2024软考网络工程师笔记 - 第9章.网络操作系统与应用服务器

本地用户与组

1️⃣Windows server 2008R2 本地用户与组

• 用户：包含用户名、密码、权限以及说明。
• 用户组：具有相同性质的用户归结在一起，统一授权，组成用户组。
• 创建用户和组：我的电脑-右键-管理-计算机管理-本地用户和组（本地用户信息存储在本地SAM数据库）。

2️⃣常见用户组与权限

• 权限顺序由高到低：Administrator>Power users>Users>Everyone

🕑活动目录

1️⃣活动目录

• 网络中计算机逻辑组织的两种模式：工作组模式和域模式（活动目录AD）。
• 工作组模式：每台计算机都拥有自己的本地安全账户管理数据库SAM。
• 域模式：用户信息存储在域控制器，可以在域中漫游，访问域中任意一台服务器上的资源。

2️⃣活动目录（Active Directory，AD)

• 活动目录：对域中的账户和资源对象进行存放并集中管理。
• • 一个动态的分布式文件系统，包含存储网络信息的目录结构和相关目录服务。
• 域控制器(Domain Controller,DC)域中安装了活动目录的计算机。dcpromo
• AD存储的用户信息，分散在多个DC,操作系统对信息进行备份和选择性复制，维护信息一致性，提供容错能力。
• 活动目录中对象的名字采用DNS域名结构，安装AD必须先安装DNS组件，必须安装在NTFS分区。

3️⃣活动目录工作组分类

• 全局组(G):来自本地域，可授权访问域林中的任何信任域。
• 域本地组(DL):来自任何域，只能访问本地域中的资源。
• 通用组(U):可来自域林中的任何域，访问权限可以达到域林中的任何域。

• 组策略（要记住）
• • A-G-DL-P策略
  • A-G-G-DL-P策略
  • A表示用户账号 G表示全局组 U表示通用组 DL表示域本地组 P表示资源权限
  • A-G-DL-P策略：将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。

🕒远程桌面与 Samba 服务

1️⃣远程桌面基础

• 远程桌面协议RDP,基于TCP3389。
• 图形化远程桌面连接：开始-所有程序-附件-远程桌面连接命令快捷键：mstsc

2️⃣Samba

• Samba:向Linux主机提供Windows风格的文件和打印机共享服务。
• 目的：现网Windows居多，为了让Linux兼容与现网用户共享数据和服务。

🕓IIS 服务器（Web 与 FTP)

1️⃣Windows Server 2008R2 IIS服务器

• IIS( Internet Information Server)因特网信息服务器。
• IIS可以搭建Web服务器、FTP服务器和SMTP服务器。【没有POP3和IMAP】
• 安装IIS服务：开始→管理工具→服务器管理→角色→添加角色→Web服务器(IIS)。

2️⃣网站安全性配置

3️⃣Linu*Apache 服务器配置

• Apache:提供Web和FTP等服务，其中Web配置文件是http d.cosf 。
• Apache站点默认Web根目录是/var/www/html或/home/httpd,不同版本有差异。
• 虚拟主机：基于IP地址、基于端口、基于名字。

4️⃣FTP服务器配置

• FTP端口：21（控制）TCP20(数据)数据端口比控制端口小1。
• 添加FTP站点：开始→管理工具→IS管理器→网站→添加FTP站点。

5️⃣FTP权限控制

6️⃣FTP站点访问

• 客户端访问：浏览器或Windows搜索ftp://192.168.1.10
• 命令行访问：DOS下ftp命令访问
• • dir:展示目录下的文件
  • get：从服务器端下载文件
  • put：向FTP服务器端上传文件
  • lcd:设置客户端当前的目录
  • bye:退出FTP连接

🕔DNS 服务器

1️⃣DNS域名系统

• 域名系统(Domain Name System,DNS )。
• • DNS作用：把域名转换成IP地址。
  • DNS/DHCP服务器必须为静态IP地址，而Web/FTP均可为动态IP。
  • Linux系统中提供 DNS 服务的组件为bind,主配置文件为named.conf。
  • 诊断域名系统基础结构的信息和查看DNS服务器的IP地址命令是：nslookup。

2️⃣DNS域名系统结构

• DNS通过层次结构的分布式数据库建立一致性名字空间。
• • FQDN完全合格域名，比如www.whu.edu.cn.
  • 最顶层是根域，用“.”表示
  • 根域下面是顶级域，分为国家顶级域和通用顶级域
  • 顶级域下面是二级域，二级域下还可以划分子域

