挂载分区
mount “drive-letter” “local-directory”
切换目录
直接输入 “<drive-letter>:\” 指令,然后回车即可。
比如切换到 X 盘,则输入 X:\ 然后 回车 即可。
在启动时,执行脚本
Dosbox.conf/[autoexec]:https://www.dosbox.com/wiki/Dosbox.conf#.5Bautoexec.5D
AUTOEXEC:https://www.dosbox.com/wiki/AUTOEXEC
修改 dosbox.conf 配置,在 [autoexec] 中添加命令(注意不是脚本文件):
……
[autoexec]
MOUNT X /path/to/local/directory
X:\
CLS
……
参考文献
How To Use DOSBox To Run DOS Games and Old Apps[……]
安装并运行操作系统(Ubuntu)
desktop – qemu vnc server for remote address – Stack Overflow
qemu-system-i386
qemu -vnc 0.0.0.0:1 # 5901
禁用 PXE 功能
没有找到方法,但是我们可以先关闭网卡:-nic none[……]
问题描述
常见 BGP 攻击主要有两种:
1)建立非法 BGP 邻居关系,通告非法路由条目,干扰正常路由表;
2)发送大量非法 BGP 报文,路由器收到后上送 CPU,导致 CPU 利用率升高;
解决方案
为了保证 BGP Peer 间的交互安全,BGP 使用两个方法:
1)对端认证(BGP Peer Authentication);
2)GTSM(Generalized TTL Security Mechanism,通用 TTL 安全保护机制)
对端认证(BGP Peer Authentication)
问题描述
BGP 使用 TCP 作为传输协议,只要 TCP 数据包的源地址、目的地址、源端口、目的端口、TCP 序号是正确的,BGP 就会认为这个数据包有效,但数据包的大部分参数对于攻击者来说是不难获得的。
解决方案
为了保证 BGP 免受攻击,可以在 BGP Peer 间使用认证来降低被攻击的可能性。
BGP Authentication 分为 MD5-Auth 和 Keychain-Auth,对 BGP Peer 关系进行认证能够预防非法 BGP 邻居建立:
1)MD5 算法配置简单,配置后生成单一密码,需要人为干预才可以更换密码;
2)Keychain 具有一组密码,可以根据配置自动切换,但是配置过程较为复杂,适用于对安全性能要求比较高的网络;
3)注意,两种认证互斥;
MD5-Auth(TCP Authentication)
BGP 使用 TCP 作为传输层协议,为提高 BGP 的安全性,可以在建立 TCP 连接时进行 MD5 认证。BGP 的 MD5 认证只是为 TCP 连接设置 MD5 认证密码,由 TCP 完成认证。
Keychain-Auth(TCP authentication)
Keychain 是一系列 key-id 的集合
而 key-id 唯一标识认证信息
认证信息包括认证密码和认证算法。
BGP Peer 两端必须都配置针对使用 TCP 连接的应用程序的 Keychain 认证,且配置的 Keychain 必须使用相同的加密算法和密码,才能正常建立 TCP 连接,交互 BGP 消息。
配置命令
# 配置 BGP 对等体在建立 TCP 连接时,对 BGP 消息进行 MD5 认证
[Huawei-bgp] peer { group | address } password { cipher pwd | simple pwd }
# 配置 BGP 对等体在建立 TCP 连接时,的 Keychain 认证
[[……]
问题描述
当到达同个目的网段存在多条路由时,BGP 需要按照规则进行最佳路由优选。
解决方案
如下规则依序排列,BGP 进行路由优选时,从第一条规则开始执行,如果根据第一条规则无法作出判断(例如,路由的 Preferred-Value 属性值相同),则继续执行下一条规则。如果根据当前的规则,BGP 能够决策出最优的路由,则不再继续往下执行。
00、下一跳必须可达
规则说明:下一跳必须可达,如果下一跳不可达,则该路由将不会参与优选规则。
在 R2 与 R3 中,未配置 peer x.x.x.x next-hop-local 特性,导致 R1 收到的路由下一跳仍未原始出接口地址,
而 R1 无法到达该地址,因此对于 R1 来说,路由的下一跳不可达,因此导致路由不会参与优选。
01、Preferred-Value
规则说明:Preferred-Value,值最大的路由,将成为优选路由;
如图,调整由 R3 发来的路由的 Preferred-Value 值,使其更优,成为优选路由。
02、Local-Preference
规则说明:Local-Preference,值最大的路由,将成为优选路由;
03、Route Type(本地始发优选)
规则说明:本地始发 BGP Route 优选,本地始发的路由优先级:aggregate > 自动聚合 > network > import route > 从对等体学到的;
该规则可概括为:在相同条件下,优选本地生成的路由,从 BGP Peer 学习到的路由条目为次优;
同时本地生成的路由也可能存在多种途径,当本地存在多种途径学习到相同路由时,从高到低优先级如下:
1)手动聚合:在 BGP 中,通过 aggregate 命令聚合生成的聚合路由;
2)自动聚合:summary automatic 命令生成的自动聚合路由
3)network 注入的路由
4)import-route 注入的路由
not preferred for route type
aggregate
ip route-static 10.0.45.0 255.255.255.128 null0 # 黑洞路由
ip route-static 10.0.45.128 255.255.255.128 null0
bgp 200
# aggregate 10.0.45.0 255.255.255.0 detail-suppressed
network 10.0.45.0 255.255.255.0 # 引[……]
问题描述
在大型网络中,到达同一目的地通常会存在多条有效 BGP 路由,设备只会优选一条最优的 BGP 路由,将该路由加载到路由表中使用;
但是,该特点往往会造成很多流量负载不均衡的情况,即流量全部通过某条链路进行转发,资源未充分利用;
解决方案
通过配置 BGP 负载分担,可以使得设备同时将多条等代价的 BGP Route 加载到 RIB,实现流量负载均衡,减少网络拥塞;
bgp 200
maximum load-balancing ibgp 2
路由等价负载分担的条件
在设备上使能 BGP 负载分担功能后,只有满足条件的多条 BGP 路由才会成为等价路由,进行负载分担;
Preferred-Value 属性值相同;
Local_Preference 属性值相同;
