资源描述
,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,第,64,页,Linux,网络操作系统配置与管理,29 八月 2024,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,RHEL7版-项目07网络配置与Firewalld防火墙管理,RHEL7版-项目07网络配置与Firewalld防火墙管理RHEL7版-项目07网络配置与Firewalld防火墙管理项目7 网络配置与Firewalld防火墙的管理【职业知识目标】,了解:网络配置文件及配置方式;防火墙的概念、功能与分类; NAT服务的概念及分类,熟悉:Linux防火墙的历史演进与架构、 firewalld防火墙的组成; NAT服务的工作过程,掌握:主机名、以太网卡的设置;软路由器的配置;防火墙的配置;NAT的配置方法,【职业能力目标】,会配置主机名和网卡、路由;会配置客户端名称解析,架设软路由器实现多子网连通,会安装FirewallD防火墙运行管理;,会使用图形工具firewall-config配置防火墙,使用命令行工具firewall-cmd配置防火墙,会使用firewalld防火墙部署NAT服务,RHEL7版-项目07网络配置与Firewalld防火墙管理,项目,7,网络配置与,Firewalld,防火墙的管理,【,职业知识目标,】,了解:网络配置文件及配置方式,;,防火墙的概念、功能与分类;,NAT,服务的概念及分类,熟悉,:Linux,防火墙的,历史演进与架构、,firewalld,防火墙的组成;,NAT,服务的工作过程,掌握,:,主机名、以太网卡的设置;软路由器的配置;,防火墙的配置,;,NAT,的配置方法,【,职业能力目标,】,会配置主机名和网卡、路由;会配置客户端名称解析,架设软路由器实现多子网连通,会,安装,FirewallD,防火墙运行管理,;,会使用图形工具,firewall-config,配置防火墙,使用命令行工具,firewall-cmd,配置防火墙,会,使用,firewalld,防火墙部署,NAT,服务,项目7 网络配置与Firewalld防火墙的管理【职业知,德雅职业学校校园网由路由器或具有路由功能的交换机连接起来的多个子网构成,并通过租用电信,400MB,光纤接入互联网。为了实现校园网内部各子网和校园网与互联网的连通,网络管理员需要从以下三个方面实施网络配置,:,网络主机,(,终端节点,),的连网配置,:,对网络中所有计算机或服务器的主机名、网络接口,(,网卡,),的配置,(,包括,IP,地址、子网掩码、默认网关、,DNS,服务器的,IP,地址等,),以便使同一子网中的主机之间能相互连通。,网络互连设备的配置,:,对内部网络中连接各子网的路由器和交换机的配置。其目的是实现不同子网中的主机之间能够相互连通,主要是路由信息的配置。,网关设备的配置,:,是指在校园网与外部互联网的交界处的设备上所实施的配置。主要包括防火墙和,NAT,服务的配置。通过防火墙规则设置以保护校园内部网络中的主机,(,主要是服务器,);,通过,NAT,服务的配置以允许校园网内所有配置私网,IP,地址的主机能访问外部互联网,同时,外网的用户也可以访问校园网内的某些服务器。,7.1,项目描述,德雅职业学校校园网由路由器或具有路由功能的交换机连接起来的多,7.2,项目知识准备,7-2-1,网络配置的主要文件和对象,1.,网络配置的主要文件及目录,路径及文件名,功能,/etc/hostname,用于设置和保存静态主机名,/etc/machine-info,用于设置和保存灵活主机名,/etc/hosts,用于设置主机名映射为,IP,地址,从而实现主机名的解析,/etc/sysconfig/network-scripts/,网络接口,(,网卡,),配置文件的存放目录,/etc/resolv.conf,用于对主机的,DNS,服务器,IP,地址进行配置,/etc/nsswitch.conf,用于指定域名解析顺序,/etc/services,用于设置主机的不同端口对应的网络服务,(,一般无需修改,),/usr/lib/sysctl.d/00-system.conf,用于开启或关闭路由转发功能,从而使数据包能在不同子网之间转发,/etc/sysconfig/network-scripts/route-ensXX,用于设置并保存静态路由信息,从而将,Linux,服务器构建为软路由器,7.2 项目知识准备7-2-1 网络配置的主要文件和对,2.,网络配置的主要对象,网络接口与网络连接,网络接口,是指网络中的计算机或网络设备与其他设备实现通讯的进出口。这里,主要是指计算机的网络接口即网卡设备。,从,RHEL7,开始引入了一种新的,“,一致网络设备命名,”,的方式为网络接口命名,该方式可以根据固件、设备拓扑、设备类型和位置信息分配固定的名字。,网络接口的名称的前两个字符为网络类型符号。如,:,en,示以太网,(Ethernet),、,wl,表示无线局域网,(wlan),、,ww,表示无线广域网,(wwan);,接下来的字符根据设备类型或位置选择,如,:,o,表示内置,(onboard),于主板上的集成设备,(,即集成网卡,),及索引号,;,s,表示是插在可以热拔插的插槽上的独立设备及索引号,;,x,表示基于,MAC,地址命名的设备,;,p,表示,PCI,插槽的物理位置及编号。