RHEL7版-项目07 网络配置与Firewalld防火墙的管理_第1页
RHEL7版-项目07 网络配置与Firewalld防火墙的管理_第2页
RHEL7版-项目07 网络配置与Firewalld防火墙的管理_第3页
RHEL7版-项目07 网络配置与Firewalld防火墙的管理_第4页
RHEL7版-项目07 网络配置与Firewalld防火墙的管理_第5页
已阅读5页,还剩59页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、第第1 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日Red Hat Enterprise Linux 7.3(RHEL 7.3)l课程标准课程标准( (教学大纲教学大纲) )l教学设计方案教学设计方案( (教案教案) )lPPTPPT电子课件电子课件l教材习题参考答案教材习题参考答案l模拟试卷及参考答案模拟试卷及参考答案(4(4套套) )l红帽认证红帽认证+ +全国技能大赛资料全国技能大赛资料l知识拓展知识拓展& &网络工程解决方案网络工程解决方案附赠光盘附赠光盘第第2 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与

2、管理2022年年4月月3日星期日日星期日第第3 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日网络主机网络主机(终端节点终端节点)的连网配置的连网配置:对网络中所有计算机或服务器的主机名、网络接口(网卡)的配置(包括IP地址、子网掩码、默认网关、DNS服务器的IP地址等),以便使同一子网中的主机之间能相互连通。网络互连设备的配置网络互连设备的配置:对内部网络中连接各子网的路由器和交换机的配置。其目的是实现不同子网中的主机之间能够相互连通,主要是路由信息的配置。网关设备的配置网关设备的配置:是指在校园网与外部互联网的交界处的设备上所实施的

3、配置。主要包括防火墙和NAT服务的配置。通过防火墙规则设置以保护校园内部网络中的主机(主要是服务器);通过NAT服务的配置以允许校园网内所有配置私网IP地址的主机能访问外部互联网,同时,外网的用户也可以访问校园网内的某些服务器。7.1 项目项目描述描述第第4 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日7.2 项目知识准备项目知识准备 1.网络配置的主要文件及目录网络配置的主要文件及目录路径及文件名功能/etc/hostname用于设置和保存静态主机名/etc/machine-info用于设置和保存灵活主机名/etc/hosts用于设

4、置主机名映射为IP地址,从而实现主机名的解析/etc/sysconfig/network-scripts/网络接口(网卡)配置文件的存放目录/etc/resolv.conf用于对主机的DNS服务器IP地址进行配置/etc/nsswitch.conf用于指定域名解析顺序/etc/services用于设置主机的不同端口对应的网络服务(一般无需修改)/usr/lib/sysctl.d/00-system.conf用于开启或关闭路由转发功能,从而使数据包能在不同子网之间转发/etc/sysconfig/network-scripts/route-ensXX用于设置并保存静态路由信息,从而将Linux服

5、务器构建为软路由器 第第5 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日网络接口网络接口是指网络中的计算机或网络设备与其他设备实现通讯的进出口。这里,主要是指计算机的网络接口即网卡设备。从RHEL7开始引入了一种新的“一致网络设备命名”的方式为网络接口命名,该方式可以根据固件、设备拓扑、设备类型和位置信息分配固定的名字。网络接口的名称的前两个字符为网络类型符号。如:len示以太网(Ethernet)、wl表示无线局域网(wlan)、ww表示无线广域网(wwan);接下来的字符根据设备类型或位置选择,如: lo表示内置(onboard)

6、于主板上的集成设备(即集成网卡)及索引号;ls表示是插在可以热拔插的插槽上的独立设备及索引号;lx表示基于MAC地址命名的设备;lp表示PCI插槽的物理位置及编号。则是为网络接口实施配置的设置集合。在同一个网络接口上,可以有多套不同的设置方案,即一个网络接口可以有多个网络连接,但同一时间只能有一个网络连接处于活动状态。 第第6 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日第第7 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日第第8 页页LinuxLinux网络操作系统配置与管理