3️⃣DNS记录类型

4️⃣DNS查询方式

• 递归查询：域名服务器帮助用户进行名字解析，并返回最后的结果。 【老好人】
• 迭代查询：域名服务器进行迭代访问，反复多次，直到最后找到结果。 【踢皮球】

5️⃣DNS查询过程

6️⃣辅助DNS服务器

• 辅助DNS服务器是一种容错设计，DNS主服务器出现故障或因负载太重无法及时响应客户机请求，辅助服务器将挺身而出为主服务器排忧解难。
• 辅助服务器的区域数据都是从主服务器复制而来，DNS通知消息让辅助服务器能及时更新区域信息，只有被通知的辅助域名服务器才能从主域名服务器进行区域复制。

7️⃣DNS配置文件

• (1)/etc/resolv.conf:DNS服务器配置文件，包含了主机的域名搜索顺序和DNS服务器地址。
• • [root@localhost ~]# cat /etc/resolv.conf//查看该文件中的内容

  • Generated by Network Manager

  • nameserver 8.8.8.8 //google DNS
  • nameserver 8.8.4.4//google 用DNS
• (2)/etc/named.conf:DNS主配置文件，存放各类DNS记录，比如A记录、PTR记录。
• (3)/etc/hosts:存放主机DNS解析缓存，包含IP地址、主机名。
• • C:\Windows\System32\drivers\etc\hosts

  • For example:

  • 102.54.94.97 rhino.acme.com

  • 38.25.63.10 x.acme.com

• (4)host.conf:解析器查询顺序配置文件。
• • vi /etc/host.conf
  • order hosts bind//表示先查询本地hosts文件，如果没有结果，再尝试查找BINDDNS服务器。

🕕DHCP 服务器

1️⃣DHCP工作原理

2️⃣DHCP租期更新

• 当客户机的租约期到50%，会向DHCP服务器发送DHCP REQUEST消息包。
• 如果客户机接收到该服务器回应的DHCP ACK消息包，客户机就根据包中所提供的新的租期以及其它已经更新的TCP/IP参数，更新自己的配置，IP租用更新完成。
• 如果没有收到该服务器的回复，则客户机继续使用现有的IP地址，因为租期还剩50%。
• 如果在租期过去50%的时候没有更新，则客户机将在租期过去87.5%的时候再次向为其提供IP的DHCP服务器联系。
• 如果还不成功，到租约的100%时候，客户机必须放弃这个IP地址，发送DHCP DISCOVER重新申请地址。
• 如果此时无DHCP可用，客户机会使用169.254.0.0/16中随机的一个地址，并且每隔5分钟再进行尝试。

3️⃣新建DHCP地址池

4️⃣客户端DHCP

5️⃣Linux DHCP配置

• Dhcpd. conf的配置文件例子进行说明
• • subnet 192.168.0.0 netmask 255.255.255.0 {
  • range 192.168.0.200 192.168.0.254;
  • ignore client-updates;
  • default-lease-time 3600;
  • max-lease-time 7200;
  • option routers 192.168.0.1;
  • option domain-name"test.org" ;
  • option domain-name-servers 192.168.0.2;
  • host test1 { hardware ethernet 00:E0:4C:70:33:65;fixed-address 192.168.0.8;}
• DHCP可分配地址为192.168.0.200-254，网关为192.168.0.1，DNS地址为192.168.0.2
• 同时对主机test1 提供固定的IP地址192.168.0.8

6️⃣华为DHCP配置

• 华为路由器/三层交换机DHCP配置
• [dhcp] dhcp enable//开DHCP功能
• [dhcp] ip pool vlan10 //DHCP地址vlan10
• [dhcp-ip-pool-vlan10] network 192.168.10.0 mask 24
• [dhcp-ip-pool-vlan10] gateway-list 192.168.10.254//指定网关地址
• [dhcp-ip-pool-vlan10] dns-list 8.8.8.8 //指定DNS地址
• [dhcp-ip-pool-vlan10] quit
• [dhcp] ip pool vlan20 //DHCPvlan10
• [dhcp-ip-pool-vlan20] network 192.168.20.0 mask 24
• [dhcp-ip-pool-vlan20] gateway-list 192.168.20.254
• [dhcp-ip-pool-vlan20] dns-list 8.8.8.8

7️⃣DHCP报文格式

• DHCP除了标准字段，还包含可选部分Option(用户自定义)。
• • Option 82:称为中继代理 DHCPRe|ay 信息选项。
  • Option 43:为AP分配IP地址的同时，通告AC的地址。

8️⃣Option 43应用举例

• WLAN三层组网中，当AP上线时，需要获取AC的IP地址，并与AC之间建立CAPWAP隧道。
• AP的IP地址通过DHCP服务器分配，当AC的IP地址与AP不在同一个广播域，AP无法通过广播的方式获取AC的IP地址，则CAPWAP隧道无法建立成功。
• AP通过DHCP报文中的Option43选项字段获取AC的IP地址，当AP获取AC的IP地址后，可以进一步完成CAPWAP隧道的建立，从而实现AP上线。

