《Mysql必知必会》读书笔记 jar包名中自动添加git commit id PyCharm教学视频学习笔记 《SQL基础教程》简要总结 《设计师要懂心理学》读书笔记 MySQL与MariaDB学习笔记 WDT (Folly) 安装指南 -- CentOS 7 [solved]Page build failed(Jekyll) 数据包过滤及分析实例 tshark tcpdump Scala Tour 学习总结 “Docker容器和容器云”读书笔记(1) “Docker Practice”读书笔记 “图解基础设施设计模式”小结 “图解服务器端网络架构”小结 Python网络安全编程 数据包解析笔记 华为挑战赛(1) DDoS攻击防御与云服务 基于网络回溯分析技术的异常行为分析 “Linux程序设计”小结(进程间通信) C语言编程规范(华为软件精英挑战赛) 2017阿里在线编程题--单源最短路径问题 2017年阿里在线编程题-- 数串分组 Uinx/Linux上的帮助查询命令 你懂C,所以C++不在话下 一篇特别长的总结(C专家编程) 程序员面试金典--笔记(精华篇) C陷阱与缺陷--笔记 半小时搭建电子商务网站--opencart linux网络知识和工具(持续更新) 网卡参数查询及设置工具ethtool 高性能流量生成工具trafgen(DDoS模拟) Linux流量控制工具TC 流量控制工具TC详细说明 tcpdump过滤数据包,结果不对? Lecture 网络攻击与防御技术笔记 gotgit-git权威指南 高效使用MacOS所要知道的 shell内置字符串处理 配置ntp(知其所以然) 360黑客攻防技术分享会--记录 中毒U盘恢复--快捷键病毒 Tor--anonymity network介绍(PPT) IBM bluemix 再读《Linux Shell脚本攻略》 linux shell 学习摘记(9) linux shell 学习摘记(8) linux shell 学习摘记(7) linux shell 学习摘记(6) linux shell 学习摘记(5) linux shell 学习摘记(4) linux shell 学习摘记(3) linux shell 学习摘记(2) linux shell 学习摘记(1) firefox vim 插件 vimperator A Byte of Vim 笔记 windows注册表小知识 安全测试工具篇(开源&商业) 安全及性能测试工具(网站收集) 性能测试工具 屡试不爽的“3个”iPad使用技巧 Shell Shortcuts(和Tab键一样实用) vim--自动添加jekyll post信息头 vim 自动给文件添加头部信息 GitHub Tips (很实用,值得收藏) Linux路由、防火墙、NAT命令

“图解服务器端网络架构”小结

2017年05月16日

博客链接: http://codeshold.me/2017/05/network_architecture.html

一本写给网络架构师和服务器工程师的书! 很棒!
对于想成为码网农工(码农+网工)的我来说,这本书带给自己的帮助很大,至少让自己在参加网络技术大赛的期间收获了不少!
其中还有另外一本书《图解基础设施设计模式》!
这里有针对《图解服务器端网络架构》这本书的介绍,也包括试读章节(第0章就是教读者怎么使用本书的)!
本文主要是自己的读书笔记……

0x00 网络架构的流程

  1. 网络架构分为六个阶段
    • 需求定义: 客户需给出需求方案说明书(RFP,Request For Proposal)
    • 基础设计
    • 详细设计
    • 架构
    • 测试: 单元测试、正常测试、故障(冗余化)测试等
    • 运行
  2. 网络架构的重点是基础设计
    • 物理设计: 定义服务器端所有实体对象的所有规则
    • 逻辑设计
    • 安全设计和负载均衡设计
    • 高可用设计: 冗余
    • 管理设计
    • 设计原则(华为AMPRSC原则, availability + manageability + performance + recoverability + security + cost)

0x01 物理设计

1. 技术

  1. IEEE 802.3, IEEE 802.11
  2. 双绞线、同轴电缆
    • STP (shielded twist pair, 屏蔽双绞线) 抗电磁干扰,只有在工厂等恶劣的条件下会用到
    • UTP (unshielded twist pair, 非屏蔽双绞线) 使用广泛
    • 双绞线中的“类”,其代表传输速度,值越大传输速度就越大,如1000BASE-T
    • 双绞线中的“直通线”和“交叉线”
      • MDI和MDI-X, Medium Dependent Interface,即RJ-45铜线的排列顺序
      • 交换机的端口是MDI-X端口,但有自动识别端口类型功能的交换机(Auto MDI/MDi-X)
      • MDI和MDI-X使用直通线连接(两边对称,平行排列)
      • 端口类型相同时使用交叉线连接
      • 1000BASE-T 中八根铜线都会用到
    • 双绞线电缆的最大传输距离是100米
    • 中继集线器大多已被交换集线器所代替(都可用于故障排除,但后者通信量少)
    • 设置速率和双工,通过交换FLP(Fast Link Pulse, 快速连接脉冲)信号
  3. 单模光纤、多模光纤
    • 光通道叫做模
    • 单模光纤(SMF), 多模光纤(MMF, Multi Mode Fiber)
    • 单模传播距离远,价格高(70km),MMF是550m
    • 连接器有SC、LC型

