Centos配置NFS挂载分区的办法

现有两台centos7.9服务器，服务器A上有个分区/data1/sky需要通过NFS挂载到服务器B上的/dataw/gggg分区。

在服务器A上安装NFS服务器端，在服务器B上安装NFS客户端，在服务器A上vi /etc/exports，加入内容/data1/sky/ *(rw,sync,no_root_squash,insecure)，使用exportfs -ra生效。启动nfs服务，并让nfs服务开机自启，systemctl start nfs，systemctl enable nfs，并关闭防火墙systemctl stop firewalld.service，或者在防火墙放通相关端口服务，使用showmount -e 服务器A的IP地址验证下。

在服务器B上showmount -e 服务器A的IP地址可以看到需要挂载的服务器A的目录/data1/sky，vi /etc/fstab，加入服务器A的IP地址:/data1/sky /dataw/gggg nfs defaults 0 0，然后自动挂载mount -a，此时df -h可以看到挂载上的目录。

在服务器A的/data1/sky目录下添加文件，在服务器B的/dataw/gggg目录下可以正常查看到，反之亦可，配置完成。

linux配置ntp服务时报错/usr/sbin/ntpd: error while loading shared的解决办法

centos安装好ntp软件后，启动ntp服务报错，提示systemctl status ntpd.service查看具体详情，输入此命令发现/usr/sbin/ntpd: error while loading shared libraries: libopts.so.25，即缺失该文件。

使用ldd /usr/sbin/ntpd，也可以发现该文件缺失，显示libopts.so.25 => not found。

下载对应libopts文件并安装。

再次启动ntp服务，service ntpd start，显示启动正常，问题解决。

linux提示无法打开目录：输入/输出错误的解决办法

现有一台linux服务器，进入/date目录后使用ls命令，提示无法打开目录：输入/输出错误，这种情况可以尝试修复分区来解决该问题。

具体操作步骤如下：
1、尝试umount该分区，umount -f /date，可能会报繁忙，无法umount。
2、当出现umount报错时，使用lsof |grep /date，来查看占用该分区的进程。
3、使用kill -9 xxxxx关掉进程后，再umount -f /date，此时可以正常umount。
4、使用修复命令xfs_repair /dev/mapper/datexx，/dev/mapper/datexx为/date对应的文件系统名称，可通过df -h或者cat /etc/fstab查看。
5、如果xfs_repair /dev/mapper/datexx报错，则xfs_repair -L /dev/mapper/datexx清除文件系统的日志，再执行xfs_repair /dev/mapper/datexx修复。
6、修复完成后mount -a重新挂载分区，此时再进入/date目录执行ls恢复正常。

注意：此种方式存在损坏数据的风险，可能会造成数据丢失。

linux让CPU利用率占满的命令

linux操作系统中，让CPU利用率占满的命令：

for i in `seq 1 $(cat /proc/cpuinfo |grep “physical id” |wc -l)`; do dd if=/dev/zero of=/dev/null & done

cat /proc/cpuinfo |grep “physical id” | wc -l 可以获得CPU的个数,　我们将其表示为N。
seq 1 N 用来生成１到N之间的数字，
for i in seq 1 N; 就是循环执行命令,从１到N，
dd if=/dev/zero of=/dev/null 执行dd命令,　输出到/dev/null, 实际上只占用CPU，没有IO操作。
由于连续执行N个(N是CPU个数)的dd 命令, 且使用率为100%，这时调度器会调度每个dd命令在不同的CPU上处理。最终就实现所有CPU占用率100%。

这条命令会再后台去执行，如果想中断这条命令，可以执行：

1. fg 后按 ctrl + c （因为该命令是放在后台执行）
2. pkill -9 dd

fg命令可将后台命令恢复到前台执行。

该命令在很多场景非常有用。

VMware vCenter Server中的CVE-2021-21972 and CVE-2021-21973漏洞处理方法

影响和修复的 vCenter Server 版本：

版本	受影响的版本	固定版本	发布日期	VAMI/发行说明内部版本	Client/MOB/vpxd.log 内部版本编号
7.0	7.0 U1c 之前的所有版本	7.0 U1c（或更高版本）	2020-12-17	17327517（或更高版本）	17327586（或更高版本）
6.7 VCSA	6.7 U3l 之前的所有版本	6.7 U3l（或更高版本）	2020-11-19	17138064（或更高版本）	17137327（或更高版本）
6.7 Windows	6.7 U3l 之前的所有版本	6.7 U3l（或更高版本）	2020-11-19	17138064（或更高版本）	17137232（或更高版本）

版本	影响的版本	固定版本	发布日期	内部版本号
6.5（VCSA 和 Windows）	6.5 U3n 之前的所有版本	6.5 U3n（或更高版本）	2021-02-23	17590285（或更高版本）

以下链接详细说明了如何升级 VCSA 计算机。vSphere 6.7 https://communities.vmware.com/t5/vSphere-Upgrade-Install/Addressing-VMSA-2021-0002-for-vCenter-6-7/ta-p/2833192vSphere 7.0https：//communities.vmware.com/t5/vSphere-Upgrade-Install/Addressing-VMSA-2021-0002-for-vCenter-7-0/ta-p/2833079

功能影响：
影响仅限于使用 vRealize Operations 的环境。需要注意的是，无论 vRealize Operations 是否引入到环境中，vCenter Server 中都存在易受攻击的端点。

