《Linux操作系统18-高级网络》由会员分享,可在线阅读,更多相关《Linux操作系统18-高级网络(33页珍藏版)》请在金锄头文库上搜索。
1、Linux操作系统操作系统网络管理网络管理周炯周炯上海艾基信息技术有限公司上海艾基信息技术有限公司1内容简介内容简介1C/S模型2路由管理3ppp配置4VPN21 C/S模型模型C/S介绍守护进程xinetdRPC31 xinetd守护进程守护进程xinetd(eXtendedInterNETservicesdaemon)提供类似于inetd+tcp_wrapper的功能,但是更加强大和安全。它能提供以下特色:*支持对tcp、ucp、RPC服务(但是当前对RPC的支持不够稳定)*基于时间段的访问控制*功能完备的log功能,即可以记录连接成功也可以记录连接失败的行为*能有效的防止DoS攻击(De
2、nialofServices)*能限制同时运行的同意类型的服务器数目*能限制启动的所有服务器数目*能限制log文件大小*将某个服务绑定在特定的系统接口上,从而能实现只允许私有网络访问某项服务*能实现作为其他系统的代理。如果和ip伪装结合可以实现对内部私有网络的访问它最大的缺点是对RPC支持的不稳定性,但是可以启动protmap,与xinetd共存来解决这个问题41 编译安装编译安装 下载xinetdconfigure选项:-with-libwrap:根据tcpd配置文件(/etc/hosts.allow,deny)来进行访问控制-with-loadavg:在系统负载过重时关闭某些服务进程,来实
3、现某些DoS攻击。-with-inet6:使用该选项xinetd将支持IPv651 配置文件配置文件配置方式:/etc/xinetd.conf和/etc/xinetd.d基本格式:Serviceservice_name .其中是属性表,每个属性可指定一个值,使用=,部分属性支持+=,-=实现在原有的基础上加、减某值。61 servers 实现提供当前运行在服务器上的进程表,以及有关这些进程的确切信息,如:Serviceserverstype=INTERNALUNLISTEDSocket_type=streamProtocol=tcpPort=9997Wait=noOnly_from=172.1
4、7.33.111Wait=no71 Services services特定项的目的是提供可用服务的列表Serviceservicestype=INTERNALUNLISTEDSocket_type=streamprotocol=tcpport=8099wait=noOnly_from=topcat81 Xadmin 这个特定服务项提供以交互方式获得services特定服务所提供信息的方法Servicexadmintype=INTERNALUNLISTEDsocket_type=streamprotocol=tcpport=9967wait=noOnly_from=topcat92 Linux路
5、由实现路由实现 路由器简介用Linux主机作静态路由用GateD实现动态路由102 2 路由器路由器简介介 路由器的基本概念路由器的原理与作用路由器的功能Linux的路由种类11路由器的基本概念路由器的基本概念 路由和路由器路由器和交换机的区别路由器的分类:硬路由器和软路由器 12路由器的原理与作用路由器的原理与作用 路由选路的方式有两种:静态(Static)路由和动态(Dynamic)路由。13静态路由静态路由 静态路由是指从每一个源地址到目的地址的传输都具有固定的路径。一般是根据网络的配置情况,预先添加到路由表里的。如果网络设置发生了变化不会自动更新,需要手动进行更改。14动态路由动态路由
6、 常用的动态路由协议:RIP协议OSPF协议BGP协议15路由器的功能路由器的功能 数据转发路由选择协议转换多种协议的路由选择流量控制分段和组装功能网络管理功能16Linux的路由种的路由种类 1.在局域网和外部网之间进行数据包转发。2.分割子网并实现各个逻辑子网间数据包的转发。3.用普通PC机来作通常意义上的路由器,也就是架设软路由器。17硬件准备硬件准备实例(实例(网络拓扑图网络拓扑图 ) 18设置服务器设置服务器IP地址地址 eth0设置外部网络的IP地址,其余四个网络接口分别设置如下内部IP地址:#ifconfigeth0202.38.85.10netmask#ifconfigeth1
7、192.168.1.1netmask#ifconfigeth2192.168.1.65netmask#ifconfigeth3192.168.1.129netmask#ifconfigeth4192.168.1.193netmask255.255.255.192broadcast192.168.1.255或编辑/etc/sysconfig/network-scripts/目录下的启动脚本文件。19设置路由设置路由 #routeadd-net202.38.85.0netmask255.255.255.0deveth0#route add -net 192.168.1.0 netmask 255.
8、255.255.192deveth1#routeadd-net192.168.1.64netmask255.255.255.192deveth2#route add -net 192.168.1.128 netmask 255.255.255.192deveth3#routeadd-net192.168.1.192netmask255.255.255.192deveth4最后指定默认网关:#routeadddefaultgw20配置客配置客户端和端和检测路由路由设置置 1.在一个子网内的一台客户机上,检测能否连通本子网的网关。2.在一个子网内的一台客户机上,检测能否连通另一个子网的网关。 3.
