虚拟云主机在网络安全中的应用探索.docx

《虚拟云主机在网络安全中的应用探索.docx》由会员分享，可在线阅读，更多相关《虚拟云主机在网络安全中的应用探索.docx（34页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、虚拟云主机在网络安全的应用探索摘要：随着中华人民共和国网络安全法出台并正式实施，而后到了2019年12月网络安全等级保护标准2.0正式开始推广执行。以上两个事件标志着我国网络安全建设进入主动防御时代。上至政府机关、国有企业，下到中小型创新企业，乃至每一个公民的的网络安全有了保障！在这种大环境下，网络安全行业将无疑将迎来稳健的发展，但同时，对网络安全从业人员可以说是机遇与挑战并存。我所研究的虚拟云主机在网络安全的应用探索这一课题，旨在研究如何把虚拟云主机部署接入内网，同时将现有安全检测工具整合同一到虚拟云主机并加以改进，从而对现有的安全检查方式进行转型升级，使之多方结合，各取其优，继而跟上网络信

2、息安全等保2.0时代升级的步伐。关键词： 网络安全、虚拟云主机、等保2.0、主动防御。Exploration of Application of Virtual Cloud Host in Network SecurityAbstract： With the Peoples Republic of China Cyber Security Law promulgated and officially implemented, then in December 2019, the Multi-level Protection Scheme (“MLPS”) 2.0 system was offi

3、cially promoted and implemented. The above two events signify that Chinas network security construction has entered an era of active defense. From government agencies, state-owned enterprises, to small and medium-sized innovative enterprises, and even the network security of every citizen is guarant

4、eed!In this general environment, the network security industry will undoubtedly usher in steady development, but at the same time, it can be said that opportunities and challenges coexist for network security practitioners. My research topic Exploration of Virtual Cloud Hosting in Network Security a

5、ims to study how to deploy the virtual cloud host to the intranet, and integrate the existing security detection tools into the virtual cloud host and improve it. Therefore, the existing security inspection methods will be transformed and upgraded, so that they can be combined in multiple ways, and

6、each will be optimized, and then keep up with the pace of upgrading in the era of the Multi-level Protection Scheme (“MLPS”) 2.0 system.Keywords： Network Security，Cloud Base Virtua Hosts ,“MLPS”2.0，Active Defense目录第1章 绪论11.1 研究的背景和意义11.1.1 国内外背景11.1.2 探索意义21.2 虚拟云部署的目的和原则31.2.1 实现目的31.2.2 遵守原则31.3 论

7、文的主体结构、研究方法31.3.1 主体结构31.3.2 研究方法4第2章 需求分析52.1 网络安全行业的需求52.2 企业的需求62.3 职业人员的需求6第3章 相关技术和工具83.1 应用中的相关技术83.1.1 对等式网络（peer-to-peer）83.1.2 虚拟专用网络（Virtual Private Network）83.1.3 云服务器ECS（Elastic Compute Service）83.2 需要使用的工具93.2.1 云翼计划-ECS服务器93.2.2 树莓派 （Raspberry Pi）93.2.3 N2N93.2.4 Network Mapper103.2.5

8、AVWS漏洞扫描器(Web Vulnerability Scanner)10第4章 设计实现114.1 总体的设计方案114.1.1 异地组建虚拟局域网方案114.1.2 虚拟局域网内的IP分配124.2 实现流程展示124.2.1 前期准备124.2.1.1 ECS云服务器准备124.2.1.2 树莓派3b准备154.2.1.3 下载安装N2N164.2.2 虚拟局域网搭建174.2.3 内网接入204.2.4 在S-Node 部署Nmap扫描器214.2.5 在S-Node 部署AWVS扫描器21第5章 测试及实际应用235.1 测试效果235.1.1 测试虚拟局域网内的连接235.1.2

