下里巴人的家 - Network

Symantec SEP 11.05部署实战之一SAV升级及SEP简介

ricky.fang@live.com(rickyfang) — Thu,14 Jan 2010 14:23:34 +0800

本篇文章导读：

第一部分：公司现有的Symantec防病毒解决方案

第二部分：名称为SEP的新型解决方案的功能

第三部分：从SAV升级到SEP的解决之道

第一部分：公司现有的防病毒解决方案

公司正在使用的网络防病毒解决方案是采用的Symantec Antivirus corporate edition 10.1.5（SAV）版本，部署的客户端中分两类，一类是服务器操作系统如Windows Server 2003，一类是桌面操作系统如Windows XP。部署的目的主要分为以下三个：

1、从一个管理控制台提供企业范围的高级病毒防护和监视。

2、利用赛门铁克篡改防护功能防止未授权的病毒进行访问和攻击，保护用户免遭试图禁用安全措施的病毒攻击。

3、通过报表功能显示病毒威胁列表及客户端更新状态等。

由于公司规模相对较大，有一个集中的数据中心，并在全国有多家分支机构。基于这样的公司物理布局，设计了一个一级服务器兼管理控制台、报表服务，多个分支机构安装二级服务器，其机构内的客户端系统的病毒库更新由当地的二级服务器来担负。且各二级服务器与一级服务器之间是通过MPLS网络连接进行通讯的。下图展示了现有的中心管理控制台界面，由于涉及

公司部分机密，做了相应处理。

第二部分：名称为SEP的新型解决方案的功能

近来，赛门铁克公司推出了其新的防病毒解决方案，称为赛门铁克端点保护（防护）解决方案，其英文名为：Symantec Endpoint Protection（SEP）。在新型的解决方案将多重安全技术集成到单一代理，并由单一控制台进行管理，增强并简化各种类型企业的安全。
在这个简称为SEP的防病毒解决方案中，纳入了主动防护技术，能自动分析应用行为和网络沟通，从而检测并主动拦截威胁。而且Symantec Endpoint Protection是唯一通过单一集成代理、在单一管理控制台注册便可提供基本安全技术（防病毒、反间谍软件、桌面防火墙、入侵防护和设备控制）的产品。使用户可获得单一的解决方案，集成了防病毒、反间谍软件、防火墙、基于主机和网络的入侵防护方案以及应用和设备控制，并十分易于部署和管理。

下面通过引用网络上的说明来反映SEP的不同的功能：
1、增强端点安全
Symantec Endpoint Protection主要是为了确保用户获得真正的集成体验，实现全面、强健的端点防护。该解决方案降低80%以上的内存空间，从而有效利用资源。该方案混合了基于签名的病毒防护与新型主动威胁检测技术，从而有效地应对传统和新型威胁。主要包括以下技术：
2、增强型防病毒和反间谍软件技术

提供优化的实时恶意软件检测，加以拦截并修复。它的主要特征包括性能优化、新型用户界面和来自Veritas的新型深度扫描技术，从而可以发现并移除经常逃避检测的rootkit。
3、新型主动威胁防护

通过利用基于行为的扫描，抵御未知或零日威胁。通过设定检测所有行为的运算法则，大幅降低了误报的发生。此外，还包括来自Whole Security的独特技术Proactive Threat Scan，能够检测并拦截恶意软件，无需签名便可防止其爆发。根据指定的安全策略，设备控制可帮助用户严格限制设备访问权，包括USB存储、备份驱动等，从而降低数据丢失的风险。
4、新型网络威胁防护

整合了Generic Exploit Blocking，利用独特的基于漏洞的IPS技术。由于这种IPS技术是嵌入在网络层级，因此可以在恶意软件进入系统之前加以拦截。GEB与传统基于漏洞利用的IPS技术不同之处在于，它可以凭借单一签名拦截所有新型漏洞利用，从而提高检测，加速修复。Sygate同样提供了基于规则的新型防火墙。该防火墙可以进行动态调整port设置，防止威胁扩散，并检测加密和纯文本的网络流量。
5、简化与扩展
随着访问企业资源的用户群体不断扩大，端点保护和安全策略遵从之间结合得更加紧密。Symantec Endpoint Protection支持NAC。通过将NAC和安全性集成到单一的端点代理，赛门铁克可帮助用户更加快速简便地部署Symantec Network Access Control，并极大地提高运行效率，包括单一软件和策略更新、统一报告、以及统一执照和维护等。

通过上述文字，让大家了解了SEP的威力，接下来的图示就是安装好后的管理控制台：

第三部分：从SAV升级到SEP的解决之道

通过使用第三部分功能的介绍，相信各位有所心动了，其实，在安装过程中还是有一些不错的功能还没有说出来呢：

1、通过控制台“主页”可以清晰明确的了解企业中防病毒状态。

2、可以使用不同类型的安全策略来管理网络安全性。这些策略是在安装期间自动创建

的。可以使用默认策略，也可以自定义策略以符合特定环境的需要。

3、针对不同的区域或分组可以制作不同的客户端安装包，或是依据不同的客户端操作系统制作不同的安装包。（据Symantec集成商说SERVER OS只能具备防病毒及反间谍功能）如下两图所示，这些设置会在安装管理中有说明的，此处仅以此辅助说明下：

4、和活动目录集成，基于组和用户、计算机进行客户端管理。如下图所示：

在SEP解决方案中，是不存在二级服务器的角色的，但可以安装一个客户端代理，并赋予更新点的角色，也就是说可以通过在管理控制台的设置，让一个分支机构的（在SEP控制台就是以客户端组的概念）客户端病毒库及策略更新均从其上得到。

了解了新型解决方案的好处，接下来要处理的就是如何进行升级了，也就是SAV升级到SEP的最佳实践是什么呢。

网上有些朋友提供了通过一些设置（相当复杂，请自行查找）来进行更新的解决方案，不但麻烦，而且还忽略了一个问题：现有的客户端的更新在二级服务器不提供服务时怎么办？

经过分析研究，针对第一部分中所描述的现有的防病毒部署环境，提出了下列注意事项及解决方法：

1、数据中心全新安装一台SEP服务器，与原SAV一级服务器并行使用。这样可以保证分支机构的二级服务器从此更新，从而保证客户端防病毒更新的及时性。

2、通过SEP管理制台，制作针对数据中心服务器操作系统及各分支机构桌面操作系统的两种安装包（具备的功能不同，见之前3中的server和client截图）。

3、数据中心服务器直接使用服务器操作系统客户端安装包进行安装。并以SEP服务器为更新点。

同时，分支机构分时间段进行，比方说用一周时间安装一个分支机构，这些分支机构的桌面操作系统安装SEP客户端后，暂时找数据中心的SEP服务器进行更新，当然要保证两者的通讯正常（也就是硬件防火墙开启相应的端口）。当一个分支完成所桌面系统客户端的更新后，再把原来的二级服务器卸载掉。这样子做，就不会造成由于安装时间的前后造成一些原来的SAV客户端不能及时更新病毒库的局面啦。

