端口隔离

一.用户配置: <H3C>system-view [H3C]super password H3C 设置用户分级密码 [H3C]undo super password 删除用户分级密码 [H3C]localuser bigheap 123456 1 Web网管用户设置,1（缺省）为管理级用户,缺省admin,admin [H3C]undo localuser bigheap 删除Web网管用户 [H3C]user-interface aux 0 只支持0 [H3C-Aux]idle-timeout 2 50 设置超时为2分50秒,若为0则表示不超时,默认为5分钟 [H3C-Aux]undo idle-timeout 恢复默认值 [H3C]user-interface vty 0 只支持0和1 [H3C-vty]idle-timeout 2 50 设置超时为2分50秒,若为0则表示不超时,默认为5分钟 [H3C-vty]undo idle-timeout 恢复默认值 [H3C-vty]set authentication password 123456 设置telnet密码,必须设置 [H3C-vty]undo set authentication password 取消密码 [H3C]display users 显示用户 [H3C]display user-interface

docker 基础 什么是Docker Docker 使用 Google 公司推出的 Go 语言 进行开发实现，基于 Linux 内核的 cgroup ， namespace ，以及 AUFS 类的 Union FS 等技术，对进程进行封装隔离，属于 操作系统层面的虚拟化技术。由于隔离的进程独立于宿主和其它的隔离的进程，因此也称其为容器。 Docker 在容器的基础上，进行了进一步的封装，从文件系统、网络互联到进程隔离等等，极大的简化了容器的创建和维护。使得 Docker 技术比虚拟机技术更为轻便、快捷。 记住最重要的一点，Dokcer实际是宿主机的一个普通的进程，这也是Dokcer与传统虚拟化技术的最大不同。 为什么要使用Docker 使用Docker最重要的一点就是Docker能保证运行环境的一致性，不会出现开发、测试、生产由于环境配置不一致导致的各种问题，一次配置多次运行。使用Docker，可更快地打包、测试以及部署应用程序，并可减少从编写到部署运行代码的周期。 docker 安装 Docker 要求 CentOS 系统的内核版本高于 3.10 ，查看本页面的前提条件来验证你的CentOS 版本是否支持 Docker 。 uname -r 更新yum,升级到最新版本 yum update 卸载老版本的docker(若有) yum remove docker docker

原理概述： 　　Hybrid接口既可以连接普通终端的接入链路，又可以连接交换机间的干道链路，它允许多个VLAN帧通过，并且在出接口方向将某些VLAN帧的标签剥掉。 　　Hybrid接口处理VLAN帧的过程：（1）收到一个二层帧，判断是否有VLAN标签。没有则标记上Hybrid接口的PVID，进行下一步处理；有标签，则判断Hybrid接口是否允许该VLAN的帧进入，允许则进行下一步处理，否则丢弃。 　　（2）当数据帧从Hybrid接口发出时，交换机判断VLAN在本接口的属性是Untagged还是Tagged。如果是Untagged，先剥离帧的VLAN标签，再发送；如果是Tagged，则直接发送帧。 　　通过配置Hybrid接口，能够实现对VLAN标签的灵活控制，既能够实现Access接口的和功能，又能实现Trunk接口的功能。 实验目的： 实验内容： 实验拓扑： 实验编址： 实验步骤： 　 　1.基本配置 　　按照实验编址为PC配置IP地址，把所有PC都按编址表配好 　　 配置完后，，测试主机之间的连通性 在PC-1上，使用ping命令 可以看到，此时PC-1访问其他主机通信正常，其他主机上的测试过程省略。 在没有定义VLAN及接口类型之前，，， 默认情况下，交换机上所有接口都是Hybrid类型，接口的PVID是VLAN 1 ，即所有接口收到 没有标签的二层数据帧，都被转发到

