端口隔离

QinQ技术〔也称Stacked VLAN 或Double VLAN〕。标准出自IEEE 802.1ad,其实现将用户私网VLAN Tag封装在公网VLAN Tag中，使报文带着两层VLAN Tag穿越运营商的骨干网络（公网）。 IEEE802.1Q中定义的VLAN Tag域中只有12个比特位用于表示VLAN ID，所以设备最多可以支持4094个VLAN。在实际应用中，尤其是在城域网中，需要大量的VLAN来隔离用户，4094个VLAN远远不能满足需求。 设备提供的端口QinQ特性是一种简单、灵活的二层VPN技术，它通过在运营商网络边缘设备上为用户的私网报文封装外层VLAN Tag，使报文携带两层VLAN Tag穿越运营商的骨干网络（公网）。 在公网中，设备只根据外层VLAN Tag对报文进行转发，并将报文的源MAC地址表项学习到外层Tag所在VLAN的MAC地址表中，而用户的私网VLAN Tag在传输过程中将被当作报文中的数据部分来进行传输。 QinQ特性使得运营商可以用一个VLAN为含有多个VLAN的用户网络服务。如图1所示，用户网络A的私网VLAN为VLAN 1～10，用户网络B的私网VLAN为VLAN 1～20。运营商为用户网络A分配的VLAN为VLAN 3，为用户网络B分配的VLAN为VLAN 4。当用户网络A的带VLAN Tag的报文进入运营商网络时

Ŀ¼ 实验一 .802.1X 基本原理及其配置 [H3C]dot1x [H3C]dot1x int e1/0/6 [H3C]local-user wnt [H3C-luser-wnt]password simple wnt [H3C-luser-wnt]service-type lan-access 实验二 . 端口隔离技术及其配置 [H3C]int e1/0/6 [H3C-Ethernet1/0/6]port isolate 实验三 . 端口绑定技术及其配置 [H3C]am user-bind mac-addr 20cf-3000-476a ip-addr 192.168.1.177 interface e1/0/6 [H3C]int e1/0/6 实验一 .802.1X 配置 实现 802.1x 的方式 1. 基于端口的认证方式 只要该端口的第一个用户认证成功后，其它接入用户无须认证就可以使用网络资源；当第一个用户下线后，其它用户也会被拒绝使用网络。 2. 基于MAC 的认证方式 该端口下的所有接入用户均需要单独认证，当某个用户下线时，不影响其它用户使用网络资源。 默认的接入控制方式为基于MAC 的认证。 我们一基于端口的认证为例 实验拓扑 实验配置 [H3C]dot1x 必须开启全局和端口的 dot1.x [H3C]dot1x int e1/0/8 [H3C]dot1x

一、VMware虚拟机使用 1.什么是虚拟机 虚拟机（Virtual Machine）指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。 虚拟系统通过生成现有操作系统的全新虚拟镜像，它具有真实windows系统完全一样的功能，进入虚拟系统后，所有操作都是在这个全新的独立的虚拟系统里面进行，可以独立安装运行软件，保存数据，拥有自己的独立桌面，不会对真正的系统产生任何影响 ，而且具有能够在现有系统与虚拟镜像之间灵活切换的一类操作系统。 2.什么是VMware VMWare (Virtual Machine ware)是一个“虚拟PC”软件公司 VMwareWorkstation可以使你在一台机器上同时运行二个或更多Windows、DOS、LINUX系统系统。与“多启动”系统相比，VMWare采用了完全不同的概念。多启动系统在一个时刻只能运行一个系统，在系统切换时需要重新启动机器。 VMWare是真正“同时”运行，多个操作系统在主系统的平台上，就象标准Windows应用程序那样切换。而且每个操作系统你都可以进行虚拟的分区、配置而不影响真实硬盘的数据，你甚至可以通过网卡将几台虚拟机用网卡连接为一个局域网，极其方便。 安装在VMware操作系统性能上比直接安装在硬盘上的系统低不少，因此，比较适合学习和测试。 为什么使用VMware？

