==================================================================================from: http://www.ibm.com/developerworks/cn/linux/kernel/l-netbr/index.htmlALinux网桥的实现分析与使用
文档选项未显示需要 javaScript的文档选项
打印本页
将此页作为电子邮件发送级别: 初级祝顺民([email=getmoon@163.com?subject=ALinux%E7%BD%91%E6%A1%A5%E7%9A%84%E5%AE%9E%E7%8E%B0%E5%88%86%E6%9E%90%E4%B8%8E%E4%BD%BF%E7%94%A8&cc=]getmoon@163.com[/email])xml error:Please enter a value for the author element's jobtitle attribute, or the company-name element, or both.2004 年3 月09 日本文分析了linux2.4.x内核的网桥的实现方法,并且描述了如何使用2.4中的网桥。网桥,类似于中继器,连接局域网中两个或者多个网段。它与中继器的不同之处就在于它能够解析它收发的数据,读取目标地址信息(MAC),并决定是否向所连接网络的其他网段转发数据包。为了能够决策向那个网段发送数据包,网桥学习接收到数据包的源MAC地址,在本地建立一个以MAC和端口为记录项的信息数据库。 一、Linux内核网桥的实现分析 Linux 内核分别在2.2 和 2.4内核中实现了网桥。但是2.2 内核和 2.4内核的实现有很大的区别,2.4中的实现几乎是全部重写了所有的实现代码。本文以2.4.0内核版本为例进行分析。 在分析具体的实现之前,先描述几个概念,有助于对网桥的功能及实现有更深的理解。
在Linux内核网桥的实现中,一个逻辑网段用net_bridge结构体表示。一个逻辑网段需要保留的信息有: 
描述了网桥的数据结构后,就可以开始数据包处理流程的分析。 网桥处理包遵循着以下几条原则: 
前面多次提到网桥的虚拟网卡,实际上在网桥中,这个网卡存在着一个net_device结构(在net_bridge里),但是不存在着实际的物理设备,而是附在网桥中每个物理网卡上面。这个虚拟网卡的支持函数在(br_device.c)。因为是虚拟的网卡,所以没有物理中断产生,每个需要发送到这个设备的数据包都是靠判断数据包的目的MAC地址来决定是否需要提交到本地上层协议栈(在__br_handle_frame判断)。 如果数据包需要向上层协议提交,都调用br_pass_frame_up函数来处理。在这个函数中,首先把skb->dev设置成br->dev。然后再模拟在中断中处理数据包一样,进行相应的处理,然后调用netif_rx放入接收队列。这里有一个要十分注意的地方,这个数据包的skb->dev已经变成br->dev。所以在网络接收软中断处理函数net_rx_action中不会再次进入handle_bridge了。 static void br_pass_frame_up(struct net_bridge *br, struct sk_buff *skb){ br->statistics.rx_packets++; br->statistics.rx_bytes += skb->len; skb->dev = &br->dev; skb->pkt_type = PACKET_HOST; skb_pull(skb, skb->mac.raw - skb->data); skb->protocol = eth_type_trans(skb, &br->dev); netif_rx(skb);} 
回页首二、配置内核 2.4 Linux 网桥 要配置网桥,首先需要网桥的配置工具bridge-utils。这个配置程序的源代码可以在 http://bridge.sourceforge.net/bridge-utils/下载。编译成功之后,就可以生成网桥配置的主要工具brctl。 下面,我们将用brctl对以下网络拓扑配置网桥,使Linux能够对数据包进行交换。 
上图中,有五台主机。其中中间那台主机装有linux,安装了网桥模块,而且有四块物理网卡,分别连接同一网段的其他主机。我们希望其成为一个网桥,为其他四台主机(IP分别为192.168.1.2,192.168.1.3,192.168.1.4,192.168.1.5)之间转发数据包。同时,为了方便管理,希望网桥能够有一个IP(192.168.1.1),那样管理员就可以在192.168.1.0/24网段内的主机上telnet到网桥,对其进行配置,实现远程管理。 前一节中提到,网桥在同一个逻辑网段转发数据包。针对上面的拓扑,这个逻辑网段就是192.168.1.0/24网段。我们为这个逻辑网段一个名称,br_192。首先需要配置这样一个逻辑网段。 # brctl addbr br_192 (建立一个逻辑网段,名称为br_192) 实际上,我们可以把逻辑网段192.168.1.0/24看作使一个VLAN ,而br_192则是这个VLAN的名称。 建立一个逻辑网段之后,我们还需要为这个网段分配特定的端口。在Linux中,一个端口实际上就是一个物理网卡。而每个物理网卡的名称则分别为eth0,eth1,eth2,eth3。我们需要把每个网卡一一和br_192这个网段联系起来,作为br_192中的一个端口。 # brctl addif br_192 eth0 (让eth0成为br_192的一个端口)# brctl addif br_192 eth1 (让eth1成为br_192的一个端口)# brctl addif br_192 eth0 (让eth2成为br_192的一个端口)# brctl addif br_192 eth3 (让eth3成为br_192的一个端口) 网桥的每个物理网卡作为一个端口,运行于混杂模式,而且是在链路层工作,所以就不需要IP了。 # ifconfig eth0 0.0.0.0# ifconfig eth1 0.0.0.0# ifconfig eth2 0.0.0.0# ifconfig eth3 0.0.0.0 然后给br_192的虚拟网卡配置IP:192.168.1.1。那样就能远程管理网桥。 # ifconfig br_192 192.168.1.1 给br_192配置了IP之后,网桥就能够工作了。192.168.1.0/24网段内的主机都可以telnet到网桥上对其进行配置。 以上配置的是一个逻辑网段,实际上Linux网桥也能配置成多个逻辑网段(相当于交换机中划分多个VLAN)。具体的方法可以参考bridge-util中的HOWTO。 回页首三、总结 本文分析了Linux网桥的实现,并且举例说明如何配置网桥。 通过学习网桥的实现,就能够了解网络中二层交换的原理。 网桥和交换机的功能非常相似,所以在分析网桥的时候,绝大多数情况下可以用交换机的处理方法来分析网桥的动作。 关于作者祝顺民,网名:getmoon。