云計算技術(shù)應(yīng)用基礎(chǔ) 課件 崔升廣 任務(wù) 4.3 VLAN通信-6.4 技能實踐

認(rèn)識交換機(jī)計算機(jī)網(wǎng)絡(luò)概述VLAN通信認(rèn)識路由器技能實踐防火墻技術(shù)4.3.1VLAN技術(shù)概述虛擬局域網(wǎng)（VirtualLocalAreaNetwork，VLAN）是指在一個物理網(wǎng)絡(luò)中劃分的邏輯網(wǎng)絡(luò)。使用VLAN技術(shù)的目的是將一個廣播域網(wǎng)絡(luò)劃分成幾個邏輯廣播域網(wǎng)絡(luò)，每個邏輯網(wǎng)絡(luò)內(nèi)的用戶形成一個組，組內(nèi)的成員間可以通信，組間的成員不允許通信。一個VLAN是一個廣播域，二層的單播、廣播和組播幀在同一VLAN內(nèi)轉(zhuǎn)發(fā)、擴(kuò)散，而不會直接進(jìn)入其他VLAN，廣播報文被限制在各個相應(yīng)的VLAN內(nèi)，這可提高網(wǎng)絡(luò)安全性和交換機(jī)運行效率。VLAN劃分方式有很多，如基于端口、基于MAC地址、基于協(xié)議、基于IP子網(wǎng)、基于策略等，目前應(yīng)用得最多的是基于端口劃分，因為基于端口劃分方式簡單實用。4.3.1VLAN技術(shù)概述1．VLAN的優(yōu)點默認(rèn)狀態(tài)下，一臺交換機(jī)的所有交換機(jī)端口都在一個廣播域內(nèi)。而采用VLAN技術(shù)可以限制廣播，減少干擾，將數(shù)據(jù)幀限制在同一個VLAN內(nèi)，不會影響其他VLAN，這在一定程度上能節(jié)省帶寬，每個VLAN都是一個獨立的廣播域。從邏輯上將交換機(jī)劃分為若干個VLAN，可以動態(tài)組建網(wǎng)絡(luò)環(huán)境，用戶無論在哪兒都可以不做任何修改就接入網(wǎng)絡(luò)。依據(jù)不同的VLAN劃分方式，可以在一臺交換機(jī)上提供多種網(wǎng)絡(luò)應(yīng)用服務(wù)，這提高了設(shè)備的利用率。不同VLAN的用戶在未經(jīng)許可的情況下是不能相互訪問的，一個VLAN內(nèi)的廣播幀不會發(fā)送到另一個VLAN中，這樣可以保護(hù)用戶不被其他用戶竊聽，從而保證網(wǎng)絡(luò)的安全。限制廣播域網(wǎng)絡(luò)管理簡單，可以靈活劃分虛擬工作組提高了網(wǎng)絡(luò)安全性4.3.1VLAN技術(shù)概述2．VLAN的劃分方式基于端口劃分。根據(jù)交換機(jī)的端口編號來劃分VLAN，通過為交換機(jī)的每個端口配置不同的PVID來將不同端口劃分到VLAN中。初始情況下，X7系列交換機(jī)的端口處于VLAN1中。此方式配置簡單，但是當(dāng)主機(jī)移動位置時，需要重新配置VLAN?；贛AC地址劃分。根據(jù)主機(jī)網(wǎng)卡的MAC地址劃分VLAN。此劃分方式需要網(wǎng)絡(luò)管理員提前配置好網(wǎng)絡(luò)中的主機(jī)MAC地址和VLANID之間的映射關(guān)系?；贗P子網(wǎng)劃分。交換機(jī)在接收到不帶標(biāo)簽的數(shù)據(jù)幀時，會根據(jù)報文攜帶的IP地址給數(shù)據(jù)幀添加VLAN標(biāo)簽?；趨f(xié)議劃分。根據(jù)數(shù)據(jù)幀的協(xié)議類型（或協(xié)議簇類型）、封裝格式來分配VLANID。網(wǎng)絡(luò)管理員需要先配置好協(xié)議類型和VLANID之間的映射關(guān)系。1234基于策略劃分。使用幾個組合的條件來分配VLAN標(biāo)簽。這些條件包括IP子網(wǎng)、端口和IP地址等。只有當(dāng)所有條件都匹配時，交換機(jī)才為數(shù)據(jù)幀添加VLAN標(biāo)簽。另外，每一條策略都是需要手動配置的。54.3.1VLAN技術(shù)概述3．VLAN數(shù)據(jù)幀格式4.3.1VLAN技術(shù)概述3．VLAN數(shù)據(jù)幀格式字段長度含義取值TPID2字節(jié)TagProtocolIdentifier（標(biāo)簽協(xié)議標(biāo)識符），表示數(shù)據(jù)幀類型取值為0x8100時，表示IEEE802.1Q的VLAN數(shù)據(jù)幀。如果不支持IEEE802.1Q的設(shè)備收到這樣的幀，則會將其丟棄。各設(shè)備廠商可以自定義該字段的值。當(dāng)鄰居設(shè)備將TPID值配置為非0x8100時，為了能夠識別這樣的報文，實現(xiàn)互通，必須在本設(shè)備上修改TPID值，確保和鄰居設(shè)備的TPID值一致PRI3位Priority，表示數(shù)據(jù)幀的802.1p優(yōu)先級取值為0～7，值越大優(yōu)先級越高。當(dāng)網(wǎng)絡(luò)阻塞時，交換機(jī)優(yōu)先發(fā)送優(yōu)先級高的數(shù)據(jù)幀CFI1位CanonicalFormatIndicator（標(biāo)準(zhǔn)格式指示位），表示MAC地址在不同的傳輸介質(zhì)中是否以標(biāo)準(zhǔn)格式進(jìn)行封裝，用于兼容以太網(wǎng)和令牌環(huán)網(wǎng)CFI取值為0時，表示MAC地址以標(biāo)準(zhǔn)格式進(jìn)行封裝；CFI取值為1時，表示以非標(biāo)準(zhǔn)格式封裝。在以太網(wǎng)中，CFI的值為0VID12位表示該數(shù)據(jù)幀所屬VLAN的IDVLANID取值為0～4095。0和4095為協(xié)議保留取值，因此VLANID的有效取值為1～4094VLAN標(biāo)簽各字段的含義4.3.2端口類型1．接入端口如果該端口收到對端設(shè)備發(fā)送的幀是Untagged數(shù)據(jù)幀，則交換機(jī)將為其強(qiáng)制加上該端口的PVID。如果該端口收到對端設(shè)備發(fā)送的幀是Tagged數(shù)據(jù)幀，則交換機(jī)會檢查該標(biāo)簽內(nèi)的VLANID，當(dāng)VLANID與該端口的PVID相同時，接收該報文；當(dāng)VLANID與該端口的PVID不同時，丟棄該報文。接入端口發(fā)送數(shù)據(jù)幀時，總是先剝離幀的標(biāo)簽，再進(jìn)行發(fā)送。接入端口發(fā)往對端設(shè)備的以太網(wǎng)幀永遠(yuǎn)是不帶標(biāo)簽的幀。4.3.2端口類型2．干道端口當(dāng)接收到對端設(shè)備發(fā)送的不帶標(biāo)簽的數(shù)據(jù)幀時，會添加該端口的PVID，如果PVID在端口允許通過的VLANID列表中，則接收該報文，否則丟棄該報文。當(dāng)接收到對端設(shè)備發(fā)送的帶標(biāo)簽的數(shù)據(jù)幀時，檢查VLANID是否在允許通過的VLANID列表中，如果在，則接收該報文，否則丟棄該報文。端口發(fā)送數(shù)據(jù)幀時，當(dāng)VLANID與端口的PVID相同，且是該端口允許通過的VLANID時，去掉標(biāo)簽，發(fā)送該報文。當(dāng)VLANID與端口的PVID不同，且是該端口允許通過的VLANID時，保留原有標(biāo)簽，發(fā)送該報文。4.3.2端口類型3．混合端口端口攜帶VLAN標(biāo)簽不攜帶VLAN標(biāo)簽接入端口丟棄該報文為該報文添加VLAN標(biāo)簽（為本端口的PVID）干道端口判斷本端口是否允許攜帶該VLAN標(biāo)簽的報文通過。如果允許，則報文攜帶原有VLAN標(biāo)簽進(jìn)行轉(zhuǎn)發(fā)，否則丟棄該報文同上混合端口同上同上不同類型端口接收報文時的處理方式4.3.2端口類型3．混合端口端口端口發(fā)送報文時的處理方式接入端口去掉報文攜帶的VLAN標(biāo)簽，并進(jìn)行轉(zhuǎn)發(fā)干道端口首先判斷是否在允許列表中，其次判斷報文攜帶的VLAN標(biāo)簽是否和端口的PVID相等。如果相等，則去掉報文攜帶的VLAN標(biāo)簽，并進(jìn)行轉(zhuǎn)發(fā)；否則報文將攜帶原有的VLAN標(biāo)簽進(jìn)行轉(zhuǎn)發(fā)混合端口首先判斷是否在允許列表中，其次判斷報文攜帶的VLAN標(biāo)簽在本端口需要做怎樣的處理。如果是以Untagged方式轉(zhuǎn)發(fā)的，則處理方式同接入端口；如果是以Tagged方式轉(zhuǎn)發(fā)的，則處理方式同干道端口不同類型端口發(fā)送報文時的處理方式4.3.3端口鏈路聚合1．端口鏈路聚合目的增加邏輯鏈路的帶寬提高網(wǎng)絡(luò)的可靠性端口鏈路聚合會把兩臺設(shè)備之間的多條物理鏈路聚合在一起，當(dāng)作一條邏輯鏈路來使用。