IP地址耗尽促成了CIDR的开发,但是CIDR开发的主要目的是为了有效的使用现有的INTERNET地址,而
同时根据RFC1631(IPNETWORKADDRESSTRANSLATOR)开发的NAT却可以在多重的INTERNET子网中使
用相同的IP地址,用来减少注册IP地址的使用。
NAT的分为:静态NAT、动态NAT、端口NAT(PAT)。
静态NAT:内部网络中的每个主机都被永久的映射成外部网络中的某个合法地址;
动态NAT:在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络;
PAT:是人们比较熟悉的一种转换方式。PAT普遍应用于接入设备中,它可以将中小型的网络隐藏在一
个合法的IP地址后面。PATT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址
上,同时在该地址上加上一个由NAT设备选定的TCP端口号。也就是采用portmultiplexing技术,或改
变外出数据的源port的技术将多个内部ip地址映射到同一个外部地址。
网络地址转换(NAT)是一个Internet工程任务组(InternetEngineeringTaskForce,IETF)标准,用于允许
专用网络上的多台PC(使用专用地址段,例如10.0.x.x、192.168.x.x、172.x.x.x)共享单个、全局路由的
IPv4地址。IPv4地址日益不足是经常部署NAT的一个主要原因。WindowsXP和WindowsMe中
的"Internet连接共享"及许多Internet网关设备都使用NAT,尤其是在通过DSL或电缆调制解调器连接宽
带网的情况下。
NAT对于解决IPv4地址耗费问题(在IPv6部署中却没必要)尽管很有效,但毕竟属于临时性的解决方案。
这种IPv4地址占用问题在亚洲及世界其他一些地方已比较严重,且日渐成为北美地区需要关注的问题。
这就是人们为什么长久以来一直关注使用IPv6来克服这个问题的原因所在。
除了减少所需的IPv4地址外,由于专用网络之外的所有主机都通过一个共享的IP地址来监控通信,因此
NAT还为专用网络提供了一个隐匿层。NAT与防火墙或代理服务器不同,但它确实有利于安全。
1.连接到INTERNE,但却没有足够的合法地址分配给内部主机;
2.更改到一个需要重新分配地址的ISP;
3.有相同的IP地址的两个INTRANET合并;
4.想支持负载均衡(主机);
1.TRANSLATION INSIDE LOCALADDRESS-----------将内部地址一对一的翻译成外部地址;
2.OVER LOADING INSIDE GLOBAL ADDRESS---------将内部地址多对一的翻译成外部地址,通过地址加
端口号的方式区别不同的本地地址。这种方式就是所谓的PAT/color:43aa144927;
3.TCP LOAD DISTRIBUTING----提供在多个、利用率高的主机之间进行负载分担的方法;
4.HANDLING OVER LAPPING NETWORK----这种方法主要用于两个INTRANET的互联.
NAT的地址转换是指每个内网地址都被转换成ip地址+源端口的方式,这需要公网ip地址为多个。
而PAT由于ip地址不足够,就会出现内网地址被转换成ip地址+端口段的形式,这样的公网ip地址通常只
是一个。
256M
raid0:条带卷,利用率100%,相对读写速率最快,相对安全性差。数据随机存入到阵列中的一个磁盘
上。同时从2块磁盘读数据;读速度与raid1相差不多;
raid1:镜像卷,使用率50%,相对读写速率一般,相对安全性高。最少2块磁盘组成,数据同时存入到两
块磁盘上。同时从2块磁盘读数据;写速度会比raid0慢;
raid5:带奇偶校验的镜像卷,相对读写速率较快,相对安全性高可以添加热被磁盘作为冗余。
Find /usr/local/test -size +100k -a -size -500k -exec mv {}/tmp;
硬链接不会创建新的inode,只是给源文件多加了一个文件名 软链接创建新的inode,相当于重新创建
了一个文件
硬链接不能跨分区 软链接可以跨分区
硬链接删除源文件后,另一个文件还能用 软链接删除源文件后,链接文件不能再使用
VSZ:虚拟内存集,进程占用的虚拟内存空间
RSS:物理内存集,进程战用实际物理内存空间.
