Linux操作系統(tǒng)18-高級(jí)網(wǎng)絡(luò)

1、Linux操作系統(tǒng)網(wǎng)絡(luò)管理周炯上海艾基信息技術(shù)有限公司1Acegene IT Co. Ltd.內(nèi)容簡(jiǎn)介1 C/S模型2 路由管理3 ppp 配置4 VPN2Acegene IT Co. Ltd.1 C/S模型C/S介紹守護(hù)進(jìn)程xinetdRPC3Acegene IT Co. Ltd.1 xinetd守護(hù)進(jìn)程xinetd(eXtendedInterNETservicesdaemon)提供類似于inetd+tcp_wrapper的功能，但是更加強(qiáng)大和安全。它能提供以下特色： *支持對(duì)tcp、ucp、RPC服務(wù)(但是當(dāng)前對(duì)RPC的支持不夠穩(wěn)定) *基于時(shí)間段的訪問控制 *功能完備的log功能，即可以

2、記錄連接成功也可以記錄連接失敗的行為 *能有效的防止DoS攻擊(DenialofServices) *能限制同時(shí)運(yùn)行的同意類型的服務(wù)器數(shù)目 *能限制啟動(dòng)的所有服務(wù)器數(shù)目 *能限制log文件大小 *將某個(gè)服務(wù)綁定在特定的系統(tǒng)接口上，從而能實(shí)現(xiàn)只允許私有網(wǎng)絡(luò)訪問某項(xiàng)服務(wù) *能實(shí)現(xiàn)作為其他系統(tǒng)的代理。如果和ip偽裝結(jié)合可以實(shí)現(xiàn)對(duì)內(nèi)部私有網(wǎng)絡(luò)的訪問 它最大的缺點(diǎn)是對(duì)RPC支持的不穩(wěn)定性，但是可以啟動(dòng)protmap，與xinetd共存來解決這個(gè)問題 4Acegene IT Co. Ltd.1 編譯安裝 下載xinetd configure 選項(xiàng):-with-libwrap:根據(jù)tcpd配置文件(/etc

3、/hosts.allow，deny)來進(jìn)行訪問控制 -with-loadavg:在系統(tǒng)負(fù)載過重時(shí)關(guān)閉某些服務(wù)進(jìn)程，來實(shí)現(xiàn)某些DoS攻擊。 -with-inet6:使用該選項(xiàng)xinetd將支持IPv6 5Acegene IT Co. Ltd.1 配置文件配置方式：/etc/xinetd.conf 和 /etc/xinetd.d基本格式：Service service_name .其中是屬性表，每個(gè)屬性可指定一個(gè)值，使用=，部分屬性支持+=，-=實(shí)現(xiàn)在原有的基礎(chǔ)上加、減某值。6Acegene IT Co. Ltd.1 servers 實(shí)現(xiàn)提供當(dāng)前運(yùn)行在服務(wù)器上的進(jìn)程表 ,以及有關(guān)這些進(jìn)程的確切信息

4、 ,如：Serviceservers type=INTERNALUNLISTED Socket_type=stream Protocol=tcp Port=9997 Wait=no Only_from=11 Wait=no 7Acegene IT Co. Ltd.1 Services services特定項(xiàng)的目的是提供可用服務(wù)的列表 Serviceservices type=INTERNALUNLISTED Socket_type=stream protocol=tcp port=8099 wait=no Only_from=topcat 8Acegene IT Co. Ltd.1 Xadmi

5、n 這個(gè)特定服務(wù)項(xiàng)提供以交互方式獲得services特定服務(wù)所提供信息的方法 Servicexadmin type=INTERNALUNLISTED socket_type=stream protocol=tcp port=9967 wait=no Only_from=topcat 9Acegene IT Co. Ltd.2 Linux路由實(shí)現(xiàn) 路由器簡(jiǎn)介 用Linux主機(jī)作靜態(tài)路由 用GateD實(shí)現(xiàn)動(dòng)態(tài)路由 10Acegene IT Co. Ltd.2 路由器簡(jiǎn)介 路由器的基本概念 路由器的原理與作用 路由器的功能 Linux的路由種類 11Acegene IT Co. Ltd.路由器的基本

