網路架設乙級術科講義 By:泰山高中 電子科 陳致中老師 2015.8 ※ 第一站第 1 部分25 分鐘 (※ 假設崗位號碼 6) 無線 AP 的登入帳號預設密碼均為『admin』,密碼考試時須再重設任意密碼,但不可以是空白喔! 但由於沒有此評分項目,可忽略不做,但實際使用時一定要變更,避免自己頻寬被盜用。 每台 AP 預設 IP 位置、帳號、密碼考場都會提供考生,最常見是 192.168.1.1 或 192.168.0.1,但每台 AP 設定方式均不同,且電腦網卡需設為自動取得 IP,網路線先連接電腦與 AP1 的 LAN方可設定。 解析:網路線先連接電腦與 AP1 的 LAN,先輸入 http://192.168.1.1、admin 帳號、密碼,Router→
操作模式(因為有連接到不同區段外部網路,由於是預設值可不用按套用變更,也不用給監評檢查) 。 LAN 介面設定的 DHCP→伺服器
2 IP 設定→廣域網路 WAN→乙太網路連接埠(設定畫面改變)→固定 IP→IP 位址10.1.x.253、預設閘道 為 10.1.x.254,設完一定要按『套用變更』,否則一旦離開此畫面不會儲存,經倒數 20 秒後自動重新 啟動 AP,然後需再一次輸入 admin 帳號與密碼。 IP 設定→區域網路→IP 位址 192.168.6.254(LAN 預設閘道不用設定)→DHCP伺服器(預設值)→DHCP 用戶端範圍 192.168.6.100~200(其他用預設值)→申請變更,此時不會倒數 20 秒,但經過 5 秒出現 ,關閉 IE 再重新開啟,記得現在與待會評分都改以192.168.6.254連接。 若無法連接192.168.6.254新位置,建議拔除 AP 電源隔 3 秒再接電源,同時利用ipconfig /renew 重 新要求分配 IP,查看目前 IP 應為 192.168.6.100~200 第一個位址 192.168.6.100 才對,有時需兩次方可。
重啟 IE,輸入http://192.168.6.254、admin 帳號、密碼→無線網路→基本設定→模式 AP、SSID=lab-2-x
,設完一定要按『套用變更』,否則一旦離開此畫面不會儲存,經倒數 20 秒後自動重新啟動 AP,然 後需再一次輸入帳號與密碼,重新確認資料是否更新。
無線網路→安全防護(SSID 前面會多幾個字)→加密WPA2(此時畫面變更)→認證模式選擇『企業用戶 (RADIUS)』(畫面變更)→AES(預設值)→輸入 RADIUS 認證伺服器10.1.200.200與密碼radius123, 設完一定要按上方『套用變更』,否則一旦離開此畫面不會儲存,經倒數 20 秒後自動重新啟動 AP。
此時拔除網路線、插上 USB 無線網卡,點擊右下角 圖示,確認目前網頁是透過自己的 lab-2-6 無線 AP 上網,當用 IE 連接考場主機網址 10.1.200.200 ,應出現考場的測試頁網頁,表示之前所有 設定都正確。
4 控制台先將無線網路 lab-2-6移除再新增→手動建立網路設定檔→下一步→變更連線設定→安全性頁 籤→設定→取消勾選『確認伺服器憑證』→選擇驗證方法『設定』→取消勾選『自動使用...』→確定 →安全性頁籤的『進階設定』→勾選『指定驗證模式』→確定→確定,然後再連線,需證明給監評! 最後重新輸入10.1.200.200 網址,應會要求輸入帳號 userX 密碼 testX,若直接連線,是因為帳密還 記得,只能先移除再當場新增給監評看(取消連線再連線沒用),當可以看到考場的網頁,表示『無線 網路』連線正常,評分時須將實體網路線先拔除,以茲證明真的是無線上網。 註 1:受保護的可延伸驗證通訊協定 (PEAP) 是可延伸驗證通訊協定 (EAP) 通訊協定的一部分。 註2:RADIUS全名為遠端認證撥接使用者服務(Remote Authentication Dial In User Service),所以考場
的RADIUS Server會先建立帳號user1~6與密碼test1~6,考生不用設定喔!僅須設定自己電腦。 註3:試題規定考場須準備伺服器主機並連接至交換器,提供網頁(http)及認證(Radius)服務,請設定驗證
網頁及各工作崗位認證用之帳號及密碼,並確認可連線成功。
註 4:評分時若有密碼設定,需先儲存(約需 20 秒),再重新連線證明給監評老師。 無線網卡設定(Windows 7)
第一站第 2 部分30 分鐘 (※假設崗位號碼 6) (註:此站電腦 USB 無線網卡須拔掉不可用)
網路線先連接電腦與 AP1 的 LAN,輸入http://192.168.1.1、admin 帳號、密碼,由於第二部分是考橋 接技巧,雙方需透過 MAC 取得信任,利用『記錄與狀態→網路配置』,暫將此 MAC 複製到記事本。 ( 兩台 AP 的 MAC 都要複製) AP1 操作模式→AP(因為都是 10.1.x 同一區段)→套用變更,經過一段時間會出現下一步,忽略即可。 IP 設定→區域網路→IP 位址 10.1.x.253、預設閘道為 10.1.x.254(第 1 部分是在 WAN 設定),DHCP 伺服器(預設值)→DHCP 用戶端範圍10.1.x.100~200(其他用預設值)→申請變更,此時不會倒數 20 秒, 經過 5 秒出現 ,關閉 IE 再開啟,然後改以10.1.6.253連接測試。 註:若無法連接10.1.6.253新位置,建議拔除 AP 電源隔 3 秒再接電源,同時利用ipconfig /renew重 新要求分配 IP,查看目前 IP 應為10.1.6.100~200第一個位址10.1.6.100才對。若仍不成功,先將 DHCP 禁用,只改 IP 與 DHCP 範圍,抓到後再設 DHCP=伺服器,同樣按申請變更重新做一次。 AP1 的 LAN 連接伺服器 AP2 的 LAN 連接到電腦
6
