RHEL7版-项目07网络配置与Firewall课件.ppt

1、RHEL7版版-项目项目07网络网络配置与配置与Firewalld防火防火墙管理墙管理第第2 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五第第3 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五网络主机网络主机(终端节点终端节点)的连网配置的连网配置:对网络中所有计算机或服务器的主机名、网络接口(网卡)的配置(包括IP地址、子网掩码、默认网关、DNS服务器的IP地址等),以便使同一子网中的主机之间能相互连通。网络互连设备的配置网络互连设备的配置:对内部网络中连接各子网的路由器和交

2、换机的配置。其目的是实现不同子网中的主机之间能够相互连通,主要是路由信息的配置。网关设备的配置网关设备的配置:是指在校园网与外部互联网的交界处的设备上所实施的配置。主要包括防火墙和NAT服务的配置。通过防火墙规则设置以保护校园内部网络中的主机(主要是服务器);通过NAT服务的配置以允许校园网内所有配置私网IP地址的主机能访问外部互联网,同时,外网的用户也可以访问校园网内的某些服务器。7.1 项目描述项目描述第第4 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五7.2 项目知识准备项目知识准备 1.网络配置的主要文件及目录网络配置的主要文

3、件及目录路径及文件名功能/etc/hostname用于设置和保存静态主机名/etc/machine-info用于设置和保存灵活主机名/etc/hosts用于设置主机名映射为IP地址,从而实现主机名的解析/etc/sysconfig/network-scripts/网络接口(网卡)配置文件的存放目录/etc/resolv.conf用于对主机的DNS服务器IP地址进行配置/etc/nsswitch.conf用于指定域名解析顺序/etc/services用于设置主机的不同端口对应的网络服务(一般无需修改)/usr/lib/sysctl.d/00-system.conf用于开启或关闭路由转发功能,从而

4、使数据包能在不同子网之间转发/etc/sysconfig/network-scripts/route-ensXX用于设置并保存静态路由信息,从而将Linux服务器构建为软路由器 第第5 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五网络接口网络接口是指网络中的计算机或网络设备与其他设备实现通讯的进出口。这里,主要是指计算机的网络接口即网卡设备。从RHEL7开始引入了一种新的“一致网络设备命名”的方式为网络接口命名,该方式可以根据固件、设备拓扑、设备类型和位置信息分配固定的名字。网络接口的名称的前两个字符为网络类型符号。如:len示以太网

5、(Ethernet)、wl表示无线局域网(wlan)、ww表示无线广域网(wwan);接下来的字符根据设备类型或位置选择,如: lo表示内置(onboard)于主板上的集成设备(即集成网卡)及索引号;ls表示是插在可以热拔插的插槽上的独立设备及索引号;lx表示基于MAC地址命名的设备;lp表示PCI插槽的物理位置及编号。则是为网络接口实施配置的设置集合。在同一个网络接口上,可以有多套不同的设置方案,即一个网络接口可以有多个网络连接,但同一时间只能有一个网络连接处于活动状态。 第第6 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五第第7

6、页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五第第8 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五第第9 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五Console口4个10/100/1000口 CheckPoint UTM-1 570 第第10 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五1Linux防火墙的历史防火墙的历史在在3.10之后的内核中之后的内核

7、中,包过滤机制是包过滤机制是netfilter,管理防火墙的工具有管理防火墙的工具有firewalld、iptables等。等。firewalld的官网：的官网：第第11 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五2Linux防火墙的架构防火墙的架构Linux防火墙系统由以下三层架构的三个子系统组成防火墙系统由以下三层架构的三个子系统组成:内核层的内核层的中间层服务程序中间层服务程序:是连接内核和用户的与内核直接交互的监控防火墙规则的服务程序或守护进程是连接内核和用户的与内核直接交互的监控防火墙规则的服务程序或守护进程,它将用户配置

8、的规则交由内核中的它将用户配置的规则交由内核中的netfilter来读取来读取,从而调整防火墙规则。从而调整防火墙规则。用户层工具用户层工具:是是Linux系统为用户提供的用来定义和配置防火墙规则的工具软件。系统为用户提供的用来定义和配置防火墙规则的工具软件。第第12 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五表表链链规则的结构来组织规则规则的结构来组织规则第第13 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五第第14 页页LinuxLinux网络操作系统配置与管理网络操作

