Linux基础教程(清华课件)-第13章 TCP_IP网络管理.ppt

《Linux基础教程(清华课件)-第13章 TCP_IP网络管理.ppt》由会员分享，可在线阅读，更多相关《Linux基础教程(清华课件)-第13章 TCP_IP网络管理.ppt（60页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、LinuxLinux基础教程（基础教程（1 1）操作系统基础操作系统基础清华大学计算机基础教育课程系列教材清华大学计算机基础教育课程系列教材 汤荷美汤荷美 董渊董渊 李莉李莉 程志锐程志锐 编著编著总总 目目 录录第第1部分部分 Linux操作系统操作系统第第1章章 操作系统概述操作系统概述第第2章章 处理机管理处理机管理第第3章章 存储管理存储管理第第4章章 调度调度第第5章章 设备设备第第6章章 文件系统文件系统第第2部分部分 操作系统命令及操作系统命令及shell编程编程第第7章章 Linux基本命令基本命令第第8章章 使用使用vi编辑文件编辑文件第第9章章 shell编程编程第第3部分

2、部分 系系 统统 管管 理理第第10章章 Linux系统软件的获取和安装系统软件的获取和安装第第11章章 账号管理账号管理第第12章章 文件系统管理文件系统管理第第13章章 TCP/IP网络管理网络管理第第14章章 备份与恢复备份与恢复第第15章章 XWindow及及Genie应用程序应用程序第第13章章 TCP/IP网络管理网络管理13.1 网络概述网络概述13.2 网络配置网络配置13.3 定为基本的网络故障和收集网络状态信息定为基本的网络故障和收集网络状态信息13.4 基本网络服务的介绍基本网络服务的介绍13.5 小结小结习题习题主机系统的网络管理涵盖很多方面的内容，包括网络主机系统的网

3、络管理涵盖很多方面的内容，包括网络设备的安装、网络故障的检测、网络流量的统计以设备的安装、网络故障的检测、网络流量的统计以及状态信息的收集，本章将通过一些基本网络操作及状态信息的收集，本章将通过一些基本网络操作命令的介绍和对网络配置文件的分析，帮助读者更命令的介绍和对网络配置文件的分析，帮助读者更好地理解网络的工作原理，提高管理技能。好地理解网络的工作原理，提高管理技能。13.1网络概述网络概述Linux是一个网络操作系统，系统管理的很大一部分是一个网络操作系统，系统管理的很大一部分工作与网络有关。和传统的工作与网络有关。和传统的Unix一样，一样，Linux中，中，也同时支持也同时支持TCP

4、/IP网络和网络和UUCP网络。网络。UUCP(Unix-to-Unix Copy)是由美国贝尔实验室开是由美国贝尔实验室开发的、供发的、供UNIX工作站之间进行通信的一套协议簇，工作站之间进行通信的一套协议簇，它主要是通过拨号电话线路进行通信，尽管它主要是通过拨号电话线路进行通信，尽管UUCP网络仍然广泛地应用于各种场合，而且费用低廉，网络仍然广泛地应用于各种场合，而且费用低廉，但它有限的传输带宽将制约它的发展。随着但它有限的传输带宽将制约它的发展。随着TCP/IP网络的迅速发展，可以预见网络的迅速发展，可以预见UUCP的应用范的应用范围将不断地被削减。本章主要介绍围将不断地被削减。本章主要

5、介绍TCP/IP网络的网络的管理，不再对管理，不再对UUCP进行过多的讨论。有兴趣的读进行过多的讨论。有兴趣的读者可以通过其他途径深入了解。下面将结合者可以通过其他途径深入了解。下面将结合TCP/IP网络在网络在Linux中的实现介绍一些基本概念。中的实现介绍一些基本概念。TCP/IP被称为一种事实上的被称为一种事实上的Internet互联标准，因为互联标准，因为它并不完全遵从它并不完全遵从ISO/OSI标准，但是因为标准，但是因为Internet是是从从TCP/IP协议基础上发展起来的，在标准委员会协议基础上发展起来的，在标准委员会制定出标准时，制定出标准时，TCP/IP已经得到了广泛的应用

6、和已经得到了广泛的应用和厂商支持。人们最终抛弃了政府行为，而选择了在厂商支持。人们最终抛弃了政府行为，而选择了在市场需求中茁壮成长起来的市场需求中茁壮成长起来的TCP/IP标准，这一点标准，这一点在计算机界常常得到印证。在计算机界常常得到印证。图图13.1是是TCP/IP协议簇的原理结构图，它反映了网络协议簇的原理结构图，它反映了网络系统的工作原理。系统的工作原理。图图13.1 TCP/IP协议簇的结构图协议簇的结构图TCP/IP协议簇的核心部分包括传输层协议协议簇的核心部分包括传输层协议(TCP和和UDP)、网络层协议、网络层协议(IP)和硬件接口层，这三层在操和硬件接口层，这三层在操作系统

