圖解服務器端網絡架構, 2/e

[日]宫田宽士（作者）

大学和研究生在读期间专攻地球环境科学。毕业后就职于某公司基础架构系统工程师部门，初来乍到即参与了一个思科设备的项目，由此决定向网络工程师的方向发展。在该项目中掌握了路由选择和交换技术，之后又通过大量的其他项目积累了丰富的经验，涉及领域包括金融、制造等多种行业，通过这些项目对网络技术有了全面的了解，包括数据安全和服务器负载均衡技术等，对网络技术的兴趣也愈发浓厚。能独立执行从设计到架构和测试的一系列网络架构业务，多年来日复一日，勤奋钻研至今。拥有CCIE和FF5CE认证。

第0章　本書的用法　　1

0.1　 網絡架構的流程　　2

0.1.1　網絡架構分為六個階段　　2

0.1.1.1　需求定義　　2

0.1.1.2　基礎設計　　2

0.1.1.3　詳細設計　　2

0.1.1.4　架構　　3

0.1.1.5　測試　　3

0.1.1.6　運行　　3

0.1.2　網絡架構的重點是基礎設計　　4

0.1.2.1　物理設計　　5

0.1.2.2　邏輯設計　　6

0.1.2.3　安全設計與負載均衡設計　　7

0.1.2.4　高可用性設計　　8

0.1.2.5　管理設計　　9

第1章　物理設計　　11

1.1　 物理層的技術　　12

1.1.1　物理層里有多種規格　　12

1.1.1.1　規格整理好後物理層就會水落石出　　13

1.1.1.2　雙絞線電纜有兩大要素——類和傳輸距離　　15

1.1.1.3　光纖光纜是用玻璃製成的　　25

1.2　 物理設計　　31

1.2.1　服務器端有兩種結構類型　　31

1.2.1.1　採用串聯式結構管理起來更方便　　32

1.2.1.2　採用單路並聯式結構更容易擴展　　33

1.2.2　選用設備時應參考考查項的最大值　　36

1.2.2.1　應用程序不同吞吐率也就不同　　37

1.2.2.2　新增連接數和並發連接數都要考慮　　38

1.2.3　選擇穩定可靠的 OS版本　　39

不懂就問是捷徑　　39

1.2.4　根據實際配置和使用目的選擇線纜　　40

1.2.4.1　遠距離傳輸選擇光纖光纜　　40

1.2.4.2　追求寬帶帶和高可靠性時選擇光纖　　41

1.2.4.3　通過大小分類決定使用哪種雙絞線電纜　　42

1.2.4.4　預先決定好使用線纜的顏色　　43

1.2.5　埠的物理設計出乎意料地重要　　44

1.2.5.1　必須統一規劃連接到哪裡　　44

1.2.5.2　速率和雙工、Auto MDI/MDI-X 的設置也要統一規劃　　44

1.2.6　巧妙地配置設備　　45

1.2.6.1　將核心交換機和匯聚交換機置於中央部位　　45

1.2.6.2　要考慮設備中空氣吸入和排出的方向　　48

1.2.6.3　從兩套系統獲取電源　　49

1.2.6.4　切莫超過最大承重　　51

第2章　邏輯設計　　53

2.1　 數據鏈路層的技術　　54

2.1.1　數據鏈路層是物理層的幫手　　54

用以太網標準進行成幀處理　　55

2.1.2　數據鏈路層的關鍵在於 L2交換機的運作　　61

2.1.2.1　交換 MAC地址　　62

2.1.2.2　通過 VLAN將廣播域分隔開　　67

2.1.3　ARP 將邏輯和物理關聯到一起　　74

2.1.3.1　ARP 通過IP地址查詢MAC地址　　75

2.1.3.2　抓取 ARP包，觀察它的寫法　　81

2.1.3.3　有幾個特殊的 ARP　　82

2.2　 網絡層的技術　　85

2.2.1　網絡是由網絡層拼接起來的　　85

2.2.1.1　添加 IP報頭，進行分組化處理　　86

2.2.1.2　IP 地址由32位構成　　91

2.2.2　將網段連接起來　　99

2.2.2.1　利用 IP地址進行路由選擇　　100

2.2.2.2　建立路由表　　104

2.2.2.3　整理路由表　　114

2.2.3　轉換 IP地址　　118

2.2.3.1　轉換 IP地址　　118

2.2.3.2　私網 IP地址　　122

2.2.4　自動設置 IP地址的DHCP　　123

2.2.4.1　DHCP 的消息部分中包含著諸多的信息　　123

2.2.4.2　DHCP 的原理非常簡單　　125

2.2.4.3　對 DHCP報文作中繼處理　　126

2.2.5　用於故障排除的 ICMP　　127

2.2.5.1　ICMP 的關鍵在於類型和代碼　　127

2.2.5.2　常見的類型和代碼有四種組合　　128

2.2.5.3　出現問題時先嘗試用 ping去排除故障　　130

2.3　 邏輯設計　　132

2.3.1　整理出所需的 VLAN　　132

2.3.1.1　實際所需的 VLAN會因為諸多因素而變化　　132

2.3.1.2　規定 VLAN的ID　　138

2.3.2　在考慮數量增減的基礎上分配 IP地址　　140

2.3.2.1　IP 地址的估算數量應高於當前所需數量　　140

2.3.2.2　按順序排列網段，使之更容易匯總　　142

2.3.2.3　必須統一規定從何處開始分配 IP地址　　145

2.3.3　路由選擇以簡為上　　145

2.3.3.1　考慮在路由選擇中使用哪些協議　　145

2.3.3.2　考慮採用哪種路由選擇方法　　146

