Linux网络管理

1.网络基础1.1ISO/OSI七层模型1.1.1简介系统中的数据传输是从上层传输到下层，通过物理层协议传输，然后从下层接收从下层到上层，呈U字形。上三层（应用层、表现层、会话层）离用户最近，为用户服务；而下四层（传输层、网络层、数据链路层、物理层）为数据传输提供服务。如果不涉及数据传输，则不会走下四层。比如不联网，下四层就不会介入。1、OSI七层模型只是一个标准。TCP/IP四层模型实际用于网络传输。2、在OSI七层模型中，上三层为用户提供服务，下四层为实际实现。数据传输3.传输单元：应用层-APDU（上面三层的单元没有用，因为没有数据传输）表示层-PPDU会话层-SPDU传输层-TPDU（传输层数据单元，以前是称为网段）网络层——报文（包括IP地址，用于公网通信）数据链路层——帧（包括Mac地址，用于局域网传输）物理层---位字节1.1.2详解1、物理1-1层）比特流传输：最基本的数据传输1-2）物理接口：网线口、视频口、音频口1-3）电气特性：1、3、2的8根网线，6根四根wiretotransmitdata1-4)最常见的设备：网线、网卡2、数据链路层2-1)负责形成帧（分组成MAC信息）2-2)使用MAC地址访问介质（发送方andrecipient)2-3)Errordetectionandcorrection（数据包的检测和纠正）3.网络层3-1)负责提供逻辑地址（IP地址，需要写发送方IP和接收方IP）3-2)选择thepath(passedpath)4.传输层4-1)负责确定传输协议（TCP传输控制协议可靠且不会丢失，UDP用户数据报协议速度较快但可能丢失）可靠和不可靠传输4-2）传输前的错误检测4-3）流量控制4-4）建立端口号，方便通过IP确定主机后通过端口确定交互服务。IP地址为门牌号，端口号为收件人默认下网页服务端口号为80，邮件服务端口号为25和110，文件传输端口号为21，各传输协议有65536个端口。5.会话层5-1)应用会话的管理和同步，决定网络数据是否会进入远程会话6.表示层6-1)不同数据类型扩展的数据表示、解码和编码6-2)具体实现7.应用层7-1)为用户提供服务的接口8.示例场景用户A需要给用户B发送邮件8-1)应用层：浏览器进入邮箱，写入Email，点击发送，数据会传给表现层8-2)表现层：对数据进行编码，然后传给会话层8-3)会话层：判断要发送的数据类型sent，不管是网络传输还是本地保存，如果传输了就传给传输层。8-4）传输层：建立协议TCP或UDP，写入邮件的发送和目的端口号，传递给网络层8-5）网络层：写入自身和目的IP地址，传递到数据链路层8-6）数据链路层：写入源MAC地址和目标MAC地址，根据IP地址找到局域网，再通过MAC地址找到局域网中的目标，传递给物理层8-7)物理层：数据传输7应用层：老板6表示层：相当于公司里的presentation老板，给老板写信的助理5会话层：相当于公司里的秘书，负责接听发信、写信封、拆信封4传输层：相当于公司邮局发信员工3网络层：相当于邮局分拣工人2数据链路层：相当于邮局装箱拆包工人office1物理层：相当于邮局的搬运工###1.2TCP/IP协议四层模型1.2.1TCP/IP四层模型与OSI七层模型的对应关系1-1）应用层：Application层、表示层和会话层提供用户所需的各种服务，如FTP、Telnet、DNS、SMTP等。1-2)传输层：传输层负责为网络提供端到端的通信功能。应用层实体，保证数据包的顺序传输和数据的完整性。这一层定义了两个主要的协议：传输控制协议（TCP）reliable它是面向连接的，不会丢失，类似于电话、网页和电子邮件。用户数据报协议(UDP)对于无连接来说是不可靠的，并且可能会丢失。类似于发短信和QQTCP的三次握手来自【两军问题】：1-3）互联网层：网络层主要解决主机到主机通信的通信问题，它包含的协议涉及到逻辑传输跨越网络的数据包，这一层主要有三个协议：网际协议（IP）、网际组管理协议（IGMP）、网际控制报文协议（ICMP）等ping命令。1-4)网络接口层：数据链路层和物理层负责监控主机与网络之间的数据交换。