無線網路→基本設定→模式設為『AP+WDS』(※ AP2 設為WDS橋接模式即可) ,設完一定要按『套 用變更』,否則一旦離開此畫面不會儲存,經倒數 20 秒後自動重新啟動 AP。
註:WDS (Wireless Distribution System) 就是一台 AP(a)透過另一台 AP(b)連到原來(a)所不能連到地方。
無線網路→WDS 設定→勾選『啟用 WDS』→貼上 AP2的 MAC (※所有冒號先在記事本去掉再複製)
按下套用變更後,需倒數 20 秒後自動重新啟動 AP,然後需再一次輸入 admin 帳號與密碼,按無線 網路→WDS 設定,可觀察 AP2 的 MAC 已經加入下方 WDS 安全性設置,兩端都互設對方 MAC Address。
(※ 此步驟不用評分,因為一定正確方可 WDS 橋接)
設定安全防護→加密選擇『WPA2(AES)』、Pre-Shared key 密碼輸入abcd1234x→套用變更,然後又 需倒數 20 秒後自動重新啟動 AP。
接著設定 AP2,網路線改連接電腦與 AP2 的 LAN(※AP1 改接伺服器),輸入http://192.168.1.1、admin
帳號、密碼,操作模式→AP(因為也都是 10.1.x 同一區段)→套用變更,接著出現下一步,忽略即可。 由於 AP2 是當橋接擴充用,所以 DHCP 是『禁用』,若先設 LAN 會造成電腦無法取得 IP,所以AP2
一定要先設無線網路基本設定與 WDS 相關設定,最後才設定 LAN。
無線網路→基本設定→模式設為『WDS』(※AP1 選擇 AP+WDS)→套用變更,又需倒數 20 秒後自 動重新啟動 AP2。
接著 WDS 設定和 AP1 完全相同,只是 WDS 是貼上 AP1 的 MAC (※ 此相不用評分)。
註:想要延伸在一起的無線分享器,擴大 Wi-Fi 涵蓋範圍,有一些必要的設定值,如下: 1. AP 無線分享器都要有 WDS 功能。
2. AP 無線分享器的頻道(channel)必須相同。
8
最後才設定 LAN,IP 設定→區域網路→IP 位址10.1.x.1、預設閘道為 10.1.x.254(同 AP2),DHCP 伺 服器務必選擇『禁用』,因為 AP2 只是用來橋接,實際 IP 是透過 AP1 產生,因此,DHCP 用戶端範 圍不可輸入,按『申請變更』,此時不會倒數 20 秒,經過 5 秒出現 ,關閉 IE 再開啟,連接測試10.1.200.200主機網頁是否 OK? 檢查 AP2 的 LAN 與 WDS 設定用10.1.6.1進入。
因為兩台 AP 已經透過 WDS 橋接,所以兩台 AP 驗證時不用再拔網路線,AP1 接伺服器,AP2 接個 人電腦,切記都不可插在 WAN 孔喔!此 AP 型號為 GR-1733
註:第 1 部分 LAN 的預設閘道器不用設定,但第 1 部分 WAN 預設閘道器與第 2 部分 LAN 的預設閘 道器都要設定。而第 1 部分有 WAN 設定,但第 2 部分沒有 WAN,而是 WDS 橋接設定,勿混淆!
第二站光纖接續與 OTDR 操作檢測 測試時間:60 分鐘 (※ 不含測試前器材檢查及網路連線檢測) 考場會提供全部工具,包括酒精、棉花棒、棉片、接續工具….,接完光纖需連接主機首頁,若 OK
則可舉手要求進行 OTDR 操作檢測,列印會請專人幫忙列印,若有錯誤可要求重印,但舊的要立即 回收,避免混淆,本站常犯錯誤有:
1. A→B 與 B→A 弄相反,4 個事件點 1234 未標示,尤其 B→A 的順序最常弄錯,都未寫扣 40 分 2. R1、R2、R3 順序弄相反是嚴重錯誤,因為表示 A→B 與 B→A 弄相反 3. 平均值未計算到小數點第 3 位,例如 0.600 方可,否則視為計算錯誤,每個各扣 10 分 4. 第 2 接續點平均值超過 0.75dB 或其他接續點超過 0.2dB,每個各扣 15 分 5. A→B 與 B→A 測出的總長度不同,表示光纖某處沒接好 6. OTDR 有 6 個事件點,因為包含頭尾,但有可能光纖連接太好,當圖形看不出,則需從表格觀察 7. 評分時,桌面凌亂扣 10 分
10 1. 上例平均值應到小數點第三位(第四位四捨五入),每格各扣 10 分,要算兩次,因為有人忘了平均。 2. 第 3 接續點超過 0.2dB,扣 15 分。 3. 『光纖總損失值』自己用小算盤,例如:0.164+0.069+0.210+0.048=0.491,而且最好算兩次確認。 B→A 為 4321 一定要標示 A→B 為 1234 一定要標示
第三站:路由器(Router)設定、網頁伺服器(Web Server)架設及檔案傳輸伺服器(FTP Server)架設 測試時間:3小時 底 下 資 料 主 要 來 源 自 桃 園 縣 私 立 成 功 工 商 資 訊 科 康 文 耀 老 師 線 上 教 學 網 站 http://onlinetest2.slhs.tp.edu.tw/webdoc/net-b/net-home.html 步驟 1:安裝 CentosOS 6.5 與 3 個軟體套件(mod_ssl + ftp + vsftpd) 電腦 1 與電腦 2 的安裝方式都一樣,參考下列步驟: (※ 若怕忘記就都安裝) 將電腦由 CentOS 的安裝光碟開機,畫面如下
選擇第 1 項 「Install or upgrade an existing system」
註:若是利用 VirtualBox 虛擬機器練習,請先參閱 P62 相關設定。 接下來,按Tab鍵,點選「Skip」跳過光碟檢查,開始安裝…
12 按「Next」鈕繼續
選擇「基本儲存裝置」,按「下一步」繼續
選擇「是,放棄資料(Y)」
VMware 虛擬機器軟體
14
主機名稱命名,電腦 1 可設為「computer1.localdomain」,電腦 2 可設為「computer2.localdomain」, 或用 pc1 與 pc2 代替,試題並無規定。
