- 博客(152)
- 收藏
- 关注
RSS订阅原创 外网线路负载均衡和DNS分流
在“DNS设置”中,选择“DNS加速模式”为“代理模式”,并开启“多线路DNS”。“同一家运营商,一条1000M拨号宽带和一条100M宽带,想做带宽聚合”的需求,需要先明确一个核心概念:在家庭或企业宽带场景下,通常无法实现真正的“带宽聚合”(Bandwidth Bonding),但可以通过“负载均衡”来实现带宽叠加的效果。电信DNS会返回电信服务器的IP。不仅不冲突,在专业的多WAN口路由器配置中,DNS分流与负载均衡通常是配合使用的,只是它们作用在数据传输的不同阶段,解决的是不同层面的问题。
2026-04-01 08:58:59
446
原创 防火墙光模块不兼容导致的光口不稳定案例
工业防火墙割接后出现光口频繁UP/DOWN问题,表现为随机性断开且需手动插拔恢复。经排查发现,安全设备X86平台网卡对非Intel光模块兼容性差,导致与华为光模块配合时出现异常。更换为安全设备原厂光模块后问题解决。建议在涉及安全设备的项目中优先使用原厂或第三方认证光模块,避免兼容性问题影响业务稳定性。该案例凸显了不同品牌硬件间兼容性对系统可靠性的重要影响。
2026-03-25 15:45:45
36
原创 H3C无线调优案例
摘要:针对H3C无线频繁掉线问题,通过诊断发现主要存在三方面问题:一是5G频段80MHz捆绑导致同频干扰,调整为40MHz并进行自动调优;二是2.4G频段存在大量蓝牙设备干扰,建议改用5G频段;三是发现大量SSDP组播报文,通过关闭uPNP协议解决。其他优化措施包括调整SSID广播频率、启用二层隔离、禁用低速率接入及RSSI低终端接入。通过AP远程抓包和空口利用率检测(CtlBusy≥60%需处理)进一步确认问题原因,综合优化后网络稳定性显著提升。(149字)
2026-03-25 15:26:53
236
原创 Adaptec/Microchip 阵列卡命令行基本操作
摘要:本文介绍了如何识别服务器阵列卡厂家并配置新硬盘。首先通过hwinfo命令查询阵列卡型号,确认芯片厂商后下载对应工具。使用arcconf工具查看控制器编号和硬盘状态,创建RAID0逻辑盘。然后通过parted分区、mkfs格式化硬盘,编辑/etc/fstab实现自动挂载。最后提供了清除外部阵列信息和导入逻辑盘的方法。整个过程涵盖了从硬件识别到系统挂载的完整流程。(149字)
2026-03-02 13:46:02
74
原创 VRRP+DHCP+MSTP
摘要:本文介绍了华为DHCP协议的两种地址池配置方式:接口地址池适用于小型网络,全局地址池推荐用于大型网络。通过SwitchA和SwitchB的配置示例,展示了如何避免主备切换时的IP地址冲突。同时阐述了MSTP+VRRP配置要点,指出接入层交换机需修改STP接口优先级,核心交换机接口必须保持转发状态。最后说明故障切换流程:VRRP主备切换后接入交换机接口状态变化,并强调业务恢复时应配置VRRP抢占延迟以避免流量绕行。(149字)
2026-03-02 12:53:46
51
原创 华为交换机堆叠问题总结
使用100M/1000M/2.5GE/5GE/10GE BASE-T以太网电接口(MultiGE口)做堆叠口时,单设备最多支持2个逻辑堆叠口,每个逻辑堆叠口可以包含1个物理成员口,也可以包含多个物理成员口,最多包含2个物理成员口,单设备最大支持2个物理成员口。使用10M/100M/1G/2.5GE BASE-T以太网电接口(MultiGE口)做堆叠口时,单设备最多支持2个逻辑堆叠口,每个逻辑堆叠口可以包含1个物理成员口,也可以包含多个物理成员口,最多包含16个物理成员口,单设备最大支持32个物理成员口。
2026-01-24 19:38:55
760
原创 华为交换机典型配置
