来源:蜘蛛抓取(WebSpider)
时间:2018-02-18 01:19
标签:
汇聚层交换机配置实例
posts - 489,&
comments - 494,&
trackbacks - 20
背景          
        某集团经过多年的经营,公司业务和规模在不断发展,公司管理层和IT部门也认识到通过信息化手段可以更好地支撑公司业务运营、提高企业生产和管理效率。同时随着新建办公大楼、研发大楼和厂房的落成,IT部门也需要对整个集团的信息化和企业IT基础架构进行规划和建设。目前主要分为以下两部分:
        楼宇智能化规划和建设方案:主要包括视频监控、门禁系统、语音和数据节点规划和布线、CATV、大屏幕电子显示屏、机房建设等。
        企业IT基础架构规划和解决方案:主要包括企业局域网基础网络拓扑规划和网络设备选型、互联网接入和VPN接入、IT硬件部署和选型、企业IT信息化基础软件系统规划和选型等。
        本方案主要是针对某集团企业IT基础架构进行规划,并提出解决方案和进行投资预算。而关于楼宇智能化规划和建设的方案参见其它相关方案。
企业IT架构
一般企业的IT架构情况,本方案主要针对IT基础架构部分进行规划,并提供选型和部署参考,关于企业IT业务应用系统部分的规划和建设请参考其它方案。
网络系统规划
当前,企业一般能给信息化方面投入有限。除了人力有限,还缺少专业人才,应用能力、维护能力、开发能力、实施能力等都普遍较弱,这就要求网络架构成熟、稳定安全、高可靠、高可用,尽可能少投入人力和金钱进行维护。其次,由于企业首要解决的是生存问题,根本没办法做到“先信息化,再做业务”,因此网络建设实施要求必须容易,实施时间必须极短。
企业的组网方案主要要素包括:局域网、广域网连接、网络管理和安全性。具体来说企业组网需求:
? 建立安全的网络架构,总部与分支机构的网络连接;
? 安全网络部署,确保企业正常运行;
? 为出差的人员提供IPSec或者SSL的VPN方式;
? 提供智能管理特性,支持浏览器图形管理;
? 网络设计便于升级,有利于投资保护。
企业一般的组网结构如下图,大企业网络核心层一般采用冗余节点和冗余线路的拓扑结构,小企业则单线路的连接方式。
通过对一般企业的信息化情况和网络规划要素进行分析,从总体上看,规划方案必须具有以下特点:
? 网络管理简单,采用基于易用的浏览器方式,以直观的图形化界面管理网络。
? 用户可以采用多种的广域网连接方式,从而降低广域网链路费用。
? 无线接入点覆盖范围广、配置灵活,方便移动办公。
? 便捷、简单的统一通信系统,轻松实现交互式工作环境。
? 带宽压缩技术,高级QoS的应用,有效降低广域网链路流量。
? 随着公司业务的发展,所有网络设备均可在升级原有网络后继续使用,有效实现投资保护。
? 系统安全,保密性高,应用了适合企业的低成本网络安全解决方案。
安全基础网络规划方案
根据对某集团的实际调研,获取了企业的网络需求,以此来制定企业基础网络建设规划方案和网络设备选型参考;以下提供基础版和企业版两种规划方案
1) 网络需求:
企业规划的网络节点为500个,主要的网络需求首先是资源共享,网络内的各个桌面用户可共享文件服务器/数据库、共享打印机,实现办公自动化系统中的各项功能;其次是通信服务,最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问;还有就是公司门户网站和网络通信系统(企业邮箱、企业即时通信和企业短信平台等)的建立。
2) 基础版规划方案
本方案适用于200~300台电脑联网,核心采用H3C S5500-28C-SI或S5500-20TP-SI交换机,以千兆双绞线/光纤与接入交换机及服务器连接;用户接入H3C S3100-26TP-SI或S3100-52TP-SI交换机,千兆铜缆/光纤上连核心交换机。Internet出口采用H3C MSR20-1X多业务路由器作为Internet出口路由、Secpath F1000-C或者UTM作为安全网关和移动用户的VPN接入网关。网络拓扑图如下:
设备选型和部署参考如下:
设备选型参考
核心交换机
H3C S5500-28C-SI
或H3C S5500-20TP-SI
全千兆三层核心
接入层交换机
H3C S3100-26TP-SI
或H3C S3100-52TP-SI
接入层支持光电复用千兆上行,
支持混合堆叠
26TP:15台
各楼层或机房
H3C MSR20-1x路由器
转发率160Kpps,256M 内存,支持GE/FE交换模块,同异步串口模块,E1/PRI模块,语音模块,加密模块
H3C SecPath F1000-C或H3C SecPath U200
支持应用层报文过滤
互联网接入
10M光纤接入
电信10M光纤接入
配静态IP地址
方案特点:
? 高性价比:能够让中小企业低投资拥有高性能、经济的网络;
? 简易性:结构简单、安装快速、简单,维护无需配置专职人员;
? 高性能:最低投资做到千兆骨干、百兆接入;
? 可扩展性:灵活的网络架构,能根据用户需要随时扩展,并保护已有投资。
3) 高级版规划方案:
本方案适用于500~800台电脑联网,三层网络结构,万兆骨干,百兆接入;网络核心层采用H3C S7500交换机,同时配置相应数量的千兆端口分别连接应用服务器、接入交换机及其他设备;网络汇聚层采用H3C S5500-28C-SI,独有智能堆叠系统可实现高密度千兆端口接入,拥有96 Gbps的全双工堆叠带宽,消除网络瓶颈,提供优于传统中继聚合配置的更好的可用性和弹性;接入层可选择H3CS3100-26TP-SI或S3100-52TP-SI交换机,千兆铜缆/光纤上连核心交换机,或H3C S/48P-SI全千兆交换机,千兆到桌面。网络拓扑图如下:
设备选型和部署参考如下:
设备选型参考
核心交换机
H3C S7500(E)系列
核心支持双引擎双电源,性价比最高
汇聚层交换机
H3C S5500-28C-SI
汇聚支持全千兆高速转发,消除网络瓶颈,同时支持万兆扩展
各楼层或机房
接入层交换机
H3C STP-SI
或  H3C S/48P-SI
接入层根据不同业务需求提供百兆和千兆接入两种选择
52TP:10台
各楼层或机房
H3C MSR50-06路由器
H3C新一代安全路由器
H3C SecPath F1000-C
支持应用层报文过滤
互联网接入
20M~50M光纤接入
电信20M~50M光纤接入
配静态IP地址
方案特点:
? 高性能,全分布式交换网络;
? 高可靠,无间断的通信环境;
? 灵活弹性的网络扩展能力;
? 高效率的网络带宽利用率;
? 全面的QOS部署,多业务融合;
? 完善的网络安全策略,实现深度安全检测,抵御未知风险。
安全无线网络规划方案
无线网络的部署,能够增大员工接入网络的范围,提供更大的上网便利性--无论是在办公室、会议室还是在空间复杂的车间,员工都能与网络保持连接,随时随地访问企业资源,而且可以简化场所的网络布线。安全无线网络解决方案不但能提高员工的生产效率和协作能力,也能为合作伙伴/ 客户提供方便的上网服务。根据企业情况,可以采用FAT AP方案:
1) 无线网络需求:
能够获得较高的用户接入速率,构建便利的移动办公环境,实现企业的移动网络办公,成本投入不高,适合简单、小规模的无线部署。
2) 规划方案:
采用+iMC+进行组网,配合CAMS实现802.1x的认证,可以实现基于时长、流量和包月的计费;整网通过iMC统一管理。网络拓扑图如下:
设备选型和部署参考如下:
设备选型参考
双802.11g无线模块
满足用户管理、身份认证、权限控制和计费的要求
H3C iMC网管系统
支持与HP Openview、SNMPc等通用网管平台的集成
方案特点:
? 全面支持802.11i安全机制、802.11e QoS机制、802.11f L2切换机制;
? 大范围覆盖:高接收灵敏度,达到-97dBm(普通AP-95dBm),保证更远覆盖;
? 多VLAN支持:虚拟AP方式支持多VLAN,最多支持8个虚拟SSID的VLAN划分,每个VLAN用户可以独立认证;
? 兼作网桥使用:WDS模式支持PTP、PTMP工作模式;支持连接速率锁定、传输报文整合,提高传输效率;
? 负载均衡:支持基于用户数的负载均衡、基于流量的负载均衡;
? 针对各类室外、特殊室内应用如仓库等复杂环境,可以提供专门的型号。
广域网互联VPN规划方案
伴随企业和公司的不断扩张,公司分支机构及客户群分布日益分散,合作伙伴日益增多,越来越多的现代企业迫切需要利用公共Internet资源来进行促销、销售、售后服务、培训、合作及其它咨询活动,这为VPN的应用奠定了广阔市场。在VPN方式下,VPN客户端和设置在内部网络边界的VPN网关使用隧道协议,利用Internet或公用网络建立一条“隧道”作为传输通道,同时VPN连接采用身份认证和数据加密等技术避免数据在传输过程中受到侦听和篡改,从而保证数据的完整性、机密性和合法性。通过VPN方式,企业可以利用现有的网络资源实现远程用户和分支机构对内部网络资源的访问,不但节省了大量的资金,而且具有很高的安全性。
另外,随着企业规模的扩大,分散办公也越来越普遍,如何实现小型分支、出差员工、合作伙伴的远程网络访问也被越来越多的企业关注。从成本、易用性、易管理等多方面综合考虑,SSL VPN无疑是一种最合适的方案:只需要在总部部署一台设备,成本更低,管理维护也很容易;无需安装客户端、无需配置,登陆网页就能使用。
1) 网络需求
1IPSec VPN和SSL VPN各有所长,功能互补,对企业来说都是需要的:IPSec VPN用于总部和中大型分支互连,SSL VPN用于为小型分支、合作伙伴、出差人员提供远程网络访问。但传统方法下,企业总部需要采购两台设备来支持两种VPN,不仅成本更高,而且可能存在VPN策略冲突,导致性能下降、管理困难。
2) 规划方案
融合VPN针对企业的实际需要,一台设备融合IPSec / SSL两种VPN,只需部署在总部,既可以用于为合作伙伴、出差人员提供远程网络访问,也可以和分支机构进行IPSec VPN互连,帮助企业降低采购、部署、维护三方面成本。
VPN网关选择方面,H3C的防火墙、路由器都能够实现融合VPN,提供给企业更加灵活的选择。例如,如果企业非常强调网络安全、VPN性能,就选择防火墙;如果企业更注重多业务处理能力,如IP语音通信、3G上网、无线接入等,推荐选择路由器。
在总部局域网Internet边界防火墙后面配置一台或两台双机热备的VPN网关,在分支机构Internet边界防火墙后面配置一台VPN网关,由此两端的VPN网关建立IPSec VPN隧道,进行数据封装、加密和传输;另外,通过总部的VPN网关提供SSL VPN接入业务;在总部局域网数据中心部署H3C VPN Manager组件,实现对VPN网关的部署管理和监控;在总部局域网内部或Internet边界部署H3C BIMS系统,实现对分支机构VPN网关设备的自动配置和策略部署。如下图:
设备选型和部署参考如下:
设备选型参考
H3C SecPath F1000VPN网关
H3C SecPath F100 VPN网关
H3C MSR50 路由器
H3C MSR20-1X 路由器
总部和大型机构配置F1000型号
中小型机构配置F100型号
分支机构按需求配置
H3C VPN Manager
帮助用户部署、管理VPN网络
如果省内分支机构较多、较分散,但对速率要求不高的连锁型单位,也可以选用电信或ISP商的VPDN服务;
如果多个分支机构间有多点对多点通信需求的企业、商业机构,也可以直接选用电信或ISP商的MPLS VPN服务。
网络性能指标要求
线路质量要求
客户端到服务器:10Mb以上,推荐100Mb
各服务器之间:200M以上,推荐1000Mb
丢包率小于0.1%
延迟小于20ms
分支机构带宽:每客户端128Kb
总部出口带宽:(最大并发数/3)×128Kb
总部服务器之间:200M以上,推荐1000Mb
丢包率小于2%
延迟小于50ms
网络安全规划
网络安全是整个系统安全运行的基础,是保证系统安全运行的关键。网络系统的安全需求包括以下几个方面:
? 网络边界安全需求
? 入侵监测与实时监控需求
? 安全事件的响应和处理需求分析
这些需求在各个应用系统上的不同组合就要求把网络分成不同的安全层次。
我们针对企业网络层的安全策略采用硬件保护与软件保护,静态防护与动态防护相结合,由外向内多级防护的总体策略。
根据安全需求和应用系统的目的,整个网络可划分为六个不同的安全层次。具体是:
? 核心层:核心数据库;
? 安全层:应用信息系统中间件服务器等应用;
? 基本安全层:内部局域网用户;
? 可信任层:公司本部与营业部网络访问接口;
? 危险层:Internet。
信息系统各安全域中的安全需求和安全级别不同,网络层的安全主要是在各安全区域间建立有效的安全控制措施,使网间的访问具有可控性。具体的安全策略如下:
核心数据库采用物理隔离策略
应用系统采用分层架构方式,客户端只需要访问中间件服务器即可进行日常业务处理,从物理上不能直接访问数据库服务器,保障了核心层数据的高度安全。
应用系统中间件服务器采取综合安全策略:
应用系统中间件的安全隐患主要来自局域网内部,为了保障应用系统中间件服务的安全,在局域网中可通过划分虚拟子网对各安全区域、用户和安全域间实施安全隔离,提供子网间的访问控制能力。同时,中间件服务器本身可以通过配置相应的安全策略,限定经过授权的工作站、用户方能访问系统服务,保障了中间件服务器的安全性;
内部局域网采取信息安全策略:
公司本部及营业部内部局域网处于基本安全层的网络,主要是对于安全防护能力较弱的终端用户在使用,因此考虑的重点在于两个方面,一个是客户端的病毒防护,另一个是防止内部敏感信息的对外泄露。因此,通过选用网络杀毒软件达到内部局域网的病毒防护,同时,使用专用网络安全设备(如硬件防火墙)建立起有效的安全防护,通过访问控制ACL等安全策略的配置,有效地控制内部终端用户和外部网络的信息交换,实现内部局域网的信息安全。
公司本部与下属机构之间网络接口采取通讯安全策略:
处于可信任层的网络,其安全主要考虑各下属单位上传的业务数据的保密安全,因此,可采用数据层加密方式,通过硬件防火墙提供的VPN隧道进行加密,实现关键敏感性信息在广域网通信信道上的安全传输。
Internet采取通讯加密策略:
Internet属于非安全层和危险层,由于Internet存在着大量的恶意攻击,因此考虑的重点是要避免涉密信息在该层次中的流动。通过硬件防火墙提供专业的网络防护能力,并对所有访问请求进行严格控制,对所有的数据通讯进行加密后传输。
同时,建议设置严格的机房管理制度,严禁非授权的人员进入机房,也能够进一步提升整个网络系统的安全。
1) 广域网安全规划
企业广域网安全,主要是通过防火墙和VPN等设备或技术来保障。
防火墙对流经它的网络通信进行扫描,能够过滤掉一些攻击,防火墙还可以关闭不使用的端口,防火墙具有很好的保护作用,入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机,所以出于安全考虑,企业必须购置防火墙以保证其服务器安全,将应用系统服务器放置在防火墙内部专门区域。一般硬件防火墙比软件防火墙的性能更好,建议选择企业级的硬件防火墙,硬件防火墙市场知名度高的品牌有CISCO、Check Point、Juniper、H3C、天融信、华为赛门铁克、联想网御等,用户应根据应用情况选择合适的防火墙。
VPN 即虚拟专用网(Virtual Private Networks) 提供了一种通过公共非安全介质(如Internet)建立安全专用连接的技术。使用VPN技术,甚至机密信息都可以通过公共非安全的介质进行安全传送。VPN技术的发展与成熟,可为企业的商业运作提供一个无处不在的、可靠的、安全的数据传输网络。VPN通过安全隧道建立一个安全的连接通道,将分支机构、远程用户、合作伙伴等和企业网络互联,形成一个扩展的企业网络。
VPN基本特征:
? 使企业享受到在专用网中可获得的相同安全性、可靠性和可管理性。
? 网络架构弹性大——无缝地将Intranet延伸到远端办事处、移动用户和远程工作者。
? 可以通过Extranet连接企业合作伙伴、供应商和主要客户(建立绿色信息通道),以提高客户满意度、降低经营成本。
VPN实现方式:
? 硬件设备:带VPN功能模块的路由器、防火墙、专用VPN硬件设备等,如Cisco、H3C、深信服、天融信等。
? 软件实现:Windows 自带PPTP或L2TP、第三方软件(如CheckPoint、深信服等)。
? 服务提供商(ISP):中国电信、联通、网通等。目前一些ISP推出了MPLS VPN,线路质量更有保证,推荐使用。
2)内网安全规划
企业内网安全系统包括防病毒系统、内网安全管理系统,上网行为管理系统等。
防病毒系统可以采用网络版防病毒系统或防毒墙等产品(比如金山、瑞星、卡巴斯基等解决方案)。
内网安全系统和上网行为管理系统可以选择深信服、任子行、IP-guard等解决方案,企业可以通过部署内网安全系统实现研发网和商业信息的信息安全防范工作。对于研发网的信息安全、数据集中存储和计算资源的统一协调配置,可以通过部署企业桌面虚拟化解决方案来实现。
今天先到这儿,希望对您有参考作用, 您可能感兴趣的文章:
如有想了解更多软件,系统 IT,企业信息化 资讯,请关注我的微信订阅号:
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。
该文章也同时发布在我的独立博客中-。
阅读(...) 评论()VLAN的划分一般在汇聚层,那核心层再网络中的用是什么?路由 组播 重分发 VPN 都可以在路由上做。_百度知道
VLAN的划分一般在汇聚层,那核心层再网络中的用是什么?路由 组播 重分发 VPN 都可以在路由上做。
那核心层 (65系列)交换机的作用?
我有更好的答案
互联网络按功能可分为核心层、汇聚层和接入层。通常将网络中直接面向用户连接或访问网络的部分称为接入层,接入层目的是允许终端用户连接到网络,因此接入层交换机具有低成本和高端口密度特性;汇聚层多台接入层交换机的汇聚点,它必须能够处理来自接入层设备的所有通信量,并提供到核心层的上行链路,因此汇聚层交换机与接入层交换机比较,需要更高的性能,更少的接口和更高的交换速率。网络主干部分称为核心层,核心层的主要目的在于通过高速转发通信,提供优化,可靠的骨干传输结构,因此核心层应拥有更高的可靠性,性能和吞吐量。随着互联网络的发展,目前运营商的城域网核心层已经全部是高端路由器,很少有交换机出现了。
采纳率:57%
来自团队:
其实核心层,汇聚层,接入层,这都是思科提出的概念,一般核心层交换机是不会用来划分VLAN的,它的最主要作用就是高速转发和路由汇聚层交换机一般用来划分VLAN,也可用来实施访问控制。接入层交换机一般用来实施端口的MAC地址绑定。
核心主要是高速交换,路由、vpn也可以在防火墙上做
为您推荐:
其他类似问题
您可能关注的内容
组播的相关知识
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。&ul&&li&泻药,其实这个问题我已经关注很久了,因为近些年一直在鼓捣WLAN,大大小小也参与了一些实际施工。首先,WiFi的无线传输,跟有线的是不一样的,网线是全双工模式,而WiFi是半双工模式,现有些802.11ac的无线路由器,标称1300Mbps、1750Mbps速率也好,这还是5G频段的,有些厂家干脆为了吸引眼球,把2.4G频段的450Mbps速率也加上去,达到2.3Gbps等等,实际上,你一个终端,在同一时间,只能用一个频段,很多厂商只是玩文字游戏而已。&/li&&li&但无论是多少都好,WiFi传输是在半双工模式下工作的(单工、半双工、全双工,如果不懂的话,自己上网查),比如说以5G频段标称1300Mbps为例,那传输就要打个半折,为650Mbps,而且,这还只是理论上最大值而已,而在实际的WiFi网络环境中的信号情况,是非常复杂的,各类障碍物遮挡,各类电磁波信号的衍射干扰,信号还会进一步衰减,有时候实际连接的,远比这个还要低,再打个对折也是有可能的。同时,这还要根据厂商设计该无线设备的的硬件技术水平而定,比如硬件方案的不同,CPU及ACSI芯片处理信号能力不同,RF射频天线技术的不同,也会存在很大的差异,根据我以往实地观测的经验值,有些厂商的实际真正传输的速率,能达500~600Mbps左右,甚至接近半双工的满速,而有些厂商的产品,甚至有时候连200Mbps都不到,你自己再除以8再换算成MB/S单位,算算看是多少,高的可能在60~70MB/S左右,而低的连20MB/S不到。这里面的差距,还是非常大的。&/li&&li&我经手过的一些Wireless产品中,给我印象最深的,也就Ruckus(优科)的无线AP,在速率和吞吐量上,还有RF天线技术上,是比较猛的,但可惜Ruckus的无线,近些年发展得有些慢,加上产品重点在工程领域上,操作界面全E文也不友好,售前售后都不是太完善,不适合小白,要是它能像现在UBNT那样,以它的产品和技术,运营得好,还是能在整个Wirdeless市场取得不错的成绩的,&/li&&li&另外,在这里顺提一下,我此前在知乎回贴,也曾跟人讨论过家装布线的话题(&a href=&https://www.zhihu.com/question//answer/& class=&internal&&邱硕:套内180的房子装修如何合理的进行网络布线?&/a&),我建议很多人如果条件允许的话,还是尽量采用AC+AP的模式,其中也有些人提到组Mesh无线网产品的问题,其实这个我之前真实测过Mesh无线的性能,拿上面所述的例子来说,还是1300Mbps的Mesh无线网,如果是无线直连主路由的话,实际传输率速就如我上面说的那样,理论上减半为650Mbps(实际上要比这个低),当中间经过一个信号扩展点时,就还要再减半了,而如果房间多的话,中间经过的跳点越多,带宽消减的越多,打个比方说,如果无线直连主路由的1000Mbps,那理论上减为500Mbps,经过中间一个信号跳点时,因为不同的信号点之间要回程占用带宽资源,再减半为250Mbps,如果间隔远,信号再经过多一个跳点,再减为125Mbps,而且,这只是理论值,实际情况并不会比这乐观,与此同时,信号的延迟也会增加,我当时拿着笔记本经过两个跳点后,ping值都从10ms左右~30ms左右~70ms左右,这是我当时真实的检测体会,但我没时间和精力一拍拍照做评测,如果对这个感兴趣的知友,可以看看这个贴(&a href=&//link.zhihu.com/?target=http%3A//koolshare.cn/thread-.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&颜值才是硬道理 UBNT AmpliFi Mesh系统开箱评测 附赠全套拆机图&/a&),重点可关注后面“实际使用环境测试”,在房屋平面图的B、C、D点的内网实际传输速率对比(尤其是D点的内网拷贝速度),而且,不管是在B、C、D点,网卡上显示的速率,却都是1.3Gbps,这跟我当时实测的情况,基本相似。&/li&&li&关于Mesh无线网这个问题,我之前也找资料看过和思考过,其实在10年前,就有相关技术,思路是借鉴了移动通信中,语音通信的基站蜂窝网的技术思路,如果我没记错,Cisco还是Motorola之前曾尝试类似的产品,但之所以一直没热起来,而这两年又推出来了(UBNT、Netgear、Linksys和Googel等),我想这跟WLAN技术发展,随着802.11ac Wave 2.0的无线带宽,相对比以前的802.11b/g/n有大幅增加的,部份抵消了此前无线带宽消减的问题的因素有关,毕竟当达到20Mbps的速率以上时,连个外网看个网页视频什么的,已经不成问题了,但如果是内网共享带宽(比如像NAS等),那就得思量一番。但似乎厂商在此类产品的介绍,对此,都是选择性忽略,或者根本就没提到。当然,这是我目前测试和思考后的个人看法,不一定都对,如果这方面有哪位深有研究的大神,欢迎指正&/li&&li&另外,还有一点,可能很多人忽略的,无线路由器或无线AP也好,它运作机制,其实类似于一个集线器,跟有线网络连接的交换机不一样,交换机是有背板带宽保证,每个端口是1Gbps速率,都基本保证跑满这个速率,而且是在全双工模式下,但无线路由器或AP,它与内网的接口带宽,理论上,无线速率最大1.3Gbps,也就这么大带宽连接到内网共享,而且,当无线路由或AP接入的终端较多的时候,是切割分摊的(这和终端的网卡速率也有关),比方说无线路由或AP有1.3Gbps带宽,一个终端接入时,独享带宽1.3Gbps(半双工下实际是650Mbps),两个终端接入时,均分的话,每个就是650Mbps(半双工下实际是325Mbps),三个的话,就是依次类分,因为WiFi是时分半双工(这个问题,我以前也和老师讨论过,准确的说法,觉得应该是时分半双工),也就是当多个终端接接WiFi时,大家有点类似在抢带宽,但每个端终接收发送的流量和时间点不同,有时候能感觉得到,有时感觉不到。这也是为什么有时候,我们一家人在家里,几个人无线上网时,连接速率是起伏不定的,有时候甚至会短暂偶尔出现轻微地卡一下。&/li&&/ul&&p&
或者,我举个形象的比方,可能能更好地说明这个问题。如果说:&/p&&p&
交换机相当于一个大水池(大水池容量,就相当于交换机的背板带宽),下面接的各个水管,就像每个有线网络的端口网线一样,当各个水管一起放水时,由于有大水池内的容量保证,每个水管放水时,流量是基本能保证的。&/p&&p&
