weixin_68973790的博客

原创 防火墙NAT策略

server-map表的作用：解决了ftp多个端口的访问问题（主动模式）NAPT：采用多对的方式，映射到外部的一个ip地址上，通过端口区分。Easy-IP：采用多对一的方式，映射到外部接口上，通过端口区分。解决源地址转换和目标地址转换场景下的环路和无效ARP问题。NAT server：有静态一对一和端口映射多对一。NAT no-pat：采用多对多的方式，不常用。目标地址转换：解决公司内部服务器发布到互联网。表中 reverse代表反向条目。需要配置黑洞路由的NAT类型。

原创 华为防火墙

协议 源IP 源端口 目标IP 目标端口。Trust 内部区域连接内网 级别85。Local 防火墙自身区域 级别100。untrust 外部区域连接外网 级别5。Authentication 认证。Authorzation 授权。Accounting 统计。应用 内容 时间 用户 威胁 位置。web 远程登录内外都能用。Telnet 内部远程登录。SSH 远程登录内外都能用。混合模式：路由和交换功能。路由模式：带有路由功能。透明模式：带有交换功能。

原创 BGP路由技术

AS-PATH（AS路径)：按矢量顺序记录了某条路由从本地到目的地址所需要经过的所有AS编号。Local-pref：标识BGP路由的优先级用于判断流量离开AS时的最佳路由。NEXT-Hop（下一跳）：记录了路由的下一跳信息。BGP是外部路由协议，用来在AS之间传递路由信息。IBGP:内部邻居 EBGP:外部邻居。MED： 判断流量进入邻居AS时的最佳路由。import 路由重分发 间接路由通告。EGP外部网关协议（BGP）是一种增强的路径矢量路由协议。丰富的路由过滤和路由策略。

原创 Hybrid MSTP

根端口 指定端口 预备端口 备份端口 边缘端口。既可以实现Access接口的功能，也可以实现Trunk接口的功能。逻辑上断开环路，解决了交换机的广播风暴问题还有链路备份的功能。发送数据帧：先看untag列表，再看tag列表。实例：一个生成树实例可以包含多个vlan。接收数据帧：先看PVID再看tag列表。流量隔离 流量互通。Discarding:组赛状态。MSTP的作用：多生成树协议。Fowarding:转发状态。Learning:学习状态。

原创 VRP基础及操作

处于活动状态并负责转发数据的接口称为活动接口相反处于非活动状态并禁止转发数据的接口称为非活动接口。路由技术：静态路由,默认路由,hsrp,rip,ospf,单臂路由,nat。链路聚合（华为）：带宽增加，链路冗余，使用LACP(Eth-trunk）交换技术：vlan,trunk,stp,vtp,三层交换,以太网通道。动态路由（ospf,rip）：相互学习路由表，解决不同网段之间通信。trunk(中继链路)：解决不同交换机之间相同vlan通信。vlan(虚拟局域网)：控制广播，提供安全性，简化管理。

原创 Ansible

M:指定模块存放路径，默认为/usr/share/ansible也可以通过ANSIBLE_LIBRARY设定默认路径。-i:指定inventory信息，默认为etc/consible/hosts。--perivate-key=PRIVATE_KEY_FILE:指定密钥文件。--list-hosts:列出符合条件的主机列表不执行任何命令。-V:输出详细的执行过程信息，可以得到执行过程所有信息。在远程主机执行命令，不支持管道，重定向等shell特性。在远程主机执行命令，相当于调用远程主机的shell进程。

原创 GlusterFS是一个开源的分布式系统

5 经过GlusterFS client处理后，通过网络将数据传递至远端的GlusterFS client处理后，通过网络将数据传递至远端的GlusterFS server并且将数据写入服务器存储设备。3 VFS将数据递交给FUSE内核文件系统，并向系统注册一个实际的文件系统FUSE,而FUSE文件系统则是通过/dev/fuse 设备文件递交给了GlusterFS client端。4 GlusterFS client收到数据后，client根据配置文件对数据进行处理。volume:逻辑卷。

原创 ELK日志分析系统

一款强大的数据处理工具，可以实现数据传输，格式化处理，格式化输出。一个针对Elasticsearch开源分析可视化平台。Elasticsearch-head端口号：9100。Elasticsearch:用于分析和存储日志。Elasticsearch端口号：9200。kibana:用于web页面查看日志。对格式化后的数据进行索引和存储（E）提供了一个分布式多用户的全文搜索引擎。将日志格式化（L）并输出到（E）logstash:用于收集日志。将日志进行集中化管理。前端数据的展示（K）

