FreeBSD_11-系統管理——{Part_3-網絡}

時間 2019-11-21

原文原文鏈接

1、Network Serversapi

DNS

unbound/local_unbound

# /etc/rc.conf
　　local_unbound_enable="YES"
# 測試指定 DNS 服務器是否暢通且啓用安全特性（DNSSEC），測試經過的 DNS 服務器地址可保留在 /etc/resolv.conf 用做 unbound 或 local_unbound(系統自帶的僅用於本地服務的精簡版) 的緩存源
　　drill -S FreeBSD.org  @8.8.8.8

$ drill -S FreeBSD.org
;; Number of trusted keys: 1
;; Chasing: freebsd.org. A

DNSSEC Trust tree:
freebsd.org. (A)
|---freebsd.org. (DNSKEY keytag: 36786 alg: 8 flags: 256)
    |---freebsd.org. (DNSKEY keytag: 32659 alg: 8 flags: 257)
    |---freebsd.org. (DS keytag: 32659 digest type: 2)
        |---org. (DNSKEY keytag: 49587 alg: 7 flags: 256)
            |---org. (DNSKEY keytag: 9795 alg: 7 flags: 257)
            |---org. (DNSKEY keytag: 21366 alg: 7 flags: 257)
            |---org. (DS keytag: 21366 digest type: 1)
            |   |---. (DNSKEY keytag: 40926 alg: 8 flags: 256)
            |       |---. (DNSKEY keytag: 19036 alg: 8 flags: 257)
            |---org. (DS keytag: 21366 digest type: 2)
                |---. (DNSKEY keytag: 40926 alg: 8 flags: 256)
                    |---. (DNSKEY keytag: 19036 alg: 8 flags: 257)
;; Chase successful

#啓用 local_unbound，以後每一個域名從第二次重複訪問時，將經過本地 DNS 緩存加速解析
　　service local_unbound onestart(服務啓動後將會註釋掉 resolv.conf 中已有的 nameserver IP)

FTP 服務器

ftpd：FreeBSD 自帶的一個精簡實用的 ftp 服務器

# /etc/ftpusers：禁止登錄 ftp 服務器的用戶名單
　　root
　　...
　　nobody
# /etc/ftpchroot：將全部用戶鎖定在指定目錄(如：/home/ftp)下，禁止查看外部的目錄結構
　　@    /home/ftp
# /etc/rc.conf
　　ftpd_enable="YES"

容許匿名登錄
- 創建名爲 ftp 的用戶，任意客戶端可以使用 ftp 用戶名(無需密碼)登錄
- 匿名用的戶的可見範圍被自動鎖定在 ftp 用戶的 home 目錄中

NTP 服務器

# /etc/rc.conf
    ntpd_enable="YES"
# /etc/ntp.conf：用於陳列多條上游(源) NTP 服務器地址
    server    ntp1.nl.net
    server    120.25.108.11

2、Advanced Networking安全

Gateways and Routes

# /etc/rc.conf
#設置默認路由(等效命令：route add default 10.0.0.1)
　　defaultrouter="10.0.0.1" #設置靜態路由(等效命令：route add -net 192.168.0.0/24 192.168.0.1)
　　static_routes="net1 net2"
　　route_net1="-net 192.168.0.0/24 192.168.0.1"
　　route_net2="-net 192.168.1.0/24 192.168.1.1"

USB Tethering

# Android 手機網絡共享
　　kldload if_urndis

Bridging

基礎應用

#手動建立虛擬網橋，添加網口成員，成員類型能夠爲物理端口或其它虛擬端口(如：vlan 等)
    ifconfig bridge create #能夠自定義端口名稱，如：ifconfig bridge8 create，將建立名爲 bridge8 的設備，僅能以 虛擬設備類型 後跟 數字的方式命名
    ifconfig bridge addm alc0 addm alc1 up
# 靜態設置：/etc/rc.conf
    cloned_interfaces="bridge0"
    ifconfig_bridge0="addm alc0 addm alc1 up inet 10.0.0.2/8"
    ifconfig_alc0="up"
    ifconfig_alc1="up" # RSTP(The Rapid Spanning Tree Protocol)：傳統 stp 協議的升級版，用於防止產生環路
    ifconfig bridge0 stp alc0 stp alc1

高級應用

# 將多個物理網口的流量彙集到虛擬網橋，用於監控分析，被聚積的流量通過網橋後將被直接丟棄
    ifconfig bridge0 addm alc0 addm alc1 addm alc2 addm alc3 monitor up
    tcpdump -i bridge0
# 設定鏡像端口(span)，網橋收到的全部流量都將複製一份至鏡像端口，但從鏡像口流入的流量再也不進入網橋，例如本例中的 alc4 端口
    ifconfig bridge0 span alc4
# 限制成員的 IP 數量，一般是 vlan 成員
    ifconfig bridge0 ifmaxaddr vlan_1 10

Link Aggregation and Failover

多網口鏈路聚合技術，用於負載均衡與容災，相似於 Linux 下的 bonding 或 teamd 的應用場景
建立 lacp 類型的鏈路聚合端口

# 需交換機支持，且成員端口必須具有相同的速率與工做模式，如：1000M 全雙工
# Cisco® switch 設置

　　# 建立 channel group
　　interface FastEthernet0/1
　　channel-group 1 mode active
　　channel-protocol lacp
　　!
　　interface FastEthernet0/2
　　channel-group 1 mode active
　　channel-protocol lacp服務器

　　# 查看端口聚合的狀態網絡

　　show lacp neighbor負載均衡

# FreeBSD 主機設置
　　# 手動設置
　　ifconfig lagg9 create up
ifconfig lagg9 laggprotolacplaggport alc0 laggport alc1 10.0.0.3/24 #laggproto 指定端口聚合類型，實用的模式有兩種：failover(僅容錯)、lacp(容錯、負載均衡)
　　# /etc/rc.conf
　　ifconfig_alc0="up"
　　ifconfig_alc1="up"
　　cloned_interfaces="lagg9"
　　ifconfig_lagg9="laggproto lacp laggport alc0 laggport alc1 10.0.0.3/24"

建立 failover 類型的鏈路聚合端口

# 無需交換機支持，對成員端口的速率與工做模式無要求 # FreeBSD 主機設置
　　# 手動設置
　　ifconfig lagg create up
　　ifconfig lagg0 laggproto failover laggport alc0 laggport alc1 10.0.0.3/24 #laggproto 指定端口聚合類型，實用的模式有兩種：failover(僅容錯)、lacp(容錯、負載均衡)
　　# /etc/rc.conf
　　ifconfig_alc0="up"
　　ifconfig_alc1="up"
　　cloned_interfaces="lagg0"
　　ifconfig_lagg0="laggproto failover laggport alc0 laggport alc1 10.0.0.3/24"

...tcp

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。