项目7 网络管理

项目7Linux网络管理任务1配置基础网络信息虚拟机NAT配置12基础网络配置设置系统主机名34常用网络命令1虚拟机NAT配置1网络配置－准备工作虚拟机NAT配置设置虚拟机网络连接方式为NAT1网络配置－准备工作（续）虚拟机NAT配置设置NAT虚拟网卡网络地址2基础网络配置2基础网络配置－图形界面基础网络配置2基础网络配置－图形界面（续）基础网络配置基础网络配置－nmtui终端窗口执行nmtui命令2基础网络配置基础网络配置－nmtui（续）终端窗口执行nmtui命令2基础网络配置基础网络配置－nmcli终端窗口执行nmcli命令[zys@centos8~]$su–root[root@centos8~]#nmcliconnectionshowNAMEUUID TYPE DEVICEens33 6aa0ff7c-46e3-4c5e-b689-9235eaeb49e5 ethernet ens33virbr0 e332019d-d7fb-4581-bf4d-74da5919f032 bridge virbr0[root@centos8~]#nmcliconnectionmodifyens33autoconnectyes\>ipv4.methodmanual

\>ip413/24\>gw4\>ipv4.dns[root@centos8~]#nmcliconnectionupens33 //激活网络连接2基础网络配置基础网络配置－nmcli（续）2基础网络配置3设置系统主机名3计算机通信时使用IP地址作为唯一的身份标识，但是在局域网中，往往使用主机名对主机进行区分相比于数字形式的IP地址，主机名更加直观，因此更容易理解和记忆静态主机名（statichostname）。静态主机名是系统启动时从文件/etc/hostname中加载的主机名，也称为内核主机名临时主机名（transienthostname）。临时主机名也称为动态主机名或瞬态主机名。临时主机名由内核维护。这个主机名一般是系统运行过程中因为某些需要而临时设置的主机名，可由DHCP或DNS服务动态分配灵活主机名（prettyhostname）。灵活主机名在形式上更加自由，可以包含特殊字符，主要用于展示给终端用户使用Linux中的三种主机名设置系统主机名3将主机名修改为centos8-1，修改的是静态主机名修改完成后，打开文件/etc/hostname即可看到新的主机名修改主机名－nmtui设置系统主机名[zys@centos8-1~]$cat/etc/hostname

centos8-13将主机名修改为centos8-2修改的是静态主机名修改主机名－nmcli设置系统主机名[root@centos8-1~]#nmcligeneralhostnamecentos8-1 <==当前主机名[root@centos8-1~]#nmcligeneralhostnamecentos8-2[root@centos8-1~]#nmcligeneralhostname

centos8-2 <==主机名修改成功[root@centos8-1~]#cat/etc/hostname

centos8-23重新打开一个终端窗口可以看到新的主机名修改的是临时主机名，所以文件/etc/hostname中的内容并未改变，而且重启系统后终端窗口中显示的仍然是静态主机名修改主机名－hostname设置系统主机名[root@centos8-2~]#hostnamecentos8-3 //修改临时主机名[root@centos8-2~]#hostnamecentos8-3 <==临时主机名[root@centos8-2~]#cat/etc/hostname

centos8-2 <==静态主机名3hostnamectl是专门用于查看和管理系统主机名的命令单独执行hostnamectl命令可以显示系统主机名及其他相关信息使用status子命令并结合--static、--transient和--pretty等长格式选项可以分别查看不同类型的主机名修改主机名－hostnamectl设置系统主机名[root@centos8-3~]#hostnamectlStatichostname:centos8-2Transienthostname:centos8-3[root@centos8-3~]#hostnamectlstatus--staticcentos8-23使用set-hostname子命令可以修改不同类型的主机名修改主机名－hostnamectl（续）设置系统主机名[root@centos8-3~]#hostnamectlStatichostname:centos8-2Transienthostname:centos8-3[root@centos8-3~]#hostnamectlset-hostnamecentos8-4[root@centos8-3~]#hostnamectlstatus--staticcentos8-4[root@centos8-3~]#hostnamectlstatus--transient

centos8-4[root@centos8-3~]#hostnamectlset-hostnamecentos8--static[root@centos8-3~]#cat/etc/hostname

