2個月沒看了 感覺忘了很多

ospf還算可以 ， bgp初級的沒問題，在深點就不行了。
分組交換 atm 等等還是一頭霧水呀。。。。

69聖戰的影響。
喚起對外來文化入侵的抵制？

不知道是cwow先開wlk呢
還是中國zf先解禁 64呢

最近天天忙著play wow of taiwan
剛剛80 然後無盡的刷裝備中。
話說80是一個階段的畢業  卻也是另一個階段的開始。

我覺得我真的沒有心情再去練一個80的新號。太累了 ，刷裝備要比練級輕鬆許多。但是也會生氣。

無聊的人就是多呀 ，小白也是多。然後就是素質低下的人。。。。

wlk最噁心的副本之一就是 雷光大廳和石頭大廳。我直接無語了。

一趟下來至少40分鐘。

勇士和紫羅蘭很好。

最及心情很亂，不知道在想什麼。

最近实在是无聊，于是看了基本小说。可惜都没有完结。慢慢等待无尽的更新吧。

4天读了能有500w字吧.感觉自己不行了。。。。太累了。。。。

都是没营养的东西。

～～～～～

烽火的文笔的确很好，他的书（一世枭雄）即使太监了很久 才38w字 排名都市10 恐怕不光是文笔好的关系了。

他的小说中有很多的的伏笔和bug。可能是故意留下的。就像eva一样很多的事情都不去解释清楚。但是会给你留下很多线索，能不能发现就靠你自己了。 这样做的好处也是很好的，至少不用在前面构思好人物。性格可以慢慢的套。即使有伏笔和线索，但结果也是多种多样的。只要作者不写出来，后面这么定都可以。

极品公子能2006-2007是起点第2也绝对不是偶然。

～～～～～～～

起点这样的作者不多。我读书不多，烽火算是一个，然后就是渔人二代了。

二代不错，不过比烽火差了许多，文笔一般，没有那种霸气（可能是人物设置就这样）。很纯很暧昧中可以看出点极品的影子，人物关系设置的也很好，就是缺少一些让人猜测的东西。

说实话跳舞还算可以，不过思维没有那么细致。

人物关系上处理的一般，天王题材不错 变种人，不过yy没有到位。有些遗憾，如果作品能写到300w字以上 估计能更好。

～～～

三少 打斗场面描写十分牛逼，但是情节上面比较简单，基本就是一个主线打来打去的  无聊，况且全篇yy。。

疯狂冰咆哮 yy派。思路很好 可以太监了。

回想一下我看过的书也不少 十几本吧 没本基本一本都在200w字以上

正在考虑以后是不是自己也写点。不过没什么好思路。冲突没想好。

本篇文章纯属蛋疼+yy。

最近总结出了2点。关于日记和笔记的。

笔记和日记都是留给后人和别人的。

原因如下。

日记我以前写过不少，写的是什么现在都还记得基本可以精确到哪个本子的。只是时间不知道了，不过记得一个大概。

改不记得的早就不记得了，在写日记前就忘了。日记唯一的好处就是可以查出准确的时间，不过没什么用。除了写回忆录和留个后人外真的没什么用了。

我自己是从来不看写过的东西，因为一看第一句话就知道写的是什么了，在加上以前文笔很烂。。。所以更懒得看了。

所以说日记还是留给后人和别人的。

关于笔记。

我懒得记笔记，该知道的上课早就记下来了，不知道的那是我没听课，或者是我懒得知道。我回家也不看笔记所以记了就是浪费笔水。

不过别人的笔记很有用。我记得我曾及在上课之间看了我学长的笔记，然后在对照书一看，是什么都豁然开朗，基本那一张的知识掌握了8成。比看老师的ppt有用（ps在bs下老师，ppt上面的确写了很多知识点，不过没写具体的内容。。。我曾经找一个知识点是什么找了30分钟没找到。第二天老师上课用到那页了，然后说这是一个课外内容。。。然后写了2黑板。。。我 艹）。

所以说笔记是留给后人的，找到一本好笔记能让人受益匪浅呀。。。。。

end

本方法是基于路由器如果发现数据包的目的ip不存在于路由表中而且没有配置default-gateway就会丢弃此包和路由器的null0逻辑接口。
所有设置都是建立在cisco路由器上的。
模拟条件是cisco 3640 ios：c3640-js-mz.124-10.bin
模拟器是gns
ps 原来用ios：c3640-ik9o3s-mz.124-10.bin 不知道为什么路由表全对，但是ping不同。。。希望大家能够解答下。

