未分类 – 表达式

内网wpad代理自动检测配置无感知访问google

参考：https://www.cnblogs.com/zyxnhr/p/10980279.html
https://zh.wikipedia.org/wiki/网络代理自动发现协议

网络代理自动发现协议（Web Proxy Auto-Discovery Protocol，WPAD）是一种客户端使用DHCP和/或DNS发现方法来定位一个配置文件URL的方法。在检测和下载配置文件后，它可以执行配置文件以测定特定URL应使用的代理。

一、创建wpad.dat文件

使用记事本编辑如下内容，另存为文件名：wpad.dat

function FindProxyForURL(url, host) {
      if (shExpMatch(host, "*.google.com")||shExpMatch(host, "google.com")) 	{return "PROXY 192.168.50.5:8118; DIRECT";}
      return "DIRECT";
   }

仅当访问的域名为google.com时走代理服务器192.168.50.5:8118，其他走直连。

找一台主机（如IP为10.0.0.10）安装IIS服务并把wpad.dat文件放入默认80端口网站的wwwroot下。

在IIS添加MIME类型

扩展名： .dat 
　　MIME类型： application / x-ns-proxy-autoconfig

二、部署dhcp

华为三层交换机上配置的DHCP服务，10.0.0.10是存放wpad.dat的iis服务器，顺便添加了个a.z的主机域名方便部署dns用。命令如下

dhcp server option 252 ascii http://10.0.0.10/wpad.dat
dhcp server domain-name a.z

三、部署dns

在DNS服务器里新建区域a.z

添加A记录：wpad指向10.0.0.10

如果是windows dns服务器，wpad默认是禁止解析的，需要修改注册表并重启dns服务才能生效。

开始>运行> Regedit 在下表中找到注册表项位置在GlobalQueryBlockList键上单击鼠标右键> 修改。删除wpad条目，然后单击“ 确定”。您需要重新启动Windows DNS服务器服务才能使此更改生效。

四、配置Internet选项如下：

IPv4/IPv6双栈企业网部署笔记（三）

续：前文：https://www.lotro.cc/archives/686

三、内网部署方案

这条光纤与兄弟单位共用，光猫下需要接至少二个以上局域网并且还要支持IPv6静态路由配置，所以前面更换了光猫，用光猫二层桥接作为纯EPON的光电转换器，下面接了手上空闲的弱三层24电4光华为S5720-28P-LI交换机作为ISP与我司内网的互联设备，我主要看重了这个设备的4个光口和三层特性同时为了追求网络稳定可靠所以没有选用其他功能强大的路由器，相当于把原本光猫的三层特性放在了S5720上，既增加了丰富的接口又大大减轻了光猫负荷。ISP给的是静态互联IP，只需要配置上联接口与下联接口，配置好静态路由就通了。详细配置如下：

#
ipv6
#
vlan batch 10 20
#
interface Vlanif10
description WAN
ipv6 enable
ip address 222.x.x.178 255.255.255.252
ipv6 address 240E:x:y:z::3/127
#
interface Vlanif20
description LAN
ipv6 enable
ip address 180.x.x.225 255.255.255.240
ipv6 address 240E:a:b:cFF::2/127
#
ip route-static 0.0.0.0 0.0.0.0 222.x.x.177
#
ipv6 route-static :: 0 240E:x:y:z::2
ipv6 route-static 240E:a:b:c50:: 60 240E:a:b:cFF::3
#
interface GigabitEthernet0/0/24
description WAN
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/25
description LAN
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/26
description LAN
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/27
description LAN
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/28
description LAN
port link-type access
port default vlan 20

新建 VLAN 10 与20 ，vlan10与ISP互联，vlan20与内网互联，S5720电口g0/0/24加入vlan10，网线连接MA5671任意口，S5720光口g0/0/25-28加入vlan20，用于接下级局域网防火墙路由器等设备。VLAN20选取用户侧IPv6中前缀长度127的两个IP地址作为LAN与下级设备互联，前缀长度/127只有两个IP，如果接多个下级设备，应适当减小长度增加IP数。

