红旗 linux 认证培训

®

红旗 Linux 认证培训

网络管理教程

在您的“芯”中，在我的心中 - 红旗 Linux

第一章网络基础

OSI 七层网络基础 TCP/IP 协议的体系结构


1.1 传输技术信号传输 :

– 传输是对信号的作用和变换 .

– 从计算机网络的角度来看 , 分为两类 : 广播和点对点 .

广播信道 :

– 由网络上所有的机器共享 .

– 分组可以被任何机器发送并被其他机器接收 . 点到点链路 :

– 每两台机器之间有一条通道 .n 个节点的网络 , 至少须铺设 n-1 条通道

– 在大的广域网络采用点对点方式 .


1.2 网络模型 (1)

网络模型是协议分层的 , 各层专注自己的资源的利用 , 形成功能 , 为上层服务 .

– 互通性和互操作性 .

– 协议 : 双方为完成通信而预先作的一些控制方面的规定 . 分层模型

– 减少协议设计的复杂性 , 按层的方式来组织 , 每一层都建立在它的下层之上 .

– 定义每层完成的特定功能 .

– 协议分层的较低层次以硬件形式实现 .

– 通信需要的寻址方式– 封装和重新装配


1.2 网络模型 (2)

服务与接口– 实体 : 每一层的活动元素 , 包括软件实体和硬件实体 .

– 服务和服务接入点 : 服务是在服务接入点 SAP 提供给上层使用的 .

– 协议数据单元 : 为了传递 SDU,n 层实体可能将 SDU 分成几段加上报头后构成 PDU.

– 连接和非连接• 连接服务 : 首先建立连接 , 使用连接 , 然后释放连接 .

• 无连接报务 : 报文带有完整的目的地址 , 且独立于其他报文 , 经由系统选定的路线传递 .


1.2 网络模型 (3)

ISO/OSI 七层网络模型– 在网络互连中 , 有合法的和事实的两个标准 TCP/IP 和 ISO/OS

I.

– 物理层 : 原始比特流传输 , 电子信号传输和硬件接口 .

• BIT

– 数据链路层 : 将数据分帧 , 并处理流控制 , 本层指定拓朴并提供硬件寻址 .

• FRAME

• MAC,LLC

– 网络层 : 通过寻址来建立两个节点之间的连接 , 通过互连网络来路由和中继数据

• PACKET

• IP,IPX,ARP,RARP,ICMP


1.2 网络模型 (4)

传输层 :– 常规数据传递 , 面向连接或无连接 , 包括全双工或半双工 , 流

控制和错误恢复服务• SEGMENT• TCP,UDP,SPX

会话层– 在两个节点间建立连接 , 管理会话和同步

• NFS,SQL,RPC,XWINDOW,ASP,DNS,SCP 表示层

– 格式化数据 , 以便为应用程序提供通用接口 , 包括加密 .• PICT.TIFF,JPEG,MIDI,QUICKTIME

应用层– 直接为应用程序提供服务 .

• WWW,EMAI Ｌ ,EDI


1.3 TCP/IP 网络 ( １ )

TCP/IP 是一个事实上的网络互连标准 . 并随着 UNIX 和 INTERNET 而得到广泛应用 .

TCP/IP 的体系结构– TCP/IP 协议是一组不同协议组合的协议族 .

– TCP 提供ＯＳＩ模型中传输层的功能 ,ＩＰ则提供网络层的功能

– 网络层ＩＰ协议提供不可靠的服务 ,负责寻址和路由 .

– ＴＣＰ /ＩＰ协议的重要思想ＢＥＳＴＥＦＦＯＲＴ– ＴＣＰ /ＩＰ协议的可靠性由ＴＣＰ协议提供

• 为每个ＴＣＰ报文指定顺序号 .

• 接收主机在收到报文时返回确认 .

• 未收到确认 , 发送者会重发 .


1.3 TCP/IP 网络 ( ２ )

底层网络 ->ＩＯＳ / ＯＳＩ中的数据链路及物理层ＩＰ层 -> 网络层

– ＩＣＭＰ– ＡＲＰ和ＲＡＲＰ– ＩＰ– ＵＮＲＥＬＩＡＢＬＥ– ＣＯＮＮＥＣＴＩＯＮＬＥＳＳ

传输层 -> 传输层– ＴＣＰ /ＵＤＰ– ＴＣＰ是面向连接的 , 提供高可靠的数据通信– ＵＤＰ是无连接的 , 提供简单的服务

应用层 -> 应用层– ＴＥＬＮＥＴ ,ＦＴＰ ,ＳＭＴＰ ,ＤＮＳ


1.3 TCP/IP 网络 ( ３ )

ＴＣＰ /ＩＰ的优点– 高可靠性 . 重传机制保证数据的可靠传输 ,窗口机制进行流量控制

– 可互操作性 : 在异构系统之间通信– 安全性– 灵活性– 易于过渡到新的协议


第 2 章局域网技术

局域网参考模型局域网的各种标准三种局网技术的比较局域网的设备


2.1 局域网介绍

概念– 由特定类型的传输媒体和网络适配器互联的计算机 ,

并受网络操作系统临控的网络系统 .

– 相对于广域网 ,局域网是这一定的物理范围内 , 且有较高的传输速率 . 常用总线和环型拓朴

历史– 主机系统 ->ＰＣ ->局域网– 文件服务器和打印机服务器


2.2 网络介质

ＬＡＮ常用的媒体有同轴电缆 , 双绞线和光缆 . 同轴电缆分为粗缆和细缆 , 由内部导体环绕绝缘层以及绝缘层外的金属屏蔽网和最外层的护套层组成

双绞线是由相互按一定扭矩绞合在一起的类似电话线的传输媒体 . 成对线的扭绞旨在使电磁辐射和外部电磁干扰减至最小 .

光纤传输信号是光束 , 不受电磁的干扰 , 分为多模光纤和单模光纤

无线局域网是以无线电信道作传输媒介的局域网 .– ８０２ .１１和蓝牙


2.3 拓朴结构星型拓朴结构 , 处于中心位置的网络设备称为集线器 .易于集中管理和扩充 .

环型拓朴结构 , 所有的节点连成环型• 消除对中心点的依赖 .• 如果环的一点断开 , 所有通信会终止 .• 建立备份环 ,当主环故障时 , 会自动转到备份环上 .

