Network on Colben Notes

华为 hcnp 笔记

Sat, 06 Mar 2021 22:45:00 +0800

基本命令

查看操作系统

用户模式下执行
1

dis version

修改语言

用户模式下执行
1

language-mode Chinese

保存配置

用户模式下执行
1

save

修改主机名

系统模式下执行
1

sysname XXXX

关闭提示信息

系统模式下执行
1

undo info-center enable

显示当前模式配置

任何模式下执行
1

dis this

接口

显示接口摘要信息

任何模式下执行
1

dis ip int brief

显示接口类型

任何模式下执行
1

dis port vlan

配置接口 IP

系统模式下执行

1
2

int e0/0/0
    ip addr 172.16.1.1 24

配置接口描述信息

系统模式下执行
1 2

int e0/0/0 description ...

配置接口组

系统模式下执行
1

port-group g e0/0/2 to e0/0/8

接口安全

默认只允许一个 mac 地址通信

系统模式下执行

int gi0/0/1
    port-security enable
    port-security mac-address sticky # 只允许第一次连接的设备上网
    port-security mac-address sticky xxxx-xxxx-xxxx vlan 1 # 只允许指定 mac 的设备上网
    port-security max-mac-num 4 # 允许 4 个不同的 mac 地址通信
    port-security protect-action restrict # 触发安全操作时，交换机接口阻塞并警告

接口镜像

系统模式下执行

1
2
3

observe-port 1 int gi0/0/24 # 把 24 口设置为观察口
int gi0/0/1 # 指定要镜像的接口
    port-mirroring to observe-port 1 both # 把 1 口流量复制到 24 口

Vlan

虚拟局域网(Virtual Local Area Network)

Firewalld 笔记

Wed, 30 Oct 2019 13:01:37 +0800

区域(zone)

查看支持的 zone

`1`	`firewall-cmd --get-zones [--permanent]`

zone 定义
- 丢弃(drop) 任何接收的网络数据包都被丢弃，没有任何回复。仅能有发送出去的网络连接。
- 限制(block) 任何接收的网络连接都被 IPv4 的 icmp-host-prohibited 信息和 IPv6 的 icmp6-adm-prohibited 信息所拒绝。
- 公共(public) 在公共区域内使用，不能相信网络内的其他计算机不会对您的计算机造成危害，只能接收经过选取的连接。
- 外部(external) 特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算，不能相信它们不会对您的计算机造成危害，只能接收经过选择的连接。
- 非军事区(dmz) 用于您的非军事区内的电脑，此区域内可公开访问，可以有限地进入您的内部网络，仅仅接收经过选择的连接。
- 工作(work) 用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接。
- 家庭(home) 用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接。
- 内部(internal) 用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接。
- 信任(trusted) 可接受所有的网络连接。
指定其中一个区域为默认区域是可行的。当接口连接加入了 NetworkManager，它们就被分配为默认区域。安装时，firewalld 里的默认区域被设定为公共区域。
判断请求使用的 zone
- source，源地址，优先级最高
- interface，接收请求的网卡
- 默认 zone，优先级最低
查看默认的 zone
1

firewall-cmd --get-default-zone

设置默认的 zone

`1`	`firewall-cmd --set-default-zone=public`

查看活动的 zone
1

firewall-cmd --get-active-zones

查看指定 zone 下的规则

`1`	`firewall-cmd [--zone=<zone>] --list-all`

源地址(source)

列出指定zone的所有绑定的source地址

`1`	`firewall-cmd [--permanent] [--zone=zone] --list-sources`

查询指定zone是否跟指定source地址进行了绑定

`1`	`firewall-cmd [--permanent] [--zone=zone] --query-source=ip[/mask]`

用于将一个source地址绑定到指定的zone（只可绑定一次，第二次绑定到不同的zone会报错）
1

firewall-cmd [--permanent] [--zone=zone] --add-source=ip[/mask]
改变source地址所绑定的zone，如果原来没有绑定则进行绑定
1

firewall-cmd [--permanent] [--zone=zone] --change-source=ip[/mask]

删除source地址跟zone的绑定

`1`	`firewall-cmd [--permanent] [--zone=zone] --remove-source=ip[/mask]`

网卡(interface)

获取网卡所在的 zone

`1`	`firewall-cmd --get-zone-of-interface=<interface>`

增加网卡到 zone

`1`	`firewall-cmd [--zone=<zone>] --add-interface=<interface>`

修改网卡到 zone

`1`	`firewall-cmd [--zone=<zone>] --change-interface=<interface>`

从 zone 中删除网卡

`1`	`firewall-cmd [--zone=<zone>] --remove-interface=<interface>`

查看 zone 中是否包含某网卡

`1`	`firewall-cmd [--zone=<zone>] --query-interface=<interface>`

target

默认可以取四个值: default、ACCEPT、%%REJECT%%、DROP

查看 taget

`1`	`firewall-cmd --permanent [--zone=zone] --get-target`

设置 target

`1`	`firewall-cmd --permanent [--zone=zone] --set-target=target`

必须使用参数 –permanent，而且使用 firewall-cmd 命令不能直接生效，需 reload

服务(service)

查看支持的 service

`1`	`firewall-cmd --get-services [--permanent]`

查看 zone 启动的 service

`1`	`firewall-cmd [--zone=<zone>] --list-services`

在 zone 中启动 service

1
2

firewall-cmd [--zone=<zone>] --add-service=<service> \
    [ --permanent | --timeout=<seconds> ]

禁用 zone 中的 service

`1`	`firewall-cmd [--zone=<zone>] --remove-service=<service> [--permanent]`

查看 zone 中是否启动 service

`1`	`firewall-cmd [--zone=<zone>] --query-service=<service>`

端口和协议组合

查看配置的全部端口规则

`1`	`firewall-cmd [--permanent] [--zone=zone] --list-ports`

启动 zone 中指定协议的端口

1
2

firewall-cmd [--zone=<zone>] --add-port=<port>[-<port>]/<protocol> \
    [ --permanent | --timeout=<seconds> ]

