端口转发

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 vsftpd丶NFS丶SAMBA nfs基于rpc samba基于cifs(smb) DRBD： ftp:File Transfer protocol 文件传输协议 两个连接： tcp：命令连接 tcp：数据连接 在被动模式下数据传输端口是随机的除非自己指定 主动模式：服务器端通过20端口主动连接客户端， 被动模式：客户端使用自己与服务器端建立连接。 默认情况下FTP协议使用TCP端口中的 20和21这两个端口其中20用于传输数据，21用于传输控制信息。但是，是否使用20作为传输数据的端口与FTP使用的传输模式有关，如果采用主动模式，那么数据传输端口就是20；如果采用被动模式，则具体最终使用哪个端口要服务器端和客户端协商决定。 防火墙上连接追踪 数据要流式化 文本：文件流 二进制 c/s Server： wu-ftpd（华盛顿大学的fdtp） proftpd pureftp vsftpd Very Secure ftpd iis ServU Client： GUI windows flashfxp cuteftp filezilla(开源) linux gftp CLI ftp lftp wget lftpget 用户认证： 系统用户 虚拟用户 hash file mysql 匿名用户 数据传输安全 sftp

nginx正向代理 正向代理就是假设有一个内网 内网有两台机器，这两台机器只有 a 可以上网 b 不能上网，但是 a 和 b 通过网络相连接 这时如果 b 想访问外网，就可以通过 a 来正向代理访问外网 正向代理就是在内网中模拟目标服务器，把内网中其它机器的请求 转发给外网中的真正的目标服务器 所以正向代理是接受内网其它机器的请求的 反向代理则是反过来 也是一个内网，有几台机器，只有其中一台与外网连接 但是反向代理接受的不是内网机器的访问请求 反向代理接受的是外网过来的访问请求 然后把请求转发到内网中的其它机器上去 外网发出请求的用户并不知道反向代理的服务器把请求转发给了谁 要在一台机器上设置正向代理的功能 如图，编辑一个nginx配置文件 上图就是配置文件内容 如果配置一台服务器作为正向代理服务器 那么这个虚拟主机配置文件就必须是默认虚拟主机 因为所有访问这台机器的网络请求应该先访问这个虚拟主机才对 所以这里要设置 default_server 然后还要把原来的 默认虚拟主机 配置文件名称修改掉 如图，把 default.conf 配置文件的名称修改一下 这样就取消了原来的默认虚拟主机配置文件了 因为默认的默认虚拟主机配置文件就是 default.conf 配置文件里面的 resolver 119.29.29.29 意思是配置一个 dns 地址 因为是做正向代理

导读 ：本文将基于之前介绍的 基本网络模型 ，进行更深入的一些了解，希望给予读者一个更广更深的认知。首先简单回顾一下容器网络的历史沿革，剖析一下 Kubernetes 网络模型的由来；其次会剖析一个实际的实现（Flannel Hostgw），展现了数据包从容器到宿主机的变换过程；最后对于和网络息息相关的 Servcie 做了比较深入的机制和使用介绍，通过一个简单的例子说明了 Service 的工作原理。 Kubernetes 网络模型来龙去脉 容器网络发端于 Docker 的网络。Docker 使用了一个比较简单的网络模型，即内部的网桥加内部的保留 IP。这种设计的好处在于容器的网络和外部世界是解耦的，无需占用宿主机的 IP 或者宿主机的资源，完全是虚拟的。它的设计初衷是：当需要访问外部世界时，会采用 SNAT 这种方法来借用 Node 的 IP 去访问外面的服务。比如容器需要对外提供服务的时候，所用的是 DNAT 技术，也就是在 Node 上开一个端口，然后通过 iptable 或者别的某些机制，把流导入到容器的进程上以达到目的。 该模型的问题在于，外部网络无法区分哪些是容器的网络与流量、哪些是宿主机的网络与流量。比如，如果要做一个高可用的时候，172.16.1.1 和 172.16.1.2 是拥有同样功能的两个容器，此时我们需要将两者绑成一个 Group 对外提供服务

