Linux网络基础课件.ppt

1、 教学内容 7.1 TCP/IP协议简介 7.2 配置Linux网络 7.3 基本网络服务介绍 7.4 Linux网络安全 7.1.1 网络概述网络概述 应用层传输层网际层网 络 接 口层OSI参考模型 TCP/IP模型 TCP/IP协议簇应用层表示层会话层运输层网络层链路层物理层HTTP、FTP、SMTP、SNMP、NMTP、TELNET、DNS、NFS、PINGTCP UDPIP ICMP ARP RARPEthernet、Token Ring、FDDI图7-1 OSI参考模型和TCP/IP协议对应关系7.1.2 TCP/IP协议 1以太网 以太网工作起来就象一个总线系统，每一台机器都通过

2、一个分接器挂到一根很长的电缆上。为了让机器识别自身，每块以太网卡都有一个由制造商惟一分配的地址（MAC地址）。当一块以太网卡想要同另一块以太网卡对话时，它象整个以太网电缆发送信息，其中包括自己的MAC地址和接受者的MAC地址。当两块以太网卡试图在同一时间发送数据时，便会产生冲突。解决这种冲突的办法是两台计算机取消这一次发送，各自等待一段随机的时间，再进行发送数据的尝试。 2IP协议 IP协议负责数据报在计算机之间寻址，决定数据传送到哪里及出现网络故障时如何更换路由。IP不保证传送的可靠性, 在主机资源不足的情况下, 它可能丢弃某些数据报, 同时IP也不检查被数据链路层丢弃的报文。 （1）IP地

3、址 IP地址通常由网络标识ID(Net)和主机标识ID(Host)两部分组成, 可标识一个互连网络中任何一个网络中的任何主机。 网络标识也称为网络地址，用于辨别子网，同一子网上的所有TCP/IP主机的网络ID都相同。 主机标识也称为主机地址，用于辨别每个网络内的主机。 IP地址分类如下：A类地址：网络类别字段占1位，即第0位为0，表示是A类地址，第17位表示网络地址, 第831位表示主机地址。它所能表示的范围为0.0.0.0127.255.255.255，即能表示126 个网络地址，16 387 064个主机地址。A类地址通常用于超大型网络的场合。B类地址：网络类别字段占2位，即第0、1位为“

4、1 0”，表示是B类地址，第215位表示网络地址, 第1631位表示主机地址。它所能表示的范围为128.0.0.0191.255.255.255, 即能表示16 256个网络地址, 64 576个主机地址。 B类地址通常用于大型网络的场合。网络类别网络ID主机ID0 31 C类地址：网络类别字段占3位，即第0、1、2位为“110”，表示是C类地址，第323位表示网络地址, 第2431位表示主机地址。它所表示的范围为192.0.0.0223.255.255.255, 即能表示2 064 512个网络地址, 254个主机地址。C类地址通常用于校园网或企业网。此外, 还有D类和E类IP地址。 D类地

5、址用于多址广播地址，供特殊协议向选定的节点发送信息时用。E类地址暂时保留。（2）子网掩码 子网掩码可概括为如下两个功能： 一是用于区分出网络地址和主机地址； 二是用于将网络分割为多个子网。 例如，某主机A的IP地址为192.166.008.002，子网掩码为255.255.255.0，将这两个数据做“与”运算后，得出值中非0部分即为网络地址即192.166.008，剩余字节为主机地址，也就是002。若有主机B的IP地址为192.166.008.005，子网掩码同主机A，通过子网掩码发现主机B与主机A网络地址相同，因此两台主机在同一个网络上。当主机A向主机B发送数据包时，就可以将数据包直接发送给

6、主机B。 3TCP协议 TCP协议是一种面向连接的，可靠的传输层协议。面向连接是指一次正常的TCP传输需要通过在TCP客户端和TCP服务端建立特定的虚电路连接来完成，该过程通常被称为“三次握手”。可靠的传输协议可避免数据传输错误。 TCP协议可以支持许多高层协议ULP(Upper Level Protocol), 它对高层协议的数据结构无任何要求, 只将它们作为一种连续的数据流。 4UDP协议 UDP也是常用的传输层协议，它提供非面向连接的、不可靠的数据流传输服务。这种服务不确认报文是否到达，不对报文排序，也不进行流量控制，因此UDP报文可能会出现丢失、重复和失序等现象。与TCP相同的是，UD

