Linux网络操作系统项目化教程 课件 项目8、9 双网卡绑定、Linux系统安全管理

项目8管理网络《Linux网络操作系统项目化教程》学习目标/Target了解计算机网络的基本知识，能够说出什么是网络了解网络协议及体系结构，能够说出常用的网络体系结构及协议熟悉IP地址、端口号及子网掩码，能够说出IP地址、端口与子网掩码的作用掌握主机的配置方法，能够熟练使用命令更改主机名称掌握网卡的配置方法，能够熟练使用命令配置动态IP地址与静态IP地址学习目标/Target掌握ping命令，能够熟练使用ping测试主机的连通性掌握ip命令，能够熟练使用ip命令查看主机IP地址及网卡信息了解nslookup命令，能够使用nslookup命令查看主机域名了解常用网络通信命令，能够使用write、wall、mesg命令向用户发送消息掌握nmcli命令的使用方法，能够使用nmcli命令完成双网卡的绑定项目导入最近公司发现，公司新上线的黑马程序员网站访问量比较大，为了保证流量传输，公司希望通过多个网卡实现流量分流。上级领导让安安带邦小苑给服务器再配置一个网卡，实现双网卡绑定。工作之前，安安给邦小苑普及了一些网络知识，如主机配置、网卡配置、常用的网络命令、网卡绑定技术等。虽然本次工作主要由安安完成，但邦小苑还是决定根据安安的指点，系统学习一下网络相关知识，并在自己的操作系统上模拟绑定双网卡。目录/Contents010203计算机网络基础Linux操作系统基本网络配置常用的网络管理命令04常用的网络通信命令计算机网络基础8.1

先定一个小目标！了解计算机网络，能够说出什么是网络8.1.1计算机网络概述8.1.1计算机网络概述计算机网络是继电信网络、有线电视网络之后出现的世界级大型网络。在计算机领域中，网络由若干个节点和连接这些节点的链路组成，网络中的节点可以是计算机、交换机、路由器等。一个简单的计算机网络互联网多个网络互相连接8.1.1计算机网络概述根据网络的覆盖范围，网络可分为局域网（LocalAreaNetwork，简称LAN）和广域网（WideAreaNetwork，简称WAN）。局域网：覆盖的范围较小，通常为一个城市或一个小型区域（如公司或学校）；广域网：覆盖的范围从几十公里到几千公里，可连接多个城市和国家，形成远程网络，因特网就是世界上最大的广域网。

先定一个小目标！了解网络协议及体系结构，能够说出常用的网络体系结构及协议8.1.2网络协议与体系结构网络通信必须要遵守一定的协议规则，网络协议主要有3个要素。8.1.2网络协议与体系结构123数据与控制信息的结构或格式。语法需要发出何种控制信息，完成何种动作以及做出何种响应。语义事件实现顺序的详细说明。同步网络通信过程比较复杂，人们制定了不同的网络体系结构，将网络通信划分为不同的阶段，较为常见的体系结构有OSI（OpenSystemInterconnect，开放式系统互联模型）和TCP/IP（TransmissionControlProtocol/InternetProtocol，传输控制协议/互联网协议模型）。8.1.2网络协议与体系结构8.1.2网络协议与体系结构OSI网络体系结构由国际标准协会ISO制定，共分为7层，由上而下依次为应用层、表示层、会话层、传输层、网络层、数据链路层和物理层，虽然OSI由ISO制定，但其实用性较差，并未得到广泛应用。TCP/IP网络体系结构TCP/IP体系结构包含四层，分别是应用层、传输层、网际层和网络接口层。TCP/IP体系结构侧重于网络设备间的数据传递，它比OSI更为精简，也更加灵活。虽然OSI体系结构与TCP/IP体系结构划分的层次不同，但它们之间存在着对应关系。8.1.2网络协议与体系结构除了OSI体系结构和TCP/IP体系结构之外，人们还提出了一种五层网络体系结构，这种体系结构由上而下依次为应用层、传输层、网络层、数据链路层和物理层。应用层：为应用进程提供服务，该层的协议定义应用程序使用互联网的规则。传输层：应用进程提供连接服务，实现两端进程的会话。该层的协议定义进程的通信规则。网络层：为分组交换网上的不同主机提供通信服务。该层的协议定义应用程序封装数据的格式，以及数据包的转发机制。数据链路层：该层从网络层获取的IP数据报组装成帧，在网络节点之间以帧为单位传输数据。该层的协议定义了帧的格式。物理层：物理层以比特为单位传输数据，对应网络中的硬件设备，该层对网络设备的特性进行规范，以保证物理设备能互相连接并正常使用。8.1.2网络协议与体系结构

先定一个小目标！了解网络数据传输流程，能够说出网络数据传输过程8.1.3网络数据传输流程假如程序A要给程序B发送一组数据，数据传输过程如下图。8.1.3网络数据传输流程应用层传输层网络层链路层物理层

