項目3 -熟悉云網(wǎng)絡(luò)基礎(chǔ)命令

項目3熟悉云網(wǎng)絡(luò)基礎(chǔ)命令《云網(wǎng)絡(luò)技術(shù)項目教程》目錄/Contents33-1項目3熟悉云網(wǎng)絡(luò)基礎(chǔ)命令使用Iptables控制網(wǎng)絡(luò)流量3-2任務(wù)3-1構(gòu)建Linux服務(wù)器網(wǎng)絡(luò)項目3熟悉云網(wǎng)絡(luò)基礎(chǔ)命令項目描述

為提升企業(yè)運營效率，公司決定建設(shè)數(shù)據(jù)中心，集中管理各種應(yīng)用系統(tǒng)和數(shù)據(jù)庫，優(yōu)化業(yè)務(wù)流程、改進產(chǎn)品和服務(wù)?？紤]到基礎(chǔ)硬件的使用效率，項目經(jīng)理決定采用虛擬化技術(shù)對計算、存儲、網(wǎng)絡(luò)等資源進行虛擬化和統(tǒng)一管理，要求王亮熟悉網(wǎng)絡(luò)虛擬化的相關(guān)知識和技術(shù)，在公司采購的四臺服務(wù)器上安裝CentOS8網(wǎng)絡(luò)操作系統(tǒng)，遠(yuǎn)程登陸系統(tǒng)后配置靜態(tài)路由實現(xiàn)4臺服務(wù)器的網(wǎng)絡(luò)互聯(lián)。使用云網(wǎng)絡(luò)中的重要工具Iptables實現(xiàn)源地址和目標(biāo)地址轉(zhuǎn)換。

項目3熟悉云網(wǎng)絡(luò)基礎(chǔ)命令項目3任務(wù)1思維導(dǎo)圖如圖3-1所示。圖3-1項目3任務(wù)思維導(dǎo)圖任務(wù)3-1構(gòu)建Linux服務(wù)器網(wǎng)絡(luò)3.1.1任務(wù)描述3.1.2必備知識3.1.3使用VMware安裝CentOS8模板機3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)3.1.5配置靜態(tài)路由實現(xiàn)服務(wù)器網(wǎng)絡(luò)互聯(lián)學(xué)習(xí)目標(biāo)【知識目標(biāo)】（1）掌握Linux網(wǎng)絡(luò)操作系統(tǒng)的發(fā)展和分類。（2）掌握CentOS8的安裝與登陸方法。（3）掌握Linux靜態(tài)路由的配置方法。學(xué)習(xí)目標(biāo)【技能目標(biāo)】（1）能夠使用VMware安裝使用CentOS8模板機。（2）能夠配置靜態(tài)路由實現(xiàn)4臺服務(wù)器網(wǎng)絡(luò)互聯(lián)?！揪W(wǎng)絡(luò)拓?fù)洹咳蝿?wù)3-1的網(wǎng)絡(luò)拓?fù)淙鐖D3-2所示。圖3-2任務(wù)3-1網(wǎng)絡(luò)拓?fù)?.1.2必備知識1.Linux系統(tǒng)概況 Linux是一套自由加開放源代碼的類UNIX操作系統(tǒng)，誕生于1991年10月5日（第一次正式向外公布），由芬蘭學(xué)生LinusTorvalds和后來陸續(xù)加入的眾多愛好者共同開發(fā)完成，Linux是一個基于POSIX和UNIX的多用戶、多任務(wù)，支持多線程和多CPU的操作系統(tǒng)。Linux能運行主要的UNIX工具軟件、應(yīng)用程序和網(wǎng)絡(luò)協(xié)議，可支持32位和64位硬件。Linux繼承了UNIX以網(wǎng)絡(luò)為核心的設(shè)計思想，是一個性能穩(wěn)定的多用戶網(wǎng)絡(luò)操作系統(tǒng)。Linux存在著許多不同的版本，但它們都使用了Linux內(nèi)核，可安裝在各種計算機設(shè)備中，如手機、平板電腦、路由器、視頻游戲控制臺、臺式計算機、大型機和超級計算機。嚴(yán)格來講，Linux這個詞本身只表示Linux內(nèi)核，但實際上人們已經(jīng)習(xí)慣了用Linux來形容整個基于Linux內(nèi)核，并且使用GNU工程各種工具和數(shù)據(jù)庫的操作系統(tǒng)。3.1.2必備知識1.Linux系統(tǒng)概況 LinusTorvalds被稱為Linux之父，著名的計算機程序員，Linux內(nèi)核的發(fā)明人及該計劃的合作者。他利用個人時間及器材創(chuàng)造出了這套當(dāng)今全球最流行的操作系統(tǒng)內(nèi)核之一，現(xiàn)受聘于開放源代碼開發(fā)實驗室，全力開發(fā)Linux內(nèi)核。Linux是一個誕生于網(wǎng)絡(luò)、成長于網(wǎng)絡(luò)且成熟于網(wǎng)絡(luò)的奇特的操作系統(tǒng)。1991年，當(dāng)時還是芬蘭大學(xué)生的LinusTorvalds萌發(fā)了開發(fā)一個自由的UNIX操作系統(tǒng)的想法，當(dāng)年，Linux就誕生了，為了不讓這個羽翼未豐的操作系統(tǒng)夭折，LinusTorvalds將自己的作品Linux通過Internet（互聯(lián)網(wǎng)）發(fā)布。從此一大批知名的、不知名的計算機黑客、編程人員加入開發(fā)過程中來，一場聲勢浩大的運動應(yīng)運而生，Linux逐漸成長起來。Linux一開始是要求所有的源碼必須公開，并且任何人均不得從Linux交易中獲利。然而這種純粹的自由軟件的理想是不利于Linux普及和發(fā)展的，于是Linux開始轉(zhuǎn)向GPL（GeneralPublicLicense，通用公共授權(quán)）。Linux憑借優(yōu)秀的設(shè)計、不凡的性能，加上IBM、Intel、CA、CORE、Oracle等國際知名企業(yè)的大力支持，市場份額逐步擴大，逐漸成為主流操作系統(tǒng)之一。3.1.2必備知識2.Linux內(nèi)核版本可以使用命令字uname-r查看Linux內(nèi)核版本號，如下所示。[root@localhost~]#uname-r4.18.0-348.el8.x86_64（1）4表示當(dāng)前內(nèi)核主版本號。（2）18表示當(dāng)前內(nèi)核次版本號。（3）0-348中的0表示當(dāng)前內(nèi)核更新次數(shù)，348表示當(dāng)前內(nèi)核修補次數(shù)；（4）el8表示當(dāng)前內(nèi)核為RHEL8系列；（5）x86_64表示代表這是64位操作系統(tǒng)。3.1.2必備知識3.Linux發(fā)行版本 Linux有很多發(fā)行版本，好比Windows有WindowsXP、Windows7、Windows10、Windows11，在全球范圍內(nèi)有上百款Linux發(fā)行版，常見的主流發(fā)行版如圖3-3所示。圖3-3任務(wù)3-1主流的Linux發(fā)行版本3.1.2必備知識4.CentOS8網(wǎng)絡(luò)操作系統(tǒng)（1）基于RHEL8CentOS8是基于RedHatEnterpriseLinux8的一個免費開源的版本。它繼承了RHEL8的穩(wěn)定性和可靠性，并且提供了與RHEL8兼容的軟件包和功能。（2）長期支持CentOS8提供長期支持（LTS）的版本，這意味著它將獲得持續(xù)的更新和安全補丁，以保持系統(tǒng)的穩(wěn)定性和安全性。（3）主要特性CentOS8引入了許多新的特性和改進，包括更快的啟動時間、增強的安全性、更新的內(nèi)核和文件系統(tǒng)、改進的容器支持等。此外，它還提供了廣泛的軟件包和工具，適用于各種應(yīng)用場景和需求。（4）軟件包管理CentOS8使用了DNF包管理器來替代之前的YUM包管理器。DNF提供了更快速的軟件包安裝和更新，同時具有更好的依賴關(guān)系解決和軟件包管理功能。（5）容器支持CentOS8對容器化技術(shù)提供了更好的支持，包括Docker容器引擎和Kubernetes容器編排。它提供了一系列工具和庫，用于構(gòu)建、部署和管理容器化應(yīng)用程序。3.1.2必備知識5.LinuxRoute命令

在Linux操作系統(tǒng)中，route是一個用于管理和操作IP路由表的命令行工具。用作查看、添加、刪除和修改路由表條目，以控制數(shù)據(jù)包在網(wǎng)絡(luò)中的路徑選擇。以下是一些常見的route命令的用法和功能。（1）主要參數(shù)①add 使用routeadd增加指定的路由記錄。②del使用routedel刪除指定的路由記錄。③gwgw用來設(shè)置網(wǎng)關(guān)，也就下一跳地址。④via通過routevia，可以將網(wǎng)絡(luò)流量路由到指定的下一跳地址或者接口。⑤dev路由時，選擇本地的某個接口。3.1.2必備知識5.LinuxRoute命令（2）主要選項①-n 不執(zhí)行DNS反向查找，直接顯示數(shù)字形式的IP地址。②-v