7、P协议也是通过端口号支持多路复用功能，但是不能建立连接，而是向目标计算机发送独立的数据包。 UDP是一种简单的协议机制, 通信开销很小, 效率比较高, 比较适合于对可靠性要求不高，但需要快捷、低延迟通信的应用场合, 如多媒体通信等。 7.2.1 网络配置文件 1 /etc/hosts文件 该文件包含了系统的主机名称和完全的域名，如： (Linux为主机名，为域名) 2 /etc/host.conf文件 该文件指定如何解析主机名。Linux通过解析器库来获得主机名对应的IP地址。3/etc/services文件 /etc/services中包含了服务名和端口号之间的映射，不少的系统程序要使用这个

8、文件.4/etc/sysconfig/network文件 该文件用来指定服务器上的网络配置信息，包含了控制和网络有关的文件和守护程序的行为的参数。 5/etc/sysconfig/network-scripts/ifcfg-ethN文件 在RedHat中，系统网络设备的配置文件保存在/etc/sysconfig/network-scripts目录下，ifcfg-eth0包含第一块网卡的配置信息，ifcfg-eht1包含第二块网卡的配置信息。 6/etc/hosts文件 /etc/hosts文件中包含了IP地址和主机名之间的映射，还包括主机名的别名，IP地址的设计使计算机容易识别，但对于人却很难

9、记住它们，为了解决这个问题，创建了/etc/hosts这个文件。7/etc/resolv.conf文件 该文件是由DNS客户端解析器(resolver，一个根据主机名解析IP地址的库)使用的配置文件，它包含主机的域名搜索顺序和DNS服务器的地址。8/etc/init.d/network主机地址、子网掩码和网关 为了改变主机缺省的IP地址，必须直接编辑/etc/init.d/network脚本使其反映正确的网络配置。这个文件包括了声明IP地址、掩码、网络、广播地址和缺省路由器的变量。 7.2.2 手工配置TCP/IP网络 1设置主机名/etc/hosts#hostname 主机名 2设置IP地址

10、3主机和网络文件 主机文件中每行都有一个条目，由IP地址、主机名和主机别名清单组成。这些字段用空格或标号隔开，而且地址字段必须在第一列内。跟在“#”后面的被视为批注。 就象IP地址一样，应该用一个好记的名字来代表某个网络。所以还要有一个/etc/networks文件，该文件指明网络名和网络编号之间的对应关系。 4配置网络接口 （1）ifconfig命令 ifconfig用于命令接口能够被内核联网层访问。要想启用接口，使用下面的命令：# ifconfig interface ip-address 此代码就是将ip-address分给接口，就激活了它。其他参数都采用默认值。 （2）route命令

11、route命令用于在内核路由表内增加还是删除路由，由管理员手工维护。 5配置回送接口 首先激活的接口是回送窗口，如下：#ifconfig th 127.0.0.1ifconfig将查找主机文件内的主机名，其中一个条目将该主机名声明为127.0.0.1的主机名：localhost 127.0.0.1如果要查看接口的配置情况，将接口名作为ifconfig的参数，使用下面的方法调用它即可：#ifconfig th6配置以太网接口 7.3.1 域名服务器（DNS） 构成： DNS逻辑上是一个树形结构，在Internet中，整个网络划分为不同的域，各域按照组织或行政管理层次把名字空间划分成树状结构，然后

12、给每个结点一个标识。某个结点的域名就是从根到该结点间所有域标识的组合，把这些标识从右至左排列，相互间用“.”隔开。例如：其他顶级域根域neteducomgovmilsinasohumicrosoftwwwhttp其他DNS查询过程：1）工作站发送一完整的主机名到本地域名服务器；2）域名服务器先在它的DNS高速缓存及域名与IP地址对照表中进行查找，若找到则将IP返回工作站，否则，将查询的域名送到上一级服务器进行查找，直到找到IP。3）将查到的IP地址由本地的域名服务器送回工作站并将其存到本地DNS高速缓存。4）工作站利用查到的IP地址和相应的网址建立通信。DNS解析域名的方式1）递归型 客户端提

13、出的查询请求一般都是采用该方式。2）循环型 多用于DNS服务器之间的查询3）反向型 让客户端利用IP地址查询它的主机名称，在DNS的各个结点中增加一个域内容为IP地址的反序。7.3.2 samba服务器 Samba是用来实现SMB的一种软件，它的工作原理是，让NETBIOS（Windows95网络邻居的通讯协议）和SMB（Server Message Block）这两个协议运行于TCP/IP通信协议之上，并且使用Windows的NETBEUI协议让Linux计算机可以在网络邻居上被Windows计算机看到。所以通过samba，Linux和Windows就可以在网络邻居上沟通，互相浏览共享的文件

