- 博客(143)
- 收藏
- 关注
RSS订阅原创 迪普防火墙 DPtech FW1000系列生产环境配置指南
摘要:本文详细介绍了迪普防火墙 DPtech防火墙 FW1000 的配置与管理方法,包括设备工作模式(二三层转发机制)、安全域规则、授权激活流程、管理配置步骤(密码修改、端口设置、IP规划)、系统基础配置(时间同步、日志开关、特征库升级)以及部署模式选择(透明/三层/旁路模式)。重点说明了接口安全域划分、包过滤策略配置及防病毒模块调用等安全功能设置,为管理员提供了全面的设备部署指南。
2025-12-21 16:38:57
796
原创 家宽会话数限制问题
摘要:用户反映网页打开缓慢但测速正常,抓包显示TCP SYN丢包。经排查发现宁波地区三大运营商对家用宽带NAT会话数限制为2048个,导致连接数不足。通过与运营商沟通,电信升级为公网IP后提供2万个并发会话,联通提供1万个会话,问题得以解决。文中提供了NAT会话数测试工具和测速工具下载链接。该案例揭示了家用宽带NAT会话限制对多用户环境的影响及解决方案。
2025-12-19 11:04:57
339
原创 H3C MSR3620-DP系列路由器生产环境配置
摘要:本文展示了H3C出口路由器的详细配置过程,包括基础设置(系统名称、时区、DNS)、策略路由配置(基于ACL 3000/3001的电信/联通分流)、三层聚合接口连接核心交换机、双WAN口配置(电信192.168.3.254/联通192.168.2.253)、NAT转换、静态路由(默认路由优先级及多网段回程)、SSH/NTP服务配置等。特别提示:GE0为管理口(192.168.0.1),建议使用命令行配置以避免图形界面与命令行配置不一致的问题,最后需执行save force保存配置。(150字)
2025-12-18 13:57:14
151
原创 某企业虚拟化HA+备份方案和实施
摘要:针对企业老旧系统高可用与备份需求,提出基于群晖NAS的一体化解决方案。通过将2台物理服务器改造为虚拟化宿主机,并接入统一存储实现HA;同时利用群晖的SAN Manager提供iSCSI共享存储,Active Backup for Business实现无代理备份。方案实施步骤包括:P2V迁移、服务器硬件升级、ESXi安装配置、vCenter集群部署及HA/DRS功能启用。该方案以较低成本同时满足高可用与备份需求,并支持未来资源扩展。关键点在于合理规划网络、存储架构及迁移过程中的数据同步策略。
2025-11-27 13:14:45
793
原创 工业控制网络设计思路
本文介绍了工业控制网络的高可用性与安全设计原则。在网络架构方面,采用AB网保障实时性、环网确保连通性、冗余星型提升核心可靠性,并建议分层部署不同拓扑。功能上实行严格分区(企业区、IDMZ、控制区、监控区),通过VLAN隔离和防火墙管控流量。设计注重I/O性能优化,包括限制广播域、QoS优先级设置、冗余链路配置等物理措施。安全设计涵盖边界防护(工业防火墙)、访问控制(堡垒机)、主机防护(白名单机制)及设备可靠性(双电源、铠装光纤等)。全文通过分层防护策略,构建兼顾性能与安全的工业网络体系。
2025-11-12 13:29:16
444
原创 某企业网络改造后拓扑解读
1、网络分区分段 分为互联网出口Untrust区,Trust区、DMZ区、CCTV区、SSLVPN区。2、区域间都采用和防火墙三层互联,由防火墙做路由互通(部分业务开启高级威胁检测)3、关键业务通过SSLVPN拨号认证后访问。
2025-11-11 00:43:13
227
原创 MAC地址冲突导致的设备时通时不通