7、网络操作系统配置与管理2022年年4月月3日星期日日星期日第第9 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日Console口4个10/100/1000口 CheckPoint UTM-1 570 第第10 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日1Linux防火墙的历史防火墙的历史在在3.10之后的内核中之后的内核中,包过滤机制是包过滤机制是netfilter,管理防火墙管理防火墙的工具有的工具有firewalld、iptables等。等。firewalld的官网:的官

8、网:第第11 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日2Linux防火墙的架构防火墙的架构Linux防火墙系统由以下三层架构的三个子系统组成防火墙系统由以下三层架构的三个子系统组成:内核层的内核层的中间层服务程序中间层服务程序:是连接内核和用户的与内核直接交互是连接内核和用户的与内核直接交互的监控防火墙规则的服务程序或守护进程的监控防火墙规则的服务程序或守护进程,它将用户配置它将用户配置的规则交由内核中的的规则交由内核中的netfilter来读取来读取,从而调整防火墙规从而调整防火墙规则。则。用户层工具用户层工具:是是Linux系

9、统为用户提供的用来定义和配系统为用户提供的用来定义和配置防火墙规则的工具软件。置防火墙规则的工具软件。第第12 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日表表链链规则规则的结构来组织规则的结构来组织规则第第13 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日第第14 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日在在RHEL7中用户层的配置中用户层的配置firewalld防火墙规则防火墙规则的工具有以下三种的工具有以下

10、三种:图形工具图形工具firewall-config。命令行工具命令行工具firewall-cmd。直接编辑直接编辑/etc/firewalld/目录中扩展名为目录中扩展名为.xml的一系列的一系列配置文件。配置文件。为了简化防火墙管理为了简化防火墙管理,firewalld将所有网络流量将所有网络流量划分为多个区域。根据数据包源划分为多个区域。根据数据包源IP地址或传入网地址或传入网络接口等条件络接口等条件,流量将转入相应区域的防火墙规流量将转入相应区域的防火墙规则则,firewalld提供的几种预定义的区域及防火墙提供的几种预定义的区域及防火墙初始规则见表初始规则见表7-2。第第15 页页L

11、inuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日区域(zone)区域中包含的初始规则trusted (受信任的)允许所有流入的数据包。home (家庭)拒绝流入的数据包,允许外出及服务ssh,mdns,ipp-client,samba-client与ernal (内部)拒绝流入的数据包,允许外出及服务ssh、mdns、ipp-client、samba-client、dhcpv6-client。work (工作)拒绝流入的数据包,除非与输出流量数据包相关或是ssh,ipp-client与dhcpv6-client

12、服务则允许。public (公开)拒绝流入的数据包,允许外出及服务ssh、dhcpv6-client,新添加的网络接口缺省的默认区域。external (外部)拒绝流入的数据包,除非与输出流量数据包相关,允许外出及服务ssh、mdns、ipp-client、samba-client、dhcpv6-client,默认启用了伪装。dmz (隔离区)拒绝流入的数据包,除非与输出流量数据包相关 ,允许外出及服务ssh。block (阻塞)拒绝流入的数据包,除非与输出流量数据包相关。drop (丢弃)任何流入网络的包都被丢弃,不作出任何响应,除非与输出流量数据包相关。只允许流出的网络连接。第第16 页页

13、LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日数据包要进入到内核必须要通过这些区域数据包要进入到内核必须要通过这些区域(zone)中的一个中的一个,不同的区域里预定义的防火墙规则不一样不同的区域里预定义的防火墙规则不一样(即信任度或过滤即信任度或过滤的强度不一样的强度不一样),人们可以根据计算机所处的不同的网络环境人们可以根据计算机所处的不同的网络环境和安全需求将网卡连接到相应区域和安全需求将网卡连接到相应区域(默认区域是默认区域是public),并对并对区域中现有规则进行补充完善区域中现有规则进行补充完善,进而制定出更为精细的防火进而制定

