《linux操作系统》课件 第 7 章 网络管理

网络管理：从基础到实践01030204计算机网络基础主机通信原理Linux系统网络配置网络管理实践任务CONTENT目录05网络管理职业规范与拓展01计算机网络基础计算机网络是将不同地理位置的多台计算机及其外部设备通过通信线路和设备连接起来，实现资源共享和信息传递。它强调设备的独立性与相互联系，通过网络操作系统、管理软件及协议进行管理和协调。网络的主要特点包括资源共享、可靠性、独立性、扩充性、廉价性和分布性。资源共享可提高设备利用率，避免重复投资；可靠性确保一台计算机故障时，其他计算机可替代其完成任务。计算机网络定义1网络协议是为计算机网络数据交换建立的规则、标准或约定。常见的协议包括IP、ICMP、TCP、UDP、FTP、SSH、HTTPS和HTTP等，它们相互协作，共同构建网络通信。为更好地理解和管理这些协议，引入了网络模型概念，如OSI七层协议模型、五层协议模型和四层协议模型。这些模型将网络通信过程划分为不同层次，每一层负责特定的功能，各层之间通过接口进行通信，提高了网络的可管理性和可扩展性。网络协议模型2计算机网络概念与特点网络端口是一种由数字表示的地址，用于区分同一台计算机中不同进程或不同计算机中运行不同程序间的通信。常见端口及其作用包括：端口80用于HTTP服务，端口443用于HTTPS服务，端口25用于SMTP服务，端口110用于POP3服务，端口143用于IMAP服务，端口21用于FTP服务，端口22用于SSH服务。IP地址是分配给连接到互联网每一台主机（或路由器）的一个32位二进制地址，用来在IP层唯一标识一个主机或一个网络地址。IP地址由网络标识和主机标识两部分组成，通过子网掩码可以区分网络部分和主机部分。子网掩码的长度决定了网络部分的位数，从而决定了可以容纳的主机数量以及网络的规模。网络端口与IP地址子网是一个IP地址空间中满足一定条件的连续IP地址集合，通常具有相同的网络前缀或网络号，属于同一个逻辑网络。子网的概念有助于实现网络的层次化管理和控制，提高网络的灵活性和可扩展性。通过子网划分，可以将一个大型网络划分为多个较小的子网，每个子网可以独立地进行管理和配置，减少网络广播流量，提高网络安全性，并优化网络性能。网关是连接两个或多个不同网络的关键设备，充当网络间出入口或关卡。它能够转换不同网络之间的通信协议，根据路由信息选择最佳路径将数据包从一个网络转发到另一个网络，还可以作为网络安全的第一道防线，实施防火墙功能，过滤掉来自不安全网络的数据包，或者对数据进行加密和解密，确保数据传输的安全性。在家庭或小型网络中，网关通常指路由器，它连接内部局域网和外部广域网（如互联网），允许内部设备访问外部网络资源。子网与网关网络通信要素02主机通信原理地址解析与数据封装数据发送与接收处理子网内两台主机之间通信时，首先进行地址解析。主机A使用ARP（地址解析协议）来解析主机B的MAC地址。ARP广播请求会发送到子网内所有设备，询问B的IP地址对应的MAC地址。如果主机B收到这个ARP请求，并且确认请求中IP地址与自己IP地址匹配，B会回复一个ARP响应，其中包含其MAC地址。主机A收到这个响应后，会缓存B的MAC地址，以便后续通信使用。数据封装是通信过程中的重要步骤。一旦主机A获得主机B的MAC地址，A就开始准备发送数据。A会将数据封装成一个数据包，数据包中包含源和目标IP地址、源和目标MAC地址以及实际数据内容。封装后的数据包包含了所有必要的信息，确保数据能够在网络中正确传输并被目标主机识别和接收。主机A将封装好的数据包发送到网络上。在以太网中，这通常涉及将数据包的二进制形式转换为电信号或光信号，并通过物理介质（如网线）传输。交换机负责转发数据包，它通过查看数据包的MAC地址来确定应该将数据包发送到哪个端口。如果主机B直接连接到交换机的一个端口，交换机会直接将数据包发送到该端口。当主机B收到数据包时，它会检查数据包的MAC地址是否与自己的MAC地址匹配。如果匹配，B会接受数据包，并从数据包中提取出数据内容。然后，B会根据数据的类型和目的进行相应的处理，如执行程序、返回响应等。这一过程确保了数据能够准确地从源主机传输到目标主机，并被正确处理。子网内通信过程路由选择与网关转发子网间两台主机之间通信时，源主机首先会将需要发送的数据进行封装，包括添加源和目标IP地址等必要信息。