系统升级操作;PC作为FTP服务器,需要提前将新的版本系统文件和补丁放到FTP根目录企业用户:登录http://support.huawei.com/e,在搜索栏中输入交换机型号,单击搜索栏中联想出的路径,进入对应的产品页面,单击“软件”,选择版本,进入“版本及补丁”页签下路径,获取升级需要的版本系统软件(.cc)。
2026-01-24 18:57:08
915
原创 华为USG6525E防火墙高可用部署配置和注意事项
该项目对核心机房进行了全面升级改造,主要包括:新增H3C 6520X核心交换机IRF堆叠,部署华为USG6525E防火墙HRP主备高可用,优化无线控制器HSB VRRP热备,升级服务器接入方式为双万兆链路聚合。网络架构方面,替换了接入层POE交换机,新增联通千兆家宽作为办公出口,重新规划了96芯光纤资源。重点解决了华为USG6000E防火墙高可用部署中的VRRP配置、MAC绑定等问题,提供了详细的防火墙主备配置方案和优化建议。项目还完善了机房基础设施,包括供电系统改造、机柜整理等,为二期实现全可管交换网络奠
2026-01-20 15:34:41
1174
原创 码头网络设计方案
因此新建港口码头需要按照网络安全等级保护2.0三级为建设目标,设计建设一套稳定、先进、高效、可靠的工控网络安全监测防护体系,集中展现工控安全态势,提升港口整体工控安全监管水平和防御能力,针对系统的特点、专业性、稳定性进行设计,以国家等级保护的“一个中心、三重防护”为整体防护思想,构建港口行业工控网络安全防护体系,并完善安全管理体系,形成技术+管理的综合安全防护体系,满足实际安全防护需求。无线网络优先采用5G-A网络;建设本地5G网络,包括5G专用设备,宏基站,微基站,信号在本地进行处理,降低延迟;
2026-01-09 15:50:48
923
2
原创 迪普防火墙 DPtech FW1000系列生产环境配置指南
摘要:本文详细介绍了迪普防火墙 DPtech防火墙 FW1000 的配置与管理方法,包括设备工作模式(二三层转发机制)、安全域规则、授权激活流程、管理配置步骤(密码修改、端口设置、IP规划)、系统基础配置(时间同步、日志开关、特征库升级)以及部署模式选择(透明/三层/旁路模式)。重点说明了接口安全域划分、包过滤策略配置及防病毒模块调用等安全功能设置,为管理员提供了全面的设备部署指南。
2025-12-21 16:38:57
2353
原创 家宽会话数限制问题
摘要:用户反映网页打开缓慢但测速正常,抓包显示TCP SYN丢包。经排查发现宁波地区三大运营商对家用宽带NAT会话数限制为2048个,导致连接数不足。通过与运营商沟通,电信升级为公网IP后提供2万个并发会话,联通提供1万个会话,问题得以解决。文中提供了NAT会话数测试工具和测速工具下载链接。该案例揭示了家用宽带NAT会话限制对多用户环境的影响及解决方案。
2025-12-19 11:04:57
2000
原创 H3C MSR3620-DP系列路由器生产环境配置
摘要:本文展示了H3C出口路由器的详细配置过程,包括基础设置(系统名称、时区、DNS)、策略路由配置(基于ACL 3000/3001的电信/联通分流)、三层聚合接口连接核心交换机、双WAN口配置(电信192.168.3.254/联通192.168.2.253)、NAT转换、静态路由(默认路由优先级及多网段回程)、SSH/NTP服务配置等。特别提示:GE0为管理口(192.168.0.1),建议使用命令行配置以避免图形界面与命令行配置不一致的问题,最后需执行save force保存配置。(150字)
2025-12-18 13:57:14
266
原创 某企业虚拟化HA+备份方案和实施
