Questions tagged «networking»

我在负载均衡器后面运行了数百台Web服务器，托管了许多应用程序过多的站点（我无法控制这些站点）。大约每月一次，其中一个站点遭到黑客攻击，并上载了洪水脚本，以攻击某些银行或政治机构。过去，这些始终是UDP泛洪，通过阻止单个Web服务器上的传出UDP流量可以有效地解决这些问题。昨天，他们开始使用许多TCP连接到端口80从我们的服务器中涌入一家大型美国银行。由于这些连接类型对于我们的应用程序完全有效，因此仅阻止它们是不可接受的解决方案。 我正在考虑以下替代方案。您会推荐哪一个？您实现了这些，如何实现？ 使用源端口！= 80限制Web服务器（iptables）传出TCP数据包 相同，但有排队（tc） 速率限制每位用户每台服务器的传出流量。由于每个应用程序服务器可能有1000个不同的用户，因此管理负担非常大。也许是这样：如何限制每个用户的带宽？ 还要别的吗？ 自然，我也在寻找方法以最大程度地减少黑客进入我们托管的网站之一的可能性，但是由于该机制永远不会100％防水，因此我想严格限制入侵的影响。 更新：我目前正在使用这些规则进行测试，这将阻止这种特定的攻击。您将如何提出使它们更通用的建议？当我仅对SYN数据包进行速率限制时，是否会错过已知的TCP DoS攻击？ iptables -A OUTPUT -p tcp --syn -m limit --limit 100/min -j ACCEPT iptables -A OUTPUT -p tcp --syn -m limit --limit 1000/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4 iptables -A OUTPUT -p tcp --syn -j REJECT --reject-with tcp-reset 干杯!

9 linux  networking  debian  denial-of-service 

我最近买了一个已经与Cat 5E相连的地方（8个端口，通往中央壁橱）。但是尝试获取链接，没有任何效果。在仔细检查时，很明显壁橱的末端是向后布线的（针脚1上为棕色，等等）。我从墙上拉出来的千斤顶看上去确实正确。但是，使用网络电缆测试仪进行的测试显示，任何插孔和壁橱中任何端口之间的链接都为零-我本来只是希望看到1 / 8、2 / 7，... 8/1不匹配，但是相反一无所获。 滑道易于操作，看上去整洁，尽管它们会弯一些弯，看上去很锐利，在某些情况下，弯弯的时间比需要的长得多（将弯管放入的人是专业电工，但我怀疑这是他第一次跑网络布线）。 在这一点上，我最好的猜测是他要么买了坏电缆，要么在电缆上施加了太大的张力以至于断线。虽然这似乎令人惊讶/不太可能，但我不会在8条线路中的一条上获得至少一根有源电线。 所以，我的问题是：在撕掉所有东西并连接新电缆之前，我还有其他尝试或测试的方法吗？ 更新：对于令人兴奋的结论，请参阅下面对此问题的回答。

9 networking  ethernet  cable  cat5 

除了使用iptables记录传入连接。 有没有办法记录到您没有来源的服务的已建立入站连接（假设该服务本身未记录此类信息）？我想要做的是基于谁的连接来收集一些信息，以告知诸如一天中什么时候使用服务最多，主要用户群在世界上什么地方等信息。 我知道我可以使用netstat它并将其连接到cron脚本，但这可能并不准确，因为该脚本只能运行一分钟。 这是我现在正在想的： 编写一个不断轮询的程序netstat，以查找先前轮询中未出现的已建立连接。但是，由于可能没有新的连接，所以这个想法似乎浪费了CPU时间。 编写一个包装程序，该程序在服务运行的任何端口上接受入站连接，但是那时我不知道如何将该连接传递给真实的服务。 编辑：我突然想到这个问题可能对stackoverflow更好，尽管我不确定。很抱歉，如果这是错误的地方。

