RHEL7版-項目07 網(wǎng)絡配置與Firewalld防火墻的管理

1、第第1 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日Red Hat Enterprise Linux 7.3（RHEL 7.3）l課程標準課程標準( (教學大綱教學大綱) )l教學設計方案教學設計方案( (教案教案) )lPPTPPT電子課件電子課件l教材習題參考答案教材習題參考答案l模擬試卷及參考答案模擬試卷及參考答案(4(4套套) )l紅帽認證紅帽認證+ +全國技能大賽資料全國技能大賽資料l知識拓展知識拓展& &網(wǎng)絡工程解決方案網(wǎng)絡工程解決方案附贈光盤附贈光盤第第2 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與

2、管理2022年年4月月3日星期日日星期日第第3 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日網(wǎng)絡主機網(wǎng)絡主機(終端節(jié)點終端節(jié)點)的連網(wǎng)配置的連網(wǎng)配置:對網(wǎng)絡中所有計算機或服務器的主機名、網(wǎng)絡接口(網(wǎng)卡)的配置(包括IP地址、子網(wǎng)掩碼、默認網(wǎng)關、DNS服務器的IP地址等),以便使同一子網(wǎng)中的主機之間能相互連通。網(wǎng)絡互連設備的配置網(wǎng)絡互連設備的配置:對內部網(wǎng)絡中連接各子網(wǎng)的路由器和交換機的配置。其目的是實現(xiàn)不同子網(wǎng)中的主機之間能夠相互連通,主要是路由信息的配置。網(wǎng)關設備的配置網(wǎng)關設備的配置:是指在校園網(wǎng)與外部互聯(lián)網(wǎng)的交界處的設備上所實施的

3、配置。主要包括防火墻和NAT服務的配置。通過防火墻規(guī)則設置以保護校園內部網(wǎng)絡中的主機(主要是服務器);通過NAT服務的配置以允許校園網(wǎng)內所有配置私網(wǎng)IP地址的主機能訪問外部互聯(lián)網(wǎng),同時,外網(wǎng)的用戶也可以訪問校園網(wǎng)內的某些服務器。7.1 項目項目描述描述第第4 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日7.2 項目知識準備項目知識準備 1.網(wǎng)絡配置的主要文件及目錄網(wǎng)絡配置的主要文件及目錄路徑及文件名功能/etc/hostname用于設置和保存靜態(tài)主機名/etc/machine-info用于設置和保存靈活主機名/etc/hosts用于設

4、置主機名映射為IP地址,從而實現(xiàn)主機名的解析/etc/sysconfig/network-scripts/網(wǎng)絡接口(網(wǎng)卡)配置文件的存放目錄/etc/resolv.conf用于對主機的DNS服務器IP地址進行配置/etc/nsswitch.conf用于指定域名解析順序/etc/services用于設置主機的不同端口對應的網(wǎng)絡服務(一般無需修改)/usr/lib/sysctl.d/00-system.conf用于開啟或關閉路由轉發(fā)功能,從而使數(shù)據(jù)包能在不同子網(wǎng)之間轉發(fā)/etc/sysconfig/network-scripts/route-ensXX用于設置并保存靜態(tài)路由信息,從而將Linux服

5、務器構建為軟路由器 第第5 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日網(wǎng)絡接口網(wǎng)絡接口是指網(wǎng)絡中的計算機或網(wǎng)絡設備與其他設備實現(xiàn)通訊的進出口。這里,主要是指計算機的網(wǎng)絡接口即網(wǎng)卡設備。從RHEL7開始引入了一種新的“一致網(wǎng)絡設備命名”的方式為網(wǎng)絡接口命名,該方式可以根據(jù)固件、設備拓撲、設備類型和位置信息分配固定的名字。網(wǎng)絡接口的名稱的前兩個字符為網(wǎng)絡類型符號。如:len示以太網(wǎng)(Ethernet)、wl表示無線局域網(wǎng)(wlan)、ww表示無線廣域網(wǎng)(wwan);接下來的字符根據(jù)設備類型或位置選擇,如: lo表示內置(onboard)

6、于主板上的集成設備(即集成網(wǎng)卡)及索引號;ls表示是插在可以熱拔插的插槽上的獨立設備及索引號;lx表示基于MAC地址命名的設備;lp表示PCI插槽的物理位置及編號。則是為網(wǎng)絡接口實施配置的設置集合。在同一個網(wǎng)絡接口上,可以有多套不同的設置方案,即一個網(wǎng)絡接口可以有多個網(wǎng)絡連接,但同一時間只能有一個網(wǎng)絡連接處于活動狀態(tài)。 第第6 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日第第7 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日第第8 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理

7、網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日第第9 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日Console口4個10/100/1000口 CheckPoint UTM-1 570 第第10 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日1Linux防火墻的歷史防火墻的歷史在在3.10之后的內核中之后的內核中,包過濾機制是包過濾機制是netfilter,管理防火墻管理防火墻的工具有的工具有firewalld、iptables等。等。firewalld的官網(wǎng)：的官

