RHEL7版-項(xiàng)目07網(wǎng)絡(luò)配置與Firewall課件

RHEL7版-項(xiàng)目07網(wǎng)絡(luò)配置與Firewalld防火墻管理RHEL7版-項(xiàng)目07網(wǎng)絡(luò)配置與Firewalld防火墻管理RHEL7版-項(xiàng)目07網(wǎng)絡(luò)配置與Firewalld防火墻管理項(xiàng)目7網(wǎng)絡(luò)配置與Firewalld防火墻的管理【職業(yè)知識(shí)目標(biāo)】了解：網(wǎng)絡(luò)配置文件及配置方式;防火墻的概念、功能與分類(lèi)；NAT服務(wù)的概念及分類(lèi)熟悉:Linux防火墻的歷史演進(jìn)與架構(gòu)、firewalld防火墻的組成；NAT服務(wù)的工作過(guò)程掌握:主機(jī)名、以太網(wǎng)卡的設(shè)置；軟路由器的配置；防火墻的配置；NAT的配置方法【職業(yè)能力目標(biāo)】會(huì)配置主機(jī)名和網(wǎng)卡、路由；會(huì)配置客戶(hù)端名稱(chēng)解析架設(shè)軟路由器實(shí)現(xiàn)多子網(wǎng)連通會(huì)安裝FirewallD防火墻運(yùn)行管理；會(huì)使用圖形工具firewall-config配置防火墻使用命令行工具firewall-cmd配置防火墻會(huì)使用firewalld防火墻部署NAT服務(wù)RHEL7版-項(xiàng)目07網(wǎng)絡(luò)配置與Firewalld防火墻管理項(xiàng)目7網(wǎng)絡(luò)配置與Firewalld防火墻的管理【職業(yè)知識(shí)目標(biāo)】了解：網(wǎng)絡(luò)配置文件及配置方式;防火墻的概念、功能與分類(lèi)；NAT服務(wù)的概念及分類(lèi)熟悉:Linux防火墻的歷史演進(jìn)與架構(gòu)、firewalld防火墻的組成；NAT服務(wù)的工作過(guò)程掌握:主機(jī)名、以太網(wǎng)卡的設(shè)置；軟路由器的配置；防火墻的配置；NAT的配置方法【職業(yè)能力目標(biāo)】會(huì)配置主機(jī)名和網(wǎng)卡、路由；會(huì)配置客戶(hù)端名稱(chēng)解析架設(shè)軟路由器實(shí)現(xiàn)多子網(wǎng)連通會(huì)安裝FirewallD防火墻運(yùn)行管理；會(huì)使用圖形工具firewall-config配置防火墻使用命令行工具firewall-cmd配置防火墻會(huì)使用firewalld防火墻部署NAT服務(wù)項(xiàng)目7網(wǎng)絡(luò)配置與Firewalld防火墻的管理【職業(yè)知德雅職業(yè)學(xué)校校園網(wǎng)由路由器或具有路由功能的交換機(jī)連接起來(lái)的多個(gè)子網(wǎng)構(gòu)成,并通過(guò)租用電信400MB光纖接入互聯(lián)網(wǎng)。為了實(shí)現(xiàn)校園網(wǎng)內(nèi)部各子網(wǎng)和校園網(wǎng)與互聯(lián)網(wǎng)的連通,網(wǎng)絡(luò)管理員需要從以下三個(gè)方面實(shí)施網(wǎng)絡(luò)配置:網(wǎng)絡(luò)主機(jī)(終端節(jié)點(diǎn))的連網(wǎng)配置:對(duì)網(wǎng)絡(luò)中所有計(jì)算機(jī)或服務(wù)器的主機(jī)名、網(wǎng)絡(luò)接口(網(wǎng)卡)的配置(包括IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、DNS服務(wù)器的IP地址等),以便使同一子網(wǎng)中的主機(jī)之間能相互連通。網(wǎng)絡(luò)互連設(shè)備的配置:對(duì)內(nèi)部網(wǎng)絡(luò)中連接各子網(wǎng)的路由器和交換機(jī)的配置。其目的是實(shí)現(xiàn)不同子網(wǎng)中的主機(jī)之間能夠相互連通,主要是路由信息的配置。網(wǎng)關(guān)設(shè)備的配置:是指在校園網(wǎng)與外部互聯(lián)網(wǎng)的交界處的設(shè)備上所實(shí)施的配置。主要包括防火墻和NAT服務(wù)的配置。通過(guò)防火墻規(guī)則設(shè)置以保護(hù)校園內(nèi)部網(wǎng)絡(luò)中的主機(jī)(主要是服務(wù)器);通過(guò)NAT服務(wù)的配置以允許校園網(wǎng)內(nèi)所有配置私網(wǎng)IP地址的主機(jī)能訪問(wèn)外部互聯(lián)網(wǎng),同時(shí),外網(wǎng)的用戶(hù)也可以訪問(wèn)校園網(wǎng)內(nèi)的某些服務(wù)器。7.1項(xiàng)目描述德雅職業(yè)學(xué)校校園網(wǎng)由路由器或具有路由功能的交換機(jī)連接起來(lái)的多7.2項(xiàng)目知識(shí)準(zhǔn)備7-2-1

網(wǎng)絡(luò)配置的主要文件和對(duì)象1.網(wǎng)絡(luò)配置的主要文件及目錄路徑及文件名功能/etc/hostname用于設(shè)置和保存靜態(tài)主機(jī)名/etc/machine-info用于設(shè)置和保存靈活主機(jī)名/etc/hosts用于設(shè)置主機(jī)名映射為IP地址,從而實(shí)現(xiàn)主機(jī)名的解析/etc/sysconfig/network-scripts/網(wǎng)絡(luò)接口(網(wǎng)卡)配置文件的存放目錄/etc/resolv.conf用于對(duì)主機(jī)的DNS服務(wù)器IP地址進(jìn)行配置/etc/nsswitch.conf用于指定域名解析順序/etc/services用于設(shè)置主機(jī)的不同端口對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)(一般無(wú)需修改)/usr/lib/sysctl.d/00-system.conf用于開(kāi)啟或關(guān)閉路由轉(zhuǎn)發(fā)功能,從而使數(shù)據(jù)包能在不同子網(wǎng)之間轉(zhuǎn)發(fā)/etc/sysconfig/network-scripts/route-ensXX用于設(shè)置并保存靜態(tài)路由信息,從而將Linux服務(wù)器構(gòu)建為軟路由器7.2項(xiàng)目知識(shí)準(zhǔn)備7-2-1網(wǎng)絡(luò)配置的主要文件和對(duì)2.網(wǎng)絡(luò)配置的主要對(duì)象——網(wǎng)絡(luò)接口與網(wǎng)絡(luò)連接網(wǎng)絡(luò)接口是指網(wǎng)絡(luò)中的計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備與其他設(shè)備實(shí)現(xiàn)通訊的進(jìn)出口。這里,主要是指計(jì)算機(jī)的網(wǎng)絡(luò)接口即網(wǎng)卡設(shè)備。從RHEL7開(kāi)始引入了一種新的“一致網(wǎng)絡(luò)設(shè)備命名”的方式為網(wǎng)絡(luò)接口命名,該方式可以根據(jù)固件、設(shè)備拓?fù)?、設(shè)備類(lèi)型和位置信息分配固定的名字。網(wǎng)絡(luò)接口的名稱(chēng)的前兩個(gè)字符為網(wǎng)絡(luò)類(lèi)型符號(hào)。如:en——示以太網(wǎng)(Ethernet)、wl表示無(wú)線局域網(wǎng)(wlan)、ww表示無(wú)線廣域網(wǎng)(wwan);接下來(lái)的字符根據(jù)設(shè)備類(lèi)型或位置選擇,如:o<index>——表示內(nèi)置(onboard)于主板上的集成設(shè)備(即集成網(wǎng)卡)及索引號(hào);s<slot>——表示是插在可以熱拔插的插槽上的獨(dú)立設(shè)備及索引號(hào);x<MAC>——表示基于MAC地址命名的設(shè)備;p<bus>——表示PCI插槽的物理位置及編號(hào)。網(wǎng)絡(luò)連接則是為網(wǎng)絡(luò)接口實(shí)施配置的設(shè)置集合。在同一個(gè)網(wǎng)絡(luò)接口上,可以有多套不同的設(shè)置方案,即一個(gè)網(wǎng)絡(luò)接口可以有多個(gè)網(wǎng)絡(luò)連接,但同一時(shí)間只能有一個(gè)網(wǎng)絡(luò)連接處于活動(dòng)狀態(tài)。7-2-1

