网桥

目录 1.docker容器网络 2.docker的4种网络模式 2.1bridge模式 2.2container模式 2.3host模式 2.4none模式 1.docker容器网络 Docker在安装后自动提供3种网络，可以使用docker network ls命令查看 [root@localhost ~]# docker network ls NETWORK ID NAME DRIVER SCOPE 07573ce9f60f bridge bridge local 6dc26f122a07 host host local 16b57e624a73 none null local Docker使用Linux桥接，在宿主机虚拟一个Docker容器网桥(docker0)，Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址，称为Container-IP，同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥，这样容器之间就能够通过容器的Container-IP直接通信。 2.docker的4种网络模式 网络模式 配置 说明 host --network host 容器和宿主机共享Network namespace container --network container:NAME_OR_ID 容器和另外一个容器共享Network

TCP/IP协议栈：使用中的模型 OSI:开放系统互联参考模型，学习模型； 通信子网： 只是用来关注你的数据到底如何从A地送往B地； 资源子网： 主要是考虑传输的数据是如何被组织起来的； MAC:media access control MAC地址表 静态指定 动态学习：根据源地址学习；ttl值(time to live 生存周期） 网桥（bridge）与交换机（switch） 主要作用是用来分割两个独立网络的冲突域和并连接两个独立的网络；当在同一个网络中的两台主机进行通信时，所发出的电信号是不会被网桥传递到另一个网络中的；但是当两个不同的网络中的两台主机有通信需求时，网桥就会实现不同网络中的主机进行通信；那么网桥是怎么知道哪台主机是在哪个网络中呢？网桥内部有一个地址簿，这个地址簿通常我们将其称为MAC地址表，上面一一对应了哪一个主机在哪个接口上；当一个网络中的主机向另一个网络中的主机发送信号的时候，一定会带一个收信人，这个收信人一定是某一个具体的地址，因此，网桥根据那个收信人的地址来查看那个地址簿，当它发现自己收到信号的接口和目标主机都在同一个接口上，于是网桥就认为这个信号是不需要转发的，但是如果收到的这个信号来自于1号接口，当网桥一查表发现目标主机x在2号接口，于是网桥就将1号接口的数据发往2号接口；所以这个过程就叫做数据交换的过程，所以后来网桥就发展到了交换机； 有时候

Openstack部署流程说明一 1.环境说明 1.1硬件环境   本文档为针对一套1个控制节点、2个计算节点组成的openstack示例进行说明，其中物理主机组成如下：   1台32核cpu\32G内存\8网卡高性能服务器用作控制主机，部署控制节点服务、网络节点服务、镜像节点服务；   1台32核cpu\32G内存\8网卡高性能服务器用作计算主机，部署计算节点服务、网络代理；   1台4核\4G内存\2网卡服务器用作计算主机，部署计算节点服务、网络代理； 1.1软件环境 CentOS 7.6-1810 x86_64 CentOS 7.7-1908 x86_64 1.2网络类型   网络分为linuxbridge和openvswitch，默认采用openvswitch类型 1.2网络规划 A.控制主机： 主机名称：wtcontroller 网卡1：172.16.10.0/24, 172.16.10.100 网卡2：172.16.20.0/24, 172.16.20.80 网卡3：192.168.3.198 (用于上外网) B.计算主机1： 主机名称：wtcompute1 网卡1：172.16.10.0/24, 172.16.10.101 网卡2：172.16.20.0/24, 172.16.20.81 网卡3：安装临时用192.168.3.197 C.计算主机2： 主机名称

2014-12-03 by muzi Docker image = Java class Docker container = Java object 前言 5月份的时候，当我还是一个大学生的时候，有个网友问我，你有研究Docker吗？当时我连Docker是什么都不知道。谷歌之后，对Docker产生兴趣，但是一直没有时间去学习。这个周终于将这个学习计划列入了Todolist。所以我花了3天时间，认真地把这 《Docker 从入门到实践》 看完并实践了一遍，收获颇丰。虽然我的导师以及我自己还是觉得我在瞎转，而且我觉得没有方向的日子很痛苦。所以只好自己做计划，学习点新知识，打打基础了。本篇内容主要介绍什么是Docker、Docker简单入门以及如何使用Docker部署SDN环境，以及docker的网络配置等内容。What is Docker和Why Docker部分摘自《Docker从入门到实践》。 What is Docker Docker 是一个开源项目，诞生于 2013 年初，最初是 dotCloud 公司内部的一个业余项目。它基于 Google 公司推出的 Go 语言实现。 项目后来加入了 Linux 基金会，遵从了 Apache 2.0 协议，项目代码在 GitHub 上进行维护。Redhat 已经在其 RHEL6.5 中集中支持 Docker；Google 也在其 PaaS

