1，给交换机配置IP，这里用DHCP Client自动获取。

1
2
3

int vlan1
ip add dhcp-alloc
quit

2，配置本地用户。

1
2
3
4

local-user mgr
password cipher 123456
service-type ssh
quit

3，配置vty接口。

1
2
3
4

user-interface vty 0 4
authentication-mode scheme
protocol inbound ssh
quit

4，配置super级别和密码。

1

super password level 3 cipher 123456

5，开启ssh服务。

1

ssh server enable

至此全部配置完成。

尝试登录和进入super3，console均有日志产生。

修改/etc/httpd/conf/httpd.conf
ServerSignature On改为ServerSignature Off

修改/etc/httpd/conf/httpd.conf中AddDefaultCharset UTF-8为AddDefaultCharset off或AddDefaultCharset
这样，重启Apache后，Apache即会自动识别文件编码方式输出。
如果使用虚拟主机，也可以在该虚拟主机的配置文件段中增加下列语句，该操作属于可有可无的操作

1

AddDefaultCharset gb2312

如果/etc/php.ini里面设置了编码方式，则需修改/etc/php.ini中，将下面一行注释

1

default_charset = "iso-8859-1"

查看配置文件，是否加载此项

1

LoadModule status_module modules/mod_status.so

如有，下一步，如无此项需重新编译Apache，注释的取消注释。

并在所有虚拟主机之后加入下列配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14

ExtendedStatus On
<Location /server-status>    名称，此处即http://ip/server-status即可访问
  SetHandler server-status
  Order deny,allow
  Deny from all
  Allow from 172.16.1.1
</Location>
ExtendedStatus On
<Location /monitoring> #路径，如domain.com，此处地址为http://domain.com/monitoring
SetHandler server-status
Order Deny,Allow
Deny from all
Allow from 1.2.3.4 #允许访问的IP
</Location>

openldap安装配置

1，在服务器上安装openldap。

1

yum install openldap openldap-* -y

2，生成ldap密码，并记录。这里不知道用了什么算法，每次生成密码不同，都能用。

1

slappasswd -s 123456

3，复制配置文件并修改

1
2

cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

默认配置情况如下：

修改access to *与database bdb两项的dc为自己的域名。
取消rootpw的注释，并将第二步生成的密码复制进去。注意rootpw需顶格写，前面有空格会导致输入正确的密码也不能认证成功。

3，删除自带配置并重新生成。

1
2

rm -rf /etc/openldap/slapd.d/*
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/

4，检查新生成的文件是否与配置一致。
配置文件中是olcSuffix参数。

1

vim /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}bdb.ldif

5，修改文件权限。

1
2

chown -R ldap:ldap /var/lib/ldap/
chown -R ldap:ldap /etc/openldap/

6，测试。

1

slaptest -f /etc/openldap/slapd.conf

7，启动ldap服务。

1

/etc/init.d/slapd start

openldap数据导入

ldif文件好像是个数据文件，类似mysqldump出来的*.sql文件，里面是数据。下面的操作是创建数据文件，然后把数据文件里的内容导入到ldap中。
8，创建root.ldif文件，里面是根信息，内容如下：

1
2
3
4
5

dn: dc=a,dc=com
o: ldap
dc: a
objectclass: dcObject
objectclass: organization

9，导入根信息。

1

ldapadd -f root.ldif -x -D cn=Manager,dc=a,dc=com -W

安装配置ldap管理工具phpldapadmin

10，安装phpldapadmin

1
2
3
4
5

rpm -Uvh http://ftp.iij.ad.jp/pub/linux/fedora/epel/6/x86_64/epel-release-6-8.noarch.rpm
rpm -Uvh http://rpms.famillecollet.com/enterprise/remi-release-6.rpm
yum install --enablerepo=remi --enablerepo=remi-php56 php php-opcache php-devel php-mbstring php-mcrypt php-mysqlnd php-phpunit-PHPUnit php-pecl-xdebug php-pecl-xhprof php-ldap -y
yum install --enablerepo=remi --enablerepo=remi-php56 httpd php php-ldap php-gd php-mbstring php-pear php-bcmath php-xml -y
yum --enablerepo=epel -y install phpldapadmin

11，修改php-ldapadmin配置文件，允许指定网段访问。如不修改，访问时会有此提示：

配置文件 vim /etc/httpd/conf.d/phpldapadmin.conf
默认情况如下：

增加自己的IP段

12，修改phpldapadmin使用dc登录

1

vim /etc/phpldapadmin/config.php

将下面一行注释掉

1

//$servers->setValue('login','attr','uid');

添加下面一行

1

$servers->setValue('login','attr','dn');

重启httpd

1

service httpd restart

登陆后即可添加OU/用户组/用户等。

这个问题有点类似于AD域远程登录，要在登录到的机器上用administrator来将域用户加入administrators组，才可安装软件。
不过加入之后反而起不到域的组策略控制的功能。

该问题主要出现在2000/2003作为客户机加入域的情况，不过我这里的环境是2003作为域控，2008R2作为客户机。大体就是对关机这方面没有定义，根据最小权限原则，就没了这些权限。
域控上做下列操作

1

开始->管理工具->域安全策略->本地策略->用户权限分配->关闭系统

将domain users组加入

修改完毕后，域控要gpdate /force强制更新策略，客户机要注销重新登录后才会生效。

在域控制器上使用组策略管理器为用户的上级OU设置策略：

1

计算机配置-> 管理模板->系统->显示关闭事件跟踪程序

设置为禁用

流量小，但用户的任务一直在跑，所以CPU消耗一直很高，内存消耗小，偶有卡顿的情况。

1

/etc/httpd/conf/httpd.conf

节点下，修改MaxClients 150为需要的值即可。其中两个都要改，分别是最大和最小。

1
2
3
4
5
6
7
8

<IfModule worker.c>
StartServers 2
MaxClients 150
MinSpareThreads 25
MaxSpareThreads 75
ThreadsPerChild 25
MaxRequestsPerChild 0
</IfModule>

