刘元林的博客

traceroute是一个网络诊断工具（Windows上叫tracert），用于显示数据包从本地主机到远程主机经过的路由（跳数）。它可以帮助您了解数据包在网络中的传输路径，以及每跳的延迟情况。这对于网络故障排除、分析网络性能和识别网络瓶颈非常有用。

当然，我们也可以使用其他虚拟化平台：Oracle Virtualbox、Hyper-V、KVM等EVE-NG的官方提供了ISO和OVF两种镜像，前者从头安装，后者在VMware虚拟化平台导入后启动即可。

就拿上图来说，路由器就是一个双栈设备，默认情况下路由器本身就已经支持IPv4，接口上也配置了IPv4的地址，已经能够正常转发IPv4的报文，此刻在激活路由器的IPv6数据转发能力，再为接口分配IPv6的单播地址，那么这个接口又有了IPv6数据转发能力。当然，此时对于路由器而言，IPv4及IPv6协议栈互不干扰，独立工作。此刻R1及R2均是双栈路由器，而两者各自下挂的这两个IPv6网络其实是信息孤岛，彼此之间无法互相通信，因为要通信就需要经过中间的网络，而中间的网络是IPv4的，根本无法识别IPv6的数据。

而R2在收到这个消息后，情况就不一样了，由于它的接口配置了2001::FFFF地址，因此接口会加入组播组FF02::1:FF00:FFFF，而此刻所收到的报文又是以该地址为目的地址，它会将报文上送到CPU进行处理，经过报文内容的查看，它发现对方进行DAD的目标地址与自己本地接口地址重复了，因此立即回送一个NA（ICMPv6，类型136）消息，该消息的目的地址是FF02::1，也就是所有节点组播地址，同时在报文内写入目标地址2001::FFFF，以及自己接口的MAC。当然这些自动获取的地址是有生存时间的。

如果设备接口上并未配置全局单播IPv6地址，则需使用ipv6 address auto link-local命令手工使设备自动产生一个Link-Local地址，在我司防火墙、交换机等设备上，该自动生成的Link-Local地址采用EUI64规范的接口ID生成。IPv6主机的网卡，或者网络设备的接口可以有多个可聚合全局单播地址，但是这些接口要能够正常工作，必须有一个链路范围内唯一的Link-Local地址，该地址由于其稳定性、链路唯一性，被用于自动地址配置、邻居发现、路由器发现等机制中。

在IPv6中，分片是不被建议的，尤其是数据包在被传输的路径中尤其不建议分片，这是因为我们期望中转的设备只做最快速的转发而无需耗费资源去处理分片，分片必然会消耗设备性能并降低转发效率。在IPv6中，建议所有的节点使用PMTUD机制来发现链路的MTU，这样就不需要对数据进行分段了。IPv6包头中取消了原来IPv4包头中的Header Checksum，也就是包头校验和字段，这是因为第二层和第四层的校验已经足够健壮了，再在IPv6中做校验实际上就显得多余而且造成资源的重复损耗，因此IPv6直接取消了三层校验。

如上图所示，规划192.168.187.0/23网段时，并没有考虑到192.168.186.0/24网段已经存在。这就会导致192.168.187.0/23网段里所有的机器，到192.168.186.0/24网段不通（其他网段不受影响）。原因很简单：会将192.168.186.0/24当做本地局域网，只进行二层通信，压根不会到达路由。当然，186到187同样不不通，也是由于上面的原因，导致回包不可达。除了规划网络出错会有该问题，手动配置主机网络时，写错也会出现该问题，例如：IPADDR=19...

SSH 除了可以访问服务器，还可以创建加密隧道，充当两台服务器之间的通信加密跳板，使得原本不加密的通信变成加密通信。这个功能称为端口转发（port forwarding），又称 SSH 隧道（tunnel）。这里介绍本地转发和远程转发两种场景。需要注意的是，对于openssh的不同版本实现，默认值略有差异，但命令语法相同。...

firewalld提供了masquerade，用以辅助port-forward；但是，内部port-forward不需要masquerade。此外，端口转发rule中配置的port属性（eg：port=22002）无需添加到防火墙例外，因为无论添加与否都能被访问到，如果要对访问进行限制，则需要在策略中增加source address属性加以限制；或者在目的服务器上加以限制。内部端口转发firewall-cmd --permanent --add-rich-rule='rule family=i.

目录开场白Rinetd简介快速使用转发规则访问控制日志管理开场白虚拟化平台（libvirt+qemu-kvm、vmware、Hyper-V、VirtualBox等）将虚机接入网络的方式基本上就三种：Bridge、NAT、Host-Only。而默认的Virtual Network是NAT模式。就目前的云平台而言，默认也是private network，然后通过绑定floating IP对外提供服务。不管是Linux Bridge、openvswitch方式实现桥接，其

据说，关闭NetworkManager服务可以禁用接口自动获取IP地址。未验证！但是，既然NetworkManager服务和接口自动获取IP地址有关系，那么使用nmcli命令应该也可以达到相同的效果。通过nmcli conn modify $CC ipv4.method disabled 可以禁用IPv4，自然就不会自动获取ipv4了；也可通过nmcli conn modify $CC ipv4.methodmanual ，改成手动配置IP地址，这里需要同时设置IP地址，否则报错。ipv4.

SR-IOV是比较好的虚拟化硬件性能解决方案，使用需要特定的硬件支持。 查看是否启动SR-IOV，如果没有igbvf行，说明以内核模块的形式安装了igb网卡驱动，但是没有启动对SR-IOV的支持。# lsmod |grep igbigbvf 46485 0igb 215727 0启动对SR-IOV支持（对于千兆网卡，max_vfs可以设置的值应该是0 <...

PCI Passthrough技术是虚拟化网卡的终极解决方案，能够让虚拟机独占物理网卡，达到最优性能，可以在网卡性能要求非常高的场景会用。但是要想迁移虚拟机，就很困难。lspci |grep Ethernet |grep Intel03:00.0 Ethernet controller: Intel Corporation I350 Gigabit Network Connection (rev 01)03:00.1 Ethernet controller: Intel Corporatio

先说结论吧！公司测试环境：192.168.111.0/24（A网段） 192.168.110.0/24（B网段），当然还有其他网段以及办公网。A网段中，有一台Windows Server 2008 虚机（主机A）可以被办公网以及其他所有网段访问，但是B网段除外！而其他110网段的机器可以被正常访问。首先，怀疑该机设置了源地址访问控制，但是并没有！然后，查看该机的网络配置，发现子网掩码配置成了255.255.254.0于是乎，一切都明朗了！因为该子网掩码会自动生成一条优先级要比默认网关

只能进行二层通信，ping网关不通，无法进行三层通信。重启network服务 --- 无效重启系统 --- 无效网络其他配置都正常然后，添加了一个新网卡，关闭旧网卡，重启network服务提示没有被NetworkManager管理。。至此，才发现是NetworkManager捣的鬼。关闭该服务：service NetworkManager stopchkconfig NetworkManager offcentos6上的NetworkManager和后面centos8..

　 　 　 数据包 　 应用层 　 　 TCP头：源端口+目的端口 数据包 　 传输层 　 IP头：源IP地址+目的IP地址 TCP头：源端口+目的端口 数据包 　 网络层 Ethernet头：源MAC+目的MAC IP头：源IP地址+目的IP地址 TCP头：源端口+目的端口 数据包 　 链路层 1、telnet应用封装telnet程序请求信息，作为数据包传送给下...