而无线路由器或无线AP,刚相当于接入大水池(交换机)中一根水管,然后这根水管,流入到 另一个小水池(无线路由或无线AP),这个小水池下面接的小水管,再进行摊分流量。这时候,小水池的总体容量和小水管的流量,就受制于连接到大水池的这根水管。当小水池下面的小水管,有些水龙头拧得大一些,有的水龙头拧得小一些,甚至只一个水龙头在放水,这样的情景画面,自行脑补一下,就能想明白了。&/p&&ul&&li&上面之所以讲了这么多,是因为在现实中,真的有很多人问过我类似的问题,所以,想借此梳理一下,回归到LZ的这个问题,结合上述原理,我个人分析,可能是如下的原因。&/li&&/ul&&p&(1)你的WiFi接入终端中,除了你的电脑外,是否还有基他的设备,抢占了无线带宽资源,比如说网络摄像头之类的?&/p&&p&(2)如果排除了上一点原因,那就是无线设备的硬件性能水平(内部整体芯片的处理性能和RF天线收发技术等),这是个很隐性,但也很专业的问题,我不敢妄言太多,但有几点,我是有过体会的,现市售的很多家用无线路由器,看似很多天线,说穿墙信号有多强,这只是表面看得到的,但实质上,内部网络信号处理的硬件水平如何?像三层到二层的接口带宽和交换性能如何,一般消费者是难以了解的。而且,家用路由器和企业级与运营级等专业级的路由器,标准和要求又完全不一样,专业级的,是要经过一定的性能和稳定性测试后,才会推出市面,否则,是根本吃不开的。而家用方面的,说得难听点,总比专业级的好糊弄得多了,在产品方案设计上,可能厂家只是考虑到你家里只有3~5个人上上网而已,可谁知道你不光电脑平板,家里人手机平台好几台,呃,这也就算了,反正上上外网还是能应付的,但没想到你还要内网接个NAS或HTPC,再弄个网络摄像头什么的,人家当初设计时,路由层面和交换层面的接口带宽,以及二层交机的背板共享带宽,可能也就那么一点,毕竟就几百,一两千块钱的东西,你特玛还想要我怎么样?只要3C达标,电器安全就够了,反正又用不着承担重大责任和赔偿经济损失,小小一个路由器,不够用或坏了,扔了换过一个是了。&/p&&ul&&li&所以,对于国内这些年冒出来的,一些所谓智能家用路由器,我并不是太感冒,Wireless产品是一个讲究专业技术积淀和长时间积累的行业,不是说随便凑班人,弄个方案搞个OEM代工就行的了,就连谷歌这样有资金实力的互联网公司,要人有人,要钱有钱,也不是一时半会就能搞出来,之前出的两款家用路由器,还得找人代工,隔行如隔山。&/li&&li&当你有空,系统地学习或了解一下网络技术的知识,你就会发现,在TCP/IP或OSI模型中,越靠近底层的物理层、链路层、网络层等技术、越是需要长期潜心的研究,也是最终决定网络设备的质量和稳定性的根本。而这些,目前众多的协议和技术标准上,以及相关的硬件技术,绝大部份,都几乎掌握在欧美等国家手里,尤其是美国;而在国内,又有多少企业是能真正熬得住,并能掌握和用心做得好的?中兴华为锐捷这些先不说,就一些搞IT的中小企业和互联网公司而言,相当部份可能也就是找方案公司或代工厂,弄个硬件方案,有多少是能真正潜心去打磨底层技术掌握核心技术的,当然,一些IT中小企业或互联网公司,最不缺的就是编程人员,他们只需要应用层接口,用LuCi等编程语言组合了一些功能和整一套漂亮的GUI界面,再把产品外观设计得漂亮一些,这是他们的卖点,对一些注重颜值的脑残粉还是挺受用的,在营销上再作作文章,搞个隆重的发布会什么的,引发一下关注度,说是云计算接管家庭网络接口,弄个手机App,说开启智能家居时代,再玩玩大数据或金融什么的等.......&/li&&li&唉,够了,说句实在话,这种做硬件方案的公司,10年前,我在深圳华强北或南山科技园,随便就能找到一大把(基本上是以MTK方案为多,当年在深圳接触过山寨手机行业的人,相必就知道了),很快就能给你设计出一套量产的硬件方案来,而且性能未必比市面的一些所谓智能路由器差。至于多漂亮的GUI界面,算了吧,别人我不知道,我只知道网络设备像路由器,注重的是性能、稳定和安全,真正接触过专业级路由器的人,就很清楚,什么GUI界面,有些甚至连WEB登录管理都不会给你,就是CLI命令配置。当然,对于家用路由器来说,适当的GUI界面便于小白操作,还是有一定的必要,但稍为有点计算机常识的人都应该明白,硬件配置都是固定,过多地注重应用层面的GUI,底层功能所能利用的硬件资源,就会此消彼长,路由器和交换机又不是台式电脑,设置好了之后,谁天天对着它的界面来看呀。&/li&&/ul&&p&&br&&/p&&ul&&li&一口气,说了很多,一来回答LZ邀请的问题,二来因为这几年,身边碰到有很多人问我买家用无线路由器的事情,我在这里也借机说说自己的考量和想法,不一定都对,毕竟各取所需嘛,但就我个人而言,目前,对这些所谓的智能路由器,是持一定保留意见的,至少我不太感冒,更不要奢求有多好的性能,我宁愿自己几百块钱买个X86的工控机回来,鼓捣个软路由,给自己家里用,反正,这几年牙膏厂的CPU功耗,也越来越低了。&/li&&/ul&
泻药,其实这个问题我已经关注很久了,因为近些年一直在鼓捣WLAN,大大小小也参与了一些实际施工。首先,WiFi的无线传输,跟有线的是不一样的,网线是全双工模式,而WiFi是半双工模式,现有些802.11ac的无线路由器,标称1300Mbps、1750Mbps速率也好,这还是…
&figure&&img src=&https://pic1.zhimg.com/v2-3f43ffd541b_b.jpg& data-rawwidth=&1600& data-rawheight=&1234& class=&origin_image zh-lightbox-thumb& width=&1600& data-original=&https://pic1.zhimg.com/v2-3f43ffd541b_r.jpg&&&/figure&&p&不论我们在讨论SDN,NFV或者其他的虚拟网络技术,有一点需要明确,网络数据包最终都是跑在物理网络上。物理网络的特性,例如带宽,MTU,延时等,最终直接或者间接决定了虚拟虚拟网络的特性。可以说物理网络决定了虚拟网络的“天花板”。在Mirantis对&a href=&https://zhuanlan.zhihu.com/p/& class=&internal&&OpenStack Neutron的性能测试&/a&报告中可以看出,网络设备的升级和调整,例如采用高速网卡,配置MTU9000,可以明显提高虚拟网络的传输效率。在对网络性能进行优化时,有些物理网络特性可以通过升级设备或线路来提升,但是有些与网络架构有关。升级或者改动网络架构带来的风险和成本是巨大的,因此在架设数据中心初始,网络架构的选择和设计尤其需要谨慎。另一方面,在设计虚拟网络时,不可避免的需要考虑实际的物理网络架构,理解物理网络架构对于最终理解虚拟网络是不可缺少的。&/p&&p&接下来我将分几次说一说自己对数据中心网络架构的认识,想到哪说到哪,不对的地方请大家指正。&/p&&h2&&b&传统数据中心网络架构&/b&&/h2&&p&在传统的大型数据中心,网络通常是三层结构。Cisco称之为:分级的互连网络模型(hierarchical inter-networking model)。这个模型包含了以下三层:&/p&&ul&&li&Access Layer(接入层):有时也称为Edge Layer。接入交换机通常位于机架顶部,所以它们也被称为ToR(Top of Rack)交换机,它们物理连接服务器。&/li&&li&Aggregation Layer(汇聚层):有时候也称为Distribution Layer。汇聚交换机连接Access交换机,同时提供其他的服务,例如防火墙,SSL offload,入侵检测,网络分析等。&/li&&li&Core Layer(核心层):核心交换机为进出数据中心的包提供高速的转发,为多个汇聚层提供连接性,核心交换机为通常为整个网络提供一个弹性的L3路由网络。&/li&&/ul&&p&一个三层网络架构示意图如下所示:&/p&&figure&&img src=&https://pic2.zhimg.com/v2-b00c690aed199df605cdf5_b.jpg& data-caption=&& data-rawwidth=&600& data-rawheight=&259& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&https://pic2.zhimg.com/v2-b00c690aed199df605cdf5_r.jpg&&&/figure&&p&通常情况下,汇聚交换机是L2和L3网络的分界点,汇聚交换机以下的是L2网络,以上是L3网络。每组汇聚交换机管理一个POD(Point Of Delivery),每个POD内都是独立的VLAN网络。服务器在POD内迁移不必修改IP地址和默认网关,因为一个POD对应一个L2广播域。&/p&&p&汇聚交换机和接入交换机之间通常使用STP(Spanning Tree Protocol)。&b&STP使得对于一个VLAN网络只有一个汇聚层交换机可用,&/b&其他的汇聚层交换机在出现故障时才被使用(上图中的虚线)。也就是说汇聚层是一个active-passive的HA模式。这样在汇聚层,做不到水平扩展,因为就算加入多个汇聚层交换机,仍然只有一个在工作。一些私有的协议,例如Cisco的vPC(Virtual Port Channel)可以提升汇聚层交换机的利用率,但是一方面,这是私有协议,另一方面,vPC也不能真正做到完全的水平扩展。下图是一个汇聚层作为L2/L3分界线,且采用vPC的网络架构。&/p&&figure&&img src=&https://pic1.zhimg.com/v2-ebc990fdca13cbc90cdcfd5e_b.jpg& data-caption=&& data-rawwidth=&384& data-rawheight=&192& class=&content_image& width=&384&&&/figure&&p&随着云计算的发展,计算资源被池化,为了使得计算资源可以任意分配,需要一个大二层的网络架构。即整个数据中心网络都是一个L2广播域,这样,服务器可以在任意地点创建,迁移,而不需要对IP地址或者默认网关做修改。大二层网络架构,L2/L3分界在核心交换机,核心交换机以下,也就是整个数据中心,是L2网络(当然,可以包含多个VLAN,VLAN之间通过核心交换机做路由进行连通)。大二层的网络架构如下图所示:&/p&&figure&&img src=&https://pic3.zhimg.com/v2-c5e31e52e4bc4326ebeb3cd4ac56b8ea_b.jpg& data-caption=&& data-rawwidth=&384& data-rawheight=&192& class=&content_image& width=&384&&&/figure&&p&大二层网络架构虽然使得虚机网络能够灵活创建,但是带来的问题也是明显的。共享的L2广播域带来的BUM(Broadcast·,Unknown Unicast,Multicast)风暴随着网络规模的增加而明显增加,最终将影响正常的网络流量。&/p&&p&传统三层网络架构已经存在几十年,并且现在有些数据中心中仍然使用这种架构。这种架构提出的最初原因是什么?一方面是因为早期L3路由设备比L2桥接设备贵得多。即使是现在,核心交换机也比汇聚接入层设备贵不少。采用这种架构,使用一组核心交换机可以连接多个汇聚层POD,例如上面的图中,一对核心交换机连接了多个汇聚层POD。另一方面,&b&早期的数据中心,大部分流量是南北向流量&/b&。例如,一个服务器上部署了WEB应用,供数据中心之外的客户端使用。使用这种架构可以在核心交换机统一控制数据的流入流出,添加负载均衡器,为数据流量做负载均衡等。&/p&&h2&&b&技术发展对网络架构的影响&/b&&/h2&&p&数据中心是为了数据服务。随着技术的发展,数据的内容和形式也发生了变化。&/p&&ul&&li&虚拟化的流行。传统的数据中心中,服务器的利用率并不高,采用三层网络架构配合一定的超占比(oversubscription),能够有效的共享利用核心交换机和一些其他网络设备的性能。但是虚拟化的流行使得服务器的利用率变高,一个物理服务器可以虚拟出多个虚拟机,分别运行各自的任务,走自己的网络路径。因此,高的服务器利用率要求更小的超占比。Gartner的一份报告:&a href=&https://link.zhihu.com/?target=https%3A//www.gartner.com/doc/2911617/forecast-x-server-virtualization-worldwide& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Forecast: x86 Server Virtualization, Worldwide, , 2014 Update&/a&指出,在2018年,82%的服务器将是虚拟服务器。虚拟化对数据中心网络架构的影响是巨大的。&/li&&li&软件架构的解耦。传统的软件架构,采用专用模式进行部署,软件系统通常跑在一个物理服务器,与其他的系统做物理隔离。但是,模块化,分层的软件架构设计已经成为了现在的主流。一个系统的多个组件通常分布在多个虚机/容器中。最典型的就是三层WEB应用,包含了Client/Application/DB。一次请求,不再是由一个虚机/物理机完成,而是由多个服务器协同完成。这对网络的影响是,东西向流量变多了。&/li&&li&新的应用的兴起。传统数据中心是为.com应用设计的,这些流量大多是客户端和服务器之间的通信。而分布式计算,大数据渐渐兴起,这些应用会在数据中心的服务器之间产生大量的流量。例如Hadoop,将数据分布在数据中心中成百上千个服务器中,进行并行计算。