然后，源主机检查目标IP地址是否与自己处于同一子网。这通常通过比较目标IP地址与子网掩码来完成，以确定目标IP地址的网络部分是否与源主机的网络部分相同。如果目标主机位于不同子网，源主机会确定一个出口网关（通常是路由器）将数据包发送到目标子网。这个过程可能涉及到查找本地路由表，以确定最佳路径和出口网关。源主机使用ARP协议来解析出口网关的MAC地址，以便直接将数据包发送到网关。一旦获得网关的MAC地址，源主机会将数据包封装成一个网络帧，其中包括源主机的MAC地址、网关的MAC地址以及封装好的数据。然后，源主机会将网络帧发送到网络上。数据包传输与目标接收网关（路由器）接收到数据包后，会查看数据包的目标IP地址，并根据其路由表确定下一个转发目标。这可能涉及到跨越多个网络和路由器，直到数据包到达目标子网。当数据包到达目标子网时，目标子网的交换机或路由器会根据数据包的MAC地址将其转发到目标主机。这可能需要再次使用ARP协议来解析目标主机的MAC地址。目标主机接收到数据包后，会检查数据包的MAC地址和IP地址，确认是自己需要接收的数据后，会提取出数据内容并进行处理。整个子网间通信过程涉及多个设备和协议的协同工作，确保数据能够在不同网络之间正确传输和接收。子网间通信过程03Linux系统网络配置CentOS7的网络接口命名规则发生了较大变化，采用基于设备信息的命名方案。这种命名方式使用dmindecode进行采集，并结合主板信息，实现网卡名字的永久唯一性。一般来说，CentOS7中的网络接口名称格式为enxnn，其中en表示以太网，x表示不同的网卡类型，nn是通过MAC地址和主板信息计算得出的唯一序列号。网络接口配置参数通常位于/etc/sysconfig/network-scripts/ifcfg-<interface>文件中。几个重要配置参数及其作用如下：DEVICE指定网络接口设备名称，是识别和管理网卡的关键信息；ONBOOT设置网络接口在系统启动时是否启用；BOOTPROTO定义网络接口启动协议，常用选项包括dhcp和static；IPADDR指定网络接口IP地址，只在BOOTPROTO设置为static时有效。在CentOS7中，/etc/hostname文件用于定义系统静态主机名，也称为内核主机名。这个主机名在系统初始化时读取，并由内核根据文件内容来设置transient主机名。静态主机名是在系统启动时自动从/etc/hostname文件中初始化的。主机名定义有三种类型：静态的（Statichostname）、瞬态的（Transienthostname）和灵活的（Prettyhostname）。静态主机名是系统在启动时从/etc/hostname自动初始化的主机名；瞬态主机名是在系统运行时临时分配的主机名，例如通过DHCP或mDNS服务器分配；灵活主机名允许使用自由形式（包括特殊/空白字符）的主机名，以展示给终端用户。网络接口命名与参数主机名文件与类型网络接口与主机名配置路由表概念与类型路由表是路由器或主机中的表格，它记录网络拓扑结构、目的网络地址和出接口之间的映射关系。当路由器或主机收到一个数据包时，它会查询路由表，并根据表中的信息来选择下一跳路由器或直接转发数据包到目的地址。在CentOS7中，路由可分为永久路由和临时路由两种类型。永久路由是通过编辑网络配置文件/etc/sysconfig/network-scripts/route-<interface>来配置的，其中<interface>是要配置路由的网络接口名称。完成配置后，保存并退出文件，然后重启网络服务使路由配置生效。临时路由是在系统运行期间动态添加的路由，它们不会在网络服务重启后保持。防火墙概念与区域管理Firewalld是一个动态防火墙管理工具，用于定义网络区域中的网络链接和接口的安全级别。它支持IPv4、IPv6防火墙设置及以太网桥接，并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则接口。它工作在网络层，属于包过滤防火墙。Firewalld引入了一个核心概念，即“区域”（zone）。区域是预定义防火墙策略集合，用于简化网络访问管理。用户可根据实际生产场景选择合适区域，从而实现防火墙策略之间的快速切换。