原理讲解： 　　当我们创建一个交换机（网桥）之后即（ovs-vsctl add-br brname)，此时网络功能不受影响，但是 会产生一个虚拟网卡，名字为brname(与网桥名字同名，可以使用　　ifconfig brname查看），之所以会产生一个虚拟网卡 ，是为了实现接下来的网桥（交换机）功能，有了这个交换机以后，还需要为这个交换机增加端口（port）， 一个　　端口就相当于一个物理网卡 ，当网卡加入到这个交换机之后，其工作方式就和普通交换机的一个端口的工作方式类似了； 　　再执行（ovs-vsctl add-port brname port)之后，即网卡加入网桥之后，按照网桥的工作标准工作，则加入的端口（网卡）必须以混杂模式工作，工作在链路层，处理2　　层的帧，所以这个port就不需要配置IP的（应该没有见过哪个交换机的端口有IP的吧） 　　那么接下来你可能会问，通常的交换机不都是有一个管理接口，通过telnet到交换机上进行配置的，那么在OVS中创建的虚拟机有没有该接口呢，有的！上面提到创建交换机brname的时候产生了一个虚拟网口brname，那么，给这个虚拟网卡配置了ip之后，就相当于给交换机的管理接口配置了IP，对此一个正常的虚拟交换机就搞定了！！ 　　除此之外，与网桥同名的网卡（端口）起到了桥的功能； 二、工作场景 　　ovs主要是用来虚拟化环境中

一、Bridge模式 当Docker进程启动时，会在主机上创建一个名为docker0的虚拟网桥，此主机上启动的Docker容器会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似，这样主机上的所有容器就通过交换机连在了一个二层网络中。从docker0子网中分配一个 IP 给容器使用，并设置 docker0 的 IP 地址为容器的默认网关。在主机上创建一对虚拟网卡veth pair设备，Docker 将 veth pair 设备的一端放在新创建的容器中，并命名为eth0（容器的网卡），另一端放在主机中，以vethxxx这样类似的名字命名，并将这个网络设备加入到 docker0 网桥中。可以通过brctl show命令查看。 bridge模式是 docker 的默认网络模式，不写–net参数，就是bridge模式。使用docker run -p时，docker 实际是在iptables做了DNAT规则，实现端口转发功能。可以使用iptables -t nat -vnL查看。 docker network ls 查看网络 docker run --name test1 -d busybox /bin/bash -c "while true;do echo hello;sleep 10;done" docker run --name test2 -d busybox /bin

某厂面试归来，发现自己落伍了！>>> 数据链路层概述 基本概念 数据发送模型： 数据链路层的信道类型： 点对点信道：这种信道使用一对一的点对点通信方式。 广播信道。这种信道使用一对多的广播通信方式，因此过程比较复杂。广播信道上连接的主机很多，因此必须使用专用的共享信道协议来协调这些主机的数据发送。 链路和数据链路： 链路（link）:是一条点到点的物理线路段，中间没有任何其他的点， 一条链路只是一条通路的一个组成部分 。 数据链路(data link)：除了物理线路外，还必须有通信协议来控制这些数据的传输。若把实现这些协议的硬件和软件加到链路上，就构成了数据链路。 现最常用的方法是使用适配器(即网卡)来实现这些协议的硬件和 软件。 一般的适配器都包括了数据链路层和物理层这两层的功能。 帧： 数据链路层传送的是帧 数据链路层就像一个数字管道 常常在两个对等的数据链路层之间画出一个数字管道，而在这条数字管道上传输的数据单位是帧。 要解决的三个基本问题 封装成帧 封装成帧就是在一段数据的前后分别添加首部和尾部，然后就构成了一个帧，用以确定帧的界限。 首部和尾部的一个重要作用就是进行帧定界。 如果发送端发送时出现故障，接收端没收到完整的头和尾，就会将帧丢掉 透明传输 若传输的数据是ASCI I码中“可打印字符(共95个)”集时，一切正常。 若传输的数据不是仅由“可打印字符”组成时