9 networking  centos  connection 

我工作的那所小型大学遇到了一些非常奇怪的网络问题。我在这里寻找任何建议或想法。整个夏天我们都没事，但麻烦始于学生秋季入学的几天后。 病征 主要症状是可以访问互联网，但速度很慢...经常会超时。例如，来自Speedtest.net的典型结果将返回.4Mbps下载，但允许3至8 Mbps的上传速度。较小的症状可能包括与文件服务器之间来回传输数据的性能受到严重限制，甚至在某些情况下也无法登录计算机（无法访问域控制器）。此问题跨越多个VLAN，几乎影响了我们运营的每个VLAN上的设备。 该问题不会影响网络上的所有计算机。一台不受影响的计算机通常会从speedtest.net下载至少 11Mbps的内容，并且根据当时较大的校园流量模式，可能还会下载得更多。 在较大的问题上有一个变体。我们有一个VLAN，用户根本无法登录几乎所有计算机。IT人员将使用本地管理员帐户（或在某些情况下缓存的凭据）登录，然后从那里发布/续订或ping通网关将使计算机能够工作一段时间。使此问题复杂化的是，该VLAN涵盖了我们的计算机实验室，该实验室使用称为Deep Freeze的软件在重启后完全重置硬盘驱动器。可能是同一问题以不同的方式表现出来，这是因为计算机上的陈旧数据已连续几周未永久更改低级信息。但是，我们能够通过创建新的VLAN并将实验室移至新的VLAN批发商来解决此问题。 煽动 最终，我们注意到受影响的计算机都具有最近的dhcp租约。通过观察dhcp租约的续订时间，我们可以预测机器何时变慢。我们将测试vlan的租用时间设置得很短，但是所做的只是消除了我们预测机器何时变慢的能力。具有静态IP的计算机几乎总是可以正常工作。手动释放/更新地址绝不会导致计算机运行缓慢。实际上，在某些情况下，此过程已修复处于该状态的机器。但是，在大多数情况下，它无济于事。我们还注意到，笔记本电脑之类的移动设备跨入新的VLAN时可能会变慢。校园内的无线网络分为“区域”，每个区域映射到一小组建筑物。搬到新建筑物可以将您放置在区域中，从而使您获得新地址。从睡眠模式恢复的机器也很可能运行缓慢。 缓解措施 有时但并非总是如此，清除受影响的计算机上的arp缓存将使它再次正常工作。如前所述，释放/更新本地计算机的IP地址可以修复该计算机，但不能保证。对默认网关执行ping操作有时还可以帮助计算机速度较慢。 似乎最能缓解该问题的方法是清除我们核心三层交换机上的arp缓存。此开关用于我们的dhcp系统，作为所有VLAN上的默认网关，它处理VLAN间路由。该模型是3Com 4900SX。为了缓解此问题，我们一直在交换机上设置缓存超时，一直到最短的时间，但这并没有帮助。我还整理了一个脚本，该脚本每隔几分钟运行一次，以自动连接到交换机并重置缓存。不幸的是，这并不总是有效，甚至可能导致某些计算机在很短的时间内处于慢速状态（尽管几分钟后它们似乎会自行纠正）。我们目前有一个计划的作业，该作业每10分钟运行一次，以强制核心交换机清除其ARP缓存，但这远非完美或不可取。 再生产 现在，我们有一台测试机，可以随意将其强制进入慢速状态。它连接到具有为我们的每个VLAN设置的端口的交换机。我们通过连接到不同的VLAN来使机器变慢，而在一两个新的连接之后，它将变慢。 在本节中还应注意的是，这是在先前学期开始时就发生过的，但是在过去，问题在几天后就已经消失了。在我们有机会进行大量诊断工作之前，它就解决了自己的问题。预期这将是短暂的情况。 其他因素 值得一提的是，在过去的一年中，我们大约有六台交换机完全失败。这些主要是2003/2004年代的3Com（大多数是4200年代），它们几乎都同时插入。它们仍应在保修范围内，购买HP使得获得服务有些困难。多数情况下，电源已发生故障，但在某些情况下，我们使用了主板故障的交换机的电源来恢复电源故障的交换机的生命。现在，除了四个交换机中的三个交换机之外，我们的确有UPS设备，但是两年半前我就没有这种情况。严重的预算限制（几年前我们在Ed财务困难的机构部门中排名）迫使我不得不向Netgear和TrendNet之类的公司求助， 还值得一提的是，今年夏天我们网络的重大变化是从单个跨校园无线SSID迁移到前面提到的分区方法。我不认为这是问题的根源，就像我说过的：我们之前已经看到过。但是，这可能加剧了这个问题，并且可能是很难分离的大部分原因。 诊断 最初，考虑到问题的时间和持续性，对于我们来说似乎很清楚，问题的根源是被感染的（或恶意的）学生计算机在做ARP缓存中毒。但是，反复尝试隔离源已失败。这些尝试包括大量的Wireshark数据包痕迹，甚至使整栋建筑物暂时脱机。我们甚至找不到吸烟枪坏的ARP条目。我目前的最佳猜测是核心交换机过载或发生故障，但是我不确定如何测试，盲目更换它的成本很高。 再次，任何想法表示赞赏。 更新： 核心交换机已更换。4天后，一切运行良好...但是我要等两个星期，然后才能解决问题。