禁用 zone 中指定协议的端口

`1`	`firewall-cmd [--zone=<zone>] --remove-port=<port>[-<port>]/<protocol> [--permanent]`

查看 zone 中指定协议的端口

`1`	`firewall-cmd [--zone=<zone>] --query-port=<port>[-<port>]/<protocol> [--permanent]`

ICMP

查看支持的 icmp 类型

`1`	`firewall-cmd --get-icmptypes [--permanent]`

查看全部 icmp 阻塞规则

`1`	`firewall-cmd [--permanent] [--zone=zone] --list-icmp-blocks`

启动 zone 中的 icmp 阻塞

1
2

firewall-cmd [--zone=<zone>] --add-icmp-block=<icmptype> \
    [ --permanent | --timeout=seconds ]

禁用 zone 中的 icmp 阻塞

`1`	`firewall-cmd [--zone=<zone>] --remove-icmp-block=<icmptype> [--permanent]`

查询 zone 的 icmp 阻塞

`1`	`firewall-cmd [--zone=<zone>] --query-icmp-block=<icmptype> [--permanent]`

IPV4 源地址转换

启动 zone 中 ipv4 源地址转换

1
2

firewall-cmd [--zone=<zone>] --add-masquerade \
    [ --permanent | --timeout=seconds ]

禁用 zone 中 ipv4 源地址转换

`1`	`firewall-cmd [--zone=<zone>] --remove-masquerade [--permanent]`

查看 zone 中 ipv4 源地址转换

`1`	`firewall-cmd [--zone=<zone>] --query-masquerade [--permanent]`

端口转发

查看全部端口转发规则

`1`	`firewall-cmd [--permanent] [--zone=zone] --list-forward-ports`

启动 zone 中端口转发

1
2
3

firewall-cmd [--zone=<zone>] --add-forward-port=port=<port>[-<port>]:proto=<protocol> \
    { :toport=<port>[-<port>] | :toaddr=<address> | :toport=<port>[-<port>]:toaddr=<address> } \
[ --permanent | --timeout=seconds ]

禁用 zone 中端口转发

1
2
3

firewall-cmd [--zone=<zone>] --remove-forward-port=port=<port>[-<port>]:proto=<protocol> \
    { :toport=<port>[-<port>] | :toaddr=<address> | :toport=<port>[-<port>]:toaddr=<address> } \
[--permanent]

查看 zone 中端口转发

1
2
3

firewall-cmd [--zone=<zone>] --query-forward-port=port=<port>[-<port>]:proto=<protocol> \
    { :toport=<port>[-<port>] | :toaddr=<address> | :toport=<port>[-<port>]:toaddr=<address> } \
[--permanent]

Rich Rules

通用结构

firewall-cmd [--zone=<zone>] [ --permanent | --timeout=seconds ] \
    <--add|--remove>-rich-rule='rule [family=<ipv4|ipv6> \
    source address=<address[/mask]> [invert=<True|False>] \
    destination address=<address[/mask]> [invert=<True|False>] \
    service name=<service> \
    port port=<port>[-<port>] \
    protocol=<protocol> \
    icmp-block name=<icmptype> \
    masquerade \
    forward-port port=<port>[-<port>] protocol=<protocol> to-port=<port>[-<port>] to-address=<address> \
    log [prefix=<prefix text>] [level=<log level>] [limit value=<rate/duration>] \
    accept|reject [type=<reject type>]|drop'

查看全部 rich rule

`1`	`firewall-cmd [--permanent] [--zone=zone] --list-rich-rules`

具体参数解释见系统 man 手册
1

man firewalld.richlanguage 5

应急模式(panic)

启动 panic，即断网
1

firewall-cmd --panic-on
关闭 panic，即联网
1

firewall-cmd --panic-off
查询应急模式
1

firewall-cmd --query-panic

重新载入(reload)

重新载入防火墙，不中断用户连接
1

firewall-cmd --reload
重新载入防火墙并中断用户连接
1

firewall-cmd --complete-reload

备注

参数 –timeout 是让规则生效一段时间，过期自动删除，不能与 –permanent 一起使用

CentOS7 双网卡绑定

Wed, 30 Oct 2019 11:07:30 +0800

bond 概要

什么是 bond

网卡bond是通过把多张网卡绑定为一个逻辑网卡，实现本地网卡的冗余，带宽扩容和负载均衡。在应用部署中是一种常用的技术。

bond的模式种类

Mode=0(balance-rr) 表示负载分担round-robin，和交换机的聚合强制不协商的方式配合
Mode=1(active-backup) 表示主备模式，只有一块网卡是active,另外一块是备的standby
- 如果交换机配的是捆绑，将不能正常工作，因为交换机往两块网卡发包，有一半包是丢弃的
Mode=2(balance-xor) 表示XOR Hash负载分担，和交换机的聚合强制不协商方式配合（需要xmit_hash_policy）
Mode=3(broadcast) 表示所有包从所有interface发出，这个不均衡，只有冗余机制…和交换机的聚合强制不协商方式配合
Mode=4(802.3ad) 表示支持802.3ad协议，和交换机的聚合LACP方式配合（需要xmit_hash_policy）
Mode=5(balance-tlb) 是根据每个slave的负载情况选择slave进行发送，接收时使用当前轮到的slave
Mode=6(balance-alb) 在5的tlb基础上增加了rlb

CentOS7 配置 bond

环境

操作系统 CentOS7.6，禁用 NetworkManager 服务
物理网卡 eth0, eth1 绑定到 bond0
物理网卡 eth2, eth3 绑定到 bond1

网卡 eth0 配置

修改 /etc/sysconfig/network-scripts/ifcfg-eth0

TYPE=Ethernet
BOOTPROTO=none
DEVICE=eth0
ONBOOT=yes
USERCTL=no
SLAVE=yes
MASTER=bond0

网卡 eth1 配置

修改 /etc/sysconfig/network-scripts/ifcfg-eth1

TYPE=Ethernet
BOOTPROTO=none
DEVICE=eth1
ONBOOT=yes
USERCTL=no
SLAVE=yes
MASTER=bond0