9、 测试从EdgeB是否能与EdgeA内网中的服务器进行通信245.2 功能应用展示245.2.1 通过EdgeB登陆部署在Snode的AWVS扫描器进行扫描24第6章 总结与展望26参考文献27致谢28第1章 绪论1.1 研究的背景和意义1.1.1 国内外背景2020，对网络安全来说似乎也是一个轮回之年。刚刚过去的RSAC，其年度主题又回到了老生常谈的瓶颈Human Element（人为因素）。网络安全的热门话题波澜壮阔地绕了好几年，五花八门的高级概念说了个遍，然后在各种要求重视的急迫喊话终于发现：想要真正解决核心问题，还是得回归本源。网络安全追根溯源，终归是要解决攻防问题中的人为因素！放眼真

10、实世界的网络攻防，无论发生在物理世界，还是网络的虚拟空间，操纵各类系统、数据、应用等等工具的背后因素，终归还是人。这是在具备了同样资源的情况下，能把安全问题解决得高下立见的决定因素。纵观近些年来的国内外的互联网环境，通过各种危险等级的新旧漏洞进行Cyber攻击的互联网安全问题，自始至终都伴随着整个互联网行业的蓬勃发展而不断涌现，好像灯光下的阴影一般难以剥离。而近些年，网络安全的威胁形式以及攻击方式也出现了不同的变化：从单一个人的入侵行为慢慢发展成为有组织有目标且具有强烈针对性的大规模多重攻击。“新型攻击方式的变化：仍然会利用各种漏洞，比如：Google 极光攻击事件中被利用的 IE 浏览器溢出

11、漏洞，Shady RAT 攻击事件中被利用的 EXCEL 程序的 FEATHEADER 远程代码执行漏洞。其实攻击者攻击过程并非都会利用 0day 漏洞，比如 FEATHEADER 远程代码执行漏洞，实际上，大多数攻击都是利用的已知漏洞。对于攻击者来说，IT 系统的方方面面都存在脆弱性，这些方面包括常见的操作系统漏洞、应用系统漏洞、弱口令，也包括容易被忽略的错误安全配置问题，以及违反最小化原则开放的不必要的账号、服务、端口等。 ”1 NSF-PROD-RSAS-V6.0-产品白皮书-V1.0但是，在网络安全原有威胁形式严重恶化的情况下，现有网络安全检查员仍在使用原有的固化安全检查方法和检测工具

12、，仅对网络系统进行季度或半年一次的安全检查。这样，很难通过安全检查提前修复网络安全漏洞。网络安全检查员需要对负责系统的网络漏洞进行全方位、多层次的有效检查，及时修复存在的网络漏洞问题，确保修复正确完成。另外，在新型漏洞被发现时，应该要做到及时部署检测，以避免时间差攻击导致整体系统的沦陷。正是以上种种原因，我国中华人民共和国网络安全法于2016年11月7日出台并于次年6月1日正式实施，以及2019年12月，网络安全等级保护标准2.0正式开始执行应用，标志着我国网络安全建设进入主动防御时代。1.1.2 探索意义随着中华人民共和国网络安全法出台以及于2017年正式实施，再到2019年12月，网络安全

13、等级保护标准2.0正式开始实施应用，证明我国网络安全建设顺应时代变化，开始进入主动防御时代。这意味着过去单一的、分散的安全检查方式需要进化成为系统的、全面的、整合型检查。相应的，检查时间也会更为频繁，从之前的一年一检变成半年乃至一季度进行一次检查，重要的资产甚至是以用一检。而对于新型高危漏洞，更要针对性的进行检测，尽可能做到发布即可部署检测方式。以上这些安全检查变化既是对安全检查人员的考验，也是对现有安全检测工具升级整合的契机。为此，本课题意在研究如何把虚拟云主机部署接入内网，同时将现有安全检测工具整合同一到虚拟云主机并加以改进，从而对现有的安全检查方式进行转型升级，使之多方结合，各取其优，继

