IPSec提供对网络或者主机之间的IP数据包和协议的保护;
SSL VPN提供用户对网络上的服务和应用程序访问的保护;
......
显示全文...
2009年7月30日星期四
2009年7月14日星期二
VPN几个基础概念
常见的VPN的实施方法:
1、GRE
2、IPSec
3、PPTP
4、L2TP
5、MPLS
6、SSL
一个很疑惑的问题:如果已经使用了加密,为什么还需要使用数据包验证?
首先,当信息解密后您需要核实您所解密的信息是否是发送的信息,而不是一个欺骗的流量。其次,一名黑客可以利用这一过程对您的设备发送欺骗数据包,导致它在解密数据的时候消耗CPU的周期。
......
显示全文...
2009年7月13日星期一
VPN 故障描述及排除一例
拓扑描述:
Router HostA E0/0-------E0/0 Router CompanyA E0/1--------E0/1 Router P E0/0--------- E0/0 Router CompanyB E0/1 ------ E0/1 Router HostB
HostA 的配置如下:
HostA>en
HostA#show run
Building configuration...
Current configuration : 931 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname HostA
!
boot-start-marker
boot-end-marker
!
!
memory-size iomem 5
no aaa new-model
ip subnet-zero
no ip routing
!
!
no ip domain lookup
no ip cef
ip ips po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Ethernet0/0
ip address 192.168.1.2 255.255.255.0
no ip route-cache
half-duplex
!
interface Ethernet0/1
no ip address
no ip route-cache
shutdown
half-duplex
!
interface Ethernet0/2
no ip address
no ip route-cache
shutdown
half-duplex
!
interface Ethernet0/3
no ip address
no ip route-cache
shutdown
half-duplex
!
ip default-gateway 192.168.1.1
ip http server
no ip http secure-server
ip classless
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
exec-timeout 0 0
logging synchronous
login
!
!
end
HostA#
Company A的配置:
CompanyA#show run
Building configuration...
Current configuration : 1236 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname CompanyA
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
!
memory-size iomem 5
no aaa new-model
ip subnet-zero
!
!
no ip domain lookup
!
!
ip cef
ip ips po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 1.1.2.1
!
!
crypto ipsec transform-set vpn esp-3des esp-md5-hmac
!
crypto map vpn_map 100 ipsec-isakmp
set peer 1.1.2.1
set transform-set vpn
match address 100
!
!
!
!
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
half-duplex
!
interface Ethernet0/1
ip address 1.1.1.1 255.255.255.0
half-duplex
crypto map vpn_map
!
interface Ethernet0/2
no ip address
shutdown
half-duplex
!
interface Ethernet0/3
no ip address
shutdown
half-duplex
!
ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 1.1.1.2
!
!
!
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
exec-timeout 0 0
logging synchronous
login
!
!
end
CompanyA#
P的配置:
P#show run
Building configuration...
Current configuration : 808 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname P
!
boot-start-marker
boot-end-marker
!
!
memory-size iomem 5
no aaa new-model
ip subnet-zero
!
!
no ip domain lookup
!
!
ip cef
ip ips po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Ethernet0/0
ip address 1.1.2.2 255.255.255.0
half-duplex
!
interface Ethernet0/1
ip address 1.1.1.2 255.255.255.0
half-duplex
!
interface Ethernet0/2
no ip address
shutdown
half-duplex
!
interface Ethernet0/3
no ip address
shutdown
half-duplex
!
ip http server
no ip http secure-server
ip classless
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
exec-timeout 0 0
logging synchronous
login
!
!
end
P#
Company B的配置:
CompanyB#show run
Building configuration...
Current configuration : 1235 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname CompanyB
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
!
memory-size iomem 5
no aaa new-model
ip subnet-zero
!
!
no ip domain lookup
!
!
ip cef
ip ips po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 1.1.1.1
!
!
crypto ipsec transform-set vpn esp-3des esp-md5-hmac
!
crypto map vpn_map 1 ipsec-isakmp
set peer 1.1.1.1
set transform-set vpn
match address 100
!
!
!
!
interface Ethernet0/0
ip address 1.1.2.1 255.255.255.0
half-duplex
crypto map vpn_map
!
interface Ethernet0/1
ip address 172.16.1.1 255.255.255.0
half-duplex
!
interface Ethernet0/2
no ip address
shutdown
half-duplex
!
interface Ethernet0/3
no ip address
shutdown
half-duplex
!
no ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 1.1.2.2
!
!
!
access-list 100 permit ip 172.16.1.0 0.0.0.255 any
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
exec-timeout 0 0
logging synchronous
login
!
!
end
CompanyB#
Router B的配置是:
HostB#show run
Building configuration...
Current configuration : 919 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname HostB
!
boot-start-marker
boot-end-marker
!
!
memory-size iomem 5
no aaa new-model
ip subnet-zero
no ip routing
!
!
no ip domain lookup
!
!
no ip cef
ip ips po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Ethernet0/0
no ip address
no ip route-cache
half-duplex
!
interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
no ip route-cache
half-duplex
!
interface Ethernet0/2
no ip address
no ip route-cache
shutdown
half-duplex
!
interface Ethernet0/3
no ip address
no ip route-cache
shutdown
half-duplex
!
ip default-gateway 172.16.1.1
ip http server
no ip http secure-server
ip classless
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
exec-timeout 0 0
logging synchronous
login
!
!
end
HostB#
Debug 信息:
CompanyA#
*Mar 1 01:45:08.703: ISAKMP (0:134217729): received packet from 1.1.2.1 dport 500 sport 500 Global (R) QM_IDLE
*Mar 1 01:45:08.707: ISAKMP: set new node -1210591783 to QM_IDLE
*Mar 1 01:45:08.711: ISAKMP:(0:1:SW:1): processing HASH payload. message ID = -1210591783
*Mar 1 01:45:08.711: ISAKMP:(0:1:SW:1): processing SA payload. message ID = -1210591783
*Mar 1 01:45:08.711: ISAKMP:(0:1:SW:1):Checking IPSec proposal 1
*Mar 1 01:45:08.711: ISAKMP: transform 1, ESP_3DES
*Mar 1 01:45:08.711: ISAKMP: attributes in transform:
*Mar 1 01:45:08.711: ISAKMP: encaps is 1 (Tunnel)
*Mar 1 01:45:08.715: ISAKMP: SA life type in seconds
*Mar 1 01:45:08.715: ISAKMP: SA life duration (basic) of 3600
*Mar 1 01:45:08.715: ISAKMP: SA life type in kilobytes
*Mar 1 01:45:08.715: ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0
*Mar 1 01:45:08.715: ISAKMP: authenticator is HMAC-MD5
*Mar 1 01:45:08.719: ISAKMP:(0:1:SW:1):atts are acceptable.
*Mar 1 01:45:08.719: IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) INBOUND local= 1.1.1.1, remote= 1.1.2.1,
local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
remote_proxy= 172.16.1.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac (Tunnel),
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x2
*Mar 1 01:45:08.723: IPSEC(validate_transform_proposal): no IPSEC cryptomap exists for local address 1.1.1.1
*Mar 1 01:45:08.723: ISAKMP:(0:1:SW:1): IPSec policy invalidated proposal
*Mar 1 01:45:08.723: ISAKMP:(0:1:SW:1): phase 2 SA policy not acceptable! (local 1.1.1.1 remote 1.1.2.1)
*Mar 1 01:45:08.723: ISAKMP: set new node -1225072254 to QM_IDLE
*Mar 1 01:45:08.727: ISAKMP:(0:1:SW:1):Sending NOTIFY PROPOSAL_NOT_CHOSEN protocol 3
spi 28, message ID = -1225072254
*Mar 1 01:45:08.731: ISAKMP:(0:1:SW:1): sending packet to 1.1.2.1 my_port 500 peer_port 500 (R) QM_IDLE
*Mar 1 01:45:08.731: ISAKMP:(0:1:SW:1):purging node -1225072254
*Mar 1 01:45:08.731: ISAKMP:(0:1:SW:1):deleting node -1210591783 error TRUE reason "QM rejected"
*Mar 1 01:45:08.735: ISAKMP (0:134217729): Unknown Input IKE_MESG_FROM_PEER, IKE_QM_EXCH: for node -1210591783: state = IKE_QM_READY
*Mar 1 01:45:08.735: ISAKMP:(0:1:SW:1):Node -1210591783, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
*Mar 1 01:45:08.735: ISAKMP:(0:1:SW:1):Old State = IKE_QM_READY New State = IKE_QM_READY
*Mar 1 01:45:08.735: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Quick mode failed with peer at 1.1.2.1
它是从这一句开始出现问题的:
*Mar 1 01:45:08.723: IPSEC(validate_transform_proposal): no IPSEC cryptomap exists for local address 1.1.1.1
解决过程:
CompanyA原来配置:
CompanyA(config)#do show access-list
Extended IP access list 100
10 permit ip 192.168.1.0 0.0.0.255 any
CompanyA更改配置:
CompanyA#show access-lists
Extended IP access list 100
10 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
CompanyB原来配置:
CompanyB#show access-lists
Extended IP access list 100
10 permit ip 172.16.1.0 0.0.0.255 any (5 matches)
CompanyB更改配置:
CompanyB#show access-lists
Extended IP access list 100
10 permit ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255 (25 matches)
VPN建立成功,DEBUG信息如下:
CompanyA#
*Mar 1 01:50:33.495: ISAKMP (0:0): received packet from 1.1.2.1 dport 500 sport 500 Global (N) NEW SA
*Mar 1 01:50:33.495: ISAKMP: Created a peer struct for 1.1.2.1, peer port 500
*Mar 1 01:50:33.495: ISAKMP: Locking peer struct 0x64AA4FC8, IKE refcount 1 for crypto_isakmp_process_block
*Mar 1 01:50:33.495: ISAKMP: local port 500, remote port 500
*Mar 1 01:50:33.499: insert sa successfully sa = 64D88378
*Mar 1 01:50:33.499: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Mar 1 01:50:33.499: ISAKMP:(0:0:N/A:0):Old State = IKE_READY New State = IKE_R_MM1
*Mar 1 01:50:33.503: ISAKMP:(0:0:N/A:0): processing SA payload. message ID = 0
*Mar 1 01:50:33.503: ISAKMP:(0:0:N/A:0): processing vendor id payload
*Mar 1 01:50:33.503: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 157 mismatch
*Mar 1 01:50:33.503: ISAKMP:(0:0:N/A:0): vendor ID is NAT-T v3
*Mar 1 01:50:33.503: ISAKMP:(0:0:N/A:0): processing vendor id payload
*Mar 1 01:50:33.507: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 123 mismatch
*Mar 1 01:50:33.507: ISAKMP:(0:0:N/A:0): vendor ID is NAT-T v2
*Mar 1 01:50:33.507: ISAKMP: Looking for a matching key for 1.1.2.1 in default : success
*Mar 1 01:50:33.507: ISAKMP:(0:0:N/A:0):found peer pre-shared key matching 1.1.2.1
*Mar 1 01:50:33.507: ISAKMP:(0:0:N/A:0): local preshared key found
*Mar 1 01:50:33.507: ISAKMP : Scanning profiles for xauth ...
