IBM p 系列管理员认证（Test 191）指南系列，第 8 部分：网络管理（上）

　　网络是两台或更多的计算机以及它们之间的连接链路的组合。物理网络是构成网络的硬件（设备，例如适配卡、网线和集线器）。软件和概念模型构成了逻辑网络。在这一部分中，您将了解在系统中管理 TCP/IP 的一些重要的方面，包括 IP 地址、网络守护进程，以及基本网络安全性。请注意，这一部分并未涵盖网络管理的所有范围。

　　启动时的网络初始化

　　在 IPL 时间，/init 进程将在启动 SRC 后运行 /etc/rc.tcpip。/etc/rc.tcpip 文件是一个 Shell 脚本，当它执行时，使用 SRC 命令初始化选定的守护进程。

　　它也可以在任何时间从命令行加以执行。

　　大多数可以由 rc.tcpip 文件进行初始化的守护进程都是特定于 TCP/IP 的。

　　这些守护进程包括：

　　inetd（在缺省情况下会启动）

　　gated

　　routed

　　named

　　timed

　　rwhod

　　注意：在一台主机上同时运行 routed 和 gated 会引起不可预知的结果。

　　还有一些特定于基本操作系统或其他应用程序的守护进程，也可以在 rc.tcpip 文件中启动。这些守护进程包括：

　　lpd

　　portmap

　　sendmail

　　syslogd（在缺省情况下会启动）

　　停止和重新启动 TCP/IP 守护进程

　　对于从 rc.tcpip 启动的子系统，可以使用 stopsrc 命令停止，并使用 startsrc 命令重新启动。

　　使用 /etc/tcp.clean 命令停止 TCP/IP 守护进程

　　脚本 /etc/tcp.clean 可用来停止 TCP/IP 守护进程。它将停止下列守护进程并删除 /etc/locks/lpd TCP/IP 锁定文件：

　　ndpd-host

　　lpd

　　routed

　　gated

　　sendmail

　　inetd

　　named

　　timed

　　rwhod

　　iptrace

　　snmpd

　　rshd

　　rlogind

　　telnetd

　　syslogd

　　请注意，脚本 /etc/tcp.clean 不停止 portmap 和 nfsd 守护进程。

　　若要停止 portmap 和 nfsd 守护进程，请使用 stopsrc -s portmap 和 stopsrc -s nfsd 命令。该 /etc/tcp.clean 文件的执行位在缺省情况下未打开。

　　您必须通过发出以下命令调用它：

sh /etc/tcp.clean

　　重新启动 TCP/IP 守护进程

　　/etc/rc.tcpip 脚本可用来重新启动 TCP/IP 守护进程。或者，可以使用 startsrc -s 命令来启动单独的 TCP/IP 守护进程。

　　注意：请不要使用以下命令重新启动 TCP/IP 守护进程：

　　startsrc -g tcpip

　　它将启动 ODM 中为 tcpip 组定义的所有子系统，其中包括 routed 和 gated。

　　不启动 rc.tcpip 的系统启动

　　使用 TCP/IP 的连接通常是点对点的。其中不存在主/从关系。但是，应用程序在通信中使用客户端/服务器模型。

　　删除 /etc/inittab 中的 rc.tcpip 条目意味着您在 IPL 期间不启动任何服务器应用程序。

　　注意：如果您拥有图形控制台，请确保同时删除 /etc/inittab 文件中的 rc.dt 和 rc.tcpip 条目。否则，您的控制台将在您登录时挂起。除非您拥有连接到串行端口的 ASCII 终端，否则系统将无法恢复，因为在未启动 TCP/IP 服务器应用程序的情况下，您将无法通过 telnet 或 rlogin 命令与计算机通信。

　　如果不启动服务器应用程序，您将无法通过 telnet 或 ftp 从另一台主机连接到这台计算机。

　　但是，只要尚未停止网络接口，您就仍然可以利用客户端网络服务。您仍然可以 ping 其他主机，可以通过 telnet 远程登录到其他主机，并且可以通过 ftp 连接到其他主机。

　　ping 命令发送Internet 控制消息协议（Internet Control Message Protocol，ICMP）ECHO_REQUEST 以从主机获取 ICMP ECHO_RESPONSE，并且不需要服务器应用程序。

　　因此，即使不启动任何服务器应用程序，计算机仍然会响应来自其他主机的 ping 请求。

　　inetd 守护进程

　　/usr/sbin/inetd 守护进程为网络提供 Internet 服务管理。

　　通过仅在需要时调用其他守护进程，以及在内部提供数个简单的 Internet 服务而不调用其他守护进程，该守护进程可减少系统负载。

　　启动和刷新 inetd

　　当该守护进程启动时，它从“Configuration File”参数中指定的文件处读取其配置信息。如果未指定该参数，inetd 守护进程将从 /etc/inetd.conf 文件读取其配置信息。

