?

Linux網(wǎng)絡管理

?

實

驗

指

導

?

?

?

?

?

?

?

?

?

?

?

?

?

?

實驗一? TCP/IP網(wǎng)絡接口配置

一、實驗目的

● 掌握Linux下TCP/IP網(wǎng)絡的設置方法。

● 學會使用命令檢測網(wǎng)絡配置。

● 學會啟用和禁用系統(tǒng)服務。

二、項目背景

某企業(yè)新增了Linux服務器，在但還沒有配置TCP/IP網(wǎng)絡參數(shù)，請設置好各項TCP/IP參數(shù)，并連通網(wǎng)絡。

三、實驗內(nèi)容

練習Linux系統(tǒng)下TCP/IP網(wǎng)絡設置，網(wǎng)絡檢測方法。

四、實驗步驟

子項目1. 設置IP地址及子網(wǎng)掩碼

● 查看網(wǎng)絡接口eth0的配置信息。

● 為此網(wǎng)絡接口設置IP地址、廣播地址、子網(wǎng)掩碼、并啟動此網(wǎng)絡接口。利用ifconfig命令查看系統(tǒng)中已經(jīng)啟動的網(wǎng)絡接口。仔細觀察所看到的現(xiàn)象，記錄啟動的網(wǎng)絡接口。

子項目2. 設置網(wǎng)關(guān)和主機名

● 顯示系統(tǒng)的路由設置。

● 設置默認路由。并再次顯示系統(tǒng)的路由設置，確認設置成功。

● 顯示當前的主機名設置；并以自己姓名縮寫重新設置主機名。再次顯示當前的主機名設置，確認修改成功。

子項目3. 網(wǎng)絡設置檢測

●? ping網(wǎng)關(guān)的IP地址，檢測網(wǎng)絡是否連通。

● 用netstat命令顯示系統(tǒng)核心路由表。

● 用netstat命令查看系統(tǒng)開啟的TCP端口。

子項目4. 設置域名解析

● 編輯/etc/hosts文件，加入要進行靜態(tài)域名解析的主機的IP地址和域名。

● 用ping命令檢測上面設置好的網(wǎng)關(guān)的域名，測試靜態(tài)域名解析是否成功。

● 編輯/etc/resolv.conf文件，加入域名服務器的IP地址，設置動態(tài)域名解析。

● 編輯/etc/host.conf文件，設置域名解析順序為：hosts,bind。

● 用nslookup命令查詢一個網(wǎng)址對應的IP地址，測試域名解析的設置。

子項目5. 啟動和停止守護進程

● 用service命令查看守護進程sshd的狀態(tài)。

● 如果顯示sshd處于停用狀態(tài)，可以試著用ssh命令來連接本地系統(tǒng)，看看是否真的無法登錄。

● 然后用service命令啟動sshd，再用ssh命令連接本地系統(tǒng)，看看sshd服務是否真的已經(jīng)啟動。

● 用ntsysv命令設置sshd在系統(tǒng)啟動時自動啟動。

● 用service命令停止sshd守護進程。

五、實驗思考題

1．當無法連接遠程主機的時候，例如，用telnet命令無法連接到遠程主機remost.net，此時應該按什么順序，用什么方法，分別檢測系統(tǒng)中的哪些設置？

2．靜態(tài)域名解析和動態(tài)域名解析有什么區(qū)別？分別在哪些文件里進行設置？系統(tǒng)如何決定用哪種方式對一個域名進行解析？

3．利用ifconfig和route命令配置的IP地址、子網(wǎng)掩碼和默認網(wǎng)關(guān)等信息和利用netcofig及編輯/etc/syscofig/network-scripts/if-eth0文件配置的IP地址、子網(wǎng)掩碼和默認網(wǎng)關(guān)等信息有什么不同？

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

實驗二?Samba服務器配置與管理

一、實驗目的

● 掌握Linux與Windows的資源共享和互訪方法。

● 掌握Samba服務器的安裝和配置方法。

● 了解使用Samba共享用戶認證和文件系統(tǒng)。

二、項目背景

某公司有system、develop、productdesign和test等4個小組，個人辦公機操作系統(tǒng)為Windows2000/XP/2003，少數(shù)開發(fā)人員采用Linux操作系統(tǒng)，服務器操作系統(tǒng)為RHEL 4，需要設計一套建立再RHEL 4之上的安全文件共享方案。每個用戶都有自己的網(wǎng)絡磁盤，develop組到test組有共用的網(wǎng)絡硬盤，所有用戶（包括匿名用戶）有一個只讀共享資料庫；所有用戶（包括匿名用戶）要有一個存放臨時文件的文件夾。網(wǎng)絡拓撲如下圖所示。

項目目標：

●? System組具有管理所有Samba空間的權(quán)限。

● 各部門的私有空間：各小組擁有自己的空間，除了小組成員及system組有權(quán)限以外，其他用戶不可訪問（包括列表、讀和寫）。

● 資料庫：所有用戶（包括匿名用戶）都具有讀權(quán)限而不具有寫入數(shù)據(jù)的權(quán)限。

●? Develop組與test組的共享空間，develop組與test組之外的用戶不能訪問。

● 公共臨時空間：讓所有用戶可以讀取、寫入、刪除。

?