8、網(wǎng)：第第11 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日2Linux防火墻的架構防火墻的架構Linux防火墻系統(tǒng)由以下三層架構的三個子系統(tǒng)組成防火墻系統(tǒng)由以下三層架構的三個子系統(tǒng)組成:內核層的內核層的中間層服務程序中間層服務程序:是連接內核和用戶的與內核直接交互是連接內核和用戶的與內核直接交互的監(jiān)控防火墻規(guī)則的服務程序或守護進程的監(jiān)控防火墻規(guī)則的服務程序或守護進程,它將用戶配置它將用戶配置的規(guī)則交由內核中的的規(guī)則交由內核中的netfilter來讀取來讀取,從而調整防火墻規(guī)從而調整防火墻規(guī)則。則。用戶層工具用戶層工具:是是Linux系

9、統(tǒng)為用戶提供的用來定義和配系統(tǒng)為用戶提供的用來定義和配置防火墻規(guī)則的工具軟件。置防火墻規(guī)則的工具軟件。第第12 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日表表鏈鏈規(guī)則規(guī)則的結構來組織規(guī)則的結構來組織規(guī)則第第13 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日第第14 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日在在RHEL7中用戶層的配置中用戶層的配置firewalld防火墻規(guī)則防火墻規(guī)則的工具有以下三種的工具有以下

10、三種:圖形工具圖形工具firewall-config。命令行工具命令行工具firewall-cmd。直接編輯直接編輯/etc/firewalld/目錄中擴展名為目錄中擴展名為.xml的一系列的一系列配置文件。配置文件。為了簡化防火墻管理為了簡化防火墻管理,firewalld將所有網(wǎng)絡流量將所有網(wǎng)絡流量劃分為多個區(qū)域。根據(jù)數(shù)據(jù)包源劃分為多個區(qū)域。根據(jù)數(shù)據(jù)包源IP地址或傳入網(wǎng)地址或傳入網(wǎng)絡接口等條件絡接口等條件,流量將轉入相應區(qū)域的防火墻規(guī)流量將轉入相應區(qū)域的防火墻規(guī)則則,firewalld提供的幾種預定義的區(qū)域及防火墻提供的幾種預定義的區(qū)域及防火墻初始規(guī)則見表初始規(guī)則見表7-2。第第15 頁頁L

11、inuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日區(qū)域(zone)區(qū)域中包含的初始規(guī)則trusted (受信任的)允許所有流入的數(shù)據(jù)包。home (家庭)拒絕流入的數(shù)據(jù)包,允許外出及服務ssh,mdns,ipp-client,samba-client與ernal (內部)拒絕流入的數(shù)據(jù)包,允許外出及服務ssh、mdns、ipp-client、samba-client、dhcpv6-client。work (工作)拒絕流入的數(shù)據(jù)包,除非與輸出流量數(shù)據(jù)包相關或是ssh,ipp-client與dhcpv6-client

12、服務則允許。public (公開)拒絕流入的數(shù)據(jù)包,允許外出及服務ssh、dhcpv6-client,新添加的網(wǎng)絡接口缺省的默認區(qū)域。external (外部)拒絕流入的數(shù)據(jù)包,除非與輸出流量數(shù)據(jù)包相關,允許外出及服務ssh、mdns、ipp-client、samba-client、dhcpv6-client,默認啟用了偽裝。dmz (隔離區(qū))拒絕流入的數(shù)據(jù)包,除非與輸出流量數(shù)據(jù)包相關 ,允許外出及服務ssh。block (阻塞)拒絕流入的數(shù)據(jù)包,除非與輸出流量數(shù)據(jù)包相關。drop (丟棄)任何流入網(wǎng)絡的包都被丟棄,不作出任何響應,除非與輸出流量數(shù)據(jù)包相關。只允許流出的網(wǎng)絡連接。第第16 頁頁

13、LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日數(shù)據(jù)包要進入到內核必須要通過這些區(qū)域數(shù)據(jù)包要進入到內核必須要通過這些區(qū)域(zone)中的一個中的一個,不同的區(qū)域里預定義的防火墻規(guī)則不一樣不同的區(qū)域里預定義的防火墻規(guī)則不一樣(即信任度或過濾即信任度或過濾的強度不一樣的強度不一樣),人們可以根據(jù)計算機所處的不同的網(wǎng)絡環(huán)境人們可以根據(jù)計算機所處的不同的網(wǎng)絡環(huán)境和安全需求將網(wǎng)卡連接到相應區(qū)域和安全需求將網(wǎng)卡連接到相應區(qū)域(默認區(qū)域是默認區(qū)域是public),并對并對區(qū)域中現(xiàn)有規(guī)則進行補充完善區(qū)域中現(xiàn)有規(guī)則進行補充完善,進而制定出更為精細的防火進而制定