新 vRealize Operations 客户将没有通过插件自动安装和配置 vRealize Operations Appliance 的置备/选项。
在 vRealize Operations with vCenter 中配置 vCenter 适配器的客户将无法在 vSphere Client （HTML 5）中显示衡量指标和警示详细信息（包括 vCenter Server 和 vSAN 概览小组件）。

要实施基于 Linux 的虚拟设备（vCSA）上 CVE-2021-21972 和 CVE-2021-21973 的解决办法，请执行以下步骤：

插件必须设置为”不兼容”。从 UI 中禁用插件不会保护系统免受此漏洞的影响。
在运行 vCenter High Availability （VCHA）的环境中，需要同时在主动节点和被动节点上执行此解决办法

使用 SSH 会话和 root 凭据连接到 vCSA。
备份 /etc/vmware/vsphere-ui/compatibility-matrix.xml 文件：

cp -v /etc/vmware/vsphere-ui/compatibility-matrix.xml /etc/vmware/vsphere-ui/compatibility-matrix.xml.backup

在文本compatibility-matrix.xml 文件：

vi /etc/vmware/vsphere-ui/compatibility-matrix.xml

此文件的内容如下所示：

添加以下条目：

. . . .

</pluginsCompatibility>

</Matrix>

该文件应如下所示：

通过键入：compatibility-matrix.xmlcompatibility-matrix.xml :wq!
重新启动 vsphere-ui 服务。使用命令： service-control –restart vsphere-ui.
导航到 https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister。此页面显示”404/未找到（如下所示）”错误。

导航到 https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister。此页面显示"404/未找到（404/Not Found）"错误

在 vSphere Client （HTML5）中，在管理 > Solutions > client-plugins 下，VMware vROPS Client 插件可能会显示为”不兼容”，如下所示

在 h5-client 中，在管理 > Solutions > client-plugins 下，VMware vROPS Client 插件可能会显示为"不兼容"，如下所示

这可确认端点/ui/vropspluginui设置为”不兼容”。

要针对基于 Windows 的 vCenter Server 部署实施 CVE-2021-21972 和 CVE-2021-21973 的解决办法，请执行以下步骤：

（插件必须设置为”不兼容”。从 UI 中禁用插件不会保护系统免受此漏洞的影响）

从 RDP 到基于 Windows 的 vCenter Server。
备份文件 –

C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\compatibility-matrix.xml

此文件的内容如下所示：

添加以下条目：

. . . .

</pluginsCompatibility>

</Matrix>

文件应如下所示：

使用命令重新启动 vsphere-ui 服务：C:\Program Files\VMware\vCenter Server\bin> service-control –restart vsphere-ui
从 Web 浏览器中，导航到：
https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister.
页面显示”404/未找到（如下所示）”错误：

在 vSphere Client （HTML 5）中，在管理 > Solutions > client-plugins 下，VMware vROPS Client 插件可能会显示为”不兼容”，如下所示：

在 h5-client 中，VMware vROPS Client 插件在管理 > Solutions > client-plugins 下可视为"不兼容"

这可确认端点/ui/vropspluginui 设置为”不兼容”。

要恢复在基于 Linux 的虚拟设备（vCSA）上 CVE-2021-21972 和 CVE-2021-21973 的解决办法，请执行以下步骤：

使用 SSH 会话和 root 凭据连接到 vCSA。
在文本compatibility-matrix.xml 文件：

vi /etc/vmware/vsphere-ui/compatibility-matrix.xml

移除该文件中的以下行。

. . . .

</pluginsCompatibility>

</Matrix>

重新启动 vsphere-ui service。使用命令 – service-control –restart vsphere-u
验证 vSphere-ui 服务已启动。
VMware vROPS 客户端插件状态为已部署/已启用

要恢复基于 Windows 的 vCenter Server 部署中 CVE-2021-21972 和 CVE-2021-21973 的解决办法，请执行以下步骤：

连接到 Windows vCenter Server。
使用文本编辑器编辑文件：

C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\compatibility-matrix.xml

移除该文件中的以下行。

. . . .

</pluginsCompatibility>

</Matrix>

使用命令重新启动 vsphere-ui 服务：C:\Program Files\VMware\vCenter Server\bin> service-control –restart vsphere-ui
验证 vSphere-ui service 已启动。
VMware vROPS 客户端插件状态为已部署/已启用

