端口转发

1.实验拓扑 from mininet.topo import Topo from mininet.net import Mininet from mininet.node import RemoteController,CPULimitedHost from mininet.link import TCLink from mininet.util import dumpNodeConnections class MyTopo( Topo ): "Simple topology example." def __init__( self ): "Create custom topo." Topo.__init__( self ) L1 = 2 s = [] for i in range( L1 ): sw = self.addSwitch( 's{}'.format( i + 1 ) ) s.append( sw ) count = 1 for sw1 in s: for i in range(3): host = self.addHost( 'h{}'.format( count ) ) self.addLink( sw1, host ) count += 1 self.addLink(s[0],s[1]) topos = { 'mytopo': ( lambda: MyTopo(

方法一 chown root nginx chmod u+s nginx 方法二 使用非80端口启动程序，然后再用iptables做一个端口转发。 (自己没经过验证) iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080 #用root用户直接去执行就可以了！ ( sysctl -w net.ipv4.ip_forward=1 iptables -F -t nat #清空nat表 iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to:8088 ) 方法三 参考http://zhqaihnn.blog.51cto.com/5257485/1825261（好像没成功，没有该选项） nginx内核 超过2.1版本以后 出现了能力的说法， 我们可以给/usr/local/nginx/sbin/nginx 赋予监听80端口的权限能力， setcap cap_net_bind_service =+ep /usr/local/nginx/sbin/nginx 原文链接：https://blog.csdn.net/likelxl/article/details/77141295 来源： https://www.cnblogs.com

什么是端口转发 版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。 转载原文链接： https://www.cnblogs.com/chanshuyi/p/5113424.html ，感谢原作者，本文仅供学习 存档备用 当 我们在服务器上搭建一个图书以及一个电影的应用，其中图书应用启动了 8001 端口，电影应用启动了 8002 端口。此时如果我们可以通过： localhost:8001 //图书 localhost:8002 //电影 但我们一般访问应用的时候都是希望不加端口就访问域名，也即两个应用都通过 80 端口访问。 但我们知道服务器上的一个端口只能被一个程序使用，这时候如何该怎么办呢？一个常用的方法是用 Nginx 进行端口转发。 Nginx 的实现原理是：用 Nginx 监听 80 端口，当有 HTTP 请求到来时，将 HTTP 请求的 HOST 等信息与其配置文件进行匹配并转发给对应的应用。例如当用户访问 book.douban.com 时，Nginx 从配置文件中知道这个是图书应用的 HTTP 请求，于是将此请求转发给 8001 端口的应用处理。当用户访问 movie.douban.com 时，Nginx 从配置文件中知道这个是电影应用的 HTTP 请求，于是将此请求转发给 8002 端口的应用处理。一个简单的

原理： RSTP把原来的5种状态缩减为3种。根据端口是否转发用户流量和学习MAC地址来划分:如果不转发用户流量也不学习MAC地址，那么端口状态就是Discarding状态;如果不转发用户流量但是学习MAC地址，那么端口状态就是Learning状态;如果既转发用户流量又学习MAC地址，那么端口状态就是Forwarding状态。 例子： 本实验模拟公司网络场景。S3和S4是接入层交换机，负责用户的接入，S1和S2 是汇聚层交换机，四台交换机组成一个环形网络。为了防止网络中出现环路，产生网络风暴，所有交换机上都需要运行生成树协议。同时为了加快网络收敛速度，网络管理员选择使用RSTP协议，且使得性能较好的S1为根交换机，S2为次根交换机，并配置边缘端口进一步优化公司网络。 拓扑图： 实验编址： 1.基础配置 进行PC机的基础配置。开启后，测试它们的连通性。 2.配置RSTP的基础功能 像这样开启S1 S2 S3 S4的stp功能（其他同理） 配置完后可以用命令 display stp 查看一下生成树的模式和根交换机的位置 我们网络管理员需要设置汇聚层主交换机S1为根交换机，S2为备份交换机。 现在我们再看一下每台交换机上的端口角色及状态 我们发现S1根交换机上无根端口，全部都是指定端口；S2 GE0/0/1是根端口；S3上E0/0/2是根端口，E0/0/1 E0/0/3是指定端口，E0/0

原理： STP是用来避免数据链路层出现逻辑环路的协议，使用BPDU传递网络信息计算出一根无环的树状网络结构，并阻塞特定端口。 在网络出现故障的时候，STP能快速发现链路故障，并尽快找出另外一条路径进行数据传输。 交换机上运行的STP通过BPDU信息的交互，选举根交换机,然后每台非根交换机选择用来与根交换机通信的根端口，之后每个 网段选择用来转发数据至根交换机的指定端口，最后剩余端口则被阻塞。 在STP工作过程中，根交换机的选举，根端口、指定端口的选举都非常重要。华为VRP提供了各种命令来调整STP的参数，用 以优化网络。例如，交换机优先级、端口优先级、端口代价值等。 例子： 公司购置了4台交换机，组建网络。考虑到网络的可靠性，将4台交换机如图4-1所示拓扑搭建。由于默认情况下，交换机之间运 行STP后，根交换机、根端口、指定端口的选择将基于交换机的MAC地址的大小，因此带来了不确定性，极可能由此产生隐患。 公司网络规划，需要S1作为主根交换机，S2作为S1的备份根交换机。同时对于S4交换机,E0/0/1接口应该作为根端口。对于S2和 S3之间的链路，应该保证S2的E0/0/3接口作为指定端口。同时在交换机S3上，存在两个接口E 0/0/10、E 0/0/11连接到测试PC，测试 PC经常上下线网络，需要将交换机S3与之相连的对应端口定义为边缘端口，避免测试电脑上下线对网络产生的影响

