当前位置: 首页 > 图文教程 > 服务器 > Linux服务器 > Linux下的CIPE服务器配置

Linux服务器
Linux上双网卡绑定方法(Suse9SP3)
Linux操作系统调优参数的意义
Linux下使用SSH客户端及其Sftp文件传送
教你恢复被误删除的Linux文件
SQL Server注入大全及防御
Linux无法解析域名的解决办法
Linux系统下安装和配置MyEclipse的方法
Ubuntu下VirtualBox 1.4.0设置文件共享
Windows与Linux系统共享StarDict字典文件
修改Linux下相关的登陆信息
Windows通过SecureCRT远程登录Linux主机
Linux操作系统如何修改SWAP交换区的大小
Linux操作系统下为Apache目录添加密码
Linux时间设置与同步(NTP)
Linux内核补丁AMD旁路转换缓冲(TLB)错误
Linux架设DHCP服务器的方法
Fedora 8下Apache配置与管理
Linux操作系统下用单网卡捆绑双IP的方法
Ubuntu Linux系统环境变量配置文件
SUSE Linux中将Tomcat作为Service运行

Linux服务器 中的 Linux下的CIPE服务器配置


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-18   浏览: 35 ::
收藏到网摘: n/a


把位于/usr/share/doc/cipe-version/samples/的配置文件范例复制到/etc/cipe/中(这里的version是安装在你的系统上的CIPE版本)。复制完毕后,你将需要编辑/etc/cipe/options.cipcbx(x是从0开始的递增数字,为那些想要在CIPE服务器上不止有一个CIPE连接的客户提供)文件来包括你的LAN子网地址和可公共选路的防火墙IP地址。以下是包括在红帽企业LinuxCIPERPM中的options文件范例。在这个例子中,它被重命名为options.cipbcb0:

#Surprise,thisfileallowscomments(butonlyonalinebythemselves)
#Thisisprobablytheminimalsetofoptionsthathastobeset
#Withouta"device"line,thedeviceispickeddynamically

#thepeer'sIPaddress
ptpaddr6.5.4.3

#ourCIPEdevice'sIPaddress
ipaddr6.7.8.9

#myUDPaddress.Note:ifyousetport0here,thesystemwillpick
#oneandtellittoyouviatheip-upscript.SameholdsforIP0.0.0.0.
mebigred.inka.de:6789

#...andtheUDPaddressweconnectto.Ofcoursenowildcardshere.
peerblackforest.inka.de:6543

#Thestatickey.Keepthisfilesecret!
#Thekeyis128bitsinhexadecimalnotation.
keyxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

ptpaddr是远程LAN的CIPE地址。ipaddr是工作站的CIPEIP地址。me地址是客户的可公共选路的IP地址,它通过互联网发送UDP分组。peer是CIPE服务器的可公共选路的IP地址。注意,客户工作站的IP地址是0.0.0.0,因为它使用动态连接。CIPE客户将会处理到CIPE服务器的连接。key字段(用x代表;你的钥匙应该是密钥)是共享静态钥匙。这个钥匙在两个对端上必须是相同的,否则连接就不能成立。关于如何为你的CIPE机器生成共享静态钥匙,请参阅第6.8节。

这是客户工作站将会使用的被编辑过的/etc/cipe/options.cipcb0:

ptpaddr10.0.1.2
ipaddr10.0.1.1
me0.0.0.0
peerLAN.EXAMPLE.COM:6969
key123456ourlittlesecret7890shhhh

这是CIPE服务器的/etc/cipe/options.cipcb0文件:

ptpaddr10.0.1.1
ipaddr10.0.1.2
meLAN.EXAMPLE.COM:6969
peer0.0.0.0
key123456ourlittlesecret7890shhhh
配置客户的CIPE

成功地配置了CIPE服务器并测试了它的功能后,你现在就可以在客户机器上使用这种连接了。

CIPE客户应该能够自动地连接和断开CIPE连接。因此,CIPE包含内建的机制来为个别使用自定设置。例如,远程职员可以通过键入以下命令来连接到LAN上的CIPE设备:

/sbin/ifupcipcb0

设备应该自动出现;防火墙规则和选路信息也应该和连接一起配置。远程职员应该能够使用以下命令来终止连接:

/sbin/ifdowncipcb0

配置客户需要创建在设备被载入后需运行的脚本。服务配置本身可以通过用户创建的文件/etc/sysconfig/network-scripts/ifcfg-cipcb0来本地配置。这个文件中包含一些参数,如判定CIPE连接是否在引导时发生的参数;代表CIPE设备名称的参数等。以下是一个连接到CIPE服务器的远程客户的ifcfg-cipcb0文件:

DEVICE=cipcb0
ONBOOT=yes
BOOTPROTO=none
USERCTL=no

#ThisisthedeviceforwhichweaddahostroutetoourCIPEpeerthrough.
#Youmayhardcodethis,butifleftblank,wewilltrytoguessfrom
#theroutingtableinthe/etc/cipe/ip-up.localfile.
PEERROUTEDEV=

#WeneedtouseinternalDNSwhenconnectedviacipe.
DNS=192.168.1.254

CIPE设备的名称是cipcb0。CIPE设备将会在引导时间被载入(通过ONBOOT字段配置),而且将不会使用一种引导协议(如DHCP)来接收该设备的IP地址。PEERROUTEDEV字段决定连接到客户的CIPE服务器设备名称。如果这个字段中没有指定任何设备,在设备被载入后就会为它决定一个。

如果你的内部网络是在防火墙背后,你需要设置规则来允许客户机器上的CIPE接口发送和接收UDP分组。关于为红帽企业Linux配置防火墙的信息请参阅第7章。我们这个配置例子中使用了iptables规则。

注记


客户应该这样配置,因此所有被本地化的参数都被放在一个用户创建的叫做/etc/cipe/ip-up.local的文件中。CIPE会话被关闭后,应该使用/etc/cipe/ip-down.local来还原本地参数。

客户机器上的防火墙应该被配置接受CIPEUDP封装分组。规则的差距可能会很大,但是对UDP分组的基本接受对于CIPE连接来说却是必需的。以下的iptables规则允许连接到LAN上的远程客户机器进行UDPCIPE传输;最后一条规则添加了IP伪装来允许远程客户与LAN和互联网通信。

/sbin/modprobeiptables
/sbin/serviceiptablesstop
/sbin/iptables-PINPUTDROP
/sbin/iptables-FINPUT
/sbin/iptables-AINPUT-jACCEPT-pudp-s10.0.1.1
/sbin/iptables-AINPUT-jACCEPT-icipcb0
/sbin/iptables-AINPUT-jACCEPT-ilo
/sbin/iptables-tnat-APOSTROUTING-s192.168.1.0/24-oeth0-jMASQUERADE

你必须还在客户机器上添加用来像访问本地网络一样访问CIPE连接背后的节点的选路规则。这可以通过运行route命令来完成。在我们的例子中,客户工作站需要添加以下网络路线:

routeadd-net192.168.1.0netmask255.255.255.0gw10.0.1.2

以下显示了用于客户工作站的最终/etc/cipe/ip-up.local脚本:

#!/bin/bash-v
if[-f/etc/sysconfig/network-scripts/ifcfg-$1];then
./etc/sysconfig/network-scripts/ifcfg-$1
else
cateth0:lan.example.com|eth1:192.168.1.1|cipcb0:10.0.1.1----->eth0:remote.example.net|cipcd0:10.0.1.2'