最近新到了20多台服务器，要组个大模型训练集群，因为之前没有相关的经验，特写一遍文章记录相关操作以备不时之需集群类型：负载均衡集群：用于分发网络流量到多个服务器，提高服务的可用性和响应速度。高性能计算集群：用于提高计算能力，通常用于科学计算和数据分析。高可用性集群：确保关键服务的高可用性，通常包括冗余的硬件和软件。分布式存储集群：用于提供大规模的数据存储服务，如SAN或NAS。选择操作系统：根据您的需求选择合适的操作系统，如Linux发行版（如CentOS、Ubuntu、欧拉、麒麟）、Windows Server等。硬件规划：确保所有服务器的硬件配置相似，以便于管理和维护。 考虑网络硬件，如交换机、路由器和负载均衡器。网络配置：设计网络拓扑，确保所有服务器都能高效通信。 配置IP地址和子网掩码，以及必要的路由和负载均衡策略。集群软件：选择合适的集群软件，如Apache Hadoop、Kubernetes、OpenStack等。 安装和配置集群管理软件，如Cloudera Manager、Kubeadm等。存储解决方案：根据需要选择分布式存储系统，如Ceph、GlusterFS等。安全和认证：配置网络安全策略，如防火墙、SSH密钥认证等。 设置集群内部的安全认证机制，如Kerberos、OAuth等。测试和验证：在集群部署完成后，进行全面的测试，确保所有服务按预期运行。 验证集群的容错能力和负载均衡效果。监控和维护：配置监控系统，如Nagios、Zabbix、Prometheus等，以实时监控集群状态。 定期检查和更新软件，确保系统安全性和稳定性。

Contrail 的转发分为两种模式L3mode和L2_L3 mode。L3mode是完全基于虚拟机的32位IP地址进行转发，无论是跨子网的Inter-Subnet流量还是同一子网内的Intra- Subnet流量，L3 mode的转发采用MPLSoverGRE/MPLSoverUDP的封装。而在L2_L3 mode 中，同一子网内的Intra-Subnet流量是基于MAC进行转发，采用VxLAN封装，而跨子网的Inter-Subnet流量是基于虚拟机的32位IP地址进行转发，采用MPLSoverGRE/ MPLSoverUDP 的封装。在L3 mode 中，vRouter对于Inter-Subnet流量采用32位IP地址转发自然是可以理解的，而对于同一子网内的 Intra-Sunbet流量，vRouter则需要进行ARP代理，当虚拟机向同一子网其他虚拟机发送ARP Request时，vRouter会截获此请求并代理回复ARP Reply发布 vRouter网关的任播MAC地址00:00:5c:00:01:00，因此当通信开始后，vRouter即可截获所有的通信流量，然后根据目的虚拟机的32位IP地址进行路由，然后将流量的IP报文封装在MPLSoverGRE/MPLSoverUDP中，远端的vRouter收到后解掉GRE/UDP的封装，根据MPLS进行标签路由，转发给虚拟机前重新为流量添加二层包头，其源地址为vRouter网关的任播MAC地址00:00:5e:00:01:00，目的地址为目的虚拟机的MAC地址。因此，在 L3 mode中，虚拟机的ARP表中，和自身处于同一网段所有IP地址都被解析为了同一个 MAC地址00:00:5e:00:01:00，这也是将L2转发转化为L3转发的一般实现方法。在L2_L3 mode中，对于Intra-Subnet流量和Inter-Subnet流量，两者的处理办法是有所不同的。对于Intra-Subnet流量，vRouter表现为交换机，vRouter不会代理回复ARP Reply,而是通过头端复制的方式在该子网进行泛洪(这一点的实现其实不是很好，即使 vRouter 不去代理回复ARP Request，也可以将该ARPRequest定向封装单播到目的虚拟机所在的远端vRouter,来避免泛洪造成的开销)，但是与传统二层交换机的区别是vRouter会通过XMPP学习MAC路由而非自学习，通信开始后vRouter会根据学习到的租户MAC路由表来进行二层转发，数据平面的封装采用VxLAN。对于Inter-Subnet流量，L2_L3 mode 的处理方式与L3 mode的处理相同，都是基于32位IP地址进行转发，由于VxLAN内部只能支持L2，因此L2_L3mode下Inter-Subnet流量也只能采用MPLSoverGRE 或者 MPLSoverUDP 的封装。2.服务链流量的处理对于服务链,Contrail从最开始的版本就开始提供了支持，主要是面向运营商接入网和移动核心网的场景设计的，当然数据中心内部的服务链也是自然可以提供支持的。Contrail使用BGP策略来引导服务链流量(draft-fm-bess-service-chaining)，实现方式有两种:1)在服务链路径上的每一跳都使用不同的SFCVRF，如果服务链上有N个节点，那么它就需要使用N-1个VRF，这种方式称为TransitVNModel。Transit VNModel中，控制器向服务链各跳中的egress VRF下发BGP路由将流量送给该跳的ingress VRF2)在服务链路径上只使用流量源所在的VRF和流量目的所在的VRN Two VN Model.Two VN Model中vRouter通过两个VRF来识别SFC流量，然后通过修改BGP下一跳来引导流量。  图4-57 中，租户Red中的VM Red_1A发向Internet间的通信需要依次经过服务节点   subsVM SL_A和VM SI_B的处理，那么在Two VNMode1方式中的转发流程为:Red_1A发出 数据包到vRouter 1上，被识别为VRFRedRed中的流量并从tapX端口送到SI_A的左臂,SL_A完成处理后从右臂送到vRouter1的tapY端口，被识别为VRF Internet:service<SC_ID>_SI_A中的流量并标记label-37送给vRouter 2.vRouter 2匹配 LFIB剥掉label并从 tapZ端口送到SL_B的左臂，SI_B完成处理后从右臂送到vRouter 2的 tapT端口，被识别为VRF Internet-Internet中的流量并标记label=90送给DC GW，之后DC GW再 swap label 送到相邻的 ABSR上。对于Red_1B来说，它发向Internet间的通信需要依次经过SLA和SI_B的处理，Red_IB发出数据包到vRouter2上，被识别为VRFRed:Red 中的流量并标记label=35送给vRouter 1，vRouter 1匹配LFIB剥掉label 并从 tapX端口送到 SI_A的左臂，后面的处理就是一样的了，此处不再赘述。实际上通过修改BGP下一跳的方式对于某些需要精细匹配的服务链场景来说是不够的，因为BGP路由只能匹配目的IP地址，因此需要Contrail需要通过XMPP来模拟 BGP FlowSpec的语义，以实现传统服务链的PBR能够支持的流量识别粒度，实际上这也就趋同于OpenFlow中的NTuple Match 和 Output Action了。对Contrail 的介绍就到这里了，其技术思想的精华可以概括为以下几点:数据平面使用 vRouter 而非vSwitch，从而为网络带来了很多特性支持;Contrail的控制器是分布式的，三类控制模块(Configuration、Control、Analytics)的功能切割与实现解耦为系统提供了完整、清晰的架构;控制平面使用了BGP和类BGP的XMPP，获得了良好的兼容性、可用性和扩展性;服务的功能最开始设计时即被提出，并在各个版本不断进行完善。Contrail的技术轮廓早在2013年就已经形成了，直至今天来看其设计理念和技术架构仍然是业界领先的，无愧于“SDN的技术担当”，希望在市场方面Contrail和OpenContrail未来能有更好的表现。

