网络运维案例征集与吐槽,来了,就有奖!!!-奖励已公布
  

Sangfor_闪电回_朱丽 发表于 2018-11-26 09:52

最近看到一个叫“一个苦逼网管的吐槽”这个帖子,大概意思就是:公司网络断了,员工就开始不停地骚扰网管,然后网管就开始吐槽balabalabala...

网络,已经成为人们工作和生活都不可或缺的一部分,做为公司的IT运维,我们掌控着整个公司的行为方向,不出问题还好,一有问题,我们就将站在风口浪尖......

今天,我们一吐为快!一起来聊一聊,各自在做网络运维时,发生过哪些让你印象深刻的事情?你是如何解决运维过程中遇到的问题的?

内容参考:所分享的案例最好与SANGFOR产品结合,内容包括在什么场景下(网络规模、产品部署)遇到了什么问题如何解决?解决的过程中,最让你难忘的事是什么?

参与方式:
方式一:直接跟帖回复您的运维故事
方式二:点击下面的链接发布分享帖,发帖后将帖子链接回复到本帖中!


活动时间:
2018年11月16日-2018年12月16日

奖励有哪些?

奖励一、社区邀请深信服技术专家根据案例内容质量进行评选,将选出3-5个案例,设置为优秀案例,奖励深信服社区订制礼品一份!

签字笔.png


奖励二、所有分享的案例,经社区管理员确认合格(内容积极向上,结构清晰即可),均可获得500S豆!
500S豆.png


获奖情况公布:
帖子详情
帖子作者
奖励
故事一:单位一台ac,webUI的端口是443,学校内网有个设备管理中心的视频监控系统,他们要求在家里通过监控软件app访问监控系统,这样需要根据监控系统的端口进行映射。同事不知道,将443端口映射给了监控系统,造成内网不能登录ac,同时造成内网用户上网极为缓慢。当时是一头雾水,领导说通过dmz口可以登录,但忘记了dmz口的ip设置是多少了,急啊,因为平时只是使用,对复杂的东西也不是太懂。怎么办啊,平时少有人问津的手机,电话一个接一个的打过来询问为什么网络这么慢,都快打爆了。幸好手机微信加了深信服的公众号,里面可以咨询客服,经过与客服联系,说可以通过子接口登录,记录好客服告诉的ip,将电脑设置成与子接口的同一网段的ip,打开浏览器,输入子接口ip,终于见到久违的界面了,赶紧删除那个为视频监控做的端口映射,网络恢复正常!感谢深信服的客服!
   故事二:周一上班,接到后勤办公楼反馈上不了网,刚开始以为是交换机问题,拿上一个备用交换机就过去了,登梯子爬高,拔线-换交换机-接电,一系统工作完成,本以为大功告成,谁知道,下来一测试还是不行,ping  ac,不通。怎么回事?经过与在后勤办公的同事询问,说周末还能上呢,没办法,重新登梯子查看,发现光纤收发器的指示灯不闪,断电,拔尾纤再接,还是不行,原来是光纤断了。哎,什么时候断了?断在哪里了?一头雾水,因为没有测试光纤的那种高科技设备,无法断定具体断在何处。将情况反馈给领导后,领导说找人接设备测试一下,第二天,测试的人来了,一番折腾,最终确定是光纤断了,因为后勤楼和中心机房直线也就不到500米的距离,加上七拐八拐,光纤也不到600米,测试的人说,光纤越长越好定位断点,像我单位这种距离不好测。没法,反馈领导后,领导说,换光纤吧,在周末,我和同事费劲力气重铺光纤,熔接完测试后,网络正常。
水之蓝色
订制礼品
回复:背后有400的支撑 排障的路有些艰苦但总体还是走过来了
  某日  国家级能源单位客户来电  云桌面   痩终端 重启后无法登陆虚拟机    客户双网物理隔离  无法远程
  急需解决故障!饿着肚子火急火燎的直接打车去客户处   根据经验上套路 登陆VDC控制台查看与VMP状态 红色    OK找到问题所在   接着排查 不通原因  通过与客户交流得知   最近内网添加了一台 硬件防火墙  其他没有什么变动  好吧   查看防火墙配置  IP地址和控制器地址一样   好吧 地址冲突    和客户沟通  重新规划配置VDC和VMP地址  连接    OK   痩客机登陆 OK    排障完成     肚子的抗议声居然被客户听到了  给我定了外卖    实在是很暖心的客户
TouTou
订制礼品
回复:最有成就感的其实还是这个:借助出口AD实现了两个WOC的“双活”。这个项目VPN分支超级多(后期差不多接近1000个了)!而且涉及到多级VPN组网,网络环境复杂,但是好在是部署阶段,其他深信服设备都稳扎稳打配置完成,当时单一WOC性能扛不住。视频会议卡顿马赛克。但是WOC目前又不支持双活,我曾经在社区分享过详细步骤和方案评估:https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=49691
  当然这个方案最后落地还是得感谢办事处同事以及原厂的给力支持,毕竟这个方案当我第一次咨询的时候,都说理论可行但是几乎没有先例,所以我也只能摸着石头过河。我记得割接那天晚上深信服原厂一个小哥哥还打电话问我怎么想到的2333333,好像还很感兴趣地问了我的实施过程。
  
