简单记录自己自学网络规划设计师的经过,供大家参考扩展思路
(主要跟着b站summer课堂学习~)学生党,非盈利,侵权联系
-
如果是简单了解也可以看看网络规划设计师涉及哪些考点
-
很多也是大题和论文很可能用得上的o
-
更多计算机网络层次相关知识可以看专栏~
目录
网络规划设计基础
生命周期模型
分为四阶段五阶段六阶段,最重要是五阶段
四阶段的模型
五阶段模型
其中技术选型就是在逻辑网络设计的时候进行的
物理布线规划是在物理阶段o
六阶段模型
适合用来做优化
规划需要考虑的因素(作文可以用)
需求分析
考虑:应用需求,网络性能需求,安全需求,容灾需求
掌握:网络性能分析分析,网络容灾需求分析,网络管理需求分析,需求分析方法论
应用需求分析
网络性能分析
网络容灾分析
收集用户需求:观察和问卷调查,集中访谈,采访关键人物
需求说明书:第一个正式的可以传阅的重要文件。 应当包括业务,应用,用户,计算机平台,网络等5个方面的需求
通信规范分析
分析网络通信模式和通信流量
-
通信模式分为:
对等通信模式(P2P):比如迅雷下载,用户既是客户端又是服务端 (P2P分发比C/S快,定性)
客户机/服务器通信模式C/S:用户通过客户端软件访问服务器资源
浏览器/服务器通信模式:B/S 用户通过浏览器访问服务器资源
分布式计算通信模式:多个计算节点协同工作完成一项共同任务的应用。 -
现在百分之80的流量用于访问外部,百分之20用于内部访问
-
通信流量分布:
1、复杂网络划分VLAN:比如市场部和研发部
2、确定每个网络用户,应用和流量:比如如果主要访问文件服务器,各个部门对应的流量不同
3、确定本地(比如之间)和远程(访问外部)的上网流量
逻辑网络设计
设备冗余技术
设备冗余技术分为:电源冗余,引擎冗余,交换网板冗余
关键技术部分可以多配置设别(中高端偏多
接入/核心交换机一般能实现电源冗余,核心设备能实现引擎冗余
堆叠和集群技术
多台设备进行堆叠:一般接入和汇聚层盒式交换机采用堆叠技术,汇聚,核心层交换机采用(框式交换机堆叠)集群技术
逻辑交换机之间使用链路聚合,无需STP,VRRP实现高可靠性。
堆叠技术和链路聚合技术相关,见下方链路冗余技术中的Eth-Trunk
堆叠后的上行链路带宽并不用叠加,比如原来1到2和3是1G,2和3堆叠后也还是1G就可以了
链路冗余技术
主流链路冗余:主备路径,负载分担,端口聚合,环网,生成树
主备技术
理解:相当于加了备用路径,不存在负载分担o
负载均衡:链路上就都有流量,分担。简单的MSTP(防止环路)+VRRP就能实现负载均衡
- 案例实现链路负载策略的方法(出口链路负载均衡技术,策略路由)
链路聚合负载分担模式
端口聚合/链路聚合(Eth-Trunk):多个物理端口捆绑成一个逻辑接口,在不进行硬件升级情况下增加链路带宽和链路冗余 (STP存在影响了端口传递。服务器和交换机之间也可以配置,不止交换机间)
Eth-Trunk的典型应用场景
生成树技术
技术背景:
交换机单链路上行的话存在单点故障,链路或者设备故障就会断网
冗余的拓扑(三个交换机三角形)会带来二层环路问题比如:
广播风暴:会使网络慢,指示灯告诉闪烁,CPU使用率高,消耗资源
交换机mac地址表震荡:因为SW3发出给1和2之后都会又泛洪回来,所以会mac地址表震荡(应0/0/0的)
STP只能运行在交换机上不能运行在路由器上
生成树会逻辑阻塞端口,打破环路,保障冗余性
几种生成树协议包括:
生成树协议 802.1d (很慢)
快速生成树协议RSTP(6s内完成收敛) 多生成树协议 MSTP(实现多个VLAN负载均衡)
**相关概念以及STP选举具体流程!!!:
STP例题
注意看端口号是因为S1的F0/1更小(默认优先级时)对应的F2的0/1,而不是S2的接口!!
如果两个设备开启trunk配置连接但是启用MSTP(负载均衡)两个口是都可以转发的o(别的防环手段了,不深挖) port trunk permit vlan 1 10 允许vlan1和10的流量通过 (先 port link-type trunk)
BPDU(Bridge Protocol Data Unit)是生成树协议(STP)中使用的一种数据包,用于交换网络桥和交换机之间的拓扑信息(2s发送一次)
网关冗余技术
主要是VRRP和堆叠 。问题产生:一台路由器的单点故障问题
内部链路的负载均衡
服务器冗余技术
服务器集群
单活:一台活跃一台热备
双活:两台都活跃
负载均衡:
总结:上面有出口链路负载均衡技术(策略路由,列了很多),还有内部链路负载均衡技术
以及链路聚合(源,目,源目IP和mac设置)还有服务器负载均衡
网络安全设计
物理网络设计
布线设计
-
物理网络设计示意图:
光纤和交换机连接需要:光模块,光纤配线架,跳线与尾纤,熔纤
双绞线跳线:带有水晶头的网线 (电线!不是光纤!)
