項目8網(wǎng)絡(luò)管理《Linux網(wǎng)絡(luò)操作系統(tǒng)項目化教程（openEuler）》學(xué)習(xí)目標/Target了解計算機網(wǎng)絡(luò)，能夠說出什么是網(wǎng)絡(luò)。了解網(wǎng)絡(luò)協(xié)議及體系結(jié)構(gòu)，能夠說出常用的網(wǎng)絡(luò)體系結(jié)構(gòu)及協(xié)議。熟悉IP地址、端口號及子網(wǎng)掩碼，能夠說出IP地址、端口與子網(wǎng)掩碼的作用。知識目標學(xué)習(xí)目標/Target掌握主機的配置方法，能夠熟練使用命令更改主機名稱。掌握網(wǎng)卡配置方法，能夠熟練使用命令配置動態(tài)IP地址與靜態(tài)IP地址。掌握ping命令，能夠熟練使用ping命令測試主機的連通性。掌握ip命令，能夠熟練使用ip命令查看主機IP地址及網(wǎng)卡信息。了解nslookup命令，能夠使用nslookup命令查看主機域名。了解常用網(wǎng)絡(luò)通信命令，能夠使用write、wall、mesg命令向用戶發(fā)送消息。掌握nmcli命令的使用，能夠使用nmcli命令完成雙網(wǎng)卡的綁定。技能目標學(xué)習(xí)目標/Target通過學(xué)習(xí)網(wǎng)絡(luò)協(xié)議與體系結(jié)構(gòu)，培養(yǎng)宏觀視角和分層解決復(fù)雜問題的能力。通過學(xué)習(xí)網(wǎng)絡(luò)數(shù)據(jù)傳輸流程，培養(yǎng)細致入微的態(tài)度與注重細節(jié)的意識。通過實踐主機網(wǎng)卡配置，增強綜合思考能力，理解軟硬件協(xié)同工作的重要性，提升跨學(xué)科項目的整合能力。素養(yǎng)目標目錄/Contents8.18.2計算機網(wǎng)絡(luò)基礎(chǔ)Linux操作系統(tǒng)基本網(wǎng)絡(luò)配置8.3常用的網(wǎng)絡(luò)管理命令8.4常用的網(wǎng)絡(luò)通信命令項目導(dǎo)入01項目導(dǎo)入A公司近期成功上線一個課程學(xué)習(xí)平臺，憑借豐富的課程資源與優(yōu)質(zhì)的教學(xué)內(nèi)容，吸引了大量訪問流量。小智所在的技術(shù)支持部門肩負著保障網(wǎng)站穩(wěn)定運行的重任。近日，技術(shù)支持部門發(fā)現(xiàn)單網(wǎng)卡的服務(wù)器網(wǎng)絡(luò)配置已難以承受如此龐大的流量訪問，頻繁出現(xiàn)網(wǎng)絡(luò)延遲甚至短暫中斷的情況，嚴重影響用戶體驗，急需提升服務(wù)器的網(wǎng)絡(luò)承載能力，以確保網(wǎng)站流量傳輸?shù)姆€(wěn)定性和效率。上級領(lǐng)導(dǎo)決定通過為服務(wù)器增設(shè)網(wǎng)卡來實現(xiàn)流量分流，雙網(wǎng)卡綁定不僅能夠有效增加網(wǎng)絡(luò)帶寬，實現(xiàn)流量的合理分流，還能提供冗余備份功能，大大提升服務(wù)器網(wǎng)絡(luò)的可靠性，保障網(wǎng)站在高流量訪問下的穩(wěn)定運行。為此，知識扎實、經(jīng)驗豐富的領(lǐng)導(dǎo)對小組同事進行了一場網(wǎng)絡(luò)知識培訓(xùn)，尤其對雙網(wǎng)卡綁定技術(shù)的原理與應(yīng)用進行了深入講解。在此期間，小智也積極響應(yīng)參與，為服務(wù)器雙網(wǎng)卡綁定配置工作做好充分準備。知識準備02在學(xué)習(xí)Linux操作系統(tǒng)的網(wǎng)絡(luò)管理之前，需要了解一些基礎(chǔ)的網(wǎng)絡(luò)知識，如計算機網(wǎng)絡(luò)、網(wǎng)絡(luò)協(xié)議與體系結(jié)構(gòu)、網(wǎng)絡(luò)數(shù)據(jù)傳輸流程、IP地址與端口號、子網(wǎng)掩碼等。本節(jié)將對這些計算機網(wǎng)絡(luò)基礎(chǔ)知識進行講解。8.1計算機網(wǎng)絡(luò)基礎(chǔ)了解計算機網(wǎng)絡(luò)，能夠說出什么是網(wǎng)絡(luò)。學(xué)習(xí)目標8.1.1計算機網(wǎng)絡(luò)基礎(chǔ)計算機網(wǎng)絡(luò)是繼電信網(wǎng)絡(luò)、有線電視網(wǎng)絡(luò)出現(xiàn)的世界級大型網(wǎng)絡(luò)。在計算機領(lǐng)域，網(wǎng)絡(luò)由若干個節(jié)點和連接這些節(jié)點的鏈路組成，網(wǎng)絡(luò)中的節(jié)點可以是計算機、交換機、路由器等。一個簡單的計算機網(wǎng)絡(luò)模型如圖。8.1.1計算機網(wǎng)絡(luò)基礎(chǔ)計算機網(wǎng)絡(luò)之間可以相互連接，組成更大的網(wǎng)絡(luò)，這種網(wǎng)絡(luò)被稱為互聯(lián)網(wǎng)。互聯(lián)網(wǎng)模型如圖。8.1.1計算機網(wǎng)絡(luò)基礎(chǔ)了解網(wǎng)絡(luò)協(xié)議及體系結(jié)構(gòu)，能夠說出常用的網(wǎng)絡(luò)體系結(jié)構(gòu)及協(xié)議。學(xué)習(xí)目標8.1.2網(wǎng)絡(luò)協(xié)議與體系結(jié)構(gòu)網(wǎng)絡(luò)通信是一個復(fù)雜的過程，為了保證通信能順利進行且目標主機能獲取準確、有效的數(shù)據(jù)，數(shù)據(jù)的封裝必須遵循一系列事先約定好的規(guī)則，數(shù)據(jù)的傳遞與接收也要符合既定的流程。8.1.2網(wǎng)絡(luò)協(xié)議與體系結(jié)構(gòu)1.網(wǎng)絡(luò)協(xié)議人們把事先約定好的、為交換網(wǎng)絡(luò)中的數(shù)據(jù)而建立的規(guī)則稱為協(xié)議（Protocol）。協(xié)議由如下幾個要素組成。8.1.2網(wǎng)絡(luò)協(xié)議與體系結(jié)構(gòu)1數(shù)據(jù)與控制信息的結(jié)構(gòu)或格式。2需要發(fā)出何種控制信息、完成何種動作以及做出何種響應(yīng)。3事件實現(xiàn)順序的詳細說明。語法：語義：同步：復(fù)雜通信過程中的各項操作可能會出現(xiàn)各種各樣的結(jié)果，若只為其制定一組協(xié)議，這組協(xié)議勢必會非常復(fù)雜。因此，人們基于計算通信的流程，設(shè)計了包含多個層次的網(wǎng)絡(luò)體系結(jié)構(gòu)，意圖將一次通信過程劃分為多個階段，為每個階段的操作制定不同的規(guī)則。較為常見的體系結(jié)構(gòu)有OSI模型和TCP/IP模型。8.1.2網(wǎng)絡(luò)協(xié)議與體系結(jié)構(gòu)1.網(wǎng)絡(luò)協(xié)議1.網(wǎng)絡(luò)協(xié)議OSI體系結(jié)構(gòu)側(cè)重于功能的層次劃分，而TCP/IP體系結(jié)構(gòu)側(cè)重于網(wǎng)絡(luò)設(shè)備間的數(shù)據(jù)傳遞，它比OSI更為精簡，也更加靈活。由于網(wǎng)絡(luò)體系結(jié)構(gòu)中使用協(xié)議是相同的，因此，雖然OSI體系結(jié)構(gòu)與TCP/IP體系結(jié)構(gòu)劃分的層次不同，但它們之間存在著對應(yīng)關(guān)系，其對應(yīng)關(guān)系及各層常用的協(xié)議如圖。8.1.2網(wǎng)絡(luò)協(xié)議與體系結(jié)構(gòu)除了OSI體系結(jié)構(gòu)和TCP/IP體系結(jié)構(gòu)之外，人們還提出了一種5層網(wǎng)絡(luò)體系結(jié)構(gòu)，這種體系結(jié)構(gòu)由上而下依次為應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層和物理層，各層的功能分別如下所示。應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層2.

5層網(wǎng)絡(luò)體系結(jié)構(gòu)8.1.2網(wǎng)絡(luò)協(xié)議與體系結(jié)構(gòu)為應(yīng)用進程提供服務(wù)。該層的協(xié)議定義應(yīng)用程序使用互聯(lián)網(wǎng)的規(guī)則。應(yīng)用層8.1.2網(wǎng)絡(luò)協(xié)議與體系結(jié)構(gòu)2.

