「Eclipse」- Maven
IDE Integration
参考 Maven – Apache Maven IDE Integration 文档,以获取在 IDE 中集成 Maven 的方法,以及常见问题的解决办法;
m2eclipse for Eclipse
注意事项:
1)部分 IDE 默认会集成 Maven,而非使用我们在系统中安装的 Maven 环境(在排查问题时需要注意);
在 Eclipse 中,可以手动修改 pom.xml 为 Maven 项目添加依赖包。
针对 Maven 项目,添加依赖
java – How do I add a Maven dependency in Eclipse? – Stack Overflow
如果对 pom.xml 格式不熟悉
我们也可以使用 Eclipse 按照如下方法添加:
第一步、索引 Maven 仓库
Window => Show View => Other => Maven => Maven Repositories
在新的窗口中,右击 Global Repositories => Go Into
右键 “central (http://repo.maven.apache.org/maven2)”%EF%BC%8C%E9%80%89%E6%8B%A9 Rebuild Index 并等待索引完成;
第二步、添加依赖信息
当索引完成后,右键项目 => Maven => Add Dependency,然后输入依赖的信息;[……]
「pfSense」- 场景及解决方案
将无线网卡作为 WAN 链路
pfSense 2.4 step by step WiFi configuration instructions (7 steps tutorial)pfsense Wireless Wan Setup – YouTube
问题描述
我们拥有一台路由设备,该设备具有 ETH * 2、Wireless * 1 接口。而我们所在的网络环境中,仅仅提供 Wi-Fi 接入,并不提供有限网络。我们的其他设备仅支持有线网络,其并不具备无线网卡;
我们需要该路由设备通过 Wi-Fi 接入当前外部网络,然后其 ETH * 2 做为 LAN 接口,为内部其他主机提供网络访问;
解决方案
1)Interfaces -> Assignment -> Wireless -> Parent Interface: xxx / Mode: Infrastructure (BBS);
2)Interfaces -> Assignment -> Interface Assignments -> 选择 WAN 接口,将其设置为无线接口;
3)Interfaces -> WAN,进行接口配置,完成 SSID / WPA Pre-Shared Key / Enable WME 设置,保存配置;
当完成配置后,在主页中,能够查看 WAN 接口是否已经获得 IP 地址。如果获得 IP 地址,则表示配置成功,再进行其他配置即可;
常见问题处理
域名解析失败
DNS — DNS Rebinding Protections | pfSense Documentation
问题描述:多数域名可以解析成功,但是极个别域名解析失败。
原因分析:我们没分析,我们猜测与 OpenWrt 中遇到的问题类似 Rebind protection
解决方案:System / Advanced / Admin Access / DNS Rebind Check / Disable DNS Rebinding Checks[……]
「pfSense」- 运行 L2TP Client 服务
问题描述
该笔记将记录:如何使用 pfSense 作为 L2TP Client 连接远程 L2TP Server,以及相关问题解决方案;
解决方案
第一步、创建接口
1)Navigate to the Interfaces tab > Assignments > PPPs and click +Add button.
Link Type: choose L2TP
Link Interface(s): select WAN
Username: paste the Login from the user Office
Password: paste the Password from the user Office
IP/Gateway(em0): Gateway IP or Hostname 需要填写 L2TP Server 地址;
Click Save.
第二步、分配接口
2)Go to the Interface Assignments tab,
select L2TP option for Available network ports and click +Add.
Click the OPT1 label.Description: print <L2TP-VPN>IPv4 Configuration Type: select L2TP
Check the Username and Remote IP address fields. iQtBOJP5wcHEQh97DPGBeZMX
Click Save.Apply Changes.
Check Enable interface and press Save > Apply Changes.
第三步、启用接口
3)Go to the System tab > Routing and select L2TP-VPN for the Default gateway IPv4 option.Apply Changes
第四步、查看状态
4)查看 L2TP 状态:Status / Interfaces
参考文献
L2TP VPN Client Configuration on pfSense Router[……]
「Intel」- 英特尔,处理器,各代区别,产品,术语
处理器命名
知乎/CPU 几代是什么意思 怎么比较性能?Intel® Processor Names, Numbers and Generation List
i3 为中端处理器,i5 是中高端处理器,i7 是高端处理器;
以英特尔为例,英特尔每年都会推出新一代的 CPU。相比老一代的 CPU,他们有着更先进的制作工艺,如四代 CPU 采用的是 22nm 制作工艺,六代 CPU 采用的就是 14nm 的制作工艺。更优秀的制作工艺意味着在性能更强的情况下,CPU 的芯片面积会变小,发热能降低;
后头的字母确实挺多:
1)U,代表着这款电脑搭载的是一个低压处理器,性能相比其他 i7 有所限制,但发热得到了大幅降低。低压处理器可是家用笔记本和商务本为了达到轻薄的不二之选;
2)H,代表 CPU 为 BGA 封装,CPU 不可换
3)K,代表不锁倍频。硬件发烧友为了让 CPU 性能上升,普遍采用加压或调高频率的方式让 CPU 超额运作。但这样做会让发热蹭蹭往上涨,自然需要体积较大的散热器来使它降温;
4)Q,Quad,意味着是四核处理器
5)X,至尊处理器
6)E,Extreme,极端,比 X 性能还要强劲;
7)M,移动处理器
8)Y,超低压处理器,频率浮动比较大,最低可能 1.1Ghz,最高能到 2.2Ghz,但往往频率一高散热跟不上性能又下来了。优点是基本不用散热器;
接口类型
LGA1155 是英特尔“Sandy Bridge”和“Ivy Bridge”处理器的接口型号,官方名称为 Socket H2。它适用于台式电脑,于 2011 年 3 月推广;
Intel Core i7
Intel i7 8086K(限量版)
Intel 酷睿 i7 8086K(限量版)_百度百科
