【精品】Linux安全策略详解1

1、linux服务器安全策略详解1. 1 linux网络基础1. 1. 1 linux网络结构的特点【it专家网独家】linux在服务器领域已经非常成熟,其影响力日趋增大。 linux的网络服务功能非常强人，但是由t* linux的桌面应用和windows相比还 有一定差距，除了一些linux专门实验室z外，大多数企业在应用linux系统时, 往往是linux和windows （或unix）等操作系统共存形成的异构网络。在一个网络系统中，操作系统的地位是非常重要的。linux网络操作系统以 高效性和灵活性而著称。它能够在pc上实现全部的unix特性，具有多任务、多 用户的特点。linux的组网能力

2、非常强大，它的tcp/ip代码是最高级的。linux 不仅提供了对当前的tcp/ip协议的完全支持，也包括了对卜一代internet w ipv6的支持。linux内核还包括了 ip防火墙代码、ip防伪、ip服务质量控制及 许多安全特性。linux的网络实现是模仿freebsd的，它支持freebsd的带有扩 展的sockets （套接字）和tcp/ip协议。它支持两个主机间的网络连接和sockets 通信模型,实现了两种类型的sockets： bsd sockets和i net sockets。它为不 同的通信模型提供了两种传输协议，即不可靠的、基丁消息的udp传输|办议和可 靠的、基于流的

3、tcp传输|办议，并且都是在1p网际办议上实现的。inet sockets 是在以上两个协议及1p网际协议z上实现的，它们z间的关系如图1-1所示。e 1-1 linux网络中的层3掌握ost网络模型、tcp/ip模型及相关服务对应的层次对于理解linux网 络服务器是非常重要的。1. 1. 2 tcp/ip四层模型和osi七层模型表1-1是tcp/ip四层模型和0si七层模型对应表。我们把0si七层网络模 型和linux tcp/ip四层概念模型对应，然后将各种网络协议归类。«1-1 tcp-1p zosi -t 对应靠"宅二“pus-二三三 appbgh：tf?p ft

4、pt!ts vais tdr-r. rlcjiil,$ 轉 hoc：smtpir x : trixuywr：tcp. udp -s t :1jp :cmf：afi 甲艺劣订左三dm l油:：mt二匂fddt eth j态叮三.pencil：z££s：2.l4 i£e s：2.2 j. z££sc2.l11.网络接口网络接口把数据链路层和物理层放在一起，对应tcp/ip概念模型的网络接 口。对应的网络协议主要是:ethernet. fddi和能传输ip数据包的任何协议。2 网际层网络层对应linux tcp/ip概念模型的网际层，网络层协议管理离

5、散的计算 机间的数据传输，如ip协议为用户和远程计算机提供了信息包的传输方法，确 保信息包能正确地到达日的机器。这一过程屮，ip和其他网络层的协议共同用 于数据传输，如果没有使用一些监视系统进程的丁具，用户是看不到在系统里的 ip的。网络嗅探器sniffers是能看到这些过程的一个装置（它可以是软件，也 可以是硬件），它能读取通过网络发送的每一个包，即能读取发生在网络层协议 的任何活动，因此网络嗅探器sniffers会对安全造成威胁。重要的网络层协议 包括arp （地址解析协议）、icmp （internet控制消息协议）和ip协议（网际协议） 等。3. 传输层传输层对应linux tcp/i

6、p概念模型的传输层。传输层提供应用程序间的通 信。其功能包括：格式化信息流;提供可靠传输。为实现后者，传输层协议规定 接收端必须发回确认信息，如果分组丢失，必须重新发送。传输层包括 tcp （transmission control protocol,传输控制协议）和 udp（user datagram protocol,用户数据报协议）,它们是传输层屮最主要的协议。tcp建立在tp之 上，定义了网络上程序到程序的数据传输格式和规则，提供了 tp数据包的传输 确认、丢失数据包的重新请求、将收到的数据包按照它们的发送次序重新装配的 机制。tcp协议是面向连接的协议，类似于打电话，在开始传输数据之