Dd if=/dev/sda of=./mbr.txt bs=1M count=512
由于RAID5磁盘阵列兼顾了安全性和速度,所以有一块磁盘是要被用作安全备份区的,所以6块300G的磁
盘实际使用到的只有5块5*300=1500G
显示网络接口常见命令是:ifconfig或者ipa;查看服务端口的命令是:ss-anptul
1.部署基础环境:关闭防火墙;关闭selinux;安装编译器
2.下载、解压软件包
3、配置安装路径
4、编译
5、安装
tcpdump -n tcpport80(tcpdump -i ens33 ‘tcp port 80’)
ls cat mkdir touch useradd rm ps ip ifconfig pwd cd cp scp mv ss find
echo tar vim ping systemctl
linux内核参数调整说明
所有的TCP/IP调优参数都位于/proc/sys/net/目录。例如,下面是最重要的一些调优参数,后面是它们的含
义:
1./proc/sys/net/core/rmem_max—最大的TCP数据接收缓冲。
2./proc/sys/net/core/wmem_max—最大的TCP数据发送缓冲。
3./proc/sys/net/ipv4/tcp_timestamps—时间戳在(请参考RFC1323)TCP的包头增加12个字节。
4./proc/sys/net/ipv4/tcp_sack—有选择的应答。
5./proc/sys/net/ipv4/tcp_window_scaling—支持更大的TCP窗口.如果TCP窗口最大超过65535(64KB),
必须设置该数值为1。
6.rmem_default—默认的接收窗口大小。
7.rmem_max—接收窗口的最大大小。
8.wmem_default—默认的发送窗口大小。
9.wmem_max—发送窗口的最大大小。
/proc目录下的所有内容都是临时性的,所以重启动系统后任何修改都会丢失。
建议在系统启动时自动修改TCP/IP参数:
把下面代码增加到/etc/rc.local文件,然后保存文件,系统重新引导的时候会自动修改下面的TCP/IP参数:
echo256960>/proc/sys/net/core/rmem_default
echo256960>/proc/sys/net/core/rmem_max echo256960>/proc/sys/net/core/wmem_default
echo256960>/proc/sys/net/core/wmem_max echo0>/proc/sys/net/ipv4/tcp_timestamps
echo1>/proc/sys/net/ipv4/tcp_sack echo1>/proc/sys/net/ipv4/tcp_window_scaling
TCP/IP参数都是自解释的,TCP窗口大小设置为256960,禁止TCP的时间戳(取消在每个数据包的头中增加
12字节),支持更大的TCP窗口和TCP有选择的应答。
1.密码策略 修改系统的密码策略1)经常修改密码2)使用一些特殊的字符和密码的长度增加密码的难度
3)不要随便告诉他人密码
2.权限ugo锁定系统中不必要的系统用户和组 锁定下列用户,锁定之前备份/etc/passwd和/etc/shadow
文件 禁用无关的组 禁止root用户远程登录
3.预防flood攻击linux中预防SYNflood.在/etc/sysctl.conf文件中添加net.ipv4.tcp_syncookies=1
4.加固TCP/IP协议设置/etc/sysctl.conf文件相应权限
5.默认权限与umask不要修改正确的umask值022
6.做任何修改文件的动作先备份再做操作
1.临时调整内核参数
开启内核路由转发功能,通过01设置开关 #echo"1">/proc/sys/net/ipv4/ip_forward
禁止所有的icmp回包(禁止其他主机ping本机) #echo"1">/proc/sys/net/ipv4/icmp_echo_ignore_all
调整所有进程可以打开的文件总数ps:如果大量用户访问时,可以因为该数字太小而导致错误
#echo"108248">/proc/sys/fs/file-max
2.永久调整内核参数 vim/etc/sysctl.conf
开启内核路由转发功能,通过01设置开关 net.ipv4.ip_forward=1
禁止所有的icmp回包(禁止其他主机ping本机) net.ipv4.icmp_echo_ignnore_all-=1
调整所有进程可以打开的文件总 fs.file-max=108248
sar综合命令 mpstat11cpu监测 free-m内存使用 top负载
CPU利用率的命令:top或sar
查看系统版本的命令:cat/etc/redhat-release或uname-a
网卡历史流量:sar-nDEV-f/var/log/sa/saxx#查看xx日的网卡流量历史
实时查看网卡流量:sar-nDEV15(每间隔1秒刷新一次,共5次)