這兩臺設(shè)備可以是一對路由器、一對交換機(jī)，或者是一臺路由器和一臺交換機(jī)。一條聚合鏈路可以包含多條成員鏈路，在華為X7系列交換機(jī)上默認(rèn)最多為8條。端口鏈路聚合能夠增加鏈路帶寬。理論上，通過聚合幾條鏈路，一個聚合端口的帶寬可以擴(kuò)展為所有成員端口帶寬的總和，這樣就有效地增加了邏輯鏈路的帶寬。配置了端口鏈路聚合之后，如果一個成員端口發(fā)生故障，則該成員端口的物理鏈路會把流量切換到另一條成員鏈路上。端口鏈路聚合還可以在聚合端口上實現(xiàn)負(fù)載均衡，聚合端口可以把流量分散到多個不同的成員端口上。通過成員鏈路把流量發(fā)送到同一個目的地，可將網(wǎng)絡(luò)發(fā)生擁塞的可能性降到最低。4.3.3端口鏈路聚合2．端口鏈路聚合條件把端口加入Eth-Trunk端口時，二層Eth-Trunk端口的成員端口必須是二層端口，三層Eth-Trunk端口的成員端口必須是三層端口。一個Eth-Trunk端口可以加入8個成員端口，加入Eth-Trunk端口的端口必須是混合端口（默認(rèn)的端口類型）。一個以太網(wǎng)端口只能加入一個Eth-Trunk端口。如果要把一個以太網(wǎng)端口加入另一個Eth-Trunk端口，則必須先把該以太網(wǎng)端口從當(dāng)前所屬的Eth-Trunk端口中刪除。一個Eth-Trunk端口的成員端口類型必須相同。例如，一個快速以太網(wǎng)端口（FE端口）和一個吉比特以太網(wǎng)端口（GE端口）不能加入同一個Eth-Trunk端口。1234成員端口的速率必須相同，如都為100Mbit/s或都為1000Mbit/s。5手動負(fù)載分擔(dān)模式簡稱手動模式，是一種基本的鏈路聚合方式，在該模式下，Eth-Trunk端口的建立、成員端口的加入都完全是手動實現(xiàn)的，沒有LACP的參與。該模式下所有成員端口（Selected）都參與數(shù)據(jù)的轉(zhuǎn)發(fā)，負(fù)載分擔(dān)流量，因此稱為手動負(fù)載分擔(dān)模式。手動聚合端口的LACP為關(guān)閉狀態(tài)，即禁止用戶使用手動聚合端口的LACP。在手動聚合組中，端口可能處于兩種狀態(tài)：Selected或Standby。處于Selected狀態(tài)且端口號最小的端口為聚合組的主端口，其他處于Selected狀態(tài)的端口為聚合組的成員端口。由于設(shè)備所能支持的聚合組中的最大端口數(shù)有限，如果處于Selected狀態(tài)的端口數(shù)超過設(shè)備所能支持的聚合組中的最大端口數(shù)，則系統(tǒng)將按照端口號從小到大的順序選擇一些端口為Selected端口，其他則為Standby端口。4.3.3端口鏈路聚合3．端口鏈路聚合模式（1）手動模式AB4.3.3端口鏈路聚合3．端口鏈路聚合模式（2）LACP模式LACP是一種實現(xiàn)鏈路動態(tài)聚合與解聚合的協(xié)議。LACP通過鏈路聚合控制協(xié)議數(shù)據(jù)單元（LinkAggregationControlProtocolDataUnit，LACPDU）與對端交互信息。LACP模式需要LACP的參與。當(dāng)需要在兩個直連設(shè)備間提供一個較大的鏈路帶寬且設(shè)備支持LACP時，建議使用LACP模式。LACP模式不僅可以達(dá)到增加帶寬、提高網(wǎng)絡(luò)可靠性、負(fù)載分擔(dān)的目的，還可以提高Eth-Trunk端口的容錯性、提供備份功能。在LACP模式下，部分鏈路是活動鏈路，所有活動鏈路均參與數(shù)據(jù)轉(zhuǎn)發(fā)。如果某條活動鏈路發(fā)生故障，則鏈路聚合組會自動在非活動鏈路中選擇一條鏈路作為活動鏈路，使參與數(shù)據(jù)轉(zhuǎn)發(fā)的鏈路數(shù)目不變。認(rèn)識交換機(jī)計算機(jī)網(wǎng)絡(luò)概述VLAN通信認(rèn)識路由器技能實踐防火墻技術(shù)4.4.1路由器外形結(jié)構(gòu)不同廠商、不同型號的路由器設(shè)備的外形結(jié)構(gòu)有所不同，但它們的功能、端口類型幾乎差不多，具體可參考相應(yīng)廠商的產(chǎn)品說明書。這里主要介紹華為AR2240系列路由器產(chǎn)品。4.4.2路由器工作原理路由器接收到數(shù)據(jù)包，提取目的IP地址及其子網(wǎng)掩碼來計算目標(biāo)網(wǎng)絡(luò)地址；根據(jù)目標(biāo)網(wǎng)絡(luò)地址查找路由表，如果找到目標(biāo)網(wǎng)絡(luò)地址，則按照相應(yīng)的出口將數(shù)據(jù)包發(fā)送到下一跳地址；如果沒有找到，則查找是否有默認(rèn)路由，如果有則按照默認(rèn)路由的出口將數(shù)據(jù)包發(fā)送給下一跳地址；如果沒有找到，則給源IP地址發(fā)送一個出錯ICMP數(shù)據(jù)包以表明無法轉(zhuǎn)發(fā)該數(shù)據(jù)包；如果是直連路由，則按照MAC地址將其發(fā)送給目標(biāo)站點。4.4.2路由器工作原理在路由表中，每一行就是一條路由信息。通常情況下，一條路由信息由3個要素組成：目的地/掩碼（Destination/Mask）、出端口、下一跳IP地址（NextHop）。（1）目的地/掩碼（3）下一跳IP地址（2）出端口4.4.3路由選擇1．路由信息的生成靜態(tài)路由（StaticRouting）手動配置的路由信息。靜態(tài)路由是由網(wǎng)絡(luò)管理員在路由器上手動配置的固定路由。靜態(tài)路由允許對路由行為進(jìn)行精確的控制，其特點是可減少單向網(wǎng)絡(luò)流量且配置簡單。靜態(tài)路由是在路由器中設(shè)置的固定路由表。動態(tài)路由（DynamicRouting）網(wǎng)絡(luò)設(shè)備通過運行動態(tài)路由協(xié)議而得到的路由信息。動態(tài)路由減少了管理任務(wù)，網(wǎng)絡(luò)設(shè)備可以自動發(fā)現(xiàn)與自己相連的網(wǎng)絡(luò)的路由。動態(tài)路由是網(wǎng)絡(luò)中的路由器之間根據(jù)實時網(wǎng)絡(luò)拓?fù)渥兓嗷鬟f路由信息，再利用收到的路由信息選擇相應(yīng)的協(xié)議進(jìn)行計算，從而更新路由表的過程。動態(tài)路由比較適用于大型網(wǎng)絡(luò)。直連路由（DirectRouting）設(shè)備自動發(fā)現(xiàn)的路由信息。在網(wǎng)絡(luò)設(shè)備啟動后，當(dāng)設(shè)備端口的狀態(tài)為Up時，設(shè)備會自動發(fā)現(xiàn)與自己的端口直接相連的網(wǎng)絡(luò)的路由。某一網(wǎng)絡(luò)與某臺設(shè)備直接相連（直連），是指這個網(wǎng)絡(luò)是與這個設(shè)備的某個端口直接相連的。當(dāng)路由器端口配置了正確的IP地址，并且端口處于Up狀態(tài)時，路由器將自動生成一條通過該端口去往直連網(wǎng)段的路由。直連路由的Protocol屬性為Direct，其Cost值總為0。0102034.4.3路由選擇2．默認(rèn)路由默認(rèn)路由：目的地/掩碼為/0的路由。默認(rèn)路由是一種非常特殊的路由，任何一個待發(fā)送或待轉(zhuǎn)發(fā)的IP報文都可以和默認(rèn)路由匹配。（1）動態(tài)默認(rèn)路由：默認(rèn)路由是由路由協(xié)議產(chǎn)生的。（2）靜態(tài)默認(rèn)路由：默認(rèn)路由是手動配置的。計算機(jī)或路由器的IP路由表中可能存在默認(rèn)路由，也可能不存在默認(rèn)路由。4.4.3路由選擇3．路由的優(yōu)先級路由來源及其默認(rèn)管理距離值路由來源默認(rèn)管理距離值直連路由（DIRECT）0OSPF10IS-IS15靜態(tài)路由（STATIC）60RIP100OSPFASE150OSPFNSSA150不可達(dá)路由（UNKNOWN）2554.4.3路由選擇4．路由的開銷（3）等價路由：同一種路由協(xié)議發(fā)現(xiàn)的兩條可以到達(dá)同一目的地/掩碼的，且開銷相等的路由。（1）一條路由的開銷：到達(dá)這條路由的目的地/掩碼需要付出的代價；同一種路由協(xié)議發(fā)現(xiàn)多條路由可以到達(dá)同一目的地/掩碼時，將優(yōu)選開銷值最小的路由，即只把開銷值最小的路由加入本協(xié)議的路由表。（4）負(fù)載分擔(dān)：如果兩條等價路由都被加入路由器的路由表，那么在進(jìn)行流量轉(zhuǎn)發(fā)的時候，一部分流量會根據(jù)第一條路由進(jìn)行轉(zhuǎn)發(fā)，另一部分流量會根據(jù)第二條路由進(jìn)行轉(zhuǎn)發(fā)。