收藏
下载资源 加入VIP免费专享

网络配置与管理.ppt

上传人:小飞机 文档编号:6336187 上传时间:2023-10-18 格式:PPT 页数:54 大小:829.50KB
返回 下载 相关 举报
网络配置与管理.ppt_第1页
第1页 / 共54页
网络配置与管理.ppt_第2页
第2页 / 共54页
网络配置与管理.ppt_第3页
第3页 / 共54页
网络配置与管理.ppt_第4页
第4页 / 共54页
网络配置与管理.ppt_第5页
第5页 / 共54页
点击查看更多>>
资源描述

《网络配置与管理.ppt》由会员分享,可在线阅读,更多相关《网络配置与管理.ppt(54页珍藏版)》请在三一办公上搜索。

1、第七章 网络配置与管理,第七章 网络配置与管理,此处内容逐行飞出第一节网络配置第二节路由配置第三节危险的网络命令,第一节网络配置,一、与网络配置相关的系统文件(*)二、ifconfig的使用(*)三、网络的测试命令(*),一、与网络配置相关的系统文件,虽然使用netconfig命令,可以轻松的进行网络配置,但是如果想深入了解Linux,一些与网络配置关系密切的系统配置文件是必须掌握的,这些文件主要有:1/etc/inetd.conf(*)2/etc/rc.d/rc.inet1和/etc/rc.d/rc.inet1.conf(*)3/etc/HOSTNAME(*)4/etc/host.conf(

2、*)5/etc/hosts(*)6/etc/resolv.conf(*)7/etc/hosts.allow 和/etc/hosts.deny文件(*)8/etc/services 文件(*)9/etc/modules.conf 文件(*),1/etc/inetd.conf 文件(*),作用:inetd.conf则是inetd的配置文件。inetd.conf文件告诉inetd监听哪些网络端口,为每个端口启动哪个服务。用户可以手动的激活或者屏蔽某项服务,然后通过重新启动系统或者是重新启动进程来加载该项服务。配置实例如下:#ftp stream tcp nowait root/usr/sbin/tc

3、pd proftp说明:在inetd.conf中,通过7个字段来配置相应的服务:本例指出了ftp服务的相关信息,默认情况下ftp服务是被屏蔽的,如果用户希望启用ftp服务,把该行前面的“#”去掉即可。,2/etc/rc.d/rc.inet1和文件(*)-1,作用:网卡的初使化配置,定义了主机的一系列网络环境,包括IP地址(IP ADDRESS)、网络掩码(NETMASK)、以及网关(GATEWAY)。通过配置这两个文件,可以将IP地址等参数分配给指定的网卡,还可以设置系统的静态路由。在slackware9.1版本之前,系统中没有文件,所有的功能都通过/etc/rc.d/rc.inet1来完成。

4、Slackware9.1以后的版本都在系统中将/etc/rc.d/rc.inet1拆分成为两个文件,其中主要的地址配置信息全部由给出,而rc.inet1文件只是在执行的时候调用中的信息。下面给出一个完整的文件的配置实例,并在关键位置加以注解:,2/etc/rc.d/rc.inet1和文件(*)-2,#This file contains the configuration settings for network interfaces.#If USE_DHCPinterface is set to yes,this overrides any other settings.#If you do

5、nt have an interface,leave the settings null().#Config information for eth0:#配置第一块网卡eth0IPADDR0=10.20.0.30#网卡的IP地址 NETMASK0=255.255.255.0#网络掩码 USE_DHCP0=#是否使用DHCP服务,如果使用则添入”yes”DHCP_HOSTNAME0=#DHCP服务器的主机名#Config information for eth1:#配置第二块网卡eth1IPADDR1=NETMASK1=USE_DHCP1=DHCP_HOSTNAME1=#Default gate

6、way IP address:#默认的网关地址GATEWAY=10.20.0.1#Change this to yes for debugging output to stdout.Unfortunately,#/sbin/hotplug seems to disable stdout so youll only see debugging output#when rc.inet1 is called directly.DEBUG_ETH_UP=no说明:用户在配置网络时,主要配置中的内容,在相应的位置添入相关信息,如果主机只有一块网卡,则只需配置eth0,如果有两块网卡则第二块网卡被标识为e