14、出更為精細的防火墻規(guī)則來滿足網(wǎng)絡安全的要求。一塊物理網(wǎng)卡可以有多個網(wǎng)墻規(guī)則來滿足網(wǎng)絡安全的要求。一塊物理網(wǎng)卡可以有多個網(wǎng)絡連接絡連接(邏輯連接邏輯連接),一個網(wǎng)絡連接只能連接一個區(qū)域一個網(wǎng)絡連接只能連接一個區(qū)域,而一個而一個區(qū)域可以接收多個網(wǎng)絡連接。區(qū)域可以接收多個網(wǎng)絡連接。根據(jù)不同的語法來源根據(jù)不同的語法來源,firewalld包含的規(guī)則有以下三種：包含的規(guī)則有以下三種：標準規(guī)則標準規(guī)則:利利用用firewalld的基本語法規(guī)范所制定或添加的的基本語法規(guī)范所制定或添加的防火墻規(guī)則。防火墻規(guī)則。直接規(guī)則直接規(guī)則:當當firewalld的基本語法表達不夠用時的基本語法表達不夠用時,通過手動通過手

15、動編碼的方式直接利用其底層的編碼的方式直接利用其底層的iptables或或ebtables的語法的語法規(guī)則所制定的防火墻規(guī)則。規(guī)則所制定的防火墻規(guī)則。富規(guī)則富規(guī)則: firewalld的基本語法未能涵蓋的的基本語法未能涵蓋的,通過富規(guī)則語通過富規(guī)則語法制定的復雜防火墻規(guī)則。法制定的復雜防火墻規(guī)則。第第17 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日第第18 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日1NAT服務的概念及分類服務的概念及分類根據(jù)根據(jù)NAT替換數(shù)據(jù)包頭部中地址

16、的不同替換數(shù)據(jù)包頭部中地址的不同,NAT分為源分為源地址轉換地址轉換SNAT(Source NAT)(IP偽裝偽裝)和目的地址和目的地址轉換轉換DNAT(Destination NAT)兩類。兩類。SNAT技術技術主要應用于在企事業(yè)單位內部使用私網(wǎng)主要應用于在企事業(yè)單位內部使用私網(wǎng)IP地址地址的所有計算機能夠訪問互聯(lián)網(wǎng)上服務器的所有計算機能夠訪問互聯(lián)網(wǎng)上服務器,實現(xiàn)共享上網(wǎng)實現(xiàn)共享上網(wǎng),并并且能隱藏內部網(wǎng)絡的且能隱藏內部網(wǎng)絡的IP地址。在地址。在RHEL7系統(tǒng)內置的防火系統(tǒng)內置的防火墻中的墻中的IP偽裝功能就是偽裝功能就是SNAT技術具體實現(xiàn)方式。技術具體實現(xiàn)方式。DNAT技術技術則能讓互聯(lián)網(wǎng)

17、中用戶穿透到企事業(yè)的內部網(wǎng)絡則能讓互聯(lián)網(wǎng)中用戶穿透到企事業(yè)的內部網(wǎng)絡,訪問使用私網(wǎng)訪問使用私網(wǎng)IP地址的服務器地址的服務器,即無公網(wǎng)即無公網(wǎng)IP的內網(wǎng)服務器的內網(wǎng)服務器發(fā)布到互聯(lián)網(wǎng)發(fā)布到互聯(lián)網(wǎng)(如發(fā)布如發(fā)布Web網(wǎng)站和網(wǎng)站和FTP站點等站點等)。第第19 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日2NAT服務器的工作過程服務器的工作過程NAT服務器的工作過程如圖服務器的工作過程如圖7-3所示。所示。第第20 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日在RHEL7中,引入了

18、靜態(tài)(static)、瞬態(tài)(transient)和靈活(pretty)三種主機名。“瞬態(tài)瞬態(tài)”主機名主機名第第21 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日選項說明如下：選項說明如下：status可同時查看靜態(tài)、瞬態(tài)和靈活三種主機名及其相關的設置信息。-static僅查看靜態(tài)(永久)主機名。-transient僅查看瞬態(tài)(臨時)主機名。-pretty僅查看靈活主機名。hostnamectl status -static|-transient|-pretty 查看主機名的命令一般格式如下查看主機名的命令一般格式如下:rootdyzx

19、 # hostnamectl status Static hostname: Icon name: computer-vm Chassis: vm Machine ID: ebcaefed3f4d4359a7113ab85ec89629 Boot ID: 76f5e89582ff4e62930bfc2f5ee33aa6 Virtualization: vmware Operating System: Red Hat Enterprise Linux Server 7.3 (Maipo) CPE OS Name: cpe:/o:redhat:enterprise_linux:7.3:GA:ser

