RHEL7版 项目07网络配置与Firewall课件.ppt

RHEL7版-项目07网络配置与Firewalld防火墙管理,RHEL7版-项目07网络配置与Firewalld防火墙管理RHEL7版-项目07网络配置与Firewalld防火墙管理项目7 网络配置与Firewalld防火墙的管理【职业知识目标】了解：网络配置文件及配置方式;防火墙的概念、功能与分类； NAT服务的概念及分类熟悉:Linux防火墙的历史演进与架构、 firewalld防火墙的组成； NAT服务的工作过程掌握:主机名、以太网卡的设置；软路由器的配置；防火墙的配置；NAT的配置方法【职业能力目标】会配置主机名和网卡、路由；会配置客户端名称解析架设软路由器实现多子网连通会安装FirewallD防火墙运行管理；会使用图形工具firewall-config配置防火墙使用命令行工具firewall-cmd配置防火墙会使用firewalld防火墙部署NAT服务,项目7 网络配置与Firewalld防火墙的管理,【职业知识目标】了解：网络配置文件及配置方式;防火墙的概念、功能与分类； NAT服务的概念及分类熟悉:Linux防火墙的历史演进与架构、 firewalld防火墙的组成； NAT服务的工作过程掌握:主机名、以太网卡的设置；软路由器的配置；防火墙的配置；NAT的配置方法【职业能力目标】会配置主机名和网卡、路由；会配置客户端名称解析架设软路由器实现多子网连通会安装FirewallD防火墙运行管理；会使用图形工具firewall-config配置防火墙使用命令行工具firewall-cmd配置防火墙会使用firewalld防火墙部署NAT服务,德雅职业学校校园网由路由器或具有路由功能的交换机连接起来的多个子网构成, 并通过租用电信400MB光纤接入互联网。为了实现校园网内部各子网和校园网与互联网的连通,网络管理员需要从以下三个方面实施网络配置:网络主机(终端节点)的连网配置:对网络中所有计算机或服务器的主机名、网络接口(网卡)的配置(包括IP地址、子网掩码、默认网关、DNS服务器的IP地址等),以便使同一子网中的主机之间能相互连通。网络互连设备的配置:对内部网络中连接各子网的路由器和交换机的配置。其目的是实现不同子网中的主机之间能够相互连通,主要是路由信息的配置。网关设备的配置:是指在校园网与外部互联网的交界处的设备上所实施的配置。主要包括防火墙和NAT服务的配置。通过防火墙规则设置以保护校园内部网络中的主机(主要是服务器);通过NAT服务的配置以允许校园网内所有配置私网IP地址的主机能访问外部互联网,同时,外网的用户也可以访问校园网内的某些服务器。,7.1 项目描述,7.2 项目知识准备,7-2-1 网络配置的主要文件和对象1.网络配置的主要文件及目录,2.网络配置的主要对象网络接口与网络连接网络接口是指网络中的计算机或网络设备与其他设备实现通讯的进出口。这里,主要是指计算机的网络接口即网卡设备。从RHEL7开始引入了一种新的“一致网络设备命名”的方式为网络接口命名,该方式可以根据固件、设备拓扑、设备类型和位置信息分配固定的名字。网络接口的名称的前两个字符为网络类型符号。如:en示以太网(Ethernet)、wl表示无线局域网(wlan)、ww表示无线广域网(wwan);接下来的字符根据设备类型或位置选择,如: o表示内置(onboard)于主板上的集成设备(即集成网卡)及索引号;s表示是插在可以热拔插的插槽上的独立设备及索引号;x表示基于MAC地址命名的设备;p表示PCI插槽的物理位置及编号。网络连接则是为网络接口实施配置的设置集合。在同一个网络接口上,可以有多套不同的设置方案,即一个网络接口可以有多个网络连接,但同一时间只能有一个网络连接处于活动状态。,7-2-1 网络配置的主要文件和对象,7.2.2 认识防火墙,1什么是防火墙 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。在逻辑上,防火墙是一个分离器、限制器和分析器,它能有效地监控内部网和Internet之间的任何活动,保证了内部网络的安全。,2. 防火墙的功能过滤进出网络的数据包,封堵某些禁止的访问行为对进出网络的访问行为作出日志记录,并提供网络使用情况的统计数据,实现对网络存取和访问的监控审计。对网络攻击进行检测和告警。防火墙可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径,并通知防火墙管理员。提供数据包的路由选择和网络地址转换(NAT),从而解决局域网中主机使用内部IP地址也能够顺利访问外部网络的应用需求。,7.2.2 认识防火墙,3. 防火墙的类型1）按采用的技术划分包过滤型防火墙在网络层或传输层对经过的数据包进行筛选。筛选的依据是系统内设置的过滤规则，通过检查数据流中每个数据包的IP源地址、IP目的地址、传输协议(TCP、UDP、ICMP等)、TCP/UDP端口号等因素，来决定是否允许该数据包通过。