5層網(wǎng)絡(luò)體系結(jié)構(gòu)為應(yīng)用進程提供連接服務(wù)，實現(xiàn)兩端進程的會話。該層的協(xié)議定義進程的通信規(guī)則。8.1.2網(wǎng)絡(luò)協(xié)議與體系結(jié)構(gòu)2.

5層網(wǎng)絡(luò)體系結(jié)構(gòu)傳輸層為分組交換網(wǎng)上的不同主機提供通信服務(wù)。該層的協(xié)議定義應(yīng)用程序封裝數(shù)據(jù)的格式，以及數(shù)據(jù)包的轉(zhuǎn)發(fā)機制。8.1.2網(wǎng)絡(luò)協(xié)議與體系結(jié)構(gòu)2.

5層網(wǎng)絡(luò)體系結(jié)構(gòu)網(wǎng)絡(luò)層將從網(wǎng)絡(luò)層獲取的IP數(shù)據(jù)報組裝成幀，在網(wǎng)絡(luò)節(jié)點之間以幀為單位傳輸數(shù)據(jù)。該層的協(xié)議定義了幀的格式。8.1.2網(wǎng)絡(luò)協(xié)議與體系結(jié)構(gòu)2.

5層網(wǎng)絡(luò)體系結(jié)構(gòu)數(shù)據(jù)鏈路層以bit為單位傳輸數(shù)據(jù)，對應(yīng)網(wǎng)絡(luò)中的硬件設(shè)備。該層對網(wǎng)絡(luò)設(shè)備的特性進行規(guī)范，以保證物理設(shè)備能互相連接并正常使用。8.1.2網(wǎng)絡(luò)協(xié)議與體系結(jié)構(gòu)2.

5層網(wǎng)絡(luò)體系結(jié)構(gòu)物理層了解數(shù)據(jù)傳輸流程，能夠描述數(shù)據(jù)傳輸過程。學(xué)習(xí)目標8.1.3數(shù)據(jù)傳輸流程1.網(wǎng)絡(luò)協(xié)議數(shù)據(jù)由應(yīng)用程序產(chǎn)生，若應(yīng)用程序A要發(fā)送一組數(shù)據(jù)給應(yīng)用程序B，則數(shù)據(jù)傳輸過程如圖。8.1.3數(shù)據(jù)傳輸流程熟悉IP地址、端口號及子網(wǎng)掩碼，能夠說出IP地址、端口的作用。學(xué)習(xí)目標8.1.4IP地址與端口號進行網(wǎng)絡(luò)通信的對象實質(zhì)上是網(wǎng)絡(luò)中的進程，但一個網(wǎng)絡(luò)中可能有許多臺主機，每臺主機中的進程也不唯一，那么在數(shù)據(jù)傳輸過程中，就需要確定將數(shù)據(jù)發(fā)送給哪臺主機的哪個進程。在計算機網(wǎng)絡(luò)中，人們常用IP地址標識主機，使用端口號標識網(wǎng)絡(luò)中的進程。下面對IP地址和端口號進行介紹。1.IP地址8.1.4IP地址與端口號IPv4地址共分為5類，分別為A類IP地址、B類IP地址、C類IP地址、D類IP地址和E類IP地址。其中，A、B、C類IP地址在邏輯上又分為兩個部分，第一部分為網(wǎng)絡(luò)號，用于標識網(wǎng)絡(luò)；第二部分為主機號，用于標識網(wǎng)絡(luò)中的主機。例如，IP地址4，前3個字段192.168.43標識的網(wǎng)絡(luò)為，最后一個字段34標識網(wǎng)絡(luò)中的主機。不同網(wǎng)絡(luò)中多臺主機的IP地址如圖。1.IP地址8.1.4IP地址與端口號由“不同網(wǎng)絡(luò)中多臺主機的IP地址”可知，處于同一網(wǎng)絡(luò)中的主機由最后一個字段區(qū)分，IP地址都是C類IP地址，IP地址根據(jù)取值范圍分類，具體如圖。1.IP地址8.1.4IP地址與端口號網(wǎng)絡(luò)號相同的IP地址處于同一網(wǎng)段，不同類別的IP地址其取值范圍和可用IP地址數(shù)量不同，下面分別對各類IP地址的取值范圍及可用IP地址數(shù)量進行介紹。1A類IP地址：A類IP地址由1個字節(jié)網(wǎng)絡(luò)號和3個字節(jié)主機號組成，網(wǎng)絡(luò)號的最高位必須是0。2B類IP地址由2個字節(jié)的網(wǎng)絡(luò)號和2個字節(jié)的主機號組成，網(wǎng)絡(luò)號的最高兩位必須是10。3C類IP地址由3個字節(jié)的網(wǎng)絡(luò)號和1個字節(jié)的主機號組成，網(wǎng)絡(luò)號的最高3位必須是110。4D類IP地址不分網(wǎng)絡(luò)號和主機號，它固定以1110開頭。1.IP地址8.1.4IP地址與端口號B類IP地址：C類IP地址：D類IP地址：5E類IP地址不分網(wǎng)絡(luò)號和主機號，它固定以1111開頭。E類IP地址：IP地址只能確定網(wǎng)絡(luò)中的主機，要確定主機中的進程，還需要用到端口號。在計算機中，端口號是主機進程的唯一標識，因此一個進程在向另一個進程發(fā)送數(shù)據(jù)時，需要通過IP地址+端口號確定網(wǎng)絡(luò)中的進程。2.端口號8.1.4IP地址與端口號端口號的最大取值為65535，其中0～1024端口一般由系統(tǒng)進程占用，用戶可到互聯(lián)網(wǎng)數(shù)字分配機構(gòu)官網(wǎng)查看由互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)已分配的端口列表。用戶在配置自己的服務(wù)器時，可以選擇一個大于1024、小于65535的端口號對其進行標記，但要注意選擇空閑端口，以避免與其他服務(wù)器產(chǎn)生沖突。熟悉IP地址、端口號及子網(wǎng)掩碼，能夠說出子網(wǎng)掩碼的作用。學(xué)習(xí)目標8.1.5子網(wǎng)掩碼子網(wǎng)掩碼又稱為地址掩碼，它用于劃分IP地址中的網(wǎng)絡(luò)號與主機號，網(wǎng)絡(luò)號所占的位用1標識，主機號所占的位用0標識，因為A、B、C類IP地址網(wǎng)絡(luò)號和主機號的位置是確定的，所以子網(wǎng)掩碼的取值也是確定的，如下所示。1：等同于11111111.00000000.00000000.00000000，用于匹配A類地址。2等同于11111111.11111111.00000000.00000000，用于匹配B類地址。3等同于11111111.11111111.11111111.00000000，用于匹配C類地址。：：8.1.5子網(wǎng)掩碼假設(shè)申請到了一個C類網(wǎng)絡(luò)，網(wǎng)絡(luò)號為，這個網(wǎng)絡(luò)中的可用IP地址有254個，若想將這個網(wǎng)絡(luò)劃分為4個子網(wǎng)，則可將子網(wǎng)掩碼第4個字段的前兩位設(shè)置為1，得到子網(wǎng)掩碼11111111.11111111.11111111.11000000，即92。此時，得到的4個子網(wǎng)的IP地址取值范圍分別如下所示。1網(wǎng)絡(luò)地址：；IP地址范圍：～2，廣播地址3。2IP地址范圍：5～26，廣播地址27。3IP地址范圍：29～90，廣播地址91。網(wǎng)絡(luò)地址：4；網(wǎng)絡(luò)地址：28；8.1.5子網(wǎng)掩碼3IP地址范圍：93～54，廣播地址55。網(wǎng)絡(luò)地址：92；在使用網(wǎng)絡(luò)前，需要對Linux操作系統(tǒng)進行基本的網(wǎng)絡(luò)配置，以保證主機能夠與其他主機進行正常的通信。8.2Linux操作系統(tǒng)基本網(wǎng)絡(luò)配置掌握主機的配置方法，能夠熟練使用命令完成主機配置。學(xué)習(xí)目標8.2.1主機配置在網(wǎng)絡(luò)中，雖然可以通過IP地址訪問主機，但IP地址不便于記憶，因此，大多用戶還是通過主機名來訪問主機。Linux操作系統(tǒng)提供了hostname和hostnamectl兩個命令來顯示、設(shè)置系統(tǒng)主機名，下面分別介紹這兩個命令的使用。8.2.1主機配置hostname選項參數(shù)hostname命令用于查詢、修改主機名，其基本格式如下所示?；靖袷?.hostname命令8.2.1主機配置hostname命令常用選項。1.hostname命令8.2.1主機配置選項說明-a顯示主機別名-f顯示完全格式的域名-i顯示指定主機的IP地址-s以短格式顯示，僅顯示第一個點號之前的部分[root@itheima~]#hostname localhost[root@itheima~]#hostnameitheima [root@itheima~]#hostnameitheima

