network
LifeSecret
追求简单的结束战斗,大部分时间在磨刀霍霍
展开
-
vsphere client 无法查看虚拟机的网卡情况
之前遇到过这种情况,如下图昨天在网络上搜索 openfalcon 监控vsphere的时候发现了一个项目:https://github.com/freedomkk-qfeng/vsphere-monitor, 其中最后有一段话是说,是由于vsphere 6 update 1 之后才更新了这个bug那么 update 1这个版本的build是多少呢,https://kb.vmware...原创 2018-03-06 15:54:13 · 1763 阅读 · 0 评论 -
vyos - 线上切换小记录
切换过程还算是顺利老的删掉 * 路由器删除sub地址, 删除nat destination条目 * 核心交换机shutdown网关地址新的增加 * 增加出口地址和映射 * 增加内网网关切换后遇到的问题 * 出口地址ping网关过了大概3分钟才通,估计和移动运营商的宽带猫有关系。原创 2017-09-01 09:07:26 · 1597 阅读 · 0 评论 -
vyos - 丢包
show interface ethernet eth1.106 发现有丢包,经过tcpdump排查,怀疑是收到了来自0011-2233-4455的ether type为0x8847的干扰,从入口的地方禁止掉acl number 4100 name "disable stp packets on a vpn port " rule 100 deny type 0000 ffff rule 200原创 2017-09-09 17:22:57 · 1371 阅读 · 0 评论 -
vsphere虚拟机跑 vyos+serial over network
服务器虚拟化的时候,网络也少不了虚拟化,这个时候我选择 vyos, 如果搭上management网络的话,我选择serial over networkhttps://pubs.vmware.com/vsphere-51/index.jsp?topic=%2Fcom.vmware.vsphere.vm_admin.doc%2FGUID-95F75E85-1944-4FE7-A909-66E92068原创 2017-08-29 22:35:23 · 915 阅读 · 0 评论 -
vyos - pbr study
# PBR## 感兴趣流量edit policy route LAN-1 rule 10set destination address 0.0.0.0/0set source address 10.5.0.0/24set set table 1upedit rule 20set destination address 0.0.0.0/0set source address 10.5.原创 2017-09-07 10:09:32 · 837 阅读 · 0 评论 -
h3c - s5130 irf conf
first devicereset saved-configurationinterface ten-gig 1/0/51shutdowninterface ten-gig 1/0/52shutdownirf member 1 renumber 1irf member 1 priority 20irf-port 1/2port group interface ten-giga1/0原创 2017-09-13 14:35:57 · 1123 阅读 · 0 评论 -
h3c smart link
简介加入giga1/0/3和giga1/0/5是互联A点和B点之间的两根专线,为了防止一条线故障造成业务影响,两根线的防单点措施是使用smart-link技术。最关键的地方是 stp region-configuration,虽然我还没怎么搞清楚为啥不绑起来用呢? 因为smart-link只要求链路的一方操作即可,无需两方,实时起来比较容易些。主要配置# 防止配置的时候造成环路,先把口子都down原创 2017-08-25 09:28:25 · 1865 阅读 · 0 评论 -
没有防火墙的网络如何禁止外部访问路由器的telnet
在h3c交换机上acl number 3100 description "for outbound router acl not permit outside access our 23 port" rule 100 deny tcp destination-port eq telnet rule 10000 permit ip原创 2017-08-21 20:13:07 · 1843 阅读 · 0 评论 -
h3c 配置 时钟
配置模式 clock timezone CST add 08:00:00 clock protocol none一般模式下clock datetime 17:28:45 08/14/2017原创 2017-08-14 17:30:50 · 5500 阅读 · 0 评论 -
huawei hybrid 端口的作用到底是啥
实现二层隔离。看了一些参考,发现这篇文章适合 https://wenku.baidu.com/view/605a2ac28bd63186bcebbca3.html?from=search。原创 2017-08-10 13:27:03 · 6833 阅读 · 1 评论 -