顯示詳細(xì)信息③-net 添加到一個網(wǎng)絡(luò)的路由表。④-host 添加到一個主機的路由表。3.1.2必備知識5.LinuxRoute命令（3）主要用法①查看路由表使用route-n命令可以顯示當(dāng)前系統(tǒng)的路由表，這將列出網(wǎng)絡(luò)目的地、網(wǎng)關(guān)、子網(wǎng)掩碼、接口和其他相關(guān)信息。②添加路由表條目使用routeadd命令可以向路由表添加新的路由條目。例如，routeadd-net/24gw命令的結(jié)果添加一條靜態(tài)路由，將目標(biāo)地址為/24的數(shù)據(jù)包發(fā)送給。③刪除路由表條目使用routedel命令可以從路由表中刪除指定的路由條目。例如，routedel-net/24將刪除目標(biāo)地址為/24的路由。④修改默認(rèn)網(wǎng)關(guān)使用routeadddefaultgw命令可以設(shè)置默認(rèn)網(wǎng)關(guān)。例如，routeadddefaultgw將設(shè)置默認(rèn)網(wǎng)關(guān)為。⑤設(shè)置下一跳使用routemetric命令可以修改路由表條目的優(yōu)先級。較低的度量值表示更優(yōu)先的路由。例如，routeadd-net/24gwmetric50將為目標(biāo)地址為/24的路由設(shè)置度量值為50。3.1.3使用VMware安裝CentOS8模板機1.安裝CentOS8操作系統(tǒng)（1）創(chuàng)建虛擬機首先打開VMwareWorkstation，在“主頁”選項卡下選擇“創(chuàng)建新的虛擬機”，如圖3-4所示。圖3-4任務(wù)3-1創(chuàng)建新的虛擬機3.1.3使用VMware安裝CentOS8模板機1.安裝CentOS8操作系統(tǒng)

在彈出的“新建虛擬機向?qū)А睂υ捒蛑校x擇“典型”選項，單擊“下一步”按鈕，選擇“稍后安裝操作系統(tǒng)”，單擊“下一步”，在“選擇客戶機操作系統(tǒng)對話框”中，選擇“Linux”，版本選擇“CentOS864位”，如圖3-5所示。圖3-5任務(wù)3-1選擇操作系統(tǒng)和版本3.1.3使用VMware安裝CentOS8模板機1.安裝CentOS8操作系統(tǒng)在彈出的“命名虛擬機”對話框中，修改虛擬機的名稱和保存位置，如圖3-6所示。圖3-6任務(wù)3-1修改名稱和保存位置3.1.3使用VMware安裝CentOS8模板機1.安裝CentOS8操作系統(tǒng)

單擊“下一步”，修改磁盤磁盤大小為100G，為后續(xù)任務(wù)作準(zhǔn)備。選擇默認(rèn)的虛擬磁盤文件方式，如圖3-7所示。圖3-7任務(wù)3-1修改磁盤大小

單擊“下一步”后，選擇“完成”按鈕，完成虛擬機的創(chuàng)建任務(wù)。3.1.3使用VMware安裝CentOS8模板機1.安裝CentOS8操作系統(tǒng)（2）編輯虛擬機設(shè)置虛擬機創(chuàng)建完成后，在左側(cè)“庫”面板中單擊虛擬的名稱，在“CentOS8”選項卡下內(nèi)容中單擊“編輯虛擬機設(shè)置”，如圖3-8所示。圖3-8任務(wù)3-1編輯虛擬機3.1.3使用VMware安裝CentOS8模板機1.安裝CentOS8操作系統(tǒng)

在彈出的“虛擬機設(shè)置”對話框中，修改內(nèi)存大小為2G，修改處理器的內(nèi)核數(shù)量為2，開啟虛擬化引擎中的“虛擬化IntelVT-x/EPT或AMD-V/RVI(V)”，如圖3-9所示。圖3-9任務(wù)3-1修改處理器配置3.1.3使用VMware安裝CentOS8模板機1.安裝CentOS8操作系統(tǒng)

在“CD/DVD(IDE)”選項中，選擇自己本地盤符中的CentOS8鏡像文件，如圖3-10所示。圖3-10任務(wù)3-1選擇本地安裝鏡像文件3.1.3使用VMware安裝CentOS8模板機1.安裝CentOS8操作系統(tǒng)

單擊頁面底部的“添加”按鈕，在彈出的硬件類型中選擇“網(wǎng)絡(luò)適配器”，單擊“按鈕”。單擊“網(wǎng)絡(luò)適配器”，在“網(wǎng)絡(luò)連接中”選擇“僅主機模式”，如圖3-11所示。圖3-11任務(wù)3-1修改網(wǎng)絡(luò)適配器的網(wǎng)絡(luò)模式

移除“USB控制器”、“聲卡”、“打印機”，方法是選擇該項目，單擊底部的“移除”按鈕，修改完成后，單擊“虛擬機設(shè)備”對話框下方的“確定”按鈕。3.1.3使用VMware安裝CentOS8模板機1.安裝CentOS8操作系統(tǒng)（3）安裝操作系統(tǒng)在名稱為CentOS8的虛擬機選項卡處選擇“開啟虛擬機”，如圖3-12所示。圖3-12任務(wù)3-1安裝操作系統(tǒng)3.1.3使用VMware安裝CentOS8模板機1.安裝CentOS8操作系統(tǒng)鼠標(biāo)點入彈出的對畫框中，使用鼠標(biāo)或者光標(biāo)選擇第一項，“InstallCentOS8”后回車，如圖3-13所示。圖3-13任務(wù)3-1選擇安裝CentOSLinux83.1.3使用VMware安裝CentOS8模板機1.安裝CentOS8操作系統(tǒng)

在詢問安裝過程使用何種語言對框中，選擇“中文”，單擊“繼續(xù)按鈕”，在彈出的“安裝信息摘要”對話框中設(shè)置“安裝目的地”、“軟件選擇”、“網(wǎng)絡(luò)和主機名”、“根密碼”。首先單擊“安裝目的地”，在彈出的對話框中，默認(rèn)選擇本地磁盤，單擊“完成”按鈕即可。單擊“軟件選擇”選項，在彈出的“軟件選擇對框”中，選擇“最小安裝”，如圖3-14所示。圖3-14任務(wù)3-1選擇最小安裝3.1.3使用VMware安裝CentOS8模板機1.安裝CentOS8操作系統(tǒng)

單擊完成。在“網(wǎng)絡(luò)和主機名選項中”，將2塊網(wǎng)卡設(shè)置成開啟啟動，即右上角的“打開關(guān)閉”按鈕設(shè)置成打開狀態(tài)。如圖3-15所示。圖3-15任務(wù)3-1開啟網(wǎng)卡3.1.3使用VMware安裝CentOS8模板機1.安裝CentOS8操作系統(tǒng)

修改完成后，單擊“完成”按鈕，在“根密碼設(shè)置”對話框中，輸入2次ROOT超級用戶的密碼，這里設(shè)置密碼為“1”，單擊2次完成即可。以上4項設(shè)置完成后，單擊“安裝信息摘要對話框”右下方“開始安裝(B)”就安裝CentOS8操作系統(tǒng)了，等待一會就安裝完成了。3.1.3使用VMware安裝CentOS8模板機2.登錄安裝網(wǎng)絡(luò)組件（1）本地登錄在安裝完成對話框，單擊“重啟系統(tǒng)（R）”按鈕可以進入到本機登錄對話框，如圖3-16所示。圖3-16任務(wù)3-1本地登錄系統(tǒng)3.1.3使用VMware安裝CentOS8模板機2.登錄安裝網(wǎng)絡(luò)組件輸入用戶名“root”，密碼“1”即可登錄系統(tǒng)，使用ipa查看網(wǎng)絡(luò)配置信息，如圖3-17所示。圖3-17任務(wù)3-1查看IP地址3.1.3使用VMware安裝CentOS8模板機2.登錄安裝網(wǎng)絡(luò)組件

