《linux操作系統(tǒng)》課件 第 7 章 網(wǎng)絡(luò)管理

網(wǎng)絡(luò)管理：從基礎(chǔ)到實(shí)踐01030204計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)主機(jī)通信原理Linux系統(tǒng)網(wǎng)絡(luò)配置網(wǎng)絡(luò)管理實(shí)踐任務(wù)CONTENT目錄05網(wǎng)絡(luò)管理職業(yè)規(guī)范與拓展01計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)計(jì)算機(jī)網(wǎng)絡(luò)是將不同地理位置的多臺(tái)計(jì)算機(jī)及其外部設(shè)備通過通信線路和設(shè)備連接起來，實(shí)現(xiàn)資源共享和信息傳遞。它強(qiáng)調(diào)設(shè)備的獨(dú)立性與相互聯(lián)系，通過網(wǎng)絡(luò)操作系統(tǒng)、管理軟件及協(xié)議進(jìn)行管理和協(xié)調(diào)。網(wǎng)絡(luò)的主要特點(diǎn)包括資源共享、可靠性、獨(dú)立性、擴(kuò)充性、廉價(jià)性和分布性。資源共享可提高設(shè)備利用率，避免重復(fù)投資；可靠性確保一臺(tái)計(jì)算機(jī)故障時(shí)，其他計(jì)算機(jī)可替代其完成任務(wù)。計(jì)算機(jī)網(wǎng)絡(luò)定義1網(wǎng)絡(luò)協(xié)議是為計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)交換建立的規(guī)則、標(biāo)準(zhǔn)或約定。常見的協(xié)議包括IP、ICMP、TCP、UDP、FTP、SSH、HTTPS和HTTP等，它們相互協(xié)作，共同構(gòu)建網(wǎng)絡(luò)通信。為更好地理解和管理這些協(xié)議，引入了網(wǎng)絡(luò)模型概念，如OSI七層協(xié)議模型、五層協(xié)議模型和四層協(xié)議模型。這些模型將網(wǎng)絡(luò)通信過程劃分為不同層次，每一層負(fù)責(zé)特定的功能，各層之間通過接口進(jìn)行通信，提高了網(wǎng)絡(luò)的可管理性和可擴(kuò)展性。網(wǎng)絡(luò)協(xié)議模型2計(jì)算機(jī)網(wǎng)絡(luò)概念與特點(diǎn)網(wǎng)絡(luò)端口是一種由數(shù)字表示的地址，用于區(qū)分同一臺(tái)計(jì)算機(jī)中不同進(jìn)程或不同計(jì)算機(jī)中運(yùn)行不同程序間的通信。常見端口及其作用包括：端口80用于HTTP服務(wù)，端口443用于HTTPS服務(wù)，端口25用于SMTP服務(wù)，端口110用于POP3服務(wù)，端口143用于IMAP服務(wù)，端口21用于FTP服務(wù)，端口22用于SSH服務(wù)。IP地址是分配給連接到互聯(lián)網(wǎng)每一臺(tái)主機(jī)（或路由器）的一個(gè)32位二進(jìn)制地址，用來在IP層唯一標(biāo)識(shí)一個(gè)主機(jī)或一個(gè)網(wǎng)絡(luò)地址。IP地址由網(wǎng)絡(luò)標(biāo)識(shí)和主機(jī)標(biāo)識(shí)兩部分組成，通過子網(wǎng)掩碼可以區(qū)分網(wǎng)絡(luò)部分和主機(jī)部分。子網(wǎng)掩碼的長(zhǎng)度決定了網(wǎng)絡(luò)部分的位數(shù)，從而決定了可以容納的主機(jī)數(shù)量以及網(wǎng)絡(luò)的規(guī)模。網(wǎng)絡(luò)端口與IP地址子網(wǎng)是一個(gè)IP地址空間中滿足一定條件的連續(xù)IP地址集合，通常具有相同的網(wǎng)絡(luò)前綴或網(wǎng)絡(luò)號(hào)，屬于同一個(gè)邏輯網(wǎng)絡(luò)。