CommuniLink 聯通國際網絡

真正走進 SDN！Ryu SDN Controller 安裝實戰

Ryu 套件有兩種方法安裝的，第一種方法是使用 git 從 GitHub 下載 Ryu 相關檔案，而第二種方法是使用 Yum 指令下載 Ryu 套件。筆者教大家使用 git 且利用 Java 編譯，如圖 11 所示下達【apt-get -y install git】指令先安裝 git 套件。

圖 11_ 安裝 git 套件

並接著如圖 12 所示下達【git clone https://github.com/osrg/ryu.git】指令開始下載 Ryu 相關檔案，因為檔案不是很大的關係，很快即可完成下載，下載成功後，大家會看見一個 ryu 資料夾。

圖 12_ 下載 ryu 相關檔案

然之後下達【cd ryu】指令進入剛下載回來的 ryu 資料夾，並且下達【python ./setup.py install】開始安裝 Ryu SDN Controller，如圖 13 所示安裝到最後會顯示 ryu-manager 指令存放於 /usr/local/bin 之中，而這個 ryu-manager 指令就是用來啟動 Ryu SDN Controller 的。

圖 13_ ryu-manager 存放於 /usr/local/bin

我們現在嘗試啟動 Ryu SDN Controller，並先下達【ryu-manager】指令，但發覺如圖 14 所示出現 pkg_resource.DistributionNotFound: ovs>=2.6.0.dev0，這是因為啟動 Ryu SDN Controller 時的 ovs 套件不是最新版本所引起。

圖 14_ 下達 ryu-manager 指令出現 ovs 沒有更新

現在就是使用 pip 指令的時候，如圖 15 所示下達【pip install https://pypi.python.org/packages/source/o/ovs/ovs-2.6.0.dev0.tar.gz】指令更新 ovs 套件，這表示直接從 pypi.python.org 網站更新。

圖 15_ 更新 ovs 套件

以上資訊由www.hkitblog.com提供

 

不可不知的 Exchange Server 隔離郵件管理策略

根據外來Email的內容來決定郵件接收、拒絕、刪除以及隔離的判斷，是由第三階段的內容篩選功能(Content Filter agent)來負責處理的，而它的依據則是SCL（Spam Confidence Level）的評分，您可以像如圖11所示一樣先下達Get-ContentFilterConfig | FL SCL*命令，來查看目前的系統設定值。從這個範例可以得知，目前僅有SCLRejectThreshold 的功能有啟用，而且是被設定為7分，也就是說如果根據Exchange傳輸服務的智慧篩選器(Intelligent Message Filter)，判定寄送進來的Email的SCL分數高達7分時，將會自動拒絕接收此郵件。

至於針對郵件的刪除(SCLDeleteThreshold)與隔離(SCLQuarantineThreshold)功能，儘管都有設定為9分，但這兩項功能並沒有啟用。因此接下來我們對這個預設值做一點調整，開始之前必須注意刪除閾值必須拒絕閾值，而拒絕閾值又必須大於隔離閾值，否則設定時將會出現錯誤訊息。

圖11 檢視SCL設定。

在如圖12所示的範例中，筆者下達了以下命令，來將刪除的SCL功能啟用並設定為9分，拒絕的分數為7分，而隔離的分數則修改為5分。最後再下達命令Get-ContentFilterConfig | FL SCL* 來查看是否已成功設定。

Set-ContentFilterConfig -SCLDeleteEnabled $true -SCLDeleteThreshold 9 -SCLRejectEnabled $true -SCLRejectThreshold 7 -SCLQuarantineEnabled $true -SCLQuarantineThreshold 5

圖12 調整SCL設定。

確認完成了隔離SCL功能的啟用與設定之後，還必須進一步設定隔離信箱的Email位址，否則遭隔離的Email將不知何去何從。請如圖13所示下達命令Set-ContentFilterConfig -QuarantineMailboxQuarantine@lab03.com來完成設定即可，其中Quarantine@lab03.com便是需要預先建立好的使用者信箱。想要查看目前隔離信箱的設定值，請下達Get-ContentFilterConfig | Format-List QuarantineMailbox來查詢。

