下载
本部分包括:
• 协议的配置与调整
• 实现D N S
• 网络管理
• SNMP :简单网络管理协议
• 安全的T C P / I P传送
• 疑难问题解决工具及要点
第35章协议配置与调整
作者:Anne Carasik
本章内容包括:
• 系统初始化问题
• 配置文件
对于任何系统,用户都必须知道系统的初始化过程及配置文件所在的位置。这将有助于
用户更好地调整网络配置及解决可能出现的问题。同时,本章中的某些细节与网络并不直接
相关,而直接与系统本身相关,这些细节将使用户更清楚地理解网络的配置和启动过程。
35.1 系统的初始化问题
当启动U n i x和L i n u x系统时,有大量的问题值得考虑,
其中与网络相关的是网络守护进程—它们何时启动、
什么触发它们运行及哪一些守护进程正在运行等等。
任何一个主流U n i x都有一个“祖父”进程,称
作“i n i t”。在U n i x系统中,i n i t进程创建其他所有进
程,其中包括用户s h e l l及网络进程。
i n i t进程及/ e t c / i n i t t a b文件
U n i x系统由两部分组成:文件及进程。在U n i x
系统中,所有其他进程都由i n i t进程并发创建—最
终,所有的进程都可以通过它们的父进程追溯到i n i t
进程。图3 5 - 1说明i n i t进程与其他进程的链接关系。
因为初始化进程是系统启动过程的最后一步,所以在此之前所有的文件系统都已经过检
测,并且磁盘都已被加载, i n i t进程决定进入哪一种用户模式(单用户或多用户)。某些U n i x系
第九部分使用与管理T C P / I P网络
图35-1 init进程及其子进程
统使用/ e t c / i n i t t a b文件作为i n i t进程的配置脚本,其内容如下:
386使用第九部分使用与管理T C P / I P网络
下载
上述代码来自Red Hat Linux中的/ e t c / i n i t t a b文件,由代码可看出网络在第三运行级被启动。
对于大多数主流U n i x,第三运行级启动的网络进程包括I n t e r n e t守护进程( i n t e d )、N F S、D N S
及S e n d m a i l。
r c系列脚本
为了创建并运行子进程, i n i t进程将运行一系列启动脚本,我们称之为r c系列脚本。这些
脚本启动所需要的网络进程,从而U n i x系统不再是一个“孤立的系统”。
在Red Hat Linix及基于S y s t e m V的操作系统如H P - U X中,i n i t进程运行/ e t c / r c . d / r c 3目录下
的所有网络启动脚本。其他系统可能运行另外的网络启动脚本如r c . M (多用户)或r c . i n e t (适用于
互联网)。系统运行哪些脚本与系统密切相关。
下面,为了保持一致性,我们仍采用Red Hat Linux作为例子。因为本书主要讲解网络部
分,以下仅列出了/ e t c / r c . d / r c 3目录下的文件及子目录。
所有这些文件都启动某个特定的服务。对于第三运行级,除了网络部分,它还启动了一
些别的特性。对于网络,我们可以通过S # #或K # #来判断哪些守护进程被该文件启动( K表示杀
死,S表示启动)。其后的序列号表示某个特定的启动和停止的顺序。
同时,这些脚本还标明了当守护进程初启时,采用哪些属性。
需要注意的是,启动脚本和停止脚本并不总是成对出现,例如对于S 5 0 i n e t,并没有
K 5 0 i n e t与之对应。以下列出了S 5 0 i n e t的内容:
第3 5章协议配置与调整使用387
下载
388使用第九部分使用与管理T C P / I P网络
下载
第3 5章协议配置与调整使用389
下载
注意并不是所有Unix系统的启动脚本都存放在相同的目录下。某些系统可能将它们放
在/etc、/etc/rc或其他系统指定的位置。
35.2 配置文件
为了使网络正常工作,用户必须注意配置文件。在U n i x系统中,有一些非常重要的配置
文件需要特别注意:
其他U n i x系统可能会包含别的配置文件,这因操作系统的不同而不同。
35.2.1 在/etc/protocols文件中定义网络协议
为了定义运行在U n i x系统上的网络协议,用户必须在/ e t c / p r o t o c o l s文件中给出说明。大部
390使用第九部分使用与管理T C P / I P网络
下载
分协议都可以很好地工作在U n i x系统中,并且用户不需要手工添加所有的协议—系统将在
启动时为用户完成上述工作。
注意以下仅列出了I P协议—对于一些非I P协议如A p p l e t a l k、N e t Wa r e及S N A并未列
出。
下面是/ e t c / p r o t o c o l s文件的一个示例:
35.2.2 在/etc/hosts文件中标识主机
对于一些本地系统,用户可能需要定义一些主机名,以便用户在不需要域名服务器( D N S )
提供服务的情况下,而仅靠主机名就可以找到主机。为了做到这一点,需要定义一个
/ e t c / h o s t s文件。
最基本的/ e t c / h o s t s文件如下:
127.0.0.1 localhost loopback
以上定义了l o c a l h o s t或l o o p b a c k,它们是用户当前使用的主机的缺省主机名。1 2 7 . 0 . 0 . 1为
l o c a l h o s t的缺省I P地址。
第3 5章协议配置与调整使用391
下载
增加其他主机的语法格式如下:
I P地址主机名别名
在增加其他主机时,需要列出主机的I P地址,对应于I P地址的主机名及任意用户需要的
别名。下面是一个/ e t c / h o s t s的示例:
在上例中,如果某个用户远程登录到本地主机,他将登录到p u g s l e y. a d d a m s . c o m。通过使
用别名,用户不需要敲入完整的域名就可以访问目的主机。
注意在/etc/hosts文件中,如果主机也在本地网中,填写主机名时,不需要写完整的域
名,仅填写机器名即可。
35.2.3 TCP/IP与/etc/services文件
为了确定用户的U n i x系统提供哪种类型的T C P / I P服务,必须在系统中设置适当的服务。
完成上述工作有两种方法:修改/ e t c / s e r v i c e s文件或修改i n e t d配置文件,后一种方法将在下一
节讨论。
/ e t c / s e r v i c e s文件为网络服务如F T P、Te l n e t、时间服务器、名字服务器、Secure Shell(安
全S h e l l )及f i n g e r等指定特定的端口。
大部分服务所对应的端口都是众所周知的特定端口,如F T P服务端口为2 3,Te l n e t服务的
端口为2 1等。这些服务所对应的端口号均小于1 0 2 4。
/ e t c / s e r v i c e s文件中也包含一些不太通用的网络服务。/ e t c / s e r v i c e s文件的语法格式如下:
网络服务端口号/ t c p或u d p
首先用户必须定义网络服务类型(如Te l n e t、e c h o、S M T P ),然后指定端口号,最后指明
该服务使用T C P还是U D P。
以下是/ e t c / s e r v i c e s文件的示例:
392使用第九部分使用与管理T C P / I P网络
下载
第3 5章协议配置与调整使用393
下载
35.2.4 inetd守护进程与/etc/inetd.conf文件
在U n i x系统中,许多网络服务由I n t e r n e t超级守护进程i n e t d启动。为了使i n e t d守护进程知
394使用第九部分使用与管理T C P / I P网络
下载
道该启动哪些服务,它需要读取配置文件i n e t d . c o n f,该文件通常放在/ e t c目录下。
注意因为inetd可以启动其他网络服务,但是在任何时候都使用inetd并不是一个好主意,
因为它将降低整个网络服务的性能。例如: Secure Shell因为其加解密过程而丧失了一
部分性能。
对于大多数网络守护进程, i n e t d守护进程可以用来“看护”其他网络守护进程,因为
i n e t d守护进程可以监听所有的s o c k e t,而其余网络守护进程只能监听特定的端口。
这样可以防止太多的守护进程等待一个绑定s o c k e t,同时也可以避免s o c k e t随机进入。从
某种意义上说, i n e t d可看作公司的安全守卫,仅让那些拜访特定人的来访者进入。这使得维
护系统安全更方便,同时,可以更有效地控制流量(带宽)。
图3 5 - 2说明在网络工作过程中, i n e t d如何扮演安全守卫。
图35-2 inetd过程管理
因为i n e t d不知道用户需要运行哪些网络服务,所以必须在/ e t c / i n e t d . c o n f文件中定义。
/ e t c / i n e t d . c o n f中网络服务的格式如下:
网络服务名s o c k e t类型协议标识用户服务路径名参数
例如,对于F T P守护进程,其格式如下:
ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a
f t p服务守护进程使用的s o c k e t类型为s t r e a m ,以根用户权限运行,服务器路径为
/ u s r / s b i n / t c p d,参数为in.ftpd -l -a。注意, f t p服务并未指明标识。如果某种服务不指明标识,
该选项将被跳过。
第3 5章协议配置与调整使用395
下载
服务器客户
监听客户端连接
客户方与f t p守护进程建立连接
当f t p连接断开后, i n e t d仍继续监听
i n e t d接收到f t p连接
请求,调用f t p守护
进程为该请求服务
监听其他S o c k e t
客户方请求
f t p连接
i n e t d
i n e t d
i n e t d
i n e t d
f t p d
f t p d f t p
f t p
f t p
f t p
以下是i n e t d . c o n f文件的部分示例:
396使用第九部分使用与管理T C P / I P网络
下载
注意,在缺省情况下,大多数网络守护进程都用#注解。这表示除非用户已非常确信自己
的修改,否则不要运行这些服务。这主要是基于安全方面的考虑,因为某些服务容易使用户
获取额外的访问权限或导致系统崩溃。
注意守护进程通常以n o b o d y或r o o t用户权限运行。当使用r o o t权限运行时,要非常小
心。
如果用户对/ e t c / i n e t d . c o n f文件做了任何修改,如注解了某个守护进程或增加了某个守护
进程,都需要发送一个H U P信号重启i n e t d守护进程,如:
#killall -HUP inetd
35.2.5 在/etc/networks文件中设置网络
仅有少数系统使用/ e t c / n e t w o r k s文件标识系统所在的网络,这将有助于用户组织其系统连
入的网络。
35.2.6 DNS客户与/etc/resolv.conf
为了获得D N S名字解析功能,用户需要正确设置D N S客户端。要完成这一工作,需要修
改/ e t c / r e s o l v. c o n f文件。
在/ e t c / r e s o l v. c o n f文件中,用户需要定义域名、域名服务器(主控域名服务器或主控域名服
务器和辅助域名服务器)及其他必须的指令。
一般情况下,这将允许用户的系统实现域名查询,如将w w w. e x a m p l e . o rg转换为I P地址
1 . 2 . 3 . 4。
注意即使/ e t c / r e s o l v. c o n f指明了D N S,用户仍需要检查设置是否正确。用户可以使用
nsloopkup、dig或其他工具检验设置是否正确。
否则,系统将会出现与D N S不相关的问题,如本人的系统曾经出现过因/ e t c /
第3 5章协议配置与调整使用397
下载
r e s o l v. conf文件设置不正确而导致HP-UX X-Window CDE设置工作不正常。
35.3 小结
本章讲述了与网络管理相关的一些重要的问题,包括:系统初始化、配置文件及如何在
正确的地方对配置文件做适当的修改等。
了解系统何时启动网络服务非常重要。在U n i x系统中,多个运行级保证系统能够在适当
的运行级完成特定的功能,其中包含启动网络功能的运行级。在大多数系统中,网络功能在
第三运行级启动。其他功能在别的运行级启动,如多用户(定义为“M”)。在大多数U n i x系统
中,运行级配置文件为/ e t c / i n i t t a b。
对于网络,由于安全及带宽等方面的原因,确保配置文件的正确设置非常关键。在U n i x
系统中,包括在i n e t d . c o n f中对I n t e r n e t超级守护进程的配置、在/ e t c / r e s o l v. c o n f中对D N S客户
方的配置、在/ e t c / n e t w o r k s中可访问网络的配置,在/ e t c / h o s t s中对主机的配置及在e t c / s e r v i c e s
中对网络服务的配置。
一旦用户设置了T C P / I P网络服务,就必须了解如何使用D N S管理域名服务,了解网络管
理及其协议S N M P,并且了解如何加强网络安全及调试T C P / I P网络。
398使用第九部分使用与管理T C P / I P网络
下载
本部分包括:
• 协议的配置与调整
• 实现D N S
• 网络管理
• SNMP :简单网络管理协议
• 安全的T C P / I P传送
• 疑难问题解决工具及要点
第35章协议配置与调整
作者:Anne Carasik
本章内容包括:
• 系统初始化问题
• 配置文件
对于任何系统,用户都必须知道系统的初始化过程及配置文件所在的位置。这将有助于
用户更好地调整网络配置及解决可能出现的问题。同时,本章中的某些细节与网络并不直接
相关,而直接与系统本身相关,这些细节将使用户更清楚地理解网络的配置和启动过程。
35.1 系统的初始化问题
当启动U n i x和L i n u x系统时,有大量的问题值得考虑,
其中与网络相关的是网络守护进程—它们何时启动、
什么触发它们运行及哪一些守护进程正在运行等等。
任何一个主流U n i x都有一个“祖父”进程,称
作“i n i t”。在U n i x系统中,i n i t进程创建其他所有进
程,其中包括用户s h e l l及网络进程。
i n i t进程及/ e t c / i n i t t a b文件
U n i x系统由两部分组成:文件及进程。在U n i x
系统中,所有其他进程都由i n i t进程并发创建—最
终,所有的进程都可以通过它们的父进程追溯到i n i t
进程。图3 5 - 1说明i n i t进程与其他进程的链接关系。
因为初始化进程是系统启动过程的最后一步,所以在此之前所有的文件系统都已经过检
测,并且磁盘都已被加载, i n i t进程决定进入哪一种用户模式(单用户或多用户)。某些U n i x系
第九部分使用与管理T C P / I P网络
图35-1 init进程及其子进程
统使用/ e t c / i n i t t a b文件作为i n i t进程的配置脚本,其内容如下:
386使用第九部分使用与管理T C P / I P网络
下载
上述代码来自Red Hat Linux中的/ e t c / i n i t t a b文件,由代码可看出网络在第三运行级被启动。
对于大多数主流U n i x,第三运行级启动的网络进程包括I n t e r n e t守护进程( i n t e d )、N F S、D N S
及S e n d m a i l。
r c系列脚本
为了创建并运行子进程, i n i t进程将运行一系列启动脚本,我们称之为r c系列脚本。这些
脚本启动所需要的网络进程,从而U n i x系统不再是一个“孤立的系统”。
在Red Hat Linix及基于S y s t e m V的操作系统如H P - U X中,i n i t进程运行/ e t c / r c . d / r c 3目录下
的所有网络启动脚本。其他系统可能运行另外的网络启动脚本如r c . M (多用户)或r c . i n e t (适用于
互联网)。系统运行哪些脚本与系统密切相关。
下面,为了保持一致性,我们仍采用Red Hat Linux作为例子。因为本书主要讲解网络部
分,以下仅列出了/ e t c / r c . d / r c 3目录下的文件及子目录。
所有这些文件都启动某个特定的服务。对于第三运行级,除了网络部分,它还启动了一
些别的特性。对于网络,我们可以通过S # #或K # #来判断哪些守护进程被该文件启动( K表示杀
死,S表示启动)。其后的序列号表示某个特定的启动和停止的顺序。
同时,这些脚本还标明了当守护进程初启时,采用哪些属性。
需要注意的是,启动脚本和停止脚本并不总是成对出现,例如对于S 5 0 i n e t,并没有
K 5 0 i n e t与之对应。以下列出了S 5 0 i n e t的内容:
第3 5章协议配置与调整使用387
下载
388使用第九部分使用与管理T C P / I P网络
下载
第3 5章协议配置与调整使用389
下载
注意并不是所有Unix系统的启动脚本都存放在相同的目录下。某些系统可能将它们放
在/etc、/etc/rc或其他系统指定的位置。
35.2 配置文件
为了使网络正常工作,用户必须注意配置文件。在U n i x系统中,有一些非常重要的配置
文件需要特别注意:
其他U n i x系统可能会包含别的配置文件,这因操作系统的不同而不同。
35.2.1 在/etc/protocols文件中定义网络协议
为了定义运行在U n i x系统上的网络协议,用户必须在/ e t c / p r o t o c o l s文件中给出说明。大部
390使用第九部分使用与管理T C P / I P网络
下载
分协议都可以很好地工作在U n i x系统中,并且用户不需要手工添加所有的协议—系统将在
启动时为用户完成上述工作。
注意以下仅列出了I P协议—对于一些非I P协议如A p p l e t a l k、N e t Wa r e及S N A并未列
出。
下面是/ e t c / p r o t o c o l s文件的一个示例:
35.2.2 在/etc/hosts文件中标识主机
对于一些本地系统,用户可能需要定义一些主机名,以便用户在不需要域名服务器( D N S )
提供服务的情况下,而仅靠主机名就可以找到主机。为了做到这一点,需要定义一个
/ e t c / h o s t s文件。
最基本的/ e t c / h o s t s文件如下:
127.0.0.1 localhost loopback
以上定义了l o c a l h o s t或l o o p b a c k,它们是用户当前使用的主机的缺省主机名。1 2 7 . 0 . 0 . 1为
l o c a l h o s t的缺省I P地址。
第3 5章协议配置与调整使用391
下载
增加其他主机的语法格式如下:
I P地址主机名别名
在增加其他主机时,需要列出主机的I P地址,对应于I P地址的主机名及任意用户需要的
别名。下面是一个/ e t c / h o s t s的示例:
在上例中,如果某个用户远程登录到本地主机,他将登录到p u g s l e y. a d d a m s . c o m。通过使
用别名,用户不需要敲入完整的域名就可以访问目的主机。
注意在/etc/hosts文件中,如果主机也在本地网中,填写主机名时,不需要写完整的域
名,仅填写机器名即可。
35.2.3 TCP/IP与/etc/services文件
为了确定用户的U n i x系统提供哪种类型的T C P / I P服务,必须在系统中设置适当的服务。
完成上述工作有两种方法:修改/ e t c / s e r v i c e s文件或修改i n e t d配置文件,后一种方法将在下一
节讨论。
/ e t c / s e r v i c e s文件为网络服务如F T P、Te l n e t、时间服务器、名字服务器、Secure Shell(安
全S h e l l )及f i n g e r等指定特定的端口。
大部分服务所对应的端口都是众所周知的特定端口,如F T P服务端口为2 3,Te l n e t服务的
端口为2 1等。这些服务所对应的端口号均小于1 0 2 4。
/ e t c / s e r v i c e s文件中也包含一些不太通用的网络服务。/ e t c / s e r v i c e s文件的语法格式如下:
网络服务端口号/ t c p或u d p
首先用户必须定义网络服务类型(如Te l n e t、e c h o、S M T P ),然后指定端口号,最后指明
该服务使用T C P还是U D P。
以下是/ e t c / s e r v i c e s文件的示例:
392使用第九部分使用与管理T C P / I P网络
下载
第3 5章协议配置与调整使用393
下载
35.2.4 inetd守护进程与/etc/inetd.conf文件
在U n i x系统中,许多网络服务由I n t e r n e t超级守护进程i n e t d启动。为了使i n e t d守护进程知
394使用第九部分使用与管理T C P / I P网络
下载
道该启动哪些服务,它需要读取配置文件i n e t d . c o n f,该文件通常放在/ e t c目录下。
注意因为inetd可以启动其他网络服务,但是在任何时候都使用inetd并不是一个好主意,
因为它将降低整个网络服务的性能。例如: Secure Shell因为其加解密过程而丧失了一
部分性能。
对于大多数网络守护进程, i n e t d守护进程可以用来“看护”其他网络守护进程,因为
i n e t d守护进程可以监听所有的s o c k e t,而其余网络守护进程只能监听特定的端口。
这样可以防止太多的守护进程等待一个绑定s o c k e t,同时也可以避免s o c k e t随机进入。从
某种意义上说, i n e t d可看作公司的安全守卫,仅让那些拜访特定人的来访者进入。这使得维
护系统安全更方便,同时,可以更有效地控制流量(带宽)。
图3 5 - 2说明在网络工作过程中, i n e t d如何扮演安全守卫。
图35-2 inetd过程管理
因为i n e t d不知道用户需要运行哪些网络服务,所以必须在/ e t c / i n e t d . c o n f文件中定义。
/ e t c / i n e t d . c o n f中网络服务的格式如下:
网络服务名s o c k e t类型协议标识用户服务路径名参数
例如,对于F T P守护进程,其格式如下:
ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a
f t p服务守护进程使用的s o c k e t类型为s t r e a m ,以根用户权限运行,服务器路径为
/ u s r / s b i n / t c p d,参数为in.ftpd -l -a。注意, f t p服务并未指明标识。如果某种服务不指明标识,
该选项将被跳过。
第3 5章协议配置与调整使用395
下载
服务器客户
监听客户端连接
客户方与f t p守护进程建立连接
当f t p连接断开后, i n e t d仍继续监听
i n e t d接收到f t p连接
请求,调用f t p守护
进程为该请求服务
监听其他S o c k e t
客户方请求
f t p连接
i n e t d
i n e t d
i n e t d
i n e t d
f t p d
f t p d f t p
f t p
f t p
f t p
以下是i n e t d . c o n f文件的部分示例:
396使用第九部分使用与管理T C P / I P网络
下载
注意,在缺省情况下,大多数网络守护进程都用#注解。这表示除非用户已非常确信自己
的修改,否则不要运行这些服务。这主要是基于安全方面的考虑,因为某些服务容易使用户
获取额外的访问权限或导致系统崩溃。
注意守护进程通常以n o b o d y或r o o t用户权限运行。当使用r o o t权限运行时,要非常小
心。
如果用户对/ e t c / i n e t d . c o n f文件做了任何修改,如注解了某个守护进程或增加了某个守护
进程,都需要发送一个H U P信号重启i n e t d守护进程,如:
#killall -HUP inetd
35.2.5 在/etc/networks文件中设置网络
仅有少数系统使用/ e t c / n e t w o r k s文件标识系统所在的网络,这将有助于用户组织其系统连
入的网络。
35.2.6 DNS客户与/etc/resolv.conf
为了获得D N S名字解析功能,用户需要正确设置D N S客户端。要完成这一工作,需要修
改/ e t c / r e s o l v. c o n f文件。
在/ e t c / r e s o l v. c o n f文件中,用户需要定义域名、域名服务器(主控域名服务器或主控域名服
务器和辅助域名服务器)及其他必须的指令。
一般情况下,这将允许用户的系统实现域名查询,如将w w w. e x a m p l e . o rg转换为I P地址
1 . 2 . 3 . 4。
注意即使/ e t c / r e s o l v. c o n f指明了D N S,用户仍需要检查设置是否正确。用户可以使用
nsloopkup、dig或其他工具检验设置是否正确。
否则,系统将会出现与D N S不相关的问题,如本人的系统曾经出现过因/ e t c /
第3 5章协议配置与调整使用397
下载
r e s o l v. conf文件设置不正确而导致HP-UX X-Window CDE设置工作不正常。
35.3 小结
本章讲述了与网络管理相关的一些重要的问题,包括:系统初始化、配置文件及如何在
正确的地方对配置文件做适当的修改等。
了解系统何时启动网络服务非常重要。在U n i x系统中,多个运行级保证系统能够在适当
的运行级完成特定的功能,其中包含启动网络功能的运行级。在大多数系统中,网络功能在
第三运行级启动。其他功能在别的运行级启动,如多用户(定义为“M”)。在大多数U n i x系统
中,运行级配置文件为/ e t c / i n i t t a b。
对于网络,由于安全及带宽等方面的原因,确保配置文件的正确设置非常关键。在U n i x
系统中,包括在i n e t d . c o n f中对I n t e r n e t超级守护进程的配置、在/ e t c / r e s o l v. c o n f中对D N S客户
方的配置、在/ e t c / n e t w o r k s中可访问网络的配置,在/ e t c / h o s t s中对主机的配置及在e t c / s e r v i c e s
中对网络服务的配置。
一旦用户设置了T C P / I P网络服务,就必须了解如何使用D N S管理域名服务,了解网络管
理及其协议S N M P,并且了解如何加强网络安全及调试T C P / I P网络。
398使用第九部分使用与管理T C P / I P网络
下载
619
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