9、系统配置与管理2022年年6月月3日星期五日星期五在在RHEL7中用户层的配置中用户层的配置firewalld防火墙规则的工具有以下三种防火墙规则的工具有以下三种:图形工具图形工具firewall-config。命令行工具命令行工具firewall-cmd。直接编辑直接编辑/etc/firewalld/目录中扩展名为目录中扩展名为.xml的一系列配置文件。的一系列配置文件。为了简化防火墙管理为了简化防火墙管理,firewalld将所有网络流量划分为多个区域。根据数据包源将所有网络流量划分为多个区域。根据数据包源IP地址或传入网地址或传入网络接口等条件络接口等条件,流量将转入相应区域的防火墙规则

10、流量将转入相应区域的防火墙规则,firewalld提供的几种预定义的区域及防火墙初提供的几种预定义的区域及防火墙初始规则见表始规则见表7-2。第第15 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五区域(zone)区域中包含的初始规则trusted (受信任的)允许所有流入的数据包。home (家庭)拒绝流入的数据包,允许外出及服务ssh,mdns,ipp-client,samba-client与dhcpv6-client。internal (内部)拒绝流入的数据包,允许外出及服务ssh、mdns、ipp-client、samba-cl

11、ient、dhcpv6-client。work (工作)拒绝流入的数据包,除非与输出流量数据包相关或是ssh,ipp-client与dhcpv6-client服务则允许。public (公开)拒绝流入的数据包,允许外出及服务ssh、dhcpv6-client,新添加的网络接口缺省的默认区域。external (外部)拒绝流入的数据包,除非与输出流量数据包相关,允许外出及服务ssh、mdns、ipp-client、samba-client、dhcpv6-client,默认启用了伪装。dmz (隔离区)拒绝流入的数据包,除非与输出流量数据包相关 ,允许外出及服务ssh。block (阻塞)拒绝流入

12、的数据包,除非与输出流量数据包相关。drop (丢弃)任何流入网络的包都被丢弃,不作出任何响应,除非与输出流量数据包相关。只允许流出的网络连接。第第16 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五数据包要进入到内核必须要通过这些区域数据包要进入到内核必须要通过这些区域(zone)中的一个中的一个,不同的区域里预定义的防火墙规则不一样不同的区域里预定义的防火墙规则不一样(即即信任度或过滤的强度不一样信任度或过滤的强度不一样),人们可以根据计算机所处的不同的网络环境和安全需求将网卡连接到相应人们可以根据计算机所处的不同的网络环境和安全需

13、求将网卡连接到相应区域区域(默认区域是默认区域是public),并对区域中现有规则进行补充完善并对区域中现有规则进行补充完善,进而制定出更为精细的防火墙规则来满足进而制定出更为精细的防火墙规则来满足网络安全的要求。一块物理网卡可以有多个网络连接网络安全的要求。一块物理网卡可以有多个网络连接(逻辑连接逻辑连接),一个网络连接只能连接一个区域一个网络连接只能连接一个区域,而一而一个区域可以接收多个网络连接。个区域可以接收多个网络连接。根据不同的语法来源根据不同的语法来源,firewalld包含的规则有以下三种：包含的规则有以下三种：标准规则标准规则:利用利用firewalld的基本语法规范所制定或

14、添加的防火墙规则。的基本语法规范所制定或添加的防火墙规则。直接规则直接规则:当当firewalld的基本语法表达不够用时的基本语法表达不够用时,通过手动编码的方式直接利用其底层的通过手动编码的方式直接利用其底层的iptables或或ebtables的语法规则所制定的防火墙规则。的语法规则所制定的防火墙规则。富规则富规则: firewalld的基本语法未能涵盖的的基本语法未能涵盖的,通过富规则语法制定的复杂防火墙规则。通过富规则语法制定的复杂防火墙规则。第第17 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五第第18 页页LinuxLin

15、ux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五1NAT服务的概念及分类服务的概念及分类根据根据NAT替换数据包头部中地址的不同替换数据包头部中地址的不同,NAT分为源地址转换分为源地址转换SNAT(Source NAT)(IP伪装伪装)和目的地址转和目的地址转换换DNAT(Destination NAT)两类。两类。SNAT技术主要应用于在企事业单位内部使用私网技术主要应用于在企事业单位内部使用私网IP地址的所有计算机能够访问互联网上服务器地址的所有计算机能够访问互联网上服务器,实现共享上网实现共享上网,并且能隐藏内部网络的并且能隐藏内部网络的IP地址。在

