- 工信部备案号 滇ICP备05000110号-1
- 滇公安备案 滇53010302000111
- 增值电信业务经营许可证 B1.B2-20181647、滇B1.B2-20190004
- 云南互联网协会理事单位
- 安全联盟认证网站身份V标记
- 域名注册服务机构许可:滇D3-20230001
- 代理域名注册服务机构:新网数码
帮助中心 >
文章搜索
- 全部(99+)
- 产品文档(99+)
- 技术知识库(99+)
- 行业资讯(99+)
-
在Ubuntu 18.04中安装MySQL 8.0
MySQL 8.0中的新增功能数据库现在合并了一个事务数据字典。支持Atomic DDL语句支持。增强安全性和账户管理。改进资源管理。InnoDB的一些增强功能。新型的备份锁。默认字符集已从latin1更改为utf8mb4。几个JSON增强。使用Unicode的国际组件(ICU)提供正则表达式支持。新的错误记录现在使用MySQL组件体系结构。MySQL复制的增强。支持公用表表达式(非递归和递归)。有一个增强的优化器。额外的窗口功能等等。第1步:添加MySQL Apt存储库幸运的是,有一个用于安装MySQL服务器,客户端和其他组件的APT存储库。 您需要将此MySQL存储库添加到您的系统的软件包源列表中; 首先从命令行使用wget工具下载存储库软件包。$ wget -c https://dev.mysql.com/get/mysql-apt-config_0.8.10-1_all.deb 然后使用以下dpkg命令安装MySQL存储库软件包。$ sudo dpkg -i mysql-apt-config_0.8.10-1_all.deb 请注意,在软件包安装过程中,系统会提示您选择MySQL服务器版本和其他组件,例如群集,共享客户端库或您要配置进行安装的MySQL工作台。MySQL服务器版本mysql-8.0将被自动选中,然后向下滚动到最后一个选项Ok并单击[Enter]完成发行包的配置和安装,如屏幕截图所示。配置MySQL APT配置第2步:在Ubuntu 18.04中安装MySQL服务器接下来,从所有配置的存储库(包括最近添加的MySQL存储库)下载最新的软件包信息。$ sudo apt update然后运行以下命令为MySQL社区服务器,客户端和数据库公用文件安装软件包。$ sudo apt-get install mysql-server在Ubuntu 18.04中安装MySQL 8.0通过安装过程,您将被要求为MySQL服务器的root用户输入密码,重新输入密码以确认并按[Enter] 。设置MySQL根密码接下来, MySQL服务器认证插件配置信息将会出现,通读它并使用右箭头选择Ok并按[Enter]继续。MySQL认证配置之后,系统会要求您选择要使用的默认身份验证插件,然后使用向右箭头选择Ok ,然后按[Enter]完成程序包配置选择MySQL身份验证插件第3步:保护MySQL服务器安装默认情况下, MySQL安装是不安全的。 为了保护它,请运行二进制包附带的安全脚本。 系统会要求您输入在安装过程中设置的根密码。 然后还要选择是否使用VALIDATE PASSWORD插件。您也可以更改之前设置的根密码(如本例中所做的那样)。 然后输入yes/y来解决以下安全问题:删除匿名用户? (按y | Y代表是 ,其他代码按否): y禁止远程root登录? (按y | Y代表是 ,其他代码按否): y删除测试数据库并访问它? (按y | Y代表是 ,其他代码按否): y现在重新加载特权表? (按y | Y代表是 ,其他代码按否): y通过发出以下命令来启动脚本。$ sudo mysql_secure_installation来自:技术知识库 > 云服务器
-
在Ubuntu服务器中更改控制台字体
默认情况下,Ubuntu服务器软件被设计为在没有图形环境的情况下运行。 因此,只能通过控制台 (黑色背景和白色文本以及成功登录后的命令提示符)管理Ubuntu服务器的全新安装,但出于某种原因,您可能希望更改控制台上的字体以获得更好的外观。在本文中,我们将向您展示如何在Ubuntu服务器上更改控制台字体和字体大小。文件console-setup指定编码和字体以及由setupcon程序实现的字体大小。 该程序在Ubuntu服务器的控制台上设置字体和键盘。Ubuntu服务器控制台上的默认字体和字体大小通常分别是VGA和8X16 ,这看起来不太好看(尤其是如果您已经对终端上的华丽外观产生了强烈的喜欢,就像我们一样),如下所示屏幕截图。默认的Ubuntu服务器字体要更改Ubuntu服务器控制台字体,请运行以下命令重新配置控制台设置文件,这需要root权限,因此请使用sudo命令 ,如图所示。$ sudo dpkg-reconfigure console-setup然后选择要在控制台上使用的编码 ,您可以保留默认值,然后按[Enter] 。在Ubuntu中选择编码接下来,选择要支持的字符集,您可以保留默认值,然后按[Enter]继续。在Ubuntu中选择字符集在这一步中,选择您想要使用的字体 ,例如我们将使用固定 ,所以我们将选择它并按下[Enter] 。在Ubuntu中选择控制台字体最后,选择字体大小,我们选择了8X18 。 然后按[Enter] 。 您的控制台字体现在会更改,系统将应用最近的更改。 一切完成后,您的命令提示符应以新字体格式显示文本。在Ubuntu中选择字体大小以下屏幕截图显示了固定字体类型和字体大小为8×18的Ubuntu服务器控制台。来自:技术知识库 > 云服务器
-
Ubuntu 18.04上用`apt`安装Java
安装默认的JRE / JDK安装Java的最简单方法是使用与Ubuntu一起打包的版本。 默认情况下,Ubuntu 18.04包含Open JDK,它是JRE和JDK的开源版本。该软件包将安装OpenJDK 10或11。在2018年9月之前,这将安装OpenJDK 10。2018年9月以后,这将安装OpenJDK 11。要安装此版本,请先更新软件包索引:sudo apt update接下来,检查Java是否已经安装:java -version如果Java当前未安装,您将看到以下输出:Command 'java' not found, but can be installed with:apt install default-jreapt install openjdk-11-jre-headlessapt install openjdk-8-jre-headlessapt install openjdk-9-jre-headless执行以下命令来安装OpenJDK:sudo apt install default-jre该命令将安装Java运行时环境(JRE)。 这将允许您运行几乎所有的Java软件。验证安装:java -version您将看到以下输出:openjdk version "10.0.1" 2018-04-17OpenJDK Runtime Environment (build 10.0.1+10-Ubuntu-3ubuntu1)OpenJDK 64-Bit Server VM (build 10.0.1+10-Ubuntu-3ubuntu1, mixed mode)除了JRE之外,您可能还需要Java开发工具包(JDK)才能编译和运行一些特定的基于Java的软件。 要安装JDK,请执行以下命令,该命令也将安装JRE:sudo apt install default-jdk通过检查Java编译器javac的版本来验证是否安装了JDK:javac -version您将看到以下输出:javac 10.0.1接下来,我们来看看指定我们要安装的OpenJDK版本。安装OpenJDK的特定版本虽然您可以安装默认的OpenJDK软件包,但您也可以安装不同版本的OpenJDK。OpenJDK 8Java 8是目前的长期支持版本,虽然公共维护在2019年1月结束,但仍然得到广泛支持。要安装OpenJDK 8,请执行以下命令:sudo apt install openjdk-8-jdk验证这是与安装java -version你会看到这样的输出:openjdk version "1.8.0_162"OpenJDK Runtime Environment (build 1.8.0_162-8u162-b12-1-b12)OpenJDK 64-Bit Server VM (build 25.162-b12, mixed mode)也可以只安装JRE,你可以通过执行sudo apt install openjdk-8-jre 。OpenJDK 10/11Ubuntu的存储库包含一个安装Java 10或11的软件包。在2018年9月之前,该软件包将安装OpenJDK 10.一旦Java 11发布,该软件包将安装Java 11。要安装OpenJDK 10/11,请执行以下命令:sudo apt install openjdk-11-jdk要仅安装JRE,请使用以下命令:sudo apt install openjdk-11-jre接下来,让我们看看如何安装Oracle的官方JDK和JRE。安装Oracle JDK如果您想安装由Oracle发布的正式版本Oracle JDK,则需要为要使用的版本添加新的软件包存储库。要安装作为最新LTS版本的Java 8,请首先添加其软件包存储库:sudo add-apt-repository ppa:webupd8team/java当您添加存储库时,您会看到类似这样的消息: Oracle Java (JDK) Installer (automatically downloads and installs Oracle JDK8). There are no actual Java files in this PPA.Important -> Why Oracle Java 7 And 6 Installers No Longer Work: http://www.landui.com/2017/06/why-oracle-java-7-and-6-installers-no.htmlUpdate: Oracle Java 9 has reached end of life: http://www.oracle.com/technetwork/java/javase/downloads/jdk9-downloads-3848520.htmlThe PPA supports Ubuntu 18.04, 17.10, 16.04, 14.04 and 12.04.More info (and Ubuntu installation instructions):- for Oracle Java 8: http://www.landui.com/2012/09/install-oracle-java-8-in-ubuntu-via-ppa.htmlDebian installation instructions:- Oracle Java 8: http://www.landui.com/2014/03/how-to-install-oracle-java-8-in-debian.htmlFor Oracle Java 10, see a different PPA: https://www.landui.com/2018/04/install-oracle-java-10-in-ubuntu-or.htmlMore info: https://launchpad.net/~webupd8team/+archive/ubuntu/javaPress [ENTER] to continue or Ctrl-c to cancel adding it.按ENTER继续。 然后更新你的软件包列表:sudo apt update包列表更新后,安装Java 8:sudo apt install oracle-java8-installer您的系统将从Oracle下载JDK并要求您接受许可协议。 