ESXi 6.x 中的 OpenSLP 安全漏洞 (CVE-2019-5544) 处理方法

执行以下步骤：

使用以下命令停止 ESXi 主机上的 SLP 服务：

/etc/init.d/slpd stop

注意：仅当 SLP 服务未在使用中的时候才能将其停止。使用以下命令可查看服务位置协议守护进程的运行状况：

esxcli system slp stats get

运行以下命令以禁用 SLP 服务：

esxcli network firewall ruleset set -r CIMSLP -e 0

要使此更改在重新引导后仍然有效，请执行以下操作：

chkconfig slpd off

检查重新引导后此更改是否仍然有效：

chkconfig –list | grep slpd

output: slpd off

要移除适用于 CVE-2019-5544 的权宜措施，请执行以下步骤：

运行以下命令以启用 SLP 服务的规则集：

esxcli network firewall ruleset set -r CIMSLP -e 1

运行以下命令以更改 slpd 服务的当前启动信息：

chkconfig slpd on

运行以下命令以检查运行上述步骤（步骤 2）后更改是否有效：

chkconfig –list | grep slpd

output: slpd on

运行以下命令以启动 SLP 服务：

/etc/init.d/slpd start

VMWARE ESX 3 4 5 6 7版本所需的端口说明

ESXi 7.0

端口	协议	源	对象	目的
9	UDP	vCenter Server	ESXi 主机	由 Wake on LAN 使用。
22	TCP	SSH 客户端	ESXi 主机	SSH 访问需要使用此端口
53	UDP	ESXi 主机	DNS 服务器	DNS 客户端
68	UDP	DHCP 服务器	ESXi 主机	适用于 IPv4 的 DHCP 客户端
80	TCP	Web 浏览器	ESXi 主机	“欢迎使用”页面，包含不同界面的下载链接
161	UDP	SNMP 服务器	ESXi 主机	允许主机连接到 SNMP 服务器
427	TCP/UDP	CIM 服务器	ESXi 主机	CIM 客户端使用服务位置协议版本 2 (SLPv2) 查找 CIM 服务器
546	TCP/UDP	DHCP 服务器	ESXi 主机	适用于 IPv6 的 DHCP 客户端
547	TCP/UDP	ESXi 主机	DHCP 服务器	适用于 IPv6 的 DHCP 客户端
902	TCP/UDP	VMware vCenter Agent	ESXi 主机	vCenter Server Agent
2233	TCP	ESXi 主机	vSAN 传输	vSAN 可靠数据报传输。使用 TCP 并用于 vSAN 存储 IO。如果禁用，则 vSAN 无法工作。
3260	TCP	ESXi 主机	软件 iSCSI 客户端	支持软件 iSCSI
5671	TCP	ESXi 主机	rabbitmqproxy	在 ESXi 主机上运行的代理，允许虚拟机内部运行的应用程序与 vCenter 网络域中运行的 AMQP 代理进行通信。虚拟机不必位于网络中，即无需网卡。代理将连接到 vCenter 网络域中的代理。因此，出站连接 IP 地址应至少包括当前正在使用的代理或未来的代理。如果客户要扩展，则可以添加代理。
5988、8889	TCP	CIM 服务器 8889- OpenWSMAN 守护进程	ESXi 主机	5988 – 适用于 CIM（通用信息模型）的服务器 8889 – Web 服务管理（WS 管理是用于管理服务器、设备、应用程序和 Web 服务的 DMTF 开放式标准）
5989	TCP	CIM 安全服务器	ESXi 主机	适用于 CIM 的安全服务器
6999	UDP	NSX 分布式逻辑路由器服务	ESXi 主机	NSX 虚拟分布式路由器服务如果已安装 NSX VIB 且已创建 VDR 模块，则与此服务关联的防火墙端口将打开。如果没有 VDR 实例与主机关联，则该端口无需打开。此服务在此产品的早期版本中称为“NSX 分布式逻辑路由器”。
8000	TCP	ESXi 主机	ESXi 主机	vMotion – 通过 vMotion 迁移虚拟机时为必需项。ESXi 主机在端口 8000 上侦听远程 ESXi 主机中用于 vMotion 流量的 TCP 连接
8080	TCP	vsanvp	ESXi 主机	VSAN VASA 供应商提供程序。由 vCenter 中的存储管理服务 (SMS) 使用，以访问有关 Virtual SAN 存储配置文件、功能和合规性的信息。如果禁用，则 Virtual SAN 基于存储配置文件的管理 (SPBM) 无法工作。
8100、8200、8300	TCP/UDP	Fault Tolerance	ESXi 主机	主机之间的流量，用于 vSphere Fault Tolerance (FT)。
8301、8302	UDP	DVSSync	ESXi 主机	DVSSync 端口可用于同步已启用 VMware FT 记录/重放的主机之间的分布式虚拟端口的状况。只有运行主虚拟机或备份虚拟机的主机才须打开这些端口。未使用 VMware FT 的主机无需打开这些端口。
12345、23451	UDP	ESXi 主机	vSAN 群集服务	由 vSAN 使用的群集监控、成员资格和 Directory Service。
44046、31031	TCP	ESXi 主机	HBR	用于 vSphere Replication 和 VMware Site Recovery Manager 的持续复制流量。
80,9000	TCP	ESXi 主机	vCenter Server	vSphere Lifecycle Manager