案例8-1：查看并修改當(dāng)前主機名。8.2.1主機配置顯示主機名更改主機名再次顯示主機名1.hostname命令itheima.localdomain 通過/etc/hostname配置文件修改主機名時，直接使用新的主機名替換原來的主機名即可，修改示例如下?；靖袷?.hostname命令8.2.1主機配置itheima為新的主機名hostnamectl命令也用于查詢、修改主機名。openEuler定義了3種類型的主機名。1臨時主機名（Tranient）：靜態(tài)主機名（Static）：系統(tǒng)中臨時分配的主機名。2又稱內(nèi)核主機名、系統(tǒng)主機名，是系統(tǒng)啟動時從/etc/hostname文件中自動初始化的主機名。高級主機名（Pretty）：3屬于修飾性主機名，可以使用特殊字符，如itheima’shost。8.2.1主機配置2.hostnamectl命令hostnamectl選項或命令參數(shù)由于openEuler定義了復(fù)雜的主機名，原來的hostname命令已經(jīng)無法完成復(fù)雜主機名的設(shè)置，因此openEuler增加了hostnamectl命令以實現(xiàn)主機名的查詢與設(shè)置。hostnamectl命令的基本格式如下所示?；靖袷?.2.1主機配置2.hostnamectl命令hostnamectl命令常用選項和命令如表。8.2.1主機配置2.hostnamectl命令選項和命令說明-transient顯示或修改臨時主機名-static顯示或修改靜態(tài)主機名-pretty顯示或修改高級主機名status顯示當(dāng)前主機名信息set-hostname設(shè)置系統(tǒng)主機名（靜態(tài)主機名）案例8-2：使用hostnamectl命令查看主機名信息、臨時主機名、靜態(tài)主機名和高級主機名。8.2.1主機配置2.hostnamectl命令點擊查看案例8-3：修改主機名為itheima，修改臨時主機名為ithost，修改高級主機名為itheima’shost。8.2.1主機配置2.hostnamectl命令點擊查看掌握網(wǎng)卡配置方法，能夠熟練使用命令配置動態(tài)IP地址與靜態(tài)IP地址。學(xué)習(xí)目標8.2.2網(wǎng)卡配置網(wǎng)卡是計算機能夠聯(lián)網(wǎng)的基礎(chǔ)，因此，網(wǎng)絡(luò)配置其實就是網(wǎng)卡配置。下面從網(wǎng)卡命名規(guī)范、網(wǎng)卡配置文件、動態(tài)IP地址與靜態(tài)IP地址3個方面來講解網(wǎng)卡的配置。8.2.2網(wǎng)卡配置網(wǎng)卡命名規(guī)范A網(wǎng)卡配置文件B動態(tài)IP地址與靜態(tài)IP地址C網(wǎng)卡名稱的前2個字符含義如下所示。1.網(wǎng)卡命名規(guī)范8.2.2網(wǎng)卡配置1en：wl：以太網(wǎng)（Ethernet）。2無線局域網(wǎng)（WLAN）。ww：3無線廣域網(wǎng)（WWAN）。網(wǎng)卡名稱的第3個字符及后面字符的含義如下所示。1.網(wǎng)卡命名規(guī)范8.2.2網(wǎng)卡配置1o#：s#：o表示網(wǎng)卡為內(nèi)置網(wǎng)卡，#為內(nèi)置網(wǎng)卡的設(shè)備編號。2s表示網(wǎng)卡為外置網(wǎng)卡，#為熱插拔接口（Slot）編號。x#：3當(dāng)?shù)?個字符為x時，#表示網(wǎng)卡的MAC地址。p#s#：4p表示PCI插口，p后面的#表示PCI插口編號；s表示熱插拔接口，s后面的#表示熱插拔接口編號。查看網(wǎng)卡：讀者可以使用ip命令查看當(dāng)前主機的網(wǎng)卡，查看命令及輸出結(jié)果如下所示。點擊查看8.2.2網(wǎng)卡配置1.網(wǎng)卡命名規(guī)范在Linux操作系統(tǒng)中，一切皆文件，因此，網(wǎng)卡的配置其實就是編輯網(wǎng)卡配置文件。openEuler的網(wǎng)卡配置文件為/etc/sysconfig/network-scripts/ifcfg-ens33，查看該網(wǎng)卡配置文件的具體命令如下所示。2.網(wǎng)卡配置文件8.2.2網(wǎng)卡配置點擊查看網(wǎng)卡的IP地址分為動態(tài)IP地址與靜態(tài)IP地址，Linux操作系統(tǒng)安裝成功之后，系統(tǒng)會為網(wǎng)卡分配一個默認IP地址，這個IP地址是動態(tài)IP地址。用戶如果使用動態(tài)IP地址，不需要手動配置。如果用戶要使用靜態(tài)IP地址，則需要手動配置。配置靜態(tài)IP地址，同樣通過修改ens33網(wǎng)卡的配置文件實現(xiàn)。8.2.2網(wǎng)卡配置3.動態(tài)IP地址與靜態(tài)IP地址在配置靜態(tài)IP地址時，需要將BOOTPROTO選項的值修改為static，即獲取靜態(tài)IP地址。同時，添加IPADDR（靜態(tài)IP地址）、NETMASK（子網(wǎng)掩碼）、GATEWAY（網(wǎng)關(guān)）、DNS（域名服務(wù)器地址）4個配置項。8.2.2網(wǎng)卡配置3.動態(tài)IP地址與靜態(tài)IP地址假設(shè)VMware使用NAT模式，網(wǎng)絡(luò)配置信息如下。8.2.2網(wǎng)卡配置1子網(wǎng)IP為。2網(wǎng)關(guān)IP為。3子網(wǎng)掩碼為。4