　　一旦启动，inetd 守护进程将侦听 /etc/inetd.conf 中的特定 Internet 套接字上的连接，并在其中某个套接字上接收到请求时，选择自己处理服务请求，或者调用适当的服务器。

　　可以通过使用系统管理界面工具 (SMIT)、系统资源控制器 (SRC) 或编辑 /etc/inetd.conf 来更新 /etc/inetd.conf 文件。

　　如果使用 SMIT 更改 /etc/inetd.conf，inetd 守护进程将自动刷新并读取新的 /etc/inetd.conf 文件。如果使用编辑器更改该文件，请运行 refresh -s inetd 或 kill -1 InetdPID 命令以通知 inetd 守护进程对其配置文件所做的更改。

　　如果您使用了如图 1 所示的 kill -1 命令，则不会收到消息。

　　图 1 使用 refresh 或 kill 刷新 inetd 守护进程

　　由 inetd 控制的子服务器

　　inetd 守护进程是一个子系统，它控制着下列守护进程（子服务器）：

　　comsat 守护进程

　　ftpd 守护进程

　　fingerd 守护进程

　　rlogind 守护进程

　　rexecd 守护进程

　　rshd 守护进程

　　talkd 守护进程

　　telnetd 守护进程

　　tftpd 守护进程

　　uucpd 守护进程

　　ftpd、rlogind、rexecd、rshd、talkd、telnetd 和 uucpd 守护进程在缺省情况下启动。tftpd、fingerd 和 comsat 守护进程在缺省情况下未启动。

　　若要启动其中任何一个守护进程，请在 /etc/inetd.conf 文件中删除相应条目的第一列的 # 字。可以通过使用 lssrc -ls 命令查看 inetd 中启动的子服务器的详细信息，如图 2 所示。

　　图 2 在 inetd 中启动的子服务器

　　/etc/services 文件

　　/etc/services 文件包含有关在 DARPA Internet 网络中由 inetd 使用的已知服务的信息。

　　在 /etc/services 中列出的每个服务都以特定格式（例如，TCP 或 UDP）在特定的通信端口号上运行。

　　每个服务单独在一行中列出，其对应格式如下：

ServiceName PortNumber/ProtocolName Aliases

　　/etc/services 中的示例部分可能如下所示：

echo 7/tcp
echo 7/udp
discard 9/tcp sink null
discard 9/udp　sink null
daytime 13/tcp
daytime 13/udp
chargen 19/tcp ttytst source
chargen 19/udp ttytst source
ftp 21/tcp
time 37/tcp timeserver
time 37/udp timeserver

　　如果编辑 /etc/services 文件，请运行 refresh -s inetd 命令以使您的更改生效。

　　停止 inetd

　　使用命令 stopsrc -s inetd 停止 inetd 守护进程，如图 3 所示。

　　图 3 停止 inetd

　　当 inetd 守护进程停止时，以前启动的子服务器进程不会受到影响。但是，针对这些子服务器的新服务请求不会再得到响应。如果尝试通过 telnet 或 ftp 连接到已关闭 inetd 的服务器，您将看到如图 4 所示的消息。

　　图 4 当 sv1166f 上的 inetd 关闭时对 Telnet 和 FTP 的响应

　　换言之，当 inetd 守护进程停止时，现有会话不会受到影响，但在重新启动 inetd 守护进程之前，无法建立新的 telnet 和 ftp 会话。

　　portmap 守护进程

　　portmap 守护进程将远程过程调用 (RPC) 程序编号转换为 Internet 端口号。

　　当 RPC 服务器启动时，向 portmap 守护进程注册。服务器通知守护进程它正在侦听的端口号，以及它为哪些 RPC 程序编号提供服务。因而，portmap 守护进程了解主机上每个已注册端口的位置，以及在各个端口上提供的程序。

　　对于客户端尝试调用的每个程序，客户端仅查询 portmap 守护进程一次。portmap 守护进程通知客户端向哪个端口发送调用。客户端存储此信息以供将来参考。

　　由于标准 RPC 服务器通常由 inetd 守护进程启动，因此在调用 inetd 守护进程之前必须启动 portmap 守护进程。

　　注意：如果 portmap 守护进程停止或异常终止，则必须重新启动主机上的所有 RPC 服务器。

　　nfsd 是常见的 RPC 服务器。

　　Internet 地址

　　如果希望您的计算机彼此通过 TCP/IP 网络进行通信，必须为它们提供唯一的 IP 地址。

　　为每台主机分配唯一的 32 位逻辑地址（如果是 IPv4），其包括两个主要部分：网络号和主机号。网络号标识主机所属的逻辑网络，在整个子网上必须相同。主机号标识位于特定逻辑网络上的某个主机。

