<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN"><HTML><HEAD><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=gb2312"> <META NAME="GENERATOR" CONTENT="SGML-Tools 1.0.7"> <TITLE>Linux 作業(yè)系統(tǒng)網(wǎng)路能力概觀: Linux 對(duì)網(wǎng)路互連的支援</TITLE> <LINK HREF="Networking-Overview-HOWTO-9.html" REL=next> <LINK HREF="Networking-Overview-HOWTO-7.html" REL=previous> <LINK HREF="Networking-Overview-HOWTO.html#toc8" REL=contents></HEAD><BODY><A HREF="Networking-Overview-HOWTO-9.html">Next</A><A HREF="Networking-Overview-HOWTO-7.html">Previous</A><A HREF="Networking-Overview-HOWTO.html#toc8">Contents</A><HR><H2><A NAME="s8">8. Linux 對(duì)網(wǎng)路互連的支援</A></H2><P>Linux 的網(wǎng)路功能包羅萬(wàn)項(xiàng)。一部 Linux 機(jī)器, 可以被建構(gòu)成路由器 (router), 橋接器 (bridge), ..等等。特將一些可選用的網(wǎng)路功能描述於下:<P><H2><A NAME="ss8.1">8.1 路由器 (Router)</A></H2><P>Linux 的核心有內(nèi)建的路由選擇 (routing) 功能。一部 Linux 機(jī)器, 可以被建構(gòu)成一臺(tái) IP 或 IPX 路由器 (router)他的花費(fèi)僅是商業(yè)路由器 (router) 的零頭而已。最近發(fā)表的核心, 包含了一些特殊的功能選項(xiàng), 都是用來(lái)設(shè)定路由器 (router) 的:<UL><LI>多目的傳播 (Multicasting):可讓 Linux 機(jī)器成為一個(gè), 將 IP 封包傳播到多個(gè)目的位址的路由器 (router)。使用 MBONE 時(shí), 就需要這種路由器 (router), MBONE 是 Internet 上, 一種需要高頻寬的網(wǎng)路, 他能夠載送聲音和影像的廣播信號(hào)。</LI><LI>策略性 IP 路由選擇 (IP policy routing):一般路由器 (router) 處理所收到的封包時(shí), 僅以封包的最終目的位址為路由選擇的依據(jù),但是路由的選擇, 也可以將來(lái)源位址與封包所抵達(dá)的網(wǎng)路介面, 一起納入考慮。</LI></UL><P>還有一些相關(guān)的計(jì)劃, 包括一個(gè)主要目標(biāo)在, 只要使用一片軟碟就可以執(zhí)行 Linux 路由器 (router) 的計(jì)劃: <A HREF="http://www.psychosis.com/linux-router/">Linux router project</A><P><H2><A NAME="ss8.2">8.2 橋接器 (Bridge)</A></H2><P>Linux 的核心有內(nèi)建的乙太網(wǎng)路橋接器 (ethernet bridge) 支援,他的作用就是讓連接過來(lái), 不同乙太網(wǎng)區(qū)段 (Ethernet segments) 上面的各個(gè)節(jié)點(diǎn),使用起來(lái)感覺就像是, 在同一個(gè)乙太網(wǎng)路上。多部橋接器 (Bridge) 放在一起, 再加上 IEEE802.1 標(biāo)準(zhǔn)的 spanning tree 演算法的使用, 可以建構(gòu)一個(gè)更大的乙太網(wǎng)路。正如他是一個(gè)標(biāo)準(zhǔn), Linux 橋接器 (bridge) 有了他之後, 可與其他第三協(xié)力廠商的橋接器 (bridge) 產(chǎn)品正常地互接。<P>還有的程式套件, 可以過濾 IP, IPX 或 MAC 位址。