H13-522学习笔记

haibibu

1.SR-IOV
        对于SR-IOV来说，则更加彻底，它通过创建不同虚拟功能（VF）的方式，呈现给虚拟机的就是独立的网卡，因此，虚拟机直接跟网卡通信，不需要经过软件交换机。
VF和VM之间通过DMA进行高速数据传输。
SR-IOV的性能是最好的，但是需要一系列的支持，包括网卡、主板、VMM等。

2.NUMA

    即非一致访问分布共享存储技术，它是由若干通过高速专用网络连接起来的独立节点构成的系统，各个节点可以是单个的CPU或是SMP系统。在NUMA中，Cache 的一致性有多种解决方案，需要操作系统和特殊软件的支持。图2中是Sequent公司NUMA系统的例子。这里有3个SMP模块用高速专用网络联起来，组成一个节点，每个节点可以有12个CPU。像Sequent的系统最多可以达到64个CPU甚至256个CPU。显然，这是在SMP的基础上，再用NUMA的技术加以扩展，是这两种技术的结合。

3.Hypervisor

      是一种运行在物理服务器和操作系统之间的中间软件层,可允许多个操作系统和应用共享一套基础物理硬件，因此也可以看作是虚拟环境中的"元"操作系统，它可以协调访问服务器上的所有物理设备和虚拟机，也叫虚拟机监视器(VirtualMachine Monitor)。Hypervisor是所有虚拟化技术的核心。非中断地支持多工作负载迁移的能力是Hypervisor的基本功能。当服务器启动并执行Hypervisor时，它会给每一台虚拟机分配适量的内存、CPU、网络和磁盘，并加载所有虚拟机的客户操作系统。

4.QEMU

      是一套由Fabrice Bellard所编写的模拟处理器的自由软件。它与Bochs，PearPC近似，但其具有某些后两者所不具备的特性，如高速度及跨平台的特性。经由kqemu这个开源的加速器，QEMU能模拟至接近真实电脑的速度...

5.RDM

      配置存储的方法是RawDeviceMapping原始设备映射即RDM。在对下面的存储进行虚拟化访问时会干涉运行在虚拟机里的软件操作这时候就需要使用RDM.

6.VTEP :

     VXLAN隧道终端 (VXLAN Tunneling End Point)，用于多VXLAN报文进行封装/解封    装，包括mac请求报文和正常VXLAN数据报文，在一端封装报文后通过隧道向另一端VTEP发送封装报文，另一端VTEP接收到封装的报文解封装后根据被封装的MAC地址进行转发。VTEP可由支持VXLAN的硬件设备或软件来实现。

7.GuestNUMA

1. GuestNUMA是指在虚拟机内部呈现NUMA拓扑结构。
2. FusionSphere虚拟化平台提供虚拟机模拟NUMA拓扑结构的能力，通过手动配置NUMA拓扑，将vCPU及内存分部在不同的vNUMA节点上，使得在虚拟机内部呈现vCPU与内存的对应关系。
3. FusionSphere虚拟化平台同时提供设置vNUMA上的vCPU及内存放置在具体的物理NUMA上的能力。通过手动配置绑定关系，将vCPU绑定到对应物理NUMA节点的pCPU上，将vNUMA的内存绑定到对应的物理NUMA节点上。


用户场景：
GuestNUMA主要应用在虚拟机的规格比较大的场景下，比如虚拟机的vCPU个数超过了单个物理NUMA节点的物理CPU个数。在这种场景下，一般对内存的带宽及内存的访问速度有一定的要求。


客户价值：
FusionSphere虚拟化平台对客户机操作系统公开虚拟NUMA拓扑的支持，这样便于客户机操作系统和应用程序NUMA优化，从而提高性能。

8.华为VIS6600T统一的存储虚拟化平台

　华为VIS6600T产品是业界领先的存储虚拟化产品，满足客户异构存储整合、多级容灾系统构建等需求，实现异构环境下的统一管理、数据迁移和多重数据保护，为客户构建安全可靠、高性能、开放的弹性存储架构