14、而跟上网络信息安全等保2.0时代升级的步伐。1.2 虚拟云部署的目的和原则1.2.1 实现目的本课题开发的主要目的及内容：通过部署在虚拟云主机上的N2N服务实现异地组网，使个人通过服务远程接入内网进行安全检查或通过快速部署云主机上的安全工具对内外网进行指向性安全检查从而达到云端主动防御的目的。重点需要实现以下功能：1. 7*24小时在线；2. 从云端快速接入；3. 可通过接入点连入内网环境；4. 模块化安装运行安全检查插件；5. 危情及时通告。1.2.2 遵守原则本课题研究的遵守的原则如下：1 符合相关法律法规；2 保证应用服务的安全性3 保证不对实验目标产生负面影响（如过分降低性能、引起业务

15、中断等）；4 实验测试必须在获得许可的情况下进行；5 保证课题的各项数据真实可靠；6 保证参考数据来源透明可溯源。1.3 论文的主体结构、研究方法1.3.1 主体结构本课题将结合自身实习过程中遇到的问题，研究如何把虚拟云主机部署接入内网，同时将现有安全检测工具整合同一到虚拟云主机并加以改进。主体结构将分为6个章节：1 绪论：介绍研究背景及意义，本课题所要实现的目的、遵守的原则，论文的主体结构及研究方法。2 需求分析：对网络安全行业的需求分析以及根据本人实习工作中切实体会到的需求进行阐述。3 相关技术和工具：用于对课题中用到的各种辅助工具及相关技术进行相应的介绍。4 设计实现：详细介绍整体设计方

16、案思路以及具体的实现流程。5 测试及实际应用：对设计实现的功能进行测试以及实际应用。6 总结与展望：针对本次研究的过程和结果进行总结归纳，衡量各方面得失，并将所得经验吸收归纳，进而展望未来的无限可能！1.3.2 研究方法本课题将采用理论研究、实验研究、评价研究、实际应用等方法开展实践。对于已有的、成熟的技术（如漏洞扫描、流量检测等技术）采取理论研究并根据前人的总结经验加以实践；而对于一些较为创新或理论基础较少的技术方法则需要对应进行实验研究，不断试误、调优进而完成模型建设；在实验试误、调优的过程中出现的不同结果则需要使用评价研究的方法取最优路线完成对安全检测平台的整合实现；完成过程中加入在实战

17、过程中的实际应用以使得课题加以完善。研究的技术路线：1.深入了解云端虚拟化的技术特点，解决平台部署问题；2.研究从云端到内网的加密接入方法；3.学习研究跨类别安全检测工具的统一整合方法；4.学习构建简单、易用、安全系统界面；5.研究模块化插件的实现方法。30第2章 需求分析2.1 网络安全行业的需求让我们来头脑风暴一下：自国内网络安全、信息安全开始出现行业需求至今将近30年之间里，有什么是一直在变？又有什么始终不变？其实这个问题很简单！正如我们所知道的、感受到的：随着时代的更迭，技术、应用场景、用户的需求不断在变。始终不变的是人为因素导致的结果。层出不穷的变化导致了网络安全防御理念的变化。为了

18、适应新的市场环境，厂商战略和产品组合都需要随之做出调整。图2-1 网络防御理念发展史如图2-1所示，最初的单点防御(我们通常称为杀毒软件)是安全防御概念的一个独立时代。当Internet出现时，就有了内部网和外联网分离的安全概念，网络世界也因而进入了以“杀软、防火墙、入侵检测”为基础的防御时代。后来，企业用户开始拥有自己的服务器、网站和网站业务系统的部署，这使得安全设备的需求变得更加多样化。尽管如此，多样化安全设备也是一直以“城墙+护城河”的“防御理念+守护模型”来保卫网络资产安全。近年来，随着移动互联网和云计算的发展，企业应用迁移到云上，用户可以从移动终端访问云上的企业应用，边界模糊，防御系

19、统深度被打破，“零信任”逐渐成为主流的安全防御理论。与此同时，网络技术产业正在掀起新一轮科技创新浪潮。移动互联网、物联网和云计算的普及和应用，使得网络安全技术具有多样性应用场景。人工智能、大数据等新技术的逐渐成熟，也带动了安全产品的升级和创新。在云、移动、工业控制和物联网等场景中其中，vFW、云主机安全、工控防火墙、物联网安全网关等我们在市场上看到的也都是在传统安全的基础上进行新场景的适应搞，也就是一般所说的“老产品解决新问题”。今天，我们所说的情景感知、EDR、IDaaS、NTA和UEBA都应用新技术来升级旧产品该产品更有效，但安全问题与十年前没有太大的不同，通常被称为“解决老问题的新方法”

