端口隔离

Virtual Fabric利用一种技术手段把一个公用的物理SAN fabric划分成多个虚拟的“工作域”，这种技术可以增加端口的使用效率，降低SAN Fabric物理互连时产生的资源损耗。使用Virtual Fabrics，客户可以将一个物理交换机划分为若干个逻辑交换机。而每个逻辑交换机均可独立地建立或从属于一个逻辑Fabric（逻辑SAN网），由此而构成的任意逻辑Fabric拥有独立的数据路径、Fabric架构配置（分区、服务质量（QoS）、互操作模式等）和管理。 由于不需要在存储区域网（SAN）中的每台交换机上启用逻辑交换机，因此可在现有环境中实现简单而无中断的部署。如图1所示，每个逻辑交换机分别属于一个逻辑Fabric。逻辑Fabric包括分配给它的所有逻辑交换机，而且还可能包括不支持Virtual Fabrics的物理交换机。多个逻辑Fabric内的数据传输可以通过共用 一种被称为“XISL”的特殊交换机间级联链路（ISL）来实现，XISL可以在同一条物理链路上传输多个逻辑Fabric的数据流，同时保持各个Fabric架构间彼此的相互隔离。 此外，逻辑Fabric还能够支持基于3层的集成路由（IR）。基于这一特性，由部分或一个或多个物理交换机所创建出的逻辑交换机即可创建或被指定成为一个骨干Fabric（BackboneFabric）

一、Linux（CentOS7） 上安装 docker 1、docker 是什么？ 　　docker 是一种 虚拟化容器技术，一个开源的应用容器引擎。 　　基于镜像，可以秒级启动各种容器（运行一次镜像就生成一个容器，类似于 Java 中 类与对象）。 　　各容器间相互隔离，且每个容器均是一个完整的运行环境。 　　可以很方便的让开发者打包应用以及相关依赖包到一个可移植的轻量级的容器中，并发布到 Linux 上。 参考地址： 　　https://www.cnblogs.com/l-y-h/p/11337051.html 　　https://docs.docker.com/ 　　https://www.runoob.com/docker/docker-tutorial.html 2、安装 （1）官方文档地址： 　　https://docs.docker.com/ （2）找到官方文档位置，根据文档一步步执行即可。 　　Step1：进入官网，选择 Get Docker，并选择 Docker for Linux。 Step2：选择 相应的 Linux 系统，此处我选择 CentOS. （3）安装流程 　　Step1：卸载旧版本。 　　　　查看当前系统是否有 docker 旧版本存在，存在则删除旧版本。 【方式一：（先查找是否存在，再删除）】 rpm -qa | grep docker 【方式二

主要功能：探测主机是否在线、扫描主机开放端口和嗅探网络服务，用于网络探测和安全扫描。 NMap支持很多扫描技术，例如：UDP、TCPconnect()、TCPSYN(半开扫描)、ftp代理(bounce攻击)、反向标志、ICMP、FIN、ACK扫描、SYN扫描和null扫描。 命令格式：Nmap [ 扫描类型 ] [ 通用选项 ] { 扫描目标说明 } 扫描类型: -sT TCP connect()扫描，这是最基本的TCP扫描方式，用来建立一个TCP连接，如果成功则认为目标端口正在监听，否则认为目标端口没有监听程序。这种扫描很容易被检测到，在目标主机的日志中会记录大批的连接请求以及错误信息。 -sS TCP同步扫描(TCP SYN)，只向目标发出SYN数据包，如果收到SYN/ACK响应包就认为目标端口正在监听，并立即断开连接；否则认为目标端口没有监听程序。所以这项技术通常称为半开扫描(half-open)。这项技术最大的好处是，很少有系统能够把这记入系统日志。不过，你需要root权限来定制SYN数据包。 -sF,-sX,-sN 秘密FIN数据包扫描、圣诞树(Xmas Tree)、空(Null)扫描模式。这些扫描方式的理论依据是：关闭的端口需要对你的探测包回应RST包，而打开的端口必需忽略有问题的包，通过这种扫描，可间接用于检测防火墙的健壮性。 -sP ping扫描