（包的大小1500字节）代理服务器型防火墙是运行在防火墙之上的一种应用层服务器程序，它通过对每种应用服务编制专门的代理程序，实现监视和控制应用层数据流的作用。,7.2.2 认识防火墙,2）按实现的环境划分软件防火墙：学校、上前台电脑的网吧普通计算机+通用的操作系统（如：linux）硬件（芯片级）防火墙：基于专门的硬件平台和固化在ASIC芯片来执行防火墙的策略和数据加解密，具有速度快、处理能力强、性能高、价格比较昂贵的特点（如： NetScreen、FortiNet ）通常有三个以上网卡接口外网接口：用于连接Internet网；内网接口：用于连接代理服务器或内部网络；DMZ接口（非军事化区）：专用于连接提供服务的服务器群。,Console口,4个10/100/1000口,并发连接数:500000 网络吞吐量:1100Mbps过滤带宽 :250Mbps,CheckPoint UTM-1 570,7.2.2 认识防火墙,7.2.3 Linux防火墙历史演进与架构,1Linux防火墙的历史从1.1内核开始，Linux系统就已经具有包过滤功能了，随着Linux内核版本的不断升级，Linux下的包过滤系统经历了如下4个阶段：在2.0内核中，包过滤的机制是ipfw，管理防火墙的命令工具是ipfwadm。在2.2内核中，包过滤的机制是ipchain，管理防火墙的命令工具是ipchains。在2.4之后的内核中，包过滤的机制是netfilter，防火墙的命令工具是iptables。在3.10之后的内核中,包过滤机制是netfilter,管理防火墙的工具有firewalld、iptables等。firewalld的官网：http:/www.firewalld.org/,2Linux防火墙的架构Linux防火墙系统由以下三层架构的三个子系统组成: 内核层的netfilter： netfilter是集成在内核中的一部分作用是定义、保存相应的过滤规则。提供了一系列的表，每个表由若干个链组成，而每条链可以由一条或若干条规则组成。netfilter是表的容器，表是链的容器，而链又是规则的容器。表链规则的分层结构来组织规则中间层服务程序:是连接内核和用户的与内核直接交互的监控防火墙规则的服务程序或守护进程,它将用户配置的规则交由内核中的netfilter来读取,从而调整防火墙规则。用户层工具:是Linux系统为用户提供的用来定义和配置防火墙规则的工具软件。,7.2.3 Linux防火墙历史演进与架构,表链规则的结构来组织规则,7.2.3 Linux防火墙历史演进与架构,7.2.4 RHEL7中防火墙的构件,RHEL 7中引入了一种与netfilter交互的新的中间层服务程序firewalld(旧版中的iptables、ip6tables和ebtables等仍保留), firewalld是一个可以配置和监控系统防火墙规则的系统服务程序或守护进程,该守护进程具备了对IPv4、IPv6和ebtables等多种规则的监控功能,不过firewalld底层调用的命令仍然是iptables等。firewalld防火墙体系结构如图7-2所示。,7.2.4 RHEL7中防火墙的构件,在RHEL7中用户层的配置firewalld防火墙规则的工具有以下三种:图形工具firewall-config。命令行工具firewall-cmd。直接编辑/etc/firewalld/目录中扩展名为.xml的一系列配置文件。为了简化防火墙管理,firewalld将所有网络流量划分为多个区域。根据数据包源IP地址或传入网络接口等条件,流量将转入相应区域的防火墙规则,firewalld提供的几种预定义的区域及防火墙初始规则见表7-2。,7.2.4 RHEL7中防火墙的构件,数据包要进入到内核必须要通过这些区域(zone)中的一个,不同的区域里预定义的防火墙规则不一样(即信任度或过滤的强度不一样),人们可以根据计算机所处的不同的网络环境和安全需求将网卡连接到相应区域(默认区域是public),并对区域中现有规则进行补充完善,进而制定出更为精细的防火墙规则来满足网络安全的要求。一块物理网卡可以有多个网络连接(逻辑连接),一个网络连接只能连接一个区域,而一个区域可以接收多个网络连接。根据不同的语法来源,firewalld包含的规则有以下三种：标准规则:利用firewalld的基本语法规范所制定或添加的防火墙规则。直接规则:当firewalld的基本语法表达不够用时,通过手动编码的方式直接利用其底层的iptables或ebtables的语法规则所制定的防火墙规则。富规则: firewalld的基本语法未能涵盖的,通过富规则语法制定的复杂防火墙规则。,7.2.4 RHEL7中防火墙的构件,公网地址与私网地址IP地址的分配与管理由ICANN管理机构负责，公网地址必须经申请后才能合法使用。为解决IP地址资源紧缺问题，IANA机构将IP地址划分了一部分出来，将其规定为私网地址，只能在局域网内使用，不同局域网可重复使用。可使用的私网地址有：一个A类地址： 10.0.0.0/816个B类地址： 172.16.0.0/16172.31.0.0/16256个C类地址： 192.168.0.0/16。