|
|
 |
|
|
| 1. PIX 7.1做VPN与6.x的比较 |
  |
|
 |
|
HP : 108 / 1085
MP : 1090 / 19025
EXP : 41%
|
|
江湖游客
成员等级: 44
发表总数: 3271
金币总数: 941
所属组别: 核心成员
注册日期: 2003/01/10
|
PIX/ASA 7.1不再支持PPTP、L2TP over IPSec、PPPoE
做VPN Server时,允许L2L VPN的spoke之间及Client互相通信
same-security-traffic permit intra-interface
这在6.x是要另建GRE tunnel中转一下才能实现
另一个比较好用的是reverse-route,spoke拨上来后,hub上自
动产生到spoke静态路由,并可以通过动态路由协议将其重发布,
这对于用VPN线路做备份就简单了很多。
6.x以前是要在PIX后端用一台路由器建GRE来做动态路由
(如果spoke用路由器做vpn,同时又在该路由器上建tunnel端口,
可能会发生该路由器的内网端口可以跟hub端通信,而其他内网地址
不能与hub端通信,这个时候需要禁止路由器的IP CEF)
7.x对于RA VPN有很多改进,可以针对用户设置策略,如某个用户只
能拨入某个VPN group(group-lock),更容易控制用户权限。
PIX 515E 7.1(2)做VPN Server并且运行OSPF,没什么流量的
时候CPU利用率竟然达到50%,并且不定时重启,怀疑是软件BUG,
降到7.1(1)后表现正常。
show crash可以看到以下信息:
Thread Name: ci/console (Old pc 0x0021e9d7 ebp 0x02041034)
Traceback:
0: 0010b3ee
1: 0010d839
2: 0010e421
3: 00113344
4: 0010a6e7
5: 0010016e
6: 0010824b
7: 007865d3
8: 007879eb
9: 00154108
10: 001512de
11: 00151976
12: 001116f9
vector 0x00000003 (breakpoint)
edi 0x0145a65c
esi 0x0145a65c
ebp 0x02041080
esp 0x02041074
ebx 0x000493ea
edx 0x0008b146
ecx 0x014118c8
eax 0x0008b146
error code n/a
eip 0x00ec6c64
cs 0x00000008
eflags 0x00000046
CR2 0x00000000
Stack dump: base:0x020398b0 size:32768, active:2236
entries above '==': return PC preceded by input parameters
entries below '==': local variables followed by saved regs
'==Fn': stack frame n, contains next stack frame
'*': stack pointer at crash
For example:
0xeeeeef00: 0x005d0707 : arg3
0xeeeeeefc: 0x00000159 : arg2
0xeeeeeef8: 0x005d0722 : arg1
0xeeeeeef4: 0x005d1754 : return PC
0xeeeeeef0: 0xeeeeef20 ==F2: stack frame F2
0xeeeeeeec: 0x00def9e0 : local variable
0xeeeeeee8: 0x0187df9e : local variable or saved reg
0xeeeeeee4: 0x01191548 : local variable or saved reg
0xeeeeeee0: 0x014dde20 : local variable or saved reg
0x020418ac: 0x0101bab4
0x020418a8: 0x00151948
0x020418a4-0x020418a0: 0x00000000 ==F11
0x0204189c-0x02041880: 0x12345678
0x0204187c: 0x0101bab4
0x02041878: 0x001116f9
0x02041874: 0x020418a0 ==F10
0x02041870-0x02041860: 0x12345678
0x0204185c: 0x00000000
0x02041858-0x02041854: 0x12345678
0x02041850: 0x00000003
0x0204184c: 0x0101bab4
0x02041848: 0x00151976
0x02041844: 0x02041874 ==F9
0x02041840: 0x12345678
0x0204183c: 0x0000000f
0x02041838: 0x00151968
0x02041834: 0x02041874
0x02041830-0x02041808: 0x12345678
0x02041804-0x02041800: 0x00000000
0x020417fc: 0x0101bab4
0x020417f8-0x020417f4: 0x12345678
……
每次crash的时候要花几分钟输出这些信息再重启,可以通过禁止这些输出
crashinfo console disable |
|
|
|
| 2. Re: PIX 7.1做VPN与6.x的比较 |
|
|
|
|
|
HP : 108 / 1085
MP : 1090 / 19025
EXP : 41%
|
|
江湖游客
成员等级: 44
发表总数: 3271
金币总数: 941
所属组别: 核心成员
注册日期: 2003/01/10
|
PIX做L2L和RA server
R1和R2的内网可互通
 |
下载附件 |
| PIX.txt ( 下载次数: 57 ) |
|
下载附件 |
| r1_confg ( 下载次数: 35 ) |
|
下载附件 |
| r2_confg ( 下载次数: 30 ) |
|
|
|
|
| 3. Re:PIX 7.1做VPN与6.x的比较 |
|
|
 |
|
HP : 73 / 735
MP : 407 / 11361
EXP : 41%
|
|
名动江湖
成员等级: 30
发表总数: 1222
金币总数: 578
所属组别: 核心成员
注册日期: 2003/09/27
|
顶一把
凡是纸马的帖子一定要看
凡是纸马的帖子一定要顶
签名
--------------
两个凡是 把个人崇拜进行到底 |
|
|
|
| 4. RE: PIX 7.1做VPN与6.x的比较 |
|
|
 |
|
HP : 0 / 412
MP : 117 / 6486
EXP : 51%
|
|
名动江湖
成员等级: 17
发表总数: 352
金币总数: 714
所属组别: 中级成员
注册日期: 2003/08/25
|
| QUOTE | PIX/ASA 7.1不再支持PPTP、L2TP over IPSec、PPPoE
做VPN Server时,允许L2L VPN的spoke之间及Client互相通信
same-security-traffic permit intra-interface
这在6.x是要另建GRE tunnel中转一下才能实现
另一个比较好用的是reverse-route,spoke拨上来后,hub上自
动产生到spoke静态路由,并可以通过动态路由协议将其重发布,
这对于用VPN线路做备份就简单了很多。
|
7.1 现在的 vpn 怎么做,还有 site to site 的? |
|
|