DHCP地址池為28～54，可以從地址池中選擇一個IP地址作為靜態(tài)IP地址。3.動態(tài)IP地址與靜態(tài)IP地址配置靜態(tài)IP地址時，在/etc/sysconfig/network-scripts/ifcfg-ens33配置文件中做如下修改。8.2.2網(wǎng)卡配置點擊查看3.動態(tài)IP地址與靜態(tài)IP地址配置完成之后，重啟網(wǎng)卡，再次查看網(wǎng)卡信息，可得到新設(shè)置的靜態(tài)IP地址。重啟網(wǎng)卡的具體命令如下所示。8.2.2網(wǎng)卡配置點擊查看3.動態(tài)IP地址與靜態(tài)IP地址8.2.2網(wǎng)卡配置多學(xué)一招標題在VMware菜單欄的Workstation選項中，單擊下拉按鈕，選擇“編輯→虛擬網(wǎng)絡(luò)編輯器”，如圖。8.2.2網(wǎng)卡配置多學(xué)一招標題彈出虛擬網(wǎng)絡(luò)編輯器對話框，如圖。8.2.2網(wǎng)卡配置多學(xué)一招標題選中VMnet8模式，單擊“NAT設(shè)置”按鈕，彈出NAT設(shè)置對話框，如圖。8.2.2網(wǎng)卡配置多學(xué)一招標題在該對話框中，可以查看子網(wǎng)IP、子網(wǎng)掩碼、網(wǎng)關(guān)IP信息。關(guān)閉NAT設(shè)置對話框，返回“返回虛擬機網(wǎng)絡(luò)編輯器”對話框，單擊“DHCP設(shè)置”按鈕，彈出DHCP設(shè)置對話框，如圖。網(wǎng)絡(luò)是計算機與外界通信的基礎(chǔ)，因此，在Linux操作系統(tǒng)中，網(wǎng)絡(luò)管理也是非常重要的一部分內(nèi)容，熟悉網(wǎng)絡(luò)管理才能更好地使用Linux操作系統(tǒng)。在Linux操作系統(tǒng)中，網(wǎng)絡(luò)管理也是通過命令實現(xiàn)的，本節(jié)將針對常用的網(wǎng)絡(luò)管理命令進行詳細講解。8.3常用的網(wǎng)絡(luò)管理命令掌握ping命令，能夠熟練使用ping命令測試主機的連通性。學(xué)習(xí)目標8.3.1ping命令ping選項參數(shù)ping命令用于測試主機之間網(wǎng)絡(luò)的連通性，其基本格式如下所示?；靖袷?.3.1ping命令ping命令的參數(shù)通常是IP地址。如果兩臺主機是連通的，則ping命令默認一直輸出測試數(shù)據(jù)（可以按快捷鍵Ctrl+D停止輸出）。使用選項可以設(shè)置ping命令的回應(yīng)次數(shù)。ping命令常用選項如表。8.3.1ping命令命令說明-c設(shè)置回應(yīng)次數(shù)，如-c4表示回應(yīng)4次-s設(shè)置數(shù)據(jù)包大小，如-s1024表示每次發(fā)送1024B數(shù)據(jù)-v顯示命令詳細的執(zhí)行過程案例8-4：使用ping命令測試當(dāng)前Linux主機與Windows主機的網(wǎng)絡(luò)連通性。8.3.1ping命令點擊查看掌握ip命令，能夠熟練使用ip命令查看主機IP地址及網(wǎng)卡信息。學(xué)習(xí)目標8.3.2ip命令ip命令用于顯示和配置網(wǎng)卡、路由、接口和隧道等網(wǎng)絡(luò)設(shè)備的參數(shù)信息，它的功能十分強大，是管理Linux操作系統(tǒng)網(wǎng)絡(luò)的必備工具之一。8.3.2ip命令ip選項參數(shù)命令設(shè)備ip命令的基本格式如下所示?；靖袷絠p命令的用法比較復(fù)雜，它可以操作各種網(wǎng)絡(luò)設(shè)備，通過不同的選項和命令設(shè)置這些網(wǎng)絡(luò)設(shè)備的各種參數(shù)。8.3.2ip命令ip命令常用選項和命令如表。8.3.2ip命令選項和命令說明-s輸出詳細信息，可以連續(xù)使用多次，以輸出更詳細的錯誤統(tǒng)計信息-f強制使用指定的協(xié)議簇-4指定網(wǎng)絡(luò)層協(xié)議為IPv4-6指定網(wǎng)絡(luò)層協(xié)議為IPv6-r顯示主機時，不使用IP地址，而使用主機的域名8.3.2ip命令選項和命令說明show顯示參數(shù)信息add添加del刪除up啟動設(shè)備down關(guān)閉設(shè)備ip命令常用的參數(shù)和設(shè)備如表。8.3.2ip命令參數(shù)和設(shè)備說明link鏈路信息address協(xié)議地址（IPv4地址或IPv6地址），可以簡寫為addr或aroute路由設(shè)備ip命令的功能比較強大，下面介紹幾個常用的功能。8.3.2ip命令ip命令可以查看所有網(wǎng)卡信息，也可以查看某一塊網(wǎng)卡的信息。由于ip命令輸出結(jié)果較多，下面只展示網(wǎng)卡信息查看命令，不展示命令輸出結(jié)果。查看網(wǎng)卡信息命令如下所。1.查看網(wǎng)卡信息8.3.2ip命令[root@localhost~]#ipa [root@localhost~]#ipashow [root@localhost~]#ipashowens33 基本格式查看所有網(wǎng)卡信息查看所有網(wǎng)卡信息查看ens33網(wǎng)卡信息ip命令可以設(shè)置網(wǎng)卡的IP地址，也可以添加刪除網(wǎng)卡的IP地址。以ens33網(wǎng)卡為例，設(shè)置網(wǎng)卡IP地址命令及輸出結(jié)果如下所示。8.3.2ip命令2.設(shè)置網(wǎng)卡的IP地址點擊查看ip命令的子命令down與up可分別用于禁用、啟用網(wǎng)卡，下面以ens33網(wǎng)卡為例，演示網(wǎng)卡的禁用和啟用，具體命令如下所示。8.3.2ip命令3.禁用和啟用網(wǎng)卡點擊查看掌握nmcli命令的使用，能夠使用nmcli命令完成雙網(wǎng)卡的綁定。學(xué)習(xí)目標8.3.3nmcli命令openEuler使用NetworkManager服務(wù)管理網(wǎng)絡(luò)配置，NetworkManager服務(wù)是管理和監(jiān)控網(wǎng)絡(luò)設(shè)置的守護進程，它管理的對象主要有兩個：connection（網(wǎng)卡連接配置）和device（網(wǎng)卡設(shè)備），connection和device之間是多對一關(guān)系，但在同一時刻只能有一個connection是有效的，每個連接都會在/etc/NetworkManager/system-connections目錄下生成一個對應(yīng)的配置文件。8.3.3nmcli命令nmcli選項對象命令為了更好地管理網(wǎng)絡(luò)，Linux操作系統(tǒng)提供了nmcli命令。nmcli命令是NetworkManagerCommandLine（NetworkManager命令行工具）的縮寫，它的功能十分強大，可以完成網(wǎng)卡上的所有配置，并可以將網(wǎng)卡配置寫入配置文件，永久生效。nmcli命令的基本格式如下所示?；靖袷?.3.3nmcli命令nmcli命令常用對象如表。8.3.3nmcli命令對象說明c/con/connectionNetworkManager的連接d/dev/deviceNetworkManager管理的設(shè)備nmcli命令常用選項和命令如表。8.3.3nmcli命令選項和命令說明-e轉(zhuǎn)義值中的列分隔符-f指定要輸出的字段-p美化輸出，以易于人類閱讀的形式顯示status顯示設(shè)備狀態(tài)show顯示設(shè)備或連接詳情reload重新加載NetworkManager的配置并執(zhí)行某些更新on/off啟用/關(guān)閉網(wǎng)絡(luò)連接up/down啟用/禁用網(wǎng)卡設(shè)備del/delete刪除已配置的連接nmcli命令的功能比較強大，下面介紹幾個常用的功能。8.3.3nmcli命令nmcli命令可以顯示NetworkManager的所有連接信息，以及NetworkManager管理的所有設(shè)備信息，具體的查看命令如下所示。1.顯示連接和設(shè)備的詳細信息點擊查看8.3.3nmcli命令nmcli命令可以查看NetworkManager管理的所有設(shè)備狀態(tài)，具體命令如下所示。2.查看設(shè)置狀態(tài)點擊查看8.3.3nmcli命令nmcli命令可以重新加載NetworkManager的配置并執(zhí)行某些更新，如刷新緩存或重寫外部狀態(tài)到磁盤。網(wǎng)絡(luò)重啟具體命令如下所示。3.重啟網(wǎng)絡(luò)8.3.3nmcli命令[root@localhost~]#nmclicreload網(wǎng)絡(luò)重啟nmcli命令可以使用子命令on和off實現(xiàn)網(wǎng)絡(luò)連接的啟用和關(guān)閉，具體命令如下所示。4.啟用和關(guān)閉網(wǎng)絡(luò)連接點擊查看8.3.3nmcli命令nmcli命令可以使用子命令實現(xiàn)網(wǎng)卡的禁用和啟用，具體命令如下所示。5.啟用和禁用網(wǎng)卡點擊查看8.3.3nmcli命令一個網(wǎng)卡可以有多個連接，但同一時刻只有一個連接有效，如果網(wǎng)卡有多個連接，可以使用nmcli的子命令delete刪除多余連接。刪除網(wǎng)卡連接的具體命令如下所示。6.刪除連接點擊查看8.3.3nmcli命令了解nslookup命令，能夠使用nslookup命令查看主機域名。學(xué)習(xí)目標8.3.4nslookup命令nslookup命令是最簡單的域名查詢命令，它可以根據(jù)一臺網(wǎng)絡(luò)主機的域名查詢對應(yīng)的IP地址，也可以根據(jù)網(wǎng)絡(luò)主機的IP地址查詢主機域名等信息。在查詢過程中，通常需要一臺域名服務(wù)器來提供服務(wù)，如果不指定域名服務(wù)器，則使用系統(tǒng)默認的域名服務(wù)器。8.3.4nslookup命令nslookup參數(shù)nslookup命令的基本格式如下所示?；靖袷?.3.4nslookup命令nslookup是一個交互命令，除了可以在nslookup命令后面直接跟上參數(shù)，還可以直接運行nslookup命令進入交互模式。案例8-5：查詢對應(yīng)的IP地址。點擊查看8.3.4nslookup命令案例8-6：查詢地址對應(yīng)的主機域名。點擊查看8.3.4nslookup命令Linux操作系統(tǒng)是一個多用戶操作系統(tǒng)，多個用戶之間有時需要進行通信，為了方便不同終端用戶之間進行通信，Linux操作系統(tǒng)提供了一些網(wǎng)絡(luò)通信命令，本節(jié)將介紹幾個常用的網(wǎng)絡(luò)通信命令。8.4常用的網(wǎng)絡(luò)通信命令了解常用網(wǎng)絡(luò)通信命令，能夠使用write命令向用戶發(fā)送消息。學(xué)習(xí)目標8.4.1write命令write已登錄用戶名write命令用于給其他登錄用戶發(fā)送實時消息，其基本格式如下所示?；靖袷饺绻邮招畔⒌挠脩舨恢沟卿洷緳C一次，則需要指定接收信息的終端機編號。8.4.1write命令案例8-7：使用Addy用戶向itheima用戶發(fā)送消息。8.4.1write命令打開兩個終端，分別登錄itheima用戶和Addy用戶，通過Addy用戶向itheima用戶發(fā)送消息，觀察itheima用戶接收的消息。Addy用戶端發(fā)送命令及發(fā)送消息如下所示。[Addy@localhost~]$writeitheimapts/1helloheimai'mAddy^C[Addy@localhost~]$案例8-7：使用Addy用戶向itheima用戶發(fā)送消息。8.4.1write命令itheima用戶端接收的消息如下所示。[itheima@localhost~]$itheima@localhost(作為Addy)于pts/0在17:20發(fā)的消息...helloheimai'mAddyEOF了解常用網(wǎng)絡(luò)通信命令，能夠使用wall命令向用戶發(fā)送消息。學(xué)習(xí)目標8.4.2wall命令wall命令是writeall的縮寫，它用于向所有用戶發(fā)送廣播消息。若某個用戶使用wall命令發(fā)送消息，則所有的登錄用戶都能收到。8.4.2wall命令wall消息wall命令的用法格式如下所示?；靖袷?.4.2wall命令案例8-8：使用root用戶向所有登錄用戶發(fā)送消息。打開多個終端，分別登錄itheima用戶、Addy用戶和root用戶。在root用戶終端，使用wall命令向其他用戶發(fā)送廣播消息，觀察其他用戶端接收的消息。root用戶端發(fā)送命令及發(fā)送消息如下所示。[root@localhost~]#wallhelloeveryone,now,everybodylogout8.4.2wall命令案例8-8：使用root用戶向所有登錄用戶發(fā)送消息。itheima用戶端接收的消息如下所示。[Addy@localhost~]$clear

