端口转发

1.集线器（HUB） 　　集线器会把收到的任何数字信号，经过再生或放大，再从集线器的 所有端口 提交 192.168.0.1给192.168.0.3发送单波帧信息 先到了集线器 然后集线器以广播的形式分别发给0.2和0.3，因为0.2的mac地址不对所以不会接收该信息 集线器收到0.3的返回帧信息 然后集线器再以广播的形式发送，0.2不接收。 2.交换机（Switch） 　　交换机（Switch）意为“ 开关 ”是一种用于电（光）信号转发的 网络设备 。它可以为接入交换机的任意两个 网络节点 提供独享的电信号通路。 最常见的交换机是 以太网交换机 。其他常见的还有电话语音交换机、 光纤交换机 等。 pc3给pc5发送单波帧信息，先到交换机。 交换机此时与集线器操作不同，交换机直接转发给了pc5 pc5接到之后给一个返回消息，到集线器 交换机准确的给pc3返回，不转发给pc4 3.集线器和交换机的区别 区别1：工作层次 集线器工作在 物理层 ，属于1层设备，每发送一个数据，所有的端口均可以收到，采用了广播的方式，因此网络性能受到很大的限制。 交换机工作在 数据链路层 ，属于2层设备，通过学习之后，每个端口形成一张 MAC地址转发表 ，根据数据包的MAC地址转发数据，而不是广播形式。 区别2：转发方式 集线器的工作原理是 广播形式 ，无论哪个端口收到数据之后，都要广播到所有的端口

实验命令 ___ENSP 一、 生成树STP 注：桥优先级取值越小，则优先级越高，通过配置优先级（开销值cost）可控制根桥选举。当根桥发生故障则会选举新的根桥，当故障恢复根桥重新选举。通过设置端口优先级会改变对端交换机的端口角色。当非根交换机根端口发生故障另外一个端口会自动变为根端口 1、 stp enable启用stp 2、 stp mode stp 3、 stp root primary配置为根桥 4、 stp root secondary 次要的（备份根桥） 5、 display stp brief 查看stp信息 6、 display stp interface命令查看端口的STP状态 7、 display stp查看根桥信息 8、 stp priority 8192设置优先级 9、 stp por priority 16修改端口优先级 10、 display stp interface GigabitEthernet 0/0/9查看端口信息，优先级等…. 11、 stp port priority 32设置端口优先级 12、 display current-configuration查看主要配置 13、 stp cost 200000修改端口开销值 二、 生成树RSTP 注：连接用户终端的端口为边缘端口

Kubernetes的核心对象 API Server 提供了 RESTful 风格的编程接口，其管理的资源是 Kubernetes API 中的端点，用于存储某种 API 对象的集合，例如，内置 Pod 资源是包含了所有 Pod 对象的集合。资源对象是用于表现集群状态的实体，常用于描述应于哪个节点进行容器化应用、需要为其配置什么资源以及应用程序的管理策略等，例如，重启、升级及容错机制。另外，一个对象也是一种“意向记录“——一旦创建， Kubernetes 就需要一直确保对象始终存在。 Pod 、 Deployment 和 Service 等都是最常用的核心对象。 Pod资源对象 Pod 资源对象是一种集合了一到多个应用容器、存储资源、专用 IP 及支撑容器运行的其他选项的逻辑组件，如图所示。 Pod 代表着 Kubernetes 的部署单元及原子运行单元，即一个应用程序的单一运行实例，它通常由共享资源且关系紧密的一个或多个应用容器组成。 Kubernetes 的网络模型要求其各 Pod 对象的 IP 地址位于同一网络平面内（同一 IP 网段），各 Pod 之间可使用其 IP 地址直接进行通信，无论它们运行于集群内的哪个工作节点上，这些 Pod 对象都像运行于同一局域网中的多个主机。 不过， Pod 对象中的各进程均运行于彼此隔离的容器中，并于容器间共享两种关键资源： 网络 和