*Mar 1 01:50:33.511: ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 1 against priority 10 policy
*Mar 1 01:50:33.511: ISAKMP: encryption 3DES-CBC
*Mar 1 01:50:33.511: ISAKMP: hash MD5
*Mar 1 01:50:33.511: ISAKMP: default group 2
*Mar 1 01:50:33.511: ISAKMP: auth pre-share
*Mar 1 01:50:33.511: ISAKMP: life type in seconds
*Mar 1 01:50:33.511: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*Mar 1 01:50:33.515: ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 0
*Mar 1 01:50:33.579: ISAKMP:(0:1:SW:1): processing vendor id payload
*Mar 1 01:50:33.579: ISAKMP:(0:1:SW:1): vendor ID seems Unity/DPD but major 157 mismatch
*Mar 1 01:50:33.583: ISAKMP:(0:1:SW:1): vendor ID is NAT-T v3
*Mar 1 01:50:33.583: ISAKMP:(0:1:SW:1): processing vendor id payload
*Mar 1 01:50:33.583: ISAKMP:(0:1:SW:1): vendor ID seems Unity/DPD but major 123 mismatch
*Mar 1 01:50:33.583: ISAKMP:(0:1:SW:1): vendor ID is NAT-T v2
*Mar 1 01:50:33.583: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*Mar 1 01:50:33.583: ISAKMP:(0:1:SW:1):Old State = IKE_R_MM1 New State = IKE_R_MM1
*Mar 1 01:50:33.583: ISAKMP:(0:1:SW:1): constructed NAT-T vendor-03 ID
*Mar 1 01:50:33.583: ISAKMP:(0:1:SW:1): sending packet to 1.1.2.1 my_port 500 peer_port 500 (R) MM_SA_SETUP
*Mar 1 01:50:33.583: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*Mar 1 01:50:33.583: ISAKMP:(0:1:SW:1):Old State = IKE_R_MM1 New State = IKE_R_MM2
*Mar 1 01:50:33.851: ISAKMP (0:134217729): received packet from 1.1.2.1 dport 500 sport 500 Global (R) MM_SA_SETUP
*Mar 1 01:50:33.855: ISAKMP:(0:1:SW:1):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Mar 1 01:50:33.855: ISAKMP:(0:1:SW:1):Old State = IKE_R_MM2 New State = IKE_R_MM3
*Mar 1 01:50:33.859: ISAKMP:(0:1:SW:1): processing KE payload. message ID = 0
*Mar 1 01:50:33.931: ISAKMP:(0:1:SW:1): processing NONCE payload. message ID = 0
*Mar 1 01:50:33.935: ISAKMP: Looking for a matching key for 1.1.2.1 in default : success
*Mar 1 01:50:33.935: ISAKMP:(0:1:SW:1):found peer pre-shared key matching 1.1.2.1
*Mar 1 01:50:33.939: ISAKMP:(0:1:SW:1):SKEYID state generated
*Mar 1 01:50:33.939: ISAKMP:(0:1:SW:1): processing vendor id payload
*Mar 1 01:50:33.939: ISAKMP:(0:1:SW:1): vendor ID is Unity
*Mar 1 01:50:33.939: ISAKMP:(0:1:SW:1): processing vendor id payload
*Mar 1 01:50:33.939: ISAKMP:(0:1:SW:1): vendor ID is DPD
*Mar 1 01:50:33.943: ISAKMP:(0:1:SW:1): processing vendor id payload
*Mar 1 01:50:33.943: ISAKMP:(0:1:SW:1): speaking to another IOS box!
*Mar 1 01:50:33.943: ISAKMP:received payload type 17
*Mar 1 01:50:33.943: ISAKMP:received payload type 17
*Mar 1 01:50:33.947: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*Mar 1 01:50:33.947: ISAKMP:(0:1:SW:1):Old State = IKE_R_MM3 New State = IKE_R_MM3
*Mar 1 01:50:33.951: ISAKMP:(0:1:SW:1): sending packet to 1.1.2.1 my_port 500 peer_port 500 (R) MM_KEY_EXCH
*Mar 1 01:50:33.951: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*Mar 1 01:50:33.951: ISAKMP:(0:1:SW:1):Old State = IKE_R_MM3 New State = IKE_R_MM4
*Mar 1 01:50:34.379: ISAKMP (0:134217729): received packet from 1.1.2.1 dport 500 sport 500 Global (R) MM_KEY_EXCH
*Mar 1 01:50:34.379: ISAKMP:(0:1:SW:1):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Mar 1 01:50:34.379: ISAKMP:(0:1:SW:1):Old State = IKE_R_MM4 New State = IKE_R_MM5
*Mar 1 01:50:34.383: ISAKMP:(0:1:SW:1): processing ID payload. message ID = 0
*Mar 1 01:50:34.383: ISAKMP (0:134217729): ID payload
next-payload : 8
type : 1
address : 1.1.2.1
protocol : 17
port : 500
length : 12
*Mar 1 01:50:34.387: ISAKMP:(0:1:SW:1):: peer matches *none* of the profiles
*Mar 1 01:50:34.387: ISAKMP:(0:1:SW:1): processing HASH payload. message ID = 0
*Mar 1 01:50:34.387: ISAKMP:(0:1:SW:1): processing NOTIFY INITIAL_CONTACT protocol 1
spi 0, message ID = 0, sa = 64D88378
*Mar 1 01:50:34.391: ISAKMP:(0:1:SW:1):SA authentication status:
authenticated
*Mar 1 01:50:34.391: ISAKMP:(0:1:SW:1): Process initial contact,
bring down existing phase 1 and 2 SA's with local 1.1.1.1 remote 1.1.2.1 remote port 500
*Mar 1 01:50:34.391: ISAKMP:(0:1:SW:1):SA authentication status:
authenticated
*Mar 1 01:50:34.395: ISAKMP:(0:1:SW:1):SA has been authenticated with 1.1.2.1
*Mar 1 01:50:34.395: ISAKMP: Trying to insert a peer 1.1.1.1/1.1.2.1/500/, and inserted successfully.
*Mar 1 01:50:34.395: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*Mar 1 01:50:34.395: ISAKMP:(0:1:SW:1):Old State = IKE_R_MM5 New State = IKE_R_MM5
*Mar 1 01:50:34.399: IPSEC(key_engine): got a queue event with 1 kei messages
*Mar 1 01:50:34.399: ISAKMP:(0:1:SW:1):SA is doing pre-shared key authentication using id type ID_IPV4_ADDR
*Mar 1 01:50:34.399: ISAKMP (0:134217729): ID payload
next-payload : 8
type : 1
address : 1.1.1.1
protocol : 17
port : 500
length : 12
*Mar 1 01:50:34.403: ISAKMP:(0:1:SW:1):Total payload length: 12
*Mar 1 01:50:34.407: ISAKMP:(0:1:SW:1): sending packet to 1.1.2.1 my_port 500 peer_port 500 (R) MM_KEY_EXCH
*Mar 1 01:50:34.407: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*Mar 1 01:50:34.407: ISAKMP:(0:1:SW:1):Old State = IKE_R_MM5 New State = IKE_P1_COMPLETE
*Mar 1 01:50:34.411: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
*Mar 1 01:50:34.411: ISAKMP:(0:1:SW:1):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE
*Mar 1 01:50:34.667: ISAKMP (0:134217729): received packet from 1.1.2.1 dport 500 sport 500 Global (R) QM_IDLE
*Mar 1 01:50:34.671: ISAKMP: set new node -1328570287 to QM_IDLE
*Mar 1 01:50:34.675: ISAKMP:(0:1:SW:1): processing HASH payload. message ID = -1328570287
*Mar 1 01:50:34.675: ISAKMP:(0:1:SW:1): processing SA payload. message ID = -1328570287
*Mar 1 01:50:34.675: ISAKMP:(0:1:SW:1):Checking IPSec proposal 1
*Mar 1 01:50:34.675: ISAKMP: transform 1, ESP_3DES
*Mar 1 01:50:34.675: ISAKMP: attributes in transform:
*Mar 1 01:50:34.675: ISAKMP: encaps is 1 (Tunnel)
*Mar 1 01:50:34.679: ISAKMP: SA life type in seconds
*Mar 1 01:50:34.679: ISAKMP: SA life duration (basic) of 3600
*Mar 1 01:50:34.679: ISAKMP: SA life type in kilobytes
*Mar 1 01:50:34.679: ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0
*Mar 1 01:50:34.679: ISAKMP: authenticator is HMAC-MD5
*Mar 1 01:50:34.683: ISAKMP:(0:1:SW:1):atts are acceptable.
*Mar 1 01:50:34.683: IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) INBOUND local= 1.1.1.1, remote= 1.1.2.1,
local_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4),
remote_proxy= 172.16.1.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac (Tunnel),
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x2
*Mar 1 01:50:34.687: Crypto mapdb : proxy_match
src addr : 192.168.1.0
dst addr : 172.16.1.0
protocol : 0
src port : 0
dst port : 0
*Mar 1 01:50:34.687: ISAKMP:(0:1:SW:1): processing NONCE payload. message ID = -1328570287
*Mar 1 01:50:34.687: ISAKMP:(0:1:SW:1): processing ID payload. message ID = -1328570287
*Mar 1 01:50:34.691: ISAKMP:(0:1:SW:1): processing ID payload. message ID = -1328570287
*Mar 1 01:50:34.691: ISAKMP:(0:1:SW:1): asking for 1 spis from ipsec
*Mar 1 01:50:34.691: ISAKMP:(0:1:SW:1):Node -1328570287, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
*Mar 1 01:50:34.691: ISAKMP:(0:1:SW:1):Old State = IKE_QM_READY New State = IKE_QM_SPI_STARVE
*Mar 1 01:50:34.695: IPSEC(key_engine): got a queue event with 1 kei messages
*Mar 1 01:50:34.695: IPSEC(spi_response): getting spi 2443743009 for SA
from 1.1.1.1 to 1.1.2.1 for prot 3
*Mar 1 01:50:34.695: ISAKMP: received ke message (2/1)
*Mar 1 01:50:34.943: IPSec: Flow_switching Allocated flow for flow_id 134217729
*Mar 1 01:50:34.947: IPSec: Flow_switching Allocated flow for flow_id 134217730
*Mar 1 01:50:34.951: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is UP . Peer 1.1.2.1:500 Id: 1.1.2.1
*Mar 1 01:50:34.951: ISAKMP: Locking peer struct 0x64AA4FC8, IPSEC refcount 1 for for stuff_ke
*Mar 1 01:50:34.951: ISAKMP:(0:1:SW:1): Creating IPSec SAs
*Mar 1 01:50:34.951: inbound SA from 1.1.2.1 to 1.1.1.1 (f/i) 0/ 0
(proxy 172.16.1.0 to 192.168.1.0)
*Mar 1 01:50:34.951: has spi 0x91A88F21 and conn_id 2000 and flags 2
*Mar 1 01:50:34.951: lifetime of 3600 seconds
*Mar 1 01:50:34.951: lifetime of 4608000 kilobytes
*Mar 1 01:50:34.951: has client flags 0x0
*Mar 1 01:50:34.951: outbound SA from 1.1.1.1 to 1.1.2.1 (f/i) 0/0
(proxy 192.168.1.0 to 172.16.1.0)
*Mar 1 01:50:34.951: has spi -1119953576 and conn_id 2001 and flags A
*Mar 1 01:50:34.951: lifetime of 3600 seconds
*Mar 1 01:50:34.951: lifetime of 4608000 kilobytes
*Mar 1 01:50:34.951: has client flags 0x0
*Mar 1 01:50:34.951: ISAKMP:(0:1:SW:1): sending packet to 1.1.2.1 my_port 500 peer_port 500 (R) QM_IDLE
*Mar 1 01:50:34.951: ISAKMP:(0:1:SW:1):Node -1328570287, Input = IKE_MESG_FROM_IPSEC, IKE_SPI_REPLY
*Mar 1 01:50:34.955: ISAKMP:(0:1:SW:1):Old State = IKE_QM_SPI_STARVE New State = IKE_QM_R_QM2
*Mar 1 01:50:34.955: IPSEC(key_engine): got a queue event with 2 kei messages
*Mar 1 01:50:34.955: IPSEC(initialize_sas): ,
(key eng. msg.) INBOUND local= 1.1.1.1, remote= 1.1.2.1,
local_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4),
remote_proxy= 172.16.1.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac (Tunnel),
lifedur= 3600s and 4608000kb,
spi= 0x91A88F21(2443743009), conn_id= 134219728, keysize= 0, flags= 0x2
*Mar 1 01:50:34.959: IPSEC(initialize_sas): ,
(key eng. msg.) OUTBOUND local= 1.1.1.1, remote= 1.1.2.1,
local_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4),
remote_proxy= 172.16.1.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac (Tunnel),
lifedur= 3600s and 4608000kb,
spi= 0xBD3EDD58(3175013720), conn_id= 134219729, keysize= 0, flags= 0xA
*Mar 1 01:50:34.963: Crypto mapdb : proxy_match
src addr : 192.168.1.0
dst addr : 172.16.1.0
protocol : 0
src port : 0
dst port : 0
*Mar 1 01:50:34.963: IPSEC(crypto_ipsec_sa_find_ident_head): reconnecting with the same proxies and 1.1.2.1
*Mar 1 01:50:34.963: IPSEC(policy_db_add_ident): src 192.168.1.0, dest 172.16.1.0, dest_port 0
*Mar 1 01:50:34.967: IPSEC(create_sa): sa created,
(sa) sa_dest= 1.1.1.1, sa_prot= 50,
sa_spi= 0x91A88F21(2443743009),
sa_trans= esp-3des esp-md5-hmac , sa_conn_id= 134219728
*Mar 1 01:50:34.967: IPSEC(create_sa): sa created,
(sa) sa_dest= 1.1.2.1, sa_prot= 50,
sa_spi= 0xBD3EDD58(3175013720),
sa_trans= esp-3des esp-md5-hmac , sa_conn_id= 134219729
*Mar 1 01:50:35.223: ISAKMP (0:134217729): received packet from 1.1.2.1 dport 500 sport 500 Global (R) QM_IDLE
*Mar 1 01:50:35.223: ISAKMP:(0:1:SW:1):deleting node -1328570287 error FALSE reason "QM done (await)"
*Mar 1 01:50:35.227: ISAKMP:(0:1:SW:1):Node -1328570287, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
*Mar 1 01:50:35.227: ISAKMP:(0:1:SW:1):Old State = IKE_QM_R_QM2 New State = IKE_QM_PHASE2_COMPLETE
*Mar 1 01:50:35.227: IPSEC(key_engine): got a queue event with 1 kei messages
*Mar 1 01:50:35.227: IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP
*Mar 1 01:50:35.231: IPSEC(key_engine_enable_outbound): enable SA with spi 3175013720/50 for 1.1.2.1
CompanyA#
这个问题的解决的深层次的原理,还没有弄明白,继续努力。
......
