网关环境搭建手册.doc

赛猊腾龙网关环境搭建手册作者李雪松版本2.0日期2016.12.5一、安装前准备 31、物理环境 3二、环境准备 31、系统安装 32、硬件网络搭建 153、系统安装后初始化设置与环境检查 17禁用图形界面 17IP的设置 17确认DNS 20时间/时区设置 21三、安装网关 22四、异常处理 241、系统安装时，开机卡在Pressthekeytobegintheinstallationprocess界面 242、网关安装时出现“warning：xxxxxx：NOKEY”提示 273、网关安装完毕后无法ping通外部网络 274、重启后resolve.conf内容被清空 285、rpm包安装/卸载失败 29附件 291、通用浏览器导入证书方式 29一、安装前准备1、物理环境服务器：华硕RS700-X7/PS4（最少双网口）一台显示器：任意型号一台测试机器：任意windows/linux系统一台网线：普通若干Centos7安装U盘一个2、软件环境网关安装包（3.0版本及以上）CentOS-7-x86_64-Everything-1511.ISO备注：网关不支持离线安装。二、环境准备1、系统安装1.1、将显示器与服务器连接后打开电源1.2、在启动画面出现时长按DEL键（不同的机器有不同的按键，视具体情况而定），听到滴的一声后松手。由于磁盘阵列的原因，系统会重复启动画面多次，这是正常现象。在多次循环后系统进入BIOS界面。1.3、在BIOS中，进入BOOT选项中，设置系统启动顺序为U盘先启动，保存配置后退出。1.4、步骤3退出后会继续启动，当出现Centos的安装界面后选择第一项InstallCentos7.1.5、选择安装语言后继续1.6、在弹出的界面中选择软件选择1.7、选择最小安装1.8、选择安装位置,手动分区删除原有分区信息：添加新分区：建议分区大小：/boot1G/bootbios1G/swap内存大小的2倍/home任意大小/越大越好单击完成，如提示警告等，再次单击完成1.9、点击开始安装，分别设置root密码和用户，安装完成后重启即可。1.10、重启后可能有两种情况，先说第一种，单击“LICENSEINFOEMATION”：1.11、选中“Iacceptthelicenseagreement”后敲击“Done”。1.12、单击“FinishConfiguration”。161.13、Kdump建议开启。1.14、选择“No.Iprefertoregisteratlatertime.”1.15、使用root用户登陆，单击未列出，输入用户名root,密码为自己设置的密码。注意：第9步重启后，也有可能首先会进到如下界面：这时候输入1进入许可证信息，再输入2我接受许可协议输入c继续此时会出现licenseinformation(licenseaccepted),然后输入c继续，就可以进入系统了。2、硬件网络搭建网关有两种安装模式：代理模式代理模式中，网关的实际作用是一个代理服务器。在被监控网络中设置代理到网关服务器的ip上，通过网关上网。其他不设置代理的网络应用不受监控。透明模式透明模式中，网关被监控网络是串行的，即与传统网关相同，位于网络出口出。被监控网络通过网关才可以上网。透明模式拓扑图网关安装有一些注意事项：1、安装网关的机器需要最少需要两个网卡2、网关安装时需要联网安装，这里的联网并非是指可以连接到公网，获取公网IP，而是说能够获取到IP，并与同网段内其他机器正常通信即可。注：这外部网络仅仅是相对于被监控网络来说的，是逻辑上的概念，并非一定要是两个物理上的内外网。按照上述拓扑图所示，透明网关与代理网关的硬件环境稍有不同，接下来开始分别搭建这两种环境。透明网关：首先将网关机器安装好系统后，首先将其与外部网络连接。确认该网卡获取到ip后即可。然后将网关的机器上的另一个网口与被监控网络的出口处连接。确认网卡插口处指示灯亮即可。代理网关：将网关机器安装好系统后，首先将其与外部网络连接。确认该网卡获取到ip后即可。被监控网络原网络环境无需改动，等网关安装完毕后在被监控机器上导入网关证书即可。证书导入方式参见附件一：通用浏览器导入证书方式。3、系统安装后初始化设置与环境检查禁用图形界面网关理论上是可以运行在图形界面开启的状态下，但为了追求性能与减少干扰，关闭图形界面是需要的。