Intel 酷睿 i7-8086K(限量版)是一款英特尔系列的 CPU 中央处理器,适用于台式机电脑。2018 年,Intel 发布酷睿 i7-8086K 处理器,庆祝其成立 50 周年以及纪念 40 年前发布的 8086 处理器;
Intel i7 8700k
百度百科/Intel 酷睿i7 8700K
Intel 酷睿i7 8700K是一款六核心十二线程的台式电脑的CPU,制作工艺为14纳米。
Intel i7 9700
百度知道/i79700 支持超线程吗
超线程是不支持的,对比价格和性能都高高在上的 i9-9900K,i7-9700K 无疑才是大多数人更关心的型号。对比以往的 i7,本代 i7-9700K 最大的改变是超线程被阉割掉了。i7-9700K 凭借更高的频率和规格,综合性能也比 i7-8700K 要强 8%,对比 AMD 的旗舰 Ryzen 7 2700X 也要强 9%;[……]
「Kubernetes」- Drain a Node
问题描述
节点处于 Ready,SchedulingDisabled 状态;
问题原因
问题原因有很多,至少它在提示你当前节点禁用调度;
解决办法
kubectl uncordon <node-name>
参考文献
Safely Drain a Node while Respecting the PodDisruptionBudgetMy worker node status is Ready,SchedulingDisabled[……]
「CONTAINER-REGISTRY」- Docker Hub
推送 Image 到 Docker Hub 仓库
第一步、创建帐号
去 Docker Hub 注册帐号,使用 docker login 命令登录,使用 docker logout 退出登录;
个人认证信息保存在$HOME/.dockercfg 中,从 Docker 1.7.0 开始,保存在$HOME/.docker/config.json 中;
第二步、推送镜像
使用 docker push 命令将镜像推送的远程的 Docker Hub,供别人使用。也可以创建私有镜像,但是这是一个付费功能;
推送到远程仓库时,需要指定用户名:docker push your_user/your_image
访问Docker Hub Quickstart | Docker Documentation查看文档;
!!!Docker Hub 支持自动构建,这需要与 GitHub 或者 BitBuket 仓库关联,他会自动读取 Dockerfile 文件,然后进行构建,查看构建日志及输出。这里不再展开,不过不知道开源的 Docker Registry 是否也支持这个功能。:-)[……]
「IPSEC」- NAT Traversal | NAT 穿越问题
问题描述
默认情况下,IPsec 传输数据时外层 IP 头部之上为 ESP header 或者 AH header,不管是哪种封装,在传输路径中存在 NAT 设备时都会遇到问题;
在穿越时,AH 的行为
IPSec <—(AH)—> Router (with NAT) <——> Router
针对 Tunnel 和 Transport 模式,最外层的 IP Address 都会参与 AH 的校验,这样带来的问题便是:当 NAT Traversal 时,SRC IP Address 发生变化,而 Auththtication Data 还是原始 Header 的计算结果,当对端收到该数据包时,校验将失败;
所以,针对 AH 协议,不管哪种模式,都无法进行 NAT Traversal 的;
在穿越时,ESP 的行为
IPSec <—(AH)—> Router (with NAT) <——> Router
鉴于 NAT Traversal 仅修改 IP-ADDR,而 ESP 不会对最外层 IP-ADDR 进行校验,所以 NAT 不会导致 ESP 校验失败。
传输模式,会导致传输层 checksum 字段校验失败:
1)在 TCP 中,TCP.Checksum 的伪首部校验会包含 IP Header 的 SRC IP Address 与 DST IP Address。当 NAT Travseral 时,NAT 修改其中的 Checksum 参数。
2)但是 ESP 仅加密四层数据,导致 NAT 无法修改 Checksum,进而导致对端 TCP 校验失败;
隧道模式,将原始的 IP Header 直接封装到 ESP 之中,即使经过 NAT 也不会修改原始地址,而原始校验和依旧有效。所以,隧道模式 + ESP 能够进行 NAT 穿越
但是 ESP 对载荷加密而引发的问题是:ESP 会加密原始数据包传输层数据,进导致端口号不可见,且 ESP 为传输层协议,所以无法支持 NAPT 特性。进而导致仅能使用一对一的 NAT 转换;
解决方案
所以,为了解决该问题,提出 IPSec 的 NAT Traversal 技术
为解决该问题,必须在建立 IPsec 隧道的两个网关上开启 NAT 穿越功能(NAT Traversal);
NAT Traversal,该技术将为 IP Header 与 ESP Header 间增加 UDP(Port 4500) Header 以允许使用 NAPT 特性;
原始报文:| IP Header | ESP | TCP | Payload |
穿越报文:| IP Header | UDP | ESP[……]
「IPSEC-VPN」 – ESP | Encapsulating Security Payload
IP.Protocol == 50
原理简述
ESP 支持认证和加密功能。ESP 在每一个数据包的标准 IP 报头后面添加一个 ESP 报文头,并在数据包后面追加一个 ESP 尾(ESP Trailer 和 ESP Auth data)。与 AH 不同的是,ESP 将数据中的有效载荷进行加密后再封装到数据包中,以保证数据的机密性,但 ESP 没有对 IP 头的内容进行保护,除非 IP 头被封装在 ESP 内部(采用隧道模式);
特性特征
ESP 提供数据完整保护、数据原始身份认证、防重放服务、机密性保护;
机密性保护:ESP 使用一系列加密算法提供机密性,
数据完整性:由认证算法保证。具体使用过程中采用的算法则是由 ESP 安全联盟的相应组件决定的;
防重放服务:另外 ESP 能够通过序列号提供防重放服务,至于是否采用则由数据包的接收者来决定。这是因为一个唯一的、单向递增的序列号是由发送端插入的,但却并不要求接收端对该数据报进行检验。由于这项保护对安全性大有好处,所以一般都会采用;
封装结构
| IP Header | ESP Header | Data | ESP Trailer | ESP Auth | // 传输模式
| IP Header | Data | // 原始数据
| New IP Header | ESP Header | IP Header | Data | ESP Trailer | ESP Auth | // 隧道模式
进行认证的部分:ESP Header 到 ESP Trailer 所有内容;
进行加密的部分:ESP Header 之后 到 ESP Trailer 所有内容;
报文格式
Security Parameters Index(安全参数索引)
IPsec 安全参数索引,用于唯一标识 IPsec 安全联盟;
该值 IP Header 之前的目标地址以及协议结合在一起,用来标识特定的安全联盟。SPI 本身是个任意数,可以是使用者自己指定,也可交由一些密钥管理技术自行协商决定。需要注意的是,SPI 可以经过了验证,但却无法被加密。这是必不可少的一种做法,因为 SPI 用于 SA 的标识,指定了采用的加密算法以及密钥,并用于对包进行解密。如果 SPI 本身已被加了密,否则我们会碰到“先有鸡还是先有蛋”的问题;