7、内核中实现。而应用层如作系统内核中实现。而应用层如FTP、WWW等应等应用程序则通过网络编程接口用程序则通过网络编程接口(socket、Windows Sockets)与核心协议打交道。整个协议簇是一种分与核心协议打交道。整个协议簇是一种分层结构的，下层为上层提供服务，不同层次之间通层结构的，下层为上层提供服务，不同层次之间通过一些接口通信，比如应用层通过过一些接口通信，比如应用层通过socket接口与接口与TCP层通信。层通信。将通信功能分层可以简化各层的实现，优化每一层的将通信功能分层可以简化各层的实现，优化每一层的功能，达到代码重用、最小修改和易于维护的目的。功能，达到代码重用、最小修改

8、和易于维护的目的。模块化在软件设计与实现中无论是面向对象技术还模块化在软件设计与实现中无论是面向对象技术还是分布式处理都有其不可替代的优越性，是软件工是分布式处理都有其不可替代的优越性，是软件工程的理想目标。采用这种层次性的结构还可以程的理想目标。采用这种层次性的结构还可以 灵活地配置网络，可以通过为硬件驱动规定统一的灵活地配置网络，可以通过为硬件驱动规定统一的接口，将硬件的运作和处理交给不同的生产厂商去接口，将硬件的运作和处理交给不同的生产厂商去做。最终的好处是无论采用什么样的硬件环境，都做。最终的好处是无论采用什么样的硬件环境，都可以通过可以通过TCP/IP网络达到互联的要求。下面将结网络

9、达到互联的要求。下面将结合最为常见的以太网进行分析。合最为常见的以太网进行分析。13.2 网络配置网络配置13.2.1 以太网卡的安装以太网卡的安装我们常用的网卡有两种总线模式，一种是我们常用的网卡有两种总线模式，一种是ISA卡，一卡，一种是种是PCI卡。卡。PCI卡比卡比ISA有许多优点，除了提供很有许多优点，除了提供很高的总线带宽来达到更快更好的性能外，它对系统高的总线带宽来达到更快更好的性能外，它对系统资源的申请是动态的，而资源的申请是动态的，而ISA必须固定分配。典型必须固定分配。典型的情况就是装载的情况就是装载ISA卡时，卡时，Linux需要给它分配一个需要给它分配一个中断号和中断号

10、和I/O资源的地址，以便驱动程序知道在何资源的地址，以便驱动程序知道在何处可以找到该卡。处可以找到该卡。系统加载网卡也有两种模式，一种是直接编译进内核，系统加载网卡也有两种模式，一种是直接编译进内核，一种是动态加载模块。若设备驱动以模块方式动态一种是动态加载模块。若设备驱动以模块方式动态加载进内核，对于加载进内核，对于PCI设备，模块将自动检测到所设备，模块将自动检测到所有已经安装到系统上的设备；对于有已经安装到系统上的设备；对于ISA卡，则卡，则需要向模块提供需要向模块提供I/O地址，这些信息应在地址，这些信息应在/etc/conf.modules中提供中提供(有的系统为有的系统为modul

11、es.conf)。比如有一块比如有一块ISA总线的总线的3c509卡，编辑卡，编辑conf.modules文件如下：文件如下：alias eth0 3c509options 3c509 io=0 x300这样驱动程序就知道到内存的这样驱动程序就知道到内存的哪一段去寻找网卡，其中哪一段去寻找网卡，其中0 x表示表示16进制。对于进制。对于PCI卡，仅仅需要卡，仅仅需要alias命令来使设备名命令来使设备名(以太网设备为以太网设备为ethN)和适当的驱动模块名关联即可，和适当的驱动模块名关联即可，PCI卡的卡的I/O地址将会被自动检测到。对于地址将会被自动检测到。对于PCI卡，编辑卡，编辑conf

12、.modules文件如下：文件如下：alias eth0 3c509注：注：加载加载模块的命令格式如下：模块的命令格式如下：#insmod 模块名模块名(本例中为本例中为3c509)若驱动程序直接被编译进了内核，系统启动若驱动程序直接被编译进了内核，系统启动时的时的PCI检测程序将会自动找到所有相关的网卡。检测程序将会自动找到所有相关的网卡。ISA卡一般也能够被自动检测到，但是在某些情况卡一般也能够被自动检测到，但是在某些情况 下，下，ISA卡仍然需要做下面的配置工作，在卡仍然需要做下面的配置工作，在/etc/lilo.conf中增加配置信息，其方法是通过中增加配置信息，其方法是通过LILO程