改名备份：mv/etc/systemd/system/default.target/etc/systemd/system/default.target.bak重新软连接文本界面为启动默认值界面：ln-sf/lib/systemd/system/multi-user.target/etc/systemd/system/default.target重启机器：systemctlreboot禁用NetworkManager服务停止服务：systemctlstopNetworkManager禁用服务：systemctldisableNetworkManagerIP的设置 首先获取机器上的网卡列表，使用命令”ipa”：在搭建好前面的硬件网络环境后最终应该获取到的网卡状态和上图应该类似（前面框的是网卡名，后面是状态）：有两个网卡的状态如图所示是“UP”的，同时，一个网卡有IP，另外一个没有IP。这是由于与外网相连的网卡可以获取到IP，而与内网（被监控网络）相连的网卡，是无法获取到IP的。问题1：网卡的状态是DOWN，并非是“UP”原因1：网线没有插好，或者网线坏了，请检查物理环境，包括网线，网卡等。原因2：网卡被关闭了。使用“ifconfig网卡名up”命令启用网卡，有时候反应比较慢，多敲几次，稍等一下就可以看到网卡状态up了。问题2：与外网连接的网卡没有获取到ip原因1：原来的物理环境有问题，就是获取不到ip。换一台笔记本或者台式机连接到外网接口，如果获取不到ip则说明物理环境有问题，需要排查。原因2：网卡设置不正确。使用命令“cat/etc/sysconfig/network-scripts/ifcfg-网卡名”查看网卡设置：注意其中BOOTPROTO是否为dhcp，ONBOOT是否为yes。如果不是，需要修改为动态获取ip,如果有IPADDR和NETMASK，使用“#”将其注释。修改完毕后，保存退出，使用命令“systemctlrestartnetwork”重启网络，如果报错，检查是否拼写错误。没有拼写错误且重启网络失败，直接重启电脑。原因3：网卡需要设置静态IP地址。使用命令“cat/etc/sysconfig/network-scripts/ifcfg-网卡名”查看网卡设置，将BOOTPROTO的值修改为static。如果没有以下四行，将其添加到配置文件IPADDR=xxx.xxx.xxx.xxx#需要固定的IP地址NETMASK=xxx.xxx.xxxx.xxx#掩码值DNS1=xxx.xxx.xxx.xxx#dnsGATEWAY=xxx.xxx.xxx.xxx#网关地址修改完毕后应当如下：修改完毕后，保存退出，使用命令“systemctlrestartnetwork”重启网络，如果报错，检查是否拼写错误。没有拼写错误且重启网络失败，直接重启电脑。确认DNSLinux下设置DNS的位置主要是，1.网卡设置配置文件里面DNS服务器地址设置文件位置：/etc/sysconfig/network-scripts/ifcfg-网卡名2.系统默认DNS服务器地址设置文件位置：/etc/resolv.conf3.hosts文件指定,通过设置主机表地址进行特定主机的解析。文件位置：/etc/hosts生效顺序是：hosts文件网卡配置文件DNS服务地址/etc/resolv.conf一般来说，hosts文件不会更改，使用默认的hosts文件即可。删除网卡配置文件中的DNS选项，使用系统中的默认DNS。使用命令：systemctlstopNetworkManager.service和systemctldisableNetworkManager.service关闭并禁用NetworkManager。时间/时区设置使用命令date-R来查看当前时区：可以看到处于东八区(+8)。设置时区：/user/share/zoneinfo目录下存着全世界的时区文件，需要使用哪个就用这个文件替换/etc/localtime就可以了：例如：在设置中国时区使用亚洲/上海（+8）cp/usr/share/zoneinfo/Asia/Shanghai/etc/localtime注意如果有时候，执行了上面命令后，使用date-R发现时区设置没有生效，有可能是因为你在profile或.bash_profile里面设置了TZ，包含类似如下命令：TZ=Asia/Shanghai;exportTZ其优先级高于/etc/localtime文件，所以需要清除这一句。