第 章 配置TCPIP网络

Standardizationofsanygroup#QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#第章配置TCPIP网络下载第3章配置TCP/IP网络开始之前需要的信息在设置网络软件之前，需要知道一些有关的网络结构的信息，你的网络“提供者”或“管理者”将提供这些信息。IP地址这是每一台机器惟一的地址，由四个十进制字段组合起来。例如：某个数，网络管理者会提供你这些信息。若是使用slip或plip的联线，可能不需要这些信息，可以略过不读。如果只是使用loopback设备(也就是说不连以太网络、slip或plip支持)，将不需要IP地址因为loopbackport总是使用为本机地址。网络掩码为了执行效率起见，需要限制网络上的特定区段的主机数，通常网络管理者把他们的网络分成几个子网(subnet)，然后分配每个子网一部份IP地址，当网络掩码(NetworkMask)按位AND你自己的网络上的IP地址时，就得到它所在的子网地址。这对路由来说很重要。网络管理者在网络被规划时，就已选定了网络掩码，因此他将提供你正确的网络掩码。大部分C类子网，都使用作为网络掩码，其他大的网络使用B类网络掩码()。当你分配一个地址给一个设备的时候，NET-2/NET-3程序将自动地选择内定的网络掩码、内定值。假设你的网络还没被划分为子网，NET-2/NET-3程序会选择以下的设置作为内定信息。对于网络地址的第一个字节：1～127(ClassA)128～191(ClassB)192--(ClassC)如果以上这些都不能运行，试试其他的。如果都还不行，请询问你的网络管理者，不必担心loopback端口的网络掩码，除非你运行的是slip/plip。网络地址(NetworkAddress)它是使用你的网络掩码所运算出来的地址。IP地址与网络掩码按位进行AND运算。例如：你的网络掩码：你的IP地址：你的网络地址：广播地址(BroadcastAddress)广播地址是以你的网络地址与掩码做XOR运算后得到的。以下是一个简单的范例：下载第3章配置TCP/IP网络用用59你的掩码是：你的网络地址是：XOR)则你的广播地址为：注意一个由来已久的原因：一些网络以网络地址当作广播地址，如果你有疑问，请与网络管理员联系。如果能使用sniffer，或其他能提供你追踪网络流量的工具的话，你就可以通过查看其他LAN的流量，来决定网络地址及广播地址，注意，除了往广播地址ff：ff：ff：ff：ff：ff流去的以太网包之外的每个封包。如果其中有一个你的区域的路由器的IP源地址，而且protocolID不是ARP的话，要检查目的IP地址，因为这个封包可能真的是个从你的路由器广播出去的RIP，这种情况下目的IP地址将是你的广播地址。再次警告，如果你不能确定，一定要跟网络管理员联系，他们的帮助比你用设置错的机器来连网络还有利。网关地址(Router/GatewayAddress)这是一个将你的LAN连至Internet的机器的地址，那是你的电脑连到外面网络的穿堂，有许多的先例可用来分配地址给路由器，你也可以引用，有两种：1)路由器使用最低的address。2)路由器使用最高的数字。可能最常用的是第一个，路由器会拥有一个地址，大部分会跟你的一样，除了最后一个字节是“.1”之外。例如：假如你的地址是128.253.154.32，那你的路由器可能是。路由器实际上可以使用任何网络上可用的地址，仍能正常工作，跟地址丝毫没有关系。一个网络上可能有好几个路由器，你可能要向网络管理者询问看看，以得到一个合适的路由器地址。如果你使用loopback的方式，就不需要路由器地址。如果你使用PPP，那也不需要知道你的路由器地址，因为PPP会自动替你决定正确的路由地址。如果你使用SLIP，你的路由器地址将会是你的SLIPserver的地址。名字服务器地址(NameserverAddress)大部分网络上的机器都使用名字服务器，名字服务器负责翻译主机名(hostname)与IP地址等等，你的网管会告诉你网络上最近的名字服务器，你也可以在自己的机器上运行一个nameserverdaemon(named)，而你的名字服务器就要设成(也就是loopback的端口地址)。不过，也没必要在自己的机器上运行named，需要的话可看named的manual。如果只使用loopback，那就不需要知道名字服务器地址，因为你只跟自己的机器相联。用netcfg配置网络图3-1中所显示的网络配置工具(netcfg)用来简便地操纵各种参数，诸如IP地址、网关地址、网络地址，还有域名服务器及/etc/hosts等。可以增加、删除、配置、激活和关闭网络设备，以及取别名等，支持Ethernet、arcnet、tokenring、pocket(ATP)、PPP、SLIP、PLIP以及loopback设备。对PPP/SLIP/PLIP的支持在大多数硬件平台上都支持得很好。但是有一些硬件配置将会产生不可预料的结果。