juniper ScreenOS 5.4.0 昨天又出了个新版本, Release Notes ScreenOS 5.4.0r18 Rev 01
有兴趣的看release,http://www.juniper.net/techpubs/software/screenos/screenos5.4.0/rn-540-r18.pdf
按照这个版本来看 我的netscreen 204用不上 screen 6.0版本了 6.3更没戏了。
2010年08月31日
ScreenOS 5.4.0r18
2010年08月6日
防火墙的TCP新建会话速率和TCP新建/拆除速率有什么区别?
没有区别,
TCP会话率(SPS):按照RFC3511定义,会话率包括了TCP的建链和拆链,即SYN,SYN ACK,ACK,FIN,FIN ACK,ACK。但没有数据传输;
而TCP新建连接率(CPS)则只有建无拆,SYN,SYN ACK,ACK
还有一个用于衡量防火墙的新建的性能指标是HTTP的会话率:(TPS)
采用Http1.0协议,需要建和拆链,还要在会话中传输1K的数据。
TCP会话率(SPS):按照RFC3511定义,会话率包括了TCP的建链和拆链,即SYN,SYN ACK,ACK,FIN,FIN ACK,ACK。但没有数据传输;
而TCP新建连接率(CPS)则只有建无拆,SYN,SYN ACK,ACK
还有一个用于衡量防火墙的新建的性能指标是HTTP的会话率:(TPS)
采用Http1.0协议,需要建和拆链,还要在会话中传输1K的数据。
2010年07月23日
How to interpret output of “get led” on ISG platforms
Summary:
How to determine LED name from “get led”
Problem or Goal:
“get led” lists ID numbers. This KB will cross reference the ID number with the LED name.
For example, here is a sample output:
nsisg2000-> get led Application function installed (37c8b4) flash_delay = 100 ms id 0: color 0, to flash 0, state 0, flash color 0, new 0, toggle color 0 id 1: color 3, to flash 0, state 0, flash color 0, new 3, toggle color 0 id 2: color 1, to flash 0, state 0, flash color 0, new 1, toggle color 0 id 3: color 0, to flash 0, state 0, flash color 0, new 0, toggle color 0 id 4: color 1, to flash 0, state 0, flash color 0, new 1, toggle color 0 id 5: color 0, to flash 0, state 0, flash color 0, new 0, toggle color 0 id 6: color 0, to flash 0, state 0, flash color 0, new 0, toggle color 0 id 7: color 0, to flash 0, state 0, flash color 0, new 0, toggle color 0 id 8: color 0, to flash 0, state 0, flash color 0, new 0, toggle color 0 id 9: color 1, to flash 0, state 0, flash color 0, new 1, toggle color 0 vpn = TRUE mgmt = FALSE (648259388-0) nsisg2000->
Solution:
The ID numbers correlate to the following LED names:
id 0 – Power
id 1 – Alarm
id 2 – Temperature
id 3 – Status
id 4 – FAN
id 5 – Flash
id 6 – HA
id 7 – Security module 1
id 8 – Security module 2
id 9 – Security module 3
The LED color codes are as follows:
color 0 – no color
color 1 – green
color 2 – amber/yellow
color 3 – red
Purpose:
Troubleshooting
2010年04月22日
开启junier(netscreen)防火墙的rollback
ns5gt-> exec config rollback enable
LKG config file does not exist or is being opened by other users, you cannot enable rollback.
Failed command – exec config rollback enable
需要
ns5gt-> save config to last-known-good
Save System Configuration to Last-Known-Good …
Done
ns5gt-> exec config rollback enable
ns5gt(rollback enabled)->
ns5gt(rollback enabled)-> get envar
port_mode=dual-untrust
default_image=screenos_image
last_reset=2010-04-22 09:25:55 by netscreen
“$cfg rollback$”=yes
2010年04月2日
2010年04月1日
LVS的hash size(zz)
LVS(Director)的连接跟踪表(也称Hash表),保存了来自客户端的每个新建连接。这么做的主要目的是为了保存足够的信息,使得来自同一个客户端的后续的数据报能通过同一个网络连接发送到相同的真实服务器上(RealServer).每个连接的信息包括CIP,VIP,目标IP,cport(clientPort),dport,协议类型等,还包括lvs的一些其他信息,比如定时器、连接状态标记、锁等等。这些都在include/net/ip_vs.h的struct ip_vs_conn里面定义.