  另一个是借助frp实现了没有公网环境的SSL VPN接入,我在社区也做了分享:
   https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=57000
  我司目前就采用这种方案,给老板一年省了十万专线投入
Windroid
订制礼品
回复:我们2011年购买的AD、AC、SSL VPN  ,使用了五年之久,但极其稳定。没有的任何的问题。在本地服务商的建议下,2016年年底更换的深信服超整合,产品有AD、AC、AF、SSL  VPN,在上线的过程当中出了很多的问题,光与400长沙服务联系,一周达到3次之多,
  而且每一次的刚解决的问题,又出现另外的问题。具体把问题描述
  AD、算是比较稳定的产品  AC、1、在用户登记的情况下,旧产品最多可以登记20个MAC,但目前的版本,仅能5个。导致在迁移的过程中,出现部分漏掉。部分的电脑无法上网。不能说人为,全部都是复制的过程中反馈。
  AF  1、上线期内,出现AF死了2次,经研发多次核查原因,和每次的调整策略,足足花了半多个月,才把相关的补丁打入。2、上线后刚开始是业务系统出现个别外面的服务商不能访问,只能添加到AF白名单,3、我们公司的打印机可以自动扫描到电子邮箱,但突然某天出现全部不能,打印机服务商过来处理了2天,结果未能解决。但通过深信服本地的技术工程师过来,通过排除法,一个一个地解决,在3小时。就找到了问题。原因是把虚拟设备迁移到另外的一台服务器。就解决了。所以,运维很重要,特别是系统的稳定性。保障公司的信息网络安全。在这里,对深信服的AD  、AC 产品,确实不错。有条件的企业确实可以上。
RS
订制礼品
回复:   2017年10月6日凌晨3点钟,我的电话响来了,领导说集团总经理在欧洲出差发现深信服ssl vpn  无法使用,不能登入OA系统,现在有急事需要处理,十万火急。因为公司为了安全有规定ssl vpn 不能远程管理 ,也禁止Ping  ,没有办法,痛苦起床,迷糊中订了出租车,出发到公司。在车子里,思路开始清晰,开始分析什么问题原因造成的,是因为设备有故障吗?马上打电话给厂家售后问题,做技术保障。半个小时后到了公司,马上从内网登上深信服的设备正常,发现正常。不会是运营商的链路有问题了,马上把禁ping取消,用电脑连手机热点带外网测试,发现从外网能ping  到深信服务ssl vpn 设备。这是厂家售后给我了提示,是不是ssl vpn 端口号443 被运营商封了,马上修改ssll vpn 端口号  ,测试正常了。原来故障原因是运营商把端口封了。目前通知全公司员工修改ssl vpn 端口号不现实,马上联系运营商,才知道原来前任it没有向运营商申报ssl  vpn 公司地址 ,导致封端口。没有办法向电信服务经理施压,2个小时后,临时放开原来443端口,马上通知领导向总经理汇报。10天后,写了报告通知全公司修改ssl  vpn 端口。这么多看运维发现不仅是技术有要求,还有懂的寻找厂家技术帮忙,还有懂公司流程,也许自己还要在运维道路上不断学习。
ztbf
订制礼品
回复:某日刚刚是假期结束上班第一天,500台PC,配备全套深信服AC行为管理和AF防火墙设备的环境,终端用户火烧火燎找到IT告诉他我客户网站上不了,目前无法下载订单,影响到了业务,限时解决否则投诉你们部门领导,解决过程中经过调查发现该网站变更了原有的网络通信端口,而公司防火墙端口处于关闭状态,因此无法访问,告诉那位终端用户原因,并且要求他们通过正常的部门手续申请开通防火墙对应端口,否则无法对应,最难忘的体会IT可以开放并且有能力开放所有的网络端口,可是开放网络端口就意味着可能的网络威胁,保障业务流程是首要任务,但是如果不通过正常手续申请办理,将会是无规则的随意开放,那样就不能达到管理的效果。
tj_zero
500S豆
回复:深信服桌面云一体机6台一共140个终端授权,做的PC机利旧方式,关键需要虚拟机可以使用PC机中的内置光驱进行刻录。费了九牛二虎之力总算是把PC机利旧的方式实施完了,结果在使用中发现PC机内置光驱刻录的光盘在有些外单位的电脑中无法查看到文件。光驱显示光盘里是有数据容量的,但是打开光驱以后里面是空白的,为了这件事和深信服办事处工程师、研发工程师没少进行沟通。最后研发做了问题重现,得出的结论是内置光驱只能复制、粘贴的进行文件刻录,而由于外单位电脑上做了相应的设置,刻录的光盘文件必须要使用刻录软件进行刻录才能看到。以PC机利旧方式内置光驱是映射成网络磁盘驱动器无法使用刻录软件进行刻录,要使用刻录软件进行刻录需要使用USB外置光驱。
小石猴
500S豆
回复:记得以前使用的一台AC设备做上网行为管理,由于设备比较老且软件版本一直没有升级,很多策略不生效,还有防共享防代理也不行,局域网中几百台电脑就开了几十台外网,却一直有一半以上的的人有网可上,根本管不住,各种代理各种共享玩着各种游戏。  突然有一天这台设备坏了,初步判断是主板烧了,这下子可好,局域网中所有电脑有有网上了,欢呼声一片!但是作为网管的我可压力山大,可喜的是刚好有个项目施工了,项目里面做的一台备用AC进机房了,那时自己还是个新手就立马动手换设备了,按照说明书把设备调试正常,备份文件却没有导进去,花了三天天时间把所有的工作完成,新设备很给力共享代理基本上不能使用了,欢呼声立马变成了一片骂声,有时候干好了工作却没落下好名声有木有?只有自己想办法改变那种状况了,后来通过一些制度的改变才使同事们慢慢的适应。
feeling
500S豆
回复:客户部署了AC在外网线路,突然外网线路质量巨差,基本没有设备可以连上外网,客户怕影响上级单位从前置机抽取数据,电话直接call到老板,说是串联到线路中的设备响应了现网(数通部分包给了本地一家大国企的二级单位,有专人驻场),然后就被老板喷了一顿,灰头土脸的来到客户处,由于ac是透明部署,到了现场后发现客户已经用网线跳过了ac,但是网络依旧有问题待我慢条斯理的登上ac后,首页显示该时间段确实网络波动很大,建议排查dns,我把这个排障方法告知客户后,客户将信将疑的试了下,结果,网通了。。。子回复:补充一下,客户是医院,医疗管理部门会不定时的从医院的前置机抽取数据待查,同时部分医疗软件厂家通过我们部署的信服vpn远程进行调试