工作区子系统,水平布线子系统,干线子系统,设备间子系统,管理子系统,建筑群子系统
垂直子系统用多模光纤,建筑群子系统之间连接采用单模光纤
综合布线术语:
BD:建筑物配线架 FD:楼层配线架 TO:数据,网络点 TP:语音,电话点
综合布线注意:信息插座安装举例地面30-50cm
线缆部署于桥内,使用PVC保护 光缆(一捆光纤)控制弯曲角度 -
布线规范和子系统解释:
机房设计
大题论文都能掺合的o~!!!
机房需要采取有效的电磁屏蔽措施,适合设在1-8层
机房位置选择,防火,防雷,防潮,防静电(佩戴静电手环),机房物理访问控制(门禁保安),电磁防护,防止意外断电。等等展开写
-
机房配电:计算机网络设备供电(主干通信设备,网络服务器等),机房辅助设备供电(照明,机房空调等),其他供电(办公室)
-
机房组成包括:主要工作房间,第一类辅助房间,第二类辅助房间,第三类辅助房间
-
机房设计等级划分:根据适用刑事,数据丢失或网络中断带来的社会影响划为A,B,C三等级,从高到低对应有不同的机房设计和安全要求 (A算是重大经济损失和严重社会混乱了,比如机场,广播电台,电视台,国际大公司的电子信息中心等。B级包括高等院校,县级以上医院,县以上图书馆,地方气象馆等)
-
机房布置和要求:
温度20±2摄氏度,铺设活动地板高度应为20-35cm(下放冷风机需要30cm!) 交流,直流,安全工作,防雷接地 -
机房散热:风冷,水冷,自然冷却(免费冷却:利用自然界的免费冷源,减少压缩机和冷冻机消耗的能量) 目前常用比如有冬季或者春秋季的室外空气(冷)
超大型数据中心以冷却水系统为主,中小机房以风冷为主 -
机房散热通道设计
正确散热风道:面对面,背对背布置方式 (冷热通道设计)
下送风:从下面送风。管理维护不方便,不容易发现漏水等安全隐患。上送风就可以及时发现和排除制冷系统漏水的问题(不过成本也差不多的,一般还是下送风
评价数据中心
评价数据中心能源效率的能耗指标PUE:数据中心消耗的所有能源与IT负载消耗的能源之比(越高说明别的消耗越多)
正常希望2,目标1.5以下。现在很多2-3。越接近1越好
三层网络结构和大二层
三层网络架构
三层网络架构示意图
园区网一直都采取这种架构,每个层次各司其职
核心交换机负责告诉转发
接入层不必提供多条路径或者冗余
三层网络架优缺点
大二层思想
物理大二层网络架构的思想和方案:
案例具体分析大二层结构和优缺点
示意图:
VxLAN
VxLAN的基本概念:
- 虚拟化存储:VxLAN 提供一种方式来创建逻辑虚拟网络,使多个虚拟网络(即租户)可以在同一物理基础设施上并行运行,而不相互干扰。
- 隧道技术:VxLAN 使用隧道技术,将原始以太网帧封装在 UDP(用户数据报协议)中,从而可以通过现有的 IP 网络传输。这意味着 VxLAN 可以跨越不同的数据中心和物理网络。
VxLAN 如何保证高带宽和大容量
- 扩展 VLAN 的数量:
- 传统 VLAN 的数量限制在 4096 个,而 VxLAN 通过使用 24 位的 VNI(VxLAN 网络标识符)可扩展到 16,777,216 个虚拟网络。这种高级的可扩展性使得在大型数据中心中能够方便地为每个租户或业务单元提供独立的网络环境。
- 分布式架构:
- VxLAN 支持在网络中分布式的架构,使得流量可以智能地在网络各个节点之间转发。通过逻辑分流,实现了负载均衡,提高了整体带宽的利用率。
- 跨数据中心和多租户支持:
- VxLAN 可以跨越不同的数据中心,从而支持大规模的多租户环境。这种特性使得数据中心能够按照需要灵活配置、释放和管理资源,确保高带宽和大容量供给。
- 租户之间的流量可以被有效隔离,避免带宽争用,同时也能够带来更高的运营管理效率。
- 简化的网络设计:
- VxLAN 的设计简化了网络拓扑,使得网络管理员可以更容易地管理网络资源,实现弹性扩展。由于流量不再局限于物理设备的限制,这有助于提高带宽的有效利用率。
- 支持大规模虚拟机迁移:
- 随着虚拟化技术的普及,数据中心中承载的虚拟机数量急剧增加。VxLAN 通过避免物理网络的复杂性,使得虚拟机迁移变得更加简单和高效,从而保证了在虚拟机迁移期间的网络带宽和性能。
VxLAN 的应用场景
- 公有云和私有云:许多云服务提供商使用 VxLAN 来支持多租户架构,以确保不同客户的数据隔离和资源管理。
- 大型数据中心:在大型数据中心中,VxLAN 能够有效支持大规模的虚拟机和容器部署,满足高带宽和大容量需求。
- 动态可扩展性:对于需要快速扩展资源的动态应用场景,VxLAN 提供了灵活的网络架构和配置能力
怎么描述VxLAN的思想
首先,VxLAN 允许在物理网络上创建逻辑虚拟网络,通过在现有以太网帧内封装 VxLAN 标头,在物理设备上支持多达 16,777,216 个虚拟网络(VNI)。与传统 VLAN 限制 4096 个网络的瓶颈相比,VxLAN 极大地扩展了网络的容量,能够满足大型、动态的多租户环境的需求。例如,在云服务提供商的应用场景中,不同租户可以在同一物理基础设施上安全地运行,各自的网络隔离得到保障。