这个结构的大小是128+8=136字节。每条记录用一个ip_vs_conn结构表示,这个结构使用了Linux里面的典型数据结构struct list_head构造双向链表,使得所有的记录以链表形式链接起来。
* struct list_head 的大小为8个字节(两个int *:*pre,*next);
* struct ip_vs_conn里面的其他元素就是每个连接的具体信息,一共128字节。
所以,hash表里面的每条记录(每个连接),占据136字节内存。
hash table里面表长的仅仅是每个链的头指针(list_head):
hash size 设置为10BITS的话,buckets = 1<<10 = 1024,消耗的内存
1024 * 8 / 1024 = 8KB
ipvsadm的启动信息里面显示的信息:
IPVS: Connection hash table configured (size=1024, memory=8Kbytes)
连接跟踪表里面的每行称为hash bucket(hash桶),每列称为一个连接跟踪记录。每行(bucket)可以有N列(也就是N条连接记录),这个N是无限的,取决于内存大小。
LD(Director)在每接到一个包后都会在hash表里面进行查找匹配,这个查找要求非常快速。LVS使用hash技术来决定先查找哪个bucket。每行(bucket或者row)的记录数(column)越少,查询速度就越快。LVS程序员建议每行16-20条记录。
2.6内核可以在编译的时候配置IP_VS_TAB_BITS累设置hash桶的大小(buckets).默认是12,也就是有2^12 = 4096个bucket。这个是LD用来加速链接记录查询的hash 桶(buckets)的大小,而不是LD支持的最大并发连接数的大小。(最大连接数仅仅受限于LD的内存)
显示连接跟踪表信息:
#ipvsadm
2010年03月16日
各Windows版本IE发布时间
各Windows版本IE发布时间
* 主版本 次版本 发布日期 重要改进/事件 一同发布的产品
* 1版 1.0 1995年8月(无适用版本)
* 1.5版 1996年1月 没有资料
* 2版 2.0 Beta1995年11月(适用于MicrosoftMS-DOS最终版)
* 2.0版 1995年11月 新增SSL、Cookies、VRML及因特网新闻组 Windows NT 4.0
* 2.01版 没有资料 错误修正发行版
* 3版 3.0 Alpha1 1996年8月(适用于Windows95)
* 3.0 Alpha 2 1996年5月 支持VBScript和JScript
* 3.0 Beta 2 1996年7月 支持CSS和Java
* 3.0 1996年8月 正式发布 Windows 95 OSR2
* 3.01 1996年10月 错误修正发行版
* 3.02 1997年3月 错误修正发行版
* 3.03 没有资料 错误修正发行版
* 4版 4.0 Beta 1 1997年4月 改进对CSS和Microsoft DOM的支持(适用于WindowsNT、Windows98)
* 4.0 Beta 2 1997年7月 改进对HTML和CSS的支持
* 4.0 1997年9月 改进对HTML和CSS的支持 Windows 95 OSR 2.5
* 4.01 1997年11月 错误修正发行版 Windows 98* 5.0版-1999年3月(适用于Windows98)
* 5版 5.0 Beta 1 1998年6月 支持更多CSS2的功能
* 5.0 Beta 2 1998年11月 支持双向文字、旁注标记、XML/XSL及更多CSS的属性
* 5.0 1999年3月 正式发布 Windows 98 SE
* 5.01 1999年11月 错误修正发行版 Windows 2000
* 5.5 Beta 1 1999年12月 支持更多CSS的属性、框架支持的小改进
* 5.5 2000年7月 版本5.5的最终发布,Windows Me亦是Windows 9x核心的最终版本 Windows Me(适用于Windows98、Windows2000、WindowsME)
* 6版 6.0 Beta 1 2001年3月 更多CSS的改进和错误修正以更加遵循W3C标准
* 6.0 2001年8月27日 正式发布 Windows XP
* 6.0 SP1 2002年9月9日 漏洞修正,Windows XP 以前操作系统的最终版本 Windows XP SP1
* 6.0 SP2 2004年8月25日 漏洞修正、新增对弹出视窗及ActiveX的封锁和附加元件的管理,此版本只在 Windows XP SP2 中捆绑,未单独发行 Windows XP SP2(适用于Windows98、WindowsXPSP1/SP2/SP3)
* 7版 7.0 Beta 1 2005年7月27日 支持PNG alpha透明、CSS错误修正和分页浏览 Windows Vista Beta 1
* 7.0 Beta 2 Preview 2006年1月31日 更多CSS的修正、RSS技术的支持、新的用户界面以及新增快速索引标签
* 7.0 Beta 2 2006年4月24日 完成所有的新功能、更多CSS的修正以及程序兼容性修正
* 7.0 Beta 3 2006年6月29日 修正CSS的显示问题
* 7.0 RC 1 2006年8月24日 改进性能、稳定性、安全性、程序兼容性和最后的CSS调正
* 7.0 2006年10月18日 最新版本 Windows Vista
* 8版 8.0 beta 1 2008年3月6日 IE将架构在P2P网络上
* 8.0 beta 2 2008年8月27日 兼容性视图、隐私浏览模式等(适用于WindowsXPSP2/SP3、WindowsVista)
* 8.0 RC1,2008年12月16日 改进性能、稳定性,提高浏览速度等
* 8.0 2009年3月19日 搜索建议、智能屏幕过滤器、加速器、网站订阅等
2010年02月1日
ipsysctl-tutoria
主要介绍 /proc/sys/net/ipv4 下的一些文件。
ipsysctl-tutorial可以访问这个链接看原文 也可以在本站下载(DF格式和在线阅读HTML格式.
