端口隔离

就网络而言，桥接网络（bridge network，也叫网桥）是一种链路层设备，用于转发网段之间的流量。 bridge 可以是硬件设备或在主机内核中运行的软件设备。 对 Docker 而言，桥接网络使用允许容器连接到同一个桥接网络来通信的软件网桥，同时提供与未连接到该桥接网络的容器的隔离。Docker bridge 驱动程序自动在主机中安装规则使不同桥接网络上的容器不能直接相互通信。 桥接网络用于在同一个 Docker 守护进程上运行的容器通信。对于不同 Docker 守护进程的容器，可以在操作系统层级管理路由或使用 overlay 网络来实现通信。 启动 Docker 时，会自动创建默认的桥接网络，新启动的容器如果没有特别指定都会连接到这个默认桥接网络。也可以创建用户自定义的桥接网络，且用户自定义的桥接网络比默认的优先级要高。 1. 用户自定义 bridge 和默认 bridge 的差别 1.1 用户定义网桥提供更好的隔离和容器化应用之间的互操作性 连接到同一个用户自定义网桥的容器会自动互相暴露所有端口，并且不会暴露到外部。这会让容器化应用之间的通信更方便，而不会意外开放进入外部世界。 假设一个应用包含 web 前端和数据库后端。外部需要访问前端（可能是 80 端口），但是只有前端需要访问数据库后端。使用用户自定义网桥，只需要将前端的端口暴露到外部，数据库应用不需要开启任何端口

由于学习过程中发现push镜像的时候一直超时，所以直接把阿里云的 Docker仓库申请 一个（管理中心–>创建镜像仓库–>我的是华东2绑定github账户即可），搞定！以后push就用这个仓库，pull的时候使用加速器，注意切换根据使用场景进行切换，dockerhub丢弃……记录了一下操作流程： 1.创建命名空间hhu（以当前学校为单位，只能小写，每个账号只能创建5个），创建菜鸟Docker镜像仓库docker1（绑定github中某个仓库，个人可以随意，这个仓库镜像就像是一个app，可以不断的更新它的版本），那么所有测试镜像可以推送到这里，以后作专门的其他镜像可以再申请其他的镜像仓库（比如作Tomcat时，单独申请一个镜像仓库tomcat，作redis时再申请一个redis的仓库，依次类推）。完成； 2.镜像制作，这一步下面单独拎出来详细记录； 3.镜像推送：制作完事后，需要将镜像push到镜像测试仓库中docker1中。基本信息如下– 1.公网地址：registry.cn-shanghai.aliyuncs.com/hhu/docker1 2. 内网地址（ECS可选）：registry-internal.cn-shanghai.aliyuncs.com/hhu/docker1 3.代码仓库（即绑定的github上的仓库）： https://github.com

江湖各位大侠重温了VLAN的基础知识，是否想过4094个VLAN可以怎样划分，哪种方式又是好用简单的？细心的小编特地整理了一番，给各位大侠把玩把玩。 VLAN 划分的方式： Ø 基于接口划分 VLAN ： 根据交换机接口分配VLAN ID。配置简单，可以用于各种场景。 Ø 基于 MAC 划分 VLAN： 根据报文的源MAC地址分配VLAN ID。经常用在用户位置变化，不需要重新配置VLAN的场景。 Ø 基于子网划分 VLAN ： 根据报文的源IP地址分配VLAN ID。一般用于对同一网段的用户，进行统一管理的场景。 Ø 基于协议划分 VLAN ： 根据报文的协议类型分配VLAN ID。适用于对具有相同应用或服务的用户，进行统一管理的场景。 Ø 基于匹配策略划分 VLAN ： 根据指定的策略（譬如匹配报文的源MAC、源IP和端口）分配VLAN ID。适用于对安全性要求比较高的场景。 几种划分 VLAN 的各种方式中，基于接口划分 VLAN ，是最常用最简单的方式，那么到底怎么配置，怎么使用呢？ 在配置使用之前，先来和小编回顾一下端口常用的链路类型吧。 access ：用于交换机和 PC 相连； trunk ：用于交换机和交换机相连； hybrid ：即可以用于交换机和 PC 相连，也可以用于交换机和交换机相连。使用 hub 链路交换机时，经常使用这种类型的。 好了

