端口转发

《网站架构演变技术研究》 项目实施手册 2019年8月2日 第一章 : 实验环境确认 4 1.1-1.系统版本 4 1.1-2.内核参数 4 1.1-3.主机网络参数设置 4 1-1-4 .项目拓扑图 5 第二章 : 部署后端web服务 6 2-1 .安装Nginx服务端 6 2-1-1 .安装nginx 依赖包 6 2-1-3.修改Nginx配置文件 7 2-1-4.创建nginx启动文件软链接 8 2-1-5.启动nginx,开机自启 8 2-1-6. 查询端口80状况 8 2-1-7.安装其他web服务器 8 2-2 .部署PHP环境 9 2-2-1 .安装PHP 软件 9 2-2-3. 查询端口9000状况 9 2-2-3.安装其他web服务器 9 第三章 : 部署NFS服务 9 3-1 .安装NFS 服务器端 10 3.1-1 .nfs软件安装 10 3-1-2 .创建共享目录 10 3-1-3. 修改/etc/exports配置文件 10 3-1-4. 启动服务,开机自启 10 3-1-5. 本地挂载测试 10 3-2. 部署web客户端挂载nfs存储 11 3-2-1.配置web服务器 11 3-2-2.手动挂载-临时挂载 11 3-2-3. 配置开机自动挂载-永久挂载 11 3-2-4. 安装其他 web服务器 12 3-3. 部署rsync备份服务器 12 3-3

1.1 TCP SYN拒绝服务攻击　　一般情况下，一个TCP连接的建立需要经过三次握手的过程，即：　　1、 建立发起者向目标计算机发送一个TCP SYN报文；　　2、 目标计算机收到这个SYN报文后，在内存中创建TCP连接控制块（TCB），然后向发起者回送一个TCP ACK报文，等待发起者的回应；　　3、 发起者收到TCP ACK报文后，再回应一个ACK报文，这样TCP连接就建立起来了。　　利用这个过程，一些恶意的攻击者可以进行所谓的TCP SYN拒绝服务攻击：　　1、 攻击者向目标计算机发送一个TCP SYN报文；　　2、 目标计算机收到这个报文后，建立TCP连接控制结构TCB），并回应一个ACK，等待发起者的回应；　　3、 而发起者则不向目标计算机回应ACK报文，这样导致目标计算机一致处于等待状态。　　可以看出，目标计算机如果接收到大量的TCP SYN报文，而没有收到发起者的第三次ACK回应，会一直等待，处于这样尴尬状态的半连接如果很多，则会把目标计算机的资源（TCB控制结构，TCB，一般情况下是有限的）耗尽，而不能响应正常的TCP连接请求。　　1.2 ICMP洪水　　正常情况下，为了对网络进行诊断，一些诊断程序，比如PING等，会发出ICMP响应请求报文（ICMP ECHO），接收计算机接收到ICMP ECHO后，会回应一ICMP ECHO Reply报文

前提基础： 1、当主机收到一个数据包后，数据包先在内核空间中处理，若发现目的地址是自身，则传到用户空间中交给对应的应用程序处理，若发现目的不是自身，则会将包丢弃或进行转发。 2、iptables实现防火墙功能的原理是：在数据包经过内核的过程中有五处关键地方，分别是 PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING ，称为钩子函数，iptables这款用户空间的软件可以在这5处地方写规则，对经过的数据包进行处理，规则一般的定义为“如果数据包头符合这样的条件，就这样处理数据包”。 3、iptables中定义有5条链，说白了就是上面说的5个钩子函数，因为每个钩子函数中可以定义多条规则，每当数据包到达一个钩子函数时，iptables就会从钩子函数中第一条规则开始检查，看该数据包是否满足规则所定义的条件。如果满足，系统就会根据该条规则所定义的方法处理该数据包；否则iptables将继续检查下一条规则，如果该数据包不符合钩子函数中任一条规则，iptables就会根据该函数预先定义的默认策略来处理数据包 4、iptables中定义有表，分别表示提供的功能，有filter表（实现包过滤）、nat表（实现网络地址转换）、mangle表（实现包修改）、raw表（实现数据跟踪），这些表具有一定的优先级： raw-->mangle-->nat-->filter

Why Vlan? VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。 What is Vlan? LAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。 VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 How to use Vlan? 基于端口划分的VLAN 这种划分VLAN的方法是根据以太网交换机的端口来划分，比如一个24口的交换机，1~4端口为VLAN 10，5

Linux实现的IEEE 802.1Q VLAN 原文：http://blog.csdn.net/dog250/article/details/7354590 第一部分：VLAN的核心概念 说起IEEE 802.1q，都知道是VLAN，说起VLAN，基本上也没有盲区，网络基础。然而说到配置，基本所有人都能顺口溜一样说出Cisco或者H3C设备的配置命令，对于Linux的VLAN配置却存在大量的疑问。这些疑问之所以存在我觉得有两点原因： 1.对VLAN的本质还是没有理解。 不管你的Cisco/H3C命令敲得再熟练，如果看不懂Linux的vconfig，那么也将无法掩饰你对概念理解的浅显； 2.对Linux实现虚拟网络设备风格不熟悉 可能你已经十分理解802.1q了，也许还看过了IEEE的文档，然而却对Linux的Bridge，tap，bond等虚拟设备不是很理解，那么也将无法顺利配置VLAN。 对于VLAN概念的理解，有几点要强调： 1.VLAN分离了广播域； 2.单独的一个VLAN模拟了一个常规的交换以太网，因此VLAN将一个物理交换机分割成了一个或多个逻辑交换机； 3.不同VLAN之间通信需要三层参与； 4.当多台交换机级联时，VLAN通过VID来识别，该ID插入到标准的以太帧中，被称作tag； 5.大多数的tag都不是端到端的，一般在上行路上第一个VLAN交换机打tag

