赛猊腾龙网关环境搭建手册
作者 李雪松
版本
日期
一、安装前准备 3
1、物理环境 3
二、环境准备 3
1、 系统安装 3
2 、硬件网络搭建 15
3、系统安装后初始化设置与环境检查 17
禁用图形界面 17
IP 的设置 17
确认 DNS 20
时间/时区设置 21
三、安装网关 22
四、异常处理 24
1、系统安装时,开机卡在 Press thekey to begin the installation process 界面 24
2、网关安装时出现“warning:xxxxxx:NOKEY”提示 27
3、网关安装完毕后无法 ping 通外部网络 27
4、 重启后 内容被清空 28
5、rpm 包安装/卸载失败 29
附件 29
1、通用浏览器导入证书方式 29
一、安装前准备
1、物理环境
服务器:华硕 RS700-X7/PS4(最少双网口) 一台
显示器:任意型号 一台
测试机器:任意 windows/linux 系统 一台
网线:普通 若干
Centos7 安装 U 盘 一个
2、软件环境
网关安装包( 版本及以上)
备注:
网关不支持离线安装。
二、环境准备
1、 系统安装
、将显示器与服务器连接后打开电源
、在启动画面出现时长按 DEL 键(不同的机器有不同的按键,视具
体情况而定),听到滴的一声后松手。由于磁盘阵列的原因,系统会重
复启动画面多次,这是正常现象。在多次循环后系统进入 BIOS 界面。
、在 BIOS 中,进入 BOOT 选项中,设置系统启动顺序为 U 盘先启
动,保存配置后退出。
、步骤 3 退出后会继续启动,当出现 Centos 的安装界面后选择第一
项"Install Centos7".
、选择安装语言后继续
、在弹出的界面中选择"软件选择"
、选择最小安装
、选择安装位置,手动分区
删除原有分区信息:
添加新分区:
建议分区大小:
/boot 1G
/bootbios 1G
/swap 内存大小的 2 倍
/home 任意大小
/ 越大越好
单击完成,如提示警告等,再次单击完成
、点击开始安装,分别设置 root 密码和用户,安装完成后重启即可
。
、重启后可能有两种情况,先说第一种,单击
“LICENSE INFOEMATION”:
步骤阅读
、选中“I accept the license agreement”后敲击“Done”。
、单击“Finish Configuration”。
16
、Kdump 建议开启。
、选择“ prefer to register at later time.”
、使用 root 用户登陆,单击"未列出",输入用户名 root,密码为自己
设置的密码。
注意:
第 9 步重启后,也有可能首先会进到如下界面:
这时候输入 1 进入许可证信息,再输入 2 我接受许可协议
输入 c 继续
此时会出现 license information(license accepted),然后输入 c 继续,就可
以进入系统了。
2 、硬件网络搭建
网关有两种安装模式:
代理模式
代理模式中,网关的实际作用是一个代理服务器。在被监控网络中
设置代理到网关服务器的 ip 上,通过网关上网。其他不设置代理的网
络应用不受监控。
透明模式
透明模式中,网关被监控网络是串行的,即与传统网关相同,位于
网络出口出。被监控网络通过网关才可以上网。
透明模式拓扑图
网关安装有一些注意事项:
1、安装网关的机器需要最少需要两个网卡
2、网关安装时需要联网安装,这里的联网并非是指可以连接到公网,
获取公网 IP,而是说能够获取到 IP,并与同网段内其他机器正常通信
即可。
注:这外部网络仅仅是相对于被监控网络来说的,是逻辑上的概念,并
非一定要是两个物理上的内外网。
按照上述拓扑图所示,透明网关与代理网关的硬件环境稍有不同,接下
来开始分别搭建这两种环境。
透明网关:
首先将网关机器安装好系统后,首先将其与外部网络连接。确认该网
卡获取到 ip 后即可。
然后将网关的机器上的另一个网口与被监控网络的出口处连接。确认
网卡插口处指示灯亮即可。
代理网关:
将网关机器安装好系统后,首先将其与外部网络连接。确认该网卡获
取到 ip 后即可。
被监控网络原网络环境无需改动,等网关安装完毕后在被监控机器上
导入网关证书即可。证书导入方式参见附件一:通用浏览器导入证书方
式。
3、系统安装后初始化设置与环境检查
禁用图形界面
网关理论上是可以运行在图形界面开启的状态下,但为了追求性能
与减少干扰,关闭图形界面是需要的。
改名备份:
mv /etc/systemd/system/ /etc/systemd/system/
重新软连接文本界面为启动默认值界面:
ln -sf /lib/systemd/system/ /etc/systemd/system/
重启机器 :
systemctl reboot
禁用 NetworkManager 服务
停止服务:
systemctl stop NetworkManager
禁用服务:
systemctl disable NetworkManager
IP 的设置
首先获取机器上的网卡列表,使用命令”ip a”:
在搭建好前面的硬件网络环境后最终应该获取到的网卡状态和上图应该
类似(前面框的是网卡名,后面是状态):
有两个网卡的状态如图所示是“UP”的,同时,一个网卡有 IP,另外
一个没有 IP。这是由于与外网相连的网卡可以获取到 IP,而与内网(
被监控网络)相连的网卡,是无法获取到 IP 的。
问题 1:网卡的状态是 DOWN,并非是“UP”
原因 1:网线没有插好,或者网线坏了,请检查物理环境,包括网线
,网卡等。
原因 2:网卡被关闭了。使用“ifconfig 网卡名 up”命令启用网卡,有
时候反应比较慢,多敲几次,稍等一下就可以看到网卡状态 up 了。
问题 2:与外网连接的网卡没有获取到 ip
原因 1:原来的物理环境有问题,就是获取不到 ip。换一台笔记本
或者台式机连接到外网接口,如果获取不到 ip 则说明物理环境有问题
,需要排查。
原因 2:网卡设置不正确。使用命令“cat /etc/sysconfig/network-
scripts/ifcfg-网卡名”查看网卡设置:
注意其中 BOOTPROTO 是否为 dhcp,ONBOOT 是否为 yes。如果不是
,需要修改为动态获取 ip,如果有 IPADDR 和 NETMASK ,使用“#”将其
注释。
修改完毕后,保存退出,使用命令“systemctl restart network”重启网络,
如果报错,检查是否拼写错误。没有拼写错误且重启网络失败,直接重
启电脑。
原因 3:网卡需要设置静态 IP 地址。使用命令
“cat /etc/sysconfig/network-scripts/ifcfg-网卡名”查看网卡设置,将
BOOTPROTO 的值修改为 static。如果没有以下四行,将其添加到配置
文件
IPADDR= #需要固定的 IP 地址
NETMASK= #掩码值
DNS1= #dns
GATEWAY= #网关地址
修改完毕后应当如下:
修改完毕后,保存退出,使用命令“systemctl restart network”重启网络,
如果报错,检查是否拼写错误。没有拼写错误且重启网络失败,直接重
启电脑。
确认 DNS
Linux 下设置 DNS 的位置主要是,
1.网卡设置配置文件里面 DNS 服务器地址设置
文件位置:/etc/sysconfig/network-scripts/ifcfg-网卡名
2.系统默认 DNS 服务器地址设置
文件位置:/etc/
文件指定,通过设置主机表地址进行特定主机的解析。
文件位置:/etc/hosts
生效顺序是:
hosts 文件 > 网卡配置文件 DNS 服务地址> /etc/
一般来说,hosts 文件不会更改,使用默认的 hosts 文件即可。
删除网卡配置文件中的 DNS 选项,使用系统中的默认 DNS。
使用命令:
systemctl stop 和
systemctl disable
关闭并禁用 NetworkManager。
时间/时区设置
使用命令 date -R 来查看当前时区:
可以看到处于东八区(+8)。
设置时区:
/user/share/zoneinfo 目录下存着全世界的时区文件,需要使用哪个就
用这个文件替换 /etc/localtime 就可以了:
例如:在设置中国时区使用亚洲/上海(+8)
cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
注意如果有时候,执行了上面命令后,使用 date -R 发现时区设置
没有生效,有可能是因为你在 profile 或.bash_profile 里面设置了 TZ,包
含类似如下命令:
TZ='Asia/Shanghai'; export TZ
其优先级高于/etc/localtime 文件,所以需要清除这一句。
设置日期时间:
Date -s”年月日 时分秒”
date -s "20161201 18:30:50"
就可以设置日期了,然后通过
hwclock -w 从当前系统时间设置硬件时钟,同步 BIOS 时钟,强制将系
统时间写入 CMOS,使之永久生效,避免系统重启后恢复成原时间。
三、安装网关
进入系统中,解压网关的安装包。
进入解压后的目录中
执行"sh "后,会预装一些依赖环境。
随后,输入 server 的 ip(即本机 ip)和在 server 上配置好的 key