從圖中發(fā)現(xiàn)，系統(tǒng)安裝了兩塊網(wǎng)卡，第一塊是ens160，通過僅主機模式獲取到29/24的IP地址和子網(wǎng)掩碼，第二塊是ens192，通過NAT模式獲取到29/24的IP地址和子網(wǎng)掩碼，這里能夠獲取到100段和200段的地址是因為VMware“編輯菜單下”的“虛擬網(wǎng)絡(luò)編輯器中”設(shè)置了VMnet1的子網(wǎng)IP是/24，VMnet8的子網(wǎng)IP是/24，設(shè)置網(wǎng)關(guān)為后，虛擬機可以通過NAT方式訪問互聯(lián)網(wǎng)。3.1.3使用VMware安裝CentOS8模板機2.登錄安裝網(wǎng)絡(luò)組件（2）遠(yuǎn)程登陸首先運行SecureCRT工具，在“快速連接”對話框的“主機名”處輸入29，“用戶名”處輸入root，如圖3-18所示。圖3-18任務(wù)3-1IP地址配置信息3.1.3使用VMware安裝CentOS8模板機2.登錄安裝網(wǎng)絡(luò)組件

單擊“連接”按鈕，在彈出的“輸入安全外殼密碼”對話框中輸入root用戶的密碼1，單擊“確定”按鈕就可以實現(xiàn)通過本地虛擬網(wǎng)卡VMnet1登錄到CentOS8系統(tǒng)了，登錄后，在SecureCRT的“選項”下的“會話選項”對話框中，設(shè)置外觀選項中的字體為“三號”，字符編碼為“UTF-8”，單擊“確定”按鈕，修改后如圖3-19所示。圖3-18任務(wù)3-1IP地址配置信息3.1.3使用VMware安裝CentOS8模板機2.登錄安裝網(wǎng)絡(luò)組件

單擊“連接”按鈕，在彈出的“輸入安全外殼密碼”對話框中輸入root用戶的密碼1，單擊“確定”按鈕就可以實現(xiàn)通過本地虛擬網(wǎng)卡VMnet1登錄到CentOS8系統(tǒng)了，登錄后，在SecureCRT的“選項”下的“會話選項”對話框中，設(shè)置外觀選項中的字體為“三號”，字符編碼為“UTF-8”，單擊“確定”按鈕，修改后如圖3-19所示。圖3-18任務(wù)3-1IP地址配置信息3.1.3使用VMware安裝CentOS8模板機2.登錄安裝網(wǎng)絡(luò)組件（3）配置本地YUM源當(dāng)讀者沒有網(wǎng)絡(luò)環(huán)境時，使用本地YUM源安裝軟件。如果具備網(wǎng)絡(luò)環(huán)境，建議使用阿里云的YUM源，如同同時使用本地源和網(wǎng)絡(luò)源，建議配置源的優(yōu)先級，否則在出現(xiàn)網(wǎng)絡(luò)中斷時，YUM源會出現(xiàn)錯誤，這里配置本地源，適合所有讀者。①掛載本地ISO鏡像使用vi命令打開/etc/fstab文件，在文件末尾處輸入以下配置。/dev/sr0/mntiso9660defaults00保存退出后，在命令行中輸入mount-a，使掛載生效。②配置本地源首先進入/etc/yum.repos.d目錄，創(chuàng)建目錄backup，把提供的所有源移動到backup目錄中，然后創(chuàng)建local.repo文件，在文件中輸入以下內(nèi)容，這里的base是基礎(chǔ)文件目錄，app都應(yīng)用文件目錄。分別指向掛載目錄中的BaseOS和AppStream目錄，保存配置。3.1.3使用VMware安裝CentOS8模板機2.登錄安裝網(wǎng)絡(luò)組件[base]name=basebaseurl=file:///mnt/BaseOSgpgcheck=0enabled=1[app]name=appbaseurl=file:///mnt/AppStreamgpgcheck=0enabled=13.1.3使用VMware安裝CentOS8模板機2.登錄安裝網(wǎng)絡(luò)組件使用yumcleanall清楚緩存，再使用yumrepolist查看本地源配置，結(jié)果如圖3-20所示。圖3-20任務(wù)3-1修改字體和字符編碼3.1.3使用VMware安裝CentOS8模板機2.登錄安裝網(wǎng)絡(luò)組件③安裝網(wǎng)絡(luò)工具net-tools配置了yum源之后，安裝net-tools網(wǎng)絡(luò)工具，如下所示。[root@localhost~]#yuminstallnet-tools-y也可以使用dnfinstall命令安裝軟件，方法和使用yum基本一致。④安裝網(wǎng)橋工具網(wǎng)橋工具在虛擬化網(wǎng)絡(luò)中經(jīng)常使用，提前安裝到模板機中，首先上傳bridge-utils-1.5-9.el7.x86_64.rpm軟件包，然后在命令行中安裝軟件，如下所示。[root@localhost~]#rpm-ivhbridge-utils-1.5-9.el7.x86_64.rpm⑤安裝網(wǎng)絡(luò)抓包工具tcpdumptcpdump是非常優(yōu)秀的分析網(wǎng)絡(luò)流量、排查網(wǎng)絡(luò)故障的網(wǎng)絡(luò)抓包工具，安裝命令如下。[root@localhost~]#yuminstalltcpdump-y#安裝tcpdump網(wǎng)絡(luò)抓包工具3.1.3使用VMware安裝CentOS8模板機2.登錄安裝網(wǎng)絡(luò)組件⑥設(shè)置防火墻iptables防火墻工具被廣泛的應(yīng)用于云計算網(wǎng)絡(luò)中，所以將默認(rèn)的firewalld防火墻工具關(guān)閉，安裝啟動iptables防火墻工具，命令如下。[root@localhost~]#yuminstalliptables-services-y#安裝iptables管理工具[root@localhost~]#systemctlstopfirewalld&&systemctldisablefirewalld#關(guān)閉默認(rèn)firewalld防火墻管理[root@localhost~]#systemctlstartiptables&&systemctlenableiptables#啟動iptables管理工具，設(shè)置開啟自啟動[root@localhost~]iptables-F#清空iptables的默認(rèn)配置[root@localhost~]#serviceiptablessave#保存iptables配置⑦關(guān)閉SELINUX[root@localhost~]#sed-i'/SELINUX=/cSELINUX=disabled'/etc/selinux/config[root@localhost~]#setenforce03.1.3使用VMware安裝CentOS8模板機3.導(dǎo)出OVA模板機

安裝好模板機之后，在VMwareWorkstation的“虛擬機”菜單下，選擇“電源”選項下的“關(guān)閉客戶機”選項關(guān)閉虛擬機。選擇“文件”菜單下的“導(dǎo)出為OVF(E)”選項，在彈出的“將虛擬機導(dǎo)出為OVF”對話框中，輸入文件名為“CentOS8.ova”，選擇保存的磁盤后，單擊“保存”按鈕即可將虛擬機保存為名稱為CentOS8.ova的模板機了。3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)1.創(chuàng)建4臺CentOS8服務(wù)器

在本地磁盤的某個盤符下建立文件夾任務(wù)3-1，在任務(wù)3-1文件夾中建立同級的4個子文件夾，分別為node1、node2、node3、node4。接下來在VMware中，選擇“文件”菜單下的“打開”選項，選擇保存好的CentOS8.ova文件，在彈出的“導(dǎo)入虛擬機”對話框中輸入主機名稱node1，保存到“任務(wù)3-1\node1”目錄。如圖3-21所示。圖3-21任務(wù)3-1輸入主機名稱為存儲位置3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)1.創(chuàng)建4臺CentOS8服務(wù)器圖3-21任務(wù)3-1輸入主機名稱為存儲位置

單擊“導(dǎo)入”按鈕后，服務(wù)器node1就創(chuàng)建成功了，同理創(chuàng)建服務(wù)器node2、服務(wù)器node3，存儲到對應(yīng)的目錄。3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)2.修改IP地址表3-1任務(wù)3-1主機IP地址規(guī)劃表4臺主機IP地址規(guī)劃如表3-1所示。設(shè)備名稱直連接口IP地址設(shè)備名稱直連接口IP地址網(wǎng)絡(luò)服務(wù)器node1ens160/24服務(wù)器node2ens160VMnet1服務(wù)器node3ens192/24ens192VMnet2ens160/24服務(wù)器

node4ens160VMnet33.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)2.修改IP地址圖3-22任務(wù)3-1修改服務(wù)器node1IP地址配置

