DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

ddos怎么防_中国安防_指南

ddos怎么防_中国安防_指南

BlueCat邀请《自动化网络:引入现代企业网络管理方法》一书作者约翰·卡波比南科,带领我们走过网络自动化的征程。从计划阶段到栈的部署,John将涵盖每个网络自动化项目应解决的权衡和关键决策,包括DNS的角色。约翰的意见完全是他自己的,不表达雇主的意见和意见。第1部分:框架和目标既然已经有了制定目标和建立自动化框架的必要背景,我准备继续进行实际工作,以可理解的方式构建内容开始时要有责任感在安装方面,Ansible需要的很少,但是要注意Linux工作站需要能够将SSH放入自动化的网络设备中。这可能意味着防火墙规则的更改,具体取决于Linux框位于网络上的位置。您的可理解的剧本还必须在网络设备上进行身份验证,这可能意味着需要特殊的RSA或其他服务帐户。一旦建立连接,第一步是创建您的库存hosts.ini文件。然后,您必须使用主机名逻辑地对设备进行分组。托管Ansible的Linux框还需要能够使用DNS解析这些主机。样品hosts.ini文件可能如下所示:[E"企业:儿童]核心分配[核心]核心[分配]分配01分发02…分配45创建库存文件后,我们开发并将最终状态配置文件分发到每个分发交换机。这些文件总是以附加在\u new配置的主机名命名。这样,我们可以使用主机名作为在我们的playbook中循环设备的变量。我们在这一过程中学到的一点是{inventory\u hostname}是一个特殊变量,可以在本地使用,可以在可译中使用。它引用设备在hosts.ini文件playbook本身由易懂的模块ios_U命令组成。以show命令的形式收集预配置信息,并将输出发送到每个设备的文件。捕获每个vrf和全局路由表的状态后,playbook执行Cisco config replace命令。由于我们将文件名标准化为"\u new\u config",域名ddos防御,因此可以将每个设备的主机名用作在运行时替换的变量。可理解的经验教训我们期望在可转换模块命令和使自动化工作方面面临重大挑战,但事实并非如此,相反,ddos攻击防御百度腾讯阿里,我们的大多数问题都是常见的问题,如YAML语法和间距。此外,我们在开发人员工作站上开发playbook文件时遇到困难,并且必须将它们移动到Linux框中,在那里Ansible可以执行它们。(我们很粗略地使用FTP文件管理器在一开始就管理这个问题,就像网络工程师而不是开发人员一样)每次我们有代码更改,我们都必须通过这个练习,高防cdn哪家好用,将更新源代码移动到可理解的Linux框中执行。从中吸取了一些具体的可解释的经验教训,这些教训确实帮助我们取得了成功:可转换的playbook检查模式在可翻译的剧本上检查模式,可以让您执行剧本的"干练"。它正常运行,但实际上并没有将命令推到设备上——这对于故障排除非常有用。意图–非常适合验证代码和命令与您的意图相匹配。结合详细信息,您可以看到要执行的命令的所有输出。限制可译剧本的范围限制了剧本的范围。非常适合测试和开始。在我们的情况下,我们可以限制一个分配开关,在检查模式下测试playbook,然后移除对整个[distribution]组执行的限制。可译剧本冗长在剧本中添加冗长的内容,更多地暴露了正在发生的事情允许您准确地查看playbook中执行的每个任务的命令或配置部署网络自动化一旦我们的剧本在实验室环境中工作,我们就安排了我们的生产变化。这就是我们从设计和实验室到生产的新工件和方法。我所要做的就是更新库存文件以匹配新环境,并提供一个简单的操作指南,说明在哪里可以找到更改前信息、playbook如何工作以及在何处可以找到post信息。移植到生产环境时不需要更改核心逻辑。当时我们没有自动的核心,所以该层仍然需要手动CLI指令,同时发行层都会由可翻译的playbooks来处理。我还能够向操作提供检查模式命令,以便它们能够执行剧本的干涸运行,从而使他们有机会更好地了解这个过程。