centos84常用网络命令4最常用的测试网络连通性的工具之一向目标主机连续发送ICMP分组，记录目标主机是否正常响应及响应时间常用网络命令－ping常用网络命令[zys@centos8~]$pingPING(70)56(84)bytesofdata.64bytesfrom70(70):icmp_seq=1ttl=128time=29.8ms^C <==按【Ctrl+C】组合键手动终止ping命令[zys@centos8~]$ping-c3 <==只发送3个ICMP分组PING(3)56(84)bytesofdata.64bytesfrom3(3):icmp_seq=1ttl=128time=15.1ms64bytesfrom3(3):icmp_seq=2ttl=128time=15.2ms64bytesfrom3(3):icmp_seq=3ttl=128time=17.1ms4向目标主机发送特殊的分组，并跟踪分组从源主机到目标主机的传输路径Windows操作系统中对应的命令是tracert常用网络命令－traceroute常用网络命令[zys@centos8~]$traceroutetracerouteto(5),30hopsmax,60bytepackets1()5.376ms5.288ms5.197ms218(18)4.955ms5.263ms5.632ms[zys@centos8~]$traceroutetracerouteto(5),30hopsmax,60bytepackets1()5.693ms5.572ms5.465ms2()5.376ms5.288ms5.197ms318(18)4.955ms5.263ms5.632ms4主要用于统计套接字信息功能上和netstat命令类似，但是ss可以显示更多更详细的TCP和网络连接状态信息，执行起来也要比netstat更加快速高效。尤其在服务器需要维护数量巨大的套接字时，ss的优势更加明显常用网络命令－ss常用网络命令4常用网络命令－ss示例常用网络命令[zys@centos8~]$ss-tlnState Recv-Q Send-Q LocalAddress:Port PeerAddress:PortProcessLISTEN 0 32 :53 :*LISTEN 0 128 :22 :*[zys@centos8~]$ss-tlrState Recv-QSend-Q LocalAddress:Port PeerAddress:PortProcessLISTEN 0 128 :rpc.portmapper :*LISTEN 0 128 :ssh :*[zys@centos8~]$ss-lr4Netid State Recv-Q Send-Q LocalAddress:Port PeerAddress:PortProcesstcp LISTEN 0 32 centos8:domain :*tcp LISTEN 0 128 :ssh :*4查看或配置Linux中的网络设备常用网络命令－ifconfig常用网络命令[zys@centos8~]$ifconfigens33 //查看ens33网络接口的相关信息ens33:flags=4163<UP,BROADCAST,RUNNING,MULTICAST>mtu1500inet13netmaskbroadcast55inet6fe80::20c:29ff:feb0:11bdprefixlen64scopeid0x20<link>ether00:0c:29:b0:11:bdtxqueuelen1000(Ethernet)4Linux系统中最强大的网络管理命令之一，可以用于查看和管理路由、网络接口及隧道信息有许多子命令，如netns、address、route、link和neighaddress子命令查看网卡IP地址，或者为网卡添加、删除IP地址address子命令可简写为a、ad、add或addr通过ipaddressadd命令添加的IP地址只是临时地址，系统重启后该地址将失效常用网络命令－ip常用网络命令4常用网络命令－ip示例常用网络命令[root@centos8~]#ipaddressshowens33inet13/24brd55scopeglobalnoprefixrouteens33inet6fe80::20c:29ff:feb0:11bd/64scopelinknoprefixroute[root@centos8~]#ipaddressadd14/24devens33 //添加临时地址[root@centos8~]#ipaddressshowens33inet13/24brd55scopeglobalnoprefixrouteens33inet14/24scopeglobalsecondaryens33inet6fe80::20c:29ff:feb0:11bd/64scopelinknoprefixroute[root@centos8~]#ipaddressdel14/24devens33 //删除IP地址任务2配置防火墙firewalld基本概念12firewalld安装与启停3firewalld基本配置1firewalld基本概念1firewalld基本概念支持动态更新防火墙规则不重启即可创建、修改和删除规则使用区域和服务来简化防火墙配置firewalld概述1firewalld基本概念一组预定义的规则，防火墙策略集合（或策略模板）把网络分配到不同的区域中，并为网络及其关联的网络接口或流量源指定信任级别在区域上定义规则并应用于进入该区域的网络流量firewalld－区域1firewalld基本概念服务是端口和协议的组合表示为允许外部流量访问某种服务需要配置的所有规则的集合放行服务即相当于打开与该服务相关的端口和协议、启用数据包转发等功能将多步操作集成到一条规则中，减少配置工作量firewalld－服务2firewalld安装与启停2firewalld安装与启停功能：查看系统中当前有哪些进程，选项非常多只能显示系统进程的静态信息firewalld安装与启停[root@centos8~]#dnfinstallfirewalld-y[root@centos8~]#dnfinstallfirewall-config-ysystemctlstart|stop|restart|status|enablefirewalld3firewalld基本配置3firewalld基本配置firewall-config图形化界面firewall-cmd命令firewall-offline-cmd命令firewalld基本配置－三种配置方式3firewalld基本配置运行时配置：firewalld处于运行状态时生效的配置永久配置：firewalld重载或重启时加载的配置使用--permanent选项使更改在下次启动时仍然生效使用--reload选项重载永久配置并覆盖运行时配置firewalld基本配置－两种配置模式[root@centos8~]#firewall-cmd--add-service=http

//只修改运行时配置[root@centos8~]#firewall-cmd--permanent--add-service=http //修改永久配置[root@centos8~]#firewall-cmd--reload //重载永久配置[root@centos8~]#firewall-cmd--add-service=http //只修改运行时配置[root@centos8~]#firewall-cmd--runtime-to-permanent //提交到永久配置中3firewalld基本配置firewalld基本配置－查看信息[root@centos8~]#firewall-cmd--state