9.小型机

小型机是指采用精简指令集处理器，采用8-32颗处理器性能和价格介于PC服务器和大型主机之间的一种高性能 64 位计算机

10.VPC 的弹性公网IP概述

弹性公网IP（Elastic IP Address，简称 EIP），弹性公网IP是一种NAT IP。它实际通过NAT方式映射到了被绑定ECS实例的私网网卡上。因此，绑定了弹性公网IP的ECS实例可以直接使用这个IP进行公网通信，但是在网卡上并不能看到这个IP地址。

11.TPM

   可信平台模块(TrustedPlatform Module)

12内存气泡

       内存超分配 ，虚拟化技术。

13.COW 写时拷贝快照技术

优势: COW 在进行快照操作之前, 不会占用任何的存储资源, 也不会影响系统性能. 创建快照时由于快照卷与源数据卷通过各自的指针表共享同一份物理数据, 而不需要进行全量拷贝所以快照创建速度非常快, 可以瞬间完成. COW 创建快照时产生的备份窗口长度与源数据卷的 Size 成线性比例, 一般为几秒钟, 相比全量快照要长, 但快照卷占用的存储空间却大大减少.

劣势: COW 因为创建快照后会的每次写入操作都需要先将源数据卷中的原始数据拷贝到快照卷中才能开始写入源数据卷, 所以会降低源数据卷的写性能. 而且很显然, 如果对同一源数据卷做了多次快照之后, 写性能将会更加低下. 再一个就是由于快照卷仅仅保存了源数据卷的部分原始数据, 因此无法得到完整的物理副本, 碰到需要完整物理副本的应用就无能为力了, 而且如果拷贝到快照卷中的数据量超过了保留空间, 快照就将失效.

应用场景: COW 快照技术在创建快照后的一次数据更新操作实际上需要一次读操作(读源数据卷的数据)和两次写操作(写源数据卷与写快照卷). 所以, COW 更适合于应用对存储设备读多写少的场景. 除此之外, 如果一个应用容易出现对存储设备的写入热点(只针对某个有限范围内的数据进行写操作), 也是较较理想的选择. 因为其数据更改都局限在一个范围内, 对同一份数据的多次写操作只会出现一次写时复制操作.

14.ROW 写时重定向快照技术

优势: 源数据卷创建快照后的写操作会被重定向, 所有的写 IO 都被重定向到新卷中, 而所有快照卷数据(旧数据)均保留在只读的源数据卷中. 这样做的好处是更新源数据卷只需要一次写操作, 解决了 COW 写两次的性能问题. 所以 ROW 最明显的优势就是不会降低源数据卷的写性能.

劣势: ROW 的快照卷数据指针表保存的是源数据卷的原始副本, 而源数据卷数据指针表保存的则是更新后的副本, 这导致在删除快照卷之前需要将快照卷数据指针表指向的数据同步至源数据卷中. 而且当创建了多个快照后, 会产生一个快照链, 使原始数据的访问、快照卷和源数据卷数据的追踪以及快照的删除将变得异常复杂. 例如: 一共执行了 10 次快照, 在快照恢复时, 要恢复到最新的快照点, 则需要合并 10 个快照文件, 最终才能实现恢复. 所以 ROW 的主要缺点是没有一个完整的快照卷, 而是由多个不同时刻的快照卷来组成一个特定的快照时间点. 如果快照层级越多, 进行快照恢复时的系统开销会比较大. 除此之外, 因为源数据卷数据指针指向的数据会很快的被重定向分散, 所以 ROW 另一个主要缺点就是降低了读性能(局部空间原理).

应用场景: 在传统存储设备上, ROW快照在多次读写后, 源数据卷的数据被分散, 对于连续读写的性能不如COW. 所以 ROW 比较适合 Write-Intensive(写密集) 类型的存储系统. 但是, 在分布式存储设备上, ROW 的连续读写的性能会比 COW 更加好.一般而言, 读写性能的瓶颈都在磁盘上. 而分布式存储的特性是数据越是分散到不同的存储设备中, 系统性能越高. 所以 ROW 的源数据卷重定向分散性反而带来了好处. 因此, ROW 逐渐成为了业界的主流.