1.VLAN 基础配置及 Aceess 接口 1.1 概述 交换机能有效隔离冲突域。 VLAN技术把一个无力的LAN在逻辑上划分成多个广播域，VLAN内的主机间可以直接通信，而VLAN间不能直接互通。VLANID的范围是0~4095，可配置的值为1~4094，0和4095为保留值。 Access接口是交换机上用来连接用户主机的接口。 1.2 实验 实验内容 ： 本实验模拟企业网络场景。公司内网是一个大的局域网，二层交换机 S1放置在一楼，在一楼办公的部门有IT部和人事部；二层交换机S2放置在二楼，在二层办公的部门有市场部和研发部。由于交换机组成的是一个广播网，交换机连接的所有主机都能相互通信，而公司策略是：不同部门之间的主机不能互相通信，同一部门内的主机才可以互相访问。因此需要在交换机上划分不同的VLAN，并将连接主机的交换机接口配置成Access接口划分到相应的VLAN中。 实验拓扑 ： VLAN基础配置及Access接口拓扑如图所示 实验步骤 ： 1.基本配置 根据实验编址进行相应的 IP地址配置，使用ping命令检测各直连链路的连通性，所有的PC都能相互通信。 2.创建VLAN 创建 VLAN有两种方式，一种是使用VLAN命令一次创建单个VLAN，另一种方式是使用VLAN batch命令一次创建多个VLAN。 在 S1上使用两条命令分别创建VLAN 10和VLAN 20。 在

1、NMap工具 主要功能：探测主机是否在线、扫描主机开放端口和嗅探网络服务，用于网络探测和安全扫描。 NMap支持很多扫描技术，例如：UDP、TCPconnect()、TCPSYN(半开扫描)、ftp代理(bounce攻击)、反向标志、ICMP、FIN、ACK扫描、SYN扫描和null扫描。 命令格式：Nmap [ 扫描类型 ] [ 通用选项 ] { 扫描目标说明 } 扫描类型: -sT TCP connect()扫描，这是最基本的TCP扫描方式，用来建立一个TCP连接，如果成功则认为目标端口正在监听，否则认为目标端口没有监听程序。这种扫描很容易被检测到，在目标主机的日志中会记录大批的连接请求以及错误信息。 -sS TCP同步扫描(TCP SYN)，只向目标发出SYN数据包，如果收到SYN/ACK响应包就认为目标端口正在监听，并立即断开连接；否则认为目标端口没有监听程序。所以这项技术通常称为半开扫描(half-open)。这项技术最大的好处是，很少有系统能够把这记入系统日志。不过，你需要root权限来定制SYN数据包。 -sF,-sX,-sN 秘密FIN数据包扫描、圣诞树(Xmas Tree)、空(Null)扫描模式。这些扫描方式的理论依据是：关闭的端口需要对你的探测包回应RST包，而打开的端口必需忽略有问题的包，通过这种扫描，可间接用于检测防火墙的健壮性。 -sP ping扫描

FTP是安装各种环境前的预备环节，因为我们要把下载好的安装包上传上去。 其次，在一个团队中，FTP服务器为多用户提供了一个文件储存场所，总之是一个非常实用的工具。 1.安装vsftpd # 首先要查看你是否安装vsftpd rpm -qa | grep vsftpd vsftpd-3.0.2-10.el7.x86_64 # 显示也就安装成功了！直接进入下一环节吧 # 安装vsftpd yum install -y vsftpd 2.配置介绍 这里其实就已经安装完了，但是，它的默认配置并不能满足我们的需求。所以我们要进行个性化的配置。 2.1）用户类型 本地用户（local）：用户在FTP服务器拥有账号，且该账号为本地用户的账号，可以通过自己的账号和口令进行授权登录，登录目录为自己的home目录$HOME 虚拟用户（guest）：用户在FTP服务器上拥有账号，但该账号只能用于文件传输服务。登录目录为某一特定的目录，通常可以上传和下载 匿名用户（anonymous）：用户在FTP服务器上没有账号，登录目录为/var/ftp 对于vsftpd默认配置是开启了本地用户和匿名用户，可以直接登录的。 2.2）连接模式 FTP的连接一般是有两个连接的，一个是客户程和服务器传输命令的，另一个是数据传送的连接。FTP服务程序一般会支持两种不同的模式，一种是主动（Port）模式，一种是被动

1.docker拉取consul镜像 docker pull consul 2.consul参数详解 –net=host docker参数, 使得docker容器越过了net namespace的隔离，免去手动指定端口映射的步骤 -server consul支持以server或client的模式运行, server是服务发现模块的核心, client主要用于转发请求 -advertise 通告地址用于更改我们通告给集群中其他节点的地址。默认情况下，-bind地址是通告的。 -retry-join 指定要加入的consul节点地址，失败后会重试, 可多次指定不同的地址 -client Consul将绑定客户端接口的地址，包括HTTP和DNS服务器。默认情况下，这是“127.0.0.1”，只允许回送连接。 -bind 内部集群通信绑定的地址。这是集群中所有其他节点都应该可以访问的IP地址。默认情况下，这是“0.0.0.0”，集群内的所有节点到地址必须是可达的 -bootstrap-expect 此标志提供数据中心中预期服务器的数量。不应该提供此值，或者该值必须与群集中的其他服务器一致。指定后，Consul将等待指定数量的服务器可用，然后启动群集。允许自动选举leader，但不能与传统-bootstrap标志一起使用, 需要在server模式下运行。 -data-dir