概念：  TCP传输时每一步都需要进行确认，当传输出错或丢包时，就进行重传，确保了文件传输的正确性。而对于语音、视频等多媒体信息及实时性信息，都使用UDP传输，一旦发现传输有错就简单地丢弃，但当丢弃的包达到一定数量时，传输的质量将会受到严重影响。服务质量(Qualityof Service，QoS)是指在连接点之间某些传输连接的特征，它定义了有关连接性能的一些属性，反映了传输质量及服务的可用性。QoS和CoS(Class of Service)不完全相同，CoS只是将业务区分开，没有准确定义每一个服务的级别，CoS既包含了已经标准化的特性，也包含了其他一些已有效但还没有标准化的业务。但QoS的含义明确，可用一些参数来描述，如连接建立延迟、连接建立失败、吞吐量、输送延迟、残留差错率、连接拆除延迟、连接拆除失败概率、连接回弹率、运输失败率、抖动和丢包率等。用户可以在连接建立时指明所期望的、可接受的或不可接受的QoS参数值。   QoS是网络性能的一种重要体现，它是指通过对资源的分配调度，来保证用户的特定要求。简单来说,QoS能够对数据包进行合理的排队，对含有内容标识的数据包进行优化，并对其中特定的数据包赋予较高的优先级，从而加速传输的进程，并实现实时交互，这可以解决网络带宽本身不能解决的网络拥塞问题。QoS所追求的传输质量是:数据包要到达目标地址，并且要保证数据包的顺序性、完整性和实时性，通过Qos，网络可以按照业务量的类型或缓别加以区分，并能够依次对各级别进行处理。 QoS旨在针对各种应用的不同需求，为其提供不同的服务质量，例如，提供专用带宽、减少报文丢失率、降低报文传送时延及时延科动等。OoS包含下面三种含义，①对通信子网来说,QoS表现为数据传输速率高，误码率低，   对服务提供商来说，QoS表现为用户对服务的满意程度，②对于网络传输技术，QoS表现为数据流的优先级区分，资源预留等; QoS主要是通过取某些策略，在现有资源的基础上，提高资源的利用率，从而改变服 务质量的，QoS主要的度量参数如下。 1)连接建立延迟    连接建立延迟是指在连接请求和连接确认之间允许的最大延迟(时间间隔)。     2)连接失败概率 连接失败概率是指在一次请求建立连接的过程中，失败总数与连接建立的全部尝试次数之比。连接失败主要是指因为服务提供者的原因，造成在规定的连接建立延迟时间内所请求的连接没有成功，但由于用户的原因而造成的连接失败不算在内。3)业务可用性 业务可用性是指用户到Internet业务之间连接的可靠性。4吞吐量 吞吐量是指在某段时间间隔内传输用户数据的字节数，可用最大速率和平均速率表示，5)输送延迟 输送延迟是指在发送和接收数据包之间的时间间隔。6)残留差错率 残留差错率是指在测量期间，所有错误、丢失和重复的用户数据，与用户所求的数据之比。残留差错率是传输失败总数与传输样本总数之比。7)连接拆除延迟 连接拆除延迟是指从用户发起拆除请求到成功地拆除连接之间允许的最大延迟。8)连接拆除失败概率 连接拆除失败概率是指拆除请求失败次数与拆除请求总次数之比。9)连接保护 连接保护是服务提供者为防止用户信息被非法用户监视或操作而采取的措施，保护选项有:无保护特性，被动监视的保护，针对增加、删除和改动的保护等、10)连接优先权 连接优先权是指针对用户的不同应用提供不同的连接优先级的方法。11)连接回弹率 连接回弹率是指在规定的时间间隔内，服务提供者发起的连接拆除(即没有连接拆除请求而进行的连接拆除)的概率， 通常，用户使用连接建立原语，并在用户与传输服务提供者之间协商QoS,协商过的 QoS适用于整个传输连接的生存期。但主呼叫用户请求的QoS可能被运输服务提供者降低，也可能被呼叫用户降低。根据用户要求和差错性质，网络服务按质量可分为以下三种类型:①A型网络服务，具有可接受的残留差错率和故障通知率; ②B型网络服务，具有可接受的残留差错率和不可接受的故障通知率③C型网络服务，具有不可接受的残留差错率。

  VPN 中传输的是企事业单位或公司的内部信息，因此数据的安全性非常重要。VPN保证数据的安全性主要包括三个方面:身份验证(Authentication)、数据保密性(Confidentiality)、数据完整性(Integrity)。身份验证能保证数据是从正确的发送方传输过来的:数据保密性确保数据传输时外人无法看到或截获数据；数据完整性确保数据在传输过程中没有被非法改动过，能够原样到达目的地。    VPN网络中通常还有一个或多个安全服务器，它们除了提供防火墙和地址转换功能，还通过与隧道设备的通信提供加密、身份验证和授权功能，同时也提供带宽、隧道终点、网络策略和服务等级等信息。一个有VPN能力的设备可以承担多项VPN服务，例如，企业可以把拨号访问交给 ISP去做，而自己负责用户的、访问控制、网络地址的审核、安全性和网络变化的管理等工作。   目前VPN 主要采用下面几种技术隧技术(Tunneling)、加解密技术(Encryption & Deoryption)、QoS技术、密钥管理技术(Key-management)和身份认证技术(Authentication), 1.隧道技术 拨号上网方式采用PPP协议，数据包通过专用线路传输。而在VPN中，用隧道替代了实际的专用链路。隧道技术是VPN的基本技术，类似于点对点连接技术，它在公用数据网中建立一条数据通道(隧道)，让数据包通过这条隧道传输。 2.加密技术 数据加密通过变换信息的表示形式来伪装需要保护的数据，使非授权者不能看到被保护信息的内容。加密算法有用于Windows 95的RC4、用于IPSec 的 DES 和三次 DES.RC4 强度比较弱,而DES和三次DES强度比较高，可用于敏感的商业信息。 加密技术能用在协议的任意层，可以对数据或报文头进行加密。在网络层中的加密标准是IPSec，网络层加密最安全的方法是在主机的端到端间进行加密。另一个加密技术是隧道模式，加密只在路由器中进行，而终端与第一跳路由之间不加密。这种方法不太安全，因为数据从终端系统到第一条路由时可能被截取，在数据链路层中，目前还没有统一的加密标准，所有链路层加密方案基本上都是生产厂家自己设计的，需要特别的加密硬件。 3.QoS 技术 通过隧道技术和加密技术，已经建立了一个具有安全性、互操作性的VPN.但是VPN性能不稳定，管理上可能不能满足企业的要求，这就需要加入QoS技术，才能建立一条符合 用户要求的隧道QoS技术能对网络资源分配进行控制，以满足应用的需求。Qos有通信处理机制、供应和设置机制。 