三、實驗內(nèi)容

練習Linux系統(tǒng)Samba服務器配置與訪問方法。

四、實驗步驟

子項目1. 創(chuàng)建共享資源目錄

各目錄說明如下：

/data/share：管理員目錄，負責管理其下所有目錄。

/data/share/develop：develop的主目錄，除了用戶本身和system之外，其他用戶都是不可讀不可寫。

/data/share/productdesign：productdesign的主目錄，除了用戶本身和system組以外，其他用戶都是不可讀不可寫。

/data/share/test：test的主目錄，除了用戶本身和system組以外，其他用戶都是不可讀不可寫。

/data/share/library：資料庫目錄，所有用戶（除了system組有權(quán)限寫入外）只讀目錄。

/data/share/develop_testrw：develop組和test組的共享空間，develop組與test組之外的用戶不能訪問。

/data/share/temp：用于所有用戶（包括匿名用戶）的可讀可寫。

子項目2. 權(quán)限設置

● 添加用戶組。

● 添加用戶。

● 添加Samba用戶。

● 配置相關(guān)目錄的權(quán)限與歸屬。

子項目3. Samba服務器的配置（/etc/samba/smb.conf）

●全局環(huán)境配置。

● 資料庫共享資源的配置。

● 公共臨時共享空間的配置。

●develop組與test組的共享空間。

●各部門的私有空間。

子項目4. 客戶端的訪問效果

五、實驗思考題

1．Samba服務的主要守護進程有哪些？Samba服務的功能是什么？

2．建立Samba服務器，并根據(jù)一下要求配置Samba服務器。

●? 設置Samba服務器所述的群組名稱為student。

●? 設置可訪問Samba服務器的子網(wǎng)為192.168.0.0/24。

●? 設置Samba服務器監(jiān)聽的網(wǎng)卡為eth0。

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

實驗三 NFS服務器配置與管理

一、實驗目的

● 掌握Linux系統(tǒng)之間資源共享和互訪方法。

● 掌握企業(yè)NFS服務器和客戶端的安裝與配置方法。

二、項目背景

某企業(yè)的銷售部有一個局域網(wǎng)，域名為xs.mq.cn。網(wǎng)絡拓撲圖如下圖所示。網(wǎng)內(nèi)有一臺Linux的共享資源服務器shareserver，域名為shareserver.xs.mq.cn。現(xiàn)要在shareserver上配置NFS服務器，使銷售部內(nèi)的所有主機都可以訪問shareserver服務器中的/share共享目錄中的內(nèi)容，但不允許客戶機更改共享資源的內(nèi)容。同時，讓主機china在每次系統(tǒng)啟動時自動掛載shareserver的/share目錄中的內(nèi)容到china3的/share1目錄下。

三、實驗內(nèi)容

練習Linux系統(tǒng)NFS服務器與NFS客戶端的配置方法。

四、實驗步驟

子項目1. NFS服務器的配置

● 檢測系統(tǒng)是否安裝了NFS服務器對應的軟件包，如果沒有安裝的話，進行安裝。

●按照項目背景的要求，配置NFS服務器。

●啟動NFS服務。

子項目2. NFS客戶端的配置

● 按照項目背景的要求，配置NFS的客戶端。

●重新啟動NFS客戶端，將會自動加載到/share1目錄下。

五、實驗思考題

1．在利用chkconfig--list命令檢測nfs服務器的自啟動狀態(tài)時，該服務在哪個運行級別下是開啟的，哪個運行級別下是關(guān)閉的。試想除了利用chkconfig命令之外還有哪些命令可以設置nfs服務的自啟動狀態(tài)。

2．在nfs客戶端利用命令mount和通過配置/etc/fstab文件掛載nfs服務器的共享目錄的區(qū)別是什么？

3．簡述exportfs命令的格式及功能。

?

?

實驗四?DHCP服務器配置與管理

一、實驗目的

● 掌握Linux下DHCP服務器的安裝和配置方法。

● 掌握Linux下DHCP客戶端的配置。

二、項目背景

某企業(yè)計劃構(gòu)建一臺 DHCP服務器來解決IP地址動態(tài)分配的問題，要求能夠分配 IP地址以及網(wǎng)關(guān)、DNS等其它網(wǎng)絡屬性信息。同時要求DHCP服務器為DNS、WEB、Samba服務器分配固定IP 地址。該公司網(wǎng)絡拓撲圖如下圖所示。

假設企業(yè)DHCP服務器IP地址為192.168.1.2。DNS服務器的域名為dns.jnrp.cn，IP地址為192.168.1.3；WEB服務器IP地址為192.168.1.10；Samba服務器IP地址為192.168.1.5；網(wǎng)關(guān)地址為192.168.1.254；地址范圍為192.168.1.3到192.168.1.150，掩碼為255.255.255.0。

