網(wǎng)關(guān)環(huán)境搭建手冊(cè).doc

賽猊騰龍網(wǎng)關(guān)環(huán)境搭建手冊(cè)作者李雪松版本2.0日期2016.12.5一、安裝前準(zhǔn)備 31、物理環(huán)境 3二、環(huán)境準(zhǔn)備 31、系統(tǒng)安裝 32、硬件網(wǎng)絡(luò)搭建 153、系統(tǒng)安裝后初始化設(shè)置與環(huán)境檢查 17禁用圖形界面 17IP的設(shè)置 17確認(rèn)DNS 20時(shí)間/時(shí)區(qū)設(shè)置 21三、安裝網(wǎng)關(guān) 22四、異常處理 241、系統(tǒng)安裝時(shí)，開(kāi)機(jī)卡在Pressthekeytobegintheinstallationprocess界面 242、網(wǎng)關(guān)安裝時(shí)出現(xiàn)“warning：xxxxxx：NOKEY”提示 273、網(wǎng)關(guān)安裝完畢后無(wú)法ping通外部網(wǎng)絡(luò) 274、重啟后resolve.conf內(nèi)容被清空 285、rpm包安裝/卸載失敗 29附件 291、通用瀏覽器導(dǎo)入證書(shū)方式 29一、安裝前準(zhǔn)備1、物理環(huán)境服務(wù)器：華碩RS700-X7/PS4（最少雙網(wǎng)口）一臺(tái)顯示器：任意型號(hào)一臺(tái)測(cè)試機(jī)器：任意windows/linux系統(tǒng)一臺(tái)網(wǎng)線：普通若干Centos7安裝U盤(pán)一個(gè)2、軟件環(huán)境網(wǎng)關(guān)安裝包（3.0版本及以上）CentOS-7-x86_64-Everything-1511.ISO備注：網(wǎng)關(guān)不支持離線安裝。二、環(huán)境準(zhǔn)備1、系統(tǒng)安裝1.1、將顯示器與服務(wù)器連接后打開(kāi)電源1.2、在啟動(dòng)畫(huà)面出現(xiàn)時(shí)長(zhǎng)按DEL鍵（不同的機(jī)器有不同的按鍵，視具體情況而定），聽(tīng)到滴的一聲后松手。由于磁盤(pán)陣列的原因，系統(tǒng)會(huì)重復(fù)啟動(dòng)畫(huà)面多次，這是正?，F(xiàn)象。在多次循環(huán)后系統(tǒng)進(jìn)入BIOS界面。1.3、在BIOS中，進(jìn)入BOOT選項(xiàng)中，設(shè)置系統(tǒng)啟動(dòng)順序?yàn)閁盤(pán)先啟動(dòng)，保存配置后退出。1.4、步驟3退出后會(huì)繼續(xù)啟動(dòng)，當(dāng)出現(xiàn)Centos的安裝界面后選擇第一項(xiàng)InstallCentos7.1.5、選擇安裝語(yǔ)言后繼續(xù)1.6、在彈出的界面中選擇軟件選擇1.7、選擇最小安裝1.8、選擇安裝位置,手動(dòng)分區(qū)刪除原有分區(qū)信息：添加新分區(qū)：建議分區(qū)大?。?boot1G/bootbios1G/swap內(nèi)存大小的2倍/home任意大小/越大越好單擊完成，如提示警告等，再次單擊完成1.9、點(diǎn)擊開(kāi)始安裝，分別設(shè)置root密碼和用戶，安裝完成后重啟即可。1.10、重啟后可能有兩種情況，先說(shuō)第一種，單擊“LICENSEINFOEMATION”：步驟閱讀1.11、選中“Iacceptthelicenseagreement”后敲擊“Done”。1.12、單擊“FinishConfiguration”。161.13、Kdump建議開(kāi)啟。1.14、選擇“No.Iprefertoregisteratlatertime.”1.15、使用root用戶登陸，單擊未列出，輸入用戶名root,密碼為自己設(shè)置的密碼。