效果
allenhua 發表在 痞客邦 留言(1) 人氣(870)
IPSec VPN有 split tunnel可以讓remote access vpn user
透過自己的Internet access上網
只有在往企業內部的網段時才會加密送往VPN Gateway....
那PPTP/L2TP呢?
allenhua 發表在 痞客邦 留言(2) 人氣(1,338)
網路技術 (3)