（2）不同的路由協(xié)議對開銷的具體定義是不同的。例如，RIP只將“跳數(shù)”作為開銷。“跳數(shù)”是指到達(dá)目的地/掩碼需要經(jīng)過路由器的個數(shù)。在RIP網(wǎng)絡(luò)穩(wěn)定以后，每臺路由器都會周期性地向鄰居路由器通告自己的整張路由表中的路由信息（以RIP應(yīng)答的方式廣播出去），默認(rèn)周期為30s，鄰居路由器根據(jù)收到的路由信息刷新自己的路由表。針對某一條路由信息，如果180s以后沒有接收到新的關(guān)于它的路由信息，那么將其標(biāo)記為失效，即將其Metric值標(biāo)記為16。在重新計時的120s以后，如果仍然沒有收到關(guān)于它的更新信息，則該條失效信息會被刪除。路由器啟動時，路由表中只會包含直連路由。運行RIP之后，路由器會發(fā)送Request報文，以請求鄰居路由器的RIP路由。運行RIP的鄰居路由器收到該Request報文后，會根據(jù)自己的路由表生成Response報文進(jìn)行回復(fù)。路由器在收到Response報文后，會將相應(yīng)的路由添加到自己的路由表中。4.4.4RIP動態(tài)路由1．工作原理4.4.4RIP動態(tài)路由2．RIP版本RIPv1RIPv1為有類別路由協(xié)議，不支持VLSM和CIDR；RIPv1以廣播形式發(fā)送路由信息，目的IP地址為廣播地址55；不支持認(rèn)證功能；RIPv1通過UDP交換路由信息，端口號為520。RIPv2RIPv2為無類別路由協(xié)議，支持VLSM，支持路由聚合與CIDR；支持以廣播或組播（）方式發(fā)送報文；支持明文認(rèn)證和MD5密文認(rèn)證。RIPv2在RIPv1的基礎(chǔ)上進(jìn)行了擴(kuò)展，但RIPv2的報文格式仍然與RIPv1類似。4.4.4RIP動態(tài)路由3．RIP的局限性（1）RIP中規(guī)定，一條有效的路由信息的度量不能超過15，這就使得該協(xié)議不能應(yīng)用于大型的網(wǎng)絡(luò)，應(yīng)該說正是因為設(shè)計者考慮到該協(xié)議只適用于小型網(wǎng)絡(luò)才進(jìn)行了這一限制，對Metric為16的目標(biāo)網(wǎng)絡(luò)來說，認(rèn)為其不可到達(dá)。（2）收斂速度慢。RIP在實際應(yīng)用時很容易出現(xiàn)“計數(shù)到無窮大”的現(xiàn)象，這使得路由收斂速度很慢，在網(wǎng)絡(luò)拓?fù)渥兓芫靡院?，路由信息才能穩(wěn)定下來。（3）根據(jù)跳數(shù)選擇的路由不一定是最優(yōu)路由。RIP以跳數(shù)，即報文經(jīng)過的路由器個數(shù)為衡量標(biāo)準(zhǔn)，并以此來選擇路由，這一操作欠缺合理性，因為沒有考慮網(wǎng)絡(luò)時延、可靠性、線路負(fù)荷等因素對傳輸質(zhì)量和速度的影響。4.4.4RIP動態(tài)路由4．RIPv1與RIPv2的區(qū)別RIPv1是有類別路由協(xié)議，RIPv2是無類別路由協(xié)議。RIPv1不支持VLSM，RIPv2支持VLSM。RIPv1沒有認(rèn)證的功能，RIPv2支持認(rèn)證功能，并且有明文和MD5密文兩種認(rèn)證方式。RIPv1沒有手動匯總的功能，RIPv2可以在關(guān)閉自動匯總功能的前提下，進(jìn)行手動匯總。RIPv1是廣播更新，RIPv2是組播更新。RIPv1路由沒有標(biāo)記的功能，RIPv2可以對路由打標(biāo)記，用于過濾和做策略。RIPv1發(fā)送的Update包中可以攜帶25條路由條目，而RIPv2在有認(rèn)證的情況下只能攜帶24條路由。RIPv1發(fā)送的Update包中沒有next-hop屬性，而RIPv2有next-hop屬性，可以用于路由更新的重定向。4.4.5OSPF動態(tài)路由1．OSPF簡介OSPF是一種鏈路狀態(tài)協(xié)議。各路由器負(fù)責(zé)發(fā)現(xiàn)、維護(hù)與鄰居的關(guān)系，會描述已知的鄰居列表和鏈路狀態(tài)更新（LinkStateUpdate，LSU）報文，通過可靠的泛洪及與AS內(nèi)其他路由器的周期性交互，學(xué)習(xí)到整個AS的網(wǎng)絡(luò)拓?fù)?，并通過AS邊界的路由器注入其他AS的路由信息得到整個網(wǎng)絡(luò)的路由信息。OSPF是一個內(nèi)部網(wǎng)關(guān)協(xié)議，用于在單一AS內(nèi)決策路由，它是基于鏈路狀態(tài)的路由協(xié)議。鏈路狀態(tài)是指路由器端口或鏈路的參數(shù)，這些參數(shù)是端口物理條件，包括端口是Up還是Down狀態(tài)、端口的IP地址、分配給端口的子網(wǎng)掩碼、端口所連接的網(wǎng)絡(luò)及路由器進(jìn)行網(wǎng)絡(luò)連接的相關(guān)費用等。OSPF通常將規(guī)模較大的網(wǎng)絡(luò)劃分成多個OSPF區(qū)域，要求路由器與同一區(qū)域內(nèi)的路由器交換鏈路狀態(tài)，并要求在區(qū)域邊界路由器上交換區(qū)域內(nèi)的匯總鏈路狀態(tài)，這樣可以減少傳播的信息量，且可使最短路徑計算強(qiáng)度減小。4.4.5OSPF動態(tài)路由2．OSPF的特點無環(huán)路。OSPF是一種基于鏈路狀態(tài)的路由協(xié)議，它從設(shè)計上就保證了無路由環(huán)路。OSPF支持區(qū)域的劃分，區(qū)域內(nèi)部的路由器使用最短路徑優(yōu)先（ShortestPathFirst，SPF）算法保證區(qū)域內(nèi)部無環(huán)路。OSPF還利用區(qū)域間的連接規(guī)則保證區(qū)域之間無路由環(huán)路。收斂速度快。OSPF支持觸發(fā)更新，能夠快速檢測并通告AS內(nèi)的拓?fù)渥兓?。擴(kuò)展性好。OSPF可以解決網(wǎng)絡(luò)擴(kuò)容帶來的問題。當(dāng)網(wǎng)絡(luò)中的路由器越來越多，路由信息流量急劇增長的時候，OSPF可以將每個AS劃分為多個區(qū)域，并限制每個區(qū)域的范圍。OSPF這種分區(qū)域的特點使得其特別適用于大中型網(wǎng)絡(luò)。提供認(rèn)證功能。OSPF路由器之間的報文可以配置為必須經(jīng)過認(rèn)證才能進(jìn)行交換。1234具有更高的優(yōu)先級和可信度。在RIP中，路由的管理距離是100，而OSPF具有更高的優(yōu)先級和可信度，其管理距離為10。54.4.5OSPF動態(tài)路由3．OSPF的工作原理（1）鄰居與鄰接狀態(tài)關(guān)系運行OSPF協(xié)議的路由器之間需要交換鏈路狀態(tài)信息和路由信息，在交換這些信息之前路由器之間需要建立鄰接關(guān)系。鄰居（Neighbor）鄰接OSPF路由器啟動后，便會通過OSPF端口向外發(fā)送Hello報文來發(fā)現(xiàn)鄰居。收到Hello報文的OSPF路由器會檢查報文中定義的一些參數(shù)，如果雙方的參數(shù)一致，則會彼此形成鄰居關(guān)系，狀態(tài)到達(dá)2-Way即可稱為建立了鄰居關(guān)系。形成鄰居關(guān)系的雙方不一定都能形成鄰接關(guān)系，這要根據(jù)網(wǎng)絡(luò)類型而定；只有當(dāng)雙方成功交換DD報文，并同步LSDB后，才能形成真正意義上的鄰接關(guān)系。4.4.5OSPF動態(tài)路由3．OSPF的工作原理（2）OSPF協(xié)議的工作原理OSPF協(xié)議要求每臺運行OSPF的路由器都了解整個網(wǎng)絡(luò)的鏈路狀態(tài)信息，這樣才能計算出到達(dá)目的地的最優(yōu)路徑。OSPF協(xié)議的收斂過程由LSA泛洪開始，LSA中包含路由器已知的端口IP地址、子網(wǎng)掩碼、開銷和網(wǎng)絡(luò)類型等信息。收到LSA的路由器可以根據(jù)LSA提供的信息建立自己的LSDB，并在LSDB的基礎(chǔ)上使用SPF算法進(jìn)行運算，建立起到達(dá)每個網(wǎng)絡(luò)的最短路徑樹。最后，通過最短路徑樹得出到達(dá)目標(biāo)網(wǎng)絡(luò)的最優(yōu)路由，并將其加入IP路由表。一臺既不是DR也不是BDR的路由器，只與DR和BDR形成鄰接關(guān)系并交換鏈路狀態(tài)信息及路由信息，這樣就大大減少了大型廣播型網(wǎng)絡(luò)和NBMA網(wǎng)絡(luò)中的鄰接關(guān)系數(shù)量。