先定一个小目标！熟悉IP地址、端口号，能够说出IP地址、端口的作用8.1.4IP地址与端口号8.1.4IP地址与端口号IP（InternetProcotol）是一种网络协议。网络体系结构与各种协议规范了计算机通信的流程，但在通信之前，发送数据的主机应能明确接收方主机的地址。计算机网络中使用IP地址作为网络中一台主机的唯一标识。1.IP地址8.1.4IP地址与端口号IP地址有IPv4和IPv6两个版本，但IPv6还未普及，因此，IPv4是常用版本。IPv4版本的IP地址由4个字段和3个分割字段的“.”组成，每个字段的取值范围为0~255，即0~28。IPv4地址有点分十进制与二进制两种表示形式。点分十进制：。二进制：11111111.00000000.00000000.00000001。1.IP地址8.1.4IP地址与端口号IPv4地址共分为5类，依次为A类IP地址、B类IP地址、C类IP地址、D类IP地址和E类IP地址。其中，A、B、C类IP地址在逻辑上又分为两个部分。第一部分：标识网络。第二部分：标识网络中的主机。4为网络号标识网络中的主机1.IP地址8.1.4IP地址与端口号A类、B类、C类、D类、E类IP地址的网络位并不相同。1.IP地址8.1.4IP地址与端口号网络号相同的IP地址处于同一网段，不同类别的IP地址其取值范围和可用IP地址数量也不相同。（1）A类地址A类地址由1字节网络号和3字节主机号组成，网络号的最高位必须是0。A类IP地址的范围为~54，可用A类地址共有27-2个，即126个；每个网络的可用IP地址有224-2，即1677214个。1.IP地址8.1.4IP地址与端口号网络号相同的IP地址处于同一网段，不同类别的IP地址其取值范围和可用IP地址数量也不相同。（2）B类地址B类IP地址由2字节的网络号和2字节的主机号组成，网络号的最高位必须是10。B类IP地址的范围为~54，可用B类地址有214-2，即16384个，每个网络的可用IP地址有216-2个，即65534个。1.IP地址8.1.4IP地址与端口号网络号相同的IP地址处于同一网段，不同类别的IP地址其取值范围和可用IP地址数量也不相同。（3）C类地址C类IP地址由3个字节的网络号和一个字节的主机号组成，网络号的最高位必须是110。C类IP地址的范围为~54。每个C类地址中可用IP地址有28-2个，即254个。1.IP地址8.1.4IP地址与端口号网络号相同的IP地址处于同一网段，不同类别的IP地址其取值范围和可用IP地址数量也不相同。（4）D类地址D类IP地址不分网络号和主机号，它固定以1110开头，取值范围为~54。D类IP地址并不指向特定的网络，目前这一类地址被用在多播中。1.IP地址8.1.4IP地址与端口号网络号相同的IP地址处于同一网段，不同类别的IP地址其取值范围和可用IP地址数量也不相同。（5）E类地址E类地址不分网络号和主机号，它固定以11111开头，取值范围为~54。E类IP地址仅在实验和开发中使用。1.IP地址8.1.4IP地址与端口号A、B、C类IP地址每个网络号中的可用IP地址总数是2n-2（n为某类IP地址的网络号位数），这是因为主机号从0开始，但第一个编号0与网络号一起表示网络号（如C类IP地址的第一个网络号为），最后一个编号255与网络号一起作为广播地址存在（如C类IP地址的第一个广播地址为55）。1.IP地址8.1.4IP地址与端口号每个网段中都有一部分IP地址是供给局域网使用的，这类IP地址也称为私有地址，它们的范围如下。～55。～55。～55。1.IP地址8.1.4IP地址与端口号端口号用于确定主机中的服务进程，端口的最大取值为65535，其中0~1024端口号一般由系统进程占用。用户在配置自己的服务器时，可以选择一个大于1024、小于65535的端口号对其进行标记，但要注意选择空闲端口号，避免与其他服务器产生冲突。2.端口号

先定一个小目标！熟悉子网掩码，能够说出子网掩码的作用8.1.5子网掩码8.1.5子网掩码子网掩码又称为地址掩码，它用于划分IP地址中的网络号与主机号，网络号所占的位用1标识，主机号所占的位用0标识，因为A、B、C类IP地址网络号和主机号的位置是确定的，所以子网掩码的取值也是确定的，子网掩码取值如下。（1）（11111111.00000000.00000000.00000000），用于匹配A类地址；（2）（11111111.11111111.00000000.00000000），用于匹配B类地址；（3）（11111111.11111111.11111111.00000000），用于匹配C类地址。8.1.5子网掩码子网掩码通常应用于网络搭建中，申请到网络号之后，用户可利用子网掩码将该网络号标识的网络划分为多个子网。假设申请到了一个C类网络，网络号为192.93.54.a，这个网络中的可用IP地址有254个，若想将这个网络划分为4个子网，则可将子网掩码第3个字段的前两位设置为1，得到子网掩码11111111.11111111.11000000.00000000，即，此时，得到的4个子网的IP地址取值范围分别如下：网络号：；IP范围：~2。网络号：4；IP范围：5~26。网络号：28；IP范围：29~90。网络号：92；IP范围：93~54。Linux操作系统基本网络配置8.2