15.卷影复制服务（VSS）原理介绍

Volume Shadow Copy Service

VSS 是一套COM API，它部署了这样的架构，让卷备份能够被执行同时系统上的应用程序继续写入卷。请求者、书写器和提供程序它们在VSS架构中通讯来创建和恢复卷影副本。一个卷的影子副本及时地复制了加载在卷上处于正常状态的所有的数据.

  VSS 解决方案包含以下基础部件  VSS 服务 Windows 操作系统的一部分，用于确保其他组件能够正确地通信 和协作。 VSS 请求者请求者请求实际创建卷影复制的软件（或者如导入或者删除它们等其 它高级别的操作） 。通常是备份程序。诸如 WindowsServer Backup 工具和 System Center Data Protection Manager等都是 VSS 请求者。非微软的 VSS 请求 者包含几乎所有运行在 Windows 上的备份软件。 VSS Writer 该组件保证要备份的数据集的一致性。一般作为商业应用程序的一部分提供，如 SQL Server? or Exchange Server。多种面向 Windows 组件的 VSS Writer，如注册表，已经内嵌到 Windows 系统当中。非微软的 VSS Writers 被包含在需要在备份时保证数据一致性的许多 Windows 应用当中。 VSS provider 该组件用于创建和管理卷影复制。可以通过软件或硬件方式实现。Windows 操作系统集成了一个基于写时拷贝(copy-on-write)技术的 VSS ，且有相应的硬件 Provider，最好是 Provider。如果使用存储区域网络（SAN） 将相应的 Provider 安装一下，这样可以减轻主机创建和维护卷影复制的负担。

16.虚拟服务器备份关键技术：CBT和粒度恢复

    几乎每一种备份管理软件都设计能够备份虚拟服务器，尤其是对VMware，支持变化块追踪(CBT)技术。通过CBT技术，无需备份整个虚拟机只是改变的文件每次备份任务启动，只有虚拟机变化了的块才会备份。CBT技术戏剧化的减少了通过网络备份到备份服务器或备份目标端的数据总量。

通常，虚拟机备份软件开始备份的时候，会对备份设备做一个快照，这样备份之前的状态就会保留下来。在发生CBT备份的时候，备份设备上以前备份的虚拟机会利用变化的块进行更新。一旦CBT传输过程完成，备份设备上保留的将是最近的备份数据，而以前的备份将以快照的形式用作时间点恢复。

粒度恢复

以前，CBT备份有一个缺陷，如果要从一份备份实例中恢复某个文件，必须先恢复整个实例。在这方面，CBT和基于镜像的备份很相似。然而，与镜像备份不同的是，现在的虚拟服务器备份软件能够恢复其中的一部分，例如可以从镜像中单独恢复文件和邮件消息。

通常，通过从备份设备和拷贝出的数据直接挂载虚拟机可以实现粒度恢复，或者利用恢复向导直接进入虚拟机内部抽取出独立的成分。恢复向导方式是首选的恢复方式，因为它可以在一个界面上通过很少的几步进行恢复。

17.Iptables名词和术语

容器

用来形容包含或者说属于的关系

Netfilter/iptables是表的容器，iptables包含的各个表
表(table)

iptables的表又是链的容器

链(chains)

INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING

链是规则的容器

规则(Policy)

一条条过滤的语句 Policy

filter表

主要和主机自身有关，真正负责主机防火墙功能的（过滤流入流出主机的数据包）。filter表是iptables默认使用的表。这个表定义了三个链（Chains）；

·         

INPUT： 负责过滤所有目标地址是主机地址的数据包。通俗的讲，就是过滤进入主机的数据包。

·         

·         

FORWARD：负责转发流经主机的数据包。起转发的作用，和Nat关系很大。LVS NAT模式。net.ipv4_forward = 1

·         

·         

OUTPUT：处理所有源地址是本机地址的数据包，通俗的讲，就是处理从主机发出去的数据包。

·         

nat表

负责网络地址转换，即来源与目的ip地址和port的转换。
应用：和主机本身无关。一般用于局域网共享上网或者特殊的端口转换服务相关。

这个表定义了三个链（Chainc），nat功能就相当于网络的acl控制。和网络交换机acl类似。

·         

OUTPUT：和主机发出去的数据包有关。改变主机发出数据包的目标地址。

·         

·         

PREROUTING:在数据包到达防火墙时进行路由判断之前执行的规则，作用是改变数据包的目的地址、目的端口等。

·         

·         

POSTROUTING:在数据包离开防火墙时进行路由判断之后执行的规则，作用改变数据包的源地址、源端口等，例如：我们现在的笔记本和虚拟机都是192.168.30.0/24，就是出网的时候被我们企业路由器把源地址改成了公网地址了。生产应用：局域网共享上网。

·         

Iptables工作流程

file:///C:\Users\ADMINI~1\AppData\Local\Temp\msohtmlclip1\01\clip_image002.gif

iptables工作流程

file:///C:\Users\ADMINI~1\AppData\Local\Temp\msohtmlclip1\01\clip_image004.gif

排除mangle表

file:///C:\Users\ADMINI~1\AppData\Local\Temp\msohtmlclip1\01\clip_image006.gif

数据包流向

规则从上往下匹配，只要匹配到就不往下匹配，如果没有匹配上就走默认规则。

1.      

防火墙是层层过滤的。实际上是按照配置规则的顺序从上到下，从前到后进行过滤的。

2.      

3.      

如果匹配上规则，则明确表明是阻止还是通过，数据包就不再匹配任何新规则了。

4.      

5.      

如果所有规则中没有明确表明是阻止还是通过，也就是没有匹配规则，向下进行匹配，直到匹配默认规则得到明确的阻止还是通过。

6.      

7.      

防火墙默认规则是对应链的所有的规则执行完才会执行的。

8.      

基本语法Filter

Iptables启动方式
/etc/init.d/iptablesrestart
先来看几个常用对链的操作,常用的就那么几种
-I(插入) -A(追加) -R(替换) -D（删除） -L（列表显示）
这里要说明的就是-I将会把规则放在第一行，-A将会放在最后一行。
举例：

iptables –t filter  -A INPUT  -p  tcp  --dport  22  -j DROP

---

iptables –t filter  -A INPUT  -p  tcp  --dport  3306  -j DROP

---

iptables –t filter  -I  INPUT  -p  tcp  --dport  80  -j DROP

---

iptables -t filter -A INPUT -i eth0 ！-s 192.168.30.150 -j DROP

---

查看防火墙规则：
iptables -L -n
清除防火墙
--flush -F [chain] Deleteall rules in chain or all chains
清除用户自定义的链
-X [chain] Delete auser-defined chain
创建一个新的自定义链
--new -N chain Create a newuser-defined chain
把链中的计数器清零
--zero -Z [chain [rulenum]]Zero counters in chain or all chains
总结：
iptables –F / /清除所有规则，不会处理默认的规则
iptables –X / /删除用户自定义的链
iptables –Z / /链的计数器清零

iptables [-t filter] [-AIINPUT,OUTPUT,FORWARD] [-io interface] [-p tcp,udp.icmp,all] [-s ip/nerwork][--sport ports] [-d ip/netword] [--dport ports] [-j ACCEPT DROP]
以上是iptables的基本语法
-A 是添加的意思
-I 是插入的意思
-i -o 指的是数据要进入或出去所要经过的网卡如eth1 eth0等
-p 你所要指定的协议，如tcp、udp、icmp、all
-s 指源地址 可是单个IP如192.168.2.6 也可以是一个网络192.168.2.0/24 还可以是一个域名 如163.com 如果你填写的是域名，系统会自动解析出他的IP并在iptables里显示
--sport 来源端口
-d 同-s相似只不过他指的是目标地址也可以是IP 域名和网络
--dport 目标端口
-j 执行参数 ACCEPT DROP

参数说明

禁止10.0.0.0网段连入：
iptables -t filter -A INPUT-i eth0 -s 10.0.0.0/24 -j DROP iptables -A INPUT -i eth0 -s 10.0.0.0/24 -j DROP
-i：流量进入的接口，从eth0进入
-s：源地址
从eth0进入的流量，源地址是10.0.0.0网段的地址，拒绝连接。