7、th1,依此类推。配置完成后由rc.inet1调用。,3/etc/HOSTNAME文件(*),作用:提供完整的主机名(Hostname)和域名(Domain Name),许多程序和变量都从该文件中获取本机主机名。如果想要修改主机名只需修改此文件即可。此文件的内容如下:即,本机带域名的主机名。,4/etc/host.conf文件(*),作用:指定主机名查询顺序,是先通过DNS查询还是先通过hosts文件查询。配置实例如下:order hosts,bind multi on 说明:order指出hosts文件和DNS服务器的执行顺序。“order hosts,bind”表示在查询主机名时先查询ho

8、sts文件中是否存在该主机名,如果存在的话则以hosts文件中的内容为准,如果hosts中没有该主机的记录则向DNS服务器查询。“multi on”表示hosts中指定的主机可以有多个IP地址,如果改为“multi off”则规定hosts文件中指定的每台主机只能有一个IP地址。,5/etc/hosts文件(*),作用:记录IP Address与主机名Hostname之间的对应关系。当计算机启动后,在查询DNS之前系统需要在这个文件中查询一些主机名到IP地址的匹配。在没有域名服务器情况下,系统上的所有网络程序都通过查询该文件来解析对应于某个主机名的IP地址。(优先查询hosts文件的前提是/e

9、tc/host.conf文件中定义了“order hosts,bind”。),5/etc/hosts文件(*),配置实例如下:#For loopbacking.127.0.0.1 slack1010.20.14.198 test#End of hosts.说明:最左边的是IP Address,后面是与之相对应的主机名。在没有DNS的情况下,通过hosts文件来构建一个局域网就可以让局域网内部的计算机以主机名相互访问,前提是主机中的hosts文件包含要访问的计算机的主机名与IP Address。在本例中,如果希望用“ping”命令去检查本机与之间的连接是否正常,那么以下三种方法访问该主机的效果是

10、相同的。#ping test,6/etc/resolv.conf文件(*),作用:记录了当前网络的域名以及域名服务器(DNS)的IP地址。配置实例如下:说明:search 表示当提供了一个不包括完全域名的主机名时,在该主机名后添加的后缀;“nameserver”表示解析域名时,域名服务器的IP地址为202.204.234.1。,7/etc/hosts.allow 和/etc/hosts.deny文件(*),Linux用这两个文件控制远程用户的访问。hosts.deny和hosts.allow。在hosts.deny文件中列出了禁止从远程访问本机的主机和用户,而hosts.allow文件列出了允

11、许从远程访问本机的主机和用户。配置实例如下:#在文件/etc/hosts.allow仅包含如下配置:说明:只有IP地址为,且名为的主机可以使用OpenSSL访问本机。若在/etc/hosts.deny中只包含上述配置,则意为只有IP地址为,且名为的主机不能使用OpenSSL访问本机。,8/etc/services 文件(*),此文件存放服务名称和端口号的对照表。只有超级用户可以修改此文件。但是,由于此文件中存放了大量的知名端口号和服务的名字,因此,几乎无需修改。,9/etc/modules.conf 文件(*),该配置文件定义了各种需要在启动时加载的模块参数信息,在此以网卡为例进行讨论。对于以

12、模块动态载入方式安装多个网卡的情况,需在“modules.conf”文件中进行相应的配置。若设备驱动被编译为模块(内核的模块):对于PCI设备,模块将自动检测到所有已经安装到系统上的设备;对于ISA卡,需向模块提供IO地址,以使模块知道在何处寻找该卡,这些信息在“/etc/modules.conf”中进行配置。若有两块ISA总线的3c509卡,一个IO地址是0 x300,另一个是0 x320。编辑“modules.conf”文件如下:alias eth0 3c509 alias eth1 3c509 options 3c509 io=0 x300,0 x320若有两块PCI总线的3c905卡,

13、则无需指定IO地址,编辑“modules.conf”文件如下:alias eth0 3c905 alias eth1 3c905,二、ifconfig的使用(*),1.查看当前网络配置(*)2.配置网卡(*)3.一块网卡绑定两个IP(*)4.修改网卡MAC地址(*)5.初步部署IPv6(*),1.查看当前网络配置,当系统安装完毕后,经常需要查看当前网络配置情况以便了解系统信息,例如网卡是否正确安装、网卡的硬件地址以及IP ADDRESS等信息,直接键入 ifconfig就可以做到这些。下面就是键入ifconfig之后显示的主要信息。eth0 Link encap:Ethernet HWaddr