設定 root 密碼,按「下一步」繼續,由於 root 密碼試題沒有規定,建議使用『123456』即可,但 會出現太簡單提示,忽略直接按『照樣使用』
選擇「使用所有空間」(預設值是第 2 項要留意),按「下一步」繼續
註:若有勾選檢視並修改分割區,才會看到底下兩個畫面,按「下一步」繼續即可,因為若硬碟 太小,不會自動切成『/』、『/home』兩個分割區,造成無法做 quota 配額練習,考試可忽略。
16 選擇「將變更寫至磁碟(W)」 選擇「Desktop」桌面視窗模式安裝(預設值是第 3 項最小項純文字模式要留意),按「下一步」鈕 註 1:稍後自訂是在 P21 手動安裝「mod_ssl」、「ftp」、「vsftpd」三個軟體 註 2:上述步驟也可按『立即自訂』,分別勾選『伺服器→FTP 伺服器』、『基礎系統→主控台網 際網路工具→可選套件→ftp-0.17-53…..』、『網站服務→網頁伺服器』,全部選完再按下一步。
進入了安裝程序的進行畫面…(要好幾分鐘喔),上述步驟若按『立即自訂』,則 32 位元套件數應為 1112個、64 位元套件數應為 1110 個
如下圖,安裝程序已完成,按下「重新開機」鈕。
重新開機後,系統會引導一些基本設定,先按「下一步」繼續
18
以下畫面,點選「是,我接受授權合約條款」,按「下一步」
選擇「是」繼續
進入日期與時間設定,確定的日期時間無誤就可按「下一步」鈕
20 按下「完成」鈕
設定完之後需重新開機
以下使用者名稱輸入「root」,並鍵入密碼 123456。
以下畫面勾選「不要再次顯示」,按下「關閉」鈕。
22
在【 應用程式/系統工具/終端機】,開啟「終端機」工具軟體
「終端機」工具軟體畫面如下:
如下,分別輸入以下三個命令 (※ 考試這動作忽略) # rpm -qa|grep mod_ssl <-- 檢查是否安裝 mod_ssl # rpm -qa|grep ftp <-- 檢查是否安裝 ftp client
# rpm -qa|grep vsftpd <-- 檢查是否安裝 vsftpd(指very secure FTP daemon 縮寫) 畫面顯示,系統安裝完成之後,預設並無安裝「mod_ssl」、「ftp」、「vsftpd」三個軟體
註 1:rpm是一個安裝或者是解除安裝 RedHat 軟體的指令,有點像 Windows 的軟體安裝功能。
註 2:參數 –qa 是查詢(Query)列出所有已安裝在本機 Linux 所有軟體名稱。
註 3:grep用來過濾字串,grep 前方是 | 篩管符號。
註 4:mod_ssl 讓 WWW 可支援 https 這種加密過後的傳輸模式。 註 5:若是 P16 已經先自訂安裝,則可跳過 P22~P25 步驟。
接下來,我們要手動安裝「mod_ssl」、「ftp」、「vsftpd」三個軟體 註:電腦 2 上安裝 2 個檔案傳輸伺服器(「ftp」、「vsftpd」),用電腦 1 測試。 電腦 1 上架設 2 個網頁伺服器(mod_ssl),用電腦 2 測試。勿混淆!怕忘記就都安裝囉… 從桌面上「電腦」->「CD/DVD 磁碟機:CentOS_6.5_Final」,或直接開啟桌面上的「CD/DVD 磁 碟機:CentOS_6.5_Final」圖示 在光碟中找到「Packages」目錄 (註:直接按鍵盤 p 可快速找到)
24 進入「Packages」目錄,找到「mod_ssl」軟體安裝檔,直接按滑鼠左鍵兩下執行… 按「強制繼續」鈕 按下「安裝」鈕,就完成安裝「mod_ssl」軟體 接下來,到「ftp」軟體安裝檔,直接按滑鼠左鍵兩下執行…(註:直接輸入 ftp 鍵可快速找到) 按「強制繼續」鈕
按下「安裝」鈕,就完成安裝「ftp」軟體 接下來,到「vsftpd」軟體安裝檔,直接按滑鼠左鍵兩下執行… 按「強制繼續」鈕 按下「安裝」鈕,就完成安裝「vsftpd」軟體 安裝完三個軟體後,分別在終端機的命令列輸入以下指令,結果顯示,三個軟體都已經成功安裝了。 註:利用按『↑』可列出之前曾經在終端機輸入過的指令,再利用←、→移動游標做修改。
26 步驟 2: IP 位址設定與網路啟用 (※ 此題 IP 位置要先理解並熟記,因為很容易混淆) 假設我們的工作崗位為 1 號,則 X 值為 31,電腦的 IP 參數應設置如下: 主機 網卡 IP 位址 NetMask 網路遮罩 Gateway 通訊閘道 電腦 1 第 1 片網卡(eth0) 10.1.31.1 10.1.31.2 255.255.255.0 255.255.255.0 10.1.31.254 10.1.31.254 第 2 片網卡(eth1) 200.100.31.254 255.255.255.0 0.0.0.0 電腦 2 第 1 片網卡(eth0) (只有 1 片) 200.100.31.1 200.100.31.2 255.255.255.0 255.255.255.0 200.100.31.254 200.100.31.254 在本單元常用到的命令: ip a 或 ip addr 觀看電腦的 IP 位址設定 ifconfig (註:相當微軟的 ipconfig) 同上,但通常以 ip a 代替 service network start | stop | restart 啟動/停止/重新啟動 網路服務
ping [對方 ip address] 測試本機與對方電腦網路是否有通
電腦 1(兩張網卡做路由器設定)的 IP 設定:
使目的地 10.1.x.0/24 之網路封包由電腦 1 接收,目的地 200.100.x.0/24 之網路封包轉送到電腦 2 打開終端機,鍵入 ip a ,觀看目前電腦 1 的 IP 設置內容
如下,點選右上方的 網路圖示,滑鼠按右鍵,再選擇「編輯連線…」
進入「網路連線」設定畫面,首先,設定第 1 片網卡參數,點選「System eth0」,按下「編輯」鈕