13、序将启动参数信息传递给内核。对于程序将启动参数信息传递给内核。对于ISA卡，编卡，编辑辑lilo.conf文件，增加如下内容：文件，增加如下内容：append=ether=3,0 x300,eth0 注：注：先不要在先不要在“lilo.conf”中加入启动参数，测中加入启动参数，测试一下你的试一下你的ISA卡，若失败再使用启动参数，有些卡，若失败再使用启动参数，有些旧的旧的ISA网卡，必须使用其驱动盘设置中断号与网卡，必须使用其驱动盘设置中断号与I/O地址或者采用硬跳线改变中断号，在系统中配置的地址或者采用硬跳线改变中断号，在系统中配置的参数无效。参数无效。PCI卡会被自动查找到，所以没有必要

14、卡会被自动查找到，所以没有必要这样做。这样做。13.2.2 TCP/IP网络相关的概念网络相关的概念前面提到了前面提到了TCP/IP网络的结构以及如何加载硬件驱网络的结构以及如何加载硬件驱动程序，剩下的工作就是如何在系统中配置动程序，剩下的工作就是如何在系统中配置TCP/IP，以使其能正常工作。在开始讲配置之前，以使其能正常工作。在开始讲配置之前，必须澄清一些基本概念，以让读者理解为什么要这必须澄清一些基本概念，以让读者理解为什么要这样配置。样配置。1.IP地址地址TCP/IP网络要进行通讯，必须有一个标识主机的方网络要进行通讯，必须有一个标识主机的方法。在以太网中，可以通过网卡的硬件地址来标

15、识法。在以太网中，可以通过网卡的硬件地址来标识主机，但是这种地址格式复杂，不便于阅读和记忆，主机，但是这种地址格式复杂，不便于阅读和记忆，也不便于管理。所以也不便于管理。所以TCP/IP网络中定义了一种地网络中定义了一种地址格式，用来惟一确定每个网络接口。它具有如下址格式，用来惟一确定每个网络接口。它具有如下格式：格式：X.Y.Z.W 其中其中X、Y、Z、W是是0到到255之间的整数，如果按照之间的整数，如果按照二进制的书写格式，它是一个二进制的书写格式，它是一个32位的数字，对于位的数字，对于TCP/IP协议簇来说，它所认识的协议簇来说，它所认识的IP地址与上面的地址与上面的格式有点不同，它

16、以如下格式阅读：格式有点不同，它以如下格式阅读：网络地址网络地址+主机地址其中网络地址是大于主机地址其中网络地址是大于1位的二进位的二进制数，主机地址也是大于制数，主机地址也是大于1位的二进制数。比如，位的二进制数。比如，计算中心网关地址计算中心网关地址166.111.4.1分解成协议所能认识分解成协议所能认识的地址就是：的地址就是：网络地址网络地址=1010011001101111 主机地址主机地址=0000010000000001后面将介绍为什么这样分解。需要注意的是，在后面将介绍为什么这样分解。需要注意的是，在IP地地址中，全主机地址代表的是网络，全主机地址址中，全主机地址代表的是网络，

17、全主机地址代表的是广播。比如对代表的是广播。比如对IP地址地址166.111.4.1而言，它而言，它所在的网络用所在的网络用166.111.4.0来表示，而来表示，而166.111.4.255则代表向整个则代表向整个166.111.4网络广播的地址。网络广播的地址。以上的设计贯彻了灵活的原则，给以上的设计贯彻了灵活的原则，给IP地址带来了很好地址带来了很好的实用性。我们可以根据某个机器的数目给不同的的实用性。我们可以根据某个机器的数目给不同的单位分配不同的网段，于是就诞生了单位分配不同的网段，于是就诞生了IP地址分类的地址分类的问题。举个例子来说，像问题。举个例子来说，像166.111网段可以

18、拥有的主网段可以拥有的主机数可以用机数可以用16位主机地址表示，即可以达到位主机地址表示，即可以达到65536台主机，所以像清华大学这样的单位，拥有一个像台主机，所以像清华大学这样的单位，拥有一个像166.111这样的网段是合适的。而对于大型这样的网段是合适的。而对于大型 的跨国公司如的跨国公司如IBM，则可能拥有上十万台的主机，则可能拥有上十万台的主机，16位主机地址是不能满足要求的，可以分配一个位主机地址是不能满足要求的，可以分配一个24位的主机地址。而对一些小公司而言，可能分配一位的主机地址。而对一些小公司而言，可能分配一个拥有个拥有255台主机数的台主机数的8位主机地址的网段就可以满位