当使用网60使用Linux网站建设技术指南下载络配置工具时，点击Save将所做修改保存到硬盘上，若不想修改而直接退出的话，直接点击Quit即可。图3-1操纵名字网络配置工具的“名字”选项有两个主要的功用:设置主机名和计算机域名以及设定将使用哪一个域名服务器用于网络上计算机的查找。网络配置工具并不能将一台机器配置为域名服务器。编辑一个域或增添新的信息只需用鼠标左键点击某个域然后键入所需的信息。操纵主机可以在HOST管理面板中，增加、编辑和删除/etc/hosts中的 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 。增加或编辑一条记录的方法是相同的，将会弹出一个编辑对话框，只在其中输入新的信息然后点击Done就行了。图3-2是一个增加/编辑主机的例子。图3-2下载第3章配置TCP/IP网络用用61增加网络接口设备如果你是在安装了RedHatLinux之后又装了一块网络设备，或者没有在安装时配置以太网卡，点几下鼠标就可以完成所需的配置。在开始添加一个新接口以前点击主面板上的Interface，将会调出列有若干已配置设备及其选项的列表，见图3-3。图3-3要增加一个设备，则首先点击Add按钮，然后选择要增加的接口类型，如图3-4所示。注意现在netcfg中有一个clone按钮。用以“克隆”一个已存在的接口设备。通过使用克隆出来的接口设备，就可以方便地为一台膝上电脑配置一个以太网卡用于办公局域网，而另一个用于家庭局域网。增加一个PPP设备很简单，只需在图3-5的对话框中填入电话号码，登入用户、口令。如果你的PPP连接使用PAP认证，就选择UsePAPauthentication。在许多情况下，为建立一条PPP连接还需要一些定制信息。选择Customize按钮对指定PPP接口进行硬件、通信和网络设置进行定制修改。图3-4图3-562使用Linux网站建设技术指南下载1.SLIP接口为了配置一个SLIP接口，必须首先提供电话号码、用户和口令。这将为建立SLIP连接的chat脚本提供初始化的参数。选择Done以后将会弹出一个标题为EditSLIPInterface的对话框以供进一步定制该SLIP接口的硬件、通信和网络参数。2.PLIP接口为了给系统增加一个PLIP接口，只需提供IP地址、远端IP地址和网络掩码。你还可以选择是否在boot激活该接口设备。关于PPP、SLIP和PLIP详细介绍，请参阅有关章节。3.Ethernet、Arcnet、TokenRing和PocketAdaptor接口如果要为计算机增加ethernet、arcnet、tokenring或pocket适配器的话，需要提供如下信息：Device：由netconfig根据预先配置的设备来决定的。IPAddress:为该网络设备设定一个IP地址。Netmask:为该网络设备设置网络掩码。网络和广播地址将根据你输入的IP地址和网络掩码自动算出。Activateinterfaceatboottime:如果希望系统在boot时自动配置该设备的话，就选择该项。Allowanyuserto(de)activateinterface:如果希望任何用户均能启停该设备的话，就选择该项。Interfaceconfigurationprotocol:如果你所在的网络上运行有BOOTP或DHCP服务器而且想使用它来配置该接口设备，就选择相应的选项，否则就选择none。在输入了新设备的所有信息以后，点击Done，该设备将会列在Interfaces列表中，成为一个非活动设备(活动列将取值为no)。为了激活该设备，首先单击选择它，然后选择Activate按钮。如果它没有被正常激活，则要选择Edit按钮对它进行重新配置。安装网卡首先要指出，Linux对网卡的支持往往是只针对芯片，所以对某些不是很着名的网卡，往往需要知道它的芯片型号以配置Linux。比如笔者的Accton网卡，就不存在Linux的驱动程序，但是由于它和NE2000兼容，所以把它当做NE2000就可以在Linux下用了。当你有一块网卡不能用，在找Linux的驱动程序之前一定搞清楚这个网卡用的什么芯片，跟谁兼容，比如3c509、NE2000、etherexpress等等。这样的型号一般都在网卡上最大的一块芯片上印着，记住芯片的型号。设置网卡模式最普遍使用而且最好配的网卡也许就是NE2000兼容卡了，笔者用它来做例子。注意，实际上很多廉价网卡都是NE2000兼容的。对于NE2000卡，先要做的一件事情，是将网卡设定为Jumpless模式，而很多现在的网卡缺省都是PnP模式，这在Windows95下确实能减少很多麻烦，但是Linux不支持，所以Linux下必须是Jumpless模式。一般所有网卡都带有驱动盘和DOS下可执行的一个设定程序，用该程序将网卡设为Jumpless。当然如果是老型号网卡，本来就不是PnP，这项可以忽略。接下来必须弄清楚网卡的IO地址和IRQ。这是两个非常重要的网卡驱动参数。继续用原下载第3章配置TCP/IP网络用用63来网卡的设定程序，设定完Jumpless之后，可以软设定IO和IRQ。