在沒有DR的廣播網(wǎng)絡(luò)中，鄰接關(guān)系的數(shù)量可以根據(jù)公式n(n-1)÷2計算得出，n代表OSPF協(xié)議的路由器端口的數(shù)量。當(dāng)指定了DR后，所有的路由器都會與DR建立起鄰接關(guān)系，DR成為該廣播網(wǎng)絡(luò)中的中心點。BDR在DR發(fā)生故障時接管其業(yè)務(wù)，一個廣播型網(wǎng)絡(luò)中的所有路由器都必須同BDR建立鄰接關(guān)系。4.4.5OSPF動態(tài)路由4．DR與BDR選擇每一個含有至少兩臺路由器的廣播型網(wǎng)絡(luò)和NBMA網(wǎng)絡(luò)中都有指定路由器（DesignatedRoute，DR）和備份指定路由器（BackupDesignatedRoute，BDR），DR和BDR可以減少鄰接關(guān)系的數(shù)量，從而減少鏈路狀態(tài)信息及路由信息的交換次數(shù)，這樣可以節(jié)省帶寬，緩解路由器處理的壓力。4.4.5OSPF動態(tài)路由5．OSPF區(qū)域劃分運行在區(qū)域之間的路由器叫作區(qū)域邊界路由器（AreaBorderRouter，ABR），它包含所有相連區(qū)域的LSDB。自治系統(tǒng)邊界路由器（AutonomousSystemBoundaryRouter，ASBR）是指和其他AS中的路由器交換路由信息的路由器，這種路由器會向整個AS通告AS外部路由信息。在規(guī)模較小的公司網(wǎng)絡(luò)中，可以把所有路由器劃分到同一個區(qū)域中，同一個OSPF區(qū)域的路由器中的LSDB是完全一致的。OSPF區(qū)域號可以手動配置，為了便于將來的網(wǎng)絡(luò)擴(kuò)展，推薦將該區(qū)域號設(shè)置為0，即骨干區(qū)域。認(rèn)識交換機(jī)計算機(jī)網(wǎng)絡(luò)概述VLAN通信認(rèn)識路由器技能實踐防火墻技術(shù)4.5.1防火墻概述1．防火墻簡介它會拒絕所有未經(jīng)允許的命令。防火墻的審查是基礎(chǔ)的逐項審查，任何一個服務(wù)請求和應(yīng)用操作都將被逐一審查，只有符合允許條件的命令才可能被執(zhí)行，這為保證內(nèi)部計算機(jī)安全提供了切實可行的辦法。它會允許所有未拒絕的命令。防火墻在傳遞信息的時候都是按照約定的命令執(zhí)行的，也就是在逐項審查后會拒絕存在潛在危害的命令，因為可用性優(yōu)于安全性，從而導(dǎo)致安全性難以把控。124.5.1防火墻概述2．防火墻的功能（1）支持NAT。防火墻可以作為部署NAT的邏輯地址，因此防火墻可以用來解決地址空間不足的問題，并避免機(jī)構(gòu)在變換ISP時帶來的需要重新編址的麻煩。（2）支持虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork，VPN）。防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過VPN可將企業(yè)在地域上分布在全世界各地的局域網(wǎng)或?qū)Ｓ米泳W(wǎng)有機(jī)地互聯(lián)成一個整體，不僅可省去專用通信線路，還可為信息共享提供技術(shù)保障。（3）支持用戶制定的各種訪問控制策略。（4）支持對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計。（5）支持身份認(rèn)證等功能。4.5.1防火墻概述3．防火墻的優(yōu)缺點（1）防火墻的優(yōu)點可增強(qiáng)網(wǎng)絡(luò)安全性提供集中的安全管理提供對系統(tǒng)的訪問控制可增強(qiáng)保密性能有效地記錄網(wǎng)絡(luò)訪問情況4.5.1防火墻概述3．防火墻的優(yōu)缺點（2）防火墻的缺點①防火墻不能防范來自內(nèi)部的攻擊。防火墻對內(nèi)部用戶偷竊數(shù)據(jù)、破壞硬件和軟件等行為無能為力。④防火墻不能防范未知的威脅。防火墻能較好地防范已知的威脅，但不能自動防范未知的威脅。②防火墻不能防范未經(jīng)過防火墻的攻擊。對于沒有經(jīng)過防火墻的數(shù)據(jù)，防火墻無法檢查，如個別內(nèi)部網(wǎng)絡(luò)用戶繞過防火墻進(jìn)行撥號訪問等。③防火墻不能防范策略配置不當(dāng)或錯誤配置帶來的安全威脅。防火墻是一個被動的安全策略執(zhí)行設(shè)備，要根據(jù)相關(guān)規(guī)定來執(zhí)行安全防護(hù)操作，而不能自作主張。4.5.1防火墻概述4．防火墻技術(shù)分類（1）包過濾防火墻（2）代理防火墻它也稱為應(yīng)用網(wǎng)關(guān)防火墻。第二代防火墻工作在應(yīng)用層上，能夠根據(jù)具體的應(yīng)用對數(shù)據(jù)進(jìn)行過濾或者轉(zhuǎn)發(fā)，也就是人們常說的代理服務(wù)器、應(yīng)用網(wǎng)關(guān)。這樣的防火墻徹底隔斷了內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的直接通信，內(nèi)部網(wǎng)絡(luò)用戶對外部網(wǎng)絡(luò)的訪問變成防火墻對外部網(wǎng)絡(luò)的訪問，再由防火墻把訪問的結(jié)果轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)絡(luò)用戶。4.5.1防火墻概述4．防火墻技術(shù)分類（3）狀態(tài)檢測防火墻（4）復(fù)合型防火墻復(fù)合型防火墻結(jié)合了代理防火墻的安全性和包過濾防火墻的高速等優(yōu)點，實現(xiàn)了OSI參考模型中第3層～第7層自適應(yīng)的數(shù)據(jù)轉(zhuǎn)發(fā)。（5）下一代防火墻為應(yīng)對當(dāng)前與未來的網(wǎng)絡(luò)安全威脅，防火墻必須具備一些新的功能，如具有基于用戶的高性能并行處理引擎。一些企業(yè)把具有多種功能的防火墻稱為下一代防火墻。4.5.2認(rèn)識防火墻設(shè)備1．防火墻設(shè)備外形華為USG6500E系列防火墻的前、后面板4.5.2認(rèn)識防火墻設(shè)備2．防火墻設(shè)備連接連接防火墻的各線纜，并連接好電源適配器，給設(shè)備通電。設(shè)備沒有電源開關(guān)，通電后會立即啟動。若防火墻前面板上的SYS指示燈每兩秒閃一次，則表明設(shè)備已進(jìn)入正常運行狀態(tài)，可以登錄設(shè)備進(jìn)行配置。PoE供電設(shè)備與防火墻之間必須通過網(wǎng)線直連。4.5.3防火墻端口區(qū)域及控制策略1．防火墻端口區(qū)域Trust（內(nèi)部，局域網(wǎng)），連接內(nèi)部網(wǎng)絡(luò)。Untrust（外部，Internet），連接外部網(wǎng)絡(luò)，一般指的是Internet。非軍事區(qū)（DemilitarizedZone，DMZ），DMZ中的系統(tǒng)通常為提供對外服務(wù)的系統(tǒng)，如Web服務(wù)器、FTP服務(wù)器、電子郵件服務(wù)器等；可增強(qiáng)Trust區(qū)域中設(shè)備的安全性；有特殊的訪問策略；Trust區(qū)域中的設(shè)備也會對DMZ中的系統(tǒng)進(jìn)行訪問。4.5.3防火墻端口區(qū)域及控制策略2．DMZ常規(guī)訪問控制策略內(nèi)部網(wǎng)絡(luò)可以訪問DMZ，方便用戶使用和管理DMZ中的服務(wù)器。外部網(wǎng)絡(luò)可以訪問DMZ中的服務(wù)器，同時需要由防火墻完成外部地址到服務(wù)器實際地址的轉(zhuǎn)換。DMZ不能訪問外部網(wǎng)絡(luò)。此條策略也有例外。例如，如果DMZ中放置了電子郵件服務(wù)器，則其需要訪問外部網(wǎng)絡(luò)，否則它將不能正常工作。010203認(rèn)識交換機(jī)計算機(jī)網(wǎng)絡(luò)概述VLAN通信認(rèn)識路由器技能實踐防火墻技術(shù)任務(wù)4.1配置交換機(jī)登錄方式1．AAA認(rèn)證方式配置交換機(jī)登錄方式01OPTION02OPTION配置主機(jī)PC1的IP地址配置交換機(jī)LSW103OPTION任務(wù)4.1配置交換機(jī)登錄方式1．AAA認(rèn)證方式顯示交換機(jī)LSW1的配置信息04OPTION05OPTION測試Telnet連接交換機(jī)LSW1的結(jié)果主機(jī)PC1訪問交換機(jī)LSW106OPTION任務(wù)4.1配置交換機(jī)登錄方式2．