19、主机地址的网段就可以满足要求了。足要求了。最大主机数最大主机数1677721465543254N/AN/A最大主最大主机数比理论数目少机数比理论数目少2个，是因为网络地址和广播地个，是因为网络地址和广播地址是保留地址。另外，有一些地址是保留用于特定址是保留地址。另外，有一些地址是保留用于特定的内部网络的，这些网络没有直接连接到的内部网络的，这些网络没有直接连接到Internet，它们可能放在防火墙后面，这些地址规定如下：，它们可能放在防火墙后面，这些地址规定如下：A类：类：10.0.0.0B类：类：172.16.0.0到到172.31.0.0C类：类：192.168.0.0到到192.168.

20、255.0IP地址经过分类，确实方便了记忆和管理，但是也造地址经过分类，确实方便了记忆和管理，但是也造成了地址的浪费，许多地址即使空着，但归属某个成了地址的浪费，许多地址即使空着，但归属某个单位或部门，别人没有办法使用，从而造成了地址单位或部门，别人没有办法使用，从而造成了地址空间的紧张，当然这也在很大程度上是因为空间的紧张，当然这也在很大程度上是因为32的地的地址空间限制。所以址空间限制。所以Ipv6(目前的目前的IP协议版本为协议版本为Ipv4)技术的一部分工作就是解决地址空间不足的问题。技术的一部分工作就是解决地址空间不足的问题。2.MAC地址地址MAC地址在以太网中是网卡的硬件地址，以

21、太网中地址在以太网中是网卡的硬件地址，以太网中机器之间通过这个地址通信，它是一个机器之间通过这个地址通信，它是一个6字节字节48位位的数字，其常见格式以十六进制数字表示如下：的数字，其常见格式以十六进制数字表示如下：xx:xx:xx:xx:xx:xx可以通过可以通过ifconfig命令来查看它。命令来查看它。在在IBM的令牌环网中也有硬件地址的概念，但两者的令牌环网中也有硬件地址的概念，但两者有很大的区别，在同一本地网络中，如果要让这种有很大的区别，在同一本地网络中，如果要让这种硬件地址格式不同的网络互连，必须通过专用的设硬件地址格式不同的网络互连，必须通过专用的设备，如网桥等。我们所说的备，

22、如网桥等。我们所说的TCP/IP网络是由许多网络是由许多小的网络构成，这些网络可能是以太网也可能是令小的网络构成，这些网络可能是以太网也可能是令牌环网，牌环网，TCP/IP协议通过一个地址转换协议协议通过一个地址转换协议ARP来映射来映射IP地址与硬件地址的对应关系。同一本地网地址与硬件地址的对应关系。同一本地网络中，硬件地址必须惟一，因为它是区分不同主机络中，硬件地址必须惟一，因为它是区分不同主机 的惟一标准。以太网中通过的惟一标准。以太网中通过ARP地址广播包来收集地址广播包来收集其他主机的地址。其他主机的地址。3.子网掩码子网掩码操作系统中，操作系统中，TCP/IP协议簇在工作时，将协议

23、簇在工作时，将IP地址看地址看作是网络地址与主机地址的聚合体，其中网络地址作是网络地址与主机地址的聚合体，其中网络地址是用来确定数据包的传输路径的，比如如何将一个是用来确定数据包的传输路径的，比如如何将一个数据包从美国数据包从美国UC-berkely大学的校园网发送到清华大学的校园网发送到清华大学的校园网。在这个发送过程中，路由协议根据大学的校园网。在这个发送过程中，路由协议根据网络地址确定数据包从哪个路由器发送到下一个网网络地址确定数据包从哪个路由器发送到下一个网络。而对于子网掩码而言，它是用来确定这个网络络。而对于子网掩码而言，它是用来确定这个网络地址的，将子网掩码值与主机的地址的，将子网

24、掩码值与主机的IP地址做按位地址做按位“与与”运算，就得到了网络地址，从而也就决定了该机运算，就得到了网络地址，从而也就决定了该机器上的数据包按照什么样的路径发送给别人，按器上的数据包按照什么样的路径发送给别人，按行话说，就是影响了主机的静态路由。举例说，主机行话说，就是影响了主机的静态路由。举例说，主机A：192.168.2.4与与B：192.168.2.5的子网掩码都为的子网掩码都为255.255.255.0，192.168.2.1为网关，如果主机为网关，如果主机A要发要发送信息给送信息给B，它通过子网掩码发现，它通过子网掩码发现B与它处在同一与它处在同一网络，于是就将数据包直接发送给该机