,网络连接,则是为网络接口实施配置的设置集合。在同一个网络接口上,可以有多套不同的设置方案,即一个网络接口可以有多个网络连接,但同一时间只能有一个网络连接处于活动状态。,7-2-1,网络配置的主要文件和对象,2.网络配置的主要对象网络接口与网络连接7-2-1,7.2.2,认识防火墙,1,什么是防火墙,防火墙,是指设置在不同网络,(,如可信任的企业内部网和不可信的公共网,),或网络安全域之间的一系列部件的组合。,它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制,(,允许、拒绝、监测,),出入网络的信息流,且本身具有较强的抗攻击能力。,在逻辑上,防火墙是一个分离器、限制器和分析器,它能有效地监控内部网和,Internet,之间的任何活动,保证了内部网络的安全。,7.2.2 认识防火墙1什么是防火墙,2.,防火墙的功能,过滤进出网络的数据包,封堵某些禁止的访问行为,对进出网络的访问行为作出日志记录,并提供网络使用情况的统计数据,实现对网络存取和访问的监控审计。,对网络攻击进行检测和告警。,防火墙可以保护网络免受基于路由的攻击,如,IP,选项中的源路由攻击和,ICMP,重定向中的重定向路径,并通知防火墙管理员。,提供数据包的路由选择和网络地址转换,(NAT),从而解决局域网中主机使用内部,IP,地址也能够顺利访问外部网络的应用需求。,7.2.2,认识防火墙,2. 防火墙的功能7.2.2 认识防火墙,3.,防火墙的类型,1,)按采用的技术划分,包过滤型防火墙,在网络层或传输层对经过的数据包进行筛选。筛选的依据是系统内设置的过滤规则,通过检查数据流中每个数据包的,IP,源地址、,IP,目的地址、传输协议,(TCP,、,UDP,、,ICMP,等,),、,TCP/UDP,端口号等因素,来决定是否允许该数据包通过。(包的大小,1500,字节),代理服务器型防火墙,是运行在防火墙之上的一种应用层服务器程序,它通过对每种应用服务编制专门的代理程序,实现监视和控制应用层数据流的作用。,7.2.2,认识防火墙,3. 防火墙的类型7.2.2 认识防火墙,2,)按实现的环境划分,软件防火墙:学校、上前台电脑的网吧,普通计算机,+,通用的操作系统(如:,linux,),硬件(芯片级)防火墙:基于专门的硬件平台和固化在,ASIC,芯片来执行防火墙的策略和数据加解密,具有速度快、处理能力强、性能高、价格比较昂贵的特点(如:,NetScreen,、,FortiNet,),通常有三个以上网卡接口,外网接口:用于连接,Internet,网;,内网接口:用于连接代理服务器或内部网络;,DMZ,接口(非军事化区):专用于连接提供服务的服务器群。,Console,口,4,个,10/100/1000,口,并发连接数,:500000,网络吞吐量,:1100Mbps,过滤带宽,:250Mbps,CheckPoint UTM-1 570,7.2.2,认识防火墙,2)按实现的环境划分Console口4个10/100/100,7.2.3 Linux,防火墙历史演进与架构,1,Linux,防火墙的历史,从,1.1,内核开始,,Linux,系统就已经具有包过滤功能了,随着,Linux,内核版本的不断升级,,Linux,下的包过滤系统经历了如下,4,个阶段:,在,2.0,内核中,包过滤的机制是,ipfw,,管理防火墙的命令工具是,ipfwadm,。,在,2.2,内核中,包过滤的机制是,ipchain,,管理防火墙的命令工具是,ipchains,。,在,2.4,之后的内核中,包过滤的机制是,netfilter,,防火墙的命令工具是,iptables,。,在,3.10,之后的内核中,包过滤机制是,netfilter,管理防火墙的工具有,firewalld,、,iptables,等。,firewalld,的官网:,http:/www.firewalld.org/,7.2.3 Linux防火墙历史演进与架构1Linux防,2,Linux,防火墙的架构,Linux,防火墙系统由以下三层架构的三个子系统组成,:,内核层的,netfilter,:,netfilter,是集成在内核中的一部分,作用是定义、保存相应的过滤规则。,提供了一系列的表,每个表由若干个链组成,而每条链可以由一条或若干条规则组成。,netfilter,是表的容器,表是链的容器,而链又是规则的容器。,表链规则的分层结构来组织规则,中间层服务程序,:,是连接内核和用户的与内核直接交互的监控防火墙规则的服务程序或守护进程,它将用户配置的规则交由内核中的,netfilter,来读取,从而调整防火墙规则。,用户层工具,:,是,Linux,系统为用户提供的用来定义和配置防火墙规则的工具软件。,7.2.3 Linux,防火墙历史演进与架构,2Linux防火墙的架构7.2.3 Linux防火墙历史,表链规则的结构来组织规则,7.2.3 Linux,防火墙历史演进与架构,表链规则的结构来组织规则7.2.3 Linux防火墙历,7.2.4 RHEL7,中防火墙的构件,RHEL 7,中引入了一种与,netfilter,交互的新的中间层服务程序,firewalld(,旧版中的,iptables,、,ip6tables,和,ebtables,等仍保留,), firewalld,是一个可以配置和监控系统防火墙规则的系统服务程序或守护进程,该守护进程具备了对,IPv4,、,IPv6,和,ebtables,等多种规则的监控功能,不过,firewalld,底层调用的命令仍然是,iptables,等。