7、前，必须 先建立明确的连接。udp也建立在ip之上，但它是一种无连接协议，两台计算 机之间的传输类似于传递邮件：消息从一台计算机发送到另一台计算机，两者之 间没有明确的连接。udp不保证数据的传输，也不提供觅新排列次序或帝新请求 的功能，所以说它是不可靠的。虽然udp的不可靠性限制了它的应用场合，但它 比tcp具有更好的传输效率。4. 应用层应用层、表示层和会话层对应linux tcp/ip概念模型中的应用层。应用层 位于协议栈的顶端，它的主要任务是应用。一般是可见的，如利用ftp(文件传 输协议)传输一个文件，请求一个和h标计算机的连接，在传输文件的过程中， 用户和远程计算机交逸的一部分是能

8、看到的。常见的应用层协议有：http、ftp、 telnet、smtp和gopher等。应用层是linux网络设定最关键的一层。linux服 务器的配置文档主要针对应用层屮的协议。tcp/ip模型齐个层次的功能和协议 如表1-2所示。1-2 tcpjp噥全冬个号决怛勿能鬥沪汉,itit，尺*二s = . 痕=二05：#却空二二"二三、hwx茎总上淫揑七士乂；.ppf夕二亠匕冰:slip总圧咚丄、二61多内寒二厂瓷三三3 :門严uu：:cmp cf建整乜上兰士3二af.p :龙社单“土么：raf.p吒*坯土炉8于3： tcp (揑乜传址f a： x5 st.zss .三一才三二可壬？弋

9、关艺二鸳匕二05：少占 寒釜a二三三，:乂心违吃三n：.httpdws刍芒士*; £、up .工工兰必曙雄二3：.：-ts曲迄工4形汁_ _d 说雳 tcpip与osi星大的不辰枉亍osi是一木理论上则是 艮行运仃芥題络协议°卩c1ocio.ccm1. 1. 3 tcp/ip提供的主要用户应用程序1. telnet 程序telnet程序提供远程登录功能。2. 文件传输协议文件传输协议(ftp)允许用户将一个系统上的文件复制到另一个系统上。3. 简单邮件传输协议简单邮件传输协议(smtp)用于传输电子邮件。4. kerberos 协议kerberos是一个受到广泛支持的安全性

10、协议。5. 域名服务器协议域名服务器协议(dns)能使一台设备具有的普通名字转换成某个特泄的网络 地址。6. 简单网络管理协议简单网络管理协议(snmp)把用户数据报协议(udp)作为传输机制,它使用和 tcp/ip不同的术语，tcp/ip用客户端和服务器，而snmp用管理器(manager)和 代理(agent),代理提供设备信息，而管理器管理网络通信。7. 网络文件系统协议网络文件系统i办议(nfs)是由sun microsystems公司开发的一套亦议，可使 多台计算机能透明地访问彼此的冃录。8. 远程过程调用远程过程调用(rpc)是使应用软件能与另一台计算机(服务器)通信的一些函 数。

11、9. 普通文件传输协议普通文件传输协议(tftp)是一种缺乏任何安全性的、非常简单落后的文件传 输协议。10. 传输控制协议传输控制协议(tcp/ip中的tcp部分)是一种数据可靠传输的通信协议。11. 网际协议网际协议(tp)负责在网络上传输由tcp/udp装配的数据包。12. 网际控制消息协议网际控制消息协议负责根据网络上设备的状态发出和检杳消息，它可以将某 台设备的故障通知到其他设备。1.1.4端口号分配tcp和u）p采用16bit的端口号来识别应用程序。那么这些端口号是如何选 择的呢？服务器一般都是通过知名端口号来识别的。例如，对t tcp/ip实现来说， 每个ftp服务器的tcp端口

