diff --git a/zh_CN.GB2312/books/handbook/advanced-networking/chapter.sgml b/zh_CN.GB2312/books/handbook/advanced-networking/chapter.sgml
index ad90aa2083..135ac4dcc3 100644
--- a/zh_CN.GB2312/books/handbook/advanced-networking/chapter.sgml
+++ b/zh_CN.GB2312/books/handbook/advanced-networking/chapter.sgml
@@ -1,5085 +1,5099 @@
高级网络
概述
本章将就一系列与网络有关的高级话题进行讨论。
读完这章,您将了解:
关于网关和路由的基础知识。
如何配置 IEEE 802.11 和 蓝牙(&bluetooth;) 设备。
如何用 FreeBSD 做网桥。
如何为无盘机上配置网络启动。
如何配置网络地址转换 (NAT)。
如何使用 PLIP 连接两台计算机。
如何在运行 FreeBSD 的计算机上配置 IPv6。
如何配置 ATM。
如何利用 CARP, &os; 支持的
Common Access Redundancy Protocol (共用地址冗余协议)
在读这章之前, 您应:
理解 /etc/rc 脚本的基本知识。
熟悉基本的网络术语。
了解如何配置和安装新的 FreeBSD 内核
()。
了解如何安装第三方软件 ()。
Coranth
Gryphon
贡献者:
张
雪平
中文翻译:
zxpmyth@yahoo.com.cn
袁
苏义
网关和路由
路由
网关
子网
要让网络上的两台计算机能够相互通讯,
就必须有一种能够描述如何从一台计算机到另一台计算机的机制, 这一机制称作
路由选择(routing)。
路由项
是一对预先定义的地址:
目的地(destination)
和 网关(gateway)
。
这个地址对所表达的意义是, 通过 网关
能够完成与 目的地 的通信。
有三种类型的目的地址: 单个主机、 子网、 以及 默认
。
如果没有可用的其它路由, 就会使用 默认路由
,
有关默认路由的内容, 将在稍后的章节中进行讨论。 网关也有三种类型:
单个主机, 网络接口 (也叫 链路 (links)
)
和以太网硬件地址 (MAC 地址)。
实例
为了说明路由选择的各个部分, 首先来看看下面的例子。
这是 netstat 命令的输出:
&prompt.user; netstat -r
Routing tables
Destination Gateway Flags Refs Use Netif Expire
default outside-gw UGSc 37 418 ppp0
localhost localhost UH 0 181 lo0
test0 0:e0:b5:36:cf:4f UHLW 5 63288 ed0 77
10.20.30.255 link#1 UHLW 1 2421
example.com link#1 UC 0 0
host1 0:e0:a8:37:8:1e UHLW 3 4601 lo0
host2 0:e0:a8:37:8:1e UHLW 0 5 lo0 =>
host2.example.com link#1 UC 0 0
224 link#1 UC 0 0
默认路由
头两行给出了当前配置中的默认路由 (将在 下一节 中进行介绍)
和 localhost (本机) 路由。
回环设备
这里的路由表中给出的用于 localhost 的接口
(Netif 列) 是 lo0,
也就是大家熟知的 回环设备
。
它表示所有以此为 目的地
的通信都留在本机,
而不通过 LAN 发出, 因为这些流量最终会回到起点。
以太网 MAC 地址
接着出现的是以 0:e0:
开头的地址。这些是以太网硬件地址,也称为 MAC 地址。
FreeBSD 会自动识别在同一个以太网中的任何主机 (如
test0), 并为其新增一个路由,
并通过那个以太网接口 — ed0
直接与它通讯 (译者注:那台主机)。与这类路由表相关的也有一个超时项
(Expire列),当我们在指定时间内没有收到从那个主机发来的信息,
这项就派上用场了。这种情况下,到这个主机的路由就会被自动删除。
这些主机被使用一种叫做RIP(路由信息协议--Routing Information
Protocol)的机制所识别,这种机制利用基于最短路径选择
(shortest path determination)
的办法计算出到本地主机的路由。
子网
FreeBSD 也会为本地子网添加子网路由(10.20.30.255 是子网
10.20.30 的广播地址,而 example.com 是这个子网相联的域名)。
名称 link#1 代表主机上的第一块以太网卡。
您会发现,对于它们没有指定另外的接口。
这两个组(本地网络主机和本地子网)的路由是由守护进程
routed 自动配置的。如果它没有运行,
那就只有被静态定义 (例如,明确输入的) 的路由才存在了。
host1 行代表我们的主机,它通过以太网地址来识别。
因为我们是发送端,FreeBSD知道使用回环接口 (lo0)
而不是通过以太网接口来进行发送。
两个 host2 行是我们使用 &man.ifconfig.8;
别名 (请看关于以太网的那部分就会知道我们为什么这么做)
时产生的一个实例。在 lo0
接口之后的 => 符号表明我们不仅使用了回环
(因为这个地址也涉及了本地主机),而且明确指出它是个别名。
这类路由只有在支持别名的主机上才能显现出来。
所有本地网上的其它的主机对于这类路由只会简单拥有
link#1。
最后一行 (目标子网224)
用于处理多播——它会覆盖到其它的区域。
最后,每个路由的不同属性可以在 Flags
列中看到。下边是个关于这些标志和它们的含义的一个简表:
U
Up: 路由处于活动状态。
H
Host: 路由目标是单个主机。
G
Gateway: 所有发到目的地的网络传到这一远程系统上,
并由它决定最后发到哪里。
S
Static: 这个路由是手工配置的,不是由系统自动生成的。
C
Clone: 生成一个新的路由,
通过这个路由我们可以连接上这些机子。
这种类型的路由通常用于本地网络。
W
WasCloned: 指明一个路由——它是基于本地区域网络
(克隆) 路由自动配置的。
L
Link: 路由涉及到了以太网硬件。
默认路由
默认路由
当本地系统需要与远程主机建立连接时,
它会检查路由表以决定是否有已知的路径存在。
如果远程主机属于一个我们已知如何到达 (克隆的路由)
的子网内,那么系统会检查看沿着那个接口是否能够连接。
如果所有已知路径都失败,系统还有最后一个选择:
默认
路由。这个路由是特殊类型的网关路由
(通常只有一个存在于系统里),并且总是在标志栏使用一个
c来进行标识。对于本地区域网络里的主机,
这个网关被设置到任何与外界有直接连接的机子里 (无论是通过
PPP、DSL、cable modem、T1 或其它的网络接口连接)。
如果您正为某台本身就做为网关连接外界的机子配置默认路由的话,
那么该默认路由应该是您的互联网服务商
(ISP)
那方的网关机子。
让我们来看一个关于默认路由的例子。这是个很普遍的配置:
[Local2] <--ether--> [Local1] <--PPP--> [ISP-Serv] <--ether--> [T1-GW]
主机 Local1 和 Local2
在您那边。Local1 通过 PPP 拨号连接到了 ISP。这个
PPP 服务器通过一个局域网连接到另一台网关机子——它又通过一个外部接口连接到
ISP 提供的互联网上。
您的每一台机子的默认路由应该是:
Host
Default Gateway
Interface
Local2
Local1
Ethernet
Local1
T1-GW
PPP
一个常见的问题是我们为什么 (或怎样)
能将 T1-GW 设置成为 Local1
默认网关,而不是它所连接 ISP 服务器?
记住,因为 PPP 接口使用的一个地址是在 ISP
的局域网里的,用于您那边的连接,对于 ISP
的局域网里的其它机子,其路由会自动产生。
因此,您就已经知道了如何到达机子 T1-GW,
那么也就没必要中那一步了——发送通信给 ISP 服务器。
通常使用地址 X.X.X.1 做为一个局域网的网关。
因此 (使用相同的例子),如果您本地的 C 类地址空间是
10.20.30,而您的 ISP
使用的是 10.9.9,
那么默认路由表将是:
Host
Default Route
Local2 (10.20.30.2)
Local1 (10.20.30.1)
Local1 (10.20.30.1, 10.9.9.30)
T1-GW (10.9.9.1)
您可以很轻易地通过 /etc/rc.conf
文件设定默认路由。在我们的实例里,在主机 Local2
里,我们在文件 /etc/rc.conf
里增加了下边内容:
defaultrouter="10.20.30.1"
也可以直接在命令行使用 &man.route.8; 命令:
&prompt.root; route add default 10.20.30.1
要了解关于如何手工维护网络路由表的进一步细节, 请参考
&man.route.8; 联机手册。
重宿主机(Dual Homed Hosts)
重宿 主机
还有一种其它的类型的配置是我们要提及的,
这就是一个主机处于两个不同的网络。技术上,任何作为网关
(上边的实例中,使用了 PPP 连接) 的机子就算作是重宿主机。
但这个词实际上仅用来指那种处于两个局域网之中的机子。
有一种情形,一台机子有两个网卡,
对于各个子网都有各自的一个地址。另一种情况,
这台机子仅有一张网卡,但使用 &man.ifconfig.8;
做了别名。如果有两个独立的以太网在使用的情形就使用前者,
如果只有一个物理网段,但逻辑上分成了两个独立的子网,
就使用后者。
每种情况都要设置路由表以便两子网都知道这台主机是到其它子网的网关——入站路由
(inbound route)。将一台主机配置成两个子网间的路由器,
这种配置经常在我们需要实现单向或双向的包过滤或防火墙时被用到。
如果想让主机在两个接口间转发数据包,您需要激活
FreBSD 的这项功能。至于怎么做,请看下一部分了解更多。
建立路由器
路由器
网络路由器只是一个将数据包从一个接口转发到另一个接口的系统。
互联网标准和良好的工程实践阻止了 FreeBSD 计划在 FreeBSD
中把它置成默认值。您在可以在 &man.rc.conf.5; 中改变下列变量的值为
YES,使这个功能生效:
gateway_enable=YES # Set to YES if this host will be a gateway
这个选项会把&man.sysctl.8;
变量——net.inet.ip.forwarding
设置成 1。如果您要临时地停止路由,
您可以把它重设为 0。
新的路由器需要有路由才知道将数据传向何处。
如果网络够简单,您可以使用静态路由。FreeBSD
也自带一个标准的BSD路由选择守护进程 &man.routed.8;,
称之为 RIP ( version 1和 version 2) 和 IRDP。对 BGP v4,OSPF v2
和其它复杂路由选择协议的支持可以从
net/zebra 包中得到。
像 &gated;
一样的商业产品也提供了更复杂的网络路由解决方案。
BGP
RIP
OSPF
Coranth
Gryphon
贡献者:
张
雪平
中文翻译:
zxpmyth@yahoo.com.cn
袁
苏义
设置静态路由
手动配置
假设如下这样一个网络:
INTERNET
| (10.0.0.1/24) Default Router to Internet
|
|Interface xl0
|10.0.0.10/24
+------+
| | RouterA
| | (FreeBSD gateway)
+------+
| Interface xl1
| 192.168.1.1/24
|
+--------------------------------+
Internal Net 1 | 192.168.1.2/24
|
+------+
| | RouterB
| |
+------+
| 192.168.2.1/24
|
Internal Net 2
在这里,RouterA 是我们的 &os;
机子,它充当连接到互联网其它部分的路由器的角色。
默认路由设置为10.0.0.1,
它就允许与外界连接。我们假定已经正确配置了
RouterB,并且知道如何连接到想去的任何地方。
(在这个图里很简单。只须在 RouterB
上增加默认路由,使用 192.168.1.1 做为网关。)
如果我们查看一下RouterA的路由表,
我们就会看到如下一些内容:
&prompt.user; netstat -nr
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 10.0.0.1 UGS 0 49378 xl0
127.0.0.1 127.0.0.1 UH 0 6 lo0
10.0.0/24 link#1 UC 0 0 xl0
192.168.1/24 link#2 UC 0 0 xl1
使用当前的路由表,RouterA
是不能到达我们的内网——Internal Net 2 的。它没有到 192.168.2.0/24 的路由。
一种可以接受的方法是手工增加这条路由。以下的命令会把
Internal Net 2 网络加入到 RouterA 的路由表中,使用192.168.1.2 做为下一个跳跃:
&prompt.root; route add -net 192.168.2.0/24 192.168.1.2
现在 RouterA
就可以到达 192.168.2.0/24
网络上的任何主机了。
永久配置
上面的实例对于运行着的系统来说配置静态路由是相当不错了。
只是,有一个问题——如果您重启您的 &os; 机子,路由信息就会消失。
处理附加的静态路由的方法是把它放到您的
/etc/rc.conf 文件里去。
# Add Internal Net 2 as a static route
static_routes="internalnet2"
route_internalnet2="-net 192.168.2.0/24 192.168.1.2"
配置变量 static_routes
是一串以空格格开的字符串。每一串表示一个路由名字。
在上面的例子中我们中有一个串在 static_routes
里。这个字符串中 internalnet2。
然后我们新增一个配置变量
route_internalnet2,
这里我们把所有传给 &man.route.8;命令的参数拿了过来。
在上面的实例中的我使用的命令是:
&prompt.root; route add -net 192.168.2.0/24 192.168.1.2
因此,我们需要的是 "-net 192.168.2.0/24 192.168.1.2"。
前边已经提到, 可以把多个静态路由的名称, 放到
static_routes 里边。
接着我们就来建立多个静态路由。 下面几行所展示的,
是在一个假想的路由器上增加 192.168.0.0/24 和 192.168.1.0/24
之间静态路由的例子:
static_routes="net1 net2"
route_net1="-net 192.168.0.0/24 192.168.0.1"
route_net2="-net 192.168.1.0/24 192.168.1.1"
路由传播
路由 传播
我们已经讨论了如何定义通向外界的路由,
但未谈及外界是如何找到我们的。
我们已经知道可以设置路由表,
这样任何指向特定地址空间 (在我们的例子中是一个
C 类子网) 的数据都会被送往网络上特定的主机,
然后由这台主机向地址空间内部转发数据。
当您得到一个分配给您的网络的地址空间时,
ISP(网络服务商)会设置它们的路由表,
这样指向您子网的数据就会通过 PPP 连接下传到您的网络。
但是其它跨越国界的网络是如何知道将数据传给您的
ISP 的呢?
有一个系统(很像分布式 DNS 信息系统),
它一直跟踪被分配的地址空间,
并说明它们连接到互联网骨干(Internet backbone)的点。
骨干(Backbone)
指的是负责全世界和跨国的传输的主要干线。
每一台骨干主机(backbone machine)有一份主要表集的副本,
它将发送给特定网络的数据导向相应的骨干载体上(backbone carrier),
从结点往下遍历服务提供商链,直到数据到达您的网络。
服务提供商的任务是向骨干网络广播,以声明它们就是通向您的网点的连接结点
(以及进入的路径)。这就是路由传播。
问题解答
traceroute
有时候,路由传播会有一个问题,一些网络无法与您连接。
或许能帮您找出路由是在哪里中断的最有用的命令就是
&man.traceroute.8;了。当您无法与远程主机连接时,
这个命令一样有用(例如 &man.ping.8; 失败)。
&man.traceroute.8; 命令将以您想连接的主机的名字作为参数执行。
不管是到达了目标,还是因为没有连接而终止,
它都会显示所经过的所有网关主机。
想了解更多的信息,查看 &man.traceroute.8; 的手册。
多播路由
多播路由
内核选项
MROUTING
FreeBSD 一开始就支持多播应用软件和多播路由选择。
多播程序并不要求FreeBSD的任何特殊的配置,
就可以工作得很好。多播路由需要支持被编译入内核:
options MROUTING
另外,多播路由守护进程——&man.mrouted.8;
必须通过 /etc/mrouted.conf
配置来开启通道和 DVMRP。
更多关于多播路由配置的信息可以在 &man.mrouted.8;
的手册里找到。
陈福康
Marc
Fonvieille
Murray
Stokely
无线网络
wireless networking (无线网络)
802.11
wireless networking (无线网络)
无线网络基础
绝大多数无线网络都采用了 IEEE 802.11
标准。 基本的无线网络中, 都包含多个以 2.4GHz 或 5GHz
频段的无线电波广播的站点 (不过, 随所处地域的不同,
或者为了能够更好地进行通讯, 具体的频率会在
2.3GHz 和 4.9GHz 的范围内变化)。
802.11 网络有两种组织方式: 在
infrastructure 模式 中,
一个通讯站作为主站, 其他通讯站都与其关联;
这种网络称为 BSS, 而主站则成为无线访问点 (AP)。
在 BSS 中, 所有的通讯都是通过 AP 来完成的;
即使通讯站之间要相互通讯, 也必须将消息发给 AP。
在第二种形式的网络中, 并不存在主站,
通讯站之间是直接通讯的。 这种网络形式称作 IBSS,
通常也叫做 ad-hoc
网络。
802.11 网络最初在 2.4GHz 频段上部署,
并采用了由 IEEE 802.11 和 802.11b
标准所定义的协议。 这些标准定义了采用的操作频率、
包括分帧和传输速率 (通讯过程中可以使用不同的速率) 在内的 MAC 层特性等。
稍后的 802.11a 标准定义了使用
5GHz 频段进行操作, 以及不同的信号机制和更高的传输速率。
其后定义的 802.11g 标准启用了在 2.4GHz 上如何使用 802.11a 信号和传输机制,
以提供对较早的 802.11b 网络的向前兼容。
802.11 网络中采用的各类底层传输机制提供了不同类型的安全机制。
最初的 802.11 标准定义了一种称为 WEP 的简单安全协议。
这个协议采用固定的预发布密钥, 并使用 RC4
加密算法来对在网络上传输的数据进行编码。
全部通讯站都必须采用同样的固定密钥才能通讯。
这一格局已经被证明很容易被攻破, 因此目前已经很少使用了,
采用这种方法只能让那些接入网络的用户迅速断开。
最新的安全实践是由
IEEE 802.11i 标准给出的, 它定义了新的加密算法,
并通过一种附加的协议来让通讯站向无线访问点验证身份,
并交换用于进行数据通讯的密钥。 更进一步,
用于加密的密钥会定期地刷新,
而且有机制能够监测入侵的尝试 (并阻止这种尝试)。
无线网络中另一种常用的安全协议标准是 WPA。 这是在 802.11i
之前由业界组织定义的一种过渡性标准。 WPA 定义了在 802.11i
中所规定的要求的子集, 并被设计用来在旧式硬件上实施。
特别地, WPA 要求只使用由最初 WEP
所采用的算法派生的 TKIP 加密算法。 802.11i 则不但允许使用 TKIP,
而且还要求支持更强的加密算法 AES-CCM 来用于加密数据。 (在 WPA
中并没有要求使用 AES 加密算法,
因为在旧式硬件上实施这种算法时所需的计算复杂性太高。)
除了前面介绍的那些协议标准之外,
还有一种需要介绍的标准是 802.11e。 它定义了用于在 802.11
网络上运行多媒体应用, 如视频流和使用 IP 传送的语音 (VoIP) 的协议。
与 802.11i 类似, 802.11e 也有一个前身标准,
通常称作 WME (后改名为 WMM), 它也是由业界组织定义的 802.11e
的子集, 以便能够在旧式硬件中使用多媒体应用。
关于 802.11e 与 WME/WMM 之间的另一项重要区别是,
前者允许对流量通过服务品质
(QoS) 协议和增强媒体访问协议来安排优先级。
对于这些协议的正确实现, 能够实现高速突发数据和流量分级。
从 6.0 版本开始, &os; 支持采用 802.11a, 802.11b 和 802.11g
的网络。 类似地, 它也支持 WPA 和 802.11i 安全协议 (与
11a、 11b 和 11g 配合), 而 WME/WMM 所需要的 QoS 和流量分级,
则在部分无线设备上提供了支持。
基本安装
内核配置
要使用无线网络, 您需要一块无线网卡,
并适当地配置内核令其提供无线网络支持。
后者被分成了多个模块,
因此您只需配置使用您所需要的软件就可以了。
首先您需要的是一个无线设备。 最为常用的一种无线配件是
Atheros 生产的。 这些设备由 &man.ath.4;
驱动程序提供支持, 您需要把下面的配置加入到
/boot/loader.conf 文件中:
if_ath_load="YES"
Atheros 驱动分为三个部分: 驱动部分 (&man.ath.4;)、
用于处理芯片专有功能的支持层
(&man.ath.hal.4;), 以及一组用以选择传输帧速率的算法
(ath_rate_sample here)。 当以模块方式加载这一支持时,
所需的其它模块会自动加载。 如果您使用的不是 Atheros
设备, 则应选择对应的模块; 例如:
if_wi_load="YES"
表示使用基于 Intersil Prism 产品的无线设备
(&man.wi.4; 驱动)。
在这篇文挡余下的部分中, 我们将使用一张
&man.ath.4; 卡作示范, 如果您要套用这些配置的话,
就必须根据实际的配置情况来替换设备名。 在联机手册 &man.wlan.4;
的开头部分给出了一份可用的驱动列表。
如果您的无线设备没有专用于 &os; 的驱动程序,
也可以尝试使用 NDIS
驱动封装机制来直接使用 &windows; 驱动。
在配置好设备驱动之后, 您还需要引入驱动程序所需要的 802.11
网络支持。 对于 &man.ath.4; 驱动而言, 至少需要 &man.wlan.4;
模块; 这个模块会自动随无线设备驱动一同加载。
除此之外, 您还需要提供您希望使用的安全协议所需的加密支持模块。
这些模块是设计来让 &man.wlan.4; 模块根据需要自动加载的,
但目前还必须手工进行配置。 您可以使用下面这些模块: &man.wlan.wep.4;、 &man.wlan.ccmp.4;
和 &man.wlan.tkip.4;。 &man.wlan.ccmp.4; 和
&man.wlan.tkip.4; 这两个驱动都只有在您希望采用 WPA 和/或 802.11i
安全协议时才需要。 如果您的网络是完全开放的 (也就是不加密)
则甚至连 &man.wlan.wep.4; 支持也是不需要的。
要在系统引导时加载这些模块, 就需要在
/boot/loader.conf 中加入下面的配置:
wlan_wep_load="YES"
wlan_ccmp_load="YES"
wlan_tkip_load="YES"
通过系统引导配置文件 (也就是
/boot/loader.conf) 中的这些信息生效,
您必须重新启动运行 &os; 的计算机。 如果不想立刻重新启动,
也可以使用
&man.kldload.8; 来手工加载。
如果不想加载模块, 也可以将这些驱动编译到内核中,
方法是在内核的编译配置文件中加入下面的配置:
device ath # Atheros IEEE 802.11 wireless network driver
device ath_hal # Atheros Hardware Access Layer
device ath_rate_sample # John Bicket's SampleRate control algorithm.