其次,VxLAN 的隧道机制使得网络流量可以在不同的数据中心间高效地传输。这一机制不仅提高了流量的灵活性,还简化了网络架构,允许在广域网(WAN)环境中部署,支持跨地理位置的资源聚合。这一点在动态工作负载迁移时尤为重要,VxLAN 能够快速适应网络拓扑的变化,而无需复杂配置。
为了进一步改进传统网络,企业可以逐步迁移到 VxLAN 结构。初期阶段,可以在核心交换机上实现 VxLAN 功能,而在边缘交换机上继续使用传统 VLAN。在实施过程中,网络管理员可以使用控制器集中管理各个虚拟网络,通过 API 方便地调整流量策略。这种分步实施方式不仅降低了风险,也使得最终的网络架构更加高效可控。
总体而言,VxLAN 的引入,不仅解决了传统网络架构所面临的扩展性和灵活性问题,还优化了数据中心的资源利用。通过基于 VxLAN 的架构改进,数据中心能够更好地支持现代应用需求、提高资源管理效率并降低运营成本。
RAID技术
基础解释
RAID:独立磁盘阵列冗余 单独的物理硬盘以不同的方式组合成逻辑硬盘,提升硬盘读写性能和数据安全性
RAID示意图:(注意纵向是硬盘o)
- 热备:当冗余RAID组中某个硬盘失效,不影响RAID系统正常使用情况下,RAID系统中备用硬盘自动顶替失效硬盘。 出了故障马上顶上
- 全局热备:备用硬盘为系统中所有RAID组共享
- 专用热备:就为某一组RAID专用
RAID基础上可以创建不同容量逻辑卷,通过LUN标识
常见RAID技术
RAID5(也是最多允许坏1),RAID10常用 别的记住最少几个盘,用什么盘备份
RAID0,1,3,5示意图
RAID 6和10,50组合示意图
RAID技术对比:
RAID 2.0
优点:
快速重构(减少重构时间)。硬盘负载均衡(避免对一块硬盘进行高强度读写,降低硬盘故障率)。最大化硬盘利用率/提升存储管理效率。
云计算和虚拟化
重点!!!!
云计算:传统IT资源(服务器,网络,存储,安全)整合成资源池,用户按需购买(一种自来水公司统一供水的感觉o)
基础概念
云计算分类:
云管平台解释
资源管理,运营管理
开源云平台OpenStack(有很多模块)华为,华三,浪潮很多都是基于Openstack
云管平台类似总经理,而KVM(虚拟化平台)类似部分经理(比如服务器虚拟化,管一块)
服务器虚拟化
(还有很多比如存储虚拟化,网络虚拟化)重点是服务器虚拟化和桌面虚拟化
数据中心有很多能耗,很多机子利用效率不高,系统冗余也多
主流虚拟化平台和虚拟化优势示意图:
优势:提高服务器资源利用率。节省服务器机房空间。降低能源消耗。虚拟机灵活迁移减少服务器宕机风险。服务器灵活性增加,硬盘内存等资源都可以按需扩展。加快业务部署速度,缩短业务上线时间。
SAS盘:企业级应用盘,可以满足业务存储相关
SATA盘:适合桌面电脑等,适合备份存储
桌面虚拟化
解释:
解释和优缺点分析
- 业务连续性:灾难或破坏性时间发生后业务可以接受的不提供服务的时间,取决于服务恢复和数据恢复时间。连续嘛
- 可用性:服务执行时候的能力(故障发生多少)这个是没有意外的时候的故障,平均故障间隔时间和平均恢复服务时间衡量
虚拟化高级应用
vMtion,HA和FT:
服务器集群和虚拟化环境相似:
一般需要共享存储而且都需要大二层的网络环境
服务器集群概念
(同虚拟化技术,分布式存储技术区分开o)
“服务器集群”是指将多台服务器通过网络连接起来,形成一个统一的系统,以提供高可用性、负载均衡和可扩展性等优势。这种架构通常用于支持关键业务应用、提高系统性能以及保障服务的持续可用性。
- 高可用性集群(HA Cluster):
- 故障转移集群(Failover Cluster):通过冗余的方式确保服务的持续可用性。当一个节点出现故障时,其他节点能够接管该节点的工作。常见于数据库、高端应用和关键业务系统中。
- 技术实例:Microsoft Windows Server Failover Clustering、Linux-HA、VMware HA。
- 负载均衡集群(Load Balancing Cluster):
- 将用户请求分散到多台服务器上,通过负载均衡器(如硬件负载均衡器或软件负载均衡器)监控各个节点的健康状态和性能,优化资源利用率和响应时延。
- 技术实例:Nginx、HAProxy、F5 BIG-IP、Apache HTTP Server中的mod_proxy。
- 计算集群(Compute Cluster):
- 旨在通过多台机器并行处理任务以提高计算能力,常用于科学计算、数据分析和渲染等领域。计算节点协同工作,完成大规模的计算任务。
- 技术实例:Apache Hadoop、Apache Spark、SLURM(Simple Linux Utility for Resource Management)。
- 存储集群(Storage Cluster):
- 提供高可用性和高性能的存储解决方案,以确保连续的数据访问和存储资源的扩展。存储集群通过共享存储来管理数据。
- 技术实例:Ceph、GlusterFS、NetApp Clusters。
备份和容灾
