交换机安全(本机防攻击&风暴抑制 CloudEngine 16800, 8800, 6800系列交换机)

1、本机防攻击:CPU防攻击
操作步骤
配置防攻击策略。
# 创建防攻击策略。
[*SW8800] commit
[~SW8800] cpu-defend policy test1
# 配置ARP Request报文上送CPU的速率限制。
[*SW8800-cpu-defend-policy-test1] car packet-type arp-request pps 128
[*SW8800-cpu-defend-policy-test1] quit
[*SW8800] commit

全局应用防攻击策略。
[~SW8800] cpu-defend-policy test1
[*SW8800] commit

检查配置结果
# 查看配置的防攻击策略的信息。
[~SW8800] display cpu-defend policy test1
# 查看配置的CAR的信息。
[~SW8800] display cpu-defend configuration all

配置文件
SW8800的配置文件
cpu-defend policy test1
car packet-type arp-request pps 128
#
cpu-defend-policy test1
#
return

2、风暴抑制
A、配置接口入方向的流量抑制
操作步骤
[~SW8800] interface 100ge 1/0/1
[~SW8800-100GE1/0/1] portswitch
配置广播流量抑制,按承诺信息速率CIR进行抑制,限制广播报文的最大速率为100kbit/s。
[*SW8800-100GE1/0/1] storm suppression broadcast cir 100
配置未知组播流量抑制,按百分比(即报文速率和接口速率的比值)抑制,百分比值为80%。
[*SW8800-100GE1/0/1] storm suppression multicast 80
配置未知单播流量抑制,按承诺信息速率CIR进行抑制,限制未知单播报文的最大速率为100kbit/s。
[*SW8800-100GE1/0/1] storm suppression unknown-unicast cir 100
[*SW8800-100GE1/0/1] quit
[*SW8800] commit
检查配置结果
# 查看接口入方向流量抑制的配置信息。
[~SW8800] display storm suppression broadcast interface 100ge 1/0/1

配置脚本
SW8800
interface 100GE1/0/1
storm suppression broadcast cir 100 kbps
storm suppression multicast 80
storm suppression unknown-unicast cir 100 kbps
#
return

B、配置风暴控制
操作步骤
[~SW8800] interface 100ge 1/0/1
[~SW8800-100GE1/0/1] portswitch
配置广播、未知组播和未知单播报文的风暴控制高低阈值。在风暴控制检测时间间隔内,当接口接收广播、未知组播或未知单播报文的平均速率大于2000pps时,则对该接口对应类型的报文进行风暴控制;当接口接收广播、未知组播或未知单播报文的平均速率小于1000pps时,则将该接口对应类型的报文恢复到正常转发状态。
[*SW8800-100GE1/0/1] storm control broadcast min-rate 1000 max-rate 2000
[*SW8800-100GE1/0/1] storm control multicast min-rate 1000 max-rate 2000
[*SW8800-100GE1/0/1] storm control unknown-unicast min-rate 1000 max-rate 2000
配置风暴控制的动作为阻塞报文。
[*SW8800-100GE1/0/1] storm control action block
配置风暴控制的检测时间间隔为90秒。
[*SW8800-100GE1/0/1] storm control interval 90
使能在风暴控制时记录日志的功能。
[*SW8800-100GE1/0/1] storm control enable log
[*SW8800-100GE1/0/1] quit
[*SW8800] commit
检查配置结果
# 查看风暴控制的配置信息。
[~SW8800] display storm control interface 100ge 1/0/1

配置脚本
#
interface 100GE1/0/1
storm control broadcast min-rate 1000 max-rate 2000
storm control multicast min-rate 1000 max-rate 2000
storm control unknown-unicast min-rate 1000 max-rate 2000
storm control interval 90
storm control action block
storm control enable log
#
return

管理下属的四种基本方式&管理的核心是管人

一、指导式管理
关键词:直接、具体、督导。
这种方式主要运用于管理技能不足的员工。为了在限定时间内做出成果,需要对下属直接提出明确、具体的要求,将如何做的步骤、要点明确告知下属,并在下属执行过程中予以必要的督导。
指导式管理假定管理者的技能是成熟的。指导式管理要求下属“听话照做”,具有相对单向沟通的特点。