9 networking  performance  arp 

在过去的几天中，我一直在为内部网络上的少数最终用户追寻丢包和网络稳定性的问题……这些问题上周浮出水面，但六周前的位置却被雷电击中。 我看到在77米长的另一端，四台Cisco 2960与几台PC和电话之间出现5-10％的数据包丢失。PC通过中继线与电话串联运行（交换端口配置pastebin）。我们看到客户端服务器应用程序和Microsoft Exchange连接中的通话中断和中断。 我远程尝试了常规的故障排除步骤，请本地技术人员在用户和生产活动中断期间执行以下操作： 更换墙壁插孔和设备之间的电缆。 更改配线架和交换机端口之间的配线电缆。 尝试使用2960堆栈中的其他交换机端口。 使用已知良好的设备（新手机，不同PC）更改最终用户设备。 清除交换机端口接口计数器并密切监视增量错误。（的Pastebin输出sh int） 遍历设备日志和Observium RRD图。在交换机侧没有链接上/下的问题。 更换最终用户侧的电源板。 使用test cable-diagnostics tdr int Gi4/0/9（干净）* 从Cisco 2960测试电缆 测试电缆与Tripp-Lite电缆测试仪一起使用。（清洁） 在交换机堆栈成员上运行诊断。（清洁） 最后，交换机端口需要进行三处更改才能找到稳定的解决方案。唯一合乎逻辑的结论是，几个Cisco 2960交换机端口有问题或不稳定...没有死，但行为也不相同。我不习惯看到单个端口以这种方式消失。 我还能测试或检查什么以确定这些设备是否损坏？ 验证这一点的最佳做法是什么？ 单个端口而不是连续的端口出现问题是常见的吗？ 顺便说一句- show cable-diagnostics tdr int Gi4/0/14非常酷... Interface Speed Local pair Pair length Remote pair Pair status --------- ----- ---------- ------------------ ----------- -------------------- …

9 networking  cisco  hardware  switch  cisco-catalyst 

我想知道，是否有一种方法可以强制DHCP服务器立即更新客户端计算机的IP地址，而无需我去客户端计算机？实际上，想象一下，我无权访问客户端计算机。 所以，这是我的情况 当客户端连接到LAN时，它首先首先从DHCP服务器获得一个随机IP地址，即A。想象一下，有人将客户端连接到LAN，但他并没有在dhcpd.conf中将任何IP地址映射到其MAC地址。 我想在这里提及，同一子网中的其他计算机已经在dhcpd.conf中配置了IP地址到MAC地址的映射。 接下来，我修改dhcpd.conf文件，以将客户端的新IP地址B映射到其MAC地址。 但是，现在我需要将旧IP地址A立即更改为B。 我不想调整默认租赁时间或在dhcpd.conf中弄乱租赁时间。 重启服务之类的任何其他方式都很好，因为除了一台机器之外，其他所有机器的IP地址都已经绑定到dhcpd.conf中的MAC地址。 注意：我无法重新启动LAN中的任何计算机，甚至无法重新启动运行dhcp服务器的计算机。 希望我说得很清楚。 谢谢

