路由器交换机

实验涉及命令以及知识补充 连线 PC和交换机FastEtherNet接口 交换机和路由器FastEtherNet接口 路由器和路由器Serial接口 serial是串行口，一般用于连接设备，不能连接电脑。 fastethernet是以太口，平时PC用的就是这种口。 串口 用于接串口设备或者pcm等 以太口 传统的网线口，插网线用的不解释 GBIC/sfp口 光模块接口，大的是GBIC模块；小的接GLC销模块 堆叠口 比如3750的堆叠口，在交换机背面，用于堆叠 路由器之间必须配置时钟才可以通信【只有DEC接口才可以配置时钟】 DTE ： 数据终端设备。如计算机 DCE： 数据通信设备。如modem 路由器接口重命名同交换机 为路由器各接口分配IP R1(config)# interface serial 0/0 R1(config-if)# ip address 192.168.100.1 255.255.255.0 ；设置路由器serial 0/0的IP地址为192.168.100.1，对应的子网掩码为255.255.255.0 R1(config-if)# no shutdown ；启用端口 配置时钟【为什么之配置了一个接口】 R1(config-if)clock rate 64000（必须配置时钟才可通信）注意只有DCE接口才可以设置时钟。（相关命令：show

前面大家介绍了主从、主主复制以及他们的中间件mysql-proxy的使用，这一篇给大家介绍的是keepalived的搭建与使用！ 一、keepalived简介 1.1、keepalived介绍 　　　　Keepalived起初是为LVS设计的， 专门用来监控集群系统中各个服务节点的状态 ，它根据TCP/IP参考模型的第三、第四层、第五层交换机制检测每个服务节点的状态， 如果某个服务器节点出现异常， 　　或者工作出现故障，Keepalived将检测到，并将出现的故障的服务器节点从集群系统中剔除， 这些工作全部是自动完成的，不需要人工干涉，需要人工完成的只是修复出现故障的服务节点。 　　　　后来Keepalived又加入了VRRP的功能，VRRP（Vritrual Router Redundancy Protocol,虚拟路由冗余协议)出现的目的是解决静态路由出现的单点故障问题，通过VRRP可以实现网络不间断稳定运行， 　　因此Keepalvied 一方面具有服务器状态检测和故障隔离功能，另外一方面也有HA cluster功能，下面介绍一下VRRP协议实现的过程。 1.2、VRRP协议与工作原理 　　　　在现实的网络环境中。 主机之间的通信都是通过配置静态路由或者(默认网关)来完成的，而主机之间的路由器一旦发生故障，通信就会失效 ，因此这种通信模式当中，路由器就成了一个单点瓶颈

背景 网络，网络... 虽然只是一个简单的名词，但是她的背后却掩藏着太多太多的故事以及知识。 穷其编程的一生，或许也只能探索出那冰山一角，嗨... 小时虽知，学海无涯，却毫不知意。玩乃天性，却空流时光。憾... so，矫情之余，我们来探索一下网络究竟是怎么传输的。 概述 探索网络的范围，都在上图有所展示（另存为看大图）。 正文 一. 生成HTTP请求消息 打开一个网站，都是从浏览器中输入网址开始，我们的探索也是从这里开始。 https: 是协议，告诉浏览器我们要访问的目标，而https: 代表的就是访问Web服务器，当然也有其他的协议。比如ftp:访问的就是FTP服务器等。 sexyphoenix.github.io 是Web服务器域名，可以告诉我们在哪里可以找到Web服务器。 about/ 是Web服务器里面的文件路径名，这里的about是目录名，全路径可能是about/index.md，而index.md应该被github掩藏了。 浏览器首先要做的就是对URL进行解析，知道我们要访问的是sexyphoenix.github.io这个Web服务器上文件路径为about目录下的默认文件。 知道了要访问的目标，接下来浏览器就要生成HTTP的请求信息，介绍到这，就要聊一聊HTTP协议了。 HTTP协议规定了客户端和服务器通信的内容和步骤，简单来说，就是两个部分 “对什么” 做

