vision's blog

CCIE试验备考之交换Security

Wed, 11 Jan 2012 17:45:31 +0800

http://www.nchome.cn/news_view.asp?id=91

第一部分端口安全

端口安全是一种第2层特性，并且能够提供如下5种保护特性：
l 基于主机MAC地址允许流量
l 基于主机MAC地址限制流量
l 在期望的端口上阻塞单播扩散
l 避免MAC扩散攻击
l 避免MAC欺骗攻击
第一. 基于主机的MAC地址允许流量
端口安全能够基于主机MAC地址而允许流量。单个端口能够允许一个以上到某个特定数目的MAC地址。根据交换机型号的不同，他们所允许的最大MAC地址数也不相同。这种特性有助于规定每个端口所允许的主机数。例如，通过将用户端口限制到1个学到的MAC地址，而将会议室端口限制到10个MAC地址，将有助于避免网络的非授权访问。
通过如下步骤，将可以根据主机MAC地址来允许流量，进而启动端口安全：
步骤1：对存在问题的端口启用端口安全
步骤2：配置学习主机MAC地址
步骤3：指定安全违背行为（默认行为是永久性地关闭端口）
步骤4：如果安全违背行为准备关闭端口，就需要配置err-disable计时器，err-disable计时器是一个全局值。
配置过程
1．配置每个端口所允许的最大MAC地址数
1）进入全局模式 configure terminal
2）进入接口模式 interface 接口
3）配置接口模式
switchport mode access|trunk
注意：一个接口使用默认模式（动态协商）不能启用端口安全
4）设置最大MAC数
swtichport port-security maximum 最大值
switchport port-security vlan vlan列表 [access|voice]
可以设置每个VLAN中允许的最大MAC数，access表示为该vlan是接入vlan，voice表示该vlan是语音vlan
2．配置端口允许的MAC地址
1）进入接口模式 interface 接口
2）配置允许的MAC地址
手工指定：
switchport port-security mac-address mac地址 [vlan vlan号|[access|voice]]
动态学习：交换机可以动态学习MAC地址并加入到MAC地址表中，当交换机重新启动后将丢失
粘性地址：可以动态学习或手工配置，学习后MAC地址加入到MAC地址表，如果保存配置文件，当交换机重新启动后，交换机不再需要动态学习的那些之前动态学习的地址了
switchport port-security mac-address sticky
3. 配置安全违背行为
1）进入接口模式 interface 接口
2）配置违规后的动作
switchport port-security violation protect|restrict|shutdown
protect:保护，当安全MAC地址数量达到了端口所允许的最大MAC地址数的时候，交换机会继续工作，但将把来自新主机的数据帧丢弃，直到删除足够数量的MAC地址使其低于最大值。
Restrict:限制，交换机继续工作，向网络管理站（SNMP）发出一个陷阱trap通告
Shutdown:关闭，交换机将永久性或在特定时间周期内err-disable端口，并发送一个SNMP的trap陷阱通告
需要配置关闭模式下的err-disable计时器
err-disable recovery cause secure-violation
启用err-disable
err-disable recovery interval 计时器
案例：
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 50
Switch(config-if)# switchport port-security mac-address sticky
--------------------------------------------------------------------
Switch(config)# interface f0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security mac-address 0000.0000.0008
Switch(config-if)# switchport port-security violation restrict
Switch(config)# interface f0/2
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security mac-address 0000.0000.0011
Switch(config-if)# switchport port-security violation shutdown
-----------------------------------------------------------------------
案例：
Switch(config)#int f0/1
Switch(config-if)#switchport port-security
Command rejected: Fa0/1 is not an access port. //先启动端口安全会出现错误提示
Switch(config-if)#swit mode access
Switch(config-if)#switchport port-security //启动端口安全
Switch(config-if)#switchport port-security maximum ?
<1-132> Maximum addresses
Switch(config-if)#do show mac-address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
All 000d.6564.0280 STATIC CPU
All 0100.0ccc.cccc STATIC CPU
All 0100.0ccc.cccd STATIC CPU
All 0100.0cdd.dddd STATIC CPU
1 000b.5f2c.2097 DYNAMIC Fa0/23
1 0010.7b35.e9b6 DYNAMIC Fa0/1 //这是和路由器相连的地址
1 00a1.b003.3cd7 DYNAMIC Fa0/18
10 000b.5f2c.2097 DYNAMIC Fa0/23
20 000b.5f2c.2097 DYNAMIC Fa0/23
30 000b.5f2c.2097 DYNAMIC Fa0/23
40 000b.5f2c.2097 DYNAMIC Fa0/23
100 000b.5f2c.2097 DYNAMIC Fa0/23
200 000b.5f2c.2097 DYNAMIC Fa0/23
201 000b.5f2c.2097 DYNAMIC Fa0/23
202 000b.5f2c.2097 DYNAMIC Fa0/23
Total Mac Addresses for this criterion: 15
------------------------------------------------------------------
Switch(config-if)#switchport port-security mac-address 0010.7b35.e9b6
Switch(config-if)#switchport port-security violation shutdown
Switch#show port-security interface f0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address : 0010.7b35.e9b6
Security Violation Count : 1
-----------------------------------------------------
Switch#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Fa0/1 1 1 0 Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 1024
---------------------------------------------------------------------------
Switch#show port-security address
Secure Mac Address Table
-------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0010.7b35.e9b6 SecureConfigured Fa0/1 -
-------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 1024
现在我们把mac地址为00a1.b003.3cd7的主机接入到f0/1中，此时会出现如下的信息：
00:24:08: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, putting
Fa0/1 in err-disable state
00:24:08: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 00a1.b003.3cd7 on port FastEthernet0/1.
00:24:09: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, chang
ed state to down
00:24:10: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down
-----------------------------------------
Switch#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Fa0/1 1 1 1 Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 1024
-------------------------------------------------------------------
Switch#show port-security interface f0/1
Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address : 00a1.b003.3cd7
Security Violation Count : 1
4．配置MAC地址持续时间
1）进入接口模式 interface 接口
2）配置持续时间
switchport port-security aging time 时间 type absolute|inactivity
absolute模式：当持续时间过后，安全端口上的地址将被绝对删除
inactivity模式：在持续时间内，没有使用的端口将被删除
案例：
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# switchport port-security aging time 120
-------------------------------------------------------------------------
Switch(config-if)# switchport port-security aging time 2
Switch(config-if)# switchport port-security aging type inactivity
Switch(config-if)# switchport port-security aging static
5.验证结果
show port-security [interface 接口] address
案例：
CCIE-LAB(V135)
题目要求：
At sw1 port 15, there is a host need to be protected. You must config this port to protect it and must use arp command to bind the host’s ip address and mac address. Mac addresses 0080.2222.3333 and ip 172.1.1.1/24.
配置：
SW1
interface f0/15
switchport mode access
siwtchport port-security maximum 1
switchport port-security mac-address 0080.2222.3333
switchport port-security violation protect
arp 172.1.1.1 0080.2222.3333 arpa f0/15
CCIE-LAB(V142)
题目要求：安全部分
SW1的Fa0/12连接外部Public network drop的机器，这台机器的IP ADDRESS=X.X.X.X; MAC=0000.8333.3333，保证没有其他机器可使用这个端口。（考试没给出IP Address，故没必要用arp命令）
配置：
sw1
config termi
interface f0/12
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address 0000.8333.3333
switchport port-security violation protect
no shut
CCIE-LAB(V148)
题目要求：
Configure Sw2-Fa0/2 so that it only accepts traffic from R2. If another host is attached to the port then the traffic should be dropped, but the port should remain enabled.
配置：
SW2
Interface f0/2
Switchport mode access
Switchport port-security
Switchport port-securtiy mac-address R2的mac地址
Switchport port-security maximum 1
Switchport port-security violation protect
CCIE-LAB(yy)
题目要求：
VLAN_B need tight (high) security, configure the ports in this VLAN to physical address of the routers that are currently attached to them.
This configuration should survive the reboot of the switch.
Log violations of this policy while allowing correct traffic to proceed.
图：

VLAN B---VLAN12
配置：
SW2
conf t
interface range f0/2,f0/5
shut down
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address sticky
switchport port-security violation restrict
另外解决方案：
sw2
config terminal
show mac-address-table //查看r2和r5的mac地址
interface f0/2
shut
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address r2的mac地址
switchport port-security violation restrict
no shut
interface f0/5
shut
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address r2的mac地址
switchport port-security violation restrict
no shut
案例：
CCIE-LAB(V180)
题目要求：
The customer wants to connect guest Ipphones to Sw4 f0/11-15
l He wants to protecte interface from a user connecting a PC or a hub
l He wants the interface to learning first mac-address connected and become part of the configuration
l He does not want to have to manually bring backup the interface if the encounter a security viotation,but he do to ensure that the phones’s address is the only one allowed,and be able to check eth steales violation.
配置：
sw4
config termi
mls qos
interface range f0/11 –15
switchport mode access
switchport voice vlan dot1p
switchport port-security
switchport port-security mac-address sticky
switchport port-security violation restrict
mls qos trust cos
第二．基于主机MAC地址限制流量
对于MAC过滤的特性，它能够根据主机MAC地址来限制流量，在使用该特性的情况下，交换机能够丢弃源自所配置MAC地址的流量。通过使用这种特性，网络管理源能够防止未授权主机向网络发送流量。
注意，交换机只允许对单播的源MAC地址流量进行过滤，而不允许对多播的源MAC地址流量进行过滤。他对采用多播源MAC地址发送数据报的规范是无效的。
交换机允许在整个VLAN或单个接口上配置单播过滤。如果数据帧采用的源MAC地址没有被指定，那么交换机就可以正常地传递数据帧。对于基于cisco IOS软件的交换机，它只支持重启之后仍然存在的单播过滤。
配置过程：
1）进入全局模式 configure terminal
2）配置限制MAC地址流量
mac-address-table static MAC地址 vlan vlan号 drop
3）验证结果
show mac-address-table static vlan 1
案例：
switch(config)#mac-address-table static 0000.0000.0008 vlan 1 drop
switch#show mac-address-table static vlan 1
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 000d.6564.0280 STATIC CPU
1 0100.0ccc.cccc STATIC CPU
1 0100.0ccc.cccd STATIC CPU
1 0100.0cdd.dddd STATIC CPU
1 0000.0000.0008 STATIC Drop
Total Mac Addresses for this criterion: 5
第三。阻塞端口的单播或多播扩散
默认情况下，如果数据包具有未知的目标MAC地址，那么交换机将把它扩散到与接收端口的VLAN相同的VLAN中所有端口。某些端口不需要扩散功能。例如，如果某个端口只有手工分配的MAC地址，并且没有连接所配置MAC地址之外的其它任何网络设备，那么它就不需要接收扩散数据包。此外，如果端口已经学到最大数目的MAC地址，那么对于通过配置安全MAC地址或端口启用端口安全的端口，它就不必接收未知的单播扩散。
通过使用单播或多播扩散阻塞的特性，将可以避免在不必要的端口上转发单播扩散流量。通过以每个端口为基础而限制流量大小，不仅可以增加网络的安全限制，并且还可以防止网络设备徒然地处理无定向的数据包。
配置过程：
1）进入全局模式 configure terminal
2）进入接口模式 interface 接口
3）配置其端口阻塞单播
switchport block unicast
4）配置其端口阻塞多播流量
switchport block multicast
5）验证结果
show interface 接口 switchport
案例：
Switch# configure terminal
Switch(config)# interface fa0/1
Switch(config-if)# switchport block multicast
Switch(config-if)# switchport block unicast
Switch(config-if)# end
Switch#show interface f0/1 switchport
案例：
CCIE-LAB(V160)
题目要求：
在SW2种fa0/10上阻塞所有未知的组播流量
配置：
SW2
config termi
interface f0/10
switchport block multicast
第二部分 IEEE 802.1X管理网络访问安全
IEEE 802.1x访问控制特性是一种基于行业标准的第2层访问控制方法，提供了集中管理功能。IEEE 802.1x访问控制特性还被广泛应用于无线网络。

使用802.1x的时候，在交换机接收器端口连接的工作站发送的数据包之前，将请求身份验证服务器对工作站进行身份验证。在身份验证服务器验证工作站的身份之前，802.1x访问控制特性只允许EAPOL(Extensible Authentication Protocol over LAN，LAN上的可扩展身份验证协议)通信流通过工作站连接的端口。通过身份验证后，常规通信流才能通过该端口。
基于端口的802.1x身份验证涉及3种设备：
* 客户（client）---使用802.1x请求网络对其进行身份验证的工作站。当前，只有Microsoft Windows XP和Windows 2003内置了对802.1x支持功能
* 身份验证服务器（Authentication server）---负责验证交换机转发的客户请求。当前，身份验证服务器是安装了EAPOL扩展的RADIUS服务器。
* 交换机---负责将客户请求转发给身份验证服务器，并在客户通过身份验证后授予其访问网络的权限。在802.1x运行期间，交换机实际上是代理
交换机端口的状态决定了客户是否能够访问网络。端口开始处于未经授权（unauthorized）状态。在这种状态下，除802.1x协议数据包外，端口不允许任何入站通信流和出站通信流通过。客户通过身份验证后，端口将切换到授权（authorized）状态，允许来自客户的通信流通过。如果交换机请求客户表明其身份（证明方发起的），而客户不支持802.1x，端口将保持未经许可状态，客户不能访问网络。
相反地，当启用了802.1x的客户连接到端口，并向交换机发送EAPOL启动帧一启动身份验证过程（恳求方发起），而交换机没有运行802.1x协议，无法响应客户时，客户将开始发送数据帧，就像端口处于许可状态一样。
2．验证开始和消息交换
交换机或客户可以发起验证。如果一个端口上使用dot1x port-control auto接口配置命令启动验证，那么交换机必须在确定该端口链路状态从down转换为UP时发起验证。交换机接着向客户发送一个EAP-请求/身份帧来请求它的身份。根据收到的帧，客户响应一个EAP-响应/身份帧。

如果在启动期间客户没有收到一个来自交换机的EAP-请求/身份帧，那么客户可以发送一个EAPOL-开始帧来发起验证。这提示交换机要请求客户的身份。
如果网络接入设备上没有启用或支持802.1X，则会丢弃任何来自客户的EAPOL帧。如果客户在尝试开始验证的指定次数之后还未收到EAP-请求/身份帧，那么客户将发送帧如同端口已处于授权状态。出于授权状态的端口实际上意味着客户已被成功验证了。
当客户提供其身份是，交换机开始他的中介职责，在客户和验证服务器之间传递EAP帧直到验证成功或失败。如果授权成功，交换端口即被授权
EAP帧的详细交换基于所使用的验证方法。如图，由客户发起的与RADIUS服务器一起使用OTP（一次口令）验证方法的消息交换。
3．支持的拓扑
802.1X基于端口的验证支持在两种拓扑种：
* 点对点（单用户）
* 无线LAN（多用户）
在点对点配置中，只有一个客户能够连接到起用了802.1X的交换机端口上。交换机在端口链路状态变为UP状态时检测客户。如果客户离开或被另一个客户替换，交换机将端口链路状态变为DOWN,端口返回到未授权状态。
802.1X交换机端口被配置为一个多主机端口，一旦客户通过验证即变为授权的。当端口是授权的时候，所有其他非直连的主机获准接入网络。如果端口变为未授权的（在重新验证失败或受到一个EAPOL-下线消息时），交换机拒绝所有直连客户的网络访问。

这个拓扑中，无线接入点负责验证直连到它的客户，并且该无线接入点作为交换机的一个客户。
4．端口身份验证状态：
* Force-authorized---禁用基于端口的802.1x身份验证，导致端口切换到许可状态，而不需要交换任何身份验证信息。端口发送和接收常规通信流，而不对客户进行基于802.1x的身份验证，这是默认设置
* Force-unauthorized---导致端口保持未经许可状态，并忽略客户的所有身份验证请求。交换机不能通过这种端口为客户提供身份验证服务。
* Auto---启用基于端口的802.1x身份验证，导致端口一开始处于未经许可状态，只能接收和发送EAPOL帧。端口的链路状态从down到up(验证方发起)或收到EAPOL启动帧（恳求方发起）后，身份验证过程便开始了。交换机请求客户说明其身份，并在客户和验证服务器之间转发身份验证消息。交换机使用客户的MAC地址来唯一地标识每个试图访问网络的客户。
如果客户通过了身份验证（收到来自身份验证服务器的Accept帧），端口状态将变为许可，客户发送的所有帧都被允许通过端口。如果未通过身份验证，端口将保持未经许可状态。在这种状态下，端口只允许用于重新验证身份的通信流通过，而不允许其他用户通信流通过。如果身份验证服务器不可达，交换机可能重传请求。如果重传指定次数后，服务器仍没有响应，身份验证将一失败告终，交换机不允许客户访问网络。此外，客户注销是将发送一条EAPOL注销信息，导致服务器端口切换到未经许可状态。
5．802.1X配置指导
802.1X协议在第2层的静态接入端口上支持，但在以下类型的端口上不支持：
* 中继端口---试图在一个中继端口上启用802.1X会产生错误消息，因而不能激活802.1X。
* 动态端口---处于动态模式的端口会与其相邻的邻居协商变成一个中继端口，所以要在动态模式的端口设置802.1X会出错。
* VQP端口---试图在一个动态接入（VLAN查询协议[VQP]）端口上启用802.1X会出错
* 活动的ETHERCHANNEL端口---在端口启用802.1X之前，首先应将该端口从EtherChannel中移除。试图在一个EtherChannel或一个EtherChannel中的一个活动端口上启用802.1x会产生错误
l 安全端口---安全端口不能配置为802.1x
l span目的端口---802.1x可以在一个SPAN目的的端口上启用，但802.1X直到该端口不再是SPAN目的时才会生效。802.1X可以再SPAN源端口使用
6．配置802.1X
默认配置
特性默认设置
------------------------------------------
交换机IEEE802.1x 禁用
AAA验证禁用
RADIUS服务器
IP地址未指定
UDP端口 1812
密钥未指定
主机模式点对点（单主机）
每个接口的802.1X启用状态禁用（强制未授权），端口发送和接受正常的流量
周期性的重新验证禁止
重新验证尝试之间的次数 3600秒
安静周期 60秒（交换机在与客户的一次失败验证交换之后保持安静状态的时间）
重传时间 30秒（交换机在重传请求之前等待客户对一个EAP请求/身份帧的响应时间）
最大重传次数 2次（交换机在重新开始验证过程之前发送一个EAP请求/身份帧的次数）
多主机支持禁止
客户超时周期 30秒（在将一个请求从验证服务器中介给客户时，交换机向客户重传该请求之前等待响应的时间）。该设置不能配置
验证服务器超时周期 30秒（在将一个请求从客户中介给验证服务器时，交换机向服务器重传该请求之前等待响应的时间）。该设置不能配置
配置IEEE802.1X认证
1）进入全局模式 configure terminal
2）启用AAA
aaa new-model
3）建立IEEE802.1x认证列表
aaa authentication dot1x {default} method1
default:将后面指定的身份验证方法作为默认配置，自动作用于所有IEEE802.1x
method1:指定身份验证的方法
4）启用IEEE802.1x授权
dot1x system-auth-control
5）建立授权（可选）
aaa authorization network {default} group radius
指定通过RADIUS服务起来建立授权
6）指定RADIUS服务器的地址
radius-server host　IP地址
7）指定密钥
radius-server key 密钥
8）进入接口模式 interface 接口
9）启用IEEE802.1x认证
switchport mode access dot1x port-control auto
10）验证结果
show dot1x
配置交换机域RADIUS服务器之间通信
1）进入全局模式 configure terminal
2）配置RADIUS服务器特征
radius-server host [主机名|IP地址] auth-port 端口号 key 密钥
auth-port:UDP端口号
配置主机模式
1）进入全局模式 configure terminal
2）进入接口模式 interface 接口
3）配置主机模式
dot1x host-mode multi-host
允许多主机模式
4）配置IEEE802.1x认证
dot1x port-control auto
配置重认证周期
1）进入全局模式 configure terminal
2）进入接口模式 interface 接口
3）启用IEEE802.1x重认证
dot1x reauthentication
4）设置重认证周期
dot1x timeout reauth-period 秒数
秒数：默认为3600秒，取值为1-65535
5）验证结果
show dot1x interface 接口
配置安静周期
交换机在与客户的一次失败验证交换之后保持安静状态的时间
1）进入全局模式 configure terminal
2）进入接口模式 interface 接口
3）配置安静周期Quiet period
dot1x timeout quiet-period 秒数
秒数：默认为60秒，取值为1-65535
配置交换机与主机之间重传时间
交换机在重传请求之前等待客户对一个EAP请求/身份帧的响应时间
1）进入全局模式 configure terminal
2）进入接口模式 interfacer 接口
3）配置重传时间
dot1x timeout tx-period 秒数
秒数为5-65535，默认为5秒
配置交换机与主机之间重传最大次数
交换机在重新开始验证过程之前发送一个EAP请求/身份帧的次数
1）进入全局模式 configure terminal
2）进入接口模式 interfacer 接口
3）配置重传最大次数
dot1x max- req 次数
次数为1-10，默认为2次
配置交换机与主机之间重认证最大次数
1）入全局模式 configure terminal
2）进入接口模式 interfacer 接口
3）配置重传最大次数
dot1x max-reauth-req 次数
秒数为1-10，默认为2次
案例：
CCIE-LAB(V133)
题目要求：
you want to restrict unauthorized clients form connecting to your network configure sw1 so that the por f0/9 has 802.1x port-based authentication using a RADIUS server heinitial state of this port should be unauthorized ,but when transitions form down to up the authentication process to the Radius SERVER SHOULD BEGIN ,PERFORM ONLY THE MINIMUM AAA configuration pertinent to the 802.1x port-based authentication
配置：
SW1
configure term
aaa new-model
aaa authentication dot1x default group radius
aaa authortication network default group radius
dot1x system-auto-control
interface f0/9
switchport mode access
dot1x port-control auto
CCIE-LAB(YY)
you want to restrict unauthorized clients form connecting to your network configure sw1 so that the por f0/17 has 802.1x port-based authentication using a RADIUS server heinitial state of this port should be unauthorized ,but when transitions form down to up the authentication process to the Radius SERVER SHOULD BEGIN ,PERFORM ONLY THE MINIMUM AAA configuration pertinent to the 802.1x port-based authentication.RADIUS Server address:150.1.1.254,key is cisco.
配置：
sw1
config termi
aaa new-model
aaa authentication dot1x default group radius
aaa authentication network default group raidus
radius-server host 150.1.1.254
radius-server key cisco
dot1x system-auth-control
interface f0/17
switchport mode access
dot1x port-control auto
show dot1x
show dot1x interface f0/17
配置访客vlan(guest vlan)
如果端口指定了访客Guest VLAN项，此端口下的接入用户如果认证失败或根本无用户账号的话，会成为Guest VLAN 组的成员，可以享用此组内的相应网络资源，这一种功能同样可为网络应用的某一些群体开放最低限度的资源，并为整个网络提供了一个最外围的接入安全。用户可以去下载客户端，但是不能去上公网，他限制了未拨号用户可以访问的资源。
配置过程：
1）进入全局模式 configure terminal
2）进入接口模式 interface 接口
3）配置接口模式
switchport mode access
4）配置dot1x认证
dot1x port-control auto
5）配置某个活动vlan成为访客vlan
dot1x guest-vlan vlan号
vlan号：1-4094，除了RSPAN vlan、私有VLAN的主Vlan、语音vlan
案例：
CCIE-LAB(210)
题目要求：
配置sw3上基于802.1X安全的GUEST VLAN，vlan号为999，端口范围为fa0/11-18,RADIUS SERVER地址为150.1.1.254，密码为cisco。
配置：
SW3:
config terminal
vlan 999
name guestvlan
aaa new-model
aaa authentication dot1x default group radius
aaa authortication network default group radius
dot1x system-auth-control
radius-server host 150.1.1.254
radius-server key cisco
interface fa0/11 –18
switchport mode access
dot1x port-control auto
dot1x guest-vlan 999