按照firewalld提供的区域从不信任到信任排序包括丢弃区域（DropZone）、阻塞区域（BlockZone）、公共区域（PublicZone）、外部区域（ExternalZone）、隔离区域（DMZZone）、工作区域（WorkZone）、家庭区域（HomeZone）、内部区域（InternalZone）和信任区域（TrustedZone）。路由表与防火墙配置04网络管理实践任务虚拟网络编辑与IP设置为了实现主机和虚拟机之间的通信，首先需要编辑虚拟机网络。在虚拟网络编辑器中，可以更改子网IP、添加映射传入端口等设置。例如，可以将主机端口设置为10000以上，类型选择TCP，输入虚拟机IP地址和虚拟机端口号为22。接下来，需要设置主机VMnet的IP地址。进入网络连接界面，选择相应的VMnet图标，进入属性设置界面，输入IP地址、子网掩码、网关和DNS等信息。在虚拟机中，需要编辑网络接口文件/etc/sysconfig/network-scripts/ifcfg-ens33，将BOOTPROTO设置为static，ONBOOT设置为yes，并添加相应的IP地址、子网掩码、网关和DNS等信息。保存退出后，执行systemctlrestartnetwork命令使网络重启。通信验证与命令应用配置完成后，可以通过ping命令验证主机和虚拟机之间是否能够互通。在虚拟机中执行ping0命令，可以看到虚拟机能ping通主机地址；在主机命令行执行类似命令，也可以看到主机能ping通虚拟机地址。通过上述操作，实现了主机和虚拟机之间的通信。这一过程涉及到虚拟网络的编辑、IP地址的设置以及网络接口文件的配置等步骤，确保了主机和虚拟机能够在同一网络中进行数据传输和通信。主机与虚拟机通信配置0102网络拓扑构建与设备添加为了模拟不同子网间主机通信，需要构建一个包含多个子网和主机的网络拓扑。例如，添加3台主机Server02、Server12和Server03，以及3个子网、和。Server01需要添加2个网络接口，分别接入和子网，对应IP地址分别为20和20。在虚拟网络编辑器中，按照指定的子网信息添加相应的虚拟网络。例如，添加VMnet2、VMnet3和VMnet12，并分别配置其子网为、和。在添加虚拟网络时，需要注意取消所有子网的DHCP服务，以避免IP地址冲突。接下来，为Server01添加网络适配器。在虚拟机设置中，选择添加硬件，添加网络适配器，并为其配置相应的子网。例如，为Server01添加2张网络适配器，分别配置为VMnet2和VMnet3。启动虚拟机后，进入命令行模式，查看网络适配器信息，并为新增的网络适配器配置IP地址。路由配置与通信测试为了实现不同子网之间的通信，需要进行路由配置。在Server12中，编辑路由文件/etc/sysconfig/network-scripts/route-ens33，添加到2网段的路由规则，例如/24via0。保存退出后，重启网络服务，并开启Server02的路由转发功能，执行echo1>/proc/sys/net/ipv4/ip_forward命令。配置完成后，进行通信测试。在Server12上，使用ping命令测试0和20的连通性。测试结果显示，能够成功ping通0，但无法ping通20。这表明路由配置还需要进一步优化。接下来，在Server01上编辑路由文件/etc/sysconfig/network-scripts/route-ens34，添加到12网段的路由规则，例如/24via0。保存退出后，重启网络服务，并再次开启路由转发功能。再次在Server12上测试20的连通性，结果显示能够成功ping通。通过上述路由配置和通信测试，实现了不同子网之间的通信。这一过程涉及到网络拓扑的构建、设备的添加、路由文件的编辑以及路由转发功能的开启等步骤，确保了不同子网中的主机能够相互访问和通信。不同网段通信配置Tomcat服务部署与访问在Server01上部署Tomcat服务，需要上传Linux版本的JDK和Tomcat到指定目录。首先，解压Tomcat压缩包，并重命名为tomcat8.5。然后，解压JDK压缩包，并重命名为jdk1.8。接下来，配置JDK环境变量。打开/etc/profile文件，在文件最后添加相应的环境变量配置信息，例如exportJAVA_HOME=/usr/jdk/jdk1.8等。