Sequence Number(序列号)
是一个从 1 开始的单项递增的计数器,唯一地标识每一个数据包,用于防止重放攻击;
是一个独一无二、单向递增、并由发送端插在 ESP Header 中的一个 32[……]
「TMV/SMARTPHONE」- 智能手机
iPhone Models
iPhone – Wikipedia
苹果 15 系列主要包括以下几款型号:
iPhone 15:拥有 6.1 英寸的小巧尺寸和 171g 的轻盈手感,色彩丰富,选择多样,非常适合追求便携性和多彩外观的用户。
iPhone 15 Plus:配备了 6.7 英寸的舒适大屏和 201g 的重量,是大屏爱好者的福音,提供了更为沉浸的视觉体验。
iPhone 15 Pro:采用 6.1 英寸的紧凑设计,重量为 187g,将高性能与便携性完美结合,非常适合对手机性能和便携性都有较高要求的用户。
iPhone 15 Pro Max:拥有 6.7 英寸的超大屏幕和 221g 的重量,为用户带来极致的视觉体验,是重量级选手中的佼佼者,非常适合追求极致视觉享受的用户。
这些型号在性能、外观和拍照效果等方面都有所不同,您可以根据自己的需求和预算来选择最适合自己的款式。请问您还有其他关于手机信息的问题吗?[……]
「Mac mini (Mid 2011)」
Serial Number: C07HW054DJD1
设备来源
离职时,公司赠送的;
进入选择引导盘界面
Service and Support Coverage – Apple SupportHow to Boot from USB on Mac, Windows or LinuxHow do I get into boot options with a non-mac keyboard? – Ask DifferentHow to boot a USB Install on a Mac with a windows keyboard – YouTube
1)按下电源键(或者重启电脑)
2)当听到开机声音时,按 Option 键,直到出现选择启动盘时再放开;
如果是 Windows 键盘:需要使用 USB 接入,并且使用 Left Alt 键才行。
3)使用键盘左右键,进行选择,然后 [ENTER] 确认,即可。
对于 Windows 键盘,也有人是这样操作的;
1)按 Left Alt 键(长按)
2)再按下电源键开机;
# 03/20/2021 进入选择引导盘界面,需要开机需要:快速地、不停地、按“右 Alt 键”,才能进入启动盘选择界面(还有几率失败)。键盘:IKBC C-87
安装 Windows 10 系统
系统安装成功。但是,存在问题(以失败告终):
1)CPU 温度 85~98 度,
2)并且安装驱动程序时蓝屏,
3)在安装显卡驱动之后,重启系统,便进入修复界面。
安装 Ubuntu 20.04 TLS 系统
鉴于 Windows 10 失败,我们只能安装 Linux 发行版。在众多发行版中,Ubuntu 最少折腾,并且受到众多应用服务支持(主要是工作相关的应用),所以我们安装 Ubuntu 20.04 TLS 版本。
无线网卡驱动
Ubuntu 20.04 LTS:apt-get install firmware-b43-installer
参考文献
drivers – My Mac Mini (late 2012) will not show any wireless networks. Ubuntu 12.10[……]
「IPSEC-VPN」- 概述工作原理
组件关系
概述交互过程
第一步、协商安全联盟(IKE)
通过 IKE 协商,验证算法、加密算法、密钥管理 => 即校验数据和加密数据的配置信息;
IKE(Internet Key Exchange),是个协议,其用于:设置 SA(安全关联)的协议;自动协商 AH 和 ESP 所使用的密码算法;
IKE 协议分为两个版本:
1)IKEv1,使用两个阶段为 IPSec 进行密钥协商并建立 IPSec SA。第一阶段,通信双方协商和建立 IKE 本身使用的安全通道,建立一个 IKE SA。第二阶段,利用这个已通过了认证和安全保护的安全通道,建立一对 IPSec SA;
2)IKEv2,则简化协商过程,在一次协商中可直接产生 IPSec 的密钥,生成 IPSec SA;
IKE 支持的认证算法有:MD5、SHA1、SHA2-256、SHA2-384、SHA2-512、SM3;
IKE 支持的加密算法有:DES、3DES、AES-128、AES-192、AES-256、SM1 和 SM4;
IKE 通过 ISAKMP 交互 SA 信息:
第二步、加密数据发送
通过协商的配置信息,完成 AH / ESP 的封装,并加密发送数据;
IPsec 提供了两种安全机制:加密和认证。IPsec 采用对称加密算法对数据进行加密和解密。数据发送方和接收方使用相同的密钥进行加密、解密。IPsec 采用 HMAC(Hash-based Message Authentication Code)功能,比较数字签名进行数据完整性和真实性认证;
ICV(Integrity Check Value)用于接收方进行完整性校验。可选择的认证算法有 MD5、SHA1、SHA2、SM3;
IPsec 常用的对称加密算法包括:数据加密标准 DES(Data Encryption Standard)、3DES(Triple Data Encryption Standard)、先进加密标准 AES(Advanced Encryption Standard)国密算法(SM1 和 SM4)。其中,DES 和 3DES 算法安全性低,存在安全风险,不推荐使用;
IPsec 常用的验证算法包括:消息摘要 MD5(Message Digest 5)、安全散列算法 SHA1(Secure Hash Algorithm 1)、SHA2、国密算法 SM3(Senior Middle 3)。其中,MD5、SHA1 算法安全性低,存在安全风险,不推荐使用;
IPsec 的加密功能,无法验证解密后的信息是否是原始发送的信息或完整。IPsec 采用 HMAC(Keyed-Hash Message Authentication Code)功能,比较数字签名进行数据包完整性和[……]
「NAT」- 双向 NAT 技术 | BINAT | Bidirectional NAT
在计算机网络中,BINAT 是 Bidirectional Network Address Translation(双向网络地址转换)的缩写,它是一种特殊的 NAT(网络地址转换)技术。
BINAT 一对一(IP↔IP) 不修改端口 双向自动映射 简化外部访问内网的服务配置
作用:
允许内网(私有 IP)和外网(公有 IP)之间建立 双向直接映射,即内网主机可以主动访问外网,外网也能通过固定规则主动访问内网主机。
不同于传统 NAT(如 PAT/NAPT),BINAT 提供一对一的 IP 地址映射,不涉及端口转换。
应用
需要从外部网络直接访问内网服务器(如 Web、FTP 服务器)。
替代静态 NAT(Static NAT),但更强调双向通信的对称性。
改进
安全性:BINAT 会暴露内网主机到公网,需配合防火墙规则限制访问源。
IPv4 短缺:每个内网主机需要独占一个公网 IP,不适合大规模部署。[……]
「ISIS」- 报文格式
概览格式
ISIS 报文是直接封装在数据链路层的帧结构中的;
PDU(Protocol Data Unit,协议数据单元)分为两个部分:
1)报文头(ISIS Header):可分为,通用头部(PDU Common Header);专用头部(PDU Specific Header);