网卡 eth2 配置

修改 /etc/sysconfig/network-scripts/ifcfg-eth2

TYPE=Ethernet
BOOTPROTO=none
DEVICE=eth2
ONBOOT=yes
USERCTL=no
SLAVE=yes
MASTER=bond1

网卡 eth3 配置

修改 /etc/sysconfig/network-scripts/ifcfg-eth3

TYPE=Ethernet
BOOTPROTO=none
DEVICE=eth3
ONBOOT=yes
USERCTL=no
SLAVE=yes
MASTER=bond1

增加网卡 bond0 配置

创建 /etc/sysconfig/network-scripts/ifcfg-bond0

TYPE=Ethernet
BOOTPROTO=static
NAME=bond0
DEVICE=bond0
ONBOOT=yes
IPADDR=192.168.1.101
NETMASK=255.255.255.0
GATEWAY=192.168.1.1
DNS1=114.114.114.114

增加网卡 bond1 配置

创建 /etc/sysconfig/network-scripts/ifcfg-bond1

TYPE=Ethernet
BOOTPROTO=static
NAME=bond0
DEVICE=bond0
ONBOOT=yes
IPADDR=192.168.1.102
NETMASK=255.255.255.0
#GATEWAY=192.168.1.1
#DNS1=114.114.114.114

配置绑定模式

创建 /etc/modprobe.d/bonding.conf，加入以下内容

1
2
3

alias bond0 bonding
alias bond1 bonding
options bonding miimon=100 mode=1

载入 bonding 模块，重启 network 服务

1
2

modprobe bonding
systemctl restart network

查看网卡绑定状态

1
2

cat /proc/net/bonding/bond0
cat /proc/net/bonding/bond1

CentOS8 配置 bond

建立 bond 连接配置文件

`1`	`nmcli c add con-name bond0 type bond ifname bond0 mode active-backup`

增加两个网卡都 bond0

1
2

nmcli c add type bond-slave ifname eth1 master bond0
nmcli c add type bond-slave ifname eth2 master bond0

启动这两个 slave 连接

1
2

nmcli c up bond-slave-eth1
nmcli c up bond-slave-eth2

CentOS7 安装 Openvpn

Wed, 30 Oct 2019 01:12:40 +0800

环境

角色	主机名	操作系统	IP
vpn 服务端	vpn-server	CentOS7	192.168.1.90
vpn 客户端	vpn-client	CentOS7	192.168.1.91

两台服务器初始准备

关闭 SELinux
关闭防火墙或放行 udp 端口 1194

安装 openvpn

yum install epel-release
yum clean all
yum makecache fast
yum install easy-rsa openvpn

在 vpn-server 上创建证书

复制 easy-rsa 脚本到 /opt/easy-rsa/ 下

1
2
3

cp -af /usr/share/easy-rsa/3.0.3/ /opt/easy-rsa
# vars 文件包含证书相关配置，可修改
cp /usr/share/doc/easy-rsa-3.0.3/vars.example /opt/easy-rsa/vars

初始化 pki 目录结构

1
2

cd /opt/easy-rsa
./easyrsa init-pki

修改 /opt/easy-rsa/pki/safessl-easyrsa.conf 中如下配置，增加证书有效时间为 10 年
1 2

default_days = 3650 default_crl_days = 3650

生成免密 ca 证书

1
2

# 使用默认 common name 即可
./easyrsa build-ca nopass

生成服务端免密证书

1
2

# 参数 my-server0 指定生成的客户端证书文件名及其 common name
./easyrsa build-server-full my-server0 nopass

生成客户端免密证书

# 参数 my-client0 指定生成的客户端证书文件名及其 common name
# 不同的客户端需指定不同的 common name
# 方便在 client-conf-dir 目录下创建对应的同名客户端配置文件
./easyrsa build-client-full my-client0 nopass

生成 dh.pem
1

./easyrsa gen-dh
生成 ta.key
1

openvpn --genkey --secret pki/ta.key

查看证书目录

/opt/easy-rsa/
├── easyrsa
├── openssl-1.0.cnf
├── pki
│   ├── ca.crt
│   ├── certs_by_serial
│   │   ├── 1835C740AD1421868300998618C0641F.pem
│   │   └── 4F3AF1ED7D42ED56CCF26CC7622F4F50.pem
│   ├── dh.pem
│   ├── index.txt
│   ├── index.txt.attr
│   ├── index.txt.attr.old
│   ├── index.txt.old
│   ├── issued
│   │   ├── my-client0.crt
│   │   └── my-server0.crt
│   ├── private
│   │   ├── ca.key
│   │   ├── my-client0.key
│   │   └── my-server0.key
│   ├── reqs
│   │   ├── my-client0.req
│   │   └── my-server0.req
│   ├── serial
│   ├── serial.old
│   └── ta.key
├── vars
└── x509-types
    ├── ca
    ├── client
    ├── COMMON
    ├── san
    └── server

该证书目录 /opt/easyrsa 需妥善保管，后期增加其他客户端证书时会用到

配置 vpn-server

开启路由转发，修改 /etc/sysctl.conf

1
2

sysctl -w 'net.ipv4.ip_forward = 1'
sysctl -p

复制服务端证书到 openvpn 配置目录下

mkdir -p /etc/openvpn/server/my-server0/
cd /opt/easy-rsa/pki
cp ca.crt dh.pem issued/my-server0.crt private/my-server0.key ta.key \
    /etc/openvpn/server/my-server0/

创建 /etc/openvpn/server/my-server0.conf

1
2

cd /usr/share/doc/openvpn-2.4.7/sample/sample-config-files
cp server.conf /etc/openvpn/server/my-server0.conf

修改 /etc/openvpn/server/my-server0.conf

ca my-server0/ca.crt
cert my-server0/my-server0.crt
key my-server0/my-server0.key
dh my-server0/dh.pem
tls-auth my-server0/ta.key 0

启动 vpn-server 服务

启动 openvpn-server@my-server0.service 服务

`1`	`systemctl start openvpn-server@my-server0.service`

如需提供 ca 密码

`1`	`systemd-tty-ask-password-agent --query`

配置 vpn-client

复制 vpn-server 上的客户端证书到 openvpn 配置目录下

1
2

mkdir -p /etc/openvpn/client/my-client0
scp vpn-server:/opt/easy-rsa/pki/{ca.crt,issued/my-client0.crt,private/my-client0.key,ta.key} /etc/openvpn/client/my-client0/