都是聚合路由或者非聚合路由;
AS_Path 属性完全相同(若启用 as-path-ignore 特性,则 AS_Path 属性长度相同即可)
Origin 类型(IGP、EGP、Incomplete)相同;
MED 属性值相同;
都是 EBGP 路由或都是 IBGP 路由;
AS 内部 IGP 的 Metric 相同;
默认情况,设备只会对 AS_Path 完全相同的路由进行负载分担,通过 [] load-balancing as-path-ignore 忽略 AS_Path 路径不一致;
补充说明
值得注意的是,尽管配置 BGP 负载分担,但是在路由通告时:设备依然只会在多条到达相同目的地的 BGP 路由中优选一条路由,并只将这条路由通告给其他对等体;
在公网中到达同一目的地的路由形成负载分担时,系统会首先判断最优路由的类型:
1)若最优路由为 IBGP Route,则只是 IBGP 路由参与负载分担;
2)若最优路由为 EBGP Route,则只是 EBGP 路由参与负载分担;
3)即公网中到达同一目的地的 IBGP Route 和 EBGP Route 不能混合形成负载分担;[……]
问题描述
如果设备希望只接收自己需要的路由,但对端设备又无法针对每个与它连接的设备维护不同的出口策略;
R2 在接收口进行路由过滤,仅接收 10.1.1.1/32 路由
针对被过滤掉的路由(如:10.1.2.2/32)而言,实际上 R1 没有必要通告给 R2;
解决方案
通过配置 BGP 基于前缀的 ORF(Outbound Route Filters,出口路由过滤器)来满足两端设备的需求;
原理简述
BGP 基于前缀的 ORF 能力:
1)通过 Route-Refresh 报文,将本端设备配置的基于前缀的入口策略,发送给 BGP Peer;
2)BGP Peer 根据这些策略(刷新报文中)构造出口策略,以在路由发送时对路由进行过滤;
特性说明
避免本端设备接收大量无用的路由,降低链路带宽的占用率;
还有效减少了 BGP 邻居的配置工作;
降低本端设备的 CPU 使用率;
配置命令
# 第一步、配置对等体(组)基于 IP 地址前缀列表的路由过滤策略;
# import:对由指定对等体(组)接收的路由应用过滤策略;
# export:对向指定对等体(组)发送的路由应用过滤策略;
[Huawei-bgp-af-ipv4] peer { group-name | ipv4-address } ip-prefix ip-prefix-name { import | export }
# 第二步、使能 BGP 对等体(组)基于地址前缀的 ORF 功能(需要两端同时开启)
# non-standard-compatible:指定与非标准设备兼容;
# both:表示允许发送和接收 ORF 报文;
# receive:表示只允许接收 ORF 报文;
# send:表示只允许发送 ORF 报文;
# standard-match:指定按照 RFC 标准规定的前缀匹配规则来匹配路由;
[Huawei-bgp] peer { group | address } capability-advertise orf [ non-standard-compatible ] ip-prefix { both | receive | send } [ standard-match ]
配置案例
R2 只期望 R1 通告 10.1.1.1/32 路由,R2 通过向 R1 推送 ORF 报文来达到这个目的;[……]
通过仓库安装
# for Ubuntu 20.4
apt-get install qemu
通过源码安装
QEMU/Installing QEMU – Wikibooks, open books for an open world
git clone git://git.qemu-project.org/qemu.git[4]
cd qemu
git submodule init
git submodule update –recursive[5]
git submodule status –recursive
git checkout stable-2.9[6]
mkdir build
cd build
../configure[7]
make -j$(nproc)[……]
问题描述
在 AS 中,IBGP Peer 的路由通告机制将引入一些问题:
水平分割
IBGP 存在水平分割,即 IBGP Peer 传来的路由,不会再传递给其他 IBGP Peer;
已知环境:
1)AR1 ⇐ (EBGP Peer) ⇒ AR2 ⇐ (IBGP Peer) ⇒ AR3 ⇐ (IBGP Peer) ⇒ AR4 ⇒ (EBGP Peer) ⇒ AR5
2)AR1 通告 10.1.1.1/32 路由
3)但是 AR2 并通告 AR3,但应水平分割要求,AR3 不会将该 BGP Route 通告给 AR4
4)进而导致 AR4 无法访问 10.1.1.1/32
数据黑洞
已知环境:
1)AR1 ⇐ (EBGP Peer) ⇒ AR2 ⇐ (IBGP Peer) ⇒ AR4 ⇒ (EBGP Peer) ⇒ AR5
2)AR1 通告 10.1.1.1/32 路由
3)在 AR2 配置 peer x.x.x.x next-hop-local 特征,此时 AR4 收到路由条目变为有效(Next-Hop 10.1.2.2),
问题描述:
但是 AR4 ping 10.1.1.1 依旧失败。
原因分析:
因为 AR3 没有到达 10.1.2.2 的路由,因此会在 AR3 发生丢包。
解决方案
Full Mesh(全互联模型)Route Reflector(路由反射器)
Full Mesh
其中的一种解决方案就是使用 Full Mesh —— 将 AR2 AR3 AR4 两两创建邻居关系,并且还要使用 next-hop-local 来修改路由下一跳地址。
建立 IBGP Peer 全互联模型(Full Mesh),即两两设备创建 IGP 关系
实现 IBGP Full Mesh 存在诸多短板:
1)路由器需维护大量的TCP及BGP连接,尤其在路由器数量较多时,这会加重设备的负担
2)AS 内 BGP网络的可扩展性较差:当新增设备后,全部都要配置互联;[……]
问题描述
当提及“代理”(代理服务器)一词时,涉及一些与代理有关的术语,这些属于反映了代理服务器的特征及功能。
该笔记将记录:到讨论代理技术中,可能涉及到的术语以及它们的含义。
注意事项
1)如下术语并不是独立存在的。比如说,某些代理服务器,既是透明代理,又是公共代理。
2)这里仅列出部分代理服务器类型及术语。(毕竟,隔三差五又会出现新的术语)
3)有些代理服务类型可能一生都会遇到,简单了解即可。
常用术语
透明代理(transparent proxy)
名称:transparent proxy, inline proxy, intercepting proxy, forced proxy
是位于客户端计算机和互联网之间的服务器,在“不修改”请求和响应的情况下,重定向请求和响应。(而修改请求和响应的代理服务器,定义为非透明代理)。