到现在，我们了解到手头的网卡是NE2000兼容，知道了它是在Jumpless模式下，知道了IO地址和IRQ，便可以开始安装了。配置网卡Linux系统与Windows95系统不同的是，它运行在“内核”上。所谓内核，就是把系统最核心的部分孤立出来编程，将各种驱动程序，内存控制等部分编在一起。与Windows95不同，Linux的内核是公开的，而且经常更新，这样便不需要更新整个系统，用户只需要把最新的内核原程序下载下来编译，就可以得到一个支持更多硬件，更多文件系统，更加安全的系统了。所以需要指出，Linux的驱动程序很少有像Windows95下那样是“安装”的。Linux下的驱动程序大多数都是以C程序形式发布，或者在内核中，或者需要用户自己修改内核的源代码。总之要驱动程序运行，最好重新配置编译内核。如果Linux已经装好了，到底用的是什么内核呢一般缺省的Linux内核是从安装盘上来的。这个内核一般包括大多数硬件的驱动程序，比如NE2000卡。所以未必一定要重新编译内核，也许现有的内核就可以驱动。下一步就是把网卡插入计算机，观察Linux能否发现它。这些可以从Linux的启动画面中看出来，如果发现如下的一行:eth0:NE2000cardfoundat0x300usingIRQ05那就说明你很幸运，Linux发现了NE2000卡。如果Linux没有发现你的网卡，但是你确认你网卡的型号和参数，比如笔者的网卡是NE2000兼容，IO0x300，IRQ05。那么可以修改Linux启动文件专门搜索这个设备。这个文件在/etc/里。对于NE2000，是这样的:#/sbin/modprobeneio=0x300#NE2000at0x300将最前面的#号去掉，再启动机器。另外该文件里还可以发现对其他系列网卡如3C系列的autoprobe。如果到现在启动屏幕上也没有出现eth0:NE2000cardfoundat0x300usingIRQ05这样的消息，那就必须编译内核。编译内核之前一定要搞清楚网卡的芯片号。比如笔者有一块SMC的网卡，但是我无法在Linux的内核配置菜单里找到SMC这样的字样，Linux不同于Windows95，没有那么长一串厂商牌号。我在这个SMC的卡上找到了digital21140-AE的字样，于是我知道这个卡用的是DEC21140-AE芯片，按照这个方法寻找，便找到了驱动。知道了芯片类型，或者兼容类型(比如NE2000)就可以开始编译内核了。具体的针对不同系统的内核编译推荐先看看有关内核编译的文章，这里不多作介绍。进入/usr/src/linux运行：makemenuconfig进入菜单配置内核。找到NetworkDeviceSupport后，选择EtherNet，再选择相应的芯片号。如果是ISA系线的NE2000，则选择otherISAcards，选择NE2000/NE1000ISAsupport。如果是PCI的网卡，就选择PCIethernetadapters。注意PCI卡未必都能这样驱动，很多都不行，得另外找驱动程序，比如IntelPCIEtherExpressPro100等。64使用Linux网站建设技术指南下载配置完内核后，运行：makedep;make;makezlilo如果内核选项过多，会出现过大的情况而无法安装。需要把一些不必要的驱动程序去掉。通常这样之后再启动就可以发现网卡了。驱动了网卡，下一步就是设定TCP/IP 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 ，这些将在下面的小节内讲到。根据笔者的 经验 班主任工作经验交流宣传工作经验交流材料优秀班主任经验交流小学课改经验典型材料房地产总经理管理经验 ，Linux下NE2000兼容卡都比较好设置。3com系列的卡也都有支持。至于其他网卡如DEC21140就麻烦得多。另外，有些卡即使用某种芯片也未必能用这个芯片的驱动程序，这种情况就是有驱动程序也不能用，那就需要上网查了。有关IntelEtherexpress系列卡的配置Linux内核中有Etherexpress16的支持，但没有其他卡的驱动程序。在里有关于EtherExpress100Bpro的讨论。在那里可以download到一个c源码的驱动程序，编译进内核就可以了。如果以上方法都试过，而你的网卡的确还是不能被系统识别，那么你只能上网查驱动程序。建议从开始寻找Linux网卡的驱动程序。