服务器A： eth0：192.168.3.172 【内网地址，无网关】 eth1：223.xxx.xxx.172 【外网地址，有网关】 服务器B： eth0：192.168.3.108 【内网地址，无网关】 需求： 通过访问服务器A的公网IP地址 223.xxx.xxx.172 的51521端口，转发到服务器B的1521端口。 ----------------------------------------------- 配置过程： 1>修改配置文件，开启路由转发功能 # vim /etc/sysctl.conf net.ipv4.ip_forward = 1 # sysctl -p 2>配置iptables转发策略 # 转发策略 iptables -t nat -A PREROUTING -d 223.xxx.xxx.172 -p tcp --dport 51521 -j DNAT --to-destination 192.168.3.108:1521 iptables -t nat -A POSTROUTING -d 192.168.3.108 -p tcp --dport 1521 -j SNAT --to 192.168.3.172 iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT #

本文由 ilanniweb 提供友情赞助，首发于 烂泥行天下 想要获得更多的文章，可以关注我的微信ilanniweb。 前几篇有关ssh的文章，我们只是介绍了ssh的登录功能。其实ssh功能不只是这些，这篇文章我们来介绍下有关ssh隧道的功能。 ssh隧道也叫ssh端口转发，或者叫ssh tunnel，这些都是说的是ssh隧道功能。在此，我们统称为ssh隧道。 ssh隧道分为正向隧道和反向隧道，在实际工作中我们可以根据需要来随其分别使用。 下面开始对正向和反向隧道分别介绍下，由于使用平台的不同，我们分为Linux和windows平台。 一、ssh正向隧道 什么是ssh正向隧道？ 就是client连上server后，然后把server能访问的IP地址和端口（当然也包括server自己）镜像到client的端口上。 在平时工作中，正向隧道是我们使用最多的一种方式。 ssh正向隧道的命令如下： ssh –L clientC_IP:clientC_port:serverB_IP:serverB_port -p serverA_sshport username@serverA_IP 上述命令的意思是在客户端clientC上通过ssh连接服务器serverA，然后再把服务器serverB上的serverB_port端口映射到客户端clientC的clientC_port端口。

1 代理 现如今的互联网世界里，代理服务已经十分常见，它通常作为一个第三方或者说中转站角色替代用户取得信息或者服务。 根据代理对象的不同，代理服务可以分为正向代理和反向代理。 1.1 正向代理 我们通常所说的代理一般都指的是正向代理，正向代理的是客户端或者说访问者。如下图所示，在特定网络环境中，客户端直接访问目标服务器会被限制，如果有另外一台可以直接访问到目标服务器，且客户端也可以访问到这台服务器，那么就可以以这台服务器作为代理服务器向目标服务器发起访问，当目标服务器收到访问请求时，并不会获知访问的真正发起者，只会认为是代理服务器发来的请求，返回的消息也是通过代理服务器发送给客户端。 这整个过程我们可以用一个通俗的例子来类比：我们想要像土豪舅舅借钱，但是土豪舅舅觉得我们太年轻，怕我们借钱胡来就不想借。这时候我们找上了外婆，由外婆去问土豪舅舅借钱，然后我们从外婆手里拿到了钱。在整个借钱过程中，“我”就是这个发起访问的客户端，外婆就是这个正向代理，舅舅就是目标服务器，舅舅并不知道实际上还是我这个外甥在借钱，他只知道钱给了外婆，但是钱还是到了我们手上。 Fiddler、mitmproxy抓包，代理ip网络爬虫等应用就是基于正向代理。 1.2 反向代理 正向代理代理的是客户端，与之相反的反向代理代理的就是服务器端，客户端也并不知道真正访问的服务器时哪一台

背景描述 防火墙是具有很好的保护作用。***者必须首先穿越防火墙的安全防线，才能接触目标计算机。在公司里数据安全是最重要的，要求安全部门进行全公司进行服务器防火墙安全搭建，在原有的基础上进行安全的防火墙设置，有效避免安全隐患等问题,建议大家还是花个十多分钟好好看一下防火墙的理论，这样便于后期问题排查，最后一小节有常用命令操作。 主要内容 1 详细了解防火墙相关配置； 2 详细解读相关安全配置方法； 3 详细解读firewalld防火墙的基础知识； 4 了解firewalld防火墙的配置； 5 了解firewalld防火墙相关命令的使用。 1.Linux防火墙概述 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合，它能增强机构内部网络的安全性。它通过访问控制机制，确定哪些内部服务允许外部访问，以及允许哪些外部请求可以访问内部服务。它可以根据网络传输的类型决定IP包是否可以传进或传出内部网。 防火墙通过审查经过的每一个数据包，判断它是否有相匹配的过滤规则，根据规则的先后顺序进行一一比较，直到满足其中的一条规则为止，然后依据控制机制做出相应的动作。如果都不满足，则将数据包丢弃，从而保护网络的安全。 Linux系统的防火墙功能是由内核实现的。在2.4 版及以后的内核中，包过滤机制是netfilter.CentOS 6管理工具是iptables，CentOS

