分类目录归档:网络基础

重构网络(二)——非可信流量如何穿越安全边界?

如何尽可能减少网络的暴露程度,提高安全性,这似乎一直是业内一个头等问题,以至于SDP(软件定义边界)这个属于应运诞生。传统VPN不开启路由屏蔽可能存在流量泄漏,开启路由屏蔽全流量到服务端意义不大,而且VPN很难保障客户端是可信的,那么在无法确定这个问题的情况下,一口气把大门完全打开,这样真的好吗?

继续阅读

BGP局部详解

以前对BGP了解不多,随着工作之后接触这玩意越来越多,再加上对EVPN的深入了解,发现BGP这东西简直是全能神,什么都能撑起来。H3C新园区(应用驱动园区)的大二层就是靠MP-BGP实现的(也就是BGP EVPN),不论是分布式EVPN还是3-stage还是5-stage的CLOS均能看到BGP的身影;在数据中心,不论是Underlay还是Overlay,也都有BGP的身影,更别说城域网了。BGP是互联网的骨架,觉得这句话形容得再合适不过了。

继续阅读

102网管——技术总结

欢迎捧场,此次专栏“102网管”围绕这一年来我在学院给的实验室(102)中所部署的所有东西进行了一遍总结,以备日后使用,同时也share给大家,其中的技术原理我尽量解释清楚,感兴趣的小伙伴们可以来学习一下。

继续阅读

斐讯K2T原机运行OpenWRT内存OOM解决

家境贫寒的我为了能够为家里带来更好的无线网络体验,决定购买一台全高通方案的设备用来做AP。在逛了各大论坛后,还是不顾朋友反对买了斐讯的K2T,原因就是因为它便宜(并夕夕123元拿下,相对全高通千兆方案中算是廉价的了),只可惜其64M RAM运行自编译的OpenWRT时频繁因为OOM(Out Of Memory)导致crash,在经过不断优化后终于能用了。

继续阅读

组网雷区——MTU

最大传输单元(Maximum Transmission Unit,MTU)是指一种通信协议的某一层上面所能通过的最大数据包大小(以字节为单位)。MTU在布网时很容易被忽视(反正我是忽视了),以至于造成了很多奇奇怪怪的问题,经过一番研究后发现罪魁祸首在MTU的设置,总结一下原理和问题所在。

继续阅读

移花接木——利用UPnP和SSTP实现局域网对公映射

IPv4使用NAT和CIDR无分类域间路由来实现IPv4地址复用,缓解IP不足的情况。客户端无法使用UPnP协议, 按照ed2k的策略,用户只有共享得越多,下载得速度才能越快,这使得ed2k和bt下载会非常慢。但是在NAT的情况下,客户端访问公网使用NAT,其中网关通过维护连接跟踪表实现从内向外的主动连接,但是从外向内只能通过端口映射或者DMZ解决。在无法获得防火墙管理权限的情况下,如果想实现对公映射,可以使用SSTP来解决。

继续阅读

超网与无类域间路由(CIDR)

计算机专业的多多少少都应该会讲计算机网络吧,计算机网络这本书中很详细地把超网介绍了一遍,然后兴致勃勃去实践去配了,发现如果单纯按照计网的思路去配置,抱歉,完全不通。这就有时候让人怀疑概论和实践简直是两码事,实践固然重要(我没说概论也不重要),经验也很重要。在此再次感谢TUNA的小伙伴们的耐心解答,周边做网络的朋友和老师没有成功解答,百度和Google也都没能解决我实践中的问题(都太偏理论),多谢最后TUNA的朋友们指点光明。

继续阅读

iptables详解

iptables是Linux用户态中的一个软件,用于管理内核中的netfilter。通常iptables运行需要依赖内核模块xtables等,并且需要root。iptables实在是太强大了,iptables本身功能不算太多,但是其有很多的扩展可供使用,包括但不限于l7 filter、geoip、hashlimit、ipmark、iprange、ipset、tproxy、nat等,依靠这些扩展可以实现好多好多的功能,著名的MikroTik RouterOS的防火墙也是由iptables修改而来,使用过iptables和ros的人都知道,两者防火墙的规则和参数,基本上完全一样,可见iptables的灵活性确实强大

继续阅读