Linux网络操作系统项目式教程（统信UOS）（微课版） 课件 项目6 网络管理

项目6网络管理Linux网络服务器配置与管理（统信UOS版）任务11网络配置配置网络2常用网络命令1网络配置1网络配置－准备工作网络配置设置虚拟机网络连接方式为NAT设置NAT虚拟网卡网络地址

1网络配置－图形界面网络配置1网络配置－网卡配置文件网络配置不同的网卡对应不同的配置文件修改之后重启网络服务[root@uosv20~]#cd/etc/sysconfig/network-scripts/[root@uosv20network-scripts]#vimifcfg-ens33BOOTPROTO=noneONBOOT=yesIPADDR=00PREFIX=24GATEWAY=DNS1=[root@uosv20network-scripts]#systemctlrestartnetwork //重启网络服务1网络配置－nmtui网络配置终端窗口执行nmtui命令1网络配置－nmcli网络配置终端窗口执行nmcli命令[root@uosv20~]#nmcliconnectionshowens33 //查看指定网络连接connection.id: ens33ipv4.method: manualipv4.dns: ipv4.addresses: 00/24ipv4.gateway: [root@uosv20~]#nmcliconnectionmodifyens33\

//换行继续输入>ipv4.addresses00/24\>ipv4.dns54[root@uosv20~]#nmcliconnectionupens332常用网络命令2最常用的测试网络连通性的工具之一向目标主机连续发送ICMP分组，记录目标主机是否正常响应及响应时间常用网络命令－ping常用网络命令[zys@uosv20~]$pingPING(70)56(84)bytesofdata.64bytesfrom70(70):icmp_seq=1ttl=128time=30.2ms64bytesfrom70(70):icmp_seq=2ttl=128time=28.0ms^C <==按【Ctrl+C】组合键手动终止ping命令[zys@uosv20~]$ping-c3

//只发送3个分组PING(99)56(84)bytesofdata.64bytesfrom99(99):icmp_seq=1ttl=128time=11.9ms64bytesfrom99(99):icmp_seq=2ttl=128time=13.5ms64bytesfrom99(99):icmp_seq=3ttl=128time=12.6ms2向目标主机发送特殊的分组，并跟踪分组从源主机到目标主机的传输路径Windows操作系统中对应的命令是tracert常用网络命令－traceroute常用网络命令[zys@uosv20~]$traceroutetracerouteto(5),30hopsmax,60bytepackets1()5.376ms5.288ms5.197ms218(18)4.955ms5.263ms5.632ms[zys@uosv20~]$traceroutetracerouteto(5),30hopsmax,60bytepackets1()5.376ms5.288ms5.197ms218(18)4.955ms5.263ms5.632ms2一个综合的网络状态查询工具，功能较多查看系统开放的端口、服务及路由表常用网络命令－netstat常用网络命令[zys@uosv20~]$netstat-antActiveInternetconnections(serversandestablished)ProtoRecv-Q Send-Q LocalAddress ForeignAddress Statetcp 0 0 :22345 :* LISTENtcp 0 0 :53 :* LISTEN[zys@uosv20～]$netstat-rKernelIProutingtableDestination Gateway Genmask Flags MSS WindowirttIfacedefault UG0 00ens33 U000ens33 U000virbr02查看或配置Linux中的网络设备常用网络命令－ifconfig常用网络命令[zys@uosv20~]$

ifconfigens33 //查看ens33网络接口的相关信息ens33:flags=4163<UP,BROADCAST,RUNNING,MULTICAST>mtu1500inet00netmaskbroadcast55inet6fe80::2c73:9d:1146:8f8bprefixlen64scopeid0x20<link>ether00:0c:29:5d:e9:02txqueuelen1000(Ethernet)2验证DNS服务的正向解析和反向解析常用网络命令－nslookup常用网络命令[zys@uosv20~]#nslookupServer: <==DNS服务器Address: #53Non-authoritativeanswer: <==非权威应答Name: Address:70 <==域名对应的IP地址2Linux中最常使用的命令行下载工具支持多种协议，支持单个或批量文件下载支持断点续传功能常用网络命令－wget常用网络命令[zys@uosv20~]$wget/GB/437131/index.html[zys@uosv20~]$