21.网工学习环境准备. 一. 关掉所有杀毒软件及管家如阿健. 二. 安装环回网卡 (一定要先安装.) 1. 计算机设备管理 2. 在右侧最上端计算机名上方右键,点击过时硬件. 3. 下一步.手动选择,网络适配器,下一步 4. Microsoft厂商,右侧下面找到loopback点击下一步. 三. 安装Cisco Packet Tracer 下一步默认安装即可.也可以找汉化. 四. 安装华为的ensp 所有里面的所有软件全都默认安装即可. 22.网络概述 633128203 一. 如何查找一个服务器在哪呢:假设淘宝.首先得到淘宝的ip,ping一下就知道 了.注:cmd界面右键标记想要的内容,然后回车就可以复制下来了.在ip138里查找一下这个ip就可以知道他的服务器在哪了. 二. 那么我们是如何访问一个网站的呢?或者是说如何传递数据的呢. 1. 一定是要通过运营商. 2. 一定要有一个唯一的标识.也就是IP 3. 广域网最简单的模型 4. 国家骨干网的拓扑图.(图中左下角为传输速度.) 5. 运营商在全国有二十七八个节点.每个节点就是大型的机房 有很多的大型路由和交换设备 6. 7. 上一个网站有多少数据包?传一部电影有多少数据? 用wireshark抓包. 8. 抓包软件先选择相应的网卡. 9. 广域网模型 10. 23.OSI七层模型. 一.IP:internet

目录 第一天 设备： 1. Hub集线器（基本不用，淘汰） 4. 三层网络模型 5. OSI参考模型（只是理论的知识） 7. 表示层： 9. 传输层 10. 网络层 11. 数据链路层： 12. 物理层的作用 13. 数据的发送 14. 数据的接收 第二天 物理层 TCP/IP协议簇 第一天 目录: 设备： 1. Hub集线器（基本不用，淘汰） 冲突域：单工 半双工 全双工（不解释） 2. 交换机 作用： 连接网络终端的设备（一般指的是普通的二层交换） 终端用户设备的接入 基本的安全功能 广播域隔离（VLAN） 优点：可以实现多用户同时访问，支持全双工。 缺点：无法完成一些特殊功能 二层交换机工作在数据链路层 数据类型：单播--一对一 组播--一对多 广播--一对所有 3. 路由器 作用：路由协议支持 路径选择 数据转发 广域网接入 console口：也就是控制口 一般只有一个 链接路由器的线缆--console线缆：一端RJ45一段串口， 串口链接电脑 RJ45链接设备 由于笔记本没有串口 所以还有一种线转接 USB-RS232线缆 4. 三层网络模型 接入层（终端用户（汇聚端口多））----汇聚层（三层交换（可以做策略））----核心层（核心交换）--internet 5. OSI参考模型（只是理论的知识） 作用: 开放系统互连参考模型 定义了网络通信的标准 OSI模型分为七层

1.1 企业中安全优化配置原则 尽可能不给服务器配置外网ip ,可以通过代理转发或者通过防火墙映射.并发不是特别大情况有外网ip,可以开启防火墙服务. 大并发的情况，不能开iptables,影响性能，利用硬件防火墙提升架构安全 1.1.1 生产中iptables的实际应用 主要应用方向 1、主机防火墙（filter表的INPUT链）。 2、局域网共享上网(nat表的POSTROUTING链)。半个路由器，NAT功能。 3、端口及IP映射(nat表的PREROUTING链)，硬防的NAT功能。 4、IP一对一映射。 其他说明： ①iptables是基于内核的防火墙，功能非常强大，基于数据包的过滤！特别是可以在一台非常低的硬件配置下跑的非常好。 　　注： iptables主要工作在OSI七层的2.3.4层。七层的控制可以使用squid代理+iptables。 ②iptabes：生产中根据具体情况，一般，内网关闭，外网打开。大并发的情况不能开iptables，影响性能，iptables是要消耗CPU的，所以大并发的情况下，我们使用硬件防火墙的各方面做的很仔细。selinux：生产中也是关闭的。可以做ids的入侵检测。 ③实际生产中尽可能不给服务器配置外网IP。可以通过代理转发。比如，nagios就不需要外网。 ④并发不是很大的情况下，再外网的IP环境，开防火墙。