Netstat -n |awk’/^tcp/{print$5}’|awk -F: ‘{print$1}’|sort| uniq-c
find /home -name “*.ok” -mtime +7
Dd if=/dev/zero of=test bs=10M count=1024
压缩打包命令:tar -czf filename. Tar dirname Zip filename. Zip dirname Gzip filename bzip2 -z
filename
解压包命令:tar -xf filename.tar unzip filename.zip gzip -d filename.gz bzip2 -d filename.bz2
1-65535
http:80 https:433 ftp:21 mysql:3306 redis:6379
ftp:21控制端口 20数据端口 http:80 dns:53 smtp:25"简单邮件传输协议" pop3:110"邮局协议版
本3" 3389:window远程桌面
dhcp:客户端是以UDP68 服务器是以UDP67 tftp:69文件传输协议 mysql:3306 ssh:22 https:
443
centos7:有三种 1.systemctl enable服务名
2.vim/etc/rc.localsystemctlstart服务名
3.vim/etc/fstabsystemctlstart服务名
1.scp -r 源文件路径目标文件 ip:目标文件路径
2.rsync-avr源文件路径目标文件 ip:目标文件路径
Telnet:不安全,没有对传输的数据进行加密,容易被监听还有遭受中间人攻击,telnet不能压缩传输
数据,所以传输慢;
ssh:对数据进行了RSA加密,安全性高,ssh传输数据是经过压缩的,所以数据传输速度比较快
1.ping 服务器ip
2.ss -antul|grep 服务端口
3.ps aux|grep 服务名
4.systemctl status 服务名
--------------------2019年10月31日更新---------------------------
rsyslog
icmp
批量装机:pxe
#runlevel//查看当前的运行级别
#chkconfig–level5teston
00 6-12/2 * 11 * bash/usr/bin/httpd.sh
crontab -e */30 7-23 * * * systemctl restart httpd>/dev/null2>&1
30 0 * * * tar-zcf date+%Y%m%d.html.tar.gz /var/ww/html
404(未找到)服务器找不到请求的网页。
410(已删除)如果请求的资源已永久删除,服务器就会返回此响应。
504(网关超时)服务器作为网关或代理,但是没有及时从上游服务器收到请求。
502(错误网关)服务器作为网关或代理,从上游服务器收到无效响应。
线程:线程来源与进程,线程模式需要事先开启
线程模式并发量高 相对与进程模式来说没有进程模式稳定 共享内存 不支持php
进程:进程稳定性高;线程稳定性低
进程独占内存;线程共享进程的内存一个进程可以有多个线程;
dhcp客户端是使用广播地址来向全网发送广播包来寻找dhcp服务器的
源地址是0.0.0.0 广播地址是:255.255.255.255 客户端没有IP地址才需要申请,所以它只能用0.0.0.0来
代替它的ip,向服务器端申请ip地址。
-------------------------------2019年11月1日更新------------------------------
主要目的是为了方便我们的主机IP地址的配置,如果网络中存在大量的主机时,可通过部署DHCP协
议,由DHCP服务器分配可用地址给主机。
客户端启用了DHCP,开机后,它会发布一个的广播报文,广播报文经过网关时会带上相应标记,要使
路由可达,当DHCP服务器收到这个报文后,DHCP服务器会根据报文标记,分配一个网关所在网段IP地
址给客户端,如果所有客户端未划分网关,DHCP会在地址池内随机分配IP给客户端
地址池:在用户定义了DHCP范围及排除范围后,剩余的地址构成了一个地址池,地址池中的地址可以
动态的分配给网络中的客户机使用。地址池仅对自动获取IP的方式有效,手动设置IP只要符合规则可无
视此项。
user_config_dir=/etc/vsftpd/userconf
vim /etc/vsftpd/userconf/zhanghu local_root=/zhanghu
模式:主动模式(ActiveFTP)和被动模式(PassiveFTP)
1、在主动模式下:FTP客户端随机开启一个大于1024的端口N,向服务器的21号端口发起连接,然后
开放N+1号端口进行监听,并向服务器发出PORTN+1命令。服务器接收到命令后,会用其本地的FTP数
据端口(通常是20)来连接客户端指定的端口N+1,进行数据传输。
客户端使用1024以上的端口连接服务器的21号端口,并且会事先开启一个1024+N的端口准备让服务器来