注意这个封ip只是单向封锁。但是单向锁已经足够了  tcp无法建立 udp可以 但是收不到回复。做到双向封锁可以，也很简单 但是会有些问题  后面会去说。


请先看r1 r2 r3 r6， 忽略掉r4和r5， r2（core-route）是我们的核心路由。
然后r1 r2 r3 r6 中都配置相同的路由协议 ospf也 ripv2呀 ergip呀 bgp呀。 不过我用的是ergip 因为比较简单。 不用rip是因为rip 有点问题。 bgp我没做个实验正在想bgp的问题后面会详细的说下bgp的问题，这样  r1和r6是可以互相访问的。
然后我们在r6上开几个环回口（loopback）
int lo 0
ip ad 12.0.0.1 255.255.255.255
int lo 1
ip ad 12.0.0.10 255.255.255.255
r1也是能够访问到12.0.0.1和12.0.0.10的
出于一些原因我们不想让r1访问到 r6的地址（122.0.0.11）
变相的来说就是封锁r6的ip地址 但是我们想访问他的环回口。
一般情况下 我们可以用 access-list解决 在r1上设置
access-list 100 deny   ip 122.0.0.11 0.0.0.0 any
access-list 100 premit   ip any any
int fa0/0
ip access-group 100 out
ip access-group 100 in
这样 r6就被屏蔽了
如果ip在多点 写access会累死而且access的处理速度很慢的。
不限自己做做实验，写个2000条的access-list。
不用手写 用perl 写一个for循环。 直接telnet 输入。

好了解决的方法就是路由协议来封锁ip。 人畜无害，单一匹配 指哪打哪。
没有任何限制，占用cpu资源低。
目前公网上bgp路由器 都有30w条 条目了 ，他们依然能够在10ms内 把数据包转发出去。
我想3640这个路由器上配置个10000w条路由照样没问题吧？
不做bgp的话路由最多也就1000条 剩下9000条让你随便封ip。9000条还不够？ 你就别internet了。 局域网的了。
好了开始介绍了。
r4  r5 出场。
r4和 r2上配置好  ospf ，如果 r1 r2 r3 r6是ospf 那么r4和 r2上的ospf as 要换另外的一个。
r4  r5 之间配置好rip v2.   r4在配置好 rip 到ospf的重发布，优先级都调成最高。
这样就可以路由封锁ip了。
我们在r5上录入
ip route 122.0.0.11 255.255.255.255 null 0
tip：null 0 是一个逻辑接口 永远 up  发送过去的包等于直接丢弃，不会出现任何回复， 几乎不占用cup 。
几s 后 r2上就可以看到路由中 122.0.0.11/32的下一跳是r4了。
然后r1继续p r6
r1#p 122.0.0.11

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 122.0.0.11, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

tracert一下
r1#traceroute 12.0.0.11

Type escape sequence to abort.
Tracing the route to 12.0.0.11

  1 1.0.0.2 20 msec 44 msec 32 msec
  2  *  *  *
  3  *  *  *
  4  *  *  *

解释下这个traceroute为什么只有1条 其他都是*。
r2上 做了一条虚假路由  r6是永远到不了  现在变成了  r1 -》 r2 -》r4 -》r5-》丢弃
这样的话至少应该出现r4 和r5的信息呀？
因为r2上面没有做重分布 我也不想做重分布，所以r4的路由表只有r2和r5这2个直连路由和 r5 rip过来的虚假路由，他不知道r1怎么走，所以他先产生了一个icmp超时的数据包 然后丢弃了。
这样就保护了封锁路由器。

下面看看r6能不能访问  r1

r6#traceroute 1.0.0.1

Type escape sequence to abort.
Tracing the route to 1.0.0.1

  1 122.0.0.1 44 msec 80 msec 32 msec
  2  *  *  *
  3  *  *  *
  4  *  *  *
  5  *  *  *
  6  *  *  *
  7  *  *  *
  8


p 1.0.0.1  

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.0.0.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)