,firewalld,防火墙体系结构如图,7-2,所示。,7.2.4 RHEL7中防火墙的构件RHEL 7中引入了一,7.2.4 RHEL7,中防火墙的构件,在,RHEL7,中用户层的配置,firewalld,防火墙规则的工具有以下三种,:,图形工具,firewall-config,。,命令行工具,firewall-cmd,。,直接编辑,/etc/firewalld/,目录中扩展名为,.xml,的一系列配置文件。,为了简化防火墙管理,firewalld,将所有网络流量划分为多个区域。根据数据包源,IP,地址或传入网络接口等条件,流量将转入相应区域的防火墙规则,firewalld,提供的几种预定义的区域及防火墙初始规则见表,7-2,。,7.2.4 RHEL7中防火墙的构件在RHEL7中用户层的,7.2.4 RHEL7,中防火墙的构件,区域,(zone),区域中包含的初始规则,trusted (,受信任的,),允许所有流入的数据包。,home (,家庭,),拒绝流入的数据包,允许外出及服务,ssh,mdns,ipp-client,samba-client,与,dhcpv6-client,。,internal (,内部,),拒绝流入的数据包,允许外出及服务,ssh,、,mdns,、,ipp-client,、,samba-client,、,dhcpv6-client,。,work (,工作,),拒绝流入的数据包,除非与输出流量数据包相关或是,ssh,ipp-client,与,dhcpv6-client,服务则允许。,public (,公开,),拒绝流入的数据包,允许外出及服务,ssh,、,dhcpv6-client,新添加的网络接口缺省的默认区域。,external (,外部,),拒绝流入的数据包,除非与输出流量数据包相关,允许外出及服务,ssh,、,mdns,、,ipp-client,、,samba-client,、,dhcpv6-client,默认启用了伪装。,dmz (,隔离区,),拒绝流入的数据包,除非与输出流量数据包相关,允许外出及服务,ssh,。,block (,阻塞,),拒绝流入的数据包,除非与输出流量数据包相关。,drop (,丢弃,),任何流入网络的包都被丢弃,不作出任何响应,除非与输出流量数据包相关。只允许流出的网络连接。,7.2.4 RHEL7中防火墙的构件区域(zone)区域中,数据包要进入到内核必须要通过这些区域,(zone),中的一个,不同的区域里预定义的防火墙规则不一样,(,即信任度或过滤的强度不一样,),人们可以根据计算机所处的不同的网络环境和安全需求将网卡连接到相应区域,(,默认区域是,public),并对区域中现有规则进行补充完善,进而制定出更为精细的防火墙规则来满足网络安全的要求。一块物理网卡可以有多个网络连接,(,逻辑连接,),一个网络连接只能连接一个区域,而一个区域可以接收多个网络连接。,根据不同的语法来源,firewalld,包含的规则有以下三种:,标准规则,:,利用,firewalld,的基本语法规范所制定或添加的防火墙规则。,直接规则,:,当,firewalld,的基本语法表达不够用时,通过手动编码的方式直接利用其底层的,iptables,或,ebtables,的语法规则所制定的防火墙规则。,富规则,: firewalld,的基本语法未能涵盖的,通过富规则语法制定的复杂防火墙规则。,7.2.4 RHEL7,中防火墙的构件,数据包要进入到内核必须要通过这些区域(zone)中的一个,不,公网地址与私网地址,IP,地址的分配与管理由,ICANN,管理机构负责,公网地址必须经申请后才能合法使用。,为解决,IP,地址资源紧缺问题,,IANA,机构将,IP,地址划分了一部分出来,将其规定为私网地址,只能在局域网内使用,不同局域网可重复使用。,可使用的私网地址有:,一个,A,类地址:,10.0.0.0/8,16,个,B,类地址:,172.16.0.0/16172.31.0.0/16,256,个,C,类地址:,192.168.0.0/16,。,任务,7.2.5,NAT,技术的概念、分类与工作过程,公网地址与私网地址任务7.2.5 NAT技术的概念、分类与,任务,7.2.5,NAT,技术的概念、分类与工作过程,1,NAT,服务的概念及分类,NAT(Network AddressTranslation,网络地址转换,),是一种用另一个地址来替换,IP,数据包头部中的源地址或目的地址的技术。,根据,NAT,替换数据包头部中地址的不同,NAT,分为源地址转换,SNAT(Source NAT)(IP,伪装,),和目的地址转换,DNAT(Destination NAT),两类。,SNAT,技术主要应用于在企事业单位内部使用私网,IP,地址的所有计算机能够访问互联网上服务器,实现共享上网,并且能隐藏内部网络的,IP,地址。在,RHEL7,系统内置的防火墙中的,IP,伪装功能就是,SNAT,技术具体实现方式。,DNAT,技术则能让互联网中用户穿透到企事业的内部网络,访问使用私网,IP,地址的服务器,即无公网,IP,的内网服务器发布到互联网,(,如发布,Web,网站和,FTP,站点等,),。,任务7.2.5 NAT技术的概念、分类与工作过程1NAT,任务,7.2.5,NAT,技术的概念、分类与工作过程,2,NAT,服务器的工作过程,NAT,服务器的工作过程如图,7-3,所示。