注意：第9步重啟后，也有可能首先會(huì)進(jìn)到如下界面：這時(shí)候輸入1進(jìn)入許可證信息，再輸入2我接受許可協(xié)議輸入c繼續(xù)此時(shí)會(huì)出現(xiàn)licenseinformation(licenseaccepted),然后輸入c繼續(xù)，就可以進(jìn)入系統(tǒng)了。2、硬件網(wǎng)絡(luò)搭建網(wǎng)關(guān)有兩種安裝模式：代理模式代理模式中，網(wǎng)關(guān)的實(shí)際作用是一個(gè)代理服務(wù)器。在被監(jiān)控網(wǎng)絡(luò)中設(shè)置代理到網(wǎng)關(guān)服務(wù)器的ip上，通過(guò)網(wǎng)關(guān)上網(wǎng)。其他不設(shè)置代理的網(wǎng)絡(luò)應(yīng)用不受監(jiān)控。透明模式透明模式中，網(wǎng)關(guān)被監(jiān)控網(wǎng)絡(luò)是串行的，即與傳統(tǒng)網(wǎng)關(guān)相同，位于網(wǎng)絡(luò)出口出。被監(jiān)控網(wǎng)絡(luò)通過(guò)網(wǎng)關(guān)才可以上網(wǎng)。透明模式拓?fù)鋱D網(wǎng)關(guān)安裝有一些注意事項(xiàng)：1、安裝網(wǎng)關(guān)的機(jī)器需要最少需要兩個(gè)網(wǎng)卡2、網(wǎng)關(guān)安裝時(shí)需要聯(lián)網(wǎng)安裝，這里的聯(lián)網(wǎng)并非是指可以連接到公網(wǎng)，獲取公網(wǎng)IP，而是說(shuō)能夠獲取到IP，并與同網(wǎng)段內(nèi)其他機(jī)器正常通信即可。注：這外部網(wǎng)絡(luò)僅僅是相對(duì)于被監(jiān)控網(wǎng)絡(luò)來(lái)說(shuō)的，是邏輯上的概念，并非一定要是兩個(gè)物理上的內(nèi)外網(wǎng)。按照上述拓?fù)鋱D所示，透明網(wǎng)關(guān)與代理網(wǎng)關(guān)的硬件環(huán)境稍有不同，接下來(lái)開(kāi)始分別搭建這兩種環(huán)境。透明網(wǎng)關(guān)：首先將網(wǎng)關(guān)機(jī)器安裝好系統(tǒng)后，首先將其與外部網(wǎng)絡(luò)連接。確認(rèn)該網(wǎng)卡獲取到ip后即可。然后將網(wǎng)關(guān)的機(jī)器上的另一個(gè)網(wǎng)口與被監(jiān)控網(wǎng)絡(luò)的出口處連接。確認(rèn)網(wǎng)卡插口處指示燈亮即可。代理網(wǎng)關(guān)：將網(wǎng)關(guān)機(jī)器安裝好系統(tǒng)后，首先將其與外部網(wǎng)絡(luò)連接。確認(rèn)該網(wǎng)卡獲取到ip后即可。被監(jiān)控網(wǎng)絡(luò)原網(wǎng)絡(luò)環(huán)境無(wú)需改動(dòng)，等網(wǎng)關(guān)安裝完畢后在被監(jiān)控機(jī)器上導(dǎo)入網(wǎng)關(guān)證書(shū)即可。證書(shū)導(dǎo)入方式參見(jiàn)附件一：通用瀏覽器導(dǎo)入證書(shū)方式。3、系統(tǒng)安裝后初始化設(shè)置與環(huán)境檢查禁用圖形界面網(wǎng)關(guān)理論上是可以運(yùn)行在圖形界面開(kāi)啟的狀態(tài)下，但為了追求性能與減少干擾，關(guān)閉圖形界面是需要的。改名備份：mv/etc/systemd/system/default.target/etc/systemd/system/default.target.bak重新軟連接文本界面為啟動(dòng)默認(rèn)值界面：ln-sf/lib/systemd/system/multi-user.target/etc/systemd/system/default.target重啟機(jī)器：systemctlreboot禁用NetworkManager服務(wù)停止服務(wù)：systemctlstopNetworkManager禁用服務(wù)：systemctldisableNetworkManagerIP的設(shè)置 首先獲取機(jī)器上的網(wǎng)卡列表，使用命令”ipa”：在搭建好前面的硬件網(wǎng)絡(luò)環(huán)境后最終應(yīng)該獲取到的網(wǎng)卡狀態(tài)和上圖應(yīng)該類似（前面框的是網(wǎng)卡名，后面是狀態(tài)）：有兩個(gè)網(wǎng)卡的狀態(tài)如圖所示是“UP”的，同時(shí)，一個(gè)網(wǎng)卡有IP，另外一個(gè)沒(méi)有IP。