網(wǎng)絡(luò)配置的主要文件和對(duì)象2.網(wǎng)絡(luò)配置的主要對(duì)象——網(wǎng)絡(luò)接口與網(wǎng)絡(luò)連接7-2-17.2.2認(rèn)識(shí)防火墻1．什么是防火墻防火墻——是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全策略控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。在邏輯上,防火墻是一個(gè)分離器、限制器和分析器,它能有效地監(jiān)控內(nèi)部網(wǎng)和Internet之間的任何活動(dòng),保證了內(nèi)部網(wǎng)絡(luò)的安全。7.2.2認(rèn)識(shí)防火墻1．什么是防火墻2.防火墻的功能①過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包,封堵某些禁止的訪問(wèn)行為②對(duì)進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為作出日志記錄,并提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù),實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)存取和訪問(wèn)的監(jiān)控審計(jì)。③對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。防火墻可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊,如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑,并通知防火墻管理員。④提供數(shù)據(jù)包的路由選擇和網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT),從而解決局域網(wǎng)中主機(jī)使用內(nèi)部IP地址也能夠順利訪問(wèn)外部網(wǎng)絡(luò)的應(yīng)用需求。7.2.2認(rèn)識(shí)防火墻2.防火墻的功能7.2.2認(rèn)識(shí)防火墻3.防火墻的類(lèi)型1）按采用的技術(shù)劃分①包過(guò)濾型防火墻——在網(wǎng)絡(luò)層或傳輸層對(duì)經(jīng)過(guò)的數(shù)據(jù)包進(jìn)行篩選。篩選的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾規(guī)則，通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的IP源地址、IP目的地址、傳輸協(xié)議(TCP、UDP、ICMP等)、TCP/UDP端口號(hào)等因素，來(lái)決定是否允許該數(shù)據(jù)包通過(guò)。（包的大小1500字節(jié)）②代理服務(wù)器型防火墻——是運(yùn)行在防火墻之上的一種應(yīng)用層服務(wù)器程序，它通過(guò)對(duì)每種應(yīng)用服務(wù)編制專(zhuān)門(mén)的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層數(shù)據(jù)流的作用。7.2.2認(rèn)識(shí)防火墻3.防火墻的類(lèi)型7.2.2認(rèn)識(shí)防火墻2）按實(shí)現(xiàn)的環(huán)境劃分①軟件防火墻：學(xué)校、上前臺(tái)電腦的網(wǎng)吧普通計(jì)算機(jī)+通用的操作系統(tǒng)（如：linux）②硬件（芯片級(jí)）防火墻：基于專(zhuān)門(mén)的硬件平臺(tái)和固化在ASIC芯片來(lái)執(zhí)行防火墻的策略和數(shù)據(jù)加解密，具有速度快、處理能力強(qiáng)、性能高、價(jià)格比較昂貴的特點(diǎn)（如：NetScreen、FortiNet）通常有三個(gè)以上網(wǎng)卡接口外網(wǎng)接口：用于連接Internet網(wǎng)；內(nèi)網(wǎng)接口：用于連接代理服務(wù)器或內(nèi)部網(wǎng)絡(luò)；DMZ接口（非軍事化區(qū)）：專(zhuān)用于連接提供服務(wù)的服務(wù)器群。Console口4個(gè)10/100/1000口并發(fā)連接數(shù):500000網(wǎng)絡(luò)吞吐量:1100Mbps過(guò)濾帶寬:250Mbps

CheckPointUTM-1570

7.2.2認(rèn)識(shí)防火墻2）按實(shí)現(xiàn)的環(huán)境劃分Console口4個(gè)10/100/1007.2.3Linux防火墻歷史演進(jìn)與架構(gòu)1．Linux防火墻的歷史從1.1內(nèi)核開(kāi)始，Linux系統(tǒng)就已經(jīng)具有包過(guò)濾功能了，隨著Linux內(nèi)核版本的不斷升級(jí)，Linux下的包過(guò)濾系統(tǒng)經(jīng)歷了如下4個(gè)階段：在2.0內(nèi)核中，包過(guò)濾的機(jī)制是ipfw，管理防火墻的命令工具是ipfwadm。在2.2內(nèi)核中，包過(guò)濾的機(jī)制是ipchain，管理防火墻的命令工具是ipchains。在2.4之后的內(nèi)核中，包過(guò)濾的機(jī)制是netfilter，防火墻的命令工具是iptables。在3.10之后的內(nèi)核中,包過(guò)濾機(jī)制是netfilter,管理防火墻的工具有firewalld、iptables等。firewalld的官網(wǎng)：/7.2.3Linux防火墻歷史演進(jìn)與架構(gòu)1．Linux防2．Linux防火墻的架構(gòu)Linux防火墻系統(tǒng)由以下三層架構(gòu)的三個(gè)子系統(tǒng)組成:

①內(nèi)核層的netfilter：netfilter是集成在內(nèi)核中的一部分作用是定義、保存相應(yīng)的過(guò)濾規(guī)則。提供了一系列的表，每個(gè)表由若干個(gè)鏈組成，而每條鏈可以由一條或若干條規(guī)則組成。netfilter是表的容器，表是鏈的容器，而鏈又是規(guī)則的容器。表→鏈→規(guī)則的分層結(jié)構(gòu)來(lái)組織規(guī)則②中間層服務(wù)程序:是連接內(nèi)核和用戶(hù)的與內(nèi)核直接交互的監(jiān)控防火墻規(guī)則的服務(wù)程序或守護(hù)進(jìn)程,它將用戶(hù)配置的規(guī)則交由內(nèi)核中的netfilter來(lái)讀取,從而調(diào)整防火墻規(guī)則。③用戶(hù)層工具:是Linux系統(tǒng)為用戶(hù)提供的用來(lái)定義和配置防火墻規(guī)則的工具軟件。7.2.3Linux防火墻歷史演進(jìn)與架構(gòu)2．Linux防火墻的架構(gòu)7.2.3Linux防火墻歷史表→鏈→規(guī)則的結(jié)構(gòu)來(lái)組織規(guī)則7.2.3Linux防火墻歷史演進(jìn)與架構(gòu)表→鏈→規(guī)則的結(jié)構(gòu)來(lái)組織規(guī)則7.2.3Linux防火墻歷7.2.4RHEL7中防火墻的構(gòu)件RHEL7中引入了一種與netfilter交互的新的中間層服務(wù)程序firewalld(舊版中的iptables、ip6tables和ebtables等仍保留),firewalld是一個(gè)可以配置和監(jiān)控系統(tǒng)防火墻規(guī)則的系統(tǒng)服務(wù)程序或守護(hù)進(jìn)程,該守護(hù)進(jìn)程具備了對(duì)IPv4、IPv6和ebtables等多種規(guī)則的監(jiān)控功能,不過(guò)firewalld底層調(diào)用的命令仍然是iptables等。firewalld防火墻體系結(jié)構(gòu)如圖7-2所示。7.2.4RHEL7中防火墻的構(gòu)件RHEL7中引入了一7.2.4RHEL7中防火墻的構(gòu)件在RHEL7中用戶(hù)層的配置firewalld防火墻規(guī)則的工具有以下三種:圖形工具firewall-config。命令行工具firewall-cmd。直接編輯/etc/firewalld/目錄中擴(kuò)展名為.xml的一系列配置文件。為了簡(jiǎn)化防火墻管理,firewalld將所有網(wǎng)絡(luò)流量劃分為多個(gè)區(qū)域。根據(jù)數(shù)據(jù)包源IP地址或傳入網(wǎng)絡(luò)接口等條件,流量將轉(zhuǎn)入相應(yīng)區(qū)域的防火墻規(guī)則,firewalld提供的幾種預(yù)定義的區(qū)域及防火墻初始規(guī)則見(jiàn)表7-2。7.2.4RHEL7中防火墻的構(gòu)件在RHEL7中用戶(hù)層的7.2.4RHEL7中防火墻的構(gòu)件區(qū)域(zone)區(qū)域中包含的初始規(guī)則trusted(受信任的)允許所有流入的數(shù)據(jù)包。home(家庭)拒絕流入的數(shù)據(jù)包,允許外出及服務(wù)ssh,mdns,ipp-client,samba-client與ernal(內(nèi)部)拒絕流入的數(shù)據(jù)包,允許外出及服務(wù)ssh、mdns、ipp-client、samba-client、dhcpv6-client。work(工作)拒絕流入的數(shù)據(jù)包,除非與輸出流量數(shù)據(jù)包相關(guān)或是ssh,ipp-client與dhcpv6-client服務(wù)則允許。public(公開(kāi))拒絕流入的數(shù)據(jù)包,允許外出及服務(wù)ssh、dhcpv6-client,新添加的網(wǎng)絡(luò)接口缺省的默認(rèn)區(qū)域。external(外部)拒絕流入的數(shù)據(jù)包,除非與輸出流量數(shù)據(jù)包相關(guān),允許外出及服務(wù)ssh、mdns、ipp-client、samba-client、dhcpv6-client,默認(rèn)啟用了偽裝。dmz(隔離區(qū))拒絕流入的數(shù)據(jù)包,除非與輸出流量數(shù)據(jù)包相關(guān),允許外出及服務(wù)ssh。block(阻塞)拒絕流入的數(shù)據(jù)包,除非與輸出流量數(shù)據(jù)包相關(guān)。drop(丟棄)任何流入網(wǎng)絡(luò)的包都被丟棄,不作出任何響應(yīng),除非與輸出流量數(shù)據(jù)包相關(guān)。只允許流出的網(wǎng)絡(luò)連接。7.2.4RHEL7中防火墻的構(gòu)件區(qū)域(zone)區(qū)域中數(shù)據(jù)包要進(jìn)入到內(nèi)核必須要通過(guò)這些區(qū)域(zone)中的一個(gè),不同的區(qū)域里預(yù)定義的防火墻規(guī)則不一樣(即信任度或過(guò)濾的強(qiáng)度不一樣),人們可以根據(jù)計(jì)算機(jī)所處的不同的網(wǎng)絡(luò)環(huán)境和安全需求將網(wǎng)卡連接到相應(yīng)區(qū)域(默認(rèn)區(qū)域是public),并對(duì)區(qū)域中現(xiàn)有規(guī)則進(jìn)行補(bǔ)充完善,進(jìn)而制定出更為精細(xì)的防火墻規(guī)則來(lái)滿(mǎn)足網(wǎng)絡(luò)安全的要求。一塊物理網(wǎng)卡可以有多個(gè)網(wǎng)絡(luò)連接(邏輯連接),一個(gè)網(wǎng)絡(luò)連接只能連接一個(gè)區(qū)域,而一個(gè)區(qū)域可以接收多個(gè)網(wǎng)絡(luò)連接。根據(jù)不同的語(yǔ)法來(lái)源,firewalld包含的規(guī)則有以下三種：標(biāo)準(zhǔn)規(guī)則:利用firewalld的基本語(yǔ)法規(guī)范所制定或添加的防火墻規(guī)則。直接規(guī)則:當(dāng)firewalld的基本語(yǔ)法表達(dá)不夠用時(shí),通過(guò)手動(dòng)編碼的方式直接利用其底層的iptables或ebtables的語(yǔ)法規(guī)則所制定的防火墻規(guī)則。富規(guī)則:firewalld的基本語(yǔ)法未能涵蓋的,通過(guò)富規(guī)則語(yǔ)法制定的復(fù)雜防火墻規(guī)則。7.2.4RHEL7中防火墻的構(gòu)件數(shù)據(jù)包要進(jìn)入到內(nèi)核必須要通過(guò)這些區(qū)域(zone)中的一個(gè),不公網(wǎng)地址與私網(wǎng)地址IP地址的分配與管理由ICANN管理機(jī)構(gòu)負(fù)責(zé)，公網(wǎng)地址必須經(jīng)申請(qǐng)后才能合法使用。為解決IP地址資源緊缺問(wèn)題，IANA機(jī)構(gòu)將IP地址劃分了一部分出來(lái)，將其規(guī)定為私網(wǎng)地址，只能在局域網(wǎng)內(nèi)使用，不同局域網(wǎng)可重復(fù)使用。可使用的私網(wǎng)地址有：一個(gè)A類(lèi)地址：/816個(gè)B類(lèi)地址：/16~/16256個(gè)C類(lèi)地址：/16。任務(wù)7.2.5NAT技術(shù)的概念、分類(lèi)與工作過(guò)程公網(wǎng)地址與私網(wǎng)地址任務(wù)7.2.5NAT技術(shù)的概念、分類(lèi)與任務(wù)7.2.5NAT技術(shù)的概念、分類(lèi)與工作過(guò)程1．NAT服務(wù)的概念及分類(lèi)NAT(NetworkAddressTranslation,網(wǎng)絡(luò)地址轉(zhuǎn)換)是一種用另一個(gè)地址來(lái)替換IP數(shù)據(jù)包頭部中的源地址或目的地址的技術(shù)。根據(jù)NAT替換數(shù)據(jù)包頭部中地址的不同,NAT分為源地址轉(zhuǎn)換SNAT(SourceNAT)(IP偽裝)和目的地址轉(zhuǎn)換DNAT(DestinationNAT)兩類(lèi)。SNAT技術(shù)主要應(yīng)用于在企事業(yè)單位內(nèi)部使用私網(wǎng)IP地址的所有計(jì)算機(jī)能夠訪問(wèn)互聯(lián)網(wǎng)上服務(wù)器,實(shí)現(xiàn)共享上網(wǎng),并且能隱藏內(nèi)部網(wǎng)絡(luò)的IP地址。在RHEL7系統(tǒng)內(nèi)置的防火墻中的IP偽裝功能就是SNAT技術(shù)具體實(shí)現(xiàn)方式。DNAT技術(shù)則能讓互聯(lián)網(wǎng)中用戶(hù)穿透到企事業(yè)的內(nèi)部網(wǎng)絡(luò),訪問(wèn)使用私網(wǎng)IP地址的服務(wù)器,即無(wú)公網(wǎng)IP的內(nèi)網(wǎng)服務(wù)器發(fā)布到互聯(lián)網(wǎng)(如發(fā)布Web網(wǎng)站和FTP站點(diǎn)等)。任務(wù)7.2.5NAT技術(shù)的概念、分類(lèi)與工作過(guò)程1．NAT任務(wù)7.2.5NAT技術(shù)的概念、分類(lèi)與工作過(guò)程2．NAT服務(wù)器的工作過(guò)程N(yùn)AT服務(wù)器的工作過(guò)程如圖7-3所示。任務(wù)7.2.5NAT技術(shù)的概念、分類(lèi)與工作過(guò)程2．NAT7.3項(xiàng)目實(shí)施任務(wù)7-1主機(jī)名的配置在RHEL7中,引入了靜態(tài)(static)、瞬態(tài)(transient)和靈活(pretty)三種主機(jī)名?！办o態(tài)”主機(jī)名——也稱(chēng)為內(nèi)核主機(jī)名,是系統(tǒng)在啟動(dòng)時(shí)從/etc/hostname自動(dòng)初始化的主機(jī)名?！八矐B(tài)”主機(jī)名——是在系統(tǒng)運(yùn)行時(shí)臨時(shí)分配的主機(jī)名,例如,通過(guò)DHCP或DNS服務(wù)器分配。靜態(tài)主機(jī)名和瞬態(tài)主機(jī)名都遵從作為互聯(lián)網(wǎng)域名同樣的字符限制規(guī)則,“靈活”主機(jī)名——是允許使用自由形式(可包括特殊/空白字符)的主機(jī)名,以展示給終端用戶(hù)(如Tom'sComputer)。7.3項(xiàng)目實(shí)施任務(wù)7-1主機(jī)名的配置選項(xiàng)說(shuō)明如下：status——可同時(shí)查看靜態(tài)、瞬態(tài)和靈活三種主機(jī)名及其相關(guān)的設(shè)置信息。--static——僅查看靜態(tài)(永久)主機(jī)名。--transient——僅查看瞬態(tài)(臨時(shí))主機(jī)名。--pretty——僅查看靈活主機(jī)名。任務(wù)7-1主機(jī)名的配置hostnamectl[status][--static|--transient|--pretty]1.查看主機(jī)名查看主機(jī)名的命令一般格式如下:[root@dyzx~]#hostnamectlstatusStatichostname:Iconname:computer-vmChassis:vmMachineID:ebcaefed3f4d4359a7113ab85ec89629BootID:76f5e89582ff4e62930bfc2f5ee33aa6Virtualization:vmwareOperatingSystem:RedHatEnterpriseLinuxServer7.3(Maipo)CPEOSName:cpe:/o:redhat:enterprise_linux:7.3:GA:serverKernel:Linux3.10.0-514.el7.x86_64Architecture:x86-64選項(xiàng)說(shuō)明如下：任務(wù)7-1主機(jī)名的配置hostnamect查看、修改瞬態(tài)(臨時(shí))主機(jī)名的命令如下:任務(wù)7-1主機(jī)名的配置hostnamectl[--static|--transient|--pretty]set-hostname<新主機(jī)名>2.修改主機(jī)名修改主機(jī)名的命令一般格式如下:[root@dyzx~]#hostnamectl--transient //查看修改前的瞬態(tài)主機(jī)名[root@dyzx~]#hostnamectl--transientset-hostnameserver1 //修改瞬態(tài)主機(jī)名[root@dyzx~]#hostnamectl--transient //查看修改后的瞬態(tài)主機(jī)名server1查看、修改靜態(tài)(永久)主機(jī)名的命令如下:[root@dyzx~]#hostnamectl--static //查看修改前的靜態(tài)主機(jī)名[root@dyzx~]#hostnamectl--staticset-hostname //修改靜態(tài)主機(jī)名[root@dyzx~]#hostnamectl--static //查看修改后的靜態(tài)主機(jī)名查看、修改瞬態(tài)(臨時(shí))主機(jī)名的命令如下:任務(wù)7-1主機(jī)名當(dāng)用hostnamectl命令修改靜態(tài)主機(jī)名后,/etc/hostname文件中保存的主機(jī)名會(huì)被自動(dòng)更新,而/etc/hosts文件中的主機(jī)名卻不會(huì)自動(dòng)更新,因此,在每次修改主機(jī)名后,一定要手工更新/etc/hosts文件,在其中添加新的主機(jī)名與IP地址的映射關(guān)系任務(wù)7-1主機(jī)名的配置[root@dyzx~]#bash //重新開(kāi)啟Shell[root@server2~]#2.修改主機(jī)名查看在設(shè)置新的靜態(tài)主機(jī)名后,會(huì)立即修改內(nèi)核主機(jī)名,只是在提示符中“@”后面的主機(jī)名還未自動(dòng)刷新,此時(shí),只要執(zhí)行重新開(kāi)啟Shell登錄命令,便可在提示符中顯示新的主機(jī)名。[root@server2~]#vim/etc/hosts localhostlocalhost.localdomainlocalhost4localhost4.localdomain4::1 localhostlocalhost.localdomainlocalhost6localhost6.localdomain61 //添加此行,其中1是本機(jī)的IP地址:wq //保存退出當(dāng)用hostnamectl命令修改靜態(tài)主機(jī)名后,/etc/h由上可見(jiàn),在修改靜態(tài)/瞬態(tài)主機(jī)名時(shí),任何特殊字符或空白字符會(huì)被移除,并且大寫(xiě)字母會(huì)自動(dòng)轉(zhuǎn)化為小寫(xiě)字母,而靈活主機(jī)名則保持了原樣,這正是起名為靈活主機(jī)名的緣由。任務(wù)7-1主機(jī)名的配置[root@server2~]#hostnamectlset-hostname"Zhang3'sComputer"[root@server2~]#hostnamectl--static //查看靜態(tài)主機(jī)名zhang3scomputer[root@server2~]#hostnamectl--transient //查看瞬態(tài)主機(jī)名zhang3scomputer[root@server2~]#hostnamectl--pretty //查看靈活主機(jī)名Zhang3'sComputer2.修改主機(jī)名同時(shí)修改靜態(tài)、瞬態(tài)和靈活三種主機(jī)名的命令如下:由上可見(jiàn),在修改靜態(tài)/瞬態(tài)主機(jī)名時(shí),任何特殊字符或空白字符會(huì)任何一臺(tái)計(jì)算機(jī)要連接到網(wǎng)絡(luò),都需要對(duì)該機(jī)的網(wǎng)絡(luò)接口進(jìn)行配置,而對(duì)網(wǎng)絡(luò)接口的配置,實(shí)際上就是在網(wǎng)絡(luò)接口上添加一個(gè)或多個(gè)網(wǎng)絡(luò)連接。添加網(wǎng)絡(luò)連接的方式有兩種：添加臨時(shí)生效的網(wǎng)絡(luò)連接:該方式適合在調(diào)試網(wǎng)絡(luò)時(shí)臨時(shí)使用。這種方式雖然在設(shè)置后能馬上生效,但由于是直接修改目前運(yùn)行內(nèi)核中的網(wǎng)絡(luò)參數(shù),并未改動(dòng)網(wǎng)絡(luò)連接配置文件中的內(nèi)容,因此在系統(tǒng)或網(wǎng)絡(luò)服務(wù)重啟后會(huì)失效。持久生效的網(wǎng)絡(luò)連接配置:此方式是對(duì)存放網(wǎng)絡(luò)連接參數(shù)的配置文件進(jìn)行修改或設(shè)置,適合在長(zhǎng)期穩(wěn)定運(yùn)行的計(jì)算機(jī)上使用。其配置工具有vim、nmtui和nmcli等。任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置任何一臺(tái)計(jì)算機(jī)要連接到網(wǎng)絡(luò),都需要對(duì)該機(jī)的網(wǎng)絡(luò)接口進(jìn)行配置,1．使用ip命令配置臨時(shí)生效的網(wǎng)絡(luò)連接命令用法功能ip[-s]addrshow[網(wǎng)卡設(shè)備名]查看網(wǎng)卡在網(wǎng)絡(luò)層的配置信息,加-s表示增添顯示相關(guān)統(tǒng)計(jì)信息,如接收(RX)及傳送(TX)的數(shù)據(jù)包數(shù)量等ip[-s]linkshow[網(wǎng)卡設(shè)備名]查看網(wǎng)卡在鏈路層的配置信息ip[-4]addradd|delIP地址[/掩碼長(zhǎng)度]dev網(wǎng)卡連接名ip-6addradd|delIP地址[/掩碼長(zhǎng)度]dev網(wǎng)卡連接名添加或刪除網(wǎng)卡的臨時(shí)IPv4地址添加或刪除網(wǎng)卡的臨時(shí)IPv6地址iplinksetdev網(wǎng)卡的設(shè)備名down|up禁用|啟用指定網(wǎng)卡任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置1．使用ip命令配置臨時(shí)生效的網(wǎng)絡(luò)連接命令用法功能ip1．使用ip命令配置臨時(shí)生效的網(wǎng)絡(luò)連接【例7-1】在RHEL7-1主機(jī)上,為網(wǎng)卡ens33臨時(shí)添加一個(gè)IP地址1/24,并查看其配置結(jié)果。在重啟網(wǎng)卡后再次查看配置的結(jié)果。操作的命令如下:任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置[root@RHEL7-1~]#ipaddrshowens33//查看接口ens33當(dāng)前的IP地址和子網(wǎng)掩碼2:ens33:<BROADCAST,MULTICAST,UP,LOWER_UP>mtu1500qdiscpfifo_faststate?UPqlen1000

