我们的 IT 服务公司提议进行网络重新配置,以在内部使用 IP 范围 10.10.150.1 – 10.10.150.254,因为他们声明使用制造商默认值 192.168.1.x 的当前 IP 方案“使其易于被利用”。
这是真的?知道/不知道内部 IP 方案如何使网络更容易被利用?所有内部系统都位于 SonicWall NAT 和防火墙路由器之后。
我们目前正在运行一个由 800 多台 PC 和 20 多台服务器组成的网络,网络基础设施沿着核心交换机 10Gb-> 区域交换机 2GB-> 本地交换机 1GB-> 桌面。所有正在运行的 3Com 设备 (1)。
我们有四个区域的 3 个区域交换机(A、B、C、D 与核心合并),每个区域交换机将有 10 到 20 个本地交换机连接到这些区域。还有一个备用核心交换机,功率较小,但与主核心交换机一样连接。
我们还有一个IP电话系统。计算机/服务器和交换机在 10.x ip 范围内,电话在 192.168.x 范围内。除了在计算机实验室中,计算机通常不必相互通信,但它们确实需要能够与我们的大多数服务器(AD、DNS、Exchange、文件存储等)通信。
当我们设置时,决定我们有 3 个 VLAN,一个用于交换机和计算机,一个用于电话,一个用于服务器复制(这违反了 3Com 工程师的建议)。从那时起,网络一直稳定运行 (2),但我们现在已经开始升级到 SAN 和虚拟化环境。现在将这个新的基础设施拆分成单独的 VLAN 是有道理的,重新审视我们的 VLAN 是如何设置的似乎是明智的。
现在建议 VLAN 应该在一个房间一个房间的基础上设置,即拥有 5 台以上 PC 的计算机实验室应该是它自己的 VLAN,但如果我们遵循这个模型,我们将至少查看 25 个“新”VLAN ,加上用于 SAN/虚拟服务器的 VLAN。在我看来,这会增加过多的管理,尽管我很高兴被证明是错误的。
最佳实践似乎建议什么?是否有一定数量的 PC 建议不要在 VLAN 中越过 / 低于 VLAN。
(1) 3Com 交换机(3870 和 8800)在 VLAN 之间路由与其他一些路由不同,它不需要单独的路由器,因为它们是第 3 层。
(2) 我们有时确实会遇到高丢弃率或 STP 更改,并且有时 3Com 网络主管报告说交换机负载不足并且响应 ping …
在正常运行一段时间后,我们的一台 Windows XP SP3 机器不再打开一些(!)新的 TCP/IP 连接。
Putty 说Network Error: no buffer space available,IE 不会打开任何新连接,但例如网络驱动器映射仍然有效,甚至可以建立新的连接。
netstat 没有显示更多打开的连接,通常,ping 和 DNS 查找工作正常。
任何提示?
我们正在尝试调试一些执行广播的应用程序。
广播地址 255.255.255.255 和例如 ifconfig 报告的广播地址有什么区别,Bcast:192.168.1.255
我已经看到许多资源解释如何设置服务器的防火墙以允许 HTTP 标准端口(80和443)上的传入和传出流量,但我不明白为什么我需要它们中的任何一个。我需要解除双方的“正规”的网站的工作?为了文件上传工作?是否存在建议取消阻止一个而让另一个被阻止的情况?
抱歉,如果这是一个基本问题,但我在任何地方都找不到它的解释(我也不是以英语为母语的人)。我知道在“常规”网站中,客户端始终是发起请求的人,因此我假设 Web 服务器必须接受这些端口上的传入流量,我的常识告诉我服务器可以发送响应没有解锁任何其他东西(否则拥有两种类型的规则是没有意义的)。那是对的吗?
但是什么是传出 Web(服务)流量,它的用途是什么?AFAIK 如果服务器想启动与另一台机器的连接,重要的特定端口是另一端的端口(即目标端口是80),在其一端可以使用任何空闲端口(源端口将是随机的) )。我可以从我的服务器(wget例如使用)打开 HTTP 请求,而无需解除任何阻塞。所以我假设我的“传入”和“传出”概念在某种程度上是错误的。
我想知道是否有可能在运行内部跟踪路由时显示Dell Powerconnect 2848交换机。这将有助于诊断问题,并使查看问题发生的位置变得更加容易。
根据数据表,此特定交换机具有第 2 层和第 3 层感知能力。我不完全确定这意味着什么。
这可能吗?
我的 Centos 消息日志文件中有很多网络无法访问的行。他们似乎无法解析某些地址,我不知道为什么我的服务器首先必须解析它们。谁能让我知道这种错误的起源?我受到攻击了吗?
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './DNSKEY/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './NS/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:48::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::19#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1::803f:235#53 …从逻辑上讲,VPN 在隧道方面应该比 SSH 更快,因为:
但是,今天我通过两种方法测试了 Redis 复制。
我在连接到美国东部 AWS 虚拟机的爱尔兰 AWS 虚拟机上运行了测试。
由于我的测试用例是Redis复制,这正是我测试的——我运行了一个空白的Redis服务器,加载完成后,我执行slaveof了另一个服务器,并测量了Connecting to MASTER和之间的时间 MASTER <-> SLAVE sync: Finished with success。在这之间,我使用了
while 1; do redis-cli -p 7777 info | grep master_sync_left_bytes;sleep 1; done
粗略估计速度。
SSH 遥遥领先:约 11MB/s,而 OpenVPN 的约 2MB/s。
这是否意味着我所研究的所有内容都是错误的,还是我的设置配置严重错误?
我用相同的数据集做了几次测试,得到了这些结果:
以下是带有双向测试的 iperf 结果(SSH …
这些年来,我尝试了各种基于网络的 IDS 和 IPS 系统,但从未对结果感到满意。要么系统太难管理,只能在基于旧签名的众所周知的漏洞上触发,要么就是对输出过于健谈。
无论如何,我不认为他们为我们的网络提供了真正的保护。在某些情况下,由于丢失有效连接或只是简单的失败,它们是有害的。
在过去的几年里,我确信事情已经发生了变化,那么现在推荐的 IDS 系统是什么?他们是否有有效的启发式方法并且不对合法流量发出警报?
或者,依靠良好的防火墙和加固的主机是否更好?
如果你推荐一个系统,你怎么知道它在做它的工作?
正如一些人在下面的答案中提到的,让我们也得到一些关于主机入侵检测系统的反馈,因为它们与基于网络的 IDS 密切相关。
对于我们当前的设置,我们需要监控两个总带宽为 50mbps 的独立网络。我在这里寻找一些真实世界的反馈,而不是能够执行 IDS 的设备或服务列表。
我在同一个子网上有两台服务器。我安装了一个应用程序,它使用多播 UDP 在两台服务器之间传播事件并使它们保持同步。
这似乎没有发生,所以我想确保多播 UDP 消息能够通过作为我的第一步。
服务器运行的是 Windows 2008 R2。
如何测试两台服务器之间的多播 UDP 连接?