《PC工作環境介紹：Linux》 Linux作業系統的網路能力概觀（下） 蔣大偉 譯 （文續1423期第215頁） Linux對網路互連的支援 ￣￣￣￣￣￣￣￣￣￣ Linux的網路功能可謂包羅萬象。一部Linux機器，可以被建構成 路由器（router）、橋接器（bridge）等，以下簡要說明其一些可 選用的網路功能： 1.路由器 Linux的核心有內建的路由選擇（Routing）功能。一部Linux機器 ，可以被建構成一台IP或IPX路由器，而它的花費相當低廉。其最近 所發表的核心包含了一些特殊的功能選項，主要都是用來設定路由 器的，說明如下： ‧多目的傳播（Multicasting）：可讓Linux機器成為一個將IP封 包傳播到多個目的位址的路由器，例如，使用MBONE時，就需要 這種路由器。MBONE是Internet上一種需要高頻寬的網路，它能 夠載送聲音和影像的廣播信號。 ‧策略性IP路由選擇（IP Policy Routing）：一般路由器處理所 收到的封包時，僅以封包的最終目的位址為路由選擇的依據， 但是路由的選擇，也可以將來源位址與封包所抵達的網路介面 一起納入考慮。 還有一些相關的計劃，包括一個主要目標，在於只要使用一片軟 碟，就可以執行Linux路由器的計劃（Linux Router Project）。 2.橋接器 Linux的核心有內建的乙太網路橋接器（Ethernet Bridge）支援 ，它的作用就是讓連接到不同乙太網路區段上的各個節點，使用起 來就像是在同一個乙太網路區段上。多部橋接器放在一起，並使用 IEEE802.1標準的Spanning Tree演算法，可以建構一個更大的乙太 網路。因為是一個標準，Linux橋接器有了它之後，可與其他第三協 力廠商的橋接器產品正常地互接。 3.IP偽裝（Masquerading）功能 IP偽裝在Linux上是一個發展中的網路功能。如果一部Linux主機 連接至Internet，而且其IP偽裝功能被開啟，則連上他的其他電腦 （不論是在相同的LAN上，或是透過數據機連上來的) ，就算是他們 沒有使用正式分配的IP位址，都同樣可以通達Internet。此不但降 低了上網的費用，且由於可以提供多人使用同一條數據機連線來上 Internet，同時它也增加了安全性（從某些方面來看，它的功能像 是一個防火牆（Firewall），因為外界網路無法連接到此非正式分 配的IP位址）。 4.IP計算（Accounting）功能 這也是個Linux核心的選用功能。它被使用在IP網路流量的追蹤、 封包的記錄、以及產生一些統計的結果。使用者可以定義一系列的 規則，以便當比對到某種樣式的封包時，就增加計數器的數值。例 如，這個封包是被接受/拒絕的等。 5.IP別名（Aliasing）功能 此一Linux核心所提供的功能，使得我們可以在同一個低階網路裝 置的驅動程式下，設定多重的網路位址 (例如，在一片乙太網路卡 裝置上設定二個IP位址)，因為通常我們會依照伺服器程式所監看網 路位址的不同，而來區分不同的服務功能（例如“多重主機（ Multihosting）”或”虛擬網域（Virtual Domains）”或”虛擬主 機服務（Virtual Hosting Services）”）。 6.網路流量控制（Traffic Shaping）功能 網路流量控制功能是一種虛擬的網路服務，它可以限制輸出到另 一個網 路裝置的資料流速率。這個功能在某些場合（如ISP）特別有用，它 被拿來控制與執行，用以限制每個使用者可以使用多少頻寬的策略 ；另一個用途（僅限於網頁服務）即是某些Apache的模組，可以拿 來限制客戶端建立IP連線的個數或頻寬的使用量。 7.防火牆功能 防火牆是一個將私有網路從公眾範圍（整個網際網路）保護與獨 立出來的裝置。它的設計使其能夠依據每個封包所含之來源位址、 目的位址、埠編號、以及封包型態等資訊，來控制封包的流通與否 。 Linux上存在有不同類型的防火牆工具套件（Toolkits），同時核 心也有內建的防火牆支援。除了核心內建的支援外，還有TIS和 SOCKS二種防火牆工具套件。這二種防火牆工具套件相當完整，若能 與其他工具合併使用，則可阻斷/重導各類的網路流量與協定，且經 由設定檔案或GUI程式，可以實作出不同的網路流量控制策略。 8.埠轉遞（Port Forwarding）功能 現今有互動交談能力的網頁站台越來越多了，而它們大都是使用 cgi-bins或Java Applets程式來存取資料庫或其他服務，但這類存 取方式比較可能造成安全上的問題，在此建議資料庫所在的機器實 不宜直接連上Internet。埠轉遞功能對這類存取問題，提供了一個 還算理想的解決方案！