RHCE 系列(一):如何设置和测试静态网络路由

RHCE(Red Hat Certified Engineer,红帽认证工程师)是红帽公司的一个认证,红帽向企业社区贡献开源操作系统和软件,同时它还给公司提供训练、支持和咨询服务。

RHCE 考试准备指南

这个 RHCE 是一个绩效考试(代号 EX300),面向那些拥有更多的技能、知识和能力的红帽企业版 Linux(RHEL)系统高级系统管理员。

重要: 获得RHCE 认证前需要先有 红帽认证系统管理员认证Red Hat Certified System Administrator,RHCSA。

以下是基于红帽企业版 Linux 7 考试的考试目标,我们会在该 RHCE 系列中分别介绍:

  • 第一部分:如何在 RHEL 7 中设置和测试静态路由
  • 第二部分:如何进行包过滤、网络地址转换和设置内核运行时参数
  • 第三部分:如何使用 Linux 工具集产生和发送系统活动报告
  • 第四部分:使用 Shell 脚本进行自动化系统维护
  • 第五部分:如何在 RHEL 7 中管理系统日志(配置、轮换和导入到数据库)
  • 第六部分:设置 Samba 服务器并配置 FirewallD 和 SELinux 支持客户端文件共享
  • 第七部分:设置 NFS 服务器及基于 Kerberos 认证的客户端
  • 第八部分:在 Apache 上使用网络安全服务(NSS)通过 TLS 提供 HTTPS 服务
  • 第九部分:如何使用无客户端配置来设置 Postfix 邮件服务器(SMTP)
  • 第十部分:在 RHEL/CentOS 7 中设置网络时间协议(NTP)服务器
  • 第十一部分:如何配置一个只缓存的 DNS 服务器

在你的国家查看考试费用和注册考试,可以到 RHCE 认证 网页。

在 RHCE 的第一和第二部分,我们会介绍一些基本的但典型的情形,也就是静态路由原理、包过滤和网络地址转换。

RHCE 系列第一部分:设置和测试网络静态路由

请注意我们不会作深入的介绍,但以这种方式组织内容能帮助你开始第一步并继续后面的内容。

红帽企业版 Linux 7 中的静态路由

现代网络的一个奇迹就是有很多可用设备能将一组计算机连接起来,不管是在一个房间里少量的机器还是在一栋建筑物、城市、国家或者大洲之间的多台机器。

然而,为了能在任意情形下有效的实现这些,需要对网络包进行路由,或者换句话说,它们从源到目的地的路径需要按照某种规则。

静态路由是为网络包指定一个路由的过程,而不是使用网络设备提供的默认网关。除非另有指定静态路由,网络包会被导向默认网关;而静态路由则基于预定义标准所定义的其它路径,例如数据包目的地。

我们在该篇指南中会考虑以下场景。我们有一台 RHEL 7,连接到 1号路由器 [192.168.0.1] 以访问因特网以及 192.168.0.0/24 中的其它机器。

第二个路由器(2号路由器)有两个网卡:enp0s3 同样连接到路由器1号以访问互联网,及与 RHEL 7 和同一网络中的其它机器通讯,另外一个网卡(enp0s8)用于授权访问内部服务所在的 10.0.0.0/24 网络,例如 web 或数据库服务器。

该场景可以用下面的示意图表示:

静态路由网络示意图

在这篇文章中我们会集中介绍在 RHEL 7 中设置路由表,确保它能通过1号路由器访问因特网以及通过2号路由器访问内部网络。

在 RHEL 7 中,你可以通过命令行用 ip 命令 配置和显示设备和路由。这些更改能在运行的系统中及时生效,但由于重启后不会保存,我们会使用 /etc/sysconfig/network-scripts 目录下的 ifcfg-enp0sX 和 route-enp0sX 文件永久保存我们的配置。

首先,让我们打印出当前的路由表:


  1. # ip route show

检查当前路由表

从上面的输出中,我们可以得出以下结论:

  • 默认网关的 IP 是 192.168.0.1,可以通过网卡 enp0s3 访问。
  • 系统启动的时候,它启用了到 169.254.0.0/16 的 zeroconf 路由(只是在本例中)。也就是说,如果机器设置通过 DHCP 获取 IP 地址,但是由于某些原因失败了,它就会在上述网段中自动分配到一个地址。这一行的意思是,该路由会允许我们通过 enp0s3 和其它没有从 DHCP 服务器中成功获得 IP 地址的机器机器相连接。
  • 最后,但同样重要的是,我们也可以通过 IP 地址是 192.168.0.18 的 enp0s3 与 192.168.0.0/24 网络中的其它机器连接。

下面是这样的配置中你需要做的一些典型任务。除非另有说明,下面的任务都在2号路由器上进行。

确保正确安装了所有网卡:


  1. # ip link show

如果有某块网卡停用了,启动它:


  1. # ip link set dev enp0s8 up

分配 10.0.0.0/24 网络中的一个 IP 地址给它:


  1. # ip addr add 10.0.0.17 dev enp0s8

噢!我们分配了一个错误的 IP 地址。我们需要删除之前分配的那个并添加正确的地址(10.0.0.18):


  1. # ip addr del 10.0.0.17 dev enp0s8
  2. # ip addr add 10.0.0.18 dev enp0s8

现在,请注意你只能添加一个通过网关到目标网络的路由,网关需要可以访问到。因为这个原因,我们需要在 192.168.0.0/24 范围中给 enp0s3 分配一个 IP 地址,这样我们的 RHEL 7 才能连接到它:


  1. # ip addr add 192.168.0.19 dev enp0s3

最后,我们需要启用包转发:


  1. # echo "1" > /proc/sys/net/ipv4/ip_forward

并停用/取消防火墙(从现在开始,直到下一篇文章中我们介绍了包过滤):


  1. # systemctl stop firewalld
  2. # systemctl disable firewalld

回到我们的 RHEL 7(192.168.0.18),让我们配置一个通过 192.168.0.19(2号路由器的 enp0s3)到 10.0.0.0/24 的路由:


  1. # ip route add 10.0.0.0/24 via 192.168.0.19

之后,路由表看起来像下面这样:


  1. # ip route show

确认网络路由表

同样,在你尝试连接的 10.0.0.0/24 网络的机器中添加对应的路由:


  1. # ip route add 192.168.0.0/24 via 10.0.0.18

你可以使用 ping 测试基本连接:

在 RHEL 7 中运行:


  1. # ping -c 4 10.0.0.20

10.0.0.20 是 10.0.0.0/24 网络中一个 web 服务器的 IP 地址。

在 web 服务器(10.0.0.20)中运行


  1. # ping -c 192.168.0.18

192.168.0.18 也就是我们的 RHEL 7 机器的 IP 地址。

另外,我们还可以使用 tcpdump(需要通过 yum install tcpdump 安装)来检查我们 RHEL 7 和 10.0.0.20 中 web 服务器之间的 TCP 双向通信。

首先在第一台机器中启用日志:


  1. # tcpdump -qnnvvv -i enp0s3 host 10.0.0.20

在同一个系统上的另一个终端,让我们通过 telnet 连接到 web 服务器的 80 号端口(假设 Apache 正在监听该端口;否则应在下面命令中使用正确的监听端口):


  1. # telnet 10.0.0.20 80

tcpdump 日志看起来像下面这样:

检查服务器之间的网络连接

通过查看我们 RHEL 7(192.168.0.18)和 web 服务器(10.0.0.20)之间的双向通信,可以看出已经正确地初始化了连接。

请注意你重启系统后会丢失这些更改。如果你想把它们永久保存下来,你需要在我们运行上面的命令的相同系统中编辑(如果不存在的话就创建)以下的文件。

尽管对于我们的测试例子不是严格要求,你需要知道 /etc/sysconfig/network 包含了一些系统范围的网络参数。一个典型的 /etc/sysconfig/network 看起来类似下面这样:


  1. # Enable networking on this system?
  2. NETWORKING=yes
  3. # Hostname. Should match the value in /etc/hostname
  4. HOSTNAME=yourhostnamehere
  5. # Default gateway
  6. GATEWAY=XXX.XXX.XXX.XXX
  7. # Device used to connect to default gateway. Replace X with the appropriate number.
  8. GATEWAYDEV=enp0sX