原创 Mysql主从复制与读写分离

Amoeba主要为应用层访问mysql充当路由功能并具有负载均衡能力，高可用性，由java语言开发不支持事务和存储过程。通过主从复制的方式来同步数据，在通过读写分离来提升数据库的并发负载能力。处理单台mysql读写数据的解决方案。基于程序代码内部实现（不常用）基于中间代理层实现（常用）Mysql支持复制的类型。Mysql读写分离的分类。

原创 Zabbix监控系统

zabbix-java-getway：zabbix2.0引入的功能 相当于java网关只用于java方面。cmd命令安装agent常用参数 -c指定配置文件 -i安装 -s启动 -x停止 -d卸载。server-proxy-client架构适用于跨网络跨机房的中型监控架构。Agent部署在被监控的主机（客户端）上负责收集被监控主机的数据。zabbix-server：zabbix服务端的守护进程。zabbix-get：zabbix工具是单独使用的命令。zabbix-proxy：zabbix的代理守护进程。

原创 Redis群集

包括oracle,mysql,sql server,Microsoft Access,DB2等。Redis基于内存运行并支持持久化，采用key-value(建值对)的存储形式。select:多个数据库之间切换，共16个库，分别0-15。renamenx:重命名键 如果重名不覆盖，取消重命名。dbsize:查看当前数据库中的键的数目。flashall:清空所有数据库的数据。flashdb:清空当前数据库的数据。keys:查看符合规则的键值列表。del:删除当前数据库的指定键。type:获取键对应的数据类型。

原创 haproxy群集调度工具

nginx的upstream模块支持群集功能，但是对群集节点健康检查功能不强，性能没有haproxy好。主配置文件三部分：global(全局) defaults(默认) listen(应用模块)启动服务： /etc/init.d/haproxy start restart(重启)timeout http-request http 请求超时时间。timeout http-keep-alive 长连接超时时间。主配置文件：/etc/haproxy/haproxy.cfg。daemon 守护进程模式。

原创 Keepalived双机热备份

virt_serverVIP端口{...}区段来配置虚拟化服务器主要包括对负载调度器算法，群集工作模式，健康检查间隔，真是服务器地址等参数。web节点的地址，端口，权重，检查方式，连接超时(秒)，重试次数，间隔(秒)state状态不同：主(MASTER),备份(BACKUP) 优先级不一样。一主+多备，共用一个IP地址(VIP)，但优先级不同。real_server ip地址{...}区段的作用。专为LVS和HA设计的健康检查工具。优先级0-100数字越大优先级越高。支持节点健康状态检查。

原创 Tomcat

原创 Nginx网站服务

方法一：充当中介，将访问php页面的web请求转交给其他服务器(LAMP)去处理。主配置文件：/etc/local/nginx/conf/nginx.conf。方法二：通过使用php的fpm模块来调用本机的php环境(常用）重新加载服务：killall -s HUP nginx。停止服务：killall -s QUIT nginx。nginx的作用：一款高性能轻量级web服务软件。检测主配文件的语法：nginx -t。配置nginx支持PHP环境的方法。端口号：tcp 80。启动服务：nginx。

原创 firewalld防火墙(二)

2端口转发(firewalld-port)：解决了公司内部服务器发布到互联网通过端口转发，指定ip地址及端口的流量被转发到相同计算机上的不同端口，或转发到不同计算机端口。1地址伪装(masquerade)：解决了公司内部访问外部可以实现局域网多个地址共享单一公网地址上网ip地址伪装仅支持ipv4,不支持ipv6。富语言可用于基本的允许/拒绝规则，也可以用于配置记录(面向syslog和auditd)以及端口转发，伪装和速率限制。查询RULE是否已添加到指定区域，如果未指定区域，则为默认区域。

原创 firewalld防火墙(一)

-runtime-to-permanent：将当前的运行时配置保存到配置文件中成为永久配置。external：外部区域用于连接公司外部（互联网）此区域有地址伪装功能。永久模式：永久储存在配置文件中，需要重启防火墙或重新加载防火墙生效。trusted：用于连接公司内部区域，可以接收所有的网络连接。--permanent：设置为永久规则，重启防火墙生效。internal：内部区域，用于连接公司的内部网络。若源地址关联到特定的区域则执行该区域所制定的规则。若源地址未关联到特定区域，则使用传入接口的区域。