密碼認(rèn)證方式配置交換機(jī)LSW1顯示交換機(jī)LSW1的配置信息測試Telnet連接交換機(jī)LSW1的結(jié)果任務(wù)4.2VLAN內(nèi)通信基本配置1．創(chuàng)建VLAN任務(wù)4.2VLAN內(nèi)通信基本配置2．劃分端口給相應(yīng)的VLAN方法一OPTION方法二OPTION任務(wù)4.2VLAN內(nèi)通信基本配置3．查看并保存配置文件查看當(dāng)前配置信息01OPTION02OPTION查看端口配置信息查看VLAN配置信息03OPTION任務(wù)4.2VLAN內(nèi)通信基本配置3．查看并保存配置文件保存當(dāng)前配置信息04OPTION05OPTION查看版本信息任務(wù)4.3配置交換機(jī)干道端口實現(xiàn)VLAN內(nèi)通信配置交換機(jī)干道端口實現(xiàn)VLAN內(nèi)通信01OPTION02OPTION配置交換機(jī)LSW1、LSW2配置相關(guān)主機(jī)的IP地址、VLAN信息03OPTION任務(wù)4.3配置交換機(jī)干道端口實現(xiàn)VLAN內(nèi)通信顯示交換機(jī)LSW1、LSW2的配置信息04OPTION05OPTION使主機(jī)間相互訪問，測試相關(guān)結(jié)果使默認(rèn)VLAN1的數(shù)據(jù)不在干道鏈路上進(jìn)行轉(zhuǎn)發(fā)06OPTION任務(wù)4.4配置混合端口實現(xiàn)VLAN內(nèi)通信配置交換機(jī)LSW1顯示交換機(jī)LSW1的配置信息01OPTION02OPTION03OPTION配置交換機(jī)LSW2任務(wù)4.4配置混合端口實現(xiàn)VLAN內(nèi)通信顯示交換機(jī)LSW2的配置信息04OPTION05OPTION測試相關(guān)結(jié)果任務(wù)4.5三層交換機(jī)實現(xiàn)VLAN間通信用三層交換機(jī)實現(xiàn)VLAN間相互訪問配置交換機(jī)LSW201OPTION02OPTION03OPTION配置交換機(jī)LSW1任務(wù)4.5三層交換機(jī)實現(xiàn)VLAN間通信顯示交換機(jī)LSW1的配置信息測試相關(guān)結(jié)果04OPTION05OPTION06OPTION顯示交換機(jī)LSW2的配置信息任務(wù)4.6單臂路由實現(xiàn)VLAN間通信用單臂路由實現(xiàn)VLAN間通信配置路由器AR1的相關(guān)信息01OPTION02OPTION03OPTION配置交換機(jī)LSW1的相關(guān)信息任務(wù)4.6單臂路由實現(xiàn)VLAN間通信顯示交換機(jī)LSW1的配置信息測試相關(guān)結(jié)果04OPTION05OPTION06OPTION示路由器AR1的配置信息任務(wù)4.7配置手動模式的鏈路聚合配置手動模式的鏈路聚合顯示交換機(jī)LSW1和LSW2的配置信息01OPTION02OPTION03OPTION在交換機(jī)LSW1上創(chuàng)建干道端口，并加入成員端口任務(wù)4.7配置手動模式的鏈路聚合查看鏈路聚合結(jié)果04OPTION05OPTION主機(jī)PC1和主機(jī)PC3可以相互訪問任務(wù)4.8配置靜態(tài)路由配置靜態(tài)路由配置路由器AR201OPTION02OPTION03OPTION配置路由器AR1任務(wù)4.8配置靜態(tài)路由顯示路由器AR1和路由器AR2的配置信息主機(jī)PC1測試路由驗證結(jié)果04OPTION05OPTION06OPTION路由器AR1的路由表信息任務(wù)4.9配置默認(rèn)路由配置默認(rèn)路由配置路由器AR201OPTION02OPTION03OPTION配置路由器AR1任務(wù)4.9配置默認(rèn)路由顯示路由器AR1和路由器AR2的配置信息主機(jī)PC1測試路由驗證結(jié)果04OPTION05OPTION06OPTION路由器AR1的路由表信息任務(wù)4.10配置RIP路由配置RIP路由配置路由器AR201OPTION02OPTION03OPTION配置路由器AR1任務(wù)4.10配置RIP路由顯示路由器AR1和路由器AR2的配置信息配置交換機(jī)LSW204OPTION05OPTION06OPTION配置交換機(jī)LSW1任務(wù)4.10配置RIP路由顯示交換機(jī)LSW1和交換機(jī)LSW2的配置信息測試主機(jī)PC1的連通性07OPTION08OPTION09OPTION查看路由器AR1的路由表信息任務(wù)4.11配置多區(qū)域OSPF路由配置多區(qū)域OSPF路由配置路由器AR201OPTION02OPTION03OPTION配置路由器AR1任務(wù)4.11配置多區(qū)域OSPF路由配置路由器AR3顯示路由器AR104OPTION05OPTION06OPTION配置路由器AR4任務(wù)4.11配置多區(qū)域OSPF路由查看路由器AR1的路由表信息07OPTION08OPTION測試主機(jī)任務(wù)4.12防火墻接入Internet配置配置防火墻接入InternetVMnet8網(wǎng)絡(luò)的NAT設(shè)置01OPTION02OPTION03OPTION配置本地虛擬機(jī)VMware的IP地址任務(wù)4.12防火墻接入Internet配置配置Cloud1端口相關(guān)信息配置交換機(jī)LSW204OPTION05OPTION06OPTION配置交換機(jī)LSW1任務(wù)4.12防火墻接入Internet配置顯示交換機(jī)LSW1和交換機(jī)LSW2的配置信息顯示防火墻FW1的配置信息07OPTION08OPTION09OPTION配置防火墻FW1任務(wù)4.12防火墻接入Internet配置查看主機(jī)PC1訪問主機(jī)PC3的結(jié)果查看主機(jī)PC1訪問網(wǎng)易IP地址的結(jié)果10OPTION11OPTION12OPTION查看本地主機(jī)訪問Internet的結(jié)果查看主機(jī)PC1訪問主機(jī)PC3的結(jié)果13OPTIONTHANKS云計算技術(shù)應(yīng)用基礎(chǔ)（微課版）工業(yè)和信息化精品系列教材——云計算技術(shù)第5章云計算管理平臺OpenStack云計算平臺管理Linux操作系統(tǒng)Docker容器技術(shù)技能實踐5.1.1Linux概述1．Linux簡介Linux的早期版本并沒有考慮用戶的使用情況，只提供了最核心的框架，使得Linux編程人員可以享受編寫內(nèi)核的樂趣，這也促成了Linux操作系統(tǒng)內(nèi)核的強(qiáng)大與穩(wěn)定。隨著互聯(lián)網(wǎng)的發(fā)展與興起，Linux操作系統(tǒng)迅速發(fā)展，許多優(yōu)秀的程序員都加入了Linux操作系統(tǒng)的編寫行列，隨著編程人員的擴(kuò)充和完整的操作系統(tǒng)基本軟件的出現(xiàn)，Linux操作系統(tǒng)開發(fā)人員認(rèn)識到Linux已經(jīng)逐漸變成一個成熟的操作系統(tǒng)平臺。1994年3月，其內(nèi)核1.0的推出，標(biāo)志著Linux第一個版本的誕生。Linux一開始要求所有的源代碼必須公開，且任何人均不得從Linux交易中獲利。Linux誕生之后，發(fā)展迅速，一些機(jī)構(gòu)和公司將Linux內(nèi)核、源代碼以及相關(guān)應(yīng)用軟件集成為一個完整的操作系統(tǒng)，便于用戶安裝和使用，從而形成Linux發(fā)行版本，這些發(fā)行版本不僅包括完整的Linux操作系統(tǒng)，還包括文本編輯器、高級語言編譯器等應(yīng)用軟件，以及X-Windows圖形用戶界面等。Linux在桌面應(yīng)用、服務(wù)器平臺、嵌入式應(yīng)用等領(lǐng)域得到了良好發(fā)展，并形成了自己的產(chǎn)業(yè)環(huán)境，包括芯片制造商、硬件廠商、軟件提供商等。Linux具有完善的網(wǎng)絡(luò)功能和較高的安全性，繼承了UNIX操作系統(tǒng)卓越的穩(wěn)定性表現(xiàn)，在全球各地服務(wù)器平臺上的市場份額不斷增加。5.1.1Linux概述2．Linux的體系結(jié)構(gòu)Linux內(nèi)核其為靠近硬件的內(nèi)核，即Linux操作系統(tǒng)常駐內(nèi)存部分。Linux內(nèi)核是整個操作系統(tǒng)的核心，由它實現(xiàn)對硬件的抽象和訪問調(diào)度。它為上層調(diào)用提供統(tǒng)一的虛擬機(jī)接口，在編寫上層程序的時候不需要考慮計算機(jī)使用何種類型的硬件，也不需要考慮臨界資源問題。