1、Acegene IT Co. Ltd.,1,Linux操作系统 网络管理,王增 中电畅通科技发展有限公司 13717535018,Acegene IT Co. Ltd.,2,内容简介,1 C/S模型 2 路由管理 3 ppp 配置 4 VPN,Acegene IT Co. Ltd.,3,1 C/S模型,C/S介绍 守护进程xinetd RPC,Acegene IT Co. Ltd.,4,1 xinetd守护进程,xinetd(eXtended InterNET services daemon)提供类似于inetd+tcp_wrapper的功能,但是更加强大和安全。它能提供以下特色: * 支持对
2、tcp、ucp、RPC服务(但是当前对RPC的支持不够稳定) * 基于时间段的访问控制 * 功能完备的log功能,即可以记录连接成功也可以记录连接失败的行为 * 能有效的防止DoS攻击(Denial of Services) * 能限制同时运行的同意类型的服务器数目 * 能限制启动的所有服务器数目 * 能限制log文件大小 * 将某个服务绑定在特定的系统接口上,从而能实现只允许私有网络访问某项服务 * 能实现作为其他系统的代理。如果和ip伪装结合可以实现对内部私有网络的访问 它最大的缺点是对RPC支持的不稳定性,但是可以启动protmap,与xinetd共存来解决这个问题,Acegene IT
3、 Co. Ltd.,5,1 编译安装,www.xinetd.org下载xinetd configure 选项: -with-libwrap :根据tcpd配置文件(/etc/hosts.allow, deny)来进行访问控制 -with-loadavg:在系统负载过重时关闭某些服务进程,来实现某些DoS攻击。 -with-inet6 : 使用该选项xinetd将支持IPv6,Acegene IT Co. Ltd.,6,1 配置文件,配置方式: /etc/xinetd.conf 和 /etc/xinetd.d 基本格式: Service service_name 其中是属性表,每个属性可指定一个
4、值,使用=,部分属性支持+=,-=实现在原有的基础上加、减某值。,Acegene IT Co. Ltd.,7,1 servers,实现提供当前运行在服务器上的进程表 ,以及有关这些进程的确切信息 ,如: Service servers type = INTERNAL UNLISTED Socket_type = stream Protocol = tcp Port = 9997 Wait = no Only_from = 172.17.33.111 Wait = no ,Acegene IT Co. Ltd.,8,1 Services,services特定项的目的是提供可用服务的列表 Serv
5、ice services type = INTERNAL UNLISTED Socket_type = stream protocol = tcp port = 8099 wait = no Only_ from = topcat ,Acegene IT Co. Ltd.,9,1 Xadmin,这个特定服务项提供以交互方式获得services特定服务所提供信息的方法 Service xadmin type = INTERNAL UNLISTED socket_type = stream protocol = tcp port = 9967 wait = no Only_from = topca
6、t ,Acegene IT Co. Ltd.,10,2 Linux路由实现,路由器简介 用Linux主机作静态路由 用GateD实现动态路由,Acegene IT Co. Ltd.,11,2 路由器简介,路由器的基本概念 路由器的原理与作用 路由器的功能 Linux的路由种类,Acegene IT Co. Ltd.,12,路由器的基本概念,路由和路由器 路由器和交换机的区别 路由器的分类:硬路由器和软路由器,Acegene IT Co. Ltd.,13,路由器的原理与作用,路由选路的方式有两种:静态(Static)路由和动态(Dynamic)路由 。,Acegene IT Co. Ltd.,1
7、4,静态路由,静态路由是指从每一个源地址到目的地址的传输都具有固定的路径。一般是根据网络的配置情况,预先添加到路由表里的。如果网络设置发生了变化不会自动更新,需要手动进行更改。,Acegene IT Co. Ltd.,15,动态路由,常用的动态路由协议 : RIP协议 OSPF协议 BGP协议,Acegene IT Co. Ltd.,16,路由器的功能,数据转发 路由选择 协议转换 多种协议的路由选择 流量控制 分段和组装功能 网络管理功能,Acegene IT Co. Ltd.,17,Linux的路由种类,1.在局域网和外部网之间进行数据包转发 。 2.分割子网并实现各个逻辑子网间数据包的转