,任务7.2.5 NAT技术的概念、分类与工作过程,任务7.2.5 NAT技术的概念、分类与工作过程,1NAT服务的概念及分类NAT(Network AddressTranslation,网络地址转换)是一种用另一个地址来替换IP数据包头部中的源地址或目的地址的技术。根据NAT替换数据包头部中地址的不同,NAT分为源地址转换SNAT(Source NAT)(IP伪装)和目的地址转换DNAT(Destination NAT)两类。SNAT技术主要应用于在企事业单位内部使用私网IP地址的所有计算机能够访问互联网上服务器,实现共享上网,并且能隐藏内部网络的IP地址。在RHEL7系统内置的防火墙中的IP伪装功能就是SNAT技术具体实现方式。DNAT技术则能让互联网中用户穿透到企事业的内部网络,访问使用私网IP地址的服务器,即无公网IP的内网服务器发布到互联网(如发布Web网站和FTP站点等)。,任务7.2.5 NAT技术的概念、分类与工作过程,2NAT服务器的工作过程NAT服务器的工作过程如图7-3所示。,7.3 项目实施,任务7-1 主机名的配置在RHEL7中,引入了静态(static)、瞬态(transient)和灵活(pretty)三种主机名。“静态”主机名也称为内核主机名,是系统在启动时从/etc/hostname自动初始化的主机名。“瞬态”主机名是在系统运行时临时分配的主机名,例如,通过DHCP或DNS服务器分配。静态主机名和瞬态主机名都遵从作为互联网域名同样的字符限制规则,“灵活”主机名是允许使用自由形式(可包括特殊/空白字符)的主机名,以展示给终端用户(如Toms Computer)。,选项说明如下：status可同时查看静态、瞬态和灵活三种主机名及其相关的设置信息。-static仅查看静态(永久)主机名。-transient仅查看瞬态(临时)主机名。-pretty仅查看灵活主机名。,任务7-1 主机名的配置,hostnamectl status -static|-transient|-pretty,1. 查看主机名查看主机名的命令一般格式如下:,rootdyzx # hostnamectl status Static hostname: Icon name: computer-vm Chassis: vm Machine ID: ebcaefed3f4d4359a7113ab85ec89629 Boot ID: 76f5e89582ff4e62930bfc2f5ee33aa6 Virtualization: vmware Operating System: Red Hat Enterprise Linux Server 7.3 (Maipo) CPE OS Name: cpe:/o:redhat:enterprise_linux:7.3:GA:server Kernel: Linux 3.10.0-514.el7.x86_64 Architecture: x86-64,查看、修改瞬态(临时)主机名的命令如下:,任务7-1 主机名的配置,hostnamectl -static|-transient|-pretty set-hostname ,2. 修改主机名修改主机名的命令一般格式如下:,rootdyzx # hostnamectl -transient/查看修改前的瞬态主机名rootdyzx # hostnamectl -transient set-hostname server1/修改瞬态主机名rootdyzx # hostnamectl -transient/查看修改后的瞬态主机名server1,查看、修改静态(永久)主机名的命令如下:,root dyzx# hostnamectl -static/查看修改前的静态主机名rootdyzx # hostnamectl -static set-hostname dyzx# hostnamectl -static/查看修改后的静态主机名,当用hostnamectl命令修改静态主机名后,/etc/hostname文件中保存的主机名会被自动更新,而/etc/hosts文件中的主机名却不会自动更新,因此,在每次修改主机名后,一定要手工更新/etc/hosts文件,在其中添加新的主机名与IP地址的映射关系,任务7-1 主机名的配置,rootdyzx # bash/重新开启Shellrootserver2#,2.修改主机名查看在设置新的静态主机名后,会立即修改内核主机名,只是在提示符中“”后面的主机名还未自动刷新,此时,只要执行重新开启Shell登录命令,便可在提示符中显示新的主机名。,rootserver2#vim /etc/hosts127.0.0.1localhost localhost.localdomain localhost4 localhost4.localdomain4:1localhost localhost.localdomain localhost6 ,由上可见,在修改静态/瞬态主机名时,任何特殊字符或空白字符会被移除,并且大写字母会自动转化为小写字母,而灵活主机名则保持了原样,这正是起名为灵活主机名的缘由。