摘要:针对企业老旧系统高可用与备份需求,提出基于群晖NAS的一体化解决方案。通过将2台物理服务器改造为虚拟化宿主机,并接入统一存储实现HA;同时利用群晖的SAN Manager提供iSCSI共享存储,Active Backup for Business实现无代理备份。方案实施步骤包括:P2V迁移、服务器硬件升级、ESXi安装配置、vCenter集群部署及HA/DRS功能启用。该方案以较低成本同时满足高可用与备份需求,并支持未来资源扩展。关键点在于合理规划网络、存储架构及迁移过程中的数据同步策略。
2025-11-27 13:14:45
853
原创 工业控制网络设计思路
本文介绍了工业控制网络的高可用性与安全设计原则。在网络架构方面,采用AB网保障实时性、环网确保连通性、冗余星型提升核心可靠性,并建议分层部署不同拓扑。功能上实行严格分区(企业区、IDMZ、控制区、监控区),通过VLAN隔离和防火墙管控流量。设计注重I/O性能优化,包括限制广播域、QoS优先级设置、冗余链路配置等物理措施。安全设计涵盖边界防护(工业防火墙)、访问控制(堡垒机)、主机防护(白名单机制)及设备可靠性(双电源、铠装光纤等)。全文通过分层防护策略,构建兼顾性能与安全的工业网络体系。
2025-11-12 13:29:16
579
原创 某企业网络改造后拓扑解读
1、网络分区分段 分为互联网出口Untrust区,Trust区、DMZ区、CCTV区、SSLVPN区。2、区域间都采用和防火墙三层互联,由防火墙做路由互通(部分业务开启高级威胁检测)3、关键业务通过SSLVPN拨号认证后访问。
2025-11-11 00:43:13
268
原创 MAC地址冲突导致的设备时通时不通
摘要:网络出现MAC漂移告警,排查发现是两台考勤机MAC地址冲突所致。起初怀疑IP冲突,但确认是手工分配的IP后,仍存在DHCP分配冲突IP的问题。进一步检查发现两台设备MAC地址相同,导致跨VLAN学习异常。最终确认是设备厂商出厂MAC重复,更换设备后解决。经验教训:1)DHCP地址池需排除手工分配IP或做IP+MAC绑定;2)虽然MAC地址理论唯一,但仍可能遇到设备厂商重复的情况。该案例展示了网络故障排查中需考虑各种可能性,包括违反常识的情况。(149字)
2025-11-11 00:21:43
468
原创 麒麟最新操作系统登录锁定配置
pam_faillock.so 的配置通常在 /etc/security/faillock.conf 文件中进行,或者你可以在 PAM 配置文件中直接指定参数。通常,PAM 的更改不需要重启系统,但为了确保配置被正确应用,你可以尝试重新登录几次来测试配置。配置完成后,系统无法正常登录,检查/etc/var/log/secure日志,发现如下报错,提示找不到/pam_tally2.so。对于不同的服务(如 SSH、sudo 等),PAM 配置文件可能位于不同的目录中(例如 /etc/pam.d/)。
2025-11-10 22:24:18
774
原创 某工业防火墙网桥模式部署配置要点
工业防火墙网桥模式部署要点:1)HA模式下需配置两组链路聚合,主备切换时备用链路接管;2)创建两组网桥,分别对应链路聚合的上下行端口,并配置端口联动确保故障隔离;3)Trunk口需明确指定VLAN处理;4)推荐采用带外管理,网桥无需配置IP。配置截图展示了网桥创建、VLAN设置及安全策略界面。
2025-10-15 20:54:30
293
原创 中兴交换机策略路由配置案例
企业网络出口带宽升级方案:在保留100M专线基础上新增2条1000M拨号网络,采用经济高效的TP-Link双WAN口路由器实现500终端负载均衡。通过中兴交换机配置策略路由实现智能分流:办公网段(10.0.2.0/23、10.0.10.0/23)访问互联网流量定向至路由器(10.255.255.242),服务器区域访问流量保持原路径。关键配置包括定义IPv4访问控制列表(ACL)匹配规则,在PM-QoS中设置重定向策略,并在核心交换端口应用ACL策略。该方案既保障了服务器区域访问不受影响,又实现了互联网流量
