-
BGP協議最佳路徑選擇算法揭秘
BGP協議是壹個路徑矢量路由協議,也就是說,它的工作就是在自主系統間交換路由信息,以便發現訪問互聯網某處數據的最有效路徑。每個BGP路由器通過鄰居聲名與周邊的壹個或多個路由器連接。壹旦建立了鄰居關系,這些BGP路由器之間就會相互交換路由信息。據我最近壹次統計,整個互聯網上有大約12.5萬個路由信息,因此要配備壹個強大的路由器才能將所有BGP路由信息接收下來。 什麽是 BGP 最佳路徑選擇算法? 由於整個互聯網的BGP路由表有超過20萬個路由,同時壹個BGP路由器可能從多個來源收到多份的路由表,因此肯定會有壹種方法可以比較不同的BGP路由表,並從中選擇最佳的路由方案。這種方法就是BGP最佳路徑選擇算法。可能妳會註意到,CiscoBGP路由器會將應用權重(weight)作為路由表的第壹標準,而其它品牌的路由器則不是這樣。Cisco的官方BGP最佳路徑選擇算法文檔中詳細列明了所參考的各項標準。接下來我會列出每種標準並給出解釋和範例。默認情況下,BGP最佳路徑都是基於最短自治系統(AS)的原理得出的。不過很多時候,諸如weight,localpreference以及MED這樣的標準都是網絡管理員自行設定的。 接下來我們就按照BGP選擇最佳路徑的參考順序將這幾項標準介紹壹下: #1 Weight —權重是Cisco為本地路由器設定的自定義參數,並不隨路由器更新而變化。如果指向某壹IP地址的路徑有多條(這很常見),那麽BGP會尋找權重最高的路徑。設定權重的參考因素很多,包括鄰居命令,as-path訪問列表,或者路由鏡像等。 #2 Local Preference — 本地出口優先級參數會告知AS哪條路徑具有本地優先,數值越高優先級越高。默認為100。比如: bgp default local-preference 150 #3 Network or Aggregate—這個參數會選擇本地發起的網絡或聚合作為路徑。將特定的路徑加入路由中,會讓路由更有效率,同時也節省了網絡空間。更多有關聚合的信息,可以參考Cisco的文章“UnderstandingRouteAggregation in BGP.” #4 Shortest AS_PATH — BGP 只有在weight, localpreference和locallyoriginated相當接近的時候才使用這個參數。 #5 Lowest origin type — 這個參數處理Interior Gateway Protocol(IGP)協議的優先級低於 Exterior Gateway Protocol (EGP)協議。 #6 Lowest multi-exit discriminator (MED) — 較低的MED值要優於較高的MED值。 #7 eBGP over iBGP —…
-
PHP 200-500介紹
php 200-500 perl python三個基本是壹路的,都是解釋型腳本語言,他們都是在運行時報錯. 工欲善其事必先利其器,先搭建個環境吧. 參看: http://www.phpchina.com/html/81/n-13681.html 有興趣的可以按照之上的教程壹步壹步搭建壹個wen服務器,壹般小的網站都是這個模式. 但是學習php卻不壹定要這麽復雜的工藝,妳完全可以按如下方法進行 官網下載壹個win下的二進制包,下載地址:http://cn2.php.net/get/php-5.2.9-2-Win32.zip/from/a/mirror 然後接下,例如解壓到 D:\php-5.2.9-2-Win32 設置妳的環境變量path使之包含以上的解壓路徑,使得系統知道妳有php.exe這麽個程序. 在開始->運行 對話框中輸入cmd打開windows的命令行終端 輸入 php -v 看看妳的設置是否正確 C:\Documents and Settings\root>php -v PHP 5.2.9-2 (cli) (built: Apr 9 2009 08:23:19) Copyright (c) 1997-2009 The PHP Group Zend Engine v2.2.0, Copyright (c) 1998-2009 Zend Technologies 如果出現以上信息,那麽恭喜妳,妳已經可以開始php編程之旅了! 那麽如何開始呢? 研讀php_manual_zh.chm是有必要的,官網有下載! 妳設置了以上的步驟之後,可以直接從<<語言參考>>部分開始讀, 基本語法,類型,變量,表達式,控制語句等,這個壹節是必須熟悉的!!! 相信我沒錯的!萬裏長城從壹磚壹瓦開始! 打開記事本,或者任何壹個其他的編輯器 vim,notpad++,ue,等都可以甚至vc都是可以用來編寫的. 輸入如下代碼! <php…
-
內部網絡十大解析詳解
