因为公司出口处有URL过滤网关(好像是华为的E1000),敏感网站是上不去的,游戏网站同理。在很多年以前,一些外国网站也被中国封杀(国内的系统在业内被叫为中国长城),为了登陆上这些网站,加密浏览器油然而生。
最新的无界,到前几年的Tor,到2007的XB(xerobank),这个也就是把tor+firefox整合起来,省去以前配置的麻烦。但是,像无界这样的东西不建议使用,网上可下载的几乎清一色的挂了毒。XB是商业的不是免费。今天我还是第一次使用XB,突然发现他是基于openvpn 来实现的。说实话我很惊讶,为什么会商业呢。也许是这样的:因为构建SSL VPN 服务器需要成本,所以才收费的吧。
嗯,他的加密浏览指的是:使用SSL VPN登陆到一个无出口限制的网络(也许就是原TOR的网络),因为此时你所使用的是加密的HTTP(HTTPS),普通的网关是查不到你的数据包的,进而也就不存在封杀的可能性了。如果工程师想突破就容易多了,直接在公司的网关配置一下VPN,在外地受限制时,使用SSL VPN即可。
在安全网关这边如何处理这样的问题呢?在ISA中ISA是有这么一个技术,HTTPS代理,即发现有HTTPS会话时,将会把自己封装成用户端与对端建立加密通道,这样用户与网关间的数据是没有加密的,出去才加密,如此一来,什么数据包便一清二楚了。现在的网关不知道有多少个支持这个技术呢?否则,所有的什么行为管理在XB这类软件下就会变得无用了。
在维护设备过程中,经常需要备份设备的配置文件,但是设备默认是分屏显示的,万恶的–more–(华为—more—);
思科:(直接登陆使用这个命令就可以)
> terminal length 0
华为:(这个需要在特权模式去输入命令)
>user-interface vty 0 4
>screan-length 0
这样就命令显示直接到底!
脚本上的分页问题我解决了,现在遇到的新问题是如何正确获取设备的文件名;我发现VBS真是麻烦,看来专业的分析工具都是用tcl语言来做的啊;在WIN下就算我拿到了日志,但是想写一些分析日志的脚本就很难了,毕竟这没有linux下的 shell来的强大,看来学习expect 不可了。我记得这里的一个日常作业也是基于TCL了。交互语言看来选择这个了只能,其他好像还没经验;
上个星期做了全省30多台华为设备的倒换测试,从12点搞到5点钟,眼睛都睁不开了。刚开始的时候,因为之前做这倒换测试的经验比较少,效率比较差,熟练后就快多了。从切身的感觉,倒换测试在核心网中是必不可少的一个日常维护;我们可以理解,主备这种身份不可能一成不变,万一遇到问题,切换到备份的时候,才发现原来备份的设备有问题,那时就晚了。
倒换测试原则:不中断,不影响业务,在倒换测试过程中也是基于此原则来测试是否倒换正常。
步骤1:收集倒换前二台设备的相关信息,包括有路由表,版本信息,配置文件,接口流量等;
步骤2:测试此时业务是一切正常的,这里我们就是拨打电话这样的方式来测试,在这里叫拨测,因为电话能打到外省去,说明设备是正常运行的,软交换没有问题;如果是在企业里,那也有相关的测试方法,如同数据库的读写测试等;
步骤3:这里就要视不到的核心网的情况了,如果是标准的口字形连接,那么主要需要测试的有左边设备的上联口断开,右边上联口断开,横向连接断开,严格的也可以把下联端口断开,这样的方式来依次测试,每断一次,需要拨测一次,以检查业务是否正常。千万要小心的是,不要同时把二边的上联口给断开了,这样就会造成重大事故”业务中断”;