创建 /etc/openvpn/client/my-client0.conf

1
2

cd /usr/share/doc/openvpn-3.0.3/sample/sample-config-files
cp client.conf /etc/openvpn/client/my-client0.conf

修改 /etc/openvpn/client/my-client0.conf

remote 192.168.1.90 1194 # vpn server 地址
ca my-client0/ca.crt
cert my-client0/client.crt
key my-client0/client.key
tls-auth my-client0/ta.key 1

启动 vpn-client 服务

启动 openvpn-client@my-client0 服务

`1`	`systemctl start openvpn-client@my-client0.service`

如需提供 ca 密码

`1`	`systemd-tty-ask-password-agent --query`

验证

vpn server 新增网卡 tun0，地址是 10.8.0.1/24
vpn client 新增网卡 tun0，地址是 10.8.0.2/24

参考

创建证书

Openvpn 笔记

Wed, 30 Oct 2019 00:45:06 +0800

服务端配置文件 server.conf

#################################################
# 针对多客户端的OpenVPN 2.0 的服务器端配置文件示例
#
# 本文件用于多客户端<->单服务器端的OpenVPN服务器端配置
#
# OpenVPN也支持单机<->单机的配置(更多信息请查看网站上的示例页面)
#
# 该配置支持Windows或者Linux/BSD系统。此外，在Windows上，记得将路径加上双引号，
# 并且使用两个反斜杠，例如："C:\\Program Files\\OpenVPN\\config\\foo.key"
#
# '#' or ';'开头的均为注释内容
#################################################

#OpenVPN应该监听本机的哪些IP地址？
#该命令是可选的，如果不设置，则默认监听本机的所有IP地址。
;local a.b.c.d

# OpenVPN应该监听哪个TCP/UDP端口？
# 如果你想在同一台计算机上运行多个OpenVPN实例，你可以使用不同的端口号来区分它们。
# 此外，你需要在防火墙上开放这些端口。
port 1194

#OpenVPN使用TCP还是UDP协议?
;proto tcp
proto udp

# 指定OpenVPN创建的通信隧道类型。
# "dev tun"将会创建一个路由IP隧道，
# "dev tap"将会创建一个以太网隧道。
#
# 如果你是以太网桥接模式，并且提前创建了一个名为"tap0"的与以太网接口进行桥接的虚拟接口，则你可以使用"dev tap0"
#
# 如果你想控制VPN的访问策略，你必须为TUN/TAP接口创建防火墙规则。
#
# 在非Windows系统中，你可以给出明确的单位编号(unit number)，例如"tun0"。
# 在Windows中，你也可以使用"dev-node"。
# 在多数系统中，除非你部分禁用或者完全禁用了TUN/TAP接口的防火墙，否则VPN将不起作用。
;dev tap
dev tun

# 如果你想配置多个隧道，你需要用到网络连接面板中TAP-Win32适配器的名称(例如"MyTap")。
# 在XP SP2或更高版本的系统中，你可能需要有选择地禁用掉针对TAP适配器的防火墙
# 通常情况下，非Windows系统则不需要该指令。
;dev-node MyTap

# 设置SSL/TLS根证书(ca)、证书(cert)和私钥(key)。
# 每个客户端和服务器端都需要它们各自的证书和私钥文件。
# 服务器端和所有的客户端都将使用相同的CA证书文件。
#
# 通过easy-rsa目录下的一系列脚本可以生成所需的证书和私钥。
# 记住，服务器端和每个客户端的证书必须使用唯一的Common Name。
#
# 你也可以使用遵循X509标准的任何密钥管理系统来生成证书和私钥。
# OpenVPN 也支持使用一个PKCS #12格式的密钥文件(详情查看站点手册页面的"pkcs12"指令)
ca ca.crt
cert server.crt
key server.key  # 该文件应该保密

# 指定迪菲·赫尔曼参数。
# 你可以使用如下名称命令生成你的参数：
#   openssl dhparam -out dh1024.pem 1024
# 如果你使用的是2048位密钥，使用2048替换其中的1024。
dh dh1024.pem

# 设置服务器端模式，并提供一个VPN子网，以便于从中为客户端分配IP地址。
# 在此处的示例中，服务器端自身将占用10.8.0.1，其他的将提供客户端使用。
# 如果你使用的是以太网桥接模式，请注释掉该行。更多信息请查看官方手册页面。
server 10.8.0.0 255.255.255.0

# 指定用于记录客户端和虚拟IP地址的关联关系的文件。
# 当重启OpenVPN时，再次连接的客户端将分配到与上一次分配相同的虚拟IP地址
ifconfig-pool-persist ipp.txt

# 该指令仅针对以太网桥接模式。
# 首先，你必须使用操作系统的桥接能力将以太网网卡接口和TAP接口进行桥接。
# 然后，你需要手动设置桥接接口的IP地址、子网掩码；
# 在这里，我们假设为10.8.0.4和255.255.255.0。
# 最后，我们必须指定子网的一个IP范围(例如从10.8.0.50开始，到10.8.0.100结束)，以便于分配给连接的客户端。
# 如果你不是以太网桥接模式，直接注释掉这行指令即可。
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

# 该指令仅针对使用DHCP代理的以太网桥接模式，
# 此时客户端将请求服务器端的DHCP服务器，从而获得分配给它的IP地址和DNS服务器地址。
#
# 在此之前，你也需要先将以太网网卡接口和TAP接口进行桥接。
# 注意：该指令仅用于OpenVPN客户端，并且该客户端的TAP适配器需要绑定到一个DHCP客户端上。
;server-bridge

# 推送路由信息到客户端，以允许客户端能够连接到服务器背后的其他私有子网。
# (简而言之，就是允许客户端访问VPN服务器自身所在的其他局域网)
# 记住，这些私有子网也要将OpenVPN客户端的地址池(10.8.0.0/255.255.255.0)反馈回OpenVPN服务器。
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"