9、在一个子网的一台客户机上,检测是否能够连通另一个子网内的一台客户机。 4.最后在一个子网的一台客户上,检测是否能够连通外部网络。21用用GateD实现动态路由路由 GateD简介配置GateD实现RIP22GateD简介简介 GateD是一个基于路由协议之间交换信息产生的路由数据库,来处理动态路由的软件。它采用了模块化的设计,包括核心服务程序、路由信息数据库、以及多种协议的支持模块。GateD支持的路由协议主要有:RIP、DCNHELLO、OSPF、EGP和BGP。GateD最初是被用来连接NSFNET(美国国家科学基金会NSF资助的关于主干网)网络之间的交界区域。23rip简介简介rip报文
10、类型:请求报文:查询相邻RIP设备,获得它们的距离向量表响应报文:公告它的本地距离向量表中的信息在以下情况下发出:每隔30秒发送一次对另一个RIP结点产生的请求报文的响应如果支持触发式,则在本地距离向量表发生变化时被发出。RIP使用520端口发送和接收,每个数据报最大为512字节24rip分类分类rip-1:rip-2:支持CIDR和VLSM支持组播支持认证支持rip-1rippng:支持IPV6的认证支持IPV6地址使用521端口RIP协议缺点:路径代价限制和收敛时间长25Rip配置配置ripyes|no|offbroadcast;nobroadcast;nocheckzero;prefer
11、encepreference;defaultmetricmetric;queryauthenticationnone|simple|md5paswd;interfaceinterface_listnoripin|ripinnoripout|ripoutmetricinmetricversion1|version2multicast|broadcastsecondaryauthenticationnone|simple|md5password;trustedgatewaysgateway_list;sourcegatewaysgateway_list;traceoptionstrace_opti
12、ons;26Gated.conf配置配置Broadcast:指定rip包被广播发送Nobroadcast:在绑定的接口上不广播rip包Nocheckzero:指定rip不处理RIP包中的保留域Preferencen:设置rip路由的preference,默认为100Metricn:尺度(默认为16)Queryauthentication:设置身份认证方式Interfaceinterface_list:针对接口进行参数设定Trustedgatewaysgateway_list:定义接收更新包的网关Sourcegatewaysgateway_list:直接发送rip的路由器列表Traceoptio
13、nstrace_options:设置RIP跟踪选项27INTERFACE_LIST选项选项noripin:忽略指定接口接收到的RIP包ripin:默认的设置参数noripout:指定接口上不向外发送rip包ripout:默认的设置参数metricinmetric:加入核心路由表前,增加的尺度metricoutmetric:在指定的接口发出rip包前,增加的尺度version1:发送第一个版本的rip协议的数据包version2:指定发送第二个版本的rip协议的数据包。multicast:在指定接口上的发送第二版本的RIP包用组播方式broadcast:指定在特定的接口上,使用广播方式来发送28
14、配置配置GateD实现实现RIP ripyesbroadcast;defaultmetric5;interfaceeth1version2multicast;staticdefaultgateway202.38.85.1preference140retain;293 ppphttp:/一、编译内核要建立PPPOE服务器,除了内核要支持PPP以外还需要内核支持PPPOE,不过在里需要打开内核的不成熟代码才可以选择,内核的配置如下:codematurityleveloptions*promptfordevelopmentand/orincompletecode/driversnetworkingo
15、ptions*packetsocket*packetsocket:mmappedionetworkdevicesupport*ppp(point-to-pointprotocol)support*pppmultilinksupport(experimental)*pppfiltering*pppsupportforasyncserialports*pppsupportforsyncttyports*pppdeflatecompression*pppbsd-compresscompression*pppoverEthernet(experimental)characterdevices*non-
16、standardserialportsupport*hdlclinedisciplinesupport编辑/etc/modules.conf,加入以下几行:aliaschar-major-108ppp_genericalias/dev/pppppp_genericaliastty-ldisc-3ppp_asyncaliastty-ldisc-13n_hdlcaliastty-ldisc-14ppp_syncttyaliasppp-compress-21bsd_compaliasppp-compress-24ppp_deflatealiasppp-compress-26ppp_deflate30
17、 3 ppp使用configure使用make编译PPPD,这里有几个参数比较重要,要支持windows的客户端,应该在编译时加上选项USE_MS_DNS=1,如果你的系统shadow的话,你应该使用makeHASSHADOW=1表示支持shadow密码编译完成后,将生成pppd、pppdump、chat和pppstats这几个文件,使用makeinstall安装这些文件启动PPPOE进程:pppoe-serverL10.0.0.1R10.0.0.2N64-u-L:指定PPPOE服务器的IP地址-R:指定PPPOE拨入服务器分配给客户端的IP地址段-N:允许客户端同时拨入的数量(默认是64最大
18、是65534)修改/etc/ppp/options,查看有没有以下几行,没有就加进去:localrepaire-paploginauthdefaultroutehide-passwordipcp-accept-localipcp-accept-remote10.0.0.1:10.0.0.255netmask255.255.255.0ms-dns10.0.0.1修改/etc/ppp/pppoe-server-options,将所有的行都注释掉添加用户到/etc/ppp/pap-secrets中,例如添加用户test,密码为123456,允许从任何位置拨入:#clientserversecretipaddressestest*“123456”*314 vpnfreeswan32AQ&Q U E S T I O N SA N S W E R S