device wlan # 802.11 support (Required)
device wlan_wep # WEP crypto support for 802.11 devices
device wlan_ccmp # AES-CCMP crypto support for 802.11 devices
device wlan_tkip # TKIP and Michael crypto support for 802.11 devices
将这些信息写到内核编译配置文件中之后,
您需要重新编译内核, 并重新启动运行 &os;
的计算机。
在系统启动之后, 您会在引导时给出的信息中,
找到类似下面这样的关于无线设备的信息:
ath0: <Atheros 5212> mem 0xff9f0000-0xff9fffff irq 17 at device 2.0 on pci2
ath0: Ethernet address: 00:11:95:d5:43:62
ath0: mac 7.9 phy 4.5 radio 5.6
Infrastructure 模式
通常的情形中使用的是 infrastructure 模式或称 BSS 模式。
在这种模式中, 有一系列无线访问点接入了有线网络。
每个无线网都会有自己的名字, 这个名字称作网络的 SSID。
无线客户端都通过无线访问点来完成接入。
&os; 客户机
如何查找无线访问点
您可以通过使用
ifconfig 命令来扫描网络。
由于系统需要在操作过程中切换不同的无线频率并探测可用的无线访问点,
这种请求可能需要数分钟才能完成。
只有超级用户才能启动这种扫描:
&prompt.root; ifconfig ath0 up scan
SSID BSSID CHAN RATE S:N INT CAPS
dlinkap 00:13:46:49:41:76 6 54M 29:3 100 EPS WPA WME
freebsdap 00:11:95:c3:0d:ac 1 54M 22:1 100 EPS WPA
在开始扫描之前, 必须将网络接口设为 。
后续的扫描请求就不需要再将网络接口设为 up 了。
扫描会列出所请求到的所有 BSS/IBSS
网络列表。 除了网络的名字
SSID 之外, 我们还会看到
BSSID 即无线访问点的 MAC 地址。
而 CAPS 字段则给出了网络类型及其提供的功能,
其中包括:
E
Extended Service Set (ESS)。 表示通讯站是
infrastructure 网络 (相对于 IBSS/ad-hoc 网络) 的成员。
I
IBSS/ad-hoc 网络。 表示通讯站是 ad-hoc
网络 (相对于 ESS 网络) 的成员。
P
私密。 在 BSS 中交换的全部数据帧均需保证数据保密性。
这表示 BSS 需要通讯站使用加密算法,
例如 WEP、 TKIP 或 AES-CCMP 来加密/解密与其他通讯站交换的数据帧。
S
短前导码 (Short Preamble)。 表示网络采用的是短前导码
(由 802.11b High
Rate/DSSS PHY 定义, 短前导码采用 56-位 同步字段,
而不是在长前导码模式中所采用的 128-位 字段)。
s
短碰撞槽时间 (Short slot time)。 表示由于不存在旧式 (802.11b)
通讯站, 802.11g 网络正使用短碰撞槽时间。
要显示目前已知的网络, 可以使用下面的命令:
&prompt.root; ifconfig ath0 list scan
这些信息可能会由无线适配器自动更新,
也可使用 手动更新。
快取缓存中的旧数据会自动删除,
因此除非进行更多扫描,
这个列表会逐渐缩小。
基本配置
在这一节中我们将展示一个简单的例子来介绍如何让无线网络适配器在 &os;
中以不加密的方式工作。 在您熟悉了这些概念之后,
我们强烈建议您在实际的使用中采用 WPA 来配置网络。
配置无线网络的过程可分为三个基本步骤: 选择无线访问点、
验证您的通讯站身份, 以及配置 IP 地址。
下面的几节中将分步骤地介绍它们。
选择无线访问点
多数时候让系统以内建的探测方式选择无线访问点就可以了。
这是在您将网络接口置为 up 或在
/etc/rc.conf 中配置 IP 地址时的默认方式,
例如:
ifconfig_ath0="DHCP"
如果存在多个无线访问点, 而您希望从中选择具体的一个,
则可以通过指定 SSID 来实现:
ifconfig_ath0="ssid your_ssid_here DHCP"
在某些环境中, 多个访问点可能会使用同样的 SSID (通常,
这样做的目的是简化漫游), 这时可能就需要与某个具体的设备关联了。
这种情况下, 您还应指定无线访问点的
BSSID (这时可以不指定
SSID):
ifconfig_ath0="ssid your_ssid_here bssid xx:xx:xx:xx:xx:xx DHCP"
除此之外, 还有一些其它的方法能够约束查找无线访问点的范围,
例如限制系统扫描的频段, 等等。 如果您的无线网卡支持多个频段,
这样做可能会非常有用, 因为扫描全部可用频段是一个十分耗时的过程。
要将操作限制在某个具体的频段, 可以使用
参数; 例如:
ifconfig_ath0="mode 11g ssid your_ssid_here DHCP"
就会强制卡使用采用 2.4GHz 的 802.11g, 这样在扫描的时候,
就不会考虑那些 5GHz 的频段了。 除此之外, 还可以通过
参数来将操作锁定在特定频率, 以及通过
参数来指定扫描的频段列表。
关于这些参数的进一步信息, 可以在联机手册 &man.ifconfig.8;
中找到。
验证身份
一旦您选定了无线访问点, 您的通讯站就需要完成身份验证,
以便开始发送和接收数据。 身份验证可以通过许多方式进行,
最常用的一种方式称为开放式验证,
它允许任意通讯站加入网络并相互通信。
这种验证方式只应在您第一次配置无线网络进行测试时使用。
其它的验证方式则需要在进行数据通讯之前,
首先进行密钥协商握手; 这些方式要么使用预先分发的密钥或密码,
要么是用更复杂一些的后台服务, 如 RADIUS。
绝大多数用户会使用默认的开放式验证,
而第二多的则是 WPA-PSK, 它也称为个人 WPA, 在 下面
的章节中将进行介绍。
如果您使用 &apple; &airport; Extreme 基站作为无线访问点,
则可能需要同时在两端配置 WEP 共享密钥验证。 这可以通过在
/etc/rc.conf 文件中进行设置, 或使用
&man.wpa.supplicant.8; 程序来手工完成。 如果您只有一个
&airport; 基站, 则可以用类似下面的方法来配置:
ifconfig_ath0="authmode shared wepmode on weptxkey 1 wepkey 01234567 DHCP"
一般而言, 应尽量避免使用共享密钥这种验证方法,
因为它以非常受限的方式使用 WEP 密钥,
使得攻击者能够很容易地破解密钥。 如果必须使用 WEP (例如,
为了兼容旧式的设备) 最好使用
WEP 配合 open 验证方式。
关于 WEP 的更多资料请参见 。
通过 DHCP 获取 IP 地址
在您选定了无线访问点, 并配置了验证参数之后,
还必须获得 IP 地址才能真正开始通讯。 多数时候,
您会通过 DHCP 来获得无线 IP 地址。 要达到这个目的,
只需简单地编辑 /etc/rc.conf 并在配置中加入
DHCP:
ifconfig_ath0="DHCP"
现在您已经完成了启用无线网络接口的全部准备工作了,
下面的操作将启用它:
&prompt.root; /etc/rc.d/netif start
一旦网络接口开始运行, 就可以使用
ifconfig 来查看网络接口 ath0
的状态了:
&prompt.root; ifconfig ath0
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
inet 192.168.1.100 netmask 0xffffff00 broadcast 192.168.1.255
ether 00:11:95:d5:43:62
media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/54Mbps)
status: associated
ssid dlinkap channel 6 bssid 00:13:46:49:41:76
authmode OPEN privacy OFF txpowmax 36 protmode CTS bintval 100
这里的 status: associated
表示您已经连接到了无线网络 (在这个例子中, 这个网络的名字是
dlinkap)。
bssid 00:13:46:49:41:76 是指您所用无线访问点的
MAC 地址;
authmode 这行指出您所做的通讯将不进行加密
(OPEN)。
静态 IP 地址
如果无法从某个 DHCP 服务器获得 IP 地址,
则可以配置一个静态 IP 地址,
方法是将前面的 DHCP 关键字替换为地址信息。
请务必保持其他用于连接无线访问点的参数:
ifconfig_ath0="ssid your_ssid_here inet 192.168.1.100 netmask 255.255.255.0"
WPA
WPA (Wi-Fi 保护访问) 是一种与 802.11 网络配合使用的安全协议,
其目的是消除 WEP 中缺少身份验证能力的问题,
以及一些其它的安全弱点。 WPA 采用了 802.1X 认证协议,
并采用从多种与 WEP 不同的加密算法中选择一种来保证数据保密性。
WPA 支持的唯一一种加密算法是 TKIP (临时密钥完整性协议),
这是一种对 WEP 所采用的基本 RC4 加密算法的扩展,
除此之外还提供了对检测到的入侵的响应机制。 TKIP
被设计用来与旧式硬件一同工作, 只需要进行部分软件修改;
它提供了一种改善安全性的折衷方案,
但仍有可能受到攻击。 WPA 也指定了
AES-CCMP 加密作为 TKIP 的替代品,
在可能时倾向于使用这种加密; 表达这一规范的常用术语是
WPA2 (或 RSN)。
WPA 定义了验证和加密协议。
验证通常是使用两种方法之一来完成的: 通过 802.1X
或类似 RADIUS 这样的后端验证服务,
或通过在通讯站和无线访问点之间通过事先分发的密码来进行最小握手。
前一种通常称作企业 WPA, 而后者通常也叫做个人 WPA。
因为多数人不会为无线网络配置 RADIUS 后端服务器, 因此
WPA-PSK 是在 WPA 中最为常见的一种。
对无线连接的控制和身份验证工作 (密钥协商或通过服务器验证)
是通过 &man.wpa.supplicant.8; 工具来完成的。
这个程序运行时需要一个配置文件,
/etc/wpa_supplicant.conf。
关于这个文件的更多信息, 请参考联机手册
&man.wpa.supplicant.conf.5;。
WPA-PSK
WPA-PSK 也称作 个人-WPA, 它基于预先分发的密钥 (PSK),
这个密钥是根据作为无线网络上使用的主密钥的密码生成的。
这表示每个无线用户都会使用同样的密钥。 WPA-PSK
主要用于小型网络, 在这种网络中,
通常不需要或没有办法架设验证服务器。
无论何时, 都应使用足够长, 且包括尽可能多字母和数字的强口令,
以免被猜出和/或攻击。
第一步是修改配置文件
/etc/wpa_supplicant.conf,
并在其中加入在您网络上使用的 SSID 和事先分发的密钥:
network={
ssid="freebsdap"
psk="freebsdmall"
}
接下来, 在 /etc/rc.conf 中,
我们将指定无线设备的配置, 令其采用 WPA,
并通过 DHCP 来获取 IP 地址:
ifconfig_ath0="WPA DHCP"
下面, 启用无线网络接口:
&prompt.root; /etc/rc.d/netif start
Starting wpa_supplicant.
DHCPDISCOVER on ath0 to 255.255.255.255 port 67 interval 5
DHCPDISCOVER on ath0 to 255.255.255.255 port 67 interval 6
DHCPOFFER from 192.168.0.1
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPACK from 192.168.0.1
bound to 192.168.0.254 -- renewal in 300 seconds.
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:11:95:d5:43:62
media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/36Mbps)
status: associated
ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
authmode WPA privacy ON deftxkey UNDEF TKIP 2:128-bit txpowmax 36
protmode CTS roaming MANUAL bintval 100
除此之外, 您也可以手动地使用 above 中那份
/etc/wpa_supplicant.conf 来配置,
方法是执行:
&prompt.root; wpa_supplicant -i ath0 -c /etc/wpa_supplicant.conf
Trying to associate with 00:11:95:c3:0d:ac (SSID='freebsdap' freq=2412 MHz)
Associated with 00:11:95:c3:0d:ac
WPA: Key negotiation completed with 00:11:95:c3:0d:ac [PTK=TKIP GTK=TKIP]
接下来的操作, 是运行
dhclient 命令来从 DHCP 服务器获取 IP:
&prompt.root; dhclient ath0
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPACK from 192.168.0.1
bound to 192.168.0.254 -- renewal in 300 seconds.
&prompt.root; ifconfig ath0
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:11:95:d5:43:62
media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/48Mbps)
status: associated
ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
authmode WPA privacy ON deftxkey UNDEF TKIP 2:128-bit txpowmax 36
protmode CTS roaming MANUAL bintval 100
如果 /etc/rc.conf 的配置中,
使用了 ifconfig_ath0="DHCP",
就不需要手工运行
dhclient 命令了, 因为
dhclient 将在
wpa_supplicant 探测到密钥之后执行。
在这个例子中, DHCP 并不可用, 您可以在
wpa_supplicant 为通讯站完成了身份认证之后,
指定静态 IP 地址:
&prompt.root; ifconfig ath0 inet 192.168.0.100 netmask 255.255.255.0
&prompt.root; ifconfig ath0
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
inet 192.168.0.100 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:11:95:d5:43:62
media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/36Mbps)
status: associated
ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
authmode WPA privacy ON deftxkey UNDEF TKIP 2:128-bit txpowmax 36
protmode CTS roaming MANUAL bintval 100
如果没有使用 DHCP, 还需要手工配置默认网关,
以及域名服务器:
&prompt.root; route add default your_default_router
&prompt.root; echo "nameserver your_DNS_server" >> /etc/resolv.conf
使用 EAP-TLS 的 WPA
使用 WPA 的第二种方式是使用 802.1X 后端验证服务器,
在这个例子中, WPA 也称作 企业-WPA,
以便与安全性较差、 采用事先分发密钥的 个人-WPA 区分开来。
在 企业-WPA 中, 验证操作是采用 EAP 完成的
(可扩展认证协议)。
EAP 并未附带加密方法,
因此设计者决定将 EAP 放在加密信道中进行传送。
为此设计了许多 EAP 验证方法,
最常用的方法是 EAP-TLS、 EAP-TTLS 和
EAP-PEAP。
EAP-TLS (带 传输层安全 的 EAP)
是一种在无线世界中得到了广泛支持的验证协议,
因为它是 Wi-Fi 联盟
核准的第一个 EAP 方法。
EAP-TLS 需要使用三个证书: CA
证书 (在所有计算机上安装)、 用以向您证明服务器身份的服务器证书,
以及每个无线客户端用于证明身份的客户机证书。 在这种
EAP 方式中, 验证服务器和无线客户端均通过自己的证书向对方证明身份,
它们均验证对方的证书是本机构的证书发证机构 (CA) 签发的。
与之前介绍的方法类似, 配置也是通过
/etc/wpa_supplicant.conf 来完成的:
network={
ssid="freebsdap"
proto=RSN
key_mgmt=WPA-EAP
eap=TLS
identity="loader"
ca_cert="/etc/certs/cacert.pem"
client_cert="/etc/certs/clientcert.pem"
private_key="/etc/certs/clientkey.pem"
private_key_passwd="freebsdmallclient"
}
这个字段表示网络名
(SSID)。
这里, 我们使用 RSN (IEEE 802.11i) 协议, 也就是
WPA2。
key_mgmt 这行表示所用的密钥管理协议。
在我们的例子中, 它是使用 EAP 验证的 WPA:
WPA-EAP。
这个字段中, 提到了我们的连接采用 EAP 方式。
identity 字段包含了 EAP 的实体串。
ca_cert 字段给出了 CA 证书文件的路径名。
在验证服务器证书时, 这个文件是必需的。
client_cert 这行给出了客户机证书的路径名。
对每个无线客户端而言, 这个证书都是在全网范围内唯一的。
private_key 字段是客户机证书私钥文件的路径名。
private_key_passwd 字段是私钥的口令字。
接着, 把下面的配置加入到
/etc/rc.conf:
ifconfig_ath0="WPA DHCP"
下一步是使用 rc.d 机制来启用网络接口:
&prompt.root; /etc/rc.d/netif start
Starting wpa_supplicant.
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPACK from 192.168.0.20
bound to 192.168.0.254 -- renewal in 300 seconds.
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:11:95:d5:43:62
media: IEEE 802.11 Wireless Ethernet autoselect (DS/11Mbps)
status: associated
ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
authmode WPA2/802.11i privacy ON deftxkey UNDEF TKIP 2:128-bit
txpowmax 36 protmode CTS roaming MANUAL bintval 100
如前面提到的那样, 也可以手工通过
wpa_supplicant 和
ifconfig 命令达到类似的目的。
使用 EAP-TTLS 的 WPA
在使用 EAP-TLS 时, 参与验证过程的服务器和客户机都需要证书,
而在使用 EAP-TTLS (带传输层安全隧道的 EAP) 时,
客户机证书则是可选的。 这种方式与某些安全 web
站点更为接近, 即使访问者没有客户端证书,
这些 web 服务器也能建立安全的 SSL 隧道。
EAP-TTLS 会使用加密的 TLS
隧道来传送验证信息。
对于它的配置, 同样是通过
/etc/wpa_supplicant.conf
文件来进行的:
network={
ssid="freebsdap"
proto=RSN
key_mgmt=WPA-EAP
eap=TTLS
identity="test"
password="test"
ca_cert="/etc/certs/cacert.pem"
phase2="auth=MD5"
}
这个字段是我们的连接所采用的 EAP 方式。
identity 字段中是在加密 TLS 隧道中用于 EAP
验证的身份串。
password 字段中是用于 EAP
验证的口令字。
ca_cert 字段给出了 CA 证书文件的路径名。
在验证服务器证书时, 这个文件是必需的。
这个字段中给出了加密 TLS 隧道中使用的验证方式。
在这个例子中, 我们使用的是带 MD5-加密口令 的 EAP。
inner authentication
(译注:内部鉴定) 通常也叫
phase2
。
您还必须把下面的配置加入到
/etc/rc.conf:
ifconfig_ath0="WPA DHCP"
下一步是启用网络接口:
&prompt.root; /etc/rc.d/netif start
Starting wpa_supplicant.
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPACK from 192.168.0.20
bound to 192.168.0.254 -- renewal in 300 seconds.
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:11:95:d5:43:62
media: IEEE 802.11 Wireless Ethernet autoselect (DS/11Mbps)
status: associated
ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
authmode WPA2/802.11i privacy ON deftxkey UNDEF TKIP 2:128-bit
txpowmax 36 protmode CTS roaming MANUAL bintval 100
使用 EAP-PEAP 的 WPA
PEAP (受保护的 EAP) 被设计用以替代 EAP-TTLS。
有两种类型的 PEAP 方法, 最常用的是 PEAPv0/EAP-MSCHAPv2。
在这篇文档余下的部分中, 术语 PEAP 是指这种 EAP 方法。
PEAP 是在 EAP-TLS 之后最为常用的 EAP 标准,
换言之, 如果您的网络中有多种不同的操作系统,
PEAP 将是仅次于 EAP-TLS 的支持最广的标准。
PEAP 与 EAP-TTLS 很像: 它使用服务器端证书,
通过在客户端与验证服务器之间建立加密的 TLS 隧道来向用户验证身份,
这保护了验证信息的交换过程。 在安全方面,
EAP-TTLS 与 PEAP 的区别是 PEAP 会以明文广播用户名,
只有口令是通过加密 TLS 隧道传送的。 而
EAP-TTLS 在传送用户名和口令时, 都使用 TLS 隧道。
我们需要编辑
/etc/wpa_supplicant.conf 文件,
并加入与 EAP-PEAP 有关的配置:
network={
ssid="freebsdap"
proto=RSN
key_mgmt=WPA-EAP
eap=PEAP
identity="test"
password="test"
ca_cert="/etc/certs/cacert.pem"
phase1="peaplabel=0"
phase2="auth=MSCHAPV2"
}
这个字段的内容是用于连接的 EAP 方式。
identity 字段中是在加密 TLS 隧道中用于 EAP
验证的身份串。
password 字段中是用于 EAP
验证的口令字。
ca_cert 字段给出了 CA 证书文件的路径名。
在验证服务器证书时, 这个文件是必需的。
这个字段包含了第一阶段验证 (TLS
隧道) 的参数。 随您使用的验证服务器的不同,
您需要指定验证的标签。 多数时候,
标签应该是 客户端 EAP 加密
,
这可以通过使用 peaplabel=0 来指定。
更多信息可以在联机手册
&man.wpa.supplicant.conf.5; 中找到。
这个字段的内容是验证协议在加密的 TLS 隧道中使用的信息。
对 PEAP 而言, 这是
auth=MSCHAPV2。
您还必须把下面的配置加入到
/etc/rc.conf:
ifconfig_ath0="WPA DHCP"
下一步是启用网络接口:
&prompt.root; /etc/rc.d/netif start
Starting wpa_supplicant.