9 linux  networking  dhcp  dhcp-server 

我正在尝试使用多虚拟机无聊的环境作为部署OpenStack的测试平台，并且在尝试从一个虚拟机与虚拟机内部的虚拟机进行通信时遇到了网络问题。 我有两个Vagrant节点，一个云控制器节点和一个计算节点。我正在使用仅主机网络。我的Vagrantfile看起来像这样： Vagrant::Config.run do |config| config.vm.box = "precise64" config.vm.define :controller do |controller_config| controller_config.vm.network :hostonly, "192.168.206.130" # eth1 controller_config.vm.network :hostonly, "192.168.100.130" # eth2 controller_config.vm.host_name = "controller" end config.vm.define :compute1 do |compute1_config| compute1_config.vm.network :hostonly, "192.168.206.131" # eth1 compute1_config.vm.network :hostonly, "192.168.100.131" # eth2 compute1_config.vm.host_name = "compute1" compute1_config.vm.customize ["modifyvm", :id, "--memory", 1024] end end …

9 networking  virtualbox  vagrant  openstack  qemu 

我目前管理6台Cisco ASA设备（2对5510和1对5550）。它们都工作得很好并且很稳定，所以这更多是一个最佳实践的建议问题，而不是“ OMG坏了，请帮我修复它”。 我的网络分为多个VLAN。几乎每个服务角色都有其自己的VLAN，因此DB服务器将具有自己的VLAN，APP服务器和Cassandra节点。 通过仅允许特定的拒绝休息基础来管理流量（因此默认策略是丢弃所有流量）。我通过为每个网络接口创建两个ACL来做到这一点，例如： 访问列表dc2-850-db-in ACL，该访问控制列表以“ in”方向应用于dc2-850-db接口 以“出”方向应用于dc2-850-db接口的访问列表dc2-850-db-out ACL 一切都非常紧凑并且可以按预期工作，但是我想知道这是否是最好的选择？ 目前，我已经拥有30个以上的VLAN，我必须说，在某些情况下管理这些VLAN变得有些混乱。 可能像通用/共享ACL这样的东西在这里可以帮到我可以从其他ACL继承的东西，但是AFAIK没有这样的东西... 任何建议，不胜感激。

9 networking  security  cisco  cisco-asa  best-practices 

我有一个奇怪的问题，我的嵌套NFS坐骑有时会不时消失。 fstab条目看起来像这样： nfs:/home /home nfs rw,hard,intr,rsize=32768,noatime,nocto,proto=tcp 0 0 nfs:/bigdir /home/bigdir nfs rw,hard,intr,rsize=32768,noatime,nocto,proto=tcp,bg 0 0 问题是，即使mtab认为共享仍在挂载中，“ / home / bigdir”文件夹仍会为空。nfsstat等。等 确实也认为份额还在增加。 唯一有效的方法是先卸载，然后再（重新）安装bigdir共享。 服务器端是NetApp。客户端是RHEL5.5，2.6.18-194内核（是的，我知道5.8已发布，但据我所知，此特定问题没有勘误表）。 我可以使用各种技巧，例如自动挂载，或将其挂载到其他路径，然后使用--mount绑定，但是我想解决潜在的问题。

9 linux  networking  redhat  nfs  rhel5 

我对以下观点，发现或证据感到好奇：使用LACP将多个接口绑定到多个交换机中的端口会增加冗余。以前绑定的接口始终是单个交换机，而冗余通道是另一个端口。 在不涉及供应商细节的情况下，我认为由于这是单个LACP，因此事件或更改可能导致广泛的服务中断的可能性。如果没有多余的设备或时间来通过各种交换机测试该单个通道，那么谁能比我拥有更多的网络知识，就可以告诉我是否发生了网络端事件，该事件会降低与已创建绑定接口的服务器的网络连接性到单独交换机上的两个端口？ 是否在服务器的多个交换机（建议使用）之间使用绑定的以太网通道，从而既提高了吞吐量（无疑），又提高了冗余度（不确定）。诸如交换机故障，端口迁移，修补，恢复等网络事件是否会导致两个服务器网络接口的通道不可用？ 提前致谢。

