自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

Netfilter,iptables/OpenVPN/TCP guard:-(

我不会编程,但也不是一点都不会,我稍微会一些 :-)

原创 网络技术独立的导火索-SDN和三个问题

网络技术就是电脑技术么?CPU和操作系统已经牢牢占有了PC,服务器的领地,每个PC,服务器上都会有一个或者多个CPU,都会跑一个OS,甚至如今的手持设备也被灌入了PC的影子,实则一个缩小版的PC,当年的类似单片机的射频终端彻底败阵。手持设备向电脑技术投降是有道理的,因此电脑和手持设备都是无穷无尽的应用来推动的,但是如果有一天物联网深入我们的生活,我害怕肉眼看不到的电子灰尘里面也会跑一个精简版的Li

2013-05-30 21:33:39 3656 1

原创 又一个Linux的双向stateless NAT

如果看一下iproute2的help,就会发现在route section中有一个nat action,其中via的参数给出了转换的地址。具体的配置就不说了,只提出两点,第一,iproute2的stateless nat需要policy routing的参与,第二,它在2.6内核中被去除了;具体信息可以参见文档。在2.6内核中,内核协议栈将一切的扩展都留给了Netfilter来实现,自己只实现标准

2013-05-30 21:27:53 4614

原创 传输网和寻址网-《云时代的信息技术》欢呼与反驳

近期看了《云时代的信息技术》这本相当叛逆的书。指出如今已经接近资源丰盈时代,在资源匮乏年代建立的网络理论必须全部推倒重来!该书犀利地指出目前的很多理论都是一些所谓的“小聪明”,或者说是一种修补,这和我所谓的“小技巧”一致,个人也因此找到了共同的声音。作者认为,网络应该是简单的,仅仅提供一个透明的通道,所有数据流自寻址到达目的地,不再有路由器等增加延迟的中间寻址设备,QoS的概念在资源丰盈时代也不再

2013-05-27 20:53:01 3512 3

原创 关于路由的递归查询

我们知道,路由查找的过程是寻找数据包下一跳的过程!IP路由逐跳将数据包送往目的地。所谓的下一跳就是和自己直连的某台路由器的对应接口IP地址,这是合乎情理的理解,然而IP路由提供了另外一种方式,即下一跳不必非要和自己直连,它可以忽略当前路由器“附近的拓扑”,直接告知相对较远方的拓扑,如下图所示:到达Server的下一跳是R2,到达R2的下一跳是R1...以此类推。协议栈的路由查找逻辑在查找路由时,如

2013-05-21 20:21:17 9267

原创 Linux实现Cisco风格ACL之空想

本来上周末想实现一个Cisco风格的Linux版本ACL,也就是说将rule绑定在Interface上而不是HOOK点,然而发现net_device的private data非常不好用,就把半拉子工作仍在那里了...其实即使实现了Cisco风格的ACL,还是基于Netfilter实现的,然而FORWARD上的ruleset就简单多了,变成了下面这个样子:static unsigned intip

2013-05-21 20:15:05 2882

原创 什么是历史

什么是历史?历史就是阐述或者证明现在必须就是现在这个样子的过程!这个过程明显就是一个执果索因的过程,即便是关于事件和人物的一般性阐述,言语背后很少不折射出一些时代的特征,该特征和目前的某些理论契合在一起。       因果律告诉我们,由于有殊途同归的存在,执果索因的结果本身就是不确定的!这一点和由因导果完全不同!我指的是同一维度上的因果,因为如果考虑到不同维度,一系列原因可以在不同维度导致结果,注

2013-05-21 20:13:48 2545 1

原创 短述欧洲早期历史

希腊由于希波战争造就了两个竞争势力,那就是雅典和斯巴达。随后的伯罗奔尼撒战胜彻底耗尽了希腊的精力让马其顿渔翁得利!马其顿由于其交通地缘原因而分崩离析,罗马此时已然统一意大利,统一天下!大历史下何等之壮观,诸如马略,诸如苏拉,诸如凯撒,诸如屋大维等推波助澜!罗马七丘因其地理因素印证了亚里士多德的城邦论的理性!如今,欧盟也好,美国也罢,不正是在付诸实施吗?China也因其地缘原因,法,术,势等抽象概念