14、出更为精细的防火墙规则来满足网络安全的要求。一块物理网卡可以有多个网墙规则来满足网络安全的要求。一块物理网卡可以有多个网络连接络连接(逻辑连接逻辑连接),一个网络连接只能连接一个区域一个网络连接只能连接一个区域,而一个而一个区域可以接收多个网络连接。区域可以接收多个网络连接。根据不同的语法来源根据不同的语法来源,firewalld包含的规则有以下三种:包含的规则有以下三种:标准规则标准规则:利利用用firewalld的基本语法规范所制定或添加的的基本语法规范所制定或添加的防火墙规则。防火墙规则。直接规则直接规则:当当firewalld的基本语法表达不够用时的基本语法表达不够用时,通过手动通过手

15、动编码的方式直接利用其底层的编码的方式直接利用其底层的iptables或或ebtables的语法的语法规则所制定的防火墙规则。规则所制定的防火墙规则。富规则富规则: firewalld的基本语法未能涵盖的的基本语法未能涵盖的,通过富规则语通过富规则语法制定的复杂防火墙规则。法制定的复杂防火墙规则。第第17 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日第第18 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日1NAT服务的概念及分类服务的概念及分类根据根据NAT替换数据包头部中地址

16、的不同替换数据包头部中地址的不同,NAT分为源分为源地址转换地址转换SNAT(Source NAT)(IP伪装伪装)和目的地址和目的地址转换转换DNAT(Destination NAT)两类。两类。SNAT技术技术主要应用于在企事业单位内部使用私网主要应用于在企事业单位内部使用私网IP地址地址的所有计算机能够访问互联网上服务器的所有计算机能够访问互联网上服务器,实现共享上网实现共享上网,并并且能隐藏内部网络的且能隐藏内部网络的IP地址。在地址。在RHEL7系统内置的防火系统内置的防火墙中的墙中的IP伪装功能就是伪装功能就是SNAT技术具体实现方式。技术具体实现方式。DNAT技术技术则能让互联网

17、中用户穿透到企事业的内部网络则能让互联网中用户穿透到企事业的内部网络,访问使用私网访问使用私网IP地址的服务器地址的服务器,即无公网即无公网IP的内网服务器的内网服务器发布到互联网发布到互联网(如发布如发布Web网站和网站和FTP站点等站点等)。第第19 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日2NAT服务器的工作过程服务器的工作过程NAT服务器的工作过程如图服务器的工作过程如图7-3所示。所示。第第20 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日在RHEL7中,引入了

18、静态(static)、瞬态(transient)和灵活(pretty)三种主机名。“瞬态瞬态”主机名主机名第第21 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日选项说明如下:选项说明如下:status可同时查看静态、瞬态和灵活三种主机名及其相关的设置信息。-static仅查看静态(永久)主机名。-transient仅查看瞬态(临时)主机名。-pretty仅查看灵活主机名。hostnamectl status -static|-transient|-pretty 查看主机名的命令一般格式如下查看主机名的命令一般格式如下:rootdyzx

19、 # hostnamectl status Static hostname: Icon name: computer-vm Chassis: vm Machine ID: ebcaefed3f4d4359a7113ab85ec89629 Boot ID: 76f5e89582ff4e62930bfc2f5ee33aa6 Virtualization: vmware Operating System: Red Hat Enterprise Linux Server 7.3 (Maipo) CPE OS Name: cpe:/o:redhat:enterprise_linux:7.3:GA:ser

20、ver Kernel: Linux 3.10.0-514.el7.x86_64 Architecture: x86-64第第22 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日查看、修改瞬态查看、修改瞬态(临时临时)主机名的命令如下主机名的命令如下:hostnamectl -static|-transient|-pretty set-hostname 修改主机名的命令一般格式如下修改主机名的命令一般格式如下:rootdyzx # hostnamectl -transient/查看修改前的瞬态主机名rootdyzx # hostnamec