原创 系统安全及应用

一款密码分析工具，支持字典式的暴力破解，通过对shadow文件的口令分析，可以控制密码强度。chattr +i /etc/passwd /etc/shadow -i(解锁)sudo命令：作用提升用户权限，相当于使用root用户执行授权的命令。将非登录用户的shell设为/sbin/nologin。新建用户:修改 /etc/login.defs。安全日志文件：/var/log/secure。普通用户切换到其他用户，验证目标用户密码。日志文件：/var/log/sudo。修改：/etc/securetty。

原创 KVM虚拟化

KVM的功能：linux下的虚拟化软件可以安装多个操作系统，运行多个业务，实现硬件资源利用最大化。用户模式：即NAT模式，特点KVM中的虚拟机可以访问外部主机，外部主机无法访问KVM的虚拟机。桥接模式：特点是KVM中的虚拟机和外部主机可以相互访问。raw qcow2(默认的，支持快照） qed。KVM网络的两种模式。虚拟机的磁盘文件格式。

原创 squid代理服务器

src(源地址） dst(目标地址） port(目标端口号） dstdomain(目标域） time(访问时间）传统代理：用于lnternet,需要明确指定服务端（配置浏览器）透明代理：用于共享上网网关，不需要指定服务端（不用配置浏览器）应用：http_access allow(deny) 列表名。squid的作用：缓存网页对象，减少重复请求属于应用层。重新加载服务：squid -k reconfigure。定义：acl 列表名 列表类型 列表内容。初始化：squid -z。启动服务：squid。

原创 rsync远程同步

停止服务：kill $(cat /var/run/rsyncd.pid)max_user_watches 每个实例最多监控文件数 （8192）max_user_instances 最多监控实列数 （128）inotify的功能可以监控文件系统的变动情况，并做出通知响应。max_queue_events 监控世界队列（16384）方法二：rsync：//用户名@主机地址/共享模块名。方法一：用户名 @主机地址：：共享模块名。主配文件：/etc/rsync.conf。发起端（客户端）同步源（服务器）

原创 YUM仓库服务与PXE网络装机

PXE网络安装的linux内核，初始化，镜像文件。查询软件包描述信息： yum info 软件名。安装软件：yum -y install 软件名。清空yum缓存： yum clean all。查询指定软件包：yum search 关键字。卸载软件：yum -y remove 软件名。查询软件包列表：yum list 软件名。所有软件包由集中的YUM软件仓库提供。升级软件：yum -y update。HTTP服务：http://本地目录：file:///FTP服务：ftp://可以自动解决依赖关系。

原创 SSH远程访问

下载：scp -P 端口号 用户名@服务器IP地址:/路径/文件名/本地目录。上传：scp -P 端口号 /本地目录/文件名 用户名@服务器地址:/路径。ssh协议的作用：为客户提供安全的ssh环境，用于远程管理 端口号为22。只允许个别用户远程登录： Allow Users 用户名 @服务器地址。主配文件的说明（/etc/ssh/sshd_config)主配文件： /etc/ssh/sshd_config。/etc/hosts.allow (允许访问)/etc/hosts.deny (拒绝访问)

原创 shell脚本应用（四）

正则表达式的定义：是使用单个字符串来描述，匹配一系列符合某个句法规则的字符串。sed命令：对文本内容进行编辑（删除，替换，添加，移动等）替代vi命令。awk选项 ‘模式或条件 {编辑指令}，文件1，文件2……RS:数据记录分隔，默认为\n，即每行为一条数据记录。FS:指定每行文本的字段分隔符，默认为空格或制表位。-e:表示用指定命令或脚本处理输入的文本文件。awk -f 脚本文件 文件1，文件2。{n}：表示重复字符的次数n表示数字。+：重复一个或一个以上的前一个字符。[^]：表示除括号内任意一个字符。

原创 shell 脚本应用（三）

使用for循环语句时，需要指定一个变量及可能的取值列表针对每个不同的取值重复执行相同的命令序列，直到变量值用完退出循环。用于某个变量多种取值，需要对其中的每一种取值分别执行不同的命令序列。可以根据特定的条件反复执行一个命令序列，直到该条件不在满足时为止。for变量名 in 取值列表。while循环语句的语法。while 条件测试操作。case 变量值 in。for循环语句的语法。