ESXi 6.x

端口	协议	源	对象	目的
9	UDP	vCenter Server	ESXi 主机	由 Wake on LAN 使用。
22	TCP	SSH 客户端	ESXi 主机	SSH 访问需要使用此端口
53	UDP	ESXi 主机	DNS 服务器	DNS 客户端
68	UDP	DHCP 服务器	ESXi 主机	适用于 IPv4 的 DHCP 客户端
80	TCP	Web 浏览器	ESXi 主机	“欢迎使用”页面，包含不同界面的下载链接
161	UDP	SNMP 服务器	ESXi 主机	允许主机连接到 SNMP 服务器
427	TCP/UDP	CIM 服务器	ESXi 主机	CIM 客户端使用服务位置协议版本 2 (SLPv2) 查找 CIM 服务器
443	TCP	vSphere Web Client	ESXi 主机	客户端连接
546	TCP/UDP	DHCP 服务器	ESXi 主机	适用于 IPv6 的 DHCP 客户端
547	TCP/UDP	ESXi 主机	DHCP 服务器	适用于 IPv6 的 DHCP 客户端
902	TCP/UDP	VMware vCenter Agent	ESXi 主机	vCenter Server Agent
2233	TCP	ESXi 主机	vSAN 传输	vSAN 可靠数据报传输。使用 TCP 并用于 vSAN 存储 IO。如果禁用，则 vSAN 无法工作。
3260	TCP	ESXi 主机	软件 iSCSI 客户端	支持软件 iSCSI
5671	TCP	ESXi 主机	rabbitmqproxy	在 ESXi 主机上运行的代理，允许虚拟机内部运行的应用程序与 vCenter 网络域中运行的 AMQP 代理进行通信。虚拟机不必位于网络中，即无需网卡。代理将连接到 vCenter 网络域中的代理。因此，出站连接 IP 地址应至少包括当前正在使用的代理或未来的代理。如果客户要扩展，则可以添加代理。
5988、8889	TCP	CIM 服务器 8889- OpenWSMAN 守护进程	ESXi 主机	5988 – 适用于 CIM（通用信息模型）的服务器 8889 – Web 服务管理（WS 管理是用于管理服务器、设备、应用程序和 Web 服务的 DMTF 开放式标准）
5989	TCP	CIM 安全服务器	ESXi 主机	适用于 CIM 的安全服务器
6999	UDP	NSX 分布式逻辑路由器服务	ESXi 主机	NSX 虚拟分布式路由器服务如果已安装 NSX VIB 且已创建 VDR 模块，则与此服务关联的防火墙端口将打开。如果没有 VDR 实例与主机关联，则该端口无需打开。此服务在此产品的早期版本中称为“NSX 分布式逻辑路由器”。
8000	TCP	ESXi 主机	ESXi 主机	vMotion – 通过 vMotion 迁移虚拟机时为必需项。ESXi 主机在端口 8000 上侦听远程 ESXi 主机中用于 vMotion 流量的 TCP 连接
8080	TCP	vsanvp	ESXi 主机	VSAN VASA 供应商提供程序。由 vCenter 中的存储管理服务 (SMS) 使用，以访问有关 Virtual SAN 存储配置文件、功能和合规性的信息。如果禁用，则 Virtual SAN 基于存储配置文件的管理 (SPBM) 无法工作。
8100、8200、8300	TCP/UDP	Fault Tolerance	ESXi 主机	主机之间的流量，用于 vSphere Fault Tolerance (FT)。
8301、8302	UDP	DVSSync	ESXi 主机	DVSSync 端口可用于同步已启用 VMware FT 记录/重放的主机之间的分布式虚拟端口的状况。只有运行主虚拟机或备份虚拟机的主机才须打开这些端口。未使用 VMware FT 的主机无需打开这些端口。
12345、23451	UDP	ESXi 主机	vSAN 群集服务	由 vSAN 使用的群集监控、成员资格和 Directory Service。
44046、31031	TCP	ESXi 主机	HBR	用于 vSphere Replication 和 VMware Site Recovery Manager 的持续复制流量。
80,9000	TCP	ESXi 主机	vCenter Server	vSphere Update Manager

ESXi 5.x

端口	协议	源	对象	目的
22	TCP	客户端 PC	ESXi 主机	SSH 服务器
53	UDP	ESXi 5.x	DNS 服务器	DNS 客户端
68	UDP	ESXi 5.x	DHCP 服务器	DHCP 客户端
80	TCP	客户端 PC	ESXi 主机	将 Web 浏览器重定向到 HTTPS 服务 (443)
88	TCP	ESXi 主机	Active Directory 服务器	PAM Active Directory 身份验证 – Kerberos
111	TCP	ESXi/ESX 主机	NFS 服务器	NFS 客户端 – RPC Portmapper
111	UDP	ESXi/ESX 主机	NFS 服务器	NFS 客户端 – RPC Portmapper
123	UDP	ESXi/ESX 主机	NTP 时间服务器	NTP 客户端
161	UDP	SNMP 服务器	ESXi 主机	SNMP 轮询。在 ESXi 3.x 中不使用
162	UDP	ESXi 主机	SNMP 收集器	SNMP 陷阱发送
389	TCP/UDP	ESXi 主机	LDAP 服务器	PAM Active Directory 身份验证 – Kerberos
427	UDP	VI / vSphere Client	ESXi/ESX 主机	CIM 服务位置协议 (SLP)
443	TCP	VI / vSphere Client	ESXi/ESX 主机	VI / vSphere Client 到 ESXi/ESX 主机的管理连接
445	UDP	ESXi 主机	MS 目录服务服务器	PAM Active Directory 身份验证
445	TCP	ESXi 主机	MS 目录服务服务器	PAM Active Directory 身份验证
445	TCP	ESXi 主机	SMB 服务器	SMB 服务器
464	TCP	ESXi 主机	Active Directory 服务器	PAM Active Directory 身份验证 – Kerberos
514	UDP/TCP	ESXi 5.x	Syslog 服务器	远程 syslog 日志记录
902	TCP/UDP	ESXi 5.x	ESXi 主机	主机间访问以进行迁移和置备
902	TCP	vSphere Client	ESXi 主机	vSphere Client 访问虚拟机控制台 (MKS)
902	UDP	ESXi 5.x	vCenter Server	(UDP) 状态更新。受管主机向 vCenter Server 系统发送定期检测信号。服务器与主机之间或各个主机之间的防火墙不得阻止该端口。
1024（动态）	TCP/UDP	ESXi 主机	Active Directory 服务器	ESXi 主机与 Active Directory 域控制器之间需要在 TCP/UDP 端口上进行双向通信（通过 ESXi 主机上的 netlogond 进程）。
2049	TCP	ESXi 5.x	NFS 服务器	来自 NFS 存储设备的事务
2049	UDP	ESXi 5.x	NFS 服务器	来自 NFS 存储设备的事务
3260	TCP	ESXi 5.x	iSCSI 存储服务器	目标为 iSCSI 存储设备的事务
5900 到 5964	TCP	ESXi 5.x	ESXi 主机	由管理工具使用的 RFB 协议，如 VNC
5988	TCP	CIM 服务器	ESXi 主机	通过 HTTP 传送的 CIM 事务
5989	TCP	vCenter Server	ESXi 主机	通过 HTTPS 传送的 CIM XML 事务
5989	TCP	ESXi 5.x	vCenter Server	通过 HTTPS 传送的 CIM XML 事务
8000	TCP	ESXi 5.x（虚拟机目标）	ESXi（虚拟机源）	来自 vMotion 的请求
8000	TCP	ESXi 5.x（虚拟机源）	ESXi（虚拟机目标）	来自 vMotion 的请求
8100	TCP/UDP	ESXi 5.x	ESXi 主机	vSphere Fault Tolerance (FT) 的主机间的通信
8182	TCP/UDP	ESXi 5.x	ESXi 主机	vSphere High Availability (vSphere HA) 的主机间的通信
8200	TCP/UDP	ESXi 5.x	ESXi 主机	vSphere Fault Tolerance (FT) 的主机间的通信
8301	UDP	ESXi 5.x	ESXi 主机	DVS 端口信息
8302	UDP	ESXi 5.x	ESXi 主机	DVS 端口信息
31000	TCP	SPS 服务器	vCenter Server	内部通信端口

