剪刀石头布Cheers

2019年1月3日

IEEE 802.11r-2008

摘要： IEEE 802.11r-2008 or fast BSS transition (FT), also called fast roaming, is an amendment to the IEEE 802.11 standard to permit continuous connectivity 阅读全文

posted @ 2019-01-03 15:32 剪刀石头布Cheers 阅读(1079) 评论(0) 推荐(0) 编辑

iOS 上通过 802.11k、802.11r 和 802.11v 实现 Wi-Fi 网络漫游

摘要：在 iOS 上通过 802.11k、802.11r 和 802.11v 实现 Wi-Fi 网络漫游了解 iOS 如何使用 Wi-Fi 网络标准提升客户端漫游性能。了解 iOS 如何使用 Wi-Fi 网络标准提升客户端漫游性能。 iOS 支持在企业级 Wi-Fi 网络上对客户端漫游进行优化。802 阅读全文

posted @ 2019-01-03 15:10 剪刀石头布Cheers 阅读(2442) 评论(0) 推荐(0) 编辑

2018年12月30日

Flexconnect部署

摘要：该记录主要用于针对于无线网络中Flexconnect的部署，可能涉及到的有Flexconnect中的组件，如何部署。（注意：在7.2版本以前，Flexconnect叫做HREAP），目前都称作为Flexconnect。 1、Flexconnect的架构如下 FlexConnect是分支机构和远程办公阅读全文

posted @ 2018-12-30 15:30 剪刀石头布Cheers 阅读(9105) 评论(2) 推荐(1) 编辑

2018年12月28日

配置和验证AP功率

摘要： 1、针对自主AP（Autonomous AP）使用'power local'配置命令配置AP或Bridge Radio功率级别。在2.4 GHz，802.11g Radio上，您可以设置正交频分复用（Orthogonal Frequency Division Multiplexing，OFDM）功阅读全文

posted @ 2018-12-28 15:40 剪刀石头布Cheers 阅读(2384) 评论(0) 推荐(0) 编辑

2018年12月25日

mDNS故障排查（译）

摘要： WLC上mDNS网关的理解及排查第一部分：介绍这篇文档描述了Bonjour协议在WLC上的操作，该文档旨在协助工程师理解该工作流量的原理以及提供故障排查的指导。第二部分：需求和前提知识需求： Cisco建议你对Bonjour协议、在WLC配置mDNS、以及多播路由有一定的基础知识，以便你能更阅读全文

posted @ 2018-12-25 23:58 剪刀石头布Cheers 阅读(4779) 评论(0) 推荐(0) 编辑

2018年12月23日

关于永久POE

摘要： 1、传统POE 在我们的企业网络中，经常会使用交换机给IP电话或者无线AP供电，以使得其正常的工作。正常情况下，我们都知道，普通的POE是在PSE交换机启动完成后，然后再给PD（Power Device）供电，PD设备通过CDP或LLDP等协议去和PSE交换机协商自己需要的供电Level。当我们交阅读全文

posted @ 2018-12-23 16:03 剪刀石头布Cheers 阅读(1033) 评论(0) 推荐(0) 编辑

2018年12月22日

关于archive（feature）

摘要：配置如下archive命令，可以记录登录到设备，具体配置了哪些命令：R3(config)#archiveR3(config-archive)#log configR3(config-archive-log-cfg)#R3(config-archive-log-cfg)#logging enableR 阅读全文

posted @ 2018-12-22 23:16 剪刀石头布Cheers 阅读(457) 评论(0) 推荐(0) 编辑

UDLD（Unidirectional Link Detection）

摘要： 1、UDLD（单向链路检测协议）工作原理为了在生成转发环路之前检测到单向链路，Cisco 设计并实施了 UDLD 协议。UDLD 是与第 1 层 (L1) 机制一起工作以确定链路物理状态的第 2 层 (L2) 协议。在第 1 层中，自动协商负责物理信令和故障检测。UDLD 执行自动协商不能执行的阅读全文

