V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  xiaoun001  ›  全部回复第 7 页 / 共 7 页
回复总数  139
1  2  3  4  5  6  7  
2017-12-21 00:46:58 +08:00
回复了 Liang 创建的主题 程序员 请教各位大神公司组网的方案~ 进来有红包
手机打字,打多了自己看不见。 接上条。 上行带宽,关键做好策略。
路由,NAS 一众设备,推荐全部用硬件平台+虚拟化+虚拟机完成。其实这些对硬件要求不高,自己 DIY 一个,还是不错的选择。二手服务器自然是最优选择,但考虑到电费,噪音,加之创业公司,加之楼主预算,笔者建议用 ATOM D525 平台做就可以了,要千兆网口。但从长远看,INTEL NUC 是个非常不错的选择。(会超支) 。 请不要关注网口数量,一个网口可以虚拟 N 个逻辑网口出来。做单臂路由也未曾不可。 如果真不够用,加个 USB 3.0 千兆,只要你不去碰它,同样很稳定。
2017-12-21 00:37:46 +08:00
回复了 Liang 创建的主题 程序员 请教各位大神公司组网的方案~ 进来有红包
我不为红包而来。刚好自己爱好及专长这个,就给点建议。建议走第一种方案。第二种,3000,肯定是不够的了。第一种,三千吃紧,可能会超出一点,但值得。
网络,如楼上而言,肯定要走有线。无线基本上是玩不成,安全性也不行,做辅助移动接入可以。组有线网络,用真正的超 5 类线也可以跑到千兆,这点勿用质疑。
关于宽带,其实带机量而言,关键看上行。下行 200 和一百兆,影响没那么大。一定询问好上行带宽。一百兆的一般是 8 兆。请记住,电信是可以多拨的,一般是 3 个连接,在申请的时候,要讲明白,找小代理,能多开一个连结是一个(笔者原单位一条百兆家用光纤,十拨,足足带了整个机关和三个车间以及机关宿舍楼的应用,高峰用户在 60 左右,三五十个同时看电影一点问题都没有,效果顶好)这点对你节约成本,提升带机量很重要。在多拨的情况下,两个一百兆能获得的上行带宽可能远远超过一个两百兆。眼睛不要瞄下行,一定看上行。
2017-12-17 20:29:16 +08:00
回复了 halczy 创建的主题 分享创造 尝试优化了一下 AnyConnect(ocserv)的配置, 欢迎大家测试.
@halczy 大神,我用 he.net 建立了 IPv6 隧道,ping 任意公开 ipv6 地址能通。 设上 ipv6 dns 后,却不能够访问 youtube/google,能够访问国内的一些 ipv6 测试站点。 不设置 ipv6dns 时候,用 firefox/chrome 访问 google/youtube,有的时候能够出来,有的时候不出来(走 IPV6 ),要多刷好几次才出来。真不明白是什么原理。大神能够指点一二。
2017-12-08 11:13:40 +08:00
回复了 anguslg 创建的主题 Linux 关于 iptables 有什么思路清晰的教程吗?
@anguslg 还有台湾人写的 《 Linux 网络安全技术与实现(第 2 版)》(陈勇勋) 这本书,也属于精品。当初学习 LINUX 安全就是无意被这本书带入的,太精彩。不过,这本偏基础。《 Linux 防火墙(原书第三版)》 何泾沙 译 需要有一定基础,偏实用。当时把这两本书结合 《 CISCO 防火墙》、《构筑 Windows 网络安全:从外围到数据》看了,前后花了两三年时间,颇有收获呢。