2. 设计

  1. CE交换机(Customer Edge), VSS(Virtual Switching System 虚拟交换系统)
  2. 服务器端有两种结构类型
    • 串联式结构:管理方便
    • 并联式结构:容易扩展
  3. 选用设备时应参考考查项的最大值
  4. iSCSI、FCoE(Fiber Channel over Ethernet)
  5. 接入交换机、汇聚交换机、核心交换机
    • EoR(End of row)端列头式
      • 以整个机架为单位配置接入叫混迹的类型
      • 布线复杂
      • 需要管理的接入交换机数量少
    • ToR(Top of Rack)机架式
      • 以整个机架为单位配置接入交换机的类型
      • 布线操作比较轻松
      • 由于是在每个机架中配置接入交换机,故要管理的设备较多
  6. 电源引入机架后:PDU(Power Distribution Unit 电源分配单元), UPS(Uninterrupible Power Supply 不间断电源)

0x02 逻辑设计

1. 技术

  1. 数据链路层
    • 前导码(8字节)、帧头、FCS(Frame Check Sequence)
    • MAC地址中前24位叫做OUI(Organizationally Unique Identifer 组织唯一标识符)
  2. 网络层
    • CIDR(Classless Inter-Domain Routing 无分类域间路由)
    • IGP(Interior Gateway Protocol) + EGP(Exterior Gateway Protocol)
      • IGP: RIPv2, OSPF, EIGRP(Enhanced Interior Gateway Routing Protocol)
      • EGP: BGP
      • AS(Autonomous System)
      • OSPF: 100/带宽(Mibt/s) 开销,等价多路径
      • EIGRP: 1000/最小带宽微秒/10
  3. AD(Administrative Distance 管理距离)值类似于针对每个路由协议制定的优先级,值越小优先的等级就越高
  4. 静态NAT, NAPT(Network Address Port Translation) 和 Twice NAT(双重NAT, 将源目的地址一起转换)
    • 支持NAT的两大要素是NAT表和代理ARP
  5. 广播地址:本地、受限、直接(远程开机 WoL, Wake-on-LAN)
  6. ARP, GARP(Gratutious ARP 无故ARP):检测IP是否冲突、更新相邻设备的表(GARP通告,但也可以取消)
  7. 224开头是D类地址
  8. ICMP
    • ICMP 差错报告报文 echo
    • ICMP 询问报文: 时间超时、源点抑制、改变路由、终点不可达、参数问题
  9. VLAN: 基于端口的VLAN(交换机);打标VLAN(VLAN ID)

2. 设计

  1. VLAN的设计
    • 防火墙内侧VLAN、防火墙外侧VLAN
    • 迁移的通信流量对服务产生的影响控制在最小
    • 数据备份的VLAN
    • 数据迁移的VLAN
    • VLAN尽量做大,且采用核心交换机,这样可以使得管理优势最大化
  2. IP地址分配的统一
    • 网络设备的IP地址从数字最大的编号用起
    • 服务器和用户终端的IP地址从数字最小的编号用起
  3. 路由器 && L3交换机 的选择

0x03 数据安全设计和负载均衡设计

1. 技术

  1. 传输层技术
  2. 负载均衡设备可以监控服务器(进行健康检查)
    • 健康检查可分为L3检查、L4检查、L7检查
      • L3: 通过ICMP来检查IP是否正常等
      • L4:针对端口号等
      • L7: 针对应用程序
    • 目的NAT是LB的基础
  3. 负载均衡方式
    • 静态
      • 轮询
      • 加权比例
    • 动态
      • 最少连接数
      • 最短响应时间
    • 源IP地址会话保持、Cookie会话保持
    • 可选功能: SSL加速、HTTP压缩、连接汇聚
  4. HTTP 1.0, HTTP 1.1, HTTP 2.0
  5. CSR(Certificat Signing Request 证书签名请求) :为获得服务器证书而提交给CA机构的随机字符串
  6. 从会话层到应用层的技术
  7. FTP传输文件
    • 主动模式
      • 控制连接使用TCP/21, 数据连接使用TCP/20, 大多数默认采用这种
      • Windows标准FTP客户端功能中甚至只有这种模式
      • 由服务器方面发出数据连接的请求(SYN TCP/20) 是一种特殊的模式
    • 被动模式
      • 控制连接使用TCP/21, 数据连接不使用特定端口的模式
      • 出于安全考虑,使用这种模式的例子多了起来
  8. DNS使用TCP进行区域传输
  9. 端口号:0~1023
  10. 状态检测和包过滤之间的区别!(前者针对连接,后者针对数据包)
  11. UTM(Uinfied Threat Management 统一威胁管理) 设备综合了VPN(IPSec VPN, SSL VPN)、IDS/IPS、反病毒、反垃圾邮件过滤等设备
  12. 新一代的防火墙能更深入的识别应用
  13. FQDN(Fully Qualified Domain Name 完全合格域名)