透過防火牆，進入到特定埠編號的IP封包可 以被改寫，然後轉遞到內部實際提供服務的伺服器上；內部伺服器 所回覆的封包也會被改寫，使得它看起來像是來自防火牆。 9.負載均衡（Load Balancing）功能 通常資料庫/網頁的存取，在多個用戶端同時向一個伺服器提出服 務要求時，會有負載均衡的需求。負載均衡的功能需要有多部相同 的伺服器，並將服務要求轉送到負載較輕的伺服器上去。例如，我 們可以透過網路位址轉換（Network Address Translation，簡稱 NAT）技術的子功能IP偽裝來達到這個目的。網路管理者則可以用一 個邏輯的伺服器集合，來共享同一個IP位址的做法，來取代過去僅 使用單一伺服器，以提供網頁服務或其他應用的方式。藉著使用負 載均衡的演算方法，可將任何進來的連線要求，轉向至特定的伺服 器上去，而這個虛擬的伺服器，會改寫進來與出去的封包，所以用 戶端對伺服器的存取是透通的，他們會以為只有一台伺服器。 10.EQL（串列連線的負載均衡驅動程式） 目前，EQL已被整合到Linux的核心中。如果使用者有二條串列連 線接到其他電腦（這通常需要二部數據機和二門電話線路），並在 線路上面使用SLIP或PPP（可以在電話線路上傳遞Internet流量的通 訊協定），此時，使用EQL驅動程式就可以將二條串列連線看成一條 二倍速的連線。當然，另外一端也必須能夠支援這個功能才行。 11.代理伺服器（Proxy Server） Proxy（代理）這個詞彙的意義是”代替某些人做某些事”。在網 路的用語中，代理伺服器就是一部可以代替許多用戶端做事情的電 腦，如HTTP Proxy，就是一部專門接收別台機器（機器A）所發出網 頁要求的機器。通常，代理伺服器會取得這份網頁資訊，並將結果 傳回機器A，亦即，代理伺服器可以將這份網頁存到快取記憶體（ Cache）中，如果其他機器所要求的網頁，在快取記憶體中正好有一 份複本，則只會將該複本傳回，這使得網路頻寬資源能夠有效運用 ，而且降低了網頁回覆的時間。然而其副作用就是用戶端機器無法 直接連線到外面世界的網路，但是此一副作用卻也成為內部網路保 密的方法，因此一個設定完善的代理伺服器，就像是一部功能優良 的防火牆。 在Linux上存在有數種代理伺服器，最普遍而常用的解決方案就是 利用Apache的Proxy模組；另一個更完整與穩定的HTTP Proxy工具程 式就是SQUID。 12.隨選撥接功能 隨選撥接（Dial on Demand）功能使得電話撥接動作完全通透， 使用者只會看到有一條固定的網路線路被連接到遠端的站台。通常 ，它會有一個監控程式來監看封包的流量，當”感興趣”的封包（ 所謂的”感興趣”通常是由一套”規則/優先權/使用權限”來定義 ）一抵達，它就會與遠端建立網路連線；而當通道閒置一段時間後 ，它也會停掉網路的連線。 13.建立通訊協定隧道，機動式電腦IP路由選擇協定（Mobile-IP ）與虛擬私有網路（Virtual Private Networks，簡稱VPN） Linux核心允許我們建立通訊協定隧道（也就是說將通訊協定封裝 起來）。它可以在IP網路連線上建立IPX隧道，這使得二個IPX網路 可以透過唯一的IP網路連線互接。同時，它也可以建立IP-IP隧道， 基本上是使用在”機動式電腦IP路由選擇協定”的支援、多目的傳 播的支援、以及業餘無線電網路等方面。 “機動式電腦IP路由選擇協定”主要是針對Internet上機動式電 腦的路由選擇作特別的設計，使得我們在傳送IP”資料片段”（ Datagrams）到機動式電腦時，完全通透而不受影響。每個機動式電 腦的識別方式，陶ㄛO以它的”原始位址”（Home Address）來做為 標記，而與它目前連接到Internet的那個節點無關。當機動式電腦 不在其原始的位址上時，它就會回傳一個”中介位址”（Care-of Address），經由“中介位址”，便可以知道該機動式電腦目前連接 到Internet的哪個節點。機動式電腦透過此協定向”原始位址處理 機構”（Home Agent）註冊”中介位址”，而“資料片段”會透過 ”原始位址處理機構”的IP-IP隧道傳送至”中介位址”上去，當資 料抵達隧道的末端時，每個”資料片段”會再傳遞至機動式電腦上 去。 點對點隧道通訊協定（Point-to-Point Tunneling Protocol，簡 稱PPTP）就是在Internet上建構具有保密功能之虛擬私有網路（VPN ）時，所使用的一種專屬網路技術。目前，Windows NT伺服器已將 PPTP與”遠端存取服務”（RAS）伺服器整合在一起，透過PPTP，使 用者可利用電話撥接至當地的ISP，或直接連上Internet來取用自己 公司的網路服務，使用起來感覺就好像是坐在自己的辦公桌前一樣 。