1、第第1 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日Red Hat Enterprise Linux 7.3（RHEL 7.3）l課程標準課程標準( (教學大綱教學大綱) )l教學設計方案教學設計方案( (教案教案) )lPPTPPT電子課件電子課件l教材習題參考答案教材習題參考答案l模擬試卷及參考答案模擬試卷及參考答案(4(4套套) )l紅帽認證紅帽認證+ +全國技能大賽資料全國技能大賽資料l知識拓展知識拓展& &網絡工程解決方案網絡工程解決方案附贈光盤附贈光盤第第2 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與

2、管理2022年年4月月3日星期日日星期日第第3 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日網絡主機網絡主機(終端節點終端節點)的連網配置的連網配置:對網絡中所有計算機或服務器的主機名、網絡接口(網卡)的配置(包括IP地址、子網掩碼、默認網關、DNS服務器的IP地址等),以便使同一子網中的主機之間能相互連通。網絡互連設備的配置網絡互連設備的配置:對內部網絡中連接各子網的路由器和交換機的配置。其目的是實現不同子網中的主機之間能夠相互連通,主要是路由信息的配置。網關設備的配置網關設備的配置:是指在校園網與外部互聯網的交界處的設備上所實施的

3、配置。主要包括防火墻和NAT服務的配置。通過防火墻規則設置以保護校園內部網絡中的主機(主要是服務器);通過NAT服務的配置以允許校園網內所有配置私網IP地址的主機能訪問外部互聯網,同時,外網的用戶也可以訪問校園網內的某些服務器。7.1 項目項目描述描述第第4 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日7.2 項目知識準備項目知識準備 1.網絡配置的主要文件及目錄網絡配置的主要文件及目錄路徑及文件名功能/etc/hostname用于設置和保存靜態主機名/etc/machine-info用于設置和保存靈活主機名/etc/hosts用于設

4、置主機名映射為IP地址,從而實現主機名的解析/etc/sysconfig/network-scripts/網絡接口(網卡)配置文件的存放目錄/etc/resolv.conf用于對主機的DNS服務器IP地址進行配置/etc/nsswitch.conf用于指定域名解析順序/etc/services用于設置主機的不同端口對應的網絡服務(一般無需修改)/usr/lib/sysctl.d/00-system.conf用于開啟或關閉路由轉發功能,從而使數據包能在不同子網之間轉發/etc/sysconfig/network-scripts/route-ensXX用于設置并保存靜態路由信息,從而將Linux服

5、務器構建為軟路由器 第第5 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日網絡接口網絡接口是指網絡中的計算機或網絡設備與其他設備實現通訊的進出口。這里,主要是指計算機的網絡接口即網卡設備。從RHEL7開始引入了一種新的“一致網絡設備命名”的方式為網絡接口命名,該方式可以根據固件、設備拓撲、設備類型和位置信息分配固定的名字。網絡接口的名稱的前兩個字符為網絡類型符號。如:len示以太網(Ethernet)、wl表示無線局域網(wlan)、ww表示無線廣域網(wwan);接下來的字符根據設備類型或位置選擇,如: lo表示內置(onboard)

6、于主板上的集成設備(即集成網卡)及索引號;ls表示是插在可以熱拔插的插槽上的獨立設備及索引號;lx表示基于MAC地址命名的設備;lp表示PCI插槽的物理位置及編號。則是為網絡接口實施配置的設置集合。在同一個網絡接口上,可以有多套不同的設置方案,即一個網絡接口可以有多個網絡連接,但同一時間只能有一個網絡連接處于活動狀態。 第第6 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日第第7 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日第第8 頁頁LinuxLinux網絡操作系統配置與管理

7、網絡操作系統配置與管理2022年年4月月3日星期日日星期日第第9 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日Console口4個10/100/1000口 CheckPoint UTM-1 570 第第10 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日1Linux防火墻的歷史防火墻的歷史在在3.10之后的內核中之后的內核中,包過濾機制是包過濾機制是netfilter,管理防火墻管理防火墻的工具有的工具有firewalld、iptables等。等。firewalld的官網：的官

