前言
網(wǎng)絡(luò)是由各種網(wǎng)絡(luò)設(shè)備組成,虛擬化中的網(wǎng)絡(luò)除了傳統(tǒng)的能看得到物理網(wǎng)絡(luò)外尖啡,還包括運行在服務(wù)器內(nèi)部看不到的網(wǎng)絡(luò),
虛擬化中網(wǎng)絡(luò)的架構(gòu)
一臺虛擬機能連接多少臺虛擬交換機取決于有多少張網(wǎng)卡剩膘。
南北向流量衅斩,流量需要經(jīng)過路由器轉(zhuǎn)發(fā)出去。
網(wǎng)絡(luò)基礎(chǔ)概念
廣播Broadcast:one-to-all
ARP 地址解析協(xié)議怠褐,即ARP(Address Resolution Protocol)畏梆,是根據(jù)IP地址獲取物理地址的一個TCP/IP協(xié)議。主機發(fā)送信息時將包含目標IP地址的ARP請求廣播到局域網(wǎng)絡(luò)上的所有主機,并接收返回消息奠涌,以此確定目標的物理地址宪巨;收到返回消息后將該IP地址和物理地址存入本機ARP緩存中并保留一定時間,下次請求時直接查詢ARP緩存以節(jié)約資源铣猩。效率、安全問題ARP欺騙茴丰。
單波Unicast:one-to-one
組播(多播)Multicast:加入了同一個組的主機可以接受到此組內(nèi)的所有數(shù)據(jù)
任播Anycast:IPV6
VLAN
虛擬局域網(wǎng)Virtual Local Area Network
MAC地址6字節(jié)48比特
數(shù)據(jù)鏈路層以太網(wǎng)幀結(jié)構(gòu)
VLAN幀格式
交換機端口處理方式:轉(zhuǎn)發(fā)丟棄泛洪
每個端口有PVID默認是1
ACCESS口
連接主機达皿、僅允許唯一的VLAN ID通過端口,這個值與端口的PVID相同贿肩、如果access口收到untagged幀峦椰,交換機強制加上該端口的PVID、access口發(fā)往對端設(shè)備的以太網(wǎng)幀永遠是untagged幀
Trunk口
連接交換機汰规、在交換機之間傳輸tagged幀汤功,可以自由設(shè)定允許通過多個VLAN-ID,這些VLAN ID可以和PVID相同溜哮,也可以不同滔金、如果VLAN ID不再允許列表內(nèi)丟棄,如果在允許列表內(nèi)直接轉(zhuǎn)發(fā)茂嗓,不做任何改變餐茵、特殊情況:如果VLANID等于本端口的PVID,去標簽后轉(zhuǎn)發(fā)述吸,只有在這種情況下Trunk發(fā)出去的是untagged幀忿族。
VLAN的好處
限制廣播域:節(jié)省帶寬,提高網(wǎng)絡(luò)處理能力蝌矛,
增強局域網(wǎng)安全性:不同VLAN的報文在傳輸過程中相互隔離道批。
提高網(wǎng)絡(luò)健壯性:本VLAN內(nèi)的故障不會影響到其他VLAN
靈活構(gòu)建工作組:同一工作組的用戶也不必局限于某一物理范圍,網(wǎng)絡(luò)部署維護更靈活
物理網(wǎng)絡(luò)包含的設(shè)備
網(wǎng)卡 mac地址48位獨一無二的
二層交換機
1入撒、級聯(lián)隆豹,增加端口密度,通過直通電纜使用級聯(lián)端口將多個交換機連接茅逮,可以連接不同廠家噪伊,不同型號的交換機。
2氮唯、堆疊鉴吹,增加端口密度和性能,所有交換機邏輯成一臺整體設(shè)備惩琉,一般相同類型交換機才可以做堆疊豆励,堆疊有主交換機,備份交換機和從交換機。
3良蒸、端口鏡像技扼,把交換機中一個或者多個端口接受或發(fā)送的數(shù)據(jù)完全賦值給另一個端口
路由器的轉(zhuǎn)發(fā)是基于軟件,轉(zhuǎn)發(fā)效率低嫩痰,端口少剿吻,價格昂貴,交換機的轉(zhuǎn)發(fā)基于AISC芯片串纺,屬于硬件轉(zhuǎn)發(fā)丽旅。
三層交換機
增加了路由模塊的交換機
一次路由多次轉(zhuǎn)發(fā)