按照以上配置修改4臺服務(wù)器的IP地址，在/etc/sysconfig/network-scripts/目錄下配置服務(wù)器node1的ens160網(wǎng)卡，將BOOTPROTO設(shè)置為static，即靜態(tài)配置模式。設(shè)置IPADDR的IP地址為，NETMASK子網(wǎng)掩碼位，配置如圖3-22所示。3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)2.修改IP地址配置ens192的網(wǎng)卡，設(shè)置ONBOOT=NO，即開機不自動啟動，不獲取IP地址。配置完成后，在命令行中輸入重啟網(wǎng)卡和網(wǎng)絡(luò)管理networking的命令，如下所示。nmclinetworkingoff&&nmclinetworkingon&&nmclicreload需要注意的是，centos8棄用了network.service服務(wù)，采用了NetworkManager.service服務(wù)來管理網(wǎng)絡(luò)，nmcli是NetworkManager（網(wǎng)絡(luò)管理）的命令行，重啟網(wǎng)絡(luò)管理的命令如下。nmclinetworkingoff&&nmclinetworkingon該命令相當(dāng)于centos7中的systemctlrestartnetwork，其中的networking可以簡寫成n，查看當(dāng)前的網(wǎng)絡(luò)管理工具NetworkManager是否啟動的命令如下。[root@node1~]#nmclin重啟網(wǎng)絡(luò)管理后，還需要重新啟動網(wǎng)卡，配置才能生效，重啟所有網(wǎng)卡的命令如下。nmclicreload3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)2.修改IP地址圖3-23任務(wù)3-1服務(wù)器node1的IP地址配置如果想禁用和啟動某個網(wǎng)卡，可以使用nmclicdown/up網(wǎng)卡名，重啟完成后，查看服務(wù)器node1的IP地址信息，如圖3-23所示。3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)2.修改IP地址 ip命令是一個新網(wǎng)絡(luò)命令行工具，它是iproute軟件包的組成部分，提供了若干網(wǎng)絡(luò)管理任務(wù)，諸如開啟或關(guān)閉網(wǎng)絡(luò)接口，分配和移除IP地址和路由，管理ARP緩存等，ipa是ipaddr的簡寫，用于查看網(wǎng)卡配置信息。

從圖中可以發(fā)現(xiàn)，服務(wù)器node1的ens160網(wǎng)卡IP地址是/24，網(wǎng)卡ens192關(guān)閉后獲取不到IP地址了。3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)2.修改IP地址圖3-24任務(wù)3-1服務(wù)器node2的IP地址配置按照以上方法設(shè)置服務(wù)器node2兩塊網(wǎng)卡的IP地址，如圖3-24所示。3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)2.修改IP地址圖3-25任務(wù)3-1服務(wù)器node3的IP地址配置服務(wù)器node3兩塊網(wǎng)卡的IP地址，如圖3-25所示。3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)2.修改IP地址圖3-26任務(wù)3-1服務(wù)器node4的IP地址配置服務(wù)器node4的網(wǎng)卡ens160IP地址，如圖3-26所示。3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)3.配置服務(wù)器網(wǎng)絡(luò)（1）VMware的三種網(wǎng)絡(luò)模式VMware采用橋接網(wǎng)絡(luò)、僅主機網(wǎng)絡(luò)、NAT網(wǎng)絡(luò)三種網(wǎng)絡(luò)模式實現(xiàn)虛擬機與虛擬機、虛擬機與宿主機、虛擬機與外部網(wǎng)絡(luò)之間的通信，在VMware中，點擊“編輯”菜單下的虛擬網(wǎng)絡(luò)編輯器，可以看到三種網(wǎng)絡(luò)模式使用的默認(rèn)交換機名稱如圖3-27所示，其中橋接模式使用的虛擬交換機時VMnet0，僅主機模式使用的交換機時VMnet1，NAT模式使用的交換機名稱是VMnet8，三種模式下虛擬機和宿主機之間都可以正常通信，在橋接模式和NAT模式下，虛擬機可以訪問外部網(wǎng)絡(luò)，在僅主機模式下，虛擬機無法訪問外部網(wǎng)絡(luò)。3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)3.配置服務(wù)器網(wǎng)絡(luò)圖3-27任務(wù)3-1三種網(wǎng)絡(luò)模式的虛擬交換機名稱3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)3.配置服務(wù)器網(wǎng)絡(luò)①橋接網(wǎng)絡(luò)橋接模式就是將宿主機網(wǎng)卡與虛擬機網(wǎng)卡利用虛擬網(wǎng)橋進行通信。在橋接的作用下，類似于在物理主機上虛擬一個交換機，將設(shè)置橋接網(wǎng)絡(luò)的虛擬機連接到虛擬交換機的一個接口上，物理主機的網(wǎng)卡也同樣連接在這個交換機上，所有橋接下的網(wǎng)卡與網(wǎng)卡都是交換模式的，相互可以訪問而不干擾。在橋接模式下，虛擬機ip地址需要與主機配置在同一個網(wǎng)段，如果需要訪問外部網(wǎng)絡(luò)，則網(wǎng)關(guān)與DNS需要與宿主機網(wǎng)卡一致。橋接模式下的虛擬機與虛擬機、虛擬機與宿主機之間網(wǎng)絡(luò)拓?fù)淙鐖D3-28所示，外框表示宿主機。3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)3.配置服務(wù)器網(wǎng)絡(luò)圖3-28任務(wù)3-1橋接模式網(wǎng)絡(luò)拓?fù)?.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)3.配置服務(wù)器網(wǎng)絡(luò)②僅主機網(wǎng)絡(luò)僅主機網(wǎng)絡(luò)模式拓?fù)淙鐖D3-29所示，虛擬機之間在同一個網(wǎng)段，虛擬機和宿主機之間默認(rèn)通過VMnet1交換機通信，虛擬機只能與宿主機通信，無法與外部網(wǎng)絡(luò)通信，需要注意的是VMnet1具備IP地址分配功能，可以為虛擬機分別IP地址，同時可以添加多個僅主機網(wǎng)絡(luò)，如VMnet2、VMnet3等。圖3-29任務(wù)3-1僅主機模式網(wǎng)絡(luò)拓?fù)?.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)3.配置服務(wù)器網(wǎng)絡(luò)③NAT網(wǎng)絡(luò)NAT網(wǎng)絡(luò)模式拓?fù)淙鐖D3-30所示。虛擬機和虛擬機之間在同一個網(wǎng)段，虛擬機和宿主機之間默認(rèn)通過VMnet8交換機通信，虛擬機不但可以與宿主機通信，而且還可以與外部網(wǎng)絡(luò)通信，因為NAT網(wǎng)絡(luò)模式增加了一個虛擬NAT設(shè)備，連接到了VMnet8交換機上。為vmnet8可以為虛擬機分配IP地址和網(wǎng)關(guān)，網(wǎng)關(guān)是虛擬NAT連接VMnet8的接口，當(dāng)虛擬機的上外網(wǎng)數(shù)據(jù)到達虛擬NAT后，將源地址轉(zhuǎn)換成出接口的IP地址，因為出接口連接到了宿主機與外部網(wǎng)絡(luò)通信接口，就可以訪問外部網(wǎng)絡(luò)了。圖3-30任務(wù)3-1NAT模式網(wǎng)絡(luò)拓?fù)?.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)3.配置服務(wù)器網(wǎng)絡(luò)（2）添加VMnet2和VMnet3僅主機網(wǎng)絡(luò)首先在“編輯”菜單下的“虛擬網(wǎng)絡(luò)編輯器”對話框中，單擊“添加網(wǎng)絡(luò)按鈕”，在彈出的添加“虛擬網(wǎng)絡(luò)對話框中”選擇要添加的網(wǎng)絡(luò)，選擇默認(rèn)的VMnet2，單擊“確定”按鈕，如圖3-31所示，再添加一個網(wǎng)絡(luò)VMnet3。圖3-31任務(wù)3-1VMware添加網(wǎng)絡(luò)3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)3.配置服務(wù)器網(wǎng)絡(luò)接下來，在“虛擬網(wǎng)絡(luò)編輯器”對話框中，選擇VMnet1，在底部的子網(wǎng)處設(shè)置，子網(wǎng)掩碼為，同理設(shè)置VMnet2網(wǎng)絡(luò)地址為，子網(wǎng)掩碼為VMnet3網(wǎng)絡(luò)地址為，子網(wǎng)掩碼為，如圖3-32所示。3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)3.配置服務(wù)器網(wǎng)絡(luò)圖3-32任務(wù)3-1修改網(wǎng)絡(luò)地址3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)3.配置服務(wù)器網(wǎng)絡(luò)圖3-33任務(wù)3-1配置網(wǎng)卡所在網(wǎng)絡(luò)（3）設(shè)置服務(wù)器各網(wǎng)卡所屬的網(wǎng)絡(luò)在左側(cè)“庫”面板中，“我的計算機”下右鍵單擊主機“node1”，選擇“設(shè)置”，打開“虛擬機設(shè)置”對話框，選擇第1塊網(wǎng)絡(luò)適配器，在右側(cè)“網(wǎng)絡(luò)連接”選項中，選擇“自定義”下拉列表框中的VMnet1（僅主機模式），單擊“確定”按鈕，如圖3-33所示。3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)3.配置服務(wù)器網(wǎng)絡(luò)圖3-34任務(wù)3-1修改連接名和主機名同理，將服務(wù)器node2的第1塊網(wǎng)絡(luò)適配器配置在VMnet1網(wǎng)絡(luò)，第2塊網(wǎng)絡(luò)適配器配置在VMnet2網(wǎng)絡(luò)。服務(wù)器node3的第1塊網(wǎng)絡(luò)適配器配置在VMnet3網(wǎng)絡(luò)，第2塊網(wǎng)絡(luò)適配器配置VMnet2網(wǎng)絡(luò)。服務(wù)器node4的第1塊網(wǎng)卡配置在VMnet3網(wǎng)絡(luò)。（4）登錄服務(wù)器測試連通性使用SecureCRT登錄到4臺服務(wù)器上，登錄完成后，通過右鍵單擊連接選項卡，“重命名”修改連接名。通過hostnamectlset-hostname命令修改主機名，如圖3-34所示。3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)3.配置服務(wù)器網(wǎng)絡(luò)圖3-35任務(wù)3-1測試服務(wù)器node1與其他服務(wù)器的連通性在服務(wù)器node1上測試與服務(wù)器node2直連網(wǎng)卡，發(fā)現(xiàn)是能夠正常訪問的，但是測試服務(wù)器“node4”的連通性時，發(fā)現(xiàn)不能正常訪問，如圖3-35所示。3.1.5配置靜態(tài)路由實現(xiàn)服務(wù)器網(wǎng)絡(luò)互聯(lián)3.配置服務(wù)器網(wǎng)絡(luò)