,任务7.2.5 NAT技术的概念、分类与工作过程2NAT,7.3,项目实施,任务,7-1,主机名的配置,在,RHEL7,中,引入了静态,(static),、瞬态,(transient),和灵活,(pretty),三种主机名。,“静态”主机名,也称为内核主机名,是系统在启动时从,/etc/hostname,自动初始化的主机名。,“瞬态”主机名,是在系统运行时临时分配的主机名,例如,通过,DHCP,或,DNS,服务器分配。静态主机名和瞬态主机名都遵从作为互联网域名同样的字符限制规则,“灵活”主机名,是允许使用自由形式,(,可包括特殊,/,空白字符,),的主机名,以展示给终端用户,(,如,Toms Computer),。,7.3 项目实施任务7-1 主机名的配置,选项说明如下:,status,可同时查看静态、瞬态和灵活三种主机名及其相关的设置信息。,-static,仅查看静态,(,永久,),主机名。,-transient,仅查看瞬态,(,临时,),主机名。,-pretty,仅查看灵活主机名。,任务,7-1,主机名的配置,hostnamectl status -static|-transient|-pretty,1.,查看主机名,查看主机名的命令一般格式如下,:,rootdyzx #,hostnamectl status,Static hostname: ,Icon name: computer-vm,Chassis: vm,Machine ID: ebcaefed3f4d4359a7113ab85ec89629,Boot ID: 76f5e89582ff4e62930bfc2f5ee33aa6,Virtualization: vmware,Operating System: Red Hat Enterprise Linux Server 7.3 (Maipo),CPE OS Name: cpe:/o:redhat:enterprise_linux:7.3:GA:server,Kernel: Linux 3.10.0-514.el7.x86_64,Architecture: x86-64,选项说明如下:任务7-1 主机名的配置hostnamect,查看、修改瞬态,(,临时,),主机名的命令如下,:,任务,7-1,主机名的配置,hostnamectl -static|-transient|-pretty set-hostname ,2.,修改主机名,修改主机名的命令一般格式如下,:,rootdyzx #,hostnamectl -transient,/,查看修改前的瞬态主机名,rootdyzx #,hostnamectl -transient set-hostname server1,/,修改瞬态主机名,rootdyzx #,hostnamectl -transient,/,查看修改后的瞬态主机名,server1,查看、修改静态,(,永久,),主机名的命令如下,:,root dyzx#,hostnamectl -static,/,查看修改前的静态主机名,rootdyzx #,hostnamectl -static set-hostname ,/,修改静态主机名,root dyzx#,hostnamectl -static,/,查看修改后的静态主机名,查看、修改瞬态(临时)主机名的命令如下:任务7-1 主机名,当用,hostnamectl,命令修改静态主机名后,/etc/hostname,文件中保存的主机名会被自动更新,而,/etc/hosts,文件中的主机名却不会自动更新,因此,在每次修改主机名后,一定要手工更新,/etc/hosts,文件,在其中添加新的主机名与,IP,地址的映射关系,任务,7-1,主机名的配置,rootdyzx #,bash,/,重新开启,Shell,rootserver2#,2.,修改,主机名,查看在设置新的静态主机名后,会立即修改内核主机名,只是在提示符中“,”后面的主机名还未自动刷新,此时,只要执行重新开启,Shell,登录命令,便可在提示符中显示新的主机名。,rootserver2#,vim /etc/hosts,127.0.0.1localhost localhost.localdomain localhost4 localhost4.localdomain4,:1localhost localhost.localdomain localhost6 localhost6.localdomain6,10.1.80.61/,添加此行,其中,10.1.80.61,是本机的,IP,地址,:wq/,保存退出,当用hostnamectl命令修改静态主机名后,/etc/h,由上可见,在修改静态,/,瞬态主机名时,任何特殊字符或空白字符会被移除,并且大写字母会自动转化为小写字母,而灵活主机名则保持了原样,这正是起名为灵活主机名的缘由。,任务,7-1,主机名的配置,root server2 #,hostnamectl set-hostname Zhang3 s Computer,root server2 #,hostnamectl -static,/,查看静态主机名,zhang3scomputer,root server2 #,hostnamectl -transient,/,查看瞬态主机名,zhang3scomputer,root server2#,hostnamectl -pretty,/,查看灵活主机名,Zhang3s Computer,2.,修改,主机名,同时修改静态、瞬态和灵活三种主机名的命令如下,:,由上可见,在修改静态/瞬态主机名时,任何特殊字符或空白字符会,任何一台计算机要连接到网络,都需要对该机的网络接口进行配置,而对网络接口的配置,实际上就是在网络接口上添加一个或多个网络连接。