三、實驗內(nèi)容

練習Linux系統(tǒng)DHCP服務器與DHCP客戶端的配置方法。

四、實驗步驟

子項目1. DHCP服務器的配置

● 檢測系統(tǒng)是否安裝了dhcp服務器對應的軟件包，如果沒有安裝的話，進行安裝。

● 按照項目背景的要求，配置DHCP服務器。

● 利用“servicedhcpd start”命令，啟動dhcpd服務。

子項目2. Linux下DHCP客戶端的配置

● 以root賬號登錄系統(tǒng)。

● 使用命令“vi /etc/sysconfig/network-scripts/ifcfg-eth0”打開網(wǎng)卡配置文件，找到語句“BOOTPROTO=none”，將其改為“BOOTPROTO=dhcp”。

● 使用命令“ifdown eth0; ifup eth0”重新啟動網(wǎng)卡。

● 使用命令“ifconfig eth0”測試DHCP客戶端是否已配置好。

五、實驗思考題

1．Windows操作系統(tǒng)下通過什么命令可以知道本地主機當前獲得的IP地址。

2．描述DHCP服務的地址分配過程。

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

實驗五、 ?DNS服務器配置與管理

一、實驗目的

● 掌握Linux系統(tǒng)中主DNS服務器的配置。

● 掌握Linux下輔助DNS服務器的配置。

二、項目背景

某企業(yè)有一個局域網(wǎng)（192.168.1.0/24），網(wǎng)絡拓撲如下圖所示。該企業(yè)中已經(jīng)有自己的網(wǎng)頁，員工希望通過域名來進行訪問，同時員工也需要訪問Internet 上的網(wǎng)站。該企業(yè)已經(jīng)申請了域名 jnrplinux.com，公司需要Internet 上的用戶通過域名訪問公司的網(wǎng)頁。為了保證可靠，不能因為DNS的故障，導致網(wǎng)頁不能訪問。

現(xiàn)要求在企業(yè)內(nèi)部構(gòu)建一臺 DNS服務器，為局域網(wǎng)中的計算機提供域名解析服務。DNS服務器管理 jnrplinux.com 域的域名解析，DNS服務器的域名為dns.jnrplinux.com，IP地址為192.168.1.2。輔助DNS服務器的IP地址為192.168.1.3。同時還必須為客戶提供Internet上的主機的域名解析。要求分別能解析以下域名：財務部（cw.jnrplinux.com：192.168.1.11），銷售部(xs.jnrplinux.com：192.168.1.12)，經(jīng)理部(jl.jnrplinux.com：192.168.1.13)，OA系統(tǒng)(oa.jnrplinux.com：192.168.1.13)。

三、實驗內(nèi)容

練習Linux系統(tǒng)下主及輔助DNS服務器的配置方法。

四、實驗步驟

子項目1. 主DNS服務器的配置

● 檢查DNS服務對應的軟件包是否安裝，如果沒有安裝的話，安裝相應的軟件包。

● 編輯/etc/named.conf文件，添加“jnrplinux.com”正向區(qū)域及“1.168.192.in-addr.arpa”反向區(qū)域。

● 創(chuàng)建/var/named/chroot/var/named/jnrplinux.com.zone正向數(shù)據(jù)庫文件。

● 創(chuàng)建/var/named/chroot/var/named/1.zone反向數(shù)據(jù)庫文件。

● 啟動服務。

子項目2. 輔助DNS服務器的配置

●在192.168.1.3輔助DNS服務器上，編輯/etc/named.conf文件，添加jnrplinux.com區(qū)域。

●在192.168.1.2主DNS服務器上，編輯/etc/named.conf文件的options選項，設置允許進行區(qū)域傳輸。

五、實驗思考題

1．簡單敘述域名解析的工作過程。

2．簡單敘述主DNS、輔助DNS和轉(zhuǎn)發(fā)器DNS服務器的配置過程。

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

實驗七、 Web服務器配置與管理

一、實驗目的

● 掌握Linux系統(tǒng)中Apache服務器的安裝與配置。

● 掌握個人主頁、虛擬目錄、基于用戶和主機的訪問控制及虛擬主機的實現(xiàn)方法。

二、項目背景

假如你是某學校的網(wǎng)絡管理員，學校的域名為www.king.com，學校計劃為每位教師開通個人主頁服務，為教師與學生之間建立溝通的平臺。該學校網(wǎng)絡拓撲圖如下圖所示。

學校計劃為每位教師開通個人主頁服務，要求實現(xiàn)如下功能：

（1）網(wǎng)頁文件上傳完成后，立即自動發(fā)布，URL為http://www.king.com/~用戶名。

（2）在Web服務器中建立一個名為private的虛擬目錄，其對應的物理路徑是/data/private。并配置Web服務器對該虛擬目錄啟用用戶認證，只允許kingma用戶訪問。

（3）在Web服務器中建立一個名為的虛擬目錄，其對應的物理路徑是/dir1 /test，并配置Web服務器僅允許來自網(wǎng)絡jnrp.net域和192.168.1.0/24網(wǎng)段的客戶機訪問該虛擬目錄。