用戶應(yīng)用程序其位于整個系統(tǒng)的頂層，是Linux操作系統(tǒng)上運行的應(yīng)用程序的集合，常見的用戶應(yīng)用程序有多媒體處理應(yīng)用程序、文字處理應(yīng)用程序、網(wǎng)絡(luò)應(yīng)用程序等。硬件系統(tǒng)其包含Linux使用的所有物理設(shè)備，如CPU、內(nèi)存、硬盤和網(wǎng)絡(luò)設(shè)備等。操作系統(tǒng)服務(wù)其位于用戶應(yīng)用程序與Linux內(nèi)核之間，主要是指那些為用戶提供服務(wù)且執(zhí)行操作系統(tǒng)部分功能的程序，為用戶應(yīng)用程序提供系統(tǒng)內(nèi)核的調(diào)用接口。窗口系統(tǒng)、Shell命令解釋系統(tǒng)、內(nèi)核編程接口等就屬于操作系統(tǒng)服務(wù)的子系統(tǒng)，這一部分也稱為系統(tǒng)程序。Linux采用分層設(shè)計，包括4層。每層只能與相鄰的層通信，層間具有從上到下的依賴關(guān)系，靠上的層依賴靠下的層，但靠下的層并不依賴于靠上的層，各層系統(tǒng)功能如下。5.1.1Linux概述3．Linux的版本RedHatLinux（紅帽Linux）是現(xiàn)在非常著名的Linux版本，其不但創(chuàng)造了自己的品牌，而且有越來越多的用戶使用。2014年年底，RedHat公司推出了當(dāng)時最新的企業(yè)版Linux操作系統(tǒng)，即RedHatEnterpriseLinux7，簡稱RHEL7。社區(qū)企業(yè)操作系統(tǒng)（CommunityEnterpriseOperatingSystem，CentOS）是Linux發(fā)行版之一，它是基于RedHatEnterpriseLinux，依照開放源代碼規(guī)定釋出的源代碼編譯而成的。Fedora是由Fedora項目社區(qū)開發(fā)并由RedHat贊助的Linux發(fā)行版。Fedora包含在各種免費和開源許可下分發(fā)的軟件。Fedora是RedHatEnterpriseLinux發(fā)行版的上游源。RedHatLinuxCentOSFedora5.1.1Linux概述3．Linux的版本Mandrake于1998年由一個推崇Linux的小組創(chuàng)立，它的目標(biāo)是盡量讓工作變得更簡單。Mandrake提供了一個優(yōu)秀的圖形安裝界面，它的最新版本中包含了許多Linux軟件包。Debian誕生于1993年8月13日，它的目標(biāo)是提供一個穩(wěn)定容錯的Linux版本。Debian以其穩(wěn)定性著稱，雖然它的早期版本Slink有一些問題，但是它的現(xiàn)有版本Potato已經(jīng)相當(dāng)穩(wěn)定了。Ubuntu是一個以桌面應(yīng)用為主的Linux操作系統(tǒng)，其名稱來自非洲南部祖魯語或豪薩語的“ubuntu”一詞（可譯為烏班圖），意思是“人性”“我的存在是因為大家的存在”，是非洲一種傳統(tǒng)的價值觀，類似于我國的“仁愛”思想。MandrakeDebianUbuntu5.1.1Linux概述4．Linux的特性開放性多任務(wù)設(shè)備獨立性強(qiáng)可靠的安全系統(tǒng)良好的可移植性豐富的網(wǎng)絡(luò)功能良好的用戶界面多用戶支持多文件系統(tǒng)5.1.2熟悉Ubuntu桌面環(huán)境1．系統(tǒng)登錄、注銷與關(guān)機(jī)狀態(tài)菜單01OPTION首次登錄Ubuntu操作系統(tǒng)時，選擇用戶并輸入密碼進(jìn)行登錄，界面中會顯示Ubuntu的新特性。登錄Ubuntu桌面環(huán)境。注銷02OPTION關(guān)機(jī)03OPTION登錄Ubuntu桌面環(huán)境5.1.2熟悉Ubuntu桌面環(huán)境2．活動概覽視圖處于活動概覽視圖時，頂部面板中左上角的“活動”按鈕自動加上下畫線。在視圖的左邊可以看到Dash面板，它就是一個收藏夾，放置了常用的程序和當(dāng)前正在運行的程序，單擊其中的圖標(biāo)可以打開相應(yīng)的程序，如果程序已經(jīng)運行了，則其會高亮顯示，單擊圖標(biāo)會顯示最近使用的窗口。切換到活動概覽視圖時，桌面顯示的是窗口概覽視圖，顯示了當(dāng)前工作區(qū)中所有窗口的實時縮略圖，其中只有一個是處于活動狀態(tài)的窗口。每個窗口代表一個正在運行的圖形界面應(yīng)用程序。其上部有一個搜索框，可用于查找主目錄中的應(yīng)用程序、設(shè)置和文件等。工作區(qū)選擇器位于活動概覽視圖右側(cè)，可用于切換到不同的工作區(qū)。5.1.2熟悉Ubuntu桌面環(huán)境3．啟動應(yīng)用程序彈出右鍵菜單選擇全部列表01OPTION02OPTION搜索應(yīng)用程序03OPTION5.1.2熟悉Ubuntu桌面環(huán)境4．將應(yīng)用程序添加到Dash面板中進(jìn)入活動概覽視圖，單擊Dash面板底部的“網(wǎng)格”按鈕，右鍵單擊要添加的應(yīng)用程序，在彈出的快捷菜單中選擇“添加到收藏夾”選項，或者直接拖動其圖標(biāo)到Dash面板中，如將“終端”添加到Dash面板中。要從Dash面板中刪除應(yīng)用程序，右鍵單擊該應(yīng)用程序，在彈出的快捷菜單中選擇“從收藏夾中移除”選項即可。5.1.2熟悉Ubuntu桌面環(huán)境5．窗口操作應(yīng)用程序窗口的標(biāo)題欄右上角通常提供窗口關(guān)閉、窗口最小化和窗口最大化按鈕；一般窗口會有菜單，默認(rèn)菜單位于頂部面板左側(cè)的菜單欄（要彈出下拉菜單）；一般窗口也可以通過拖動邊緣來改變大??；多個窗口之間可以按Alt+Tab快捷鍵進(jìn)行切換。5.1.2熟悉Ubuntu桌面環(huán)境6．使用工作區(qū)在工作區(qū)之間切換可以使用鼠標(biāo)或鍵盤。進(jìn)入活動概覽視圖之后，屏幕右側(cè)顯示工作區(qū)選擇器，單擊要進(jìn)入的工作區(qū)，或者按PageUp或PageDown鍵在工作區(qū)選擇器中進(jìn)行上下切換。在普通視圖中啟動的應(yīng)用程序位于當(dāng)前工作區(qū)。在活動概覽視圖中，可以通過以下方式使用工作區(qū)。01OPTION02OPTION03OPTION將Dash面板中的應(yīng)用程序拖動到右側(cè)某工作區(qū)中，以在該工作區(qū)中運行該程序。將當(dāng)前工作區(qū)中某窗口的實時縮略圖拖動到右側(cè)的某工作區(qū)中，使得該窗口切換到該工作區(qū)。在工作區(qū)選擇器中，可以將一個工作區(qū)中的應(yīng)用程序窗口縮略圖拖動到另一個工作區(qū)中，使該應(yīng)用程序切換到目標(biāo)工作區(qū)中運行。5.1.2熟悉Ubuntu桌面環(huán)境7．用戶管理

用戶管理認(rèn)證01OPTION02OPTION添加用戶03OPTION移除用戶04OPTION5.1.3常用的圖形界面應(yīng)用程序1．Firefox瀏覽器Linux一直將MozillaFirefox作為默認(rèn)的Web瀏覽器，Ubuntu也不例外，單擊Dash面板中的圖標(biāo)，打Firefox開瀏覽器。5.1.3常用的圖形界面應(yīng)用程序2．Thunderbird郵件/新聞單擊Dash面板中的圖標(biāo)，打開Thunderbird，可以選擇電子郵件，設(shè)置現(xiàn)有的電子郵件地址。5.1.3常用的圖形界面應(yīng)用程序3．文件管理器打開文件管理器查看當(dāng)前目錄屬性01OPTION02OPTION選擇其他位置03OPTION查看計算機(jī)中的資源04OPTION5.1.3常用的圖形界面應(yīng)用程序4．文本編輯器查找文本編輯器打開文本編輯器01OPTION02OPTION在活動概覽視圖中，在搜索框中輸入“gedit”或“文本編輯器”進(jìn)行查找。在Dash面板中找到文本編輯器應(yīng)用程序，或者在應(yīng)用程序中選擇“全部”選項，打開文本編輯器。5.1.4Ubuntu個性化設(shè)置顯示器設(shè)置背景設(shè)置01OPTION02OPTION5.1.4Ubuntu個性化設(shè)置外觀設(shè)置鍵盤快捷鍵03OPTION04OPTION5.1.4Ubuntu個性化設(shè)置5．網(wǎng)絡(luò)設(shè)置在“設(shè)置”應(yīng)用程序中找到“網(wǎng)絡(luò)”彈出“有線”對話框“IPv4”設(shè)置5.1.5Ubuntu命令行終端管理1．使用仿真終端窗口按Ctrl+Alt+T快捷鍵，適用于Ubuntu的各種版本。在應(yīng)用程序概覽視圖中找到“Terminal”程序并運行它。