—- 对于所有 PDU 来说,PDU Common Header 都是相同的,但 PDU Specific Header 根据 PDU 类型不同而有所差别;
2)变长字段部分(Variable Length Fields);
Header: Common + Special
Part 1: PDU Common Header
Intradomain Routing Protocol Discriminator:域内路由选择协议鉴别符,固定为 0x83;
Length Indicator:IS-IS 头部的长度(包括通用头部和专用头部),以 Byte 为单位;
Version/Protocol ID Extension:版本 / 协议标识扩展,固定为 0x01;
System ID Length:NSAP 地址或 NET 中 System ID 区域的长度。值为 0 时,表示 System ID 区域的长度为 6Byte;
R(Reserved):保留,固定为 0;
PDU type:ISIS 报文类型;
Version:固定为 0x01;
Max.Areas:支持的最大区域个数。设置为 1~254 的整数,表示该 IS-IS 进程实际所允许的最大区域地址数;设置为 0,表示该 IS-IS 进程最大只支持 3 个区域地址数。
PDU type
IS-IS 的 PDU 整体分为 4 种类型:
1)IIH(ISIS Hello)⇒ 类似 OSPF Hello 报文;
2)CSNP(Complete Sequence Number PDU,全序列号报文)⇒ OSPF DD;
3)PSNP(Partial Sequence Number PDU,部分序列号报文)⇒ OSPF LSR;
4)LSP(Link State PDU,链路状态报文)⇒ OSPF LSU
与路由类型结合后,分为多种不同类型:
PDU Type Description
15 L1 LAN IIH
16 L2 LAN IIH
17 P2P IIH
18 L1 LSP
20 L2 LSP
24 L1 CSNP
25 L2 CSNP
26 L1 PSNP
27 L2 PSNP
Part 2: PDU Specific[……]
「UOS」- 统信 | 操作系统 | Unity Operating System
在线客服:https://1382135.s2.udesk.cn/im_client/?web_plugin_id=29757
软件仓库:官方提供在线仓库。
系统下载:https://www.chinauos.com/resource/download-server
uniontechos-server-20-1040d-amd64
该版本的 UOS 基于 Debian 10 发行版,原因在于:
1)UOS ⇐ DEEPIN ⇐ Debian
2)该版本的 UOS 内核版本为 4.19.0 版本,而 Debian 9 为 3.16 to 4.9 版本,而 Debian 10 为 4.19 版本,而 Debian 11 为 5.10 版本;
uos-20-SP1-server-arm64
我们需要在 NF2180M3 中安装该操作系统:
1)我们使用浪潮服务器厂商提供的操作系统镜像,里面内置安装手册(这个过程并不简单,因为主机 BIOS BMC 版本不支持 UOS 安装)。[……]
「HUAWEI-ENSP」- 实验学习:SRv6
实验拓扑
实验需求
配置 SRv6 BE 网络
实验过程
SRv6 BE
该实验开始前,需要完成如下配置:
互联接口 ipv6 address 配置,回环接口 IPv6 Address 配置;
完成 ISIS 配置,实现设备回环接口间的互通;
network-entity ….;
cost-style wide # 否则,执行 locator 通告命令时会产生错误;
dis isis route ipv6 # 便于我们查看路由信息;
配置过程:
# —————————————————————- # CX4
[CX4]segment-routing ipv6
[CX4-segment-routing-ipv6]encapsulation source-address 2000::4
[CX4-segment-routing-ipv6]locator cx4 ipv6-prefix A004:: 96 static 16
[CX4]isis 1
[CX4-isis-1]cost-style wide
[CX4-isis-1]segment-routing ipv6 locator cx4
# —————————————————————- # CX3 CX2 CX1
…
测试方法:
display segment-routing ipv6 local-sid end forwarding
显示节点 SID 信息,其中 Function Type: End 表示节点
会有两个 Flavor ,一个带 PSP 一个不带 PSP
display segment-routing ipv6 local-sid end-x forwarding
将会看到链路分配的 SID,其 FuncType: End.X 表示链路
[CX1]ping ipv6-sid A004::1:1C // CX4 生成的 SID 地址
但该 ping 并不会成功,虽然 ICMPv6 Request 能够到达对端,但是 SID 并非设备上的 IPv6 Address,所以无法通信,将返回 ICMPv6 Destination Unreachable 报文。
[CX1]ping ipv6-sid segment-by-segment A004::1:1D
能够成功,但是 Wireshark 抓包时,并未看到[……]
「SRV6」- 概念术语
SRv6 Segment ID | SRv6 SID
SRv6 Segment,通常亦称为 SRv6 SID(Segment Identifier)
组成部分
SRv6 SID 表现形式为 IPv6 Address(是 IPv6 地址格式的、是经过精心构造的、每部分具有特殊用途的、)
SRv6 SID 其分为三部分组成:Locator、Function、Arguments
如果没有 Arguments 字段,则是 Locator:Function 格式。Locator 占据 IPv6 地址的高比特位,Function 部分占据 IPv6 地址的剩余部分。
格式:Locator:Function:Arguments
长度:最大 128bit 长度;如果 Locator + Function + Arguments 长度小于 128bit 时,保留位用 0 补齐;
注意,针对该图示,其仅为 IPv6 报文示例,其 SRH 包括 3 个 SID,每个 SID 为 128bit 长度,每个 SID 由 Locator、Function、Arguments 三部分组成。第一次看到该图示的时候,我们将示例中的 3 个 SID 误以为 SID 的三个组成部分。
根据我们的理解与猜测:
虽然 SRv6 SID 具有 Locator + Function + Arguments 三部分,且其他设备将收到来自 IGP SRv6 SID 通告的 SRv6 SID 信息,但是其他设备只会将 SRv6 SID 当作 IPv6 Address 地址对待,并不理解其中的 Function、Arguments 信息,其中的 Function、Arguments 仅本地有效,即本地设备读取其中的 Function + Arguments 并进行相关操作。
另外,通过抓包观察 IGP 通告的 SRv6 SID 信息,其中,仅包含 Locator 信息,并未通告 Function 和 Arguments 部分。