（4）使用192.168.1.2和192.168.1.3兩個IP地址，創(chuàng)建基于IP地址的虛擬主機。其中IP地址為192.168.1.2的虛擬主機對應的主目錄為/var/www/ip2，IP地址為192.168.1.3的虛擬主機對應的主目錄為/var/www/ip3。

（5）創(chuàng)建基于www.mlx.com和www.king.com兩個域名的虛擬主機，域名為www.mlx.com虛擬主機對應的主目錄為/var/www/mlx，域名為www.king.com虛擬主機對應的主目錄為/var/www/king。

三、實驗內(nèi)容

練習Linux系統(tǒng)下WEB服務器的配置方法。

四、實驗步驟

子項目1.Apache服務的安裝、啟動與停止

●安裝Apache服務。

●Apache服務的啟動與停止。

●啟動Apache服務之后，從客戶端看到的測試效果。

子項目2.配置用戶個人主頁

●編輯httpd.conf文件，設置用戶個人主頁。

●設置用戶個人主頁所在目錄的訪問權(quán)限。

●創(chuàng)建存放用戶個人主頁空間的目錄。

●創(chuàng)建個人主頁空間的默認首頁文件。

●編輯httpd.conf文件，將UserDir的值設置為public_html。

●重新啟動httpd服務。

子項目3. 設置基于用戶認證的虛擬目錄/private

●編輯httpd.conf文件，添加/private虛擬目錄并設置用戶訪問控制。

●利用htpasswd命令生成用戶密碼文件，并為kingma用戶設置登錄密碼。

子項目4. 設置基于主機訪問控制的虛擬目錄/test

●編輯httpd.conf文件，添加/test虛擬目錄并設置基于主機的訪問控制。

●重新啟動httpd服務，即可。

子項目5. 創(chuàng)建基于IP地址的虛擬主機

●分別創(chuàng)建“/var/www/ip2”和“/var/www/ip3”兩個主目錄和默認首頁文件。?

●在httpd.conf文件中，設置基于IP地址的虛擬主機，配置內(nèi)容如下。?

?

●重新啟動httpd服務，即可。

子項目6. 創(chuàng)建基于域名的虛擬主機

●分別創(chuàng)建“/var/www/mlx”和“/var/www/king”兩個主目錄和默認文件。??

●在httpd.conf文件中，設置基于域名的虛擬主機，配置內(nèi)容如下。

●重新啟動httpd服務，即可。

五、實驗思考題

1．怎樣改變Apache服務器的監(jiān)聽端口？如何在Apache服務器中使用SSL功能？

2．在配置用戶認證的時候，如果密碼文件中包含多個用戶，如何設置只允許其中的某幾個用戶訪問一個認證區(qū)域？

3．請將本實驗的子項目4使用.htaccess文件重新進行配置。

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

實驗九?FTP服務器配置與管理

一、實驗目的

● 掌握Vsftpd服務器的配置方法。

● 熟悉FTP客戶端工具的使用。

● 掌握常見的FTP服務器的故障排除。

二、項目背景

某企業(yè)網(wǎng)絡拓撲圖如下圖所示，該企業(yè)想構(gòu)建一臺FTP服務器，為企業(yè)局域網(wǎng)中的計算機提供文件傳送任務，為財務部門、銷售部門和OA系統(tǒng)提供異地數(shù)據(jù)備份。要求能夠?qū)?FTP 服務器設置連接限制、日志記錄、消息、驗證客戶端身份等屬性，并能創(chuàng)建用戶隔離的FTP站點。

三、實驗內(nèi)容

練習Linux系統(tǒng)下Vsftpd服務器的配置方法及FTP客戶端工具的使用。

四、實驗步驟

子項目1. 設置匿名帳號具有上傳、創(chuàng)建目錄權(quán)限

//修改本地權(quán)限，使匿名用戶對/var/ftp目錄具有寫入權(quán)限 [root@RHEL4 var]# chmod o+w /var/ftp [root@RHEL4 ftp]# vi /etc/vsftpd/vsftpd.conf //添加下面兩行： anon_upload_enable=YES anon_mkdir_write_enable=YES

子項目2. 設置禁止本地user1用戶登錄ftp服務器

?[root@RHEL4 var]#vi /etc/vsftpd.ftpusers //添加下面的行： user1 //重新啟動vsftpd服務，即可。

子項目3. 設置本地用戶登錄FTP服務器之后，在進入dir目錄時顯示提示信息“welcome”

//以user2用戶登錄系統(tǒng)，并進入user2用戶家目錄/home/user2目錄下的dir1目錄 [user2@RHEL4 dir]$cd ~/dir //新建.message文件并輸入”welcome” [user2@RHEL4 dir]$ echo "welcome">.message //以下為測試結(jié)果 [user2@RHEL4 dir]$ ftp 192.168.1.2 Name (192.168.1.2:user2): user2 Password: ftp> cd dir?? ??????????//切換到dir目錄 250-welcome?????????? //顯示.message文件的內(nèi)容 250 Directory successfully changed.