14、 00:0C:29:10:F9:26 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:240 errors:0 dropped:0 overruns:0 frame:0 TX packets:84 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:14446(14.1 Kb)TX bytes:5086(4.9 Kb)Interrupt:10 Base address:0 x1080 lo Link encap:Loca

15、l Loopback UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:47 errors:0 dropped:0 overruns:0 frame:0 TX packets:47 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:3307(3.2 Kb)TX bytes:3307(3.2 Kb),2.配置网卡(*),使用ifconfig,同样能够给网卡配置IP ADDRESS等信息,命令格式如下:#ifconfig eth0 IP地址 broa

16、dcast 广播地址 netmask 网络掩码 使用上面的命令行,就可以对主机的第一块网卡eth0进行配置,同样道理,如果配置第二块网卡,则把eth0换成eth1即可。需要注意的是,使用ifconfig配置后的地址会立即生效而无需重新启动系统,一但重新启动了系统,之前ifconfig配置的内容就会丢失。,3.一块网卡绑定两个IP(*),在实际工作中,有时需要在同一网卡上绑定两个IP,使用ifconfig可以轻松的完成这个任务,方法如下:#ifconfig eth0:0 IP地址1 broadcast 广播地址1 netmask 网络掩码1#ifconfig eth0:1 IP地址2 broad

17、cast 广播地址2 netmask 网络掩码2ifconfig的功能还有很多,在这里不做一一赘述,读者可以使用man ifconfig命令查看更具体的使用方法,4.修改网卡MAC地址(*),若要修改eth0的MAC地址,首先要关闭网卡设备,命令如下:#/sbin/ifconfig eth0 down 然后,使用如下命令修改MAC地址,命令如下:#/sbin/ifconfig eth0 hw ether 00:AA:BB:CC:DD:EE 其中,hw是hardware的缩写,表示硬件地址。ether表示设置以太网卡的MAC地址。最后,重新启用网卡:#/sbin/ifconfig eht0 up

18、 这样网卡的MAC地址就更改完成了。每张网卡的MAC地址是惟一,但不是不能修改的,只要保证在网络中的MAC地址的惟一性就可以了。但是,对于一台在Internet网上的计算机修改时要格外慎重,一旦与其他机器MAC地址相同,将无法通信。,5.初步部署IPv6(*)-1,IPv4技术在网络发展中起到了巨大的作用,不过随着时间的流逝它无论在网络地址的提供、服务质量、安全性等方面都越来越力不从心,IPv6呼之欲出。Linux是所有操作系统中最先支持IPv6的,一般Linux基于2.4内核的Linux发行版本都可以直接使用IPv6,不过主要发行版本没有加载IPv6模块,可以在超级用户提示下,使用命令手工加

19、载。#modprobe ipv6然后,使用如下命令查看:rootcacti:/home/helen#ifconfigeth0 Link encap:Ethernet HWaddr 00:20:ED:7F:64:54 inet6 addr:fe80:220:edff:fe7f:6454/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:15236479 errors:0 dropped:0 overruns:0 frame:0 TX packets:13580633 errors:0 dropped

20、:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:1380047531(1.2 GiB)TX bytes:1376627371(1.2 GiB)Interrupt:5 Base address:0 x2000,5.初步部署IPv6(*)-2,lo Link encap:Local Loopback inet6 addr:1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:46 errors:0 dropped:0 overruns:0 fr

21、ame:0 TX packets:46 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:2380(2.3 KiB)TX bytes:2380(2.3 KiB)在上面执行结果中,inet addr:后面是IPv4的地址;inet6 addr:后面是IPv6的地址fe80:220:edff:fe7f:6454/64。,三、网络的测试命令,1用ping命令测试基本连通性(*)2用ifconfig命令检查网络接口配置(*)3用arp命令检查ARP表(*)4用netstat命令检查路由选择(*)5用ri

22、pquery命令检查RIP更新分组(*)6用traceroute命令跟踪路由(*)7DNS测试命令nslookup(*),1用ping命令测试基本连通性,ping命令常常用于测试网络的连通性,它使用ICMP协议。根据ping命令运行的结果,能够确定下一步是测试网络连接(较低层),还是应用程序(较高层)。如果ping显示分组报文可以发送到远程系统并返回来,用户的问题就可能在较高层(OSI模型的较高层)中;如果分组报文不能往返传送,那么故障可能出在较低的协议层中。ping命令的基本格式是:ping host-c count-s packetsize其中各参数的含义如下:,1用ping命令测试实例-

