f5 主备模式切换
摘要:f5 主备模式 主机down自动切换到备 原主机重新启动,自动切换到原主机
阅读全文
posted @
2018-12-27 09:59
星痕1216
阅读(1939)
推荐(0) 编辑
Cisco PBR
摘要:access-list 2000 permit ip 10.11.50.0 0.0.0.255 anyaccess-list 2001 permit ip 10.11.50.0 0.0.0.255 10.11.0.0 0.0.255.255 route-map 50duan permit 10 ma
阅读全文
posted @
2018-12-21 16:54
星痕1216
阅读(186)
推荐(0) 编辑
常用网络设备功耗
摘要:单位:W 1.Cisco WS-C2960S-24TS-S 36 WS-C3750X-24T-S 350 WS-C3560X-48T-L 350 WS-C2960S-48TS-S 53 2.FortiGate FortiGate500D 200 FortiGate300C 200 3.深信服 AC-
阅读全文
posted @
2018-12-20 10:41
星痕1216
阅读(454)
推荐(0) 编辑
fortitoken
摘要:1.token状态为error或locked,且不能分配给用户使用 解决: 关联有User的token状态是error的原因是:用户一直并未使用。
阅读全文
posted @
2018-12-09 15:38
星痕1216
阅读(745)
推荐(0) 编辑
FortiGate日志设置
摘要:1.默认 FGT5HD3916802737 # config log syslogd setting FGT5HD3916802737 (setting) # show config log syslogd setting end FGT5HD3916802737 (setting) # show
阅读全文
posted @
2018-12-09 15:36
星痕1216
阅读(733)
推荐(0) 编辑
FortiGate日志中session clash
摘要:1.出现于:FortiGate v5.0和v5.2 2.出现原因 Session clash messages appear in the logs when a new session is created but a conflicting similar session already exi
阅读全文
posted @
2018-12-09 15:28
星痕1216
阅读(657)
推荐(0) 编辑
FortiGate下视频会议等语音相关配置
摘要:关闭老的基于会话的alg机制(即删除session-helper中的SIP条目) config system session-helper delete 13 #删除sip end
阅读全文
posted @
2018-12-09 15:26
星痕1216
阅读(477)
推荐(0) 编辑
FortiGate部分用户上网慢,丢包严重
摘要:1.现状: 如图,出口internet有2条联通线路分别为liant_218和liant_61,在防火墙上使用WAN LLB,基于源IP; 2.现象: 使用liant_218的用户上网正常,使用liant_61用户反映上网特别慢,经常还打不开网页。 3.紧急处理:将LLB改为基于权重,将liant_
阅读全文
posted @
2018-12-09 15:25
星痕1216
阅读(868)
推荐(0) 编辑
FortiGate下用户访问特定网址不通
摘要:1.现状: 如图,上网行为管理和防火墙控制用户的数据访问,到外网的出口链路有2条:联通的和电信的,其中联通的优先级较高。 2.现象: 用户访问www.xxxxbbs.com不通 3.分析 在上网行为管理上做源和目前地址排除,发现仍不能访问排除了上网行为管理的影响;防火墙上抓包发现能正常。但仍找不到原
阅读全文
posted @
2018-12-09 15:23
星痕1216
阅读(319)
推荐(0) 编辑
FortiGate外网IPSec链路及运维专线链路到个别网段不通
摘要:1.现状: 如图,用户网段有192.168.50.0/24、192.168.51.0/24和192.168.52.0/24、192.168.53.0/24。在防火墙上有静态路由到运维专线的10.160.25.0/24网段,且有到10.70.31.0/24的IPSec VPN。 2.现象: 192.1
阅读全文
posted @
2018-12-09 15:21
星痕1216
阅读(619)
推荐(0) 编辑
FortiGate防火墙500D下PC至外网丢包