接受协议并安装JDK。现在让我们看看如何选择您想要使用的Java版本。管理Java您可以在一台服务器上安装多个Java。 您可以使用update-alternatives命令配置哪个版本是命令行上使用的默认版本。sudo update-alternatives --config java如果您已经在本教程中安装了所有版本的Java,则输出结果如下所示:There are 3 choices for the alternative java (providing /usr/bin/java). Selection Path Priority Status------------------------------------------------------------* 0 /usr/lib/jvm/java-11-openjdk-amd64/bin/java 1101 auto mode 1 /usr/lib/jvm/java-11-openjdk-amd64/bin/java 1101 manual mode 2 /usr/lib/jvm/java-8-openjdk-amd64/jre/bin/java 1081 manual mode 3 /usr/lib/jvm/java-8-oracle/jre/bin/java 1081 manual mode选择与Java版本关联的数字以将其用作默认值,或者按下ENTER以保留当前设置。您可以为其他Java命令执行此操作,例如编译器( javac ):sudo update-alternatives --config javac其他可以运行该命令的命令包括但不限于: keytool , javadoc和jarsigner 。设置JAVA_HOME环境变量许多使用Java编写的程序使用JAVA_HOME环境变量来确定Java安装位置。要设置此环境变量,请先确定Java的安装位置。 使用update-alternatives命令:sudo update-alternatives --config java该命令显示Java的每个安装及其安装路径:There are 3 choices for the alternative java (providing /usr/bin/java). Selection Path Priority Status------------------------------------------------------------* 0 /usr/lib/jvm/java-11-openjdk-amd64/bin/java 1101 auto mode 1 /usr/lib/jvm/java-11-openjdk-amd64/bin/java 1101 manual mode 2 /usr/lib/jvm/java-8-openjdk-amd64/jre/bin/java 1081 manual mode 3 /usr/lib/jvm/java-8-oracle/jre/bin/java 1081 manual modePress <enter> to keep the current choice[*], or type selection number:在这种情况下,安装路径如下所示:OpenJDK 11位于/usr/lib/jvm/java-11-openjdk-amd64/bin/java.OpenJDK 8位于/usr/lib/jvm/java-8-openjdk-amd64/jre/bin/java 。Oracle Java 8位于/usr/lib/jvm/java-8-oracle/jre/bin/java 。复制首选安装的路径。 然后用nano或你最喜欢的文本编辑器打开/etc/environment :sudo nano /etc/environment在该文件的末尾,添加以下行,确保使用自己的复制路径替换突出显示的路径:在/ etc /环境JAVA_HOME="/usr/lib/jvm/java-11-openjdk-amd64/bin/java"修改此文件将为系统上的所有用户设置JAVA_HOME路径。保存文件并退出编辑器。现在重新加载此文件以将更改应用于当前会话:source /etc/environment验证是否设置了环境变量:echo $JAVA_HOME你会看到你刚刚设置的路径:/usr/lib/jvm/java-11-openjdk-amd64/bin/java其他用户将需要执行命令source /etc/environment或注销并重新登录以应用此设置。来自:技术知识库 > 云服务器
-
Html页面中内容禁止选择、复制、右键的实现方法
有的时候,我们不希望自己网页中所呈现的内容不被别有用心盗取,就需要在网页中加上一个禁止复制的功能,而一般的浏览器在禁止复制后还可以用复制为纯文本,并不能完全杜绝此问题,此时就需要我们在页面中完全禁止右键和复制。实现起来其实很简单,只需要在网页中加入以下标签(注意是紧随body后):?1<body topmargin="0" oncontextmenu="return false" ondragstart="return false" onselectstart ="return false" onselect="document.selection.empty()" oncopy="document.selection.empty()" onbeforecopy="return false" onmouseup="document.selection.empty()">这只是一个最初步的方法,也很容易被人破解,怕网页被别人另存为本地文件,可以再加上以下代码防止别人保存:123<noscript> <iframe src="*.htm"></iframe> </noscript> 最后,有的站长可能只需要一个禁止复制的功能,并不需要禁止右键,则在<body>中加入以下代码即可:1<body onmousemove=/HideMenu()/ oncontextmenu="return false" ondragstart="return false" onselectstart ="return false" onselect="document.selection.empty()" oncopy="document.selection.empty()" onbeforecopy="return false" onmouseup="document.selection.empty()">来自:技术知识库 > 云服务器
-
路由和DNS劫持防护
起首说说挟制路由器是什么意思,路由器挟制平日指的是,开启了无线网络功效的无线路由器,攻击者经由过程破解无线暗码衔接上无线网后,再登录路由治理界面来节制全部无线网,被挟制以后能够随意率性改动后盾设置。那么黑客为何要挟制路由器DNS?1、挟制路由器后能够窜改路由器的DNS地点,如许就能够节制用户的上彀主页,使其主动跳转并拔出弹窗告白等某取告白费和流量费;2、挟制路由器后能够监控衔接了无线网络的用户的上彀应用情况,以此到达盗取用户账号信息等,尤其是银行账号信息;3、应用户阅读网页时主动跳转关上植入了木马病毒的链接应用户中招,借此停止打单或许盗号;怎样实时发明路由器能否被挟制?1、反省路由器的DNS地点,反省DNS指向的地点,假如路由器DHCP中的DNS设置属于66.102.*.*或许207.254.*.*这种的话,那阐明曾经被挟制了;2、反省接入装备数目,登录路由器治理界面,反省衔接到无线网络中的装备数目,假如有生疏装备的话那阐明有可能已被挟制;3、当你阅读网页时开端呈现主动跳转、弹窗告白变多等情况;4、反省路由器设置高档设置中的手动设置DNS服务器选项能否被勾选上了,假如被勾选上了就阐明已被挟制;怎样防备路由器DNS挟制?1、改动初始暗码,并将暗码设置繁杂些;2、实时进级路由器固件补钉修复裸露的破绽;3、将路由器完整初始化,将以前的设置设置装备摆设清零后,改动暗码并进级路由器固件补钉等;4、装置安全防护软件监控网络安全情况;来自:技术知识库 > 云服务器
-
DDoS攻击原理是什么?DDoS攻击原理及防护措施介绍
DDoS攻击原理是什么?随着网络时代的到来,网络安全变得越来越重要。在互联网的安全领域,DDoS(Distributed DenialofService)攻击技术因为它的隐蔽性,高效性一直是网络攻击者最青睐的攻击方式,它严重威胁着互联网的安全。接下来的文章中小编将会介绍DDoS攻击原理、表现形式以及防御策略。希望对您有所帮助。DDoS攻击原理及防护措施介绍一、DDoS攻击的工作原理1.1 DDoS的定义DDos的前身 DoS (DenialofService)攻击,其含义是拒绝服务攻击,这种攻击行为使网站服务器充斥大量的要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷而停止提供正常的网络服务。而DDoS分布式拒绝服务,则主要利用 Internet上现有机器及系统的漏洞,攻占大量联网主机,使其成为攻击者的代理。当被控制的机器达到一定数量后,攻击者通过发送指令操纵这些攻击机同时向目标主机或网络发起DoS攻击,大量消耗其网络带和系统资源,导致该网络或系统瘫痪或停止提供正常的网络服务。由于DDos的分布式特征,它具有了比Dos远为强大的攻击力和破坏性。1.2 DDoS的攻击原理如图1所示,一个比较完善的DDos攻击体系分成四大部分,分别是攻击者( attacker也可以称为master)、控制傀儡机( handler)、攻击傀儡机( demon,又可称agent)和受害着( victim)。第2和第3部分,分别用做控制和实际发起攻击。第2部分的控制机只发布令而不参与实际的攻击,第3部分攻击傀儡机上发出DDoS的实际攻击包。对第2和第3部分计算机,攻击者有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自攻击者的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,这些傀儡机器并没有什么异常,只是一旦攻击者连接到它们进行控制,并发出指令的时候,攻击愧儡机就成为攻击者去发起攻击了。图1分布式拒绝服务攻击体系结构之所以采用这样的结构,一个重要目的是隔离网络联系,保护攻击者,使其不会在攻击进行时受到监控系统的跟踪。同时也能够更好地协调进攻,因为攻击执行器的数目太多,同时由一个系统来发布命令会造成控制系统的网络阻塞,影响攻击的突然性和协同性。而且,流量的突然增大也容易暴露攻击者的位置和意图。整个过程可分为:1)扫描大量主机以寻找可入侵主机目标;2)有安全漏洞的主机并获取控制权;3)入侵主机中安装攻击程序;4)用己入侵主机继续进行扫描和入侵。当受控制的攻击代理机达到攻击者满意的数量时,攻击者就可以通过攻击主控机随时发出击指令。由于攻击主控机的位置非常灵活,而且发布命令的时间很短,所以非常隐蔽以定位。一旦攻击的命令传送到攻击操纵机,主控机就可以关闭或脱离网络,以逃避追踪要着,攻击操纵机将命令发布到各个攻击代理机。在攻击代理机接到攻击命令后,就开始向目标主机发出大量的服务请求数据包。这些数据包经过伪装,使被攻击者无法识别它的来源面且,这些包所请求的服务往往要消耗较大的系统资源,如CP或网络带宽。如果数百台甚至上千台攻击代理机同时攻击一个目标,就会导致目标主机网络和系统资源的耗尽,从而停止服务。有时,甚至会导致系统崩溃。另外,这样还可以阻塞目标网络的防火墙和路由器等网络设备,进一步加重网络拥塞状况。于是,目标主机根本无法为用户提供任何服务。攻击者所用的协议都是一些非常常见的协议和服务。这样,系统管理员就难于区分恶意请求和正连接请求,从而无法有效分离出攻击数据包二、DDoS攻击识别DDoS ( Denial of Service,分布式拒绝服务) 攻击的主要目的是让指定目标无注提供正常服务,甚至从互联网上消失,是目前最强大、最难防御的攻击方式之一。