晓林's profile星光学习空间PhotosBlogListsMore  |  Tools Help |
星光学习空间网络学习笔记 |
|||||
|
|
October 22 IOS的操作顺序在理解路由器中的通信是如何传输的以及如何控制这些通信时,首先熟悉Cisco IOS的操作顺序是至关重要的。我们将带你学习两个顺序不同的操作表:NAT操作顺序和QoS操作顺序。 Cisco IOS操作顺序在路由器如何处理通信中扮演着一个重要的角色。操作顺序根据不同路由器特性的配置告诉路由器如何处理通信。如果只使用路由器最基本的特性,我们很可能永远不会关注操作顺序。然而,在配置诸如网络地址转换(NAT),服务质量(QoS)和加密等特性时,为了成功配置这些特性,首先需要理解操作顺序。 使用Cisco IOS实际包括两种不同的操作顺序表:NAT操作顺序和QoS操作顺序。让我们逐一进行了解。
NAT操作顺序
在理解NAT操作顺序列表之前,首先需要理解NAT本身。其最基本的形式是,NAT将一个IP地址转换为另一个IP地址。当路由器使用该操作顺序时,它将入站的包从列表的最上面向下移动。如果数据包来自NAT指定的内部接口,它使用由内向外的列表。如果数据包来自一个由外向内的接口,它使用由外向内操作顺序的列表。 这是由内向外列表的操作顺序:
如果是IPSec,检测输入访问列表
加密-Cisco加密技术(CET)或IPSec
检测输入访问列表
检测输入率限制
输入审计
路由策略
路由
重定向到Web缓冲
由内向外NAT(本地到外部的转换)
密码系统(检查并标识为加密)
检测输出访问列表
检查基于上下文的访问控制(CBAC)
TCP截取
加密
这是由外向内操作顺序的列表: 如果是IPSec,检测输入访问列表
加密-Cisco加密技术(CET)或IPSec
检测输入访问列表
检测输入率限制
输入审计
由外向内NAT(外部到本地的转换)
路由策略
路由
重定向到Web缓冲
密码系统(检查并标识为加密)
检测输出访问列表
检查CBAC
TCP截取
加密
我们假设收到一个来自由外向内的接口的IP包。在解析这个包时,我们希望使用一个访问控制列表阻拦来自某个IP地址的通信。应该将哪个IP地址放入ACL中,是包解析之前的IP地址(例如公网的IP地址),还是包解析后的IP地址呢(例如私有地址)? 通过查看操作顺序,可以确定“由外向内NAT”操作发生在“检测输入访问列表”任务之后。因此,会在ACL中使用公网IP地址,因为数据包没有通过NAT。 另一方面,如果希望为通过NAT的通信建立一个静态路由该怎么办?应该使用公网(外部的)还是私有(内部的)IP地址呢?在这种情况下,因为当通信开始“路由”操作时已经通过了NAT,所以你应当使用私有(内部的)IP地址。 QoS操作顺序
服务质量(QoS)操作顺序是另一个需要了解的重要列表。 这里是入站通信到路由器的操作顺序:
通过边界网关协议(BGP)或QPPB的QoS策略传播
输入公共分类
输入ACL
输入标识-基于分类的标识或承诺接入速率(CAR)
输入策略-通过一个基于分类的策略器或CAR
IPSec
Cisco快速转发(CEF)或快速交换
这里是从路由器出站通信的操作顺序:
CEF或快速交换
输出公共分类
输出ACL
输出标识
输出策略-通过一个基于分类的策略器或CAR
排队-基于类的加权公平队列(CBWFQ)和低延迟队列(LLQ)-以及加权随机早期检测(WRED)
在理解路由器中的通信是如何传输的以及如何控制这些通信时,首先熟悉Cisco IOS的操作顺序是至关重要的。根据经验,在使用任何NAT,密码系统,ACL,路由,或列表中其它特性的结合体时,NAT操作顺序是最重要的。 (转载来源找不到了) August 26 CA证书在邮件服务器的应用未整理。 1、/etc/pki/ 2、openssl /etc/pki/tls/misc/CA -newca :命令在../../CA目录下生成开设CA所需的全部文件。 openssl req -new -nodes -keyout mailkey.pem -out mailreq.pem -days 365 :-new表示你想产生公私钥与CSR(证书签署请求),-nodes表示不加密,-keyout和-out分别指出私钥文件与CSR文件名。-days指出证书有效期。 openssl ca -out signed_cert.pem -infiles mailreq.pem :此步骤产生signed_cert.pem文件就是CA所核发的证书。 前面CA命令产生的cacert.pem文件是信任CA的根证书。 July 06 Linux系统mplayer编译安装mplayer官方下载网址:http://www.mplayerhq.hu/design7/dload.html
解码器:all-20061022.tar.bz2
windows-all-20061022.zip
支持流媒体的库文件,在www.live555.com网站:live555-latest.tar.gz
将all-20061022.tar.bz2解压缩改名为codecs(名字随便),将windows-all-20061022.zip解压缩改名为win32codecs(名字随便),live555解压缩,都放在/usr/local/lib/目录下。
进入live555目录,运行命令:
genMakefile linux
make
进入解压缩后的MPlayer目录运行:
./configure --prefix=安装目录 --enable-gui --enable-win32 --enable-live --enable-menu --with-codecsdir=/usr/local/lib/codecs --with-win32libdir=/usr/local/lib/win32codecs --with-livelibdir=/usr/local/lib/live