?link/ether00:0c:29:3d:b8:92brdff:ff:ff:ff:ff:ff

?inet1/24?brd55scopeglobalens33valid_lftforeverpreferred_lftforever

?inet6fe80::1671:5718:ea13:ef42/64scopelinkvalid_lftforeverpreferred_lftforever?已啟用的活動(dòng)接口的狀態(tài)為UP,禁用接口的狀態(tài)為DOWN。?link行指定網(wǎng)卡設(shè)備的硬件(MAC)地址。?inet行顯示IPv4地址和網(wǎng)絡(luò)前綴(子網(wǎng)掩碼)。?廣播地址、作用域和網(wǎng)卡設(shè)備的名稱(chēng)。?inet6行顯示IPv6信息。1．使用ip命令配置臨時(shí)生效的網(wǎng)絡(luò)連接任務(wù)7-2網(wǎng)絡(luò)接1．使用ip命令配置臨時(shí)生效的網(wǎng)絡(luò)連接任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置[root@RHEL7-1~]#ipaddradd6/24devens33 //在接口ens33上添加臨時(shí)IP地址

[root@RHEL7-1~]#ipaddrshowens332:ens33:<BROADCAST,MULTICAST,UP,LOWER_UP>mtu1500qdiscpfifo_faststateUPqlen1000link/ether00:0c:29:3d:b8:92brdff:ff:ff:ff:ff:ffinet1/24brd55scopeglobalens33valid_lftforeverpreferred_lftforeverinet6/24scopeglobalens33valid_lftforeverpreferred_lftforeverinet6fe80::1671:5718:ea13:ef42/64scopelinkvalid_lftforeverpreferred_lftforever[root@RHEL7-1~]#iplinksetdevens33down[root@RHEL7-1~]#iplinksetdevens33up