,任务7-1 主机名的配置,root server2 # hostnamectl set-hostname Zhang3 s Computerroot server2 # hostnamectl -static/查看静态主机名zhang3scomputerroot server2 # hostnamectl -transient/查看瞬态主机名zhang3scomputer root server2# hostnamectl -pretty/查看灵活主机名Zhang3s Computer,2.修改主机名同时修改静态、瞬态和灵活三种主机名的命令如下:,任何一台计算机要连接到网络,都需要对该机的网络接口进行配置,而对网络接口的配置,实际上就是在网络接口上添加一个或多个网络连接。添加网络连接的方式有两种：添加临时生效的网络连接:该方式适合在调试网络时临时使用。这种方式虽然在设置后能马上生效,但由于是直接修改目前运行内核中的网络参数,并未改动网络连接配置文件中的内容,因此在系统或网络服务重启后会失效。持久生效的网络连接配置:此方式是对存放网络连接参数的配置文件进行修改或设置,适合在长期稳定运行的计算机上使用。其配置工具有vim、nmtui和nmcli等。,任务7-2 网络接口(网卡)的配置,1使用ip命令配置临时生效的网络连接,任务7-2 网络接口(网卡)的配置,1使用ip命令配置临时生效的网络连接【例7-1】在RHEL7-1主机上,为网卡ens33临时添加一个IP地址10.1.80.61/24,并查看其配置结果。在重启网卡后再次查看配置的结果。操作的命令如下:,任务7-2 网络接口(网卡)的配置,rootRHEL7-1 # ip addr show ens33/查看接口ens33当前的IP地址和子网掩码2: ens33: mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:0c:29:3d:b8:92 brd ff:ff:ff:ff:ff:ff inet 10.1.80.61/24 brd 10.1.80.255 scope global ens33 valid_lft forever preferred_lft forever inet6 fe80:1671:5718:ea13:ef42/64 scope link valid_lft forever preferred_lft forever,已启用的活动接口的状态为UP,禁用接口的状态为DOWN。link行指定网卡设备的硬件(MAC)地址。inet行显示IPv4地址和网络前缀(子网掩码)。广播地址、作用域和网卡设备的名称。inet6行显示IPv6信息。,1使用ip命令配置临时生效的网络连接,任务7-2 网络接口(网卡)的配置,rootRHEL7-1 #ip addr add 10.1.80.66/24 dev ens33/在接口ens33上添加临时IP地址rootRHEL7-1 # ip addr show ens332: ens33: mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:0c:29:3d:b8:92 brd ff:ff:ff:ff:ff:ff inet 10.1.80.61/24 brd 10.1.61.255 scope global ens33 valid_lft forever preferred_lft forever inet 10.1.80.66/24 scope global ens33 valid_lft forever preferred_lft forever inet6 fe80:1671:5718:ea13:ef42/64 scope link valid_lft forever preferred_lft foreverrootRHEL7-1 # ip link set dev ens33 downrootRHEL7-1 # ip link set dev ens33 up rootRHEL7-1 # ip addr show/显示所有网络接口的当前IP地址和子网掩码/省略显示结果,2用vim直接编辑持久生效的网卡配置文件【例7-2】在RHEL7-1主机上,通过编辑网络连接配置文件为网卡ens33配置网络参数。