接下来就选择安装网关的模式了:
1、bridge:透明代理模式
2、Nat:显性代理模式
如果在这里选择 2 那么接下来就结束安装,选择是否重启。
接下来重点讲述透明模式。
透明模式需要设置一个网桥,网桥的作用是将两个网卡连接起来,将一
个网卡的数据传到另一块网卡上,逻辑上来说就相当于把两个网卡的网
线连接起来,网卡可以当作不存在,是透明的。
首先输入网桥的名称:
然后选择连接着被监控网络的那个网卡:
接下来选择连接着外部网络的那个网卡:
为网桥设置固定 ip,子网掩码,和网关:
选择是否重启即可。
注:
网桥的 ip 设置和普通网卡设置静态 ip 相同,网桥设置完成后原来的两
个网卡的 ip 就会消失。可以通过网桥的 ip 来远程访问该机器。
四、异常处理
1、系统安装时,开机卡在
Press thekey to begin the installation process 界面
这是由于安装时系统找不到 U 盘导致的,解决方案如下:
在开机进入下图中安装界面的时候,按 TAB 键。
会在下方出现一行命令,如下图:
网上很多文章都说这一步改成
“>vmlinuz initrd= =hd:/dev/sdb quiet”,然后失败了会
出现下图提示
在#后面输入:cd /dev,然后会看到如下界面,找到自己 U 盘的盘符:
然后关机重启,重新进入安装界面,按 TAB 键,将出现的命令中
”=hd:/dev/”后面的数据改为 U 盘的盘符即下面黄色部分 ,回
车即可:
vmlinuz initrd= =hd:/dev/sdb4 quiet
如果不知道如何看自己 U 盘盘符的话,还有另外一个办法:
将 TAB 出来的文字修改为:>vmlinuz initrd= linux dd quiet,回
车
可以看到上图中 label 为 Centos7 的即为 U 盘,其盘符为 sdc4。重复之
前的步骤,开机后进入安装界面时,按 TAB 键,将出现的命令中将出
现的命令中”=hd:/dev/”后面的数据改为 U 盘的盘符,回车即可
。
2、网关安装时出现“warning:xxxxxx:NOKEY”提示
这是由于 yum 安装了旧版本的 GPG keys 造成的,解决办法就是
rpm --import /etc/pki/rpm-gpg/RPM*
3、网关安装完毕后无法 ping 通外部网络
由于 DNS 没有配置导致的无法连通网络。修改/etc/ 文件,
添加一行:
nameserver
Nameserver 后面填写一个 dns 服务器地址,目前常用的一些 dns 地址如
下:
阿里 DNS
百度 DNS
谷歌 DNS
OpenDNS
如果公司内部有自己的 DNS 服务器,也可以使用公司自己的 DNS 服务
,修改完毕后,大致内容如下:
修改完毕后使用命令“systemctl restart network”重启网络。
4、 重启后 内容被清空
网络或主机重启时,会自动重新生成 文件,要想旧的文件
不被覆盖的话,
方法一:运行如下命令:sudo chattr +i /etc/ 即可。
方法二:vim /etc/sysconfig/network-scripts/ifcfg-网卡名,直接在这里面
设置 DNS,格式就是 DNS1= DNS2=。其优先级高于
.
5、rpm 包安装/卸载失败
由于安装/卸载时,rpm 数据库状态与实际状态不符合,或者
误删了某些目录导致。
先清除 rpm 数据库里的记录:
rpm -e rpm 包名 --justdb
然后删除安装目录下的文件即可。以 WEB-DLP 为例:
rpm -e rpmWEB-DLP --justdb
rm -rf /opt/synitalent/ssgw
附件
1、通用浏览器导入证书方式
一、IE、chrome、edge 使用的是操作系统的证书(系统)。firefox 使用它自已的证书
系统。
1、IE、chrome、edge 操作方法
a. 首先下载附件中的证书,进入到保存目录,找到 ,右键--》安装证书
b. 选“当前用户 ”
c. "将所有的证书都放入下列存储"--》“受信任的根证书颁发机构”即可
2、Firefox 操作方法
a、打开火狐设置,选择选项一栏
b、选择高级>>证书>>查看证书
c、选择证书机构>>导入>>选择证书>>确定
d、勾选所有选项,确定
二、到这里证书导入完毕。接下来我们验证证书是否安装成功:
打开浏览器,登陆
如果页面正常显示则查看证书,
火狐:看到验证者为 Synitalent 即成功:
Chrome:证书颁发者为 testing root ca
Edge 可以看到 testing root ca 字样:
IE 同上:
