1. 程式人生 > >linux筆記6.0

linux筆記6.0

個人筆記

命令:
ping 檢查網絡連通性
ping -f DoS攻擊
arp -n 查看ARP表
ifconfig、route、netstat 網絡管理命令(老)
ip、ss、tc 網絡管理命令(新)
dmesg 查看內核硬件加載
mtr 查看路由
traceroute 檢測發出數據包經過網關數量
tracepath 分析網絡延遲問題
tcpdump 抓包工具
nmtui 文本用戶界面
lsmod 加載模塊
modprobe -r 卸載模塊(rmmod)
grub2-mkconfig 生成grub2配置文件
nmcli 網絡管理工具(centos7)
hostname 顯示主機名
nslookup、host、dig 確定域名解析服務器(DNS)使用
traceroute、tracepathftp 跟蹤路由
ftp
lftp
wget
links

網絡基礎
註意:
專線成本高,對應的安全性也高
普通網絡成本較低,但安全性相對較差

網絡應用程序:
Web瀏覽器:Chrome、IE、Firefox、360...
即時消息:QQ、微信、釘釘...
電子郵件:Outlook、foxmail...
協作:視頻會議、VNC、Netmeeting、WebEx...
Web服務:apache、nginx、IIS...
文件共享:ftp、nfs、samba...
數據庫:MySQL、MariaDB、MongoDB...
中間件服務:Tomcat、JBoss
安全服務:Netfilter

用戶應用程序對網絡的需求

批處理應用程序:
FTP、TFTP、庫存更新
無需直接人工交互
帶寬很重要,但並非關鍵因素
交互式應用程序:
庫存查詢、數據庫更新
人機交互
用戶需要等待響應,所以響應時間很重要,但並非關鍵因素,除非要等待合很長時間
實時應用程序:
語音、視頻
人與人交互
端到端的延時至關重要

網絡特征
帶寬(速度)(平時說的帶寬是以Mb(bit)為單位,要以MB(byte)為單位就要除8)
成本
安全性
可用性(正常時間/總時間,占比越大可用性越高)
可擴展性(利用設備模塊化,增加冗余性,提高可擴展性)
可靠性
拓撲

拓撲介紹:
總線型(同軸電纜)
環形:信號環繞傳輸,存在單點失敗問題
雙環型:FDDI(光纖數字分布式接口)用於城市網路
星型:常用,但存在單點失敗問題,用冗余技術解決,但需要消耗成本

擴展星型:比星型的復原能力強
全網狀:容錯能力強,成本高

網絡模型分層
註意:易混概念
OSI:開放系統互聯(網路國標)
ISO:國際標準化組織
IOS:蘋果操作系統、Cisco設備操作系統
IEEE:國際電氣電子工程師組織

OSI模型(7層):
7-應用層:為應用程序進程提供網絡服務
6-表示層:格式化數據(二進制轉換成可讀性數據),提供加密功能
5-會話層:建立、管理、終止應用程序間的會話
4-傳輸層:數據段(segment),tcp協議可靠,udp協議不可靠
3-網絡層:數據包(packet),識別邏輯地址(ip地址),具有路由功能
2-數據鏈路層:格式化數據,形成數據幀(frame),支持校驗(CRC),識別物理(MAC)地址

,MTU最大傳輸單元
1-物理層:硬件設備間互聯,數據(10二進制)以bit為單位傳輸
層級關系:
下層為相鄰上層提供服務

數據封裝
自上而下層層封裝(除物理層),數據鏈路層不但封裝報頭還增加一個FCS(幀校驗序列)
數據解封
自下而上層層解封
實現:
1和2層:由網卡實現
3和4層:由操作系統實現
5/6/7層:由應用程序實現

PDU
Protocol Data Uint,協議數據單元,是指對等層次之間傳遞的數據單位
1-bit
2-frame
3-packet
4-segment
5、6、7-message

三種通訊模式
1、單播(unicast):通訊目標單一,所有都能收到,但只有目標不會丟棄
附:網卡設置成混雜模式,就能接收所有(集線器Hub場景下)
2、廣播(broadcast):通訊目標是所有
3、組播(multicast):通訊目標是組內,適用於集群環境

廣域網
WAN,Wide Area Network,覆蓋範圍最大
城域網
MAN,Metropolitan Area Netwrk,城市範圍內建立的計算機通信網
局域網
LAN,Local Area Network
組成:
Computers:
PCs
Server
Interconnection(相互連絡):
NICs(網卡)
Media(網線)
Network devices(網絡設備):
Hubs
Switches
Routers
Protocol(協議):
Ethernet
IP
ARP
DHCP
...

物理層和數據鏈路層
網絡線纜
Coaxial(同軸電纜)
Fiber-Optic(光纖,正在普及)
Twisted-Pair(雙絞線,現在還是最常用)
UTP(Unshielded,非屏蔽雙絞線,常用)
STP(Shielded,屏蔽雙絞線,抗幹擾力強,成本高)

UTP
線序:
T568A(淘汰):綠白,綠,橙白,藍,藍白,橙,棕白,棕
T568B:橙白,橙,綠白,藍,藍白,綠,棕白,棕
註意:
100M內,線序可隨便排序,只要一一對應(只有1236用得到)
100M以上,若不按線序排列,會造成電磁幹擾嚴重,導致數據丟失

直通線(Straight-Through):
兩頭采用相同線序,即為直通線(用於不同設備相連)
交叉線(Crossover):
一端采用A,一端采用B,即為交叉線(用於相同設備相連,特例:交換機(非家用型)與電腦相

連)

LAN標準
早期IEEE 802.3(wifi協議 IEEE 802.11)
現在Ethernet2
Ethernet2協議已取代IEEE 802.3

Frame結構
Ethernet2:(72-1526byte)
8byte-前導信息
6byte-目的地址(Destination Address,MAC地址)
6byte-源地址(Source Address)
2byte-類型(Type,上層協議的類型)
46--1500byte-數據(Data)
4byte-FCS(校驗信息)

MAC地址構成
48位二進制構成
占6字節
前三個字節代表廠家編號(OUI)
後三個字節由廠家指定
MAC世界唯一

早期傳輸模式
物理層概念:
單工:單向傳輸(收音機、喇叭、廣播、早期的電視)
雙工:
半雙工(Half):輪流雙向(對講機)
全雙工(Full):同時雙向(手機)

CSMA/CD
載波監聽多路訪問/沖突檢測
采用總線型拓撲結構,同軸電纜鏈接
通訊機制:
發數據前先監聽幹信道有沒有數據傳輸,沒有傳輸就發送數據,但有可能兩個客戶端同時發送數

據導致沖突,就等待一個隨機時間重新發送
早期的通訊方式,工作在10M環境下,效率低

通訊設備
集線器(Hub,工作於物理層)
多端口中繼器(信號在傳輸過程中會衰減,中繼器的作用就是在中途放大信號)
特點:
不能記憶源MAC和目的MAC
共享帶寬
半雙工

網橋(工作於數據鏈路層)
功能:
擴展了網絡帶寬(每個端口占一個帶寬)
分隔了網絡沖突域,使網絡沖突域被限制在最小的範圍內
(沖突域:兩臺主機同時發送數據,若在網絡中沖突了,就稱這兩臺主機在同一個沖突域中,若

沒發生沖突,就稱這兩臺主機在不同沖突中,沖突域越小越好)
但網橋不能隔斷廣播域
(廣播域:一個主機向外發廣播,收到的主機全在該廣播域中,廣播域越小越好)
工作原理:
學習源目MAC,建立MAC表
對於未知MAC地址,網橋將轉發到除接收該幀的端口之外的所有端口
當網橋接到一個數據幀時,如果該幀的目的位於接收端口所在網段上,它就過濾掉該數據幀;如

果目的MAC地址在位於另外一個端口,網橋就將該幀轉發到該端口
網橋與交換機工作原理相似,交換機相當於升級版網橋

交換機(Switch,數據鏈路層)
特點:
每個接口就算一個沖突域
全雙工
性能好
但無法隔斷廣播
附:
1、網卡可協商通訊方式,但只能按照較低設備通訊方式進行通訊
2、網卡是物理層和數據鏈路層設備

路由器(Router,網絡層)
功能:
分隔廣播域
選擇路由表中到達目標的最優路徑(路由功能)
可以維護和檢查路由信息
鏈接廣域網
鏈接不同網段
註意:路由表不止在路由器中有,在PC、Server等需要跟網絡通訊的設備上都有

VLAN
Virtual Local Area Network, 虛擬局域網
功能:
分隔廣播域(在交換機中個隔斷廣播,VLAN間不能互相訪問)
提供網絡安全(將不同部門主機分隔,避免不同部門間的機密泄露)
靈活管理
trunk(幹道):不屬於任何VLAN,不同VLAN都可以通過,通過trunk協議(IEEE 802.1Q)識別

通過的數據是屬於哪個VLAN(在數據前打上VLAN標簽)

網絡的分層架構
從規劃網絡來分層:
核心層(Core Layer):企業級應用快速轉發,高速訪問服務器,核心交換機實現
分布層(Distribution Layer):廣播域、路由、安全、遠程接入、訪問層匯聚,路由器實現
訪問層(Access Layer):終端接入,普通交換機實現

TCP/IP
Transmission Control Protocol/Internet Protocol,傳輸控制協議/因特網互聯協議
TCP/IP是一個Protocol Stack(協議棧),包括TCP、IP、UDP(用戶數據報協議)、ICMP(控制

報文協議)、RIP(路由信息協議)、TELNET(遠程登錄協議)、FTP(文件傳輸協議)、SMTP(

簡單郵件傳輸協議)、ARP(地址解析協議)等許多協議
定義了四層模型,和OSI參考模型的分層有對應關系
TCP/IP模型(四層):
4-應用層-->5,6,7
3-傳輸層-->4
2-Internet層-->3
1-網絡訪問層-->1,2

每層所擁有的協議:
4:FTP、TFTP、NFS(Network File System)、HTTP、HTTPS、SMTP、DNS、POP3、IMAP、SSH、

TELNET...
3:TCP、UDP
2:IP、ICMP、ARP、RARP(反向地址轉換協議)
1:Ethernet

傳輸層
功能:
多種會話
數據切片
流量控制(需要時,特定協議下)
面向文件(視協議而定)
可靠傳輸(視協議而定)

TCP
傳輸控制協議,應用最廣泛的協議
可靠傳輸,但性能較差
數據包有傳輸序列(包有編號)
用於:E-mail、File sharing(共享)、Downloading
特性:
工作在傳輸層
面向連接(先協商,連接穩定後再傳輸)
全雙工
半關閉(支持一端關閉)
錯誤檢查
數據打包成段,排序
確認機制(接收端收到數據發送確認信息)
數據恢復(重傳)
流量控制(收發端主機性能不同,可協商傳輸速度,滑動窗口)
擁塞控制(網絡繁忙時等待,慢啟動和擁塞算法)

TCP包頭
前32位,0-15:源端口號,16-31:目的端口號
端口號(標識上層應用程序地址):
2^16=65535,可表示65535個應用程序(每個層序都有相應的端口號port number)
0-1023:系統端口或特權端口(僅管理員可用),如22(ssh)、80(http)、443(https)、

21(ftp)、69(tftp)、53(dns)、25(smtp)、110(pop3)、23(telnet)
1024-49151:用戶端口或註冊端口,要求不嚴格,可自行分配給程序使用,如1433(sql server

)、1521(oracle)、3306(msql)、11211(memcached)
49152-65535:動態端口或私有端口,客戶端隨機使用的端口(服務器端口固定)
32位,包序號,2^32=42億多,當序號用光後將重新編序號(相同序號用時間戳區分)
32位,確認號(發送端seq,接收端ack),發送端先發一個確認號(seq),接收端再發一個確

認號(seq)並且發一個確認收到的確認號(ack=seq+1)
4位,數據偏移,TCP包頭大小可變,用偏移量確定包頭長度
6位,保留項
6位,1-URG緊急指針位,確定後面的緊急指針是否有用(0無效,1有效);2-ACK,確認前面的

確認號是否有效(0無效,1有效);3-PSH,確認收到數據後直接傳給用戶還是先存到buffer中

(0緩存,1直傳);4-RST重置位,確認傳輸是否出錯(0正常,1出錯);5-SYN,建立連接時使

用,用來同步序號(只在前兩次握手中為1);6-FIN,通知對方要關閉連接(1)
16位,窗口,發送數據的大小,依靠滑動窗口技術控制發送數據大小(數據段個數)
16位,校驗和,提供額外的可靠性
16位,緊急指針,標記緊急數據在數據字段中的位置
非必須有:
24位,選項(長度可變),常見選項:最大報文長度,窗口擴大,時間戳
8位,填充

TCP三次握手(連接)
client--SYN=1,seq=x-->server(第一次)
client<--SYN=1,ACK=1,seq=y,ack=x+1--server(第二次)
client--ACK=1,seq=x+1,ack=y+1--server(第三次)

TCP四次揮手
正常協商斷開情況:
client和server都有可能主動發送斷開請求
--FIN=1,seq=u-->(第一次)
<--ACK=1,seq=v,ack=u+1--(第二次)
被動端進入關閉等待狀態,將殘留數據傳完
<--FIN=1,ACK=1,seq=w,ack=u+1--(第三次)
--ACK=1,seq=u+1,ack=w+1-->(第四次)
主動端進入時間等待狀態(2倍MSL消息生存期),等待殘留數據收完
以上是理想狀況

有限狀態機FSM
Finite State Machine,TCP握手和揮手時客戶端和服務器的狀態

SYN攻擊
利用偽造IP向服務器發送SYN請求,服務器會默認相應,並保存數據包狀態進內存中等待第三次

握手,這樣就會消耗服務器內存空間,當用大量偽造IP對服務器發送SYN請求會導致內存消耗盡

,使服務器癱瘓
利用防火墻或相關服務屏蔽SYN攻擊

TC超時重傳
網絡異常情況下,會出現超時或丟包現象,TCP服務必須能夠重傳超時未收到確認的TCP報文段,

以保證其可靠服務
最小重傳:默認3次
最大重傳:默認15次

UDP
用戶數據報協議
不可靠傳輸,但性能好
數據包無編號(可能出現亂序導致文件損壞的情況)
用於:Voice streaming(語音串流)、Video streaming(視頻串流)
特點:
工作在傳輸層
提供不可靠的網絡訪問
非面向連接
有限的錯誤檢查
傳輸性能高
無數據恢復

UDP包頭
前32位,16位源端口號,16位目的端口號
16位,UDP length(長度)
16位,UDP checksum(校驗和)

Internet層
ICMP協議:
Internet Control Message Protocol,控制報文協議
作用:
檢測網絡連通性,判斷網絡狀態
ping命令,就是基於該協議實現(tcpdump icmp -nn可以跟實時跟蹤,相當於抓包工具)
原理:向目標主機發送icmp包,對方收到會回發icmp包表示網絡是通的;若不通可通過抓包判斷

問題
ping ip -s 指定包大小(最大65507),通過該命令可以測試網絡穩定性(將包調大,增加網絡

負載,若網絡不穩定,會出現丟包現象)

DoS攻擊
Denial of Service,拒絕服務攻擊
ping ip -s 65507 -f(flood,泛洪),會盡發送端所能向接收端發送數據包,而不等待接收端

回復,使接收端負載急劇增加,導致接收端癱瘓,這是一種基於ICMP的攻擊手段
DDoS攻擊
分布式拒絕服務攻擊
聯合多臺主機作為攻擊平臺,發動DoS攻擊

ARP協議
Address Resolution Protocol,地址解析協議
作用:
將IP地址解析成MAC地址
原理:
向網絡中發廣播詢問要訪問的IP地址對應的主機是誰,對應主機收到詢問,做出響應將本機的IP

地址和MAC地址予以回應,詢問端收到回應將IP和MAC的映射關系記錄在本機的ARP表中
註意:
ARP是基於廣播實現的,所以他不能跨網段實現,若要跨網段,需先將包發給網關(相連的路由

接口的IP地址),路由根據路由表找到對應網段才能實現跨網段實現ARP功能
linux查看ARP表:
ip neigh
arp -n

ARP攻擊
通過偽造IP地址和MAC地址的映射實現ARP欺騙,可以獲取目標主機發送的數據

RARP協議
反向地址轉換協議
實例:
無盤工作站(主機上只有cup、內存,沒有硬盤,沒有系統)
啟動時向DHCP服務器申請IP(提供自己的MAC地址請求分配一個IP地址)
DHCP服務器根據綁定的MAC-IP對應關系,將固定IP分配給主機

IP協議
Internet Protocol,Internet協議,最重要協議
特點
運行於網絡層
面向無連接
獨立處理數據包
分層編址(IP地址分兩部分,網絡位和主機位)
盡力而為傳輸
無數據恢復

IP報頭
4位,版本(IPv4,IPv6)
4位,首部長度(IP報頭長度)
8位,區分服務
16位,總長度(包括數據的總長度,不能超過MTU)
16位,標識(分割包後,判斷分片所屬包)
3位,標誌(判斷包是完整的還是分割的)
13位,片偏移(切片是包的第幾塊)
8位,生存時間(ttl,以經過路由器數量為單位,穿過一臺路由器就-1,默認64)
8位,協議(上層協議類型,TCP-6,UDP-17)
16位,首部校驗和
32位,源地址(IP)
32位,目的地址
32位,可選字段(長度可變)和填充

IP地址
兩部分組成:
網絡位:標識網絡,每個網段分配一個網絡ID
主機位:標識單個主機,由管理者分配給設備
現在主流IPv4,IPv6還未普及
IP地址格式:
點分十進制
IP地址是一個32位二進制數,將其劃分為四組八位二進制數,使之可讀,每組二進制都可轉換成

十進制

IP計算公式:
網段個數=2^可變網絡位
一個網段中主機數=2^主機位-2

有類IP地址分類:
A類:
0XXXXXXX.X.X.X,1-126.X.X.X(10.0.0.0-10.255.255.255為私有IP地址)
8位網絡位,24位主機位,126個網段,一個網段1600萬臺主機
B類:
10XXXXXX.X.X.X,128-191.X.X.X(172.16.0.0-172.31.255.255為私有IP地址)
16位網絡位,16位主機位,16384個網段,一個網段65534臺主機
C類:
110XXXXX.X.X.X,192-223.X.X.X(192.168.0.0-192.168.255.255為私有IP地址)
24位網絡位,8位主機位,200萬個網段,一個網段254臺主機
D類:
1110XXXX.X.X.X,224-239.X.X.X
多播地址
E類:
11110XXX.X.X.X,240-254.X.X.X
保留,用作實驗

私有地址:
A:10.0.0.0-10.255.255.255
B:172.16.0.0-172.31.255.255
C:192.168.0.0-192.168.255.255
私有地址較為安全,互聯網無此類地址的路由信息,因此無法訪問,但私有地址可通過路由訪問

互聯網

特殊地址:
0.0.0.0:未知網絡,常用作默認(缺省)路由
127.0.0.1:本地回環(loop)地址,用於測試
169.254.X.X:當主機使用DHCP功能自動獲取IP,一旦DHCP發生故障,Windows系統將自動分配一

個這樣的地址給主機
255.255.255.255:限制廣播地址

保留地址:
一個網段內有兩個地址是保留不可使用的
網絡地址:主機位全為0
廣播地址:主機位全為1

無類IP地址
CIDR(無類別域間路由):
X.X.X.X/N
子網掩碼(netmask):
指定IP地址的網絡位(netmask=1),主機位(netmask=0)
判斷無類IP是否在一個網段中:
計算網絡地址(netid,IP地址與子網掩碼做對位相與),比較是否相同
劃分子網(將大網絡劃分為小網絡):
網絡位不變,向主機位借位,借n位就能多劃分2^n個網絡(相應的子網掩碼也會改變)
合並超網(將多個小網合並成一個大網):
前提:多個小網的網絡地址(netid)要一樣
主機位不變,向網絡位借位,一直借到所有小網的網絡位相同,相同的位就作為大網的網絡位

跨網段通信
通過路由實現多個網段互聯通信
路由表中每一行都代表一條路徑
路由分類:
主機路由:到達一臺主機的路徑(特殊情況下會使用)
網絡路由:到達一個網段的路徑(用的最多)
默認路由(缺省):為路由表中沒有的目標提供路由功能,通常處於邊界位置的路由會配
優先級:
精度越高,優先級越高(主機>網絡>默認)
路由表構成(簡單):
1、目標:數據包發送的目標路徑
2、子網掩碼(netmask):目標IP的子網掩碼
3、接口(interface):路由器的出口
4、網關(gateway):分直連和非直連
(1)直連:不需要配
(2)非直連:能到達該網絡的路徑上的臨近本路由的端口

Linux基本網絡配置
主機名
IP/netmask
路由(默認網關)
DNS服務器(可多個)

CentOS6網絡屬性配置
接口命名方式:
以太網:eth[0,1,2...]
ppp:ppp[0,1,2...]
網絡接口識別並命名相關的udev配置文件:
/etc/udev/rules.d/70-persistent-net.rules
可在該文件中修改網卡名
查看網卡:
dmesg|grep -i eth
ethtool -i eth0
卸載網卡驅動:
modprobe -r e1000
rmmod e1000
裝載網卡驅動:
modprobe e1000

網絡配置方式
靜態指定:
老(過時)命令:ifconfig,route,netstat
新命令:ip,ss,tc
字符界面:system-config-network-tui,setup
修改配置文件:/etc/sysconfig/network-scripts/ifcfg-網卡名
重啟網絡服務:service network restart
動態獲取:
DHCP(Dynamic Host Configuration Protocol,動態主機配置協議)

ifconfig命令
ifconfig 顯示活動的網卡信息
-a 顯示所有的網卡信息
網卡名 up|down 禁用|啟用網卡
類似命令:ifup|ifdown 網卡名(網卡必須有配置文件才能被禁用)
網卡名 IP/N 配置網卡的IP地址和子網掩碼(CIDR表示方式),臨時配置,用於測試
promisc 啟用混雜模式,-promisc關閉混雜模式

route命令
路由管理命令
route -n 查看路由信息
route add 添加路由
-host|-net|default 主機路由|網絡路由|默認路由
IP/N|IP netmask target(目標)地址
gw 網關地址
dev 發出接口(可不加,自動判斷)
附:默認路由的兩種寫法:
1、route add default gw X.X.X.X
2、route add -net 0.0.0.0 netmask 0.0.0.0 gw X.X.X.X
route del 刪除路由
配置動態路由:
通過守護進程獲取動態路由
安裝quagga包
路由協議:RIP(路由信息協議)、OSPF(開放式最短路徑優先)、BGP(邊界網關協議)
RIP:根據路徑上路由器數目選擇路由器最少的路徑(不考慮帶寬因素)
OSPF:考慮更全面,更優(企業常用)
BGP:互聯網上常用
用vtysh命令配置

netstat命令
顯示網絡鏈接
-t(--tcp):tcp協議相關
-u(--udp):udp協議相關
-w(--raw):socket相關(socket文件用於實現本地通訊,本機上兩個網絡相關的程序通訊)
-l(--listening):處於監聽狀態
-a(--all):所有狀態
-n(--numeric):以數字顯示IP和端口
-e(--extend):擴展格式
-p(--program):顯示相關進程及PID
顯示路由表:
-r(--route):顯示內核路由表(-rn相當於route -n)
顯示接口統計數據:
-i(--interfaces):顯示所有接口信息(註意:RX接收包數,TX發送包數)
-I=網卡名:顯示指定接口信息

ip命令
用來替代ifconfig甚至是route
功能很全,有很多子工具(用tab可全部顯示,centos6需裝bash-completion可行)
用法:
ip [options] OBJECT(可選擇操作針對的對象,如:link、addr、route...)
ip link:顯示數據鏈路層信息
set 網卡名 up|down:激活|禁用網卡

ip addr:顯示網絡層信息
add IP/N dev 網卡名:為網卡設置IP
label 網卡名:n:指明網卡別名(同一網卡配多個IP時使用)
設置網卡模式:
global:全局可用(內核中所有IP信息所有網卡都知道,默認使用,且最常用)
link:僅鏈接可用(只知道本網卡IP信息)
host:本機可用(地址只本機內有效)
del IP/N 網卡名:刪除該網卡上指定IP地址
flush 網卡名:刪除該網卡上所有地址

ip route:顯示路由信息
add IP/N via IP(via等價gw):寫路由信息
del(後跟的信息可直接復制路由表信息):刪除路由
flush:清空路由表

ss命令
用法與netstat相似,性能更優
更多選項:
-m:顯示內存用量
-o:計時器信息
過濾信息功能:
‘( dport(目標端口)=:程序|端口號 or sport(源端口)=:程序|端口號 )’
過濾指定程序的信息
常見用法:
ss -l:顯示本地打開的所有端口
ss -pl:顯示每個進程具體打開的socket
ss -t|-u -a:顯示所有tcp|udp socket
ss -o state establish‘( dport=:ssh or sport=:ssh )’:顯示所有已建立的ssh連接
ss -s:列出當前socket詳細信息

修改配置文件
IP相關配置文件:
/etc/sysconfig/network-scripts/ifcfg-網卡名
關鍵配置:
DEVICE=網卡名
BOOTPROTO=dhcp/static|none(指定IP獲取方式)
IPADDR=X.X.X.X(IP地址)
NETMASK=X.X.X.X(子網掩碼傳統格式)
PREFIX=N(子網掩碼CIPR格式)
GATEWAY=X.X.X.X(網關)
DNS1=114.114.114.114(域名解析服務器地址,可設置多個,防止一個故障)
DNS2=8.8.8.8
DNS3=1.1.1.1
註意:本機dns配置在/etc/resolv.conf中,但/etc/host中手動配置的dns優先級更高,
所有配置:
HWADDR(MAC地址)
ONBOOT(開機自啟)
TYPE(接口類型)
UUID(設備唯一標識)
USERCTL(普通用戶可否控制)
NM_CONTROLLED(是否接收NetManager控制)

路由相關配置文件:
/etc/sysconfig/network-scripts/route-網卡名
註意:需重啟網絡服務,修改的配置才能生效
兩種格式:
1、目標地址 via 網關地址(如:10.0.0.0/8 via 172.16.0.1)
2、每三行定義一條路由
ADDRESS#=
NETMASK#=
GATEWAY#=

附:
1、修改主機名:vim /etc/sysconfig/network
改完配置文件還需執行hostname 新主機名,使配置生效

網卡別名(實質:單個網卡配置多個IP)
ifconfig 網卡名:n IP/N
ip addr add IP/N dev 網卡名 label 網卡名:n
想要永久保存就寫配置文件:vim /etc/sysconfig/network-scripts/網卡名:n
相當於給物理網卡配置一個別名
ping -I:可指定網卡接口(在一個網卡多個IP的情況下使用,可以判斷哪個IP有問題)
應用:單臂路由(路由器的一個網卡配置兩個網段)
註意:標準網卡可以用DHCP也可以指定IP,別名網卡只能使用指定IP

多網卡綁定技術(實質:一個地IP綁定多個網卡)
Bonding工作模式(7種)
Mode0(balance-rr):
輪轉(Round-robin)策略,綁定網卡輪流處理數據包,本模式提供負載均衡和容錯能力
Mode1(active-backup):
主備(活動-備份)策略,一個網卡運行,另一個監控,運行網卡故障啟用備用網卡
Mode2(balance-xor):
平衡策略,提供負載平衡和容錯能力
Mode3(broadcast):
廣播策略,所有網卡傳送所有數據包,提供容錯能力
Mode4(IEEE802.3ad Dynamic link aggregation):
IEEE802.3ad動態鏈接聚合
Mode5(balance-tlb):
適配器傳輸負載均衡
Mode6(balance-alb):
適配器適應性負載均衡
1,5,6模式不需要交換機任何特殊配置,其他模式需要配置交換機
註意:運行Bonding需要停止NetManager服務

Bonding配置
創建bonding設備的配置文件:
/etc/sysconfig/network-scripts/ifcfg-bond0
DEVICE=bond0
BOOTPROTO=none
IPADDR=
PREFIX=
BONDING_OPTS=“mode=1(bonding模式) miimom=100(監控間隔=100ms) ”
將網卡加入到bonding中:
/etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
BOOTPROTO=none
MASTER=bond0
SLAVE=yes
USERCTL=no
查看bond0狀態:
/proc/net/bonding/bond0
刪除bonding:
ifconfig bond0 down
modprobe -r bonding/rmmod bonding