23、1,如:检测从一台主机HOST1到另一台主机HOST2之间是否连通,可以在主机HOST1上执行下面的命令:$ping HOST2-c 5PING(192.68.200.1):56 octets data64 octets from 192.68.200.1:icmp_seq=0 ttl=255 time=14 ms64 octets from 192.68.200.1:icmp_seq=1 ttl=255 time=12 ms64 octets from 192.68.200.1:icmp_seq=2 ttl=255 time=12 ms64 octets from 192.68.200.1:

24、icmp_seq=3 ttl=255 time=13 ms64 octets from 192.68.200.1:icmp_seq=4 ttl=255 time=15 ms-HOST2 ping statistics-5 packets transmitted,5 packets received,0%packet lossround-trip min/avg/max=0.1/0.1/0.2 ms,1用ping命令测试实例-2,该测试表明从HOST1到HOST2之间的连通很正常,没有丢失分组,响应很快。对于广域网的连接,分组丢失越少和回送时间越短则越正常。该命令显示的统计资料可以指出下一级的网

25、络问题。其关键的统计信息是:各分组到达的次序。如显示每个分组的ICMP序号(icmp_seq)。一个分组往返传送需要多长时间。它显示在“time=”之后,以毫秒(ms)为单位。分组丢失的百分比。它显示在ping输出结束处的总计行中。如果分组丢失率高,响应时间非常慢,或者各分组不按次序到达,那么就可能是硬件有毛病。如果在广域网中进行远距离通信时遇到这种情况,就没有什么可担心的,TCP/IP专门用来对付不可靠的网络,某些广域网可以承受大量分组报文的丢失。但如果这些问题出现在局域网中,则应该加以重视。在本地局域网络中,其往返时间应该接近于零,几乎或完全没有分组丢失,各分组应按次序到达。如果不是这样,

26、那么网络硬件就有问题。在以太网中可能是由于:不合适的电缆连接、不良的电缆、不良的“有源”硬件(如转发器或收发器)等。此时,应当首先排除硬件故障。为了系统安全考虑,现在很多服务器禁止响应ping,即忽略icmp包.,方法用以下命令:#echo 1/proc/sys/net/ipv4/icmp_echo_ignore_all 若要恢复使用 ping,则用以下命令:#echo 0/proc/sys/net/ipv4/icmp_echo_ignore_all,2用ifconfig命令检查网络接口配置,ifconfig是配置网络接口的命令,也可以用该命令检查网络接口配置。命令格式:ifconfig et

27、hn IP地址 broadcast 广播地址 netmask mast地址如:配置第一块网卡,IP地址10.20.0.67,广播地址,掩码,3用arp命令检查ARP表,arp命令实现IP地址到以太网地址(MAC)之间的地址翻译,它有三个对故障检测非常有用的选项:若怀疑地址转换表中有不正确的记录项,请使用arp命令。ARP表的问题通常是因为使用相同的IP地址的两个系统引起的,这类问题表现为间歇性的。因为在该表中的记录项能最快地响应最近一次ARP请求的主机的地址,有时候“正确”的主机首先响应,有时“错误”的主机首先响应。若怀疑两个系统使用相同的IP地址,可利用arp-a命令显示地址转换表如下:#a

28、rp-(192.168.0.11)at 00:06:5B:04:46:08 ether on eth0host2.(192.168.0.12)at 00:50:DA:8C:46:1D ether on eth0host3.(192.168.0.13)at 00:E0:18:C7:A6:7E ether on eth0,4用netstat命令检查路由选择-1,若可以访问局域网,但不能访问远程网络,则应该检查是否路由选择有问题。若问题出在本地主机的路由选择表中,很容易检测和解决。方法:首先,利用netstat nr命令和grep命令查看在该路由表中是否安装了到达你的目的地的有效路由。例如,用下面的

29、命令可以查看到网络“”的专用路由:#netstat-nr|grep 192.168.2192.168.2.0192.168.1.254255.255.255.0UG4000eth0若在其路由表中没有这一路由,则在运行同一测试时,就根本没有响应。192.168.2表达式表示要查找带有地址的路由。若没有找到到达该目的地的专用路由,请记住去查找缺省路由:#netstat-r|grep defaultdefaultgateway.ourdomain0.0.0.0UG4000eth0,4用netstat命令检查路由选择-2,若netstat显示一条正确的专用路由或一条有效的缺省路由,那么问题就不在其路由