显示全文...
2009年6月23日星期二
vlan接口一直down的问题解决过程一例
过程是这样的,直接输入命令int vlan 99 ,再加上IP ADD;对INT VLAN 100做相同的配置,通过SHOW IP INT BRI查看,VLAN的接口一直处于DOWN的状态:
Interface IP-Address OK? Method Status Protocol
Vlan1 unassigned YES NVRAM up up
Vlan99 10.10.99.1 YES manual down down
Vlan100 10.10.100.1 YES manual down down
第一,我怀疑是没有开路由,打一个命令ip routing,问题没有解决;
第二,输入命令SHOW VLAN BRI没有看到VLAN 99 ,VLAN 100,新加VLAN 99,VLAN 100,问题解决!
这个问题我以前碰到过,也记的解决方法,即在同一个交换机下,把一个接口加入到一个VLAN,即可以解决,但是这个是核心交换机,所以用了近三十分钟的时间,才搞定。郁闷的说。
......
显示全文...
2009年6月5日星期五
RF
射频,Radio Frequency ,简称RF。射频就是射频电流,它是一种高频交流变化电磁波的简称。每秒变化小于1000次的交流电称为低频电流,大于10000次的称为高频电流,而射频就是这样一种高频电流。
......
显示全文...
Cisco高档路由器故障排除一例
故障现象及处理
某单位以Cisco7513路由器作为广域网骨干路由器,采用标准配置,IOS的版本为11.1。一日发现该路由器的2M主干出口线路协议处于down状态,从而使与之相联的网络中断,用“show running-config”命令检查所有运行参数,没有发现错误;
又用“show interfaces serial”命令检查串口,发现某些端口状态up,而线路协议是 down,并且出现这种情况的串口均在同一个串口板(A板)上,其它各模块工作正常。经查所有物理线路也都正常,从而排除了线路故障的可能性。然而在一般情况下同一个串口板上的串口同时出现线路故障的可能性也并不大。至此可以初步确定可能A板出了问题。当进入全局配置模式后,再想进入A板上串口的端口配置模式时却发现无法实现,每次键入“interface serial串口号”时,总是报错,但是同样的命令却可以进入其它串口的端口配置模式。这时,可以初步判断IOS本身出现了某种软件故障,用reload命令重启路由器后系统进入ROMmonitor模式,提示符为“rommon>”,键入命令“boot”可启动路由器但故障依然存在,且所有A板串口的配置语句全都报错。
再将路由器关电然后加电时观察到:路由器的交流(或直流)OK LED灯为绿色,这说明系统的供电子系统工作正常,风扇旋转正常且输出错误LED灯未亮,这说明冷却子系统工作正常,路由交换处理器(RSP)的LED灯为绿色,这也表示系统工作正常。各接口的Enable LED灯为绿色,表示RSP已完成了接口处理器的初始化。但A板的LED灯全闪了一下就灭了,执行“reset”命令再用“boot”引导系统后所有A板串口的配置语句全部消失了。
进一步检查A板时发现其型号为VIP2,其上的两个子模块中只安装了一个四串口子模块,因此A板上只有四个串(可扩充至8个),其中三个串口已使用,一个空闲。正常时三个使用的串口的LED灯应亮,而未使用的串口的LED灯应为黄色,但目前却是四个串口的LED都不亮。系统启动后,用命令“show version”可以发现系统已找到了A板并识别出该板的型号为VIP2,只是没有详细信息。为进一步压缩故障,将A板调换插槽安装,故障依然存在;将A板安装在另一台无故障的机器上时,则一切正常。
通过以上的步骤,将故障压缩到路由器配置参数上了。再用“show version”命令,在显示信息的最后一行,发现路由器配置寄存器数值为0x0,将其修改为0x2102后,重新引导路由器,将备份配置从tftpserver上拷入running-config后,路由器工作恢复正常,至此排除了这一貌似硬件接口损坏而实为软件参数设置错误的故障。
......
显示全文...
2009年5月20日星期三
2009年5月15日星期五
Service Assurance Agent (SAA)
在CISCO系统中是原来"响应时间报告器Response Time Reporter (RTR)"的新名称。
RTR允许用户监视网络性能,网络资源和通过衡量响应时间来判断应用程序性能,利用这个特征可以进行故障排除,问题通告,问题分析等操作。要验证是否似乎用了RTR responder,可使用如下命令验证:
Router>show rtr responder
RTR Responder is: Enabled
Number of control messages received: 0 Number of errors: 0
Recent sources:
Recent error sources:
Service Assurance Agent (SAA) is embedded software within Cisco IOS devices that performs active monitoring. Active monitoring is the generation and analysis of traffic to measure performance between Cisco IOS devices or between Cisco IOS devices and network application servers. Active monitoring provides a unique set of performance measurements: network delay or latency, packet loss, network delay variation (jitter), availability, one-way latency, website download time, as well as other network statistics. SAA can be used to measure network health, verify service level agreements, assist with network troubleshooting, and plan network infrastructure. SAA is supported on almost all Cisco IOS devices. Enterprises and service providers routinely deploy SAA for network performance statistics and within IP networks that utilize quality of service (QoS), Voice over IP, security, Virtual Private Network (VPNs), and Multiprotocol Label Switching (MPLS). SAA provides a scalable and cost effective solution for IP service level monitoring and eliminates the deployment of dedicated active monitoring devices by including the "probe" capabilities within Cisco IOS.
The SAA product has changed name to Cisco IOS IP SLAs
......
显示全文...
2009年4月30日星期四
“风险”无处不在
来源:赛迪网
【赛迪网讯】“AC米兰赢了!咱们3比1淘汰里昂,爽!”欧主管大半夜给钱经理发短信,庆祝AC米兰冠军杯晋级。
“太爽了,看得我紧张死了,睡吧睡吧,可算可以踏实睡觉了。明天还要准备一个新的项目,是一笔不错的生意,真是双喜临门啊!”钱经理回了一条短信给钱经理。
欧主管回短信说,“借您吉言,晚安,明儿见!”
......
“太爽了,看得我紧张死了,睡吧睡吧,可算可以踏实睡觉了。明天还要准备一个新的项目,是一笔不错的生意,真是双喜临门啊!”钱经理回了一条短信给钱经理。
欧主管回短信说,“借您吉言,晚安,明儿见!”
谈需求
借我一双慧眼 查出信息风险
清晨,钱经理洗漱完毕直奔公司,为了准备这单新的生意,钱经理前前后后没少操心。在路上,钱经理的心一直吊着,生怕出一点点问题。
到了公司,钱经理打开电脑,准备收电子邮件,却发现无法连接互联网。要知道在这个数字时代离开了互联网,钱经理会浑身不自在。作为IT公司,不能接入互联网的企业就等于被判了“死刑”。
着急的钱经理打电话给i博士,向i博士求救,“i博士,快来我这边一趟吧,我这边的网络似乎出现了一些问题,无法连接互联网,而且我的防病毒软件总是报警,系统也变得特别缓慢,不知道是什么原因。”i博士接到电话后,马上赶了过来。
i博士看到钱经理着急的样子,马上开始检查。对钱经理说,你们公司也慢慢长大了,企业信息资产不断膨胀的同时,意味着相关的信息量也在迅速的膨胀,但是作为一个企业来讲,管理维护人员编制的增加肯定是赶不上信息系统的增长速度的。
钱经理反问:“那我该如何做呢?现在整个公司的网络系统看上去风平浪静,实际上我曾经也感到过危机四伏,没有对网络进行彻底地深入了解,也不知道哪里存在安全隐患,不知道风险到底在哪里。”
i博士和钱经理说:“我建议你对整体的网络架构,直到终端系统进行系统地风险评估,风险评估管理系统通过风险组织模型、完善的规范化的风险评估流程、标准的风险评估结果数据处理,实现对企业和组织风险评估实践的指导,并作为风险评估和风险管理的统一操作平台。”
i博士还提醒钱经理要注意,风险管理系统包含了企业的核心安全机密,一旦泄密将带来灾难性的后果,故其自身的安全性也是非常重要的,必须有严格明确的用户管理、权限分配、访问控制等措施。
i博士点评
风险管理系统包含了企业的核心安全机密,一旦泄密将带来灾难性的后果,故其自身的安全性也是非常重要的,必须有严格明确的用户管理、权限分配、访问控制等措施。
借我一双慧眼 查出信息风险
清晨,钱经理洗漱完毕直奔公司,为了准备这单新的生意,钱经理前前后后没少操心。在路上,钱经理的心一直吊着,生怕出一点点问题。
到了公司,钱经理打开电脑,准备收电子邮件,却发现无法连接互联网。要知道在这个数字时代离开了互联网,钱经理会浑身不自在。作为IT公司,不能接入互联网的企业就等于被判了“死刑”。
着急的钱经理打电话给i博士,向i博士求救,“i博士,快来我这边一趟吧,我这边的网络似乎出现了一些问题,无法连接互联网,而且我的防病毒软件总是报警,系统也变得特别缓慢,不知道是什么原因。”i博士接到电话后,马上赶了过来。
i博士看到钱经理着急的样子,马上开始检查。对钱经理说,你们公司也慢慢长大了,企业信息资产不断膨胀的同时,意味着相关的信息量也在迅速的膨胀,但是作为一个企业来讲,管理维护人员编制的增加肯定是赶不上信息系统的增长速度的。
钱经理反问:“那我该如何做呢?现在整个公司的网络系统看上去风平浪静,实际上我曾经也感到过危机四伏,没有对网络进行彻底地深入了解,也不知道哪里存在安全隐患,不知道风险到底在哪里。”
i博士和钱经理说:“我建议你对整体的网络架构,直到终端系统进行系统地风险评估,风险评估管理系统通过风险组织模型、完善的规范化的风险评估流程、标准的风险评估结果数据处理,实现对企业和组织风险评估实践的指导,并作为风险评估和风险管理的统一操作平台。”
i博士还提醒钱经理要注意,风险管理系统包含了企业的核心安全机密,一旦泄密将带来灾难性的后果,故其自身的安全性也是非常重要的,必须有严格明确的用户管理、权限分配、访问控制等措施。
i博士点评
风险管理系统包含了企业的核心安全机密,一旦泄密将带来灾难性的后果,故其自身的安全性也是非常重要的,必须有严格明确的用户管理、权限分配、访问控制等措施。
说应用
信息风险管理 一步一个脚印
i博士对钱经理说:“全面的风险评估和风险管理系统,不是单纯的仅仅对于一些系统软件的技术型评估和管理,更多的还是应该是对管理和技术两个角度进行评估和管理。”
风险管理系统主要功能应该具备:能够收集来自不同资产和漏洞评估软件的原始风险情况;在进行风险综合分析的时候可以将资产实际情况考虑进来以减少误报;将确认的风险通过内部工单的方式进行派发;对于所有进行处理的工单进行跟踪,同时可以评价人员的工作效率等功能。