來自root@localhost(pts/3)(FriNov613:54:022025)的廣播消息：

helloeveryone,now,everybodylogout8.4.2wall命令案例8-8：使用root用戶向所有登錄用戶發(fā)送消息。Addy用戶端接收的消息如下所示。[itheima@localhost~]$clear

來自root@localhost(pts/3)(FriNov613:54:022025)的廣播消息：

helloeveryone,now,everybodylogout8.4.2wall命令案例8-8：使用root用戶向所有登錄用戶發(fā)送消息。wall命令一次只能發(fā)送一條消息，不能換行，如果要發(fā)送多條消息，可以將消息寫入一個文件，使用wall命令和“<”符號相結(jié)合，將文件中的消息發(fā)送出去。例如，將消息寫入文件broadcast，則發(fā)送broadcast文件中的消息給所有用戶的命令如下所示。wall<broadcast8.4.2wall命令了解常用網(wǎng)絡(luò)通信命令，能夠使用mesg命令向用戶發(fā)送消息。學(xué)習(xí)目標8.4.3mesg命令mesg命令用于設(shè)置當(dāng)前用戶終端是否接收其他用戶發(fā)送的消息，它有兩個參數(shù)值，分別是y和n。如果設(shè)置為y，則表示當(dāng)前用戶終端可以接收其他用戶發(fā)送的消息；如果設(shè)置為n，則表示當(dāng)前用戶終端拒絕接收其他用戶發(fā)送的消息。8.4.3mesg命令例如，itheima用戶執(zhí)行mesgn命令，則表示不接收其他用戶發(fā)送的消息，具體命令如下所示。[itheima@localhost~]$mesgn8.4.3mesg命令當(dāng)root用戶向itheima用戶發(fā)送消息時，會提示itheima禁用了消息。root用戶終端發(fā)送消息命令及輸出結(jié)果如下所示。[root@localhost~]#writeitheimapts/1write:itheima在pts/1上禁用了消息8.4.3mesg命令項目實施03小智在自己的openEuler操作系統(tǒng)中模擬雙網(wǎng)卡綁定，具體步驟如下所示。任務(wù)8綁定雙網(wǎng)卡任務(wù)8綁定雙網(wǎng)卡STEP01在虛擬機名稱上右擊，在彈出菜單中選擇“設(shè)置”命令，如圖。1.添加網(wǎng)卡任務(wù)8綁定雙網(wǎng)卡STEP02在彈出的虛擬機設(shè)置對話框的“硬件”區(qū)域，選擇“網(wǎng)絡(luò)適配器”，單擊下方的“添加”按鈕，如圖。1.添加網(wǎng)卡任務(wù)8綁定雙網(wǎng)卡STEP03彈出添加硬件向?qū)Ы缑?，選中“網(wǎng)絡(luò)適配器”，單擊“完成”按鈕，如圖。1.添加網(wǎng)卡任務(wù)8綁定雙網(wǎng)卡STEP04此時將返回“虛擬機設(shè)置對話框”所示界面，會看到有兩個網(wǎng)絡(luò)適配器，如圖所示。單擊“確定”按鈕，完成網(wǎng)卡添加。1.添加網(wǎng)卡任務(wù)8綁定雙網(wǎng)卡STEP01使用ipaddr命令查看網(wǎng)卡信息。2.創(chuàng)建網(wǎng)卡配置文件點擊查看任務(wù)8綁定雙網(wǎng)卡STEP02查看網(wǎng)卡配置文件。2.創(chuàng)建網(wǎng)卡配置文件點擊查看任務(wù)8綁定雙網(wǎng)卡STEP02查看網(wǎng)卡配置文件。2.創(chuàng)建網(wǎng)卡配置文件在上述輸出結(jié)果中，ifcfg-有線連接_1是ens36網(wǎng)卡的配置文件，將其重命名為ifcfg-ens36，具體重命名命令如下所示。[root@itheimanetwork-scripts]#mvifcfg-有線連接_1ifcfg-ens36任務(wù)8綁定雙網(wǎng)卡STEP02查看網(wǎng)卡配置文件。2.創(chuàng)建網(wǎng)卡配置文件重命名之后，修改ifcfg-ens36文件內(nèi)容，如下所示。點擊查看任務(wù)8綁定雙網(wǎng)卡3.綁定網(wǎng)卡常用的網(wǎng)卡綁定技術(shù)為bond技術(shù)，bond技術(shù)常用的網(wǎng)卡綁定模式有以下3種。1mode0：mode1：啟用全部網(wǎng)卡，提高帶寬，自動備援，需要網(wǎng)絡(luò)設(shè)備端做鏈路聚合支持。2只啟用一張網(wǎng)卡，自動備援。mode2：3啟用全部網(wǎng)卡，提高帶寬，自動備援，不需要網(wǎng)絡(luò)設(shè)備端做鏈路聚合支持。任務(wù)8綁定雙網(wǎng)卡3.綁定網(wǎng)卡本項目實施采用mode0模式綁定兩張網(wǎng)卡。STEP01openEuler系統(tǒng)默認沒有加載bonding模塊，要先加載，具體命令如下所示。[root@localhost~]#lsmod|grepbonding [root@localhost~]#modprobebonding [root@localhost~]#lsmod|grepbonding bonding2580480tls1556481bonding查看bonding模塊加載bonding模塊再次查看任務(wù)8綁定雙網(wǎng)卡3.綁定網(wǎng)卡STEP02將bonding模塊的加載命令寫入/etc/rc.d/rc.local文件，設(shè)置開機啟動項。[root@localhost~]#vim/etc/rc.d/rc.local…touch/var/lock/subsys/localmodprobebonding[root@localhost~]#chmod+x/etc/rc.d/rc.local任務(wù)8綁定雙網(wǎng)卡3.綁定網(wǎng)卡STEP03采用bond技術(shù)綁定雙網(wǎng)卡時，需要添加一個名稱為bond0的設(shè)備，并創(chuàng)建該設(shè)備的網(wǎng)卡配置文件，具體命令如下所示。[root@localhostsystem-connections]#nmcliconnectionaddtypebondifnamebond0con-namebond0bond.options"mode=balance-rr"連接"bond0"(27b12a04-cd46-483b-bd27-9478117e894b)已成功添加。[root@localhostsystem-connections]#lsifcfg-bond0ifdown-ipppifdown-Teamifup-ipppifup-routesnetwork-functionsifcfg-ens33ifdown-ipv6ifdown-TeamPort…任務(wù)8綁定雙網(wǎng)卡3.綁定網(wǎng)卡STEP04將網(wǎng)卡ens33和ens36添加為bond0的從屬網(wǎng)卡，具體命令如下所示。點擊查看任務(wù)8綁定雙網(wǎng)卡3.綁定網(wǎng)卡STEP05查看網(wǎng)卡設(shè)備，確定bond0網(wǎng)卡綁定是否生效，具體命令如下所示。[root@localhostsystem-connections]#nmclidevice DEVICETYPESTATECONNECTIONens33ethernet 已連接ens33ens36ethernet 已連接有線連接1 loloopback 連接（外部）lobond0bond連接中（正在獲取IP配置）bond0virbr0bridge 未托管--任務(wù)8綁定雙網(wǎng)卡3.綁定網(wǎng)卡STEP05由nmclidevice命令的輸出結(jié)果可知，bond0并未連接成功，這是因為ens33網(wǎng)卡和ens36網(wǎng)卡還保持著原來的連接。想要bond0生效，需要刪除ens33和ens36網(wǎng)卡原來的連接，具體命令如下所示。點擊查看ens33網(wǎng)卡和ens36網(wǎng)卡綁定成功之后，兩個網(wǎng)卡會互為備援，當(dāng)一個網(wǎng)卡出現(xiàn)故障時，另一個網(wǎng)卡會繼續(xù)傳輸數(shù)據(jù)。下面通過ping命令對ens33網(wǎng)卡和ens36網(wǎng)卡進行測試，在數(shù)據(jù)傳輸過程中，先禁用ens36網(wǎng)卡，觀察數(shù)據(jù)傳輸變化，再禁用ens33網(wǎng)卡，觀察數(shù)據(jù)傳輸變化。任務(wù)8綁定雙網(wǎng)卡4.測試任務(wù)8綁定雙網(wǎng)卡4.測試使用ping命令訪問，數(shù)據(jù)傳輸如下。點擊查看任務(wù)8綁定雙網(wǎng)卡4.測試再打開一個終端，先后禁用ens36網(wǎng)卡與ens33網(wǎng)卡，具體命令如下所示。[root@localhostsystem-connections]#nmclidevicedownens36成功斷開設(shè)備"ens36"。[root@localhostsystem-connections]#nmclidevicedownens33成功斷開設(shè)備"ens33"。--任務(wù)8綁定雙網(wǎng)卡4.測試觀察ping命令的輸出結(jié)果可以得知，在禁用ens36網(wǎng)卡之后，數(shù)據(jù)傳輸有短暫的中斷，之后繼續(xù)傳輸；當(dāng)禁用ens33網(wǎng)卡之后，數(shù)據(jù)傳輸短暫地中斷之后，就提示無法觸達。點擊查看項目總結(jié)本項目通過綁定雙網(wǎng)卡，幫助讀者系統(tǒng)學(xué)習(xí)了Linux操作系統(tǒng)的網(wǎng)絡(luò)配置與管理。讀者首先學(xué)習(xí)了計算機網(wǎng)絡(luò)基礎(chǔ)，包括計算機網(wǎng)絡(luò)概述、網(wǎng)絡(luò)協(xié)議與體系結(jié)構(gòu)、網(wǎng)絡(luò)數(shù)據(jù)傳輸流程、IP地址與端口號、子網(wǎng)掩碼；其次學(xué)習(xí)了Linux操作系統(tǒng)基本網(wǎng)絡(luò)配置，包括主機配置、網(wǎng)卡配置；然后學(xué)習(xí)了常用的網(wǎng)絡(luò)管理命令，包括ping、ip、nmcli、nslookup；最后學(xué)習(xí)了常用的網(wǎng)絡(luò)通信命令，包括write、wall、mesg。網(wǎng)絡(luò)是計算機與外界進行通信的基礎(chǔ)。通過本項目的學(xué)習(xí)，讀者能夠更加熟練地使用網(wǎng)絡(luò)管理命令來管理網(wǎng)絡(luò)。項目總結(jié)拓展實訓(xùn)04VLAN（VirtualLocalAreaNetwork，虛擬局域網(wǎng)）是一種在邏輯上將局域網(wǎng)中的設(shè)備劃分成多個獨立網(wǎng)絡(luò)的技術(shù)。通過VLAN技術(shù)，可以在不改變物理連接的情況下，實現(xiàn)網(wǎng)絡(luò)資源的邏輯隔離和優(yōu)化。VLAN與LAN的關(guān)系如圖。在openEuler中部署VLAN1.實訓(xùn)背景在openEuler操作系統(tǒng)中，實現(xiàn)VLAN的部署，具體要求如下所示。2.實訓(xùn)需求在openEuler中部署VLAN1部署兩個VLAN。2測試VLAN內(nèi)的設(shè)備的連通性。3測試VLAN之間的設(shè)備的連通性。部署VLAN的步驟如下所示。在openEuler中部署VLAN1確認內(nèi)核支持：創(chuàng)建VLAN接口：VLAN部署需要IEEE802.1QVLAN協(xié)議支持，因此部署VLAN通常需要加載8021q模塊。2根據(jù)需要規(guī)劃VLAN數(shù)量，為每個VLAN分配唯一的VLANID。配置IP地址：3為每個VLAN接口分配合適的IP地址，在分配IP地址時，可以使用ipaddradd<ip_address>/<subnet_mask>dev<vlan_interface>命令來實現(xiàn)。激活VLAN接口：3激活創(chuàng)建的VLAN接口，使其可以傳輸和接收數(shù)據(jù)，可以使用iplinkset<vlan_interface>up命令激活VLAN接口。2.實訓(xùn)需求上面部署VLAN的實現(xiàn)步驟是基于端口實現(xiàn)的，除了基于端口實現(xiàn)，VLAN還有哪些實現(xiàn)方式？請簡要描述它們的實現(xiàn)原理和特點。在openEuler中部署VLAN3.自主思考項目9系統(tǒng)安全管理《Linux網(wǎng)絡(luò)操作系統(tǒng)項目化教程（openEuler）》學(xué)習(xí)目標/Target了解Linux操作系統(tǒng)安全機制，能夠說出Linux常見的安全機制了解Linux操作系統(tǒng)不安全因素，能夠說出Linux常見的不安全因素了解防火墻，能夠說出防火墻概念、作用及特點了解防火墻策略與規(guī)則，能夠說出防火墻的防御原理了解SELinux安全系統(tǒng)，能夠說出SELinux概念、工作模式，以及什么是安全上下文、默認安全上下文的修改與安全策略知識目標學(xué)習(xí)目標/Target能夠使用ss命令監(jiān)控系統(tǒng)網(wǎng)絡(luò)運行情況能夠使用ps命令、top命令監(jiān)控系統(tǒng)進程運行狀態(tài)能夠使用who命令、w命令查看用戶相關(guān)信息能夠使用joumalctl命令查看系統(tǒng)各種日志信息能夠使用lsof命令查看系統(tǒng)打開了哪些文件能夠使用firewalld命令完成特定場景的防火墻配置技能目標學(xué)習(xí)目標/Target通過Linux操作系統(tǒng)安全機制的學(xué)習(xí)，培養(yǎng)全面審視系統(tǒng)安全性的能力通過Linux操作系統(tǒng)不安全因素識別的學(xué)習(xí)，培養(yǎng)敏銳的風(fēng)險感知與預(yù)防意識通過監(jiān)控進程與查看日志的訓(xùn)練，培養(yǎng)基于數(shù)據(jù)的邏輯推理能力與系統(tǒng)化排查思維通過學(xué)習(xí)防火墻的配置與管理，激發(fā)對網(wǎng)絡(luò)安全防護的興趣，培養(yǎng)構(gòu)建安全網(wǎng)絡(luò)環(huán)境的責(zé)任感和使命感通過學(xué)習(xí)SELinux安全系統(tǒng)的應(yīng)用與實踐，培養(yǎng)高級安全配置能力，激發(fā)在復(fù)雜安全環(huán)境下的創(chuàng)新思維素養(yǎng)目標目錄/Contents9.19.2Linux操作系統(tǒng)安全概述系統(tǒng)運行情況檢查和監(jiān)督9.3防火墻9.4SELinux安全系統(tǒng)項目導(dǎo)入01項目導(dǎo)入隨著業(yè)務(wù)不斷拓展，公司的數(shù)據(jù)量與日俱增，網(wǎng)絡(luò)環(huán)境也愈發(fā)復(fù)雜，為了提高公司整體網(wǎng)絡(luò)安全防護能力，上級領(lǐng)導(dǎo)決定對公司網(wǎng)絡(luò)環(huán)境進行全面升級，此次升級涵蓋網(wǎng)絡(luò)監(jiān)控、進程監(jiān)控、日志監(jiān)控及防火墻配置等多個方面，旨在全方位保障公司數(shù)據(jù)安全，防止未經(jīng)授權(quán)的訪問和抵御潛在的網(wǎng)絡(luò)攻擊。