我一直在尝试深究这一点,好吧,好像我不能。 我们在一个数据中心有一台ASA5505(软件版本为8.3)的服务器。 他们运行各种各样的服务,包括我们的网站,内部XMPP服务器,游戏服务器(Minecraft和军团要塞2,大部分都使用UDP),邮件… 每天大概在太平洋时间PST附近,防火墙的系统负载从通常的30%上升到80%以上,networking速度变得非常糟糕。 根据show processes cpu-hog ,“Quack进程”(什么鸭子?!),尤其是“Dispatch Unit”,好像占用CPU一点点。 networking坏了似乎有一种模式。 大约2秒钟全速,然后减速到2停止。 在此期间,我启用了日志loggingfunction,没有什么有趣的事情出现。 只是一些阻塞的ICMP请求,有点奇怪, Deny IP due to Land Attack from [one of our IPs] to [the exact same IP] ,但这可能是一个实际的攻击? 无论如何,从两台服务器到防火墙本身,速度都是很糟糕的,尽pipe两台服务器之间的ping通总是很好,但这使得我负担过重。 我不确定networking是如何build立起来的,所以防火墙和服务器之间可能只有一个小小的转换。 另一个奇怪的事情,但是,这也许是正常的(找不到任何关于它的),在show threat-detection statistics我们的服务器/虚拟机的内部IP首先出现,一些实际上有大于0的数字fw-drop 。 下次出现这个问题时,我该怎么办? 任何想法可能会导致这个? 我应该禁用限制政策地图(见下文)? 编辑:从防火墙ping服务器也将显示这些症状。 这里有更多的系统信息: access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300 access-list […]
我有一个地址为80.39.XX的服务器,我想访问我的networking中的另一个服务器范围: 10.1.16.0/24 。 他们都在我的networking中,在Checkpoint防火墙后面。 当我尝试从其他人那里访问这个服务器时,我在防火墙的一个规则上下了一个规定: Any Source, to any destination, any traffic on any service will be dropped. 这是一个我们必须具备的规则,因为这是一个客户。 我不确定应该在这个规则之上设置什么规则,为服务器提供对我的80.39.XX服务器的10.1.16.0/24访问权限?
让一个debian服务器有多个网卡(eth0和eth1)作为网关。 我怎样才能configuration这些网卡,所以他们可以将stream量从一个路由到另一个。 networking布局: DSL-router(192.168.1.1) —-> Debian gateway —-> Network 1 (10.10.10.10 | |—> Network 2 (20.20.20.20 在目前情况下,服务器都连接到交换机,然后连接到上行链路(光纤)。 configurationdebian作为网关主要是为了备份的目的。 如果光纤失败..我不知何故应该能够连接其中一个电缆(eth0或eth1)到交换机,并在那里路由stream量。 所有已经连接到交换机的机器都有网关10.10.10.1 任何人有任何想法我怎么能build立这样的事情?
我的服务器其实有两个问题。 设置是这样的: 数据中心中的服务器直接连接到互联网 一个网卡/两个公网IP(服务器通过DHCP获取一个IP,另一个必须手动configuration) Debian喘气为kvm主机 作为嘉宾,Debian喘息着 首先问题是,我根本就没有在客户端上获得networking连接。 第二个问题是,我希望客人响应其中一个IP地址。 第二个IP我想用来pipe理主机。 我们从第一个问题开始。 这里是主机的接口文件: auto lo iface lo inet loopback auto eth0 iface eth0 inet manual auto eth0:0 iface eth0:0 inet static address XX.YYY.ZZZ.161 network XX.YYY.ZZZ.161 netmask 255.255.255.255 broadcast XX.YYY.ZZZ.255 gateway AA.BBB.CCC.1 auto br0 iface br0 inet dhcp bridge_ports eth0 bridge_stp off bridge_maxwait 0 bridge_fd 0 使用这个configuration,br0从DHCP获得IP地址,并且我可以在两个IP地址上到达主机服务器。 主持人也可以ping谷歌。 […]
我希望有人能指出我做错了什么。 我画了下面的图片来说明我正在尝试做什么。 基本上,我试图访问使用SSH隧道在防火墙后面的服务器上托pipe的网站。 这是可能的,对吧? 我的插图中的所有连接工作,除了第3步。如果我改变第一步指向端口22,而不是端口80,然后第2步允许我连接到terminal。 但我想我需要连接到80端口才能访问该网站,对不对?