我们的零钱是这样的:将所需的状态配置文件分发到每个设备执行可转换的playbook更改前的分发_文件.yml从每个设备捕获所有显示命令的输出存储在Linux框上的文件夹中执行可转换的playbook分发\u层_变更.yml在每个设备上执行config replace命令执行可转换的playbook pre\u change\u core_文件.yml使用show命令捕获核心状态()按照提供的步骤使用CLI手动修改核心完成核心校园变更执行可转换的playbook post\u change\u core_文件.yml使用重新捕获核心状态(手动)执行可转换的playbook post\u change\u distribution_文件.yml从每个设备收集第二次显示命令的所有输出使用show命令从核心验证新拓扑验证以核心为核心的配电交换机改革邻居验证核心上的vrf路由表使用文本编辑器比较自动任务前后的输出下面是一些示例,以说明如何容易开始以可理解。作为更改前文档playbooks的一部分,我们希望在输出文件中捕获每个设备的OSPF邻居:–主机:企业任务:–名称:捕获更改前OSPF邻居ios\u命令:提供程序:{ioscoli}}命令:显示ip ospf邻居寄存器:显示\u ip\u ospf相邻点输出–name:将OSPF邻居复制到文件副本:content="{show\u ip\u ospf邻居"_输出.stdout[0]}"dest="../../documentation/pre\u change\u ospf/{inventory\u hostname}}u pre\u ospf"_nearies.txt"在捕获每个设备上的更改前信息状态之后,我们希望调用config replace命令。从那本剧本中获得的一个示例:–主机:分发任务:–name:配置替换为新配置ios\u命令:提供程序:{ioscoli}}命令:配置替换闪存:{inventory\u hostname}}新配置时间120注意,在这两本playbooks中,我们使用的是一个很快被弃用的"提供者"字典对象。这包含我们的连接详细信息,包括用于对每个网络设备进行身份验证的RSA服务帐户信息。这种连接到设备和凭证处理的方法也是我们随着时间的推移改进的,但是为了第一本playbook,这是我们使用的方法(将凭据硬编码到"ioscli"提供程序中)。网络自动化的初步影响总体而言,我们第一次涉及网络自动化的变革是一个巨大的成功。没人能预测到这会带来巨大的时间节约。通过在50个设备上自动实现此更改,可以节省开发和部署时间。部署期间没有人为错误,因为它是一个可解释的引擎,并且经过测试的逻辑推动了配置更改。执行生产更改所需的更改窗口从小时减少到分钟。剧本本身在不到2分钟内就跑了。它是如此高效,起初我以为它失败了。这一新框架的潜力和力量是显而易见的。鉴于我们最初的成功,我们立即决定,任何大型、复杂、可重复的任务都将使用可翻译的自动化。然而,尽管我们取得了成功,但在制定解决方案时所使用的一般过程和工具集中仍存在许多差距。显然,我们需要在以下领域找到改进,使网络自动化成为一个可行的解决方案,可以根据我们的需要进行扩展:全自动化回顾一下核心,配置更改本身可能已经通过特定的playbook自动完成当时,彩云美国高防cdn,我们对可靠性不确定,在使用未经验证的自动化解决方案对核心进行更改时,我们胆怯。工具代码的开发网络管理员使用的传统文本板和记事本编辑器不够。需要一个更健壮和功能丰富的开发工具来创建可解析框架使用的YAML和其他文件源代码管理我们在重构代码和保持本地桌面、开发人员工作站和Linux框上文件的一致版本方面遇到困难我们想把可理解的剧本当作代码,而不是脚本代码的分发和移动多个团队成员在同一代码上工作时面临的挑战真理之源没有真正的中心位置来保持已知的好版本的剧本或代码难以跟踪许多团队成员的工作项目后除了Linux框之外,我们没有真正的中央存储库,因为它是playbook的最终版本丰富的可获得变更前后信息输出没有任何东西真正跟踪历史或版本控制展望未来:DNS自动化的作用最后,ddos20防御,我从我的第一次网络自动化体验中吸取的最大教训是,它有可能革新企业网络管理。这远远超出了可理解的范围。同时拥有基础网络基础结构

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/69494.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9199142访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X