软考第七章知识点总结
7.1考点分析
高频:国产化,linux基础命令,linux防火墙配置,Web服务器配置
7.2 网络操作系统基础
一、Windows Server 2016
二、国产操作系统
7.3 UOS网络配置
一、UOS网络配置文件
配置完成后,需要重启网络服务。
UOS中默认使用NetworkManager服务管理网络,使用nmci connection reload重启网络服务也可以手动安装network.service服务,使用systemctl restart network命令重启网络服务,建议使用NetworkManager服务管理网络。
root@admin-PC:~# systemctl restart network
bind:DNS解析文件
8.8.8.8 谷歌
二、UOS网络配置命令
1.nmcli命令。
nmcli是NetworkManager服务的命令行管理工具
支持简写:connection可简写成con或c,modify可以简写成mod或m,可以使用tab键补全命令执行connection网络连接常用配置命令有:
nmcli connection show 显示网络连接信息
nmcli connection up/down ens32 激活或停用ens32接口的网络连接
nmcli connection modify ens32 ipv4.addresses 10.0.10.10/32 设置|P地址
nmcli connection modify ens32 ipv4.gateway 10.0.10.254 设置网关
nmcli connection modify ens32 ipv4.dns 8.8.8.8 设置DNS地址
nmcli connection up ens32 激活新的配置,使上述命令配置生效
2.ifconfig 网络接口设置
lfconfig interface-name ip-address upldown
[root@localhost~]# ifconfig ens32 10.1.1.1 netmask 255.255.255.0 up
[root@localhost~]# ifconfig ens32 //显示接囗配置inet 10.1.1.1 netmask 255.255.255.0ether 00:20:57:95:23:ce txqueuelen 1000(Ethernet)
3.route
Route [add|del] [-net|-host] target [netmask Nm] [gw GW] [dev]
通过route命令配置路由,如下所示:
route add -net 10.0.20.0 netmask 255.255.255.0 dev ens32增加一条路由,目标为10.0.20.0/24网络的请求由ens32网络接口转发,使用route命令配置的路由在主机重启或者网卡重启后就失效了。
route add -host target 192.168.168.119 gw 192.168.168.1
netsh interface ipv6 add route ::/0 “local” 网关地址
4.ip
5.netstat
-i:interface
-r:route
-n:number
5.例题
7.4 UOS Linux文件和目录
一、Linux文件管理
二、文件类型
例题
三、文件权限
1.9bit表示访问控制权限
例如:-rwxr-xr-xr-- 1 test test 4月9日17:50 sample.txt
2.文件权限用数字表示
例如:-rwx r-x r–:754
例题
四、13个Linux基础命令
7.5 UOS Linux用户和组管理
一、用户和组管理1
1.最重要的用户超级用户,即跟用户root,UID=0
2.用户管理的配置文件
(1)/etc/passwd 每个用户在该文件中都有一行对应记录,所有用户可读
7个域,记录用户属性,格式:用户名:加密的口令:用户ID:组ID:用户全名或者描述:登录目录:登录shell
(2)/etc/shadow 只有超级用户root能读,包含系统中所有用户及其口令等相关信息,分成9个域
二、用户和组管理2
1.useradd [选项] username
-d:用户指定默认/home/username的用户主目录
-g:用户所属组
-s:指定用户登陆shell
-u :指定用户UID
2.passwd [-选项] username 操作用户密码
-l:锁定口令
-u:口令解锁
-d:让账号没有口令
-f:迫使用户下次登录修改口令
