jianchaolv的专栏

Jumbo Frame这是一种厂商标准的超长帧格式，专门为千兆以太网而设计，目前还没有获得IEEE标准委员会的认可。以太网标准的最大帧长度为1518字节，而Jumbo Frame的长度各厂商有所不同，从9000字节～64000字节不等。采用Jumbo Frame能够令千兆以太网性能充分发挥，使数据传输效率提高50%～100%。在网络存储的应用环境中，Jumbo Frame更具有非同寻常的意义。

http://blog.chinaunix.net/uid-127037-id-2919450.html 本文档的Copyleft归yfydz所有，使用GPL发布，可以自由拷贝，转载，转载时请保持文档的完整性，严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源：http://yfydz.cublog.cn防火墙出现比其他网络设备如路由器、交换机等

http://www.searchnetworking.com.cn/showcontent_46008.htm导读：本文介绍Open vSwitch以开源技术作为基础，主要实现代码为可移植的C代码。其官方定位是做一个产品级质量的多层虚拟交换机，通过支持可编程扩展实现大规模网络自动化。关键词：Open vSwitch 开放虚拟交换标准 虚拟交换 

http://net.zdnet.com.cn/network_security_zone/2013/0105/2138778.shtml#摘要：5年前，当Nicira创始人Martin Casado在斯坦福大学攻读博士学位时，他准备转变网络运营模型，使之能够跟上数据中心内服务器自动虚拟化的发展。Casado原以为他的发明OpenFlow能够解决这个问题，但是现在他承认自已当初想法

http://www.opencloudblog.com/?p=66Switching in software on Linux is one of the important parts when using virtualization technologies like KVM or LXC. Typical hosts do not provide one or mor

http://blog.csdn.net/majieyue/article/details/7908052struct vport是OVS的设备结构，个人认为非常类似于kernel里的netdev结构/** * struct vport - one port within a datapath * @rcu: RCU callback head for deferred

http://blog.csdn.net/majieyue/article/details/8103367vswitchd是用户态的daemon进程，其核心是执行ofproto的逻辑。我们知道ovs是遵从openflow交换机的规范实现的，就拿二层包转发为例，传统交换机(包括Linux bridge的实现)是通过查找cam表，找到dst mac对应的port；而open vswitch

http://blog.csdn.net/alex0/article/details/8871711版本：OVS 1.7.1简称：dp->datapath, of->OpenFlow, sw->switch背景：报文匹配的流程可以说是对一个switch效率影响最大的地方，现在已经有很多厂家（包括一些研究院）说可以做到比OVS效率高十倍的流

http://weibo.com/p/1001603936363903889917?mod=zwenzhang本文是讲演 How Ethernet RDMA Protocols iWARP and RoCE Support NVMe over Fabrics【1】的摘要。如果 NVMe 存储系统与主机是分离的，显然需要某种 fabric 把它们连接，这样主机才能使用

1. 前言IPSec提供了端到端的IP通信的安全性，但在NAT环境下对IPSec的支持有限，AH协议是肯定不能进行NAT的了，这和AH设计的理念是相违背的；ESP协议在NAT环境下最多只能有一个VPN主机能建立VPN通道，无法实现多台机器同时在NAT环境下进行ESP通信。关于IPSec在NAT环境下的需求问题在RFC3715中进行了描述。NAT穿越(NAT Trav

TCP filter的原理：当filter收到某个连接的第一个报文时，会为该连接在全局连接表中创建一个表项，并用报文中携带的源、目的IP和端口这个四元组创建original tuple和reply tuple，这两个tuple分别从不同方向来标识这个连接。后续的报文会根据其携带的四元组找到相应的连接表项，然后根据表项所记录的历史状态，检查报文所携带的ack、数据是否有效。filte

1. 前言在2.6.1*以上的Linux内核中，关于TCP连接跟踪处理有了比较大的修改，增加了TCP可能标志位组合的检查；增加了通过序列号、确认号和窗口值来判断数据包合法性的功能，支持SACK选项；状态转换数组也进行了一些修改和完善，相应程序代码量增加不少。以下2.6内核代码版本为2.6.17.11。2. 通过确认号、序列号和窗口判断数据包合法性该思路提出比

