跳至主要內容

网络服务

刘欢2026/2/25原创大约 5 分钟约 1363 字

目录

一、网络基础概念

1.1 OSI七层模型

层次名称功能协议示例
7应用层提供应用程序网络接口HTTP, FTP, SSH
6表示层数据加密、解密、压缩SSL/TLS
5会话层建立、管理和终止会话RPC, NetBIOS
4传输层端到端通信,流量控制TCP, UDP
3网络层路由选择,分组转发IP, ICMP, ARP
2数据链路层介质访问控制,帧传输Ethernet, PPP
1物理层物理介质,比特传输网线、光纤

1.2 TCP/IP模型

层次对应OSI层次协议
应用层5-7层HTTP, FTP, SSH, DNS
传输层4层TCP, UDP
网络层3层IP, ICMP, ARP
网络接口层1-2层Ethernet, PPP

二、网络配置基础

2.1 网络接口管理

查看网络接口

# 查看网络接口信息
ip addr
ifconfig # 旧命令,需要net-tools

# 查看路由表
ip route
route -n

# 查看ARP缓存
arp -a
ip neigh

配置网络接口

# 临时配置IP地址
ip addr add 192.168.1.100/24 dev eth0

# 启用/禁用网络接口
ip link set eth0 up
ip link set eth0 down

# 配置默认网关
ip route add default via 192.168.1.1

2.2 静态IP配置

Debian/Ubuntu(netplan)

# /etc/netplan/00-installer-config.yaml
network:
  ethernets:
    eth0:
      addresses:
        - 192.168.1.100/24
      gateway4: 192.168.1.1
      nameservers:
        addresses: [8.8.8.8, 8.8.4.4]
  version: 2
# 应用配置
netplan apply

RHEL/CentOS(nmcli)

# 配置静态IP
nmcli con mod eth0 ipv4.addresses 192.168.1.100/24
nmcli con mod eth0 ipv4.gateway 192.168.1.1
nmcli con mod eth0 ipv4.dns 8.8.8.8
nmcli con mod eth0 ipv4.method manual