计算机网络知识 　　网络体系结构 　　传输介质，传输技术，传输方法，传输控制 　　常用网络设备和各类通信设备的特点 　　Client-Server 结构，Browser-Server 结构 　　LAN（拓扑，存取控制，组网，网间互连） 　　Internet 和 Intranet 基础知识以及应用 　　网络软件，网络管理，网络性能分析 　　 OSI模型与TCP/IP网络体系结构 　　 1.OSI模型 　　OSI网络体系结构中共定义了七层，从高到低分别是： 　　 应用层（Application） ：直接为端用户服务，提供各类应用过程的接口和用户接口。诸如：HTTP，Telnet，FTP，SMTP，NFS等。 　　 表示层（Presentation） ：使应用层可以根据其服务解释数据的含义。通常包括数据编码的约定、本地句法的转换。诸如：JPEG，ASCII，GIF，DES，MPEG等。　　 　　 会话层（Session） ：负责管理远程用户或进程间的通信，通常包括通信控制、检查点设置、重建中断的传输链路、名字查找和安全验证服务。诸如：RPC，SQL，NFS等。 　　 传输层（Transport） ：实现发送端和接收端的端到端的数据分组传送，负责保证实现数据包无差错、按顺序、无丢失和无冗余的传输。其服务访问点为端口。代表性协议有： TCP （可靠，面向连接，建立连接时要进行3次握手

frp 项目地址 https://github.com/fatedier/frp/ 简介 frp 是一个可用于内网穿透的高性能的反向代理应用，支持 tcp, udp 协议，为 http 和 https 应用协议提供了额外的能力，且尝试性支持了点对点穿透 跨平台支持linux，win，mac 类似于ngrok，运维、开发人员经常使用它管理内网机器和调试程序，例如将内网的22，3389转发到公网，开发人员将本地web服务转发到公网调试，msf/rat远控的内网上线，可以代替前几年流行的”内网通”服务 优点：不需要免杀，支持加密传输 基本用法 在有公网ip的vps上部署服务端，然后在目标的内网机器上运行客户端即可反连公网机器，根据配置把内网中的目的端口转发到公网的那台机器上。网上也有一些免费和收费frp服务，可以免去自己部署服务端。 简单示例： 服务端和客户端均支持配置文件ini运行和命令行运行，下面示例为命令行。 12 服务端：./frps -p <服务监听端口> -t <token>客户端：./frpc tcp -s <服务端ip>:<服务端端口> -r <在服务端监听的对应端口> -i <内网地址> -l <内网端口> -t <token> --ue --uc –ue –uc 分别为加密和压缩(use_encryption && use_compression)

云平台内网络资源整合技术 1.1 网络拓扑 。不仅支持云平台的全局拓扑，还支持针对自定义资源生成拓扑图，快速定位资源状态。 图 10:全局拓扑 图 11: 自定义拓扑 1.2 二层网络资源 VXLANPool VXLANPool表示使用UDP进行报文封装的VXLAN类型的集合，是基于IP网络组建的大二层网络，可满足大规模云计算中心的需求，最大支持16M个逻辑子网。 •VXLANPool和VxlanNetwork共同提供了VxlanNetwork类型的配置，使用VxlanNetwork需先创建VXLANPool，VxlanNetwork对应了VXLANPool里的一个虚拟网络。•VXLANPool最大可支持16777216（16M）个虚拟网络。其Vni（VXLAN网络ID）范围可从1-16777216设置。 •在创建VXLANPool时，如果需要加载到相应集群，则需设置相应的VTEP（VXLAN隧道端点）。•VTEP一般对应于集群内计算节点中的某一网卡的IP地址， 对 VTEP的设置基于相应的CIDR进行配置，例如： ▬假定计算节点某网卡的IP为10.12.0.8，子网掩码为255.0.0.0，网关为10.0.0.1，则VTEP输入的CIDR应为10.0.0.1/8； ▬假定计算节点某网卡的IP为172.20.12.13，子网掩码为255.255.0.0，网关为172.20.0.1