,添加网络连接的方式有两种:,添加临时生效的网络连接,:,该方式适合在调试网络时临时使用。这种方式虽然在设置后能马上生效,但由于是直接修改目前运行内核中的网络参数,并未改动网络连接配置文件中的内容,因此在系统或网络服务重启后会失效。,持久生效的网络连接配置,:,此方式是对存放网络连接参数的配置文件进行修改或设置,适合在长期稳定运行的计算机上使用。其配置工具有,vim,、,nmtui,和,nmcli,等。,任务,7-2,网络接口,(,网卡,),的配置,任何一台计算机要连接到网络,都需要对该机的网络接口进行配置,1,使用,ip,命令配置临时生效的网络连接,命令用法,功能,ip -s addr show ,网卡设备名,查看网卡在网络层的配置信息,加,-s,表示增添显示相关统计信息,如接收,(RX),及传送,(TX),的数据包数量等,ip -s link show ,网卡设备名,查看网卡在链路层的配置信息,ip -4 addr add|del IP,地址,/,掩码长度, dev,网卡连接名,ip -6 addr add|del IP,地址,/,掩码长度, dev,网卡连接名,添加或删除网卡的临时,IPv4,地址,添加或删除网卡的临时,IPv6,地址,ip link set dev,网卡的设备名,down|up,禁用,|,启用指定网卡,任务,7-2,网络接口,(,网卡,),的配置,1使用ip命令配置临时生效的网络连接命令用法功能ip,1,使用,ip,命令配置临时生效的网络连接,【,例,7-1,】,在,RHEL7-1,主机上,为网卡,ens33,临时添加一个,IP,地址,10.1.80.61/24,并查看其配置结果。在重启网卡后再次查看配置的结果。操作的命令如下,:,任务,7-2,网络接口,(,网卡,),的配置,rootRHEL7-1 #,ip addr show ens33,/,查看接口,ens33,当前的,IP,地址和子网掩码,2: ens33: mtu 1500 qdisc pfifo_fast state,UP qlen 1000,link/ether 00:0c:29:3d:b8:92 brd ff:ff:ff:ff:ff:ff,inet 10.1.80.61/24,brd 10.1.80.255 scope global ens33,valid_lft forever preferred_lft forever,inet6 fe80:1671:5718:ea13:ef42/64 scope link,valid_lft forever preferred_lft forever,已启用的活动接口的状态为,UP,禁用接口的状态为,DOWN,。,link,行指定网卡设备的硬件,(MAC),地址。,inet,行显示,IPv4,地址和网络前缀,(,子网掩码,),。,广播地址、作用域和网卡设备的名称。,inet6,行显示,IPv6,信息。,1使用ip命令配置临时生效的网络连接任务7-2 网络接,1,使用,ip,命令配置临时生效的网络连接,任务,7-2,网络接口,(,网卡,),的配置,rootRHEL7-1 #,ip addr add 10.1.80.66/24 dev ens33,/,在接口,ens33,上添加临时,IP,地址,rootRHEL7-1 #,ip addr show ens33,2: ens33: mtu 1500 qdisc pfifo_fast state UP qlen 1000,link/ether 00:0c:29:3d:b8:92 brd ff:ff:ff:ff:ff:ff,inet 10.1.80.61/24 brd 10.1.61.255 scope global ens33,valid_lft forever preferred_lft forever,inet 10.1.80.66/24 scope global ens33,valid_lft forever preferred_lft forever,inet6 fe80:1671:5718:ea13:ef42/64 scope link,valid_lft forever preferred_lft forever,rootRHEL7-1 #,ip link set dev ens33 down,rootRHEL7-1 #,ip link set dev ens33 up,rootRHEL7-1 #,ip addr show,/,显示所有网络接口的当前,IP,地址和子网掩码,/,省略显示结果,1使用ip命令配置临时生效的网络连接任务7-2 网络接,2,用,vim,直接编辑持久生效的网卡配置文件,【,例,7-2,】,在,RHEL7-1,主机上,通过编辑网络连接配置文件为网卡,ens33,配置网络参数。