先定一个小目标！掌握主机的配置，能够熟练使用命令更改主机名称8.2.1主机配置8.2.1主机配置hostname命令用于查询、修改主机名，其用法格式如下所示。hostname命令常用选项选项说明-a显示主机别名-f显示完全格式的域名-i显示指定主机的IP地址-s以短格式显示，仅显示第一个点号之前的部分1.hostname命令hostname选项参数格式8.2.1主机配置查看并修改当前主机名。[root@itheima~]#hostname #显示主机名localhost[root@itheima~]#hostnameitheima #更改主机名[root@itheima~]#hostname #再次显示主机名itheima案例8-18.2.1主机配置hostname命令只是临时更改主机名，当系统重启之后，新的主机名就失效了。如果要使新设置的主机名永久生效，可以在主机名配置文件/etc/hostname中进行更改。[root@itheima~]#vim/etc/hostnameitheima.localdomain #itheima为新的主机名8.2.1主机配置hostnamectl是CentOS7新增的命令，它的功能比hostname更强大。CentOS7及之后的版本，系统定义了3种主机名。临时主机名（tranient）：在系统中临时分配的主机名。静态主机名（static）：静态主机名又称内核主机名、系统主机名，是系统启动时从/etc/hostname文件自动初始化的主机名。高级主机名（pretty）：高级主机名属于修饰性主机名，可以使用特殊字符，如itheima’shost。2.hostnamectl命令8.2.1主机配置hostnamectl命令的用法格式如下所示。hostnamectl命令常用选项选项/命令说明--transient显示或修改临时主机名--static显示或修改静态主机名--pretty显示或修改高级主机名status显示当前主机名信息set-hostname设置系统主机名（静态主机名）hostnamectl选项/命令参数2.hostnamectl命令格式8.2.1主机配置使用hostnamectl命令查看主机名信息、临时主机名、静态主机名和高级主机名。[root@localhost~]#hostnamectlstatus#查看主机名信息 Statichostname:localhostIconname:computer-vm┄[root@localhost~]#hostnamectl–transient #查看临时主机名localhost[root@localhost~]#hostnamectl–static #查看静态主机名localhost[root@localhost~]#hostnamectl–pretty #查看高级主机名案例8-28.2.1主机配置修改主机名为itheima，修改临时主机名为ithost，修改高级主机名为itheima’shost。[root@localhost~]#hostnamectlset-hostnameitheima #修改主机名为itheima[root@localhost~]#hostnamectlset-hostname"itheima'shost"–pretty#修改高级主机名[root@localhost~]#hostnamectlset-hostname"ithost"–transient#修改临时主机名[root@localhost~]#hostnamectl–transient #查看临时主机名itheima[root@localhost~]#hostnamectl–static #查看静态主机名itheima[root@localhost~]#hostnamectl–pretty #查看高级主机名itheima'shost案例8-38.2.1主机配置（1）使用hostnamectl命令修改主机名永久生效。（2）在设置临时主机名、静态主机名和高级主机名时，主机名称要使用双引号（""）括起来。（3）如果设置了静态主机名，则不使用临时主机名。

先定一个小目标！掌握网卡配置，能够熟练使用命令配置动态IP地址与静态IP地址8.2.2网卡配置8.2.2网卡配置常见的网卡名称为ens33、enol6777736、enp7s0、wlp3s0、enx78e7d1ea46da。网卡名称的前2个字符含义如下所示。en：表示以太网（Ethernet）。wl：无线局域网（WLAN）。ww：无线广域网（WWAN）。1.网卡命名规范8.2.2网卡配置常见的网卡名称为ens33、enol6777736、enp7s0、wlp3s0、enx78e7d1ea46da。网卡名称的第3个字符及后面字符的含义如下所示。o#：o表示网卡为内置网卡，#符号为内置网卡的设备编号。s#：s表示网卡为外置网卡，#符号为热插拔接口（slot）编号。x#：当第3个字符为x时，#符号表示网卡的MAC地址。p#s#：p表示PCI插口，p后面的#符号表示PCI插口编号；s表示热插拔接口，s后面的#符号表示热插拔接口编号。1.网卡命名规范8.2.2网卡配置使用ip命令查看当前主机的网卡。[root@localhost~]#ipa #查看网卡设备1:lo:<LOOPBACK,UP,LOWER_UP>mtu65536qdiscnoqueuestateUNKNOWNgroupdefaultqlen1000┄2:ens33:<BROADCAST,MULTICAST,UP,LOWER_UP>mtu1500qdiscfq_codelstateUPgroupdefaultqlen1000┄3:virbr0:<NO-CARRIER,BROADCAST,MULTICAST,UP>mtu1500qdiscnoqueuestateDOWNgroupdefaultqlen1000┄4:virbr0-nic:<BROADCAST,MULTICAST>mtu1500qdiscfq_codelmastervirbr0stateDOWNgroupdefaultqlen1000┄用于访问本地网络，IP地址为用于接入外网虚拟的网络连接端口，即虚拟网卡示例8.2.2网卡配置从RHEL7开始，网卡配置文件存储在/etc/NetworkManager/system-connections目录下，进入该目录查看，命令如下：[root@localhostnetwork-scripts]#cd/etc/NetworkManager/system-connections[root@localhostsystem-connections]#lsens33.nmconnection2.网卡配置文件8.2.2网卡配置[root@localhostsystem-connections]#catens33.nmconnection[connection]id=ens33 #id：ens33uuid=f212ad34-c65c-3373-8565-78feac02b8e5 #唯一识别码type=ethernet #设备类型：以太网autoconnect-priority=-999 #自动连接优先级interface-name=ens33 #接口名称timestamp=1652781113 #时间戳[ethernet][ipv4] #ipv4地址配置方式method=auto #ipv4地址分配方式[ipv6] #ipv6地址配置方式addr-gen-mode=eui64 method=auto [proxy]使用cat命令查看配置文件，内容如下：8.2.2网卡配置网卡的IP地址分为动态IP地址与静态IP地址两类，Linux操作系统安装成功后，系统会为网卡分配一个默认IP地址，这个IP地址是动态IP地址。用户如果使用动态IP地址，不需要手动配置；如果要使用静态IP地址，则需要手动配置。配置静态IP地址，通过修改ens33网卡的配置文件实现。3.动态IP地址与静态IP地址8.2.2网卡配置在/etc/NetworkManager/system-connections/ens33.nmconnection配置文件中的[ipv4]选项下，添加address（静态IP地址）、netmask（子网掩码）、gateway（网关）、dns（域名服务器地址）4个选项，并将method的值修改为manual。3.动态IP地址与静态IP地址8.2.2网卡配置假设VMware使用NAT模式，网络配置信息如下。子网中IP为。网关IP为。子网掩码为。DHCP地址池为28~54。示例8.2.2网卡配置在/etc/NetworkManager/system-connections/ens33.nmconnection配置文件中配置静态IP。[root@localhost~]#vim/etc/NetworkManager/system-connections/ens33.nmconnection…[ipv4]address=10netmask=gateway=dns=method=manual…取值要与Vmware网络配置保持一致可以填写一个域名服务器地址，也可以随便填写示例8.2.2网卡配置示例重启网卡，再次查看网卡信息。[root@localhost~]#nmclicreload #重启网卡[root@localhost~]#nmclicupens33 #启动ens33网卡[root@localhost~]#ipa……2:ens33:<BROADCAST,MULTICAST,UP,LOWER_UP>mtu1500qdiscfq_codelstateUPgroupdefaultqlen1000link/ether00:0c:29:4c:b7:b0brdff:ff:ff:ff:ff:ffinet10/24brd55scopeglobalnoprefixrouteens33valid_lftforeverpreferred_lftforever……设置的静态IP地址8.2.2网卡配置查看VMware网络配置信息在VMware菜单栏的Workstation选项中，单击下拉三角按钮→编辑→虚拟网络编辑器。8.2.2网卡配置单击虚拟网络编辑器，弹出虚拟网络编辑器对话框。查看VMware网络配置信息8.2.2网卡配置选中VMnet8模式，单击“NAT设置”按钮，弹出NAT设置对话框。查看VMware网络配置信息8.2.2网卡配置单击“DHCP设置”按钮，弹出DHCP设置对话框。查看VMware网络配置信息常用的网络管理命令8.3