28 方法(M):設為「手動」,再點選「加入」鈕,輸入第 1 組 IP 設定 10.1.X.1/24 通訊閘 10.1.x.254 註:網路遮罩可直接輸入『24』以代替『255.255.255.0』,DNS 均為空白。 再點選「加入」鈕,再輸入第 2 組 IP 設定
將「自動連線」打勾,按下「套用」鈕
接下來,設定第 2 片網卡參數,點選「System eth1」,按下「編輯」鈕,接下來,選擇「IPV4 設定」 標韱,選擇「手動」,按「加入」鈕
30 輸入 IP 設定,再將「自動連線」打勾,按下「套用」鈕,如200.100.X.254/24 通訊閘 0.0.0.0 註:通訊閘 Gateway 不用設定,可以直接輸入『空白』,或是『0.0.0.0』亦可。 接下來,按「關閉」鈕完成網路卡的設定 打開終端機,鍵入 ip a ,觀看電腦 1 設定完成的 IP 內容
電腦 2(一張網卡)的 IP 設定: 打開終端機,鍵入 ip a ,觀看目前電腦 2 的 IP 設置內容 如下,滑鼠按右鍵,點選右上方的 網路圖示 ,再選擇「編輯連線…」 進入「網路連線」的設定畫面,首先,設定網卡參數,點選「System eth0」,按下「編輯」鈕,接 下來,選擇「IPV4 設定」標韱
32
方法(M):設為「手動」,點選「加入」鈕,再輸入第 1 組 IP 設定
再點選「加入」鈕,輸入第 2 組 IP 設定,再將「自動連線」打勾,按下「套用」鈕
接下來,按「關閉」鈕完成網路卡的設定 打開終端機,鍵入 ip a ,觀看電腦 2 設定完成的 IP 內容 網路連線測試: 利用 ping 指令,測試一下 「電腦 2」 <--> 「電腦 1」的網卡 2(200.100.31.254)是不是有通? 註:按Ctrl+C停止測試
34 測試一下 「電腦 2」 <--> 「電腦 1」的網卡 1 的第 1 組 IP(10.1.31.1)是不是有通? 測試一下 「電腦 2」 <--> 「電腦 1」的網卡 1 的第 2 組 IP(10.1.31.2)是不是有通? 回到「電腦 1」的終端機,測試一下 「電腦 1」 <--> 「電腦 2」的網卡的第 1 組 IP(200.100.31.1) 是不是有通? 測試一下 「電腦 1」 <--> 「電腦 2」的網卡的第 2 組 IP(200.100.31.2)是不是有通? 測試一下 「電腦 1」 <--> 「考場交換器」IP(10.1.31.254)是不是有通?(註:虛擬機器無法測試)
測試一下 「電腦 1」 <--> 「考場伺服器」IP(10.1.200.200)是不是有通?(註:虛擬機器無法測試) 在「電腦 1」打開 Firefox 瀏覽器,鍵入考場伺服器網址 http://10.1.200.200,看看是否可正常瀏覽 考場網頁?(註:虛擬機器無法測試) 註:無法由電腦 2同時瀏覽檢定場伺服器之網頁,及瀏覽電腦 1 之首頁各扣 25 分。所以此畫面僅 自己測試而已,目的是確認電腦 1 是否有和考場主機連線,若電腦 2 可連接,表示電腦 1 一定 OK。 回到「電腦 2」的終端機,測試一下 「電腦 2」 <--> 「考場交換器」IP(10.1.31.254)是不是有通? 結果目前還不通,待後面我們設定好「路由器」單元,網路就可以通了。(註:虛擬機器無法測試)
36 步驟 3:建置 2 台電腦上的使用者帳號 依照題目後面的要求,電腦 1 需要建立 2 個帳號,電腦 2 需建立 1 個帳號,假設我們的工作崗位為 1 , 則所需建立的帳號分別列表如下: 電腦 1 帳號:Web31-1 密碼:Web31-1 帳號:Web31-2 密碼:Web31-2 電腦 2 帳號:Ftp31-2 密碼:Ftp31-2 (電腦 2 只有 1 位) 電腦 1 帳號建立: 在【 系統/管理/使用者與群組】,開啟「使用者管理員」 開啟之後「使用者管理員」畫面如下,點選「新增使用者」 出現新增使用者表單,輸入新使用者「Web31-1」資料,並按下「確定」 註 1:在電腦 1 是用Web名稱,而電腦 2 是用Ftp名稱,在輸入時要特別留意! 註 2:在 Linux 大小寫是完全不同,在輸入時要特別留意!
出現以下訊息,請按「是」 系統已建立了 1 個使用者,接下來,再按下「新增使用者」新增第 2 個使用者資料 輸入新使用者「Web31-2」資料,並按下「確定」,當出現以下訊息,請按「是」 系統已成功在「電腦 1」建立了 2 個使用者,如下所示
38 電腦 2 帳號建立: 在【 系統/管理/使用者與群組】,開啟「使用者管理員」 開啟之後「使用者管理員」畫面如下,點選「新增使用者」 輸入新使用者「Ftp31-2」資料,並按下「確定」,當出現以下訊息,請按「是」 系統已成功在「電腦 2」建立了 1 個使用者
(三) 於電腦 1(有 2 塊網路卡之電腦)上作好「路由器」設定。 (※ P39~41 另可參閱 P63 超簡單作法) 1. 使目的地 IP 位址為 10.1.X.0/24 之網路封包由電腦 1 接收。 2. 目的地 IP 位址為 200.100.X.0/24 之網路封包,轉送至電腦 2。 3. 驗證方式:可由電腦 2「同時」瀏覽檢定場網頁伺服器 (IP 位址為 10.1.200.200)之網頁,並瀏覽 電腦 1 上之首頁。 在本單元常用到的命令: ip a 觀看電腦的 IP 位址設定
service network start | stop | restart 啟動/停止/重新啟動 網路服務
ping [對方 ip address] 測試本機與對方電腦網路是否有通
route -n 查看主機的 routing table
service iptables start | stop | restart 停用/啟用/重新啟動 防火牆 路由連線測試(設定前):
在尚未設定「電腦 1」路由器之前,我們先開啟「電腦 2」終端機工具做一些連線測試,測試看看「電 腦 2」是否可以連至「考場交換器」(10.1.31.254)與「考場伺服器」(10.1.200.200)?