配置受限vlan
可以配置端口指定为受限vlan,当认证失败之后（超过认证次数3次），不能访问guest vlan的客户将加入受限的vlan, 限制了未认证成功的用户可以访问的资源。
配置过程：
1）进入全局模式 configure terminal
2）进入接口模式 interface 接口
3）配置接口模式
switchport mode access
4）配置受限vlan
dot1x auth-fail vlan vlan号
5）配置最大认证接收次数
dot1x auth-fail auth-attwmpts 次数
次数：取值为1-3，默认为3
配置物理地址认证旁路
使用mac地址认证旁路特性，交换机可以使用客户端的mac地址作为客户认证，比如端口上连接一台打印机。当一个802.1x端口上使用mac认证旁路特性，交换机将使用mac地址作为客户端的身份的验证，认证服务器有一张客户mac地址表用作是否允许客户访问网络。交换机等待客户的EAP响应/身份帧的认证时间超时，交换机会尝试使用mac地址作为客户的认证。
配置过程：
1）进入全局模式 configure terminal
2）进入接口模式 interface 接口
3）配置接口
dot1x port-control auto
dot1x mac-address-bypass [eap]
eap:交换机使用eap认证
非法IEEE802.1x
配置过程：
1）进入接口模式 interface 接口
2）非法ieee802.1x功能
no dot1x pae
恢复原始配置参数
配置过程：
1）进入接口模式
2）恢复原始配置
dot1x default

第三部分访问控制
1．RACL
针对路由接口的控制通信流量的安全策略。交换机在硬件中支持包含允许和拒绝操作的RACL。RACL的配置方式与常规的ACL相同。
在交换机中，用户可以在任何路由接口中应用RACL，其中包括如下接口：
*SVI（交换虚拟接口vlan端口）
*第3层端口或路由端口
*第3层端口通道
*其它第3层接口
2．VACL
VACL又称为VLAN访问映射表，应用于VLAN中的所有通信流。VACL支持基于ethertype和MAC地址的过滤，也支持Ipv4的IP地址过滤。与基于cisco IOS的路由映射表一样，vacl中条目的顺序并非无关紧要。VACL不定义方向（进或出）。一个VACL可以用于多个VLAN中；但一个VLAN只能与一个VACL关联。
支持多种VACL操作：
* 转发（允许）：这种VACL操作像通常那样转发帧。如果希望配置交换机端口分析器（SPAN）选项，必须采用带capture选项的转发操作；SPAN是一项用于将数据帧复制到监控端口的排错特性。这种VACL对于配置多个SPAN端口并连接网络监控设备（如第三方IDS设备）很有用。
* 丢弃（拒绝）：流与某个ACL丢弃（拒绝）条目匹配后，将它同下一个ACL条目进行比较。如果流不予任何ACL条目匹配，且至少配置了一个针对数据包类型的ACL，则流中的数据包将被丢弃
* 重定向：VACL重定向操作对于出于监控、安全或交换的目的而重定向特定通信流很有用。

配置方法：
1）定义访问控制列表（标准、扩展、命名）
a.标准访问控制列表
access-list 列表编号 deny|permit 源地址反掩码 [log]
* 列表编号：1-99
* deny:拒绝
* permit:允许
* 源地址：控制访问的源头
* 反掩码：any 是指任意主机，host是指某台主机
* log:记录到日志文件
案例：
Switch (config)# access-list 2 deny host 171.69.198.102
Switch (config)# access-list 2 permit any
Switch(config)# end
Switch# show access-lists
Standard IP access list 2
10 deny 171.69.198.102
20 permit any

b.扩展访问控制列表
access-list 列表编号 deny|permit 协议源地址反掩码 [源端口] 目标地址反掩码 [目标端口] [表达式]
* 列表编号：100-199
* 协议：IP、TCP、UDP、ICMP等，协议选项是区别标准访问列表的特征之一
* 表达式：eq 协议或端口号:等于协议或端口号
gq 协议或端口号：小于指定的协议或端口号
lq 协议或端口号：大于指定的协议或端口号

案例：
Switch(config)# access-list 102 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet
Switch(config)# access-list 102 permit tcp any any
Switch(config)# end
Switch# show access-lists
Extended IP access list 102
10 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet
20 permit tcp any any

c.命名访问控制列表
命名的列表允许使用超过99个标准控制列表和100个扩展控制列表。优于编号的控制列表的特点是可以删除特定的一条语句，而编号访问控制列表只能删除整个访问控制。
Ip access-list [standard|extended] 名称
Permit|deny 标准和扩展有所不同

案例：
Switch(config)# ip access-list extended border-list
Switch(config-ext-nacl)# no permit ip host 10.1.1.3 any
2）定义VACL映射表
vlan access-map 名称
a) 匹配指定的IP访问控制列表 match ip address 访问列表号
匹配指定的mac访问控制列表 match mac address 访问控制列表
b) 指定对符合条件的流量进行何动作 action drop|forward

案例：
switch(config)#vlan access-map test
switch(config-access-map)#match ip address 101
switch(config-access-map)#action forward
3）将VACL映射表应用到某个VLAN
vlan filter 映射表名称 vlan-list vlan列表

案例：
vlan filter test vlan-list 10

4）验证结果
show vlan access-map 名称

Switch#show vlan access-map
Vlan access-map "test" 10
Match clauses:
ip address: 100
Action:
drop
Vlan access-map "test" 20
Match clauses:
Action:
forward
---------------------------------------------------
show vlan filter access-map 名称 | vlan vlan号

Switch#show vlan filter
VLAN Map test is filtering VLANs:
11-13

案例：
主机X和主机Y位于不同的VLAN，交换机B已经对这两个VLAN做了vlan间的路由
Switch(config)# ip access-list extended http
Switch(config-ext-nacl)# permit tcp host 10.1.1.32 host 10.1.1.34 eq www
Switch(config-ext-nacl)# exit

Switch(config)# vlan access-map map2 10
Switch(config-access-map)# match ip address http
Switch(config-access-map)# action drop
Switch(config-access-map)# exit
Switch(config)# ip access-list extended match_all
Switch(config-ext-nacl)# permit ip any any
Switch(config-ext-nacl)# exit
Switch(config)# vlan access-map map2 20
Switch(config-access-map)# match ip address match_all
Switch(config-access-map)# action forward
Switch(config)# vlan filter map2 vlan 1
要注意vlan间的acl和vacl之间的区别

3.PACL
通过控制端口级别的流量，PACL(Port ACL)端口ACL能够提供另外一种控制机制。PACL可应用于第2层交换机端口、干道端口或EtherChannel端口。
在使用PACL的时候，能够在第2层接口上应用如下的ACL:
* 标准访控（针对源IP地址）
* 扩展访控（针对源IP地址和目标IP地址以及用于第4层协议类型信息）
* MAC扩展访控（针对源和目标MAC地址，还可以使用第3层协议类型信息）
当PACL应用于trunk端口上时，ACL将过滤trunk端口上所有的vlan的流量。当PACL应用到语音vlan端口的时候，ACL将过滤数据和语音VLAN的流量。
对于PACL，通过采用IP访问控制列表，将能够过滤IP流量，通过采用MAC访问控制列表，将能够过滤非IP流量。此外，通过在接口上应用IP访问控制列表和MAC访问列表，将能够过滤相同的第2层接口上IP流量和非IP流量。

案例：
CCIE-LAB(v133)
题目要求：
Assume that connected to port f0/15 on SW1 is a host sending Ethernet Type 6000 frames into the network configures an access-list to block only this traffic allowing other frames to enter into the network.Please use “Block_eth6000” as the name of access-list.
配置：
SW1
configure terminal
mac access-list extended Block_eth6000
deny any any etype-6000
permit any any
interface f0/15
switchport mode access
mac access-group Block_eth6000 in

第四部分 DHCP监听
在某些情况下，入侵者可以将一个DHCP 服务器加入网络，令其“冒充”这个网段的DHCP 服务器。这让入侵者可以为缺省的网关和域名服务器（DNS 和WINS）提供错误的DHCP 信息，从而将客户端指向黑客的主机。这种误导让黑客可以成为“中间人”，获得对保密信息的访问权限，例如用户名和密码，而最终用户对攻击一无所知。为了防止出现这种情况，您可以使用DHCP 监听。DHCP监听是一种dhcp安全特性，他能够过滤来自网络中主机或其他设备的非信任dhcp报文。通过建立并维护dhcp监听绑定表，dhcp能够实现上述级别的安全。
非信任DHCP消息是交换机从外部的网络、防火墙或其他非授权dhcp服务器接收到的dhcp消息，在启用dhcp监听的环境中，当从信任的区域中之外的设备传来的信息都是非信任的消息，这些非信任的消息可能是黑客入侵。
DHCP监听建立DHCP绑定表，用来过滤不可信任区域的DHCP信息，其中包括对应交换机上不信任的端口的客户端IP地址、MAC地址、端口号、VLAN编号、租用和绑定类型等消息。交换机支持在每个vlan基础上启用DHCP监听特性。通过这种特性，交换机拦截第2层VLAN域内的所有DHCP报文。
通过这种特性，交换机能够限制用户端口（非信任端口）只能够发送dhcp请求，并且将丢弃来自用户端口的所有其它DHCP报文，例如DHCP提供（OFFER）响应报文等。DHCP监听信任端口是连接到已知合法DHCP服务器或与分布层交换机（能够提供到达DHCP服务器的路径）之间的上行链路端口。信任端口能够发送或接收所有的DHCP报文。这种情况下，交换机只允许受信任的dhcp服务器能够通过DHCP响应来分发DHCP地址。
当交换机从启用了dhcp监听的vlan中一个不信任端口接收到一个报文，交换机会比较源mac地址和dhcp客户机的硬件地址，如果匹配这个数据报文被转发，如果不匹配这个数据报将被丢弃。

交换机根据以下情况会丢弃报文：
* 当收到外网的dhcp服务器发来的DHCPOFFER, DHCPACK, DHCPNAK, DHCPLEASEQUERY报文
* 接收到非信任端口报文，源MAC和DHCP客户端硬件地址不匹配
* 接收到DHCPRELEASE或DHCPDECLINE广播信息中有dhcp绑定表中某个mac地址，但接口信息和收到的信息中的接口信息不匹配。
如果一台支持DHCP监听的汇聚层交换机和一台插入了选项82信息的边界交换机相连，这台交换机会丢弃从非信任的端口收到的插入了选项82的报文信息，如果信任端口收到插入选项82的信息报，汇聚交换机不会为信任端口链接的设备建立DHCP监听绑定表条目。
拥有ios12.25或更早版本的边界交换机如果插入了选项82，和它相连的汇聚交换机因为汇聚交换机的dhcp监听绑定表不完整不能使能dhcp监听功能，汇聚交换机也不能使用IP源保护和动态arp，除非你手工指定绑定表和arp的访问控制。
在IOS 12.2(25)SE版本之后，汇聚交换机和边界交换机通过一个非信任端口相连时，通过全局模式下命令ip dhcp snooping information allow-untrusted的配置，汇聚交换机会接收从边界交换机发来的插入选项82的信息报，汇聚交换机也会学习和绑定从不信任端口相连的设备信息。
选项82
当DHCP Relay Agent将客户端的DHCP包转发到DHCP服务器时，可以插入一些选项信息，以便DHCP服务器能更精确的得知PC客户端的信息，从而能更灵活按相应策略分配IP地址和IP地址需要的租约时间。该选项信息的选项号为82，故又称为Option 82，相关标准文档为RFC 3046。Option 82是对DHCP选项的扩展应用，这个新的选项被称为：DHCP relay agent information option（中继代理信息选项），当向一个DHCP中继代理传输客户端发起的DHCP请求时被中继代理嵌入到客户端的DHCP报文中，当服务器识别到中继代理信息选项后就会根据选项中的信息执行IP地址的分配和策略的实施。
在一些大型的网络环境中，DHCP服务可以集中管理IP地址指派给大批用户，当交换机的选项82使能后，用户设备可以通过身份鉴定由交换机访问网络（除其mac地址），局域网中多个用户主机通过具有独特的身份鉴定（选项82）由交换机的同一端口访问网络。

如上图，因为DHCP服务器和DHCP客户端不在同一网络或子网中，交换机配置DHCP的中继代理，通过ip help-address命令使能在dhcp服务器和客户端之间广播转发和传送dhcp消息。
1．主机（DHCP客户端）发出DHCP请求消息，并广播到网络中
2．交换机收到这条DHCP REQUEST消息，将选项82插入这个消息报中，默认情况下，RemoteID子选项是交换机的mac地址，CircuitID子选项是接收到消息的端口标示符，这些参数是可以配置的。
3．如果中继代理的IP地址有配置，交换机会添加这个IP地址到DHCP包中
4．交换机转发带有选项82的DHCP REQUEST报到DHCP服务器
5． DHCP服务器收到这个信息后，如果DHCP服务器启用了选项82，服务器使用RemoteID、CircuitID或者两个子选项来分配IP地址和应用相应的策略。DHCP服务器标识选项82到DHCP回应消息。
6． DHCP服务器单播DHCP REPLY到交换机（DHCP中继代理），交换机将选项字段剥去后发送给客户端。
“中继信息”选项被定义为一个包含一个或多个“子选项”的单独的DHCP选项，并传送可被中继代理识别的信息。Option 82选项如同一个“容器”选项，为中继代理分配的特定的子选项在DHCP报文中提供了数据空间。
CircuitID子选项（SUBOPTION）帧格式
子选项类型（1字节）
长度（1字节）
电路ID类型
长度（电路ID）

其中电路ID子选项中的端口字段，端口号是从3开始的，比如对于一个24口10/100M的交换机，fa0/1端口在子选项中端口字段表示为3，fa0/2端口表示为4……
RemoteID子选项帧格式
当交换机使能DHCP SNOOPING和ip dhcp snooping information option命令后，circuitID子选项和remoteID子选项采用以上的帧格式（默认格式）
当我们全局模式下使能dhcp 监听，用户全局模式使用命令ip dhcp snooping information option format remote-id和接口模式下使用ip dhcp snooping vlan information option format-type circuit-id string命令配置了remoteID和circuiteID子选项后，circuiteID和remoteID子选项的帧格式有所变化：
circuitID子选项帧格式：
*circute类型为1
*长度是可变的，根据用户配置的字符串扩展

remoteID子选项帧格式
* remote类型为1
*长度是可变的，根据用户配置的字符串扩展

配置DHCP 监听
默认配置：
特性默认配置
------------------------------------------
DHCP SERVER 启用，但需要配置
DHCP中继代理启用
DHCP包转发地址没有配置
核实中继代理信息启用
DHCP中继代理转发策略代替现行的DHCP中继代理信息
DHCP监听未启用
选项82 启用
不信任端口是否接收DHCP监听选项未启用
限速未配置
信任状态不信任状态
VLAN的DHCP监听未启用
DHCP监听MAC地址验证启用
DHCP绑定表启用
DHCP监听绑定表启用，但需要配置

配置DHCP snooping
1）进入全局模式 configure terminal
2）启用dhcp监听
ip dhcp snooping
3）在vlan上启用dhcp 监听，如果在vlan上不启用，dhcp监听是不激活的
ip dhcp snooping vlan vlan范围
4）是否插入选项82
ip dhcp snooping information option
5）配置remoteID子选项（可选）
ip dhcp snooping information option format remote-id [string 字符串|主机名]
6）配置汇聚交换机接收从边界交换机发来的带有选项82的数据包（可选）
ip dhcp snooping information option allow-untrusted
7）进入接口模式 interface 接口
8）指定为信任端口（可选）
ip dhcp snooping trust
9）配置circuiteID子选项（可选）
ip dhcp snooping vlan vlan号information option format-type circuit-id string 字符串
10）设置限速
ip dhcp snooping limit rate 速率
速率：指定每秒传输包数，取值为1-2048
11）验证结果
show ip dhcp snooping //查看dhcp监听状态
show ip dhcp snooping binding //查看dhcp监听绑定表

案例：
switch#config terminal
switch(config)#ip dhcp snooping
switch(config)#ip dhcp snooping vlan 10
switch(config)#interface f0/1
switch(config-if)#ip dhcp snooping trust
switch(config-if)#switch access vlan 10
switch(config-if)#interface f0/2
switch(config-if)#switch access vlan 10
switch(config-if)#interface f0/3
switch(config-if)#switch access vlan 10
---------------------------------------------------
配置与交换机f0/1相连的路由器r1为dhcp服务器
r1(config)#interface f0/1
r1(config-if)#ip address 192.168.1.1 255.255.255.0
r1(config)#ip dhcp execlude 192.168.1.1
r1(config)#ip dhcp pool cisco
r1(dhcp-config)#network 192.168.1.2 255.255.255.0
r1(dhcp-config)#default-route 192.168.1.1
---------------------------------------------------
配置与交换机f0/2相连的路由器r2模拟为主机，从dhcp服务器获得ip
r2(config)#no ip routing
r2(config)#int f0/0
r2(config-if)#ip address dhcp
------------------------------------------------------
配置与交换机f0/3相连的路由器r3模拟为主机，ip地址配置为dhcp服务器地址，作为攻击者
---------------------------------------------------------
验证：
Switch#show ip dhcp snoopi bind
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------ ----------- ---------- --------- ------- ------------
00:10:7B:3C:01:DA 192.168.1.2 85781 dhcp-snooping 10 FastEthernet0/4
Total number of bindings: 2
----------------------------------------------------------------------------
Switch#show ip dhcp snoopi
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
10
Insertion of option 82 is disabled
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface Trusted Rate limit (pps)
------------------------ ------- ----------------
FastEthernet0/1 yes unlimited

配置DHCP监听的绑定表代理
1）进入全局模式 configure terminal
2）指定绑定表代理和数据库文件位置（可选）
ip dhcp snooping database flash:/文件名|tftp://文件名|ftp://用户名：密码@主机/文件名|http://[[用户名：密码]@]主机名|主机地址/目录/文件.tar
3）指定绑定表数据库传输超时时间
ip dhcp snooping database timeout 秒数
秒数：取值为0-86400，默认为300秒
4）值定绑定表数据库写入延迟时间
ip dhcp snooping database write-delay 秒数
秒数：取值为15-86400，默认为300秒（15分钟）
5）进入特权模式 end
6）手工值定绑定表条目
ip dhcp snooping binding mac地址 vlan vlan号 IP地址 interface 接口 expiry 秒数
expiry:这条静态条目到期的时间，取值为1-4294967295
7）验证结果
show ip dhcp snooping database

