搜索内容

硬件天地

  • 很重要!防火墙的三种工作模式不能忘

    01 防火墙 防火墙是一种网络安全设备,用于监控和控制进出网络的流量,防止未经授权的访问和攻击。 防火墙通过实施安全策略,确保只有合法的流量能够通过,从而保护网络免受恶意攻击和数据泄露。 01 功能 - 访问控制:防火墙根据预设的安全策略,控制网络流量的进出,确保只有合法的流量能够通过。 - 数据包过滤:防火墙检查每个数据包的源地址、目的地址、端口号等信息,根据规则决定是否放行。 - 状态检测:防火墙跟踪会话状态,确保数据包属于已知的合法会话,提高安全性。 - 应用层网关:防火墙可以对应用层的数据进行检查和过滤,如HTTP、FTP等协议,提供更细粒度的控制。 02 重要性 - 网络安全:防火墙是网络的第一道防线,能够有效防止恶意攻击和数据泄露。 - 访问管理:防火墙可以管理内外网之间的访问,确保敏感数据的安全。 - 合规性:许多行业标准和法规要求使用防火墙来保护网络和数据的安全。 02 路由模式 在路由模式下,防火墙作为一个三层设备,负责在不同的网络之间进行路由和转发。 防火墙在IP层(第三层)工作,根据路由表决定数据包的转发路径。 01 工作原理 数据包接收:防火墙接收来自一个网络的数据包。 路由表查找:防火墙根据路由表查找最佳路径,确定数据包的下一跳地址。 数据包转发:防火墙将数据包转发到目标网络或下一跳设备。 访问控制:防火墙根据预设的安全策略,对数据包进行访问控制和过滤。 02 优缺点 优点: 支持复杂网络拓扑:路由模式支持复杂的网络拓扑,可以进行精细的访问控制和路由管理。 灵活的网络管理:可以配置多个子网和路由,实现灵活的网络划分和管理。 缺点: 增加了网络复杂性:路由模式增加了网络的复杂性,需要更详细的配置和管理。 潜在的单点故障:如果防火墙出现故障,可能会影响整个网络的连通性。 03 示例 在企业网络中,防火……

    SE_YJ 2024-12-04
    4 0 0

  • USG6655E双机热备CPU负载过高

    问题描述 客户数通产品排障过程中,发现USG6655E防火墙CPU飙高   HRP_Mdis cpu CPU Usage Stat. Cycle: 10 (Second) CPU Usage            :  87.6%  Max:  98.6% Management-plane CPU Usage:  29.6%   Data-plane CPU Usage :  91.9% CPU utilization for ten seconds:  87.6% : one minute:  88.6% : five minutes:  82.7%   PID   ProcessName            CPU       Runtime     State 5224  fpath.out             85.9%      756111614   S 4886  vrp                    1.3%      65215545    S 4946  vrpio_s                0.4%      47372174    S ……   组网图如下: 处理过程 第一步: 检查发现防火墙双机主备部署,防火墙与上下行交换机通过vlanif互联,当前主备状态运行正常;   第二步: 查看防火墙无异常日志及告警,但备墙接口流量异常飙高 第三步: 在上行交换机CE12808查看日志。发现存在vlan 16下mac漂移告警,告警显示mac表项对应接口频繁在主备间墙切换,初步判断为二层环路引起。   第四步: 经与云平台同事确认当前vlan 16是现场业务环境需要在上下行交换机与防火墙间二层透传vlan16。   第五步: 通过建立问题单咨询服务支持得知:上下行交换机均为堆叠场景,使得vlan16的业务流量在上下行交换机间形成环路,从而造成CPU资源占用超过阈值。   处理结果: 在防火墙上配置hrp track vlan 16后使得mac表项只由主墙进行转发后,接口流量计CPU占用恢复正常。 根因 在防火墙上下行连接交换机二三层混跑模式下未track链路中放通的二层vlan造成网络环路 解决方案 防火墙上下行连接交换机需要同时track链路中放通的二层vlan 建议与总结 在排障过程中,发现防火墙双机主备状态正常并且无异常告警,该状态是基于现网hrp track防火墙与上下行交换机互联vlanif接口选举出来的……