21、tl -transient set-hostname server1/修改瞬态主机名rootdyzx # hostnamectl -transient/查看修改后的瞬态主机名server1查看、修改静态查看、修改静态(永久永久)主机名的命令如下主机名的命令如下:root dyzx# hostnamectl -static/查看修改前的静态主机名rootdyzx # hostnamectl -static set-hostname dyzx# hostnamectl -static/查看修改后的静态主机名第第23 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4

22、月月3日星期日日星期日当用hostnamectl命令修改静态主机名后,/etc/hostname文件中保存的主机名会被自动更新,而/etc/hosts文件中的主机名却不会自动更新,因此,在每次修改主机名后,一定要手工更新/etc/hosts文件,在其中添加新的主机名与IP地址的映射关系rootdyzx # bash/重新开启Shellrootserver2#查看在设置新的静态主机名后查看在设置新的静态主机名后,会立即修改内核主机名会立即修改内核主机名,只是在提示符只是在提示符中中“”后面的主机名还未自动刷新后面的主机名还未自动刷新,此时此时,只要执行重新开启只要执行重新开启Shell登登录命令

23、录命令,便可在提示符中显示新的主机名。便可在提示符中显示新的主机名。rootserver2#vim /etc/hostslocalhost localhost.localdomain localhost4 localhost4.localdomain4:1localhost localhost.localdomain localhost6 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日由上可见,在修改静态/瞬态主机名时,任何特殊字符或空白字符会被移除,并且大写字母会自动转化为小写字母,而灵活主机名则保持了原样,这正是起

24、名为灵活主机名的缘由。root server2 # hostnamectl set-hostname Zhang3 s Computerroot server2 # hostnamectl -static/查看静态主机名zhang3scomputerroot server2 # hostnamectl -transient/查看瞬态主机名zhang3scomputer root server2# hostnamectl -pretty/查看灵活主机名Zhang3s Computer 第第25 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期

25、日添加临时生效的网络连接添加临时生效的网络连接:该方式适合在调试网络时临时该方式适合在调试网络时临时使用。这种方式虽然在设置后能马上生效使用。这种方式虽然在设置后能马上生效,但由于是直接但由于是直接修改目前运行内核中的网络参数修改目前运行内核中的网络参数,并未改动网络连接配置并未改动网络连接配置文件中的内容文件中的内容,因此在系统或网络服务重启后会失效。因此在系统或网络服务重启后会失效。持久生效的网络连接配置持久生效的网络连接配置:此方式是对存放网络连接参数此方式是对存放网络连接参数的配置文件进行修改或设置的配置文件进行修改或设置,适合在长期稳定运行的计算适合在长期稳定运行的计算机上使用。其配

26、置工具有机上使用。其配置工具有vim、nmtui和和nmcli等。等。第第26 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日命令用法功能ip -s addr show 网卡设备名查看网卡在网络层的配置信息,加-s表示增添显示相关统计信息,如接收 (RX) 及传送 (TX) 的数据包数量等ip -s link show 网卡设备名查看网卡在链路层的配置信息ip -4 addr add|del IP地址/掩码长度 dev 网卡连接名ip -6 addr add|del IP地址/掩码长度 dev 网卡连接名添加或删除网卡的临时IPv4地址

27、添加或删除网卡的临时IPv6地址ip link set dev 网卡的设备名 down|up禁用|启用指定网卡第第27 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日【例例7-1】在RHEL7-1主机上,为网卡ens33临时添加一个IP地址1/24,并查看其配置结果。在重启网卡后再次查看配置的结果。操作的命令如下:rootRHEL7-1 # ip addr show ens33/查看接口ens33当前的IP地址和子网掩码2: ens33: mtu 1500 qdisc pfifo_fast state UP qlen

