又是一次8小时的奋战,这次通过了CCIE Security lab考试。
November 2007 Archives
虽然以前在生产网上就用过CBAC,但是对于inspect http和inspect ftp某些具体的行为还是有些不清楚,夜里下定决心一定要做实验弄明白。
实验前提:inspect http或者inspect ftp如果用在边界路由器连接ISP的接口出向,并且同时有访问控制列表用在该接口的入向,并且该acl不包含明确允许返回流量的条目(如:permit tcp any any或者permit ip any any)
在netlab上实验的结果得到下面2个结论:
1. inspect http和inspect ftp等使用时不需要与inspect tcp同时使用:既一旦使用了inspect http或者inspect ftp,那么对应的协议的返回流量会自动被允许。当然,需要是标准的服务端口,如果不是的话,需要手动设置PAM映射。
2. inspect http后面的java-list如果不使用的话,则所有内部访问外部的流量中的java applet都会被过滤,但是同一个页面中的其他内容(文字、图片等)不会受到影响。
之前看到很多文档都没有明确说明这点,有些文档甚至说不写java-list就不会过滤java applet。我做实验的结论是如果只写ip inspect name
*使用debug ip inspect http和debug ip inspect ftp可以看到等详细的连接检查过程。
据说CBAC这种IOS防火墙的功能是靠纯软件完成的,开启了之后会影响设备的性能。我曾经在某个Cisco高端设备上尝试CBAC功能,流量在几百兆的时候CPU基本上被占满了,设备几乎不响应。因此上述实验不推荐在任何生产设备上做!
周末把Google日历和本地的outlook以及手机做了同步。打算开始正式使用Google的日历来记录自己的生活了。
访问我的日历
今天在北大听了John Chambers的演讲。演讲的大部分内容没有给我留下特别深的印象,除了他在不断的强调web2.0和cooperation带给企业增长的动力。他拿1995年到2005年之间的Cisco的工作模式以及对客户服务模式的变化来阐述了他的观点。
在提问阶段有一位同学问出了我想问的问题,web2.0和cooperation不是在传统意义的软件公司或者说互联网媒体公司更加强调吗?Cisco为什么说自己是一家按照Web2.0模式来运作的公司呢?John的回答给我感觉并不十分明确,他又说了一遍Cisco的工作模式更多是协作,而不是由上级布置任务员工按照命令执行然后反馈。我按照自己对web2.0概念的理解,cooperation似乎只是很小的一部分,如果仅仅是这样一家做硬件的公司(或者按照更常用的更容易让Cisco Staff们接受的说法是solution provider :P)怎么会被人认为和web2.0有特别大的关系呢?
晚上躺在床上一直试图回忆John今天聊到的内容,可能由于语言的原因(演讲的时候使用的中文的幻灯片+英文讲解,脑子基本处在时刻切换的崩溃状态),能想起来的内容实在不多了。无意中想起来幻灯片上说到Cisco的I-Prize,似乎之前从来都没有听说过这个东西,新产品吗?还是新技术?搜索之后看到的内容让我大吃一惊,里面有很多很有意思的点子。这的确是web2.0的概念中最典型的一个——UGC,用户产生内容。通过协作的力量来实现技术的创新仅仅只是一个方面,更重要的或许是如何实现成熟技术转化到最终产品以及如何将产品帮助用户更好的工作、生活。
技术很重要,永远是基础。如何能实现将先进的技术转化为直接的生产力(生产力是中国化的说法,其实理解为实现用户的需求,实现直接的利润增长也行,我认为),或许是更有价值的一件事情。
不知道怎么的写着写着又想起了和Frank的一次聊天,他讲的1,2,3线的概念,我好像更清晰了也更明白了。有机会应该尝试一下针对自己的改变。
“网聚狼的力量”是在上次互联网泡沫的时候几个朋友对某个论坛的玩笑话,现在我又拿出来用了,呵呵……
