我已经在运行Keepalived和HAproxy的DMZ中有一对思科ASA [0]和一对Linux机箱,作为另一对Windows服务器(也在DMZ中)的负载平衡故障转移对。 我确信Keepalived工作正常。 我可以成功从DMZ中的另一台主机ping虚拟地址(10.0.1.8); 当我在主站(10.0.1.6)上停止Keepalived时,在备份(10.0.1.7)接pipe虚拟地址之前,几个ping失败。 当我在主设备上重新启动Keepalived时,发生类似的一些故障。 当主服务器或辅助服务器处于活动状态时,此其他主机可以通过HAProxy查看两台Windows服务器上托pipe的网页。 虚拟IP地址有一个到外部地址的静态NAT映射(比如1.2.3.8)。 当我尝试从防火墙外部进行类似的testing时,ping到1.2.3.8只在主服务器处于活动状态时才起作用 – 当我停止主服务器上的Keepalived服务时,防火墙外的ping失败,而DMZ内的Ping成功。 我可以看到,当停止并重新启动Keepalived主虚拟IP地址时,虚拟IP地址的MAC地址条目发生了变化,所以ASA似乎知道主虚拟主机和备用主机何时处于活动状态。 但是,当辅助操作系统处于活动状态时,似乎拒绝入站stream量的NAT。 我最好的猜测是,ASA试图阻止这个地址被欺骗,但在这种情况下,我真的很喜欢ASA来允许它。 我不知道如何做到这一点(或从哪里开始,真的)。 有什么build议么? [0] – 它实际上是一对故障转移configuration,但我认为这不是相关的。
在我的工作场所,我们使用cisco交换机在第2层实现自定义stream量交付机制。自定义软件在以太网帧上放置特定的目的地mac,vlans将stream量分隔到不同的位置,同时将静态mac-address表项指向特定端口。 整个交付系统是相当静态的,所以对我们来说相当合适。 我没有创造它,但我理解得很好。 现在我试图理解这一点,因为我看到开关的一些奇怪的行为。 我有两个端口: gi1/10 switchport mode access vlan 10 gi1/20 switchport mode trunk switchport trunk allowed vlan 10-13 和两个用户input的mac地址表行: mac-address-table static 0101.0000.0101 vlan 10 interface gi1/10 mac-address-table static 0101.0000.0000 vlan 13 interface gi1/20 端口configuration不同,以评估技术的差异。 我有两个Linux主机,每个连接到上述端口。 每个configuration与四个子接口相同: eth1.10, eth1.11, eth1.12, and eth1.13. 主接口或子接口上没有IP地址。 我有两个stream量来源发送stream量。 每个都发送带有两个目标MAC地址的以太网帧,但一个stream量源在vlan 10上,另一个在vlan 13上。 在主机1上,连接到端口1/10的主机,当我嗅探eth1.10,11,12或13时,看不到stream量,但在运行“tcpdump -i eth1”时看到stream量。 这对我来说是有意义的,因为那些子接口只会期望标记有VLAN相应VLAN ID(10,11,12或13)的stream量,并且该交换机端口被configuration为访问。 我有正确的解释吗? 好奇的是,主机1的tcpdump输出ALSO显示了另一个mac,即使静态条目清楚地表明只发送一种types的stream量出端口。 […]
我们的一台Windows 2003 R2 ISA防火墙服务器最近有一小时的时间间断性地连接到我们的互联网广域网连接,这个连接在禁用之后被修复,然后重新启用networking适配器。 错误日志显示以下错误的多个实例: Event 4199: The system detected an address conflict for IP address 192.0.2.123 with the system having network hardware address 00:00:00:00:00:00. Network operations on this system may be disrupted as a result 据我所知,一个空的MAC地址是不可能的。 我只发现一个谷歌的结果,同样的奇怪的空MAC地址相同的错误,专家交换问题,没有答案。 这个问题没有再出现,但是我担心服务器的问题仍然存在,并且仍然是我们现场networking的一部分。 不知道原因,我无法知道它可能不会再发生。 这是司机失败吗? 硬件故障? networking堆栈问题? 在某种程度上试图接pipe我们的广域网地址时,是否会出现一些奇怪的冲突?
我想创build像identicons,但不是与图像,但每个IP地址和MAC地址的唯一字。 创build一个易于记忆的mac地址别名,这是唯一的,反向查看,例如: IP 123.456.789.132将导致该IP的别名,即连接到来自单词表的现有单词,这是唯一的。 这个想法的背景:通过这种方式,我们可以很容易地在graphics化的NodeGraph中在我们的汉堡Opennet中识别出我们的路由器。 有很多网站,生成graphics化身: gravatar(Identicon,MonsterID,Wavatar),Retro,vanillicon,VisiGlyphs或unicornify 有没有一些网站,我可以将MAC地址转换为独特的人类可重复同义词?