ie5000
500S豆
回复:我们使用的是office  365国际版,之前发生过连接不到服务器,检测网络都是好的。运营商也帮不了忙。最后查出我们国家强大的长城防火墙的问题。这个就无解了。最后过了些时间就恢复正常了。遇到这种事情真是哑巴吃黄连,有苦说不出啊~~IT,挨踢,苦逼啊~~
新手683057
500S豆
回复:记得以前做IT时,公司财务电脑中勒索病毒了,后来咨询数据恢复厂家,说使用数据恢复,最多能恢复70-90%的数据,财务不同意,要求必须百分之百。最后无奈,和领导反馈,但领导不同意。后来把我惹毛了,我直接撂挑子了,让财务直接和领导沟通吧。balabala,反正经过领导最后IT领导妥协,然后我们想恶势力低头,交了钱,给了解密,恢复了数据才完了。后来和老板说要加强网络安全,老板说要做什么异地备份,反正很高大上。结果到现在高大上的方案还没上上呢
davidwei
500S豆
回复:某单位6台DELL服务器搭建超融合环境,某同事VPN远程操作所画即所得中所连设备误操作成为环,删除网络线路(所画即所得中成环线路)仍旧影响办公内网以及虚拟化内部网络,内网办公网络直接瘫痪,急坏了一帮人,都成为热锅上的蚂蚁了,拔掉超融合环境内网业务口后内网业务恢复,进超融合页面查看发现主机间仍旧有大量广播出现,重启当初成环那台虚拟化主机解决问题。   急坏一批人  哈哈
小华子
500S豆
回复:在阳光明媚的一日早晨上班,同事火急火燎的过来说他的电脑不能上网了,我天啊;同事说是在系统正常启动后,顺手打开IEr浏览器,想安安静静的在深信服的论坛里刷豆豆的时候,却发现IE浏览器的窗口里空空如也。随即我就认真一查,发现IE提示为“DNS错误”,刷新几次都是如此,看来网络出问题了。首先怀疑的当然是DNS服务器了,于是赶忙启动系统的“控制面板→网络连接→网络属性”菜单,点选其中的TCP/IP协议,查看罗列其中的DNS列表,发现配置并没有错误,打了个电话给当地的ISP机房热线,回答是出奇的肯定NS  No Problem! 难道是我的网络或系统出了故障吗?    大概是最近病毒泛滥成灾的缘故吧,我又想到是否机子染了病毒或木马,于是马上拿出最新的防毒软件和防火墙软件,一阵穷追猛打,结果是病毒一个也没有,网站仍然登不上去。这时我开始怀疑机子的网络配置出了问题,于是点“开始”菜单里的“运行”项,在其中输入cmd并回车,进入了DOS命令行窗口,在其中敲入“Ipconfig  /all”回车。这时本机的网卡状态,包括MAC地址,IP地址,子网掩码,网关地址及DNS服务器等关键参数全部罗列出来,我左顾右盼也没发现任何差错。看来问题不在软件上,而是硬件有麻烦了。无意中我查看了一下桌面右下角图标的网络状态,发现网络的发送/接收数据包数目居然都是0!这怎么可能?难道是网卡不行了?可是网络右下角的连通状态提示分明给出了“以10M速度连接”的提示,而我在“运行”窗口中敲入“Ping  127.0.0.1”作回环测试,也报告一切正常。于是我理所当然地将网卡故障的可能性排除在外。   转念我又把矛头指向了单位局域网中那台价低位廉、年久失修的交换机上。跑过去一看,嘿!果然不出所料,连接我的桌面电脑的交换机端口指示灯居然不亮!难道这就是问题的根源?可是去问问同事,大伙儿异口同声表示上网正常,这表明这台年迈的交换机还健康长寿,再将同事所用的交换机端口与我互换,他们仍能正常上网,这
  表明交换机上与我机子相连的接口亦无问题,这下惟一的希望就在连通网卡与交换机之间的网线上了。由于平时用此网线上网一直正常,因此对它的接线配对无可怀疑,惟一的可能或许是器件老化及经常拔插导致接触不好,四处奔波借来一个网线连通测试仪一测,接近100MB的良好连通性差点让我气歪了嘴!看着网络状态上几乎凝固了的“0”数据包收发,百般无奈之中抱着试试看的想法打开了机箱,看着固化在主板上的那个网卡,烦乱中我用手狠狠地敲了它两下——没想到奇迹发生了!网络状态上的收发数据包计数从“0”变成了“10”,“90”,“200”„„顺手打开IE浏览器,一个个熟悉的网站顿时映入眼帘!原来故障的源头竟是这最不放在心上的网卡!它与主板的牢固粘合导致软件测试时报告一切正常,而它在与网线接口处的微小松动却使得网络在物理上已完全隔离,这导致了交换机上显示连通的指示灯熄灭,而数据包的收发当然
  也无从谈起了!
   故障体会:尽管问题最后得到了解决,但一个宝贵的上午已经过去。痛定思痛我有一些心得。网络故障的测试往往比较复杂,比起一些系统软硬件故障来,它还有一个空间的跨度需要克服。我们在解析时,应抱着先软后硬,由近及远的原则,利用逐一排除及替换法分别进行排查。那种放着眼前的错误不顾,而四处寻找故障之源的办法显然是舍近求远,其问题纵然解决了也是事倍功半。一言以蔽之,那就是:不要忽视了那些近在咫尺的小毛病,因为它们可能就是故障的源头!
法律框架
500S豆
回复:某大医院,上周,一台中了勒索病毒,文件全被加密了。隔离很及时。及时上架了安全感知平台,接着就是杀毒打补丁,杀毒打补丁,杀毒打补丁。打了一周,还有很多。还有很多。
朱墩2
500S豆
回复:网络运维案例分享,那肯定是删库跑路呀,多刺激,想想都没觉的很爽!
  但是。。
  很怕被人打死,还是想想比较好
   前段时间升级深信服的VPN设备,担心出问题,咨询的渠道工程师升级,工程师给提供了一个非常新的,官网没有的版本,然后满怀希望的去升级,结果报错,非常郁闷!
  后来联系了400,查看了设备版本和升级包版本,原来是工程师给的升级包版本有问题,我的设备用不了。算是工程师热心办错事吧,挺有意思的
  
