标签: networking

如何在我的网络上找到未使用的 IP 地址？DHCP 服务器不断分配相同的地址，我需要一个不同的 IP 地址来测试我的应用程序。该软件需要在 Windows 上运行。

背景：

我终于留出一些时间加入 21 世纪，看看 Puppet。

就目前而言，我们在办公室内部保存的存储库中对所有服务器配置进行版本控制。当需要进行更新时，更改会被检回存储库并手动推送到有问题的机器上。这通常意味着 SFTP 到远程机器，然后将文件从 shell 移动到具有相关权限的位置。

所以我希望 Puppet 将成为我们已有的简单而惊人的扩展。

现在我考虑我们目前必须合理安全的流程。假设我们的内部网络总是比我们数据中心的公共网络相对更安全。

• 过程总是一种方式。变化从安全的环境到不安全的环境，而不会反过来。

• 主存储在最安全的地方。通过窃取配置或发送恶意修改的危害风险大大降低。

题：

根据我对 Puppet 服务器/客户端模型的理解，客户端直接从服务器轮询和拉取更新。流量是 SSL 包装的，因此不能被拦截或欺骗。但它与我们目前所做的不同，因为 Puppet 服务器 [s] 需要托管在公共位置。要么集中，要么针对我们维护的每个数据中心站点。

所以我想知道：

• 我是否对从推到拉的变化感到不必要的偏执？

• 我是否对在公共网络上集中存储所有这些信息感到不必要的偏执？

• 其他人如何维护多个网络——每个站点都有单独的服务器？

09 年 7 月 30 日更新：

我想我的另一个大问题是必须信任一台机器。puppetmaster(s) 将被防火墙保护，安全等。但即便如此，任何具有侦听服务的公共机器都有一定规模的攻击面。

据推测，如果 master 有权更新任何一个 puppet 客户端上的任何文件，那么它的妥协最终会导致其所有客户端的妥协。可以说是“国王到王国”。

• 这个假设正确吗？

• 有什么办法可以缓解吗？

我想，以确定其中的连接使用特定的TCP端口的外部主机被阻止。Traceroute for Windows 只使用 ICMP，而 telnet 只会告诉我端口被阻塞而不是在哪里。有谁知道类似于 traceroute 的 Windows 实用程序可以实现这一点？

当我从笔记本电脑对 www.google.com 域进行跟踪时，我使用的是 icmp 还是 udp ？
我以为是 icmp 类型 11，但是在搜索其他内容时，我遇到了使用 icmp 类型 30 的规则，并且看到了使用 udp 的规则。
有人可以向我解释这是如何工作的吗？
我正在为虚拟专用服务器开发防火墙（iptables）。

只是一点背景我是一个相当年轻的 IT 技术人员，只在一所学校工作，并且只在技术人员工作了几年，所以我仍然认为自己是一个“新手”

无论如何，我的老板最近（星期五）增加了我们的 DHCP 范围，并将租用时间增加到 1 年。

现在由于某种原因增加到一年似乎是错误的，尽管我无法解释为什么，我们没有任何真正的机会用完 IP，我知道最好让您的租用时间尽可能长，而没有IP 用完了，但一年给我敲响了警钟。

编辑-附加信息：

学校非常先进，演出交换机，光纤到机柜，800 台 PC 的 1800 个用户。我会说我可能只在这个行业工作了 4 年，我的第一份工作基本上是在呼叫中心修理打印机和耳机，但我已经在这里工作 2 年了，我可能不应该这样说，但我真的不喜欢我老板的“风格”。他背后的理由是这是个好主意....... 说真的，这就是我能从他身上得到的全部。这与我们的监控软件或类似软件无关。

最终的：

只是想感谢所有回复并让我的第一个服务器故障问题成为一次很棒的体验的人。

如果我有一个域，其中包含来自美国和欧洲的访问者，并且还有 2 台服务器，一台在美国，一台在英国，我如何强制来自美国的用户访问美国服务器而来自英国的访问者访问英国服务器为了减少访客的ping？

首先，这可能吗？为什么像谷歌这样的公司在每个国家都有不同的域名？

在此处查看 Google 维护的 IPv6 采用率图表：

https://www.google.com/intl/en/ipv6/statistics.html

放大到 2015 年 9 月至 12 月期间。

IPv6 采用率的图表显然是周期性的，周末的比率要高得多。这是为什么？

我在打开网络端口时遇到了奇怪的情况。我的主要问题是，为什么没有与开放 TCP 端口关联的程序：

netstat -ln --program
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   
tcp        0      0 0.0.0.0:5666                0.0.0.0:*                   LISTEN      -  

对于我的特定情况，应该有一个 nrpe 守护程序（opsview 安装）侦听端口 5666，但没有运行 nrpe 守护程序。如果我尝试启动它，它会立即退出。

lsof -i :5666也不显示任何输出。我的系统上没有运行 (x)inetd。

更新

是的，我以 root 身份运行这些命令。Telnet 可以，但从来没有任何响应。

经过进一步调查，我发现了一个内核错误dmesg：这是一个运行较旧内核的 EC2 实例（实际上是其中几个）（2.6.16 显然不稳定）。停止崩溃的修复方法是升级内核。

看起来内核崩溃的方式导致进程消失并保持端口打开。

根据标题，为什么人们告诉我不要出于安全目的使用 VLAN？

我有一个网络，其中有几个 VLAN。2 个 VLAN 之间有防火墙。我正在使用 HP Procurve 交换机并确保交换机到交换机的链接只接受标记帧，而主机端口不接受标记帧（它们不是“VLAN 感知”的）。我还确保中继链路的本地 VLAN (PVID) 与 2 个主机 VLAN 中的任何一个都不相同。我还启用了“入口过滤”。此外，我确保主机端口只是单个 VLAN 的成员，这与相应端口的 PVID 相同。属于多个 VLAN 的唯一端口是中继端口。

有人可以向我解释为什么上述不安全吗？我相信我已经解决了双重标签问题..

谢谢

更新：两个交换机都是 Hp Procurve 1800-24G

我正在尝试决定是为我的数据中心使用第 4 层负载平衡解决方案还是使用第 7 层解决方案。不幸的是（就我的理智而言），我的用例很简单，两种解决方案都可以很好地工作，避免了大多数弱点并且没有真正利用另一个的优势。无论我们最终使用什么解决方案，它都必须具有高可用性和高吞吐量。但我们只打算用它来平衡一组 Web 服务器的负载，这些服务器对“粘性”会话管理（cookie 或 IP）、复杂的重写规则没有任何要求——或者，就此而言，任何重写规则都在全部。

负载平衡器将连接到两台交换机，两者都具有到数据中心聚合层的独立连接，并使用快速生成树和交换机用于虚拟化的任何专有协议合并在一起。负载平衡器也将通过交叉电缆相互交叉链接。集群中的所有服务器都连接到两台交换机。负载均衡器所要做的就是将流量指向它们。

由于它只是 HTTP，我可以使用 HAProxy 或 nginx 等第 7 层负载平衡解决方案。但我也可以将 LVS 项目与 ldirectord 或 keepalived 一起使用。

我试图打破我所看到的利弊，但最终还是洗白了。你会推荐什么，为什么？我错过了什么吗？