28、1000 link/ether 00:0c:29:3d:b8:92 brd ff:ff:ff:ff:ff:ff inet 1/24 brd 55 scope global ens33 valid_lft forever preferred_lft forever inet6 fe80:1671:5718:ea13:ef42/64 scope link valid_lft forever preferred_lft forever已启用的活动接口的状态为UP,禁用接口的状态为DOWN。link行指定网卡设备的硬件(MAC)地址。inet行显示IPv4地址和网络

29、前缀(子网掩码)。广播地址、作用域和网卡设备的名称。inet6行显示IPv6信息。第第28 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日rootRHEL7-1 #ip addr add 6/24 dev ens33/在接口ens33上添加临时IP地址rootRHEL7-1 # ip addr show ens332: ens33: mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:0c:29:3d:b8:92 brd ff:ff:ff:ff:ff:f

30、f inet 1/24 brd 55 scope global ens33 valid_lft forever preferred_lft forever inet 6/24 scope global ens33 valid_lft forever preferred_lft forever inet6 fe80:1671:5718:ea13:ef42/64 scope link valid_lft forever preferred_lft foreverrootRHEL7-1 # ip link set dev ens33 downro

31、otRHEL7-1 # ip link set dev ens33 up rootRHEL7-1 # ip addr show/显示所有网络接口的当前IP地址和子网掩码/省略显示结果第第29 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日【例例7-2】在RHEL7-1主机上,通过编辑网络连接配置文件为网卡ens33配置网络参数。其配置方法如下:rootRHEL7-1 # vim /etc/sysconfig/network-scripts/ifcfg-ens33TYPE=Ethernet/指定网络类型为以太网模式BOOTPROTO=no

32、ne/指定启动地址协议的获取方式(dhcp或bootp为自动获取,none/为放弃自动获取,一般用于网卡绑定时,static为静态指定IP DEFROUTE=yes/是否把这个ens38设置为默认路由IPV4_FAILURE_FATAL=no/如果IPv4配置失败,设备是否被禁用IPV6INIT=yes/允许在该网卡上启动IPV6的功能IPV6_AUTOCONF=yes/是否使用IPV6地址的自动配置IPV6_DEFROUTE=yesIPV6_FAILURE_FATAL=noIPV6_ADDR_GEN_MODE=stable-privacyNAME=ens33/网络连接标识名UUID=00de

33、cbce-3c43-47f1-82a6-627cbd80188f/网卡全球通用唯一识别码DEVICE=ens33/网卡设备名ONBOOT=yes/设置系统或网络服务在启动时是否启动该接口IPADDR=1/设置IP地址PREFIX=24/设置子网掩码GATEWAY=54/设置网关DNS1=/设置DNS的IP地址IPV6_PEERDNS=yesIPV6_PEERROUTES=yesHWADDR=00:0C:29:C7:FE:8A/网卡的物理地址(也称网卡号)rootdyzx network-scripts# systemctl restart ne

34、twork.service /重启网络服务,使配置生效第第30 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日3用用nmtui工具修改网卡配置文件工具修改网卡配置文件【例例7-3】使用nmtui工具,为RHEL7-1主机的第二块网卡ens38配置网络参数。其配置步骤如下:检查nmtui工具相应的服务是否启用。RHEL7默认已安装,并已开启了相应的服务(NetworkManager.service)。若nmtui工具的安装包已卸载可用以下命令进行安装、启用并检查启用状态。root RHEL7-1 # yum install Network

35、Manager-tuiroot RHEL7-1 # systemctl start NetworkManager.serviceroot RHEL7-1 # systemctl status NetworkManager.service步骤步骤2:在命令行执行以下命令:root rhel7-1 # nmtui步骤步骤3:在打开的【NetworkManag】窗口中按图7-4所示完成操作。第第31 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日3用用nmtui工具修改网卡配置文件工具修改网卡配置文件系统返回【以太网】窗口,按【Tab】键将焦

