“圖解伺服器端網路架構”小結

onephone發表於2017-06-04
圖解伺服器架構

一本寫給網路架構師和伺服器工程師的書! 很棒!
對於想成為碼網農工(碼農+網工)的我來說,這本書帶給自己的幫助很大,至少讓自己在參加網路技術大賽的期間收穫了不少!
其中還有另外一本書《圖解基礎設施設計模式》!
這裡有針對《圖解伺服器端網路架構》這本書的介紹,也包括試讀章節(第0章就是教讀者怎麼使用本書的)!
本文主要是自己的讀書筆記……

0x00 網路架構的流程

  1. 網路架構分為六個階段
    • 需求定義: 客戶需給出需求方案說明書(RFP,Request For Proposal)
    • 基礎設計
    • 詳細設計
    • 架構
    • 測試: 單元測試、正常測試、故障(冗餘化)測試等
    • 執行
  2. 網路架構的重點是基礎設計
    • 物理設計: 定義伺服器端所有實體物件的所有規則
    • 邏輯設計
    • 安全設計和負載均衡設計
    • 高可用設計: 冗餘
    • 管理設計
    • 設計原則(華為AMPRSC原則, availability + manageability + performance + recoverability + security + cost)

0x01 物理設計

1. 技術

  1. IEEE 802.3, IEEE 802.11
  2. 雙絞線、同軸電纜
    • STP (shielded twist pair, 遮蔽雙絞線) 抗電磁干擾,只有在工廠等惡劣的條件下會用到
    • UTP (unshielded twist pair, 非遮蔽雙絞線) 使用廣泛
    • 雙絞線中的“類”,其代表傳輸速度,值越大傳輸速度就越大,如1000BASE-T
    • 雙絞線中的“直通線”和“交叉線”
      • MDI和MDI-X, Medium Dependent Interface,即RJ-45銅線的排列順序
      • 交換機的埠是MDI-X埠,但有自動識別埠型別功能的交換機(Auto MDI/MDi-X)
      • MDI和MDI-X使用直通線連線(兩邊對稱,平行排列)
      • 埠型別相同時使用交叉線連線
      • 1000BASE-T 中八根銅線都會用到
    • 雙絞線電纜的最大傳輸距離是100米
    • 中繼集線器大多已被交換集線器所代替(都可用於故障排除,但後者通訊量少)
    • 設定速率和雙工,通過交換FLP(Fast Link Pulse, 快速連線脈衝)訊號
  3. 單模光纖、多模光纖
    • 光通道叫做模
    • 單模光纖(SMF), 多模光纖(MMF, Multi Mode Fiber)
    • 單模傳播距離遠,價格高(70km),MMF是550m
    • 聯結器有SC、LC型

2. 設計

  1. CE交換機(Customer Edge), VSS(Virtual Switching System 虛擬交換系統)
  2. 伺服器端有兩種結構型別
    • 串聯式結構:管理方便
    • 並聯式結構:容易擴充套件
  3. 選用裝置時應參考考查項的最大值
  4. iSCSI、FCoE(Fiber Channel over Ethernet)
  5. 接入交換機、匯聚交換機、核心交換機
    • EoR(End of row)端列頭式
      • 以整個機架為單位配置接入叫混跡的型別
      • 佈線複雜
      • 需要管理的接入交換機數量少
    • ToR(Top of Rack)機架式
      • 以整個機架為單位配置接入交換機的型別
      • 佈線操作比較輕鬆
      • 由於是在每個機架中配置接入交換機,故要管理的裝置較多
  6. 電源引入機架後:PDU(Power Distribution Unit 電源分配單元), UPS(Uninterrupible Power Supply 不間斷電源)