钱经理说:“对于我的网络来说,风险评估是不是不仅局限于技术上的评估,还需要有包含管理体系上的评估是否具备这方面的评估能力和方法。需要平台化的管理体系,支持多用户分权限的管理,能够进行多任务的处理。”
i博士解释说,管理平台建立详细完整的知识库实现内部工作区域的最大化资源和经验共享,全面的风险管理系统需要结合企业实际网络组成情况。例如企业当前的管理维护人员的组织结构、网络中特有的应用业务系统等等。
真正要做好风险管理平台,就需要走入用户网络中进行专门的需求调研和产品软件定制。而高端的风险管理系统应该走一条定制化的开发路线,产品厂商应该具备深厚的产品技术研发实力。
风险管理进行拆分后又包含资产管理、脆弱性管理、威胁管理,所以选择产品的时候要认真查看是否包含了这些功能与它们的收集评估方法是否完善。
对于选购来说,企业需要智能化的风险管理系统,首先需要对于各种原始安全事件与漏洞信息进行归并,可以将风险与资产责任人进行关联进行管理任务下发的工单系统,同时可以对于确认的风险信息与处理情况进行变化跟踪。
i博士点评
真正要做好风险管理平台,就需要走入用户网络中进行专门的需求调研和产品软件定制,从未来看高端的风险管理系统应该走一条定制化的开发路线,产品厂商应该具备深厚的产品技术研发实力。
产品推介
信息风险管理 一步一个脚印
i博士对钱经理说:“全面的风险评估和风险管理系统,不是单纯的仅仅对于一些系统软件的技术型评估和管理,更多的还是应该是对管理和技术两个角度进行评估和管理。”
风险管理系统主要功能应该具备:能够收集来自不同资产和漏洞评估软件的原始风险情况;在进行风险综合分析的时候可以将资产实际情况考虑进来以减少误报;将确认的风险通过内部工单的方式进行派发;对于所有进行处理的工单进行跟踪,同时可以评价人员的工作效率等功能。
钱经理说:“对于我的网络来说,风险评估是不是不仅局限于技术上的评估,还需要有包含管理体系上的评估是否具备这方面的评估能力和方法。需要平台化的管理体系,支持多用户分权限的管理,能够进行多任务的处理。”
i博士解释说,管理平台建立详细完整的知识库实现内部工作区域的最大化资源和经验共享,全面的风险管理系统需要结合企业实际网络组成情况。例如企业当前的管理维护人员的组织结构、网络中特有的应用业务系统等等。
真正要做好风险管理平台,就需要走入用户网络中进行专门的需求调研和产品软件定制。而高端的风险管理系统应该走一条定制化的开发路线,产品厂商应该具备深厚的产品技术研发实力。
风险管理进行拆分后又包含资产管理、脆弱性管理、威胁管理,所以选择产品的时候要认真查看是否包含了这些功能与它们的收集评估方法是否完善。
对于选购来说,企业需要智能化的风险管理系统,首先需要对于各种原始安全事件与漏洞信息进行归并,可以将风险与资产责任人进行关联进行管理任务下发的工单系统,同时可以对于确认的风险信息与处理情况进行变化跟踪。
i博士点评
真正要做好风险管理平台,就需要走入用户网络中进行专门的需求调研和产品软件定制,从未来看高端的风险管理系统应该走一条定制化的开发路线,产品厂商应该具备深厚的产品技术研发实力。
产品推介
- mcafee foundstone enterprise
- 绿盟科技“极光”远程安全评估系统
- 天融信网络卫士安全管理系统 TSM
- e-Cop Cyclops ESM
显示全文...
2009年4月21日星期二
金融危机是如何炼成[转]
对金融危机最普遍的官方解释是次贷问题,然而次贷总共不过几千亿,而美国政府救市资金早已到了万亿以上,为什么危机还是看不到头?有文章指出危机的根源是金融机构采用“杠杆”交易;另一些专家指出金融危机的背后是62万亿的信用违约掉期(Credit Default Swap, CDS)。那么,次贷,杠杆和CDS之间究竟是什么关系?它们之间通过什么样的相互作用产生了今天的金融危机?在众多的金融危机分析文章中,始终没有看到对这些问题的简单明了的解释。本文试图通过自己的理解为这些问题提供一个答案,为通俗易懂起见,我们使用了几个假想的例子。有不恰当之处欢迎批评讨论。
一。杠杆。目前,许多投资银行为了赚取暴利,采用20-30倍杠杆操作,假设一个银行A自身资产为30亿,30倍杠杆就是900亿。也就是说,这个银行A以 30亿资产为抵押去借900亿的资金用于投资,假如投资盈利5%,那么A就获得45亿的盈利,相对于A自身资产而言,这是150%的暴利。反过来,假如投资亏损5%,那么银行A赔光了自己的全部资产还欠15亿。
二。CDS合同。由于杠杆操作高风险,所以按照正常的规定,银行不运行进行这样的冒险操作。所以就有人想出一个办法,把杠杆投资拿去做“保险”。这种保险就叫CDS。比如,银行A为了逃避杠杆风险就找到了机构B。机构B可能是另一家银行,也可能是保险公司,诸如此类。A对B说,你帮我的贷款做违约保险怎么样,我每年付你保险费5千万,连续10年,总共5亿,假如我的投资没有违约,那么这笔保险费你就白拿了,假如违约,你要为我赔偿。A想,如果不违约,我可以赚45亿,这里面拿出5亿用来做保险,我还能净赚40亿。如果有违约,反正有保险来赔。所以对A而言这是一笔只赚不赔的生意。B是一个精明的人,没有立即答应A的邀请,而是回去做了一个统计分析,发现违约的情况不到1%。如果做一百家的生意,总计可以拿到500亿的保险金,如果其中一家违约,赔偿额最多不过50亿,即使两家违约,还能赚400亿。A,B双方都认为这笔买卖对自己有利,因此立即拍板成交,皆大欢喜。
三。CDS市场。B做了这笔保险生意之后,C在旁边眼红了。C就跑到B那边说,你把这100个CDS卖给我怎么样,每个合同给你2亿,总共200亿。B想,我的400亿要10年才能拿到,现在一转手就有200亿,而且没有风险,何乐而不为,因此B和C马上就成交了。这样一来,CDS就像股票一样流到了金融市场之上,可以交易和买卖。实际上C拿到这批CDS之后,并不想等上10年再收取200亿,而是把它挂牌出售,标价220亿;D看到这个产品,算了一下,400亿减去220亿,还有180亿可赚,这是“原始股”,不算贵,立即买了下来。一转手,C赚了20 亿。从此以后,这些CDS就在市场上反复的抄,现在CDS的市场总值已经抄到了62万亿美元。
四。次贷。上面 A,B,C,D,E,F….都在赚大钱,那么这些钱到底从那里冒出来的呢?从根本上说,这些钱来自A以及同A相仿的投资人的盈利。而他们的盈利大半来自美国的次级贷款。人们说次贷危机是由于把钱借给了穷人。笔者对这个说法不以为然。笔者以为,次贷主要是给了普通的美国房产投资人。这些人的经济实力本来只够买自己的一套住房,但是看到房价快速上涨,动起了房产投机的主意。他们把自己的房子抵押出去,贷款买投资房。这类贷款利息要在8%-9%以上,凭他们自己的收入很难对付,不过他们可以继续把房子抵押给银行,借钱付利息,空手套白狼。此时A很高兴,他的投资在为他赚钱;B也很高兴,市场违约率很低,保险生意可以继续做;后面的C,D,E,F等等都跟着赚钱。
五。次贷危机。房价涨到一定的程度就涨不上去了,后面没人接盘。此时房产投机人急得像热锅上的蚂蚁。房子卖不出去,高额利息要不停的付,终于到了走头无路的一天,把房子甩给了银行。此时违约就发生了。此时A感到一丝遗憾,大钱赚不着了,不过也亏不到那里,反正有B做保险。B也不担心,反正保险已经卖给了C。那么现在这份CDS保险在那里呢,在G手里。G刚从F手里花了300亿买下了 100个CDS,还没来得及转手,突然接到消息,这批CDS被降级,其中有20个违约,大大超出原先估计的1%到2%的违约率。每个违约要支付50亿的保险金,总共支出达1000亿。加上300亿CDS收购费,G的亏损总计达1300亿。虽然G是全美排行前10名的大机构,也经不起如此巨大的亏损。因此G 濒临倒闭。
六。金融危机。如果G倒闭,那么A花费5亿美元买的保险就泡了汤,更糟糕的是,由于A采用了杠杆原理投资,根据前面的分析,A 赔光全部资产也不够还债。因此A立即面临破产的危险。除了A之外,还有A2,A3,…,A20,统统要准备倒闭。因此G,A,A2,…,A20一起来到美国财政部长面前,一把鼻涕一把眼泪地游说,G万万不能倒闭,它一倒闭大家都完了。财政部长心一软,就把G给国有化了,此后A,…,A20的保险金总计1000亿美元全部由美国纳税人支付。
七。美元危机。上面讲到的100个CDS的市场价是300亿。而CDS市场总值是62万亿,假设其中有10%的违约,那么就有6万亿的违约CDS。这个数字是300亿的200倍。如果说美国政府收购价值300亿的CDS之后要赔出1000 亿。那么对于剩下的那些违约CDS,美国政府就要赔出20万亿。如果不赔,就要看着A20,A21,A22等等一个接一个倒闭。无论采取什么措施,美元大贬值已经不可避免。
以上计算所用的假设和数字同实际情况会有出入,但美国金融危机的严重性无法低估。
......
显示全文...
2009年4月20日星期一
symantec无法更新的几种可能[转]
来源:凌尘的网络博客
=============
收集1
=============
近公司的symantec出了一點問題 所以就研究了一下
一般symantec client本身有內建幾個檔案是用來check病毒碼的版本
無法更新就是那幾個檔案損壞,symantec網站上放的norton antivirus (5m) 跟 Symantec antivirus (8m) 病毒碼的差異性就是
Norton的版本無法修復損壞的那幾個原件,而symantec的就可以了。
如果發現client端無法更新的話,就請下policy下去派送吧
一般symantec自行做live update會下載包含一個*.xdb的檔,如果自行上網站只更新symantec antivirus Definitions的話
是無法佈署至client端的,必須加上*.xdb方可,一般放置路徑在 c:\program files\sav
請把以下另存成*.bat檔
--------------------------------------------------------------------------------------------------------------------------------------
@Echo Off
cls
wget -N ftp://ftp.symantec.com/public/english_userials_canada/antiviruserials_definitions/symantec_antiviruserials_corp/static/symcdefsx86.exe
FCOM32 symcdefsx86.exe symcdefsx86.bak /Q
wget -N ftp://ftp.symantec.com/public/english_userials_canada/antiviruserials_definitions/symantec_antiviruserials_corp/static/navup8.exe
FCOM32 navup8.exe navup8.bak /Q
if errorlevel=1 goto Install
if errorlevel=0 goto No_Need
else goto Error
:Install
symcdefsx86.exe /Q
copy symcdefsx86.exe symcdefsx86.bak /Y > NUL
navup8.exe
copy /Y VD*.XDB "C:\Program Files\SAV\"
copy navup8.exe navup8.bak /Y > NUL
Del VD*.XDB
echo Update complete.
goto End
:No_Need
echo No update needed.
goto End
:Error
echo Error occured.
:End
@Echo On
ps. 在官方的說法norton跟symantec是不同的版本
ps2. 如果有興趣可以抓一下兩個Definitions用winrar解開比較一下就知道了
=========
收集2
=========
Settings.LiveUpdate 文件(有些以数字开始,如 1.Settings.LiveUpdate)通常可在 Documents and SettingsAll UsersApplication DataSymantecLiveupdate 中找到.删?Settings.LiveUpdate 文件 .
结果能更新了.真好.