16、地址。在RHEL7系统内置的防火墙中的系统内置的防火墙中的IP伪装功能就是伪装功能就是SNAT技术具体实现方式。技术具体实现方式。DNAT技术则能让互联网中用户穿透到企事业的内部网络技术则能让互联网中用户穿透到企事业的内部网络,访问使用私网访问使用私网IP地址的服务器地址的服务器,即无公网即无公网IP的内网服务器发布到互联网的内网服务器发布到互联网(如发布如发布Web网站和网站和FTP站点等站点等)。第第19 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五2NAT服务器的工作过程服务器的工作过程NAT服务器的工作过程如图服务器的工作过程

17、如图7-3所示。所示。第第20 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五在RHEL7中,引入了静态(static)、瞬态(transient)和灵活(pretty)三种主机名。“瞬态瞬态”主机名主机名第第21 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五选项说明如下：选项说明如下：status可同时查看静态、瞬态和灵活三种主机名及其相关的设置信息。-static仅查看静态(永久)主机名。-transient仅查看瞬态(临时)主机名。-pretty仅查看灵活主机名。host

18、namectl status -static|-transient|-pretty 查看主机名的命令一般格式如下查看主机名的命令一般格式如下:rootdyzx # hostnamectl status Static hostname: Icon name: computer-vm Chassis: vm Machine ID: ebcaefed3f4d4359a7113ab85ec89629 Boot ID: 76f5e89582ff4e62930bfc2f5ee33aa6 Virtualization: vmware Operating System: Red Hat Enterprise

19、Linux Server 7.3 (Maipo) CPE OS Name: cpe:/o:redhat:enterprise_linux:7.3:GA:server Kernel: Linux 3.10.0-514.el7.x86_64 Architecture: x86-64第第22 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五查看、修改瞬态查看、修改瞬态(临时临时)主机名的命令如下主机名的命令如下:hostnamectl -static|-transient|-pretty set-hostname 修改主机名的命令一般格式如下修

20、改主机名的命令一般格式如下:rootdyzx # hostnamectl -transient/查看修改前的瞬态主机名rootdyzx # hostnamectl -transient set-hostname server1/修改瞬态主机名rootdyzx # hostnamectl -transient/查看修改后的瞬态主机名server1查看、修改静态查看、修改静态(永久永久)主机名的命令如下主机名的命令如下:root dyzx# hostnamectl -static/查看修改前的静态主机名rootdyzx # hostnamectl -static set-hostname dyzx

21、# hostnamectl -static/查看修改后的静态主机名第第23 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五当用hostnamectl命令修改静态主机名后,/etc/hostname文件中保存的主机名会被自动更新,而/etc/hosts文件中的主机名却不会自动更新,因此,在每次修改主机名后,一定要手工更新/etc/hosts文件,在其中添加新的主机名与IP地址的映射关系rootdyzx # bash/重新开启Shellrootserver2#查看在设置新的静态主机名后查看在设置新的静态主机名后,会立即修改内核主机名会立即修

22、改内核主机名,只是在提示符中只是在提示符中“”后面的主机名还未自后面的主机名还未自动刷新动刷新,此时此时,只要执行重新开启只要执行重新开启Shell登录命令登录命令,便可在提示符中显示新的主机名。便可在提示符中显示新的主机名。rootserver2#vim /etc/hosts127.0.0.1localhost localhost.localdomain localhost4 localhost4.localdomain4:1localhost localhost.localdomain localhost6 /添加此行,其中10.1.80.61是本机的IP地址:wq/保存退出第第24 页页

23、LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五由上可见,在修改静态/瞬态主机名时,任何特殊字符或空白字符会被移除,并且大写字母会自动转化为小写字母,而灵活主机名则保持了原样,这正是起名为灵活主机名的缘由。root server2 # hostnamectl set-hostname Zhang3 s Computerroot server2 # hostnamectl -static/查看静态主机名zhang3scomputerroot server2 # hostnamectl -transient/查看瞬态主机名zhang3scompu

24、ter root server2# hostnamectl -pretty/查看灵活主机名Zhang3s Computer 第第25 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五添加临时生效的网络连接添加临时生效的网络连接:该方式适合在调试网络时临时使用。这种方式虽然在设置后能马上生效该方式适合在调试网络时临时使用。这种方式虽然在设置后能马上生效,但但由于是直接修改目前运行内核中的网络参数由于是直接修改目前运行内核中的网络参数,并未改动网络连接配置文件中的内容并未改动网络连接配置文件中的内容,因此在系统或网络因此在系统或网络服务重启后

