电子商务网站建设与管理期末考试黄骅港吧

电子商务网站建设与管理期末考试,黄骅港吧,非模板网站,怎么在58建设企业的网站客户端 - 服务器纯 IP 网络配置指南 1. 特殊路由与 VPN 网关 vpn_gateway 是一个特殊的网关#xff0c;代表着 VPN 网关地址。若要添加一条路由#xff0c;明确地将特定子网的流量通过 VPN 隧道传输#xff0c;覆盖任何本地路由#xff0c;可以添加如下选项#xff1a; …客户端 - 服务器纯 IP 网络配置指南1. 特殊路由与 VPN 网关vpn_gateway是一个特殊的网关代表着 VPN 网关地址。若要添加一条路由明确地将特定子网的流量通过 VPN 隧道传输覆盖任何本地路由可以添加如下选项route 10.198.0.0 255.255.0.0 vpn_gateway2. 重定向 IPv6 默认网关随着 IPv6 网络的出现设置一个能同时保护 IPv4 和 IPv6 流量的 VPN 变得愈发重要。若仅通过 VPN 隧道保护 IPv4 流量那么 IPv6 流量仍可能泄露。下面介绍如何设置 OpenVPN 来保护所有 IPv6 流量此功能从 OpenVPN 2.4 版本开始支持。-准备工作- 网络布局与服务器端路由配置的布局相同。- 使用本章第一个配置创建的 PKI 文件。- 在两台计算机上安装 OpenVPN 2.4 或更高版本并确保它们通过网络连接。例如服务器计算机运行 CentOS 6 Linux 和 OpenVPN 2.4客户端运行 Fedora 20 Linux 和 OpenVPN 2.4。- 服务器准备好添加 IPv6 支持配置中的example2 - 4 - server.conf文件客户端准备好服务器端路由配置中的basic - udp - client.conf文件。-操作步骤1. 在example2 - 4 - server.conf文件中添加一行内容来创建服务器配置文件push redirect - gateway ipv6 !ipv4保存为example2 - 8 - server.conf。2. 启动服务器[rootserver]# openvpn --config example2 - 8 - server.conf3. 在另一个服务器终端中启用 IP 流量转发[rootserver]# sysctl -w net.ipv6.conf.all.forwarding 14. 启动客户端[rootclient]# openvpn --config basic - udp - client.conf客户端会输出如下内容add_route_ipv6(::/3 - 2001:db8:100::1 metric -1) dev tun1 add_route_ipv6(2000::/4 - 2001:db8:100::1 metric -1) dev tun1 add_route_ipv6(3000::/4 - 2001:db8:100::1 metric -1) dev tun1 add_route_ipv6(fc00::/7 - 2001:db8:100::1 metric -1) dev tun1 Initialization Sequence Completed工作原理当客户端连接到 OpenVPN 服务器时服务器会向客户端推送一条特殊的重定向语句push redirect - gateway ipv6 !ipv4其中ipv6标志告知 OpenVPN 客户端通过向客户端操作系统添加三条路由将所有 IPv6 流量重定向到隧道2000::/4 3000::/4 fc00::/4这样就有效地将所有 IPv6 流量重定向到 VPN 隧道。而!ipv4标志则告知 OpenVPN 客户端不要重定向 IPv4 流量此示例添加该标志是为了展示仅重定向 IPv6 流量的可能性。其他方法也可以通过在服务器配置文件中添加以下行来实现相同的效果push route - ipv6 2000::/4 push route - ipv6 3000::/4 push route - ipv6 fc00::/4此方法在 OpenVPN 2.3 中也支持。但需要注意的是如果服务器的 IPv6 地址与上述任何地址处于同一范围那么此设置将会失败因为所有上述 IPv6 网络的流量都将被重定向到隧道。为解决此问题OpenVPN 2.4 引入了ipv6标志。3. 使用 ifconfig - pool 块此方法用于将普通 VPN 客户端与管理型 VPN 客户端分开这样便于为管理用户设置不同的防火墙规则。-准备工作- 使用本章第一个配置创建的 PKI 文件。- 在两台计算机上安装 OpenVPN 2.3.9 或更高版本并确保它们通过网络连接。例如服务器计算机运行 CentOS 6 Linux 和 OpenVPN 2.3.9普通 VPN 客户端运行 Windows 7 64 位和 OpenVPN 2.3.11被分配到192.168.200.0网络管理型 VPN 客户端运行 Fedora 20 Linux 和 OpenVPN 2.3.9位于192.168.202.0网络。- 准备好服务器端路由配置中的basic - udp - client.conf文件。-操作步骤1. 