场景: 客户购买我们的分析服务,并在他的移动应用程序中包含我们的分析SDK。 下载应用程序的用户将开始向我们发送大量数据。 当客户停止支付我们的分析数据时,所有的数据仍然会出现,这会影响我们的带宽,并且会影响我们的请求处理。 我们可以很容易地停止所有的SDK发送数据,但它是最终的,所以如果客户决定更新服务,他将不得不重新上传SDK,这需要花费时间和精力。 我们也可以将呼叫数量减less到每24小时1次,但有很多客户端,直到很多无用的数据呼叫。 有没有办法devise服务器体系结构,以便当客户端停止为我们的服务付费时,来自他的应用程序的所有来电都将被排除,并且不会影响到传入的服务器带宽和请求处理? 一些麻烦的解决scheme:为每个客户端提供一个特定的子域或端口。 然后在停止使用服务之后删除子域或端口(受限且仍然影响请求处理) 感谢帮助。
我计划在AWS上设置多个虚拟私有云(VPC)。 这些VPC将位于不同的地理位置。 每个VPC都将具有公共和私有实例。 我需要为运行在所有VPC上的所有实例合并高效的路由策略。 跨VPC通信将发生在Ipsec隧道。 任何关于以下问题的build议对我来说都是非常有用的。 我应该创build一个hub-n-spoke结构,其中每个VPC将有一个通往中心VPC的Ipsec隧道,还是应该为每对VPC创build一个Ipsec隧道并形成一个派系 ? 我必须在每个VPC中保留一个作为Ipsec网关的实例,并且存在这种情况成为瓶颈或者单点故障的风险。 有没有可以避免的build筑select? 我应该遵循什么IP寻址scheme,以便将来我可以将实例从公有子网移动到私有子网,反之亦然,而不会影响整体路由? 还请提供您认为可能对我有帮助的相关文档/案例研究的链接。 谢谢。
我在几年前发现了下面的图片,而且由于我正在研究DNS和BIND,我想了解并构build这里显示的设置。 我确实了解(集合)caching转发器,并且(内部)解决你自己的问题是有道理的,而不仅仅是一次转发给你的ISP。 隐藏的主人和区奴隶的设置也是有道理的,但我不明白为什么你会把“外部的parsing器”在这些区域奴隶面前。 为什么不让外部客户直接向这些区域从机发送查询? 插入外部parsing器有什么好处? 我试图search谷歌这个图像,希望find任何描述这个设置的文件,但唉,我甚至无法在网上find这个图像。
HP Procurve 2510G-24 x 2端口(适用于服务器)和2 x HP Procurve 2510-48端口10/100(适用于台式机)。 拓扑如下所示: 补丁在二楼终止,服务器位于一楼。 基本上服务器连接在一楼的墙上sockets(rj-45sockets)上。 我们在楼下需要更多的端口,所以我们计划在楼下安装一个2510G-24Port,在楼上安装一个,这样我们就可以将这两个交换机与某种端口捆绑/中继连接起来,这样我们可以获得更多的吞吐量。 我计划将交换机(24端口2510G)连接到墙上sockets1和2,将交换机上的两个端口绑定为1(如2Gbpipe道),然后在楼上做同样的事情,因此我们在这两个交换机之间得到一条2Gb中继线。 我将如何将每个交换机上的两个端口捆绑在一起,并使其显示为“一个”以获得更高速度? 我们不需要vlans。 我们将configuration两台2510-48Port 10/100交换机,使用我们的桌面局域网(LAN)和一条2510-48到楼上(2楼)的服务器交换机。 我可以在这两个procurve捆绑4个端口,所以4Gb吞吐量? 此外,LACP和中继 – 这是相同的事情还是两个不同的事情,我什么时候想要使用LACP? 你会有什么build议,因为我将两个交换机连接在一起,一个在楼下(服务器在哪里),另一个在楼上(补丁终止处) 对此有何想法? 我是Procurve的新手,但看起来function非常丰富。 这些是pipe理的第2层交换机。
我怎样才能在三层的build筑物上展示networking图? 要求是根据部门把一个局域网内的用户分开,第二个是什么让我困惑,第二个是pipe理员,我的是每个楼层都有自己的交换机作为分配。 这是我到目前为止:
我们有两个地理上遥远的networking位置,正在考虑引入一个使用两台CISCO ASA 5505的新networking架构。 我正在寻找一个审查和确认这个架构是否可以用这两个CISCO ASA 5505防火墙实现的。 我想在购买之前确定这些设备符合我们的要求。 networking应该是这样的: Location 1 public servers (on vmware ESXi 4.x) ========== | (VLAN 1 — DMZ) Public access —-> +—————-+ ——–+ Mobile worker —-> | CISCO ASA 5505 | Internet <—- +—————-+ ——–+ ^ | | private servers (on vmware ESXi 4.x) | (VLAN 2) | IPsec tunnel (VLAN […]