据说Facebook的一个Hadoop集群有着超过100 petabytes的数据。可见对于某些应用,数据中心的东西向流量是巨大的。&/li&&li&软件定义数据中心(SDDC,Software Defined Data Center)的提出。SDDC提出软件定义的数据中心,这要求数据中心的计算存储网络都是可以软件定义的。对应于网络,就是SDN。传统的三层网络架构在设计之初并没有考虑SDN。&/li&&/ul&&p&总结起来,&b&技术发展要求新的数据中心有更小的超占比,甚至没有超占比;更高的东西向流量带宽;支持SDN。&/b&&/p&&p&在这些需求里面,更高的东西向流量支持尤为重要。前面说了南北向流量,东西向流量,这些分别是什么东东?数据中心的流量总的来说可以分为以下几种:&/p&&ul&&li&南北向流量:数据中心之外的客户端到数据中心服务器之间的流量,或者数据中心服务器访问互联网的流量。&/li&&li&东西向流量:数据中心内的服务器之间的流量。&/li&&li&跨数据中心流量:跨数据中心的流量,例如数据中心之间的灾备,私有云和公有云之间的通讯。&/li&&/ul&&p&根据&a href=&https://link.zhihu.com/?target=https%3A//www.cisco.com/c/dam/en/us/solutions/collateral/service-provider/global-cloud-index-gci/white-paper-c11-738085.pdf& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Cisco Global Cloud Index: Forecast and Methodology, &/a&,到2020年77%的数据中心流量将会是数据中心内部的流量,也就是东西向流量,这与上面的技术发展对网络架构的影响分析相符,这也是为什么东西向流量尤其重要。&/p&&figure&&img src=&https://pic1.zhimg.com/v2-52fbd68d985ae4ee95ae26_b.jpg& data-caption=&& data-rawwidth=&667& data-rawheight=&292& class=&origin_image zh-lightbox-thumb& width=&667& data-original=&https://pic1.zhimg.com/v2-52fbd68d985ae4ee95ae26_r.jpg&&&/figure&&p&那传统三层网络架构下的东西向流量是怎么样的?&/p&&p&前面说过传统三层网络架构的诞生是在.com时代,主要是也为了南北向流量设计的。但是传统的网络架构并非不支持东西向流量,下面来分析一下传统三层网络架构中东西向流量走向。&/p&&p&首先,东西向流量分为L2和L3流量。&/p&&p&东西向的L2流量,如果源和目的主机都在同一个接入层交换机下,那么可以达到全速,因为接入交换机就能完成转发。&/p&&p&如果需要跨机架,但仍然是在一个汇聚层POD内,则需要通过汇聚层交换机进行转发,带宽取决于汇聚层交换机的转发速率,端口带宽和同时有多少个接入层交换机共享汇聚层交换机。前面说过汇聚层和接入层之间一般使用STP,这使得一个汇聚层POD只能有一个汇聚层交换机在工作。为了满足跨机架的L2转发,汇聚层交换机的性能,例如带宽,转发速率必然要大于接入层交换机。&/p&&p&如果L2流量需要跨汇聚层POD(大二层架构),那必须经过核心交换机。同样的问题仍然存在,对核心交换机的要求会更高。&/p&&p&东西向的L3流量,不论是不是在一个接入层交换机下,都需要走到具有L3功能的核心交换机才能完成转发。如下图所示:&/p&&figure&&img src=&https://pic4.zhimg.com/v2-314d7df3eefdd3a3afbbfcbf3426aa66_b.jpg& data-caption=&& data-rawwidth=&310& data-rawheight=&280& class=&content_image& width=&310&&&/figure&&p&这是一种发卡(hair-pin)流量,它不仅浪费了宝贵的核心交换机资源,而且多层的转发增加了网络传输的延时。同样,由于超占比的存在,它也不能保证全速的L3流量。&/p&&p&总的来说,为了保证任意的东西向流量带宽,势必需要更高性能的汇聚层交换机和核心交换机。另一方面,也可以小心的进行设计,尽量将有东西向流量的服务器置于同一个接入交换机下。不管怎么样,这都增加了成本,降低了可用性。&/p&&h2&&b&市场需求变化对网络架构的影响&/b&&/h2&&p&由于成本和运维因素,数据中心一般是大企业才有能力部署。但是随着技术的发展,一些中小型企业也需要部署数据中心。不同的是,中小型企业的需求一般是,以一个小规模启动,随着自身业务的增长再逐步的扩展数据中心。数据中心的规模很大程度上取决于网络的规模,对应网络的需求就是,以一个低成本,小规模的网络架构启动,但是要能够水平扩展到较大规模。&/p&&p&传统三层网络架构的规模取决于核心层设备的性能和规模,取决于交换机的端口密度。最大的数据中心对应着体积最大和性能最高的网络设备,这种规模的设备并非所有的网络设备商都能提供,并且对应的资金成本和运维成本也较高。采用传统三层网络架构,企业将面临成本和可扩展性的两难选择。&/p&&h2&&b&最后&/b&&/h2&&p&传统的三层网络架构必然不会在短期内消失,但是由于技术和市场的发展,其短板也越来越明显。基于现有网络架构的改进显得非常有必要,新的网络架构最好是:由相对较小规模的交换机构成,可以方便的水平扩展,较好的支持HA(active-active模式),支持全速的东西向流量,不采购高性能的核心交换机也能去除超占比,支持SDN等等。&/p&
不论我们在讨论SDN,NFV或者其他的虚拟网络技术,有一点需要明确,网络数据包最终都是跑在物理网络上。物理网络的特性,例如带宽,MTU,延时等,最终直接或者间接决定了虚拟虚拟网络的特性。可以说物理网络决定了虚拟网络的“天花板”。在Mirantis对
&figure&&img src=&https://pic1.zhimg.com/v2-23e15facbbecc8252fb9d_b.jpg& data-rawwidth=&549& data-rawheight=&321& class=&origin_image zh-lightbox-thumb& width=&549& data-original=&https://pic1.zhimg.com/v2-23e15facbbecc8252fb9d_r.jpg&&&/figure&&figure&&img src=&http://pic1.zhimg.com/v2-7daa577d8baf358bbb9ebc_b.png& data-rawwidth=&645& data-rawheight=&235& class=&origin_image zh-lightbox-thumb& width=&645& data-original=&http://pic1.zhimg.com/v2-7daa577d8baf358bbb9ebc_r.png&&&/figure&计算机网络相关的知识点是在面试过程中开发者经常被问到。当然可能这一块知识点与前面的操作系统、数据库相比较比重可能没那么高。但是优秀的你,一定是想做好充分的准备吧!&p&欢迎点击去往常见面试题整理的前两篇:&/p&&a href=&https://zhuanlan.zhihu.com/p/?refer=passer& class=&internal&&常见面试题整理--操作系统篇&/a&&br&&a class=&internal& href=&https://zhuanlan.zhihu.com/p/?refer=passer&&常见面试题整理--数据库篇&/a&&br&&p&&figure&&img src=&http://pic1.zhimg.com/v2-89bddd0200f7aafab8fd5c_b.png& data-rawwidth=&549& data-rawheight=&321& class=&origin_image zh-lightbox-thumb& width=&549& data-original=&http://pic1.zhimg.com/v2-89bddd0200f7aafab8fd5c_r.png&&&/figure&(一)请简述TCP\UDP的区别&/p&&p&TCP和UDP是OSI模型中的运输层中的协议。TCP提供可靠的通信传输,而UDP则常被用于让广播和细节控制交给应用的通信传输。&br&&/p&&p&两者的区别大致如下:&/p&&ul&&li&TCP面向连接,UDP面向非连接即发送数据前不需要建立链接&/li&&li&TCP提供可靠的服务(数据传输),UDP无法保证&/li&&li&TCP面向字节流,UDP面向报文&/li&&li&TCP数据传输慢,UDP数据传输快&/li&&/ul&&p&如果还不是太了解这两者的区别,点击阅读:&a href=&http://link.zhihu.com/?target=http%3A//blog.csdn.net/yipiankongbai/article/details/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&TCP与UDP的区别 - yipiankongbai的专栏&/a&&/p&&p&(二)请简单说一下你了解的端口及对应的服务?&/p&&p&&figure&&img src=&http://pic1.zhimg.com/v2-e584c505eb52c8f3c02c9770_b.png& data-rawwidth=&443& data-rawheight=&232& class=&origin_image zh-lightbox-thumb& width=&443& data-original=&http://pic1.zhimg.com/v2-e584c505eb52c8f3c02c9770_r.png&&&/figure&了解更多的端口,点击阅读:&a href=&http://link.zhihu.com/?target=http%3A//blog.sina.com.cn/s/blog_66ea0e.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&常用端口号与对应的服务以及端口关闭&/a&&/p&&br&&p&(三)说一说TCP的三次握手&/p&&p&在TCP/IP协议中,TCP协议提供可靠的连接服务,连接是通过三次握手进行初始化的。三次握手的目的是同步连接双方的序列号和确认号并交换 TCP窗口大小信息。&br&&/p&&p&下面详细说一下三次握手(来自&a href=&http://link.zhihu.com/?target=http%3A//www.jellythink.com/archives/705& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&简析TCP的三次握手与四次分手&/a&)&/p&&figure&&img src=&http://pic1.zhimg.com/v2-afdab8207d64_b.jpg& data-rawwidth=&875& data-rawheight=&976& class=&origin_image zh-lightbox-thumb& width=&875& data-original=&http://pic1.zhimg.com/v2-afdab8207d64_r.jpg&&&/figure&&figure&&img src=&http://pic3.zhimg.com/v2-2f38fb35dff4a5cc9f3222_b.png& data-rawwidth=&593& data-rawheight=&263& class=&origin_image zh-lightbox-thumb& width=&593& data-original=&http://pic3.zhimg.com/v2-2f38fb35dff4a5cc9f3222_r.png&&&/figure&&p&更加深入的了解TCP的三次握手与四次分手:&a href=&http://link.zhihu.com/?target=http%3A//www.jellythink.com/archives/705& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&简析TCP的三次握手与四次分手&/a&&/p&&br&&p&(四)有哪些私有(保留)地址?&/p&&ul&&li&A类:10.0.0.0 - 10.255.255.255&br&&/li&&li&B类:172.16.0.0 - 172.31.255.255&/li&&li&C类:192.168.0.0 - 192.168.255.255&/li&&/ul&&br&&p&(五)IP地址分为哪几类?