Transcript 網管基礎網路概論
網管基礎─網路概論 主講人:黃德文 Linux部份文件引用自鳥哥網站之簡報 何謂網路 一群電腦透過纜線互相連接,彼此分享資訊。 透過網路可以分享檔案、裝置、應用程式。 ? ? 網路分類─依規模來分 區域網路 ? ? 都會網路 廣域網路 網路主要形態 Server-Client(主從式) 伺服端擔任中央控制節點,可提供網路安 全與網路管理機制 優缺點 Peer-Peer(對等式網路) 沒有主要的伺服器,而是由對等端以群組 的方式組成,對等端之間能彼此分享資源 優缺點 混合式 實務上通常是兩者混合。 常見網路作業系統 UNIX(Linux,FreeBSD….) Novell Windows NT.2000.2003server 網路的元件 傳輸媒介 網路拓樸 網路設備 網路傳輸媒介 網路傳輸媒介的分類 有線傳輸 無線傳輸 有線傳輸 塑膠套 絕緣體 中心銅導線 同軸電纜 網狀導體 細電纜 粗電纜 雙絞線 UTP STP 光纖電纜 單模 多模 UTP 塑膠套 箔包裝遮蔽 雙絞銅線 STP 塑膠套 玻璃包覆物質 玻璃核心 網路之拓樸分類 匯流排拓樸 ( Bus Topology ) 星狀拓樸 ( Star Topology ) 環狀拓樸 ( Ring Topology ) 網狀拓樸 ( Mesh Topology ) 拓樸 優 點 缺 點 BUS 使用最少線材 檢修困難 Ring 所有設備公平存取,可反向流動避開 故障線路 比bus更多的線材 Star 容易檢修 使用很多線 集線器故障─整個網路不能使用 資料可以利用最快路線傳送 最多線材 不容易管理 Mesh 匯流排拓樸 ( Bus Topology ) 環狀拓樸 ( Ring Topology ) 星狀拓樸 ( Star Topology ) 網狀拓樸 ( Mesh Topology ) 網路設備 數據機(內接、外接) 網路卡(pci.usb.pcmcia…) 10.100.1000Mbps 中繼器 當雙絞線或同軸電纜在傳送電子訊號時, 會有訊號衰減的問題,因此當訊號想要 傳送到遠方時必須要有一個訊號加強器 -(中繼器)。中繼器在訊號衰減到一 定程度之前將訊號加強傳送出去。 集線器 用來連接兩個以上網路裝置的設備。 一般分主動與被動 常用在Star網路架構中 橋接器(Bridge) 主要將大型網路切割成較小型的一些子網路 常用在乙太網路 處理OSI架構中第一層與第二層,具有中繼器 與集線器的功能 用來連接使用不相似媒介的網段,相同存取方 法。 MSAU 交換器(switch) 結合集線器、橋接器的裝置 通常用於骨幹 有網管功能 分第二、三、四…層交換器 路由器(router) 連接不同網路的裝置 選徑(Routing);使用路由表,依 據目前網路使用情況動態的傳送資料, 使得網路傳送達到最佳化 位於網路第三層通訊協定 可讓不同的網路架構相連接在一起 (不同區域網路拓樸、不同網路媒介、 不同存取方法) 閘道(Gateway) 和路由器一樣,連結不同區域網路拓樸 及不同區域網路媒介的裝置。 轉換不同區域網路間的通訊協定。 代表一個網路單位的入口設備。 區域網路 乙太網路 10Base5.10BaseT.10Base2 100Mbps 1000Mbps 10Gigabit 10GbE 架設乙太網路 安裝網路卡 安裝驅動程式 壓線(Rj-45)(有無跳線) 壓線及佈線工具介紹 剝線器、壓線鉗、斜口鉗、接頭、護套及線 乙太網路 訊號廣播 MAC位址與定址 碰撞(碰撞領域) CSMA/CD 中繼器、橋接器 半雙工、全雙工 其他區域網路 交換式乙太網路 Token Ring Apple Talk HomePlug 無線網路 IEEE802.11 802.11b—802.11a—802.11g 藍芽技術 802.16 GSM—GPRS WAP 廣域網路 封包交換 電路交換 細包交換 一般我們接觸ADSL,Cable (Frame Relay)(ppp)(ATM)(X.25)…. OSI 七層協定 僅是一個模式,使程式開發者可以依循 應用層 (Application) :應用程式 表現層 (Presentation) :應用程式 會談層 (Session) :三向交握 傳送層 (Transport) :路由概念 網路層 (Network) :IP 資料連接層 (Data Link) :網路卡卡號 實體層 (Physical) :網路線 影片 IP基礎 IP封包傳送 IP定址與路由 IP封包切割與重組 擷取封包(ethereal、sniffer、NetAnalyzer) 傳送模式─單點及多點 IP. netmask IP 是什麼 (32 bits 的組成, IPv4) 00000000.00000000.00000000.00000000 ==>0.0.0.0 11111111.11111111.11111111.11111111 ==>255.255.255.255 我們為了方便,所以都使用十進位方便閱讀使用。 