透明,表示客户端对其存在是无感知的。但是,服务端是知道的,因为在请求头中,代理服务器会添加自己的地址。
另外,透明代理不应该对用户进行认证。“透明”意味着浏览器在不知情的情况下,被重定向到代理,就是说客户端的浏览器没有进行任何代理相关的配置。透明代理作为“一个本来就不应该存在的”活动代理来工作。对用户来说,不应该感受到透明代理的存在。透明代理的主要作用就是欺骗或混淆(客户端)。
正向代理(forward proxy)
它是客户端的中介,代表客户端访问任何服务器。当我们希望突破网络限制时,需要使用代理服务器,这里的“代理服务器”便是指正向代理服务器。
在日常中,我们经常提到“代理”一词,它一般指“正向代理”。
反向代理(reverse proxy)
名称:reverse proxy, web accelerator
与正向代理相反,反向代理是服务端的中介,它的存在隐藏后端的服务器。
我们使用的 Nginx 服务,经常用作反向代理,以隐藏后端的真实服务。比如反响代理 GitLab 服务,Python Web 应用等等。
匿名代理(Anonymous proxy) & 高度匿名代理(High anonymity proxy)
匿名代理,不会向服务端暴露用户的网络地址,但是依旧会向服务端暴露自己的是代理服务器。
高度匿名代理则不会暴露任何信息。在服务端看来,匿名代理完全就是“真实的”客户端。
混淆代理(Distorting proxy)
混淆代理(也可以被翻译成其他名称),与匿名代理类似,会向服务端暴露自己是代理服务器,但是会向服务端暴露虚假的用户网络地址。
住宅代理(Residential proxy)
住宅代理,使用真实的网络地址,允许用户原则地理位置(基于地址判断地理位置),对于服务端来说该用户好像就在那个区域。
数据中心代理(Data center proxy)[……]
确保两台电脑都有可用的无线网卡
确认无线网卡支持 Ad-Hoc 模式(大多数现代无线网卡都支持)
iw list | grep “Supported interface modes” -A 8
两台电脑需要在彼此的有效通信范围内(通常 30 米内)
ArchWiki / Ad-hoc networking | https://wiki.archlinux.org/title/Ad-hoc_networking
参考
DeepSeek / 如何使用 Ad-Hoc 模式实现两台 Linux 电脑无线互联[……]
认识
通过有线电缆或光纤,组成有线局域网,以作为传输介质广泛应用。但有线传输介质的铺设成本高,位置固定,移动性差。随着人们对网络的便携性和移动性的要求日益增强,传统的有线网络已经无法满足需求。
WLAN,Wireless LAN,Wireless Local Area Network,无线局域网,应运而生,是指通过无线技术构建的无线局域网络。
WLAN(Wireless Local Area Network,无线局域网)是一种利用无线电波、红外线等无线技术代替传统有线电缆实现设备联网的技术,遵循 IEEE 802.11 系列标准。
WLAN,是一种利用射频(Radio Frequency,RF)技术进行据传输的系统,
WLAN 广义上是指以无线信号(无线电波、激光、红外线、……)来代替局域网中的部分或全部有线传输介质所构成的网络。
WLAN,是通过无线通信技术连接的计算机构成的局域网。
目前,WLAN 已经成为一种经济、高效的网络接入方式。该技术的出现绝不是用来取代有线局域网络,而是用来弥补有线局域网络之不足,以达到网络延伸之目的,使得无线局域网络能利用简单的存取架构让用户透过它,实现无网线、无距离限制的通畅网络。
WLAN 作为现代网络基础设施的核心组成部分,从最初的 2Mbps 发展到如今的 40Gbps(Wi-Fi 7),在移动办公、智能家居、工业物联网等领域发挥关键作用。随着 Wi-Fi 6/7 的普及和 6GHz 频段的开放,无线网络将继续向更高吞吐、更低延迟、更智能化的方向发展。用户需根据场景需求选择适当的标准和安全配置,以获得最佳体验。
组成
分布式系统
连接多个 AP 的有线 / 无线骨干网络
无线技术
无需物理线缆,通过电磁波传输数据
注意事项,无线技术有很多种,比如 Wi-Fi、Bluetooth 等等。
接入点(AP)
无线信号的发射 / 接收设备(如路由器)
安全机制 and 认证服务器
负责用户身份验证(如 RADIUS 服务器)
安全协议
加密方式
安全性
备注
WEP
RC4
极低
已淘汰,可 10 分钟内破解
WPA
TKIP
低
WEP 临时替代方案
WPA2
AES-CCMP
高
当前主流,需强密码
WPA3
GCMP
极高
2018 年发布,防离线破解
WPS
–
危险
易受暴力破解,建议禁用
最佳实践:
– 使用 WPA3 或 WPA2+AES
– 禁用[……]
名称
作用
携带位置
SR-Algorithm TLV
对外通告自己使用的算法
Type 10 Opaque LSA
SID/Label Range TLV
通告 SR-MPLS 的 SID 或 MPLS Label 范围
Type 10 Opaque LSA
SRMS Preference TLV
通告网元做为 SR Mapping Server 的优先级
Type 10 Opaque LSA
SID/Label Sub-TLV
用于通告 SR-MPLS 的 SID 或 MPLS Label
SID/Label Range TLV
OSPFv2 Extended Prefix Opaque LSA 中的 OSPFv2 Extended Prefix TLV 和 OSPF Extended Prefix Range TLV
OSPFv2 Extended Link Opaque LSA 中的 OSPFv2 Extended Link TLV
Prefix SID Sub-TLV
通告 SR-MPLS 的 Prefix SID
OSPFv2 Extended Prefix Opaque LSA 中的 OSPFv2 Extended Prefix TLV 和 OSPF Extended Prefix Range TLV
Adj-SID Sub-TLV
在 P2P 网络中通告 SR-MPLS 的 Adjacency SID
OSPFv2 Extended Link Opaque LSA 中的 OSPFv2 Extended Link TLV
LAN Adj-SID Sub-TLV
在 LAN 网络中通告 SR-MPLS 的 Adjacency SID
OSPFv2 Extended Link Opaque LSA 中的 OSPFv2 Extended Link TLV[……]
概述介绍
协议标准 | WLAN 技术标准演进
802.11 是 IEEE 在 1997 年为 WLAN 定义的一个无线网络通信的工业标准,其中定义介质访问接入控制层和物理层。