25、器，但是如网络，于是就将数据包直接发送给该机器，但是如果将主机果将主机B放在网关以外放在网关以外,因为以太网的因为以太网的ARP广播包广播包不能通过路由器，得不到对方的不能通过路由器，得不到对方的MAC地址，从而地址，从而主机主机A无法知道无法知道B不在本网段这一信息，所以不会不在本网段这一信息，所以不会去寻找网关转发该数据包，通信也就无法进行。这去寻找网关转发该数据包，通信也就无法进行。这可以解释对于将子网掩码设大了或设小了所导致的可以解释对于将子网掩码设大了或设小了所导致的种种问题。种种问题。所以遇到这种问题，一定要明白，子网掩码将决定你所以遇到这种问题，一定要明白，子网掩码将决定你机器上

26、的信息是怎么传送给别人的，如果在同一网机器上的信息是怎么传送给别人的，如果在同一网段，它绝对不会主动找网关，只有不同网段的机器段，它绝对不会主动找网关，只有不同网段的机器才会通过网关路由。才会通过网关路由。根据子网掩码的工作原理，还可以设计可变长度子网根据子网掩码的工作原理，还可以设计可变长度子网掩码掩码VLSM，从而可以将大的网段划分成小的网段，从而可以将大的网段划分成小的网段，也可以用小的网段构建大的网段也可以用小的网段构建大的网段(超网超网)，不同的单，不同的单位可以根据需要自行决定采用什么方式工作。位可以根据需要自行决定采用什么方式工作。13.2.3 和网络相关的一些配置文件和网络相关

27、的一些配置文件在在Linux系统中，系统中，TCP/IP网络是通过若干个文本文件网络是通过若干个文本文件进行配置的，了解这些配置文件对于理解一些配置进行配置的，了解这些配置文件对于理解一些配置命令和界面配置工具大有好处。你可以通过编辑这命令和界面配置工具大有好处。你可以通过编辑这些文件来完成联网工作。下面将介绍基本的些文件来完成联网工作。下面将介绍基本的TCP/IP配置文件。配置文件。1./etc/HOSTNAME文件文件该文件包含了系统的主机名称和完全的域名，如：该文件包含了系统的主机名称和完全的域名，如：(Linux为主机名，为主机名，为域名为域名)2./etc/sysconfig/net

28、work-scripts/ifcfg-ethN文件文件在在RedHat中，系统网络设备的配置文件保存在中，系统网络设备的配置文件保存在/etc/sysconfig/network-scripts目录下，目录下，ifcfg-eth0包包含第一块网卡的配置信息，含第一块网卡的配置信息，ifcfg-eht1包含第二块网包含第二块网卡的配置信息。卡的配置信息。下面是下面是/etc/sysconfig/network-scripts/ifcfg-eth0文件的文件的示例：示例：DEVICE=eth0表示物理设备的名字表示物理设备的名字IPADDR=192.168.2.1表示赋给该卡的表示赋给该卡的IP地

29、址地址NETMASK=255.255.255.0表示网络掩码表示网络掩码NETWORK=192.168.2.0表示网络地址表示网络地址BROADCAST=192.168.2.255表示广播地址表示广播地址ONBOOT=yes启动时是否激活该卡，值为启动时是否激活该卡，值为yes/noBOOTPROTO=noneproto取值可以是取值可以是:(1)none：无须启动协议无须启动协议(2)bootp：使用使用bootp协议协议(3)dhcp：使用使用dhcp协议协议USERCTL=no是否允许非是否允许非root用户控制该设备，用户控制该设备，值为值为yes/no若希望手工修改网络地址或在新的接

30、口上增加新的网若希望手工修改网络地址或在新的接口上增加新的网络界面，可以通过创建新的文件，文件名为络界面，可以通过创建新的文件，文件名为ifcfg-ethN，N为为0、1等数字。等数字。3./etc/resolv.conf文件文件该文件是由该文件是由DNS客户端解析器客户端解析器(resolver，一个根据主，一个根据主机名解析机名解析IP地址的库地址的库)使用的配置文件，示例如下：使用的配置文件，示例如下：search nameserver 166.111.4.5nameserver 166.111.8.28“search域名域名”表示当提供了一个不包括完全域名的表示当提供了一个不包括完全域