实际上，TCP/IP本身并没有定义这一层的协议，参与互联的网络使用自己的物理层和数据链路层协议，再与TCP/IP的网络接入层进行连接。地址解析协议（ARP）工作在这一层，即OSI参考模型的数据链路层。地址解析协议(ARP)（数据链路层）：将IP地址转换为物理地址。（路由器只能记录物理地址）arp-a1.2.2数据封装/解封装过程（如图）发送从上到下打包，接收从下到上解包。1.2.3TCP/IP模型和OSI模型3-1)共同点3-1-1)OSI参考模型和TCP/IP参考模型都采用层次结构的概念3-1-2)都可以提供面向连接的和无连接通信服务机制3-2)区别3-2-1)七层OSI，四层TCP/IP3-2-2)可靠性要求不同（TCP/IP更高）3-2-3)OSI模型是在协议开发之前设计的，具有通用性。TCP/IP先是一套协议，然后建立模型，不适用于非TCP/IP网络3-2-4）实际市场应用不同（OSI模型只是理论模型，还有是没有成熟的产品，TCP/IP已经成为“实际的国际标准”）1.3IP地址详解1、IP包头2、IP地址分类2-1）IP分为五类：A、B、C、D、E、其中DE不对民间组织开放，不能使用，所以唯一有效的类别是ABC2-2）类别可以根据第一位数值判断，1-126为A类，128-172是B类，192-223是C类2-3）127.0.0.1是本机2-4）第一个数字表示不同网段，不同网络，不同网络之间通信需要使用路由器，路由器是用来实现的跨网络通信，同一网络下可使用交换机通信。当第一位不变时，后三位的变化代表同一网络下的不同主机2-5）A类：每个网络中的第一个地址（X.0.0.0）代表网络本身，最后一个Anaddress(X.255.255.255)表示当前网络的广播地址，不可分配，最大主机数：后三位的幂，减去首尾一位，2^24-22-6)B类：前两位数字代表网段，后两位代表网段内不同主机2-7)C类：前三位数字代表网段，最后两位代表不同主机2-8)私有IP：无需花钱购买，用作内网IP，可有效保护公网IP，不能直接访问公网。需要从公网转过来上网。1.4子网掩码A:B:C:1，ABC类可以使用不同的网络段数和主机数由子网掩码决定2.标准子网掩码：A:255.0.0.0B:255.255.0.0C:255.255.255.03，IP和子网掩码不能分开使用，必须同时使用4.合理的子网掩码：所有1必须连续，A类地址可以匹配B类子网掩码5.广播地址是专门用来发送给网络中所有工作站的地址同时1.5端口的作用是针对10000以内的系统，针对10000+用户netstat-an>-a:查看所有连接和监听端口-n:显示IP地址和端口号，而不是域名和服务名1、FTP（文件传输协议）：20、21；2.SSH（安全外壳协议）：22个；3.telnet（远程登录协议）：23；4、DNS（域名系统）：53个；5、http（超文本传输??协议）：80；6、SMTP（简单邮件传输协议）：25个；7、POP3（邮局协议）：110；1.6DNS的作用DNS：域名System1.hosts文件：做静态IP和域名的对应，先于DNS。位置：C:\Windows\System32\drivers\etc\hosts2。DNS服务的作用：将域名解析为IP地址的过程：客户端向DNS服务器发送查询IP请求。DNS服务器查询web服务器的ip，告知用户该用户访问了web服务器。3.域名空间结构根域：.(13台服务器)-->顶级域/一级域：包括组织域和地区:cnChinahkHongKongjpJapanUkUKauAustralia)——>二级域名：企业或个人购买(imooc/microsoft/ibm/sina)—>主机名/三级域名：自己定义后申请二级域名(www/news)4、为什么要对域名进行分类，方便IP地址解析5、客户端—>本域DNS服务器—>根服务器—>CN服务器—>COM.CN服务器—>IMOOC.COM.CN->client->webserver----递归查询（结果）----------------迭代查询（其他DNS服务器）---------6。转发：域名到IPARP反向：IP到域名RARP1.7网关的作用交换机（数据链路层）不知道IP，只知道MAC地址，在局域网中交换数据。