36、点移至【】按【Enter】键在返回的【NetworkManag】窗口中使用光标下移键将焦点移至【退出】选项按【Enter】键后系统退出nmtui工具。步骤步骤5:在命令行下,执行重启网络服务命令,使配置生效。rootRHEL7-1# systemctl restart network.service第第32 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日命令用法功能nmcli dev status显示所有网卡设备的状态nmcli con show -active 网络连接名显示所有或活动的或指定的网络连接nmcli con add co

37、n-name 网络连接名 type ethernetifname 网络接口名称 ip4 ip地址/前缀 gw4 默认网关为指定的网卡设备添加网络连接,并以“ifcfg-连接名”名称保存其配置文件nmcli con mod 网络连接名 ipv4.add “ip地址/前缀 默认网关”修改并保存指定网络连接中的IP地址和网关nmcli con up 网络连接名将绑定到网络接口上指定的网络连接激活nmcli dev dis 网络连接名将绑定到网络接口上指定的网络连接关闭nmcli con del 网络连接名删除指定的网络连接及其配置文件nmcli con reload重新读取网络连接配置文件,使其修改

38、生效第第33 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日使用nmcli命令完成以下系列操作:查看当前主机中所有网卡设备的状态信息。root rhel7-1 #nmcli dev status设备类型状态CONNECTION Ens33ethernet连接的ens33Ens38ethernet已断开-Loloopback未管理-查看网络连接的信息。rootRHEL7-1 # nmcli con show/查看所有网络连接名称 UUID类型设备Ens330243e05a-81f0-4671-93e0-55a4be1dcdbe802-3-

39、ethernetens33Ens38e3e26e34-e13c-48d2-bb51-d19caaeb0d15802-3-ethernet-rootRHEL7-1 # nmcli con show ens33/查看指定网络连接的详细信息connection.id: ens33connection.uuid: 0243e05a-81f0-4671-93e0-55a4be1dcdbeconnection.stable-id: -erface-name: ens33connection.type: 802-3-ethernet/省略若干行第第34 页页LinuxLinux网

40、络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日在ens33设备上添加网络连接名为ens33-1的新连接。rootRHEL7-1 # nmcli con add con-name ens33-1 ifname ens33 type ethernet ip4 /24 gw4 54成功添加的连接 ens33-1(b926e70b-07c6-4934-b020-9f95a1777f4e)。rootRHEL7-1 # nmcli con show名称UUID类型设备Ens330243e05a-81f0-4671-93e0-55a4b

41、e1dcdbe802-3-ethernetens33Ens38e3e26e34-e13c-48d2-bb51-d19caaeb0d15802-3-ethernet-ens33-1b926e70b-07c6-4934-b020-9f95a1777f4e802-3-ethernet-修改ens33-1网络连接在其中添加首选DNS的IP地址和辅助DNS的IP地址rootRHEL7-1 # nmcli con modify ens33-1 ipv4.dns rootRHEL7-1 # nmcli con modify ens33-1 +ipv4.dns 修改ens33网

42、络连接,使得开机时能自动启动,并将IP地址/前缀修改为21/24。rootRHEL7-1 # nmcli con modi ens33 autoconnect yes ipv4.add 21/24 rootRHEL7-1 # nmcli con up ens33 /激活连接使修改后的配置立即生效删除网络连接ens33-1及其配置文件。rootRHEL7-1 # nmcli connection delete ens33-1第第35 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日【例例7-5】添加主机名

43、与IP地址7的对应记录。rootRHEL7-1 # vim /etc/hosts localhost localhost.localdomain localhost4 localhost4.localdomain4:1 localhost localhost.localdomain localhost6 localhost6.localdomain6RHEL7-【例例7-6】为当前主机设置如下DNS主机地址: 0、。rootRHEL7-1 # vim /etc/resolv.conf#Gen

44、erated by NetworkManagernameserver 0nameserver 第第36 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日/etc/hosts和/etc/resolv.conf文件均可响应域名解析的请求,其响应的先后顺序可在文件/etc/nsswitch.conf中设置,其默认解析顺序为hosts文件、resolv.conf文件中的DNS服务器。rootRHEL7-1 # grep hosts /etc/nsswitch.conf#hosts: db files nis

