Issuu on Google+

Linux Lab 30%

網路儲存系統 指導老師:林旺聰 顧問 彭學勤 老師 楊宏文 老師 組員:邱德彥、葉天生、張博涵、沈俞宏


2

建置目標

拓樸圖

任務分配

組員報告

硬體清單

總結

軟體清單

參考資料


3

任務分配 • 邱德彥

• 張博涵

• 葉天生

FreeNAS

Iptables

Xen

OpenVPN

• 沈俞宏


4

硬體規格 

Host主機硬體規格 

作業系統 

CPU 

Opensuse 11.3 AMD Phenom II X2 555 3.2GHz

RAM 

DDRIII 12G


5

軟體清單 

Xen 

建立規則使內外部可互相聯繫

FreeNAS ver 7.4919 

建置IPTABLES、FreeNAS、OpenVPN伺服器

IPTABLES 

ver 4.0.1

跨平台皆可使用的網路硬碟,並且使用Raid5確 保資料安全

OpenVPN ver 2.20 

使外部Client可建立VPN通道與公司內部連線 存取資料


6

拓樸圖


Xen建置目標 Xen簡介 Xen技術 Xen的運作環境 Xen安裝 Xen介面介紹


8

Xen建置目標 

建置三台OpenSuse 11.3   

Web Server (DMZ)

256MB

建置兩台Windows XP  

256MB 512MB 256MB

建置一台Suse Enterprise 10 

Client Iptables 外部VPN Client

Rsync Client 外部VPN Client

512MB 512MB

建置FreeNAS虛擬機器 256MB


9

虛擬化技術:Xen簡介  

使用在Linux/Unix的虛擬機器軟體 Xen VMM(virtual machine monitor):是 由開放原始碼共同推出的標準,可在同一 台硬體上同時跑多個作業系統,類似 Vmwave 優點:使強效型主機物盡其用,方便管理, 提高效率 Novell SLES10內含Xen3.0


10

虛擬化技術:Xen技術 

 

Xen3.0採用的虛擬技術為半虛擬化 (Paravirtualization) 效能更高,消耗系統資源少,大約佔3% 半虛擬化必須修改系統核心kernel故只能 在Linux-based的系統上運作,(原本也是 贊助商的微軟就退出了) 如果處理器能支援虛擬化,則kernel無需 異動如:intel的VT和AMD-V技術


11

Xen的運作環境1/3 

1.Linux 的核心修 改過後, 使用這 個修改過後的核 心開機,而開機 後先載入 Xen 的 監督器 (Hypervisor) , 並且啟動第一個 在上頭的作業系 統,我們稱他為 domain-0。


12

Xen的運作環境2/3 

2.Domain-0 含有 其他虛擬機器 Domain1,2啟動 所必須的控制指 令, 是所有虛擬 機器的來原,並 且 domain-0 也 是控制虛擬裝置 的重要主控系統。 其他虛擬機器就 依序被稱為 domain-1, domain-2


13

Xen的運作環境3/3 

3.domain-0是很 重要的,他直接 控制 Xen 的監督 器 (Hypervisor), 而且掌握了實際 的 Linux 驅動程 式 (drivers)。而 其他的虛擬機器 (domain-U) 則是 透過 Xen 監督器 來與實際的硬體 以及 domain-0 達成溝通。


14

安裝Xen過程

Xen安裝


Xen功能與介面 

Xen的介面與新增虛擬機器功能

15


IPTABLES Linux內建的防火牆工具


17

建置目標  

預設全部流量關閉 允許外部DNS查詢(udp 53port) 

允許SSH(22port) 

使內部網路可以外部DNS溝通 因firewall維護需求故開放內外部網路遠端登入

允許Web Server(http 80port) 

使內外部可與DMZ的WebServer連結


18

建置目標 

允許VPN(udp 1194port)  

允許Ping 

允許內外部網路的ICMP封包

允許FTP(20port、21port) 