8、发。 3.用普通PC机来作通常意义上的路由器,也就是架设软路由器。,Acegene IT Co. Ltd.,18,硬件准备实例(网络拓扑图 ),Acegene IT Co. Ltd.,19,设置服务器IP地址,eth0设置外部网络的IP地址 ,其余四个网络接口分别设置如下内部IP地址:# ifconfig eth0 202.38.85.10 netmask 255.255.255.0 broadcast 202.38.85.255 # ifconfig eth1 192.168.1.1 netmask 255.255.255.192 broadcast 192.168.1.64 # ifcon
9、fig eth2 192.168.1.65 netmask 255.255.255.192 broadcast 192.168.1.128 # ifconfig eth3 192.168.1.129 netmask 255.255.255.192broadcast 192.168.1.192 # ifconfig eth4 192.168.1.193 netmask 255.255.255.192broadcast 192.168.1.255 或编辑/etc/sysconfig/network-scripts/目录下的启动脚本文件 。,Acegene IT Co. Ltd.,20,设置路由,#
10、 route add -net 202.38.85.0 netmask 255.255.255.0 dev eth0 #route add -net 192.168.1.0 netmask 255.255.255.192 dev eth1 #route add -net 192.168.1.64 netmask 255.255.255.192 dev eth2 #route add -net 192.168.1.128 netmask 255.255.255.192 dev eth3 # route add -net 192.168.1.192 netmask 255.255.255.192
11、dev eth4 最后指定默认网关 : # route add default gw 202.38.85.1,Acegene IT Co. Ltd.,21,配置客户端和检测路由设置,1.在一个子网内的一台客户机上,检测能否连通本子网的网关。 2.在一个子网内的一台客户机上,检测能否连通另一个子网的网关。 3.在一个子网的一台客户机上,检测是否能够连通另一个子网内的一台客户机。 4. 最后在一个子网的一台客户上,检测是否能够连通外部网络。,Acegene IT Co. Ltd.,22,用GateD实现动态路由,GateD简介 配置GateD实现RIP,Acegene IT Co. Ltd.,23
12、,GateD简介,GateD是一个基于路由协议之间交换信息产生的路由数据库,来处理动态路由的软件。它采用了模块化的设计,包括核心服务程序、路由信息数据库、以及多种协议的支持模块。GateD支持的路由协议主要有:RIP、DCN HELLO、OSPF、EGP和BGP。GateD最初是被用来连接NSFNET(美国国家科学基金会NSF资助的关于主干网)网络之间的交界区域。,Acegene IT Co. Ltd.,24,rip简介,rip报文类型: 请求报文:查询相邻RIP设备,获得它们的距离向量表 响应报文:公告它的本地距离向量表中的信息 在以下情况下发出: 每隔30秒发送一次 对另一个RIP结点产生
13、的请求报文的响应 如果支持触发式,则在本地距离向量表发生变化时被发出。 RIP使用520端口发送和接收,每个数据报最大为512字节,Acegene IT Co. Ltd.,25,rip分类,rip-1: rip-2: 支持CIDR和VLSM 支持组播 支持认证 支持rip-1 rippng: 支持IPV6的认证 支持IPV6地址 使用521端口 RIP协议缺点: 路径代价限制和收敛时间长,Acegene IT Co. Ltd.,26,Rip配置,rip yes |no|off broadcast; nobroadcast; nocheckzero; preference preference;
14、 defaultmetric metric; query authentication none|simple|md5paswd; interface interface_list noripin|ripin noripout|ripout metricin metric version1|version2multicast|broadcast secondaryauthenticationnone|simple|md5password; trustedgateways gateway_list; sourcegateways gateway_list; traceoptions trace_
15、options; ;,Acegene IT Co. Ltd.,27,Gated.conf配置,Broadcast:指定rip包被广播发送 Nobroadcast:在绑定的接口上不广播rip包 Nocheckzero:指定rip不处理RIP包中的保留域 Preference n:设置rip路由的preference,默认为100 Metric n:尺度(默认为16) Query authentication:设置身份认证方式 Interface interface_list:针对接口进行参数设定 Trustedgateways gateway_list:定义接收更新包的网关 Sourcegate