進(jìn)入活動概覽視圖，輸入“gnome-terminal”或“終端”就可以搜索到“Terminal”程序，按Enter鍵即可運行它。配置文件首選項“首選項-常規(guī)”窗口5.1.5Ubuntu命令行終端管理2．使用文本模式默認(rèn)情況下，Linux會提供6個Terminal（終端）來給用戶登錄，切換的方式為按Ctrl+Alt+F1～F6快捷鍵。此外，系統(tǒng)將這6個終端界面以tty1、tty2、tty3、tty4、tty5、tty6的方式進(jìn)行命名。安裝完圖形化終端界面后，若想進(jìn)入純文本模式，則可以通過按以上快捷鍵進(jìn)行切換。例如，按Ctrl+Alt+F3快捷鍵，進(jìn)入tty3控制臺并登錄文本模式終端界面。為安全起見，用戶輸入的密碼（口令）不會在屏幕上顯示，而用戶名和密碼輸入錯誤時，也只會給出“l(fā)oginincorrect”進(jìn)行提示，不會明確地提示究竟是用戶名錯誤還是密碼錯誤。5.1.5Ubuntu命令行終端管理3．配置超級管理員root打開終端，設(shè)置管理員密碼，執(zhí)行命令如下。csglncc_1@Ubuntu:~$sudopasswdroot[sudo]csglncc_1的密碼： #輸入當(dāng)前用戶密碼新的密碼： #輸入root用戶密碼重新輸入新的密碼： #再次確認(rèn)輸入root用戶密碼passwd：已成功更新密碼csglncc_1@Ubuntu:~$ 使用超級管理員root用戶登錄，執(zhí)行命令如下。csglncc_1@Ubuntu:~$suroot #以超級管理員root用戶登錄密碼： #輸入root用戶密碼root@Ubuntu:/home/csglncc_1#exit #超級管理員root用戶登錄后提示符為“#”exitcsglncc_1@Ubuntu:~$ #普通用戶登錄后提示符為“$”5.1.5Ubuntu命令行終端管理4．使用命令關(guān)閉和重啟系統(tǒng)（1）shutdown命令選項功能說明-k并不真正關(guān)機(jī)，而只是發(fā)出警告信息給所有用戶-r關(guān)機(jī)后立即重新啟動系統(tǒng)-h關(guān)機(jī)后不重新啟動系統(tǒng)-f快速關(guān)機(jī)重啟動時跳過文件系統(tǒng)檢查-n快速關(guān)機(jī)且不經(jīng)過init程序-c取消一個已經(jīng)運行的shutdown操作5.1.5Ubuntu命令行終端管理4．使用命令關(guān)閉和重啟系統(tǒng)（2）halt命令csglncc_1@Ubuntu:~$shutdown-hnow #立刻關(guān)閉系統(tǒng)（3）reboot命令csglncc_1@Ubuntu:~$reboot#立刻重啟系統(tǒng)csglncc_1@Ubuntu:~$shutdown-r00:05 #5min后重啟系統(tǒng)csglncc_1@Ubuntu:~$shutdown-c #取消shutdown操作（4）exit命令csglncc_1@Ubuntu:~$exit #退出終端窗口5.1.6Shell概述1．Shell簡介Shell是使用Linux操作系統(tǒng)的主要環(huán)境，Shell的學(xué)習(xí)和使用是學(xué)習(xí)Linux不可或缺的一部分。Linux操作系統(tǒng)提供的圖形用戶界面X-Windows就像Windows一樣，也有窗口、菜單和圖標(biāo)，可以通過鼠標(biāo)進(jìn)行相關(guān)的管理操作。在圖形化界面中，按Ctrl+Alt+T快捷鍵或者在應(yīng)用程序的菜單中打開虛擬終端，即可啟動Shell。當(dāng)用戶成功登錄后，系統(tǒng)將執(zhí)行Shell程序，并提供命令提示符，對于普通用戶，用“$”作為提示符，對于超級管理員，用“#”作為提示符。一旦出現(xiàn)命令提示符，用戶就可以輸入命令和所需的參數(shù)，系統(tǒng)將執(zhí)行這些命令。若要中止命令的執(zhí)行，則可以按Ctrl+C快捷鍵；若用戶想退出登錄，則可以輸入exit、logout命令或按文件結(jié)束符（Ctrl+D快捷鍵）。5.1.6Shell概述2．Shell命令的基本格式Shell命令的基本格式如下。command[選項][參數(shù)]command[選項]command為命令名稱，例如，查看當(dāng)前文件夾下的文件或文件夾的命令是ls。[選項]表示可選，是對命令的特別定義，以連接符“-”開始，多個選項可以用連接符“-”連接起來，例如，ls-l-a與ls-la的作用是相同的。ls是常用的一個命令，屬于目錄操作命令，用來列出當(dāng)前目錄下的文件和文件夾。ls命令后可以加選項，也可以不加選項，不加選項的寫法如下。root@Ubuntu:~#lssnaproot@Ubuntu:~#5.1.6Shell概述3．輸入命令時鍵盤操作的一般規(guī)律（1）命令、文件名、參數(shù)等都要區(qū)分英文大小寫，例如，md與MD是不同的。（2）命令、選項、參數(shù)之間必須有一個或多個空格。root@Ubuntu:~#hostnamectlset-hostnametest01 #修改主機(jī)名為test01root@Ubuntu:~#bash #/bash執(zhí)行命令root@test01:~#5.1.6Shell概述4．顯示系統(tǒng)信息的命令（1）who命令root@Ubuntu:~#who-a #顯示所有用戶的信息系統(tǒng)引導(dǎo)2021-07-2906:08

運行級別52021-07-2906:09csglncc_1+pts/02021-07-2906:18.1801()csglncc_1?:02021-07-2908:58?4756(:0)root@Ubuntu:~#who命令主要用于查看當(dāng)前登錄的用戶信息，執(zhí)行命令如下。5.1.6Shell概述4．顯示系統(tǒng)信息的命令（2）whoami命令root@Ubuntu:~#whoamirootroot@Ubuntu:~#whoami命令用于顯示當(dāng)前操作用戶的用戶名，執(zhí)行命令如下。5.1.6Shell概述4．顯示系統(tǒng)信息的命令（3）hostname/hostnamectl命令root@Ubuntu:~#hostname #顯示當(dāng)前系統(tǒng)的主機(jī)名Ubuntu #主機(jī)名為Ubuntu root@Ubuntu:~#hostname命令用于顯示當(dāng)前系統(tǒng)的主機(jī)名，執(zhí)行命令如下。root@Ubuntu:~#hostnamectlset-hostnamelncc01 #修改主機(jī)名為lncc01root@Ubuntu:~#bash #執(zhí)行命令root@lncc01:~#hostnamectl命令用于設(shè)置當(dāng)前系統(tǒng)的主機(jī)名，執(zhí)行命令如下。5.1.6Shell概述4．顯示系統(tǒng)信息的命令（4）date命令root@Ubuntu:~#date2021年07月29日星期四09:44:10CSTroot@Ubuntu:~#date命令用于顯示當(dāng)前時間/日期，執(zhí)行命令如下。（5）cal命令root@Ubuntu:~#cal

七月2021日一二三四五六

12345678910111213141516171819202122232425262728293031root@Ubuntu:~#cal命令用于顯示當(dāng)前日歷，執(zhí)行命令如下。5.1.6Shell概述4．顯示系統(tǒng)信息的命令（6）clear命令root@Ubuntu:~#clearroot@Ubuntu:~#clear命令相當(dāng)于DOS下的cls命令，用于清除屏幕，執(zhí)行命令如下。5.1.6Shell概述5．Shell使用技巧（1）命令和文件名的自動補(bǔ)齊功能root@Ubuntu:~#mk<Tab>mkdirmkfs.cramfsmkfs.vfatmkntfsmkdosfsmkfs.ext2mkhomedir_helpermksquashfsmke2fsmkfs.ext3mkinitramfsmkswapmkfifomkfs.ext4mkisofsmktempmkfontdirmkfs.fatmklost+foundmkzftreemkfontscalemkfs.minixmkmanifestmkfsmkfs.msdosmk_modmapmkfs.bfsmkfs.ntfsmknodroot@Ubuntu:~#mk5.1.6Shell概述5．