大题和材料题的万金油!!也很可能考的o
数据备份
把数据从磁盘备份到磁带
示意图:
主流备份介质:磁盘和磁带(用于容灾,详见专栏对应笔记)
数据备份策略:
差分备份时上一次完全备份后有变化的数据 (注意o)
数据复制:
容灾
含义:信息系统切换到备用场地进行
容灾级别和标准:
备份时容灾的基础,不过容灾还要避免传统设备备份的不足,要能及时恢复系统
容灾方式以及指标
BW备份窗口:一个工作周期内留给备份的时间长度
PRO:用户可以承受的最大数据丢失量 (recovery point)
RTO:用户可以接受的最大停机时间(recovery time) 两个指标应该趋于0
密码学和安全审计
密码学
加密技术解释
对称(私钥)加密,非对称(公钥)加密,混合加密 算法和介绍 (还有国产算法)
国产加密算法:(选择题有可能)
SM4算分组加密,SM3是摘要算法
MD5是摘要算法,任何长度输入都能转为128位
数字签名
私钥加密哈希值就是签名过程,签名是用非对称,一般用RSA
数字证书
解决发送时怎么获取对方公钥的问题
-
数字证书理解以及PKI体系:
PKI中注册机构RA(负责对申请合法性进行认证),证书颁发机构CA(负责颁发管理撤销证书)
CRL库存放过期证书
证书中有用户公钥,CA用自己私钥签名 -
加密HTTP消息:会话密钥加对称加密 肯定是要对称(私钥)加密 会话密钥是私钥通过对方公钥加密传
-
证书链:两个证书机构X1和X2彼此交换公钥
哈希函数
解释和应用:
安全审计
安全审计可以响应并阻断网络攻击行为,不过不是对系统日常维护(运营了)
安全审计的概念和功能:
等保2.0技术
安全物理环境,安全通信环境,安全区域环境,安全计算环境,安全管理中心
网络服务器
基本指标
服务器性能指标:TPC值 (有对应的公式)
CPU性能指标:SPEC值 (后面收费喽,这个评估)
服务器分类
主要分为RISC和IA(不过之中的VLIW不用了,所以是CISC主)
RISC和CISC区别:
X86,AMD是基于CISC的 (耗电高)
-
应用需求分类:
硬件要求为例:
数据库服务器:内存,磁盘,处理器
文件服务器:网络系统,磁盘系统,内存
(分析:优先考虑传输速度,其次文件服务器需要处理大量文件读写操作,内存主要用于缓存数据,针对一些定期访问的场景)
Web站点:网络系统,内存,磁盘系统,CPU
邮件服务器:内存,磁盘,网络系统,处理器 -
机架式服务器是主流~
按照处理器个数:单路,两路,多路
路:一台服务器支持的CPU个数 核:多个芯片集成在一个封装内 (“物理核”)
线程:线程越多性能越强,一般是核心数2倍(“逻辑核”)
节点:2U4节点: 在2U的空间中可以装4台服务器 -
超融合服务器:
高效利用空间,2U4节点 (里面的服务器还要看是几路的有几个CPU)
网络一般采用独立交换机 自带服务器虚拟化/存储虚拟化/云操作等软件
做到计算,存储与网络的集成管理
服务器组成的硬件架构
主要:内存,CPU,硬盘(HDD/SSD),电源(风扇),IO总线(RAID卡,网卡,HBA卡),芯片组
硬盘:容量和转速
类型:SSD速度最快也最贵;SAS适中;SATA最慢也最便宜
转速:转速越大读写越快但是越贵 (吞吐也是一样的规律)
容量:G级别装系统,T级别装数据
网卡:服务器连接IP网络,面向用户 HBA卡:服务器连接存储,面向数据
RAID卡:用来做数据本地备份
服务器存储
基本概念
服务器存储:
- 定义:服务器存储指的是用于长期保存数据的组件,通常包括硬盘驱动器(HDD)、固态硬盘(SSD)和各种存储阵列(例如,RAID、SAN等)。
- 功能:其主要功能是持久保存数据,包括操作系统、应用程序、用户数据和文件等。当服务器关闭时,存储中的数据仍然存在。
- 服务器内存:
- 定义:服务器内存通常指随机存取内存(RAM),是一种被计算机使用来存放当前运行程序和数据的临时存储器。
- 功能:其主要功能是提供快速的数据读写能力,以支持活跃的计算任务和程序运行。内存的数据在服务器关闭或重启时会消失。
类型
- 服务器存储:
- 硬盘驱动器(HDD):传统的磁盘驱动器,数据存储容量大,但读写速度较慢。
- 固态硬盘(SSD):使用闪存技术,速度快,响应时间短,用于提高数据访问速度。
- 网络存储:通过网络提供的存储解决方案,如网络附加存储(NAS)和存储区域网络(SAN)。
- RAID配置:通过将多个硬盘组合在一起,提供冗余和性能优化。
- 服务器内存:
- DIMM(双列直插内存模块):常见的内存模块类型,支持各种容量和速度。
- 缓存内存:优化处理器与主内存之间的数据传输速度。
性能
- 服务存储:
- 速度:相对较慢,尤其是HDD,SSD显著快于HDD,但仍然比内存慢得多。
(IOPS(每秒输入输出操作数,Input/Output Operations Per Second)是一个存储性能的指标,主要用于衡量存储设备(如硬盘驱动器HDD、固态硬盘SSD和存储阵列)处理输入输出操作的能力。而内存的性能通常使用带宽(Data Bandwidth)来衡量,带宽表示内存每秒可以传输的数据量,通常以字节为单位。) - 容量:通常容量较大,从几百GB到数TB不等,甚至更高。
