需要一台有公网 ip
其它的反向连接到这台形成局域网,这方面人见人推 softether 可以安装在 Windows 也可以安装在路由,Windows 可以用命令行 l2tp 也可以使用 softether 自带协议。
前段时间一个用法就是在 vps 使用 haproxy 代理到 vpn 内网提供的 web 服务,成功了,甚至根本无需做 iptables nat/端口映射之类的操作,网上应该也有代理 3389 的实现。
softether 最好的 vpn 。
曾经在 dos 下,应该是分区摩术师,因为没有其它方法备份,只能在线调整 ntfs 分区,心惊胆颤好几小时。那次以后,再也没用过这种方法。宁愿备份心里有底,再调整分区,数据恢复。
看板目前用下来在大屏幕比较接近 trello 的是 wekan,可惜没有 app 。在手机屏幕由于支持拖动,就不好操作了。还是想找一个可以手机操作的,看来希望渺茫。
之前找了个 kanbani Android 端的缺乏标签功能,但手机端预览就方便多了。
今天又被叫去处理 2L4 处的 AP 断线问题,该处有 3 台电脑通过无线连接。由于其它 2 台电脑正常,另外一台頻繁出现掉线,用排除法的话多数为笔记本有问题。由于在现场笔记本頻繁的 ERP 断开,进入设备 AP 管理页面工作不到 49 天,却用掉了 swap 内存,最后无奈只能以重启 AP 结束。
终于忍无可忍对 Auto port-defend started.问题进行处理。之前在华为论坛询问关于该日志到底是端口抑制功能还是关闭功能,没有人给出准确的回答。这几天 google 了一下,部分文档提到了在启用 auto port-defend 时,系统将以 75%预设 CBR 速率进行工作。所以这应该属于端口抑制并不是关闭功能。由于华为交换机型号非常多,自己也不敢在业务系统上进行验证,想当然的就是这样了呗。
背景信息
如果某个端口下存在攻击者发起 DoS 攻击,从该端口上送 CPU 处理的大量恶意攻击报文会挤占带宽,导致其他端口的协议报文无法正常上送 CPU 处理,从而造成业务中断。
通过部署基于端口的防攻击功能,可以有效控制从端口上送 CPU 处理的报文数量,以防御针对 CPU 的 DoS 攻击。
该功能默认已使能。只有端口防攻击功能在已使能的情况下,才允许配置端口防攻击的其他相关功能。
s5720s-li 默认启用了 auto-defend 针对 source-mac/source-ip 特定的终端出现发包异常以后的自动防护处理。auto-port-defend 这个则是针对该端口,由于 AP 上接入了大量终端,很可能在这 AP 上的大量终端因为其中的一个终端发包有问题就导致该端口出现发包抑制,那么该端口上的其它的终端也可能连带出现网络异常。
观察了 display auto-defend attack-source history 并未出现办公用笔记本有发包超限记录所以不启用 whitelist 管理。简单的关闭 auto port-defend 功能,通过 auto-defend 对所有终端进行超过 60pps 以后发包抑制。感觉网络又快了点,希望这次能彻底解决无线网络问题。
display cpu-defend configuration all
display auto-defend attack-source
display auto-defend attack-source history
display auto-defend attack-source detail
display auto-port-defend whitelist
display auto-port-defend attack-source
display auto-port-defend statistics
reset auto-port-defend statistics
display arp static
使用实例
# 创建名称为 test 的防攻击策略。
<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test]display cpu-defend policy
[HUAWEI-cpu-defend-policy-test]display cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] display cpu-defend configuration all #查看默认
[HUAWEI-cpu-defend-policy-test] dis this
auto-defend enable
auto-defend attack-packet sample 5
auto-defend threshold 60 #非 60 就有显示
auto-defend trace-type source-mac source-ip #默认不包含 source-portvlan
auto-defend protocol arp icmp dhcp igmp tcp telnet 8021x
undo auto-port-defend enable
quit
#cpu-defend-policy test #报错,似乎是无效规则。Info: Only car configuration can be activated on main control unit.
cpu-defend-policy test global
display auto-defend attack-source detail
display auto-defend attack-source history
[Switch]display auto-port-defend configuration
Info: Auto port defend is disabled on slot 0.
[Switch]
# 将源 IP 地址为 10.1.1.1 和 10.1.1.2 的用户加入攻击溯源的白名单。
<HUAWEI> system-view
[HUAWEI] acl 2000
[HUAWEI-acl-basic-2000] rule permit source 10.1.1.1 0
[HUAWEI-acl-basic-2000] rule permit source 10.1.1.2 0
[HUAWEI-acl-basic-2000] quit
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] auto-defend enable
[HUAWEI-cpu-defend-policy-test] auto-defend whitelist 1 acl 2000
display auto-port-defend whitelist
Auto port-defend started.