一、STP 1.STP的端口状态 a.侦听（listening）15s b.学习（learning）15s c.转发（forwarding） d.阻塞（blocking）20s 2.STP选举 a.选举根桥：先比较优先级，再比较MAC地址，越小越好，默认32768 b.选举根端口，每个非根交换机只有一个根端口，通过比较cost值，按入口方向计算 c.选举指定端口，根桥的所有端口都是指定端口 总结： a.每个冲突域只有一个指定端口 b.根桥的所有端口都是指定端口 c.比较到根桥的开销 d.如果cost值相同，则比较自己的优先级和MAC 二、.portfast（又叫边缘端口） a.相对普通STP，节省30s b.不要在接交换机的接口开启 c.不能在开启portfast的接口上开启trunk d.一般用在接入层交换机 命令： R1(config)#spanning-tree portfast 如果要在交换机上全部开启： SW1(config)#spanning-tree portfast default 如果要在某个接口上禁用此功能： SW1(config)#spanning-tree portfast disable 三、uplinkfast　 1.block端口要过30s才能转为forwarding状态，为了能快速转为fordwarding状态，我们可以用uplinkfast技术

ncat 或者说 nc 是一款功能类似 cat 的工具，但是是用于网络的。它是一款拥有多种功能的 CLI 工具，可以用来在网络上读、写以及重定向数据。 它被设计成可以被脚本或其他程序调用的可靠的后端工具。同时由于它能创建任意所需的连接，因此也是一个很好的网络调试工具。 ncat/nc 既是一个端口扫描工具，也是一款安全工具，还能是一款监测工具，甚至可以做为一个简单的 TCP 代理。 由于有这么多的功能，它被誉为是网络界的瑞士军刀。 这是每个系统管理员都应该知道并且掌握它。 在大多数 Debian 发行版中，nc 是默认可用的，它会在安装系统的过程中自动被安装。 但是在 CentOS 7 / RHEL 7 的最小化安装中，nc 并不会默认被安装。 你需要用下列命令手工安装。 [root@ linux techi ~]# yum install nmap-ncat -y 系统管理员可以用它来审计系统安全，用它来找出开放的端口然后保护这些端口。 管理员还能用它作为客户端来审计 Web 服务器、telnet 服务器、邮件服务器等， 通过 nc 我们可以控制发送的每个字符，也可以查看对方的回应。 我们还可以用它捕获客户端发送的数据以此来了解这些客户端是做什么的。 在本文中，我们会通过 10 个例子来学习如何使用 nc 命令。 例子： 1) 监听入站连接 通过 -l 选项，ncat

子网掩码将一个IP地址的网络位全置为1 ,主机位全置为0 ,这样一个新的地址就是该IP的子网掩码。 以太网交换机是一种具有简化、低价、高性能和高端口密集特点的网络产品。 二层交换机属数据链路层设备,可以识别数据包中的MAC地址信息，根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。 交换机能够无冲突地传输数据,如果端口有大量数据发送,则会先将收到的数据存储到缓存中,再依次发送。 来源： 51CTO 作者： mb5e65c72307c9e 链接： https://blog.51cto.com/14748781/2476579

多生成树（MST）是把IEEE802.1w 的快速生成树（RST）算法扩展而得到的，多生成树协议定义文档是IEEE802.1S。 多生成树提出了域的概念，在域的内部可以生成多个生成树实例，并将VLAN关联到相应的实例中，每个VLAN只能关联到一个实例中。这样在域内部每个生成树实例就形成一个逻辑上的树拓扑结构，在域与域之间由CIST实例将各个域连成一个大的生成树。各个VLAN内的数据在不同的生成树实例内进行转发，这样就提供了负载均衡功能。 MSTP（Multiple Spanning Tree Protocol，多生成树协议） 将存在环路的网络修剪成为一个无环的树型网络，避免报文在环路网络中的增生和无限循环，同时还提供了数据转发的多个冗余路径，在数据转发过程中实现VLAN 数据的负载均衡。MSTP 兼容STP 和RSTP，并且可以弥补STP 和RSTP 的缺陷。它既可以快速收敛，也能使不同VLAN 的流量沿各自的路径分发，从而为冗余链路提供了更好的负载分担机制。 MSTP与其他几种生成树协议对比： 实验模拟 实验拓扑如上图所示。设PC8、9、10为vlan 10中的设备，PC11、12/13为vlan 20中的设备，使SW-1成为vlan 10的根桥交换机，SW-2成为vlan 20的交换机。要求：运行MSTP，防止环路存在，同时实现负载均衡。 注意

