網(wǎng)關(guān)環(huán)境搭建手冊.doc

賽猊騰龍網(wǎng)關(guān)環(huán)境搭建手冊作者李雪松版本2.0日期2016.12.5一、安裝前準(zhǔn)備 31、物理環(huán)境 3二、環(huán)境準(zhǔn)備 31、系統(tǒng)安裝 32、硬件網(wǎng)絡(luò)搭建 153、系統(tǒng)安裝后初始化設(shè)置與環(huán)境檢查 17禁用圖形界面 17IP的設(shè)置 17確認DNS 20時間/時區(qū)設(shè)置 21三、安裝網(wǎng)關(guān) 22四、異常處理 241、系統(tǒng)安裝時，開機卡在Pressthekeytobegintheinstallationprocess界面 242、網(wǎng)關(guān)安裝時出現(xiàn)“warning：xxxxxx：NOKEY”提示 273、網(wǎng)關(guān)安裝完畢后無法ping通外部網(wǎng)絡(luò) 274、重啟后resolve.conf內(nèi)容被清空 285、rpm包安裝/卸載失敗 29附件 291、通用瀏覽器導(dǎo)入證書方式 29一、安裝前準(zhǔn)備1、物理環(huán)境服務(wù)器：華碩RS700-X7/PS4（最少雙網(wǎng)口）一臺顯示器：任意型號一臺測試機器：任意windows/linux系統(tǒng)一臺網(wǎng)線：普通若干Centos7安裝U盤一個2、軟件環(huán)境網(wǎng)關(guān)安裝包（3.0版本及以上）CentOS-7-x86_64-Everything-1511.ISO備注：網(wǎng)關(guān)不支持離線安裝。二、環(huán)境準(zhǔn)備1、系統(tǒng)安裝1.1、將顯示器與服務(wù)器連接后打開電源1.2、在啟動畫面出現(xiàn)時長按DEL鍵（不同的機器有不同的按鍵，視具體情況而定），聽到滴的一聲后松手。由于磁盤陣列的原因，系統(tǒng)會重復(fù)啟動畫面多次，這是正?，F(xiàn)象。在多次循環(huán)后系統(tǒng)進入BIOS界面。1.3、在BIOS中，進入BOOT選項中，設(shè)置系統(tǒng)啟動順序為U盤先啟動，保存配置后退出。1.4、步驟3退出后會繼續(xù)啟動，當(dāng)出現(xiàn)Centos的安裝界面后選擇第一項InstallCentos7.1.5、選擇安裝語言后繼續(xù)1.6、在彈出的界面中選擇軟件選擇1.7、選擇最小安裝1.8、選擇安裝位置,手動分區(qū)刪除原有分區(qū)信息：添加新分區(qū)：建議分區(qū)大?。?boot1G/bootbios1G/swap內(nèi)存大小的2倍/home任意大小/越大越好單擊完成，如提示警告等，再次單擊完成1.9、點擊開始安裝，分別設(shè)置root密碼和用戶，安裝完成后重啟即可。1.10、重啟后可能有兩種情況，先說第一種，單擊“LICENSEINFOEMATION”：步驟閱讀1.11、選中“Iacceptthelicenseagreement”后敲擊“Done”。1.12、單擊“FinishConfiguration”。161.13、Kdump建議開啟。1.14、選擇“No.Iprefertoregisteratlatertime.”1.15、使用root用戶登陸，單擊未列出，輸入用戶名root,密碼為自己設(shè)置的密碼。注意：第9步重啟后，也有可能首先會進到如下界面：這時候輸入1進入許可證信息，再輸入2我接受許可協(xié)議輸入c繼續(xù)此時會出現(xiàn)licenseinformation(licenseaccepted),然后輸入c繼續(xù)，就可以進入系統(tǒng)了。2、硬件網(wǎng)絡(luò)搭建網(wǎng)關(guān)有兩種安裝模式：代理模式代理模式中，網(wǎng)關(guān)的實際作用是一個代理服務(wù)器。在被監(jiān)控網(wǎng)絡(luò)中設(shè)置代理到網(wǎng)關(guān)服務(wù)器的ip上，通過網(wǎng)關(guān)上網(wǎng)。其他不設(shè)置代理的網(wǎng)絡(luò)應(yīng)用不受監(jiān)控。透明模式透明模式中，網(wǎng)關(guān)被監(jiān)控網(wǎng)絡(luò)是串行的，即與傳統(tǒng)網(wǎng)關(guān)相同，位于網(wǎng)絡(luò)出口出。