3L5
Jun 3 2020 08:49:19 GigabitEthernet0/0/3
3L6
Jun 3 2020 11:42:17 GigabitEthernet0/0/9
2L4
Jun 3 2020 07:37:25 GigabitEthernet0/0/25
Jun 3 2020 08:01:36 GigabitEthernet0/0/25
Jun 3 2020 09:06:27 GigabitEthernet0/0/25
Jun 3 2020 11:58:33 GigabitEthernet0/0/25
Jun 3 2020 12:27:16 GigabitEthernet0/0/25
Jun 3 2020 12:52:15 GigabitEthernet0/0/25
2L3
Jun 3 2020 08:02:18 GigabitEthernet0/0/29
Jun 3 2020 08:47:16 GigabitEthernet0/0/29
Jun 3 2020 11:02:18 GigabitEthernet0/0/29
Jun 3 2020 11:46:23 GigabitEthernet0/0/29
Jun 3 2020 11:54:59 GigabitEthernet0/0/29
Jun 3 2020 14:07:37 GigabitEthernet0/0/29
1L2
Jun 3 2020 12:14:54 GigabitEthernet0/0/37
1L3
Jun 3 2020 12:56:30 GigabitEthernet0/0/41
这种可以上网查找一下 arp 实现过程,最好带上交换机型号。
像使用的 s5720s-li 52p pwr 。它的很多默认设定就是不适合 ap 环境,像终端在不同端口飘移会导致被抑制
经常要向同事解释一些我自己都觉得说不通的问题。
今天在立式线,10 米以内就有两个 AP 。笔记本出现了断了又信号非常好的情况,可是网络不通。。。当时是在同步文件时,突然没有下载速度。从距离和信号强度判断不应该发生的事,但当时就是这样。当然这种情况平时发生多半通过禁用 /修复无线网卡就可以了。
然后这几天测试接在 vlan5 的无线打印机时,vlan1 的电脑时通时不通。包括一直反应的车间打印机时通时不通。。。那台打印机就是从 xp 换成 win7 什么也没动,然后一直被反应经常打印不出来。在老厂就有长时间打印机睡着问题就想通过计划任务定期去唤醒打印机,好像最终也没结果。
之前遇到的同一 ap 上两台电脑互相 ping 不通,通过互相指定静态 arp 解决。同一端口怀疑接入 ap 点,因为客户端数量增加而导致的端口速率抑制问题。
最近这个时通时不通就不好解释了。晚上查了这个 mac 地址飘移问题,按文档解释是针对网络环网情况。至于无线终端通过不同接口漫游导致的 mac 地址飘移属于正常现象,通过日志分析,也确实都是在 ap 连接的端口做飘移。只是今天才看到这个选项里怎么有一个 quit vlan recover time,从字面上解释,退出 vlan 的恢复时间 10 分钟这是什么意思。似乎挺符合那个时通时断的现象,又有点说不通,必竟现场的终端在时刻移动中。那不就成 10*N 。也许又通过 mesh 的路由协议到达网络目的地。
今天被同事问到无线不好,要不要换宽带。。。要学会花钱,连原因都判断错,那就成乱花钱。确实也一直在强调通过花钱来提升工作效率。整天被怨电脑不行,网络不行这个不行,那个不行。哎,严重阻挡别人的工作效率,该换的陈年老古董就该换了。这么多可能,万一换了没效果谁来背锅。。。
最后在 dis anac-address flapping 将 vlan5 AP 加入 exclude vlan list 。应该还有一个问题,这些问题都是在使用了两年以后才发现,可能之前用 mesh,网状结构自行解决了一些。
我记得华为的 airengine 系列在描述 leaderAP
大意是胖 ap 需要一个个设定很麻烦
采用 leaderAP 可以省掉 ac 的钱,又可以集中化配置,再加上一笔有更好的决定漫游效果。至于好在哪,没有硬件不知道。
当年 uap 系列的 ac 是可以周期性的向 ap 执行踢除弱信号的功能,当在 ap 端用脚本实现,我就认为 ac 无用论了。。。tplink 的 ac 都要花几百。
可以考虑一下华为的 airengine 系列,华为的东西好在文档齐全,固件更新勤快,tplink 和华为支持差距太大,连硬件使用高通还是 mtk 都是保密。。。
不能小牛拉大车,特别是高耗 cpu/内存的应用
都是看到什么觉得有用的包就集成到固件里,突然有天发现 erx 总是一段时间用着用着就没网络了,都搞不清楚到底是哪个包导致系统自己挂了。
目前 uptime 99 天