- 数据持久性:存储在磁盘上的数据在服务器关闭时依然存在。
- 速度:相对较慢,尤其是HDD,SSD显著快于HDD,但仍然比内存慢得多。
- 服务器内存:
- 速度:内存的读写速度非常快,可以在纳秒级别进行操作,这对于执行程序和处理数据来说至关重要。
- 容量:通常较小,从几GB到数百GB,主要用于临时数据存储和快速访问。
- 数据持久性:内存中的数据在断电或重启时会丢失。
使用场景
- 服务器存储:
- 用于数据备份、存档、文件共享和数据库存储等。
- 面向需要持久数据保存的业务需求,如应用程序数据、用户文件和操作系统映像。
- 服务器内存:
- 用于运行操作系统、应用程序及其临时数据。
- 特别适用于需要快速数据处理的场景,如数据库运算、虚拟化和缓存处理等。
服务器延迟
延迟=处理延迟+排队延迟+发送延迟+传播延迟
不考虑网络环境的话,服务器的主要延迟是队列延迟和磁盘IO延迟
服务器选择例题
图书馆需要快速查询 “数据库应用理解” 上面有提过硬件优先级
磁盘和磁带
存储结构示意
存储结构体系示意图:
分为寄存器,高速缓冲存储器,主存储器,外存储器
存储方式类型特点
存储介质选择:
-
机械硬盘和固态硬盘(都是外存储器)
机械硬盘:连续读写性能好但随机读取性能差
固态硬盘:随机读取性能好但是内存小成本高
随机读写频繁的应用:小文件存储(图片),数据库,邮件服务器
顺序读写频繁的应用:视频监控,视频边界(关注吞吐量)“连续” -
硬盘关键指标:硬盘容量,转速(SSD没有转速,SAS转速大于SATA),平均访问时间,数据传输率(吞吐量)IOPS(每秒输入输出量)
-
SSD固态硬盘优点是可以移动而且数据保护不受电源限制
-
NVRAM非易失存储器,用来保存启动配置文件
-
Flash:闪存,用来保存华为VRP/思科IOS系统软件
-
RAM在内存中,ROM只读(既算内存也算存储)
-
SATA容量大(多用于PC/服务器) SAS 性能强,多用于中高端服务器 FC硬盘一般用于高端服务器
M.2 接口,又叫NGFF 两种SSD 基于SATA和NVMe (高速)
企业级SSD:U.2接口 PCIE接口 SAS接口 注意这些常见接口名字!
磁带和磁盘库
很常用:SSD (闪存作为主要介质) 常用:HDD (硬盘作为主要介质) 堆起来(很多)磁带库(磁带作为主要介质,存冷数据)
磁带库是离线的,不容易被攻击。磁带库能耗少。存放时间可以很长。同样的钱可以存更多数据。断后可以重新接上(硬盘有时候一下就坏了)
主流备份介质总结
网络存储系统
存储发展历程
从DAS到FC SAN(可以同时连接上百台服务器) 连接方式:FC光纤,有专用的FC交换机
IP SAN (解决FC SAN在价格和管理上的问题) 各种SAN技术
iSCSI(IP+SCSI)被看好:可以采用非常成熟的IP网络管理工具和基础建设。同时IP网络使用普遍,可以为企业节约很多建设,管理等成本
NAS:CIFS和NFS 提到就是o 文件视频等
iSCSI
iSCSI(Internet Small Computer Systems Interface)是一种基于互联网协议(IP)的存储网络协议,它将小型计算机系统接口(SCSI)命令封装在IP数据包中,以便在以太网和其他IP网络上进行传输。iSCSI使得存储设备(如存储区域网络,SAN)能够通过现有的以太网基础设施连接,降低了构建和维护存储网络的成本和复杂性。
iSCSI是一种灵活且经济高效的存储网络解决方案,适合于各种应用场景,特别是在需要与现有网络兼容时。其基于IP的特性使得它在现代数据中心和云计算环境中得到了广泛应用
核心一句话:iSCSI技术在SAN中用的多
FC组网架构和接口
FCoE技术基本被淘汰,不记
分布式存储(超融合)
分为:分布式文件存储,分布式对象存储,分布式块存储 前两者适合业务对带宽吞吐较高对比如视频监控,云存储等 分布式块存储适合对IO以及时延敏感的比如数据库,云桌面
- 分布式存储系统组成部分:
客户端,元数据节点,数据存储节点
特点:高性能(提供更高的IOPS和吞吐量),高可靠(多节点多副本,多个不同的服务器下面可能也用RAID),容量大(可以扩展,有海量存储资源池),成本低(核心插件有大量硬盘传统服务器)。不过缺点是容易受网络和带宽影响,稳定性较差
比如布置Ceph(分布式文件系统),创建多个副本和节点,存储是和节点成正比的 - 分布式存储是一种将数据分散存放于多台服务器上以提高可用性、可扩展性和容错能力的技术。
- 数据在多个节点间分布,通常涉及更复杂的协议和管理机制。通过网络各个节点之间通信
- 更易于横向扩展,可以通过增加节点来提升存储容量和性能。
- 适合需要处理大量数据、高可用性和扩展性的场景,如大型数据中心、云计算和大数据处理。
- 用于需要跨地域存储和访问的应用,如大规模数据库和对象存储。
分布式存储方式实现数据冗余:多副本技术,纠删码技术
和RAID做理解区分,RAID是在硬盘上直接操作
SAN
- SAN是集中式存储!!