8、網：第第11 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日2Linux防火墻的架構防火墻的架構Linux防火墻系統由以下三層架構的三個子系統組成防火墻系統由以下三層架構的三個子系統組成:內核層的內核層的中間層服務程序中間層服務程序:是連接內核和用戶的與內核直接交互是連接內核和用戶的與內核直接交互的監控防火墻規則的服務程序或守護進程的監控防火墻規則的服務程序或守護進程,它將用戶配置它將用戶配置的規則交由內核中的的規則交由內核中的netfilter來讀取來讀取,從而調整防火墻規從而調整防火墻規則。則。用戶層工具用戶層工具:是是Linux系

9、統為用戶提供的用來定義和配系統為用戶提供的用來定義和配置防火墻規則的工具軟件。置防火墻規則的工具軟件。第第12 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日表表鏈鏈規則規則的結構來組織規則的結構來組織規則第第13 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日第第14 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日在在RHEL7中用戶層的配置中用戶層的配置firewalld防火墻規則防火墻規則的工具有以下三種的工具有以下

10、三種:圖形工具圖形工具firewall-config。命令行工具命令行工具firewall-cmd。直接編輯直接編輯/etc/firewalld/目錄中擴展名為目錄中擴展名為.xml的一系列的一系列配置文件。配置文件。為了簡化防火墻管理為了簡化防火墻管理,firewalld將所有網絡流量將所有網絡流量劃分為多個區域。根據數據包源劃分為多個區域。根據數據包源IP地址或傳入網地址或傳入網絡接口等條件絡接口等條件,流量將轉入相應區域的防火墻規流量將轉入相應區域的防火墻規則則,firewalld提供的幾種預定義的區域及防火墻提供的幾種預定義的區域及防火墻初始規則見表初始規則見表7-2。第第15 頁頁L

11、inuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日區域(zone)區域中包含的初始規則trusted (受信任的)允許所有流入的數據包。home (家庭)拒絕流入的數據包,允許外出及服務ssh,mdns,ipp-client,samba-client與ernal (內部)拒絕流入的數據包,允許外出及服務ssh、mdns、ipp-client、samba-client、dhcpv6-client。work (工作)拒絕流入的數據包,除非與輸出流量數據包相關或是ssh,ipp-client與dhcpv6-client

12、服務則允許。public (公開)拒絕流入的數據包,允許外出及服務ssh、dhcpv6-client,新添加的網絡接口缺省的默認區域。external (外部)拒絕流入的數據包,除非與輸出流量數據包相關,允許外出及服務ssh、mdns、ipp-client、samba-client、dhcpv6-client,默認啟用了偽裝。dmz (隔離區)拒絕流入的數據包,除非與輸出流量數據包相關 ,允許外出及服務ssh。block (阻塞)拒絕流入的數據包,除非與輸出流量數據包相關。drop (丟棄)任何流入網絡的包都被丟棄,不作出任何響應,除非與輸出流量數據包相關。只允許流出的網絡連接。第第16 頁頁

13、LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日數據包要進入到內核必須要通過這些區域數據包要進入到內核必須要通過這些區域(zone)中的一個中的一個,不同的區域里預定義的防火墻規則不一樣不同的區域里預定義的防火墻規則不一樣(即信任度或過濾即信任度或過濾的強度不一樣的強度不一樣),人們可以根據計算機所處的不同的網絡環境人們可以根據計算機所處的不同的網絡環境和安全需求將網卡連接到相應區域和安全需求將網卡連接到相應區域(默認區域是默認區域是public),并對并對區域中現有規則進行補充完善區域中現有規則進行補充完善,進而制定出更為精細的防火進而制定