20、ver Kernel: Linux 3.10.0-514.el7.x86_64 Architecture: x86-64第第22 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日查看、修改瞬態(tài)查看、修改瞬態(tài)(臨時臨時)主機名的命令如下主機名的命令如下:hostnamectl -static|-transient|-pretty set-hostname 修改主機名的命令一般格式如下修改主機名的命令一般格式如下:rootdyzx # hostnamectl -transient/查看修改前的瞬態(tài)主機名rootdyzx # hostnamec

21、tl -transient set-hostname server1/修改瞬態(tài)主機名rootdyzx # hostnamectl -transient/查看修改后的瞬態(tài)主機名server1查看、修改靜態(tài)查看、修改靜態(tài)(永久永久)主機名的命令如下主機名的命令如下:root dyzx# hostnamectl -static/查看修改前的靜態(tài)主機名rootdyzx # hostnamectl -static set-hostname dyzx# hostnamectl -static/查看修改后的靜態(tài)主機名第第23 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4

22、月月3日星期日日星期日當用hostnamectl命令修改靜態(tài)主機名后,/etc/hostname文件中保存的主機名會被自動更新,而/etc/hosts文件中的主機名卻不會自動更新,因此,在每次修改主機名后,一定要手工更新/etc/hosts文件,在其中添加新的主機名與IP地址的映射關系rootdyzx # bash/重新開啟Shellrootserver2#查看在設置新的靜態(tài)主機名后查看在設置新的靜態(tài)主機名后,會立即修改內核主機名會立即修改內核主機名,只是在提示符只是在提示符中中“”后面的主機名還未自動刷新后面的主機名還未自動刷新,此時此時,只要執(zhí)行重新開啟只要執(zhí)行重新開啟Shell登登錄命令

23、錄命令,便可在提示符中顯示新的主機名。便可在提示符中顯示新的主機名。rootserver2#vim /etc/hostslocalhost localhost.localdomain localhost4 localhost4.localdomain4:1localhost localhost.localdomain localhost6 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日由上可見,在修改靜態(tài)/瞬態(tài)主機名時,任何特殊字符或空白字符會被移除,并且大寫字母會自動轉化為小寫字母,而靈活主機名則保持了原樣,這正是起

24、名為靈活主機名的緣由。root server2 # hostnamectl set-hostname Zhang3 s Computerroot server2 # hostnamectl -static/查看靜態(tài)主機名zhang3scomputerroot server2 # hostnamectl -transient/查看瞬態(tài)主機名zhang3scomputer root server2# hostnamectl -pretty/查看靈活主機名Zhang3s Computer 第第25 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期

25、日添加臨時生效的網(wǎng)絡連接添加臨時生效的網(wǎng)絡連接:該方式適合在調試網(wǎng)絡時臨時該方式適合在調試網(wǎng)絡時臨時使用。這種方式雖然在設置后能馬上生效使用。這種方式雖然在設置后能馬上生效,但由于是直接但由于是直接修改目前運行內核中的網(wǎng)絡參數(shù)修改目前運行內核中的網(wǎng)絡參數(shù),并未改動網(wǎng)絡連接配置并未改動網(wǎng)絡連接配置文件中的內容文件中的內容,因此在系統(tǒng)或網(wǎng)絡服務重啟后會失效。因此在系統(tǒng)或網(wǎng)絡服務重啟后會失效。持久生效的網(wǎng)絡連接配置持久生效的網(wǎng)絡連接配置:此方式是對存放網(wǎng)絡連接參數(shù)此方式是對存放網(wǎng)絡連接參數(shù)的配置文件進行修改或設置的配置文件進行修改或設置,適合在長期穩(wěn)定運行的計算適合在長期穩(wěn)定運行的計算機上使用。其配

26、置工具有機上使用。其配置工具有vim、nmtui和和nmcli等。等。第第26 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日命令用法功能ip -s addr show 網(wǎng)卡設備名查看網(wǎng)卡在網(wǎng)絡層的配置信息,加-s表示增添顯示相關統(tǒng)計信息,如接收 (RX) 及傳送 (TX) 的數(shù)據(jù)包數(shù)量等ip -s link show 網(wǎng)卡設備名查看網(wǎng)卡在鏈路層的配置信息ip -4 addr add|del IP地址/掩碼長度 dev 網(wǎng)卡連接名ip -6 addr add|del IP地址/掩碼長度 dev 網(wǎng)卡連接名添加或刪除網(wǎng)卡的臨時IPv4地址

27、添加或刪除網(wǎng)卡的臨時IPv6地址ip link set dev 網(wǎng)卡的設備名 down|up禁用|啟用指定網(wǎng)卡第第27 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日【例例7-1】在RHEL7-1主機上,為網(wǎng)卡ens33臨時添加一個IP地址1/24,并查看其配置結果。在重啟網(wǎng)卡后再次查看配置的結果。操作的命令如下:rootRHEL7-1 # ip addr show ens33/查看接口ens33當前的IP地址和子網(wǎng)掩碼2: ens33: mtu 1500 qdisc pfifo_fast state UP qlen

