networking-overview-howto.txt

Linux百科宝典

   Consortium) 所提供 bind 套装程式的一部分。 相关资料请参考:
     * [55]BIND
     * [56]DNS How-to
       
6.7 DHCP, bootp 通讯协定

   DHCP 与 bootp 通讯协定, 允许用户端向伺服器索取网路资讯 (例如他们自己的
   IP 位址)。 有许多组织都开始来使用他, 因为他使得网路管理变的容易多了, 特
   别是在大型网路中, 或是网路上有很多机动的使用者。
   
   相关文件请参考:
     * [57]DHCP How-to
       
6.8 网路资讯服务 (NIS)

   网路资讯服务 (NIS) 提供, 一个简易的网路查询服务, 他是由资料库与处理程序
   所构成。 他的目的就是在提供资讯, 整个网路上所有必需知道的资讯, 给网路上
   所有的机器。 他使得一个使用者, 能够签入网路上任何一台执行 NIS 的机器,
   而不需要管理者为使用者, 在每台机器上加上密码, 只需加入到主资料库即可。
   
   相关的 How-tos 请参考:
     * [58]NIS How-to
       
6.9 认证服务

   在 Linux/window NT 混用的网路中, 有各种认证使用者的方法: 请参考
   [59]http://www.mindware.com.au/ftp/smb-NT-verify.1.1.tar.gz。 另外 PAM
   (可嵌入认证模组) 是一个具弹性的 UNIX 认证方法: 请参考 [60]PAM library。
   最後也请参考, [61]LDAP in Linux。
   
7. 远端执行应用程式服务

   UNIX 最惊人的特性之一 (迄今还是新手最不知道的事情之一) 就是他支援以远端
   和分散的方式, 来执行应用程式。
   
7.1 Telnet 的方式

   Telnet 是一个程式, 他让人们使用远端的电脑, 就好像是实际在该电脑面前一样
   。 Telnet 是 UNIX 上最强大的工具之一, 他使得真正的远端管理机器成为可能
   。 在使用者的观点中, 他也是个有趣的程式, 因为他让使用者能够在 Internet
   的任何地方, 以远端的方式取用其档案及程式。 将他与 X 伺服器合用, 不论是
   坐在控制操作台 (console) 前面, 或是地球的另一边, 感觉上并没有不同 (除了
   时间的延迟外)。 Telnet 伺服器监控程式 (daemons) 和用户端程式, 在大部
   Linux 的发行版本中都可以找到。
   
   想在远端操作介面 (remote shell) 的连线期间 (sessions) 将所有内容加密,
   可以透过 SSH (http://www.cs.hut.fi/ssh/) 的方式, 他让安全的远端管理工作
   成为可能。
   
   相关资料请参考:
     * [62]Telnet related software
       
7.2 远端下命令的方式

   在 Unix 中 , 特别是在 Linux 上, 远端命令方式的出现, 让我们能够透过操
   作"介面" (shell) 与远端的电脑沟通。例如: rlogin, 让我们能够以 telnet 类
   似的方法, 签入远端机器； rcp, 让我们能够与远端机器之间, 做远端的档案传
   输, ..等等。 最後顺便一提, 透过"远端操作介面" (remote shell) 下命令的程
   式 rsh, 让我们不必实际地签入远端机器, 就能在该机器上执行命令。
   
7.3 X-视窗的方式

   X 视窗系统於 1980 年代末期在 MIT 被发展出来, 他很快地成为 UNIX 图形工作
   站的工业标准。 这个软体可以免费取得, 他极具通用性, 而且适合执行的硬体平
   台□围广泛。 任何 X 视窗系统, 由二个不同的部分组成 -- X 伺服器与 1 或多
   个 X 用户端。 □解伺服器与用户端间不同之处在那里, 是件重要的事情。 伺服
   器直接控制萤幕的显示, 并且监控所有的输出入装置例如键盘, 滑鼠, 或萤幕。
   用户端, 则正好相反, 无法直接取用萤幕 - 他要透过伺服器, □能来操作所有的
   输出入动作。 用户端就是"真正"执行运算工作的地方 - 执行应用程式或是其他
   工作。 每当用户端与伺服器连线时, 伺服器就会开启一或多个视窗, 以便为该用
   户端, 操作输出入动作。
   