目前从事防火墙开发,致力于网络的研究和开发,分析linux内核。经常出没于 www.linuxforum.net的内核板块。希望于爱好者们共同探讨。email: [email=getmoon@163.com?cc=]getmoon@163.com[/email] ================================================linux协议栈之网桥实现(从网桥配置说起(二))------------------------------------------本文系本站原创,欢迎转载!转载请注明出处:http://ericxiao.cublog.cn/------------------------------------------关于网桥:网桥是一个二层设备,在深入之前可以把它当成一个二层的交换机。它在二层协议上转发数据。网桥为了转发数据,维持了一个端口与MAC的对应表,通常通为CAM表。根据这张表可以把数据送往相应的端口进行发送.网桥的转发过程为:1:接收到一个包。判断自己的CAM表中是否含包它此包的源地址.如果没有,则把源地址与端口更新至于CAM表.2:判断包是否是送给本机,如果是,则送往本机上层协议栈处理。如果不是,则查寻CAM表。找到相应的出口。3:如果找到出口,则将此包送至出口。如果不存在,将会在各端口发送。4:如果CAM表中对应表项在规定时间之内没有得到更新,则删除此项。网桥的配置:Brctl是一个比较好的配置网桥的工具。它的源代码和配置方法极其简单。我们将从网桥的配置流程说起,看linux内核是怎样一步步管理的。首先,创建一个网桥: brctl addbr br0 (建立一个br0的网桥)然后,将接口添加进网桥:brctl addifbr0 eth0 (将eth0和eth1添加进网桥br0) brctl addif bro eth1OK,网桥现在就配置好了。这台linux的主机可以当作交换机使用了,从eth0的包都可以转发到eth1。现在,我们看下代码中如何进行处理首先 brctl addbr 。查看brctl的代码发现它调用了:ioctl(br_socket_fd, SIOCBRADDBR, brname);然后 brctl addif 在brctl的代码中调用了:ioctl(br_socket_fd, SIOCBRADDIF, &ifr);呵呵。Brctl的代码很简单吧,只是调用了用户空间的配置工具ioctl.Linux网桥分析:好了,现在就可以进入内核分析网桥模式了:static int __init br_init(void) (net/brige/br.c){ //分配slab缓冲区 br_fdb_init();//网桥的netfiter处理,将在以后的章节中分析#ifdef CONFIG_BRIDGE_NETFILTER if (br_netfilter_init()) return 1;#endif //用户空间ioctl调用的函数 brioctl_set(br_ioctl_deviceless_stub); //接收到数据包的处理,也就是我们在上面netif_receive_skb函数中看到的br_handle_frame_hook br_handle_frame_hook = br_handle_frame;#if defined(CONFIG_ATM_LANE) || defined(CONFIG_ATM_LANE_MODULE) br_fdb_get_hook = br_fdb_get; br_fdb_put_hook = br_fdb_put;#endif //在netdev_chain通知链表上注册。关于通知链表,在前面已经介绍过,这里不再讨论了 register_netdevice_notifier(&br_device_notifier); return 0;}==================================================================================from: http://www.linux-cn.com/html/linux/system/20070505/27862.html使用Linux创建网桥式防火墙来源:Linux-cn.com 作者:Webmaster 时间:2007-05-05 点击: [收藏] [投稿]作者:Henry Stilmack原文出处:http://www2.linuxjournal.com/articles/misc/0041.html翻译:ideal 联合天文学中心在夏威夷岛的Manua Kea的14,000英尺高的山顶上拥有两个天文望远镜,还在Hilo市有自己的办公室及其他设施,该组织是是通过夏威夷大学连接到Internet上的,夏威夷大学在自己的B类IP地址范围内给天文中心分配了三个子网。以前天文中心的网络安全性是由出口路由器的 ACL(访问控制列表)连同Soloris或Linux系统的主机访问控制(tcpwrappers)来实现的。最近天文中心的一个主要英国资助基金会在一次审核后强烈推荐安装防火墙来增强网络的安全性。在对几种商业和免费的防火墙产品进行调研以后,发现它们都需要对内部网络的三个不同子网地址都重新进行分配,分配为192.168的内部地址。内部网络的在三个子网上共有超过200个节点,某些嵌入式微处理器系统甚至需要重新烧制EEPROM以实现IP变换,这是一个非常麻烦和庞杂的任务。因此就开始寻找透明防火墙解决方案,实现即能保持原有的地址分配,又能实现对内部网络的防护。 Linux 2.2以上版本都支持以太网桥接方式。一个网桥的一个接口接收到数据报以后,通过检查目的MAC地址以后被转发到另外一个接口上,而不去检查源或目的IP地址。一个名为AC2I的法国公司发布了一个内核补丁实现在网桥化的接口上使用ipchains进行数据报过滤。这种解决方案能实现透明的防火墙,同时保证对内部网络提供上层的保护和访问控制。下面我们就讨论如何架设一个网桥式防火墙。1.硬件配置 为了实现高效的防火墙和网络检测,系统CPU必须足够的强大和快速。该系统架设在一台拥有256M内存和500MHz的赛扬CPU系统之上。测试显示桥能满足一个10M以太网的速度要求,而不会出现丢包现象。系统需要三块网卡,其中两块网卡支持网桥的实现,另外一块用来实现对防火墙的管理。 磁盘容量并不是很重要,但是所有的log信息应该被保存下来。若希望维护某些本地logging(用于某些配置和检测工具),则需要确保拥有足够的免费空间-防火墙和入侵检测记录往往非常庞大。2.安装Linux 下面的讨论都基于Linux2.2.16(redhat7.0)版本内核,若使用2.4内核,iptables将会替代ipchains实现内核防火墙。 首先进行标准的Linux安装,但是基本上不要选择任何应用软件包,甚至包括xinet/inetd,因为在该系统上不需要运行任何服务。不要安装编译 /开发工具,因为若系统被攻破则入侵者就不那么容易编译任何程序。但是需要安装Perl(某些报告工具是需要的)和OpenSSH(用于远程管理)。确保安装ipchains软件包-这对于就防火墙设置是必须的。