12、号都是21,矫 telnet服务器的tcp端口号都是23, 每个tftp （普通文件传输协议）服务器的udp端口号都是69昇阿tcp/ip实现所 提供的服务都用知名的广1 023 z间的端口号。这些知名端口号由internet号 分配机构（internet assigned numbers authority, 1ana）来管理。至!j 1992 年为 止，知名端口号介于1255 z间。2561 023 z间的端口号通常都是由unix系 统占用，以提供一些特定的untx服务，也就是说，提供一些只有untx系统才有 的，而其他操作系统可能不提供的服务。现在tana管理广1 023之间所有的端 口

13、号。internet扩展服务与untx特定服务之间的一个差别就是telnet和rlogin, 它们二者都允许通过计算机网络登录到其他主机上。telnet是采用端口号为23 的tcp/ip标准，且儿乎可以在所有操作系统上进行实现。相反，rlogin最开始 时只是为unix系统设计的（尽管许多非unix系统现在也提供该服务）,因此在 20世纪80年代初，它的端口号为513,客户端通常对它所使用的端口号并不关 心，只须保证该端口号在本机上是唯一的即可。客户端口号又称做临时端口号（即 存在时间很短暂），这是因为它通常只是在用户运行该客户程序时才存在，而服 务器则只要主机开着，其服务就运行。大多数tcp

14、/ip实现给临时端口分配1 0245 000之间的端口号。大于5 000 的端口号是为其他服务器预留的（internet .上并不常用的服务）。我们可以在后 面看见许多给临时端口分配端口号的例子。大多数linux系统的文件 /etc/services都包含了人们熟知的端口号。为了找至！i telnet服务,可以运行 以下语句:ugrep telnet /etc/services”。表-3是一些常用tcp服务和端 口。丧13蚩两tcp昂务茁芫tcphtt discrd. a w zl、切"c、f：；|fkz3i *g止i:二“；二三二lx"4?23 atcp k z .5 *

15、iwp， n y.tcp4? t巧召烁迹fk： nw.、llo.tkj小lll.itucrpc、5工fi亡卷c务刃丐:b>c 3，1d.«乂 t可-w.w巧肖，snip 疋以罗=哎l!：=x143.,=矽httpi i=s51w*h7tp、$12m 土亍.二?r513,.債仝鼻土至sbc三*心班：.151-./unixn汕 y:、 "r.11cw.i50cksh w*| t e 另? ixxlx,nfstcp zxfj >t5 :nfs w tcp： "、xxwigioudp为运行于同一台或不同机器之上的两个或多个程序之间传输数据包提 供了简单的、不可

16、靠的连接。“不可靠”意味着操作系统不保证每个发出的包都 能到达，也不保证包能够按序到达。不过udp是尽力传输的，在lan屮udp通常 能达到100%的可靠性。ldp的优点在于它比tcp的开销少，较少的开销使得基于 udp的服务可以用tcp 10倍的吞吐量传输数据。udp主耍用于sln的nfs、nis、主机名解析和传输路由信息。对于有些服务而言, 偶然丢失一个包并不会带來太大的负面影响，因为它们会周期性地请求一个新 包，或者那些包本身并不是很重要。这些服务包括who、talk和一些时间服务。 表1-4是一些常用udp服务和端口。2. linux的tcp/ip网络配置linux从一开始就是为网络而

17、设计的。它内置了以前仅在高端企业产品中才 可见到的成熟功能。然而，尽管拥有这些强大的能力，linux网络的配置却远没 有 windows 网络的配置复杂。诸如 webmin> redhat-conf ig-network 和 yast 允 许执行图形化的配置;诸如ifconfig和route允许通过控制台或脚本查看和修改 网络参数;诸如netstat允许查看单独的网络连接，并显示它们与运行着的进程 的关系。1. 2. 1 linux的tcp/ip网络配置文件除非另行指定,red hat linux系统中大多数配置文件都在/etc目录中。 配置文件如表1-5所示。1-5製盖乂七卩etcfx