//查看运行状态running[root@centos8~]#firewall-cmd--list-all

//查看默认区域配置public(active)

interfaces:ens33[root@centos8~]#firewall-cmd--list-all--zone=work

//指定区域名worktarget:defaultservices:sshdhcpv6-client[root@centos8~]#firewall-cmd--list-services //只查看服务信息sshdhcpv6-client[root@centos8~]#firewall-cmd--list-services--zone=public //组合使用sshdhcpv6-clienthttp3firewalld基本配置firewalld基本配置－基于服务的流量管理[root@centos8~]#firewall-cmd--list-services//查看当前允许服务列表sshdhcpv6-client[root@centos8~]#firewall-cmd--permanent--add-service=http //添加预定义服务[root@centos8~]#firewall-cmd--reload //重载防火墙的永久配置[root@centos8~]#firewall-cmd--list-servicessshdhcpv6-clienthttp[root@centos8~]#firewall-cmd--add-port=80/tcp

//放行tcp80端口[root@centos8~]#firewall-cmd--list-ports80/tcp[root@centos8~]#firewall-cmd--remove-port=80/tcp

//移除tcp80端口添加或移除预定义服务添加或移除服务端口3firewalld基本配置firewalld基本配置－基于区域的流量管理[root@centos8~]#firewall-cmd--get-zonesblockdmzdropexternalhomeinternalpublictrustedwork[root@centos8~]#firewall-cmd--list-all-zonesblocktarget:%%REJECT%%icmp-block-inversion:no[root@centos8~]#firewall-cmd--list-all--zone=homehometarget:defaulticmp-block-inversion:no查看当前可用区域查看指定区域的详细信息3firewalld基本配置firewalld基本配置－基于区域的流量管理[root@centos8~]#firewall-cmd--get-default-zone //查看当前默认区域public[root@centos8~]#firewall-cmd--set-default-zonework //修改默认区域[root@centos8~]#firewall-cmd--get-default-zone //再次查看当前默认区域

work[root@centos8~]#firewall-cmd--get-active-zones //查看活动区域的网络接口publicinterfaces:ens33[root@centos8~]#firewall-cmd--zone=work--change-interface=ens33[root@centos8~]#vim/etc/sysconfig/network-scripts/ifcfg-ens33ZONE=work修改默认区域关联区域和网络接口3firewalld基本配置firewalld基本配置－基于区域的流量管理[root@centos8zones]#firewall-cmd--permanent--zone=work--set-target=ACCEPT[root@centos8zones]#firewall-cmd--reload[root@centos8zones]#firewall-cmd--zone=work--list-allworktarget:ACCEPTicmp-block-inversion:no当数据包与区域的所有规则都不匹配时，可以使用区域的默认规则处理数据包包括接受（ACCEPT）、拒绝（REJECT）和丢弃（DROP）3firewalld基本配置firewalld基本配置－基于区域的流量管理[root@centos8~]#firewall-cmd--zone=work--add-source=/24[root@centos8~]#firewall-cmd--runtime-to-permanent[root@centos8~]#firewall-cmd--zone=work--remove-source=/24[root@centos8~]#firewall-cmd--zone=work--add-source-port=3721/tcp[root@centos8~]#firewall-cmd--zone=work--remove-source-port=3721/tcp[root@centos8~]#firewall-cmd--zone=internal--add-protocol=icmp[root@centos8~]#firewall-cmd--zone=internal--remove-protocol=icmp添加和删除流量源添加和删除源端口和协议任务3配置远程桌面VNC远程桌面12OpenSSH服务1VNC远程桌面1VNC远程桌面VNC分为两部分：VNC服务器和VNC客户端（1）用户从VNC客户端发起远程连接请求（2）VNC服务器要求VNC客户端提供远程连接密码（3）VNC客户端输入密码，VNC服务器验证密码及VNC客户端的访问权限（4）通过验证后，VNC客户端请求VNC服务器显示远程桌面环境（5）VNC服务器利用VNC通信协议把桌面环境传送至VNC客户端，并且允许VNC客户端控制VNC服务器的桌面环境及输入设备VNC工作流程1VNC远程桌面VNC服务器为每个VNC客户端分配一个桌面号，编号从1开始VNC服务器使用的TCP端口号从5900开始，实际端口为5900+桌面号配置VNC远程桌面－服务端[root@insidecli~]#vncserver:1Youwillrequireapasswordtoaccessyourdesktops.Password: <==输入远程连接密码Verify: <==确认密码Wouldyouliketoenteraview-onlypassword(y/n)?n <==是否设置只供查看的密码New'centos8:1(root)'desktopiscentos8:1[root@centos8~]#ss-an|grep-E'Netid|5901'Netid State Recv-Q Send-Q LocalAddress:PortPeerAddress:PortProcesstcp LISTEN 0 5 :5901 :*tcp LISTEN 0 5 [::]:5901 [::]:*1VNC远程桌面安装VNC客户端软件，如RealVNC输入VNC服务器IP地址及桌面号、VNC密码配置VNC远程桌面－客户端2OpenSSH服务2OpenSSH服务SSH（SecureShell，安全外壳）是为提高网络服务的安全性而设计可以对数据进行加密传输，有效防止远程管理过程中的信息泄露问题使用SSH传输的数据是经过压缩的，可以提高数据的传输速度SSH服务由客户端和服