第9章 网络操作系统与应用服务器 （2008 R2）.pdf

第9章网络操作系统与应用服务器网络操作系统是使网络上的计算机能方便而有效地共享网络资源，为网络用户提供所需的各种服务的软件和有关规程的集合。本章以流行的网络操作系统Windows和Linux为例，讲述网络操作系统的功能以及应用服务器的配置。9.1 网络操作系统9.1.1 Windows Server 2008 R2操作系统Windows Server 2008是专为强化下一代网络、应用程序和Web服务的功能而设计的操作系统，WindowsServer 2008 R2是WindowsServer 2008的升级版本。这个版本继续提升了虚拟化、系统管理弹性以及信息安全等领域的应用，是一款仅支待64位的操作系统，可以为大、中或小型企业搭建功能强大的网站和应用程序服务器平台。Windows Server 2008 R2增强了核心WindowsServer操作系统的功能，提供了富有价值的新功能，以协助各种规模的企业提高控制能力、可用性和灵活性，适应不断变化的业务需求。新的Web工具、虚拟化技术、可伸缩性增强和管理工具有助千节省时间、降低成本，并为您的信息技术(IT)基础结构奠定坚实的基础。其新增功能如下。Cl)Web应用程序平台。WindowsServer 2008 R2包含了许多增强功能，从而使该版本成为有史以来最可靠的WindowsServer Web应用程序平台。该版本提供了最新的Web服务器角色和Internet信息服务CIIS)7.5版，并在服务器核心提供了对.NET更强大的支持。IIS7.5的设计目标着重千功能改进，使网络工程师可以更轻松地部署和管理Web应用程序，以增强可靠性和可伸缩性。另外，IIS 7.5简化了管理功能，并为自定义Web服务环境提供了比以往更多的方法。IIS7.5在以下4个方面进行了改进。集成扩展。IIS7.5中集成了WebDAV,为Web服务器管理员提供了更多用千身份验证、审核和日志记录的选项。集成了请求筛选模块（以前是IIS7的扩展）使您可以限制或阻止特定的HTTP请求，从而有助千防止可能有害的请求到达服务器。集成了IISAdministration Pack扩展，让管理可视化而且更加集中，界面更加友好，可以在IIS管理器配置编辑器和UI扩展，可帮助管理请求筛选规则、FastCGI和ASP.NET应用程序设置。增强管理，提供了最佳做法分析器(BPA)、用于WindowsPower Shell的IIS模块、368 网络工程师教程（第5版）配置日志记录和跟踪等新的管理工具和模块。最佳做法分析器CBPA)是一种管理工具，使用服务器管理器和WindowsPowerShell可以访问这种工具。通过扫描IIS7.5 Web服务器并在发现潜在的配置问题时进行报告，BPA可以帮助管理员减少违背最佳做法的情况。用千WindowsPowerShell的US模块是一个WindowsPowerShell管理单元，该管理单元使您可以执行IIS7 管理任务，还可以管理IIS配置和运行时数据。此外，一批面向任务的cmdlet可以提供管理网站、Web应用程序和Web服务器的简单方法。配置日志记录和跟踪使您可以审核对IIS配置的访问权限，可以启用事件查看器中可用的任何新日志来跟踪成功或失败的修改。应用程序承载增强。IIS7.5是一种更加灵活和可管理的平台，适用于许多类型的Web应用程序（如ASP.NET和PHP),它提供服务强化、托管服务账户、可承载Web核心、用千FastCGI的失败请求跟踪等多种新功能，提高安全性和改进诊断。增强了对服务器核心的.NET支持。WindowsServer 2008 R2的服务器核心安装选项支持.NETFramework 2.0、3.0、3.5.1和4.0。这表示您可以承载ASP.NET应用程序，可以在IIS管理器中执行远程管理任务，还可以在本地运行用于WindowsPowerShell的IIS模块中包含的cmdlet。需要指出的是，IIS 7.5在默认情况下并不会被安装在WindowsServer 2008 R2上，这需要管理员手动进行安装。IIS 7.5服务器界面如图9-1所示。心冒？一了i.1,CJ,f.0 1飞、:,.J,.,，气=旧T!贮mt华5!ITT车讹m岱颐ll?T毋ff汲叩辟TA1，飞SI六Al译细岱尺颌器茫该林：动D运行,.,s.m,:?003或亟点切啊关1升和1t1;-氏妇细(i!JI!上一生下一步取消1 上一步a,)j下一步oo,1 耽肖1 图9-3域控制器类型图9-4选择林功能级别(4)安装DNS服务和全局服务，单击“下一步”，在弹出的窗口中选择“是，如图9-5所示。(5)设置保存数据库、日志文件、SYSVOL的位置，如图9-6所示。了生鼠，气:雀Vc1汽If慧髻司阳，酮lxl共伦过芘刮王这项 为此I幻己制己心择立他芯顷广广J-子1是crII否ooI 上一步Olli下一步Of)J 取消l 一图9-5安装DNS服务器rir齐lI问齐砰:11 l1t1H如卜x 散复氓、臼主文件和勺SVUL的位笠.霖产.,.,.,151守逻一、日件和勺沁L的士坛吐邸说氐司Utt症埴劲日云哼夺伍环陶饶上呻氏文件-I嘈旧咱1111山巳王文件文件天心-妇,ms了矶文件天cs,jc,Y,._,S?沁Liil!,loo.1 却aro,.I 喉,.I 青子叶央心，,.,贮l件的详细II覂上一生oril下一步.,1 压沁1 图9-6活动目录数据库与日志文件的文件夹第9章网络操作系统与应用服务器3771(6)设置目录还原模式的Administrator密码，输入密码后，单击“下一步”。进入摘要页面，单击“下一步”，系统开始配置ActiveD订ectory域服务，配置完成后，自动重启，即可完成安装，如图9-7所示。(7)重启后，系统登录界面如图9-8所示。XI 搞妄工-一-、-旺屯,.,.罚厅剿厅厅厅霄叶，料寸户t_.蹄超器心笛兰隘苏:t妞-丘过叩已辽几分在矶，J1 尸匐正在安决错坛足它刑守l臼巨；人,-I口完云ill钩(R)一三.;!-，、a 距9-7服务还原模式的管理员密码图9-8域服务安装完成后登录界面9.2.3 Windows Server 2008 R2远程桌面服务远程桌面服务(Windows2003称为终端服务）是Windows2008 R2中的一个服务器角色，它提供的技术使用户能够访问安装在RD会话主机服务器上的基千Windows的程序或整个Windows的桌面。使用远程桌面服务，用户可以从企业网络或Internet访问RD会话主机服务器或者虚拟机。远程桌面服务可使您在企业环境中有效地部署和维护软件，可以很容易从中心位置部署程序。由千将程序安装在RD会话主机服务器上，而不是安装在客户端计算机上，所以，更容易升级和维护程序。在用户访问RD会话主机服务器上的程序时，程序会在服务器运行。每个用户只能看到各自的会话。服务器操作系统透明地管理会话，与任何其他客户端会话无关。另外，您可以配置远程桌面服务来使用Hyper-V巩以便将虚拟机分配给用户或在连接时让远程桌面服务动态地将可用虚拟机分配给用户。在WindowsServer 2008 R2中，远程桌面服务由下列角色服务组成。(1)远程桌面会话主机：远程桌面会话主机(RD会话主机）（以前是终端服务器）使服务器可以托管基千Windows的程序或完整的Windows桌面。用户可连接到RD会话主机服务器来运行程序、保存文件，以及使用该服务器上的网络资源。(2)RD Web访问：远程桌面Web访问(RDWeb访问）（以前是TSWeb访间）使用13781 网络工程师教程（第5版）户可以通过运行Windows7的计算机上的“开始”菜单或通过Web浏览器来访问RemoteApp和桌面连接。RemoteApp和桌面连接向用户提供RemoteApp程序和虚拟桌面的自定义视图。(3)远程桌面授权：远程桌面授权(RD授权）（以前是TS授权）管理每台设备或用户与RD会话主机服务器连接所需的远程桌面服务客户端访问许可证(RDSCAL)。使用RD授权在远程桌面授权服务器上安装、颁发RDSCAL并跟踪其可用性。(4)RD网关：远程桌面网关(RD网关）（以前是TS网关）使授权的远程用户可以从任何连接到Internet的设备连接到企业内部网络上的资源。(5)RD连接Broker:远程桌面连接代理(RD连接代理）（以前是TS会话Broker)支持负载平衡RD会话主机服务器场中的会话负载平衡和会话重新连接。RD连接代理还用千通过RemoteApp和桌面连接为用户提供对RemoteApp程序和虚拟机的访问。(6)远程桌面虚拟化主机：远程桌面虚拟化主机(RD虚拟化主机）集成了Hyper-V以托管虚拟机，并将这些虚拟机作为虚拟桌面提供给用户。可以将唯一的虚拟机分配给组织中的每个用户，或为他们提供对虚拟机池的共享访问。I.远程桌面服务的安装在WindowsServer 2008 R2中，默认情况下没有远程桌面服务，需要进行手动添加。终端服务的安装步骤如下。(1)单击“开始”按钮，然后选择“管理工具-服务器管理器-角色”一“添加角色”命令。(2)进入添加角色向导界面，单击“下一步”按钮，显示“选择服务器角色”，在“角色”列表中勾选“远程桌面服务“复选框，单击“下一步”按钮。(3)在“角色服务”列表中勾选需要添加服务的复选框，单击“下一步”按钮。(4)应用程序兼容性说明页面，单击“下一步”按钮。(5)勾选相应的身份验证方式单选框，单击“下一步”按钮。(6)勾选相应的授权模式单选框，单击“下一步”按钮。(7)添加可以远程连接到RD会话主机的用户或用户组，默认Administrators用户组已具备访问权限，且不可删除，单击“下一步”按钮。(8)根据向导提示，完成“客户端体验RD授权配置”“服务器验证证书”“授权策略”配置，单击“下一步”按钮。(9)单击“安装”按钮，系统将所选择的角色添加到服务器，完成后自动重启计算机。2.远程桌面服务的配置与管理1)赋予用户权限默认情况下，只有系统管理员组用户(Administrators)和系统组用户(SYSTEM)拥有访第9章网络操作系统与应用服务器I 3791 问和完全控制远程桌面服务器的权限，远程桌面用户组(RemoteDesktop Users)的成员只拥有访问权限而不具备完全控制权。在很多时候，默认的权限设置往往并不能完全满足我们的实际需求，因此还需要赋予某些特殊用户远程连接的权限。具体设置步骤如下。(I)单击“开始”按钮，选择“管理工具,_远程桌面服务-远程桌面会话主机配置”命令，显示如图9-9所示的“远程桌面会话主机配置”窗口。(2)单击树型列表框中的RD会话主机配置”选项，用鼠标右击右侧列表框中的RDP-Tcp,从弹出的快捷菜单中选择“属性”命令，在弹出的对话框中选择“安全”选项卡，该选项卡对管理员Administrator的访问权限进行了一定的限制，管理员可以有“完全控制”“用户访问“”来宾访问“以及“特殊权限,4种权限，通过选中或取消各项的复选框来确定相应的权限，如图9-10所示。讨忖甘挂伈文件.,投作认或(V)吐的OO.、.、.、乍呤沁Ci日,;,.、-碰环f411I牛攫哪ffll,.:i授权ooI尿务恶的庄笠：叩late圉唱咚喟霜枷忑器闺庄遗窃顷啦1!1时all丰京般I 登录，还I 涟1 环炽l 啤控制1 吝产岗汜I 罕起1王安全组或用户名(G)，而齐习I陌I吓liamf尥P7.l,SYST印,_we儿SEP.VIC!IIET仇兀:J(亚RVICE肛杆，m罚可书li1,11权，飞,ffl甲，m-,-Rmh D,*-t op Um,(T1,IPL/JERot D,二ktopU,m),_ DITER氐TIVE茹(D).I酗II红）1 l,.d,ri i ni:;tr龟tor:;的权限(1)允许拒绝完全控中回口用户访问回亡l未王访i司回D 特殊权限口口夺关特殊掷肚运级i拯诏午击“石级酰fY)I 7衍访问1;,仵1和扣阴I ii定1 聪I 宁沁.I 图9-10RDP-Tcp属性(3)单击“高级”按钮，显示所有用户的权限，如图9-11所示。2)远程桌面服务高级设置(I)更改加密级别。在RDP-Tcp属性”对话框中选择“常规”选项卡，如图9-12所示。在“加密”选项区域的“加密级别”下拉列表中包括以下4种级别。低。使用56位密钥对从客户端传输到服务器的数据进行加密。客户端兼容。使用客户端所支持最大长度的密钥对从客户端传输到服务器的数据进行加密。380 I 网络工程师教程（第5版）x-四I;径1翌6亚憤垃仅冈项目的译细伍巴诮已芘该项目开单击！呻.仅忧顶目汀lI 焊.I,叶一罕，自订，粒f!元午元叩克刮吓践沁元干立丛立邓卫竹良环玫翩六许亢卫九廿奸G是红承句）元午，妇cr四凶八心完过守Ier-是复知）加午丘众叩认用尸访l司cr-/lit和吐,.I!II釭）.I llfilll I？喟叩1而“迫如flO)I 魂西1 守问说笠l 瑶衄玉I 廷京投1 妇I 每1 汗氐之兰印,-,.,付云汪(I);,安全仕-、-一一一-一.一一一-罕一一.一一.,安年CS):I协；.=.l!叩石玉并的妇妇却匈迳叩I 加嘘I?):lPl妇右斗，芦皿伽担巨i厂仅允许运行便用网给级炽身份沾证的远程又面的计江机连岱心证书:Of.lTi 迳釭）1 即fJI(I)I，飞弓节齐令今，li-广QI兰1也I6.,I 图9-11所有用户的权限高。使用128位密钥的强加密算法对从客户端传输到服务器的数据进行加密。符合FIPS标准。使用Microsoft加密模块的联邦信息处理标准CFIPS)对从客户端传输到服务器的数据进行加密。此外，如果希望此连接进行标准的Wmdows验证，则选中“使用标准Windows验证“复选框。(2)允许用户自动登录到服务器。在RDP-Tcp属性”对话框中选择“登录设置”选项卡，如图9-13所示。默认情况下为使用客户端提供的登录信息。I哇I叨I卫A、I图9-12常规”选项卡颈战，寄如过1 罕起恶I 廷宋投娑沪笠I 会话1 开坛G晒吝户湍捉世的登录岱巳(C)广妇终便用以下登禾fli/2.a.)XI c,今石：，芒安广始终扫示；码(l)1 和至1 取消I 亟(A)I 图9-13登录设置”选项卡选中“始终使用以下登录信息“复选框来设置允许用户登录的信息。在“用户名“文本框中输入允许登录到服务器的用户名称；在域”文本框中输入计算机所属域的名称；在“密码”和“确认密码“文本框中输入该用户登录时所采用的密码。如果要求用户在登录到服务器之前始终被提示输入密码，则选中“始终提示密码“复选框。(3)配置远程桌面服务超时和重新连接功能。在RDP-Tcp属性”对话框中选择“会话”选项卡，如图9-14所示。选中“改写用户设置“复选框，允许用户配置此连接的超时设置。第9章网络操作系统与应用服务器I 381 O在“结束已断开的会话”下拉列表中选择断开连接的会话留在服务器上的最长时间。在“活动会话限制”下拉列表中选择用户的会话在服务器上待续的最长时间。在“空闲会话限制”下拉列表中选择空闲的会话在服务器上持续的最长时间。选中“改写用户设置“复选框设置到达会话限制时或者连接被中断时进行的操作。(4)管理远程控制。在RDP-Tcp属性”对话框中选择“远程控制”选项卡，如图9-15所示。x-x-远程饺刮I;户滇没云I 阿；主宅I 安全1 本规I 笠呆诠云妇I 环坛1 斟心颈郅妇眨军主机开去郔扭通环洷接设尸改写用户没云(D)绾束已旺开的会话a,r从不云块1 笠录设云1 会话I 环炽I 远程片你1 子户渎设笠!两结迳口汪；1 安全1 也可以使用远程庄制无远程压刮或玉石用户会活o舌=!a呻含j(J;)王i衬会话踉llJCil尸改写用户设云(V)达到会话限刮或连袨中l!JiB寸r从会话IIJi开a,)G坏京会活I从不芦习二1nC妇凡石吐认用户没还的远程控制(V)r不六浒运和五1a,)广使用凡打下列设云的远程控制(S)r.;-:q,-飞，,r泗函I、-一今-勹,C六!,_设，心，r-=z,:.,-、-、_ 1 和定1 虹l 即职心1.图9-14会话”选项卡I 碌定I llllli I 应用认）1.-图9-15远程控制”选项卡选择“使用具有下列设置的远程控制”单选按钮即可配置该连接的远程控制。9.2.4 Windows Server 2008 R2远程管理远程管理的使用是衡釐WindowsServer 2008 R2网络管理员、系统管理员水平的重要指标。它既可是系统中集成的，又可以是由其他单独远程管理软件所提供的。在Windows系统中，远程管理是集成千其他服务之中，通过使用其他服务或服务组合来实现的。许多网络设备也引入了“远程管理”理念，如服务器、路由器产品、防火墙和网络打印机等，目 的就是方便管理员在不同地方对相应主机或设备进行管理。它与远程控制技术一样，已渗透到各行各业，特别是信息产业的各个领域，应用非常广泛。1.Microsoft管理控制台(MMC)Microsoft管理控制台集成了用来管理网络、计算机、服务及其他系统组件的管理工具。可以使用MMC创建、保存并打开管理工具单元，这些管理工具用来管理硬件、软件和Windows382 I 网络工程师教程（第5版）系统的网络组件。MMC可以运行在各种Windows9x/NT操作系统上，以及WindowsXP家庭版专业版和WindowsServer 2003、WindowsServer 2008家族的操作系统上。MMC不执行管理功能，但集成管理工具。可以添加到控制台的主要工具类型称为管理单元，其他可添加的项目包括ActiveX控件、网页的链接、文件夹、任务板视图和任务。若需要在WindowsServer 2008 R2上经常对多台计算机进行远程桌面管理可进行用户添加，以便完成远程管理。用户添加操作如下。(1)选择“开始-.运行”命令，打开“运行“对话框，在文本框中输入命令mmc,如图9-16所示。(2)单击“确定”按钮，系统显示MMC控曰斗亏邓ndows印延容所扫入的名称，力念打开相应的程序、一一文件夫、文档或Internet资琛打;ff(O),1 m.:J，畦呻限创建此任务二一二制台窗口，如图9-17所示。(3)单击“文件-添加或删除管理单元，图9-16运行命令命令。(4)在列表框中选择“远程桌面”选项，单击“添加”按钮，如图9-18所示。文件亿烁作(A)迂看。权及天它口(I)QRIJQI).-.今，.今_,_合，一_,_,_.,-.乌：d型三l型斗此ttCl宁设开可丘示们可日芍网句官雹豐早元-一工-口计可叭.,.,.兰石田扣访问 任呻 己已旮官围已i.,事件置a工贾仅雹，又件关仕贮谥夜已 一占旺面:霍嗖已,让心芘仑迳.,.俨4吐 噙配-扈揖刁 三一,元攀漫 扩可干寸元8归攀耘还gg g 包邸-7-_-i-I芷I凹I图9-17MMC控制台窗口图9-18添加远程桌面(5)右击控制台根节点中的远程桌面，选择“添加新连接”，在如图9-19所示的对话框中依次添加计算机1P、连接名称、用户名，完成一个用户的添加。(6)重复步骤(5),将目标计算机逐个添加到控制台。2.远程桌面连接远程桌面连接功能是为WindowsServer 2008 R2系统提供的一种连接远程工作站的远程管理工具。第9章网络操作系统与应用服务器I 383 1)配置远程桌面连接(1)选择“开始-控制面板-系统-远程设置”命令打开对话框，切换到“远程”选项卡，在“远程桌面”栏中勾选“仅允许运行使用网络级别身份验证的远程桌面的计算机连接（更安全）“复选框，如图9-20所示。肘牙书l?j斗一连接-！计互机名称或IP地蚽）!I 泌拉）1 连接名称(j;):厂尸使用,.如n迭郖芘连接Ql)厂登录倌足,用户名I 计耳机名帤朕千节扒完邵砬涟计算机郅=计五机名1硬件l志啤Ira过协助-一一一合一1:厂、占,.,.-.-,-,、:,;!二i-合一-.、-蜘面.气一-一.：单击一氓贞痉启淀屯可呾如果玉h,1，广不允许诠筷翋台I!机mlr-ro;运行任更版芯击芘函的计江机碑吹不安全)OJ:？醮霉特妇呻毗酷tI 四达择用户($).11-.、i还将在下处茎控到此计算机上时生效oI哇I配iI 匕王口三.图9-19添加新连接图9-20远程”选项卡(2)选择“开始-控制面板-Windows防火墙-允许程序或功能通过Windows防火墙”命令打开对话框，如图9-21所示，勾选“远程桌面”，单击“确定”即可允许远程访问。2)使用远程桌面连接(1)选择“开始-所有程序-附件-远程桌面连接”，随即弹出一个对话框，要求输入要远程连接的计算机名或1P地址，如图9-22所示。气口口0gij尸.-i900口口口口00口口已0勹性二i属妞ii接_ 二5 连王一言地旧-本.ii i ,.谴i谥l 上；二了2i-H邸芒5四87009芒一言已计辽机(C):Ii 用户名：未指定计及机名称字段为三o访茹入完空的远程计江机名称;达项(Q)II 连按O!)I 帮助ooI 图9-22远程桌面连接”窗口384 I 网络工程师教程（第5版）(2)单击“选项”按钮，即可弹出一个可以对该项远程连接进行详细配置的对话框，如图9-23所示。在这个对话框中包括6个选项卡，可以进行非常全面的连接配置，在此不做详细介绍。使用远程桌面连接功能可以很容易地连接到其他允许连接远程桌面的计算机，用户可以保存设置以用千下次连接，远程连接登录界面如图9-24所示。印扣叶生霾礼面1-ll斗扭国I立声Iw;,:I吐I皿I笠录设翌一一一一.I-讼颈吐妞却计篡机a:):1 1.:J i 用户名1 计篡机纽顽竺和尪罕啤吐谿称.I 迎员ooilI 连控or,I 获助ooI 图9-23远程连接详细配宜的窗口9.2.5 Linux网络配置1.网络配置文件出出三,幸沁名入之的只提这拐朽用千连接10.0.巧2.22,墅!I圈.l o 畴，吱醴虚匕一图9-24远程连接登录在Linux操作系统中，TCP/IP网络是通过若干个文本文件进行配置的，系统在启动时通过读取一组有关网络配置的文件和脚本参数内容来实现网络接口的初始化和控制过程，这些文件和脚本大多数位千/etc目录下。这些配置文件提供网络IP地址、主机名和域名等；脚本则负责网络接口的初始化。通过编辑这些文件可以进行网络设置和实现联网工作。这些文件可以在系统运行时修改。不用启动或者停止任何守护程序，更改会立刻生效。这些文件都支持由#开头的注释。在Linux系统中，有关网络配置的主要文件有以下几个。C 1)/etc/sysconfig/network-script/ifcfg-enoxxx文件。这是一个用来指定服务器上的网络配置信息的文件。其中常见的主要参数的含义说明如下。TYPE=Ethemet#网络接口类型BOOTPROTO=static#静态地址DEFROUTE=yes IPV4FA且URE_FATAL=noIPV6INIT=yes IPV6_AUTOCONF=yes IPV6_DEFROUTE=yes IPV6_FA且U邸_FATAL=no第9章网络操作系统与应用服务器1385 是否支待IPV6NAME=enol6780032#网卡名称UUID=l6c93842-a039-4da3-b88a-977ebl20lb3f ONBOOT=yes IPADDRO=10.0.252.198 PREFIX0=24 GATEWAYO=10.0.252.254 DNS1=61.134.1.4 HWADDR=00:50:56:95:23:CE IPV6 _pEERDNS=yes IPV6 _pEERROUTES=yes#IP地址子网掩码网关#DNS地址网卡物理地址，使用虚拟机需要注意此地址配置完成后，需要使用systemctlrestart network命令重启网络服务。(2)/etc/hostname文件，该文件包含了Linux系统的主机名。rootredhat rootredhat-64-#hostnamectl status Static hostname:redhat-64 表明静态主机名已经修改成功。#v订etc/hostname修改配置文件中的redhat为redhat-64,保存文件，然后重新登录，此时，主机名已经更改这个文件是在启动时从文件/etc/sysconfig/network的HOSTNAME行中得到的，用千在启动时设置系统的主机名。(3)/etc/resolv.conf文件。/etc/resolv.conf文件配置DNS客户，它包含了主机的域名搜索顺序和DNS服务器的地址，每一行应包含一个关键字和一个或多个由空格隔开的参数。下面是一个例子：search nameserver 210.34.0.14 nameserver 210.34.0.13 386 L 网络工程师教程（第5版）常用参数及其意义说明如下。nameserver:表明DNS服务器的IP地址。可以有很多行的nameserver,每一个带一个IP地址。在查询时就按nameserver在本文件中的顺序进行，且只有当第一个nameserver没有反应时才查询下面的nameserver。domain:声明主机的域名。很多程序用到它，如邮件系统，当为没有域名的主机进行DNS查询时也要用到。如果没有域名，主机名将被使用，删除所有在第一个点（）前面的内容。search:它的多个参数指明域名的查询顺序。当要查询没有域名的主机时，主机将在由search声明的域中分别查找。domain和search不能共存。sortlist:允许将得到的域名结果进行特定的排序。它的参数为网络掩码对，允许任意的排列顺序。在RedHat Linux中没有提供默认的/etc/resolv.conf文件，它的内容是根据在安装时给出的选项动态创建的。2.安装网卡在安装Linux操作系统时，如果计算机系统中装有网卡，安装程序将会提示给出TCP/IP网络的配置参数，如本机、默认网关以及DNS的IP地址等。根据这些配置参数，安装程序将会自动把网卡的驱动程序编译到内核中去。网卡的驱动程序是作为模块加载到内核中去的。所有Linux支待的网卡驱动程序都是存放在目录/lib/modules/(Linux版本号）/net/下，可以通过修改模块配置文件来更换网卡或者增加网卡。Red Hat Linux 7中，网卡命名方式从eth0,1,2的方式变成了enoXXX XX的格式，en表示的是enthernet,o表示的是onboard,X X X表示的一长串数字则是主板的某种索引编号自动生成的，可以保证其唯一性。但网卡并不能直接作为硬件裸设备出现千/dev下，而是内核在引导时在内存中建立的。RedHat Linux默认是采用内核模块(module)的方式在系统引导时设定网卡的，如果已经知道网卡类型，也可以把相应的网卡驱动编译进内核。3.网络配置命令(1)网络接口设置命令ifconfig。在Linux系统中通过让config命令进行指定网络接口的TCP/IP网络参数设置。执行ifconfig配置命令后，系统将在内核表中设置必要的网络参数，这样Linux系统就知道如何与网络上的网卡通信了。ifconfig命令的基本格式如下。ifconfig Interface-name ip-address upJdown 使用不带任何参数的戊onfig命令可以查看当前系统的网络配置情况。在刚安装完系统之后，实际上是在没有网卡或者网络连接的情况下使用Linux,但通过ifconfig可以使用回送第9章网络操作系统与应用服务器1387(loopback)方式工作，使计算机认为自己在网络上工作。使用ifconfig命令可以进行指定网络接口的TCP/IP网络参数设置。例如，运行下列命令。rootredhat-64-#ifconfig enol6780032 10.0.252.198 netmask 255.255.255.0 up 将网络接口enol6770671的IP地址设置为192.168.0.5,子网掩码为255.255.255.0,并启动该接口或将其初始化。类似的，若将网络接口“关闭，则输入命令ifconfigethO down,不需要指定IP地址和网络掩码。运行不带任何参数的ifconfig命令可以显示所有网络接口的状态。若要检查特定接口的状态，则在ifconfig后附加这个接口的名称。例如运行：rootredhat-64-#ifconfig enol6780032 命令后，系统显示接口状态信息如下。eno 16780032:flags=4 l 63 mtu 1500 inet 10.0.252.198 netmask 255.255.255.0 broadcast 10.0.252.255 inet6 fe80:250:56ff:fe95:23ce prefixlen 64 scopeid Ox20 ether 00:50:56:95:23:ce txqueuelen 1000(Ethernet)RX packets 1629264 bytes 140809241(134.2 M心）RX errors O dropped 53 ovenuns O frame 0 TX packets 256808 bytes 17948386(17.1 M心）TX errors O dropped O overruns O carrier O collisions 0 以上输出显示MAC地址(Hwaddr)、所分配的IP地址(inetaddr)、广播地址(Beast)和网络掩码(Mask)。另外，可以看出该接口处千UP状态，其MTU为1500并且Metric为1。接下来的两行给出有关接收到(RX)和已发送的(TX)信息包数，以及错误、丢弃和溢出信息包数的统计。最后两行显示冲突信息包的数目、发送队列大小(txqueuelen)和IRQ以及网卡的基址。(2)配置路由命令route。通常在系统使用ifconfig命令配置网络接口后，需用route命令设定主机或局域网的出口1P地址。route命令的调用参数复杂，它的主要功能是管理Linux系统内核中的路由表。route命令的基本格式如下。route-选项常用参数和选项说明如下。388 I 网络工程师教程（第5版）de!:删除一个路由表项。add:增加一个路由表项。target:配置的目的网段或者主机，可以是IP,也可以是网络或主机名。netmaskNm:用来指明要添加的路由表项的子网掩码。gwGw:任何通往目的地的IP分组都要通过这个网关。例如，运行不带参数的route命令：rootredhat-64-#route 系统将显示内核路由表如下。Kernel IP routing table Destination Gateway Genmask Flags UG Metric Ref Use!face default I 0.0.252.254 0.0.0.0 1024 0 0 eno 16780032 10.0.252.0 0.0.0.0 255.255.255.0 U O O O eno16780032 第一项是默认路由，表明默认网关为10.0.252.254,网络接口为eno16780032。最小的路由表仅允许在同一网络中的主机互相通信。如果要与远程主机通信，必须将通过外部网关的路由添加到路由表中。route命令的基本格式如下。route addldel-netl-host target netmask Nm gw Gw dev If 在route命令上的第一个关键字要么是add要么是delC删除路由）。下一个值是目的地地址，它是通过该路由到达的地址。如果关键字default用千目的地地址，则创建默认路由。只要没有到目的地的特定路由，就使用默认路由。如果网络中只有一个网关，则使用默认路由引导所有要到远程网络的数据流量通过这个网关。命令行的下一个参数是网关地址，该地址必须是直接连接本机所在网络的网关地址。在到远程目的地的网络路径中，TCP/IP路由要指定下一跳(next-hop)。这个下一中继必须是本机可直接访问的，因此，它必须直接连接在本机所在的网络中。因为大多数的路由都是在系统启动过程早期添加的，所以建议用数字的IP地址替代主机名，这样做就可以确保路由配置不依赖千名称服务器的状态。(3)网络测试命令ping。配置完成路由以后，可以用ping命令做一个测试来检查一下配置是否成功。ping命令用千查看网络上的主机是否在工作，它向被查看主机发送ICMPECHO_REQUEST包，正常情况下应该可以接收到响应。ping命令的一般格式如下。ping-选项主机名m地址第9章网络操作系统与应用服务器1389 常用参数和选项说明如下。-t:校验与指定计算机的连接，直到用户中断。-a:将地址解析为计算机名。-n count,发送由count指定数量的ECHO报文，在发送指定数目的包后停止。默认值为4。-I length,发送包含由length指定数据长度的ECHO报文。默认值为64字节，最大值为8192字节。-i ttl,将“生存时间”字段设置为ttl指定的数值。ping命令通过向计算机发送ICMP回应报文并且监听回应报文的返回，以校验与远程计算机或本地计算机的连接及参数配置情况，可以使用ping实用程序测试计算机名和IP地址。如果能够成功校验IP地址却不能成功校验计算机名，则说明名称解析存在问题。在这种情况下，要保证在本地HOSTS文件中或DNS数据库中存在要查询的计算机名。(4)网络查询命令netstat。网络信息查询命令netstat可以显示内核路由表、活动网络连接的状态和每个已安装网络接口等一些有用的统计信息。像大多数Linux管理命令行程序一样，netstat可以通过其后面的附加选项和参数选择所显示信息的细节。netstat命令的一般格式如下。netstat-选项参数常用参数和选项说明如下。-a:显示所有连接的信息，包括那些正在侦听的。.一i:显示所有已配置网络设备的统计信息。-C:持续更新网络状态（每秒一次），直到被人为中止。-r:显示内核路由表。-n:以数字（原始）格式而不是已解析的名称显示远程和本地地址。在使用netstat命令时可以组合这些选项，所以输入netstat-rn将以原始的IP地址格式显示关千本地和远程主机(n)的系统路由表(r)。例如，运行下面的命令：rootredhat-64-#netstat-nr 系统显示：Kernel IP routing table Destmanon Gateway 0.0.0.0 10.0.252.0 0.0.0.0 Genrnask 10.0.252.254 0.0.0.0 Flags MSS Window irtt!face UG 255.255.255.0 U 0 0 0 0 0 eno 16780032 0 eno 16780032 390 I 网络工程师教程（第5版）-n选项强制netstat以点分四组IP数字的形式，而不是以主机和网络名称的形式输出地址。第二列显示路由项中所指向的网关。如果没有使用网关，就会显示星号。第三列是子网掩码。第四列显示路由的标志：U表示处千活动状态，H表示主机，G表示网关，D表示动态路由，M表示已经修改过。接下来的3列显示MSS、Window和血，它们将被应用于通过该路由建立的TCP连接。MSS(Maximum Segment Size)表示“最大分段尺寸，也是内核所构建以通过该路由发送的数据报的最大尺寸。Window表示系统一次从远程主机接收突发的最大量数据。首字母缩写词u1t代表“初始往返时间(initialround trip tim)。TCP协议一直对发送给远程端点的数据报和接收到的确认所花费的时间进行记数，以便知道假定要重发数据报前需要等待的时间，这个过程称为往返时间。可以使用route命令设置irtt值。在上面这个路由表中，这些字段均为0值，表明正在使用默认值。最后这个字段表示所显示的路由使用的网络接口。用-i选项调用netstat命令可以显示所有已配置接口的一些有用的统计信