14、出更為精細的防火墻規則來滿足網絡安全的要求。一塊物理網卡可以有多個網墻規則來滿足網絡安全的要求。一塊物理網卡可以有多個網絡連接絡連接(邏輯連接邏輯連接),一個網絡連接只能連接一個區域一個網絡連接只能連接一個區域,而一個而一個區域可以接收多個網絡連接。區域可以接收多個網絡連接。根據不同的語法來源根據不同的語法來源,firewalld包含的規則有以下三種：包含的規則有以下三種：標準規則標準規則:利利用用firewalld的基本語法規范所制定或添加的的基本語法規范所制定或添加的防火墻規則。防火墻規則。直接規則直接規則:當當firewalld的基本語法表達不夠用時的基本語法表達不夠用時,通過手動通過手

15、動編碼的方式直接利用其底層的編碼的方式直接利用其底層的iptables或或ebtables的語法的語法規則所制定的防火墻規則。規則所制定的防火墻規則。富規則富規則: firewalld的基本語法未能涵蓋的的基本語法未能涵蓋的,通過富規則語通過富規則語法制定的復雜防火墻規則。法制定的復雜防火墻規則。第第17 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日第第18 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日1NAT服務的概念及分類服務的概念及分類根據根據NAT替換數據包頭部中地址

16、的不同替換數據包頭部中地址的不同,NAT分為源分為源地址轉換地址轉換SNAT(Source NAT)(IP偽裝偽裝)和目的地址和目的地址轉換轉換DNAT(Destination NAT)兩類。兩類。SNAT技術技術主要應用于在企事業單位內部使用私網主要應用于在企事業單位內部使用私網IP地址地址的所有計算機能夠訪問互聯網上服務器的所有計算機能夠訪問互聯網上服務器,實現共享上網實現共享上網,并并且能隱藏內部網絡的且能隱藏內部網絡的IP地址。在地址。在RHEL7系統內置的防火系統內置的防火墻中的墻中的IP偽裝功能就是偽裝功能就是SNAT技術具體實現方式。技術具體實現方式。DNAT技術技術則能讓互聯網

17、中用戶穿透到企事業的內部網絡則能讓互聯網中用戶穿透到企事業的內部網絡,訪問使用私網訪問使用私網IP地址的服務器地址的服務器,即無公網即無公網IP的內網服務器的內網服務器發布到互聯網發布到互聯網(如發布如發布Web網站和網站和FTP站點等站點等)。第第19 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日2NAT服務器的工作過程服務器的工作過程NAT服務器的工作過程如圖服務器的工作過程如圖7-3所示。所示。第第20 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日在RHEL7中,引入了

18、靜態(static)、瞬態(transient)和靈活(pretty)三種主機名。“瞬態瞬態”主機名主機名第第21 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日選項說明如下：選項說明如下：status可同時查看靜態、瞬態和靈活三種主機名及其相關的設置信息。-static僅查看靜態(永久)主機名。-transient僅查看瞬態(臨時)主機名。-pretty僅查看靈活主機名。hostnamectl status -static|-transient|-pretty 查看主機名的命令一般格式如下查看主機名的命令一般格式如下:rootdyzx

19、 # hostnamectl status Static hostname: Icon name: computer-vm Chassis: vm Machine ID: ebcaefed3f4d4359a7113ab85ec89629 Boot ID: 76f5e89582ff4e62930bfc2f5ee33aa6 Virtualization: vmware Operating System: Red Hat Enterprise Linux Server 7.3 (Maipo) CPE OS Name: cpe:/o:redhat:enterprise_linux:7.3:GA:ser

20、ver Kernel: Linux 3.10.0-514.el7.x86_64 Architecture: x86-64第第22 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日查看、修改瞬態查看、修改瞬態(臨時臨時)主機名的命令如下主機名的命令如下:hostnamectl -static|-transient|-pretty set-hostname 修改主機名的命令一般格式如下修改主機名的命令一般格式如下:rootdyzx # hostnamectl -transient/查看修改前的瞬態主機名rootdyzx # hostnamec

21、tl -transient set-hostname server1/修改瞬態主機名rootdyzx # hostnamectl -transient/查看修改后的瞬態主機名server1查看、修改靜態查看、修改靜態(永久永久)主機名的命令如下主機名的命令如下:root dyzx# hostnamectl -static/查看修改前的靜態主機名rootdyzx # hostnamectl -static set-hostname dyzx# hostnamectl -static/查看修改后的靜態主機名第第23 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4