16、ways gateway_list:直接发送rip的路由器列表 Traceoptions trace_options:设置RIP跟踪选项,Acegene IT Co. Ltd.,28,INTERFACE_LIST选项,noripin:忽略指定接口接收到的RIP包 ripin:默认的设置参数 noripout:指定接口上不向外发送rip包 ripout:默认的设置参数 metricin metric:加入核心路由表前,增加的尺度 metricout metric:在指定的接口发出rip包前,增加的尺度 version 1:发送第一个版本的rip协议的数据包 version 2:指定发送第二个版本
17、的rip 协议的数据包。 multicast:在指定接口上的发送第二版本的RIP包用组播方式 broadcast:指定在特定的接口上,使用广播方式来发送,Acegene IT Co. Ltd.,29,配置GateD实现RIP,rip yes broadcast ;defaultmetric 5 ;interface eth1 version 2 multicast ; ;static default gateway 202.38.85.1 preference 140 retain ; ;,Acegene IT Co. Ltd.,30,3 ppp,http:/www.samba.org/ppp
18、/ http:/ 一、编译内核 要建立PPPOE服务器,除了内核要支持PPP以外还需要内核支持PPPOE,不过在2.4.18里需要打开内核的不成熟代码才可以选择,内核的配置如下: code maturity level options* prompt for development and/or incomplete code/drivers networking options* packet socket* packet socket:mmapped io network device support* ppp (point-to-point protocol) support* ppp
19、multilink support (experimental)* ppp filtering* ppp support for async serial ports* ppp support for sync tty ports* ppp deflate compression* ppp bsd-compress compression* ppp over Ethernet (experimental) character devices* non-standard serial port support* hdlc line discipline support 编辑/etc/module
20、s.conf,加入以下几行: alias char-major-108 ppp_generic alias /dev/ppp ppp_generic alias tty-ldisc-3 ppp_async alias tty-ldisc-13 n_hdlc alias tty-ldisc-14 ppp_synctty alias ppp-compress-21 bsd_comp alias ppp-compress-24 ppp_deflate alias ppp-compress-26 ppp_deflate,Acegene IT Co. Ltd.,31,3 ppp,使用configure
21、使用make编译PPPD,这里有几个参数比较重要,要支持windows的客户端,应该在编译时加上选项USE_MS_DNS=1,如果你的系统shadow的话,你应该使用make HASSHADOW=1表示支持shadow密码 编译完成后,将生成pppd、pppdump、chat和pppstats这几个文件,使用make install安装这些文件 启动PPPOE进程: pppoe-server L 10.0.0.1 R 10.0.0.2 N 64 -u -L: 指定PPPOE服务器的IP地址 -R: 指定PPPOE拨入服务器分配给客户端的IP地址段 -N: 允许客户端同时拨入的数量(默认是64
22、最大是65534) 修改/etc/ppp/options,查看有没有以下几行,没有就加进去: local repaire-pap login auth defaultroute hide-password ipcp-accept-local ipcp-accept-remote 10.0.0.1:10.0.0.255 netmask 255.255.255.0 ms-dns 10.0.0.1 修改/etc/ppp/pppoe-server-options,将所有的行都注释掉 添加用户到/etc/ppp/pap-secrets中,例如添加用户test,密码为123456,允许从任何位置拨入: #client server secret ip addresses test * “123456” *,Acegene IT Co. Ltd.,32,4 vpn,freeswan www.freeswan.org,A,