----------------------------------------------------------------------------------------------------------------------------------
=========
收集3
=========
我在服务器部署了 symantec antivirus corporate edition 10.1.6.6000之后,安装客户端,结果发现在同一个局域网中有几台不能够升级病毒库。
查了网上的资料说要满足下面的三个条件。
1、NETBIOS解析SAV服务器的计算机名称;
2、SAV客户端是否具备SAV服务器的PKI证书;
3、SAV客户端是否可以Telnet x.x.x.x 2967端口;
于是做了检查,
1,直接 ping服务器的机器名,可以返回。 所以没问题。
2,检查PKI证书, 发现在客户端的 PKI\roots\ 下面已经有证书。所以没问题。
3,在客户端 Telnet 服务器名 2967端口,发现也没问题。
这下没招了。把客户端删了再重新安装,也不行。
偶然发现,客户端的时间不对,修改成现在的时间,成功。
--------------------------------------------------------------------------------------------------------------------------------------
=========
收集4
=========
symantec杀毒软件企业版客户端无法同步更新解决方法—[symantec]
病毒定义库升级问题
1. 从服务器端telnet 客户端2967端口。如果不通说明有防火墙之类软件阻碍 了通讯,请检查您的防火墙。
2. 如果可以telnet 通,但是无法正常通讯,按下面办法恢复 通讯。
如果这时ssc 仍然看不到client 日志, 则做下面这两个操作,
1.Server 端 symantec antivirus 安装目录下: grc.dat 考入 客户端documents and setting\all users\application data\symantec antivirus cooperation\7.5
2.Server 端 symantec antivirus 安装目录下:pki\roots 下证书文件考入,客户端scs 安装目录下,symantec antivirus\pki\roots
病毒定义不能更新
使用 i32.exe 更新病毒定义
1. 下载i32.exe
在symantec 网站:
http://www.symantec.com/avcenter/defs.download.html
上找到您安装的版本并选择,
到下个页面按照您的版本找到相应手动升级文件,并下载。
2. 在本机运行
如果不行,
3.使用病毒修复工具修复病毒定义。
1。在https://fileshare.symantec.com , 用户名: tools , 密码: Symantec@123
2. 下载Rx4Defs_client.exe 12.05 MB 01/03/07 10:09 PM 文件,在客户端本机运行
3.重新运行i32.exe后文件达到最新
......
收集1
=============
近公司的symantec出了一點問題 所以就研究了一下
一般symantec client本身有內建幾個檔案是用來check病毒碼的版本
無法更新就是那幾個檔案損壞,symantec網站上放的norton antivirus (5m) 跟 Symantec antivirus (8m) 病毒碼的差異性就是
Norton的版本無法修復損壞的那幾個原件,而symantec的就可以了。
如果發現client端無法更新的話,就請下policy下去派送吧
一般symantec自行做live update會下載包含一個*.xdb的檔,如果自行上網站只更新symantec antivirus Definitions的話
是無法佈署至client端的,必須加上*.xdb方可,一般放置路徑在 c:\program files\sav
請把以下另存成*.bat檔
--------------------------------------------------------------------------------------------------------------------------------------
@Echo Off
cls
wget -N ftp://ftp.symantec.com/public/english_userials_canada/antiviruserials_definitions/symantec_antiviruserials_corp/static/symcdefsx86.exe
FCOM32 symcdefsx86.exe symcdefsx86.bak /Q
wget -N ftp://ftp.symantec.com/public/english_userials_canada/antiviruserials_definitions/symantec_antiviruserials_corp/static/navup8.exe
FCOM32 navup8.exe navup8.bak /Q
if errorlevel=1 goto Install
if errorlevel=0 goto No_Need
else goto Error
:Install
symcdefsx86.exe /Q
copy symcdefsx86.exe symcdefsx86.bak /Y > NUL
navup8.exe
copy /Y VD*.XDB "C:\Program Files\SAV\"
copy navup8.exe navup8.bak /Y > NUL
Del VD*.XDB
echo Update complete.
goto End
:No_Need
echo No update needed.
goto End
:Error
echo Error occured.
:End
@Echo On
ps. 在官方的說法norton跟symantec是不同的版本
ps2. 如果有興趣可以抓一下兩個Definitions用winrar解開比較一下就知道了
=========
收集2
=========
Settings.LiveUpdate 文件(有些以数字开始,如 1.Settings.LiveUpdate)通常可在 Documents and SettingsAll UsersApplication DataSymantecLiveupdate 中找到.删?Settings.LiveUpdate 文件 .
结果能更新了.真好.
----------------------------------------------------------------------------------------------------------------------------------
=========
收集3
=========
我在服务器部署了 symantec antivirus corporate edition 10.1.6.6000之后,安装客户端,结果发现在同一个局域网中有几台不能够升级病毒库。
查了网上的资料说要满足下面的三个条件。
1、NETBIOS解析SAV服务器的计算机名称;
2、SAV客户端是否具备SAV服务器的PKI证书;
3、SAV客户端是否可以Telnet x.x.x.x 2967端口;
于是做了检查,
1,直接 ping服务器的机器名,可以返回。 所以没问题。
2,检查PKI证书, 发现在客户端的 PKI\roots\ 下面已经有证书。所以没问题。
3,在客户端 Telnet 服务器名 2967端口,发现也没问题。
这下没招了。把客户端删了再重新安装,也不行。
偶然发现,客户端的时间不对,修改成现在的时间,成功。
--------------------------------------------------------------------------------------------------------------------------------------
=========
收集4
=========
symantec杀毒软件企业版客户端无法同步更新解决方法—[symantec]
病毒定义库升级问题
1. 从服务器端telnet 客户端2967端口。如果不通说明有防火墙之类软件阻碍 了通讯,请检查您的防火墙。
2. 如果可以telnet 通,但是无法正常通讯,按下面办法恢复 通讯。
如果这时ssc 仍然看不到client 日志, 则做下面这两个操作,
1.Server 端 symantec antivirus 安装目录下: grc.dat 考入 客户端documents and setting\all users\application data\symantec antivirus cooperation\7.5
2.Server 端 symantec antivirus 安装目录下:pki\roots 下证书文件考入,客户端scs 安装目录下,symantec antivirus\pki\roots
病毒定义不能更新
使用 i32.exe 更新病毒定义
1. 下载i32.exe
在symantec 网站:
http://www.symantec.com/avcenter/defs.download.html
上找到您安装的版本并选择,
到下个页面按照您的版本找到相应手动升级文件,并下载。
2. 在本机运行
如果不行,
3.使用病毒修复工具修复病毒定义。
1。在https://fileshare.symantec.com
2. 下载Rx4Defs_client.exe 12.05 MB 01/03/07 10:09 PM 文件,在客户端本机运行
3.重新运行i32.exe后文件达到最新
显示全文...
2009年4月16日星期四
cisco 交换机3560与6509做汇聚的时候碰到的问题
其中一个接口成功做成了汇聚,但是其中另一个就是不亮!问题描述如下:
swb:
swb#show run int fa0/2
Building configuration...
Current configuration : 121 bytes
!
interface FastEthernet0/2
switchport access vlan 100
switchport mode dynamic desirable
channel-group 1 mode on
end
swb#show run int fa0/11
Building configuration...
Current configuration : 100 bytes
!
interface FastEthernet0/11
switchport access vlan 100
duplex full
channel-group 1 mode on
end
interface Port-channel1
switchport access vlan 100
end
swb#show etherchannel 1 summary
Flags: D - down P - bundled in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use f - failed to allocate aggregator
M - not in use, minimum links not met
u - unsuitable for bundling
w - waiting to be aggregated
d - default port
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
------+-------------+-----------+-----------------------------------------------
1 Po1(SU) - Fa0/2(P) Fa0/11(D)
swb#show etherchannel 1 detail
Group state = L2
Ports: 2 Maxports = 8
Port-channels: 1 Max Port-channels = 1
Protocol: -
Minimum Links: 0
Ports in the group:
-------------------
Port: Fa0/2
------------
Port state = Up Mstr In-Bndl
Channel group = 1 Mode = On Gcchange = -
Port-channel = Po1 GC = - Pseudo port-channel = Po1
Port index = 0 Load = 0x00 Protocol = -
Age of the port in the current state: 0d:00h:08m:45s
Port: Fa0/11
------------
Port state = Down Not-in-Bndl
Channel group = 1 Mode = On Gcchange = -
Port-channel = null GC = - Pseudo port-channel = Po1
Port index = 0 Load = 0x00 Protocol = -
Age of the port in the current state: 0d:00h:03m:44s
Port-channels in the group:
---------------------------
Port-channel: Po1
------------
Age of the Port-channel = 0d:00h:16m:23s
Logical slot/port = 2/1 Number of ports = 1
GC = 0x00000000 HotStandBy port = null
Port state = Port-channel Ag-Inuse
Protocol = -
Port security = Disabled
Ports in the Port-channel:
Index Load Port EC state No of bits
------+------+------+------------------+-----------
0 00 Fa0/2 On 0
Time since last port bundled: 0d:00h:03m:45s Fa0/11
Time since last port Un-bundled: 0d:00h:03m:45s Fa0/11
swb#
swa:
swa#show run int fa0/1
Building configuration...
Current configuration : 172 bytes
!
interface FastEthernet0/1
switchport access vlan 100
switchport trunk encapsulation dot1q
switchport mode access
speed 100
duplex full
channel-group 1 mode on
end
swa#show run int fa0/2
Building configuration...
Current configuration : 110 bytes
!
interface FastEthernet0/2
switchport access vlan 100
switchport mode access
channel-group 1 mode on
end
swa#
swa#show run int port-ch
swa#show run int port-channel 1
Building configuration...
Current configuration : 83 bytes
!
interface Port-channel1
switchport access vlan 100
switchport mode access
end
swa#
swa#show etherchannel 1 summary
Flags: D - down P - bundled in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use f - failed to allocate aggregator
M - not in use, minimum links not met
u - unsuitable for bundling
w - waiting to be aggregated
d - default port
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
------+-------------+-----------+-----------------------------------------------
1 Po1(SU) - Fa0/1(D) Fa0/2(P)
swa#
swa#show etherchannel 1 detail
Group state = L2
Ports: 2 Maxports = 8
Port-channels: 1 Max Port-channels = 1
Protocol: -
Minimum Links: 0
Ports in the group:
-------------------
Port: Fa0/1
------------
Port state = Down Not-in-Bndl
Channel group = 1 Mode = On Gcchange = -
Port-channel = null GC = - Pseudo port-channel = Po1
Port index = 0 Load = 0x00 Protocol = -
Age of the port in the current state: 0d:00h:09m:01s
Port: Fa0/2
------------
Port state = Up Mstr In-Bndl
Channel group = 1 Mode = On Gcchange = -
Port-channel = Po1 GC = - Pseudo port-channel = Po1
Port index = 0 Load = 0x00 Protocol = -
Age of the port in the current state: 0d:00h:11m:12s
Port-channels in the group:
---------------------------
Port-channel: Po1
------------
Age of the Port-channel = 0d:00h:19m:06s
Logical slot/port = 2/1 Number of ports = 1
GC = 0x00000000 HotStandBy port = null
Port state = Port-channel Ag-Inuse
Protocol = -
Port security = Disabled
Ports in the Port-channel:
Index Load Port EC state No of bits
------+------+------+------------------+-----------
0 00 Fa0/2 On 0
Time since last port bundled: 0d:00h:09m:02s Fa0/1
Time since last port Un-bundled: 0d:00h:06m:49s Fa0/1
swa#
swa#
swa#
FastEthernet0/1 is down, line protocol is down (notconnect)
Hardware is Fast Ethernet, address is 001e.14cf.0883 (bia 001e.14cf.0883)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Auto-duplex, 100Mb/s, media type is 10/100BaseTX
input flow-control is off, output flow-control is unsupported
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:08, output 00:00:13, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
159 packets input, 21834 bytes, 0 no buffer
Received 1 broadcasts (96 multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 96 multicast, 0 pause input
0 input packets with dribble condition detected
436 packets output, 41811 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier, 0 PAUSE output
0 output buffer failures, 0 output buffers swapped out
swa#show int fa0/1
FastEthernet0/1 is up, line protocol is up (connected)
Hardware is Fast Ethernet, address is 001e.14cf.0883 (bia 001e.14cf.0883)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, media type is 10/100BaseTX
input flow-control is off, output flow-control is unsupported
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:01, output 00:00:01, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
155 packets input, 21548 bytes, 0 no buffer
Received 1 broadcasts (94 multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 94 multicast, 0 pause input
0 input packets with dribble condition detected
434 packets output, 41683 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier, 0 PAUSE output
0 output buffer failures, 0 output buffers swapped out
swa#conf t
总之一句话,speed 100不能打进去,一打进去,接口的灯就直接灭了。。。
做汇聚,几个有用的故障排除命令:
show etherch 1 summary
show etherch 1 detail
如果是绑定两一个接口,一个已经绑定成功,另一个没有的话,可以通过命令,可以直接查看到原因的!