22、月月3日星期日日星期日當用hostnamectl命令修改靜態主機名后,/etc/hostname文件中保存的主機名會被自動更新,而/etc/hosts文件中的主機名卻不會自動更新,因此,在每次修改主機名后,一定要手工更新/etc/hosts文件,在其中添加新的主機名與IP地址的映射關系rootdyzx # bash/重新開啟Shellrootserver2#查看在設置新的靜態主機名后查看在設置新的靜態主機名后,會立即修改內核主機名會立即修改內核主機名,只是在提示符只是在提示符中中“”后面的主機名還未自動刷新后面的主機名還未自動刷新,此時此時,只要執行重新開啟只要執行重新開啟Shell登登錄命令

23、錄命令,便可在提示符中顯示新的主機名。便可在提示符中顯示新的主機名。rootserver2#vim /etc/hostslocalhost localhost.localdomain localhost4 localhost4.localdomain4:1localhost localhost.localdomain localhost6 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日由上可見,在修改靜態/瞬態主機名時,任何特殊字符或空白字符會被移除,并且大寫字母會自動轉化為小寫字母,而靈活主機名則保持了原樣,這正是起

24、名為靈活主機名的緣由。root server2 # hostnamectl set-hostname Zhang3 s Computerroot server2 # hostnamectl -static/查看靜態主機名zhang3scomputerroot server2 # hostnamectl -transient/查看瞬態主機名zhang3scomputer root server2# hostnamectl -pretty/查看靈活主機名Zhang3s Computer 第第25 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期

25、日添加臨時生效的網絡連接添加臨時生效的網絡連接:該方式適合在調試網絡時臨時該方式適合在調試網絡時臨時使用。這種方式雖然在設置后能馬上生效使用。這種方式雖然在設置后能馬上生效,但由于是直接但由于是直接修改目前運行內核中的網絡參數修改目前運行內核中的網絡參數,并未改動網絡連接配置并未改動網絡連接配置文件中的內容文件中的內容,因此在系統或網絡服務重啟后會失效。因此在系統或網絡服務重啟后會失效。持久生效的網絡連接配置持久生效的網絡連接配置:此方式是對存放網絡連接參數此方式是對存放網絡連接參數的配置文件進行修改或設置的配置文件進行修改或設置,適合在長期穩定運行的計算適合在長期穩定運行的計算機上使用。其配

26、置工具有機上使用。其配置工具有vim、nmtui和和nmcli等。等。第第26 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日命令用法功能ip -s addr show 網卡設備名查看網卡在網絡層的配置信息,加-s表示增添顯示相關統計信息,如接收 (RX) 及傳送 (TX) 的數據包數量等ip -s link show 網卡設備名查看網卡在鏈路層的配置信息ip -4 addr add|del IP地址/掩碼長度 dev 網卡連接名ip -6 addr add|del IP地址/掩碼長度 dev 網卡連接名添加或刪除網卡的臨時IPv4地址

27、添加或刪除網卡的臨時IPv6地址ip link set dev 網卡的設備名 down|up禁用|啟用指定網卡第第27 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日【例例7-1】在RHEL7-1主機上,為網卡ens33臨時添加一個IP地址1/24,并查看其配置結果。在重啟網卡后再次查看配置的結果。操作的命令如下:rootRHEL7-1 # ip addr show ens33/查看接口ens33當前的IP地址和子網掩碼2: ens33: mtu 1500 qdisc pfifo_fast state UP qlen

28、1000 link/ether 00:0c:29:3d:b8:92 brd ff:ff:ff:ff:ff:ff inet 1/24 brd 55 scope global ens33 valid_lft forever preferred_lft forever inet6 fe80:1671:5718:ea13:ef42/64 scope link valid_lft forever preferred_lft forever已啟用的活動接口的狀態為UP,禁用接口的狀態為DOWN。link行指定網卡設備的硬件(MAC)地址。inet行顯示IPv4地址和網絡