先定一个小目标！掌握ping命令，能够熟练使用ping测试主机的连通性8.3.1ping8.3.1pingping命令用于测试主机之间网络的连通性。ping命令常用选项命令说明-c设置回应次数-s设置数据包大小-v显示命令详细的执行过程ping选项参数格式使用ping命令测试当前Linux与Windows主机的网络连通性。[itheima@localhost~]$ping6PING6(6)56(84)bytesofdata.64bytesfrom6:icmp_seq=1ttl=128time=52.0ms^C---6pingstatistics---5packetstransmitted,5received,0%packetloss,time11msrttmin/avg/max/mdev=0.949/11.199/52.044/20.422ms8.3.1pingWindows主机IP地址案例8-4

先定一个小目标！掌握ip命令，能够熟练使用ip命令查看主机IP地址及网卡信息8.3.2ip命令ip命令用于显示/配置网卡、路由、接口和遂道等网络设备的参数信息。8.3.2ip命令ip选项参数命令设备格式ip命令常用选项8.3.2ip命令选项/命令说明-s输出详细信息，-s选项可以连续使用多次，以输出更详细的错误统计信息-f强制使用指定的协议族-4指定网络层协议为IPv4协议-6指定网络层协议为IPv6协议-r显示主机时，不使用IP地址，而使用主机的域名show显示参数信息add添加del删除up启动设备down关闭设备8.3.2ip命令ip命令常用的设备参数选项/命令说明link链路信息address协议地址（IPv4地址或IPv6地址），可以简写为addr，甚至是aroute路由设备8.3.2ip命令1.查看网卡信息ip命令可以查看所有网卡信息，也可以查看某一块网卡的信息。[root@localhost~]#ipa #查看所有网卡信息[root@localhost~]#ipashow #查看所有网卡信息[root@localhost~]#ipashowens33 #查看ens33网卡信息ip命令可以设置网卡IP地址，也可以删除网卡IP地址。8.3.2ip命令2.设置网卡IP地址ip命令可以设置网卡IP地址，也可以删除网卡IP地址。[root@localhost~]#ipashowens33 #查看ens33网卡信息2:ens33:┄inet32/24brd55scopeglobaldynamic┄[root@localhost~]#ipaddradd50/24devens33 #为ens33网卡增加IP地址[root@localhost~]#ipashowens33 #再次查看ens33网卡信息2:ens33:┄inet32/24brd55scopeglobaldynamicnoprefixrouteens33valid_lft1458secpreferred_lft1458secinet50/24scopeglobalsecondaryens33┄[root@localhost~]#ipaddrdel50/24devens33 #删除ens33网卡IP地址[root@localhost~]#ipashowens332:ens33:┄link/ether00:0c:29:4c:b7:b0brdff:ff:ff:ff:ff:ffinet32/24brd55scopeglobal┄8.3.2ip命令ip命令的子命令down与up可以禁用、启用网卡。8.3.2ip命令3.禁用和启用网卡[root@localhost~]#iplinksetens33down #禁用ens33网卡[root@localhost~]#ping

