UOS和CentOS的竞赛环境网络搭建.pdf

1、责任编辑赵志远SystemMaintenance&Management系统维护与管理UOS和CentOS的竞赛环境网络搭建达州职业技术学院人工智能学院吴刚编者按：探讨了2 0 2 2 年职业院校技能大赛网络系统管理赛项Linux网络部署模块的基础网络搭建。2022年的职业院校技能大赛网络系统管理赛项有三个模块。其中，模块C是Linux网络部署，包含CentOS和UOS-Server两种操作系统、6 台计算机；部署的网络拓扑包括三个网段，需要实现的网络功能包括路由转发、Iptables防火墙、VxLAN、VPN、S D N等，需要实现的服务包括DNS、We b 及代理、DHCP及代理、FTP、S

2、 a m b a、CA、M A I L、NFS、数据库等。该网络在VMwareWorkstation虚拟平台中搭建。本文为了研究的便利，采用OracleVMVirtualBox虚拟平台，主要探索基础网络搭建，包括设备互联、操作系统网络接口配置、DHCP服务及代理、lptables防火墙等功能的实现及验证。系统拓扑图如图1所示。设备互联及网络地址规划1.网络地址规划网段和网络地址规划如表1所示。2.设备互联在VirtualBox的“主机网络管理器”中创建三个网络，分别是VirtualBoxHost-Only Ethernet Adapter#2至#4，分别对WindowsVirtualBoxCe

3、ntOS AppSrv192.168.100.100/24Centos StorageSrv192.168.100.x/24CentosInsideCli192.168.0.x/24设备系统IspSrvUOSispsrvappsrv.AppSrvCstoragesrv.StorageSrvCroutersrv.RouterSrvCinsidecli.InsideCliC192.168.100.1/24192.168.0.1/24VirtualBoxHost-OnlyNetwork#3centoS Routersrv192.368.100.254/24192.168.0.254/24Virtua

4、lBoxHost-OnlyNectwork#2图1系统拓扑图表1网段和网络地址规划表FQDN81.6.63.1/2481.6.63.254/24VirtualBoxHost-OnlyNetwork#4IP/子网掩码/网关81.6.63.100/24/无192.168.100.100/24/192.168.100.254DHCPFromAppSrv192.168.100.254/24/无192.168.0.254/24/无81.6.63.254/24/无DHCPFromAppSrvUos IspSrv.81.6.63.100/24UosOutsidecli81.6.63.110/24投稿信箱20

5、23.9103SystemMaintenance&Management 系统维护与管理责任编辑赵志远应内网19 2.16 8.0.0/2 4、19 2.16 8.10 0.0/2 4和外网81.6.63.0/24三个网段。【注意】需要停用VirtualBox自身的DHCP服务功能。VirtualBox虚拟机网卡配置，在“网卡”的“连接方式”中需要选择“仅主机（Host-Only）网络,这样才支持多个虚拟网段组网。通过“高级”选项查看MAC地址，用于和虚拟机操作系统中的网络接口MAC地址匹配，以区分Linux系统的enp0s3、e n p 0 s 8、e n p 0 s 9 分别对应哪个虚拟交换

6、机和网段。3.操作系统网络接口配置CentOS和UOS操作系统的网络接口配置中的配置文件、关键字和内容都不相同，难以记忆。但是都支持相同的命令，如hostnamectl、n m t u i 和nmcli命令。修改AppSrv主机名和FQDN：hostnamectl set-hostname appsrv 或 nmcligeneral hostname appsrv或修改/etc/host name通过“19 2.16 8.10 0.10 0 appsrv”命令修改/etc/hosts，添加FQDN，其他主机配置相似。创建RouterSrv网络连接：nmcli connection add co

7、n-name enp 0 s 8ifname enp 0 s 8 type ethernet ipv 4.addresses192.168.100.254/24 ipv4.method manual autoconnectyesnmcli connection add con-name enp 0 s 9ifname enp 0 s 9 type ethernet ipv 4.addresses81.6.63.254/24 ipv4.method manual autoconnectyesnmcli connection modify enp 0 s 3 ipv 4.addresses 192

8、.168.0.254/24 ipv 4.methodmanual autoconnect yes对于RouterSrv的enpOs8和enp0s9网络接口，装机之后没有对应的接口配置文件，需要新建网络连接；而enpos3则默认存在，只需要修改即可。其他主机配置与之相似。重启网络后，如果使用“Systemctlrestartnetwork”命令会发生卡顿，表示无法获取IP地址。4.RouterSrv开启路由转发永久开启，写入内核，编辑“vim/etc/sysctl.conf，加入行“net.ipv4.ip_forward=1，通过命令“sysctl-p”进行加载，再通过“sysctl-a lgr

9、epip_forward”命令查看配置结果。结果如下所示。net.ipv4.ip_forward=1net.ipv4.ip_forward_use_pmtu=0在访问测试时，可以在每台电脑上临时关闭SELinux和防火墙。命令为“setenforce O；systemctl stop firewalld。DHCP服务和DHCP代理1.AppSrvDHCP服务配置暂时停止防火墙和SELinux：setenforce 0;systemctl stop firewalld移除自带的repo源文件，并配置本地yum源。添加默认路由：lp route add default via 192.168.10