31、名的主机名时，在该主机名后添加域名后缀；主机名时，在该主机名后添加域名后缀；“nameserver”表示解析域名时使用该地址指定的表示解析域名时使用该地址指定的主机为域名服务器。其中域名服务器是按照文件中主机为域名服务器。其中域名服务器是按照文件中出现的顺序来查询的。出现的顺序来查询的。4./etc/host.conf文件文件该文件指定如何解析主机名。该文件指定如何解析主机名。Linux通过解析器库来通过解析器库来获得主机名对应的获得主机名对应的IP地址。示例如下：地址。示例如下：order bind,hostsmulti onnospoof on“order bind,hosts”指定主机名

32、查询顺序，这里规定先指定主机名查询顺序，这里规定先使用使用DNS来解析域名，然后再查询来解析域名，然后再查询“/etc/hosts”文件。文件。“multi on”表示表示“/etc/hosts”文件中指定的主机文件中指定的主机可以有多个地址，拥有多个可以有多个地址，拥有多个IP地址的主机一般称为地址的主机一般称为具有多个网络接口。具有多个网络接口。“nospoof on”指不允许对该服务器进行指不允许对该服务器进行IP地址欺骗。地址欺骗。IP欺骗是一种攻击系统安全的手段，通过把欺骗是一种攻击系统安全的手段，通过把IP地址地址伪装成别的计算机，来取得其他计算机的信任。伪装成别的计算机，来取得其

33、他计算机的信任。5./etc/sysconfig/network文件文件该文件用来指定服务器上的网络配置信息，下面是一该文件用来指定服务器上的网络配置信息，下面是一个示例：个示例：NETWORK=yes/no网络是否被配置网络是否被配置FORWARD-IPV4=yes/no是否开启是否开启IP转发功能转发功能HOSTNAME=Air表示服务器的主机名表示服务器的主机名DOMAINNAME=分配给该机器分配给该机器的域名，这个字段基本不用的域名，这个字段基本不用GATEWAY=166.111.4.1表示网络网关的表示网络网关的IP地址地址GATEWAYDEV=eth0表示网关的设备名表示网关的设

34、备名注意，因为不同版本的系统或者不同的应用软件会从注意，因为不同版本的系统或者不同的应用软件会从不同的地方去取主机名，为了保证同一个系统的所不同的地方去取主机名，为了保证同一个系统的所有应用程序采用的是相同的主机名，应保持有应用程序采用的是相同的主机名，应保持HOSTNAME文件与该文件中的主机名一致。文件与该文件中的主机名一致。6./etc/hosts文件文件当机器启动时，在可以查询当机器启动时，在可以查询DNS以前，机器需要查询以前，机器需要查询一些主机名到一些主机名到IP地址的匹配。这些匹配信息存放在地址的匹配。这些匹配信息存放在/etc/hosts文件中。在没有域名服务器情况下，系统文

35、件中。在没有域名服务器情况下，系统上的所有网络程序都通过查询该文件来解析对应于上的所有网络程序都通过查询该文件来解析对应于某个主机名的某个主机名的IP地址。地址。下面是下面是/etc/hosts文件的示例：文件的示例：127.0.0.1 localhost localhost.localdomain202.112.58.200 smthbbs166.111.4.6 rs6000 最左边一列是主机最左边一列是主机IP信息，中间一列是主机名，任何信息，中间一列是主机名，任何后面的列都是该主机的别名。一旦配置完机器的网后面的列都是该主机的别名。一旦配置完机器的网络配置文件，应该重新启动网络以使修改生

36、效。使络配置文件，应该重新启动网络以使修改生效。使用下面的命令来重新启动网用下面的命令来重新启动网#/etc/rc.d/init.d/network restartStopping network:OKStarting network:OK注意，注意，Linux/UNIX中，因为有权限限制，所以路径中，因为有权限限制，所以路径不是对所有用户都开放的，所以许多路径在用户不是对所有用户都开放的，所以许多路径在用户的环境变量中是找不到的。任何用户都有自己的的环境变量中是找不到的。任何用户都有自己的PATH环境变量，不同用户可能设置得不一样，从环境变量，不同用户可能设置得不一样，从而有而有“路径不是对

37、所有用户都开放路径不是对所有用户都开放”的假象。另外，的假象。另外，超级用户的超级用户的PATH环境变量中不应该有当前路径环境变量中不应该有当前路径“.”，这是从安全方面考虑的要求，因此超级用，这是从安全方面考虑的要求，因此超级用户执行当前目录下某个命令时，可能要在命令名前户执行当前目录下某个命令时，可能要在命令名前加上加上“./”。试想一下，某个捣蛋的用户编写了一。试想一下，某个捣蛋的用户编写了一个恶意的程序，并将它命名为个恶意的程序，并将它命名为rm，放置在自己的，放置在自己的命令下，然后告诉管理员说自己目录下有一个文件命令下，然后告诉管理员说自己目录下有一个文件(譬如说文件名为譬如说文件