測試結果:無法連至「考場交換器」與「考場伺服器」,如下畫面所示
使用 route -n 看「電腦 2」的 routing table,所顯示的 routing table 說明意義如下:
200.100.31.0 網段會直接由 eth0 介面傳送,其它的網段 IP 則會透過 eth0 介面,交由 200.100.31.254 閘道器轉送。
40
使用 route -n 看「電腦 1」的 routing table,所顯示的 routing table 說明意義如下:
10.1.31.0 網段會直接由 eth0 介面傳送,200.100.31.0 網段會直接由 eth1 介面傳送,其它的網段 IP 則會透過 eth0 介面,交由 10.1.31.254 閘道器轉送。所以電腦 1(路由器)的應該可以正常的轉送封 包,不需再做額外的路由設定。 因此,在這個單元裡我們只要做以下兩樣動作即可完成路由設定 1、打開封包轉遞功能 2、停用防火牆 打開封包轉遞(IP forward)功能:
在電腦 1,首先使用 cat /proc/sys/net/IPV4/ip_forward 指令看看 IP forward 是否啟動?若未啟動, 請執行 vim /etc/sysctl.conf ,更改設定將其啟動 註 1:cat 指令是『列出檔案內容』的指令、vim 指令是『文字編輯器』。 註 2:進入 vim 編輯先按『i』鍵進入編輯模式(狀態會顯示於左下),使用↑、↓、←、→游標移到 目標,最後按『ESC』鍵離開編輯模式。 註 3:當離開編輯模式之後,方可使用下列命令,例如輸入『:wq』表示會先儲存再離開,輸入『: q!』表示不儲存直接離開,輸入『:66』表示跳到第 66 行,輸入『/xx』表示尋找文字 xx。 註 4:若不習慣使用 vim 編輯,可直接點擊該檔案,即可用預設的文字編輯器開啟,只是會較慢。 註 5:忘記檔名技巧是先輸入 vim /e,當再按一次『Tab』鍵會自動補齊(※若有兩種內容會直接出現 提示,因為不知要補哪個?) ,內容變為 vim /etc/,若按兩次『Tab』鍵則會出現提示而已。 找到 net.IPV4.ip_forward = 0 這一行
更改為 net.IPV4.ip_forward = 1
執行 sysctl -p 立刻讓該設定生效,若沒有執行此行,當用 cat /proc/sys/net/IPV4/ip_forward 指令 還是顯示 0 未啟動
註:sysctl 指令是用來設置或重新設置網路功能,如 ip 轉發、ip 碎片去除及 rotue 檢查。 再使用 cat /proc/sys/net/IPV4/ip_forward 指令看看 IP forward 是否啟動?
停用防火牆:(※ 亦可參考 P63 做法)
在電腦 1,執行 service iptables stop 停用防火牆,若要永久停用防火牆,執行 chkconfig iptables off
42 路由連線測試(設定後): 至此已完成路由器的設定,接下來,測試看看「電腦 2」是否可以連至「考場交換器」(10.1.31.254) 與「考場伺服器」(10.1.200.200)? (註:虛擬機器無法測試) 打開「電腦 2」的 Firefox 瀏覽器,鍵入考場伺服器的網址(10.1.200.200),畫面可正常顯示。 註:虛擬機器無法測試此步驟。評分要求:無法由電腦 2同時瀏覽檢定場伺服器之網頁,及瀏覽電 腦 1 之10.1.31.1首頁(※需到步驟 P53 方可測試),會各扣25分。 (四) 於電腦 2 上安裝 2 個檔案傳輸伺服器 其中 1 個檔案傳輸伺服器 A 之對應 IP 是 200.100.X.1/24。另 1 個檔案傳輸伺服器 B 之對應 IP 是 200.100.X.2/24。
檔案傳輸伺服器 (FTP Server )設定 在本單元常用到的命令:
service vsftpd start | stop | restart 啟動/停止/重新啟動 FTP 服務 service iptables start | stop | restart 停用/啟用/重新啟動 防火牆
cp src_filename dest_filename 拷貝(CoPy)檔案
ftp server-IP ftp 檔案傳輸 client 程式
dd if=/dev/zero of=up1 bs=1k count=700 創建 1 個 700KB 的檔案 up1 目前「電腦 2」的狀態: 電腦 2 狀態 檢查方式 IP1 : 200.100.31.1 IP2 : 200.100.31.2 可用 ip a 查看 vsftpd : 已安裝 可用 rpm -qa|grep vsftpd 查看 vsftp daemon:尚未執行服務 可用 service vsftpd status 查看 防火牆 : 開啟 可用 service iptables status 查看 已建立 Ftp31-2 帳號 可進入「使用者管理員」查看
44 製作 2 份 vsftpd 的設定檔: 因為我們要在同一台主機上安裝 2 個 FTP Servers,所以需先將 vsftpd 的設定檔(/etc/vsftpd/vsftp.conf) 再複製一份 # cp /etc/vsftpd/vsftp.conf /etc/vsftpd/vsftp-2.conf 執行結果如下圖: 註 1:亦可先用 cd /etc/vsftpd 進入該目錄,再進行複製亦可,若看不到此目錄,因為尚未安裝套件。 註 2:另一種是利用桌面電腦圖示,直接進入該資料夾做複製與貼上。cp=copy 拷貝) 所以目前有了兩個設定檔,分別為: /etc/vsftpd/vsftp.conf - 傳輸伺服器 A 的設定檔 /etc/vsftpd/vsftp-2.conf - 傳輸伺服器 B 的設定檔 設定兩台檔案傳輸伺服器的歡迎詞: 設定檔案傳輸伺服器 A 與 檔案傳輸伺服器 B 的歡迎詞檔案: # vim /etc/vsftpd/welcome-A.txt <-- 編輯傳輸伺服器 A 的歡迎詞
# cp /etc/vsftpd/welcome-A.txt welcome-B.txt <-- 將 FTP-A 歡迎詞拷貝到 FTP-B 再修改 # vim /etc/vsftpd/welcome-B.txt <-- 編輯傳輸伺服器 A 的歡迎詞
拷貝一份 FTP-A 的歡迎詞檔案至 FTP anonymous user 的根目錄下/var/ftp,檔案名稱勿弄錯 # cp /etc/vsftpd/welcome-A.txt /var/ftp/Ftp31-1.txt
修改兩台檔案傳輸伺服器的設定檔: 編輯傳輸伺服器 A 的設定檔 (設定檔為 /etc/vsftpd/vsftpd.conf): # vim /etc/vsftpd/vsftpd.conf 最末行加入 banner_file(歡迎詞)設定 (※搜尋→前往行數→86 行) banner_file=/etc/vsftpd/welcome-A.txt 註:banner 是指横幅廣告,單字要背,檔案位置內容僅須配合 P42 儲存位置。
46 在 listen=YES 下面加入一行 (※搜尋→前往行數→112 行) listen_address=200.100.31.1 編輯檔案傳輸伺服器 B 的設定檔 (設定檔為 /etc/vsftpd/vsftpd-2.conf): # vim /etc/vsftpd/vsftpd-2.conf 註:匿名權限和檔案傳輸伺服器 A 的設定檔剛好完全相反。
加入 banner_file(歡迎詞)設定
在 listen=YES 下面加入一行 listen_address=200.100.31.2
48 開放實體使用者登入家目錄: 因為 SELinux 的原因,在預設的情況下,CentOS 的 FTP 是不允許實體帳號登入取得家目錄資料, 執行以下命令解決 # setsebool -P ftp_home_dir=1 (註:-P 一定要大寫,且執行會經過幾秒是正常) 關閉防火牆: (※ 亦可參考 P62 做法) # service iptables stop (註:iptables 字尾有 s)
若要永久停用防火牆,請執行 chkconfig iptables off
啟動 vsftpd 程式:
# service vsftpd start <-- 啟動 vsftpd daemon # service vsftpd restart <-- 重新啟動 vsftpd daemon
註 1:若無法正常啟動 ftp,應是剛才編輯 vsftpd-2.conf 內容弄錯造成。 註 2:若有修改 conf 檔內容,FTP 均須重新啟動 # service vsftpd restart 喔!