2.1 DDoS表现形式DDoS的表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机的政击,即通过大量攻击包导致主机的内存被耗尽或CPU内核及应用程序占完而造成无法提供网络服务。2.2 攻击识别流量攻击识别主要有以下2种方法:1) Ping测试:若发现Ping超时或丢包严重,则可能遭受攻击,若发现相同交换机上的服务器也无法访问,基本可以确定为流量攻击。测试前提是受害主机到服务器间的ICMP协议没有被路由器和防火墙等设备屏蔽;2) Telnet测试:其显著特征是远程终端连接服务器失败,相对流量攻击,资源耗尽攻击易判断,若网站访问突然非常缓慢或无法访问,但可Ping通,则很可能遭受攻击,若在服务器上用Netstat-na命令观察到大量 SYN_RECEIVED、 TIME_WAIT, FIN_ WAIT_1等状态,而EASTBLISHED很少,可判定为资源耗尽攻击,特征是受害主机Ping不通或丢包严重而Ping相同交换机上的服务器正常,则原因是攻击导致系统内核或应用程序CPU利用率达100%无法回应Ping命令,但因仍有带宽,可ping通相同交换机上主机。三、DDoS攻击方式DDoS攻击方式及其变种繁多,就其攻击方式面言,有三种最为流行的DDoS攻击方式。3.1 SYN/ACK Flood攻击这种攻击方法是经典有效的DDoS攻击方法,可通杀各种系统的网络服务,主要是通过向受害主机发送大量伪造源P和源端口的SYN或ACK包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务,由于源都是伤造的故追踪起来比较困难,缺点是实施起来有一定难度,需要高带宽的僵尸主机支持,少量的这种攻击会导致主机服务器无法访问,但却可以Ping的通,在服务器上用 Netstat-na命令会观察到存在大量的 SYN RECEIVED状态,大量的这种攻击会导致Ping失败,TCP/IP栈失效,并会出现系统凝固现象,即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。攻击流程如图2所示,正常TCP连接为3次握手,系统B向系统A发送完 SYN/ACK分组后,停在 SYN RECV状态,等待系统A返回ACK分组;此时系统B已经为准备建立该连接分配了资源,若攻击者系统A,使用伪造源IP,系统B始终处于“半连接”等待状态,直至超时将该连接从连接队列中清除;因定时器设置及连接队列满等原因,系统A在很短时间内,只要持续高速发送伪造源IP的连接请求至系统B,便可成功攻击系统B,而系统B己不能相应其他正常连接请求。图2 SYN Flooding攻击流程3.2 TCP全连接攻击这种攻击是为了绕过常规防火墙的检查而设计的,一般情况下,常规防火墙大多具备过滤 TearDrop、Land等DOS攻击的能力,但对于正常的TCP连接是放过的,殊不知很多网络服务程序(如:IIS、 Apache等Web服务器)能接受的TCP连接数是有限的,一旦有大量的TCP连接,即便是正常的,也会导致网站访问非常缓慢甚至无法访问,TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接,直到服务器的内存等资源被耗尽面被拖跨,从而造成拒绝服务,这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的,缺点是需要找很多僵尸主机,并且由于僵尸主机的IP是暴露的,因此此种DDOs攻击方容易被追踪。3.3 TCP刷 Script脚本攻击这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序,并调用 MSSQL Server、My SQL Server、 Oracle等数据库的网站系统而设计的,特征是和服务器建立正常的TCP连接,不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,典型的以小博大的攻击方法。一般来说,提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的,而服务器为处理此请求却可能要从上万条记录中去查出某个记录,这种处理过程对资源的耗费是很大的,常见的数据库服务器很少能支持数百个查询指令同时执行,而这对于客户端来说却是轻而易举的,因此攻击者只需通过 Proxy代理向主机服务器大量递交查询指令,只需数分钟就会把服务器资源消耗掉而导致拒绝服务,常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护,轻松找一些Poxy代理就可实施攻击,缺点是对付只有静态页面的网站效果会大打折扣,并且有些代理会暴露DDOS攻击者的IP地址。四、DDoS的防护策略DDoS的防护是个系统工程,想仅仅依靠某种系统或产品防住DDoS是不现实的,可以肯定的说,完全杜绝DDoS目前是不可能的,但通过适当的措施抵御大多数的DDoS攻击是可以做到的,基于攻击和防御都有成本开销的缘故,若通过适当的办法增强了抵御DDoS的能力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也就相当于成功的抵御了DDoS攻击。4.1 采用高性能的网络设备抗DDoS攻击首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDoS攻击是非常有效的。4.2 尽量避免NAT的使用无论是路由器还是硬件防护墙设备都要尽量避免采用网络地址转换NAT的使用,除了必须使用NAT,因为采用此技术会较大降低网络通信能力,原因很简单,因为NAT需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多CPU的时间。4.3 充足的网络带宽保证网络带宽直接决定了能抗受攻击的能力,假若仅有10M带宽,无论采取何种措施都很难对抗现在的 SYNFlood攻击,当前至少要选择100M的共享带宽,1000M的带宽会更好,但需要注意的是,主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的,若把它接在100M的交换机上,它的实际带宽不会超过100M,再就是接在100M的带宽上也不等于就有了百兆的带宽,因为网络服务商很可能会在交换机上限制实际带宽为10M。4.4 升级主机服务器硬件在有网络带宽保证的前提下,尽量提升硬件配置,要有效对抗每秒10万个SYN攻击包,服务器的配置至少应该为:P4 2.4G/DDR512M/SCSI-HD,起关键作用的主要是CPU和内存,内存一定要选择DDR的高速内存,硬盘要尽量选择SCSI的,要保障硬件性能高并且稳定,否则会付出高昂的性能代价。4.5 把网站做成静态页面大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,到现在为止还没有出现关于HTML的溢出的情况,新浪、搜狐、网易等门户网站主要都是静态页面。此外,最好在需要调用数据库的脚本中拒绝使用代理的访问,因为经验表明使用代理访问我们网站的80%属于恶意行为。五、总结DDoS攻击正在不断演化,变得日益强大、隐密,更具针对性且更复杂,它已成为互联网安全的重大威胁,同时随着系统的更新换代,新的系统漏洞不断地出现,DDoS的攻击技巧的提高,也给DDoS防护增加了难度,有效地对付这种攻击是一个系统工程,不仅需要技术人员去探索防护的手段,网络的使用者也要具备网络攻击基本的防护意识和手段,只有将技术手段和人员素质结合到一起才能最大限度的发挥网络防护的效能。来自:技术知识库 > 云服务器
-
记一次和承载网及IDC规划设计师的谈话
比如从北京访问我们昆明的电信机房,线路会怎么走 - -喔,这样啊… 不会过核心网的以前我觉得好像这种是运营商的事...比如往成都还是广州。如果是统一运营商就是走自己的网 如果是异运营商就需要通过关口局走互联互通一般来说服务器如果放在联通的IDC里,IDC出口挂到169网,我客户侧比如是电信用户,如果是同城访问我通过电信163网 省级汇聚节点通过关口局跳到联通169网上去访问,如果是不同城就通过大区节点走这些会通过路由互通,大型IDC都是独立自治域。租用运营商的电路的话,对于运营商来说就是透传数据的管道,上面跑的业务,和两端配置有关系大区节点是多大范围的节点呀?成都就是西南大区节点 云贵川藏现在好像已经没有拨号上网的概念了,那163和169现在又是什么概念呀?现在在建DCI网,专门用来承载IDC的业务的属于国家骨干网 163是电信的 169是联通的这些东西的讯息有没有门户能了解到?看运营商每年的发展规划移动的呢?移动早从电信分出去就只有移动通信业务,所以他的承载网很烂,好像是CMnet吧来自:技术知识库 > 云服务器
-
中国4大骨干网与八大节点
中国四大骨干网与CHINANET八大节点除了CHINANET外,中国还有CERNET,CSTNET,CHINAGBN网网络,合起来称为中国四大骨干网。☆中国公用计算机互联网(CHINANET)又称邮电部互联网、中国公用Internet网,是邮电部经营管理的基于Internet网络技术的电子信息网,1995年初与国际互联网连通,并于5月向社会提供服务。CHINANET由骨干网、接入网组成,骨干网是其主要信息通路,由直辖市和各省会城市的网络节点构成;接入网是各省(区)建设的网络接点形成的网络。CHINANET的灵活接入方式和遍布全国各城市的接入点,可以方便地接入国际Internet, 享用Internet上的丰富信息资源和各种服务,并可为国内的计算机互联,为国内的信息资源共享提供方便的网络环境。☆中国教育与科研网(CERNET)1994年启动,1995年底完成首期工程,包括北京(网络中心)、上海、南京、广州、武汉、西安、成都和沈阳等高等学校集中的大城市。有连接美国的国际专线。全国主干网(共11条64Kbps DDN专线)于1995年10月开通。二期工程完成后,全国主干网和国际联网的逐步升级,主干网达到2Kbps以上,国际联网达到8Kbps以上。☆中国科学技术网(CSTNET)由中国科学院主持,联合清华、北大共同建设。1994年4月开通了与Internet的专线连接。1994年5月21日完成了我国最高域名CN主服务器的设置,实现了与Internet的TCP/IP连接。1995年底基本完成“百所联网”工程。至1997年底,已连接100多个以太网、3000多台计算机、1万多名用户,成为中国地域广、用量大、性能好、通信量大、服务设施齐全的全国性科研教育网络。☆中国金桥信息网(CHINAGBN)即国家公用经济信息通信网,由原电子工业部管理,面向政府、企业、事业单位和社会公众提供数据通信和信息服务。金桥网年底与Internet连通,已开通24个城市,发展了1000多个本地和远程仿真终端,提供全面的Internet服务。中国互联网CHINANET八大节点中国互联网核心层由北京、上海、广州、沈阳、南京、武汉、成都、西安等8个城市的核心节点组成上海 上海电信是中国电信CHINANET骨干网节点,同时也是 ChinaNet骨干网三个国际出口之一,总国际出口带宽12G;ChinaNet骨干网上海节点和上海本地网络的互联带宽为80G;ChinaNet骨干网上海节点和ChinaNet北京(北方电信)的互联带宽为10G;上海电信是中国电信国内长途电信网的重要枢纽节点,也是中国国际通信的三大出口局之一,拥有京沪、北沿海、北沿江、南沿海、沪杭、沪宁等国内长途光缆系统,以及国内卫星通信地球站;是中美、亚欧、亚太、环球、中日、中韩等国际大容量海光缆、陆地光缆系统的重要节点,并建有太平洋、印度洋卫星地球站;上海长信的机房是级别最高的,上海机房中线路不管怎么绕,任何机房最终的出口都在武胜机房和横浜机房。设有两台国际出口路由器,负责与国际i nternet互联,以及两台核心路由器与其他核心节点互联。个人认为上海在国际出口方面启到的作用比北就,广州要大很多。