這是由于與外網(wǎng)相連的網(wǎng)卡可以獲取到IP，而與內(nèi)網(wǎng)（被監(jiān)控網(wǎng)絡(luò)）相連的網(wǎng)卡，是無(wú)法獲取到IP的。問(wèn)題1：網(wǎng)卡的狀態(tài)是DOWN，并非是“UP”原因1：網(wǎng)線沒(méi)有插好，或者網(wǎng)線壞了，請(qǐng)檢查物理環(huán)境，包括網(wǎng)線，網(wǎng)卡等。原因2：網(wǎng)卡被關(guān)閉了。使用“ifconfig網(wǎng)卡名up”命令啟用網(wǎng)卡，有時(shí)候反應(yīng)比較慢，多敲幾次，稍等一下就可以看到網(wǎng)卡狀態(tài)up了。問(wèn)題2：與外網(wǎng)連接的網(wǎng)卡沒(méi)有獲取到ip原因1：原來(lái)的物理環(huán)境有問(wèn)題，就是獲取不到ip。換一臺(tái)筆記本或者臺(tái)式機(jī)連接到外網(wǎng)接口，如果獲取不到ip則說(shuō)明物理環(huán)境有問(wèn)題，需要排查。原因2：網(wǎng)卡設(shè)置不正確。使用命令“cat/etc/sysconfig/network-scripts/ifcfg-網(wǎng)卡名”查看網(wǎng)卡設(shè)置：注意其中BOOTPROTO是否為dhcp，ONBOOT是否為yes。如果不是，需要修改為動(dòng)態(tài)獲取ip,如果有IPADDR和NETMASK，使用“#”將其注釋。修改完畢后，保存退出，使用命令“systemctlrestartnetwork”重啟網(wǎng)絡(luò)，如果報(bào)錯(cuò)，檢查是否拼寫(xiě)錯(cuò)誤。沒(méi)有拼寫(xiě)錯(cuò)誤且重啟網(wǎng)絡(luò)失敗，直接重啟電腦。原因3：網(wǎng)卡需要設(shè)置靜態(tài)IP地址。使用命令“cat/etc/sysconfig/network-scripts/ifcfg-網(wǎng)卡名”查看網(wǎng)卡設(shè)置，將BOOTPROTO的值修改為static。如果沒(méi)有以下四行，將其添加到配置文件IPADDR=xxx.xxx.xxx.xxx#需要固定的IP地址NETMASK=xxx.xxx.xxxx.xxx#掩碼值DNS1=xxx.xxx.xxx.xxx#dnsGATEWAY=xxx.xxx.xxx.xxx#網(wǎng)關(guān)地址修改完畢后應(yīng)當(dāng)如下：修改完畢后，保存退出，使用命令“systemctlrestartnetwork”重啟網(wǎng)絡(luò)，如果報(bào)錯(cuò)，檢查是否拼寫(xiě)錯(cuò)誤。沒(méi)有拼寫(xiě)錯(cuò)誤且重啟網(wǎng)絡(luò)失敗，直接重啟電腦。確認(rèn)DNSLinux下設(shè)置DNS的位置主要是，1.網(wǎng)卡設(shè)置配置文件里面DNS服務(wù)器地址設(shè)置文件位置：/etc/sysconfig/network-scripts/ifcfg-網(wǎng)卡名2.系統(tǒng)默認(rèn)DNS服務(wù)器地址設(shè)置文件位置：/etc/resolv.conf3.hosts文件指定,通過(guò)設(shè)置主機(jī)表地址進(jìn)行特定主機(jī)的解析。文件位置：/etc/hosts生效順序是：hosts文件網(wǎng)卡配置文件DNS服務(wù)地址/etc/resolv.conf一般來(lái)說(shuō)，hosts文件不會(huì)更改，使用默認(rèn)的hosts文件即可。