2017-12-08 11:06:38 +08:00
回复了 anguslg 创建的主题 Linux 关于 iptables 有什么思路清晰的教程吗?
《 Linux 防火墙(原书第三版)》 何泾沙 译,绝对经典中的经典,但已经绝版,网上有 PDF 版。 现在网上有第四版,不要去买第四版,不是一个人翻译的,第四版翻译的狗屁不通。两版内容没有多大变化,但翻译质量,第三版完胜第四版。
2017-12-04 11:16:27 +08:00
回复了 halczy 创建的主题 分享创造 尝试优化了一下 AnyConnect(ocserv)的配置, 欢迎大家测试.
@junxiqqq 我前几天 debian 也遇到了这个问题,死活 DTLS 起不来,看日志那个 IPv6 地址稀奇古怪的。就强制把系统 IPV6 栈给禁用了,结果 DTLS 起来了。
2017-12-01 23:01:47 +08:00
回复了 halczy 创建的主题 分享创造 尝试优化了一下 AnyConnect(ocserv)的配置, 欢迎大家测试.
@halczy 今天其它版本不重连了,能稳定开启 DTLS。但是,7.08 版本还是有问题,估计是本身 BUG 了,算啦,不纠结啦。谢谢!
2017-12-01 14:45:12 +08:00
回复了 halczy 创建的主题 分享创造 尝试优化了一下 AnyConnect(ocserv)的配置, 欢迎大家测试.
@haha71 DTLS 起来木有啊?还有 DNS 是否被墙了?
2017-12-01 14:44:20 +08:00
回复了 halczy 创建的主题 分享创造 尝试优化了一下 AnyConnect(ocserv)的配置, 欢迎大家测试.
@halczy 大神,你好。我今天用 centos7.4 + openconnect-devel-7.06-1.el7.x86_64 + openconnect-7.06-1.el7.x86_64 重建了客户端环境,故障已消除,目前一切正常,谢谢!估计前述问题就是 openconnect-7.08 自带 BUG 了。非常感谢!
2017-11-30 13:13:09 +08:00
回复了 halczy 创建的主题 分享创造 尝试优化了一下 AnyConnect(ocserv)的配置, 欢迎大家测试.
@halczy 感动 big,谢谢!
2017-11-29 21:03:17 +08:00
回复了 halczy 创建的主题 分享创造 尝试优化了一下 AnyConnect(ocserv)的配置, 欢迎大家测试.
@halczy 这几个月捣鼓 OCSERv,在 DNS 上有一些收获,分享一下:
1、我尝试在自己的 OCSERv 上做了一个本地 Dnsmasq 缓存,然后将 OCserv 的 DNS 指向本服,我发现,上网体验,优化了很多呢。
2、分享几个 DNS,我搜集的。
nameserver 106.14.152.170
nameserver 178.79.131.110
nameserver 101.6.6.6
nameserver 202.141.162.123
2017-11-29 20:59:32 +08:00
回复了 halczy 创建的主题 分享创造 尝试优化了一下 AnyConnect(ocserv)的配置, 欢迎大家测试.
@halczy 两个我都测试了。