posted @ 2018-12-22 23:11 剪刀石头布Cheers 阅读(2235) 评论(0) 推荐(0) 编辑

控制面保护（CPPr）

摘要：除了CoPP外，管理员还可以通过使用控制面保护（Control Plane Protection，CPPr）机制抵御针对控制面的攻击，从本质上讲，CPPr属于CoPP的扩展，在CPPr中控制面接口被划分为一个聚合接口与3个子接口，流量从聚合接口进入路由器，再从其中一个子接口出去，这种方式有助于实现更阅读全文

posted @ 2018-12-22 22:54 剪刀石头布Cheers 阅读(525) 评论(0) 推荐(0) 编辑

控制层面的攻击

摘要：下列列举了控制层面主要存在的攻击： 1. 慢路径拒绝服务攻击（slow-path denial of service attack）攻击方式：瘫痪正常的服务。（如果持续以进程交换的方式处理大量的数据包，那么设备将不堪重负）设备CPU的3中功能： • 处理控制层面的流量 • 处理管理层面流量 • 阅读全文

posted @ 2018-12-22 22:53 剪刀石头布Cheers 阅读(397) 评论(0) 推荐(0) 编辑

单播反向路径转发uRPF

摘要： uRPF将数据包的源地址和存储在转发信息库（FIB）中的信息进行对照，以判定数据包的合法性。FIB是Cisco CEF技术中的一张表，包含从路由表中复制过来的转发信息，可以将其视为路由表的镜像，FIB包含所有已知的路由信息，设备采用FIB就能提高数据包转发的速度，由于uRPF以FIB中的信息为过依据阅读全文

posted @ 2018-12-22 22:48 剪刀石头布Cheers 阅读(696) 评论(0) 推荐(0) 编辑

802.1X高级配置

摘要：部署VLAN和ACLCisco Catalyst交换机（认证方）和Cisco ACS（认证服务器）具备动态分配VLAN或者ACL的能力。Cisco ACS可以将某个用户分配给指定的VLAN，或应用ACL过滤该用户的流量。用户成功通过802.1X认证后，Cisco ACS向交换机发送Radius属性信阅读全文

posted @ 2018-12-22 22:42 剪刀石头布Cheers 阅读(2115) 评论(0) 推荐(0) 编辑

802.1X基本配置

摘要：基本的802.1X部署工作包括以下4步： 1. 为Cisco Catalyst交换机配置802.1X认证方 2. 为交换机配置访客VLAN或者受限VLAN，并调整802.1X定时器（可选） 3. 为Cisco ACS配置EAP-FAST，并在本地数据库创建用户账户 4. 为客户主机配置并部署802. 阅读全文

posted @ 2018-12-22 22:37 剪刀石头布Cheers 阅读(4942) 评论(10) 推荐(0) 编辑

EAP认证

摘要： EAP信息交换：上图中展示的是OTP（一次性密码）实现EAP交换过程，具体的EAP交换过程如下：步骤1：请求方向认证方发送EAPOL-Start消息，通知对方已经做到了认证准备（注意：若会话由认证方发起，不需要该报文）步骤2：在检测到链路活动后（比如客户连接到SW端口），认证方向请求当发送EAP- 阅读全文

posted @ 2018-12-22 22:32 剪刀石头布Cheers 阅读(4322) 评论(0) 推荐(0) 编辑

802.1X与Cisco基于身份的网络服务（IBNS）

摘要： Cisco基于身份的网络服务（Identity-Based Networking Services，IBNS）是一种以IEEE802.1X标准为基础的安全架构，具有认证、用户策略、访问控制等多种功能，能提供一套完善的安全解决方案。它对设备的MAC地址、IP地址和身份凭证进行验证，确保只有合法用户才能阅读全文

