自刘地

关于 AWS、Network、Python 的学习笔记。

AWS VPC 流量集中检测系列--(1)AWS GWLB集成paloalto防火墙
AWS

AWS VPC 流量集中检测系列--(1)AWS GWLB集成paloalto防火墙

B站视频 一、背景 1.1 参考的博客 这个文档是我的笔记,最开始是对着AWS官方博客[参见链接1]来做实验的,发现无论如何都无法实验成功,后来发现博客里面一个重要参数写错了导致异常。坑出现在原博客[3.2.1 创建PA防火墙实例],里面写到plugin-op-commands=Amazon-gwlb-inspect:enable,应该将Amazon修改为aws,即plugin-op-commands=aws-gwlb-inspect:enable。 测试完paloalto之后,我想测试FortiGate防火墙,飞塔是对这个AWS官方博客[参见链接2]来做实验的,两个拓扑基本一致,只是替换了防火墙,但是发现这篇博客更坑,关键步骤有缺失,无法实现防火墙的高可用切换。后续我会在相同的拓扑下,使用FortiGate防火墙来测试,会填上博客缺失步骤的坑。 这次实验是在AWS Console上操作的,后续我会演示AWS CloudFormation来部署这个环境。 1.2 流量集中检测 传统网络都会在出口部署防火墙,用于检测内网进出互联
21 min read
AWS CloudFormation 系列--(3)Python操作CloudFormation
AWS

AWS CloudFormation 系列--(3)Python操作CloudFormation

B站视频 前面两篇已经对CloudFormation做了快速入门和进阶的学习,但是在创建堆栈的时候,还是在AWS控制台界面导入文本文件。这个文章的目的是介绍如何使用Python来操作CloudFormation,进一步的实现自动化操作。 一、AWS 凭证(Credentials) 1.1、凭证介绍 客户端必须拥有凭证[参考链接1]才能对AWS API进行操作,可以通过多种方式来配置凭证。配置凭证的最佳实践是,如果你在EC2上运行代码,建议使用IAM角色。如果你是用AWS开发工具包(例如Python),建议使用共享凭证文件。后面代码都是使用的共享凭证文件。 Boto3 将在搜索凭证时查找多个位置。Boto3 查找凭据的机制是搜索可能位置的列表,并在找到凭据后立即停止。Boto3 搜索凭据的顺序参考: 1.在boto.client()方法中将凭证作为参数传递 2.创建Session对象时将凭证作为参数传递 3.环境变量 4.共享凭证文件 ( ~/.aws/credentials ) 5.AWS 配置文件 ( ~/.aws/config
6 min read
AWS CloudFormation 系列--(2)常用函数及字段
AWS

AWS CloudFormation 系列--(2)常用函数及字段

B站视频 前面CloudFormation的快速入门,基本了解了如何使用这个服务来创建AWS资源。但是前面写的代码基本只能自己看看,没法分享给别人使用,比如代码里面明确写了EC2的密钥,别人账号里面肯定没有这个密钥,应该让使用者自己选择密钥信息。 所以需要创建更加灵活的CloudFormation模板,这里会介绍一些常见的字段和函数,了解了这些之后,基本上能看懂网络上大部分的CloudFormation代码。 这篇文章知识点比较多,我会先追个介绍,最后会通过一个实验把这些知识点整合起来。下面这个实验环境,和之前快速入门是一样的,但是会通过一些函数和字段,让这个模板更加灵活。 一、DependsOn属性 前面快速入门,讲过了模板里面最重要的资源(Resources)字段。资源字段内部一共有6种属性,这里只介绍最常用的DependsOn属性。 之前创建的环境比较简单,所以没有用到这个属性。如果在两个资源之间有依赖关系时,如果你希望其中一个资源先创建,然后再创建另外一个资源,就可以用DependsOn属性。 CreationPol
15 min read
AWS CloudFormation 系列--(1)快速入门
AWS

AWS CloudFormation 系列--(1)快速入门

B站视频 学习AWS CloudFormation服务,需要具备一定的AWS基础知识,比如在AWS Console上创建过VPC和EC2等资源,因为这个服务就是用代码的方式来创建资源,如果你不会通过图形化的方式创建,那么会很难理解代码。 一、为什么需要AWS CloudFormation服务 利用AWS CloudFormation服务,可以让你通过代码的方式来创建AWS资源,这是AWS的基础架构即代码服务(IaC)。 为什么不在AWS Console界面来创建、删除资源,而是通过代码的方式来操作资源,主要有下面几个优势: 1. 容易分享AWS环境给他人。通过代码的方式分享你的AWS环境,可以确保每次部署都是完全相同的,不用担心一些误操作引起的环境差异。当你需要学习一个新的服务时,经常会看到别人已经搭建好了所有的测试环境,并且分享了CloudFormation的代码,学会看这些代码能帮你提高学习效率。例如学习GWLB时看到这篇文档[参考链接1],节约了很多部署环境的时间。 2. 可以「批量」操作AWS资源。在AWS CloudF
12 min read
Cisco StackWise 简介
Cisco

Cisco StackWise 简介

1、什么是StackWise StackWise是思科的堆叠技术,直译过来可以叫智能堆叠,StackWise技术分为硬堆叠和软堆叠两种。 硬堆叠技术使用专用的堆叠线连接成一个环形拓扑结构,最多能堆叠八台交换机,实现最大480G的带宽,硬堆叠一般也可以叫做StackWise-480。目前思科Catalyst 9200/9300 支持硬堆叠,从支持的型号可以看出硬件堆叠的使用场景一般是大型网络的分布层(Distribution)或者是小型网络的核心层。 软堆叠(StackWise Virtual)是思科用于取代VSS(Virtual Switching System)的一个新技术,使用StackWise Virtual技术可以通过10G/40G接口连接两台交换机形成一台虚拟交换机。除了能提供与VSS一样的能力外,还能提供可编程性、应用可见性、MPLS等特性,可以理解为VSS的加强版。目前思科Catalyst 9000系列 9400/9500/9600 均支持StackWise Virtual。从支持的型号可以看出StackWise Virtual一般用在网络的核心层。
10 min read
ISP Failover PAT配置
Cisco