路由器：不同网络之间的数据交换。外网到内网，内网到外网。网关：硬件设备，具有路由功能的机器，可以是路由器，也可以是服务器。功能：1、不在本网段的数据包由网关处理。2、内网不能直接访问公网。网关将内网IP和公网IP相互转换。2、Linux网络配置2.1IP地址配置1、ifconfig：临时配置IP地址（测试时使用），可以查看ip地址；（查看当前网络状态）windows：ipconfig2，setup：永久配置IP地址。REDHAT公司自己开发的工具3.修改网络配置文件（标准方法）4.在图形界面配置IP地址5.loopback127.0.0.06.eth0第一块网卡7.ifconfigeth0192.168.254.200netmask255.255.255.08，setup：远程工具2.2使用文件配置IPhostname文件信息说明：vi/etc/sysconfig/networkNETWORKING=yes--->不能是no，如果是no，网络就不行HOSTNAME=localhost.lcaldomain--->Hostname,局域网中的主机名在windows中不能重复，但在linux中是可以重复的。不过建议换个比较有辨识度的名字。注意：主机名只有在重启机器后才会生效。临时修改主机名的命令（重启后无效）：hostnamemyhost查看当前主机名的命令：hostname[root@localhost~]其中@后面的主机名是登录时确定的。如果修改了主机名，有它不会改变，直到你再次登录。标准的网络配置可以通过这三个文件来实现：/etc/sysconfig/network-script/ifcfg-eth0/etc/sysconfig/network/etc/resolv.conf。DNS配置文件信息说明：vi/etc/resolv.confnameserver202.106.0.20--->nameserver，即DNS服务器的IP地址，如果有多个，用空格隔开，或者另写一行搜索localhost--->当浏览器没有写完整域名时，该域名将作为默认域名。例如：如果浏览器只输入imooc，会自动改为imooc.local（不常用）2.3虚拟机网络参数配置（1）配置LinuxIP地址[root@localhost~]#setup修改配置IP地址（2）启动网卡[root@localhost~]vi/etc/sysconfig/network-scripts/ifcfg-eth0将ONBOOT=no改为ONBOOT=yes重启网络服务servicenetworkrestart（3）修改UUID（如果这个是cloned/copied的机器必须做这一步，否则可以省略）1）vi/etc/sysconfig/network-scripts/ifcfg-eth0删除MAC地址行2）rm-rf/etc/udev/rules.d/70-persistent-net.rules删除网卡和MAC地址绑定文件3)重启系统(4)设置虚拟机的网络连接方式1.桥接模式：通过虚拟机的真实网卡进行通信物理机。和机器一样的网关，缺点是需要占用一个真实网段的IP地址。这种模式更适合做实验，因为这种模式不仅可以和你的物理机通信，还可以和同一局域网内的其他主机通信，还可以访问公网。2、NAT模式：在Windows（物理机中）下，使用VMware8虚拟网卡进行通信。这种模式只能和自己的主机通信，不能和局域网内的其他主机通信，但是可以通过物理网卡访问公网。3、Host-only模式：在Windows下（在物理机中）使用VMware1虚拟网卡进行通信。这种模式只能和自己的主机通信，不能和局域网内的其他主机通信，只能和自己的物理机通信，不能访问公网。切记：选择桥接模式后，需要选择桥接网卡（即需要确定虚拟机需要连接到哪个真实网卡）。一般虚拟机都是自动桥接的，但是这种方式确实不靠谱**，所以需要自己选择，如果是有线接入网络就选择有线桥接，如果是无线接入网络，使用无线接入。(5)修改桥接网卡3.