分类
基础架构

PPTP与L2TP/IPsec共存于ASA passthrough的问题

回归一个技术问题,也是最近碰到的,由于苹果iOS系统升级,原先的VPN协议已经不支持PPTP了,必须把windows 2003 server启用的PPTP升级到L2TP/IPsec。

从PPTP升级为L2TP/IPSec很简单,在服务器的属性“安全”里面,启用“为L2TP链接允许自定义IPSec策略”,并配置一个share key即可。

这样服务器端就同时支持PPTP和L2TP了。

由于Windows 2003在Cisco ASA5520里面,又开启了outside inbound的UDP 500/4500/1701端口,以及ESP和AH协议。

但是死活Iphone还是连接不上,说是服务器无响应。

尝试了N久,最终在Cisco文档一个犄角旮旯里看到这么一句话:

Multiple PPTP/L2TP Connections Fail when using PAT
You can only have one PPTP/L2TP connection through the PIX Security Appliance when you use PAT. This is because the necessary GRE connection is established over port 0 and the PIX Security Appliance only maps port 0 to one host. The workaround is to enable PPTP inspection on the security appliance.

哈哈,Trick就在这里,问题解决!

分类
基础架构

Cisco出了个DX600的桌面协作终端

今天收到一个Cisco关于新产品DX600的EDM,有兴趣看了看。

DX600是一个基于Android的终端设备,集成了Cisco的统一通讯APP,比如Jabber(类似于Microsoft Lync的东东,IM、视频、共享),Webex(类MS livemeeting,远程会议、共享),CUCM控制的HD video,Cisco Anyconnect Mobility Client(有点儿晕,其实,毕竟还有Cisco Anyconnect呢…)。还可以外接显示器,鼠标,键盘,支持Cable或者WIFI。

cisco dx600 with display

这个宣传视频倒是也做得不错!

东西第一眼感觉很炫很酷,啥都有,啥都可以做。但是再想想,是不是Cisco搞得太复杂了点呢,现在连Android也要扯上了。又是开源的东西,又是私有的标准…这个东西咋卖呢?

个人感觉:

1. Webex还是前途无量的,协作的需求还是不断提高;

2. 可以继续发展自己的硬件语音视频电话啊,就自家的东西,抓Single Number Reach,还有移动注册账号;

3. 至于专门的独立的会议室系统也是有需求的,Telepresence继续搞了,降低门槛即可;

4. 然后是CUCM的统一管理;

5. 最后考虑一下Android和IOS上的APP,也就是支持BYOD。

这样说起来,DX600感觉是Cisco重点发力第五个需求去了,把个人移动设备的BYOD需求放大做成了一个公司的产品。

是不是抓错方向了呢?BYOD永远是BYOD,不是公司产品,在移动端你要推的是不是更应该是APP呢?毕竟公司产品上现有的视频电话之类的已经有了。

cisco cm solution

至于未来个人的语音视频协作需求,我还是看好WebRTC

分类
基础架构

关注Openflow

Openflow已经开始兴起,有望挑战传统的基础网络架构。Cisco目前为止态度不明显,希望它能熬过这一关。

下面是一下可供参考的网站,创业公司。有时间要好好研究研究。

http://www.openflow.org/

51CTO Openflow专题

Nicira — VMWare

Xsigo — Orancle

Big Switch Networks

Arista Networks

 

分类
基础架构

Cisco Router导入RapidSSL证书问题

要上sslvpn了,突然发现IE8/9之类的不认cisco router自己颁发的证书了。

无奈,只好去myssl.cn申请。问题也随之而来。

原先想用SDM,发现SDM申请CA真慢,验证SSH登录起码30分钟,还要设置NTP时间同步(设置好时区后ntp peer 2.cn.pool.ntp.org即可)。

在SDM生成RSA KEY,CSR,结果myssl一直提示CSR不合法,起初是Location没写,SDM里面根本没提示这个字段。后来在router里面手动加了,再生成CSR,还是提示不合法…无语。

只好在myssl自动生成private key和CSR了,付款加webmaster验证基本上半个小时就搞定了。接着是如何搞定import证书到router了。

SDM是不行了,只好command来。Cisco的这篇文章还是蛮有参考意义的。可是试了几个小时,好几回,一直提示key不对。

开始觉得myssl提供的key非加密过的RSA Key,怎么转换呢?想起来之前startcom ssl有个在线工具的,去试了试,还是不行…

无奈找到myssl的技术,恩,交流下来,用openssl加密,即可。重新测试,证书导入成功!

命令就这么几个:

(注意:ca和intermediate ca的证书从IE浏览器直接export出 base64格式即可)

1. import ca

crypto pki trustpoint ca
enrollment terminal pem

crypto pki authen ca

2. import intermediate ca, rsa key and server certificate

crypto pki trustpoint vo
enrollment terminal pem

crypto pki import vo pem terminal <password>

 

问题还没有完全解决。chrome之类浏览器没问题了,IE8/9不行…提示证书还是有问题…唉,http分析了下,forward到IP地址去了,原来有个hostname命令。ssl encryption那句还真不知道是不是关键。。。

webvpn gateway gateway_1
hostname <domain>
ssl encryption rc4-md5
ssl trustpoint <server ca>
inservice

好了,大功告成。

技术工作很细啊,老了会吃不消。PKI体系真的不熟悉…