《操作系统原理及应用(Linux)》-第7章 LINUX网络.ppt

《《操作系统原理及应用(Linux)》-第7章 LINUX网络.ppt》由会员分享，可在线阅读，更多相关《《操作系统原理及应用(Linux)》-第7章 LINUX网络.ppt（44页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第7章章 Linux网络基础网络基础 目标 TCP/IP协议 网络配置 基本网络服务 网络安全 第第7章章 Linux网络基础网络基础1第第7章章 Linux网络基础网络基础 教学内容 7.1 TCP/IP协议简介 7.2 配置Linux网络 7.3 基本网络服务介绍 7.4 Linux网络安全 本章小结 第第7章章 Linux网络基础网络基础27.1 TCP/IP协议简介协议简介 7.1.1 网络概述网络概述 应用层传输层网际层网络接口层OSI参考模型 TCP/IP模型 TCP/IP协议簇应用层表示层会话层运输层网络层链路层物理层HTTP、FTP、SMTP、SNMP、NMTP、TELNET

2、、DNS、NFS、PINGTCP UDPIP ICMP ARP RARPEthernet、Token Ring、FDDIOSI参考模型和TCP/IP协议对应关系第第7章章 Linux网络基础网络基础37.1 TCP/IP协议简介协议简介7.1.2 TCP/IP协议 1以太网 以太网工作起来就象一个总线系统，每一台机器都通过一个分接器挂到一根很长的电缆上。为了让机器识别自身，每块以太网卡都有一个由制造商惟一分配的地址（MAC地址）。当一块以太网卡想要同另一块以太网卡对话时，它象整个以太网电缆发送信息，其中包括自己的MAC地址和接受者的MAC地址。当两块以太网卡试图在同一时间发送数据时，便会产生冲

3、突。解决这种冲突的办法是两台计算机取消这一次发送，各自等待一段随机的时间，再进行发送数据的尝试。第第7章章 Linux网络基础网络基础47.1 TCP/IP协议简介协议简介2IP协议 IP协议负责数据报在计算机之间寻址，决定数据传送到哪里及出现网络故障时如何更换路由。IP不保证传送的可靠性,在主机资源不足的情况下,它可能丢弃某些数据报,同时IP也不检查被数据链路层丢弃的报文。（1）IP地址 IP地址通常由网络标识ID(Net)和主机标识ID(Host)两部分组成,可标识一个互连网络中任何一个网络中的任何主机。网络标识也称为网络地址，用于辨别子网，同一子网上的所有TCP/IP主机的网络ID都相同

4、。主机标识也称为主机地址，用于辨别每个网络内的主机。第第7章章 Linux网络基础网络基础57.1 TCP/IP协议简介协议简介IP地址分类如下：A类地址：网络类别字段占1位，即第0位为0，表示是A类地址，第17位表示网络地址,第831位表示主机地址。它所能表示的范围为0.0.0.0127.255.255.255，即能表示126 个网络地址，16 387 064个主机地址。A类地址通常用于超大型网络的场合。B类地址：网络类别字段占2位，即第0、1位为“1 0”，表示是B类地址，第215位表示网络地址,第1631位表示主机地址。它所能表示的范围为128.0.0.0191.255.255.255,

5、即能表示16 256个网络地址,64 576个主机地址。B类地址通常用于大型网络的场合。网络类别网络ID主机ID0 310第第7章章 Linux网络基础网络基础67.1 TCP/IP协议简介协议简介C类地址：网络类别字段占3位，即第0、1、2位为“110”，表示是C类地址，第323位表示网络地址,第2431位表示主机地址。它所表示的范围为192.0.0.0223.255.255.255,即能表示2 064 512个网络地址,254个主机地址。C类地址通常用于校园网或企业网。此外,还有D类和E类IP地址。D类地址用于多址广播地址，供特殊协议向选定的节点发送信息时用。E类地址暂时保留。第第7章章

6、Linux网络基础网络基础77.1 TCP/IP协议简介协议简介（2）子网掩码 子网掩码可概括为如下两个功能：一是用于区分出网络地址和主机地址；二是用于将网络分割为多个子网。例如，某主机A的IP地址为192.166.008.002，子网掩码为255.255.255.0，将这两个数据做“与”运算后，得出值中非0部分即为网络地址即192.166.008，剩余字节为主机地址，也就是002。若有主机B的IP地址为192.166.008.005，子网掩码同主机A，通过子网掩码发现主机B与主机A网络地址相同，因此两台主机在同一个网络上。当主机A向主机B发送数据包时，就可以将数据包直接发送给主机B。第第7章

7、章 Linux网络基础网络基础87.1 TCP/IP协议简介协议简介3TCP协议 TCP协议是是一种面向连接的，可靠的传输层协议。面向连接是指一次正常的TCP传输需要通过在TCP客户端和TCP服务端建立特定的虚电路连接来完成，该过程通常被称为“三次握手”。可靠的传输协议可避免数据传输错误。TCP协议可以支持许多高层协议ULP(Upper Level Protocol),它对高层协议的数据结构无任何要求,只将它们作为一种连续的数据流。第第7章章 Linux网络基础网络基础97.1 TCP/IP协议简介协议简介4UDP协议 UDP也是常用的传输层协议，它提供非面向连接的、不可靠的数据流传输服务。这

8、种服务不确认报文是否到达，不对报文排序，也不进行流量控制，因此UDP报文可能会出现丢失、重复和失序等现象。与TCP相同的是，UDP协议也是通过端口号支持多路复用功能，但是不能建立连接，而是向目标计算机发送独立的数据包。UDP是一种简单的协议机制,通信开销很小,效率比较高,比较适合于对可靠性要求不高，但需要快捷、低延迟通信的应用场合,如多媒体通信等。第第7章章 Linux网络基础网络基础107.2 配置配置Linux网络网络 7.2.1 网络配置文件 1/etc/HOSTNAME文件 该文件包含了系统的主机名称和完全的域名，如：(Linux为主机名，为域名)2/etc/host.conf文件 该

9、文件指定如何解析主机名。Linux通过解析器库来获得主机名对应的IP地址。3/etc/services文件 /etc/services中包含了服务名和端口号之间的映射，不少的系统程序要使用这个文件.第第7章章 Linux网络基础网络基础117.2 配置配置Linux网络网络4/etc/sysconfig/network文件 该文件用来指定服务器上的网络配置信息，包含了控制和网络有关的文件和守护程序的行为的参数。5/etc/sysconfig/network-scripts/ifcfg-ethN文件 在RedHat中，系统网络设备的配置文件保存在/etc/sysconfig/network-sc

10、ripts目录下，ifcfg-eth0包含第一块网卡的配置信息，ifcfg-eht1包含第二块网卡的配置信息。第第7章章 Linux网络基础网络基础127.2 配置配置Linux网络网络6/etc/hosts文件 /etc/hosts文件中包含了IP地址和主机名之间的映射，还包括主机名的别名，IP地址的设计使计算机容易识别，但对于人却很难记住它们，为了解决这个问题，创建了/etc/hosts这个文件。7/etc/resolv.conf文件 该文件是由DNS客户端解析器(resolver，一个根据主机名解析IP地址的库)使用的配置文件，它包含主机的域名搜索顺序和DNS服务器的地址。第第7章章 L

11、inux网络基础网络基础137.2 配置配置Linux网络网络示例如下：search nameserver 166.111.4.5nameserver 166.111.8.28 “search域名”表示当提供了一个不包括完全域名的主机名时，在该主机名后添加域名后缀；“nameserver”表示解析域名时使用该地址指定的主机为域名服务器。8/etc/init.d/network主机地址、子网掩码和网关 为了改变主机缺省的IP地址，必须直接编辑/etc/init.d/network脚本使其反映正确的网络配置。这个文件包括了声明IP地址、掩码、网络、广播地址和缺省路由器的变量。第第7章章 Linux

12、网络基础网络基础147.2 配置配置Linux网络网络7.2.2 手工配置TCP/IP网络 1设置主机名#hostname 主机名 2设置IP地址 3主机和网络文件 主机文件中每行都有一个条目，由IP地址、主机名和主机别名清单组成。这些字段用空格或标号隔开，而且地址字段必须在第一列内。跟在“#”后面的被视为批注。就象IP地址一样，应该用一个好记的名字来代表某个网络。所以还要有一个/etc/networks文件，该文件指明网络名和网络编号之间的对应关系。第第7章章 Linux网络基础网络基础157.2 配置配置Linux网络网络4配置网络接口（1）ifconfig命令 ifconfig用于命令接