创建服务器配置文件proto udp port 1194 dev tun mode server ifconfig 192.168.200.1 255.255.255.0 ifconfig - pool 192.168.200.100 192.168.200.120 route 192.168.200.0 255.255.248.0 192.168.200.1 push route 192.168.200.1 push route 192.168.200.0 255.255.248.0 ca /etc/openvpn/cookbook/ca.crt cert /etc/openvpn/cookbook/server.crt key /etc/openvpn/cookbook/server.key dh /etc/openvpn/cookbook/dh2048.pem tls - auth /etc/openvpn/cookbook/ta.key 0 persist - key persist - tun keepalive 10 60 topology subnet push topology subnet user nobody group nobody # use group nogroup on some distros daemon log - append /var/log/openvpn.log client - config - dir /etc/openvpn/cookbook/clients保存为example2 - 9 - server.conf。2. 启动服务器[rootserver]# openvpn --config example2 - 9 - server.conf3. 使用客户端配置文件为管理型 VPN 客户端分配一个特殊的 IP 地址[rootserver]# mkdir -m 755 /etc/openvpn/cookbook/clients [rootserver]# cd /etc/openvpn/cookbook/clients [rootserver]# echo ifconfig - push 192.168.202.6 192.168.202.6 \ client1注意客户端 VPN 地址列出了两次这并非拼写错误。4. 由于 OpenVPN 服务器进程启动后将以nobody用户身份运行所以clients目录需要是全局可读的。5. 使用之前配置的文件启动 Linux 客户端[rootAdminClient]# openvpn --config basic - udp - client.conf客户端会输出如下内容[openvpnserver] Peer Connection Initiated with openvpnserver:1194 TUN/TAP device tun0 opened do_ifconfig, tt-ipv6 0, tt-did_ifconfig_ipv6_setup 0 /usr/sbin/ip link set dev tun0 up mtu 1500 /usr/sbin/ip addr add dev tun0 192.168.202.6/24 broadcast 192.168.200.255 Initialization Sequence Completed这里高亮显示了分配给管理型客户端的 IP 地址。6. 为 Windows 客户端创建配置文件client proto udp remote openvpnserver.example.com port 1194 dev tun nobind ca c:/program files/openvpn/config/ca.crt cert c:/program files/openvpn/config/client2.crt key c:/program files/openvpn/config/client2.key tls - auth c:/program files/openvpn/config/ta.key 1 remote - cert - tls server保存为basic - udp - client.ovpn。注意使用正斜杠/它比反斜杠\更易于使用因为反斜杠每次都需要重复两次。7. 使用安全通道如winscp或 PuTTY 的pscp命令行工具将ca.crt、client2.crt和client2.key文件以及tls - auth密钥文件ta.key传输到 Windows 机器上。8. 使用 OpenVPN GUI 启动 Windows 客户端。记得此客户端的私钥文件受密码或密码短语保护。9. 两台客户端连接后验证它们可以相互 ping 通以及与服务器 ping 通假设没有防火墙阻止访问- 在管理型客户端上[AdminClient]$ ping 192.168.200.1 [AdminClient]$ ping 192.168.200.102- 在普通客户端上[WinClient]C: ping 192.168.200.1 [WinClient]C: ping 192.168.202.6工作原理服务器配置文件通常使用以下指令为客户端配置一系列 IP 地址server 192.168.200.0 255.255.255.0该指令在内部会扩展为mode server tls - server ifconfig 192.168.200.1 192.168.200.2 ifconfig - pool 192.168.200.4 192.168.200.251 route 192.168.200.0 255.255.255.0 push route 192.168.200.1 if (topology subnet) push topology subnet因此不使用server指令而是指定自己的ifconfig - pool范围就可以覆盖默认行为。