38、名为“ls-l”，注意中间有一空格，注意中间有一空格)怎么怎么也删不掉，粗心大意的管理员进入这个目录后，使也删不掉，粗心大意的管理员进入这个目录后，使用命令用命令rm ls-l一下子就删掉了，还对那位用户大一下子就删掉了，还对那位用户大谈谈UNIX中各种引号的作用，而那位用户却在那儿中各种引号的作用，而那位用户却在那儿窃笑呢，因窃笑呢，因为管理员执行的是他编写的同名程序，而该程序表为管理员执行的是他编写的同名程序，而该程序表 面上完成面上完成/bin/rm程序的功能，实际上却留下一个后程序的功能，实际上却留下一个后门，比如拷贝一个门，比如拷贝一个root的的shell并加上粘贴位，他以并加上粘

39、贴位，他以后就可以随心所欲地取得超级用户特权。所以在执后就可以随心所欲地取得超级用户特权。所以在执行命令时，最好给出绝对路径，如在在当前目录中，行命令时，最好给出绝对路径，如在在当前目录中，则应该加上则应该加上“./”，如当前目录，如当前目录/etc/rc.d/init.d下执下执行上述命令的格式应该为：行上述命令的格式应该为：#./network restart不过不过在此处提醒读者，涉及到网络配置文件的修改有时在此处提醒读者，涉及到网络配置文件的修改有时仅仅靠重新运行仅仅靠重新运行network脚本是不够的，最好同时脚本是不够的，最好同时运行运行rc.local脚本。脚本。7./etc/i

40、netd.conf文件文件inetd被称做因特网被称做因特网“超级服务器超级服务器”，根据网络请求，根据网络请求装入相应的网络程序，装入相应的网络程序，inetd.conf文件告诉文件告诉inetd应应该监听哪些端口，为每个端口启动哪些服务。因为该监听哪些端口，为每个端口启动哪些服务。因为这个配置文件决定了系统的服务内容，所以也存在这个配置文件决定了系统的服务内容，所以也存在潜在的安全威胁，最好的办法就是禁止所有不用的潜在的安全威胁，最好的办法就是禁止所有不用的服务。注意，任何对该配置文件的改动都必须让服务。注意，任何对该配置文件的改动都必须让inetd重新读入配置文件，这可以通过重新读入配置

41、文件，这可以通过kill命令给命令给inetd进程发送一个挂起信号进程发送一个挂起信号(HUP)达到目的，因为达到目的，因为许多系统守护进程接收到这个信号后会重新读入自许多系统守护进程接收到这个信号后会重新读入自己的配置文件。命令的格式如下：己的配置文件。命令的格式如下：#kill-HUP cat/var/run/inetd.pid注意：注意：HUP信号为信号为1，inetd的的PID在在Linux中存放在中存放在“/var/run/inetd.pid”文件中。文件中。不过不建议初学者改动这个配置文件，如果有不用的不过不建议初学者改动这个配置文件，如果有不用的服务，删除相应的软件包更为可靠。服

42、务，删除相应的软件包更为可靠。13.2.4用命令行方式配置用命令行方式配置TCP/IP网络网络1.ifconfig命令命令ifconfig是用来设置和配置网卡的命令行工具，为了是用来设置和配置网卡的命令行工具，为了手工配置网络你需要熟悉这个命令。同手工配置网络你需要熟悉这个命令。同Windows相相比，比，Linux/UNIX下配置工作的好处是无须重新启下配置工作的好处是无须重新启动机器。下面将通过示例的形式讲解。动机器。下面将通过示例的形式讲解。例例:为为eth0配置配置IP地址，命令格式如下：地址，命令格式如下：#ifconfig eth0 192.168.2.4 netmask 255.