服務(wù)器node1在/24網(wǎng)絡(luò)，服務(wù)器node4在/24網(wǎng)絡(luò)，兩臺主機分別連接到服務(wù)器node2和服務(wù)器node3，所以將服務(wù)器node2和服務(wù)器node3增加路由功能，幫助node1和node4轉(zhuǎn)發(fā)數(shù)據(jù)，才能實現(xiàn)服務(wù)器node1和服務(wù)器node4之間的通信。3.1.5配置靜態(tài)路由實現(xiàn)服務(wù)器網(wǎng)絡(luò)互聯(lián)1.配置默認(rèn)路由服務(wù)器node1只有到服務(wù)器node2一條鏈路，所以首先配置服務(wù)器node1到服務(wù)器node2的默認(rèn)路由，當(dāng)服務(wù)器node1無法找到目標(biāo)IP地址時，將數(shù)據(jù)請求轉(zhuǎn)發(fā)給服務(wù)器node2，相當(dāng)于配置服務(wù)器node1的網(wǎng)關(guān)。同理，需要配置服務(wù)器node4到服務(wù)器node3的默認(rèn)路由。首先在服務(wù)器node1上添加一條默認(rèn)路由，命令如下。[root@node1~]#routeadddefaultgw3.1.5配置靜態(tài)路由實現(xiàn)服務(wù)器網(wǎng)絡(luò)互聯(lián)1.配置默認(rèn)路由圖3-36任務(wù)3-1服務(wù)器node1添加默認(rèn)路由添加完成后，使用route-n命令查看服務(wù)器node1的路由表，如圖3-36所示。3.1.5配置靜態(tài)路由實現(xiàn)服務(wù)器網(wǎng)絡(luò)互聯(lián)1.配置默認(rèn)路由圖3-37任務(wù)3-1服務(wù)器node4添加默認(rèn)路由

在表中可以看出，服務(wù)器node1有兩條路由，一條是配置了IP地址自動生成的直連路由/24網(wǎng)絡(luò)，另一條是使用routeadd命令添加到主機的默認(rèn)路由。同樣的在服務(wù)器node4上添加一條默認(rèn)路由，命令如下。 [root@node4~]#routeadddefaultgw

添加完成后，使用route-n命令查看服務(wù)器node4的路由表，如圖3-37所示。

需要注意的是默認(rèn)路由也就是網(wǎng)關(guān)，可以在網(wǎng)卡的GATEWAY選項中配置，這里為了講解默認(rèn)路由的配置，所以使用route命令添加了服務(wù)器node1和服務(wù)器node4的默認(rèn)路由。3.1.5配置靜態(tài)路由實現(xiàn)服務(wù)器網(wǎng)絡(luò)互聯(lián)2.配置服務(wù)器node2與服務(wù)器node3靜態(tài)路由圖3-38任務(wù)3-1添加服務(wù)器node2的靜態(tài)路由

在服務(wù)器node2上添加靜態(tài)路由，設(shè)置去往/24網(wǎng)絡(luò)的下一跳是與本機直連服務(wù)器node3的ens192網(wǎng)卡地址，命令如下。 [root@node2~]#routeadd-net/24gw

添加完成后，使用route-n命令查看服務(wù)器node2的路由表，如圖3-38所示。3.1.5配置靜態(tài)路由實現(xiàn)服務(wù)器網(wǎng)絡(luò)互聯(lián)2.配置服務(wù)器node2與服務(wù)器node3靜態(tài)路由圖3-39任務(wù)3-1添加服務(wù)器node3的靜態(tài)路由

從圖中可以看出，添加了一條去往/24的路由條目，下一跳是。同樣的在服務(wù)器node3上添加一條靜態(tài)路由，去往/24網(wǎng)絡(luò)的下一跳是，命令如下。 [root@node3~]#routeadd-net/24gw

添加完成后，使用route-n命令查看服務(wù)器node3的路由表，如圖3-39所示。3.1.5配置靜態(tài)路由實現(xiàn)服務(wù)器網(wǎng)絡(luò)互聯(lián)4.永久保存路由圖3-41任務(wù)3-1刪除默認(rèn)路由