源地址不是192.168.30.150的单个IP的禁止连接：
iptables -t filter -A INPUT-i eth0 ！-s 192.168.30.150 -j DROP
禁用icmp协议：
iptables -t filter -A INPUT-p icmp --icmp-type 8 -i eth0 -s 192.168.30.0/24 -j DROP
封掉3306端口：
iptables –t filter -A INPUT-p tcp --dport 3306 -j DROP
匹配指定协议以外的所有协议：
iptables -A INPUT -p ! tcpiptables -A INPUT ! –p tcp –s 10.0.0.0/24 -j DROP
匹配主机源IP
iptables -A INPUT -s10.0.0.14 iptable -A INPUT -s ! 10.0.0.13
匹配网段
iptables -A INPUT -s10.0.0.0/24 iptables -A INPUT -s ! 10.0.0.0/24
禁用dns：
iptables -A INPUT -p tcp--sport 53 iptables -A INPUT -p udp --dport 53
匹配指定端口之外的端口：
iptables -A INPUT -p tcp--dport ! 22 iptables -I INPUT -p tcp ! --dport 22 -s 10.0.0.123 -j DROP
匹配端口范围
iptables -A INPUT -p tcp--sport 22:80 iptables -I INPUT -p tcp -m multiport --dport 21,22,23,24 -jACEEPT iptables -I INPUT -p tcp –dport 3306:8809 -j ACCEPT
匹配icmp类型：
iptables –A INPUT -p icmp--icmp-type 8 -j DROP iptables -A FORWARD -s 192.168.30.0/24 -p icmp -m icmp--icmp-type any -j ACCEPT
匹配指定的网络接口：
iptables -A INPUT -i eth0iptables -A FORWARD -o eth0
匹配网络状态
-m state --state
NEW:已经或将启动新的连接
ESTABLISHED：已建立的连接
RELATED：正在启动新链接
INVALID：非法或无法识别的
允许关联的状态包通过
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state -state ESTABLISHED,RELATED -j ACCEPT

-m limit --limit n/{second/minute/hour}:指定时间内的请求速率"n"为速率，后面为时间分别为：秒、分、时
--limit-burst [n]：在同一时间内允许通过的请求"n"为数字,不指定默认为5
fg:本机地址：172.16.14.1，允许172.16.0.0/16网络ping本机，但限制每分钟请求不能超过20，每次并发不能超过6个
iptables -A INPUT -s 172.16.0.0/16 -d 172.16.14.1 -p icmp --icmp-type 8 -mlimit --limit 20/min --limit-burst 6 -j ACCEPT
iptables -A OUTPUT -s 172.16.14.1 -d 172.16.0.0/16 -p icmp --icmp-type 0 -jACCEPT

指定TCP匹配扩展
使用 –tcp-flags 选项可以根据tcp包的标志位进行过滤。
#iptables -A INPUT -p tcp–tcp-flags SYN,FIN,ACK SYN #iptables -A FROWARD -p tcp –tcp-flags ALL SYN,ACK
上实例中第一个表示SYN、ACK、FIN的标志都检查，但是只有SYN匹配。第二个表示ALL（SYN，ACK，FIN，RST，URG，PSH）的标志都检查，但是只有设置了SYN和ACK的匹配。
#iptables -A FORWARD -p tcp --syn
选项—syn相当于”--tcp-flags SYN,RST,ACK SYN”的简写。

NAT表：

NAT我们一般用来做企业共享上网或外网端口映射。我们现在的笔记本和虚拟机都是192.168.30.0/24，就是出网的时候被我们企业路由器把源地址改成了公网地址了。
那么Linux如何做共享上网的呢？比如一个内网的10.1.1.11的pc访问www.baidu.com的一个web服务器，linux的内网接口10.1.1.1在收到这个包之后把原来的PC的 ip10.1.1.11改变为60.1.1.1（我们公司的出网ip）的合法地址然后送出，同时在自己的ip_conntrack表里面做一个记录,记住是内网的哪一个ip的哪个端口访问的这个web服务器，自己把它的源地址改成多少了，端口改成多少了，以便这个web服务器返回数据包的时候linux将它准确的送回给发送请求的这个pc
设置共享上网有两种方式：.  
方法1：适合有固定上网地址的：
iptables -t nat -APOSATROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-sorce 10.0.0.19
(1)-s 192.168.1.0/24 办公网或IDC内网网段
(2) -o eth0 为网关的外网卡接口
(3) –j SNAT --to-sorce 10.0.0.19 是网关外网卡IP地址
方法2：适合变化外网地址（ADSL）
iptables -t nat -A POSTROUTING-s 192.168.1.0/24 -j MASQUEREDE（伪装）
注：MASQUEREDE动态伪装成出网ip。
外部IP映射到内部服务器IP（包括端口）：
iptables -t nat -A PREROUTING -d 10.0.0.7 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.8:9000