ISP Failover PAT配置

1、介绍 为了实现出口ISP链路的冗余,可以在出口路由器上连接两条不同的ISP线路,获得链路冗余的同时也带来新的问题,即如何决定流量送往哪个ISP。一般来说有两种流量选择方式:负载均衡和主备切换。 负载均衡:出口网关配置两条默认路由分别到ISP1和ISP2,去往ISP的流量会通过这两条等价的默认路由进行负载均衡,可以通过ip cef load-sharing algorithm命令修改负载均衡的算法,参见文档。负载均衡方式的优势在于更加充分的利用两条线路带宽,当其中一个ISP不可用时,故障切换速度更快。 主备切换:利用浮动静态路由和SLA结合来实现主用到ISP1,当ISP1出现故障时能自动切换到ISP2。主备切换的优势在于出口公网IP固定,线路更加稳定。但是备用链路的带宽长期是闲置的。当主用ISP1可用时,流量不会走备用ISP2,但是你可以通过添加明细路由到ISP2改变流量选路,也可以通过PRB抓取特定的源IP地址通过备用ISP2出去。 另外需要注意的是这种NAT的切换需要结合route-map来配置。 2、拓扑图 这里使用EVE-NG的CSR1K
13 min read
AWS Session Manager
AWS

AWS Session Manager

Session Manager介绍 简单来说,Session Manager有点类似于VMware的控制台功能,你可以通过AWS控制台或者AWS CLI连接到EC2上。下面是一段官方文档介绍: AWS Systems Manager 会话管理器是一个新的交互式 Shell 和 CLI,有助于提供安全、访问权限受到控制且经过审计的 Windows 和 Linux EC2 实例管理。使用会话管理器,您无需打开入站端口、管理 SSH 密钥或使用堡垒主机。并且登录的主机可以处于公有子网或者私有子网。 借助会话管理器,您可以提高安全性,集中进行访问管理并接收详细的审计。除了无需打开入站端口之外,您还可以结合使用会话管理器与 AWS NAT Gateway,以便登录处于私有子网的EC2主机。通过使用 AWS Identity and Access Management (IAM) 策略,您可以在一个中心位置授予和撤销对实例的访问权限。提供访问权限后,您可以使用 AWS CloudTrail
5 min read
Python对文本中的特定单词进行逆序替换
Python

Python对文本中的特定单词进行逆序替换

需求描述 前端时间做了一个Python的小练习题,这个问题初看简单,做下来发现有不少以前没有了解的知识点,这里记录一下解决的过程。 需求:在文本里面任意给定一个单词,将这个单词逆序之后替换原来位置的单词,返回替换后的文本。 这里随意写了一段文本,需要进行逆序替换的关键字是long str1 = '''long The time that my journey takes is long and the way of it long.I came out on loanglong the chariot of the first gleam long, of light, long many a star and planet
9 min read
Cisco ISE Posture 结合 SSLVPN
Cisco

Cisco ISE Posture 结合 SSLVPN

描述了思科ISE Posture结合ASA SSLVPN的使用场景。员工使用AnyConnect拨号到公司内网时,需要通过思科ISE Posture检测,检测通过才能访问内网,否则网络访问受到限制。 一、Cisco ISE Posure介绍 1.1、Posture简介 思科的ISE Posture提供了网络准入的功能,也就是当员工的电脑只有满足合规条件时才能接入到公司网络。这里合规条件可以针对Windows和MacOS自定义各种类型的条件,以Windows为例,条件可以是:系统必须开启防火墙;系统必须开启BitLocker;系统必须拥有最新的补丁等。满足这些条件才能接入到公司网络。这里网络可以是有线、无线、VPN。这次实验场景就是当员工使用AnyConnect SSLVPN接入到公司网络时,Posture模块只会允许满足条件的电脑接入网络。 另外思科针对SSLVPN准入,也可以利用HostScan进行扫描,HostScan可以集成在AnyConnect模块中,不需要客户端安装单独的软件模块,但是检测的能力不如安装了Posture模块的客户端。针对HostSa
26 min read
AWS上配置Cisco ASAv AnyConnect
Cisco

AWS上配置Cisco ASAv AnyConnect

这里演示了如何在AWS上搭建思科的SSLVPN,用来解决员工远程办公的需求。文章需要你有一定的AWS和SSLVPN基础。 1、实验简介 最近一直在研究思科防火墙的SSLVPN,用来解决员工远程办公的问题。传统上一般使用ASA55XX系列的硬件防火墙做SSLVPN,使用ASAv与使用硬件防火墙功能特性几乎没有区别。ASAv在vSphere和AWS环境都可以部署。这里主要介绍一下在AWS上使用ASAv配置SSLVPN的步骤。后续会继续深入去聊SSLVPN上的高级特性。 如果你有配置ASA SSLVPN的经验,需要注意的是AWS上的特殊场景,下面是整个实验的注意事项: * 在中国区如果AWS账号未经过ICP备案则无法使用TCP 80/443端口,所以需要SSLVPN修改默认的443端口号。 * AWS上ASAv为客户端分配的IP地址需要进过NAT转换后才能访问,因为服务器没有回包路由。 * AWS上的Windows2016无法安装ASDM,建议使用Windows2019安装ASDM软件。 * 如果ASAv未购买License会限速100k并且最大会话100个
14 min read