总结拓朴结构– 使用同一媒体连接所端的用户– 在总结共享型网络使用的媒体访问方法 : 带冲突检测

的载波侦听多路访问 (ＣＳＭＡ /ＣＤ )


2.4 局域网参考模型局域网参考模型ＭＡＣ子层 ,ＣＳＭＡ /ＣＤ媒体访问方法可归纳为 :– 如果媒体信道空闲 ,则可进行发送– 如果媒体信道有载波 ,则继续对信道进行侦听 , 一旦发现空闲 ,

便立即发送– 如果在发送过程中检测的冲突 ,则停止发送 ,转而发送一短暂

的干扰 , 使所有节点知道出现了冲突 .

– 发送了干扰信号后 ,退避一随机时间重新发送 .

ＬＬＣ子层的作用在于屏蔽底层的各种 802 协议的差异 .


2.5 局域网标准 ( １ )

802.3 标准及以太网– 定义了使用ＣＳＭＡ /ＣＤ协议的局域网规范

802.4 标准– 得到令牌的工作站可以传输数据 ,令牌以一定的顺序在各个工

作站之间传递 .

802.5 标准– 结构 : 工作站以串行方式顺序相连 , 形成封闭的环路 .

– 组成 : 网卡 ,多站访问单元老派ＭＡＵ , 传输媒体和连接附件 .

– 等待令牌 , 收到令牌后修改令牌发送数据 , 数据在环上流动 ,目的节点复制数据 , 数据帧回到发送者 , 发送者可以检查数据传输是否成功 .


2.5 局域网标准 ( ２ )

ＦＤＤＩ的优点– 较长的传输距离– 具有较大的带宽


2.6 局域网设备 ( １ )

网桥– 工作在数据链路层 , 用来分割广播域 ,扩充局域网 .

– 源地址跟踪– 目的地址和源地址过滤– 协议过滤– 协议转换– 分帧和重组– 网桥的管理功能


2.6 局域网设备 ( ２ )

集线器 , 是第 1 层设备– 简单中继网段集器– 多网段集线器– 端口交换式集线器– 网络互联集线器– 交换式集线器


2.6 局域网设备 ( ３ )

网卡是第２层设备 , 是ＬＡＮ的接入设备 .– 读入数据包和发送数据包

特性 :– 网卡的速度和总线类型

网卡类型– ＲＪ -４５ ,ＢＮＣ ,ＡＵＩ

主要参数– 中断 , 地址和ＤＭＡ


2.6 局域网设备 (4)

交换机工作在数据链路层 , 有效地分割广播域 .– 端口交换– 帧交换

• 直通交换 , 无分段交换和存储交换信元交换


第 3 章以太网技术

以太网协议 (ＣＳＭＡ /ＣＤ原理和帧结构 )

以太网相关硬件 ( 网卡 )


3.1 以太网（ 1 ）

CSMA/CD 协议– 如果媒体信道空闲 ,则可进行发送– 如果媒体信道有载波 ,则继续对信道进行侦听 , 一旦发现空闲 ,

便立即发送– 如果在发送过程中检测的冲突 ,则停止发送 ,转而发送一短暂

的干扰 , 使所有节点知道出现了冲突 .

– 发送了干扰信号后 ,退避一随机时间重新发送以太网地址

– 固化在网卡的编号，是一个唯一的 12位的 16进制数。


以太网帧– 1.前导码， 7Bytes

– 2. 帧首定界符 ,1Bytes

– 3. 目标地址， 6Bytes

– 4. 源地址， 6Bytes

– 5.长度指标符， 2Bytes

– 6LLC 数据， 46-1500Bytes

– 7.填充 , 不定– 8. 帧检验序列， 4Bytes

3.1 以太网（ 2 ）

•地址字段•最大传输单元


3.1 以太网（ 3 ）

静态以太网交换技术– 由管理员将用户或者工作站从一个网段转到另一个网段。

动态以太网交换技术– 专用的传输链路– 标准以太网的冲突式网络存取机制不再存在– 高带宽– 更安全


3.1 以太网（ 4 ）

以太网交换技术分类– 动态端口交换– 动态段交换– 静态端口交换– 静态模块交换


3.2 以太网卡及相关硬件（ 1 ）

网卡构成– LAN 的管理部分和微处理器– 编译码器– 发送和发送控制部分– 接收和接收控制部分

网卡与媒体的连接– 粗缆和细缆下的收发器– 网卡与双绞线的连接


3.2 以太网卡及相关硬件（ 1 ）

常用命令– ping -c count, -n disbale dns,-s size– ifconfig– netstat – route


第四章 IP 协议

寻址和路由


4.1 IP 协议（ 1 ）

Internet回顾 IP 地址

– 功能：• 规定地址格式• 寻址和路由• 数据包的分段和重组

– TCP/IP 用 32位地址来标识网络上的主机和网络

– IP 协议的版本是 4 ， IPv4


4.1 IP 协议（ 2 ）

IP 地址的分类– A 类：高位为 0 ， 0~127– B 类：高位为 10 ， 128~191– C 类：高位为 110 ， 192-223– D 类：高位为 1110, 组播地址， 224~239– E 类 : 高位为 1111, 实验地址 ,240~254


4.1 IP 协议（ 3 ）

IP 地址和 MAC 地址– IP 工作在第 3 层，而 MAC 工作在第 2 层– IP 是分级有序分布，而 MAC 是无序分布– IP 是由软件设置，而 MAC 是固化在网卡上


4.2 子网

用树状的层次结构来分配网络地址，网络内部分成多个部分，对外像任何一个单独的网络，这种结构称为子网。

子网掩码是用来确定 IP 地址的网络部分和主机部分。配置子网的步骤为：– 确定需要划分的子网数目– 将要划分的子网转换为的 M 次幂– 取上述要划分子网的数目的 2 的幂的次数– 将上步确定的幂M 按高位序占用主机地址 M位后转换成十进