第五部分 IP源保护（IP Source Guard）
IPSG提供检测机制来确保单个接口所接收到的数据包能够被各个接口所接收。如果检查成功通过，那么就将许可数据包；否则就会发生违背策略的活动。IPSG不仅能够确保第2层网络中终端设备的IP地址不会被劫持，而且还能确保非授权设备不能通过自己指定IP地址的方式来访问网络或导致网络崩溃及瘫痪。
在DHCP监听绑定表或静态IP源绑定的帮助下，IPSG能够获得有效的源端口信息。在不信任端口上启用dhcp snooping和ip源保护之后，交换机将阻止除了dhcp数据包之外的所有流量。一旦DHCP服务器分配了IP地址，那么就更新dhcp绑定表。IPSG然后会自动在接口加载基于端口的vlan访控（PACL）。这样将客户端流量限定到绑定表中所配置的源IP地址。对于来自源IP绑定之外的其他源IP地址的主机端口的流量，将会被过滤。
IP源保护只支持第2层端口，其中包括介入access和干道trunk接口。对于不信任端口（第2层），存在以下两种级别的IP流量安全过滤：
* 源IP地址过滤：根据源IP地址对IP流量进行过滤，只有当源IP地址与IP源绑定条目匹配，IP流量才允许通过。
当端口创建、修改、删除新的IP源绑定条目的时候，IP源地址过滤器将发生变化。为了能够反映IP源绑定的变更，端口PACL将被重新修改并重新应用到端口上。
默认情况下，如果端口没有任何IP源绑定配置的情况下启用了ip源保护，默认的PACL将拒绝端口的所有流量。如果你取消了IP源保护，端口的ACL也会从接口上移除。
* 源IP和MAC地址过滤：根据源IP地址和MAC地址对IP流量进行过滤，只有当源IP地址和MAC地址与IP源绑定条目匹配，IP流量才允许通过。
当以IP和MAC地址作为过滤的时候，为了确保DHCP协议能够正常的工作，还必须启用DHCP监听选项82，对于没有选项82的数据，交换机不能确定用于转发DHCP服务器响应的客户端主机端口。相反地，DHCP服务器响应将被丢弃，客户机也不能获得ip地址
交换机使用端口安全来过滤源maC地址，所以端口上的端口安全的违规处理将关闭。
配置过程：
注意：
1．在某个VLAN上启用基于源IP地址的IP源保护之前，必须先启用DHCP监听功能
2．如果是在TRUNK接口上对于多个VLAN启用IP源保护，必须在所有的VLAN上启用DHCP监听，同时要应用基于源IP过滤策略在所有的VLAN
3．启用基于源ip和mac地址的IP源保护之前，必须启用DHCP监听和端口安全（Port security）
4．在私有vlan上启用基于源ip和mac地址的IP源保护，端口安全是不支持的
5． IP源保护不支持以太通道（EthenChannel）
6．在启用了802.x认证的情况下，也可以使用这种特性。
配置：
1）进入全局模式 configure terminal
2）进入接口模式 interface 接口
3）启用IP源保护
基于源IP地址的 ip verify source
基于源IP和MAC地址的 ip verify source port-security
注意：dhcp服务器必须支持选项82，或者客户端没有分配到IP地址。同时MAC地址不能被学习为安全地址
5）进入全局模式，添加静态的IP源绑定
ip source binding mac地址 vlan vlan号 ip地址 interface 接口
6）验证结果
show ip verify source [interface 接口]
show ip source binding [ip地址] [mac地址] [interfac, e 接口] [vlan vlan号] [dhcp snooping|static]
案例：
我们接着上部分试验继续
Switch(config)#interface f0/2
Switch(config-if)#switchport port-security
Switch(config-if)#ip verify source port-security
Switch(config)#interface f0/3
Switch(config-if)#switchport port-security
Switch(config-if)#ip verify source port-security
Switch(config-if)#exit
Switch(config)#ip source binding 00e0.1e60.7c86 vlan 10 192.168.1.1 interface f0/1
Switch(config)#end
Switch#show ip source bind
MacAddress IpAddress Lease(sec) Type VLAN Interface
---------- ----------- ---------- ------------- ---- ----------------
00:10:7B:3C:01:DA 192.168.1.2 85535 dhcp-snooping 10 fastEthernet0/2
00:E0:1E:60:7C:86 192.168.1.1 infinite static 10 fastEthernet0/1
Total number of bindings: 3
----------------------------------------------------------------
Switch#show ip verify source
Interface Filter-type Filter-mode IP-address Mac-address Vlan
--------- ---------- ----------- --------------- ------------- ----------
Fa0/2 ip-mac active 192.168.1.2 permit-all 10
Fa0/3 ip-mac active deny-all permit-all 10

第六部分动态ARP检测
DAI(Dynamic ARP Inspection)动态ARP检测是一种能够验证网络中ARP地址解析协议数据报的安全特性。通过DAI，网络管理员能够拦截、记录和丢弃具有无效MAC地址/IP地址绑定的ARP数据包。

如上图，主机A、主机B、主机C连接到交换机中相同的网络或同一个vlan中。主机A需要与主机B进行通信，主机A广播ARP请求通过主机B的IP地址（IB）来获得主机B的MAC地址。因为ARP请求是以广播的形式传送，交换机和主机B收到主机A发出的ARP请求之后，会在自己的ARP缓存中创建或更新主机A的MAC地址（MA）和IP地址（IA），然后主机B一单播得形式发送ARP响应，交换机和主机A收到ARP响应之后，主机A将更新自己的ARP缓存，将主机B的IP地址和MAC地址对应。
主机C破坏交换机的ARP缓存，主机C发送伪造的ARP响应（将自己的MAC地址代替真实主机的MAC地址，比如主机C用自己的MAC地址（MC）替代主机B发给主机A的MAC地址（MB）），使得主机A（或主机B）的IP地址和主机C的MAC地址（MC）对应，主机C以中间人的身份发起攻击。这样造成主机A不能拥有主机B真实的MAC地址的ARP条目，同样，主机B也认为主机C的MAC地址是映射到主机A IP地址的真实地址。对于主机A和主机B之间的通信，都会被发往主机C，主机C能够在阅读内容后进行流量的重定向。
动态ARP检测是一个安全特性，通过DAI，网络管理员能够检测、拦截、记录和丢弃具有无效MAC地址/IP地址绑定的ARP数据包。能够预防“中间人”的攻击。
动态ARP检测只会转发合法的ARP请求和响应包，他会：
* 检测不信任的端口上的所有ARP请求和响应包
* 在更新本地的ARP缓存和转发ARP数据包到目的地之前，会检测是否是合法的IP和MAC地址对应内容。
* 如果确认是不合法的数据包，他会丢弃数据包并记录这个违规的行为。
动态ARP检测依据一个信任的数据库（如手工配置或dhcp监听绑定表）中合法的IP对应MAC地址的条目来判断数据包的合法性。这个数据库可以手工指定配置或者在vlan中启用了dhcp监听动态学习建立。如果ARP数据包是在信任端口上接收到的，交换机不会做任何检测直接转发ARP数据包。如果是从不信任端口上接收到ARP数据包，交换机只会转发合法的数据包。
在DHCP服务器存在的环境下，可以在每个VLAN中启用DHCP监听和ip arp inspection vlan命令来启用动态ARP检测。如果没有DHCP环境，用户需要使用arp 访问列表手工配置IP地址来启用动态ARP检测合法的数据包。
接口信任状态和网络安全
如果ARP数据包是在信任端口上接收到的，交换机不会做任何检测直接转发ARP数据包。如果是从不信任端口上接收到ARP数据包，交换机只会转发合法的数据包。
在一个典型的网络中，交换机中所有连接主机的端口配置为不信任端口，所有交换机与交换机相连的端口配置为信任端口。如下图，交换机A和交换机B运行动态ARP检测，主机1和主机2需要从连接到交换机A的dhcp服务器来获得IP地址，交换机1建立主机1和主机2的IP和MAC地址的绑定信息，交换机B建立主机2的IP和MAC地址的绑定信息。如果交换机A和交换机B连接的端口设置为不信任端口，从主机1发出的ARP数据包到达交换机B时，会被交换机B丢弃，这样主机1和主机2的联系就中断了。

配置过程：
默认配置：
特性默认配置
-----------------------------------------
动态ARP检测所有vlan中不启用
接口信任状态所有接口是不信任
进入ARP数据包流量限制不信任端口：15 pps信任端口：没有限制
没有dhcp环境下的arp访控没有定义
合法核实没有核实允许
日志缓冲所有拒绝和丢弃arp数据包的行为都会被记录日志的缓冲大小为32系统信息数被限制为5秒钟一次
每个vlan的日志所有的拒绝和丢弃的行为都被记录
配置DHCP环境的DAI
1）配置相应的DHCP监听和IP源保护
2）进入全局模式 configure terminal
3）在指定的vlan上启用动态ARP检测
ip arp inspection vlan vlan范围
4）进入接口模式 interface 接口
5）指定信任端口
ip arp inspection trust
6）验证结果
show ip arp inspection
show ip arp inspection database
show ip arp inspection vlan vlan号
show ip arp inspection statistes vlan vlan号
案例：

swA#config terminal
swA(config)#ip dhcp snooping
swA(config)#ip dhcp snooping vlan 10
swA(config)#ip arp inspection vlan 10
swA(config)#interface f0/1
swA(config-if)#ip dhcp snooping trust
swA(config-if)#switch access vlan 10
swA(config-if)#interface f0/2
swA(config-if)#switch access vlan 10
swA(config)#interface f0/23
swA(config-if)#ip arp inspection trust
--------------------------------------------------
swB#config terminal
swB(config)#ip dhcp snooping
swB(config)#ip dhcp snooping vlan 10
swB(config)#ip arp inspection vlan 10
swB(config-if)#interface f0/3
swB(config-if)#switch access vlan 10
swB(config)#interface f0/23
swB(config-if)#ip arp inspection trust
swB(config-if)#ip dhcp snooping trust
-----------------------------------------------------------
与交换机A fa0/1相连的路由器扮演dhcp服务器的角色
dhcpserver#conf ter
dhcpserver(config)#ip dhcp excluded-address 192.168.1.1
dhcpserver(config)#ip dhcp pool cisco
dhcpserver(dhcp-config)#network 192.168.1.0 255.255.255.0
dhcpserver(dhcp-config)#default-route 192.168.1.1
-------------------------------------------------------------
与交换机A fa0/2相连的路由器扮演主机1的角色
host1(config)#no ip routing
host1(config)#int e0
host1(config-if)#ip address dhcp
-------------------------------------------------------------
与交换机B fa0/3相连的路由器扮演主机2的角色
host2(config)#no ip routing
host2(config)#int f0/0
host2(config-if)#ip address dhcp
------------------------------------------------------------
SWA#show ip dhcp snoo bind
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------- -------------- ---------- ---------- ---- ----------------
00:E0:1E:60:7C:86 192.168.1.2 83702 dhcp-snooping 10 FastEthernet0/2
Total number of bindings: 1
-------------------------------------------------------------------------
SWA#show ip arp inspection
Source Mac Validation : Disabled
Destination Mac Validation : Disabled
IP Address Validation : Disabled
Vlan Configuration Operation ACL Match Static ACL
---- ------------- --------- --------- ----------
10 Enabled Active
Vlan ACL Logging DHCP Logging
---- ----------- ------------
10 Deny Deny
Vlan Forwarded Dropped DHCP Drops ACL Drops
---- --------- ------- ---------- ---------
10 0 0 0 0
Vlan DHCP Permits ACL Permits Source MAC Failures
---- ------------ ----------- -------------------
10 0 0 0
Vlan Dest MAC Failures IP Validation Failures Invalid Protocol Data
---- ----------------- ---------------------- ---------------------

Vlan Dest MAC Failures IP Validation Failures Invalid Protocol Data
---- ----------------- ---------------------- ---------------------
10 0 0 0
------------------------------------------------------------------------
SWA#show ip arp inspection statistics vlan 10
Vlan Forwarded Dropped DHCP Drops ACL Drops
---- --------- ------- ---------- ---------
10 0 0 0 0
Vlan DHCP Permits ACL Permits Source MAC Failures
---- ------------ ----------- -------------------
10 0 0 0
Vlan Dest MAC Failures IP Validation Failures Invalid Protocol Data
---- ----------------- ---------------------- ---------------------
10 0 0 0
-------------------------------------------------------------------------
SWA#show ip arp inspection inter
Interface Trust State Rate (pps) Burst Interval
--------------- ----------- ---------- --------------
Fa0/1 Untrusted 15 1
Fa0/2 Untrusted 15 1
Fa0/3 Untrusted 15 1
Fa0/4 Untrusted 15 1
Fa0/5 Untrusted 15 1
Fa0/6 Untrusted 15 1
Fa0/7 Untrusted 15 1
Fa0/8 Untrusted 15 1
Fa0/9 Untrusted 15 1
Fa0/10 Untrusted 15 1
Fa0/11 Untrusted 15 1
Fa0/12 Untrusted 15 1
Fa0/13 Untrusted 15 1
Fa0/14 Untrusted 15 1
Fa0/15 Untrusted 15 1
Fa0/16 Untrusted 15 1
Fa0/17 Untrusted 15 1
Fa0/18 Untrusted 15 1
Fa0/19 Untrusted 15 1
Fa0/20 Untrusted 15 1
Fa0/21 Untrusted 15 1
Fa0/22 Untrusted 15 1
Fa0/23 Trusted None N/A
Fa0/24 Untrusted 15 1
Gi0/1 Untrusted 15 1
Gi0/2 Untrusted 15 1
Po13 Untrusted 15 1
Po14 Untrusted 15 1
--------------------------------------------------------------
SWB#show ip arp inspection vlan 10
Source Mac Validation : Disabled
Destination Mac Validation : Disabled
IP Address Validation : Disabled
Vlan Configuration Operation ACL Match Static ACL
---- ------------- --------- --------- ----------
10 Enabled Active
Vlan ACL Logging DHCP Logging
---- ----------- ------------
10 Deny Deny
-------------------------------------------------------------------
SWA#show ip arp inspection statistics
Vlan Forwarded Dropped DHCP Drops ACL Drops
---- --------- ------- ---------- ---------
10 13 45 45 0
Vlan DHCP Permits ACL Permits Source MAC Failures
---- ------------ ----------- -------------------
10 1 0 0
Vlan Dest MAC Failures IP Validation Failures Invalid Protocol Data
---- ----------------- ---------------------- ---------------------
10 0 0 0
-----------------------------------------------------------------------
检测攻击
我们将主机2模拟为攻击者，将主机2的IP地址配置为主机1的IP地址
Rack11SW2#ping 192.168.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
14:36:50: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa0/3, vlan 10.([0013.1a7f.8c21/192.168.1.2/0000.0000.0000/11.11.36.6/14:36:49 UTC Mon Mar 1 1993]).
14:36:51: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Res) on Fa0/3, vlan 10.([0013.1a7f.8c21/192.168.1.2/000d.bde6.a880/192.168.1.200/14:36:50 UTC Mon Mar 1 1993]).
14:36:55: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Res) on Fa0/3, vlan 10.([0013.1a7f.8c21/192.168.1.2/000d.bde6.a880/192.168.1.200/14:36:54 UTC Mon Mar 1 1993]).
Success rate is 0 percent (0/5)
----------------------------------------------------------------------------
SWB#show arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.1.2 0 Incomplete ARPA
配置非DHCP环境的动态ARP检测
1）进入全局模式 configure terminal
2）定义arp的访问控制列表
arp access-list 访控名称
3）定义允许列表内容
permit ip host 发送者IP地址 mac host 发送者MAC地址
4）将arp访控应用到指定的vlan
ip arp inspection filter arp访控名称 vlan vlan范围 [static]
static:使用这个参数，访控将使用隐含的deny语句来拒绝arp数据包
5）验证结果
show arp access-list
案例：

如图，把交换机A上相连的dhcp服务器去除，交换机B也配置了动态ARP检测。如果我们把交换机A的端口1配置为信任端口，因为信任端口是不会对arp数据包做任何的检测，这样交换机B或者主机2对交换机A和主机1会造成arp的攻击。这样交换机A的端口1配置为非信任端口，但为了主机2和主机1之间通信，必须在交换机A上应用一个arp访问控制列表允许主机2访问。如果主机2的IP地址不是静态的，必须将交换机A和交换机B在第3层上分隔开，两者之间添加路由器来路由两者之间的数据包。
SwA#config terminal
SWA(config)#arp access-list cisco
SWA(config-arp-nacl)#permit ip host 192.168.1.3 mac host 0013.1a7f.8c21
SWA(config-arp-nacl)#exit
SWA(config)#int f0/23
SWA(config-if)#no ip arp inspection trust
SWA(config-if)#end
SWA(config)#ip arp inspection filter cisco vlan 10
--------------------------------------------------------------------------
SWA#show arp access-list
ARP access list cisco
permit ip host 192.168.1.3 mac host 0013.1a7f.8c21
-------------------------------------------------------------------------
SWA#show ip arp inspection
Source Mac Validation : Disabled
Destination Mac Validation : Disabled
IP Address Validation : Disabled
Vlan Configuration Operation ACL Match Static ACL
---- ------------- --------- --------- ----------
10 Enabled Active cisco No
Vlan ACL Logging DHCP Logging
---- ----------- ------------
10 Deny Deny
Vlan Forwarded Dropped DHCP Drops ACL Drops
---- --------- ------- ---------- ---------
10 21 45 45 0
Vlan DHCP Permits ACL Permits Source MAC Failures
---- ------------ ----------- -------------------
10 9 0 0
Vlan Dest MAC Failures IP Validation Failures Invalid Protocol Data
---- ----------------- ---------------------- ---------------------

Vlan Dest MAC Failures IP Validation Failures Invalid Protocol Data
---- ----------------- ---------------------- ---------------------
10 0 0 0
配置ARP数据包的流量限制
当进入的ARP数据包超过了配置的流量限定，交换机会将这个端口进入到err-disable状态。这个端口一直保持这种状态到err-disable恢复时间到期
1）进入全局模式 configure terminal
2）进入接口模式 interface 接口
3）配置ARP数据包的流量限制
ip arp inspection limit rate 每秒包数 [burst interval 秒数]
PPS：每秒多少数据包，取值为0-2048，非信任端口上默认为每秒15数据包，信任端口上没有流量限制
Burst interval:突发时间间隔，取值为1-15
4）配置使能端口err-disable状态的恢复
errdisable recovery cause arp-inspection interval 秒数
默认情况下，err-disable恢复是关闭的，恢复时间为300秒，取值为30-86400
5）验证结果
show ip arp inspection interface
SWA# show ip arp inspection interface f0/23
Interface Trust State Rate (pps) Burst Interval
--------------- ----------- ---------- --------------
Fa0/23 Untrusted 200 5
合法性的检查
网络管理员能够根据IP对应MAC地址的绑定的合法性来拦截、记录和丢弃具有无效MAC地址/IP地址绑定的ARP数据包。交换机能够配置以目标的MAC地址、IP地址和源MAC地址来作为核实的依据。
1）进入全局模式 configure terminal
2）配置合法性的检查依据
ip arp inspection validate [src-mac|dst-mac|ip]
3）验证结果
SWA#show ip arp inspection statistics vlan 10
Vlan Forwarded Dropped DHCP Drops ACL Drops
---- --------- ------- ---------- ---------
10 0 0 0 0
Vlan DHCP Permits ACL Permits Source MAC Failures
---- ------------ ----------- -------------------
10 0 0 0
Vlan Dest MAC Failures IP Validation Failures Invalid Protocol Data
---- ----------------- ---------------------- ---------------------
10 0 0 0
配置日志的缓冲
1）进入全局模式 configure terminal
2）配置日志缓冲
ip arp inspection log-buffer entrie 条数 | logs 数目 interval 秒数
entrie 数目：指定日志缓冲的条目个数，取值为0-1024
logs 数目 interval 秒数：在指定的时间间隔内，产生系统信息的条目数目
3）指定记录日志的类型，默认情况下，所有拒绝和丢弃的行为都会被记录。
ip arp inspection vlan vlan值 logging acl-match [matchlog] | dhcp-bindings [all|none|permit]
acl-match:记录符合arp 访控列表条目permit或deny的内容
dhcp-bindings:记录匹配dhcp绑定表的内容
4）验证结果
show ip arp inspection log
案例：
SWA(config)#ip arp inspection log-buffer entrie 15
SWA(config)#ip arp inspection log-buffer logs 100 interval 60000
SWA#show ip arp inspection log
Total Log Buffer Size : 15
Syslog rate : 100 entries per 60000 seconds.
Interface Vlan Sender MAC Sender IP Num Pkts Reason Time
---------- ---- -------------- ---------- ------- ----------- ----
Fa0/3 10 0013.1a7f.8c21 192.168.1.3 1 DHCP Deny 15:59:31 UTC

Mon Mar 1 1993

开源IaaS软件的比较 — 构架、功能、社区、商业及其他

Tue, 06 Dec 2011 11:36:07 +0800

原文地址：http://www.qyjohn.net/?p=1624

这一套幻灯片是应CSDN的邀请为12月16-17日在北京举行的软件开发2.0技术大会准备的。文字部分是在幻灯片制作完毕后起草的发言稿。由于会议延期的原因，就先把幻灯片和文字内容通过博客发布出来，请各位同行不吝指教。

