建立兩筆SLA 每一條電路建一個SLA 基本上就是ping 遠端 IP
定義 timeout 時間 與 失敗的 threshold 次數
ip sla 5
icmp-echo 10.255.254.49 source-ip 10.255.254.50
request-data-size 100
timeout 2000
threshold 2
frequency 2
ip sla schedule 5 life forever start-time now
ip sla 6
icmp-echo 10.255.254.53 source-ip 10.255.254.54
request-data-size 100
timeout 2000
threshold 2
frequency 2
ip sla schedule 6 life forever start-time now
track 458 ip sla 5 reachability
track 459 ip sla 6 reachability
ip route 0.0.0.0 0.0.0.0 10.255.254.49 track 458
ip route 0.0.0.0 0.0.0.0 10.255.254.53 50 track 459
優先的 routing 是 track 458,如果track 458 ping失敗後, 路由會變成第二順位
達成自動備援功能,主要路由的 tracking 恢復後,就立即恢復第一路由
以此達成自動備援的目的
2011年4月29日 星期五
Site to Site VPN 測試結果與心得
這幾天為了測試與廈門建立 Site to Site VPN 搞到焦頭爛額
因為台灣這邊用的是 Cisco ISR 3825 Router 而大陸廈門那邊則用 Juniper SSG 320m
怎麼弄就是起不來 最後就得到一串錯誤訊息 "decrypted packet failed SA identity check"
廈門那邊就一付老大心態 擺明他那邊沒問題 也沒時間查 也不給我看設定檔
我只能悶著頭測試 搞了老半天也沒有一個明確的解答 所以就是..........無解
最後 我借了台 cisco isr 2811 來和 3825 對接測試 果然是 "自己人比較好說話"
Cisco 3825 老大說的話 2811怎能敢不聽呢 所以vpn就建起來囉
證明我的設定沒有錯 再來就換證明Cisco 與 Juniper 不同兩家人說的話 彼此聽不聽得懂囉
跟廠商借一台 juniper netscreen 208 並順帶借了工程師來設定
雙方互測半天 最後還是 cisco 公說公有理 juniper 婆說婆有理 的局面
最後只好使出大絕招 用廠商的 juniper 208 與廈門互連 果然又是一個自家人好說話的局面
一連就通了 這不禁使我想罵人 以前廠商推銷設備都說 現在什時代了
通訊協定都標準化了 不同廠牌怎麼可能會無法溝通勒 真他媽的ooxx 屁話
keyword:
IPSec : 這只是一個 IETF 制定的開放標準,主要用來保護 internet 溝通時的資料安全,主要功能為認證與加密。
IPSec包含兩個部分,一個是IKE (Internet Key Exchange),主要負責金鑰的交換,另外一部份就是負責封包的加解密。
IKE的協商過程分為兩個階段,第一階段建立SA(安全協議),負責溝通雙方的安全機制,第二階段就是建立IPSec連線。
isakmp (Internet Security Association and Key Management Protocol) 網路安全協議與秘鑰管理
IKE 第一階段 利用 isakmp 達成SA協議與秘鑰管理
crypto isakmp enable 先將協定啟動
crypto isakmp policy 100 // 建立一個 isakmp的 policy
hash md5 // 以MD5的做認證
encr des // 以DES作加密
authentication pre-share // 認證方式為 pre-share key
group 2 // Group 2
lifetime 28800
exit
crypto isakmp key key-value address ip-address //指定 pre-share key
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac //定義第二階段的加解密方式
mode tunnel // 可以選擇 tunnel 或是 transport 模式
exit
指定 Access-List 確認哪些要經過VPN網路
ip access-list extend Xmsertec
permit ip 192.168.102.0 0.0.0.255 172.17.0.0 0.0.255.255 //兩端的LAN
exit
第二階段
crypto map map_name 1 ipsec-isakmp
set security-association life seconds 3600
set pfs group2
set peer ip-address // Remote site 的 ip address
set transform-set ESP-DES-SHA
match address Xmsertec
最後要記得將 crypto map 綁到 interface上面 應該就大功告成啦
另外還有一些相關驗證測試的 command
show crypto isakmp sa // 看第一階段是否建立
show crypto ipsec sa // 看第二階段是否完成
show crypto engine connection active //查看目前的IPSec連線
因為台灣這邊用的是 Cisco ISR 3825 Router 而大陸廈門那邊則用 Juniper SSG 320m
怎麼弄就是起不來 最後就得到一串錯誤訊息 "decrypted packet failed SA identity check"
廈門那邊就一付老大心態 擺明他那邊沒問題 也沒時間查 也不給我看設定檔
我只能悶著頭測試 搞了老半天也沒有一個明確的解答 所以就是..........無解
最後 我借了台 cisco isr 2811 來和 3825 對接測試 果然是 "自己人比較好說話"
Cisco 3825 老大說的話 2811怎能敢不聽呢 所以vpn就建起來囉
證明我的設定沒有錯 再來就換證明Cisco 與 Juniper 不同兩家人說的話 彼此聽不聽得懂囉
跟廠商借一台 juniper netscreen 208 並順帶借了工程師來設定
雙方互測半天 最後還是 cisco 公說公有理 juniper 婆說婆有理 的局面
最後只好使出大絕招 用廠商的 juniper 208 與廈門互連 果然又是一個自家人好說話的局面
一連就通了 這不禁使我想罵人 以前廠商推銷設備都說 現在什時代了
通訊協定都標準化了 不同廠牌怎麼可能會無法溝通勒 真他媽的ooxx 屁話
keyword:
IPSec : 這只是一個 IETF 制定的開放標準,主要用來保護 internet 溝通時的資料安全,主要功能為認證與加密。