刪除網(wǎng)卡配置文件中的DNS選項(xiàng)，使用系統(tǒng)中的默認(rèn)DNS。使用命令：systemctlstopNetworkManager.service和systemctldisableNetworkManager.service關(guān)閉并禁用NetworkManager。時(shí)間/時(shí)區(qū)設(shè)置使用命令date-R來(lái)查看當(dāng)前時(shí)區(qū)：可以看到處于東八區(qū)(+8)。設(shè)置時(shí)區(qū)：/user/share/zoneinfo目錄下存著全世界的時(shí)區(qū)文件，需要使用哪個(gè)就用這個(gè)文件替換/etc/localtime就可以了：例如：在設(shè)置中國(guó)時(shí)區(qū)使用亞洲/上海（+8）cp/usr/share/zoneinfo/Asia/Shanghai/etc/localtime注意如果有時(shí)候，執(zhí)行了上面命令后，使用date-R發(fā)現(xiàn)時(shí)區(qū)設(shè)置沒(méi)有生效，有可能是因?yàn)槟阍趐rofile或.bash_profile里面設(shè)置了TZ，包含類似如下命令：TZ=Asia/Shanghai;exportTZ其優(yōu)先級(jí)高于/etc/localtime文件，所以需要清除這一句。設(shè)置日期時(shí)間：Date-s”年月日時(shí)分秒”date-s2016120118:30:50就可以設(shè)置日期了，然后通過(guò)hwclock-w從當(dāng)前系統(tǒng)時(shí)間設(shè)置硬件時(shí)鐘，同步BIOS時(shí)鐘，強(qiáng)制將系統(tǒng)時(shí)間寫(xiě)入CMOS，使之永久生效，避免系統(tǒng)重啟后恢復(fù)成原時(shí)間。三、安裝網(wǎng)關(guān)進(jìn)入系統(tǒng)中，解壓網(wǎng)關(guān)的安裝包。進(jìn)入解壓后的目錄中執(zhí)行shsetup.sh后，會(huì)預(yù)裝一些依賴環(huán)境。隨后，輸入server的ip(即本機(jī)ip)和在server上配置好的key接下來(lái)就選擇安裝網(wǎng)關(guān)的模式了：1、bridge：透明代理模式2、Nat：顯性代理模式如果在這里選擇2那么接下來(lái)就結(jié)束安裝，選擇是否重啟。接下來(lái)重點(diǎn)講述透明模式。透明模式需要設(shè)置一個(gè)網(wǎng)橋，網(wǎng)橋的作用是將兩個(gè)網(wǎng)卡連接起來(lái)，將一個(gè)網(wǎng)卡的數(shù)據(jù)傳到另一塊網(wǎng)卡上，邏輯上來(lái)說(shuō)就相當(dāng)于把兩個(gè)網(wǎng)卡的網(wǎng)線連接起來(lái)，網(wǎng)卡可以當(dāng)作不存在，是透明的。首先輸入網(wǎng)橋的名稱：然后選擇連接著被監(jiān)控網(wǎng)絡(luò)的那個(gè)網(wǎng)卡：接下來(lái)選擇連接著外部網(wǎng)絡(luò)的那個(gè)網(wǎng)卡：為網(wǎng)橋設(shè)置固定ip，子網(wǎng)掩碼，和網(wǎng)關(guān)：選擇是否重啟即可。注：網(wǎng)橋的ip設(shè)置和普通網(wǎng)卡設(shè)置靜態(tài)ip相同，網(wǎng)橋設(shè)置完成后原來(lái)的兩個(gè)網(wǎng)卡的ip就會(huì)消失?？梢酝ㄟ^(guò)網(wǎng)橋的ip來(lái)遠(yuǎn)程訪問(wèn)該機(jī)器。四、異常處理1、系統(tǒng)安裝時(shí)，開(kāi)機(jī)卡在Pressthekeytobegintheinstallationprocess界面這是由于安裝時(shí)系統(tǒng)找不到U盤(pán)導(dǎo)致的，解決方案如下：在開(kāi)機(jī)進(jìn)入下圖中安裝界面的時(shí)候，按TAB鍵。