被監(jiān)控網(wǎng)絡(luò)通過網(wǎng)關(guān)才可以上網(wǎng)。透明模式拓撲圖網(wǎng)關(guān)安裝有一些注意事項：1、安裝網(wǎng)關(guān)的機器需要最少需要兩個網(wǎng)卡2、網(wǎng)關(guān)安裝時需要聯(lián)網(wǎng)安裝，這里的聯(lián)網(wǎng)并非是指可以連接到公網(wǎng)，獲取公網(wǎng)IP，而是說能夠獲取到IP，并與同網(wǎng)段內(nèi)其他機器正常通信即可。注：這外部網(wǎng)絡(luò)僅僅是相對于被監(jiān)控網(wǎng)絡(luò)來說的，是邏輯上的概念，并非一定要是兩個物理上的內(nèi)外網(wǎng)。按照上述拓撲圖所示，透明網(wǎng)關(guān)與代理網(wǎng)關(guān)的硬件環(huán)境稍有不同，接下來開始分別搭建這兩種環(huán)境。透明網(wǎng)關(guān)：首先將網(wǎng)關(guān)機器安裝好系統(tǒng)后，首先將其與外部網(wǎng)絡(luò)連接。確認該網(wǎng)卡獲取到ip后即可。然后將網(wǎng)關(guān)的機器上的另一個網(wǎng)口與被監(jiān)控網(wǎng)絡(luò)的出口處連接。確認網(wǎng)卡插口處指示燈亮即可。代理網(wǎng)關(guān)：將網(wǎng)關(guān)機器安裝好系統(tǒng)后，首先將其與外部網(wǎng)絡(luò)連接。確認該網(wǎng)卡獲取到ip后即可。被監(jiān)控網(wǎng)絡(luò)原網(wǎng)絡(luò)環(huán)境無需改動，等網(wǎng)關(guān)安裝完畢后在被監(jiān)控機器上導(dǎo)入網(wǎng)關(guān)證書即可。證書導(dǎo)入方式參見附件一：通用瀏覽器導(dǎo)入證書方式。3、系統(tǒng)安裝后初始化設(shè)置與環(huán)境檢查禁用圖形界面網(wǎng)關(guān)理論上是可以運行在圖形界面開啟的狀態(tài)下，但為了追求性能與減少干擾，關(guān)閉圖形界面是需要的。改名備份：mv/etc/systemd/system/default.target/etc/systemd/system/default.target.bak重新軟連接文本界面為啟動默認值界面：ln-sf/lib/systemd/system/multi-user.target/etc/systemd/system/default.target重啟機器：systemctlreboot禁用NetworkManager服務(wù)停止服務(wù)：systemctlstopNetworkManager禁用服務(wù)：systemctldisableNetworkManagerIP的設(shè)置 首先獲取機器上的網(wǎng)卡列表，使用命令”ipa”：在搭建好前面的硬件網(wǎng)絡(luò)環(huán)境后最終應(yīng)該獲取到的網(wǎng)卡狀態(tài)和上圖應(yīng)該類似（前面框的是網(wǎng)卡名，后面是狀態(tài)）：有兩個網(wǎng)卡的狀態(tài)如圖所示是“UP”的，同時，一個網(wǎng)卡有IP，另外一個沒有IP。這是由于與外網(wǎng)相連的網(wǎng)卡可以獲取到IP，而與內(nèi)網(wǎng)（被監(jiān)控網(wǎng)絡(luò)）相連的網(wǎng)卡，是無法獲取到IP的。問題1：網(wǎng)卡的狀態(tài)是DOWN，并非是“UP”原因1：網(wǎng)線沒有插好，或者網(wǎng)線壞了，請檢查物理環(huán)境，包括網(wǎng)線，網(wǎng)卡等。原因2：網(wǎng)卡被關(guān)閉了。使用“ifconfig網(wǎng)卡名up”命令啟用網(wǎng)卡，有時候反應(yīng)比較慢，多敲幾次，稍等一下就可以看到網(wǎng)卡狀態(tài)up了。問題2：與外網(wǎng)連接的網(wǎng)卡沒有獲取到ip原因1：原來的物理環(huán)境有問題，就是獲取不到ip。換一臺筆記本或者臺式機連接到外網(wǎng)接口，如果獲取不到ip則說明物理環(huán)境有問題，需要排查。原因2：網(wǎng)卡設(shè)置不正確。使用命令“cat/etc/sysconfig/network-scripts/ifcfg-網(wǎng)卡名”查看網(wǎng)卡設(shè)置：注意其中BOOTPROTO是否為dhcp，ONBOOT是否為yes。