　　IP 地址格式

　　IP 地址是 32 位地址，每 8 位分为一组，通过点号分隔，并以称为点分十进制表示法的十进制格式表示。八位字节中的每一位都具有一个二进制权重（128、64、32、16、8、4、2、1）。八位字节的最小值为 0，最大值为 255。图 5 显示了 IP 地址的基本格式。

　　图 5 IP 地址格式

　　二进制到十进制转换

　　每个字节中各个二进制位的十进制值从高到低排列，其中最左边的位具有最大值 128。若要将二进制值转换为十进制值，请将各位上值为 1 的位置所对应的十进制值相加。

　　图 6 显示了一个示例。

　　图 6 二进制到十进制转换

　　若要将数字转换为二进制格式，或从二进制格式转换到其他格式，可以使用 bc 命令。若要将值 195 转换为二进制格式，请输入：

# bc obase=2
195
11000011
若要将二进制数字 11001100 转换为十进制格式，请输入：
# bc ibase=2
11001100
204

　　Internet 地址类型

　　IP 寻址支持五种不同的地址类型：A、B、C、D 和 E 类。

　　A、B 和 C 类用于商业用途。您可以通过检查网络地址的第一个八位字节来确定某个 IP 地址的网络类型。

　　通过将 IP 地址的所有位转换为二进制格式并计算可用的主机数和网络数，您将得到与图 7 所示类似的数据。

　　图 7 IP 地址类型

　　若要确定某个 IP 地址的类型，请参考表 1。

　　表 1 IP 地址类型

　　例如，在 IP 地址 195.116.119.2 中，第一个八位字节为 195。

　　因为 195 位于 192 和 223 之间，所以 195.116.119.2 是 C 类地址。

　　A、B 和 C 类地址还提供了有助于定义不含 INTERNIC 授权的私有网络的地址范围。私有网络可以拥有下列地址范围：

　　A 类 10.0.0.0 至 10.255.255.255

　　B 类 172.16.0.0 至 172.31.255.255

　　C 类 192.168.0.0 至 192.168.255.255

　　特殊 Internet 地址

　　有少量 IP 地址不能用作主机地址。那些地址用于特殊场合。

　　环回（loopback）接口允许位于同一主机上的客户端和服务器彼此使用 TCP/IP 进行通信。具有网络地址 127 的 A 类网络保留用于环回接口 lo0。AIX 将 IP 地址 127.0.0.1 分配给此接口并为其指定名称 localhost。

　　若要查看任意接口的属性，请按如下所示使用 ifconfig 或 lsattr 命令：

# ifconfig lo0
lo0:
flags=e08084b<UP,BROADCAST,LOOPBACK,RUNNING,SIMPLEX,MULTICAST,GROUPRT,64BIT>
inet 127.0.0.1 netmask 0xff000000 broadcast 127.255.255.255
inet6 ::1/0
# lsattr -El lo0
netaddr 127.0.0.1 Internet Address True
state up Current Interface Status True
netmask Subnet Mask True
mtu 16896 Maximum IP Packet Size for This Device True
netaddr6 ::1 N/A True prefixlen Subnet Mask True

　　该网络地址是所有主机地址位均设为 0 的 IP 地址。如果您拥有 IP 地址 195.116.119.2，则接口的网络地址为 195.116.119.0。

　　这种类型的地址用作路由表中的网络目标地址。下面显示了一个路由表的示例（路由表中省略了 0）。

# netstat -nr
Routing tables
Destination　　Gateway　　Flags　　Refs　　Use If PMTU Exp Groups
Route Tree for Protocol Family 2 (Internet):
default　　 9.3.240.1　　UGc　　0　　0　　 tr0　　-　 -
9.3.240/24 9.3.240.58　 U　　　30 130787 tr0　　-　 -
127/8　　　 127.0.0.1　　 U　　　54 1300　 lo0　　-　 -
195.116.119/24 195.116.119.2 U 0 2　　　 en0　　-　 -

　　有限广播地址为 255.255.255.255（所有主机地址位和网络地址位均设为 1 的地址）。该地址可用作所有主机的目标地址，而不必考虑其网络号。路由器从不转发有限广播；它只出现在本地网络中。

