网络与安全

申请弹性IP

操作步骤

1.登录控制台。在主导航“产品与服务”切换至“虚拟私有网络VPC”进入虚拟网络控制台。

2.在左侧导航选择“弹性公网IP”，在页面上点击“购买弹性公网IP”。

3.在申请EIP界面，设置“计费方式”和“带宽”后，购买即可。

4.申请成功后，会在EIP列表看到此弹性IP，并且处于未绑定状态。

绑定弹性IP

操作步骤

1.登录浪潮云服务控制台。

2.点击“产品与服务”选择“云服务器 ECS”，进入云服务器实例列表界面。

3.在需要绑定弹性IP的云服务器实例的操作栏中，点击“更多”-“公网IP”-“绑定”。

4.在弹出框中选择您需要绑定的弹性IP，单击“确定”即可完成与云服务器的绑定。

解绑弹性IP

操作步骤

1.登录浪潮云服务控制台。

2.点击“产品与服务”选择“云服务器 ECS”，进入云服务器实例列表界面。

3.在需要解绑弹性IP的云服务器实例的操作栏中，点击“更多”-“公网IP”-“解绑”。

4.单击“确定”，完成弹性IP的解绑。

释放弹性IP

当解绑弹性IP不需要时可以释放弹性IP，释放前需要先解绑弹性IP，只有按需付费的EIP可以释放，包年包月的不支持。

操作步骤

1.登录控制台。在主导航“产品与服务”切换至“弹性公网IP EIP”进入虚拟网络控制台。

2.在弹性公网IP列表中选择需要释放的EIP，在操作列中点击“更多”-“释放”。

3.在释放EIP页面，点击“确定”即可。

更新安全组

操作步骤

1.登录浪潮云服务控制台。

2.点击“产品与服务”选择“云服务器 ECS”，进入云服务器实例列表界面。

3.在需要更新的云服务器实例的操作栏中，点击“更多”-“安全组与网络”-“更新安全组”。

4.显示“更新安全组”弹框，选择新的安全组名称（可多选）。

5.安全组更新规则：

只能更新与当前服务器对应的安全组。
云服务器可以加入多个安全组，最多可加入5个安全组。
加入多个安全组的规则取并集，就是以范围大的为准。

6.点击“确定”，完成更新安全组的操作。

修改内网IP

操作步骤

1.登录浪潮云服务控制台。

2.点击“产品与服务”选择“云服务器 ECS”，进入云服务器实例列表界面。

3.在需要修改内网IP的云服务器实例的操作栏中，点击“更多”-“安全组与网络”-“修改内网IP”。

4.显示“修改内网IP”弹框，填入符合要求的内网IP。

5.修改内网IP规则：

云服务器必须是关机状态。
当前云服务器的子网不可更改。
指定的内网IP必须为子网网段中未被占用的内网IP。

6.点击“确定”，完成内网IP的修改。

变更云服务器虚拟私有网络VPC

处于已关机状态且实例的网络类型为专有网络、未开启ipv6服务的云服务器才能执行变更VPC操作。

操作步骤

1.登录控制台。在主导航 产品与服务 切换至 云服务器ECS 进入云服务器控制台。

2.在左侧导航选择 云服务器，选择需要更新安全组的云服务器，在操作列点击 更多-安全组与网络-变更VPC。

3.显示“变更VPC”弹框，选择目标私有网络、目标子网、目标安全组、目标内网IP。

4.变更VPC规则：

- 未开启IPv6服务
- 未绑定EIP/Vip/辅助弹性网卡资源
- 未作为负载均衡后端服务器

5.点击“确定”，完成变更VPC的修改。

配置弹性网卡

操作步骤

centos 7内配置示例

1、登录云服务器，执行以下命令：

cd /etc/sysconfig/network-scripts/

2、创建新网卡的配置文件ifcfg-eth1：

（1）输入命令：

cp ifcfg-eth0 ifcfg-eth1

（2）输入命令修改配置文件内容：

vim ifcfg-eth1

（3）把配置文件内容修改为：

DEVICE='eth1'