子網(wǎng)的概念有助于實(shí)現(xiàn)網(wǎng)絡(luò)的層次化管理和控制，提高網(wǎng)絡(luò)的靈活性和可擴(kuò)展性。通過子網(wǎng)劃分，可以將一個(gè)大型網(wǎng)絡(luò)劃分為多個(gè)較小的子網(wǎng)，每個(gè)子網(wǎng)可以獨(dú)立地進(jìn)行管理和配置，減少網(wǎng)絡(luò)廣播流量，提高網(wǎng)絡(luò)安全性，并優(yōu)化網(wǎng)絡(luò)性能。網(wǎng)關(guān)是連接兩個(gè)或多個(gè)不同網(wǎng)絡(luò)的關(guān)鍵設(shè)備，充當(dāng)網(wǎng)絡(luò)間出入口或關(guān)卡。它能夠轉(zhuǎn)換不同網(wǎng)絡(luò)之間的通信協(xié)議，根據(jù)路由信息選擇最佳路徑將數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)轉(zhuǎn)發(fā)到另一個(gè)網(wǎng)絡(luò)，還可以作為網(wǎng)絡(luò)安全的第一道防線，實(shí)施防火墻功能，過濾掉來自不安全網(wǎng)絡(luò)的數(shù)據(jù)包，或者對(duì)數(shù)據(jù)進(jìn)行加密和解密，確保數(shù)據(jù)傳輸?shù)陌踩?。在家庭或小型網(wǎng)絡(luò)中，網(wǎng)關(guān)通常指路由器，它連接內(nèi)部局域網(wǎng)和外部廣域網(wǎng)（如互聯(lián)網(wǎng)），允許內(nèi)部設(shè)備訪問外部網(wǎng)絡(luò)資源。子網(wǎng)與網(wǎng)關(guān)網(wǎng)絡(luò)通信要素02主機(jī)通信原理地址解析與數(shù)據(jù)封裝數(shù)據(jù)發(fā)送與接收處理子網(wǎng)內(nèi)兩臺(tái)主機(jī)之間通信時(shí)，首先進(jìn)行地址解析。主機(jī)A使用ARP（地址解析協(xié)議）來解析主機(jī)B的MAC地址。ARP廣播請(qǐng)求會(huì)發(fā)送到子網(wǎng)內(nèi)所有設(shè)備，詢問B的IP地址對(duì)應(yīng)的MAC地址。如果主機(jī)B收到這個(gè)ARP請(qǐng)求，并且確認(rèn)請(qǐng)求中IP地址與自己IP地址匹配，B會(huì)回復(fù)一個(gè)ARP響應(yīng)，其中包含其MAC地址。主機(jī)A收到這個(gè)響應(yīng)后，會(huì)緩存B的MAC地址，以便后續(xù)通信使用。數(shù)據(jù)封裝是通信過程中的重要步驟。一旦主機(jī)A獲得主機(jī)B的MAC地址，A就開始準(zhǔn)備發(fā)送數(shù)據(jù)。A會(huì)將數(shù)據(jù)封裝成一個(gè)數(shù)據(jù)包，數(shù)據(jù)包中包含源和目標(biāo)IP地址、源和目標(biāo)MAC地址以及實(shí)際數(shù)據(jù)內(nèi)容。封裝后的數(shù)據(jù)包包含了所有必要的信息，確保數(shù)據(jù)能夠在網(wǎng)絡(luò)中正確傳輸并被目標(biāo)主機(jī)識(shí)別和接收。主機(jī)A將封裝好的數(shù)據(jù)包發(fā)送到網(wǎng)絡(luò)上。在以太網(wǎng)中，這通常涉及將數(shù)據(jù)包的二進(jìn)制形式轉(zhuǎn)換為電信號(hào)或光信號(hào)，并通過物理介質(zhì)（如網(wǎng)線）傳輸。交換機(jī)負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包，它通過查看數(shù)據(jù)包的MAC地址來確定應(yīng)該將數(shù)據(jù)包發(fā)送到哪個(gè)端口。如果主機(jī)B直接連接到交換機(jī)的一個(gè)端口，交換機(jī)會(huì)直接將數(shù)據(jù)包發(fā)送到該端口。當(dāng)主機(jī)B收到數(shù)據(jù)包時(shí)，它會(huì)檢查數(shù)據(jù)包的MAC地址是否與自己的MAC地址匹配。