如果不是，需要修改為動態(tài)獲取ip,如果有IPADDR和NETMASK，使用“#”將其注釋。修改完畢后，保存退出，使用命令“systemctlrestartnetwork”重啟網(wǎng)絡(luò)，如果報錯，檢查是否拼寫錯誤。沒有拼寫錯誤且重啟網(wǎng)絡(luò)失敗，直接重啟電腦。原因3：網(wǎng)卡需要設(shè)置靜態(tài)IP地址。使用命令“cat/etc/sysconfig/network-scripts/ifcfg-網(wǎng)卡名”查看網(wǎng)卡設(shè)置，將BOOTPROTO的值修改為static。如果沒有以下四行，將其添加到配置文件IPADDR=xxx.xxx.xxx.xxx#需要固定的IP地址NETMASK=xxx.xxx.xxxx.xxx#掩碼值DNS1=xxx.xxx.xxx.xxx#dnsGATEWAY=xxx.xxx.xxx.xxx#網(wǎng)關(guān)地址修改完畢后應(yīng)當(dāng)如下：修改完畢后，保存退出，使用命令“systemctlrestartnetwork”重啟網(wǎng)絡(luò)，如果報錯，檢查是否拼寫錯誤。沒有拼寫錯誤且重啟網(wǎng)絡(luò)失敗，直接重啟電腦。確認DNSLinux下設(shè)置DNS的位置主要是，1.網(wǎng)卡設(shè)置配置文件里面DNS服務(wù)器地址設(shè)置文件位置：/etc/sysconfig/network-scripts/ifcfg-網(wǎng)卡名2.系統(tǒng)默認DNS服務(wù)器地址設(shè)置文件位置：/etc/resolv.conf3.hosts文件指定,通過設(shè)置主機表地址進行特定主機的解析。文件位置：/etc/hosts生效順序是：hosts文件網(wǎng)卡配置文件DNS服務(wù)地址/etc/resolv.conf一般來說，hosts文件不會更改，使用默認的hosts文件即可。刪除網(wǎng)卡配置文件中的DNS選項，使用系統(tǒng)中的默認DNS。使用命令：systemctlstopNetworkManager.service和systemctldisableNetworkManager.service關(guān)閉并禁用NetworkManager。時間/時區(qū)設(shè)置使用命令date-R來查看當(dāng)前時區(qū)：可以看到處于東八區(qū)(+8)。設(shè)置時區(qū)：/user/share/zoneinfo目錄下存著全世界的時區(qū)文件，需要使用哪個就用這個文件替換/etc/localtime就可以了：例如：在設(shè)置中國時區(qū)使用亞洲/上海（+8）cp/usr/share/zoneinfo/Asia/Shanghai/etc/localtime注意如果有時候，執(zhí)行了上面命令后，使用date-R發(fā)現(xiàn)時區(qū)設(shè)置沒有生效，有可能是因為你在profile或.bash_profile里面設(shè)置了TZ，包含類似如下命令：TZ=Asia/Shanghai;exportTZ其優(yōu)先級高于/etc/localtime文件，所以需要清除這一句。設(shè)置日期時間：Date-s”年月日時分秒”date-s2016120118:30:50就可以設(shè)置日期了，然后通過hwclock-w從當(dāng)前系統(tǒng)時間設(shè)置硬件時鐘，同步BIOS時鐘，強制將系統(tǒng)時間寫入CMOS，使之永久生效，避免系統(tǒng)重啟后恢復(fù)成原時間。三、安裝網(wǎng)關(guān)進入系統(tǒng)中，解壓網(wǎng)關(guān)的安裝包。進入解壓后的目錄中執(zhí)行shsetup.sh后，會預(yù)裝一些依賴環(huán)境。隨后，輸入server的ip(即本機ip)和在server上配置好的key接下來就選擇安裝網(wǎng)關(guān)的模式了：1、bridge：透明代理模式2、Nat：顯性代理模式如果在這里選擇2那么接下來就結(jié)束安裝，選擇是否重啟。接下來重點講述透明模式。透明模式需要設(shè)置一個網(wǎng)橋，網(wǎng)橋的作用是將兩個網(wǎng)卡連接起來，將一個網(wǎng)卡的數(shù)據(jù)傳到另一塊網(wǎng)卡上，邏輯上來說就相當(dāng)于把兩個網(wǎng)卡的網(wǎng)線連接起來，網(wǎng)卡可以當(dāng)作不存在，是透明的。