29、前綴(子網掩碼)。廣播地址、作用域和網卡設備的名稱。inet6行顯示IPv6信息。第第28 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日rootRHEL7-1 #ip addr add 6/24 dev ens33/在接口ens33上添加臨時IP地址rootRHEL7-1 # ip addr show ens332: ens33: mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:0c:29:3d:b8:92 brd ff:ff:ff:ff:ff:f

30、f inet 1/24 brd 55 scope global ens33 valid_lft forever preferred_lft forever inet 6/24 scope global ens33 valid_lft forever preferred_lft forever inet6 fe80:1671:5718:ea13:ef42/64 scope link valid_lft forever preferred_lft foreverrootRHEL7-1 # ip link set dev ens33 downro

31、otRHEL7-1 # ip link set dev ens33 up rootRHEL7-1 # ip addr show/顯示所有網絡接口的當前IP地址和子網掩碼/省略顯示結果第第29 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日【例例7-2】在RHEL7-1主機上,通過編輯網絡連接配置文件為網卡ens33配置網絡參數。其配置方法如下:rootRHEL7-1 # vim /etc/sysconfig/network-scripts/ifcfg-ens33TYPE=Ethernet/指定網絡類型為以太網模式BOOTPROTO=no

32、ne/指定啟動地址協議的獲取方式(dhcp或bootp為自動獲取,none/為放棄自動獲取,一般用于網卡綁定時,static為靜態指定IP DEFROUTE=yes/是否把這個ens38設置為默認路由IPV4_FAILURE_FATAL=no/如果IPv4配置失敗,設備是否被禁用IPV6INIT=yes/允許在該網卡上啟動IPV6的功能IPV6_AUTOCONF=yes/是否使用IPV6地址的自動配置IPV6_DEFROUTE=yesIPV6_FAILURE_FATAL=noIPV6_ADDR_GEN_MODE=stable-privacyNAME=ens33/網絡連接標識名UUID=00de

33、cbce-3c43-47f1-82a6-627cbd80188f/網卡全球通用唯一識別碼DEVICE=ens33/網卡設備名ONBOOT=yes/設置系統或網絡服務在啟動時是否啟動該接口IPADDR=1/設置IP地址PREFIX=24/設置子網掩碼GATEWAY=54/設置網關DNS1=/設置DNS的IP地址IPV6_PEERDNS=yesIPV6_PEERROUTES=yesHWADDR=00:0C:29:C7:FE:8A/網卡的物理地址(也稱網卡號)rootdyzx network-scripts# systemctl restart ne

34、twork.service /重啟網絡服務,使配置生效第第30 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日3用用nmtui工具修改網卡配置文件工具修改網卡配置文件【例例7-3】使用nmtui工具,為RHEL7-1主機的第二塊網卡ens38配置網絡參數。其配置步驟如下:檢查nmtui工具相應的服務是否啟用。RHEL7默認已安裝,并已開啟了相應的服務(NetworkManager.service)。若nmtui工具的安裝包已卸載可用以下命令進行安裝、啟用并檢查啟用狀態。root RHEL7-1 # yum install Network

35、Manager-tuiroot RHEL7-1 # systemctl start NetworkManager.serviceroot RHEL7-1 # systemctl status NetworkManager.service步驟步驟2:在命令行執行以下命令:root rhel7-1 # nmtui步驟步驟3:在打開的【NetworkManag】窗口中按圖7-4所示完成操作。第第31 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日3用用nmtui工具修改網卡配置文件工具修改網卡配置文件系統返回【以太網】窗口,按【Tab】鍵將焦

36、點移至【】按【Enter】鍵在返回的【NetworkManag】窗口中使用光標下移鍵將焦點移至【退出】選項按【Enter】鍵后系統退出nmtui工具。步驟步驟5:在命令行下,執行重啟網絡服務命令,使配置生效。rootRHEL7-1# systemctl restart network.service第第32 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日命令用法功能nmcli dev status顯示所有網卡設備的狀態nmcli con show -active 網絡連接名顯示所有或活動的或指定的網絡連接nmcli con add co