0x02 邏輯設計

1. 技術

  1. 資料鏈路層
    • 前導碼(8位元組)、幀頭、FCS(Frame Check Sequence)
    • MAC地址中前24位叫做OUI(Organizationally Unique Identifer 組織唯一識別符號)
  2. 網路層
    • CIDR(Classless Inter-Domain Routing 無分類域間路由)
    • IGP(Interior Gateway Protocol) + EGP(Exterior Gateway Protocol)
      • IGP: RIPv2, OSPF, EIGRP(Enhanced Interior Gateway Routing Protocol)
      • EGP: BGP
      • AS(Autonomous System)
      • OSPF: 100/頻寬(Mibt/s) 開銷,等價多路徑
      • EIGRP: 1000/最小頻寬微秒/10
  3. AD(Administrative Distance 管理距離)值類似於針對每個路由協議制定的優先順序,值越小優先的等級就越高
  4. 靜態NAT, NAPT(Network Address Port Translation) 和 Twice NAT(雙重NAT, 將源目的地址一起轉換)
    • 支援NAT的兩大要素是NAT表和代理ARP
  5. 廣播地址:本地、受限、直接(遠端開機 WoL, Wake-on-LAN)
  6. ARP, GARP(Gratutious ARP 無故ARP):檢測IP是否衝突、更新相鄰裝置的表(GARP通告,但也可以取消)
  7. 224開頭是D類地址
  8. ICMP
    • ICMP 差錯報告報文 echo
    • ICMP 詢問報文: 時間超時、源點抑制、改變路由、終點不可達、引數問題
  9. VLAN: 基於埠的VLAN(交換機);打標VLAN(VLAN ID)

2. 設計

  1. VLAN的設計
    • 防火牆內側VLAN、防火牆外側VLAN
    • 遷移的通訊流量對服務產生的影響控制在最小
    • 資料備份的VLAN
    • 資料遷移的VLAN
    • VLAN儘量做大,且採用核心交換機,這樣可以使得管理優勢最大化
  2. IP地址分配的統一
    • 網路裝置的IP地址從數字最大的編號用起
    • 伺服器和使用者終端的IP地址從數字最小的編號用起
  3. 路由器 && L3交換機 的選擇

0x03 資料安全設計和負載均衡設計

1. 技術

  1. 傳輸層技術
  2. 負載均衡裝置可以監控伺服器(進行健康檢查)
    • 健康檢查可分為L3檢查、L4檢查、L7檢查
      • L3: 通過ICMP來檢查IP是否正常等
      • L4:針對埠號等
      • L7: 針對應用程式
    • 目的NAT是LB的基礎
  3. 負載均衡方式
    • 靜態
      • 輪詢
      • 加權比例
    • 動態
      • 最少連線數
      • 最短響應時間
    • 源IP地址會話保持、Cookie會話保持
    • 可選功能: SSL加速、HTTP壓縮、連線匯聚
  4. HTTP 1.0, HTTP 1.1, HTTP 2.0
  5. CSR(Certificat Signing Request 證書籤名請求) :為獲得伺服器證書而提交給CA機構的隨機字串
  6. 從會話層到應用層的技術
  7. FTP傳輸檔案
    • 主動模式
      • 控制連線使用TCP/21, 資料連線使用TCP/20, 大多數預設採用這種
      • Windows標準FTP客戶端功能中甚至只有這種模式
      • 由伺服器方面發出資料連線的請求(SYN TCP/20) 是一種特殊的模式
    • 被動模式
      • 控制連線使用TCP/21, 資料連線不使用特定埠的模式
      • 出於安全考慮,使用這種模式的例子多了起來
  8. DNS使用TCP進行區域傳輸
  9. 埠號:0~1023
  10. 狀態檢測和包過濾之間的區別!(前者針對連線,後者針對資料包)
  11. UTM(Uinfied Threat Management 統一威脅管理) 裝置綜合了VPN(IPSec VPN, SSL VPN)、IDS/IPS、反病毒、反垃圾郵件過濾等裝置
  12. 新一代的防火牆能更深入的識別應用
  13. FQDN(Fully Qualified Domain Name 完全合格域名)