[root@RHEL7-1~]#ipaddrshow //顯示所有網(wǎng)絡(luò)接口的當(dāng)前IP地址和子網(wǎng)掩碼//省略顯示結(jié)果1．使用ip命令配置臨時(shí)生效的網(wǎng)絡(luò)連接任務(wù)7-2網(wǎng)絡(luò)接2．用vim直接編輯持久生效的網(wǎng)卡配置文件【例7-2】在RHEL7-1主機(jī)上,通過(guò)編輯網(wǎng)絡(luò)連接配置文件為網(wǎng)卡ens33配置網(wǎng)絡(luò)參數(shù)。其配置方法如下:任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置[root@RHEL7-1~]#vim/etc/sysconfig/network-scripts/ifcfg-ens33TYPE=Ethernet //指定網(wǎng)絡(luò)類(lèi)型為以太網(wǎng)模式BOOTPROTO=none //指定啟動(dòng)地址協(xié)議的獲取方式(dhcp或bootp為自動(dòng)獲取,none //為放棄自動(dòng)獲取,一般用于網(wǎng)卡綁定時(shí),static為靜態(tài)指定IPDEFROUTE=yes //是否把這個(gè)ens38設(shè)置為默認(rèn)路由IPV4_FAILURE_FATAL=no //如果IPv4配置失敗,設(shè)備是否被禁用IPV6INIT=yes //允許在該網(wǎng)卡上啟動(dòng)IPV6的功能IPV6_AUTOCONF=yes //是否使用IPV6地址的自動(dòng)配置IPV6_DEFROUTE=yesIPV6_FAILURE_FATAL=noIPV6_ADDR_GEN_MODE=stable-privacyNAME=ens33 //網(wǎng)絡(luò)連接標(biāo)識(shí)名UUID=00decbce-3c43-47f1-82a6-627cbd80188f //網(wǎng)卡全球通用唯一識(shí)別碼DEVICE=ens33 //網(wǎng)卡設(shè)備名ONBOOT=yes //設(shè)置系統(tǒng)或網(wǎng)絡(luò)服務(wù)在啟動(dòng)時(shí)是否啟動(dòng)該接口IPADDR=1 //設(shè)置IP地址PREFIX=24 //設(shè)置子網(wǎng)掩碼GATEWAY=54 //設(shè)置網(wǎng)關(guān)DNS1= //設(shè)置DNS的IP地址IPV6_PEERDNS=yesIPV6_PEERROUTES=yesHWADDR=00:0C:29:C7:FE:8A //網(wǎng)卡的物理地址(也稱(chēng)網(wǎng)卡號(hào))[root@dyzxnetwork-scripts]#systemctlrestartnetwork.service //重啟網(wǎng)絡(luò)服務(wù),使配置生效2．用vim直接編輯持久生效的網(wǎng)卡配置文件任務(wù)7-2網(wǎng)3．用nmtui工具修改網(wǎng)卡配置文件【例7-3】使用nmtui工具,為RHEL7-1主機(jī)的第二塊網(wǎng)卡ens38配置網(wǎng)絡(luò)參數(shù)。其配置步驟如下:步驟1:檢查nmtui工具相應(yīng)的服務(wù)是否啟用。RHEL7默認(rèn)已安裝,并已開(kāi)啟了相應(yīng)的服務(wù)(NetworkManager.service)。若nmtui工具的安裝包已卸載可用以下命令進(jìn)行安裝、啟用并檢查啟用狀態(tài)。[root@RHEL7-1~]#yuminstallNetworkManager-tui[root@RHEL7-1~]#systemctlstartNetworkManager.service[root@RHEL7-1~]#systemctlstatusNetworkManager.service步驟2:在命令行執(zhí)行以下命令:[root@rhel7-1~]#nmtui步驟3:在打開(kāi)的【NetworkManag】窗口中按圖7-4所示完成操作。任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置3．用nmtui工具修改網(wǎng)卡配置文件[root@RHEL73．用nmtui工具修改網(wǎng)卡配置文件步驟4:系統(tǒng)返回【以太網(wǎng)】窗口,按【Tab】鍵將焦點(diǎn)移至【<Back>】→按【Enter】鍵→在返回的【NetworkManag】窗口中使用光標(biāo)下移鍵將焦點(diǎn)移至【退出】選項(xiàng)→按【Enter】鍵后系統(tǒng)退出nmtui工具。步驟5:在命令行下,執(zhí)行重啟網(wǎng)絡(luò)服務(wù)命令,使配置生效。[root@RHEL7-1]#systemctlrestartnetwork.service任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置3．用nmtui工具修改網(wǎng)卡配置文件步驟4:系統(tǒng)返回【以太網(wǎng)4.使用nmcli命令配置網(wǎng)絡(luò)連接命令用法功能nmclidevstatus顯示所有網(wǎng)卡設(shè)備的狀態(tài)nmcliconshow[-active][網(wǎng)絡(luò)連接名]顯示所有或活動(dòng)的或指定的網(wǎng)絡(luò)連接nmcliconaddcon-name網(wǎng)絡(luò)連接名typeethernetifname網(wǎng)絡(luò)接口名稱(chēng)[ip4ip地址/前綴gw4默認(rèn)網(wǎng)關(guān)]為指定的網(wǎng)卡設(shè)備添加網(wǎng)絡(luò)連接,并以“ifcfg-連接名”名稱(chēng)保存其配置文件nmcliconmod網(wǎng)絡(luò)連接名ipv4.add“ip地址/前綴

默認(rèn)網(wǎng)關(guān)”修改并保存指定網(wǎng)絡(luò)連接中的IP地址和網(wǎng)關(guān)nmcliconup網(wǎng)絡(luò)連接名將綁定到網(wǎng)絡(luò)接口上指定的網(wǎng)絡(luò)連接激活nmclidevdis網(wǎng)絡(luò)連接名將綁定到網(wǎng)絡(luò)接口上指定的網(wǎng)絡(luò)連接關(guān)閉nmclicondel網(wǎng)絡(luò)連接名刪除指定的網(wǎng)絡(luò)連接及其配置文件nmcliconreload重新讀取網(wǎng)絡(luò)連接配置文件,使其修改生效任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置4.使用nmcli命令配置網(wǎng)絡(luò)連接命令用法功能nmcli【例7-4】使用nmcli命令完成以下系列操作：①查看當(dāng)前主機(jī)中所有網(wǎng)卡設(shè)備的狀態(tài)信息。任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置[root@rhel7-1~]#nmclidevstatus設(shè)備

類(lèi)型

狀態(tài) CONNECTIONEns33 ethernet 連接的 ens33Ens38 ethernet 已斷開(kāi) --Lo loopback 未管理 --②查看網(wǎng)絡(luò)連接的信息。[root@RHEL7-1~]#nmcliconshow //查看所有網(wǎng)絡(luò)連接

名稱(chēng) UUID 類(lèi)型

設(shè)備Ens33 0243e05a-81f0-4671-93e0-55a4be1dcdbe 802-3-ethernet ens33Ens38 e3e26e34-e13c-48d2-bb51-d19caaeb0d15 802-3-ethernet --[root@RHEL7-1~]#nmcliconshowens33 //查看指定網(wǎng)絡(luò)連接的詳細(xì)信息connection.id: ens33connection.uuid: 0243e05a-81f0-4671-93e0-55a4be1dcdbeconnection.stable-id: --erface-name:ens33connection.type: 802-3-ethernet//省略若干行【例7-4】使用nmcli命令完成以下系列操作：任務(wù)7-2任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置③在ens33設(shè)備上添加網(wǎng)絡(luò)連接名為ens33-1的新連接。[root@RHEL7-1~]#nmcliconaddcon-nameens33-1ifnameens33typeethernetip4/24gw454成功添加的連接'ens33-1'(b926e70b-07c6-4934-b020-9f95a1777f4e)。[root@RHEL7-1~]#nmcliconshow名稱(chēng) UUID 類(lèi)型

設(shè)備Ens33 0243e05a-81f0-4671-93e0-55a4be1dcdbe 802-3-ethernet ens33Ens38 e3e26e34-e13c-48d2-bb51-d19caaeb0d15 802-3-ethernet --ens33-1 b926e70b-07c6-4934-b020-9f95a1777f4e 802-3-ethernet --④修改ens33-1網(wǎng)絡(luò)連接在其中添加首選DNS的IP地址和輔助DNS的IP地址[root@RHEL7-1~]#nmcliconmodifyens33-1ipv4.dns[root@RHEL7-1~]#nmcliconmodifyens33-1+ipv4.dns⑤修改ens33網(wǎng)絡(luò)連接,使得開(kāi)機(jī)時(shí)能自動(dòng)啟動(dòng),并將IP地址/前綴修改為21/24。[root@RHEL7-1~]#nmcliconmodiens33autoconnectyesipv4.add21/24[root@RHEL7-1~]#nmcliconupens33 //激活連接使修改后的配置立即生效⑥刪除網(wǎng)絡(luò)連接ens33-1及其配置文件。[root@RHEL7-1~]#nmcliconnectiondeleteens33-1任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置③在ens33設(shè)備上添5.為L(zhǎng)inux主機(jī)指派域名解析(1)通過(guò)/etc/hosts文件實(shí)現(xiàn)域名解析【例7-5】添加主機(jī)名與IP地址7的對(duì)應(yīng)記錄。[root@RHEL7-1~]#vim/etc/hostslocalhostlocalhost.localdomainlocalhost4localhost4.localdomain4::1localhostlocalhost.localdomainlocalhost6localhost6.localdomain6 RHEL7-1.7

