前言

網(wǎng)絡(luò)是由各種網(wǎng)絡(luò)設(shè)備組成，虛擬化中的網(wǎng)絡(luò)除了傳統(tǒng)的能看得到物理網(wǎng)絡(luò)外，還包括運(yùn)行在服務(wù)器內(nèi)部看不到的網(wǎng)絡(luò)，

虛擬化中網(wǎng)絡(luò)的架構(gòu)

一臺虛擬機(jī)能連接多少臺虛擬交換機(jī)取決于有多少張網(wǎng)卡。
南北向流量，流量需要經(jīng)過路由器轉(zhuǎn)發(fā)出去。

網(wǎng)絡(luò)基礎(chǔ)概念

廣播Broadcast：one-to-all
ARP 地址解析協(xié)議，即ARP（Address Resolution Protocol），是根據(jù)IP地址獲取物理地址的一個TCP/IP協(xié)議。主機(jī)發(fā)送信息時將包含目標(biāo)IP地址的ARP請求廣播到局域網(wǎng)絡(luò)上的所有主機(jī)，并接收返回消息，以此確定目標(biāo)的物理地址；收到返回消息后將該IP地址和物理地址存入本機(jī)ARP緩存中并保留一定時間，下次請求時直接查詢ARP緩存以節(jié)約資源。效率、安全問題ARP欺騙。

單波Unicast：one-to-one
組播（多播）Multicast：加入了同一個組的主機(jī)可以接受到此組內(nèi)的所有數(shù)據(jù)
任播Anycast：IPV6

VLAN

虛擬局域網(wǎng)Virtual Local Area Network
MAC地址6字節(jié)48比特
數(shù)據(jù)鏈路層以太網(wǎng)幀結(jié)構(gòu)

VLAN幀格式

交換機(jī)端口處理方式：轉(zhuǎn)發(fā)丟棄泛洪
每個端口有PVID默認(rèn)是1

ACCESS口

連接主機(jī)、僅允許唯一的VLAN ID通過端口，這個值與端口的PVID相同、如果access口收到untagged幀，交換機(jī)強(qiáng)制加上該端口的PVID、access口發(fā)往對端設(shè)備的以太網(wǎng)幀永遠(yuǎn)是untagged幀

Trunk口

連接交換機(jī)、在交換機(jī)之間傳輸tagged幀，可以自由設(shè)定允許通過多個VLAN-ID，這些VLAN ID可以和PVID相同，也可以不同、如果VLAN ID不再允許列表內(nèi)丟棄，如果在允許列表內(nèi)直接轉(zhuǎn)發(fā)，不做任何改變、特殊情況：如果VLANID等于本端口的PVID，去標(biāo)簽后轉(zhuǎn)發(fā)，只有在這種情況下Trunk發(fā)出去的是untagged幀。

VLAN的好處

限制廣播域：節(jié)省帶寬，提高網(wǎng)絡(luò)處理能力，
增強(qiáng)局域網(wǎng)安全性：不同VLAN的報文在傳輸過程中相互隔離。
提高網(wǎng)絡(luò)健壯性：本VLAN內(nèi)的故障不會影響到其他VLAN
靈活構(gòu)建工作組：同一工作組的用戶也不必局限于某一物理范圍，網(wǎng)絡(luò)部署維護(hù)更靈活

物理網(wǎng)絡(luò)包含的設(shè)備

網(wǎng)卡 mac地址48位獨(dú)一無二的

二層交換機(jī)

1、級聯(lián)，增加端口密度，通過直通電纜使用級聯(lián)端口將多個交換機(jī)連接，可以連接不同廠家，不同型號的交換機(jī)。
2、堆疊，增加端口密度和性能，所有交換機(jī)邏輯成一臺整體設(shè)備，一般相同類型交換機(jī)才可以做堆疊，堆疊有主交換機(jī)，備份交換機(jī)和從交換機(jī)。
3、端口鏡像，把交換機(jī)中一個或者多個端口接受或發(fā)送的數(shù)據(jù)完全賦值給另一個端口

路由器的轉(zhuǎn)發(fā)是基于軟件，轉(zhuǎn)發(fā)效率低，端口少，價格昂貴，交換機(jī)的轉(zhuǎn)發(fā)基于AISC芯片，屬于硬件轉(zhuǎn)發(fā)。