圖13 隔離信箱設定。

對於已經進入到隔離信箱中的外來郵件，系統管理人員可以透過使用Outlook的[再寄一次]按鈕功能，來釋放已傳送至垃圾隔離信箱的郵件，以便重新傳送原始郵件收件人。以Outlook 2013來說，就可以在[郵件]檢視中，先在[收件匣]中找到您想要復原的郵件，接著在該郵件上點兩下將其開啟，然後在功能區的[動作]圖示選項中點選[重傳此郵件]。最後在郵件開啟時，點一下 [傳送]按鈕，即可將郵件重新傳送給原始收件者。

不過在許多實際操作現場情境時，有些IT管理員會開放隔離信箱的存取權限給一般使用者，以如圖14所示的範例而言，便是設定開放Quarantine信箱的完整存取給Linson這位使用者，若您只想要賦予他讀取的權限，只要將其中的-AccessRights參數值修改為ReadPermission即可。若想要查看目前Quarantine信箱，有賦予了哪些人員或群組權限，只要下達Get-MailboxPermission -Identity “Quarantine”命令即可得知。

Add-MailboxPermission -Identity “Quarantine” -User Linson -AccessRights FullAccess -InheritanceType All

圖14 新增隔離信箱權限。

前面我們曾提到關於拒絕郵件的分數(SCLRejectThreshold)功能，在系統預設的狀態下已經啟用，但問題是當寄件者收到退信時，其中的退信內容可否自訂而不要顯示系統預設的”Message rejected as spam by Content Filtering”訊息呢？答案是可以的。只要使用Set-ContentFilterConfig命令搭配-RejectionResponse參數來設定回應內容即可。如果想要查詢目前所設定的退信回應訊息，請下達命令Get-ContentFilterConfig | FL *Reject*。

 

如何以兩個 Synology 功能備份整間公司資料？

文章由讀者 Timothy 提供

謝謝 Synology 和 HKTIBLOG 舉辦是次測試，讓我可以測試各種雲端備份方案，在這個惡意加密病毒日益猖獗的時間，希望這測試也能幫助有需要保護公司資料，以免資料被損壞。

是次主要測試以下兩方面。

1. Btrfs 檔案系統：快照備份及遠端抄寫。
2. 雲端同步套件：Cloud Station Drive 、 Cloud Station Backup、Cloud Sync、Cloud Station ShareSync。

前期預備：

1. 謝謝 HKITBLOG 和 Synology 已預備了另一台遠端 Synology NAS DS716+(以下稱 NAS) 和 DSM 6.0。

2. 我取得 NAS 和 1TB 硬碟後，回家立刻把硬碟裝進 NAS 的硬碟1(1 點就是硬碟 1)，非常方便，一拔一插便可，基本上不用什麼工具協助。

3. NAS 連線和開機後，按說明書指示，在瀏覽器輸入 diskstation:5000，出現首次啟動的設定畫面。

4. 按設定 -> Synology 下載中心(下載 DSM6.0) -> 瀏覽(選擇下載回來的 .pat 檔案) -> 立即安裝。

5. 這時會有提示，硬碟 1 上所有資料將被刪除(請注意不要使用不應刪除資料的硬碟在硬碟 1)，由於是新硬碟，了解並繼續安裝。

6. 等待約 10 分鐘，完成安裝 100% 後，便是建立您的管理者帳號，這個帳號會在遠端抄寫和 Synology Cloud 各項服務的設定中經常使用，所以鼓勵使用密碼強度更強的密碼！

7. 另外，建議選與 Synology 分享 DiskStation 的網路位置，除了可用 find.synology.com 來連線外，更可在網上 Synology 帳戶(要在 https://account.synology.com/ 先註冊帳戶)內註冊新產品，以便網上查看 NAS 的實際情況。

