leadlxx

  一般来说 IPSEC的流量分布于基于总部与分支之间,分支与分支之间的流量分布较少，若分支到分支通信必须跨越中心，这会耗费中心的资源并导致带宽占用导致延时.而且分支多的时候,管理与维护必将繁琐，且不便于维护和排错.如果让分支到分支的流量不跨越中心,而且引入动态路由,将使得网络便于维护和得到充分利用.
但是IPSEC只支持单播加密,而动态路由的更新依赖于多播(RIPV1)或组播(RIPV2,EIGRP,OSPF),到这里我们便引入了动态多点VPN （DMVPN）的概念。

动态多点VPN 依赖于GRE和NHRP

GRE：通用路由封装。它可以封装任意一种的网..

SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN， 这是因为SSL 内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。


试验平台软件如下:：

 

路由器IOS使用 c7200-advipservicesk9_li-mz.124-11.t.bin 

 

SSL VPN 客户端软件：sslclient-win-1.1.3.173.pkg (只支持XP,若需要支持XP以上请到思科下载或从最新版的SDM中提取)

客户端:XP
拓扑图如..

在一些情况下必须让VirtualBox虚拟客户机的时间和主机不同步,百度了一番终于找到方法:
首先关闭关闭windows time服务
net stop W32time
在VirtualBox虚拟客户机注册表下

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBoxService项下ImagePath值改为system32\VBoxService.exe --disable-timesync ，加上参数--disable-timesync ,禁止guest addition 启动时时间同步
Restart客户机 不同步了.

ADSL QOS

前言：
　　现在很多大的企业网络规划时使用OSPF协议，不仅仅考虑网络设备的兼容，主要是OSPF确实比EIGRP有优势，特别是在网络整合方面，如：公司合并或收购其它公司时。至于OSPF与EIGRP的区别，在此不再赘述。很多人在学习OSPF的过程中编写了很多很好的学习笔记，但基本上都是书上的实验，不具有现实代表性。这里根据我的经验，总结一下关于OSPF配置方面的技术和工程实践经验。<

/P>
　　一、      OSPF技术简..

今天上网看到我朋友家的ADSL账号可以多拨的,这样不就是双倍网速了
研究下了 ,发现虽然我们地区的ADSL账号是绑定的 ,只能单拨一次,但是电信的BRAS服务器判定可不可以多拨是看拨号的那个机器的MAC地址,也就是说A 拨号上去了,这个账号就给A在用着,其他人拨都不行,但其他机器可以改了自己的MAC地址为A的MAC地址上去,然后可以重拨上去,看来这电信是依靠MAC地址和物理定位方案来限制多拨的,
看了下BAS物理位置定位方案,电信应该是采用了PPPoE+物理位置定位方案,
DSLAM在收到用户的PPPoE PADI和PPPoE PADR报文以后，在报文里增加..

 
chmod 777 aa.sh  
chown gdlc aa.sh //设定所有者为gdlc
chgrp gdlc aa.sh //设定拥有组为glc
chattr +-i a.txt   // +i 不恩那个删除修改写入 ,-i恢复默认权限
lsattr -a //显示当前目录所有隐藏属性
lsattr  -Ra  //递归当前目录所有隐藏属性
cat //显示文档内容
tail //显示文档默认后10行内容
tail -n 20 //显示文档后20行内容
tar -cf aa.tar  aa
tar -czf aa.tar  aa   //gzip压缩
tar -xzf aa.tar  -C gdlc //解压到gdlc目录
进入目录 gdlc  
ta..

EIGRP
 
 
拓扑如下:

 
 
路由A实现通往路由C 的lo0接口,启用非等价负载均衡
 
查看路由A的route table
Router#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
     10.0.0.0/30 is subnetted, 4 subnets
D       10.3.1.0 [90/6023936] via 10.4.1.2, 00:00:50, Serial1/1
D       10.2.1.0 [90/6023936] via 10.1.1.2, 00:01:00, Serial1/0
C       10.1.1.0 is directly connected, Serial1/0
C       10.4.1.0 is directly connected, Serial1/1
C    192.168.1.0/24 is directly connected, Loopback0
D    192.168.2.0/24 [90/6151936] via 10.4.1.2, 00:00:50, Serial1/1
                    [90/6151936] via 10.1.1.2, 00:00:50, Serial1/0
 