FTP 連線測試:
測試 FTP Server - A : (※僅允許匿名登入,且不用密碼即可)
打開「電腦 1」的終端機,利用 ftp 連至 FTP Server-A (200.100.31.1),看看是否成功下載(get)檔案
Ftp31-1.txt?指令 ls 是察看有哪些檔案,指令 bye 或 quit 均可離開 FTP,匿名anonymous要背!
檢視下載檔案(Ftp31-1.txt)的內容,下載完的檔案若沒問題須先利用 rm指令移除(Remove)以便檢查 註:cat指令是察看檔案內容 測試 FTP Server - B : (※僅允許 Ftp31-2 使用者登入,且需密碼方可,不允許匿名登入) 打開「電腦 1」的終端機,利用 ftp 連至 FTP Server-B (200.100.31.2),檢查是否成功的以 FTP31-2 帳號登入? 註:亦可用quit指令登出 FTP
50 設定使用者磁碟配額(Quota):
接下來,要設定使用者磁碟配額(Quota)
# df -h /home <-- 看看使用者家目錄是 mount 在哪個 filesystem 之下,由下圖顯示,在此實作中 使用者家目錄是 mount 在根目錄 / 之下,所以可使用以下指令手動將根目錄加入使用者 quota。 註:手動修改重開機就會消失,若要永久修改,就要直接修改 /etc/fstab,在此測驗僅手動就可以 了,自行增加『,usrquota』
# mount -o remount,usrquota / <-- 手動將根目錄 / 加入 quota,最後有 / ,前面有 1 空白
掃瞄檔案系統並建立 Quota 的記錄檔
# quotacheck -avu -mf <-- 掃瞄檔案系統並建立 Quota 的記錄檔 (※此行會需要執行幾秒鐘) # quotaon -avu <--啟動 quota 服務,參數 a=all、v=verbose 詳細、u=user,順序可顛倒
上述步驟另解:
#vim /etc/fstab
#mount –o remount /home 重新掛載/home #quotacheck –cuv /home 重新掛載/home #quotaon –auv 啟動 quota
依題目要求:設定使用者「Ftp31-2」的磁碟配額,上限為 1MB (1024KB) # edquota -u Ftp31-2
同 vim 編輯技巧,需先按『Insert』鍵來切換到『取代』編輯模式(顯示於左下),最後按『ESC』鍵 離開編輯模式,然後輸入『:wq』表示先寫入儲存再離開。完成後如下
註:檢查結果 #repquota –au,soft 是指規定較不嚴謹(警告而已),hard 是指超過就直接限制大小。
測試 FTP Server - B 的檔案上傳:
首先,先應題目要求,在電腦 1自行創建 2 個大小階為 700KB、檔名分別為 up1 及 up2 之檔案 # dd if=/dev/zero of=up1 bs=1k count=700 <-- 建立 700KB 的 up1 檔案
# dd if=/dev/zero of=up2 bs=1k count=700 <-- 建立 700KB 的 up2 檔案
52 接下來,看看是否可以成功上傳 up1 和 up2 檔案?
註:上傳、下載(put、get) 。ls命令就是 list 的縮寫,用來列印出目前的目錄的清單。 由以下畫面可看出,上傳檔案的總和不超過 1024KB FTP 也可在虛擬機器練習,但有許多指令操作需重複練習到熟悉,且兩台電腦操作與設定勿搞混喔! 在 FTP 裡面欲刪除檔案是利用『del』刪除指令,但在 Linux 終端機裡面是利用『rm』移除指令! FTP 是在電腦 2,透過電腦 1 連接 FTP,若要在 FTP 裡面直接使用電腦 1 的 Linux 終端機指令,則最 前面要加『!』,例如 ftp>!cat FtpX-1.txt 直接查看電腦 1 檔案而不是電腦 2 的 FtpX-1.txt 內容,同樣, ftp>!rm FtpX-1.txt 是刪除電腦 1 的 FtpX-1.txt,切勿不小心刪除電腦 2 原始的 FtpX-1.txt 檔案。
(五) 於電腦 1 上架設 2 個網頁伺服器
其中 1 個網頁伺服器 A 之對應 IP 是 10.1.X.1/24。另 1 個網頁伺服器 B 之對應 IP 是 10.1.X.2/24。 網頁伺服器 A 之連結 URL 為「http://10.1.X.1/~WebX-1/」(其中 WebX-1 為 Linux 系統中之帳號,
X 為你的工作崗位號碼+30)。建立網頁伺服器 A 首頁內容為「網路架設術科─WebX-1 號 NNN 的第 1 個網站」(其中 X 為你的工作崗位號碼+30,NNN 為你的姓名)。
網頁伺服器 B 之連結 URL 為「https://10.1.X.2/~WebX-2/」(其中 WebX-2 為 Linux 系統中之帳號, X 為你的工作崗位號碼+30)。設定網頁伺服器 B 僅能由 200.100.X.1/24 (電腦 2 之特定 IP)登入, 且需「帳號及密碼」才可登入(帳號及密碼皆為 WebX-2)。 建立網頁伺服器 B 首頁內容為:(說明:其中 X 為你的工作崗位號碼+30,NNN 為你的姓名) 網路架設術科─WebX-2 號 NNN 的第 2 個網站 網頁伺服器 (Web Server )設定 在本單元常用到的命令:
service httpd start | stop | restart 啟動/停止/重新啟動 httpd 服務
setenforce 0 切換 SELinux 的運作模式
cp source-filename dest-filename 拷貝檔案
目前「電腦 1」的狀態:
電腦 1 狀態 檢查方式
eth0 IP1 : 10.1.31.1、IP2 : 10.1.31.2
eth1 IP : 200.100.31.254 可用 ip a 查看
mod_ssl : 已安裝 可用 rpm -qa|grep mod_ssl 查看 httpd daemon:尚未執行服務 可用 service httpd status 查看 防火牆 : 已關閉 可用 service iptables status 查看 已建立 Web31-1、Web31-2 兩個帳號 可進入「使用者管理員」查看