28、1000 link/ether 00:0c:29:3d:b8:92 brd ff:ff:ff:ff:ff:ff inet 1/24 brd 55 scope global ens33 valid_lft forever preferred_lft forever inet6 fe80:1671:5718:ea13:ef42/64 scope link valid_lft forever preferred_lft forever已啟用的活動接口的狀態(tài)為UP,禁用接口的狀態(tài)為DOWN。link行指定網(wǎng)卡設備的硬件(MAC)地址。inet行顯示IPv4地址和網(wǎng)絡

29、前綴(子網(wǎng)掩碼)。廣播地址、作用域和網(wǎng)卡設備的名稱。inet6行顯示IPv6信息。第第28 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日rootRHEL7-1 #ip addr add 6/24 dev ens33/在接口ens33上添加臨時IP地址rootRHEL7-1 # ip addr show ens332: ens33: mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:0c:29:3d:b8:92 brd ff:ff:ff:ff:ff:f

30、f inet 1/24 brd 55 scope global ens33 valid_lft forever preferred_lft forever inet 6/24 scope global ens33 valid_lft forever preferred_lft forever inet6 fe80:1671:5718:ea13:ef42/64 scope link valid_lft forever preferred_lft foreverrootRHEL7-1 # ip link set dev ens33 downro

31、otRHEL7-1 # ip link set dev ens33 up rootRHEL7-1 # ip addr show/顯示所有網(wǎng)絡接口的當前IP地址和子網(wǎng)掩碼/省略顯示結果第第29 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日【例例7-2】在RHEL7-1主機上,通過編輯網(wǎng)絡連接配置文件為網(wǎng)卡ens33配置網(wǎng)絡參數(shù)。其配置方法如下:rootRHEL7-1 # vim /etc/sysconfig/network-scripts/ifcfg-ens33TYPE=Ethernet/指定網(wǎng)絡類型為以太網(wǎng)模式BOOTPROTO=no

32、ne/指定啟動地址協(xié)議的獲取方式(dhcp或bootp為自動獲取,none/為放棄自動獲取,一般用于網(wǎng)卡綁定時,static為靜態(tài)指定IP DEFROUTE=yes/是否把這個ens38設置為默認路由IPV4_FAILURE_FATAL=no/如果IPv4配置失敗,設備是否被禁用IPV6INIT=yes/允許在該網(wǎng)卡上啟動IPV6的功能IPV6_AUTOCONF=yes/是否使用IPV6地址的自動配置IPV6_DEFROUTE=yesIPV6_FAILURE_FATAL=noIPV6_ADDR_GEN_MODE=stable-privacyNAME=ens33/網(wǎng)絡連接標識名UUID=00de

33、cbce-3c43-47f1-82a6-627cbd80188f/網(wǎng)卡全球通用唯一識別碼DEVICE=ens33/網(wǎng)卡設備名ONBOOT=yes/設置系統(tǒng)或網(wǎng)絡服務在啟動時是否啟動該接口IPADDR=1/設置IP地址PREFIX=24/設置子網(wǎng)掩碼GATEWAY=54/設置網(wǎng)關DNS1=/設置DNS的IP地址IPV6_PEERDNS=yesIPV6_PEERROUTES=yesHWADDR=00:0C:29:C7:FE:8A/網(wǎng)卡的物理地址(也稱網(wǎng)卡號)rootdyzx network-scripts# systemctl restart ne

34、twork.service /重啟網(wǎng)絡服務,使配置生效第第30 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日3用用nmtui工具修改網(wǎng)卡配置文件工具修改網(wǎng)卡配置文件【例例7-3】使用nmtui工具,為RHEL7-1主機的第二塊網(wǎng)卡ens38配置網(wǎng)絡參數(shù)。其配置步驟如下:檢查nmtui工具相應的服務是否啟用。RHEL7默認已安裝,并已開啟了相應的服務(NetworkManager.service)。若nmtui工具的安裝包已卸載可用以下命令進行安裝、啟用并檢查啟用狀態(tài)。root RHEL7-1 # yum install Network

35、Manager-tuiroot RHEL7-1 # systemctl start NetworkManager.serviceroot RHEL7-1 # systemctl status NetworkManager.service步驟步驟2:在命令行執(zhí)行以下命令:root rhel7-1 # nmtui步驟步驟3:在打開的【NetworkManag】窗口中按圖7-4所示完成操作。第第31 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日3用用nmtui工具修改網(wǎng)卡配置文件工具修改網(wǎng)卡配置文件系統(tǒng)返回【以太網(wǎng)】窗口,按【Tab】鍵將焦

