zoukankan      html  css  js  c++  java
  • 云计算学习2

    4 网络加密

     
    VPN virtual private network 虚拟个人网络:长连接和加密
     
    L2TP(layer 2 tunneling protocol) 二层隧道协议
    VPLS(virtual private lan service)虚拟私有局域网服务
    IPsec(internet protocol security)网际协议安全
    EoMPLS(ethernet over MPLS)基于多协议标签交换的以太网协议
     
    个人使用最多的是IPsec SSL
     
    IPsec 数据打包加密后在因特网上传输,对端点收到数据后解封装发给最终用户。缺点
    1 管理成本高昂
    2 安全隐患
    3 网络复杂性
     
    SSL secure socket layer加密套接字协议。优点:
    1 简介的部署模式,浏览器大多自带ssl功能
    2 精细的访问控制,只有授权的用户才能访问特定的内部网络资源
    3 防火墙穿越,由于工作在传输层之上,因此能够遍历所有防火墙和NAT设备
    4 更可靠的安全保护,全程加密传输
     
    技术实现:
    1 握手协议
    定义了建立连接的过程
    在客户和服务器传送应用层数据之前,完成诸如加密算法和会话秘钥的确定、通信双方的身份验证
    2 记录协议
    定义了传输数据的方式
     
    SSL VPN类型
    1 零客户端模式
    2 瘦客户端模式
    3 隧道模式
     

    5 可靠地网络通道

     
    标准的QOS流程:流量识别、流量标记、流量处理
     
    流量识别:
    物理层:物理端口、子接口、PVC接口
    数据链路层:MAC cosMPLS EXP
    网络层:IP地址、DSCP值、IP 优先级
    传输层:UDP TCP端口号
    会话层以上:业务数据标签,如URL
     
    流量标记:
    二层标记:cos class of service 服务等级
    三层标记:class selector
     
    流量处理:
    实时数据:打上EF标签,放入优先队列中,不要超过带宽的三分之一
    EF和AF数据:不要超过整体的三分之二
    靠近源头限流:如果要限制优先级低的流量,靠近他的网络源头,以免浪费过多的带宽
     

     

    6 灵活的网络通道

     
    1 DNS重定向
     
    2 健康路由注入RHI
     
    3 LISP locator/identifier separation protocol 位置/身份分离协议
    核心思想---MAP and encap (映射与封装)
    站点发出的数据包被打伤了两层包头,内部包头为EIDs,外部包头为RLOCs,网络设备依靠RLOCs将数据包送到目的地附近,再去除外部包头,将原始数据送到目的站点。
     
    LISP基本架构
    ITR 入向隧道路由器
    ETR 出向隧道路由器
     
     
    LISP内外层包头之间没有耦合关系,这样就可以完全使用不同的地址空间,LISO能用IPV6的外层包头封装一个IPV4的内层数据包,或者在外层包头内写入IPV4地址,而内层包头使用IPV6
     
    LISP本质是 map-and-encap :掩盖原始地址,在转发数据的过程中采用新的地址完成路由
     
    LISP与传统的VPN比较:能适应多点的网络需要
    有强大的控制平面和数据平面
     
     

     

    7 虚拟化数据扩张

     
    传统网络模型:核心、汇聚和接入
     
    TRILL reansparent Interconnection of Lots of Links多链接半透明互联
     
    SPB  shortest path bridging 最短桥接路径
     
    STP spanning tree protocol 生成树协议
     
    FabricPath目标
    1 两点间多条路径同事转发流量ECMP
    2 类似IP网络的平滑扩展
    3 快速收敛
    4 防止广播风暴
    5 保持原有二层网络配置的简洁性
     
    FabricPath实现:
    1 主动建立邻居关系表,并基于链路状态维护一个路由数据库
    2 支持等价路由
    3 支持灵活的寻址方式
    4 保留原有的二层网络配置简单的风格
     
    新增二层帧头:原地址、目的地址、TTL
     
    如果使用MAC地址作为唯一标识,生成的将是一个随机结构,这有可能导致最终的转发路径不是当前的最优路径
     
    FabricPath基于会话的MAC地址学习,目的地址为本地设备的数据帧的源地址会被放入网关的MAC地址表中
     
    IETF--网络层,非原则维护因特网协议集
    IEEE--数据链路层,开发以太网协议集
     
     

    8 利用以太网传输数据

     
     
    FCoE Fiber channel over Ethernet   --- 基于以太网的光纤存储流量
     
    DAS 直连式存储
    SAN 存储数据网络
     
    FCOE基本思路:
    将原来使用FC光纤传送的存储数据封装到以太网帧中来传输,这样用户只需要维护一套LAN网络就能够同事满足数据和存储两种流量的传输需求
     
    【FCOE数据平面】
    FCOE对以太网提出的三点改进意见:
    1 不丢包的传输链路
    2 灵活带宽的调度能力
    3 与现有的以环境兼容
     
    【FCOE控制平面】
    FIP协议:
    1 确认本次FCOE传输使用的VLAN
    2 完成FLOGI等注册过程
    3 初始化完成后通过发送心跳信息保持链路
    4 完成链路终结动作
     
    FCOE设备
    1 ENode 终结流量的设备
    2 FCF 转发流量的设备
     
    FCOE的演化
    1 纯以太网模式
    2 FIP snooping模式:监听
    3 NPV模式 读取FLOGI等FC的注册过程,并且实施流量负载均衡
    4 VE_Port互联模式 
    能够看到每一跳的节点,
    能够使用SAN监控和排错工具管理每一跳设备上的流量
    能够维持严格的SAN A/SAN B隔离策略
     
     
     
  • 相关阅读:
    《C# to IL》第一章 IL入门
    multiple users to one ec2 instance setup
    Route53 health check与 Cloudwatch alarm 没法绑定
    rsync aws ec2 pem
    通过jvm 查看死锁
    wait, notify 使用清晰讲解
    for aws associate exam
    docker 容器不能联网
    本地运行aws lambda credential 配置 (missing credential config error)
    Cannot connect to the Docker daemon. Is 'docker daemon' running on this host?
  • 原文地址:https://www.cnblogs.com/xing901022/p/3480978.html
Copyright © 2011-2022 走看看