43、255.255.0这条命令自动指定了广播地址，网络地址可以通过这条命令自动指定了广播地址，网络地址可以通过IP地址与子网掩码按位地址与子网掩码按位“与与”获得，主机地址全为获得，主机地址全为“1”，所以得到广播地址为，所以得到广播地址为192.168.2.255。也可直。也可直接写出广播地址接写出广播地址:#ifconfig eth0 192.168.2.4 netmask 255.255.255.0 broadcast 192.168.2.255若运行不带任何参数的若运行不带任何参数的ifconfig命令，这个命令将显命令，这个命令将显示机器所有激活的接口的信息，例如：示机器所有激活的接口的

44、信息，例如：#ifconfig这个命令的输出如表这个命令的输出如表13.2所示。所示。表表13.2不带参数的不带参数的ifconfig命令的输出结果命令的输出结果(Alpha工作站工作站)注意：注意：用用ifconfig命令配置的网络设备参数，在重新启动以后，这些参数设置将会丢失命令配置的网络设备参数，在重新启动以后，这些参数设置将会丢失Eth0Link encap:Ethernet HWaddr 00:50:DA:8E:2A:5Einet addr:192.168.2.4 Bcast:192.168.2.255 Mask:255.255.252.0UP BROADCAST RUNNING M

45、ULTICAST MTU:1500 Metric:1RX packets:6323740 errors:0 dropped:0 overruns:0 frame:0TX packets:30708 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:100Interrupt:5(注：Intel平台一般会显示I/O地址)LoLink encap:Local Loopbackinet addr:127.0.0.1 Mask:255.0.0.0UP LOOPBACK RUNNING MTU:8020 Metric:1RX pa

46、ckets:368 errors:0 dropped:0 overruns:0 frame:0TX packets:368 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:0collisions:0 txqueuelen:0表中数据的含义如下：表中数据的含义如下：eth0：当前网卡的名称当前网卡的名称Link encap：表明网卡被设置为以太网卡，有些系统：表明网卡被设置为以太网卡，有些系统还能给出带宽参数还能给出带宽参数Hwaddr：网卡的硬件地址网卡的硬件地址(MAC地址地址)Inet addr：为该网卡配置的为

47、该网卡配置的IP地址地址Bcast：广播地址广播地址Mask：子网掩码地址子网掩码地址第第3行：行：表明已经应用到网卡上的表明已经应用到网卡上的ifconfig命令的可选命令的可选选项，有些是默认值。选项，有些是默认值。第第4、5行：行：RX、TX分别表示接收和发送的数据包分别表示接收和发送的数据包的信息。的信息。Lo：回送设备，一般用于设备的自测。回送设备，一般用于设备的自测。带有带有-a参数的该命令则显示所有的接口的信息，包括参数的该命令则显示所有的接口的信息，包括没有激活的接口没有激活的接口(但是有些老版本的系统可能不能但是有些老版本的系统可能不能显示没有激活的接口显示没有激活的接口)，

48、命令格式如下，输出内容，命令格式如下，输出内容和上面的相似。和上面的相似。#ifconfig-aifconfig命令除了可以配置命令除了可以配置IP地址外，还可以配置硬地址外，还可以配置硬件地址，如以太网卡的件地址，如以太网卡的MAC地址，其他种类的硬地址，其他种类的硬件需要系统能够支持，比如要修改第一块网卡件需要系统能够支持，比如要修改第一块网卡“eth0”的的MAC地址，其实现方法是在文件地址，其实现方法是在文件“/etc/rc.d/init.d/network”中添加下面一行命中添加下面一行命令：令：ifconfig eth0 hw ether xx:xx:xx:xx:xx:xx其中其中

49、hw表示硬件地址，表示硬件地址，ether为网络类型，然后使用为网络类型，然后使用下面的命令重新激活网卡即可：下面的命令重新激活网卡即可：#/etc/rc.d/init.d/network restart注：注：虽然用虽然用ifconfig命令设置的参数会在机器重新启命令设置的参数会在机器重新启动时丢失，我们也可以通过在启动网络的脚本文件动时丢失，我们也可以通过在启动网络的脚本文件中添加上这些命令，这样每次重启机器时系统都会中添加上这些命令，这样每次重启机器时系统都会执行到这些脚本文件，可以达到永久改变的目的。执行到这些脚本文件，可以达到永久改变的目的。如果要永久改变如果要永久改变IP地址，可

50、改变地址，可改变“/etc/sysconfig/network-scripts/ifcfg-ethN”文文件中件中IPADDR项的内容，如：项的内容，如：IPADDR=“192.168.2.254”2.route命令命令route命令影响的是主机静态路由表，由管理员手工命令影响的是主机静态路由表，由管理员手工维护。对于一般主机而言，它可以告诉一台主机如维护。对于一般主机而言，它可以告诉一台主机如何发送数据给其他主机。如果主机充当路由器，它何发送数据给其他主机。如果主机充当路由器，它还要负责在不同网络间转发数据。路由是在还要负责在不同网络间转发数据。路由是在IP层进层进行的，当收到一个目的地为其