36、點移至【】按【Enter】鍵在返回的【NetworkManag】窗口中使用光標下移鍵將焦點移至【退出】選項按【Enter】鍵后系統(tǒng)退出nmtui工具。步驟步驟5:在命令行下,執(zhí)行重啟網(wǎng)絡服務命令,使配置生效。rootRHEL7-1# systemctl restart network.service第第32 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日命令用法功能nmcli dev status顯示所有網(wǎng)卡設備的狀態(tài)nmcli con show -active 網(wǎng)絡連接名顯示所有或活動的或指定的網(wǎng)絡連接nmcli con add co

37、n-name 網(wǎng)絡連接名 type ethernetifname 網(wǎng)絡接口名稱 ip4 ip地址/前綴 gw4 默認網(wǎng)關為指定的網(wǎng)卡設備添加網(wǎng)絡連接,并以“ifcfg-連接名”名稱保存其配置文件nmcli con mod 網(wǎng)絡連接名 ipv4.add “ip地址/前綴 默認網(wǎng)關”修改并保存指定網(wǎng)絡連接中的IP地址和網(wǎng)關nmcli con up 網(wǎng)絡連接名將綁定到網(wǎng)絡接口上指定的網(wǎng)絡連接激活nmcli dev dis 網(wǎng)絡連接名將綁定到網(wǎng)絡接口上指定的網(wǎng)絡連接關閉nmcli con del 網(wǎng)絡連接名刪除指定的網(wǎng)絡連接及其配置文件nmcli con reload重新讀取網(wǎng)絡連接配置文件,使其修改

38、生效第第33 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日使用nmcli命令完成以下系列操作：查看當前主機中所有網(wǎng)卡設備的狀態(tài)信息。root rhel7-1 #nmcli dev status設備類型狀態(tài)CONNECTION Ens33ethernet連接的ens33Ens38ethernet已斷開-Loloopback未管理-查看網(wǎng)絡連接的信息。rootRHEL7-1 # nmcli con show/查看所有網(wǎng)絡連接名稱 UUID類型設備Ens330243e05a-81f0-4671-93e0-55a4be1dcdbe802-3-

39、ethernetens33Ens38e3e26e34-e13c-48d2-bb51-d19caaeb0d15802-3-ethernet-rootRHEL7-1 # nmcli con show ens33/查看指定網(wǎng)絡連接的詳細信息connection.id: ens33connection.uuid: 0243e05a-81f0-4671-93e0-55a4be1dcdbeconnection.stable-id: -erface-name: ens33connection.type: 802-3-ethernet/省略若干行第第34 頁頁LinuxLinux網(wǎng)

40、絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日在ens33設備上添加網(wǎng)絡連接名為ens33-1的新連接。rootRHEL7-1 # nmcli con add con-name ens33-1 ifname ens33 type ethernet ip4 /24 gw4 54成功添加的連接 ens33-1(b926e70b-07c6-4934-b020-9f95a1777f4e)。rootRHEL7-1 # nmcli con show名稱UUID類型設備Ens330243e05a-81f0-4671-93e0-55a4b

41、e1dcdbe802-3-ethernetens33Ens38e3e26e34-e13c-48d2-bb51-d19caaeb0d15802-3-ethernet-ens33-1b926e70b-07c6-4934-b020-9f95a1777f4e802-3-ethernet-修改ens33-1網(wǎng)絡連接在其中添加首選DNS的IP地址和輔助DNS的IP地址rootRHEL7-1 # nmcli con modify ens33-1 ipv4.dns rootRHEL7-1 # nmcli con modify ens33-1 +ipv4.dns 修改ens33網(wǎng)

42、絡連接,使得開機時能自動啟動,并將IP地址/前綴修改為21/24。rootRHEL7-1 # nmcli con modi ens33 autoconnect yes ipv4.add 21/24 rootRHEL7-1 # nmcli con up ens33 /激活連接使修改后的配置立即生效刪除網(wǎng)絡連接ens33-1及其配置文件。rootRHEL7-1 # nmcli connection delete ens33-1第第35 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日【例例7-5】添加主機名

43、與IP地址7的對應記錄。rootRHEL7-1 # vim /etc/hosts localhost localhost.localdomain localhost4 localhost4.localdomain4:1 localhost localhost.localdomain localhost6 localhost6.localdomain6RHEL7-【例例7-6】為當前主機設置如下DNS主機地址: 0、。rootRHEL7-1 # vim /etc/resolv.conf#Gen

44、erated by NetworkManagernameserver 0nameserver 第第36 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日/etc/hosts和/etc/resolv.conf文件均可響應域名解析的請求,其響應的先后順序可在文件/etc/nsswitch.conf中設置,其默認解析順序為hosts文件、resolv.conf文件中的DNS服務器。rootRHEL7-1 # grep hosts /etc/nsswitch.conf#hosts: db files nis