当需要为每个网卡设置特定的变量和值时(正如我们在2号路由器上面做的),你需要编辑/etc/sysconfig/network-scripts/ifcfg-enp0s3 和 /etc/sysconfig/network-scripts/ifcfg-enp0s8 文件。

下面是我们的例子,


  1. TYPE=Ethernet
  2. BOOTPROTO=static
  3. IPADDR=192.168.0.19
  4. NETMASK=255.255.255.0
  5. GATEWAY=192.168.0.1
  6. NAME=enp0s3
  7. ONBOOT=yes

以及


  1. TYPE=Ethernet
  2. BOOTPROTO=static
  3. IPADDR=10.0.0.18
  4. NETMASK=255.255.255.0
  5. GATEWAY=10.0.0.1
  6. NAME=enp0s8
  7. ONBOOT=yes

其分别对应 enp0s3 和 enp0s8。

由于要为我们的客户端机器(192.168.0.18)进行路由,我们需要编辑 /etc/sysconfig/network-scripts/route-enp0s3


  1. 10.0.0.0/24 via 192.168.0.19 dev enp0s3

现在reboot你的系统,就可以在路由表中看到该路由规则。

总结

在这篇文章中我们介绍了红帽企业版 Linux 7 的静态路由。尽管场景可能不同,这里介绍的例子说明了所需的原理以及进行该任务的步骤。结束之前,我还建议你看一下 Linux 文档项目The Linux Documentation Project网站上的《安全加固和优化 LinuxSecuring and Optimizing Linux》的第四章,以了解这里介绍主题的更详细内容。

在下篇文章中我们会介绍数据包过滤和网络地址转换,结束 RHCE 验证需要的网络基本技巧。

本文来自合作伙伴“Linux中国”,原文发布日期:2015-10-22

时间: 2025-01-20 09:48:29

RHCE 系列(一):如何设置和测试静态网络路由的相关文章

RHCE 系列(二):如何进行包过滤、网络地址转换和设置内核运行时参数

正如第一部分("设置静态网络路由")提到的,在这篇文章(RHCE 系列第二部分),我们首先介绍红帽企业版 Linux 7(RHEL)中包过滤和网络地址转换(NAT)的原理,然后再介绍在某些条件发生变化或者需要变动时设置运行时内核参数以改变运行时内核行为. RHCE 第二部分:网络包过滤 RHEL 7 中的网络包过滤 当我们讨论数据包过滤的时候,我们指防火墙读取每个试图通过它的数据包的包头所进行的处理.然后,根据系统管理员之前定义的规则,通过采取所要求的动作过滤数据包. 正如你可能知道的

RHCE 系列(十):在 RHEL/CentOS 7 中设置 NTP(网络时间协议)服务器

RHCE 系列(十):在 RHEL/CentOS 7 中设置 NTP(网络时间协议)服务器 网络时间协议 - NTP - 是运行在传输层 123 号端口的 UDP 协议,它允许计算机通过网络同步准确时间.随着时间的流逝,计算机内部时间会出现漂移,这会导致时间不一致问题,尤其是对于服务器和客户端日志文件,或者你想要复制服务器的资源或数据库. 在 CentOS 和 RHEL 7 上安装 NTP 服务器 前置要求: CentOS 7 安装过程 RHEL 安装过程 额外要求: 注册并启用 RHEL 7

RHCE 系列(八):在 Apache 上使用网络安全服务(NSS)实现 HTTPS

RHCE 系列(八):在 Apache 上使用网络安全服务(NSS)实现 HTTPS 如果你是一个负责维护和确保 web 服务器安全的系统管理员,你需要花费最大的精力确保服务器中处理和通过的数据任何时候都受到保护. RHCE 系列:第八部分 - 使用网络安全服务(NSS)为 Apache 通过 TLS 实现 HTTPS 为了在客户端和服务器之间提供更安全的连接,作为 HTTP 和 SSL(Secure Sockets Layer安全套接层)或者最近称为 TLS(Transport Layer S