另外,在 Wireshark 中,显示的字段名称为“SRv6 Locator”而非“SRv6 SID”,进一步佐证 IGP 传递的是 Locator 部分,而 Function、Arguments 仅具有本地意义。
Locator
在网络拓扑中,Locator 用于标识一个网络节点,用于路由和转发报文到该节点,实现网络指令的可寻址。
在 SR Domain 中,鉴于 Locator 具有定位功能,所以一般要唯一。在某些特殊场景,比如 Anycast 保护场景,多个设备可能配置相同的 Locator 参数。
Locator 标识的位置信息由两个重要的属性:
可路由:节点配置 Locator 之后,系统会生成一条 Loca[……]
「pfSense」- 开源免费的企业级路由器操作系统
版本选择
pfSense 与 FreeBSD 版本对应关系 | https://docs.netgate.com/pfsense/en/latest/releases/versions.html
pfSense 2.7.2 / USB Memstick / Router
04/12/2025
https://atxfiles.netgate.com/mirror/downloads/pfSense-CE-memstick-2.7.2-RELEASE-amd64.img.gz
pfSense 2.5.2 / VirtualBox
How To Install PfSense on VirtualBox? – GetLabsDoneUser Management and Authentication / Default Username and Password | pfSense Documentation
镜像下载:
https://www.pfsense.org/download/%EF%BC%88ISO%EF%BC%8CAMD64%EF%BC%89
软件版本:pfSense 2.5.2(FreeBSD 12.2-STABLE)
安装过程:
1)创建 ⇒ 常规虚拟机创建,FreeBSD x64,这里不再赘述;
2)网络 ⇒ 创建网卡:Adpater 2: Bridge Interface;Adapter 1: Internal Network;
3)启动 ⇒ 虚拟机启动,并进行系统安装,这里不再赘述;
4)安装 ⇒ 系统安装,设置密码,这里不再赘述;
访问配置:
1)通过 LAN 接口:https://192.168.1.1%EF%BC%88admin/pfsense%EF%BC%89
2)登录 Web GUI 将自动进行初始化配置;
修复系统启动卡住问题:
# VritualBox 5.2.44
# pfSense-CE-2.5.2-RELEASE-amd64.iso
# https://exchangetimes.net/?p=559
# https://www.youtube.com/watch?v=5Nz8FBcZ3jY
问题描述:与 OPNSense 类似,当启动 pfSense 系统时,在加载内核模块时卡住;
# vboxmanage modifyvm “<your-vm-name>” –spec-ctrl on[……]
「ISAKMP」- Internet 安全联盟和密钥管理协议
ISAKMP,Internet Security Association and Key Management Protocol, Internet 安全联盟和密钥管理协议,其由 RFC2408 定义,其为密钥管理协议,由 NSA(美国国家安全局)公开的一项技术,是由其研究人员开发出来的。
组成
针对 ISAKMP 报文,其可以利用 UDP 或者 TCP,端口都是 500,一般情况下常用 UDP 协议;
ISAKMP 仅为 SA 的属性(数据包格式)和 SA 的处理(协商、建立、修改、删除)提供了一个通用的框架,并没有定义具体的 SA 格式。
ISAKMP 定义通信双方沟通的方式、信息的格式、保障通信安全的状态变换过程。但 ISAKMP 本身没有定义具体的密钥交换技术,密钥交换的定义留给其他协议处理。针对 IPSec 而言,已定义的密钥交换就是 IKE 协议。
应用
ISAKMP 是 IKE 的基础,IKEv1 和 IKEv2 都基于 ISAKMP 的框架进行扩展。[……]
「NAT」- 概念、术语
根据实现方式来分类
网络地址转换能够分为如下类别:
静态地址转换 | Static NAT
内网地址与公网地址是一对一的永久映射关系
1)对于某个公网地址,只会分配给某个固定的内网主机,绑定的公有地址不会给到其他设备进行使用;
2)支持双向互访:私有地址访问 Internet 经过出口设备 NAT 转换时,会被转换成对应的公有地址。同时,外部网络访问内部网络时,其报文中携带的公有地址(目的地址)也会被 NAT 设备转换成对应的私有地址;
动态地址转换 | Dynamic NAT
问题描述:静态 NAT 严格地一对一进行地址映射,这就导致即便内网主机长时间离线或者不发送数据时,与之对应的公有地址也处于使用状态。为了避免地址浪费,动态 NAT 提出了地址池的概念:所有可用的公有地址组成地址池;
解决方案:Dynamic NAT,从公网地址池中,动态选择一个公网地址映射到内网地址。当内部主机访问外部网络时临时分配一个地址池中未使用的地址,并将该地址标记为“In Use”。当该主机不再访问外部网络时回收分配的地址,重新标记为“Not Use”;
1)Dynamic NAT 基于地址池来实现私有地址和共有地址的转换;
2)地址与主机无固定的映射关系,
3)但与 Static NAT 相似,在某个时刻,同个地址只能被某个内网主机使用;
地址端口转换 | Network Address and Port Translation
问题描述:动态 NAT 选择地址池中的地址进行地址转换时不会转换端口号,即 No-PAT(No-Port Address Translation,非端口地址转换),公有地址与私有地址还是 1:1 的映射关系,无法提高公有地址利用率;
解决方案:NAPT,Network Address and Port Translation,网络地址端口转换,从地址池中选择地址进行地址转换时不仅转换 IP 地址,同时也会对端口号进行转换,从而实现公有地址与私有地址的 1 : N 映射,可以有效提高公有地址利用率。其允许多个内网设备共享单个公网 IP 地址,通过不同的端口号来区分不同的连接。
Overload NAT,NAPT,PAT,该类术语通常都指该技术。
1)即把内网地址映射到相同公网地址,但是不同端口上,以使多个内网地址能够共享同个公网地址;
2)该方案也是从地址池中选择公网地址(当然,我们也能够设置地址池仅有 1 个地址);
3)这是最常用的方案;
NAPT 借助端口可以实现一个公有地址同时对应多个私有地址。该模式同时对 IP 地址和传输层端口进行转换,实现不同私有[源 IP、端口]映射到同一个[公有地址、不同源端口]上;
由于 TCP/UDP 的端口数量有限(0~65535),一个地址能够映射的[……]
「NGINX」- proxy_pass | 学习笔记
Module ngx_http_proxy_module/proxy_pass
配置案例
server {
listen 80;
server_name www.example.com;
location / {
proxy_pass http://127.0.0.1:8080;
}
}
关于 proxy_pass 参数是否携带 URI 的问题
Module ngx_http_proxy_module
该处需要明确 proxy_pass http://127.0.0.1 与 proxy_pass http://127.0.0.1/ 的区别。
