H3C S5120交换机置本地用户认证的SSH登录

1,给交换机配置IP,这里用DHCP Client自动获取。

1
2
3
int vlan1
ip add dhcp-alloc
quit

2,配置本地用户。

1
2
3
4
local-user mgr
password cipher 123456
service-type ssh
quit

3,配置vty接口。

1
2
3
4
user-interface vty 0 4
authentication-mode scheme
protocol inbound ssh
quit

4,配置super级别和密码。

1
super password level 3 cipher 123456

5,开启ssh服务。

1
ssh server enable

至此全部配置完成。

尝试登录和进入super3,console均有日志产生。
082220_0054_H3CS51201.png

Apache同时支持UTF-8和GBK

修改/etc/httpd/conf/httpd.conf中AddDefaultCharset UTF-8为AddDefaultCharset offAddDefaultCharset
这样,重启Apache后,Apache即会自动识别文件编码方式输出。
如果使用虚拟主机,也可以在该虚拟主机的配置文件段中增加下列语句,该操作属于可有可无的操作

1
AddDefaultCharset gb2312

如果/etc/php.ini里面设置了编码方式,则需修改/etc/php.ini中,将下面一行注释

1
default_charset = "iso-8859-1"

Apache配置status

查看配置文件,是否加载此项

1
LoadModule status_module modules/mod_status.so

如有,下一步,如无此项需重新编译Apache,注释的取消注释。

并在所有虚拟主机之后加入下列配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
ExtendedStatus On
<Location /server-status> 名称,此处即http://ip/server-status即可访问
SetHandler server-status
Order deny,allow
Deny from all
Allow from 172.16.1.1
</Location>
ExtendedStatus On
<Location /monitoring> #路径,如domain.com,此处地址为http://domain.com/monitoring
SetHandler server-status
Order Deny,Allow
Deny from all
Allow from 1.2.3.4 #允许访问的IP
</Location>

CentOS6上安装配置OpenLDAP

openldap安装配置

1,在服务器上安装openldap。

1
yum install openldap openldap-* -y

2,生成ldap密码,并记录。这里不知道用了什么算法,每次生成密码不同,都能用。

1
slappasswd -s 123456

080720_0652_CentOS6Ope1-1.png
3,复制配置文件并修改

1
2
cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

默认配置情况如下:
080720_0652_CentOS6Ope2-1.png
修改access to *与database bdb两项的dc为自己的域名。
取消rootpw的注释,并将第二步生成的密码复制进去。注意rootpw需顶格写,前面有空格会导致输入正确的密码也不能认证成功。
080720_0652_CentOS6Ope3-2.png
3,删除自带配置并重新生成。

1
2
rm -rf /etc/openldap/slapd.d/*
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/

4,检查新生成的文件是否与配置一致。
配置文件中是olcSuffix参数。

1
vim /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}bdb.ldif

080720_0652_CentOS6Ope4-2.png
5,修改文件权限。

1
2
chown -R ldap:ldap /var/lib/ldap/
chown -R ldap:ldap /etc/openldap/

6,测试。

1
slaptest -f /etc/openldap/slapd.conf

080720_0652_CentOS6Ope5-2.png
7,启动ldap服务。

1
/etc/init.d/slapd start

openldap数据导入

ldif文件好像是个数据文件,类似mysqldump出来的*.sql文件,里面是数据。下面的操作是创建数据文件,然后把数据文件里的内容导入到ldap中。
8,创建root.ldif文件,里面是根信息,内容如下:

1
2
3
4
5
dn: dc=a,dc=com
o: ldap
dc: a
objectclass: dcObject
objectclass: organization