25、会失效。服务重启后会失效。持久生效的网络连接配置持久生效的网络连接配置:此方式是对存放网络连接参数的配置文件进行修改或设置此方式是对存放网络连接参数的配置文件进行修改或设置,适合在长期稳定适合在长期稳定运行的计算机上使用。其配置工具有运行的计算机上使用。其配置工具有vim、nmtui和和nmcli等。等。第第26 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五命令用法功能ip -s addr show 网卡设备名查看网卡在网络层的配置信息,加-s表示增添显示相关统计信息,如接收 (RX) 及传送 (TX) 的数据包数量等ip -s li

26、nk show 网卡设备名查看网卡在链路层的配置信息ip -4 addr add|del IP地址/掩码长度 dev 网卡连接名ip -6 addr add|del IP地址/掩码长度 dev 网卡连接名添加或删除网卡的临时IPv4地址添加或删除网卡的临时IPv6地址ip link set dev 网卡的设备名 down|up禁用|启用指定网卡第第27 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五【例例7-1】在RHEL7-1主机上,为网卡ens33临时添加一个IP地址10.1.80.61/24,并查看其配置结果。在重启网卡后再次查看

27、配置的结果。操作的命令如下:rootRHEL7-1 # ip addr show ens33/查看接口ens33当前的IP地址和子网掩码2: ens33: mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:0c:29:3d:b8:92 brd ff:ff:ff:ff:ff:ff inet 10.1.80.61/24 brd 10.1.80.255 scope global ens33 valid_lft forever preferred_lft forever inet6 fe80:1671:5718:ea13:ef42/6

28、4 scope link valid_lft forever preferred_lft forever已启用的活动接口的状态为UP,禁用接口的状态为DOWN。link行指定网卡设备的硬件(MAC)地址。inet行显示IPv4地址和网络前缀(子网掩码)。广播地址、作用域和网卡设备的名称。inet6行显示IPv6信息。第第28 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五rootRHEL7-1 #ip addr add 10.1.80.66/24 dev ens33/在接口ens33上添加临时IP地址rootRHEL7-1 # ip a

29、ddr show ens332: ens33: mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:0c:29:3d:b8:92 brd ff:ff:ff:ff:ff:ff inet 10.1.80.61/24 brd 10.1.61.255 scope global ens33 valid_lft forever preferred_lft forever inet 10.1.80.66/24 scope global ens33 valid_lft forever preferred_lft forever inet6 fe

30、80:1671:5718:ea13:ef42/64 scope link valid_lft forever preferred_lft foreverrootRHEL7-1 # ip link set dev ens33 downrootRHEL7-1 # ip link set dev ens33 up rootRHEL7-1 # ip addr show /显示所有网络接口的当前IP地址和子网掩码/省略显示结果第第29 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五【例例7-2】在RHEL7-1主机上,通过编辑网络连接配置文件为网

31、卡ens33配置网络参数。其配置方法如下:rootRHEL7-1 # vim /etc/sysconfig/network-scripts/ifcfg-ens33TYPE=Ethernet/指定网络类型为以太网模式BOOTPROTO=none/指定启动地址协议的获取方式(dhcp或bootp为自动获取,none/为放弃自动获取,一般用于网卡绑定时,static为静态指定IP DEFROUTE=yes/是否把这个ens38设置为默认路由IPV4_FAILURE_FATAL=no/如果IPv4配置失败,设备是否被禁用IPV6INIT=yes/允许在该网卡上启动IPV6的功能IPV6_AUTOCON

32、F=yes /是否使用IPV6地址的自动配置IPV6_DEFROUTE=yesIPV6_FAILURE_FATAL=noIPV6_ADDR_GEN_MODE=stable-privacyNAME=ens33/网络连接标识名UUID=00decbce-3c43-47f1-82a6-627cbd80188f/网卡全球通用唯一识别码DEVICE=ens33/网卡设备名ONBOOT=yes/设置系统或网络服务在启动时是否启动该接口IPADDR=10.1.80.61/设置IP地址PREFIX=24/设置子网掩码GATEWAY=10.1.80.254/设置网关DNS1=8.8.8.8/设置DNS的IP地址

33、IPV6_PEERDNS=yesIPV6_PEERROUTES=yesHWADDR=00:0C:29:C7:FE:8A/网卡的物理地址(也称网卡号)rootdyzx network-scripts# systemctl restart network.service /重启网络服务,使配置生效第第30 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五3用用nmtui工具修改网卡配置文件工具修改网卡配置文件【例例7-3】使用nmtui工具,为RHEL7-1主机的第二块网卡ens38配置网络参数。其配置步骤如下:检查nmtui工具相应的服务是