直播间问答1. 第一个问题是命令行模板有哪些能力呢？    ——命令行模板是基于设备命令行格式做了增强，各厂商设备的命令行格式都支持，主要增强四个能力：变量定义、变量约束、if控制语句、for控制语句。2.巡检项定义完成后怎么知道是不是正确的？如果不正确，能知道哪个地方不正确吗？   ——针对巡检项的验证场景，我们提供测试功能，帮助用户验证、调测问题。巡检项定义完成后，用户可以点击测试功能，选择一个在线的设备验证。测试结束后结果信息很丰富，会把关键数据渲染成不同颜色，例如匹配有差异的显示为红色，匹配正确的显示为绿色，帮助用户快速确认和找到问题。3.巡检项能校验两个变量之间的关系吗？    ——能验证。网络巡检功能是在AOC框架上构建的，也具备了开放可编程的能力，两个变量或者更多变量之间的关系都可以校验。简单来说分为两步，第一步用户需要在AOC中导入一个新的SSP包，SSP包由用户开发，在SSP中提供一个校验函数。 第二步定义巡检项，在变量约束中选择函数类型，系统会关联查询出校验函数名称，通过下拉框选择需要的函数即可。巡检时系统会调用SSP中的函数，把匹配到的变量传入到函数中，根据函数返回值检查是否正确。4.网络巡检任务在执行时命令行时会对设备有影响吗？   ——这个对设备没有影响，首先巡检功能下方的命令行会拦截写操作，只能下发读操作，所以是不会修改设备上的任何配置。其次，考虑到频繁的读操作会对设备CPU有一定的压力，我们做了双重保障，第一是短时间之内不允许多次执行重复命令，另一方面相同的命令会在系统缓存一段时间，减少设备的访问次数，所以对设备是没有影响的。5.试用一下网络巡检，到哪里可以体验？   ——网络巡检体验环境预计10月上线数通网络开放可编程社区中，请大家关注社区获取最新动态。精彩问题1. 网络巡检对ipv6的业务配置或者连通性测试支持吗？    ——如果知道ipv6业务在设备上预期的配置就可以检查。当前网络巡检的主要作用是检视设备的资源状态或网络配置，不支持连通性测试。2. 巡检出问题后，有无响应的整改建议呢？   ——整改建议需要在新建巡检项的时候手工录入，如果没有录入则无整改建议。3.这个怎么收费？   ——需要购买数字地图基础包License，巡检项可以由客户自定义，如需定制按照专业服务收费。 直播回顾回放地址：https://devzone.huawei.com/cn/enterprise/aoc/videos/index.html?id=166&number=1&from=allVideos3

一、背景和现状随着教育部《教育信息化 2.0 行动计划》的提出，以“三全两高一大”为目标。深化课程与教学改革、提升教育治理能力为重点。以智能学习环境为支撑，以数据安全为保障，推进“互联网+”的智慧校园建设。智慧校园是对数字化校园的进一步扩展与提升，是综合运用云计算、物联网、移动互联、大数据、人工智能等新兴技术给教育信息化带来的变化，让智慧教育与信息化进一步融合。其中智慧教学环境是基础，而网络作为智慧校园的基础设施，唯有与学校的业务紧密结合，才能更好地支撑学校日益丰富的应用建设。二、需求分析·学校基础设施种类多，网络复杂：有线网、无线网、设备监控网、物联网。广播、一卡通、门禁等各种应用终端，网络管理及其复杂。·改善学生教学环境，体现智慧校园：教室中的教学环境需要更加自动化、智能化，提升老师的教学效率，改善学生的教学体验。·教学应用上线慢机房设备维护复杂：数据中心按照应用上线，一台服务器一个应用，浪费资源，并且应用上线需要服务器的一系列的操作，上线麻烦。·学校的各种PC桌面需要更高效的服务于教学：老师教学U盘资料拷贝读取不方便，学校的计算机教室教学应用不智能·智慧校园信息化，需要更加安全可靠：需要根据等保2.0的安全标准对学校的IT信息化业务做统一保障。·IT基础信息化需要智能运维：需要简单、高效、可视化的运维管理措施提前发现问题，快速解决故障。三、解决方案1.三网合一·集中管理：有线网、无线网、物联网三张基础传输网络深度融合统一控制。·使用方便：全部采用WEB页面配置控制，包括设备上线、配置、认证、调试等。·兼容性强：可并入原有网络，与安全设备融合，统一认证，统一管理。·扩展性强：平台扩展性强，控制器统一对接，能扩展更多应用。2.Sec Campus园区网方案·极简架构、网络上线快：设备采用信锐独有的“SDP”技术快速上线，一套校园网可10分钟内完成自动部署上线。·海量终端高效接入：基于IP、类型、位置、时间等4元素，终端接入批量审批，快速安全上线。·ITSE东西向流量安全：可对网络内部安全进行记录、识别、呈现、隔断，保证基础通信安全。·运维简单：可视化运维管理，在同一个控制平台上对三网进行维护，降低维护成本，提高整体的稳定性，减少故障率。可支持APP远程运维，跨互联网运维管理。3.全场景Wi-Fi6无线方案·基于校园不同场景全覆盖：高密AP平板教室、图书馆、大礼堂、食堂；普通AP传统教室、实训楼。面板AP办公室、宿舍、公寓；室外AP操场、室外公共区域等。·Wi-Fi6无线：不同场景AP全系升级支持WIFI6最新协议，满足未来应用和发展。·无线安全防护：DDOS防御、ARP扫描、IP扫描、防钓鱼、端口扫描防御，禁止客户端私设IP等等，对典型的危险攻击行为者加入到黑名单中，即时发现网络攻击并进行防御。·多种认证方式：支持校内老师BYOD认证，外来访客微信小程序认证、短信认证、APP认证等。4.云、网、端整体安全方案·交换机、无线、物联网底层安全：网络层东西向流量内部安全，可识别、记录、呈现、隔断。·深信服等保全套安全设备：防火墙、上网行为管理、数据库安全审计、终端安全、云安全、态势感知等。·云网端全设备联动：可与SIP态势感知平台深度联动，通过深信服安全设备检测到应用层攻击后指令联动网络层识别从端口以及MAC底层封杀病毒终端。5.“春蚕”软件定义教室方案·多协议物联网设备控制：采用多协议物联网网关控制智能教室内绝大设备（窗帘、空调电扇、灯光、门锁、投影、一体机、电子班牌等）。·智慧教室环境检测：通过环境传感器采集，联动红外遥控智能插排开启空调、加湿器、空气净化器等自动调节教室环境。·一键情景化环境：通过灯光、窗帘、红外、智能插排等做到“上课、下课、影音、午休”等一键实现教室不同场景控制。·统一平台分级管理：通过物联网三合一控制器，平台对所有教室进行统一检测，统一管理，统一展示。6.校园智能环境监控调节方案·温湿度、空气质量等环节监控：通过温湿度、CO2、甲醛和VOC等传感器，实现对校园环境的监测，确保温湿度和空气质量保持在优良水平，使得教师和学生处在绿色健康的环境之中。·机房弱电间环境管理：通过机房动环监控系统对机房设备及环境情况进行实时监控，并根据具体风险级别设置分级告警，通过多种方式传递告警信息，实现告警必达。·安防监控：可对校园安防监控，用电火灾等，统一安全管控，系统通过短信、app报警通知管理人员。·用电节能：通过智能空开插座，对全校用电实时检测，统一控制，节能环保。

一、背景和现状教育部2018年4月13日发布的《教育信息化2.0行动计划》，提出2022年基本实现“三全两高一大”的发展目标。新技术的慢慢成熟，促使“互联网+教育”创新教育和学习方式：网络教育、人工智能。《教育信息化“十三五”规划》收官工作：2020年为最后一年，目前已进入“研制教育信息化中长期发展规划（2021-2035年）和“十四五”规划”中。智慧校园是对数字化校园的进一步扩展与提升，是综合运用云计算、物联网、移动互联、大数据、人工智能等新兴技术给教育信息化带来的变化，让智慧教育与信息化进一步融合。其中智慧教学环境是基础，而网络作为智慧校园的基础设施，唯有与学校的业务紧密结合，才能更好地支撑学校日益丰富的应用建设。二、需求分析对智慧校园的整体认识的局限性，即网络融合、数据融合、服务融合与管理服务建设力度不够。基础实施建设不平衡：有线网络、无线网络、服务器与存储平台、数据库与中间件、射频设备和传感设备等配置不均衡，不足以支撑学校信息化建设与发展。学校基础设施种类多，网络复杂：有线网、无线网、设备监控网、物联网。广播、一卡通、门禁等各种应用终端，网络管理及其复杂。改善学生教学环境，体现智慧校园：教室中的教学环境需要更加自动化、智能化，提升老师的教学效率，改善学生的教学体验。信息孤岛和应用孤岛严重，无法实现数据的实时共享：需加强建设与应用的协同，为智慧教育提供支撑。以用户为中心，内涵式发展。智慧校园信息化，需要更加安全可靠：需要根据等保2.0的安全标准对学校的IT信息化业务做统一保障。同教育教学及科研结合还不够密切：很多情况下只是提供了简单的信息查询和交互平台，其管理也是自上而下单向的信息传输，没有对这种信息化成果作为新的管理模型的意识。