防火墻作為網(wǎng)絡(luò)安全防護的第一道防線，有著至關(guān)重要的作用，細分下來包含多個具體任務(wù)。上級領(lǐng)導(dǎo)將其中最為基礎(chǔ)又關(guān)鍵的部分交給小智來完成，這既是對他能力的信任，也是對他的一次重要考驗，幫助他進一步深化對Linux系統(tǒng)安全管理的理解與實踐。知識準備02了解Linux操作系統(tǒng)安全機制，能夠說出Linux常見的安全機制。學(xué)習(xí)目標9.1.1Linux操作系統(tǒng)安全機制Linux操作系統(tǒng)從誕生以來就很注重系統(tǒng)安全問題，例如，Linux雖然是一個多用戶操作系統(tǒng)，但它有著嚴格的權(quán)限管理，每個用戶（除了root用戶）只能行使被分配的權(quán)力，不能越權(quán)行事。此外，Linux操作系統(tǒng)是一個開源操作系統(tǒng)，系統(tǒng)的安全漏洞能很快地被發(fā)現(xiàn)并被修復(fù)。經(jīng)過不斷的發(fā)展，Linux操作系統(tǒng)安全機制不斷完善，其安全性越來越高。9.1.1Linux操作系統(tǒng)安全機制下面針對Linux操作系統(tǒng)基本的安全機制進行介紹?？诹畎踩阑饓ψ钚?quán)限日志文件安全機制9.1.1Linux操作系統(tǒng)安全機制口令安全就是為用戶設(shè)置賬號、密碼，賬號、密碼不匹配的用戶不允許登錄Linux操作系統(tǒng)?？诹畎踩荓inux操作系統(tǒng)最基本的安全機制。Linux操作系統(tǒng)保證口令安全的常用措施有以下幾種。1.口令安全9.1.1Linux操作系統(tǒng)安全機制設(shè)置密碼有效期A清除未設(shè)置密碼的賬號B清除長期未登錄的賬號CPASS_WARN_AGE 7為了保證口令安全，可以每隔一段時間修改密碼。Linux操作系統(tǒng)默認密碼有效期為7天，用戶可以手動更改密碼有效期。密碼有效期可以在/etc/login.defs文件中設(shè)置，在該文件中，有如下選項。設(shè)置密碼有效期9.1.1Linux操作系統(tǒng)安全機制1.口令安全更改該選項的值即可修改密碼有效期。未設(shè)置密碼的賬號對Linux操作系統(tǒng)來說是極度危險的，攻擊者可以輕易地利用該賬號登錄系統(tǒng)。為了保證系統(tǒng)安全，可以通過/etc/passwd文件查看并清除未設(shè)置密碼的賬號。清除未設(shè)置密碼的賬號9.1.1Linux操作系統(tǒng)安全機制1.口令安全在Linux操作系統(tǒng)中，有些賬號可能登錄幾次后就不再使用，它們的存在對系統(tǒng)來說是一種安全威脅，因此要定期清理這些賬號。清除長期未登錄的賬號9.1.1Linux操作系統(tǒng)安全機制1.口令安全Linux操作系統(tǒng)中的最小權(quán)限是指通過設(shè)置文件或目錄的權(quán)限來防止違規(guī)操作。在Linux操作系統(tǒng)中，每一個文件或目錄都有不同的權(quán)限屬性，這些權(quán)限包括讀、寫、執(zhí)行、SUID、SGID等，為這些文件分配用戶權(quán)限時，應(yīng)當(dāng)以最小權(quán)限為原則，防止用戶越權(quán)行事，給系統(tǒng)安全帶來威脅。9.1.1Linux操作系統(tǒng)安全機制2.最小權(quán)限防火墻技術(shù)是計算機最基本的防御措施，它通過定義一組規(guī)則來過濾不合法的流量。此外，防火墻還可以跟蹤、監(jiān)控已經(jīng)放行的流量，對流量的流向進行記錄，一旦發(fā)現(xiàn)問題就會報警，把它們對網(wǎng)絡(luò)和主機的危害降到最低。如果因為規(guī)則定義不當(dāng)?shù)瘸霈F(xiàn)了安全問題，防火墻軟件的記錄文件還可以提供佐證，便于追蹤線索。9.1.1Linux操作系統(tǒng)安全機制3.防火墻Linux操作系統(tǒng)提供了豐富的日志文件來記錄系統(tǒng)的運行情況，這些日志記錄了系統(tǒng)中幾乎所有的操作，通過認真讀取日志文件可以查找、解決日常遇到的各種問題。Linux操作系統(tǒng)日志文件的默認位置是/var/log，有些第三方軟件的日志文件也會保存在自己獨有的目錄。進入/var/log目錄，查看openEuler的日志文件，查看命令及運行結(jié)果如下所示。9.1.1Linux操作系統(tǒng)安全機制4.日志文件點擊查看了解Linux操作系統(tǒng)不安全因素，能夠說出Linux常見的不安全因素。學(xué)習(xí)目標9.1.2Linux操作系統(tǒng)不安全因素Linux操作系統(tǒng)從誕生以來就很注重系統(tǒng)安全問題，例如，Linux雖然是一個多用戶操作系統(tǒng)，但它有著嚴格的權(quán)限管理，每個用戶（除了root用戶）只能行使被分配的權(quán)力，不能越權(quán)行事。此外，Linux操作系統(tǒng)是一個開源操作系統(tǒng)，系統(tǒng)的安全漏洞能很快地被發(fā)現(xiàn)并被修復(fù)。經(jīng)過不斷的發(fā)展，Linux操作系統(tǒng)安全機制不斷完善，其安全性越來越高。9.1.2Linux操作系統(tǒng)不安全因素任何可能對Linux操作系統(tǒng)造成潛在破壞的人、對象或事件等都稱為Linux操作系統(tǒng)不安全因素。從這個角度來說，Linux操作系統(tǒng)不安全因素既包括環(huán)境和災(zāi)害因素，又包括人為因素和系統(tǒng)自身的因素?？傮w來說，Linux操作系統(tǒng)不安全因素大致可分為以下3種。物理因素A人為因素B系統(tǒng)自身因素C9.1.2Linux操作系統(tǒng)不安全因素物理因素是指在物理介質(zhì)上危害Linux操作系統(tǒng)的安全，主要受Linux操作系統(tǒng)設(shè)備所處的環(huán)境影響，包括溫度、濕度、靜電、灰塵、強電磁場、電磁脈沖，以及自然災(zāi)害中的火災(zāi)、水災(zāi)、地震等。目前，針對這些非人為的環(huán)境和災(zāi)害因素已有較好的應(yīng)對策略。1.物理因素2.人為因素人為因素是指由于人員的疏忽或黑客的主動攻擊造成的系統(tǒng)安全事件，這些攻擊可能是有意的，也可能是無意的。有意的系統(tǒng)破壞行為是指人為主動的惡意攻擊、違紀、違法和犯罪等。無意的系統(tǒng)破壞行為是指由于操作疏忽而發(fā)生失誤，對系統(tǒng)造成不良影響。Linux操作系統(tǒng)安全防護技術(shù)主要就是針對系統(tǒng)安全威脅進行防護。9.1.2Linux操作系統(tǒng)不安全因素系統(tǒng)自身因素是指網(wǎng)絡(luò)中的計算機系統(tǒng)或網(wǎng)絡(luò)設(shè)備由于自身的原因引發(fā)的系統(tǒng)安全風(fēng)險。威脅系統(tǒng)安全的系統(tǒng)自身因素主要包括以下3種。3.系統(tǒng)自身因素計算機硬件系統(tǒng)的故障；1各類計算機軟件的故障或安全缺陷，包括系統(tǒng)軟件（如操作系統(tǒng)）、應(yīng)用軟件的故障或缺陷；2網(wǎng)絡(luò)和通信協(xié)議自身的缺陷。39.1.2Linux操作系統(tǒng)不安全因素雖然Linux操作系統(tǒng)有基本的安全機制，系統(tǒng)日志也會記錄系統(tǒng)運行情況，但作為Linux操作系統(tǒng)使用者，我們還需要經(jīng)常檢查系統(tǒng)運行情況，以了解系統(tǒng)的運行狀態(tài)，確保沒有安全隱患。本節(jié)將針對常見的系統(tǒng)運行情況檢查和監(jiān)督進行講解。9.2系統(tǒng)運行情況檢查和監(jiān)督掌握網(wǎng)絡(luò)的檢查，能夠使用ss命令監(jiān)控系統(tǒng)網(wǎng)絡(luò)運行情況。學(xué)習(xí)目標9.2.1檢查網(wǎng)絡(luò)日常使用Linux操作系統(tǒng)時，經(jīng)常檢查系統(tǒng)網(wǎng)絡(luò)狀態(tài)如網(wǎng)絡(luò)連接（Socket）類型、網(wǎng)絡(luò)連接狀態(tài)等，及時獲取網(wǎng)絡(luò)連接的異常情況，可以降低系統(tǒng)安全風(fēng)險。Linux的所有操作都是通過命令實現(xiàn)的，針對網(wǎng)絡(luò)檢查，Linux操作系統(tǒng)提供了ss命令。9.2.1檢查網(wǎng)絡(luò)ss選項參數(shù)ss是SocketStatistics的縮寫，該命令用于獲取所有Socket（套接字）統(tǒng)計信息，包括Socket類型、Socket狀態(tài)、Socket的IP地址及端口號等。ss命令的功能比較強大，因此它的用法也比較復(fù)雜，但它的基本格式和其他命令相同，具體如下所示。具體格式9.2.1檢查網(wǎng)絡(luò)ss命令常用選項如表。9.2.1檢查網(wǎng)絡(luò)選項說明-a顯示所有連接的Socket，包括連接的和沒有連接的，該選項提供了系統(tǒng)的全面網(wǎng)絡(luò)連接視圖-s顯示系統(tǒng)中所有的Socket摘要，該選項提供了關(guān)于系統(tǒng)中Socket使用的快速概覽-l顯示處于監(jiān)聽狀態(tài)的Socket-p顯示使用Socket的進程，包括進程ID和進程名稱。該選項有助于用戶確定哪個進程正在使用特定的網(wǎng)絡(luò)連接-t顯示TCPSocket9.2.1檢查網(wǎng)絡(luò)選項說明-u顯示UDPSocket-i顯示TCPSocket內(nèi)部信息-n以數(shù)字形式顯示IP地址和端口，而不解析為主機名和服務(wù)名-r將服務(wù)名解析為主機名，將端口號解釋為服務(wù)（協(xié)議）名-4使用IPv4地址的Socket-6使用IPv6地址的Socketss命令的用法比較多，如檢查Socket類型、檢查Socket狀態(tài)等，下面介紹幾種ss命令常見的用法。9.2.1檢查網(wǎng)絡(luò)ss命令可以通過不同的選項顯示不同類型的Socket信息，例如，通過-s選項顯示Socket摘要信息，通過-l選項顯示所有處于監(jiān)聽狀態(tài)的信息。1.顯示Socket信息9.2.1檢查網(wǎng)絡(luò)案例9-1：顯示Socket摘要信息。點擊查看1.顯示Socket信息9.2.1檢查網(wǎng)絡(luò)案例9-2：顯示處于監(jiān)聽狀態(tài)的Socket，以及使用這些Socket的進程。點擊查看Linux操作系統(tǒng)中的Socket有多種類型，可以通過ss命令的不同選項來顯示不同類型的Socket信息，如TCPSocket、UDPSocket。2.顯示不同類型的Socket9.2.1檢查網(wǎng)絡(luò)案例9-3：顯示TCPSocket、UDPSocket信息。點擊查看一個Socket有多種不同的狀態(tài)，通過ss命令可以查詢處于不同狀態(tài)的Socket。Socket常見的狀態(tài)如表。3.顯示某種狀態(tài)的Socket9.2.1檢查網(wǎng)絡(luò)狀態(tài)說明LISTEN監(jiān)聽狀態(tài)ESTABLISHED連接打開狀態(tài)，即剛剛建立連接，可以傳輸數(shù)據(jù)的狀態(tài)CONNECTED連接狀態(tài)，通常除了LISTEN和CLOSED狀態(tài)，其他狀態(tài)都可以稱為CONNECTED狀態(tài)FIN-WAIT-1/FIN-WAIT-2釋放連接狀態(tài)CLOSED關(guān)閉狀態(tài)9.2.1檢查網(wǎng)絡(luò)案例9-4：顯示所有狀態(tài)為ESTABLISHED的HTTP連接。3.顯示某種狀態(tài)的Socket[itheima@localhost~]$ss-ostateestablished'(dport=:httpordport=:http)' NetidRecv-QSend-QLocalAddress:PortPeerAddress:Port在案例9-4中，使用ss命令顯示所有狀態(tài)為ESTABLISHED的HTTP連接，由輸出結(jié)果可知，系統(tǒng)中沒有處于ESTABLISHED狀態(tài)的HTTP連接。9.2.1檢查網(wǎng)絡(luò)案例9-5：分別顯示使用IPv4地址和IPv6地址，并且處于CLOSED狀態(tài)的Socket。點擊查看3.顯示某種狀態(tài)的Socketss命令提供了src子命令和dst子命令來匹配指定IP地址的Socket，src子命令用于匹配本地地址，dst子命令用于匹配遠程地址。9.2.1檢查網(wǎng)絡(luò)4.顯示指定IP地址和端口號的Socket9.2.1檢查網(wǎng)絡(luò)案例9-6：顯示來自6地址的Socket。4.顯示指定IP地址和端口號的Socket[itheima@localhost~]$ssdst6NetidStateRecv-QSend-QLocalAddress:PortPeerAddress:Port案例9-6使用ss命令顯示來自6地址的Socket，由輸出結(jié)果可知，系統(tǒng)中沒有來自該地址的Socket。9.2.1檢查網(wǎng)絡(luò)案例9-6：顯示來自6地址的Socket。4.顯示指定IP地址和端口號的Socket[itheima@localhost~]$ssdst6:1024[itheima@localhost~]$ssdst6:http需要注意的是，在IP地址后面可以使用“:”連接端口號指定查詢來自該地址某個端口的Socket，具體命令如下所示。指定端口號http連接默認端口號為809.2.1檢查網(wǎng)絡(luò)案例9-7：顯示來自本機地址的Socket。4.顯示指定IP地址和端口號的Socket[itheima@itheima~]$sssrc37NetidStateRecv-QSend-QLocalAddress:PortPeerAddress:PortProcesstcpESTAB0037:ssh:50604ssdport/sportOPPORTss命令還可以將本地端口（sport）或遠程端口（dport）與另一個端口進行比較，查詢來自某些端口的Socket。比較端口時，ss命令格式如下所示。具體格式9.2.1檢查網(wǎng)絡(luò)5.端口比較在上述格式中，PORT為端口號，OP為運算規(guī)則，如=、>、<等。OP表示的運算規(guī)則如表。9.2.1檢查網(wǎng)絡(luò)5.端口比較規(guī)則說明\<=或le小于或等于\>=或ge大于或等于==或=或eq等于!=或ne不等于\<或lt小于\>或gt大于使用端口比較運算符查詢Socket的命令示例如下。9.2.1檢查網(wǎng)絡(luò)5.端口比較[itheima@localhost~]$ssdport\>=60000 [itheima@localhost~]$ssdport=32195 [itheima@localhost~]$sssport=http [itheima@localhost~]$sssport!=1024 [itheima@localhost~]$ssdport\<1024

