博文
什么是Cisco-SONA(2006-05-27 01:43:00)
摘要:速览
了解思科服务导向网络架构 (SONA)
企业面临的挑战
尽管投入大量 IT 资金,但许多企业发现大多数的关键网络资源和信息资产仍处于游离状态。事实上,拥有数百个无法彼此通信的“孤立”应用和数据库是常见的企业现象。
这部分是由于内外部客户不断增长却无法预测的需求所致。许多企业都被迫迅速部署新技术,常
导致部署多个分立系统,进而无法在机构内有效地共享信息。例如,如果不创建将应用和信息结合在一起的各种重叠网络,销售人员、客户服务人员或采购部门将无法轻松访问客户记录。许多企业都发现,这种盲目扩展为他们带来了多个未得到充分利用的、无法协调的 分离 系统和资源。这些 分离 的系统同时还难以管理且管理成本高昂。
智能信息网络 -- 思科优势
思科系统公司®凭借智能信息网络 (IIN) 计划,正在帮助全球 IT 机构解决这些问题并迎接新挑战,如部署服务导向的架构、 Web 服务和虚拟化等。 IIN 详细阐述了网络在促进软硬件集成方面的发展,这将使机构能够更好地根据业务优先级来调整 IT 资源。通过将智能构建于现有网络基础设施之中,IIN 将帮助机构实现降低基础设施复杂性和成本等优势。
网络的力量
IT 环境的创新主要集中在通过 传统的基于服务器的 系统来 分发 新业务应用。然而,网络仍然是透明连接并支持 IT 基础 架构 的所有组件的平台。使用思科®服务导向网络架构 (SONA) ,企业可优化应用、流程和资源,来获得更大的商业利益 。通过提供更出色的网络功能和智能,企业可提高与网络相关的各种活动的效率,同时 将更多的 资金用于全新的战略投资和创新。
标准化降低了支持相同数量的资产所需的运营成本,进而提高了资产效率。虚拟化优化了资产的使用,可从逻辑上分割物理资源,以便在所有的分散部门中使用。整个网络效率的全面提高能够增强灵活性及可扩展性,进而对业务发展、客户忠诚度及利润产生巨大影响 -- 从而提高企业的竞争优势。
利用架构取得成功
Cisco SONA 架构阐述了企业应如何发展到智能信息网络,以便加速应用、业务流程和资源使用、并使 IT 能够为企业提供更好服务。
Cisco SONA 利用思科及思科合作伙伴在各行业的解决方案、服务和经验来提供公认的、可扩展的商业解决方案。
Cisco SONA 架构阐述了如......
路由器的日志功能详细介绍(2006-05-27 01:42:00)
摘要:路由器的一些重要信息可以通过syslog机制在内部网络的UNIX主机上作日志。日志功能可通过在路由器上设定日志主机的IP地址,并在相应的UNIX主机上作一些必要的设置来实现
在路由器运行过程中路由器会向日志主机发送日志。日志包括链路建立失败信息包过滤日志信息等等。通过登录到日志主机,系统管理员可以了解日志事件,对日志进行分析。日志可以帮助管理员进行故障定位、故障排除,还可以帮助管理员对网络安全进行管理。[
1、在路由器上的配置表3-19 设置日志主机show loghost 查看日志主机no loghost 取消日志主机'loghost loghost-ip-address 设置日志主机例:使路由器向IP地址为202.38.160.1的UNIX工作站发送日志信息Quidway(config)#loghost 202.38.160.1
2、在UNIX主机上的配置下面的配置示例是在SunOS 4.0上完成的在其它厂商的UNIX操作系统上的配置操作基本与之相同。第一步、以超级用户(root)的身份执行以下命令#mkdir /var/log/Quidway#touch /var/log/Quidway/config#touch /var/log/Quidway/securityR|w:/第二步、以超级用户(root) 的身份编辑文件/etc/syslog.conf,加入以下选择/动作组合(selector/action pairs)。%x# Quidway configuration messages/local4.crit /var/log/Quidway/config# Quidway security messageslocal5.notice /var/log/Quidway/security注在编辑/etc/syslog.conf时应注意以下问题! 注释只允许独立成行并以字符#开头。! 选择/动作组合之间必须以一个制表符分隔而不能输入空格。! 在文件名之后不得有多余的空格。第三步、当日志文件config和security建立且/etc/s......