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPACK from 192.168.0.20
bound to 192.168.0.254 -- renewal in 300 seconds.
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:11:95:d5:43:62
media: IEEE 802.11 Wireless Ethernet autoselect (DS/11Mbps)
status: associated
ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
authmode WPA2/802.11i privacy ON deftxkey UNDEF TKIP 2:128-bit
txpowmax 36 protmode CTS roaming MANUAL bintval 100
WEP
WEP (有线等效协议) 是最初
802.11 标准的一部分。 其中没有提供身份验证机制,
只提供了弱访问控制, 而且很容易破解。
WEP 可以通过
ifconfig 配置:
&prompt.root; ifconfig ath0 ssid my_net wepmode on weptxkey 3 wepkey 3:0x3456789012 \
inet 192.168.1.100 netmask 255.255.255.0
weptxkey 指明了使用哪个 WEP
密钥来进行数据传输。 这里我们使用第三个密钥。
它必须与无线访问点的配置一致。
wepkey 表示设置所选的 WEP 密钥。
其格式应为
index:key, 如果没有给出 index 值,
则默认为 1。 因此,
如果需要设置的密钥不是第一个, 就必需指定 index 了。
您需要将 0x3456789012 改为在无线接入点上配置的那个。
我们建议您阅读联机手册 &man.ifconfig.8; 来了解进一步的信息。
wpa_supplicant 机制也可以用来配置您的无线网卡使用 WEP。
前面的例子也可以通过在
/etc/wpa_supplicant.conf 中加入下述设置来实现:
network={
ssid="my_net"
key_mgmt=NONE
wep_key3=3456789012
wep_tx_keyidx=3
}
接着:
&prompt.root; wpa_supplicant -i ath0 -c /etc/wpa_supplicant.conf
Trying to associate with 00:13:46:49:41:76 (SSID='dlinkap' freq=2437 MHz)
Associated with 00:13:46:49:41:76
Ad-hoc 模式
IBSS 模式, 也称为 ad-hoc 模式, 是为点对点连接设计的。
例如, 如果希望在计算机 A 和
B 之间建立 ad-hoc 网络,
我们只需选择两个 IP 地址和一个 SSID 就可以了。
在计算机 A 上:
&prompt.root; ifconfig ath0 ssid freebsdap mediaopt adhoc inet 192.168.0.1 netmask 255.255.255.0
&prompt.root; ifconfig ath0
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
inet6 fe80::211:95ff:fec3:dac%ath0 prefixlen 64 scopeid 0x4
ether 00:11:95:c3:0d:ac
media: IEEE 802.11 Wireless Ethernet autoselect <adhoc> (autoselect <adhoc>)
status: associated
ssid freebsdap channel 2 bssid 02:11:95:c3:0d:ac
authmode OPEN privacy OFF txpowmax 36 protmode CTS bintval 100
此处的 adhoc 参数表示无线网络接口应以 IBSS 模式运转。
此时, 在 B 上应该能够检测到
A 的存在了:
&prompt.root; ifconfig ath0 up scan
SSID BSSID CHAN RATE S:N INT CAPS
freebsdap 02:11:95:c3:0d:ac 2 54M 19:3 100 IS
在输出中的 I 再次确认了 A
机是以 ad-hoc 模式运行的。 我们只需给 B 配置一不同的 IP
地址:
&prompt.root; ifconfig ath0 ssid freebsdap mediaopt adhoc inet 192.168.0.2 netmask 255.255.255.0
&prompt.root; ifconfig ath0
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:11:95:d5:43:62
media: IEEE 802.11 Wireless Ethernet autoselect <adhoc> (autoselect <adhoc>)
status: associated
ssid freebsdap channel 2 bssid 02:11:95:c3:0d:ac
authmode OPEN privacy OFF txpowmax 36 protmode CTS bintval 100
这样, A 和 B 就可以交换信息了。
&os; 基于主机的(无线)访问接入点
&os; 可以作为一个(无线)访问接入点(AP),
这样可以不必再去买一个硬件 AP 或者使用 ad-hoc 模式的网络。
当你的 &os; 机器作为网关连接到另外一个网络的时候将非常有用。
基本配置
在把你的 &os; 机器配置成一个 AP 以前,
你首先需要先在内核配置好对你的无线网卡的无线网络支持。
当然你还需要加上你想用的安全协议。想获得更详细的信息,
请参阅 。
目前还不支持使用 &windows; 驱动和 NDIS
驱动包装的网卡做为 AP 使用。只有 &os;
原生的无线驱动能够支持 AP 模式。
一旦装载了无线网络的支持,
你就可以检查一下看看你的无线设备是否支持基于主机的无线访问接入模式
(通常也被称为 hostap 模式):
&prompt.root; ifconfig ath0 list caps
ath0=783ed0f<WEP,TKIP,AES,AES_CCM,IBSS,HOSTAP,AHDEMO,TXPMGT,SHSLOT,SHPREAMBLE,MONITOR,TKIPMIC,WPA1,WPA2,BURST,WME>
这段输出显示了网卡所支持的各种功能; 其中的关键字
HOSTAP
表示这块无线网卡能作为一个(无线)访问接入点使用。
同时也提到了各种加密算法: WEP,TKIP,WPA2,等等,
这些信息对于知道在访问接入点上使用何种安全协议非常重要。
现在这块无线设备在配置了正确的 SSID 和 IP
地址后进入 hostap 模式了。
&prompt.root; ifconfig ath0 ssid freebsdap mode 11g mediaopt hostap inet 192.168.0.1 netmask 255.255.255.0
再一次用 ifconfig 查看一下
ath0 网络接口的状态:
&prompt.root; ifconfig ath0
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
inet6 fe80::211:95ff:fec3:dac%ath0 prefixlen 64 scopeid 0x4
ether 00:11:95:c3:0d:ac
media: IEEE 802.11 Wireless Ethernet autoselect mode 11g <hostap>
status: associated
ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
authmode OPEN privacy OFF txpowmax 38 bmiss 7 protmode CTS burst dtimperiod 1 bintval 100
hostap
参数说明这个网络接口目前正运行在基于主机的接入访问模式。
也可以在 /etc/rc.conf
中加入以下这行使得网络界面的配置能够在机器启动的时候自动完成:
ifconfig_ath0="ssid freebsdap mode 11g mediaopt hostap inet 192.168.0.1 netmask 255.255.255.0"
不使用认证或加密的(无线)访问接入点
尽管我们不推荐运行一个不使用任何认证或加密的 AP,
但这是一个非常简单的检测 AP 是否正常工作的方法。
这样配置对于调试客户端问题也非常重要。
一旦 AP 被配置成了我们前面所展示的那样,
就可以在另外一台无线机器上初始化一次扫描来找到这个 AP:
&prompt.root; ifconfig ath0 up scan
SSID BSSID CHAN RATE S:N INT CAPS
freebsdap 00:11:95:c3:0d:ac 1 54M 22:1 100 ES
在客户机上能看到已经连接上了(无线)访问接入点:
&prompt.root; ifconfig ath0 ssid freebsdap inet 192.168.0.2 netmask 255.255.255.0
&prompt.root; ifconfig ath0
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1
inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:11:95:d5:43:62
media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/54Mbps)
status: associated
ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
authmode OPEN privacy OFF txpowmax 36 protmode CTS bintval 100
使用 WPA 的(无线)访问接入点
这一段将注重介绍在 &os; (无线)访问接入点上配置使用
WPA 安全协议。 更多有关 WPA 和配置基于 WPA 无线客户端的细节
请参阅 。
hostapd
守护进程将被用于处理与客户端的认证和在启用 WPA
(无线)访问接入点上的密钥管理。
接下来,所有的配置操作都将在作为 AP 的 &os; 机器上完成。
一旦 AP 能够正确的工作了,便把如下这行加入
/etc/rc.conf 使得
hostapd
能在机器启动的时候自动运行:
hostapd_enable="YES"
在配置 hostapd 以前,
请确保你已经完成了基本配置中所介绍的步骤 。
WPA-PSK
WPA-PSK 旨在为没有认证服务器的小型网络而设计的。
配置文件为
/etc/hostapd.conf file:
interface=ath0
debug=1
ctrl_interface=/var/run/hostapd
ctrl_interface_group=wheel
ssid=freebsdap
wpa=1
wpa_passphrase=freebsdmall
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP TKIP
这一项标明了访问接入点所使用的无线接口。
这一项设置了执行 hostapd
时候显示相关信息的详细程度。
1 表示最小的级别。
ctrl_interface 这项给出了
hostapd
存储与其他外部程序(比如 &man.hostapd.cli.8;)
通信的域套接口文件路径。这里使用了默认值。
ctrl_interface_group
这行设置了允许访问控制界面文件的组属性
(这里我们使用了 wheel 组)。
这一项是设置网络的名称。
wpa 这项表示启用了 WPA
而且指明要使用何种 WPA 认证协议。
值 1 表示 AP 将使用 WPA-PSK。
wpa_passphrase
这项包含用于 WPA 认证的 ASCII 密码。
通常使用从丰富的字母表生成足够长度的强壮密码,
以不至于被轻易的猜测或攻击到。
wpa_key_mgmt
这行表明了我们所使用的密钥管理协议。
在这个例子中是 WPA-PSK。
wpa_pairwise
这项表示(无线)访问接入点所接受的加密算法。
在这个例子中,TKIP(WPA) 和 CCMP(WPA2) 密码都会被接受。
CCMP 密码是除 TKIP 外的另一种选择,
CCMP 一般作为首选密码;
仅有在 CCMP 不能被使用的环境中选择 TKIP。
接下来的一步就是运行
hostapd:
&prompt.root /etc/rc.d/hostapd forcestart
&prompt.root; ifconfig ath0
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 2290
inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
inet6 fe80::211:95ff:fec3:dac%ath0 prefixlen 64 scopeid 0x4
ether 00:11:95:c3:0d:ac
media: IEEE 802.11 Wireless Ethernet autoselect mode 11g <hostap>
status: associated
ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
authmode WPA2/802.11i privacy MIXED deftxkey 2 TKIP 2:128-bit txpowmax 36 protmode CTS dtimperiod 1 bintval 100
现在客户端能够连接上运行的(无线)访问接入点了,
更多细节可以参阅 。
查看有哪些客户连接上了 AP 可以运行命令
ifconfig ath0 list
sta。
使用 WEP 的(无线)访问接入点
我们不推荐使用 WEP 来设置一个(无线)访问接入点,
因为没有认证的机制并容易被破解。 一些历史遗留下的无线网卡仅支持
WEP 作为安全协议, 这些网卡仅允许搭建不含认证或 WEP
协议的 AP。
在设置了正确的 SSID 和 IP 地址后,无线设备就可以进入
hostap 模式了:
&prompt.root; ifconfig ath0 ssid freebsdap wepmode on weptxkey 3 wepkey 3:0x3456789012 mode 11g mediaopt hostap \
inet 192.168.0.1 netmask 255.255.255.0
weptxkey 表示传输中使用哪一个
WEP 密钥。 这个例子中用了第3把密钥(请注意密钥的编号从
1开始)。
这个参数必须设置以用来加密数据。
wepkey 表示设置所使用的 WEP
密钥。 它应该符合 index:key
这样的格式。 如果没有指定 index,那么默认值为
1。
这就是说如果我们使用了除第一把以外的密钥,
那么就需要指定 index。
再使用一次 ifconfig 命令查看
ath0 接口的状态:
&prompt.root; ifconfig ath0
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
inet6 fe80::211:95ff:fec3:dac%ath0 prefixlen 64 scopeid 0x4
ether 00:11:95:c3:0d:ac
media: IEEE 802.11 Wireless Ethernet autoselect mode 11g <hostap>
status: associated
ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac
authmode OPEN privacy ON deftxkey 3 wepkey 3:40-bit txpowmax 36 protmode CTS dtimperiod 1 bintval 100
现在可以从另外一台无线机器上初始化一次扫描来找到这个
AP 了:
&prompt.root; ifconfig ath0 up scan
SSID BSSID CHAN RATE S:N INT CAPS
freebsdap 00:11:95:c3:0d:ac 1 54M 22:1 100 EPS
现在客户机能够使用正确的参数(密钥等)
找到并连上(无线)访问接入点了,
更多细节请参阅。
故障排除
如果您在使用无线网络时遇到了麻烦,
此处提供了一系列用以帮助排除故障的步骤。
如果您在列表中找不到无线访问点,
请确认您没有将无线设备配置为使用有限的一组频段。
如果您无法关联到无线访问点,
请确认您的通讯站配置与无线访问点的配置一致。
这包括认证模式以及安全协议。 尽可能简化您的配置。
如果您正使用类似 WPA 或 WEP 这样的安全协议,
请将无线访问点配置为开放验证和不采用安全措施,
并检查是否数据能够通过。
一旦您能够关联到无线访问点之后,
就可以使用简单的工具如 &man.ping.8; 来诊断安全配置了。
wpa_supplicant 提供了许多调试支持;
尝试手工运行它, 在启动时指定
选项, 并察看输出结果。
除此之外还有许多其它的底层调试工具。
您可以使用 /usr/src/tools/tools/net80211
中的 wlandebug 命令来启用 802.11
协议支持层的调试功能。 例如:
&prompt.root; wlandebug -i ath0 +scan+auth+debug+assoc
net.wlan.0.debug: 0 => 0xc80000<assoc,auth,scan>
可以用来启用与扫描无线访问点和 802.11
协议在安排通讯时与握手有关的控制台信息。
还有许多有用的统计信息是由 802.11 层维护的;
wlanstats 工具可以显示这些信息。
这些统计数据能够指出由 802.11 层识别出来的错误。
请注意某些错误可能是由设备驱动在 802.11 层之下识别出来的,
因此这些错误可能并不显示。 要诊断与设备有关的问题,
您需要参考设备驱动程序的文档。
如果上述信息没能帮助您找到具体的问题所在,
请提交问题报告, 并在其中附上这些工具的输出。
Pav
Lucistnik
作者:
pav@FreeBSD.org
张
雪平
中文翻译:
zxpmyth@yahoo.com.cn
袁
苏义
蓝牙
蓝牙
简介
Bluetooth (蓝牙) 是一项无线技术,
用于建立带宽为 2.4GHZ,波长为 10 米的私有网络。
网络一般是由便携式设备,比加手机 (cellular phone),
掌上电脑 (handhelds) 和膝上电脑 (laptops)) 以 ad-hoc
形式组成。不象其它流行的无线技术——Wi-Fi,Bluetooth
提供了更高级的服务层面,像类 FTP 的文件服务、文件推送
(file pushing)、语音传送、串行线模拟等等。
在 &os; 里,蓝牙栈 (Bluetooth stack) 通过使用
Netgraph 框架 (请看 &man.netgraph.4;) 来的实现。
大量的"Bluetooth USB dongle"由 &man.ng.ubt.4; 驱动程序支持。
基于 Broadcom BCM2033 芯片组的 Bluetooth 设备可以通过
&man.ubtbcmfw.4; 和 &man.ng.ubt.4; 驱动程序支持。
3Com Bluetooth PC 卡 3CRWB60-A 由 &man.ng.bt3c.4; 驱动程序支持。
基于 Serial 和 UART 的蓝牙设备由 &man.sio.4;、&man.ng.h4.4;
和 &man.hcseriald.8;。本节介绍 USB Bluetooth dongle
的使用。
插入设备
默认的 Bluetooth 设备驱动程序已存在于内核模块里。
接入设备前,您需要将驱动程序加载入内核:
&prompt.root; kldload ng_ubt
如果系统启动时 Bluetooth 设备已经存在于系统里,
那么从 /boot/loader.conf 里加载这个模块:
ng_ubt_load="YES"
插入USB dongle。控制台(console)(或syslog中)会出现类似如下的信息:
ubt0: vendor 0x0a12 product 0x0001, rev 1.10/5.25, addr 2
ubt0: Interface 0 endpoints: interrupt=0x81, bulk-in=0x82, bulk-out=0x2
ubt0: Interface 1 (alt.config 5) endpoints: isoc-in=0x83, isoc-out=0x3,
wMaxPacketSize=49, nframes=6, buffer size=294
在 &os; 6.0, 以及 &os; 5.X 系列中 5.5 之前的版本上,
蓝牙栈必须手动启动。 在 &os; 5.5、 6.1 以及更新一些的版本上,
这一工作会由 &man.devd.8; 自动完成。
复制 /usr/share/examples/netgraph/bluetooth/rc.bluetooth
到一个合适的地方,如 /etc/rc.bluetooth。
这个脚本用于启动和停止 Bluetooth stack (蓝牙栈)。
最好在拔出设备前停止 stack(stack),当然也不是非做不可。
启动 stack (栈) 时,会得到如下的输出:
&prompt.root; /etc/rc.bluetooth start ubt0
BD_ADDR: 00:02:72:00:d4:1a
Features: 0xff 0xff 0xf 00 00 00 00 00
<3-Slot> <5-Slot> <Encryption> <Slot offset>