如果 proxy_pass 的参数携带 URI 信息,则匹配 location 的部分将被替换为 proxy_pass 指令设置。例如:
location /name/ {
proxy_pass http://127.0.0.1/remote/;
}
curl https://example.com/name/example
curl http://127.0.0.1/remote/example
如果 proxy_pass 参数没有携带 URL 信息,请求将直接发送到后端进行处理:
location /some/path/ {
proxy_pass http://127.0.0.1;
}
curl https://example.com/name/example
curl http://127.0.0.1/name/example
注意事项:
1)当在 proxy_pass 中带有变量时,需要进行特殊处理,因为此时无法确定请求的 URI 信息;
域名解析行为
当直接使用域名时
对于如下配置信息:
server {
location / {
proxy_pass http://backends.example.com:8080;
}
}
经过查阅相关资料(Using the Domain Name in the proxy_pass Directive):
1)在启动或重载时,Nginx 将进行 DNS 解析,而后不会再进行解析;
2)如果无法解析,将返回 host not found in upstream 错误,并记录在 error.log 日志中;
3)其域名解析是通过读取 /etc/resolv.conf 配置进行 DNS 解析;
当从变量中获取域名时
对于如下 Nginx 配置信息:
resolver 10.0.0.2 valid=10s;
server {
location / {[……]
「DNS」- 原理概述
查询流程
DNS 是一个分布式系统,绝大多数的 DNS-Server 端的数据库不会拥有所有的域名记录,当客户端向一个 DNS-Server 端查询域名但该 DNS-Server 端上却没有该域名的记录时,此时会有两种继续查询的方式:
递归查询
由 DNS-Server 向其他 DNS-Server 进行查询,将最终查询结果返回给 DNS-Client
迭代查询
DNS-Server 告知 DNS-Client 其他 DNS-Server 地址,客户端自行向其他 DNS-Server 进行查询;
关于 CNAME 解析
是否 DNS-Client 会发送两次请求?
domain name system – Do CNAME records result in a second DNS lookup?
根据 DNS 抓包,只产生一次请求,我们猜测 CNAME 解析发生在 DNS-Server(而非 DNS-Client):
# dig k4nz.com @8.8.8.8
…
# tcpdump -n -i any host 8.8.8.8
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked v1), capture size 262144 bytes
17:30:37.454799 IP 172.31.252.20.42318 > 8.8.8.8.53: 25416+ [1au] A? k4nz.com. (49)
17:30:37.692619 IP 8.8.8.8.53 > 172.31.252.20.42318: 25416 2/0/1 CNAME k4nz.host.d3rm.org., A 115.159.122.157 (85)[……]
「VPN」- 虚拟专用网络 | Virtual Private Network
该笔记将记录:异地组网的解决方案(以 VPN 技术为主),以及常见问题处理;
认识
针对规模较大的企业来说,网络访问需求不仅仅局限于公司总部网络内。比如分公司、出差员工、合作单位等等,也需要访问公司总部的网络资源;
企业分支之间的数据传输只能依靠现有物理网络(例如 Internet 等等)。但是 Internet 存在多种不安全因素,报文容易被网络中的黑客窃取或篡改,最终造成数据泄密、重要数据被破坏等后果。直接使用共享且不安全的 Internet 传输数据,可能导致数据被盗取、篡改;
除了通过 Internet,还可以通过搭建一条物理专网连接保证数据的安全传输,但其费用会非常昂贵,且专网的搭建和维护十分困难。虽然有效保证企业数据传输安全性,但面临使用成本高、使用率低、部署不灵活等问题;
VPN(Virtual Private Network,虚拟专用网络)技术通常被用来实现该需求,其指的是在一个公共网络中实现虚拟的专用网络,从而使得用户能够基于该专用网络实现通信的技术。也可以说是种“通过共享的公共网络建立私有的数据通道,将各个需要接入这张虚拟网的网络或终端通过通道连接起来,构成一个专用的、具有一定安全性和服务质量保证的网络”;
在该虚拟网络中,VPN 用户传输私网流量。其在不改变网络现状的情况下,实现安全、可靠的连接。
通过公用网络来构建的虚拟专用网络的技术,都被称为 VPN 技术,所以 VPN 某类技术的统称。
发展历史:
组成
VPN 利用公网架构,通过隧道技术来搭建私有的网络,实现通过私网地址,访问远程地域的内部网络主机;
公共网络又经常被称为 VPN Backbone Network(VPN 骨干网),公共网络可以是 Internet,也可以是企业自建专网或运营商租赁专网;
其关键技术有:隧道技术、身份认证、数据认证、数据加密、密码管理;
隧道技术
解释:隧道两端封装、解封装,用以建立数据通道
隧道技术的基本过程是在源局域网与公网的接口处将数据作为载荷封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出载荷。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。要使数据顺利地被封装、传送及解封装,通信协议是保证的核心;
VPN 技术的基本原理是利用 Tunnel(隧道)技术,对传输报文进行封装,利用 VPN Backbone Network 建立专用数据传输通道,实现报文的安全传输;
隧道的功能就是在两个网络节点之间提供一条通路,使数据能够在这个通路上透明传输。VPN 隧道一般是指在 VPN 骨干网的 VPN 节点之间建立的用来传输 VPN 数据的虚拟连接。隧道是构建 VPN 不可或缺的部分,用于把 VPN 数据从一个 VPN 节点透明传送到另一个上;
隧道通过隧道协议实现。[……]
「ipsec」-
调用IPsec实用程序
命令语法格式
ipsec command [arguments] [options]
命令描述
命令ipsec会调用控制和监视IPsec加密/身份验证系统所涉及的几个实用程序中的任何一个,使用指定的参数(arguments)和选项(options)运行指定的命令(command),就像它已被直接调用一样。 这在很大程度上消除了与其他软件可能的命名冲突,并且还允许一些集中式服务。
命令行命令
本手册页中描述的所有命令都是内置的,用于控制和监视IPsec连接以及IKE守护程序。
对于其他命令,ipsec为调用的命令提供合适的PATH环境变量,并提供「相关环境变量」部分中列出的环境变量。
CONTROL COMMANDS
start [starter options]
calls starter which in turn parses ipsec.conf and starts the IKE daemon charon.