在r1和r2之间抓包 看看
No.     Time        Source                Destination           Protocol Info
      9 7.318000    122.0.0.11            1.0.0.1               ICMP     Echo (ping) request
     10 7.344000    1.0.0.1               122.0.0.11            ICMP     Echo (ping) reply
     12 9.327000    122.0.0.11            1.0.0.1               ICMP     Echo (ping) request
     13 9.335000    1.0.0.1               122.0.0.11            ICMP     Echo (ping) reply
     15 11.339000   122.0.0.11            1.0.0.1               ICMP     Echo (ping) request
     16 11.370000   1.0.0.1               122.0.0.11            ICMP     Echo (ping) reply
     17 13.297000   122.0.0.11            1.0.0.1               ICMP     Echo (ping) request
     18 13.308000   1.0.0.1               122.0.0.11            ICMP     Echo (ping) reply
     23 15.339000   122.0.0.11            1.0.0.1               ICMP     Echo (ping) request
     24 15.381000   1.0.0.1               122.0.0.11            ICMP     Echo (ping) reply
r1 能够收到r6的请求 也恢复了请求 但是被r2无情的转发给了r4 然后r5 很高兴的把它丢掉了。。。


工作原理差不多了
开始解释 r4 r5为什么用ripv2
首先用rip就不能用v1 因为v1不支持可变掩码。就会导致ban ip 过多。
第二r5我一直将他当作一台服务器来用。哪位大牛编个程序想什么自动封锁ip呀的。这样不就需要r4做翻译了吗。ospf 难度很大 但是rip就简单多了。 比如gfw。。。
如果只想封锁固定ip 而且数量不多的话 就不用r5了  r4 了 直接在核心路由上面写静态路由到null0口就可以了。
但是如果出来路由很多呢？ 3-4台 而且静态封锁ip经常变的话 就需要r4了   因为3-4台你能忙的来但是容易出错。随便找个2800做r4 多好。
如果出口路由在多点10+ 那就有的忙了。
其实我不建议在出口路由上做静态路由来封锁ip，因为出口路由最好不要动，动得越多出问题越多。
如果真要做静态路由还是在backbone上面做吧。
其实最好还是多加一台路由做基于路由协议的扩散吧。


关于双向封锁的问题。
双向封锁可以，
只要加入 ip verify unicast source reachable-via any就ok了
这个是大名鼎鼎的  urpf  简单的说，如果数据包不是从路由表中他应该走的端口发过来 那么这个数据包直接丢失。
但是这样会让路由出现很多问题。 只会出现在数量庞大的路由中。
现在的路由都是多条线路负载均衡的去走 ，很多情况下目前地址真的不是从路由器网这个目标端口发送的那个端口进入的的  而是从该路由的其他端口进来的。
这样那些正常的数据包就被丢掉了。
cisco的文档也说 这个设置会造成很多误杀。。。。


发现的问题 关于bgp的。
bgp我水平真的不好，承认。
但是bgp可以解决很多问题，单公司多地点办公，总部屏蔽其他分部也要屏蔽。
这个用ospf可以， tunnel就可以办到，但是bgp会更好一些。
如果墙呢？ 肯定是bgp了。
bgp扩散问题好解决。只要不粗心屏蔽列表是不会外传的。（route map）
问题1 我记得bgp的更新好像是触发更新 但是有个延时。具体延时多少 我记得是1分钟。有人说bgp没有延时是实施更新。

11日更新  今天发现昨天保存的那些图片 都没了，，，，，不知道是什么原因 还好我下载了，，，下面大家看一看吧

不论2012是否为末日或者是一个新的开始，我们注定了都要去面对他。除非你再此之前挂了。

。。。。

最近炒得很热的nasa 太阳 ufo 图片事件 估计大家也都知道了。不知道的话 baidu吧。

最近发现了一个特别的图片

这是 3.8 早上2点5分的  不是-8就是-5.

发现太阳的右边都是噪点了吗？

先不要着急说那是什么。

这是3.8日的图片记录 进0-5点的

不知道你有没有发现 2.15的和2.25的没了。2.55的也没了 。这是很不寻常的  因为这是10分钟一张图片 电脑技术的然后传下来
再看看其他日期的图片 都没有出现这样的情况。

结论可能有如下2点 

1.照片被人为删除了， 因为ufo是事实 那些是跃迁出来的。

2.照片压根就没照出来，因为设备有问题出现了大量的噪点。

具体是什么 我也不知道 我没有仔细研究过  大家可以自己分析下，。