<P>相關(guān)的 How-tos 請(qǐng)參考:<UL><LI><A HREF="http://sunsite.unc.edu/mdw/HOWTO/mini/Bridge+Firewall.html">Bridge+Firewall</A></LI><LI><A HREF="http://sunsite.unc.edu/mdw/HOWTO/mini/Bridge.html">Bridge</A></LI></UL><P><H2><A NAME="ss8.3">8.3 IP-偽裝 (Masquerading) 功能</A></H2><P>IP 偽裝在 Linux 上是一個(gè)發(fā)展中的網(wǎng)路功能。 如果一部 Linux 主機(jī)連接至 Internet , 而且其 IP 偽裝功能被開啟,則連上他的其他電腦 (不論是在相同的 LAN 上, 或是透過數(shù)據(jù)機(jī)連上來(lái)的)就算是他們沒有使用正式分配的 IP 位址, 都同樣可以通達(dá) Internet。他降低了上網(wǎng)的費(fèi)用, 因?yàn)榭梢远嗳耸褂猛粭l數(shù)據(jù)機(jī)連線來(lái)上 Internet,同時(shí)他也增加了安全性 (從某些方面來(lái)看, 他的功能像是一個(gè)防火墻 (firewall),因?yàn)橥饨缇W(wǎng)路無(wú)法連接, 非正式分配的 IP 位址)。<P>IP 偽裝的相關(guān)網(wǎng)頁(yè)與文件: <UL><LI><A HREF="http://www.tor.shaw.wave.ca/~ambrose/">http://www.tor.shaw.wave.ca/~ambrose/</A></LI><LI><A HREF="http://www.indyramp.com/masq/links.pfhtml">http://www.indyramp.com/masq/links.pfhtml</A></LI><LI><A HREF="http://sunsite.unc.edu/mdw/HOWTO/mini/IP-Masquerade.html">http://sunsite.unc.edu/mdw/HOWTO/mini/IP-Masquerade.html</A></LI></UL><P><H2><A NAME="ss8.4">8.4 IP-計(jì)帳 (Accounting) 功能</A></H2><P>這也是個(gè) Linux 核心的選用功能。他被使用在 IP 網(wǎng)路流量的追蹤, 封包的記錄, 以及產(chǎn)生一些統(tǒng)計(jì)的結(jié)果。你可以定義一系列的規(guī)則, 以便當(dāng)比對(duì)到某種樣式的封包時(shí), 就增加計(jì)數(shù)器的數(shù)值。例如, 這個(gè)封包是被接受/拒絕的..等等。<P><H2><A NAME="ss8.5">8.5 IP 別名(aliasing) 功能</A></H2><P>這個(gè) Linux 核心所提供的功能, 使得我們可以在同一個(gè)低階網(wǎng)路裝置的驅(qū)動(dòng)程式下, 設(shè)定多重的網(wǎng)路位址 (例如, 在一片乙太網(wǎng)路卡裝置上, 設(shè)定二個(gè) IP 位址)。通常我們會(huì)依照, 伺服器程式所監(jiān)看網(wǎng)路位址的不同, 而來(lái)區(qū)分不同的服務(wù)功能(例如 "多重主機(jī) (multihosting)" 或 "虛擬網(wǎng)域 (virtual domains)" 或 "虛擬主機(jī)服務(wù) (virtual hosting services)" )。<P>相關(guān)的 How-to 請(qǐng)參考:<UL><LI><A HREF="http://sunsite.unc.edu/mdw/HOWTO/mini/IP-Alias.html">IP Aliasing How-to</A></LI></UL><P><H2><A NAME="ss8.6">8.6 網(wǎng)路流量控制 (Traffic Shaping) 功能</A></H2><P>網(wǎng)路流量控制功能, 是一種虛擬的網(wǎng)路服務(wù), 他可以限制輸出到另一個(gè)網(wǎng)路裝置的資料流速率。這個(gè)功能在某些場(chǎng)合 (像是 ISP) 特別有用, 他被拿來(lái)控制與執(zhí)行, 限制每個(gè)使用者可以使用多少頻寬的策略。另一個(gè)用途 (僅限於網(wǎng)頁(yè)服務(wù)) 就是某些 Apache 的模組, 可以拿來(lái)限制客戶端建立 IP連線的個(gè)數(shù), 或是頻寬的使用量。