20、。正因如此，现有的传统的安全检查防御方式应该与云端进行整合，随着整合实现转型升级，在边界模糊、纵深防御体系瓦解之前，找到符合“零信任”防御理念的主动防御模式，这也是当前网络安全行业迫切需求！2.2 企业的需求在网络安全行业的迫切需求下，企业的需求也随之而来。把安全防御工具转移到云主机上，可以有效使现有的安全服务工具在功能多样化的同时，加快部署的速度，还能减少各项不必要的开销。这无疑是利大于弊的。首先，云端的运算能力和带宽是可以实现弹性增长，空闲时的算力又可以智能优先调配到其他服务上，这样可以有效利用服务器的闲置算力，从而使服务器收益达到最大化！另外，整合到云端以后能实现一对多服务，通过vpn跳

21、板实现多点接入，对多地资产进行统一管理。这样一来可以缩小团队管理规模，简化管理流程，减少管理带来的人力、差旅等开销。还有就是云端能保持24小时在线，联网即可登陆考察各项安全状况，有新的检测工具也可以实现快速部署，实时更新。我个人认为以上这些都符合网络安全企业追求更快、更高效、更低成本的主动防御需求，也是安全服务向云迁移的核心驱动力。2.3 职业人员的需求说完行业和企业，再来说说职业吧！自去年我离开学校入职天融信网络安全技术有限公司已有大半年的时间。期间乘着工作之便，可以和形形色色的厂商运维、项目甲方特别是同为友商的网络安全职业人员打过交道，有过深入的讨论，再根据个人的体会两相结合，说说为什么职

22、业人员有把业务工具迁移至云的需求：作为网络安全的从业人员，常常要往来于不同机构的不同项目之间，需要调整适应这些机构项目中形态各异的网络环境，这些网络环境多数都是内网，被各种安全设备重重保护，多数都需要职业人员到场实施各项安全检查，就算有可以远程的接入点也应该是种种限制无法开展的。平日里的例行检查还好，但到了应急响应的时候，到场的通勤时间往往就成了整个防御系统的死穴。可能也就短短的45分钟，就已经够那些高级别黑客好几波攻击并成功拿下了。可能你会觉得我是危言耸听，也可能会疑惑，重要的资产难道会没有驻场人员吗？有这样想法其实挺正常的，我刚开始的时候也这样想，但现实往往就是这么残酷。真的那么坚不可摧的

23、防护，安全事件还会那么多吗？驻场人员一定有这个能力吗？还有些利益相关不可描述的因素，就不细说了。我这里就拿这次疫情做例子来说吧，当大家都被迫居家办公的时候，多数的安全检查都因无人到场而延后，各种上线，维护被叫停，部分新发现漏洞差点就无法修复了。但是，如果有能从云主机的接入的就能有效解决以上痛点，这些都是本人从业中经验中切实的需要。第3章 相关技术和工具3.1 应用中的相关技术3.1.1 对等式网络（peer-to-peer）对等式网络，即根据英文专业术语“peer-to-peer”译作点对点技术。通常情况下简称为P2P。其最主要的特征是无中心服务器承载，依托用户群节点（peer）进行汇联进行信

24、息交换，也就是业内所说的去中心化。此技术优势在于可通过优化选择传输线路来减少传输的节点，从而降低信息丢失的几率。3.1.2 虚拟专用网络（Virtual Private Network）虚拟专用网络是由英文专业术语Virtual Private Network直译所得，通常情况下，我们将其简称为VPN。“VPN(Virtual Private Network虚拟专用网络)是在公用网络上组建专用网络,并对网络报文进行安全传输。随着网络规模和企事业单位信息化的发展,传统星型网络组网方式的VPN网关成为了网络中的瓶颈,中心节点一旦瘫痪,其它VPN网关将无法工作,在VPN上运行的业务将被迫停止。在众多