ESXi 4.x

端口	协议	源	对象	目的
53	UDP	ESXi/ESX 主机	DNS 服务器	DNS
80	TCP	客户端 PC	ESXi/ESX 主机	将 Web 浏览器重定向到 HTTPS 服务 (443)
88	TCP	ESXi 主机	Active Directory 服务器	PAM Active Directory 身份验证 – Kerberos
111	TCP	ESXi/ESX 主机	NFS 服务器	NFS 客户端 – RPC Portmapper
111	UDP	ESXi/ESX 主机	NFS 服务器	NFS 客户端 – RPC Portmapper
123	UDP	ESXi/ESX 主机	NTP 时间服务器	NTP 客户端
161	UDP	SNMP 服务器	ESXi 4.x 主机	SNMP 轮询。在 ESXi 3.x 中不使用
162	UDP	ESXi 主机	SNMP 收集器	SNMP 陷阱发送
389	TCP/UDP	ESXi 主机	LDAP 服务器	PAM Active Directory 身份验证 – Kerberos
427	UDP	VI / vSphere Client	ESXi/ESX 主机	CIM 服务位置协议 (SLP)
427	TCP	VI / vSphere Client	ESXi/ESX 主机	CIM 服务位置协议 (SLP)
443	TCP	VI / vSphere Client	ESXi/ESX 主机	VI / vSphere Client 到 ESXi/ESX 主机的管理连接
443	TCP	ESXi/ESX 主机	ESXi/ESX 主机	主机间虚拟机迁移和置备
445	UDP	ESXi 主机	MS 目录服务服务器	PAM Active Directory 身份验证
445	TCP	ESXi 主机	MS 目录服务服务器	PAM Active Directory 身份验证
445	TCP	ESXi 主机	SMB 服务器	SMB 服务器
464	TCP	ESXi 主机	Active Directory 服务器	PAM Active Directory 身份验证 – Kerberos
514	UDP	ESXi/ESX 主机	Syslog 服务器	远程 syslog 日志记录
902	TCP	VI / vSphere Client	ESXi/ESX 主机	VI / vSphere Client 到 ESXi/ESX 托管虚拟机的连接（MKS/远程控制台）
902	TCP/UDP	ESXi/ESX 主机	ESXi/ESX 主机	身份验证、置备、虚拟机迁移
902	TCP/UDP	ESXi/ESX 主机	vCenter 4 Server	检测信号
902	TCP	VI / vSphere Client	ESXi/ESX 主机	虚拟机远程虚拟机控制台 (MKS)
1024（动态）	TCP/UDP	ESXi 主机	Active Directory 服务器	ESXi 主机与 Active Directory 域控制器之间需要在 TCP/UDP 端口上进行双向通信（通过 ESXi 主机上的 netlogond 进程）。
2049	TCP	ESXi/ESX 主机	NFS 服务器	NFS 客户端
2049	UDP	ESXi/ESX 主机	NFS 服务器	NFS 客户端
2050 到 2250	UDP	ESXi/ESX 主机	ESXi/ESX 主机	VMware HA
3260	TCP	ESXi/ESX 主机	iSCSI SAN	软件 iSCSI 客户端和硬件 iSCSI HBA
5900 到 5964	TCP	ESXi/ESX 主机	ESXi/ESX 主机	管理工具使用的 RFB 协议，如 VNC
5988	TCP	ESXi/ESX 主机	ESXi/ESX 主机	CIM 客户端到 CIM 安全服务器
5989	TCP	VirtualCenter/vCenter	ESXi/ESX 主机	CIM 客户端到 CIM 安全服务器
5989	TCP	ESXi/ESX 主机	VirtualCenter/vCenter	CIM 安全服务器到 CIM 客户端
8000	TCP	ESXi/ESX 主机（虚拟机目标）	ESXi/ESX 主机（虚拟机源）	在 VMkernel 接口上进行 VMotion 通信
8000	TCP	ESXi/ESX 主机（虚拟机源）	ESXi/ESX 主机（虚拟机目标）	在 VMkernel 接口上进行 VMotion 通信
47	UDP	ESXi/ESX 主机	物理交换机	vDS（虚拟分布式交换机）广播
8042 到 8045	TCP	ESXi/ESX 主机	ESXi/ESX 主机	VMware HA
8100	TCP/UDP	ESXi/ESX 4 主机	ESXi/ESX 4.x 主机	VMware Fault Tolerance。仅限 ESXi/ESX 4。
8200	TCP/UDP	ESXi/ESX 4 主机	ESXi/ESX 4.x 主机	VMware Fault Tolerance。仅限 ESXi/ESX 4。
8301	UDP	ESXi/ESX 4.x 主机	ESXi/ESX 4.x 主机	DVS 端口信息
8302	UDP	ESXi/ESX 4.x 主机	ESXi/ESX 4.x 主机	DVS 端口信息