   简而言之, X 视窗系统让使用者能够签入远端机器, 执行行程 (process) (例如
   开启一个网页浏览程式), 并将其输出结果显示在自己的机器上。 因为行程
   (process) 实际是在用户端上执行, 伺服器端仅需要非常少量 CPU 计算能力。
   因此想要设计一部, 主要功能纯粹作为 X 视窗伺服器使用的, 电脑是可行的, 而
   他就是所谓的 X-终端机。 Linux 上存在有免费的 X 视窗系统移植程式套件, 你
   可以在: [63]Xfree 上找到。 该程式套件通常会附在大多数 Linux 的发行版本
   中。
   
   相关的 How-tos 请参考:
     * [64]Remote X Apps How-to
       
7.4 虚拟网路计算作业 (VNC) 的方式

   虚拟网路计算作业 (Virtual Network Computing, 简称 VNC)。 他基本上是一个
   远端显示系统, 让我们不仅在执行程式的机器上, 能看到计算作业的桌面环境,
   而且在 Internet 的任何地方, 即使使用各种不同的机器架构, 也都能看的到。
   Linux 以及许多其他的作业平台, 都存在有用户端与伺服器的程式。 你可能会在
   Windows NT 或 95 的机器上执行 MS-Word 程式, 而将输出结果显示在 Linux 机
   器上。 反之亦然, 你可能会在 Linux 机器上执行应用程式, 而将输出结果显示
   在别部 Linux 或 Windows 机器上。 你若有一个 Java 的用户端, 你也可以在网
   页浏览程式中, 执行远端显示的计算作业。 最後顺便一提, 你若使用一个移植到
   Linux 的 SVGAlib 图形程式库, 便可以让 386 的机器只要有 4 Mb 的少数记忆
   体, 就能够变成全功能的 X-终端机。
   
   相关资料请参考:
     * [65]VNC web site
       
8. Linux 对网路互连的支援

   Linux 的网路功能包罗万项。 一部 Linux 机器, 可以被建构成路由器
   (router), 桥接器 (bridge), ..等等。 特将一些可选用的网路功能描述於下:
   
8.1 路由器 (Router)

   Linux 的核心有内建的路由选择 (routing) 功能。 一部 Linux 机器, 可以被建
   构成一台 IP 或 IPX 路由器 (router) 他的花费仅是商业路由器 (router) 的零
   头而已。 最近发表的核心, 包含了一些特殊的功能选项, 都是用来设定路由器
   (router) 的:
     * 多目的传播 (Multicasting): 可让 Linux 机器成为一个, 将 IP 封包传播
       到多个目的位址的路由器 (router)。 使用 MBONE 时, 就需要这种路由器
       (router), MBONE 是 Internet 上, 一种需要高频宽的网路, 他能够载送声
       音和影像的广播信号。
     * 策略性 IP 路由选择 (IP policy routing): 一般路由器 (router) 处理所
       收到的封包时, 仅以封包的最终目的位址为路由选择的依据, 但是路由的选
       择, 也可以将来源位址与封包所抵达的网路介面, 一起纳入考虑。
       
   还有一些相关的计划, 包括一个主要目标在, 只要使用一片软碟就可以执行
   Linux 路由器 (router) 的计划: [66]Linux router project
   
8.2 桥接器 (Bridge)

   Linux 的核心有内建的乙太网路桥接器 (ethernet bridge) 支援, 他的作用就是
   让连接过来, 不同乙太网区段 (Ethernet segments) 上面的各个节点, 使用起来
   感觉就像是, 在同一个乙太网路上。 多部桥接器 (Bridge) 放在一起, 再加上
   IEEE802.1 标准的 spanning tree 演算法的使用, 可以建构一个更大的乙太网路
   。正如他是一个标准, Linux 桥接器 (bridge) 有了他之後, 可与其他第三协力
   厂商的桥接器 (bridge) 产品正常地互接。
   