三、智慧校园整体解决方案1.智慧校园基础架构——Sec Campus园区网方案极简架构、网络上线快：设备采用信锐独有的“SDP”技术快速上线，一套校园网可10分钟内完成自动部署上线。海量终端高效接入：基于IP、类型、位置、时间等4元素，终端接入批量审批，快速安全上线，ITSE东西向流量安全：可对网络内部安全进行记录、识别、呈现、隔断，保证基础通信安全运维简单：可视化运维管理，在同一个控制平台上对三网进行维护，降低维护成本，提高整体的稳定性，减少故障率。可支持APP远程运维，跨互联网运维管理。2.智慧校园基础网络——全场景WI-FI6无线方案基于校园不同场景全覆盖：高密AP阶梯教室、图书馆、大礼堂、食堂；普通AP传统教室、实训楼。面板AP办公室、宿舍、公寓；室外AP操场、室外公共区域等。Wi-Fi6无线：不同场景AP全系升级支持WI-FI6最新协议，满足未来应用和发展。无线安全防护：DDOS防御、ARP扫描、IP扫描、防钓鱼、端口扫描防御，禁止客户端私设IP等等，对典型的危险攻击行为者加入到黑名单中，即时发现网络攻击并进行防御。多种认证方式：支持校内老师BYOD认证，外来访客微信小程序认证、短信认证、APP认证等。3.智慧校园——数据中心方案数据中心机房动环检测：满足等保2.0标准，对学校数据中心机房同一动环物联网监控保证机房环境安全。数据中心超融合：aCMP云管平台提供整体数据中心硬件设备管理，虚拟机内部集成NFV安全，采用所画即所得对整体业务编排提高部署效率。4.智慧校园教学支撑——“春蚕”软件定义教室方案多协议物联网设备控制：采用多协议物联网网关控制智能教室内绝大设备（窗帘、空调电扇、灯光、门锁、投影、一体机、电子班牌等）智慧教室环境检测：通过环境传感器采集，联动红外遥控智能插排开启空调、加湿器、空气净化器等自动调节教室环境。一键情景化环境：通过灯光、窗帘、红外、智能插排等做到“上课、下课、影音、午休”等一键实现教室不同场景控制。统一平台分级管理：通过物联网三合一控制器，平台对所有教室进行统一检测，统一管理，统一展示。5.智慧校园——整体立体化安全符合等保2.0建设标准：从上层设计到整体项目实施，持续保护，不止合规。安全可视能力、持续检测能力、协同防御能力出口安全：通过AF下一代防火墙、AC、以及云协同，对学校的服务器应用、用户提供整体出口安全保障。数据中心安全闭环：通过云端安全云脑、内部安全设备、SIP安全感知平台、服务器终端安全EDR。统一对数据中心安全进行保护。安服能力：构建三级安全专家以及安全运营中心，协助用户构建漏洞管理、威胁监测与主动响应、应急响应三大运营机制，实现安全的闭环。6.智慧校园——楼宇智能化智慧安防：可对校园安防监控，用电火灾等，统一安全管控，系统通过短信、app报警通知管理人员。智慧用电：通过智能空开插座，对全校用电实时检测，统一控制，节能环保。智慧消防：消防管网压力监测、水泵房温湿度监控、水泵房漏水监测，水压异常历史查询与告警，统一监测平台。智慧办公：上班前自动开启办公室内空调、饮水、打印机，会议开启前自动开启投影仪、幕布、电脑等，全程智能化管控温湿度、空气质量，提高工作效率。智能环境：通过温湿度、CO2、甲醛和VOC等传感器，实现对校园环境的监测，确保温湿度和空气质量保持在优良水平，使得教师和学生处在绿色健康的环境之中。智慧校园IT分析数据展示平台三网合一统一管理，统一应用。Sec Campus园区网快速上线，极简运维。全系列WI-FI6无线满足未来应用，超融合数据中心，“云网端”立体防护控安全，SDC春蚕软件定义智慧教室。全校物联网智能楼宇控制消防、安防、用电、环境。统数据分析，构建大数据平台，形成学校IT画像，全面打造新一代高职校智慧校园网络。

介绍：智慧校园应该有什么？整体方案：智慧校园整体架构·  教室智能管控 春蚕校园教室联动系统，便于老师采用多形式的互动教学方法，帮助老师更简单、轻松地开展个性化教学、探索式教学。·  用电设备智能管控可对灯光等设备开关进行定时。在控制方式上节约能源时，还能体现系统的人性化。例如学校放假，统一时间段关闭教学楼栋的灯光。不止于灯光管控，信锐春蚕校园还可对设备使用情况实时监测统计，异常情况及时呈现告警报表，帮助管理人员快速定位故障，进行故障排查。·  环境智能管控环境监测系统可以检测到包括温度、湿度、光照强度、空气质量等各个方面的环境参数，还可以和相应设备联动，对室内环境进行调节。·  能耗智能管控用电系统能耗统计排行、趋势走势、每日耗电量统计等，校园用电能耗后台智能分析，辅助学校进行进一步的节能减排策略。·  用电安全管控通过平台可以实时发现电气线路和用电设备存在的安全隐患（如：线缆温度异常、短路、过载、过压、欠压及漏电等）。信锐物联网方案可以限制使用大功率电器。设定功率限额,超出限额则蜂鸣器进行报警，立即或延迟1分钟断电，并推送App警告消息给宿舍管理员确保用电安全，从而实现校园用电安全全面保障。·  门锁智能管控智能门锁可对接校园一卡通系统，进行整体的门锁的运行状态的统计，包括环境内的门锁运行情况、门锁开关人员、是否有门锁故障、门锁开关的数量都会进行精准的数据统计。

 【直播回顾】 回放地址：https://devzone.huawei.com/cn/enterprise/aoc/videos/index.html?id=166&number=1&from=allVideos3精彩问答：cid:link_1获奖名单公布一.直播前报名有奖二.直播中直播间有奖抽奖轮次姓名礼品第一轮木xx、张x、白xx“网络巡检”变色水杯第二轮吕x、李xx、顾xx“网络巡检”安全靠枕第三轮李xx、朱xx、张xAOC定制表情包抱枕三.直播后回顾有奖序号昵称礼品1nukinsanAOC定制表情包抱枕被2我中奖了3zyuncle4李昌运恭喜所有中奖的用户，请于10月15日前联系AOC服务体验官（微信：huawei520aoc）进行礼品发送登记，过时将不进行礼品的补发，感谢支持。完成登记的用户已安排发送，请继续期待下次iMaster NCE's AOC的活动吧~-----------------------------------------------【直播预热】videovideovideovideovideovideovideovideovideo活动时间：2023年8月21日—2023年8月29日     Num1.抽取15%的报名盖楼用户送出网络巡检 安全靠枕。Num2.报名盖楼人数达到50人，将加抽2名幸运用户送出50元京东卡券。               报名盖楼人数达到100人，将加抽1名幸运用户送出100元京东卡券。直播报名链接：cid:link_2系统默认使用华为帐号登录，如果您使用的是support帐号、JDC帐号，建议切换为“华为官网帐号”进行登录点击上述链接报名成功后盖楼，回复：报名截图+华为云开发者账号。报名截图举例：*注意：重复盖楼信息以第一次盖楼为主，不可恶意刷楼。如有无法上传图片问题，可以将图片大小控制在100k以下尝试，或联系体验官解决直播前报名活动参加完后，请继续向下参与其他活动哦~活动时间：8月29日19:00-20:00​ 官方直播链接：cid:link_3直播过程中，登录华为云官方直播间，按照小助手发布的抽奖口令，进行互动抽奖，共3轮抽奖环节。礼物有“网络巡检”定制靠枕、“网络巡检”变色水杯及AOC定制表情包抱枕被。​​活动时间：2023年8月30日—2023年9月15日​直播结束后，在本贴下晒出您的学习反馈，专家将根据优质回复内容送出AOC定制表情包抱枕被。您的学习反馈可以是：▷ 你通过本次直播新掌握的一个知识点▷ 您在本次直播的操作演示中，印象最深的一个步骤▷ 您对本次直播中“网络巡检”功能的感受或疑问▷ 您对本次直播中“网络巡检”功能的改善性建议....