【讲座主题】

大家好。感谢CSDN所提供的这个机会，使我能够和在座各位就基础构架服务方面的技术进行交流。

【个人介绍】

首先做个简单的自我介绍。我叫蒋清野，是个半路出家的程序员。在过去10年中，我为四家公司提供过服务，并且在每一家公司所做的事情都跟上家有很大的不同。在座有一些朋友认识我，可能是参加过我在Sun 公司工作期间组织的各种技术推广活动，也可能是使用过我所提供的Unix-Center.Net服务。在过去9 个月中，我短暂地为天涯社区工作，参与了天涯云计算平台的规划和实施。在这段时间里，我学习了一些与云计算 — 尤其是基础构架服务 — 有关的知识，也借助天涯社区的硬件条件做了一些测试和评估。今天这个讲座的内容，可以说是对过去9 个月里所学内容的一个总结。虽然这些总结还比较粗浅甚至是幼稚，我还是愿意通过CSDN所提供的这个平台与大家分享，希望能够得到大家的批评和指正。

（2 分钟）

【议题介绍】

今天这个讲座，主要是从构架、功能、社区和商业的角度来对OpenNebula、Nimbus、OpenStack和Eucalyptus这四个开源IaaS软件进行比较。

在构架方面，我们关心的是它包括哪些组件，各个组件之间的关系以及通讯方式，以及这样的设计会如何影响到整个系统的扩展性和伸缩性。这里我们所说的扩展性，是指为相关软件添加新的功能模块的能力。举个例子说，当新的更好的虚拟化技术出现时，云管理员能不能相对容易地为新的虚拟化技术提供支持。在伸缩性方面，我们更关心的则是相关软件能够管理多大规模的数据中心。如果它不能够管理更大规模的数据中心，其性能瓶颈主要在什么地方。

在功能方面，我们关心的是它是否能够满足用户的需求。我们所说的用户又可以分成两个类别，一个是IaaS服务的使用者也就是终端用户，另一个是IaaS服务的提供者也就是云管理员。对于终端用户来说，他所关心的是能不能够通过这个系统方便地申请、创建、启动、休眠、唤醒、关闭、销毁虚拟机，以及方便地监控自己账户下所有虚拟机的处理器、内存、磁盘和网络使用状况。对于云管理员来说，他所关心的是能不能够通过这个系统方便地监控整个数据中心 — 甚至是多个数据中心 — 所有物理机和虚拟机的资源使用状况，能不能在尽可能少的物理机上运行尽可能多的虚拟机以达到节能减排的目的。从理论上来讲，基础构架服务的终端用户只需要关心自己所使用的虚拟机资源而不必关心虚拟机后面的技术细节。但是当云服务出现故障的时候，我们会发现终端用户比云管理员更关心云服务的高可用性、数据备份策略等等细节，并且迫切地希望存在某些途径让自己的虚拟机和别人的虚拟机得到特殊的照顾和祝福。从工程的角度来讲世界上不存在绝对不会失效的系统，但是这些需求可以转变成功能或者是产品，使得云服务提供商可以为不同的用户提供不同的服务。

为什么要关心社区？我们知道，大部分企业在选择解决方案的时候，成本是一个很重要的影响因子。最近几年“总体拥有成本”（Total Cost of Ownership, TCO）这个概念非常流行，意思就是说一个解决方案的成本包括两个部分，一个是初期的购置和安装成本，另外一个是后期的维护和服务成本。卖商业软件的通常会跟我们讲：“你买我们的解决方案，出了问题我们给你解决。你用那些开源软件，出了问题怎么办？”做我们这一行的都知道，后期的维护和服务成本类似于买保险，在大多数时候起的是心理安慰和推卸责任的作用。但是如果这个保险没有买，出了问题就只能够找社区了。因此，我们在这里专门讨论一下与这几个开源软件所关联的社区的规模、活跃度和参与度。

最后我们会花一点时间讨论一下开源软件的商业模式问题。这个问题又可以分为两个方面，一方面是开源软件开发者如何盈利，另一方面是开源软件使用者如何获得专业支持和服务。对于基础构架服务这种关键性应用来说，在软件选型过程当中如果不考虑开源软件的商业模式问题，将来可能会遇到一些意想不到的麻烦和困难。

（6 分钟）

【构架/功能 — 概述】

首先我们从构架的角度来看看基础构架服务由哪几个层面的技术组成。

左上角这个图片是虚拟化技术示意图。通过虚拟化技术，一台计算机可以被虚拟成多台计算机，每台虚拟机拥有独立的处理器、内存、硬盘和网络接口。使用虚拟化技术能够提高硬件资源的利用率，使得多个应用能够运行在同一台物理机上但是彼此隔离，各自拥有独立的操作系统和其他运行环境。这张幻灯片上所提到的Xen、KVM和VMWare等等，是已经被业界广泛认可的几种虚拟化技术。还有一些比较小众的虚拟化技术，在这里就不一一列出了。经过这么多年的发展，虚拟化技术已经非常成熟。越来越多的公司正在将虚拟机部署到生产环境中。

当我们需要在多台物理机上创建多个虚拟机并且维护多个运行环境时，我们就需要一个工具来帮助我们对物理机和虚拟机进行管理，也就是右上角这个图片里的虚拟化管理。一个相对完整的虚拟化管理系统通常会提供如下几个方面的功能。（1）通过资源池的方式对物理资源进行重新组织；（2）虚拟机生命周期管理，例如创建、启动、休眠、唤醒、关闭、迁移、销毁虚拟机；（3）将常用的运行环境保存为虚拟机模板，可以方便地创建一系列相同或者是相似的运行环境；（4）在计算资源允许的情况下提供高可用性、动态负载均衡、备份与恢复；（5）对所有的物理机和虚拟机进行监控，生成报表并在必要的情况下发出预警。这张幻灯片上所提到的Oracle VM、CloudStack和ConVirt等等，是一些比较有代表性的虚拟化管理软件。由于空间有限，很多优秀的虚拟化管理软件我就不在这里一一列出了。

虚拟化管理软件的用户，通常是运维人员，也就是管理服务器、交换机、存储和数据中心的工程师。对于实行的是集中式IT资源管理的组织来说，虚拟化管理软件大大地提高了运维部门的效率。在互联网这个行业，大家经常抱怨的就是基础设施的建设跟不上项目建设的需要，计算资源申请、采购、安装、上架、开通的流程太长。现在运维人员不再给业务部门分配物理机，而是通过虚拟化管理软件分配虚拟机，因此这个流程被大大缩短了。但是对于需要经常性地重装系统的开发和测试团队来说，他们还是需要经常性地麻烦运维人员给他们重新分配虚拟机、安装操作系统以及配置运行环境。他们迫切地希望有一个环境，能够自己完成创建、启动、休眠、唤醒、关闭、迁移、销毁等虚拟机生命周期管理任务。不仅如此，他们还希望能够通过一系列自定义的程序来自动地完成这些任务，或者是将这些功能和自己日常使用的一些工具整合在一起。与此同时，拥有大量物理服务器的单位在使用虚拟化技术以后突然发现自己的服务器买得太多了，希望通过虚拟机的方式将多余的计算资源租赁给其他单位使用。为了满足这样的需求，就出现了终端用户通过浏览器自助式申请、开通、管理计算资源的解决方案，以及通过Web Service API将虚拟机生命周期管理操作暴露给第三方应用的解决方案。终端用户绕过了运维工程师，以自助服务的方式申请、开通、管理计算资源，就是我们所谓的基础构架服务。这张幻灯片上所提到的OpenNebula、Nimbus、OpenStack和Eucalyptus是一些开源的基础构架服务软件，而Amazon、DreamHost和Linode是一些业界比较知名的基础构架服务提供商。

现在我们总结一下这张幻灯片上的内容：虚拟化技术利用单台物理机的计算资源提供多台相互独立的虚拟机，虚拟化管理软件使得运维人员能够方便地在大规模的数据中心实施虚拟化技术。而在虚拟化管理软件的基础上进行封装，使终端用户能够以自助服务的方式获得计算资源，就是我们所谓的基础构架服务。为了让大家进一步了解基础构架服务都是怎么实现的，我们接下来以OpenNebula、Nimbus、OpenStack和Eucalyptus为例子，分析一下他们的构架和功能。

（7 分钟）

【构架/功能 — OpenNebula 3.0】

接下来我们通过四张图片来展示OpenNebula 3.0在不同层次上的设计思路。

左上角这张图片是 OpenNebula的整体构架图。（1）前端（FRONT-END）通过浏览器和Web Service向云管理员和终端用户提供服务。（2）ONED是OpenNebula的核心服务进程，包括虚拟化管理模块和任务调度模块。（3）ONED通过SSH方式连接到计算节点，并通过虚拟化驱动（Drivers）来调用计算节点上的虚拟化控制命令。当计算节点使用KVM或者是VMWare ESXi作为虚拟化技术时，OpenNebula使用libvirt所提供的接口远程调用计算节点上的虚拟化控制命令。当计算节点使用Xen作为虚拟化技术时，OpenNebula通过SSH登录到计算节点执行相关的虚拟化控制命令。（4）计算节点通过前端的映像驱动（Images）获得需要运行的操作系统映像文件。需要说明的是，还有一些前端模块没有出现在这个图上。这些前端模块包括监控、用户界面和云服务API。

左下角这张图片是OpenNebula的存储结构图。OpenNebula使用映像仓库（Image Repository）来保存操作系统映像文件。这个映像仓库要能够被OpenNebula的前端直接访问，可以是SAN、NAS或者是磁盘阵列等其他存储设备。我们创建虚拟机的时候，ONED首先通过任务调度器确定将要运行该虚拟机的计算节点，然后将相应的磁盘映像文件拷贝到计算节点上，最后通过虚拟化驱动调用相应的虚拟化技术创建虚拟机并启动运行。对于一个小型的私有云来讲，可以简单地使用类似于NFS的共享文件系统方式将同一个目录挂载到前端服务器和所有的计算节点上。通过使用共享文件系统，可以缩短部署虚拟机所需要的时间，还可以方便地实现虚拟机的在线迁移。使用共享文件系统的时候需要注意的是，如果某些虚拟机频繁地进行磁盘IO操作的话，部署在同一共享文件系统上的所有虚拟机都会受到影响。在这种情况下，可以考虑将磁盘IO密集型虚拟机的磁盘映像文件缓存在计算节点上，这样只有运行在同一计算节点上的虚拟机会受到影响。

在网络方面，OpenNebula通过在计算节点上配置网桥的方式为虚拟机提供网络连接。在右上角的这张示意图上，一个计算节点配置了两个网桥，其中一个连接到公网，另外一个连接到内网。需要注意的是，在同一个计算集群中，所有计算节点的网桥配置必须是同样的。另外，OpenNebula可以通过配置文件来指定某个网络可用的IP范围，并且在创建虚拟机的时候通过配置文件直接指定虚拟机的IP，因此OpenNebula可以在没有DHCP服务器的情况下为虚拟机分配IP。除此之外，我想在座的各位对网桥的设置都不陌生了，在这里我就不再重复这些常识了。

刚才我们所提到的构架、存储和网络，都属于虚拟化管理的范畴。在虚拟化管理的基础上，OpenNebula使用一个称为SunStone的用户界面，使得云管理员和终端用户都能够通过浏览器访问被OpenNebula所管理的基础构架，在各自的权限范围内执行虚拟机生命周期管理操作，就形成了一个完整的基础构架服务系统。

（7 分钟）

【构架/功能 — Nimbus 2.8】

接下来我们看一看Nimbus这个项目。从左上角的构架图来看，Nimbus的构架设计和OpenNebula是非常相像的。用户通过浏览器界面访问Nimbus服务，管理节点通过SSH和libvirt调用计算节点上的Xen或者KVM命令。不同的地方主要有两个，一个是它通过DHCP服务器为虚拟机分配IP，另外一个是它使用了一个名为Cumulus的云存储服务。

左下角这张图是Cumulus云存储的构架图。可以看出，Cumulus由多个功能模块组成。从顶层看，它是一个与Amazon S3相兼容的云存储服务；从底层看，它可以搭建在简单的本地硬盘或者是负责的HDFS上。在云计算这个领域，Amazon S3是事实上的云存储标准。Nimbus使用云存储来提供存储服务，从构架上来说比使用共享文件系统的OpenNebula更接近于Amazon EC2/S3。

各位可能会问，用云存储来作为基础构架服务的关键组件，在性能上会不会有问题呢？右边这两张图展示的分别是Culumus、scp、gridFtp和本地文件系统在上载和下载不同大小的文件时的吞吐量。从这两张图可以看出，当被操作的文件较小的情况下，Culumus的性能较差，但是与scp和gridFtp的性能在同一水平上；当被操作的文件大小超过1 GB的时候，Culumus的性能与本地文件系统接近。考虑到操作系统应先文件的大小通常会超过1 GB，可以认为使用Culumus来存储操作系统映像文件是没有问题的。

（3 分钟）

【构架/功能 — Eucalyptus 2.0.3】

接下来我们看一看Eucalyptus这个项目。Eucalyptus的构架和OpenNebula以及Nimbus相比有两个明显的不同。首先，在计算节点（Node Controller）和云控制器（Cloud Controller）之间，多了一个叫做集群控制器（Cluster Controller）的组件。其次，在Eucalyptus中有两个负责存储的组件，一个叫做Walrus存储控制器（Walrus Storage Controller，缩写成WS3），另外一个叫做弹性块存储（Elastic Block Storage，缩写成EBS）。

引入集群控制器这个组件后，Eucalyptus中的虚拟化管理功能就由集群控制器来承担。也就是说，当用户向Eucalyptus的云控制器请求计算资源的时候，Eucalyptus的云控制器根据各个计算集群的资源使用状况将用户的请求转发给某个计算集群的集群控制器，集群控制器再根据本集群中各个计算节点的资源使用状况决定在哪个计算节点上创建和运行虚拟机。我们把Eucalyptus的构架和OpenNebula以及Nimbus的构架来做个比较，可以看出Eucalyptus的计算集群和OpenNebula以及Nimbus在功能上基本是等价的。我们知道，当计算节点的数量较多的时候，虚拟化管理模块以及系统监控模块的压力就会比较大，可能会影响到整个系统的性能。我们假定Eucalyptus、OpenNebula以及Nimbus的虚拟化管理模块的实现水平是相当的，当OpenNebula和Nimbus由于计算节点数量增加而出现性能问题的时候，Eucalyptus可以通过增加计算集群的方法来实现横向扩展。从这个意义上说，Eucalyptus的构架设计提供了更大程度的扩展性，能够支撑更大规模的基础构架。

刚才我们说到，Eucalyptus中有两个负责存储的组件。一个是WS3，与Amazon的简单存储服务（Simple Storage Service，S3）相对应；另外一个是EBS，与Amazon的弹性块存储（Elastic Block Store，EBS）相对应。EBS可以被当做块设备挂载到虚拟机上，相当于云硬盘。EBS能够提供较大的容量，具有较好的IO性能。S3则是一种基于Key-Value的网络存储，有人也把它叫做云存储。S3使得用户能够通过简单的API在网络上存储和读取数据。

在我们已经提到的三个IaaS软件中，OpenNebula直接使用共享文件系统作为存储，Nimbus使用了一个类似于S3的Cumulus存储服务，Eucalyptus则进一步将云硬盘和云存储分开。从构架上来看，Eucalyptus的构架和Amazon 的EC2/S3服务最为接近。

类似于S3的云存储服务使得用户能够通过简单的API在网络上存储和读取数据，但是对于数据密集型应用来说，使用S3服务可能会出现性能方面的问题。最近卡耐基梅隆大学（Carnegie Mellon University，CMU）的并行数据实验室（Parallel Data Labs）基于Walrus云存储实现了pWalrus云存储服务。大家看幻灯片上右下角这张图，可以看出pWalrus把数据存放在一个并行的文件系统上。对于互联网用户来讲，他可以通过简单的PUT和GET来读写数据；对于计算节点来讲，它既可以通过PUT和GET来读写数据，还可以直接用文件IO的模式来读写数据。经过这样的改进后，pWalrus能够提供更好的IO性能，也能够进一步保障数据的安全性。

（8 分钟）

【构架/功能 — OpenStack】

接下来我们看一看OpenStack这个项目。这个构架图看起来有点费劲，因为它不符合从上到下、从左到右的阅读习惯。另外，这张图里面的组件太多了，看起来有点眼花缭乱。这里我用几个不同颜色的方框给这些组件做一下分组，包含在橙色方框里面的是前端，包含在蓝色方框里面的是计算节点，包含在绿色方框里面的是存储服务。

我们首先看一看前端这个部分。终端用户通过nova-api访问OpenStack请求计算资源。OpenStack首先对用户进行身份认证，然后通过任务调度器（nova-scheduler）确定在哪一个计算节点上创建新的虚拟机。

在计算节点这个部分，OpenStack通过libvirt和Xen API来进行虚拟机生命周期管理。计算节点上的网络界面，是通过nova-network这个组件来管理的。

在存储服务这个部分，OpenStack提供了两个存储组件。其中，nova-volume提供弹性块设备服务，相当于Amazon EBS；nova-objectstore提供简单存储服务，相当于Amazon S3。

OpenStack的各个组件之间不共享任何状态，各个组件之间通过中间这张图中间用红色圈出的消息队列（MQ）来进行异步通讯。OpenStack中的任意组件可以安装在任意服务器上，只需要在配置文件里面指定MQ服务器的地址即可。因此，MQ可能成为整个系统的性能瓶颈。在这种情况下，可以通过增加一台MQ服务器来解决。

到现在为止，我们已经能够全面了解了OpenNebula、Nimbus、Eucalyptus和OpenStack的构架。尽管每个软件的设计思路和实现细节各有千秋，但是都可以归结为三个比较大的模块：一是通常被称为云控制器的前端，包括用户界面、编程接口和任务调度组件；二是虚拟化管理，包括网络管理和虚拟机管理；三是存储服务，包括弹性块设备和简单存储服务。在这三大模块的基础上，还可以添加监控、报表、分析、计费等等外围组件。这些组件往往是运营方面的要求，不是基础构架服务的核心技术，在这里我们就不详细讨论了。

（4 分钟）

【构架/功能 — 综合比较】

在了解过OpenNebula、Nimbus、Eucalyptus和OpenStack在构架上的差异之后，我们简单地比较一下这四个系统在功能上的差异。这里所说的功能，是指缺省的基本组件安装配置完毕后即可立即使用的功能，不包括尚未正式发布的试验性组件。

首先我们从终端用户的角度来看，这个系统是不是有一个方便好用的门户或者是客户端去进行各种各样的操作。OpenNebula提供了基于浏览器的用户门户，Nimbus则提供了一个基于Java的桌面客户端，Eucalyptus和OpenStack则需要利用命令行工具或者是第三方解决方案。

在云主机、云硬盘和云存储着三类基础构架服务中，OpenNebula仅提供云主机服务，Nimbus增加了云存储服务，Eucalyptus和OpenStack都能够提供全面的服务。此外，OpenNebula的用户能够直接通过基于浏览器的VNC访问虚拟机的控制台（console），其他三个系统的终端用户暂时无法直接访问虚拟机的控制台。

四个系统的终端用户均可创建自定义的虚拟机模板，但是实现的难易程度有较大差别。

只有OpenNebula提供了简单的监控报表，能够报告虚拟机的处理器核内存使用状况。

在备份、恢复和用户账单等方面，基本还是空白。

由于缺少存储方面的某些组件，OpenNebula和Nimbus所提供的服务并不完全兼容于Amazon EC2/S3，Eucalyptus和Nimbus则是和Amazon EC2/S3完全兼容的。

其次我们从云管理员的角度去考察，这个系统是不是有一个方便好用的门户或者是客户端去进行各种各样的操作。只有OpenNebula通过SunStone提供了基本上能够用的管理门户，Nimbus干脆就没有管理员门户，Eucalyptus有一个管理员门户但是能够做的事情非常有限，OpenStack有一个正在开发中的Dashboard但是不能够算数。

在服务器监控、虚拟机监控和监控报表这个领域，只有OpenNebula提供了凑合能用的解决方案，其他三个系统都没有这方面的功能。有人会说服务器和虚拟机的监控可以通过Nagios或者是Zabbix等等监控框架来实现。但是从基础构架服务的发展趋势来看，将监控组件纳入IaaS管理系统，是非常有必要的。这一点我接下来还会讲到。

OpenNebula和OpenStack提供了基于命令行的虚拟机在线迁移功能，Nimbus和Eucalyptus则没有提供这个功能。

在物理机动态负载调整、虚拟机高可用性、备份与恢复、报警机制和运营计费等方面，基本还是空白。

在一个成熟的虚拟化管理系统（例如ConVirt）中，必然会有对物理机和虚拟机的监控模块。监控模块以一定的频率记录物理机和虚拟机的处理器、内存、磁盘、网络使用状况，并以图表的方式展现给用户。当虚拟机的运行状况有问题的时候，可以自动地重启（甚至是在另外的物理服务器上重启）虚拟机，从而实现虚拟机的高可用性。在这些监控数据的基础上，可以手动甚至是自动地对物理机的负载进行调整，譬如说通过在线迁移把某些负载比较轻的虚拟机整合到数量较少的服务器上，空闲出来的服务器就可以进入休眠状态从而达到节能的目的。当虚拟机的负载比较重的时候，系统又可以自动唤醒某些处于休眠状态的服务器，并通过在线迁移把一些虚拟机迁移到新的服务器上。大多数VPS用户都知道他们的虚拟机是和别人的虚拟机共享一台物理机的，但是他们可能不知道在同一台物理机上所运行的虚拟机的处理器总和是超过这台物理机的处理器总和的。同样，运营商卖出去的内存总和，也是超过物理机的内存总和的。这种情况我们叫做超售，也就是over-commit。对于一个基础构架服务提供商来说，必须要有一套监控分析、在线迁移、负载调整的工具才能够在实现超售的同时提供较好的用户体验。