34、否启用。RHEL7默认已安装,并已开启了相应的服务(NetworkManager.service)。若nmtui工具的安装包已卸载可用以下命令进行安装、启用并检查启用状态。root RHEL7-1 # yum install NetworkManager-tuiroot RHEL7-1 # systemctl start NetworkManager.serviceroot RHEL7-1 # systemctl status NetworkManager.service步骤步骤2:在命令行执行以下命令:root rhel7-1 # nmtui步骤步骤3:在打开的【NetworkManag】窗

35、口中按图7-4所示完成操作。第第31 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五3用用nmtui工具修改网卡配置文件工具修改网卡配置文件系统返回【以太网】窗口,按【Tab】键将焦点移至【】按【Enter】键在返回的【NetworkManag】窗口中使用光标下移键将焦点移至【退出】选项按【Enter】键后系统退出nmtui工具。步骤步骤5:在命令行下,执行重启网络服务命令,使配置生效。rootRHEL7-1# systemctl restart network.service第第32 页页LinuxLinux网络操作系统配置与管理网络

36、操作系统配置与管理2022年年6月月3日星期五日星期五命令用法功能nmcli dev status显示所有网卡设备的状态nmcli con show -active 网络连接名显示所有或活动的或指定的网络连接nmcli con add con-name 网络连接名 type ethernetifname 网络接口名称 ip4 ip地址/前缀 gw4 默认网关为指定的网卡设备添加网络连接,并以“ifcfg-连接名”名称保存其配置文件nmcli con mod 网络连接名 ipv4.add “ip地址/前缀 默认网关”修改并保存指定网络连接中的IP地址和网关nmcli con up 网络连接名将绑

37、定到网络接口上指定的网络连接激活nmcli dev dis 网络连接名将绑定到网络接口上指定的网络连接关闭nmcli con del 网络连接名删除指定的网络连接及其配置文件nmcli con reload重新读取网络连接配置文件,使其修改生效第第33 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五使用nmcli命令完成以下系列操作：查看当前主机中所有网卡设备的状态信息。root rhel7-1 #nmcli dev status设备类型状态CONNECTION Ens33ethernet连接的ens33Ens38ethernet已断开

38、-Loloopback未管理-查看网络连接的信息。rootRHEL7-1 # nmcli con show/查看所有网络连接名称 UUID类型设备Ens330243e05a-81f0-4671-93e0-55a4be1dcdbe802-3-ethernetens33Ens38e3e26e34-e13c-48d2-bb51-d19caaeb0d15802-3-ethernet-rootRHEL7-1 # nmcli con show ens33/查看指定网络连接的详细信息connection.id: ens33connection.uuid: 0243e05a-81f0-4671-93e0-55

39、a4be1dcdbeconnection.stable-id: -connection.interface-name: ens33connection.type: 802-3-ethernet/省略若干行第第34 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五在ens33设备上添加网络连接名为ens33-1的新连接。rootRHEL7-1 # nmcli con add con-name ens33-1 ifname ens33 type ethernet ip4 10.10.10.1/24 gw4 10.10.10.254成功添加的连

40、接 ens33-1(b926e70b-07c6-4934-b020-9f95a1777f4e)。rootRHEL7-1 # nmcli con show名称UUID类型设备Ens330243e05a-81f0-4671-93e0-55a4be1dcdbe802-3-ethernetens33Ens38e3e26e34-e13c-48d2-bb51-d19caaeb0d15802-3-ethernet-ens33-1b926e70b-07c6-4934-b020-9f95a1777f4e802-3-ethernet-修改ens33-1网络连接在其中添加首选DNS的IP地址和辅助DNS的IP地址r

41、ootRHEL7-1 # nmcli con modify ens33-1 ipv4.dns 8.8.8.8rootRHEL7-1 # nmcli con modify ens33-1 +ipv4.dns 10.10.1.2修改ens33网络连接,使得开机时能自动启动,并将IP地址/前缀修改为10.1.80.121/24。rootRHEL7-1 # nmcli con modi ens33 autoconnect yes ipv4.add 10.1.80.121/24 rootRHEL7-1 # nmcli con up ens33/激活连接使修改后的配置立即生效删除网络连接ens33-1及其