简单说一下各个分类&/p&&figure&&img src=&http://pic3.zhimg.com/v2-4ffe278f5caa_b.png& data-rawwidth=&681& data-rawheight=&234& class=&origin_image zh-lightbox-thumb& width=&681& data-original=&http://pic3.zhimg.com/v2-4ffe278f5caa_r.png&&&/figure&&p&IPv6 -- 采用128bit,首部固定部分为40字节。&/p&&p&(六)在浏览器中输入网址之后执行会发生什么?&/p&&br&&ul&&li&查找域名对应的IP地址。这一步会依次查找浏览器缓存,系统缓存,路由器缓存,ISPNDS缓存,根域名服务器&/li&&li&浏览器向IP对应的web服务器发送一个HTTP请求&br&&/li&&li&服务器响应请求,发回网页内容&br&&/li&&li&浏览器解析网页内容&br&&/li&&/ul&&br&更加详细的一种说法(以百度为例)(来自&a href=&http://link.zhihu.com/?target=https%3A//www.nowcoder.com/discuss/1937& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&计算机网络之面试常考 - 牛客网&/a&)&br&&figure&&img src=&http://pic2.zhimg.com/v2-99bc5fa53acca200f564b0bd69d1bb41_b.png& data-rawwidth=&586& data-rawheight=&383& class=&origin_image zh-lightbox-thumb& width=&586& data-original=&http://pic2.zhimg.com/v2-99bc5fa53acca200f564b0bd69d1bb41_r.png&&&/figure&&br&如果你想要更加深入的了解这个过程,点击阅读:&a href=&http://link.zhihu.com/?target=http%3A//www.itmian4.com/forum.php%3Fmod%3Dviewthread%26tid%3D1655%26fromuid%3D1931& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&从输入网址到显示网页的全过程分析&/a&&br&&p&(七)简单解释一些ARP协议的工作过程&/p&&figure&&img src=&http://pic1.zhimg.com/v2-6c73a236adcb62465c3aec_b.png& data-rawwidth=&600& data-rawheight=&375& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&http://pic1.zhimg.com/v2-6c73a236adcb62465c3aec_r.png&&&/figure&&p&以上的说明解释来自(&a href=&http://link.zhihu.com/?target=http%3A//blog.csdn.net/shadowkiss/article/details/6552144& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&思想时光机&/a&),如果你想了解:&a href=&http://link.zhihu.com/?target=http%3A//blog.csdn.net/microtong/article/details/3029931& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&ARP协议工作原理&/a&&br&&/p&&p&(八)说一说OSI七层模型&/p&&p&了解OSI七层模型,请点击阅读:&a href=&http://link.zhihu.com/?target=http%3A//blog.csdn.net/yaopeng_2005/article/details/7064869& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&OSI七层模型详解&/a& (下面的图片来自啊该网址)&/p&&p&&figure&&img src=&http://pic3.zhimg.com/v2-2afcbc12cd82cde_b.jpg& data-rawwidth=&1120& data-rawheight=&1587& class=&origin_image zh-lightbox-thumb& width=&1120& data-original=&http://pic3.zhimg.com/v2-2afcbc12cd82cde_r.jpg&&&/figure&(九)说一说TCP/IP四层模型&/p&&p&如果你不了解,请直接点击阅读:&a class=& wrap external& href=&http://link.zhihu.com/?target=http%3A//www.cnblogs.com/BlueTzar/articles/811160.html& target=&_blank& rel=&nofollow noreferrer&&TCP/IP四层模型&/a&&/p&&p&(十)HTTP 协议包括哪些请求?&/p&&ul&&li&GET:对服务器资源的简单请求&/li&&li&POST:用于发送包含用户提交数据的请求&/li&&/ul&&p&------------以及------------&/p&&ul&&li&HEAD:类似于GET请求,不过返回的响应中没有具体内容,用于获取报头&/li&&li&PUT:传说中请求文档的一个版本&/li&&li&DELETE:发出一个删除指定文档的请求&/li&&li&TRACE:发送一个请求副本,以跟踪其处理进程&/li&&li&OPTIONS:返回所有可用的方法,检查服务器支持哪些方法&/li&&li&CONNECT:用于ssl隧道的基于代理的请求&/li&&/ul&&p&(十一)简述HTTP中GET和POST的区别&/p&&p&从原理性看:&/p&&ul&&li&根据HTTP规范,GET用于信息获取,而且应该是安全和幂等的&/li&&li&根据HTTP规范,POST请求表示可能修改服务器上资源的请求&/li&&/ul&&br&&p&从表面上看:&br&&/p&&ul&&li&GET请求的数据会附在URL后面,POST的数据放在HTTP包体&/li&&li&POST安全性比GET安全性高&/li&&/ul&&br&&p&本文参考文献资料目录:&/p&&a href=&http://link.zhihu.com/?target=http%3A//blog.chinaunix.net/uid--id-362682.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&计算机网络面试题 - 知识的海洋&/a&&br&&a href=&http://link.zhihu.com/?target=http%3A//blog.sina.com.cn/s/blog_a1aaferx.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&& HTTP协议请求的几种方式&/a&&br&&a href=&http://link.zhihu.com/?target=http%3A//www.cnblogs.com/hyddd/archive//1426026.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&浅谈HTTP中Get与Post的区别&/a&&br&&a href=&http://link.zhihu.com/?target=http%3A//blog.csdn.net/insistgogo/article/details/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&计算机网络面试题 - 思考,思考,再思考~&/a&&br&&a href=&http://link.zhihu.com/?target=http%3A//blog.csdn.net/shadowkiss/article/details/6552144& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&计算机网络面试题 - 思想时光机&/a&&b&学习编程,欢迎关注专栏:&a href=&https://zhuanlan.zhihu.com/passer& class=&internal&&学习编程 - 知乎专栏&/a&&/b&
计算机网络相关的知识点是在面试过程中开发者经常被问到。当然可能这一块知识点与前面的操作系统、数据库相比较比重可能没那么高。但是优秀的你,一定是想做好充分的准备吧!欢迎点击去往常见面试题整理的前两篇:
&p&亲测,win10完美运行eNSP,当然也折腾了几个小时,当初总结的文档如下:&/p&&blockquote&&b&1. 其实我想告诉你,最好的方法就是百度;&/b& &br&&b&2. 附上解决问题的思路,给你一点启发,怎么解决问题。&/b&&/blockquote&&p&########################################################################&/p&&p&我的电脑系统:win10专业版 @2016&/p&&p&今天去官网下载了华为最新的模拟器(2017年2月更新版本)各种折腾、报错,最后终于解决了。&/p&&p&下载下来是个ZIP压缩包,eNSP_V100R002C00B500_Setup.zip,直接双击,下一步下一步,安装后,错误代码40,照着华为帮助手册折腾了好久,还是不行啊!!!!!&/p&&figure&&img src=&https://pic4.zhimg.com/v2-aa403b43bcea22bcfaac72eb51bb6ce7_b.jpg& data-rawwidth=&361& data-rawheight=&173& class=&content_image& width=&361&&&/figure&&p&我首先想到如下几个原因:&/p&&ol&&li&是不是需要将压缩包解压,右键管理员身份运行;&/li&&li&是不是必须安装在C盘;&/li&&li&是不是软件启动没有右键管理员身份运行;&/li&&li&是不是需要设置以win7兼容性运行。&/li&&/ol&&p&&br&&/p&&p&&b&
我都捣腾了一遍,还是不行!!!!!&/b&&/p&&p&&br&&/p&&p&于是开始了漫长的BAIDU之旅,网上说40故障是由于AR显存不足,解决方案:用记事本打开安装目录下D:\Program Files\Huawei\eNSP\vboxserver\ARBaseBackup\AR_Base中的AR_Base.vbox文件,将Display VRAMSize后面的值由1改成8,即修改AR模版的显存为8MB ,然后保存,重新打开eNSP。故障40解决了,但还是有问题:故障41。(注:我安装在D盘,如果安装C盘请自己调整)&/p&&figure&&img src=&https://pic1.zhimg.com/v2-bcf9ac32d3d6db8d092a1ea1be61a5ec_b.jpg& data-rawwidth=&494& data-rawheight=&275& class=&origin_image zh-lightbox-thumb& width=&494& data-original=&https://pic1.zhimg.com/v2-bcf9ac32d3d6db8d092a1ea1be61a5ec_r.jpg&&&/figure&&p&&br&&/p&&p&故障41,对照华为帮助手册,应该是没注册,去注册发现始终注册不成功。帮助手册提示,需要打开virtualbox去删一些东西,蛋疼的是virtualbox软件虽然成功安装了,死活打不开!!!!!(管理员权限/兼容模式/重装都试过)&/p&&p&最后没辙,下载了一个新版virtualbox:VirtualBox-5.1.12-112440-Win,装上重新注册,OK,一切正常。&/p&&figure&&img src=&https://pic2.zhimg.com/v2-4ffa98bf7d59aecbf401_b.jpg& data-rawwidth=&369& data-rawheight=&172& class=&content_image& width=&369&&&/figure&&p&&br&&/p&&blockquote&&b&总结:官网下载的安装包自带eNSP和virtualbox&/b& &/blockquote&&p&1. Win10环境需要手动调整AR模版的显存,否则报错40;&/p&&p&2. 如果打不开virtualbox,手动下载新版virtualbox,直接安装覆盖老版本即可;&/p&&p&(感觉win10与eNSP安装包自带的virtalbox兼容性有问题)&/p&&p&3. 完成1、2步,注册设备即可正常使用。&/p&&p&&br&&/p&&figure&&img src=&https://pic3.zhimg.com/v2-71b50f89d8c7a0ec3a73ed2e_b.jpg& data-rawwidth=&481& data-rawheight=&341& class=&origin_image zh-lightbox-thumb& width=&481& data-original=&https://pic3.zhimg.com/v2-71b50f89d8c7a0ec3a73ed2e_r.jpg&&&/figure&