注意：分支机构的更新点若是服务器操作系统时要注意，其自身不具备的功能（但经Symantec技术中工程师确认，更新点即使是服务器OS，也不会影响客户端是桌面操作系统的更新的）。

注意：可以在安装有SAV客户端的机器直接安装SEP客户端，会自动卸载旧客户端，并且安装完成后无需重启（但建议计划重启行为）。

4、依3、中分步分时进行分支机构客户端更新，并在完成一个地方后，通过SEP服务器控制台进行设置每个分支的本地更新点。

通过本文介绍，已经明白采用何种办法来进行SEP解决方案的部署了，在下一篇文章中会介绍如何安装SEP服务器及注意事项。

EMC存储宝箱IX 2抢先使用体验

ricky.fang@live.com(admin) — Thu,18 Dec 2008 16:20:35 +0800

老方发表在IT168，如需要转载请联系http://storage.it168.com/a2008/1217/260/000000260590.shtml。

【IT168 专稿】作为全球领先的存储厂商EMC公司，近期推出了旨在为小型企业、已联网的办公室和数字家庭用户，提供一套安全易用的、基于TCP/IP网络环境的入门级多功能数据存储系统：Iomega Storcenter IX 2存储宝箱（如下图1）。

　　此款存储宝箱通过接入分支机构的局域网，能成为本地机构的数据保护中心。而且存储宝箱作为入门级的专业网络存储系统，它可以非常方便地融合到网络环境中，为用户提供可靠的文件数据自动备份保护，以及安全的数据集中保护和网络共享访问功能。存储宝箱简单易用，只要掌握基本的电脑操作即可完成初始设置，使用起来就像本地硬盘一样简单。

　　接下来将一起分享下其的专业表现：

　　一、 Iomega Storcenter IX 2特性及常见的应用场景

　　硬件特性：

　　1、基于高性能低功耗的嵌入式平台

　　2、最大2T容量，支持2块SATA Rev.2.5 高速硬盘 (3.0 Gb/s)

　　3、10/100/1000 Mb/s 自适应以太网端口

　　4、2个USB 2.0端口外接设备(U-disk/CD-ROM…)以扩展容量或功能

　　5、非常小的物理尺寸(8x20x12.5cm/3.15" x 7.87" x 4.92")，仅仅一个笔记本大

　　6、仅有一个散热风扇,非常安静

　　软件特性：

　　1、安全: 用户权限管理, 备份软件, RAID, RSA, 故障告警, UPS支持

　　2、易于安装与管理: 4个步骤安装,基于Web管理,方便的共享

　　3、丰富的功能: 文件共享,媒体中心,视频监控,蓝牙文件传输,打印服务……

　　应用场景：

　　1、当公司/个人需要安全可靠的存储空间来保存、保护和共享他们的数据资料时（图2）

　　2、当公司/个人的电脑中有重要的数据需要定时自动的备份保护时（图3）

　　3、在家庭局域网内和家庭成员分享媒体时（图4）

　　4、当公司/家庭有监视特殊场所的需要时（图5）

二、 Iomega Storcenter IX 2在生产环境网络中的使用

　　1、基于浏览器的用户操作界面可以实现方便的访问和管理

　　Iomega Storcenter IX 2被设计成可以通过自定义其的TCP/IP设置，来充许用户通过浏览器来进行访问及设置。而且当你处在同一局域网内时，在任何一台机器上均可以对其进行访问和管理。（当然亦能通过存随储宝箱自带的客户端软件进行管理，需要在电脑上安装客户端管理软件。）

　　在地址栏输入http://ip（:8888），回车后提示输入用户名和密码，此时输入用户名admin，密码为空，就可以进入管理界面。为了使用上的方便，在登陆的首页亦可以不输入用户名和密码来进行对系统的访问，但这是受到一定的访问和管理限制的。下图显示了进入管理界面后的首页，共有五项：

　　A、主页，提供了对多种常用任务的快速访问，而这些快速访问选项在其他的四项中都有所体现（控制面板、用户、共享文件夹、设置）。（图6）

　　B、控制面板，提供了Iomega StorCenter设备状态的概述信息（图7）

　　C、用户，此处显示了用户列表，并且通过用户前的"操作"选项，可以查看用户信息以及对共享文件夹的访问权限，也可以修改用户属性及密码及以及访问权限。默认情况下admin账号是不能删除的。

　　通过图中下方的"添加"按钮，可以实现用户的增加（并能赋于用户相应的权限）。（图8）

　　D、共享文件夹，可以在此查看、搜索、添加、删除、修改共享文件夹。（图9）

　　E、设置，通过这个页面上的操作，可对网络、备份、打印机、媒体服务、电源管理等进行管理和配置。

　　接下来将要重点对TCP/IP（网络配置）、FTP、以及备份进行操作，通过此来实际体验下Iomega Storcenter IX 2在生产环境中的应用。（图10）

2、 Iomega Storcenter IX 2网络设置更改

　　在1、中的E图中，找到网络服务并双击，进入下图的界面，在此可以应用和配置FTP、NFS（和LINUX平台进行文件访问等）、SNMP（简单网络协议）、蓝牙（这真是个不错的功能，能简单快捷地将您的个人通讯录、照片图片或者其他信息，从您的蓝牙手机、个人数字终端PPC或者黑莓直接传送到您的个人电脑中去!* ）等。此处，要进行的是TCP/IP的设置变更，点"网络设置"。（图11）

　　在出现的界面中，可以看到分配IP地址的两种方式：DHCP和手动配置。选择手动配置并在IP地址栏内输入IP地址：10.154.191.24，子网掩码：255.255.255.0。大家可以根据公司网络情况进行设置，当然也可以设置成公有IP地址及网关。当你把此存储做为FTP服务器时，连通网络，就可以供Internet上的用户访问啦。（图12）

3、 Iomega Storcenter IX 2提供FTP服务

　　A、当IP地址设置好后，就可以被配置为FTP服务器使用了，打开"网络服务"的子选项，找到"FTP"，点击后，进入"FTP设置"页，此页中，你可以进行启用FTP操作，同时可以充许匿名访问。如果想充许用户访问，就需要用到"用户"页，进行用户的新建和设置了。在这里，启用FTP，但不充许匿名访问。如下图：（图13）