我真的被困在新的基础设施devise上。 让我解释我们的情况。 我负责完成networking基础设施的重build。 这些要求是隔离我们的产品,dev / it,效用/testing,iSCSI和公正的用户stream量。 我难以忍受的问题是dynamicDHCP。 让我解释一下。 我与我们的普通用户以及我们的开发团队位于完全相同的办公室。 我不希望普通用户通过局域网IP地址访问我们的生产机器,域控制器和交换服务器除外。 但是我需要允许访问IT / Dev。 每个VLAN将有一个单独的子网,我们所有的交换机都是L3。 我的核心交换机将是瞻博networkingEX4200堆栈,而我们在总部的交换机将是瞻博networkingEX2200 POE。 我很确定这可以通过几种方式来实现,但pipe理层似乎可能成为一个野兽。 我想到的一些想法: 1)具有多个DHCP服务器范围并通过静态inputMAC地址来限制每个MAC地址。 2)为DEV / IT静态设置IP地址 3)可能有交换机发出DHCP 以上都不是好的select。 这似乎是错过了一些非常简单的事情,但我只是不知道该怎么做。
我们正在迁移到一个新的办公室,部分是审查我们目前的LAN / WAN和服务器访问networking。 我了解DMZ是如何工作的,但是不知道是否需要在我的两个防火墙之间放置物理服务器/主机,或者我可以使用vNic对DMZ和服务器/虚拟服务器进行子网划分/ vNic。 今天我们有一个单一的路由器和单个防火墙。 它背后是我们所有的服务器,应用程序服务器,DC,VM主机等。 我今天有2个应用程序(在虚拟服务器上),可以从networking访问(防火墙打孔)。 两者都不使用AD凭证,并且与本地DB用户一起工作(不需要AD凭证)。 两者都是(当前)3个VM主机中的1个虚拟服务器。 我想把这两个应用程序移到DMZ中。 这将至less需要一个IIS。 放置一个具有2个NIC的物理VM主机服务器似乎有点奇怪(该主机将容纳我需要的尽可能多的服务器/应用程序服务器) 这是一个单一的失败点 并不觉得正确(即使它可以/应该工作) 另一方面,我可以在我的主机中创build一个vNic,并将其IP映射到两个Firwalls。 router > wan_firewall_dmz > vNic to server > dmz_firewall_lan >给了我更less的安全感,因为某种原因,我有一种感觉,我错过了DMZ的想法。 那是对的吗? 我错过了什么?
我提前为任何元素问题提前申请,因为这是大学gradle后的一段长时间,我希望永远不要重新划分子网。:) 我想用8个网段子网192.168.1.x。 每个人都不会与其他人交stream,但都会连接到同一个网关(192.168.1.1)。 根据那里的IP地址,用户将能够看到他们寻址到哪个networking(具有子网掩码255.255.255.224的IE主机192.168.1.23能够看到192.168.1.0networking,但不是192.168.1.32networking。) 这可行吗? 我也想在超网上有其他用户,看看所有的子网。
接下来是一个冗长的背景,以下是一个问题:在企业环境中保护出站stream量的行业最佳实践(或者您会提出什么build议)? 背景 我们有一个非常典型的企业环境:在防火墙/路由器/代理之后的不可路由的IPv4地址上的Linux和Windows主机。 除此之外,这些主机运行我们的应用程序和数据库服务器,用于我们公司内部开发的核心服务。 数据库服务器已被相当广泛地locking。 他们的地址不会路由(即使与NAT / PAT)的内部networking。 另一方面,应用程序服务器以及构build和准备应用程序的服务器需要一些与外界的连接。 由于各种原因,这些主机需要访问Internet资源: 与公共或私人服务整合, 从开放源代码库中提取库, 下载平台更新, 获取专门的故障排除资源, 将统计数据传输给附属监控系统, 可能还没有确定的其他用途。 通常,这些互联网资源可以通过主机名或域名进行标识,但通常不能简单地通过目标IP地址来引用。 资源可以是资源的特定子集,例如域(graph.facebook.com)中的应用程序或主机(google.com/a/company)上的path。 我们希望能够尽可能具体地识别资源,以避免过度宽容。 我们的目标是维护一个安全的networking。 特别是,我们要: 防止或限制擅自访问系统的聪明的对手泄露数据, 监视和logging源自networking内部的活动。 我们关注的是源自networking内部的stream量,并终止在我们的安全环境之外。 此外,我们的目标是尽可能保持权限,根据主机类和源地址来指定源。 无论我们最终使用什么,我们都希望将授权过程作为主机供应过程的一部分机械化。 另一个要求是应用程序开发应该受到最小程度的影响。 该解决scheme应该尽可能地像一个简单的TCP / IPnetworking一样进行授权通信。 为此,我们在桌面上提出了一些build议,其中一些我们已经尝试了,其中一些我们可以评估: DMZ防火墙 防火墙位于DMZ上,并根据允许的目标主机的白名单路由stream量(networking层)。 它定义了一个IP地址的白名单。 防火墙只是丢弃不符合相应规则的stream量。 优点 应用程序可以自然编写而不需要考虑networking。 支持HTTP / HTTPS以外的传输。 限制 低粒度 – IP名称或地址可以用于许多应用程序,并且几乎总是在该主机上提供多个path。 有时可能使用DNS将主机名parsing为IP地址列表,并机械地更新该列表,但更新不会实时发生。 被拒绝的stream量与故障networking无法区分。 失败可能是耗时的,需要15-60秒(或更长时间)才能解决失败。 由于潜在的滥用/失败,防火墙的机械化是不可取的。 HTTP代理服务器 与防火墙一样,代理服务器驻留在DMZ中,连接到内部和外部networking。 所有出站stream量必须通过代理服务器,其中包含一个由URL或部分URL授权资源的白名单。 它只允许匹配白名单上指定资源的stream量。 代理服务器在HTTP / HTTPS协议级别运行。 […]