CentOS7網絡屬性配置
網卡命名介紹:
centos6及之前,網絡接口使用連續號碼命名:eth0、eth1...,這種方式在硬件發生改變時(增

加或刪除網卡),名稱可能會發生變化,導致配置出錯
centos7使用基於硬件(備拓撲和設置類型)命名,例如:
1、集成再主板上的網卡,eno1(en:Ethernet)
2、PCI-E擴展槽上的網卡,ens1
3、可以根據物理接口(插槽)位置信息命名
4、可以根據MAC地址信息命名
5、上述均不可用,則使用傳統命名機制
這種命名機制,名稱不會因物理硬件發變化而改變,但不便於統一管理
為方便管理,centos7修改為采用傳統命方式:
間接修改:
編輯/etc/default/grub配置文件
1)GRUB_CMDLINK_LINUX="...rhgb quiet"最後加上net.ifnames=0
2)為grub2生成配置文件
grub2-mkconfig -o /etc/grub2.cfg
3)重啟系統
直接修改:
1)編輯/boot/grub2/grub.cfg,在menuentry開頭的段中linux16開頭的行尾加上net.ifnames=0
2)重啟系統
附:
主機名配置文件/etc/hostname,默認沒有此文件
設置主機名:
方法1:修改配置文件/etc/hostname,運行hostname 主機名,使修改生效
方法2:直接利用工具修改:hostnamectl set-hostname 主機名

強大工具nmcli
network manager command line tool,網絡管理命令行工具
用法:
nmcli device:管理網絡設備接口
disconnect:斷開網絡鏈接(刪除地址)/connect:鏈接
...更多選項可用tab鍵查看
nmcli connection:管理網絡鏈接
show:查看配置(加設備名查看詳細設備信息)
add:添加配置,基本配置:con-name配置名、ifname設備名、type網絡類型、ipv4.method

auto(自動獲取ip)|manual(手動指定ip)、connection.autoconnect(開機自啟)...更多配

置可用tab鍵查看
up:啟用配置(一個網卡可有多個配置,用該選項切換)
modify:修改配置,+ipv4.ipaddress(可在網卡配置文件中寫多個IP地址,效果與別名相似)
delete:刪除
reload:重新加載配置
...

支持bonding操作,但centos7上有了代替的技術
網絡組Network Teaming:
將多個網卡聚合在一起,從而實現冗余容錯和提高吞吐量
相較於bonding技術,能提供更好的性能和擴展性
由內核驅動和teamd守護進程實現
支持多種方式runner
創建方法:
nmcli con add type team con-name 組名 ifname 接口名(邏輯設備) [config ‘{"runner":

{"name":"METHOD"}}‘]
添加網卡:
nmcli con add type team-slave con-name 連接名 ifname 網卡名 master 組名

網橋
橋接:把多個主機的若幹網卡鏈接起來,形成一個類似網橋或交換機的作用。
例:兩臺主機分別有三塊網卡(eth0、eth1、eth2),將A主機eth2與B主機的eth0做橋接,這樣

不管哪個終端發廣播,所有端口都能收到

測試網絡工具
顯示主機名:hostname
測試網絡連通性:ping、mtr
顯示正確的路由表:ip route
確定域名解析服務器(DNS)使用:nslookup、host、dig
跟蹤路由:traceroute、tracepath

網絡客戶端工具
ftp
子命令:
get(下載單個文件)、mget(可下載多個文件)、put(上傳)、mput、ls、help
lftp
代替ftp,用法更方便
lftpget:可直接下載,不需交互
以上命令只能下載ftp文件
wget
可下載各種類型文件
-q:靜默模式
-c:斷點續傳
-P:保存在指定目錄
-O:保存為指定文件名
--limit-rate=:指定傳輸速率,單位K,M等
links
測試web服務
--dump:只顯示文字
--source:支持查看源碼

linux筆記6.0