  网络运维案例分享 - 畅所欲言 - 深信服社区
   https://bbs.sangfor.com.cn/forum ... ad&tid=58008&extra=
TCN
500S豆
回复:一个夜晚,和同事弄深信服超融合。平台部署好了,我这边交换机也把两个接口配置了聚合,两边都是按标准配的,但就是出错。让400小哥陪我们查到凌晨12点也没个头绪。第二天一早,去机房,发现是网线标签弄反了(历史遗留问题),交换机与服务器连线都是错的……巡线,重新贴签,搞定。
  
   刚入职时,第一次用深信服设备。我们需要给某分支连接总部,某些服务器能互访。建立agent,用户密码,划虚拟地址池,开隧道间NAT,照着手册算是勉强连好了,别说这样做VPN还挺方便。但是发现总有一两台服务器访问不正常,搞了半天原来是分支服务器没有去往总部的路由。由于特殊的网络环境,在服务器上加了路由指向VPN后解决了。
   接着又发现某台设备只能单向通信。折腾一个下午加第二天半天。用自带的命令行调试和交换机配置查看,发现是应用端RAC漂移地址闹的,把那几个虚拟地址都放在路由条目里,问题解决了。
  
  
  
nightmare
500S豆
回复:分享最近实施的一个案例:
  客户上架一台AC,12.0.12版本的,在对象定义-过滤词  新建策略后死活提交不了,用IE,360这些浏览器都无效,打400问了,用谷歌浏览器试试,结果真的可以!!这个坑真的始料不及,因为这个我还忘记上社区参加每日答题了
金诺网络_JET
500S豆
回复:桌面云双副本,两台一体机,突然有一天,一部分虚拟机登陆不上了,检查了半天一台一体机宕机了,着急莽荒的联系办事处的技术,一检查,原来是固态盘的系统坏了,只能苦逼的把设备扛回去,最后给我们重新寄了一块固态盘(大约1周),换上发现一个BUG,必须要签名,才能识别硬盘,还要找个公网ip,总部远程给设备做签名,经过我们的努力,最后终于算是恢复好了。最难忘的一次事故。
zhaoyang
500S豆
回复:有一次去实施桌面云项目100个点,然后要把旧PC的数据复制到新的PC上面来,和我来一起两个人  ,客户那边IT要我们自己和那些用户协调复制数据,刚开始两个人做还好,我另一个同事有其他项目  ,所以就剩我一个了,客户这边也不排人一起帮忙复制,犹豫客户那边每个用户数据都不一样,有的很多,我苦逼的一个人连续搞了一个星期,每天早上9点到客户那里,晚上8  9点回去。
Remblue
500S豆
回复:某次去客户那里做设备替换,我们AF设备替换原有防火墙设备,由于原来防火墙上面策略很多,好几页,然后后当天早上过去在机房里面就折腾这个策略转换,时间很快过去,弄好已经下班了,出来发现门被锁了,联系客户,结果是客户把我也给忘记了,下班把门直接给锁了!坑爹的是我后来才知道可以把配置导出来给研发转配置,直接导入!
神奇轱辘
500S豆
回复:我一个人扛起公司运维的大旗,这其中的心辛酸真是一波接着一波,他们一天到晚最希望的就是我的AC挂掉,哎。
主动出击
500S豆
回复:公司用的信服AC,AF,还有信锐WLC。某天无线上网间歇性断网,过个几分钟又好了,这一下就影响200号人上网,有线上网一直正常,看起来出口线路没有问题,莫非有人在干扰无线网络,也不可能啊,再想问题还是出在上网控制设备这块,然后检查信服AC,AF,看到无线控制器的IP被放到封锁名单了,估计是无线终端有些敏感会话触发了AF的安全策略,把无线控制器给封锁了,赶紧捞出来,添加到全局放行名单,无线上网就都正常了。
vito
500S豆
回复:PC配置的DNS是内网的DNS服务器(比如:192.168.1.253),现在客户想要实现DNS代理,实现20%的DNS请求从某条链路出去(比如从其中的电信链路走),如何在DNS上配置?可以考虑如下的方法:
  1、6.2版本的DNS代理新增了“代理目标范围”,无非就是解决PC填写的LDNS  DNS地址能否匹配上DNS代理模块的问题,但是有个根本问题,就是DNS代理是存在会话保持的,而且会话保持是基于源IP地址。当然这个优先级是最高的,也就是说某个IP有会话在且未超时,后续该IP的分发都匹配从之前的线路出去。比如你这种内网存在DNS的环境,相同AD收到的DNS请求数据其实都是内网DNS服务器一个地址发过来的,必然会造成DNS的流量不均衡。为解决这可以考虑客户端PC的LDNS  DNS地址直接填写其他地址,以便AD收到的源地址都是不一样。
  
   2、如果内网PC必须填写内网DNS地址,则可以考虑另外一个方法来顶替DNS代理的效果:发布服务端口为53的虚拟服务,节点池里面填写公网的DNS地址,IP组填写设备LAN,内网DNS服务器的转发地址填写AD的LAN口地址保证可以匹配上该虚拟服务。同时记住,节点池里面不要关联会话保持选择none即可,策略可以选择加权。
avic
500S豆
回复:桌面云升级5.3版本,客户要求将原服务器上的虚拟机全部迁移到新服务器,因为服务器跨网段等原因,导致传输慢,通宵迁移,迁移完还要现场保障,最难忘的是有个大客户,派生了400多台虚拟机,对应不同的部门使用,每个部门的操作系统软件都不一样,部分虚拟机需要重启还原,有的不能还原,自动还原的虚拟机添加打印机当时还反复协商了好久,特殊的用户环境需要不同的解决方案,最后还是决定了不还原,给每台电脑添加所在办公室的打印机T_T
宇大大大大大大
500S豆
回复:隐约记得以前公司有两台深信服的上网行为管理,然后两台做HA分别与公司的两台核心交换机互连。有一次我们做深信服的主备切换测试,猛然发现当切换到备设备时业务全部都中断了,正常情况不应该是这样。后来做测试才发现原来是生成树的问题,是深信服设备与核心交换机互连的口虽然是Up的,但却被block了。然后我们把核心交换机上的接口启用bpdu filter的特性就恢复正常了。挺深刻的一次经历,在过程中另人深刻的是当时以为切换过去不会对业务有影响就没有通知用户,谁知道突然就断网了,当时还有客户在现场,不过庆幸的是断的时间短,一切过去不行我们就又切回来找原因了。
新手414707
500S豆
回复:前几天有台版本是4.6的AC设备,客户新购入了一台核心交换机,想要做跨三层取MAC,但是不成功,求助过来,开始以为只是简单的跨三层能有多难,后来才发现,有些设备不仅老,而且也难到你无法想象。
   首先客户给了测试的环境,我开始一直以为是设备网桥串在网络中的,一直修改跨三层的地址和MAC还有OID,然后发现不管怎么改,认证上来的用户也就4个,很奇怪,抓包也看了,也没有这些数据(测试了一下午),第二天客户给我发了一份内网现在的拓扑情况,然后发现交换机上没做流量镜像,AC相当于旁路的,和客户商量中午网桥串到网络当中,不影响网络的情况下进行测试,网桥的配置都是提前配置好的,还有跨三层,然后发现内网用户还是不能上网,跨三层上面的地址和MAC都是客户给我的,使用工具搜索内网的MAC,发现还有重复的,一脸懵的测试了一中午,也不知道是哪边的问题,第三次400小哥哥给改了一个OID之后,再进行测试就是好的了,虽然还会有一些内网用户通过路由器的MAC上线,但是现在一切正常,看了三天,最后是OID,万万没想到。。。。
似水年华
500S豆
回复:丽姐姐,我来参加喽,
   https://bbs.sangfor.com.cn/forum ... ad&tid=58243&extra=
  