9️⃣华为DHCP option43配置

• DHCP常规配置，为AP分配IP地址。
• • [DHCP-HW] dhcp enable
  • [DHCP-HW] ip pool huawei
  • [DHCP-HW-ip-pool-huawei] network 192.168.100.0 255.255.255.0
  • [DHCP-HW-ip-pool-huawei] gateway-list 192.168.100.1
• 配置Option43,使AP能够获得AC的IP地址，假设AC的IP地址是10.10.10.1。
• • [DHCP-HW-ip-pool-huawei] option 43 sub-option 3 ascii 10.10.10.1

🔟DHCP分配固定IP地址

1️⃣1️⃣DHCP中继 (DHCPRe|ay)

• 随着网络规模的不断扩大，网络设备不断增多，企业内不同的用户可能分布在不同的网段，一台DHCP服务器在正常情况下无法满足多个网段的地址分配需求。如果还需要通过 DHCP| 服务器分配IP地址，则需要跨网段发送DHCP报文。
• DHCPRe|ay 即DHCP中继，它是为解决DHCP服务器和DHCP客户端不在同一个广播域而提出的，提供了对DHCP广播报文的中继转发功能，能够把DHCP客户端的广播报文“透明地”传送到其它广播域的DHCP服务器上，同样也能够把DHCP服务器端的应答报文“透明地”传送到其它广播域的DHCP客户端。

1️⃣2️⃣DHCP Relay工作原理

• 有中继场景时DHCP客户端首次接入网络的工作原理：
• • 1.发现阶段：DHCP中继接收到DHCP客户端广播发送的DHCP DISCOVER报文后，通过路由转发将DHCP报文单播发送到DHCP服务器或下一跳中继。
  • 2.提供阶段：DHCP服务器根据DHCP DISCOVER报文中的Giaddr字段选择地址池为客户端分配相关网络参数，DHCP中继收到DHCPOFFER报文后，以单播或组播方式发送给DHCPClient。
  • 3.选择阶段：中继接收到来自客户端的DHCPREQUEST报文的处理过程同“发现阶段”。
  • 4.确认阶段：中继接收到来自服务器的DHCPACK报文的处理过程同“提供阶段”。

1️⃣3️⃣DHCPRe|ay 配置举例

• 配置要求：
• • R1通过DHCP获取IP地址。
  • R2的GE0/0/0接口开启DHCP Relay功能，并且指定DHCP Server的IP地址为10.1.1.2。
  • R3创建地址池名字为"HW-1"，地址范围为192.168.10/24,网关为192.168.1.1。

1️⃣4️⃣DHCP Snooping防止私接DHCP服务器

1️⃣5️⃣DHCP Snooping配置

• [Huawei] dhcp snooping enable
• [Huawei] int GigabitEthernet0/0/1
• [Huawei-GigabitEthernet0/0/1] dhcp snooping trusted
• [Huawei] int GigabitEthernet0/0/2
• [Huawei-GigabitEthernet0/0/2] dhcp snooping untrusted

Linux服务器配置

🕐Linux服务器配置

1️⃣Linux网络配置

🔴Linux 网络配置

• Linux系统，设备和配置都是文件。
• 网络相关配置文件大多数位于/etc目录下，这些文件可以在系统运行时修改，不用重启或停止任何守
• 护程序，更改立刻生效。
• “#”开头的为注释内容。

🟠Linux 网络配置文件

• (1）网络配置文件：/etc/sysconfig/network-script/ifcfg-enoxxx

• (2)/etc/hostname:系统主机名文件。

• (3)/etc/hosts:包含IP地址和主机名之间的映射，还包含主机别名。

• (4)/etc/host.conf指定客户机域名解析顺序，下面为该文件内容：

• (5)/etc/resolv.conf指定客户机域名搜索顺序和DNS服务器地址。

🟡Linux网络接口配置（获取信息+扣空选择）

• ifconfig网络接口设置
• • Ifconfig interface-name ip-address up|down
  • [root@localhost~]#ifconfig eno11230132 10.1.1.1 netmask 255.255.255.0 up
  • [root@localhost~]#ifconfig eno11230132
  • inet 10.1.1.1 netmask 255.255.255.0
  • ether 00: 20: 57:95:23: ce txqueuelen 1000 ( Ethernet )

🟢网络配置命令

• route配置路由的命令

• Route [add|del] [-net|-host] target [netmask Nm] [gw GW] [if]
• • route add -net target 3.3.3.0/24 gw 2.2.2.254
  • route add -host target 192.168.168.119 gw 192.168.168.1