編輯網頁伺服器設定檔:
在電腦 1, # vim /etc/httpd/conf/httpd.conf,或直接用文字編輯器比較快找到該行(搜尋→前往行數) 約276 行,改為 ServerName 10.1.31.1:80,亦可直接將前面註解 # 拿掉即可。
54
約 366 行,加註解,改為 #UserDir disable,約 373 行,取消註解,改為 UserDir public_html
約381~392 行,全部取消註解(即去掉#號)
加入以下方塊設定碼,位置一定要在上述的方塊之下,目的是限制網頁伺服器 B 僅能由 200.100.31.1 (電腦 2 之特定 IP)登入。插入點約在 394~398 行或利用 / Directory 尋找技巧。
<Directory /home/Web31-2/public_html> Order deny,allow
Deny from all
Allow from 200.100.31.1 </Directory>
切換 SELinux 的運作模式: (註:enforce 強制實施、permissive 縱容,避免因過高的安全保護而失敗) # setenforce 0
註 1:安全增強式 Linux(SELinux, Security-Enhanced Linux)是一種強制存取控制的實現。
註 2:上述方法優點是不用重新開機,但若有重新啟動,Setenforce 要再重新設定。另一種技巧是直接修 改 vim /etc/sysconfig/selinux,將內容 SELINUX=enforcing 改為SELINUX=disabled,務必重新啟動電腦。 啟動 httpd 服務: (註:每次若有重新啟動電腦,Setenforce 要重新設定,httpd 要重新啟動) # service httpd start 啟動 httpd 之後,接下來測試看看網頁伺服器 是否可正常運作? 在電腦 2 開啟 Firefox 瀏覽器,鍵入電腦 1 的網址(10.1.31.1),畫面顯示已可以正常瀏覽電腦 1 首頁。 註:無法由電腦 2 同時瀏覽檢定場伺服器 10.1.200.200 網頁(P40),及瀏覽電腦 1 之首頁各扣 25 分。
56 建立網頁的目錄及設定目錄的權限: 若網頁要能正常呈現,目錄的存取權限應如下設定: 使用者目錄:~Web31-1 和 ~Web31-2 需設為 「711」 存放網頁目錄:~Web31-1/public_html 和 ~Web31-2/public_html 需設為 「755」 執行以下指令,修改 Web31-1、Web31-2 的使用者目錄權限成 711 # chmod 711 /home/Web31-1 # chmod 711 /home/Web31-2 接下來,建立網頁伺服器 A 與網頁伺服器 B 的網頁存放目錄,因目錄是由 root 所建立,所以需 變更目錄的擁有者與擁有群組,存放網頁的目錄權限需設為 755 # mkdir /home/Web31-1/public_html # mkdir /home/Web31-2/public_html
# chown Web31-1:Web31-1 /home/Web31-1/public_html # chown Web31-2:Web31-2 /home/Web31-2/public_html #chmod 755 /home/Web31-1/public_html
#chmod 755 /home/Web31-2/public_html
註 1:mkdir=make Directory 建立目錄 、 chmod=change mode 、 chown=change owener 擁有者 註 2:public_html 資料夾名稱不限,可改為 www 較簡單,
查看設定後的目錄權限
編輯網頁伺服器 A 與網頁伺服器 B 的首頁內容: # vim ~Web31-1/public_html/index.html
網頁內容中全形的「-」號,不熟快速鍵,在中文輸入按上方輸入法,將半形改為全形
註:vim 編輯器進入後記得先按 Insert 鍵開始編輯,ESC 鍵離開編輯。(註:每字錯誤會扣1 分) # cp ~Web31-1/public_html/index.html ~Web31-2/public_html/index.html
58 測試網頁伺服器 A : 在電腦 2 開啟 Firefox 瀏覽器,鍵入網頁伺服器 A 首頁的網址(http://10.1.31.1/~Web31-1/),此時已 可以正常瀏覽網頁伺服器 A 的首頁。 建立 SSL 連線: (※ 亦可參閱 P63 更簡易技巧) 題目要求網頁伺服器 B 需設定 SSL 的安全連線,方法如下: 在電腦 1 修改 /etc/httpd/conf.d/ssl.conf 設定檔
# vi /etc/httpd/conf.d/ssl.conf 註:vi 和 vim 都是 Linux 編輯器,不同的是 vim 可以視為 vi 的升級版本。 約 18 行處,將 Listen 443 修改為Listen 10.1.31.2:443 重新啟動 httpd service # service httpd restart 測試網頁伺服器 B 的 https 連線: 在電腦 2 的瀏覽器,鍵入網頁伺服器 B 首頁的網址(https://10.1.31.2/~Web31-2/),點選「我了解此 安全風險」 (註:特別留意,此為 https,字尾有 s,所以前面不可省略,以便測試 SSL 是否正確)
再點選「新增例外網站…」
出現以下視窗,若點選「檢視」憑證狀態,則會出現我們先前建立的憑證資料,點選「確認安全例 外」,則可進入網頁伺服器 B 的首頁。
60 設定需帳號密碼才可以登入網頁伺服器 B:
接下來,我們設定需帳號密碼才可以登入網頁伺服器 B (帳號密碼皆為 Web31-2)
在電腦 1 欲保護的目錄下(/home/Web31-2/public_html/)建立檔案 .htaccess 內容有四行
註:Web31-2 前面的~符號,表示/home 目錄,.htaccess 是隱藏檔。 此四行內容如下:(※需熟背並了解其涵義)
註:Auth=Authentication 驗證,require 需要,valid 確鑿的,access 存取,檔案名稱與內容不可打錯 使用 htpasswd 指令產出上述 AuthUserFile 的 /etc/httpd/.htpasswd 帳號密碼檔案