9,导入根信息。

1
ldapadd -f root.ldif -x -D cn=Manager,dc=a,dc=com -W

080720_0652_CentOS6Ope6-2.png

安装配置ldap管理工具phpldapadmin

10,安装phpldapadmin

1
2
3
4
5
rpm -Uvh http://ftp.iij.ad.jp/pub/linux/fedora/epel/6/x86_64/epel-release-6-8.noarch.rpm
rpm -Uvh http://rpms.famillecollet.com/enterprise/remi-release-6.rpm
yum install --enablerepo=remi --enablerepo=remi-php56 php php-opcache php-devel php-mbstring php-mcrypt php-mysqlnd php-phpunit-PHPUnit php-pecl-xdebug php-pecl-xhprof php-ldap -y
yum install --enablerepo=remi --enablerepo=remi-php56 httpd php php-ldap php-gd php-mbstring php-pear php-bcmath php-xml -y
yum --enablerepo=epel -y install phpldapadmin

11,修改php-ldapadmin配置文件,允许指定网段访问。如不修改,访问时会有此提示:
080720_0652_CentOS6Ope7-2.png
配置文件 vim /etc/httpd/conf.d/phpldapadmin.conf
默认情况如下:
080720_0652_CentOS6Ope8-2.png
增加自己的IP段
080720_0652_CentOS6Ope9-2.png
12,修改phpldapadmin使用dc登录

1
vim /etc/phpldapadmin/config.php

将下面一行注释掉

1
//$servers->setValue('login','attr','uid');

添加下面一行

1
$servers->setValue('login','attr','dn');

重启httpd

1
service httpd restart

登陆后即可添加OU/用户组/用户等。

加入AD域后无法关机

该问题主要出现在2000/2003作为客户机加入域的情况,不过我这里的环境是2003作为域控,2008R2作为客户机。大体就是对关机这方面没有定义,根据最小权限原则,就没了这些权限。
域控上做下列操作

1
开始->管理工具->域安全策略->本地策略->用户权限分配->关闭系统

将domain users组加入
072020_1449_AD1.png
修改完毕后,域控要gpdate /force强制更新策略,客户机要注销重新登录后才会生效。

apache修改连接数

流量小,但用户的任务一直在跑,所以CPU消耗一直很高,内存消耗小,偶有卡顿的情况。

1
/etc/httpd/conf/httpd.conf

节点下,修改MaxClients 150为需要的值即可。其中两个都要改,分别是最大和最小。

1
2
3
4
5
6
7
8
<IfModule worker.c>
StartServers 2
MaxClients 150
MinSpareThreads 25
MaxSpareThreads 75
ThreadsPerChild 25
MaxRequestsPerChild 0
</IfModule>

Panabit流量控制-数据通道

利用数据通道控制流量是常用的控速手段之一,下面我们详细介绍Panabit数据通道的运用。

1,数据通道

首先建立一个数据通道
072020_1420_Panabit1.png
072020_1420_Panabit2.png
数据通道建立好以后,在编辑策略的动作时,就会多一个”通道一”的动作
072020_1420_Panabit3.png
在策略中运用通道
072020_1420_Panabit4.png
如图中的策略,我们可以把应用放到这个通道内,这些应用共用”通道一”的带宽。”视频”、”下载”、”网页”它们下行速度之和,最终不能超过”通道一”的大小。

2,优先级

相信很多朋友在这里有个疑问,”视频”、”下载”、”网页”都在这个通道,如果这些应用都有流量的时候,带宽怎么分配呢?答案就是:抢!
数据包流量超过通道大小,就会有数据包被丢弃。这个时候通道对待每个数据包都是公平的,超过的数据包会被随机丢弃。在实际应用中,P2P数据包数量远远大于单点传输的数据包数量,P2P流量通过通道的几率就会大于单点传输的流量,因此P2P抢占通道的能力远胜于单点传输的应用。
事实上我们并不希望P2P抢占全部的通道,于是Panabit设计了优先级,给通道内的数据包不同优先级,来决定数据包抢占通道带宽的能力,而不是以数量取胜。
072020_1420_Panabit5.png
在策略中,我们给了”视频”、”下载”、”网页”不同的优先级,来决定它们抢占通道带宽的能力。优先级可设置1-6,1的能力最强,2其次,依次减弱,6最弱。
设置了优先级后,抢占通道带宽的能力完全由优先级决定,”网页”这类的单点传输的应用都能完胜”迅雷”这类P2P的应用。