利用数据通道控制流量是常用的控速手段之一，下面我们详细介绍Panabit数据通道的运用。

1，数据通道

首先建立一个数据通道


数据通道建立好以后，在编辑策略的动作时，就会多一个”通道一”的动作

在策略中运用通道

如图中的策略，我们可以把应用放到这个通道内，这些应用共用”通道一”的带宽。”视频”、”下载”、”网页”它们下行速度之和，最终不能超过”通道一”的大小。

2，优先级

相信很多朋友在这里有个疑问，”视频”、”下载”、”网页”都在这个通道，如果这些应用都有流量的时候，带宽怎么分配呢？答案就是：抢！
数据包流量超过通道大小，就会有数据包被丢弃。这个时候通道对待每个数据包都是公平的，超过的数据包会被随机丢弃。在实际应用中，P2P数据包数量远远大于单点传输的数据包数量，P2P流量通过通道的几率就会大于单点传输的流量，因此P2P抢占通道的能力远胜于单点传输的应用。
事实上我们并不希望P2P抢占全部的通道，于是Panabit设计了优先级，给通道内的数据包不同优先级，来决定数据包抢占通道带宽的能力，而不是以数量取胜。

在策略中，我们给了”视频”、”下载”、”网页”不同的优先级，来决定它们抢占通道带宽的能力。优先级可设置1-6，1的能力最强，2其次，依次减弱，6最弱。
设置了优先级后，抢占通道带宽的能力完全由优先级决定，”网页”这类的单点传输的应用都能完胜”迅雷”这类P2P的应用。

3，保证带宽

在人为干预各种应用抢占通道带宽的能力后，新的问题产生了。优先级高的总是能抢占到通道带宽，优先级低的总被丢弃。例如，我想从服务器上下载一个500K的小文件，此时”网页”和”视频”也有在使用这个通道，而且它们的流量还把通道带宽占完了，于是优先级最低的”下载”完全得不到带宽，连500K的小文件都下载不了。这似乎对”下载”不公平。
为了解决这类不公平的问题。Panabit又加入了”带宽保证”。

建立好数据通道后，通过”编辑”按钮，我们能进一步的完善通道的设置。在这里可以给1-6的优先级设置保证带宽。如图，即使是优先最低的”下载”在通道满时也至少能抢占1000K的带宽，这样就避免了优先级低完全抢不到通道带宽的尴尬。
这1000K并不是优先级3的”下载”独占，当”下载”没流量时，”网页”和”视频”还是能使用这1000K的。当”下载”需要使用通道的带宽时，首先会使用这1000k的保证带宽，超过的部分就得排队了。

4，优先级0

现在我们对数据通道的介绍做一个回顾。为了方便控制整体流量，Panabit设计了数据通道；为了人为控制应用抢占数据通道带宽的能力，Panabit给通道增加了优先级；为了体现公平性，Panabit给优先级加上了保证带宽。到这里似乎数据通道表现得非常强大了。但是有个不可忽略的问题，那就是性能！
优先级其实的通过数据包排队来实现的，CPU指挥数据通道内的数据包排队并把排好队的数据包调度出数据通道。但是CPU还有很多活要干，比如收发数据接口的包等等。如果进入通道的数据包太多，CPU其它事情还没处理完，就会来不及指挥和调度优先级的队伍，就会导致延迟甚至丢包。目前通道优先级性能在200M—1G之间。注意！这是数据通道优先级的性能，不要和数据通道的性能搞混了。当优先级是0时，数据包进入数据通道是不排队的。数据通道最大是支持3G吞吐。
最开始的时候，数据通道没优先级概念，因此只是单纯使用通道来做限制时，请使用优先级0，让CPU轻松一些。
当数据通道中既有优先级1-6也有0的时候会发生什么事情呢？
4.1，通道没满，大家各行其道，互不影响；
4.2，通道满，数据通道首先保证有优先级的数据包通过，优先级0的数据包首先被丢弃；
4.3，通道没满，但是性能跟不上时，优先级0的能自由通过数据通道，有优先级的数据包就可能被丢弃了；

5，总结

5.1，数据通道是用来限制带宽的，是整体的限制。
5.2，实现优先，首先得保证数据包能到达Panabit。如果数据包在到达Panabit之前就被丢弃掉了，再如何设置优先级都是没用的。所有首要条件就是控制带宽不满。比如20M的线路，那么就要控制实际使用的带宽小于20M。否则数据包可能就会被ISP的限速设备丢弃。
5.3，每个数据通道是独立的，不同通道内的优先级互不相干。因此，设置了优先级的数据包必须在同一个通道内才有效果。
5.4，优先级的性能根据CPU的性能和使用环境而定，数据包调度不及时，会造成延迟或丢包，即使通道没满。所以在大流量的环境下并不适用。优先级的性能在200M-1G。
5.5，每个优先级可以设置一个保证带宽，保证带宽之和不能大于通道值。每个优先级在抢占通道带宽时，首先会使用自己优先级的保证带宽。各个优先级的保证带宽没用完的部分不占用通道的带宽。
5.6，规则使用通道时，如果规则使用了”继续”，则流量有可能被匹配多次，同一流量有可能会多次占用通道。