快来反馈参与吧~--------------------------------------------------------------------  注意事项：1. 本帖不关闭评论区功能，超出活动时间视为活动失效。2.中奖用户请及时关注中奖信息与活动截止时间，活动结束后20天内发送礼品。9月30日前不进行礼品快递信息登记的用户视为中奖无效，不补发礼品。中奖用户可添加AOC服务体验官微信（vx：huawei520aoc），进行礼品登记与跟踪。3 本活动最终解释权归iMaster NCE's AOC社区所有。————  关于我们 ————iMaster NCE's AOC (Agile Open Container)集成了华为网络云化平台，以及从网络运维中抽象总结出的业务框架，以Yang模型为基础，提供了对网络的开放可编程能力。iMaster NCE's AOC已经广泛的应用于中国银联、华为云等网络中。中国银联：华为iMaster NCE's AOC有效解决了金融行业在自动化转型过程中的痛点问题，满足了Bank4.0时代智能金融服务对网络平稳支撑的诉求。华为云：在华为云项目中，iMaster NCE's AOC完美匹配了南北向快速集成和网络变更自动化高可靠的需求，显著提升了运营效率。  中英文社区首页入口：    中文版社区      /    英文版社区 邮箱联系： aocconsult@huawei.comiMaster NCE's AOC服务体验官微信：huawei520aoc

如图，R1是公司的出口路由器，如果我们希望实现PC1可以访问Internet上的server1，通常是在R1和ISP设备上配置静态路由或者跑动态路由协议，但是运营商的路由器不可能给我们配置，另一个原因就是企业都是使用的是私网地址，运营商在路由器上写了去往所有的私网地址的黑洞路由，所以无法访问的。二、补充公网地址：由运营商分配给用户，不同的站点之间是不可以重复使用，公网地址可以用来上网，使用是付费的私网地址：用户自己规划，不同的站点之间是可以重复使用的，不可以用来上网，使用是免费的要想实现访问server1必须在出口路由器配置NAT（网络地址转换）技术，方能访问NAT也分为几种1. NO-PAT 2. NAPT 3.Easy-IP（一）NO-PAT第一种NAT叫做NO-PAT，地址池转换模。我们需要向运营商购买公网IP地址，也就是购买宽带，企业购买的宽带会比家庭用户的费用会高，因为企业的公网IP地址是静态的，家庭用户的是动态的。购买到的公网IP地址需要配置在NAT地址池中。比如我们向中国电信购买了2个公网IP地址，202.1.1.100-202.1.1.101，那么我们需要把这两个IP地址配置到NAT地址池中除此之外，还需要配置ACL，最后在出口（也就是连接ISP的接口调用）那么这里为什么需要配置ACL呢？在实际环境当中，并不是所有的员工需要上网，因为我们需要通过ACL把不需要上网的流量给筛选掉。这样配置完就可以了上网了但是有一个问题：no-pat是有多少个主机需要上网就需要用掉多少个公网IP地址，如果有100台主机需要上网，那么就需要申请100个公网IP地址，这肯定是不可能的。所以这种NAT现网中用的非常少（二）NAPT第二种NAT叫做NAPT，在转换IP地址的时候一起把传输层的端口号也一起转换了，这样可以实现，即使只有一个公网地址也可以让大量的主机同时上网，因为我们端口号范围是0-65535在配置的时候只需要在后面去掉no-pat这个参数即可，其他配置方式和no-pat一模一样（三）Easy-IP第三种NAT是Easy-IP，上面两种方式有一个共同的特点，那就是需要配置NAT地址池，换言之，需要有额外的公网IP地址，而且还得是静态的，在一些场景下，可能满足不了这个条件。比如说家庭场景或者说小型门店，肯定不会去申请静态的公网IP地址，因为这样费用太高了当这种情况就可以配置Easy-IP了，Easy-IP和NAPT一样，转换IP地址和端口号，适用于没有静态公网地址的场景，像我们的PPPoE就是这一种场景Easy-IP的原理为：在转换地址的时候直接转换出接口的IP地址，因为出口地址也属于公网地址，配置也是很简单当然，也需要和NAPT一样，需要先配置好ACL综上所述三种NAT方式解决的问题是如何让内部主机访问Internet上的主机，反之，要是Internet上的用户想主动访问内部的主机，比如HTTP服务器，该如何实现呢？

您好，我们想通过容器内的APP程序查询获取到通信链路的中继等级、衰减和信噪比等参数，实现对通信链路状态的监控，但查阅了《边缘计算网关二次开发指南（AR502H-CN）》，未找到相关方法，请专家提供技术指导，感谢

Iperf 测试指导1 Iperf 介绍Iperf是一个网络性能测试工具。Iperf可以测试最大TCP和UDP带宽性能。Iperf具有多种参数和UDP特性，可以根据需要调整。Iperf可以报告带宽，延迟抖动和数据包丢失。软件官网：cid:link_22 Iperf软件2.1 Iperf windows 端工具（exe文件，无需安装）2.2 Iperf 手机端工具---networktools3 Iperf软件性能测试3.1 软件使用指导3.1.1 Windows端进入iperf3.exe所在目录， 空白处 shirt+鼠标右击，选择 在此处打开命令窗口；3.1.2 IPerf3服务器端和客户端共用参数命令行选项描述-f, –format [bkmaBKMA]格式化带宽数输出。支持的格式有：‘b’ = bits/sec ‘B’ = Bytes/sec‘k’ = Kbits/sec ‘K’ = KBytes/sec‘m’ = Mbits/sec ‘M’ = MBytes/sec‘g’ = Gbits/sec ‘G’ = GBytes/sec‘a’ = adaptive bits/sec ‘A’ = adaptive Bytes/sec-i, –interval #设置每次报告之间的时间间隔，单位为秒。如果设置为非零值，就会按照此时间间隔输出测试报告。默认值为零。-l, –len #[KM]设置读写缓冲区的长度。TCP方式默认为8KB，UDP方式默认为1470字节。-m, –print_mss输出TCP MSS值（通过TCP_MAXSEG支持）。MSS值一般比MTU值小40字节。通常情况-p, –port #设置端口，与服务器端的监听端口一致。默认是5001端口，与ttcp的一样。-u, –udp使用UDP方式而不是TCP方式。参看-b选项。–w, –window #[KM]设置套接字缓冲区为指定大小。对于TCP方式，此设置为TCP窗口大小。对于UDP方式，此设置为接受UDP数据包的缓冲区大小，限制可以接受数据包的最大值。-B, —bindhost绑定到主机的多个地址中的一个。对于客户端来说，这个参数设置了出栈接口。对于服务器端来说，这个参数设置入栈接口。这个参数只用于具有多网络接口的主机。在Iperf的UDP模式下，此参数用于绑定和加入一个多播组。使用范围在224.0.0.0至239.255.255.255的多播地址。参考-T参数。-C, –compatibility与低版本的Iperf使用时，可以使用兼容模式。不需要两端同时使用兼容模式，但是强烈推荐两端同时使用兼容模式。某些情况下，使用某些数据流可以引起1.7版本的服务器端崩溃或引起非预期的连接尝试。-M, –mss #[KM}通过TCP_MAXSEG选项尝试设置TCP最大信息段的值。MSS值的大小通常是TCP/ip头减去40字节。在以太网中，MSS值 为1460字节（MTU1500字节）。