Linux网络操作系统项目化教程（openEuler）课件 项目8-14 网络管理-部署基础电子邮件系统

项目8网络管理《Linux网络操作系统项目化教程（openEuler）》学习目标/Target了解计算机网络，能够说出什么是网络。了解网络协议及体系结构，能够说出常用的网络体系结构及协议。熟悉IP地址、端口号及子网掩码，能够说出IP地址、端口与子网掩码的作用。知识目标学习目标/Target掌握主机的配置方法，能够熟练使用命令更改主机名称。掌握网卡配置方法，能够熟练使用命令配置动态IP地址与静态IP地址。掌握ping命令，能够熟练使用ping命令测试主机的连通性。掌握ip命令，能够熟练使用ip命令查看主机IP地址及网卡信息。了解nslookup命令，能够使用nslookup命令查看主机域名。了解常用网络通信命令，能够使用write、wall、mesg命令向用户发送消息。掌握nmcli命令的使用，能够使用nmcli命令完成双网卡的绑定。技能目标学习目标/Target通过学习网络协议与体系结构，培养宏观视角和分层解决复杂问题的能力。通过学习网络数据传输流程，培养细致入微的态度与注重细节的意识。通过实践主机网卡配置，增强综合思考能力，理解软硬件协同工作的重要性，提升跨学科项目的整合能力。素养目标目录/Contents8.18.2计算机网络基础Linux操作系统基本网络配置8.3常用的网络管理命令8.4常用的网络通信命令项目导入01项目导入A公司近期成功上线一个课程学习平台，凭借丰富的课程资源与优质的教学内容，吸引了大量访问流量。小智所在的技术支持部门肩负着保障网站稳定运行的重任。近日，技术支持部门发现单网卡的服务器网络配置已难以承受如此庞大的流量访问，频繁出现网络延迟甚至短暂中断的情况，严重影响用户体验，急需提升服务器的网络承载能力，以确保网站流量传输的稳定性和效率。上级领导决定通过为服务器增设网卡来实现流量分流，双网卡绑定不仅能够有效增加网络带宽，实现流量的合理分流，还能提供冗余备份功能，大大提升服务器网络的可靠性，保障网站在高流量访问下的稳定运行。为此，知识扎实、经验丰富的领导对小组同事进行了一场网络知识培训，尤其对双网卡绑定技术的原理与应用进行了深入讲解。在此期间，小智也积极响应参与，为服务器双网卡绑定配置工作做好充分准备。知识准备02在学习Linux操作系统的网络管理之前，需要了解一些基础的网络知识，如计算机网络、网络协议与体系结构、网络数据传输流程、IP地址与端口号、子网掩码等。本节将对这些计算机网络基础知识进行讲解。8.1计算机网络基础了解计算机网络，能够说出什么是网络。学习目标8.1.1计算机网络基础计算机网络是继电信网络、有线电视网络出现的世界级大型网络。在计算机领域，网络由若干个节点和连接这些节点的链路组成，网络中的节点可以是计算机、交换机、路由器等。一个简单的计算机网络模型如图。8.1.1计算机网络基础计算机网络之间可以相互连接，组成更大的网络，这种网络被称为互联网。互联网模型如图。8.1.1计算机网络基础了解网络协议及体系结构，能够说出常用的网络体系结构及协议。学习目标8.1.2网络协议与体系结构网络通信是一个复杂的过程，为了保证通信能顺利进行且目标主机能获取准确、有效的数据，数据的封装必须遵循一系列事先约定好的规则，数据的传递与接收也要符合既定的流程。8.1.2网络协议与体系结构1.网络协议人们把事先约定好的、为交换网络中的数据而建立的规则称为协议（Protocol）。协议由如下几个要素组成。8.1.2网络协议与体系结构1数据与控制信息的结构或格式。2需要发出何种控制信息、完成何种动作以及做出何种响应。3事件实现顺序的详细说明。语法：语义：同步：复杂通信过程中的各项操作可能会出现各种各样的结果，若只为其制定一组协议，这组协议势必会非常复杂。因此，人们基于计算通信的流程，设计了包含多个层次的网络体系结构，意图将一次通信过程划分为多个阶段，为每个阶段的操作制定不同的规则。较为常见的体系结构有OSI模型和TCP/IP模型。8.1.2网络协议与体系结构1.网络协议1.网络协议OSI体系结构侧重于功能的层次划分，而TCP/IP体系结构侧重于网络设备间的数据传递，它比OSI更为精简，也更加灵活。由于网络体系结构中使用协议是相同的，因此，虽然OSI体系结构与TCP/IP体系结构划分的层次不同，但它们之间存在着对应关系，其对应关系及各层常用的协议如图。8.1.2网络协议与体系结构除了OSI体系结构和TCP/IP体系结构之外，人们还提出了一种5层网络体系结构，这种体系结构由上而下依次为应用层、传输层、网络层、数据链路层和物理层，各层的功能分别如下所示。应用层传输层网络层数据链路层物理层2.

5层网络体系结构8.1.2网络协议与体系结构为应用进程提供服务。该层的协议定义应用程序使用互联网的规则。应用层8.1.2网络协议与体系结构2.

5层网络体系结构为应用进程提供连接服务，实现两端进程的会话。该层的协议定义进程的通信规则。8.1.2网络协议与体系结构2.

5层网络体系结构传输层为分组交换网上的不同主机提供通信服务。该层的协议定义应用程序封装数据的格式，以及数据包的转发机制。8.1.2网络协议与体系结构2.

5层网络体系结构网络层将从网络层获取的IP数据报组装成帧，在网络节点之间以帧为单位传输数据。该层的协议定义了帧的格式。8.1.2网络协议与体系结构2.

5层网络体系结构数据链路层以bit为单位传输数据，对应网络中的硬件设备。该层对网络设备的特性进行规范，以保证物理设备能互相连接并正常使用。8.1.2网络协议与体系结构2.