我遇到DNSconfiguration问题。 我有一个CentOS 6服务器,为五个站点服务了几年。 我需要升级到CentOS 7以符合PCI规范。 我买了一个新盒子,在我build立新盒子的时候,把旧盒子留在网上。 为了不必在切换时切换名称服务器设置,我认为我可以在构build过程中使用旧版本中的不同IP来构build与旧版本同名的新版本。 然后,一旦build成,我会closures旧盒子,将新盒子上的IP切换到原来的IP,一切都会好的。 我在两个盒子上使用了ISPConfig(一个控制面板)。 但是当我切换时,我从Firefox中得到“服务器找不到”和“ping请求找不到主机”。 (Firefox和ping从另一台计算机上运行。)如果我把IP地址放在Firefox的URL中,那么Firefox的五个站点(按字母顺序排列)中的第一个站点就可以正常运行了,但是站点并没有出现它的名字。 我仔细search,以确保每个字母和点在两个盒子的ISPConfig的DNS设置相同。 奇怪的是昨天晚上五个站点中的两个通过Firefox和ping连接后,我将pri *和named.local文件复制到一个新的位置。 (ISPConfig把它们放在/ var / named / chroot / var / named /中,我把它们复制到/ var / named,就像旧盒子上的情况一样)。由于其他三个站点没有出现,我切换回旧盒子。 (这里的“开关”是指把以太网电缆从一个盒子里拿出来,另一端插上以太网电缆。)今天早上,当我切换到新盒子时,五个都没有出现在Firefox上,而ping找不到。 我在想因为IP是一样的,而且名字是相同的,所以DNS连接就会切换。 但显然还有其他事情正在发生。 这是否与MAC地址有关? 我是否需要等待ttl过期? (我的ttl是3600,今天早上我等了一个多小时,但仍然没有工作。)还有其他的问题吗? 我该如何debugging呢?
我知道我可以从MAC地址获取卡制造商ID,那么“types”呢?
我正在尝试在虚拟机属性文件中设置我的虚拟机的MAC地址。 属性文件“102.conf”目前看起来像这样: name: vm1.mydomain.com bootdisk: ide0 ostype: w2k8 ide0: local:102/vm-102-disk-1.raw memory: 1500 sockets: 1 ide1: local:iso/virtio-win-0.1-mm34.iso,media=cdrom vlan0: rtl8139=96:83:DA:A0:06:34 在这个文件中的位置和方式可以设置我的虚拟机的MAC地址?
我试图通过直接在users文件中包含适当的信息来限制每个用户在RADIUS中的一小组Mac-ID。 即使每个用户只限于一个mac也是可以接受的。 服务器从Ubuntu 13.10版本库运行FreeRADIUS版本2.1.12。 使用的身份validation是PEAP和MSCHAPv2。 当物理客户端(Nexus 5)尝试通过接入点(Netgear WG-102)连接时,FreeRADIUS似乎在访问请求中标识Mac-id,但不在检查中使用它。 在我当前的testing设置中,networking上的唯一设备是radius服务器,接入点和testing客户端。 users文件中的条目设置如下: testuser NT-Password := "<hash>", Calling-Station-Id == "a1b2c3d4e5f6" policy.conf文件有一个rewrite.calling_station_id函数,用于将Mac ID标准化为上述格式,并在preprocess后在available-sites/default调用。 正确格式化的mac-id显示在运行freeradius -X的日志中。 但是,这些请求被拒绝。 即使支票被Calling-Station-Id =* "a1b2c3d4e5f6"取代,只要该属性存在就应该通过,这些请求被拒绝。 但是,如果它被Calling-Station-Id !* "a1b2c3d4e5f6"取代,只有在请求中不存在该属性的情况下才会通过该请求,这些请求将被接受。 相反,如果我使用radclient ,则会观察到预期的行为。 configuration文件和相关日志链接如下。 整个/etc/freeradius文件夹已链接,并且还包含以下四种情况的日志。 请注意,数字2是唯一出乎意料的行为: nexus-without-mac-success : users文件没有mac检查,authentication成功 nexus-with-mac-fail : users文件具有正确的MAC地址,authentication失败 radclient-with-mac-expected-behaviour-fail-with-wrong :radclient以错误的mac地址运行并被拒绝: echo "User-Name=testuser,User-Password=test,Calling-Station-Id=8c:3a:e3:19:70:0e" | radclient localhost auth testing123 echo "User-Name=testuser,User-Password=test,Calling-Station-Id=8c:3a:e3:19:70:0e" | radclient localhost auth testing123 […]
偶尔,我不能从我的电脑访问我们的Exchange服务器。 只是我的个人电脑 – 其他人都没有发生事故,但我不能ping通Exchange框,使用Outlooklogin或进入OWA页面(也托pipe在同一台服务器上)。 这种行为会持续几分钟,或直到我重新启动。 在此基础上,我抓住了一个ARPcaching的副本,而Exchange框却没有响应(无论如何),发现Exchange盒子(运行在VMWare上的Exchange 2007)的MAC地址已被replace为我们的防火墙上的LAN接口。 清除ARP和DNScaching解决了这个问题,但我不知道为什么这首先发生 – 我的电脑和交换机都在同一个子网,默认网关是另一个地址完全,所以防火墙(PIX 515E)不应该首先从我的PC上看到任何Exchange绑定stream量,更不用说回答Exchange服务器的ARP请求了。 现在我知道发生了什么事情,这不是一个大问题,但是让我感到困惑。 有谁知道这里可能会发生什么?
我想在mac os x server(10.6.8)上使用radius服务器来允许用户访问无线networking。 但是,我想要使用的限制是Mac地址过滤。 这可能吗? 如果是这样,我该怎么办?