在命令行中通過命令添加的路由都是臨時生效的，當(dāng)主機重啟后，路由不會生效了。以下介紹如何添加永久性的路由。（1）創(chuàng)建永久的默認(rèn)路由在服務(wù)器node1上刪除默認(rèn)路由，命令如下。[root@node1~]#routedeldefault執(zhí)行命令，再次查看路由表發(fā)現(xiàn)默認(rèn)路由已經(jīng)被刪除了，如圖3-41所示。在網(wǎng)絡(luò)配置文件目錄/etc/sysconfig/network-scripts/創(chuàng)建名稱為route-ens160的路由配置文件，代表為ens160網(wǎng)卡創(chuàng)建路由配置。在文件中輸入內(nèi)容如下。defaultvia3.1.5配置靜態(tài)路由實現(xiàn)服務(wù)器網(wǎng)絡(luò)互聯(lián)4.永久保存路由以上配置中default表示默認(rèn)路由，via表示通過哪個地址轉(zhuǎn)發(fā)，保存配置后，重啟網(wǎng)絡(luò)管理服務(wù)和網(wǎng)卡。[root@node1network-scripts]#nmclinoff&&nmclinon&&nmclicreload再次查看服務(wù)器node1的路由表，發(fā)現(xiàn)靜態(tài)路由已經(jīng)存在路由表中了，而且主機重啟后路由不會消失，同理可以修改服務(wù)器node4的默認(rèn)路由。（2）創(chuàng)建永久的靜態(tài)路由在服務(wù)器node2上刪除靜態(tài)路由，命令如下。[root@node2~]#routedel-net/24在網(wǎng)卡配置文件目錄/etc/sysconfig/network-scripts/下創(chuàng)建文件route-ens192，注意這要使用ens192，因為去往/24的下一跳是，與ens192直連。在路由配置文件中輸入以下配置。/24via保存配置后，重啟網(wǎng)絡(luò)管理服務(wù)和網(wǎng)卡。[root@node2network-scripts]#nmclinoff&&nmclinon&&nmclicreload再次查看，發(fā)現(xiàn)靜態(tài)路由出現(xiàn)在路由表中了，同理可以修改服務(wù)器node3的靜態(tài)路由任務(wù)3-2使用Iptables控制網(wǎng)絡(luò)流量3.2.1任務(wù)描述3.2.2必備知識3.2.3配置Iptables過濾數(shù)據(jù)包3.2.4配置Iptables實現(xiàn)源地址和目標(biāo)地址轉(zhuǎn)換3.2.5使用Tcpdump抓包驗證地址轉(zhuǎn)換學(xué)習(xí)目標(biāo)【知識目標(biāo)】（1）掌握Iptables工具與內(nèi)核netfilter的關(guān)系。（2）掌握Iptables四表五鏈的工作機制。（3）掌握Tcpdump抓包工具的使用方法。學(xué)習(xí)目標(biāo)【技能目標(biāo)】（1）能夠配置Iptables規(guī)則實現(xiàn)網(wǎng)絡(luò)流量過濾。（2）能夠配置Iptables規(guī)則實現(xiàn)源地址和目標(biāo)地址轉(zhuǎn)換。（3）能夠使用抓包工具抓取分析Linux系統(tǒng)中的網(wǎng)絡(luò)流量?！揪W(wǎng)絡(luò)拓?fù)洹咳蝿?wù)3-2的網(wǎng)絡(luò)拓?fù)淙鐖D3-42所示。圖3-42任務(wù)3-2網(wǎng)絡(luò)拓?fù)?.2.2必備知識1.Iptables工具介紹（1）Netfilter和Iptables關(guān)系Netfilter（安全框架）是一個工作在Linux內(nèi)核的網(wǎng)絡(luò)數(shù)據(jù)包處理框架，是Linux操作系統(tǒng)核心層內(nèi)部的一個數(shù)據(jù)包處理模塊，它具備網(wǎng)絡(luò)地址轉(zhuǎn)換，數(shù)據(jù)包內(nèi)容修改以及數(shù)據(jù)包過濾的防火墻功能。用戶需要一個工具把用戶態(tài)的“安全設(shè)定”配置到內(nèi)核態(tài)netfilter，這個工具就是iptables。（2）Firewalld和Iptables關(guān)系在CentOS8中，默認(rèn)啟用的防火墻工具是Firewalld，增加了區(qū)域概念和應(yīng)用層協(xié)議的支持，但底層調(diào)用的仍然Iptables命令，由于Iptables廣泛的應(yīng)用在虛擬化網(wǎng)絡(luò)中，如虛擬化網(wǎng)絡(luò)中的防火墻、安全組、EIP等功能都是通過Iptables實現(xiàn)的，所以Iptables工具是學(xué)習(xí)云計算網(wǎng)絡(luò)的基礎(chǔ)。3.2.2必備知識2.Iptables四表五鏈Iptables是基于一種稱為"四表五鏈"的數(shù)據(jù)結(jié)構(gòu)模型。（1）四表表是一類規(guī)則的集合，Iptables包括以下4類規(guī)則表。①filter表用于過濾數(shù)據(jù)包，是默認(rèn)的表。它用于控制數(shù)據(jù)包的傳輸，比如允許或拒絕特定的網(wǎng)絡(luò)連接。②nat表用于網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)，它可以修改數(shù)據(jù)包的源地址、目標(biāo)地址或端口號。它通常用于實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換、端口轉(zhuǎn)發(fā)等功能。③mangle表用于修改數(shù)據(jù)包的IP頭部信息，通常用于特殊的網(wǎng)絡(luò)處理需求。④raw表用于配置連接追蹤的規(guī)則，可以控制數(shù)據(jù)包是否經(jīng)過連接追蹤機制。3.2.2必備知識2.Iptables四表五鏈（2）五鏈當(dāng)某個數(shù)據(jù)包進入系統(tǒng)、離開系統(tǒng)需要經(jīng)歷的關(guān)卡，默然包括以下幾個鏈，也可以自定義鏈。①INPUT鏈用于處理進入系統(tǒng)的數(shù)據(jù)包。②OUTPUT鏈用于處理離開系統(tǒng)的數(shù)據(jù)包。③FORWARD鏈用于處理通過系統(tǒng)轉(zhuǎn)發(fā)的數(shù)據(jù)包，Linux系統(tǒng)作為路由器使用時數(shù)據(jù)包將經(jīng)過此鏈進行轉(zhuǎn)發(fā)。④PREROUTING鏈用于在數(shù)據(jù)包到達網(wǎng)絡(luò)接口之前進行處理，例如NAT規(guī)則的修改。⑤POSTROUTING鏈用于在數(shù)據(jù)包離開網(wǎng)絡(luò)接口之后進行處理，例如NAT規(guī)則的修改。當(dāng)數(shù)據(jù)包進入系統(tǒng)而且訪問系統(tǒng)某個應(yīng)用時，需要經(jīng)過PREROUTING鏈、INPUT鏈，當(dāng)數(shù)據(jù)包從系統(tǒng)某個程序發(fā)出，需要經(jīng)過OUTPUT鏈、POSTROUTING鏈，當(dāng)一個數(shù)據(jù)包只是經(jīng)過本系統(tǒng)時，需要經(jīng)過PREROUTING鏈、FORWARD鏈、POSTROUTING鏈。3.2.2必備知識3.表鏈對應(yīng)關(guān)系配置Iptables就是定義在某個鏈上的規(guī)則。所以要知道表（規(guī)則）和鏈的對應(yīng)關(guān)系。（1）表鏈對應(yīng)關(guān)系①filter表對應(yīng)的鏈在INPUT鏈、FORWARD鏈、OUTPUT鏈上定義filter表的規(guī)則，用于過濾數(shù)據(jù)包，filter表是定義規(guī)則時的默認(rèn)表，即定義規(guī)則時，如不指定表，默認(rèn)就是filter表。②nat表對應(yīng)的鏈在PREROUTING鏈、POSTROUTING鏈、OUTPUT鏈定義nat規(guī)則，用于網(wǎng)絡(luò)地址轉(zhuǎn)換。經(jīng)常使用的是PREROUTING鏈用戶目的地址轉(zhuǎn)換、POSTROUTING鏈用于源地址轉(zhuǎn)換。③mangle表對應(yīng)的鏈在PREROUTING鏈、POSTROUTING鏈、INPUT鏈、OUTPUT鏈、FORWARD鏈定義mangle表規(guī)則，作用是修改數(shù)據(jù)包的服務(wù)類型、配置路由實現(xiàn)QOS內(nèi)核模塊等，平時幾乎不使用。④raw表對應(yīng)的鏈在OUTPUT鏈、PREROUTING鏈上定義raw規(guī)則作用是決定數(shù)據(jù)包是否被狀態(tài)跟蹤機制處理，平時幾乎不使用。3.2.2必備知識4.Iptables命令語法iptables工具的語法為iptables[-ttable]command[鏈名][條件匹配][-j目標(biāo)動作]其中table用于指明定義哪些表的規(guī)則，經(jīng)常使用的有filter表和nat表，如不指定，默認(rèn)是filter表，鏈名指的是鏈的名稱，下面重點介紹command、條件匹配和目標(biāo)動作。（1）command命令①-AAppend在規(guī)則最后邊追加一條規(guī)則，規(guī)則是有順序的，數(shù)據(jù)包從上到下匹配規(guī)則，匹配結(jié)束后，不再繼續(xù)匹配其它規(guī)則，如果所有都沒有匹配上，最后的默認(rèn)規(guī)則是允許通過。②-IInsert，在指定的位置插入規(guī)則，如圖Insert3表示插入的規(guī)則位于第3條。③-LList，查看規(guī)則列表，-L經(jīng)常配置-n、-v、--line-number使用，其中-n表示只顯示IP地址和端口號碼，不顯示域名和服務(wù)名稱、-v表示顯示詳細(xì)規(guī)則信息，--line-number顯示規(guī)則的編號。④-DDelete，從規(guī)則列表中刪除規(guī)則，如iptables-DFILTER3表示刪除filter表中的第3條規(guī)則。⑤-PPolicy，設(shè)置設(shè)置某個鏈的默認(rèn)規(guī)則，如iptables-PINPUTDROP表示設(shè)置INPUT鏈的默認(rèn)規(guī)則是丟棄。⑥-FFlush，清空鏈上的規(guī)則，不指明鏈會清空所有鏈上規(guī)則。清空規(guī)則還有-X，表示清空自己定義的鏈上規(guī)則，-Z清空指定鏈的所有計數(shù)器歸零，經(jīng)常使用的是-F。3.2.2必備知識4.Iptables命令語法（2）條件匹配①按網(wǎng)絡(luò)接口匹配-i匹配數(shù)據(jù)進入的網(wǎng)絡(luò)接口，該參數(shù)主要應(yīng)用nat表，-o匹配數(shù)據(jù)流出的網(wǎng)絡(luò)接口，如-iens160匹配從網(wǎng)絡(luò)接口ens160進來的數(shù)據(jù)包，-oens192匹配從ens192流出的數(shù)據(jù)包。②匹配源地址和目的地址-s匹配源地址，如-s匹配源地址是的數(shù)據(jù)包，也可以指定網(wǎng)絡(luò)地址，如-s/24，如果匹配不連續(xù)的多個地址，可以用逗號分隔，如-d,。-d匹配目標(biāo)地址，如-d匹配的目標(biāo)地址是，也可以匹配一個網(wǎng)絡(luò)地址，如圖-d/24。③按協(xié)議類型匹配-p匹配協(xié)議類型，可以是tcp、udp、icmp等，如-ptcp匹配的是tcp協(xié)議的數(shù)據(jù)包，在協(xié)議之前加上!表示取反，如！tcp表示除了tcp之外的其它協(xié)議。④按源及目的端口匹配--sport匹配源端口，可以是單個端口，也可以是端口范圍，如--sport1000，匹配源是1000的端口，--sport1000:2000匹配源端口1000到2000的數(shù)據(jù)包。--dport匹配目的端口，如--dport80匹配的是目標(biāo)端口是80的數(shù)據(jù)包，--sport和--dport必須配合-p參數(shù)使用。3.2.2必備知識4.Iptables命令語法（3）目的動作①ACCEPTACCEPT允許數(shù)據(jù)包通過本鏈，如iptables-AINPUT-jACCEPT表示在INPUT鏈規(guī)則末尾添加一條規(guī)則，允許所有訪問本機的數(shù)據(jù)包通過。②DROPDROP阻止數(shù)據(jù)包通過本鏈，如iptables-IOUTPUT-s-jDROP表示在OUTPUT鏈的最前邊插入一條規(guī)則，阻止來自的數(shù)據(jù)包通過。③SNAT源地址轉(zhuǎn)換，支持單個和連續(xù)的源地址和目標(biāo)地址。如iptables-tnat-APOSTROUTING-s/24-jSNAT--to0，在數(shù)據(jù)包離開網(wǎng)絡(luò)接口時，將/24網(wǎng)絡(luò)的源IP地址轉(zhuǎn)換成0，連續(xù)目的地址可以寫成0-0。④DNAT目的地址轉(zhuǎn)換，同樣支持轉(zhuǎn)換成單個IP和地址池。如iptables-tnat-APREROUTING-iens192-ptcp--dport80-jDNAT--to⑤MASQUERADE動態(tài)SNAT轉(zhuǎn)換，當(dāng)用于連接公網(wǎng)的IP不固定時，使用MASQUERADE進行源IP地址轉(zhuǎn)換，如iptables-tnat-APOSTROUTING-s/24-oens192-jMASQUERADE，將源地址是/24的數(shù)據(jù)包進行地址偽裝，轉(zhuǎn)換成ens192上的IP地址。3.2.2必備知識4.Iptables命令語法（4）應(yīng)用示例①拒絕外部數(shù)據(jù)訪問本地服務(wù)器80端口在配置Iptabels規(guī)則時，要注意以下兩點。一是要清楚使用的是過濾還是地址轉(zhuǎn)換，本例是拒絕訪問，所以是過濾規(guī)則，作用在filter表上，默認(rèn)可以不寫。作用在filter表上的鏈包括INPUT鏈、FORWARD鏈、OUTPUT鏈。二是要清楚數(shù)據(jù)包的流向，是訪問本機、還是從本機流出、還是只是經(jīng)過本機，確定后才能在某個鏈上配置規(guī)則，本例要求拒絕訪問本機的80端口，是訪問本機的數(shù)據(jù)，訪問本機的數(shù)據(jù)會經(jīng)過PREROUTING和INPUT兩個鏈，所以確定寫在INPUT鏈上。再進行條件匹配，執(zhí)行動作，配置如下。iptables-AINPUT-ptcp--dport80-jDROP②將源地址是/24的地址轉(zhuǎn)換成自己出接口IP，地址為0首先看是流量本機的數(shù)據(jù)，所以經(jīng)過的鏈?zhǔn)荘REROUTING、FORWARD、POSTROUTING，一般將源地址轉(zhuǎn)換配置在POSTROUTING鏈上，目的地址轉(zhuǎn)換配置在PREROUTING鏈上。由于是地址轉(zhuǎn)換要求，所以配置在nat表上，確定了表和鏈后，再進行規(guī)則匹配，執(zhí)行動作，配置如下。iptables-tnat-APOSTROUTING-s/24-jsnat--to03.2.2必備知識5.Tcpdump工具的使用tcpdump是網(wǎng)絡(luò)抓包工具，可以針對關(guān)鍵字，如主機名（HOST）、網(wǎng)段（NET）、端口（PORT）抓取網(wǎng)絡(luò)中的流量，也可以針對數(shù)據(jù)包的方向，如源（src）、目的（dst）進行抓包，還可以針對協(xié)議如tcp/udp/imcp等協(xié)議進行抓包。（1）tcpdump工具常用選項①-i監(jiān)聽的網(wǎng)絡(luò)接口②-e在輸出行打印出數(shù)據(jù)鏈路層的頭部信息，包括源mac和目的mac，以及網(wǎng)絡(luò)層的協(xié)議。③-nn指定將每個監(jiān)聽到數(shù)據(jù)包中的域名轉(zhuǎn)換成IP、端口從應(yīng)用名稱轉(zhuǎn)換成端口號后顯示。④-v輸出一個稍微詳細(xì)的信息，例如在ip包中可以包括ttl和服務(wù)類型的信息。⑤-vv輸出詳細(xì)的報文信息。⑥-c在收到指定的包的數(shù)目后，tcpdump就會停止。⑦-w將輸出結(jié)果寫到某個文件中。⑧-t不顯示抓包時間戳。3.2.2必備知識5.Tcpdump工具的使用tcpdump是網(wǎng)絡(luò)抓包工具，可以針對關(guān)鍵字，如主機名（HOST）、網(wǎng)段（NET）、端口（PORT）抓取網(wǎng)絡(luò)中的流量，也可以針對數(shù)據(jù)包的方向，如源（src）、目的（dst）進行抓包，還可以針對協(xié)議如tcp/udp/imcp等協(xié)議進行抓包。（1）tcpdump工具常用選項①-i監(jiān)聽的網(wǎng)絡(luò)接口（2）過濾命令①類型關(guān)鍵字主要包括host，net，port，如host，指定主機，net/24指明是一個網(wǎng)絡(luò)地址，port21指明端口號是21。②方向關(guān)鍵字主要包括src，dst，dstorsrc，dstandsrc，如src，指明數(shù)據(jù)包中源地址是，dstnet/24指明目的網(wǎng)絡(luò)地址是/24，方向關(guān)鍵字可以和類型關(guān)鍵字聯(lián)合使用，如源IP為并且目的端口是22可以寫成srchostanddstport22。③協(xié)議關(guān)鍵字主要包括arp，ip，icmp，tcp，udp等協(xié)議，默認(rèn)tcpdump會監(jiān)聽所有協(xié)議的數(shù)據(jù)包。3.2.2必備知識5.Tcpdump工具的使用（2）應(yīng)用舉例①監(jiān)聽本機ens160端口與0的數(shù)據(jù)包tcpdump-iens160host0②監(jiān)聽所有端口關(guān)于/24網(wǎng)絡(luò)地址的數(shù)據(jù)包tcpdumpnet/24③監(jiān)聽端口ens192的關(guān)于/24主機且端口為80的數(shù)據(jù)包tcpdump-iens192net0/24anddstport80④監(jiān)聽ens160上所有tcp協(xié)議并且目標(biāo)端口是22的數(shù)據(jù)包tcpdump-iens160tcpanddstport223.2.2必備知識5.Tcpdump工具的使用⑤監(jiān)聽ens160源服務(wù)器node和目的端口不是80的數(shù)據(jù)，顯示數(shù)據(jù)鏈路層信息，以IP地址和端口號方式顯示。將結(jié)果導(dǎo)入文件1.txt中。tcpdump-nn-e-iens160srchostanddstportnot23-w1.txt②-e在輸出行打印出數(shù)據(jù)鏈路層的頭部信息，包括源mac和目的mac，以及網(wǎng)絡(luò)層的協(xié)議。③-nn指定將每個監(jiān)聽到數(shù)據(jù)包中的域名轉(zhuǎn)換成IP、端口從應(yīng)用名稱轉(zhuǎn)換成端口號后顯示。④-v輸出一個稍微詳細(xì)的信息，例如在ip包中可以包括ttl和服務(wù)類型的信息。⑤-vv輸出詳細(xì)的報文信息。⑥-c在收到指定的包的數(shù)目后，tcpdump就會停止。⑦-w將輸出結(jié)果寫到某個文件中。⑧-t不顯示抓包時間戳。3.2.3配置Iptables過濾數(shù)據(jù)包1.修改主機IP地址和網(wǎng)絡(luò)4臺服務(wù)器IP地址規(guī)劃如表3-2所示。設(shè)備名稱網(wǎng)卡IP地址網(wǎng)關(guān)網(wǎng)絡(luò)服務(wù)器node1ens160/24VMnet1服務(wù)器node2ens160/24VMnet1服務(wù)器node3ens160/24