摘要:网络出现MAC漂移告警,排查发现是两台考勤机MAC地址冲突所致。起初怀疑IP冲突,但确认是手工分配的IP后,仍存在DHCP分配冲突IP的问题。进一步检查发现两台设备MAC地址相同,导致跨VLAN学习异常。最终确认是设备厂商出厂MAC重复,更换设备后解决。经验教训:1)DHCP地址池需排除手工分配IP或做IP+MAC绑定;2)虽然MAC地址理论唯一,但仍可能遇到设备厂商重复的情况。该案例展示了网络故障排查中需考虑各种可能性,包括违反常识的情况。(149字)
2025-11-11 00:21:43
381
原创 麒麟最新操作系统登录锁定配置
pam_faillock.so 的配置通常在 /etc/security/faillock.conf 文件中进行,或者你可以在 PAM 配置文件中直接指定参数。通常,PAM 的更改不需要重启系统,但为了确保配置被正确应用,你可以尝试重新登录几次来测试配置。配置完成后,系统无法正常登录,检查/etc/var/log/secure日志,发现如下报错,提示找不到/pam_tally2.so。对于不同的服务(如 SSH、sudo 等),PAM 配置文件可能位于不同的目录中(例如 /etc/pam.d/)。
2025-11-10 22:24:18
527
原创 某工业防火墙网桥模式部署配置要点
工业防火墙网桥模式部署要点:1)HA模式下需配置两组链路聚合,主备切换时备用链路接管;2)创建两组网桥,分别对应链路聚合的上下行端口,并配置端口联动确保故障隔离;3)Trunk口需明确指定VLAN处理;4)推荐采用带外管理,网桥无需配置IP。配置截图展示了网桥创建、VLAN设置及安全策略界面。
2025-10-15 20:54:30
217
原创 中兴交换机策略路由配置案例
企业网络出口带宽升级方案:在保留100M专线基础上新增2条1000M拨号网络,采用经济高效的TP-Link双WAN口路由器实现500终端负载均衡。通过中兴交换机配置策略路由实现智能分流:办公网段(10.0.2.0/23、10.0.10.0/23)访问互联网流量定向至路由器(10.255.255.242),服务器区域访问流量保持原路径。关键配置包括定义IPv4访问控制列表(ACL)匹配规则,在PM-QoS中设置重定向策略,并在核心交换端口应用ACL策略。该方案既保障了服务器区域访问不受影响,又实现了互联网流量
2025-10-14 17:55:24
401
原创 某高校网络规划和设计
摘要:某高校网络规划采用模块化架构,分为生活区、教学区、安防网络、数据中心和核心网络。接入层采用XGSPON/GPON技术,IP地址按功能分区划分(10.0.0.0/8),教学/生活区通过BRAS网关进行Web认证,无线网络通过SSID区分业务。数据中心采用超融合虚拟化架构,安全防护以虚拟化设备为主。光网络部署华为MA-5800 OLT设备,出口采用多运营商线路代拨方案,由深澜系统统一管理认证。安防网络独立编址(10.201.0.0/16),监控与门禁系统分网段部署。(148字)
2025-10-12 15:50:27
473
原创 某制造业公司整体网络规划设计方案和实施过程要点(全套中兴方案)
该制造业企业网络建设方案采用中兴设备构建整体架构,包含数据中心、无线覆盖、业务网络等模块。数据中心采用超融合+NAS备份方案,核心层采用万兆上行;无线网络覆盖1-4层及货梯区域,通过VLAN隔离不同业务;出口部署防火墙实现安全防护。实施重点包括:单万兆接入设计、链路聚合部署、DHCP集中管理、AGV专用无线区域等。其中货梯无线覆盖采用创新方案,通过POE交换机同时供电AP和监控,并实现业务VLAN与物业监控VLAN的逻辑隔离。方案注重成本效益,同时确保网络性能与安全性。
2025-09-28 21:16:38
827
原创 某高校防火墙割接后业务访问异常故障排查
摘要:某高校防火墙割接后出现客户端访问业务时通时断的故障。经排查发现,核心交换机PING测正常,但客户端访问存在随机性中断。抓包分析显示防火墙完成了DNAT转发,但回程数据包丢失。最终确认是虚拟防火墙配置问题:其中一个链路聚合口未加入正确的虚拟防火墙实例,导致部分流量被错误丢弃。当流量通过正确的聚合口时访问正常,通过未配置的聚合口时则出现故障。(148字)