- SAN可分为:FC-SAN和IP-SAN
(认为FC-SAN部署成本高,传输效率高)不过其实IP已经更厉害 - 文件共享存储方式:NAS 备份存储连接方式:SAN
- SAN网络包含服务器到存储,存储之间和(FC)交换机网络。存储仲裁网络,数据库私有网络,核心交换机等提到了都不是
网络安全体系
整体模型
三个维度,x轴八种安全机制,y轴OSI七层模型,Z轴5种安全服务 (了解就行)
具体:
常见信息保障模型:
PDRR模型 Protection,Detection,Recovery,Response
P2DR模型:Policy,Protection。Detection,Responcse
网络攻击和防御
- 主动攻击:假冒,重放,消息篡改,拒绝服务, 对应手段检测而不是预防,有防火墙,IDS
- 被动攻击:嗅探,监听,流量分析 对应手段是加密
- 信息安全基本属性:CIA
Confidentiality 保密性 信息不泄露
Intergrity 完整性 传输提取过程不被修改,不延迟,不乱序
Availability 可用性 被合法用户访问并且可以按要求使用
计算机病毒分类,以及信息收集方式:
- 端口扫描方法:
全TCP连接:利用三次握手,容易被发现
半开扫(SYN扫):发送SYN数据段,连接尚未建立,降低被目标计算机记录的可能性并加快扫描速度
FIN扫(秘密扫描):发送FIN= 1报文给一个关闭的端口时,报文会被丢弃并且返回一个RST报文。如果没有回应说明扫描没有涉及任何TCP连接部分
第三方扫:使用第三方主机来代理,代理扫描
DDOS
拒绝服务攻击和防御:
DOS/DDOS(分布式)消耗主机CPU,内存,磁盘,网络
传统拒绝服务攻击有网络资源限制还有隐蔽性差的缺点。
DDOS攻击架构:
Client(客户端):攻击者主机上
Handler(主控端):运行在已被攻击者入侵并且获得控制的主机上,用来控制代理端
Agent(代理端,也叫肉鸡):运行在已被攻击者入侵而且获得控制权的主机上,从主控端接受命令然后攻击。
- 防御方法:!
加强对数据识别,之中可能有一些特殊字符
设置防火墙监控本地主机端口的使用情况,一些敏感的端口可能被攻击
对通信数据量进行统计分析,攻击数据地址会发出超正常极限的数据量
购买安全设备(防火墙,抗DDOS设备)以及流量清洗服务 - 常见DDOS攻击:
同步包风暴:SYN flooding 发送大量SYN数据包但是不返回ACK
防:修改注册表防御syn flooding 防火墙上开启SYN防范
UDP flooding:发送大量UDP数据
防:流量清洗,限制单个用户带宽
Ping of Death:利用ICMP报文
防:修改注册表防御ICMP,打补丁
流量清洗技术
畸形数据报文过滤,抗拒绝服务攻击,Web应用保护(清洗网站攻击流量)DDoS高防IP服务
缓冲区溢出攻击
往缓冲区写超过长度的内容
SQL注入攻击
获取数据库敏感信息
防:对用户输入做严格检查,防止恶意SQL输入
输出DBS数据库审计系统,WAF防火墙进行安全阻断 Web->APP->DB
XSS跨站脚本攻击
往Web页面里恶意插入html代码,用户浏览页面的时候html代码就会执行
(比如就在评论区中加入恶意代码)
也可以窃取密码(很多网站时铭文记录用户名,密码等)
防:部署WAF网页应用防火墙,或者对用户输入进行过滤比如”<>“
ARP欺骗和DNS欺骗
TCP/IP漏洞包括:
Ping of Death攻击,TearDrop攻击,WinNuke攻击,Land攻击
各种攻击方式的特征
防火墙和访问控制
防火墙实现内部网络(信任网络)和外部网络(非信任网络)之间的隔离和访问控制
过滤技术划分:包过滤,状态化防火墙,应用防火墙
三种防火墙形式:
防火墙和网闸概念对比
使用访问控制列表:ACL (设置rule,以及inbound/outbound)
访问控制模型包括:DAC,MAC(强制访问控制,政府金融中常用),RBAC
区分例题:
区分网闸和防火墙,防火墙应该有对应的区域,缓冲区等
IDS和IPS
论文和大题都能用上的
IDS:入侵检测
IPS:入侵防御
IDS是防火墙之后第二道屏障 , 有什么组成:探测器,分析器,响应单元,事件数据
- 入侵检测系统数据源数据源:操作系统审计记录/操作系统日志
- 网络数据:核心交换机端口镜像,服务器接入交换机端口镜像
入侵检测分类:
- IPS技术简称以及和IDS技术对比区别,注意布置在防火墙后面o
- IPS缺点:单点故障和性能瓶颈。
- 注意:IPS不能数据库审计或者漏洞扫描 (可以进行Web应用防护)
- IPS和IDS都可以包检测分析
扩展知识:
沙箱:检测APT攻击。在虚拟环境中运行可疑文件进行检测
全网协同:探针采集数据,日志分析,流量分析。人工智能大数据智能分析结果
网络安全应用
-
EFS文件加密:
-
SSL介绍,HTTPS
-
SET和PGP
记得IDEA是对称加密的,这个RSA身份验证应该是CA那边那个验证的意思。最后应该还是用RSA(基于对方公钥)加密IDEA密钥
-
S/MIME
按照逻辑最后3DES加密后也会用对面的公钥加密传输过去
Kerberos认证 (重点)
包括KDC(密钥分发中心)AS(认证服务器)TGS(票据分发中心)和应用服务器
关键是认证获得资源访问权限
网络性能管理
通过监测完了过运行状况和通信效率判断网络性能
常用工具:SmartBits,MRTG,Netperf
网络性能测试:
负载测试:在各种工作负载下的性能
压力测试:测试系统的极限性能(比如最大并发,可以看作特殊的负载测试)
强度测试:系统资源特别低时软件系统运行情况,检查程序对异常情况的抵抗能力。测试极限状态下运行,性能下降的幅度是否接收 (和极限性能测试区分!)
