baalchina

这个是Intel的SSD硬盘，SSDSA2MJ080G2C1。

这个是两块500G组的Raid0，一块希捷一块西数。Raid卡是Intel的板载卡

这个是一块希捷的1T，外置硬盘盒，接在主板上的SATA口。这个好悲剧…

防火墙抽风，于是最近开始测试H3C的防火墙，是S7510-E交换机的板卡。“H3C SecBlade FW防火墙模块”

网页在这里：http://www.h3c.com.cn/Products___Technology/Products/IP_Security/FW_VPN/SecBlade/FW/

周五花了一个晚上调试成功，和普通的独立墙区别还是比较大的，写下来备忘~如有错误，概不负责。

板卡式墙的特点

• 卡上虽然只有4个千兆电口，但是可以利用S7510E上面的板卡，也就是实际上接口的扩展性是非常强的，而一般的独立防火墙是很难达到这样的端口密度的。
• 如果S7510E上面有万兆口，那么这个墙就是一个万兆墙。这个成本可比单独的墙要低多了。加上本身的成本也要比独立墙便宜，所以价格优势还是很大的。（这一款要比Hillstone的墙便宜5W左右）。
• 据H3C工程师介绍，板卡是通过S7510E上面的万兆口互联的。这个如果两个万兆口会怎么样呢？应该会是一个瓶颈吧。不过无所谓啦，万兆至少目前还很稀有。
• 可以很容易的对内网网段进行包过滤。以前要实现包过滤必须网段接口在防火墙上，而独立墙的接口是很珍贵的，现在的话只需要进行一些配置就可以操作了。

配置

• 配置的时候是采用的将S7510的所有配置挪到了防火墙上实现的。
• 将所有的SVI地址挪到了防火墙板卡上。以前是S7510和其他设备之间跑OSPF，现在是“防火墙板卡”和其他路由器跑OSPF。
• S7510机箱上有一个XGE0/0/1口，这个口就是和防火墙的连接口。
• 我们配置的时候用的是2层方式。将这个口和防火墙上的万兆口打Trunk，然后允许所有数据包通过。SVI起在了放火墙板上，这样也就可以对任意网段进行包过滤了。

IPv6

• IPv6没有测试是否支持。但是在web界面里面没有看到。还需要去了解下。

双防火墙的热备

• 这个应该还是有点传统的交换机形式。两台墙分别起SVI地址，然后VRRP虚拟出新地址。这个地址既然是热备的，那么墙也就热备啦~

其他功能

• 支持VPN，没测试
• 支持流量监测，P2P检测。不过也没测试
• Web过滤也可以，还是没测试

配置同步

• 由于没有找到配置同步的地方，所以现在是手动导出->导入。172.16段的路由和172.17段路由不一样，所以就会发现一般情况下开端口在1号墙配就行了。但是针对172.16的必须要到2号上也配置一下。这个很麻烦！

缺点：

• Web管理中，一般最后会默认加一条拒绝策略。但是这时候再新添加策略的时候，会跑到这条拒绝的后面，还得手动把它调整到前面去，很不方便。
• 还是老问题，虽然设置了telnet的acl，被拒绝telnet的客户端还是可以打开端口，只是自动断开了。这个应该是h3c的os问题。
• 双墙跑热备的时候，无法同步配置。测试其他墙配置可以自动或者手动同步，但是H3C的这个就不行。好在可以导出配置，然后再导入。
• 配置策略的时候，Hillstone的墙在策略域那里可以直接设置为Any-Any，而这个必须要指定一个域。比如某一个服务要对全部区域开放，其他墙只要Any-Any就行了，这个却要设置Trust-Server,Untrust-Server，如果你还有DMZ1，DMZ2…不过我估计应该有更好的方法实现。这个待了解。

早上开了个域名，自己用一切正常，但是同事用就是不行，ping返回的地址死活不对。

找了一下，92.242这个地址是comodo的网站。

然后查了一下他的dns，果然是变成了comodo的dns:

百度一下这个156.154.70.25，果然是COMODO的DNS。讽刺的是，这个DNS是用来反DNS劫持的…结果把自己的网站劫持了。

转自ruijie.com.cn，http://support.ruijie.com.cn/showtopic-11353.aspx

前几天系统崩溃，除了win7程序其他都不能打开，于是用win7自带备份把c盘做成了vhd。本来以为需要装virtualpc或者hyper-v才能打开，今天跑到磁盘管理一看，居然可以直接挂载，打开一点问题都没有。
以前备份都是用神马diskimage，ghost，现在win7直接支持，这些东西都可以去死了...哈哈，而且win7只要引导不挂，都可以直接从vhd恢复，赞一个微软。
m$的东西，虽然不是最好的，最强的，但一定是最实用的。qq，360什么的，跟微软比，还差很多...