亲测,win10完美运行eNSP,当然也折腾了几个小时,当初总结的文档如下:1. 其实我想告诉你,最好的方法就是百度; 2. 附上解决问题的思路,给你一点启发,怎么解决问题。########################################################################我的电脑…
&figure&&img src=&https://pic3.zhimg.com/v2-d2ac6f7b6de4217200cbfc_b.jpg& data-rawwidth=&450& data-rawheight=&361& class=&origin_image zh-lightbox-thumb& width=&450& data-original=&https://pic3.zhimg.com/v2-d2ac6f7b6de4217200cbfc_r.jpg&&&/figure&&h2&&b&DNS相关概念简介&/b&&/h2&&p&DNS(Domain Name System)是Internet的重要组成部分,它的核心是为IP地址提供一个更易记住的名字。Internet上的大部分服务都会用到DNS,例如:访问网站,发送邮件,登录软件系统,玩游戏,网络聊天等。浏览器通过域名访问网站的实际过程如下图所示。&/p&&figure&&img src=&https://pic1.zhimg.com/v2-c1bff0fb46b_b.jpg& data-rawwidth=&399& data-rawheight=&212& class=&content_image& width=&399&&&/figure&&p&DNS从1985年开始被使用。但是为IP地址提供一个更易记住的名字可以追溯到ARPANET(Internet前身)时代。最早的ARPANET网络通过一个hosts.txt文件管理地址和hostname的关系,用户需要DNS服务,就从一个ftp下载host.txt文件到本地。最开始的网络中也就几百台计算机,这种方法没什么问题。但是随着网络的增加,文件存储的方式不能满足规模的要求。为了适应日益增长的网络规模,DNS被提出。不过host.txt文件被保留下来了,这就是我们日常熟悉的hosts文件,Linux在/etc/hosts,Windows在 C:/Windows/System32/Drivers/etc/hosts。在现代的计算机中,当请求Domain name(域名)解析时,还是先查找计算机的hosts文件,如果hosts文件没有相应的记录,才会触发DNS请求。&/p&&p&作为host.txt的改进方案,DNS本质上是一个Internet上的域名和IP地址相互映射的分布式数据库。数据库以树形结构存在,如下图所示:&/p&&figure&&img src=&https://pic2.zhimg.com/v2-8bd46c33feaf71be0d448c35d6d163cb_b.jpg& data-rawwidth=&361& data-rawheight=&181& class=&content_image& width=&361&&&/figure&&p&树中每个节点都有自己的标签,根节点有个特殊的标签“.”。树结构中一条路径中所有节点的标签构成了DNS域名。这与Unix文件系统路径类似,区别在于Unix文件系统路径将根节点放在前面,而DNS域名反过来了,将根节点放在了最后。例如,图中host完整的域名是:“eos.cs.berkeley.edu.”,越靠近根节点ROOT的标签在右,越靠近服务器的标签在左。注意,一个完整的域名,是以根节点标签“.”结束。&/p&&h2&&b&DNS zone&/b&&/h2&&p&Zone是DNS树中的子树。Zone本身可以划分成更小的Zone。前面说过DNS的结构与Unix文件系统类似,相应的Zone与Unix文件系统中的磁盘分区类似。我们无法从DNS域名看出当前域名在哪个Zone,就像很难根据Unix文件路径,看出当前目录在哪个磁盘分区一样。在DNS树形结构中,Zone可以用下图来描述。&br&&/p&&figure&&img src=&https://pic3.zhimg.com/v2-347a7b44ddcd3d6936c4b_b.jpg& data-rawwidth=&381& data-rawheight=&298& class=&content_image& width=&381&&&/figure&&p&DNS Zone通常由一个或者多个DNS server管理,一个DNS server也可以管理多个Zone。如下图所示:&/p&&figure&&img src=&https://pic3.zhimg.com/v2-1b719afca15f47cf5af730_b.jpg& data-rawwidth=&1100& data-rawheight=&795& class=&origin_image zh-lightbox-thumb& width=&1100& data-original=&https://pic3.zhimg.com/v2-1b719afca15f47cf5af730_r.jpg&&&/figure&&p&DNS与传统的hosts.txt方式的区别在于,通过Zone的划分,将庞大的DNS记录划分成了一个个小块,从而解决数据庞大,不易管理的问题。所以DNS Zone本质上是DNS记录的集合。DNS记录被称为Resource Record(RR)。RR有很多种类型。常见的有以下几种:&/p&&ul&&li&A:域名与IPv4地址的对应&/li&&li&AAAA:域名与IPv6地址的对应&/li&&li&PTR:域名与IP地址的对应,区别是A或者AAAA是通过域名获得IP地址,PTR可以通过IP地址获得域名。&/li&&li&CNAME:记录一个域名与另一个域名的对应关系。&/li&&li&NS:为当前Zone指定一个DNS server。&/li&&li&SOA:包含Zone的一些信息,例如首要的DNS server,管理员邮箱地址,更新时间等。&/li&&/ul&&h2&&b&DNS工作过程&/b&&/h2&&p&这部分介绍DNS工作过程,首先看一下日常中经常接触的DNS server。DNS server大体上可以分为两类。&/p&&ul&&li&一类是管理DNS zone的DNS server,称为Authoritative DNS server。这些DNS Server只掌握了一个或者多个DNS zone的信息,不能为我们提供整个互联网的DNS信息。&/li&&li&另一类是Cache DNS server。这类DNS server不管理DNS zone,但是连接Authoritative DNS server,并且缓存从Authoritative DNS Server获取的信息。最典型的就是谷歌的8.8.8.8。&/li&&/ul&&p&假设我的电脑配置的DNS server是8.8.8.8,我需要访问&a href=&http://www.zhihu.com& class=&internal&&&span class=&invisible&&http://www.&/span&&span class=&visible&&zhihu.com&/span&&span class=&invisible&&&/span&&/a&,首先我的电脑要获取&a href=&http://www.zhihu.com& class=&internal&&&span class=&invisible&&http://www.&/span&&span class=&visible&&zhihu.com&/span&&span class=&invisible&&&/span&&/a&的IP地址,需要经过下面所示的步骤:&br&&/p&&figure&&img src=&https://pic3.zhimg.com/v2-5fe1e9dcc0d6c5826b81_b.jpg& data-rawwidth=&438& data-rawheight=&583& class=&origin_image zh-lightbox-thumb& width=&438& data-original=&https://pic3.zhimg.com/v2-5fe1e9dcc0d6c5826b81_r.jpg&&&/figure&&ol&&li&向8.8.8.8请求获取&a href=&http://www.zhihu.com& class=&internal&&&span class=&invisible&&http://www.&/span&&span class=&visible&&zhihu.com&/span&&span class=&invisible&&&/span&&/a&的IP地址。如果8.8.8.8包含了&a href=&http://www.zhihu.com& class=&internal&&&span class=&invisible&&http://www.&/span&&span class=&visible&&zhihu.com&/span&&span class=&invisible&&&/span&&/a&的IP地址记录,则直接跳到步骤8。&/li&&li&8.8.8.8所在的Cache DNS server并没有&a href=&http://www.zhihu.com& class=&internal&&&span class=&invisible&&http://www.&/span&&span class=&visible&&zhihu.com&/span&&span class=&invisible&&&/span&&/a&的记录,所以它向Authoritative DNS server请求数据。首先发往Root DNS server,这是全球共有的13个逻辑服务器,每一个是由一个集群构成。&/li&&li&Root DNS server实际上没有&a href=&http://www.zhihu.com& class=&internal&&&span class=&invisible&&http://www.&/span&&span class=&visible&&zhihu.com&/span&&span class=&invisible&&&/span&&/a&的记录,也不可能有,因为全球的DNS记录不可能集中在一起,这在性能上是不能接受的,并且这样就跟之前的hosts.txt文件也没有区别了。不过由于需要解析的是&a href=&http://www.zhihu.com& class=&internal&&&span class=&invisible&&http://www.&/span&&span class=&visible&&zhihu.com&/span&&span class=&invisible&&&/span&&/a&,Root DNS server知道如何到达“.com”的DNS Server,也就是TLD(Top-Level Domain)DNS server。因此将TLD DNS server的信息也就是“.com”的DNS server地址发送给8.8.8.8。&/li&&li&8.8.8.8收到了TLD DNS server的地址之后,继续向“.com” 的DNS server请求数据。&/li&&li&TLD DNS server 仍然没有&a href=&http://www.zhihu.com& class=&internal&&&span class=&invisible&&http://www.