许多操作系统不支持此选项。-N, –nodelay设置TCP无延迟选项，禁用Nagle’s运算法则。通常情况此选项对于交互程序，例如telnet，是禁用的。-V (from v1.6 or higher)绑定一个IPv6地址。服务端：$ iperf -s –V客户端：$ iperf -c <Server IPv6 Address> -V注意：在1.6.3或更高版本中，指定IPv6地址不需要使用-B参数绑定，在1.6之前的版本则需要。在大多数操作系统中，将响应IPv4客户端映射的IPv4地址。3.1.3 Iperf3客户端参数命令行选项描述-b, –bandwidth #[KM]UDP模式使用的带宽，单位bits/sec。此选项与-u选项相关。默认值是1 Mbit/sec。-c, –client host运行Iperf的客户端模式，连接到指定的Iperf服务器端。-d, –dualtest运行双测试模式。这将使服务器端反向连接到客户端，使用-L 参数中指定的端口（或默认使用客户端连接到服务器端的端口）。这些在操作的同时就立即完成了。如果你想要一个交互的测试，请尝试-r参数。-n, –num #[KM]传送的缓冲器数量。通常情况，Iperf按照10秒钟发送数据。-n参数跨越此限制，按照指定次数发送指定长度的数据，而不论该操作耗费多少时间。参考-l与-t选项。-r, –tradeoff往复测试模式。当客户端到服务器端的测试结束时，服务器端通过-l选项指定的端口（或默认为客户端连接到服务器端的端口），反向连接至客户端。当客户端连接终止时，反向连接随即开始。如果需要同时进行双向测试，请尝试-d参数。-t, —time#设置传输的总时间。Iperf在指定的时间内，重复的发送指定长度的数据包。默认是10秒钟。参考-l与-n选项。-L, –listenport #指定服务端反向连接到客户端时使用的端口。默认使用客户端连接至服务端的端口。-P, –parallel #线程数。指定客户端与服务端之间使用的线程数。默认是1线程。需要客户端与服务器端同时使用此参数。-S, –tos #出栈数据包的服务类型。许多路由器忽略TOS字段。你可以指定这个值，使用以”0x”开始的16进制数，或以”0″开始的8进制数或10进制数。-T, –ttl #出栈多播数据包的TTL值。这本质上就是数据通过路由器的跳数。默认是1，链接本地。-F (from v1.2 or higher)使用特定的数据流测量带宽，例如指定的文件。$ iperf -c <server address> -F <file-name>-I (from v1.2 or higher)与-F一样，由标准输入输出文件输入数据。-R反向运行，从服务器端发送数据到客户端；3.1.4 IPerf3服务器端参数-s, –serverIperf服务器模式-D (v1.2或更高版本)Unix平台下Iperf作为后台守护进程运行。在Win32平台下，Iperf将作为服务运行。-R(v1.2或更高版本，仅用于Windows)卸载Iperf服务（如果它在运行）。-o(v1.2或更高版本，仅用于Windows)重定向输出到指定文件-c, –client host如果Iperf运行在服务器模式，并且用-c参数指定一个主机，那么Iperf将只接受指定主机的连接。此参数不能工作于UDP模式。-P, –parallel #服务器关闭之前保持的连接数。默认是0，这意味着永远接受连接。3.1.5 Iperf 测试常用客户端服务器端脚本举例：组网：服务器端：IP地址地址：1.1.1.1，服务器打开iperf3，使用5201端口号；服务器端iperf脚本：iperf3 –s –i 1 –p 5201解释：-s 服务器端，-i 1  测试结果1s打印一次， -p 5201 对应服务器端口号是5201客户端：Android：iperf3 –c 1.1.1.1 –R –t 60 –P 8 –p 5201        Iphone：–c 1.1.1.1 –R –t 60 –P 8 –p 5201解释：-c 1.1.1.1 本地是客户端指定服务器地址，-R 下行流，-t 60 跑流60s停止，-P 8 跑8条流， -p 5201 对应服务器端口号是52013.1.6 傻瓜化windows版客户端和服务器端3.2 Iperf测试结果查看具体结果查看如下图：结果显示是以最终的SUM值为准， 图中测试采用的是上行打流方式，receiver 表示接收到的数据，所以最终吞吐量测试结果为7.87Mbits/sec;如果服务器仅一个iperf端口， 则该端口显示为最终结果；如果服务器起多个iperf端口， 则多个端口总和为最终结果；查看测试结果的时候注意下是sender 还是receiver，如果是sender则表示服务器发送出去的，是下行流量；如果是receiver则表示是服务器接收到的， 是上行流量；

 采用按照接口来分的 vlan，以及不同vlan之间使用 vlanif 配置进行互相通信 整个结构如下：  如图可见，这是在交换机LW7中添加了vlan2 的ip地址（也就是默认网关地址），相应的在LW5中也添加了vlan4 的默认网关地址  ​ 此时PC4和PC1能够互相通信，LW7中的路由表：   但当一旦删除LW7中的vlan2默认网关地址时，双方便不能再进行通信，LW7路由表中也少了vlan2的部分。 所以这是为什么呢？初学小白有点不太明白 

 话不多说，直接进入正题，如果有概念理解不清楚的话，可以去看文章后面的部分，我直接在前面给出计算方法。  1、用二进制数表示IP地址   在进行计算之前，我们首先要学会十进制的IP地址怎么转换为二进制的IP地址。   给出一个例子： 十进制：172.16.25.3 二进制：10101100.00010000.00011001.00000011   这就是一个简单的十进制数转二进制数，我这里给出一种比较简单的计算方法。   因为我们一个IP地址由四个八位组组成，一个八位组对应八位二进制数，而二进制又是可以由2的次幂推出，所以计算方法如下：   当然我们由二进制转十进制，只需把为1的哪些位置给加起来即可。 2、区分ip地址中的网络号和主机号的位置   我们知道，子网掩码和ip地址一样，都是由八位四元组组成： IP地址：10.0.10.63 子网掩码：255.255.255.224   先把子网掩码转换为二进制： 十进制：255.255.255.224 二进制：11111111.11111111.11111111.11100000   子网掩码中前面1的个数，为IP地址网络号的位数！！   子网掩码中有27个1 ，所以网络号也应该为IP地址的前27位，后面的32 - 27 = 5位为主机地址。  IP地址： 00001010.00000000.00001010.001|11111 #前27位的网络号位，后面为主机号位 子网掩码：11111111.11111111.11111111.111|00000   有时候可能不给出具体的子网掩码，而是给出数字27，数字27就是指网络号的位数是27位，通过27也可以算出子网掩码为：  11111111.11111111.11111111.11100000   因为27就是指子网掩码前27位都为1，后面为0. 注意，我们这里只是算出网络号和主机号的位置，而不是说IP地址的前27位就是网络地址。 