# 为指定的客户端分配指定的IP地址，或者客户端背后也有一个私有子网想要访问VPN，
# 那么你可以针对该客户端的配置文件使用ccd子目录。
# (简而言之，就是允许客户端所在的局域网成员也能够访问VPN)

# 举个例子：假设有个Common Name为"Thelonious"的客户端背后也有一个小型子网想要连接到VPN，该子网为192.168.40.128/255.255.255.248。
# 首先，你需要去掉下面两行指令的注释：
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
# 然后创建一个文件ccd/Thelonious，该文件的内容为：
#     iroute 192.168.40.128 255.255.255.248
#这样客户端所在的局域网就可以访问VPN了。
# 注意，这个指令只能在你是基于路由、而不是基于桥接的模式下才能生效。
# 比如，你使用了"dev tun"和"server"指令。

# 再举个例子：假设你想给Thelonious分配一个固定的IP地址10.9.0.1。
# 首先，你需要去掉下面两行指令的注释：
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
# 然后在文件ccd/Thelonious中添加如下指令：
#   ifconfig-push 10.9.0.1 10.9.0.2

# 如果你想要为不同群组的客户端启用不同的防火墙访问策略，你可以使用如下两种方法：
# (1)运行多个OpenVPN守护进程，每个进程对应一个群组，并为每个进程(群组)启用适当的防火墙规则。
# (2) (进阶)创建一个脚本来动态地修改响应于来自不同客户的防火墙规则。
# 关于learn-address脚本的更多信息请参考官方手册页面。
;learn-address ./script

# 如果启用该指令，所有客户端的默认网关都将重定向到VPN，这将导致诸如web浏览器、DNS查询等所有客户端流量都经过VPN。
# (为确保能正常工作，OpenVPN服务器所在计算机可能需要在TUN/TAP接口与以太网之间使用NAT或桥接技术进行连接)
;push "redirect-gateway def1 bypass-dhcp"

# 某些具体的Windows网络设置可以被推送到客户端，例如DNS或WINS服务器地址。
# 下列地址来自opendns.com提供的Public DNS 服务器。
;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"

# 去掉该指令的注释将允许不同的客户端之间相互"可见"(允许客户端之间互相访问)。
# 默认情况下，客户端只能"看见"服务器。为了确保客户端只能看见服务器，你还可以在服务器端的TUN/TAP接口上设置适当的防火墙规则。
;client-to-client

# 如果多个客户端可能使用相同的证书/私钥文件或Common Name进行连接，那么你可以取消该指令的注释。
# 建议该指令仅用于测试目的。对于生产使用环境而言，每个客户端都应该拥有自己的证书和私钥。
# 如果你没有为每个客户端分别生成Common Name唯一的证书/私钥，你可以取消该行的注释(但不推荐这样做)。
;duplicate-cn

# keepalive指令将导致类似于ping命令的消息被来回发送，以便于服务器端和客户端知道对方何时被关闭。
# 每10秒钟ping一次，如果120秒内都没有收到对方的回复，则表示远程连接已经关闭。
keepalive 10 120

# 出于SSL/TLS之外更多的安全考虑，创建一个"HMAC 防火墙"可以帮助抵御DoS攻击和UDP端口淹没攻击。
# 你可以使用以下命令来生成：
#   openvpn --genkey --secret ta.key
#
# 服务器和每个客户端都需要拥有该密钥的一个拷贝。
# 第二个参数在服务器端应该为'0'，在客户端应该为'1'。
;tls-auth ta.key 0 # 该文件应该保密

# 选择一个密码加密算法。
# 该配置项也必须复制到每个客户端配置文件中。
;cipher BF-CBC        # Blowfish (默认)
;cipher AES-128-CBC   # AES
;cipher DES-EDE3-CBC  # Triple-DES

# 在VPN连接上启用压缩。
# 如果你在此处启用了该指令，那么也应该在每个客户端配置文件中启用它。
comp-lzo

# 允许并发连接的客户端的最大数量
;max-clients 100

# 在完成初始化工作之后，降低OpenVPN守护进程的权限是个不错的主意。
# 该指令仅限于非Windows系统中使用。
;user nobody
;group nobody

# 持久化选项可以尽量避免访问那些在重启之后由于用户权限降低而无法访问的某些资源。
persist-key
persist-tun

# 输出一个简短的状态文件，用于显示当前的连接状态，该文件每分钟都会清空并重写一次。
status openvpn-status.log

# 默认情况下，日志消息将写入syslog(在Windows系统中，如果以服务方式运行，日志消息将写入OpenVPN安装目录的log文件夹中)。
# 你可以使用log或者log-append来改变这种默认情况。
# "log"方式在每次启动时都会清空之前的日志文件。
# "log-append"这是在之前的日志内容后进行追加。
# 你可以使用两种方式之一(但不要同时使用)。
;log         openvpn.log
;log-append  openvpn.log

# 为日志文件设置适当的冗余级别(0~9)。冗余级别越高，输出的信息越详细。
#
# 0 表示静默运行，只记录致命错误。
# 4 表示合理的常规用法。
# 5 和 6 可以帮助调试连接错误。
# 9 表示极度冗余，输出非常详细的日志信息。
verb 3

# 重复信息的沉默度。
# 相同类别的信息只有前20条会输出到日志文件中。
;mute 20

客户端配置文件

##############################################
# 针对多个客户端的OpenVPN 2.0 的客户端配置文件示例
#
# 该配置文件可以被多个客户端使用，当然每个客户端都应该有自己的证书和密钥文件
#
# 在Windows上此配置文件的后缀应该是".ovpn"，在Linux/BSD系统中则是".conf"
##############################################

# 指定这是一个客户端，我们将从服务器获取某些配置文件指令
client

# 在大多数系统中，除非你部分禁用或者完全禁用了TUN/TAP接口的防火墙，否则VPN将不起作用。
;dev tap
dev tun

# 在Windows系统中，如果你想配置多个隧道，则需要该指令。
# 你需要用到网络连接面板中TAP-Win32适配器的名称(例如"MyTap")。
# 在XP SP2或更高版本的系统中，你可能需要禁用掉针对TAP适配器的防火墙。
;dev-node MyTap