摘要:1.现状: 如图,防火墙堆叠,500D共4个出口方向,联通、电信、FQ、运维专线 2.现象: 到网关和防火墙上、下联口不丢包,到网联通和运维专线方向丢包4%左右,电信和FQ方向不丢包 3.分析 采用从上向下的方式,一点点加网络设备。如先测试运营商,若没问题加防火墙,若没问题加上网行为管理,以此类推。
阅读全文
posted @
2018-12-09 15:06
星痕1216
阅读(639)
推荐(0) 编辑
FortiGate防火墙HA下联堆叠交换机
摘要:1.拓扑图 2.防火墙配置 3.交换机配置 interface GigabitEthernet1/0/47 switchport access vlan 30 switchport mode access channel-protocol lacp channel-group 31 mode act
阅读全文
posted @
2018-12-09 15:00
星痕1216
阅读(1116)
推荐(0) 编辑
FortiGate上架前准备
摘要:1.收集信息 1、网络拓扑信息(了解网络拓扑信息有助于网络方案的规划) 2、环境信息(了解部署位置、部署模式、最大吞吐、最大用户数有助于对设备性能的评估) 3、客户需求,对FortiGate部署的功能要求(了解客户要求部署上FortiGate后需要开启哪些功能和访问控制策略以明确配置思路) 4、Fo
阅读全文
posted @
2018-12-09 14:54
星痕1216
阅读(198)
推荐(0) 编辑
FortiGate抓包 Sniffer
摘要:1.图形界面抓包 系统管理--网络--数据包捕获 选择添加好的数据捕获,点击"运行"开关抓包;抓取包后,可以点击"下载"将抓取的数据包保存的本地磁盘,可以用wireshark直接查看。 2.命令格式:diagnose sniffer packet <interface> <'filter'> <ve
阅读全文
posted @
2018-12-09 14:52
星痕1216
阅读(1589)
推荐(0) 编辑
FortiGate数据流分析 debug flow
摘要:1.工具说明 在防火墙部署中,经常会遇到防火墙接收到了数据包,但并未进行转发。可以通过diagnose debug flow 命令来对数据包的处理过程进行跟踪,可以清晰查看数据包再各个功能模块内的处理过程,判断出数据包如何被转发或者丢弃。 2.命令介绍 diagnose debug enable 开
阅读全文
posted @
2018-12-09 14:46
星痕1216
阅读(1239)
推荐(0) 编辑
FortiGate防火墙对数据包处理流程
摘要:1.流程图 2.防火墙对数据包处理过程的各步骤如下: 1)Interface(网卡接口) 网卡接口驱动负责接数收据包,并转交给下一过程。 2)DoS Sensor(DoS防御,默认关闭) 负责过滤SYN flood、UDP flood、ICMP flood等DoS攻击,并可针对源、目的IP的并发连接
阅读全文
posted @
2018-12-09 14:42
星痕1216
阅读(2925)
推荐(0) 编辑
FortiGate安全策略说明
摘要:1.安全策略原理 1)为了对数据流进行统一控制,方便用户配置和管理,FGT设备引入了安全策略的概念。通过配置安全策略,防火墙能够对经过设备的数据流进行有效的控制和管理。 2)当防火墙收到数据报文时,把该报文的方向、源地址、目的地址、协议、端口等信息和用户配置的策略匹配,决定是否建立这条数据流,并且把
阅读全文
posted @
2018-12-09 14:38
星痕1216
阅读(694)
推荐(0) 编辑
FortiGate高校图书馆SSLvpn配置案例
摘要:1.组网及需求 某高校有一台FGT系列防火墙放置于互联网出口,拓扑如下图: 现需求通过组建sslvpn web代理模式和隧道模式以实现: 1.web代理模式:能访问 http://lib.xxxx.edu.cn(位于校园网内)该网址,并通过该网址跳转到校外的中国知网等互联网及校园网地址(目的地址不固
阅读全文
posted @
2018-12-09 14:35
星痕1216
阅读(1158)
推荐(0) 编辑
FortiGate SSL VPN配置
摘要:1.配置步骤总结 1)首先配置"ssl 设置":a.定义sslvpn服务器端口;b.定义sslvpn客户端的地址池; 2)接着配置"ssl 界面":定义sslvpn用户访问方式,隧道模式或web代理模式(可同时启用);隧道模式下选择"启动隧道分割"时,客户端将获取明细路由,否则将获取默认路由; 3)
阅读全文
posted @
2018-12-09 14:26
星痕1216
阅读(12)
推荐(0) 编辑