RHCE 系列(六):安装 Samba 并配置 Firewalld 和 SELinux,和 Windows 共享文件

由于计算机很少作为一个独立的系统工作,作为一个系统管理员或工程师,就应该知道如何在有多种类型的服务器之间搭设和维护网络. 在本篇以及该系列后面的文章中,我们会介绍用 Windows/Linux 配置 Samba 和 NFS 服务器以及 Linux 客户端. RHCE 系列第六部分 - 设置 Samba 文件共享 如果有人让你设置文件服务器用于协作或者配置很可能有多种不同类型操作系统和设备的企业环境,这篇文章就能派上用场. 由于你可以在网上找到很多关于 Samba 和 NFS 背景和技术方面的介绍

RHCE 系列(七):在 Linux 客户端配置基于 Kerberos 身份验证的 NFS 服务器

RHCE 系列(七):在 Linux 客户端配置基于 Kerberos 身份验证的 NFS 服务器 在本系列的前一篇文章,我们回顾了如何在可能包括多种类型操作系统的网络上配置 Samba 共享.现在,如果你需要为一组类 Unix 客户端配置文件共享,很自然的你会想到网络文件系统,或简称 NFS. RHCE 系列:第七部分 - 设置使用 Kerberos 进行身份验证的 NFS 服务器 在这篇文章中我们会介绍配置基于 Kerberos 身份验证的 NFS 共享的整个流程.假设你已经配置好了一个 N

RHCE 系列(九):如何使用无客户端配置 Postfix 邮件服务器(SMTP)

RHCE 系列(九):如何使用无客户端配置 Postfix 邮件服务器(SMTP) 尽管现在有很多在线联系方式,电子邮件仍然是一个人传递信息给远在世界尽头或办公室里坐在我们旁边的另一个人的有效方式. 下面的图描述了电子邮件从发送者发出直到信息到达接收者收件箱的传递过程. 电子邮件如何工作 要实现这一切,背后发生了好多事情.为了使电子邮件信息从一个客户端应用程序(例如 Thunderbird.Outlook,或者 web 邮件服务,例如 Gmail 或 Yahoo 邮件)投递到一个邮件服务器,并从

[译] 深度学习系列1:设置 AWS & 图像识别

本文讲的是[译] 深度学习系列1:设置 AWS & 图像识别, 原文地址:Deep Learning #1: Setting up AWS & Image Recognition 原文作者:Rutger Ruizendaal 译文出自:掘金翻译计划 本文永久链接:github.com/xitu/gold-m- 译者:TobiasLee 校对者:Tina92 sqrthree 这篇文章是深度学习系列的第一部分.你可以在这里查看第二部分,以及这里查看第三部分. 本周的任务:对猫和狗的图像进行分

SQLTest系列之参数化INSERT语句测试

场景引入 上文说书到"SQLTest系列之INSERT语句简单测试",于是,菜鸟想深入了解:"在现实业务场景中,实际的表数据不可能是完全一样的.所以,我们需要完全模拟实际场景,如何将表数据完全参数化的方式来INSERT到表中呢?".带着问题来研究SQLTest,问题快速的迎刃而解. 环境准备 随着研究的深入,菜鸟了解到SQLTest的强大,SQLTest支持将一个存储过程的输出结果集做为插入表数据的来源,先来初始化测试环境吧. 创建测试对象 首先,我们需要创建一系列

RHCE 系列(四): 使用 Shell 脚本自动化 Linux 系统维护任务

之前我听说高效的系统管理员的一个特点是懒惰.一开始看起来很矛盾,但作者接下来解释了其中的原因: RHCE 系列:第四部分 - 自动化 Linux 系统维护任务 如果一个系统管理员花费大量的时间解决问题以及做重复的工作,你就应该怀疑他这么做是否正确.换句话说,一个高效的系统管理员/工程师应该制定一个计划使得其尽量花费少的时间去做重复的工作,以及通过使用本系列中第三部分 使用 Linux 工具集监视系统活动报告 介绍的工具来预见问题.因此,尽管看起来他/她没有做很多的工作,但那是因为 shell 脚