任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置(2)通過(guò)/etc/resolv.conf文件指派域名解析服務(wù)的地址【例7-6】為當(dāng)前主機(jī)設(shè)置如下DNS主機(jī)地址:0、。[root@RHEL7-1~]#vim/etc/resolv.conf#GeneratedbyNetworkManagernameserver0nameserver5.為L(zhǎng)inux主機(jī)指派域名解析[root@RHEL7-1~5.為L(zhǎng)inux主機(jī)指派域名解析(3)指定域名解析的順序/etc/hosts和/etc/resolv.conf文件均可響應(yīng)域名解析的請(qǐng)求,其響應(yīng)的先后順序可在文件/etc/nsswitch.conf中設(shè)置,其默認(rèn)解析順序?yàn)閔osts文件、resolv.conf文件中的DNS服務(wù)器。[root@RHEL7-1~]#grephosts/etc/nsswitch.conf#hosts:dbfilesnisplusnisdnshosts:filesdns //其中的files代表用hosts文件來(lái)進(jìn)行名稱(chēng)解析任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置5.為L(zhǎng)inux主機(jī)指派域名解析[root@RHEL7-1~任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置6．測(cè)試網(wǎng)絡(luò)的連通性(1)使用ping命令測(cè)試網(wǎng)絡(luò)的連通性命令一般格式為:ping[選項(xiàng)]<目標(biāo)主機(jī)名或IP地址>常用選項(xiàng):-c數(shù)字——用于設(shè)定本命令發(fā)出的ICMP消息包的數(shù)量,若無(wú)此選項(xiàng),則會(huì)無(wú)限次發(fā)送消息包直到用戶(hù)按下【Ctrl+C】組合鍵才終止命令。-s字節(jié)數(shù)——設(shè)置ping命令發(fā)出的消息包的大小,默認(rèn)發(fā)送的測(cè)試數(shù)據(jù)大小為56字節(jié);自動(dòng)添加8字節(jié)的ICMP協(xié)議頭后,顯示的是64字節(jié);再添加20字節(jié)的IP協(xié)議頭,則顯示的為84字節(jié)。最大設(shè)置值為65507B。-i時(shí)間間隔量——設(shè)定前后兩次發(fā)送ICMP消息包之間的時(shí)間間隔,無(wú)此選項(xiàng)時(shí),默認(rèn)時(shí)間間隔為1秒。為了保障本機(jī)和目標(biāo)主機(jī)的安全,一般不要小于0.2秒。-t——設(shè)置存活時(shí)間TTL(TimeToLive)?！纠?-7】使用ping命令,向百度網(wǎng)站()發(fā)送三個(gè)測(cè)試數(shù)據(jù)包。[root@RHEL7-1~]#ping-c3任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置6．測(cè)試網(wǎng)絡(luò)的連通性p任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置6．測(cè)試網(wǎng)絡(luò)的連通性(2)使用tracepath命令跟蹤并顯示網(wǎng)絡(luò)路徑命令一般格式為:tracepath[選項(xiàng)]<目標(biāo)主機(jī)名或目標(biāo)IP地址>常用選項(xiàng):-n——對(duì)沿途各主機(jī)節(jié)點(diǎn),僅僅獲取并輸出IP地址,不在每個(gè)IP地址的節(jié)點(diǎn)設(shè)備上通過(guò)DNS查找其主機(jī)名,以此來(lái)加快測(cè)試速度。-b——對(duì)沿途各主機(jī)節(jié)點(diǎn)同時(shí)顯示IP地址和主機(jī)名。-l包長(zhǎng)度——設(shè)置初始的數(shù)據(jù)包的大小。-p端口號(hào)——設(shè)置UDP傳輸協(xié)議的端口(缺省為33434)?！纠?-8】跟蹤從本主機(jī)到目標(biāo)主機(jī)(如)的路由途徑。[root@RHEL7-1~]#tracepath1?:[LOCALHOST]pmtu15001:noreply2:2.957ms……//省略若干行Resume:pmtu1500hops10back10任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置6．測(cè)試網(wǎng)絡(luò)的連通性t本任務(wù)針對(duì)圖7-5中(具有3個(gè)子網(wǎng))各主機(jī)及其網(wǎng)卡(網(wǎng)卡1～網(wǎng)卡6)進(jìn)行配置,使得主機(jī)PC1與主機(jī)PC2之間的鏈路能雙向連通。其配置步驟如下:步驟1:按任務(wù)7-2中介紹的方法,依據(jù)圖7-5標(biāo)示的IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等參數(shù)配置各網(wǎng)卡。任務(wù)7-3

架設(shè)軟路由器實(shí)現(xiàn)多子網(wǎng)連通本任務(wù)針對(duì)圖7-5中(具有3個(gè)子網(wǎng))各主機(jī)及其網(wǎng)卡(網(wǎng)卡1～步驟2:在RHEL7-1和RHEL7-2兩臺(tái)主機(jī)上開(kāi)啟IP轉(zhuǎn)發(fā)功能,以使各主機(jī)中的網(wǎng)卡不僅能收發(fā)數(shù)據(jù)包還能轉(zhuǎn)發(fā)數(shù)據(jù)包。在RHEL7-1主機(jī)上開(kāi)啟IP轉(zhuǎn)發(fā)功能的過(guò)程如下(RHEL7-2上的操作方式相同):[root@RHEL7-1~]#vim/usr/lib/sysctl.d/00-system.conf…… //省略若干行net.ipv4.ip_forward=1 //添加此行或?qū)⒋诵兄械摹?”改為“1”:wq //保存退出[root@RHEL7-1~]#sysctl-p/usr/lib/sysctl.d/00-system.conf //使修改生效(系統(tǒng)會(huì)顯示配置參數(shù))任務(wù)7-3

架設(shè)軟路由器實(shí)現(xiàn)多子網(wǎng)連通步驟3:為了實(shí)現(xiàn)子網(wǎng)1與子網(wǎng)3之間永久生效的雙向連通,需要在路由器RHEL7-1的ens38網(wǎng)卡上和RHEL7-2的ens33網(wǎng)卡上分別添加永久生效的靜態(tài)路由記錄:[root@RHEL7-1~]#vim/etc/sysconfig/network-scripts/route-ens38/24viadevens38 //添加從子網(wǎng)1到子網(wǎng)3的路由[root@RHEL7-1~]#systemctlrestartnetwork //重啟網(wǎng)絡(luò)服務(wù)使配置生效[root@RHEL7-2~]#vim/etc/sysconfig/network-scripts/route-ens33/24viadevens33 //添加從子網(wǎng)3到子網(wǎng)1的路由[root@RHEL7-2~]#systemctlrestartnetwork //重啟網(wǎng)絡(luò)服務(wù)使配置生效[root@RHEL7-2~]#iprouteshow //查看RHEL7-2上的路由表信息/24viadevens33protostaticmetric100/24devens33protokernelscopelinksrcmetric100/24devens38protokernelscopelinksrcmetric100步驟2:在RHEL7-1和RHEL7-2兩臺(tái)主機(jī)上開(kāi)啟IP轉(zhuǎn)步驟4:在PC1上添加永久生效的能到達(dá)子網(wǎng)2(/24)和子網(wǎng)3(/24)的靜態(tài)路由,在PC2上添加永久生效的能到達(dá)其他子網(wǎng)的默認(rèn)路由,如圖7-6所示。命令功能Linux系統(tǒng)中的命令格式Windows系統(tǒng)中的命令格式顯示路由表iprouteshowrouteprint[-4|-6]添加或刪除iprouteadd|del目標(biāo)地址/子網(wǎng)掩碼via網(wǎng)關(guān)route[-p]add|delete目標(biāo)地址mask掩碼網(wǎng)關(guān)metric躍點(diǎn)數(shù)添加或刪除默認(rèn)路由iprouteadd|deldefaultvia網(wǎng)關(guān)dev網(wǎng)絡(luò)接口route[-p]add|deletemask掩碼網(wǎng)關(guān)metric躍點(diǎn)數(shù)(-p表示添加或刪除保存到注冊(cè)表中的永久路由記錄)任務(wù)7-3