问题：

1、教育网限速，10m，经常拥堵，非常卡。

2、大网站都有cdn

3、用校内dns解析，解析出的是cernet地址。访问的是cernet的cdn。

4、一旦拥堵，访问就很卡。

解决：

1、将.edu.cn转向cernet dns

2、将其他所有请求转向电信dns。

3、也就是本地只做forwarder

添加两条：

zone "edu.cn" {
        type forward;
        forwarders {121.194.2.2;121.194.2.3;};
//        allow-update { none; };
};

将.edu.cn的指向教育网的dns。

options下添加

forwarders {218.2.135.1;202.102.24.35;};

检测结果：

没做之前nslookup

> www.sina.com.cn
服务器:  dns1.nau.edu.cn
Address:  210.28.92.7

非权威应答:
名称:    cernetnews.sina.com.cn
Addresses:  121.194.0.210
          121.194.0.203
          121.194.0.205
          121.194.0.206
          121.194.0.207
          121.194.0.208
          121.194.0.209
Aliases:  www.sina.com.cn
          jupiter.sina.com.cn

>

 

做了之后解析：

> www.sina.com.cn
服务器:  dns1.nau.edu.cn
Address:  210.28.92.7

非权威应答:
名称:    newsnj.sina.com.cn
Addresses:  202.102.75.164
          202.102.75.165
          202.102.75.166
          202.102.75.167
          202.102.75.168
          202.102.75.169
          202.102.75.170
          202.102.75.161
          202.102.75.162
          202.102.75.163
Aliases:  www.sina.com.cn
          jupiter.sina.com.cn

>

 

问题：

目前还比较严重…

就是cernet的dns会把dns query转发到电信去，结果这个速度…实在是受不了。经常网页半天打不开（解析Ing），然后刷新，刷的出来了（解析出地址，直接从电信访问）。

试试看把教育地址从电信弄出去？

另外发现个好玩的：

http://121.194.2.2/dns/log/2010/05/17/2010.05.17.00.10.html

怎么做的呢…

CF卡买的是创见的2G 133x卡，太大的怕不识别。

http://www.360buy.com/product/123621.html

20101101更新：KingMax的也可以：http://www.360buy.com/product/208724.html，同样2G。

109米，插上去直接就可以识别了，也没格式化。

[S7510E-2]display device cf-card
CF Card Information in slot 5 :
Status: Normal
Size  : 2004 MB

[S7510E-2]

 

先看一下当前的日志文件配置：

<S7510E-2>display logfile summary
  Log file is enabled.
  Channel number : 9
  Log file size quota : 1 MB
  Log file directory : cf:/logfile
  Writing frequency : 24 hour 0 min 0 sec
<S7510E-2>

 

注意要在普通模式下，不要进system-view。

在cf卡下建立一个目录logfile

<S7510E-2>mkdir cfa0:/logfile

%Created dir cfa0:/logfile.

<S7510E-2>

将日志保存到cfa0下：

[S7510E-2]info-center logfile switch-directory cfa0:/

注意是system-view的命令。

然后打logfile save就可以把日志保存到cf卡了。

看日志的话，用more命令，和linux一样。

拓扑如下：

Huawei3300--->Enterasys N7A--->Enterasys N7B--->Ruijie S3550--->Ruijie S2126。

其中Huawei3300是专网，往后都是用的vlan形式。

本来配的时候配错了，一路下来，N7B中到S3550的下联口打了tag，但是上联口没有打。很奇怪的是，他居然通了。

后来N7A换成了H3C S7510，结果就是不通了。但是更奇怪的是，可以在末端的S2126上看到vlan的MAC地址。

奇怪。

硬件

1. S7510E的引擎有LSQ1SRP1CB (Salience VI-Turbo)以及LSQ1MPUB (Salience VI-Lite)等。后者的区别在于取消代理功能，不支持MPLS。

交换机管理，只启用SSH

首先要生成key，并启用SSH Server

[S7510E-1]public-key local create rsa 
[S7510E-1]ssh server enable

接下来允许SSH登录

[S7510E-1-ui-vty0-4]display this
#
user-interface aux 0
authentication-mode password
set authentication password simple h3c
user-interface vty 0 4
authentication-mode scheme
#
return
[S7510E-1-ui-vty0-4]

这里必须要启用AAA scheme。这样SSH才可以登录。

当然，还要建用户：

[S7510E-1-luser-baalchina]display this
#
local-user baalchina
password cipher (@*(@*#(*#(@#(*&@#&
service-type ssh telnet terminal
#
return
[S7510E-1-luser-baalchina]

允许baalchina用户使用ssh/telnet/terminal登录。

然后最后再把telnet-server禁掉就行了。打完收工。

ps，做的时候小心，不然就连不上了。

只允许特定客户端telnet/ssh到特定的设备地址

如果只允许特定地址，telnet/ssh交换机的特定svi地址，那么就需要通过在user-interface中加入ACL来实现。

先写一个ACL：

[S7510E-1]display acl 3100
Advanced ACL  3100, named Remote_Access, 2 rules,
for_remote_access_to_switch
ACL's step is 5
rule 0 permit ip source 172.17.0.0 0.0.0.255 destination 172.16.1.1 0
rule 5 deny ip (2 times matched)

[S7510E-1]

172.16.1.1是设备的地址。

再到vty里面加上ACL就ok了。

user-interface vty 0 4
acl 3100 inbound
authentication-mode scheme
#

 

ps，加上这个，其实22端口还是开着的…只是拒绝连接。telnet提示

%connection refused by remote host.

凯创的就比这个好一点，一条命令，端口都关闭了。

某些文件无法下载，始终找不到原因

[1] PASV
[1] 227 Entering Passive Mode (210,28,92,169,45,131)
[1] 打开数据连接到主机: 210.28.92.169 端口: 11651
[1] REST 0
[1] 350 Restarting at 0. Send STORE or RETRIEVE.
[1] RETR 091023 青春不败 E01.rmvb
[1] 550 "091023 青春不败 E01.rmvb": no such file.
文件传输失败: 091023 青春不败 E01.rmvb

上ftp一看，原来文件开头都是空格，不知道怎么gene6把空格省掉了…

不知道是ftp通病，还是gene6问题。