端口转发

一． tag： VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。虚拟局域网（VLAN）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点： 网络设备的移动、添加和修改的管理开销减少；可以控制广播活动。 传统的数据包转发，交换机查看数包的mac地址，根据mac地址表转发。在配置了Vlan的以太网环境中，当交换机从pc处接收了一个原始的数据包，会在源MAC地址与type字段汇中插入 4Byte 的802.1Q字段用来标识Vlan-tag。 1. 802.1Q报文： ① Tag Protocol：2字节，tag标签规范，用来定义tag标签标准，华为默认使用0x8100 ② User Priority：3bit，用户优先级，用来表明数据包优先级值，QOS使用 ③ CFI：1bit，规范格式指示，0表示规范格式，应用于以太网；1表示非规范格式，应用于Token Ring（令牌环网） 802.1Q 抓包： 2. Vlan有效值：

###iptables的四表五链 #Filter表 INPUT：到达目标主机套接字的包 FORWARD：经过路由的包，主要为路由转发 OUTPUT：本地主机创建的数据包 #NAT表 PREROUTING：对刚进来的数据包进行更改 OUTPUT：本地创建的数据包在路由之前进行更改 POSTROUTING：在数据包出去时更改数据包信息 #Managle表 INPUT：进入设备本身的包 FORWARD：对经过路由通过设备的包进行更改 PREROUTING：在路由之前更改传入的包 OUTPUT：本地创建的数据包在路由之前进行更改 POSTROUTING：在数据包出去时更改数据包信息 #raw表 略 ###iptables的安装 yum install iptables-services -y #加载模块 modprobe ip_tables modprobe iptable_filter modprobe iptable_nat modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ipt_state #查看加载的模块 lsmod |egrep 'filter|nat|ipt' #停止firewalld systemctl stop firewalld systemctl disable

生成密钥 默认密钥 ssh - keygen - t rsa - C zcw1994@live . com 生成自定义文件名密钥 ssh - keygen - t rsa - f ~ /.ssh/ id_rsa_github - C zcw1994@live . com 多密钥配置 添加文件~/.ssh/config，内容如下 Host test - github #网站本地别称，建议设置成网站域名，该行不要直接复制，具体见下文 Hostname github . com #网站实际地址 IdentityFile ~ /.ssh/ test - github #密钥路径 User zcw 多密钥测试 ssh - v git@test - github @符号后面的地址需要使用config文件中的 host 的值，而不是 hostname ，所以说建议设置成一样，测试连接 github.com 不行，这个大坑 sshd安全 vi /etc/ssh/sshd_config X11Forwarding no # PermitEmptyPasswords no # 禁止空密码 MaxStartups 10 # 最多保持多少个未认证的连接，防止SSH拒绝服务 PermitRootLogin no # 禁止root登录，否则很容易被用来暴力猜解 ssh端口转发 场景举例 pc net ip

之前我们利用SSH转发建立起了SSH的远程转发，接下来制作SSH证书配置免密登陆。 登陆服务器命令行，生成证书。 # 生成证书，连按三次回车，在当前目录中生成.ssh文件夹，其中包含私钥id_rsa和公钥id_rsa.pub [ root@iZwz9ds6obifn90aw8j2khZ ~]# ssh - keygen - t rsa # 将公钥添加至服务器的信任秘钥中 [ root@iZwz9ds6obifn90aw8j2khZ ~]# touch / root /. ssh / authorized_keys [ root@iZwz9ds6obifn90aw8j2khZ ~]# cat / root /. ssh / id_rsa . pub >> /root/ . ssh / authorized_keys 还需要用WinSCP将私钥 /root/.ssh/id_rsa 文件下载到本地。 Putty无法识别ssh-keygen生成的私钥，需要对 id_rsa 文件进行格式转换。打开PuTTY-gen，选择Load加载id_rsa，然后点击Save private key按钮保存，即可得到PuTTY所能识别的ppk私钥文件。 在putty的主界面进入Connection-Data，在Auto-login username中输入登陆用户。切换到Connection-SSH

Linux如何查看端口 1、lsof -i:端口号 用于查看某一端口的占用情况，比如查看8000端口使用情况，lsof -i:8000 # lsof -i:8000 COMMAND PID USER FD TYPE DEVICE SIZE / OFF NODE NAME lwfs 22065 root 6u IPv4 4395053 0t0 TCP *: irdmi ( LISTEN ) 可以看到8000端口已经被轻量级文件系统转发服务lwfs占用 2、netstat -tunlp |grep 端口号，用于查看指定的端口号的进程情况，如查看8000端口的情况，netstat -tunlp |grep 8000 # netstat -tunlp Active Internet connections ( only servers ) Proto Recv - Q Send - Q Local Address Foreign Address State PID / Program name tcp 0 0 0.0 . 0.0 : 111 0.0 . 0.0 :* LISTEN 4814 / rpcbind tcp 0 0 0.0 . 0.0 : 5908 0.0 . 0.0 :* LISTEN 25492 / qemu - kvm tcp 0 0 0.0 . 0.0 : 6996 0