25、组网方式中,P2P(Peer To Peer对等计算)组网方式具有无中心、动态、对等和自动组织网络等能特性。P2P组网方式与VPN安全技术结合,能够使现有VPN网络不再受中心服务器瓶颈影响,带来了可扩展、健壮和高性价比等方面的优势。”2 2王伟. 基于P2P的VPN网关设计和实现D.电子科技大学,20153.1.3 云服务器ECS（Elastic Compute Service）云服务器 ECS（Elastic Compute Service）是一种通过云主机实现计算资源弹性可伸缩的计算服务。3.2 需要使用的工具3.2.1 云翼计划-ECS服务器“云翼计划”是阿里云提供给大学生的校园扶持计划

26、，目的是以让广大学子和青年创业者以超低的价格打造“年轻人的第一台云服务器”。该计划提供了两种云服务器的选择：云服务器ECS和轻量应用服务器。本课题选用的是云服务器ECS以求在必要时增加带宽和计算能力。选择的配置如下：图3-1 ECS服务器配置3.2.2 树莓派 （Raspberry Pi）树莓派（Raspberry Pi）在极客圈内称作RPi。在推出的初期的用途是用作计算机编程教育的基于Linux的微型计算机。但后来，因其功能完备、玩法多样，自发布以来受到广大计算机发烧友和科技创客的狂热追捧。本课题使用的是树莓派3b型。3.2.3 N2N“n2n 是一个开放源代码的 2 层跨越 3 层的 VP

27、N 程序，该程序利用了点对点的架构来处理网络间的成员关系和路由。不像大多数 VPN 程序那样， n2n 可以连接位于 NAT 路由器后面的计算机。这些连接在双方计算机都能连接的第三方计算机的帮助下建立起来。这台第三方的计算机，我们称之为 supernode，他可以为 NAT 的计算机之间传输信息。这是一个免费的开源软件，以 GNU General Public License v3 协议开源。” 来源网络-维基百科3.2.4 Network MapperNetwork Mapper也就是我们俗称的Nmap,常用作网络连接端扫描，后续更新完善的版本已越发功能强大，现在已成为众多网络安全管理人员和

28、运维人员必不可少的工具软件之一。3.2.5 AVWS漏洞扫描器(Web Vulnerability Scanner)“WVS(Web Vulnerability Scanner)是一个可多平台部署的自动化web应用程序安全测试工具，其主要功能是：扫描具有进行Web访问并且遵循HTTP/HTTPS规则的站点或应用程序。可以用于任何中小型和大型企业的Web网站。WVS可以检查SQL注入攻击漏洞、跨站脚本攻击漏洞等来对web应用程序和系统的安全性进行审核。” 来源网络-维基百科第4章 设计实现4.1 总体的设计方案4.1.1 异地组建虚拟局域网方案本次设计通过采用N2N实现P2P组网，由N2N组建的

29、虚拟局域网主要由中心节点（Super node）和边缘节点（Edge node）组成。中心节点是前期边界节点进行通信的中介，在本次方案中由阿里的ECS云服务器担任中心节点，以保持整个虚拟局域网的正常运转。在通过中心节点前期对边缘节点保持稳定的数据交互后（参照图4-1前期链路-蓝线），如果两个边缘节点能自行学习到相互的网络路径后，则会开始通过UDP打洞、NAT穿透等方法，自行建立P2P虚拟局域网络（参考图4-1稳定P2P链路-青线），进行直接的数据交互，而中心节点则变为保持少量数据交互，维持整个链路的存在。在构建好外网的链路后，就开始着手进行内网的路由转发，通过再树莓派3b上添加路由，使得内外网