ESXi 3.x

端口	协议	源	对象	目的
53	UDP	ESXi/ESX 主机	DNS 服务器	DNS
80	TCP	客户端 PC	ESXi/ESX 主机	将 Web 浏览器重定向到 HTTPS 服务 (443)
111	TCP	ESXi/ESX 主机	NFS 服务器	NFS 客户端 – RPC Portmapper
111	UDP	ESXi/ESX 主机	NFS 服务器	NFS 客户端 – RPC Portmapper
123	UDP	ESXi/ESX 主机	NTP 时间服务器	NTP 客户端
162	UDP	ESX 主机	SNMP 收集器	SNMP 陷阱发送
427	UDP	VI / vSphere Client	ESXi/ESX 主机	CIM 服务位置协议 (SLP)
427	TCP	VI / vSphere Client	ESXi/ESX 主机	CIM 服务位置协议 (SLP)
443	TCP	VI / vSphere Client	ESXi/ESX 主机	VI / vSphere Client 到 ESXi/ESX 主机的管理连接
443	TCP	ESXi/ESX 主机	ESXi/ESX 主机	主机间虚拟机迁移和置备
514	UDP	ESXi/ESX 主机	Syslog 服务器	远程 syslog 日志记录
902	TCP	VI / vSphere Client	ESXi/ESX 主机	VI / vSphere Client 到 ESXi/ESX 托管虚拟机的连接（MKS/远程控制台）
902	TCP/UDP	ESXi/ESX 主机	ESXi/ESX 主机	身份验证、置备、虚拟机迁移
902	TCP/UDP	ESXi/ESX 主机	Virtual Center 3.x/ vCenter Server 4.x	检测信号
903	TCP	VI / vSphere Client	ESXi/ESX 主机	虚拟机远程虚拟机控制台 (MKS)
2049	TCP	ESXi/ESX 主机	NFS 服务器	NFS 客户端
2049	UDP	ESXi/ESX 主机	NFS 服务器	NFS 客户端
2050 到 2250	UDP	ESXi/ESX 主机	ESXi/ESX 主机	VMware HA
3260	TCP	ESXi/ESX 主机	iSCSI SAN	软件 iSCSI 客户端和硬件 iSCSI HBA
5988	TCP	ESXi/ESX 主机	ESXi/ESX 主机	CIM 客户端到 CIM 安全服务器
5989	TCP	VirtualCenter/vCenter	ESXi/ESX 主机	CIM 客户端到 CIM 安全服务器
5989	TCP	ESXi/ESX 主机	VirtualCenter/vCenter	CIM 安全服务器到 CIM 客户端
8000	TCP	ESXi/ESX 主机（虚拟机目标）	ESXi/ESX 主机（虚拟机源）	在 VMKernel 接口上进行 VMotion 通信
8000	TCP	ESXi/ESX 主机（虚拟机源）	ESXi/ESX 主机（虚拟机目标）	在 VMKernel 接口上进行 VMotion 通信
8042 到 8045	TCP	ESXi/ESX 主机	ESXi/ESX 主机	VMware HA
27000	TCP	ESXi/ESX 主机	VMware License Server	ESXi/ESX 3.x 主机到 License Server 的通信
27010	TCP	ESXi/ESX 主机	VMware License Server	ESXi/ESX 3.x 主机到 License Server 的通信

VI/vSphere Client 端口

ESXi 5.x

端口	协议	源	对象	目的
22	TCP	vSphere Client	ESXi 5.x	SSH 服务器
80	TCP	vSphere client / vSphere Web client	ESXi 5.x	将 Web 浏览器重定向到 HTTPS 服务 (443)
443	TCP	VI / vSphere client/ vSphere Web client	ESXi/ESX 主机	VI / vSphere Client 到 ESXi/ESX 主机的管理连接
902	TCP	vSphere Client	ESXi 5.x	vSphere Client 访问虚拟机控制台 (MKS)