2025-09-13 15:27:21
477
原创 virsh常用命令 笔记
常用操作https://blog.youkuaiyun.com/justlpf/article/details/126742876。注意:定义xml文件时,需要开启以下处理器特性,才能支持热插拔,否则执行attach-disk会报错。vnc连接,先查看自动分配的vnc端口号,然后使用vnc工具连接宿主机ip:vnc端口号。修改好ip后,防火墙放行,修改SSH配置文件后,可执行ssh命令连接。把磁盘disk1.qcow2连接到虚拟机vm1。把虚拟机vm1的vnc密码改为456789。接着进入虚拟机,创建分区并挂载磁盘。
2025-09-09 15:24:44
234
原创 分布式蜜罐系统的部署安装
摘要: 勒索病毒对中小企业构成严重威胁,因缺乏专业防护设备(如EDR、IPS)和备份策略,企业面临数据、经济及信誉损失。勒索攻击已产业化,但中小企业仍存侥幸心理。除采用IPS、EDR和备份外,需提升风险意识。攻击常通过RDP爆破、钓鱼邮件等入口,蜜罐技术可低成本实现早期预警。以HFish蜜罐为例,部署简单,支持分布式监控、弱密码检测和攻击溯源,通过邮件、钉钉等推送告警,有效识别可疑流量。增强主动防御能力是应对勒索攻击的关键。
2025-08-23 17:20:20
1191
原创 以科力锐为例介绍常见的数据中心4种灾备方式
摘要:本文介绍了企业异地灾备的网络架构设计和四种典型灾备方式。灾备网络主要包括备份网络和业务恢复网络,涉及备份代理、管理端、恢复目标机等组件。重点阐述了冷灾备(适合数据变化小的业务)、热灾备(实时数据同步)、裸金属P2V灾备(物理机转虚拟机)和文件系统应急恢复四种方式的操作流程和适用场景。其中冷热灾备最为常用,关键点在于灾备虚拟机网络配置和同步方式设置。文章最后指出异地灾备的核心挑战是二层网络互通问题,建议采用VXLAN或Trunk透传技术解决。(149字)
2025-07-28 21:19:15
640
原创 中兴交换机DHCP Relay 配置案例和排错思路
摘要:本文介绍了中兴交换机在两种DHCP场景下的配置方法。第一种作为DHCP中继(Relay)时,需配置中继服务器组、VLAN接口IP、上下行接口及路由,确保与Windows Server 2016 DHCP服务器通信正常。第二种作为DHCP服务器时,需配置IP地址池、策略绑定及接口模式,并与中继交换机协同工作。文中提供了详细的配置命令和验证方法,包括抓包分析和租约信息确认,并推荐使用Windows Server 2016作为DHCP服务器以便管理。两种场景均强调了网络连通性和协议放行的必要性。
2025-07-28 14:03:49
1042
原创 联想存储故障修复案例
摘要:本文记录了IBM Storwize V3700存储控制器故障的修复过程。当其中一个控制器故障时,通过带外管理口(IP 192.168.70.121/122,账号superuser/passw0rd)登录管理界面,更换同类型控制器后需等待20分钟超级电容充电完成。随后主控制器将同步固件和系统至备用控制器(约15-20分钟),待同步完成后系统恢复正常。整个过程需确保主备控制器硬件配置一致,最终可通过GUI界面确认故障消除。文中还提供了相关配置指南、命令行查询方法和错误代码参考链接。
2025-07-08 10:57:17
783
原创 网关ARP防护的措施
内网最常见的攻击方式是网关欺骗,如用户误配网关IP或路由器LAN口接入内网。华为、H3C和锐捷交换机可通过配置ARP网关保护功能来防范此类攻击:华为在接入交换机上行口配置,H3C可在接入或核心层配置,锐捷在客户机端口启用防ARP欺骗功能。发现非法设备时,可通过MAC黑洞拉黑。但若接入层使用HUB交换机,仍需终端绑定ARP网关。对于哑终端,可采用端口安全策略手工指定MAC地址。建议在服务器段开启ARP网关防护功能,结合终端防护措施规避网关冲突风险。
