Linux操作系統(tǒng)18-高級(jí)網(wǎng)絡(luò).ppt

Acegene IT Co. Ltd.,1,Linux操作系統(tǒng) 網(wǎng)絡(luò)管理,周炯 上海艾基信息技術(shù)有限公司,Acegene IT Co. Ltd.,2,內(nèi)容簡(jiǎn)介,1 C/S模型 2 路由管理 3 ppp 配置 4 VPN,Acegene IT Co. Ltd.,3,1 C/S模型,C/S介紹 守護(hù)進(jìn)程xinetd RPC,Acegene IT Co. Ltd.,4,1 xinetd守護(hù)進(jìn)程,xinetd(eXtended InterNET services daemon)提供類(lèi)似于inetd+tcp_wrapper的功能，但是更加強(qiáng)大和安全。它能提供以下特色： * 支持對(duì)tcp、ucp、RPC服務(wù)(但是當(dāng)前對(duì)RPC的支持不夠穩(wěn)定) * 基于時(shí)間段的訪問(wèn)控制 * 功能完備的log功能，即可以記錄連接成功也可以記錄連接失敗的行為 * 能有效的防止DoS攻擊(Denial of Services) * 能限制同時(shí)運(yùn)行的同意類(lèi)型的服務(wù)器數(shù)目 * 能限制啟動(dòng)的所有服務(wù)器數(shù)目 * 能限制log文件大小 * 將某個(gè)服務(wù)綁定在特定的系統(tǒng)接口上，從而能實(shí)現(xiàn)只允許私有網(wǎng)絡(luò)訪問(wèn)某項(xiàng)服務(wù) * 能實(shí)現(xiàn)作為其他系統(tǒng)的代理。如果和ip偽裝結(jié)合可以實(shí)現(xiàn)對(duì)內(nèi)部私有網(wǎng)絡(luò)的訪問(wèn) 它最大的缺點(diǎn)是對(duì)RPC支持的不穩(wěn)定性，但是可以啟動(dòng)protmap，與xinetd共存來(lái)解決這個(gè)問(wèn)題,Acegene IT Co. Ltd.,5,1 編譯安裝,下載xinetd configure 選項(xiàng): -with-libwrap :根據(jù)tcpd配置文件(/etc/hosts.allow， deny)來(lái)進(jìn)行訪問(wèn)控制 -with-loadavg:在系統(tǒng)負(fù)載過(guò)重時(shí)關(guān)閉某些服務(wù)進(jìn)程，來(lái)實(shí)現(xiàn)某些DoS攻擊。 -with-inet6 : 使用該選項(xiàng)xinetd將支持IPv6,Acegene IT Co. Ltd.,6,1 配置文件,配置方式： /etc/xinetd.conf 和 /etc/xinetd.d 基本格式： Service service_name 其中是屬性表，每個(gè)屬性可指定一個(gè)值，使用=，部分屬性支持+=，-=實(shí)現(xiàn)在原有的基礎(chǔ)上加、減某值。,Acegene IT Co. Ltd.,7,1 servers,實(shí)現(xiàn)提供當(dāng)前運(yùn)行在服務(wù)器上的進(jìn)程表 ,以及有關(guān)這些進(jìn)程的確切信息 ,如： Service servers type = INTERNAL UNLISTED Socket_type = stream Protocol = tcp Port = 9997 Wait = no Only_from = 11 Wait = no ,Acegene IT Co. Ltd.,8,1 Services,services特定項(xiàng)的目的是提供可用服務(wù)的列表 Service services type = INTERNAL UNLISTED Socket_type = stream protocol = tcp port = 8099 wait = no Only_ from = topcat ,Acegene IT Co. Ltd.,9,1 Xadmin,這個(gè)特定服務(wù)項(xiàng)提供以交互方式獲得services特定服務(wù)所提供信息的方法 Service xadmin type = INTERNAL UNLISTED socket_type = stream protocol = tcp port = 9967 wait = no Only_from = topcat ,Acegene IT Co. Ltd.,10,2 Linux路由實(shí)現(xiàn),路由器簡(jiǎn)介 用Linux主機(jī)作靜態(tài)路由 用GateD實(shí)現(xiàn)動(dòng)態(tài)路由,Acegene IT Co. Ltd.,11,2 路由器簡(jiǎn)介,路由器的基本概念 路由器的原理與作用 路由器的功能 Linux的路由種類(lèi),Acegene IT Co. Ltd.,12,路由器的基本概念,路由和路由器 路由器和交換機(jī)的區(qū)別 路由器的分類(lèi):硬路由器和軟路由器,Acegene IT Co. Ltd.,13,路由器的原理與作用,路由選路的方式有兩種：靜態(tài)（Static）路由和動(dòng)態(tài)（Dynamic）路由 。,Acegene IT Co. Ltd.,14,靜態(tài)路由,靜態(tài)路由是指從每一個(gè)源地址到目的地址的傳輸都具有固定的路徑。一般是根據(jù)網(wǎng)絡(luò)的配置情況，預(yù)先添加到路由表里的。如果網(wǎng)絡(luò)設(shè)置發(fā)生了變化不會(huì)自動(dòng)更新，需要手動(dòng)進(jìn)行更改。