2007 Penguin, Swim fast in the sea! http://www.liukang.com/ en Copyright 2008 Sat, 28 Jun 2008 18:22:03 +0800 http://www.sixapart.com/movabletype/ http://blogs.law.harvard.edu/tech/rss how to survive during air delay Air, Sunshine, Water no air, raining, no drinking water the only reason why I'm still alive, I have a poor flipping unstable internet connection! http://www.liukang.com/archives/001125.html http://www.liukang.com/archives/001125.html travel & trips Sat, 28 Jun 2008 18:22:03 +0800 G shell http://goosh.org/能用这个网站执行google 搜索之类的。 ]]> http://www.liukang.com/archives/001124.html http://www.liukang.com/archives/001124.html 网络生活 Tue, 03 Jun 2008 12:18:56 +0800 感受了一下网真的魅力 今天第一次感受到了网真的魅力。网真的用户体验要比我想象的好,高清晰、低延迟,用户确实像是坐在一张会议桌上一样。 http://www.liukang.com/archives/001123.html http://www.liukang.com/archives/001123.html 网络生活 Sun, 25 May 2008 21:31:40 +0800 New Life!
今天是新生活的开始。一切都将是新的。]]> http://www.liukang.com/archives/001122.html http://www.liukang.com/archives/001122.html 关于我自己 Wed, 21 May 2008 22:53:37 +0800 向5.12地震死难同胞默哀 ]]> http://www.liukang.com/archives/001121.html http://www.liukang.com/archives/001121.html Mon, 19 May 2008 18:29:41 +0800 一段企鹅视频…… ]]> http://www.liukang.com/archives/001120.html http://www.liukang.com/archives/001120.html 网络生活 Sun, 20 Apr 2008 00:48:18 +0800 icmp unreachable 和 U.U.U no ip icmp rate-limit unreachable之后路由器将对于每一个不可达的数据传递请求会送unreachable消息。这时再去ping将会看到类似"UUUUU"的情景。 需要注意,强烈建议该命令仅供实验室环境测试使用,使用该命令有可能极大影响路由器的性能。]]> http://www.liukang.com/archives/001119.html http://www.liukang.com/archives/001119.html 网络生活 Sun, 20 Apr 2008 00:13:21 +0800 在清华学习CCNP的照片
这周一直在外面学习,第一次尝试用全英文讲了CCNP ISCW中的一部份内容。用非母语讲课还是有一定难度的,不过自我感觉还可以,至少在谈到技术的时候我想我可以基本清晰的描述给大家。 ]]> http://www.liukang.com/archives/001118.html http://www.liukang.com/archives/001118.html 网络生活 Fri, 11 Apr 2008 13:54:09 +0800 曾经去过的城市和地区
  1. Beijing, China
  2. Dali, China
  3. Kunming, China
  4. Lijiang, China
  5. Qingdao, China
  6. Haikou, China
  7. Sanya, China
  8. Chengde, China
  9. Hong Kong, China
  10. Weihai, China
  11. Xiamen, China
  12. Yantai, China
  13. Kyoto, Japan
  14. Nara, Japan
  15. Singapore, Singapore
  16. Bangkok, Thailand
  17. Pattaya, Thailand
]]> http://www.liukang.com/archives/001117.html http://www.liukang.com/archives/001117.html travel & trips Mon, 17 Mar 2008 23:54:32 +0800 telnet是曾经的10大internet服务 躺在床上无意中翻看了大学时买的一本网络术语词典,其中对telnet的解释中说该服务是10大internet服务之一,未来可能会被www取代,但是电子公告板、图书查询等还将继续使用该服务。 那本书是1998年出版的,到今年正好10年。忽然回想起了曾经的知新园BBS…… 现在还用telnet方式上BBS的人有多少,或许不多了,或许越来越少了吧…… http://www.liukang.com/archives/001116.html http://www.liukang.com/archives/001116.html 网络生活 Mon, 10 Mar 2008 23:18:17 +0800 收到了补寄的证书 安全CCIE考试完成10周之后都没收到证书,只收到了牌子。过年前在网站上开了个case询问怎么回事,年后就收到了通过DHL方式发出的证书。 http://www.liukang.com/archives/001115.html http://www.liukang.com/archives/001115.html 走向CCIE之路 Wed, 20 Feb 2008 19:44:16 +0800 terminal length "terminal length"是一个不常用到的命令.