VMnet1Ens192/24

VMnet8Windows10主機VMwareNetworkAdapterVMnet8/24

VMnet8表3-2任務(wù)3-2主機IP地址規(guī)劃表3.2.3配置Iptables過濾數(shù)據(jù)包1.修改主機IP地址和網(wǎng)絡(luò)根據(jù)表3-2的IP地址規(guī)劃配置4臺服務(wù)器的IP地址和網(wǎng)關(guān)，其中服務(wù)器node1的IP地址和網(wǎng)關(guān)配置如圖3-43所示，這里在IP地址的配置中配置了GATEWAY網(wǎng)關(guān)，同配置默認(rèn)路由功能一致，同時配置了DNS服務(wù)器地址為，提供域名解析服務(wù)。圖3-43任務(wù)3-2服務(wù)器node1的IP地址和網(wǎng)關(guān)配置3.2.3配置Iptables過濾數(shù)據(jù)包1.修改主機IP地址和網(wǎng)絡(luò)配置服務(wù)器node1的ens160網(wǎng)卡屬于VMnet1網(wǎng)絡(luò)，如圖2-44所示。圖3-44任務(wù)3-2服務(wù)器node1的ens160網(wǎng)卡屬于VMnet13.2.3配置Iptables過濾數(shù)據(jù)包1.修改主機IP地址和網(wǎng)絡(luò)