&/span&&span class=&visible&&zhihu.com&/span&&span class=&invisible&&&/span&&/a&的信息,但是TLD DNS Server知道&a href=&http://zhihu.com& class=&internal&&&span class=&invisible&&http://&/span&&span class=&visible&&zhihu.com&/span&&span class=&invisible&&&/span&&/a&的DNS server,于是TLD DNS Server将&a href=&http://zhihu.com& class=&internal&&&span class=&invisible&&http://&/span&&span class=&visible&&zhihu.com&/span&&span class=&invisible&&&/span&&/a&的DNS server地址发送给8.8.8.8。&/li&&li&8.8.8.8收到了DNS server地址之后,继续向&a href=&http://zhihu.com& class=&internal&&&span class=&invisible&&http://&/span&&span class=&visible&&zhihu.com&/span&&span class=&invisible&&&/span&&/a&的DNS server请求数据。&/li&&li&管理&a href=&http://zhihu.com& class=&internal&&&span class=&invisible&&http://&/span&&span class=&visible&&zhihu.com&/span&&span class=&invisible&&&/span&&/a&的Authoritative DNS server有&a href=&http://www.zhihu.com& class=&internal&&&span class=&invisible&&http://www.&/span&&span class=&visible&&zhihu.com&/span&&span class=&invisible&&&/span&&/a&的记录,于是将对应的IP地址发送给8.8.8.8。&/li&&li&8.8.8.8拿到了&a href=&http://www.zhihu.com& class=&internal&&&span class=&invisible&&http://www.&/span&&span class=&visible&&zhihu.com&/span&&span class=&invisible&&&/span&&/a&对应的IP地址,首先记录在本地缓存,这样下次不用再走一遍234567,接着将IP地址发送给请求主机。&/li&&li&主机拿到IP地址之后,向IP地址所在的Server发送实际的HTTP请求。&/li&&/ol&&p&这里的1-8实际上就是第一幅图中的步骤1,2的详细版。&/p&&p&好了,DNS的工作过程大概如此,接下来看一下,如何为OpenStack中的虚机提供DNS服务。OpenStack中的虚机DNS服务,可以分为两个部分:一个是Internal DNS service,另一个是External DNS service。Internal DNS service由Neutron DHCP Service完成,External DNS service由OpenStack Designate项目实现。&/p&&h2&&b&OpenStack Neutron DHCP Service&/b&&/h2&&p&Neutron DHCP Service默认是由&a href=&https://link.zhihu.com/?target=https%3A//wiki.archlinux.org/index.php/Dnsmasq_%28%25E7%25AE%%25BD%%25B8%25AD%25E6%& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&dnsmasq&/a&进程实现,dnsmasq同时提供了DNS服务和DHCP服务。它的DHCP服务在OpenStack Neutron中应用广泛,相应的,其提供的DNS服务知名度不那么高。OpenStack Neutron DHCP service是以tenant network为单位提供服务的,也就是说每个tenant network都有独立的DHCP service,独立的dnsmasq进程。那么相应的,&b&Neutron DHCP service提供的DNS service也只能在tenant network范围内。&/b&默认情况下,DHCP service会通过DHCP协议,将dnsmasq的管理端口地址(也就是DHCP Server地址)作为虚机的DNS Server写入虚机。在每个dnsmasq的配置文件中(存放于state_path中),会静态的记录虚机的hostname与IP地址的对应。这样,当虚机请求DNS解析的时候,dnsmasq可以从静态的配置文件中获取对应的解析记录,并回送给虚机。&/p&&p&相应的配置项有:&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&/etc/neutron/neutron.conf
# Domain to use for building the hostnames (string value)
dns_domain = test.org.
&/code&&/pre&&/div&&p&虚机的FQDN(Full Qualified Domain Name),默认是由虚机名加上这里配置的dns_domain构成。部署完虚机之后,在虚机内ping同一个tenant network下的其他虚机,可以得到如下响应。&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&ubuntu@vm6:~$ ping vm5.test.org
PING vm5.test.org (192.168.1.9) 56(84) bytes of data.
64 bytes from vm5.test.org (192.168.1.9): icmp_seq=1 ttl=64 time=95.5 ms
64 bytes from vm5.test.org (192.168.1.9): icmp_seq=2 ttl=64 time=0.802 ms
64 bytes from vm5.test.org (192.168.1.9): icmp_seq=3 ttl=64 time=0.737 ms
64 bytes from vm5.test.org (192.168.1.9): icmp_seq=4 ttl=64 time=0.730 ms
&/code&&/pre&&/div&&p&不过,因为只能同一个租户网络内部主机之间域名解析,Internal DNS service在OpenStack中的应用,并不是很多。&/p&&h2&&b&OpenStack Designate&/b&&/h2&&p&Neutron DHCP service提供的DNS服务,存在两个问题:一是只能在tenant network内使用,无法在整个OpenStack下使用,另一个是在OpenStack之外,无法使用其提供的域名访问虚机。因此,接下来要介绍OpenStack中的External DNS service:Designate。项目的介绍可以在其&a href=&https://link.zhihu.com/?target=https%3A//docs.openstack.org/designate/latest/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&wiki&/a&上找到。Designate号称是一个DNSaaS的项目(这年头不把自己叫做as a Service就不舒服)。但是&b&Designate并没有实现DNS协议,而是管理了实现DNS协议的软件,例如BIND9,PowerDNS等&/b&。Designate将这些软件与OpenStack连接了起来,通过一套自己提供的API,控制底层的DNS软件,完成例如创建DNS Zone,写入Resource Record等DNS操作。所以,Designate本身只是一个软件框架,一个适配多种DNS软件的软件框架。本文将不会对Designate的架构做介绍,也不会贴一段代码来解释它的实现,接下来的介绍将更偏向于应用。&/p&&p&接下来所有的内容都是基于Pike版本代码()完成。&/p&&h2&&i&devstack安装&/i&&/h2&&p&用devstack安装Designate比较简单,只需要在local.conf文件中增加下面内容,再执行./stack.sh即可,这里我用的是bind9作为DNS后端实现。&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&# Enable designate
enable_plugin designate https://git.openstack.org/openstack/designate
DESIGNATE_BACKEND_DRIVER=bind9
&/code&&/pre&&/div&&h2&&i&与Neutron/Nova集成&/i&&/h2&&p&在OpenStack Mitaka版本之前,Designate只是一个独立的DNS软件接口,如果用户需要新增DNS记录,可以调用Designate API完成写入。如果你本身就熟悉BIND9的操作,那Designate的意义不是那么的明显。在Mitaka版本,Designate与OpenStack Nova,Neutron做了集成,真正的将Designate与OpenStack结合在了一起,具体来说,就是将DNS记录的创建,与虚机/网络的创建关联起来,用户不再需要特意的去管理Designate中的DNS记录。&/p&&p&需要注意的是,Devstack的安装过程,不会完成所有的Neutron与Designate集成所需要的配置,为了将Designate与Nova/Neutron集成起来,还需要手动修改一些配置。仔细看的话,下面所有的DNS域名都是完整的域名,也就是会以“.”结尾。&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&/etc/neutron/neutron.conf
# Domain to use for building the hostnames (string value)
dns_domain = test.org.
# Driver for external DNS integration. (string value)
external_dns_driver = designate
[designate]
url = http://&designate-api-ip&:9001/v2
admin_auth_url = http://&keystone-api-ip&/identity
admin_username = &admin username&
admin_password = &admin password&
admin_tenant_name = &admin tenant name&
allow_reverse_dns_lookup = True
ipv4_ptr_zone_prefix_size = 24
ipv6_ptr_zone_prefix_size = 116
/etc/neutron/plugins/ml2/ml2_conf.ini
extension_drivers = port_security, dns
&/code&&/pre&&/div&&p&配置完之后,重启neutron server。接下来看看如何在Neutron中使用Designate。&/p&&h2&&i&Neutron with Designate&/i&&/h2&&p&为了集成DNS功能,Neutron创建网络时,新增了一个参数,“--dns-domain”。虽然这里指定的是DNS domain,但是对应到DNS数据的话,应该是DNS Zone。另外需要注意的是,Neutron创建网络时,如果指定了dns-domain,Neutron是认为对应的DNS Zone已经存在于Designate中,所以为了正常使用,需要先在Designate中创建DNS Zone。一个完整的流程如下所示:&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&$ openstack zone create --email
$ neutron net-create dns-net --dns-domain test.org.