在那里可以发现的针对网卡的驱动有:DECDC21*4*Tulipchipbasedcards3ComPCIEtherlinkPCIandEISAcardsIntelEtherExpressPro10，0BPro100+andPro10+PCI3c515ISAFastEtherlinkcardSMCEtherPowerII(EPIC/10083c170chip)driverRealTekRTL8129/8139driverLite-Onlc82c168PNICdriver(nowmergedwiththeTulipdriver)MacronixMX98713andASIXexperimentaldriversarenowmergedwiththeTulipdriver).VIARhine(VT86C100Aand3043)driver(nowreleased).Winbondw89c840driver(betatest).Note:thisdriverwaswrittenwithoutofficialdocumentation.TIThunderLANdriver(externallink--Caldera/JamesBanks).HewlettPackard100VGdriverupdates(externallink--Yaroslav).IntelEtherExpressPro/10PCIdriver(remotelink).3c509/3c529/3c57I9SA/MCA/EISAEtherLinkIIIdriverupdate.Thedrivernowdetectsmultiplecardswhenloadedasamodule.AMDLANCE/PCnetdriverupdate.Thedriverisnowusableasaloadablemodule.Cirrus/Crystal/IBMCS8900seriesdriver(remotelink).PCINE2000driver(localpage)PCINE2000updates(remotelink)IntelEtherexpressPro，100DEC21X4*basedboa，rd3ComEtherLinkIIIPCI/EISA(3c5903，c35c95295，3c597，3c9003c905)IntelEtherExpressPro/10PCI9Withi82596Chip)下载第3章配置TCP/IP网络用用65TIThunderLanPCINE2000PacketEngines"Yellowfin"G-NICSMCEtherPowerII(EPIC/10083c170chip)RealTekRTL8129/8139如果这里你还是没有找到相应的网卡驱动程序，建议你上InternetNewsgroup查找。因为你绝对不是第一个在Linux下用这种网卡的用户，你的问题也许已经有人回答过。在这里，将找到满意的答案。网卡配置中的一些疑问1.如何实现一个网卡，多个IP地址在Linux下，一块网卡拥有多个IP地址是可行的，这种技术称做IPAliasing。在老版本内核中，做IPAlias比较繁。新版的就好做多了。在新版的Linux下，如果/proc/net/下有alias_types和aliases两个文件，就表明你的内核支持IPAliasing，否则，重新配制内核。假设已有IP地址为，要增加和，可这样做:#ifconfigeth0:0#routeadd-hostdeveth0:0#ifconfigeth0:1#routeadd-hostdeveth0:12.如何安装双网卡在slackware以后，网卡缺省的是用module方式编译进内核的，而在这种方式下，检测到第一块网卡后就不再进行下一步的检测，所以应该在/etc/里加上/sbin/modprobeneio=0x300，0x330，这里假设用两块NE2000网卡，IO地址分别是0x300，0x330，以下方法是可行的：#/etc/aliaseth0neoptionsneio=0x3，00x330请读者参考/usr/src/linux/Documentations/。路由、网关和IPChains路由和网关的概念目前的局域网大多基于Ethernet(以太网)，这是基于IEEE 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 的一种局域网标准。以太网使用“广播”方式收发信息，具体实现就像这样：网络内部每台计算机拥有一个惟一的地址，每一台计算机发送信息时，将接收者的地址包括在数据包头部(目标地址)。广播方式决定了网络上所有的计算机都能接收到这个数据包，如果一台计算机发现目标地址和本机地址相同，就接受并处理这个数据包，其他的计算机发现目标地址不是本机地址，就把它忽略掉。但是，这种纯粹的广播方式只适合于小型的局域网，对于Internet而言，如果也采取上面提到的简单的方式，就意味着Internet上每一台计算机发出的每一条信息，都要“跑遍”整个Internet，这显然是不可能的。因此，我们必须采取“路由”技术来进行数据包的转发，这相66使用Linux网站建设技术指南下载当于在数据包“广播”的过程中加入了一些“分捡”措施。例如图3-6所示的网络连接，有两个星型连接的子网，计算机Ⅰ发送数据给计算机Ⅲ时，路由器A检测到数据包目标地址在本子网内，就不向外部网络转发数据包。但是，当Ⅰ向计算机Ⅴ发送数据时，A检测到目标地址在本子网外，就将该数据包向外部转发，这个数据包经过一系列类似的转发以后，到达路由器B，B发现目标地址在本子网内，就接受并向子网内转发这个数据包。最后，计算机Ⅴ收到这个数据包。