网络命令3.1网络查看命令1)ifconfig:查看和修改网络状态命令2)ifdown网卡设备名#禁用网卡设备ifup网卡设备名#启动网卡设备3)netstat选项-t:列出TCP协议端口-u:列出UDP协议端口-n:使用IP地址和端口号代替域名和服务器-l:只列出监听状态的服务-a:列出所有网络连接如netstat-tuln检查打开了哪些端口，以确定打开了哪些服务。其中，　ESTABLISHED中的ForeignAddress表示与本机建立链接的主机。可以通过管道符netstat-an|查看数量grep已建立|wc-l统计established状态下的连接数，看看有谁连接到了我们的服务器。远程连接后，一定要注意正确关闭远程连接，不能直接关闭ssh，可以用logout关闭。netstat-rn列出网关3.routecommand#查看路由列表（可以看到网关）#routeadddefaultgw1??92.168.1.1（一般不用）#临时设置网关注1）。在服务器中，连接内网的网卡不能设置网关。只能设置连接外网的网卡，这个网关是运营商设置的，告诉我们我的下一级网络地址。2).不能随意设置网关，因为与外网通信时，消息必须转发给网关，网关负责将内网IP转换为公网IP。连接失败状态。4、域名解析命令1）nslookup[hostnameorIP]#做域名和IP地址解析3.2网络测试命令1、测试网络连通性ping[option]ipordomainnameoption:-c:times2.telnetIP（明文传输很不安全，已经基本被ssh替代）端口检测同windows3.tracerouteip或域名路由跟踪命令，检查中间经过的节点，定位故障。4.wgetURL：下载命令5.tcpdump：抓包命令示例：tcpdump-ieth0-nnXport21抓取eth0网卡上的数据包，将数据包进行16进制拆分，（但只能用port21Port21)4.远程登录工具4.1SSHE协议1)对称加密算法采用单密钥密码体制的加密方法，信息的加密和解密都可以使用同一个秘钥。这种加密方式称为对称加密，也称为单密钥加密。缺点：加密和解密使用同一个密码，需要把密码告诉对方，相当于把自己用了很多年的密码告诉对方。比如邮箱之类的密码，造成威胁。2）非对称密码算法（asymmetriccryptographicalgorithm），又称“公钥加密算法”，需要一个公钥（publickey）和一个私钥（privatekey）。linux中使用gpg工具，windows中使用pgp工具。流程原理，A需要发送数据包给B2-1-1)A根据自己的密码A生成公钥A和私钥A2-1-2)B根据自己的密码生成公钥B和私钥B自己的密码B2-1-3)A向B索要公钥B，然后用自己的公钥A加密数据包，发送给B2-1-4)B收到数据包后，可以根据自己的密码B和私钥B加密数据包解密成功2-1-5）此时A也可以根据自己的密码A结合私钥A对加密后的数据包进行解密，以免泄露A自己的密码3）非洲使用SSH安全shell协议由对称加密算法演化而来，密码复杂，强度大，减少暴力破解的成功率，SSH保护数据传输的安全过程，但如果在传播前感染了病毒，那是不可避免的。通用远程管理协议3-1)流程原理，A需要发送数据包给B3-1-1)A持有公钥A和私钥A3-1-2)B持有公钥B和私钥B3-1-3）A向B索要公钥B，并结合自己的公钥A对数据包进行加密后发送给B3-1-4）B收到数据包后，根据自己的公钥解密数据包私钥B4)SSH命令4-1)ssh用户名@ip远程管理开发Linux服务器4-1-1)远程控制后，连接成功的目标信息地址加密算法公钥保存在.ssh文件夹中home目录下的know_hosts文件4-1-2）如果目标电脑重装过系统，或者地址被其他机器占用，此时下载的公钥不能使用，用vi删除新行，和再次连接时，会再次提示是否下载公钥4-2)scp[-r]username@ip:filepathlocalpath网络复制命令，下载文件或添加-r到下载文件夹4-3)scp[-r]localfileusername@ip:uploadpathnetworkcopycommand,上传文件或者加上-r上传文件夹这是linux和linux之间传输文件最简单的方法。参考教学视频：Mr.TonyLinuxNetworkManagement