网络端口

博文大纲： 一、IRF是什么？ 二、IRF技术的优点 三、IRF的相关基本概念 四、IRF的运行模式与配置方式 五、IRF的角色选举 六、IRF技术的配置详解 七、IRF及MAD配置的显示及维护命令 一、IRF是什么？ 目前，网络中主要存在两种结构的通信设备，固定盒式设备和模块框式分布式设备。固定盒式设备成本低廉，但没有高可用性支持；模块框式分布式设备具有高可用性、高性能、高端口密度的优点，但投入成本高。针对盒式设备和模块框式分布式设备的这些特点，一种结合了两种设备优点的IRF虚拟化技术应运而生。 IRF称之为智能弹性架构，是H3C自主研发的硬件虚拟化技术，它的核心思想是将多台设备通过IRF物理端口连接在一起，进行必要的配置后，虚拟化成一台“分布式设备”。使用这种虚拟换技术可以集合多台设备的硬件资源和软件处理能力，实现多台设备的协同工作、统一管理和不间断维护（简单说，IRF技术就是“硬件虚拟化技术”，将多个硬件设备虚拟化出一台更大的硬件设备）。 二、IRF技术的优点 1、简化管理 IRF架构形成之后，可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备，通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果，而不用物理连接到每台成员设备上分别对它们进行配置和管理。 2、简化业务 IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的

一、ACL概述 ACL (Access Control List,访问控制列表）是一系列运用到路由器接口的指令列表。这些指令告诉路由器接收哪些数据包、拒绝哪些数据包，接收或者拒绝根据一定的规则进行，如源地址、目标地址、端口号等。ACL使得用户能够管理数据流，检测特定的数据包。 　　路由器将根据ACL中指定的条件，对经过路由器端口的数据包进行检査。ACL可以基于所有的Routed Protocols (被路由协议，如IP、IPX等）对经过路由器的数据包进行过滤。ACL在路由器的 端口过滤 数据流，决定是否转发或者阻止数据包。ACL应该根据路由器的端口所允许的每个协议来制定，如果需要控制流经某个端口的所有数据流，就需要为该端口允许的每一个协议分别创建ACL。例如，如果端口被配置为允许IP、AppleTalk和IPX协议的数据流，那么就需要创建至少3个ACL, 本文中仅讨论IP的访问控制列表。针对IP协议，在路由器的每一个端口,可以创建两个ACL:—个用于过滤 进入 （inbound)端口的数据流，另一个用于过滤 流出 （outboimd)端口的数据流。 　　 顺序执行： —个ACL列表中可以包含多个ACL指令，ACL指令的放置顺序很重要。当路由器在决定是否转发或者阻止数据包的时候，Cisco的IOS软件， 按照ACL中指令的顺序依次检査 数据包是否满足某一个指令条件。当

一、什么是VLAN VLAN（virtual LAN）虚拟局域网：是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，同一VLAN设备相互之间的通信就好像它们在同一个物理网段中一样，不同VLAN设备不能直接通信。VLAN工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点： 网络设备的移动、添加和修改的管理开销减少；可以控制广播活动；可提高网络的安全性。 （此图选择华为公司PPT） 二、VLAN是如何实现的 VLAN是IEEE组织定义的IEEE802.1Q协议实现的。IEEE802.1Q协议是定义数据帧添加TAG（标签）来实现VLAN技术，下图中有两种数据帧Untagged frame是传统的以太网数据帧，Tagged frame是带标签的数据帧。Tagged frame中TPID（标签协议标示）起到的作用和TYPE字段类似，是指明此数据帧为带vlan标签的数据帧；VLAN ID字段是指明vlan的号码，占12比特，换算成十进制为1-4094。 打标签和去除标签的操作一般是在交换机上完成，和普通的客户端无关（也可以说对客户端是透明的），也有一些服务器操作系统经过配置后可以识别标签。