子項目4.設置將所有本地用戶都鎖定在家目錄中

//修改vsftpd.conf文件，做如下設置 [root@RHEL4 ftp]# vi /etc/vsftpd/vsftpd.conf chroot_list_enable=NO????????? //修改該參數(shù)的取值為NO chroot_local_user=YES??????? ???//修改該參數(shù)的取值為YES //重新啟動vsftpd服務即可 //測試部分略

子項目5. 設置只有指定本地用戶user1和user2可以訪問FTP服務器

//將例14-1中/etc/vsftpd.ftpusers文件中的user1刪除 //修改vsftpd.conf文件，做如下設置 [root@RHEL4 ftp]# vi /etc/vsftpd/vsftpd.conf userlist_enable=YES????????? //修改該參數(shù)的取值為YES usrelist_deny=NO??? ????????//添加此行 userlist_file=/etc/vsftpd.user_list?? //添加此行 //利用vi編輯器打開/etc/vsftpd.user_list文件 [root@RHEL4 ~]# vi /etc/vsftpd.user_list //添加如下兩行并保存退出： user1 user2 //重新啟動vsftpd服務即可 //測試部分略

子項目6. 配置基于主機的訪問控制

實現(xiàn)如下功能：

● 拒絕192.168.6.0/24訪問。

● 對域jnrp.net和192.168.2.0/24內(nèi)的主機不做連接數(shù)和最大傳輸速率限制。

● 對其他主機的訪問限制每IP的連接數(shù)為1，最大傳輸速率為20KB/S

//修改vsftpd.conf文件 [root@RHEL4 ~]# vi? /etc/vsftpd/vsftpd.conf tcp_wrappers=YES?????????? //確保支持tcp_wrappers?? //添加如下兩行并保存退出： local_max_rate=20000 anon_max_rate=20000 max_per_ip=1 //編輯/etc/host.allow文件 [root@RHEL4 ~]# vi /etc/hosts.allow //添加下面兩行： vsftpd:jnrp.net,192.168.2.0/24 :setenv VSFTPD_LOAD_CONF /etc/vsftpd/vsftpd_tcp_wrap.conf vsftpd:192.168.6.0/24:DENY //編輯/etc/vsftpd/vsftpd_tcp_wrap.conf文件 [root@RHEL4 ~]# vi /etc/vsftpd/vsftpd_tcp_wrap.conf //添加下面三行： local_max_rate=0 anon_max_rate=0 max_per_ip=0 //重新啟動vsftpd服務即可 //測試部分略

子項目7. 使用PAM實現(xiàn)基于虛擬用戶的FTP服務器的配置。

● 創(chuàng)建虛擬用戶口令庫文件。

//生成建立口令庫文件的文本文件 [root@RHEL4 ~]# cat /root/login.txt peter????????????? //此行指定虛擬用戶peter 123456?????????? //此行設置peter用戶的FTP密碼 tom????????????? //此行指定虛擬用戶tom 213456?????????? //此行設置tom用戶的FTP密碼 ? //使用db_load命令生成口令庫文件 [root@RHEL4 /]# db_load -T -t hash -f /root/login.txt /etc/vsftpd/vsftpd_login.db //修改數(shù)據(jù)庫文件的本地權(quán)限 [root@RHEL4 ~]# chmod 600 /etc/vsftpd/vsftpd_login.db

● 生成虛擬用戶所需的PAM配置文件/etc/pam.d/vsftpd。

[root@RHEL4 ~]#vi /etc/pam.d/vsftpd //添加如下兩行 auth?????? required??? /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login account??? required?? /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login

● 修改vsftpd.conf文件。

[root@RHEL4 ~]# vi /etc/vsftpd/vsftpd.conf //保證具有下面三行 guest_enable=YES??? //啟用虛擬用戶功能 guest_username=ftp?? //將虛擬用戶映射成ftp帳號，利用虛擬用戶登錄后，會在ftp用戶所在目錄下。 pam_service_name=vsftpd? //指定PAM配置文件是vsftpd

● 利用下面的命令重新啟動vsftpd服務即可。

[root@RHEL4 ~]# service vsftpd restart

● 測試。

五、實驗思考題

1．簡單敘述FTP服務器的配置過程。

2．簡單說一下FTP服務器中的文件在Linux系統(tǒng)本身的權(quán)限和通過FTP訪問時的權(quán)限之間的關(guān)系。

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

實驗十?郵件服務器配置與管理

一、實驗目的

● 能熟練完成企業(yè)POP3郵件服務器的安裝與配置。

● 能熟練完成企業(yè)Sendmail郵件服務器的安裝與配置。

二、項目背景

企業(yè)需求：企業(yè)需要構(gòu)建自己的郵件服務器供員工使用；本企業(yè)已經(jīng)申請了域名jyg.com，要求企業(yè)內(nèi)部員工的郵件地址為 username@jyg.com 格式。員工可以通過瀏覽器或者專門的客戶端軟件收發(fā)郵件。除此之外，最好可以提供網(wǎng)絡硬盤、反垃圾郵件，自動回復等功能。

