分类目录归档:Networking

把ASA配置为单臂VPN接入点

目标

把ASA设置为一个VPN接入点,挂在现有的网关路由器下面,让AnyConnect连入的客户端能够正常访问本地内网和公网。防火墙设为全部放通。

示例中使用以下配置:

  • 现有的内网:10.0.0.0/24
  • 网关:10.0.0.1
  • ASA:10.0.0.2
  • AnyConnect客户端地址池:10.0.253.0/24, fd00::/64

继续阅读

RouterOS在多个上游情况下正确设置返回包的默认路由

应用场景:

一:RouterOS接了多个上游,都是静态IP并且有NAT(masquerade)配置。默认情况下,如果在非默认路由的上游IP上开了端口转发到内网,内网设备返回包的时候会直接从默认路由出去,从而要么被路由器的reverse path filter丢掉,要么在出口处被masquerade从而导致对面收到的包源IP错误而丢包。下面简述一个方法,让返回包从正确的出口返回。

二:用VRF接了管理网,想从VRF访问本机的WinBox或者SSH。数据包是能从VRF网络正确到达本机的;但是从本机返回包时,默认只会查main路由表。你当然可以简单地把VRF网的路由或静态或动态leak进main,但是这样就失去了隔离管理网的功能。因此,我们可以用类似的方法来实现通过VRF访问本机。 继续阅读

在家也要玩BGP(2):可控地给部分局域网设备设置透明代理网关

现在越来越多中小企业开始抛弃传统的Access VPN方案,转而向员工提供应用层代理服务器来访问内部资源。四层代理服务器方案具有部署简单、维护成本低、对BYOD设备侵入性低等特点,在不需要过多访问控制和日志记录能力,缺乏专业IT人员的情况下是一个不错的内网访问方案。但是这种方案有一个显而易见的缺点:应用层代理服务器需要应用支持。对于不支持设置代理服务器的应用,它就无能为力。另外,有些场合,比如给设备安装系统时,你并不总能找到代理服务器设置的位置。这就给应用层代理服务器的推广带来了很大麻烦。

为了克服这个缺点,我们有一个办法:在局域网设置一个透明代理网关。透明代理网关是一种应用层单臂路由,它对局域网设备来说是一个路由器,但是其特定应用层协议的上联链路是一个代理服务器。如果代理服务器支持,使用Linux内核iptables模块中的REDIRECT或TPROXY功能可以很容易地配置这样一个透明代理网关。但是一旦我们把整个局域网的默认网关配置成透明代理网关,整个局域网的流量都会经过公司的内部网络,这不一定是我们想要的结果,也不便做访问控制。另外,如果把代理网关和用户设备放在同一个二层中,用户只需要改一下设备自己的网络配置就可以使用该代理服务器,这可能导致严重的安全问题。因此,我们需要一种方法来动态地控制某台设备的默认网关是本站点的互联网出口,还是公司的代理服务器出口。

而BGP协议,正是能实现这一功能的成本最低的方案。

继续阅读

在家也要玩BGP(1.5):我的双线分流规则

本系列文章的第一篇只讲了配置的技术要点,没有讲规则具体怎么写。本文大概讲一下我现在所使用的规则。

规则:

  • 电信自己的ASN走电信
  • 移动自己的ASN走移动
  • 其它国内流量走电信
  • 出国(默认)流量走移动

目前这样的规则会带来一万五千条左右路由。IOS XE的资源占用情况:

Router#show ip route summary
Route Source    Networks    Subnets     Replicates  Overhead    Memory (bytes)
connected       0           14          0           1424        4256
static          1           4           0           480         1520
bgp 65534       5179        15044       0           1941408     6147792
  External: 0 Internal: 20223 Local: 0
Router#show ip bgp summ
BGP router identifier 192.168.1.1, local AS number 65001
BGP table version is 10538219, main routing table version 10538219
13183 network entries using 3269384 bytes of memory
18727 path entries using 2546872 bytes of memory
525/281 BGP path/bestpath attribute entries using 147000 bytes of memory
2 BGP rrinfo entries using 80 bytes of memory
375 BGP AS-PATH entries using 25840 bytes of memory
2 BGP community entries using 48 bytes of memory
1 BGP extended community entries using 24 bytes of memory
517 BGP route-map cache entries using 33088 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
BGP using 6022336 total bytes of memory
BGP activity 804938/764611 prefixes, 13180009/13137706 paths, scan interval 60 secs

Router#show platform resources
**State Acronym: H - Healthy, W - Warning, C - Critical
Resource                 Usage                 Max             Warning         Critical        State
----------------------------------------------------------------------------------------------------
RP0 (ok, active)                                                                               H
 Control Processor       28.74%                100%            80%             90%             H
  DRAM                   2687MB(78%)           3421MB          88%             93%             H
ESP0(ok, active)                                                                               H
 QFP                                                                                           H
  DRAM                   101005KB(51%)         196608KB        80%             90%             H
  IRAM                   414KB(20%)            2048KB          80%             90%             H
  CPU Utilization        12.00%                100%            90%             95%             H


BGP Controller的资源占用情况:

[email protected]:~# free -wh
              total        used        free      shared     buffers       cache   available
Mem:          878Mi       682Mi        61Mi       1.0Mi        10Mi       123Mi        60Mi
Swap:         1.0Gi       3.0Mi       1.0Gi

继续阅读