FortiGate IPSec VPN配置-拨号
摘要:Hub-spoke模式(星型) 1.某公司总部内部有一台OA服务器,其余分3个支机构都需要通过vpn拨入总部内网对OA服务器进行访问,为了方便配置,总部不想有太多的配置,总部只建立一条vpn隧道,实现所有分支机构和总部的通讯。 2.总部配置要点 配置IKE阶段1→配置IKE阶段2→配置IPSec安全
阅读全文
posted @
2018-12-09 13:03
星痕1216
阅读(11)
推荐(0) 编辑
FortiGate IPSec VPN配置-点对点
摘要:接口模式 1.配置要点 IKE阶段1→IKE阶段2→路由→策略 删除:删除相关策略→删除相关路由→删除阶段2→删除阶段1 删除命令行: FGT5HD3915800383 # config vpn IPSec phase1-interface FGT5HD3915800383 (phase1-inte
阅读全文
posted @
2018-12-09 12:33
星痕1216
阅读(11)
推荐(0) 编辑
部分用户访问Polycom视频会议时故障
摘要:1.现象 Polycom视频会议服务器部署在防火墙下,通过Paloalto防火墙的一对一映射到公网。 部分同事使用职场网络或者4G通过公网访问时,出现超时问题。 2.分析: Polycom设备并没有做过调整,而故障出现的时间跟Paloalto防火墙上线的时间基本吻合,故基本确定问题就出在Paloal
阅读全文
posted @
2018-12-09 12:16
星痕1216
阅读(943)
推荐(0) 编辑
FortiGate日常检查
摘要:1.1)CPU利用率:由于防火墙有芯片,正常的流量都走芯片转发,不走cpu,只有开了utm相关的应用层防护功能和DDOS之类的,才会走cpu,所以一般cpu都不会占用太多,甚至很多时间都是0%, 如果cpu过高,肯定是开了应用防护功能或者DDOS功能、还有一种可能就是新建连接太多,大多是攻击引起。正
阅读全文
posted @
2018-12-06 11:51
星痕1216
阅读(439)
推荐(0) 编辑
FortiGate 路由
摘要:1.静态路由 防火墙外网口wan1 ip地址为202.1.1.2,对端ISP路由器G1/0口地址为202.1.1.1. 菜单: 路由--静态--静态路由,点击 "创建新的",按如下方式创建路由表: 目的的IP/子网掩码:由于是默认网关,使用默认的0.0.0.0/0.0.0.0即可。 设备:该路由所关
阅读全文
posted @
2018-12-06 11:48
星痕1216
阅读(860)
推荐(0) 编辑
C/S和B/S架构
摘要:1.C/S架构(Client/Server结构,熟知的客户机和服务器结构),它是软件系统体系结构,通过它可以充分利用两端硬件环境的优势,将任务合理分配到Client端和Server端来实现,降低了系统的通讯开销。 目前大多数应用软件系统都是Client/Server形式的两层结构,由于现在的软件应用
阅读全文
posted @
2018-12-04 18:06
星痕1216
阅读(466)
推荐(0) 编辑
Python学习笔记-常用内置函数
摘要:输出:print() 功能:输出打印 语法:print(*objects, sep=' ', end='\n', file=sys.stdout) 参数:objects 复数,表示可以一次输出多个对象。输出多个对象时,需要用,分隔。sep 用来间隔多个对象,默认是一个空格 end 用来设定以什么结尾
阅读全文
posted @
2018-12-03 17:32
星痕1216
阅读(201)
推荐(0) 编辑
Python练习-高阶函数-2018.12.03
摘要:1.函数式编程的概念 在计算机的层次上,CPU执行的是加减乘除的指令代码,以及各种条件判断和跳转指令,所以,汇编语言是最贴近计算机的语言。 而计算则指数学意义上的计算,越是抽象的计算,离计算机硬件越远。 对应到编程语言,就是越低级的语言,越贴近计算机,抽象程度低,执行效率高,比如C语言;越高级的语言
阅读全文
posted @
2018-12-03 14:49
星痕1216
阅读(173)
推荐(0) 编辑
Python练习-生成器、迭代器-2018.12.01
摘要:如果列表元素可以按照某种算法推算出来,可以在循环的过程中不断推算出后续的元素。这样就不必创建完整的list,从而节省大量的空间。在Python中,这种一边循环一边计算的机制,称为生成器:generator。 可以直接作用于for循环的对象统称为可迭代对象:Iterable。 可以被next()函数调
阅读全文
posted @
2018-12-01 20:43
星痕1216
阅读(170)
推荐(0) 编辑