一、早期网络的问题 　　1、若某时刻有多个节点同时试图发送数据，极易产生冲突域，这样使得网络传输效率大大降低。 　　2、从一节点发送的数据都会被送到各个节点，极易形成广播域，这样会使得产生太多的广播流量而耗费大量带宽。 　　3、所有主机共用同一链路，无法保证信息的安全。 二、VLAN的产生 　　VLAN技术可以将一个物理局域网在逻辑上划分成多个广播域（多个VLAN）。VLAN技术部署在数据链路层，可以隔离二层流量。同一个VLAN内的主机共享一个广播域，它们之间可以直接进行数据交换；不同VLAN内的主机属于不同的广播域，不能直接进行数据的交换。从而提高了网络的安全性。 三、VLAN标签的格式 　　 四、VLAN的链路类型 　　VLAN的链路类型有两种：Access链路与Trunk链路 　　接入链路（Access Link）：终端设备与交换机所连接的链路。 　　干道链路（Trunk Link）：交换机与交换机所连接的链路，是一条中继链路。 五、端口类型 　 　1、Access端口 　　①当它收到一个帧的时候，如果这个帧没有Tag标记，它就用自己的PVID给他打上标记。 　　②它在发出一个帧时如果VID=PVID就去掉标记以保证传送给终端设备的帧没有被变动过。 　　③Access端口发出的以太网数据帧中不带有VLAN标记。Access端口的特点是 只允许符合PVID（或者VID

一、判断题 (1)VLSM的作用是：在有类的IP地址基础上，从主机位部分划分出相应的位数做为网络位。但是在路由器上部署时，需要路由协议的支持。 【解释】对，VLSM=Variable Length Subnet Mask，可变长子网掩码 (2)有效的沟通是任何组织和任何项目的基础，项目经理可以花90%或者更多的时间在沟通这方面。 【解释】错，项目经理花在沟通上的时间占75%-90% (3)云计算是一种基于互联网的计算方式，通过这种方式，共享的软硬件资源和信息可以按需提供给计算机或其它设备。 【解释】对，云计算是一种基于互联网的计算方式，通过这种方式，共享的软硬件资源和信息可以按需提供给计算机和其他设备。云计算的核心思想，是将大量用网络连接的计算资源统一管理和调度，构成一个计算资源池向用户按需服务。提供资源的网络被称为“云”。狭义云计算指IT基础设施的交付和使用模式，指通过网络以按需、易扩展的方式获得所需资源；广义云计算指服务的交付和使用模式，指通过网络以按需、易扩展的方式获得所需服务。这种服务可以是IT和软件、互联网相关，也可是其他服务. (4)MapReduce的核心理念是将一个大的运算任务分解到集群每个节点上，充分运用集群资源，缩短运行时间。 【解释】对，分布式计算架构 Apache MapReduce是google MapReduce的开源实现。是对并行计算的封装

1.配置文件相关命令 [Quidway]display current-configuration //显示当前生效的配置 [Quidway]display saved-configuration //显示flash中配置文件，即下次上电启动时所用的配置文件 <Quidway>reset saved-configuration //重置旧的配置文件 <Quidway>reboot //交换机重启 <Quidway>display version //显示系统版本信息 2.基本配置 [Quidway]super password //修改特权用户密码 [Quidway]sysname //交换机命名 [Quidway]interface ethernet 0/1 //进入接口视图 [Quidway]interface vlan x //进入接口视图 [Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 //配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 //静态路由＝网关 2.基本配置 [Quidway]super password //修改特权用户密码 [Quidway]sysname //交换机命名 [Quidway]interface

从2016年起就开始接触Consul，使用的主要目的就是做服务发现，后来逐步应用于生产环境，并总结了少许使用经验。最开始使用Consul的人不多，为了方便交流创建了一个QQ群，这两年微服务越来越火，使用Consul的人也越来越多，目前群里已有400多人，经常有人问一些问题，比如： 服务注册到节点后，其他节点为什么没有同步？ Client是干什么的？（Client有什么作用？） 能不能直接注册到Server？（是否只有Server节点就够了？） 服务信息是保存在哪里的？ 如果节点挂了健康检查能不能转移到别的节点？ 有些人可能对服务注册和发现还没有概念，有些人可能使用过其它服务发现的工具，比如zookeeper，etcd，会有一些先入为主的经验。这篇文章将结合Consul的官方文档和自己的实际经验，谈一下Consul做服务发现的方式，文中尽量不依赖具体的框架和开发语言，从原理上进行说明，希望能够讲清楚上边的几个问题。 为什么使用服务发现 防止硬编码、容灾、水平扩缩容、提高运维效率等等，只要你想使用服务发现总能找到合适的理由。 一般的说法是因为使用微服务架构。传统的单体架构不够灵活不能很好的适应变化，从而向微服务架构进行转换，而伴随着大量服务的出现，管理运维十分不便，于是开始搞一些自动化的策略，服务发现应运而生。所以如果需要使用服务发现，你应该有一些对服务治理的痛点。