查看路由表-如果沒有響應條目-由路由器模塊完成IP地址到具體的端口映射-修改報文內(nèi)容-修改硬件轉(zhuǎn)發(fā)表-下次直接轉(zhuǎn)發(fā)。
路由器
ospf rip bgp
靜態(tài)纺棺、動態(tài)路由
路由器主要特點:連接異種網(wǎng)絡(luò)榄笙,適配速率,隔離網(wǎng)絡(luò)祷蝌,選擇最佳路線
路由器分類:接入路由器茅撞、核心路由器
網(wǎng)卡綁定模式mode共有七種(0~6) bond0、bond1巨朦、bond2米丘、bond3、bond4糊啡、bond5蠕蚜、bond6
常用的有三種
mode=0:平衡負載模式,有自動備援悔橄,但需要”Switch”支援及設(shè)定靶累。
mode=1:自動備援模式,其中一條線若斷線癣疟,其他線路將會自動備援挣柬。
mode=6:平衡負載模式,有自動備援睛挚,不必”Switch”支援及設(shè)定邪蛔。
虛擬化中虛擬網(wǎng)絡(luò)介紹
私有地址:只能在內(nèi)部網(wǎng)絡(luò),不能做公網(wǎng)地址扎狱。
A類10.0.0.0-10.255.255.255 B類172.16.0.0-172.31.255.255 C類192.168.0.0-192.168.255.255
節(jié)省IP地址侧到,有效避免外部網(wǎng)絡(luò)攻擊,保護內(nèi)部計算機
bridged(橋接模式)
在bridged模式下淤击,VMWare虛擬出來的操作系統(tǒng)就像是局域網(wǎng)中的一臺獨立的主機匠抗,它可以訪問網(wǎng)內(nèi)任何一臺機器。在bridged模式下污抬,需要手工為虛擬系統(tǒng)配置IP地址汞贸、子網(wǎng)掩碼绳军,而且還要和宿主機器處于同一網(wǎng)段,這樣虛擬系統(tǒng)才能和宿主機器進行通信矢腻。同時门驾,由于這個虛擬系統(tǒng)是局域網(wǎng)中的一個獨立的主機系統(tǒng),那么就可以手工配置它的TCP/IP配置信息多柑,以實現(xiàn)通過局域網(wǎng)的網(wǎng)關(guān)或路由器訪問互聯(lián)網(wǎng)奶是。使用bridged模式的虛擬系統(tǒng)和宿主機器的關(guān)系,就像連接在同一個Hub上的兩臺電腦竣灌。想讓它們相互通訊聂沙,就需要為虛擬系統(tǒng)配置IP地址和子網(wǎng)掩碼,否則就無法通信帐偎。如果想利用VMWare在局域網(wǎng)內(nèi)新建一個虛擬服務(wù)器逐纬,為局域網(wǎng)用戶提供網(wǎng)絡(luò)服務(wù)蛔屹,就應該選擇bridged模式削樊。
NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換模式)
使用NAT模式,就是讓虛擬系統(tǒng)借助NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)功能兔毒,通過宿主機器所在的網(wǎng)絡(luò)來訪問公網(wǎng)漫贞。
橋接是通過網(wǎng)橋來連接的若干局域網(wǎng),他工作在數(shù)據(jù)鏈路層
nat是工作在網(wǎng)路層育叁,是解決網(wǎng)絡(luò)地址不足的技術(shù)迅脐,它可以保護內(nèi)部主機免受外部攻擊,可以實現(xiàn)服務(wù)器負載均衡豪嗽。有多中類型谴蔑,包括靜態(tài)地址轉(zhuǎn)換,動態(tài)地址轉(zhuǎn)換龟梦,復用動態(tài)地址轉(zhuǎn)換隐锭。
安全組防火墻
防火墻一般放在網(wǎng)關(guān)上,用來隔離子網(wǎng)間的訪問计贰,安全組配置在虛擬機網(wǎng)卡上钦睡,通過配置規(guī)則來限制虛擬網(wǎng)卡的流量的進出訪問。
安全組特性
通過宿主機iptables規(guī)則控制流量躁倒,
安全組的規(guī)則都是allow荞怒,不能定義deny規(guī)則。
網(wǎng)卡可以應用多個安全組疊加來使用這些安全組里面的規(guī)則秧秉。