# 指定连接的服务器是采用TCP还是UDP协议。
# 这里需要使用与服务器端相同的设置。
;proto tcp
proto udp

# 指定服务器的主机名(或IP)以及端口号。
# 如果有多个VPN服务器，为了实现负载均衡，你可以设置多个remote指令。
remote my-server-1 1194
;remote my-server-2 1194

# 如果指定了多个remote指令，启用该指令将随机连接其中的一台服务器，
# 否则，客户端将按照指定的先后顺序依次尝试连接服务器。
;remote-random

# 启用该指令，与服务器连接中断后将自动重新连接，这在网络不稳定的情况下(例如：笔记本电脑无线网络)非常有用。
resolv-retry infinite

# 大多数客户端不需要绑定本机特定的端口号
nobind

# 在初始化完毕后，降低OpenVPN的权限(该指令仅限于非Windows系统中使用)
;user nobody
;group nobody

# 持久化选项可以尽量避免访问在重启时由于用户权限降低而无法访问的某些资源。
persist-key
persist-tun

# 如果你是通过HTTP代理方式来连接到实际的VPN服务器，请在此处指定代理服务器的主机名(或IP)和端口号。
# 如果你的代理服务器需要身份认证，请参考官方手册页面。
;http-proxy-retry # 连接失败时自动重试
;http-proxy [proxy server] [proxy port #]

# 无线网络通常会产生大量的重复数据包。设置此标识将忽略掉重复数据包的警告信息。
;mute-replay-warnings

# SSL/TLS 参数配置。
# 更多描述信息请参考服务器端配置文件。
# 最好为每个客户端单独分配.crt/.key文件对。
# 单个CA证书可以供所有客户端使用。
ca ca.crt
cert client.crt
key client.key

# 指定通过检查证书的nsCertType字段是否为"server"来验证服务器端证书。
# 这是预防潜在攻击的一种重要措施。
#
# 为了使用该功能，你需要在生成服务器端证书时，将其中的nsCertType字段设为"server"
# easy-rsa文件夹中的build-key-server脚本文件可以达到该目的。
ns-cert-type server

# 如果服务器端使用了tls-auth密钥，那么每个客户端也都应该有该密钥。
;tls-auth ta.key 1

# 指定密码的加密算法。
# 如果服务器端启用了cipher指令选项，那么你必须也在这里指定它。
;cipher x

# 在VPN连接中启用压缩。
# 该指令的启用/禁用应该与服务器端保持一致。
comp-lzo

# 设置日志文件冗余级别(0~9)。
# 0 表示静默运行，只记录致命错误。
# 4 表示合理的常规用法。
# 5 和 6 可以帮助调试连接错误。
# 9 表示极度冗余，输出非常详细的日志信息。
verb 3

# 忽略过多的重复信息。
# 相同类别的信息只有前20条会输出到日志文件中。
;mute 20

撤销客户端证书

生成/更新 crl.pem

Ipv6 笔记

Tue, 29 Oct 2019 21:07:06 +0800

CentOS7 禁用 ipv6

方法1

编辑 /etc/sysctl.conf，增加如下内容

1
2

net.ipv6.conf.all.disable_ipv6 =1
net.ipv6.conf.default.disable_ipv6 =1

如果你想要为特定的网卡禁止IPv6，比如，对于enp0s3，添加下面的行
1

net.ipv6.conf.enp0s3.disable_ipv6 =1
生效
1

sysctl -p

方法2

执行下面命令

1
2

echo 1>/proc/sys/net/ipv6/conf/all/disable_ipv6
echo 1>/proc/sys/net/ipv6/conf/default/disable_ipv6

IP 地址分类及内网 IP

Tue, 29 Oct 2019 18:49:31 +0800

私有 IP

A类: 10.0.0.1－10.255.255.254
B类: 172.16.0.1－172.31.255.254
C类: 192.168.0.1－192.168.255.254

地址分类

A类: 一个A类IP地址仅使用第一个8位位组表示网络地址。剩下的3个8位位组表示主机地址。A类地址的第一个位总为0，这一点在数学上限制了A类地址的范围小于 127,127是64+32+16+8+4+2+1的和。最左边位表示128，在这里空缺。因此仅有127个可能的A类网络。A类地址后面的24位(3个点-十进制数)表示可能的主机地址，A类网络地址的范围从1.0.0.0到126.0.0.0。注意只有第一个8位位组表示网络地址，剩余的3个8位位组用于表示第一个8位位组所表示网络中惟一的主机地址，当用于描述网络时这些位置为0。注意技术上讲，127.0.0.0 也是一个A类地址，但是它已被保留作闭环（look back ）测试之用而不能分配给一个网络。每一个A类地址能支持16777214个不同的主机地址，这个数是由2的24次方再减去2得到的。减2是必要的，因为 IP把全0保留为表示网络而全1表示网络内的广播地址。其中10.0.0.0 至10.255.255.255保留，作为局域网地址使用。
B类: 设计B类地址的目的是支持中到大型的网络。B类网络地址范围从128.1.0.0到191.254.0.0。B 类地址蕴含的数学逻辑是相当简单的。一个B类IP地址使用两个8位位组表示网络号，另外两个8位位组表示主机号。B类地址的第1个8位位组的前两位总置为 10，剩下的6位既可以是0也可以是1，这样就限制其范围小于等于191，由128+32+16+8+4+2+1得到。最后的16位( 2个8位位组)标识可能的主机地址。每一个B类地址能支持64534 个惟一的主机地址，这个数由2的16次方减2得到。B类网络仅有16382个。其中172.16.0.0至172.31.255.255保留作为局域网地址使用。
C类: C类地址用于支持大量的小型网络。这类地址可以认为与A类地址正好相反。A类地址使用第一个8位位组表示网络号，剩下的3个表示主机号，而C类地址使用三个8位位组表示网络地址，仅用一个8位位组表示主机号。C类地址的前3位数为110，前两位和为192(128+64)，这形成了C类地址空间的下界。第三位等于十进制数32,这一位为0限制了地址空间的上界。不能使用第三位限制了此8位位组的最大值为255-32等于223。因此C类网络地址范围从 192.0.1.0 至223.255.254.0。最后一个8位位组用于主机寻址。每一个C类地址理论上可支持最大256个主机地址(0～255)，但是仅有254个可用，因为0和255不是有效的主机地址。可以有2097150个不同的C类网络地址。其中192.168.0.0至192.168.255.255保留作为局域网地址使用。
D类: D类地址用于在IP网络中的组播( multicasting ，又称为多目广播)。D类地址的前4位恒为1110 ，预置前3位为1意味着D类地址开始于128+64+32等于224。第4位为0意味着D类地址的最大值为128+64+32+8+4+2+1为239，因此D类地址空间的范围从224.0.0.0到239. 255. 255.254。
E类: E类地址保留作研究之用。因此Internet上没有可用的E类地址。E类地址的前4位恒为1，因此有效的地址范围从240.0.0.0 至255.255.255.255。
总的来说，ip地址分类由第一个八位组的值来确定。任何一个0到127 间的网络地址均是一个A类地址。任何一个128到191间的网络地址是一个B类地址。任何一个192到223 间的网络地址是一个C类地址。任何一个第一个八位组在224到239 间的网络地址是一个组播地址即D类地址。E类保留。

