现在来配置接口参数。选择配置选单的第 1 项 “Network settings” ,再选 “Network
Configuation” ,编辑 /etc/network.conf 文件,进行如下配置:
|
IF_AUTO="eth0 eth1"
eth0_IPADDR=192.168.0.253
eth0_MASKLEN=24
eth0_BROADCAST=192.168.0.255
eth0_DEFAULT_GW=192.168.0.254
eth1_IPADDR=192.168.1.254
eth1_MASKLEN=24
eth1_BROADCAST=192.168.1.255 |
保存并备份 etc.lrp 。执行下面命令:
#/etc/init.d/network reload
使刚配置的接口生效。可以用 ping 命令来测试网络的连通性。
LRP 的工作模式
LRP 的一般工作模式有三种:直接路由方式、过滤式路由方式和防火墙方式。只要在
/etc/network.conf 文件中设置:
IPFWDING_KERNEL=YES
IPFILTER_SWITCH=none
就构成了直接路由方式(网关)。前一项相当于做 echo 1 >
/proc/sys/net/ipv4/ip_forward ,允许 IP
包转发。后一项则意味着不做包过滤。这种方式比较简单,但也带来了问题,机房中的所有 IP
包将不受控制地涌向校园网络,给网络带来额外的负担。解决的方法就是加上 IP 包过滤,即过滤式路由方式。
同样在 /etc/network.conf 文件中设置:
IPFWDING_KERNEL=FILTER_ON
IPFILTER_SWITCH=router
对流经 LRP
路由器的数据包进行有选择地转发。如果要对两个机房的流量集中控制,可以在出口网关和路由交换机之间增加一个 “ 透明网桥 ”
(不必改变它们原有的路由关系),利用 ARP 代理来传递 “ 网桥 ” 两端路由设备的 ARP 消息,实现一种透明连接。通过对
LRP 的网络接口设置:
eth0_PROXY_ARP=YES
eth1_PROXY_ARP=YES
相当于
echo 1 >
/proc/sys/net/ipv4/conf/eth0/proxy_arp
echo 1 >
/proc/sys/net/ipv4/conf/eth1/proxy_arp
就能实现这样的连接。由于这种连接是在网络层(链路层的上一层)实现的一种伪网桥,因此可以在其上控制流经的数据包。
LRP 的第三种工作模式就是防火墙。设置防火墙方式如下:
IPFWDING_KERNEL=FILTER_ON
IPFILTER_SWITCH=firewall
此外,除了要配置网络接口 eth0 和 eth1
外,还要进一步指出外网接口和内网接口:
|
EXTERN_IF="eth0"
EXTERN_IP=
221.xxx.xxx.1
INTERN_IF="eth1"
INTERN_NET=192.168.0.0/24
INTERN_IP=192.168.0.254
MASQ_SWITCH=YES |
外部 IP 地址由 ISP 提供,内外接口的 IP 地址要与
ethX_IPADDR 中的地址一致。上面最后一项是启用 IP 伪装,即 NAT (网络地址转换)。 LRP
已经安排好了一组基本的防火墙规则。当然,也可以制定自己的防火墙规则。
防火墙与 DMZ
DMZ 代表非军事区( Demilitarized Zone
),是介于内网和外网之间的一个单独的网段,其上的服务器用来提供对外服务。 DMZ 是 LRP 防火墙的高级应用方式。
在作为防火墙的 LRP 机器上增加一块网卡,用于连接 DMZ 。配置网络接口 eth2
,启用 DMZ :
|
IF_AUTO="eth0 eth1 eth2"
eth2_IPADDR=221.xxx.xxx.249
eth2_MASKLEN=29
eth2_BROADCAST=221.xxx.xxx.255
DMZ_SWITCH=YES
DMZ_IF="eth2"
DMZ_NET=221.xxx.xxx.0/29
|
DMZ 网络使用 ISP 提供的一组公用 IP 地址。开放 DMZ 中的服务器:
DMZ_OPEN_DEST="tcp_${DMZ_NET}_www tcp_${DMZ_NET}_ftp"
允许外部访问 WWW 和 FTP 服务器。利用端口转发技术, LRP
也支持一个独立的内部网段作为 DMZ ,将内部服务器用于对外服务。
远程管理 LRP
配置好的 LRP 机器可以放到机架上,通过 SSH ( Secure Shell
)实施远程控制。从 LRP 网站下载三个文件: libz.lrp 、 sshd.lrp 和 sshkey.lrp ,分别是
OpenSSH 的库文件、守护程序和密钥生成器。将三个文件复制到 DOS 启动盘上,用 DOS 启动盘引导 LRP
机器,将三个文件复制到硬盘。取出软盘,重启机器,执行如下命令:
|
#mount -t msdos /dev/hda1 /mnt
#cd /mnt
#lrpkg -i libz
#lrpkg -i sshd
#lrpkg -i sshkey
#cd /
#makekey
#edit
/mnt/syslinux.cfg
#umount /dev/hda1
|
动态安装三个文件,生成密钥。为保证下次启动时自动安装 SSH ,编辑
/etc/syslinux.cfg 文件,在 “LRP=” 中添加 libz.lrp 和 sshd.lrp 两项。注意,这次需要备份
etc.lrp 和 sshd.lrp 。
至于 SSH 的客户端, Linux 有 ssh 命令可以用。在 Windows
平台上,可以从 http://www.chiark.greenend.org.uk/~sgtatham/putty 取得一个支持
SSH 的客户端软件 PuTTY 。在 PuTTY 配置界面(如图 2 )中将 IP 地址设为 192.168.0.253 ,协议取
SSH (端口号 22 ),会话命名为 Router01 ,单击 Save 按钮保存。单击 Load 按钮选取 Router01
会话,单击 Open 按钮即可进入 PuTTY 终端窗口。
图 2 PuTTY 配置界面
另外, LRP 有一个很小的 Web 服务器。在浏览器中输入 LRP 机器的 IP
地址,就能够以网页方式观察 LRP 机器的信息,如图 3 所示。
最后,改动 LRP 机器的 Award CMOS 设置。将 “ 标准 CMOS 设置
” 中的 “Halt on” 选项设为 “All,But Keyboard” (忽略键盘,没有键盘照样启动)。将 “ 电源管理设置
” 中的 “HDD Power Down” 设为 15min (定时关闭硬盘电源,硬盘不再使用)。拔掉键盘和显示器, LRP
机器就成为名副其实的 LRP Box ,可以摆上机架了。
LRP
还有许多高级应用,如均衡负载、公平队列、带宽控制、策略路由等。这些工作都是建立在 iproute2 和 ipchains
的基础之上。关于这方面的资料,可参见《 Linux Advanced Routing & Traffic Control
》( Linux 的高级路由和流量控制 HOWTO ),网址为 http://lartc.org 。
我们总会面临保护自己的硬件设备投资这样的问题。 LRP
让我们有机会从一个特别的角度来重新审视软件对于硬件及应用的作用和关系,这就是它的意义所在。
上一篇:LRP架构Linux路由器/防火墙(一)
下一篇:在Linux下调整网卡的工作模式
【本站声明】本站刊载的部分内容全部来源互联网,对于此类文章本站仅提供交流平台,不为其版权负责。如涉及侵犯您的知识产权的文章,请联系我们,我们将尽快做出更正。并向您表示感谢!同时特别感谢对本站所有支持的网友。