5层网络体系结构物理层了解数据传输流程，能够描述数据传输过程。学习目标8.1.3数据传输流程1.网络协议数据由应用程序产生，若应用程序A要发送一组数据给应用程序B，则数据传输过程如图。8.1.3数据传输流程熟悉IP地址、端口号及子网掩码，能够说出IP地址、端口的作用。学习目标8.1.4IP地址与端口号进行网络通信的对象实质上是网络中的进程，但一个网络中可能有许多台主机，每台主机中的进程也不唯一，那么在数据传输过程中，就需要确定将数据发送给哪台主机的哪个进程。在计算机网络中，人们常用IP地址标识主机，使用端口号标识网络中的进程。下面对IP地址和端口号进行介绍。1.IP地址8.1.4IP地址与端口号IPv4地址共分为5类，分别为A类IP地址、B类IP地址、C类IP地址、D类IP地址和E类IP地址。其中，A、B、C类IP地址在逻辑上又分为两个部分，第一部分为网络号，用于标识网络；第二部分为主机号，用于标识网络中的主机。例如，IP地址4，前3个字段192.168.43标识的网络为，最后一个字段34标识网络中的主机。不同网络中多台主机的IP地址如图。1.IP地址8.1.4IP地址与端口号由“不同网络中多台主机的IP地址”可知，处于同一网络中的主机由最后一个字段区分，IP地址都是C类IP地址，IP地址根据取值范围分类，具体如图。1.IP地址8.1.4IP地址与端口号网络号相同的IP地址处于同一网段，不同类别的IP地址其取值范围和可用IP地址数量不同，下面分别对各类IP地址的取值范围及可用IP地址数量进行介绍。1A类IP地址：A类IP地址由1个字节网络号和3个字节主机号组成，网络号的最高位必须是0。2B类IP地址由2个字节的网络号和2个字节的主机号组成，网络号的最高两位必须是10。3C类IP地址由3个字节的网络号和1个字节的主机号组成，网络号的最高3位必须是110。4D类IP地址不分网络号和主机号，它固定以1110开头。1.IP地址8.1.4IP地址与端口号B类IP地址：C类IP地址：D类IP地址：5E类IP地址不分网络号和主机号，它固定以1111开头。E类IP地址：IP地址只能确定网络中的主机，要确定主机中的进程，还需要用到端口号。在计算机中，端口号是主机进程的唯一标识，因此一个进程在向另一个进程发送数据时，需要通过IP地址+端口号确定网络中的进程。2.端口号8.1.4IP地址与端口号端口号的最大取值为65535，其中0～1024端口一般由系统进程占用，用户可到互联网数字分配机构官网查看由互联网名称与数字地址分配机构已分配的端口列表。用户在配置自己的服务器时，可以选择一个大于1024、小于65535的端口号对其进行标记，但要注意选择空闲端口，以避免与其他服务器产生冲突。熟悉IP地址、端口号及子网掩码，能够说出子网掩码的作用。学习目标8.1.5子网掩码子网掩码又称为地址掩码，它用于划分IP地址中的网络号与主机号，网络号所占的位用1标识，主机号所占的位用0标识，因为A、B、C类IP地址网络号和主机号的位置是确定的，所以子网掩码的取值也是确定的，如下所示。1：等同于11111111.00000000.00000000.00000000，用于匹配A类地址。2等同于11111111.11111111.00000000.00000000，用于匹配B类地址。3等同于11111111.11111111.11111111.00000000，用于匹配C类地址。：：8.1.5子网掩码假设申请到了一个C类网络，网络号为，这个网络中的可用IP地址有254个，若想将这个网络划分为4个子网，则可将子网掩码第4个字段的前两位设置为1，得到子网掩码11111111.11111111.11111111.11000000，即92。此时，得到的4个子网的IP地址取值范围分别如下所示。1网络地址：；IP地址范围：～2，广播地址3。2IP地址范围：5～26，广播地址27。3IP地址范围：29～90，广播地址91。网络地址：4；网络地址：28；8.1.5子网掩码3IP地址范围：93～54，广播地址55。网络地址：92；在使用网络前，需要对Linux操作系统进行基本的网络配置，以保证主机能够与其他主机进行正常的通信。8.2Linux操作系统基本网络配置掌握主机的配置方法，能够熟练使用命令完成主机配置。学习目标8.2.1主机配置在网络中，虽然可以通过IP地址访问主机，但IP地址不便于记忆，因此，大多用户还是通过主机名来访问主机。Linux操作系统提供了hostname和hostnamectl两个命令来显示、设置系统主机名，下面分别介绍这两个命令的使用。8.2.1主机配置hostname选项参数hostname命令用于查询、修改主机名，其基本格式如下所示。基本格式1.hostname命令8.2.1主机配置hostname命令常用选项。1.hostname命令8.2.1主机配置选项说明-a显示主机别名-f显示完全格式的域名-i显示指定主机的IP地址-s以短格式显示，仅显示第一个点号之前的部分[root@itheima~]#hostname localhost[root@itheima~]#hostnameitheima [root@itheima~]#hostnameitheima