    SE_Gao 2024-12-03
    5 0 0

  • 锐捷S3760E 直连无法ping通

    一、故障现象 两台S3760E交换机通过agg 1互相直连,都起了svi 21,地址分别为21.118.69.9和21.18.69.8但是互相无法ping通。 网络拓扑如下: 二、设备型号和版本 设备型号:3760E-48 软件版本:10.4(3b19)p3 三、故障排查步骤 首先检查下两台交换机的mac以及arp信息学习是否正常; 若arp无异常,通过计数或者抓包明确下哪个设备转发异常,然后具体定位; 四、故障排查过程 检查两台交换机的arp学习情况,发现有一台交换机学到对端的arp不是从互联的agg 1口学习到,而是从0/34口学习到 故障原因总结:通过上述分析,定位故障原因为环境问题。由于现场存在环路导致一台交换机的arp信息学习错误,从而导致数据包转发错误,互ping不通。 五、解决方案 该故障可通过先把交换机的f 0/34口shut规避,后续排查具体环路情况彻底解决。  

    SE_You 2024-12-03
    9 0 0

  • 防火墙基础知识:进与出?

    01 防火墙 防火墙是一种网络安全设备,用于监控和控制进出网络的流量,防止未经授权的访问和攻击。 防火墙通过实施安全策略,确保只有合法的流量能够通过,从而保护网络免受恶意攻击和数据泄露。 01 功能 - 访问控制:防火墙根据预设的安全策略,控制网络流量的进出,确保只有合法的流量能够通过。 - 数据包过滤:防火墙检查每个数据包的源地址、目的地址、端口号等信息,根据规则决定是否放行。 - 状态检测:防火墙跟踪会话状态,确保数据包属于已知的合法会话,提高安全性。 - 应用层网关:防火墙可以对应用层的数据进行检查和过滤,如HTTP、FTP等协议,提供更细粒度的控制。 02 重要性 - 网络安全:防火墙是网络的第一道防线,能够有效防止恶意攻击和数据泄露。 - 访问管理:防火墙可以管理内外网之间的访问,确保敏感数据的安全。 - 合规性:许多行业标准和法规要求使用防火墙来保护网络和数据的安全。 02 路由模式 在路由模式下,防火墙作为一个三层设备,负责在不同的网络之间进行路由和转发。 防火墙在IP层(第三层)工作,根据路由表决定数据包的转发路径。 01 工作原理 数据包接收:防火墙接收来自一个网络的数据包。 路由表查找:防火墙根据路由表查找最佳路径,确定数据包的下一跳地址。 数据包转发:防火墙将数据包转发到目标网络或下一跳设备。 访问控制:防火墙根据预设的安全策略,对数据包进行访问控制和过滤。 02 优缺点 优点: 支持复杂网络拓扑:路由模式支持复杂的网络拓扑,可以进行精细的访问控制和路由管理。 灵活的网络管理:可以配置多个子网和路由,实现灵活的网络划分和管理。 缺点: 增加了网络复杂性:路由模式增加了网络的复杂性,需要更详细的配置和管理。 潜在的单点故障:如果防火墙出现故障,可能会影响整个网络的连通性。 03 示例 在企业网络中,防火墙作为边界设备……

    SE_YJ 2024-12-03
    7 0 0

  • 核心交换机的稳定性是如何保障的?

      01 背板带宽 背板带宽是指核心交换机内部数据传输的带宽,决定了交换机的最大吞吐能力。背板带宽直接影响了交换机处理和转发数据的能力。 01 重要性 高吞吐能力:高背板带宽确保了数据在交换机内部的快速传输,避免了数据拥塞,提高了网络的整体性能。 支持大规模网络:高背板带宽支持大规模的数据传输需求,适用于大型企业网络和数据中心。 02 影响因素 硬件设计:背板带宽取决于交换机的硬件设计,包括内部总线和芯片的性能。 端口数量和类型:交换机的端口数量和类型(如10GbE、40GbE、100GbE)也会影响背板带宽。 03 示例 高性能核心交换机:一款高性能的核心交换机可能具有4.8Tbps的背板带宽,支持大规模的数据传输需求。这意味着该交换机每秒可以处理4.8太比特(Tbps)的数据,确保了数据在交换机内部的快速传输。 应用场景:在大型企业网络和数据中心中,核心交换机需要处理大量的数据流量。高背板带宽确保了数据在交换机内部的快速传输,避免了数据拥塞,提高了网络的整体性能。 02 二层、三层的包转发率 包转发率是指核心交换机每秒能够处理的数据包数量,分为二层包转发率和三层包转发率。 二层包转发率:指交换机在数据链路层(第二层)每秒能够处理的数据包数量。 三层包转发率:指交换机在网络层(第三层)每秒能够处理的数据包数量。 01 重要性 高转发速率:高包转发率确保了数据包的快速转发,提高了网络的整体性能,减少了延迟。 支持复杂网络:高包转发率支持复杂的网络拓扑和大规模的数据传输需求,适用于大型企业网络和数据中心。 02 影响因素 硬件性能:包转发率取决于交换机的硬件性能,包括处理器、内存和专用ASIC(Application-Specific Integrated Circuit)芯片。 软件优化:交换机的软件优化也会影响包转发率,高效的算法和优化的代码可以提高数据包的处理速度。 ……