博文大纲： 一、什么是MSTP？ 二、MSTP的基本原理是什么？ 1.MSTP的网络层次。 2.MST域。 3.MSTI。 4.端口角色。 5.MSTP的端口状态。 三、MSTP的保护功能。 1.BPDU保护。 2.根保护。 3.环路保护。 4.TC保护。 四、MSTP的配置过程。 一、什么是MSTP？ MSTP是一个共有的生成树协议，在实际生产环境中得到广泛的应用。 MSTP（Multiple Spanning tree Algorithm and protocol）是多生成树技术，允许在一个交换环境中运行多个生成树，每个生成树称为一个实例（instance）。实例时间的生成树彼此独立，如一个实例下的阻塞接口在另一个实例上可能是一个转发端口。和Cisco私有的PVST技术不同，MSTP允许多个vlan运行一个生成树实例，相比较Cisco的PVST技术，这是一个优势，因为在Cisco交换机中，运行PVST技术，是一个实例一棵树，实例越多，生成树越多，交换机维护这些生成树，也是需要消耗硬件资源及网络开销的。大部分情况下，运行多个生成树实例的好处就在于链路的负载分担，但是当只有一条冗余链路时，运行两个生成树实例完全可以实现负载均衡，同时又能节约系统开销，如下图所示： 上图的网络环境中存在两个生成树实例，不同实例的根网桥在不同的物理交换机上，不但可以实现负载分担

QinQ技术〔也称Stacked VLAN 或Double VLAN〕。标准出自IEEE 802.1ad,其实现将用户私网VLAN Tag封装在公网VLAN Tag中，使报文带着两层VLAN Tag穿越运营商的骨干网络（公网）。 IEEE802.1Q中定义的VLAN Tag域中只有12个比特位用于表示VLAN ID，所以设备最多可以支持4094个VLAN。在实际应用中，尤其是在城域网中，需要大量的VLAN来隔离用户，4094个VLAN远远不能满足需求。 设备提供的端口QinQ特性是一种简单、灵活的二层VPN技术，它通过在运营商网络边缘设备上为用户的私网报文封装外层VLAN Tag，使报文携带两层VLAN Tag穿越运营商的骨干网络（公网）。 在公网中，设备只根据外层VLAN Tag对报文进行转发，并将报文的源MAC地址表项学习到外层Tag所在VLAN的MAC地址表中，而用户的私网VLAN Tag在传输过程中将被当作报文中的数据部分来进行传输。 QinQ特性使得运营商可以用一个VLAN为含有多个VLAN的用户网络服务。如图1所示，用户网络A的私网VLAN为VLAN 1～10，用户网络B的私网VLAN为VLAN 1～20。运营商为用户网络A分配的VLAN为VLAN 3，为用户网络B分配的VLAN为VLAN 4。当用户网络A的带VLAN Tag的报文进入运营商网络时

Ŀ¼ 实验一 .802.1X 基本原理及其配置 [H3C]dot1x [H3C]dot1x int e1/0/6 [H3C]local-user wnt [H3C-luser-wnt]password simple wnt [H3C-luser-wnt]service-type lan-access 实验二 . 端口隔离技术及其配置 [H3C]int e1/0/6 [H3C-Ethernet1/0/6]port isolate 实验三 . 端口绑定技术及其配置 [H3C]am user-bind mac-addr 20cf-3000-476a ip-addr 192.168.1.177 interface e1/0/6 [H3C]int e1/0/6 实验一 .802.1X 配置 实现 802.1x 的方式 1. 基于端口的认证方式 只要该端口的第一个用户认证成功后，其它接入用户无须认证就可以使用网络资源；当第一个用户下线后，其它用户也会被拒绝使用网络。 2. 基于MAC 的认证方式 该端口下的所有接入用户均需要单独认证，当某个用户下线时，不影响其它用户使用网络资源。 默认的接入控制方式为基于MAC 的认证。 我们一基于端口的认证为例 实验拓扑 实验配置 [H3C]dot1x 必须开启全局和端口的 dot1.x [H3C]dot1x int e1/0/8 [H3C]dot1x

几个基本概念： 1.端口发送指交换机内部往外发送 2.数据帧在交换机内部处理时，均带vlan etag 3.端口打标或去标（tag或untag)是对端口输出而言 交换机上的三种端口模式： 　交换机三种端口模式Access、Hybrid和Trunk的理解 　以太网端口有三种链路类型：Access、Hybrid和Trunk。 　Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口； 　Trunk类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口； 　Hybrid类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。 　Hybrid端口和Trunk端口在接收数据时，处理方法是一样的，唯一不同之处在于发送数据时：Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。 　在这里先要向大家阐明端口的缺省VLAN这个概念 　Access端口只属于1个VLAN，所以它的缺省VLAN就是它所在的VLAN，不用设置； 　当端口接收到不带VLAN Tag的报文后，则将报文转发到属于缺省VLAN的端口（如果设置了端口的缺省VLAN ID）。当端口发送带有VLAN Tag的报文时，如果该报文的VLAN

在网络中MAC地址是设备中不变的物理地址，控制MAC地址接入就控制了交换机的端口接入，所以端口安全也是对MAC的的安全。在交换机中CAM（Content Addressable Memory，内容可寻址内存表）表，又叫MAC地址表，其中记录了与交换机相连的设备的MAC地址、端口号、所属vlan等对应关系。 一、MAC地址表分为三张 1、静态MAC地址表，手工绑定，优先级高于动态MAC地址表 2、动态MAC地址表，交换机收到数据帧后会将源mac学习到MAC地址表中 3、黑洞MAC地址表，手工绑定或自动学习，用于丢弃指定MAC地址 二、MAC地址表的管理命令 1、查看mac地址表 <Huawei>display mac-address 2、配置静态mac地址表 3、配置黑洞mac地址表 4、禁止端口学习mac地址，可以在端口或者vlan中禁止mac地址学习功能 [Huawei-GigabitEthernet0/0/1]mac-address learning disable action discard 禁止学习mac地址，并将收到的所有帧丢弃，也可以在vlan中配置 [Huawei-GigabitEthernet0/0/1] mac-address learning disable action forward 禁止学习mac地址，但是将收到帧以泛红方式转发