内部网关协议

博文大纲： 一、在路由器上实现Easy 虚拟专用网需要配置什么？ 二、配置实例 前言：由于“Virtual Private Network”（请看首字母，就知道是什么咯）是敏\感词汇，所以在博文中使用它的中文名字“虚拟专用网”来代替。 在之前写过了 Cisco路由器之IPSec 虚拟专用网 ； 在Cisco的ASA防火墙上实现IPSec虚拟专用网 。这两篇博文都是用于实现总公司和分公司之间建立虚拟专用网的，那么还有一种使用很多的情况，就是出差人员想要访问公司内网的资源呢？由于出差人员只是单一的一个客户端，所以和前两篇博文不一样，前两篇博文搭建虚拟专用网，两端设备都是路由器或防火墙，有固定的IP地址，所以呢，并不能实现出差人员访问，这篇博文的目的，就是实现出差人员可以访问公司内网资源的，这个技术被称之为—— Easy 虚拟专用网 。 一、在路由器上实现Easy 虚拟专用网需要配置什么？ 这篇博文将写下如何在路由器上实现Easy 虚拟专用网。 1、XAUTH身份验证 在原有的IPSec协议上，并没有用户验证的功能，所以引入了一个RFC的草案——XAUTH。它是一个虚拟专用网网关的增强特性，提供用户名和密码的方式来验证用户身份。由于这个过程是在两个连接建立之间完成的，所以被戏称为“阶段1.5”（关于两个阶段的介绍，可以参考 Cisco路由器之IPSec 虚拟专用网 ，有详细的介绍）。

Why Do Microservices Need an API Gateway? - DZone Integration https://dzone.com/articles/why-do-microservices-need-an-api-gateway 为什么微服务需要API网关？ http://www.jdon.com/48546 随着以API为中心的IT规模增长，API网关和管理层越来越常见。 我们应该考虑微服务的API网关吗？如果是，他们提供什么样的好处？ 什么是API网关？ API网关跨一个或多个内部API提供单个统一的API入口点。 通常还包括限制访问速率限制和有关安全性等特点。 诸如Tyk.io的API管理层增加了额外的功能，例如分析，货币化和生命周期管理。 基于微服务的架构可以具有10到100个或更多个服务。 API网关可以为外部消费者提供统一的入口点，而与内部微服务的数量和组成无关。 API网关对于微服务的好处 1.防止内部关注暴露给外部客户端 API网关将外部公共API与内部微服务API分开，允许添加微服务和更改边界。 其结果是能够在不对外部绑定客户端产生负面影响的情况下重构和适当大小的微服务。 它还通过为您的所有微服务提供单一入口点，对客户端隐藏了服务发现和版本控制详细信息。 2.为您的微服务添加额外的安全层

用单台虚拟主机实现多个域名 HTTP/1.1规范允许一台HTTP服务器搭建多个Web站点。这是因为利用了虚拟主机（Virtual Host,又称虚拟服务器）的功能 即使物理层面只有一台服务器，但只要使用虚拟主机的功能，则可以假想已具有多台服务器。 当一台服务器内托管了多个域名，当收到请求时就需要弄清楚究竟要访问哪个域名。 在相同的IP地址下，由于虚拟主机可以寄存多个不同主机名和域名的网站，因此在发送HTTP请求时，必须在Host首部内完整指定主机名或域名的URI。 通信数据转发程序：代理、网关、隧道 HTTP通信时，除客户端和服务器以外，还有一些用于通信数据转发的应用程序，例如代理、网关和隧道。它们可以配合服务器工作。 代理： 代理是一种有转发功能的应用程序，它扮演了位于服务器和客户端”中间人“的角色，接收由客户端发送的请求并转发给服务器，同时也接收服务器返回的响应并转发给客户端。 网关： 网关是转发其他服务器通信数据的服务器，接收从客户端发送过来的请求时，它就像自己拥有资源的源服务器一样对请求进行处理。 隧道： 隧道是在相隔甚远的客户端和服务器两者之间进行中转，并保持双方通信连接的应用程序。 代理： 代理服务器的基本行为就是接受客户端发送的请求后转发给其他服务器。代理不改变请求URI，会直接发送给前方持有资源的目标服务器。 在HTTP通信过程中，可级联多台代理服务器