　　B、在I浏览器中输入ftp://ip，回车后，输入用户名和密码就能访问到存储上的共享资源了。如果是公网IP，就能提供Internet上的FTP服务啦。（图14）

4、使用EMC Retrospect Express HD2.1进行数据的备份和恢复

　　A、在使用EMC Retrospect Express HD进行数据的备份和恢复之前，请先了解如下事情：

　　●EMC Retrospect客户端会随EMC存储宝箱的客户端软件一起安装

　　●可以自动或者手动备份您的计算机数据

　　●可以为快速数据挽救而创建恢复点

　　●可以分别按照单个文件，文件夹或者文件类型来进行数据备份

　　●在设置和执行备份任务前，必须确保EMC存储宝箱的共享文件夹已经映射到您的电脑成为一个逻辑盘

　　B、在"主页"，打开"备份与恢复"快速访问。出现如下界面，点"设置"，进入下一个界面：（图15）

　　C、在"选择备份类型"界面，有两种：

　　Backup - 备份整个计算机，文件，文件夹或者创建系统快照Copy - 为您最新的文件系统版本保存一个拷贝到存储宝箱系统中选择"备份"，下一步：（图16）

　　D、在"您希望备份什么"界面，可以据实选择你要备份的对象，提供的3个选择，还是相当丰富和齐全的，基本上能满足备份的需求。选择"充许我选择指定文件，文件夹或者驱动器"，下一步：（图17）

　　E、在"选择要备份的文件、文件夹和驱动器"页，选定一个文件夹，并下一步：

　　F、在"选择要存储备份的磁盘"找到共享文件夹映射到您的电脑中的逻辑盘V，并在"用于备份"下拉框选择空间多少。如下图，选定后并下一步：（图18）

　　G、在"请选择一周中执行自动备份的日期"界面，你可以定制不同的日期的备份计划。设定好后，点"完成"。（图19）

　　H：点击"立即备份"，就可以进行刚才设定的文件夹的备份啦。如果你想改变之前的设置，就点此界面下端的"设置"进行更改。（图20、21）

　　进行恢复的操作备份很类似，这里不再详述，各位可以有条件的自行研究。

　　由于篇幅所限，此文并不能完全把Iomega Storcenter IX 2优秀功能一一展现。诸如媒体中心、修改RAID级别、全文检索等等功能并没有涉及到。但从性价比来看，Iomega Storcenter IX 2的确是一个超值的选择，尤其适合中小型办公网络。

如何重新安装TCP/IP协议

ricky.fang@live.com(admin) — Thu,13 Nov 2008 08:13:53 +0800

来源于网络, 以作备查！

#########################################################
问：WINXP操作系统下如何重新安装TCP/IP协议

答：在Windows XP 中默认安装了 TCP/IP。但是，如果出了网络问题想卸载后重新安装 TCP/IP 就不容易了：在“本地连接”属性中显示的此连接使用下列项目列表中单击 Internet 协议 (TCP/IP) 项，您将发现卸载按钮不可用（被禁用）。

这是因为传输控制协议/Internet 协议 (TCP/IP) 堆栈是 Microsoft XP/ 2003 的核心组件，不能删除。在这种情况下，如果需要重新安装 TCP/IP 以使 TCP/IP 堆栈恢复为原始状态。可以使用 NetShell 实用程序重置 TCP/IP 堆栈，使其恢复到初次安装操作系统时的状态。方法是：在命令提示符后键入以下命令，然后按 ENTER 键：netsh int ip reset c:resetlog.txt，其中，Resetlog.txt记录命令结果的日志文件，一定要指定，这里指定了 Resetlog.txt 日志文件及完整路径。运行此命令的结果与删除并重新安装 TCP/IP 协议的效果相同。

#########################################################
问题描述:

不能上网,

ping 出现:pinging ? with ...

重新安装tcp/ip.

在Windows XP 中默认安装了 TCP/IP。但是，如果出了网络问题想卸载后重新安装 TCP/IP 就不容易了：在“本地连接”属性中显示的此连接使用下列项目列表中单击 Internet 协议 (TCP/IP) 项，您将发现卸载按钮不可用（被禁用）。

这是因为传输控制协议/Internet 协议 (TCP/IP) 堆栈是 Microsoft XP/ 2003 的核心组件，不能删除。在这种情况下，如果需要重新安装 TCP/IP 以使 TCP/IP 堆栈恢复为原始状态。可以使用 NetShell 实用程序重置 TCP/IP 堆栈，使其恢复到初次安装操作系统时的状态。方法是：在命令提示符后键入以下命令，然后按 ENTER 键：netsh int ip reset c:resetlog.txt，其中，Resetlog.txt记录命令结果的日志文件，一定要指定，这里指定了 Resetlog.txt 日志文件及完整路径。运行此命令的结果与删除并重新安装 TCP/IP 协议的效果相同。

这个办法我试过了,行不通.

可行的办法是这样的:(转贴)

1、开始——运行——regedit.exe，打开注册表编辑器，删除以下两个键：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2

2、用记事本打开%winroot%\inf\nettcpip.inf文件，找到：
[MS_TCPIP.PrimaryInstall]
Characteristics = 0xa0 <------把此处的0Xa0改为0x80 保存退出

3、打开本地连接的TCP/IP属性---添加协议——从磁盘——浏览找到刚刚保存的nettcpip.inf(%winroot%\inf\nettcpip.inf)文件，然后选择“TCP/IP协议”（不是选择那个TCP/IP 版本6）。
经过这一步之后，又返回网络连接的窗口，但这个时候，那个“卸载”按钮已经是可用的了。点这个“卸载”按钮来把TCP/IP协议删除，然后重启一次机器。

4、重启后再照着第3步，重新安装一次TCP/IP协议便可。

5、再重启一次，这时应该可以了，可以照着需要，设置一下IP地址。

在CentOs 5.1中使用rpm安装NGINX+php+mysql（二）

ricky.fang@live.com(admin) — Sun,20 Jan 2008 16:06:35 +0800

   算是原创。转载请注明此地址，随着对NGINX认知的深入，此文会不定期更新或是修正。

   以下兵分两路来说明：一是直接利用php-cgi的FastCGI运行方式；二是利用Lighttpd的spawn-fcgi来控制进程的运行方法。

先说说利用php-cgi的FASTCGI运行方式：
7、创建php-cgi启动脚本，
[root@nginx-freetds ~]# vi /etc/init.d/phpcgi
#!/bin/sh
#
# php-cgi - this script starts and stops the php-cgi daemin
#
# chkconfig: - 85 15
# description: Fast CGI php
# processname: php-cgi
# config: /etc/php.ini
# pidfile: /var/run/php-cgi.pid