容器作为应用，必然需要与外界通信，包括容器之间和外部网络。 Docker网络从覆盖范围分 单台主机上的容器网络★ 跨多台主机的容器网络 容器间通信 容器间通信的三种方式： IP Docker DNS Server joined IP通信 Docker安装时，默认会在主机上创建三个网络，bridge、host、none。可用 docker network ls 查看 none 就是只有loopback的网络，无其他任何网卡。容器创建时可以用 --network=none 来指定容器使用none网络 适应场景：一些安全性要求较高且不需联网的应用，如生成随机密码的容器，放在none里防止窃取。 host 类似于虚拟机中共享主机网络的选项，即使容器共享其所在主机的网络栈，该容器的网络配置和主机完全一样。 适应场景：如容器对网络传输效率较高要求，则可使用host网络。注意考虑端口冲突。 bridge 类似于虚拟机中的桥接模式，可理解为一个软件交换机。默认情况下，不指定 --network 参数，创建的容器都会挂到一个叫 docker0 的Linux bridge上。可以使用命令 brctl show 查看。 注：首次使用 brctl 命令，可能会提示安装。 brctl 命令在 Debian、Ubuntu 中可以使用 sudo apt-get install bridge-utils 来安装

s http://www.openvswitch.org What is Open vSwitch? Open vSwitch is a production quality, multilayer virtual switch licensed under the open source Apache 2.0 license. It is designed to enable massive network automation through programmatic extension, while still supporting standard management interfaces and protocols (e.g. NetFlow, sFlow, IPFIX, RSPAN, CLI, LACP, 802.1ag). In addition, it is designed to support distribution across multiple physical servers similar to VMware's vNetwork distributed vswitch or Cisco's Nexus 1000V. See full feature list here open vswitch https://www.jianshu.com/p

一、早期网络的问题 　　1、若某时刻有多个节点同时试图发送数据，极易产生冲突域，这样使得网络传输效率大大降低。 　　2、从一节点发送的数据都会被送到各个节点，极易形成广播域，这样会使得产生太多的广播流量而耗费大量带宽。 　　3、所有主机共用同一链路，无法保证信息的安全。 二、VLAN的产生 　　VLAN技术可以将一个物理局域网在逻辑上划分成多个广播域（多个VLAN）。VLAN技术部署在数据链路层，可以隔离二层流量。同一个VLAN内的主机共享一个广播域，它们之间可以直接进行数据交换；不同VLAN内的主机属于不同的广播域，不能直接进行数据的交换。从而提高了网络的安全性。 三、VLAN标签的格式 　　 四、VLAN的链路类型 　　VLAN的链路类型有两种：Access链路与Trunk链路 　　接入链路（Access Link）：终端设备与交换机所连接的链路。 　　干道链路（Trunk Link）：交换机与交换机所连接的链路，是一条中继链路。 五、端口类型 　 　1、Access端口 　　①当它收到一个帧的时候，如果这个帧没有Tag标记，它就用自己的PVID给他打上标记。 　　②它在发出一个帧时如果VID=PVID就去掉标记以保证传送给终端设备的帧没有被变动过。 　　③Access端口发出的以太网数据帧中不带有VLAN标记。Access端口的特点是 只允许符合PVID（或者VID

一. 交换机转发： 交换机收到数据帧，会存在三种行为： ① 泛洪 ② 转发 ③ 丢弃 1. 泛洪： 交换机会在以下情况泛洪数据帧： （1）当交换机收到广播帧、组播帧会泛洪 （2）当交换机收到一个单播帧，但是交换机的MAC地址表中没有对应的接口标识，此时会泛洪数据帧，称为“未知单播帧的泛洪” 注：交换机不会查看广播数据帧，而是直接将他泛洪到当前除接收接口外的所有的接口，所以针对而成协议数据报文，报文的目标MAC地址只能为组播。 2. 转发： （1）从一个接口收到一个单播帧，并且MAC地址表中有其对应的接口，会进行转发 3. 丢弃： （1）从一个接口收到一个单播帧，单播帧的目的MAC对应的接口正是接收到此单播帧的接口，此时会丢弃数据帧 二. ARP Address Resolution Protocol，地址解析协议，网络设备有数据要发送给另一台网络设备时，必须要知道对方的网络层地址（即IP地址）。IP地址由网络层来提供，但是仅有IP地址是不够的，IP数据报文必须封装成帧才能通过数据链路层进行发送，数据帧必须要包含目的MAC地址，因此发送端还必须获取目的MAC地址。通过目的IP地址而获取目的MAC地址的过程是由ARP协议来实现的。ARP缓存表用来记录ARP信息，默认老化时间为1200S。 ARP直接封装在数据链路层之上，Type标识为0x0806，我们有时称ARP为2.5层协议。