案例8-1：查看并修改当前主机名。8.2.1主机配置显示主机名更改主机名再次显示主机名1.hostname命令itheima.localdomain 通过/etc/hostname配置文件修改主机名时，直接使用新的主机名替换原来的主机名即可，修改示例如下。基本格式1.hostname命令8.2.1主机配置itheima为新的主机名hostnamectl命令也用于查询、修改主机名。openEuler定义了3种类型的主机名。1临时主机名（Tranient）：静态主机名（Static）：系统中临时分配的主机名。2又称内核主机名、系统主机名，是系统启动时从/etc/hostname文件中自动初始化的主机名。高级主机名（Pretty）：3属于修饰性主机名，可以使用特殊字符，如itheima’shost。8.2.1主机配置2.hostnamectl命令hostnamectl选项或命令参数由于openEuler定义了复杂的主机名，原来的hostname命令已经无法完成复杂主机名的设置，因此openEuler增加了hostnamectl命令以实现主机名的查询与设置。hostnamectl命令的基本格式如下所示。基本格式8.2.1主机配置2.hostnamectl命令hostnamectl命令常用选项和命令如表。8.2.1主机配置2.hostnamectl命令选项和命令说明-transient显示或修改临时主机名-static显示或修改静态主机名-pretty显示或修改高级主机名status显示当前主机名信息set-hostname设置系统主机名（静态主机名）案例8-2：使用hostnamectl命令查看主机名信息、临时主机名、静态主机名和高级主机名。8.2.1主机配置2.hostnamectl命令点击查看案例8-3：修改主机名为itheima，修改临时主机名为ithost，修改高级主机名为itheima’shost。8.2.1主机配置2.hostnamectl命令点击查看掌握网卡配置方法，能够熟练使用命令配置动态IP地址与静态IP地址。学习目标8.2.2网卡配置网卡是计算机能够联网的基础，因此，网络配置其实就是网卡配置。下面从网卡命名规范、网卡配置文件、动态IP地址与静态IP地址3个方面来讲解网卡的配置。8.2.2网卡配置网卡命名规范A网卡配置文件B动态IP地址与静态IP地址C网卡名称的前2个字符含义如下所示。1.网卡命名规范8.2.2网卡配置1en：wl：以太网（Ethernet）。2无线局域网（WLAN）。ww：3无线广域网（WWAN）。网卡名称的第3个字符及后面字符的含义如下所示。1.网卡命名规范8.2.2网卡配置1o#：s#：o表示网卡为内置网卡，#为内置网卡的设备编号。2s表示网卡为外置网卡，#为热插拔接口（Slot）编号。x#：3当第3个字符为x时，#表示网卡的MAC地址。p#s#：4p表示PCI插口，p后面的#表示PCI插口编号；s表示热插拔接口，s后面的#表示热插拔接口编号。查看网卡：读者可以使用ip命令查看当前主机的网卡，查看命令及输出结果如下所示。点击查看8.2.2网卡配置1.网卡命名规范在Linux操作系统中，一切皆文件，因此，网卡的配置其实就是编辑网卡配置文件。openEuler的网卡配置文件为/etc/sysconfig/network-scripts/ifcfg-ens33，查看该网卡配置文件的具体命令如下所示。2.网卡配置文件8.2.2网卡配置点击查看网卡的IP地址分为动态IP地址与静态IP地址，Linux操作系统安装成功之后，系统会为网卡分配一个默认IP地址，这个IP地址是动态IP地址。用户如果使用动态IP地址，不需要手动配置。如果用户要使用静态IP地址，则需要手动配置。配置静态IP地址，同样通过修改ens33网卡的配置文件实现。8.2.2网卡配置3.动态IP地址与静态IP地址在配置静态IP地址时，需要将BOOTPROTO选项的值修改为static，即获取静态IP地址。同时，添加IPADDR（静态IP地址）、NETMASK（子网掩码）、GATEWAY（网关）、DNS（域名服务器地址）4个配置项。8.2.2网卡配置3.动态IP地址与静态IP地址假设VMware使用NAT模式，网络配置信息如下。8.2.2网卡配置1子网IP为。2网关IP为。3子网掩码为。4