8. 多按幾個下一步便完成 DSM 設定。

9. 登入 DSM 便看見 NAS 的首頁，基本像 Windows，常用的是左上的主選單，桌面上控制台，套件中心，而系統狀況，資源監控和訊息也有不少重要的資訊。

10. 我先在控制台更新 DSM 至最新版本。

11. 跟著先設定硬碟(套件中心要先設定硬碟才能使用)。
主選單 -> 儲存空間管理員 -> 儲存空間 -> 新增 -> 快速 -> 選擇硬碟 -> 格式化硬碟 -> 選擇 Btrfs(快照備份及遠端抄寫必需選 Btrfs)

12. 設定硬碟完成會有硬碟資料，最重要是檔案系統是用 Btrfs。

13. 前往套件中心，安裝 Snapshot Replication，Cloud Station Server，Cloud Sync 和 Cloud Station Share Sync。

14. 要使用遠端抄寫和 Cloud Station Share Sync，必先建立共用資料夾。
File Station -> 新增 -> 新增共用資料夾 -> 輸入名稱 -> 確認 -> 給與管理者帳號可讀寫權限 -> 確認。

(注：在進階選項內不要選 – 開啟快照瀏覽 [預設是不選，我因作測試才選擇可見]，以免惡意加密病毒有機會更改快照備份，DSM 6.0.1-7393 版本中，這個選項在快照->設定->進階內)

15. 設定 DDNS 外部存取，這是因為我沒有固定 IP，而這 DDNS 會經常在以後的設定內使用。
前往控制台 -> 外部存取 -> 新增 DDNS，我是用 synology.me。

16. 在 Synology 帳戶內可見 DDNS 主機名稱，表示設定成功。

17. 最後一個前期預備，就是確認可從互聯網進入 Snapshot Replication 和 Cloud Station 的連接埠。
前往控制台 -> 外部存取 -> 路由器配置 -> 測試 Snapshot Replication 和 Cloud Station 的連線，若是不能連線 -> 按設定路由器 -> 它會自動設置 UPnP 的路由器，十分方便之後再測試便可。
若不是使用 UPnP 的路由器，請在路由器設定連接埠 5566 和 6690 通訊埠轉發，確保可從互聯網進入 Snapshot Replication 和 Cloud Station 的連接埠。

詳文

http://edm.hkitblog.com/synology/03.html

以上資訊由www.hkitblog.com提供

 

輕易部署 Whitebox 方案！SDN 網絡架構詳解

圖 4_ SDN 網路圖表

如圖 4 所示其實是一個很簡單的 SDN 網路圖表，Edge-Core AS4610-30T 的左方有兩個埠口，上方是一個 Management Port 與公司現有網路連接，公司內部大多會有 DHCP 伺服器，籍此能夠取得 DHCP 派過來的網路位置，管理員便能使用 SSH 或 Telnet 作管理用途。而下方就是 Micro USB Console Port，一開始管理員一定需要直接插入 Micro USB 終端線，並經由 PuTTY 的 Serial 進行連線，進入後便能知道從 DHCP 取得的網路位置，從而利用 PuTTY 登入作管理用途。

Edge-Core AS4610-30T 交換器的 Port 1 連接著 Laptop01，其網路位置是 192.168.1.10，以及 Port 2 連接著Laptop 02，其網路位置是 192.168.1.20。因為 PicaOS 可給我們選擇使用傳統 Layer2/Layer3 或 OpenFlow 模式，當選擇了 OpenFlow 模式後，其 Port 1 與 Port 2 預設是不啟動的，而前方訊號燈也是不亮起來的，需籍由 OpenFlow 指令 ovs-vsctl add-br 建立橋接網路卡，然後使用 ovs-vsctl add-port 將 Port 1 與 Port 2 加入橋接網路卡之中，兩個 Ports 即時能夠啟動，但是Laptop01 與Laptop02 還是不能溝通的。