以下均在电信 220.165.*.* 同一网络下测试。

家里的网络环境:
1、电信 100Mbps FTTB 对称网络,有动态公网地址,未多拨。
2、移动 50Mbps 非对称 FTTH,上行在 25Mbps 左右,未多拨,无公网 IP 地址。
使用:
路由策略,移动目标走移动,其它全部默认走电信。

1、出现前述故障的是:Debian 9 + OpenConnect 命令行客户端 ,是通过 apt-get install 直接安装的。基于家里的 KVM 虚拟机安装,用作家庭路由器。做的策略是,国内目标走我自己的双线,国外目标走贵服(就是我一个人用),突然想起之前添加 --no-dtls,把 DTLS 关掉就可以拨上了,刚才试了一下,果然成功了,开 DTLS 就会掉。大概在两三个月前,也遇到一次。后来不知怎么又好了,今天突然就又不好了,还原镜像,重装客户端也不好。
用该 OpenConnect 客户端,在局域网连接我自己做的 OCSERv,版本 ocserv 0.11.9 GnuTLS version: 3.5.8 未见此现象,目视正常(强制关闭了整个环境的 IPV6 支持)

2、在 windows 环境安装 GUI 版本的 OpenConnect,也出现前述故障。

3、电信拨号环境 Cisco AnyConnect 4.4 电脑端连 23.x.x.x 服务器,会断开一次重连,而后又稳定了。之前在贵服从来没有遇到过。

4、Iphone6 Cisco AnyConnect 4.4 完全正常。

5、谢谢楼主,我是一个深度网络技术迷,目前着眼于利用开源技术 DIY 自己想要的东东,很愿意和你交朋友。h

6、谢谢!
2017-11-29 15:16:29 +08:00
回复了 halczy 创建的主题 分享创造 尝试优化了一下 AnyConnect(ocserv)的配置, 欢迎大家测试.
@halczy
麻烦大神,我这是进了贵服黑名单的节奏,还是被 GFW 给盯上了?
能够认证通过,获取路由表,就是不停的重连获取地址,提示 Reconnect gave different Legacy IP address (172.16.100.96 != 172.16.100.165)。
小弟的外网地址是 220.165.*.* (拨号获得的动态地址)

... ...
2017-11-29 14:44:30 | 358 | X-DTLS-CipherSuite: PSK-NEGOTIATE
2017-11-29 14:44:30 | 358 | X-CSTP-Base-MTU: 1406*2
2017-11-29 14:44:30 | 358 | X-CSTP-MTU: 1340
2017-11-29 14:44:30 | 358 | Reconnect gave different Legacy IP address (172.16.100.96 != 172.16.100.165)
2017-11-29 14:44:30 | 358 | sleep 10s, remaining timeout 60s
2017-11-29 14:44:40 | 358 | SSL negotiation with 23.228.222.142
2017-11-29 14:44:41 | 358 | Server certificate verify failed: certificate does not match hostname
2017-11-29 14:44:41 | 358 | Connected to HTTPS on 23.228.222.142
2017-11-29 14:44:44 | 358 | Got CONNECT response: HTTP/1.1 200 CONNECTED
... ...
2017-11-27 15:22:05 +08:00
回复了 halczy 创建的主题 问与答 双网接入用什么路由比较好?
LINUX 做 PCC 或者 NTH 负载均衡,甚至可以将我们出口包的 DSCP 优先级调整到 EF,都可以的。很有效果的。
2017-11-27 15:19:44 +08:00
回复了 halczy 创建的主题 问与答 双网接入用什么路由比较好?
楼主,感谢你无私奉献。
小弟我折腾多线 N 多年了,基本上常见的路由都倒腾过。这种情况下,果断 MikroTik RouterOS,我自己用的是 RB951G-2hnd ,用了很多年了,感觉比起 DD-WRT,OPENWRT,TOMATO,PFSENSE,M0N0WALL 比起来,它是王道,也是家庭宽带最终归属。可以这样说,CISCO 中低端路由能做的,它就能做。
但最终,还是觉得不够灵活,无法与小众软件按自己想法定制,路由表数量也不够。最终上了 BRIX 迷你小主机,跑 KVM+OPENVSWITCH 虚拟化环境+RB951G-2Hnd,用 Debian 做路由,效果真的超乎想象。一套设备,玩遍天下,且避免今后无休止的投资。
建议直接上 NUC 迷你小主机+千兆 VLAN 交换机
2017-11-19 11:00:59 +08:00
回复了 halczy 创建的主题 分享创造 尝试优化了一下 AnyConnect(ocserv)的配置, 欢迎大家测试.
@halczy 谢谢楼主。
之前是因为捣鼓 CISCO ASA 流量分割功能 ,搜索到 OCSERv,来到你的帖子。颇有收获,很感谢。
楼主的服务器,是我目前见过最好的!!!所以即使付费,我也愿意!!!
我也看到,楼主一直有不断优化路由表,也看出楼主思路。减小国内不必要流量经过服务器,确保带宽有效利用,确保服务器压力最小。
1、确保墙外流量走楼主服务器。 2、确保国内流量走用户本地。
CNNIC 的国内路由表是 7900 多条,OCSERv 路由表限制在 64 条(?),因此根本无法实现精准分割。所以,需要我们用户共同来爱护,维护。毕竟现在出国的路不多了。
我有一个想法,并且付诸实施,效果还不错。在我们家里的网络,再加一层路由,并且先于楼主的路由表,由客户端路由表实现流量精准分割。国内的匹配国内路由表( 7900 ),走自己的出口。其它按默认路由,走楼主的出口(做 NAT ),效果不错。就是费点功夫。
优点如下:
1、可以自己指定 DNS。
2、可以极大减轻服务器流量及性能压力。
3、可以极大优化访问国内速度(走自己的线路)