PVLAN即私有VLAN(Private VLAN)，也称"专用虚拟局域网"。PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口划为一个(下层)VLAN，则实现了所有端口的隔离。 pVLAN通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。尽管各设备处于不同的pVLAN中，它们可以使用相同的IP子网。 PVLANs允许在同一个VLAN内，将流量限制在某些端口之间 PVLAN实现在1个VLAN内的端口隔离。 随着网络的迅速发展，用户对于网络数据通信的安全性提出了更高的要求，诸如防范黑客攻击、控制病毒传播等，都要求保证网络用户通信的相对安全性;传统的解决方法是给每个客户分配一个VLAN和相关的IP子网，通过使用VLAN，每个客户被从第2层隔离开，可以防止任何恶意的行为和Ethernet的信息探听。 然而，这种分配每个客户单一VLAN和IP子网的模型造成了巨大的可扩展方面的局限。这些局限主要有下述几方面。 (1)VLAN的限制:交换机固有的VLAN数目的限制; (2)复杂的STP:对于每个VLAN，每个相关的Spanning Tree的拓扑都需要管理; (3)IP地址的紧缺:IP子网的划分势必造成一些IP地址的浪费; (4)路由的限制

1 交换机端口链路类型介绍 交换机以太网端口共有三种链路类型： Access 、 Trunk 和 Hybrid 。 l Access 类型 的端口只能属于 1 个 VLAN ，一般用于连接计算机的端口； l Trunk 类型 的端口可以属于多个 VLAN ，可以接收和发送多个 VLAN 的报文，一般用于交换机之间连接的端口； l Hybrid 类型 的端口可以属于多个 VLAN ，可以接收和发送多个 VLAN 的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。 其中， Hybrid 端口和 Trunk 端口的相同之处在于两种链路类型的端口都可以允许多个 VLAN 的报文发送时打标签； 不同之处 在于 Hybrid 端口可以允许多个 VLAN 的报文发送时 不打标签 ，而 Trunk 端口只允许缺省 VLAN 的报文发送时不打标签。 三种类型的端口可以共存在一台以太网交换机上，但 Trunk 端口和 Hybrid 端口之间 不能直接切换 ，只能先设为 Access 端口，再设置为其他类型端口。例如： Trunk 端口不能直接被设置为 Hybrid 端口，只能先设为 Access 端口，再设置为 Hybrid 端口。 2 各类型端口使用注意事项 配置 Trunk 端口或 Hybrid 端口，并利用 Trunk 端口或 Hybrid 端口发送多个 VLAN 报文时一定要注意

　　OSI 七层模型通过七个层次化的结构模型使不同的系统不同的网络之间实现可靠的通讯，因此其最主要的功能就是帮助不同类型的主机实现数据传输 。完成中继功能的节点通常称为中继系统。一个设备工作在哪一层，关键看它工作时利用哪一层的数据头部信息。网桥工作时，是以MAC头部来决定转发端口的，因此显然它是数据链路层的设备。具体说: 物理层：网卡，网线，集线器，中继器，调制解调器 数据链路层：网桥，交换机 网络层：路由器 网关工作在第四层传输层及其以上 　　集线器是物理层设备,采用广播的形式来传输信息。 　　交换机就是用来进行报文交换的机器。多为链路层设备(二层交换机)，能够进行地址学习，采用存储转发的形式来交换报文.。 　　路由器的一个作用是连通不同的网络，另一个作用是选择信息传送的线路。选择通畅快捷的近路，能大大提高通信速度，减轻网络系统通信负荷，节约网络系统资源，提高网络系统畅通率。 交换机的工作原理 　　交换机拥有一条很高带宽的内部总线和内部交换矩阵。交换机的所有的端口都挂接在这条总线上，控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC（网卡的硬件地址）的NIC（网卡）挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，目的MAC若不存在则广播到所有的端口，接收端口回应后交换机会“学习”新的地址，并把它添加入内部MAC地址表中。 使用交换机也可以把网络