45、plus nis dnshosts: files dns /其中的files代表用hosts文件來進行名稱解析第第37 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日命令一般格式為命令一般格式為:ping 選項選項 常用選項常用選項:-c 數(shù)字數(shù)字-s 字節(jié)數(shù)字節(jié)數(shù)-i 時間間隔量時間間隔量-t【例例7-7】使用ping命令,向百度網(wǎng)站()發(fā)送三個測試數(shù)據(jù)包。rootRHEL7-1 # ping -c 3 第第38 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日命令一般格式為命令

46、一般格式為:tracepath 選項選項 常用選項常用選項:-n對沿途各主機節(jié)點, 僅僅獲取并輸出IP地址,不在每個IP 地址的節(jié)點設備上通過DNS查找其主機名,以此來加快測試速度。-b對沿途各主機節(jié)點同時顯示IP地址和主機名。-l 包長度包長度設置初始的數(shù)據(jù)包的大小。-p端口號端口號設置UDP傳輸協(xié)議的端口(缺省為33434)?！纠?-8】跟蹤從本主機到目標主機(如)的路由途徑。rootRHEL7-1 # tracepath 1?: LOCALHOST pmtu 1500 1: no reply 2: 2.957ms /省略若干行 Resume: pmtu 1500 ho

47、ps 10 back 10第第39 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日本任務針對圖本任務針對圖7-5中中(具有具有3個子網(wǎng)個子網(wǎng))各主機及其網(wǎng)卡各主機及其網(wǎng)卡(網(wǎng)卡網(wǎng)卡1網(wǎng)卡網(wǎng)卡6)進行配置進行配置,使得主機使得主機PC1與主機與主機PC2之間的鏈路能雙向之間的鏈路能雙向連通。連通。其配置步驟如下其配置步驟如下:按任務7-2中介紹的方法,依據(jù)圖7-5標示的IP地址、子網(wǎng)掩碼、默認網(wǎng)關等參數(shù)配置各網(wǎng)卡。 第第40 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日在RHEL

48、7-1和RHEL7-2兩臺主機上開啟IP轉發(fā)功能,以使各主機中的網(wǎng)卡不僅能收發(fā)數(shù)據(jù)包還能轉發(fā)數(shù)據(jù)包。在RHEL7-1主機上開啟IP轉發(fā)功能的過程如下(RHEL7-2上的操作方式相同):rootRHEL7-1 # vim /usr/lib/sysctl.d/00-system.conf/省略若干行net.ipv4.ip_forward=1/添加此行或將此行中的“0”改為“1”:wq/保存退出rootRHEL7-1 # sysctl -p /usr/lib/sysctl.d/00-system.conf/使修改生效使修改生效(系統(tǒng)會顯示配置參數(shù)系統(tǒng)會顯示配置參數(shù)) 為了實現(xiàn)子網(wǎng)1與子網(wǎng)3之間永久生

49、效的雙向連通,需要在路由器RHEL7-1的ens38網(wǎng)卡上和RHEL7-2的ens33網(wǎng)卡上分別添加永久生效的靜態(tài)路由記錄:rootRHEL7-1 # vim /etc/sysconfig/network-scripts/route-ens38/24 via dev ens38/添加從子網(wǎng)1到子網(wǎng)3的路由rootRHEL7-1 # systemctl restart network/重啟網(wǎng)絡服務使配置生效rootRHEL7-2 # vim /etc/sysconfig/network-scripts/route-ens33/24

50、via dev ens33/添加從子網(wǎng)3到子網(wǎng)1的路由rootRHEL7-2 # systemctl restart network/重啟網(wǎng)絡服務使配置生效rootRHEL7-2 # ip route show/查看RHEL7-2上的路由表信息/24 via dev ens33 proto static metric 100 /24 dev ens33 proto kernel scope link src metric 100 /24 dev ens38 pr

51、oto kernel scope link src metric 100第第41 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日在PC1上添加永久生效的能到達子網(wǎng)2(/24)和子網(wǎng)3(/24)的靜態(tài)路由,在PC2上添加永久生效的能到達其他子網(wǎng)的默認路由,如圖7-6所示。命令功能Linux系統(tǒng)中的命令格式Windows系統(tǒng)中的命令格式顯示路由表ip route showroute print -4|-6添加或刪除ip route add|del 目標地址/子網(wǎng)掩碼 via

52、 網(wǎng)關route -p add|delete 目標地址 mask 掩碼 網(wǎng)關 metric 躍點數(shù)添加或刪除默認路由ip route add|del default via 網(wǎng)關 dev 網(wǎng)絡接口route -p add|delete mask 掩碼 網(wǎng)關 metric 躍點數(shù)(-p表示添加或刪除保存到注冊表中的永久路由記錄) 第第42 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日驗證連通性。在PC1和PC2主機上關閉各自的防火墻使用ping命令ping對方的IP地址來測試連通性.如圖7-7所示使用tracert命令跟