# Source function library.
. /etc/rc.d/init.d/functions

# Source networking configuration.
. /etc/sysconfig/network

# Check that networking is up.
[ "$NETWORKING" = "no" ] && exit 0

phpcgi="/usr/bin/php-cgi"
prog=$(basename ${phpcgi})

FCGIPORT="8888"
FCGIADDR="127.0.0.1"
FCGIUSER="apache"
FCGIGROUP="apache"
PHP_FCGI_CHILDREN=5
PHP_FCGI_MAX_REQUESTS=1000
export PHP_FCGI_CHILDREN PHP_FCGI_MAX_REQUESTS

[ -e /etc/sysconfig/php-cgi ] && . /etc/sysconfig/php-cgi

lockfile=/var/lock/subsys/php-cgi

start() {
echo -n $"Starting $prog: "
/usr/bin/spawn-fcgi -a $FCGIADDR  -p $FCGIPORT -C $PHP_FCGI_CHILDREN -u $FCGIUSER -g $FCGIGROUP -P /var/run/php-cgi.pid -f "${phpcgi}" >> /
dev/null 2>&1
retval=$?
echo
[ $retval -eq 0 ] && touch $lockfile
return $retval
}

stop() {
echo -n $"Stopping $prog: "
killproc $prog -QUIT
retval=$?
echo
[ $retval -eq 0 ] && rm -f $lockfile
return $retval
}

restart() {
stop
start
}

force_reload() {
restart
}

fdr_status() {
status $prog
}

case "$1" in
start|stop|restart)
$1
;;
status)
fdr_status
;;
condrestart|try-restart)
[ ! -f $lockfile ] || restart
;;
*)
echo $"Usage: $0 {start|stop|status|restart|try-restart|force-reload}"
exit 2
esac

然后，开机自动运行：
[root@nginx-freetds ~]#/sbin/chmod +x /etc/init.d/phpcgi
[root@nginx-freetds ~]#/sbin/chkconfig --add phpcgi
[root@nginx-freetds ~]#/sbin/chkconfig --level 35 phpcgi on
[root@nginx-freetds ~]#/sbin/chkconfig --level 35 nginx on

但从网上说会遇到两个问题，这里摘录一位的解决方案。（我没有遇到。也没有机会测试下面的解决方式是否正确）
[root@nginx-freetds ~]# cat /var/log/audit/audit.log| audit2allow -M local
[root@nginx-freetds ~]#/usr/sbin/semodule -i local.pp

下面说说利用Lighttpd的spawn-fcgi来控制进程的运行的方法：
8、开启nginx及利用Lighttpd的spawn-fcgi来控制进程的运行
[root@nginx-freetds ~]# spawn-fcgi -a 127.0.0.1 -p 9000 -C 5 -u nginx -g nginx -f /usr/bin/php-cgi
spawn-fcgi.c.187: child spawned successfully: PID: 2513

参数含义如下

-f 指定调用FastCGI的进程的执行程序位置，根据系统上所装的PHP的情况具体设置
-a 绑定到地址addr
-p 绑定到端口port
-s 绑定到unix socket的路径path
-C 指定产生的FastCGI的进程数，默认为5（仅用于PHP）
-P 指定产生的进程的PID文件路径
-u和-g FastCGI使用什么身份（-u 用户 -g 用户组）运行，Ubuntu下可以使用www-data，其他的根据情况配置，如nobody、apache等

因为，安装rpm 安装nginx时。会创建nginx用户和组。

[root@nginx-freetds ~]# service nginx start
Starting nginx: [  OK  ]

9、在IE栏里输入http://124.207.102.22/index.htm这时NGINX已在正常运行。如下图：

在/usr/share/nginx/html下面新建index.php
phpinfo();
?>

在IE栏里输入http://124.207.102.22/index.php这时NGINX已在正常运行。如下图：

10、那如何实现php的运行呢。在第7或第8步骤中，已开启了PHP的进程：
[root@nginx-freetds ~]# ps -aux |grep php
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.7/FAQ
nginx     2513  0.0  1.9  17720  4964 ?        Ss   20:45   0:00 /usr/bin/php-cgi
nginx     2514  0.0  0.6  17720  1656 ?        S    20:45   0:00 /usr/bin/php-cgi
nginx     2515  0.0  0.6  17720  1656 ?        S    20:45   0:00 /usr/bin/php-cgi
nginx     2516  0.0  0.6  17720  1656 ?        S    20:45   0:00 /usr/bin/php-cgi
nginx     2517  0.0  0.6  17720  1656 ?        S    20:45   0:00 /usr/bin/php-cgi
nginx     2518  0.0  0.6  17720  1656 ?        S    20:45   0:00 /usr/bin/php-cgi
root      2542  0.0  0.2   3892   676 pts/0    R+   20:48   0:00 grep php

可以看到，有五个进程正在运行。

    默认情况下。NGINX是可以开启静态页面，但如何开启PHP。还是要在/etc/nginx/nginx.php设置的。
    各位可以参考我的配置前后的截图（呵呵，研究下，有些参数是可以改变的。要举一返三吧）：
修改前：

修改后：

保存更改。

然后service nginx restart便可了。

11、配置虚拟主机
在APACHE上配置虚拟主机。想来各位都有一定的体验。那如何在NGINX中实现呢？
[root@nginx-freetds html]# vi /etc/nginx/nginx.conf
参考下图（开启https的样例也在内）。最后几行：
  server
      {
        listen       8000;    ####监听端口
        server_name  124.207.102.22  alias  another.alias;####域名
        root   /usr/share/nginx/html;                     ####路径
        index  index.php index.html index.htm;    ####index

        location ~ \.php$
        {
             include   fastcgi.conf;
             fastcgi_pass   127.0.0.1:9000;
             fastcgi_index  index.php;
         }

想多加虚机吗。呵呵，多来几个吧（日志选项请自位参考CONF文件自行研究）。

基本上完成了。有些功能还需要参考官方文档深入研究学习下
接下来，研究下rpm安装的情况下实现php连ms sql server.(tar包的已成功且在用啦)

在CentOs 5.1中使用rpm安装NGINX+php+mysql（一）

ricky.fang@live.com(admin) — Sun,20 Jan 2008 16:01:10 +0800

算是原创。转载请注明此地址，随着对NGINX认知的深入，此文会不定期更新或是修正。

引用：
Nginx ("engine x") 是一个高性能的 HTTP 和反向代理服务器，也是一个 IMAP/POP3/SMTP 代理服务器。 Nginx 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的，它已经在该站点运行超过两年半了。Igor 将源代码以类BSD许可证的形式发布。

phpcgi脚本参考http://hi.baidu.com/jackbillow/blog/item/c60ccc02b33caa0d4afb51f6.html

安装参考:http://blog.s135.com/read.php/314.htm  呵呵，照做总没有成功。试了n多次。后来改变了一些方法。有时间另文写出！

安装参考：http://www.howtoforge.com/lemp_nginx_mysql_php_ubuntu_debian 我一直用的是centos，为了使用NGINX。一度想换个LINUX OS发行版本。还好。用了GOOGLE终于搞定了。