3、计算网络号的三种方式 1、通过子网掩码计算出网络号所占的位数，然后把主机号部分转为0，再转十进制   以上面的例子为例： IP地址： 00001010.00000000.00001010.001|11111 #前27位的网络号位，后面为主机号位 子网掩码：11111111.11111111.11111111.111|00000   我们在IP地址中把后面5位的主机地址变为0 ，得到网络号（即网络地址）： 网络地址：00001010.00000000.00001010.001|00000   再转为十进制即可： 网络地址：10.0.10.32 2、将IP地址和子网掩码进行对位与运算   对位与运算就是同时为1时为1，其他情况均为0.   举个例子： IP地址： 00001010.00000000.00001010.00111111 子网掩码：11111111.11111111.11111111.11100000   进行对位与运算，将IP地址和子网掩码的对应位进行与运算，得到： 网络号：00001010.00000000.00001010.00100000   将二进制转换为10进制即可。   其实我们不必计算全部八位组的二进制，比如： IP地址：10.0.10.63 子网掩码：255.255.255.224   我们知道255的所有八位二进制都是为1的，1和1与运算是1，1和0进行与运算是0 ，所以255和任何数进行与运算都等于那个数本身，即和255对位的数，进行与运算之后，肯定不会变，所以就不用计算该部分的二进制了。   而0和1进行与运算是0，0和0进行与运算是0 ，所以0和任何数字进行与运算都是0，即和0对位的数，进行与运算之后，肯定是0，也不用计算二进制。例如，以上可以写为： IP地址：10.0.10.00111111 子网掩码：255.255.255.11100000   我们只需计算最后一个八位组即可。 3、不用计算，直接口算得出答案（适合于选择题） 172.20 .96 .68    255.255.192.0 255对应的部分保持不变,0对应的部分为0 得172.20.?.0 子网掩码中非255或0的部分只剩192 用256减非零部分，即256-192=64 ？部分是一个64的整数倍的数，且最接近96的整数 ？=64 172.20.64.0 例： 192.168.108.90    255.255.224.0 求网络号 192.168.？.0 256-224=32 ？部分是一个32的整数倍的数，且最接近108的整数 192.168.96.0  IP地址：10.0.10.63 子网掩码：255.255.255.224 因为我们已知网络号前三位肯定是10.0.10，所以只需计算最后一位即可。 1、先用256减去子网掩码最后一位： 256 - 224 = 32 2、口算出：不大于IP地址最后一位63，但是是32的倍数的数 这个数即为32 3、那么网络号最后一位就是32，网络号为：10.0.10.32  补充：256 - 224 = 32，如果63是32的倍数的话，则这个IP地址直接为网络号（网络地址）；如果63是32的倍数减1，那么该IP地址为广播地址；否则前面两个都不是的话，该IP地址就是主机地址。  4、计算广播地址   前面说过，IP地址主机号部分全为0的话，就是网络地址，那么主机号部分全为1的话，就是广播地址。  IP地址：10.0.10.63 子网掩码：255.255.255.224 1 2 IP地址： 00001010.00000000.00001010.001|11111 #前27位的网络号位，后面为主机号位 子网掩码：11111111.11111111.11111111.111|00000   我们可以发现，该IP地址主机号以及全部为1了，所以不用计算，该IP地址就是一个广播地址。63也是256 - 224 = 32的倍数减1。正好符合我们上面的定理。  5、一些概念 1、如果两台主机的网络号相同，我们就说它们是同一网段 2、主机号的意义 1）主机号部分全变成1，即为该网段的广播地址 2）主机号部分全变成0，即为该网段的网路地址（网络号） 3、如果主机号部分为x位，则该网络能容纳最大主机数为： 2的x次方-2。减2是减去网络号和主机号，因为同一网段中网络号和主机号是相同的，即唯一的。 6、一些题目给大家练手  例：192.168.108.90   255.255.224.0  求该网段的广播地址        法1：192.168.011   01100.01011010             255.255.111   00000.00000000  AND --------------------------------------------                              主机号部分             192.168.011   00000.00000000       将主机号部分全写成1，得                                        主机号部分             192.168.011   11111.11111111             192.168.127        .255             考试时，如要写出计算过程，用法1         法2：192.168.108.90   255.255.224.0              口算出网络号        192.168.96.0             下一网段的网络号为  192.168.128.0             下一网段网络号减1即为本网段的广播地址，即192.168.127.255  202. IP 地址10.0.10.63 和掩码255.255.255.224 代表的是一个______。          A. 主机地址              B. 网络地址                           C. 广播地址              D. 以上都不对        解法1：  10 .0   .10 .63       (001  11111)                255.255.255.224       (111  00000)                                            主机号                                          由此见主机号部分全为1，因此它是一个广播地址       解法2： 256-224=32    63是一个32的倍数减1的数  193. 要设置一个子网掩码使192.168.0.94 和192.168.0.116 不在同一网段，使用的子网掩码可能是______。       （选择一项或多项）        A. 255.255.255.192              B. 255.255.255.224                         C. 255.255.255.240              D. 255.255.255.248 ———————————————— 版权声明：本文为CSDN博主「爱吃雪糕的小布丁」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。 原文链接：https://blog.csdn.net/qq_47188967/article/details/124830369 