#测试网络连通性ping::未知的名称或服务[root@localhost~]#iplinksetens33up #启用ens33网卡[root@localhost~]#ping #测试网络连通性PING(48)56(84)bytesofdata.64bytesfrom48(48):icmp_seq=1ttl=128time=5.59ms64bytesfrom48(48):icmp_seq=2ttl=128time=5.53ms^C---pingstatistics---2packetstransmitted,2received,0%packetloss,time3msrttmin/avg/max/mdev=5.527/5.559/5.591/0.032ms8.3.2ip命令

先定一个小目标！了解nmcli命令，能够使用nmcli命令完成网卡常用操作8.3.3nmcli命令nmcli命令是NetworkManagerCommand-Line（NetworkManager命令行工具）的缩写，可以完成网卡上的所有配置，并可以将网卡配置写入配置文件，永久生效。nmcli命令常用的对象对象说明c/con/connectionNetworkManager的连接d/dev/deviceNetworkManager管理的设备8.3.3nmcli命令nmcli选项对象命令格式nmcli命令常用的选项/命令选项/命令说明-e转义值中的列分隔符-f指定要输出的字段-p美化输出，以易于人类阅读的形式显示status显示设备状态show显示设备/连接详情reload重新加载NetworkManager的配置并执行某些更新on/off启用/关闭网络连接up/down启用/禁用网卡设备del/delete删除已配置的连接8.3.3nmcli命令nmcli命令可以显示NetworkManager的所有连接信息，以及NetworkManager管理的所有设备，具体查看命令如下：[root@localhost~]#nmcliconshow #显示连接详细信息NAMEUUIDTYPEDEVICEens33f212ad34-c65c-3373-8565-78feac02b8e5ethernetens33[root@localhost~]#nmclidevshow #显示设备详细信息GENERAL.DEVICE:ens33GENERAL.TYPE:ethernet…IP6.ROUTE[1]:dst=::1/128,nh=::,mt=256lines4-30/30(END)8.3.3nmcli命令1.显示连接和设备的详细信息2.查看设备状态[root@localhost~]#nmclidevstatusDEVICETYPESTATECONNECTIONens33ethernet已连接ens33loloopback未托管--3.重启网络[root@localhost~]#nmclicreload8.3.3nmcli命令4.启用/关闭网络连接[root@localhost~]#nmclinetoff #关闭网络连接[root@localhost~]#ping #ping不通ping::未知的名称或服务[root@localhost~]#nmclineton #启用网络连接[root@localhost~]#ping #再次ping测试PING(49)56(84)比特的数据。64比特，来自49(49):icmp_seq=1ttl=128时间=132毫秒^C64比特，来自49:icmp_seq=2ttl=128时间=7.39毫秒

---ping统计---已发送2个包，已接收2个包,0%packetloss,time1001msrttmin/avg/max/mdev=7.392/69.872/132.352/62.480ms8.3.3nmcli命令5.启用/禁用网卡[root@localhost~]#nmclicondownens33 #禁用ens33网卡成功停用连接"ens33"（D-Bus活动路径：/org/freedesktop/NetworkManager/ActiveConnection/2）[root@localhost~]#nmclidev #查看设备信息DEVICETYPESTATECONNECTIONens33ethernet已断开--loloopback未托管--[root@localhost~]#ping #ping命令测试ping::未知的名称或服务[root@localhost~]#nmcliconupens33 #启用ens33网卡连接已成功激活（D-Bus活动路径：/org/freedesktop/NetworkManager/ActiveConnection/3）8.3.3nmcli命令6.删除连接[root@localhost~]#nmclicondelens33 #删除ens33连接成功删除连接"ens33"(3ec1d4f7-4b6c-422e-b45d-b457c503c931)。[root@localhost~]#nmclidev #查看设备信息DEVICETYPESTATECONNECTIONens33ethernet已断开

--[root@localhost~]#ls/etc/NetworkManager/system-connections#查看网卡配置文件[root@localhost~]#nmcliconaddtypeethernetcon-nameens33ifnameens33#创建ens33网卡连接连接"ens33"(3ec1d4f7-4b6c-422e-b45d-b457c503c931)已成功添加。[root@localhost~]#ls/etc/NetworkManager/system-connections #再次查看网卡配置文件ens33.nmconnection[root@localhost~]#nmclidev #再次查看设备信息DEVICETYPESTATECONNECTIONens33ethernet已连接

ens338.3.3nmcli命令

先定一个小目标！了解nslookup命令，能够使用nslookup命令查看主机域名8.3.4nslookup命令nslookup命令用于查询域名，它可以根据一台网络主机的域名查询对应的IP地址，也可以根据网络主机的IP地址查询主机域名等信息。在查询过程中，通常需要一台域名服务器来提供服务，如果不指定域名服务器，则nslookup命令使用系统默认的域名服务器。8.3.4nslookup命令nslookup参数格式查询对应的IP地址。[root@localhost~]#nslookupServer: #本机DNS服务器地址Address: #53 #本机地址Non-authoritativeanswer: #非权威应答Name: #目标主机域名Address:48 #目标主机地址Name: #目标主机域名Address:9 #目标主机地址案例8-58.3.4nslookup命令常用的网络通信命令8.4