<P><H2><A NAME="ss8.7">8.7 防火墻 (Firewall) 功能</A></H2><P>防火墻是一個(gè)將私有網(wǎng)路, 從公眾□圍 (整個(gè)網(wǎng)際網(wǎng)路) 保護(hù)與獨(dú)立出來(lái)的裝置。他的設(shè)計(jì)使他能夠, 依據(jù)每個(gè)封包所含之來(lái)源位址, 目的位址, 埠, 以及封包形態(tài)等資訊, 來(lái)控制封包的流通與否。<P>Linux 上存在有不同類型的防火墻工具套件 (toolkits) , 同時(shí)核心也有內(nèi)建的防火墻支援。除了核心內(nèi)建的支援外, 還有 TIS 和 SOCKS 二種防火墻工具套件。這二種防火墻工具套件非常完整, 若能與其他工具合并使用, 則可阻斷/重導(dǎo)各類的網(wǎng)路流量與協(xié)定。而且經(jīng)由設(shè)定檔案或 GUI 程式, 可以實(shí)作出不同的網(wǎng)路流量控制策略。相關(guān)資料請(qǐng)參考:<UL><LI><A HREF="http://www.tis.com">TIS home page</A></LI><LI><A HREF="http://www.socks.nec.com/socksfaq.html">SOCKS</A></LI><LI><A HREF="http://sunsite.unc.edu/mdw/HOWTO/Firewall-HOWTO.html">Firewall How-to</A></LI></UL><P><H2><A NAME="ss8.8">8.8 埠轉(zhuǎn)遞 (Port Forwarding) 功能</A></H2><P>有互動(dòng)交談能力網(wǎng)頁(yè)站臺(tái)越來(lái)越多了, 他們使用 cgi-bins 或 Java applets 程式, 來(lái)存取資料庫(kù)或其他服務(wù)。因?yàn)檫@類存取方式, 可能造成安全上的問題, 所以資料庫(kù)所在的機(jī)器, 不應(yīng)該直接連上 Internet。<P>埠轉(zhuǎn)遞功能對(duì)這類存取問題, 提供了一個(gè)還算理想的解決方案。透過防火墻, 進(jìn)入到特定埠編號(hào)的 IP 封包, 可以被改寫, 然後轉(zhuǎn)遞到內(nèi)部實(shí)際提供服務(wù)的伺服器上。內(nèi)部伺服器所回覆的封包也會(huì)被改寫, 使得他看起來(lái)是來(lái)自防火墻。<P>埠轉(zhuǎn)遞的相關(guān)資料可以在<A HREF="http://www.ox.compsoc.net/~steve/portforwarding.html">這個(gè)地方</A>找到。<P><H2><A NAME="ss8.9">8.9 負(fù)載均衡 (Load Balancing) 功能</A></H2><P>通常資料庫(kù)/網(wǎng)頁(yè)的存取, 在多個(gè)用戶端同時(shí)向一個(gè)伺服器提出服務(wù)要求時(shí), 會(huì)有負(fù)載均衡的需求。負(fù)載均衡的功能, 需要有多部相同的伺服器, 并將服務(wù)要求轉(zhuǎn)送到負(fù)載較輕的伺服器上去。我們可以透過網(wǎng)路位址轉(zhuǎn)換 ( Network Address Translation, 簡(jiǎn)稱 NAT ) 技術(shù)的子功能IP 偽裝來(lái)達(dá)到這個(gè)目的。 網(wǎng)路管理者可以用一個(gè)邏輯的伺服器集合, 來(lái)共享同一個(gè) IP位址的做法, 取代過去僅使用單一伺服器, 提供網(wǎng)頁(yè)服務(wù) - 或其他應(yīng)用 - 的方式。藉著使用負(fù)載均衡的演算方法, 將任何進(jìn)來(lái)的連線要求, 轉(zhuǎn)向至特定的伺服器上去。這個(gè)虛擬的伺服器, 會(huì)改寫進(jìn)來(lái)與出去的封包, 所以用戶端對(duì)伺服器的存取是透通的,他們會(huì)以為只有一臺(tái)伺服器。<P>Linux IP-NAT 的相關(guān)資料可以在<A HREF="http://www.csn.tu-chemnitz.de/~mha/linux-ip-nat/diplom/">這個(gè)地方</A>找到。<P><H2><A NAME="ss8.10">8.10 EQL (串列連線的負(fù)載均衡驅(qū)動(dòng)程式) </A></H2><P>EQL 已被整合到 Linux 的核心中。 