起因：有一处客户vCenter告警：STS签名证书即将过期。 处理办法：系统管理-证书-证书管理，选择STS证书，操作，使用vCenter证书刷新； 强制刷新，即可。 提示重启，重启后，STS证书正常。然而，接下来在更新计算机SSL证书时却遇到问题了：续订证书时发生意外错误。如下图： 在之前很多客户遇到过证书到期无法登陆的时候，使用certific…

我们今天来讲一讲一种互通技术： MPLS L3 VPN. MPLS 是一种 2.5 层的标签技术， 因为当时IP转发大多靠软件进行，在转发的每一跳都要进行至少一次最长匹配查找，操作复杂导致转发速度比较慢。于是 MPLS 就诞生了。 其优势也是显而易见的， 路由器转发含有 MPLS label 的数据包时，无需再花费大量时间进行路由表查找的动作，只需…

这次我们使用之前提到过的知识，来搭建一个基于 MBGP+MPLS+VRF 的网络。 为什么使用 MPLS+MBGP 而不使用传统的 IP 路由？总结起来有以下几点优点： 高弹性。MPLS启动后，带宽的扩容，流量的调度将非常的方便，核心路由器无需接收全网路由表，只需要接收基于 OSPF 协议发来的内网路由以及基于 LDP 协议发来的标签映射消息即可按…

继续说上一篇文章接下来的故事，客户因为个别服务器被大流量 DDoS 攻击导致网络瘫痪，需要对路由器配置 RTBH 功能来实现自动空路由，以避免未被攻击的服务器无法与外界通信。 要想实现 RTBH 功能，需要对 BGP session 配置 import policy 来触发黑洞动作。在配置之前，我们需要做一些准备工作。 拓扑整图如下： 我们要事先准…

上一篇文章我们讲到，如果客户在有很多 IP 段的且需求繁多的时候，使用单纯的路由过滤器 ( Route-filter ) 粗暴的进行路由管理，管理起来很麻烦且浪费时间，所以本篇文章将带你初步了解使用 community 进行管理路由条目，了解 community 的魅力。 接上篇所述，我们需要在路由器上配置 community 来进行路由管理，在配…

我们都知道 IDC 需要使用 BGP 协议来与上游交换路由表和发送自己的 IP Prefix，而且可以通过 BGP 来对路由属性对自己和客户的网段进行修改以达到控制路径的效果。但是有多少人知道其实 BGP 可以使用 community 来实现非常方便的路由路径调整呢？这篇文章将讲述如何使用 community 来打造适合机房的路由控制方案。 要想知…

首先你需要： 一家可以让你跑 BGP 的服务商，这边推荐这两家 Vultr，Misaka 一段有RPKI+IRR的 IPv4 , IPv6我建议你别跑Anycast了，调起来头大 一个自己的ASN 安装bird： 系统我推荐使用debian 10，安装bird 只需要 apt install bird -y 设置开机自启动 systemctl en…

正好一年前，我在 DN42 网络内用 Docker 建立了 Anycast 服务。当时我的方法是，自定义容器的镜像，在其中安装一个 Bird，然后加入 OSPF 协议的配置文件来广播 Anycast 路由。但是随着时间推移，这套方案出现了以下问题： 安装 Bird 本身是个较花时间的过程。我的 Bird 不是用 apt-get 装的，因为我的 Do…

什么是 Anycast 互联网上常用的路由协议 BGP 是这样工作的： 我在 DN42 拥有 IP 段 172.22.76.104/29。 我通过 BIRD 等 BGP 软件，「宣告」这台服务器上可以访问到 172.22.76.104/29 这个 IP 段。 与我有 Peering 的其它服务器记录下这一条消息：「通过某条路径，走 1 格可以访问到…

DN42 全称 Decentralized Network 42（42 号去中心网络），是一个大型、去中心化的 VPN 网络。但是与其它传统 VPN 不同的是，DN42 本身不提供 VPN 出口服务，即不提供规避网络审查、流媒体解锁等类似服务。相反，DN42 的目的是模拟一个互联网。它使用了大量在目前互联网骨干上应用的技术（例如 BGP 和递归 D…