2. 設計

  1. 資料安全設計
    • 定義安全域,Untrust區域、DMZ區域、Trust區域
    • 將預設啟動服務控制在最小範圍內
  2. 多級防禦,UTM(Performance)
  3. 負載均衡設計

0x04 高可用性設計

1. 技術

1.1 物理層

  1. 將多條物理鏈路聚合成一條邏輯鏈路
    • 鏈路聚合分為三種模式
      • 靜態
      • PAgP(Port Aggregation Protocol, 埠聚合協議): 思科專有
      • LACP(Link Aggregation Control Protocol, 鏈路聚合控制協議), Eth-Trunk鏈路聚合
  2. 多個物理網路卡集結成一個邏輯網路卡
    • 三種網路卡組合方式: AFT(Adapter Fault Tolerance 介面卡容錯),ALB(Adapter Load Balancing 介面卡負載均衡), 鏈路聚合
  3. 將不同種類的物理網路卡組合使用
    • 板載網路卡、擴充套件網路卡
  4. 將多臺物理裝置集結成一臺邏輯裝置
    • VSS(Virtual Switching System) :思科
    • 很多廠商都有自己的技術,華為、思科等都有
    • 堆疊線
  5. 高可用設計的主角是STP(Spanning-Tree Protocol)
  6. 上行鏈路故障檢測(追蹤)技術 UFD(Uplink Failture Detection)
  7. GVRP 實現動態VLAN

1.2 資料鏈路層

  1. 生成樹協議 STP
  2. 根網橋、阻塞埠等
  3. STP有三種(P286)
    • PVST(Per VLAN Spanning-Tree):思科
    • RSTP(Rapid Spanning-Tree 快速生成樹協議)
      • 可快速進行切換
    • MSTP(Multiple Spanning-Tree 多生成樹協議)
      • 減少通訊開銷和資源佔用
      • 多了VLAN組成一個組群
      • 每個域內多個生成樹
      • 執行和處理是基於MSTI的 image_1bhn3j8dp1bl91j76pafmih45d9.png-55.2kB

1.3 網路層

  1. FHRP(First Hop Redundancy Protocol 第一跳冗餘協議)和路由協議
  2. FHRP: 預設閘道器冗餘備份協議(P293)
    • HARP(Hot Standby Routing Protocol 熱備份路由協議):思科
    • VRRP(Virtual Prouter Redundancy Protocol 虛擬路由器冗餘協議)
    • GLBP(Gateway Load Balancing Protocol 閘道器負載均衡協議)
  3. 通過IGP實現冗餘
  4. BPDU守護,FAST Port邊緣埠 image_1bhn3kuuq1388g7o9ua1b8p120um.png-105.1kB

1.4 傳輸層到應用層

  1. 防火牆榮譽技術是在FHRP中新增了幾項同步技術
    • 同步連線資訊
    • 設定虛擬MAC地址
  2. 負載均衡的冗餘技術則是進一步新增了應用程式的同步技術
    • 同步會話保持資訊

2. 設計

  1. 串聯式、並聯式
  2. 兩層(無匯聚交換機)、三層

0x05 管理設計

  1. NTP 時間同步
    • “層”的概念: Stratum
  2. 用SNMP檢測故障
    • MIB(Management Information BAse 資訊管理庫), OID(Object Identifier 物件識別符號)
  3. Syslog檢測故障
  4. 傳遞裝置資訊
    • CDP:Cisco Discovery Protocol 思科的L2層
    • LLDP: Link Layer Discovery Protocol 鏈路層發現協議, DMZ區不啟用,Unstrust區啟用
  5. 確定主機名
  6. 通過標籤管理連線
    • 線纜標籤
    • 本體標籤
  7. 設計密碼
  8. 管理裝置資訊
    • 恢復方式及備份方式

《圖解伺服器端網路架構》錯誤處 1. P355 中Cisco Descovery Protocol中的Descovery應是Discovery

相關文章