如果匹配，B會(huì)接受數(shù)據(jù)包，并從數(shù)據(jù)包中提取出數(shù)據(jù)內(nèi)容。然后，B會(huì)根據(jù)數(shù)據(jù)的類型和目的進(jìn)行相應(yīng)的處理，如執(zhí)行程序、返回響應(yīng)等。這一過程確保了數(shù)據(jù)能夠準(zhǔn)確地從源主機(jī)傳輸?shù)侥繕?biāo)主機(jī)，并被正確處理。子網(wǎng)內(nèi)通信過程路由選擇與網(wǎng)關(guān)轉(zhuǎn)發(fā)子網(wǎng)間兩臺(tái)主機(jī)之間通信時(shí)，源主機(jī)首先會(huì)將需要發(fā)送的數(shù)據(jù)進(jìn)行封裝，包括添加源和目標(biāo)IP地址等必要信息。然后，源主機(jī)檢查目標(biāo)IP地址是否與自己處于同一子網(wǎng)。這通常通過比較目標(biāo)IP地址與子網(wǎng)掩碼來完成，以確定目標(biāo)IP地址的網(wǎng)絡(luò)部分是否與源主機(jī)的網(wǎng)絡(luò)部分相同。如果目標(biāo)主機(jī)位于不同子網(wǎng)，源主機(jī)會(huì)確定一個(gè)出口網(wǎng)關(guān)（通常是路由器）將數(shù)據(jù)包發(fā)送到目標(biāo)子網(wǎng)。這個(gè)過程可能涉及到查找本地路由表，以確定最佳路徑和出口網(wǎng)關(guān)。源主機(jī)使用ARP協(xié)議來解析出口網(wǎng)關(guān)的MAC地址，以便直接將數(shù)據(jù)包發(fā)送到網(wǎng)關(guān)。一旦獲得網(wǎng)關(guān)的MAC地址，源主機(jī)會(huì)將數(shù)據(jù)包封裝成一個(gè)網(wǎng)絡(luò)幀，其中包括源主機(jī)的MAC地址、網(wǎng)關(guān)的MAC地址以及封裝好的數(shù)據(jù)。然后，源主機(jī)會(huì)將網(wǎng)絡(luò)幀發(fā)送到網(wǎng)絡(luò)上。數(shù)據(jù)包傳輸與目標(biāo)接收網(wǎng)關(guān)（路由器）接收到數(shù)據(jù)包后，會(huì)查看數(shù)據(jù)包的目標(biāo)IP地址，并根據(jù)其路由表確定下一個(gè)轉(zhuǎn)發(fā)目標(biāo)。這可能涉及到跨越多個(gè)網(wǎng)絡(luò)和路由器，直到數(shù)據(jù)包到達(dá)目標(biāo)子網(wǎng)。當(dāng)數(shù)據(jù)包到達(dá)目標(biāo)子網(wǎng)時(shí)，目標(biāo)子網(wǎng)的交換機(jī)或路由器會(huì)根據(jù)數(shù)據(jù)包的MAC地址將其轉(zhuǎn)發(fā)到目標(biāo)主機(jī)。這可能需要再次使用ARP協(xié)議來解析目標(biāo)主機(jī)的MAC地址。目標(biāo)主機(jī)接收到數(shù)據(jù)包后，會(huì)檢查數(shù)據(jù)包的MAC地址和IP地址，確認(rèn)是自己需要接收的數(shù)據(jù)后，會(huì)提取出數(shù)據(jù)內(nèi)容并進(jìn)行處理。整個(gè)子網(wǎng)間通信過程涉及多個(gè)設(shè)備和協(xié)議的協(xié)同工作，確保數(shù)據(jù)能夠在不同網(wǎng)絡(luò)之間正確傳輸和接收。子網(wǎng)間通信過程03Linux系統(tǒng)網(wǎng)絡(luò)配置CentOS7的網(wǎng)絡(luò)接口命名規(guī)則發(fā)生了較大變化，采用基于設(shè)備信息的命名方案。這種命名方式使用dmindecode進(jìn)行采集，并結(jié)合主板信息，實(shí)現(xiàn)網(wǎng)卡名字的永久唯一性。一般來說，CentOS7中的網(wǎng)絡(luò)接口名稱格式為enxnn，其中en表示以太網(wǎng)，x表示不同的網(wǎng)卡類型，nn是通過MAC地址和主板信息計(jì)算得出的唯一序列號(hào)。網(wǎng)絡(luò)接口配置參數(shù)通常位于/etc/sysconfig/network-scripts/ifcfg-<interface>文件中。