<Timing accuracy> <Switch> <Hold mode> <Sniff mode>
<Park mode> <RSSI> <Channel quality> <SCO link>
<HV2 packets> <HV3 packets> <u-law log> <A-law log> <CVSD>
<Paging scheme> <Power control> <Transparent SCO data>
Max. ACL packet size: 192 bytes
Number of ACL packets: 8
Max. SCO packet size: 64 bytes
Number of SCO packets: 8
HCI
主控制器接口 (HCI)
主控制器接口 (HCI)
提供了通向基带控制器和连接管理器的命令接口及访问硬件状态字和控制寄存器的通道。
这个接口提供了访问蓝牙基带 (Bluetooth baseband) 功能的统一方式。
主机上的 HCI 层与蓝牙硬件上的 HCI 固件交换数据和命令。
主控制器的传输层 (如物理总线) 驱动程序提供两个 HCI
层交换信息的能力。
为每个蓝牙 (Bluetooth) 设备创建一个
hci 类型的 Netgraph 结点。
HCI 结点一般连接蓝牙设备的驱动结点 (下行流) 和
L2CAP 结点 (上行流)。 所有的HCI操作必须在 HCI
结点上进行而不是设备驱动结点。HCI 结点的默认名是
devicehci
。更多细节请参考
&man.ng.hci.4; 的联机手册。
最常见的任务是发现在 RF proximity
中的蓝牙 (Bluetooth) 设备。这个就叫做
质询(inquiry)。质询及 HCI
相关的操作可以由 &man.hccontrol.8; 工具来完成。
以下的例子展示如何找出范围内的蓝牙设备。
在几秒钟内您应该得到一张设备列表。
注意远程主机只有被置于
discoverable(可发现)
模式才能答应质询。
&prompt.user; hccontrol -n ubt0hci inquiry
Inquiry result, num_responses=1
Inquiry result #0
BD_ADDR: 00:80:37:29:19:a4
Page Scan Rep. Mode: 0x1
Page Scan Period Mode: 00
Page Scan Mode: 00
Class: 52:02:04
Clock offset: 0x78ef
Inquiry complete. Status: No error [00]
BD_ADDR 是蓝牙设备的特定地址,
类似于网卡的 MAC 地址。需要用此地址与某个设备进一步地通信。
可以为 BD_ADDR 分配由人可读的名字 (human readable name)。
文件 /etc/bluetooth/hosts
包含已知蓝牙主机的信息。
下面的例子展示如何获得分配给远程设备的可读名。
&prompt.user; hccontrol -n ubt0hci remote_name_request 00:80:37:29:19:a4
BD_ADDR: 00:80:37:29:19:a4
Name: Pav's T39
如果在远程蓝牙上运行质询,您会发现您的计算机是
your.host.name (ubt0)
。
分配给本地设备的名字可随时改变。
蓝牙系统提供点对点连接 (只有两个蓝牙设备参与)
和点对多点连接。在点对多点连接中,连接由多个蓝牙设备共享。
以下的例子展示如何取得本地设备的活动基带 (baseband)
连接列表。
&prompt.user; hccontrol -n ubt0hci read_connection_list
Remote BD_ADDR Handle Type Mode Role Encrypt Pending Queue State
00:80:37:29:19:a4 41 ACL 0 MAST NONE 0 0 OPEN
connection handle(连接柄)
在需要终止基带连接时有用。注意:一般不需要手动完成。
栈 (stack) 会自动终止不活动的基带连接。
&prompt.root; hccontrol -n ubt0hci disconnect 41
Connection handle: 41
Reason: Connection terminated by local host [0x16]
参考 hccontrol help
获取完整的 HCI 命令列表。大部分 HCI
命令不需要超级用户权限。
L2CAP
逻辑连接控制和适配协议(L2CAP)
逻辑连接控制和适配协议 (L2CAP)
为上层协议提供面向连接和无连接的数据服务,
并提供多协议功能和分割重组操作。L2CAP
充许上层协议和应用软件传输和接收最大长度为
64K 的 L2CAP 数据包。
L2CAP 基于 通道(channel) 的概念。
通道 (Channel) 是位于基带 (baseband) 连接之上的逻辑连接。
每个通道以多对一的方式绑定一个单一协议 (single protocol)。
多个通道可以绑定同一个协议,但一个通道不可以绑定多个协议。
每个在通道里接收到的 L2CAP 数据包被传到相应的上层协议。
多个通道可共享同一个基带连接。
为每个蓝牙 (Bluetooth) 设备创建一个
l2cap 类型的 Netgraph 结点。
L2CAP 结点一般连接 HCI 结点(下行流)和蓝牙设备的驱动结点(上行流)。
L2CAP 结点的默认名是 devicel2cap
。
更多细节请参考 &man.ng.l2cap.4; 的联机手册。
一个有用的命令是 &man.l2ping.8;,
它可以用来 ping 其它设备。
一些蓝牙实现可能不会返回所有发送给它们的数据,
所以下例中的 0 bytes 是正常的。
&prompt.root; l2ping -a 00:80:37:29:19:a4
0 bytes from 0:80:37:29:19:a4 seq_no=0 time=48.633 ms result=0
0 bytes from 0:80:37:29:19:a4 seq_no=1 time=37.551 ms result=0
0 bytes from 0:80:37:29:19:a4 seq_no=2 time=28.324 ms result=0
0 bytes from 0:80:37:29:19:a4 seq_no=3 time=46.150 ms result=0
&man.l2control.8; 工具用于在 L2CAP 上进行多种操作。
以下这个例子展示如何取得本地设备的逻辑连接 (通道)
和基带连接的列表:
&prompt.user; l2control -a 00:02:72:00:d4:1a read_channel_list
L2CAP channels:
Remote BD_ADDR SCID/ DCID PSM IMTU/ OMTU State
00:07:e0:00:0b:ca 66/ 64 3 132/ 672 OPEN
&prompt.user; l2control -a 00:02:72:00:d4:1a read_connection_list
L2CAP connections:
Remote BD_ADDR Handle Flags Pending State
00:07:e0:00:0b:ca 41 O 0 OPEN
另一个诊断工具是 &man.btsockstat.1;。
它完成与 &man.netstat.1; 类似的操作,
只是用了蓝牙网络相关的数据结构。
以下这个例子显示与 &man.l2control.8; 相同的逻辑连接。
&prompt.user; btsockstat
Active L2CAP sockets
PCB Recv-Q Send-Q Local address/PSM Foreign address CID State
c2afe900 0 0 00:02:72:00:d4:1a/3 00:07:e0:00:0b:ca 66 OPEN
Active RFCOMM sessions
L2PCB PCB Flag MTU Out-Q DLCs State
c2afe900 c2b53380 1 127 0 Yes OPEN
Active RFCOMM sockets
PCB Recv-Q Send-Q Local address Foreign address Chan DLCI State
c2e8bc80 0 250 00:02:72:00:d4:1a 00:07:e0:00:0b:ca 3 6 OPEN
RFCOMM
RFCOMM 协议
RFCOMM 协议提供基于 L2CAP 协议的串行端口模拟。
该协议基于 ETSI TS 07.10 标准。RFCOMM 是一个简单的传输协议,
附加了摸拟 9 针 RS-232(EIATIA-232-E) 串行端口的定义。
RFCOMM 协议最多支持 60 个并发连接 (RFCOMM通道)。
为了实现 RFCOMM,
运行于不同设备上的应用程序建立起一条关于它们之间通信段的通信路径。
RFCOMM实际上适用于使用串行端口的应用软件。
通信段是一个设备到另一个设备的蓝牙连接 (直接连接)。
RFCOMM 关心的只是直接连接设备之间的连接,
或在网络里一个设备与 modem 之间的连接。RFCOMM 能支持其它的配置,
比如在一端通过蓝牙无线技术通讯而在另一端使用有线接口。
在&os;,RFCOMM 协议在蓝牙套接字层 (Bluetooth sockets layer) 实现。
结对
设备的结对(Pairing of Devices)
默认情况下,蓝牙通信是不需要验证的,
任何设备可与其它任何设备对话。一个蓝牙设备 (比如手机)
可以选择通过验证以提供某种特殊服务 (比如拨号服务)。
蓝牙验证一般使用 PIN码(PIN codes)。
一个 PIN 码是最长为 16 个字符的 ASCII 字符串。
用户需要在两个设备中输入相同的PIN码。用户输入了 PIN 码后,
两个设备会生成一个 连接密匙(link key)。
接着连接密钥可以存储在设备或存储器中。
连接时两个设备会使用先前生成的连接密钥。
以上介绍的过程被称为 结对(pairing)。
注意如果任何一方丢失了连接密钥,必须重新进行结对。
守护进程 &man.hcsecd.8; 负责处理所有蓝牙验证请求。
默认的配置文件是 /etc/bluetooth/hcsecd.conf。
下面的例子显示一个手机的 PIN 码被预设为1234
:
device {
bdaddr 00:80:37:29:19:a4;
name "Pav's T39";
key nokey;
pin "1234";
}
PIN 码没有限制(除了长度)。有些设备
(例如蓝牙耳机) 会有一个预置的 PIN 码。
开关强制 &man.hcsecd.8; 守护进程处于前台,因此很容易看清发生了什么。
设置远端设备准备接收结对 (pairing),然后启动蓝牙连接到远端设备。
远端设备应该回应接收了结对并请求PIN码。输入与
hcsecd.conf 中一样的 PIN 码。
现在您的个人计算机已经与远程设备结对了。
另外您也可以在远程设备上初始结点。
在 &os; 5.5、 6.1 以及更新版本上, 可以通过在
/etc/rc.conf 文件中增加下面的行, 以便让
hcsecd 在系统启动时自动运行:
hcsecd_enable="YES"
以下是简单的
hcsecd 服务输出样本:
hcsecd[16484]: Got Link_Key_Request event from 'ubt0hci', remote bdaddr 0:80:37:29:19:a4
hcsecd[16484]: Found matching entry, remote bdaddr 0:80:37:29:19:a4, name 'Pav's T39', link key doesn't exist
hcsecd[16484]: Sending Link_Key_Negative_Reply to 'ubt0hci' for remote bdaddr 0:80:37:29:19:a4
hcsecd[16484]: Got PIN_Code_Request event from 'ubt0hci', remote bdaddr 0:80:37:29:19:a4
hcsecd[16484]: Found matching entry, remote bdaddr 0:80:37:29:19:a4, name 'Pav's T39', PIN code exists
hcsecd[16484]: Sending PIN_Code_Reply to 'ubt0hci' for remote bdaddr 0:80:37:29:19:a4
SDP
服务发现协议 (SDP)
服务发现协议 (SDP) 提供给客户端软件一种方法,
它能发现由服务器软件提供的服务及属性。
服务的属性包括所提供服务的类型或类别,
使用该服务所需要的机制或协议。
SDP 包括 SDP 服务器和 SDP 客户端之间的通信。
服务器维护一张服务记录列表,它介绍服务器上服务的特性。
每个服务记录包含关于单个服务的信息。通过发出 SDP 请求,
客户端会得到服务记录列表的信息。如果客户端 (或者客户端上的应用软件)
决定使用一个服务,为了使用这个服务它必须与服务提供都建立一个独立的连接。
SDP 提供了发现服务及其属性的机制,但它并不提供使用这些服务的机制。
一般地,SDP客户端按照服务的某种期望特征来搜索服务。
但是,即使没有任何关于由 SDP 服务端提供的服务的预设信息,
有时也能令人满意地发现它的服务记录里所描述的是哪种服务类型。
这种发现所提供服务的过程称为 浏览(browsing)。
蓝牙 SDP 服务端 &man.sdpd.8; 和命令行客户端
&man.sdpcontrol.8; 都包括在了标准的 &os; 安装里。
下面的例子展示如何进行 SDP 浏览查询。
&prompt.user; sdpcontrol -a 00:01:03:fc:6e:ec browse
Record Handle: 00000000
Service Class ID List:
Service Discovery Server (0x1000)
Protocol Descriptor List:
L2CAP (0x0100)
Protocol specific parameter #1: u/int/uuid16 1
Protocol specific parameter #2: u/int/uuid16 1
Record Handle: 0x00000001
Service Class ID List:
Browse Group Descriptor (0x1001)
Record Handle: 0x00000002
Service Class ID List:
LAN Access Using PPP (0x1102)
Protocol Descriptor List:
L2CAP (0x0100)
RFCOMM (0x0003)
Protocol specific parameter #1: u/int8/bool 1
Bluetooth Profile Descriptor List:
LAN Access Using PPP (0x1102) ver. 1.0
...等等。注意每个服务有一个属性
(比如 RFCOMM 通道)列表。
根据服务您可能需要为一些属性做个注释。
有些蓝牙实现 (Bluetooth implementation)
不支持服务浏览,
可能会返回一个空列表。这种情况,可以搜索指定的服务。
下面的例子展示如何搜索 OBEX Object Push (OPUSH) 服务:
&prompt.user; sdpcontrol -a 00:01:03:fc:6e:ec search OPUSH
要在 &os; 里为蓝牙客户端提供服务,可以使用 &man.sdpd.8; 服务。
在 &os; 5.5、 6.1 和更新版本之上, 可以通过在
/etc/rc.conf 中加入下面的行:
sdpd_enable="YES"
接下来使用下面的命令来启动 sdpd 服务:
&prompt.root; /etc/rc.d/sdpd start
在 &os; 6.0, 以及 5.5 之前的 &os; 5.X 版本上,
sdpd 没有集成进系统启动脚本。
它可以用下面的命令来手动启动:
&prompt.root; sdpd
需要为远端提供蓝牙服务的本地的服务程序会使用本地 SDP
进程注册服务。像这样的程序就有 &man.rfcomm.pppd.8;。
一旦启动它,就会使用本地 SDP 进程注册蓝牙 LAN 服务。
使用本地 SDP 进程注册的服务列表,可以通过本地控制通道发出
SDP 浏览查询获得:
&prompt.root; sdpcontrol -l browse
拨号网络 (DUN) 和使用 PPP(LAN) 层面的网络接入
拨号网络 (DUN) 配置通常与 modem 和手机一起使用。
如下是这一配置所涉及的内容:
计算机使用手机或 modem 作为无线
modem 来连接拨号因特网连入服务器,
或者使用其它的拨号服务;
计算机使用手机或 modem 接收数据请求。
使用 PPP(LAN) 层面的网络接入常使用在如下情形:
单个蓝牙设备的局域网连入;
多个蓝牙设备的局域网接入;
PC 到 PC (使用基于串行线模拟的 PPP 网络)。
在 &os; 中,两个层面使用 &man.ppp.8; 和
&man.rfcomm.pppd.8; (一种封装器,可以将 RFCOMM
蓝牙连接转换为 PPP 可操作的东西) 来实现。
在使用任何层面之前,一个新的 PPP 标识必须在
/etc/ppp/ppp.conf 中建立。
想要实例请参考 &man.rfcomm.pppd.8;。
在下面的例子中,&man.rfcomm.pppd.8; 用来在
NUN RFCOMM 通道上打开一个到 BD_ADDR 为 00:80:37:29:19:a4
的设备的 RFCOMM 连接。具体的 RFCOMM 通道号要通过 SDP
从远端设备获得。也可以手动指定通 RFCOMM,这种情况下
&man.rfcomm.pppd.8; 将不能执行 SDP 查询。使用
&man.sdpcontrol.8; 来查找远端设备上的 RFCOMM 通道。
&prompt.root; rfcomm_pppd -a 00:80:37:29:19:a4 -c -C dun -l rfcomm-dialup
为了提供 PPP(LAN) 网络接入服务,必须运行
&man.sdpd.8; 服务。一个新的 LAN 客户端条目必须在
/etc/ppp/ppp.conf 文件中建立。
想要实例请参考 &man.rfcomm.pppd.8;。
最后,在有效地通道号上开始 RFCOMM PPP 服务。
RFCOMM PPP 服务会使用本地 SDP 进程自动注册蓝牙 LAN
服务。下面的例子展示如何启动 RFCOMM PPP 服务。
&prompt.root; rfcomm_pppd -s -C 7 -l rfcomm-server
OBEX
OBEX 对象推送 (OBEX Object Push - OPUSH) 层面
OBEX协议被广泛地用于移动设备之间简单的文件传输。
它的主要用处是在红外线通信领域,
被用于笔记本或手持设备之间的一般文件传输。
OBEX 服务器和客户端由第三方软件包
obexapp实现,它可以从
comms/obexapp
port 安装。
OBEX 客户端用于向 OBEX 服务器推入或接出对象。
一个对像可以是(举个例子)商业卡片或约会。 OBEX 客户能通过
SDP 从远程设备取得 RFCOMM 通道号。这可以通过指定服务名代替
RFCOMM 通道号来完成。支持的服务名是有:IrMC、FTRN 和 OPUSH。
也可以用数字来指定 RFCOMM 通道号。下面是一个 OBEX
会话的例子,一个设备信息对像从手机中被拉出,
一个新的对像被推入手机的目录。
&prompt.user; obexapp -a 00:80:37:29:19:a4 -C IrMC
obex> get telecom/devinfo.txt devinfo-t39.txt
Success, response: OK, Success (0x20)
obex> put new.vcf
Success, response: OK, Success (0x20)
obex> di
Success, response: OK, Success (0x20)
为了提供 OBEX 推入服务,&man.sdpd.8;
必须处于运行状态。必须创建一个根目录用于存放所有进入的对象。
根文件夹的默认路径是 /var/spool/obex。
最后,在有效的 RFCOMM 通道号上开始 OBEX 服务。OBEX 服务会使用
SDP 进程自动注册 OBEX 对象推送 (OBEX Object Push) 服务。
下面的例子展示如何启动 OBEX 服务。
&prompt.root; obexapp -s -C 10
串口(SP)层面
串口(SP)层面允许蓝牙设备完成 RS232 (或类似) 串口线的仿真。
这个层面所涉及到情形是,
通过虚拟串口使用蓝牙代替线缆来处理以前的程序。
工具 &man.rfcomm.sppd.1; 来实现串口层。
Pseudo tty
用来作为虚拟的串口。
下面的例子展示如何连接远程设备的串口服务。
注意您不必指定 RFCOMM 通道——&man.rfcomm.sppd.1;
能够通过 SDP 从远端设备那里获得。
如果您想代替它的话,可以在命令行里指定 RFCOMM
通道来实现:
&prompt.root; rfcomm_sppd -a 00:07:E0:00:0B:CA -t /dev/ttyp6
rfcomm_sppd[94692]: Starting on /dev/ttyp6...
一旦连接上,pseudo tty
就可以充当串口了:
&prompt.root; cu -l ttyp6
问题解答
不能连接远端设备
一些较老的蓝牙设备并不支持角色转换
(role switching)。默认情况下,&os; 接受一个新的连接时,
它会尝试进行角色转换并成为主控端 (master)。
不支持角色转换的设备将无法连接。
注意角色转换是在新连接建立时运行的,
因此如果远程设备不支持角色转换,就不可能向它发出请求。
一个 HCI 选项用来在本地端禁用角色转换。
&prompt.root; hccontrol -n ubt0hci write_node_role_switch 0
如果有错, 能否知道到底正在发生什么?