NAME = “eth1”    

ONBOOT='yes'

IPADDR='192.168.1.62'  # 根据实际填写，此处写弹性网卡上的地址

NETMASK='255.255.255.192'  #根据实际填写，此处写子网掩码      

HWADDR= ’00:00:00:00:00:00’ # 填写实际mac地址。

*GATEWAY='192.168.1.1'  #根据实际需要填写。因为eth0文件定义了网关，这里不再写网关，避免网关冲突

(4)修改后保存配置文件并退出。

3、关闭网卡arp代答和rp_filter校验。

(1)编辑配置文件

vim /etc/sysctl.conf

(2)加入以下配置：

net.ipv4.conf.all.arp_announce = 2

net.ipv4.conf.all.arp_ignore = 1

net.ipv4.conf.default.rp_filter = 2

net.ipv4.conf.all.rp_filter = 2

4、重启网络服务

systemctl restart network

5、配置路由

Linux 镜像还是默认都从主网卡发包，但是在多网卡场景下，希望数据包从哪个网卡进来，再从哪个网卡出去，所以需要配置策略路由。

以下针对某个网卡eth1来进行设置，eth1的ip addr地址为192.168.0.62

ip rule add from 192.168.0.62 table 111

ip route add default dev eth1 table 111

注意：如果在第二步的网卡配置文件内没有配置网关，则路由

ip route add default dev eth1 table 111需改为

ip route add default via 192.168.0.1(该网卡内网网关) dev eth1 table 111

*table 111为自定义table。不同的网卡定义不同的table

如果发现配置路由策略后不通，可执行以下步骤进行调试：

首先查看策略路由表是否成功下发：

ip rule show

然后查看每个策略路由表里的路由下发是否正确：

执行ip route show 111

上图发现路由表下的不正确，此时如果再下一条default路由，会出现冲突的提示，所以需要先删除该路由，执行：

ip route del default via 192.168.1.1 dev eth0 table 111

然后执行下发正确的策略路由：

ip route add default via 192.168.1.1 dev eth1 table 111

Ubuntu内配置示例

1、登录云服务器，执行以下命令：

cd /etc/network/

2、配置网卡文件

(1)输入命令：

vim interfaces

(2)把配置文件添加以下内容：

auto eth0

iface eth0 inet static

address 192.168.0.105

netmask 255.255.255.0

gateway 192.168.0.1

(3)修改后保存配置文件并退出。

3、关闭网卡arp代答和rp_filter校验。

(1)编辑配置文件

vim /etc/sysctl.conf

(2)加入以下配置：

net.ipv4.conf.all.arp_announce = 2

net.ipv4.conf.all.arp_ignore = 1

net.ipv4.conf.default.rp_filter = 2

net.ipv4.conf.all.rp_filter =2

4、重启网络服务

systemctl restart networking

注意：如果网卡重启失败，则重启虚机。

5、配置路由

Linux 镜像还是默认都从主网卡发包，但是在多网卡场景下，希望数据包从哪个网卡进来，再从哪个网卡出去，所以需要配置策略路由。

以下针对某个网卡eth1来进行设置，eth1的ip addr地址为192.168.0.15

ip rule add from 192.168.0.15 table 111

ip route add default dev eth1 table 111

注意：如果在第二步的网卡配置文件内没有配置网关，则路由

ip route add default dev eth1 table 111需改为