1  概述1.1  产生背景在传统的IP网络中，所有的报文都被无区别的等同对待，每个转发设备对所有的报文均采用先入先出（FIFO）的策略进行处理，它尽最大的努力（Best-Effort）将报文送到目的地，但对报文传送的可靠性、传送延迟等性能不提供任何保证。网络发展日新月异，随着IP网络上新应用的不断出现，对IP网络的服务质量也提出了新的要求，例如VoIP等实时业务就对报文的传输延迟提出

linux中如何配置路由负载均衡是一个古老的问题，可是至今仍然没有什么好的解决方案，我指的解决方案是配置意义上的，如果可以触动内核源代码的话，补丁倒是有好几个，不过很多的linux服务器是不允许给内核打补丁的，成本太高了，要停机，编译同版本内核，如果不同版本内核还要编译所有驱动，测试应用兼容性等等。因此如果有人让你配置负载均衡了，那么你能做到的也就是仅仅“看起来像那么回事”罢了，所谓看起来像的意义

FTP两种工作模式：主动模式（Active FTP）和被动模式（Passive FTP）     在主动模式下，FTP客户端随机开启一个大于1024的端口N向服务器的21号端口发起连接，然后开放N+1号端口进行监听，并向服务器发出PORT N+1命令。服务器接收到命令后，会用其本地的FTP数据端口（通常是20）来连接客户端指定的端口N+1，进行数据传输。     在被动模式下，FTP库

IPsec（IP security）协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。IPsec作为一种重要的安全技术得到越来越广泛的应用，但是客户网络边缘大量使用的NAT地址转换操作可能影响到IPsec的正常操作。目前，NAT和IPse

Internet密钥交换（IKE）两台IPSec计算机在交换数据之前，必须首先建立某种约定，这种约定，称为"安全关联"，指双方需要就如何保护信息、交换信息等公用的安全设置达成一致，更重要的是，必须有一种方法，使那两台计算机安全地交换一套密钥，以便在它们的连接中使用。Internet密钥交换　　Internet 工程任务组IETF制定的安全关联标准法和密钥交换解决方案--IKE（Inte

IPSEC构建站点到站点连接的基本过程对于站点到站点的会话，构建连接的基本过程如下：一个VPN网关对等体发起了到另外一个远程的VPN网关对等体的会话（触发流量）如果没有存在VPN的连接，那么ISAKMP/IKE阶段1开始，两个对等体协商如何保护管理连接。Diffie-hellman用于为管理连接中的加密算法和HMAC功能来安全的共享密钥。在安全管理连接中来执

IKE第一阶段IKE的精髓在于它永远不在不安全的网络上直接传送密钥，而是通过一系列的计算，双方最终计算出共享密钥，并且即使第三方截获了交换中的所有数据，也无法计算出真正的密钥。其中的核心技术就是DH交换算法。IKE协商第一阶段，参与通信的双方会生成4个秘密：SKEYID：后续三个都建立在它的基础上，由它推算出。SKEYID_d：用于为ipsec衍生出加密的材料。SKEYID_a

为什么要实现IEEE802.1x？随着宽带以太网建设规模的迅速扩大，网络上原有的认证系统已经不能很好的适应用户数量急剧增加和宽带业务多样性的要求。IEEE802.1x协议具有完备的用户认证、管理功能，可以很好地支撑宽带网络的计费、安全、运营和管理要求，对宽带IP城域网等电信级网络的运营和管理具有极大的优势。IEEE802.1x协议对认证方式和认证体系结构上进行了优化，解决了传统

http://blog.csdn.net/tennysonsky/article/details/44062173在《绑定( bind )端口需要注意的问题》提到：一个网络应用程序只能绑定一个端口( 一个套接字只能绑定一个端口 )。实际上，默认的情况下，如果一个网络应用程序的一个套接字 绑定了一个端口( 占用了 8000 )，这时候，别的套接字就无法使用