特殊 IP

127.0.0.0: 127是一个保留地址，该地址是指电脑本身，主要作用是预留下作为测试使用，用于网络软件测试以及本地机进程间通信。在Windows系统下，该地址还有一个别名叫“localhost”，无论是哪个程序，一旦使用该地址发送数据，协议软件会立即返回，不进行任何网络传输，除非出错，包含该网络号的分组是不能够出现在任何网络上的。
10.x.x.x、172.16.x.x～172.31.x.x、192.168.x.x: 私有地址，这些地址被大量用于企业内部网络中。一些宽带路由器，也往往使用192.168.1.1作为缺省地址。私有网络由于不与外部互连，因而可能使用随意的IP地址。保留这样的地址供其使用是为了避免以后接入公网时引起地址混乱。使用私有地址的私有网络在接入Internet时，要使用地址翻译 (nat)，将私有地址翻译成公用合法地址。在Internet上，这类地址是不能出现的。
0.0.0.0: 严格意义上来说，0.0.0.0已经不是真正意义上的IP地址了。它表示的是这样一个集合，所有不清楚的主机和目的网络。这里的不清楚是指在本机的路由表里没有特定条目指明如何到达。对本机来说，它就是一个收容所，所有不认识的三无人员，一律送进去。如果你在网络设置中设置了缺省网关，那么Windows系统就会自动产生一个目地址为0.0.0.0的缺省路由。若IP地址全为0，也就是0.0.0.0，则这个IP地址在IP数据报中只能用作源IP地址，这发生在当设备启动时但又不知道自己的IP地址情况下。在使用DHCP分配IP地址的网络环境中，这样的地址是很常见的。用户主机为了获得一个可用的IP地址，就给DHCP服务器发送IP分组，并用这样的地址作为源地址，目的地址为255.255.255.255（因为主机这时还不知道DHCP服务器的IP地址）。
255.255.255.255: 受限制的广播地址，对本机来说，这个地址指本网段内(同一个广播域)的所有主机，该地址用于主机配置过程中IP数据包的目的地址，这时主机可能还不知道它所在网络的网络掩码，甚至连它的IP地址也还不知道。在任何情况下，路由器都会禁止转发目的地址为受限的广播地址的数据包，这样的数据包仅会出现在本地网络中。
224.0.0.1: 组播地址，注意它和广播的区别。从224.0.0.0到239.255.255.255都是这样的地址。224.0.0.1特指所有主机，224.0.0.2特指所有路由器。这样的地址多用于一些特定的程序以及多媒体程序。如果你的主机开启了IRDP(Internet路由发现协议，使用组播功能)功能，那么你的主机路由表中应该有这样一条路由。
169.254..: 如果你的主机使用了DHCP功能自动获得一个IP地址，那么当你的DHCP服务器发生故障或响应时间太长而超出系统规定的一个时间，Windows系统会为你分配这样一个地址。如果你发现你的主机IP地址是个诸如此类的地址，很不幸，十有八九是你的网络不能正常运行了。
直接广播地址: 一个网络中的最后一个地址为直接广播地址，也就是HostID全为1的地址。主机使用这种地址把一个IP数据报发送到本地网段的所有设备上，路由器会转发这种数据报到特定网络上的所有主机。注意：这个地址在IP数据报中只能作为目的地址。另外，直接广播地址使一个网段中可分配给设备的地址数减少了1个。
NetID为0的IP地址: 当某个主机向同一网段上的其他主机发送报文时就可以使用这样的地址，分组也不会被路由器转发。比如12.12.12.0/24这个网络中的一台主机12.12.12.2/24在与同一网络中的另一台主机12.12.12.8/24通信时，目的地址可以是0.0.0.8。

NetworKmanager

Tue, 29 Oct 2019 18:26:17 +0800

环境

CentOS8 已废弃 network.service, 推荐使用 NetworkManager

概念

在NM里，有2个维度: 连接(connection)和设备(device)，这是多对一的关系
想给某个网卡配ip，首先NM要能纳管这个网卡。设备里存在的网卡(即 nmcli d可以看到的)，就是NM纳管的
可以为一个设备配置多个连接(即 nmcli c可以看到的)，每个连接可以理解为一个ifcfg配置文件
同一时刻，一个设备只能有一个连接活跃，可以通过 nmcli c up切换连接