什么是ACL？ 访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表的作用： *过滤：通过过滤经过路由器的数据包来管理IP流量 *分类：标识流量以进行特殊处理 访问控制列表的原理 对路由器接口来说有两个方向 出：已经经路由器的处理，正离开路由器接口的数据包 入：已经到达路由器接口的数据包，将被路由器处理。 匹配顺序为：“自上而下，依次匹配”。默认为拒绝 访问控制列表的类型 标准访问控制列表：一般应用在out出站接口。建议配置在离目标端最近的路由上 扩展访问控制列表：配置在离源端最近的路由上，一般应用在入站in方向 命名访问控制列表：允许在标准和扩展访问列表中使用名称代替表号 访问控制列表使用原则 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。 3、默认丢弃原则

概要 接入控制只允许授权接入网络的用户所使用的终端接入网络，相应的协议PPP协议（其中PPP本身是载体协议，口令鉴别协议PAP、挑战握手协议CHAP，IP控制协议IPCP）；802.1X标准/WPA2（其中扩展鉴别协议EAP）。访问控制只允许每一个用户访问授权该用户访问的网络资源，由Kerberos协议实现。接入控制的核心的身份鉴别，访问控制的核心是身份鉴别和授权。 接入控制 身份鉴别 身份鉴别定义：验证主题真实身份与其所声称的身份是否符合符合的过程，主体可以是用户、进程和主机。（身份鉴别过程也实现防重放、防假冒） 身份鉴别分类：单向鉴别，双向鉴别、三方鉴别。 主体身份标识信息：秘钥、用户名和口令、证书和私钥。 PPP实现接入控制过程： 点对点协议（PPP）既是基于点对点信道的链路层协议，又是接入控制协议。接入控制设备完成对终端的接入控制过程中需要与终端交换信息，由于终端与控制设备之间的传输路径是点对点语音信道，因此，需要将终端和接入控制设备之间的相互交换的信息封装成适合点对点语音信道传输的格式，PPP就很合适。 物理链路停止： 物理链路停止状态表明没有建立终端A与接入控制设备之间的语音信道，终端A和接入控制设备在用户线上检测不到载波信号。该状态既是PPP开始的状态，也是PPP结束状态。 PPP链路建立： 终端A与接入控制设备之间的点对点语音信道建立之后

一、ACL功能简介 随着网络规模的扩大和流量的增加，对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对数据包进行过滤，可以有效防止非法用户对网络的访问，同时也可以控制流量，节约网络资源。ACL（Access Control List，访问控制列表）即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。 二、ACL种类 1. 基本ACL：只根据数据包的源IP地址制定规则，序号为2000~2999，定义时间段也属于基本ACL。 2. 高级ACL：高级ACL可以使用数据包的源IP地址、目的IP地址、IP承载的协议类型、针对协议的特性（例如TCP或UDP的源端口、目的端口，ICMP协议的消息类型、消息码等）内容定义规则。高级ACL序号取值范围3000～3999（3998与3999是系统为集群管理预留的编号，用户无法配置）。高级ACL支持对三种报文优先级的分析处理：ToS（Type of Service，服务类型）优先级、IP优先级和DSCP（Differentiated Services CodePoint，差分服务编码点）优先级。 3. 二层ACL：根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则。用户可以利用高级ACL定义比基本ACL更准确、更丰富、更灵活的规则。二层ACL的序号取值范围为4000～4999。 4.

访问控制列表 （Access Control List，ACL） 是 路由器 和 交换机 接口的指令列表，用来 控制端口 进出的数据包。 其目的是为了对某种访问进行控制。 作用 ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。 ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。 ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。 ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。 3P原则！！！！ 记住 3P 原则（呵呵呵呵）你便记住了在路由器上应用 ACL 的一般规则。您可以为每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL ： 每种协议一个 ACL：要控制接口上的流量，必须为接口上启用的每种协议定义相应的 ACL。 每个方向一个 ACL ：一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量，必须分别定义两个 ACL。 每个接口一个 ACL ：一个 ACL 只能控制一个接口（例如快速以太网0/0）上的流量。 ACL

【实战演练】Packet Tracer玩转CCNA实验02-VLAN基本配置 实验1（配置vlan access）： 搭建拓扑图 配置命令 结果验证 理论解释 实验2（配置vlan trunk）： 结果验证 理论解释（选修） #本文欢迎转载，转载请注明出处和作者。 一般教程第一课都讲交换机/路由器的操作系统（IOS）的基本操作，例如介绍普通模式、特权模式，修改密码等。 我们反其道而行之，先动手做VLAN的划分操作，先讲实操，再说概念。 实验1（配置vlan access）： 搭建拓扑图 实验需求：实验的拓扑如上图，PC1、PC2、PC3、PC4连接同一台交换机，PC1、PC3的人属于同一个部门（如销售部），PC2、PC4的人属于同一个部门（财务部），由于安全要求，希望销售部的员工之间可以互访，财务部的员工之间可以互访，但是跨部门员工之间不能互访。 配置命令 先通过拖动的方式，拖动一台交换机，4台PC，并且通过自动连线的方式连接PC与交换机。 然后通过选择设置，显示端口标签，方便查看PC与交换机的连接端口。 点击交换机，选择CLI标签，可以输入命令，命令如下。 Switch>en Switch#conf t Switch(config)#vlan 10 Switch(config-vlan)name xiaoshou Switch(config-vlan)vlan 20 Switch