18、arrr.- 三手尸坯歿t二£5 .cz r«rck:工二子誉二迄戋兰祈总二营2c港三栄二访三可疋亦两txdi，-xs-：r = rv 爭#丰mwe巧=:舒丁二丁、* 二8*主欣字*亍卞 一八b忆土芒±jsr = f.pc強p空二.a三：抒$ = t歿乂*岁芒于决兰二x=ft 二 cxpwu .>ts： ：-：:< -ht km wi切仝忆x! kpdsf 七-壬3：二农巻ft t-&c ；tx?.x：«ieezr:- is-? 祢瘁h松a呈.尸理牧敌直二巧为豈总r?-?!?五三祺：=？n ：盘乞怪芫工二圣王ec toj-xxze i

19、:逮ftm广s?kr*.巴hmimi虹h=ttehoncccf«2工件兀电h 亍3?«三r $ linux2 宅壮，转就、a:r n szccfx n»rv：dk. 羚 x xetwofck20yw 0 a. s triynsn 吉住號二 jysmiy rtrroffc.jt：.rtdkr ««szsx.jetehmu wtzhx.壬护馭”=壬二寻冬二手基、全w才：p1.2.2网络配置工具在安装linux发行版木时，需要配置网络。你或许已经有一个来自初始配置 的活动etho,这个配置对于当前的使用也许足够，但是随着时间的推移你可能 需要做出更改

20、。下而将介绍与ip网络相关的不同配置项，以及使用这些配置项 的文件和工具。1. 手动修改配置文件手动配置是最直接的方式，熟练的linux用户在平时维护系统的时候更喜欢 使用手工配置，因为手工配置有很多优点： 熟悉命令z后，手工配置更快速，并且不需要重新启动； 能够使用配置命令的高级特性； 更容易维护配置文件，找出系统故障； 能更深刻地了解系统配置是如何进行的。2. 使用linux命令虽然linux桌面应用发展很快，但是命令在linux中依然有很强的生命力。 linux是一个由命令行组成的操作系统，其精髓在于命令行，无论图形界面发展 到什么水平这个原理是不会变的。linux网络设备操作命令包括i

21、fconfig、ip、 ping nctstat、route、ip、arp> hostname f口 etrpwatch。3. webminwebmin 在 networking 下的 network configuration 中提供了一组网络配置 工具。你可以配置单独的接口，并调整它们的当前设置或已保存的设置。还可以 配置蚩也和网关、dns客户端设置，以及木地主机地址。编辑好所有的配置之后， 可以单击“apply configuration来应用它们，不必重新启动系统。4 不同发行版本中的工具每个发行版木都有它自己用于配置网络设置的工具。应该参考特定发行版木 的文档來确定要使用的工具

22、。每种工具都提供了与webmin工具基本相同的配置 选项。其中有些版本at能提供特定于该发行版本的选项。red hat linux 3/4使 用 system-config-network 工具（如图 1-2 所示）,suse linux 使用 yast 工具（如 图1-3所示）os 1-2 ?.rd hat linux 3 -使用 svstan-ccniis.nhv. crk 工具cv* 9 conig*crlr» yol/cmbe admbrmtlacro o«<m «mc ( wks70 p cwl：j mt4 w* mw iamdwim|mci| &

23、gt;mp*|rmvuiivcq 0*1 wh qmc:a . jx鬟家网g) i -3 suse lrnux 便用 yast05 1.2.3配置网络接口1.网卡的选择一般来说,2. 4版本以后的linux可以支持的网卡芯片组数量已经很完备了， 包括著名厂商，如intel,以及使用广泛的rcaltek. via等网卡芯片都已经被 支持，所以使用者可以很轻松地设定好他们的网卡。但是由t linux发行版本众 多（目前超过188个）,使用前最好先查看linux发行版本的文档。以rhel 4.0 为例，这个设备列表在ethernet-howto文档中。另外最直接的方法是杳看h录 /lib/modul