针对redhat的rpm包：http://dl.activeby.net/rpms/RPMS/ (NGINX的版本是nginx-0.5.32) 因为机器能连网。我就直接用yum（NGINX的版本是nginx-0.5.33-2.el5）啦。呵呵，你也可以下载后，安装。

安装参考:http://shiningray.cn/linux-shang-pei-zhi-nginx-php5-fastcgi.html

1、安装环境CentOs 5.1
[root@nginx-freetds html]# uname -a
Linux nginx-freetds 2.6.18-53.el5 #1 SMP Mon Nov 12 02:22:48 EST 2007 i686 i686 i386 GNU/Linux
2、系统安装时定制安装mysql了。当然也可以采用yum install的方式安装。同时。安装了一些开发工具。呵呵，如果使用yum install的方式。亦可不在安装系统时安装。

开始安装：
1、启用CENTOS的额加包。如果不安装，可能会出现不能安装NGINX的问题。
[root@nginx-freetds ~]# rpm -Uvh http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-2.noarch.rpm
Retrieving http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-2.noarch.rpm
warning: /var/tmp/rpm-xfer.4hD87B: Header V3 DSA signature: NOKEY, key ID 217521f6
Preparing...                ########################################### [100%]
   1:epel-release           ########################################### [100%]
[root@nginx-freetds ~]#

2、安装NGINX

[root@nginx-freetds ~]#  yum install -y nginx
Loading "installonlyn" plugin
Setting up Install Process
Setting up repositories
epel                      100% |=========================| 1.1 kB    00:00
Reading repository metadata in from local files
primary.xml.gz            100% |=========================| 513 kB    00:04
################################################## 1595/1595
Parsing package install arguments
Resolving Dependencies
--> Populating transaction set with selected packages. Please wait.
---> Downloading header for nginx to pack into transaction set.
nginx-0.5.33-2.el5.i386.r 100% |=========================| 8.3 kB    00:00
---> Package nginx.i386 0:0.5.33-2.el5 set to be updated
--> Running transaction check

Dependencies Resolved

=============================================================================
Package                 Arch       Version          Repository        Size
=============================================================================
Installing:
nginx                   i386       0.5.33-2.el5     epel              286 k

Transaction Summary
=============================================================================
Install      1 Package(s)
Update       0 Package(s)
Remove       0 Package(s)

Total download size: 286 k
Downloading Packages:
(1/1): nginx-0.5.33-2.el5 100% |=========================| 286 kB    00:02
warning: rpmts_HdrFromFdno: Header V3 DSA signature: NOKEY, key ID 217521f6
Importing GPG key 0x217521F6 "Fedora EPEL " from /etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL
Running Transaction Test
Finished Transaction Test
Transaction Test Succeeded
Running Transaction
  Installing: nginx                        ######################### [1/1]

Installed: nginx.i386 0:0.5.33-2.el5
Complete!
[root@nginx-freetds ~]#

3、安装后，NGINX的配置文件位于：
[root@nginx-freetds ~]# ll /etc/nginx/
total 28
-rw-r--r-- 1 root root 2837 Nov 12 16:11 koi-utf
-rw-r--r-- 1 root root 2223 Nov 12 16:11 koi-win
-rw-r--r-- 1 root root 2991 Nov 12 16:11 mime.types
-rw-r--r-- 1 root root 2991 Nov 12 16:11 mime.types.default
-rw-r--r-- 1 root root 2753 Nov 12 16:11 nginx.conf
-rw-r--r-- 1 root root 2753 Nov 12 16:11 nginx.conf.default
-rw-r--r-- 1 root root 3610 Nov 12 16:11 win-utf

安装后，NGINX的网站目录位于：
[root@nginx-freetds ~]#

4、配置Nginx的PHP FastCGI
请将以下内容保存为fastcgi.conf文件，保存于/usr/share/nginx下，它为我们的FastCGI模块设置了基本的环境变量：

[root@nginx-freetds ~]# ll /usr/share/nginx/
total 4
drwxr-xr-x 2 root root 4096 Jan 20 19:58 html
[root@nginx-freetds ~]# vi /usr/share/nginx/fastcgi.conf

输入：
fastcgi_param GATEWAY_INTERFACE CGI/1.1;
fastcgi_param SERVER_SOFTWARE nginx;

fastcgi_param QUERY_STRING $query_string;
fastcgi_param REQUEST_METHOD $request_method;
fastcgi_param CONTENT_TYPE $content_type;
fastcgi_param CONTENT_LENGTH $content_length;

fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_param SCRIPT_NAME $fastcgi_script_name;
fastcgi_param REQUEST_URI $request_uri;
fastcgi_param DOCUMENT_URI $document_uri;
fastcgi_param DOCUMENT_ROOT $document_root;
fastcgi_param SERVER_PROTOCOL $server_protocol;

fastcgi_param REMOTE_ADDR $remote_addr;
fastcgi_param REMOTE_PORT $remote_port;
fastcgi_param SERVER_ADDR $server_addr;
fastcgi_param SERVER_PORT $server_port;
fastcgi_param SERVER_NAME $server_name;

# PHP only, required if PHP was built with --enable-force-cgi-redirect
fastcgi_param REDIRECT_STATUS 200;

为什么会是在这个下面。这是我经过多次失败之后的总结,当然也可以改在其它的位置。只需在第10步中更改include 后的路径便可：
[root@nginx-freetds ~]# service nginx restart
Stopping nginx: [FAILED]
Starting nginx: 2008/01/20 00:05:32 [emerg] 15038#0: glob() "/usr/share/nginx/./fastcgi.conf" failed (2: No such file or directory) in /etc/nginx/nginx.conf:123
[FAILED]