9 networking  switch  ethernet  lacp 

我最近又在考虑Viprinet提供的产品，基本上他们有一对路由器，一个位于数据中心，VPN多通道集线器和现场硬件， VPN多通道路由器。 他们还拥有许多用于3G，UMTS，以太网，ADSL和ISDN适配器的接口卡（例如HWIC）。 他们的主要思想似乎是跨不同媒体的纽带。我真的很想在几个项目中使用它，但是它们的价格确实非常高，集线器大约是1-2k，路由器是2-6k，接口模块每个是200-600。 因此，我想知道的是，是否可以使用几个现有的思科路由器（28xx或18xx系列）做类似的事情，并基本上连接一堆不同的WAN端口，但所有这些都可以作为一个整体展示通道返回Internet，如果WAN接口之一发生故障，则进行无缝（或几乎）故障转移。 基本上，如果我有3x 3G到以太网调制解调器，并且每个调制解调器都在不同的网络上，我希望能够在所有这些调制解调器之间进行负载平衡/绑定，而不必为Viprinet支付特权。 有谁知道我将如何基于标准协议（或特定于供应商的协议）为自己配置一些东西，而实际上不必购买Viprinet硬件？

9 routing  bonding  networking 

您认为交换机有时需要重启吗？ 我之所以这么问，是因为今天我们的NAS停止正常工作，并且只有在我们重新启动它所连接的交换机时，它才被修复。

9 networking  switch  local-area-network 

我们有一个Cisco 2960e，可为VoIP电话和其他设备提供服务。我继承了它。 我的问题是电缆的切断：大约有四个网络连接器的一端切开约1厘米，这只不过是一个物理连接器。这些连接器在上方或下方与工作电缆配对。 我认为这些连接器是某种标志；它们不能成为环回，因为没有电缆可以这样做（连接器被切断，仅此而已）。没有电气连接：开关可能会意识到的唯一指示器是插孔中存在物理设备-我也对此表示怀疑。 空闲端口（网络流量）也非常安静：这是否相关？这些连接器是否标记了活动端口？ 更新：我以为我很清楚。我不知道该如何更好地解释它。无论如何，这是一张图片：

9 networking  cisco  switch  ethernet 

我目前使用DNS轮询进行负载平衡，效果很好。记录看起来像这样（我的TTL为120秒） ;; ANSWER SECTION: orion.2x.to. 116 IN A 80.237.201.41 orion.2x.to. 116 IN A 87.230.54.12 orion.2x.to. 116 IN A 87.230.100.10 orion.2x.to. 116 IN A 87.230.51.65 我了解到并不是每个ISP /设备都以相同的方式对待这种响应。例如，某些DNS服务器随机旋转地址，或始终循环访问它们。有些只是传播第一个条目，而另一些则通过查看IP地址来确定哪个最好（在区域附近）。 但是，如果用户群足够大（分布在多个ISP等上），则可以很好地保持平衡。从最高负载到最低负载的服务器的差异几乎都不超过15％。 但是，现在我遇到的问题是，我正在向系统中引入更多服务器，而并非所有服务器都具有相同的容量。 我目前只有1 Gbps服务器，但我想同时使用100 Mbps和10 Gbps服务器。 因此，我想介绍一种权重为100的10 Gbps服务器，权重为10的1 Gbps服务器和权重为1的100 Mbps服务器。 之前，我曾两次添加服务器以向它们带来更多流量（效果很好，带宽几乎增加了一倍）。但是将10 Gbps服务器100次添加到DNS有点荒谬。 所以我考虑使用TTL。 如果我给服务器A提供240秒的TTL，给服务器B仅提供120秒（这大约是用于轮询的最小时间，因为如果指定了较低的TTL，则许多DNS服务器都设置为120（所以我已经听说过））。我认为这样的事情应该在理想的情况下发生： First 120 seconds 50% of requests get server A -> …

9 networking  domain-name-system  load-balancing  ttl  round-robin 

我正在将两个以太网接口配置到一个聚合组中，以使带宽增加一倍，并且我想知道绑定模式= 0是否适用于所有交换机？不支持LACP的哑交换机呢？这种方法是否将单个主机的带宽增加一倍（“会话”）？

9 linux  ubuntu  networking  bonding  lacp