幾個(gè)重要配置參數(shù)及其作用如下：DEVICE指定網(wǎng)絡(luò)接口設(shè)備名稱，是識(shí)別和管理網(wǎng)卡的關(guān)鍵信息；ONBOOT設(shè)置網(wǎng)絡(luò)接口在系統(tǒng)啟動(dòng)時(shí)是否啟用；BOOTPROTO定義網(wǎng)絡(luò)接口啟動(dòng)協(xié)議，常用選項(xiàng)包括dhcp和static；IPADDR指定網(wǎng)絡(luò)接口IP地址，只在BOOTPROTO設(shè)置為static時(shí)有效。在CentOS7中，/etc/hostname文件用于定義系統(tǒng)靜態(tài)主機(jī)名，也稱為內(nèi)核主機(jī)名。這個(gè)主機(jī)名在系統(tǒng)初始化時(shí)讀取，并由內(nèi)核根據(jù)文件內(nèi)容來設(shè)置transient主機(jī)名。靜態(tài)主機(jī)名是在系統(tǒng)啟動(dòng)時(shí)自動(dòng)從/etc/hostname文件中初始化的。主機(jī)名定義有三種類型：靜態(tài)的（Statichostname）、瞬態(tài)的（Transienthostname）和靈活的（Prettyhostname）。靜態(tài)主機(jī)名是系統(tǒng)在啟動(dòng)時(shí)從/etc/hostname自動(dòng)初始化的主機(jī)名；瞬態(tài)主機(jī)名是在系統(tǒng)運(yùn)行時(shí)臨時(shí)分配的主機(jī)名，例如通過DHCP或mDNS服務(wù)器分配；靈活主機(jī)名允許使用自由形式（包括特殊/空白字符）的主機(jī)名，以展示給終端用戶。網(wǎng)絡(luò)接口命名與參數(shù)主機(jī)名文件與類型網(wǎng)絡(luò)接口與主機(jī)名配置路由表概念與類型路由表是路由器或主機(jī)中的表格，它記錄網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、目的網(wǎng)絡(luò)地址和出接口之間的映射關(guān)系。當(dāng)路由器或主機(jī)收到一個(gè)數(shù)據(jù)包時(shí)，它會(huì)查詢路由表，并根據(jù)表中的信息來選擇下一跳路由器或直接轉(zhuǎn)發(fā)數(shù)據(jù)包到目的地址。在CentOS7中，路由可分為永久路由和臨時(shí)路由兩種類型。永久路由是通過編輯網(wǎng)絡(luò)配置文件/etc/sysconfig/network-scripts/route-<interface>來配置的，其中<interface>是要配置路由的網(wǎng)絡(luò)接口名稱。完成配置后，保存并退出文件，然后重啟網(wǎng)絡(luò)服務(wù)使路由配置生效。臨時(shí)路由是在系統(tǒng)運(yùn)行期間動(dòng)態(tài)添加的路由，它們不會(huì)在網(wǎng)絡(luò)服務(wù)重啟后保持。防火墻概念與區(qū)域管理Firewalld是一個(gè)動(dòng)態(tài)防火墻管理工具，用于定義網(wǎng)絡(luò)區(qū)域中的網(wǎng)絡(luò)鏈接和接口的安全級(jí)別。它支持IPv4、IPv6防火墻設(shè)置及以太網(wǎng)橋接，并且擁有運(yùn)行時(shí)配置和永久配置選項(xiàng)。它也支持允許服務(wù)或者應(yīng)用程序直接添加防火墻規(guī)則接口。它工作在網(wǎng)絡(luò)層，屬于包過濾防火墻。Firewalld引入了一個(gè)核心概念，即“區(qū)域”（zone）。區(qū)域是預(yù)定義防火墻策略集合，用于簡(jiǎn)化網(wǎng)絡(luò)訪問管理。用戶可根據(jù)實(shí)際生產(chǎn)場(chǎng)景選擇合適區(qū)域，從而實(shí)現(xiàn)防火墻策略之間的快速切換。