2009年12月24日
2009年12月20日
说说多核那些事(zz)
最近对多核的讨论和宣传都蛮多的,那么从产品设计上,来说说一些在之前讨论中容易被忽略或者误解的一些情况:
1:多核一定比x86快么?
从原理来讲,NO:多核的每一个核的主频通常远低于常见的x86CPU,虽然核数众多,但是核间竞争又是一个大问题。 所以,如果优化得不好,未必比x86快。
从目前的实现来讲,Yes:就目前看到产品而言,无论用RMI的还是Cavium的,几个大厂的东西优化得还不错,速度远高于用X86做出来的东西。
2:多核比ASIC和NP快么
这个还真不一定,做得好其实后面两个(特别是ASIC)可以做的更快的。只不过,该死的开发环境决定了用ASIC和NP没灵活性,开发成本高,适应和升级能力低。这其实就好像,用汇编的效率高吧,但是现在还有哪个大软件是用汇编来写的?
3:Inter 不也是多核么?
广义来讲,Yes: 凭什么不许人家Inter的4核8核CPU叫多核呢?
狭义来讲,No:在俺们安全产品界,讲多核基本指的是RMI、Cavium这两家的东西,从最核心讲,指令集得用RSIC,而不是Inter或者AMD的CSIC
4:多核就是靠快来打下高端安全设备的江山的么
狭义而言,Maybe:至少就目前而言,各厂商正在努力的说服用户,多核=快=高端。在一定程度上,产品的表现也的确如此。
广义而言,No: 多核打ASIC、NP靠的是容易开发和由此带来的产品随需而变的能力。打X86才是靠快呢。 再有就是,咱们上面说的,多核用的RSIC,这东西带来的一个不能忽视的好处是更低的单核功耗,低功耗意味着更少的发热,也就意味着更低的散热系统需求,再延伸到可以采用多核来构成更快的系统和更好的稳定性。 RMI的32核,Cavium的16核都可以轻松的放在一个1U盒子里。但是如果是Inter,你觉得32核(就算是8核一颗也要用4颗CPU),需要多大的机箱才能满足散热需求呢?
5:多核好,多核妙,为啥多核不彻底替代X86
说到底还是刚才说的指令集问题,RSIC的一大问题是,只针对有限的领域快,要是完全茫然的领域,还是交给适应性更强的CSIC吧。
6:多核不是唯一决定性能的东西。
给你1个人,1天能砌1米墙。10个人,搞得好可以砌15米墙,也可能只能砌8米墙。给你1万个人,1天砌不到1万米墙的可能性居多。
多核只是基本的资源,然后怎么调度多核,特别是那些号称还要x86+多核的,还要用到PCI总线的,怎么解决好资源竞争是关键。 解决得不好,就变成3个和尚没水喝哦。
7:多核是趋势啊,俺们公司也想做多核,有没什么ooxx方案。
这个可以有。不过可惜这方案没手机的那么完善,想做个山寨还是很难的。如果不OEM,而是希望自己开发的公司,请做好至少2年投入的准备。
转载结束,说几句,多核还是要和分布式结合起来,早就听说juniper在研究分布式防火墙。 要是炒作的话 可以说是云防火墙.
京ICP备09057126号