update
sends a HUP signal to starter which in turn determines any changes in ipsec.conf and updates the configuration on the running IKE daemon charon.
reload
sends a USR1 signal to starter which in turn reloads the whole configuration of the running IKE daemon charon based on the actual ipsec.conf.
restart
is equivalent to stop followed by start after a guard of 2 seconds.
stop
terminates all IPsec connections and stops the IKE daemon charon by sending a TERM signal to starter.
up name
tells the IKE daemon to start up connection name.
down name
tells the IKE daemon to terminate connection name.
down name{n}
terminates IKEv1 Quick Mode and IKEv2 CHILD SA instance n of connection name.
down name{*}
terminates all IKE[……]
「IPSEC-VPN」 – IKEv2 | IKE version 2 | Internet Key Exchange version 2
认识
IKEv2 简化 IKEv1 协商 SA 的过程。
Q:为什么不能单独用 IKEv2?
A:IKEv2(Internet Key Exchange version 2)本身是 IPSec 的一部分,专门用于协商和建立 IPSec 安全关联(SA)。它不能单独提供 VPN 功能,必须与 IPSec 配合使用。IKEv2 是 IPSec 的“控制层”,而 IPSec 是“数据层”。两者必须配合使用。IKEv2 无数据传输能力(IKEv2 只负责密钥交换和隧道管理,不封装或加密用户数据)。IKEv2 依赖 IPSec 的 ESP/AH(用户数据必须通过 IPSec 的 ESP(Encapsulating Security Payload) 或 AH(Authentication Header) 协议加密/认证)。
Q:常见的“IKEv2 VPN”实际是什么?
A:当人们说“IKEv2 VPN”时,通常指的是 IKEv2/IPSec VPN(使用 IKEv2 进行密钥交换,使用 IPSec(ESP)加密数据)
组成
IKEv2 定义三种类型交换:
初始交换(Initial Exchanges);
创建子 SA 交换(Create_Child_SA Exchange);
通知交换(Informational Exchange);
IKEv2 通常使用 2 次交换共 4 条消息就可以完成一对 IPsec SA 的建立。如果要求建立的 IPsec SA 大于一对时,每一对 IPsec SA 只需额外增加 1 次创建子 SA 交换,也就是 2 条消息就可以完成;
第一步、初始交换过程
通过初始交换,IKEv2 就可以完成第一对 IPsec SA 的协商建立。初始交换包含 2 次交换 4 条消息;
消息 ① 和 ② 属于第一次交换(称为 IKE_SA_INIT 交换),以明文方式完成 IKE SA 的参数协商,包括协商加密和验证算法,交换临时随机数和 DH 交换。IKE_SA_INIT 交换后生成一个共享密钥材料,通过该共享密钥材料可以衍生出 IPsec SA 的所有密钥;
消息 ③ 和 ④ 属于第二次交换(称为 IKE_AUTH 交换),以加密方式完成身份认证、对前两条信息的认证和 IPsec SA 的参数协商。IKEv2 支持 RSA 签名认证、预共享密钥认证、扩展认证方法 EAP(Extensible Authentication Protocol)。发起者通过在消息 3 中省去认证载荷来表明需要使用 EAP 认证;
第二步、创建 Child SA 交换
当一个 IKE SA 需要创建多对 IPsec SA 时,需要使用创建 Child SA 交换来协商多于一对的 IPsec SA。创建 Child[……]
「VCS」- Coding | Tencent | 代码管理
认识
官网:https://coding.net/
文档:https://coding.net/help/docs/start/new.html
仓库:
组成
WIP
构建
针对用户,注册即可获得 Coding 相关功能。
定价方案 | https://coding.net/pricing?version=0
标准版:
不限成员数、不限项目数
功能:项目协同、代码仓库、云原生开发、云原生构建、持续集成、持续部署、制品管理、文档管理、项目集、工作负载、团队目标(OKR)管理、
资源:代码仓库总容量 10 GB、每月云原生开发时长 1280 核时(CPU:1—8 核)、每月云原生构建时长 160 核时(CPU:1—8 核)、每月持续集成构建时长 10 核时、Docker 制品库镜像 1000 个、非 Docker 制品库容量 5 GB、项目事项 5000 条、文件网盘总容量 20 GB、
性质
OPEN API and SDK
https://coding.net/help/openapi#/
现在 04/14/2025 我们暂时未找打 Coding 提供的 SDK 工具。
触发 Jenkins 构建
进入项目 → 项目设置 → 开发者选项 → Service Hook[……]
「KeePassXC」- 密码管理工具
认识
官网:https://keepassxc.org/
文档:https://keepassxc.org/docs/
仓库:https://github.com/keepassxreboot/keepassxc
组成
WIP
构建
安装
# 05/08/2024 通过 flatpak 安装
https://flathub.org/apps/org.keepassxc.KeePassXC
flatpak install flathub org.keepassxc.KeePassXC
flatpak run org.keepassxc.KeePassXC
程序文件
/usr/bin/keepassxc
/usr/bin/keepassxc-cli
/usr/bin/keepassxc-proxy
性质
SSH Agent Integration
https://superuser.com/questions/1595123/how-do-i-use-keepassxc-as-an-ssh-agent
Advanced tab: Add the private key as an attachment if you wish to store it in the database (useful for sharing between systems if your database is already shared somehow).
针对通过 Flatpak 安装的 KeePassXC 服务,其默认已授予 SSH_AUTH_SOCK 环境变量的访问权限,使用 /run/flatpak/ssh-auth 地址;https://github.com/flathub/org.keepassxc.KeePassXC/issues/117
Auto-Type tab: Uncheck Enable Auto-Type for this entry.
SSH Agent tab: Configure when the key is added and removed to your liking. Choose your private key from attachments or the filesystem.
Browser Integration tab: Check Hide this entry from the browser extension.
自动合并更改 | Merging Databases
https://keepassxc.org/docs/KeePassXC_UserGui[……]
「S3」- AWS S3 | AWS Simple Cloud Storage
认识
✔ Amazon S3 is an object storage service that offers industry-leading scalability, data availability, security, and performance.
✔ Store and protect any amount of data for a range of use cases, such as data lakes, websites, cloud-native applications, backups, archive, machine learning, and analytics.