首先輸入網(wǎng)橋的名稱：然后選擇連接著被監(jiān)控網(wǎng)絡(luò)的那個網(wǎng)卡：接下來選擇連接著外部網(wǎng)絡(luò)的那個網(wǎng)卡：為網(wǎng)橋設(shè)置固定ip，子網(wǎng)掩碼，和網(wǎng)關(guān)：選擇是否重啟即可。注：網(wǎng)橋的ip設(shè)置和普通網(wǎng)卡設(shè)置靜態(tài)ip相同，網(wǎng)橋設(shè)置完成后原來的兩個網(wǎng)卡的ip就會消失?？梢酝ㄟ^網(wǎng)橋的ip來遠程訪問該機器。四、異常處理1、系統(tǒng)安裝時，開機卡在Pressthekeytobegintheinstallationprocess界面這是由于安裝時系統(tǒng)找不到U盤導(dǎo)致的，解決方案如下：在開機進入下圖中安裝界面的時候，按TAB鍵。會在下方出現(xiàn)一行命令，如下圖：網(wǎng)上很多文章都說這一步改成“vmlinuzinitrd=initrd.imginst.stage2=hd:/dev/sdbquiet”，然后失敗了會出現(xiàn)下圖提示在#后面輸入：cd/dev，然后會看到如下界面，找到自己U盤的盤符：然后關(guān)機重啟，重新進入安裝界面，按TAB鍵，將出現(xiàn)的命令中”inst.stage2=hd:/dev/”后面的數(shù)據(jù)改為U盤的盤符即下面黃色部分，回車即可：vmlinuzinitrd=initrd.imginst.stage2=hd:/dev/sdb4quiet如果不知道如何看自己U盤盤符的話，還有另外一個辦法：將TAB出來的文字修改為：vmlinuzinitrd=initrd.imglinuxddquiet，回車 可以看到上圖中l(wèi)abel為Centos7的即為U盤，其盤符為sdc4。重復(fù)之前的步驟，開機后進入安裝界面時，按TAB鍵，將出現(xiàn)的命令中將出現(xiàn)的命令中”inst.stage2=hd:/dev/”后面的數(shù)據(jù)改為U盤的盤符，回車即可。2、網(wǎng)關(guān)安裝時出現(xiàn)“warning：xxxxxx：NOKEY”提示這是由于yum安裝了舊版本的GPGkeys造成的，解決辦法就是rpm-import/etc/pki/rpm-gpg/RPM*3、網(wǎng)關(guān)安裝完畢后無法ping通外部網(wǎng)絡(luò)由于DNS沒有配置導(dǎo)致的無法連通網(wǎng)絡(luò)。修改/etc/resolv.conf文件，添加一行：nameserverxxx.xxx.xxx.xxxNameserver后面填寫一個dns服務(wù)器地址，目前常用的一些dns地址如下：阿里DNS223.5.5.5223.6.6.6百度DNS180.76.76.76谷歌DNS8.8.8.8OpenDNS208.67.220.220如果公司內(nèi)部有自己的DNS服務(wù)器，也可以使用公司自己的DNS服務(wù)，修改完畢后，大致內(nèi)容如下：修改完畢后使用命令“systemctlrestartnetwork”重啟網(wǎng)絡(luò)。4、重啟后resolve.conf內(nèi)容被清空網(wǎng)絡(luò)或主機重啟時，會自動重新生成resolv.conf文件，要想舊的文件不被覆蓋的話，方法一：運行如下命令：sudochattr+i/etc/resolv.conf即可。方法二：vim/etc/sysconfig/network-scripts/ifcfg-網(wǎng)卡名,直接在這里面設(shè)置DNS,格式就是DNS1=X.X.X.XDNS2=X.X.X.X。其優(yōu)先級高于resolve.conf.5、rpm包安裝/卸載失敗由于安裝/卸載時，rpm數(shù)據(jù)庫狀態(tài)與實際狀態(tài)不符合，或者誤刪了某些目錄導(dǎo)致。先清除rpm數(shù)據(jù)庫里的記錄：rpm-erpm包名-justdb然后刪除安裝目錄下的文件即可。以WEB-DLP為例：rpm-erpmWEB-DLP-justdbrm-rf/opt/synitalent/ssgw附件1、通用瀏覽器導(dǎo)入證書方式一、IE、chrome、edge使用的是操作系統(tǒng)的證書（系統(tǒng)）。firefox使用它自已的證書系統(tǒng)。1、IE、chrome、edge操作方法a.