24、es/ release/kernel/drivers/net,其中 release 是内核版本,可以 使用命令“unamer”获得,对于rhel 4.0内核版本是2.6. 9-5elot-cnimg realnx.kc tun.jf*2139epko阿_5口:訂 kc 3ung«r. <c isrlook:pcascib225?.kc eloogxxgt.-*12clty.k*2332.kc 9ui9c0.ko naacxi.konerdxp kopppox k”112k kcforceieth e"vitoon. <c2139toc.kc-rcl,kcsurf

25、erj h：. joponez32. ko3 二x. 9elqj.ka xliakotgs.kovlrelesdacenic k»*k98iinankoour ko»ppp.eseri 二 ko sihc icor okearmjtii tc<pppee ke b3lz91 ?4ak2可以看封这个目录列出所有linux内協支持的刚络设备动程序.3趴3com. inte. '.也有一些是其他类型的设备.对于初学看应当尽 斗家网2. 检査网卡是否加载驱动硬件是操作系统最基本的功能，操作系统通过各种驱动程序来驾驭硬件 设备，和windows系统不同,linux内核目

26、前采用可加载的模块化设计(lkms loadable kernel modules),就是将最基本的核心代码编译在内核屮，网卡驱动 程序是作为内核模块动态加载的，可以使用命令“lsmod”查看加载情况：“ isdsd*51ze±c_xcd54*41button42x2batterys9c13ac4s05wxd5c033jcev102412uhci hcd4m31065gehcihsd30917gsnd_*ia322uc243732s91 snd_via：2xx-3ndjpar._03349017acxindcore tulip9:?3450251 and*1 1-*via_rhinc

27、 all231132*_n-lcext31168093bl"125*1 ext3对每行而言，第一列是模块名称;第二列是模块人小;第三列是调用数。调用 数后面的信息对每个模块而言都有所不同。如果(unused)被列在某模块的那行 屮，说明该模块当前未被使用。如果(autoclean)被列在某模块的那行屮，说明 该模块可以被rmmod-a命令口动清除，当这个命令被执行后，所有自从上次被自 动清除后未被使用的且标记了 “autoclean”的模块都会被卸载。从以上粗体字 符可以看到linux计算机屮两块网卡模块tulip和via_rhine已经加载。对应的 网卡商业型号分别是：tulip

28、lite-on communications inc lne1ootx linksys etherfast 10/100ovia_rhine via vt6102rhine-ii常见主板集成网卡。如果没有检测到硬件，用便件检测程序kuduz检测网卡，它和windows中添 加新硕件功能差不多。kudzu程序是通过查看/usr/share/hwdata/1=|录下的文件 识别各种硬件设备的。如果内核支持该硕件，并月有该驱动程序就可门动装载。 首先需耍说明的是，linux下对网卡的支持往往是针对芯片的，所以对某些不是 很著名的网卡，需耍知道它的芯片型号以配置linux,比如top link网卡，就

29、 不存在linux的驱动，但是因为它与ne2000兼容，所以把它当做ne2000就可以 在linux t使用了。所以当你有一块网卡不能使用，在未找到linux的驱动程序 之前，一定搞清楚这个网卡使用的是什么芯片，跟谁兼容，比如3c509, ne2000 等。这样的型号一般都在网卡上最大的一块芯片上卬着，抄下來就是了。对于 isa接口的ne2000卡,首先需要将网卡设定为jumpless模式。目前很多网卡默 认的都是pnp模式，这在windows下的确能减少很多麻烦，但是linux不支持， 所以linux下必须是jumpless模式。一般所有网卡都带有驱动盘和在dos下可 执行的一个设定程序，用

30、该程序将网卡设为jumplesso对于pci网卡，可以使 用lspci命令来查看。在显示的列表中找到ethernet controllern ,记下厂 商和型号，然后使用modprobe尝试加载正确的模块，比如modprobe 3c509o如 果出现错误，说明该模块不存在。这时候你应该找到正确的模块并且重新编译。如果你使用的是比较罕见的一些网卡，或者是linux核心支持不够的网卡， 以致在安装linux时无法检测到网卡，那也不用担心，我们可以使用较为简单的 核心模块编译来支持这块网卡。下面以3c0m的3cr990-tx-97网卡为例(一款具 有空全特性的网卡)看看如何进行模块编译。首先在其网站