Mtk 7620 146 天
都说经常 ping 不通,也许有 arp 病毒。
在 windows 遇到水星出的无线网卡互相 ping 不到。最后在每台电脑开机用 netsh 把两张无线网卡 mac 和 ip 对应关系写在开机脚本才永久解决了时通时不通,至今不知道为什么 。
之前用的 killapps 现在尝试 force stop apps,用来终止除微信以外的所有其它 app ,用完支付宝,钉钉打好卡随手点一下。。。其实实现的就是手动强制终止应用,希望不会像 killapps 用久了会导致卡顿需要重启手机。
我的手机一直用一个 2013 年发布的 android firewall ,确实是个好软件,它可以在 wifi/移动流量 /vpn 分别设定哪些软件可以使用网络。这样可以防止软件互相唤醒,让那些无需网络的软件弹不出广告,省流量。但是最近发现 android 系统会周期性的插入 iptables,导致防火墙部分失效,烦不知道是否有懂 android 开发的朋友如何禁止系统周期性插入规则。
后来用找到了 gscripts lite 用它来删除防火墙,功力不够解决不了系统插入 fw_dozable/fw_powersave 。
反正就是除了微信,其它的用完就可以退出。。。
这个问题看你怎么看待,之前用了人家的微信发送消息机制,但是动不动会触动规则。
现在在微信里启用了 qqmail 收件规则,一收到邮件就有提醒,比第三方服务动不动不能用可靠多。
剩下的就是怎么用 smtp 发送邮件。
喷墨还有堵头问题啊,
当年打印机才 3000 多,4 色墨水 480 一套,洗个头。。。用不起啊
以前不说 pppoe 是有周期的?因为这个还导致影响人家玩游戏,还好用的 openwrt 可以每天定时重新拔号。让这个周期只出现在凌晨睡觉时间。
这种本来就是软件层面问题,tplink 就有同一硬件,可以 poe 的吸顶 mesh 。
无线组网是个很复杂的事情,经验越多越不敢说。它涉及到 ap+终端+操作系统+环境,没人敢说自己组的无线 100%完美。像我就是只买高通货,避开 mtk ,无视博通。这就是多年踩坑怕的。
关于终端粘滞在特定的 ap
1.对于 windows 7,在统一 ssid 使用自带的 wifi 连接管理软件,默认为了省电,是没开启根据信号阈值自动连接信号好的 ap 。它就是连接在固定的 bssid 上,任你怎么踢,它就是连在那 ap 上,只要它能连上。除非彻底连不到,它才开始又粘另外一个 ap 。解决方法就是开启选项
2.上下楼层导致的问题
家里的电视也喜欢连到楼上的 ap 。无线是双向连接过程,没做好发射功率区域覆盖,你觉得它能分辨是楼上的还是楼下的 ap 信号好,对它来说都是好。这时它发回楼上 ap 的信号却可能掉包,它的 android 系统可能根本就不能根据阈值切换或者这个阈值根本无效。
解决问题无非是 mac 黑名单,或者另起一个 ssid 。或者在统一 ssid 环境将就用,需要的时候断连一下。
3.该区域只有一个 ap ,而且终端处在边界,怎么踢都是信号弱。
我的环境就没什么高大上的东西,一个命令就够了,-80dbm 还不会切换,那就 ap 端强制下线。太小看弱信号踢除的作用了。这时候终端还不知道选择哪台 ap ,去了解发射功率的作用再来讨论吧。公司 2.4g 20dbm 足以覆盖 1000 平方空旷区域,四周还有-73dbm 。
#hostapd_cli disassociate $i interface $1
ubus call hostapd.$1 del_client '{"addr":"'"$i"'", "reason": 5, "deauth": True, "ban_time": 3000}' &
你说什么还要断连一下这么废事,我就是要全面覆盖走哪连哪。没有什么事情是花钱解决不了的,一个不够覆盖那就二个,二个不够就三个。像我就很懒 1 万平方布了 12 个 ap ,我又不赚钱,我觉得我会去做一个不够布二个的事情?开玩笑,真不知道 1 万平方布线有多废事。
终端的漫游效果
笔记本最好的就是 intel 无线网卡,高通,大螃蟹我的环境都一般
手机,我的 motorola g7 plus 在漫游时可能有掉包高延时发生,也可能不会发生。在同层 ap 间行走无非就是信号图标变满格。它也可能从房缝里在 3 楼连接 2 楼的 ap 。因为我坚定的相信终端决定漫游过程,我也只用过上不了台面的 uap 时代的 ac ,甚至那所谓的连接指定 ap 就是在其它 ap 下发该终端的 mac 黑名单,结果因为 Windows7 的问题,导致那电脑反复踢连在同一 ap 。
所以我经常问人家,你用过的 ac 有什么牛逼功能。我甚至喜欢看人家的 ac 文档,这说得神乎其神的功能如何用 openwrt 实现。。。