30、表中。此时,应该使用本章后面讲的traceroute命令对路由进行跟踪,以查找有问题的路由节点。若netstat不能返回期望的路由,那就是本地路由选择问题。根据系统选择的路由方式,选择解决的办法。若正在使用静态路由选择,可利用route add命令添加该丢失的路由。值得注意的是,使用静态路由选择的大多数系统都依赖于缺省路由。若使用动态路由,应确保路由选择程序正在运行。因此,无论何时引导系统,要确保系统能够将所需的路由增添到路由选择表中。netstat使用参数-a察看自身的网络状况,如开启的端口、在为哪些用户服务,以及服务的状态等。此外,它还显示系统路由表、网络接口状态等。可以说,它是一个综合性

31、的网络状态的察看工具。在默认情况下,netstat只显示已建立连接的端口。,4用netstat命令检查路由选择,#netstat-aActive Internet connections(servers and established)Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0*:time*:*LISTEN tcp 0 0*:netbios-ssn*:*LISTEN tcp 0 0*:http*:*LISTEN tcp 0 0*:auth*:*LISTEN tcp 0 0*:ftp*:*LISTEN tcp 0

32、 0*:ssh*:*LISTEN tcp 0 0*:microsoft-ds*:*LISTEN tcp 0 0 cacti.cas.buu.edu.c:ssh 10.20.0.68:2685 ESTABLISHEDtcp 0 272 cacti.cas.buu.edu.c:ssh 10.20.0.66:1160 ESTABLISHEDtcp 0 0 cacti.cas.buu.edu.c:ssh 10.20.0.67:1238 ESTABLISHEDudp 0 0*:biff*:*udp 0 0 cacti.cas.bu:netbios-ns*:*udp 0 0*:netbios-ns*:*u

33、dp 0 0 cacti.cas.b:netbios-dgm*:*udp 0 0*:netbios-dgm*:*udp 0 0*:time*:*Active UNIX domain sockets(servers and established)Proto RefCnt Flags Type State I-Node Pathunix 7 DGRAM 185/dev/logunix 2 ACC STREAM LISTENING 698/dev/gpmctlunix 2 ACC STREAM LISTENING 667/var/run/mysql/mysql.,5用ripquery命令检查RIP

34、更新分组,若路由守护进程正在运行,而且本地系统通过路由选择信息协议(RIP)接收到路由选择更新分组,可利用ripquery命令去检查接收到的来自RIP提供者的路由选择更新分组。例如,要检查从接收来的RIP更新分组,管理员可输入下列命令:44 bytes from gateway.(192.168.0.254)10.0.0.0,metric 00.0.0.0,metric 2上述报告的第一行表明ripquery命令接收到来自的一个响应;在该行下面两行是发布的两条路由,它宣布其缺省路由(目标网络为)的度量值是2和到达网络的直接路由的度量值是0。-n选项用来禁止ripquery将IP地址转换成名字,

35、此时,ripquery命令以IP地址形式显示所有输出。在这些更新分组中返回的路由应该包含所期望的路由。若不是,或者没有返回路由,请检查RIP提供者的配置文件。,6用traceroute命令跟踪路由,若本地路由表和RIP提供者都是正确的,那么问题就可能发生在本地主机之外的某个地点。远程路由选择问题可能会造成“no answer”(没有应答)或“network unreachable”(无法到达远程网络),但这并不一定是路由选择有问题,而有可能是由于在本地主机和远程目的地之间有某个设备不能正常而引起的。traceroute是一个可以帮助你定位这类问题的程序。traceroute可以从本地主机到远程

36、主机跟踪用户数据报协议(UDP)分组的路由,它能显示沿着到达远程主机的路由中每个网关的名字及IP地址(如果能确定的话)。traceroute将发送“Time Exceeded”报文给它的每个网关的输出并显示在一行中,其格式及含义如下:,6用traceroute命令跟踪路由,当目的主机接收到来自traceroute的一个分组时,它返回一个ICMP“Unreachable Port(不可达端口)”报文,这是因为traceroute有意识地使用一个无效端口号(默认为33434)去强制出错。当traceroute接收到该“Unreachable Port”报文时,它就知道该分组已到达其目的主机,并停止