$ neutron subnet-create --name dns-subnet dns-net 192.168.1.0/24
$ nova boot --image cirros-0.3.5-x86_64-disk --flavor 1 --nic net-name=dns-net vm5
&/code&&/pre&&/div&&p&到此为止,DNS似乎应该工作起来了,但是,查看Designate记录,只有默认的记录,感觉不对啊。&/p&&figure&&img src=&https://pic2.zhimg.com/v2-9d64a11f59e8b1b150cbd7_b.jpg& data-rawwidth=&1136& data-rawheight=&107& class=&origin_image zh-lightbox-thumb& width=&1136& data-original=&https://pic2.zhimg.com/v2-9d64a11f59e8b1b150cbd7_r.jpg&&&/figure&&p&其实这是正常的,因为实际上,现在创建的vm5存在于一个tenant network,默认是VXLAN网络,这个网络不能被外部直接访问。所以这个时候就算创建的DNS记录,也没有实际意义。因为解析到了的IP地址是一个虚拟的私网地址,这个IP地址不能被外界访问。OpenStack的文档是这么定义可以被外部访问的网络的:&/p&&ul&&li&The network cannot have attribute router:external set to True.&/li&&li&The network type can be FLAT, VLAN, GRE, VXLAN or GENEVE.&/li&&li&For network types VLAN, GRE, VXLAN or GENEVE, the segmentation ID must be outside the ranges assigned to tenant networks.&/li&&/ul&&p&只有满足这些条件的网络,创建在里面的虚机才会自动设置DNS记录。那对于普通tenant network中的虚机,希望使用DNS,该怎么办?通过配置FloatingIP。配置完FloatingIP,就可以通过FloatingIP访问tenant network中的虚机,这样DNS记录也有存在的意义,所以我们做如下操作:&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&$ neutron router-interface-add router1 dns-subnet
$ neutron floatingip-create public --port-id &vm-port-id&
&/code&&/pre&&/div&&p&这个时候查看Designate记录,可以看到:&/p&&figure&&img src=&https://pic4.zhimg.com/v2-d99abed0b2b6a24f4ceca9_b.jpg& data-rawwidth=&1164& data-rawheight=&120& class=&origin_image zh-lightbox-thumb& width=&1164& data-original=&https://pic4.zhimg.com/v2-d99abed0b2b6a24f4ceca9_r.jpg&&&/figure&&p&我们多了一条A类型的DNS记录,IP地址是FloatingIP地址,hostname是虚机名+虚机所在网络的dns-domain。&/p&&p&此外,查看Designate Zone列表可以发现,多了一个Zone。&/p&&figure&&img src=&https://pic1.zhimg.com/v2-ebdfe93e8bc0ef550b2e3b_b.jpg& data-rawwidth=&858& data-rawheight=&109& class=&origin_image zh-lightbox-thumb& width=&858& data-original=&https://pic1.zhimg.com/v2-ebdfe93e8bc0ef550b2e3b_r.jpg&&&/figure&&p&这个Zone是管理PTR记录用的,前面说过,PTR记录用来通过IP查找域名。因为我们刚刚在Neutron的配置中加入了这条“&i&allow_reverse_dns_lookup = True&/i&”,因此,Neutron会自动创建这个Zone,以及Zone中的RR。&/p&&figure&&img src=&https://pic3.zhimg.com/v2-968d5577fbde06c148259_b.jpg& data-rawwidth=&1284& data-rawheight=&121& class=&origin_image zh-lightbox-thumb& width=&1284& data-original=&https://pic3.zhimg.com/v2-968d5577fbde06c148259_r.jpg&&&/figure&&p&到这里为止,Designate的介绍完成了。可以看出Designate的定位是OpenStack内部的Authoritative DNS server。由于底层连接的是BIND9,PowerDNS等,也支持向上连接到TLD,将定义的DNS域名发送出去。&/p&&h2&&i&验证&/i&&/h2&&p&将Designate所在的主机IP配置到操作系统的DNS server列表中。为了省事,我直接修改了Ubuntu下的/etc/resolv.conf文件。&/p&&figure&&img src=&https://pic4.zhimg.com/v2-82e7fbaa1e_b.jpg& data-rawwidth=&585& data-rawheight=&92& class=&origin_image zh-lightbox-thumb& width=&585& data-original=&https://pic4.zhimg.com/v2-82e7fbaa1e_r.jpg&&&/figure&&p&可以看到系统已经能够完成DNS解析。&/p&&p&&/p&&p&&/p&&p&&/p&
DNS相关概念简介DNS(Domain Name System)是Internet的重要组成部分,它的核心是为IP地址提供一个更易记住的名字。Internet上的大部分服务都会用到DNS,例如:访问网站,发送邮件,登录软件系统,玩游戏,网络聊天等。浏览器通过域名访问网站的实际过程如下…
&p&在回答这个问题之前,就不得不谈谈家用无线路由器,解铃还须系铃人,问题都起源于它。&/p&&p&&b&家用路由器(比如TP-LINK,小米路由器等)就是中华田园犬,什么基因都带&/b&&/p&&ol&&li&它路由器,支持NAT功能,静态路由;&/li&&li&它是交换机,一般自带4个以太网交换口;&/li&&li&它也是无线AP,能将有线信号转换成无线;&/li&&li&它还是防火墙/行为管理,只是功能弱点,性能差点罢了。&/li&&/ol&&figure&&img src=&https://pic1.zhimg.com/v2-17a64eab0dea02c9af270_b.png& data-rawwidth=&882& data-rawheight=&467& class=&origin_image zh-lightbox-thumb& width=&882& data-original=&https://pic1.zhimg.com/v2-17a64eab0dea02c9af270_r.png&&&/figure&&p&&br&&/p&&p&&b&说完这些,你是不是觉得家用路由器,就是中华田园犬,什么基因都带,但什么都不是,所以是看家护主的好工具,别的没太大价值。毕竟,术业有专攻!&/b&&/p&&p&&br&&/p&&blockquote&&b&无线AP/胖AP/瘦AP&/b&&/blockquote&&p&无线AP:能将有线信号转换成无线的设备都可以叫无线AP,比如蓝牙/红外,但一般没有特殊说明,还是指802.11协议的无线AP,即大家耳熟能详的WIFI。&/p&&p&胖AP/瘦AP:总结一点,就是被无线控制器,即AC(Wireless &i&Ac&/i&cess Point Controller)统一管理的就是瘦AP,其余都是胖AP。&/p&&p&&br&&/p&&blockquote&&b&无线AP/胖AP/瘦AP区别和联系&/b&&/blockquote&&ul&&li&家用无线路由器就是胖AP的典型代表,什么功能都由自己完成,功能很多,都不专业,但是便宜!&/li&&li&企业级AP基本都是胖瘦一体化,可以通过命令自由切换,但谁都不会买个宝马只跑20码,所以企业级AP一般部署成瘦AP模式,通过无线控制器进行统一配置/升级、认证、网络优化等等,瘦AP除了将有线信号转换为无线之外,几乎什么都不做。&/li&&li&企业级无线部署里面:有专门的出口路由器,专业的POE交换机,专业的无线AP,专业的无线网管和认证系统,还是那个词:&b&术业有专攻&/b&。如下图:&/li&&/ul&&figure&&img src=&https://pic2.zhimg.com/v2-b0ba0ce77a28c9fe92ac9f_b.png& data-rawwidth=&1233& data-rawheight=&691& class=&origin_image zh-lightbox-thumb& width=&1233& data-original=&https://pic2.zhimg.com/v2-b0ba0ce77a28c9fe92ac9f_r.png&&&/figure&&p&&br&&/p&&p&&br&&/p&&blockquote&&b&无线WLAN国内市场概述&/b&&/blockquote&&ul&&li&家用市场:TP-Link绝对老大地位,近些年360,小米这些公司都在做,基本在200元以内,有些厂商也搞些创新出来,比如带个大硬盘,离线下载小电影等。(不折不扣的胖AP,完全不需要AC)&/li&&li&SMB市场:也就是中小市场,比如小型酒店、企业、网吧。TP-LINK有部分产品就属于这个行列,华为华三锐捷这些厂商,也有专门针对SMB产品,主要是分销或者网上自己买,项目太小,厂商是不会鸟你的。主要面对懂点技术,又不太懂,想用好的无线,钱又不够的用户。&/li&&li&企业级市场:就是行业用户啦,典型的教育无线校园网,政府无线城市,医疗无线,动辄上千AP,一个无线项目做个几百万很正常。(也就是我上面那张图)这类AP,高端型号,卖到客户端5000/台都是很常见的。&/li&&/ul&&p&&br&&/p&&blockquote&&b&企业级无线国内市场排名:(侵删)&/b& &b&前三名:华三、锐捷、华为&/b&&/blockquote&&figure&&img src=&https://pic2.zhimg.com/v2-e290baccd001e0d2812f69_b.png& data-rawwidth=&626& data-rawheight=&341& class=&origin_image zh-lightbox-thumb& width=&626& data-original=&https://pic2.zhimg.com/v2-e290baccd001e0d2812f69_r.png&&&/figure&&p&&br&&/p&&figure&&img src=&https://pic2.zhimg.com/v2-b586c6c82b2c5ed92d2d_b.jpg& data-rawwidth=&710& data-rawheight=&663& class=&origin_image zh-lightbox-thumb& width=&710& data-original=&https://pic2.zhimg.com/v2-b586c6c82b2c5ed92d2d_r.jpg&&&/figure&
在回答这个问题之前,就不得不谈谈家用无线路由器,解铃还须系铃人,问题都起源于它。家用路由器(比如TP-LINK,小米路由器等)就是中华田园犬,什么基因都带它路由器,支持NAT功能,静态路由;它是交换机,一般自带4个以太网交换口;它也是无线AP,能将有…
&figure&&img src=&https://pic2.zhimg.com/v2-85a8e5fbb9660923cdf8e_b.jpg& data-rawwidth=&979& data-rawheight=&522& class=&origin_image zh-lightbox-thumb& width=&979& data-original=&https://pic2.zhimg.com/v2-85a8e5fbb9660923cdf8e_r.jpg&&&/figure&&p&Neutron 系列文章 &a href=&http://link.zhihu.com/?target=https%3A//www.processon.com/view/link/5ab06