在这里打个例子:断开左边上联口后,业务应切换走右边路由器了,这时要收集右边的路由器的上联口负担情况(因为这个时候本来走左右的数据走到右边来了),收集OSPF(一般都是这个)/ISIS的路由表是否正常;记录下所有的操作与相应的输出,用来出现问题时及时排错;
步骤4:链路的倒换测试结束后,一切正常的情况下,就要开始在倒换路由引擎的主备倒换了,在华为上命令是:slave switch 表示的是启用备份引擎为主引擎,当前工作引擎降为备份引擎; 二台都要如此操作,切记不能同时进行;
步骤5:引擎倒换测成功后,最后一个就是我们IT界顶顶大名的:重启!!,分边重启,正常工作后再重启另外一台;重要:重启前请保存配置(为什么?因为你切换了引擎。。。。)
差不多就是这样了,是有点累人的活,但是一个周期的倒换工作可是作为一个网络维护人员的必修课之一;
安全网关,也叫UTM,说直接一点就是在防火墙的基础上加入防病毒,简单的IPS,反垃圾邮件,内容过滤(WEB URL过滤也算吧,也有一些厂家加入行为管理的功能;有点像现在的集成板,啥都有,省不少事。
从个人经验来看,单从性能上,国外的品牌在中小企业(500以下PC)和国内的产品差不了多少,区别在于稳定性来看,还是有明显区别的,国内的产品起步晚,不重开发,技术沉淀不如人家,做出来的东西BUG会比较多些。如果你是一个求无功但求无错的理念,那么国外品牌会比较合适。
性能各吹各的,这个不谈了,我们来详细谈谈功能上的区别:
国情,国情,这个很重要,我们最有特色的是什么呢?是人情,人情!!!这个在各个网络里都有,你说把QQ禁止了吧,他们还真不行,网管的地位相对国外很低,基本是算底层的,随便来个领导就能指挥你。所以,形形色色中国式网络特点就出来了:
1. 利用P2P下载软件下载电影游戏等。
2.上班时间上基于web的游戏网站,偷把菜,拖个车什么的。
3.上班时间光明正大炒股。
4.上班时间光明正大玩游戏(大型的,在线网游)
5.看大量与工作完全无关的网站,娱乐,游戏,情色,等。
从企业管理角度来看,带宽的占用是一个问题,最重要的是影响工作的效率,不能专心工作,混一个字。所以,在布置安全网关的时候,可以把URL过滤这个功能参考进去。
国外的产品也很多有这个功能,但是,人家的库是建立在外国的网站,很少有国内的网站,所以效果可想而知。别听他吹什么国内有监控站之类的,有毛用。
流量细节统计,身为网管,要是网天天无事,你也要有所事事。嘿嘿,所以怎么得也要整一些报告之类的,网络变慢也好有个方便的工具,如果网关有WAN流量的报表,那是最好不过的,但是因为网关的电子硬盘比较少,重启会丢失,所以这个报表有一些厂家是通过存在第三方主机之上的。这一点,国内产品胜出。
中文资料,这个我认为比较重要。对于网管,总不能要求他什么都会,也不现实,但是可以提供资料来学习。如果一个产品在国内销售,一个基本全面的常规配置都没有中文这个产品流通性也高不到那里去。毕竟看英文的人少之又少。但是这里有一个例外,就是大品牌可以不需要,这是因为人的心理在做怪。如果你搞个什么思科/juniper防火墙,那肯定是有一种高高在上的感觉,这个我会整,嘿嘿。但是低端的,不出名的,就死心吧,你怎么努力,人家都感觉你这不行那不行,虽然这时所谓的大厂家重启N次,他却认为是他自己的问题!!这个就叫先入为主吧。无解!