然后使用 CCD 文件为管理型客户端分配一个超出ifconfig - pool范围的 IP 地址。通过使用适当的route和push route语句确保所有客户端能够相互 ping 通。需要注意的是在这种情况下还需要显式推送拓扑结构因为server指令不再自动完成此操作。其他细节Windows 上的配置文件Windows 上的 OpenVPN GUI 应用程序总是从以下目录启动C:\Program Files\OpenVPN\config或者在 64 位 Windows 系统上使用 32 位版本的 OpenVPN 时从以下目录启动C:\Program Files(x86)\...因此basic - udp - client.ovpn配置文件中的目录路径可以省略ca ca.crt cert client2.crt key client2.key tls - auth ta.key 1- **客户端到客户端的访问**通过此设置即使在服务器端配置中未使用 client - to - client 指令VPN 客户端也可以相互连接。这是由于服务器配置文件中的 route 和 push route 语句实现的。不使用 client - to - client 的优点是仍然可以使用 iptables 或其他防火墙解决方案过滤不需要的流量。如果管理型客户端不需要连接到普通 VPN 客户端反之亦然则可以将子网掩码调整为route 192.168.200.0 255.255.255.0 push route 192.168.200.0 255.255.255.0这样网络就完全分开了。-使用 TCP 协议在上述示例中选择了 UDP 协议客户端配置文件可以通过将以下行proto udp更改为proto tcp轻松转换为使用 TCP 协议。将此文件保存为basic - tcp - client.ovpn以备将来使用。4. 使用状态文件OpenVPN 提供了多种监控连接到服务器的客户端的选项最常用的方法是使用状态文件。下面介绍如何使用和读取 OpenVPN 的状态文件。-准备工作- 网络布局与服务器端路由配置的布局相同。- 使用本章第一个配置创建的 PKI 文件。- 在两台计算机上安装 OpenVPN 2.3.9 或更高版本并确保它们通过网络连接。例如服务器计算机运行 CentOS 6 Linux 和 OpenVPN 2.3.9第一个客户端运行 Fedora 20 Linux 和 OpenVPN 2.3.9第二个客户端运行 Windows 7 64 位和 OpenVPN 2.3.11。- 服务器准备好服务器端路由配置中的basic - udp - server.conf文件Linux 客户端准备好相同配置中的basic - udp - client.conf文件Windows 客户端准备好之前配置中的basic - udp - client.ovpn文件。-操作步骤1. 在basic - udp - server.conf文件中添加一行内容来创建服务器配置文件status /var/log/openvpn.status保存为example2 - 10 - server.conf。2. 启动服务器[rootserver]# openvpn --config example2 - 10 - server.conf3. 启动 Linux 客户端[rootclient1]# openvpn --config basic - udp - client.conf4. VPN 建立后列出 openvpn.status 文件的内容[rootserver]# cat /var/log/openvpn.status5. 使用安全通道如 winscp 或 PuTTY 的 pscp 命令行工具将 ca.crt、client2.crt 和 client2.key 文件以及 tls - auth 密钥文件 ta.key 传输到 Windows 机器上。 6. 在命令行上启动 Windows 客户端[WinClient2]C: cd \program files\openvpn\config [WinClient2]C: ..\bin\openvpn --config basic - udp - client.ovpn记得此客户端的私钥文件受密码或密码短语保护。7. 再次在服务器上列出状态文件的内容[rootserver]# cat /var/log/openvpn.status工作原理每次客户端连接到 OpenVPN 服务器时状态文件都会更新连接信息。OpenVPN 的CLIENTLIST和ROUTING TABLE表是最有用的它们提供以下信息哪些客户端已连接。客户端从哪个 IP 地址连接。每个客户端接收和传输的字节数。客户端连接的时间。此外路由表还显示哪些网络被路由到每个客户端。注意事项状态参数status指令接受两个参数状态文件的文件名。可选的状态文件更新刷新频率。大多数情况下默认值 60 秒就足够了。客户端断开连接当客户端断开连接时状态文件不会立即更新。OpenVPN 首先会根据服务器配置文件中的keepalive参数尝试重新连接客户端。此配置文件中使用的keepalive参数为keepalive 10 60这表示服务器将每 10 秒向客户端发送一次 ping 请求。如果在 60 秒 * 2 后仍未收到响应则重新启动连接。OpenVPN 服务器会将第二个参数的值加倍。服务器还会告知客户端每 10 秒发送一次 ping 请求并在 60 秒内未收到任何响应时重新启动连接。