原创 shell脚本应用（二）

&：逻辑与而且的意思 test下-a表达。||：逻辑或，或者的意思 test下-o表达。-r：测试当前用户是否“有权限读取”-w：测试当前用户是否“有权限写入”-x：测试当前用户是否“有权限执行”test命令：用于测试条件表达式。[ 整数1 操作符 整数2 ][ 操作符 文件或目录]格式一：test条件表达式。格式二：[ 条件表达式 ]-e：测试目录文件是否存在。-d：测试是否为目录。-f：测试是否为文件。then 命令序列1。else 命令序列2。then 命令序列1。elif 条件测试2。

原创 shell脚本应用(一)

linux系统中的shell脚本是一个特殊的应用程序它介于操作系统内核与用户之间充当了一个“命令解释器”的角色，负责接收用户输入的操作命令并进行解释将需要执行的操作传递给内核执行，并输出执行结果。:上一条命令执行后返回的状态，当返回状态值为0时表示执行正常，非0值表示执行异常或出错。反撇号：命令替换，提取命令执行后的输出结果，为变量值可以使用$()代替。重定向输入：< 重定向输出（正确）：>（覆盖）>>(追加）标准错误输出： 2>（覆盖） 2>>(追加）分别是：$1,$2,$3,....$9。

原创 LAMP平台

usr/src/php-5.5.28 /php-ini-development//开发版本样列文件，用于学习测试。/usr/src/php-5.5.28 /php.ini-production//生产版本样例文件，用于实际运营。--with-config-file-path:设置php的配置文件php.ini将要存放的位置。--with-mysql:设置mysql数据库服务程序的安装位置。--with-mcrypt:加载数据加密等扩展工具支持。--with-mysqli:添加mysqli扩展支持。

原创 mysql数据库备份与恢复

mysqlbinlog [--no-defaults] --start-datetime='年-月-日小时：分钟：秒' 二进制日志 | mysql -u 用户名 -p。mysqlbinlog [--no-defaults] --stop-datetime='年-月-日小时：分钟：秒' 二进制日志 | mysql -u 用户名 -p。备份所有库：mysqldump -u root -p --opt --all-databases >/备份路径/文件名。差异备份：备份上次自从完全备份之后被修改过的所有文件。

原创 mysql数据库系统

来源地址：%（代表所有用户）localhost(本机）192.168.1%(代表1.0网段）192.168.1.100（代表一个主机地址）11表中插数据：insert into 表名 (列名1，列名2，）values ('值1','值2',...)备注：权限列表：all（所有），select(查询）,insert,update,dalete。17撤销用户权限：revoke 权限列表 on 数据库名.表名 form 用户名@来源地址。7创建新的数据库：create database 数据库名；

原创 LINUXweb网站服务

httpd的基本认证通过校验用户名，密码组合来判断是否允许用户访问，使用专门的htpasswd工具程序，可以创建授权用户数据文件，并维护其中的用户账号。如果指定安装目录为/usr/local/httpd httpd服务的各种程序，模块，帮助文件都将复制到此目录下。主配文件：/usr/local/httpd/conf/httpd.conf。访问日志：/usr/local/httpd/logs/access_log。服务脚本：/usr/local/httpd/bin/apachectl。

原创 SQL权限管理与数据恢复

SQL Server 和Windows 身份验证模式（混合验证模式）备份整个数据库、部分事务日志、数据库结构和文件结构。主要是T-SQL语句，记录了数据库的所有改变。更加细化的权限，作用于表、视图、存储过程等。备份上一次完整备份之后所有更改的数据。SQL Server的身份验证模式。SQL Server的安全机制。查询、更新、插入、删除。SQL Server的权限设计。SQL Server备份和还原。访问数据库的“数据库用户”SQL Server用户。是任何其他备份类型的基础。登录实例的账号和密码。