2025-06-28 23:02:45
978
原创 某服云桌面访问不稳定,交换机错误配置案例
摘要:某服云桌面系统出现外网延迟大、抖动高及频繁掉线问题。经排查发现接入层交换机终端接口未配置边缘端口,导致终端开关机时产生STP TCN报文,引发全网MAC地址表刷新。此时正常单播流量变为未知单播帧泛洪,触发端口风暴抑制机制(block模式),造成业务丢包(包括ARP)。核心交换机的上下行口配置了风暴控制策略,导致单播流量被误阻断。解决方案是移除核心交换机上下行口的风暴控制配置,仅保留终端接口配置。调整后业务恢复正常。
2025-05-30 07:03:55
421
原创 勒索事件溯源
近日,某单位遭遇勒索软件攻击,导致主机和共享文件夹被加密。攻击者通过爆破3389端口获取服务器访问权限,并留下勒索信要求支付比特币以解密文件。事件发生后,单位采取了断网、备份数据、关闭共享端口等紧急措施。溯源分析发现,攻击可能通过木马软件实现,该软件关闭了杀毒软件并下载勒索程序进行加密和横向渗透。建议加强终端安全防护,安装最新杀毒软件,部署日志管理和入侵检测系统,并定期备份重要数据。同时,应加强员工安全意识教育,避免钓鱼邮件和恶意软件攻击,制定严格的密码安全策略,并关闭不必要的文件共享端口。
2025-05-20 14:17:21
778
原创 等保三级交换机加固配置解析(华为交换机为例)
设置专用安全设备管理VLAN;#创建标准ACL仅允许堡垒机管理设备;仅允许MNS网管设备。#配置管理网,网关,可以使用VRRP或者堆叠高可用。#配置DNS,为了NTP服务器解析IP使用。#建议配置浮动静态路由作为逃生链路。#针对服务器做IP MAC绑定。#配置AAA 这部分必须配置。#配置SNMPV3用于NMS。#配置登录方式和带外登录保护。#创建聚合口,用于上下联。#将日志指向日志服务器。#配置根保护,TC保护。#配置接安全设备的端口。#配置SSH加密算法。#配置权限1级别命令。
2025-05-03 07:11:40
1372
原创 某等保三级系统不符合项分析
等保对于账户的设置要求非常高,除了密码复杂度,锁定,定期更新,三权分立,禁用admin,root等常见账号以外,还要求用户名不能是常见,容易猜测的用户名,包括system,security,audit等,用户名必须随机。(包括应用系统,网络设备,安全设备,操作系统)等保三级对网管系统有要求,需要对服务器,网络设备,安全设备,业务系统进行实时监控,同时系统本身的安全也需要做好,比如采用https,账号安全,日志,告警外发,告警阈值制定,备份和恢复,版本更新,关闭不安全的服务器,开启防火墙等工作也是需要做的。
2025-04-30 17:28:33
746
原创 某单位网络改造后的若干问题
8、大量使用光电收发器,虽然节省了光纤链路资源,但是这种激光器受稳定影响大,没有模块那么稳定,并且体积,电源功耗都超过了模块,正常情况下不推荐采用光电收发器替换光模块的做法,如果要使用单条线路,可以采用BIDI光模块。1、这个问题之前文章中有过讨论,如果设备故障,由于物理网口没有bypass功能,将导致所有流量无法逃生,建议在核心交换机和出口防火墙之间增加逃生链路,配合浮动静态路由做冷备。3、服务器硬件具备多路bond接入,操作系统也支持,从并发接入的角度和链路冗余的角度都考虑采用多路接入。
2025-04-23 21:00:19
347
原创 中兴交换机接无线AP ,设备无法获取DHCP地址的原因分析