-显式退出通知OpenVPN 一个不太为人知的选项是以下指令explicit - exit - notify [N]可以在客户端设置此指令以便客户端断开连接时如果可能向服务器发送显式的OCC_EXIT消息。这将加快断开客户端的移除速度。可选参数N表示消息将发送的次数。默认情况下只发送一条OCC_EXIT消息由于 UDP 协议不保证数据包的传递这可能会导致问题。5. 管理接口此部分介绍如何从服务器端使用管理接口管理 OpenVPN 客户端。-准备工作- 网络布局与服务器端路由配置的布局相同。- 使用本章第一个配置创建的 PKI 文件。- 服务器计算机运行 CentOS 6 Linux 和 OpenVPN 2.3.9客户端运行 Windows 7 64 位和 OpenVPN 2.3.10。- 服务器准备好服务器端路由配置中的basic - udp - server.conf文件Windows 客户端准备好之前配置中的basic - udp - client.ovpn文件。-操作步骤1. 使用默认服务器配置文件启动服务器[rootserver]# openvpn --config basic - udp - server.conf2. 在 basic - udp - client.ovpn 文件中添加一行内容来为 Windows 客户端创建配置文件management tunnel 23000 stdin保存为example2 - 11.ovpn。3. 使用安全通道如winscp或 PuTTY 的pscp命令行工具将ca.crt、client2.crt和client2.key文件以及tls - auth密钥文件ta.key传输到 Windows 机器上。4. 由于 OpenVPN GUI 不支持此管理接口的特定配置因此在命令行上启动 Windows 客户端[WinClient]C: cd \program files\openvpn\config [WinClient]C: ..\bin\openvpn --config example2 - 11.ovpnOpenVPN 客户端会要求输入管理接口的密码选择一个好的密码之后会要求输入私钥密码短语。5. VPN 建立后在服务器上使用telnet程序连接到 OpenVPN 客户端的管理接口[server]$ telnet 10.200.0.3 23000 Trying 10.200.0.3... Connected to 10.200.0.3. Escape character is ^]. ENTER PASSWORD: SUCCESS: password is correct INFO:OpenVPN Management Interface Version 1 -- type help for more info status OpenVPN STATISTICS Updated,Fri Feb 5 18:22:31 2016 TUN/TAP read bytes,21849 TUN/TAP write bytes,451 TCP/UDP read bytes,6571 TCP/UDP write bytes,30172 Auth read bytes,707 TAP - WIN32 driver status,(null) END signal SIGTERM6. 使用 Ctrl ] 或 quit 退出 telnet 程序。工作原理当 OpenVPN 客户端连接到服务器时使用以下指令设置一个特殊的管理接口management tunnel 23000 stdin它有以下参数-tunnel参数将管理接口绑定到 VPN 隧道本身这对于测试目的和一些高级客户端设置很有用。在服务器端最好始终为管理 IP 指定127.0.0.1。- 管理接口将监听的端口23000。- 最后一个参数是密码文件或特殊关键字stdin表示管理接口密码将在 OpenVPN 启动时指定。注意此密码与 OpenVPN 使用的私钥密码短语或任何其他用户管理密码完全无关。管理接口启动后服务器操作员可以使用telnet连接到它并查询客户端。客户端可以输入以下命令signal SIGTERM这将使客户端像用户手动停止一样关闭这显示了保护管理接口及其密码的重要性。其他用途管理接口也可以在 OpenVPN 服务器上运行在这种情况下可以列出已连接的客户端、断开它们的连接或执行各种其他 OpenVPN 管理任务。预计在未来版本的 OpenVPN 中管理接口在客户端和服务器端都将变得更加重要成为以编程方式与 OpenVPN 软件交互的首选方法。6. 代理 ARP此部分将使用 Linux 内核的代理 ARP 功能使 VPN 客户端看起来像是服务器端局域网的一部分这样就无需使用桥接在大多数情况下这是更理想的选择。-准备工作- 使用本章第一个配置创建的 PKI 文件。- 服务器计算机运行 CentOS 6 Linux 和 OpenVPN 2.3.9客户端运行 Windows 7 64 位和 OpenVPN 2.3.10。- 服务器准备好服务器端路由配置中的basic - udp - server.conf文件Windows 客户端准备好使用ifconfig - pool块配置中的basic - udp - client.ovpn文件。客户端 - 服务器纯 IP 网络配置指南续6. 代理 ARP续操作步骤服务器端配置首先编辑服务器的网络配置文件开启 IP 转发功能。编辑/etc/sysctl.conf文件找到并修改或添加以下行net.ipv4.ip_forward 1- 使配置生效执行以下命令sysctl -p /etc/sysctl.conf- 开启代理 ARP 功能在服务器的网络接口上设置。