1. Quản lý card mạng: Nền tảng cho kết nối mạng
1.1 Bộ công cụ mạng hiện đại
Trong các hệ thống Linux ngày nay, bộ công cụ iproute2 đã thay thế hoàn toàn net-tools truyền thống với nhiều ưu điểm vượt trội:
Các lệnh kết hợp được khuyến nghị:
ip -c addr show | grep "inet " # Hiển thị IP hoạt động với màu sắc
ip -br link show # Chế độ rút gọn hiển thị trạng thái card mạng
ethtool ens33 | grep Speed # Xem tốc độ đàm phán của card mạng
Ví dụ so sánh cổ điển:
# Cách truyền thống (không khuyến khích)
ifconfig ens33 down && ifconfig ens33 up
# Cách hiện đại (khuyến khích)
ip link set ens33 down && ip link set ens33 up
Sự khác biệt cốt lõi:
- Hỗ trợ cô lập không gian tên mạng
- Tích hợp các tính năng nâng cao như VLAN/VXLAN
- Kiểm soát bộ nhớ đệm ARP chính xác
- Hỗ trợ đầy đủ IPv6
1.2 Kiểm soát trạng thái giao diện mạng nâng cao
Ví dụ thao tác chuyên sâu:
# Xem trạng thái hàng đợi phần cứng
ethtool -l ens33
# Điều chỉnh giá trị MTU (cần xác nhận thiết bị hỗ trợ)
ip link set mtu 9000 dev ens33
# Giám sát thay đổi trạng thái card mạng theo thời gian thực
watch -n1 'ip -s link show ens33'
Hướng dẫn xử lý lỗi:
- Kiểm tra trạng thái lớp vật lý: Cờ
LOWER_UPtrongip link - Xác minh driver đã được tải:
lsmod | grep e1000 - Chẩn đoán cấu hình DMA:
dmesg | grep DMA
1.3 Thực hành cấu hình địa chỉ IP
Bảng so sánh cấu hình động/tĩnh:
| Tham số | DHCP động | Cấu hình tĩnh |
|---|---|---|
| Kịch bản áp dụng | Môi trường phát triển thử nghiệm | Máy chủ sản xuất |
| Khôi phục sự cố | Tự động gia hạn | Cần bảo trì thủ công |
| Rủi ro xung đột địa chỉ | Cao | Có thể kiểm soát |
| Độ phức tạp quản lý | Thấp | Cao |
Thực hành liên kết nhiều IP:
# Thêm IP phụ
ip addr add 192.168.1.100/24 dev ens33 label ens33:1
# Cấu hình bền vững
echo 'IPADDR1=192.168.1.100' >> /etc/sysconfig/network-scripts/ifcfg-ens33
echo 'PREFIX1=24' >> /etc/sysconfig/network-scripts/ifcfg-ens33
2. Quản lý cổng kết nối: Đảm bảo khả năng truy cập dịch vụ
2.1 Kỹ thuật quét cổng chuyên sâu
Giải pháp quét toàn diện:
# Quét TCP nhanh
nmap -T4 -p 1-65535 127.0.0.1
# Phát hiện dịch vụ UDP
nmap -sU -p 53,67,68,161 localhost
# Chế độ quét ẩn
nmap -sS -Pn -n --disable-arp-ping 192.168.1.10
Phân tích trạng thái kết nối:
- TIME_WAIT: Tồn dư sau khi đóng kết nối bình thường
- CLOSE_WAIT: Ứng dụng chưa xử lý đúng các kết nối đóng
- SYN_RECV: Có thể là dấu hiệu tấn công SYN Flood
2.2 Tinh chỉnh chiến lược tường lửa
Cấu hình Firewalld nâng cao:
# Tạo vùng tùy chỉnh
firewall-cmd --permanent --new-zone=app_zone
# Liên kết dải địa chỉ nguồn
firewall-cmd --zone=app_zone --add-source=10.0.0.0/24
# Thiết lập chuyển tiếp cổng
firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080
Tối ưu quy tắc iptables:
# Tối ưu theo dõi trạng thái kết nối
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# Bảo vệ giới hạn tốc độ
iptables -A INPUT -p tcp --dport 22 -m limit --limit 5/min -j ACCEPT
3. Quản lý định tuyến: Xây dựng đường dẫn lưu lượng thông minh
3.1 Phân tích bảng định tuyến chuyên sâu
Thực hành định tuyến theo chính sách:
# Tạo bảng định tuyến tùy chỉnh
echo "200 custom" >> /etc/iproute2/rt_tables
# Thêm quy tắc chính sách
ip rule add from 192.168.2.0/24 lookup custom
# Cấu hình định tuyến đa đường
ip route add default scope global \
nexthop via 192.168.1.1 weight 1 \
nexthop via 192.168.2.1 weight 2
Giám sát bộ nhớ đệm định tuyến:
# Xem bộ nhớ đệm định tuyến theo thời gian thực
ip route show cached
# Xóa bộ nhớ đệm định tuyến cho một dải cụ thể
ip route flush cache 192.168.1.0/24
3.2 Tích hợp định tuyến BGP
Ví dụ cấu hình Quagga:
router bgp 65001
neighbor 192.168.100.1 remote-as 65002
network 10.0.0.0/8
!
address-family ipv6
network 2001:db8::/32
exit-address-family
4. Chuẩn đoán mạng: Phương pháp xử lý sự cố toàn diện
4.1 Mô hình chuẩn đoán phân lớp
+-----------------------+
| Lớp ứng dụng (HTTP) |
+-----------------------+
| Lớp truyền tải (TCP/UDP)|
+-----------------------+
| Lớp mạng (IP/ICMP) |
+-----------------------+
| Lớp liên kết dữ liệu (ARP/MAC)|
+-----------------------+
| Lớp vật lý (Cáp) |
+-----------------------+
Bộ công cụ chuẩn đoán theo lớp:
- Lớp vật lý:
ethtool,mii-tool - Lớp liên kết dữ liệu:
arping,tcpdump - Lớp mạng:
mtr,tracepath - Lớp truyền tải:
tcptraceroute,socat - Lớp ứng dụng:
curl,wget,openssl s_client
4.2 Kỹ thuật chuẩn đoán nâng cao
Phân tích luồng TCP:
# Bắt lưu lượng HTTP
tcpdump -i ens33 -nn -s0 -w http.pcap 'tcp port 80'
# Phân tích quá trình bắt tay TLS
openssl s_client -connect example.com:443 -msg
Xác định điểm nghẽn hiệu suất:
# Đo thông lượng mạng
iperf3 -c 192.168.1.100 -t 30
# Thống kê tỷ lệ truyền lại TCP
nstat -az TcpRetransSegs
# Kiểm tra cài đặt bộ đệm
sysctl net.ipv4.tcp_rmem
5. Tối ưu mạng: Thực hành tốt nhất cho môi trường sản xuất
5.1 Tinh chỉnh tham số nhân
# Tăng tốc thu hồi TIME-WAIT
echo "net.ipv4.tcp_tw_recycle = 1" >> /etc/sysctl.conf
# Tối ưu kích thước cửa sổ TCP
echo "net.core.rmem_max = 16777216" >> /etc/sysctl.conf
echo "net.core.wmem_max = 16777216" >> /etc/sysctl.conf
# Tăng tốc cập nhật bộ nhớ đệm ARP
echo "net.ipv4.neigh.default.gc_stale_time = 120" >> /etc/sysctl.conf
5.2 Giải pháp định hình lưu lượng
# Tạo hàng đợi HTB
tc qdisc add dev ens33 root handle 1: htb default 30
# Thiết lập giới hạn băng thông
tc class add dev ens33 parent 1: classid 1:1 htb rate 100mbit
# Áp dụng bộ lọc
tc filter add dev ens33 protocol ip parent 1:0 prio 1 u32 \
match ip dport 80 0xffff flowid 1:1
6. Mô hình mạng Cloud Native mới
6.1 Thực hành plugin CNI
Cấu hình mạng Calico:
apiVersion: projectcalico.org/v3
kind: IPPool
metadata:
name: ippool-1
spec:
cidr: 192.168.0.0/16
ipipMode: Always
natOutgoing: true
6.2 Quan sát mạng với eBPF
# Theo dõi thiết lập kết nối TCP
bpftrace -e 'tracepoint:tcp:tcp_retransmit_skb { @[args->saddr, args->daddr] = count(); }'
# Thống kê ngắt mạng
bpftrace -e 'kprobe:__netif_receive_skb { @[kstack] = count(); }'