实际上,我正在研究基于Java / Tomcat的Web应用程序的长时间运行连接。 排除任何内部或应用程序的原因后,我现在是在networking层。 我调查这个问题的原因是,我们在响应时间监控方面似乎有随机高峰。 在调查过程中,我发现这种行为并不是那么随意,而是由某些客户端HTTP请求触发的。 关于这些连接的特殊之处在于,它们都来自相同的IP地址,并且似乎使用了Bluecoat Proxy,因为我通过HTTP标头看到了x-bluecoat。 正如我所说,应用程序本身正常执行,只有连接的结束(从Tomcat的angular度来看)似乎有点延迟。 服务器不直接与客户端通话,而是在F5负载均衡器的后面,这个负载均衡器应该实际caching答案(这可能不会发生,因为接受编码的标识头,实际响应对于缓冲区来说是很大的)。 我得到了一个TCP转储,由于一个不幸的错误,我目前只能看到从LB到应用服务器的包,而不是从应用服务器发送的实际包。 转储在同一TCP / IP连接上包含多个请求,这是由F5完成的连接池所致。 此连接上的最后一个HTTP请求是在我们的日志logging中被标记为长时间运行(925836.442ms)的实际连接。 我看到的是请求数据包,一系列的ACK使我相信应用服务器正在写它的答案,最后是两个FIN,ACK包,后面是RST,ACK是F5发送的最后一个数据包。 从定时的angular度来看,这一切都发生在250ms的过程中,最后一个数据包发送15分钟和13秒,然后我看到应答服务器上的响应日志,这个响应被认为是由Tomcat完成后写入的。 我现在有点想法,并有一些开放的问题: Linux是否有任何理由保持打开一个已经收到RST的连接而不告诉应用层? 是否有其他超时可能导致此行为? 如果这将是TCP重传超时,我会看到来自LB的更多RST。 任何其他的想法,为什么一个封闭的连接线将导致在应用层仍然打开连接? 在应用层(特殊的HTTP请求)中发生的事情如何导致传输层中的重复行为? 也许我完全在错误的轨道上,这是一个连接保持在Tomcat里面的问题?
我有一个Apache目录列表的服务器。 我已经对它进行了一些修改,并尝试了自己的专有技术,但是我发现最好的解决scheme是Apache主目录。 不过,我想添加一个search栏和一个上传button,如果不是太难,一个文件删除button。 我怎样才能做到这一点?
我在Mirantis Fuel安装的CentOS上运行Openstack Grizzly。 [root@controller-20 ~]# cat /etc/redhat-release CentOS release 6.4 (Final) [root@controller-20 ~]# rpm -qa | grep -i openstack-nova openstack-nova-console-2013.1.1.fuel3.0-mira.2.noarch openstack-nova-common-2013.1.1.fuel3.0-mira.2.noarch openstack-nova-scheduler-2013.1.1.fuel3.0-mira.2.noarch openstack-nova-conductor-2013.1.1.fuel3.0-mira.2.noarch openstack-nova-objectstore-2013.1.1.fuel3.0-mira.2.noarch openstack-nova-novncproxy-0.4-8.el6.noarch openstack-nova-cert-2013.1.1.fuel3.0-mira.2.noarch openstack-nova-api-2013.1.1.fuel3.0-mira.2.noarch 该拓扑结构目前是一个控制器节点和三个计算节点,全部运行在现代戴尔机架安装硬件上。 在问题开始之前,我已经调配了大约25台虚拟机。 由于某种原因,在创build/删除虚拟机的同时,一个固定的IP卡住了一些不确定的状态。 现在,我无法创build新的虚拟机。 Openstack尝试使用它认为仍然是旧VM的一部分的IP,但无法构buildVM。 我的固定networking是10.129.0.0/24。 以下是来自nova-manage命令行的问题IP列表: # nova-manage fixed list | grep -E 'network|WARNING' -A 1 network IP address hostname host 10.129.0.0/24 10.129.0.0 None None — WARNING: […]
在本地networking上使用ssh时遇到以下问题。 我已经使用MAAS安装了一个至less包含至lessXeon机器的群集。 我已经在所有机器上安装了Ubuntu Server 12.04,并configuration了本地networking192.168.100.0/24。 机器通过TpLink TL-SG-1024开关连接。 这些Xeons之间的ssh工作正常。 我已经将一些运行Ubuntu 13.04的ARM板连接到这个集群,而不必将它们添加到MAAS。 但是,我已经手动configuration了/etc/maas/dhcpd.conf,以使这些板卡在同一个本地networking192.168.100.0/24中获得一个修复的IP(v4)地址。 主板在它们和每个Xeon机器之间获得相应的IP和ping工作。 但是,SSH不起作用 – 挂起。 这里是ssh -vvv ubuntu@octa02的输出(来自至强机器之一) OpenSSH_5.9p1 Debian-5ubuntu1.1, OpenSSL 1.0.1 14 Mar 2012 debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 19: Applying options for * debug2: ssh_connect: needpriv 0 debug1: Connecting to octa02 [192.168.100.82] port 22. debug1: Connection established. debug3: Incorrect RSA1 […]
上图显示了我在OpenVPN连接过程中发生的事情。 主机A和B通过1.2.3.4:1194的VPN服务器连接到VPN。 我的问题是:如果主机A希望向主机B发送一个数据包(如ICMP回显数据包),那么数据包如何遍历到达B? 我最初的想法是: 该进程创build目的地为10.20.0.6,源为192.168.0.x的数据包(源IP为192.168.0.x,考虑到应用程序不知道VPN连接)。 从推送到应用程序计算机的路由表中,数据包被发送到虚拟接口。 主机A的虚拟接口将数据包封装为主机B面向广域网的地址(3.4.5.6)。 这到目前为止是正确的吗? B的路由器如何知道这个数据包是发往主机B? 主机A是否把1.2.3.4作为目的地(而不是3.4.5.6),让VPN服务器通过服务器与Bbuild立的连接重新路由? B的路由器是否必须进行预先设置才能允许任何types的VPN连接?