   还有的程式套件, 可以过滤 IP, IPX 或 MAC 位址。
   
   相关的 How-tos 请参考:
     * [67]Bridge+Firewall
     * [68]Bridge
       
8.3 IP-伪装 (Masquerading) 功能

   IP 伪装在 Linux 上是一个发展中的网路功能。 如果一部 Linux 主机连接至
   Internet , 而且其 IP 伪装功能被开启, 则连上他的其他电脑 (不论是在相同的
   LAN 上, 或是透过数据机连上来的) 就算是他们没有使用正式分配的 IP 位址,
   都同样可以通达 Internet。 他降低了上网的费用, 因为可以多人使用同一条数
   据机连线来上 Internet, 同时他也增加了安全性 (从某些方面来看, 他的功能像
   是一个防火墙 (firewall), 因为外界网路无法连接, 非正式分配的 IP 位址)。
   
   IP 伪装的相关网页与文件:
     * [69]http://www.tor.shaw.wave.ca/~ambrose/
     * [70]http://www.indyramp.com/masq/links.pfhtml
     * [71]http://sunsite.unc.edu/mdw/HOWTO/mini/IP-Masquerade.html
       
8.4 IP-计帐 (Accounting) 功能

   这也是个 Linux 核心的选用功能。他被使用在 IP 网路流量的追踪, 封包的记
   录, 以及产生一些统计的结果。 你可以定义一系列的规则, 以便当比对到某种样
   式的封包时, 就增加计数器的数值。 例如, 这个封包是被接受/拒绝的..等等。
   
8.5 IP 别名(aliasing) 功能

   这个 Linux 核心所提供的功能, 使得我们可以在同一个低阶网路装置的驱动程式
   下, 设定多重的网路位址 (例如, 在一片乙太网路卡装置上, 设定二个 IP 位
   址)。 通常我们会依照, 伺服器程式所监看网路位址的不同, 而来区分不同的服
   务功能 (例如 "多重主机 (multihosting)" 或 "虚拟网域 (virtual domains)"
   或 "虚拟主机服务 (virtual hosting services)" )。
   
   相关的 How-to 请参考:
     * [72]IP Aliasing How-to
       
8.6 网路流量控制 (Traffic Shaping) 功能

   网路流量控制功能, 是一种虚拟的网路服务, 他可以限制输出到另一个网路装置
   的资料流速率。 这个功能在某些场合 (像是 ISP) 特别有用, 他被拿来控制与执
   行, 限制每个使用者可以使用多少频宽的策略。 另一个用途 (仅限於网页服务)
   就是某些 Apache 的模组, 可以拿来限制客户端建立 IP 连线的个数, 或是频宽
   的使用量。
   
8.7 防火墙 (Firewall) 功能

   防火墙是一个将私有网路, 从公众□围 (整个网际网路) 保护与独立出来的装置
   。 他的设计使他能够, 依据每个封包所含之来源位址, 目的位址, 埠, 以及封包
   形态等资讯, 来控制封包的流通与否。
   
   Linux 上存在有不同类型的防火墙工具套件 (toolkits) , 同时核心也有内建的
   防火墙支援。 除了核心内建的支援外, 还有 TIS 和 SOCKS 二种防火墙工具套件
   。 这二种防火墙工具套件非常完整, 若能与其他工具合并使用, 则可阻断/重导
   各类的网路流量与协定。 而且经由设定档案或 GUI 程式, 可以实作出不同的网
   路流量控制策略。 相关资料请参考:
     * [73]TIS home page
     * [74]SOCKS
     * [75]Firewall How-to
       