# htpasswd –c /etc/httpd/.htpasswd Web31-2
接著出現 New password for user Web31-2,請輸入 Web31-2 密碼兩次
註 1:cat直接檢視檔案內容,若欲顯示行號指令後多加 -n 註 2:htpasswd=http password,名稱不可打錯。
測試需帳號密碼才可以登入網頁伺服器 B: 在電腦 2 的瀏覽器,鍵入網頁伺服器 B 首頁的網址(https://10.1.31.2/~Web31-2/),會出現要求輸入 帳號、密碼的視窗,在這裡帳號密碼都輸入 Web31-2 輸完帳密後,就可顯示網頁伺服器 B 的首頁 (註:此項帳密未出現扣10 分,都看不到扣 25 分) 測試網頁伺服器 B 僅能由 200.100.31.1 登入: 最後,將電腦 2 的 IP 由 200.100.31.1 改為 200.100.31.3,看看是否可連到網頁伺服器 B,由下面畫面 看出無法連線,所以成功的限制網頁伺服器 B 僅能由 200.100.31.1 連線。此項未成功會扣10 分。 註 1:若用『系統→偏好設定→網路連線』修改 200.100.31.3 不行,因為在終端機查看 IP 未改變?? 註 2:所以重設 IP 位置,直接用終端機命令為 ifconfig△eth0△200.100.31.3△netmask△255.255.255.0 註 3:實際測試 200.100.31.3 真的錯誤,但改回.1 之後變得也發生錯誤,需重新啟動電腦方可回復。
62
利用 VirtualBox 安裝兩台 CentOS 6.4 Linux 電腦,因為沒有 CentOS 版本,所以選擇『Other Linux』,
且是64bit,系統→處理器啟用 PAE/NX,而且電腦 1 要2張網卡,第 1 張選『橋接介面卡』(因 為要連接到外部)、第 2 張選『內部網路』(因為要連到 PC2),電腦 2 只要 1 張網卡,選『內部網路』。 註 1:若是利用雙電腦模擬,則三張網卡一律都要設為『橋接介面卡』。 註 2:PAE 實體位址擴充,可讓 32 位元處理器使用 4GB 實體記憶體,NX 可保護電腦,抵禦攻擊。 各電腦檔案結構應熟記 電腦 1 2張 網卡
帳號:Web31-1 密碼:Web31-1 、 帳號:Web31-2 密碼:Web31-2 ● vim /etc/sysctl.conf 打開封包轉遞(IP forward)功能 (P40)
● vim /etc/httpd/conf/httpd.conf 編輯網頁伺服器設定檔 (P53)
● vim /etc/httpd/conf.d/ssl.conf 因為題目要求網頁伺服器 B 需設定 SSL 的安全連線 (P58)
● vim /etc/sysconfig/selinux,將內容 SELINUX=enforcing 改為 SELINUX=disabled,務必重新啟動電腦(P55) ● vim /home/Web31-1/public_html/index.html 編輯網頁伺服器 A 的首頁內容 (P57)
● vim /home/Web31-2/public_html/index.html 編輯網頁伺服器 B 的首頁內容 (P57) ● vim /home/Web31-2/public_html/.htaccess 因為需帳號密碼才可登入網頁伺服器 B (P60)
● 使用 htpasswd 指令產出 /etc/httpd/.htpasswd 密碼檔案,因為需帳號密碼才可登入網頁伺服器 B (P60) # htpasswd –c /etc/httpd/.htpasswd Web31-2
● # dd if=/dev/zero of=up1 bs=1k count=700 建立 700KB 的 up1 檔案,倆檔案放在 /root目錄下 (P51)
電腦 2 1 張 網卡
帳號:Ftp31-2 密碼:Ftp31-2 (電腦 2 只有 1 位使用者)
● vim /etc/sysconfig/selinux 將內容 SELINUX=enforcing 改為 SELINUX=disabled,兩台電腦都要設定 ● vim /etc/vsftpd/welcome-A.txt 編輯傳輸伺服器 A 的歡迎詞 (P44)
● vim /etc/vsftpd/welcome-B.txt 編輯傳輸伺服器 B 的歡迎詞 (P44)
● cp /etc/vsftpd/welcome-A.txt /var/ftp/Ftp31-1.txt 拷貝歡迎詞檔案至 FTP anonymous user 的根目錄下 ● vim /etc/vsftpd/vsftpd.conf 編輯傳輸伺服器 A 的設定檔,僅允許匿名登入 (P45)
● vim /etc/vsftpd/vsftpd-2.conf 編輯傳輸伺服器 B 設定檔,僅允許 Ftp31-2 使用者登入,且需密碼方可 ● vim /etc/fstab 因為 FTP 上傳檔案磁碟配額 1MB (P50)
電腦 1「路由器」設定與防火牆另解(相當於 P39~P41):
註:此目的是設定 NAT(Network Address Translation),將內部私有 IP 位址和外部公有 IP 位址轉換 系統→管理→防火牆→信任的介面卡→勾選eth1 (連電腦 2 網卡) 僞裝→勾選eth0 (連考場伺服器網卡,相當於 P40 打開封包轉遞 IP forward 功能) 信任的服務→勾選WWW(HTTP)與保密的 WWW(HTTPS),不用另設 P58 SSL 相關設定。 最後按上方『套用』,然後在終端機輸入 所謂僞裝簡單意思就是將 eth1 收 到的封包資料後,再透過 eth0 傳 送封包出去,這樣別人就不知封包 來源是誰的?等於轉送封包
64 電腦 2 防火牆另解(比較 P48):
系統→管理→防火牆→信任的服務→勾選FTP→套用
系統→管理→服務→點選vsftpd,再按上方『啟用』,則 vsftpd 前方紅色會轉綠色表示啟動
然後在終端機輸入 #service vsftpd restart
欲查詢某指令相關參數,可利用『man』指令,例如# man quotaon,按上/下頁查看,按q離開。