DHCP地址池为28～54，可以从地址池中选择一个IP地址作为静态IP地址。3.动态IP地址与静态IP地址配置静态IP地址时，在/etc/sysconfig/network-scripts/ifcfg-ens33配置文件中做如下修改。8.2.2网卡配置点击查看3.动态IP地址与静态IP地址配置完成之后，重启网卡，再次查看网卡信息，可得到新设置的静态IP地址。重启网卡的具体命令如下所示。8.2.2网卡配置点击查看3.动态IP地址与静态IP地址8.2.2网卡配置多学一招标题在VMware菜单栏的Workstation选项中，单击下拉按钮，选择“编辑→虚拟网络编辑器”，如图。8.2.2网卡配置多学一招标题弹出虚拟网络编辑器对话框，如图。8.2.2网卡配置多学一招标题选中VMnet8模式，单击“NAT设置”按钮，弹出NAT设置对话框，如图。8.2.2网卡配置多学一招标题在该对话框中，可以查看子网IP、子网掩码、网关IP信息。关闭NAT设置对话框，返回“返回虚拟机网络编辑器”对话框，单击“DHCP设置”按钮，弹出DHCP设置对话框，如图。网络是计算机与外界通信的基础，因此，在Linux操作系统中，网络管理也是非常重要的一部分内容，熟悉网络管理才能更好地使用Linux操作系统。在Linux操作系统中，网络管理也是通过命令实现的，本节将针对常用的网络管理命令进行详细讲解。8.3常用的网络管理命令掌握ping命令，能够熟练使用ping命令测试主机的连通性。学习目标8.3.1ping命令ping选项参数ping命令用于测试主机之间网络的连通性，其基本格式如下所示。基本格式8.3.1ping命令ping命令的参数通常是IP地址。如果两台主机是连通的，则ping命令默认一直输出测试数据（可以按快捷键Ctrl+D停止输出）。使用选项可以设置ping命令的回应次数。ping命令常用选项如表。8.3.1ping命令命令说明-c设置回应次数，如-c4表示回应4次-s设置数据包大小，如-s1024表示每次发送1024B数据-v显示命令详细的执行过程案例8-4：使用ping命令测试当前Linux主机与Windows主机的网络连通性。8.3.1ping命令点击查看掌握ip命令，能够熟练使用ip命令查看主机IP地址及网卡信息。学习目标8.3.2ip命令ip命令用于显示和配置网卡、路由、接口和隧道等网络设备的参数信息，它的功能十分强大，是管理Linux操作系统网络的必备工具之一。8.3.2ip命令ip选项参数命令设备ip命令的基本格式如下所示。基本格式ip命令的用法比较复杂，它可以操作各种网络设备，通过不同的选项和命令设置这些网络设备的各种参数。8.3.2ip命令ip命令常用选项和命令如表。8.3.2ip命令选项和命令说明-s输出详细信息，可以连续使用多次，以输出更详细的错误统计信息-f强制使用指定的协议簇-4指定网络层协议为IPv4-6指定网络层协议为IPv6-r显示主机时，不使用IP地址，而使用主机的域名8.3.2ip命令选项和命令说明show显示参数信息add添加del删除up启动设备down关闭设备ip命令常用的参数和设备如表。8.3.2ip命令参数和设备说明link链路信息address协议地址（IPv4地址或IPv6地址），可以简写为addr或aroute路由设备ip命令的功能比较强大，下面介绍几个常用的功能。8.3.2ip命令ip命令可以查看所有网卡信息，也可以查看某一块网卡的信息。由于ip命令输出结果较多，下面只展示网卡信息查看命令，不展示命令输出结果。查看网卡信息命令如下所。1.查看网卡信息8.3.2ip命令[root@localhost~]#ipa [root@localhost~]#ipashow [root@localhost~]#ipashowens33 基本格式查看所有网卡信息查看所有网卡信息查看ens33网卡信息ip命令可以设置网卡的IP地址，也可以添加删除网卡的IP地址。以ens33网卡为例，设置网卡IP地址命令及输出结果如下所示。8.3.2ip命令2.设置网卡的IP地址点击查看ip命令的子命令down与up可分别用于禁用、启用网卡，下面以ens33网卡为例，演示网卡的禁用和启用，具体命令如下所示。8.3.2ip命令3.禁用和启用网卡点击查看掌握nmcli命令的使用，能够使用nmcli命令完成双网卡的绑定。学习目标8.3.3nmcli命令openEuler使用NetworkManager服务管理网络配置，NetworkManager服务是管理和监控网络设置的守护进程，它管理的对象主要有两个：connection（网卡连接配置）和device（网卡设备），connection和device之间是多对一关系，但在同一时刻只能有一个connection是有效的，每个连接都会在/etc/NetworkManager/system-connections目录下生成一个对应的配置文件。8.3.3nmcli命令nmcli选项对象命令为了更好地管理网络，Linux操作系统提供了nmcli命令。nmcli命令是NetworkManagerCommandLine（NetworkManager命令行工具）的缩写，它的功能十分强大，可以完成网卡上的所有配置，并可以将网卡配置写入配置文件，永久生效。nmcli命令的基本格式如下所示。基本格式8.3.3nmcli命令nmcli命令常用对象如表。8.3.3nmcli命令对象说明c/con/connectionNetworkManager的连接d/dev/deviceNetworkManager管理的设备nmcli命令常用选项和命令如表。8.3.3nmcli命令选项和命令说明-e转义值中的列分隔符-f指定要输出的字段-p美化输出，以易于人类阅读的形式显示status显示设备状态show显示设备或连接详情reload重新加载NetworkManager的配置并执行某些更新on/off启用/关闭网络连接up/down启用/禁用网卡设备del/delete删除已配置的连接nmcli命令的功能比较强大，下面介绍几个常用的功能。8.3.3nmcli命令nmcli命令可以显示NetworkManager的所有连接信息，以及NetworkManager管理的所有设备信息，具体的查看命令如下所示。1.显示连接和设备的详细信息点击查看8.3.3nmcli命令nmcli命令可以查看NetworkManager管理的所有设备状态，具体命令如下所示。2.查看设置状态点击查看8.3.3nmcli命令nmcli命令可以重新加载NetworkManager的配置并执行某些更新，如刷新缓存或重写外部状态到磁盘。网络重启具体命令如下所示。3.重启网络8.3.3nmcli命令[root@localhost~]#nmclicreload网络重启nmcli命令可以使用子命令on和off实现网络连接的启用和关闭，具体命令如下所示。4.启用和关闭网络连接点击查看8.3.3nmcli命令nmcli命令可以使用子命令实现网卡的禁用和启用，具体命令如下所示。5.启用和禁用网卡点击查看8.3.3nmcli命令一个网卡可以有多个连接，但同一时刻只有一个连接有效，如果网卡有多个连接，可以使用nmcli的子命令delete删除多余连接。删除网卡连接的具体命令如下所示。6.删除连接点击查看8.3.3nmcli命令了解nslookup命令，能够使用nslookup命令查看主机域名。学习目标8.3.4nslookup命令nslookup命令是最简单的域名查询命令，它可以根据一台网络主机的域名查询对应的IP地址，也可以根据网络主机的IP地址查询主机域名等信息。在查询过程中，通常需要一台域名服务器来提供服务，如果不指定域名服务器，则使用系统默认的域名服务器。8.3.4nslookup命令nslookup参数nslookup命令的基本格式如下所示。基本格式8.3.4nslookup命令nslookup是一个交互命令，除了可以在nslookup命令后面直接跟上参数，还可以直接运行nslookup命令进入交互模式。案例8-5：查询对应的IP地址。点击查看8.3.4nslookup命令案例8-6：查询地址对应的主机域名。点击查看8.3.4nslookup命令Linux操作系统是一个多用户操作系统，多个用户之间有时需要进行通信，为了方便不同终端用户之间进行通信，Linux操作系统提供了一些网络通信命令，本节将介绍几个常用的网络通信命令。8.4常用的网络通信命令了解常用网络通信命令，能够使用write命令向用户发送消息。学习目标8.4.1write命令write已登录用户名write命令用于给其他登录用户发送实时消息，其基本格式如下所示。基本格式如果接收信息的用户不止登录本机一次，则需要指定接收信息的终端机编号。8.4.1write命令案例8-7：使用Addy用户向itheima用户发送消息。8.4.1write命令打开两个终端，分别登录itheima用户和Addy用户，通过Addy用户向itheima用户发送消息，观察itheima用户接收的消息。Addy用户端发送命令及发送消息如下所示。[Addy@localhost~]$writeitheimapts/1helloheimai'mAddy^C[Addy@localhost~]$案例8-7：使用Addy用户向itheima用户发送消息。8.4.1write命令itheima用户端接收的消息如下所示。[itheima@localhost~]$itheima@localhost(作为Addy)于pts/0在17:20发的消息...helloheimai'mAddyEOF了解常用网络通信命令，能够使用wall命令向用户发送消息。学习目标8.4.2wall命令wall命令是writeall的缩写，它用于向所有用户发送广播消息。若某个用户使用wall命令发送消息，则所有的登录用户都能收到。8.4.2wall命令wall消息wall命令的用法格式如下所示。基本格式8.4.2wall命令案例8-8：使用root用户向所有登录用户发送消息。打开多个终端，分别登录itheima用户、Addy用户和root用户。在root用户终端，使用wall命令向其他用户发送广播消息，观察其他用户端接收的消息。root用户端发送命令及发送消息如下所示。[root@localhost~]#wallhelloeveryone,now,everybodylogout8.4.2wall命令案例8-8：使用root用户向所有登录用户发送消息。itheima用户端接收的消息如下所示。[Addy@localhost~]$clear