最后再后再建一条IPv4默认路由，二条IPv6默认路由和静态路由。

三层设备配置完毕。

IPv4/IPv6双栈企业网部署笔记（二）

ISP是中国电信上海分公司，申请的eip专线IPv4/IPv6双栈业务，电信施工完毕后给到的信息如下：

条目	ISP提供信息
IPv4地址	180.x.x.224/28
IPv4局端互联地址	222.x.x.176/30
IPv6 用户地址	240e:a:b:c00::/56
IPv6 前缀长度	/56
IPv6 互联地址	240e:x:y:z::/64
ONT光猫	标配网经科技A8-C,千兆8电8语音
LOID	0069xxxxxx

央企背景的公司很容易就申请到了IPv6，过来施工的电信师傅对IPv4配置了如指掌但是如何配置IPv6却没有任何经验，听说之前申请IPv4/IPv6双栈eip专线业务的企业在全上海仅有一例在浦东新区，电信师傅安装好设备调试v4完毕后就离开了，走时给我留下了A8-C的超级密码。

一、这里有几个大坑：

1、A8-C光猫后台注册后自动下发的配置只有IPv4，后来了解到eip专线业务平台版本落后不支持IPv6配置下发。然后用超密进A8-C手动配置IPv6，后面经历了2个礼拜的折腾，也找了10000号派了人上门调试了几次，无果。

2、后来从上门调试师傅那了解到电信工作单上的IPv6互联地址前缀长度信息有误，正确的互联地址为240e:x:y:z::2/127。因为这个原因我2个礼拜走了无数弯路，甚至怀疑我的IPv6互联方式方法原理等，百度谷歌了无数次。

3、网经A8-C自身系统存在bug，WAN口配置无法设置/127长度的IPv6地址。

4、IPv6从光猫出来后经防火墙、核心设备等需要指回程路由，这个当前所有光猫无法实现的通病，华为也不例外，所以我用方案是光猫桥接模式，下接三层设备才能实现。

二、光猫配置。

因公司里用的全是华为数通产品，在确定电信标配的设备不能满足我的需求后，决定自购一个华为光猫设备MA5671铁盒版，这款网上很火🔥，华为业务代表给我提供了一家经销商-南京聚微（公司采购需开票需合同，单价￥510）。买之前很还担心不兼容，因为上端是中兴的OLT，EPON信号，LOID注册。拿到手该设备出厂软件版本V8R313C00S103，默认为GPON，需要进telnet开启epon【set uppon mode 4】。实际使用效果非常完美，新建WAN连接：IPoE、IPv4/IPv6、桥接模式，禁用VLAN，然后在PON认证中填入LOID认证注册并插上光纤即可，无需其他配置。

IPv4/IPv6双栈企业网部署笔记（一）

先吐槽一下，公司搬迁后临时用了兄弟单位的网，上海某著名代理运营商的电信200兆的宽带，上下行对称5个固定ip，价格年付六万。巨坑无比实际测下来的速率只有一百兆带宽并且大部分流量走的并不是固定ip，代理商在光猫前加了个网关设备，类似于桥接模式的vpn，固定ip流量走vpn，策略上从内往外访问的流量不走固定ip，从外往内的流量才会从vpn隧道进来而且只有8M带宽，代理商解释为：基础流量为上下对称200兆应用流量8M，瞬间感觉交了几万的智商税。

考虑到公司上网安全（上网走的非固定ip很可能有很多家公司同样在用，存在共享ip上网安全风险）及公司业务（如异地组网、erp等）需求，经过层层审批手续后重新申请了中国电信原厂eip专线一条，特意说明开通IPv4\IPv6双栈，v4申请了13个固定ip，v6申请的是/56前缀长度。

本次部署花了我近一个月时间，翻阅N多相关资料（目前几乎搜索不到实施案例）咨询相关数通产品供应商，遇到很多坑后一个人摸索才完成，今天写出来以方便后来者。

分类目录归档：未分类