转载自： https://opengers.github.io/openstack/openstack-base-use-openvswitch/ 一：Open vSwitch介绍 （一）介绍 在过去，数据中心的服务器是直接连在硬件交换机上，后来VMware实现了服务器虚拟化技术，使虚拟服务器(VMs)能够连接在虚拟交换机上，借助这个虚拟交换机，可以为服务器上运行的VMs或容器提供逻辑的虚拟的以太网接口，这些逻辑接口都连接到虚拟交换机上，有三种比较流行的虚拟交换机: VMware virtual switch, Cisco Nexus 1000V,和Open vSwitch Open vSwitch(OVS)是运行在虚拟化平台上的虚拟交换机，其支持OpenFlow协议，也支持gre/vxlan/IPsec等隧道技术。在OVS之前，基于Linux的虚拟化平台比如KVM或Xen上，缺少一个功能丰富的虚拟交换机，因此OVS迅速崛起并开始在Xen/KVM中流行起来，并且应用于越来越多的开源项目，比如openstack neutron中的网络解决方案 在虚拟交换机的Flow控制器或管理工具方面，一些商业产品都集成有控制器或管理工具，比如Cisco 1000V的Virtual Supervisor Manager(VSM)，VMware的分布式交换机中的vCenter

容器底层实现技术 　 　 1.cgroup 实现了资源的限额：CPU,内存,硬盘 　　　　cgroup使用 　　　　docker run -d -m 100M httpd 　　2.namespace 实现了资源隔离 　　　　namespace 实现了容器间资源的隔离 　　3.unionfs 联合文件系统 Linux 使用了六种 namespace，分别对应六种资源：Mount、UTS、IPC、PID、Network 和 User 　　 Mount namespace 　　Mount namespace 让容器拥有整个文件系统。 　　UTS namespace 　　简单的说，UTS namespace 让容器有自己的 hostname。 默认情况下，容器的 hostname 是它的短ID，可以通过 -h 或 --hostname 参数设置。 　　IPC namespace 　　IPC namespace 让容器拥有自己的共享内存和信号量（semaphore）来实现进程间通信，而不会与 host 和其他容器的 IPC 混在一起 　　PID namespace 　　容器在 host 中以进程的形式运行。容器内进程的 PID 不同于 host 中对应进程的 PID，容器中 PID=1 的进程当然也不是 host 的systemd进程。也就是说：容器拥有自己独立的 PID，这就是 PID

主要内容包含以下四点： (1)静态路由 (2)动态路由 (3)生成树 (4)VLAN 1. 什么是静态路由？ 答：静态路由是管理人员手动配置和管理的路由 2. 静态路由由那些优点？ 答：配置简单 3. 缺点： 当网络拓扑结构发生变化的时候自然不能及时做出改变 并且需要再次配置 严重影响了工作效率 所以目前静态路由主要应用于小型网络及企业架构模型中服务器之间的通信 4. 静态是手动 动态是自动 5. 动态路由定义： 动态路由是路由器自身通过相应的算法计算出的路由 所以动态路由的优点一定是可以适应网络拓扑变化并及时做出调整的路由协议 RIP( 路由信息协议) OSPF(链路状态信息) BGP(外部网关协议) RIP 协议 ( 路由信息协议) RIP 定义： 路由信息协议 依据距离矢量算法以跳数做为度量方式来计算最优路由 工作过程： 首先路由器启动后的时候 路由表中只有直连路由 当路由器运行RIP的时候,会发送request报文消息 邻居路由器会根据自己的路由表回复reponse报文 从而完成路由的添加 网络稳定后 路由器会每隔30秒发送request报文 超过120秒则认为路由失效 180秒后路由器老化定时器则清空 路由表是如何更新的？ 如果路由表中已有的路由项 当该路由项的下一跳是他的邻居 无论度量值增大或者减小都会更新该路由项;当该路由项的下一跳不是他的邻居时