来自root@localhost(pts/3)(FriNov613:54:022025)的广播消息：

helloeveryone,now,everybodylogout8.4.2wall命令案例8-8：使用root用户向所有登录用户发送消息。Addy用户端接收的消息如下所示。[itheima@localhost~]$clear

来自root@localhost(pts/3)(FriNov613:54:022025)的广播消息：

helloeveryone,now,everybodylogout8.4.2wall命令案例8-8：使用root用户向所有登录用户发送消息。wall命令一次只能发送一条消息，不能换行，如果要发送多条消息，可以将消息写入一个文件，使用wall命令和“<”符号相结合，将文件中的消息发送出去。例如，将消息写入文件broadcast，则发送broadcast文件中的消息给所有用户的命令如下所示。wall<broadcast8.4.2wall命令了解常用网络通信命令，能够使用mesg命令向用户发送消息。学习目标8.4.3mesg命令mesg命令用于设置当前用户终端是否接收其他用户发送的消息，它有两个参数值，分别是y和n。如果设置为y，则表示当前用户终端可以接收其他用户发送的消息；如果设置为n，则表示当前用户终端拒绝接收其他用户发送的消息。8.4.3mesg命令例如，itheima用户执行mesgn命令，则表示不接收其他用户发送的消息，具体命令如下所示。[itheima@localhost~]$mesgn8.4.3mesg命令当root用户向itheima用户发送消息时，会提示itheima禁用了消息。root用户终端发送消息命令及输出结果如下所示。[root@localhost~]#writeitheimapts/1write:itheima在pts/1上禁用了消息8.4.3mesg命令项目实施03小智在自己的openEuler操作系统中模拟双网卡绑定，具体步骤如下所示。任务8绑定双网卡任务8绑定双网卡STEP01在虚拟机名称上右击，在弹出菜单中选择“设置”命令，如图。1.添加网卡任务8绑定双网卡STEP02在弹出的虚拟机设置对话框的“硬件”区域，选择“网络适配器”，单击下方的“添加”按钮，如图。1.添加网卡任务8绑定双网卡STEP03弹出添加硬件向导界面，选中“网络适配器”，单击“完成”按钮，如图。1.添加网卡任务8绑定双网卡STEP04此时将返回“虚拟机设置对话框”所示界面，会看到有两个网络适配器，如图所示。单击“确定”按钮，完成网卡添加。1.添加网卡任务8绑定双网卡STEP01使用ipaddr命令查看网卡信息。2.创建网卡配置文件点击查看任务8绑定双网卡STEP02查看网卡配置文件。2.创建网卡配置文件点击查看任务8绑定双网卡STEP02查看网卡配置文件。2.创建网卡配置文件在上述输出结果中，ifcfg-有线连接_1是ens36网卡的配置文件，将其重命名为ifcfg-ens36，具体重命名命令如下所示。[root@itheimanetwork-scripts]#mvifcfg-有线连接_1ifcfg-ens36任务8绑定双网卡STEP02查看网卡配置文件。2.创建网卡配置文件重命名之后，修改ifcfg-ens36文件内容，如下所示。点击查看任务8绑定双网卡3.绑定网卡常用的网卡绑定技术为bond技术，bond技术常用的网卡绑定模式有以下3种。1mode0：mode1：启用全部网卡，提高带宽，自动备援，需要网络设备端做链路聚合支持。2只启用一张网卡，自动备援。mode2：3启用全部网卡，提高带宽，自动备援，不需要网络设备端做链路聚合支持。任务8绑定双网卡3.绑定网卡本项目实施采用mode0模式绑定两张网卡。STEP01openEuler系统默认没有加载bonding模块，要先加载，具体命令如下所示。[root@localhost~]#lsmod|grepbonding [root@localhost~]#modprobebonding [root@localhost~]#lsmod|grepbonding bonding2580480tls1556481bonding查看bonding模块加载bonding模块再次查看任务8绑定双网卡3.绑定网卡STEP02将bonding模块的加载命令写入/etc/rc.d/rc.local文件，设置开机启动项。[root@localhost~]#vim/etc/rc.d/rc.local…touch/var/lock/subsys/localmodprobebonding[root@localhost~]#chmod+x/etc/rc.d/rc.local任务8绑定双网卡3.绑定网卡STEP03采用bond技术绑定双网卡时，需要添加一个名称为bond0的设备，并创建该设备的网卡配置文件，具体命令如下所示。[root@localhostsystem-connections]#nmcliconnectionaddtypebondifnamebond0con-namebond0bond.options"mode=balance-rr"连接"bond0"(27b12a04-cd46-483b-bd27-9478117e894b)已成功添加。[root@localhostsystem-connections]#lsifcfg-bond0ifdown-ipppifdown-Teamifup-ipppifup-routesnetwork-functionsifcfg-ens33ifdown-ipv6ifdown-TeamPort…任务8绑定双网卡3.绑定网卡STEP04将网卡ens33和ens36添加为bond0的从属网卡，具体命令如下所示。点击查看任务8绑定双网卡3.绑定网卡STEP05查看网卡设备，确定bond0网卡绑定是否生效，具体命令如下所示。[root@localhostsystem-connections]#nmclidevice DEVICETYPESTATECONNECTIONens33ethernet 已连接ens33ens36ethernet 已连接有线连接1 loloopback 连接（外部）lobond0bond连接中（正在获取IP配置）bond0virbr0bridge 未托管--任务8绑定双网卡3.绑定网卡STEP05由nmclidevice命令的输出结果可知，bond0并未连接成功，这是因为ens33网卡和ens36网卡还保持着原来的连接。想要bond0生效，需要删除ens33和ens36网卡原来的连接，具体命令如下所示。点击查看ens33网卡和ens36网卡绑定成功之后，两个网卡会互为备援，当一个网卡出现故障时，另一个网卡会继续传输数据。下面通过ping命令对ens33网卡和ens36网卡进行测试，在数据传输过程中，先禁用ens36网卡，观察数据传输变化，再禁用ens33网卡，观察数据传输变化。任务8绑定双网卡4.测试任务8绑定双网卡4.测试使用ping命令访问，数据传输如下。点击查看任务8绑定双网卡4.测试再打开一个终端，先后禁用ens36网卡与ens33网卡，具体命令如下所示。[root@localhostsystem-connections]#nmclidevicedownens36成功断开设备"ens36"。[root@localhostsystem-connections]#nmclidevicedownens33成功断开设备"ens33"。--任务8绑定双网卡4.测试观察ping命令的输出结果可以得知，在禁用ens36网卡之后，数据传输有短暂的中断，之后继续传输；当禁用ens33网卡之后，数据传输短暂地中断之后，就提示无法触达。点击查看项目总结本项目通过绑定双网卡，帮助读者系统学习了Linux操作系统的网络配置与管理。读者首先学习了计算机网络基础，包括计算机网络概述、网络协议与体系结构、网络数据传输流程、IP地址与端口号、子网掩码；其次学习了Linux操作系统基本网络配置，包括主机配置、网卡配置；然后学习了常用的网络管理命令，包括ping、ip、nmcli、nslookup；最后学习了常用的网络通信命令，包括write、wall、mesg。网络是计算机与外界进行通信的基础。通过本项目的学习，读者能够更加熟练地使用网络管理命令来管理网络。项目总结拓展实训04VLAN（VirtualLocalAreaNetwork，虚拟局域网）是一种在逻辑上将局域网中的设备划分成多个独立网络的技术。通过VLAN技术，可以在不改变物理连接的情况下，实现网络资源的逻辑隔离和优化。VLAN与LAN的关系如图。在openEuler中部署VLAN1.实训背景在openEuler操作系统中，实现VLAN的部署，具体要求如下所示。2.实训需求在openEuler中部署VLAN1部署两个VLAN。2测试VLAN内的设备的连通性。3测试VLAN之间的设备的连通性。部署VLAN的步骤如下所示。在openEuler中部署VLAN1确认内核支持：创建VLAN接口：VLAN部署需要IEEE802.1QVLAN协议支持，因此部署VLAN通常需要加载8021q模块。2根据需要规划VLAN数量，为每个VLAN分配唯一的VLANID。配置IP地址：3为每个VLAN接口分配合适的IP地址，在分配IP地址时，可以使用ipaddradd<ip_address>/<subnet_mask>dev<vlan_interface>命令来实现。激活VLAN接口：3激活创建的VLAN接口，使其可以传输和接收数据，可以使用iplinkset<vlan_interface>up命令激活VLAN接口。2.实训需求上面部署VLAN的实现步骤是基于端口实现的，除了基于端口实现，VLAN还有哪些实现方式？请简要描述它们的实现原理和特点。在openEuler中部署VLAN3.自主思考项目9系统安全管理《Linux网络操作系统项目化教程（openEuler）》学习目标/Target了解Linux操作系统安全机制，能够说出Linux常见的安全机制了解Linux操作系统不安全因素，能够说出Linux常见的不安全因素了解防火墙，能够说出防火墙概念、作用及特点了解防火墙策略与规则，能够说出防火墙的防御原理了解SELinux安全系统，能够说出SELinux概念、工作模式，以及什么是安全上下文、默认安全上下文的修改与安全策略知识目标学习目标/Target能够使用ss命令监控系统网络运行情况能够使用ps命令、top命令监控系统进程运行状态能够使用who命令、w命令查看用户相关信息能够使用joumalctl命令查看系统各种日志信息能够使用lsof命令查看系统打开了哪些文件能够使用firewalld命令完成特定场景的防火墙配置技能目标学习目标/Target通过Linux操作系统安全机制的学习，培养全面审视系统安全性的能力通过Linux操作系统不安全因素识别的学习，培养敏锐的风险感知与预防意识通过监控进程与查看日志的训练，培养基于数据的逻辑推理能力与系统化排查思维通过学习防火墙的配置与管理，激发对网络安全防护的兴趣，培养构建安全网络环境的责任感和使命感通过学习SELinux安全系统的应用与实践，培养高级安全配置能力，激发在复杂安全环境下的创新思维素养目标目录/Contents9.19.2Linux操作系统安全概述系统运行情况检查和监督9.3防火墙9.4SELinux安全系统项目导入01项目导入随着业务不断拓展，公司的数据量与日俱增，网络环境也愈发复杂，为了提高公司整体网络安全防护能力，上级领导决定对公司网络环境进行全面升级，此次升级涵盖网络监控、进程监控、日志监控及防火墙配置等多个方面，旨在全方位保障公司数据安全，防止未经授权的访问和抵御潜在的网络攻击。防火墙作为网络安全防护的第一道防线，有着至关重要的作用，细分下来包含多个具体任务。