　　定向广播地址是所有主机地址位均设为 1 的 IP 地址。它用于表示同一网络中的所有主机地址。

　　例如，IP 地址 195.116.119.2；因为它是 C 类地址，所以该地址的网络地址为 195.116.119。

　　因此，该网络的定向广播地址为 195.116.119.255。若要检查接口 en0 的广播设置，请输入：

# ifconfig en0
en0:
flags=e080863<UP,BROADCAST,NOTRAILERS,RUNNING,SIMPLEX,MULTICAST,GROUPRT,64BIT>
inet 195.116.119.2 netmask 0xffffff00 broadcast 195.116.119.255

　　表 1 中的最后一列显示了相应网络类型中的主机数。请注意，每个类型中减去了两台主机。这样做的目的是保留两个地址，其中一个用于广播地址，另一个用于网络地址。

　　子网划分

　　子网地址划分允许由多个系统构成的自治网络共享相同的 Internet 地址类。由于 TCP/IP 的子网容量很大，因此能够将单个网络划分为多个逻辑网络（子网）。

　　这适用于 A 类和 B 类地址，因为在单个网络中容纳数千台主机是不现实的。

　　标准 IP 地址包含两个字段：网络地址和主机地址。子网地址是通过从主机字段借位并将其指定为子网字段来创建的。所借子网位的数目各不相同，并取决于所选择的子网掩码。

　　图 8 显示如何从主机地址字段借位以创建子网地址字段，以及子网掩码的工作方式。

　　图 8 子网划分示例

　　当决定如何将主机地址划分为子网地址和主机地址时，您应当考虑子网的数目和这些子网中的主机数目。

　　您在分配子网地址和主机地址时拥有很大的灵活性。

　　可以根据需求、组织的潜在增长及其网络结构来划分主机地址的各个位。仅有的限制包括：

　　网络地址对于其所有子网都是不变的。

　　子网地址在整个物理网络中是不变的。

　　主机地址通常是至少 2 位宽的字段。

　　如果子网地址字段的宽度为 0，则网络未划分子网，而网络地址是使用 Internet 网络地址执行的，如“IP 地址格式”所述。

　　注意：通常子网位应当是相邻的，并且在主机地址的位中最为明显。

　　子网掩码

　　子网掩码为系统指示子网的划分方案。掩码由 IP 地址的网络地址部分和子网地址部分构成。

　　当主机向目标发送消息时，系统必须确定目标是与源位于同一网络上，还是必须通过网关才能抵达。系统使用子网掩码来比较目标地址和主机地址。如果目标不位于本地网络，则系统将该数据包发送至网关。网关执行相同的比较以确定目标地址是否位于可以从本地抵达的网络。

　　表 2 显示如何从二进制格式向点分十进制表示法计算子网掩码。

　　表 2 子网掩码计算

　　子网掩码的长度为 32 位。子网掩码中设为 1 的位表示该位是 IP 地址中网络地址的组成部分。子网掩码中设为 0 的位表示该位是 IP 地址中主机地址的组成部分。

　　每种类型的网络地址都有缺省的子网掩码设置（图 9）。某个地址类型使用具有缺省子网掩码的地址表示该网络未设置子网。

　　图 9 各种网络类型的缺省子网掩码

　　B 类地址子网划分示例

　　未划分子网的 B 类地址的缺省子网掩码为 255.255.0.0，而指定 3 位子网划分的 B 类地址 172.16.0.0 的子网掩码为 255.255.224.0。

　　其原因在于，用于子网划分的 3 位提供了 23- 2= 6（1 个用于网络地址，1 个用于广播地址）个可能的子网。第 3 个八位字节中的 5 位和第 4 个八位字节中的 8 位构成了总共 13 位主机地址。这为每个子网提供了 213- 2 = 8190 台主机。

　　图 10 显示了该地址的子网划分场景

　　表 3 显示了 B 类网络中基于子网位数的子网掩码、子网数和主机数。

　　表 3 B 类子网划分参考图表

　　C 类地址子网划分示例

　　指定 5 位子网划分的 C 类地址 192.168.2.0 的子网掩码为 255.255.255.248。有 5 位可用于子网划分，因此可提供 25- 2 = 30 个子网。

　　现在剩下 3 位作为主机位，因此为每个子网提供了 23- 2 = 6 台主机。

　　表 4 显示了基于子网位数的主机数、子网数和子网掩码。

　　表 4 C 类子网划分参考图表

　　由于文章篇幅的原因，我们将文章分为了 2 部分，请您继续访问下半部分。