通往192.168.2.0/24的路径有2条 ,而且度量值是相同的 EIGRP自动实现负载均衡
现在把s1/1的bandwidth 改为512，S1/0的bandwidth改为256
Router#show ip route         
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
     10.0.0.0/30 is subnetted, 4 subnets
D       10.3.1.0 [90/6023936] via 10.4.1.2, 00:01:26, Serial1/1
D       10.2.1.0 [90/6535936] via 10.4.1.2, 00:01:26, Serial1/1
C       10.1.1.0 is directly connected, Serial1/0
C       10.4.1.0 is directly connected, Serial1/1
C    192.168.1.0/24 is directly connected, Loopback0
D    192.168.2.0/24 [90/6151936] via 10.4.1.2, 00:01:26, Serial1/1
所以现在路由A走S1/1的路
现在设置Variance值
先看下eigrp拓扑
Router#show ip eigrp topology
IP-EIGRP Topology Table for AS(100)/ID(192.168.1.1)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
       r - reply Status, s - sia Status
P 10.3.1.0/30, 1 successors, FD is 6023936
        via 10.4.1.2 (6023936/5511936), Serial1/1
P 10.2.1.0/30, 1 successors, FD is 6535936
        via 10.4.1.2 (6535936/6023936), Serial1/1, serno 120
        via 10.1.1.2 (11023872/5511936), Serial1/0
P 10.1.1.0/30, 1 successors, FD is 10511872
        via Connected, Serial1/0
        via 10.4.1.2 (7047936/6535936), Serial1/1
P 10.4.1.0/30, 1 successors, FD is 5511936
        via Connected, Serial1/1
P 192.168.1.0/24, 1 successors, FD is 128256
        via Connected, Loopback0
P 192.168.2.0/24, 1 successors, FD is 6151936
        via 10.4.1.2 (6151936/5639936), Serial1/1, serno 111
        via 10.1.1.2 (11151872/5639936), Serial1/0
 
要实现负载均衡FC要满足两个条件：一是首先要成为可继路由,即FC的AD<最优的FD。二是最优FD乘以variance>次优FD
看的出最优FD的值是6151936
若想做可继路由的话 走S1/0的AD必须小于S1的FD
 
即5639936<= 6151936 
所以S1/0成为可继
若想实现非等价负载 则Variance值=11151872/6151936=取整(1.81)+1 =2
且6151936*2=12303872 >11151872
Router(config)#router eig
Router(config)#router eigrp 100
Router(config-router)#va
Router(config-router)#variance 2
 
再show下路由表
Router#show ip route
*May 22 21:33:02.671: %SYS-5-CONFIG_I: Configured from console by console
Router#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
     10.0.0.0/30 is subnetted, 4 subnets
D       10.3.1.0 [90/6023936] via 10.4.1.2, 00:01:08, Serial1/1
D       10.2.1.0 [90/6535936] via 10.4.1.2, 00:01:08, Serial1/1
                 [90/11023872] via 10.1.1.2, 00:01:08, Serial1/0
C       10.1.1.0 is directly connected, Serial1/0
C       10.4.1.0 is directly connected, Serial1/1
C    192.168.1.0/24 is directly connected, Loopback0
D    192.168.2.0/24 [90/6151936] via 10.4.1.2, 00:01:08, Serial1/1
                    [90/11151872] via 10.1.1.2, 00:01:08, Serial1/0
 
show下去192.168.2.0/24的路由
 
Router#show ip route 192.168.2.1
Routing entry for 192.168.2.0/24
  Known via "eigrp 100", distance 90, metric 6151936, type internal
  Redistributing via eigrp 100
  Last update from 10.1.1.2 on Serial1/0, 00:10:48 ago
  Routing Descriptor Blocks:
  * 10.4.1.2, from 10.4.1.2, 00:10:48 ago, via Serial1/1
      Route metric is 6151936, traffic share count is 20
      Total delay is 45000 microseconds, minimum bandwidth is 512 Kbit
      Reliability 255/255, minimum MTU 1500 bytes
      Loading 1/255, Hops 2
    10.1.1.2, from 10.1.1.2, 00:10:48 ago, via Serial1/0
      Route metric is 11151872, traffic share count is 11
      Total delay is 45000 microseconds, minimum bandwidth is 256 Kbit
      Reliability 255/255, minimum MTU 1500 bytes
      Loading 1/255, Hops 2

如表所知,在S1/1每往192.168.2.0网段发送20个包后,S1/0才往192.168.2.0网段发送11个包
实现了非等价负载均衡
 
 
现在ping 192.168.2.1 repeat 20看下,记得在ping之前 no ip cef 同时debug ip icmp
看下dsc地址是不是分别s1/1或s1/0接口就可以了
 
 
 [/img]..