8.8 埠转递 (Port Forwarding) 功能

   有互动交谈能力网页站台越来越多了, 他们使用 cgi-bins 或 Java applets 程
   式, 来存取资料库或其他服务。 因为这类存取方式, 可能造成安全上的问题, 所
   以资料库所在的机器, 不应该直接连上 Internet。
   
   埠转递功能对这类存取问题, 提供了一个还算理想的解决方案。 透过防火墙, 进
   入到特定埠编号的 IP 封包, 可以被改写, 然後转递到内部实际提供服务的伺服
   器上。 内部伺服器所回覆的封包也会被改写, 使得他看起来是来自防火墙。
   
   埠转递的相关资料可以在 [76]这个地方 找到。
   
8.9 负载均衡 (Load Balancing) 功能

   通常资料库/网页的存取, 在多个用户端同时向一个伺服器提出服务要求时, 会有
   负载均衡的需求。 负载均衡的功能, 需要有多部相同的伺服器, 并将服务要求转
   送到负载较轻的伺服器上去。 我们可以透过网路位址转换 ( Network Address
   Translation, 简称 NAT ) 技术的子功能 IP 伪装来达到这个目的。 网路管理者
   可以用一个逻辑的伺服器集合, 来共享同一个 IP 位址的做法, 取代过去仅使用
   单一伺服器, 提供网页服务 - 或其他应用 - 的方式。 藉著使用负载均衡的演算
   方法, 将任何进来的连线要求, 转向至特定的伺服器上去。 这个虚拟的伺服器,
   会改写进来与出去的封包, 所以用户端对伺服器的存取是透通的, 他们会以为只
   有一台伺服器。
   
   Linux IP-NAT 的相关资料可以在 [77]这个地方 找到。
   
8.10 EQL (串列连线的负载均衡驱动程式)

   EQL 已被整合到 Linux 的核心中。 如果你有二条串列连线接到其他电脑 ( 这通
   常需要二部数据机和二门电话线路 ) ,而且你在线路上面使用 SLIP 或 PPP ( 可
   以在电话线路上, 传递 Internet 流量的通讯协定 ), 此时使用 EQL 驱动程式就
   可以将二条串列连线, 看成一条二倍速的连线。 当然, 另外一端也必须支援这个
   功能才可以。
   
   相关的 How-to 请参考:
     * [78]EQL How-to
       
8.11 代理伺服器 (Proxy Server)

   proxy (代理) 这个词汇的意义就是 "代替某些人做某些事"。在网路的用语中,
   代理伺服器就是一部可以代替许多用户端做事情的电脑。 HTTP proxy 就是一部
   专门接收别台机器 (机器 A) 所发出网页要求的机器。 代理伺服器会取得这份网
   页, 并将结果传回机器 A。 代理伺服器可以将这份网页, 存到快取记忆体
   (cache) 中, 如果其他机器所要求的网页, 在快取记忆体中正好有一份复本, 则
   只会将该复本传回。 这使得网路频宽资源能够有效运用, 而且降低了网页回覆的
   时间。 副作用就是, 用户端机器无法直接连线到外面世界的网路, 而这个副作用
   却成为内部网路保密的方法。 一个设定完善的代理伺服器, 就像是一部功能优良
   的防火墙。
   
   在 Linux 上存在有数种代理伺服器。 一个普遍的解决方案就是 Apache 的
   proxy 模组。另一个更完整与稳定的 HTTP proxy 工具程式就是 SQUID 。
   
   相关的资料请参考:
     * [79]Apache
     * [80]Squid
       
8.12 随选拨接 (Diald on demand) 功能

   随选拨接 (dial on demand) 功能, 使得电话拨接动作完全通透, 使用者只会看
   到有一条固定的网路线路, 被连接到远端的站台。 通常, 他会有一个监控程式来
   监看封包的流量。当 "感兴趣" 的封包 ( 所谓的 "感兴趣" 通常是由一套 规
   则/优先权/权限 来定义) 一抵达, 他就会与远端建立网路连线。而当通道□置一
   段时间後, 就会停掉网路的连线。