ls-lindex.html-rw-rw-r--. 1 zys zys 10755 3月2621:03 index.html任务2配置防火墙firewalld基本概念12firewalld安装与启停3firewalld基本配置1firewalld基本概念1firewalld基本概念支持动态更新防火墙规则不重启即可创建、修改和删除规则使用区域和服务来简化防火墙配置firewalld概述1firewalld基本概念一组预定义的规则，防火墙策略集合（或策略模板）把网络分配到不同的区域中，并为网络及其关联的网络接口或流量源指定信任级别在区域上定义规则并应用于进入该区域的网络流量firewalld－区域1firewalld基本概念服务是端口和协议的组合表示为允许外部流量访问某种服务需要配置的所有规则的集合放行服务即相当于打开与该服务相关的端口和协议、启用数据包转发等功能将多步操作集成到一条规则中，减少配置工作量firewalld－服务2firewalld安装与启停2firewalld安装与启停功能：查看系统中当前有哪些进程，选项非常多只能显示系统进程的静态信息firewalld安装与启停[root@uosv20~]#yuminstallfirewalld-y //默认已安装[root@uosv20~]#yuminstallfirewall-config-y//默认已安装systemctlstart|stop|restart|status|enablefirewalld3firewalld基本配置3firewalld基本配置firewall-config图形化界面firewall-cmd命令firewall-offline-cmd命令firewalld基本配置－三种配置方式3firewalld基本配置运行时配置：firewalld处于运行状态时生效的配置永久配置：firewalld重载或重启时加载的配置使用--permanent选项使更改在下次启动时仍然生效使用--reload选项重载永久配置并覆盖运行时配置firewalld基本配置－两种配置模式[root@uosv20~]#firewall-cmd--add-service=http

//只修改运行时配置[root@uosv20~]#firewall-cmd--permanent--add-service=http //修改永久配置[root@uosv20~]#firewall-cmd--reload//重载永久配置[root@uosv20~]#firewall-cmd--add-service=http //只修改运行时配置[root@uosv20~]#firewall-cmd--runtime-to-permanent //提交到永久配置中3firewalld基本配置firewalld基本配置－查看信息[root@uosv20~]#firewall-cmd--state

//查看运行状态running[root@uosv20~]#firewall-cmd--list-all

//查看默认区域配置public(active)

interfaces:ens33

services:sshdhcpv6-clientsambadnshttpftpamanda-k5-client[root@uosv20~]#firewall-cmd--list-all--zone=work

//指定区域名worktarget:defaultservices:sshdhcpv6-client[root@uosv20~]#firewall-cmd--list-services //只查看服务信息sshdhcpv6-client[root@uosv20~]#firewall-cmd--list-services--zone=public //组合使用sshdhcpv6-clienthttp3firewalld基本配置firewalld基本配置－基于服务的流量管理[root@uosv20~]#firewall-cmd--list-services//查看当前允许服务列表sshdhcpv6-client[root@uosv20~]#firewall-cmd--permanent--add-service=http //添加预定义服务[root@uosv20~]#firewall-cmd--reload //重载防火墙的永久配置[root@uosv20~]#firewall-cmd--list-servicessshdhcpv6-clienthttp[root@uosv20~]#firewall-cmd--add-port=80/tcp

//放行tcp80端口[root@uosv20~]#firewall-cmd--list-ports80/tcp[root@uosv20~]#firewall-cmd--remove-port=80/tcp