6、概念 路由和路由器 路由器和交換機(jī)的區(qū)別 路由器的分類:硬路由器和軟路由器 12Acegene IT Co. Ltd.路由器的原理與作用 路由選路的方式有兩種：靜態(tài)（Static）路由和動(dòng)態(tài)（Dynamic）路由 。13Acegene IT Co. Ltd.靜態(tài)路由 靜態(tài)路由是指從每一個(gè)源地址到目的地址的傳輸都具有固定的路徑。一般是根據(jù)網(wǎng)絡(luò)的配置情況，預(yù)先添加到路由表里的。如果網(wǎng)絡(luò)設(shè)置發(fā)生了變化不會(huì)自動(dòng)更新，需要手動(dòng)進(jìn)行更改。 14Acegene IT Co. Ltd.動(dòng)態(tài)路由 常用的動(dòng)態(tài)路由協(xié)議 ：RIP協(xié)議 OSPF協(xié)議 BGP協(xié)議 15Acegene IT Co. Ltd.路由器的功能

7、數(shù)據(jù)轉(zhuǎn)發(fā) 路由選擇 協(xié)議轉(zhuǎn)換 多種協(xié)議的路由選擇 流量控制 分段和組裝功能 網(wǎng)絡(luò)管理功能 16Acegene IT Co. Ltd.Linux的路由種類 1.在局域網(wǎng)和外部網(wǎng)之間進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā) 。2.分割子網(wǎng)并實(shí)現(xiàn)各個(gè)邏輯子網(wǎng)間數(shù)據(jù)包的轉(zhuǎn)發(fā)。 3.用普通PC機(jī)來作通常意義上的路由器，也就是架設(shè)軟路由器。 17Acegene IT Co. Ltd.硬件準(zhǔn)備實(shí)例（網(wǎng)絡(luò)拓?fù)鋱D ） 18Acegene IT Co. Ltd.設(shè)置服務(wù)器IP地址 eth0設(shè)置外部網(wǎng)絡(luò)的IP地址 ，其余四個(gè)網(wǎng)絡(luò)接口分別設(shè)置如下內(nèi)部IP地址： # ifconfig eth0 0 netmask broadcast 55# i

8、fconfig eth1 netmask 92 broadcast 4# ifconfig eth2 5 netmask 92 broadcast 28# ifconfig eth3 29 netmask 92broadcast 92# ifconfig eth4 93 netmask 92broadcast 55 或編輯/etc/sysconfig/network-scripts/目錄下的啟動(dòng)腳本文件 。19Acegene IT Co. Ltd.設(shè)置路由 # route add -net netmask dev eth0 #route add -net netmask 92 dev eth1

9、#route add -net 4 netmask 92 dev eth2#route add -net 28 netmask 92 dev eth3# route add -net 92 netmask 92 dev eth4 最后指定默認(rèn)網(wǎng)關(guān) ：# route add default gw 20Acegene IT Co. Ltd.配置客戶端和檢測(cè)路由設(shè)置 1.在一個(gè)子網(wǎng)內(nèi)的一臺(tái)客戶機(jī)上，檢測(cè)能否連通本子網(wǎng)的網(wǎng)關(guān)。2.在一個(gè)子網(wǎng)內(nèi)的一臺(tái)客戶機(jī)上，檢測(cè)能否連通另一個(gè)子網(wǎng)的網(wǎng)關(guān)。 3.在一個(gè)子網(wǎng)的一臺(tái)客戶機(jī)上，檢測(cè)是否能夠連通另一個(gè)子網(wǎng)內(nèi)的一臺(tái)客戶機(jī)。 4. 最后在一個(gè)子網(wǎng)的一臺(tái)客戶上，檢測(cè)是

10、否能夠連通外部網(wǎng)絡(luò)。 21Acegene IT Co. Ltd.用GateD實(shí)現(xiàn)動(dòng)態(tài)路由 GateD簡(jiǎn)介 配置GateD實(shí)現(xiàn)RIP 22Acegene IT Co. Ltd.GateD簡(jiǎn)介 GateD是一個(gè)基于路由協(xié)議之間交換信息產(chǎn)生的路由數(shù)據(jù)庫，來處理動(dòng)態(tài)路由的軟件。它采用了模塊化的設(shè)計(jì)，包括核心服務(wù)程序、路由信息數(shù)據(jù)庫、以及多種協(xié)議的支持模塊。GateD支持的路由協(xié)議主要有：RIP、DCN HELLO、OSPF、EGP和BGP。GateD最初是被用來連接NSFNET（美國國家科學(xué)基金會(huì)NSF資助的關(guān)于主干網(wǎng)）網(wǎng)絡(luò)之間的交界區(qū)域。 23Acegene IT Co. Ltd.rip簡(jiǎn)介rip報(bào)