3.userdel groupadd groupdel
userdel -r test 删除用户主目录
4.例题
7.6 UOS Linux防火墙配置
一、防火墙类型
1.linux 2.4内容和开始提供防火墙软件框架Netfilter
配置工具:firewalld ,iptables,UFW(Uncomplicated Firewall)
2.linux 3.13以上内核开始增加了新的数据包过滤框架nftables
配置工具:nft
nftables在逐步取代Netfilter/iptables软件框架
二、firewalld
1.firewalld(Dynamic Firewall Manager of linux systems,linux,动态防火墙配置)
配置命令为:firewall-cmd
(1)iptables -nl显示本机当前配置规则
(2)firewall-cmd --permanent --add-port==443/tcp:开放443端口
(3)firewall-cmd --permanent --add-rich-rule=‘‘rule family=“ipv4”source address=“10.0.30.5”port protocol=tcp’’ port=‘‘3389’’ accept”配置允许的原地址10.0.30.5访问本机的tcp3389端口
(4)firewall-cmd --reload重载配置,让他有效
三、iptables的四表五链
1.默认的4个规则表
raw表:确定是否对该数据包进行状态跟踪
mangle表:为数据包设置标记
nat表:修改数据包中的源、目的IP地址或端口
filter表:确定是否放行该数据包(过滤)
2.默认的5种规则链
INPUT:处理入站数据包
OUTPUT:处理出站数据包
FORWARD
PREROUTING
POSTROUTING
3.核心的规则表
四、iptables语法格式
五、iptables语法格式2
六、案例
1.显示当前配置的iptables规则。iptables -nL
2.添加一条规则,所有源地址为10.0.80.10的数据包拒绝通过。iptables -A INPUT -S 10.0.80.10 -j DROP
3.添加一条规则,允许外部访问本机的tcp80端口。命令如下:iptables -A INPUT -p tcp --dport 80 -j ACCEPT
4.添加规则,允许源地址为10.0.30.5的主机访问本机的tcp3389端口。iptables -A INPUT -s 10.0.30.5/32 -p tcp -m tcp --dport 3389 -jACCEPT
5.配置保存生效:service iptables save
七、nftables
1.数据包分类框架,高于3.13可用
2.命令行工具为nft,使用前需下载yum install nftables
八、配置
1.查看表命令
2.表操作
Add;delete;list;flush
3.链【chain】
4.示例
hook
5.规则配置
6.例题
p协议;P默认策略
7.7 web应用服务配置
一、Web服务软件
1.linux中常用的服务软件:Apache,Nginx
2.windows:IIS,可以提供Web,FTP,SMTP服务
虚拟主机:基于IP地址,基于端口,基于名字
二、Apache的安装和配置
1.使用yum安装Apache服务
[root@uos~]# yum -y install httpd
安装完成后验证:
[root@uos~]# rpm -qa httpd
httpd-2.4.37-47.module+uelc20+724+c3a76df7.2.x86 64
启动Apache服务:[root@uos ~]# systemctl start httpd
停止Apache服务:[root@uos ~]# systemctl stop httpd
查看Apache服务状态:[root@uos ~]# systemctl status httpd
2.配置
配置文件:/etc/httpd/conf/httpd.conf
默认目录:/var/www/html
三、Nginx
1.高性能的HTTP和反向代理Web服务软件
2.功能:实现反向代理,负载均衡和缓存功能
3.特点:内存占用少,启动极快,高并发能力强,支持热部署
4.安装与启动
三、反向代理
例题:
7.8 DHCP
一、工作原理
回包:单播
2.为什么DHCP客户端收到Offer之后不直接使用该IP地址还需要发送-个Request告知服务器端?