42、配置文件。rootRHEL7-1 # nmcli connection delete ens33-1第第35 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五【例例7-5】添加主机名与IP地址14.215.144.37的对应记录。rootRHEL7-1 # vim /etc/hosts127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4:1 localhost localhost.localdomain localhost6 localho

43、st6.localdomain6192.168.1.1 RHEL7-【例例7-6】为当前主机设置如下DNS主机地址: 222.246.129.80、8.8.8.8。rootRHEL7-1 # vim /etc/resolv.conf#Generated by NetworkManagernameserver 222.246.129.80nameserver 8.8.8.8第第36 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五/etc/hosts和/etc/resolv.conf文件均可响应域名解析的请求,其响应的先后顺序可在文件/et

44、c/nsswitch.conf中设置,其默认解析顺序为hosts文件、resolv.conf文件中的DNS服务器。rootRHEL7-1 # grep hosts /etc/nsswitch.conf#hosts: db files nisplus nis dnshosts: files dns /其中的files代表用hosts文件来进行名称解析第第37 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五命令一般格式为命令一般格式为:ping 选项选项 常用选项常用选项:-c 数字数字-s 字节数字节数-i 时间间隔量时间间隔量-t【例例

45、7-7】使用ping命令,向百度网站()发送三个测试数据包。rootRHEL7-1 # ping -c 3 第第38 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五命令一般格式为命令一般格式为:tracepath 选项选项 常用选项常用选项:-n对沿途各主机节点, 仅仅获取并输出IP地址,不在每个IP 地址的节点设备上通过DNS查找其主机名,以此来加快测试速度。-b对沿途各主机节点同时显示IP地址和主机名。-l 包长度包长度设置初始的数据包的大小。-p端口号端口号设置UDP传输协议的端口(缺省为33434)。【例例7-8】跟踪从本主机到

46、目标主机(如)的路由途径。rootRHEL7-1 # tracepath 1?: LOCALHOST pmtu 1500 1: no reply 2: 10.0.1.2 2.957ms /省略若干行 Resume: pmtu 1500 hops 10 back 10第第39 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五本任务针对图本任务针对图7-5中中(具有具有3个子网个子网)各主机及其网卡各主机及其网卡(网卡网卡1网卡网卡6)进行配置进行配置,使得主机使得主机PC1与主机与主机PC2之之间的链路能双向连通。间的链路能双向连通。其配置

47、步骤如下其配置步骤如下:按任务7-2中介绍的方法,依据图7-5标示的IP地址、子网掩码、默认网关等参数配置各网卡。 第第40 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五在RHEL7-1和RHEL7-2两台主机上开启IP转发功能,以使各主机中的网卡不仅能收发数据包还能转发数据包。在RHEL7-1主机上开启IP转发功能的过程如下(RHEL7-2上的操作方式相同):rootRHEL7-1 # vim /usr/lib/sysctl.d/00-system.conf/省略若干行net.ipv4.ip_forward=1/添加此行或将此行中的

48、“0”改为“1”:wq/保存退出rootRHEL7-1 # sysctl -p /usr/lib/sysctl.d/00-system.conf/使修改生效使修改生效(系统会显示配置参数系统会显示配置参数) 为了实现子网1与子网3之间永久生效的双向连通,需要在路由器RHEL7-1的ens38网卡上和RHEL7-2的ens33网卡上分别添加永久生效的静态路由记录:rootRHEL7-1 # vim /etc/sysconfig/network-scripts/route-ens38192.168.2.0/24 via 192.168.1.2 dev ens38/添加从子网1到子网3的路由root

49、RHEL7-1 # systemctl restart network /重启网络服务使配置生效rootRHEL7-2 # vim /etc/sysconfig/network-scripts/route-ens3310.1.80.0/24 via 192.168.1.1 dev ens33/添加从子网3到子网1的路由rootRHEL7-2 # systemctl restart network /重启网络服务使配置生效rootRHEL7-2 # ip route show/查看RHEL7-2上的路由表信息10.1.80.0/24 via 192.168.1.2 dev ens33 proto

50、 static metric 100 192.168.1.0/24 dev ens33 proto kernel scope link src 192.168.1.2 metric 100 192.168.2.0/24 dev ens38 proto kernel scope link src 192.168.2.1 metric 100第第41 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年6月月3日星期五日星期五在PC1上添加永久生效的能到达子网2(192.168.1.0/24)和子网3(192.168.2.0/24)的静态路由,在PC2上添加永久生效的能