MAC泛洪攻击是指攻击者向交换机发送大量伪造的地址，使得交换机的MAC地址表溢出，从而无法完成正常的数据转发。而将所有的数据包广播到整个网络从而使交换机忙于转发数据而阻塞整个网络 ,这时候我们就可以利用嗅探攻击获取网络信息
解决方法:
1 VLAN
2 Port Security
3 802.1x

如果你有一个CLASS C的IP地址，比如
　　192.168.10.0，你想把它分成8个网段，每个网段内可以有32台主机，你可以这样分，subnetmask是：255.255.255.224：
　　192.168.10.0 - 31， 网络地址：192.168.10.0，广播地址：192.168.10.31
　　192.168.10.32 - 63， 网络地址：192.168.10.32，广播地址：192.168.10.63
　　192.168.10.64 - 95， 网络地址：192.168.10.64，广播地址：192.168.10.95
　　192.168.10.96 - 127，网络地址：192.168.10.96，广播地址：192.168.10.127
　　192.168.10.128- 159，网络地址：192.168.10.128..

Linux下启用用户,组磁盘配额
例:
新建一个区分 ,/dev/hdb1  ,挂载在/hdb1目录
新建一个测试用户test和测试组
首先编辑fstab,把挂载目录添加usrquota,grpquota
vi /etc/fstab
 
/dev/hdb1                          /hdb1                          ..

最近在VBOX下虚拟安装了redha5E,发觉太卡 于是安装VBOX的增强包 但是总是不成功
编译VBOX 内核失败  查看/var/log/vboxadd-install.log 发现找不到内核source 搜索一下 原来要安装GCC和kernel-devel
插入rh的光碟 安装gcc-4.1.1-52.el5.i386.rpm和kernel-xen-devel-2.6.18-8.el5.i686.rpm,kernel-devel-2.6.18-8.el5.i686.rpm
然后重新安装VBOX增强包
reboot
OK 

重新安装激活过WIN7后 之前的grub引导给WIN7的ntboot引导覆盖了 导致进入不了系统,现在直接在win7启动项中挂一个变色龙引导,多种系统
系统 ubuntu9.10 win7
方法如下
   在win7安装变色龙引导
  重启使用live cd 进入ubuntu  在终端下使用GRUB2
  命令apt-get install grub2
  然后挂载ubuntu的系统分区
 我的ubuntu系统分区在dev/sda9上 也就是hd(0,8)
  root@ubuntu:mount /mnt /dev/sda9
  然后把grub2更新到ubuntu上 
  root@ubuntu:chroot /mnt
 ..

前天把自己用php写的模拟考试系统放到linux下启用
发觉session_start()总是出错,session_start()这个函数要求不能在运行这个函数之前输出任何东西,但是代码的第一行的开头就先写这个函数 没有任何输出,后来在网上找了下原因是因为在windows下采用ansi编码才导致session_start()出错,但是写的文件全部都是utf-8编码的,应该不存在这个问题,于是在notepad++下把文件编码改为uft-8无BOM,结果还是一样, 无解,后来使用ANSI编码,然后在转utf-8无bom 居然通过了!

昨天在进行windows ad实验的时候给子域的DHCP授权
子域的管理员授权 拒绝访问 后查DHCP的授权需要企业管理员界别才行
于是利用父域的管理员登陆到子域的DHCP服务器进行授权 授权成功 但是DHCP服务器还是红色的.百思不得其解
后来给父域和子域提升到域功能模式到2003,再重启服务器,DHCP授权成功,显示绿色
 

 环境ubuntu9.10  内核2.6.31-14
更新到2.6.31-15后 启动到登陆桌面黑屏没反应
 
解决方法
登录到recouvery mode  重新安装系统显卡驱动

使用routeros可以使多个ADSL的带宽叠加起来.不过1+1不等2
下面就使用routeros进行带宽叠加
实验环境VIRTUALBOX2.2.4 +routeros2.9.6
设置virtualbox为ros 增加一张网卡 使用桥接
安装过程我就不详细解说了
ros的默认帐户admin 密码是空
为ros设置好了IP之后 我们就可以打开他的web地址管理或者用winbox图形界面管理

 
 
选择PPP ->Profiles

 
 
新建一个profie 使用remote address,有多个adsl账号可以创建多个profile使用
 

 
 
 
设置完了profile后 就在ppp->interface下新建pppoe-client
MTU根据当地ISP设定
接口选择ether1就行了
 

ubuntu下用普通用户登录系统 启用samba共享windows分区 ,当win7访问该共享时就会蓝屏,而XP则不会