SPAN技术主要是用来监控交换机上的数据流，大体分为两种类型，本地SPAN和远程SPAN。----Local Switched Port Analyzer (SPAN) and Remote SPAN (RSPAN)，实现方法上稍有不同。 利用SPAN技术我们可以把交换机上某些想要被监控端口（以下简称受控端口）的数据流COPY或MIRROR一 份，发送给连接在监控端口上的流量分析仪，比如CISCO的IDS或是装了SNIFFER工具的PC. 受控端口和 监控端口可以在同一台交换机上（本地SPAN），也可以在不同的交换机上（远程SPAN）。 SPAN，全称为Switched Port Analyzer，直译为交换端口分析器。是一种交换机的端口镜像技术。作用主要是为了给某种网络分析器提供网络数据流，SPAN并不会影响源端口的数据交换，它只是将源端口发送或接收的数据包副本发送到监控端口。 RSPAN（Remote SPAN），即远程SPAN，和SPAN类似，但可以跨越交换网络为多层交换机提供远程监控。 1.SPAN Session–SPAN会话 SPAN会话是指一组受控端口与一个监控端口之间的数据流。可以同时对多个端口的进入流量或是一个端 口的外出流量进行监控，也可以对VLAN内所有端口的进入流量进行监控，但不能同时对多个端口的外出 流量及VLAN的外出流量进行监控

我们先来看一下服务发现常用的框架有哪些： zookeeper eureka etcd consul 这里就不挨个来介绍它们了，本文中主要以consul为主，如果你在大量接触或使用微服务的话，你可能会碰到一个问题？当你创建的服务数量越来越多时，这些服务之间的通信便越难管理，而且维护代价会越来越高。consul可以给你答案，我们一起来了解一下consul： 1.了解consul Consul是一个分布式，高度可用且支持多数据中心的服务发现，配置和编排工具。 Consul支持大规模部署，配置和维护面向服务的体系结构。 欲了解更多官方信息，请参阅： consul 文档 consul github 1.1 架构设计 在现实中，我们一直渴望着追求提供高质量、高可用的服务架构体系，同时减少不必要的部署和维护代价，减少容错率。面对如此高的要求，可以有两种架构方案： Docker+Etcd+Confd+Nginx Docker+Consul+Nginx 本文中我们主要来介绍 Docker+Consul+Nginx方案，此方案更加高效、快捷，并且维护代价和容错率更低，分布式支持力度更强，如下图所示： 使用Docker将Consul、Consul Template、Registrator和Nginx组装成一个值得信任且可扩展的服务框架，这套架构让你在这个框架中添加和移除服务，不需要重写任何配置

传统的网络服务程序，如：ftp、pop和telnet在本质上都是不安全的，因为它们在网络上用明文传送口令和数据，别有用心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的，就是很容易受到“中间人”（man-in-the-middle）这种方式的***。所谓“中间人”的***方式，就是“中间人”冒充真正的服务器接收你的传给服务器的数据，然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”一转手做了手脚之后，就会出现很严重的问题。 一、什么是ssh SSH 为 Secure Shell 的缩写，由 IETF 的网络小组（Network Working Group）所制定；SSH 为建立在应用层基础上的安全协议。SSH 是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。 SSH是标准的网络协议，可用于大多数UNIX操作系统，能够实现字符界面的远程登录管理，它默认使用22号端口，采用密文的形式在网络中传输数据，相对于通过明文传输的Telnet，具有更高的安全性。 SSH提供了口令和密钥两种用户验证方式，这两者都是通过密文传输数据的。 不同的是，口令用户验证方式传输的是用户的账户名和密码，这要求输入的密码具有足够的复杂度才能具有更高的安全性。

Docker镜像的创建方法 Docker镜像除了是Docker的核心技术之外也是应用发布的标准格式。一个完整的Docker镜像可以支撑一个Docker容器的运行，在Docker的整个使用过程中，进入一个已经定型的容器之后，就可以在容器中进行操作，最常见的就是在容器中安装应用服务，如果要把已经 安装的服务进行迁移，就需要把环境以及搭建的服务生成新的镜像。 创建镜像的方法有三种： 基于已有镜像创建 基于本地模板创建 基于Docherfile创建 基于已有镜像创建 使用docker commit命令，把一个容器里面运行的程序以及该程序的运行环境打包起来生成新对的镜像。 命令格式：docker commit [选项] 容器 ID/ 名称 仓库名称 :[标签] 常用选项： -a ：作者信息 -m ：说明信息 -p ：生成过程中停止容器的运行 [root@localhost ~]# docker ps -a #查看容器的ID CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 06bbfa9e79b8 11426a19f1a2 "/bin/bash" 7 seconds ago Created nostalgic_boyd [root@localhost ~]# docker commit -m "new" -a "daoke"