Icmp协议

在iptables看来，只有四种ICMP分组，这些分组类型可以被归为NEW、ESTABLISHED两类：
ECHO请求(ping,8)和ECHO应答(pong,0)。
时间戳请求(13)和应答(14)。
信息请求(15)和应答(16)。
地址掩码请求(17)和应答(18)。
这些ICMP分组类型中，请求分组属于NEW，应答分组属于ESTABLISHED。而其它类型的ICMP分组不基于请求/应答方式，一律被归入RELATED。
我们先看一个简单的例子：
``iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED, RELATED -j ACCEPT
iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT ```
这链条规则进行如下的过滤：
一个ICMP echo请求是一个NEW连接。因此，允许ICMP echo请求通过OUTPUT链。
当对应的应答返回，此时连接的状态是ESTABLISED，因此允许通过INPUT链。而INPUT链没有NEW状态，因此不允许echo请求通过INPUT链。也就是说，这两条规则允许内部主机ping外部主机，而不允许外部主机ping内部主机。
一个重定向ICMP(5)分组不是基于请求/应答方式的，因此属于RELATED。INPUT和OUTPUT链都允许RELATED状态的连接，因此重定向(5)分组可以通过INPUT和OUTPUT链。

TCP FLAG 标记

基于标记的TCP包匹配经常被用于过滤试图打开新连接的TCP数据包。
TCP标记和他们的意义如下所列

·         

F: FIN - 结束; 结束会话

·         

·         

S: SYN - 同步; 表示开始会话请求

·         

·         

R: RST - 复位;中断一个连接

·         

·         

P: PUSH - 推送; 数据包立即发送

·         

·         

A: ACK - 应答

·         

·         

U: URG - 紧急

·         

·         

E: ECE - 显式拥塞提醒回应

·         

·         

W: CWR - 拥塞窗口减少
示例
三次握手Three-way Handshake
一个虚拟连接的建立是通过三次握手来实现的

·         

1.      

(B)--> [SYN] --> (A)
假如有服务器A、客户机B. 当B要和A通信时，B首先向A发一个SYN (Synchronize) 标记的包，告诉A请求建立连接.
注意: 一个 SYN包就是仅SYN标记设为1的TCP包(参见TCP包头Resources). 只有当A收到B发来的SYN包，才可建立连接，除此之外别无他法。

2.      

3.      

(B)<-- [SYN/ACK] <--(A)
接着，A收到后会发一个对SYN包的确认包(SYN/ACK)回去，表示对第一个SYN包的确认，并继续握手操作.
注意: SYN/ACK包是仅SYN 和 ACK 标记为1的包.

4.      

5.      

(B)--> [ACK] --> (A)
B收到SYN/ACK 包,B发一个确认包(ACK)，通知A连接已建立。至此，三次握手完成，一个TCP连接完成。
注意: ACK包就是仅ACK 标记设为1的TCP包.
特别注意：需要注意的是当三此握手完成、连接建立以后，TCP连接的每个包都会设置ACK位

PS：这就是为何连接跟踪很重要的原因了. 没有连接跟踪,防火墙将无法判断收到的ACK包是否属于一个已经建立的连接.一般的包过滤(Ipchains)收到ACK包时,会让它通过(这绝对不是个好主意). 而当状态型防火墙收到此种包时，它会先在连接表中查找是否属于哪个已建连接，否则丢弃该包

6.      

四次握手Four-wayHandshake
四次握手用来关闭已建立的TCP连接

1.      

(B)--> ACK/FIN --> (A)

2.      

3.      

(B)<-- ACK <-- (A)

4.      

5.      

(B)<-- ACK/FIN <-- (A)

6.      