设置日期时间：Date-s”年月日时分秒”date-s2016120118:30:50就可以设置日期了，然后通过hwclock-w从当前系统时间设置硬件时钟，同步BIOS时钟，强制将系统时间写入CMOS，使之永久生效，避免系统重启后恢复成原时间。三、安装网关进入系统中，解压网关的安装包。进入解压后的目录中执行shsetup.sh后，会预装一些依赖环境。随后，输入server的ip(即本机ip)和在server上配置好的key接下来就选择安装网关的模式了：1、bridge：透明代理模式2、Nat：显性代理模式如果在这里选择2那么接下来就结束安装，选择是否重启。接下来重点讲述透明模式。透明模式需要设置一个网桥，网桥的作用是将两个网卡连接起来，将一个网卡的数据传到另一块网卡上，逻辑上来说就相当于把两个网卡的网线连接起来，网卡可以当作不存在，是透明的。首先输入网桥的名称：然后选择连接着被监控网络的那个网卡：接下来选择连接着外部网络的那个网卡：为网桥设置固定ip，子网掩码，和网关：选择是否重启即可。注：网桥的ip设置和普通网卡设置静态ip相同，网桥设置完成后原来的两个网卡的ip就会消失。可以通过网桥的ip来远程访问该机器。四、异常处理1、系统安装时，开机卡在Pressthekeytobegintheinstallationprocess界面这是由于安装时系统找不到U盘导致的，解决方案如下：在开机进入下图中安装界面的时候，按TAB键。会在下方出现一行命令，如下图：网上很多文章都说这一步改成“vmlinuzinitrd=initrd.imginst.stage2=hd:/dev/sdbquiet”，然后失败了会出现下图提示在#后面输入：cd/dev，然后会看到如下界面，找到自己U盘的盘符：然后关机重启，重新进入安装界面，按TAB键，将出现的命令中”inst.stage2=hd:/dev/”后面的数据改为U盘的盘符即下面黄色部分，回车即可：vmlinuzinitrd=initrd.imginst.stage2=hd:/dev/sdb4quiet如果不知道如何看自己U盘盘符的话，还有另外一个办法：将TAB出来的文字修改为：vmlinuzinitrd=initrd.imglinuxddquiet，回车 可以看到上图中label为Centos7的即为U盘，其盘符为sdc4。重复之前的步骤，开机后进入安装界面时，按TAB键，将出现的命令中将出现的命令中”inst.stage2=hd:/dev/”后面的数据改为U盘的盘符，回车即可。2、网关安装时出现“warning：xxxxxx：NOKEY”提示这是由于yum安装了旧版本的GPGkeys造成的，解决办法就是rpm-import/etc/pki/rpm-gpg/RPM*3、网关安装完毕后无法ping通外部网络由于DNS没有配置导致的无法连通网络。修改/etc/resolv.conf文件，添加一行：nameserverxxx.xxx.xxx.xxxNameserver后面填写一个dns服务器地址，目前常用的一些dns地址如下：阿里DNS223.5.5.5223.6.6.6百度DNS180.76.76.76谷歌DNS8.8.8.8OpenDNS208.67.220.220如果公司内部有自己的DNS服务器，也可以使用公司自己的DNS服务，修改完毕后，大致内容如下：修改完毕后使用命令“systemctlrestartnetwork”重启网络。4、重启后resolve.conf内容被清空网络或主机重启时，会自动重新生成resolv.conf文件，要想旧的文件不被覆盖的话，方法一：运行如下命令：sudochattr+i/etc/resolv.conf即可。方法二：vim/etc/sysconfig/network-scripts/ifcfg-网卡名,直接在这里面设置DNS,格式就是DNS1=X.X.X.XDNS2=X.X.X.X。其优先级高于resolve.conf.5、rpm包安装/卸载失败由于安装/卸载时，rpm数据库状态与实际状态不符合，或者误删了某些目录导致。先清除rpm数据库里的记录：rpm-erpm包名-justdb然后删除安装目录下的文件即可。以WEB-DLP为例：rpm-erpmWEB-DLP-justdbrm-rf/opt/synitalent/ssgw附件1、通用浏览器导入证书方式一、IE、chrome、edge使用的是操作系统的证书（系统）。firefox使用它自已的证书系统。1、IE、chrome、edge操作方法a.首