注:可以再加--language=zh_CN,但是我最后运行时却不能显示字,我就没添加。
成功以后再运行:
make
make install
Mplayer安装成功,在官方网址下载皮肤,例:Corelian。解压缩到“安装目录”下的/share/mplayer/skins/目录下,做Corelian的软链接名为default。
在“安装目录”下的/share/mplayer/fonts/目录下做字体连接名为subfont.ttf:ln -s /usr/share/fonts/chinese/TypeTrue/ukai.ttf subfont.ttf。
差不多可以用了,运行“安装目录”/bin/gmplayer可以打开图形界面了。
make distclean命令可以恢复到未编译的新代码状态。 July 05 POSTFIX服务器架设postfix服务器未完成。smtpd服务成功,pop、imap服务验证失败。 注意:配置服务器时修改main.cf.default文件的内容是无效的,并且网上不建议将main.cf.default文件改名为main.cf,原因不详。 对/usr/lib/sasl2/smtpd.conf修改: pwcheck_method: auxprop auxprop_plugin: sasldb #sasldb_path: /etc/sasldb2 mech_list: plain login digest-md5 cram-md5 给sasl2db(在/etc/sasldb2)添加测试帐号命令: saslpasswd2 -c 帐户名 Dovecot软件包包含了POP、IMAP协议,代替Cyrus-IMAP软件包。 两个测试程序:sasl2-sample-server和sasl2-samle-client,分别对应着服务程序和客户程序,可对SASL的配置进行测试。 -p TCP监听或者连接的端口号,缺省为12345 -s 服务名称,缺省为rcmd -m 认证的机制 $ sasl2-sample-server -p 9000 打开另一个终端窗口,进行测试: $ sasl2-sample-client -p 9000 -m PLAIN 用户名 如果没别的问题,应该可以看到successful authentication。 July 03 Linux编译升级内核Linux系统内核源代码在/usr/src目录下,为linux-版本号。要建一个此文件夹的符号链接,ln -s linux-版本号 linux。
在/boot目录下有一个config文件,这是一个当前内核的内核配置文件,可以借鉴这个配置文件作为新内核配置的起点,将此文件复制到/usr/src/linux目录下名为.config。
make oldconfig:oldconfig方法假设你原有的配置文件.config已经存在于内核源代码目录下,使用原有的内核配置文件来配置新内核选项。有一些问题关于是否包含新内核的特性,通过选择默认总是安全的。
make menuconfig(或make xconfig):进一步配置驱动程序及其它一些功能。
make dep:产生依赖关系。
make clean:清除多余的代码。
make bzImage:将内核压缩为bzip2格式。
make modules:用来构造模块,如果将模块全部包含在将要构造的内核中,就没有必要用此命令了。
make modeles_install:安装模块。
depmod -a:它是生成模块间的依赖关系,启动新内核之后,使用modprobe命令加载模块时就能正确地定位模块。
经过以上的步骤,我们终于得到了新版本的内核。为了能够使用新版本的内核,要做一些改动:
(
#cp /usr/src/linux/System.map /boot/System.map-版本号
#cp /usr/src/linux/arch/i386/bzImage /boot/vmlinuz-版本号 以上这两个文件是我们刚才编译时新生成的。下面修改/boot下的两个链接System.map和vmlinuz,使其指向新内核的文件:
#cd /boot;rm -f System.map vmlinuz
#ln -s vmlinuz-版本号 vmlinuz #ln -s System.map-版本号 System.map 编译好的内核被放在/usr/src/linuc/arch/i386/boot下,将内核复制到/boot目录下。
“mkinitrd /boot/initrd-版本号 版本号”命令就在/boot目录下创建了一个“initrd-版本号”文件,也就是初始化镜像(initialed ramdisk)里边主要有一些驱动,因为放在内核中就显得过大,所以编译进initrd.img,在启动中释放,这个“版本号”就表示 /lib/modules下面的“版本号”的目录了。
在gurb.conf文件中做修改,重启动选择新的内核启动。
)
注:以上括号中的内容可以在/usr/src/linux目录下用一个命令完成:make install,他调用了/usr/src/linux/arch/i386/boot/install.sh脚本,但是网上不推荐,不知道为什么。
通过/proc目录下文件内容和lspci等命令,可以了解系统硬件的基本情况,便于选择合适的驱动程序。
make mrproper:清扫内核源代码树,回复到刚刚解压缩完的干净代码。 |
||||
Send a private message
Tell a friend
Add to My MSN
Add to your network
Sign up for alerts|
|
