网工格物 - Blog

简介基于 H3C HCL Cloud 搭建测试。 使用一个AC控制三个AP，业务VLAN为100，AP管理VLAN为50。 实验拓扑 实验步骤核心交换机配置12345678910111213141516171819202122232425262728293031323334353637383940414243vlan 50#vlan 100dhcp server ip-pool VLAN100gateway-list 192.168.0.1network 192.168.0.0 mask 255.255.255.0dns-list 1.1.1.1forbidden-ip 192.168.0.1forbidden-ip 192.168.0.2forbidden-ip 192.168.0.3interface Vlan-interface100ip address 192.168.0.2 255.255.255.0dhcp server apply ip-pool vlan100interface GigabitEthernet1/0/1port link-mode bridgepo...

简介为了保护其业务，组织必须控制对其 LAN 和资源的访问。安全策略通常用于此目的。无论是在公司内部通过 LAN 进行安全访问，还是在与外部网络（如 Internet）的交互中，都需要安全访问。Junos OS 通过其状态防火墙、应用程序防火墙和用户身份防火墙提供强大的网络安全功能。所有这三种类型的防火墙实施都是通过安全策略实现的。状态防火墙策略语法将扩大，以包括应用程序防火墙和用户身份防火墙的其他元组。 在 Junos OS 有状态防火墙中，安全策略根据哪些流量可以通过防火墙以及流量通过防火墙时需要对流量执行的操作来强制执行传输流量规则。从安全策略的角度来看，流量进入一个安全区域并退出另一个安全区域。 这种从区域 和 目标区域 的组合称为 上下文。每个上下文都包含一个 有序的策略列表 。每个策略都按照其在上下文中定义的顺序进行处理。可以从用户界面配置的安全策略通过定义在计划时间允许从指定 IP 源到指定 IP 目标的流量类型，控制从一个区域到另一个区域的流量流。通过策略，可以拒绝、允许、拒绝（拒绝并将 TCP RST 或 ICMP 端口无法访问的消息发送到源主机）、加密和解密、...

简介基于PNET-LAB模拟器，使用 vSRX-NG 23.4R1.9 镜像进行实验。 实验需求两台防火墙配置基于路由的 IPsec VPN，打通两边站点内网。 ISP 路由器使用Cisco IOS模拟。 基础配置参考：https://songxwn.com/Juniper-SRX-snat/ SRX的基础配置1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950set system root-authentication plain-text-password# vSRX 默认无root密码，会强制要求配置一个。set system host-name SRX01# 配置设备的主机名，方便标识。set system time-zone Asia/Shanghai# 配置设备时区，可能需要手动导入时区文件。https://www.juniper.net/documentation/cn/zh/software/junos/time-mgmt/topics...

简介基于PNET-LAB模拟器，使用 vSRX-NG 23.4R1.9 镜像进行实验。 实验需求配置WAN口 LAN口，实现基础的上网功能。配置NAT、DHCP。 ISP 路由器使用Cisco IOS模拟，与SRX对接口配置 1.1.1.2，Lookback0配置114.114.114.114/32 实验步骤实验拓扑 基础配置 - root密码、主机名、时区NTP。1234567891011set system root-authentication plain-text-password# vSRX 默认无root密码，会强制要求配置一个。set system host-name SRX01# 配置设备的主机名，方便标识。set system time-zone Asia/Shanghai# 配置设备时区，可能需要手动导入时区文件。https://www.juniper.net/documentation/cn/zh/software/junos/time-mgmt/topics/topic-map/configure-time-zone.htmlset system...

简介配置Frostmourne 接入Elasticsearch源进行日志匹配告警，并静默规则，告警消息发送到企业微信，告警信息使用Markdown。 部署安装教程查看： https://songxwn.com/frostmourne_install ELK 安装教程：https://songxwn.com/elk/ ELK集群：https://songxwn.com/elk_cluster/ 添加ES 数据源数据管理 > 数据源 > 新增 类型选择 ES 名称任意填写 服务地址需要写ES地址+端口号，支持写多个ES地址方便集群接入，以逗号隔离。如 192.168.0.1:9200,192.168.0.2:9200 版本选择你的ES对应版本。 HTTPS、认证用户、密码。根据自己清空填写。 添加数据名 （索引集合）用于匹配多个索引，选择数据管理 > 数据名 > 新增 类型选择ES 名称按需填写 数据源选择上一步添加的 说明填写有意义的名字，用于下一步操作。 时间字段写 @timestamp 索引前缀填写你要匹配的索引组 时间后缀写YYYY...