二、辅导式管理
关键词:引导、参与、共创。
辅导式管理有两种情况,一种管理者技能成熟,为了培育下属,引导下属参与到工作决策或如何推进的讨论中来,另一种情况是,管理者技能并不成熟,但由于经验丰富,能够从更高视角看待问题,这样同样也能给下属必要的引导,通过与下属的共同探讨,取得如何推进工作的思路。
辅导式管理通常针对具有少许技能、有待提升的下属。
辅导式管理是一种共创的方式,辅导式管理也称为“教练式管理”,管理者担当着类似于教练的角色。

三、支持式管理
关键词:关注、时机、支持。
与前两种管理方式不同,在支持式管理中,管理者已经退居幕后,由下属担当工作推进的主角,但管理者会关注下属工作的进展,在恰当时机下予以必要的支持。
下属信心满满地推进一项工作,过程中可能会遇到很多问题,如工作方法问题、资源不足、由于碰壁而信心受挫等,在这些情景下,管理者“挺身而出”,予以必要的指导或协助协调资源,促进下属工作目标的达成。
支持式管理通常针对具有一定技能、经验,责任心与意愿的下属。

四、授权式管理
关键词:考核、权责、掌控。
对管理者而言,授权式管理是最为轻松的一种管理方式,即几乎完全由下属来推进工作,当中的过程及决策由下属来把控。
授权式管理通常针对经过严格考核,被验证具有良好技能、经验、责任心,且自我驱动力强的下属。
在授权式管理中,需要强调权责对等,同时,管理者对下属的工作整体上有所把控。

针对不同下属,运用好这四种管理方式,既迎合了下属的需求,同时管理者所花时间、精力的价值也能最大化,进而促进团队和谐、成果达成。
从下属成长的角度看,管理者的管理应逐步从指导式过渡到辅导式或支持式,对于下属中的出类拔萃者,经考核后,应采用授权式管理,这样使得团队成员不断进步,并能够担负起相应的职责。

—————

管理的核心是管人

一、首先要理解每一个员工
理解员工,是做好员工管理的第一要义。作为一个管理者,我们需要站在员工的角度,理解每一位员工的性格特点、工作习惯、思维模式等,这是做好员工管理的基础。
每个员工都有自己独特的个性和特点。有的员工性格外向,善于表达自己的想法;有的员工则比较内向,不太善于与人交流。有的员工习惯早起工作,而有的员工则更喜欢晚上办公。这些特点并不存在好坏之分,关键是管理者要本着包容和理解的心态,制定符合每位员工特点的管理方式。
理解员工的第一步,是与员工进行充分地沟通。可以通过一个一个地与员工面谈,听取员工对工作的看法和感受,了解员工的性格特点、工作风格等。也可以通过观察员工的日常工作状态,分析员工的思维模式和行为习惯。深入地了解每一位员工,找出他们的长处和특长,这是做好员工管理的关键。

二、其次要树立员工的正面形象
理解员工的基础上,管理者更需要树立员工的正面形象。所谓正面形象,就是管理者在心目中,对每一位员工都抱有肯定和赞赏的态度。这一点极为重要,因为管理者的内心态度会直接影响到其管理方式和决策。
树立员工正面形象的关键在于,注重发现员工的优点和长处,而不是仅仅看到他们的缺点和不足。每一位员工都有自己的优势,这是他们被录用的原因,管理者必须发掘员工的优势,并且充分利用员工的专长,让员工的优势得到极大地发挥。
此外,管理者还需要学会包容员工的缺点。任何员工都不可能100%完美,关键是要重视员工的主要特长。对员工的小缺点,管理者可以通过适当的激励和培训来帮助员工改进。但是决不能因为某些非主要方面的缺陷,而否定或者惩罚员工。
树立员工正面形象,有利于提高员工的工作积极性,增强员工的忠诚度,让员工为公司全心全意地贡献力量。这是管理的真谛。