//移除tcp80端口添加或移除预定义服务添加或移除服务端口3firewalld基本配置firewalld基本配置－基于区域的流量管理[root@uosv20~]#firewall-cmd--get-zonesblockdmzdropexternalhomeinternalpublictrustedwork[root@uosv20~]#firewall-cmd--list-all-zonesblocktarget:%%REJECT%%icmp-block-inversion:no[root@uosv20~]#firewall-cmd--list-all--zone=homehometarget:defaulticmp-block-inversion:no查看当前可用区域查看指定区域的详细信息3firewalld基本配置firewalld基本配置－基于区域的流量管理[root@uosv20~]#firewall-cmd--get-default-zone //查看当前默认区域public[root@uosv20~]#firewall-cmd--set-default-zonework //修改默认区域[root@uosv20~]#firewall-cmd--get-default-zone //再次查看当前默认区域

work[root@uosv20~]#firewall-cmd--get-active-zones //查看活动区域的网络接口publicinterfaces:ens33[root@uosv20~]#firewall-cmd--zone=work--change-interface=ens33[root@uosv20~]#vim/etc/sysconfig/network-scripts/ifcfg-ens33ZONE=work修改默认区域关联区域和网络接口3firewalld基本配置firewalld基本配置－基于区域的流量管理[root@uosv20zones]#firewall-cmd--permanent--zone=work--set-target=ACCEPT[root@uosv20zones]#firewall-cmd--reload[root@uosv20zones]#firewall-cmd--zone=work--list-allworktarget:ACCEPTicmp-block-inversion:no当数据包与区域的所有规则都不匹配时，可以使用区域的默认规则处理数据包包括接受（ACCEPT）、拒绝（REJECT）和丢弃（DROP）3firewalld基本配置firewalld基本配置－基于区域的流量管理[root@uosv20~]#firewall-cmd--zone=work--add-source=/24[root@uosv20~]#firewall-cmd--runtime-to-permanent[root@uosv20~]#firewall-cmd--zone=work--remove-source=/24[root@uosv20~]#firewall-cmd--zone=work--add-source-port=3721/tcp[root@uosv20~]#firewall-cmd--zone=work--remove-source-port=3721/tcp[root@uosv20~]#firewall-cmd--zone=internal--add-protocol=icmp[root@uosv20~]#firewall-cmd--zone=internal--remove-protocol=icmp添加和删除流量源添加和删除源端口和协议任务3配置远程桌面VNC远程桌面12OpenSSH服务1VNC远程桌面1VNC远程桌面VNC分为两部分：VNC服务器和VNC客户端（1）用户从VNC客户端发起远程连接请求（2）VNC服务器要求VNC客户端提供远程连接密码（3）VNC客户端输入密码，VNC服务器验证密码及VNC客户端的访问权限（4）通过验证后，VNC客户端请求VNC服务器显示远程桌面环境（5）VNC服务器利用VNC通信协议把桌面环境传送至VNC客户端，并且允许VNC客户端控制VNC服务器的桌面环境及输入设备VNC工作流程1VNC远程桌面VNC服务器为每个VNC客户端分配一个桌面号，编号从1开始VNC服务器使用的TCP端口号从5900开始，实际端口为5900+桌面号配置VNC远程桌面－服务端[root@uosv20~]#vncserver:1Youwillrequireapasswordtoaccessyourdesktops.Password:Verify:Wouldyouliketoenteraview-onlypassword(y/n)?n <==输入nAview-onlypasswordisnotusedNewuosv20:1(zys)'desktopisuosv20:1[zys@uosv20~]$netstat-an|grep5901tcp 0 0 :5901 :* LISTENtcp6 0 0 :::5901 :::* LISTEN1VNC远程桌面安装VNC客户端软件，如RealVNC输入VNC服务器IP地址及桌面号、VNC密码配置VNC远程桌面－客户端2OpenSSH服务2OpenSSH服务SSH（SecureShell，安全外壳）是为提高网络服务的安全性而设计可以对数据进行加密传输，有效防止远程管理过程中的信息泄露问题使用SSH传输的数据是经过压缩的，可以提高数据的传输速度SSH服务由客户端和服务器两部分组成，使用两种级别的安全验证第1种级别是基于口令的安全验证，SSH客户端只要知道服务器的账号和密码就可以登录到远程服务器