第3章 使用Linux搭建企业路由.pdfVIP

Linux 系统工程师 —— Linux 高级应用 第三章 使用 Linux 搭建企业路由 Linux 系统的稳定性使它赢得了越来越大的市场份额。然而，Linux 系统的强大 功能不只是体现在它的服务功能，它的网络功能也是非常强大的。Linux 系统除了 可以用作企业防火墙外，现在很多解决方案也用它来搭建企业路由器。尤其是最近 两三年，其低成本高效益使得其应用越来越广泛。本章将重点介绍 Linux 系统的高 级路由功能和流量控制。 本章目标： 学习完本章你将能够 了解ip 命令的使用 使用策略路由配置 Linux 路由 使用 Linux 搭建 VPN 使用 Linux 进行带宽管理 69 Version ：1.0 Linux 系统工程师 —— Linux 高级应用 1. iproute2 介绍 Linux 系统除了能够用来搭建一系列的应用服务器之外，他还提供下面的这些 功能： • 管制某台计算机的带宽 • 管制通向某台计算机的带宽 • 帮助你公平地共享带宽 • 保护你的网络不受 DoS 攻击 • 保护 Internet 不受到你的客户的攻击 • 把多台服务器虚拟成一台，进行负载均衡或者提高可用性 • 限制对你的计算机的访问 • 限制你的用户访问某些主机 • 基于用户账号(没错！) 、MAC 地址、源 IP 地址、端口、服务类型、时间或者 内容等条件进行路由。 现在，很多人都没有用到这些高级功能。这有很多原因。比如提供的文档过于 冗长而且不容易上手，而且流量控制甚至根本就没有归档。 要使用 Linux 的高级路由和流量控制功能，除了需要内核支持之外，还需要使 用新的网络配置工具 iproute2 。 1.1 为什么使用iproute2 早些时候，绝大多数 Linux 发行版和绝大多数 UNIX 都使用古老的 arp, ifconfig 和 route 命令。虽然这些工具能够工作，但它们在 Linux2.2 和更高版本的内 核上显得有一些落伍。比如，现在 GRE 隧道已经成为了路由的一个主要概念，但却 不能通过上述工具来配置。 使用了 iproute2 ，隧道的配置与其他部分完全集成了。 2.2 和更高版本的 Linux 内核包含了一个经过彻底重新设计的网络子系统。这 些新的代码让 Linux 在操作系统的竞争中取得了功能和性能上的优势。实际上，Linux 新的路由、过滤和分类代码，从功能和性能上都不弱于现有的那些专业的路由器、 防火墙和流量整形产品。 随着新的网络概念的提出，人们在现有操作系统的现有体系上修修补补来实现 70 Version ：1.0 Linux 系统工程师 —— Linux 高级应用 他们。这种固执的行为导致了网络代码中充斥着怪异的行为，这有点像人类的语言。 过去，Linux 模仿了 SunOS 的许多处理方式，并不理想。 这个新的体系则有可能比以往任何一个版本的 Linux 都更善于清晰地进行功能 表达。 1.2 获取软件 幸运的是，现在大多数发行版本都安装了 iproute2 软件包，例如在 RedHat Enterprise Linux AS 4 种，iproute2 的版本是 iproute-2.6.9-3 。 如果发行版本中没有 iproute2 软件，可以到官方网站下载源代码并安安装。新 版本的官方下载地址是：/dev/iproute2/download/ 。 另外，确认一下你的内核支持