配置连接

状态
- 活跃(带颜色字体)：表示当前该connection生效
- 非活跃(正常字体)：表示当前该connection不生效

创建 connection，配置静态 ip

nmcli c add \
    type ethernet \
    con-name ethX \
    ifname ethX \
    ipv4.addr 192.168.1.100/24 \
    ipv4.gateway 192.168.1.1 \
    ipv4.method manual \
    autoconnect yes
# type ethernet:创建连接时候必须指定类型，类型有很多，可通过 "nmcli c add type -h" 看到
# con-name ethX: 表示连接(connection)的名字，可任意定义，无需和网卡名相同
# ifname ethX: 表示网卡名，这个 ethX 必须是在 nmcli d里能看到的
# ipv4.addr: 指定一个或多个 ip 地址
# ipv4.gateway: 网关
# ipv4.method: 对应ifcfg文件内容的BOOTPROTO
# ipv4.method 默认为auto，对应为BOOTPROTO=dhcp，这种时候如果指定ip，就可能导致网卡同时有dhcp分配的ip和静态ip
# ipv4.method 设置为manual表示BOOTPROTO=none，即只有静态ip
# 如果这是为ethX创建的第一个连接，则自动生效
# 如果此时已有连接存在，则该连接不会自动生效，可以执行 nmcli c up ethX-test来切换生效
# autoconnect: 开机后自动连接

创建 connection，配置多个静态 ip

nmcli c add \
    type ethernet \
    con-name ethX-X \
    ifname ethX \
    ipv4.addr '192.168.1.100/24,192.10.0.3.100/25' \
    ipv4.routes '192.168.0.0/16 192.168.1.10,10.0.0.0/8 10.0.3.1' \
    ipv4.gateway 192.168.1.254 \
    ipv4.dns '8.8.8.8,4.4.4.4' \
    ipv4.method manual
# ipv4.routes: 设置自定义路由
# ipv4.dns: 设置 dns

创建 connection，配置动态 ip

nmcli c add \
    type ethernet \
    con-name ethX \
    ifname ethX \
    ipv4.method auto

修改 ip

# ethX 是 connection name，也可以指定 connection UUID

# 直接替换
nmcli c modify ethX \
    ipv4.addr '192.168.1.200/24'
nmcli c up ethX
# 通过nmcli c modify修改con-name，只会对应修改ifcfg文件中的NAME，而不会更改ifcfg文件名

# 增加 ip
nmcli c modify ethX \
    +ipv4.addr '192.168.2.200/24'
    +ipv4.routes '10.1.0.0/16 192.168.2.1'
nmcli c up ethX

# 删除 ip
nmcli c modify ethX \
    -ipv4.addr '192.168.2.200/24'
    -ipv4.routes '10.1.0.0/16 192.168.2.1'
nmcli c up ethX

操作 connection

# ethX 是 connection name，也可以指定 connection UUID

# 启动
nmcli c up ethX

# 停止
nmcli c down ethX

# 删除
nmcli c delete ethX
# 删除当前连接后，会自动选择同一个设备的其他连接来顶替生效

查看 connection

# ethX 是 connection name，也可以指定 connection UUID

# 查看列表
nmcli c show
# 查看活动连接列表
nmcli c show -a

# 查看指定 connection 详细信息
nmcli c show ethX

重载配置但不立即生效

# 重载全部 connection 的所有 ifcfg-xxxx 和 route-xxxx
nmcli c reload

# 重载指定 ifcfg-ethX 和 route-ethX
nmcli c load /etc/sysconfig/network-scripts/ifcfg-ethX
nmcli c load /etc/sysconfig/network-scripts/route-ethX

重载配置并立即生效

# ethXX 是 connection name，也可以指定 connection UUID
nmcli c up ethXX

# ethX 是 device name
nmcli d reapply ethX
nmcli d connect ethX

配置网卡设备

状态
- connected: 已被NM纳管，并且当前有活跃的connection
- disconnected: 已被NM纳管，但是当前没有活跃的connection
- unmanaged: 未被NM纳管
- unavailable: 不可用，NM无法纳管，通常出现于网卡link为down的时候(比如ip link set ethX down)

查看网卡列表

nmcli d

# 查看全部网卡的详细信息
nmcli d show

操作网卡

# ethX 是 device name

# 设置 nm 管理网卡 ethX
# 并刷新该网卡对应的活跃 connection(如果之前有修改过connection配置)
# 如果有connection但是都处于非活跃状态，则自动选择一个connection并将其活跃
# 如果没有connection，则自动生成一个并将其活跃
nmcli d connect ethX

# 设置 nm 不管理网卡 ethX
# 此操作不会变更实际网卡的link状态，只会使对应的connection变成非活跃
# 若重启系统则又会自动connect
# 另外，如果手工将该网卡的connection全部删掉，该网卡状态也会自动变为disconnected
nmcli d disconnect ethX

# 设置 nm 是否自动启动网卡
nmcli d set ethX autoconnect yes|no
# 设置 nm 是否自动管理网卡
nmcli d set ethX managed yes|no

关闭无线网络(默认启动)
1

nmcli r all off

NM 状态

查看当前 nm 连接信息
1

nmcli
查看当前 nm 全部状态
1

nmcli general status

纳管状态

# 查看
nmcli n
# 开启
nmcli n on
# 关闭
nmcli n off

查看 nm 当前是否在线可用
1

nm-oncline

注意事项

如果希望NM不要纳管网卡，只有一个办法最彻底最靠谱，就是自己写ifcfg，内容加上 NM_CONTROLLED=no，这样该device的状态就会始终保持unmanaged。nmcli c up、nmcli c reload、nmcil c load都不会对其起任何作用
NM只能对link状态为up的网卡进行操作，如果手动 ip link set ethX down，那么NM就无法对该网卡做任何操作(即使nmcli d connect也没有用)
NetworkManager支持3种获取dhcp的方式：dhclient、dhcpcd、internal，当/etc/NetworkManager/NetworkManager.conf配置文件中的[main]部分没配置 dhcp=时候，默认使用internal（rhel7/centos7默认是dhclient）。internal是NM内部实现的dhcp客户端
NM默认会从dhcp里获取dns信息，并修改/etc/resolv.conf，如果不想让NM管理/etc/resolv.conf，则只需在/etc/NetworkManager/NetworkManager.conf里的[main]里增加 dns=none即可
如果想让NM不要自动管理新网卡（比如不要给新网卡获取ip地址），则只需在/etc/NetworkManager/NetworkManager.conf里的[main]里增加 no-auto-default=* 即可，改完后通过 systemctl restart NetworkManager 或者重启系统来生效