14、了。 7.4.1 Linux系统的文件安全 保护文件系统的安全性，应该从以下几个方面入手： 1文件存取权限的设置 文件属性决定了文件的被访问权限，即谁能存取或执行该文件。用ls -l可以列出详细的文件信息，如：-rwxr-xr- 1 wang group 600 99 Jul 28 21:12 file 包括了文件许可，文件连接数，文件所有者名，文件相关组名，文件长度，上次存取日期和文件名。其中文件许可权限分为四部分：-:表示文件类型。 第一个rwx:表示文件属主的访问权限。 第二个r-x:表示文件同组用户的访问权限。 第三个r-:表示其他用户的访问权限。 2.设置用户ID和同组用户ID许可

15、用chmod u+s 文件名和chmod u-s文件名来设置和取消SUID设置。用 chmod g+s 文件名和chmod g-s文件名来设置和取消SGID设置。 当文件设置了SUID和SGID后，chown和chgrp命令将全部取消这些许可。-rwxr-xr- 1 wang group 600 99 Jul 28 21:127.4.2 用户口令安全 Linux系统中的/etc/passwd文件含有全部系统需要知道的关于每个用户的信息(加密后的口令也可能存于/etc/shadow文件中). /etc/passwd中包含有用户的登录名，经过加密的口令、用户号、用户组号、用户注释、用户主目录和用户

16、所用的shell程序。其中用户号(UID)和用户组号(GID)用于Linux系统惟一地标识用户主和同组用户及其它用户的访问权限。 /etc/passwd中存放的加密的口令用于用户登录时输入的口令经计算后相比较，符合则允许登录，否则拒绝用户登录。用户可用passwd命令修改自己的口令，不能直接修改/etc/passwd中的口令部分。 7.4.3 防火墙技术 1防火墙的概念 防火墙是一种网络安全产品，它提供了一种保护机制，其目的是保护一个网络不受来自另一个不可信任网络的非法侵入，它对网络的保护主要体现在： 防止非法的外部用户侵入Intranet访问资源和窃取数据； 允许合法的外部用户以指定的权限访

17、问规定的网络资源。 根据网络安全性总体需求，防火墙可遵循两种基本原则实现： 一切未被允许的都是禁止的。根据这一原则，防火墙应封锁所有信息流，然后对希望提供的服务逐项开放。这种方法很安全，因为被允许的服务都是仔细挑选的。但限制了用户使用的便利性，用户不能随心所欲地使用网络服务。 一切未被禁止的都是允许的。根据这一原则，防火墙应转发所有信息流，然后逐项屏蔽可能有害的服务。这种方法很灵活，可为用户提供更多的服务，但安全性要差一些。由于这两种防火墙原则在安全性和可使用性上各有侧重，很多防火墙系统在两者之间采取一定的折衷。 2防火墙的分类 根据不同的防范方式和侧重点，防火墙主要分成两类：分组过滤型和代理

18、服务型。它们在网络性能、安全性和应用透明性等方面各有利弊。(1) 分组过滤型 分组过滤型(Packet Filter) 防火墙只是根据数据包的内容来判断是否允许数据包的传输。通常在网络层上通过对分组中的IP地址、TCP/UDP端口号以及协议状态等字段的检查来决定是否转发一个分组。 分组过滤型防火墙的基本原理是： 根据网络安全策略，在防火墙中事先设置分组过滤规则。 依据分组过滤规则，对经过防火墙的分组流进行检查。 分组过滤规则一定按顺序排列。当一个分组到达时，按规则的排列顺序依次地运用每个规则对分组进行检查。一旦分组与一个规则相匹配，则不再向下检查其它的规则。 如果一个分组与一个拒绝转发的规则相

19、匹配，则该分组将被禁止通过。 如果一个分组与一个允许转发的规则相匹配，则该分组将被允许通过。 如果一个分组不与任何规则相匹配，则该分组将被禁止通过。这是遵循“一切未被允许的都是禁止的”的原则。(2) 代理服务器 代理服务型防火墙充当客户和服务器程序之间的中介。客户程序要访问服务器必须通过代理服务器进行中转，而不允许它们之间直接建立连接进行通信。代理服务器打开一个到服务器的连接，发出请求，并继续在服务器和客户之间传输数据。 作业1. 简述IP地址的组成。2. 简述手动配置Linux网络过程。3. DNS解析域名的方式是哪三种？4. 实现设置IP地址和子网掩码的命令是什么？以及设置路由的命令是什么？