三、再次要建立高效的沟通渠道
管理员工的关键在于管理者与员工之间的有效沟通。如果双方不能够真诚地沟通,那么管理就是徒劳的。因此,管理者必须建立起灵活高效的沟通渠道。
首先,管理者要让员工感受到自己随时随地都可以与员工进行沟通的状态。不能给员工一种高高在上、不可靠近的距离感。与员工的沟通要随和、平等。
其次,管理者要善于倾听。在与员工交流中,重点要抓住员工的真实想法,所以,管理者在很大程度上扮演倾听者的角色。耐心地倾听每位员工的想法,是管理的重中之重。
再次,管理者自己也要主动与员工交流。既要倾听员工,也要让员工了解管理者的工作原则和管理思路。这种双向沟通非常必要。否则,容易造成员工的误解和怨言。
建立畅通的沟通渠道,有助于消除员工的顾虑,调动员工的工作热情,提高工作效率,这是做好员工管理的重要一环。

四、最后要公正地评估员工
要做好员工的管理,公正地评估员工是必不可少的。评估员工的主要目的有两个:其一,了解员工的工作表现,以及存在的不足;其二,根据评估结果,进行员工的激励和培训。
评估员工,管理者一定要本着公平公正的原则。不能存在任何的偏见。评估要注重员工的工作业绩,而不是主观印象。并且要建立详尽的考评指标体系,使评估标准和程序对每一位员工都一视同仁。
另外,在评估员工的同时,也要注意方法。不能简单地根据某些指标打分数,而要充分倾听员工对自己工作的报告,与员工进行深入地沟通,全面了解员工的表现。
公平公正地评估员工,既是员工管理的需要,也是激励员工、推动员工成长的重要手段。这也能够获得员工的理解和支持,促进员工与管理者之间的和谐关系。

员工管理的核心在于管人。管人的要诀就在于充分理解每一位员工,树立员工的正面形象,与员工建立高效的沟通,并公正地评估员工。

存储架构SAN与NAS区别


SAN特点:块级别存储、高速网络、数据完整性和可靠性、集中式管理、可扩展性。

存储区域网络(Storage Area Network,SAN)是一种专为数据存储而设计的高速网络架构。它通过专用的网络连接存储设备、服务器和用户设备,提供了高性能、可扩展性和数据完整性的存储解决方案。SAN的主要特点是其专注于块级别的数据访问,与文件级别访问的网络附加存储(NAS)有所不同。

块级别存储: SAN以块为单位提供存储,而不是文件级别。这意味着它通过提供对存储块(块存储单元)的直接访问来处理数据。这使得SAN适用于高性能应用和大型数据传输,如数据库、虚拟化和备份。
高速网络: SAN通常使用高速网络技术,如光纤通道(Fibre Channel,FC)协议,以提供高性能的数据传输。FCoE(以太网光纤通道)和iSCSI(互联网小型计算机系统接口)也是一些其他在SAN中使用的协议。
数据完整性和可靠性: SAN采用多种技术来确保数据的完整性和可靠性。例如,在FC协议中,有序传送和无损传输的机制确保数据在传输过程中保持顺序并且不发生损失。
集中式管理: SAN系统通常采用集中式管理,管理员可以通过专用的管理软件对存储资源进行配置、监控和管理。这使得对整个存储基础设施进行更精细和灵活的控制成为可能。
可扩展性: SAN提供了高度可扩展的存储解决方案。通过添加更多的存储设备或扩展网络基础设施,可以轻松地增加存储容量和性能。

三种最常用的 SAN 协议
1、光纤通道协议 (FCP):
光纤通道协议是一种在存储区域网络(SAN)中广泛使用的协议,专门用于块级别的数据传输。
FCP使用光纤通道传输协议,通过光纤通道连接存储设备、交换机和服务器,支持高性能的、可靠的块级别数据传输。
FCP通常用于大型企业和数据中心,适用于对性能和可靠性要求较高的存储环境。

2、互联网小型计算机系统接口 (iSCSI):
iSCSI是一种在IP以太网上运行的协议,将SCSI命令封装在IP数据报中,用于实现块级别的存储传输。
iSCSI通过标准以太网硬件进行数据传输,因此相对于光纤通道,它更易于部署和成本较低。
iSCSI通常用于小型和中型企业,以及需要灵活部署和较低成本的存储解决方案。