任務：假設郵件服務器的IP地址為192.168.1.2，域名為mail.jyg.com。請構(gòu)建POP3 和SMTP 服務器，為局域網(wǎng)中的用戶提供電子郵件；郵件要能發(fā)送到 Internet 上，同時 Internet 上的用戶也能把郵件發(fā)到企業(yè)內(nèi)部用戶的郵箱。要設置郵箱的最大容量為20M，郵箱內(nèi)郵件數(shù)不得超過500封，單個郵件不得超過4M。之外希望能提供郵件自動回復功能，提供反垃圾郵件功能。

三、實驗內(nèi)容

練習Linux系統(tǒng)下郵件服務器的配置方法。

四、實驗步驟

子項目1.sendmail服務的安裝、啟動與停止

●安裝sendmail服務。

●啟動與停止sendmail服務。

子項目2. sendmail郵件服務器的配置

●編輯/etc/mail/sendmail.mc文件，修改郵件服務器的監(jiān)聽IP。

將：

修改為：

●利用m4宏編譯工具將sendmail.mc文件編譯生成新的sendmail.cf文件。

●修改/etc/mail/local-host-names文件，設置本地郵件服務器所投遞的域。

●向系統(tǒng)中添加測試帳號yuangong1和yuangong2，并分別設置密碼。

●修改DNS服務器的MX資源記錄，將MX資源記錄修改為mail.jyg.com。

●修改好之后，重新啟動sendmail服務即可。

子項目3.POP3郵件服務器的配置

●插入RHEL4的第四張安裝，安裝dovecot軟件。

●修改/etc/dovecot.conf配置文件，使其支持POP3服務。

●啟動dovecot服務，使其支持POP3服務。

五、實驗思考題

1．如果在sendmail中，開放了對遠程服務器的中繼權(quán)限，同時又設置了SMTP認證，則在遠程服務器通過本地Mail服務器發(fā)送郵件時，本地服務器將首先應用哪一種控制策略？如何檢驗？

2．停止了Sendmail服務后，能否繼續(xù)通過本地服務器向外發(fā)送郵件？

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

實驗十一?Iptables防火墻配置與管理

一、實驗目的

● 能熟練完成利用Iptables架設企業(yè)NAT服務器。

● 能熟練完成企業(yè)Squid代理服務器的架設與維護。

二、項目背景

項目1：假如某公司需要Internet接入，由ISP分配IP地址202.112.113.112。采用iptables作為NAT服務器接入網(wǎng)絡，內(nèi)部采用192.168.1.0/24地址，外部采用202.112.113.112地址。為確保安全需要配置防火墻功能，要求內(nèi)部僅能夠訪問Web、DNS及Mail三臺服務器；內(nèi)部Web服務器192.168.1.100通過端口映象方式對外提供服務。網(wǎng)絡拓撲結(jié)構(gòu)如下圖所示。

項目2：某公司用Squid作代理服務器（內(nèi)網(wǎng)IP地址為192.168.1.2），該代理服務器配置為奔騰1.6G/512M/80G，公司所用IP地址段為192.168.1.0/24，并且想用8080作為代理端口。

三、實驗內(nèi)容

練習Linux系統(tǒng)下NAT及Iptables防火墻的配置。

四、實驗步驟

子項目1.NAT服務器的架設與維護

●載入相關(guān)模塊。

●設置WEB服務器。

●設置DNS服務器。

●設置郵件服務器。

●設置不回應ICMP封包。

●防止網(wǎng)絡掃描。

●允許管理員以SSH方式連接到防火墻修改設定。

子項目2.Squid代理服務器的架設與維護

●編輯/etc/squid/squid.conf文件，內(nèi)容如下。

●啟動Squid代理服務。

●配置代理服務器的客戶端。

五、實驗思考題

1．如果設置Iptables防火墻進行記錄？

2．如何使Iptables將日志傳遞到系統(tǒng)日志文件，而不是控制終端？

?

?

?

?

?

?

實驗十二?Squid代理服務器配置與管理

一、實驗目的

● 能熟練完成企業(yè)Squid代理服務器的架設與維護。

二、項目背景

某公司用Squid作代理服務器（內(nèi)網(wǎng)IP地址為192.168.1.2），該代理服務器配置為奔騰1.6G/512M/80G，公司所用IP地址段為192.168.1.0/24，并且想用8080作為代理端口。

三、實驗內(nèi)容

練習Linux系統(tǒng)下Squid代理服務器的配置。

四、實驗步驟

●編輯/etc/squid/squid.conf文件，內(nèi)容如下。

●啟動Squid代理服務。

●配置代理服務器的客戶端。

五、實驗思考題

1．如果設置Iptables防火墻進行記錄？

2．如何使Iptables將日志傳遞到系統(tǒng)日志文件，而不是控制終端？

?

?

?

?

?

?

?

?

?

?

?

?

?

?