策略灵活性,这个说实话,是国外的产品比较灵活,也想得比较周到,这个可能是因为他们的行业经验丰富的原因。注意一点:不同的安全网关,其支持最大的策略数是不一样的,你可以这样去算,最大策略数的20%如果这个能处理你现网的问题就可以了。
IPS,这个功能还真不好用,会引起大量的其他问题,如国内的一些网银啊,QQ空间打不开,的问题。SO,用这个功能需要一定的时间去慢慢调试,这个功能,国外产品胜出。原因可以说很直接,国内没这开发能力,吹的能力是有的。说到国内的IPS,个人认为绿盟算是一个不错的产品。
想写的太多了,其实可以简单的说,从功能特性,国外产品是远不及国内的,从安全特性来讲,国外产品有明显的优势。SO,你问题多多,建议考虑一下国内产品。你的网络已很好了,只是想加强一下安全,可以考虑一下国外产品。
有一些不可网管的交换机也支持流控功能,这个流控有什么作用呢?在交换机发生拥挤的情况下,可以发送特定的信息,让对端交换机减慢发送数据的频率,用以保证数据传输的效率;下面是我摘取H3C的一些定义:
当本端和对端交换机都开启了流量控制功能后,如果本端交换机发生拥塞,它将向对端交换机发送消息,通知对端交换机暂时停止发送报文;而对端交换机在接收到该消息后将暂时停止向本端发送报文;反之亦然。从而避免了报文丢失现象的发生。默认是关闭的;
M$这霸王龙又出来咬人了,在windows2008上提出来SSTP VPN技术出来,号称可以完全取代原有的pptp l2tp技术,更安全,更简单;先不谈他的技术有多NX,只是总有一种君临天下的优越感,看看那些托的文章吧,把原有的技术说得一文不值,其实没几个论据是靠得住的,不过这种也不算是什么新事物吧,我没深入了解其他厂家的SSL VPN技术,不知道之前有没有人提出来过,按道理是很容易想到的.先贴一下M$托的文章:
http://www.windowsecurity.com/articles/Secure-Socket-Tunneling-Protocol.html
分析一下:所谓SSTPVPN技术就是把all datas over ssl ,只使用443 port来传输数据及其trunnel的建立,这样防火墙穿透NAT问题,都可以一次性解决了,因为没有人会封掉https;对比之前的pptp l2tp,sstp的确应用起来很简单,认真分析此文,尚未提到site-to-site的是如何使用sstp的,可能也是一种remote access的技术,那就是摆明就是要拆SSL VPN的场子;对这种新兴的技术,有一点我尚未找到相关的文档,就是全通道(SSL VPN)的方式,是不是也是通过pptp来透传数据,还是说所有的数据都只会使用443 port来传输呢?如果sstp vpn不存在全通道的说法,tunnel建立成功是不是就像ipsec一样直接使用对端资源(当然可以设置相关的安全规则),那要是这样设计的话,是要比现行的各种remote access vpn方案来得高明一些,学习中...
61.144.238.145
61.144.238.146
61.144.238.156
202.104.129.251
202.104.129.254
202.104.129.252
202.104.129.253
61.141.194.203
202.96.170.166
218.18.95.221
219.133.45.15
61.141.194.224
202.96.170.164
218.17.209.23
218.18.95.153
61.141.194.227
218.18.95.171
218.17.209.42
219.133.63.142
QOS应用,8021p,针对企业网络的特点,我总结一些常用的设置方法:
level 6 voip
level 5 视频会议
level 4 企业ERP(VPN)特定公司使用的应用
Level 3 企业领导流量
level 0 普通员工的流量
level 1 用户软件类的升级数据,也就是背景流量。不占用其他流量。
7和2一般很少用到,就不管了了,7是设备流量如vtp 路由协议;
流量整型cir pir
在针对内网的数据进行设计的时候,建议使用802.1p来设计QOS。就是优先级,DSCP的技术,类思科的金/银/铜的配置类似。
网络边缘QOS设计思路:
高要求网络,可考虑使用CDN,广域网加速方案辅助QOS;
这一块的QOS是最复杂的,包括队列算法,带宽管理,拥塞避免,拥塞管理。
我的经验是这样,队列算法一定要选择好,个人认为加权WFQ是比较合适,具体问题具体分析。
带宽管理,可以像TC工具一样的思想吧,对不同的带宽进行分类,形成一个树形结构,如果要求不是非常精确,可以启用借用带宽。
注意:在网络边缘产品,一般有分是上传还是下载的速率。
最近在研究一下openldap的schema,同时也去学习了一下exchange2007,发现,开源界和windows的差距真的是越来越明显了. 这windows的发展方向明显有很大的野心啊,产品基本把企业的信息体系,方方面面都做到这么完美,从SPS到现在的IG,太令人信服了.完美得让人压抑,可能是我想太多,过于天真喽,哈哈.windows向来习惯把所有底层都隐藏起来,显在我们面前的是一个漂亮的界面,简单的配置,有时也玩玩新花样,搞搞新名词,时不时来个面目全飞脚,是逼还是发展的需要,总之硬件是要不断升级,这次exchange2007干脆来个支持64位,NB啊强啊,好了不聊了.