2025-10-14 17:55:24
524
原创 某高校网络规划和设计
摘要:某高校网络规划采用模块化架构,分为生活区、教学区、安防网络、数据中心和核心网络。接入层采用XGSPON/GPON技术,IP地址按功能分区划分(10.0.0.0/8),教学/生活区通过BRAS网关进行Web认证,无线网络通过SSID区分业务。数据中心采用超融合虚拟化架构,安全防护以虚拟化设备为主。光网络部署华为MA-5800 OLT设备,出口采用多运营商线路代拨方案,由深澜系统统一管理认证。安防网络独立编址(10.201.0.0/16),监控与门禁系统分网段部署。(148字)
2025-10-12 15:50:27
566
原创 某制造业公司整体网络规划设计方案和实施过程要点(全套中兴方案)
该制造业企业网络建设方案采用中兴设备构建整体架构,包含数据中心、无线覆盖、业务网络等模块。数据中心采用超融合+NAS备份方案,核心层采用万兆上行;无线网络覆盖1-4层及货梯区域,通过VLAN隔离不同业务;出口部署防火墙实现安全防护。实施重点包括:单万兆接入设计、链路聚合部署、DHCP集中管理、AGV专用无线区域等。其中货梯无线覆盖采用创新方案,通过POE交换机同时供电AP和监控,并实现业务VLAN与物业监控VLAN的逻辑隔离。方案注重成本效益,同时确保网络性能与安全性。
2025-09-28 21:16:38
984
原创 某高校防火墙割接后业务访问异常故障排查
摘要:某高校防火墙割接后出现客户端访问业务时通时断的故障。经排查发现,核心交换机PING测正常,但客户端访问存在随机性中断。抓包分析显示防火墙完成了DNAT转发,但回程数据包丢失。最终确认是虚拟防火墙配置问题:其中一个链路聚合口未加入正确的虚拟防火墙实例,导致部分流量被错误丢弃。当流量通过正确的聚合口时访问正常,通过未配置的聚合口时则出现故障。(148字)
2025-09-13 15:27:21
525
原创 virsh常用命令 笔记
常用操作https://blog.csdn.net/justlpf/article/details/126742876。注意:定义xml文件时,需要开启以下处理器特性,才能支持热插拔,否则执行attach-disk会报错。vnc连接,先查看自动分配的vnc端口号,然后使用vnc工具连接宿主机ip:vnc端口号。修改好ip后,防火墙放行,修改SSH配置文件后,可执行ssh命令连接。把磁盘disk1.qcow2连接到虚拟机vm1。把虚拟机vm1的vnc密码改为456789。接着进入虚拟机,创建分区并挂载磁盘。
2025-09-09 15:24:44
300
原创 分布式蜜罐系统的部署安装
摘要: 勒索病毒对中小企业构成严重威胁,因缺乏专业防护设备(如EDR、IPS)和备份策略,企业面临数据、经济及信誉损失。勒索攻击已产业化,但中小企业仍存侥幸心理。除采用IPS、EDR和备份外,需提升风险意识。攻击常通过RDP爆破、钓鱼邮件等入口,蜜罐技术可低成本实现早期预警。以HFish蜜罐为例,部署简单,支持分布式监控、弱密码检测和攻击溯源,通过邮件、钉钉等推送告警,有效识别可疑流量。增强主动防御能力是应对勒索攻击的关键。
2025-08-23 17:20:20
1262
原创 以科力锐为例介绍常见的数据中心4种灾备方式
摘要:本文介绍了企业异地灾备的网络架构设计和四种典型灾备方式。灾备网络主要包括备份网络和业务恢复网络,涉及备份代理、管理端、恢复目标机等组件。重点阐述了冷灾备(适合数据变化小的业务)、热灾备(实时数据同步)、裸金属P2V灾备(物理机转虚拟机)和文件系统应急恢复四种方式的操作流程和适用场景。其中冷热灾备最为常用,关键点在于灾备虚拟机网络配置和同步方式设置。文章最后指出异地灾备的核心挑战是二层网络互通问题,建议采用VXLAN或Trunk透传技术解决。(149字)