先定一个小目标！了解write命令的使用，能够使用write命令向用户发送消息8.4.1write命令write命令用于给其他登录用户发送实时消息。用Addy用户向itheima用户发送消息。[Addy@localhost~]$writeitheimapts/1helloheimai'mAddy^C[Addy@localhost~]$案例8-78.4.1write命令write已登录用户名格式[itheima@localhost~]$itheima@localhost(作为Addy)于pts/0在17:20发的消息...helloheimai'mAddyEOFAddy用户端发送消息itheima用户端接收消息

先定一个小目标！了解wall命令的使用，能够使用wall命令向用户发送消息8.4.2wall命令wall命令是writeall的缩写，它用于向所有用户发送广播消息。当某个用户使用wall命令发送消息后，所有的登录用户都能收到消息。8.4.2wall命令wall消息格式[root@localhost~]#wallhelloeveryone,now,everybodylogout使用root用户向所有登录用户发送消息。root用户发送消息：[Addy@localhost~]$clear

来自root@localhost(pts/3)(FriNov613:54:022020)的广播消息：

helloeveryone,now,everybodylogoutitheima用户端接收到的消息：8.4.2wall命令案例8-8使用root用户向所有登录用户发送消息。root用户发送消息：itheima用户端接收到的消息：8.4.2wall命令案例8-8[root@localhost~]#wallhelloeveryone,now,everybodylogout[itheima@localhost~]$clear

来自root@localhost(pts/3)(FriNov613:54:022020)的广播消息：

helloeveryone,now,everybodylogoutwall命令一次只能发送一条消息，不能换行，如果要发送多条消息，可以将消息写入一个文件，将使用wall命令和<输入符号结合，将文件中的消息发送出去。wall<broadcastbroadcast为消息文件8.4.2wall命令

先定一个小目标！了解mesg命令的使用，能够使用mesg命令设置用户接收消息的状态8.4.3mesg命令mesg命令用于设置当前用户终端是否接收其他用户发送的消息，它有两个参数值。y：表示当前用户终端可以接收其他用户发送的消息。n：表示当前用户终端拒绝接收其他用户发送的消息。8.4.3mesg命令itheima用户执行mesgn命令，则表示不再接收其他用户发送的消息。[itheima@localhost~]$mesgnroot用户终端发送消息给itheima用户端。[root@localhost~]#writeitheimapts/1write:itheima未在pts/1上登录示例项目实施01

先定一个小目标！掌握nmcli命令的使用，能够使用nmcli命令完成双网卡的绑定项目实施项目实施1.添加网卡（1）在虚拟机名称上右击，在弹出的快捷菜单中选择“设置”命令。项目实施（2）弹出“虚拟机设置”对话框。1.添加网卡项目实施（3）在“硬件”选项卡中选择“网络适配器”项，单击下方的“添加”按钮，弹出“添加硬件向导”对话框。1.添加网卡项目实施（4）选中“网络适配器”项，单击”完成”按钮，弹出“添加硬件向导”对话框。1.添加网卡项目实施（4）单击“确定”按钮，完成网卡添加。1.添加网卡项目实施2.创建网卡配置文件（1）使用ipaddr命令查看网卡数量信息。[root@localhost~]#ipa……3:ens36:<BROADCAST,MULTICAST,UP,LOWER_UP>mtu1500qdiscfq_codelstateUPgroupdefaultqlen1000link/ether00:0c:29:00:5d:f5brdff:ff:ff:ff:ff:ffaltnameenp2s4inet33/24brd55scopeglobaldynamicnoprefixrouteens36……项目实施2.创建网卡配置文件（2）查看网卡配置文件[root@localhost~]#cd/etc/NetworkManager/system-connections/[root@localhostsystem-connections]#lsens33.nmconnection（3）为网卡ens36新增配置文件[root@localhostsystem-connections]#nmcliconnectionaddtypeethernetcon-nameens36ifnameens36autoconnectyes连接"ens36"(93f8a42f-8def-4ca0-baef-8833ccd6c06f)已成功添加。[root@localhostsystem-connections]#lsens33.nmconnectionens36.nmconnection项目实施3.绑定网卡常用的网卡绑定技术为bond技术，bond技术常用的网卡绑定模式有3种。mode0：启用全部网卡，提高带宽，自动备援，需要网络设备端做链路聚合支持。mode1：只启用一张网卡，自动备援。mode6：启用全部网卡，提高带宽，自动备援，不需要网络设备端做链路聚合支持。项目实施（1）CentOSStream9系统默认没有加载bonding模块，在使用之前，先要加载bonding模块。[root@localhost~]#lsmod|grepbonding #查看bonding模块[root@localhost~]#modprobebonding #加载bonding模块[root@localhost~]#lsmod|grepbonding #再次查看bonding15297903.绑定网卡项目实施3.绑定网卡（2）将bonding模块的加载命令写入/etc/rc.d/rc.local文件，设置开机启动项。[root@localhost~]#vim/etc/rc.d/rc.local…touch/var/lock/subsys/localmodprobebonding[root@localhost~]#chmod+x/etc/rc.d/rc.local项目实施3.绑定网卡（3）采用bond技术绑定双网卡时，需要添加一个名称为bond0的设备，并创建bond0的网卡配置文件。[root@localhostsystem-connections]#nmcliconnectionaddtypebondifnamebond0con-namebond0bond.options"mode=balance-rr"连接"bond0"(27b12a04-cd46-483b-bd27-9478117e894b)已成功添加。[root@localhostsystem-connections]#lsbond0.nmconnectionens33.nmconnectionens36.nmconnection项目实施3.绑定网卡（4）将网卡ens33和ens36添加为bond0的从属网卡。[root@localhostsystem-connections]#nmcliconnectionaddtypebond-slaveifnameens33masterbond0连接"bond-slave-ens33"(89c2d3bd-b534-43e5-82e0-13e8203131cc)已成功添加。[root@localhostsystem-connections]#nmcliconnectionaddtypeethernetifnameens36masterbond0连接"bond-slave-ens36"(bb55c38a-0994-4e99-98b9-2ecc14d78660)已成功添加。[root@localhostsystem-connections]#lsbond0.nmconnectionbond-slave-ens33.nmconnection

