网络与安全

申请弹性IP

操作步骤

1.登录控制台。在主导航“产品与服务”切换至“虚拟私有网络VPC”进入虚拟网络控制台。

2.在左侧导航选择“弹性公网IP”,在页面上点击“购买弹性公网IP”。

3.在申请EIP界面,设置“计费方式”和“带宽”后,购买即可。

4.申请成功后,会在EIP列表看到此弹性IP,并且处于未绑定状态。

绑定弹性IP

操作步骤

1.登录浪潮云服务控制台。

2.点击“产品与服务”选择“云服务器 ECS”,进入云服务器实例列表界面。

3.在需要绑定弹性IP的云服务器实例的操作栏中,点击“更多”-“公网IP”-“绑定”。

4.在弹出框中选择您需要绑定的弹性IP,单击“确定”即可完成与云服务器的绑定。

解绑弹性IP

操作步骤

1.登录浪潮云服务控制台。

2.点击“产品与服务”选择“云服务器 ECS”,进入云服务器实例列表界面。

3.在需要解绑弹性IP的云服务器实例的操作栏中,点击“更多”-“公网IP”-“解绑”。

4.单击“确定”,完成弹性IP的解绑。

释放弹性IP

当解绑弹性IP不需要时可以释放弹性IP,释放前需要先解绑弹性IP,只有按需付费的EIP可以释放,包年包月的不支持。

操作步骤

1.登录控制台。在主导航“产品与服务”切换至“弹性公网IP EIP”进入虚拟网络控制台。

2.在弹性公网IP列表中选择需要释放的EIP,在操作列中 点击“更多”-“释放”。

3.在释放EIP页面,点击“确定”即可。

更新安全组

操作步骤

1.登录浪潮云服务控制台。

2.点击“产品与服务”选择“云服务器 ECS”,进入云服务器实例列表界面。

3.在需要更新的云服务器实例的操作栏中,点击“更多”-“安全组与网络”-“更新安全组”。

4.显示“更新安全组”弹框,选择新的安全组名称(可多选)。

5.安全组更新规则:

  • 只能更新与当前服务器对应的安全组。

  • 云服务器可以加入多个安全组,最多可加入5个安全组。

  • 加入多个安全组的规则取并集,就是以范围大的为准。

6.点击“确定”,完成更新安全组的操作。

修改内网IP

操作步骤

1.登录浪潮云服务控制台。

2.点击“产品与服务”选择“云服务器 ECS”,进入云服务器实例列表界面。

3.在需要修改内网IP的云服务器实例的操作栏中,点击“更多”-“安全组与网络”-“修改内网IP”。

4.显示“修改内网IP”弹框,选择内网IP。

5.修改内网IP规则:

  • 云服务器必须是关机状态。

  • 当前云服务器的子网不可更改。

  • 指定的内网IP必须为子网网段中未被占用的内网IP。

6.点击“确定”,完成内网IP的修改。

配置弹性网卡

操作步骤

centos 7内配置示例

1、登录云服务器,执行以下命令:

cd /etc/sysconfig/network-scripts/

2、创建新网卡的配置文件ifcfg-eth1:

(1)输入命令:

cp ifcfg-eth0 ifcfg-eth1

(2)输入命令修改配置文件内容:

vim ifcfg-eth1

(3)把配置文件内容修改为:

DEVICE='eth1'

NAME = “eth1”

ONBOOT='yes'

IPADDR='192.168.1.62' # 根据实际填写,此处写弹性网卡上的地址

NETMASK='255.255.255.192' #根据实际填写,此处写子网掩码

HWADDR= ’00:00:00:00:00:00’ # 填写实际mac地址。

*GATEWAY='192.168.1.1' #根据实际需要填写。因为eth0文件定义了网关,这里不再写网关,避免网关冲突

(4)修改后保存配置文件并退出。

3、关闭网卡arp代答和rp_filter校验。

(1)编辑配置文件

vim /etc/sysctl.conf

(2)加入以下配置:

net.ipv4.conf.all.arp_announce = 2

net.ipv4.conf.all.arp_ignore = 1

net.ipv4.conf.default.rp_filter = 2

net.ipv4.conf.all.rp_filter = 2

4、重启网络服务

systemctl restart network

5、配置路由

Linux 镜像还是默认都从主网卡发包,但是在多网卡场景下,希望数据包从哪个网卡进来,再从哪个网卡出去,所以需要配置策略路由。

以下针对某个网卡eth1来进行设置,eth1的ip addr地址为192.168.0.62

ip rule add from 192.168.0.62 table 111

ip route add default dev eth1 table 111

注意:如果在第二步的网卡配置文件内没有配置网关,则路由

ip route add default dev eth1 table 111需改为

ip route add default via 192.168.0.1(该网卡内网网关) dev eth1 table 111

*table 111为 自定义table。不同的网卡定义不同的table

如果发现配置路由策略后不通,可执行以下步骤进行调试:

首先查看策略路由表是否成功下发:

ip rule show

然后查看每个策略路由表里的路由下发是否正确:

执行ip route show 111

上图发现路由表下的不正确,此时如果再下一条default路由,会出现冲突的提示,所以需要先删除该路由,执行:

ip route del default via 192.168.1.1 dev eth0 table 111

然后执行下发正确的策略路由:

ip route add default via 192.168.1.1 dev eth1 table 111

Ubuntu内配置示例

1、登录云服务器,执行以下命令:

cd /etc/network/

2、配置网卡文件

(1)输入命令:

vim interfaces

(2)把配置文件添加以下内容:

auto eth0

iface eth0 inet static

address 192.168.0.105

netmask 255.255.255.0

gateway 192.168.0.1

(3)修改后保存配置文件并退出。

3、关闭网卡arp代答和rp_filter校验。

(1)编辑配置文件

vim /etc/sysctl.conf

(2)加入以下配置:

net.ipv4.conf.all.arp_announce = 2

net.ipv4.conf.all.arp_ignore = 1

net.ipv4.conf.default.rp_filter = 2

net.ipv4.conf.all.rp_filter =2

4、重启网络服务

systemctl restart networking

注意:如果网卡重启失败,则重启虚机。

5、配置路由

Linux 镜像还是默认都从主网卡发包,但是在多网卡场景下,希望数据包从哪个网卡进来,再从哪个网卡出去,所以需要配置策略路由。

以下针对某个网卡eth1来进行设置,eth1的ip addr地址为192.168.0.15

ip rule add from 192.168.0.15 table 111

ip route add default dev eth1 table 111

注意:如果在第二步的网卡配置文件内没有配置网关,则路由

ip route add default dev eth1 table 111需改为

ip route add default via 192.168.0.1(该网卡内网网关) dev eth1 table 111

*table 111为 自定义table。不同的网卡定义不同的table

注意:每一个网卡需都按照以上规则配置策略路由,实现数据包从哪个网卡进来,再从哪个网卡出去。

windows下的配置步骤

情况一:如果 Windows 操作系统设置了 DHCP,则无需配置,即能支持自动识别辅助网卡以及网卡上的 IP。

情况二:如果 Windows 操作系统没有设置 DHCP,则需要在操作系统内,把内网 IP 配上。

配置IPv6

操作步骤

centos虚机配置

1、 通过控制台进入虚机

2、 查看网卡ip

ifconfig eth0

如果网卡已经分配到了openstack的v4和v6的ip,则不需进行以下任何配置的操作,说明该虚机支持ipv6的dhcp分配。

如果步骤1未分配到Ip地址,检查实例是否已开启 IPv6 服务,执行如下命令:

ip addr | grep inet6

或者

ifconfig | grep inet6

如果网卡没有任何inet6内容,说明没有开启IPV6服务,则需按照以下步骤开启。若返回inet6相关内容,表示实例已成功开启 IPv6 服务,您可以跳至第8步继续操作。