//不是很正式,随便写写。。。
好像最近总在这种似乎很简单的事情上卡壳,郁闷的说!
......
显示全文...
2009年4月2日星期四
[安装系统]I386文件装系统
硬盘安装(支持自动无人职守安装)
a.自动安装
请提取ISO中I386中的所有内容到硬盘,然后DOS下进入
I386目录运行winnt.bat就可以安装 。
b. 手动安装
请提取ISO中I386中的所有内容到硬盘,然后DOS下进入
I386目录运行winnt.exe就可以安装 。安装之前需要先
加载smartdrv.exe(I386中有)
1.先把光盘上的文件复制到除c盘以外的其他盘中,(可以在d盘下建一个文件夹,取名xp什么的,注意文件夹名只能是英文或者数字,不要中文。)
2.准备一张98系统引导盘,进入纯dos后,通常都是显示引导盘的盘符(也就是你的光区的盘符)的,你只要键入 d: 回车(转到你文件所放的盘) ,然后cd xp(转到所放文件的文件夹),再继续键入 cd i386 ,最后键入winnt.exe即可开始安装了。
注意:最好在执行安装之前,先执行smartdrv.exe这个程序,可以节省安装的时间。
当然,最重要的是要事先记下cdkey,千万别忘了。如果想先格式化c盘的话那就在d:\>这个后面打入 format c:/q 看清楚斜杠的位置,后面的q是参数,表示快速格式化。如果忘了记下cdkey的话,一般来说应该在你全部复制文件的文件夹中,即xp文件夹中,你可以打入 dir/p/w *.txt查找文本文件,然后找到readme.txt 或者sn.txt的文件,用type readme.txt或者type sn.txt打开找到序列号就行了。
......
显示全文...
2009年3月31日星期二
VMware三种网络模式根本区别[转]
作者:孙鹏 出处:中关村在线 我们看到,物理网卡和虚拟网卡的IP地址处于同一个网段,子网掩码、网关、DNS等参数都相同。两个网卡在拓扑结构中是相对独立的。 我们在192.168.15.111上ping192.168.15.96,结果显示两个网卡能够互相通信。如果在网络中存在DHCP服务器,那么虚拟网卡同样可以从DHCP服务器上获取IP地址。所以桥接网络模式是VMware虚拟机中最简单直接的模式。安装虚拟机时它为默认选项。 二.NAT模式 在NAT网络中,会用到VMware Network Adepter VMnet8虚拟网卡,主机上的VMware Network Adepter VMnet8虚拟网卡被直接连接到VMnet8虚拟交换机上与虚拟网卡进行通信。 VMware Network Adepter VMnet8虚拟网卡的作用仅限于和VMnet8网段进行通信,它不给VMnet8网段提供路由功能,所以虚拟机虚拟一个NAT服务器,使虚拟网卡可以连接到Internet。在这种情况下,我们就可以使用端口映射功能,让访问主机80端口的请求映射到虚拟机的80端口上。 VMware Network Adepter VMnet8虚拟网卡的IP地址是在安装VMware时由系统指定生成的,我们不要修改这个数值,否则会使主机和虚拟机无法通信。 虚拟出来的网段和NAT模式虚拟网卡的网段是一样的,都为192.168.111.X,包括NAT服务器的IP地址也是这个网段。在安装VMware之后同样会生成一个虚拟DHCP服务器,为NAT服务器分配IP地址。 当主机和虚拟机进行通信的时候就会调用VMware Network Adepter VMnet8虚拟网卡,因为他们都在一个网段,所以通信就不成问题了。 实际上,VMware Network Adepter VMnet8虚拟网卡的作用就是为主机和虚拟机的通信提供一个接口,即使主机的物理网卡被关闭,虚拟机仍然可以连接到Internet,但是主机和虚拟机之间就不能互访了。 三.Host-Only模式 在Host-Only模式下,虚拟网络是一个全封闭的网络,它唯一能够访问的就是主机。其实Host-Only网络和NAT网络很相似,不同的地方就是Host-Only网络没有NAT服务,所以虚拟网络不能连接到Internet。主机和虚拟机之间的通信是通过VMware Network Adepter VMnet1虚拟网卡来实现的。 同NAT一样,VMware Network Adepter VMnet1虚拟网卡的IP地址也是VMware系统指定的,同时生成的虚拟DHCP服务器和虚拟网卡的IP地址位于同一网段,但和物理网卡的IP地址不在同一网段。 Host-Only的宗旨就是建立一个与外界隔绝的内部网络,来提高内网的安全性。这个功能或许对普通用户来说没有多大意义,但大型服务商会常常利用这个功能。如果你想为VMnet1网段提供路由功能,那就需要使用RRAS,而不能使用XP或2000的ICS,因为ICS会把内网的IP地址改为192.168.0.1,但虚拟机是不会给VMnet1虚拟网卡分配这个地址的,那么主机和虚拟机之间就不能通信了。 综述 在VMware的3中网络模式中,NAT模式是最简单的,基本不需要手动配置IP地址等相关参数。至于桥接模式则需要额外的IP地址,如果是在内网环境中还很容易,如果是ADSL宽带就比较麻烦了,ISP一般是不会大方的多提供一个公网IP的。
提到VMware大家就想起了虚拟机技术,虚拟机技术在最近的几年中得到了广泛的发展,一些大型网络服务商都开始采用虚拟机技术,不仅节省了投资成本,更节约了能源的消耗。
我们知道VMware也分几种版本,普通用户最常用的就是Workstation,但是不管使用哪种版本,我们都能发现在安装过程中让我们选择网络模式。在默认情况下会选中桥接模式,但有用户会问其他模式是干什么用的?有时候选择了其他模式之后就不能上网了。今天小编就和大家一起探讨一下VMware 3种网络模式的功能和通信规则。
网络模式
我们首先说一下VMware的几个虚拟设备
VMnet0:用于虚拟桥接网络下的虚拟交换机
VMnet1:用于虚拟Host-Only网络下的虚拟交换机
VMnet8:用于虚拟NAT网络下的虚拟交换机
VMware Network Adepter VMnet1:Host用于与Host-Only虚拟网络进行通信的虚拟网卡
VMware Network Adepter VMnet8:Host用于与NAT虚拟网络进行通信的虚拟网卡
安装了VMware虚拟机后,会在网络连接对话框中多出两个虚拟网卡,如图:
一.桥接网络(Bridged Networking)
桥接网络是指本地物理网卡和虚拟网卡通过VMnet0虚拟交换机进行桥接,物理网卡和虚拟网卡在拓扑图上处于同等地位(虚拟网卡既不是Adepter VMnet1也不是Adepter VMnet8)。
桥接网络拓扑图
那么物理网卡和虚拟网卡就相当于处于同一个网段,虚拟交换机就相当于一台现实网络中的交换机。所以两个网卡的IP地址也要设置为同一网段。......
物理网卡IP地址
虚拟网卡IP地址
ping结果
NAT网络模式
NAT虚拟网卡IP地址
物理网卡IP地址
Host-Only模式
Host-Only虚拟网卡IP地址
物理网卡IP地址
显示全文...
H3C交换机限速及其要注意的问题
line-rate {inbound|outbound} target-rate [burst-bucket burst-bucket-size] target-rate:单位为Kbps.
undo line-rate {inbound|outbound}
百兆以太网端口:64~99968
千。。。。。。:64~1000000
速率限制的粒度为64Kbps,如果用户输入的值在N*64~(N+1)*64之间(N为自然数),交换机将自动修改此值为(N+1)*64Kbps.
display qos-interface line-rate
......
显示全文...
Redhat e5 重启网络提示错误
Shutting down interface eth0: Device eth0 has MAC address 00:0C:29:62:55:05, in stead of configured address 00:0C:29:B3:2F:70. Ignoring.
[FAILED]
Shutting down loopback interface: [ OK ]
Bringing up loopback interface: [ OK ]
Bringing up interface eth0:
Determining IP information for eth0... failed.
[FAILED]
解决方法:/etc/sysconfig/network-scripts/ifcfg-eth0,Just updated the HWADDR value(00:0C:29:B3:2F:70 To 00:0C:29:62:55:05) and rebooted the system
Problem solved.
[root@localhost ~]# service network restart
Shutting down interface eth0: [ OK ]
Shutting down loopback interface: [ OK ]
Bringing up loopback interface: [ OK ]
Bringing up interface eth0:
Determining IP information for eth0... done.
[ OK ]
[root@localhost ~]#
显示全文...
2009年3月30日星期一
一个关于系统无法启动及关机的问题
主机相关,这个问题相当奇怪,就是当一个移动硬盘挂在一个dell的笔记本上时,重启;
系统进不去,就在进去window XP那个页面一直划来划去。当把这个移动硬盘拔掉,一切正常。还有就是这个移动硬盘挂着的话,关机也有点问题;我以为这只是一个特例,后来我一个朋友打电话咨询我,说系统进不去,思维定型的,到了这个界面,一般是系统的问题,最先怀疑的就是是否中毒,从结果上的,这是怎么弄也没用的。后来那朋友说,系统正常了,是因为上面挂了一个mp3在冲电的缘故,我晕,只知道现象,原因有待研究。
......
显示全文...
Mcafee Foundstone 无法添回ip pool 的问题
Mcafee Foundstone概况简介:
- 识别风险漏洞。
- 确定资源优先级。
- 降低风险。
功能描述: 基于优先级、可提供防范措施的解决方案 使用基于优先级的方法来解决最重大的漏洞问题;让您将关注焦点放在最宝贵的资产上,查明最有价值的资产,有针对性地防范高风险漏洞,并采取补救措施应对最紧迫的威胁;从系统防护解决方案 (ePO™) 导入缓冲区溢出防护数据,避免安装不必要的补丁程序 全面的内容检查 作为全球最知名的安全问题研究机构之一,McAfee Avert® Labs 全天候及时而全面地监控漏洞;Foundstone 的身份验证检查功能使您能深入分析操作系统和网络设备,从中查找漏洞和违反策略的行为;发现网络中未受管理的无线接入点 确定新威胁对企业的影响 快速评估入侵威胁对您的网络造成的影响;您无需单独执行扫描,Foundstone 的威胁关联功能,可将破坏您现有资产的威胁与漏洞数据相关联,在几分钟内即可直观地显示新威胁的潜在风险,并对其进行评级 市场领先的报告功能 按资产或按网络对数据进行分类;使用一组功能强大的过滤器来选择和组织报告中的结果 准确识别操作系统 识别操作系统的准确性业界最高,能够导入 ePO 资产数据以准确识别操作系统,确保您准确地安装补丁程序,既省时,又省力 基于资产的查找、管理、扫描和报告功能 采用详细而灵活的标准和各种过滤器对资产进行分类;根据业务部门对报告进行分类;将重点放在最重要系统的补救工作上;根据操作系统和其他属性确定是否包括主机;按业务功能、资产价值、所有者或位置进行扫描.
