按照F5提供的终端服务配置向导作的。我的结构是F5旁挂在核心交换机上，self ip:192.168.162.254配置一个POOL:172.20.20.100:3389,172.20.20.211:3389，轮询：最小连接数（结点）,TCP健康检查配置一个VS：192.168.162.253:3389，使用标准TCP类型，并且给pool指定ms_ts_profile（这个profile就和向导上一样配置）pool，VS均为绿色。172.20.20.100和172.20.20.211都是TS服务...

LTM 测试用 没有什么特殊设置。该设备是旁挂在交换机上，只通过一个口连接到核心交换机,self IP 192.168.162.254。路由都有。设置一个POOL :202.104.236.144 ：80,TCP检测，检测为绿设置一个VS：192.168.162.253：80，选中地址转换，选中SNATP AUTOMAP。修改客户端机器的HOST文件 使得192.168.162.253 www.mycisco.cn然后浏览器访问www.mycisco.cn  无法打开.b conn 设...

 ...

TCL 的注释   除命令外，t c l 脚本中另一种类型的代码行是注释。如同在UNIX shell 和P e r l 中那样，注释行是以＃号开头的行，例如：#this is a comment但是与s h e l l 中不同的是，下面一行内容并不是注释set foo 0 # initialize foo而且它将会产生一个错误，这是因为t c l 解析器总是认为一条命令应该以换行或分号结束，因此如果想要在命令所在的同一行上包括注释内容，这个命令必须以分号结束，就像下面这样：s...

AD+RSA令牌动态密码+域密码这种模式下，配置后如果要取消域密码验证，不要简单的在用户--全局下 将“单独注册使用额外的网域密码”，而应该先在主组的验证界面将“依靠域验证”先勾去，再勾去全局下的设置。否则，系统还认为设置存在。那样怎么都登陆不了了~，日志会显示domain password错误。我的版本是6.0.1...

之前公司的RSA认证服务器一直是同事给VPN提供的，我也没装过，于是昨天想着让Firepass也用令牌来验证。就装了一套RSA ACE服务器。下面总结几个：1.ACE服务器支持RSA native 和radius两种模式，Firepass上如何设置rsa native有专门的帖子，ACE将FP作为agent host。前提注意将agent host的name提前在host文件中编辑好和IP的对应关系，这很重要。2.当使用rsa的radius时候，fp上配置较简单切换到radius认证 填上简单信...

由于历史原因，我司一个项目组一直以来手工静态设定自己的IP，没能统一到公司的DHCP服务器上。近日决定迁移。在作完配置修改后用户却总是不能获取IP，总是处于获取状态中，检查DHCP却发现这些IP已经正确的分配给了这些用户，这是什么原因？于是进行了抓包： 正常一个DHCP获取过程是广播discover-------->单播offer-------->广播request----------->单播ACK.而图...

DHCP-TCP/IP 网 络 设 置 的 捷 径DHCP-TCP/IP 网 络 设 置 的 捷 径微 软 公 司 北 京 代 表 处-------------------------------------------------------------------------------- 每 天 都 有 新 的 公 司、 大 学 或 其 他 机 构 加 入 In-ternet 去 开 发 其 强 有 力 的 资 源， 这 引 起 了 Internet 的 爆 炸 性 扩 大， 越 来 越 ...

1．   利用接入层交换机端口ACL对一些特殊需求进行限制：可以利用port acl 进行同网段不通机器间通信限制；也可以限制某网段内某些机器不能访问某种资源，而别的机器可以。具体配置同普通ACL，将其应用在接入层交换机某个端口上即可。2．   CISCO的ACL对分片数据的处理行为：对于分片的TCP数据，CISCO按以下方式处理：如果是permit条目，对于分片的数据只检查3层中的内容。如果是deny条目，则永远也不会匹配分片数据。...

juniper考试 一个小插曲。没学到太深的东西。基本对juniper设备有个大概认识了~暂时没有太多这样的学习环境，还是继续原计划吧 吧2卷剩余看完，然后仔细研究我的F5...

学过NP的都知道如果配置缺省AAA服务器的话，CISCO设备默认是施加到所有登录类型的不管是tty 还是vty。这个本没错，可我们如果真的这么做了，会出现一些意外情况。最近我就遇到了这样一个意外。结构：网络设备-------------------基于域的IAS服务器网络设备设置default的AAA，并在radius服务器IP后明确指定local。在IAS上设置策略，指明NAS-Port-Type 这个属性要等于virtual(vpn)，设置完毕后，telnet设备可以正常通过服务器...

term 是策略中的最基础，一个term中包含多个匹配条件或多个动作，当所有匹配条件都被匹配时，执行指定的所有动作。一个term可以认为是CISCO的一行。一个策略中可以包含多个term，路由器按顺序执行这些term。可以在策略配置层次下使用insert命令调整各个term的顺序。一个term被被匹配并执行后，如果执行动作不是next term，则路由器停止策略评估，不再继续。多个策略可以组成策略链。在from中，一个匹配条件里的多个参数间是逻辑或（因此同一匹配条件里的各种参数至少要有一个被匹配...

先说2个概念：1.什么是IBGP？ IBGP的本质是BGP，所以它牵涉的路由表必然是BGP的路由表，一个AS中哪些路由器可以看作是IBGP路由器，取决于你定义了哪些路由器之间的BGP对等体关系，如果你没定义，那么即使是在一个BGP的AS中，那它也不过是一个普通的IGP路由器。2.什么是全网状互联？这是一个IBGP的概念，即你把一个AS里的所有路由器都定义了彼此的对等关系，即它们是平等的，它们都运行了BGP协议。全网状未必是真的物理上的全互联，只要通过TCP可以到达对等体则可 ，所以是一个逻辑概念...

2006年11月11日，我以四门全满分的成绩通过了CCNP考试。转眼一年过去，今天我在为juniper努力着。12月11日？通过JNCIS-ER?...

[edit firewall family inet]user@Shiraz# showfilter limit-ftp {policer policer-1 {if-exceeding {bandwidth-limit 400k; /**正常使用带宽 **/burst-size-limit 100k; /**超出正常带宽后带宽 **/}then discard; /*** 如果应用超过500k 后丢弃 ***/}term ftp {from {source-address {10.2.3/24...

TCP在关闭过程中会进入TIME_WAIT状态，这是正常主动关闭的一个结果，为什么要设置这样一个状态，而且这个状态存续时间很长，有什么意义呢。这个状态时占用的端口能被协议快速回收么，是协议自己就能快速回收，还是必须认为干预呢以前就对这个不是很了解，卷一关于这个没讲太多，望哪位能点播下。...

确实是佩服F5公司，网上说FP是屡获殊荣，有着绝对领先于竞争产品的验证技术，一点也不假！它的动态组映射，确实太有开创意义了，本地无需任何帐号，却能完成几乎目前能见到的所有认证方式～今天仔细研究了其与AD进行KERBOS认证的行为，自感觉似乎还没完全领会其中的奥秘，仅记录以便后查FP利用预配置的域帐号进行的帐号查询---->组映射无匹配，不会执行主组验证用户---->查询是否本地有对应账户----->如果没有，则使用从属主组里的组来验证（按顺序）。注：在V5。5版本的时候这个验证...