37、n-name 網絡連接名 type ethernetifname 網絡接口名稱 ip4 ip地址/前綴 gw4 默認網關為指定的網卡設備添加網絡連接,并以“ifcfg-連接名”名稱保存其配置文件nmcli con mod 網絡連接名 ipv4.add “ip地址/前綴 默認網關”修改并保存指定網絡連接中的IP地址和網關nmcli con up 網絡連接名將綁定到網絡接口上指定的網絡連接激活nmcli dev dis 網絡連接名將綁定到網絡接口上指定的網絡連接關閉nmcli con del 網絡連接名刪除指定的網絡連接及其配置文件nmcli con reload重新讀取網絡連接配置文件,使其修改

38、生效第第33 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日使用nmcli命令完成以下系列操作：查看當前主機中所有網卡設備的狀態信息。root rhel7-1 #nmcli dev status設備類型狀態CONNECTION Ens33ethernet連接的ens33Ens38ethernet已斷開-Loloopback未管理-查看網絡連接的信息。rootRHEL7-1 # nmcli con show/查看所有網絡連接名稱 UUID類型設備Ens330243e05a-81f0-4671-93e0-55a4be1dcdbe802-3-

39、ethernetens33Ens38e3e26e34-e13c-48d2-bb51-d19caaeb0d15802-3-ethernet-rootRHEL7-1 # nmcli con show ens33/查看指定網絡連接的詳細信息connection.id: ens33connection.uuid: 0243e05a-81f0-4671-93e0-55a4be1dcdbeconnection.stable-id: -erface-name: ens33connection.type: 802-3-ethernet/省略若干行第第34 頁頁LinuxLinux網

40、絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日在ens33設備上添加網絡連接名為ens33-1的新連接。rootRHEL7-1 # nmcli con add con-name ens33-1 ifname ens33 type ethernet ip4 /24 gw4 54成功添加的連接 ens33-1(b926e70b-07c6-4934-b020-9f95a1777f4e)。rootRHEL7-1 # nmcli con show名稱UUID類型設備Ens330243e05a-81f0-4671-93e0-55a4b

41、e1dcdbe802-3-ethernetens33Ens38e3e26e34-e13c-48d2-bb51-d19caaeb0d15802-3-ethernet-ens33-1b926e70b-07c6-4934-b020-9f95a1777f4e802-3-ethernet-修改ens33-1網絡連接在其中添加首選DNS的IP地址和輔助DNS的IP地址rootRHEL7-1 # nmcli con modify ens33-1 ipv4.dns rootRHEL7-1 # nmcli con modify ens33-1 +ipv4.dns 修改ens33網

42、絡連接,使得開機時能自動啟動,并將IP地址/前綴修改為21/24。rootRHEL7-1 # nmcli con modi ens33 autoconnect yes ipv4.add 21/24 rootRHEL7-1 # nmcli con up ens33 /激活連接使修改后的配置立即生效刪除網絡連接ens33-1及其配置文件。rootRHEL7-1 # nmcli connection delete ens33-1第第35 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日【例例7-5】添加主機名

43、與IP地址7的對應記錄。rootRHEL7-1 # vim /etc/hosts localhost localhost.localdomain localhost4 localhost4.localdomain4:1 localhost localhost.localdomain localhost6 localhost6.localdomain6RHEL7-【例例7-6】為當前主機設置如下DNS主機地址: 0、。rootRHEL7-1 # vim /etc/resolv.conf#Gen

44、erated by NetworkManagernameserver 0nameserver 第第36 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日/etc/hosts和/etc/resolv.conf文件均可響應域名解析的請求,其響應的先后順序可在文件/etc/nsswitch.conf中設置,其默認解析順序為hosts文件、resolv.conf文件中的DNS服務器。rootRHEL7-1 # grep hosts /etc/nsswitch.conf#hosts: db files nis