北京 北京是中国电信三大核心节点城市之一,同时也是 ChinaNet骨干网三个国际出口之一,中国电信北方网络的主节点在北京电信上地机房,现在的北京上地数据中心原来是263机房,后来被电信收购重组为中国电信北京数据中心之一,也是中国电信北方网络主节点ChinaNet骨干网的交换中枢广州 广州市Internet服务中心于1995年10月1日投入试运行,系统于1996年1月1日正式开通。广州市Internet服务中心节点作为中国公用互联网络服务系统ChinaNET的一个骨干节点,与北京和上海的Internet节点连接,与它们以及其它地区的节点共同构成ChinaNET骨干网。广州节点是继北京、上海之后的第三个国际出口,也是广东乃至全国最大的国际出口之一。成都 成都数据中心是中国电信全国8大节点之一,可支配带宽资源丰富,与Chinanet骨干网节点带宽60G,CN2节点带宽10G。机房内部网络全部采用千兆连接核心层与汇聚层,双百兆冗余到接入层的无瓶颈交换式结构,局域网采用千兆与百兆混合交换式可监控网络,中心网络设备确保高可靠性架构,做到无单点故障,分支网络提供冗余设备及线路,可针对客户数据传输,维护的需求提供XDSL,DDN,ISDN等多种接入手段,并能提供与国内Chinanet主要节点城市连接的长途专线。 南京 南京电信作为CHINANET的八大节点之一,南京电信拥有富足的网络资源,与同是八大节点之一的上海电信相比,南京与其他省市之间的骨干网络拥塞程度较轻,有较大的发展空间。省节点带宽资源丰厚 (20G),资源利用率适度 ,有较大的发展空间, 两个标准的 IDC 机房(龙江,苜蓿园)一个在建的超大机房(游府西街),交通极为便利。齐备的机房设施(电力,恒温,安全)。 武汉 武汉电信是全国重要的通信枢纽和原中国电信第三大业务领导单位,其综合通信名列全国省会城市前5位。处于国家骨干通信网8纵8横一级通信干线中心位置。是中国电信建设的三大高速光缆环网(南环,西环和北环)的交汇中心。 武汉热线数据中心属华中最大ISP“湖北电信武汉市分公司”,与中国电信(CHINANET)骨干网通过千兆光纤以千兆以太网方式接入主干网。具有高速、直连、高可用性、可扩展性、高安全性。 沈阳 沈阳是CHINANET八大节点之一,主要是作为CHINANET在东北地区的网络中心,在96年开通,由于东北大部分地区都被网通网络覆盖,因此CHINANET沈阳节点是八大节点中规模最小的。西安 西安是中国公用计算机网络和中国多媒体信息网络在西北五省的网络核心中枢,同时,西安又是西北五省和中国公用计算机网络(CHINANET)连接的必由之路,拥有最大的网络传输线路。因此,在西安建立的互联网数据中心(IDC)必将拥有得天独厚的网络资源。核心节点之间为不完全网状结构。以北京、上海、广州为中心的三中心结构,其他核心节点分别以至少两条高速ATM链路与这三个中心相连。另外各省还建立了二级节点,省节点城市为天津 石家庄 呼和浩特 太原 兰州 西宁 乌鲁木齐 银川 昆明 贵阳 拉萨 浙江 杭州 福州 南昌 济南 合肥 郑州 长沙 南宁 海口 长春 哈尔滨 Internet一词来源于英文Interconnect networks即“互连各个网络”,简称“互联网络”,又叫“因特网”。中国与Internet发生联系是在20世纪80年代中期,正式加入Internet是1994年,由中国国家计算机和网络设施NCFC,代表中国正式向InterNIC的注册服务中心注册。注册标志着中国从此在Internet建立了代表中国的域名CN,有了自己正式的行政代表与技术代表,意味着中国用户从此能全功能地访问Internet资源,并且能直接使用Internet的主干网NSFnet。在NCFC的基础上,我国很快建成了国家承认的对内具有互连网络服务功能、对外具有独立国际信息出口(连接国际Internet信息线路)的中国四大主干网: 1.中国科技网——— CSTNET随着国内网络事业的飞速发展,NCFC中的一部分(主要是中科院网络系统的一部分)与其它一些网络一起演化为中国科技网———CSTNET。CSRNET现有多条国际出口信道连接Internet。中国科技网为非盈利、公益性网络,主要为科技界、科技管理部门、政府部门和高新技术企业服务。目前,中国科技网已接入农业、林业、医学、地震、气象、电子、航空航天、环境保护以及中国科学院分布在京地区和全国各地45个城市共1000多家科研院所和高新技术企业,上网用户达四十万人。中国科技网的服务主要包括网络通信、域名注册、信息资源和超级计算等项目。2.中国教育与科研网——— CERNETCERNET是由政府资助的全国范围的教育与学术网络。1994年由国家教委主持、北大清华等十几所重点大学筹建,到1995年底投入使用。目前已有800多所大学和中学的局域网连入中国教育与科技网。中国教育与科技网的最终目标是要把全国所有的大学、中学和小学通过网络连接起来。3.金桥网——— CHINAGBN中国金桥信息网———CHINAGBN,简称金桥网,是面向企业的网络基础设施,是中国可商业运营的公用互联网。CHINAGBN实行天地一网,即天上卫星网和地面光纤网互联互通,互为备用,可覆盖全国各省市和自治区。目前有数百家政府部门、企事业单位接入金桥网,上网拨号用户达几十万。金桥网在北京、上海、广州等20多个大城市建立了骨干网节点,并在各城市建设一定规模的区域网,可为用户提供高速、便捷的服务。中国金桥信息网目前有十二条国际出口信道同国际互联网络相连。金桥网还提供多种增值服务如:国际、国内的漫游服务、IP电话服务等。金桥工程的发展目标是覆盖全国30个省级行政建制、500多个大城市,连接国内数万个企业,同时对社会提供开放的Internet接入服务。4.中国公众互联网——— CHINANETCHINANET是邮电部门主建及经营管理的中国公用Internet主干网,1995年4月开通,并向社会提供服务。到1998年,CHINANET已经发展成一个采用先进网络技术,覆盖国内所有省份和几百个城市、拥有数百万用户的大规模商业网络。CHINANET主要以电话拨号为主,省、市及大部分县一级地域铺设了电话拨号用户接入设备。随着入网用户的迅速增加,CHINANET骨干网节点和省网内部通信线路的带宽也在快速增加,从而有效地改善了国内用户使用CHINANET访问国外的In-ternet和国外用户访问中国的Internet的业务质量。CHINANET建立了灵活的访问方式和遍布全国各城市的访问站点,用户可以方便地访问国际Inter-net,享用Internet上的丰富资源和各种服务,也可以利用CHINANET平台和网上的用户群组建其他系统的应用网络。我国四大主干网发展速度惊人,据2002年1月统计,我国接入国际Internet的出口带宽总量已达7597.5Mbps,连接的国家有美国、加拿大、澳大利亚、英国、德国、法国、日本、韩国等。我国上网计算机数约1254万台,上网用户人数约3370万人。信息网络的飞速发展,极大地推动了国教育科研以及国民经济建设的发展。对促进社会进步、提高全民族整体素质、缩小与发达国家差距等方面都将起到不可估量的作用。我国有六大基础电信运营商:联通:全称中国联合通信有限公司,主要经营移动通信业务,号码段130,131,132,133(CDMA)的都是联通的手机,另外还经营1791*IP电话、193长途电话、165拨号上网等业务;在重庆成都天津等地还经营固定电话业务。移动:全称中国移动通信集团公司,由原中国电信的移动通信部门独立而成,是中国最大的移动通信运营商。号码段134(不含1349),135,136,137,138,139的都是移动的手机。网通:全称中国网络通信集团公司,原中国电信黄河以北部分并入中国网通,在北方10省经营当地的绝大部分固定电话业务和小灵通业务,在南方也经营固定电话和大灵通业务和中国电信竞争。还有196长途电话业务。电信:全称中国电信集团公司,原中国电信黄河以南部分成立新的中国电信。在南方21省经营当地的绝大部分固定电话业务和小灵通业务,在北方也经营固定电话业务和中国网通竞争。还有190长途电话业务。铁通:全称中国铁通集团公司,由原铁路专用通信服务改革成为电信运营商,与中国电信中国网通竞争固定电话业务。还有197长途电话业务。卫通:全称中国卫星通信集团公司,主要经营1349卫星手机,17970IP电话以及卫星专业服务。Internet一词来源于英文Interconnect networks即“互连各个网络”,简称“互联网络”,又叫“因特网”。中国与Internet发生联系是在20世纪80年代中期,正式加入Internet是1994年,由中国国家计算机和网络设施NCFC,代表中国正式向InterNIC的注册服务中心注册。注册标志着中国从此在Internet建立了代表中国的域名CN,有了自己正式的行政代表与技术代表,意味着中国用户从此能全功能地访问Internet资源,并且能直接使用Internet的主干网NSFnet。在NCFC的基础上,我国很快建成了国家承认的对内具有互连网络服务功能、对外具有独立国际信息出口(连接国际Internet信息线路)的中国四大主干网: 1.中国科技网——— CSTNET随着国内网络事业的飞速发展,NCFC中的一部分(主要是中科院网络系统的一部分)与其它一些网络一起演化为中国科技网———CSTNET。CSRNET现有多条国际出口信道连接Internet。中国科技网为非盈利、公益性网络,主要为科技界、科技管理部门、政府部门和高新技术企业服务。目前,中国科技网已接入农业、林业、医学、地震、气象、电子、航空航天、环境保护以及中国科学院分布在京地区和全国各地45个城市共1000多家科研院所和高新技术企业,上网用户达四十万人。中国科技网的服务主要包括网络通信、域名注册、信息资源和超级计算等项目。2.中国教育与科研网——— CERNETCERNET是由政府资助的全国范围的教育与学术网络。1994年由国家教委主持、北大清华等十几所重点大学筹建,到1995年底投入使用。目前已有800多所大学和中学的局域网连入中国教育与科技网。中国教育与科技网的最终目标是要把全国所有的大学、中学和小学通过网络连接起来。3.金桥网——— CHINAGBN中国金桥信息网———CHINAGBN,简称金桥网,是面向企业的网络基础设施,是中国可商业运营的公用互联网。CHINAGBN实行天地一网,即天上卫星网和地面光纤网互联互通,互为备用,可覆盖全国各省市和自治区。目前有数百家政府部门、企事业单位接入金桥网,上网拨号用户达几十万。金桥网在北京、上海、广州等20多个大城市建立了骨干网节点,并在各城市建设一定规模的区域网,可为用户提供高速、便捷的服务。中国金桥信息网目前有十二条国际出口信道同国际互联网络相连。金桥网还提供多种增值服务如:国际、国内的漫游服务、IP电话服务等。金桥工程的发展目标是覆盖全国30个省级行政建制、500多个大城市,连接国内数万个企业,同时对社会提供开放的Internet接入服务。4.中国公众互联网——— CHINANETCHINANET是邮电部门主建及经营管理的中国公用Internet主干网,1995年4月开通,并向社会提供服务。到1998年,CHINANET已经发展成一个采用先进网络技术,覆盖国内所有省份和几百个城市、拥有数百万用户的大规模商业网络。CHINANET主要以电话拨号为主,省、市及大部分县一级地域铺设了电话拨号用户接入设备。随着入网用户的迅速增加,CHINANET骨干网节点和省网内部通信线路的带宽也在快速增加,从而有效地改善了国内用户使用CHINANET访问国外的In-ternet和国外用户访问中国的Internet的业务质量。CHINANET建立了灵活的访问方式和遍布全国各城市的访问站点,用户可以方便地访问国际Inter-net,享用Internet上的丰富资源和各种服务,也可以利用CHINANET平台和网上的用户群组建其他系统的应用网络。我国四大主干网发展速度惊人,据2002年1月统计,我国接入国际Internet的出口带宽总量已达7597.5Mbps,连接的国家有美国、加拿大、澳大利亚、英国、德国、法国、日本、韩国等。我国上网计算机数约1254万台,上网用户人数约3370万人。信息网络的飞速发展,极大地推动了国教育科研以及国民经济建设的发展。