架設(shè)軟路由器實(shí)現(xiàn)多子網(wǎng)連通步驟4:在PC1上添加永久生效的能到達(dá)子網(wǎng)2(192.168步驟5:驗(yàn)證連通性。在PC1和PC2主機(jī)上關(guān)閉各自的防火墻→使用ping命令''ping"對(duì)方的IP地址來(lái)測(cè)試連通性.如圖7-7所示→使用tracert命令跟蹤并顯示所經(jīng)過(guò)的路徑,如圖7-8所示。任務(wù)7-3

架設(shè)軟路由器實(shí)現(xiàn)多子網(wǎng)連通步驟5:驗(yàn)證連通性。在PC1和PC2主機(jī)上關(guān)閉各自的防火墻→1．安裝firewalld軟件包任務(wù)7-4

firewalld防火墻的安裝與運(yùn)行管理[root@RHEL7-1~]#rpm-qa|grepfirewall[root@RHEL7-1~]#yum-yinstallfirewalldfirewall-config2．firewall服務(wù)的運(yùn)行管理ss-nutap|grepfirewalld(1)firewalld防火墻的狀態(tài)查看、啟動(dòng)、停止、重啟、重載服務(wù)的命令格式為:systemctlstatus|start|stop|restart|reloadfirewalld.service(2)開(kāi)機(jī)自動(dòng)啟動(dòng)或停止firewalld服務(wù)的命令格式為:systemctlenable|disablefirewalld.service(3)檢查firewalld進(jìn)程ps-ef|grepfirewalld(4)查看firewalld運(yùn)行的端口1．安裝firewalld軟件包任務(wù)7-4firewa1.認(rèn)識(shí)firewall-config的工作界面任務(wù)7-5使用圖形工具firewall-config配置防火墻1.認(rèn)識(shí)firewall-config的工作界面任務(wù)7-51.認(rèn)識(shí)firewall-config的工作界面任務(wù)7-5使用圖形工具firewall-config配置防火墻標(biāo)簽名稱(chēng)標(biāo)簽的設(shè)置功能服務(wù)定義哪些區(qū)域的服務(wù)是可信的。可信的服務(wù)可以綁定該區(qū)的任意連接、接口和源地址。端口用于添加并設(shè)置允許訪問(wèn)的主機(jī)或者網(wǎng)絡(luò)的附加端口或端口范圍。協(xié)議用于添加所有主機(jī)或網(wǎng)絡(luò)均可訪問(wèn)的協(xié)議源端口添加額外的源端口或范圍,它們對(duì)于所有可連接至這臺(tái)主機(jī)的所有主機(jī)或網(wǎng)絡(luò)都需要是可以訪問(wèn)的。偽裝將本地的私有網(wǎng)絡(luò)的多個(gè)IP地址進(jìn)行隱藏并映射到一個(gè)公網(wǎng)IP,偽裝功能目前只能適用于ipv4。端口轉(zhuǎn)發(fā)將本地系統(tǒng)的(源)端口映射為本地系統(tǒng)或其他系統(tǒng)的另一個(gè)(目標(biāo))端口,此功能只適應(yīng)于IPv4ICMP過(guò)濾器可以選擇Internet控制報(bào)文協(xié)議的報(bào)文。這些報(bào)文可以是信息請(qǐng)求亦可是對(duì)信息請(qǐng)求或錯(cuò)誤條件創(chuàng)建的響應(yīng)富規(guī)則用于同時(shí)基于服務(wù)、主機(jī)地址、端口號(hào)等多種因素,進(jìn)行更詳細(xì)、更復(fù)雜的規(guī)則設(shè)置,優(yōu)先級(jí)最高。接口用于為所選區(qū)域綁定相應(yīng)的網(wǎng)絡(luò)接口(即網(wǎng)卡)來(lái)源用于為所選區(qū)域添加來(lái)源地址或地址范圍1.認(rèn)識(shí)firewall-config的工作界面任務(wù)7-52.firewall-config的使用【例7-9】允許其他主機(jī)訪問(wèn)本機(jī)的http服務(wù),僅當(dāng)前生效。任務(wù)7-5使用圖形工具firewall-config配置防火墻2.firewall-config的使用任務(wù)7-5使用圖2.firewall-config的使用【例7-10】開(kāi)放本機(jī)的8080-8088端口且重啟后依然生效。任務(wù)7-5使用圖形工具firewall-config配置防火墻2.firewall-config的使用任務(wù)7-5使用圖2.firewall-config的使用【例7-11】過(guò)濾“echo-reply”的ICMP協(xié)議報(bào)文數(shù)據(jù)包,僅當(dāng)前生效。任務(wù)7-5使用圖形工具firewall-config配置防火墻2.firewall-config的使用任務(wù)7-5使用圖2.firewall-config的使用【例7-12】?jī)H允許8主機(jī)訪問(wèn)本機(jī)()的1520端口,當(dāng)前生效。任務(wù)7-5使用圖形工具firewall-config配置防火墻2.firewall-config的使用任務(wù)7-5使用圖2.firewall-config的使用【例7-13】將本機(jī)的網(wǎng)絡(luò)接口ens38添加到dmz區(qū)域,僅運(yùn)行時(shí)生效。任務(wù)7-5使用圖形工具firewall-config配置防火墻2.firewall-config的使用任務(wù)7-5使用圖firewall-cmd命令一般格式為:任務(wù)7-6

使用命令行工具firewall-cmd配置防火墻firewall-cmd參數(shù)1[參數(shù)2][參數(shù)3]……參數(shù)作用--state查詢(xún)當(dāng)前防火墻狀態(tài)--panic-on拒絕所有包。--permanent永久生效的設(shè)置。永久選項(xiàng)不直接影響運(yùn)行時(shí)的狀態(tài),僅在重載或者重啟服務(wù)時(shí)可用--reload重新加載“永久”生效的配置規(guī)則,使其立即生效,否則要重啟后才生效--zone=<區(qū)域名稱(chēng)>指定區(qū)域,若未指定區(qū)域則為當(dāng)前默認(rèn)區(qū)域--get-service查看當(dāng)前激活services.取得當(dāng)前支持service--get-active-zones查看當(dāng)前活動(dòng)區(qū)域(已經(jīng)有網(wǎng)絡(luò)接口連接的區(qū)域)--get-service--permanent查看當(dāng)前服務(wù)配置是否生啟后還是生效--get-default-zone查詢(xún)當(dāng)前默認(rèn)的區(qū)域--set-default-zone=<區(qū)域名稱(chēng)>將指定區(qū)域設(shè)置為默認(rèn)區(qū)域,。此命令會(huì)改變運(yùn)行時(shí)配置和永久配置--list-ports查看默認(rèn)區(qū)域或指定區(qū)域的端口--list-services查看所有允許的服務(wù)--list-all[--zone=<區(qū)域名>]顯示指定區(qū)域全部啟用的特性。若省略區(qū)域,將顯示默認(rèn)區(qū)域的信息--list-all-zones顯示所有區(qū)域的特性(網(wǎng)卡配置參數(shù),資源,端口以及服務(wù)等信息。--get-zones顯示所有可用的區(qū)域。列出當(dāng)前有幾個(gè)zone--get-services顯示預(yù)先定義的服務(wù)--get-active-zones顯示當(dāng)前正在使用(被網(wǎng)卡或源關(guān)聯(lián))的所有區(qū)域--add-source=將來(lái)源于此IP或子網(wǎng)的流量導(dǎo)向指定的區(qū)域--remove-source=不再將此IP或子網(wǎng)的流量導(dǎo)向某個(gè)指定區(qū)域firewall-cmd命令一般格式為:任務(wù)7-6使用命任務(wù)7-6