其配置方法如下:,任务7-2 网络接口(网卡)的配置,rootRHEL7-1 # vim /etc/sysconfig/network-scripts/ifcfg-ens33TYPE=Ethernet/指定网络类型为以太网模式BOOTPROTO=none/指定启动地址协议的获取方式(dhcp或bootp为自动获取,none/为放弃自动获取,一般用于网卡绑定时,static为静态指定IP DEFROUTE=yes/是否把这个ens38设置为默认路由IPV4_FAILURE_FATAL=no/如果IPv4配置失败,设备是否被禁用IPV6INIT=yes/允许在该网卡上启动IPV6的功能IPV6_AUTOCONF=yes/是否使用IPV6地址的自动配置IPV6_DEFROUTE=yesIPV6_FAILURE_FATAL=noIPV6_ADDR_GEN_MODE=stable-privacyNAME=ens33/网络连接标识名UUID=00decbce-3c43-47f1-82a6-627cbd80188f/网卡全球通用唯一识别码DEVICE=ens33/网卡设备名ONBOOT=yes/设置系统或网络服务在启动时是否启动该接口IPADDR=10.1.80.61/设置IP地址PREFIX=24/设置子网掩码GATEWAY=10.1.80.254/设置网关DNS1=8.8.8.8/设置DNS的IP地址IPV6_PEERDNS=yesIPV6_PEERROUTES=yesHWADDR=00:0C:29:C7:FE:8A/网卡的物理地址(也称网卡号)rootdyzx network-scripts# systemctl restart network.service /重启网络服务,使配置生效,3用nmtui工具修改网卡配置文件【例7-3】使用nmtui工具,为RHEL7-1主机的第二块网卡ens38配置网络参数。其配置步骤如下:步骤1:检查nmtui工具相应的服务是否启用。RHEL7默认已安装,并已开启了相应的服务(NetworkManager.service)。若nmtui工具的安装包已卸载可用以下命令进行安装、启用并检查启用状态。,root RHEL7-1 # yum install NetworkManager-tuiroot RHEL7-1 # systemctl start NetworkManager.serviceroot RHEL7-1 # systemctl status NetworkManager.service,步骤2:在命令行执行以下命令:,root rhel7-1 # nmtui,步骤3:在打开的【NetworkManag】窗口中按图7-4所示完成操作。,任务7-2 网络接口(网卡)的配置,3用nmtui工具修改网卡配置文件,步骤4:系统返回【以太网】窗口,按【Tab】键将焦点移至【】按【Enter】键在返回的【NetworkManag】窗口中使用光标下移键将焦点移至【退出】选项按【Enter】键后系统退出nmtui工具。步骤5:在命令行下,执行重启网络服务命令,使配置生效。,rootRHEL7-1# systemctl restart network.service,任务7-2 网络接口(网卡)的配置,4.使用nmcli命令配置网络连接,任务7-2 网络接口(网卡)的配置,【例7-4】使用nmcli命令完成以下系列操作：查看当前主机中所有网卡设备的状态信息。,任务7-2 网络接口(网卡)的配置,root rhel7-1 #nmcli dev status设备类型状态CONNECTION Ens33ethernet连接的ens33Ens38ethernet已断开-Loloopback未管理-,查看网络连接的信息。,rootRHEL7-1 # nmcli con show/查看所有网络连接名称 UUID类型设备Ens330243e05a-81f0-4671-93e0-55a4be1dcdbe802-3-ethernetens33Ens38e3e26e34-e13c-48d2-bb51-d19caaeb0d15802-3-ethernet-rootRHEL7-1 # nmcli con show ens33/查看指定网络连接的详细信息connection.id: ens33connection.uuid: 0243e05a-81f0-4671-93e0-55a4be1dcdbeconnection.stable-id: -connection.interface-name: ens33connection.type: 802-3-ethernet/省略若干行,任务7-2 网络接口(网卡)的配置,在ens33设备上添加网络连接名为ens33-1的新连接。,rootRHEL7-1 # nmcli con add con-name ens33-1 ifname ens33 type ethernet ip4 10.10.10.1/24 gw4 10.10.10.254成功添加的连接 ens33-1(b926e70b-07c6-4934-b020-9f95a1777f4e)。