網路基本管理 與網路有關的設定檔網路組態設定顯示網路狀態資訊
接下來要介紹的是如何在 Ubuntu 中進行基本的網路管理, 因為 Ubuntu 所具備的網路功能, 可說是目前作業系統中的佼佼者, 而且它更提供許多完善的網路工具, 所以可輕易的完成各類網路服務及管理工作, 在本章我們將由檔案 指令和應用程式三個方面來介紹 Ubuntu 作業系統的網路特性 15-1 與網路有關的設定檔 在 Ubuntu 中, 網路功能的運作必須憑藉許多設定檔的內容, 雖然有許多指令或程式可用來進行這些檔案的設定, 但是了解這些檔案內容是絕對必須的 因為您無法保證所有指令或程式隨時可用, 若是指令或程式產生問題時, 就必須回到設定檔中進行修改或維護工作 因此在這個小節中, 我們選擇了與網路管理有關, 且較為重要的檔案內容來 加以說明, 以利管理工作的順遂 主機位址設定檔一 /etc/hosts Ubuntu 預設的通訊協定為 TCP/IP, 而在 TCP/IP 網路上的每部主機都是以 IP 位址來代表它的位置, 不論主機位於區域網路或是 Internet 中, 只要是使用 TCP/IP 為溝通時的通訊協定, 則主機間就必須靠著 IP 位址來互相辨識 雖然以 IP 位址可以準確的辨識每一部主機, 但是在記憶上卻是相當困難, 因 為一些數字的組合對使用者來說, 實在很難與特定的主機產生聯想 如果採用一些較為易記的名稱, 例如 main-server.ubuntu810.com( 主機名稱 ) 或 main-server( 別名 ), 就可降低使用者忘記主機位址的機率, 因此出現了一個解決方法 : 利用一個機制來進行 IP 位址和易記名稱的轉換, 這也就是 名稱解析 (Name Resolution) 15-2
第 15 章網路基本管理 通常在 TCP/IP 網路上進行 IP 位址和易記名稱的轉換有二種方法 : 使用 DNS 伺服器或 /etc/hosts 檔案 DNS 伺服器在名稱解析的功能上較為強大, 但因為 牽涉的內容很廣, 因此我們將在稍後的章節中說明 此處我們先介紹以 /etc/hosts 檔案提供名稱解析的方法, 雖然它的解析功能不 若 DNS, 但因為設定內容簡單, 所以也不失為一種方便的解決方案 利用 /etc/hosts 檔案進行名稱解析分為以下三個步驟 : 當使用者在指令列或是瀏覽器等程式中輸入目的地主機名稱後, 系統會自動至 /etc/hosts 檔案查詢是否存在目的地主機的記錄 若是在 /etc/hosts 檔案中包含目的地主機的記錄, 則可找出該主機的 IP 位址 工作站利用找出的主機 IP 位址, 直接對此主機進行通訊 /etc /hosts 1. main-server 在那裡? 2. 10.0.0.1 工作站 3. 進行通訊 圖 15-1 利用 /etc/hosts 進行名稱解析 了解名稱解析和 /etc/hosts 檔案的使用方法後, 接下來我們要針對 /etc/hosts 檔 案進行設定, 以下是一個 /etc/hosts 檔案的範例 : 127.0.0.1 localhost 安裝預設 192.168.0.152 main-server 自行加入 192.168.0.42 vip-room 自行加入 15-3 0
上述是一個簡單的範例, 首行是安裝後由系統自動產生, 而 2~3 行是由筆者 自行加入的記錄 這些記錄的格式如下 : IP 位址 主機名稱 在將 IP 位址和主機名稱等資訊輸入 /etc/hosts 檔案後, 您就可以使用主機名稱 或別名來取代原有的 IP 位址 網路服務資料檔一 /etc/services /etc/services 是專為各種網路服務而準備的資料檔, 這個檔案中包含 Internet 服務名稱 使用的連接埠 (Port) 號碼與通訊協定等資訊 它允許使用連接埠號碼與通訊協定以對應特定的服務名稱, 有一些程式必須使用這個檔案以執行特定的功能 例如 xinetd 是一個功能強大的程式, 它專門管理 Internet 上連線的要求, 當使 用者要求遠端簽入及檔案傳輸通訊協定 (FTP) 時, 它會自動檢查 /etc/services 檔案, 並且找出對應的程式, 以滿足使用者的要求 基本上每個服務都必須使用唯一的連接埠號碼 / 通訊協定對應, 因此若二個服 務需使用同一個連接埠號碼, 則它們必須使用不同的通訊協定, 相同的, 若 是二個服務使用同一種通訊協定, 則它們的連接埠號碼一定不同 理論上您可以隨意修改檔案中的連接埠號碼, 例如將原來 http 使用的 80/tcp 變更為 81/tcp, 或是保留原來的連接埠號碼而使用其他名稱 但是筆者並不建議您如此作, 因為隨意變更預設內容, 只能讓知道變更內容的用戶端進行連接, 而絕大部份的使用者都會被摒除在外 /etc/hosts.allow 和 /etc/hosts.deny 除了可以將來自用戶端的要求轉送至指定的服務程式外,xinetd 還具備另一 種功能, 就是集中式的管理用戶端連線, 這主要是憑藉二個檔案 : 15-4
第 15 章網路基本管理 /etc/hosts.allow 和 /etc/hosts.deny 以這種方式來進行安全性控管, 就是一般所 稱的 TCP Wrapper 若希望某些電腦可以存取伺服器中, 由 /usr/sbin/tcpd 提供的 Internet 服務, 您可以在 /etc/hosts.allow 檔案中定義允許存取的電腦 反之若不希望特定電腦存取伺服器中的 Internet 服務, 則應該在 /etc/hosts.deny 檔案中定義拒絕存取的電腦 在 xinetd 接受自用戶端要求後, 會先檢查 /etc/hosts.allow 檔案中是否允許此用 戶端的存取, 若是允許則會將此要求轉送至指定的服務程式, 同時忽略 /etc/hosts.deny 的檢查 但若在 /etc/hosts.allow 檔案中沒有此用戶端可被允許的記錄, 接著 xinetd 會繼續檢查 /etc/hosts.deny 檔案內容, 如果該用戶端的資料出現在此檔案中, 則此要求會被拒絕, 但若是沒有出現, 此用戶端的要求仍會被轉送至指定的服務程式 用戶端要求 /etc/hosts.allow 未指定 /etc/hosts.deny 禁止拒絕連接 允許 未指定 轉送至服務程式 轉送至服務程式 圖 15-2 用戶端要求的審核流程 因為 xinetd 在審核用戶端的連接要求時, 只要找到符合的記錄就不再往下檢 查, 所以若是將一個記錄同時放在 /etc/hosts.allow 和 /etc/hosts.deny 檔案中, 15-5 0
xinetd 仍然會在檢查 /etc/hosts.allow 檔案時就允許該用戶端的要求, 所以 /etc/hosts.deny 檔案並不檢查 基於以上的理由, 通常我們會將需要提供服務的用戶端記錄在 /etc/hosts.allow 中, 而在 /etc/hosts.deny 只寫入簡單的一行 : ALL:ALL 如果要增加額外的記錄, 可以用以下格式來設定 : Daemon:Address[:Option1 [:Option2]] 上述格式的項目說明如下 : DAEMON 此項目表示在接受用戶端要求後, 必須執行的服務程式名稱, 例如 in.ftpd, 也可以使用 ALL 來代表所有服務程式名稱 Address 用來代表用戶端使用的 IP 位址 主機名稱 URL 或是某一範圍的 IP 位址 主機名稱或 URL, 但也可以是以下的特殊字串 : 字串 說明 ALL 表示所有位址 LOCAL 不包含小數點的主機名稱 ( 別名 ) UNKNOWN KNOWN PARANOID 代表所有名稱或 IP 位址為未知的主機 代表所有名稱及 IP 位址均為已知的主機 代表所有主機名稱與 IP 位址不一致的主機 Option1 這是一個選擇性的項目, 所以並不一定需要設定, 而下表是在 Option1 欄位常用的項目 : 15-6
第 15 章網路基本管理 項目 allow deny spawn twist 說明不論 hosts.allow 與 hosts.deny 的設定為何, 符合此設定條件的用戶端都可進行連線要求, 同時這個選項設定應置於該行的最後 不論 hosts.allow 與 hosts.deny 的設定為何, 符合此設定條件的用戶端都不可進行連線要求, 同時這個選項設定應該置於該行的最後 當收到連線要求時會自動啟動一個 Shell 指令, 此選項必須置於設定內容的最後 當收到連線要求時會自動啟動一個 Shell 指令, 但是當 Shell 指令執行完畢後, 連線即告中斷, 此選項同樣必須置於設定行的最後 主機搜尋設定檔一 /etc/host.conf 先前我們曾提過解析主機名稱可以透過 /etc/hosts 檔案或是 DNS 伺服器, 但究竟是先利用何者來進行解析呢? 這個答案就在 /etc/host.conf 檔案中, 因為在此檔案中可來設定主機名稱解析時的順序, 預設的內容很簡單 : jack@main-server:~$ cat /etc/host.conf order hosts,bind multi on 這表示在進行名稱解析時, 先使用 /etc/hosts 檔案, 然後才是 DNS 伺服器 但 是除了這個主要功能之外,/etc/host.conf 檔還可以包含其他組態資訊, 以下是 可用的設定項目說明 : 項目 trim 說明指定預設的網域名稱, 可以在此指定一個或多個預設網域名稱, 例如 ubuntu810.com, 之後當查詢某一主機資訊時, 只要輸入主機名稱, 例如 main-server, 系統自然就會在主機名稱加上預設的網域名稱, 例如 main-server.ubuntu810.com 若要新增名為 ubuntu810.com 的預設網域名稱, 可以加入以下的記錄 : trim ubuntu810.com 15-7 0
multi nospoof 是否在 /etc/hosts 檔案中, 允許一個主機名稱對應到多個 IP 位址, 例如將 192.168.0.23 和 192.168.0.10 都對應到 main-server.ubuntu810.com 若要開啟此功能, 可加入以下記錄 : multi on 是否允許主機名稱進行反向查詢, 此功能可提高主機名稱的準確性, 若要開啟這個功能, 可以加入以下記錄 : nospoof on 名稱伺服器搜尋順序設定檔一 /etc/resolv.conf /etc/resolv.conf 檔案主要是用來設定 DNS 伺服器的相關選項, 其中常用的設 定項目有以下三種 : nameserver 名稱伺服器的 IP 位址, 最多可設定三個 namesever, 而每個記錄需自成一行 在設定後, 主機進行名稱解析時會先查詢記錄中的第一部 nameserver, 如果無法成功解析, 則會繼續往下詢問 依序查詢時若得到正確的回應, 則名稱解析即告停止, 因此排在較後順位的 nameserver 就不會產生任何作用, 所以設定多部 nameserver 並不會加快速名稱解析的工作, 其目的只是備份的功能 理論上可以使用任何 DNS 伺服器進行名稱解析, 但為了效率的考量, 通常都會以距離最近的 nameserver 為第一順位優先 domain 主機所在的網域名稱, 此選項可以略過不設 search 這是選擇性的選項, 在此處可以使用空白鍵來分隔多個網域名稱, 它的作用是在進行名稱解析工作時, 系統會將此處設定的網域名稱, 自動加在欲查詢的主機名稱之後, 最多可加入 6 個網域名稱, 但總長度不可超過 256 個字元 15-8
第 15 章網路基本管理 15-2 網路組態設定 在系統安裝後, 網路組態可能會因為環境的變更, 例如更換網路卡, 而需要重新設定或是調整, 其中可供使用的指令和程式有很多, 在本小節我們將介紹設定及調整網路組態時最常使用的方法之一, 希望讀者都能掌握其中的重點, 以加強系統維護的能力 設定網路卡組態一 ifconfig 指令 網路卡可說是網路通訊中最重要的元件之一, 它不僅負責資料的傳遞, 同時亦可確保傳輸時的安全, 因此管理員需對於網路卡的組態設定相當熟練, 以應付網路環境的變化 而在設定網路卡的組態時, ifconfig 可說是最重要的指令之一, 它可用來顯示及設定網路卡的組態, 例如 IP 位址 子網路遮罩 IRQ 及 IO Port 等 若是不加任何參數的情形下, 直接執行 ifconfig 指令將會顯示系統目前的網路卡資訊 包含一張網路卡的用戶端會出現 eth0 和 lo(loopback) 兩個裝置資訊, 若是用戶端正在利用數據機進行撥接, 則會顯示 ppp0 和 lo 等二個介面 以下是具有一張網路卡的用戶端組態範例 : jack@main-server:~$ ifconfig eth0 Link encap:ethernet HWaddr 00:0C:29:48:40:30 inet addr:192.168.0.152 Bcast:192.168.0.255 Mask:255.255.255.0 inet6 addr: fe80::20c:29ff:fe48:4030/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:2987 errors:0 dropped:0 overruns:0 frame:0 TX packets:3044 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:2886858 (2.7 MiB) TX bytes:403985 (394.5 KiB) Interrupt:16 Base address:0x1080 15-9 0
lo Link encap:local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:2372 errors:0 dropped:0 overruns:0 frame:0 TX packets:2372 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:2463105 (2.3 MiB) TX bytes:2463105 (2.3 MiB) 上述的結果可分為二個部份 :eth0 和 lo, 其中包含的項目都很相似 因為很 多都是網路中很重要的專有名詞, 所以本書在此逐一的解釋每個名詞的意義 及用法 : Link encap(link encapsulate) 用來表示將訊息分割為封包的方法, 例如 Ethernet Hwaddr(Hardware address) 表示網路卡的硬體位址, 又稱為 MAC(Media Access Control) 位址 它由 12 個 16 進位值所組成, 以每二個數字為一組, 每組之間以 : 區隔, 例如 00:0C:29:48:40:30, 這個號碼是直接燒在網路卡的晶片上 在硬體位址中的前三組號碼 (6 個數字 ) 表示網路卡製造商的代碼, 所以由同一家廠商所生產的網路卡前 3 組號碼都會相同, 例如 D-Link 的代碼為 00:80:C8 而網路卡的後 3 組號碼表示網路卡的編號, 因此世界上的每張網路卡硬體位址都不同 inet addr(internet address) 表示主機的 IP 位址, 它可能是由手動輸入或 DHCP 伺服器自動指定而來 15-10
第 15 章網路基本管理 Bcast(Broadcast) 這是指主機使用的廣播位址, 若目的地位址為廣播位址, 則表示此訊 息可在同一時間傳送至同網域中的所有電腦 通常廣播位址會以 IP 位址的 Class 而定, 下表是不同 Class IP 位址使用的廣播位址範例 : IP Class 主機 IP 範例 廣播位址範例 A 24.46.68.80 24.255.255.255 B 128.12.23.34 128.12.255.255 C 200.1.100.100 200.1.100.255 Mask(Net Mask) 是指主機使用的子網路遮罩, 它主要是用來將 IP 位址分為 Network ID 和 Host ID 二部份 簡單來說, 將 IP 位址和子網路遮罩先轉換為二進位數, 然後將二者作 AND 運算 ( 0 AND 0 = 0 0 AND 1 = 0 1 AND 0 = 0 1 AND 1 = 1), 之後得到的結果就是 Network ID 通常子網路遮罩會依照 IP 位址的 Class 而定, 下表是不同 Class 的 IP 位址, 使用的子網路遮罩範例 : IP Class 子網路遮罩 A 255.0.0.0 B 255.255.0.0 C 255.255.255.0 MTU(Maximum Transmission Unit) 表示網路傳輸時, 封包最大的傳輸單位,Ethernet 的 MTU 預設值是 1500 Bytes Metric 來源主機將訊息送至目的地主機, 所需經過的轉送次數 (Routing), 一些路由通訊協定, 例如 RIP, 在計算最短路徑時, 必須參考此一數值 15-11 0
RX(Received) 表示已接收的封包總數 封包流失數量以及碰撞數量 TX(Transmitted) 表示已傳送的封包總數 封包流失數量, 以及碰撞的數量 啟動與停用網路卡 顯示網路卡資訊只是 ifconfig 指令最基本的功能, 除此之外, 它還可用來啟動與停用網路卡 假設要停用 eth0 網路卡的功能, 您可以先指定網路卡名稱, 然後再使用 down 參數, 若希望重新啟動網路卡, 則需使用 up 參數, 以下是一個簡單的範例 : jack@main-server:~$ sudo ifconfig eth0 down # 停用 eth0 網路卡 jack@main-server:~$ sudo ifconfig eth0 up # 啟用 eth0 網路卡 設定網路卡組態 ifconfig 指令的另一項功能是可用來設定網路卡的組態, 例如 IP 位址和子網路遮罩 在以下的範例中, 我們將把 eth0 網路卡的 IP 位址和子網路遮罩分別變更為 192.168.0.50 和 255.0.0.0: jack@main-server:~$ ifconfig eth0 192.168.0.50 netmask 255.0.0.0 jack@main-server:~$ ifconfig eth0 Link encap:ethernet HWaddr 00:0C:29:48:40:30 inet addr:192.168.0.50 Bcast:192.168.0.255 Mask:255.0.0.0 inet6 addr: fe80::20c:29ff:fe48:4030/64 Scope:Link 15-12