  500S,真的的巨款哈
哒哒哒
500S豆
回复:大厦变压器周末检修,有一个同事恰好加班,遂反应无线网络无法连接外网。微信不断,请求协助排查问题,检查后发现依旧在检修时段,本大楼无法正常上网遂作罢,第二天早上火急火燎赶到公司,发现一切正常。
  某领导找我说他主机上不了网,去了发现主机在桌下,他把网线踢掉了
火云邪神
500S豆
回复:说到吐槽,我倒是有一肚子的话想说,目前的状态是凌乱的,说的话可能也是杂乱无章的
   一日下班即闪,刚出地下车库,老板直接找过来了,原话是这样的:我的网络(老板使用的是专用的虚拟局域网,SSID为vip,公司核心层的几位大佬在使用)已经连图片都打不开了,不要以为是我的电脑问题(之前因为他的破电脑搞得我很尴尬),手机连上也是一样,网页都打不开,你要检查一下这个网络。
  老板发话了,这个事情可不敢怠慢,然后赶紧排查,各种策略,各个通道一通狂点,然后发现首页被我忽略的“接口吞吐率折线图”中下行流量成一条没有波动的直线,然后就去排查“用户流量排名”和“应用流量排名”,发现有一个IP开启了迅雷,并且貌似还没限速。更加尴尬的是,该还IP属于VIP段。
  到这里可能就不用我多说了,当确认这个不是老板的IP后,果断掐死
  然后不到五分钟,就有大佬找来了,成功将锅甩给了他,一身轻松地回了家。
  
  还有一次是华为的应用商店和微软的update更新瞬时高并发导致的网络封堵,之前分享过类似的帖子,大家可以移步至这里查看:
  https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=56122
  https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=56744
凝網_蟲爺
500S豆
回复:
   记得以前使用的一台AC设备做上网行为管理,由于设备比较老且软件版本一直没有升级,很多策略不生效,还有防共享防代理也不行,局域网中几百台电脑就开了几十台外网,却一直有一半以上的的人有网可上,根本管不住,各种代理各种共享玩着各种游戏。  突然有一天这台设备坏了,初步判断是主板烧了,这下子可好,局域网中所有电脑有有网上了,欢呼声一片!但是作为网管的我可压力山大,可喜的是刚好有个项目施工了,项目里面做的一台备用AC进机房了,那时自己还是个新手就立马动手换设备了,按照说明书把设备调试正常,备份文件却没有导进去,花了三天天时间把所有的工作完成,新设备很给力共享代理基本上不能使用了,欢呼声立马变成了一片骂声,有时候干好了工作却没落下好名声有木有?只有自己想办法改变那种状况了,后来通过一些制度的改变才使同事们慢慢的适应。
zoonctrl
500S豆
回复:
  公司不大,但是一直在用着深信服的AC,设备用起来得心应手,网络管理工作非常好做,基本上不用操心,就是控制台点点鼠标就能管理好了。
   刚入职不久的事了,经验不足。那时公司网络是申请开通,没有申请的用户是不给开网,有次一同事反映说电脑上不了内网了,得知消息后由于离得远所以电话问问什么状况,说前几天好好的,突然就不能上内网了,我懒得去处理,就给出的处理办法:自己查看IP地址是否正常,使用安全卫士修复浏览器看看。
  一会接到电话,不好使,IP地址正常。奇怪的问题啊,看来得跑一趟了,就过去看了电脑IP地址,ping一下服务器地址发现能ping通,但是打开网页却访问不了内网,查浏览器,Internet选项里面发现了配置了代理,取消代理就正常了。原来使用的代理主机同事请假不在了,电脑关机中,配置代理的电脑就访问不了内网了,积累经验的事啊,后面就好处理了。
好心情能长寿
500S豆
回复:那天接到公司销售的安排说,客户有个华为路由器想和机房那台ssl 设备做IPSec  vpn,不就是个第三方对接吗,兴致勃勃就去了,到了现场才发现并不是那么简单,我被客户带到了一条货轮上,看到了那一台路由器,因为船跑沿海那一台华为路由是通过插4G卡拨号上网,然后再和ssl设备建立连接,首先问题就出现在了华为路由器4G拨号还要填写电话卡制式,什么APT,拨号串呀,最可恨的是打了好多电话问运行商都是一问三不知(每个月交那么多电话费要你们有何用),最后上百度查了几个,居然试出来了,能上网了,就开始了ipsec的配置,又出现了运营商做了NAT的问题,华为和深信服都开NAT穿透才解决,最后问好多人才知道APT和拨号串只有安卓手机进入运营商设置里面才可以看到,吃一堑长一智
XZH
500S豆
回复:
昨天就遇到一个例子:
客户打电话说桌面云上不去。我想一直都很正常啊?就问什么时候出现的问题,他说他把设备关了放了一阵,再打开就不行了,还给我展示了网线连接情况,以及网口指示灯都是亮的。
然后我让客户ping一下服务器IP,他说通。我就让他测端口,他说不通……
我就想那我中午有时间,也该做下回访了。就约了一点半到……
结果,去了一测试,发现IP地址不通,查看arp表,没有服务器网口地址。然后去机房,看网口灯亮,就把自己电脑配上地址测,也不通。
就纳闷了啊,,然后绕到服务器前边一看,电源和硬盘的指示灯都是灭的!!!