制数，即为掩码。


4.2 子网（ 2 ）

广播地址– 对所有主机同时发送报文，主机号部分各位

全为 1。– 136.78.255.255 对该网络进行广播– 255.255.255.255 对本地网络进行广播

可变长度的子掩码（ VLSM）– 允许一个网络内存在主机数量不同的子网。


4.3 常见网络故障及其排除（ 1 ）

IP 网络疑难解答– 成功地 PING

• 验证了网络界面层（第 1 层）和内部网络层之间的 IP（第 3 层）通讯。

• ARP 地址解析成功– 建立与主机的对话

• 验证了网络界面层（第 1 层）和通过应用程序层的 TCP/IP 对话通讯。



PING验证网络界面和内部网络层疑难问题– PING回送地址验证 TCP/IP安装并装载正确– PING 本机的 IP验证配置正确– PING缺省网关的 IP ，以验证网关配置正确。– PING远程主机的 IP ，以验证与广域网的连接

• 确保已启用 IP 路由选择• 验证缺省网关的 IP 地址正确• 确保远程主机起作用• 验证路由



验证 TCP/IP 对话通讯– 验证目标主机的 TELNET 和 FTP 服务已启

动– 确认用户自已在目标主机上具有正确的权限– 如果使用主机名，则检查 DNS 和 HOSTS 文

件的配置


第 5 章 ARP 和 RARP

局域网地址和 IP 地址之间需要相互转换，并使用两个协议：– 地址解析协议（ ARP）– 反向地址解析协议（ RARP）

IP翻译成对应的物理地址（MAC）的过程为地址解析。– 在到达目的网络之前，要把 IP翻译成下一跳的路由器

的物理地址– 到达目的网络后，要将 IP翻译成目的主机的 MAC 地

址


5.1 地址解析协议 ARP （ 1 ）

地址解析的必要– 在硬件层次上进行数据帧交换必须有正确的

接口地址，而 TCP/IP 使用 IP 的地址，因此需要一个地址转换机制。

地址转换技术

主机 A 主机 B

ARP 广播

ARP 应答


5.1 地址解析协议 ARP （ 2 ）

ARP 表的管理– ARP 表是主机上的一个 ARP 表的高速缓存，保存了最近的 IP 到 MAC 地址的映射，生存时间一般为 20 分钟。

• arp -a 检查所有 ARP 表记录• arp -s hostname mac-addr 增加一条 ARP 表记录• arp -d hostname 删除一条 ARP 表记录• arp -f filename 从一个文件中装入 ARP 表


5.3 反向地址解析协议

RARP 是用于无盘工作站的启动。– RARP 是从接口卡上读取MAC 地址，然后

发送一份 RARP请求。– RARP 服务器会回答一个包含 IP 地址的单播。

主机 A 主机 B

RARP 广播

RARP响应


第 6 章路由

路由的概念和原理在 LINUX 下操作路由表


6.1 路由（ 1 ）

路由是为 IP 数据包选择一条通往目的地的路径。

路由表的概念– 目的 IP 标志。– 下一跳路由器的 IP 地址。– 标志：网络地址还是主机地址；是路由器还

是直接相连的接口。– 为数据报的传输指定一个网络接口。


6.1 路由（ 2 ）

路由选择– 静态路由选择和动态路由选择– netstat -r 可显示静态路由表

• U 路由可用• G 路由是一个网关，否则表明目的地直接相连• H 路由是一个主机，否则目的地址是一个网络

地址• D 路由是由改变路由（ REDIRECT）报文创建• M 路由已被改变路由报文修改


6.1 路由（ 3 ）

路由算法– 搜索路由表，寻找能与目的 IP 地址完全匹

配的表目，如果找到，则把报文发送给下一站路由器或者直接相连的接口。

– 搜索路由表，寻找能与目的网络号相匹配的表目，如果找到，则把报文发送给下一站路由器或者直接相连的接口。

– 搜索路由表，寻找默认的表目，如果找到，则把报文发送到下站路由器。


6.1 路由（ 4 ）

路由选择协议– RIP 基本操作

• RIP 协议启动后，向所有路由器发送 RIP 报文请求路由表。

• 邻接的路由器返回它们的路由表。• 路由表每 30s必须广播一次• 当 RIP 收到响应的报文，更新和计算自己的路由表• 当 RIP 发现路由表变化时，就广播变化的路由表项。• 如果一个路由器在 180秒钟内没有收到邻接路由器的

RIP 报文 , 将其跳数置 16 并且通知其他路由器• 在随后的 60秒内仍然未收到任何报文 ,则删除该路

由 .


6.1 路由（ 5 ）

RIP 的限制– 最大跳数为 15.– 不支持可变长度子网掩码– 没有设置机制 , 不安全– 采用跳数为计量单位 , 不适用于需要实时参

数的情况 .


6.1 路由（ 6 ）

OSPF– 允许连续网络或主机组成自治系统 AS.– 快速收敛 .– 提供具有服务类型的路由 .– 对不同速率采用加权计算– 每条路由与子网掩码相关联路由器之间的口令验证

– 采用多播而不是广播的方式通告路由 .


6.2 自治系统 AS 和 BGP

路由选择协议分为内部网络协议 (IGP) 和外网关协议 (EGP)

自治系统 : 在系统内部可以自由地选择 ,广播 ,确认路由以及检查路由的一致性 .

IGP 在自治系统内部工作 , 而 EGP 是在自治系统之间工作 .

BGP 是一个距离向量协议 , 两个 BGP 系统之间建立连接后来交换路由表 .


6.3 路由器 (1)

路由初始化– 缺省网关定义在 /etc/sysconfig/network “GAT

EWAY=XXX.XXX.XXX.XXX”– 静态路由定义在 /etc/sysconfig/static-routes– RIP 的启动 :/etc/rc.d/init.d/routed start


6.3 路由器 (2)

手工操作路由表– 显示核心路由表 #route -F– 增加静态路由

• #route add -net destination netmak Nm gw Gw

– 删除静态路由• #route del -net network netmask Nm gw Gw

路由器的配置– 启动 IP 转发 #echo “1” > /proc/sys/net/ipv4/ip_forward– 网卡的配置 #ifconfig– 使用 route命令