37、跟踪。利用这种方法,traceroute就可建立一个网关列表,从第一跳的网关开始,以后每次增加一跳,直到到达远程主机为止。下面的示例是使用traceroute命令对 进行路由跟踪的情况。traceroute在每个ttl值发送三个分组,如果有一个分组没有接收到响应,traceroute就显示一个星号(*);如果接收到一个响应,它就显示响应网关的名字和地址,以及以毫秒为单位的此分组往返传输时间。#traceroute to host.somewhere(192.168.100.254),30 hops max,40 byte packets1 gateway.ourdomain(192.168.0

38、.254)1.548 ms 1.02 ms 1.438 ms2 gw1.domain1(192.168.101.254)4 ms 3 ms 3 ms3 gw2.domain2(192.168.102.254)30 ms 32 ms 33 ms4*gw3.domain3(192.168.103.254)57 ms 55 ms5 gw4.domain4(192.168.103.254)90 ms 76 ms 66 ms6 host.(192.168.100.254)83 ms 95 ms 86 ms这一跟踪结果表明,涉及5个中间网关,这些分组可靠地进行了传送。,6用traceroute命令跟踪路由

39、-1,在不同类型的网络中实现网间控制报文协议(ICMP)时的差异,以及数据报在网络中传送时使用路径的不可预测性,都会产生某些奇特的信息,为此,应该进一步地深入检查traceroute的输出,在该输出中最重要的是该分组是否到达了目的地?若没有到达,它在什么地方中断?下面是用traceroute对到 的路由的另一次跟踪结果:#traceroute to host.somewhere(192.168.100.254),30 hops max,40 byte packets1 gateway.ourdomain(192.168.0.254)1.540 ms 1.00 ms 1.248 ms2 gw1.

40、domain1(192.168.101.254)3 ms 3 ms 2 ms3 gw2.domain2(192.168.102.254)26 ms 30 ms 23 ms4 gw3.domain3(192.168.103.254)43 ms 52 ms 45 ms5*6*30*,6用traceroute命令跟踪路由-2,当traceroute无法将分组传送到远端系统时,跟踪就失去了目标,从而在每个跳数后显示三个星号,直到其跳数达到30为止。若发生这种情况,就应该与远程目的主机管理员和在跟踪记录中显示的最后一个网关的管理员取得联系,通报发生的问题,以便得到有效的帮助。,7DNS测试命令nsloo

41、kup,nslookup命令用于诊断dns服务器的正确性。系统于一旦正确安装了TCP/IP就可以使用nslookup命令。利用nslookup命令可以测试dns正向解析数据库的配置,即A记录定义的配置。方法是在nslookup命令提示符下输入主机名:www命令的执行结果是显示主机www的IP地址。利用nslookup命令可以测试dns反向解析数据库的配置,即PTR记录定义的配置。方法是在nslookup命令提示符下输入IP地址:命令的执行结果是显示主机的主机名。,第二节路由配置(*),一、路由配置命令二、路由配置实例,一、路由配置命令(*),同路由相关的配置命令有:网卡配置,路由配置命令等。网

42、卡的配置命令有ip addr和ifconfig。1ip addr2ip route3ip rule,1ip addr,ip addr的命令语法:ip addr add|del IFADDR dev STRING。如:为网卡eth0配置IP地址,命令形式:,2ip route,ip route的命令语法:ip route change|del|add|append|replace|monitor ROUTE作用是添加路由。如:向路由表252(表mycompany)添加到达网络(子网掩码是)的路由,使用网关。#,3ip rule,Ip rule的命令语法:ip rule list|add|del

43、SELECTOR ACTIONSELECTOR:=from PREFIX to PREFIX tos TOS dev STRING pref NUMBER ACTION:=table TABLE_ID nat ADDRESS prohibit|reject|unreachable flowid CLASSID TABLE_ID:=local|main|default|new|NUMBER此命令的作用是设置路由的策略。如:设置任何到网络的数据包使用mycompany路由表。该规则的优先级为1001。使用如下命令:#ip,二、路由配置实例,1实验描述2实验设备3实验步骤,1实验描述,建立一台网关,

