云计算中网络基础知识

前言

网络是由各种网络设备组成，虚拟化中的网络除了传统的能看得到物理网络外，还包括运行在服务器内部看不到的网络，

虚拟化中网络的架构

一台虚拟机能连接多少台虚拟交换机取决于有多少张网卡。
南北向流量，流量需要经过路由器转发出去。

网络基础概念

广播Broadcast：one-to-all
ARP 地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。效率、安全问题ARP欺骗。

单波Unicast：one-to-one
组播（多播）Multicast：加入了同一个组的主机可以接受到此组内的所有数据
任播Anycast：IPV6

VLAN

虚拟局域网Virtual Local Area Network
MAC地址6字节48比特
数据链路层以太网帧结构

VLAN帧格式

交换机端口处理方式：转发丢弃泛洪
每个端口有PVID默认是1

ACCESS口

连接主机、仅允许唯一的VLAN ID通过端口，这个值与端口的PVID相同、如果access口收到untagged帧，交换机强制加上该端口的PVID、access口发往对端设备的以太网帧永远是untagged帧

Trunk口

连接交换机、在交换机之间传输tagged帧，可以自由设定允许通过多个VLAN-ID，这些VLAN ID可以和PVID相同，也可以不同、如果VLAN ID不再允许列表内丢弃，如果在允许列表内直接转发，不做任何改变、特殊情况：如果VLANID等于本端口的PVID，去标签后转发，只有在这种情况下Trunk发出去的是untagged帧。

VLAN的好处

限制广播域：节省带宽，提高网络处理能力，
增强局域网安全性：不同VLAN的报文在传输过程中相互隔离。
提高网络健壮性：本VLAN内的故障不会影响到其他VLAN
灵活构建工作组：同一工作组的用户也不必局限于某一物理范围，网络部署维护更灵活

物理网络包含的设备

网卡 mac地址48位独一无二的

二层交换机

1、级联，增加端口密度，通过直通电缆使用级联端口将多个交换机连接，可以连接不同厂家，不同型号的交换机。
2、堆叠，增加端口密度和性能，所有交换机逻辑成一台整体设备，一般相同类型交换机才可以做堆叠，堆叠有主交换机，备份交换机和从交换机。
3、端口镜像，把交换机中一个或者多个端口接受或发送的数据完全赋值给另一个端口

路由器的转发是基于软件，转发效率低，端口少，价格昂贵，交换机的转发基于AISC芯片，属于硬件转发。

三层交换机

增加了路由模块的交换机
一次路由多次转发
查看路由表-如果没有响应条目-由路由器模块完成IP地址到具体的端口映射-修改报文内容-修改硬件转发表-下次直接转发。

路由器

ospf rip bgp
静态、动态路由
路由器主要特点：连接异种网络，适配速率，隔离网络，选择最佳路线
路由器分类：接入路由器、核心路由器
网卡绑定模式mode共有七种(0~6) bond0、bond1、bond2、bond3、bond4、bond5、bond6
常用的有三种
mode=0：平衡负载模式，有自动备援，但需要”Switch”支援及设定。
mode=1：自动备援模式，其中一条线若断线，其他线路将会自动备援。
mode=6：平衡负载模式，有自动备援，不必”Switch”支援及设定。

虚拟化中虚拟网络介绍

私有地址：只能在内部网络，不能做公网地址。
A类10.0.0.0-10.255.255.255 B类172.16.0.0-172.31.255.255 C类192.168.0.0-192.168.255.255
节省IP地址，有效避免外部网络攻击，保护内部计算机

bridged(桥接模式)

在bridged模式下，VMWare虚拟出来的操作系统就像是局域网中的一台独立的主机，它可以访问网内任何一台机器。在bridged模式下，需要手工为虚拟系统配置IP地址、子网掩码，而且还要和宿主机器处于同一网段，这样虚拟系统才能和宿主机器进行通信。同时，由于这个虚拟系统是局域网中的一个独立的主机系统，那么就可以手工配置它的TCP/IP配置信息，以实现通过局域网的网关或路由器访问互联网。使用bridged模式的虚拟系统和宿主机器的关系，就像连接在同一个Hub上的两台电脑。想让它们相互通讯，就需要为虚拟系统配置IP地址和子网掩码，否则就无法通信。如果想利用VMWare在局域网内新建一个虚拟服务器，为局域网用户提供网络服务，就应该选择bridged模式。

NAT(网络地址转换模式)

使用NAT模式，就是让虚拟系统借助NAT(网络地址转换)功能，通过宿主机器所在的网络来访问公网。
桥接是通过网桥来连接的若干局域网，他工作在数据链路层
nat是工作在网路层，是解决网络地址不足的技术，它可以保护内部主机免受外部攻击，可以实现服务器负载均衡。有多中类型，包括静态地址转换，动态地址转换，复用动态地址转换。

安全组防火墙

防火墙一般放在网关上，用来隔离子网间的访问，安全组配置在虚拟机网卡上，通过配置规则来限制虚拟网卡的流量的进出访问。
安全组特性
通过宿主机iptables规则控制流量，
安全组的规则都是allow，不能定义deny规则。
网卡可以应用多个安全组叠加来使用这些安全组里面的规则。