第 7 章传输层

路由的概念和原理用户数据报协议传输控制协议 TCP 流量控制协议端口号


7.1 传输层简介

传输层向用户屏蔽通信子网的细节

应用层

传输层

物理层数据链路层

网络层

面向信息处理用户功能

网络功能面向通信


7.2 协议类型

面向连接– 建立连接 -> 传输数据 -> 释放连接– 可靠，高开销

无连接– 不用建立连接，直接发送– 不可靠，低开销

有状态和无状态– 由服务器维护的，关于它与客户机正在进行交互的

信息称为状态信息


7.3 TCP/IP 体系中的运输层

运输层的两个协议– 用户数据报协议（ UDP），是无连接的协议– 传输控制协议（ TCP），是面向连接的协议

端口– UDP 和 TCP 都使用了与应用层接口处的端口（ por

t) 与上层的应用程序进行通信。– 主机发起连接建立的进程为客户，等待连接的进程

为服务器。– /etc/services 用于识别和注册保留的端口号，前 1024

个端口为保留端口。


7.4 用户数据报协议 UDP

UDP 是一个无连接，无状态的协议，它用于只有少量数据需要传输及不需要可靠的传输机制的数据传输。

UDP 不提供报文到达的确认，排序以及流量控制功能，报文可能丢失，重复及乱序。


7.5 传输控制协议 TCP （ 1 ）

TCP 是面向连接的，有状态的协议。它适用于大量数据传送以及传输路径较多的应用。

TCP 是面向连接的，需要两端同意建立连接后才能传输数据。

TCP 使用滑动窗口机制来解决传输效率和流量控制问题。


7.5 传输控制协议 TCP （ 2 ）

报文结构– 用来建立连接，传输数据，发出确认，通知窗口大小以及关闭连接。

TCP 操作– 建立连接

• 三次握手。握手的第一个报文由码位段的 SYN 被置为 1来识别 ;第二个报文的码位字段的 SYN 和 ACK均被置 1,指示对第一个 SYN 报文的确认 ;最后个握手报文仅仅是一个确认信息 . 通知完成连接 .

– 关闭连接


7.6 TCP 流量控制

滑动窗口机制– 滑动窗口机制允许发送方在等待一个确认信息之前

可以发送多个数据包，提高网络的效率。 TCP 流控

– 传输效率• 确认信息之前可以发送多个数据包，提高网络的效率。

– 流量控制• TCP允许随时改变窗口的大小。


第 8 章 Client/Server 模型

Client/Server 模型的原理 , 特点守护进程远端过程调用


8.1 Client/Server 模型介绍 (1)

简介– 服务器是持续运行地接受网络请求的主机– 客户机是接受用户请求向服务器要求服务的主机

Client A

Client B

Client C

Client D

Server



客户机特点– 用户界面– 多个客户机– 预定义的查询或命令– 使用缓冲或优化技术以减少对网络和服务器

的访问 .– 隐藏下层的通信机制– 对数据进行处理和分析



服务器的特点– 服务器向客户机提供服务– 服务器只负责响应来自客户的请求。

• 打开端口• 等待客户机• 选择端口• 启动子程序• 继续



Client/Server 模型特点– 桌面上的智能– 最优化地共享服务器资源– 优化网络利用率– 允许应用程序有较好的维护性和可移植性。


8.2 守护进程（ 1 ）

守护进程是在后台运行而无终端或登录 SHELL 的随时响应用户请求的进程，起动方式：– 在引导系统时启动– 手工从 SHELL 下启动– 由 CRON守护进程启动– 由 AT命令启动


8.2 守护进程（ 2 ）

超级网络服务进程 INETD– 在配置文件列出的服务相关联的 TCP 或 UDP端口

上监听请求，当接收到请求时，启动相应的服务器进程。

/etc/inetd.conf 文件– #daytime stream tcp nowait root internal– service:servicename– type:socket-type:stream-tcp;dgram-udp– protocol:TCP,UDP– server:Server


8.3 远程过程调用

远程过程调用是对客户机 / 服务器的有力扩充，被调用的过程实际运行在一个与调用者所在位置不同的远端。

客户端通过与服务器端的 portmap进程了解 RPC 服务的端口 .

启动 portmap:/etc/rc.d/init.d/portmap start 查询 RPC 信息 :

– /usr/sbin/rpcinfo -p hostname.


9.1 域名系统（ DNS ）域名空间、域名服务器的概念

DNS 域名解析的过程

DNS 服务器的设置

测试 DNS 常用的命令


域名系统（ DNS ）DNS 的核心思想：分级的、基于域的命名机制以及为了实现这个命名机制的分布式数据库系统。域名的转换过程：

DNS 常用的版本： BIND服务器称为： named


域名系统（ DNS ）域名的分类1 、根节点2 、顶级域名国家顶级域名：采用 ISO3166 的规定国际顶级域名：采用 INT通用顶级域名： 13 个3 、二级域名类别域名行政区域域名4 、三级域名5 、四级域名


9.1 资源记录Domain Time to Live Class record type record data

Domain: 要定义的资源记录的域名Time to Live：存活期class：类别，采用 IN ，代表 INTERNETrecord data：记录数据record type：记录类型

A主机CNAME别名MX邮件交换记录NS 域名服务器PTR 地址解析成主机SOA 定义服务器资源信息


9.2 域名服务器

分类：根（ root ）服务器

由 NIC 来维护主域名服务器（ Primary Servers ）

负责一个域的名称解析，通常为一个辅助域名服务器（ Secondary Servers ）

域的冗余和备份专用缓存域名服务器（ Cache-only Servers ）

缓存非授权的 DNS 信息转发域名服务器（ Forwarding Servers ）


DNS 域名解析

客户域名解析过程：

/etc/nsswitch.conf/etc/hosts /etc/resolve.conf


配置 DNS

设置 DNS 的配置文件创建 /etc/named.conf 见 121页

options 定义数据库文件所在的目录zone,”.” 表示根域的域名服务器的所指定文件 “domain.com” 负责该域的数据库文件 “22.166-in-addr.arpa” 逆向解析文件master 表示本服务器是主域名服务器slave 表示本服务器是辅助域名服务器。