幾乎所有企業對於網絡安全的重視程度壹下子提高了,紛紛采購防火墻等設備希望堵住來自Internet的不安全因素。然而,Intranet內部的攻擊和入侵卻依然猖狂。事實證明,公司內部的不安全因素遠比外部的危害更恐怖。 大多企業重視提高企業網的邊界安全,暫且不提它們在這方面的投資多少,但是大多數企業網絡的核心內網還是非常脆弱的。企業也對內部網絡實施了相應保護措施,如:安裝動輒數萬甚至數十萬的網絡防火墻、入侵檢測軟件等,並希望以此實現內網與Internet的安全隔離。 然而,情況並非如此!企業中經常會有人私自以Modem撥號方式、**或無線網卡等方式上網,而這些機器通常又置於企業內網中,這種情況的存在給企業網絡帶來了巨大的潛在威脅,從某種意義來講,企業耗費巨資配備的防火墻已失去意義。 這種接入方式的存在,極有可能使得黑客繞過防火墻而在企業毫不知情的情況下侵入內部網絡,從而造成敏感數據泄密、傳播病毒等嚴重後果。實踐證明,很多成功防範企業網邊界安全的技術對保護企業內網卻沒有效用。於是網絡維護者開始大規模致力於增強內網的防衛能力。 下面給出了應對企業內網安全挑戰的10種策略。這10種策略即是內網的防禦策略,同時也是壹個提高大型企業網絡安全的策略。 1、註意內網安全與網絡邊界安全的不同 內網安全的威脅不同於網絡邊界的威脅。網絡邊界安全技術防範來自Internet上的攻擊,主要是防範來自公共的網絡服務器如HTTP或SMTP的攻擊。網絡邊界防範(如邊界防火墻系統等)減小了資深黑客僅僅只需接入互聯網、寫程序就可訪問企業網的幾率。 內網安全威脅主要源於企業內部。惡性的黑客攻擊事件壹般都會先控制局域網絡內部的壹臺Server,然後以此為基地,對Internet上其他主機發起惡性攻擊。因此,應在邊界展開黑客防護措施,同時建立並加強內網防範策略。 2、限制VPN的訪問 虛擬專用網(VPN)用戶的訪問對內網的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統置於企業防火墻的防護之外。很明顯VPN用戶是可以訪問企業內網的。 因此要避免給每壹位VPN用戶訪問內網的全部權限。這樣可以利用登錄控制權限列表來限制VPN用戶的登錄權限的級別,即只需賦予他們所需要的訪問權限級別即可,如訪問郵件服務器或其他可選擇的網絡資源的權限。 3、為合作企業網建立內網型的邊界防護 合作企業網也是造成內網安全問題的壹大原因。例如安全管理員雖然知道怎樣利用實際技術來完固防火墻,保護MS-SQL,但是Slammer蠕蟲仍能侵入內網,這就是因為企業給了他們的合作夥伴進入內部資源的訪問權限。由此,既然不能控制合作者的網絡安全策略和活動,那麽就應該為每壹個合作企業創建壹個DMZ,並將他們所需要訪問的資源放置在相應的DMZ中,不允許他們對內網其他資源的訪問。 4、自動跟蹤的安全策略 智能的自動執行實時跟蹤的安全策略是有效地實現網絡安全實踐的關鍵。它帶來了商業活動中壹大改革,極大的超過了手動安全策略的功效。商業活動的現狀需要企業利用壹種自動檢測方法來探測商業活動中的各種變更,因此,安全策略也必須與相適應。例如實時跟蹤企業員工的雇傭和解雇、實時跟蹤網絡利用情況並記錄與該計算機對話的文件服務器。總之,要做到確保每天的所有的活動都遵循安全策略。 5、關掉無用的網絡服務器 大型企業網可能同時支持四到五個服務器傳送e-mail,有的企業網還會出現幾十個其他服務器監視SMTP端口的情況。這些主機中很可能有潛在的郵件服務器的攻擊點。因此要逐個中斷網絡服務器來進行審查。若壹個程序(或程序中的邏輯單元)作為壹個window文件服務器在運行但是又不具有文件服務器作用的,關掉該文件的共享協議。 6、首先保護重要資源 若壹個內網上連了千萬臺(例如30000臺)機子,那麽要期望保持每壹臺主機都處於鎖定狀態和補丁狀態是非常不現實的。大型企業網的安全考慮壹般都有擇優問題。這樣,首先要對服務器做效益分析評估,然後對內網的每壹臺網絡服務器進行檢查、分類、修補和強化工作。必定找出重要的網絡服務器(例如實時跟蹤客戶的服務器)並對他們進行限制管理。這樣就能迅速準確地確定企業最重要的資產,並做好在內網的定位和權限限制工作。 7、建立可靠的無線訪問 審查網絡,為實現無線訪問建立基礎。排除無意義的無線訪問點,確保無線網絡訪問的強制性和可利用性,並提供安全的無線訪問接口。將訪問點置於邊界防火墻之外,並允許用戶通過VPN技術進行訪問。 8、建立安全過客訪問 對於過客不必給予其公開訪問內網的權限。許多安全技術人員執行的“內部無Internet訪問”的策略,使得員工給客戶壹些非法的訪問權限,導致了內網實時跟蹤的困難。因此,須在邊界防火墻之外建立過客訪問網絡塊。 9、創建虛擬邊界防護 主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊(這是不可能的),還不如在如何使攻擊者無法通過受攻擊的主機來攻擊內網方面努力。於是必須解決企業網絡的使用和在企業經營範圍建立虛擬邊界防護這個問題。這樣,如果壹個市場用戶的客戶機被侵入了,攻擊者也不會由此而進入到公司的R&D。因此要實現公司R&D與市場之間的訪問權限控制。大家都知道怎樣建立互聯網與內網之間的邊界防火墻防護,現在也應該意識到建立網上不同商業用戶群之間的邊界防護。 10、可靠的安全決策 網絡用戶也存在著安全隱患。有的用戶或許對網絡安全知識非常欠缺,例如不知道RADIUS和TACACS之間的不同,或不知道代理網關和分組過濾防火墻之間的不同等等,但是他們作為公司的合作者,也是網絡的使用者。因此企業網就要讓這些用戶也容易使用,這樣才能引導他們自動的響應網絡安全策略。 另外,在技術上,采用安全交換機、重要數據的備份、使用代理網關、確保操作系統的安全、使用主機防護系統和入侵檢測系統等等措施也不可缺。