2.3.3.3　將路徑匯總以減少路徑數量　　150

2.3.4　NAT 要按入站和出站分別考慮　　152

2.3.4.1　NAT 是在系統邊界進行的　　152

2.3.4.2　通過入站通信轉換地址　　152

2.3.4.3　通過出站通信轉換地址　　153

第3章　數據安全設計和負載均衡設計　　155

3.1.1　通過埠號劃分服務器進程　　156

3.1.1.1　傳輸層使用 TCP和UDP兩種協議　　157

3.1.1.2　TCP 的工作原理比較復雜　　164

3.1.1.3　MTU 和MSS的差異在於對象層不同　　170

3.1.2　用防火牆守衛系統　　173

3.1.2.1　基於連接進行控制　　174

3.1.2.2　狀態檢測和包過濾之間的區別　　177

3.1.2.3　防火牆在不斷進步　　179

3.1.3　通過負載均衡器分散服務器的負荷　　184

3.1.3.1　目的 NAT是服務器負載均衡技術的基礎　　185

3.1.3.2　通過健康檢查監控服務器的狀態　　189

3.1.3.3　熟練掌握可選功能　　200

3.2　 從會話層到應用層的技術　　204

3.2.1　HTTP 支撐著因特網　　204

3.2.1.1　HTTP/1.0 和HTTP/1.1的TCP連接用法大相徑庭　　204

3.2.1.2　HTTP 因請求和響應而得以成立　　206

3.2.2　用 SSL保護數據　　211

3.2.2.1　防止竊聽、篡改和冒充　　212

3.2.2.2　通過 SSL可以給各種各樣的應用程序協議加密　　215

3.2.2.3　SSL 使用混合加密方式進行加密　　216

3.2.2.4　消息摘要是消息的概要　　219

3.2.2.5　SSL 中執行著大量的處理　　222

3.2.2.6　用客戶端證書對客戶端進行認證　　230

3.2.3　用 FTP傳輸文件　　233

3.2.3.1　主動模式使用特定的埠　　234

3.2.3.2　被動模式改變使用的埠　　236

3.2.3.3　FTP 就應該當作FTP去處理　　239

3.2.4　用 DNS解析名稱　　240

3.2.4.1　用 UDP進行名稱解析　　241

3.2.4.2　用 TCP進行區域傳輸　　242

3.3　 數據安全設計與負載均衡設計　　246

3.3.1　數據安全設計　　246

3.3.1.1　整理出真正需要的通信　　246

3.3.1.2　通過多級防禦提高安全系數　　250

3.3.1.3　默認啟動的服務應控制在最小範圍內　　251

3.3.2　負載均衡設計　　251

3.3.2.1　要高效地均衡負載　　252

3.3.2.2　啟用哪些可選功能　　255

第4章　高可用性設計　　257

4.1　 冗餘技術　　258

4.1.1　物理層的冗餘技術　　258

4.1.1.1　將多條物理鏈路集結成一條邏輯鏈路　　258

4.1.1.2　將多個物理網卡集結成一個邏輯網卡　　263

4.1.1.3　將多台物理設備集結成一臺邏輯設備　　269

4.1.1.4　當上行鏈路中斷時，讓下行鏈路也隨之中斷　　278

4.1.2　數據鏈路層的冗餘技術　　279

4.1.2.1　STP 的關鍵在於根網橋和阻塞埠　　279

4.1.2.2　STP 有三種　　286

4.1.2.3　同時啟用多項可選功能　　289

4.1.2.4　利用 BPDU切斷橋接環路　　290

4.1.3　網絡層的冗餘技術　　292

4.1.3.1　FHRP　　292

4.1.3.2　利用路由協議確保通往上層設備的路徑　　302

4.1.4　從傳輸層到應用層的冗餘技術　　304

4.1.4.1　防火牆的冗餘技術　　304

4.1.4.2　負載均衡器的冗餘技術　　310

4.2　 高可用性設計　　312

4.2.1　高可用性設計　　312

4.2.1.1　串聯式結構　　312

4.2.1.2　單路並聯式結構　　316

4.2.2　理清通信流　　320

4.2.2.1　串聯式結構　　320

4.2.2.2　單路並聯式結構　　332

第5章　管理設計　　339

5.1　 管理技術　　340

5.1.1　用 NTP同步時間　　340

NTP 的工作原理非常簡單　　340

5.1.2　用 SNMP檢測故障　　346

5.1.2.1　通過 SNMP管理器和SNMP代理交換信息　　346

5.1.2.2　熟練掌握三種運作模式　　347

5.1.2.3　限制源 IP地址　　351

5.1.3　用 Syslog檢測故障　　352

Syslog 的工作原理非常簡單　　352

5.1.4　傳遞設備信息　　355

5.1.4.1　CDP　　355

5.1.4.2　LLDP　　356

5.1.4.3　註意 CDP和LLDP的數據安全問題　　357

5.2　 管理設計　　358

5.2.1　確定主機名　　358

5.2.2　通過標簽管理連接　　358

5.2.2.1　線纜標簽　　358

5.2.2.2　本體標簽　　359

5.2.3　設計密碼　　359

5.2.4　管理設置信息　　360

5.2.4.1　在備份設計中應定義時機、方式和保存地點　　360

5.2.4.2　發生故障時執行恢復處理　　361