rootRHEL7-1 # nmcli con show名称UUID类型设备Ens330243e05a-81f0-4671-93e0-55a4be1dcdbe802-3-ethernetens33Ens38e3e26e34-e13c-48d2-bb51-d19caaeb0d15802-3-ethernet-ens33-1b926e70b-07c6-4934-b020-9f95a1777f4e802-3-ethernet-,修改ens33-1网络连接在其中添加首选DNS的IP地址和辅助DNS的IP地址,rootRHEL7-1 # nmcli con modify ens33-1 ipv4.dns 8.8.8.8rootRHEL7-1 # nmcli con modify ens33-1 +ipv4.dns 10.10.1.2,修改ens33网络连接,使得开机时能自动启动,并将IP地址/前缀修改为10.1.80.121/24。,rootRHEL7-1 # nmcli con modi ens33 autoconnect yes ipv4.add 10.1.80.121/24 rootRHEL7-1 # nmcli con up ens33/激活连接使修改后的配置立即生效,删除网络连接ens33-1及其配置文件。,rootRHEL7-1 # nmcli connection delete ens33-1,5.为Linux主机指派域名解析(1)通过/etc/hosts文件实现域名解析【例7-5】添加主机名与IP地址14.215.144.37的对应记录。,rootRHEL7-1 # vim /etc/hosts127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4:1 localhost localhost.localdomain localhost6 localhost6.localdomain6192.168.1.1RHEL7-,任务7-2 网络接口(网卡)的配置,(2)通过/etc/resolv.conf文件指派域名解析服务的地址【例7-6】为当前主机设置如下DNS主机地址: 222.246.129.80、8.8.8.8。,rootRHEL7-1 # vim /etc/resolv.conf#Generated by NetworkManagernameserver 222.246.129.80nameserver 8.8.8.8,5.为Linux主机指派域名解析(3)指定域名解析的顺序/etc/hosts和/etc/resolv.conf文件均可响应域名解析的请求,其响应的先后顺序可在文件/etc/nsswitch.conf中设置,其默认解析顺序为hosts文件、resolv.conf文件中的DNS服务器。,rootRHEL7-1 # grep hosts /etc/nsswitch.conf#hosts: db files nisplus nis dnshosts: files dns /其中的files代表用hosts文件来进行名称解析,任务7-2 网络接口(网卡)的配置,任务7-2 网络接口(网卡)的配置,6测试网络的连通性(1)使用ping命令测试网络的连通性命令一般格式为:,ing 选项 ,常用选项:-c 数字用于设定本命令发出的ICMP消息包的数量,若无此选项,则会无限次发送消息包直到用户按下【Ctrl+C】组合键才终止命令。-s 字节数设置ping命令发出的消息包的大小,默认发送的测试数据大小为56字节;自动添加8字节的ICMP协议头后,显示的是64字节;再添加20字节的IP协议头,则显示的为84字节。最大设置值为65507B。-i 时间间隔量设定前后两次发送ICMP消息包之间的时间间隔,无此选项时,默认时间间隔为1秒。为了保障本机和目标主机的安全,一般不要小于0.2秒。-t设置存活时间TTL(Time To Live)。【例7-7】使用ping命令,向百度网站()发送三个测试数据包。,rootRHEL7-1 # ping -c 3 ,任务7-2 网络接口(网卡)的配置,6测试网络的连通性(2)使用tracepath命令跟踪并显示网络路径命令一般格式为:,tracepath 选项 ,常用选项:-n对沿途各主机节点, 仅仅获取并输出IP地址,不在每个IP 地址的节点设备上通过DNS查找其主机名,以此来加快测试速度。-b对沿途各主机节点同时显示IP地址和主机名。-l 包长度设置初始的数据包的大小。-p端口号设置UDP传输协议的端口(缺省为33434)。【例7-8】跟踪从本主机到目标主机(如)的路由途径。,rootRHEL7-1 # tracepath 1?: LOCALHOST pmtu 1500 1: no reply 2: 10.0.1.2 2.957ms /省略若干行 Resume: pmtu 1500 hops 10 back 10,本任务针对图7-5中(具有3个子网)各主机及其网卡(网卡1网卡6)进行配置,使得主机PC1与主机PC2之间的链路能双向连通。,其配置步骤如下:步骤1:按任务7-2中介绍的方法,依据图7-5标示的IP地址、子网掩码、默认网关等参数配置各网卡。,任务7-3 架设软路由器实现多子网连通,步骤2:在RHEL7-1和RHEL7-2两台主机上开启IP转发功能,以使各主机中的网卡不仅能收发数据包还能转发数据包。