10、0.254这是一次性的，使用nmcli的ipv4.gateway选项效果更好。这也是关键的一步。Nmcli connection modify enp 0 s 3 ipv 4.gateway 192.168.100.254通过“yuminstalldhcp-y”命令挂载光盘，安装DHCP服务。复制DHCP服务配置文件：cp/usr/share/doc/dhcp-4.2.5/2023.9投稿信箱责任编辑赵志远SystemMaintenance&Management系统维护与管理example/etc/dhcp/dhcpd.conf修改vim/etc/dhcp/dhcpd.conf:default

11、-lease-time 43200;的默认租用时间max-lease-time259200;log-facility local7;subnet 192.168.0.0 netmask 255.255.255.0#跨网段分配地址池range 192.168.0.110 192.168.0.190;option domain-name-servers 192.168.100.100;option domain-name ;option routers 192.168.0.254;subnet 192.168.100.0 netmask 255.255.255.0(#测试DHCP服务能否正常工作r

12、ange 192.168.100.110 192.168.100.190;option domain-name-servers 192.168.100.100;1host insidecli hardware ethernet 08:00:27:62:06:47;fixed-address 192.168.0.190;1修改vim/etc/rsyslog.conf:local7.*/var/log/dhcpd.log通过“Systemctlenabledhcpd”命令设置开机启动DHCP服务。通过“Systemctlstartdhcpd”命令启动DHCP服务。2.RouterSrvDHCP代理

13、配置在RouterSrv挂载光盘，配置本地yum源，安装DHCP服务。启动DHCP中继代理：dhcrelay 192.168.100.100#按要求设置3.DHCP服务和DHCP代理测试分别使用StorageSrv和Insidecli进行测试，使#最大租用时间用“systemctirestartnetwork”重新获取IP地址。#分离日志lptables防火墙1.安装Web服务为了测试防火墙规则，需要在AppSrv安装Web服务Apache，在IspSrv安装Nginx。安装Apache:yum installhttpd-y访问Web时，需要关闭SELinux和防火墙。修改/etc/selin

14、ux目录下的config文件，将“SELINUX=enforcing”修改为“SELINUX=disabled。添加自定义测试主页“vim/var/www/html/index.html，内容为“elcome,Iam appsrv!2023。在IspSrv中安装Nginx，在UOS Server20-1050a版本中安装软件，使用yum安装，而不再是apt。移除默认repo文件，编辑vim/etc/yum.#固定分配客户端地址repos.d/mnt.repo。通 过“yum install nginx-y命令安装Nginx及PHP组件。修改默认主页：/usr/share/nginx/html/

15、index.htmlWelcometolspSrv!2023#分离日志启动Nginx服务：通过“systemctlstartnginx进行访问测试，首先自己进行访问服务测试，然后再进行跨网段访问测试。测试时，需要关闭SELinux和防火墙。2.lptables防火墙在RouterSrv上安装lptables:投稿信箱 2023.9105System Maintenance&Management系统维护与管理责任编辑赵志远yum install iptables-services停用Firewalld:systemctl stop firewalld;systemctl disablefirew

16、alld启用lptables:systemctl start iptables;systemctl enableiptables规划和启用NAPT：iptables-A POSTROUTING-s 192.168.0.0/24-0enpOs9-jMASQUERADEiptables-A POSTROUTING-s 192.168.100.0/24-0 enp0s9-jMASQUERADE查看配置：iptables-t nat-nvL POSTROUTING I grepenpos9规划和启用DNAT服务器映射（暂时只能实现Web测试服务）：iptables-A PREROUTING-d 81.

17、6.63.254/32-p tcp-m multiport-dports 53,80,443-j DNAT-to-destination 192.168.100.100查看配置：iptables-t nat-nvL PREROUTING I grepDNAT在默认网关允许的策略下，测试内网AppSrv访问外网IspSrV，命令如下。规划并过滤规则，放行Web流量和DHCP中继请求，为了内网连接网关SSH服务，也加以放行，拒绝其余流量。iptables-A INPUT-s 192.168.0.0/24-p tcp-m multiport-ports 22-j ACCEPT#方便xshell用SS

18、H配置iptables-A INPUT-p udp-m multiport-ports67,68-j ACCEPT#代理DHCPiptables-A FORWARD-p tcp-mmultiport-ports 53,80,443-j ACCEPT#Web流量、DNS流量双向转发iptables-A OUTPUT-d192.168.0.0/24-p tcp-m multiport-ports 22-j ACCEPT#方便Xshell用SSH配置iptables-A OUTPUT-p udp-m multiport-ports 67,68-j ACCEPTiptables-PINPUTDROPi

19、ptables-POUTPUTDROPiptables-PFORWARDDROP通过“service iptables save”命令保存配置。此过程也会出现重启系统丢失lptables配置的情况，需要重启lptables服务。访问网关的流量为SSH,网关代理的流量为DHCP中继，需要在INPUT和OUTPUT中放行。网关转发的流量为Web，需要在FORWARD中放行。因为数据包需要双向通过，所以使用-ports端口进行限定，而非-dports。将Web转发测试设置为“通过”，而SSH转发设置为“禁用。结语职业技能大赛紧贴社会主流技术发展，研究职业技能大赛可以促进教学更接近实战技能，紧跟技术发展方向。本文探讨并实现了2 0 2 2 年职业院校技能大赛网络系统管理赛项Linux网络部署模块的基础网络搭建，包括设备互联、操作系统网络接口配置、DHCP服务及代理、lptables防火墙等技术的实现及验证。后续还有大量的竞赛内容需要探讨并实现，这也是笔者以后的主要工作内容。N#代理DHCP2023.9投稿信箱