31、 linuxdownload. htm">http:/ww. 3com com/infodcli/tools/nic/linuxdownlo ad. htm卜载适合你使用内核版本的相关驱动程序，这里以2. 4内核为例。#wegt http:/www. 3com com/infodcli/tools/nic/3c990-l. 0. 0a. tar. gz另外在开始编译核心模块之前，因为驱动程序需要配合核心來编译，所以会 使用到kernel source或者是kernel header的数据，此外，也需要编译器 (compiler)的帮助，因此，先确定你的linux系统当中已经存在

32、下列软件： kernelsource、kernel、gcc> makeozxvf 3c990-l. 0. 0a. tar. gz# make此时会产生3c990. o驱动模块，然后使用命令复制到相应位置，查看加载 是否正常。smodprobe 3c990#cp 3c990.o /iib/modules/2. 4. 20-8/kernel/drivers/net# depmod - a然后使用lsmod命令检查加载情况，如果一切正常，可以让系统启动时自 动加载该模块：#ech()ual i as etho 3c990” » /etc/modules, conf3为新网卡设定ip地

33、址linux网络设备在配置时被赋予别名,该别名由一个描述性的缩略词和一个 编号组成。某种类型的第一个设备的编号为0,其他设备依次被编号为1, 2, 3 等。但是网卡并不是作为裸设备出现在/dev目录下，而是存在内存中。etho、 cthl是以太网卡接口，它们用于大多数的以太网卡，包括许多并行端口以太网 卡。本节主要讨论这类网卡。为linux以太网卡设定ip地址的方式非常灵活， 你可以选择适合你工作情况的方法。(1) 使用ip或ifconfig命令ifconfig命令是最重要的linux网络命令，它最主要的用途是设定、修改 网卡的tp地址：ttifconf i g etho 192. 168.

34、0. 2 netmask 255. 255. 255. 0在默认情况下，ifconfig显示活动的网络设备。给这个命令添加一个“-a” 开关就能看到所有设备。但是ifconfig命令设置完网络设备的ip地址，当系统 重新启动后设置会自动失效，所以它主要用于网卡状态调试。假设你要建立一个 临时的网络配置以供测试,你可以使用发行版本屮的丁具来编辑配置，但是需要 注意，在完成测试z后,将所有设置恢复回去。通过使用ifconfig命令，我们 无须影响已保存的设置，就能够快速地配置网卡。ip命令是iproute2软件包屮的一个强大的网络配置t具，它能够替代一些 传统的网络管理工具，例如ifconfig、

35、route等。现在，绝大多数linux发行版 和绝大多数unix都使用古老的arp、ifconfig和route命令。虽然这些工具能 够工作，但它们在linux2.2和更高版本的linux内核上显得有些落伍。使用 iproute2前，你应该确认己经安装了这个工具。这个包的名字在red hat linux 9. 0 叫做 “iproute2” , 也可以在 ftp:/ftp. int. ac. ru/ip-routing/下载源代 码安装。在以太网接口 etho上增加一个地址10. 0. 0. 1,掩码长度为24位，标准广 播地址,标签为etho:alias： ”#ip addr add 10.