ip route add default via 192.168.0.1(该网卡内网网关) dev eth1 table 111

*table 111为自定义table。不同的网卡定义不同的table

注意：每一个网卡需都按照以上规则配置策略路由，实现数据包从哪个网卡进来，再从哪个网卡出去。

windows下的配置步骤

情况一：如果 Windows 操作系统设置了 DHCP，则无需配置，即能支持自动识别辅助网卡以及网卡上的 IP。

情况二：如果 Windows 操作系统没有设置 DHCP，则需要在操作系统内，把内网 IP 配上。

配置IPv6

操作步骤

centos虚机配置

1、通过控制台进入虚机

2、查看网卡IP

ifconfig eth0

如果网卡已经分配到了系统自动分配的v4和v6的ip，则不需进行以下任何配置的操作，说明该虚机支持IPv6的dhcp分配。

如果步骤1未分配到Ip地址，检查实例是否已开启 IPv6 服务，执行如下命令：

ip addr | grep inet6

或者

ifconfig | grep inet6

如果网卡没有任何inet6内容，说明没有开启IPV6服务，则需按照以下步骤开启。若返回inet6相关内容，表示实例已成功开启 IPv6 服务，您可以跳至第8步继续操作。

3、查看服务器是否加载ipv6模块

lsmod | grep ipv6

如没有任何回显，则说明没有加载

加载ipv6模块

modprobe ipv6

再次运行lsmod | grep ipv6，如出现回显，则说明ipv6已经正常加载

4、修改配置文件启用ipv6

vi /etc/modprobe.d/ipv6.conf

修改options ipv6 disable=0

备注：如果是centos5的系统，配置文件在vi /etc/modprobe.conf，注销

alias net-pf-10

alias ipv6 disable=1 这两行

如果是centos7以上无需执行该步骤。

5、检查内核是否已经支持ipv6

sysctl -a | grep ipv6 | grep disable

运行以上命令，查看有无回显，若有回显说明内核已经支持ipv6

若没有回显，重启服务器，使内核生效。

6、开启内核参数支持ipv6

执行如下命令，打开etc文件夹下的sysctl.conf文件。

vim /etc/sysctl.conf

编辑以下内容

net.ipv6.conf.all.disable_ipv6 = 0

7、执行如下命令，打开/etc/sysconfig/文件夹下的network文件。

vi /etc/sysconfig/network

增加以下内容

NETWORKING_IPV6=yes

8、配置静态IPv6地址。执行如下命令，打开/etc/sysconfig/network-scripts/文件夹下的ifcfg-eth0文件

（1）针对一些低版本如centos6系列，如果在/etc/sysconfig/network-scripts/文件夹下没有发现 ifcfg-eth0类似的文件，采用以下步骤：

`cp ifcfg-lo ifcfg-eth0`

编辑ifcfg-eth0，将以下内容替换掉ifcfg-eth0的所有内容

vim ifcfg-eth0

DEVICE=eth0
TYPE=Ethernet
BOOTPROTO=dhcp
ONBOOT=yes
DEFROUTE=yes
IPV6INIT=yes
IPV6_AUTOCONF=no
DHCPV6C=no
IPV6ADDR=2607:8888::8888:9999/120   // ipv6地址
IPV6_DEFAULTGW=2607:8888::8888:1    //ipv6网关地址

ifdown eth0 & ifup eth0

(2) 如果在/etc/sysconfig/network-scripts/文件夹下有发现 ifcfg-eth0类似的文件，则直接执行以下命令

vim /etc/sysconfig/network-scripts/ifcfg-eth0

增加以下内容（如果配置文件中已经有，无需增加）

BOOTPROTO=dhcp
ONBOOT=yes
DEFROUTE=yes
IPV6INIT=yes
IPV6_AUTOCONF=no
DHCPV6C=no
IPV6ADDR=2607:8888::8888:9999/120   // ipv6地址
IPV6_DEFAULTGW=2607:8888::8888:1    //ipv6网关地址