连接,服务器得知客户端准备的端口后,用20号端口与客户端连接,创建数据链路时server端处于主动去连
接客户端的状态固称为主动传输模式
2、在被动模式下:FTP客户端随机开启一个大于1024的端口N,向服务器的21号端口发起连接,同时
会开启N+1号端口。然后向服务器发送PASV命令,通知服务器自己处于被动模式。服务器收到命令后,
会开放一个大于1024的端口P进行监听,然后用PORTP命令通知客户端,自己的数据端口是P。客户端
收到命令后,会通过N+1号端口连接服务器的端口P,然后在两个端口之间进行数据传输。
客户端使用1024以上的端口连接服务器的21号端口,服务器接到连接请求后,开启一个1024+M的端口等
待客户端来连接,再通知客户端这个等待连接的端口号是1024+M,客户端接到服务器端的信息后,开启新
的一个1024+N的端口与1024+M进行连接,创建数据连接时,server端处于被客户端连接的状态,固称为被
动传输模式
vsftp默认是根据客户端不同而使用不同模式,windows客户端则使用主动,linux客户端则使用被动
可以用pasv_enable=NO来强制使用主动
总的来说,主动模式的FTP是指服务器主动连接客户端的数据端口,被动模式的FTP是指服务器被动地
等待客户端连接自己的数据端口。
dns有两个情况,一种是区域传输,一种是域名解析
1.区域传输时,一个区中主DNS服务器从自己本机的数据文件中读取该区的DNS数据信息,而辅助DNS
服务器则从区的主DNS服务器中读取该区的DNS数据信息,传输协议是tcp。
2.域名解析时,首选的通讯协议是udp
使用udp传输,不用经过TCP三次握手,这样DNS服务器负载更低,响应更快
但是当域名解析的反馈报文的长度超过512字节时,将不能使用udp协议进行解析,此时必须使用tcp
1.用户输入网址到浏览器;
2.浏览器发出DNS请求信息;
3.计算机首先查询本机HOST文件,不存在,继续下一步;
4.计算机按照本地DNS的顺序,向区域dns服务器查询IP结果;区域dns服务器查询不到时会从根域开
始,按照DNS层次结构向下搜索,直至对于信息具有权威性;
5.将返回dns结果给本地dns和本机,本机和本地dns并缓存本结果,直到TTL过期,才再次查询此结
果;
6.返回IP结果给浏览器;并给本地的DNS一份结果;
7.浏览器根据IP信息,获取页面;
#vim/etc/ssh/ssh_config /Port查找端口行,删除#,将22修改为目标端口
#vim/etc/ssh/sshd_config /Port查找端口行,删除#,将22修改为目标端口
#systemctl restart sshd
用nfs做nas存储,当访问的过多时;会比较卡: 提升交换机的配置原来是百兆的话要提升到千兆或者万兆
单引强引硬引取消引号内特殊字符的意义
双引弱引软引取消部分引号内特殊字符的意义让多个以空格为分隔符的字符串形成一个整体字符串
mysqldump
#vimmysqldump.sh
Mysqldump -uroot -p’QianFeng@123’
-A–single-transaction
–routines–triggers–master-data=2
–flush-logs\ >/backup/date+%F-%H -mysql-all.sql
-----------------------2019年11月02号更新----------------------------
监控tomcat的开启和关闭;或是端口8005,8009;
http与tomcat连接是8080端口;与nginx是不需要端口
1.可以写脚本+计划任务
2.可以使用nagios
3.可以使用zabbix在agent的配置文件内定义key:
#vim/etc/zabbix/zabbix_agentd.conf
UserParameter=tomcat_port*:/tomcat_monitor.sh$1
编写脚本:
#vim/tomcat_monitor.sh
if 1 − e q 8080 ; t h e n l s o f − i : 8080 r e t u r n 1-eq 8080;then lsof-i:8080 return 1−eq8080;thenlsof−i:8080return? elif$1-eq8005;then lsof-i:8005
return$? else return8 fi
文件锁:
编译安装时需要写此脚本;
笔记上有答案5nginx安装7小步设置开机启动
#vi/etc/init.d/nginx #!/bin/bash #chkconfig:-9920
#description:Oooothisismynginxstartupscript
PROG="/usr/local/nginx/sbin/nginx" PIDF="/usr/local/nginx/logs/nginx.pid"