ESXi 4.x

端口	协议	源	对象	目的
80	TCP	VI / vSphere Client	ESXi/ESX 主机	将 Web 浏览器重定向到 HTTPS 服务 (443)
443	TCP	vSphere Client	ESXi/ESX 主机	vSphere Client 到 ESXi/ESX 主机的管理连接
902	TCP	vSphere Client	ESXi/ESX 主机	vSphere Client 到 ESXi/ESX 托管虚拟机的连接 (MKS)
903	TCP	VI / vSphere Client	ESXi/ESX 主机	虚拟机远程控制台 (MKS)
80	TCP	VI / vSphere Client	ESXi/ESX 主机	将 Web 浏览器重定向到 HTTPS 服务 (443)
443	TCP	VI / vSphere Client	ESXi/ESX 主机	VI / vSphere Client 到 ESXi/ESX 主机的管理连接
902	TCP	VI / vSphere Client	ESXi/ESX 主机	VI / vSphere Client 到 ESXi/ESX 托管虚拟机的连接（MKS/远程控制台）
903	TCP	VI / vSphere Client	ESXi/ESX 主机	虚拟机远程控制台 (MKS)

ESXi 3.x

端口	协议	源	对象	目的
80	TCP	VI / vSphere Client	ESXi/ESX 主机	将 Web 浏览器重定向到 HTTPS 服务 (443)
443	TCP	VI / vSphere Client	ESXi/ESX 主机	VI / vSphere Client 到 ESXi/ESX 主机的管理连接
902	TCP	VI / vSphere Client	ESXi/ESX 主机	VI / vSphere Client 到 ESXi/ESX 托管虚拟机的连接（MKS/远程控制台）
903	TCP	VI / vSphere Client	ESXi/ESX 主机	虚拟机远程虚拟机控制台 (MKS)
80	TCP	VI / vSphere Client	ESXi/ESX 主机	将 Web 浏览器重定向到 HTTPS 服务 (443)
443	TCP	VI / vSphere Client	ESXi/ESX 主机	VI / vSphere Client 到 ESXi/ESX 主机的管理连接
902	TCP	VI / vSphere Client	ESXi/ESX 主机	VI / vSphere Client 到 ESXi/ESX 托管虚拟机的连接 (MKS)
903	TCP	VI / vSphere Client	ESXi/ESX 主机	虚拟机远程控制台

思科、华为、H3C交换机巡检命令

思科交换机巡检命令

1、show interface stats：查看交换机所有接口当前接口流量

2、show running-config：查看当前设备配置

3、show version：查看IOS版本信息及设备正常运行时间

4、show clock：查看设备时钟信息

5、show vtp status：查看交换机vtp配置模式

6、show vtp password：查看交换机vtp配置口令

7、show env all：查看设备温度，电源和风扇运转参数及是否报警

8、show inventory：调取设备内部板卡出厂模块型号及序列号

9、show spanning-tree root：查看交换机生成树根位置

10、show cdp neighbors：查看邻接cisco设备基本信息

11、show cdp neighbors detail：查看邻接cisco设备详细信息

12、show interface status：查看交换机接口状态是否存在errordisable接口disable接口

13、show interface summary：查看交换机所有接口当前接口流量

14、show interface |ierrors|FastEthernet|GigabitEthernet：查看接口是否存在大量input或output errors包错误

15、show processes cpu：查看设备cpu负载

16、show processes mem：查看设备mem负载

17、show access-list：查看访问控制列表配置及匹配数据包数量

18、show logging：查看本机内部日志记录情况

19、show ip route：查看路由表

20、show firewall：检查防火墙的工作模式

21、show conn count：检查防火墙并发数

22、show xlate count：检查防火墙nat工作状态

华为/H3C交换机常用巡检命令

system-view #进入系统视图

user-interface vty 0 4 #vty就是用telnet/ssh远程进入交换机的界面(虚拟界面)

screen-length 0 #指定要在屏幕上显示行数，0默认是没有分页（全部显示）

01 硬件状态、IOS版本信息检查

display clock #系统时间

display version #查看版本信息，最近一次重新启动的时间

display enviroment #设备温度

display device #单板运行状态

display device manuinfor #查看设备序列号

display power #查看电源状况

display fan #查看风扇状况

display cpu-usage #查看cpu最近5S、1m、5m占用率

display cpu history #查看cpu使用记录

display cpu-usage task #查看CPU利用率

display memory #查看内存大小和占用率

display logbuffer #日志缓冲区

dir flash: #查看flash

dis boot-loader #显示软件映像文件

display arp #查看arp表(目的IP与目的MAC的映射关系)