容量测试:在主要功能正常运行时,测试反应软件系统应用特征的某项指标的极限值(比如最大并发用户数)
稳定性测试:长时间运行,观察系统出错概率和性能变化
基准测试:测试已知性能基线,比如服务器数量,硬件配置,数据库大小等
网络故障排除
主要是之前整体对于知识的把握,记录一下:
-
交换机不会因为数据转发量过大而CPU利用率过高,因为数据转发走硬件不走CPU
-
配置虚拟路由后,防火墙上的NAT转换(到互联网)对应的主机A/Bde IP地址要排除,否则会影响
-
交换机不会中病毒的!!
-
检查交换机丢包频繁:1、线缆是不是接触不良或者有损坏 2、 网络接口是否有内部金属弹片或者偏位 3检查设备两端接口双工模式,速率,协商模式等是否一致
备份过程中也不要重启交换机检查 -
DHCP Snooping/PPPoE认证可以解决私接路由器问题(会有非授权的DHCP服务导致获取的IP地址异常)
-
ping,tracert,display命令等,不过debug命令少用!!调度资源大,可能导致业务中断
-
RIPv2理论上能学到隔壁路由器的局域网路由(在展示的路由表中)没有学到说明对方未宣告局域网路由~
比如A,B,C顺次连接,A是能够通过B学习到C对应的IP和接口信息的
虚拟专网技术
虚拟专用网(Virtual Private Network,VPN)
一种建立在公网上,由某一组织或者一群用户专用的通信网络
二层:L2TP和PPTP (基于PPP但是不属于PPP)
三层:IPSec 和 GRE (网络层)
四层:SSL/TLS
关键技术:
隧道技术,加解密技术,密钥管理技术,身份验证技术
虚拟专网解决方案以及二层隧道技术,PPP认证方式:
HDLC只支持IP不过PPP支持多协议。HDLC地址不能协商,PPP可以协商
IPsec
IP security
IPsec原理和封装方式
AH,ESP,IKE 传输模式和隧道模式的不同封装
ESP:主要用于数据加密服务
AH:用于数据完整性和源认证(不加密,还有抗重放攻击)
GRE
Generic Routing Encapsulation 通用路由封装协议
对组播技术支持很好但是本身不加密。IPSec对组播支持不佳,所以语音视频等业务中经常使用GRE封装然后再IPSec加密
MPLS虚拟专网主要用于广域网中实现业务隔离 (局域网VlAN,数据中心VxLAN)
补充知识点(扩展)
AAA
-
AAA认证:用来识别用户是不是合法用户
终端设备PC-A发送用户名和密码给NAS,同时AAA辅助认证 -
AAA支持:不认证,本地认证(NAS基本就是AAA),远端认证
-
AAA授权:授予合法用户能够执行的行为,授予用户权限(比如访问资源或者用户执行的操作)
包括:不授权,本地授权,远端授权(包括RADIUS授权和HWTACACS授权) -
RADIUS工作流程: (RADIUS是AAA实现的一种方式)
用户,客户端(路由器等),服务器(比如FREERADIUS)
ACL
-
ACL由若干条permit和deny组成
华为设备:看抓路由还是流量,流量默认permit,路由默认deny (具体看ensp配置)
rule 5 deny source 10.1.1.1 0
步长默认是5(方便插入规则) -
基本ACL(2000-2999)(基于源IP)还有高级ACL(3000-3999)(还有各种别的信息 source IP destination IP destination-port eq 端口号)
分有入站方向(inbound)出站方向(outbound)
ACL总是和防火墙,路由策略,Qos,流量过滤灯技术结合使用(比如流量优先等) -
ACL的方向:
入ACL和出ACL,在一个方向上只能有一个。对于一个包而言会做两次判断,进入和出去(对应出口的ACL)的时候。 -
ACL匹配就相当于给路由器加了一个规则,根据这个规则去查看
1、有没有规则
2、规则中有没有具体的条目
3、判断符不符合条目 -
ACL和AAA的区别:
ACL常用于控制和管理网络流量而AAA则用于管理用户的身份验证
SDN (软件定义网络)
软件定义网络,解决传统厂商设备多,命令杂,部署维护困难,需要额外网管软件等
SDN可以实现流量可视化和分析(不依赖于网管软件和运维系统)
SDN有助于实现网络虚拟化,实现资源整合(数据中心,计算,存储)
- SDN三个特征:转控分离,集中控制,开放可编程口
OpenFlow是南向接口协议的一种
在传统网络中,网络设备(如路由器、交换机)通常具有以下特征:
- 控制平面和数据平面结合:
- 控制平面:负责网络流量的决策,例如路由选择和流量转发。
- 数据平面:执行数据包的转发。
- 在传统网络中,这两个平面都集成在同一个设备中。例如,一个路由器既负责生成和维护路由表(控制平面),也负责根据这些路由表转发数据包(数据平面)。