2025-07-28 21:19:15
791
原创 中兴交换机DHCP Relay 配置案例和排错思路
摘要:本文介绍了中兴交换机在两种DHCP场景下的配置方法。第一种作为DHCP中继(Relay)时,需配置中继服务器组、VLAN接口IP、上下行接口及路由,确保与Windows Server 2016 DHCP服务器通信正常。第二种作为DHCP服务器时,需配置IP地址池、策略绑定及接口模式,并与中继交换机协同工作。文中提供了详细的配置命令和验证方法,包括抓包分析和租约信息确认,并推荐使用Windows Server 2016作为DHCP服务器以便管理。两种场景均强调了网络连通性和协议放行的必要性。
2025-07-28 14:03:49
1161
原创 联想存储故障修复案例
摘要:本文记录了IBM Storwize V3700存储控制器故障的修复过程。当其中一个控制器故障时,通过带外管理口(IP 192.168.70.121/122,账号superuser/passw0rd)登录管理界面,更换同类型控制器后需等待20分钟超级电容充电完成。随后主控制器将同步固件和系统至备用控制器(约15-20分钟),待同步完成后系统恢复正常。整个过程需确保主备控制器硬件配置一致,最终可通过GUI界面确认故障消除。文中还提供了相关配置指南、命令行查询方法和错误代码参考链接。
2025-07-08 10:57:17
991
原创 网关ARP防护的措施
内网最常见的攻击方式是网关欺骗,如用户误配网关IP或路由器LAN口接入内网。华为、H3C和锐捷交换机可通过配置ARP网关保护功能来防范此类攻击:华为在接入交换机上行口配置,H3C可在接入或核心层配置,锐捷在客户机端口启用防ARP欺骗功能。发现非法设备时,可通过MAC黑洞拉黑。但若接入层使用HUB交换机,仍需终端绑定ARP网关。对于哑终端,可采用端口安全策略手工指定MAC地址。建议在服务器段开启ARP网关防护功能,结合终端防护措施规避网关冲突风险。
2025-06-28 23:02:45
1068
原创 某服云桌面访问不稳定,交换机错误配置案例
摘要:某服云桌面系统出现外网延迟大、抖动高及频繁掉线问题。经排查发现接入层交换机终端接口未配置边缘端口,导致终端开关机时产生STP TCN报文,引发全网MAC地址表刷新。此时正常单播流量变为未知单播帧泛洪,触发端口风暴抑制机制(block模式),造成业务丢包(包括ARP)。核心交换机的上下行口配置了风暴控制策略,导致单播流量被误阻断。解决方案是移除核心交换机上下行口的风暴控制配置,仅保留终端接口配置。调整后业务恢复正常。
2025-05-30 07:03:55
485
原创 勒索事件溯源
近日,某单位遭遇勒索软件攻击,导致主机和共享文件夹被加密。攻击者通过爆破3389端口获取服务器访问权限,并留下勒索信要求支付比特币以解密文件。事件发生后,单位采取了断网、备份数据、关闭共享端口等紧急措施。溯源分析发现,攻击可能通过木马软件实现,该软件关闭了杀毒软件并下载勒索程序进行加密和横向渗透。建议加强终端安全防护,安装最新杀毒软件,部署日志管理和入侵检测系统,并定期备份重要数据。同时,应加强员工安全意识教育,避免钓鱼邮件和恶意软件攻击,制定严格的密码安全策略,并关闭不必要的文件共享端口。
2025-05-20 14:17:21
807
原创 等保三级交换机加固配置解析(华为交换机为例)