2. 设计

  1. 数据安全设计
    • 定义安全域,Untrust区域、DMZ区域、Trust区域
    • 将默认启动服务控制在最小范围内
  2. 多级防御,UTM(Performance)
  3. 负载均衡设计

0x04 高可用性设计

1. 技术

1.1 物理层

  1. 将多条物理链路聚合成一条逻辑链路
    • 链路聚合分为三种模式
      • 静态
      • PAgP(Port Aggregation Protocol, 端口聚合协议): 思科专有
      • LACP(Link Aggregation Control Protocol, 链路聚合控制协议), Eth-Trunk链路聚合
  2. 多个物理网卡集结成一个逻辑网卡
    • 三种网卡组合方式: AFT(Adapter Fault Tolerance 适配器容错),ALB(Adapter Load Balancing 适配器负载均衡), 链路聚合
  3. 将不同种类的物理网卡组合使用
    • 板载网卡、扩展网卡
  4. 将多台物理设备集结成一台逻辑设备
    • VSS(Virtual Switching System) :思科
    • 很多厂商都有自己的技术,华为、思科等都有
    • 堆叠线
  5. 高可用设计的主角是STP(Spanning-Tree Protocol)
  6. 上行链路故障检测(追踪)技术 UFD(Uplink Failture Detection)
  7. GVRP 实现动态VLAN

1.2 数据链路层

  1. 生成树协议 STP
  2. 根网桥、阻塞端口等
  3. STP有三种(P286)
    • PVST(Per VLAN Spanning-Tree):思科
    • RSTP(Rapid Spanning-Tree 快速生成树协议)
      • 可快速进行切换
    • MSTP(Multiple Spanning-Tree 多生成树协议)
      • 减少通信开销和资源占用
      • 多了VLAN组成一个组群
      • 每个域内多个生成树
      • 执行和处理是基于MSTI的
        image_1bhn3j8dp1bl91j76pafmih45d9.png-55.2kB

1.3 网络层

  1. FHRP(First Hop Redundancy Protocol 第一跳冗余协议)和路由协议
  2. FHRP: 默认网关冗余备份协议(P293)
    • HARP(Hot Standby Routing Protocol 热备份路由协议):思科
    • VRRP(Virtual Prouter Redundancy Protocol 虚拟路由器冗余协议)
    • GLBP(Gateway Load Balancing Protocol 网关负载均衡协议)
  3. 通过IGP实现冗余
  4. BPDU守护,FAST Port边缘端口
    image_1bhn3kuuq1388g7o9ua1b8p120um.png-105.1kB

1.4 传输层到应用层

  1. 防火墙荣誉技术是在FHRP中添加了几项同步技术
    • 同步连接信息
    • 设置虚拟MAC地址
  2. 负载均衡的冗余技术则是进一步添加了应用程序的同步技术
    • 同步会话保持信息

2. 设计

  1. 串联式、并联式
  2. 两层(无汇聚交换机)、三层

0x05 管理设计

  1. NTP 时间同步
    • “层”的概念: Stratum
  2. 用SNMP检测故障
    • MIB(Management Information BAse 信息管理库), OID(Object Identifier 对象标识符)
  3. Syslog检测故障
  4. 传递设备信息
    • CDP:Cisco Discovery Protocol 思科的L2层
    • LLDP: Link Layer Discovery Protocol 链路层发现协议, DMZ区不激活,Unstrust区激活
  5. 确定主机名
  6. 通过标签管理连接
    • 线缆标签
    • 本体标签
  7. 设计密码
  8. 管理设备信息
    • 恢复方式及备份方式

《图解服务器端网络架构》错误处

  1. P355 中Cisco Descovery Protocol中的Descovery应是Discovery

知识共享许可协议
SWF's Hacking Dreamonephone 创作,采用 知识共享 署名-非商业性使用 4.0 国际 许可协议进行许可。
© 2011-2018. All rights reserved by onephone. Powerd by Jekyll.