此后,更多的基于 802.11 的补充标准逐渐被定义,目前 WLAN 所包含的协议标准有:IEEE802.11b、IEEE802.11a、IEEE802.11g、IEEE802.11E、IEEE802.11i、802.11n、802.11ac、无线应用协议(WAP)等等。最为熟知的是影响 Wi-Fi 代际演进的标准:802.11b、802.11a、802.11g、802.11n、802.11ac 等。
标准
发布时间
频段
最大速率
特点
Wi-Fi 1
802.11
1997
2.4GHz
2Mbps
原始标准
Wi-Fi 2
802.11b
1999
2.4GHz
11Mbps
首个广泛采用的标准
Wi-Fi 3
802.11a
1999
5GHz
54Mbps
抗干扰强但覆盖小
Wi-Fi 3
802.11g
2003
2.4GHz
54Mbps
兼容11b,性能提升
Wi-Fi 4
802.11n
2009
2.4GHz, 5GHz
600Mbps
MIMO技术引入
Wi-Fi 5
802.11 ac Wave 1
2013
5GHz
6.9Gbps
波束成形,更宽信道
Wi-Fi 6
802.11 ac Wave2
2015
5GHz
3.47Gbps
Wi-Fi 6
802.11 ax
2019
2.4/5/6GHz
9.6Gbps
OFDMA,高效多用户
Wi-Fi 7
802.11be
预计2024
2.4/5/6GHz
40Gbps
320MHz信道,MLO
组网架构
FAT AP
组网特点:
1)所有配置信息都保存在 AP 上;
2)AP 独立工作,需单独配置,功能较为单一,成本低;
适用范围:
1)家庭:家庭路由器属于 FAT AP,所有的配置都在[……]
认识
Bash 是一个 sh 兼容的命令语言解释器,执行标准输入或文件中的命令。Bash 还包含了 ksh 和 csh 的有用功能。Bash 最终旨在成为 IEEE Standard 1003.2 的一致性实现。
官网:https://www.gnu.org/software/bash/
文档:https://www.gnu.org/savannah-checkouts/gnu/bash/manual/bash.html
仓库:https://savannah.gnu.org/projects/bash/
组成
WIP
构造
针对用户,我们按照文档进行安装即可| https://www.gnu.org/savannah-checkouts/gnu/bash/manual/bash.html#Installing-Bash
应用
忽略重复的历史命令
How do I prevent commands from showing up in Bash history? – Stack Overflow
在执行命令的过程中,我们通常会使用 [↑] 来选择我们执行过的命令;
但是当执行多次后,我们想找到更久之前的命令,就需要通过 [↑] 来翻过很多重复命令;
通过 export HISTCONTROL=ignoredups 变量,能够控制 Bash History 忽略重复命令;
参考
Bash (Unix shell) – Wikipedia[……]
认识
Ad-Hoc 是一个拉丁语词汇,原意为”专为此目的”,在技术和管理领域有多种含义和应用。在无线网络中,Ad-Hoc 网络指:不依赖基础设施的自组织网络,设备间直接通信的临时网络常见于移动设备间的直接连接。
Ad-Hoc 网络(无线自组织网络)是一种不依赖固定基础设施(Router、AP、……)的分布式无线网络,由一组具有无线通信能力的节点(如手机、笔记本电脑、传感器等)自主组成,节点之间可以直接通信或通过多跳中继进行数据转发。
Ad-Hoc 网络是一种灵活、自组织的无线通信方式,适用于无基础设施或临时组网场景,在军事、救灾、物联网、智能交通等领域有广泛应用。但其动态拓扑、能量限制和安全性问题仍需进一步研究优化。未来,随着 5G、AI 和无人机技术的发展,Ad-Hoc 网络将发挥更大作用。
注意,Ad-Hoc 是 WLAN 的一种工作模式。Ad-Hoc 是 WLAN 的子集,特指无需基础设施(如路由器)的自组织网络。
组成
路由协议 | 由于 Ad-Hoc 网络的动态性,传统的有线网络路由协议(如 OSPF、RIP)不适用,需要专门的路由协议:
主动式路由协议(Proactive Routing):DSDV(Destination-Sequenced Distance Vector)、OLSR(Optimized Link State Routing)、……
反应式路由协议(Reactive Routing):AODV(Ad-Hoc On-Demand Distance Vector)、DSR(Dynamic Source Routing)、……
混合路由协议(Hybrid Routing):ZRP(Zone Routing Protocol)、……
WIP 其他相关技术组件;
构建
根据应用场景的要求,Ad-Hoc Network 可以分为以下几类:
MANET(Mobile Ad-Hoc Network)| 由移动设备(如手机、笔记本电脑)组成的网络 | 军事通信、应急救灾、车联网
VANET(Vehicular Ad-Hoc Network)| 车辆间组成的 Ad-Hoc 网络 | 智能交通、自动驾驶
WSN(Wireless Sensor Network)| 由大量传感器节点组成的网络 | 环境监测、智能农业
FANET(Flying Ad-Hoc Network)| 无人机(UAV)组成的网络 | 无人机集群、空中监测
HANET(Human Ad-Hoc Network)| 由可穿戴设备组成的网络 | 健康监测、AR/VR 应用
性质
无中心化(Decentralized)
没有固定的基站或路由器,所有节点地位平等。
节点可以动态加入或离开网络,网络拓扑[……]
版本选择
https://github.com/apolloconfig/apollo/releases
部署方式
Quick Start | https://www.apolloconfig.com/#/zh/deployment/quick-start
with Helm Chart | https://www.apolloconfig.com/#/zh/deployment/distributed-deployment-guide?id=_24-kubernetes 部署
输入用户名 apollo,密码 admin 后登录
服务升级
WIP
with Helm Chart
https://github.com/apolloconfig/apollo/blob/master/scripts/sql/profiles/mysql-default/apolloconfigdb.sqlhttps://github.com/apolloconfig/apollo/blob/master/scripts/sql/profiles/mysql-default/apolloportaldb.sql
$ helm repo add apollo https://charts.apolloconfig.com
$ helm search repo apollo
apollo-service
该 Helm Chart 提供如下两个微服务:
Admin Service
Config Service
helm install apollo-service-dev \
–set configdb.host=1.2.3.4 \
–set configdb.userName=apollo \
–set configdb.password=apollo \
–set configdb.service.enabled=true \
–set configService.replicaCount=1 \
–set adminService.replicaCount=1 \
-n your-namespace \
apollo/apollo-service
# —————————————————————————– # 修改配置
# 我们使用域名来访问数据库,所以使用如下配置
…
configdb:
host: xxx.mysql.rds.aliyuncs.com
…
service:
enabled: true[……]
认识
代理服务器(Proxy Server)的功能是代理网络用户去取得网络信息。形象地说,它是网络信息的中转站,是个人网络和 Internet 服务商之间的中间代理机构,负责转发合法的网络信息,对转发进行控制和登记;
代理服务器是位于 Client 和目标服务器之间的中介服务器。它充当 Client 和服务器之间的代理,使得 Client 无需直接与服务器通信。
总的来说,代理服务器提供了一种中间层,可以增强网络通信的安全性、性能和功能。
组成
代理服务器的工作原理是 Client 发送请求给代理服务器,代理服务器再将请求转发给目标服务器,并将目标服务器的响应返回给 Client。这样一来,Client 和服务器之间的直接通信被代理服务器所取代。
代理服务器有不同类型,包括正向代理和反向代理。正向代理代表 Client 发送请求,而反向代理代表服务器接收请求。正向代理常用于绕过网络限制、匿名访问和提供缓存等功能。反向代理通常用于负载均衡、安全性和保护服务器等方面。
构造
根据实际需求,代理服务器具有多种类型,以解决不同问题。
性质
代理服务器可以提供多种功能和用途,包括安全性、隐私保护、缓存、负载均衡和访问控制等。
总的来说,代理服务器提供了一种中间层,可以增强网络通信的安全性、性能和功能。
应用
通过代理服务器,用户可以访问受限网站、保护个人隐私、提高访问速度,并提供更好的网络体验。
我们常用的 Nginx 服务器,经常被作为反向代理,来暴露后端的服务。用户访问 Nginx 服务器时,Nignx 会根据域名将流量转发到对应的后端服务;
参考
代理服务器_百度百科[……]
在实际应用中,针对 Prefix Segment、Adjacency Segment 参数,可单独使用,也可结合使用;
通过按序组合前缀(节点)SID 和邻接 SID,可以构建出网络内的任何路径;
在路径中的每一跳,使用栈顶段信息区分下一跳;
段信息按照顺序堆叠在数据头的顶部;
当栈顶段信息包含另一个节点的标识时,接收节点使用 ECMP 的方式将数据包转发到下一跳;
当栈顶段信息是本节点的标识时,接收节点弹出顶部段,并执行下一个段所需的任务;
基于 Prefix Segment 的转发路径
基于 Prefix Segment 的转发路径,其由 IGP 通过最短路径算法(SPF)计算得出;
通过 IGP 扩散之后,整个 IGP 域的所有设备学习到 R2 的 Prefix SID(100);
以 R1 为例(其他设备类似),它通过 SPF 算法计算出一条到达 R2 的最短路径;
基于 Prefix Segment 的转发路径并不是一条固定路径,头节点也无法控制报文的整条转发路径
基于 Adjacency Segment 的转发路径
通过给网络中每个邻接分配一个 Adjacency Segment,然后在头节点定义一个包含多个 Adjacency Segment 的 Segment List;
针对该方式,能够严格指定任意一条显式路径(Strict Explicit),可更好的配合实现 SDN 环境。
基于 Adjacency Segment + Node Segment 的转发路径
将 Adjacency Segment 和 Node Segment 结合,通过 Adjacency Segment,可以强制整条路径包含某一个邻接。而对于 Node Segment,节点可以使用 SPF 算法计算最短路径,也可以负载分担;
针对该方式,其路径并不是严格固定,所以也称作松散路径(Loose Explicit)。[……]
WLAN 和 WIFI 有什么区别?:https://zhidao.baidu.com/question/188789020.html
Wikipedia/Wi-Fi: https://en.wikipedia.org/wiki/Wi-Fi
Wikipedia/Wireless LAN:https://en.wikipedia.org/wiki/Wireless_LAN
链接收藏
http://w1.fi/cgit/hostap/plain/hostapd/hostapd.confhttp://linuxwireless.org/en/users/Drivers/ath9k_htc/http://w1.fi/wpa_supplicant/http://www.freebuf.com/articles/wireless/58342.htmlhttps://www.kernel.org/pub/software/network/iw/http://www.bubuko.com/infodetail-786569.htmlhttp://www.xuebuyuan.com/1763744.htmlhttp://dev.wifidog.org/http://www.right.com.cn/forum/forum.phphttp://www.anywlan.com/http://sec.chinabyte.com/339/13254339.shtmlhttp://www.2cto.com/Article/201301/187152.htmlhttp://www.wificw.com/http://bbs.elecfans.com/zhuti_wireless_1.htmlhttp://bbs.angeeks.com/thread-3846566-1-1.htmlhttp://bbs.cqcqcq.com/index.phphttp://www.kali.org.cn/thread-14836-1-1.htmlhttp://blog.sina.com.cn/s/blog_48a0f2740100ka71.htmlhttp://www.rosabc.com/http://linuxwireless.org/welcome/
Wireless Mode: https://wireless.wiki.kernel.org/en/users/documentation/modes[……]
SR 标签由 IGP 协议发布。控制器使用 BGP-LS 收集网络拓扑、网络带宽、时延、标签等属性;