✔ Amazon S3 is designed for 99.999999999% (11 9’s) of durability, and stores data for millions of customers all around the world.
官网:https://aws.amazon.com/s3/
文档:https://docs.aws.amazon.com/s3/
仓库:None
性质
配置跨域 | https://docs.aws.amazon.com/AmazonS3/latest/userguide/ManageCorsUsing.html#cors-allowed-methods
<Bucket> / Permissions / Cross-origin resource sharing (CORS)
应用
WIP[……]
「IPSEC-VPN」- 环境部署
硬件解决方案
Huawei VRP
软件解决方案
Openswan(an IPsec Implementation for Linux)
strongSwan(Open-source, modular and portable IPsec-based VPN solution)
Racoon(IKE (ISAKMP/Oakley) key management daemon)
服务测试工具
ike-scan
royhills/ike-scan: The IKE ScannerHuawei Firewall: IPSec Troubleshooting – Using IPSec Debugs – Huawei
discover and fingerprint IKE hosts (IPsec VPN Servers) ike-scan discovers IKE hosts and can also fingerprint them using the retransmission backoff pattern.
1)/usr/bin/ike-scan
2)/usr/bin/psk-crack
ike-scan -v –trans=5,2,1,2 ddns.dc-hive.d3rm.site
# –trans=5,2,1,2
# Enc=5 (3DES-CBC), Hash=2 (SHA1), Auth=1 (shared key), DH Group=2 (modp 1024)
# 具体取值参考 rfc2409 文档;
Huawei
相关文档:
1)IPSEC 故障类关键 Debugging 信息说明
2)Huawei Firewall: IPSec Troubleshooting – Using IPSec Debugs – Huawei
debugging ike v2 all[……]
「COMPUTER-NETWORKING」- LAYER 3 | 网络层 | Network Layer | Internet Protocol、IP
1)IP 协议:Internet Protocol,是因特网协议的基础,负责将数据包从源地址传输到目的地址;
2)ICMP 协议:Internet Control Message Protocol,用于网络设备之间传递控制消息,如路由器发现网络不可达时会发送 ICMP 消息给源主机;
3)ARP 协议:Address Resolution Protocol,用于将 IP 地址转换为 MAC 地址,以便在局域网中正确发送数据包;
4)RARP 协议:Reverse Address Resolution Protocol,与 ARP 相反,它将 MAC 地址转换为 IP 地址;
5)OSPF 协议:Open Shortest Path First,是一种路由协议,用于计算最短路径和决策最佳路径;
6)BGP 协议:Border Gateway Protocol,用于在不同的自治系统之间进行路由信息的传递;
7)IS-IS 协议:Intermediate System to Intermediate System,也是一种路由协议,与 OSPF 类似,但更适用于大型网络;
8)PIM 协议:Protocol Independent Multicast,用于支持多播协议,可以实现在网络中同时向多个接收者发送数据包;
Bogon Networks
DeepSeek / 介绍 Bogon Networks 概念
Bogon Networks(虚假IP网络) 是指那些在互联网路由中不应出现或未被合法分配的IP地址空间。这些地址可能属于保留地址、私有地址、未分配地址、已被回收的地址,若出现在公共互联网路由中,可能是由于配置错误或恶意行为(如IP欺骗攻击)。以下是关键概念解析:
—
### 1. Bogon 地址的类型
– 未分配的IP块:未被IANA(互联网号码分配机构)或区域注册机构(如APNIC、ARIN)分配给任何组织的地址。
– 私有地址(RFC 1918):如 `10.0.0.0/8`、`172.16.0.0/12`、`192.168.0.0/16`,仅限内部网络使用。
– 保留地址:如回环地址 `127.0.0.0/8`、多播地址 `224.0.0.0/4`。
– 过时或回收的地址:历史上曾分配但后来被撤销的地址(如部分Class A网络)。
—
### 2. 为什么Bogon Networks是问题?
– 路由污染:错误广播Bogon路由可能导致流量被劫持或黑洞。
– IP欺骗攻击:黑客利用Bogon地址隐藏来源,发起DDoS、扫描或垃圾邮件攻击。
– 资源浪费:无效路由占用路由器内存和带宽。
—
### 3. 如何应对Bogon Networks?
– Bogon过滤[……]
「DNS」- 概念术语
根服务器 | Root Server
ftp://rs.internic.net/domain/named.roothttps://www.internic.net/domain/named.root
记录类型 | Record Type
A and AAAA
DNS 的 AAAA 记录和 A 记录:
A:将域名指向一个 IPv4 地址;
AAAA:将域名指向一个 IPv6 地址;
NS | Name Server Record
在 DNS(域名系统)中,NS 记录(Name Server Record,名称服务器记录)是一种关键的资源记录类型,用于指定哪些服务器负责管理(即授权)某个域名或其子域名的 DNS 记录。
作用:
授权域名解析 | NS 记录标识了特定域名的权威 DNS 服务器(Authoritative Name Server)。当其他 DNS Server / DNS Client 需要查询该域名的记录(如 A、MX、CNAME 等)时,会转向这些 NS 记录指向的服务器获取答
子域名委派 | 通过为子域名(如 sub.example.com)设置独立的 NS 记录,可以将该子域名的解析权限委派给另一组 DNS 服务器(例如,由其他团队或服务商管理)。
格式:
example.com. IN NS ns1.example.com.
example.com. IN NS ns2.example.com.
域名:example.com.(注意末尾的。表示完全限定域名,可选但规范)。
记录类型:NS(Name Server)。
固定字符串:IN
目标服务器:ns1.example.com. 和 ns2.example.com.(必须是有有效 A 或 AAAA 记录的服务器)。
与其他记录的关系
SOA 记录:NS 记录需与 SOA(起始授权机构)记录中指定的主服务器一致。
A/AAAA 记录:NS 记录指向的服务器必须有对应的 IP 地址记录(否则无法定位)。
SOA | Start of Authority
在 DNS(域名系统)中,SOA 记录(Start of Authority,起始授权机构记录)是一个域名的核心管理记录,它定义了该域名的权威 DNS 服务器以及一系列关键的管理参数。SOA 记录是每个 DNS 区域文件(Zone File)的必备记录,通常放在文件的开头。
作用:
标识域名的权威 DNS 服务器(Primary Name Server)。
定义域名的管理信息(如管理员邮箱、序列号等)。
控制 DNS 记录的同步和缓存行为(如刷新时间、过期时间等)
格式:
e[……]