45、plus nis dnshosts: files dns /其中的files代表用hosts文件來進行名稱解析第第37 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日命令一般格式為命令一般格式為:ping 選項選項 常用選項常用選項:-c 數字數字-s 字節數字節數-i 時間間隔量時間間隔量-t【例例7-7】使用ping命令,向百度網站()發送三個測試數據包。rootRHEL7-1 # ping -c 3 第第38 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日命令一般格式為命令

46、一般格式為:tracepath 選項選項 常用選項常用選項:-n對沿途各主機節點, 僅僅獲取并輸出IP地址,不在每個IP 地址的節點設備上通過DNS查找其主機名,以此來加快測試速度。-b對沿途各主機節點同時顯示IP地址和主機名。-l 包長度包長度設置初始的數據包的大小。-p端口號端口號設置UDP傳輸協議的端口(缺省為33434)?！纠?-8】跟蹤從本主機到目標主機(如)的路由途徑。rootRHEL7-1 # tracepath 1?: LOCALHOST pmtu 1500 1: no reply 2: 2.957ms /省略若干行 Resume: pmtu 1500 ho

47、ps 10 back 10第第39 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日本任務針對圖本任務針對圖7-5中中(具有具有3個子網個子網)各主機及其網卡各主機及其網卡(網卡網卡1網卡網卡6)進行配置進行配置,使得主機使得主機PC1與主機與主機PC2之間的鏈路能雙向之間的鏈路能雙向連通。連通。其配置步驟如下其配置步驟如下:按任務7-2中介紹的方法,依據圖7-5標示的IP地址、子網掩碼、默認網關等參數配置各網卡。 第第40 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日在RHEL

48、7-1和RHEL7-2兩臺主機上開啟IP轉發功能,以使各主機中的網卡不僅能收發數據包還能轉發數據包。在RHEL7-1主機上開啟IP轉發功能的過程如下(RHEL7-2上的操作方式相同):rootRHEL7-1 # vim /usr/lib/sysctl.d/00-system.conf/省略若干行net.ipv4.ip_forward=1/添加此行或將此行中的“0”改為“1”:wq/保存退出rootRHEL7-1 # sysctl -p /usr/lib/sysctl.d/00-system.conf/使修改生效使修改生效(系統會顯示配置參數系統會顯示配置參數) 為了實現子網1與子網3之間永久生

49、效的雙向連通,需要在路由器RHEL7-1的ens38網卡上和RHEL7-2的ens33網卡上分別添加永久生效的靜態路由記錄:rootRHEL7-1 # vim /etc/sysconfig/network-scripts/route-ens38/24 via dev ens38/添加從子網1到子網3的路由rootRHEL7-1 # systemctl restart network/重啟網絡服務使配置生效rootRHEL7-2 # vim /etc/sysconfig/network-scripts/route-ens33/24

50、via dev ens33/添加從子網3到子網1的路由rootRHEL7-2 # systemctl restart network/重啟網絡服務使配置生效rootRHEL7-2 # ip route show/查看RHEL7-2上的路由表信息/24 via dev ens33 proto static metric 100 /24 dev ens33 proto kernel scope link src metric 100 /24 dev ens38 pr

51、oto kernel scope link src metric 100第第41 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日在PC1上添加永久生效的能到達子網2(/24)和子網3(/24)的靜態路由,在PC2上添加永久生效的能到達其他子網的默認路由,如圖7-6所示。命令功能Linux系統中的命令格式Windows系統中的命令格式顯示路由表ip route showroute print -4|-6添加或刪除ip route add|del 目標地址/子網掩碼 via

52、 網關route -p add|delete 目標地址 mask 掩碼 網關 metric 躍點數添加或刪除默認路由ip route add|del default via 網關 dev 網絡接口route -p add|delete mask 掩碼 網關 metric 躍點數(-p表示添加或刪除保存到注冊表中的永久路由記錄) 第第42 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日驗證連通性。在PC1和PC2主機上關閉各自的防火墻使用ping命令ping對方的IP地址來測試連通性.如圖7-7所示使用tracert命令跟