动态主机配置协议（Dynamic Host Configuration Protocol），简称DHCP，是一个应用于局域网的网络协议，该协议允许服务器向客户端动态分配IP地址和配置信息。 DHCP位于OSI模型的 应用层 ，使用 UDP协议 工作，主要有两个用途，一个是用于内部网或网络服务供应商自动分配IP地址给用户，另一个是用于内部网管理员作为对所有电脑作中央管理的手段。 DHCP具有如下几点功能： 保证任何IP地址在同一时刻只能由一台DHCP客户机所使用。 DHCP应当可以给用户分配永久固定的IP地址。 DHCP应当可以同用其他方法获得IP地址的 主机共存（如手工配置IP地址的主机）。 DHCP 服务器应当向现有的BOOTP 客户端提供服务。 DHCP中IP地址分配方式： 1) 自动分配方式（Automatic Allocation），DHCP服务器为主机指定一个永久性的IP地址，一旦DHCP客户端第一次成功从DHCP服务器端租用到IP地址后，就可以永久性的使用该地址。 2) 动态分配方式（Dynamic Allocation），DHCP服务器给主机指定一个具有时间限制的IP地址，时间到期或主机明确表示放弃该地址时，该地址可以被其他主机使用。 3) 手工分配方式（Manual Allocation），客户端的IP地址是由网络管理员指定的

Linux网络安全-防火墙 >防火墙 > 1. iptables 四表五链 2. iptables 语法详解 3. 替换规则 4. 场景练习 5. 其他 1. iptables 四表五链 raw表 确定是否对该表进行状态跟踪 mangle表 为数据包设置标记, 修改数据包，改变包头中内容（TTL, TOS, MARK） nat表 修改数据包中的源，目标ip地址或端口。 地址转发。 filter表 确定是否放行数据包（过滤）. 访问控制。 规则匹配。 INPUT OUTPUT FORWARD POSTROUTING PREROUTING 2. iptables 语法详解 iptables 【-t 表名]】管理选项 【链名】【条件匹配】 【-j 目标动作或跳转】 iptables 规则组成： 数据包访问控制： ACCEPT, DROP, REJECT 数据包改写：SNAT, DNAT 信息记录： LOG iptables -t 表 动作 链名 匹配条件 目标动作（跳转） 所有源，目标禁用 ping： iptables -t filter -A INPUT -p icmp -j DROP 删除刚刚的规则： iptables -t filter -D INPUT -p icmp -j DROP # 删除单条（笨方法） sudo iptables -L -n --line-numbers #

搭建OpenStack平台或者维护OpenStack平台会用到一些交叉性的网络知识，一部分和Linux操作系统的配置有关、一部分和交换机、路由器、网桥等网络设备有关。当然，和网络有关的部分并不会涉及的特别深入，仍以基本操作为主，毕竟OpenStack平台本质上仍旧是一个以软件为中心的OS级底层平台。 在使用OpenStack平台时，我们会在日常维护过程中频繁使用到这几个概念：网卡接口、网桥、VLAN、VXLAN、命名空间与名字空间、GRE。 网卡，指的是Linux系统中的 Ethnet，是一个物理接口，也可以通过虚拟软件模拟生成。 网卡管理工具 ethtool 安装： Ubuntu：apt-get install -y ethtool CentOS：yum install -y ethtool 操作： ethtool -s DEVICENAME autoneg off speed NUMBER duplex full / 设置网卡以某个速度开启全双工 / Ubuntu:网卡配置文件是 /etc/network/interfaces ethtool eth0 / 查看网考eth0的信息 / /etc/init.d/networking restart / 重启网络服务 / 配置网卡eth2 的子接口 eth2:0 ，编辑eth2的配置文件如下｛ auto eth2 iface