其配置方法如下,:,任务,7-2,网络接口,(,网卡,),的配置,rootRHEL7-1 #,vim /etc/sysconfig/network-scripts/ifcfg-ens33,TYPE=Ethernet/,指定网络类型为以太网模式,BOOTPROTO=none/,指定启动地址协议的获取方式,(dhcp,或,bootp,为自动获取,none,/,为放弃自动获取,一般用于网卡绑定时,static,为静态指定,IP,DEFROUTE=yes/,是否把这个,ens38,设置为默认路由,IPV4_FAILURE_FATAL=no/,如果,IPv4,配置失败,设备是否被禁用,IPV6INIT=yes/,允许在该网卡上启动,IPV6,的功能,IPV6_AUTOCONF=yes/,是否使用,IPV6,地址的自动配置,IPV6_DEFROUTE=yes,IPV6_FAILURE_FATAL=no,IPV6_ADDR_GEN_MODE=stable-privacy,NAME=ens33/,网络连接标识名,UUID=00decbce-3c43-47f1-82a6-627cbd80188f/,网卡全球通用唯一识别码,DEVICE=ens33/,网卡设备名,ONBOOT=yes/,设置系统或网络服务在启动时是否启动该接口,IPADDR=10.1.80.61/,设置,IP,地址,PREFIX=24/,设置子网掩码,GATEWAY=10.1.80.254/,设置网关,DNS1=8.8.8.8/,设置,DNS,的,IP,地址,IPV6_PEERDNS=yes,IPV6_PEERROUTES=yes,HWADDR=00:0C:29:C7:FE:8A/,网卡的物理地址,(,也称网卡号,),rootdyzx network-scripts#,systemctl restart network.service,/,重启网络服务,使配置生效,2用vim直接编辑持久生效的网卡配置文件任务7-2 网,3,用,nmtui,工具修改网卡配置文件,【,例,7-3,】,使用,nmtui,工具,为,RHEL7-1,主机的第二块网卡,ens38,配置网络参数。其配置步骤如下,:,步骤,1:,检查,nmtui,工具相应的服务是否启用。,RHEL7,默认已安装,并已开启了相应的服务,(NetworkManager.service),。若,nmtui,工具的安装包已卸载可用以下命令进行安装、启用并检查启用状态。,root RHEL7-1 #,yum install NetworkManager-tui,root RHEL7-1 #,systemctl start NetworkManager.service,root RHEL7-1 #,systemctl status NetworkManager.service,步骤,2:,在命令行执行以下命令,:,root rhel7-1 #,nmtui,步骤,3:,在打开的,【NetworkManag】,窗口中按图,7-4,所示完成操作。,任务,7-2,网络接口,(,网卡,),的配置,3用nmtui工具修改网卡配置文件root RHEL7,3,用,nmtui,工具修改网卡配置文件,步骤,4:,系统返回,【,以太网,】,窗口,按,【Tab】,键将焦点移至,【】,按,【Enter】,键,在返回的,【NetworkManag】,窗口中使用光标下移键将焦点移至,【,退出,】,选项,按,【,Enter,】,键后系统退出,nmtui,工具。,步骤,5:,在命令行下,执行重启网络服务命令,使配置生效。,rootRHEL7-1#,systemctl restart network.service,任务,7-2,网络接口,(,网卡,),的配置,3用nmtui工具修改网卡配置文件步骤4:系统返回【以太网,4.,使用,nmcli,命令配置网络连接,命令用法,功能,nmcli dev status,显示所有网卡设备的状态,nmcli con show -active ,网络连接名,显示所有或活动的或指定的网络连接,nmcli con add con-name,网络连接名,type ethernet,ifname,网络接口名称,ip4 ip,地址,/,前缀,gw4,默认网关,为指定的网卡设备添加网络连接,并以“,ifcfg-,连接名”名称保存其配置文件,nmcli con mod,网络连接名,ipv4.add “ip,地址,/,前缀,默认网关,”,修改并保存指定网络连接中的,IP,地址和网关,nmcli con up,网络连接名,将绑定到网络接口上指定的网络连接激活,nmcli dev dis,网络连接名,将绑定到网络接口上指定的网络连接关闭,nmcli con del,网络连接名,删除指定的网络连接及其配置文件,nmcli con reload,重新读取网络连接配置文件,使其修改生效,任务,7-2,网络接口,(,网卡,),的配置,4.使用nmcli命令配置网络连接命令用法功能nmcli,【,例,7-4,】,使用,nmcli,命令完成以下系列操作:,查看当前主机中所有网卡设备的状态信息。,任务,7-2,网络接口,(,网卡,),的配置,root rhel7-1 #,nmcli dev status,设备,类型,状态,CONNECTION,Ens33ethernet,连接的,ens33,Ens38ethernet,已断开,-,Loloopback,未管理,-,查看网络连接的信息。