那么问题来了,类似中兴这样的交换机,trunk口配置PVID 后,对应VLAN出去的数据包是带VLAN TAG的,这样在接AP的情况下,终端设备默认是无法识别带VLAN TAG的数据包的,这种情况下需要使用Hybrid接口配置来更加灵活的配置进出接口 VLAN TAG的携带情况。通过合理配置Trunk端口的PVID和允许的VLAN列表,可以实现跨交换机的多VLAN通信,同时确保标签处理符合网络需求。某些场景(如连接服务器或支持VLAN的设备)可能需要显式配置保留Native VLAN的标签。
2025-04-19 13:03:58
837
原创 某单位业务系统等保三级网络结构分析,符合性改造前后分析
此外这是一个通用的,简化的安全模型,仅从必要的网络配置和必要的安全设备方面考虑,还需要综合考虑主机基线安全,防火墙安全策略细化,交换机ACL细化,主机防火墙安全策略细化,堡垒机配合交换机ACL做访问控制,堡垒机双因子认证,EDR策略细化,备份策略,安全演练,漏洞扫描和修复,现场资料搜集整理,人员的培训和机房管理,业务性能监测和日志审查等诸多方面来真正落实国家等级保护针对政企业务系统安全的要求。d)单元判定:如果1)- 2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
2025-04-15 07:00:24
1000
1
原创 未知单播泛洪
未知单播泛洪(Unknown Unicast Flooding)是指交换机在转发数据帧时,由于无法在MAC地址表中找到目标MAC地址对应的端口,而将该帧泛洪到同一VLAN内的所有端口(除接收端口外)。配置DHCP Snooping或IP Source Guard防止MAC欺骗。使用端口镜像抓包,分析泛洪流量特征。
2025-03-19 08:29:37
1087
原创 无线通讯的过程描述及优化措施
然后来说说家里的无线路由的天线的方向,天线就是用来增强无线信号用的,普通的家用无线路由器虽然看上去只有竖起来的1根,或者多根,实际上它1根里面包含上下2段,想象下将Z轴是竖起来的哪条天线,那么天线的覆盖范围是一个实心救生圈的形状,天线2头是信号最弱的地方,现在知道应该把天线竖起来了吧。当AP的功率变大,会产生2个非常严重的问题,首先是AP之间的干扰变得严重(空口资源有限),其次是终端认为AP信号很好,而不及时漫游,并且终端到AP的信号不好导致以较低速率传输,长期占用频谱资源,导致整体无线网络性能变差。
2025-03-05 15:59:51
1196
原创 某保险公司机房搬迁项目总结
搬迁所需物料清单》**包括但是不限于:电动螺丝刀,各类批头,活动扳手,老虎钳,尖嘴钳,水口钳、手动螺丝刀、手套、头灯、标签机标签纸、扎带、魔术粘、M6机柜螺丝、小推车、显示器键盘鼠标、光功率计、红光笔、OTDR、寻线仪、液压叉车、服务器托盘、各类跳线、网线钳、水晶头等。图3:**《搬迁后的设备接线表》**包括搬迁前接线情况,搬迁后接线情况,线缆标签,线缆类型和长度,可能需要更改的交换机配置等。七、制定详细的搬迁步骤:包括人员,职责,时间,形成**《搬迁计划表》、《人员联络表》
2025-02-25 16:49:20
1080
原创 smartdns入向流量的2种做法
系统可以根据DNS请求的来源将域名解析成不同的IP地址,并将不同的ISP所对应的IP地址返回给相应的请求用户,从而达到减少跨ISP访问的目的。这种解析方式被称为智能域名解析(SmartDNS)。2、使用防火墙内置的ISP地址库,国内的防火墙使用居多。1、使用就近性探测,一般国外的防火墙使用居多。
2025-02-12 17:29:15
502
原创 PVE全家桶功能测试和特点
软件下载站点:https://mirrors.tuna.tsinghua.edu.cn/proxmox/iso/PVE虚拟化替换国内源:https://blog.youkuaiyun.com/shoulham/article/details/131429828PVE CT容器替换国内源:https://www.bilibili.com/opus/891243015756054533PVE mail gateway替换国内源:https://blog.youkuaiyun.com/u012153104/article/deta