一个web浏览器也许会很有用处。若你仅仅接收来自内部网络的时间更新那么安装NTP则不会有多大坏处。你可以选择安装某些X11应用,tcpwrapper及某些网络监控包 (whois,finger,tcpdump,traceroute,nc等等)。创建一个非root账号,使用该账号登录系统。 安装时,仅仅配置一个主以太接口-该接口将是被保护网络的一个节点-为其配置一个固定的网络地址,此时应该将其连接到一个空的HUB上,在进行安全设置以后再将其连接到网络中。当系统安装完毕并重新启动时,在lilo引导系统时键入linux single以单用户模式引导进入系统,编辑/etc /hosts.allow来只允许管理机通过SSH来连接进入系统,然后重新启动按照正常模式引导进入系统。然后再将主以太接口连接到内部网络中。3.创建支持网桥方式的内核 按照基本的内核编译步骤进行,只不过需要关闭大多数的选项开关,而仅仅打开一些必须的内核编译开关。 进入到/usr/src目录下,拷贝内核源代码到一个新创建的linux-fw目录下: # cd /usr/src;mkdir linux-fw;cp -r linux-2.2.16 ./linux-fw # rm linux;ln -s ./linux-fw linux 对linux源代码打linux_brfw2补丁,该补丁为ipchains添加了一个名为bridgein的缺省规则链。该链将被用来存放网桥式防火墙规则,但是该规则链中的规则只能使用ACCEPT或DENY目标,使用REJECT及MASQ是没有意义的。可以从 http://ac2i.tzo.com/bridge_filter/处得到该补丁。 # patch -p0|linux host|| eth2=->+----------+>ifconfig eth0 down>ifconfig eth1 down>brctl addbr br0>brctl addif br0 eth0>brctl addif br0 eth1>ifconfig eth0 0.0.0.0>ifconfig eth1 0.0.0.0>ifconfig br0 192.168.10.1then, the virtual interface 'br0' can be used for dhcpd to serve ip address on multi-interface.==================================================================================from: http://ansondrew.bokee.com/6414248.html浅析linux网桥设置MAC地址时的行为关键词: linux 网桥 MAC 先说现象brctl addbr br0ifconfig br0br0 MAC is 00:00:00:00:00:00brctl addif br0 eth1(eth1 is xx:xx:xx:xx:xx:33)ifconfig br0br0 MAC is xx:xx:xx:xx:xx:33same as eth1, auto changebrctl addif br0 eth2(eth2 is xx:xx:xx:xx:xx:30)ifconfig br0br0 MAC is xx:xx:xx:xx:xx:30same as eth2, For eth2 less than eth1, auto changeifconfig eth2 hw ether xx:xx:xx:xx:xx:50ifconfig br0br0 MAC is xx:xx:xx:xx:xx:33same as eth1, auto changeifconfig br0 hw ether xx:xx:xx:xx:xx:99ifconfig br0br0 MAC is xx:xx:xx:xx:xx:33same as eth1, NOT changeifconfig br0 hw ether xx:xx:xx:xx:xx:33;same as eth1ifconfig eth2 hw ether xx:xx:xx:xx:xx:20;less than eth1ifconfig br0br0 MAC is xx:xx:xx:xx:xx:33same as eth1, `ifconfig br0 hw` NOT effectiveifconfig eth1 hw ether xx:xx:xx:xx:xx:50;upper op,we set br0 = eth1's MAC,now we change eth1 MACifconfig br0br0 MAC is xx:xx:xx:xx:xx:20same as eth2, auto change结论:br0如果没有指定hw MAC, br0的MAC地址会根据bridge中port的变化,自动选择port中最小的一个MAC地址作为br0的MAC地址。br0只能指定port中有的interface的MAC作为br0的MAC地址。源代码分析:source code dir is: linux-2.4.x/net/bridge- br_device.c br_dev_setup() 注册了一些函数,其中dev->set_mac_address = br_set_mac_address;//这个就是ifconfig br0 hw ether调用的函数了 static intbr_set_mac_address(struct net_device *dev, void *addr) { struct net_bridge *br = dev->priv; struct sockaddr *sa = (struct sockaddr *) addr; 。。。。。 //here ! copy MAC addr to br->preferred_id.addr memcpy(br->preferred_id.addr, sa->sa_data, ETH_ALEN); br_stp_recalculate_bridge_id(br); 。。。。。 }- br_stp_if.c static unsigned char br_mac_zero[6] = {0,0,0,0,0,0}; /* called under bridge lock */ void br_stp_recalculate_bridge_id(struct net_bridge *br) { unsigned char *addr; struct net_bridge_port *p; //初始br0的MAC为00:00:00:00:00:00 addr = br_mac_zero; p = br->port_list; while (p != NULL) { /* match against preferred address first */ if (memcmp(p->dev->dev_addr, br->preferred_id.addr, ETH_ALEN) == 0) { addr = p->dev->dev_addr; //匹配port的MAC地址与首选MAC是否相符 break; } if (addr == br_mac_zero || memcmp(p->dev->dev_addr, addr, ETH_ALEN) dev->dev_addr; p = p->next; } //如果没有Port的话,就为0; //如果没有设置首选MAC,就等于最小的那一个。 //如果设置了首选MAC,则首选MAC必须同其中一个port的MAC匹配,才等于首选MAC if (memcmp(br->bridge_id.addr, addr, ETH_ALEN)) br_stp_change_bridge_id(br, addr); }- 什么时候会执行br_stp_recalculate_bridge_id呢 - in br_device.c 中 br_set_mac_address() - in br_if.c 中 br_del_if() & br_add_if() - in br_notify.c 中 br_devic_event()的 NETDEV_CHANGEADDR 事件,该事件是任意port有修改addr就会触发的 看过代码就很容易理解bridge在处理自身MAC地址时的行为了==================================================================================from: http://hi.baidu.com/pengge168/blog/item/6e6f91fc98718afbfd037f27.html在linux下配置网桥透明模式防火墙一、透明模式防火墙与透明代理的概念 一般而言,防火墙的两个网络接口应分属两个不同的网络,根据系统管理员定义的访问规则在两个接口之间转发数据包,或者拒绝、丢弃数据包。实际上,防火墙不单单是访问控制的功能,而且还充当了路由器的角色。当然,这并非有什么不妥当的地方,但是当你企图把你配置好的防火墙放入运行网络,来保护现有系统安全的时候,你不得不重新考虑和更改你的网络架构。另外一个可能的麻烦是,当防火墙发生意外时,如果没有防火墙的硬件备份的话,那么你将面临巨大的心理压力,因为防火墙的故障,整个网络瘫痪了。假如你把防火墙配置成透明模式(可称为伪网桥),就无需更改网络架构,即使是防火墙不能工作了,要做的仅仅是拔出网线,把网线直接插在路由器的内部接口就可以让网络正常工作,然后你就有时间慢慢恢复发生故障的防火墙。 在防火墙厂商推荐产品的过程中,很多厂商往往会介绍自己的产品实现了透明模式和透明代理。那么究竟什么是透明模式和透明代理呢?他们之间又有何关系呢?下面我们将做具体分析。 透明模式,顾名思义,首要的特点就是对用户是透明的(Transparent),即用户意识不到防火墙的存在。要想实现透明模式,防火墙必须在没有IP地址的情况下工作,不需要对其设置IP地址,用户也不知道防火墙的IP地址。 防火墙作为实际存在的物理设备,其本身也起到路由的作用,所以在为用户安装防火墙时,就需要考虑如何改动其原有的网络拓扑结构或修改连接防火墙的路由表,以适应用户的实际需要,这样就增加了工作的复杂程度和难度。但如果防火墙采用了透明模式,即采用无IP方式运行,用户将不必重新设定和修改路由,防火墙就可以直接安装和放置到网络中使用,如交换机一样不需要设置IP地址。 透明模式的防火墙就好象是一台网桥(非透明的防火墙好象一台路由器),网络设备(包括主机、路由器、工作站等)和所有计算机的设置(包括IP地址和网关)无须改变,同时解析所有通过它的数据包,既增加了网络的安全性,又降低了用户管理的复杂程度。而与透明模式在称呼上相似的透明代理,和传统代理一样,可以比包过滤更深层次地检查数据信息,比如FTP包的port命令等。同时它也是一个非常快的代理,从物理上分离了连接,这可以提供更复杂的协议需要,例如带动态端口分配的H.323,或者一个带有不同命令端口和数据端口的连接。这样的通信是包过滤所无法完成的。 防火墙使用透明代理技术,这些代理服务对用户也是透明的,用户意识不到防火墙的存在,便可完成内外网络的通讯。当内部用户需要使用透明代理访问外部资源时,用户不需要进行设置,代理服务器会建立透明的通道,让用户直接与外界通信,这样极大地方便了用户的使用。一般使用代理服务器时,每个用户需要在客户端程序中指明要使用代理,自行设置Proxy参数(如在浏览器中有专门的设置来指明HTTP或FTP等的代理)。而透明代理服务,用户不需要任何设置就可以使用代理服务器,简化了网络的设置过程。透明代理的原理如下:假设A为内部网络客户机,B为外部网络服务器,C为防火墙。 当A对B有连接请求时,TCP连接请求被防火墙截取并加以监控。截取后当发现连接需要使用代理服务器时,A和C之间首先建立连接,然后防火墙建立相应的代理服务通道与目标B建立连接,由此通过代理服务器建立A 和目标地址B的数据传输途径。从用户的角度看,A和B的连接是直接的,而实际上A 是通过代理服务器C和B建立连接的。反之,当B对A有连接请求时原理相同。由于这些连接过程是自动的,不需要客户端手工配置代理服务器,甚至用户根本不知道代理服务器的存在,因而对用户来说是透明的。 代理服务器可以做到内外地址的转换,屏蔽内部网的细节,使非法分子无法探知内部结构。代理服务器提供特殊的筛选命令,可以禁止用户使用容易造成攻击的不安全的命令,从根本上抵御攻击。 防火墙使用透明代理技术,还可以使防火墙的服务端口无法探测到,也就无法对防火墙进行攻击,大大提高了防火墙的安全性与抗攻击性。透明代理避免了设置或使用中可能出现的错误,降低了防火墙使用时固有的安全风险和出错概率,方便用户使用。 因此,透明代理与透明模式都可以简化防火墙的设置,提高系统安全性。但两者之间也有本质的区别:工作于透明模式的防火墙使用了透明代理的技术,但透明代理并不是透明模式的全部,防火墙在非透明模式中也可以使用透明代理。二、环境搭建2.1.1硬件配置 为了实现高效的防火墙和网络检测,系统CPU必须足够的强大和快速。系统需要三块网卡,其中两块网卡支持网桥的实现,另外一块用来实现对防火墙的管理。(至少2块网卡,可以把管理IP配置在桥接设备上)。磁盘容量并不是很重要,但是所有的log信息应该被保存下来。若希望维护某些本地 logging(用于某些配置和检测工具),则需要确保拥有足够的免费空间-防火墙和入侵检测记录往往非常庞大。2.1.2安装Linux 当系统安装完毕并重新启动时,编辑/etc/hosts.allow来只允许管理机通过SSH来连接进入系统,然后重新启动按照正常模式引导进入系统。然后再将主以太接口连接到内部网络中。2.1.3创建支持网桥方式的内核 按照基本的内核编译步骤进行,只不过需要关闭大多数的选项开关,而仅仅打开一些必须的内核编译开关。下载最新的内核,2.4可能需要下载在网桥模式下的时候让内核能正常支持netfilter的补丁bridge-nf,这个很重要,不打这个patch , iptables 将无法对通过你网桥包做过滤,2.6就已经自带了,地址:http://ebtables.sourceforge.net/download.html,bridge- nf只支持最新版本的原始内核,所以如果你不是对内核很熟悉,请不要试图在老版本内核上安装这个patch,因为你可能根本找不到适合你内核版本的补丁,也不要试图在发行版自带的内核上打这个patch,因为几乎所有Linux发行版都打了很多发行商认为对用户有益的patch,所以你可能根本没办法把 bridgenf成功打到这些内核的源码中。