特征与优势: 先发制人,以免关键业务受损 快速防范并管理威胁,首先修复最关键的漏洞;针对您的整体风险状况采取防范措施,从而及时应对最紧迫的威胁;避免在危机时安装不必要的补丁程序 更合理地管理资源 将您的手动流程和独立工具整合到一套无缝的解决方案中,使 IT 员工生产力大幅提高;这款解决方案将基于网络或主机的漏洞管理、自动安装补丁程序和策略配置、基于网络或主机的 IPS 以及系统防护等功能完美结合 获得企业级保护 可轻松、快捷地进行扩展以保护各种规模的网络;我们的解决方案能够保护各种规模的全球式网络,其中包括全球一些最大、最著名的企业和政府机构的网络 根据需求,创建报告 为各类人员(企业所有者或网络运营管理人员)生成定制报告;根据您的要求提供详细、重要的相关数据 关注最相关的警报 IntruShield 与 Foundstone 数据相关联,可减少警报量,只针对最主要的威胁给出警报;让您及时获得最重要的风险数据;减少您分析和应对攻击所需要的时间 高度的准确性让您事半功倍 准确识别操作系统,您就不会再浪费时间和资源将补丁程序误安装在不当的操作系统中;更快的扫描速度加速了安装补丁程序的过程 切实了解您所面临的风险 将来自其他 McAfee 产品有关资产、信息、防范措施、自动安装补丁程序和策略配置以及 IPS 警报的信息相关联,让您获得最准确的信息,防范最严重的威胁.
以上是相关的简介,只是作为说明的参考
错误提示:
Mcafee foundstone Error
IP Range 192.168.3.1 - 192.168.3.255 does not exist within the ip ranges defined in the organization's IP Pool
解决方法:
出现这样的提示,说明你是在二级的用户名(自已给取的,相对于全局用户名)的环境下,可以改用全局用户名登入,再到user/group下,更改相应的组织的属性里的IP Pool的,可以添加你想要的IP地址段。再用二级的用户名就可以添加了。
显示全文...
cisco SDM配置及一个常见错误的解决方法
Cisco routers that can improve the productivity of network managers, simplify router deployments, and help troubleshoot complex network and VPN connectivity issues.
Cisco SDM supports a wide range of Cisco IOS Software releases and is available free of charge on Cisco router models from Cisco 830 Series to Cisco 7301. It ships preinstalled on all new Cisco 850 Series, Cisco 870 Series, Cisco 1800 Series, Cisco 2800 Series, and Cisco 3800 Series integrated services routers.
Network and security administrators and channel partners can use Cisco SDM for faster and easier deployment of Cisco routers for integrated services such as dynamic routing, WAN access, WLAN, firewall, VPN, SSL VPN, IPS, and QoS.
Reduce Total Cost of Ownership
Cisco customers can reduce the total cost of ownership (TCO) of their Cisco routers by relying on Cisco SDM-generated configurations already approved by the Cisco TAC. Configuration checks built into Cisco SDM reduce errors. SDM also helps customers avoid potential network issues by proactively monitoring router performance statistics, system logs, and firewall logs in real time.
Cisco SDM offers smart wizards and advanced configuration support for LAN and WAN interfaces, Network Address Translation (NAT), stateful and application firewall policy, IPS, IPSec VPN, QoS, and NAC policy features. The firewall wizard allows a single-step deployment of high, medium, or low firewall policy settings. Cisco SDM also offers a one-click router lockdown and an innovative security auditing capability to check and recommend changes to router configuration based on ICSA Labs and Cisco TAC recommendations.
Cisco SDM is a valuable productivity-enhancing tool for businesses and channel partners and allows them to implement router security and network configurations with reduced cost and increased confidence and ease.
在cisco路由器上的配置:
user deng privi 15 sec dengdoor
ip http server
ip http authenti local
ip http secure-server(此时提示下载数字证书) 为可选的https访问
ip http timeout-policy idle 600 lifetime 86400 request 1000 可选的超时值
为远程telnet ssh准备的配置:
line con 0
login local
line vty 0 4
privi level 15
login local
transport input telnet ssh
PC上的运行:
1、安装SDM软件
2、配置PC与路由器F0口在同一网段IP地址
3、启动,此时打开HTTP(S)窗口,会提示15级访问用户验证,内置为cisco/cisco,可能出现JAVA源码的情况:
会跳出一个页面,类似如下:
runAPP.shtml * * Copyright (c) 2004 by Cisco Systems, Inc. All rights reserved.
很长的一段代码。。。
则:点菜单“工具”->“Internet选项”->"高级"中,将"允许活动内容在我的计算机上的文件中运行"前面的框中打上勾,就应该可以了。这个以前从没用过,第一次碰到这种问题。
目前Cisco 的大部分中低端路由器包括8xx, 17xx, 18xx, 26xx(XM), 28xx, 36xx, 37xx, 38xx, 72xx, 73xx等型号都已经可以支持SDM。
......
显示全文...
2009年3月24日星期二
VPN集中器如何与防火墙和平共处[转]
来源:IT专家网
VPN为专用网络之间通过公共网络实现加密连接。通俗的说,VPN主要用来解决远程访问的需求。到目前为止,VPN是用的最普遍的远程访问解决方案。为此思科公司也专门设计了VPN集中器来帮助企业实现VPN的部署。
思科提供的VPN集中器基本上可以实现企业VPN方面的全部需求,VPN集中器的主要作用就是通过远程接入VPN来为远程用户提供接入服务。不过在部署思科VPN集中器的时候,需要考虑如何跟防护墙和平共处。由于VPN集中器可以防止在网络不同的位置中。如可以跟防火墙并行防止,也可以防止防火墙的外围,也可以放在内部等等。虽然其位置没有限制,但是在部署的时候,网络管理员需要注意其与防火墙位置的不同,要求与功能也略有差异。网络设计人员需要注意这些差异,才能给VPN集中器选择一个合适的位置让其安家。也只有如此,VPN集中器才能够发挥其应有的作用。
位置一:把VPN集中器放置在防火墙外面
其实,VPN集中器也有部分防火墙的保护功能,所以把其放置在防火墙的外面可以提供额外的安全保障。因为通过VPN集中器连接企业的内外网,可以在集中器的接入口使用相关的访问规则来提高企业网络的安全性。也就是说,VPN集中器可以实现部分防火墙功能。当远程用户通过互联网接入到VPN集中器时,这是一种非常行之有效的解决方案。因为若如此配置的话,本地站点并不需要外部因特网接入。
如果采用这种配置方式的话,网络管理员需要注意两点。
一是对于网络安全不是特别苛刻的企业,有时候甚至可以利用VPN集中器来代替防火墙。因为在其接入口本身就可以配置相关的访问规则,来提到防火墙的部分功能,保护企业网络的安全。故企业如果有了VPN集中器的话,还可以省去防火墙的投资。所以,这对部分企业来说,是一个不错的选择。
二是需要注意流量的问题。上面说到的这一点可以说是这么部署的好处。那么现在这个流量问题则是其不足之处了。如果按照上面这么部署的话,有一个很大的缺点,就是企业内外网络数据的交换都需要通过集中器来处理,因为此时集中器在企业内外商数据交换的主干通道上。故道企业内外数据交换比较频繁的话,则会给集中器性能带来比较大的压力。若企业真的准备这么部署的话,那网络管理员就需要根据企业的实际情况,选择合适的VPN集中器。如果有比较频繁的数据交换,如视频会议、电子商务等等网络应用比较频繁的话,那最好能够选择配置高一点的VPN集中器。
位置二:把VPN集中器放置在防火墙的内部
网络管理员也可以把防火墙放置在防火墙的内部,即防火墙与企业边界路由器之间。当把集中器部署在防火墙内部的话,那么防火墙将是直接接触企业外网设备。也就是说,防火墙是保障企业内网安全的第一道防线。不过话说回来,虽然防火墙已经起到了保护企业内部网络的目的,但是,VPN集中其仍然需要进行一些接入规则的配置,来提高VPN网络的安全性。如要在接入规则上,对接入用户的访问权限进行控制。普通用户不能够修改VPN集中器的配置等等。也就是说,关于VPN接入的相关安全控制,仍然需要VPN集中器来实现。这有利于VPN接入的管理,有利于提高VPN的安全性,为企业提供一个比较安全的远程网络访问环境。
另外,如果采用这种部署方式的话,由于VPN集中器仍然处在企业内外网数据交互的唯一通道上。所以,企业内外网需要进行数据交换时,所有的数据都要通过VPN集中器。当VPN远程访问与企业内外网数据交换同时大量发生时,就将给VPN集中器带来比较大的压力。这跟第一种部署方式的通病是一样的。
再者,这种部还是需要注意一点。由于防火墙放置在VPN集中器的前面。这也就是说,如果用户需要进行远程访问的话,那么这个远程连接的请求必须要先通过防火墙。所以为了远程用户能够顺利连接到VPN集中器中,必须要在防火墙上进行一些额外的配置,允许VPN连接请求顺利通过防火墙。如远程访问者有固定的IP地址,则在防火墙配置中要允许这个IP地址的通信流量通过。这种情况往往出现在公司不同局域网之间的互联。如远程办事处等等,他们往往有固定的IP地址。但是,有些情况也可能没有固定的IP地址。如一些个人用户,他们出差时不知道在哪里。为此,防火墙就要允许所有源地址的IKE等数据流通过防火墙。否则的话,远程用户就有可能无法连接到VPN集中器上,因为其连接请求直接被防火墙所阻挡。故如果网络管理员要采用这种布置的话,就必须对防火墙进行额外的配置。同时,为了企业内部网络的安全,如果企业主要利用VPN来进行不同局域网之间的连接,那么最好在防火墙配置的时候,进行IP地址的限制。不要因为VPN虚拟专用网的应用而降低了企业内部网络的安全性。
位置三:VPN集中器与防火墙并行
上面两种方案中,我们看到都有一些难以克服的缺点。如以上两种方法VPN集中器都处在企业内外网数据传输的唯一线路上,这会额外增加VPN集中器的数据处理负担。另外,第二种方案需要更改防火墙配置,如需要允许所有源地址的IKE数据流量,是以牺牲防火墙的安全保护功能为代价的。所以,以上两种处理方式笔者认为不是最优的处理方式。当然,企业如果不部署防火墙的话,可以采用第一种方式来提高内网的安全性,只是需要牺牲VPN集中器的硬件资源。如果企业有了防火墙,又需要部署VPN应用的话,那么笔者建议各位网络管理员才,采用笔者这里介绍的第三种部署方式,即让VPN集中器与防火墙并行。
为什么这种方式比前两种方式更加合理呢?根据笔者的认识,其优势主要集中在如下几个方面。
一是此时企业内外网数据交流的通道已经有两条。普通的内外网数据交换从防火墙走;而通过VPN请求的数据则从VPN集中器走。两条道路各走各的,互不相干。如此的话,VPN集中器的数据处理压力就会小的多。另外,在VPN集中器上进行的访问规则的配置,只对VPN请求有效。不会影响到其它的数据流两。
二是可以提高企业内部网络的安全性。上面笔者谈到过,若把VPN集中器放置在防火墙内部的话,需要对防火墙进行额外的调整。可能需要允许所有源地址的IKE流量通过防火墙。这对企业内部网络的安全会造成不利影响。而如果把VPN集中器与防火墙并行的话,远程客户就直接使用VPN集中器的公网地址进行廉洁,即在不经过防火墙设备直接与VPN集中器进行相连。这也就是说,防火墙不用再开放所有IP地址的IKE数据流量,远程用户也能够如愿以偿的连接到VPN集中器上进行远程访问。这就在很大程度上保障了企业内部网络的安全。
另外,值得庆幸的是,远程访问用户建立VPN连接之后,防火墙仍然把VPN集中器当作一个外部的实体。所以,防火墙的安全策略仍然对远程用户有效。所以网络管理员可以在防火墙上使用单一的安全策略来限制用户可以看到哪些资源不能够看到哪些资源。不要小看这个功能,在实际工作中他非常有效。因为这意味着企业网络管理员可以在一个平台上管理企业内部用户与外部远程访问用户的访问权限。这对提高企业内部信息的安全性具有非常重大的利益。
不过这个方案也有一个不足的地方。由于VPN集中器与防火墙都同时面对互联网络,也就是说,当远程用户需要连接到VPN集中器的时候,就需要同时有两个合法的公网地址。VPN集中器一个,防火墙一个。而现在不少的企业,往往只有一个合法的公网IP地址。这也就会给企业带来额外的成本负担。
以上三种就是VPN集中器与防火墙的三种对应关系。笔者现在采用的是第三种,因为笔者认为第三种无论从安全或者管理上来说,都是非常方便的。虽然企业需要额外采用一个合法的公网IP地址,但是相对于其优势来说,这个投资还是值得的。......
显示全文...