2025-02-08 17:10:38
927
原创 勒索病毒防护指南
同时,攻击的手法APT化,例如,挪威铝业公司 Norsklvdro 遭遇的勒索攻击,是因为一位员工不知不觉中打开了一封来自受信任客户的电了邮件,导致后门程序的执行,后续采用横向移动和域渗透等 APT攻击手法他得攻击者成功控制了数千台主机,最后植入LockerGoga勒索病毒。也就是说,很多勒索病毒在生成加密文件的同时,会对原始文件采取删除,理论上说,使用某些专用的数据恢复软件,还是有可能部分或全部恢复被加"的。一旦入侵成功,攻击者就可以在服务器上为所欲为,例如,卸载服务器上的安全软件并手动运行勒索病毒。
2025-02-03 14:18:51
1006
原创 中兴交换机端口隔离配置案例
solate gei-0/1/1/1-2 //隔离端口(4套工控系统所连交换机或者直连服务器网口)promis gei-0/1/1/3 //混合端口(公用审计设备网口)1、4套系统直接不能互访,但是都要和公用审计设备通信;3、公用审计设备和4套工控系统设备使用同一个IP段。C89E默认enable密码是Zxr10_UBP。$将接主机设备的接口设置为边缘端口,并保存配置。2、公用审计设备网口有限,最好仅使用1个网口。$将接口加入该vlan。$指定隔离口和混杂口。
2025-01-24 11:29:54
708
原创 光模块不支持自协商案例
并且光模块间打环,也是显示为10G,从这里可以看出部分早年间的模块,不支持自协商速率,需要手工指定双工和速率,这些模块需要配合交换机一起使用,无法适配服务器网卡,服务器网卡物理层仅支持自协商。先说结论:早年,并不是所有的光模块都支持自协商速率,如果模块不支持自协商,那么交换机和服务器网卡都会以兼容模式,也就是千兆模式来使用光模块,即使该光模块支持万兆速率。以下用中兴某款光模块来说明:下图是中兴某一批次的光模块,它的标签表明该模块是一个万兆多模,使用OM3能够传输300M距离的光模块。
2025-01-24 10:21:39
1801
原创 内网通配置错误引起内网ARP MISS攻击造成的内网瘫痪-案例解析
而华为和中兴则会触发交换机ARP MISS动作,交换机也会发一个ARP请求,并形成一个临时ARP表项,当内网大量存在此类ARP MISS请求时,会占用交换机CPU使用率,并触发ARP广播报文丢包,从而使得正常的ARP请求有可能得不到及时回应,造成丢包;1、内网通配置错误导致的BUG ,导致软件进行同网段的ARP MISS扫描,正常的配置如下图:网段列表中只需要填写跨网段通信的IP段,而不能填写本机网卡所在的IP段,经过测试,只要填写了本机网卡所在的IP段就会触发软件BUG,进行本网段的ARP 扫描。
2024-12-18 23:00:08
944
原创 总部SSLVPN通过IPsec隧道获取分支资源的配置思路
3、通过策略路由引流方式,将总部SSLVPN访问分支的流量指向指定公网出口,这里推荐用策略路由是因为策略路由能够更好的控制流量,配合Track和静态路由,可以做到负载+路由备份。3、总部和分支由于都做了策略路由,需要调整策略路由的顺序,将总部SSLVPN访问分支文件服务器的流量放到合适的顺序(即指向合适的公网出口)5、如果总部SSLVPN是通过IP路由的访问访问资源,则需要改造2边的IPsecVPN 感兴趣流,加入总部SSLVPN访问分支资源的ACL。5、调整总部SSLVPN,将IP子网资源添加到资源组。
2024-12-15 13:42:55
654
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人