IP 可以分為 Network ID 與 Host ID 192.168.0.11111111 |network-|--host----| Netmask 規劃網域的參數之一 限制住廣播的範圍,使流量與傳輸的效率較佳 一組網域所需要的參數 Network ID :網段的第一個 IP Broadcast :網段的最後一個 IP Netmask :是否為同一網段 書寫方式: Network/Netmask 192.168.0.0/255.255.255.0 192.168.0.0/24 (用 Network ID 佔用的 bits 數) 常見的網域分類: A Class : 0xxxxxxx.xxxxxxxx.xxxxxxxx.xxxxxxxx==>開頭是 0 |network|---------host------------| B Class : 10xxxxxx.xxxxxxxx.xxxxxxxx.xxxxxxxx==>開頭是 10 |----network-----|------host------| C Class : 110xxxxx.xxxxxxxx.xxxxxxxx.xxxxxxxx==>開頭是 110 |---------network---------|-host--| 子網路(subnet) 子網域 140.127.243.0/26 140.127.243.0/26 ?? 140.127.243.11000000 |-network-----|--h--| 上面的 Broadcast 與 network 各為多少? 私有IP(nat使用) Public IP:可直接與 Internet 溝通 Private IP:私有路有不可與 Internet 直接連接 A Class:10.0.0.0 - 10.255.255.255 B Class:172.16.0.0 - 172.31.255.255 C Class:192.168.0.0 - 192.168.255.255 Public IP 取得方式 固定制:學術網路、ISP 撥接制:ISP ADSL 傳統撥接 Cable:ISP DHCP協定 ARP與ICMP 網路層(IP)與資料連接層的相關協定 ARP介紹 ICMP介紹 每一TCP封包至少會有: 來源與目的地的 IP 來源與目的地的協定 ( port )(nmap.netstat) 該封包的動作 (SYN/ACK…) 透過 TCP 封包的資訊,進行封包的傳輸 TCP/IP影片 一組成功的網路設定應該要有 IP Network Broadcast Netmask Gateway ( Router ) DNS.DHCP. Proxy.. DNS概念 DHCP的運作 Proxy Port的觀念 網際網路 架構 上網方式 www FTP Mail使用 Voip(網路電話) 網路規劃 以switch連接多個區網 以路由器切網路 機房規劃 備份機制 線路整理 LAN與Wan 學校內部ADSL上網架構 中華電信 縣網中心 ATU-R 分線盒 Router 9U 集線器 nat防火牆 電腦教室 Switch 行政電腦 Server Linux 網路基本設定檔 (以Debian為例) IP 的相關設定 主機名稱的相關設定 路由的設定與觀察 協定與對應的 port Linux 網路基本設定檔 IP 的相關設定 網路卡: dmesg lspci modconf(網路卡模組) /etc/network/interface Iface eth0 inet static address 192.168.1.5 netmask 255.255.255.0 network 192.168.1.0 broadcast 192.168.1.255 gateway 192.168.1.1 Linux 網路基本設定檔 IP 的相關設定 檔案方式修改 IP Vi eth0 ifup eth0 ifdown eth0 指令方式修改 IP ifconfig eth0 192.168.1.1 netmask 255.255.255.0 up ifconfig eth0 down Linux 網路基本設定檔 IP 的相關設定 會有幾個介面? 內部迴圈: lo 實體網路卡:eth0, eth1…. 實體網路介面:eth0, eth1, ppp0…. 虛擬的網路介面:eth0:0, eth0:1…. 