在RHEL7-1主机上开启IP转发功能的过程如下(RHEL7-2上的操作方式相同):,rootRHEL7-1 # vim /usr/lib/sysctl.d/00-system.conf/省略若干行net.ipv4.ip_forward=1/添加此行或将此行中的“0”改为“1”:wq/保存退出rootRHEL7-1 # sysctl -p /usr/lib/sysctl.d/00-system.conf/使修改生效(系统会显示配置参数),任务7-3 架设软路由器实现多子网连通,步骤3:为了实现子网1与子网3之间永久生效的双向连通,需要在路由器RHEL7-1的ens38网卡上和RHEL7-2的ens33网卡上分别添加永久生效的静态路由记录:,rootRHEL7-1 # vim /etc/sysconfig/network-scripts/route-ens38192.168.2.0/24 via 192.168.1.2 dev ens38/添加从子网1到子网3的路由rootRHEL7-1 # systemctl restart network/重启网络服务使配置生效rootRHEL7-2 # vim /etc/sysconfig/network-scripts/route-ens3310.1.80.0/24 via 192.168.1.1 dev ens33/添加从子网3到子网1的路由rootRHEL7-2 # systemctl restart network/重启网络服务使配置生效rootRHEL7-2 # ip route show/查看RHEL7-2上的路由表信息10.1.80.0/24 via 192.168.1.2 dev ens33 proto static metric 100 192.168.1.0/24 dev ens33 proto kernel scope link src 192.168.1.2 metric 100 192.168.2.0/24 dev ens38 proto kernel scope link src 192.168.2.1 metric 100,步骤4:在PC1上添加永久生效的能到达子网2(192.168.1.0/24)和子网3(192.168.2.0/24)的静态路由,在PC2上添加永久生效的能到达其他子网的默认路由,如图7-6所示。,任务7-3 架设软路由器实现多子网连通,步骤5:验证连通性。在PC1和PC2主机上关闭各自的防火墙使用ping命令ping对方的IP地址来测试连通性.如图7-7所示使用tracert命令跟踪并显示所经过的路径,如图7-8所示。,任务7-3 架设软路由器实现多子网连通,1安装firewalld软件包,任务7-4 firewalld防火墙的安装与运行管理,rootRHEL7-1 # rpm -qa |grep firewallrootRHEL7-1 # yum -y install firewalld firewall-config,2firewall服务的运行管理,ss -nutap | grep firewalld,(1)firewalld防火墙的状态查看、启动、停止、重启、重载服务的命令格式为:,systemctl status | start| stop|restart|reload firewalld.service,(2)开机自动启动或停止firewalld服务的命令格式为:,systemctl enable |disable firewalld.service,(3)检查firewalld进程,ps -ef | grep firewalld,(4)查看firewalld运行的端口,1.认识firewall-config的工作界面,任务7-5 使用图形工具firewall-config配置防火墙,1.认识firewall-config的工作界面,任务7-5 使用图形工具firewall-config配置防火墙,2.firewall-config的使用【例7-9】允许其他主机访问本机的http服务,仅当前生效。,任务7-5 使用图形工具firewall-config配置防火墙,2.firewall-config的使用【例7-10】开放本机的8080-8088端口且重启后依然生效。,任务7-5 使用图形工具firewall-config配置防火墙,2.firewall-config的使用【例7-11】过滤 “echo-reply”的ICMP协议报文数据包,仅当前生效。,任务7-5 使用图形工具firewall-config配置防火墙,2.firewall-config的使用【例7-12】仅允许192.168.1.58主机访问本机(192.168.1.1)的1520端口,当前生效。,任务7-5 使用图形工具firewall-config配置防火墙,2.firewall-config的使用【例7-13】将本机的网络接口ens38添加到dmz区域,仅运行时生效。,任务7-5 使用图形工具firewall-config配置防火墙,firewall-c