Linux下的CIPE服务器配置
点击次数:24 次 发布日期:2008-11-22 09:42:03 作者:源代码网
|
源代码网推荐把位于/usr/share/doc/cipe-version/samples/的配置文件范例复制到/etc/cipe/中(这里的version是安装在你的系统上的CIPE版本)。复制完毕后,你将需要编辑/etc/cipe/options.cipcbx(x是从0开始的递增数字,为那些想要在CIPE服务器上不止有一个CIPE连接的客户提供)文件来包括你的LAN子网地址和可公共选路的防火墙IP地址。以下是包括在红帽企业LinuxCIPERPM中的options文件范例。在这个例子中,它被重命名为options.cipbcb0: 源代码网推荐 源代码网推荐#Surprise,thisfileallowscomments(butonlyonalinebythemselves) 源代码网推荐#Thisisprobablytheminimalsetofoptionsthathastobeset 源代码网推荐#Withouta"device"line,thedeviceispickeddynamically 源代码网推荐 源代码网推荐#thepeer"sIPaddress 源代码网推荐ptpaddr6.5.4.3 源代码网推荐 源代码网推荐#ourCIPEdevice"sIPaddress 源代码网推荐ipaddr6.7.8.9 源代码网推荐 源代码网推荐#myUDPaddress.Note:ifyousetport0here,thesystemwillpick 源代码网推荐#oneandtellittoyouviatheip-upscript.SameholdsforIP0.0.0.0. 源代码网推荐mebigred.inka.de:6789 源代码网推荐 源代码网推荐#...andtheUDPaddressweconnectto.Ofcoursenowildcardshere. 源代码网推荐peerblackforest.inka.de:6543 源代码网推荐 源代码网推荐#Thestatickey.Keepthisfilesecret! 源代码网推荐#Thekeyis128bitsinhexadecimalnotation. 源代码网推荐keyxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 源代码网推荐 源代码网推荐ptpaddr是远程LAN的CIPE地址。ipaddr是工作站的CIPEIP地址。me地址是客户的可公共选路的IP地址,它通过互联网发送UDP分组。peer是CIPE服务器的可公共选路的IP地址。注意,客户工作站的IP地址是0.0.0.0,因为它使用动态连接。CIPE客户将会处理到CIPE服务器的连接。key字段(用x代表;你的钥匙应该是密钥)是共享静态钥匙。这个钥匙在两个对端上必须是相同的,否则连接就不能成立。关于如何为你的CIPE机器生成共享静态钥匙,请参阅第6.8节。 源代码网推荐 源代码网推荐这是客户工作站将会使用的被编辑过的/etc/cipe/options.cipcb0: 源代码网推荐 源代码网推荐ptpaddr10.0.1.2 源代码网推荐ipaddr10.0.1.1 源代码网推荐me0.0.0.0 源代码网推荐peerLAN.EXAMPLE.COM:6969 源代码网推荐key123456ourlittlesecret7890shhhh 源代码网推荐 源代码网推荐这是CIPE服务器的/etc/cipe/options.cipcb0文件: 源代码网推荐 源代码网推荐ptpaddr10.0.1.1 源代码网推荐ipaddr10.0.1.2 源代码网推荐meLAN.EXAMPLE.COM:6969 源代码网推荐peer0.0.0.0 源代码网推荐key123456ourlittlesecret7890shhhh 源代码网推荐配置客户的CIPE 源代码网推荐 源代码网推荐成功地配置了CIPE服务器并测试了它的功能后,你现在就可以在客户机器上使用这种连接了。 源代码网推荐 源代码网推荐CIPE客户应该能够自动地连接和断开CIPE连接。因此,CIPE包含内建的机制来为个别使用自定设置。例如,远程职员可以通过键入以下命令来连接到LAN上的CIPE设备: 源代码网推荐 源代码网推荐/sbin/ifupcipcb0 源代码网推荐 源代码网推荐设备应该自动出现;防火墙规则和选路信息也应该和连接一起配置。