7.      

(B)--> ACK --> (A)

8.      

注意: 由于TCP连接是双向连接, 因此关闭连接需要在两个方向上做。ACK/FIN 包(ACK 和FIN 标记设为1)通常被认为是FIN(终结)包.然而, 由于连接还没有关闭, FIN包总是打上ACK标记. 没有ACK标记而仅有FIN标记的包不是合法的包，并且通常被认为是恶意的
连接复位Resetting a connection
四次握手不是关闭TCP连接的唯一方法. 有时,如果主机需要尽快关闭连接(或连接超时,端口或主机不可达),RST (Reset)包将被发送. 注意在，由于RST包不是TCP连接中的必须部分, 可以只发送RST包(即不带ACK标记). 但在正常的TCP连接中RST包可以带ACK确认标记。

注意: RST包是可以不要收到方确认的

无效的TCP标记Invalid TCPFlags
到目前为止，你已经看到了 SYN, ACK, FIN, 和RST 标记. 另外，还有PSH (Push) 和URG (Urgent)标记.
最常见的非法组合是SYN/FIN 包. 注意:由于 SYN包是用来初始化连接的, 它不可能和 FIN和RST标记一起出现. 这也是一个恶意攻击.
由于现在大多数防火墙已知 SYN/FIN 包, 别的一些组合,例如SYN/FIN/PSH, SYN/FIN/RST, SYN/FIN/RST/PSH。很明显，当网络中出现这种包时，很你的网络肯定受到攻击了。
别的已知的非法包有FIN (无ACK标记)和"NULL"包。如同早先讨论的，由于ACK/FIN包的出现是为了关闭一个TCP连接，那么正常的FIN包总是带有 ACK 标记。"NULL"包就是没有任何TCP标记的包(URG,ACK,PSH,RST,SYN,FIN都为0)。
到目前为止，正常的网络活动下，TCP协议栈不可能产生带有上面提到的任何一种标记组合的TCP包。当你发现这些不正常的包时，肯定有人对你的网络不怀好意。

什么是状态检测

每个网络连接包括以下信息：源地址、目的地址、源端口和目的端口，叫作套接字对(socket pairs)；协议类型、连接状态(TCP协议)和超时时间等。防火墙把这些信息叫作状态(stateful)，能够检测每个连接状态的防火墙叫作状态包过滤防火墙。它除了能够完成简单包过滤防火墙的包过滤工作外，还在自己的内存中维护一个跟踪连接状态的表，比简单包过滤防火墙具有更大的安全性。
iptables中的状态检测功能是由state选项来实现的。
--state state
这里，state是一个用逗号分割的列表，表示要匹配的连接状态。有效的状态选项包括：INVAILD，表示分组对应的连接是未知的；
ESTABLISHED，表示分组对应的连接已经进行了双向的分组传输，也就是说连接已经建立；NEW，表示这个分组需要发起一个连接，或者说，分组对应的连接在两个方向上都没有进行过分组传输
RELATED，表示分组要发起一个新的连接，但是这个连接和一个现有的连接有关，例如：FTP的数据传输连接和控制连接之间就是RELATED关系。

iptables的状态检测是如何工作的

如果要在两个网络接口之间转发一个分组，这个分组将以以下的顺序接收规则链的检查：
iptables的状态检测机制将重组分组，并且以以下某种方式跟踪其状态：
分组是否匹配状态表中的一个已经实现(ESTABLISHED)的连接。
这个分组是否要发起一个新(NEW)的连接。
如果分组和任何连接无关，就被认为是无效(INVALID)的。

iptables 自定义链实例

1、案例场景：将已建立连接和与一个现有连接有效的包放行。
2、配置步骤：
（1）创建自定义链block并添加规则：
#iptables -N block
#iptables -A block -m –state ESTABLISHED,RELATED -j ACCEPT
（2）将流经INPUT链的数据包跳转到block链处理数据包：
#iptables -A INPUT -j block
通过-j去跳转到自定义链，然后根据规则自上到下一条条执行，执行完毕后，回到原来执行的语句。

file:///C:\Users\ADMINI~1\AppData\Local\Temp\msohtmlclip1\01\clip_image008.gif

17.SPEC

国际权威标准性能评估组织SPEC日前发布了两组新的测试结果：华为云操作系统FusionSphere 6.0分别以658.3分和2366分的成绩刷新Intel v1 和v4 CPU环境下虚拟化软件性能测试最高分。其中，v1 CPU测试结果超过当前最高成绩（638.6@37）19.7分，并承受了7.0Tile的业务负载压力，是目前业界在2P服务器上最佳性能成绩。

SPECvirt2013是标准性能评测机构SPEC制定的衡量虚拟化对通用混合型应用场景的性能指标，它一般用来衡量系统的所有组件包括硬件、虚拟化平台、虚拟化的操作系统和应用软件的端到端的性能，此测试排名得到客户及厂商的广泛认可。

自2010年起，华为云操作系统FusionSphere和Intel保持紧密合作，按IntelCPU上市节奏，不断在其最新款CPU上发布SPECvirt性能测试数据。基于最新的SPECvirt2013标准，在Intel 发布的至强芯片的所有历史版本中，华为在当期相同硬件平台上的SPECvirt测试中屡获第一。

华为FusionSphere是基于OpenStack架构开发，面向多行业客户推出的云操作系统产品，整个系统专门为云设计和优化，提供虚拟化功能和自动化资源池管理、丰富的云基础服务组件和工具、开放的架构和API接口等，为加速企业IT云转型，实现关键业务、创新业务应用云化，提供高性能和高可靠的支撑云平台。截至目前，华为FusionSphere已被全球130个国家及地区的客户广泛应用，全球部署华为云计算虚拟机超过200万台，覆盖政府和公共事业、运营商、能源、金融、媒资、交通、医疗、教育、制造业等主流行业。2016年1月，在Forrester新发布的报告《TheForrester Wave&#8482;: Private Cloud Software Suites, Q1 2016》中，华为首次入围并荣获强劲表现者（Strong Performers）称号，这也是进入Forrester wave 全球私有云软件套件报告的唯一中国厂商。

华为IT云计算与大数据平台产品线总裁任志鹏表示：“随着云计算产业的快速发展，运营商和企业IT云转型不断对产品和技术提出更高的要求，华为坚持在FusionSphere云平台上持续大规模投入，不断创新突破，为运营商和企业客户的IT云转型提供更好的产品和解决方案。”

18.信息系统灾难恢复规范(GB/T20988-2007)

---

由国务院信息化工作办公室领导编制的《信息系统灾难恢复指南》是我国灾难备份与恢复行业的第一个国家标准，并于2007年11月1日开始正式实施。《信息系统灾难恢复指南》规定了信息系统灾难恢复应遵循的基本要求，适用于信息系统灾难恢复的规划、审批、实施和管理。《规范》具体对灾难恢复行业相应的术语和定义、灾难恢复概述（包括灾难恢复的工作范围、灾难恢复的组织机构、灾难恢复的规划管理、灾难恢复的外部协作、灾难恢复的审计和备案）、灾难恢复需求的确定（包括风险分析、业务影响分析、确定灾难恢复目标）、灾难恢复策略的制定（包括灾难恢复策略制定的要素、灾难恢复资源的获取方式、灾难恢复资源的要求）和灾难恢复策略的实现（包括灾难备份系统计数方案的实现、灾难备份中心的选择和建设、专业技术支持能力的实现、运行维护管理能力的实现、灾难恢复预案的实现）等内容作了具体描述。同时，在附录A对灾难恢复能力作了等级划分（共6级：第1级 基本支持，第2级 备用场地支持，第3级电子传输和部分设备支持，第4级 电子传输及完整设备支持，第5级实时数据传输及完整设备支持，第6级 数据零丢失和远程集群支持）；附录A对灾难恢复能力等级评定原则、灾难备份中心的等级等也作了规范要求。附录B对灾难恢复预案框架、附录C对相应行业RTO/RPO与灾难恢复能力等级的关系比例作了规范要求。信息系统灾难恢复能力等级与恢复时间目标（RTO）和恢复点目标（RPO）具有一定的对应关系，各行业可根据行业特点和信息技术的应用情况制定相应的灾难恢复能力等级要求和指标体系。

自定义链