   
(VDS一体机异常断电再通电会自动重启,但手动关机再插电是开不了机的。插上电只是网口灯亮,客户才一直以为设备是开着的。)
期间还遇到另一个问题:USB太厚,插盒子上会卡着。而且插不紧还会导致识别不到,重插,使点劲,就好了。。。
如图:
新手148744
500S豆
回复:某校做深信服Afvpn移动端,由于网络环境复杂,做vpn的端口被封禁,后来给了几个端口,还是错误的,当时还做了把web客户端443端口改了给vpn用,还好后来找到一个没有封禁的端口,做完,vpn通了,又发现无法访问AF控制端,可以ping通,然后直通可以通,抓包,看了日志vpn接口-lo接口,不知道本地lo在哪里,后来觉得就是ip限制了无法登陆,然后仔细排除还真是在接口做了ip限制,嗯完美解决,over,嘿嘿你以为这么简单吗,没有对方BOSS用的是mac,PDLAN没有这个版本,哈哈,搞了半天白搞了。so,前期调研要做好,我只是个填坑的。有些坑我只能够铺个表面。用力一踩,就崩溃了。
天昊
500S豆
当时解决了一个困扰我好久的问题。
      我在win2008 R2  中创建了计划任务,每天凌晨1点运行脚本让其自动备份c盘某文件到d盘,并且以当前时间作为这个文件夹的名字,并顺手写个记事本记录当前时间到路径里。批处理的名字是  auto backup te&webte
  
      理所当然的执行失败了。。但是却没有任何在我看来的有效错误提示。即使手动运行该任务计划也没有反应。(只有黑框闪过)有点绝望了。直到我注意到了“&”符号。是不是特殊字符导致了这个奇怪的问题呢。于是改了常规的名字,试着手动运行一次,ok,事情看来没有那么悲观。果然是这个问题。
      感受嘛,就是一定要细心,细心,再细心。
      还有就是做技术的,遇到问题绝不能放弃,对吧。
奔跑的酱油
500S豆
回复:  最近的事情,政府单位三个局合并,各有自己的一套系统,最麻烦的是各自都有各自的网段,A局有172和192段,B局有192和10段,C局有172和10段。改了不少掩码缩小网段及指路由和做NAT才勉强达成互通。
zl113x
500S豆
回复:虽有三年作业的IT网络及系统服务运维管理经验,随着网络的快速发展,仍然需要不断的学习新技术。一轮又一轮的新型技术产生,感到很大的鸭梨~
新手233351
500S豆
回复:回想某天晚上升级AC设备的版本,AC网关部署,从6.1升级到11.x,升级前已找过400检查设备硬件支持升级到11.x版本。使用升级客户端加载完升级包后,并登录设备web控制台上点击确认升级后,在等待设备升级过程中办公室突然断电了,升级中的电脑和AC设备都断电了,在等待通电后,AC设备重启后发现的设备LAN口IP都DMZ口IP都登录不了,ping不通,后来尝试了各种办法也没能登录控制台。最后设备返厂维修了。还好那天晚上能找到其他路由器恢复上网。
新手022515
500S豆
回复:公司有300多台PC,其中有200多台上网用户,采用深信服AC1200做路由模式,管控2个VLAN网段;有一天突然发现网络卡得不行,打开网页超慢,打开cmd,ping了一下DNS,网关都有掉包现象,重启AC和猫都未能解决,怀疑是局域网ARP攻击,找不到攻击源,只能一个个排除了,2台交换机40多根线,一根根测试ping内网和DNS有没有掉包,找了一整天才发现是有个部门人电脑搬走了,有人看到网线漏在外面,好心接到交换机上面,结果好心办坏事,两头都接上去了形成回路了
新手632745
500S豆
回复:        我是某高校信息中心负责网络运维的一名老师,学院不大,15000多名学生,600多教职工,学生宿舍的网络由运营商接入,信息中心负责维护的是教职工的办公网络和学生上课上机用的教学网络。
  
           由于带宽有限,加上上机课的时候部分学生悄悄的看电影,以及用迅雷下载大文件等行为,严重影响了办公和上课的带宽,各种怨言自然就落到信息中心的头上。
  
           喜大普奔的是前年终于迎来了学院的网络改造,更换了一批陈旧的网络设备,最值得高兴的是上了一台SANGFOR的上网行为管理,通过上网行为管理,对机房的流量策略和访问策略进行配置,限制了学生上机课看视频,一方面提高了学生上机课的学习效率,同时也保证的办公和教学的网络带宽。SANGFOR的AC真是解决了我运维中的大问题。
  
           在本次改造中,还上了SANGFOR的防火墙和IPS,同时也解决了暑假招生期间学院官网被上传恶意文件的苦恼,随着网络安全形势越来越严峻,SANGFOR的防火墙和IPS为学院的网络提供了良好的安全保障。
  