配置 DNS

设置 DNS 的配置文件– 创建 /var/named.ca

• 通过匿名 ftp.rs.internic.net 下载 /domain/named.root

DNS 数据库文件的设置1 、配置 named.hosts 见 125页2 、配置 named.reverse

3 、配置 named.local


启动 DNS

自动：如果存在 /etc/named.conf ，系统会在启动时自动启动 DNS

#/etc/rc.d/init.d/named start手动：

1 、 /usr/sbin/named

2 、 /usr/sbin/ndc reload

3 、 /usr/sbin/ndc start

4、 /usr/sbin/ndc stop其他配置文件

/etc/nsswitch.conf/etc/resolv.conf


9.4 测试 DNS

nslookup(见 132页）– nslookup - dnsserver

– nslookup hostname

– nslookup

dig– dig hostname query-type

host– host -a|-t query-type hostname|domainname


9.5 DNS 的安全管理

查询请求限制 : 只允许该范围的 IP 查询本 DNSoptions{ allow-query{166.22.33.0/24;};}

对特殊的域进行限制：只允许该域的主机查询本 DNS

allow-query{“poststart.com.cn”};防止非授权的数据库文件传送 : 只允许指定辅助 DNS 复制本 DNS 的数据。

allow-transfer{166.22.0.16;};


第 10 章 Apache

Apache 是支持 HTTP 协议的免费的 WEB 服务器。Apache 服务器安装Apache 服务器配置文件Apache 服务器功能介绍Apache 服务器的 CGI 和 proxy 服务Apache 服务器的常见故障排除


10.1 Apache 服务器安装特点：稳定性高、速度快、功能多

检查安装情况rpm -q apacheps ax|grep httpd

Apache 服务器的安装新版本的下载： www.apache.org配置

./configuremakemake installmake clean


Apache 服务器的配置httpd.conf

srm.conf

access.conf


Apache 服务器的配置 - httpd.conf

ServerType: 指定 WEB 服务器的工作方式standaloneinetd

Port： WEB 服务器的端口号 80 或者 8888User 和 Group： nobody



ServerName: 用户机器的名称ServerAdmin: 管理员的 emailServerRoot: 用来存放服务器的配置、出错和记录文件的最底层目录 */wwwErrLog: 存放出错信息的文件 /www/logs/error_logTimeout: 服务器等待的最大时间值 (s) 300PidFile: 指定存放了 httpd 进程的进程号的文件 /www/logs/httpd.pidKeepAlive: 是否支持永久性连接 on



KeepAliveTimeout:断开客户机前等待下一请求的时间*15MaxClient:150if >256,/src/include/httpd.hMaxKeepAliveRequests:KeepAlive 的最大请求数： 100DocumentRoot /www/docs 网页所在目录UserDir Public_html 个人主页的目录

http://abc.com/~usernameDirectoryIndex index.htm 缺省显示文件AccessFileName .htaccess 访问控制文件Alias /images/ /ftp/pub/image/ 设定虚拟目录ScriptAlias /cgi-bin/ “/home/abc/cgi-bin” 设定脚本目录


Apache 服务器功能介绍服务器控制启动服务器./apachectl starthttpd -f /conf/httpd.conf停止服务器/apachectl stop重新启动服务器/apachectl restart/apachectl graceful获得服务器的状态/apachectl fullstatus查看服务器配置文件/apachectl configtest测试 Apache Server


Apache 服务器功能介绍

访问控制Options 指令指明该目录所具有的特性AllowOverride 允许 AccessFileName 修改的参数

根据客户主机名或 IP 地址限制访问allow from /deny from

使用用户认证来限制某些文档的访问使用 AccessFileName 和 htpasswd


Apache 服务器功能介绍

用户 WEB 目录– UserDir Public_html

– /home/someone/Public_html

– http://abc.com/~someone 虚拟主机

– 基于 IP 和主机名两种虚拟主机方式。 CGI 脚本


Apache 服务器代理服务

proxy 代理服务– 安装 :

• ./configure --prefix=/usr/local/apache --enable-module=proxy

• make

• make install

– 配置 :• ProxyRequests off/on

• CacheRoot <directory>

• CacheSize <Size>


Apache 服务器的常见故障排除查看日志文件 /var/log/httpd检查配置文件httpd -t检查虚拟主机的配置httpd -S


第 11 章网络文件系统（ NFS ）

使用网络文件系统（ NFS），使用户以访问本地文件的方式来访问远程主机上的文件以达到资源共享的目的。– /etc/exports 文件配置– exportfs命令的使用– 共享输出 NFS 文件系统– 客户安装 /卸载 NFS 文件系统


11.1 NFS 简介 (1)

简介– 通过将客户机端的内核功能与服务器端的 NFS 功能相混合而工作。

– 其优点有：• 用户数据可存放于一台中央主机上。• 大量的数据可以存放在一台主机上。• 管理用的数据可以放在单个主机上。

– 组成：• 网络文件系统安装协议及其服务器• 文件锁定协议及其服务器• 协调基本文件服务的各种守护进程


11.1 NFS 简介（ 2 ）

NFS 软件组成– /etc/rc.d/init.d/nfs 启动 NFS 服务程序脚本文件– /usr/man/man5/* 有关文件的手册– /usr/sbin/exportfs NFS 文件系统共享输出管理程序– /usr/sbin/nfsstat NFS 统计打印程序– /usr/sbin/rpc.mountd 处理 NFS安装请求和访问检查程序– /usr/sbin/rpc.nfsd NFS 文件服务器进程– /usr/sbin/rpc.rquotad 远程磁盘限额服务器– /usr/sbin/rpc.statd 网络状态监视进程– /usr/sbin/showmount 显示某个 NFS 服务器的挂接信息– /var/lib/nfs/xtab 当前已经共享输出的文件系统列表


11.1 NFS 简介（ 3 ）

启动 NFS 服务– NFS 的工作方式

NFS CLIENTmount

NFS SERVERrpc.mountd

RPC请求

File Handle

NFS CLIENTRead&Write

NFS SERVERrpc.nfsd

RPC请求 (file handle,file,uid,gid)


11.1 NFS 简介（ 4 ）

检查是否安装 NFS– 检查 proc 文件系统：

• $cat /proc/filesystems

– 加载一个本地目录• #mkdir /tmp/test

• #mount localhost:/etc /tmp/test

• 如果失败“ fs type nfs no supported by kernel”,那就必须制作支持 NFS 的内核。

启动 NFS 服务– #/etc/rc.d/init.d/nfs start|stop|restart|reload


11.2 exportfs 命令

Exportfs命令维护当前的 NFS 文件系统输出，该列表保存在 /var/lib/nfs/xtab– exportfs -a 共享输出在 /etc/exports 中的文件