,Acegene IT Co. Ltd.,15,動(dòng)態(tài)路由,常用的動(dòng)態(tài)路由協(xié)議 ： RIP協(xié)議 OSPF協(xié)議 BGP協(xié)議,Acegene IT Co. Ltd.,16,路由器的功能,數(shù)據(jù)轉(zhuǎn)發(fā) 路由選擇 協(xié)議轉(zhuǎn)換 多種協(xié)議的路由選擇 流量控制 分段和組裝功能 網(wǎng)絡(luò)管理功能,Acegene IT Co. Ltd.,17,Linux的路由種類(lèi),1.在局域網(wǎng)和外部網(wǎng)之間進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā) 。 2.分割子網(wǎng)并實(shí)現(xiàn)各個(gè)邏輯子網(wǎng)間數(shù)據(jù)包的轉(zhuǎn)發(fā)。 3.用普通PC機(jī)來(lái)作通常意義上的路由器，也就是架設(shè)軟路由器。,Acegene IT Co. Ltd.,18,硬件準(zhǔn)備實(shí)例（網(wǎng)絡(luò)拓?fù)鋱D ）,Acegene IT Co. Ltd.,19,設(shè)置服務(wù)器IP地址,eth0設(shè)置外部網(wǎng)絡(luò)的IP地址 ，其余四個(gè)網(wǎng)絡(luò)接口分別設(shè)置如下內(nèi)部IP地址： # ifconfig eth0 0 netmask broadcast 55 # ifconfig eth1 netmask 92 broadcast 4 # ifconfig eth2 5 netmask 92 broadcast 28 # ifconfig eth3 29 netmask 92broadcast 92 # ifconfig eth4 93 netmask 92broadcast 55 或編輯/etc/sysconfig/network-scripts/目錄下的啟動(dòng)腳本文件 。,Acegene IT Co. Ltd.,20,設(shè)置路由,# route add -net netmask dev eth0 #route add -net netmask 92 dev eth1 #route add -net 4 netmask 92 dev eth2 #route add -net 28 netmask 92 dev eth3 # route add -net 92 netmask 92 dev eth4 最后指定默認(rèn)網(wǎng)關(guān) ： # route add default gw ,Acegene IT Co. Ltd.,21,配置客戶端和檢測(cè)路由設(shè)置,1.在一個(gè)子網(wǎng)內(nèi)的一臺(tái)客戶機(jī)上，檢測(cè)能否連通本子網(wǎng)的網(wǎng)關(guān)。 2.在一個(gè)子網(wǎng)內(nèi)的一臺(tái)客戶機(jī)上，檢測(cè)能否連通另一個(gè)子網(wǎng)的網(wǎng)關(guān)。 3.在一個(gè)子網(wǎng)的一臺(tái)客戶機(jī)上，檢測(cè)是否能夠連通另一個(gè)子網(wǎng)內(nèi)的一臺(tái)客戶機(jī)。 4. 最后在一個(gè)子網(wǎng)的一臺(tái)客戶上，檢測(cè)是否能夠連通外部網(wǎng)絡(luò)。,Acegene IT Co. Ltd.,22,用GateD實(shí)現(xiàn)動(dòng)態(tài)路由,GateD簡(jiǎn)介 配置GateD實(shí)現(xiàn)RIP,Acegene IT Co. Ltd.,23,GateD簡(jiǎn)介,GateD是一個(gè)基于路由協(xié)議之間交換信息產(chǎn)生的路由數(shù)據(jù)庫(kù)，來(lái)處理動(dòng)態(tài)路由的軟件。它采用了模塊化的設(shè)計(jì)，包括核心服務(wù)程序、路由信息數(shù)據(jù)庫(kù)、以及多種協(xié)議的支持模塊。GateD支持的路由協(xié)議主要有：RIP、DCN HELLO、OSPF、EGP和BGP。GateD最初是被用來(lái)連接NSFNET（美國(guó)國(guó)家科學(xué)基金會(huì)NSF資助的關(guān)于主干網(wǎng)）網(wǎng)絡(luò)之間的交界區(qū)域。,Acegene IT Co. Ltd.,24,rip簡(jiǎn)介,rip報(bào)文類(lèi)型： 請(qǐng)求報(bào)文：查詢(xún)相鄰RIP設(shè)備，獲得它們的距離向量表 響應(yīng)報(bào)文：公告它的本地距離向量表中的信息 在以下情況下發(fā)出： 每隔30秒發(fā)送一次 對(duì)另一個(gè)RIP結(jié)點(diǎn)產(chǎn)生的請(qǐng)求報(bào)文的響應(yīng) 如果支持觸發(fā)式，則在本地距離向量表發(fā)生變化時(shí)被發(fā)出。 