IPSec包含兩個部分,一個是IKE (Internet Key Exchange),主要負責金鑰的交換,另外一部份就是負責封包的加解密。
IKE的協商過程分為兩個階段,第一階段建立SA(安全協議),負責溝通雙方的安全機制,第二階段就是建立IPSec連線。
isakmp (Internet Security Association and Key Management Protocol) 網路安全協議與秘鑰管理
IKE 第一階段 利用 isakmp 達成SA協議與秘鑰管理
crypto isakmp enable 先將協定啟動
crypto isakmp policy 100 // 建立一個 isakmp的 policy
hash md5 // 以MD5的做認證
encr des // 以DES作加密
authentication pre-share // 認證方式為 pre-share key
group 2 // Group 2
lifetime 28800
exit
crypto isakmp key key-value address ip-address //指定 pre-share key
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac //定義第二階段的加解密方式
mode tunnel // 可以選擇 tunnel 或是 transport 模式
exit
指定 Access-List 確認哪些要經過VPN網路
ip access-list extend Xmsertec
permit ip 192.168.102.0 0.0.0.255 172.17.0.0 0.0.255.255 //兩端的LAN
exit
第二階段
crypto map map_name 1 ipsec-isakmp
set security-association life seconds 3600
set pfs group2
set peer ip-address // Remote site 的 ip address
set transform-set ESP-DES-SHA
match address Xmsertec
最後要記得將 crypto map 綁到 interface上面 應該就大功告成啦
另外還有一些相關驗證測試的 command
show crypto isakmp sa // 看第一階段是否建立
show crypto ipsec sa // 看第二階段是否完成
show crypto engine connection active //查看目前的IPSec連線
2011年1月14日 星期五
MSSQL 建立 Link Server 連至 Oracle DB Server
再安裝完 instant client 之後,必須要設定一些環境變數,如:
NLS_LANG = TRADITIONAL CHINESE_TAIWAN.zht16big5
TNS_ADMIN = 指到 tnsnames.ora 目錄
(tnsnames.ora 通常是在 instant client 目錄中建立 /network/admin 下面存放 )
之後最好先以Oracle 的 sql developer 等軟體測試驗證看看是否可以成功連至遠端Oracle server
如果先前準備工作順利完成後, 就可以開始來建立 Link Server 了
如果使用tnsnames.ora 來指出 oracle 的服務 如
則產品名稱填寫 Oracle 與 資料來源填寫 tnsnames.ora 裡面的 網路服務名稱 ,這裡是 NANTOUCS,並給予這個Link Server 一個名字,如 Oracle
在安全性的那一頁 填寫上登入的帳號密碼
完成後點選確定即可完成,如果事前準備工作有缺漏,則在這裡就可能會跳出錯誤訊息
如果要確認是否 Link Server 是否連結正常,可以做個連線測試
成功的話會跳出成功的訊息,如
失敗的話就會跳出錯誤訊息,如
做到這裡就已經大功告成了 可以開始對遠端的 oracle server 作查詢了 ^^
最後發覺一個重點,就是為什麼有的需要設定ODBC,有的不用,原因是因為...
如果您使用 Microsoft ODBC Driver for Oracle,則可使用 @datasrc 參數來指定 DSN 名稱。如果無 DSN 連線,則提供者字串可透過 @provstr 參數提供。有 Microsoft OLE DB Provider for Oracle 時,使用在 TNSNames.Ora 檔案中設定的 Oracle 伺服器別名來當作 @datasrc 參數。
NLS_LANG = TRADITIONAL CHINESE_TAIWAN.zht16big5
TNS_ADMIN = 指到 tnsnames.ora 目錄
(tnsnames.ora 通常是在 instant client 目錄中建立 /network/admin 下面存放 )
之後最好先以Oracle 的 sql developer 等軟體測試驗證看看是否可以成功連至遠端Oracle server
如果先前準備工作順利完成後, 就可以開始來建立 Link Server 了
如果使用tnsnames.ora 來指出 oracle 的服務 如
則產品名稱填寫 Oracle 與 資料來源填寫 tnsnames.ora 裡面的 網路服務名稱 ,這裡是 NANTOUCS,並給予這個Link Server 一個名字,如 Oracle
在安全性的那一頁 填寫上登入的帳號密碼
完成後點選確定即可完成,如果事前準備工作有缺漏,則在這裡就可能會跳出錯誤訊息
如果要確認是否 Link Server 是否連結正常,可以做個連線測試
成功的話會跳出成功的訊息,如
失敗的話就會跳出錯誤訊息,如
做到這裡就已經大功告成了 可以開始對遠端的 oracle server 作查詢了 ^^
最後發覺一個重點,就是為什麼有的需要設定ODBC,有的不用,原因是因為...
如果您使用 Microsoft ODBC Driver for Oracle,則可使用 @datasrc 參數來指定 DSN 名稱。如果無 DSN 連線,則提供者字串可透過 @provstr 參數提供。有 Microsoft OLE DB Provider for Oracle 時,使用在 TNSNames.Ora 檔案中設定的 Oracle 伺服器別名來當作 @datasrc 參數。
另外一點(這也是從微軟網站上面挖的)
注意 如果您使用協力廠商的 Oracle 提供者,且 Oracle 提供者無法在 SQL Server 處理程序外執行,請變更提供者選項,以執行同處理序。如果要變更提供者選項,請使用下列其中一種方法。
- 方法 1
找出下列登錄機碼。然後,將 AllowInProcess (DWORD) 項目的值更改為 1。可在對應的提供者名稱底下找到此登錄機碼:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\Providers\ProviderName - 方法 2
當您新增新的連結伺服器時,透過 SQL Server Enterprise Manager 直接設定 [允許 InProcess]選項。按一下 [提供者選項],再按一下以選取 [允許 InProcess] 核取方塊。
訂閱:
文章 (Atom)