同理按照地址規(guī)劃表配置服務(wù)器node2、服務(wù)器node3的IP地址和網(wǎng)絡(luò)，windows10主機連接到VMnet8虛擬交換機的網(wǎng)卡是VMwareNetworkAdapterVMnet8，默認(rèn)配置了/24的IP地址。3.2.3配置Iptables過濾數(shù)據(jù)包2.配置只允許windows10主機遠(yuǎn)程登錄服務(wù)器node3

在默認(rèn)情況下，服務(wù)器node3是開啟了sshd遠(yuǎn)程登陸服務(wù)的，所以任意一臺與服務(wù)器node3相連的主機，只要具備ssh協(xié)議的客戶端，就可以登陸到服務(wù)器node3上，如在服務(wù)器node1上登錄服務(wù)器node3的過程如圖3-45所示。圖3-45任務(wù)3-2服務(wù)器node1遠(yuǎn)程登陸服務(wù)器node33.2.3配置Iptables過濾數(shù)據(jù)包2.配置只允許windows10主機遠(yuǎn)程登錄服務(wù)器node3

從圖中看出，在服務(wù)器node1命令行中，使用ssh，當(dāng)出現(xiàn)保存公鑰信息時，輸入yes,然后輸入服務(wù)器node3的密碼后即成功登錄到了服務(wù)器node3上，在服務(wù)器node2上使用該方法同樣可以登陸到node3上，如圖3-46所示。圖3-46任務(wù)3-2服務(wù)器node2遠(yuǎn)程登陸服務(wù)器node33.2.3配置Iptables過濾數(shù)據(jù)包2.配置只允許windows10主機遠(yuǎn)程登錄服務(wù)器node3

顯示只要與服務(wù)器node3連網(wǎng)的計算機就能夠通過用戶名和密碼遠(yuǎn)程登陸上來是不夠安全的，所以配置Iptables規(guī)則允許windows宿主機可以使用ssh協(xié)議遠(yuǎn)程登錄服務(wù)器node3，其它主機無法登錄服務(wù)器node3，但不影響與服務(wù)器node3的其它通信。3.2.3配置Iptables過濾數(shù)據(jù)包2.配置只允許windows10主機遠(yuǎn)程登錄服務(wù)器node3（1）安裝啟動服務(wù)iptables的命令默認(rèn)是存在的，但是無法對配置進行保存等操作，所以需要安裝iptables-services服務(wù)，配置完成后，可以將配置保存，重啟后仍然生效，同時關(guān)閉firewalld服務(wù)，開啟iptables服務(wù)，命令如下。[root@node3~]#yuminstalliptables-services-y[root@node3~]#systemctlstopfirewalld&&systemctldisablefirewalld[root@node3~]#systemctlstartiptables&&systemctlenableiptables這個步驟在模板機中已經(jīng)進行了設(shè)置，這里再次強調(diào)基礎(chǔ)環(huán)境配置。（2）確定配置的表和鏈允許或者禁止訪問本機的某個服務(wù)，這個數(shù)據(jù)包一定是流入本機的，所以在Iptables的PREROUTING或者INPUT鏈上配置規(guī)則，由于是過濾規(guī)則，所以將規(guī)則配置在filter表和INPUT鏈上。因為在INPUT鏈、FORWARD鏈、OUTPUT鏈上定義filter表的規(guī)則。3.2.3配置Iptables過濾數(shù)據(jù)包2.配置只允許windows10主機遠(yuǎn)程登錄服務(wù)器node3（3）分析和配置sshd服務(wù)使用的是ssh協(xié)議，在傳輸層上的協(xié)議是tcp，使用的端口是22端口，又因為Iptables的默然規(guī)則是放行所有，所以首先配置一條規(guī)則允許宿主機地址使用tcp的22端口流量，然后拒絕所有其它主機使用tcp協(xié)議的22端口流量，配置如下。[root@node3~]#iptables-tfilter-AINPUT-s-d-ptcp--dport22-jACCEPT[root@node3~]#iptables-tfilter-AINPUT-d,-ptcp--dport22-jDROP配置完成后，使用命令查看iptables的配置，如圖3-47所示。圖3-47任務(wù)3-2iptables配置3.2.3配置Iptables過濾數(shù)據(jù)包2.配置只允許windows10主機遠(yuǎn)程登錄服務(wù)器node3在重啟后iptables生效，需要保存配置，命令如下。[root@node3~]#serviceiptablessave這里需要注意的是由于服務(wù)器node3有兩個網(wǎng)卡，所以需要在第2條規(guī)則中將兩個IP地址都禁止掉，配置完成后，只要宿主機通過，即VMwareNetworkAdapterVMnet8網(wǎng)卡登錄到服務(wù)器node3上。使用服務(wù)器node1和服務(wù)器node2已經(jīng)無法遠(yuǎn)程登陸服務(wù)器node3了。3.2.3配置Iptables過濾數(shù)據(jù)包2.配置只允許windows10主機遠(yuǎn)程登錄服務(wù)器node3（4）配置修改當(dāng)配置過程中出現(xiàn)錯誤或者需要修改的時候，有2種方法解決，一是清除所有的配置，清除命令如下。[root@node3~]#iptables-F使用-F清除默認(rèn)5個鏈上的所有配置，所以要謹(jǐn)慎使用，當(dāng)需要刪除某一個鏈上的某條規(guī)則時，可以使用iptables-nL--line-number查看iptables的配置并且顯示規(guī)則編號，如圖3-48所示。圖3-48任務(wù)3-2查看iptables規(guī)則顯示規(guī)則號如果想刪除INPUT表中的第3條規(guī)則，使用如下命令。[root@node3~]#iptables-DINPUT33.2.4配置Iptables實現(xiàn)源地址和目標(biāo)地址轉(zhuǎn)換1.配置源地址轉(zhuǎn)換實現(xiàn)服務(wù)器node1和服務(wù)器node2訪問外部網(wǎng)絡(luò)（1）啟用服務(wù)器node3的路由轉(zhuǎn)發(fā)功能服務(wù)器node3有兩塊網(wǎng)卡，分別是連接服務(wù)器node1和服務(wù)器node2的ens160和連接宿主機的ens192，無論配置服務(wù)器node1和服務(wù)器node2的源地址轉(zhuǎn)換，實現(xiàn)服務(wù)器node1和服務(wù)器node2訪問外網(wǎng)，還是配置目的地址轉(zhuǎn)換實現(xiàn)windows10主機訪問服務(wù)器node2的WEB服務(wù)，都需要在服務(wù)器node3上開啟路由轉(zhuǎn)發(fā)功能，方法如下。在服務(wù)器node3的/etc/sysctl.conf末尾加入以下配置。net.ipv4.ip_forward=1然后在命令行，使用sysctl-p使配置生效。3.2.3配置Iptables過濾數(shù)據(jù)包2.配置只允許windows10主機遠(yuǎn)程登錄服務(wù)器node3（2）配置Iptables源地址轉(zhuǎn)換在當(dāng)前網(wǎng)絡(luò)拓?fù)湎拢?wù)器node1和服務(wù)器node2采用僅主機模式連接是無法訪問外部網(wǎng)絡(luò)的，服務(wù)器node3通過NAT模式連接是可以訪問外部網(wǎng)絡(luò)的，如圖3-49所示。圖3-49任務(wù)3-2服務(wù)器node3訪問外部公網(wǎng)地址3.2.3配置Iptables過濾數(shù)據(jù)包2.配置只允許windows10主機遠(yuǎn)程登錄服務(wù)器node3服務(wù)器node1和服務(wù)器node2連接著服務(wù)器node3的ens160網(wǎng)卡，所以在服務(wù)器node3上配置源地址轉(zhuǎn)換，即將服務(wù)器node1和服務(wù)器node2去往外部網(wǎng)絡(luò)的數(shù)據(jù)包中的源地址轉(zhuǎn)換成服務(wù)器node3連接VMnet8交換機的ens192地址，就可以實現(xiàn)服務(wù)器node1和服務(wù)器node2訪問外部網(wǎng)絡(luò)了。（3）確定表鏈為服務(wù)器node1和服務(wù)器node2做源地址轉(zhuǎn)換，所以規(guī)則寫在nat表中，PREROUTING鏈、POSTROUTING鏈、OUTPUT。服務(wù)器node1和服務(wù)器node2的數(shù)據(jù)經(jīng)過服務(wù)器node3，需要經(jīng)過PREROUTING鏈、FORWARD鏈、P