随着服务器性能的不断提高，数据中心虚拟化以及基础构架服务是一个不可阻挡的趋势。对于终端用户来说，他们需要的是一个简单易用的界面，只需要选择自己需要的软硬件配置即可立即开通自己所需要的计算资源，并且随时可以看在自己账户下所有计算资源的使用状况。对于云管理员来说，他们同样需要一个的简单易用界面，能够管理一个跨越多个数据中心的基础构架，能够基于系统的运行情况自动地进行负载调整，从而实现最大的投资收益。从目前的状况来看，与其他几个IaaS软件相比较，OpenNebula能够给终端用户和云管理员提供更多的功能。但是从基础构架服务提供商的角度来看，开放源代码的IaaS解决方案要进入生产环境，还有很长的路要走。

（8 分钟）

【社区/商业 — 数据】

现在我们花一点时间从社区和商业的角度来对开源IaaS软件进行一下比较。Nimbus这个项目的社区规模很小，没有明显的商业诉求，我们暂时把它放在这个分析比较之外。这张幻灯片上的四个图表，是我在今年9 月份根据2009年1月以来Eucalyptus、OpenNebula和OpenStack社区的邮件列表和论坛数据整理出来的。左边的这两张图，分别是每个月当中所产生的讨论主题数和帖子总数。右上方的这张图，则是当月参与了讨论的总人数。右下方的这张图，是每个月的帖子总数与讨论主题数的比值，我们暂且称之为参与度。

显而易见，OpenNebula社区自2009年以来一直保持良好的发展势头，其讨论主题数、讨论帖子数和参与讨论的总人数都在稳步增长。但是该项目在 2011年4 月之后开始呈现衰落的势头。Eucalyptus社区在2010年6 月之前发展迅猛，无论是讨论主题数、讨论帖子数和参与讨论的总人数都是OpenNebula社区的两到三倍左右。但是Eucalyptus社区自2010 年6 月之后逐步衰落，尽管在2010年10月前后有过数次复兴的趋势，但是最终日渐式微并于2011年5 月前后降低到OpenNebula社区的同等水平。新兴的OpenStack社区在创立初期发展缓慢，但是从2011年1 月起呈现出爆发的势头。目前OpenStack社区的讨论主题数、讨论帖子数和参与讨论的总人数都在OpenNebula社区和Eucalyptus社区之上，但是尚未达到Eucalyptus社区在2010年6 月的规模。

通常来讲，一个讨论主题得到的回复数越多，表明该主题的讨论越深入。一个论坛或者邮件列表如果只有主帖而没有回复，说明这个社区的参与程度很低。因此，平均意义上的“讨论帖子数/讨论主题数”则反映了一个社区的参与程度。从右下方这张图表可以看出，OpenNebula社区和Eucalyptus社区的参与度基本上是接近的。在2010年8 月以前，Eucalyptus社区的参与度略高于OpenNebula社区。在2010年8 月以后，OpenNebula社区的参与度略高于Eucalyptus社区。但是OpenStack社区的参与度从2010年6 月项目开始之日起就高于OpenNebula社区和Ecualyptus社区。除了个别异常月份之外，OpenStack社区的参与度通常是其他两者的两倍甚至是更高。

（5 分钟）

【社区/商业 — 人物】

说到OpenStack社区的迅猛成长，就不能不提到OpenStack的社区经理（Community Manager）Stephen Spector。Stephen Spector在1997年到2010年之间一直在Citrix工作，负责软件联盟并担任Xen.org的社区经理，在社区管理方面可以说是拥有丰富的经验。他于2010年9 月跳槽到Rackspace担任OpenStack的社区经理，立即开始了一系列的广告、公关、宣传、结盟活动。通过论坛和邮件列表讨论OpenStack的人数，从无到有直到超越已经运营了两年多的Eucalyptus和OpenNebula社区，仅仅用了6 个月的时间。声明要参与OpenStack项目的公司和机构，在短短的12个月内就达到了140个之多。不过Stephen Spector在今年10月份跳槽到了戴尔（DELL）负责产品和市场，未来OpenStack社区会朝哪个方向发展，还是个未知数。

很巧的是，Eucalyptus项目的社区经理Mark Atwood也是2010年9月入职的。在他入职之前，Eucalyptus社区已经开始呈现下滑的趋势。Mark Atwood入职之后，侧重于Eucalyptus企业版的宣传和推广，在开发者和用户社区这个领域并没有太大作为，导致Eucalyptus的社区活跃度进一步下滑。Eucalyptus显然已经注意到了这个问题，并且于今年10月雇佣了Greg DeKoenigsburg来负责社区方面的工作。Greg DeKoenigsburg在2004到2010年之间在RedHat工作，负责Fedora的社区工作。至于Greg DeKoenigsburg上任之后Eucalyptus社区的状况是否会有所改善，我们还需要一段时间来慢慢观察。（很有意思的是，在Greg DeKoenigsburg加盟Eucalyptus的一个月之前，Mark Atwood就跑到Red Hat去负责开发者社区了，可见这个圈子真的是很小很小。）

在社区运营这一块，OpenNebula和Eucalyptus和OpenStack项目有所不同。OpenNebula项目的社区经理是一个志愿者的角色，从2009年9 月起一直由芝加哥大学（University of Chicago）的Borja Sotomayor担任。在2004到2010年之间，Borja Sotomayor在芝加哥大学计算机系读硕士和博士，并在拿到博士学位后在芝加哥大学担任讲师。可以认为，OpenNebula项目在社区建设方面的投入并不大，但它的社区发展显然是良性的，并且在近期逐步超越了曾经是如日中天的Eucalyptus社区。如果一定要为此寻找一个原因的话，我们只能够说是OpenNebula这个项目做得实在是太好了。

（5 分钟）

【社区/商业 — 趋势】

刚才我们在构架和功能的综合比较里面提到，开源IaaS解决方案要进入生产环境，还有很长的路要走。那么，开源IaaS软件将来会朝什么方向去发展，投资开发开源IaaS软件的机构的商业模式又是怎样的呢？让我们看一看这几个开源IaaS背后的机构都在提供什么样的产品和服务吧。Eucalyptus公司一直在维护社区版和商业版两个不同的版本，今年8 月份刚刚发布的Eucalyptus 3企业版提供了高可用性、负载管理、RBAC权限管理、配额管理、运营计费等等在社区版中缺失的功能。与此类似，拥有OpenNebula项目的C12G Labs同时在维护社区版和专业版两个不同的版本，并且在今年11月发布了可供商用的OpenNebula Pro 3.0。OpenStack项目的后台老板RackSpace则推出了称为RackSpace Cloud Private Edition的服务，既可以为客户建设数据中心，又可以提供私有云解决方案。

鸠摩罗什大师所译的《维摩诘所说经》中有这么一句话：“先以欲勾牵，后令入佛智。”我想，这句话完美地阐释了开源IaaS软件的发展趋势。

（2 分钟）

【致谢/参考资料】

今天我的讲座到这里就结束了。各位如果需要更多的资料，包括今天这个讲座的幻灯片和文本，都可以从我的博客获得。

谢谢大家。

虚拟化管理软件比较

Tue, 06 Dec 2011 11:16:26 +0800

原文地址：http://www.qyjohn.net/

最近笼统地学习和试用了几款比较有名的虚拟化管理软件。学习的内容包括Eucalyptus, OpenNebula, OpenStack, OpenQRM, XenServer, Oracle VM, CloudStack, ConVirt。借这一系列文章，对过去一个月的学习内容作一个阶段性的总结。

（1）授权协议、许可证管理、购买价格等方面的比较

	授权协议	许可证管理	商业模式
Eucalyptus	社区版采用GPLv3授权协议企业版使用自定义的商业授权协议	社区版不需要安装许可证企业版需要在云控制器（CLC）节点上安装许可证	社区版免费使用企业版按处理器核心总数收费，用户购买的许可证针对特定版本永久有效。
OpenStack	Apache 2.0授权协议	不需要许可证	免费使用
OpenNebula	Apache 2.0授权协议	不需要许可证	社区版免费使用企业版将社区版重新打包，提供补丁等程序的访问权限，使得用户能够更容易的安装、配置和管理，以订阅的模式提供服务。企业版按物理服务器总数收费，每台物理服务器器的服务价格为250欧元每年。
OpenQRM	社区版使用GPLv2授权协议企业版使用自定义的商业授权协议	不需要许可证	社区版免费使用企业版将社区版重新打包，提供补丁等程序的访问权限，使得用户能够更容易的安装、配置和管理，以订阅的模式提供服务。基本、标准和高级服务的价格分别为480、960、1920欧元每月。
XenServer	Citrix XenServer系列产品均使用自定义的商业授权协议基于XenServer的Xen Cloud Platform使用GPLv2授权协议	不管是XenServer还是Xen Cloud Platform都需要在每台服务器安装许可证许可证每年更新一次	XenServer免费版本和开源版本的Xen Cloud Platform可以免费使用 XenServer高级版、企业版和白金版按物理服务器数量收费，分别是1000、2500和5000美元。购买的许可证针对特定版本永久有效
Oracle VM	Oracle VM Server是基于Xen开发的，使用GPLv2协议发布，从Oracle的网站可以下载到源代码，但是Oracle并不宣传这一点。 Oracle VM Manager使用自定义的商业授权协议。 Oracle VM VirtualBox的二进制版本使用自定义的商业授权协议，源代码使用GPLv2授权协议。	不需要许可证	免费使用，可以购买技术支持。技术支持的费用为每台物理服务器8184人民币每年。
CloudStack	社区版采用GPLv3授权协议企业版使用自定义的商业授权协议	社区版不需要安装许可证企业版需要在管理服务器上安装许可证	社区版免费使用企业版提供增强功能和技术支持，收费模式不详。
ConVirt	社区版使用GPLv2授权协议企业版使用自定义的商业授权协议	社区版不需要安装许可证企业版需要在管理服务器上安装许可证	社区版免费使用企业版提供增强功能和技术支持，按物理服务器数量收费，每个节点费用1090美元。购买的许可证针对特定版本永久有效。

（2）项目历史与运营团队、社区规模和活跃程度、沟通交流等方面的比较

	项目历史与运营团队	社区规模和活跃程度	沟通交流
Eucalyptus	最初是UCSB的HPC研究项目，2009年初成立公司来支持该项目的商业化运营。现任CEO是曾担任MySQL CEO的Marten Mickos，现任工程部门SVP的Tim Cramerc曾担任 Sun公司NetBeans和OpenSolaris项目的执行总监。整个管理团队对开放源代码项目的管理和运营方面具有丰富的经验。	在同类开放源代码项目当中，Eucalyptus的社区规模最大，活跃程度也最高。主要原因是该项目起源于大学研究项目，次要原因是管理团队对开放源代码理念的高度认同。Ubuntu 10.04服务器版选择Eucalyptus作为UEC的基础构架，大大地促进了Eucalyptu的推广。	社区发表在论坛上的问题通常在48小时内得到回应，通过技术支持电子邮件提出的问题通常在24小时内得到回应。 Eucalyptus在北京和深圳设有办事处，在中国有工程师提供支持团队。
OpenStack	OpenStack是服务器托管公司RackSpace与NASA共同发起的开放源代码项目。在开放源代码项目的管理和运营方面，RackSpace和NASA显然缺乏足够的经验。针对OpenStack项目的批评集中在（1）RackSpace对项目有过于强烈的控制欲，（2）OpenStack项目的运作对于社区成员来说基本上是不透明的，（3）OpenStack项目对同类开放源代码项目的攻击性过強。	社区规模较小，主要参与者为支持／参与该项目的公司人员。有几个公开的邮件列表，流量很小。由于该项目比较新，在网络上可以参考的安装与配置方面的文章不多。Ubuntu 11.04服务器版同时支持Eucalyptus和OpenStack作为UEC的基础构架，将有助于OpenStack的推广。	通过邮件列表进行技术方面的沟通，通常在48小时内得到回应。商务方面的邮件沟通，没有得到回应。
OpenNebula	2005年启动的研究性项目，2008年初发布第一个开放源代码版本，2010年初大力推进开源社区的建设。	社区规模较小，主要参与者为支持／参与该项目的公司人员，以及少量的用户。有几个公开的邮件列表，流量比OpenStack项目的流量稍大。在网络上搜索到一些中文版安装和配置方面的文章，基本上是以讹传讹，缺乏可操作性。英文版的相关文章也不多，可操作的更少。	通过邮件列表进行技术方面的沟通，通常在48小时内得到回应。
OpenQRM	起源于集群管理方面的软件，2006年公开源代码，2008年免费发布，目前版本为4.8。项目的运营团队较小，似乎只有Matt Rechenburg一个人。	有一些零星的用户，基本上没有形成社区。虽然功能还在不断更新，但是用户文档的日期是2008年的。相关论坛的活跃程度比OpenStack和OpenNebula更差。	在论坛发布的问题，大约有50％左右没有得到回应。通过电子邮件进行商务沟通，反应迅速，在24小时以内得到回应。
XenServer	Citrix公司的产品，与Xen项目的发展基本同步。	围绕Xen Cloud Platform有一些开放源代码的项目，用于替代XenCentor提供基于桌面或者是浏览器的管理功能。	初期商务沟通的速度比较快。
Oracle VM	Oracle公司的产品，用户量较小。Oracle VM仅仅是Oracle用户生态系统中的一部分，不是Oracle的关键业务。	有一定数量的用户，但是没有形成社区。在网络上缺少与Oracle相关的讨论与交流。Oracle VM团队有一个博客网站，但是最近两篇文章的日期分别是2010年11月和2008年1 月。产品下载的速度很慢。	初期商务沟通的速度比较快。在技术方面的沟通，Oracle在国内没有相应的技术人员提供支持。
CloudStack	源于2008年成立的VMOps公司，2010年五月启用cloud.com域名，2010年6 月共同启动OpenStack项目。	用户数量较少，论坛不是很活跃。官方文档非常完备，按照文档操作至少能够顺利地完成安装和配置过程。网络上可以搜索到一些可操作的安装和配置文档（得益于CloudStack的安装和配置比较简单）。	商务沟通比较困难，通过社区论坛和电子邮件提出的问题都没有得到回应。
ConVirt	起源于2006年发起的XenMan项目，与Xen项目的发展基本同步。目前的版本为ConVirt 2.0。现任CEO和工程部门EVP均来自Oracle。	用户规模与Eucalyptus相当，论坛的活跃程度很高。官方文档非常完备，按照文档操作至少能够顺利地完成安装和配置过程。在网络上搜索到的中英文的安装配置教程也基本可用。	商务沟通非常顺畅，社区发表在论坛上的问题通常在48小时内得到回应，通过技术支持电子邮件提出的问题通常在24小时内得到回应。

（3）综合评估

总的来说，虚拟化管理软件的用户还不是很多。大部分虚拟化管理软件的社区规模较小，活跃程度也不高。除了Eucalyptus积极地鼓励社区用户参与项目的开发与测试之外，其他项目选择开放源代码只是一种营销策略。如果排除技术和价格方面的因素，最值得选择的软件无疑是Eucalyptus和ConVirt。这两个项目拥有最大和最活跃的用户社区，其开发／运营团队与潜在客户之间的沟通最为顺畅。XenServer也是一个值得考虑的对象，但是XenServer社区版要求对每台物理服务器都要每年更新一次许可证。对于拥有大量物理服务器的公司来说，管理和维护成千上百个许可证将是一个令人头疼的问题。

架构篇：

（1）系统构架比较

	系统构架
Eucalyptus	Eucalyptus是一个与Amazon EC2兼容的IaaS系统。Eucalyptus包括云控制器（CLC）、Walrus、集群控制器（CC）、存储控制器（SC）和节点控制器（NC）。CLC是整个Eucalyptu系统的核心，负责高层次的资源调度，例如向CC请求计算资源。Walrus是一个与Amazon S3类似的存储服务，主要用于存储虚拟机映像和用户数据。CC是一个集群的前端，负责协调一个集群内的计算资源，并且管理集群内的网络流量。SC是一个与Amazon EBS类似的存储块设备服务，可以用来存储业务数据。NC是最终的计算节点，通过调用操作系统层的虚拟化技术来启动和关闭虚拟机。在同一个集群（CC）内的所有计算节点（NC）必须在同一个子网内。在一个集群（CC）内通常需要部署一台存储服务器（SC），为该集群内的计算节点提供数据存储服务。 Eucalyptus通过Agent的方式来管理计算资源。在每一个计算节点上，都需要运行一个eucalyptus-nc的服务。该服务在集群控制器（CC）上注册后，云控制器（CLC）即可通过集群控制器（CLC）将需要运行的虚拟机映像文件（EMI）拷贝到该计算节点上运行。 Eucalyptus将虚拟机映像文件存储在Walrus上。当用户启动一个虚拟机实例的时候，Eucalyptus首先将相应的虚拟机映像（EMI）从Walrus拷贝到将要运行该实例的计算节点（NC）上。当用户关闭（或者是由于意外而重启）一个虚拟机实例的时候，对虚拟机所做的修改并不会被写回到Walrus上原来的虚拟机映像（EMI）上，所有对该虚拟机的修改都会丢失。如果用户需要保存修改过的虚拟机，就需要利用工具（euca2ools）将该虚拟机实例保存为新的虚拟机映像（EMI）。如果用户需要保存数据，则需要利用存储服务器（SC）所提供的弹性块设备来完成。
OpenStack	OpenStack是一个与Amazon EC2兼容的IaaS系统。OpenStack包括OpenStack Compute和OpenStack Object Storage两个部分。 OpenStack Compute又包含Web前端、计算服务、存储服务、身份认证服务、存储块设备（卷）服务、网络服务、任务调度等多个模块。OpenStack Compute的不同模块之间不共享任何信息，通过消息传递进行通讯。因此，不同的模块可以运行在不同的服务器上，也可以运行在同一台服务器上。 OpenStack Object Store可以利用通用服务器搭建可扩展的海量数据仓库，并且通过冗余来保证数据的安全性。同一份数据的在多台服务器上都有副本，将出现故障的服务器从集群中撤除不会影响数据的完整性，加入新的服务器后系统会自动地在新的服务器上为相应的文件创建新的副本。从功能上讲，OpenStack Object Store同时具备Eucalyptus中的Walrus服务和弹性块设备（SC）服务。不过OpenStack Object Store不是一个文件系统，不能够保证数据的实时性。从这个方面来考虑，OpenStack Object Store更适合用于存储需要长期保存的静态数据，例如操作系统映像文件和多媒体数据。 OpenStack通过Agent的方式来管理计算资源。在每一个计算节点上，都需要运行nova-network服务和nova-compute服务。这些服务启动之后，就可以通过消息队列来与云控制器进行交互。
OpenNebula	OpenNebula的构架包括三个部分：驱动层、核心层、工具层。驱动层直接与操作系统打交道，负责虚拟机的创建、启动和关闭，为虚拟机分配存储，监控物理机和虚拟机的运行状况。核心层负责对虚拟机、存储设备、虚拟网络等进行管理。工具层通过命令行界面／浏览器界面方式提供用户交互接口，通过API方式提供程序调用接口。 OpenNebula使用共享存储设备（例如NFS）来提供虚拟机映像服务，使得每一个计算节点都能够访问到相同的虚拟机映像资源。当用户需要启动或者是关闭某个虚拟机时，OpenNebula通过SSH登陆到计算节点，在计算节点上直接运行相对应的虚拟化管理命令。这种模式也称为无代理模式，由于不需要在计算节点上安装额外的软件（或者服务），系统的复杂度也相对降低了。
OpenQRM	OpenQRM是为了管理混合虚拟化环境而开发的一个虚拟化管理框架，包括基础层（框架层）和插件。基础层（框架）的作用是管理不同的插件，而对虚拟资源的管理（计算资源，存储资源，映像资源）都是通过插件来实现的。OpenQRM的框架类似于Java语言中的Interface，定义了一系列虚拟机资源生命周期管理的方法，例如创建、启动、关闭虚拟机等等。在个框架的基础上，OpenQRM针对不同的虚拟化平台（Xen、KVM)实现了不同的插件，用来管理不同的物理和虚拟资源。当出现新的资源需要支持的时候，只需要为OpenQRM编写新的插件，就可以无缝地整合到原来的环境中去。 OpenQRM插件也是使用无代理模式工作的。当需要管理的目标节点提供SSH登录方式时，OpenQRM插件通过SSH登陆到计算节点，在计算节点上直接运行相对应的虚拟化管理命令。当需要管理的目标节点提供HTTP／HTTPS／XML－RPC远程调用接口时，OpenQRM插件通过目标节点所提供的远程调用接口实现对目标平台的管理。 OpenQRM是一个虚拟化管理平台，不提供与Amazon EC2兼容的云管理接口。
XenServer	XenServer是对Xen虚拟化技术的进一步封装，在Dom0上提供一系列命令行和远程调用接口，独立的管理软件XenCenter通过远程调用这些接口来管理多台物理服务器。XenSever在标准Xen实现之上所实现的远程调用接口类似于其他虚拟化管理平台中所实现的Agent，因此XenServer是通过Agent方式工作的。由于只考虑对Xen虚拟化技术的支持，XenServer的构架相对简单。 XenServer是一个虚拟化管理平台，不提供与Amazon EC2兼容的云管理接口。管理软件XenCenter是运行在Windows操作系统上的，对于需要随时随地访问管理功能的系统管理员来说有点不便。目前有一些第三方提供的开放源代码的基于浏览器的XenServer管理工具，但是都还处于比较早期的阶段。
Oracle VM	Oracle VM包括Oracle VM Server和Oracle VM Manager两个部分。Oracle VM Server在支持Xen的Oracle Linux上（Dom0）运行一个与Xen交互的Agent，该Agent为Oracle VM Manager提供了远程调用接口。Oracle VM Manager通过一个Java应用程序来对多台Oracle VM Server上的虚拟资源进行管理和调度，同时提供基于浏览器的管理界面。由于只考虑对Xen虚拟化技术的支持，Oracle VM Server / Manager的构架相对简单。 Oracle VM是一个虚拟化管理平台，不提供与Amazon EC2兼容的云管理接口。值得注意的是，Oracle VM Manager还通过Web Service的方式提供了虚拟机软件生命周期管理的所有接口，使得用户可以自己使用不同的编程语言来调用这些接口来开发自己的虚拟化管理平台。不过由于Oracle在开放源代码方面的负面形象，似乎没有看到有这方面的尝试。
CloudStack	与OpenQRM类似，CloudStack采用了“框架＋插件”的系统构架，通过不同的插件来提供对不同虚拟化技术的支持。对于标准的Xen / KVM计算节点，CloudStack需要在计算节点上安装Agent与控制节点进行交互；对于XenServer / VMWare计算节点，CloudStack通过XenServer / VMWare所提供的XML-RPC远程调用接口与计算节点进行交互。 CloudStack本身是一个虚拟化管理平台，但是它通过CloudBridge提供了与Amazon EC2相兼容的云管理接口，对外提供IaaS服务。
ConVirt	ConVirt是一个虚拟化管理平台，使用无代理模式工作。当需要管理的目标节点提供SSH登录方式时，ConVirt通过SSH登陆到计算节点，在计算节点上直接运行相对应的虚拟化管理命令。当需要管理的目标节点提供HTTP／HTTPS／XML－RPC远程调用接口时，ConVirt插件通过目标节点所提供的远程调用接口实现对目标平台的管理。 ConVirt是一个虚拟化管理平台，不提供与Amazon EC2兼容的云管理接口。但是ConVirt 3.0提供了与Amazon EC2 / Eucalyptus的用户接口，使得ConVirt用户能够在同一个Web 管理界面下同时管理Amazon EC2 / Eucalyptus提供的虚拟计算资源。