30、得以打通，最终实现从其他边缘节点远程访问树莓派3b所接入的内网（整体链路可参考图4-1经路由转发后实现的链路-红线）。后续本文将把用作接入内网的树莓派3b记作EdgeA;把用于远程的检查的笔记本电脑记作EdgeB；用作中心节点的ECS云服务器记作S-node，下文中不再重复叙述。在EdgeA上配置路由转发，使EdgeA所处的内网环境可以与虚拟局域网相互连通。概念化的网络拓扑如图4-1：图4-1 组网方案概念拓扑4.1.2 虚拟局域网内的IP分配为避免虚拟局域网的IP段与接入的边缘节点所处内网的IP段产生干涉，这里根据本人所处的项目设置为不常见的172.16.25.0/24网段。具体IP划分分配

31、，详见下表4-1：节点名称分配IPS-node172.16.25.1/24EdgeA172.16.25.10/24EdgeB172.16.25.20/24表4-1 虚拟局域网IP划分表注意：如有冲突也可以实时按需更改。4.2 实现流程展示4.2.1 前期准备4.2.1.1 ECS云服务器准备1 申请开通这里本来是想申请云翼计划的9.9元每月的学生ECS服务器，但由于疫情，阿里云给广大在校学生和青年提供了免费的ECS云服务器作研究用途，仅需通过学生身份认证以及完成一个小测验即可领取，而且配置还比云翼计划高，这里对阿里云的慷慨表示感谢！申请的详细配置，见下图：图4-2 虚拟云主机申请配置为降低延迟

32、，选择位于广东省深圳市的华南区服务器（见图4-2中的地域部分），系统采用了CentOS 7.7。给出的配置可见图4-2，是不可更改的，默认为双核、4G内存、1M带宽以及40G云存储空间。2 通过Xshell进行SSH 连接在阿里云的ECS云服务器管理界面可以看到服务器当前的弹性公网IP。在Xshell中新建会话并右键属性-连接，进行修改为S-Node，并填写服务器的弹性公网IP。为安全起见在图4-3对公网IP进行模糊化处理，但从图4-3可见设置的便捷性及交互UI的清晰明确易学：图4-3 Xshell 连接设置配置文件上传服务：如图4-4所示，右键属性-类别-文件传输，根据实际情况勾选Zmode

33、m启用该功能。图4-4 Xshell 文件传输设置3 安装需要的环境首先执行如下命令进行整体更新yum update安装gcc 环境cd /var/tmp/#下载一个gcc，由于害怕新版环境依赖会有问题，这里选择了较为稳定的5.50版本。wget # 解压下载好的文件。tar -zxvf gcc-5.5.0.tar.bz#进入目录cd gcc-5.5.0#因为在编译gcc过程中，需要一些额外文件，具体是在/contrib/download_prerequisites 文件里，直接执行一下的即可。./contrib/download_prerequisites#新建一个目录，然后配置mkdir

34、build#进入目录cd build#配置./configure -enable-checking=release -enable-languages=c,c+ -disable-multilib编译(过程冗长且复杂，非本课题主要研究对象，此处简略处理)make & make install#编译安装，时间较长！ reboot#安装完成需要重启。4.2.1.2 树莓派3b准备1 预烧录安装系统树莓派的系统我选择的是官方的Raspbian稳定版。这个系统是官方根据树莓派自身特性基于Debian开发的，对树莓派具有很好的兼容性，软件策略偏向保守，较为稳定，更新升级频率较低使其易于维护。说实话其实O

35、penWrt会相对较好，但是前段时间爆出的内核漏洞让我打消了这个念头。使用Win32DiskImager把Raspian-buster-lite镜像烧录到SD卡中：图4-5 树莓派系统烧录当Win32DiskImager弹出如图4-5中的完成提示框即说明烧录完成！2 通过Xshell进行SSH 连接并配置在烧录好系统后需要在根目录下新增SSH文件，以为安全问题新版系统从2016年起SSH服务是默认关闭的操作完成后开机接入到本地网络，查询自动获取的地址使用默认的账号密码进行登录。安全起见登陆后应该修改默认的账号密码。3 安装需要的环境安装各项应用需要的subversion 、build-esse

