Вопросы Теги

Порты Isolating Ethernet на Cisco Nexus 5000

В то время как мир разделен на том, является ли скромный именованный канал другом или противником, это - вероятно, простое решение Вашей проблемы. Это действительно имеет несколько недостатков (в этом, необходимо создать каналы заранее), но это избавляет от необходимости крон и позволяет Вам используемому регистрирующийся фильтр канала по Вашему выбору.

Вот пример с помощью cronolog на access.log:

  1. Выберите путь для нашего именованного канала. Я намереваюсь удержать свои журналы /var/log/nginx, таким образом, я помещу свои каналы там также. Имя ваше дело; я добавляю .fifo, и это access.log, таким образом, мой будет в /var/log/nginx/access.log.fifo.
  2. Удалите файл, если он существует.

  3. Сделайте именованный канал для файла журнала:

    mkfifo /var/log/nginx/access.log.fifo

  4. Настроить nginx.conf для указания на журнал на канал, Вы просто сделали:

    access_log /var/log/nginx/access.log.fifo;

  5. Измените свой init.d сценарий для запуска вращающего устройства журнала, слушая канал, прежде чем мы запустим сервер:

    LOGS="/var/log/nginx"
pkill -f "/usr/sbin/cronolog --symlink $LOGS/access.log"
( cat $LOGS/access.log.fifo | /usr/sbin/cronolog --symlink $LOGS/access.log "$LOGS/%Y/%m/%d/access.log" ) &

    Подобная командная строка использовалась бы для rotatelogs если Вы предпочитаете его cronolog - см. их документы для синтаксиса.

    Если Ваш distrobution имеет a start-stop-daemon, необходимо использовать это вместо этого, поскольку это теоретически имеет любое специальное знание о платформе существует, и заботящийся о pkill для Вас. Просто перенесите команду в сценарий и передайте ее как --exec кому: start-stop-daemon в Вашем init.d/nginx.

2
задан 4 April 2013 в 20:41
2 ответа

Если вы хотите, чтобы эти устройства были полностью изолированы от всего остального, просто добавьте их все на их собственный отдельный коммутатор и прекратите работу. Нет смысла находиться на переключателе общей компании, если вы специально не хотите, чтобы они могли разговаривать с кем-либо еще.

Редактировать:

Что еще находится в том же сегменте, что и вы, чего вы хотите избежать? Вы просто не хотите, чтобы серверы могли отключаться? Или есть другие серверы в том же сегменте VLAN, с которыми они не могут общаться?

Если вы действительно хотите сходить с ума, вы можете попросить ИТ-отдел подготовить новый виртуальный коммутатор на шасси Nexus, на котором есть порты вашего сервера. назначенный на это. Вы можете использовать любые VLAN, которые вам нравятся, и они не будут связываться с теми, которые находятся в основном контексте. Конечно, если бы я был вашим сетевым инженером, и вы попросили меня сделать это, я бы посмеялся над этим с парнями после работы.

Есть и другие хаки, которые вы могли бы сделать. Конечно, PVLAN, но у вас больше нет VLAN. Фильтры VLAN могут использоваться только для того, чтобы ваши IP-адреса могли общаться с вашими собственными IP-адресами. Простые старые списки ACL на портах тоже могут остановить трафик L3, если вы захотите.

У меня также есть подозрение, что коммутатор находится не за пределами VLAN, и ваш сетевой парень просто хочет избежать работы или объяснять вам, почему политика не позволяет этого. Но посчитайте это тем, чего оно стоит - предположение.

Правильный ответ - использовать VLAN - это в значительной степени именно то, для чего они предназначены.

Фильтры VLAN могут использоваться только для того, чтобы ваши IP-адреса могли общаться с вашими собственными IP-адресами. Простые старые списки ACL на портах тоже могут остановить трафик L3, если вы захотите.

У меня также есть подозрение, что коммутатор находится не за пределами VLAN, и ваш сетевой специалист просто хочет избежать работы или объяснять вам, почему политика не позволяет этого. Но посчитайте это тем, чего оно стоит - предположение.

Правильный ответ - использовать VLAN - это в значительной степени именно то, для чего они предназначены.

Фильтры VLAN могут использоваться только для того, чтобы ваши IP-адреса могли общаться с вашими собственными IP-адресами. Простые старые списки ACL на портах тоже могут остановить трафик L3, если вы захотите.

У меня также есть подозрение, что коммутатор находится не за пределами VLAN, и ваш сетевой специалист просто хочет избежать работы или объяснять вам, почему политика не позволяет этого. Но посчитайте это тем, чего оно стоит - предположение.

Правильный ответ - использовать VLAN - это в значительной степени именно то, для чего они предназначены.

3
ответ дан 3 December 2019 в 10:51

Niestety Nexus 5K nie obsługuje VDC tak jak Nexus 7K. Zgadzam się więc, że jedynym sposobem podziału sieci (z wyjątkiem używania nowego przełącznika) jest użycie sieci VLAN lub PVLAN.

0
ответ дан 3 December 2019 в 10:51

Теги

Похожие вопросы