0x01 whoiswhois baidu.com0x02 digdig baidu.comroot@kali:~# dig baidu.com###显示 dig 命令的版本和输入的参数。; <<>> DiG 9.11.2-5-Debian <<>> baidu.com;; global options: +cmd###显示服务返回的一些技术详情，比较重要的是 status。如果 status 的值为 NOERROR 则说明本次查询成功结束。;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49934;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 5, ADDITIONAL: 6;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; MBZ: 0x0005, udp: 4096### "QUESTION SECTION" 显示要查询的域名。;; QUESTION SECTION:;baidu.com. IN A###ANSWER SECTION：相应的内容，一般会得到至少一条A记录，否则就还没定义;; ANSWER SECTION:baidu.com. 5 IN A 220.181.38.148baidu.com. 5 IN A 39.156.69.79###AUTHORITY SECTION：授权信息;; AUTHORITY SECTION:baidu.com. 5 IN NS ns3.baidu.com.baidu.com. 5 IN NS ns4.baidu.com.baidu.com. 5 IN NS dns.baidu.com.baidu.com. 5 IN NS ns2.baidu.com.baidu.com. 5 IN NS ns7.baidu.com.###ADDITIONAL SECTION：每个授权服务器的IP地址;; ADDITIONAL SECTION:dns.baidu.com. 5 IN A 202.108.22.220ns4.baidu.com. 5 IN A 14.215.178.80ns3.baidu.com. 5 IN A 112.80.248.64ns7.baidu.com. 5 IN A 180.76.76.92ns2.baidu.com. 5 IN A 220.181.33.31###本次查询的一些统计信息，比如用了多长时间，查询了哪个 DNS 服务器，在什么时间进行的查询等等。;; Query time: 2 msec;; SERVER: 192.168.221.2#53(192.168.221.2);; WHEN: Mon Oct 21 15:51:21 CST 2019;; MSG SIZE rcvd: 2400x03 theharvestertheharvester -d 域名|公司名 -b 搜索来源（google，bing，pgp，linkedin等） 不稳定0x04 Netcrafthttps://toolbar.netcraft.com/site_report直接查询0x05 直接搜索google搜索术“”-*inurl:inanchorintitle:filetype:site:related:.....0x06 Recon-ng参考1：https://www.freebuf.com/sectool/141544.html参考2：https://www.freebuf.com/sectool/102256.htmlprofiler模块功能：查询某个用户名在那些网站（知名）有注册常用命令：#搜寻具体路径search profiler#通过上一步得知该模块的路劲为recon/profiles-profiles/profiler，使用该模块use recon/profiles-profiles/profiler#查看使用方式show info#通过查询到的查询命令（set sources 用户名）查询用户名baidu在哪些网站有注册set source baidu#运行run#显示查询到的结果show profileshashes_org模块功能：反查hash加密常用命令：#查看已安装的api keyskey list#添加keykeys add xxxxxxx#删除keykeys delete 某key名#反查hash加密使用方式set source 需要查询的hash值run这里说明一下：recon-ng下模块的使用格式基本固定（1、查询某模块的路径：search 某模块；2、使用该模块：use 某模块路径；3、显示该模块的相关信息：show info；4、设置source选项：set source xxx；5、执行命令：run；6、显示结果[或许存在或许不存在的一步]：show profiles）metacrawler模块功能：网站文件搜索使用方式：常规操作，xxx变为网站名Dev_diver模块功能：查找某个用户存在哪些代码库使用方式：常规操作，xxx变为用户名ipinfodb模块需要api功能：查询ip的信息使用方式：常规操作,xxx变为需要查询的ip地址brute_hosts模块功能：暴力破解子域名使用方式：常规操作，查看结果时使用命令:show hostsgoogle_sit_web模块功能：相关域名查询使用方式：常规操作，最后使用show options显示查询结果interesting_files模块功能：查找某网站的敏感文件使用方式：常规操作，查找为1、set source 网站名 2、set port 80 3、set protocol http run~根据show info提示就会使用了~command_injector模块功能：命令注入，多用于木马文件html模板功能：把运行的结果生成html文件0x07 nmap参考1：https://blog.csdn.net/qq_36119192/article/details/82079150参考2：http://www.nmap.com.cn/doc/manual.shtm功能：网络主机清单、管理服务升级调度、监控主机或服务运行状况。Nmap可以检测目标机是否在线、端口开放情况、侦测运行的服务类型及版本信息、侦测操作系统与设备类型等信息。常用命令：#查询ipping 网址#探测目标主机是否在线nmap -sn ip地址#简单扫描，默认扫描方式为TCP SYN（目标主机开放的端口号，以及端口号上运行的服务）nmap ip地址#全面扫描（目标主机开放的端口号，对应的服务，还较为详细的列出了服务的版本，其支持的命令,到达目标主机的每一跳路由等信息）1、nmap -A ip地址2、nmap -T4 -A -v xx.xx.xx.xx -A 选项用于使用进攻性方式扫描 -T4 指定扫描过程使用的时序，总有6个级别（0-5），级别越高，扫描速度越快，但也容易被防火墙或IDS检测并屏蔽掉，在网络通讯状况较好的情况下推荐使用T4 -v 表示显示冗余信息，在扫描过程中显示扫描的细节，从而让用户了解当前的扫描状态#端口扫描nmap -p num1-num2 ip地址#TCP SYN 扫描nmap -sS ip地址#TCP connent 扫描nmap -sT ip地址#UDP扫描nmap -sU ip地址#IP protocol 扫描（确定目标机支持的协议类型）nmap -sO ip地址#TCP ACK 扫描nmap -sA ip地址#TCP FIN/Xmas/NULL 扫描nmap -sN/-sF/-sX ip地址#端口运行服务版本检测nmap -sV ip地址#OS侦测（识别目标主机的操作系统和设备）nmap -O ip地址0x08 wafw00f功能：检测识别waf使用方式：waf00f 网址作者：Hf1dw链接：https://www.jianshu.com/p/7a095a98fd46来源：简书著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。