# cd /usr/src/linux-2.4.21# patch –p1用户模式1:进入特权模式 enablerouter > enablerouter #2:进入全局配置模式 configure terminalrouter > enablerouter #configure terminalrouter (conf)#3:交换机命名 hostname routera 以routerA为例router > enablerouter #configure terminalrouter(conf)#hostname routerAroutera (conf)#4:配置使能口令 enable passWord cisco 以cisco为例router > enablerouter #configure terminalrouter(conf)#hostname routerArouterA (conf)# enable password cisco5:配置使能密码 enable secret ciscolab 以cicsolab为例router > enablerouter #configure terminalrouter(conf)#hostname routerArouterA (conf)# enable secret ciscolab6:进入路由器某一端口 interface fastehernet 0/17 以17端口为例router > enablerouter #configure terminalrouter(conf)#hostname routerArouterA (conf)# interface fastehernet 0/17routerA (conf-if)#进入路由器的某一子端口 interface fastethernet 0/17.1 以17端口的1子端口为例router > enablerouter #configure terminalrouter(conf)#hostname routerArouterA (conf)# interface fastehernet 0/17.17:设置端口ip地址信息router > enablerouter #configure terminalrouter(conf)#hostname routerArouterA(conf)# interface fastehernet 0/17 以17端口为例routerA (conf-if)#ip address 192.168.1.1 255.255.255.0 配置交换机端口ip和子网掩码routerA (conf-if)#no shut 是配置处于运行中routerA (conf-if)#exit8:查看命令 showrouter > enablerouter # show version 察看系统中的所有版本信息show interface vlan 1 查看交换机有关ip 协议的配置信息show running-configure 查看交换机当前起作用的配置信息show interface fastethernet 0/1 察看交换机1接口具体配置和统计信息show mac-address-table 查看mac地址表show mac-address-table aging-time 查看mac地址表自动老化时间show controllers serial + 编号 查看串口类型show ip router 查看路由器的路由表9:cdp相关命令router > enablerouter # show cdp 查看设备的cdp全局配置信息show cdp interface fastethernet 0/17 查看17端口的cdp配置信息show cdp traffic 查看有关cdp包的统计信息show cdp nerghbors 列出与设备相连的cisco设备10:csico2600的密码恢复重新启动路由器,在启动过程中按下win+break键,使路由器进入rom monitor在提示符下输入命令修改配置寄存器的值,然后重新启动路由器remmon1>confreg 0x2142remmon2>reset重新启动路由器后进入setup模式,选择“no”,退回到exec模式,此时路由器原有的配置仍然保存在startup-config中,为使路由器恢复密码后配置不变把startup-config中配置保存到running-config中,然后重新设置enable密码,并把配置寄存器改回0x2102:router>enablerouter#copy startup-config running-configrouter#configure terminalrouter(conf)#enable password ciscorouter(conf)#config-register 0x2102保存当前配置到startup-config , 重新启动路由器。router #copy running-config startup-configrouter #reload-------------------------路由器命令大全(二)11:路由器telnet远程登录设置:router>enrouter #configure terminalrouter (conf)#hostname routerArouterA (conf)#enable password cisco 以cisco为特权模式密码routerA (conf)#interface fastethernet 0/1 以17端口为telnet远程登录端口routerA (conf-if)#ip address 192.168.1.1 255.255.255.0routerA (conf-if)#no shutrouterA (conf-if)#exitrouterA (conf)line vty 0 4 设置0-4 个用户可以telnet远程登陆routerA (conf-line)#loginrouterA (conf-line)#password edge 以edge为远程登录的用户密码主机设置:ip 192.168.1.2 主机的ip必须和交换机端口的地址在同一网络段netmask 255.255.255.0gate-way 192.168.1.1 网关地址是交换机端口地址运行:telnet 192.168.1.1进入telnet远程登录界面password : edgeroutera>enpassword: ciscoroutera#12:配置路由器的标识 banner $……………$在全局配置的模式下利用“banner”命令可以配置路由器的提示信息,所有连接到路由器的终端都会收到。