44、使其连接三个网络,并在三个网络中设定每台机器的网关。网络拓扑结构如图:,2实验设备,装有3块网卡计算机作为网关,操作系统:slackware10.X至少3台各装有一块网卡的计算机,操作系统:linux、windows均可,3实验步骤,装有3块网卡的计算机作为局域网中的网关,3块网卡分别为Eth0、Eth1、Eth2。Eth0与网络连接,IP:10.20.0.1 netmask:Eth1与网络连接,IP:192.168.0.1 netmask:Eth2与网络连接,IP:192.168.1.1 netmask:,3实验步骤,(1)配置网卡参数(2)设置静态路由(3)开启数据转发功能(4)配置网络内

45、的三台计算机,(1)配置网卡参数,配置三块网卡的IP地址:为了使计算机在重新启动之后网卡的配置仍然有效,需在文件中修改三块网卡的参数如下:#Config information for eth0:IPADDR0=10.20.0.1NETMASK0=255.255.255.0USE_DHCP0=DHCP_HOSTNAME0=#Config information for eth1:IPADDR1=192.168.0.1NETMASK1=255.255.255.0USE_DHCP1=DHCP_HOSTNAME1=#Config information for eth2:IPADDR2=192.16

46、8.1.1NETMASK2=255.255.255.0USE_DHCP2=DHCP_HOSTNAME2=,(2)设置静态路由,增加三条静态路由,命令如下:rootdarkstar:/#route add-net 10.20.0.0 netmask 255.255.255.0 dev eth0rootdarkstar:/#route add-net 192.168.0.0 netmask 255.255.255.0 dev eth1rootdarkstar:/#route add-net 192.168.1.0 netmask 255.255.255.0 dev eth2第1行意为所有发往的数据

47、包都由网卡eth0发出;第2行意为所有发往的数据包都由网卡eth1发出;第3行意为所有发往的数据包都由网卡eth2发出。然后,使用命令route-n 或 netstat-r 查看当前路由表。路由表应当包含以下三条路由表信息:Destination Gateway Genmask Flags MSS Window irtt Iface10.20.0.0*255.255.255.0 U 0 0 0 eth0192.168.0.0*255.255.255.0 U 0 0 0 eth1192.168.1.0*255.255.255.0 U 0 0 0 eth2,(3)开启数据转发功能,slackwar

48、e10.0 默认安装后,数据包转发功能是被关闭的,因此修改rc.ip_forward文件来激活它。使用如下命令激活数据包的转发功能:rootdarkstar:/#chmod 755/etc/rc.d/rc.ip_forwardrootdarkstar:/#/etc/rc.d/rc.ip_forward start至此,网管的设置完成。,(4)配置网络内的三台计算机,在网关连接的三个网络中,分别配置三台计算机,三台计算机的IP地址分配如下:主机A的IP地址10.20.0.2,网络掩码;主机B的IP地址,网络掩码;主机C的IP地址,网络掩码。分别在三个网络内将主机A、B和C的网络配置完成后,在任意

49、一台主机都可以ping通其他主机。,第三节危险的网络命令-1,互联网的发展使安全成为一个不能忽视的问题,finger、ftp、rcp和telnet在本质上都是不安全的,因为它们在网络上用明文传送密码和数据,嗅探器可以非常容易地截获这些密码和数据。同时,这些服务程序的安全验证方式也是有弱点的,很容易受到“中间服务器”方式的攻击。他们的不安全等级见下表所示。,第三节危险的网络命令,rlogin用来进行远程登录。如果在网络中的不同主机上都有账号,可以通过网络远程注册到账号所在的主机中。rcp命令用于远程文件拷贝,即计算机之间文件拷贝,任何用户都可以使用此命令。finger用来查询一台主机上的登录账号

50、的信息,通常会显示用户名、主目录、停滞时间、登录时间、登录Shell等信息。任何用户都可以使用此命令。建议在配置服务器时将以上命令关闭。如果一定要进行网络传输时,可以使用SSH替代telnet,用sftp替代ftp。sftp是一个安全加密的文件传输工具。使用scp代替rcp。sftp和scp都是OpenSSH自带的命令。OpenSSH进程的启动见5.3.3 OpenSSH进程的应用。有关命令的详解见通信命令一节。,练习题,1网络配置的方法有几种?2rlogin,rcp和telnet的作用?3rlogin,rcp,telnet和ftp与scp,ssh和sftp的异同?4如何启用scp,ssh和s

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号