# 启用连接
nmcli con up eth0

2.3 DNS配置

# 临时配置DNS
echo "nameserver 8.8.8.8" > /etc/resolv.conf

# 永久配置DNS(Debian/Ubuntu)
echo "nameserver 8.8.8.8" >> /etc/resolvconf/resolv.conf.d/base
resolvconf -u

# 永久配置DNS(RHEL/CentOS)
echo "DNS1=8.8.8.8" >> /etc/sysconfig/network-scripts/ifcfg-eth0

三、常用网络服务

3.1 SSH服务

安装与配置

# 安装SSH服务器
apt install openssh-server # Debian/Ubuntu
yum install openssh-server # RHEL/CentOS

# 启动SSH服务
systemctl start sshd
systemctl enable sshd

# 配置SSH
vim /etc/ssh/sshd_config

安全配置建议

# 禁用root登录
PermitRootLogin no

# 禁用密码登录(使用密钥登录)
PasswordAuthentication no

# 限制登录用户
AllowUsers user1 user2

# 修改默认端口
Port 2222

密钥登录配置

# 生成密钥对
ssh-keygen -t ed25519

# 复制公钥到服务器
ssh-copy-id user@server

3.2 Web服务器

Apache

# 安装Apache
apt install apache2 # Debian/Ubuntu
yum install httpd # RHEL/CentOS

# 启动服务
systemctl start apache2
systemctl enable apache2

# 配置文件位置
/etc/apache2/apache2.conf # Debian/Ubuntu
/etc/httpd/conf/httpd.conf # RHEL/CentOS

Nginx

# 安装Nginx
apt install nginx # Debian/Ubuntu
yum install nginx # RHEL/CentOS

# 启动服务
systemctl start nginx
systemctl enable nginx

# 配置文件位置
/etc/nginx/nginx.conf

3.3 FTP服务器

vsftpd

# 安装vsftpd
apt install vsftpd # Debian/Ubuntu
yum install vsftpd # RHEL/CentOS

# 启动服务
systemctl start vsftpd
systemctl enable vsftpd

# 配置文件位置
/etc/vsftpd.conf

3.4 DNS服务器

BIND

# 安装BIND
apt install bind9 # Debian/Ubuntu
yum install bind # RHEL/CentOS

# 启动服务
systemctl start bind9
systemctl enable bind9

# 配置文件位置
/etc/bind/named.conf

四、网络防火墙

4.1 iptables

基本操作

# 查看规则
iptables -L -n -v

# 允许SSH连接
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 允许HTTP连接
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# 允许HTTPS连接
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 允许回环接口
iptables -A INPUT -i lo -j ACCEPT

# 允许已建立的连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 拒绝其他所有连接
iptables -P INPUT DROP

4.2 firewalld(RHEL/CentOS)

基本操作

# 查看状态
firewall-cmd --state

# 允许服务
firewall-cmd --add-service=http --permanent
firewall-cmd --add-service=https --permanent
firewall-cmd --add-service=ssh --permanent

# 重新加载配置
firewall-cmd --reload

# 查看规则
firewall-cmd --list-all

4.3 ufw(Debian/Ubuntu)

基本操作

# 启用ufw
ufw enable

# 允许SSH
ufw allow ssh

# 允许HTTP
ufw allow http

# 允许HTTPS
ufw allow https

# 查看状态
ufw status verbose

五、网络监控与调试

5.1 网络连通性测试

# ping测试
ping -c 4 google.com

# traceroute测试
traceroute google.com
tracepath google.com # 不需要root权限

# mtr综合测试
mtr google.com

5.2 端口测试

# 查看监听端口
ss -tuln
netstat -tuln # 旧命令

# 测试端口连通性
nc -zv google.com 80

# 端口扫描(需要nmap)
nmap -p 1-1000 192.168.1.0/24

5.3 抓包分析

# tcpdump抓包
tcpdump -i eth0 port 80 -w capture.pcap

# wireshark分析(图形界面)
wireshark capture.pcap

# tshark分析(命令行)
tshark -r capture.pcap

六、实战案例

6.1 案例1:搭建LNMP服务器

# 安装Nginx
apt install nginx

# 安装MySQL
apt install mysql-server

# 安装PHP
apt install php-fpm php-mysql

# 配置Nginx支持PHP
vim /etc/nginx/sites-available/default

6.2 案例2:配置VPN服务器

# 安装WireGuard
apt install wireguard

# 生成密钥对
wg genkey | tee privatekey | wg pubkey > publickey

# 配置WireGuard
vim /etc/wireguard/wg0.conf

# 启动服务
wg-quick up wg0
systemctl enable wg-quick@wg0

七、常见问题排查

7.1 网络连接失败

# 检查物理连接
ethtool eth0

# 检查IP配置
ip addr

# 检查路由
ip route

# 检查DNS
nslookup google.com

7.2 端口无法访问

# 检查服务是否启动
systemctl status nginx

# 检查端口是否监听
ss -tuln | grep 80

# 检查防火墙规则
iptables -L -n | grep 80

7.3 网络速度慢

# 测试网络速度
curl -s https://raw.githubusercontent.com/sivel/speedtest-cli/master/speedtest.py | python3 -

# 查看网络流量
tcpdump -i eth0
iftop

八、最佳实践

8.1 安全原则

  1. 最小权限原则:只开放必要的端口和服务
  2. 定期更新:及时安装安全补丁
  3. 日志审计:定期检查网络日志
  4. 加密通信:使用SSH、HTTPS等加密协议

8.2 性能优化

  1. TCP参数优化:调整TCP连接参数
  2. 负载均衡:使用Nginx或HAProxy实现负载均衡
  3. CDN加速:使用CDN加速静态资源访问
  4. 缓存策略:合理配置缓存减少重复请求
北京华联精品超市有限公司 | MIT 协议, 版权所有 © 2019-present Mr.LIU