    SE_YJ 2024-12-02
    31 0 0

  • 锐捷N18012 直连ping不通

    一、故障现象 故障现象:交换机无法和部分直连设备通信,测试了172.31.255.2和172.31.255.54两个地址。 影响范围:直连不通,服务器逃生状态全校免认证,部分服务器不可达。影响认证和其他的业务。 网络拓扑如下: 二、设备型号和版本 设备型号:N18012 版本号:B58P2 三、故障排查思路 出现故障时候做了什么操作; 报文是否丢在我们交换机上; 报文是什么原因被丢弃; 四、故障排查过程 根据现场的工程师这边说的情况,现场没有进行过操作。今天早上九点突然出现了这样的情况 通过快转命令,明确了报文确实被我司交换机丢弃,丢弃的原因是因为ACL组件命中被丢弃。(ACL组件包括所有的安全命令) ACL组件包括的功能有: ACL、认证功能、绑定功能 查看配置命令发现,现场有配置address-binding的命令,但是没有将对应的接口和终端进行放通导致的被IP+MAC组件丢弃。 五、解决方案 由于现场的误操作,配置了ip+mac命令。将对应的IP+MAC命令删除,业务恢复正常 六、故障总结 show run debug efmp packet ping sip x.x.x.x smac any dip x.x.x.x dmac any count X

    SE_You 2024-12-02
    9 0 0

  • 产品配套资料

    H3C S12500 路由交换机的配套资料包括如下部分: 大类 资料名称 内容介绍 产品知识介绍 产品彩页 帮助您了解S12500的主要规格参数及亮点 技术白皮书 帮助您了解S12500和特性功能,对于特色及复杂技术从细节 上进行介绍 单板datasheet 帮助您了解S12500的单板属性、特点、支持的标准等 大类 资料名称 内容介绍 硬件描述与安装 安全兼容性手册 列出S12500的兼容性声明,并对兼容性和安全的细节进行说 明 快速安装指南 指导您对设备进行初始安装、配置,通常针对最常用的情况, 减少您的检索时间 安装指导 帮助您详细了解S12500的硬件规格和安装方法,指导您对 S12500进行安装 H3C 可插拔 SFP[SFP+][XFP]模块安装 指南 帮助您掌握SFP/SFP+/XFP模块的正确安装方法,避免因操作 不当而造成器件损坏 可伸缩滑道安装说明书 指导您如何将可伸缩滑道安装到机柜 H3C 高端网络产品 可插拔 模块手册 帮助您了解H3C 高端网络产品支持的可插拔模块类型、外观和 规格 业务配置 配置指导 帮助您掌握S12500软件功能的配置方法及配置步骤 命令参考 详细介绍S12500的命令,相当于命令字典,方便您查阅各个 命令的功能 运行维护 日志手册 对S12500的系统日志(System Log)消息进行介绍,主要用 于指导您理解相关信息的含义,并做出正确的操作 告警手册 对S12500的告警(Trap)消息进行介绍,主要用于指导您理 解相关信息的含义,并做出正确的操作 MIB Companion 与软件版本配套的MIB Companion 版本说明书 帮助您了解S12500版本的相关信息(包括:版本配套说明、 兼容性说明、特性变更说明、技术支持信息)及软件升级方法 错误码查询手册 提供QoS中各个错误码对应的具体错误说明,供您定位问题时 查询参考