Quality of Service 服务质量 BCM53101M的QoS为每个端口提供6个内部队列以支持6种不同的流量类别(traffic class, TC)。在流量拥塞的情况下，可通过拥塞管理，对数据包进行调度，在出口传输队列(egress transmit queues)中先传输高优先级的数据包，再传输低优先级的数据包。在此通过设置TC的优先级实现，使得高优先级的TC比低优先级的延迟要低。BCM53101M可以根据“Port-Based QoS”、“IEEE 802.1p QoS”、“MACDA-Based QoS”、“TOS/DSCP QoS”4种信息，指派数据包发往6个出口传输队列中的一个。 图1 QoS处理流程 端口的6条内部队列指的是每个出口(egress port拥有6条传输队列(transmit queues)，即CoS0 – CoS5，其中CoS4和CoS5专门用于BroadSync™ HD类型流量的传输，不和其他类型流量共享，而CoS0 – CoS3则被IMP(egress)端口使用。Broadcom的BroadSync™ HD技术可通过以太网高效地向联网的电子设备传输高清音/视频数据流，以下是关于这项技术的官方说明。 "BroadSync™ HD Technology enables extraordinary streaming of high

================================================================================== from: http://www.ibm.com/developerworks/cn/linux/kernel/l-netbr/index.html ALinux网桥的实现分析与使用 文档选项 未显示需要 JavaScript 的文档选项 打印本页 将此页作为电子邮件发送 级别： 初级 祝顺民 ( [email=getmoon@163.com?subject=ALinux%E7%BD%91%E6%A1%A5%E7%9A%84%E5%AE%9E%E7%8E%B0%E5%88%86%E6%9E%90%E4%B8%8E%E4%BD%BF%E7%94%A8&cc=]getmoon@163.com[/email] ) XML error: Please enter a value for the author element's jobtitle attribute, or the company-name element, or both. 2004 年 3 月 09 日 本 文分析了linux 2.4.x内核的网桥的实现方法，并且描述了如何使用2.4中的网桥。网桥，类似于中继器，连接局域网中两个或者多个网段

广播风暴 当两个以上的网桥使用或交换机端口交叉连接时，网络拓扑结构会产生回路，引发转发帧的无限循环，并迅速扩散到整个网络的回路中。网络中充斥着大量广播帧导致大面积网络拥塞，这种现象就称为广播风暴（broadcast storm）。 广播风暴产生过程如下： 生成树协议 生成树协议STP（Spanning Tree Protocol）通过在每个网桥或交换机禁用某些端口来工作，这样可避免拓扑环路（即两个网桥之间不允许出现重复路径）。为实现STP还需要各网桥之间按照生成树算法要求进行信息交换，以找出根网桥及其子网桥，并禁用某些会形成环路的端口。信息交换通过网桥协议数据单元（Bridge Protocol Data Unit）来实现。 端口5种状态 网桥或交换机的端口可能有5个状态：阻塞、侦听、学习、转发和禁用。他们之间的状态转换如图所示： 上图中，实线箭头表示端口的正常转换，虚线箭头表示由管理配置引起的改变。 交换机上的端口在启动stp协议后，端口存在的五种状态： 1、禁用(disabled) - 该端口只是相应网管消息，并且必须先转到阻塞状态。这种状态可以是由于端口的物理状（如端口物理层没有up）态导致的，也可能是管理员手工讲端口关闭。 2、 阻塞(blocking) - 处于这个状态的端口不能够参与转发数据报文，但可以接收BPDU配置消息，并交给CPU处理。不过不能发送配置BPDU消息

linux下IPTABLES配置详解 -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 24000 -j ACCEPT -A RH-Firewall-1-INPUT -s 121.10.120.24 -p tcp -m tcp --dport 18612 -j ACCEPT 如果你的IPTABLES基础知识还不了解,建议先去看看. 开始配置 我们来配置一个filter表的防火墙. (1)查看本机关于IPTABLES的设置情况 [root@tp ~]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain RH-Firewall-1-INPUT (0 references) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT icmp --

以Tomcat7.0为例, 在安装目录下. conf/server.xml 中可以配置三个端口号, 如果使用多个tomcat 是需要配置这三个。 该 Connector 用于监听浏览器发送的请求。 设置成80 后可以直接使用http://localhost 访问。 tomcat 监听的关闭端口（多tomcat部署时一定要改成不同，否则关闭的时候会找这个端口关闭）。 <Server port="8005" shutdown="SHUTDOWN"> port指定Tomcat监听shutdown命令端口。终止服务器运行时，必须在Tomcat服务器所在的机器上发出shutdown命令，8005端口收到命令后执行关闭。 （不用8080端口接收关闭命令保证了tomcat的可控性） protocol: http协议 connectionTimeout: 连接超时时间 redirectPort: 如果发送的是https 请求. 就将请求转发到8443 端口。 （https写默认使用的是443端口，因为tomcat端口都是以8开头，所有这个地方是8443） 使用8009 接受http协议发送过来的请求 <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" useBodyEncodingForURI="true"