按照firewalld提供的區(qū)域從不信任到信任排序包括丟棄區(qū)域（DropZone）、阻塞區(qū)域（BlockZone）、公共區(qū)域（PublicZone）、外部區(qū)域（ExternalZone）、隔離區(qū)域（DMZZone）、工作區(qū)域（WorkZone）、家庭區(qū)域（HomeZone）、內(nèi)部區(qū)域（InternalZone）和信任區(qū)域（TrustedZone）。路由表與防火墻配置04網(wǎng)絡(luò)管理實(shí)踐任務(wù)虛擬網(wǎng)絡(luò)編輯與IP設(shè)置為了實(shí)現(xiàn)主機(jī)和虛擬機(jī)之間的通信，首先需要編輯虛擬機(jī)網(wǎng)絡(luò)。在虛擬網(wǎng)絡(luò)編輯器中，可以更改子網(wǎng)IP、添加映射傳入端口等設(shè)置。例如，可以將主機(jī)端口設(shè)置為10000以上，類型選擇TCP，輸入虛擬機(jī)IP地址和虛擬機(jī)端口號(hào)為22。接下來，需要設(shè)置主機(jī)VMnet的IP地址。進(jìn)入網(wǎng)絡(luò)連接界面，選擇相應(yīng)的VMnet圖標(biāo)，進(jìn)入屬性設(shè)置界面，輸入IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)和DNS等信息。在虛擬機(jī)中，需要編輯網(wǎng)絡(luò)接口文件/etc/sysconfig/network-scripts/ifcfg-ens33，將BOOTPROTO設(shè)置為static，ONBOOT設(shè)置為yes，并添加相應(yīng)的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)和DNS等信息。保存退出后，執(zhí)行systemctlrestartnetwork命令使網(wǎng)絡(luò)重啟。通信驗(yàn)證與命令應(yīng)用配置完成后，可以通過ping命令驗(yàn)證主機(jī)和虛擬機(jī)之間是否能夠互通。在虛擬機(jī)中執(zhí)行ping0命令，可以看到虛擬機(jī)能ping通主機(jī)地址；在主機(jī)命令行執(zhí)行類似命令，也可以看到主機(jī)能ping通虛擬機(jī)地址。通過上述操作，實(shí)現(xiàn)了主機(jī)和虛擬機(jī)之間的通信。這一過程涉及到虛擬網(wǎng)絡(luò)的編輯、IP地址的設(shè)置以及網(wǎng)絡(luò)接口文件的配置等步驟，確保了主機(jī)和虛擬機(jī)能夠在同一網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)傳輸和通信。主機(jī)與虛擬機(jī)通信配置0102網(wǎng)絡(luò)拓?fù)錁?gòu)建與設(shè)備添加為了模擬不同子網(wǎng)間主機(jī)通信，需要構(gòu)建一個(gè)包含多個(gè)子網(wǎng)和主機(jī)的網(wǎng)絡(luò)拓?fù)?。例如，添?臺(tái)主機(jī)Server02、Server12和Server03，以及3個(gè)子網(wǎng)、和。Server01需要添加2個(gè)網(wǎng)絡(luò)接口，分別接入和子網(wǎng)，對(duì)應(yīng)IP地址分別為20和20。在虛擬網(wǎng)絡(luò)編輯器中，按照指定的子網(wǎng)信息添加相應(yīng)的虛擬網(wǎng)絡(luò)。例如，添加VMnet2、VMnet3和VMnet12，并分別配置其子網(wǎng)為、和。在添加虛擬網(wǎng)絡(luò)時(shí)，需要注意取消所有子網(wǎng)的DHCP服務(wù)，以避免IP地址沖突。接下來，為Server01添加網(wǎng)絡(luò)適配器。在虛擬機(jī)設(shè)置中，選擇添加硬件，添加網(wǎng)絡(luò)適配器，并為其配置相應(yīng)的子網(wǎng)。例如，為Server01添加2張網(wǎng)絡(luò)適配器，分別配置為VMnet2和VMnet3。啟動(dòng)虛擬機(jī)后，進(jìn)入命令行模式，查看網(wǎng)絡(luò)適配器信息，并為新增的網(wǎng)絡(luò)適配器配置IP地址。