什么是M-LAG ?M-LAG（Multichassis Link Aggregation Group）提供一种跨设备链路聚合的技术。M-LAG通过将两台接入交换机以同一个状态和用户侧设备或服务器进行跨设备的链路聚合，把链路的可靠性从单板级提升到设备级。同时，由于M-LAG设备可以单独升级，保证了业务流量的稳定性，使得M-LAG技术在数据中心网络广泛应用。 PS：M-LAG 技术虽然大家都有，但各大品牌并不互相兼容。 为什么需要M-LAG近几年来，M-LAG作为一项虚拟化技术被广泛使用，然而M-LAG技术的发展并非一蹴而就。 众所周知，传统的数据中心网络采用设备和链路冗余保证高可靠性。因其链路利用率低和网络维护成本高，数据中心交换机又提出了堆叠技术，将多台交换机虚拟成一台交换机，达到简化网络部署和降低网络维护的目的。 为了满足业务量增大和对网络更高可靠性的要求，于是出现了M-LAG虚拟化技术，通过多台设备间的链路聚合将链路的可靠性从单板级提高到设备级。 STP+VRRP技术传统的数据中心网络采用STP+VRRP协议来保障链路冗余，满足了基本的可靠性需求。 STP+VRRP技术示意...

简介为实现应用系统的冗余，经常会双机或者多机部署（如数据库集群等）。在VMware 集群里面，要保证不同应用集群的节点虚拟机在不同的物理宿主机上，防止单个宿主机故障，影响多个应用集群的节点故障。（尤其在开启RDS的集群上） 此功能基本 vCenter 6.5 以上就有。 PS：其实就是鸡蛋不要同时放在一个篮子里。 配置配置方法如下（以 vCenter 8.0为例）： 选择集群 > 点击配置界面 > 点击虚拟机/主机规则 > 点击添加 选择类型为单独的虚拟机 > 然后添加需要互斥的虚拟机。 参考文档：https://docs.vmware.com/cn/VMware-vSphere/8.0/vsphere-resource-management/GUID-0591F865-91B5-4311-ABA6-84FBA5AAFB59.html https://blogs.vmware.com/vsphere/2012/05/combining-affinity-rule-types.html

简介Juniper QFX5110 系列交换机是支持OSPF ISIS BGP MPLS等高级路由功能的，但需要对应的license许可。虽然你没有license也可以用，但日志会持续打印设备没有license，影响日常排障、占用过多的存储、也可能影响稳定性。 所以需要将其过滤掉，不写入到本地存储和发送到syslog服务器。 配置命令1234set system syslog file messages match "!(.*license*)"# 本地文件过滤掉和license相关的日志set system syslog host 1.1.1.1 match "!(.*license*)"# 远程syslog服务器过滤掉和license相关的日志 PS：也适用于其他类型的日志过滤和其他Juniper设备。 扩展-其他告警消除默认配置下会有以下告警造成红灯。 1234request system configuration rescue save// 保存当前配置为救援配置，消除 alarm 告警。set chassis alarm ma...

路由反射器简介引入路由反射器，可以简化IBGP全互联的需求和配置，也可以减轻网络和CPU的负担、和不必要的BGP Update。 相对于BGP联盟也更利于排错。 PS：iBGP全互联是因为iBGP的水平分割防环机制。 引入路由反射器之后存在3种角色： RR（Route Reflector）： 路由反射器 Client：客户机 Non-Client：非客户机PS：是否为客户机，是由RR指定的。 RR会将学习的路由反射出去，从而使得IBGP路由在AS内传播无需建立IBGP全互联。 当RR收到对等体发来的路由，首先使用BGP选路策略来选择最佳路由。在向IBGP邻居发布学习到的路由信息时，RR会按照一定规则来发布路由。 路由反射器相关角色：RR：允许把从IBGP对等体学到的路由反射到其他IBGP对等体的BGP设备，类似OSPF网络中的DR。 Client：与RR形成反射邻居关系的IBGP设备。在AS内部客户机只需要与RR直连。 Non-Client：既不是RR也不是客户机的IBGP设备。在AS内部非客户机与RR之间，以及所有的非客户机之间仍然必须建立全互联关系。 Originato...

简介 配置OSPF FRR+BFD+智能定时器 OSPF与BGP联动 FRR 快速重路由，提前计算出备份路径，当链路故障时候，将流量快速切换到备份路径上。将中断时间减少到50ms内。 BFD（Bidirectional Forwarding Detection，双向转发检测）是一种基于RFC 5880标准的高速故障检测机制，两个系统建立BFD会话后，在它们之间的通道上周期性地发送BFD报文，如果一方在协商的检测时间内没有接收到BFD报文，则认为这条双向通道上发生了故障。上层协议通过BFD感知到链路故障后可以及时采取措施，进行故障恢复。 智能定时器，可以控制加快LSA的生成的接收和根据LSDB计算的路由生成，从而减少因链路变化而造成中断时间。（但调低间隔会占用多余的设备资源） BGP联动特性，当有新的设备加入到网络中，或者设备重启时，可能会出现在BGP收敛期间内网络流量丢失的现象。这是由于IGP收敛速度比BGP快而造成的。 使能之后OSPF与BGP联动特性的设备会在设定的联动时间内（BGP收敛完成前）保持为Stub路由器，也就是说，该设备发布的LSA中的链路度量值为最大值...

