7. 网络基本操作

项目七网络基本操作目录CONTENTS01020304主机名配置SELinux项目实施防火墙05知识拓展主机名配置01主机名三类型与命名规范主机名三类型openEuler主机名分为静态、动态和灵活三种类型。静态主机名由用户设置并保存在/etc/hostname文件中；动态主机名由内核维护，可被DHCP或mDNS更改；灵活主机名支持自由形式，包括特殊字符。命名规范主机名命名规范严格，仅允许使用字母、数字、'-'、'_'和'.'，且不能以句点开头或结尾，长度限制为64个字符以内。这些规范确保主机名在系统中具有唯一性和兼容性。命名规范的重要性遵循主机名命名规范是确保系统稳定运行的关键。它不仅有助于统一识别和日志追踪，还能避免因命名冲突导致的网络问题，为自动化脚本的兼容性提供保障。四种主机名修改方法对比hostnamectlhostnamectl命令可一次性修改三种主机名，并立即生效。它是自动化场景中的首选工具，操作简单且无需重启系统，适合快速配置和临时更改。nmcli与nmtuinmcli和nmtui提供了图形化和命令行两种方式修改主机名。nmcli适合批量部署，nmtui则适合现场无桌面环境，两者结合可满足不同运维场景的需求。IP地址静态与动态配置要点静态配置静态IP地址配置需编辑ifcfg文件，设置BOOTPROTO=static、ONBOOT=yes，并填写IPADDR、PREFIX、GATEWAY和DNS1/2等参数。适用于服务器、虚拟IP和集群浮动地址等场景。动态配置动态IP地址配置依赖NetworkManager，使用nmcliconadd命令即可创建会话。系统会自动生成配置文件并自动激活，适用于办公终端和测试机。配置生效配置完成后，需使用systemctlrestartnetwork或nmcliconup命令使配置生效，并通过ipaddr命令验证IP地址是否正确分配。应用场景静态IP适用于需要固定地址的设备，如服务器和网络设备；动态IP适用于频繁变动的设备，如办公终端和测试机，便于管理和维护。nmcli核心命令查看状态使用nmcligeneralstatus命令可查看NetworkManager的守护进程状态，确认服务是否正常运行。列出连接nmcliconnectionshow命令可列出所有网络连接，包括活动和非活动连接，便于快速查看当前网络配置。启停连接nmclidevicestatus显示网卡状态，nmcliconup/down命令用于启停网络连接，操作简单且无需重启系统。动态IP会话一键创建创建命令使用nmcliconnectionaddtypeethernetcon-namenet-testifnameens33命令可一键创建动态IP会话，系统自动生成配置文件并设置ONBOOT=yes。应用场景动态IP会话适用于云主机和办公区接入等场景，通过DHCP自动获取IP地址，无需手动配置，便于管理和维护。静态IP会话与路由绑定静态IP配置静态IP会话需附加ip4/gw4参数，例如nmcliconadd…ip40/24gw454，创建后默认生成ifcfg文件。DNS配置使用ipv4.dns字段可为静态IP会话设置多个DNS服务器，确保网络解析的稳定性和可靠性。路由绑定通过+ipv4.routes参数可追加额外路由，支持同时下发默认路由与明细路由，满足多网段服务器和容器主机的复杂转发需求。生效与验证配置完成后，需重启网络服务使配置生效，并通过iproute命令验证路由是否正确添加。ping命令跨平台差异与技巧01跨平台差异openEuler下ping命令默认无限发包，需使用-c参数指定次数，与Windows系统有所不同。02常用参数-i参数可调整发包间隔，-s参数设置包长，-R参数记录路由，合理组合参数可快速判定链路质量、MTU瓶颈与不对称路由。03自动化应用在脚本中结合awk提取丢包率和rtt，可实现自动告警，配合Crontab形成轻量级链路监控，无需额外安装软件。scp加密传输与批量应用加密传输scp基于SSH协议，全加密传输，支持-P端口、-p保留属性、-r递归、-C压缩等参数，确保数据传输的安全性。批量应用结合sshpass或密钥认证，可实现无人值守批量复制，配合for循环与列表文件，可快速完成百台节点配置同步。应用场景scp常用于配置文件分发、证书更新、日志回传等场景，是小型环境自动化运维的性价比首选。注意事项使用scp时需注意目标主机的权限设置，确保文件能够正确写入指定目录，避免因权限不足导致复制失败。