13、口能够被内核联网层访问。要想启用接口，使用下面的命令：#ifconfig interface ip-address 此代码就是将ip-address分给接口，就激活了它。其他参数都采用默认值。（2）route命令 route命令用于在内核路由表内增加还是删除路由，由管理员手工维护。第第7章章 Linux网络基础网络基础165配置回送接口 首先激活的接口是回送窗口，如下：#ifconfig th 127.0.0.1ifconfig将查找主机文件内的主机名，其中一个条目将该主机名声明为127.0.0.1的主机名：localhost 127.0.0.1如果要查看接口的配置情况，将接口名作为ifcon

14、fig的参数，使用下面的方法调用它即可：#ifconfig th6配置以太网接口 第第7章章 Linux网络基础网络基础177.2 配置配置Linux网络网络7.3 基本网络服务介绍基本网络服务介绍 7.3.1 域名服务器（DNS）要为站点配置DNS，需要如下工具：1named程序 named是在DNS上运行的守护程序，它用来处理查询和负责执行区间传输。如果它不能对某一查询做出回答，它将负责把这一请求转发给可以解答的服务器。通过区间传输，可以在Internet上传播修改过的DNS信息。2解析程序库 为了使用和测试named，要把Linux设置在使用DNS状态。方法是在/etc目录下，创建res

15、olv.conf文件。第第7章章 Linux网络基础网络基础187.3 基本网络服务介绍基本网络服务介绍3traceroute程序 这个程序是用来确定数据包从当前网络传输到其他网络所采用的路径。它对调试网络连接非常有用，特别是怀疑在其他网络中发生故障时。4nslookup程序 nslookup是用来确保解析程序和DNS服务器正确配置。这一任务是通过主机名解析IP地址或者把一个IP地址解析为域名来完成的。第第7章章 Linux网络基础网络基础197.3 基本网络服务介绍基本网络服务介绍7.3.2 Apache服务器 与Apache配置相关的文件共有3个：1httpd.conf配置文件作用：定义H

16、TTP协议的设置值和针对该服务器的操作。下面介绍一些配置命令：（1）SeverType 定义WebServer的启动方式为standalone，以增强其对大量访问的及时响应性（2）ServerRoot 指定服务器目录的绝对路径，即Apache服务器的 home目录。第第7章章 Linux网络基础网络基础207.3 基本网络服务介绍基本网络服务介绍（3）ServerName 定义客户端从服务器读取数据时返回给客户端的主机名，其缺省值是localhost。（4）DocumentRoot设置所有Apache所提供的文档的根目录。（5）DirectoryIndex 设置多种成功访问主页的方式,为的是提

17、高系统的容错性。（6）Port 端口号 定义服务器所使用的TCP的端口号。（7）ServerAdmin rootlocalhost 设置Web管理员的邮件地址。第第7章章 Linux网络基础网络基础217.3 基本网络服务介绍基本网络服务介绍2Access.conf文件 是负责基本的读取文件控制，限制目录所能执行的功能及访问目录的权限设置。格式：order deny,allowdeny from allallow from localhostAllowOverride NoneOptions ExecCGI第第7章章 Linux网络基础网络基础227.3 基本网络服务介绍基本网络服务介绍 de

18、ny：拒绝访问；allow：允许谁可以访问；none表示除了观看以外不能做其它任何事情；options：定义所能够执行的操作；ExecCGI表示允许执行CGI；3Srm.conf文件 是数据配置文件，在这个文件中主要设置WWW Server读取文件的目录、目录索引时的画面、CGI执行时的目录等等。第第7章章 Linux网络基础网络基础237.3 基本网络服务介绍基本网络服务介绍7.3.3 邮件服务器 功能：控制sendmail运行时的配置，可以指定用来改写寄件人和收件人的地址及选择邮件发送器的规则集。完整的sendmail配置应该包括7部分：Local Info（本地信息）：这部分定义了本地主

