我有一个虚拟的Windows服务器2008 R2与2个虚拟networking适配器,一个是一个域的一部分,另一个不是。 当我ping到一个特定的PC是域的一部分,它通过第二个networking适配器(不在域中的那个)连接到它,我试图用一个静态路由来改变它: ROUTE ADD -P <target PC's IP> MASK <Subnet mask from ipconfig> <Default Gateway of the adapter in the domain> if <tried it with all possible interfaces> 不幸的是,这不起作用,所以我很乐意得到如何使这个静态路由,以便我的服务器将通过域中的networking适配器连接到域中的PC协助。 路由打印和ipconfig的输出: C:\Users\user>route print ======================================== Interface List 18…00 15 5d 80 0f 47 ……Microsoft Virtual Machine Bus Network Adapter #2 11…00 15 5d 80 0f 1a […]
我在一家小型的ISP工作,我们在一个中央位置pipe理着大约60个build筑,配有p2p无线电和一台主要的思科路由器。 最近我们收到通知,一个networking钓鱼域名与我们的一个IP相关联。 跟踪IP时,tracert会在20-60个客户端机器上跳转,然后点击跟踪目标。 如果我在路由器上阻塞SMTPstream量(端口25),那么使用Outlook的人是不是可以发送电子邮件? 或者这只会阻止我试图阻止的stream量types(垃圾邮件托pipe在我们的networking上)?
我的电脑上有两个以太网接口,运行的是Ubuntu 9.04。 两个接口都运行静态IP,但使用单独的网关。 我的/etc/network/interfaces文件看起来像这样: auto eth0 eth1 iface eth0 inet static 地址10.0.0.5 networking掩码255.255.255.0 网关10.0.0.1 iface eth1 inet static 地址192.168.2.5 networking掩码255.255.255.0 网关192.168.2.1 我希望所有的stream量都通过eth0运行,但似乎要通过eth1 。 有没有一种方法可以让我的通用出站stream量通过eth0来代替,而只使用eth1通讯到其子网? 答案应该是持久的; 也就是说,它应该能够在重新启动后无需超级用户重新启动就能运行命令。 编辑 :按要求,这里是我的route -n命令的输出: 内核IP路由表 目标网关Genmask标志度量参考使用Iface 10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 eth1 […]
有人可以解释IP路由如何工作给我? 例如,如果我ping 123.123.123.123,每个路由器如何知道如何在traceroute转储中显示。
我需要configuration我的openvpn服务器来提供一些局域网资源,但我不想为我的客户端路由所有stream量。 这里是我的示例networking描述:我的LAN是192.168.1.0/24。 Openvpnnetworking是192.168.100.0/24。 我在我的服务器端configuration添加push route 192.168.1.0 255.255.255.0 。 我想让我的客户端可以访问192.168.1.0/24,而不是其他的stream量。 我怎样才能从服务器端configuration? 客户端configuration是唯一的方法吗?
这是问题…我们有一个有很多思科交换机的networking。 有人插入networking中心,然后我们开始看到“怪异”的行为; 客户端与服务器之间的通信错误,networking超时,networking连接中断等等。看起来,集线器(或SOHO交换机)似乎让我们的思科3700系列交换机特别震惊。 断开该集线器或networking型SOHO交换机,并重新安顿下来。 我们正在试图为SNMP和pipe理等获得一个集中的日志logging服务器,看看我们是否可以在没有我们的知识的情况下进行这种事情时捕捉错误或缩小范围,因为事情似乎有效,大多数情况下,没有问题,我们只是在特定的交换机上出现怪异的事件,似乎没有任何解释,直到我们发现有人决定自己动手扩展其房间中的端口。 没有进入程序改变或locking端口或“在我们的组织中,他们会被解雇”的答案,有人可以解释为什么添加一个小型交换机或集线器,不一定是一个SOHO路由器(即使是一个愚蠢的集线器显然导致3700的怪胎)发送DHCP请求,会导致问题? 老板说,这是因为思科正在陷入困境,因为stream氓集线器/交换机将多个MAC / IP桥接到思科交换机的一个端口上,他们只是窒息而已,但我认为他们的路由表应该能够处理多台机器进入港口。 任何人都能看到这种行为,并对发生的事情有更清楚的解释。 我想知道将来的故障排除和更好的理解,只是挥动我的手,说“你不能”。 这是一场演出 当前configuration:25591字节 ! 版本12.2 没有服务垫 服务时间戳debuggingdate时间毫秒 服务时间戳记date时间毫秒 服务密码encryption ! 主机名 ########### ! 引导启动标志物 引导结束标志 ! 启用秘密5 ############ ! ! ! 没有一个新的模式 交换机1提供ws-c3750g-24ps 交换机2提供ws-c3750-48ts 开关3提供ws-c3750-48ts 交换机4提供ws-c3750-48ts 切换5提供ws-c3750-48ts 系统mtu路由1500 authenticationmac-move许可证 IP子网零 IP路由 ! ! ! mls qos map policed-dscp 24 26 46 to 0 mls qos […]
我们正在寻找移动办公室,想知道是否有可能一次搬迁一些服务器,并保持networking的工作? (这是为了避免重大举措) 我有一个24位子网(255.255.255.0),所以可以说我有一个networking运行在192.168.250.xxx 然后我把两台服务器192.168.250.5和192.168.250.6移到新的办公室。 因此,在现有的办公室里,为什么有些事情要试图与0.5或0.6的交谈,它不会被本地交换机发现。 它会转到网关,并问网关是否知道吗? 这样我可以通过VPN将请求路由到.5和.6所在的新办公室。 这会工作吗?