45、plus nis dnshosts: files dns /其中的files代表用hosts文件来进行名称解析第第37 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日命令一般格式为命令一般格式为:ping 选项选项 常用选项常用选项:-c 数字数字-s 字节数字节数-i 时间间隔量时间间隔量-t【例例7-7】使用ping命令,向百度网站()发送三个测试数据包。rootRHEL7-1 # ping -c 3 第第38 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日命令一般格式为命令

46、一般格式为:tracepath 选项选项 常用选项常用选项:-n对沿途各主机节点, 仅仅获取并输出IP地址,不在每个IP 地址的节点设备上通过DNS查找其主机名,以此来加快测试速度。-b对沿途各主机节点同时显示IP地址和主机名。-l 包长度包长度设置初始的数据包的大小。-p端口号端口号设置UDP传输协议的端口(缺省为33434)。【例例7-8】跟踪从本主机到目标主机(如)的路由途径。rootRHEL7-1 # tracepath 1?: LOCALHOST pmtu 1500 1: no reply 2: 2.957ms /省略若干行 Resume: pmtu 1500 ho

47、ps 10 back 10第第39 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日本任务针对图本任务针对图7-5中中(具有具有3个子网个子网)各主机及其网卡各主机及其网卡(网卡网卡1网卡网卡6)进行配置进行配置,使得主机使得主机PC1与主机与主机PC2之间的链路能双向之间的链路能双向连通。连通。其配置步骤如下其配置步骤如下:按任务7-2中介绍的方法,依据图7-5标示的IP地址、子网掩码、默认网关等参数配置各网卡。 第第40 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日在RHEL

48、7-1和RHEL7-2两台主机上开启IP转发功能,以使各主机中的网卡不仅能收发数据包还能转发数据包。在RHEL7-1主机上开启IP转发功能的过程如下(RHEL7-2上的操作方式相同):rootRHEL7-1 # vim /usr/lib/sysctl.d/00-system.conf/省略若干行net.ipv4.ip_forward=1/添加此行或将此行中的“0”改为“1”:wq/保存退出rootRHEL7-1 # sysctl -p /usr/lib/sysctl.d/00-system.conf/使修改生效使修改生效(系统会显示配置参数系统会显示配置参数) 为了实现子网1与子网3之间永久生

49、效的双向连通,需要在路由器RHEL7-1的ens38网卡上和RHEL7-2的ens33网卡上分别添加永久生效的静态路由记录:rootRHEL7-1 # vim /etc/sysconfig/network-scripts/route-ens38/24 via dev ens38/添加从子网1到子网3的路由rootRHEL7-1 # systemctl restart network/重启网络服务使配置生效rootRHEL7-2 # vim /etc/sysconfig/network-scripts/route-ens33/24

50、via dev ens33/添加从子网3到子网1的路由rootRHEL7-2 # systemctl restart network/重启网络服务使配置生效rootRHEL7-2 # ip route show/查看RHEL7-2上的路由表信息/24 via dev ens33 proto static metric 100 /24 dev ens33 proto kernel scope link src metric 100 /24 dev ens38 pr

51、oto kernel scope link src metric 100第第41 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日在PC1上添加永久生效的能到达子网2(/24)和子网3(/24)的静态路由,在PC2上添加永久生效的能到达其他子网的默认路由,如图7-6所示。命令功能Linux系统中的命令格式Windows系统中的命令格式显示路由表ip route showroute print -4|-6添加或删除ip route add|del 目标地址/子网掩码 via

52、 网关route -p add|delete 目标地址 mask 掩码 网关 metric 跃点数添加或删除默认路由ip route add|del default via 网关 dev 网络接口route -p add|delete mask 掩码 网关 metric 跃点数(-p表示添加或删除保存到注册表中的永久路由记录) 第第42 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日验证连通性。在PC1和PC2主机上关闭各自的防火墙使用ping命令ping对方的IP地址来测试连通性.如图7-7所示使用tracert命令跟