二、租期续约
三、DHCP报文格式
1.DHCP除了标准字段,还包含可选部分Option(用户自定义)
Option 82:称为中继代理DHCP Relay信息选项。
Option 43:为AP分配IP地址的同时,通告AC的地址。
2.option 43应用举例子
(2.1)在WLAN三层组网中,当AP上线时,需要获取AC的IP地址,并与AC之间建立CAPWAP隧道。
(2.2)AP的IP地址通过DHCP服务器分配,当AC的IP地址与AP不在同一个广播域,AP无法通过广播的方式获取AC的IP地址,则CAPWAP隧道无法建立成功。
(2.3)AP通过DHCP报文中的option43选项字段获取c的IP地址当AP获取AC的IP地址后,可以进一步完成CAPWAP隧道的建立从而实现AP上线。
(2.4)华为DHCP option 43 配置
DHCP常规配置,为AP分配IP地址。
[DHCP-HW] dhcp enable
[DHCP-HW] ip pool huawei
[DHCP-HW-ip-pool-huawei]network 192.168.100.0 255.255.255.0
[DHCP-HW-ip-pool-huawei] gateway-list 192.168.100.1
配置Option 43,使AP能够获得AC的IP地址,假设AC的IP地址是10.10.10.1
[DHCP-HW-ip-pool-huawei] option 43 sub-option 3 ascii 10.10.10.1
dhcp server option 43 sub-option 1 hex ca86401
dhcp server option 43 sub-option 2 ip-address 192.168.100.1
dhcp server option 43 sub-option 3 ascii 192.168.100.1
(2.5)分配固定IP地址
四、DHCP中继
1.随着网络规模的不断扩大,网络设备不断增多,企业内不同的用户可能分布在不同的网段,一台DHCP服务器在正常情况下无法满足多个网段的地址分配需求。如果还需要通过DHCP服务器分配IP地址,则需要跨网段发送DHCP报文。
2.DHCPRelavDHCP中继,它是为解决DHCP服务器和DHCP客户端不在同一个广播域而提出的,提供了对DHCP广播报文的中继转发功能,能够把DHCP客户端的广播报文“透明地”传送到其它广播域的DHCP服务器上,同样也能够把DHCP服务器端的应答报文“透明地”传送到其它广播域的DHCP客户端。
3.有中继场景时DHCP客户端首次接入网络的工作原理
3.1.发现阶段:DHCP中继接收到DHCP客户端广播发送的DHCP DISCOVER报文后,通过路由转发将DHCP报文单播发送到DHCP服务器或下一跳中继。
3.2提供阶段:DHCP服务器根据DHCP DISCOVER报文中的Giaddr字段选择地址池为客户端分配相关网络参数DHCP中继收到DHCP OFFER报文后,以单播或组播方式发送给DHCP Client。
3.3选择阶段:中继接收到来自客户端的DHCP REQUEST报文的处理过程同“发现阶段”。
3.4确认阶段:中继接收到来自服务器的DHCP ACK报文的处理过程同“提供阶段”。
4.配置
[R1]interface GigabitEthernet0/0/0[R1-GigabitEthernet0/0/0] ip address DHcP-alloc
[R1-GigabitEthernet0/0/0] quit
[R2] DHCP server group HW
[R2-DHCP-server-group-HW] DHCP-server 10.1.1.2
[R2-DHCP-server-group-HW] quit
[R2] interface GigabitEthernet 0/0/1
[R2-GigabitEthernet0/0/1]ip address 10.1.1.1 24
[R2-GigabitEthernet0/0/1] quit
[R2] interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]ip address 192.168.1.1 24
[R2-GigabitEthernet0/0/0] DHCP select relay
[R2-GigabitEthernet0/0/0] DHCP relay server-select HW
[R2-GigabitEthernet0/0/0]quit
五、DHCP Snooping防止私接DHCP服务器
2.配置
[Huawei]dhcp enable//开启DHCP功能,所有接口默认为untrusted
[Huaweil dhcp snooping enable //开启DHCP snooping功能
[Huawei] int GigabitEthernet0/0/1
[Huawei-GigabitEthernet070/1] dhcp snooping enable //接口下开启DHCP Snooping功能
[Huawei-GigabitEthernet0/0/1]dhcp snooping trusted //把接口g0/0/1设置为信任接口
例题
7.9 DNS域名系统
一、DNS域名系统
1.DNS作用:把域名转换成IP地址。
2.DNS/DHCP服务器必须为静态IP地址,而Web/FTP均可为动态IP
3.Linux系统中提供DNS服务的组件为 bind,主配置文件为named.conf。
4.诊断域名系统基础结构的信息和查看DNS服务器的IP地址命令是:nslookup.
5.ARP攻击:flood,欺骗
二、DNS记录类型
三、查询过程
四、查询方式
1.递归查询:域名服务器帮助用户进行名字解析,并返回最后的结果。【老好人】
2.迭代查询:域名服务器进行迭代访问,反复多次,直到最后找到结果,【踢皮球】
3.主域名服务器-----递归
根域名-----迭代
例题