2013-05-18 17:45:35 2545

原创 本地地址代理与托管NAT

本文的题目有些可疑,有些不可理解!但是如果我说出一个简单而基本的原则之后,你就不会困惑了,那就是:你的外联路由器外网口的地址并不是分给你的,只有你的外联路由器的内网的地址才是分给你的!熟悉Linux NAT MASQUERADE的人可能对此有些不解,这是显然的,因为MASQUERADE控制下的NAT并不是一个真正的NAT,它只是一个地址代理!这听起来有些不可思议,不可思议的原因是因为大家都在用这种

2013-05-18 17:31:14 2857

原创 Linux NAT优化的校验和问题

我们知道,Linux的NAT是基于ip_conntrack的有状态NAT,其配置类似BSD的keep state的效果!如果看一下Netfilter的PREROUTING,就知道ip_conntrack依赖ip_defrag,也就是凡是分片的IP片必须重组后才可以进入ip_conntrack进而进入NAT,如果我们希望能针对每一个IP分片来做NAT的话,那就需要动一番脑筋了。        下图是

2013-05-18 16:14:36 4158

原创 对比Mac OS上的PF与iptables

昨天同事问我怎么在Mac上配置策略路由,其实我也不知道!由于自己的实际需求,一直以来都想玩Mac网络功能,可是目光总被它炫烂的外表炫晕!今日同事这么一问我,顿时产生一种研究其究竟的欲望,还好,家里的电脑都是Mac系统(我非果粉,但老婆是),周末带女儿上完早教课,终于可以闲下来玩一番了...       其实,MacOS绚烂的外表下面,是一辆坦克,其内核是具有学院派高贵血统的BSD UNIX,而我们

2013-05-18 15:35:19 24805 5

原创 Cisco与Linux的NAT-Linux实现Cisco风格的NAT

既然看到了Cisco的NAT比较灵活,那么Linux能否实现呢?答案是肯定的!因为Linux的Netfilter是超级灵活的,Linux的NAT不灵活是因为iptables程序的不灵活,xtables-addons的RAWNAT已经朝static nat迈出了重要的一步,是iptables限制了Linux的static nat发展!于是我抛开iptables,先基于Netfilter把内核模块实现

2013-05-16 20:13:53 3561

原创 Cisco与Linux的NAT

Linux一直以来都使用基于连接跟踪的有状态NAT,虽然xtables-addons里面实现了无状态的静态NAT,即RAWNAT,和Cisco的NAT实现相比还是不够灵活,本文给出一个全局意义的解释,虽然这种解释对于实际的配置没有什么帮助,但是可以帮助你更好地理解Linux和Cisco的系统构建。1.Cisco的方案Cisco路由器显式的将inside和outside的概念邦定于物理接口,然后根据

2013-05-16 20:10:15 3851

原创 流量工程与光网路

完全的分组交换网将很难实施流量工程,因为分组交换网的交换节点之间的链路是统计复用的,网络本身在统计上对待传输的分组并不假设任何权值!分组交换网的交换节点,比如IP路由器在寻路上也必然是局部的,不可能建立一条跨越多节点的物理的或者虚拟的通道,否则将会破坏分组交换统计复用的语义!随着互联网业务的扩大,QoS越来越重要,QoS无疑是端到端的,因为IP网络的业务都在端系统处理,对QoS敏感的只有业务本身,

2013-05-14 21:18:24 2784

原创 畸形的从业观

看过很多当前励志的文字,从身边的人那里也听过很多让人振奋的话语,包括同事,上司,老婆,丈母娘...我想,现在的人到底怎么了?学习的目的成了得到高职,高薪,掌握一技之长成了和雇主谈判的筹码,整个人生过程成了一次待价而沽的买卖,自己将自己作为商品出卖,价格越高越好,这样的人生怎么能快乐?!       我承认,当今竞争激烈,适者生存,你不努力就会被替代,被淘汰,然而就不能用一颗平常心或者起码对得起自己

2013-05-13 21:14:44 3466 11

原创 全光网络的前世今生

序每日下班夜归,挤地铁挤破了头,于是自寻一条新路,走路到上海火车站,坐新嘉专线到家门口,全程1小时多一点,比地铁转来转去快多了,有时做实施技术支持也经常打车回家,和新嘉专线路线一样,都是南北高架转入中环再转入沪嘉高速开到底...车上不能看书了就只能想像,每有不解之处却忘了自己还有个每月都用不完流量的iPhone,顿悟时却已开窍,刚开屏的iPhone便又锁上了...疾驰在高架高速道路,心里当然也是天

2013-05-11 11:59:53 5652 4

提示
确定要删除当前文章?
取消 删除