會(huì)在下方出現(xiàn)一行命令，如下圖：網(wǎng)上很多文章都說(shuō)這一步改成“vmlinuzinitrd=initrd.imginst.stage2=hd:/dev/sdbquiet”，然后失敗了會(huì)出現(xiàn)下圖提示在#后面輸入：cd/dev，然后會(huì)看到如下界面，找到自己U盤(pán)的盤(pán)符：然后關(guān)機(jī)重啟，重新進(jìn)入安裝界面，按TAB鍵，將出現(xiàn)的命令中”inst.stage2=hd:/dev/”后面的數(shù)據(jù)改為U盤(pán)的盤(pán)符即下面黃色部分，回車即可：vmlinuzinitrd=initrd.imginst.stage2=hd:/dev/sdb4quiet如果不知道如何看自己U盤(pán)盤(pán)符的話，還有另外一個(gè)辦法：將TAB出來(lái)的文字修改為：vmlinuzinitrd=initrd.imglinuxddquiet，回車 可以看到上圖中l(wèi)abel為Centos7的即為U盤(pán)，其盤(pán)符為sdc4。重復(fù)之前的步驟，開(kāi)機(jī)后進(jìn)入安裝界面時(shí)，按TAB鍵，將出現(xiàn)的命令中將出現(xiàn)的命令中”inst.stage2=hd:/dev/”后面的數(shù)據(jù)改為U盤(pán)的盤(pán)符，回車即可。2、網(wǎng)關(guān)安裝時(shí)出現(xiàn)“warning：xxxxxx：NOKEY”提示這是由于yum安裝了舊版本的GPGkeys造成的，解決辦法就是rpm-import/etc/pki/rpm-gpg/RPM*3、網(wǎng)關(guān)安裝完畢后無(wú)法ping通外部網(wǎng)絡(luò)由于DNS沒(méi)有配置導(dǎo)致的無(wú)法連通網(wǎng)絡(luò)。修改/etc/resolv.conf文件，添加一行：nameserverxxx.xxx.xxx.xxxNameserver后面填寫(xiě)一個(gè)dns服務(wù)器地址，目前常用的一些dns地址如下：阿里DNS223.5.5.5223.6.6.6百度DNS180.76.76.76谷歌DNS8.8.8.8OpenDNS208.67.220.220如果公司內(nèi)部有自己的DNS服務(wù)器，也可以使用公司自己的DNS服務(wù)，修改完畢后，大致內(nèi)容如下：修改完畢后使用命令“systemctlrestartnetwork”重啟網(wǎng)絡(luò)。4、重啟后resolve.conf內(nèi)容被清空網(wǎng)絡(luò)或主機(jī)重啟時(shí)，會(huì)自動(dòng)重新生成resolv.conf文件，要想舊的文件不被覆蓋的話，方法一：運(yùn)行如下命令：sudochattr+i/etc/resolv.conf即可。方法二：vim/etc/sysconfig/network-scripts/ifcfg-網(wǎng)卡名,直接在這里面設(shè)置DNS,格式就是DNS1=X.X.X.XDNS2=X.X.X.X。其優(yōu)先級(jí)高于resolve.conf.5、rpm包安裝/卸載失敗由于安裝/卸載時(shí)，rpm數(shù)據(jù)庫(kù)狀態(tài)與實(shí)際狀態(tài)不符合，或者誤刪了某些目錄導(dǎo)致。先清除rpm數(shù)據(jù)庫(kù)里的記錄：rpm-erpm包名-justdb然后刪除安裝目錄下的文件即可。以WEB-DLP為例：rpm-erpmWEB-DLP-justdbrm-rf/opt/synitalent/ssgw附件1、通用瀏覽器導(dǎo)入證書(shū)方式一、IE、chrome、edge使用的是操作系統(tǒng)的證書(shū)（系統(tǒng)）。firefox使用它自已的證書(shū)系統(tǒng)。1、IE、chrome、edge操作方法a.