设置专用安全设备管理VLAN;#创建标准ACL仅允许堡垒机管理设备;仅允许MNS网管设备。#配置管理网,网关,可以使用VRRP或者堆叠高可用。#配置DNS,为了NTP服务器解析IP使用。#建议配置浮动静态路由作为逃生链路。#针对服务器做IP MAC绑定。#配置AAA 这部分必须配置。#配置SNMPV3用于NMS。#配置登录方式和带外登录保护。#创建聚合口,用于上下联。#将日志指向日志服务器。#配置根保护,TC保护。#配置接安全设备的端口。#配置SSH加密算法。#配置权限1级别命令。
2025-05-03 07:11:40
1576
原创 某等保三级系统不符合项分析
等保对于账户的设置要求非常高,除了密码复杂度,锁定,定期更新,三权分立,禁用admin,root等常见账号以外,还要求用户名不能是常见,容易猜测的用户名,包括system,security,audit等,用户名必须随机。(包括应用系统,网络设备,安全设备,操作系统)等保三级对网管系统有要求,需要对服务器,网络设备,安全设备,业务系统进行实时监控,同时系统本身的安全也需要做好,比如采用https,账号安全,日志,告警外发,告警阈值制定,备份和恢复,版本更新,关闭不安全的服务器,开启防火墙等工作也是需要做的。
2025-04-30 17:28:33
812
原创 某单位网络改造后的若干问题
8、大量使用光电收发器,虽然节省了光纤链路资源,但是这种激光器受稳定影响大,没有模块那么稳定,并且体积,电源功耗都超过了模块,正常情况下不推荐采用光电收发器替换光模块的做法,如果要使用单条线路,可以采用BIDI光模块。1、这个问题之前文章中有过讨论,如果设备故障,由于物理网口没有bypass功能,将导致所有流量无法逃生,建议在核心交换机和出口防火墙之间增加逃生链路,配合浮动静态路由做冷备。3、服务器硬件具备多路bond接入,操作系统也支持,从并发接入的角度和链路冗余的角度都考虑采用多路接入。
2025-04-23 21:00:19
368
原创 中兴交换机接无线AP ,设备无法获取DHCP地址的原因分析
那么问题来了,类似中兴这样的交换机,trunk口配置PVID 后,对应VLAN出去的数据包是带VLAN TAG的,这样在接AP的情况下,终端设备默认是无法识别带VLAN TAG的数据包的,这种情况下需要使用Hybrid接口配置来更加灵活的配置进出接口 VLAN TAG的携带情况。通过合理配置Trunk端口的PVID和允许的VLAN列表,可以实现跨交换机的多VLAN通信,同时确保标签处理符合网络需求。某些场景(如连接服务器或支持VLAN的设备)可能需要显式配置保留Native VLAN的标签。
2025-04-19 13:03:58
917
原创 某单位业务系统等保三级网络结构分析,符合性改造前后分析
此外这是一个通用的,简化的安全模型,仅从必要的网络配置和必要的安全设备方面考虑,还需要综合考虑主机基线安全,防火墙安全策略细化,交换机ACL细化,主机防火墙安全策略细化,堡垒机配合交换机ACL做访问控制,堡垒机双因子认证,EDR策略细化,备份策略,安全演练,漏洞扫描和修复,现场资料搜集整理,人员的培训和机房管理,业务性能监测和日志审查等诸多方面来真正落实国家等级保护针对政企业务系统安全的要求。d)单元判定:如果1)- 2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
2025-04-15 07:00:24
1143
1
原创 未知单播泛洪
未知单播泛洪(Unknown Unicast Flooding)是指交换机在转发数据帧时,由于无法在MAC地址表中找到目标MAC地址对应的端口,而将该帧泛洪到同一VLAN内的所有端口(除接收端口外)。配置DHCP Snooping或IP Source Guard防止MAC欺骗。使用端口镜像抓包,分析泛洪流量特征。
2025-03-19 08:29:37
1206
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人