           目前正在建议学院上一套超融合,希望深信服让我们的运维工作越来越简单。
  
liugd1013
500S豆
回复:某日到医院去查找超融合里面的VXLAN连续不断的中断告警,与400工程师查找了一天,测试了各种ping,以及系统体检,后台查看,怀疑没问题,让客户查用于Vxlan连接的交换机,客户一口气说昨天查过了,没问题,和400人员很无奈,继续排查,到最后直接上报到办事处了,办事处为此将这个问题定位成了重大事件,各位大佬齐上阵,最后依旧没找出问题,猛然间测试ping的时候发现会中断,然后Vxlan同时中断告警,再次让客户联系交换机厂家排查交换机,重启交换机后,发现他的HA灯不亮了。。。。。怎么搞都不亮;最后换了一个接口做HA,好了,Vxlan告警也没了;一个交换机惊动了一群人。。。。。
小鱼儿
500S豆
回复:上一些深信服的安全设备,运维管理更方便,尽可能排除故障的产生。对于某些员工、某些语言就需要网管员有较好的心理素质去包容了。和领导商量安排在固定时间对员工进行普及知识。
  之前一个单位员工说电脑上不去网,我让他排查一下线路,他说没问题,光猫就在电脑旁边,直接出来线插到电脑上了,非得让去,到那后一看是线插错了。
Hjg
500S豆
回复:
  我们公司是一家以销售为导向的企业,高层管理人员年龄比较高,传统营销思维非常重,对信息化的重视程度非常低。低到什么程度呢,简而言之可以是:电脑能开机否?网页能打开否?表格能做否?都可以?那还有什么问题!(作为 公司唯一一个运维人员,我潸然泪下)
      但是在另一方面,由于业务规模的扩大,公司对信息化又有着强烈的需求,然后就出现了这样一个非常奇葩的长短腿局面:公司舍得花一大把钱购买软件系统,却不舍得拿出哪怕软件系统百分之一的钱来投资基础硬件设备...
      举个例子吧
      在17年下半年,我发现核心交换机的cpu及内存一直处于一个非常高的使用频率,并开始偶尔发生宕机现象。cpu和内存一直处于非常高的使用状态完全是因为负载量太高,当时在线各类一级终端已经不少于700台,一台5700-si一直在那里死撑。在分析出来可能性之后,我就开始频繁的向公司申请更换核心交换,增加防火墙设备。嗯,写了估计有三五十页的材料,分析了当前使用现状的瓶颈和预期增长带来的使用压力,甚至跑去分析了断网所造成的收益比。
    然并卵,公司根本没有搭理我!
    进入18年后,不出我所料,交换机开始了频繁的宕机。从一月一宕机到一周一宕机到最终的隔天宕机...在这个期间,问题依旧向公司反映,公司依旧没有回复我!终于,4月份的某天,出现了这么一个状况:一天8小时的上班时间,宕机了6个多小时。老板终于受不了了,嗯,给钱换了台5720-ei。算了下,这个交换机的价格和公司17年末采购的会员系统的软件金额的百分之一差不多。呵呵,就这18年以来断网造成的人员工资损失和额外支付的加班费,都不知道能买多少台交换机了...
      顺带吐槽一句,那个会员系统是什么垃圾软件,一家小公司,离我们公司几千里地,那么高的价钱给我们做个系统,特么的连个驻场客户经理都没有。
      至于这个软件,哈哈哈哈哈哈哈哈哈哈,值不值这个钱,谁知道呢
      水深啊,整个采购过程,从需求发起到合同签订,信息技术部毫不知情,最后系统推进不下去了,我们出来背锅了,收拾烂摊子了...嗯,拾吧拾吧,把系统给推进起来上线了,功劳反正跟我们没啥关系。
      没事没事,明年打算跑路了。
  
大white
500S豆
回复:某大学,上架20GAC对学生进行防共享策略(名义是优化网络,实为运营商扩张宽带用户需求)设备需要串到bras和olt之间,要求桥接进去,审计观察一段时间在上策略,割接时间定在了凌晨,那还是闷热难耐的6月份,抬着设备洒掉身上的汗水,直奔IT机房(学校的大门口离目的地总是那么的远),真想赶快飞入机房凉快凉快。找到上下行接口,跳好尾纤,客户准备好交流电(对了为什么深信服,不提供直流供电的设备)等待时间到了进行割接。设备顺利串接入网。
  由于前期对设备不了解都是一步步碰到才了解的,由于客户是PPPoE拨号的需要审计到账号,联系接口人,获取升级文件更新系统版本,剥离协议标签,获取用户账号,上策略。设置允许终端数3,通过现场给客户演示,观察实际效果。出了门口还是闷热的天气。
E3v5
500S豆
回复:公司一台深信服的SSL VPN设备,一台防火墙设备,凡是有在公司内部上不了网的,登不上VPN的,就找过来了。。。
  我就纳闷了,VPN是为你们在家访问公司内部的资源提供方便的,为啥在公司内部还要登VPN,我感觉很无语啊。
友谊之门
500S豆
回复:某用户外网出口安全设备采购实施,2台深信服防火墙+2台上网行为管理;用户因实名制上网需求,想对上网用户进行双因子认证(用户名密码方式+短信验证码方式),因为用户考虑到使用用户名密码方式认证,无法有效定位非法用户,如果单独使用短信认证,AC无法绑定手机号认证列表,外来人员通过手机  验证码就可以非法访问网络,因此同时要两种认证方式;防火墙是支持双因子认证的,但AC不支持,在实施过程中,在出口采用1台路由器,防火墙和AC采用透明部署,上网认证在AC上做,试过认证方式同时勾选了用户名密码和短信认证两种,但最终测试结果为二选一,只要通过一种认证方式即可放权上网,达不到用户需求;最终只能通过功能定制方式,实施双因子认证上网功能。建议深信服AC在之后的新版本,加入双因子认证和认证用户使用手机号列表功能,因为现在企事业单位对上网用户审计越来越严格,日后会有大量需求。
hbs503
500S豆
回复:某日,公司财务部门的用友软件突然无法正常远程使用。
   经过排查,感觉应该是软件厂家的问题,经过和厂家多次沟通,并且通过远程协助等手段,完成了相关配置,但是任然无法正常使用。网络中有深信服防火墙、AC、无线NAC等设备。前两天刚调整过,以为是配置问题。经过和深信服工程师以及本人的一同处理,通过放通配置等操作,没发现异常。重启后不知道为什么可以使用了。
  但是郁闷的事情发生了,第二天,发现远程登录可以,但是本地无法正常使用用友了。经过调整防火墙,重启服务器等操作。还是不行,但是服务器网卡也出现了问题,重装后可以使用。过段时间又出现了问题。最后我只能把网卡卸载重新安装,驱动重新安装,防火墙配置重新配置。最后可以使用了。
  内心恶心的不行,到最后也不知道问题出在哪里,反正问题是解决了。所以说,重装、重启、重配。网络运维的三大法宝,名不虚传。
一骑绝尘
500S豆
回复:我们公司虽然设备比较简单,只有一台AF设备。但是随着公司的扩大,在领导有限的资源下,要尽可能地发挥现有的网络资源。所以我只能不断地发掘AF的功能,各种策略都用上了。但是现在都差不多100人,那么点点带宽我已经把能上的策略都上了。臣妾马上就快做不到了!
厌児
500S豆
回复:从来不敢有侥幸心理,感觉万无一失的事情往往就是最坏的事情。老设备用的好好的非得换,结果新机子和老系统不匹配,老设备关机再启机……起不来了,找厂家来修  说能修这个的辞职了,问题还得在研究研究,不要急。
  坑爹呗,坑死爹了……&天天不能回家设备不能离人
熙瑞
500S豆
回复:还记得两年前第一次接触和维护深信服桌面云。当时我前公司在某大专一个教室部署了桌面云,在学校学习的都交换路由哪里懂这是个什么新奇玩意,就稀里糊涂跟着经理瞎干把该装的装上,该配置的配上。后来这间教室的桌面云一堆小毛病,动不动就是那一台死机,动不动就是那一台卡,当时经理忙整天叫我去搞得,没有接触过这种产品真是烦透了,只能整天打电话问这个问那个,学习的过程被刁克了无数次,不过还是学习到了很多东西
HDC
500S豆
回复:
   运维力量薄弱,人员少,懂技术的更少,但网络设备,防火墙越来越多,就需要运维可视,安全可视,所以要使用深信服下一代防火墙、AC、AD等设备,解决日益突出的运维不足的矛盾。
周茂红
500S豆
回复:客户使用AC管控全部内网主机,网桥部署在NGAF和核心交换机之间,限制部分内网主机访问公网但是方通DMZ区域访问,通过应用策略限制全部,全局排除地址方通需要访问DMZ区域主机,绑定用户组实现;
walker
500S豆
回复:顽固恶意代码不能迅速查杀、少量电脑卡慢的问题。
   为了防止误杀误报,软件带有白名单功能,可以加白一些业务软件,但如果这些软件本来就染了病毒怎么办呢?另外,为了适合多种场景,外设管控功能支持针对分组、个人的定制化设置,这样本来就带来了某些病毒去除不清,反复感染,顽固难杀。
  