使用命令行工具firewall-cmd配置防火墻參數(shù)作用--get-active-zones顯示當(dāng)前正在使用(被網(wǎng)卡或源關(guān)聯(lián))的所有區(qū)域--add-source=將來(lái)源于此IP或子網(wǎng)的流量導(dǎo)向指定的區(qū)域--remove-source=不再將此IP或子網(wǎng)的流量導(dǎo)向某個(gè)指定區(qū)域--add-interface=<網(wǎng)卡名稱(chēng)>將來(lái)自于該網(wǎng)卡的所有流量都導(dǎo)向某個(gè)指定區(qū)域--change-interface=<網(wǎng)卡名稱(chēng)>將指定的網(wǎng)卡接口修改到指定的區(qū)域,即將接口添加到選定的區(qū)域--remove-interface=<網(wǎng)卡名稱(chēng)>從區(qū)域中刪除一個(gè)接口--query-interface=<網(wǎng)卡名稱(chēng)>查詢(xún)區(qū)域中是否包含某接口--add-service=<服務(wù)名>設(shè)置默認(rèn)區(qū)域或指定區(qū)域允許該服務(wù)的流量(添加開(kāi)放的服務(wù))--remove-service=<服務(wù)名>禁用區(qū)域中的指定服務(wù)--query-service=<服務(wù)名>查詢(xún)區(qū)域中的服務(wù)是否啟用--add-port=<端口號(hào)>[-<端口號(hào)>]/協(xié)議>啟用區(qū)域中的一個(gè)端口-協(xié)議組合--remove-port=<端口號(hào)>[-<端口號(hào)>]/協(xié)議>禁用區(qū)域中的一個(gè)端口-協(xié)議組合--query-port=<端口號(hào)>[-<端口號(hào)>]/協(xié)議>查詢(xún)區(qū)域中的端口-協(xié)議組合是否啟用[--zone=<zone>]--add-masquerade啟用偽裝。私有網(wǎng)絡(luò)的地址將被隱藏并映射到一個(gè)公有IP。這是地址轉(zhuǎn)換的一種形式,常用于路由。由于內(nèi)核的限制,偽裝功能僅可用于IPv4[--zone=<zone>]--remove-masquerade禁止區(qū)域中的偽裝的狀態(tài)[--zone=<zone>]--query-masquerade查詢(xún)區(qū)域中的偽裝的狀態(tài)[--zone=<zone>]--add-forward-port=port=<port>[-<port>]:proto=<protocol>{:toport=<port>[-<port>]|:toaddr=<address>|:toport=<port>[-<port>]:toaddr=<address>}在指定區(qū)域或默認(rèn)區(qū)域中啟用端口轉(zhuǎn)發(fā)或映射--panic-on|off啟動(dòng)/關(guān)閉應(yīng)急狀況模式,應(yīng)急狀況模式啟動(dòng)后會(huì)禁止所有的網(wǎng)絡(luò)連接,一切服務(wù)的請(qǐng)求也都會(huì)被拒絕任務(wù)7-6使用命令行工具firewall-cmd配置防火【例7-14】假設(shè)在內(nèi)網(wǎng)架設(shè)了一臺(tái)Web服務(wù)器,IP地址是,端口是80,設(shè)置內(nèi)網(wǎng)網(wǎng)段/24中的主機(jī)均可以訪問(wèn)此Web服務(wù)器,如圖7-16所示。步驟1:按圖7-16所示配置各主機(jī)和網(wǎng)卡參數(shù)→在RHEL7-2主機(jī)上重啟Firewalld防火墻→查看當(dāng)前防火墻的配置。[root@RHEL7-2~]#systemctlrestartfirewalld.service[root@RHEL7-2~]#firewall-cmd--list-all任務(wù)7-6

使用命令行工具firewall-cmd配置防火墻【例7-14】假設(shè)在內(nèi)網(wǎng)架設(shè)了一臺(tái)Web服務(wù)器,IP地址是1步驟2:查看當(dāng)前的默認(rèn)區(qū)域→查詢(xún)ens33網(wǎng)卡所屬的區(qū)域→設(shè)置默認(rèn)區(qū)域?yàn)閐mz→將ens33網(wǎng)卡永久移至dmz區(qū)域→重新載入防火墻設(shè)置使上述設(shè)置立即生效[root@RHEL7-2~]#firewall-cmd--get-default-zonepublic[root@RHEL7-2~]#firewall-cmd--get-zone-of-interface=ens33public[root@RHEL7-2~]#firewall-cmd--set-default-zone=dmz[root@RHEL7-2~]#firewall-cmd--permanent--zone=dmz--change-interface=ens33[root@RHEL7-2~]#firewall-cmd--reload步驟3:安裝httpd服務(wù)軟件包→啟用httpd服務(wù)→創(chuàng)建網(wǎng)站的測(cè)試首頁(yè)。[root@RHEL7-2~]#yum-yinstallhttpd[root@RHEL7-2~]#systemctlstarthttpd.service[root@RHEL7-2~]#echo"防火墻配置測(cè)試">/var/www/html/index.html任務(wù)7-6

使用命令行工具firewall-cmd配置防火墻步驟2:查看當(dāng)前的默認(rèn)區(qū)域→查詢(xún)ens33網(wǎng)卡所屬的區(qū)域→設(shè)步驟4:測(cè)試:在本機(jī)可成功訪問(wèn)網(wǎng)站→在網(wǎng)段/24中的其他主機(jī)上訪問(wèn)失敗。[root@RHEL7-2~]#curl防火墻配置測(cè)試 //在本機(jī)RHEL7-2上訪問(wèn)成功[root@RHEL7-1~]#curlcurl:(7)Failedconnectto:80;沒(méi)有到主機(jī)的路由//在其他主機(jī)RHEL7-1上訪問(wèn)失敗步驟5:在dmz區(qū)域允許http服務(wù)流量通過(guò),要求立即生效且永久有效。[root@RHEL7-2~]#firewall-cmd--permanent--zone=dmz--add-service=http[root@RHEL7-2~]#firewall-cmd--reload步驟6:在網(wǎng)段/24的其他主機(jī)上再次訪問(wèn)網(wǎng)站便可成功。[root@RHEL7-1~]#curl防火墻配置測(cè)試任務(wù)7-6

使用命令行工具firewall-cmd配置防火墻步驟4:測(cè)試:在本機(jī)可成功訪問(wèn)網(wǎng)站→在網(wǎng)段192.168.1【例7-15】為了安全起見(jiàn),將【例7-14】中的Web服務(wù)器工作在8080端口,現(xiàn)要求通過(guò)端口轉(zhuǎn)換,讓用戶(hù)能通過(guò)“”的地址格式訪問(wèn)。步驟1:配置httpd服務(wù),使其工作在8080端口→重啟httpd服務(wù)。[root@RHEL7-2~]#vim/etc/httpd/conf/httpd.conf…… //省略若干行Listen8080 //42行:將httpd監(jiān)聽(tīng)端口修改為8080…… //省略若干行:wq //保存退出[root@RHEL7-2~]#systemctlrestarthttpd.service步驟2:允許8080與8088端口流量通過(guò)dmz區(qū)域,立即生效且永久生效;查看對(duì)端口的操作是否成功。[root@RHEL7-2~]#firewall-cmd--permanent--zone=dmz--add-port=8080-8088/tcp[root@RHEL7-2~]#firewall-cmd--reload[root@RHEL7-2~]#firewall-cmd--zone=dmz--list-ports8080-8088/tcp[root@RHEL7-2~]#firewall-cmd--permanent--zone=dmz--list-ports8080-8088/tcp任務(wù)7-6

使用命令行工具firewall-cmd配置防火墻【例7-15】為了安全起見(jiàn),將【例7-14】中的Web服務(wù)器步驟3:初步測(cè)試。在本機(jī)和其他主機(jī)上使用“:8080”格式訪問(wèn)均能成功,而使用“”格式訪問(wèn)均失敗。[root@RHEL7-1~]#curl:8080防火墻配置測(cè)試[root@RHEL7-2~]#curl:8080防火墻配置測(cè)試[root@RHEL7-2~]#curlcurl:(7)Failedconnectto:80;拒絕連接步驟4:添加一條永久生效的富規(guī)則,把從/24網(wǎng)段進(jìn)入的數(shù)據(jù)流的目標(biāo)80端口轉(zhuǎn)換為8080端口→讓以上配置立即生效→查看dmz區(qū)域的配置結(jié)果。[root@RHEL7-2~]#firewall-cmd--permanent--zone=dmz--add-rich-rule="rulefamily=ipv4sourceaddress=/24forward-portport=80protocol=tcpto-port=8080"[root@RHEL7-2~]#firewall-cmd--reload[root@RHEL7-2~]#firewall-cmd--list-allzone=dmz任務(wù)7-6

使用命令行工具firewall-cmd配置防火墻步驟3:初步測(cè)試。在本機(jī)和其他主機(jī)上使用“http://19步驟5:添加一條富規(guī)則,拒絕/24網(wǎng)段的用戶(hù)訪問(wèn)http服務(wù)。[root@RHEL7-2~]#firewall-cmd--permanent--zone=dmz--add-rich-rule="rulefamily=ipv4sourceaddress=/24servicename=httprejectsuccess步驟6:測(cè)試。在網(wǎng)段/24的某臺(tái)主機(jī)中,在打開(kāi)的瀏覽器的地址欄中輸入“/”,若能成功訪問(wèn),則表明防火墻成功地將80端口轉(zhuǎn)換到了8080端口,如圖7-17所示。。任務(wù)7-6

使