arp和rarp 同网段和不同网段之间的通信过程 IPv6中已经没有arp rarp协议，所以这里都是IPv4。 链路层使用以太网地址来确定目的地址，应用则常使用ip地址通信 arp协议是指从ip地址获取对应的mac地址的协议 同网段和不同网段之间的通信过程 网上别人写的很经典的ping过程，不清楚原创作者是谁: 在当今的以太网络通信中，在IP数据包中有两个必不可少的地址，那就是IP地址和网卡地址（即MAC地址），在数据包中，无论是IP地址还是MAC地址，都有源地址和目标地址，因为通信是双方的，所以就必须同时拥有双方的地址！在同一IP网络中通信，将会发生以下事件： 主机A与主机B通信，这时主机A肯定首先要封装这些需要发给主机B的数据包，那么对于主机A来说，自己的IP地址和MAC自己肯定能够轻易得到，对于主机B的IP地址这时主机A也应该知道，要不然它就不清楚自己将要和谁通信，当有了自己的IP地址，MAC地址以及主机B的IP地址后，主机A在数据包中可以正确地写上源IP地址，目标IP地址，接下来的工作就是写入自己的MAC地址（即源MAC），最后还必须正确写入目标主机B的MAC地址，可这时主机A才发现自己根本没有目标主机B的MAC地址，那该怎么办呢？这时主机A就通过比较上面已经封装好的源IP和目标IP，通过子网掩码计算一下，发现源IP和目标IP恰好在同一个IP网络内

在主干网上，路由器的主要作用是路由选择。主干网上的路由器，必须知道到达所有下层网络的路径。这需要维护庞大的路由表，并对连接状态的变化作出尽可能迅速的反应。路由器的故障将会导致严重的信息传输问题。 在地区网中，路由器的主要作用是网络连接和路由选择，即连接下层各个基层网络单位－－园区网，同时负责下层网络之间的数据转发。 在园区网内部，路由器的主要作用是分隔子网。早期的互连网基层单位是局域网（ＬＡＮ），其中所有主机处于同一逻辑网络中。随着网络规模的不断扩大，局域网演变成以高速主干和路由器连接的多个子网所组成的园区网。在其中，处个子网在逻辑上独立，而路由器就是唯一能够分隔它们的设备，它负责子网间的报文转发和广播隔离，在边界上的路由器则负责与上层网络的连接。 第二层交换机和路由器的区别 传统交换机从网桥发展而来，属于ＯＳＩ第二层即数据链路层设备。它根据ＭＡＣ地址寻址，通过站表选择路由，站表的建立和维护由交换机自动进行。路由器属于ＯＳＩ第三层即网络层设备，它根据ＩＰ地址进行寻址，通过路由表路由协议产生。交换机最大的好处是快速，由于交换机只须识别帧中ＭＡＣ地址，直接根据ＭＡＣ地址产生选择转发端口算法简单，便于ＡＳＩＣ实现，因此转发速度极高。但交换机的工作机制也带来一些问题。 1.回路：根据交换机地址学习和站表建立算法，交换机之间不允许存在回路。一旦存在回路，必须启动生成树算法

软件负载均衡一般通过两种方式来实现：基于操作系统的软负载实现和基于第三方应用的软负载实现。LVS就是基于Linux操作系统实现的一种软负载，HAProxy就是开源的并且基于第三应用实现的软负载。 HAProxy相比LVS的使用要简单很多，功能方面也很丰富。当 前，HAProxy支持两种主要的代理模式:"tcp"也即4层（大多用于邮件服务器、内部协议通信服务器等），和7层（HTTP）。在4层模式 下，HAProxy仅在客户端和服务器之间转发双向流量。7层模式下，HAProxy会分析协议，并且能通过允许、拒绝、交换、增加、修改或者删除请求 (request)或者回应(response)里指定内容来控制协议，这种操作要基于特定规则。 我现在用HAProxy主要在于它有以下优点，这里我总结下： 一、 免费开源，稳定性也是非常好，这个可通过我做的一些小项目可以看出来，单Haproxy也跑得不错，稳定性可以与LVS相媲美； 二、 根据官方文档，HAProxy可以跑满10Gbps-New benchmark of HAProxy at 10 Gbps using Myricom's 10GbE NICs (Myri-10G PCI-Express)，这个作为软件级负载均衡，也是比较惊人的； 三、 HAProxy可以作为MySQL、邮件或其它的非web的负载均衡，我们常用于它作为MySQL(读