S 参数是SI与RF领域工程师必备的基础知识，大家很容易从网络或书本上找到S,Y,Z参数的说明，但即使如此，在相关领域打滚多年的人，仍然可能还是会被一些问题困扰着。你懂S参数吗? 不懂的话，那么请继续往下看~~~ S参数简介 S参数，也就是散射参数。是微波传输中的一个重要参数。S12为反向传输系数，也就是隔离。S21为正向传输系数，也就是增益。S11为输入反射系数，也就是输入回波损耗，S22为输出反射系数，也就是输出回波损耗。 S参数作为描述线性无源传输通道的频域特性，在进行串行链路SI分析的时候，获得通道的准确S参数是一个很重要的环节，通过S参数，我们能看到传输通道的几乎全部特性。信号完整性关注的大部分问题，例如信号的反射，串扰，损耗，都可以从S参数中找到有用的信息。 S参数是射频工程师分析无源器件的可靠的行为级模型，S参数在分析高频无源应用中得到了广泛的应用。S参数描述了，在高频产品的设计中，应用最为广泛的是二端口网络，下面以二端口网络为例说明各个S参数的含义，如下图1 所示： 图1 二端口网络 二端口网络模型 二端口网络共有四个S参数，分别为S11、S12、S21和S22，各参数的物理含义和特殊网络的特性如下： S11：端口2匹配时，端口1的反射系数； S22：端口1匹配时，端口2的反射系数； S12：端口1匹配时，端口2到端口1的反向传输系数； S21：端口2匹配时

Kubernetes的核心对象 API Server 提供了 RESTful 风格的编程接口，其管理的资源是 Kubernetes API 中的端点，用于存储某种 API 对象的集合，例如，内置 Pod 资源是包含了所有 Pod 对象的集合。资源对象是用于表现集群状态的实体，常用于描述应于哪个节点进行容器化应用、需要为其配置什么资源以及应用程序的管理策略等，例如，重启、升级及容错机制。另外，一个对象也是一种“意向记录“——一旦创建， Kubernetes 就需要一直确保对象始终存在。 Pod 、 Deployment 和 Service 等都是最常用的核心对象。 Pod资源对象 Pod 资源对象是一种集合了一到多个应用容器、存储资源、专用 IP 及支撑容器运行的其他选项的逻辑组件，如图所示。 Pod 代表着 Kubernetes 的部署单元及原子运行单元，即一个应用程序的单一运行实例，它通常由共享资源且关系紧密的一个或多个应用容器组成。 Kubernetes 的网络模型要求其各 Pod 对象的 IP 地址位于同一网络平面内（同一 IP 网段），各 Pod 之间可使用其 IP 地址直接进行通信，无论它们运行于集群内的哪个工作节点上，这些 Pod 对象都像运行于同一局域网中的多个主机。 不过， Pod 对象中的各进程均运行于彼此隔离的容器中，并于容器间共享两种关键资源： 网络 和

面 试 题 葵 花 宝 典 （网络与系统篇） 选择（每题1分） 1.IP路由发生在（） A：物理层 B：网络层 C：数据链路层 D：传输层 2.为了确定网络层数据包所经过的路由器的数目，应该使用（）命令 A：ping B：stacktest 3.下列协议属于应用层协议的是（） A：ip、tcp、udp B：ftp、smtp和telnet C：arp、smtp、telnet D：icmp、rarp、arp 4.以下命令中哪一个命令是配置Cisco 1900 系列交换机特权级密码 。 A：enable passwork cisco level 15 B：enable passwork csico C：enable secret csico D：enable passwork level 15 5.以下哪个命令可以保存路由器RAM中的配置文件到NVRAM中 ____。 A：copy running-config tftp B：copy startup-config tftp C：copy running-config startup-config D：copy startup-config running-config 6.在掉电状态下，哪种类型的存储器不保留其内容 ？ A：NVRAM B：ROM C：RAM D：Flash 7.以下那种协议属于网络层协议的 _。 A：HTTPS B

一． tag： VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。虚拟局域网（VLAN）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点： 网络设备的移动、添加和修改的管理开销减少；可以控制广播活动。 传统的数据包转发，交换机查看数包的mac地址，根据mac地址表转发。在配置了Vlan的以太网环境中，当交换机从pc处接收了一个原始的数据包，会在源MAC地址与type字段汇中插入 4Byte 的802.1Q字段用来标识Vlan-tag。 1. 802.1Q报文： ① Tag Protocol：2字节，tag标签规范，用来定义tag标签标准，华为默认使用0x8100 ② User Priority：3bit，用户优先级，用来表明数据包优先级值，QOS使用 ③ CFI：1bit，规范格式指示，0表示规范格式，应用于以太网；1表示非规范格式，应用于Token Ring（令牌环网） 802.1Q 抓包： 2. Vlan有效值：