对促进社会进步、提高全民族整体素质、缩小与发达国家差距等方面都将起到不可估量的作用。我国有六大基础电信运营商:联通:全称中国联合通信有限公司,主要经营移动通信业务,号码段130,131,132,133(CDMA)的都是联通的手机,另外还经营1791*IP电话、193长途电话、165拨号上网等业务;在重庆成都天津等地还经营固定电话业务。移动:全称中国移动通信集团公司,由原中国电信的移动通信部门独立而成,是中国最大的移动通信运营商。号码段134(不含1349),135,136,137,138,139的都是移动的手机。网通:全称中国网络通信集团公司,原中国电信黄河以北部分并入中国网通,在北方10省经营当地的绝大部分固定电话业务和小灵通业务,在南方也经营固定电话和大灵通业务和中国电信竞争。还有196长途电话业务。电信:全称中国电信集团公司,原中国电信黄河以南部分成立新的中国电信。在南方21省经营当地的绝大部分固定电话业务和小灵通业务,在北方也经营固定电话业务和中国网通竞争。还有190长途电话业务。铁通:全称中国铁通集团公司,由原铁路专用通信服务改革成为电信运营商,与中国电信中国网通竞争固定电话业务。还有197长途电话业务。卫通:全称中国卫星通信集团公司,主要经营1349卫星手机,17970IP电话以及卫星专业服务。hinanet骨干网结构概述 Chinanet 骨干网的拓扑结构逻辑上分为两层,即核心层和大区层。 1.1 核心层 核心层由北京、上海、广州、沈阳、南京、武汉、成都、西安等8个城市的核心节点组成。 核心层的功能主要是提供与国际internet的互联,以及提供大区之间信息交换的通路。其中北京、上海、广州核心层节点各设有两台国际出口路由器,负责与国际i nternet互联,以及两台核心路由器与其他核心节点互联;其他核心节点各设一台核心路由器。核心节点之间为不完全网状结构。以北京、上海、广州为中心的三中心结构,其他核心节点分别以至少两条高速ATM链路与这三个中心相连。 1.2 大区层 全国31个省会城市按照行政区划,以上述8个核心节点为中心划分为8个大区网络,这8个大区网共同构成了大区层。每个大区设两个大区出口,大区内其它非出口节点分别与两个出口相连。 大区层主要提供大区内的信息交换以及接入网接入chinanet的信息通路。 大区之间通信必须经过核心层。来自:技术知识库 > 云服务器
-
运营商网络之163/169的概念
简单来说,163是电信,169是联通。什么是163网和169网?二者之间有什么关系呢?很多人对此还存在着模糊的认识。163网即中国公用计算机互联网(CHINANET),该网络由邮电部建设经营,是我国四大计算机互联网之一,是Internet在中国的接入部分。其用户特服接入号为163,故称163网。1994年3月,北京和上海两个节点建成开通,揭开了163网全面建设的序幕。到1997年底,163网已在全国所有省会及15个省的近200个地市级以上城市建立了骨干网、接入网,全网已开通拨号端口的总带宽大于12Mbps,成为国内覆盖最广、速率最高、用户最多的计算机互联网络。而169网是指邮电部于1997年投资经营,采用Internet/Intranet技术、充分利用国家公用通信网的网络资源组建的中国公众多媒体通信网。该网络的特服接入号码为169,故又称169网。目前,全国已有25个省市建成并开通了本地多媒体平台,并实现了彼此的互联互通,该网上www主机站点300多个,数据库总达700多个,用户平均上网时间超过20分钟;同时基于电子商务的公共服务系统也初具规模,并正在逐步走向商用化。169网与163网是两个完全独立的网络平台,两者是相互补充、相互促进的关系,以适应不同层次用户的需求。首先,二者的业务定位不同。163网面向中国ISP和主要是具有英文水平的用户群,而169网是一个面向中国公众、具有中国特色以中文为主体的多媒体信息服务网,它面向中文信息服务,内容提供者(ICP)、政府机关、企业提供国内信息服务。其次,169网采用独立于163网的建网方案,169网的地址也采用独立于Internet网的编址系统。这样,邮电部门便可以对网络安全和信息安全进行有效地控制和管理。同时,由于169网采用自定义编址系统,解决了因Internet网IP地址资源紧张而难以满足业务发展需求的问题。另外169网上对Internet开放的站点将采用双重地址。最后,169网根据有关管理规定和实际需要,可以通过163网和Internet网相联,也可以与其它有关国际信息网络互联。169网在各省会多媒体台与163网通过网关实现互联,在网关上通过对域名和地址进行翻译或映射实现互通。网关使用的合法IP地址从各省163网的IP地址中分配。任何163网的用户都是169网用户,但169网的用户却不一定是163网的用户。国外Internet用户可以查询169网对外公开发布的某些站点的信息,经过授权通过网关访问169网中的受控信息和计费信息。来自:技术知识库 > 云服务器
-
STP生成树协议
STP概述:生成树协议STP(Spanning Tree Protocol)将环形网络修剪成为一个无环的树型网络,避免报文在环形网络中的增生和无限循环。在一个复杂的网络环境中,难免会出现环路。由于冗余备份的需要,网络设计者都倾向于在设备之间部署多条物理链路,其中一条作主用链路,其他链路作备份,这样都有可能会导致环路产生。环路会产生广播风暴,最终导致整个网络资源被耗尽,网络瘫痪不可用。环路还会引起MAC地址表震荡导致MAC地址表项被破坏。为了破除环路,可以采用数据链路层协议STP,运行该协议的设备通过彼此交互信息发现网络中的环路,并有选择的对某个端口进行阻塞,最终将环形网络结构修剪成无环路的树形网络结构,从而防止报文在环形网络中不断循环,避免设备由于重复接收相同的报文造成处理能力下降。STP相关概念:根桥树形网络结构必须有树根,于是STP/RSTP引入了根桥(Root Bridge)概念。对于一个STP/RSTP网络,根桥有且只有一个,它是整个网络的逻辑中心,但不一定是物理中心。但是根据网络拓扑的变化,根桥可能改变。BID(Bridge ID):桥IDIEEE 802.1d标准中规定BID是由2字节的桥优先级(Bridge Priority)与桥MAC地址构成,即BID(8字节) = 桥优先级(2字节) + 桥MAC(6字节)。在STP网络中,桥ID最小的设备会被选举为根桥。在华为公司的设备上,桥优先级支持手工配置。PID(Port ID):端口IDPID由两部分构成的,即PID(16位) = 端口优先级(4位) + 端口号(12位)。PID只在某些情况下对选择指定端口有作用,即在选择指定端口时,两个端口的根路径开销和发送交换设备BID都相同的情况下,比较端口的PID,PID小者为指定端口。路径开销(RPC)路径开销是STP/RSTP协议用于选择链路的参考值。STP/RSTP协议通过计算路径开销,选择较为“强壮”的链路,阻塞多余的链路,将网络修剪成无环路的树形网络结构。根设备的端口的路径开销都为0。在一个STP/RSTP网络中,某端口到根桥累计的路径开销就是所经过的各个桥上的各端口的开销。PC(port cost)PC的计算需要依据端口带宽来计算。端口角色:根端口(RP):即去往根桥路径最近的端口。根端口负责向根桥方向转发数据,根端口同时还负责接收上游设备的BPDU报文和用户流量转发。根端口的选择标准是依据根路径开销判定。在一台设备上所有使能STP的端口中,根路径开销最小者,就是根端口。在一个运行STP/RSTP协议的设备上根端口有且只有一个,而且根桥上没有根端口。指定端口(DR):对一台交换设备而言,它的指定端口是向下游交换设备转发BPDU报文的端口。根桥的所有端口都是指定端口。在环网的每一网段都会选举出一个指定端口,在一个网段上拥有指定端口的交换设备被称作该网段的指定桥。替代端口(AP):由于学习到其它设备发送的配置BPDU报文而阻塞的端口,作为根端口的备份端口,提供了从指定桥到根的另一条可切换路径。端口状态:端口状态 目的 说明Forwarding(转发) 端口既转发用户流量也处理BPDU报文。 只有根端口或指定端口才能进入Forwarding状态。设备会根据收到的用户流量构建MAC地址表,但不转发用户流量。 过渡状态,增加Learning状态防止临时环路。(15s)Listening(监听) 确定端口角色,将选举出根桥、根端口和指定端口。 过渡状态。(15s)Blocking(阻塞) 端口紧紧接收并处理BPDU报文,不转发用户流量 阻塞端口的最终状态。Disabled(禁用) 端口既不处理BPDU报文,也不转发用户流量。 端口状态为Down。三种定时器:定时器类型 说明Hello Time Hello Timer定时器时间的大小控制配置BPDU发送间隔。Forward Delay Timer Forward Delay Timer定时器时间的大小控制端口在Listening和Learning状态的持续时间。Max Age Max Age定时器时间的大小控制存储配置BPDU的超时时间,超时认为根桥连接失败。STP报文STP报文格式:图:STP报文格式报文字段解释:字段内容 说明Protocol Identifier 协议ID=“0”Protocol Version Identifier 协议版本标识符,STP为0,RSTP为2,MSTP为3。BPDU Type BPDU类型,MSTP为0x02。0x00:STP的Configuration BPDU0x80:STP的TCN BPDU(Topology Change Notification BPDU)0x02:RST BPDU(Rapid Spanning-Tree BPDU)或者MST BPDU(Multiple Spanning-Tree BPDU)Flags 对于“标记域”(Flags),第一个bit(左边、高位bit)表示“TCA(拓扑改变响应)”,最后一个bit(右边、低位bit)表示“TC(拓扑改变)”。Root Identifier 网桥ID都是8个字节——前两个字节是网桥优先级,后6个字节是网桥MAC地址。Root Path Cost 根路径开销,本端口累计到根桥的开销。Bridge Identifier 发送者BID,本交换机的BID。Port Identifier 发送端口PID,发送该BPDU的端口ID。Message Age 该BPDU的消息年龄。Max Age 消息老化年龄。Hello Time 发送两个相邻BPDU间的时间间隔。Forward Delay 控制Listening和Learning状态的持续时间。STP报文抓包示例:图:STP报文抓包示例STP笔记STP原理:找到冗余的一端,然后阻塞端口,避免环路。STP版本:IEEE 802.1D STPIEEE802.1W RSTPIEEE802.1S(华为) MSTPSTP的选举过程:在一个交换网络中选举一个根桥,根桥是设备的概念。根桥选举后,交换网络中的其他设备都是非根桥,每个根桥还需选取一个到达根桥最短路径的端口称为根端口。注:非根桥只能有一个根端口。每条链路上,还需选举一个指定端口,默认情况下根桥的所有端口都是指定端口。既不是根端口,也不是指定端口的其他端口需要被阻塞,不能转发数据帧。根桥的选举:通过比较BID选举,优选BID小的。BID由优先级+MAC地址组成。首先比较优先级,优先级越小越优。如果优先级一样,比较MAC地址,MAC地址越小越优。分端口的选举:比较RID,优选小的。比较到达根桥的RPC(Root Path Cost),越小越优。比较BPDU包发送者的BID,越小越优。比较BPDU包发送者的PID,越小越优。比较BPDU包接收者的PID,越小越优。BPDU报文的两种类型:配置BPDU包含了桥ID,路径开销,端口ID等参数。TCN BPDU指下游交换机感知到拓扑发生变化时向上游交换机发送的拓扑变化通知。用以快速刷新MAC地址表。STP故障:根桥故障非根桥会在BPDU老化之后,开始根桥的重新选举。直连链路故障交换机检测到直连链路故障后,会将预备端口转换为根端口。预备端口会在30s后恢复到转发状态。