,rootRHEL7-1 #,nmcli con show,/,查看所有网络连接,名称,UUID,类型,设备,Ens330243e05a-81f0-4671-93e0-55a4be1dcdbe802-3-ethernetens33,Ens38e3e26e34-e13c-48d2-bb51-d19caaeb0d15802-3-ethernet-,rootRHEL7-1 #,nmcli con show ens33/,查看指定网络连接的详细信息,connection.id: ens33,connection.uuid: 0243e05a-81f0-4671-93e0-55a4be1dcdbe,connection.stable-id: -,connection.interface-name: ens33,connection.type: 802-3-ethernet,/,省略若干行,【例7-4】使用nmcli命令完成以下系列操作:任务7-2,任务,7-2,网络接口,(,网卡,),的配置,在,ens33,设备上添加网络连接名为,ens33-1,的新连接。,rootRHEL7-1 #,nmcli con add con-name ens33-1 ifname ens33 type ethernet ip4 10.10.10.1/24 gw4 10.10.10.254,成功添加的连接,ens33-1(b926e70b-07c6-4934-b020-9f95a1777f4e),。,rootRHEL7-1 #,nmcli con show,名称,UUID,类型,设备,Ens330243e05a-81f0-4671-93e0-55a4be1dcdbe802-3-ethernetens33,Ens38e3e26e34-e13c-48d2-bb51-d19caaeb0d15802-3-ethernet-,ens33-1b926e70b-07c6-4934-b020-9f95a1777f4e802-3-ethernet-,修改,ens33-1,网络连接在其中添加首选,DNS,的,IP,地址和辅助,DNS,的,IP,地址,rootRHEL7-1 #,nmcli con modify ens33-1 ipv4.dns 8.8.8.8,rootRHEL7-1 #,nmcli con modify ens33-1 +ipv4.dns 10.10.1.2,修改,ens33,网络连接,使得开机时能自动启动,并将,IP,地址,/,前缀修改为,10.1.80.121/24,。,rootRHEL7-1 #,nmcli con modi ens33 autoconnect yes ipv4.add 10.1.80.121/24,rootRHEL7-1 #,nmcli con up ens33,/,激活连接使修改后的配置立即生效,删除网络连接,ens33-1,及其配置文件。,rootRHEL7-1 #,nmcli connection delete ens33-1,任务7-2 网络接口(网卡)的配置在ens33设备上添,5.,为,Linux,主机指派域名解析,(1),通过,/etc/hosts,文件实现域名解析,【,例,7-5,】,添加主机名,与,IP,地址,14.215.144.37,的对应记录。,rootRHEL7-1 #,vim /etc/hosts,127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4,:1 localhost localhost.localdomain localhost6 localhost6.localdomain6,192.168.1.1RHEL7-,14.215.144.37,任务,7-2,网络接口,(,网卡,),的配置,(2),通过,/etc/resolv.conf,文件指派域名解析服务的地址,【,例,7-6,】,为当前主机设置如下,DNS,主机地址,: 222.246.129.80,、,8.8.8.8,。,rootRHEL7-1 #,vim /etc/resolv.conf,#Generated by NetworkManager,nameserver 222.246.129.80,nameserver 8.8.8.8,5.为Linux主机指派域名解析rootRHEL7-1,5.,为,Linux,主机指派域名解析,(3),指定域名解析的顺序,/etc/hosts,和,/etc/resolv.conf,文件均可响应域名解析的请求,其响应的先后顺序可在文件,/etc/nsswitch.conf,中设置,其默认解析顺序为,hosts,文件、,resolv.conf,文件中的,DNS,服务器。,rootRHEL7-1 #,grep hosts /etc/nsswitch.conf,#hosts: db files nisplus nis dns,hosts: files dns /,其中的,files,代表用,hosts,文件来进行名称解析,任务,7-2,网络接口,(,网卡,),的配置,5.为Linux主机指派域名解析rootRHEL7-1,任务,7-2,网络接口,(,网卡,),的配置,6,测试网络的连通性,(1),使用,ping,命令测试网络的连通性,命令一般格式为,:,ping ,选项, ,常用选项,:,-c,数字,用于设定本命令发出的,ICMP,消息包的数量,若无此选项,则会无限次发送消息包直到用户按下,【,Ctrl+C,】,组合键才终止命令。,-s,字节数,设置,ping,命令发出的消息包的大小,默认发送的测试数据大小为,56,字节,;,自动添加,8,字节的,ICMP,协议头后,显示的是,64,字节,;,再添加,20,字节的,IP,协议头,则显示的为,84,字节。最大设置值为,65507B,。