防火墙02区域概念与信任等级区域定义firewalld用区域简化策略管理，一个网络区域定义了网络连接的信任级别，一个连接只能属于一个区域，但一个区域可以包含多个连接。信任等级九个区域按信任度从drop到trusted排列，drop区域静默丢弃所有传入数据包，trusted区域允许所有流量通过。应用场景在实际应用中，可根据网络环境选择合适的区域，例如public区域适用于开放网络，trusted区域适用于内部安全网络。防火墙启停与默认区域设置启停命令使用systemctlstartfirewalld启用防火墙，enable实现开机自启；stop/disable命令用于关闭防火墙并取消自启。默认区域设置使用firewall-cmd--set-default-zone命令可永久设置默认区域，无需重启服务，确保新添加的网络接口自动应用指定策略。服务端口与富规则服务管理使用firewall-cmd--add-service命令可即时放行指定服务，如http服务对应的80/tcp端口。端口管理使用firewall-cmd--add-port命令可放行自定义端口，如8080/tcp，支持多种协议，满足复杂业务需求。富规则应用富规则可细化到源IP、目的端口、转发目标，例如allow/2422/tcp，实现白名单运维通道。策略生效配置完成后，使用firewall-cmd--reload命令使配置生效，并通过firewall-cmd--list-all命令验证策略是否正确应用。图形化firewall-config01图形化工具firewall-config提供图形化界面，支持区域、服务、端口、伪装、端口转发等配置，适合不熟悉命令行的用户。02功能模块工具分为区域、服务、端口、协议、源端口、伪装等子选项卡，可快速完成策略配置，底部状态栏显示连接状态和默认区域。03应用场景适用于桌面版openEuler现场调试，降低命令行学习成本，提高配置效率，尤其适合新手快速上手。SELinux03DAC与MAC差异对比DAC机制DAC（自主访问控制）基于用户身份判定权限，root用户拥有最高权限，可绕过所有限制，权限划分较为粗糙。MAC机制MAC（强制访问控制）在DAC之后再次校验，由策略强制约束，即使root用户也需遵循，提供更细粒度的权限控制。安全上下文四字段解析01用户字段用户字段区分系统与普通对象，例如system_u表示系统服务，unconfined_u表示普通用户进程。02角色字段角色字段决定进程权限边界，例如system_r为系统服务角色，unconfined_r为普通用户角色。03类型字段类型字段是targeted策略中唯一需匹配的字段，决定了进程能否访问特定类型的文件或资源。04级别字段级别字段用于MLS多级安全，表示数据的敏感程度，仅在启用MLS策略时有意义。三种策略模式与选择Targeted策略Targeted策略仅限制常见服务，兼顾安全与易用性，适合大多数服务器场景。MLS策略MLS策略对所有进程实施多级安全，配置复杂，适用于高安全需求的环境。Minimum策略Minimum策略裁剪策略包，适合嵌入式设备，资源占用低。SELinux模式切换流程模式切换使用getenforce命令查看当前SELinux模式，setenforce命令可以即时切换enforcing和permissive模式。配置文件修改修改/etc/selinux/config文件中的SELINUX参数可以设置SELinux的启动模式，需要重启系统生效。项目实施04ServerA基础网络与主机名01网络配置使用nmcli删除默认连接，手动创建ens32静态会话，指定IP0/24与DNS，确保网络稳定。02主机名设置通过hostnamectl设置主机名为ServerA，确保系统识别与日志追踪的准确性。03关闭防护关闭firewalld与SELinux，确保后续服务测试无拦截，但生产环境需重新评估白名单策略。04应用场景ServerA作为内网DNS与软件仓库，固定IP保障解析稳定，关闭防护仅用于实验环境，生产需重新启用。ServerB双网卡与NAT转发01双网卡配置ServerB配置ens32为内网IP0，ens33为外网IP54，实现内外网隔离。02NAT转发开启net.ipv4.ip_forward，使用iptables-tnatPOSTROUTING添加MASQUERADE，实现内网共享上网。03安全建议实际部署应启用firewalld的external区并开启IP伪装，以策安全，防止外部攻击。Serv