间接链路故障间接链路故障进入到转发状态需要50s(MAX age + Forwarding delay * 2)。拓扑改变导致MAC地址表错误MAC地址默认老化时间为300s,这段时间内无法转发数据。STP用于拓扑改变的报文:TCN BPDU报文:拓扑改变通知。TCN BPDU报文只能由非根桥发出,通告给根桥。TCA BPDU报文:用于确认接收到的TCN PBDU报文。TC BPDU报文:只能由根桥发起,连续发送35s(MAX age + Forwarding delay)。非根桥收到TC BPDU报文后会将MAC地址的老化时间设置为15s,加速老化。STP拓扑改变:如果非根桥上发生拓扑变化,向根桥发送TCN BPDU包,通告根桥拓扑已改变。上联的非根桥从指定端口收到TCN BPDU包后,会向发送者回复TCA flag位置位的配置BPDU包,同时继续向根桥发送TCN BPDU包。根桥收到TCN BPDU包后,向发送者回复TCA Flag位置位的配置BPDU包,同时向所有指定端口发送TC Flag位置位的配置BPDU包。TC置位的配置BPDU包会连续发送35s,同时将自己的MAC aging 设置为15s。其他非根桥收到TC置位的配置BPDU包后,将自己的MAC地址的老化时间设置为15s,加速老化。STP触发拓扑改变条件:一个端口从forwarding状态过渡到disable或blocking状态。一个非根桥如果从指定端口接收到TCN BPDU包,需要向根桥装发TCN BPDU包。一个端口进入转发状态,并且本地已存在一个指端端口。STP配置命令行stp mode { stp | rstp | mstp}//配置交换机的STP工作模式,默认情况下,交换设备运行MSTP模式,MSTP模式兼容STP和RSTP模式。stp root primary//配置当前设备为根桥设备。缺省情况下,交换设备不作为任何生成树的根桥。配置后该设备优先级BID值自动为0,并且不能更改设备优先级。stp root secondary//配置当前交换机设备为备份根桥设备。缺省情况下,交换设备不作为任何生成树的备份根桥。配置后该设备优先级BID值为4096,并且不能更改设备优先级。stp priority 32768//配置交换设备在系统中的优先级。缺省情况下,交换设备的优先级取值是32768。 配置时,优先级必须为4096的倍数。stp pathcost-standard { dot1d-1998 | dot1t | legacy }//配置端口路径开销计算方法。缺省情况下,路径开销值的计算方法为IEEE 802.1t(dot1t)标准方法。[接口视图]stp cost 100//设置当前端口的路径开销值。//使用华为计算方法时参数cost取值范围是1~200000。//使用IEEE 802.1d标准方法时取值范围是1~65535。//使用IEEE 802.1t标准方法时取值范围是1~200000000。[接口视图] stp port priority 128//配置端口的优先级。缺省情况下,交换设备端口的优先级取值是128。stp enable //使能交换设备的STP功能。缺省情况下,设备的STP/RSTP功能处于启用状态。stp converge { fast | normal}//配置端口的收敛方式//根据对ARP表项的处理方式不同,STP/RSTP的收敛方式分为fast和normal两种://fast:ARP表将需要更新的表项直接删除。//normal:ARP表中需要更新的表项快速老化。//交换设备将ARP表中这些表项的剩余存活时间置为0,对这些表项进行老化处理。如果配置的ARP老化探测次数大于零,则ARP对这些表项进行老化探测。//建议选择normal收敛方式。若选择fast方式,频繁的ARP表项删除可能会导致设备CPU占用率高达100%,报文处理超时导致网络震荡。stp bridge-diameter 5//配置网络直径。缺省情况下,网络直径为7。stp timer-factor factor//配置未收到上游的BPDU就重新开始生成树计算的超时时间。 缺省情况下,设备未收到上游的BPDU就重新开始生成树计算的超时时间是Hello Timer的9倍。stp timer forward-delay 1500//配置设备的Forward Delay时间。 缺省情况下,设备的Forward Delay时间是1500厘秒(15秒)。stp timer hello 200//配置设备的Hello Time时间。 缺省情况下,设备的Hello Time时间是200厘秒(2秒)。stp timer mac-age 2000//配置设备的Max Age时间。缺省情况下,设备的Max Age时间是2000厘秒(20秒)。max bandwidth-affected-linknumber 8//配置影响带宽的最大连接数。 缺省情况下,影响链路聚合带宽的最大连接数是8。reset stp error packet statistics //清除生成树协议的错误报文计数。display stp toplogy-change//查看STP/RSTP拓扑变化相关的统计信息12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758STP配置举例如下图,需将SW1配置为根桥,SW2配置为备份根桥。通过在三天交换机中配置STP,对某个端口进行阻塞,防止网络出环。图:STP配置拓扑SW1配置文件:[SW1]dis current-configuration #sysname SW1#stp mode stpstp instance 0 root primary#1234567SW2配置文件:[SW2]dis current-configuration #sysname SW2#stp mode stpstp instance 0 root secondary#1234567查看SW3的GI0/0/2端口STP状态:图:SW3的gi0/0/2的STP状态--------------------- 作者:曹世宏的博客 来源:CSDN 原文:https://blog.csdn.net/qq_38265137/article/details/80404349 版权声明:本文为博主原创文章,转载请附上博文链接!来自:技术知识库 > 云服务器
-
OSPF工作原理
1.OSPF协议的基本原理:RIP的缺点:存在最大跳数是15跳,无法应用在大型网络中;周期性的发送自己的全部的路由信息,浪费流量,收敛速度缓慢;本身的算法存在环路的可能性很大OSPF的特别:采用组播更新的方式进行更新(224.0.0.5、224.0.0.6),增量更新(只发送别人没有的),以cost作为度量值,有效的避免了环路(在单区域中可以完全避免环路,但是在多区域中并不能完全避免环路)。2.OSPF的表:邻居表:记录了建立邻居关系的路由器LSDB(链路状态数据库):包含了本路由器上的区域的所有的链路状态信息,并实时同步路由表:经过SPF算法计算出的路由存放在OSPF路由表中3.生成OSPF路由:相同区域内的每一台路由器的LSDB是相同的,有LSDB得到带权的有向图,每台路由器以自己为根节点极端最小生成树4.骨干区域和非骨干区域的划分:为了减少路由器上LSDB的规模,骨干区域负责转发非骨干区域的之间的路由,骨干区域的区域号为0OPSF划分区域的要求:1.骨干区域必须是保持连通2.非骨干区域必须与骨干区域连通(可以通过虚链接的方式实现非骨干区域与骨干区域不是物理上的连通)5.OPSF路由器的类型:区域内路由器(Internal Router)区域边界路由器(ABR)骨干路由器(BR)自治系统边界路由器(ASBR)一台路由器可以同时是ABR,BR和ASBR6.OSPF的网络类型:Router ID:是一个32bit的无符号整数,可以在一个自治系统中唯一标识一台路由器,可以自动生成,也可以手动配置。自动生成Router ID:如果本设备上配置了loopback接口地址,则选择loopback接口地址最大的作为Router ID,如果没有配置loopback接口地址,则选择所有接口中ip地址最大的作为Router ID网络类型有:Broadcast(广播网络:Ethernet)、NBMA(非广播多点可达:fr)、P2P(点对点网络:PPP)、P2MP(点对多点网络:没有链路默认是点对多点,可以通过修改)7.OSPF报文和封装:Hello报文:建立并维持邻居关系DD报文:对LSDB内容的汇总(仅仅包含LSA摘要)LSR报文:请求自己没有的或是比自己更新的链路状态信息(LSA)LSU报文:链路状态更新信息LSAck:对LSU报文的确认封装格式:链路层帧头IP HeaderOSPF Packet链路层帧尾8.邻居的建立和状态的迁移邻居的建立和维持都是通过交互Hello报文来实现的Broadcast网络中,NBMA网络中都需要进行DR和BDR的选举DR/BDR的选举原则:首先比较hello报文中所携带的优先级,优先级大的成为DR,当优先级为0的时候则不会进行选举。优先级一致的情况下,则比较Router ID,Router ID大的成为DR保持稳定的原则:一旦网络中DR/BDR选举完成之后,就算出现优先级更高的路由器,也不会再重新选举。邻居关系的建立过程 (1)RTA发送Hello报文DR=0.0.0.0Neighbors seen=0RTB收到Hello报文之后,发现RTA这个邻居将自己的邻居表进行修改:邻居ID邻居地址邻居状态1.1.1.110.1.0.1lint接下来发送的Hello报文DR=2.2.2.2Neighbors seen=RTARTA收到RTB发送的Hello报文之后,将自己的邻居表进行修改:邻居ID邻居地址邻居状态2.2.2.210.1.0.22-way接下来发送的Hello报文:DR=2.2.2.2Neighbors seen=RTBRTB收到之后,将自己的邻居表里面的邻居状态修改为2-way第一阶段完成邻居建立第二阶段:RTA发送DD报文,RTB接收到之后,对比自己的LSDB数据库,如果RTA发送的DD报文中的LSA摘要,自己这边都有,则状态立马进入Full,如果有没有的或是更新的,则RTB发送LSR请求自己没有的和比自己更新的LSA,RTA通过发送LSU报文对RTB进行更新,RTB收到LSU报文之后,更新完成状态进入Full,并且回复LSAck报文,RTA状态进入Full。LSDB的更新,接收到一条LSA,如果这条LSA自己的LSDB中不存在,则直接进行更新,如果自己的LSDB数据库中存在,那么会与那一条LSA进行比较,留下LSA序列号更大的。9.配置和优化OSPFOSPF中的network命令是指定接口开启OSPFOSPF优化命令,因为在P2P网络中不需要进行DR/BDR的选举,所以收敛速度大大加快,会将Broadcast的网络改为P2P命令:ospf network-type p2p也可以修改Hello报文的发送时间间隔(默认为2s)命令:ospf time hello 2当两端的OSPF的网络类型不同时,邻居关系能达到邻居关系能达到Full但是不能进行路由学习。10.配置OSPF的接口的参考带宽:bandwidth-refernce (缺省为100M cost为1)cost=参考带宽/接口带宽参考带宽最好根据实际情况修改为最大的(本设备上)接口带宽。 假设接口的cost值修改为上图所示,RTA上有一个100.1.1.1,当RTA把这个宣告进OSPF的时候,RTC收到这条路由之后,这条路由的cost=20+40=60(就是相当于,这条路由传递方向的进方向的接口带宽),例如:当RTC上有一条20.0.0.0/24的路由要传递给RTA的时候,此时这条路由到达RTA之后的cost=40(10+30)OSPF cost计算标准:沿着路由传递方向累加进站口的cost11.OSPF报文的定时器的默认值网络类型Hello定时器邻居失效时间Broadcast1040P2P1040NBMA30120P2MP3012012.