bond-slave-ens36.nmconnectionens33.nmconnectionens36.nmconnection项目实施3.绑定网卡（5）查看网卡设备，确定bond0网上绑定是否生效。[root@localhostsystem-connections]#nmclidevice #查看设备DEVICETYPESTATECONNECTIONens33ethernet已连接ens33ens36ethernet已连接

有线连接1bond0bond连接中（正在获取IP配置）bond0loloopback未托管

项目实施3.绑定网卡[root@localhostsystem-connections]#nmcliconnectiondeleteens33成功删除连接"ens33"(f212ad34-c65c-3373-8565-78feac02b8e5)。[root@localhostsystem-connections]#nmcliconnectiondeleteens36成功删除连接"ens36"(93f8a42f-8def-4ca0-baef-8833ccd6c06f)。[root@localhostsystem-connections]#nmclidevice #再次查看设备DEVICETYPESTATECONNECTIONens36ethernet已连接

有线连接1bond0bond已连接bond0ens33ethernet已连接bond-slave-ens33loloopback未托管--项目实施[root@localhostsystem-connections]#ls #查看网卡文件bond0.nmconnectionbond-slave-ens33.nmconnectionbond-slave-ens36.nmconnection[root@localhostsystem-connections]#ipa #查看ip地址…4:bond0:<BROADCAST,MULTICAST,MASTER,UP,LOWER_UP>mtu1500qdiscnoqueuestateUPgroupdefaultqlen1000link/ether00:0c:29:00:5d:ebbrdff:ff:ff:ff:ff:ffinet32/24brd55scopeglobaldynamicnoprefixroutebond0valid_lft1778secpreferred_lft1778secinet6fe80::10e3:8c7:8790:a4a4/64scopelinknoprefixroutevalid_lftforeverpreferred_lftforever3.绑定网卡项目实施4.测试[root@localhostsystem-connections]#ping

PING()56(84)bytesofdata.64bytesfrom():icmp_seq=1ttl=128time=10.1ms64bytesfrom():icmp_seq=2ttl=128time=8.98ms64bytesfrom():icmp_seq=3ttl=128time=10.2ms64bytesfrom():icmp_seq=4ttl=128time=9.83ms…（1）使用ping命令访问。项目实施[root@localhostsystem-connections]#nmclidevicedownens36成功断开设备"ens36"。[root@localhostsystem-connections]#nmclidevicedownens33成功断开设备"ens33"。（2）再打开一个终端，先后禁用ens36网卡与ens33网卡4.测试项目实施4.测试（3）在禁用ens36网卡之后，数据传输有短暂的中断，之后又继续传输，当禁用ens33网卡之后，数据传输短暂的中断之后，就提示无法触达。[root@localhost~]#pingPING()56(84)bytesofdata.……64bytesfrom():icmp_seq=4ttl=128time=9.83ms#禁用ens36网卡64bytesfrom():icmp_seq=8ttl=128time=10.5ms……#禁用ens33网卡Fromlocalhost.localdomain(50)icmp_seq=37DestinationHostUnreachable……项目小结本项目通过绑定双网卡，对Linux系统的网络配置与管理进行了一次系统学习。首先学习了计算机网络基础，包括计算机网络概述、网络协议与体系结构、网络数据传输流程、IP地址与端口号、子网掩码；其次学习了Linux系统基本网络配置，包括主机配置、网卡配置；然后学习了常用的网络管理命令，包括ping、ip、nslookup；最后学习了常用的网络通信命令，包括write、wall、mesg。网络是计算机与外界进行通信的基础，通过本次学习，读者应当能够熟练的使用网络管理命令管理网络。项目9管理系统安全《Linux网络操作系统项目化教程》学习目标/Target了解Linux操作系统的安全机制，能够说出Linux常见的安全机制了解Linux操作系统的不安全因素，能够说出Linux系统常见的不安全因素掌握网络的检查方法，能够使用ss命令监控系统网络运行情况掌握进程的监控方法，能够使用ps命令、top命令监控系统进程运行状态学习目标/Target掌握用户查看命令的使用，能够使用who命令、w命令查看用户相关信息掌握系统日志的查看方法，能够使用journalctl命令查看系统各种日志信息掌握系统文件的查看方法，能够使用lsof命令查看系统打开了哪些文件了解防火墙，能够说出防火墙概念、作用及特点学习目标/Target了解防火墙策略与规则，能够说出防火墙防御原理了解SELinux安全系统，能够说出SELinux概念、工作模式、安全上下文、默认安全上下文的修改与安全策略掌握firewall-cmd命令，能够使用firewalld命令完成特定场景的防火墙配置项目导入