搭建OpenStack平台或者维护OpenStack平台会用到一些交叉性的网络知识，一部分和Linux操作系统的配置有关、一部分和交换机、路由器、网桥等网络设备有关。当然，和网络有关的部分并不会涉及的特别深入，仍以基本操作为主，毕竟OpenStack平台本质上仍旧是一个以软件为中心的OS级底层平台。 在使用OpenStack平台时，我们会在日常维护过程中频繁使用到这几个概念：网卡接口、网桥、VLAN、VXLAN、命名空间与名字空间、GRE。 网卡，指的是Linux系统中的 Ethnet，是一个物理接口，也可以通过虚拟软件模拟生成。 网卡管理工具 ethtool 安装： Ubuntu：apt-get install -y ethtool CentOS：yum install -y ethtool 操作： ethtool -s DEVICENAME autoneg off speed NUMBER duplex full / 设置网卡以某个速度开启全双工 / Ubuntu:网卡配置文件是 /etc/network/interfaces ethtool eth0 / 查看网考eth0的信息 / /etc/init.d/networking restart / 重启网络服务 / 配置网卡eth2 的子接口 eth2:0 ，编辑eth2的配置文件如下｛ auto eth2 iface

TCP/IP的具体数据链路：以太网、无线局域网、PPP等。 3.1 数据链路层的作用 数据链路层的协议定义了通过通信媒介互联的设备之间传输的规范。通信媒介包括各种电缆、光纤、电波以及红外线等介质。此外，各个设备之间有时也会通过交换机、网桥、中继器等中转数据。 计算机以二进制0、1来表示信息，实际的通信媒介之间处理的是电压的高低、光的闪灭以及电波的强弱等信号。把这些信号与二进制的0、1进行转换正是物理层的责任。 数据链路层处理的数据也不是单纯的0、1序列，该层把它们集合为一个叫做“帧”的块，然后再进行传输。 数据链路层相关技术：MAC寻址（物理寻址）、介质共享、非公有网络、分组交换、环路检测、VLAN（虚拟局域网）等。 数据链路的传输方式：以太网、WLAN（无限局域网）、PPP（点对点协议）。 网络拓扑：网络的连接和构成的形态称为网络拓扑topology。总线型、环型、星型和混合型。 3.2 数据链路相关技术 3.2.1 MAC地址 MAC地址用于识别数据链路中互联的节点。在以太网、无线LAN、蓝牙等设备也是用相同规格的MAC地址。 MAC地址长是48比特。MAC地址一般被烧入网卡的ROM中。 3.2.2 共享介质型网络 从通信介质的使用方法上看，网络可分为共享介质型和非共享介质型。 共享介质型网络指由多个设备共享一个通信介质的一种网络。在这种方式下

端口安全 交换机的五种攻击 VLAN跳跃攻击 生成树攻击 MAC表洪水攻击 泛洪：广播 1.限制MAC地址 配置 Switch>en Switch#config t Switch(config)#int f0/1 Switch(config-if)#sw mo acc//设置模式为ACCESS Switch(config-if)#switchport port-security //开启端口安全 Switch(config-if)#switchport port-security mac-address 00E0.8F09.42EA//绑定MAC地址 Switch(config-if)#switchport port-security violation shutdown //安全违例模式为关闭 violation的模式: protect:不回应 restrict:拒绝 shutdown:关闭 2.限制交换机端口的最大连接数 Switch(config-if)#switchport port-security maximum ARP攻击 VTP攻击 1.通过域名来同步 2.服务端和客户端模式（服务端(s)，客户端(c)，透明(t)） server client tranpatent 增删改vlan信息 v x v 转发VTP信息 v v v 同步VTP信息 v v x