schema可以自己定义,这种结构很像snmp的oid,snmp的oid就算是自己定义出来也要去自己编代码,让snmp代理来读取相关的信息.而openldap schema自己定义出来的OID是不是也是要这样呢? 正在找资料论证中,直觉告诉我是不用的,因为LDAP是直接查询管理员已存储好的信息,而SNMP则是动态的去查询设备的相关状态,简单来说就是LDAP所获取的是静态的信息,SNMP是动态的信息.从这个层面上来看,LDAP只是一种查询服务,一种更高级优化过的服务,树型结构被无数证明这是多么伟大的一种结构,spandtree,ospf spandtree,都是tree啊.
|
OID
|
Assignment |
| 1.1 |
Organization’s OID |
| 1.1.1 |
SNMP Elements |
| 1.1.2 |
LDAP Elements |
| 1.1.2.1 |
AttributeTypes |
| 1.1.2.1.1 |
myAttribute |
| 1.1.2.2 |
ObjectClasses |
| 1.1.2.2.1 |
myObjectClass |
在微软新产品Windows server 2008中,相比以前版本的服务器操作系统,又融入了十项强大的新技术,不敢说这些技术是否真的能让用户得到更好的服务,但就微软而言体现了其对服务器系统要求尽善尽美的态度。
第十位:自修复NTFS文件系统。自从DOS时代开始,如果文件系统中发生文件出差问题就意味着磁盘需要脱机进行修复。而在Windows Server 2008中,在后台运行的服务能够检测到文件系统的错误并在发现文件出差的情况下启动一个修复进程,而期间并不需要关闭服务器。
第九位:并行会话创建。在Windows Server 2008之前的系统中,会话创建是一个串行操作。而在终端服务系统中,串行初始化会话会导致系统出现瓶颈。而这个在Vista和Windows Server 2008中提供的新会话模型至少能够同时对四个会话进行初始化,而且如果服务器的处理器多于四个时还能够同时初始化更多的会话。
第八位:干净的关闭服务。Windows中一个历史性遗留问题是系统关机的过程问题。在XP中,一旦关闭过程开始,系统就会启动一个历时20秒的计数器。当计数开始后,系统就会向用户发出信号询问是否用户自己中止应用程序。对于Windows Server来说,相同的20秒机制变成了应用程序的存活时间。
在Windows Server 2008中这个20秒倒数的机制已经被一个新的服务取代,这个服务会控制应用程序不断的发送程序需要关闭的信号,只要程序不断保持发送信号那么程序最终会关闭。某些开发人员可能会顾虑这个新服务会让应用程序耗掉太多资源,但从实际情况看来,性能方面的牺牲物有所值。
第七位:内核业务管理器。开发人员可以好好利用这个功能,它能够极大的减少最容易导致系统注册表和文件系统崩溃的发生次数:这是由于有多个线程同时访问某个资源引起。
在正式的数据库中,修改过的指令集按顺序先保存在内存中,跟着作为一个业务一次性提交。这种情况下,用户并不能获得数据库被修改过程中的快照,这些修改看起来是同时进行的。而这一功能最终在Vista和Windows Server 2008的系统注册表中被利用
第六位:SMB2网络文件系统。很久很久以前,SMB就被用作Windows的网络文件系统。而现在,SMB在灵活性、高性能方面已经力不从心,因此SMB2取而代之。根据内部测试结果显示,在媒体服务器上SMB2的性能是Windows Server 2003的30到40倍之多。
第五位:地址空间随机加载(ASLR)。自从它在Vista露面以来,可能这个功能是所有新增功能中最受争议的功能了。ASLR确保同一时间,在内存中同一区域没有两个相同的操作系统实例被加载。
第四位:Windows硬件错误架构(WHEA)。微软最终对硬件错误信息进行了标准化,利用这些面向硬件统一使用相同套接字接口报告的错误信息,第三方的软件能够方便的迁移并管理问题。
第三位:Windows Server虚拟化。微软的Windows Server 2008中将会集成虚拟化功能。
第二位:PowerShell。这两年以来,关于PowerShell一直传闻不断,现在最终确定了它是作为操作系统的一部分提供。它是一个命令行工具,但实际上能够完全取代图形界面的管理工具。
第一位:Server Core。从Windows Server 2008开始,系统中那些不是每个用户都用到的功能将会变成可选安装包,取而代之的是预先定义好的系统角色。
http://winsystem.ctocio.com.cn/ws2008/