SSL ***背景  企业出差员工，需要在外地远程办公，并期望 能够通过Internet随时随地的远程访问企业内部资源 。同时，企业为了 保证内网资源的安全性 ，希望能对移动办公用户进行多种形式的身份认证， 并对移动办公用户可访问内网资源的权限做精细化控制  IPSec、L2TP等先期出现的***技术虽然可以支持远程接入这个应用场景，但这些***技术的组网不灵活；移动办公用户 需要安装指定的客户端软件（SecoClient） ，导致网络部署和维护都比较麻烦； 无法对移动办公用户的访问权限做精细化控制  SSL ***作为新型的 轻量级 远程接入方案，可以有效地解决上述问题，保证移动办公用户能够在企业外部安全、高效的访问企业内部的网络资源  FW作为企业出口网关连接至Internet，并向移动办公用户（即出差员工）提供SSL ***接入服务。移动办公用户使用终端（如便携机、PAD或智能手机）与FW建立SSL ***隧道以后，就能通过SSL ***隧道远程访问企业内网的Web服务器、文件服务器、邮件服务器等资源 传统***存在的问题  IPSec ***可安全 、稳定地在两个网络间传输数据，并保证数据的完整无缺，适用于处理总公司与分公司之间的信息往来及其他 Site-to-Site 应用场景 由于IPSec是基于网络层的协议，很难穿越NAT和防火墙

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 vsftpd丶NFS丶SAMBA nfs基于rpc samba基于cifs(smb) DRBD： ftp:File Transfer protocol 文件传输协议 两个连接： tcp：命令连接 tcp：数据连接 在被动模式下数据传输端口是随机的除非自己指定 主动模式：服务器端通过20端口主动连接客户端， 被动模式：客户端使用自己与服务器端建立连接。 默认情况下FTP协议使用TCP端口中的 20和21这两个端口其中20用于传输数据，21用于传输控制信息。但是，是否使用20作为传输数据的端口与FTP使用的传输模式有关，如果采用主动模式，那么数据传输端口就是20；如果采用被动模式，则具体最终使用哪个端口要服务器端和客户端协商决定。 防火墙上连接追踪 数据要流式化 文本：文件流 二进制 c/s Server： wu-ftpd（华盛顿大学的fdtp） proftpd pureftp vsftpd Very Secure ftpd iis ServU Client： GUI windows flashfxp cuteftp filezilla(开源) linux gftp CLI ftp lftp wget lftpget 用户认证： 系统用户 虚拟用户 hash file mysql 匿名用户 数据传输安全 sftp

PVLAN（Private VLAN），也称为“专用虚拟局域网”，采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口化为一个（下层）VLAN，则实现了所有端口的隔离。 通常用于企业内部网，用来防止连接到某些接口或接口组中的网络设备相互通信，但却允许与默认网关进行通信。尽管各设备处于不同的pVLAN中，它们可以使用相同的IP子网。 团体VLAN（community vlan）：具有相同名称的团体vlan中的设备可以相互通信，不同名称的团体vlan中的设备不能相互通信。 隔离VLAN（isolated vlan）：隔离vlan中的设备只能访问公网，不能与任何vlan的中任何设备相互通信。 PVLAN中的一些使用规则： 1.一个“Primary VLAN”当中至少有1个“Secondary VLAN”，没有上限。 2.一个“Primary VLAN”当中只能有1个“Isolated VLAN”，可以有多个“Community VLAN”。 3.不同“Primary VLAN”之间的任何端口都不能互相通信（这里“互相通信”是指二层连通性）。 4.“Isolated端口”只能与“混杂端口”通信，除此之外不能与任何其他端口通信。 5.“Community端口”可以和“混杂端口”通信，也可以和同一“Community VLAN