display mac-address #查看mac地址表（二层转发通过mac地址表）

display ntp status #ntp状态信息

reset counters interface #清除接口统计信息，方便下次巡检查看接口错误包是否增加

display elabel #路由器设备命令—查看电子标签信息（华为）改用display device manuinfo

display ndp #路由器设备命令—华三V5版本支持，现在改用display lldp neighbor-information

display diagnostic-information #故障信息收集

02 系统运行配置状态检查

display interface #接口流量、链路状态

dis current-configuration inter #地址分配

dis current-configuration |include ospf #路由扩散

display ip routing-table #路由信息

display ip interface #显示 vlan 端口统计数据

display saved-configuration #保存配置文件

display logbuffer #日志信息

display port trunk #查看参与 trunk 的端口

03 STP 信息检查

display stp root #查看 stp 根情况

display stp brief #查看 stp 简单信息

display stp abnormal-port #查看是否有非正常端口

display stp region-configuration #生成树区域配置

display lldp neighbor-information #查看链路层邻居发现协议（邻居信息）

display tcp status #路由器设备命令—tcp统计数据

display tcp statistics #交换机设备命令—tcp统计数据

04 vrrp 和端口聚合检查

display vrrp #查看虚拟路由冗余协议

display vrrp statistics #查看主备用状态

display link-aggregation summary #查看链路聚合组的情况

VMWARE ESXI事件日志中硬件系统传感器日志告警处理办法

现有一台服务器，安装Vmware Esxi6.5，事件日志中传感器System Management Module 2 Event Log的运行状态为黄色，显示有告警。

接服务器管理口发现硬件状态正常，将硬件日志清除后，在esxi中执行命令localcli hardware ipmi sel clear。

事件日志中传感器显示运行状态正常。

F5前面板指示灯说明

Topic

This article applies to legacy BIG-IP platforms supported by BIG-IP 9.x through 11.1.0. For information about the LED behavior for current platforms supported by current versions, refer to the platform guide for your specific platform.

Note: For information about how to locate F5 product guides, refer to K12453464: Finding product documentation on AskF5.

Legacy platforms

BIG-IP 1500 (C36)
BIG-IP 3400 (C62)
BIG-IP 4100 (D46)
BIG-IP 6400 (D63)
BIG-IP 6800 (D68)
BIG-IP 8400 (D84)
BIG-IP 8800 (D88) – version 9.4 and later only

LED indicators

Legacy platforms use 4 front-panel LEDs to indicate a system’s status:

Power
Status
Activity
Alarm

Power LED indicator

The Power LED indicator reports the power status: on (green), off (none), or error (red).

LED behavior	Description
Solid Green	Normal Power ON condition
Off (none)	Normal Power OFF condition
Solid Red	Standby Power/Failure

Note: Solid Red Failure indication occurs when there are rapid cycles of power (power-off, power-on, power-off, power-on). This condition can usually be corrected by powering off and waiting 2 minutes before turning the power back on.

Status LED indicator

The Status LED indicator reports the Active or Standby status: Active (green), or Standby (yellow).

LED behavior	Description
Solid Green	Active
Solid Yellow	Standby

Activity LED indicator

The purpose of the Activity LED indicator is to indicate traffic going to the CPU for load balancing or other software processing. It is not intended as a substitute for the individual Activity LEDs present on each network interface.

The Activity LED uses hardware inputs as an indication of load balancing activity. On legacy platforms this is driven by a signal from a PHY on an internal Ethernet interface connecting the switch subsystem to the CPU subsystem. It is possible that the Activity LED flickers even when there are no active links on the network interfaces.

LED behavior	Description
Intermittent Yellow	Activity on the switch to CPU Ethernet interface

Note: The 8400 platform activity LED illuminates while the system is power cycling, and turns off after the boot process has completed. For more information, refer to: K10161: The Activity LED operation on 8400 platforms.

Alarm LED indicator

A single LED (Alarm) conveys an alert level (warning, error, alert, critical, and emergency). The specific alert condition is communicated by an SNMP trap and a log message. Additionally, the specific alert condition will be indicated on the LCD screen.

Alert level LED behavior

There are 5 alert levels:

Alert Level	LED behavior
0 – Warning	Solid Yellow
1 – Error	Blink Yellow
2 – Alert	Solid Red
3 – Critical	Solid Red
4 – Emergency	Blink Red

Alert conditions

Alerts that affect the behavior of the Alarm LED indicator are defined in the /etc/alertd/alert.conf file. The lcdwarn function of an alert definition defines which alerts will modify the Alarm LED indicator.

As an example, the default alertd process conditions in BIG-IP 9.2 are defined in the following table:

Description	Alert Level	LED behavior
CPU Temp too high	3 – Critical	Solid Red
CPU fan too slow	3 – Critical	Solid Red
CPU fan bad	3 – Critical	Solid Red
Chassis Temp too high	3 – Critical	Solid Red
Chassis Fan bad	3 – Critical	Solid Red
Power Supply bad	4 – Emergency	Blink Red
Unit going standby	0 – Warning	Solid Yellow
Unit going Active	0 – Warning	Solid Yellow
The license validation failed	2 – Alert	Solid Red
The license has expired	2 – Alert	Solid Red
Blocking DoS attack	2 – Alert	Solid Red
Hard disk is failing	4 – Emergency	Blink Red

Note: An alert condition is no longer triggered when a node or member has been marked down. For additional information about this functionality, refer to K5486: BIG-IP does not signal an alert condition through the front panel Alarm LED when a node or member is marked down.

要实施基于 Linux 的虚拟设备 （vCSA） 上 CVE-2021-21972 和 CVE-2021-21973 的解决办法，请执行以下步骤：

ESXi 7.0

ESXi 6.x

ESXi 5.x

ESXi 4.x

ESXi 3.x

VI/vSphere Client 端口

ESXi 5.x

ESXi 4.x

ESXi 3.x

Topic

要实施基于 Linux 的虚拟设备（vCSA）上 CVE-2021-21972 和 CVE-2021-21973 的解决办法，请执行以下步骤：