實驗十三?LDAP服務器的配置

一、實驗目的

?能熟練完成企業(yè)LDAP服務器的安裝、配置、管理與維護。

二、實驗內(nèi)容

練習Linux系統(tǒng)下LDAP服務器的配置方法。

三?? 實驗步驟：

工作目錄在/usr/share/openldap/migration

配置/etc/openldap/slapd.conf

[root@RHCE5 migration]# slappasswd -s 1234567 －－－ ldap server 密碼加密

{SSHA}D+Pgu8OZ+0rhLhbjSXtYwSbMAn6oGABC

?[root@RHCE5 migration]# vi /etc/openldap/slapd.conf

# added by wyong 2008.5.27

database bdb

suffix "dc=wyong,dc=net" ---注意這里要不能用dc=ns,dc=wyong,dc=net

rootdn"cn=Manager,dc=ns,dc=wyong,dc=net"

rootpw secret

rootpw {SSHA}iAloxgWwl+ImMHdfNaJhN2xOdaE8jslY

2.開啟服務

[root@RHCE5 migration]# /etc/init.d/ldap start

?[root@RHCE5 migration]# ldapsearch -x -b '' -sbase '(objectclass=*)' namingContexts

3.帳號遷移

Red Hat 所提供的openldap-servers 包包含 PADL Software Pty Ltd. 公司的 MigrationTools 工具。我們將使用這些工具將數(shù)據(jù)從 Linux 系統(tǒng)文件（例如 /etc/group 和 /etc/password）轉(zhuǎn)換成 LDAP LDIF 格式，這是數(shù)據(jù)庫信息的一種文本格式的表示。這種格式是行界定、冒號分隔的屬性-值對。

有一組 Perl 腳本被安裝到 /usr/share/openldap/migration/ 中執(zhí)行遷移。這些 Perl 腳本的配置信息包含在 migrate_common.ph 文件的開頭。對于我們的目的來說，只需要修改命名前綴的變量來使用條目的識別名就足夠了，如下所示：

$DEFAULT_BASE = "dc=wyong,dc=net"

在進行這些修改之后，請運行腳本 migrate_base.pl，它會創(chuàng)建根項，并為 Hosts、Networks、Group 和People 等創(chuàng)建低一級的組織單元

[root@RHCE5 migration]# vi migrate_common.ph

# modified by wyong 2008.5.27

# Default DNS domain

#$DEFAULT_MAIL_DOMAIN = "padl.com";

$DEFAULT_MAIL_DOMAIN ="ns.wyong.net";

# Default base
#$DEFAULT_BASE = "dc=padl,dc=com";

$DEFAULT_BASE ="dc=ns,dc=wyong,dc=net";

添加數(shù)據(jù)庫“樹干“

?[root@RHCE5 migration]# ./migrate_base.pl >base.ldif

[root@RHCE5 migration]# vi base.ldif

［編輯 base.ldif，刪除除wyong,people,group之外的所有條目：］在 LDAP 服務器上，使用 OpenLDAP 客戶機工具 ldapadd 將以下條目插入到數(shù)據(jù)庫中。簡單身份驗證必須要使用 -x 選項指定。在 slapd.conf 中定義的 rootdn 身份驗證識別名是“cn=Manager,dc=ns,dc=wyong,dc=net”。對于簡單身份驗證來說，必須使用密碼。選項 -W 強制提示輸入密碼。這個密碼就是在 slapd.conf 文件中指定的 rootpw 參數(shù)的值。包含這些條目的 LDIF 文件是使用 -f 選項指定的：

[root@RHCE5 migration]# ldapadd -x -D"cn=Manager,dc=ns,dc=wyong,dc=net" -W -f base.ldif －－－ -v選項將輸出更詳細的內(nèi)容

Enter LDAP Password:

adding new entry "dc=wyong,dc=net"

adding new entry"dc=ns,dc=wyong,dc=net"

adding new entry"ou=People,dc=ns,dc=wyong,dc=net"

adding new entry"ou=Group,dc=ns,dc=wyong,dc=net"

[root@RHCE5 migration]# passwd ldap －－－ 激活ldap用戶

Changing password for user ldap.

New UNIX password:

BAD PASSWORD: it is too short

Retype new UNIX password:

passwd: all authentication tokens updatedsuccessfully修改ldap目錄權(quán)限，否則可能會引起某些問題

[root@RHCE5 migration]# chown -R ldap.ldap /var/lib/ldap添加group和user數(shù)據(jù)庫

方法一：單獨添加，例如添加ldap

[root@RHCE5 migration]# grep ldap /etc/group> ldapuser.group

[root@RHCE5 migration]# ./migrate_group.plldapuser.group > ldapgroup.ldif

[root@RHCE5 migration]# ldapadd -x -D"cn=Manager,dc=ns,dc=wyong,dc=net" -W -f ldapgroup.ldif
Enter LDAP Password:

adding new entry"cn=ldap,ou=Group,dc=ns,dc=wyong,dc=net"

[root@RHCE5 migration]# grep ldap /etc/passwd>ldapuser.passwd

[root@RHCE5 migration]# ./migrate_passwd.plldapuser.passwd >ldappasswd.ldif

[root@RHCE5 migration]# ldapadd -x -D"cn=Manager,dc=ns,dc=wyong,dc=net" -W -f ldappasswd.ldif

Enter LDAP Password:

adding new entry"uid=ldap,ou=People,dc=ns,dc=wyong,dc=net"

配置 LDAP 客戶機

一種快速而簡單的方法是運行 /usr/sbin/authconfig，并在兩個屏幕中輸入信息。（authconfig-gtk圖形化配置很簡單就不說了）

另外一種方法是通過編輯客戶機 LDAP 配置文件 /etc/ldap.conf，然后修改 /etc/nsswitch.conf、/etc/sysconfig/authconfig 和/etc/pam.d/system-auth。

?