控制器根据约束条件计算出符合业务需求的转发路径,然后将算路结果通过 PCEP 或 NETCONF 下发到转发器。也可由工程师手工配置严格转发路径,然后通过 PCEP 将路径托管到控制器;
L3VPN Over SR-MPLS TE:自动选择隧道
CE1 查找路由表,将数据包转发给 R1;
R1 查找 VPN 路由表,添加 R3 为对应的 VPN Instance 分配的标签,并根据隧道选择策略选择对应的 SR-MPLS TE 隧道,添加隧道标签;
R2 收到数据包只进行外层标签替换,然后转发给 R3;
R3 收到数据包后解封装外层标签,并根据内层标签将数据包转发给 CE2,至此数据包到达 CE2;[……]
MPLS L2VPN 基本架构可以分为 AC、VC、Tunnel 三个部分:
AC(Attachment Circuit,接入电路):AC 是一条连接 CE 和 PE 的独立的链路。AC 接口可以是物理接口或逻辑接口;
VC(Virtual Circuit,虚链路):这里指在两个 PE 节点之间的一种逻辑连接,使用信令协议建立,例如 BGP AD 路由;VC 在部分文档也称为 PW(Pseudo Wire);
Tunnel:用于透明传送业务数据,例如 MPLS LDP 隧道或 MPLS TE 隧道;[……]
http_proxy HTTP_PROXY https_proxy HTTPS_PROXY no_proxy NO_PROXY
no_proxy | NO_PROXY
proxy – How to use no_proxy on Linux machines – wildcards, leading dots – Stack Overflow
语法
分隔符:通常用逗号 , 分隔多个条目,但某些工具可能要求其他符号(如空格)。
排除地址:”localhost,127.0.0.1,::1,192.168.1.0/24,10.0.0.1″
排除域名:”domain1,domain2,ip_address,sub.domain”
域名模糊:
模糊匹配:”.example.com,.internal” // 以 .example.com 或 .internal 结尾的域名均不走代理(注意开头的点 .)。
通配符:部分工具支持 *(如 *.example.com),但更推荐使用 .example.com。
排除端口:
针对某些实现,其支持指定端口(如 example.com:8080)。
针对某些实现,通过 sub.domain 即可排除所有端口。
注意,针对 no_proxy、NO_PROXY 变量,其具体语法及支持情况,需要参考具体软件的文档。
示例
export NO_PROXY=”example.com,192.168.1.0/24,10.0.0.1,.example.com,.internal,localhost”
export no_proxy=”localhost,127.0.0.1,localaddress,localdomain.com,example.com”[……]
Metric-Type-1
当 外部路由的开销 与 AS 内部的路由开销 相当,并且 其与 OSPF 自身路由的开销 具有可比性时,可以认为这类路由的可信程度较高,将其配置成 Metric-Type-1;
外部路由的开销 = AS 内部开销(路由器到 ASBR 的开销)+ AS 外部开销;
应用场景:可信程度高
[R3]display ospf routing
Destination Cost Type Tag NextHop AdvRouter
192.168.1.0/24 2 Type1 1 10.0.12.1 10.0.1.1
# 外部路由类型为 Metric-Type-1,
# 因此在 R3 的路由表中,192.168.1.0/24 路由的开销为该路由的外部开销加上 R3 自己到达 ASBR R1 的内部开销;
[R5]display ospf routing
Destination Cost Type Tag NextHop AdvRouter
192.168.1.0/24 3 Type1 1 10.0.34.3 10.0.1.1
# 192.168.1.0/24 路由在 R5 的路由表中的开销等于该路由的外部开销加上 R5 到达 ASBR R1 的内部开销;
Metric-Type-2(默认)
当 ASBR 到 AS 之外的开销 远远大于 在 AS 之内到达 ASBR 的开销 时,可以认为这类路由的可信程度较低,将其配置成 Metric-Type-2;
外部路由的开销 等于 AS 外部开销
应用场景:可信程度低,AS 外部开销远大于 AS 内部开销[……]
邻居状态转换:Down ⇒ Init ⇒ 2-Way
1)Down:邻居关系的初始状态,表示未从邻居收到任何信息。当两台路由器配置 OSPF 后,邻居状态为 Down 状态;
2)Init:路由器已从邻居收到 Hello 报文,但是自己的 Router ID 不在所收到的 Hello 报文的邻居列表中;
3)2-way:路由器发现自己的 Router ID 存在于收到的 Hello 报文的邻居列表中(及邻居明确当前路由器的存在);
关于 Attempt 状态
在 FR 下会出现 Attempt 状态;
建立邻居关系的条件
1)Hello-Interval / Router-Dead-Interval 时间相同;
2)OSPF Area 要相同;
3)网络类型要求相同:虽然不影响邻居关系的建立以及 LSA 同步,但 LSA 所描述两端网络类型不同,会影响 SPF 计算;
4)Options 选项要一致,即支持功能相同;
5)Router-ID 不能冲突;
数据互相同步:ExStart ⇒ Exchange
RTA 与 RTB 发送 DD 报文时,都会使用自己的序列号,因此需要协商初时的序列号(选举主从)。“隐式确认”(两者使用相同的机制确认序列号,而不是协商机制来确认序列号。这里机制便是 Router ID 大,则使用其序列号),然后基于该序列号开始同步数据。目的是控制交互报文的序列号(路由的数据包的更新序列号),以保证同步机制可靠;
该阶段的 DD 报文包含 LSA 的头部信息,用来描述 LSDB 的摘要信息:
ExStart
进入 ExStart 阶段,核心任务是选举主从(Master/Slave):
1)通过 DD 交互,选举主从,Rouer ID 大为 Master,并使用其序列号;
在 ExStart 中,DD 只有“头部信息”,没有“摘要信息” ⇒ 足够完成主从选举
Exchange
进入 Exchange 阶段,这里的 DD 包含“摘要信息”,即开始同步数据库:
1)当主从选举结束后,Slave 进入 Exchange 状态,并由 Slave 主动发送 DD 报文,其使用 Master 的序列号;
2)当收到 Slave 的 DD 报文后,Master 进入 Exchange 状态;
3)此时 Slave 发送的 DD 报文包含完整的摘要信息,Master 也响应 DD 报文; ⇒ 双发交互;
4)最后收到 DD 的路由器,需要使用空的 DD 报文进行确认,序列号需要加一(但实际抓包显示未增加)