可以。 需要借助第三方软件包
hcidump, 它可以通过
comms/hcidump port
来安装。 hcidump 工具和
&man.tcpdump.1; 非常相像。 它可以用来显示蓝牙数据包的内容,
并将其记录到文件中。
Andrew
Thompson
原作
桥接
简介
IP 子网
桥接
有时, 会有需要将一个物理网络分成两个独立的网段,
而不是创建新的 IP 子网, 并将其通过路由器相连。
以这种方式连接两个网络的设备称为 网桥 (bridge)
。
有两个网络接口的 FreeBSD 系统可以作为网桥来使用。
网桥通过学习每个网络接口上的 MAC 层地址 (以太网地址) 工作。
只当数据包的源地址和目标地址处于不同的网络时, 网桥才进行转发。
在很多方面,网桥就像一个带有很少端口的以太网交换机。
适合桥接的情况
适合使用网桥的, 有许多种不同的情况。
使多个网络相互联通
网桥的基本操作是将两个或多个网段连接在一起。
由于各式各样的原因, 人们会希望使用一台真正的计算机,
而不是网络设备来充任网桥的角色, 常见的原因包括线缆的限制、
需要进行防火墙, 或为虚拟机网络接口连接虚拟网络。
网桥也可以将无线网卡以 hostap 模式接入有线网络。
过滤/数据整形防火墙
防火墙
NAT
使用防火墙的常见情形是无需进行路由或网络地址转换的情况 (NAT)。
举例来说, 一家通过 DSL 或 ISDN 连接到 ISP 的小公司,
拥有 13 个 ISP 分配的全局 IP 地址和 10 台 PC。
在这种情况下, 由于划分子网的问题,
采用路由来实现防火墙会比较困难。
路由器
DSL
ISDN
基于网桥的防火墙可以串接在 DSL/ISDN
路由器的后面, 而无需考虑 IP 编制的问题。
网络监视
网桥可以用于连接两个不同的网段, 并用于监视往返的以太网帧。
这可以通过在网桥接口上使用 &man.bpf.4;/&man.tcpdump.1;,
或通过将全部以太网帧复制到另一个网络接口 (span 口) 来实现。
2层 VPN
通过 IP 连接的网桥, 可以利用 EtherIP 隧道或基于 &man.tap.4;
的解决方案, 如 OpenVPN 可以将两个以太网连接到一起。
2层 冗余
网络可以通过多条链路连接在一起, 并使用生成树协议 (Spanning Tree Protocol)
来阻止多余的通路。 为使以太网能够正确工作, 两个设备之间应该只有一条激活通路,
而生成树能够检测环路, 并将多余的链路置为阻断状态。 当激活通路断开时,
协议能够计算另外一棵树, 并重新激活阻断的通路,
以恢复到网络各点的连通性。
内核配置
这一节主要介绍 &man.if.bridge.4; 网桥实现。
除此之外, 还有一个基于 netgraph 的网桥实现, 如欲了解进一步细节,
请参见联机手册 &man.ng.bridge.4;。
网桥驱动是一个内核模块, 并会随使用 &man.ifconfig.8;
创建网桥接口时自动加载。 您也可以将 device if_bridge
加入到内核配置文件中, 以便将其静态联编进内核。
包过滤可以通过使用了 &man.pfil.9; 框架的任意一种防火墙软件包来完成。
这些防火墙可以以模块形式加载, 也可以静态联编进内核。
通过配合
&man.altq.4; 和 &man.dummynet.4;, 网桥也可以用于流量控制。
启用网桥
网桥是通过接口复制来创建的。
您可以使用 &man.ifconfig.8; 来创建网桥接口, 如果内核不包括网桥驱动,
则它会自动将其载入。
&prompt.root; ifconfig bridge create
bridge0
&prompt.root; ifconfig bridge0
bridge0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
ether 96:3d:4b:f1:79:7a
id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200
root id 00:00:00:00:00:00 priority 0 ifcost 0 port 0
如此就建立了一个网桥接口, 并为其随机分配了以太网地址。
maxaddr 和 timeout
参数能够控制网桥在转发表中保存多少个 MAC 地址,
以及表项中主机的过期时间。 其他参数控制生成树的运转方式。
将成员网络接口假如网桥。 为了让网桥能够为所有网桥成员接口转发包,
网桥接口和所有成员接口都需要处于启用状态:
&prompt.root; ifconfig bridge0 addm fxp0 addm fxp1 up
&prompt.root; ifconfig fxp0 up
&prompt.root; ifconfig fxp1 up
网桥现在会在
fxp0 和
fxp1 之间转发以太网帧。
等效的 /etc/rc.conf 配置如下,
如此配置将在系统启动时创建同样的网桥。
cloned_interfaces="bridge0"
ifconfig_bridge0="addm fxp0 addm fxp1 up"
ifconfig_fxp0="up"
ifconfig_fxp1="up"
如果网桥主机需要 IP 地址, 则应将其绑在网桥设备本身,
而不是某个成员设备上。 这可以通过静态设置或 DHCP 来完成:
&prompt.root; ifconfig bridge0 inet 192.168.0.1/24
除此之外, 也可以为网桥接口指定 IPv6 地址。
防火墙
firewall (防火墙)
当启用包过滤时, 通过网桥的包可以分别在进入的网络接口、
网桥接口和发出的网络接口上进行过滤。 这些阶段均可禁用。
当包的流向很重要时, 最好在成员接口而非网桥接口上配置防火墙。
网桥上可以进行许多配置以决定非 IP 及 ARP 包能否通过,
以及通过 IPFW 实现二层防火墙。 请参见
&man.if.bridge.4; 联机手册以了解进一步的细节。
生成树
网桥驱动实现了快速生成树协议 (RSTP 或 802.1w),
并与较早的生成树协议 (STP) 兼容。 生成树可以用来在网络拓扑中检测并消除环路。 RSTP
提供了比传统 STP 更快的生成树覆盖速度, 这种协议会在相邻的交换机之间交换信息,
以迅速进入转发状态, 而不会产生环路。
下表展示了支持的运行模式:
OS 版本
STP 模式
默认模式
&os; 5.4—&os; 6.2
STP
STP
&os; 6.3+
RSTP 或 STP
STP
&os; 7.0+
RSTP 或 STP
RSTP
使用 stp 命令可以在成员接口上启用生成树。 对包含
fxp0 和
fxp1 的网桥,
可以用下列命令启用 STP:
&prompt.root; ifconfig bridge0 stp fxp0 stp fxp1
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
ether d6:cf:d5:a0:94:6d
id 00:01:02:4b:d4:50 priority 32768 hellotime 2 fwddelay 15
maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200
root id 00:01:02:4b:d4:50 priority 32768 ifcost 0 port 0
member: fxp0 flags=1c7<LEARNING,DISCOVER,STP,AUTOEDGE,PTP,AUTOPTP>
port 3 priority 128 path cost 200000 proto rstp
role designated state forwarding
member: fxp1 flags=1c7<LEARNING,DISCOVER,STP,AUTOEDGE,PTP,AUTOPTP>
port 4 priority 128 path cost 200000 proto rstp
role designated state forwarding
网桥的生成树 ID 为
00:01:02:4b:d4:50 而优先级为
32768。 其中 root id
与生成树相同, 表示这是作为生成树根的网桥。
另一个网桥也启用了生成树:
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
ether 96:3d:4b:f1:79:7a
id 00:13:d4:9a:06:7a priority 32768 hellotime 2 fwddelay 15
maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200
root id 00:01:02:4b:d4:50 priority 32768 ifcost 400000 port 4
member: fxp0 flags=1c7<LEARNING,DISCOVER,STP,AUTOEDGE,PTP,AUTOPTP>
port 4 priority 128 path cost 200000 proto rstp
role root state forwarding
member: fxp1 flags=1c7<LEARNING,DISCOVER,STP,AUTOEDGE,PTP,AUTOPTP>
port 5 priority 128 path cost 200000 proto rstp
role designated state forwarding
这里的 root id 00:01:02:4b:d4:50 priority 32768
ifcost 400000 port 4 表示根网桥是前面的
00:01:02:4b:d4:50,
而从此网桥出发的通路代价为 400000,
此通路到根网桥是通过 port 4 即
fxp0 连接的。
网桥的高级用法
重建流量流
网桥支持监视模式, 在 &man.bpf.4; 处理之后会将包丢弃,
而不是继续处理或转发。 这可以用于将两个或多个接口上的输入转化为一个
&man.bpf.4; 流。 在将两个独立的接口上的传输的 RX/TX 信号重整为一个时,
这会非常有用。
如果希望将四个网络接口上的输入转成一个流:
&prompt.root; ifconfig bridge0 addm fxp0 addm fxp1 addm fxp2 addm fxp3 monitor up
&prompt.root; tcpdump -i bridge0
镜像口 (Span port)
网桥收到的每个以太网帧都可以发到镜像口上。
网桥上的镜像口数量没有限制, 如果一个接口已经被配置为镜像口,
则它就不能再作为网桥的成员口来使用。
这种用法主要是为与网桥镜像口相连的监听机配合使用。
如果希望将所有帧发到名为
fxp4 的接口上:
&prompt.root; ifconfig bridge0 span fxp4
专用接口 (Private interface)
专用接口不会转发流量到除专用接口之外的其他端口。
这些流量会无条件地阻断, 因此包括 ARP 在内的以太网帧均不会被转发。
如果需要选择性地阻断流量, 则应使用防火墙。
自学习接口 (Sticky Interfaces)
如果网桥的成员接口标记为自学习, 则动态学习的地址项一旦进入转发快取缓存,
即被认为是静态项。 自学习项不会从快取缓存中过期或替换掉,
即使地址在另一接口上出现也是如此。 这使得不必事先发布转发表,
也能根据学习结果得到静态项的有点, 但在这些网段被网桥看到的客户机,
就不能漫游至另一网段了。
另一种用法是将网桥与 VLAN 功能连用,
这样客户网络会被隔离在一边, 而不会浪费 IP 地址空间。 考虑 CustomerA 在
vlan100 上, 而 CustomerB 则在
vlan101 上。 网桥地址为
192.168.0.1, 同时作为
internet 路由器使用。
&prompt.root; ifconfig bridge0 addm vlan100 sticky vlan100 addm vlan101 sticky vlan101
&prompt.root; ifconfig bridge0 inet 192.168.0.1/24
两台客户机均将 192.168.0.1 作为默认网关,
由于网桥快取缓存是自学习的, 因而它们无法伪造
MAC 地址来截取其他客户机的网络流量。
在 VLAN 之间的通讯可以通过专用接口 (或防火墙) 来阻断:
&prompt.root; ifconfig bridge0 private vlan100 private vlan101
这样这些客户机就完全相互隔离了。
可以使用整个的 /24 地址空间,
而无需划分子网。
+
+ 地址限制
+
+ 接口后的源 MAC 地址数量是可以控制的。
+ 一旦到达了限制未知源地址的包将会被丢弃,
+ 直至现有缓存中的一项过期或被移除。
+
+ 下面的例子是设置 CustomerA
+ 在 vlan100 上可连接的以太网设备最大值为
+ 10。
+
+ &prompt.root; ifconfig bridge0 ifmaxaddr vlan100 10
+
+
SNMP 管理
网桥接口和 STP 参数能够由 &os; 基本系统的 SNMP
守护进程进行管理。导出的网桥 MIB 符和 IETF 标准,
所以任何 SNMP 客户端或管理包都可以被用来接收数据。
在网桥机器上从/etc/snmp.config
文件中去掉以下这行的注释
begemotSnmpdModulePath."bridge" =
"/usr/lib/snmp_bridge.so"
并启动 bsnmpd 守护进程。
其他的配置选项诸如 community names 和 access lists
可能也许也需要修改。 参阅 &man.bsnmpd.1; 和
&man.snmp.bridge.3; 获取更多信息。
以下的例子中使用了
Net-SNMP 软件
(net-mgmt/net-snmp)
来查询一个网桥,当然同样也能够使用port
net-mgmt/bsnmptools。
在 SNMP 客户端 Net-SNMP
的配置文件 $HOME/.snmp/snmp.conf 中
加入以下几行来导入网桥的 MIB 定义:
mibdirs +/usr/share/snmp/mibs
mibs +BRIDGE-MIB:RSTP-MIB:BEGEMOT-MIB:BEGEMOT-BRIDGE-MIB
通过 IETF BRIDGE-MIB(RFC4188) 监测一个单独的网桥
&prompt.user; snmpwalk -v 2c -c public bridge1.example.com mib-2.dot1dBridge
BRIDGE-MIB::dot1dBaseBridgeAddress.0 = STRING: 66:fb:9b:6e:5c:44
BRIDGE-MIB::dot1dBaseNumPorts.0 = INTEGER: 1 ports
BRIDGE-MIB::dot1dStpTimeSinceTopologyChange.0 = Timeticks: (189959) 0:31:39.59 centi-seconds
BRIDGE-MIB::dot1dStpTopChanges.0 = Counter32: 2
BRIDGE-MIB::dot1dStpDesignatedRoot.0 = Hex-STRING: 80 00 00 01 02 4B D4 50
...
BRIDGE-MIB::dot1dStpPortState.3 = INTEGER: forwarding(5)
BRIDGE-MIB::dot1dStpPortEnable.3 = INTEGER: enabled(1)
BRIDGE-MIB::dot1dStpPortPathCost.3 = INTEGER: 200000
BRIDGE-MIB::dot1dStpPortDesignatedRoot.3 = Hex-STRING: 80 00 00 01 02 4B D4 50
BRIDGE-MIB::dot1dStpPortDesignatedCost.3 = INTEGER: 0
BRIDGE-MIB::dot1dStpPortDesignatedBridge.3 = Hex-STRING: 80 00 00 01 02 4B D4 50
BRIDGE-MIB::dot1dStpPortDesignatedPort.3 = Hex-STRING: 03 80
BRIDGE-MIB::dot1dStpPortForwardTransitions.3 = Counter32: 1
RSTP-MIB::dot1dStpVersion.0 = INTEGER: rstp(2)
dot1dStpTopChanges.0的值为2
意味着 STP 网桥拓扑改变了2次,拓扑的改变表示1个或多个
网络中的连接改变或失效并且有一个新树生成。
dot1dStpTimeSinceTopologyChange.0
的值则能够显示这是何时改变的。
监测多个网桥接口可以使用 private
BEGEMOT-BRIDGE-MIB:
&prompt.user; snmpwalk -v 2c -c public bridge1.example.com
enterprises.fokus.begemot.begemotBridge
BEGEMOT-BRIDGE-MIB::begemotBridgeBaseName."bridge0" = STRING: bridge0
BEGEMOT-BRIDGE-MIB::begemotBridgeBaseName."bridge2" = STRING: bridge2
BEGEMOT-BRIDGE-MIB::begemotBridgeBaseAddress."bridge0" = STRING: e:ce:3b:5a:9e:13
BEGEMOT-BRIDGE-MIB::begemotBridgeBaseAddress."bridge2" = STRING: 12:5e:4d:74:d:fc
BEGEMOT-BRIDGE-MIB::begemotBridgeBaseNumPorts."bridge0" = INTEGER: 1
BEGEMOT-BRIDGE-MIB::begemotBridgeBaseNumPorts."bridge2" = INTEGER: 1
...
BEGEMOT-BRIDGE-MIB::begemotBridgeStpTimeSinceTopologyChange."bridge0" = Timeticks: (116927) 0:19:29.27 centi-seconds
BEGEMOT-BRIDGE-MIB::begemotBridgeStpTimeSinceTopologyChange."bridge2" = Timeticks: (82773) 0:13:47.73 centi-seconds
BEGEMOT-BRIDGE-MIB::begemotBridgeStpTopChanges."bridge0" = Counter32: 1
BEGEMOT-BRIDGE-MIB::begemotBridgeStpTopChanges."bridge2" = Counter32: 1
BEGEMOT-BRIDGE-MIB::begemotBridgeStpDesignatedRoot."bridge0" = Hex-STRING: 80 00 00 40 95 30 5E 31
BEGEMOT-BRIDGE-MIB::begemotBridgeStpDesignatedRoot."bridge2" = Hex-STRING: 80 00 00 50 8B B8 C6 A9
通过 mib-2.dot1dBridge
子树改变正在被监测的网桥接口:
&prompt.user; snmpset -v 2c -c private bridge1.example.com
BEGEMOT-BRIDGE-MIB::begemotBridgeDefaultBridgeIf.0 s bridge2
Andrew
Thompson
Written by
链路聚合与故障转移
lagg
failover (故障转移)
fec
lacp
loadbalance (负载均衡)
roundrobin (轮转)
介绍
使用 &man.lagg.4; 接口, 能够将多个网络接口聚合为一个虚拟接口,
以提供容灾和高速连接的能力。
运行模式
failover (故障转移)
只通过主网口收发数据。 如果主网口不可用, 则使用下一个激活的网口。
您在这里加入的第一个网口便会被视为主网口; 此后加入的其他网口,
则会被视为故障转移的备用网口。
fec
用以支持 Cisco EtherChannel。 这是一种静态配置,
并不进行节点间协商或交换以太网帧来监控链路情况。
如果交换机支持 LACP, 则应使用后者而非这种配置。
这种做法是将输出流量在激活的网口之间以协议头散列信息为依据分拆,
并接收来自任意激活网口的入流量。 散列信息包含以太网源地址、
目的地址, 以及 (如果有的话) VLAN tag 和 IPv4/IPv6 源地址及目的地址信息。
lacp
支持 IEEE 802.3ad 链路聚合控制协议
(LACP) 和标记协议。 LACP 能够在节点与若干链路聚合组之间协商链路。
每一个链路聚合组 (LAG) 由一组相同速度、 以全双工模式运行的网口组成。
流量在 LAG 中的网口之间, 会以总速度最大的原则进行分摊。
当物理链路发生变化时, 链路聚合会迅速适应变动形成新的配置。
这种做法也是将输出流量在激活的网口之间以协议头散列信息为依据分拆,
并接收来自任意激活网口的入流量。 散列信息包含以太网源地址、
目的地址, 以及 (如果有的话) VLAN tag 和 IPv4/IPv6 源地址及目的地址信息。
loadbalance (负载均衡)
这是 fec 模式的别名。
roundrobin (轮转)
将输出流量以轮转方式在所有激活端口之间调度, 并从任意激活端口接收进入流量。
这种模式违反了以太网帧排序规则, 因此应小心使用。
例子
与 Cisco 交换机配合完成 LACP 链路聚合
在这个例子中, 我们将 &os; 的两个网口作为一个负载均衡和故障转移链路聚合组接到交换机上。
在此基础上, 还可以增加更多的网口, 以提高吞吐量和故障容灾能力。
由于以太网链路上两节点间的帧序是强制性的, 因此两个节点之间的连接速度,
会取决于一块网卡的最大速度。 传输算法会尽量采用更多的信息,
以便将不同的网络流量分摊到不同的网络接口上, 并平衡不同网口的负载。
在 Cisco 交换机上将网口添加到通道组 (channel group) 中。
interface FastEthernet0/1
channel-group 1 mode active
channel-protocol lacp
!
interface FastEthernet0/2
channel-group 1 mode active
channel-protocol lacp
!
在 &os; 机器上创建 lagg 接口。
&prompt.root; ifconfig lagg0 create
&prompt.root; ifconfig lagg0 up laggproto lacp laggport fxp0 laggport fxp1
从 ifconfig 查看接口状态: 标记为
ACTIVE 的接口属于激活的聚合组,
并且已经完成了与交换机的协商过程, 能够收发网络流量了。
您可以利用 &man.ifconfig.8;
的输出细节来检视 LAG 标识。
lagg0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:05:5d:71:8d:b8
media: Ethernet autoselect
status: active
laggproto lacp
laggport: fxp1 flags=1c<ACTIVE,COLLECTING,DISTRIBUTING>
laggport: fxp0 flags=1c<ACTIVE,COLLECTING,DISTRIBUTING>
交换机上会显示哪些端口是激活的。 如果需要了解更多细节, 则可以使用
show lacp neighbor detail。
switch# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group 1 neighbors
Partner's information:
LACP port Oper Port Port
Port Flags Priority Dev ID Age Key Number State
Fa0/1 SA 32768 0005.5d71.8db8 29s 0x146 0x3 0x3D
Fa0/2 SA 32768 0005.5d71.8db8 29s 0x146 0x4 0x3D
故障转移模式
故障转移模式可以用于在主端口连接中断时切换到备用端口。
&prompt.root; ifconfig lagg0 create
&prompt.root; ifconfig lagg0 up laggproto failover laggport fxp0 laggport fxp1
lagg0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:05:5d:71:8d:b8
media: Ethernet autoselect
status: active
laggproto failover
laggport: fxp1 flags=0<>
laggport: fxp0 flags=5<MASTER,ACTIVE>
系统将在
fxp0 上进行流量的收发。 如果
fxp0 的连接中断, 则 fxp1
会自动成为激活连接。 如果主端口的连接恢复, 则它又会成为激活连接。
Jean-François
Dockès
更新:
Alex
Dupre
重新组织及增强:
张
雪平
中文翻译:
zxpmyth@yahoo.com.cn
袁
苏义
无盘操作
无盘工作站
无盘操作
FreeBSD 主机可以从网络启动而无需本地磁盘就可操作,
使用的是从 NFS 服务器装载的文件系统。
除了标准的配置文件,无需任何的系统修改。
很容易设置这样的系统因为所有必要的元素都很容易得到:
至少有两种可能的方法从网络加载内核:
PXE:&intel;
的先启动执行环境 (Preboot eXecution Environment)
系统是一种灵活的引导 ROM 模式,这个 ROM
内建在一些网卡或主板的中。查看 &man.pxeboot.8;
以获取更多细节。
Etherboot port (net/etherboot)
产生通过网络加载内核的可 ROM 代码。这些代码可以烧入网卡上的
PROM 上,或从本地软盘 (或硬盘) 驱动器加载,或从运行着的
&ms-dos; 系统加载。它支持多种网卡。
一个样板脚本
(/usr/share/examples/diskless/clone_root)
简化了对服务器上的工作站根文件系统的创建和维护。
这个脚本需要少量的自定义,但您能很快的熟悉它。
/etc
存在标准的系统启动文件用于侦测和支持无盘的系统启动。
可以向 NFS
文件或本地磁盘进行交换(如果需要的话)。
设置无盘工作站有许多方法。
有很多相关的元素大部分可以自定义以适合本地情况。
以下将介绍一个完整系统的安装,强调的是简单性和与标准
FreeBSD 启动脚本的兼容。介绍的系统有以下特性:
无盘工作站使用一个共享的只读 /
文件系统和一个共享的只读/usr。
root 文件系统是一份标准的 FreeBSD 根文件系统
(一般是服务器的),只是一些配置文件被特定于无盘操作的配置文件覆盖。
root 文件系统必须可写的部分被 &man.md.4; 文件系统覆盖。
任何的改写在重启后都会丢失。
内核由 etherboot 或
PXE 传送和加载,
有些情况可能会指定使用其中之一。
如上所述,这个系统是不安全的。
它应该处于网络的受保护区域并不被其它主机信任。
这部分所有的信息均在
5.2.1-RELEASE 上测试过。
背景信息
设置无盘工作站相对要简单而又易出错。
有时分析一些原因是很难的。例如:
编译时选项在运行时可能产生不同的行为。
出错信息经常是加密了的或根本就没有。
在这里,
涉及到的一些背景知识对于可能出现的问题的解决是很有帮助的。
要成功地引导系统还有些操作需要做。
机子需要获取初始的参数,如它的 IP
地址、执行文件、服务器名、根路径。这个可以使用
或 BOOTP 协议来完成。