11、文類型：請(qǐng)求報(bào)文：查詢相鄰RIP設(shè)備，獲得它們的距離向量表響應(yīng)報(bào)文：公告它的本地距離向量表中的信息在以下情況下發(fā)出：每隔30秒發(fā)送一次對(duì)另一個(gè)RIP結(jié)點(diǎn)產(chǎn)生的請(qǐng)求報(bào)文的響應(yīng)如果支持觸發(fā)式，則在本地距離向量表發(fā)生變化時(shí)被發(fā)出。RIP使用520端口發(fā)送和接收，每個(gè)數(shù)據(jù)報(bào)最大為512字節(jié)24Acegene IT Co. Ltd.rip分類rip-1:rip-2:支持CIDR和VLSM支持組播支持認(rèn)證支持rip-1rippng:支持IPV6的認(rèn)證支持IPV6地址使用521端口RIP協(xié)議缺點(diǎn)：路徑代價(jià)限制和收斂時(shí)間長25Acegene IT Co. Ltd.Rip配置rip yes |no|off br

12、oadcast;nobroadcast;nocheckzero;preference preference;defaultmetric metric;query authentication none|simple|md5paswd;interface interface_listnoripin|ripinnoripout|ripoutmetricin metricversion1|version2multicast|broadcastsecondaryauthenticationnone|simple|md5password;trustedgateways gateway_list;sour

13、cegateways gateway_list;traceoptions trace_options;26Acegene IT Co. Ltd.Gated.conf配置Broadcast:指定rip包被廣播發(fā)送Nobroadcast:在綁定的接口上不廣播rip包Nocheckzero:指定rip不處理RIP包中的保留域Preference n:設(shè)置rip路由的preference,默認(rèn)為100Metric n:尺度(默認(rèn)為16)Query authentication:設(shè)置身份認(rèn)證方式Interface interface_list:針對(duì)接口進(jìn)行參數(shù)設(shè)定Trustedgateways gate

14、way_list:定義接收更新包的網(wǎng)關(guān)Sourcegateways gateway_list:直接發(fā)送rip的路由器列表Traceoptions trace_options:設(shè)置RIP跟蹤選項(xiàng)27Acegene IT Co. Ltd.INTERFACE_LIST選項(xiàng)noripin:忽略指定接口接收到的RIP包ripin:默認(rèn)的設(shè)置參數(shù)noripout:指定接口上不向外發(fā)送rip包ripout:默認(rèn)的設(shè)置參數(shù)metricin metric:加入核心路由表前，增加的尺度metricout metric:在指定的接口發(fā)出rip包前，增加的尺度version 1:發(fā)送第一個(gè)版本的rip協(xié)議的數(shù)據(jù)包ve

15、rsion 2:指定發(fā)送第二個(gè)版本的rip 協(xié)議的數(shù)據(jù)包。multicast:在指定接口上的發(fā)送第二版本的RIP包用組播方式broadcast:指定在特定的接口上，使用廣播方式來發(fā)送28Acegene IT Co. Ltd.配置GateD實(shí)現(xiàn)RIP rip yes broadcast ; defaultmetric 5 ; interface eth1 version 2 multicast ; ;static default gateway preference 140 retain ; ;29Acegene IT Co. Ltd.3 ppphttp:/ppp/penguin/open_so

16、urce_rp-pppoe.php一、編譯內(nèi)核要建立PPPOE服務(wù)器，除了內(nèi)核要支持PPP以外還需要內(nèi)核支持PPPOE，不過在2.4.18里需要打開內(nèi)核的不成熟代碼才可以選擇，內(nèi)核的配置如下：code maturity level options* prompt for development and/or incomplete code/driversnetworking options* packet socket* packet socket:mmapped ionetwork device support* ppp (point-to-point protocol) support*

17、ppp multilink support (experimental)* ppp filtering* ppp support for async serial ports* ppp support for sync tty ports* ppp deflate compression* ppp bsd-compress compression* ppp over Ethernet (experimental)character devices* non-standard serial port support* hdlc line discipline support編輯/etc/modu

18、les.conf，加入以下幾行： alias char-major-108 ppp_generic alias /dev/ppp ppp_generic alias tty-ldisc-3 ppp_async alias tty-ldisc-13 n_hdlc alias tty-ldisc-14 ppp_synctty alias ppp-compress-21 bsd_comp alias ppp-compress-24 ppp_deflate alias ppp-compress-26 ppp_deflate30Acegene IT Co. Ltd. 3 ppp使用configure使用make編譯PPPD，這里有幾個(gè)參數(shù)比較重要，要支持windows的客戶端，應(yīng)該在編譯時(shí)加上選項(xiàng)USE_MS_DNS=1