3,保证带宽

在人为干预各种应用抢占通道带宽的能力后,新的问题产生了。优先级高的总是能抢占到通道带宽,优先级低的总被丢弃。例如,我想从服务器上下载一个500K的小文件,此时”网页”和”视频”也有在使用这个通道,而且它们的流量还把通道带宽占完了,于是优先级最低的”下载”完全得不到带宽,连500K的小文件都下载不了。这似乎对”下载”不公平。
为了解决这类不公平的问题。Panabit又加入了”带宽保证”。
072020_1420_Panabit6.png
建立好数据通道后,通过”编辑”按钮,我们能进一步的完善通道的设置。在这里可以给1-6的优先级设置保证带宽。如图,即使是优先最低的”下载”在通道满时也至少能抢占1000K的带宽,这样就避免了优先级低完全抢不到通道带宽的尴尬。
这1000K并不是优先级3的”下载”独占,当”下载”没流量时,”网页”和”视频”还是能使用这1000K的。当”下载”需要使用通道的带宽时,首先会使用这1000k的保证带宽,超过的部分就得排队了。

4,优先级0

现在我们对数据通道的介绍做一个回顾。为了方便控制整体流量,Panabit设计了数据通道;为了人为控制应用抢占数据通道带宽的能力,Panabit给通道增加了优先级;为了体现公平性,Panabit给优先级加上了保证带宽。到这里似乎数据通道表现得非常强大了。但是有个不可忽略的问题,那就是性能!
优先级其实的通过数据包排队来实现的,CPU指挥数据通道内的数据包排队并把排好队的数据包调度出数据通道。但是CPU还有很多活要干,比如收发数据接口的包等等。如果进入通道的数据包太多,CPU其它事情还没处理完,就会来不及指挥和调度优先级的队伍,就会导致延迟甚至丢包。目前通道优先级性能在200M—1G之间。注意!这是数据通道优先级的性能,不要和数据通道的性能搞混了。当优先级是0时,数据包进入数据通道是不排队的。数据通道最大是支持3G吞吐。
最开始的时候,数据通道没优先级概念,因此只是单纯使用通道来做限制时,请使用优先级0,让CPU轻松一些。
当数据通道中既有优先级1-6也有0的时候会发生什么事情呢?
4.1,通道没满,大家各行其道,互不影响;
4.2,通道满,数据通道首先保证有优先级的数据包通过,优先级0的数据包首先被丢弃;
4.3,通道没满,但是性能跟不上时,优先级0的能自由通过数据通道,有优先级的数据包就可能被丢弃了;

5,总结

5.1,数据通道是用来限制带宽的,是整体的限制。
5.2,实现优先,首先得保证数据包能到达Panabit。如果数据包在到达Panabit之前就被丢弃掉了,再如何设置优先级都是没用的。所有首要条件就是控制带宽不满。比如20M的线路,那么就要控制实际使用的带宽小于20M。否则数据包可能就会被ISP的限速设备丢弃。
5.3,每个数据通道是独立的,不同通道内的优先级互不相干。因此,设置了优先级的数据包必须在同一个通道内才有效果。
5.4,优先级的性能根据CPU的性能和使用环境而定,数据包调度不及时,会造成延迟或丢包,即使通道没满。所以在大流量的环境下并不适用。优先级的性能在200M-1G。
5.5,每个优先级可以设置一个保证带宽,保证带宽之和不能大于通道值。每个优先级在抢占通道带宽时,首先会使用自己优先级的保证带宽。各个优先级的保证带宽没用完的部分不占用通道的带宽。
5.6,规则使用通道时,如果规则使用了”继续”,则流量有可能被匹配多次,同一流量有可能会多次占用通道。

%