19、机的信息 Options（选项）：用来设置定义sendmail环境的选项。Message Precedence（消息的优先级）：sendmail消息的优先级 Trusted Users（信任用户）：定义发送邮件时允许改变发送地址的用户 Format of Headers（头格式）：定义在sendmail中插入的邮件头信息 Rewriting Rules（改写规则）：这部分保存着改写邮件地址命令使用该命令可以将邮件地址从用户邮件程序的地址形式改写为邮件发送程序所需要的地址形式。第第7章章 Linux网络基础网络基础247.3 基本网络服务介绍基本网络服务介绍命令字：（1）D操作符宏（2）C和F操

20、作符类（3）H操作符邮件头的定义（4）K操作符关键字文件（5）M操作符邮件发送器的定义（6）O操作符设置选项（7）P操作符邮件的优先级（8）R和S操作符规则集和改写规则（9）V操作符sendmail.cf的版本级别 第第7章章 Linux网络基础网络基础257.3 基本网络服务介绍基本网络服务介绍7.3.4 samba服务器 Samba是用来实现SMB的一种软件，它的工作原理是，让NETBIOS（Windows95网络邻居的通讯协议）和SMB（Server Message Block）这两个协议运行于TCP/IP通信协议之上，并且使用Windows的NETBEUI协议让Linux计算机可以在网

21、络邻居上被Windows计算机看到。所以通过samb，Linux和Windows就可以在网络邻居上沟通，互相浏览共享的文件了。第第7章章 Linux网络基础网络基础267.4 Linux网络安全网络安全 7.4.1 Linux系统的文件安全 保护文件系统的安全性，应该从以下几个方面入手：1文件存取权限的设置 文件属性决定了文件的被访问权限，即谁能存取或执行该文件。用ls-l可以列出详细的文件信息，如：-rwxr-xr-1 wang group 600 99 Jul 28 21:12 file 包括了文件许可，文件联结数，文件所有者名，文件相关组名，文件长度，上次存取日期和文件名。第第7章章 L

22、inux网络基础网络基础277.4 Linux网络安全网络安全其中文件许可权限分为四部分：-:表示文件类型。第一个rwx:表示文件属主的访问权限。第二个r-x:表示文件同组用户的访问权限。第三个r-:表示其他用户的访问权限。2.设置用户ID和同组用户ID许可 用chmod u+s 文件名和chmod u-s文件名来设置和取消SUID设置。用 chmod g+s 文件名和chmod g-s文件名来设置和取消SGID设置。当文件设置了SUID和SGID后，chown和chgrp命令将全部取消这些许可。第第7章章 Linux网络基础网络基础287.4 Linux网络安全网络安全7.4.2 用户口令安

23、全 Linux系统中的/etc/passwd文件含有全部系统需要知道的关于每个用户的信息(加密后的口令也可能存于/etc/shadow文件中)./etc/passwd中包含有用户的登录名，经过加密的口令、用户号、用户组号、用户注释、用户主目录和用户所用的shell程序。其中用户号(UID)和用户组号(GID)用于Linux系统惟一地标识用户主和同组用户及其它用户的访问权限。/etc/passwd中存放的加密的口令用于用户登录时输入的口令经计算后相比较，符合则允许登录，否则拒绝用户登录。用户可用passwd命令修改自己的口令，不能直接修改/etc/passwd中的口令部分。第第7章章 Linux

24、网络基础网络基础297.4 Linux网络安全网络安全7.4.3 防火墙技术 1防火墙的概念 防火墙是一种网络安全产品，它提供了一种保护机制，其目的是保护一个网络不受来自另一个不可信任网络的非法侵入，它对网络的保护主要体现在：防止非法的外部用户侵入Intranet访问资源和窃取数据；允许合法的外部用户以指定的权限访问规定的网络资源。第第7章章 Linux网络基础网络基础307.4 Linux网络安全网络安全 根据网络安全性总体需求，防火墙可遵循两种基本原则实现：一切未被允许的都是禁止的。根据这一原则，防火墙应封锁所有信息流，然后对希望提供的服务逐项开放。这种方法很安全，因为被允许的服务都是仔细