如果你有二條串列連線接到其他電腦 (這通常需要二部數(shù)據(jù)機(jī)和二門電話線路 ) ,而且你在線路上面使用 SLIP 或 PPP( 可以在電話線路上, 傳遞 Internet 流量的通訊協(xié)定 ), 此時(shí)使用 EQL 驅(qū)動(dòng)程式就可以將二條串列連線, 看成一條二倍速的連線。當(dāng)然, 另外一端也必須支援這個(gè)功能才可以。<P>相關(guān)的 How-to 請(qǐng)參考:<UL><LI><A HREF="http://www.abies.com/eql-howto.mhtml">EQL How-to</A></LI></UL><P><H2><A NAME="ss8.11">8.11 代理伺服器 (Proxy Server)</A></H2><P>proxy (代理)  這個(gè)詞匯的意義就是 "代替某些人做某些事"。在網(wǎng)路的用語(yǔ)中,代理伺服器就是一部可以代替許多用戶端做事情的電腦。 HTTP proxy 就是一部專門接收別臺(tái)機(jī)器 (機(jī)器 A) 所發(fā)出網(wǎng)頁(yè)要求的機(jī)器。 代理伺服器會(huì)取得這份網(wǎng)頁(yè), 并將結(jié)果傳回機(jī)器 A。 代理伺服器可以將這份網(wǎng)頁(yè), 存到快取記憶體 (cache) 中, 如果其他機(jī)器所要求的網(wǎng)頁(yè), 在快取記憶體中正好有一份復(fù)本, 則只會(huì)將該復(fù)本傳回。這使得網(wǎng)路頻寬資源能夠有效運(yùn)用, 而且降低了網(wǎng)頁(yè)回覆的時(shí)間。副作用就是, 用戶端機(jī)器無(wú)法直接連線到外面世界的網(wǎng)路, 而這個(gè)副作用卻成為內(nèi)部網(wǎng)路保密的方法。一個(gè)設(shè)定完善的代理伺服器, 就像是一部功能優(yōu)良的防火墻。<P>在 Linux 上存在有數(shù)種代理伺服器。 一個(gè)普遍的解決方案就是Apache 的 proxy 模組。另一個(gè)更完整與穩(wěn)定的 HTTP proxy 工具程式就是 SQUID 。<P>相關(guān)的資料請(qǐng)參考:<UL><LI><A HREF="http://www.apache.org">Apache</A></LI><LI><A HREF="http://squid.nlanr.net">Squid</A></LI></UL><P><H2><A NAME="ss8.12">8.12 隨選撥接 (Diald on demand) 功能</A></H2><P>隨選撥接 (dial on demand) 功能, 使得電話撥接動(dòng)作完全通透, 使用者只會(huì)看到有一條固定的網(wǎng)路線路, 被連接到遠(yuǎn)端的站臺(tái)。通常, 他會(huì)有一個(gè)監(jiān)控程式來(lái)監(jiān)看封包的流量。當(dāng) "感興趣" 的封包 (所謂的 "感興趣" 通常是由一套 規(guī)則/優(yōu)先權(quán)/權(quán)限 來(lái)定義) 一抵達(dá), 他就會(huì)與遠(yuǎn)端建立網(wǎng)路連線。而當(dāng)通道□置一段時(shí)間後, 就會(huì)停掉網(wǎng)路的連線。<P>相關(guān)的 How-to 請(qǐng)參考:<UL><LI><A HREF="http://sunsite.unc.edu/mdw/HOWTO/mini/Diald.html">Diald How-to</A></LI></UL><P><H2><A NAME="ss8.13">8.13 建立通訊協(xié)定隧道, 機(jī)動(dòng)式電腦 IP 路由選擇協(xié)定 (Mobile-IP) 與虛擬私有網(wǎng)路(Virtual Private Networks, 簡(jiǎn)稱 VPN)</A></H2><P>Linux 核心允許我們建立通訊協(xié)定隧道 (也就是說將通訊協(xié)定封裝起來(lái))。他可以在 IP 網(wǎng)路連線上建立 IPX 隧道, 這使得二個(gè) IPX 網(wǎng)路可以透過唯一的 IP網(wǎng)路連線互接。他也可以建立 IP-IP 隧道, 基本上是使用在"機(jī)動(dòng)式電腦 IP 路由選擇協(xié)定" 的支援, 多目的傳播的支援, 以及業(yè)馀無(wú)線電網(wǎng)路。 (請(qǐng)參考網(wǎng)頁(yè) <A HREF="http://sunsite.unc.edu/mdw/HOWTO/NET-3-HOWTO-6.html#ss6.13">http://sunsite.unc.edu/mdw/HOWTO/NET-3-HOWTO-6.html#ss6.13</A>)<P>"機(jī)動(dòng)式電腦 IP 路由選擇協(xié)定" 主要是針對(duì) Internet  上機(jī)動(dòng)式電腦的路由選擇作特別的設(shè)計(jì), 使得我們?cè)趥魉?IP "資料片段" (datagrams) 到機(jī)動(dòng)式電腦時(shí), 完全通透而不受影響。每個(gè)機(jī)動(dòng)式電腦的識(shí)別方式, 都是以他的 "原始位址" (home address) 來(lái)做為標(biāo)記, 而與他目前連接到 Internet 的那個(gè)節(jié)點(diǎn)無(wú)關(guān)。當(dāng)機(jī)動(dòng)式電腦不在他原始的位址上時(shí), 他會(huì)回傳一個(gè) "中介位址" (care-of address),經(jīng)由 "中介位址" 便可以知道該機(jī)動(dòng)式電腦, 目前連接到 Internet 的那個(gè)節(jié)點(diǎn)。機(jī)動(dòng)式電腦透過此協(xié)定向 "原始位址處理機(jī)構(gòu)" (home agent) 注冊(cè) "中介位址"。而 "資料片段" 會(huì)透過 "原始位址處理機(jī)構(gòu)" 的 IP-IP 隧道, 傳送至 "中介位址" 上去。當(dāng)資料抵達(dá)隧道的末端時(shí), 每個(gè) "資料片段" 會(huì)再傳遞至機(jī)動(dòng)式電腦上去。<P>點(diǎn)對(duì)點(diǎn)隧道通訊協(xié)定 (Point-to-Point Tunneling Protocol, 簡(jiǎn)稱 PPTP)就是在 Internet 上使用保密的虛擬私有網(wǎng)路 (VPN) 的一種網(wǎng)路技術(shù)。目前 Windows NT 伺服器, 已將 PPTP 與 "遠(yuǎn)端存取服務(wù)" (RAS) 伺服器整合在一起。透過 PPTP, 使用者可利用電話撥接至當(dāng)?shù)氐?ISP, 或直接連上 Internet,來(lái)取用自己公司的網(wǎng)路服務(wù), 使用起來(lái)感覺就好像是, 坐在自己的辦公桌前一樣。然而 PPTP 是一個(gè)封閉的通訊協(xié)定, 而且他的保密性最近也正遭受到質(zhì)疑。所以我還是強(qiáng)烈建議各位, 使用其他在 Linux 平臺(tái)上的解決方案,因?yàn)?Linux 上的解決方案, 使用的是開放的標(biāo)準(zhǔn), 并且都經(jīng)過仔細(xì)的檢查與測(cè)試。<P><UL><LI>在 Linux 上的 PPTP 用戶端工具可在<A HREF="http://www.pdos.lcs.mit.edu/~cananian/Projects/PPTP/">這個(gè)地方</A>找到。</LI></UL>Mobile IP 相關(guān)文件: <UL><LI> <A HREF="http://www-uk.hpl.hp.com/people/jt/mip.html">http://www-uk.hpl.hp.com/people/jt/mip.html</A></LI><LI> <A HREF="http://anchor.cs.binghamton.edu/~mobileip/">http://anchor.cs.binghamton.edu/~mobileip/</A></LI></UL>VPN 相關(guān)文件:<UL><LI> <A HREF="http://sunsite.unc.edu/mdw/HOWTO/mini/VPN.html">http://sunsite.unc.edu/mdw/HOWTO/mini/VPN.html</A></LI><LI> <A HREF="http://sites.inka.de/sites/bigred/devel/cipe.html">http://sites.inka.de/sites/bigred/devel/cipe.html</A></LI></UL><P><P><HR><A HREF="Networking-Overview-HOWTO-9.html">Next</A><A HREF="Networking-Overview-HOWTO-7.html">Previous</A><A HREF="Networking-Overview-HOWTO.html#toc8">Contents</A></BODY></HTML>