基于路由器诊断步骤和故障排除技巧(2006-05-27 01:41:00)
摘要:网络诊断是管好、用好网络,使网络发挥最大作用的重要技术工作。本文简述分层诊断技术,结合讨论路由器各种接口的诊断,综述互联网络连通性故障的排除。 网络故障诊断概述
网络故障诊断,从故障现象出发,以网络诊断工具为手段获取诊断信息,确定网络故障点,查找问题的根源,排除故障,恢复网络正常运行。网络故障通常有以下几种可能:物理层中物理设备相互连接失败或者硬件及线路本身的问题;数据链路层的网络设备的接口配置 问题;网络层网络协议配置或操作错误;传输层的设备性能或通信拥塞问题;上三层或网络应用程序错误。诊断网络故障的过程应该沿着OSI七层模型从物理层开始向上进行。首先检查物理层,然后检查数据链路层,以此类推,设法确定通信失败的故障点,直到系统通信 正常为止。
网络诊断可以使用多种工具:路由器诊断命令,网络管理工具和包括局域网或广域网分析仪在内的其它故障诊断工具。查看路由表,是开始查找网络故障的好办法。ICMP的ping、trace命令和Cisco的show命令、debug命令是获取故障诊断有 用信息的网络工具。如何监视网络在正常条件下的运行细节和出现故障的情况,监视哪些内容呢?利用show interface命令可以非常容易地获得待检查的每个接口的信息。show buffer命令提供定期显示缓冲区大小、用途及使用状况。show proc命令和 show proc mem命令可用于跟踪处理器和内存的使用情况。可以定期收集这些数据,在故障出现时用于诊断参考。
故障诊断步骤
第一步,首先确定故障的具体现象,分析造成这种故障现象的原因的类型。例如,主机不响应客户请求服务。可能的故障原因是主机配置问题、接口卡故障或路由器配置命令丢失等。
第二步,收集需要的用于帮助隔离可能故障原因的信息。从网络管理系统、协议分析跟踪、路由器诊断命令的输出报告或软件说明书中收集有用的信息。
第三步,根据收集到的情况考虑可能的故障原因,排除某些故障原因。例如,根据某些资料可以排除硬件故障,把注意力放在软件原因上。
第四步,根据最后的可能故障原因,建立一个诊断计划。开始仅用一个最可能的故障原因进行诊断活动,这样可以容易恢复到故障的原始状态。如果一次同时考虑多个故障原因,试图返回故障原始状态就困难多了。
第五步,执行诊断计划,认真做好每一步测试和观察,每改变一个参数都要确认其结果。分析结果确定问题是......
七大安全技术,彻底改变你的办公网络(2006-05-27 01:41:00)
摘要:网络彻底改变了企业经营的模式,为企业带来了更有效的沟通模式,促成了与顾客和合作伙伴之间的紧密联系,创造了无限商机。但是日益复杂的互联网环境和网络应用,同时也为企业带来了一个安全挑战,那就是如何能够确保企业通讯与资讯的安全。架设防火墙(Firewall),就是在企业内部网络(Intranet)及因特网(Internet)之间架设一道可监控管理的安全防护屏障, 管制所有网络封包的进出, 允许或禁止网络上特定之数据存取行为。 中怡数宽VPN防火墙SAFEcon100产品结合多项安全技术,并透过最佳化的安全操作系统,检查所有通过的 IP 封包,藉由 IP 地址、Port、协议类型、封包传送方向等来控制网络信息封包传播,达成商用网络最佳的安全防护功能。其重要的技术包括: 网络专用核心系统(Matrix 3D Engine), 严格定义访问策略, 地址列表概念引入, 合理规划IM商用, 强大日志监控网络 VPN 特殊接入应用 VPN 分点智能互联支持400条VPN隧道 特色1:网络专用核心(DO2) 中怡数宽SAFEcon100 VPN防火墙使用独特开发的系统内核(Dwnet OS v2,简称DO2),并以创新的硬体架构为基础平台,整合领先的芯片技术,经过最佳化的设计,在执行各种安全防护行为的同时,也提升了网络系统效能,即可高速处理海量数据,又可打造网络的最佳安全保护。 特色2:严格定义访问策略 中怡数宽SAFEcon100 FW核心对从网络层到应用层的状态和上下文特征数据进行检视分析,并随时动态更新,多方位地辨识非法攻击,通过用户严格定义的访问策略,对所有网络连接行为进行限制, 遏止非法网络行为。 防护方法包括:
状态检测封包阻隔 自定义的防火墙策略 深度通讯协议分析 连接数量异常侦测
特色3:(地址列表)概念引入 构建商用网络安全架构,人为错误导致的安全漏洞,在网络攻击事件中比例高达40%,因此直观简明的网络配置,对防火墙尤为重要,中怡数宽SAFEcon100 VPN防火墙引入“地址列表对象”概念,采用熟悉的“列表名称”来定义通用网络规则,从而缩短网络配置时间、减少管理错误和提高设备的可扩展......