然而PPTP是一個封閉的通訊協定，而且它的保密性最近也正遭受 到質疑，所以建議使用者使用其他在Linux平臺上的解決方案，因為 Linux上的解決方案使用的是開放的標準，並且都經過仔細的檢查與 測試。 Linux對網路管理的支援 ￣￣￣￣￣￣￣￣￣￣ 1.網路管理的應用 應用在網路管理與遠端管理這方面的工具非常多，目前有二個吸 引人的遠端管理計劃，他們分別是Linuxconf與Webmin。此外，也另 有其他管理工具，如：網路流量分析工具、網路安全工具、監視工 具、設定工具等。 2.簡易網路管理協定（SNMP） 簡易網路管理協定（Simple Network Management Protocol，簡 稱SNMP）是一個提供Internet網路管理服務的通訊協定，它讓我們 可以監視與設定路由器、橋接器、網路卡、交換器（Switch）等網 路設備。而在Linux上有為數眾多以程式庫、用戶端、伺服器端、 SNMP為基礎的監視程式可用。 以Linux架構企業網路 ￣￣￣￣￣￣￣￣￣ 在某些情況下（例如企業網路），我們的網路基礎建設需要適當 的機制，用以確保網路的可用度到100%。以下將說明一些相關技術 ： 1.提高可用度： 使用冗餘技術可以避免單一的故障點癱瘓整個IT（資訊科技）系 統。當伺服器只有一個網路卡或單一的SCSI磁碟機，有二處單一故 障點都會有這樣的顧慮。而冗餘技術的目的，即在掩飾系統不預期 的中斷，並讓使用者能馬上地繼續使用。所謂提高可用度的軟體， 則是一套自動監視、檢測故障的Script程式與工具，它會採取適當 的步驟，來回復系統的正常運作，以及通知系統管理者。 2.冗餘廉價磁碟機陣列（RAID） 冗餘廉價磁碟機陣列（Redundant Array of Inexpensive Disks ，簡稱RAID）是一種將資訊展開交叉儲存在多個磁碟機上的方法。 使用此一方法所提供的Disk Striping（磁碟機平行儲存）（RAID等 級0）、以及Disk Mirroring（磁碟機映射儲存）（RAID等級1）的 技術，可以達到冗餘的目的，並使得讀寫磁碟機時能有較低的等待 時間，且有較高的頻寬以及硬碟機故障時的可恢復性。目前已經有 超過六種不同的類型的RAID架構被定義出來，而Linux的使用者有包 括：軟體RAID、外部的DASD裝置、以及RAID磁碟機控制器等三種類 型的RAID解決方案可選擇。 ‧軟體RAID：在核心的磁碟機（Block裝置）程式碼中，存在有以 純軟體實作出來的各等級的軟體RAID。 ‧外部的DASD解決方案：直接存取儲存裝置（Direct Access Storage Device，簡稱DASD）是一個接在電腦外部的裝置，它 有自己的電源供給，並且提供機櫃/機架來放置硬碟，但在 Linux中，卻只是把它當作另一個SCSI裝置。就許多方面而言， 這個方法所提供的RAID解決方案，算是最穩固的了。 ‧RAID磁碟機控制器：磁碟機控制器就是一個插入ISA/EISA/PCI 匯流排的配接卡，就像一般的磁碟機控制卡一樣，它會有電纜 連接到磁碟機裝置；而與一般的磁碟機控制卡不同的是，RAID 控制器會在自己的配接卡上實作RAID功能，提供各種RAID等級 操作時所必須執行的動作。 3.冗餘網路連接 IP位址接管（IP Address Takeover，簡稱IPAT）是當網路配接卡 故障時，它的IP位址應該會由相同或另一個節點上正常的網路卡來 接管；MAC位址接管：當IP位址接管的情況發生時，還必須確定網路 上所有的節點是否更新了他們的ARP快取（其內容為IP與MAC位址的 對應）。（註：本文譯自“The Linux Networking Overview HOWTO ，原作者為Daniel Lopez Ridruejo，本文經作者同意翻譯及刊載。 ） 參考網站及資料： ‧Linux 網站: http://www.linux.org ‧Linux文件計劃網站： http://sunsite.unc.edu/mdw/linux.html （請查看 Linux 網路管理者指引） ‧鮮肉（Freshmeat）網站：提供最新版本的Linux軟體。 http://www.freshmeat.net ‧Linux 超鏈結網站： http://www.linuxlinks.com/Networking/

------
**********************************************************
哈哈&兵燹
最會的2大絕招 這個不會與那個也不會 哈哈哈 粉好

Delphi K.Top的K.Top分兩個字解釋Top代表尖端的意思,希望本討論區能提供Delphi的尖端新知
K.表Knowlege 知識,就是本站的標語:Open our mind