（2）云管理平台还是虚拟化管理平台？

在IaaS这个层面，云管理和虚拟化管理的概念非常接近，但是有一些细微的差别。

虚拟化是指在同一台物理机器上提供多台虚拟机器（包括CPU、内存、存储、网络等计算资源）的能力。每一台虚拟机器都能够像普通的物理机器一样运行完整的操作系统以及执行正常的应用程序。当需要管理的物理机器数量较小时，虚拟机生命周期管理（资源配置、启动、关闭等等）可以通过手工去操作。当需要管理的物理机器数量较大时，就需要写一些脚本／程序来提高虚拟机生命周期管理的自动化程度。以管理和调度大量物理／虚拟计算资源为目的系统，属于虚拟化管理系统。这样一个系统，通常用于管理企业内部计算资源。

云计算是指通过网络访问物理／虚拟计算机并利用其计算资源的实践。通常来讲，云计算提供商以虚拟机的方式向用户提供计算资源。用户无须了解虚拟机背后实际的物理资源状况，只需了解自己所能够使用的计算资源配额。因此，虚拟化技术是云计算的基础。任何一个云计算管理平台，都是构建在虚拟化管理平台的基础之上的。如果某个虚拟化管理平台仅对某个集团内部提供服务，那么这个虚拟化管理平台也可以被称为“私有云”；如果某个虚拟化管理平台对公众提供服务，那么这个虚拟化管理平台也可以被称为“公有云”。服务对象的不同，对虚拟化管理平台的构架和功能提出了不同的需求。

私有云服务于集团内部的不同部门（或者应用），强调虚拟资源调度的灵活性。系统管理员需要为不同的部门（或者应用）定制不同的虚拟机，根据部门（或者应用）对计算资源的需求对分配给某些虚拟机的计算资源进行调整。从这个意义上来讲，OpenQRM、XenServer、Oracle VM、CloudStack和ConVirt比较适合提供私有云服务。

公有云服务于公众，强调虚拟资源的标准性。通过将计算资源切割成标准化的虚拟机配置（多个系列的产品，每个产品配置相同数量的CPU、内存、磁盘空间、网络流量配额），公有云提供商可以通过标准的服务合同（Service Level Agreement, SLA）以标准的价格出售计算资源。当用户对计算资源的需求出现改变的时候，用户只需要缩减或者是增加自己所使用的产品数量。由于Amazon EC2是目前比较成功的公有云提供商，大部分云管理平台都在某种程度上模仿Amazon EC2的构架。从这个意义上来讲，Eucalyptus、OpenNebula和OpenStack提供了与Amazon EC2兼容或者是类似的接口，比较适合提供公有云服务。

公有云和私有云之间的界限，就像“内部／外部”和“部门／合作伙伴”的概念一样，并不十分明显。根据项目需求的不同，可能会有不同的解释。

功能篇：

（1）支持的虚拟化技术

	Xen	KVM	XenServer / XCP	VMWare	LXC	openVZ
Eucalyptus	Y	Y		Y
OpenStack	Y	Y	Y	Y	Y
OpenNebula	Y	Y		Y
OpenQRM	Y	Y	Y	Y	Y	Y
XenServer	Y
Oracle VM	Y
CloudStack		Y	Y	Y
ConVirt	Y	Y

可以看出，Xen和KVM是目前获得最广泛的厂商虚拟化技术，紧随其后的是VMWare。需要注意的是，XenServer是对Xen的进一步封装，可以认为是一种新的虚拟化平台（用户在XenServer上不能直接执行Xend相关命令）。

（2）系统安装和配置

	前端	计算节点	备注
Eucalyptus	使用Ubuntu 10.04或者CentOS 5.5操作系统，通过apt-get install或者yum install的方式直接安装二进制包，构建一个包含CLC、 Walrus、SC、CC的前端。根据官方网站提供的文档进行操作，是比较容易实现的。	使用Ubuntu 10.04或者CentOS 5.5操作系统，通过apt-get install或者yum install的方式直接安装二进制包，构建一个提供NC服务的计算节点。根据官方网站提供的文档进行操作，是比较容易实现的。	Eucalyptus包含了一个dhcpd，如果配置不好的话，会造成一定的麻烦。另外，计算节点（NC）与集群控制器（CC）必须在一个C类子网里（例如，掩码为255.255.255.0）。如果NC和CC在一个超网里（例如，掩码为255.255.0.0），在注册服务的时候会出现一些问题。
OpenStack	在Ubuntu 10.04上利用官方网站提供的nova-install脚本进行安装，基本上没有遇到问题。	在Ubuntu 10.04上利用官方网站提供的nova-install脚本进行安装，基本上没有遇到问题。	对于一个简单的系统，安装配置比较简单。
OpenNebula	使用CentOS 5.5操作系统，配置好CentOS Karan源，启用kbs-CentOS-Testing条目。下载对应的rpm包，直接yum localinstall –nogpgcheck opennebula*.rpm，就可以直接完成安装过程。按照官方文档创建/srv/cloud/one和/srv/cloud/images目录，通过NFS共享/srv/cloud目录。创建cloud用户组和属于cloud用户组的oneadmin用户。	按照官方文档创建/srv/cloud/one和/srv/cloud/images目录，通过NFS共享/srv/cloud目录。创建cloud用户组和属于cloud用户组的oneadmin用户。将前端服务器上oneadmin用户的ssh key拷贝到计算节点上oneadmin用户的authorized_keys中。这样前端服务器才可以通过SSH登陆到计算节点上。	在CentOS 5.5 x86_64上进行安装的时候，如果按照官方网站提供的文档进行操作，先配置好必要的软件依赖关系再安装opennebula，就会出现xmlrpc-c包版本不对的错误。网络上可以搜索到一些安装配置方面的文档和教程，但是对于熟悉Linux但是不熟悉OpenNebula的开发人员来说，很难按照这些文档完成安装和配置过程。
OpenQRM	在Ubuntu 10.04上通过SVN下载OpenQRM源代码，进入源代码目录后依次执行make / make install / make start命令。按照官方文档的描述创建数据库，然后通过Web界面进行下一步的安装和配置。	计算节点配置好网桥和虚拟化支持之外不需要特别的安装和配置。在OpenQRM管理界面中启用相对应的插件即可通过插件对计算节点进行管理。	在Ubuntu 10.04上安装前端时，可能需要手工安装dhcp3-server。启用插件管理虚拟资源的操作流程不够直观，并且缺乏详细的文档。
XenServer	前端为基于Windows操作系统的XenCenter。在Windows XP上可以安装，需要.NET Framework Update 2的支持。安转过程非常简单，基本上不需要配置。	从Citrix的网站下载ISO，刻盘直接安装在裸机上即可。计算节点安装完毕后，在XenCenter中把新增计算资源添加到资源池即可。	每一台XenServer服务器都需要安装从Citrix获得License，并且每年更新一次。
Oracle VM	在CentOS 5.5 x86_64上进行安装。将ISO文件mount起来后，执行runinstaller.sh即可。	从Oracle的网站下载ISO，刻盘直接安装在裸机上即可。计算节点安装完毕后，在Oracle VM Manager中把新增计算资源添加到资源池即可。	最好从Oracle的官方网站下载，不过速度很慢。通过迅雷等途径下载的文件，看起来似乎没有问题，但是ISO刻盘后在启动操作系统安装过程中会出现错误。如果在Oracle VM Server上安装Oracle VM Manager，建议分区的时候把/ 分得大一点，不然的话会由于磁盘空间不够而无法安装Oracle VM Manager。
CloudStack	在CentOS 5.5和Ubuntu 10.4上，按照官方网站的安装文档顺序操作，基本没有问题。	计算节点上必须安装相应的Agent。	安装配置相对简单，但是在删除物理资源的时候存在较多的问题。
ConVirt	在CentOS 5.5和Ubuntu 10.4上，按照官方网站的安装文档顺序操作，基本没有问题。在Ubuntu 10.04上安装企业版，需要手工sudo apt-get install libmysqlclient-dev。	在计算节点上的root用户必须允许管理节点上运行ConVirt服务的用户通过key auth方式登录。	安装配置相对简单。

不同的虚拟化管理软件有不同的设计理念，采用不同的系统构架，类似的概念也采用不同的术语来表述，其学习曲线也各不相同。对于大部分用户来说，虚拟化管理软件还是个新生事物。即使是粗略地尝试一下利用不同的虚拟化管理软件来安装、配置和测试一个最小规模的私有云系统，也需要花费不少的时间和精力。在这个过程当中，遇见各种各样的问题都在所难免。不过，也只有亲身经验过这些形形色色的问题，才能够切身体会不同虚拟化管理软件的优点和缺点，并且在分析、总结、归纳的基础上形成自己独特的观点。

（3）用户界面

	概述	用户权限	资源池和虚拟机管理
Eucalyptus	Eucalyptus提供了一个基于浏览器的简单用户界面，可以完成用户注册，下载credentials，对提供的产品类型进行简单配置等。资源池和虚拟机生命周期管理需要通过euca2ools在命令行模式下完成。 euca2ools是一组基于命令行的工具，可以与Amazon EC2/S3相兼容的Web Service进行交互。该用具可以管理基于Amazon EC2、Eucalyptus和OpenStack，OpenNebula的云计算服务。 euca2tools的主要功能包括： – 查询可以使用的域 – 管理SSH Key – 虚拟机生命周期管理 – 安全组管理 – 管理卷和快照 – 管理虚拟机映像 – 管理IP	在Eucalyptus社区版中只有两种类型的用户：管理员，普通用户。在Eucalyptus企业版中进一步提供了用户组，属于某个用户组的用户可以管理属于该用户组的计算资源。	管理员可以通过注册或者是撤销注册某个计算节点，配置标准产品类型的计算资源（CPU、内存、存储）。普通用户只能够在标准配置的基础上创建、启动、关闭虚拟机，不能够定制化自己所需要的计算资源。虚拟机映像文件（EMI）的制作，以及虚拟机生命周期管理等等操作，需要通过euca2ools在命令行模式下完成。在FireFox浏览器中，可以利用ElasticFox插件，在浏览器中启动、监控和关闭虚拟机。ElasticFox的界面不够美观，并且提供的功能非常有限。 Eucalyptus不提供console功能。用户可以通过SSH连接到自己所管理的虚拟机。每一个公开发布的虚拟机映像（EMI），都是一个模板。用户创建虚拟机实例的时候，系统根据用户选择的EMI将相应的虚拟机映像拷贝到目标计算节点上运行。Eucalyptus根据某种算法自动决定用户的虚拟机将在哪个物理服务器上运行，用户对物理服务器的状况一无所知。 Eucalyptus中的虚拟机实例只是原虚拟机映像（EMI）的一个副本，用户在运行的实例中对虚拟机所做的任何修改，不会被保存到原来的虚拟机映像中。如果用户将运行的虚拟机实例关闭（例如：shutdown），用户对虚拟机所作的任何修改都会丢失。如果用户需要保存自己对虚拟机所做的修改，用户可以选择使用弹性块设备来保存数据，或者将正在运行的虚拟机实例发布为新的EMI。（Amazon EC2自动地将停止运行的虚拟机实例保存为新的AMI，直到用户销毁该虚拟机实例为止。因此，用户可以shutdown自己的虚拟机实例，但是保存自己对虚拟机所作的修改，直到用户选择销毁该虚拟机实例为止。）
OpenStack	OpenStack不缺省地提供基于浏览器的用户界面。系统管理员需要手工创建用户。大部分的管理操作，需要在命令行下进行。尽管OpenStack和Eucalyptus在构架上有很大的不同，但是所暴露给用户的界面是类似的（两者都模仿了Amazon EC2的用户接口规范）。因此，OpenStack同样可以使用Eucalyptus所提供的euca2ools进行管理。 OpenStack的openstack-dashboard项目和django-nova项目提供了一个基于浏览器的用户界面，没有被集成到OpenStack安装脚本中，需要单独安装。	OpenStack将用户分成如下几个类别： admin — 云服务管理员，拥有所有管理权限。 itsec — IT安全管理员，具有隔离有问题的虚拟机实例的权限。 projectmanager — 项目管理员，可以增加属于该项目的新用户，管理虚拟机映像，管理虚拟机生命周期。 netadmin — 网络管理员，负责IP分配，管理防火墙。 developer — 开发人员，可以登录进入属于本项目的虚拟机，管理虚拟机生命周期在模仿Amazon EC2的云平台（Eucalyptus, OpenStack, OpenNebula）中，OpenStack提供了颗粒度最细的用户权限管理模式。	与Eucalyptus类似，虚拟机映像文件（EMI）的制作，以及虚拟机生命周期管理等等操作，需要通过euca2ools在命令行模式下完成。同样，在FireFox浏览器中，可以利用ElasticFox插件，在浏览器中启动、监控和关闭虚拟机。 OpenStack不提供虚拟机console功能。用户可以通过SSH连接到自己所管理的虚拟机。正在开发中的openstack-dashboard，基于浏览器提供了比较完整的资源池管理功能和虚拟机生命周期管理功能。虽然界面还比较简单，但是已经处于可用的状态。 OpenStack的模板和虚拟机实例机制与Eucalyptus类似。与Eucalyptus类似，OpenStack根据某种算法自动决定用户的虚拟机将在哪个物理服务器上运行，用户对物理服务器的状况一无所知。
OpenNebula	OpenNebula不缺省地提供基于浏览器的用户界面。系统管理员需要手工创建用户。大部分的管理操作，需要在命令行下进行。 OpenNebula目前有两个基于浏览器的用户界面：SunStone和OneMC。这两个项目需要单独安装。同样，OpenNebula提供了与Amazon EC2相兼容的Web Service接口。因此，可以通过FireFox所提供的ElasticFox插件和Eucalyptus提供的euca2ools工具集与OpenNebula云平台进行交互。	OpenNebula只有两种类型的用户：管理员，普通用户。	在早期版本中，OpenNebula管理员可以在后台通过命令行来管理资源池和虚拟机生命周期。同样，在FireFox浏览器中，可以利用ElasticFox插件，在浏览器中启动、监控和关闭虚拟机。 SunStone和OneMC这两个项目都提供了比较完整的资源池管理和虚拟机生命周期管理功能。两个项目的界面都比较简单，但是基本上处于可用的状态。SunStone没有提供虚拟机console功能，OneMC通过VNC协议提供了虚拟机console功能。 OpenNebula的模板和虚拟机实例机制与Eucalyptus类似。但是并不缺省地使用euca2ools作为工具。与Eucalyptus类似，OpenNebula根据某种算法自动决定用户的虚拟机将在哪个物理服务器上运行，用户对物理服务器的状况一无所知。
OpenQRM	基于浏览器的用户界面，功能比较丰富。	OpenQRM的管理界面只有两种用户：管理用户，普通用户。普通用户只有查看权限，没有管理权限。	通过启用不同的插件，可以管理不同的计算资源。所有的资源池和虚拟机生命周期管理操作都可以通过浏览器界面完成。 OpenQRM的novnc插件可以提供基于VNC协议的虚拟机console功能。
XenServer	XenCenter是基于Windows的桌面应用，安装与操作都非常简单，界面美观，功能强大。在参与评测的8 个软件中，XenCenter的用户界面是表现最出色的。基于Windows桌面的应用能够迅速地对用户的点击动作作出反应，从而提高用户体验的满意度。	系统管理员登录XenCenter之后，可以结合Active Directory在用户和用户组的层面分配管理权限。	授权用户可以通过图形界面方便地进行资源池和虚拟机生命周期管理。在图形界面上可以直观地监控物理服务器和虚拟机的计算资源使用情况（CPU、内存、存储、网络活动）。提供基于VNC的虚拟机console。可以基于模板的部署新的虚拟机。
Oracle VM	Oracle VM Manager提供了基于浏览器的管理界面。	Oracle VM Manager同时提供了role和group的概念。其中role定义了用户所具备的权限，属于同一个group的用户拥有该group所被授予的权限。 Oracle VM Manager提供了三种role： user — 拥有指定资源池的虚拟机生命周期管理权限。 manager — 拥有除了用户管理之外的所有管理权限。 administrator — 拥有整个系统的管理权限。	授权用户可以通过图形界面方便地进行资源池和虚拟机生命周期管理。在图形界面上可以直观地监控物理服务器和虚拟机的计算资源使用情况（CPU、内存、存储、网络活动）。提供基于VNC的虚拟机console。可以基于模板的部署新的虚拟机。
CloudStack	基于浏览器的用户界面，功能丰富，美观大方。	CloudStack根据用户的role将用户分成三个类型： admin — 全局管理员。 domain－admin — 域管理员，可以对某个域下的物理和虚拟资源进行管理。 user — 个体用户，可以管理自己名下的虚拟机资源。	CloudStack对物理资源的管理完整地模拟了一个物理机房的实际情况，按照“机房（Zones）－》机柜（Pods）－》集群（Cluster）－》服务器（Server）”的结构对物理服务器进行组织，使得管理员能够在管理界面里面的计算资源和机房里面的计算资源建立起直观的一一对应关系。授权用户可以通过图形界面方便地进行资源池和虚拟机生命周期管理。在图形界面上可以直观地监控物理服务器和虚拟机的计算资源使用情况（CPU、内存、存储、网络活动）。提供基于VNC的虚拟机console。可以基于模板的部署新的虚拟机。
ConVirt	基于浏览器的用户界面，功能丰富，美观大方。	社区版可以注册多个用户，并可将用户按照用户组进行分类，但是所有的用户拥有相同的全局管理权限。企业版则提供了更细致的用户权限管理机制。除此之外，企业版还提供了对LDAP的支持。	授权用户可以通过图形界面方便地进行资源池和虚拟机生命周期管理。在图形界面上可以直观地监控物理服务器和虚拟机的计算资源使用情况（CPU、内存、存储、网络活动）。提供基于VNC的虚拟机console。可以基于模板的部署新的虚拟机。 ConVirt的最大优点，在于其通过时程图的方式在不同的层次上直观地展示计算资源（包括物理资源和虚拟资源）的利用情况和健康状况。在整个数据中心和资源池的层面，ConVirt实时显示资源池数量、物理服务器和虚拟机数量、虚拟机密度、存储资源使用状况、负载最高的N 台物理服务器和虚拟机。在物理服务器和虚拟机的层面，ConVirt实时显示CPU和内存使用情况，监控人员可以通过CPU和内存时程图及时地发现或者是调查系统异常情况。

在所有参与评测的虚拟化管理软件中，XenServer / XCP和ConVirt的图形用户界面是做的最好的。XenCenter的图形界面的优点在于提供了独一无二的用户体验，ConVirt的图形界面的优点在于以图形的方式直观地展示了从机房到虚拟机的健康状况。CloudStack的图形界面非常大气，但是在功能上不如ConVirt那么实用。不过按照CloudStack的目前的发展势头来看，下一个版本可能比较值得期待。

由于进行评测的时间较短，并且测试系统规模较小的原因，暂时无法对各个软件的稳定性、健壮性、扩展性等等关键问题作出评估。

商务篇：

目前市面上形形色色的虚拟化管理软件总数很多，这一系列文章所提及的几个软件仅仅其中的几个代表。作为一个机构、或者是一家企业，在向虚拟化过渡时都不可避免地要面临软件选型的问题。本文作为这一系列文章的最后一篇，从商务和功能两个方面提出自己的一点粗浅意见。