36、 0.0.1/24 brd + dev etho label ctho:alias(2) 使用nctconf ig命令netconfig命令口j以设置网络设备的tp地址，netconfig命令口j以永久保存 设置。使用方法是：unetconfig ethxv。使用命令“netconfig elho”后，会 在命令行下弹出一个对话框，这时即可进行设定，如图1-4所示。一1 ”jip k<mtui t.2*s,4».图1-4 netconfig配置界面设定结朿后，用“tab”键选择“ok”，即可保存设置并且退出，然后使用 命令"service network restar

37、tn 激活，即可生效。(3) 使用neat命令使用neat命令需要配置好x window系统，在命令行下运行neat命令后, 添加ip地址和其他相关参数后保存设置，重新启动网络和网络服务或计算机, 如图1-5所示。>dil|0 fl hew则歎话设歓山0 乂许所“用户口用10：训浹设企必oip 加 izaft川i | 山 i |® »4>qhw ipr i:«28 it mutft专獗网亠 .c1ocx>.c<xn cn® 1-5e）形界曲忝加:p地址j图1-5图形界面添加ip地址另外，neat命令还有一个等价命令“redhat-

38、config-networkv ,二者完全 相同。neat和redhat-config- config命令可以永久保存设置。(4) 修改tcp/ip网络配置文件除非另行指定，red hat linux网卡相关的tcp/ip网络配置文件是 /etc/sysconfig/network-scripts/ ifcfg-ethx,其中 x 从 0 开始，第一个以太 网配置文件即/etc/sysconf ig/nctwork-scripts/ifcfg-cthoovi 编辑器可以修改这个文件，也可以修改网卡ip地址。二£vzc£=eth：okbcot«yes bootfro

39、to-static:权2 255.255.0ewc 松亠：h :br0a2cast-121-2553atl0ay-设定冋卡的名称，要跟文件名称对应是否在开机的时候启动酥|工专家网c启动的呼if墓刪卿，这里«固定的创果是动态主机的心奧改成负壬 /irhlilt /子瞰玛“该网段的第一个二卩灵后一个同网段的厂猶地址，/网关地址存盘后使用命令"service network restartv激活即可生效。该方法同样可以永久保存设置。(5) 为网卡添加ipv6地址和windows操作系统相比，linux对ipv6的支持更好，最早的支持ipv6的 linux内核是

40、2. 2o 一般基于2. 4内核的linux发行版本都可以直接使用ipv6, 使用前要看系统的ipv6模块是否被加载，如果没有被加载可以使用命令手工加 载，这需要超级用户的权限。然后使用命令检测，如果显示ipv6地址(inet6 addr： fe80: : 200: e8ff: feao: 2586/64),证明 ipv6 已经加载。# modprobe ipv6;#ifconfig - a如果希望linux系统启动时自动加载ipv6模块，可以在配置文件 /etc/modules. conf 屮加入一行：alias net?pf?10 ipv6 # automatically load ipv

41、6 module on demand4. 调整网卡工作模式现在的网卡大多是自适应工作模式，在配置网卡参数时，我们很少考虑它的 工作模式，有时发现一些网卡模块已经加载，但是在某些模式工作不稳定。如一 块xxx品牌的杂牌rtl-8139c芯片10/100自适应网卡，在100m全双工状态下极 其不稳定(在qcheck的tcp和udp的测试过程中，数据包遗失率9. 12%)。在linux 环境下，我们可以使用系统自带的工具mii-tool命令来配置网卡工作模式。显 示linux服务器网卡支持的所有以太网卡类型,使用命令：# mi i-tool -vetho: negotiated 100basetx-

42、fd, link okproduct info: vendor 00:00:00, model 0 rev 0basic mode: autonegotiation enabledbasic status: autonegotiation complete, link okcapabilities: 100basetx-fd 100basetx-hd 10baset-fd 10baset-hdadvertising: 100basetx-fd 100basetx-hd 10baset-fd 10baset-hdlink partner: 100basetx-fd 100basetx-hd 10baset-fd 10baset-hd从以上信息中可以看出，这块网卡工作在100m全双工自适应模式下， “loobasetx-fd”表示100m full duplexo这里可以强制网卡工作在100m半双 工模式下，输入命令：#mii-tool - f 100basetx-hd etho然后恢复网卡的自适应工作模式，输入命令:#mi i一tool - r etho另外，在路曲器、交换机、代理服务器等通信量比较大的关键设备上,应该 为它指定正确的工作模式，这样可以提高通信效率。5. dhcp客户端的网