3、以太网光纤通道 (FCoE):
以太网光纤通道是一种将光纤通道(FC)帧嵌入在以太网数据报中的协议,实现块级别的数据传输。
FCoE结合了光纤通道和以太网的优势,通过以太网进行传输,同时支持光纤通道的特性,以提供高性能和低延迟。
FCoE适用于企业希望在以太网基础上保持光纤通道性能的情况,同时简化网络基础设施的情况

SAN 用例:Oracle 数据库、Microsoft SQL Server 数据库、虚拟化部署(KVM、Microsoft Hyper-V、VMware)、大型虚拟桌面基础设施(VDI)、SAP、大型 ERP 或 CRM 环境、混合阵列和全闪存SAN

SAN优点

高速和高性能: SAN采用专用的高速网络技术,如光纤通道(Fibre Channel,FC),确保数据传输速度非常快。通过块级访问,用户可以直接访问存储块,而不受网络拥塞的影响,从而提供更高的性能。
可靠性和数据完整性: SAN使用可靠的协议和机制,如FC协议的有序传送和无损传输,以确保数据在传输过程中保持完整性。这使得SAN非常适合对数据完整性和可靠性有严格要求的应用场景。
块级访问: SAN以块为单位提供存储,而不是文件级别。这种块级访问使得SAN更适合处理大型文件和复杂的应用程序,如数据库和虚拟化。
独立子网: SAN系统的运行方式类似于在大型网络中创建一个独立的子网,由用户设备和存储设备组成。这种独立性可以提高数据访问的效率,不受本地网络流量的影响。
可扩展性: SAN具有出色的可扩展性,允许随着时间的推移添加新的存储块。这种灵活性使得SAN成为大型组织的理想选择,因为它们可以根据需求轻松扩展存储容量和性能。
集中式管理: SAN系统通常具有集中式管理的功能,管理员可以通过专用的管理软件对存储资源进行配置、监控和管理。这简化了存储基础设施的管理。

SAN缺点
复杂性和昂贵的硬件: 部署和维护SAN系统需要经验丰富的管理员,并且相比于其他存储解决方案,SAN的硬件成本通常较高。这包括专用的网络设备、光纤通道交换机、存储控制器等。
专用网络要求: 为了确保SAN的性能和可靠性,通常需要设置专用的网络,如光纤通道(FC)网络。此外,为了处理元数据文件请求,可能需要单独的以太网网络。这使得部署和维护SAN系统更加复杂且昂贵。
对管理员的高要求: 与网络附加存储(NAS)相比,SAN对管理员的技能要求更高。管理员需要具备深厚的存储和网络知识,以有效地配置、监控和维护SAN系统。
不适合小型企业和家庭用户: 由于复杂性和成本的原因,SAN并不是对小型企业和家庭用户来说理想的存储选择。对于这些用户,更简单、易于管理和经济实惠的解决方案如网络附加存储(NAS)可能更为合适。
限制于大型组织: SAN在大型组织中表现出色,但对于中小型企业或不需要大规模存储和高性能的环境来说,可能显得过于强大和昂贵。
可能存在单点故障: 虽然SAN通常设计为高可用性系统,但仍可能存在单点故障的风险,例如存储控制器或光纤通道交换机故障可能导致整个系统的中断。

NAS特点:集中式存储管理、共享文件夹、易用性、跨平台兼容性、灵活的存储扩展、远程访问、数据备份和保护、多媒体服务器功能。
集中式存储管理: NAS提供了一个集中式的存储设备,使得数据的管理和维护变得更加简单。用户可以通过网络访问一个中央存储设备,而不需要将数据分散存储在各个计算机上。
共享文件夹: 从用户角度来看,NAS就像一个共享文件夹,方便用户上传、查看和下载文件。这种共享文件夹的模式使得团队协作和文件共享变得非常容易。
易用性: NAS设备通常设计为用户友好,设置过程相对简单,使得用户能够快速上手。一旦设备连接到网络,用户就能够轻松地与其他设备进行数据共享。
跨平台兼容性: NAS通常支持多种文件共享协议,如NFS、SMB和CIFS,这使得它在不同操作系统(如Windows、Mac和Linux)之间具有很好的兼容性。
灵活的存储扩展: NAS设备通常支持添加额外的硬盘驱动器,从而扩展存储容量。这使得用户可以根据需要逐步扩展存储,而无需一次性购买大容量设备。
远程访问: 由于NAS连接到网络,用户可以通过互联网远程访问其存储内容。这为用户提供了在任何地方都能够获取数据的便利性。
数据备份和保护: 一些NAS设备提供内置的备份和数据保护功能,例如自动备份、RAID(磁盘冗余阵列)等,以确保数据的安全性和可靠性。
多媒体服务器功能: 一些高级NAS设备还提供多媒体服务器功能,允许用户通过网络流式传输音频和视频文件到各种设备。