远程职员应该能够使用以下命令来终止连接: 源代码网推荐 源代码网推荐/sbin/ifdowncipcb0 源代码网推荐 源代码网推荐配置客户需要创建在设备被载入后需运行的脚本。服务配置本身可以通过用户创建的文件/etc/sysconfig/network-scripts/ifcfg-cipcb0来本地配置。这个文件中包含一些参数,如判定CIPE连接是否在引导时发生的参数;代表CIPE设备名称的参数等。以下是一个连接到CIPE服务器的远程客户的ifcfg-cipcb0文件: 源代码网推荐 源代码网推荐DEVICE=cipcb0 源代码网推荐ONBOOT=yes 源代码网推荐BOOTPROTO=none 源代码网推荐USERCTL=no 源代码网推荐 源代码网推荐#ThisisthedeviceforwhichweaddahostroutetoourCIPEpeerthrough. 源代码网推荐#Youmayhardcodethis,butifleftblank,wewilltrytoguessfrom 源代码网推荐#theroutingtableinthe/etc/cipe/ip-up.localfile. 源代码网推荐PEERROUTEDEV= 源代码网推荐 源代码网推荐#WeneedtouseinternalDNSwhenconnectedviacipe. 源代码网推荐DNS=192.168.1.254 源代码网推荐 源代码网推荐CIPE设备的名称是cipcb0。CIPE设备将会在引导时间被载入(通过ONBOOT字段配置),而且将不会使用一种引导协议(如DHCP)来接收该设备的IP地址。PEERROUTEDEV字段决定连接到客户的CIPE服务器设备名称。如果这个字段中没有指定任何设备,在设备被载入后就会为它决定一个。 源代码网推荐 源代码网推荐如果你的内部网络是在防火墙背后,你需要设置规则来允许客户机器上的CIPE接口发送和接收UDP分组。关于为红帽企业Linux配置防火墙的信息请参阅第7章。我们这个配置例子中使用了iptables规则。 源代码网推荐 源代码网推荐注记 源代码网推荐 源代码网推荐 源代码网推荐客户应该这样配置,因此所有被本地化的参数都被放在一个用户创建的叫做/etc/cipe/ip-up.local的文件中。CIPE会话被关闭后,应该使用/etc/cipe/ip-down.local来还原本地参数。 源代码网推荐 源代码网推荐客户机器上的防火墙应该被配置接受CIPEUDP封装分组。规则的差距可能会很大,但是对UDP分组的基本接受对于CIPE连接来说却是必需的。以下的iptables规则允许连接到LAN上的远程客户机器进行UDPCIPE传输;最后一条规则添加了IP伪装来允许远程客户与LAN和互联网通信。 源代码网推荐 源代码网推荐/sbin/modprobeiptables 源代码网推荐/sbin/serviceiptablesstop 源代码网推荐/sbin/iptables-PINPUTDROP 源代码网推荐/sbin/iptables-FINPUT 源代码网推荐/sbin/iptables-AINPUT-jACCEPT-pudp-s10.0.1.1 源代码网推荐/sbin/iptables-AINPUT-jACCEPT-icipcb0 源代码网推荐/sbin/iptables-AINPUT-jACCEPT-ilo 源代码网推荐/sbin/iptables-tnat-APOSTROUTING-s192.168.1.0/24-oeth0-jMASQUERADE 源代码网推荐 源代码网推荐你必须还在客户机器上添加用来像访问本地网络一样访问CIPE连接背后的节点的选路规则。这可以通过运行route命令来完成。在我们的例子中,客户工作站需要添加以下网络路线: 源代码网推荐 源代码网推荐routeadd-net192.168.1.0netmask255.255.255.0gw10.0.1.2 源代码网推荐 源代码网推荐以下显示了用于客户工作站的最终/etc/cipe/ip-up.local脚本: 源代码网推荐 源代码网推荐#!/bin/bash-v 源代码网推荐if[-f/etc/sysconfig/network-scripts/ifcfg-$1];then 源代码网推荐./etc/sysconfig/network-scripts/ifcfg-$1 源代码网推荐else 源代码网推荐cateth0:lan.example.com|eth1:192.168.1.1|cipcb0:10.0.1.1----->eth0:remote.example.net|cipcd0:10.0.1.2"源代码网供稿. |