5、接下来安装PHP，加上php-cli 以便在/usr/bin/ 生成php-cgi。这个很重要。还需要使用到它。
[root@nginx-freetds ~]# yum install -y php php-cli
Loading "installonlyn" plugin
Setting up Install Process
Setting up repositories
base                      100% |=========================| 1.1 kB    00:00
updates                   100% |=========================|  951 B    00:00
addons                    100% |=========================|  951 B    00:00
extras                    100% |=========================| 1.1 kB    00:00
Reading repository metadata in from local files
Parsing package install arguments
Resolving Dependencies
--> Populating transaction set with selected packages. Please wait.
---> Downloading header for php to pack into transaction set.
php-5.1.6-15.el5.i386.rpm 100% |=========================|  18 kB    00:00
---> Package php.i386 0:5.1.6-15.el5 set to be updated
---> Downloading header for php-cli to pack into transaction set.
php-cli-5.1.6-15.el5.i386 100% |=========================|  17 kB    00:00
---> Package php-cli.i386 0:5.1.6-15.el5 set to be updated
--> Running transaction check

Dependencies Resolved

=============================================================================
Package                 Arch       Version          Repository        Size
=============================================================================
Installing:
php                     i386       5.1.6-15.el5     base              1.2 M
php-cli                 i386       5.1.6-15.el5     base              2.3 M

Transaction Summary
=============================================================================
Install      2 Package(s)
Update       0 Package(s)
Remove       0 Package(s)

Total download size: 3.5 M
Downloading Packages:
(1/2): php-5.1.6-15.el5.i 100% |=========================| 1.2 MB    00:04
(2/2): php-cli-5.1.6-15.e 100% |=========================| 2.3 MB    00:06
warning: rpmts_HdrFromFdno: Header V3 DSA signature: NOKEY, key ID e8562897
Importing GPG key 0xE8562897 "CentOS-5 Key (CentOS 5 Official Signing Key) " from http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5
Running Transaction Test
Finished Transaction Test
Transaction Test Succeeded
Running Transaction
  Installing: php-cli                      ######################### [1/2]
  Installing: php                          ######################### [2/2]

Installed: php.i386 0:5.1.6-15.el5 php-cli.i386 0:5.1.6-15.el5
Complete!
[root@nginx-freetds ~]#

查看下:
[root@nginx-freetds ~]# locate php-cgi
/usr/bin/php-cgi
呵呵，已生成php-cgi啦。

show 下安装后的php组件：

[root@nginx-freetds ~]# rpm -aq |grep php
php-5.1.6-15.el5
php-pdo-5.1.6-15.el5
php-common-5.1.6-15.el5
php-mysql-5.1.6-15.el5
php-cli-5.1.6-15.el5

6、接下来安装lighthttp以得到spawn-fcgi以此来控制php-cgi进程运行

[root@nginx-freetds ~]# yum install -y lighttpd-fastcgi
Loading "installonlyn" plugin
Setting up Install Process
Setting up repositories
epel                      100% |=========================| 1.1 kB    00:00
Reading repository metadata in from local files
Parsing package install arguments
Resolving Dependencies
--> Populating transaction set with selected packages. Please wait.
---> Downloading header for lighttpd-fastcgi to pack into transaction set.
lighttpd-fastcgi-1.4.18-1 100% |=========================| 9.6 kB    00:00
---> Package lighttpd-fastcgi.i386 0:1.4.18-1.el5 set to be updated
--> Running transaction check
--> Processing Dependency: lighttpd = 1.4.18 for package: lighttpd-fastcgi
--> Restarting Dependency Resolution with new changes.
--> Populating transaction set with selected packages. Please wait.
---> Downloading header for lighttpd to pack into transaction set.
lighttpd-1.4.18-1.el5.i38 100% |=========================|  21 kB    00:00
---> Package lighttpd.i386 0:1.4.18-1.el5 set to be updated
--> Running transaction check
--> Processing Dependency: liblua-5.1.so for package: lighttpd
--> Restarting Dependency Resolution with new changes.
--> Populating transaction set with selected packages. Please wait.
---> Downloading header for lua to pack into transaction set.
lua-5.1.2-1.el5.i386.rpm  100% |=========================| 6.8 kB    00:00
---> Package lua.i386 0:5.1.2-1.el5 set to be updated
--> Running transaction check

Dependencies Resolved

=============================================================================
Package                 Arch       Version          Repository        Size
=============================================================================
Installing:
lighttpd-fastcgi        i386       1.4.18-1.el5     epel               45 k
Installing for dependencies:
lighttpd                i386       1.4.18-1.el5     epel              373 k
lua                     i386       5.1.2-1.el5      epel              225 k

Transaction Summary
=============================================================================
Install      3 Package(s)
Update       0 Package(s)
Remove       0 Package(s)

Total download size: 643 k
Downloading Packages:
(1/3): lighttpd-1.4.18-1. 100% |=========================| 373 kB    00:01
(2/3): lighttpd-fastcgi-1 100% |=========================|  45 kB    00:00
(3/3): lua-5.1.2-1.el5.i3 100% |=========================| 225 kB    00:01
Running Transaction Test
Finished Transaction Test
Transaction Test Succeeded
Running Transaction
  Installing: lua                          ######################### [1/3]
  Installing: lighttpd                     ######################### [2/3]
  Installing: lighttpd-fastcgi             ######################### [3/3]

Installed: lighttpd-fastcgi.i386 0:1.4.18-1.el5
Dependency Installed: lighttpd.i386 0:1.4.18-1.el5 lua.i386 0:5.1.2-1.el5
Complete!
[root@nginx-freetds ~]# updatedb
[root@nginx-freetds ~]# locate spawn-fcgi
/usr/bin/spawn-fcgi
/usr/share/man/man1/spawn-fcgi.1.gz
[root@nginx-freetds ~]#

OK,spawn-fcgi被安装成命令行式了。成功。

使用fail2ban保护系统一例(ssh)

ricky.fang@live.com(admin) — Mon,07 Jan 2008 14:23:59 +0800

       先来唉叹一下，每次查看LINUX网关服务器的安全日志时，就会看到N长的登陆失败的IP。很显然有人在做“好事”。那如何来防范，或是减少这种烦心的事情呢？


       呵呵，那你就使用fail2ban吧！它的工作原理就是通过比对配置文件里一些事先定义的参数（如对SSH的使用），当一个行为符合这些参数规则且达到一定的次数时，就会被fail2ban阻挡（结合iptables,但本文中，不用配置iptables）。fail2ban的官方网址是http://fail2ban.sourceforge.net。http://www.fail2ban.org/wiki/index.php/HOWTOs 各位需要详细的了解的话，就请前往。

      本文要介绍的是如何让SSH登陆一台机器，连续三次不成功后，被阻挡600秒的例子。
      官网上有TAR包。由于我自已比较懒汉，所以就直接下载了fail2ban-0.6.1-2jik.noarch.rpm.