25、挑选的。但限制了用户使用的便利性，用户不能随心所欲地使用网络服务。一切未被禁止的都是允许的。根据这一原则，防火墙应转发所有信息流，然后逐项屏蔽可能有害的服务。这种方法很灵活，可为用户提供更多的服务，但安全性要差一些。由于这两种防火墙原则在安全性和可使用性上各有侧重，很多防火墙系统在两者之间采取一定的折衷。第第7章章 Linux网络基础网络基础317.4 Linux网络安全网络安全2防火墙的分类 根据不同的防范方式和侧重点，防火墙主要分成两类：分组过滤型和代理服务型。它们在网络性能、安全性和应用透明性等方面各有利弊。(1)分组过滤型 分组过滤型(Packet Filter)防火墙只是根据数据包的

26、内容来判断是否允许数据包的传输。通常在网络层上通过对分组中的IP地址、TCP/UDP端口号以及协议状态等字段的检查来决定是否转发一个分组。第第7章章 Linux网络基础网络基础327.4 Linux网络安全网络安全分组过滤型防火墙的基本原理是：根据网络安全策略，在防火墙中事先设置分组过滤规则。依据分组过滤规则，对经过防火墙的分组流进行检查。分组过滤规则一定按顺序排列。当一个分组到达时，按规则的排列顺序依次地运用每个规则对分组进行检查。一旦分组与一个规则相匹配，则不再向下检查其它的规则。如果一个分组与一个拒绝转发的规则相匹配，则该分组将被禁止通过。如果一个分组与一个允许转发的规则相匹配，则该分组

27、将被允许通过。如果一个分组不与任何规则相匹配，则该分组将被禁止通过。这是遵循“一切未被允许的都是禁止的”的原则。第第7章章 Linux网络基础网络基础337.4 Linux网络安全网络安全(2)代理服务器 代理服务型防火墙充当客户和服务器程序之间的中介。客户程序要访问服务器必须通过代理服务器进行中转，而不允许它们之间直接建立连接进行通信。代理服务器打开一个到服务器的连接，发出请求，并继续在服务器和客户之间传输数据。克服分组过滤弱点的一个通用的方法是使用一个应用程序级网关。应用程序级网关是一个运行proxy服务的主机，用于过滤telnet和FTP这类服务连接。它可以和一个分组过滤路由器组合起来提

28、供更好的安全性和灵活性。第第7章章 Linux网络基础网络基础347.4 Linux网络安全网络安全 通常，运行代理服务器软件的主机称为堡垒主机(Bastion Host)。在体系结构上，代理服务型防火墙可采用三种结构来实现：双穴主机网关(Dual Home Gateway)。屏蔽主机网关(Screened Host Gateway)。屏蔽子网网关(Screened Subnet Gateway)。在实际中，代理服务型防火墙有两种类型：一种是应用级网关型，它工作在应用层上，对每一种应用，都设有一个代理，前面所述的代理服务器均属于这类防火墙；另一种是电路级网关型，它工作在传输层上，根据客户的TC

29、P连接请求，重新建立一个允许通过防火墙的TCP连接(也称连接重定向)来提供代理服务，而不是针对应用程序。第第7章章 Linux网络基础网络基础357.4 Linux网络安全网络安全7.4.4 Linux常用的网络命令 1.ftp命令 ftp命令是标准的文件传输协议的用户接口，其功能是在本地机和远程机之间传送文件。该命令的一般格式如下：$ftp 主机名/IP 如果没有指定主机名，ftp将给出提示符，等待用户输入命令：$ftp ftp 此时在ftp提示符后面输入open命令加主机名或IP地址，将试图连接指定的主机。第第7章章 Linux网络基础网络基础367.4 Linux网络安全网络安全 如果没

30、有远程机的专用登录帐号，许多ftp站点设有可以使用的特殊帐号。这个帐号的登录名为anonymous（也称为匿名ftp），当使用这一帐号时，要求输入email地址作为口令。一旦用户使用ftp在远程站点上登录成功，将得到“ftp”提示符。现在可以自由使用ftp提供的命令，可以用help命令取得可供使用的命令清单，也可以在help命令后面指定具体的命令名称，获得这条命令的说明。第第7章章 Linux网络基础网络基础377.4 Linux网络安全网络安全2telnet命令 用户使用telnet命令进行远程登录。该命令允许用户使用telnet协议在远程计算机之间进行通信，用户可以通过网络在远程计算机上登