有些时候为了抓取记录超过屏幕长度的命令输出,而又不想去按任意键继续的时候可以执行"terminal length 0"。这个命令不需要进入特权模式就可以使用。 http://www.liukang.com/archives/001114.html http://www.liukang.com/archives/001114.html 网络生活 Tue, 15 Jan 2008 08:44:28 +0800 TrustSec--802.1AE - Media Access Control (MAC) Security 思科发布新安全架构 内网全部加密,这是一篇编译后的报道,我还没有找到报道的原文,只是在Cisco的网站上看到了这篇Novel Cisco TrustSec Architecture Addresses Key Compliance Requirements, Simplifies Security Deployment。 之前从来都没有听说过802.1AE,查询了IEEE的网站发现,该标准目前是在Draft5.1阶段。这个标准是从layer2上解决了安全的问题,从很大程度上说,以前的所谓MAC(media access control)大多体现的都是最基本的"media access"传输功能,而在真正的"control"上没有特别多的体现。有个新技术被应用总归是好事,当然能支持这个标准的网卡/网卡驱动目前还没见到,在大面积采用这个标准之后新的一轮的网络设备的投资升级就又该开始了(虽然没有这样的标准,网络一样能凑合用),所谓的solution provider们(或者直接说device vendor们)又该开始高兴了,呵呵]]> http://www.liukang.com/archives/001112.html http://www.liukang.com/archives/001112.html 网络生活 Wed, 02 Jan 2008 23:33:05 +0800 利用dhcp snooping、arp inspection、protected port实现arp攻击防护 由于1.1.1.1和1.1.1.2在同一个vlan,2层上没法检查/隔离虚假的arp-reply,这就造成了问题。 Cisco提供的protected port技术可以实现在隔离同一个vlan内的机器互相访问,但是经过实验发现单纯使用protected port只能隔离2层上的互相访问,当使用arp攻击工具时仍然会造成被攻击者无法访问外网。 使用arp inspection技术可以实现对arp数据包的监控 ,为使用arp inspection需要先启用dhcp snooping或者port security功能,关于本技术的介绍见Cisco网站。 启用protected port之后的同一vlan内的访问需要经过3层设备 解决方法如下: 1.在接入设备上启用protected port 所有连接用的端口上应用: interface FastEthernet0/1 switchport access vlan 2 switchport mode access switchport protected !应用本命令 2.在3层设备上启用arp inspection: ip arp inspection vlan a-b(某段vlan) ip arp inspection validate src-mac ip !检查src-mac和ip 在连接接入设备的接口下不限制arp数据包的数量,以便避免出现攻击时接口err-disable interface GigabitEthernet1/0/1 switchport trunk encapsulation dot1q switchport mode trunk ip arp inspection limit none !应用本命令 *3.在3层设备上启用dhcp snooping功能以便为arp inspection提供可以检测的依据: 全局模式 ip dhcp snooping ip dhcp snooping vlan a-b(某段vlan) 连接dhcp服务器的接口应用 ip dhcp snooping trust *4.为了实现同vlan见PC可以互相访问,需要在3层设备上启用ip local-proxy-arp。如果不启用local-proxy-arp的话同一vlan下的PC会因为收不到对方的arp-reply而无法封包。默认情况下,3层设备收到本网其他地址的arp-request的时候不会理睬,启用local-proxy-arp之后3层设备会对收到的所有本网arp-request回应arp-reply,回复中的MAC地址是3层设备对应的3层接口的MAC。 interface Vlan2 no ip proxy-arp !禁用proxy-arp,为安全考虑 ip local-proxy-arp !启用local-proxy-arp实现同一vlan内互相访问 ip route-cache same-interface!会自动生成本命令 端口隔离技术和arp inspection技术的组合使用是解决arp攻击的方法之一,端口隔离技术不是Cisco的专利,在H3C交换机上同样有类似的实现: 在接口模式下运行port isolate即可实现。需要注意的是,protected port/端口隔离 技术应当仅仅应用到连接用户的接口下,千万不要应用到连接3层设备的接口,否则会造成用户无法访问。]]> http://www.liukang.com/archives/001111.html http://www.liukang.com/archives/001111.html 网络生活 Fri, 28 Dec 2007 22:49:33 +0800 空白 很久都没有写东西了,前段时间是因为在忙着四处飞来飞去,等飞回家了又病倒休息了快一周。 有些时候想主动让自己脑子保持空白,就好像最近一段时间一样——每天主动迷迷糊糊的过日子——不去主动想工作的事情,不去主动想生活的事情,不去计划,不去反思。因此最近也实在不知道想写些什么。 在麦当劳里泡着,本想喝热橙汁(我认为唯一有营养的热饮),结果被告知没有。进来几位老太太,坐在空桌上,她们拿出了随身携带的烤白薯,一面吃着一面聊着不知道谁家的糗事。服务员似乎见惯了类似的事情,没有表达出对她们的任何不满,嗯,社会确实进步了,至少服务意识在进步。 去串吧想解解馋,被告知没有羊肉串了,md没有肉串还开什么串吧,点了个烤鱼,5块钱。忽然想起今天是圣诞节,我不信教,不过借用一句吧,愿老天爷保佑有鱼吃的人。 http://www.liukang.com/archives/001110.html http://www.liukang.com/archives/001110.html 关于我自己 Wed, 26 Dec 2007 00:29:11 +0800