（1）商务评估

从商务上进行软件选型，性价比通常是一个决定性的因素。在假定参与选型的软件全部满足技术要求的前提下，企业（机构）需要考虑的因素包括软件的授权协议是否友好、许可证管理的难易程度、软件和服务的价格高低、运营团队在业界的声誉、开发者社区和用户社区的规模和活跃程度、商业与技术沟通的难易程度。

授权协议/许可证管理 — 以全部开放源代码为10分，部分开放源代码（例如以企业版的形式提供某些高级功能，或者以服务的形式提供特别版本的安装包和补丁）扣1 分。商业版本需要在控制节点安装许可证不扣分，需要在所有计算节点安装许可证扣1 分，许可证需要每年更新者扣1 分。

价格指数 — 以全部功能免费使用为10分，以企业版的模式提供全部功能的软件，每台物理服务器每花费500美元扣1 分。

运营团队 — 以运营团队的规模、背景、影响力评分，存在的主观因素较多。

社区因素 — 以开发者和用户社区的规模和活跃程度评分，存在的主观因素较多。

沟通交流 — 以个人与运营团队、开发者社区、用户社区之间的沟通顺畅程度评分，存在的主观因素较多。

	授权协议许可证管理	价格指数	运营团队	社区因素	沟通交流	总分
Eucalyptus	9	8	9	9	10	45
OpenStack	10	10	8	8	7	43
OpenNebula	9	9	7	8	9	42
OpenQRM	9	8	6	7	8	37
XenServer	7	8	9	10	9	43
Oracle VM	9	7	7	6	7	36
CloudStack	9	8	7	6	7	37
ConVirt	9	8	8	9	10	44

（2）功能评估

从功能上进行虚拟化管理软件选型，需要考虑的因素包括该软件所支持的虚拟化技术、安装配置的难易程度、开发和使用文档的详尽程度、所提供的功能是否全面以及用户界面是否直观友好、二次开发的难易程度、是否提供物理资源和虚拟资源的监控报表等等。

虚拟化技术支持 — 仅支持一种虚拟化技术为6 分，每增加一种虚拟化技术加1 分，10分封顶。

安装配置 — 以按照官方文档进行安装配置的难易程度评分，存在的主观因素较多。

开发/使用文档 — 以官方所提供的开发与使用文档的详尽程度评分，文档详尽程度越高者得分越高。

功能与界面 — 综合评分，涵盖用户进行物理资源和虚拟资源管理、虚拟机生命周期管理、访问虚拟机资源和存储资源的难易程度，用户界面的美观易用程度，以及综合用户体验。

二次开发 — 基础得分6 分，提供与Amazon EC2相兼容的程序调用接口者加3 分，提供二次开发接口但是与Amazon EC2不兼容者加2 分。

监控报表 — 基础得分6 分，依系统所提供监控与分析功能的详尽程度加分。

	虚拟化技术支持	安装配置	开发／使用文档	功能与界面	二次开发	监控报表	总分
Eucalyptus	8	8	9	4	9 (Amazon WS)	6	44
OpenStack	10	8	8	4	9 (Amazon WS)	6	45
OpenNebula	8	8	7	4	9 (Amazon WS)	6	42
OpenQRM	10	9	5	10	6 (OS)	7	47
XenServer	6	10	10	10	8 (Plugin)	9	53
Oracle VM	6	9	8	7	8 (WS)	7	45
CloudStack	8	9	8	10	6 (OS)	8	49
ConVirt	7	10	10	10	8 (API)	10	55

（3）综合评估

从商务上考虑，Eucalyptus和ConVirt以微弱的优势领先于其他选项。Eucalyptus是私有云管理平台的先行者。Ubuntu 10.04选择捆绑Eucalyptus作为UEC的基础构架，使得Ecualyptus比其他的私有云管理平台拥有更多的用户和更加活跃的社区。此外，Ecualyptus在中国国内有销售和技术支持人员，在沟通上比选择其他软件要更加容易。ConVirt排名第二，根本原因在于其销售和技术支持团队与（潜在的）客户保持积极而有效的沟通。Citrix XenServer仅仅与其他两个选项并列排名第三，输在其过于严苛的许可证管理政策。的确，要给100台以上的服务器单独安装许可证并且每年更新一次，可不是一件有意思的事情。

从功能上考虑，ConVirt与XenServer遥遥领先于其他选项。虽然ConVirt仅仅支持Xen和KVM两种虚拟化技术，但是其安装配置相对简单，文档详尽、功能齐全、界面美观、是比较容易上手的虚拟化管理软件。更重要的是，ConVirt的监控报表功能直观地展示了从数据中心到虚拟机的CPU、内存利用情况，使得用户对整个数据中心的健康状况一目了然。同样，XenServer虽然仅支持Xen一种虚拟化技术，但是在安装配置、操作文档、用户界面等方面都不亚于ConVirt。如果用户对基于Windows的界面没有强烈的抵触情绪的话，XenServer是比较值得考虑的一个选型。

综合如上考虑，对于希望利用虚拟化管理软件提高硬件资源利用率和虚拟化管理自动化程度的企业（机构）来说，建议使用ConVirt来管理企业（机构）的计算资源。如果网管人员不希望深入了解Linux操作系统，并且所管理的物理服务器数量有限的话，XenServer也是一个不错的选择。ConVirt的浏览器界面是开放源代码的，用户可以对其进行定制化，将自己所需要的其他功能添加到同一个用户界面中去。XenCenter则提供了一种插件机制，用户可以通过插件的方式讲自己的功能集成到XenCenter中。

不过，你的基础设施是否需要与Amazon EC2相兼容呢？也就是说，你的用户是否需要使用他们用于访问和操作Amazon EC2的脚本和工具来访问你的计算资源呢？如果是这样的话，你可能需要在Eucalyptus和OpenStack之间作一个选择（CloudStack和OpenNebula同样提供了与Amazon EC2兼容的操作接口，但是CloudStack在商务方面得分不高，OpenNebula在功能方面得分不高）。Eucalyptus的历史比OpenStack稍长，用户群比OpenStack要大，社区的活跃程度也比OpenStack要高。不过OpenStack的后台老板NASA比Eucalyptus要财大气粗，Ubuntu 11.04也集成了OpenStack作为其UEC的基础构架之一，表明OpenStack已经得到了社区的重视和支持。总的来说，开放源代码的云构架，还是一个不断发展之中的新生食物。笔者只能够建议用户亲自去安装使用每一个软件，最终基于自己的经验以及需求达到一个最适合自己的选择。

虚拟化管理软件比较－－幻灯片

结合前段时间对不同虚拟化管理软件的评测工作，准备了一套讲座用的幻灯片。PDF版本的文件可以从这里下载。如果有人需要ODP版本的文件，直接跟我联系吧。

Linux 技巧：让进程在后台可靠运行的几种方法

Wed, 23 Nov 2011 14:40:51 +0800

原文地址：http://www.ibm.com/developerworks/cn/linux/l-cn-nohup/

我们经常会碰到这样的问题，用 telnet/ssh 登录了远程的 Linux 服务器，运行了一些耗时较长的任务，结果却由于网络的不稳定导致任务中途失败。如何让命令提交后不受本地关闭终端窗口/网络断开连接的干扰呢？下面举了一些例子，您可以针对不同的场景选择不同的方式来处理这个问题。

如果只是临时有一个命令需要长时间运行，什么方法能最简便的保证它在后台稳定运行呢？

hangup 名称的来由

在 Unix 的早期版本中，每个终端都会通过 modem 和系统通讯。当用户 logout 时，modem 就会挂断（hang up）电话。同理，当 modem 断开连接时，就会给终端发送 hangup 信号来通知其关闭所有子进程。

我们知道，当用户注销（logout）或者网络断开时，终端会收到 HUP（hangup）信号从而关闭其所有子进程。因此，我们的解决办法就有两种途径：要么让进程忽略 HUP 信号，要么让进程运行在新的会话里从而成为不属于此终端的子进程。

1. nohup

nohup 无疑是我们首先想到的办法。顾名思义，nohup 的用途就是让提交的命令忽略 hangup 信号。让我们先来看一下 nohup 的帮助信息：

				NOHUP(1)                        User Commands                        NOHUP(1)

NAME
       nohup - run a command immune to hangups, with output to a non-tty

SYNOPSIS
       nohup COMMAND [ARG]...
       nohup OPTION

DESCRIPTION
       Run COMMAND, ignoring hangup signals.

       --help display this help and exit

       --version
              output version information and exit

可见，nohup 的使用是十分方便的，只需在要处理的命令前加上 nohup 即可，标准输出和标准错误缺省会被重定向到 nohup.out 文件中。一般我们可在结尾加上"&"来将命令同时放入后台运行，也可用">filename 2>&1"来更改缺省的重定向文件名。

				[root@pvcent107 ~]# nohup ping www.ibm.com &
[1] 3059
nohup: appending output to `nohup.out'
[root@pvcent107 ~]# ps -ef |grep 3059
root      3059   984  0 21:06 pts/3    00:00:00 ping www.ibm.com
root      3067   984  0 21:06 pts/3    00:00:00 grep 3059
[root@pvcent107 ~]#

2。setsid

nohup 无疑能通过忽略 HUP 信号来使我们的进程避免中途被中断，但如果我们换个角度思考，如果我们的进程不属于接受 HUP 信号的终端的子进程，那么自然也就不会受到 HUP 信号的影响了。setsid 就能帮助我们做到这一点。让我们先来看一下 setsid 的帮助信息：

				SETSID(8)                 Linux Programmer’s Manual                 SETSID(8)

NAME
       setsid - run a program in a new session

SYNOPSIS
       setsid program [ arg ... ]

DESCRIPTION
       setsid runs a program in a new session.

可见 setsid 的使用也是非常方便的，也只需在要处理的命令前加上 setsid 即可。

				[root@pvcent107 ~]# setsid ping www.ibm.com
[root@pvcent107 ~]# ps -ef |grep www.ibm.com
root     31094     1  0 07:28 ?        00:00:00 ping www.ibm.com
root     31102 29217  0 07:29 pts/4    00:00:00 grep www.ibm.com
[root@pvcent107 ~]#

值得注意的是，上例中我们的进程 ID(PID)为31094，而它的父 ID（PPID）为1（即为 init 进程 ID），并不是当前终端的进程 ID。请将此例与nohup 例中的父 ID 做比较。

3。&

这里还有一个关于 subshell 的小技巧。我们知道，将一个或多个命名包含在“()”中就能让这些命令在子 shell 中运行中，从而扩展出很多有趣的功能，我们现在要讨论的就是其中之一。

当我们将"&"也放入“()”内之后，我们就会发现所提交的作业并不在作业列表中，也就是说，是无法通过jobs来查看的。让我们来看看为什么这样就能躲过 HUP 信号的影响吧。

				[root@pvcent107 ~]# (ping www.ibm.com &)
[root@pvcent107 ~]# ps -ef |grep www.ibm.com
root     16270     1  0 14:13 pts/4    00:00:00 ping www.ibm.com
root     16278 15362  0 14:13 pts/4    00:00:00 grep www.ibm.com
[root@pvcent107 ~]#

从上例中可以看出，新提交的进程的父 ID（PPID）为1（init 进程的 PID），并不是当前终端的进程 ID。因此并不属于当前终端的子进程，从而也就不会受到当前终端的 HUP 信号的影响了。

我们已经知道，如果事先在命令前加上 nohup 或者 setsid 就可以避免 HUP 信号的影响。但是如果我们未加任何处理就已经提交了命令，该如何补救才能让它避免 HUP 信号的影响呢？

这时想加 nohup 或者 setsid 已经为时已晚，只能通过作业调度和 disown 来解决这个问题了。让我们来看一下 disown 的帮助信息：

				disown [-ar] [-h] [jobspec ...]
	Without options, each jobspec is  removed  from  the  table  of
	active  jobs.   If  the -h option is given, each jobspec is not
	removed from the table, but is marked so  that  SIGHUP  is  not
	sent  to the job if the shell receives a SIGHUP.  If no jobspec
	is present, and neither the -a nor the -r option  is  supplied,
	the  current  job  is  used.  If no jobspec is supplied, the -a
	option means to remove or mark all jobs; the -r option  without
	a  jobspec  argument  restricts operation to running jobs.  The
	return value is 0 unless a jobspec does  not  specify  a  valid
	job.

可以看出，我们可以用如下方式来达成我们的目的。

灵活运用 CTRL-z

在我们的日常工作中，我们可以用 CTRL-z 来将当前进程挂起到后台暂停运行，执行一些别的操作，然后再用 fg 来将挂起的进程重新放回前台（也可用 bg 来将挂起的进程放在后台）继续运行。这样我们就可以在一个终端内灵活切换运行多个任务，这一点在调试代码时尤为有用。因为将代码编辑器挂起到后台再重新放回时，光标定位仍然停留在上次挂起时的位置，避免了重新定位的麻烦。

用disown -h jobspec 来使某个作业忽略HUP信号。
用disown -ah 来使所有的作业都忽略HUP信号。
用disown -rh 来使正在运行的作业忽略HUP信号。

需要注意的是，当使用过 disown 之后，会将把目标作业从作业列表中移除，我们将不能再使用jobs来查看它，但是依然能够用ps -ef查找到它。

但是还有一个问题，这种方法的操作对象是作业，如果我们在运行命令时在结尾加了"&"来使它成为一个作业并在后台运行，那么就万事大吉了，我们可以通过jobs命令来得到所有作业的列表。但是如果并没有把当前命令作为作业来运行，如何才能得到它的作业号呢？答案就是用 CTRL-z（按住Ctrl键的同时按住z键）了！

CTRL-z 的用途就是将当前进程挂起（Suspend），然后我们就可以用jobs命令来查询它的作业号，再用bg jobspec 来将它放入后台并继续运行。需要注意的是，如果挂起会影响当前进程的运行结果，请慎用此方法。

				[root@pvcent107 build]# cp -r testLargeFile largeFile &
[1] 4825
[root@pvcent107 build]# jobs
[1]+  Running                 cp -i -r testLargeFile largeFile &
[root@pvcent107 build]# disown -h %1
[root@pvcent107 build]# ps -ef |grep largeFile
root      4825   968  1 09:46 pts/4    00:00:00 cp -i -r testLargeFile largeFile
root      4853   968  0 09:46 pts/4    00:00:00 grep largeFile
[root@pvcent107 build]# logout

				[root@pvcent107 build]# cp -r testLargeFile largeFile2

[1]+  Stopped                 cp -i -r testLargeFile largeFile2
[root@pvcent107 build]# bg %1
[1]+ cp -i -r testLargeFile largeFile2 &
[root@pvcent107 build]# jobs
[1]+  Running                 cp -i -r testLargeFile largeFile2 &
[root@pvcent107 build]# disown -h %1
[root@pvcent107 build]# ps -ef |grep largeFile2
root      5790  5577  1 10:04 pts/3    00:00:00 cp -i -r testLargeFile largeFile2
root      5824  5577  0 10:05 pts/3    00:00:00 grep largeFile2
[root@pvcent107 build]#

我们已经知道了如何让进程免受 HUP 信号的影响，但是如果有大量这种命令需要在稳定的后台里运行，如何避免对每条命令都做这样的操作呢？

此时最方便的方法就是 screen 了。简单的说，screen 提供了 ANSI/VT100 的终端模拟器，使它能够在一个真实终端下运行多个全屏的伪终端。screen 的参数很多，具有很强大的功能，我们在此仅介绍其常用功能以及简要分析一下为什么使用 screen 能够避免 HUP 信号的影响。我们先看一下 screen 的帮助信息：

				SCREEN(1)                                                           SCREEN(1)

NAME
       screen - screen manager with VT100/ANSI terminal emulation

SYNOPSIS
       screen [ -options ] [ cmd [ args ] ]
       screen -r [[pid.]tty[.host]]
       screen -r sessionowner/[[pid.]tty[.host]]

DESCRIPTION
       Screen  is  a  full-screen  window manager that multiplexes a physical
       terminal between several  processes  (typically  interactive  shells).
       Each  virtual  terminal provides the functions of a DEC VT100 terminal
       and, in addition, several control functions from the  ISO  6429  (ECMA
       48,  ANSI  X3.64)  and ISO 2022 standards (e.g. insert/delete line and
       support for multiple character sets).  There is a  scrollback  history
       buffer  for  each virtual terminal and a copy-and-paste mechanism that
       allows moving text regions between windows.

使用 screen 很方便，有以下几个常用选项：

用screen -dmS session name 来建立一个处于断开模式下的会话（并指定其会话名）。
用screen -list 来列出所有会话。
用screen -r session name 来重新连接指定会话。
用快捷键CTRL-a d 来暂时断开当前会话。

				[root@pvcent107 ~]# screen -dmS Urumchi
[root@pvcent107 ~]# screen -list
There is a screen on:
        12842.Urumchi   (Detached)
1 Socket in /tmp/screens/S-root.

[root@pvcent107 ~]# screen -r Urumchi

当我们用“-r”连接到 screen 会话后，我们就可以在这个伪终端里面为所欲为，再也不用担心 HUP 信号会对我们的进程造成影响，也不用给每个命令前都加上“nohup”或者“setsid”了。这是为什么呢？让我来看一下下面两个例子吧。

				[root@pvcent107 ~]# ping www.google.com &
[1] 9499
[root@pvcent107 ~]# pstree -H 9499
init─┬─Xvnc
     ├─acpid
     ├─atd
     ├─2*[sendmail]	
     ├─sshd─┬─sshd───bash───pstree
     │       └─sshd───bash───ping

我们可以看出，未使用 screen 时我们所处的 bash 是 sshd 的子进程，当 ssh 断开连接时，HUP 信号自然会影响到它下面的所有子进程（包括我们新建立的 ping 进程）。

				[root@pvcent107 ~]# screen -r Urumchi
[root@pvcent107 ~]# ping www.ibm.com &
[1] 9488
[root@pvcent107 ~]# pstree -H 9488
init─┬─Xvnc
     ├─acpid
     ├─atd
     ├─screen───bash───ping
     ├─2*[sendmail]

而使用了 screen 后就不同了，此时 bash 是 screen 的子进程，而 screen 是 init（PID为1）的子进程。那么当 ssh 断开连接时，HUP 信号自然不会影响到 screen 下面的子进程了。

现在几种方法已经介绍完毕，我们可以根据不同的场景来选择不同的方案。nohup/setsid 无疑是临时需要时最方便的方法，disown 能帮助我们来事后补救当前已经在运行了的作业，而 screen 则是在大批量操作时不二的选择了。

“系统管理员工具包：进程管理技巧”（developerWorks 中国，2006 年 5 月）介绍了 Linux 进程管理的更多技巧。
“Linux 技巧：使用 screen 管理你的远程会话”（developerWorks 中国，2007 年 7 月）介绍了 screen 的更多技巧。
在 developerWorks 中国网站 Linux 专区中学习更多 Linux 方面的知识。

申毅，IBM 中国软件开发中心 WebSphere Portal 部门软件工程师。

出口ip,mark一下

Tue, 22 Nov 2011 10:46:37 +0800

校内ip：

192.168.0.0/16 （南）
172.16.0.0/16 （珠海）
172.18.0.0/16 （东）
172.31.0.0/16 （北）
202.116.64.0/255.255.224.0 （南）
202.116.96.0/255.255.224.0 （北）
125.217.160.0/255.255.240.0 （南）
222.200.160.0/255.255.224.0 （东）
211.66.128.0/255.255.240.0 （珠海）
219.222.192.0/255.255.240.0 （南）

natip地址，不分校区
121.33.190.128/255.255.255.192
59.41.70.160/255.255.255.224
113.108.133.32/255.255.255.224
61.144.54.32/255.255.255.224
218.19.175.224/255.255.255.224

[zz]让你提升命令行效率的Bash快捷键

Tue, 15 Nov 2011 09:59:30 +0800

原帖地址：http://linuxtoy.org/archives/bash-shortcuts.html

编辑命令

Ctrl + a ：移到命令行首
Ctrl + e ：移到命令行尾
Ctrl + f ：按字符前移（右向）
Ctrl + b ：按字符后移（左向）
Alt + f ：按单词前移（右向）
Alt + b ：按单词后移（左向）
Ctrl + xx：在命令行首和光标之间移动
Ctrl + u ：从光标处删除至命令行首
Ctrl + k ：从光标处删除至命令行尾
Ctrl + w ：从光标处删除至字首
Alt + d ：从光标处删除至字尾
Ctrl + d ：删除光标处的字符
Ctrl + h ：删除光标前的字符
Ctrl + y ：粘贴至光标后
Alt + c ：从光标处更改为首字母大写的单词
Alt + u ：从光标处更改为全部大写的单词
Alt + l ：从光标处更改为全部小写的单词
Ctrl + t ：交换光标处和之前的字符
Alt + t ：交换光标处和之前的单词
Alt + Backspace：与 Ctrl + w 相同类似，分隔符有些差别 [感谢 rezilla 指正]
重新执行命令

Ctrl + r：逆向搜索命令历史
Ctrl + g：从历史搜索模式退出
Ctrl + p：历史中的上一条命令
Ctrl + n：历史中的下一条命令
Alt + .：使用上一条命令的最后一个参数
控制命令

Ctrl + l：清屏
Ctrl + o：执行当前命令，并选择上一条命令
Ctrl + s：阻止屏幕输出
Ctrl + q：允许屏幕输出
Ctrl + c：终止命令
Ctrl + z：挂起命令
Bang (!) 命令

!!：执行上一条命令
!blah：执行最近的以 blah 开头的命令，如 !ls
!blah:p：仅打印输出，而不执行
!$：上一条命令的最后一个参数，与 Alt + . 相同
!$:p：打印输出 !$ 的内容
!*：上一条命令的所有参数
!*:p：打印输出 !* 的内容
^blah：删除上一条命令中的 blah
^blah^foo：将上一条命令中的 blah 替换为 foo
^blah^foo^：将上一条命令中所有的 blah 都替换为 foo

[zz]简明Vim练级攻略

Wed, 28 Sep 2011 22:39:13 +0800

原文地址：http://coolshell.cn/articles/5426.html

你想以最快的速度学习人类史上最好的文本编辑器VIM吗？你先得懂得如何在VIM幸存下来，然后一点一点地学习各种戏法。

Vim the Six Billion Dollar editor

Better, Stronger, Faster.