一、安装环境：RedHat AS5 + fail2ban-0.6.1-2jik.noarch.rpm
                             fail2ban所在机器IP为 192.168.1.1

二、安装及简要配置：
       1、如下图，运行：rpm -Uvh fail2ban-0.6.1-2jik.noarch.rpm
                       同时，图中还显示了内核版本号。


         2、安装好后，配置文件会存在于/etc下面，名字为fail2ban.conf 所有的全局配置以及针对服务的配置均集中在此文件中。与TAR编译有所有不同。
        下图中就是显示的全局配置，也就是主配置的截图，其中maxfailures = 5是说明比对五次不同服务的参数均相同后，拒绝同样的访问600秒时间。



             下图是本文的正角色。SSH的配置截图，可以看到最下面三句话。这就是fail2ban要做的事情。这里没有做任何改。当然整个配置文件中也提到了apache ftp等。请各位自行研究学习。



         3、OK，我对整个fail2ban.conf文件只是改变了原来的maxfailures = 5 为3.其它的不变。此时，要说明的是，采用此方法安装的fail2ban，会自动安装成服务，且系统启动时自启动，当然你可以使用 service  fail2ban  {start|stop|status|restart|condrestart}来进行相应的操作。这里，使用service fail2ban start。开启此服务。

三、测试安装效果：
       在另外一台机器192.168.1.3 上ssh root@192.168.1.1 连续输错3次密码后，再使用此命令时，就不会出现提示输入密码了。且在服务器上查看日志cat /var/log/fail2ban.log。可以看到deny的记录。

PIX 525下的怪问题（需在防火墙后的同子网上激活之后才能在INTERNET上使用）？

ricky.fang@live.com(admin) — Sat,05 Jan 2008 23:11:47 +0800

一、网络拓朴（PIX525是透明模式）
internet----pix525---switch---各个具有公网IP的20台服务器
这20台服务器，其中有七台是IBM3650的。且PIX 525的IOS版本是IOS 7.2

A、现象是，其中一台服务器在internet上是PING(centos5.1 or win2k3-sp2)不通的。但在同一交换机上的其它服务器上是可以PING通的，如果通过ssh 或是远程桌面连上此台服务器后。再在internet上PING其或是TELNET其便可以了。

B、如果不通过PIX525是一直正常的。
C、如果internet---switch--其它19台服务器
                         --PIX 525--这台服务器
       这种方式下仍然不行，仍需要通过交换机上同一子网的其他服务器SSH or 远程桌面后，才可以PING通。（此时防火墙仍只对这台服务器起作用。但仍可以在交换机上能PING通。有点怀疑是IDC上级交换机的问题？在于可是其它服务器怎么就没有此问题呢。）
（这时，就有问题了，好像和PIX525又没有关系了。郁闷）

为了解决这个问题。我采用过如下步骤：
1、升级这台服务器的BIOS
2、服务器安装LINUX或是WINDOWS后，升级网卡驱动Broadcom NetXtreme II BCM5708 1000Base-T (B2) PCI-X 64-bit 133MHz
3、更换网线，电源线，更改网卡MAC地址、绑定网关IP及MAC等均仍不行。
4、曾怀疑过路由的问题，但是只有一个路由。还是默认路由。
5、换过交换机，现在用的交换机是CISCO 2950的。

有过一次，安装了WINDOWS后，改MAC，升级网卡驱动。竟然行了。同样的网络条件下装成CENTOS5.1就又不行了。(但我需要用到的是LINUX)

请问各位达人，有没有遇到此问题。还请给点方法？

附近PIX 525的配置文件：
asdm image flash:/asdm521.bin
no asdm history enable
: Saved
:
PIX Version 7.2(1)
!
firewall transparent
hostname i360edu
domain-name default.domain.invalid
enable password YSZwhCRNWaQ9YBsy encrypted
names
!
interface Ethernet0
nameif outside
security-level 0
!
interface Ethernet1
nameif inside
security-level 100
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
access-list out-list extended permit icmp any any
access-list out-list extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
ip address 192.168.2.1 255.255.255.0
no failover
monitor-interface outside
monitor-interface inside
asdm image flash:/asdm521.bin
no asdm history enable
arp timeout 14400
access-group out-list in interface outside
access-group out-list out interface outside
access-group out-list in interface inside
access-group out-list out interface inside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.2.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 192.168.2.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
arp-inspection outside enable flood
arp-inspection inside enable flood
prompt hostname context
Cryptochecksum:c1a48610472b4da98ff0ea17b8b7759f
: end

使用NAGIOS监控网络、系统及服务

ricky.fang@live.com(admin) — Sun,09 Dec 2007 10:03:40 +0800

      近两天，受一位之前同事的启发，自已也搞起了nagios学习和研究之旅。还好，凭着google上几位“先人”的先行，以及自己的烂泥式的英语阅读能力。终于还是搞好了些监控项目。下面截图表现一下：

其中主机名为155-187的服务器，是LINUX服务器：
155-187
主机名
/and/opt disk space
#/及/opt分区的磁盘空间情况
Current Users
#现在登陆的用户数
Total Processes
#总进程数，也就是使用TOP命令显示的总进程数
check-host-alive
#主机是否存活，使用PING间隔几秒PING
check-load
#CPU负载情况，1、5、15负载值
check_tcp 3306
#mysql服务
check_tcp 80
#web服务

    也使用PNP插件做了图形显示，类同于MRTG的取图。总的来看效果不错。
   当然这里也推荐一款在WINDOWS下使用的软件，IP SWITCH。功能也是较强的，和NAGIOS相比。个人感觉强些，但是商业软件，而且被广泛用于IDC公司。

   GOOGLE上有大把的关于NAGIOS的做法及介绍，但如何也没有官方文档来的详细和专业，呵呵，如果你的英语水平超过了烂泥级别的我，不访去此处转转www.nagios.org。

   最近一阶段做的是类似于系统及服务整合的工作，基本上系统、网络、服务等的监控的解决方案也在同步进行中。有机会拿上来和各位“先人”交流下。

Windows Live Messenger 所需的网络端口

ricky.fang@live.com(admin) — Mon,22 Jan 2007 09:28:11 +0800

概要
This article describes the various network ports that are required for Windows Live Messenger features to work.

L1 support procedures
The following table lists the network ports that are required for various features of Windows Live Messenger 8.1 on a Windows Vista-based computer.