31、录，就像登录到本地机上执行命令一样。用户还可以使用telnet从远程站点登录到自己的计算机上，检查电子邮件、编辑文件和运行程序，就像在本地登录一样。telnet命令的一般格式为：telnet 主机名/IP 其中“主机名/IP”是要连接的远程机的主机名或IP地址。如果这一命令执行成功，将从远程机上得到login：提示符。第第7章章 Linux网络基础网络基础387.4 Linux网络安全网络安全使用telnet命令登录的过程如下：$telnet 主机名/IP启动telnet会话。3rlogin命令 rlogin 是“remote login”（远程登录）的缩写。该命令与telnet命令很相似，允

32、许用户启动远程系统上的交互命令会话。rlogin 的一般格式是：rlogin -8EKLdx -e char -k realm -l username host 第第7章章 Linux网络基础网络基础397.4 Linux网络安全网络安全4rsh命令 rsh是“remote shell”（远程 shell）的缩写。该命令在指定的远程主机上启动一个shell并执行用户在rsh命令行中指定的命令。如果用户没有给出要执行的命令，rsh就用rlogin命令使用户登录到远程机上。rsh命令的一般格式是：rsh-Kdnx-k realm-l username host command 第第7章章 Linu

33、x网络基础网络基础407.4 Linux网络安全网络安全5rcp命令 rcp代表“remote file copy”（远程文件拷贝）。该命令用于在计算机之间拷贝文件。rcp命令有两种格式。第一种格式用于文件到文件的拷贝；第二种格式用于把文件或目录拷贝到另一个目录中。rcp命令的一般格式是：rcp-px-k realm file1 file2rcp-px-r-k realm file directory 第第7章章 Linux网络基础网络基础41本章小节本章小节 本章首先介绍了网络的基本知识，TCP/IP协议是Linux使用的主要协议。TCP 协议是面向连接的传输控制协议；IP协议工作在网络层，

34、负责数据报在计算机之间寻址，决定数据传送到哪里及出现网络故障时如何更换路由；TCP协议提供无连接的传输控制服务。在配置Linux网络中，主要讲了基本的网络配置文件及如何手工配置Linux网络。DNS服务器提供了名字转换功能，是由解析器查询的。解析器是专门用于域名服务器中获取IP地址的程序。要想在系统上使用域名服务器，必须配置解析器。本地的解析器是通过文件/etc/host.conf和/etc/resolv.conf来配置的。第第7章章 Linux网络基础网络基础42本章小节本章小节 Web服务是Internet服务器最基本的服务，Linux发行版中包含的Apache软件是性能优良的Web服务器

35、，也是Internet上最流行的Web服务器，由于它时刻都经历着无数使用者的测试，所以现行的Apache的默认选项已经是十分适合我们大家的了，你只需要更改其中几个与当前应用环境紧密相关的选项就可以达到你的目的了。sendmail有很强的适用性，并且它是在不断更新的。所以现在提供给我们的sendmail的配置方案已经经过实践检验，不需要管理员做太大改动，就可以实现强大的sendmail功能。第第7章章 Linux网络基础网络基础43本章小节本章小节 Linux是一个优秀的网络操作系统，它可与多种网络集成。Linux系统的稳定性、可靠性受到了广大用户的欢迎，在中小型网或者在公司、部门、单位等内部网（Intranet）上，常将Linux充当有效而强劲的文件和打印服务器，让windows客户机共享Linux系统中的文件。这种Linux与 windows网络集成是通过samba来实现。其实大家看了本文关于Samba的介绍已经有了一个切身的感觉，就是Samba的配置选项太多了，但是要实现我们的目的只需要更改其中不多的部分就足以实现强大的文件、打印共享了。在Linux网络安全一节中，讲了文件系统的安全、用户口令的安全、防火墙技术及常用的Linux网络命令。