路由配置與通信測(cè)試為了實(shí)現(xiàn)不同子網(wǎng)之間的通信，需要進(jìn)行路由配置。在Server12中，編輯路由文件/etc/sysconfig/network-scripts/route-ens33，添加到2網(wǎng)段的路由規(guī)則，例如/24via0。保存退出后，重啟網(wǎng)絡(luò)服務(wù)，并開啟Server02的路由轉(zhuǎn)發(fā)功能，執(zhí)行echo1>/proc/sys/net/ipv4/ip_forward命令。配置完成后，進(jìn)行通信測(cè)試。在Server12上，使用ping命令測(cè)試0和20的連通性。測(cè)試結(jié)果顯示，能夠成功ping通0，但無(wú)法ping通20。這表明路由配置還需要進(jìn)一步優(yōu)化。接下來，在Server01上編輯路由文件/etc/sysconfig/network-scripts/route-ens34，添加到12網(wǎng)段的路由規(guī)則，例如/24via0。保存退出后，重啟網(wǎng)絡(luò)服務(wù)，并再次開啟路由轉(zhuǎn)發(fā)功能。再次在Server12上測(cè)試20的連通性，結(jié)果顯示能夠成功ping通。通過上述路由配置和通信測(cè)試，實(shí)現(xiàn)了不同子網(wǎng)之間的通信。這一過程涉及到網(wǎng)絡(luò)拓?fù)涞臉?gòu)建、設(shè)備的添加、路由文件的編輯以及路由轉(zhuǎn)發(fā)功能的開啟等步驟，確保了不同子網(wǎng)中的主機(jī)能夠相互訪問和通信。不同網(wǎng)段通信配置Tomcat服務(wù)部署與訪問在Server01上部署Tomcat服務(wù)，需要上傳Linux版本的JDK和Tomcat到指定目錄。首先，解壓Tomcat壓縮包，并重命名為tomcat8.5。然后，解壓JDK壓縮包，并重命名為jdk1.8。接下來，配置JDK環(huán)境變量。打開/etc/profile文件，在文件最后添加相應(yīng)的環(huán)境變量配置信息，例如exportJAVA_HOME=/usr/jdk/jdk1.8等。保存退出后，執(zhí)行source/etc/profile命令使系統(tǒng)變量生效。切換到Tomcat的bin目錄，執(zhí)行./startup.sh命令啟動(dòng)Tomcat服務(wù)。啟動(dòng)成功后，可以通過curlhttp://localhost:8080命令驗(yàn)證Tomcat是否能夠正常訪問。在Server12上，使用ping命令測(cè)試Server01的IP地址，能夠成功ping通，但使用curl命令訪問Tomcat服務(wù)時(shí)，提示Noroutetohost。為了使Server12能夠訪問Server01上的Tomcat服務(wù)，需要關(guān)閉Server01的防火墻。執(zhí)行systemctlstopfirewalld命令后，再次在Server12上使用curl命令訪問Tomcat服務(wù)，能夠成功訪問。防火墻白名單與NAT轉(zhuǎn)發(fā)配置關(guān)閉防火墻雖然可以使Server12訪問Tomcat服務(wù)，但這種方式存在安全隱患。因此，需要使用防火墻白名單來限制訪問。啟動(dòng)Server01的防火墻，執(zhí)行systemctlrestartfirewalld命令。使用firewall-cmd命令添加防火墻白名單規(guī)則，例如firewall-cmd--permanent--add-rich-rule="rulefamily="ipv4"sourceaddress="/24"portprotocol="tcp"port="8080"accept"。執(zhí)行命令后，重啟防火墻使規(guī)則生效。接下來，配置防火墻的NAT轉(zhuǎn)發(fā)功能。