允許外部電腦使用VPN 不允許內部電腦使用VPN

允許內外部網路可與FTP溝通

允許FreeNAS網頁 

避免80port有WebServer使用,故使用 88port,且不開放給外部連結


19

建置目標 

允許rsync(873port) 

FreeNAS備份檔案使用rsync,故允許rsync

允許Mail(465port) 

因內部無建置MailServer故允許內部連線外部 SMTP Server


20

IPTABLES簡介 

提供NAT及防火牆的軟體,內建於Linux中。 功能: - 根據封包位址及其他特性允許或限制封包的流 入流出。 - 為TCP、UDP 、ICMP封包保留狀態及資訊。 - 提供重新導向(redirection)。 - 提供封包header供使用者指定的程式認證。

根據制定規則(rule)以審核並監控封包的流 動。


21

IPTABLES介紹   

防火牆程式根據規則(rule)來處理封包 防火牆規則收集於不同的鏈(chain)中 不同的鏈存在於不同的表(table)中


22

IPTABLES介紹 

封包在chain的運作流程

FORWARD

PREROUTING

ROUTE

OUTPUT

ROUTE

POSTROUTING

INPUT OUT


23

IPTABLES介紹 

Iptables 內建四個 tables (及常用鏈):


24

IPTABLES介紹 

一個非本機封包於iptables處理流程


FreeNAS

負責人:邱德彥


26

什麼是NAS? NAS(Network Attached Storage) 一種專門的網路儲存技術的名稱 NAS設備用的通常是精簡版的OS


27

FreeNAS 

基於FreeBSD作業系統核心的開放原始碼 的網路儲存設備伺服器系統

支援眾多服務

使用者存取權限管理

提供網頁設定介面


28

FreeNAS的好處 

容易上手的管理介面

提供完整磁碟管理功能

支援多種服務,並且每日自動以Mail回報 系統狀態

容易建置及設備成本低


29

建置拓樸


30

建置拓樸


31

建置目標 

跨平台皆可使用的網路 硬碟,並且使用 Raid5確保資料安全

Client使用RSYNC備份資料到FreeNAS Server 建置公司網頁,並使用FTP管理

每日以Mail回報FreeNAS Server狀態


OPEN VPN


VPN 的作用 分享資料與資源

-檔案 -列印

保護資料傳輸的安全 -PPTP -L2TP -IPSec -SSL -TLS -….

33


34

OpenVPN簡介 Client / Server 架構 跨平台的完整應用 -Unix -BSD -Windows

-Linux -Mac OS

Port 1194

支援 Proxy、NAT、Push ( IP, Routed ) …


35

OpenVPN簡介 驗證方式 -金鑰與憑證 ( Key and Certificate ) -帳號與密碼 ( User ID and Password ) -LDAP -Radius

加密方式 -SSL / TLS ( OpenSSL ) -1024 bits ( Default )

傳送方式 -TCP / UDP -連線資料可壓縮傳送 ( LZO )

模組化設計


36

資料傳輸方式 OPEN VPN 會模擬出虛擬的網路裝置來進行資料的傳 輸,而其所使用的虛擬裝置為TUN/TAP drive 1.TUN 可視為虛擬的點對點裝置,就像一般家用的MODEM,ADSL一樣,使用 此裝置的模式稱為routed mode

2.TAP 可視為虛擬的Ethernet網路卡,可以透過此裝置啟動一個daemon來 接收ethernet訊框,稱為brige mode


37

建置拓樸


38

建置目標

允許Linux Client連入VPN Server

允許Windows Client 連入 VPN Server


39

參考資料 http://www.openvpn.net/ (openVPN官網) 網工班80期Linux LAB 第四組 PPT NM 350學長上課講義 林彥明先生Xen onSLES10 鳥哥的Linux私房菜 Wiki維基百科


40

謝謝收看


41


linux lab ppt