T1、T2、T3、T4机房等级标准说明

IDC机房等级划分

IDC机房的等级划分是根据《数据中心电信基础设施标准》而定的,它是美国国家标准学会(ANSI)颁布的,它将IDC数据中心(大型的设备和管理都比较完善的机房可以称为数据中心)基础设施的可用性定义了四种不同等级,即Tier 1、Tier 2、Tier 3和Tier 4四个等级。

四个等级分别对应数据中心的可用性指标及年平均故障时间:

  • T1机房(通过基本认证):可用性99.671%、年平均故障时间28.8小时;
  • T2机房(通过银级认证):可用性 99.741%、年平均故障时间22小时;
  • T3机房(通过金级认证):可用性 99.982%、年平均故障时间1.6小时;
  • T4[……]

    阅读全文

HP DL160 G9无法开机的处理办法

现有一台HP DL160 G9服务器,突然远程登录不上,到设备现场发现,前面板的四个指示灯同时闪烁,四个指示灯分别是系统电源LED指示灯、运行状态LED指示灯、网卡LED指示灯、UID LED指示灯,如下图:

翻阅了一下HP官方的故障排除指南,有以下内容:

故障排除指南也明确写了4个LED指示灯同时闪烁时,说明发生了电源故障。然后更换电源,问题依旧,更换电源背板,还是无法开机,后来定位是主板及PCI-E扩展卡的问题,更换主板及PCI-E扩展卡后可正常开机。

[……]

阅读全文

深信服防火墙AF上arp表数量限制导致网络问题的处理说明

现有一台深信服防火墙AF,内网口上启用多个vlan接口,每个vlan接口为该各自网段的网关,测试时总用户数大概在2000左右,正式上线后总用户数在7000左右。

测试时,使用一切正常,CPU利用率低于10%,内存利用率低于30%,网络也都正常。

但是用户陆续开机上线后,发现部分用户网络不通,到网关(防火墙上vlan接口)都不通。

在深信服AF上查看arp,发现总数是4095,与研发确认,发现深信服AF上arp表总数就是4096个,也就是在这种场景下,总用户也只能达到4000多点。

与研发商量后,预计要做定制包实现,但是用户强烈要求当天解决,后来多名研发确认只需要修改AF[……]

阅读全文

深信服设备限制导致tracert不显示设备地址的说明

现有一网络,拓扑为出口深信服上网行为管理AC,下接深信服防火墙AF,AC的WAN口接公网,AC的LAN口接AF的WAN口,AF的LAN口为内网PC的网关。AC上做NAT代理上网,AF上不启用NAT。现在内网PC上网正常,ping百度也正常,但是tracert百度的时候,第一跳是AF的内网,第二跳第三跳都是星号*,第四跳就是AC的WAN口的网关,就是运营商的地址了。

在防火墙上去traceroute百度,前两跳仍然不显示。继续排查,发现是深信服AC的机制。

关于深信服AC跟踪路由不显示的说明如下:

1、AC设备主要用于上网管理和审计,为了避免被内网终端窥探,及出于网络安全考虑,[……]

阅读全文

深信服防火墙AF做双机时虚拟MAC问题的处理办法

现有四台深信服防火墙AF,名称分别为A、B、C、D,A和B做成HA,C和D做成HA,都是路由模式,网口1都是带外管理口,并且都加入到了监视网口,双机热备配置的虚拟ID组都是默认的100,A、B两台带外管理口地址是192.168.1.1/24,C、D两台带外管理口地址是192.168.1.2/24。

做好配置后,发现192.168.1.1/24和192.168.1.2/24无法同时管理,当可以打开192.168.1.1控制台时,192.168.1.2则打不开,并且两个IP也无法同时ping通,当192.168.1.1可以ping通时,192.168.1.2则ping不通,当192.168.[……]

阅读全文

H3C交换机配置SSH源地址登录限制和SNMP源地址限制的方法

需求1:对SSH远程管理进行限源,仅允许10.0.1.0/24,210.1.0.0/24段ip进行登录;
需求2:对SNMP管理进行限源,仅允许210.1.0.200-210.1.0.202这3个ip进行访问。

配置方法:
ssh登录后,输入:
sys
acl number 2000 match-order config
rule 1 permit source 10.0.1.0 0.0.0.255
rule 2 permit source 210.1.0.0 0.0.0.255
rule 3 deny source any
quit
acl number 2001 match-order config
r[……]

阅读全文

深信服防火墙AF管理员登录地址限制以及SNMP源地址限制的方法

深信服防火墙AF管理员登录地址限制的配置方法是在控制台页面,网络——接口/区域,区域,在WEBUI下勾选允许管理此设备的IP选择指定的IP即可。如图:

对SNMP源地址限制,其实在配置SNMPd的时候就要配置主机或者网段,只需要在这里配置即可。如图:

[……]

阅读全文

深信服上网行为管理AC的OID表

zabbix监控深信服上网行为管理AC时,会需要用到上网行为管理的OID,以下就是截止2020年9月,最新的OID表格:

CPU占用率,以百分比为单位1.3.6.1.4.1.33333.1.1.1.0设备类型(如M5000)1.3.6.1.4.1.33333.1.1.2.0剩余内存,free+buffers,以KB为单位1.3.6.1.4.1.33333.1.1.3.0 设备运行时间(UPTIME),以1/100秒为单位。1.3.6.1.2.1.1.3.0系统描述1.3.6.1.2.1.1.1.0设备型号1.3.6.1.2.1.1.5.0 接口数量1.3.6.1.2.[……]

阅读全文

深信服防火墙AF的OID表

zabbix监控深信服防火墙AF时,会需要用到防火墙的OID,以下就是截止2020年9月,最新的OID表格:

NameDescriptionOIDsysDescr系统描述.1.3.6.1.2.1.1.1sysContact联系.1.3.6.1.2.1.1.4sysName系统名.1.3.6.1.2.1.1.5sysLocation位置.1.3.6.1.2.1.1.6sysServices系统服务.1.3.6.1.2.1.1.7sysConnNum连接数.1.3.6.1.2.1.1.10sysCpuUsagcpu占用率.1.3.6.1.2.1.1.11sysMemUsage内存占用率.1.[……]

阅读全文

HW总结报告模板之一

今天终于结束了为期XX天的HW行动,中间的心酸曲折与案例回顾本来想写点,但总结回顾相关文章挺多了,不喜欢重复。从前天开始就有小伙伴已经开始接总结报告了,向我寻求一份模板,毕竟有保密协议,脱敏的道路还是有些累的,所以此文章主要是模板,内容未必真实,帮大家解决最后一公里路程,希望有点帮助——从HW的痛苦中结束,投入到70周年重保的痛苦中去~~~

由于每家企业防护手段不一、组织架构不一,并且以下案例未必真实,所以完全照抄的可能性不大,所以仅供参考~~~:

 201X年X月X日-201X年X月X日,XX发起了针对关键信息基础设施进行攻防演练的HW工作。XXXX平台作为防守方,成功防御了XX[……]

阅读全文