简介基于Rocky LInux 8+ 测试，也适用于其他RHEL8-10衍生发行版和Debian系列发行版。 注意关闭SElinux和配置防火墙。 日志文件存放主目录为 /var/syslog/下，会自动创建发日志主机IP的文件夹，并将日志存放在每天创建的log文件里面。 路径格式 /var/log/主机IP地址/主机IP地址_年-月-日.log 如：192.168.0.1_2038-02-27.log 以文本存储方式虽然不便于搜索，但可以按照每台每天的日志全部下载，Rsyslog相对于ELK也更轻量化、简单化、占用资源低。 也可以配置定时任务，压缩历史日志，以节省存储空间。 RHEL 系用dnf安装1234dnf install rsyslogsystemctl enable --now rsyslog# 确认已经按照和配置开机启动。 Debian 系用apt安装12345apt updateapt install rsyslogsystemctl enable --now rsyslog# 确认已经按照...

简介适用于盛科使用CentecOS系列的交换机，如E580/E530/E680等。 1、自动扫描电源，并监测状态。2、自动扫描风扇，并监测状态。3、自动扫描温度传感器，并监测状态，自动匹配最高和最低温度告警，4、监测CPU、内存等状态。5、获取开机时间、序列号、交换机系统版本。6、自动扫描光模块，并记录其收光状态。（无告警） 下载地址：https://songxwn.com/file/Centec_CentecOS_Hardware_by_SNMP2024.zip 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120...

介绍本教程适用于9-11+版本的Grafana，域控（AD）使用Windows Server 2022搭建，域控等级为 2016。 域控域名为 songxwn.com 最终实现AD用户统一认证，统一改密，Grafana用户自动添加。权限由Grafana控制 全局开启LDAP修改/etc/grafana/grafana.ini 文件 1vim /etc/grafana/grafana.ini 修改并取消注释以下参数即可 1234[auth.ldap]enabled = trueconfig_file = /etc/grafana/ldap.tomlallow_sign_up = true 配置LDAP对接文件修改/etc/grafana/ldap.toml文件 1vim /etc/grafana/ldap.toml 文件示例 host 为域控制器地址。 port 默认为 389即可，不开启加密 bind_dn 为域控账号，用于搜索域控账号 bind_password 为上面账号的密码 search_filter A...

介绍本教程适用于6.4-7.0+版本的Zabbix，域控（AD）使用Windows Server 2022搭建，域控等级为 2016。 域控域名为 songxwn.com 最终实现AD用户统一认证，统一改密，Zabbix用户自动添加。（6.4之前不支持） 认证配置创建Zabbix本地LDAP映射组创建一个LDAP用户组，用于权限管理等。注意配置前端访问模式为LDAP。 修改默认认证方式修改默认认证方式为LDAP，并添加取消配置用户组（禁止使用用户组）一般配置自带的Disabled组即可。 接入AD域控服务器-实现LDAP身份统一认证选择启用LDAP验证，启用JIT服务开通功能。然后点击添加LDAP服务器。 配置LDAP服务器 名称：任意填写即可 主机为域控的主域名或域控服务器IP地址。（使用域名需要配置对DNS） 端口默认389即可。 基于DN，参考下面配置，我的域控域名为songxwn.com (可以使用域控上ADSI工具查看) 搜索属性AD环境必须为sAMAccountName 绑定DN为可登录的域控账号 绑定密码为上面域账号的密码 勾选配置准时(JIT)服务开通 组名属...

定义智能无损网络是基于PFC优先级流控机制，结合智能化拥塞控制技术，使以太网满足分布式高性能应用无丢包、低时延、高吞吐诉求的能力。 本文档介绍了智能无损网络的配置，具体包括PFC优先级流量控制、无损队列的缓存空间优化、无损队列的动态ECN门限、无损队列的AI ECN门限、快速ECN拥塞标记、快速CNP拥塞通知、无损队列的大小流区分调度、动态负载分担和网算一体。 目的随着全球企业数字化转型的加速进行，数据中心的使命正在从聚焦业务快速发放向聚焦数据高效处理进行转变。为了提升数据处理的效率，HPC高性能计算、分布式存储、AI人工智能等当今热门应用要求数据中心网络具有无丢包、低时延、高吞吐的能力。然而传统的基于TCP/IP协议栈的网络通信由于在数据拷贝等关键环节资源消耗较大并且时延过高，无法满足对网络性能的高要求。 RDMA（Remote Direct Memory Access，远程直接内存访问功能）利用相关的硬件和网络技术，使服务器的网卡之间可以直接读内存，最终达到高带宽、低时延和低资源消耗率的效果。但是RDMA专用的InfiniBand网络架构封闭，无法兼容现网，使用成本...