配置OSPF引入外部缺省路由:在公网与内网相接的设备上,做OSPF引入缺省路由,可以告诉内网的所有开启OSPF的设备,要想到达外网,可以通过本设备。default-route-advertise参数:always :当本机没有默认路由的时候,会产生一条缺省路由,发给其他邻居,但是本机上不会存在。Cost:默认路由的度量值13.OSPF高级特性:OSPF虚链接:解决了骨干区域被分割的问题和非骨干区域和骨干区域无法连通的问题。命令:在这两个区域的ABR上的中间区域中配置vlink-peer 对方的Router IDLSA类型和路由选择:LSA报文头的三个关键字:LS TYPE(LSA的类型)、Link state ID(链路状态ID,不同的LSA的链路状态ID不同)、Advertising Router(产生这条LSA的Router ID),这三个关键字唯一的标识了一条LSA。常用的六类LSA:LSA的类型可以发送的角色第一类LSA(Router LSA)ALL Routers第二类LSA(Network LSA)DR第三类LSA(Network Summary LSA)ABR第四类LSA(ASBR Summary LSA)ABR第五类LSA(AS External LSA)ASBR第七类LSA(NSSA External LSA)ASBR第一类LSA:所有的开启OSPD功能的路由器都会产生,描述的是自己直连网段的链路信息(链路类型、开销),将自己所有的直连链路的信息汇总成一条发布给本区域内的其他路由器,不可以跨区域传输。 第二类LSA:描述的是一个NBMA网络,或是一个Broadcast网路的所有的路由器以及掩码的信息,在区域内传播。如果一个单一区域,那么这个区域内可以只存在第一类LSA和第二类LSA。 第三类LSA:将所连接区域的链路信息以子网的形式,发送给相邻的区域,三类LSA的link State ID是目的网段。当从一个非骨干区域通过骨干区域传输到另一个非骨干区域的时候,会将Advertising Router修改为本区域的发送这条路由的ABR的Router ID 第五类LSA:描述到AS外部的信息,跨区域传输的时候,不会改变始发者。这样就可能会造成下一跳不可达,所以就通过第四类LSA来进行弥补。 第四类LSA:描述的是目标网络是ASBR的Router ID的LSA,始发者会随着区域间额传输而改变。如果没有五类LSA则不会存在四类LSA,但是当有五类LSA的时候,也不一定存在四类LSA。比如:RTB上引入了一条外部路由,此时在RTA和RTC上并不存在目标网络是RTB 的 Router ID的四类LSA,因为RTA与RTC知道怎么到达RTB,并不会产生下一跳不可达的情况。第五类LSA的两种外部路由:第一类外部路由:cost=外部开销+内部开销(外部路由可靠性高)第二类外部路由:cost=外部开销(外部开销默认为1)(外部路由可靠性低)都会默认为第二类外部路由14.OSPF选路原则:区域内路由、区域间路由、第一类外部路由、第二类外部路由在类型相同的情况下在比较cost值。15.引入外部路由时导致的问题及解决的办法引入外部路由的时候,产生对应的五类LSA,Link State ID为目的网络,但是不会携带掩码的信息,所以当引入了两条目的网络一样但是掩码不一样的路由的时候,会认为是同一条LSA,导致路由学习错误。当遇到这种情况的时候,ASBR会将这两条路由中的掩码大的那一条的LSA的Link State ID修改为子网的广播地址,来进行区分。16.OSPF特殊区域:Stub区域、Totally stub区域、NSSA区域Stub区域:一般都是将边缘区域划分成Stub区域,在这个区域中不存在第四类和第五类LSA,但是会由ABR发送一条默认路由,下一跳指向ABRTotally stub区域(完全stub 区域):为了进一步缩小路由的数量,这个区域禁止了第三类LSA的存在,同时第四类和第五类LSA也不存在,但是会由ABR产生一条三类的默认路由下一跳指向ABRNSSA区域(不是那么完全的stub区域):需要ASBR的存在但是 又不允许五类LSA的出现,所以这个区域不存在第四类和第五类LSA,但是,会由ASBR产生一条七类的LSA,七类LSA只能在NSSA区域中传播,经过ABR传递到其他的区域的时候,会转换成五类的LSA。17.OSPF协议的路由聚合:ABR对三类LSA的聚合:abr-summary advertise/not-advertiseadvertise 聚合后并且发布出去not-advertise 聚合后不发送出去在做聚合时应该在路由产生的区域做ASBR对五类或是七类LSA的聚合asbr-summary18.OSPF过滤计算出的路由(在LSA经过SPF算法得到最佳路由导入的路由表的时候,进行过滤):只会影响到本设备上的路由表中的路由,并不会影响到其他的设备。在区域中配置:filter-policy acl import19.OSPF过滤三类LSA:Filter acl import/export 对不同的区域import 或是 export不同。--------------------- 作者:聪_cong 来源:CSDN 原文:https://blog.csdn.net/cong_xue/article/details/78639480 版权声明:本文为博主原创文章,转载请附上博文链接!来自:技术知识库 > 云服务器
-
Rip动态路由工作原理
9.11.1 RIP路由协议及工作原理RIP(Routing information Protocol,路由信息协议)是应用较早、使用较普遍的内部网关协议(Interior Gateway Protocol,IGP),适用于小型同类网络的一个自治系统(AS)内的路由信息的传递。RIP协议是基于距离矢量算法(Distance Vector Algorithms,DVA)的。它使用“跳数”,即metric来衡量到达目标地址的路由距离。文档见RFC1058、RFC1723。它是一个用于路由器和主机间交换路由信息的距离向量协议,目前最新的版本为v4,也就是RIPv4。至于上面所说到的“内部网关协议”,我们可以这样理解。由于历史的原因,当前的 INTERNET 网被组成一系列的自治系统,各自治系统通过一个核心路由器连到主干网上。而一个自治系统往往对应一个组织实体(比如一个公司或大学)内部的网络与路由器集合。每个自治系统都有自己的路由技术,对不同的自治系统路由技术是不相同的。用于自治系统间接口上的路由协议称为“外部网关协议”,简称EGP (Exterior Gateway Protocol);而用于自治系统内部的路由协议称为“内部网关协议”,简称 IGP。内部网关与外部网关协议不同,外部路由协议只有一个,而内部路由器协议则是一族。各内部路由器协议的区别在于距离制式(distance metric, 即距离度量标准)不同,和路由刷新算法不同。RIP协议是最广泛使用的IGP类协议之一,著名的路径刷新程序Routed便是根据RIP实现的。RIP协议被设计用于使用同种技术的中型网络,因此适应于大多数的校园网和使用速率变化不是很大的连续线的地区性网络。对于更复杂的环境,一般不使用RIP协议。1. RIP工作原理RIP协议是基于Bellham-Ford(距离向量)算法,此算法1969年被用于计算机路由选择,正式协议首先是由Xerox于1970年开发的,当时是作为Xerox的“Networking Services(NXS)”协议族的一部分。由于RIP实现简单,迅速成为使用范围最广泛的路由协议。路由器的关键作用是用于网络的互连,每个路由器与两个以上的实际网络相连,负责在这些网络之间转发数据报。在讨论 IP 进行选路和对报文进行转发时,我们总是假设路由器包含了正确的路由,而且路由器可以利用 ICMP 重定向机制来要求与之相连的主机更改路由。但在实际情况下,IP 进行选路之前必须先通过某种方法获取正确的路由表。在小型的、变化缓慢的互连网络中,管理者可以用手工方式来建立和更改路由表。而在大型的、迅速变化的环境下,人工更新的办法慢得不能接受。这就需要自动更新路由表的方法,即所谓的动态路由协议,RIP协议是其中最简单的一种。在路由实现时,RIP作为一个系统长驻进程(daemon)而存在于路由器中,负责从网络系统的其它路由器接收路由信息,从而对本地IP层路由表作动态的维护,保证IP层发送报文时选择正确的路由。同时负责广播本路由器的路由信息,通知相邻路由器作相应的修改。RIP协议处于UDP协议的上层,RIP所接收的路由信息都封装在UDP协议的数据报中,RIP在520号UDP端口上接收来自远程路由器的路由修改信息,并对本地的路由表做相应的修改,同时通知其它路由器。通过这种方式,达到全局路由的有效。RIP路由协议用“更新(UNPDATES)”和“请求(REQUESTS)”这两种分组来传输信息的。每个具有RIP协议功能的路由器每隔30秒用UDP520端口给与之直接相连的机器广播更新信息。更新信息反映了该路由器所有的路由选择信息数据库。路由选择信息数据库的每个条目由“局域网上能达到的IP地址”和“与该网络的距离”两部分组成。请求信息用于寻找网络上能发出RIP报文的其他设备。RIP用“路程段数”(即“跳数”)作为网络距离的尺度。每个路由器在给相邻路由器发出路由信息时,都会给每个路径加上内部距离。在如图9-31中,路由器3直接和网络C相连。当它向路由器2通告网络142.10.0.0的路径时,它把跳数增加1。与之相似,路由器2把跳数增加到“2”,且通告路径给路由器1,则路由器2和路由器1与路由器3所在网络142.10.0.0的距离分别是1跳、2跳。图9-31 RIP工作原理示例然而在实际的网络路由选择上并不总是由跳数决定的,还要结合实际的路径连接性能综合考虑。在如9-32所示网络中,从路由器1到网络3,RIP协议将更倾向于跳数为2的路由器1->路由器2->路由器3的1.5Mbps链路,而不是选择跳数为1的56Kbps,直接的路由器1->路由器3路径,因为跳数为1的56Kbps串行链路比跳数为2的1.5Mbps串行链路慢得多。图9-32 路由选择不仅限于“跳数”考虑的示例2. 路由器的收敛机制任何距离向量路由选择协议(如RIP)都有一个问题,路由器不知道网络的全局情况,路由器必须依靠相邻路由器来获取网络的可达信息。由于路由选择更新信息在网络上传播慢,距离向量路由选择算法有一个慢收敛问题,这个问题将导致不一致性产生。RIP协议使用以下机制减少因网络上的不一致带来的路由选择环路的可能性。l 记数到无穷大机制RIP协议允许最大跳数为15。大于15的目的地被认为是不可达。这个数字在限制了网络大小的同时也防止了一个叫做“记数到无穷大”的问题。记数到无穷大机制的工作原理如下(如图9-33所示):图9-33 路由器收敛机制示例(1)现假设路由器1断开了与网络A相连,则路由器1丢失了与网络A相连的以太网接口后产生一个触发更新送往路由器2和路由器3。这个更新信息同时告诉路由器2和路由器3,路由器1不再有到达网络A的路径。假设这个更新信息传输到路由器2被推迟了(CPU忙、链路拥塞等),但到达了路由器3,所以路由器3会立即从路由表中去掉到网络A的路径。(2)路由器2由于未收到路由器1的触发更新信息,并发出它的常规路由选择更新信息,通告网络A以2跳的距离可达。路由器3收到这个更新信息,认为出现了一条通过路由器2的到达网络A的新路径。于是路由器3告诉路由器1,它能以3跳的距离到达网络A。(3)在收到路由器3的更新新后,就把这个信息加上一跳后向路由器2和路由器3同时发出更新信息,告诉他们路由器1可以以3跳的距离到达网络A。(4)路由器2在收到路由器1的消息后,比较发现与原来到达网络A的路径不符,更新成可以以4,跳的距离到达网络A。这个消息再次会发往路由器3,以此循环,直到跳数达到超过RIP协议允许的最大值(在RIP中定义为16)。一旦一个路由器达到这个值,它将声明这条路径不可用,并从路由表中删除此路径。由于记数到无穷大问题,路由选择信息将从一个路由器传到另一个路由器,每次段数加1。路由选择环路问题将无限制地进行下去,除非达到某个限制。这个限制就是RIP的最大跳数。