图3-6另一个相似的概念是“网关”，在OSI的术语中，网关(gateway)指的是第七层(应用层)的概念，路由器(router)是第三层(网络层)的概念，但是在TCP/IP术语中，gateway和router是一个意思，在一般的Internet文档中，将IP层路由器称为网关。使用IPChains实现数据包过滤和转发在Linuxkernel中，用ipchains取代ipfwadm，实现IP包的过滤和转发，这也就成为了一个防火墙。下面举出IPChains的具体配置实例。下面的设置启动了一个基本的IP转发系统，禁止IP欺骗，广播包，提供本局域网内部的你使用IP伪装连入Internet，这是企业、实验室等单位利用公用IP上网的通常解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 。本例中的内部网段使用IP地址，eth1为内部网段网卡接口，eth0为外部网段网卡接口。1.文件的配置这部分非常简单，安装完系统后，在/etc/目录下创建一个描述文件，命名为。执行：chmodu+x确保它为可执行文件。然后在文件/etc/中添加一行：/etc/以确保每次机器重新启动后即运行所设定的各项防火墙规则。2.文件的内容下面是需要设置的相关内容：#!/bin/shecho"Startingipchainsfirewallrules..."下载第3章配置TCP/IP网络用用67#refreshallfirewallrules/sbin/ipchains-Fforward/sbin/ipchains-Finput/sbin/ipchains-Foutput#setupdefaultfirewallrul缺e省s(防火墙设置)/sbin/ipchains-PforwardDENY/sbin/ipchains-PinputACCEPT/sbin/ipchains-PoutputACCEPTexternal_interface=setupLoopbackinterface/sbin/ipchains-Ainput-jACCEPT-ilo/sbin/ipchains-Aoutput-jACCEPT-ilo#disablingIPspoofin禁g止(IP欺骗)/sbin/ipchains-Ainput-jDENY-ieth0-s/16/sbin/ipchains-Ainput-jDENY-ieth0-d/16/sbin/ipchains-Aoutput-jDENY-ieth0-s/16/sbin/ipchains-Aoutput-jDENY-ieth0-d/16/sbin/ipchains-Ainput-jDENY-ieth0-s$external_interface/32/sbin/ipchains-Aoutput-jDENY-ieth0-d$external_interface/32#refusepacketsclaimingtobetoorfromtheloopbackinterface/sbin/ipchains-Ainput-jDENY-ieth0-s/8/sbin/ipchains-Ainput-jDENY-ieth0-d/8/sbin/ipchains-Aoutput-jDENY-ieth0-s/8/sbin/ipchains-Aoutput-jDENY-ieth0-d/8#refusebroadcastaddresssourcepack禁e止t广s(播包)/sbin/ipchains-Ainput-jDENY-ieth0-s/sbin/ipchains-Ainput-jDENY-ieth0-d#refusemulticast/anycast/broadcastaddress/sbin/ipchains-Ainput-jDENY-ieth0-s/3#forwardingallinternaltraff转i发c内(部包)/sbin/ipcha-iAnsforward-jACCEPT-ieth1-s192.168.2.0-/d24/24#setupIPMasqueradingrul设es置(IP伪装规则)echo"1">/proc/sys/net/ipv4/ip_forward#addmodulesforftp,cuseeme,irc,realaudio,etc.../sbin/modprobeip_masq_ftp/sbin/modprobeip_masq_quake/sbin/modprobeip_masq_irc/sbin/modprobeip_masq_user/sbin/modprobeip_masq_raudio#startingIPmasqueradin设g置(IP伪装)/sbin/ipchains-Aforward-jMASQ-ieth0-s/24对于最后一部分，如果仅仅希望部分进行IP伪装，也可以个别设置，如：/sbin/ipchains-Aforward-jMASQ-ieth0-s/32/sbin/ipchains-Aforward-jMASQ-ieth0-s/32