1.专有名词： 互联网服务提供商ISP（Interest Service Provider） 互联网交换点 IXP （Internet eXchange Point） 广域网WAN（Wide Area Network） 城域网MAN（Metropolitan Area Network） 局域网LAN（Local Area Network） 个人区域网PAN（Personal Area Network） 传输控制协议TCP（Transmission Control Protocol） 用户数据报协议UDP（User Datagram Protocol） 协议数据单元PDU（Protocol Data Unit） 点对点协议PPP（Point-to-Point Protocol） 网络控制协议NCP（Network Control Protocol） 链路控制协议LCP（Link Control Protocol） 逻辑链路控制LLC（Logical Link Control） 媒体接入控制MAC（Media Access Control） CSMA/CD协议(Carrier Sense Multiple Access with Collision Detection) 循环冗余校验CRC(Cyclic Redundancy Check ) 帧校验序列FCS（Frame Check

1.1 TCP SYN拒绝服务攻击　　一般情况下，一个TCP连接的建立需要经过三次握手的过程，即：　　1、 建立发起者向目标计算机发送一个TCP SYN报文；　　2、 目标计算机收到这个SYN报文后，在内存中创建TCP连接控制块（TCB），然后向发起者回送一个TCP ACK报文，等待发起者的回应；　　3、 发起者收到TCP ACK报文后，再回应一个ACK报文，这样TCP连接就建立起来了。　　利用这个过程，一些恶意的攻击者可以进行所谓的TCP SYN拒绝服务攻击：　　1、 攻击者向目标计算机发送一个TCP SYN报文；　　2、 目标计算机收到这个报文后，建立TCP连接控制结构TCB），并回应一个ACK，等待发起者的回应；　　3、 而发起者则不向目标计算机回应ACK报文，这样导致目标计算机一致处于等待状态。　　可以看出，目标计算机如果接收到大量的TCP SYN报文，而没有收到发起者的第三次ACK回应，会一直等待，处于这样尴尬状态的半连接如果很多，则会把目标计算机的资源（TCB控制结构，TCB，一般情况下是有限的）耗尽，而不能响应正常的TCP连接请求。　　1.2 ICMP洪水　　正常情况下，为了对网络进行诊断，一些诊断程序，比如PING等，会发出ICMP响应请求报文（ICMP ECHO），接收计算机接收到ICMP ECHO后，会回应一ICMP ECHO Reply报文

案例一：配置静态路由，实现全网互通 1. 路由器接口配置 ip( 作为网关）：（接口内） ip address ip 掩码 然后 :no shutdown 2. 路由器配置 ip, 达到指定网络的目的：（全局配置模式） Ip route 目标 ip ，子网掩码，下一跳（对面路由器也要再配置一次，返回数据） 案例二：配置多路由器环境网络 1. 只要跟自己隔了一个路由器，就都要跳（ IP route ） 2. 配置完路由器接口，都要 no shutdown 3. 这边配置跳过去，那边配置跳回来（两边都要配置） 4. 查询静态路由配置情况： show ip route Router0: ip route 192.168.3.0 255.255.255.0 192.168.2.2 ip route 192.168.5.0 255.255.255.0 192.168.2.2 Router1: ip route 192.168.1.0 255.255.255.0 192.168.2.1 ip route 192.168.5.0 255.255.255.0 192.168.4.2 Router2: ip route 192.168.3.0 255.255.255.0 192.168.4.1 ip route 192.168.1.0 255.255.255.0 192.168.4.1 案例三

1. 什么是ACL？ 访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。 2. ACL有什么样用处？ ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。 　　ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。 　　ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。 　　ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。 　　例如：某部门要求只能使用 WWW 这个功能，就可以通过ACL实现； 又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。 3. ACL的3p规则 记住 3P 原则，您便记住了在路由器上应用 ACL 的一般规则。您可以为每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL：