阿里云ACP云计算备考笔记 (2)——云网络原理与实践

OSI 七层模型是由国际标准化组织（ISO）在 1984 年提出的网络体系结构模型，其目的是将网络通信过程划分为七个逻辑层次（从下到上依次为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层），以实现不同厂商、不同技术的网络设备和应用能够互通互操作。每一层都有明确的功能职责，并通过"接口"与相邻层进行交互，从而形成一个分层且模块化的网络通信体系。虽然在实际网络工程中，TCP/IP 四层模型更为常用，但 OSI 七层模型依然是理解网络原理和协议设计的基础框架。

① 物理层

1) 功能

比特传输：负责在物理媒介上传输二进制位0和1，物理媒介有双绞线、光纤、无线信号等等。

物理接口定义：定义电气、机械、过程和功能特性，比如电平电压、传输速度、连接器形态等等。

传输介质管理：包括调制解调、信号编码解码、始终同步等。

2) 典型协议和设备

协议：IEEE 802.3（以太网物理层规范）、IEEE 802.11（Wi-Fi 物理层规范）、USB、蓝牙（低层）。

设备：网线（双绞线）、光纤、网卡（NIC）、集线器（Hub）、中继器（Repeater）、调制解调器（Modem）。

3) 应用实例

以太网物理接口：RJ45 接口、100BASE-TX/1000BASE-T。

光纤通信：1000BASE-LX、10GBASE-SR 等光纤标准。

② 数据链路层

1) 功能

帧封装与解封装：将网络层传下来的数据报封装成数据帧，并在接收时提取出帧内有效载荷。

物理地址(MAC)寻址：通过 MAC 地址唯一标识网络设备，实现局域网内通信。

差错检测和校验：在帧尾添加循环冗余校验(CRC)，检查数据在物理传输过程中是否发生损坏。

流量控制和重传：部分协议比如 PPP、HDLC 可实现简单的流量控制和差错重传机制。

帧分割和顺序控制：保证帧边界清晰，必要时可对接收顺序进行重组。

2) 子层

逻辑链路控制子层(LLC)：主要负责逻辑链路管理、帧序号、确认、流量控制等。

介质访问控制子层(MAC)：负责物理介质的访问协调和多路访问控制，如以太网的 CSMA/CD、Wi-Fi的 CSMA/CA。

3) 典型协议和设备

协议：Ethernet（以太网）、PPP（点对点协议）、HDLC、ARP（地址解析协议）、VLAN（802.1Q）、Wi-Fi（802.11 MAC）。

设备：交换机（Switch）、网桥（Bridge）、网卡（NIC）、无线接入点（AP）。

4) 应用实例

以太网交换机：根据 MAC 地址表转发帧，实现局域网内二层交换。

ARP 协议：在同一局域网内，将 IP 地址解析为对应的 MAC 地址，用于封装数据帧。

③ 网络层

1) 功能

逻辑地址(IP)寻址和路由：负责将数据报从源主机传输到目的主机，并在多个网络之间选择合适路径。

分组和转发：接收来自传输层的而数据并封装成 IP 数据报，通过路由器分组转发。

拥塞控制(粗粒度)：虽然很多具体实现将拥塞控制放到更高层，但部分路由协议或者 ICMP 拥塞消息可以实现组略控制。

差错报告和诊断：利用 ICMP 反馈网络层错误，如"无法到达"、"路由重定向"等。

2) 典型协议和设备

IPv4 / IPv6：定义了逻辑地址格式、分片/重组、校验等。

ICMP：网络控制与诊断协议，用于发送错误报告和网络状态信息（例如 ping 使用的 Echo Request/Echo Reply）。

路由协议：RIP、OSPF、BGP、EIGRP（思科私有）等，用于动态计算路由表。

NAT：网络地址转换，将私有网络地址转换为公网地址。

3) 应用实例

路由器(Router)：根据路由表，对目的 IP 进行下一跳决定并转发数据包。

子网划分与 VLAN 间路由：在大型网络中，将网络划分成多个子网，通过三层交换机（具有路由功能的交换机）或路由器实现不同子网间通信。

④ 传输层

1) 功能

端到端连接管理：早通信两端建立、维护和中止连接。比如TCP的三次握手和四次挥手。

可靠传输：对无连接的UDP或者面向连接的TCP，通过序号、确认、超时重传、拥塞控制等机制保证数据可靠送达或者提供尽量低的开销。

流量控制：防止发送方过快的发送数据导致接收方处理不过来。比如TCP的滑动窗口机制。

多路复用和解复用：通过端口号将应用层数据交付给对应的进程，保证同一台主机上多个应用可并行使用网络。

2) 典型协议

TCP(Transmission Control Protocol)：提供面向连接的、可靠的字节流传输，多用于 HTTP、FTP、SMTP、SSH 等需要高可靠性的应用。

UDP(User Datagram Protocol)：提供无连接、不可靠的报文传输，适用于实时性要求高但容错可接受的应用，如 DNS 查询、TFTP、VoIP、直播推流等。

SCTP：流控制传输协议（Stream Control Transmission Protocol），在部分电信、信令系统中使用。

3) 应用实例

Web 浏览：浏览器与 Web 服务器之间通过 TCP 三次握手建立连接，发送 HTTP 请求后等待确认并接收数据。

视频直播：客户端一般采用 UDP 协议，以降低延迟，并在应用层实现必要的丢包恢复或 FEC（前向纠错）。

⑤ 会话层

1) 功能

会话管理：用户建立、维护和中止两个通信实体之间的会话，比如保持会话、同步点、检查点。

对话控制：区分半双工和全双工通信模式，以及在长连接中加入定期心跳、重新同步等机制。

令牌管理：在多方会话中，控制谁有发言权，例如在远程过程调用（RPC）货分布式事务时用到。

2) 典型协议

RPC：远程过程调用可视为典型的会话层应用，通过会话层实现客户端与服务器之间的同步调用。

NetBIOS：曾在 Microsoft 网络上广泛使用，用于会话管理与名称服务。

SockStream/SockSeqpacket：Unix 系统中面向连接的 socket 类型，部分实现了会话控制（但在实践中通常将该功能归于传输层的 TCP）。

3) 应用实例

分布式数据库事务：需要在多节点之间保持会话状态，实现两阶段提交（2PC）时，Session 层可用于控制事务协调和状态同步。

VPN 隧道：如 PPTP 在会话层进行控制，维护双端点之间的会话状态。

⑥ 表示层

1) 功能

数据格式转换：负责将应用层的数据格式如文本、图像、音频、视频等转换成网络传输可识别的表示格式，反向亦可。

加密与解密：提供数据加密、解密功能，保障数据传输过程中的机密性和完整性。

压缩和解压缩：对数据惊醒压缩以减少开销，接收端惊醒解压还原。

字符编码：处理不同系统间的字符集差异。

2) 典型协议

SSL / TLS：安全套接字层 / 传输层安全协议，提供数据加密、数据完整性校验和身份验证，常用于 HTTPS、FTPS、SMTP over TLS 等。

MIME：多用途互联网邮件扩展，为电子邮件添加附件、字符编码转换等功能。

GIF / JPEG / PNG：在应用层之上进行图像格式转换与压缩。

ASN.1：抽象语法标记 1，用于描述数据结构，并实现二进制编码（如 BER、DER）以进行跨平台传输。

3) 应用实例

HTTPS 网站：浏览器与服务器在建立 TCP 连接后，通过 TLS 握手完成对称/非对称密钥协商，后续应用层数据（HTTP）均加密传输。

电子邮件附件：SMTP 发送前，邮件客户端对附件进行 Base64 编码（表示层处理），确保二进制数据能在纯文本传输通道中传送。

⑦ 应用层

1) 功能

提供网络服务接口：直接面向最终用户或应用程序，提供网络应用服务，比如文件传输、电子邮件、远程登陆、网页浏览。

应用协议处理：定义应用程序之间如何交换数据、如何发起请求、如何响应等。比如 HTTP

FTP、SMTP、DNS、POP3、IMAP、Telnet、SSH 等。

资源定位和命名：通过 DNS 将域名解析位 IP 地址，为应用提供便捷的命名和定位机制。

网络管理和监控：如 SNMP（简单网络管理协议），允许网络管理员监控、配置设备。

2) 典型协议

HTTP / HTTPS：超文本传输协议（安全版本），用于万维网浏览，基于请求/响应模型。

FTP / SFTP / FTPS：文件传输协议及其安全扩展，用于客户端与服务器之间的文件上传/下载。

SMTP / POP3 / IMAP：电子邮件发送与接收协议，其中 SMTP 用于发送，POP3/IMAP 用于接收并管理邮件。

DNS：域名解析协议，将易读域名转换为 IP 地址。

Telnet / SSH：远程终端协议，提供在网络上远程登录与命令执行功能；SSH 相比 Telnet 提供加密传输与更强的安全性。

SNMP：网络管理协议，用于监控网络设备状态、告警和配置调整。

3) 应用实例

Web 浏览器：用户在浏览器地址栏输入 URL（如 https://www.example.com），DNS 将域名解析为 IP，浏览器通过 TCP 建立连接，再通过 TLS/SSL 握手，最后使用 HTTP(S) 请求网页内容。

电子邮件客户端：通过 SMTP 协议向邮件服务器发送邮件，再通过 POP3/IMAP 协议拉取和管理收件箱中的邮件。

文件共享：通过 FTP 协议或基于 HTTP 的下载，用户可以上传或下载文件；企业内部也常用 SFTP（基于 SSH 的安全文件传输）。

⑧ 层间关系与数据封装

在通信过程中，数据从应用层一步步向下传递到物理层，在每一层都添加相应的头部（Header）信息，形成不同的"封装单元（PDU）"：

应用层 直接生成应用数据（Data）。
表示层 可能对数据进行格式转换、加密，仍称为 Data。
会话层 添加会话控制信息，形成 "会话数据单元"。
传输层 根据使用的是 TCP 还是 UDP，将会话数据封装为 "段（Segment）"或"数据报（Datagram）"，添加源端口、目标端口、序号、校验和等信息。
网络层 将传输层段/数据报封装为 "分组（Packet）"，添加源 IP、目标 IP、TTL（生存时间）等信息。
数据链路层 将网络层分组封装为 "帧（Frame）"，添加源 MAC、目标 MAC、帧类型、CRC 校验等信息。
物理层 将帧转换为比特流，通过物理介质进行传输。

当接收端收到物理信号后，上述过程按相反顺序逐层解封装，最终将应用数据送达应用程序。

2、IPv4地址详解

① 组成规则

32位二进制表示，每8位二进制一组，用点隔开，每一组转成十进制。

比如 192.168.30.129

② IPv4 地址分类

传统上，IPv4 地址按最高位（Most Significant Bits，MSB）划分为 5 类：A、B、C、D（多播）、E（保留）。具体规则如下：

类别	首字节高位模式	地址范围（点分十进制）	可分配给主机的网络数 / 每网络主机数	用途
A	0xxxxxxx	0.0.0.0 -- 127.255.255.255	网络号 2⁷-2=126 个；每网主机 2²⁴-2=16 777 214	超大规模网络（历史用法）
B	10xxxxxx	128.0.0.0 -- 191.255.255.255	网络号 2¹⁴=16 384 个；每网主机 2¹⁶-2=65 534	大中型网络
C	110xxxxx	192.0.0.0 -- 223.255.255.255	网络号 2²¹=2 097 152 个；每网主机 2⁸-2=254	小型网络
D	1110xxxx	224.0.0.0 -- 239.255.255.255	---	多播（Multicast）
E	1111xxxx	240.0.0.0 -- 255.255.255.255	---	未来保留或研究用途

说明：

网络号：用于标识一个"网络"或"子网"。

主机号：用于标识该网络中具体的"主机"或"终端"。

传统划分中，Class A 网络号用 8 位（最高一位固定为 0），Class B 网络号用 16 位，Class C 网络号用 24 位；其余部分为主机号。

③ 子网掩码与网络划分

1) 子网掩码 (Subnet Mask) 的作用

子网掩码也是一个 32 比特的数，用来区分 IP 地址中的"网络部分"（Network Prefix）和"主机部分"（Host Suffix）。

与 IP 地址进行按位"与"（AND）运算后，可获得网络号。

2) 表示方式

点分十进制 ，与 IPv4 地址相同格式，如 255.255.255.0。

前缀长度（CIDR）：直接以"斜杠 + 数字"标识网络前缀长度，如 /24 表示掩码有 24 个连续的 "1"，对应 255.255.255.0；/16 对应 255.255.0.0；/8 对应 255.0.0.0。

常见示例：

前缀长度	掩码（点分十进制）	二进制形式	可用主机数
/8	255.0.0.0	11111111.00000000.00000000.00000000	2²⁴--2 = 16 777 214
/16	255.255.0.0	11111111.11111111.00000000.00000000	2¹⁶--2 = 65 534
/24	255.255.255.0	11111111.11111111.11111111.00000000	2⁸--2 = 254
/25	255.255.255.128	11111111.11111111.11111111.10000000	2⁷--2 = 126
/26	255.255.255.192	11111111.11111111.11111111.11000000	2⁶--2 = 62
...	...	...	...

3) 网络地址与广播地址

网络地址：主机号全 "0" 的地址，表示该子网本身。

广播地址：主机号全 "1" 的地址，表示向该子网所有节点发送广播。

示例：192.168.10.0/24；网络地址为 192.168.10.0；广播地址为 192.168.10.255。

这两类地址不能分配给普通主机。主机 IP 必须在网络地址与广播地址之间。

4) 子网划分示例

假设有一个 192.168.10.0/24 的网络，我们可以再细分：

方案一：划分为两个 /25 子网：子网1：192.168.10.0/25，可用主机：192.168.10.1～192.168.10.126，广播：192.168.10.127；子网2：192.168.10.128/25，可用主机：192.168.10.129～192.168.10.254，广播：192.168.10.255。

方案二：划分为四个 /26 子网；192.168.10.0/26（可用主机 .1～.62，广播 .63）；192.168.10.64/26（可用主机 .65～.126，广播 .127）；192.168.10.128/26（可用主机 .129～.190，广播 .191）；192.168.10.192/26（可用主机 .193～.254，广播 .255）；

总结下来，最后的数字越大，网络分割越多，同一子网里可分配就越少。

第三章专有网络VPC

1、VPC的组成

VPC-专有网络本身不收费，但是在专有网络上创建资源后，资源本身可能会收费。

VPC由至少一个私网网段、一个路由器、至少一个交换机组成。使用原资源之前一定要有VPC和交换机，交换机可以多个来划分子网，一个VPC里的所有子网默认都是互通的。

1) 地域

物理的数据中心，比如-华北2（北京）就代表北京的所有阿里云机房。选择地域的时候我们需要考虑的是用户主要所在的地理位置；另外考虑到不同地域的云资源内网不通，不能在一个负载均衡实例基础上做负载均衡所以也要考虑后续建设的成本选择适合的地域。

2) 可用区

同一个地域内，电力和网络互相独立的物理区域，比如浦东机房和浦西机房，可以是多个可用区，一般来说同地域内的可用区距离几十公里；同一个可用区网络时延在毫秒级别，不通可用区就高一些。

3) VPC

专有网络，地域级别，基于阿里云创建的自定义私有网络，不同VPC逻辑上彻底隔离，可以在VPC里创建云资源，比如ECS或者SLB、RDS等等。

4) 私有网段

内网IP地址段，专有网络和交换机必须绑定私网网段。

5) 交换机

级别是可用区的基础网络设备，不同的可用区可以冗余达到容灾的操作，连接不同的云资源产品。云资源创建的时候一定要指定交换机。

6) 路由器

是VPC的总枢纽，连接VPC内部的不同交换机、其他VPC、其他网络；会根据路由条目来转发网络流量。

7) 路由表

路由器上的管理路由条目的列表，一个VPC只有一个系统路由表（默认生成不可以手动新建和删除）、一个交换机只能关联一个路由表，可以是系统路由表也可以是自定义路由表。

8) 路由条目

定义了通向指定目标网段的流量的下一跳地址，可以自定义路由条目添加到自定义路由表。

2、VPC产品概述

① 经典网络和VPC对比

经典网络：统一部署在阿里云基础设施内部，由阿里云规划和管理，适合想要直接使用的客户，采用的是三层隔离，但是2017年后6月14日后不再对外提供。

VPC：基于阿里云构建的隔离的网络环境，每个VPC之间逻辑上彻底隔离，可以自定义网络拓扑和IP地址，适用于对网络安全性和灵活性有要求的用户，但是对客户的网络管理能力有一定的要求，采用的是二层隔离。

② VPC技术概要

使用 OverLay 技术将底层抽象，所有的通信将在隔离出来的上层 SDN网络执行，并不关心底层的实现。

③ 技术基础

基于隧道技术和 SDN技术，在硬件网关和自研交换机设计的基础上完成 VPC 创建。

隧道技术：每个VPC都有一个独立的隧道号，一个隧道号代表一个虚拟化网络。VPC内的ECS实例都是携带着唯一的隧道号封装传输数据，然后才会通过物理网络通信。不同的VPC的隧道号不同，所以可以实现不同VPC内的ECS互相隔离。

3、VPC的优点

① 可靠性

每个VPC内部有一个路由器和多个交换机，所以可以像传统网络那样分配子网，同一个子网使用同一个交换机互联，多个子网通过唯一的路由器互联。

不同VPC之间完全隔离，但是也可以通过对外映射IP(弹性公网和NAT IP)互联。

隧道技术对云服务器的IP报文封装了，所以云服务器的数据链路层（二层MAC地址）信息不会进入物理网络，实现了不同云服务器的间的二层隔离，这样也就完成了VPC之间的二层隔离。

VPC内的服务器使用安全组防火墙进行三层网络访问控制。

② 灵活可控

可以通过安全组规则、访问控制白名单等方式灵活的控制访问VPC内云资源的出入流量。

③ 简单易用

通过VPC控制台快速创建 VPC，系统会自动创建一个路由器和路由表。

④ 可扩展性

一个VPC内可以创建子网，VPC可以和本地IDC或者其他VPC互联，扩展网络架构。

4、VPC的应用场景

① 安全部署应用

将前端部署在可以公网访问的子网，将后端服务部署在没有配置公网访问的子网，加强数据访问的安全性。

② 部署主动访问公网应用

可以将需要主动访问公网的应用部署在子网中，通过公网NAT网关路由流量，配置SNAT规则，子网的实例不需要暴露私网IP就可以访问公网，并随时可以替换公网IP，避免被攻击。

③ 跨可用区容灾

VPC是地域级别的网络，VPC内的每一个交换机是可用区的级别，交换机之间可以自由通信，我们可以通过部署多个可用区的灾备系统，搭建系统的灾备环境提升整体服务的容灾能力。

④ 业务系统隔离

生产环境和UAT环境或者开发环境各自使用不同的VPC就可以做到配置完全一致的同时完全隔离，利于后续一包到底的开发规范。如果有联通需求，可以使用云企业网 CEN 实现互通。

⑤ 构建混合云

由于VPC可以通过物理专线将本地IDC连接相通，就可以让本地应用无缝上云，不用更改应用的访问方式。

5、默认专有网络和交换机

当在一个地域第一次创建云产品的时候，会默认创建一个VPC和交换机。都是不可以删除的。也都不占用配额，操作方式和规格和常规其他的VPC/交换机都是一样的。

6、创建和管理VPC

① 做好网络规划

首先要根据是否有多域部署系统的需求来决定是否使用多个VPC，或者同一个地域有多环境严格隔离的需求决定是否使用多个VPC。

一旦创建好了 VPC 之后，地域是可以修改的。

② 做好交换机规划

如果是使用一个VPC，也建议使用两个交换机，分别分布在不同的可用区内，这样可以实现跨可用区容灾。

可用区之间的通信延迟虽然小，但还是要实践检验，也有可能增加网络延迟；如果系统是要求高可用那么可以多可用区交互，如果一定要低时延还是最好在同一个可用区部署应用。

还要系统的建设规模，前端是否有被公网访问和主动访问公网的需求，如果有的话，需要通过多个交换机来创建不同的子网，前端部署在可以和公网交互的子网下，后端部署在不通的子网下。

③ 网段规划

必须按照无类域间块路由的格式划分私网网段，其中有4个是保留ip我们不能使用，100.64.0.0/10、224.0.0.0/4、127.0.0.0/8、169.254.0.0/16 。

创建了之后，不能修改主IPv4的网段，但是可以添加附加IPv4网段。

标准可用网段如下：

如果只有一个VPC，并且不需要和本地IDC互通，可以使用标准网络作为主IPv4网段，网段掩码有效范围是8~28。

如果有多个VPC或者需要联通本地IDC，同样建议使用标准网段，但是掩码不建议超过16，并且多VPC，VPC和本地之间的网络不能冲突。

④ 附件网段

VPC 最多支持附件5个附加网段，附加网段和主网段是同时生效的。

一个交换机只能绑定一个网段，使用附件网段创建交换机的时候，也会自动创建路由表。但是网段不能和同一个VPC的路由表或者其他交换机的路由表范围相同或者有重叠。

⑤ 操作步骤

操作地址：专有网络 VPC 控制台

需要注意的是，交换机最多创建10个。

⑥ 删除VPC

需要先删除安全组、自定义路由表、网络ACL、DHCP选项集、云企业网、IPv6网关、交换机才能删除VPC。

7、IPv4网关

是VPC和公网的高级网络组件，VPC访问IPv4公网的流量都要经过IPv4网关，由IPv4网关实现路由转发和私网地址到公网地址的转换，最终实现VPC对公网的访问。

路由转换：作为路由表中的下一跳，控制VPC访问的公网地址的白名单。

网络地址转换：为VPC中分配了IPv4的资源转换地址。

VPC和IPv4网关是唯一绑定的，互相都是唯一的。

只支持IPv4的流量，只有激活成功的网关才能用，只能绑定一个网关路由表，下一跳仅支持Local、弹性网卡、ECS实例。

VPC里有可见模式的EIP资源或者普通型公网NAT网关，不可以创建 IPv4 网关。

8、创建交换机

交换机的网段必须是VPC的网段的子集。

交换机的网段的掩码大小必须在16位到29位之间。

每个交换机的网段的第一个和最后三个ip都是保留的，比如192.168.1.0/24为例子，192.168.1.0、192.168.1.253、192.168.1.254、192.168.1.255是保留的

9、路由器

交换机通过路由器互联，一个交换机只能绑定一张路由表，创建和删除VPC时，系统系统创建或者删除路由器以及一张系统路由表。

不可以手动创建路由器，但是可以自定义路由表，包含系统路由表在内，一共可以创建10张路由表。

10、路由表

VPC创建之后，系统默认创建一个系统路由表，VPC内所有的交换机都默认使用系统路由表；不能手动创建路由表，也不能删除，但是可以在系统路由表里自定义路由条目，也可以解绑系统路由表。

11、自定义路由表

通过创建自定义路由表，绑定交换机，实现更加灵活的控制网络管理；在控制台完成操作。

12、路由条目

路由表里的每一项就是路由条目，包含了目标网段，下一跳类型，下一跳三部分组成。

路由条目包括系统路由（不可修改）和自定义路由和动态路由。

系统在路由表里自动添加的路由条目：

100.64.0.0/10 为目标网段的路由条目，用于VPC内云产品的通信。

以交换机网段为目标的路由条目，用于交换机内云产品的通信。

① 目标网段

希望流量传输到的ip地址范围

② 下一跳类型

用户传输流量的云产品，比方说ECS，弹性网卡这类的，路由器接口（边界路由器方向），路由器接口（专有网络方向）

③ 下一跳

所选择的具体云产品的实例

13、路由器接口

14、访问控制

① ACL

仅过滤绑定的交换机里的ECS实例与交换机外部的流量，不会过滤交互机内部通信的流量。

规则无状态，就是说设置了入方向规则后需要设置相应的出方向规则。

没有规则的时候默认是拒绝所有出入方向的请求的。

② ACL与安全组区别

总的来说，ACL的级别更高，是绑定交换机的，优先级更高，无状态。

第四章弹性公网IP

一种可以单独购买和持有的公网ip资源。需要确保EIP和原资源的地域是相同的。

1、绑定EIP

以绑定ECS实例或者弹性网卡为例，在绑定时需要满足以下条件：网络类型必须是专有网络VPC、地域必须一致、实例必须是运行中或者已停止，实例的主网卡没有绑定EIP；当然EIP本省必须可用，绑定之后立即生效。

2、绑定步骤

3、监控

提供高精度秒级入口出口流量和数据包监控，实现监控互联网业务流量变化，就可以及时的调整贷款峰值。

依托阿里云日志服务，提供完善的日志存储、报表、告警等功能。

4、使用限制

一个账号最多申请20个，可以申请单独账号提额。

一个EIP只能绑定一个云资源。

安全原因被锁定的EIP就废掉了。

单个EIP最大支持的带宽峰值计费时是200Mbps，按固定带宽计费时是500Mbps。

单个地域最大支持的带宽峰值计费时是5Gbps，按固定带宽计费时是50Gbps。

只有按量付费的EIP才有DDoS防护，也不能转成包年包月，并且只有购买的时候才能选择防护，而且不是所有地域都能用。

第五章云网络产品

1、NAT网关

NAT网关是一种网络地址转换服务，阿里云的NAT网关分为公网NAT和VPC-NAT。

公网NAT：具有100Gpbs的转发能力及跨可用区。

VPC-NAT：为VPC内的ECS提供访问外部VPC的能力。

SNAT能力可以为没有公网IP的ECS提供外网访问的代理能力。

DNAT能力将NAT网关所绑定的EIP映射到VPC里的ECS实例实现对外提供访问的能力。

同一个VPC内可以创建多个公网NAT网关，通过不通的公网NAT网关转发不同的流量，做不通的安全策略。

2、NAT网关最佳实践

通过公网NAT网关可以为没有公网IP的ECS实现统一公网出口IP，也可以通过分配弹性网卡的方案为已经分配固定公网IP的ECS、已绑定EIP的ECS、已经设置 DNAT IP 映射的ECS这些都统一出口IP。

分配弹性网卡之前：

分配弹性网卡之后：

3、VPN网关

是基于Internet并通过加密通道将企业IDC和办公网终端和VPC互联的服务。

① 优点

通过IKE和IPsec加密数据安全，底层双击热备稳定，开通即用方便，基于互联网比物理专线更便宜。

② 使用流程

创建VPN网关：IPsec-VPN默认开启，SSL-vpn默认关闭

创建用户网关：主要是将本地IDC的网关信息注册到阿里云。

创建IPsec连接：是为了将VPN网关和本地IDC建立加密通道。

配置本地网关：主要是在本地IDC的网关里加载阿里云的VPN网关的配置。

配置路由：需要手动发布路由到VPC的路由表，实现目标网络的路由实现目标网络和VPC的私网连接。

验证联通：选择一个没有公网IP的ECS连接本地IDC

③ IPsec-VPN

是基于路由的网络连接技术，路由灵活，可以绑定VPN网关实例，也可以绑定转发路由器，如果涉及了转发路由器需要云企业网实现网络互通。

④ IPsec-VPN使用前置条件

有阿里云账号，有VPC，本地IDC的网关设备需要支持IKE协议，本地IDC网关有静态公网IP，IDC和VPC没有网段重合，安全组设置允许本地IDC访问云资源。

⑤ SSL-VPN

是一种基于OpenVPN架构的网络连接技术。

客户端加载证书并发起连接，适用于客户端和VPC。

仅支持绑定国际标准商用密码算法的公网VPN网关实例。

⑥ SSL-VPN使用前置条件

有阿里云账号，有VPC，客户端私网网段和VPC私网没有重叠，客户端要能访问互联网，安全组放开了访问资源的限制。

⑦ SSL-VPN使用流程

4、智能接入网关SAG

一站式接入阿里云的解决方案，有三种形态。

硬件CPE设备形态：适用于站点接入上云，本地IDC、企业分支、门店部署智能接入网关硬件设备后自动上云。

镜像vCPE形态：适用于站点接入上云，是软件镜像版本，支持部署在本地IDC的服务器，边缘节点服务ENS实例、亚马逊云计算服务AWS、微软云等云服务器。

App形态：适用于终端上云，终端安装网关App就可以上云。

5、高速通道

由物理专线连接和边界路由器组成，建立一个高速的、稳定的、安全的私网通信。

使用场景：同地域 / 跨地域 / 跨账号两个VPC / VPC和IDC

① 边界路由器

功能类似VPC的路由器，管理一个路由表。作为中间路由器负责交换数据包，决定物理专线端口模式为三层路由接口或者基于VLAN的三层子接口。三层子接口可以识别或者附加VLAN的标签，支持边界路由协议BGP。

② 缺点

不支持源地址策略路由。

每个VBR只有一个路由表。

VBR支持的BGP版本是 BGP-4。

每个VBR下最多建立8个BGP邻居。邻居动态路由的上限是110条。

需要分配独立的区域号AS号，不能和云平台内部交换机AS重复。

6、全球加速GA

一款覆盖全球的网络加速服务。依托BGP带宽和全球传输网络，实现全球网络就近接入，跨地域传输，减少延迟和抖动丢包。

① 使用场景

跨境电商，跨国会议等跨境业务。能够提升办公效率，提升协作效率，降低成本。

② 标准型

主要用于四层和七层网络加速。

支持弹性公网IP和任播弹性公网IP两种类型的加速IP。

客户端流量通过加速IP或CNAME就近加速网络。

阿里云智能解析网络调度，底层网络路径不需要关注。

终端节点支持ECS/CLB/ALB/OSS等等

③ 基础型

主要用于三层网络加速

默认分配一个EIP类型的加速IP，只能通过这个加速IP接入阿里云，终端只支持CLB和辅助网卡类型的弹性网卡ENI

阿里云ACP云计算备考笔记 (2)——云网络原理与实践

第一章 整体概览

第二章 网络通用知识

1、OSI 七层模型

① 物理层

1) 功能

2) 典型协议和设备

3) 应用实例

② 数据链路层

1) 功能

2) 子层

3) 典型协议和设备

4) 应用实例

③ 网络层

1) 功能

2) 典型协议和设备

3) 应用实例

④ 传输层

1) 功能

2) 典型协议

3) 应用实例

⑤ 会话层

1) 功能

2) 典型协议

3) 应用实例

⑥ 表示层

1) 功能

2) 典型协议

3) 应用实例

⑦ 应用层

1) 功能

2) 典型协议

3) 应用实例

⑧ 层间关系与数据封装

2、IPv4地址详解

① 组成规则

② IPv4 地址分类

③ 子网掩码与网络划分

1) 子网掩码 (Subnet Mask) 的作用

2) 表示方式

3) 网络地址与广播地址

4) 子网划分示例

第三章 专有网络VPC

1、VPC的组成

1) 地域

2) 可用区

3) VPC

4) 私有网段

5) 交换机

6) 路由器

7) 路由表

8) 路由条目

2、VPC产品概述

① 经典网络和VPC对比

② VPC技术概要

③ 技术基础

3、VPC的优点

① 可靠性

② 灵活可控

③ 简单易用

④ 可扩展性

4、VPC的应用场景

① 安全部署应用

② 部署主动访问公网应用

③ 跨可用区容灾

④ 业务系统隔离

⑤ 构建混合云

5、默认专有网络和交换机

6、创建和管理VPC

① 做好网络规划

② 做好交换机规划

③ 网段规划

④ 附件网段

⑤ 操作步骤

⑥ 删除VPC

7、IPv4网关

8、创建交换机

9、路由器

10、路由表

11、自定义路由表

第一章整体概览

第二章网络通用知识

第三章专有网络VPC

第四章弹性公网IP

第五章云网络产品

第六章网络解决方案