    SE_Gai 2024-12-02
    4 0 0

  • 浅谈网络文件系统原理

    本文分享自天翼云开发者社区《 浅谈网络文件系统原理 》,作者: 谢****云 什么是网络文件系统? 网络文件系统(Network File System, NFS)实现了一种软件协议,能将远端的文件系统映射到本地,使用者访问网络上的文件就像在使用自己的计算机一样。远端是专属存储系统,通常称为NAS存储。比较出名的网络文件系统的实现包括Sun公司的NFS,微软的CIFS(Common Internet File System)等,网络文件系统的访问示意图如下:     图1 网络文件系统挂载示意图   网络文件系统协议实现了将远端的目录树映射到本机,成为本机目录树种的一颗子树。一个实现合格的网络文件系统,实现了文件操作接口的POSIX(Portable Operating System Interface X)语义,从而使用户操作操作网络文件系统像操作本地文件系统一样,用户不会感知到操作的文件或文件夹实际存储在远端。   网络文件系统的实现也分为,客户端和服务端两部分。其中,客户端实现与本地文件系统的实现类似,其主要差异是访问数据的时候,并不是访问本地磁盘设备,而是遵从一定的协议,通过网络访问F服务端。服务端负责处理客户端的访问请求,将对应的数据和元数据保存在磁盘上。   网络文件系统的关键技术: (1)远程过程调用,RPC协议 网络文件系统客户端与服务端之间的交互是通过一定的网络协议如NFS协议实现的。网络协议是通过函数调用的方式定义,主要内容包括ID、参数和返回值等。为降低协议封装、解析的复杂性,通常会在文件提业务层与TCP/IP层之间封装一层交互实现,称之为RPC协议。RPC(Remote Procedure Call)是一种远程调用协议,它基于Socket,位于OSI模型中会话层,客户端可以调用远程服务器上的程序或方法,并获取返回结果。 具体的 ,在客户端调用RPC函数时,会调用RPC库的接口将该函数转化为网络消息转发到服务端,服务端的RPC库对网络包进行解析……

    SE_Gao 2024-11-29
    12 0 0

  • 锐捷S6150-X下1栋办公楼网络时通时不通

    一、故障现象描述 现场S6150-48VS8CQ-X设备下接一栋办公楼办公网络出现异常,故障期间导致客户现场无法正常办公。 二、故障排查分析 查看设备配置、CPU、内存未发现明显异常情况 查看设备生成树端口情况,发现S6150X上部分接口状态一直在跳变,初步怀疑S6150X下面接入网络存在异常,进一步查看日志是否有异常情况。异常截图如下: 通过查看日志发现接口16以及18处理ARP以及ND报文的能力已经达到了水线值,此情况下会导致经过这2接口的ARP和ND包出现概率性丢弃,进而影响通信。截图如下: 由于步骤3发现16和18口出站超水线的情况,进一步查看NFPP情况,发现接口16和18口存在VLAN253的ARP DOS攻击情况(终端:10.18.20.30 Mac:d431.27d7.2461信息比较多)。截图如下: 进一步分析端口16和18收发数据的情况发现接口16以及18瞬间收到了大量的广播数据。结合步骤2和3,判断16和18口下面网络存在异常广播数据,现场down掉这2个接口后测试现场业务正常。截图如下:、 三、故障根因说明 通过分析交换机日志信息,目前判断导致办公楼网络异常的原因是S6150-48VS8CQ-X交换机的TF0/16以及TF0/18下存在环路,客户办公室网络接环到导致的。 四、故障解决方案 将现场办公室小交换机环路解决,业务恢复正常。

    SE_You 2024-11-29
    5 0 0

  • IP-MAC日志

    日志信息 user_name=[$1:STRING32];src_ip=[$2:IPADDR];src_port=[$3:UINT32];dst_ip=[$4:IPADDR];dst_port=[$5:UINT32];name=[$6:STRING32];type=[$7:STRING32];protocol=[$8:STRING32];mac=[$9:MACADDR];count=[$10:UINT32];level=[$11:UINT32];in_if_name=[$12:STRING32];create_time=[$13:STRING32];end_time=[$14:STRING32];extend=; 日志含义 设备检测到来自[$1:STRING32]的ARP攻击产生的日志。 日志参数 表1 日志参数表 参数名称 参数含义 user_name 用户名称。 src_ip 源IP。 src_port 源端口。 dst_ip 目的IP。 dst_port 目的端口。 name 攻击名称。 type 攻击类型。 protocol 协议名称。 mac 攻击源mac地址。 count 攻击次数。 level 日志等级。 in_if_name 入接口名称。 creat_time 开始时间。 end_time 结束时间。 extend 预留项,无赋值。 可能原因 设备受到ARP攻击产生日志。 处理步骤 查找到相应的攻击源,并配置相关策略阻断该攻击源的流量。

    SE_Gai 2024-11-29
    10 0 0
首页上一页 2021222324 下一页尾页22/67