3、查看服务器是否加载ipv6模块

lsmod | grep ipv6

如没有任何回显,则说明没有加载

加载ipv6模块

modprobe ipv6

再次运行lsmod | grep ipv6,如出现回显,则说明ipv6已经正常加载

4、修改配置文件启用ipv6

vi /etc/modprobe.d/ipv6.conf

修改options ipv6 disable=0

备注:如果是centos5的系统,配置文件在vi /etc/modprobe.conf,注销

alias net-pf-10

alias ipv6 disable=1 这两行

如果是centos7以上无需执行该步骤。

5、检查内核是否已经支持ipv6

sysctl -a | grep ipv6 | grep disable

运行以上命令,查看有无回显,若有回显说明内核已经支持ipv6

若没有回显,重启服务器,使内核生效。

6、开启内核参数支持ipv6

执行如下命令,打开etc文件夹下的sysctl.conf文件。

vim /etc/sysctl.conf

编辑以下内容

net.ipv6.conf.all.disable_ipv6 = 0

7、执行如下命令,打开/etc/sysconfig/文件夹下的network文件。

vi /etc/sysconfig/network

增加以下内容

NETWORKING_IPV6=yes

8、执行如下命令,打开/etc/sysconfig/network-scripts/文件夹下的ifcfg-eth0文件

vim /etc/sysconfig/network-scripts/ifcfg-eth0

增加以下内容(如果配置文件中已经有,无需增加)

DHCPV6C=yes

IPV6INIT=yes

获取网络地址

将NetworkManager工具先关闭(影响v6地址的获取)

service NetworkManager stop

ifdown eth0

ifup eth0

service NetworkManager start

9、查看接口是否有openstack分配的ip。

ubuntu虚机配置

1、通过控制台进入虚机

2、检查实例是否已开启 IPv6 服务,执行如下命令:

ip addr | grep inet6

或者

ifconfig | grep inet6

如果网卡没有任何inet6内容,说明没有开启IPV6服务,则需按照以下步骤开启。若返回inet6相关内容,表示实例已成功开启 IPv6 服务,您可以跳至 第6步 继续操作。

3、查看服务器是否加载ipv6模块

lsmod | grep ipv6

如没有任何回显,则说明没有加载

加载ipv6模块

modprobe ipv6

再次运行lsmod | grep ipv6,如出现回显,则说明ipv6已经正常加载

4、检查内核是否已经支持ipv6

sysctl -a | grep ipv6 | grep disable

运行以上命令,查看有无回显,若有回显说明内核已经支持ipv6

若没有回显,重启服务器,使内核生效。

5、开启内核参数支持ipv6

执行如下命令,打开etc文件夹下的sysctl.conf文件。

vim /etc/sysctl.conf

编辑以下内容

net.ipv6.conf.all.disable_ipv6 = 0

6、 编辑网卡文件

vim/etc/network/interfaces

增加以下内容

auto eth0

iface eth0 inet dhcp

iface eth0 inet6 dhcp

7、重启网络,查看Ip。

windows配置

如下操作以 Windows 2012 为例:

1、登录云服务器实例,进入操作系统的【控制面板】>【网络和 Internet】>【网络和共享中心】,单击命名为“以太网”的网卡进行编辑。

2、在“以太网状态”弹窗中,单击【属性】。

3、在“以太网属性”弹窗中,选中【Internet 协议版本 6(TCP/IPv6)】并单击【属性】。

4、在“Internet 协议版本 6(TCP/IPv6)属性”弹窗中,手工输入 步骤三 中云服务器获取到的 IPv6 地址并设置 DNS(推荐使用240c::6666),单击【确定】。

5、在操作系统界面,选择左下角的,单击 ,打开 “Windows PowerShell” 窗口,依次执行如下命令配置默认路由以及查看 IPv6 地址。

6、netsh interface ipv6 add route ::/0 "以太网"

Ipconfig

虚机路由配置

1、执行ifconfig 命令

查看网卡已经分配到了openstack的v4和v6的ip,如下所示,只分配到v4地址:192.168.2.19,没有分配v6地址。

2、配置路由

执行添加路由命令:

route –A inet6 add 2402:8cc0:200:102::/64 dev eth0

route –A inet6 add ::/0 gw 2402:8cc0:200:102::1

其中2402:8cc0:200:102::/64 为子网的Ipv6地址,2402:8cc0:200:102::1为子网的网关。

3、查看路由是否配置成功

route -6

4、ping子网Ipv6网关