公司要升级网络安全环境，上级领导让安安带着邦小苑完成公司网络的安全升级，包括网络监控、进程监控、日志监控、防火墙等。安安让邦小苑负责以下4项防火墙的配置任务。任务9-1

开放相关协议的流量。任务9-2

拒绝特定用户访问本机服务。任务9-3

关闭端口。任务9-4

设置防火墙启动方式。目录/Contents010203Linux操作系统安全概述系统运行情况检查和监督防火墙04SELinux安全系统目录/Contents050607任务9-1开放相关协议的流量任务9-2拒绝特定用户访问本机服务任务9-3关闭端口08任务9-4设置防火墙启动方式Linux操作系统安全概述9.1

先定一个小目标！了解Linux系统安全机制，能够说出Linux常见的安全机制9.1.1Linux操作系统的安全机制9.1.1Linux操作系统的安全机制Linux操作系统基本的安全机制如下：口令安全最小权限防火墙日志文件9.1.1Linux操作系统的安全机制1.口令安全口令就是为用户设置的帐号密码，它是Linux系统最基本的安全机制。设置密码有效期密码有效期可以在/etc/login.defs文件中设置。清除不设置密码帐号通过/etc/passwd文件查看并清除不设置密码的帐号。清除长期未登录帐号定期清除长期不登录的帐号。口令安全措施9.1.1Linux操作系统的安全机制2.最小权限为用户分配权限时，以最小权限为准，防止用户进行违规操作，即便用户帐号被攻击盗用，最小权限机制也无法让用户造成较大危害。3.防火墙防火墙技术是计算机最基本的防御措施，它通过定义一组规则来过滤不合法的数据包，此外防火墙还可以跟踪、监控已经放行的数据包，对数据包的流向进行记录，一旦发现问题就会报警，把它们对网络和主机的危害降到最低。9.1.1Linux操作系统的安全机制4.日志文件Linux系统日志文件的默认位置是/var/log，有些第三方软件的日志文件也会保存在自己独有的目录。[root@localhost~]#cd/var/log[root@localhostlog]#lsanacondagdmsecure-20200918auditglusterfssecure-20201103boot.loghawkey.logspeech-dispatcher┄boot.log-20201106lastlogsssdboot.log-20201109libvirtswtpmbtmpmaillogtuned┄cronmaillog-20200918vmware-network.3.log┄messagesvmware-network.5.log┄dnf.logsecurevmware-vmusr-root.logdnf.rpm.logsecure-20200901wtmpfirewalldsecure-20200911Xorg.9.log

先定一个小目标！了解Linux不安全因素，能够说出Linux系统常见的不安全因素9.1.2Linux操作系统的不安全因素物理因素是指在物理介质上保证Linux系统的安全，它主要受Linux系统设备所处的环境影响，包括温度、湿度、静电、灰尘、强电磁场、电磁脉冲等，自然灾害中的火灾、水灾、地震等，均有可能破坏系统设备，影响系统的正常工作。9.1.2Linux操作系统的不安全因素1.物理因素人为因素是指由于人员的疏忽或黑客的主动攻击造成的系统安全事件，这些攻击可能是有意的，也可能是无意的。有意的系统破坏行为是指人为主动的恶意攻击、违纪、违法和犯罪等。无意的系统破坏行为是指由于操作疏忽而造成的失误，对系统造成不良影响。2.人为因素系统自身因素是指网络中的计算机系统或网络设备由于自身的原因引发的系统安全风险。计算机硬件系统的故障。各类计算机软件故障或安全缺陷，包括系统软件（如操作系统）、应用软件的故障或缺陷。网络和通信协议自身的缺陷。系统自身因素9.1.2Linux操作系统的不安全因素3.系统自身印刷系统运行情况检查和监督9.2

先定一个小目标！掌握网络的检查，能够使用ss命令监控系统网络运行情况9.2.1检查网络9.2.1检查网络Linux系统提供了ss命令用于检查网络状态。ss是SocketStatistics的缩写，可以获取所有socket统计信息，包括socket类型、socket状态、socket的IP地址及端口号等。ss选项参数格式9.2.1检查网络ss命令常用选项选项说明-a显示所有连接的socket-s显示系统中所有socket摘要-l显示所有监听状态的socket-p显示使用socket的进程-t显示处理连接状态的TCPsocket-u显示处理连接状态的UDPsocket-o显示计时器信息-i显示TCPsocket内部信息-n不解析服务名称-r解析服务名称-4使用IPv4地址的socket-6使用IPv6地址的socket9.2.1检查网络1.显示socket信息ss命令可以通过不同的选项显示不同类型的socket信息。案例9-1显示socket摘要信息。[itheima@localhost~]$ss–s#显示socket摘要信息Total:1127TCP:16(estab1,closed5,orphaned0,timewait0)Transport TotalIPIPv6RAW 101UDP 1174TCP 1165INET 231310FRAG 0009.2.1检查网络案例9-2显示处于监听状态的socket，以及使用这些socket的进程。[itheima@localhost~]$ss–plNetidStateRecv-QSend-QLocalAddress:PortPeerAddress:PortnlUNCONN00