三層交換機(jī)

增加了路由模塊的交換機(jī)
一次路由多次轉(zhuǎn)發(fā)
查看路由表-如果沒有響應(yīng)條目-由路由器模塊完成IP地址到具體的端口映射-修改報文內(nèi)容-修改硬件轉(zhuǎn)發(fā)表-下次直接轉(zhuǎn)發(fā)。

路由器

ospf rip bgp
靜態(tài)、動態(tài)路由
路由器主要特點(diǎn)：連接異種網(wǎng)絡(luò)，適配速率，隔離網(wǎng)絡(luò)，選擇最佳路線
路由器分類：接入路由器、核心路由器
網(wǎng)卡綁定模式mode共有七種(0~6) bond0、bond1、bond2、bond3、bond4、bond5、bond6
常用的有三種
mode=0：平衡負(fù)載模式，有自動備援，但需要”Switch”支援及設(shè)定。
mode=1：自動備援模式，其中一條線若斷線，其他線路將會自動備援。
mode=6：平衡負(fù)載模式，有自動備援，不必”Switch”支援及設(shè)定。

虛擬化中虛擬網(wǎng)絡(luò)介紹

私有地址：只能在內(nèi)部網(wǎng)絡(luò)，不能做公網(wǎng)地址。
A類10.0.0.0-10.255.255.255 B類172.16.0.0-172.31.255.255 C類192.168.0.0-192.168.255.255
節(jié)省IP地址，有效避免外部網(wǎng)絡(luò)攻擊，保護(hù)內(nèi)部計(jì)算機(jī)

bridged(橋接模式)

在bridged模式下，VMWare虛擬出來的操作系統(tǒng)就像是局域網(wǎng)中的一臺獨(dú)立的主機(jī)，它可以訪問網(wǎng)內(nèi)任何一臺機(jī)器。在bridged模式下，需要手工為虛擬系統(tǒng)配置IP地址、子網(wǎng)掩碼，而且還要和宿主機(jī)器處于同一網(wǎng)段，這樣虛擬系統(tǒng)才能和宿主機(jī)器進(jìn)行通信。同時，由于這個虛擬系統(tǒng)是局域網(wǎng)中的一個獨(dú)立的主機(jī)系統(tǒng)，那么就可以手工配置它的TCP/IP配置信息，以實(shí)現(xiàn)通過局域網(wǎng)的網(wǎng)關(guān)或路由器訪問互聯(lián)網(wǎng)。使用bridged模式的虛擬系統(tǒng)和宿主機(jī)器的關(guān)系，就像連接在同一個Hub上的兩臺電腦。想讓它們相互通訊，就需要為虛擬系統(tǒng)配置IP地址和子網(wǎng)掩碼，否則就無法通信。如果想利用VMWare在局域網(wǎng)內(nèi)新建一個虛擬服務(wù)器，為局域網(wǎng)用戶提供網(wǎng)絡(luò)服務(wù)，就應(yīng)該選擇bridged模式。

NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換模式)

使用NAT模式，就是讓虛擬系統(tǒng)借助NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)功能，通過宿主機(jī)器所在的網(wǎng)絡(luò)來訪問公網(wǎng)。
橋接是通過網(wǎng)橋來連接的若干局域網(wǎng)，他工作在數(shù)據(jù)鏈路層
nat是工作在網(wǎng)路層，是解決網(wǎng)絡(luò)地址不足的技術(shù)，它可以保護(hù)內(nèi)部主機(jī)免受外部攻擊，可以實(shí)現(xiàn)服務(wù)器負(fù)載均衡。有多中類型，包括靜態(tài)地址轉(zhuǎn)換，動態(tài)地址轉(zhuǎn)換，復(fù)用動態(tài)地址轉(zhuǎn)換。

安全組防火墻

防火墻一般放在網(wǎng)關(guān)上，用來隔離子網(wǎng)間的訪問，安全組配置在虛擬機(jī)網(wǎng)卡上，通過配置規(guī)則來限制虛擬網(wǎng)卡的流量的進(jìn)出訪問。
安全組特性
通過宿主機(jī)iptables規(guī)則控制流量，
安全組的規(guī)則都是allow，不能定義deny規(guī)則。
網(wǎng)卡可以應(yīng)用多個安全組疊加來使用這些安全組里面的規(guī)則。