53、蹤并顯示所經過的路徑,如圖7-8所示。 第第43 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日 rootRHEL7-1 # rpm -qa |grep firewallrootRHEL7-1 # yum -y install firewalld firewall-configss -nutap | grep firewalld(1)firewalld防火墻的狀態(tài)查看、啟動、停止、重啟、重載服務的命令格式為:systemctl status | start| stop|restart|reload firewalld.service(2

54、)開機自動啟動或停止firewalld服務的命令格式為:systemctl enable |disable firewalld.service (3)檢查firewalld進程ps -ef | grep firewalld (4)查看firewalld運行的端口第第44 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日第第45 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日標簽名稱標簽的設置功能服務定義哪些區(qū)域的服務是可信的?？尚诺姆湛梢越壎ㄔ搮^(qū)的任意連接、接口和源地址。端口用于

55、添加并設置允許訪問的主機或者網(wǎng)絡的附加端口或端口范圍。協(xié)議用于添加所有主機或網(wǎng)絡均可訪問的協(xié)議源端口添加額外的源端口或范圍,它們對于所有可連接至這臺主機的所有主機或網(wǎng)絡都需要是可以訪問的。偽裝將本地的私有網(wǎng)絡的多個IP地址進行隱藏并映射到一個公網(wǎng)IP,偽裝功能目前只能適用于 ipv4。端口轉發(fā)將本地系統(tǒng)的(源)端口映射為本地系統(tǒng)或其他系統(tǒng)的另一個(目標)端口,此功能只適應于IPv4ICMP過濾器可以選擇Internet 控制報文協(xié)議的報文。這些報文可以是信息請求亦可是對信息請求或錯誤條件創(chuàng)建的響應富規(guī)則用于同時基于服務、主機地址、端口號等多種因素,進行更詳細、更復雜的規(guī)則設置,優(yōu)先級最高。接口

56、用于為所選區(qū)域綁定相應的網(wǎng)絡接口(即網(wǎng)卡)來源用于為所選區(qū)域添加來源地址或地址范圍第第46 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日【例例7-9】允許其他主機訪問本機的http服務,僅當前生效。第第47 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日【例例7-10】開放本機的8080-8088端口且重啟后依然生效。第第48 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日【例例7-11】過濾 “echo-reply”的

57、ICMP協(xié)議報文數(shù)據(jù)包,僅當前生效。第第49 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日【例例7-12】僅允許8主機訪問本機()的1520端口,當前生效。第第50 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日【例例7-13】將本機的網(wǎng)絡接口ens38添加到dmz區(qū)域,僅運行時生效。第第51 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日firewall-cmd命令一般格式為

58、命令一般格式為: firewall-cmd 參數(shù)參數(shù)1 參數(shù)參數(shù)2 參數(shù)參數(shù)3 參數(shù)作用-state查詢當前防火墻狀態(tài)-panic-on拒絕所有包。-permanent永久生效的設置。永久選項不直接影響運行時的狀態(tài),僅在重載或者重啟服務時可用-reload重新加載“永久”生效的配置規(guī)則,使其立即生效,否則要重啟后才生效-zone=指定區(qū)域,若未指定區(qū)域則為當前默認區(qū)域-get-service查看當前激活 services. 取得當前支持service-get-active-zones查看當前活動區(qū)域(已經有網(wǎng)絡接口連接的區(qū)域)-get-service -permanent查看當前服務配置是否生

59、啟后還是生效-get-default-zone查詢當前默認的區(qū)域-set-default-zone=將指定區(qū)域設置為默認區(qū)域,。此命令會改變運行時配置和永久配置-list-ports查看默認區(qū)域或指定區(qū)域的端口-list-services查看所有允許的服務-list-all -zone=顯示指定區(qū)域全部啟用的特性。若省略區(qū)域,將顯示默認區(qū)域的信息-list-all-zones顯示所有區(qū)域的特性(網(wǎng)卡配置參數(shù),資源,端口以及服務等信息。-get-zones顯示所有可用的區(qū)域。列出當前有幾個zone-get-services顯示預先定義的服務-get-active-zones顯示當前正在使用 (被網(wǎng)卡或源關聯(lián)) 的所有區(qū)域-add-source=將來源于此IP或子網(wǎng)的流量導向指定的區(qū)域-remove-source=不再將此IP或子網(wǎng)的流量導向某個指定區(qū)域第第52 頁頁LinuxLinux網(wǎng)絡操作系統(tǒng)配置與管理網(wǎng)絡操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日 參數(shù)作用-get-active-zones顯示當前正在使用 (被網(wǎng)卡或源關聯(lián)) 的所有區(qū)域-add-source=將來源于此IP或子網(wǎng)的流量導向指定的區(qū)域-remove-source=不再將此IP或子網(wǎng)的流量導向某個指定區(qū)域-add-interface=將來自于該網(wǎng)卡的所有流量都導向某個指定區(qū)域-change-inte