以一張網路卡進行 rp-pppoe 撥接:lo + eth0 + ppp0 Linux 網路基本設定檔 IP 的相關設定 auto lo eth0 iface lo inet lookback 固定取得的 IP: 經由修改 ifconfig-eth0 iface eth0 inet static LAN (DHCP): 經由修改 ifconfig-eth0 iface eth0 inet dhcp Linux 網路基本設定檔 主機名稱的相關設定 /etc/hosts 127.0.0.1 localhost localhost.localdomain /etc/resolv.conf nameserver 168.95.1.1 Linux 網路基本設定檔 路由的設定與觀察 route 一定要有一個 default 才可以 route add …. route del ... Linux 網路基本設定檔 協定與對應的 port netstat /etc/services 套件使用的協定名稱與 port 之對應使用上 述之 /etc/services,例如著名之 http Linux 網路設定常見問題 找不到網路卡: modconf 換一張卡(螃蟹卡) IP 找不到: 確定 IP 取得的方式,設定 ifconfig-eth0 或者是撥接,或者是尋找 LAN 內的網管 以 ifconfig 檢驗 Linux 網路設定常見問題 網路傳不通 以ping 127.0.0.1 以 ping 檢查內部的電腦(可以是hub) 以 ping route 檢查路由 以 traceroute 檢查每個節點! Linux 網路設定常見問題 主機名稱找不到 /etc/hosts /etc/resolv.conf 用 ping 找一下 168.95.1.1 ! Linux 開放網路服務前的工作 主機的 partition 規劃 IP 的取得方式 (撥接?固定?價格?) 一個『合法』的主機名稱 套件升級沒? 門窗關了沒? 防火牆架設了嗎? 登錄檔與備份的 scripts 配合 cron Linux 開放網路服務前的工作 主機的 partition 規劃 主機開放的服務類別? 是否需要 quota ? 規劃出備份槽 Swap 與實體記憶體…. Linux 開放網路服務前的工作 IP 的取得方式 (撥接?固定?價格?) 所需的頻寬? 負責人的價格認知? 網站的屬性? 架站者認知的難易度 網站的發展性? Linux 開放網路服務前的工作 一個『合法』的主機名稱(DDNS?) 不要直接使用 IP ,很不方便未來升級; 撥接所得不固定 IP 也能架站: www.adsldns.org 需要以 scripts 定時自我檢查! 需要註冊一個合法的名字或 DNS 主機 『不一定』要架設 DNS 主機! Linux 開放網路服務前的工作 套件升級沒? 最重要! 可以使用 apt-get 自動 Linux 開放網路服務前的工作 門窗關了沒? 怎麼知道有 daemon 在 LISTEN ? netstat, nmap 如何關閉? 如何開機時不啟動? rcconf, chkconfig, update-rc.d Linux 開放網路服務前的工作 防火牆架設了嗎? 『防火牆』就是規則比對! /etc/hosts.allow, /etc/hosts.deny 先檢查 hosts.allow 再繼續 /etc/hosts.deny in.ftpd: ALL (: deny / allow ) 需要找出來實際工作的 daemon 程式! Linux 開放網路服務前的工作 防火牆架設了嗎? 利用 iptables 登錄檔與備份的 scripts 配合 cron /var/log/messages 備份是真的重要的 系統自動備份 定期手動將資料 copy 出來! Linux 網路安全考量 無論如何,一定要隨時注意最新的套件 更新資訊,這是最容易被利用來入侵的 一環! 沒必要的 daemon 就將他關閉!避免夜 長夢多! Linux 網路安全考量 危險的服務還是少開為妙: ftp : 以 proftp, vsftp 取代 wu-ftp mail: 以 postfix 取代 sendmail telnet :以 SSH 取代 SSH 服務允許接入點不要太多。 Linux 網路安全考量 檔案權限的規劃還是很重要的: /etc/shadow chattr 的使用 /var/log/messages 網路安全考量 防火牆使用(軟、硬體) 人侵偵測系統(網路型、主機型) 弱點掃描 VPN 防毐軟體 備份程式 備援機制 網路入侵 攻擊動機 網路漏洞 密碼攻擊(暴力攻擊、字典攻擊、社教 工程攻擊) 分享疏忽 阻斷攻擊(消耗系統緩衝區、消耗磁碟 空間、消耗cpu、消耗頻寬) 惡性程式與電腦病毒 網路安全 管理機制 帳號與權限管理 防火牆使用 加密與解密 (對稱、非對稱─私有加密,公開解..) 數位簽章(採用與雜湊與公開金鑰兩種 方式) Linux網路偵錯 瞭解發生網路問題的可能狀況: 步驟一:網路卡工作確認:重新驅動網路卡 步驟二:區域網路硬體連線確認 步驟三:確認路由表資料沒有問題 步驟四:確認 DNS 的 IP 設定 步驟五:NAT 功能( 或 IP 分享器 )是否正常 步驟六:ADSL 數據機或 router 的問題 步驟七:主機服務是否關掉了與服務權限的 問題