2009年3月20日星期五
H3C EI的增强特性
1、支持基于协议的VLAN;
2、支持Voice VLAN;
3、支持配置用户IP+MAC地址+端口的组合绑定;
4、支持DLDP(Device Link Detection Protocol,设备链路探测协议);
5、支持配置禁止VLAN学习MAC地址;
6、支持EAD(Endpoint Admission Defense,端点准入防御)快速
部署;
7、支持在 DHCP Snooping 功能中应用 Option82;
8、支持基本/高级 ACL(S3100-SI 系列交换机上定义的基本/高级
ACL 只能用于被上层软件引用的情况,不支持下发到硬件;
S3100-EI 系列交换机上定义的 ACL 支持被上层软件引用和下发
到硬件) ;
9、支持二层ACL;
10、支持QoS Profile ;
11、支持SSH1版本;
12、支持VLAN Mapping;
13、支持BPDU Tunnel;
14、支持灵活QinQ;
15、支持IPv6地址配置;
16、支持基于 IPv6 的 Ping、Traceroute、TFTP、Telnet 应用;
17、支持动态域名解析;
18、支持Smart Link;
19、支持Monitor Link;
20、支持多业务VLAN规划;
......
显示全文...
2009年3月19日星期四
Overview of File System Hierarchy Standard (FHS)[转]
对于一个linux新手来说,真正理解linux目录,可以加深对一些操作的理解;
目录树:
FHS (Filesystem Hierarchy Standard)是一个规范,很多Linux厂商已经开始遵照它了。不过FHS很笼统,只规定了两级目录的规范。其一是根目录/下的主要目录以及应该摆放什么文件,比如/etc应该摆放各种配置文件,而/bin和/sbin应该摆放可执行文件等,第二级则主要针对/usr和/var做出了更深层目录的定义。以下我大致说说每个目录在Linux之中的作用。
/
根目录/,一般建议根目录下只放目录,尽量不要将文件直接放于其中。/是首先加载的文件系统。
/boot
放置内核以及bootloader的文件。主要用于启动。
/dev
设备文件全部在这个目录,硬盘,分区,键盘,鼠标,USB,tty等等。
/bin
最小的系统操作性所需要的执行文件。
/etc
配置文件的集中营。
/home
用户的家。
/lib
C库和C编译器。
/sbin
系统管理所需要的一些命令。包括引导,修复等命令,我想是system admin bin的意思。
/tmp
临时文件目录。每次重新启动就会被系统自动删除。
/usr
次要的文件和命令。由FHS定义的第二层目录,类似windows之中的program files。
/usr/bin, /usr/sbin:user和系统管理员的大部分命令
/usr/include:c/c++等程序的header
/usr/lib:应用软件用到的库
/usr/local:用户自行安装的软件
/usr/share:共享文件的目录
/usr/share/doc:应用软件的说明文件
/usr/share/man:manpage
/usr/src:Linux的源代码
/usr/X11R6:X window的执行文件等
/var
由FHS定义的第二层目录。主要放些一些应用的专用数据和配置文件,比如named的/var/named就放了zone文件,当然一般log日志文件也是在这个目录。
/var/cache:系统的缓存
/var/lib:执行的运行库
/var/log:日志
/var/lock:锁
/var/run:进程的pid
/var/spool:队列的目录,包括邮件,打印和cron的schedule。
/mnt
/media
挂接点,比如CDROM通常在/mnt/cdrom
/opt
类似/usr/local,应用软件的安装点
/lost+found
系统不正常时候,无法在inode table找到的孤儿,就会放在这里,通常是fsck命令产生,会在每个分区的最高层目录,比如/boot是单独分区的话,会有/boot/lost+found
/srv
一些服务用到的文件,比如www
/root
root的家
/proc
是一个虚目录,主要是内核等等信息,比如:/proc/cpuinfo, /proc/dma, /proc/interrupts, /proc/ioports, /proc/net 等。
不可单独分区的目录:
因为Linux启动时,一般只有/被挂接,所以启动所需的文件皆不可单独分区。比如/etc,/bin,/sbin,/dev,/lib等。
建议单独分区的目录:
/home, /usr, /var, /tmp,这些目录可能会因应需要不断扩展的,单独分区容易管理。
下面摘录了redhat官方的解释,心血来潮看国文不过*,可以看看下面的E文,大同小异!
Red Hat is committed to the Filesystem Hierarchy Standard (FHS), a collaborative document that defines the names and locations of many files and directories.
The FHS document is the authoritative reference to any FHS-compliant file system, but the standard leaves many areas undefined or extensible. This section is an overview of the standard and a description of the parts of the file system not covered by the standard.
The complete standard is available at:
Compliance with the standard means many things, but the two most important are compatibility with other compliant systems and the ability to mount a /usr/ partition as read-only because it contains common executables and should not be changed by users. Since the /usr/directory is mounted read-only, it can be mounted from the CD-ROM or from another machine via a read-only NFS mount.
1. FHS Organization
The directories and files noted here are a small subset of those specified by the FHS document. Refer to the latest FHS document for the most complete information.
1.1. The /dev/ Directory
The /dev/ directory contains file system entries which represent devices that are attached to the system. These files are essential for the system to function properly.
1.2. The /etc/ Directory
The /etc/ directory is reserved for configuration files that are local to the machine. No binaries are to be put in /etc/. Any binaries that were once located in /etc/ should be placed into /sbin/ or possibly /bin/.
The X11/ and skel/ directories are subdirectories of the /etc/ directory:
/etc |- X11/ |- skel/ |
The /etc/X11/ directory is for X11 configuration files such as XF86Config. The /etc/skel/ directory is for "skeleton" user files, which are used to populate a home directory when a user is first created.
1.3. The /lib/ Directory
The /lib/ directory should contain only those libraries that are needed to execute the binaries in /bin/ and /sbin/. These shared library images are particularly important for booting the system and executing commands within the root file system.
1.4. The /mnt/ Directory
The /mnt/ directory is for temporarily mounted file systems, such as CD-ROMs and floppy disks.
1.5. The /opt/ Directory
The /opt/ directory provides storage for large, static application software packages.
A package placing files in the /opt/ directory creates a directory bearing the same name as the package. This directory in turn holds files that otherwise would be scattered throughout the file system, giving the system administrator an easy way to determine the role of each file within a particular package.
For example, if sample is the name of a particular software package located within the /opt/ directory, then all of its files could be placed within directories inside the /opt/sample/ directory, such as /opt/sample/bin/ for binaries and /opt/sample/man/ for manual pages.
Large packages that encompass many different sub-packages, each of which accomplish a particular task, also go within the /opt/directory, giving that large package a standardized way to organize itself. In this way, our sample package may have different tools that each go in their own sub-directories, such as /opt/sample/tool1/ and /opt/sample/tool2/, each of which can have their own bin/, man/, and other similar directories.
1.6. The /proc/ Directory
The /proc/ directory contains special files that either extract information from or send information to the kernel.
Due to the great variety of data available within /proc/ and the many ways this directory can be used to communicate with the kernel, an entire chapter has been devoted to the subject. For more information。
1.7. The /sbin/ Directory
The /sbin/ directory is for executables used only by the root user. The executables in /sbin/ are only used to boot and mount /usr/ and perform system recovery operations. The FHS says:
"/sbin typically contains files essential for booting the system in addition to the binaries in /bin. Anything executed after /usr is known to be mounted (when there are no problems) should be placed in /usr/sbin. Local-only system administration binaries should be placed into /usr/local/sbin."
At a minimum, the following programs should be in /sbin/:
arp, clock, getty, halt, init, fdisk, fsck.*, grub, ifconfig, lilo, mkfs.*, mkswap, reboot, route, shutdown, swapoff, swapon, update |
1.8. The /usr/ Directory
The /usr/ directory is for files that can be shared across a whole site. The /usr/ directory usually has its own partition, and it should be mountable read-only. At minimum, the following directories should be subdirectories of /usr/:
/usr |- bin/ |- dict/ |- doc/ |- etc/ |- games/ |- include/ |- kerberos/ |- lib/ |- libexec/ |- local/ |- sbin/ |- share/ |- src/ |- tmp -> ../var/tmp/ |- X11R6/ |
The bin/ directory contains executables, dict/ contains non-FHS compliant documentation pages, etc/ contains system-wide configuration files, games is for games, include/ contains C header files, kerberos/ contains binaries and much more for Kerberos, and lib/ contains object files and libraries that are not designed to be directly utilized by users or shell scripts. The libexec/ directory contains small helper programs called by other programs, sbin/ is for system administration binaries (those that do not belong in the /sbin/ directory), share/contains files that are not architecture-specific, src/ is for source code, and X11R6/ is for the X Window System (XFree86 on Red Hat Linux).
1.9. The /usr/local/ Directory
"The /usr/local hierarchy is for use by the system administrator when installing software locally. It needs to be safe from being overwritten when the system software is updated. It may be used for programs and data that are shareable among a group of hosts, but not found in /usr."
The /usr/local/ directory is similar in structure to the /usr/ directory. It has the following subdirectories, which are similar in purpose to those in the /usr/ directory:
/usr/local |- bin/ |- doc/ |- etc/ |- games/ |- include/ |- lib/ |- libexec/ |- sbin/ |- share/ |- src/ |
1.10. The /var/ Directory
Since the FHS requires Linux to mount /usr/ read-only, any programs that write log files or need spool/ or lock/ directories should write them to the /var/ directory. The FHS states /var/ is for:
"...variable data files. This includes spool directories and files, administrative and logging data, and transient and temporary files."
Below are some of the directories which should be subdirectories of the /var/ directory:
/var |- account/ |- arpwatch/ |- cache/ |- crash/ |- db/ |- empty/ |- ftp/ |- gdm/ |- kerberos/ |- lib/ |- local/ |- lock/ |- log/ |- mail -> spool/mail/ |- mailman/ |- named/ |- nis/ |- opt/ |- preserve/ |- run/ +- spool/ |- anacron/ |- at/ |- cron/ |- fax/ |- lpd/ |- mail/ |- mqueue/ |- news/ |- rwho/ |- samba/ |- slrnpull/ |- squid/ |- up2date/ |- uucp/ |- uucppublic/ |- vbox/ |- voice/ |- tmp/ |- tux/ |- www/ |- yp/ |
System log files such as messages/ and lastlog/ go in the /var/log/ directory. The /var/lib/rpm/ directory also contains the RPM system databases. Lock files go in the /var/lock/ directory, usually in directories particular for the program using the file. The /var/spool/ directory has subdirectories for various systems that need to store data files.
3.2.2. /usr/local/ in Red Hat Linux
In Red Hat Linux, the intended use for the /usr/local/ directory is slightly different from that specified by the FHS. The FHS says that/usr/local/ should be where software that is to remain safe from system software upgrades is stored. Since system upgrades from under Red Hat Linux performed safely with the rpm command and graphical Package Management Tool application, it is not necessary to protect files by putting them in /usr/local/. Instead, the /usr/local/ directory is used for software that is local to the machine.
For instance, if the /usr/ directory is mounted as a read-only NFS share from a remote host, it is still possible to install a package or program under the /usr/local/ directory.
Special File Locations
Red Hat Linux extends the FHS structure slightly to accommodate special files.
Most files pertaining to the Red Hat Package Manager (RPM) are kept in the /var/lib/rpm/ directory. For more information on RPM see the chapter titled Package Management with RPM in the Red Hat Linux Customization Guide.
The /var/spool/up2date/ directory contains files used by Red Hat Update Agent, including RPM header information for the system. This location may also be used to temporarily store RPMs downloaded while updating the system. For more information on Red Hat Network, refer to the Red Hat Network website at https://rhn.redhat.com/.
Another location specific to Red Hat Linux is the /etc/sysconfig/ directory. This directory stores a variety of configuration information. Many scripts that run at boot time use the files in this directory. See Chapter 4 The sysconfig Directory for more information about what is within this directory and the role these files play in the boot process.
Finally, one more directory worth noting is the /initrd/ directory. It is empty, but is used as a critical mount point during the boot process.
 | Warning |
|---|---|
Do not remove the /initrd/ directory for any reason. Removing this directory will cause the system to fail to boot with a kernel panic error message. |
显示全文...
订阅:
博文 (Atom)
博文