假设服务器的外网接口为 eth0VPN 接口为 tun0执行以下命令echo 1 /proc/sys/net/ipv4/conf/eth0/proxy_arp echo 1 /proc/sys/net/ipv4/conf/tun0/proxy_arp- 为了让这些设置在系统重启后仍然生效可以将上述命令添加到 /etc/rc.local 文件中。 2. **客户端连接** - 客户端使用 basic - udp - client.ovpn 文件连接到服务器。连接成功后客户端就可以像在服务器端局域网内一样进行通信。工作原理代理 ARP 是一种技术当一个主机收到一个目的地址不是自己的 ARP 请求时如果它知道如何到达该目的地址就会以自己的 MAC 地址响应这个 ARP 请求。在这个场景中服务器作为代理 ARP 设备当局域网内的其他设备发送 ARP 请求查找 VPN 客户端的 MAC 地址时服务器会以自己的 MAC 地址响应。这样局域网内的设备就会认为 VPN 客户端和服务器在同一个局域网内从而实现了 VPN 客户端看起来像是服务器端局域网的一部分的效果。7. 总结与注意事项配置总结本文介绍了客户端 - 服务器纯 IP 网络配置的多个方面包括特殊路由与 VPN 网关、重定向 IPv6 默认网关、使用ifconfig - pool块、使用状态文件、管理接口和代理 ARP 等内容。通过这些配置可以实现不同类型客户端的区分管理、保护 IPv6 流量、监控客户端连接状态、远程管理客户端以及使 VPN 客户端融入服务器端局域网等功能。注意事项安全方面管理接口的密码非常重要需要妥善保护避免被他人获取后对客户端或服务器进行恶意操作。传输 PKI 文件和密钥文件时要使用安全通道如winscp或 PuTTY 的pscp命令行工具防止文件在传输过程中被窃取。配置方面在使用状态文件时要注意客户端断开连接后状态文件不会立即更新需要根据keepalive参数等待一段时间。可以考虑使用explicit - exit - notify指令加快断开客户端的移除速度。在配置服务器和客户端时要确保各配置文件中的参数正确特别是 IP 地址、端口号、密钥文件路径等。对于 Windows 客户端要注意配置文件中的路径格式使用正斜杠/更方便。流程图graph LR classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px; classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px; classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px; A([开始]):::startend -- B(准备工作):::process B -- C{选择配置类型}:::decision C --|重定向 IPv6 默认网关| D(创建服务器配置文件):::process C --|使用 ifconfig - pool 块| E(创建服务器配置文件):::process C --|使用状态文件| F(创建服务器配置文件):::process C --|管理接口| G(创建客户端配置文件):::process C --|代理 ARP| H(服务器端配置):::process D -- I(启动服务器):::process E -- J(启动服务器):::process F -- K(启动服务器):::process G -- L(启动客户端):::process H -- M(客户端连接):::process I -- N(启动客户端):::process J -- O(为管理型客户端分配 IP):::process O -- P(启动客户端):::process K -- Q(启动客户端):::process N -- R(验证连接):::process P -- R Q -- R L -- S(连接管理接口):::process M -- R S -- T(查询客户端):::process R -- U([结束]):::startend T -- U表格总结配置类型主要作用关键配置文件注意事项重定向 IPv6 默认网关保护 IPv6 流量防止流量泄露example2 - 8 - server.conf、basic - udp - client.conf服务器 IPv6 地址不能与重定向地址范围冲突使用 ifconfig - pool 块区分普通和管理型 VPN 客户端便于设置防火墙规则example2 - 9 - server.conf、basic - udp - client.conf、basic - udp - client.ovpn客户端配置文件路径、客户端 IP 地址分配使用状态文件监控客户端连接状态example2 - 10 - server.conf、basic - udp - client.conf、basic - udp - client.ovpn客户端断开后状态文件更新延迟管理接口远程管理客户端basic - udp - server.conf、example2 - 11.ovpn管理接口密码保护代理 ARP使 VPN 客户端融入服务器端局域网basic - udp - server.conf、basic - udp - client.ovpn服务器端 IP 转发和代理 ARP 开启通过以上配置和操作你可以根据自己的需求构建一个安全、高效的客户端 - 服务器纯 IP 网络环境。在实际应用中要根据具体情况进行调整和优化确保网络的稳定运行。