🔵Linux网络配置

• netstat网络查询命令
• -a 显示所有连接的信息，包括正在侦听的
• -i 显示已配置网络设备的统计信息
• -c 持续更新网络状态（每秒一次）直到被人中止
• -r 显示内核路由表
• -n 以数字格式而不是已解析的名称显示远程和本地地址

2️⃣iptables防火墙配置

🔴iptables的四表五链

🟠iptables命令的语法格式

• iptables【-t表名】管理选项【链名】条件匹配-j执行动作
• • 例： iptables -t filter -A INPUT -s 192.168.184.20 -p tcp --dport 22 -j DROP

• 通用参数：
• • -p协议例 ： iptables -A INPUT -p tcp
  • -s源地址例 ： iptables -A INPUT -s 192.168.1.1
  • -d目的地址例 ： iptables -A INPUT -d 192.168.12.1
  • --sport源端口例 ： iptables -A INPUT -p tcp --sport 22
  • --dport目的端口例： iptables -A INPUT -p tcp --dport 22
  • -j处理动作
  • DROP:丢弃（直接丢弃)
  • REJECT:丢弃（回显ICMP不可达消息)
  • LOG:将数据包信息记录到syslog
  • ACCEPT:允许数据包通过

3️⃣Linux文件和目录管理

🔴Linux文件管理

• Linux系统所有设备都对应一个文件，使用索引节点记录文件信息，每个索引节点有编号。
• 多机目录树形层次结构，最上层是根目录，用“/”表示。
• • Linux : /etc/host 只有一个根目录
  • Windows : E:\test\test.txt 每个磁盘分区都是单独的树
• Linux文件挂载：将一个文件系统的顶层目录挂到另一个文件系统的子目录上，使他们成文一个整体。
• • 挂载点必须是一个目录，而不能是一个文件。
  • 一个分区挂载在一个已知的目录节点上，这个目录可以不为空，挂载后这个目录以前的内容不可用。

🟠Linux文件类型与访问权限

• 五种文件类型：普通文件、目录文件、链接文件、设备文件和管道文件。
• 四类权限：读(r)、写(w)、执行(×)、无访问权限(-)。
• 三类用户：文件所有者、与文件所有者同组用户和其他用户。

🟡13个Linux文件和目录操作命令

• (1)cat命令：用来在屏幕上滚动显示文件的内容，cat命令也可以同时查看多个文件的内容，还可以用来合并文件cat[-选项]fileName [filename2]... [fileNameN]
• (2)more命令：如果文本文件比较长，一屏显示不完，这时可以使用more命令将文件内容分屏显示
• (3)less命令：less命令的功能与more命令很相似，也是按页显示文件，不同的是less命令在显示文件时允许用户既可以向前或向后翻阅文件。按B键向前翻页显示；按P键向后翻页显示；输入百分比显示指定位置；按Q键退出显示
• (4)文件复制命令cp
• • cp [-选项] sourcefileName I directory destfileName I directory
  • -a:整个目录复制。它保留链接、文件属性，并递归地复制子目录
  • -f:删除已经存在的目标文件且不提示
• (5)文件移动命令mv。
• (6)文件删除命令rm。rm[-选项] fileName |directory ...
• • -f:忽略不存在的文件，从不给出提示。
  • -r:指示rm将参数中列出的全部目录和子目录均递归地删除。
  • 最大的笑话：删库跑路 rm-rf/*
• (7)(8)创建/删除目录命令mkdir rmdir
• (9)改变目录命令cd
• (10)显示当前目录命令pwd[root@redhat-64-]#pwd显示的路径名为/home/sun
• (11)列目录命令ls
• (12)文件访问权限命令chmod chmod g+rw test.txt
• (13)文件链接命令In。In命令的功能是在文件之间创建链接。

4️⃣Linux用户和组管理

🔴Linux用户和组管理

• Linux系统中最重要的是超级用户，即根用户root UID=0
• 用户管理配置文件（偶尔考）
• ①/etc/passwd每个用户在该文件中都有一行对应记录，该文件对所有用户都是可读的
• • 分为7个域，记录了这个用户的基本属性，格式如下：
  • 用户名：加密的口令：用户ID:组ID:用户的全名或描述：登录目录：登录shell
• ②/etc/shadow只有超级用户root能读的文件/etc/shadow,该文件包含了系统中的所有用户及
• 其口令等相关信息，分成9个域：

🟠Linux用户和组管理

• useradd [-项] username
• -d指定用于取代默认/home/username的用户主目录 useradd-d/home/test user1
• -g用户所属用户组的组名或组ID useradd -g test user2
• passwd [-选项] username
• userdel groupadd groupdel

🟡Linux总结

• 网络配置文件：ifcfg-enoxxx、hostname、hosts、host.conf、reslov.conf。
• 网络配置命令：ifconfig、route、netstat。
• 文件/目录管理：挂载、权限。
• 文件和目录操作命令13个。