DHCP 是 BOOTP 的兼容扩展,
并使用相同的端口和基本包格式。
只使用 BOOTP 来配置系统也是可行的。
&man.bootpd.8; 服务程序被包含在基本的
&os; 系统里。
不过,DHCP 相比
BOOTP 有几个好处 (更好的配置文件,使用 PXE
的可能性,以及许多其它并不直接相关的无盘操作),
接着我们会要描述一个 DHCP 配置,
可能的话会利用与使用 &man.bootpd.8;
相同的例子。这个样板配置会使用ISC DHCP
软件包 (3.0.1.r12 发行版安装在测试服务器上)。
机子需要传送一个或多个程序到本地内存。
TFTP 或 NFS
会被使用。选择TFTP 还是 NFS
需要在几个地方的编译时间
选项里设置。
通常的错误源是为文件名指定了错误的协议:TFTP
通常从服务器里的一个单一目录传送所有文件,并需要相对这个目录的文件名。
NFS 需要的是绝对文件路径。
介于启动程序和内核之间的可能的部分需要被初始化并执行。
在这部分有几个重要的变量:
PXE 会装入
&man.pxeboot.8;——它是 &os; 第三阶段装载器的修改版。
&man.loader.8; 会获得许多参数用于系统启动,
并在传送控制之前把它们留在内核环境里。
在这种情况下,使用 GENERIC
内核就可能了。
Etherboot
会做很少的准备直接装载内核。
您要使用指定的选项建立 (build) 内核。
PXE 和
Etherboot 工作得一样的好。
不过, 因为一般情况下内核希望 &man.loader.8;
做了更多的事情, PXE 是推荐的方法。
如果您的 BIOS 和网卡都支持
PXE, 就应该使用它。
最后,机子需要访问它的文件系统。
NFS 使用在所有的情况下。
查看 &man.diskless.8; 手册页。
安装说明
配置使用<application>ISC DHCP</application>
DHCP
无盘操作
ISC DHCP
服务器可以回应 BOOTP 和 DHCP
的请求。
ISC DHCP 3.0
并不属于基本系统。首先您需要安装
net/isc-dhcp3-server
port 或相应的包
。
一旦安装了 ISC DHCP,
还需要一个配置文件才能运行 (通常名叫
/usr/local/etc/dhcpd.conf)。
这里有个注释过的例子,里边主机 margaux
使用 Etherboot,
而主机corbieres 使用 PXE:
default-lease-time 600;
max-lease-time 7200;
authoritative;
option domain-name "example.com";
option domain-name-servers 192.168.4.1;
option routers 192.168.4.1;
subnet 192.168.4.0 netmask 255.255.255.0 {
use-host-decl-names on;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.4.255;
host margaux {
hardware ethernet 01:23:45:67:89:ab;
fixed-address margaux.example.com;
next-server 192.168.4.4;
filename "/data/misc/kernel.diskless";
option root-path "192.168.4.4:/data/misc/diskless";
}
host corbieres {
hardware ethernet 00:02:b3:27:62:df;
fixed-address corbieres.example.com;
next-server 192.168.4.4;
filename "pxeboot";
option root-path "192.168.4.4:/data/misc/diskless";
}
}
这个选项告诉 dhcpd
发送host 里声明的用于无盘主机的主机名的值。
另外可能会增加一个
option host-name margaux
到 host 声明里。
next-server 正式指定
TFTP 或 NFS
服务用于载入装载器或内核文件
(默认使用的是相同的主机作为DHCP
服务器)。
filename
正式定义这样的文件——etherboot
或 PXE 为执行下一步将装载它。
根据使用的传输方式,它必须要指定。
Etherboot 可以被编译来使用
NFS 或 TFTP。
&os; port 默认配置了NFS。
PXE 使用 TFTP,
这就是为什么在这里使用相对文件名 (这可能依赖于
TFTP 服务器配置,不过会相当典型)。
同样,PXE 会装载 pxeboot,
而不是内核。另外有几个很有意思的可能,如从 &os; CD-ROM
的 /boot 目录装载
pxeboot (因为 &man.pxeboot.8; 能够装载
GENERIC 内核,这就使得可以使用
PXE 从远程的 CD-ROM 里启动)。
root-path 选项定义到根
(root) 文件系统的路径,通常是 NFS
符号。当使用 PXE 时,只要您不启用内核里的
BOOTP 选项,可以不管主机的IP。NFS
服务器然后就如同 TFTP 一样。
配置使用BOOTP
BOOTP
无盘操作
这里紧跟的是一个等效的 bootpd
配置 (减少到一个客户端)。这个可以在
/etc/bootptab 里找到。
请注意:为了使用BOOTP,etherboot
必须使用非默认选项 NO_DHCP_SUPPORT
来进行编译,而且 PXE 需要
DHCP。bootpd
的唯一可见的好处是它存在于基本系统中。
.def100:\
:hn:ht=1:sa=192.168.4.4:vm=rfc1048:\
:sm=255.255.255.0:\
:ds=192.168.4.1:\
:gw=192.168.4.1:\
:hd="/tftpboot":\
:bf="/kernel.diskless":\
:rp="192.168.4.4:/data/misc/diskless":
margaux:ha=0123456789ab:tc=.def100
使用<application>Etherboot</application>准备启动程序
Etherboot
Etherboot
的网站 包含有更多的文档
——主要瞄准的是 Linux 系统,但无疑包含有有用的信息。
如下列出的是关于在 FreeBSD 系统里使用
Etherboot。
首先您必须安装net/etherboot 包或 port。
您可以改变 Etherboot 的配置
(如使用 TFTP 来代替 NFS),
方法是修改 Config 文件——在
Etherboot 源目录里。
对于我们的设置,我们要使用一张启动软盘。
对于其它的方法(PROM,或 &ms-dos;程序),
请参考 Etherboot 文档。
想要使用启动软盘,先插入一张软盘到安装有
Etherboot 的机器的驱动器里,
然后把当前路径改到 src
目录——在 Etherboot 树下,
接着输入:
&prompt.root; gmake bin32/devicetype.fd0
devicetype
依赖于无盘工作站上的以太网卡的类型。
参考在同一个目录下的 NIC
文件确认正确的 devicetype。
使用<acronym>PXE</acronym>启动
默认地,&man.pxeboot.8; 装载器通过 NFS
装载内核。它可以编译来使用 TFTP——通过在文件
/etc/make.conf 里指定
LOADER_TFTP_SUPPORT 选项来代替。 请参见
/usr/share/examples/etc/make.conf 里的注释
了解如何配置。
除此之外还有两个未说明的 make.conf
选项——它可能对于设置一系列控制台无盘机器会有用:
BOOT_PXELDR_PROBE_KEYBOARD和
BOOT_PXELDR_ALWAYS_SERIAL。
当机器启动里,要使用 PXE,
通常需要选择 Boot from network
选项——在 BIOS 设置里,
或者在 PC 初始化的时候输入一个功能键 (function key)。
配置 <acronym>TFTP</acronym> 和 <acronym>NFS</acronym> 服务器
TFTP
无盘操作
NFS
无盘操作
如果您正在使用 PXE 或
Etherboot——配置使用了
TFTP,那么您需要在文件服务器上启用
tftpd:
建立一个目录——从那里 tftpd
可以提供文件服务,如 /tftpboot。
把这一行加入到 /etc/inetd.conf里:
tftp dgram udp wait root /usr/libexec/tftpd tftpd -l -s /tftpboot
好像有一些版本的 PXE
需要 TCP 版本的 TFTP。
在这种情况下,加入第二行,使用 stream tcp
来代替 dgram udp。
让 inetd 重读其配置文件。
要正确执行这个命令, 在 /etc/rc.conf 文件中必须加入
:
&prompt.root; /etc/rc.d/inetd restart
您可把 tftpboot 目录放到服务器上的什何地方。
确定这个位置设置在 inetd.conf 和
dhcpd.conf 里。
在所有的情况下,您都需要启用 NFS,
并且 NFS 服务器上导出相应的文件系统。
把这一行加入到/etc/rc.conf里:
nfs_server_enable="YES"
通过往 /etc/exports
里加入下面几行(调整载入点
列,
并且使用无盘工作站的名字替换
margaux corbieres),
导出文件系统——无盘根目录存在于此:
/data/misc -alldirs -ro margaux corbieres
让 mountd
重读它的配置文件。如果您真的需要启用第一步的
/etc/rc.conf 里 NFS,
您可能就要重启系统了。
&prompt.root; /etc/rc.d/mountd restart
建立无盘内核
无盘操作
内核配置
如果您在使用 Etherboot,
您需要为无盘客户端建立内核配置文件,
使用如下选项(除了常使用的外):
options BOOTP # Use BOOTP to obtain IP address/hostname
options BOOTP_NFSROOT # NFS mount root filesystem using BOOTP info
您可能也想使用 BOOTP_NFSV3,
BOOT_COMPAT 和 BOOTP_WIRED_TO
(参考 NOTES 文件)。
这些名字具有历史性,并且有些有些误导,
因为它们实际上启用了内核里 (它可能强制限制 BOOTP 或
DHCP 的使用),与 DHCP
和 BOOTP 的无关的应用。
编译内核(参考),
然后将它复制到 dhcpd.conf
里指定的地方。
当使用 PXE 里,
使用以上选项建立内核并不做严格要求(尽管建议这样做)。
启用它们会在内核启动时引起更多的 DHCP
提及过的请求,带来的小小的风险是在有些特殊情况下新值和由
&man.pxeboot.8; 取回的值之间的不一致性。
使用它们的好处是主机名会被附带设置。否则,
您就需要使用其它的方法来设置主机名,如在客户端指定的
rc.conf 文件里。
为了使带有 Etherboot
的内核可引导,就需要把设备提示 (device hint)
编译进去。通常要在配置文件(查看 NOTES
配置注释文件) 里设置下列选项:
hints "GENERIC.hints"
准备根(root)文件系统
根文件系统
无盘操作
您需要为无盘工作站建立根文件系统, 它就是
dhcpd.conf 里的 root-path
所指定的目录。
使用 <command>make world</command> 来复制根文件系统
这种方法可以迅速安装一个彻底干净的系统 (不仅仅是根文件系统) 到
DESTDIR。 您要做的就是简单地执行下面的脚本:
#!/bin/sh
export DESTDIR=/data/misc/diskless
mkdir -p ${DESTDIR}
cd /usr/src; make buildworld && make buildkernel
cd /usr/src/etc; make distribution
一旦完成,您可能需要定制 /etc/rc.conf
和 /etc/fstab——根据您的需要放到
DESTDIR里。
配置 swap(交换)
如果需要,位于服务器上的交换文件可以通过
NFS 来访问。
<acronym>NFS</acronym> 交换区
内核并不支持在引导时启用 NFS
交换区。 交换区必须通过启动脚本启用, 其过程是挂接一个可写的文件系统,
并在其上创建并启用交换文件。 要建立尺寸合适的交换文件,
可以这样做:
&prompt.root; dd if=/dev/zero of=/path/to/swapfile bs=1k count=1 oseek=100000
要启用它,您须要把下面几行加到
rc.conf里:
swapfile=/path/to/swapfile
杂项问题
运行时 <filename>/usr</filename> 是只读在
无盘操作
只读的 /usr
如果无盘工作站是配置来支持 X,
那么您就必须调整 XDM
配置文件,因为它默认把错误信息写到
/usr。
使用非 FreeBSD 服务器
当用作根文件系统的服务器运行的是不
FreeBSD,您须要在 FreeBSD 机器上建立根文件系统,
然后把它复制到它的目的地,使用的命令可以是
tar 或 cpio。
在这种情况下,有时对于 /dev
里的一些特殊的文件会有问题,原因就是不同的
最大/最小
整数大小。
一种解决的方法就是从非 FreeBSD 服务里导出一个目录,
并把它载入 FreeBSD 到机子上, 并使用 &man.devfs.5;
来为用户透明地分派设备节点。
ISDN
ISDN
关于 ISDN 技术和硬件的一个好的资源是Dan Kegel
的 ISDN 主页。
一个快速简单的到 ISDN 的路线图如下:
如果您住在欧洲,您可能要查看一下 ISDN 卡部分。
如果您正计划首要地使用 ISDN
基于拨号非专用线路连接到带有提供商的互联网,
您可能要了解一下终端适配器。如果您更改提供商的话,
这会给您带来最大的灵活性、最小的麻烦。
如果您连接了两个局域网 (LAN),或使用了专用的
ISDN 连线连接到互联网,您可能要考虑选择单独的路由器/网桥。
在决定选择哪一种方案的时候,价格是个很关键的因素。
下面列有从不算贵到最贵的选择:
Hellmuth
Michaelis
贡献者:
张
雪平
中文翻译:
zxpmyth@yahoo.com.cn
ISDN 卡
ISDN
卡
FreeBSD 的 ISDN 工具通过被动卡
(passive card) 仅支持 DSS1/Q.931(或 Euro-ISDN) 标准。
此外也支持一些 active card, 它们的固件也支持其它信号协议,
这其中包括最先得到支持的
Primary Rate (PRI) ISDN
卡。
isdn4bsd 软件允许连接到其它
ISDN 路由器,使用的是原始的 HDLC 上的 IP 或利用同步 PPP:使用带有
isppp (一个修改过的 &man.sppp.4; 驱动程序)的
PPP 内核,或使用用户区 (userland) &man.ppp.8;。通过使用
userland &man.ppp.8;,两个或更多 ISDN 的 B 通道联结变得可能。
除了许多如 300 波特 (Baud) 的软 modem 一样的工具外,
还可以实现电话应答机应用。
在 FreeBSD 里,正有更多的 PC ISDN 卡被支持;
报告显示在整个欧洲及世界的其它许多地区可以成功使用。
被支持的主动型 ISDN 卡主要是带有 Infineon (以前的 Siemens)
ISAC/HSCX/IPAC ISDN 芯片组,另外还有带有 Cologne (只有 ISA 总线)
芯片的 ISDN 卡、带有 Winbond W6692 芯片的 PCI 卡、一部分带有
Tiger300/320/ISAC 芯片组的卡以及带有一些商家专有的芯片组的卡
(如 AVM Fritz!Card PCI V.1.0 和 the AVM Fritz!Card PnP)。
当前积极的支持的 ISDN 卡有 AVM B1 (ISA 和 PCI) BRI
卡和 AVM T1 PCI PRI 卡。
关于 isdn4bsd 的文档,请查看
FreeBSD 系统里的 /usr/share/examples/isdn/
目录或查看 isdn4bsd的主页,
那里也有提示、勘误表以及更多的文档 (如 isdn4bsd手册)。
要是您有兴趣增加对不同 ISDN 协议的支持,对当前还不支持的
ISDN PC 卡的支持或想增强 isdn4bsd
的性能,请联系 &a.hm;。
对于安装、配置以及 isdn4bsd
故障排除的问题,可以利用 &a.isdn.name; 邮件列表。
ISDN 终端适配器
终端适配器 (TA) 对于 ISDN 就好比 modem 对于常规电话线。
modem
许多 TA 使用标准的 Hayes modem AT 命令集,并且可以降级来代替 modem。
TA 基本的运作同 modem 一样,不同之处是连接和整个速度更比老
modem 更快。同 modem 的安装一样,您也需要配置
PPP。确认您的串口速度已足够高。
PPP
使用 TA 连接互联网提供商的主要好处是您可以做动态的 PPP。
由于 IP 地址空间变得越来越紧张,许多提供商都不愿再提供静态
IP。许多的独立的路由器是不支持动态 IP 分配的。
TA 完全依赖于您在运行的 PPP 进程,
以完成它们的功能和稳定的连接。这可以让您在 FreeBSD
机子里轻易地从使用 modem 升级到 ISDN,要是您已经安装了
PPP 的话。只是,在您使用 PPP 程序时所体验到任何问题同时也存在。
如果您想要最大的稳定性,请使用 PPP 内核选项,而不要使用 userland PPP。
下面的 TA 就可以同 FreeBSD 一起工作:
Motorola BitSurfer 和 Bitsurfer Pro
Adtran
大部分其它的 TA 也可能工作,TA
提供商试图让他们的产品可以接受大部分的标准 modem AT 命令集。
对于外置 TA 的实际问题是:象 modem
要一样,您机子需要有一个好的串行卡。
想要更深入地理解串行设备以及异步和同步串口这间的不同点,
您就要读读 FreeBSD
串行硬件教程了。
TA 将标准的 PC 串口 (同步的) 限制到了 115.2 Kbs,即使您有
128 Kbs 的连接。 想要完全利用 ISDN 有能力达到的 128 Kbs,您就需要把
TA 移到同步串行卡上。
当心被骗去买一个内置的 TA 以及自认为可以避免同步/异步问题。内置的
TA 只是简单地将一张标准 PC 串口芯片内建在里边。
所做的这些只是让您省去买另一根串行线以及省去寻找另一个空的插孔。
带有 TA 的同步卡至少和一个独立的路由器同一样快地,
而且仅使用一个简单的 386 FreeBSD 盒驱动它。
选择同步卡/TA 还是独立的路由器,是个要高度谨慎的问题。
在邮件列表里有些相关的讨论。我们建议您去搜索一下关于完整讨论的记录。
单独的 ISDN 桥/路由器
ISDN
单独的 桥/路由器
ISDN 桥或路由器根本就没有指定要 FreeBSD
或其它任何的操作系统。更多完整的关于路由和桥接技术的描述,
请参考网络指南的书籍。
这部分的内容里,路由器和桥接这两个词汇将会交替地使用。
随着 ISDN 路由器/桥的价格下滑,对它们的选择也会变得越来越流行。
ISDN 路由器是一个小盒子,可以直接地接入您的本地以太网,
并且自我管理到其它桥/路由器的连接。它有个内建的软件用于与通信——通过
PPP 和其它流行的协议。
路由器有比标准 TA 更快的吞吐量,因为它会使用完全同步的 ISDN 连接。
使用 ISDN 路由器和桥的主要问题是两个生产商之间的协同性仍存在问题。
如果您计划连接到互联网提供商,您应该跟他们进行交涉。
如果您计划连接两个局域网网段,如您的家庭网和办公网,
这将是最简单最低维护的解决方案。因为您买的设备是用于连接两边的,
可以保证这种连接一定会成功。
例如连接到家里的计算机,或者是办公网里的一个分支连接到办公主网,
那么下面的设置就可能用到:
办公室局部或家庭网
10 base 2
网络使用基于总线拓扑的 10 base 2 以太网
(瘦网(thinnet)
)。如果有必要,用网线连接路由器和
AUI/10BT 收发器。
---Sun workstation
|
---FreeBSD box
|
---Windows 95
|
Stand-alone router
|
ISDN BRI line
10 Base 2 Ethernet
如果您的家里或办公室支部里只有一台计算机,
您可以使用一根交叉的双绞线直接连接那台独立路由器。
主办公室或其它网络
10 base T
网络使用的是星形拓扑的 10 base T 以太网(双绞线
)。
-------Novell Server
| H |
| ---Sun
| |
| U ---FreeBSD
| |
| ---Windows 95
| B |
|___---Stand-alone router
|
ISDN BRI line
ISDN Network Diagram
大部分路由器/网桥有一大好处就是,它们允许您在
同一 时间,有两个 分开独立的
PPP 连接到两个分开的点上。这点在许多的 TA 上是不支持的,
除非带有两个串口的特定模式(通常都很贵)。请不要把它与通道连接、MPP
等相混淆。
这是个非常有用的功能,例如,如果在您的办公室里您有个专有的
ISDN 连接,而且您想接入到里边,但休想让另一根 ISDN 线也能工作。
办公室里的路由器能够管理专有的B通道连接到互联网 (64 Kbps)
以及使用另一个通道 B 来完成单独的数据连接。 第二个 B
通道可以用于拨进、拨出或动态与第一个B通道进行连接
(MPP等),以获取更大宽带。
IPX/SPX
以太网桥也允许您传输的不仅仅是 IP 通信。您也可以发送
IPX/SPX 或其它任何您所使用的协议。
Chern
Lee
作者:
李
鑫
译者:
delphij@FreeBSD.org.cn
网络地址转换
概要
natd
FreeBSD 的网络地址转换服务, 通常也被叫做
&man.natd.8;, 是一个能够接收连入的未处理 IP 包,
将源地址修改为本级地址然后重新将这些包注入到发出
IP 包流中。 &man.natd.8; 同时修改源地址和端口,
当接收到响应数据时,它作逆向转换以便把数据发回原先的请求者。
Internet 连接共享
NAT
NAT 最常见的用途是为人们所熟知的
Internet 连接共享。
安装
随着 IPv4 的 IP 地址空间的日益枯竭,
以及使用如 DSL 和电缆等高速连接的用户的逐渐增多,
越来越多的人开始需要 Internet 连接共享这样的解决方案。
由于能够将许多计算机通过一个对外的 IP 地址进行接入,
&man.natd.8; 成为了一个理想的选择。
更为常见的情况, 一个用户通过电缆或者 DSL 线路
接入,并拥有一个 IP 地址,同时,希望通过这台接入
Internet 的计算机来为
LAN 上更多的计算机提供接入服务。
为了完成这一任务, 接入 Internet 的 FreeBSD
机器必须扮演网关的角色。
这台网关必须有两块网卡 — 一块用于连接
Internet 路由器, 另一块用来连接 LAN。 所有 LAN
上的机器通过 Hub 或交换机进行连接。
有多种方法能够通过 &os; 网关将 LAN 接入 Internet。
这个例子只介绍了有至少两块网卡的网关。
_______ __________ ________
| | | | | |
| Hub |-----| Client B |-----| Router |----- Internet
|_______| |__________| |________|
|
____|_____
| |
| Client A |
|__________|
Network Layout
上述配置被广泛地用于共享 Internet 连接。
LAN 中的一台机器连接到 Internet 中。
其余的计算机则通过那台 网关
机来连接 Internet。
内核
配置
配置
下面这些选项必须放到内核配置文件中:
options IPFIREWALL
options IPDIVERT
此外,下列是一些可选的选项:
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPFIREWALL_VERBOSE
这些配置必须放到 /etc/rc.conf 中:
gateway_enable="YES"
firewall_enable="YES"
firewall_type="OPEN"
natd_enable="YES"
natd_interface="fxp0"
natd_flags=""
将机器配置为网关。 执行
sysctl net.inet.ip.forwarding=1 效果相同。
在启动时启用
/etc/rc.firewall 中的防火墙规则。
指定一个预定义的允许所有包进入的防火墙规则集。 参见
/etc/rc.firewall 以了解其他类型的规则集。
指定通过哪个网络接口转发包
(接入 Internet 的那一个)。
其他希望在启动时传递给
&man.natd.8; 的参数。
在 /etc/rc.conf 中加入上述选项将在系统启动时运行
natd -interface fxp0。 这一工作也可以手工完成。
当有太多选项要传递时,也可以使用一个 &man.natd.8;
的配置文件来完成。这种情况下,这个配置文件必须通过在
/etc/rc.conf 里增加下面内容来定义:
natd_flags="-f /etc/natd.conf"
/etc/natd.conf 文件会包含一个配置选项列表,
每行一个。在紧跟部分的例子里将使用下面的文件:
redirect_port tcp 192.168.0.2:6667 6667
redirect_port tcp 192.168.0.3:80 80
关于配置文件的更多信息,参考 &man.natd.8; 手册页中关于
选项那一部分。
在LAN后面的每一台机子和接口应该被分配私有地址空间(由RFC 1918定义)
里的 IP 地址,并且默认网关设成 natd
机子的内连 IP 地址。
例如:客户端 A 和 B 在
LAN 后面,IP 地址是 192.168.0.2 和 192.168.0.3,同时 natd 机子的 LAN 接口上的 IP 地址是 192.168.0.1。客户端 A 和
B 的默认网关必须要设成 natd
机子的 IP——192.168.0.1。natd
机子外连,或互联网接口不需要为了 &man.natd.8;
而做任何特别的修改就可工作。
端口重定向
使用 &man.natd.8; 的缺点就是 LAN 客户不能从互联网访问。LAN
上的客户可以进行到外面的连接,而不能接收进来的连接。如果想在
LAN 的客户端机子上运行互联网服务,这就会有问题。
对此的一种简单方法是在 natd
机子上重定向选定的互联网端口到 LAN 客户端。
例如:在客户端 A 上运行 IRC
服务,而在客户端 B 上运行 web 服务。
想要正确的工作,在端口 6667 (IRC) 和 80 (web)
上接收到的连接就必须重定向到相应的机子上。
需要使用适当的选项传送给 &man.natd.8;。语法如下:
-redirect_port proto targetIP:targetPORT[-targetPORT]
[aliasIP:]aliasPORT[-aliasPORT]
[remoteIP[:remotePORT[-remotePORT]]]
在上面的例子中,参数应该是:
-redirect_port tcp 192.168.0.2:6667 6667
-redirect_port tcp 192.168.0.3:80 80
这就会重定向适当的 tcp 端口到 LAN 上的客户端机子。
参数可以用来指出端口范围来代替单个端口。例如,
tcp 192.168.0.2:2000-3000 2000-3000
就会把所有在端口 2000 到 3000 上接收到的连接重定向到主机
A 上的端口 2000 到 3000。
当直接运行 &man.natd.8; 时,就可以使用这些选项,