上级领导将其中最为基础又关键的部分交给小智来完成，这既是对他能力的信任，也是对他的一次重要考验，帮助他进一步深化对Linux系统安全管理的理解与实践。知识准备02了解Linux操作系统安全机制，能够说出Linux常见的安全机制。学习目标9.1.1Linux操作系统安全机制Linux操作系统从诞生以来就很注重系统安全问题，例如，Linux虽然是一个多用户操作系统，但它有着严格的权限管理，每个用户（除了root用户）只能行使被分配的权力，不能越权行事。此外，Linux操作系统是一个开源操作系统，系统的安全漏洞能很快地被发现并被修复。经过不断的发展，Linux操作系统安全机制不断完善，其安全性越来越高。9.1.1Linux操作系统安全机制下面针对Linux操作系统基本的安全机制进行介绍。口令安全防火墙最小权限日志文件安全机制9.1.1Linux操作系统安全机制口令安全就是为用户设置账号、密码，账号、密码不匹配的用户不允许登录Linux操作系统。口令安全是Linux操作系统最基本的安全机制。Linux操作系统保证口令安全的常用措施有以下几种。1.口令安全9.1.1Linux操作系统安全机制设置密码有效期A清除未设置密码的账号B清除长期未登录的账号CPASS_WARN_AGE 7为了保证口令安全，可以每隔一段时间修改密码。Linux操作系统默认密码有效期为7天，用户可以手动更改密码有效期。密码有效期可以在/etc/login.defs文件中设置，在该文件中，有如下选项。设置密码有效期9.1.1Linux操作系统安全机制1.口令安全更改该选项的值即可修改密码有效期。未设置密码的账号对Linux操作系统来说是极度危险的，攻击者可以轻易地利用该账号登录系统。为了保证系统安全，可以通过/etc/passwd文件查看并清除未设置密码的账号。清除未设置密码的账号9.1.1Linux操作系统安全机制1.口令安全在Linux操作系统中，有些账号可能登录几次后就不再使用，它们的存在对系统来说是一种安全威胁，因此要定期清理这些账号。清除长期未登录的账号9.1.1Linux操作系统安全机制1.口令安全Linux操作系统中的最小权限是指通过设置文件或目录的权限来防止违规操作。在Linux操作系统中，每一个文件或目录都有不同的权限属性，这些权限包括读、写、执行、SUID、SGID等，为这些文件分配用户权限时，应当以最小权限为原则，防止用户越权行事，给系统安全带来威胁。9.1.1Linux操作系统安全机制2.最小权限防火墙技术是计算机最基本的防御措施，它通过定义一组规则来过滤不合法的流量。此外，防火墙还可以跟踪、监控已经放行的流量，对流量的流向进行记录，一旦发现问题就会报警，把它们对网络和主机的危害降到最低。如果因为规则定义不当等出现了安全问题，防火墙软件的记录文件还可以提供佐证，便于追踪线索。9.1.1Linux操作系统安全机制3.防火墙Linux操作系统提供了丰富的日志文件来记录系统的运行情况，这些日志记录了系统中几乎所有的操作，通过认真读取日志文件可以查找、解决日常遇到的各种问题。Linux操作系统日志文件的默认位置是/var/log，有些第三方软件的日志文件也会保存在自己独有的目录。进入/var/log目录，查看openEuler的日志文件，查看命令及运行结果如下所示。9.1.1Linux操作系统安全机制4.日志文件点击查看了解Linux操作系统不安全因素，能够说出Linux常见的不安全因素。学习目标9.1.2Linux操作系统不安全因素Linux操作系统从诞生以来就很注重系统安全问题，例如，Linux虽然是一个多用户操作系统，但它有着严格的权限管理，每个用户（除了root用户）只能行使被分配的权力，不能越权行事。此外，Linux操作系统是一个开源操作系统，系统的安全漏洞能很快地被发现并被修复。经过不断的发展，Linux操作系统安全机制不断完善，其安全性越来越高。9.1.2Linux操作系统不安全因素任何可能对Linux操作系统造成潜在破坏的人、对象或事件等都称为Linux操作系统不安全因素。从这个角度来说，Linux操作系统不安全因素既包括环境和灾害因素，又包括人为因素和系统自身的因素。总体来说，Linux操作系统不安全因素大致可分为以下3种。物理因素A人为因素B系统自身因素C9.1.2Linux操作系统不安全因素物理因素是指在物理介质上危害Linux操作系统的安全，主要受Linux操作系统设备所处的环境影响，包括温度、湿度、静电、灰尘、强电磁场、电磁脉冲，以及自然灾害中的火灾、水灾、地震等。目前，针对这些非人为的环境和灾害因素已有较好的应对策略。1.物理因素2.人为因素人为因素是指由于人员的疏忽或黑客的主动攻击造成的系统安全事件，这些攻击可能是有意的，也可能是无意的。有意的系统破坏行为是指人为主动的恶意攻击、违纪、违法和犯罪等。无意的系统破坏行为是指由于操作疏忽而发生失误，对系统造成不良影响。Linux操作系统安全防护技术主要就是针对系统安全威胁进行防护。9.1.2Linux操作系统不安全因素系统自身因素是指网络中的计算机系统或网络设备由于自身的原因引发的系统安全风险。威胁系统安全的系统自身因素主要包括以下3种。3.系统自身因素计算机硬件系统的故障；1各类计算机软件的故障或安全缺陷，包括系统软件（如操作系统）、应用软件的故障或缺陷；2网络和通信协议自身的缺陷。39.1.2Linux操作系统不安全因素虽然Linux操作系统有基本的安全机制，系统日志也会记录系统运行情况，但作为Linux操作系统使用者，我们还需要经常检查系统运行情况，以了解系统的运行状态，确保没有安全隐患。本节将针对常见的系统运行情况检查和监督进行讲解。9.2系统运行情况检查和监督掌握网络的检查，能够使用ss命令监控系统网络运行情况。学习目标9.2.1检查网络日常使用Linux操作系统时，经常检查系统网络状态如网络连接（Socket）类型、网络连接状态等，及时获取网络连接的异常情况，可以降低系统安全风险。Linux的所有操作都是通过命令实现的，针对网络检查，Linux操作系统提供了ss命令。9.2.1检查网络ss选项参数ss是SocketStatistics的缩写，该命令用于获取所有Socket（套接字）统计信息，包括Socket类型、Socket状态、Socket的IP地址及端口号等。ss命令的功能比较强大，因此它的用法也比较复杂，但它的基本格式和其他命令相同，具体如下所示。具体格式9.2.1检查网络ss命令常用选项如表。9.2.1检查网络选项说明-a显示所有连接的Socket，包括连接的和没有连接的，该选项提供了系统的全面网络连接视图-s显示系统中所有的Socket摘要，该选项提供了关于系统中Socket使用的快速概览-l显示处于监听状态的Socket-p显示使用Socket的进程，包括进程ID和进程名称。该选项有助于用户确定哪个进程正在使用特定的网络连接-t显示TCPSocket9.2.1检查网络选项说明-u显示UDPSocket-i显示TCPSocket内部信息-n以数字形式显示IP地址和端口，而不解析为主机名和服务名-r将服务名解析为主机名，将端口号解释为服务（协议）名-4使用IPv4地址的Socket-6使用IPv6地址的Socketss命令的用法比较多，如检查Socket类型、检查Socket状态等，下面介绍几种ss命令常见的用法。9.2.1检查网络ss命令可以通过不同的选项显示不同类型的Socket信息，例如，通过-s选项显示Socket摘要信息，通过-l选项显示所有处于监听状态的信息。1.显示Socket信息9.2.1检查网络案例9-1：显示Socket摘要信息。点击查看1.显示Socket信息9.2.1检查网络案例9-2：显示处于监听状态的Socket，以及使用这些Socket的进程。点击查看Linux操作系统中的Socket有多种类型，可以通过ss命令的不同选项来显示不同类型的Socket信息，如TCPSocket、UDPSocket。2.显示不同类型的Socket9.2.1检查网络案例9-3：显示TCPSocket、UDPSocket信息。点击查看一个Socket有多种不同的状态，通过ss命令可以查询处于不同状态的Socket。Socket常见的状态如表。3.显示某种状态的Socket9.2.1检查网络状态说明LISTEN监听状态ESTABLISHED连接打开状态，即刚刚建立连接，可以传输数据的状态CONNECTED连接状态，通常除了LISTEN和CLOSED状态，其他状态都可以称为CONNECTED状态FIN-WAIT-1/FIN-WAIT-2释放连接状态CLOSED关闭状态9.2.1检查网络案例9-4：显示所有状态为ESTABLISHED的HTTP连接。3.显示某种状态的Socket[itheima@localhost~]$ss-ostateestablished'(dport=:httpordport=:http)' NetidRecv-QSend-QLocalAddress:PortPeerAddress:Port在案例9-4中，使用ss命令显示所有状态为ESTABLISHED的HTTP连接，由输出结果可知，系统中没有处于ESTABLISHED状态的HTTP连接。9.2.1检查网络案例9-5：分别显示使用IPv4地址和IPv6地址，并且处于CLOSED状态的Socket。点击查看3.显示某种状态的Socketss命令提供了src子命令和dst子命令来匹配指定IP地址的Socket，src子命令用于匹配本地地址，dst子命令用于匹配远程地址。9.2.1检查网络4.显示指定IP地址和端口号的Socket9.2.1检查网络案例9-6：显示来自6地址的Socket。4.显示指定IP地址和端口号的Socket[itheima@localhost~]$ssdst6NetidStateRecv-QSend-QLocalAddress:PortPeerAddress:Port案例9-6使用ss命令显示来自6地址的Socket，由输出结果可知，系统中没有来自该地址的Socket。9.2.1检查网络案例9-6：显示来自6地址的Socket。4.显示指定IP地址和端口号的Socket[itheima@localhost~]$ssdst6:1024[itheima@localhost~]$ssdst6:http需要注意的是，在IP地址后面可以使用“:”连接端口号指定查询来自该地址某个端口的Socket，具体命令如下所示。指定端口号http连接默认端口号为809.2.1检查网络案例9-7：显示来自本机地址的Socket。4.显示指定IP地址和端口号的Socket[itheima@itheima~]$sssrc37NetidStateRecv-QSend-QLocalAddress:PortPeerAddress:PortProcesstcpESTAB0037:ssh:50604ssdport/sportOPPORTss命令还可以将本地端口（sport）或远程端口（dport）与另一个端口进行比较，查询来自某些端口的Socket。比较端口时，ss命令格式如下所示。具体格式9.2.1检查网络5.端口比较在上述格式中，PORT为端口号，OP为运算规则，如=、>、<等。OP表示的运算规则如表。9.2.1检查网络5.端口比较规则说明\<=或le小于或等于\>=或ge大于或等于==或=或eq等于!=或ne不等于\<或lt小于\>或gt大于使用端口比较运算符查询Socket的命令示例如下。9.2.1检查网络5.端口比较[itheima@localhost~]$ssdport\>=60000 [itheima@localhost~]$ssdport=32195 [itheima@localhost~]$sssport=http [itheima@localhost~]$sssport!=1024 [itheima@localhost~]$ssdport\<1024