53、踪并显示所经过的路径,如图7-8所示。 第第43 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日 rootRHEL7-1 # rpm -qa |grep firewallrootRHEL7-1 # yum -y install firewalld firewall-configss -nutap | grep firewalld(1)firewalld防火墙的状态查看、启动、停止、重启、重载服务的命令格式为:systemctl status | start| stop|restart|reload firewalld.service(2

54、)开机自动启动或停止firewalld服务的命令格式为:systemctl enable |disable firewalld.service (3)检查firewalld进程ps -ef | grep firewalld (4)查看firewalld运行的端口第第44 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日第第45 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日标签名称标签的设置功能服务定义哪些区域的服务是可信的。可信的服务可以绑定该区的任意连接、接口和源地址。端口用于

55、添加并设置允许访问的主机或者网络的附加端口或端口范围。协议用于添加所有主机或网络均可访问的协议源端口添加额外的源端口或范围,它们对于所有可连接至这台主机的所有主机或网络都需要是可以访问的。伪装将本地的私有网络的多个IP地址进行隐藏并映射到一个公网IP,伪装功能目前只能适用于 ipv4。端口转发将本地系统的(源)端口映射为本地系统或其他系统的另一个(目标)端口,此功能只适应于IPv4ICMP过滤器可以选择Internet 控制报文协议的报文。这些报文可以是信息请求亦可是对信息请求或错误条件创建的响应富规则用于同时基于服务、主机地址、端口号等多种因素,进行更详细、更复杂的规则设置,优先级最高。接口

56、用于为所选区域绑定相应的网络接口(即网卡)来源用于为所选区域添加来源地址或地址范围第第46 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日【例例7-9】允许其他主机访问本机的http服务,仅当前生效。第第47 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日【例例7-10】开放本机的8080-8088端口且重启后依然生效。第第48 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日【例例7-11】过滤 “echo-reply”的

57、ICMP协议报文数据包,仅当前生效。第第49 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日【例例7-12】仅允许8主机访问本机()的1520端口,当前生效。第第50 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日【例例7-13】将本机的网络接口ens38添加到dmz区域,仅运行时生效。第第51 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日firewall-cmd命令一般格式为

58、命令一般格式为: firewall-cmd 参数参数1 参数参数2 参数参数3 参数作用-state查询当前防火墙状态-panic-on拒绝所有包。-permanent永久生效的设置。永久选项不直接影响运行时的状态,仅在重载或者重启服务时可用-reload重新加载“永久”生效的配置规则,使其立即生效,否则要重启后才生效-zone=指定区域,若未指定区域则为当前默认区域-get-service查看当前激活 services. 取得当前支持service-get-active-zones查看当前活动区域(已经有网络接口连接的区域)-get-service -permanent查看当前服务配置是否生

59、启后还是生效-get-default-zone查询当前默认的区域-set-default-zone=将指定区域设置为默认区域,。此命令会改变运行时配置和永久配置-list-ports查看默认区域或指定区域的端口-list-services查看所有允许的服务-list-all -zone=显示指定区域全部启用的特性。若省略区域,将显示默认区域的信息-list-all-zones显示所有区域的特性(网卡配置参数,资源,端口以及服务等信息。-get-zones显示所有可用的区域。列出当前有几个zone-get-services显示预先定义的服务-get-active-zones显示当前正在使用 (被网卡或源关联) 的所有区域-add-source=将来源于此IP或子网的流量导向指定的区域-remove-source=不再将此IP或子网的流量导向某个指定区域第第52 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年4月月3日星期日日星期日 参数作用-get-active-zones显示当前正在使用 (被网卡或源关联) 的所有区域-add-source=将来源于此IP或子网的流量导向指定的区域-remove-source=不再将此IP或子网的流量导向某个指定区域-add-interface=将来自于该网卡的所有流量都导向某个指定区域-change-inte

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论