Shell使用技巧（2）歷史命令root@Ubuntu:~#cat/root/.bash_historyexitcd..lllsb_release-apwdexitexitroot@Ubuntu:~#執(zhí)行歷史命令最簡單的方法就是利用上下方向鍵，可以找回最近執(zhí)行過的命令，減少輸入命令的次數(shù)，在需要使用重復(fù)執(zhí)行的命令時非常方便。當(dāng)用某賬號登錄系統(tǒng)后，歷史命令列表將根據(jù)歷史命令文件進(jìn)行初始化，歷史命令文件的文件名由環(huán)境變量HISTFILE指定。歷史命令文件的默認(rèn)名稱是.bash_history（以“.”開頭的文件是隱藏文件），該文件通常在用戶主目錄下。root用戶的歷史命令文件為/root/.bash_history，普通用戶的歷史命令文件為/home/*/.bash_history。5.1.6Shell概述5．Shell使用技巧（2）歷史命令格式功能!nn表示序號（執(zhí)行history命令后可以看到），重新執(zhí)行第n條命令!!重新執(zhí)行上一條命令!string執(zhí)行最近用到的以string開頭的歷史命令!?string[?]執(zhí)行最近用到的包含string的歷史命令<Ctrl+R>在歷史命令列表中查詢某條歷史命令選項功能說明-a將當(dāng)前的歷史命令記錄追加到歷史文件中-c清空歷史命令列表-n將歷史命令文件中的內(nèi)容追加到當(dāng)前歷史命令列表中-r將歷史命令文件中的內(nèi)容更新（替換）到當(dāng)前歷史命令列表中-w將歷史命令列表中的內(nèi)容寫入到歷史命令文件中，并覆蓋歷史命令文件原來的內(nèi)容filename如果filename選項沒有被指定，則history命令將使用環(huán)境變量HISTFILE指定的文件名history命令的各選項及功能說明快速執(zhí)行歷史命令的格式OpenStack云計算平臺管理Linux操作系統(tǒng)Docker容器技術(shù)技能實踐5.2.1OpenStack概述OpenStack是一個開源的云計算管理平臺項目，是一系列軟件開源項目的組合，是美國國家航空航天局（NationalAeronauticsandSpaceAdministration，NASA）和Rackspace（美國的一家云計算廠商）在2010年7月共同發(fā)起的一個項目，旨在為公有云和私有云提供軟件的開源項目，由Rackspace貢獻(xiàn)存儲源代碼（Swift）、NASA貢獻(xiàn)計算源代碼（Nova）。經(jīng)過幾年的發(fā)展，OpenStack已成為一個廣泛使用的業(yè)內(nèi)領(lǐng)先的開源項目，提供部署私有云及公有云的操作平臺和工具集，并且在許多大型企業(yè)支撐核心生產(chǎn)業(yè)務(wù)。1．OpenStack的起源5.2.1OpenStack概述2．OpenStack版本演變OpenStack第1個正式版本發(fā)布，其代號為Austin。第1個正式版本僅有Swift和Nova（對象存儲和計算）兩個項目。其起初計劃每隔幾個月發(fā)布一個版本，并且以26個英文字母為首字母，以從A到Z的順序命名后續(xù)版本。其第4個版本Diablo發(fā)布時，定為約每半年發(fā)布一個版本，分別在當(dāng)年的春秋兩季。每個版本不斷改進(jìn)，吸收新技術(shù)，實現(xiàn)新概念。其發(fā)布了第24個版本，即Xena，如今該版本已經(jīng)更加穩(wěn)定、更加強(qiáng)健。近幾年，Docker、Kubernetes、Serverless等新技術(shù)興起，而OpenStack的關(guān)注點不再是“誰是龍頭”，而是“誰才是最受歡迎的技術(shù)”。2010年10月2011年9月2021年10月8日5.2.1OpenStack概述（1）OpenStack的邏輯架構(gòu)3．OpenStack的架構(gòu)OpenStack通過一組相關(guān)的服務(wù)提供一個基礎(chǔ)設(shè)施即服務(wù)的解決方案，這些服務(wù)以虛擬機(jī)為中心。虛擬機(jī)主要是由Nova、Glance、Cinder和Neutron這4個核心模塊進(jìn)行交互的結(jié)果。Nova為虛擬機(jī)提供計算資源，包括vCPU、內(nèi)存等；Glance為虛擬機(jī)提供鏡像服務(wù)，安裝操作系統(tǒng)的運行環(huán)境；Cinder提供存儲資源，類似傳統(tǒng)計算機(jī)的磁盤或卷；Neutron為虛擬機(jī)提供網(wǎng)絡(luò)配置以及訪問云計算管理平臺的網(wǎng)絡(luò)通道。5.2.1OpenStack概述（2）OpenStack的物理架構(gòu)3．OpenStack的架構(gòu)單節(jié)點部署多節(jié)點部署單節(jié)點部署就是將所有的服務(wù)和組件都部署在一個物理節(jié)點上，通常用于學(xué)習(xí)、驗證、測試或者開發(fā)；多節(jié)點部署就是將服務(wù)和組件分別部署在不同的物理節(jié)點上。5.2.2OpenStack認(rèn)證服務(wù)1．Keystone的基本概念（3）令牌令牌（Token）通常指的是一串二進(jìn)制值或者字符串，用來作為訪問資源的記號。令牌中含有可訪問資源的范圍和有效時間。（1）認(rèn)證認(rèn)證（Authentication）是指確認(rèn)用戶身份的過程，又稱身份驗證。Keystone認(rèn)證由用戶提供的一組憑證來確認(rèn)傳入請求的有效性。（4）項目項目（Project）在OpenStack的早期版本中被稱為租戶（Tenant），它是各個服務(wù)可以訪問資源的集合，是分配和隔離資源或身份的一個容器，也是一種權(quán)限組織形式。（2）憑證憑證（Credentials）又稱證書，用于確認(rèn)用戶身份的數(shù)據(jù)，如用戶名、密碼和API密鑰，或認(rèn)證服務(wù)提供的認(rèn)證令牌等。5.2.2OpenStack認(rèn)證服務(wù)1．Keystone的基本概念（7）組組（Group）是域所擁有的用戶的集合，授予域或項目的組角色可以應(yīng)用于該組中的所有用戶。（5）用戶用戶（User）是指使用OpenStack云服務(wù)的個人、系統(tǒng)或服務(wù)的賬戶名稱。使用服務(wù)的用戶可以是人、服務(wù)或系統(tǒng)，或使用OpenStack相關(guān)服務(wù)的一個組織。（8）域域（Domain）是項目和用戶的集合，目的是為身份實體定義管理界限。域可以表示個人、公司或操作人員所擁有的空間，用戶可以被授予某個域的管理員角色。（6）角色角色（Role）是一個用于定義用戶權(quán)利和權(quán)限的集合。例如，Nova中的虛擬機(jī)、Glance中的鏡像。5.2.2OpenStack認(rèn)證服務(wù)1．Keystone的基本概念（11）服務(wù)這里的服務(wù)（Service）是指計算（Nova）、對象存儲（Swift）或鏡像（Glance）這樣的OpenStack服務(wù)。它們提供一個或多個端點，供用戶訪問資源和執(zhí)行操作。（9）端點端點（Endpoint）就是OpenStack組件能夠訪問的網(wǎng)絡(luò)地址，通常是一個統(tǒng)一資源定位器（UniformResourceLocator，URL）。端點相當(dāng)于OpenStack服務(wù)對外的網(wǎng)絡(luò)地址列表，每個服務(wù)都必須通過端點來檢索相應(yīng)的服務(wù)地址。（12）分區(qū)分區(qū)（Region）表示OpenStack部署的通用分區(qū)?？梢詾橐粋€分區(qū)關(guān)聯(lián)若干個子分區(qū)，形成樹狀層次結(jié)構(gòu)。盡管分區(qū)沒有地理意義，但是部署時仍可以對分區(qū)使用地理名稱。（10）客戶端客戶端（Client）是一些OpenStack服務(wù)，包括應(yīng)用程序接口的命令行接口。例如，用戶可以使用openstackservicecreate和openstackendpointcreate命令，在OpenStack安裝過程中注冊服務(wù)。101209115.2.2OpenStack認(rèn)證服務(wù)2．Keystone的主要功能（IdentityAuthentication）：令牌的發(fā)放和檢驗。身份認(rèn)證（IdentityAuthorization）：授予用戶在一個服務(wù)中所擁有的權(quán)限。身份授權(quán)管理用戶賬戶。用戶管理（ServiceCatalog）：提供可用服務(wù)的API端點。服務(wù)目錄5.2.2OpenStack認(rèn)證服務(wù)3．Keystone的管理層次結(jié)構(gòu)OpenStackIdentityAPIv3利用域?qū)崿F(xiàn)了真正的多租戶架構(gòu)，域為項目的高層容器。云服