我的路由知识有点生疏。 我有一个像这样连接的光纤互联网连接: 受pipe理的交换机也通过ISP的方框为透明LAN服务分配VLANS。 我认为这个问题多半是无关紧要的,所以我把它从图表中排除了。 我有两个/ 29个子网(使用来自RFC5735的示例地址): 192.0.2.144/29(.144-151) – 主要的。 我们的网关是192.0.2.145,防火墙的主地址是192.0.2.146。 203.0.113.88/29(.88-.95) – 第二个子网,没有网关,并由ISP路由到第一个(我认为,这是我感到困惑的部分)。 防火墙具有添加到其WAN接口的两个子网的所有可用IP地址,并且对各种服务器执行NAT。 现在我想在自己的防火墙之外添加一个独立的防火墙networking,并且需要自己的公有IP地址,如下所示: 我现在还没有使用203.0.113.94,所以我打算从现有的防火墙上的附加地址中删除它,并把它交给新的防火墙…但是这样行不通? 它的子网上没有网关。 或者我可以重新排列东西,并给它192.0.2.144/29地址之一。 这会正常工作,让两个networking正常工作? 有一个更好的方法吗? 我可以将新的防火墙附加到现有的防火墙,如果它仍然可以得到一个真正的公共IP,而不是NAT – 但我不知道是否有任何方式与守卫防火墙做到这一点。 这可能需要进一步的子网划分,而且我已经几乎没有IP地址了。 新的networking将成为我们的testing实验室(所以我终于可以停止testing生产中的东西!)。 我不希望两个networking能够互相对话,因为它们将具有相同的内部子网和生产机器的克隆。 我需要新的防火墙有一个公共IP地址,没有任何NAT。
我试图确定是否有可能通过特定接口select性地路由来自进程或进程组的IP数据包,而所有其他数据包通过另一个接口进行路由。 也就是说,我希望来自/usr/bin/testapp所有stream量都通过eth1路由,而所有其他数据包都通过eth0 。 这种情况下的报文可以是TCP,UDP,ICMP等,可以由最终用户configuration使用不同的端口。 因为我不能轻易地强制有问题的过程绑定到特定的接口,所以我试图通过路由实现相同的结果。 这可能吗? —编辑— 在这里和其他许多地方通过一个有用的build议是基于UID标记数据包; 这不是真正的目标。 目标是根据进程标记/过滤/路由而不pipe用户 。 也就是说,如果alice , bob和charlie都运行自己的/usr/bin/testapp实例, 所有三个实例的所有数据包应该通过eth1而来自系统的所有其他数据包应该通过eth0 。 请注意,通过源/目标端口,用户名/ UID等标记是不够的,因为各种用户可能运行testapp ,他们可能会在他们自己的~/.config/testapp.conf或其他设置不同的端口。 问题是关于过程的过滤。 一个可用的选项,虽然我不知道它是多么有帮助,但是在本地二进制文件中使用基于/bin/(ba|z)?sh的包装。 —编辑— 我指的是在运行现代Linux内核的系统上进行路由,例如4.0或更高版本。 如果iproute2 , nftables , conntrack和类似工具之外还有软件依赖性,我愿意探索开源解决scheme,尽pipe基本工具是可取的。
大型企业的边界拓扑http://www.freeimagehosting.net/uploads/d24ede3b2f.png 假设你有一个小型互联网存在的企业,其forms是DNS服务器,networking服务器和VPN服务器,都在DMZ上(在这种情况下,一对不可见的交换机直接连接到防火墙) 。 企业networking内部也有2万个节点,分布在很多build筑物上,有很多路由器和vlan等。 企业充满了非常重要,非常忙碌的人们,他们喜欢能够毫不拖延地到Facebook上来, DMZ具有静态对称NAT,其他人都可以从为此而预留的池中共享出站IP地址。 边界是一对相互连接的路由器,防火墙通过一对千兆以太网交换机,通过城域以太网连接到ISP,并通过城域以太网连接到ISP。 边界路由器通过eBGP与ISP交换路由,通过iBGP交换路由。 内部networking具有到networking中任意点的多种路由,并使用dynamic路由协议来pipe理故障转移和路由分配。 防火墙通过数据中心的一对路由器连接到企业核心。 我的问题是这样的: 静态路由或dynamic路由协议? 静态路由: 每组设备都有静态路由,并使用一些机制(如VRRP或HSRP)来pipe理L2 < – > L3故障切换。 防火墙将指向企业默认路由的边界路由器的虚拟地址,内部路由器将指向防火墙的虚拟地址作为默认路由,防火墙将指向内部路由器的虚拟地址为10.0 .0.0 / 8。 dynamic路由: 在防火墙和边界路由器之间使用iBGP,在防火墙和内部路由器之间使用OSPF / EIGRP。 我看到人们比静态路由模型更经常使用静态路由模型。 我的问题是 – 为什么? 这种拓扑的最佳实践是什么? 或者这只是一个宗教问题?