sflowtrend 简单查看 二层口子里面的流量
sflowtrend 简单查看 二层口子里面的流量原创 2017-08-03 11:38:37 · 2605 阅读 · 0 评论 -
用sflow玩儿转 共享专线带宽占用情况
yum install redis hiredis-devel php-pecl-redisyum install ntopng nprobeyum install pfring-drivers-zc-dkmsyum install pfring n2disk nprobe ntopng ntopng-data centosudo systemctl start redis.services原创 2017-08-02 23:31:15 · 768 阅读 · 0 评论 -
h3c smart link - 一个端口down 另一个起来
http://www.h3c.com/cn/Service/Document_Center/Switches/Catalog/S3100/S3100-EI/Configure/Operation_Manual/H3C_S3100_OM-Release_22XX(V1.00)/201202/738002_30005_0.htminterface Ethernet 1/0/1stp disablei原创 2017-08-08 13:33:39 · 2197 阅读 · 0 评论 -
vyos - 遇到专线 不丢包 就只允许ip和arp
acl number 4100 name "disable stp packets on a vpn port " rule 51 permit type 0806 ffff rule 52 permit type 0800 ffff rule 99 deny在收到各种cdp、stp二层包后,可以减少咱们的vyos因为识别不了数据包而丢弃,导致咱们分不清是vyos的性能问题导致的丢包还是由于收原创 2017-09-10 14:36:16 · 1325 阅读 · 0 评论 -
vyos bug - a tcp flow is working, and it will also working at the step you change the port or other
早先同事就提醒过软路由这个东西不能轻易使用,今天就遇到了一次。当前有流量大概1MBps, 但是使用 monitor interface 去查看的时候,居然显示没有,这是怎么回事儿呢?monitor interface 查看没有流量,可是流量明明在传着shutdown 接口 。。 没效果tcpdump 能看到流量了重启以后发现,一切正常。后来查看,希望可以通过clear掉nat的conntra原创 2017-08-31 16:32:16 · 446 阅读 · 0 评论 -
vyos - conntrack 超时与消耗内存
自动切换到vyos后,发现conntrack里面的conn连接很多,这个是由于: 1. 开启了NAT 2. 外界访问内部的端口,由于映射,需要vyos进行tcp conntrack,但是程序是短连接,定时上报,造成会在vyos内存里面待很长时间。可以通过修改vyos系统里面的timeout时间搞定,但是继续观察观察再说,看看内存还能吃多少。root@vr-jkzx:/proc/sys/net/n原创 2017-09-02 10:07:43 · 1407 阅读 · 0 评论 -
vyos as a firewall
如果交换机工作在二层 如果路由器工作在三层 如果防火墙可以像个警察一样可以允许这个过允许那个数据包不过那么vyos算是一个防火墙。参考https://support.rackspace.com/how-to/configuring-interface-based-firewall-on-the-vyatta-network-appliance/https://forum.vy...原创 2018-03-02 17:07:31 · 1397 阅读 · 0 评论 -
vyos in or out 限流量
# shaper 只能用于outset traffic-policy shaper eth1-2-outpu bandwidth 100Mbitset traffic-policy shaper eth1-2-output default bandwidth 20%set traffic-policy shaper eth1-2-output default ceiling 40%set ...原创 2018-03-02 16:41:17 · 1510 阅读 · 0 评论 -
服务器双网卡
/etc/sysconfig/network-scripts/ifcfg-ens33ifcfg-ens160route-ens33原创 2018-03-09 16:53:28 · 3122 阅读 · 0 评论 -
use python pyshpere to get vsphere vm cpu month usage statistics
