云计算学习2

4 网络加密

 

VPN virtual private network 虚拟个人网络：长连接和加密

 

L2TP(layer 2 tunneling protocol) 二层隧道协议

VPLS(virtual private lan service)虚拟私有局域网服务

IPsec(internet protocol security)网际协议安全

EoMPLS(ethernet over MPLS)基于多协议标签交换的以太网协议

 

个人使用最多的是IPsec SSL

 

IPsec 数据打包加密后在因特网上传输，对端点收到数据后解封装发给最终用户。缺点

1 管理成本高昂

2 安全隐患

3 网络复杂性

 

SSL secure socket layer加密套接字协议。优点：

1 简介的部署模式，浏览器大多自带ssl功能

2 精细的访问控制，只有授权的用户才能访问特定的内部网络资源

3 防火墙穿越，由于工作在传输层之上，因此能够遍历所有防火墙和NAT设备

4 更可靠的安全保护，全程加密传输

 

技术实现：

1 握手协议

定义了建立连接的过程

在客户和服务器传送应用层数据之前，完成诸如加密算法和会话秘钥的确定、通信双方的身份验证

2 记录协议

定义了传输数据的方式

 

SSL VPN类型

1 零客户端模式

2 瘦客户端模式

3 隧道模式

 

---

5 可靠地网络通道

 

标准的QOS流程：流量识别、流量标记、流量处理

 

流量识别：

物理层：物理端口、子接口、PVC接口

数据链路层：MAC cosMPLS EXP

网络层：IP地址、DSCP值、IP 优先级

传输层：UDP TCP端口号

会话层以上：业务数据标签，如URL

 

流量标记：

二层标记：cos class of service 服务等级

三层标记：class selector

 

流量处理：

实时数据：打上EF标签，放入优先队列中，不要超过带宽的三分之一

EF和AF数据：不要超过整体的三分之二

靠近源头限流：如果要限制优先级低的流量，靠近他的网络源头，以免浪费过多的带宽

 

---

 

6 灵活的网络通道

 

1 DNS重定向

 

2 健康路由注入RHI

 

3 LISP locator/identifier separation protocol 位置/身份分离协议

核心思想---MAP and encap (映射与封装)

站点发出的数据包被打伤了两层包头，内部包头为EIDs,外部包头为RLOCs，网络设备依靠RLOCs将数据包送到目的地附近，再去除外部包头，将原始数据送到目的站点。

 

LISP基本架构

ITR 入向隧道路由器

ETR 出向隧道路由器

 

 

LISP内外层包头之间没有耦合关系，这样就可以完全使用不同的地址空间，LISO能用IPV6的外层包头封装一个IPV4的内层数据包，或者在外层包头内写入IPV4地址，而内层包头使用IPV6

 

LISP本质是 map-and-encap :掩盖原始地址，在转发数据的过程中采用新的地址完成路由

 

LISP与传统的VPN比较：能适应多点的网络需要

有强大的控制平面和数据平面

 

 

---

 

7 虚拟化数据扩张

 

传统网络模型：核心、汇聚和接入

 

TRILL reansparent Interconnection of Lots of Links多链接半透明互联

 

SPB  shortest path bridging 最短桥接路径

 

STP spanning tree protocol 生成树协议

 

FabricPath目标

1 两点间多条路径同事转发流量ECMP

2 类似IP网络的平滑扩展

3 快速收敛

4 防止广播风暴

5 保持原有二层网络配置的简洁性

 

FabricPath实现：

1 主动建立邻居关系表，并基于链路状态维护一个路由数据库

2 支持等价路由

3 支持灵活的寻址方式

4 保留原有的二层网络配置简单的风格

 

新增二层帧头：原地址、目的地址、TTL

 

如果使用MAC地址作为唯一标识，生成的将是一个随机结构，这有可能导致最终的转发路径不是当前的最优路径

 

FabricPath基于会话的MAC地址学习，目的地址为本地设备的数据帧的源地址会被放入网关的MAC地址表中

 

IETF--网络层，非原则维护因特网协议集

IEEE--数据链路层，开发以太网协议集

 

 

---

8 利用以太网传输数据

 

 

FCoE Fiber channel over Ethernet   --- 基于以太网的光纤存储流量

 

DAS 直连式存储

SAN 存储数据网络

 

FCOE基本思路：

将原来使用FC光纤传送的存储数据封装到以太网帧中来传输，这样用户只需要维护一套LAN网络就能够同事满足数据和存储两种流量的传输需求

 

【FCOE数据平面】

FCOE对以太网提出的三点改进意见：

1 不丢包的传输链路

2 灵活带宽的调度能力

3 与现有的以环境兼容

 

【FCOE控制平面】

FIP协议：

1 确认本次FCOE传输使用的VLAN

2 完成FLOGI等注册过程

3 初始化完成后通过发送心跳信息保持链路

4 完成链路终结动作

 

FCOE设备

1 ENode 终结流量的设备

2 FCF 转发流量的设备

 

FCOE的演化

1 纯以太网模式

2 FIP snooping模式：监听

3 NPV模式 读取FLOGI等FC的注册过程，并且实施流量负载均衡

4 VE_Port互联模式 

能够看到每一跳的节点，

能够使用SAN监控和排错工具管理每一跳设备上的流量

能够维持严格的SAN A/SAN B隔离策略