原创 SQL查询优化与事务处理

从客户端（Client）通过网络向服务器（Server）发送 SQL 代码并执行是不妥当的。使用sys.dm_tran_locks动态管理视图。非聚集索引：数据存放的物理顺序与索引顺序不相同。是在对表进行增、改或删操作时自动执行的存储过程。全文索引：一种特殊类型的基于标记的功能性索引。聚集索引：数据存放的物理顺序与索引顺序相同。是SQL Server编排数据的内部方法。通常是作为来自一个或多个表的行或列的子集。唯一索引：不允许两行具有相同的索引值。主键索引：要求主键中的每个值是唯一的。

原创 SQL高级查询

指将查询结果按条件分组，再使用聚合函数返回每一个组的汇总信息。只返回两个数据集合之间匹配关系的行（INNER JOIN）可以和SQL Server的SELECT语句联合使用。获取有关SQL Server中对象和设置的系统信息。如果一个查询需要对多个表进行操作，就称为联接查询。结果集包括右表的所有行（RIGHT JOIN）返回左表和右表中的所有行（FULL JOIN）结果集包括左表的所有行（LEFT JOIN）从其他的程序段中使用调用语句来执行这段程序。联接查询的结果集或结果称为表之间的联接。

原创 T-SQL查询语句

Truncate table 只能清空整个表 否，数据无法恢复 重置标识符列为0 不能用于含有外键约束的表。Delete 使用where子句按条件删除 是，数据可以恢复 否 可以用于含有外键约束的表。update 表名 set 列名='更新的值' where 条件。insert into 新表名 （列名1，列名2，.....）insert into 新表名 （列名1，列名2，....）insert into 表名 （列名1，列名2）

原创 SQL Server的数据存储结构

存储从-922 337 203 685 477.5808 到 922 337 203 685 477.5807之间的数据，精确到货币单位的万分之一，占8字节空间。decimal 存储从-1038-1到1038-1的固定精度和范围的数值型数据，须指定范围和精度。存储从1753年1月1日到9999年12月31日间所有的日期和时间数据，占8个字节空间。image 存储变长的二进制数据，最大可达231-1或大约20亿字节。int 整型，存储-231到231之间的整数，占4字节空间。

原创 sql数据库简介

混合身份验证 （SQL server身份验证和Windows身份验证）master:记录系统级别的信息，如登录用户，其他数据库的文件位置等。将表中主键列添加到另一个表中，这个列就称为第二个表的外键。有效地保持数据信息的一致性、完整性，降低数据冗余。能唯一标识表的一行而又不含有多余属性的属性集。结构化存储大量数据，便于高效的检索和访问。描述事物的符号记录称为数据（Data）由一个或多个字段组成，保证实体的唯一性。不同的记录组织在一起，就形成了“表”启动和停止sql server的方法。

原创 SNMP协议简介

管理信息库（Management Information Base，MIB）SNMP 简单的网络管理协议 是网络管理协议和代理程序之间的通信协议。④Agent将变量的值发送给NMS，NMS完成信息收集。提供管理端和被管理端之间的认证，杜绝非法管理端。提供管路程序和代理程序之间的认证 提高安全性。②Agent代理程序查询设备本地的MIB。带外（out-of-band）管理。被监控端的代理程序，用于收集信息。带内（in-band）管理。用于对通信的双方进行认证。被动接收Trap消息。

原创 Cisco ASA高级配置

创建policy-map，关联class-map；如果伪造含有重叠偏移的分片，一些老的操作系统（如XP）在收到这种分片时将崩溃。如果在5秒内没有收到后续的IP分片，则认为重组失败，最终将丢弃所有的分片。操作系统在收到IP分片后，会根据偏移值将IP分片重新组装成IP数据包。1对于目的MAC地址未知的单播数据帧，ASA不会泛洪而是直接丢弃。对访问的网站的域名进行控制，禁止员工浏览某些与工作无关的网站。DF位为0的时，表示允许分片，为1时不允许分片。3 error（错误） 错误状态。

原创 ciscoASA应用nat

必须要设置NAT或者NAT豁免才可以双向通信(静态nat，静态pat，入站出站都可以)，如果是动态nat或者动态pat（只允许出站）否则无法通信。ASA从7.0版本开始提供了一个NAT控制的开关，即nat-control命令。当启用NAT控制时，定义一个ACL，使该主机无需配置NAT即可双向通信。当启用NAT控制时，每个发起的连接都需要一个相应的NAT规则。禁用NAT控制和启用NAT控制对出站连接的控制有什么不同。在禁用NAT控制和启用NAT控制时的特性是不同的。ASA上的NAT类型。