为什么局域网电缆会出现信号异常衰减(2006-05-27 01:40:00)
摘要:一家小公司在其局域网上遇到了一些问题。经过一些测试之后,一位技术人员认定支持这个局域网的铜介质出现了异常的信号衰减。出现这个问题的原因可能是什么?UTP(非屏蔽双绞线)电缆中出现的串音是什么原因?在传输频率较高的网络中出现串音会产生什么后果?
异常信号衰减就是说信号已经在线路上传输了,但是,这个信号的强度在降低。引起这个问题的原因有很多,主要是线路连接不好或者电缆线过长。下面这个表格是电缆线具体长度的技术规格。这是各种连线标准的最大长度。记住这些标准,如果你的电缆线连接没有超过这个标准,你仍然遇到信号衰减的问题,你就要检查一下电缆线本身的问题。任何不自然的弯曲或者不适当的终端都会引起信号衰减的问题。
以太网电缆线总汇 技术规格 电缆线类型 最大长度 10BaseT 非屏蔽双绞线 100 米 10Base2 细同轴电缆 185 米 10Base5 粗同轴电缆 500 米 10BaseF ......
无线局域网入侵检测现状和要点(2006-05-27 01:39:00)
摘要:
随着无线技术和网络技术的发展,无线网络正成为市场热点,其中无线局域网(WLAN)正广泛应用于大学校园、各类展览会、公司内部乃至家用网络等场合。但是,由于无线网络的特殊性,攻击者无须物理连线就可以对其进行攻击,使 WLAN的安全问题显得尤为突出。对于大部分公司来说,WLAN通常置于防火墙后,黑客一旦攻破防火墙就能以此为跳板,攻击其他内部网络,使防火墙形同虚设。与此同时,由于WLAN国家标准WAPI的无限期推迟,IEEE 802.11网络仍将为市场的主角,但因其安全认证机制存在极大安全隐患,无疑让WLAN的安全状况雪上加霜。因此,采用入侵检测系统(IDS—— intrusion detection system)来加强WLAN的安全性将是一种很好的选择。尽管入侵检测技术在有线网络中已得到认可,但由于无线网络的特殊性,将其应用于WLAN尚需进一步研究,本文通过分析WLAN的特点,提出可以分别用于有接入点模式WLAN和移动自组网模式WLAN的两种入侵检测模型架构。
上面简单描述了WLAN的技术发展及安全现状。本文主要介绍入侵检测技术及其应用于WLAN时的特殊要点,给出两种应用于不同架构 WLAN的入侵检测模型及其实用价值。需要说明的是,本文研究的入侵检测主要针对采用射频传输的IEEE802.11a/b/g WLAN,对其他类型的WLAN同样具有参考意义。
1、WLAN概述 1.1 WLAN的分类及其国内外发展现状
对于WLAN,可以用不同的标准进行分类。根据采用的传播媒质,可分为光WLAN和射频WLAN。光WLAN采用红外线传输,不受其他通信信号的干扰,不会被穿透墙壁偷听,而早发射器的功耗非常低;但其覆盖范围小,漫射方式覆盖16m,仅适用于室内环境,最大传输速率只有4 Mbit/s,通常不能令用户满意。由于光WLAN传送距离和传送速率方面的局限,现在几乎所有的WLAN都采用另一种传输信号——射频载波。射频载波使用无线电波进行数据传输,IEEE 802.11采用2.4GHz频段发送数据,通常以两种方式进行信号扩展,一种是跳频扩频(FHSS)方式,另一种是直接序列扩频(DSSS)方式。最高带宽前者为3 Mbit/s,后者为11Mbit/s,几乎所有的WLAN厂商都采用DSSS作为网络的传输技术。根据WLAN的布局设计,通常分为基础结构模式WLAN......
在路由器上保存超大的配置文件(2006-05-27 01:38:00)
摘要:置路由器,在配置中,配置两条从网络上调用配置的命令:
ervice config
oot network tftp://10.10.10.10/host-config
oot host tftp://10.10.10.10/startup-config
10.10.10.10是路由器LAN口的地址2 再在配置中增加下面两条alias命令,这样路由器感觉是到网络上的外接服务器去下载配置,实际上还是在本地的flash中下载配置:
tftp-server flash:/startup-config alias startup-config
tftp-server flash:/host-config alias host-config
3 保存配置
4 将配置文件传到flash中
配置好了以后,路由器重起。就可以从本地的TFTP 服务器上读取配置了,如果想保存running configuration:
copy running-config flash:startup-config......