保存退出后，执行source/etc/profile命令使系统变量生效。切换到Tomcat的bin目录，执行./startup.sh命令启动Tomcat服务。启动成功后，可以通过curlhttp://localhost:8080命令验证Tomcat是否能够正常访问。在Server12上，使用ping命令测试Server01的IP地址，能够成功ping通，但使用curl命令访问Tomcat服务时，提示Noroutetohost。为了使Server12能够访问Server01上的Tomcat服务，需要关闭Server01的防火墙。执行systemctlstopfirewalld命令后，再次在Server12上使用curl命令访问Tomcat服务，能够成功访问。防火墙白名单与NAT转发配置关闭防火墙虽然可以使Server12访问Tomcat服务，但这种方式存在安全隐患。因此，需要使用防火墙白名单来限制访问。启动Server01的防火墙，执行systemctlrestartfirewalld命令。使用firewall-cmd命令添加防火墙白名单规则，例如firewall-cmd--permanent--add-rich-rule="rulefamily="ipv4"sourceaddress="/24"portprotocol="tcp"port="8080"accept"。执行命令后，重启防火墙使规则生效。接下来，配置防火墙的NAT转发功能。执行firewall-cmd--add-masquerade--permanent命令启用地址伪装功能，然后执行firewall-cmd--add-rich-rule='rulefamily="ipv4"sourceaddress="/24"forward-portport="12000"protocol="tcp"to-port="22"to-addr="0"'--permanent命令添加端口转发规则。最后，执行firewall-cmd--reload命令重新加载防火墙配置，并开启路由转发功能。配置完成后，进行验证。在Server02、Server12和Server03上分别使用curl命令访问Server01上的Tomcat服务。结果显示，只有子网2能够访问Tomcat服务，其他子网无法访问。这表明防火墙白名单配置成功。在主机上使用SSH登录Server01的12000端口，通过NAT转发功能，可以成功登录到Server02。这验证了NAT转发配置的有效性。通过上述Tomcat服务部署、防火墙白名单和NAT转发配置，实现了Web服务的安全访问和网络地址转换。这一过程涉及到软件的安装与配置、防火墙规则的设置以及网络转发功能的启用等步骤，确保了Web服务能够在安全的网络环境中被访问，同时满足了不同网络环境下的访问需求。Web服务与防火墙配置05网络管理职业规范与拓展安全性与稳定性原则在进行网络配置操作时，必须始终将安全性放在首位，确保网络不受未经授权的访问和攻击。使用安全的通信协议和端口进行数据传输，并确保网络环境已正确配置，包括IP地址、子网掩码和网关等。网络配置应确保网络的稳定性和可靠性，避免由于配置错误导致的网络中断或性能下降。在配置路由规则时，应明确不同网段之间的通信需求，选择合适的路由策略，避免配置复杂的路由规则，以免引发路由环路或通信故障。定期检查路由表的正确性，确保网络数据包能够按照预定路径正确传输。防火墙与文档化管理在配置firewalld黑白名单时，应明确访问控制策略，只允许必要的IP地址或网络访问特定的服务或端口。定期检查黑白名单的有效性，确保其符合当前的安全需求。避免将重要的IP地址或网络错误地加入黑名单，以免导致服务中断或通信故障。定期检查和更新防火墙规则，确保通信的畅通和安全。所有网络配置操作必须详细记录，包括配置步骤、参数设置和测试结果，以便于后续维护和管理。文档化记录是网络管理的重要环节，它有助于快速定位问题、进行故障排查和进行系统升级。通过详细的文档记录，可以确保网络配置的可追溯性和可维护性。职业规范与文档化要求01.02.分布式存储系统相关产品基于Linux系统的分布式存储系统相关产品包括Hadoop、Spark和Kafka等。Hadoop是一个开源的分布式处理框架，其HDFS组件是分布式存储系统的一部