refhttps://www.slideshare.net/alanrenouf/vsphere-apis-for-performance-monitoringhttps://groups.google.com/forum/#!topic/pysphere/Z1K8KKshTZEhttps://groups.google.com/forum/#!topic/pysphere/jjUGi...原创 2018-02-26 21:45:20 · 903 阅读 · 0 评论 -
关于网络流量监控之5分钟流量监控的意义
一般我们的监控网络流量的时候,经常选择cacti、mrtg等,默认5分钟出一次平均数,但是这样的意义又有多大呢?如下图,是我们采用openfalcon监控的数据:第一张图片的移动的蓝色20Mbps出口和第二张图片的242Mbps,这两个之间有一定关系,但是两者数值相差很大,是由于第二张图片是测速,突发比较大,但是并不会持续1分钟(openfalcon监控两个时间点的1分钟),所以一原创 2018-01-30 16:09:21 · 2279 阅读 · 0 评论 -
机房测速
最近遇到一个问题,机房百兆专线,除了测试全国ping之外,怎么才能测试它的带宽包括上传和下载呢?一开始采用常规的测试,就是用360或者pc管家的测速测试,发现下载轻松达到11.1MB/s但是上传只有1.5MB/s,这个对于企业百兆专线来讲确实是不应该的。 于是打电话给联通,联通的人也比较专业,虽然我们这边是小城市。对方说,访问网址www.speedtest.net进行测试试试。经过测试还是达原创 2018-01-30 13:10:56 · 783 阅读 · 0 评论 -
邂逅天融信防火墙 - 新增公网链路
机房本来有一条移动链路,由于业务需要,另外添加了一条联通线路,可是这条线路应该怎么融入进去我们的系统呢。搞定端口映射 先来看看 我们如何面对端口映射,因为业务总是对外服务的,所以通过端口映射,可以达到让外界用户访问内部资源的需求:如上图,通过添加一条PBR,也就是策略路由。对于外网端口映射的情况,当外界访问的时候,数据包经过把DST转换成内部地址进入内部是没有问题的,但是当数原创 2018-01-30 11:39:50 · 1309 阅读 · 0 评论 -
关于企业上云的一些想法
最近在省内开始了企业上云,从省会到各市然后到各个区县,一共支持三年,力度着实不小。企业上云 貌似开会的针对的人群有误差。当前针对的是企业,可是企业一般不会直接碰到 iaas 或者paas ,直接面对saas倒是有可能,但是这种情况下也无需开会了 比如 钉钉 直接用就好了。 针对的应该是 开发者? 也不是,现在的开发者那么珍惜时间,也会直接使用 ali或者其他的。 那么政府的目的或者这里面能有什...原创 2018-02-09 09:51:44 · 950 阅读 · 0 评论 -
vyos - serial port timeout
在esxi里面,给vyos配置了serial之后,虽然方便了带外管理,但是会带来一个问题,如果用户A进行了管理,但是没有退出,一直占用,那么其他人就没法连接了。可以尝试https://help.ubuntu.com/community/SerialConsoleHowto原创 2017-09-02 18:04:15 · 661 阅读 · 0 评论 -
vyos - firewall 推荐读物
https://community.brocade.com/dtscp75322/attachments/dtscp75322/SoftwareNetworking/14/1/Vyatta_Firewall_Best_Practices.pdf原创 2017-09-02 16:07:13 · 620 阅读 · 0 评论 -
ping延迟小 但是有丢包 怎么解释
延迟小,但是有丢包。延迟小,说明路由没啥问题。 丢包: 可能中间过程中丢,也可能是最终目的地丢。原创 2017-07-20 08:42:43 · 9517 阅读 · 0 评论 -
h3c s5500 ei irf mad bfd
http://www.h3c.com.cn/MiniSite/Technology_Circle/Technology_Column/ICG/ICG_Technology/201108/723100_97665_0.htm原创 2017-07-31 21:41:44 · 887 阅读 · 0 评论 -
ping延迟测试 - 视频会议系统
From 济宁 TO 延迟(ms ) 丢包 北研 30 3 梁山 20 20* From 梁山 TO 延迟(ms ) 丢包 北研 40 10* Frrom 青云 TO 延迟(ms) 丢包 北研 5 2 梁山 30 20 济宁-电信 25 – 济宁-联通 30 –原创 2017-07-19 12:54:24 · 1530 阅读 · 0 评论 -
网络测线器的能力
昨天发生了一件事儿,颠覆了三观啊。网络测线器 直接从配线架上扯下来一根线,对着就是一阵测试,看到同事的这一做法,我镇住了。后来想想,也是, 网络测线器就是测试网络联通性的,如果对方接在电脑的主机上,使用网络测线器可以测出如果网线一端接在交换机上,使用网络测线器也可以测出过去的排障只是凭着感觉,客户说上不去网了,过去看看网线灯是否亮,看看地址是否正确。。。下次再遇到客户上不去网,测线器直接上,看原创 2017-01-17 10:09:18 · 647 阅读 · 0 评论 -
小米无线路由器 + ubuntu + upnpc = 直接映射自己的端口