两种最常用的 NAS 协议
1、通用 Internet 文件服务/服务器消息块 (CIFS/SMB):
CIFS(Common Internet File System)是在Windows环境中使用的文件共享协议,而SMB(Server Message Block)是其基础协议。CIFS/SMB协议允许不同操作系统的计算机之间共享文件和打印机。
CIFS/SMB协议是一种通用的、跨平台的文件共享协议,被广泛用于Windows环境。它支持许多不同的功能,包括对访问控制、认证和文件传输的支持。
CIFS/SMB协议广泛应用于企业和家庭网络中,特别是在Windows环境中,用于实现文件和打印机共享。

2、网络文件系统 (NFS):
NFS(Network File System)是一种在UNIX和类UNIX系统中使用的文件共享协议。它最初由Sun Microsystems开发,并已成为Linux等许多操作系统的标准。
NFS协议允许客户端系统通过网络透明地访问服务器上的文件。它是一种简单、轻量级的协议,专注于文件共享和访问的高效性。
NFS广泛应用于UNIX和Linux环境,特别是在服务器和工作站之间实现文件共享。它也在一些混合操作系统环境中使用,允许不同平台的系统协同工作。

NAS用例:家庭文件共享、媒体服务器、备份和恢复、远程访问、小型办公室/家庭办公室(SOHO)解决方案、多媒体制作、监控存储、虚拟机存储

NAS优点
易于部署和维护: NAS系统通常设计为用户友好,设置和维护相对简单,不需要大量的技术经验。这使得个人用户和小型企业可以轻松地建立和管理自己的存储解决方案。
相对便宜: 相比于其他存储解决方案,NAS通常是一个相对经济的选择。尤其是对于小型团队或个人用户,它提供了一个成本效益高且功能齐全的选项。
易于使用的软件门户: NAS通常附带易于使用的软件门户,通过该门户用户可以轻松管理存储、设置权限、进行备份等操作,而无需深入了解复杂的技术细节。
可扩展性: 在有限的范围内,NAS具有可扩展性。用户可以逐步扩展存储容量,添加更多的硬盘驱动器或新的存储卷,以满足不断增长的数据需求。
适用于家庭和小团队: 对于家庭用户和小型企业,NAS提供了一个理想的平台,用于备份家庭文件、共享照片、视频和其他数据,以及在小团队内协作和共享工作文件。

NAS 的缺点
有限的扩展性: NAS的扩展性是有限的,尤其是在存储空间和处理能力方面。虽然可以通过添加新卷或升级硬件来增加存储容量,但在某个点上,可能需要整体升级NAS设备以满足更大的需求。
性能下降: 当多个用户同时访问NAS或需要处理大型文件(如原始视频片段)时,性能可能会下降。这是因为NAS是一个集中式存储设备,其性能受到以太网连接速度和处理能力的限制。
网络瓶颈: 由于NAS通常通过以太网连接到网络,当多个用户同时访问时,可能会导致网络瓶颈,影响数据访问速度。这在大型网络环境中可能成为一个问题。
文件传输效率: 通过以太网传输文件时,数据被分解为数据包并单独传输。对于大型文件,这种方法可能效率较低,容易导致传输速度变慢,并且可能会面临数据包丢失的风险。
不适合大规模使用: NAS更适用于家庭用户、小型企业或小型办公室等相对较小规模的环境。在大型企业中,存储区域网络(SAN)通常更适合处理大规模数据和高性能需求。
依赖于以太网: NAS通常依赖于以太网连接,这可能在需要更高带宽和更快传输速度的情况下成为限制。对于某些高性能应用程序,可能需要考虑其他连接选项。