posted @ 2018-12-22 22:26 剪刀石头布Cheers 阅读(1005) 评论(0) 推荐(1) 编辑

路由器安全-NetFlow

摘要： 1、NetFlow介绍提供高层次的诊断，分类和识别网络异常。使用NetFlow来检查哪些行为改变明显的攻击是非常有效的。就像Wiretap一样捕获数据包。 NetFlow像电话账单。（谁和谁在通话，通过什么协议和端口，多长时间，速度如何，持续多久等）路由器和交换机作为一个流量遥感器，推送流量阅读全文

posted @ 2018-12-22 20:48 剪刀石头布Cheers 阅读(1109) 评论(0) 推荐(0) 编辑

2018年12月21日

如何判断WLC的FUS版本

摘要：有些时候，我们在升级WLC的时候，被告知需要升级WLC的FUS，以防止某些漏洞和不必要的情况发生。 1、什么是FUS？ Field Upgrade Software (FUS)，翻译过来，叫“现场升级软件”，这叫起来太别扭了，也不和中文语境，还是不翻译的得好。简单的说，FUS就是FUS是一种特殊的阅读全文

posted @ 2018-12-21 21:40 剪刀石头布Cheers 阅读(1489) 评论(0) 推荐(0) 编辑

2018年12月19日

路由器安全-FPM

摘要： 1、FPM（也叫NGACL） FPM是Cisco IOS新一代的ACL，叫做Flexible Packet Matching，灵活的包匹配。根据任意条件，无状态的匹配数据包的头部，负载，或者全部。分析协议，更易于规则的创建。用于替代传统的ACL，对特定的恶意流量的基础架构过滤。如下是一个示例阅读全文

posted @ 2018-12-19 13:36 剪刀石头布Cheers 阅读(530) 评论(0) 推荐(0) 编辑

2018年12月16日

网络基础设施保护和局域网安全

摘要： 1、网络基础设置保护（NFP） 1.1 设备处理的三个层面数据层面：提供流量转发，实际就是穿越设备的流量，这种流量一般不会经CPU处理（有例外），有硬件ASIC实现转发。一个包含了通过主机、客户端、服务器等应用流量的逻辑归类，这种流量只是穿越设备，数据流量的目的地址不属于网络设备（路由器、交换机阅读全文

posted @ 2018-12-16 21:24 剪刀石头布Cheers 阅读(912) 评论(0) 推荐(0) 编辑

2018年12月14日

Easy VPN基础

摘要： EzVPN是Cisco为远程用户和分支办公室提供的一种远程访问的VPN；easy VPN的部署分为客户端和服务器端。 1、EzVPN：提供了中心VPN管理动态的策略分发降低了远程访问VPN部署复杂程度增加了扩展和灵活性 2、特征：只用在Cisco的设备之间适用于Center站点固定IP，Br 阅读全文

posted @ 2018-12-14 17:06 剪刀石头布Cheers 阅读(15) 评论(0) 推荐(0) 编辑

DMVPN基础配置

摘要： DMVPN基础拓扑：配置步骤： 1. 基本IP地址配置实现网络可达 2. 配置GRE多点隧道（mGRE)和NHRP（下一跳解析协议） 3. 配置EIGRP路由协议 4. 配置IPSec 备注：由于这里的IOS（IOU或EVE可以）不能在Hub配置ip nhrp redirect；也不能在Spoke 阅读全文

posted @ 2018-12-14 17:01 剪刀石头布Cheers 阅读(5738) 评论(0) 推荐(0) 编辑

IPSec的链路和设备备份

摘要：链路备份的IPSec VPN和设备备份的IPSec VPN：首先实验的是链路备份的 IPSec VPN，下面是实验拓扑：IP地址配置：R1（Branch）：Branch(config-if)#ip add 12.1.1.1 255.255.255.0Branch(config-if)#no shuB 阅读全文

posted @ 2018-12-14 16:58 剪刀石头布Cheers 阅读(752) 评论(2) 推荐(0) 编辑

IPSec的高可用性技术

摘要： IPSec VPN的高可用性技术：①、DPD（Dead Peer Detection）对等体检测 ——旨在检查有问题的IPSec VPN网络，并快速的切换到备用网关②、RRI（Reverse Route Injection）反向路由注入 ——解决高可用性的路由问题 ****************D 阅读全文