把它们放到 /etc/rc.conf 里的
natd_flags="" 选项上,
或通过一个配置文件进行传送。
想要更多配置选项,请参考 &man.natd.8;。
地址重定向
地址重定向
如果有几个 IP 地址提供,那么地址重定向就会很有用,
然而他们必须在一个机子上。使用它,&man.natd.8;
就可以分配给每一个 LAN 客户端它们自己的外部 IP 地址。&man.natd.8;
然后会使用适当的处部 IP 地址重写从 LAN 客户端外出的数据包,
以及重定向所有进来的数据包——一定的 IP 地址回到特定的
LAN 客户端。这也叫做静态 NAT。例如,IP 地址
128.1.1.1、
128.1.1.2 和
128.1.1.3 属于
natd 网关机子。
128.1.1.1 可以用来作
natd 网关机子的外连 IP 地址,而
128.1.1.2 和
128.1.1.3 用来转发回 LAN 客户端
A 和 B。
语法如下:
-redirect_address localIP publicIP
localIP
LAN 客户端的内部 IP 地址。
publicIP
相应 LAN 客户端的外部 IP 地址。
在这个例子里,参数是:
-redirect_address 192.168.0.2 128.1.1.2 -redirect_address 192.168.0.3 128.1.1.3
象 一样,这些参数也是放在
/etc/rc.conf 里的
natd_flags="" 选项上,
或通过一个配置文件传送给它。使用地址重定向,
就没有必要用端口重定向了,因为所有在某个 IP
地址上收到的数据都被重定向了。
在 natd 机子上的外部 IP
地址必须激活并且别名到 (aliased) 外连接口。要这做就看看
&man.rc.conf.5;。
并口电缆 IP (PLIP)
PLIP
并口电缆 IP
PLIP
PLIP 允许我们在两个并口间运行 TCP/IP。
在使用笔记本电脑, 或没有网卡的计算机时, 这会非常有用。
这一节中, 我们将讨论:
制作用于并口的 (laplink) 线缆。
使用 PLIP 连接两台计算机。
制作并口电缆。
您可以在许多计算机供应店里买到并口电缆。
如果买不到, 或者希望自行制作, 则可以参阅下面的表格,
它介绍了如何利用普通的打印机并口电缆来改制:
用于网络连接的并口电缆接线方式
A-name
A 端
B 端
描述
Post/Bit
DATA0 -ERROR
2 15
15 2
数据
0/0x01 1/0x08
DATA1 +SLCT
3 13
13 3
数据
0/0x02 1/0x10
DATA2 +PE
4 12
12 4
数据
0/0x04 1/0x20
DATA3 -ACK
5 10
10 5
脉冲 (Strobe)
0/0x08 1/0x40
DATA4 BUSY
6 11
11 6
数据
0/0x10 1/0x80
GND
18-25
18-25
GND
-
设置 PLIP
首先,您需要一根 laplink 线。然后,
确认两台计算机的内核都有对 &man.lpt.4;
驱动程序的支持:
&prompt.root; grep lp /var/run/dmesg.boot
lpt0: <Printer> on ppbus0
lpt0: Interrupt-driven port
并口必须是一个中断驱动的端口, 您应在
/boot/device.hints 文件中配置:
hint.ppc.0.at="isa"
hint.ppc.0.irq="7"
然后检查内核配置文件中是否有一行
device plip 或加载了
plip.ko 内核模块。
这两种情况下, 在使用 &man.ifconfig.8; 命令时都会显示并口对应的网络接口,
类似这样:
&prompt.root; ifconfig plip0
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500
用 laplink 线接通两台计算机的并口。
在两边以 root 身份配置通讯参数。
例如, 如果你希望将 host1 通过另一台机器 host2
连接:
host1 <-----> host2
IP Address 10.0.0.1 10.0.0.2
配置 host1 上的网络接口,照此做:
&prompt.root; ifconfig plip0 10.0.0.1 10.0.0.2
配置 host2 上的网络接口,照此做:
&prompt.root; ifconfig plip0 10.0.0.2 10.0.0.1
您现在应该有个工作的连接了。想要更详细的信息,
请阅读 &man.lp.4; 和 &man.lpt.4; 手册页。
您还应该增加两个主机到 /etc/hosts:
127.0.0.1 localhost.my.domain localhost
10.0.0.1 host1.my.domain host1
10.0.0.2 host2.my.domain
要确认连接是否工作,可以到每一台机子上,然后
ping 另外一台。例如,在 host1 上:
&prompt.root; ifconfig plip0
plip0: flags=8851<UP,POINTOPOINT,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 10.0.0.1 --> 10.0.0.2 netmask 0xff000000
&prompt.root; netstat -r
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
host2 host1 UH 0 0 plip0
&prompt.root; ping -c 4 host2
PING host2 (10.0.0.2): 56 data bytes
64 bytes from 10.0.0.2: icmp_seq=0 ttl=255 time=2.774 ms
64 bytes from 10.0.0.2: icmp_seq=1 ttl=255 time=2.530 ms
64 bytes from 10.0.0.2: icmp_seq=2 ttl=255 time=2.556 ms
64 bytes from 10.0.0.2: icmp_seq=3 ttl=255 time=2.714 ms
--- host2 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max/stddev = 2.530/2.643/2.774/0.103 ms
Aaron
Kaplan
原始作者:
Tom
Rhodes
重新组织和增加:
张
雪平
中文翻译:
zxpmyth@yahoo.com.cn
Brad
Davis
Extended by
IPv6
IPv6 (也被称作 IPng 下一代 IP
)
是众所周知的 IP 协议 (也叫
IPv4) 的新版本。 和其他现代的 *BSD 系统一样,
FreeBSD 包含了 KAME 的 IPv6 参考实现。 因此,
您的 FreeBSD 系统包含了尝试 IPv6 所需要的所有工具。
这一节主要集中讨论如何配置和使用 IPv6。
在 1990 年代早期, 人们开始担心可用的 IPv4 地址空间在不断地缩小。 随着
Internet 的爆炸式发展, 主要的两个担心是:
用尽所有的地址。 当然现在这个问题已经不再那样尖锐,
因为 RFC1918 私有地址空间
(10.0.0.0/8、
172.16.0.0/12, 以及
192.168.0.0/16)
和网络地址转换 (NAT) 技术已经被广泛采用。
路由表条目变得太大。这点今天仍然是焦点。
IPv6 解决这些和其它许多的问题:
128 位地址空间。换句话,理论上有
340,282,366,920,938,463,463,374,607,431,768,211,456
个地址可以使用。这意味着在我们的星球上每平方米大约有
6.67 * 10^27 个 IPv6 地址。
路由器仅在它们的路由表里存放网络地址集,
这就减少路由表的平均空间到 8192 个条目。
IPv6 还有其它许多有用的功能,如:
地址自动配置 (RFC2462)
Anycast (任意播) 地址(一对多
)
强制的多播地址
IPsec (IP 安全)
简单的头结构
移动的 (Mobile) IP
IPv6 到 IPv4 的转换机制
要更多信息,请查看:
IPv6 概观,在
playground.sun.com
KAME.net
关于 IPv6 地址的背景知识
有几种不同类型的 IPv6 地址:Unicast,Anycast 和 Multicast。
Unicast 地址是为人们所熟知的地址。一个被发送到
unicast 地址的包实际上会到达属于这个地址的接口。
Anycast 地址语义上与 unicast 地址没有差别,
只是它们强调一组接口。指定为 anycast 地址的包会到达最近的
(以路由为单位) 接口。Anycast 地址可能只被路由器使用。
Multicast 地址标识一组接口。指定为 multicast
地址的包会到达属于 multicast 组的所有的接口。
IPv4 广播地址 (通常为
xxx.xxx.xxx.255) 由
IPv6 的 multicast 地址来表示。
保留的 IPv6 地址
IPv6 地址
预定长度 (bits)
描述
备注
::
128 bits
未指定
类似 IPv4 中的 0.0.0.0
::1
128 bits
环回地址
类似 IPv4 中的 127.0.0.1
::00:xx:xx:xx:xx
96 bits
嵌入的 IPv4
低 32 bits 是 IPv4 地址。这也称作
IPv4 兼容 IPv6
地址
::ff:xx:xx:xx:xx
96 bits
IPv4 影射的 IPv6 地址
低的 32 bits 是 IPv4 地址。 用于那些不支持 IPv6 的主机。
fe80:: - feb::
10 bits
链路环回
类似 IPv4 的环回地址。
fec0:: - fef::
10 bits
站点环回
ff::
8 bits
多播
001 (base
2)
3 bits
全球多播
所有的全球多播地址都指定到这个地址池中。前三个二进制位是
001
。
IPv6 地址的读法
规范形式被描述为:x:x:x:x:x:x:x:x,
每一个x
就是一个 16 位的 16 进制值。当然,
每个十六进制块以三个0
开始头的也可以省略。如
FEBC:A574:382B:23C1:AA49:4592:4EFE:9982
通常一个地址会有很长的子串全部为零,
因此每个地址的这种子串常被简写为::
。
例如:fe80::1
对应的规范形式是
fe80:0000:0000:0000:0000:0000:0000:0001。
第三种形式是以众所周知的用点.
作为分隔符的十进制
IPv4 形式,写出最后 32 Bit 的部分。例如
2002::10.0.0.1
对应的十进制正规表达方式是
2002:0000:0000:0000:0000:0000:0a00:0001
它也相当于写成
2002::a00:1.
到现在,读者应该能理解下面的内容了:
&prompt.root; ifconfig
rl0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
inet 10.0.0.10 netmask 0xffffff00 broadcast 10.0.0.255
inet6 fe80::200:21ff:fe03:8e1%rl0 prefixlen 64 scopeid 0x1
ether 00:00:21:03:08:e1
media: Ethernet autoselect (100baseTX )
status: active
fe80::200:21ff:fe03:8e1%rl0
是一个自动配置的链路环回地址。它作为自动配置的一部分由 MAC 生成。
关于 IPv6 地址的结构的更多信息,请参看 RFC3513。
进行连接
目前,有四种方式可以连接到其它 IPv6 主机和网络:
从您的上一级提供商那里获得 IPv6 网络。与您的互联网提供商讨论以求指导。
使用 6-to-4 通道 (RFC3068)
如果您使用的是拨号连接, 则可以使用 net/freenet6 port。
IPv6 世界里的 DNS
对于 IPv6 有两种类型的 DNS 记录:IETF
已经宣布 A6 是过时标准;现行的标准是 AAAA 记录。
使用AAAA记录是很简单的。通过增加下面内容,
给您的主机分配置您刚才接收到的新的 IPv6 地址:
MYHOSTNAME AAAA MYIPv6ADDR
到您的主域 DNS 文件里,就可以完成。要是您自已没有
DNS 域服务,您可以询问您的 DNS
提供商。目前的 bind 版本 (version 8.3 与 9)
和 dns/djbdns(含IPv6补丁) 支持 AAAA 记录。
在 <filename>/etc/rc.conf</filename> 中进行所需的修改
IPv6 客户机设置
这些设置将帮助您把一台您 LAN 上的机器配置为一台客户机, 而不是路由器。
要让 &man.rtsol.8; 在启动时自动配置您的网卡, 只需添加:
ipv6_enable="YES"
要自动地静态指定 IP 地址, 例如
2001:471:1f11:251:290:27ff:fee0:2093, 到
fxp0 上, 则写上:
ipv6_ifconfig_fxp0="2001:471:1f11:251:290:27ff:fee0:2093"
要指定
2001:471:1f11:251::1
作为默认路由, 需要在 /etc/rc.conf 中加入:
ipv6_defaultrouter="2001:471:1f11:251::1"
IPv6 路由器/网关配置
这将帮助您从隧道提供商那里取得必要的资料,
并将这些资料转化为在重启时能够保持住的设置。 要在启动时恢复您的隧道,
需要在 /etc/rc.conf 中增加:
列出要配置的通用隧道接口, 例如
gif0:
gif_interfaces="gif0"
配置该接口使用本地端地址
MY_IPv4_ADDR 和远程端地址
REMOTE_IPv4_ADDR:
gifconfig_gif0="MY_IPv4_ADDR REMOTE_IPv4_ADDR"
应用分配给您用于 IPv6 隧道远端的 IPv6
地址, 需要增加:
ipv6_ifconfig_gif0="MY_ASSIGNED_IPv6_TUNNEL_ENDPOINT_ADDR"
此后十设置 IPv6 的默认路由。 这是 IPv6 隧道的另一端:
ipv6_defaultrouter="MY_IPv6_REMOTE_TUNNEL_ENDPOINT_ADDR"
IPv6 隧道配置
如果服务器将您的网络通过 IPv6 路由到世界的其他角落,
您需要在 /etc/rc.conf
中添加下面的配置:
ipv6_gateway_enable="YES"
路由宣告和主机自动配置
这节将帮助您配置 &man.rtadvd.8; 来宣示默认的
IPv6 路由。
要启用 &man.rtadvd.8; 您需要在
/etc/rc.conf 中添加:
rtadvd_enable="YES"
指定由哪个网络接口来完成
IPv6 路由请求非常重要。 举例来说, 让 &man.rtadvd.8; 使用
fxp0:
rtadvd_interfaces="fxp0"
接下来我们需要创建配置文件,
/etc/rtadvd.conf。 示例如下:
fxp0:\
:addrs#1:addr="2001:471:1f11:246::":prefixlen#64:tc=ether:
将 fxp0 改为您打算使用的接口名。
接下来, 将 2001:471:1f11:246::
改为分配给您的地址前缀。
如果您拥有专用的 /64 子网,
则不需要修改其他设置。 反之, 您需要把
prefixlen# 改为正确的值。
Harti
Brandt
贡献者:
张
雪平
中文翻译:
zxpmyth@yahoo.com.cn
异步传输模式 (ATM)
配置 classical IP over ATM (PVCs)
Classical IP over ATM (CLIP)
是一种最简单的使用带 IP 的 ATM 的方法。
这种方法可以用在交换式连接 (SVC) 和永久连接
(PVC) 上。这部分描述的就是配置基于 PVC 的网络。
完全互连的配置
第一种使用PVC来设置 CLIP
的方式就是通过专用的 PVC 让网络里的每一台机子都互连在一起。
尽管这样配置起来很简单,但对于数量更多一点的机子来说就有些不切实际了。
例如我们有四台机子在网络里,每一台都使用一张 ATM 适配器卡连接到 ATM
网络。第一步就是规划 IP 地址和机子间的 ATM 连接。我们使用下面的:
主机
IP 地址
hostA
192.168.173.1
hostB
192.168.173.2
hostC
192.168.173.3
hostD
192.168.173.4
为了建造完全交错的网络,我们需要在第一对机子间有一个 ATM 连接:
机器
VPI.VCI 对
hostA - hostB
0.100
hostA - hostC
0.101
hostA - hostD
0.102
hostB - hostC
0.103
hostB - hostD
0.104
hostC - hostD
0.105
在每一个连接端 VPI 和 VCI 的值都可能会不同,
只是为了简单起见,我们假定它们是一样的。
下一步我们需要配置每一个主机上的 ATM 接口:
hostA&prompt.root; ifconfig hatm0 192.168.173.1 up
hostB&prompt.root; ifconfig hatm0 192.168.173.2 up
hostC&prompt.root; ifconfig hatm0 192.168.173.3 up
hostD&prompt.root; ifconfig hatm0 192.168.173.4 up
假定所有主机上的 ATM 接口都是 hatm0。
现在 PVC 需要配置到 hostA 上
(我们假定它们都已经配置在了 ATM 交换机上,至于怎么做的,
您就需要参考一下该交换机的手册了)。
hostA&prompt.root; atmconfig natm add 192.168.173.2 hatm0 0 100 llc/snap ubr
hostA&prompt.root; atmconfig natm add 192.168.173.3 hatm0 0 101 llc/snap ubr
hostA&prompt.root; atmconfig natm add 192.168.173.4 hatm0 0 102 llc/snap ubr
hostB&prompt.root; atmconfig natm add 192.168.173.1 hatm0 0 100 llc/snap ubr
hostB&prompt.root; atmconfig natm add 192.168.173.3 hatm0 0 103 llc/snap ubr
hostB&prompt.root; atmconfig natm add 192.168.173.4 hatm0 0 104 llc/snap ubr
hostC&prompt.root; atmconfig natm add 192.168.173.1 hatm0 0 101 llc/snap ubr
hostC&prompt.root; atmconfig natm add 192.168.173.2 hatm0 0 103 llc/snap ubr
hostC&prompt.root; atmconfig natm add 192.168.173.4 hatm0 0 105 llc/snap ubr
hostD&prompt.root; atmconfig natm add 192.168.173.1 hatm0 0 102 llc/snap ubr
hostD&prompt.root; atmconfig natm add 192.168.173.2 hatm0 0 104 llc/snap ubr
hostD&prompt.root; atmconfig natm add 192.168.173.3 hatm0 0 105 llc/snap ubr
当然,除 UBR 外其它的通信协定也可让 ATM 适配器支持这些。
此种情况下,通信协定的名字要跟人通信参数后边。工具
&man.atmconfig.8; 的帮助可以这样得到:
&prompt.root; atmconfig help natm add
或者在 &man.atmconfig.8; 手册页里得到。
相同的配置也可以通过 /etc/rc.conf
来完成。对于 hostA,看起来就象这样:
network_interfaces="lo0 hatm0"
ifconfig_hatm0="inet 192.168.173.1 up"
natm_static_routes="hostB hostC hostD"
route_hostB="192.168.173.2 hatm0 0 100 llc/snap ubr"
route_hostC="192.168.173.3 hatm0 0 101 llc/snap ubr"
route_hostD="192.168.173.4 hatm0 0 102 llc/snap ubr"
所有 CLIP 路由的当前状态可以使用如下命令获得:
hostA&prompt.root; atmconfig natm show
Tom
Rhodes
原作
Common Access Redundancy Protocol (CARP, 共用地址冗余协议)
CARP
Common Access Redundancy Protocol, 共用地址冗余协议
Common Access Redundancy Protocol, 或简称
CARP 能够使多台主机共享同一
IP 地址。 在某些配置中, 这样做可以提高可用性,
或实现负载均衡。 下面的例子中, 这些主机也可以同时使用其他的不同的
IP 地址。
要启用 CARP 支持, 必须在 &os;
内核配置中增加下列选项, 并重新联编内核:
device carp
这样就可以使用 CARP 功能了,
一些具体的参数, 可以通过一系列 sysctl
OID 来调整。 设备可以通过 ifconfig 命令来加载:
&prompt.root; ifconfig carp0 create
在真实环境中, 这些接口需要一个称作 VHID 的标识编号。 这个
VHID 或 Virtual Host Identification (虚拟主机标识)
用于在网络上区分主机。
使用 CARP 来改善服务的可用性 (CARP)
如前面提到的那样, CARP 的作用之一是改善服务的可用性。
这个例子中, 将为三台主机提供故障转移服务, 这三台服务器各自有独立的 IP
地址, 并提供完全一样的 web 内容。 三台机器以 DNS
轮询的方式提供服务。 用于故障转移的机器有两个
CARP 接口,
分别配置另外两台服务器的 IP 地址。
当有服务器发生故障时, 这台机器会自动得到故障机的
IP 地址。 这样以来,
用户就完全感觉不到发生了故障。 故障转移的服务器提供的内容和服务,
应与其为之提供热备份的服务器一致。
两台机器的配置, 除了主机名和 VHID 之外应完全一致。
在我们的例子中, 这两台机器的主机名分别是
hosta.example.org 和
hostb.example.org。 首先,
需要将 CARP 配置加入到 rc.conf。 对于
hosta.example.org 而言,
rc.conf 文件中应包含下列配置:
hostname="hosta.example.org"
ifconfig_fxp0="inet 192.168.1.3 netmask 255.255.255.0"
cloned_interfaces="carp0"
ifconfig_carp0="vhid 1 pass testpast 192.168.1.50/24"
在 hostb.example.org 上,
对应的 rc.conf 配置则是:
hostname="hostb.example.org"
ifconfig_fxp0="inet 192.168.1.4 netmask 255.255.255.0"
cloned_interfaces="carp0"
ifconfig_carp0="vhid 2 pass testpass 192.168.1.51/24"
在两台机器上由 ifconfig 的
选项指定的密码必须是一致的,
这一点非常重要。 carp 设备只会监听和接受来自持有正确密码的机器的公告。
此外, 不同虚拟主机的 VHID 必须不同。
第三台机器,
provider.example.org 需要进行配置,
以便在另外两台机器出现问题时接管。 这台机器需要两个 carp
设备, 分别处理两个机器。 对应的 rc.conf
配置类似下面这样:
hostname="provider.example.org"
ifconfig_fxp0="inet 192.168.1.5 netmask 255.255.255.0"
cloned_interfaces="carp0 carp1"
ifconfig_carp0="vhid 1 advskew 100 pass testpass 192.168.1.50/24"
ifconfig_carp1="vhid 2 advskew 100 pass testpass 192.168.1.51/24"
配置两个 carp 设备,
能够让 provider.example.org 在两台机器中的任何一个停止响应时,
立即接管其 IP 地址。
默认的 &os; 内核 可能 启用了主机间抢占。
如果是这样的话,
provider.example.org 可能在正式的内容服务器恢复时不释放
IP 地址。 此时, 管理员可以
提醒
一下接口。 具体做法是在
provider.example.org 上使用下面的命令:
&prompt.root; ifconfig carp0 down && ifconfig carp0 up
这个操作需要在与出现问题的主机对应的那个 carp
接口上进行。
现在您已经完成了 CARP 的配置, 并可以开始测试了。
测试过程中, 可以随时重启或切断两台机器的网络。
如欲了解更多细节, 请参见 &man.carp.4;
联机手册。
diff --git a/zh_CN.GB2312/books/handbook/basics/chapter.sgml b/zh_CN.GB2312/books/handbook/basics/chapter.sgml
index b22f512fab..b0e5aa7579 100644
--- a/zh_CN.GB2312/books/handbook/basics/chapter.sgml
+++ b/zh_CN.GB2312/books/handbook/basics/chapter.sgml
@@ -1,2378 +1,2379 @@
Chris
Shumway
Rewritten by
UNIX 基础
概述
下列章节的命令和功能适用于FreeBSD操作系统。
同时这里许多内容和一些 类-&unix; 操作系统相关。
假如您已经熟悉这些内容可跳过不阅读。
假如您是FreeBSD新手, 那您应该认真详细地从头到尾读一遍这些章节。
读取这些内容,您将了解:
怎样在FreeBSD使用 虚拟控制台
。
在 &unix; 中文件权限如何运作,
以及理解 &os; 中的文件标志。
&os; 默认文件系统的架构。
&os;磁盘架构。
怎样挂接或卸下文件系统。
什么是进程、守护进程、信号。
什么是shell,应当怎样去改变登录进入的默认环境。
怎样使用基本的文本编辑器。
什么是设备,什么是设备节点。
&os; 下,使用的是什么可执行文件格式。
怎样使用 man 手册并取得更多资讯。
虚拟控制台和终端
虚拟控制台
终端
可以用多种不同的方式使用 FreeBSD, 在文本终端输入命令是其中之一。
通过使用这种方式, 您可以容易地使用 FreeBSD 来获得 &unix;
操作系统的灵活而强大的功能。 这一节将介绍 终端
和
控制台
, 以及如何在 FreeBSD 中使用它们。
控制台
控制台
假如您没有设置 FreeBSD 在启动期间开启图形登录界面,
那么系统将在引导和启动脚本正确运行完成后,给您一个登录的提示。
您会看到类似这样的界面:
Additional ABI support:.