PAM 和 NSS 模塊使用的基本配置文件是 /etc/ldap.conf。host 選項指定 LDAP 服務器，base選項指定這個目錄使用的 DN，最初我們希望關(guān)閉加密功能：

host ns.wyong.net

base dc=wyong,dc=net

ssl off

要讓 NSS 服務使用OpenLDAP 服務器，需要將 “l(fā)dap” 添加到/etc/nsswitch.conf 文件的 passwd、shadow和 group 行中，如下所示：

passwd: files ldap

shadow: files ldap

group: files ldap

要讓 PAM 身份驗證服務使用OpenLDAP 服務器，請將 pam_ldap 行加入到/etc/pam.d/system-auth 中，位置在對應的標準 pam_unix.so 條目之后。

實驗十四?VPN服務器配置與管理

一、實驗目的

● 能熟練完成企業(yè)VPN服務器的安裝、配置、管理與維護。

二、項目背景

某企業(yè)需要搭建一臺VPN服務器。使公司的分支機構(gòu)以及SOHO員工可以從Internet訪問內(nèi)部網(wǎng)絡資源（訪問時間：09:00-17:00）。

三、實驗內(nèi)容

練習Linux系統(tǒng)下VPN服務器的配置方法。

四、實驗步驟

步驟1：編輯/etc/pptpd.conf文件，設置虛擬專用連接的地址池。

步驟2：編輯/etc/pptpd/chap-secrets文件，設置遠程登陸VPN客戶端撥入時所使用的用戶名、密碼和分配給該用戶的IP地址。

步驟3：設置/etc/ppp/options-pptpd文件。

[root@RHEL4 ~]# grep -v "#" /etc/ppp/options.pptpd name pptpd?????????? //相當于身份驗證時的域，一定要和/etc/ppp/chap-secrets中的內(nèi)容對應 refuse-pap??????????? //拒絕pap身份驗證 refuse-chap?????????? //拒絕chap身份驗證 refuse-mschap??????? //拒絕mschap身份驗證 require-mschap-v2???? //采用mschap-v2身份驗證方式 require-mppe-128????? //在采用mschap-v2身份驗證方式時要使用MPPE進行加密 ms-dns 192.168.0.9??? //給客戶端分配DNS服務器地址 ms-wins 192.168.1.1?? //給客戶端分配WINS服務器地址 proxyarp???????????? //啟動ARP代理

步驟4：啟動Linux的路由轉(zhuǎn)發(fā)功能。

步驟5：啟動VPN服務器。

步驟6：設置VPN服務器穿透防火墻。

步驟7：VPN客戶端的設置。

（1）在桌面上右擊【網(wǎng)上鄰居】并從彈出的快捷菜單中點擊【屬性】，接著在彈出的窗口中點擊【新建連接】，打開【網(wǎng)絡連接向?qū)А繉υ捒?#xff0c;如圖所示。

（2）單擊“下一步”，在該對話框中選擇網(wǎng)絡的連接類型為“通過Internet連接到專用網(wǎng)絡”，如圖所示。

（3）單擊“下一步”，選擇VPN客戶端接入Internet網(wǎng)絡的連接方式。在此選擇“不撥初始連接”，如圖所示。

（4）單擊“下一步”，設置VPN服務器的地址，在此輸入VPN服務器的IP地址或主機名，然后單擊“下一步”，如圖所示。

（5）單擊“下一步”，設置是否允許所有用戶使用此連接，在此我們選擇“所有用戶使用此連接”，如圖所示。

（6）單擊“下一步”，打開“完成網(wǎng)絡連接向?qū)А痹诖嗽O置此虛擬連接的名稱，在此輸入“jnrp-vpn”，如圖所示。單擊完成按鈕，即可完成該向?qū)А?/p>

（7）在下圖所示的對話框中輸入登錄VPN服務器的用戶名和密碼，單擊“連接按鈕”，這時客戶端就開始與VPN服務器建立連接，完成用戶名和密碼的核對，網(wǎng)絡注冊等工作。分別如圖16-9和16-10所示。

（8）在連接成功之后在VPN客戶端利用ipconfig命令可以看到多了一個ppp連接，如圖所示。

（9）在VPN服務器端利用ifconfig命令可以看到多了一個ppp0連接，如圖所示。

五、實驗思考題

1．如果在sendmail中，開放了對遠程服務器的中繼權(quán)限，同時又設置了SMTP認證，則在遠程服務器通過本地Mail服務器發(fā)送郵件時，本地服務器將首先應用哪一種控制策略？如何檢驗？

2．停止了Sendmail服務后，能否繼續(xù)通過本地服務器向外發(fā)送郵件？

?

總結(jié)

以上是生活随笔為你收集整理的Linux网络管理实 验 指 导的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。