最后,再次谢谢楼主。真诚感谢。 能把线路精雕细琢到如此程度,能够做到秒开 YOUTUBE,GOOGLE 的,真的很是佩服。
毕竟,不算上设备延迟,仅仅美国到中国光纤理论最短延迟,也在 130ms 多(目前来说无可避免,也无法优化),真的很佩服楼主。
再一次感谢。
@defunct9 对,支持。
二级路由处 2.其它走电信。利用脚本实现 dnspod 更新。 笔误 改为 默认路由走电信 。
潜水好久了,第一次在 V2EX 回答问题。 自己是虚拟化网络平台的忠实拥护者与实践者,因此,斗胆在 V2EX 冒个泡。
首先:
1.带宽合并的原理其实是负载均衡,一般在同一个运营商上面同一条物理线路上的多条逻辑线路有奇效(多拨),这个可以用 routeros 的 pcc 负载均衡实现,也可以用 linux 实现,一般电信可以拨 3 回。移动只能一回,联通不详。
2.不同运营商,做负载均衡实现宽带合并的效果实在不明显,这个涉及到一个很复杂不同运营商的返程路由问题。因此,基本不可行。那么,是不是两条线没用呢?很有用。不同运营商之间,网间访问延迟极大,最悲催的就是移动访问电信。两条线,我们做什么呢?用路由策略,让联通的目标地址走联通,让电信地址走电信。这里需要精确的全球路由表,有很多地方可以获取。当然数量也不少,所以,我们的虚拟路由器(主机)要强劲。这个,用原生 linux 可以实现。
3.关于硬件选择,建议用 Intel NUC + HUAWEI 5700 交换机基于 VLAN 拓展。网口可成倍提升。 后续极为灵活。
4.底层软件,用 ESXi 或者 Linux KVM 做虚拟化环境都很不错,具体看你熟悉什么。
5.关于区分日本,美国,联通,电信流量,我想常规的路由,真的很困难,高配虚拟 Mikrotik ROS 也许能够适应,但建议直接 Debian 来做,一来省资源,二来效率高。普通的路由根本无法承受上万条路由表。
具体路由策略如下: (用户端路由第一级路由)1,匹配国内路由表,走国内路由(7900 多条)。2.匹配日本路由表,走日本虚口。3,默认路由,走美国虚口。
第二级虚拟路由,接运营商线路(基于 Linux),实现国内相同运营商带宽合并,不同国内运营商分流,以及 NAT 转化思路和第一级一致。1.联通路由走联通口,2.其它走电信。利用脚本实现 dnspod 更新。
将一二级路由分开,主要为了缩小路由表。减少转发查询时间。
按照此法,路由表可以最小。因为 IPv4 地址已经分配完毕,可以认为在 CNNIC 上获取的路由表就是最终结果。因此,只要弄好,以后也不用动了。
我的方案是经过我近十年折腾,不断升级,演进的最终架构。在我家用的一直很好,我是移动,电信双线,电信多拨,外加 vpn 翻墙,自建服务器,dnspod 动态域名解析。建议楼主一步投资到位,省的今后升级扩展又采购机器,费钱,起不到效果。
建议直接全 linux,自己做,一来能提高,二来效果极好,节约资源。三来不涉及版权,四来和各种翻墙方式均能很好搭配。
1  2  3  4  5  6  7  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2789 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 37ms · UTC 13:01 · PVG 21:01 · LAX 05:01 · JFK 08:01
Developed with CodeLauncher
♥ Do have faith in what you're doing.