36、ntial、libssl-dev下图为安装命令及安装部分运行日志：图4-6 树莓派环境安装4.2.1.3 下载安装N2NN2N在各个linux的发行版的安装方法大体相同，为不重复叙述，简一言之，这里以Snode安装为例：l 下载cd /var/tmp#进入tmp文件夹git clone #从git hub下载源码l 安装cd n2n/n2n_v2#进入文件夹mkdir build# 新建build文件夹用于存放预编译文件cd buildcmake .#进行预编译处理make & make install#编译安装安装完成后需要自行记录保存安装日志，以便日后需要所处安装。4.2.2 虚拟局域网搭

37、建N2N参数说明：l Super node（中心节点）:# 使用范例supernode -l #参数说明：-l 设置UDP监听端口。-f 前端运行。-v 查看运行日志。-h 帮助信息。 Supernode 帮助文档因为是要把S-node用作中心节点，所以在S-node上启动Supernode服务，且为避免后续需要重启,这里需要把Supernode做成服务脚本并设置开机自启动编写脚本如下：vi /usr/lib/systemd/system/n2n_supernode.service#新建并编写supernode 启动脚本文件。UnitDescription=n2n supernodeWants

38、=network-online.targetAfter=network-online.targetServiceExecStart=/usr/local/n2n/sbin/supernode -l 56636InstallWantedBy=multi-user.target启用写好的服务脚本：systemctl enable n2n_supernode#启用脚本systemctl start n2n_supernode#开始服务接下来重启后Sunper node就会在后台运行。l Edge node（边缘节点）:# 使用范例edge -d -a static:|dhcp: -c -k | -K

39、 -s -u -g -f-m -l -p -M -r -E -v -t -b -h-d | tun 设备名-a | Set interface address. For DHCP use -r -a dhcp:0.0.0.0-c | n2n community name the edge belongs to.-k | Encryption key (ASCII) - also N2N_KEY=. Not with -K.-K | Specify a key schedule file to load. Not with -k.-s | Edge interface netmask in do

40、tted decimal notation (255.255.255.0).-l | Supernode IP:port-b | Periodically resolve supernode IP: (when supernodes are running on dynamic IPs)-p | Fixed local UDP port.-u | User ID (numeric) to use when privileges are dropped.-g | Group ID (numeric) to use when privileges are dropped.-f | Do not f

41、ork and run as a daemon; rather run in foreground.-m | Fix MAC address for the TAP interface (otherwise it may be random): eg. -m 01:02:03:04:05:06-M | Specify n2n MTU of edge interface (default 1400).-r | Enable packet forwarding through n2n community.-E | Accept multicast MAC addresses (default=dr

42、op).-v | Make more verbose. Repeat as required.-t | Management UDP Port (for multiple edges on a machine).Environment variables:N2N_KEY | Encryption key (ASCII). Not with -K or -k. Edge 帮助文档1. 树莓派Raspbian按实际情况输入到以下命令执行即可开启edge 服务edge -r -a static:172.16.25.10 -c 社区名 -k 社区密钥 -l Snode IP:Snode Port2.

43、Window 10编译要对释出的源码进行编译，获得可执行文件后使用PowerShell运行（填入实际参数的命令）即可:.edge_v2.exe -a static:172.16.25.20 -c zHD56636 -k Z665#a -l 47.106.247.254:566364.2.3 内网接入出于安全性及机动性考虑，内网接入只添加临时路由，在无需访问的场景下可以删除，以防不可预测的事情发生：在EdgeA上使用route 命令添加：使用范例：# route add host 主机IP dev edge0/在edge0上添加到主机的路由# route add host 网段 gw 转发IP/添加从转发IP发出到网段的路由# route add net IP/网段 netmask 子网掩码 edge0/添加从edge0发出到IP/网段的路由# route add net IP/网段 netmask 子网掩码 gw 网关IP/添加从网关IP发出到IP/网段的路由# route add net 192.168.1.0/24 edge0/添加到192.168.1.0/24的路由# route add default gw 192.168.2.1/添加默认网关# route del host 主机IP dev e