在 Exchange 中,DD 包含完整的摘要信息(类似于目录,是对整个数据库的摘要) ⇒ 以完成对数据的筛选
建立邻接关系:Loading ⇒ Fu[……]
问题描述
对于区域间路由(Inter-area Route)计算,需要 LSA Type 3 来完成;
LSA TYPE 3: Network Summary LSA
名称:Network Summary LSA,网络汇总 LSA,三类 LSA,LSA TYPE 3
来源:ABR(OSPF 区域间路由信息传递是通过 ABR 产生的 Network Summary LSA(3 类 LSA)实现的)
作用:描述 Area 内某个网段的路由信息,该类 LSA 主要用于 Inter-AS 路由的传递
范围:骨干区与非骨干区间;
路由通告
以 192.168.1.0/24 路由信息为例:
1)R2 依据在 Area 1 内所泛洪的 Router LSA 及 Network LSA 计算得出 192.168.1.0/24 路由(区域内路由),并将该路由通过 Network Summary LSA 通告到 Area 0;
2)R3 根据该 LSA 可计算出到达 192.168.1.0/24 的区域间路由;
3)R3 重新生成一份 Network Summary LSA 通告到 Area 2 中,至此所有 OSPF 区域都能学习到去往 192.168.1.0/24 的路由;
路由计算示例
此 R2 产生 Network Summary LSA,用于向 Area0 通告到达 192.168.1.0/24 的区域间路由;
R2 自己到 192.168.1.0/24 的 Cost 为 1,因此它向 Area0 所通告的 192.168.1.0/24 路由的 Cost 为 1。通过 Area 0 内 SPF 的计算,R1 到达 R2 的 Cost 值为 1,R3 到达 R2 的 Cost 值为 2;
R1 和 R3 根据收到的 Network Summary LSA 进行路由计算:
1)R1 将到达 R2 和 Cost 值和 Network Summary LSA 所携带的 Cost 值相加,因此 R1 到达 192.168.1.0/24 的 Cost 值为 2;
3)R3 将到达 R2 和 Cost 值和 Network Summary LSA 所携带的 Cost 值相加,因此 R3 到达 192.168.1.0/24 的 Cost 值为 3;
R3 作为 ABR,它通过 Area 0 内泛洪的 Network Summary LSA 计算出到达 192.168.1.0/24 的路由,
1)然后重新向 Area 2 注入到达该网段的 Network Summary LSA,其中包含自己到达该网段的 Cost(值为 3);
2)R5 在 SPF 中计算得知到达 R3 的 Cost 为 1[……]
Segment, Segment ID, Segment List
Segment
Segment 是节点针对所收到的数据包要执行的指令,该指令包含在数据包头部中;
例如:
指令 1:沿着最短路径到达 R4(支持 ECMP)
指令 2:沿着 R4 的 GE0/0/2 接口转发数据包
指令 3:沿着最短路径到达 R8
Segment ID
通过 Segment ID(SID)标识 Segment,它的格式取决于具体的技术实现(例如 MPLS 标签、MPLS 标签空间中的索引、IPv6 地址等等);
例如:
指令 1(400):沿着支持 ECMP 的最短路径到达 R4
指令 2(1046):沿着 R4 的 GE0/0/2 接口转发数据包
指令 3(800):沿着支持 ECMP 的最短路径到达 R8
注,该图示使用的标签数值仅起到帮助理解的作用,具体的标签分配范围请参考文档手册;
Segment List
Segment List 是一个或多个 SID 构成的有序列表;
Segment Type
如图所示(红绿橙),Segment 具有多种类型,各种类型的 Segment 具有不同的作用;
前缀段 | Prefix Segment
功能作用:用于标识网络中的某个目的地址前缀(即见标签如见路由),如图橙色;
表现形式:通过 Prefix Segment ID 来标识 Prefix Segment;
生成方式:管理员配置 SRGB、Prefix SID Index 参数,并由设备主动通告 SRGB、Prefix SID Index 参数,其他设备自动计算 Prefix Segment ID = SRGB + Prefix SID Index 参数;
传播方式:通过 IGP 协议,将 Prefix Segment 扩散到其他网元,全局可见,全局有效;
而 Prefix Segment ID 是发布端通告的的 Prefix SID Index(偏移值),接收端会根据自己的 SRGB 计算实际标签值,以用于生成 MPLS 转发表项;
针某特定路由条目:
其入标签,设备通过自身的 SRGB + Prefix Segment ID Index 计算;
其出标签,设备通过下一跳 SRGB + Prefix Segment ID Index 计算;
节点段 | Node Segment
Node Segment 是特殊的 Prefix Segment,如图红色,用于标识特定的节点(Node);
在节点的 Loopback 接口下,配置 IP Address 作为前缀,该节点的 Prefix SID 实际就是 Node SID 类型[……]
网络类型 | Network Type
在 OSPF 中,网络类型 Network Type 是个非常重要的接口变量:
其将影响 OSPF 在接口上的操作,例如,发送 OSPF 报文的方式、所采用的 DD 格式、是否需要选举 DR 与 BDR、……
接口的默认网络类型,其取决于接口所使用的链路层封装方式;
链路两端的 OSPF 接口的 Network Type 必须一致,否则双方无法建立邻居关系(其实也能,需要其他技巧,其存在问题,不建议)
鉴于 OSPF 出现时间比较早,因此当时网络类型比较多,所以导致 OSPF 支持的网络类型也比较多。
在 OSPF 下,有四种网络类型([Huawei-Interface] ospf network-type ?):
BMA,Broadcast Multiple Access,广播式多路访问
1)即 Broadcast 类型(多数情况是相同的),指允许多台设备接入的、支持广播的环,比如 以太网;
2)当接口采用 Ethernet 封装时,OSPF 在该接口上缺省采用 BMA 网络类型;
P2P,Point-to-Point,点到点
1)在链路上只能连接两台网络设备的环境,比如 PPP、HDLC 网络;
2)当接口采用 PPP 封装时,OSPF 在该接口上缺省采用 P2P 网络类型;
NBMA,Non-Broadcast Multiple Access,非广播式多路访问
1)NBMA 指允许多个网络设备接入,但不支持广播的环境;
2)帧中继(过时)、ATM 是 NBMA 类型(此时会出现 OSPF 的 Attempt 状态);