執(zhí)行firewall-cmd--add-masquerade--permanent命令啟用地址偽裝功能，然后執(zhí)行firewall-cmd--add-rich-rule='rulefamily="ipv4"sourceaddress="/24"forward-portport="12000"protocol="tcp"to-port="22"to-addr="0"'--permanent命令添加端口轉(zhuǎn)發(fā)規(guī)則。最后，執(zhí)行firewall-cmd--reload命令重新加載防火墻配置，并開啟路由轉(zhuǎn)發(fā)功能。配置完成后，進(jìn)行驗(yàn)證。在Server02、Server12和Server03上分別使用curl命令訪問Server01上的Tomcat服務(wù)。結(jié)果顯示，只有子網(wǎng)2能夠訪問Tomcat服務(wù)，其他子網(wǎng)無(wú)法訪問。這表明防火墻白名單配置成功。在主機(jī)上使用SSH登錄Server01的12000端口，通過NAT轉(zhuǎn)發(fā)功能，可以成功登錄到Server02。這驗(yàn)證了NAT轉(zhuǎn)發(fā)配置的有效性。通過上述Tomcat服務(wù)部署、防火墻白名單和NAT轉(zhuǎn)發(fā)配置，實(shí)現(xiàn)了Web服務(wù)的安全訪問和網(wǎng)絡(luò)地址轉(zhuǎn)換。這一過程涉及到軟件的安裝與配置、防火墻規(guī)則的設(shè)置以及網(wǎng)絡(luò)轉(zhuǎn)發(fā)功能的啟用等步驟，確保了Web服務(wù)能夠在安全的網(wǎng)絡(luò)環(huán)境中被訪問，同時(shí)滿足了不同網(wǎng)絡(luò)環(huán)境下的訪問需求。Web服務(wù)與防火墻配置05網(wǎng)絡(luò)管理職業(yè)規(guī)范與拓展安全性與穩(wěn)定性原則在進(jìn)行網(wǎng)絡(luò)配置操作時(shí)，必須始終將安全性放在首位，確保網(wǎng)絡(luò)不受未經(jīng)授權(quán)的訪問和攻擊。使用安全的通信協(xié)議和端口進(jìn)行數(shù)據(jù)傳輸，并確保網(wǎng)絡(luò)環(huán)境已正確配置，包括IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)等。網(wǎng)絡(luò)配置應(yīng)確保網(wǎng)絡(luò)的穩(wěn)定性和可靠性，避免由于配置錯(cuò)誤導(dǎo)致的網(wǎng)絡(luò)中斷或性能下降。在配置路由規(guī)則時(shí)，應(yīng)明確不同網(wǎng)段之間的通信需求，選擇合適的路由策略，避免配置復(fù)雜的路由規(guī)則，以免引發(fā)路由環(huán)路或通信故障。定期檢查路由表的正確性，確保網(wǎng)絡(luò)數(shù)據(jù)包能夠按照預(yù)定路徑正確傳輸。防火墻與文檔化管理在配置firewalld黑白名單時(shí)，應(yīng)明確訪問控制策略，只允許必要的IP地址或網(wǎng)絡(luò)訪問特定的服務(wù)或端口。定期檢查黑白名單的有效性，確保其符合當(dāng)前的安全需求。避免將重要的IP地址或網(wǎng)絡(luò)錯(cuò)誤地加入黑名單，以免導(dǎo)致服務(wù)中斷或通信故障。定期檢查和更新防火墻規(guī)則，確保通信的暢通和安全。所有網(wǎng)絡(luò)配置操作必須詳細(xì)記錄，包括配置步驟、參數(shù)設(shè)置和測(cè)試結(jié)果，以便于后續(xù)維護(hù)和管理。文檔化記錄是網(wǎng)絡(luò)管理的重要環(huán)節(jié)，它有助于快速定位問題、進(jìn)行故障排查和進(jìn)行系統(tǒng)升級(jí)。通過詳細(xì)的文檔記錄，可以確保網(wǎng)絡(luò)配置的可追溯性和可維護(hù)性。職業(yè)規(guī)范與文檔化要求01.02.分布式存儲(chǔ)系統(tǒng)相關(guān)產(chǎn)品基于Linux系統(tǒng)的分布式存儲(chǔ)系統(tǒng)相關(guān)產(chǎn)品包括Hadoop、Spark和Kafka等。Hadoop是一個(gè)開源的分布式處理框架，其HDFS組件是分布式存儲(chǔ)系統(tǒng)的一部