如果想要管理ESXi主机网络，那么我们一定要了解一些最基本概念： ESXi网络概述： 物理网络： 物理网络就是为了使物理服务器之间能够正常通信而建立的网络。虚拟网络建立在物理网络之上，没有物理网络，虚拟网络也就没有存在的必要。 虚拟网络： 是在ESXi主机上运行的虚拟机为了互相通信而互相通信而逻辑连接形成的网络。 ESXi网络组件： 物理网卡： 简称vmnic，ESXi内核的第一块称为vmnic0，第二块称为vmnic1，以此类推。 虚拟网卡： 简称VNIC，每台虚拟机可以有多个虚拟网卡，用于连接虚拟交换机，确保互相之间的正常通信。 虚拟交换机： 简称VSwitch，是由ESXi内核提供的，用于确保虚拟机和管理界面之间的相互通信，并且由类似物理交换机的端口/端口组提供网络连接。 虚拟交换机分为三种： 标准交换机 是由每台ESXi主机单独管理的简易交换机，标准交换机操作简单，但每次进行配置修改都要在所有的ESXi主机上进行重复操作，增加了管理成本、并且在主机之间迁移虚拟机时，会重置网络连接状态，加大了监控和故障排除的难度。如图： 标准交换机提供了三种类型的端口/端口组： 虚拟机端口组： 用于连接ESXi上的虚拟机，时期能够相互通信，也可以连接外部网络（如果没有接入vmnic，则只能在单台ESXi之间进行通信）。 VMKernel：

前言 在Kubernetes中，服务和Pod的IP地址仅可以在集群网络内部使用，对于集群外的应用是不可见的。为了使外部的应用能够访问集群内的服务，在Kubernetes中目前提供了以下几种方案： NodePort LoadBalancer Ingress 在之前的博文中介绍过NodePort，简单来说，就是通过service这种资源对象，为后端pod提供一个统一的访问接口，然后将service的统一访问接口映射到群集节点上，最终实现client通过映射到群集节点上的端口访问到后端pod提供的服务。 但是，这种方式有一个弊端，就是当新生成一个pod服务就需要创建对应的service将其映射到节点端口，当运行的pod过多时，我们节点暴露给client端的端口也会随之增加，这样我们整个k8s群集的危险系数就会增加，因为我们在搭建群集之处，官方明确指出，必须关闭firewalld防火墙及清空iptables规则，现在我们又暴露了那么多端口给client，安全系数可想而知。 有没有更安全又简便的一种方法呢？答案是肯定的，就是来利用Ingress这种资源对象来实现。 博文大纲： 一、Ingress-nginx介绍 二、Ingress-nginx配置示例 三、配置HTTPS 一、Ingress-nginx介绍 1、Ingress-nginx组成 ingress-nginx-controller

相对于SOCKET开发者,TCP创建过程和链接折除过程是由TCP/IP协议栈自动创建的.因此开发者并不需要控制这个过程.但是对于理解TCP底层运作机制,相当有帮助. 而且对于有网络协议工程师之类笔试,几乎是必考的内容.企业对这个问题热情之高,出乎我的意料：-）。有时上午面试前强调这个问题，并重复讲一次，下午几乎每一个人都被问到这个问题。 因此在这里详细解释一下这两个过程。 TCP三次握手 所谓三次握手(Three-way Handshake)，是指建立一个TCP连接时，需要客户端和服务器总共发送3个包。 三次握手的目的是连接服务器指定端口，建立TCP连接,并同步连接双方的序列号和确认号并交换 TCP 窗口大小信息.在socket编程中，客户端执行connect()时。将触发三次握手。 第一次握手: 客户端发送一个TCP的SYN标志位置1的包指明客户打算连接的服务器的端口，以及初始序号X,保存在包头的序列号(Sequence Number)字段里。 第二次握手: 服务器发回确认包(ACK)应答。即SYN标志位和ACK标志位均为1同时，将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即X+1。 第三次握手. 客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方