zqm
500S豆
回复:1、nat服务器,在某一个大网站上,上传大点的文件时会不定时断线,经过近两周的排查,换了好几次网线,把内核参数试了一个遍,通过详细的抓包对比,最终发现是tos的问题,关闭硬件tos解决。
   2、局域网内的pppoe,很多办公室自已加了无线路由器,但是这些主流的无线路由器会不定时掉线,有时非常频繁,用了一周多的时间,试了各项参数,也抓了很多包,最后还是用了一台交换机镜像流量才发现是upnp的问题。
  3、一台服务器,突然大约5分钟就重启一次,换了内存和硬盘也是如此,正想判它寿终正寝,突然发现watch  dog,关闭后正常,原来看门狗出问题了
sailyang
500S豆
回复:分享在此!
  https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=59297
哥丶珍藏版
500S豆

获得社区订制礼品的小伙伴们,请尽快将您的邮寄地址私信给@Sangfor_闪电回_朱丽 哦!
S豆奖励会在12月17日 18:00前发放完,请小伙伴们注意查收!


喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

tj_zero Lv15发表于 2018-11-26 10:26
  
某日刚刚是假期结束上班第一天,500台PC,配备全套深信服AC行为管理和AF防火墙设备的环境,终端用户火烧火燎找到IT告诉他我客户网站上不了,目前无法下载订单,影响到了业务,限时解决否则投诉你们部门领导,解决过程中经过调查发现该网站变更了原有的网络通信端口,而公司防火墙端口处于关闭状态,因此无法访问,告诉那位终端用户原因,并且要求他们通过正常的部门手续申请开通防火墙对应端口,否则无法对应,最难忘的体会IT可以开放并且有能力开放所有的网络端口,可是开放网络端口就意味着可能的网络威胁,保障业务流程是首要任务,但是如果不通过正常手续申请办理,将会是无规则的随意开放,那样就不能达到管理的效果。
新手669092 Lv19发表于 2018-11-26 12:03
  
三票数据库迁移到虚拟机用了20个小时才完成,办票系统不能使用,很影响安全生产,着急又无奈,停吧前功尽弃,不停吧得影响一天时间啊。
小石猴 Lv8发表于 2018-11-26 17:21
  
深信服桌面云一体机6台一共140个终端授权,做的PC机利旧方式,关键需要虚拟机可以使用PC机中的内置光驱进行刻录。费了九牛二虎之力总算是把PC机利旧的方式实施完了,结果在使用中发现PC机内置光驱刻录的光盘在有些外单位的电脑中无法查看到文件。光驱显示光盘里是有数据容量的,但是打开光驱以后里面是空白的,为了这件事和深信服办事处工程师、研发工程师没少进行沟通。最后研发做了问题重现,得出的结论是内置光驱只能复制、粘贴的进行文件刻录,而由于外单位电脑上做了相应的设置,刻录的光盘文件必须要使用刻录软件进行刻录才能看到。以PC机利旧方式内置光驱是映射成网络磁盘驱动器无法使用刻录软件进行刻录,要使用刻录软件进行刻录需要使用USB外置光驱。
feeling Lv28发表于 2018-11-26 18:11
  
记得以前使用的一台AC设备做上网行为管理,由于设备比较老且软件版本一直没有升级,很多策略不生效,还有防共享防代理也不行,局域网中几百台电脑就开了几十台外网,却一直有一半以上的的人有网可上,根本管不住,各种代理各种共享玩着各种游戏。 突然有一天这台设备坏了,初步判断是主板烧了,这下子可好,局域网中所有电脑有有网上了,欢呼声一片!但是作为网管的我可压力山大,可喜的是刚好有个项目施工了,项目里面做的一台备用AC进机房了,那时自己还是个新手就立马动手换设备了,按照说明书把设备调试正常,备份文件却没有导进去,花了三天天时间把所有的工作完成,新设备很给力共享代理基本上不能使用了,欢呼声立马变成了一片骂声,有时候干好了工作却没落下好名声有木有?只有自己想办法改变那种状况了,后来通过一些制度的改变才使同事们慢慢的适应。
新手132537 Lv7发表于 2018-11-27 10:11
  
运维力量薄弱,人员少,懂技术的更少,但网络设备,防火墙越来越多,就需要运维可视,安全可视,所以要使用深信服下一代防火墙、AC、AD等设备,解决日益突出的运维不足的矛盾。
78465 Lv13发表于 2018-11-27 10:21
  
运维力量薄弱,人员少,懂技术的更少,但网络设备,防火墙越来越多,就需要运维可视,安全可视,所以要使用深信服下一代防火墙、AC、AD等设备,解决日益突出的运维不足的矛盾。
法律框架 Lv7发表于 2018-11-27 11:17
  
500S豆,简直是巨款啊,,,管理员请青睐我。
thue Lv3发表于 2018-11-27 20:32
  
网络设备坏了IT急坏了,全公司员工开心的不得了。
newstar Lv5发表于 2018-11-28 09:48
  
只要公司网络出现故障,总有一些人看热闹不嫌事大,说话阴阳怪气的。
真应了鲁迅先生那句话;
横眉冷对千夫指,俯首甘为孺子牛。