RIP使用520端口發(fā)送和接收，每個(gè)數(shù)據(jù)報(bào)最大為512字節(jié),Acegene IT Co. Ltd.,25,rip分類(lèi),rip-1: rip-2: 支持CIDR和VLSM 支持組播 支持認(rèn)證 支持rip-1 rippng: 支持IPV6的認(rèn)證 支持IPV6地址 使用521端口 RIP協(xié)議缺點(diǎn)： 路徑代價(jià)限制和收斂時(shí)間長(zhǎng),Acegene IT Co. Ltd.,26,Rip配置,rip yes |no|off broadcast; nobroadcast; nocheckzero; preference preference; defaultmetric metric; query authentication none|simple|md5paswd; interface interface_list noripin|ripin noripout|ripout metricin metric version1|version2multicast|broadcast secondaryauthenticationnone|simple|md5password; trustedgateways gateway_list; sourcegateways gateway_list; traceoptions trace_options; ;,Acegene IT Co. Ltd.,27,Gated.conf配置,Broadcast:指定rip包被廣播發(fā)送 Nobroadcast:在綁定的接口上不廣播rip包 Nocheckzero:指定rip不處理RIP包中的保留域 Preference n:設(shè)置rip路由的preference,默認(rèn)為100 Metric n:尺度(默認(rèn)為16) Query authentication:設(shè)置身份認(rèn)證方式 Interface interface_list:針對(duì)接口進(jìn)行參數(shù)設(shè)定 Trustedgateways gateway_list:定義接收更新包的網(wǎng)關(guān) Sourcegateways gateway_list:直接發(fā)送rip的路由器列表 Traceoptions trace_options:設(shè)置RIP跟蹤選項(xiàng),Acegene IT Co. Ltd.,28,INTERFACE_LIST選項(xiàng),noripin:忽略指定接口接收到的RIP包 ripin:默認(rèn)的設(shè)置參數(shù) noripout:指定接口上不向外發(fā)送rip包 ripout:默認(rèn)的設(shè)置參數(shù) metricin metric:加入核心路由表前，增加的尺度 metricout metric:在指定的接口發(fā)出rip包前，增加的尺度 version 1:發(fā)送第一個(gè)版本的rip協(xié)議的數(shù)據(jù)包 version 2:指定發(fā)送第二個(gè)版本的rip 協(xié)議的數(shù)據(jù)包。 multicast:在指定接口上的發(fā)送第二版本的RIP包用組播方式 broadcast:指定在特定的接口上，使用廣播方式來(lái)發(fā)送,Acegene IT Co. Ltd.,29,配置GateD實(shí)現(xiàn)RIP,rip yes broadcast ; defaultmetric 5 ; interface eth1 version 2 multicast ; ; static default gateway preference 140 retain ; ;,Acegene IT Co. Ltd.,30,3 ppp,/ppp/ /penguin/open_source_rp-pppoe.php 一、編譯內(nèi)核 要建立PPPOE服務(wù)器，除了內(nèi)核要支持PPP以外還需要內(nèi)核支持PPPOE，不過(guò)在2.4.18里需要打開(kāi)內(nèi)核的不成熟代碼才可以選擇，內(nèi)核的配置如下： code maturity level options* prompt for development and/or incomplete code/drivers networking options* packet socket* packet socket:mmapped io network device support* ppp (point-to-point protocol) support* ppp multilink support (experimental)* ppp filtering* ppp support for async serial ports* ppp support for sync tty ports* ppp deflate compression* ppp bsd-compress compression* ppp over Ethernet (experimental) character devices* non-standard serial port support* hdlc line discipline support 編輯/etc/modules.conf，加入以下幾行： alias char-major-108 ppp_generic alias /dev/ppp ppp_generic alias tty-ldisc-3 ppp_async alias tty-ldisc-13 n_hdlc alias tty-ldisc-14 ppp_synctty alias ppp-compress-21 bsd_comp alias ppp-compress-24 ppp_deflate alias ppp-compress-26 ppp_deflate,Acegene IT Co. Ltd.,31,3 ppp,使用configure 使用make編譯PPPD，這里有幾個(gè)參數(shù)比較重要，要支持window