匹配大于或等于60000的遠程端口匹配遠程端口32195匹配本地80端口匹配不是1024的本地端口匹配小于1024的遠程端口掌握進程的監(jiān)控，能夠使用ps命令、top命令監(jiān)控系統(tǒng)進程運行狀態(tài)。學(xué)習(xí)目標9.2.2監(jiān)控進程進程是計算機系統(tǒng)中的運行單元，計算機系統(tǒng)主要通過進程完成任務(wù)，如讀寫文件、操作數(shù)據(jù)庫等。如果系統(tǒng)中有非法進程，可能會給系統(tǒng)帶來重大危害。例如，木馬病毒都以進程的形式在計算機上運行。此外，有些網(wǎng)絡(luò)攻擊會破壞計算機系統(tǒng)的合法進程，使系統(tǒng)無法正常工作，從而達到攻擊計算機系統(tǒng)的目的。因此，監(jiān)控和保護進程安全，是保證系統(tǒng)安全的重要措施。9.2.2監(jiān)控進程Linux操作系統(tǒng)提供了很多命令用于監(jiān)控進程，如ps、top、pstree等，通過這些命令，系統(tǒng)管理員可以了解系統(tǒng)中進程運行情況，如進程運行狀態(tài)、進程是否結(jié)束、哪些進程占用了過多資源等。針對非法進程及異常進程，系統(tǒng)管理員可以及時采取相應(yīng)措施，以保證Linux操作系統(tǒng)安全。9.2.2監(jiān)控進程掌握查看用戶的方法，能夠使用who命令、w命令查看用戶相關(guān)信息。學(xué)習(xí)目標9.2.3查看用戶Linux操作系統(tǒng)是一個多用戶操作系統(tǒng)，用戶登錄需要口令，如果用戶口令被截取，則攻擊者會利用用戶口令登錄系統(tǒng)進行非法操作。如果權(quán)限較大的用戶口令被截取，則會給系統(tǒng)帶來不可估量的危害。因此，經(jīng)常查看用戶登錄情況，也可以保證系統(tǒng)安全。9.2.3查看用戶w命令是who命令的增強版，它可以顯示登錄用戶更多、更詳細的信息。例如，w命令可以顯示登錄用戶當(dāng)前正在進行的工作。w命令的基本格式如下所示。w選項參數(shù)