系统。– exportfs -ua 不共享文件系统– exportfs -v 显示冗余信息– exportfs -o 指定共享输出选项– exportfs -r 重新输出共享文件系统


11.2 NFS 的配置与使用

共享输出 (exporting) NFS 文件系统– 1.portmapper: 使用 NFS必须利用 portmapper

将 RPC转换成 DARPA。– 2.portmap 的安全机制：使用 tcp wrapper 来作

为安全措施。 /etc/hosts.allow ,/etc/hosts.deny– 3.编辑 /etc/exports：允许共享输出的文件系

统及其选项。– 4.启动 NFS 后台进程： /etc/rc.d/init.d/nfs resta

rt 或 killall -HUP rcp.nfsd rpc.mountd



挂接 /卸载 NFS 文件系统– 1. 加载 NFS

• mount命令– #mount -t nfs hostname:nfs_vol mount_point

• 使用 /etc/fstab– hostname:nfs_vol /mount_point nfs timeo=14,intr

• Soft_mounted 和 Hard_mounted



NFS 后台程序（ Daemon) Linux 自动加载器（ Automounter）卸载本地 NFS


11.3 NFS 常见故障排除

Rpcinfo – /usr/sbin/rpcinfo -u hostname portmap– /usr/sbin/rpcinfo -u hostname mountd– /usr/sbin/rpcinfo -u hostname nfs

showmount nfsstat tcpdump


第 12 章 SAMBA

使用 Samba 可以实现在 Linux 和 Windows 机器之间提供文件系统和打印共享。– Samba 能够实现的功能– smb.conf 文件的定制和使用– 如何在 Samba 的服务器上实现共享访问限制


12.1 SAMBA 基础（ 1 ）

Samba 协议– SMB 协议是局域网上共享文件和打印机的协议，让

NETBIOS 与 SMB 协议运行在 TCP/IP 协议上，使得 WINDOWS 和 LINUX 共享资源。

Samba– 文件和打印服务器– 登录服务器– 主域控制器和成员服务器– WINS 服务器– 支持 SSL

– 支持 SWAT


12.1 SAMBA 基础（ 2 ）

启动 SAMBA 服务器– 包含两个后台守护进程 smbd 和 nmbd.– 启动方式：

• Daemon 方式– #/etc/rc.d/init.d/smb start

• Inetd 方式– #more /etc/services– netbios-ssn 139/tcp– netbios-ns 137/udp– #more /etc/inetd.conf– netbios-ssn stream tcp nowait root /usr/sbin/smbd smbd– netbios-ns stream tcp nowait root /usr/sbin/nmbd nmbd


12.2 Samba 配置及使用 (1)

Smb.conf语法– 文件被分成若个部分 .– [global]部分控制总特性 , 其他控制专门的服

务– 定义参数 name=VALUE– 注释以分号开头– 通过“ \” 来续行– 不区分大小写



Smb.conf 文件结构– global

• 设定全局参数，安全级别，主机名，登录域等– directory shares

• 设定目录控制权限– printer shares

• 设定打印机的参数– 参见 185 和 187页配置文件



共享访问限制– 主机地址方式

• allow hosts, hosts allow• deny hosts,hosts deny

– 用户口令方式• samba 使用 /etc/smbpasswd 密码文件。同 Linux 的密码没有关系

– 用户名方式• public=yes / guest ok =yes• invalids users=usrname /valids users=username

– 读写控制方式• read only=yes• writable=yes• read list / write list



Smbstatus– 显示当前 SMB 服务器的连接状态

nmblookup– 将一个 NETBIOS名字映射到 IP 地址 .– Nmblookup -A IP_ADDR

Smbclient– 访问 SMB 服务器的类 FTP 的客户程序– smbclient //machine/server -I ip -U user


第十三章 PPP

PPP 协议的构成 PPP 协议的拨号方式 PPP 的身份认证机制在动态分配 IP 的条件下实现特定功能 PPP 程序的使用 PPP 配置 ( 服务器 ,客户机 )


13.1 PPP 简介

PPP 是在串行线路上运行 IP 以及其他网络协议的一种机制 ,.

串行线路是直接电缆或者调制解调器和电话线路

PPP 协议支持多个上层协议 ,主机组件包括 :1.HDLC 2.LCP 3.NCP

PPP 软件从功能上分为 PPP核心和 PPP守护进程 , 从软件上分为 PPP 模块 ,PPPD 和一个拨号程序 CHAT.


13.2 拨号进入 INTERNET(1)

IP 地址 :访问 Internet必须拥有一个合法 IP. Private IP Address:

– A class 10.0.0.0-10.255.255.255

– B class 172.16.0.0-172.31.255.225

– C class 192.168.0.0-192.168.255.255

使用 CHAT拨号– #/usr/sbin/chat “ “ ATDT334566 connect “ ” ogin:ppp word:Pass

使用 PPPD– #pppd connect “chat -f script” /dev/cua3 38400 -detach crtscts mo

dem defaultroute


13.2 拨号进入 INTERNET(2)

几种拨号上网的方式 – 使用 netconf命令– 使用 netcfg命令– 使用 kppp 程序– 手工设置PPP拨号


13.4 PPP 服务

身份认证– CHAP质询握手协议

• 认证是加密的• 定时质询认证客户

– PAP 密码验证协议• 原理认为密码是以明文传递的。


14.1 电子邮件简介 (1)

概述

电子邮件系统由用户接口和邮件与程序两部分组成 .

用户接口

发出邮件缓冲区

接收邮件缓冲区

客户机( 后台传送 )

服务器( 接收邮件 )

发送邮件

接收邮件

外出邮件的TCP 连接

进来邮件的TCP 连接



邮件用户代理– 撰写– 显示– 处理

邮件传输程序传送和接收报告

邮件用户代理的代理是创建和显示报文 , 并在 MUA和 MTA 之间传送报文 ;邮件传输程序是在多个 MTA之间起着报文传输的作用 .



简单邮件传输协议 SMTP– 通过在源主机和目标主机之间的第 25 号 (S

MTP)端口之间建立连接来传邮件 .– 负责发送的 SMTP进程为 SMTP客户 ,负责

接收的 SMTP进程为 SMTP 服务器 .– SMTP 是在两个报文传送代理 MTA 之间的

通信协议 .