posted @ 2018-12-14 16:54 剪刀石头布Cheers 阅读(1250) 评论(0) 推荐(0) 编辑

2018年12月13日

关于Mobility Express转LAP注意事项

摘要：在实际的网络环境中，有些时候我们需要将ME模式的AP转换为LAP工作。 PS：ME模式是思科8系列的AP可以支持，例如AP1852、AP2802、AP3802等型号。它可以作为控制器使用，同时也可以工作在LAP模式。我们可以不通过转换AP的镜像来使得AP工作在CAPWAP，需要输入LAP模式下输入阅读全文

posted @ 2018-12-13 15:55 剪刀石头布Cheers 阅读(1451) 评论(0) 推荐(0) 编辑

实际中可能遇到的NAT问题（IPsec）

摘要：一、背景介绍：一般我们在实际网络中不是IPSec VPN的时候，都是边界设备连接Internet，然后两个边界设备通过Internet去实现互通，建立VPN，但是，有的运营商在分配IP地址的时候，给我们使用的地址可能会在运营商的设备上再完成一次NAT，这样将会导致我们的IPSec VPN无法建立，我阅读全文

posted @ 2018-12-13 15:11 剪刀石头布Cheers 阅读(2824) 评论(0) 推荐(0) 编辑

NAT-T和PAT（IPSec）

摘要：￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥NAT-T技术介绍￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥为什么TCP和UDP不能穿越：TCP和UDP有一个IP头的尾部校验（校验头部和负载，IP尾部（SIP，DIP，协议号））；而IP只是校验IP头部。穿过NAT的时候，IP头部的地址变了阅读全文

posted @ 2018-12-13 10:50 剪刀石头布Cheers 阅读(2639) 评论(0) 推荐(0) 编辑

加密设备NAT对IPSec的影响

摘要：加密设备NAT对IPSec VPN的影响：我们先配置好经典的IPSec VPN，然后在R3上做PAT看会对IPSec VPN产生什么影响（不会对有隧道的IPSec VPN技术产生影响）。现在默认配置经典IPSec VPN成功：R3#sho crypto en connections active 阅读全文

posted @ 2018-12-13 10:46 剪刀石头布Cheers 阅读(420) 评论(0) 推荐(0) 编辑

影响IPSec的网络问题

摘要：影响IPSec VPN的网络问题：①、动态地址问题：两个站点之间IPSec VPN的条件是站点之间有固定的IP地址，假如说分支站点采用ADSL上网链路，那么其IP地址是动态的，那么就在VPN时出现问题了。解决这一问题的方法有4种： *动态crypto map *DDNS *EzVPN *GRE o 阅读全文

posted @ 2018-12-13 10:44 剪刀石头布Cheers 阅读(1134) 评论(0) 推荐(0) 编辑

配置SVTI

摘要：路由器SVTI站点到站点VPN 在IOS 12.4之前建立安全的站点间隧道只能采用GRE over IPSec，从IOS 12.4之后设计了一种全新的隧道技术，即VIT（Virtual Tunnel Interface），这种技术是直接采用IPSec来创建的一个VTI隧道接口。相比GRE over 阅读全文

posted @ 2018-12-13 10:41 剪刀石头布Cheers 阅读(994) 评论(0) 推荐(0) 编辑

GRE Over IPSec配置

摘要：路由器GRE over IPSec站点到站点VPN 问题分析：对于前面的经典的IPSec VPN的配置来说，兼容性较好，适合于多厂商操作的时候，但是这种经典的配置方式不适合在复杂的网路中配置，如下：这样在site 1和site 2后面有很多的网络，这样出现的难题是： *没有虚拟隧道接口，不能让两个阅读全文

posted @ 2018-12-13 10:38 剪刀石头布Cheers 阅读(1488) 评论(0) 推荐(0) 编辑

剪刀石头布Cheers

Absence makes the heart grow fonder!

公告