早前教了大家使用了 Floodlight SDN Controller，今次教大家安裝及使用 Ryu SDN Controller，筆者於 VMware Workstation 11 安裝 Ubuntu 14.04.4 TLS 來測試 Ryu SDN Controller，虛擬化資源分配為 vCPU 1 Core、vRAM 2GB 和 20 GB 硬碟，而其位置是位於現有網路之中擔任中央管理角色分配 Flow 規則給 Edge-Core AS4610-30T 交換器。這示範最終測試目的是於 Ryu SDN Controller 分配一條雙向 Flow 給 Edge-Core AS4610-30T，而這兩條 Flow 規則是關於經由 Port 1 傳送封包去 Port 2 及 Port 2 傳送封包去 Port 1，令Laptop01 與Laptop02 能夠互相溝通，籍此大家更能深入了解 Flow 規則能夠控制 Port 來傳送封包。

待續…

以上資訊由www.hkitblog.com提供

 

最終章！Edge 電子郵件收發測試輕鬆完成

在確認了EdgeSync與傳輸服務皆在正常執行中，便可以準備來測試一下Email的對外收發。不過在此之前建議您，可以先使用Telnet命令，來測試一下Edge Transport主機的SMTP連接埠是否可以正常連線。請依序完成在內部網路以及經由Internet網路的測試，只要下達Telnet 主機IP位址 25即可。若發現沒有Telnet命令工具可用，則您需要從測試的電腦上，如圖32所示加入[Telnet用戶端]功能的安裝。如果是Windows 10的電腦，則必須改從[控制台]的[程式和功能]中，點選[開啟或關閉Windows功能]來進行安裝。

圖32 安裝Telnet用戶端。

另外為了讓Internet的郵件，可以成功從Edge Transport主機來接收，並且傳遞到內部使用者信箱，您還必須修改現行DNS伺服器的MX記錄。如圖33所示範例，請在點選[瀏覽]按鈕後，改選取Edge Transport主機的A記錄。

圖33 DNS記錄修改。

太好了！接下來請立刻使用Outlook或OWA(新版稱為OOW)用戶端，來測試一下Email對外的發送。當Email發送之後，您就可以開啟Exchange工具箱(Exchange Toolbox)中的[佇列檢視器]，來查看Email對外的傳送情形。當您開啟內部信箱伺服器的[佇列檢視器]時，可能會看到下個躍點網域為您的Edge Transport主機，而傳遞類型會暫時出現[陰影備援]的訊息。

話說何謂陰影備援呢？其實陰影備援功能(Shadow redundancy)最早出現於Exchange Server 2010 之中，主要用途在於藉由備援郵件復本的機制，讓傳輸服務在確認所要傳遞的郵件，已送達傳送路徑中的下一個跳躍點(Hop)之後，才將暫存在傳輸資料庫的郵件進行刪除。如果下一個跳躍點的SMTP服務不支援陰影備援，則Exchange Server將會依據接收連接器(Receive connector)的間隔時間設定，來作為郵件備援複本的延遲認可之判斷。

當準備傳送至Internet的郵件(例如：msn.com)順利來到Edge Transport主機時，也同樣可以在它自己的[佇列檢視器]視窗中，如圖34所示檢視到正在連線狀態的訊息提示。

圖34 Internet郵件寄送測試。

總結

Exchange Server 2016是一個極具彈性的訊息協同平台，就以針對防垃圾郵件與防毒的需求來說，不僅可以直接使用內建的兩種安全篩選器功能，也可以關閉此兩種代理程式，來改採用第三方相容的防垃圾郵件與防毒軟體，這包括了檔案層級的防毒軟體。

進一步若想要減輕信箱伺服器運行的負載，還可以在DMZ網路中建置一部專屬的Edge Server 來負責處理垃圾郵件的篩選工作。若您希望能夠包含橫跨異地的Exchange Server主機，都能夠使用Microsoft自家檔案層級的防毒軟體，並且做到集中監視與提供報告分析的功能，那麼加入System Center Configuration Manager於總公司的網路之中，肯定是最佳的解決之道。

以上資訊由www.hkitblog.com提供