53、蹤并顯示所經過的路徑,如圖7-8所示。 第第43 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日 rootRHEL7-1 # rpm -qa |grep firewallrootRHEL7-1 # yum -y install firewalld firewall-configss -nutap | grep firewalld(1)firewalld防火墻的狀態查看、啟動、停止、重啟、重載服務的命令格式為:systemctl status | start| stop|restart|reload firewalld.service(2

54、)開機自動啟動或停止firewalld服務的命令格式為:systemctl enable |disable firewalld.service (3)檢查firewalld進程ps -ef | grep firewalld (4)查看firewalld運行的端口第第44 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日第第45 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日標簽名稱標簽的設置功能服務定義哪些區域的服務是可信的?？尚诺姆湛梢越壎ㄔ搮^的任意連接、接口和源地址。端口用于

55、添加并設置允許訪問的主機或者網絡的附加端口或端口范圍。協議用于添加所有主機或網絡均可訪問的協議源端口添加額外的源端口或范圍,它們對于所有可連接至這臺主機的所有主機或網絡都需要是可以訪問的。偽裝將本地的私有網絡的多個IP地址進行隱藏并映射到一個公網IP,偽裝功能目前只能適用于 ipv4。端口轉發將本地系統的(源)端口映射為本地系統或其他系統的另一個(目標)端口,此功能只適應于IPv4ICMP過濾器可以選擇Internet 控制報文協議的報文。這些報文可以是信息請求亦可是對信息請求或錯誤條件創建的響應富規則用于同時基于服務、主機地址、端口號等多種因素,進行更詳細、更復雜的規則設置,優先級最高。接口

56、用于為所選區域綁定相應的網絡接口(即網卡)來源用于為所選區域添加來源地址或地址范圍第第46 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日【例例7-9】允許其他主機訪問本機的http服務,僅當前生效。第第47 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日【例例7-10】開放本機的8080-8088端口且重啟后依然生效。第第48 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日【例例7-11】過濾 “echo-reply”的

57、ICMP協議報文數據包,僅當前生效。第第49 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日【例例7-12】僅允許8主機訪問本機()的1520端口,當前生效。第第50 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日【例例7-13】將本機的網絡接口ens38添加到dmz區域,僅運行時生效。第第51 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日firewall-cmd命令一般格式為

58、命令一般格式為: firewall-cmd 參數參數1 參數參數2 參數參數3 參數作用-state查詢當前防火墻狀態-panic-on拒絕所有包。-permanent永久生效的設置。永久選項不直接影響運行時的狀態,僅在重載或者重啟服務時可用-reload重新加載“永久”生效的配置規則,使其立即生效,否則要重啟后才生效-zone=指定區域,若未指定區域則為當前默認區域-get-service查看當前激活 services. 取得當前支持service-get-active-zones查看當前活動區域(已經有網絡接口連接的區域)-get-service -permanent查看當前服務配置是否生

59、啟后還是生效-get-default-zone查詢當前默認的區域-set-default-zone=將指定區域設置為默認區域,。此命令會改變運行時配置和永久配置-list-ports查看默認區域或指定區域的端口-list-services查看所有允許的服務-list-all -zone=顯示指定區域全部啟用的特性。若省略區域,將顯示默認區域的信息-list-all-zones顯示所有區域的特性(網卡配置參數,資源,端口以及服務等信息。-get-zones顯示所有可用的區域。列出當前有幾個zone-get-services顯示預先定義的服務-get-active-zones顯示當前正在使用 (被網卡或源關聯) 的所有區域-add-source=將來源于此IP或子網的流量導向指定的區域-remove-source=不再將此IP或子網的流量導向某個指定區域第第52 頁頁LinuxLinux網絡操作系統配置與管理網絡操作系統配置與管理2022年年4月月3日星期日日星期日 參數作用-get-active-zones顯示當前正在使用 (被網卡或源關聯) 的所有區域-add-source=將來源于此IP或子網的流量導向指定的區域-remove-source=不再將此IP或子網的流量導向某個指定區域-add-interface=將來自于該網卡的所有流量都導向某個指定區域-change-inte