case"$1"in start) P R O G ; ; s t o p ) k i l l − s Q U I T PROG ;; stop) kill-sQUIT PROG;;stop)kill−sQUIT(cat$PIDF) ;; restart) $0stop 0 s t a r t ; ; r e l o a d ) k i l l − s H U P 0start ;; reload) kill-sHUP 0start;;reload)kill−sHUP(cat$PIDF) ;; *)
echo"Usage:$0{start|stop|restart|reload}" exit1 esac exit0
#chmod+x/etc/init.d/nginx #chkconfig–addnginx
#vimiptables.sh
Iptables -t filte r-I INPUT -p tcp! --dport80 -j DROP
#vimcleanlog.sh
#清理日志脚本
tar -czf /log_backup/conn_date+%y年%m月%d号-%H:%M:%S.log.tar.gz /var/logs/conn.log
wait $$ rm-rf/var/logs/conn.log find/log_backup/-mtime+30-execrm{};
For I in{1…5}
do
useradd user$i
suijishu=opensslrand-hex2|sed-r"s/(...)(.)/\1:\2/g"|awk-F:'{print$1}'
echo user i i isuijishu | passwd --stdin user$i
done
$ 0、$ n、$ #、$ ?、$ *、$ $ 、$ (#aa)
$0当前读取内容
$n位置变量
$#参数个数上一语句的返回值
$$ pid
$*所有参数
sed-ri’s/jdbc.username/blue/g’config.properties
sedri’s/jdbc.password/pass1234/g’config.properties
find /var/log -typef | wc-l
cat/var/log/httpd/access_log|awk’{ips$1++}END{for(iinips){print$iips\i}}’|sort-rn-k2|head-5
for i inrange(3):
u=input("user>:")
p=input("pwd>:")
if u=="yg"or u=="sk"and p=="123":
print("登陆成功")
break
else:
print("登陆失败")
-----------------------------11月8号更新-----------------------------------------------------------------
从库生成两个线程,一个I/O线程,一个SQL线程;
i/o线程去请求主库 的binlog,并将得到的binlog日志写到relay log(中继日志) 文件中;
主库会生成一个 log dump 线程,用来给从库 i/o线程传binlog;
SQL 线程,会读取relay log文件中的日志,并解析成具体操作,来实现主从的操作一致,而最终数据一致;
Innodb引擎
MyIASM引擎
设置MySQL双一模式,将需要同步的数据保存到磁盘中。
innodb_flush_log_at_trx_commit
如果innodb_flush_log_at_trx_commit设置为0,log buffer将每秒一次地写入log file中,并且log file的flush(刷到磁盘)操作同时进行.该模式下,在事务提交的时候,不会主动触发写入磁盘的操作。
如果innodb_flush_log_at_trx_commit设置为1,每次事务提交时MySQL都会把log buffer的数据写入log file,并且flush(刷到磁盘)中去.
如果innodb_flush_log_at_trx_commit设置为2,每次事务提交时MySQL都会把log buffer的数据写入log file.但是flush(刷到磁盘)操作并不会同时进行。该模式下,MySQL会每秒执行一次 flush(刷到磁盘)操作。
sync_binlog
sync_binlog 的默认值是0,像操作系统刷其他文件的机制一样,MySQL不会同步到磁盘中去而是依赖操作系统来刷新binary log。
当sync_binlog =N (N>0) ,MySQL 在每写 N次 二进制日志binary log时,会使用fdatasync()函数将它的写二进制日志binary log同步到磁盘中去。
可用keepalived做主从,主宕机可以切到优先级高的服务器,让优先级高的服务器做主。
MySQLdump -uroot -ppassword 1601G > backup.bak
MySQLdump -uroot -ppassword 1601G >> backup.bak
mysqldump命令做备份
mysql命令做还原
MySQL内核优化
MySQL配置参数优化,此优化需要进行压力测试来进行参数调整
对SQL语句以及表优化