匹配大于或等于60000的远程端口匹配远程端口32195匹配本地80端口匹配不是1024的本地端口匹配小于1024的远程端口掌握进程的监控，能够使用ps命令、top命令监控系统进程运行状态。学习目标9.2.2监控进程进程是计算机系统中的运行单元，计算机系统主要通过进程完成任务，如读写文件、操作数据库等。如果系统中有非法进程，可能会给系统带来重大危害。例如，木马病毒都以进程的形式在计算机上运行。此外，有些网络攻击会破坏计算机系统的合法进程，使系统无法正常工作，从而达到攻击计算机系统的目的。因此，监控和保护进程安全，是保证系统安全的重要措施。9.2.2监控进程Linux操作系统提供了很多命令用于监控进程，如ps、top、pstree等，通过这些命令，系统管理员可以了解系统中进程运行情况，如进程运行状态、进程是否结束、哪些进程占用了过多资源等。针对非法进程及异常进程，系统管理员可以及时采取相应措施，以保证Linux操作系统安全。9.2.2监控进程掌握查看用户的方法，能够使用who命令、w命令查看用户相关信息。学习目标9.2.3查看用户Linux操作系统是一个多用户操作系统，用户登录需要口令，如果用户口令被截取，则攻击者会利用用户口令登录系统进行非法操作。如果权限较大的用户口令被截取，则会给系统带来不可估量的危害。因此，经常查看用户登录情况，也可以保证系统安全。9.2.3查看用户w命令是who命令的增强版，它可以显示登录用户更多、更详细的信息。例如，w命令可以显示登录用户当前正在进行的工作。w命令的基本格式如下所示。w选项参数