Feature                                                                                   Port that is used
Sign in to the Messenger service                                  TCP 80, 443, 1863
Network Detection                                                                  TCP 7001 UDP 9, 7001
Audio                                                                                       TCP 80, 443, 1863
                                                                                                TCP/UDP 30000 - 65535
Audio (Legacy) *                                                                      UDP 5004 – 65535
Webcam and Video Conversations                                       TCP 80 TCP/UDP 5000 - 65535
File Transfer                                                                  TCP 443, 1863
                                                                                                TCP/UDP 1025 - 65535
File Transfer (Legacy) *                                                  TCP 6891 - 6900
Sharing Folders                                                                        TCP 1863
                                                                                                 TCP/UDP 1025 – 65535
Whiteboard and Application Sharing                                        TCP 1503
Remote Assistance                                                                   TCP 3389
                                                                                                 TCP/UDP 49152 – 65535
Windows Live Call                                                                     TCP 443, 5061
                                                                                                 UDP 5004 - 65525
Games                                                                                       TCP 80, 443, 1863
                                                                                                  TCP/UDP 1025 - 65535

* These ports are used when you are connected to a contact through a legacy client program, such as MSN Messenger 5.0 or any version of Windows Messenger.

The following table lists the network ports that are required for various features of Windows Live Messenger on a Microsoft Windows XP-based computer.

Feature                                                                                        Port that is used
Sign in to the Messenger service                                                 TCP 80, 443, 1863
Network Detection                                                                       TCP 7001 UDP 9, 7001
Audio                                                                                            TCP 80, 443, 1863
                                                                                                     TCP/UDP 30000 - 65535
Audio (Legacy) *                                                                           UDP 5004 – 65535
Webcam and Video Conversations                                               TCP 80
                                                                                                     TCP/UDP 5000 - 65535
File Transfer                                                                                  TCP 443, 1863
                                                                                                     TCP/UDP 1025 - 65535
File Transfer (Legacy) *                                                                 TCP 6891 - 6900
Sharing Folders                                                                             TCP 1863
                                                                                                      TCP/UDP 1025 – 65535
Whiteboard and Application Sharing                                              TCP 1503
Remote Assistance                                                                        TCP 3389
Windows Live Call                                                                         TCP 443, 5061
                                                                                                      UDP 5004 - 65525
Games                                                                                           TCP 80, 443, 1863
                                                                                                      TCP/UDP 1025 - 65535

* These ports are used when you are connected to a contact through a legacy client program, such as MSN Messenger 5.0 or any version of Windows Messenger.

For more information about network ports that are used by MSN Messenger, click the following article number to view the article in the Microsoft Knowledge Base:
908386 (http://support.microsoft.com/kb/908386/) About the Internet ports that Messenger for Windows uses

虚机使用技巧几则（经验交流）

ricky.fang@live.com(admin) — Sun,21 Jan 2007 18:13:05 +0800

       目前，虚机软件被越来越多的企业网管所使用，而常用的虚机软件比较常被使用的是VMWAREWORKSTATION 和VPC SERVER 2004 （或VS 2005）这两个系列。

    就我日常的使用来说，在需要做LINUX系统相关的实验时，当然的选择便是VMWARE WORKSTATION，尽管VS 2005通过安装插件也提供了对LINUX系统的支持。但VPC2004在对WINDOWS系列的产品支持上有相当的优势，尤其是在物理主机存在复杂的网络环境时（如二个网卡或是更多网卡等）。顺便要说的是VPC 2004是可以安装在WINDOWS SERVER 2003 上的，尽管在其上安装VPC 2004时，它也会警示你此软件不被支持在当家的系统上安装。你不用管它，只需点击“确定”便可以安装了。

   针对VPC的应用，估计各位都较为熟悉的，当然也有了不少的技巧心得了。在这里，与各位要分享的，安装时，可以分配虚机较高点些内存，等安装配置好后，可以减少其占用内存的量了。而且，当你在同一台物理主机上做多台虚机实验时，不访把虚机系统放置在不同的物理主机的分区上，这样子也可以提高一些虚机运行的性能的。OK，不多说，相信各位的经验比我更为丰富。

  还有一个虚机使用的经验，要跟各位分享。应用软件的变化真的太快，而为了能较快的转化为自己公司的实际生产力，一般公司都会采取在试生产环境中去布署测试。但公司又不能提供足够硬件成本来达到需求。这时，虚机系统就提供了较大的用武之地了（如果你想让自己也能中下病毒，爽一下，不访也在虚机上使用之，设配置其网络为仅主机的方式）。

    另一个使用虚机的经验：偶在一家国家政府单位做义务技术支持时，遇到一个问题，他们一个部门比较特殊，其中的每位员工都需要两台主机去访问不同的网络。这样问题就来了，硬件成本的增加不说，而且对操作者来说，在两台电脑之间来回切换使用，也的确是一件麻烦的事，那如何才能更好的解决这个问题呢？！这时，虚机就用的着了，我当时建议和采取了在一台物理主机上再安装一个虚机的方案，而物理主机使用两张网卡，一个直接连接一个网络，另一个网卡则与虚机网卡桥接再连接另一个网络，这两个网络之间是分隔的，独立的。而且也方便了操作者的使用，更节省了成本，基本上达到了之前的要求。现在这个方案已被使用半年左右，运行状况相当不错的。

     说了，这么多，偶这篇文章真正的目的竟然还没有说出来，下面就以图示的方式来简单说明，在物理主机存在复杂网络环境时，如何使用VMWARE的网络。
1、如下图所示，虚机软件VMWARE网络连接有以下几中方式：桥接，NAT(虚机使用物理主机的网络NAT代理访问其他网络)，仅主机（就是虚机单独拥有自己的网络，与物理主机网络无关）。

2、现在的情况是，我的物理主机是双网系统，也就是存在两张网卡，一张连接公网的内网（私有网络），一个是连接公用网络（internet）.而虚机系统只有一张网卡。而且虚机系统和物理主机是桥接的方式。现在所要解决的是虚机系统如何在物理主机不同的网络间切换呢？

3、如下图，默认情况下，你的虚机系统的网络使用的是“Vmnet0(Default Bridged)”虚拟网络。（这时，我的虚机是一张网卡，这个前提很重要）

4、那如何在根据物理主机的网络，而让有一张网卡的虚机系统通由不同的物理主机的网络来联系呢。下面的图示就很重要了，也就是说，如果你想使用内网网络，那么就在内网网卡上的TCP/IP协议对话框中的VMware Bridge Protocol属性对话框中，改变”VMware Number”数值为0,便可，这样虚机就会和此网卡以桥接方式联通外不同的网络（内网或是外网）。当然，要是想使用外网，就在外网网卡的TCP/IP协议对话框中的VMware Bridge Protocol属性”VMware Number”的数值改为0便可。

     最后，所谓抛砖引玉，虚机不同的使用技巧，就在各位的日常使用中探索出来的。只要用心，你何尝不能得以更多的熟悉应用的方法呢。当你有了新的虚机使用技巧时，别忘了告诉偶，让偶也能更进一步哟。