学习 vim 并且其会成为你最后一个使用的文本编辑器。没有比这个更好的文本编辑器了，非常地难学，但是却不可思议地好用。

我建议下面这四个步骤：

存活
感觉良好
觉得更好，更强，更快
使用VIM的超能力

当你走完这篇文章，你会成为一个vim的 superstar。

在开始学习以前，我需要给你一些警告：

学习vim在开始时是痛苦的。
需要时间
需要不断地练习，就像你学习一个乐器一样。
不要期望你能在3天内把vim练得比别的编辑器更有效率。
事实上，你需要2周时间的苦练，而不是3天。

第一级 – 存活

安装 vim
启动 vim
什么也别干！请先阅读

当你安装好一个编辑器后，你一定会想在其中输入点什么东西，然后看看这个编辑器是什么样子。但vim不是这样的，请按照下面的命令操作：

启动Vim后，vim在 Normal 模式下。
让我们进入 Insert 模式，请按下键 i 。(陈皓注：你会看到vim左下角有一个–insert–字样，表示，你可以以插入的方式输入了）
此时，你可以输入文本了，就像你用“记事本”一样。
如果你想返回 Normal 模式，请按 ESC 键。

现在，你知道如何在 Insert 和 Normal 模式下切换了。下面是一些命令，可以让你在 Normal 模式下幸存下来：

i → Insert 模式，按 ESC 回到 Normal 模式.

x → 删当前光标所在的一个字符。

:wq → 存盘 + 退出 (:w 存盘, :q 退出) （陈皓注：:w 后可以跟文件名）

dd → 删除当前行，并把删除的行存到剪贴板里

p → 粘贴剪贴板

推荐:

hjkl (强例推荐使用其移动光标，但不必需) →你也可以使用光标键 (←↓↑→). 注: j 就像下箭头。

:help <command> → 显示相关命令的帮助。你也可以就输入 :help 而不跟命令。（陈皓注：退出帮助需要输入:q）

你能在vim幸存下来只需要上述的那5个命令，你就可以编辑文本了，你一定要把这些命令练成一种下意识的状态。于是你就可以开始进阶到第二级了。

当是，在你进入第二级时，需要再说一下 Normal 模式。在一般的编辑器下，当你需要copy一段文字的时候，你需要使用 Ctrl 键，比如：Ctrl-C。也就是说，Ctrl键就好像功能键一样，当你按下了功能键Ctrl后，C就不在是C了，而且就是一个命令或是一个快键键了，在VIM的Normal模式下，所有的键就是功能键了。这个你需要知道。

标记:

下面的文字中，如果是 Ctrl-λ我会写成 <C-λ>.
以 : 开始的命令你需要输入 <enter>回车，例如 — 如果我写成 :q 也就是说你要输入 :q<enter>.

第二级 – 感觉良好

上面的那些命令只能让你存活下来，现在是时候学习一些更多的命令了，下面是我的建议：（陈皓注：所有的命令都需要在Normal模式下使用，如果你不知道现在在什么样的模式，你就狂按几次ESC键）

各种插入模式
- a → 在光标后插入
- o → 在当前行后插入一个新行
- O → 在当前行前插入一个新行
- cw → 替换从光标所在位置后到一个单词结尾的字符
简单的移动光标
- 0 → 数字零，到行头
- ^ → 到本行第一个不是blank字符的位置（所谓blank字符就是空格，tab，换行，回车等）
- $ → 到本行行尾
- g_ → 到本行最后一个不是blank字符的位置。
- /pattern → 搜索 pattern 的字符串（陈皓注：如果搜索出多个匹配，可按n键到下一个）
拷贝/粘贴（陈皓注：p/P都可以，p是表示在当前位置之后，P表示在当前位置之前）
- P → 粘贴
- yy → 拷贝当前行当行于 ddP
Undo/Redo
- u → undo
- <C-r> → redo
打开/保存/退出/改变文件(Buffer)
- :e <path/to/file> → 打开一个文件
- :w → 存盘
- :saveas <path/to/file> → 另存为 <path/to/file>
- :x， ZZ 或 :wq → 保存并退出 (:x 表示仅在需要时保存，ZZ不需要输入冒号并回车)
- :q! → 退出不保存 :qa! 强行退出所有的正在编辑的文件，就算别的文件有更改。
- :bn 和 :bp → 你可以同时打开很多文件，使用这两个命令来切换下一个或上一个文件。（陈皓注：我喜欢使用:n到下一个文件）

花点时间熟悉一下上面的命令，一旦你掌握他们了，你就几乎可以干其它编辑器都能干的事了。但是到现在为止，你还是觉得使用vim还是有点笨拙，不过没关系，你可以进阶到第三级了。

第三级 – 更好，更强，更快

先恭喜你！你干的很不错。我们可以开始一些更为有趣的事了。在第三级，我们只谈那些和vi可以兼容的命令。

更好

下面，让我们看一下vim是怎么重复自己的：

. → (小数点) 可以重复上一次的命令
N<command> → 重复某个命令N次

下面是一个示例，找开一个文件你可以试试下面的命令：

2dd → 删除2行

3p → 粘贴文本3次

100idesu [ESC] → 会写下 “desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu desu “

. → 重复上一个命令—— 100 “desu “.

3. → 重复 3 次 “desu” (注意：不是 300，你看，VIM多聪明啊).

更强

你要让你的光标移动更有效率，你一定要了解下面的这些命令，千万别跳过。

NG → 到第 N 行（陈皓注：注意命令中的G是大写的，另我一般使用 : N 到第N行，如 :137 到第137行）
gg → 到第一行。（陈皓注：相当于1G，或 :1）
G → 到最后一行。
按单词移动：
1. w → 到下一个单词的开头。
2. e → 到下一个单词的结尾。
> 如果你认为单词是由默认方式，那么就用小写的e和w。默认上来说，一个单词由字母，数字和下划线组成（陈皓注：程序变量）

> 如果你认为单词是由blank字符分隔符，那么你需要使用大写的E和W。（陈皓注：程序语句）

下面，让我来说说最强的光标移动：

% : 匹配括号移动，包括 (, {, [. （陈皓注：你需要把光标先移到括号上）

* 和 #: 匹配光标当前所在的单词，移动光标到下一个（或上一个）匹配单词（*是下一个，#是上一个）

相信我，上面这三个命令对程序员来说是相当强大的。

更快

你一定要记住光标的移动，因为很多命令都可以和这些移动光标的命令连动。很多命令都可以如下来干：

例如 0y$ 命令意味着：

0 → 先到行头
y → 从这里开始拷贝
$ → 拷贝到本行最后一个字符

你可可以输入 ye，从当前位置拷贝到本单词的最后一个字符。

你也可以输入 y2/foo 来拷贝2个 “foo” 之间的字符串。

还有很多时间并不一定你就一定要按y才会拷贝，下面的命令也会被拷贝：

d (删除 )
v (可视化的选择)
gU (变大写)
gu (变小写)
等等

（陈皓注：可视化选择是一个很有意思的命令，你可以先按v，然后移动光标，你就会看到文本被选择，然后，你可能d，也可y，也可以变大写等）

第四级 – Vim 超能力

你只需要掌握前面的命令，你就可以很舒服的使用VIM了。但是，现在，我们向你介绍的是VIM杀手级的功能。下面这些功能是我只用vim的原因。

在当前行上移动光标: 0 ^ $ f F t T , ;

0 → 到行头

^ → 到本行的第一个非blank字符

$ → 到行尾

g_ → 到本行最后一个不是blank字符的位置。

fa → 到下一个为a的字符处，你也可以fs到下一个为s的字符。

t, → 到逗号前的第一个字符。逗号可以变成其它字符。

3fa → 在当前行查找第三个出现的a。

F 和 T → 和 f 和 t 一样，只不过是相反方向。

还有一个很有用的命令是 dt" → 删除所有的内容，直到遇到双引号—— "。

区域选择 <action>a<object> 或 <action>i<object>

在visual 模式下，这些命令很强大，其命令格式为

action可以是任何的命令，如 d (删除), y (拷贝), v (可以视模式选择)。
object 可能是： w 一个单词， W 一个以空格为分隔的单词， s 一个句字， p 一个段落。也可以是一个特别的字符："、 '、 )、 }、 ]。

假设你有一个字符串 (map (+) ("foo")).而光标键在第一个 o 的位置。

vi" → 会选择 foo.

va" → 会选择 "foo".

vi) → 会选择 "foo".

va) → 会选择("foo").

v2i) → 会选择 map (+) ("foo")

v2a) → 会选择 (map (+) ("foo"))

块操作: <C-v>

块操作，典型的操作： 0 <C-v> <C-d> I-- [ESC]

^ → 到行头
<C-v> → 开始块操作
<C-d> → 向下移动 (你也可以使用hjkl来移动光标，或是使用%，或是别的)
I-- [ESC] → I是插入，插入“--”，按ESC键来为每一行生效。

在Windows下的vim，你需要使用 <C-q> 而不是 <C-v> ，<C-v> 是拷贝剪贴板。

自动提示： <C-n> 和 <C-p>

在 Insert 模式下，你可以输入一个词的开头，然后按 <C-p>或是<C-n>，自动补齐功能就出现了……

宏录制： qa 操作序列 q, @a, @@

qa 把你的操作记录在寄存器 a。
于是 @a 会replay被录制的宏。
@@ 是一个快捷键用来replay最新录制的宏。

示例

在一个只有一行且这一行只有“1”的文本中，键入如下命令：

qaYp<C-a>q→

qa 开始录制

Yp 复制行.

<C-a> 增加1.

q 停止录制.

@a → 在1下面写下 2

@@ → 在2 正面写下3

现在做 100@@ 会创建新的100行，并把数据增加到 103.

可视化选择： v,V,<C-v>

前面，我们看到了 <C-v>的示例（在Windows下应该是<C-q>），我们可以使用 v 和 V。一但被选好了，你可以做下面的事：

J → 把所有的行连接起来（变成一行）
< 或 > → 左右缩进
= → 自动给缩进（陈皓注：这个功能相当强大，我太喜欢了）

在所有被选择的行后加上点东西：

<C-v>
选中相关的行 (可使用 j 或 <C-d> 或是 /pattern 或是 % 等……)
$ 到行最后
A, 输入字符串，按 ESC。

分屏: :split 和 vsplit.

下面是主要的命令，你可以使用VIM的帮助 :help split. 你可以参考本站以前的一篇文章VIM分屏。

:split → 创建分屏 (:vsplit创建垂直分屏)

<C-w><dir> : dir就是方向，可以是 hjkl 或是 ←↓↑→ 中的一个，其用来切换分屏。

<C-w>_ (或 <C-w>|) : 最大化尺寸 (<C-w>| 垂直分屏)

<C-w>+ (或 <C-w>-) : 增加尺寸

结束语

上面是作者最常用的90%的命令。
我建议你每天都学1到2个新的命令。
在两到三周后，你会感到vim的强大的。

有时候，学习VIM就像是在死背一些东西。
幸运的是，vim有很多很不错的工具和优秀的文档。
运行vimtutor直到你熟悉了那些基本命令。
其在线帮助文档中你应该要仔细阅读的是 :help usr_02.txt.
你会学习到诸如 !，目录，寄存器，插件等很多其它的功能。

学习vim就像学弹钢琴一样，一旦学会，受益无穷。

[zz]Terminator学习小记

Mon, 13 Jun 2011 09:20:58 +0800

原文地址：http://www.lovemaple.info/blog/2011/05/learning-terminator/

1.窗口管理

F11全屏
Ctrl+Shift+E 垂直分割窗口(Vertice的第二个字母，之所以是第二个，因为含第一个字母的组合键已经被使用了)
Ctrl+Shift+O 水平分割窗口(Horizon的第二个字母)

2.窗口切换

Ctrl+Shift+N或者Ctrl+Tab在分割的各窗口之间切换（我不喜欢用，更喜欢alt加方向键，见下）
Alt+up（上方向键）切换到当前焦点上面的窗口
Alt+down（下方向键）切换到当前焦点下面的窗口
Alt+left（左方向键）切换到当前焦点左面的窗口
Alt+right（右方向键）切换到当前焦点右面的窗口

emacs中给.emacs文件添加下面的elisp代码也可以实现Alt+方向键切换窗口

(windmove-default-keybindings 'meta)

3.编辑窗口

Ctrl+Shift+Up（上方向键）
Ctrl+Shift+Down（下方向键）
Ctrl+Shift+Left（左方向键）
Ctrl+Shift+Right（右方向键）
Ctrl+Shift+X全屏当前窗口，再次按下就还原了
Ctrl+Shift+Z全屏当前窗口，同时放大字体，再次按下就还原了
Ctrl+Shift+W关闭当前窗口（仅是当前焦点所在的窗口）

在emacs中我们也可以给.emacs文件添加下面的elisp代码实现Ctrl+Shift+方向键进行窗口大小修改

(global-set-key (kbd "S-C-<left>") 'shrink-window-horizontally)
(global-set-key (kbd "S-C-<right>") 'enlarge-window-horizontally)
(global-set-key (kbd "S-C-<up>") 'shrink-window)
(global-set-key (kbd "S-C-<down>") 'enlarge-window)

4.文字编辑

Ctrl+Shift+C复制（为什么不是Ctrl+C呢，因为他在终端下用于向当前运行的进程发出终止信号）
Ctrl+Shift+V粘贴
这里推荐一篇好文：高效操作Bash

5.字体

Ctrl+'+' 字体增大一号
Ctrl+'-' 字体减小一号
Ctrl+0 字体还原

6.标签功能

这个和Firefox操作每一个tab的方法一样，不过我很少使用

Ctrl+Shift+P或者Ctrl+Shift+Tab 切换到前一个tab
Ctrl+Shift+N或者Ctrl+Tab 切换到下一个tab
PS：我更喜欢用Ctrl+PageUp或PageDown
Ctrl+Shift+T新开个tab
Ctrl+Shift+Q关闭当前所有窗口（会有提示是否关闭）
Ctrl+Shift+G清除当前窗口（类似cls）

具体其他用法可以使用man查看，命令如下
man terminator-config

Eclipse+pydev 常用快捷键

Thu, 31 Mar 2011 16:32:47 +0800

原文：http://hi.baidu.com/ugo5/blog/item/1af5eda74c1e10e39152ee70.html

●多行缩进（减少缩进）：tab／shift+tab

●复制行： Ctrl+Alt+方向键'↓'

●删除行：Ctrl+d

●自动完成：Alt+/

●注释：Ctrl+／

●窗口最大小：Ctrl+m

===============================================================================

1 几个最重要的快捷键

代码助手:Ctrl+Space（简体中文操作系统是Alt+/）
快速修正：Ctrl+1
单词补全：Alt+/
打开外部Java文档：Shift+F2

显示搜索对话框：Ctrl+H
快速Outline：Ctrl+O
打开资源：Ctrl+Shift+R
打开类型：Ctrl+Shift+T
显示重构菜单：Alt+Shift+T

上一个/下一个光标的位置：Alt+Left/Right
上一个/下一个成员（成员对象或成员函数）：Ctrl+Shift+Up/Down
选中闭合元素：Alt+Shift+Up/Down/Left/Right
删除行：Ctrl+D
在当前行上插入一行：Ctrl+Shift+Enter
在当前行下插入一行： Shift+Enter
上下移动选中的行：Alt+Up/Down

组织导入：Ctrl+Shift+O

2 定位
2.1行内定位
行末/行首：End/Home
前一个/后一个单词：Ctrl+Right/Left
2.2文件内定位
跳到某行：Ctrl+L
上下滚屏：Ctrl+Up/Down
上一个/下一个成员（成员对象或成员函数）：Ctrl+Shift+Up/Down
快速Outline：Ctrl+O
2.3跨文件定位
打开声明：F3
打开资源：Ctrl+Shift+R
打开类型：Ctrl+Shift+T
在workspace中搜索选中元素的声明：Ctrl+G
在workspace中搜索选中的文本：Ctrl+Alt+G
在workspace中搜索选中元素的引用：Ctrl+Shift+G
打开调用层次结构：Ctrl+Alt+H
快速层次结构：Ctrl+T
反悔：Ctrl+Z
2.4其它
上一个/下一个光标所在位置：Alt+Left/Right
上一个编辑的位置：Ctrl+Q

3 选中
3.1行内选中
选中到行末/行首：Shift+End/Home
选中上一个/下一个单词：Ctrl+Shift+Left/Right
3.2文件内选中
选中闭合元素：Alt+Shift+Up
恢复到上一个选中：Alt+Shift+Down
选中下一个/上一个元素：Alt+Shift+Right/Left

4 定位/选中/操作同时
删除行：Ctrl+D
删除下一个/上一个单词：Ctrl+Delete/Backspace
删除到行末：Ctrl+Shift+Delete
在当前行上插入一行：Ctrl+Shift+Enter
在当前行下插入一行： Shift+Enter
上下移动选中的行：Alt+Up/Down
拷贝选中的行：Ctrl+Alt+Up/Down

5其它的代码编辑类快捷键
保存：Ctrl+S
保存所有：Ctrl+Shift+S
下一个命中的项（搜索之后）：Ctrl+.
注释：Ctrl+/
添加导入：Ctrl+Shift+M
显示快捷键帮助：Ctrl+Shift+L
变为大/小写：Ctrl+Shift+X/Y

6 重构
显示重构菜单：Alt+Shift+T
重构-改变方法签名：Alt+Shift+C
重构-移动：Alt+Shift+V
重构-重命名：Alt+Shift+R

7 编辑器、视图、透视图切换
下一个编辑器：Ctrl+F6
下一个视图：Ctrl+F7
下一个透视图：Ctrl+F8
最大化当前视图或编辑器：Ctrl+M
激活编辑器：F12

8 Debug
F5：Step Into（debug）
F6：Step over（debug）
F7：Step return（debug）
F8：Resume（debug）
F11：debug上一个应用（debug）

9 Up/Down/Right/Left类快捷键
Ctrl
前一个/后一个单词：Ctrl+Right/Left
上下滚屏：Ctrl+Up/Down

Alt
上一个/下一个光标的位置：Alt+Left/Right
上下移动选中的行：Alt+Up/Down

Shift
选中上一个/下一个字符：Shift+Left/Right
选中上一行/下一行（从当前光标位置开始）：Shift+Up/Down

Ctrl+Shift
上一个/下一个成员（成员对象或成员函数）：Ctrl+Shift+Up/Down
选中上一个/下一个单词：Ctrl+Shift+Left/Right

Alt+Shift
选中闭合元素：Alt+Shift+Up
恢复到上一个选中：Alt+Shift+Down
选中下一个/上一个元素：Alt+Shift+Right/Left
拷贝选中的行：Ctrl+Alt+Up/Down

Ctrl+Alt
拷贝选中的行：Ctrl+Alt+Up/Down

10 F类快捷键
F2：显示提示/重命名
F3：打开选中元素的声明
F4：打开选中元素的类型继承结构
F5：刷新
F5：Step Into（debug）
F6：Step over（debug）
F7：Step return（debug）
F8：Resume（debug）
F11：debug上一个应用（debug）
F12：激活编辑器

本文网址:http://blog.hi-suke.com/2011/03/31/eclipse-pydev.html

Git overlook

Mon, 21 Mar 2011 22:30:22 +0800

本文网址:http://blog.hi-suke.com/2011/03/21/git-overlook.html

vision's blog

CCIE试验备考之交换Security

相关阅读：

开源IaaS软件的比较 — 构架、功能、社区、商业及其他

相关阅读：

虚拟化管理软件比较

相关阅读：

Linux 技巧：让进程在后台可靠运行的几种方法

hangup 名称的来由

灵活运用 CTRL-z

相关阅读：

出口ip,mark一下

相关阅读：

[zz]让你提升命令行效率的Bash快捷键

相关阅读：

[zz]简明Vim练级攻略

第一级 – 存活

第二级 – 感觉良好

第三级 – 更好，更强，更快

更好

更强

更快

第四级 – Vim 超能力

在当前行上移动光标: 0 ^ $ f F t T , ;

区域选择 <action>a<object> 或 <action>i<object>

块操作: <C-v>

自动提示： <C-n> 和 <C-p>

宏录制： qa 操作序列 q, @a, @@

可视化选择： v,V,<C-v>

分屏: :split 和 vsplit.

结束语

相关阅读：

[zz]Terminator学习小记

1.窗口管理

2.窗口切换

3.编辑窗口

4.文字编辑

5.字体

6.标签功能

相关阅读：

Eclipse+pydev 常用快捷键

Git overlook