router>enrouter #configure terminalrouter (conf)#hostname routerArouterA(conf)#banner motd $This is aptech company’ router ! Please don’t change the configuration without permission!$13:配置接口标识 description ………接口标识用于区分路由器的各个接口。router>enrouter #configure terminalrouter (conf)#hostname routerArouterA(conf)#interface fastethernet 0/1 以0/1 接口为例routerA(conf-if)# description this is a fast Ethernet port used to connecting the company’s intranet!14:配置超时超时适用于设置在多长时间没有对console进行配置,自动返回exec会话时间。默认为10分钟。router>enrouter #configure terminalrouter (conf)#hostname routerArouterA(conf)#line console 0routerA(conf-if)#exec-timeout 0 0 第一个“0”代表分钟,第二个“0”代表秒15:配置串口参数两台路由器通过串口连接需要一个做为DTE,一个做为DCE。DCE设备要向DTE设备提供时钟频率和带宽。DCE配置:router>enrouter #configure terminalrouter (conf)#hostname routerArouterA(conf)#interface serial 0/0routerA(conf_if)#clock rate 64000 提供时钟频率为64000routerA(conf_if)#bandwidth 64 提供带宽为64DTE配置:路由器串口配置ip地址router>enrouter #configure terminalrouter (conf)#hostname routerBrouterB(conf)#interface serial 0/0routerB(conf_if)#ip address 192.168.1.1 255.255.255.0]--------------------------------路由器命令大全(3)16:静态路由的配置配置路由器A的主机名和接口参数router>enablerouter#configure terminalrouter(conf)#hostname routerArouterA(conf)#interface fastethernet 0/1 路由器A的1端口为两路由器的连接端口routerA(conf-if)#ip address 192.168.2.1 255.255.255.0routerA(conf-if)#no shutdownrouterA(conf-if)#exitrouterA(conf)# interface fastethernet 0/0 路由器A的0端口为与主机的连接端口routerA(conf-if)#ip address 192.168.1.2 255.255.255.0routerA(conf-if)#no shutdown主机A的ip地址为 192.168.1.1255.255.255.0192.168.1.2配置路由器B的主机名和接口参数router>enablerouter#configure terminalrouter(conf)#hostname routerBrouterB(conf)#interface fastethernet 0/0 路由器B的0端口为两路由器的连接端口routerB(conf-if)#ip address 192.168.2.2 255.255.255.0routerB(conf-if)#no shutdownrouterB (conf-if)#exitrouterB(conf)# interface fastethernet 0/1 路由器B的1端口为与主机的连接端口routerB(conf-if)#ip address 192.168.3.1 255.255.255.0主机B的ip地址为 192.168.3.2255.255.255.0192.168.3.1配置路由器A的静态路由表routerA(conf)#ip router 192.168.3.0 255.255.255.0 192.168.2.2配置路由器B的静态路由表routerA(conf)#ip router 192.168.1.0 255.255.255.0 192.168.2.1在routerA和routerB上配置默认路由routerA(conf)#ip route 0.0.0.0 0.0.0.0 192.168.2.2routerA(conf)#ip classlessrouterB(conf)#ip route 0.0.0.0 0.0.0.0 192.168.2.1routerB(conf)#ip classless在routerA和routerB上配置动态路由(RIP)routerA(conf)#router riprouterA(conf)#network 192.168.1.0routerA(conf)#network 192.168.2.0routerB(conf)# router riprouterB(conf)#network 192.168.2.0routerB(conf)#network 192.168.3.0==================================================================================Linux网桥接器的运作添加记录:类别: 网络配置 发布日期: 2007.01.15本文从系统管理员的角度讨论安全问题.系统管理员是管理系统的人:启动系统,停止系统运行,安装新软件,增加新用户,删除老用户,以及完成保持系统发展和运行的日常事务工作.1.安全管理安全管理主要分为四个方面:(1)防止未授权存取:这是计算机安全最重要的问题:未被使用系统的人进入系统.用户意识,良好的口令管理(由系统管理员和用户双方配合),登录活动记录和报告,用户和网络活动的周期检查,这些都是防止未授权存取的关键.(2)防止泄密:这也是计算机安全的一个重要问题.防止已授权或未授权的用户相互存取相互的重要信息.文件系统查帐,su登录和报告,用户意识,加密都是防止泄密的关键.(3)防止用户拒绝系统的管理:这一方面的安全应由操作系统来完成.一个系统不应被一个有意试图使用过多资源的用户损害.不幸的是,UNIX不能很好地限制用户对资源的使用,一个用户能够使用文件系统的整个磁盘空间,而UNIX基本不能阻止用户这样做.系统管理员最好用PS命令,记帐程序df和du周期地检查系统.查出过多占用CUP的进程和大量占用磁盘的文件.