当路径的跳数超过15,这条路径才从路由表中删除。l 水平分割法水平分割规则如下:路由器不向路径到来的方向回传此路径。当打开路由器接口后,路由器记录路径是从哪个接口来的,并且不向此接口回传此路径。Cisco可以对每个接口关闭水平分割功能。这个特点在“non broadcast mutilple access”(NBMA,非广播多路访问)环境下十分有用。在如图9-34所示网络中,路由器2通过帧中继连接路由器1和路由器3,两个PVC都在路由器2的同一个物理接口(S0)中止。如果在路由器2的水平分割功能未被关闭,那么路由器3将收不到路由器1的路由选择信息(反之亦然)。用“no ip split-horizon”接口子命令可关闭水平分割功能。图9-34 水平分割法原理示例l 破坏逆转的水平分割法水平分割是路由器用来防止把一个接口得来的路径又从此接口传回导致的问题的方案。水平分割方案忽略在更新过程中从一个路由器获取的路径又传回该路由器。有破坏逆转的水平分割方法是在更新信息中包括这些回传路径,但这种处理方法会把这些回传路径的跳数设为16(无穷)。通过把跳数设为无穷,并把这条路径告诉源路由器,有可能立刻解决路由选择环路。否则,不正确的路径将在路由表中驻留到超时为止。破坏逆转的缺点是它增加了路由更新的的数据大小。l 保持定时器法保持定时器法可防止路由器在路径从路由表中删除后一定的时间内(通常为180秒)接受新的路由信息。它的思想是保证每个路由器都收到了路径不可达信息,而且没有路由器发出无效路径信息。例如在图6-32所示网络中,由于路由更新信息被延迟,路由器2向路由器3发出错误信息。但使用保持计数器法后,这种情况将不会发生,因为路由器3将在180秒内不接受通向网络A的新的路径信息,到那时路由器2将存储正确的路由信息。l 触发更新法有破坏逆转的水平分割将任何两个路由器构成的环路打破,但三个或更多个路由器构成的环路仍会发生,直到无穷(16)时为止。触发式更新法可加速收敛时间,它的工作原理是当某个路径的跳数改变了,路由器立即发出更新信息,不管路由器是否到达常规信息更新时间都发出更新信息。3. RIP报文格式如图9-35所示为RIP信息格式。各字段解释如下:Command:命令字段,8位,用来指定数据报用途。命令有五种:Request(请求)、Response(响应)、Traceon(启用跟踪标记,自v2版本后已经淘汰)、Traceoff(关闭跟踪标记,自v2版本后已经淘汰)和 Reserved(保留)。Version:RIP版本号字段,16位。Address Family Identifier:地址族标识符字段,24位。它指出该入口的协议地址类型。由于 RIP2版本可能使用几种不同协议传送路由选择信息,所以要使用到该字段。IP协议地址的Address Family Identifier为2。图9-35 RIP协议信息格式Route Tag:路由标记字段,32位,仅在v2版本以上需要,第一版本不用,为0。用于路由器指定属性,必须通过路由器保存和重新广告。路由标志是分离内部和外部 RIP 路由线路的一种常用方法(路由选择域内的网络传送线路),该方法在 EGP或IGP都有应用。IP Address:目标IP地址字段,IPv4地址为32位。Subnet Mask:子网掩码字段,IPv4子网掩码地址为32位。它应用于IP地址,生成非主机地址部分。如果为0,说明该入口不包括子网掩码。也仅在v2版本以上需要,在RIPv1中不需要,为0。Next Hop:下一跳字段。指出下一跳IP地址,由路由入口指定的通向目的地的数据包需要转发到该地址。Metric:跳数字段。表示从主机到目的地获得数据报过程中的整个成本。 --------------------- 作者:茶乡浪子 来源:CSDN 原文:https://blog.csdn.net/lycb_gz/article/details/1612254 版权声明:本文为博主原创文章,转载请附上博文链接!来自:技术知识库 > 云服务器
-
cat 显示指定行
从第3000行开始,显示1000行。即显示3000~3999行cat filename | tail -n +3000 | head -n 1000 显示1000行到3000行cat filename| head -n 3000 | tail -n +1000 *注意两种方法的顺序来自:技术知识库 > 云服务器
-
Linux tac命令
tac——显示文件内容(反列显示)命令所在路径:/usr/bin/tac 示例1:# tac /etc/hosts 反列显示/etc/目录下hosts文件内容当日志文件log.log很长,但又要按内容从后往前查看时,可以使用如下命令:tac log.log | more可以采用如下方式来记忆该命令:cat log.log | more是从前往后查看文件内容,而tac命令是cat命令的字符串反转形式,所以其执行结果也和cat执行结果相反。来自:技术知识库 > 云服务器
-
procinfo - 显示/ proc文件系统的系统统计信息
$ sudo apt install procinfo #Debian/Ubuntu$ sudo yum install procinfo #CentOS/RHEL$ sudo dnf install procinfo #Fedora 22+最简单的例子是运行没有任何参数的procinfo ,如图所示。$ procinfoMemory: Total Used Free Buffers RAM: 8069036 7693288 375748 301356 Swap: 3906556 0 3906556 Bootup: Mon Jun 4 11:09:45 2018 Load average: 0.35 0.84 1.01 1/1021 15406 user : 01:09:12.02 13.4% page in : 2434469 nice : 00:02:12.37 0.4% page out: 2162544 system: 00:15:17.34 3.0% page act: 2395528 IOwait: 00:39:04.09 7.6% page dea: 3424 hw irq: 00:00:00.00 0.0% page flt: 20783328 sw irq: 00:00:29.07 0.1% swap in : 0 idle : 06:30:26.88 75.6% swap out: 0 uptime: 02:10:11.66 context : 51698643 irq 0: 21 2-edge timer irq 42: 0 466944-edge PCIe irq 1: 3823 1-edge i8042 irq 43: 193892 327680-edge xhci_irq 8: 1 8-edge rtc0 irq 44: 191759 512000-edge 0000:irq 9: 2175 9-fasteoi acpi irq 45: 1021515 524288-edge enp1sirq 12: 6865 12-edge i8042 irq 46: 541926 32768-edge i915 irq 19: 0 19-fasteoi rtl_pc irq 47: 14 360448-edge mei_mirq 23: 33 23-fasteoi ehci_h irq 48: 344 442368-edge snd_hirq 40: 0 458752-edge PCIe irq 49: 749 49152-edge snd_hdirq 41: 0 464896-edge PCIe loop0 90r 0 loop4 14r 0loop1 159r 0 loop5 7945r 0loop2 214r 0 loop6 309r 0loop3 79r 0 sda 112544r 70687wenp1s0 TX 58.30MiB RX 883.00MiB vmnet8 TX 0.00B RX 0.00B lo TX 853.65KiB RX 853.65KiB wlp2s0 TX 0.00B RX 0.00B vmnet1 TX 0.00B RX 0.00B 要以人类可读的格式(KiB,MiB,GiB)打印内存统计信息 ,而不是默认的Kbytes,请使用-H标志。$ procinfo -HMemory: Total Used Free Buffers RAM: 7.70GiB 7.36GiB 344.27MiB 294.38MiB Swap: 3.73GiB 0.00B 3.73GiB Bootup: Mon Jun 4 11:09:45 2018 Load average: 0.61 0.84 1.00 2/1017 15439 user : 01:09:21.25 13.3% page in : 2434613 nice : 00:02:12.43 0.4% page out: 2223808 system: 00:15:19.82 2.9% page act: 2416184 IOwait: 00:39:08.21 7.5% page dea: 3424 hw irq: 00:00:00.00 0.0% page flt: 20891258 sw irq: 00:00:29.08 0.1% swap in : 0 idle : 06:33:48.38 75.7% swap out: 0 uptime: 02:11:06.85 context : 51916194 irq 0: 21 2-edge timer irq 42: 0 466944-edge PCIe irq 1: 3985 1-edge i8042 irq 43: 196957 327680-edge xhci_irq 8: 1 8-edge rtc0 irq 44: 192411 512000-edge 0000:irq 9: 2196 9-fasteoi acpi irq 45: 1021900 524288-edge enp1sirq 12: 6865 12-edge i8042 irq 46: 543742 32768-edge i915 irq 19: 0 19-fasteoi rtl_pc irq 47: 14 360448-edge mei_mirq 23: 33 23-fasteoi ehci_h irq 48: 344 442368-edge snd_hirq 40: 0 458752-edge PCIe irq 49: 749 49152-edge snd_hdirq 41: 0 464896-edge PCIe loop0 90r 0 loop4 14r 0loop1 159r 0 loop5 7945r 0loop2 214r 0 loop6 309r 0loop3 79r 0 sda 112568r 71267wenp1s0 TX 58.33MiB RX 883.21MiB vmnet8 TX 0.00B RX 0.00B lo TX 854.18KiB RX 854.18KiB wlp2s0 TX 0.00B RX 0.00B vmnet1 TX 0.00B RX 0.00B -d标志允许以每秒为基础显示统计数据,而不是按总值显示。$ procinfo -d 要将统计信息显示为总计,请按如下所示使用-D标志。$ procinfo -D您可以在屏幕上获得持续更新,并使用-n标志暂停更新N秒(例如,此命令中的5秒),并按此q退出此模式。$ procinfo -n5 -H要报告类似于免费实用程序显示的“ 真实 ”可用内存,请使用-r选项。$ procinfo -r 要显示字节数而不是I / O请求数,请使用-b选项。$ procinfo -bProcinfo也可以交互式工作,当全屏运行时,这允许你使用d , D , r和b键,这些键的功能对应于上面解释的同名命令行标志。有关更多信息,请参阅procinfo手册页。$ man procinfo来自:技术知识库 > 云服务器