(3) 配置DHCP ipv6地址

vim /etc/sysconfig/network-scripts/ifcfg-eth0 增加以下内容（如果配置文件中已经有，无需增加）

DHCPV6C=yes
IPV6INIT=yes

获取网络地址

10、将NetworkManager工具先关闭（影响v6地址的获取）

service NetworkManager stop
ifdown eth0
ifup eth0
service NetworkManager start

11、查看接口是否有系统分配的ip。

ubuntu虚机配置

1、通过控制台进入虚机

2、检查实例是否已开启 IPv6 服务，执行如下命令：

ip addr | grep inet6 或者 ifconfig | grep inet6

如果网卡没有任何inet6内容，说明没有开启IPV6服务，则需按照以下步骤开启。若返回inet6相关内容，表示实例已成功开启 IPv6 服务，您可以跳至第6步继续操作。

3、查看服务器是否加载ipv6模块

lsmod | grep ipv6

如没有任何回显，则说明没有加载

加载ipv6模块

modprobe ipv6

再次运行lsmod | grep ipv6，如出现回显，则说明ipv6已经正常加载

4、检查内核是否已经支持ipv6

sysctl -a | grep ipv6 | grep disable

运行以上命令，查看有无回显，若有回显说明内核已经支持ipv6

若没有回显，重启服务器，使内核生效。

5、开启内核参数支持ipv6

执行如下命令，打开etc文件夹下的sysctl.conf文件。

vim /etc/sysctl.conf

编辑以下内容

net.ipv6.conf.all.disable_ipv6 = 0

运行sysctl –p使配置生效。

6、如果镜像类型为 Ubuntu 14/Ubuntu16，请执行如下操作配置 IPv6。运行如下命令，打开网卡配置文件。

vi /etc/network/interfaces

eth0为网卡标识符，需要修改成实际的标识符，在文件中根据实际信息添加以下配置：

auto eth0
iface eth0 inet6 static
address <IPv6地址>
netmask <子网前缀长度>
gateway <IPv6网关>

重启网络服务：运行service network restart 或 systemctl restart networking。

7、如果镜像类型为Ubuntu 18及以上版本，请执行如下操作配置 IPv6。编辑网卡配置文：vi /etc/netplan/50-cloud-init.yaml 添加 IPv6 地址和网关配置。注意：只添加 addresses 和 gateway6。

    network:
    version: 2
    ethernets:
      eth0:
        dhcp4: true                         //开启dhcp4
        match:
        macaddress: 52:54:00:75:ce:c2  //MAC地址
        set-name: eth0                      //网卡名
        addresses:
            - 2a00:7b80:454:2000::xxx/64    //设置IPv6地址和掩码
        gateway6: 2a00:7b80:454::1          //设置IPv6网关地址

执行命令使配置生效：netplan apply

8、重启网络，查看IP

windows配置

如下操作以 Windows 2012 为例：

1、登录云服务器实例，进入操作系统的【控制面板】>【网络和 Internet】>【网络和共享中心】，单击命名为“以太网”的网卡进行编辑。

2、在“以太网状态”弹窗中，单击【属性】。

3、在“以太网属性”弹窗中，选中【Internet 协议版本 6（TCP/IPv6）】并单击【属性】。

4、在“Internet 协议版本 6（TCP/IPv6）属性”弹窗中，手工输入步骤三中云服务器获取到的 IPv6 地址并设置 DNS（推荐使用240c::6666），单击【确定】。

5、在操作系统界面，选择左下角的开始按钮，单击，打开 “Windows PowerShell” 窗口，依次执行如下命令配置默认路由以及查看 IPv6 地址。

netsh interface ipv6 add route ::/0 "以太网"
Ipconfig

补充：虚机路由配置

1、执行ifconfig 命令

查看网卡已经分配到了系统自动分配的v4和v6的ip，如下所示，只分配到v4地址：192.168.2.19，没有分配v6地址。

2、配置路由

执行添加路由命令:

route –A inet6 add 2402:8cc0:200:102::/64 dev eth0

route –A inet6 add ::/0 gw 2402:8cc0:200:102::1

其中2402:8cc0:200:102::/64 为子网的Ipv6地址，2402:8cc0:200:102::1为子网的网关。

3、查看路由是否配置成功

route -6

4、ping子网Ipv6网关