(4)防止丢失系统的完整性:这一安全方面与一个好系统管理员的实际工作(例如:周期地备份文件系统,系统崩溃后运行fsck检查,修复文件系统,当有新用户时,检测该用户是否可能使系统崩溃的软件)和保持一个可靠的操作系统有关(即用户不能经常性地使系统崩溃).本文其余部分主要涉及前两个问题,第三个问题在一节讨论.2.超级用户一些系统管理命令只能由超级用户运行.超级用户拥有其他用户所没有的特权,超级用户不管文件存取许可方式如何,都可以读,写任何文件,运行任何程序.系统管理员通常使用命令: /bin/su 或以 root 进入系统从而成为超级用户.在后面文章中以#表示应敲入必须由超级用户运行的命令,用$表示应敲入由所有其他用户运行的命令.3.文件系统安全(1)UNIX文件系统概述UNIX文件系统是UNIX系统的心脏部分,提供了层次结构的目录和文件.文件系统将磁盘空间划分为每1024个字节一组,称为块(block)(也有用512字节为一块的,如:SCO XENIX).编号从0到整个磁盘的最大块数.全部块可划分为四个部分,块0称为引导块,文件系统不用该块;块1称为专用块,专用块含有许多信息,其中有磁盘大小和全部块的其它两部分的大小.从块2开始是i节点表,i节点表中含有i节点,表的块数是可变的,后面将做讨论.i节点表之后是空闲存储块(数据存储块),可用于存放文件内容.文件的逻辑结构和物理结构是十分不同的,逻辑结构是用户敲入cat命令后所看到的文件,用户可得到表示文件内容的字符流.物理结构是文件实际上如何存放在磁盘上的存储格式.用户认为自己的文件是边疆的字符流,但实际上文件可能并不是以边疆的方式存放在磁盘上的,长于一块的文件通常将分散地存放在盘上.然而当用户存取文件时,UNIX文件系统将以正确的顺序取各块,给用户提供文件的逻辑结构.当然,在UNIX系统的某处一定会有一个表,告诉文件系统如何将物理结构转换为逻辑结构.这就涉及到i节点了.i节点是一个64字节长的表,含有有关一个文件的信息,其中有文件大小,文件所有者,文件存取许可方式,以及文件为普通文件,目录文件还是特别文件等.在i节点中最重要的一项是磁盘地址表.该表中有13个块号.前10个块号是文件前10块的存放地址.这10个块号能给出一个至多10块长的文件的逻辑结构,文件将以块号在磁盘地址表中出现的顺序依次取相应的块.当文件长于10块时又怎样呢?磁盘地址表中的第十一项给出一个块号,这个块号指出的块中含有256个块号,至此,这种方法满足了至多长于266块的文件(272,384字节).如果文件大于266块,磁盘地址表的第十二项给出一个块号,这个块号指出的块中含有256个块号,这256个块号的每一个块号又指出一块,块中含256个块号,这些块号才用于取文件的内容.磁盘地址中和第十三项索引寻址方式与第十二项类似,只是多一级间接索引.这样,在UNIX系统中,文件的最大长度是16,842,762块,即17,246,988,288字节,有幸是是UNIX系统对文件的最大长度(一般为1到2M字节)加了更实际的限制,使用户不会无意中建立一个用完整个磁盘窨所有块的文件.文件系统将文件名转换为i节点的方法实际上相当简单.一个目录实际上是一个含有目录表的文件:对于目录中的每个文件,在目录表中有一个入口项,入口项中含有文件名和与文件相应的i节点号.当用户敲入cat xxx时,文件系统就在当前目录表中查找名为xxx的入口项,得到与文件xxx相应的i节点号,然后开始取含有文件xxx的内容的块.(2)设备文件UNIX系统与边在本系统上的各种设备之间的通讯,通过特别文件来实现,就程序而言,磁盘是文件,MODEM是文件,甚至内存也是文件.所有连接到系统上的设备都在/dev目录中有一个文件与其对应.当在这些文件上执行I/O操作时,由UNIX系统将I/O操作转换成实际设备的动作.例如,文件/dev/mem是系统的内存,如果cat这个文件,实际上是在终端显示系统的内存.为了安全起见,这个文件对普通用户是不可读的.因为在任一给定时间,内存区可能含有用户登录口令或运行程序的口令,某部分文件的编辑缓冲区,缓冲区可能含有用ed -x命令解密后的文本,以及用户不愿让其他人存取的种种信息.在/dev中的文件通常称为设备文件,用ls /dev命令可以看看系统中的一些设备:acuo 呼叫自动拨号器console 系统控制台dsknn 块方式操作磁盘分区kmem 核心内存mem 内存lp 打印机mto 块方式操作磁带rdsknn 流方式操作的磁盘分区rmto 流方式操作的磁带swap 交换区syscon 系统终端ttynn 终端口x25 网络端口等等(3)/etc/mknod命令用于建立设备文件.只有root能使用这个命令建立设备文件.其参数是文件名,字母c或b分别代表字符特别文件或块特别文件,主设备号,次设备号.块特别文件是像磁带,磁盘这样一些以块为单位存取数据的设备.字符特别文件是如像终端,打印机,MODEM,或者其它任何与系统通讯时,一次传输一个字符的设备,包括模仿对磁盘进行字符方式存取的磁盘驱动器.主设备号指定了系统子程序(设备驱动程序),当在设备上执行I/O时,系统将调用这个驱动程序.调用设备驱动程序时,次设备号将传递给该驱动程序(次设备规定具体的磁盘驱动器,带驱动器,信号线编号,或磁盘分区).每种类型的设备一般都有自己的设备驱动程序.文件系统将主设备号和次设备号存放在i节点中的磁盘地址表内,所以没有磁盘空间分配给设备文件(除i节点本身占用的磁盘区外).当程序试图在设备文件上执行I/O操作时,系统识别出该文件是一个特别文件,并调用由主设备号指定的设备驱动程序,次设备号作为调用设备驱动程序的参数.(4)安全考虑将设备处理成文件,使得UNIX程序独立于设备,即程序不必一定要了解正使用的设备的任何特性,存取设备也不需要记录长度,块大小,传输速度,网络协议等这样一些信息,所有烦人的细节由设备驱动程序去关心考虑,要存取设备,程序只须打开设备文件,然后作为普通的UNIX文件来使用.从安全的观点来看这样处理很好,因为任何设备上进行的I/O操作只经过了少量的渠道(即设备文件).用户不能直接地存取设备.所以如果正确地设置了磁盘分区的存取许可,用户就只能通过UNIX文件系统存取磁盘.文件系统有内部安全机制(文件许可).不幸的是,如果磁盘分区设备得不正确,任何用户都能够写一个程序读磁盘分区中的每个文件,作法很简单:读一i节点,然后以磁盘地址表中块号出现的顺序,依次读这些块号指出的存有文件内容的块.故除了root以外,决不要使盘分区对任何人可写.因为所有者,文件存取许可方式这样一些信息存放于i节点中,任何人只要具有已安装分区的写许可,就能设置任何文件的SUID许可,而不管文件的所有者是谁,也不必用chmod()命令,还可避过系统建立的安全检查.以上所述对内存文件mem,kmem和对换文件swap也是一样的.这些文件含有用户信息,一个的程序可以将用户信息提取出来.要避免磁盘分区(以及其它设备)可读可写,应当在建立设备文件前先用umask命令设置文件建立屏蔽值.一般情况下,UNIX系统上的终端口对任何人都是可写的,从而使用户可以用write命令发送信息.虽然write命令易引起安全方面的问题,但大多数用户觉得用write得到其他用户的信息很方便,所以系统将终端设备的存取许可设置成对所有用户可写./dev目录应当是755存取许可方式,且属root所有.