学过NP的都知道如果配置缺省AAA服务器的话，CISCO设备默认是施加到所有登录类型的不管是tty 还是vty。这个本没错，可我们如果真的这么做了，会出现一些意外情况。最近我就遇到了这样一个意外。结构：网络设备-------------------基于域的IAS服务器网络设备设置default的AAA，并在radius服务器IP后明确指定local。在IAS上设置策略，指明NAS-Port-Type 这个属性要等于virtual(vpn)，设置完毕后，telnet设备可以正常通过服务器...

term 是策略中的最基础，一个term中包含多个匹配条件或多个动作，当所有匹配条件都被匹配时，执行指定的所有动作。一个term可以认为是CISCO的一行。一个策略中可以包含多个term，路由器按顺序执行这些term。可以在策略配置层次下使用insert命令调整各个term的顺序。一个term被被匹配并执行后，如果执行动作不是next term，则路由器停止策略评估，不再继续。多个策略可以组成策略链。在from中，一个匹配条件里的多个参数间是逻辑或（因此同一匹配条件里的各种参数至少要有一个被匹配...

先说2个概念：1.什么是IBGP？ IBGP的本质是BGP，所以它牵涉的路由表必然是BGP的路由表，一个AS中哪些路由器可以看作是IBGP路由器，取决于你定义了哪些路由器之间的BGP对等体关系，如果你没定义，那么即使是在一个BGP的AS中，那它也不过是一个普通的IGP路由器。2.什么是全网状互联？这是一个IBGP的概念，即你把一个AS里的所有路由器都定义了彼此的对等关系，即它们是平等的，它们都运行了BGP协议。全网状未必是真的物理上的全互联，只要通过TCP可以到达对等体则可 ，所以是一个逻辑概念...

2006年11月11日，我以四门全满分的成绩通过了CCNP考试。转眼一年过去，今天我在为juniper努力着。12月11日？通过JNCIS-ER?...

[edit firewall family inet]user@Shiraz# showfilter limit-ftp {policer policer-1 {if-exceeding {bandwidth-limit 400k; /**正常使用带宽 **/burst-size-limit 100k; /**超出正常带宽后带宽 **/}then discard; /*** 如果应用超过500k 后丢弃 ***/}term ftp {from {source-address {10.2.3/24...

TCP在关闭过程中会进入TIME_WAIT状态，这是正常主动关闭的一个结果，为什么要设置这样一个状态，而且这个状态存续时间很长，有什么意义呢。这个状态时占用的端口能被协议快速回收么，是协议自己就能快速回收，还是必须认为干预呢以前就对这个不是很了解，卷一关于这个没讲太多，望哪位能点播下。...

确实是佩服F5公司，网上说FP是屡获殊荣，有着绝对领先于竞争产品的验证技术，一点也不假！它的动态组映射，确实太有开创意义了，本地无需任何帐号，却能完成几乎目前能见到的所有认证方式～今天仔细研究了其与AD进行KERBOS认证的行为，自感觉似乎还没完全领会其中的奥秘，仅记录以便后查FP利用预配置的域帐号进行的帐号查询---->组映射无匹配，不会执行主组验证用户---->查询是否本地有对应账户----->如果没有，则使用从属主组里的组来验证（按顺序）。注：在V5。5版本的时候这个验证...

本文的背景环境是,FP部署在运维域中,使用运维域做基本认证,但却希望让另一个域(比如客户域)的用户使用其自己的域帐号来登录.1.在动态组映射中设置的验证,只是用来校验在验证服务器中是否存在登录的用户，并不校验密码，它是利用预置在“请求配置”里的具有域权限的帐号来查询这个用户是否存在于验证服务器中，如果存在，并命中了组映射中的条目，那么它将接着使用master group中的指定的验证方式来验证，这个时候才是真正的核对用户名和密码信息。 例如，假设想让A域中某个用...

FP resource group mapping process FP master group mapping process...

...

今天恢复防火墙，突然对一个问题疑惑了，于是赶紧看书，原来我在书上竟然赫然有着我以前的标记，怎么还是会模糊呢？1. The client generates a SYN packet, headed toward the server, to   establish a new connection.   2. The PIX investigates the ACL to determine if the information flow   control po...

When NAT uses a route map to decide to create a translation entry, it will always create a "fully extended" translation entry. This translation entry will contain both the inside and outside (local and global) address entries and any TCP or...

摘要：在内容交换中，我们经常会见到服务器端Session的说法，大部分的同学实际上对服务器端的Session机制属于一知半解的状态。本文从开发的角度来描述Session机制在服务器端的实现。认真理解后，实际上对于我们更加深入的了解Session机制，解决在设计内容交换结构时的问题有很大的帮助。虽然session机制在web应用程序中被采用已经很长时间了，但是仍然有很多人不清楚session机制的本质，以至不能正确的应用这一技术。本文将详细讨论session的工作机制并且对在Java web ap...

PROTOCOL NUMBERS(last updated 08 September 2005)In the Internet Protocol version 4 (IPv4) [RFC791] there is a field,called "Protocol", to identify the next level protocol.  This is an 8bit field.  In Internet Protocol version 6 (I...

...

最近公司需要和新加坡一家公司互联VPN ，双方协商使用site-site的方式。但对方是checkpoint防火墙，我方是CISCO的防火墙。拓扑结构如下checkpoint-------------------isp---------------------------F5--PIX双方约定按以下参数进行： FIREWALL PARAMETERS &nbs...

1.ipsec over tcp 该方法导致双方使用TCP端口通信，缺省端口是10000，只支持client方式。缺省被禁用，打开方法：crypto isakmp ipsec-over-tcp当实际环境中不常规VPN通信或NAT-T,IPSEC OVER UDP的时候使用。2.NAT-T该方法导致双方最终使用udp 4500端口通信，支持client,L2L 两种方式。缺省是被禁用的。打开方法：crypto isakmp nat-traversal  20 ,缺省keepalives时...