9.2.3查看用户基本格式w命令常用选项如表。9.2.3查看用户选项说明-h不显示列标题-s使用短格式显示信息，仅显示用户名、终端、来源地址和登录时间，不显示其他信息-f显示远程主机名或IP地址，在输出结果中包含FROM字段，显示用户是从哪台远程主机登录的案例9-8：查看系统当前登录用户的信息。点击查看9.2.3查看用户掌握查看系统日志的方法，能够使用journalctl命令查看系统各种日志信息。学习目标9.2.4查看日志openEuler使用systemd-journald服务收集日志信息并进行统一管理，为了方便查看日志文件，systemd-journald服务提供了相应的日志管理命令journalctl。journalctl命令功能强大，它可以查看所有的日志信息，其基本格式如下所示。journalctl选项参数

基本格式9.2.4查看日志journalctl命令常用选项如表。9.2.4查看日志选项说明-a显示全部日志信息-k查看内核日志，用于调试与内核相关的问题。这些日志包含与硬件和系统内核相关的重要信息，如设备驱动程序的加载、系统调用的执行等-b查看系统本次启动的日志信息-u查看指定服务的日志信息，如-usshd.service

表示只显示sshd服务相关的日志信息-n指定查看的日志条数，如-n50表示查看50条日志，默认是10行9.2.4查看日志选项说明-f追踪日志，实时输出最新日志信息-o指