目录 一、API 网关的用处二、API网关在企业架构中的地位三、企业中如何应用API网关四、API网关有哪些竞争方案五、API网关解决方案六、企业怎么选择API网关 一、API网关的用处 API网关我的分析中会用到以下三种场景。 1、Open API 企业需要将自身数据、能力等作为开发平台向外开放，通常会以rest的方式向外提供。最好的例子就是淘宝开放平台、腾讯公司的QQ开发平台、微信开放平台。 Open API开放平台必然涉及到客户应用的接入、API权限的管理、调用次数管理等，必然会有一个统一的入口进行管理，这正是API网关可以发挥作用的时候。 2、微服务网关 微服务的概念最早在2012年提出，在Martin Fowler的大力推广下，微服务在2014年后得到了大力发展。 在微服务架构中，有一个组件可以说是必不可少的，那就是微服务网关，微服务网关处理了负载均衡，缓存，路由，访问控制，服务代理，监控，日志等。 API 网关在微服务架构中正是以微服务网关的身份存在。 3、API服务管理平台 上述的微服务架构对企业来说有可能实施上是困难的，企业有很多遗留系统，要全部抽取为微服务改动太大，对企业来说成本太高。 但是由于不同系统间存在大量的API服务互相调用，因此需要对系统间服务调用进行管理，清晰地看到各系统调用关系，对系统间调用进行监控等。 API网关可以解决这些问题

-- http://www.netfilter.org/ http://www.iptables.org/ --参考路径 http://www.netfilter.org/documentation/index.html#documentation-howto 1,包过滤防火墙 在网络层对数据包进行选择，主要是对数据包的所使用的协议，端口，源地址和目标地址等参数来进行过滤 2，代理网关 squid(代理网关，反向代理web加速） varnish nginx haproxy --后面这几个软件也可以去做反向代理（但不做代理网关） 把内网和外网是完全隔离的，内网和外网不能进行直接的 TCP通讯，必须通过代理网关的处理 .exe .jpg 3，状态检测 TCP有三次握手的阶段，常用的WEB，文件下载，发送和接收邮件等等都是TCP 状态检测防火墙除了包过滤防火墙所考查的参数之外，还要关心数据包连接的状态 可以做安全控制的： tcpwrapper pam 可植入性安全模块 selinux security enhanced linux (在rwx权限之外，进程访问文件或目录加的额外权限) 完整性检测 tripwire 入测检测 snort SSL/TLS 网络传输加密通讯 ip tunnel + ipsec 网络传输加密通讯 netfilter / iptables --iptables

博文大纲： 一、在路由器上实现Easy 虚拟专用网需要配置什么？ 二、配置实例 前言：由于“Virtual Private Network”（请看首字母，就知道是什么咯）是敏\感词汇，所以在博文中使用它的中文名字“虚拟专用网”来代替。 在之前写过了 Cisco路由器之IPSec 虚拟专用网 ； 在Cisco的ASA防火墙上实现IPSec虚拟专用网 。这两篇博文都是用于实现总公司和分公司之间建立虚拟专用网的，那么还有一种使用很多的情况，就是出差人员想要访问公司内网的资源呢？由于出差人员只是单一的一个客户端，所以和前两篇博文不一样，前两篇博文搭建虚拟专用网，两端设备都是路由器或防火墙，有固定的IP地址，所以呢，并不能实现出差人员访问，这篇博文的目的，就是实现出差人员可以访问公司内网资源的，这个技术被称之为—— Easy 虚拟专用网 。 一、在路由器上实现Easy 虚拟专用网需要配置什么？ 这篇博文将写下如何在路由器上实现Easy 虚拟专用网。如果网关设备是Cisco ASA防火墙，配置可参考： Cisco ASA防火墙之Easy虚拟专用网 1、XAUTH身份验证 在原有的IPSec协议上，并没有用户验证的功能，所以引入了一个RFC的草案——XAUTH。它是一个虚拟专用网网关的增强特性，提供用户名和密码的方式来验证用户身份。由于这个过程是在两个连接建立之间完成的，所以被戏称为“阶段1.5