简单邮件传输协议 SMTP– 1. 连接建立

SMTP客户 SMTP 服务器

SMTP 连接

220 Service Ready

HELO

250 OK or 421 Services not available



简单邮件传输协议 SMTP– 2.邮件传递

SMTP客户 SMTP 服务器

mail from:[email protected]

250 OK/41/452/500rcpt to:[email protected]

250 OK /550 no such user

DATA

.

354 Start mail input



简单邮件传输协议 SMTP– 3. 连接释放

SMTP客户 SMTP 服务器QUIT

250 OK



邮件转发 , 电子邮件网关及邮局协议– 1.邮件分发器与邮件发送列表

• 邮件转发回 (mail transfer) 软件允许本地 SMTP服务器将邮件地址中使用的标识符映射成一个或多个新的邮件地址

MUA Mail Transfer

Mailbox SMTP Server

Mail spool SMTP Client

AliasesSender

Receiption



邮件转发 , 电子邮件网关及邮局协议– 3.邮局协议

• POP3

• IMAP


14.2 Linux 邮件系统 (1)

使用邮件别名– 1.$HOME/.mailrc– 2./etc/mail/aliases

• newliases

– 3.$HOME/.forward



基本邮件单元– 1. 每个系统上有一个 sendmail.cf 文件– 2. 给每个用户设立别名的 alias 文件– 3. 一个为每个用户存储邮件的邮箱– 4. 一个 postmaster 的别名 , 用于管理邮件服务器管

理员



设置只在本地的邮件系统– 1. 在每个邮件客户系统有一个缺省的 /etc/sendmail.c

f 文件 .

– 2. 指定一个服务器做邮件主机– 3. 在邮件主机的 /etc/host 文件中增加邮件主机的 IP

地址– 4. 在有一个本地邮箱的任何系统上有相匹配的 /etc/

mail/aliases 文件 .

– 5. 在每个邮件客户系统中提供足够空间来装载邮箱 .



配置远地方式的邮件系统– 1. 在每个邮件客户系统有一个缺省的 /etc/sendmail.cf 文件– 2. 指定一个服务器做邮件主机– 3. 在邮件主机的 /etc/host 文件中增加邮件主机的主机域名 .

– 4. 在每个邮件客户的 /etc/hosts 文件中增加邮件主机的 IP 地址 .

– 5. 在有一个本地邮箱的任何系统上有相匹配的 /etc/mail/aliases文件 .

– 6. 在每个邮件客户 /etc/fstab 文件配置记录 , 来安装邮件主机的/var/spool/mail 目录 .

– 7. 在邮件主机 /var/spool/mail 中有足够的空间来装载邮箱 .



邮件服务器的配置– 1. 以超级用户进入服务器 .– 2.检查 /var/spool/mail 是否被共享出来 :

• #/usr/sbin/exportfs

– 3.编辑 /etc/exports 文件• /var/mail *.domainname(rw)

– 4.启动 NFS 服务器 :• #/etc/rc.d/init.d/nfs start

– 5. 共享 /var/spool/mail:• #/usr/sbin/exportfs -a



邮件客户的配置– 1. 在邮件客户机上用超级用户登录– 2.检查主机名的解析 :ping mailhost

– 3.确信服务器已经把 /var/spool/mail 目录共享– 4. 建立安装点 :mkdir /var/spool/mail

– 5.安装邮件主机的目录到本地• mailhost:/var/spool/mail /var/spool/mail nfs defaults,intr 0 0

– 6. 在适当的别名数据库中增加客户 .


第 15 章 Sendmail

Sendmail 的工作原理 Sendmail 配置文件及其结构 Sendmail M4 文件的常用宏 Sendmail 系统配置 : 地址伪装 ,邮件转接


15.1 Sendmail 简介

邮件路由– SMTP 和 UUCP

Sendmail 处理过程– 收集三部分信息 : 信封 , 信头和邮件主体

运行 Sendmail– /usr/sbin/sendmail -bd -q1h

Sendmail安全问题


15.2 配置文件

主要的配置文件是 /etc/sendmail.cf, 是由系统提供的 m4 程序生成的 .

邮件投递代理 (MDA):运行程序来完成邮件的投递 .

宏 (MARCO): 定义变量类 (CLASS): 定义多个变量组成的数组重定规则 : 用来把地址从一个形式转换成另一

个形式 . 规则集合 , 是重定规则的一个子例程 ,是处理电子邮件地址的子程序或函数


15.3 Sendmail 的配置

M4宏 sendmail.m4 文件邮件地址伪装邮件转接 ANTI-SPAM 设置


第 16 章网络管理

网络管理– SNMP 协议– 基于 SNMP 的管理应用程序


16.1 网络管理简介

网络管理可以定义为网络的运行 , 管理和维护以及服务提供等所需要的各种活动 .

网络管理功能为配置管理 ,故障管理 , 性能管理 ,安全管理 , 计费管理 .

网络管理平台包括 SunNetManager,NetView,Openview等 ,

在 LINUX 上运行的有 UCD-SNMP 和 CMU-SNMP


16.2 SNMP

SNMP 是 TCP/IP 协议的一部分 , 用来管理网络 , 发现问题和解决网络问题 , 并规划网络的发展 .

SNMP 模型– 管理节点 : 被管理的网络设备 .– 管理站 :安装管理软件的监控工件站 .– 管理信息 : 设备的信息存放在 MIB 中 .– 管理协议 :SNMP 使用 UDP 不 AGENT 通信


16.2.3 协议

SNMP 的 5种报文– get-request– get-next-request– set-request– get-response– trap

SNMP 的操作只有两种基本的管理功能 :– 读操作– 写操作


16.2 SNMP(3)

管理信息结构 (SMI)– SNMP 模型的核心是由代理管理 , 管理站读写的对象集合 ,SNMP 使用的标准定义语言和编码规则是抽象语法符号的子集 .

管理信息库 (MIB)– 所有代理进程包含的并且能够被管理进程进行查询和设置的信息的集合 .