9.2.3查看用戶基本格式w命令常用選項如表。9.2.3查看用戶選項說明-h不顯示列標題-s使用短格式顯示信息，僅顯示用戶名、終端、來源地址和登錄時間，不顯示其他信息-f顯示遠程主機名或IP地址，在輸出結(jié)果中包含F(xiàn)ROM字段，顯示用戶是從哪臺遠程主機登錄的案例9-8：查看系統(tǒng)當(dāng)前登錄用戶的信息。點擊查看9.2.3查看用戶掌握查看系統(tǒng)日志的方法，能夠使用journalctl命令查看系統(tǒng)各種日志信息。學(xué)習(xí)目標9.2.4查看日志openEuler使用systemd-journald服務(wù)收集日志信息并進行統(tǒng)一管理，為了方便查看日志文件，systemd-journald服務(wù)提供了相應(yīng)的日志管理命令journalctl。journalctl命令功能強大，它可以查看所有的日志信息，其基本格式如下所示。journalctl選項參數(shù)

基本格式9.2.4查看日志journalctl命令常用選項如表。9.2.4查看日志選項說明-a顯示全部日志信息-k查看內(nèi)核日志，用于調(diào)試與內(nèi)核相關(guān)的問題。這些日志包含與硬件和系統(tǒng)內(nèi)核相關(guān)的重要信息，如設(shè)備驅(qū)動程序的加載、系統(tǒng)調(diào)用的執(zhí)行等-b查看系統(tǒng)本次啟動的日志信息-u查看指定服務(wù)的日志信息，如-usshd.service

表示只顯示sshd服務(wù)相關(guān)的日志信息-n指定查看的日志條數(shù)，如-n50表示查看50條日志，默認是10行9.2.4查看日志選項說明-f追蹤日志，實時輸出最新日志信息-o指