公网地址那么少,都是内网的机器,可是有的时候还是需要端口映射的,但是一个一个打开网页去弄还真是有点麻烦,于是想到了upnp。ubuntuapt-get install -y miniupnc命令upnpc -a 192.168.31.176 9000 9000 TCP成功后的结果是ops@ops-MS-7732:~$ upnpc -a 192.168.31.176 9000 9000 TCPupn原创 2016-12-30 16:44:44 · 3303 阅读 · 0 评论 -
一次网络调整的过程
今儿遇到了一个网络小割接,就是某个地方呀,之前上正常上网滴,这次由于项目,需要接入专线,访问某个机房的数据,由于数据有大量视频数据,所以拉扯了一根千兆光纤。所以,网络小改造不管咋地,落到了我的头上。先看下改造前的网络情况。虽然是小网络,不过也被他们玩儿的有点坏了,Fast交换机口子不够,用了一个5口交换机。 那么专线该如何接入呢?用户的目标是既能访问Internet,也能访问专线。所以就做了如下原创 2016-11-01 19:03:27 · 1253 阅读 · 0 评论 -
推荐 网件office千兆交换机
http://item.jd.com/2531845.html#挺不错的交换机:每个端口居然有那么多的表现状态的形式。猜一下 速度:右上灯 琥珀色千兆,绿色百兆连接:有灯亮就,不管千兆还是百兆都可以表示活动:坐上灯表示,一闪一闪表示有活动8个千兆,居然还有两个充电USB口,业界良心名称: GSS108E大小:长度只有30cm多一点点,不错的啦。原创 2016-11-01 14:25:11 · 557 阅读 · 0 评论 -
h3c 双wan工作模式简单配置
双wan工作模式 解决方案有这么一个场景,本来呢我们出口是联通的,但是我们在移动机房有机器,所以互联起来延迟有些大,但是这个时候领导说我们其实还有一个移动出口(由于慢,所以后来就没有用),这次是派上用场了。先看下我们的两个出口信息 移动:WAN1 联通: WAN2我们的目标是使用移动线路,有点像策略路由。接口设置 > wan设置 > 双wan工作模式 > 导出 导出后我们进行修改,然后再导原创 2016-11-07 14:20:59 · 13841 阅读 · 0 评论 -
h3c 出口路由器mac地址过滤
为了增强办公区网络安全性,对于上网的用户采取绑定mac地址的策略。对于h3c应该如何使用呢?安全专区 > 接入控制 > mac地址过滤 >新增,输入mac地址和描述就可以了。关于描述,可以采取 部门, 人员, 设备类型。另外, 查询的时候,如果是查询mac地址,格式要是 大写,冒号分隔。原创 2016-11-07 09:42:50 · 3541 阅读 · 0 评论 -
华为路由器远程ssh登录配置
背景一般企业出口路由器会选择华为路由器,过去一般采用telnet,现在改成了ssh,一般还要增加修改ssh的端口,因为默认的端口容易造成攻击,但是即使如此,端口还是会被别人扫出来,导致进行暴力密码破解,然后工程师进行登录的时候,即使密码输入正确,也会由于账户的错误登录次数超过了一定时间内的限定。解决方案不要部署admin root等常用的用户名到aaa里面一般华为路由器ssh配置如下steln原创 2016-09-01 09:01:54 · 28851 阅读 · 0 评论 -
华为路由器 端口映射与防火墙
场景一般企业网络由于缺少IP地址,所以很多内部的对外服务需要路由器上面做NAT进行映射。但是映射也会遇到一些安全问题,需要部署相应的filter进行过滤和防护。解决方案华为路由器信息Huawei Versatile Routing Platform SoftwareVRP (R) software, Version 5.160 (AR2200 V200R005C20SPC200)Copyri原创 2016-09-01 08:51:36 · 6658 阅读 · 0 评论 -
H3C Office 防火墙基本操作
场景假设我们有一台办公区的出口防火墙,一些简单的操作如下场景1 - 限制mac地址访问公网场景2 - NAT设置高级设置 -> 地址转换原创 2016-08-28 19:09:21 · 826 阅读 · 0 评论 -
华为路由器 批量生成NAT映射配置
场景加入我们有一批NAT的条目需要录入路由器,那么我们应该如何正确操作的,是一条一条写入呢,还是…。接下来有一个简单的小脚本进行梳理。#!/bin/bashfor line in `cat natList.txt`do #echo $line part1=`echo $line | awk -F+ '{print $1}'` part2=`echo $line | awk原创 2016-08-28 19:06:50 · 2455 阅读 · 0 评论 -
华为路由器域内NAT配置
场景加入我们有一台路由器,简单的一个192.168.0/24的内网,一个出口地址做了NAT,然后我们增加了一个feature,端口映射,而且是一大批端口映射,此时,我们从外部访问NAT的映射服务当然没有问题,但是当从内部通过公网映射调用的时候就有问题了,会被RST,就是重置。这个时候,我们就要用到域内NAT了。方案1公网口(g0/0/1)acl number 2999 rule 5 perm原创 2016-08-28 19:02:58 · 9865 阅读 · 0 评论