- 设备个体化管理:
- 每个网络设备通常是独立配置和管理的,网络管理员需要逐个访问设备,以进行设置和维护。这种方式可能导致配置错误、复杂性增加和效率低下。
SDN网络架构
SDN(软件定义网络)采用了一种不同的方式,通过分离控制平面与数据平面,使网络管理和操作更加灵活。
- 分离控制平面和数据平面:
- 控制平面:在 SDN 中,控制平面被集中到一个或多个控制器中,这些控制器负责网络策略、流量管理和路由选择。
- 数据平面:网络设备(如交换机和路由器)则更加简单,它们只执行数据转发的功能,依赖于控制器下发的指令。
- 例如,一个 SDN 控制器能够集中管理多个交换机,可以通过编程的方式动态地调整流量转发规则,而不需要一个个去配置设备。
- 集中控制与编程性:
- 网络管理员可以通过控制器的 API 统一管理整个网络,而不是对每个设备进行手动配置。这使得网络更加灵活,能够快速响应流量变化和网络故障。
- 例如,如果某个交换机的负载过高,SDN 控制器可以实时调整流量,把一部分流量重新路由到其他交换机,而不需要人工干预。
实际例子:流量管理
假设一个企业网络中有多个部门,分别需要不同的带宽和优先级策略。
-
在传统网络中:
- 每个部门的网络管理员需要手动登录到每个网络设备(如交换机、路由器),逐个进行配置,包括带宽限制、QoS(服务质量)设置等。这会导致管理复杂、容易出错,并且响应慢。
-
在 SDN 网络中:
- 所有网络设备的流量管理策略在 SDN 控制器中定义和集中管理。管理员可以通过简单的接口进行全局配置。例如,如果某个部门需要更多带宽,管理员只是需要在控制器的配置中调整这个部门的设定,控制器会自动将这些设置下发到所有相关设备,无需逐个配置。
- 此外,SDN 控制器可以根据实时流量监控动态调整这些规则,实现更高效的带宽管理。
接入技术
带宽的演变历程:
64k拨号 HFC(3.5-7M/s) 2-8M的ADSL 10-1000M光纤入户(pon)
HCF:
-
internet接入采用STDM
上行信道:时隙请求,用户上传数据
下行信道:电视数据,时隙授权,用户下载数据等 -
数字用户线路(DSL)技术中应用最广泛的是非对称数字用户线路ADSL
ADSL:普通电话业务,低速上行数据和高速下行数据
采用频分多路复用和回波抵消技术 (回波抵消所以上行和下行的信道频率可以重叠) -
DMT(调制技术):电话分为256个子信道,每个带宽4kHz。每个子信道上的比特数取决于子信道的质量(这样可以优化传输性能)
-
PON接入:(无源光网络技术)
下行广播(1490nm),上行TDMA(1310nm)
包括OLT,ONU(用户侧光猫)和ODN分光器。ODN将光信号从光线路终端(OLT)传输和分配到多个用户终端(如ONU)
优势(题目来):组网灵活,安装方便(不用额外租用或者组件机房),设备简单安装维护费用低投资少
FTTB技术和FGW技术和PON协调(OLT部署在机房)
虚拟拨号通常采用PPPoE协议 (PPP协议本身支持多种验证方式比如PAP,CHAP,注意是验证o)
网络管理
包括故障管理,配置管理,计费管理,性能管理和安全管理
流量控制一般在核心交换机和出口路由器之间
- 网络进行QoS规划(quality of service),其实包含很多协议和方法,涵盖各个层次
优先级高到低:管理业务,语音业务,上网业务
网络管理协议标准:
CMIS/CMIPLISO制定
SNMP(几个系列):针对TCP/IP网络
RMON:针对局域网环境
CMOL:位于逻辑链路层(LLC)上
TMN:运营商网络中
交换机相关
工作原理:mac地址表,传,记录学习mac+对应端口,每个口都发出去,对应的就会回,记录mac+对应端口。后面就是查表
广播风暴会让mac地址表震荡而不是清空后又占满(这是mac攻击了)因为广播风暴也就那一个mac,出现不同的端口号而已
组播和Qos
-
组播应用于:网络协议RIPv2(224.0.0.9) OSPF (224.0.0.4和5)以及VRRP(224.0.0.18)等都用组播
视频业务:IPTV,网络直播也用 -
组播可以根据IP地址生成mac地址(有对应的方法)
常见组播协议:IGMP,PIM,MSDP,MBGP
路由器会对组播进行转发,(别和广播域搞混了) -
MPLS多标签交换协议:用于解决IP转发效率低(不过已经用的少了)
PUSH:进MPLS域时加标签(报文二层和标签首部之间)
SWAP:当报文在MPLS域内转发的时候分配下一跳标签
POP:离开域的时候撕标签
QoS
解决完了过延迟和阻塞,主要分为集成服务和区分服务
-
集成服务的概念:
-
区分服务的概念
扫一扫
8490
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