P2MP,Point to Multi-Point,点到多点
1)P2MP 相当于将多条 P2P 链路的一端捆绑得到的网络;
2)没有一种链路层协议会被缺省认为是 P2MP 网络类型。该类型必须由其他网络类型手动更改;
3)常用的做法是将非全连通的 NBMA 改为点到多点的网络;[……]
问题描述
针对 OSPF 域间路由的传播过程,其与距离矢量路由协议的路由传播过程非常相似,即仅传递路由,而不传递拓扑。
对于区域间路由的传递,OSPF也需要一定的防环机制。
解决方案
Network Summary LSA 的行为类似于距离矢量路由协议,容易形成环路。
方案一、必须通过骨干区域
OSPF 要求所有的非骨干区域必须与 Area 0 直接相连,即区域间路由需经由 Area 0 中转。
区域间的路由传递不能发生在两个非骨干区域间,这使得 OSPF 的区域架构在逻辑上形成类似星型的拓扑。
方案二、屏蔽 Network Summary LSA 报文
1)不传递:ABR 不会将描述到达某个区域内网段路由的 Network Summary LSA 再注入回该区域;
2)不计算:并且,ABR 从非骨干区域收到的 Network Summary LSA 不能用于区域间路由的计算 ⇒ 即仅保存 LSDB,但不参与 SPF 计算;
如图所示,当 R2 收到 Network Summary LSA 报文后,是不会再发往骨干区。
潜在问题:骨干区分割
但是,该方案引入新问题:如果 Area 0 发生分割,但是骨干区无法通信:
R1和R2、R3和R4之间的链路中断导致骨干区域不连续。
R4将10.0.2.2/32路由以3类LSA的形式发送到Area 1。
R5和R6可以根据上述3类LSA计算出10.0.2.2/32路由。
R3从非骨干区域收到3类LSA,不进行路由计算,也不会将此3类LSA发送到其他区域。
此时,R1和R3都无法和10.0.2.2/32通信。
通过 3.1 Functions and Features:Virtual Link 技术,能够解决骨干区不连续的问题,或者在该场景中,通过虚链路连接 R3 R4 以保护 Area-0;[……]
问题描述
路由汇总又被称为路由聚合,即是将一组前缀相同的路由汇聚成一条路由,从而达到减小路由表规模以及优化设备资源利用率的目的,我们把汇聚之前的这组路由称为精细路由或明细路由,把汇聚之后的这条路由称为汇总路由或聚合路由;
OSPF 路由汇总的类型:
1)在 ABR 执行路由汇总:对区域间的路由执行路由汇总 ⇒ 汇总 Network-Summary LSA 路由;
2)在 ASBR 执行路由汇总:对引入的外部路由执行路由汇总 ⇒ 汇总 AS-External LSA 路由;
解决方案
执行路由汇总后,Router 只向 Area 通告汇总路由题目,这样:
1)减小 LSDB 条目数量;
2)明细路由对应的网段如果产生翻动(Up/Down),该拓扑变更造成的影响将被限制在 Area 内;
汇总操作,仅能针对路由进行汇总,所以路由操作是对 Network-Summary-LSA(3)、AS-External-LSA(5)、NSSA-LSA(7)进行汇总
在 ABR 中,执行路由汇总
<R2>display ospf lsdb
area 0
Type LinkState ID AdvRouter
Sum-Net 172.16.0.0 10.0.2.2
Sum-Net 172.16.1.0 10.0.2.2
Sum-Net 172.16.2.0 10.0.2.2
Sum-Net 172.16.3.0 10.0.2.2
Sum-Net 172.16.4.0 10.0.2.2
Sum-Net 172.16.5.0 10.0.2.2
Sum-Net 172.16.6.0 10.0.2.2
Sum-Net 172.16.7.0 10.0.2.2
// —————————————————————————- // 汇总后
<R2>display ospf lsdb
area 0
Type LinkState ID AdvRouter
Sum-Net 172.16.0.0 10.0.2.2
执行路由汇总后,ABR R2 只向 Area 0 通告 172.16.0.0/21 这条汇总路由;
补充说明:
1)abr-summary 只是最区域内路由进行汇总,即仅对 LSA Type 3 汇总(包括 LSA Type 1 + LSA Type 2[……]
问题描述
对于区域内路由(Intra-area Route)计算,仅需要 LSA Type 1 与 LSA Type 2 便可完成。
LSA TYPE 1: Router LSA
名称:路由器 LSA;一类 LSA;
来源:每台设备
作用:正如其名称(Router LSA),是用来描述设备自身的信息,包括 自身接口信息、所连链路信息、开销信息 等等;
范围:仅能在 Interface 所属 Area 内泛洪;
我们的拙见
在 MA-Network 中,Link-Type=TransNet 无法完整地描述网段信息:针对 Router 来说,其仅知道自己所在的 MA-Network,但是并不清楚在 MA-Network 中的其他设备。所以引入 Network-LSA 类型,由 DR 负责向各个 Router 通告 MA-Network 相关的信息。而 Router-LSA.Link-Type.TransNet 只是让 Router 通知 DR 其在当前 MA-Network 中。
要想描述完整的网络拓扑,需要两种类型的数据 —— 设备及网络:
1)在 P2P-Network 中: Router-LSA.Link-Type.P2P 描述设备(接口信息、所连设备);Router-LSA.Link-Type.StubNet 描述网段;两者是同时出现,能够确定 P2P 的路由信息;
2)在 MA-Network 中:Router-LSA.Link-Type.TransNet 描述信息;而 Network-LSA 负责描述网络信息;
LSA TYPE 2: Network LSA
名称:网络 LSA;二类 LSA;
来源:DR(注意 BDR 不产生)
作用:携带该网段的网络掩码;描述 DR 及 与其有邻接关系的路由器;
范围:在 Broadcast Network 中;仅能在接口所属区域内泛洪;
路由通告
WIP
路由计算流程概览
Phase 1:构建 SPF 树 ⇒ 摆放设备
流程:路由器将自己作为最短路径树的树根,根据 Router-LSA 和 Network-LSA 描述的拓扑信息,依次将 Cost 值最小的路由器添加到 SPF Tree 中。
解释(按照我们的理解来解释):
1)P2P 与 TransNet 都是在描述链路信息(直连网络信息),其中包含设备的 Router ID(或接口地址),还有设备间的开销;
2)通过(1)的三要素,以当前设备为根,我们能够补充其直连网络,以及直连网络内的设备 ⇒ 这就是拓扑还原的过程;
3)然后,继续向下递归地挂接设备(但对于到达同个目的,仅保留累计开销最小的),直到所有设备全部已经挂接到 SPF 树中;
补充:
1)路由器以[……]