,-i,时间间隔量,设定前后两次发送,ICMP,消息包之间的时间间隔,无此选项时,默认时间间隔为,1,秒。为了保障本机和目标主机的安全,一般不要小于,0.2,秒。,-t,设置存活时间,TTL(Time To Live),。,【,例,7-7,】,使用,ping,命令,向百度网站,(),发送三个测试数据包。,rootRHEL7-1 #,ping -c 3 ,任务7-2 网络接口(网卡)的配置6测试网络的连通性p,任务,7-2,网络接口,(,网卡,),的配置,6,测试网络的连通性,(2),使用,tracepath,命令跟踪并显示网络路径,命令一般格式为,:,tracepath ,选项, ,常用选项,:,-n,对沿途各主机节点,仅仅获取并输出,IP,地址,不在每个,IP,地址的节点设备上通过,DNS,查找其主机名,以此来加快测试速度。,-b,对沿途各主机节点同时显示,IP,地址和主机名。,-l,包长度,设置初始的数据包的大小。,-p,端口号,设置,UDP,传输协议的端口,(,缺省为,33434),。,【,例,7-8,】,跟踪从本主机到目标主机,(,如,),的路由途径。,rootRHEL7-1 #,tracepath ,1?: LOCALHOST pmtu 1500,1: no reply,2: 10.0.1.2 2.957ms, ,/,省略若干行,Resume: pmtu 1500 hops 10 back 10,任务7-2 网络接口(网卡)的配置6测试网络的连通性t,本任务针对图,7-5,中,(,具有,3,个子网,),各主机及其网卡,(,网卡,1,网卡,6),进行配置,使得主机,PC1,与主机,PC2,之间的链路能双向连通。,其配置步骤如下,:,步骤,1:,按任务,7-2,中介绍的方法,依据图,7-5,标示的,IP,地址、子网掩码、默认网关等参数配置各网卡。,任务,7-3,架设软路由器实现多子网连通,本任务针对图7-5中(具有3个子网)各主机及其网卡(网卡1,步骤,2:,在,RHEL7-1,和,RHEL7-2,两台主机上开启,IP,转发功能,以使各主机中的网卡不仅能收发数据包还能转发数据包。在,RHEL7-1,主机上开启,IP,转发功能的过程如下,(RHEL7-2,上的操作方式相同,):,rootRHEL7-1 #,vim /usr/lib/sysctl.d/00-system.conf,/,省略若干行,net.ipv4.ip_forward=1/,添加此行或将此行中的“,0,”改为“,1,”,:wq/,保存退出,rootRHEL7-1 #,sysctl -p /usr/lib/sysctl.d/00-system.conf/,使修改生效,(,系统会显示配置参数,),任务,7-3,架设软路由器实现多子网连通,步骤,3:,为了实现子网,1,与子网,3,之间永久生效的双向连通,需要在路由器,RHEL7-1,的,ens38,网卡上和,RHEL7-2,的,ens33,网卡上分别添加永久生效的静态路由记录,:,rootRHEL7-1 #,vim /etc/sysconfig/network-scripts/route-ens38,192.168.2.0/24 via 192.168.1.2 dev ens38/,添加从子网,1,到子网,3,的路由,rootRHEL7-1 #,systemctl restart network,/,重启网络服务使配置生效,rootRHEL7-2 #,vim /etc/sysconfig/network-scripts/route-ens33,10.1.80.0/24 via 192.168.1.1 dev ens33/,添加从子网,3,到子网,1,的路由,rootRHEL7-2 #,systemctl restart network,/,重启网络服务使配置生效,rootRHEL7-2 #,ip route show,/,查看,RHEL7-2,上的路由表信息,10.1.80.0/24 via 192.168.1.2 dev ens33 proto static metric 100,192.168.1.0/24 dev ens33 proto kernel scope link src 192.168.1.2 metric 100,192.168.2.0/24 dev ens38 proto kernel scope link src 192.168.2.1 metric 100,步骤2:在RHEL7-1和RHEL7-2两台主机上开启IP转,步骤,4:,在,PC1,上添加永久生效的能到达子网,2(192.168.1.0/24),和子网,3(192.168.2.0/24),的静态路由,在,PC2,上添加永久生效的能到达其他子网的默认路由,如图,7-6,所示。,命令功能,Linux,系统中的命令格式,Windows,系统中的命令格式,显示路由表,ip route show,route print -4|-6,添加或删除,ip route add|del,目标地址,/,子网掩码,via,网关,route -p add|delete,目标地址,mask,掩码 网关,metric,跃点数,添加或删除默认路由,ip route add|del default via,网关,dev,网络接口,route -p add|delete 0.0.0.0 mask,掩码 网关,metric,跃点数,(-p,表示添加或删除保存到注册表中的永久路由记录,),任务,7-3
展开阅读全文