16.3 基于 SNMP 的管理程序

SNMP代理程序 UCD-SNMP 程序


第 17 章 DHCP

DHCP 的工作过程 DHCP 的配置 (DHCPD进程和配置文件 ) DHCP转接代理程序


17.1 DHCP 简介 (1)

引导程序协议 BOOTP– 静态配置 TCP/IP 协议

BOOTP客户

BOOTP服务器

BOOTP 广播请求

BOOTP 单播应答


17.1 DHCP 简介 (2)

动态主机配置协议 DHCP– DHCP 可以使计算机通过一个消息获取它所需要的

配置信息– DHCP允许计算机快速 , 动态地获取 IP 地址– 三种类型的地址分配方式

• 手工配置 , 自动配置和允许完全动态配置– 优点 : 可在 DHCP 服务器端对 TCP/IP 配置进行修改

而无须对每台主机进行配置 ; 可以避免 IP 地址的重复分配


17.1 DHCP 简介 (3)

DHCP 的工作过程

DHCPCLIENT

DHCPSERVER

DHCPDISCOVER

DHCPOFFER

DHCPREQUEST

DHCPCK


17.2 DHCP 配置 (1)

DHCP 服务器程序 dhcpd– /usr/sbin/dhcpd– dhcpd.lease– /etc/dhcpd.conf

DHCP转接代理 (RELAY AGENT)– 当 dhcprelay 接收到一个 DHCP请求时 , 它

将请求转发给命令行上指定的 DHCP 服务器 .• #dhcprelay 202.204.10.52


17.2 DHCP 配置 (2)

DHCP 服务器配置文件 /etc/dhcpd.conf– subnet 192.168.100.0 netmask 255.255.255.0{– range 192.168.100.196 192.168.100.254;– default-lease-time 86400;– max-lease-time 604800;– option subnet-mask 255.255.255.0;– option domain-name “redflag.com”;– option domain-name-servers 192.168.100.102;– option routers 192.168.100.1;– option broadcast-address 192.168.100.255;– }– host art{– hardware ethernet 12:12:12:12:12:12;– fixed-address 192.168.100.254;– }


17.2 DHCP 配置 (3)

服务器端 DHCP 配置– 安装软件

• mount /mnt/cdrom

• cd /mnt/cdrom/RedFlagContrib/Rpms

• rpm -I dhcp-2.0-11.i386.rpm

• 或者运行 /usr/sbin/RedFlagpkg

– 编辑 /etc/dhcpd.conf 配置– 创建 /var/state/dhcp/dhcpd.leases

• #touch /var/state/dhcp/dhcpd.leases

– 启动 DHCPD #/etc/rc.d/init.d/dhcpd start

– #/sbin/chkconfig -level 3 dhcpd on


17.2 DHCP 配置 (4)

客户机端 DHCP 配置– 使用 /usr/sbin/RedFlagnetcfg– 运行 DHCPD #/sbin/dhcpd

DHCP故障排除– #dhcpd -d– 修改 /etc/syslog.conf


第 18 章网络安全黑客常用的攻击手段和策略

Linux安全问题

Linux 系统安全监视

Linux 常用的网络安全工具


18.1 网络信息安全的定义机密性

网络信息的内容不会被未被授权的第三方所知完整性

信息在存储或传输时不被修改 ,破坏可用性

对静态信息的可得到和可操作性及对动态信息内容的可见性

真实性信息的可信度 , 对信息所者或发送者的身份的确认


安全隐患网络建立缺乏安全防范措施与安全防护设备

系统不完备的安全配置

不完善的系统管理

通信协议上存在的基本安全问题

网络上不完备的服务程序


应用风险远程应用风险

SMTP 应用风险

文件传输中的应用风险


黑客常用的攻击手段和策略基于口令的攻击网络偷窥和报文劫持攻击利用受托访问的攻击IP欺骗攻击伪社会角色攻击顺序号预测攻击会话劫持攻击利用弱点的攻击利用共享库的攻击


安全对策安全管理

安全法规和法律

安全技术


Linux 安全问题及对策

取消不必要的服务口令安全保持最新的系统核心检查登录密码设定用户帐号的安全等级消除黑客犯罪的温床


第 19 章 ipchains应用

防火墙的概念及应用 Linux防火墙 ipchains 指令


19.1 防火墙 (Firewall) 简介（ 1 ）

防火墙 (Firewall)简介– 包过滤 (Packet filter)

• 有较高的网络性能和更好的应用程序透明性– 代理 (Proxy Service)

• 使用一个客户程序，使用这个程序与特定的中间节点连接，然后由中间节点与外部主机相连。

• 提供了祥细的注册和审计功能• 由两部分构成： server端和 client端


19.1 防火墙 (Firewall) 简介（ 2 ）

防火墙安全控制基本原则– 一切未被允许的就是禁止的。– 一切未被禁止的就是允许的。

包过滤简介– 针对源和目的的 IP 地址– 针对协议类型（ ICMP ， TCP ， UDP）– 针对源和目的的 IP 地址的端口号


19.2 ipchains应用 (1)

Linux防火墙– Linux内核中包含了包过滤系统， ipchains就是用于建立，维护和检查防火墙规则的命令

Ipchains Firewall

Forward policy

eth0 eth1Input Policy Output Policy



Ipchains介绍– 四个规则集

• the IP input chain

• the IP output chain

• the IP forwarding chain

• user defined chins

五个处理办法ACCEPTDENYREJECTMASQREDIRECT



Ipchains命令简介– A,--append– D,--delete– I,--insert– L,--list– R,--replace– F,--flush– N,--new

X,--deleteP,--policyI,--inserts,--sourced,--destincationp,--proto tcp ucp icmp



Ipchains 的使用– ipchains -L– ping -c 4 localhost– ipchains -A input -s 127.0.0.1 -p icmp -j DENY– ping -c 4 localhost– ipchains -F– ipchains -A input -s ! 127.0.0.1 -p icmp -j DENY– ipchains -A input -p TCP --destination-port www -j DE

NY– ipchains-save 和 ipchains-restore



Ipchains伪装– 通过一个合法 IP把一些没有正式 IP 的机器

连到互联网上 .– 将主机隐藏在防火墙后面保护内部网络 .– #ipchains -P forward DENY– #ipchains -A forward -s 192.168.3.0/24 -j MAS

Q


谢谢！Thank you very much!

红旗 linux 认证培训

Documents