备份cisco路由器配置文件(2006-05-27 01:37:00)
摘要:在路由器的配置过程中,经常会用到COPY这个命令。下面我们就为大家介绍如何使用COPY命令备份配置文件,以及如何从TFTP服务器拷贝备份配置文件。
1、copy running-config startup-config
这个命令是将存储在RAM的正确配置拷贝到路由器的NVRAM中。这样,在下一次启动时,路由器就会使用这个正确的配置。
2、copy running-config tftp
这个命令是将RAM中正确的配置文件拷贝到TFTP服务器上,我们强烈推荐网络管理员这样做,因为如果路由器不能从NVRAM中正常装载配置文件,我们可以通过从TFTP中拷贝正确的配置文件。
it168#copy running-config tftpaddress or name of remote host[]?129.0.0.3destination file name [it168-confg]?!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!624 bytes copied in 7.05 secsit168#
当网络管理员输入命令并键入回车后,路由器会要求输入TFTP服务器的IP地址,在正确的键入服务器IP地址后,路由器还要求网络管理员提供需要备份的配置文件名。一般我们建议使用管理员容易记忆的文件名。这时路由器会提示管理员按YES确认操作。
3、copy tftp running-config
如果路由器的配置文件出现问题,这时我们就可以通过从TFTP服务器中拷贝备份的配置文件。具体配置如下:
it168#copy tftp running-configaddress or name of remote host[]?129.0.0.3source filename []?it168-confgdestination f......
路由器网络接口字段详细解析(2006-05-27 01:37:00)
摘要:目录
(1) 接口和活动状态
(2) 硬件字段为你提供接口的硬件类型
(3) Internet地址
(4) MTU
(5) BW
(6) DLY
(7) 可靠性
(8) 负载
Router# show interface e0/0
Ethernet0/0 is up, line protocol is down
Hardware is AmdP2, address is 0009.4375.5e20 (bia 0009.4375.5e20)
Internet address is 192.168.1.53/24
MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec,
reliability 172/255, txload 3/255, rxload 39/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output 00:00:07, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output
drops: 0
Queueing strategy: fifo
Output queue :0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits......
网络与网间吞吐量的测试—OneTouch网络测试应用(2006-05-27 01:36:00)
摘要:在互联网搜索引擎中关于网络测试最多使用的关键词就是“网速测试”,从安恒的网站日志上统计出关于这个关键词的访问量能占到网络测试技术关键词的30%。这说明人们对网络的速度测试的关注程度。本文讨论了关于测试网络和网间吞吐量的方法和应用,文章中的方法和案例是安恒网络测试服务中心测试实践总结,案例中使用了 Fluke 网络公司的OneTouch 网络测试仪器。
“网速测试”可以从很多的方面来解释,在互联网上网人的角度来说主要关心的是通过互联网访问网络资源的速度。为此,有很多的网站也提供了测试从访客到该站点访问速度的测试脚本和服务。这种的测试方法非常的简单,但由于受到诸多的因素影响,测试结果一般也仅作为访问这个特定网站的特定应用(如:http、ftp)的性能评估,这类的内容我们不在这里讨论。
在维护企业网络的时候,我们常常要对网络或网络间的链路进行传输能力测试,测试的方法往往根据测试目的而有多样性的选择。比如:作为网络安装和维护时的吞吐量测试就需要测试跨越主干、WAN或VPN的IP性能;对于局域网段的故障查找或协助其它网络应用分析则需要进行加压测试,这些测试的方法和需求都有所不同。负责网络安装,维护和故障诊断的网络工程师、网络管理员、提供高速光链路以太网至用户的电信部门的工程师都会在工作中使用吞吐量和加压测试来检查链路的性能。
吞吐量测试
这类的测试可以解决下列的问题:
测试端对端广域网/局域网的吞吐量 测试跨越WAN连接的 IP性能,并用于对照服务等级协议(SLA),将目前使用的WAN链路的能力和承诺的信息速率(CIR)进行比较 在安装 VPN时进行基准测试和拥塞测试 测试网络设备的模式、帧大小或网络速率的对应关系,用于对调制解调器、FRADS、集线器、交换机或路由器等设备的优化与设置的评估吞吐量的测试需要由被测试链路的双端进行端对端的测试,对于企业的网管和维护工程师来说在进行端对端的测试中是不需要了解或测试物理网络的,由于 IP是承载应用业务的网络互联平台,这样的端对端链路测试中的物理网络可以是无线网络、路由环境、透明网络甚至是非对称的网络(如 xDSL和Cable Modem)。
最简单(也是最常用和有效)的吞吐量测试方法就是将测试接入点选在链路两端的以太网网络上的测试方法,如图1。测试时在发送端在指定发送速度,在接收器上计算收到的帧的速度。吞吐量是接收器......