不允许除root外的任何用户读或写盘分区的原则有一例外,即一些程序(通常是数据库系统)要求对磁盘分区直接存取,解决这个问题的经验的盘分区应当由这种程序专用(不安装文件系统),而且应当告知使用这种程序的用户,文件安全保护将由程序自己而不是UNIX文件系统完成.(5)find命令find命令用于搜索目录树,并对目录树上的所有文件执行某种操作,参数是目录名表(指出从哪些起点开始搜索),还可给出一个或多个选项,规定对每个文件执行什么操作.find . -print 将列出当前工作目录下的目录树的每一个文件.find / -user bob -print 将列出在系统中可找到的属于bob用户的所有文件.find /usr/bob -perm 666 -print 将列出/usr/bob目录树下所有存取许可为666的文件.若将666改为-666则将列出所有具有包含了666在内的存取许可方式的文件(如777).find /usr/bob -type b -print 将列出/usr/bob目录树下所有块特别文件(c为字符特别文件).find / -user root -perm -4000 -exec ls -l {} ; 是一个较复杂一点的命令,-exec COMMAND ;允许对所找到的每个文件运行指定的命令COMMAND.若COMMAND中含有{},则{}将由find所找到的文件名替换.COMMAND必须以;结束.以上举例介绍find的用法,各选项可组合使用以达到更强的功能.(6)secure程序系统管理员应当做一个程序以定期检查系统中的各个系统文件,包括检查设备文件和SUID,SGID程序,尤其要注意检查SUID,SGID程序,检查/etc/passwd和/etc/group文件,寻找久未登录的户头和校验各重要文件是否被修改.(源程序清单将在今后发表)(7)ncheck命令用于检查文件系统,只用一个磁盘分区名作为参数,将列出i节点号及相应的文件名.i节点相同的文件为建链文件.注意:所列出的清单文件名与mount命令的第一个域相同的文件名前部分将不会列出来.因为是做文件系统内部的检查,ncheck并不知道文件系统安装点以上部分的目录.也可用此命令来搜索文件系统中所有的SUID和SGID程序和设备文件,使用-s选项来完成此项功能.(8)安装和拆卸文件系统UNIX文件系统是可安装的,这意味着每个文件系统可以连接到整个目录树的任意节点上(根目录总是被安装上的).安装文件系统的目录称为安装点./etc/mount命令用于安装文件系统,用这条命令可将文件系统安装在现有目录结构的任意处.安装文件系统时,安装点的文件和目录都是不可存取的,因此未安装文件系统时,不要将文件存入安装点目录.文件系统安装后,安装点的存取许可方式和所有者将改变为所安装的文件根目录的许可方式和所有者.安装文件系统时要小心:安装点的属性会改变!还要注意新建的文件,除非新文件系统是由标准文件建立的,系统标准文件会设置适当的存取许可方式,否则新文件系统的存取许可将是777!可用-r选项将文件系统安装成只读文件系统.需要写保护的带驱动器和磁盘应当以这种方式来安装.不带任何参数的/etc/mount可获得系统中所安装的文件系统的有关信息.包括:文件系统被安装的安装点目录,对应/dev中的哪个设备,只读或可读写,安装时间和日期等.从安全的观点来讲,可安装系统的危险来自用户可能请求系统管理员为其安装用户自己的文件系统.如果安装了用户的文件系统,则应在允许用户存取文件系统前,先扫描用户的文件系统,搜索SUID/SGID程序和设备文件.在除了root外任何人不能执行的目录中安装文件系统,用find命令或secure列出可疑文件,删除不属用户所有的文件的SUID/SGID许可.用户的文件系统用完后,可用umount命令卸下文件系统.并将安装点目录的所有者改回root,存取许可改为755.(9)系统目录和文件UNIX系统中有许多文件不允许用户写,如:/bin,/usr/bin,/usr/lbin,/etc/passwd,/usr/lib/crontab,/unix,/etc/rc,/etc/inittab这样一些文件和目录(大多数的系统目录),可写的目录允许移动文件,会引起安全问题.系统管理员应经常检查系统文件和目录的许可权限和所有者.可做一个程序根据系统提供的规则文件(在/etc/permlist文件中)所描述的文件所有者和许可权规则检查各文件.(源程序清单将在今后发表)注意:如果系统的安全管理不好,或系统是新安装的,其安全程序不够高,可以用make方式在安全强的系统上运行上述程序,将许可规则文件拷贝到新系统来,再以设置方式在新系统上运行上述程序,就可提高本系统的安全程序.但要记住,两个系统必须运行相同的UNIX系统版本.4.作为root运行的程序在UNIX系统中,有些程序由系统作为root进程运行.这些程序并不总是具有SUID许可,因为其不少程序仅由root运行,系统管理员需要清楚这些程序做什么,以及这些程序还将运行其它什么程序.(1)启动系统当某些UNIX系统(如SCO UNIX/XENIX)启动时,是以被称为单用户的方式运行,在这种方式中普通用户不能登录,唯有的进程是init,swapper,以及一些由系统管理员从控制台运行的进程.UNIX系统的单用户方式启动,使系统管理员能在允许普通用户登录以前,先检查系统操作,确保系统一切正常,当系统处于单用户方式时,控制台作为超级用户,命令揭示是==================================================================================Linux网桥接器的运作1. 设定l 取得 ``桥接器配置''ftp://shadow.cabi.net/pub/Linux/BRCFG.tgzl 取得和阅读 ``Multiple ethernet'' HOWTOftp://sunsite.unc.edu/pub/Linux/docs/HOWTO/mini/Multiple-Ethernetl 配置lilo启动参数使多个乙太网路设备在你的机器运作照著加入这行到你的 /etc/lilo.conf, 和重新执行 lilo:append = "ether=0,0,eth1"如果你在你的桥接器上有三张界面卡,使用这些行取代上面append = "ether=0,0,eth1 ether=0,0,eth2"靠加入更多的乙太陈述可以找到更多的界面. 预设上一个传统的 Linux 核心只侦测一张独一的乙太网路卡, 和当一个被找到侦测就会停止. 上面所附加的陈述告诉核心在第一个被找到之後继续侦测去找到更多乙太网路设备。另一个方法,可以使用启动变数来取代:linux ether=0,0,eth1或者, 有三个界面,使用:linux ether=0,0,eth1 ether=0,0,eth2l 重新编译那核心启动BRIDGING功能l 一个桥接器应没有一个的 IP 地址. 它可以有一个,但是一个平常的桥接器不需要一个 IP 地址. 从你的桥接器上移除 IP 地址,到 /etc/sysconfig/network-scripts/ (对於一个 RedHat系统) 和拷贝 i新闻热点
疑难解答