Local package initialization:.
Additional TCP options:.
Fri Sep 20 13:01:06 EEST 2002
FreeBSD/i386 (pc3.example.org) (ttyv0)
login:
这些信息可能和您的系统稍微有点不同,但不会有很大差别。
最后两行是我们感兴趣的,
理解这一行:
FreeBSD/i386 (pc3.example.org) (ttyv0)
这一行是您刚才启动的系统信息其中一块,
您所看到的是一个FreeBSD
控制台,
运行在一个Intel或兼容的x86体系架构上面
现在理解一下i386的含义。
请注意尽管您的 FreeBSD 并非在 Intel 386 CPU
上运行, 但也会显示为 i386。
这不是指您的处理器, 而是指处理器的
体系结构
。
。 这台计算机的名字 (每台 &unix; 计算机都有自己的名字) 叫
pc3.example.org, 就是现在这个系统控制台—这个 ttyv0
终端的样子。
在最后,最后一行一直保持这样:
login:
这里, 您将可以输入用户名
username
并登录到 &os; 系统中。
接下来的一节, 将介绍如何登录系统。
进入FreeBSD
FreeBSD是一个多用户多任务的系统,
换句话来说就是一个系统中可以容纳许多不同的用户,
而这些用户都可以同时在这台机器中运行大量的程序。
每一个多用户系统都必须在某方面去区分 user
,
在 FreeBSD 里 (以及 类-&unix; 操作系统), 完成这方面工作是有必要的,
因而, 每位使用者在运行程序之前都必须首先 登录
,
而每位用户都有与之对应的用户名 (username
) 和密码
(password
)。 FreeBSD
会在用户进入之前作出询问这两项信息。
启动脚本
当 FreeBSD 引导并运行完启动脚本之后,
启动脚本这些程序在FreeBSD在启动过程中运行。
它们的主要功能为其他每方面的运行作好准备,
和运行您的配置所用到的相关环境。
, 它会给出一个提示, 并要求输入有效的用户名:
login:
举个例子更容易理解,我们假设您的用户名叫 john。
在提示符下输入 john 并按 Enter,
此时您应该看到这个提示 password
:
login: john
Password:
现在输入 john的密码并按下
Enter。 输入密码时是 不回显的!
不必为此担心, 这样做是出于安全考虑。
假如您输入的密码是正确的, 这时你应该已进入 FreeBSD,
并可以开始尝试可用的命令了。
您应该看见 MOTD 或者出现一个命令提示符
(#、$ 或 % 字符).
这表明您已成功登录进入FreeBSD。
多个控制台
在一个控制台运行 &unix; 命令虽说很好, 但 FreeBSD 具有一次运行
多个程序的能力。 仅使用一个控制台只会浪费 FreeBSD 同时运行多任务的能力。
而 虚拟控制台
在这方面发挥强大的功能。
FreeBSD 能配置出满足您不同需求的虚拟控制台,
在键盘上您用一组键就能从各个虚拟控制台之间切换。
各个控制台有自己的传输通道,
当您在各个控制台切换时 FreeBSD
会切换到合适的键盘传输通道和显示器传输通道。
FreeBSD 各个控制台之间可利用特殊组键切换并保留原有控制台
关于 FreeBSD
的控制台和键盘设备这些详细资料或使用技巧可在手册里找到:
&man.syscons.4;、&man.atkbd.4;、&man.vidcontrol.1;
和 &man.kbdcontrol.1;。 我们不在这里详细介绍,
但是爱好者总会在手册里找到详细的答案。
,您可这样做:
AltF1,
AltF2, 一直到
AltF8
在FreeBSD里切换到其中一个虚拟控制台。
同样地, 您正在从其中某个控制台切换到另一个控制台的时候,
FreeBSD 会保存正在使用和恢复将要使用屏幕传输通道。
这种结果形成一种 错觉
,
您拥有许多虚拟
屏幕和键盘可以输入很多的命令。
这些程序需要在一个虚拟控制台不能停止运行而又不需要观察它,
它继续运行而您可以切换到其他的虚拟控制台。
<filename>/etc/ttys</filename>文件
FreeBSD 虚拟控制台的默认配置为8个,但并不是硬性设置,
您可以很容易设置虚拟控制台的个数增多或减少。
虚拟控制台的的编号和设置在 /etc/ttys 文件里。
您可以使用 /etc/ttys 文件在 FreeBSD 下配置虚拟控制台。
文件里每一未加注释的行都能设置一个终端或虚拟控制台
(当行里含有 # 这个字符时不能使用) 。
FreeBSD 默认配置是配置出9个虚拟控制台而只能启动8个,
以下这些行是 ttyv 一起启动:
# name getty type status comments
#
ttyv0 "/usr/libexec/getty Pc" cons25 on secure
# Virtual terminals
ttyv1 "/usr/libexec/getty Pc" cons25 on secure
ttyv2 "/usr/libexec/getty Pc" cons25 on secure
ttyv3 "/usr/libexec/getty Pc" cons25 on secure
ttyv4 "/usr/libexec/getty Pc" cons25 on secure
ttyv5 "/usr/libexec/getty Pc" cons25 on secure
ttyv6 "/usr/libexec/getty Pc" cons25 on secure
ttyv7 "/usr/libexec/getty Pc" cons25 on secure
ttyv8 "/usr/X11R6/bin/xdm -nodaemon" xterm off secure
如果要了解这个文件中每一列的详细介绍,
以及虚拟控制台上所能使用的配置,
请参考联机手册 &man.ttys.5;。
单用户模式的控制台
关于 单用户模式
详细介绍在
这里可以找到。 当您运行单用户模式时只能使用一个控制台,
没有多个虚拟控制台可使用。 单用户模式的控制台同也可以在
/etc/ttys 文件设置,
可在这行找到要启动的控制台:
# name getty type status comments
#
# If console is marked "insecure", then init will ask for the root password
# when going to single-user mode.
console none unknown off secure
这个 console 已经注释掉,
您可编辑这行把 secure 改为
insecure。 这样,
当用单用户进入 FreeBSD 时, 它仍然要求提供
root 用户的密码。
在把这个选项改为
insecure 的时候一定要小心,
如果您忘记了
root用户的密码, 进入单用户会有点麻烦。
尽管仍然能进入单用户模式, 但如果您不熟悉它就会非常令人头疼。
改变控制台的显示模式
FreeBSD 控制台默认的显示模式可以被调整为 1024x768, 1280x1024,
或者任何你的显卡芯片和显示器所支持的其他尺寸。
要使用一个不同的显示模式,
你必须首先重新编译内核并包含以下2个选项:
options VESA
options SC_PIXEL_MODE
在内核用这2个选项编译完成后,你就可以使用 &man.vidcontrol.1;
工具来测定你的硬件支持何种显示模式了。 以 root
身份在控制台键入以下命令来获得一份所支持的显示模式列表。
&prompt.root; vidcontrol -i mode
这个命令的输出是一份你的硬件所支持的显示模式列表。
- 你可以在以 root 身份在控制台上键入以下命令来改变显示模式:
+ 你可以在以 root 身份在控制台上键入 &man.vidcontrol.1;
+ 命令来改变显示模式:
&prompt.root; vidcontrol MODE_279
如果你对于新的显示模式满意,那么可以把它加入到
/etc/rc.conf 使机器在每次启动的时候都能生效,
我们使用了上一个例子中的模式:
allscreens_flags="MODE_279"
权限
UNIX
FreeBSD,是 BSD &unix; 的延续, 并基于几个关键的 &unix; 观念。
从一开始就多处提到 FreeBSD 是一个多用户的操作系统,
它能分别处理几个同时工作的用户所分配的毫无关联任务。
并负责为每位用户的硬件设备、 外设、 内存和
CPU 处理时间作出合理安排。
因为系统有能力支持多用户, 在每一方面系统都会作出谁能读、
写和执行的资源权力限制。 这点权限以三个八位元的方式储存着,
一个是表示文件所属者, 一个是表示文件所属群组, 一个是表示其他人。
这些数字以下列方式表示:
权限
文件权限
数值
权限
目录列表
0
不能读,不能写,不能执行
---
1
不能读,不能写,可执行
--x
2
不能读,可写,不能执行
-w-
3
不能读,可写,可执行
-wx
4
可读,不能写,不能执行
r--
5
可读,不能写,可执行
r-x
6
可读,可写,不能执行
rw-
7
可读,可写,可执行
rwx
ls
目录
使用命令的 (&man.ls.1;)
参数可以显示出文件的所属者、 所属组和其他人等属性。
请看以下的例子:
&prompt.user; ls -l
total 530
-rw-r--r-- 1 root wheel 512 Sep 5 12:31 myfile
-rw-r--r-- 1 root wheel 512 Sep 5 12:31 otherfile
-rw-r--r-- 1 root wheel 7680 Sep 5 12:31 email.txt
...
使用 ls -l 在每行的开始出现了:
-rw-r--r--
从左边起的第一个字,告诉我们这个文件是一怎样的文件:
普通文件?目录?特殊设备?socket?或是设备文件?
在这个例子, - 表示一个普通文件。
接下来三个字是 rw- 是文件拥有者的权限。
再接下来的三个字是 r-- 是文件所属群组的权限。
最後三个字是 r-- 是其他人的权限。
以这一个文件为例,他的权限设定是拥有者可以读写这个文件、群组可以读取、
其他使用者也能读取这个文件。
根据上面的表格, 用数字表示这个文件其三部分的权限应该是
644。
这样很好,但系统怎样对设备进行权限控制的?
事实上 FreeBSD 将大部份硬件设备当作一个文件看待,
用程序能打开、读取、写入数据就如其他的文件一样。
而设备文件放在 /dev 目录。
目录也视为一种文件,也有读取、写入、执行的权限。
但目录的执行权限意义并不与普通文件相同,
实际上执行权限是进入权限。
当一个目录是被标示可以执行的时, 表示可以进入它,
或者换言之, 利用 cd
(改变当前目录) 进入它。
此外, 这也表示有权进入目录的用户, 可以访问其下的已知名字的文件
(当然目录下的文件也受到访问限制)。
详细方面,想读取一个目录的列表就必须设为可读权限,
同时想删除一个已知的文件,就必须把目录下这个文件设为可写
和 执行权限。
还有更多权限设定,
但是他们大多用在特殊状况下如一个setuid的执行文件和粘贴性目录,
如果想要得知有关文件权限和如何设定的更多资讯,请看手册&man.chmod.1;。
Tom
Rhodes
Contributed by
权限的符号化表示
权限符号
权限符号,某些时候就是指符号表达式,
使用八进制的字符给目录或文件分配权限。
权限符号的使用语法是 (谁) (作用) (权限)。
看看下列数值的在那些地方所起什么样的作用:
选项
字母
介绍
(谁)
u
用户
(谁)
g
所属群体
(谁)
o
其他人
(谁)
a
所有人 (全部
)
(作用)
+
增加权限
(作用)
-
减少权限
(作用)
=
确定权限
(权限)
r
可读
(权限)
w
可写
(权限)
x
执行
(权限)
t
粘贴位
(权限)
s
设置 UID 或 GID
这些数值 &man.chmod.1; 以习惯标定的。
举个例子,用以下命令阻止其他人访问
FILE文件:
&prompt.user; chmod go= FILE
如果需要对文件一次进行多项变动, 则可用逗号分开, 在下面的例子中,
将去掉 FILE 文件的群体和 全体其他用户
可写权限,
并为所有人增加可执行权限:
&prompt.user; chmod go-w,a+x FILE
Tom
Rhodes
Contributed by
&os; 文件标志
在前面所介绍的文件权限的基础之上, &os;
还支持使用 文件标志
。
这些标志为文件提供了进一步的安全控制机制,
但这些控制并不适用于目录。
这些文件标志提供了针对文件的进一步控制,
帮助确保即使是
root 用户也无法删除或修改文件。
文件标志可以通过使用 &man.chflags.1; 工具来修改,
其用户界面很简单。 例如, 要在文件 file1
上应用系统禁删标志, 应使用下述命令:
&prompt.root; chflags sunlink file1
要禁用系统禁删标志, 只需在前述命令中的
标志前加 no
。
例如:
&prompt.root; chflags nosunlink file1
要显示文件上的标志, 应使用命令 &man.ls.1;
的 参数:
&prompt.root; ls -lo file1
输出结果应类似于:
-rw-r--r-- 1 trhodes trhodes sunlnk 0 Mar 1 05:54 file1
许多标志只可以由
root 用户来增加, 而另一些,
则可以由文件的所有者来增加。 建议管理员仔细阅读
&man.chflags.1; 和 &man.chflags.2; 联机手册,
以对其加深理解。
目录架构
目录层次
理解 FreeBSD 的目录层次结构对于建立对系统整体的理解十分重要的基础。
其中, 最重要的概念是根目录,
/
。 这个目录是系统引导时挂接的第一个目录,
它包含了用以准备多用户操作所需的操作系统基础组件。
根目录中也包含了用于在启动时转换到多用户模式之前挂接其他文件系统所需的挂接点。
挂接点 (mount point) 是新增的文件系统在接入现有系统时的起点位置 (通常是根目录)。
在 对此进行了详细的阐述。
标准的挂接点包括
/usr、 /var、 /tmp、
/mnt, 以及 /cdrom。
这些目录通常会在
/etc/fstab
文件中提及。 /etc/fstab
是一张包含系统中各个文件系统及挂接点的表。
在 /etc/fstab 中的绝大多数文件系统都会在启动时由
&man.rc.8; 脚本自动挂接, 除非特别指定了 选项。
更多细节请参考 。
您可以通过 &man.hier.7; 来了解完整的文件系统层次说明。
现在, 让我们先来看一看绝大多数的常见的目录以供参考。
目录
介绍
/
文件系统的根目录。
/bin/
在单个用户和多用户环境下的基本工具目录。
/boot/
在操作系统在启动加载期间所用的程序和配置。
/boot/defaults/
默认每步引导启动的配置内容,请查阅&man.loader.conf.5;。
/dev/
设备节点,请查阅 &man.intro.4;。
/etc/
系统启动的配置和脚本。
/etc/defaults/
系统默认的启动配置和脚本,请参考 &man.rc.8; 。
/etc/mail/
关系到邮件系统运作的配置, 请参考 &man.sendmail.8;。
/etc/namedb/
named 配置文件,请参考 &man.named.8;。
/etc/periodic/
每天、每星期和每月周期性地运行的脚本,
请通过 &man.cron.8;查阅 &man.periodic.8;。
/etc/ppp/
ppp配置文件,请查阅&man.ppp.8;。
/mnt/
由管理员习惯使用挂接点的临时空目录。
/proc/
运行中的文件系统,请参阅 &man.procfs.5;
和 &man.mount.procfs.8;。
/rescue/
用于紧急恢复的一组静态联编的程序; 参见
&man.rescue.8;。
/root/
root用户的Home(主)目录。
/sbin/
在单个用户和多用户环境下的存放系统程序和管理所需的基本实用目录。
/tmp/
临时文件。
/tmp 目录中的内容,
一般不会在系统重新启动之后保留。 通常会将基于内存的文件系统挂在
/tmp 上。
这一工作可以用一系列 tmpmfs 相关的 &man.rc.conf.5; 变量来自动完成。
(或者, 也可以在
/etc/fstab 增加对应项; 参见 &man.mdmfs.8;)。
/usr/
存放大多数用户的应用软件。
/usr/bin/
存放实用命令,程序设计工具,和应用软件。
/usr/include/
存放标准 C include 文件.
/usr/lib/
存放库文件。
/usr/libdata/
存放各种实用工具的数据文件。
/usr/libexec/
存放系统实用或后台程序 (从另外的程序启动执行)。
/usr/local/
存放本地执行文件, 库文件等等,
同时也是 FreeBSD ports 安装的默认安装目录。
/usr/local 在
/usr 中的目录布局大体相同,
请查阅 &man.hier.7;。 但
man 目录例外, 它们是直接放在
/usr/local 而不是
/usr/local/share 下的,
而 ports 说明文档在
share/doc/port。
/usr/obj/
通过联编 /usr/src 得到的目标文件。
/usr/ports
存放 FreeBSD 的 Ports Collection (可选)。
/usr/sbin/
存放系统后台程序 和 系统工具 (由用户执行)。
/usr/share/
存放架构独立的文件。
/usr/src/
存放 BSD 或者本地源码文件。
/usr/X11R6/
存放 X11R6 可执行文件、 库文件、 配置文件等的目录(可选)。
/var/
多用途日志、 临时或短期存放的, 以及打印假脱机系统文件。
有时会将基于内存的文件系统挂在
/var 上。
这一工作可以通过在 &man.rc.conf.5; 中设置一系列 varmfs 变量
(或在
/etc/fstab 中加入一行配置; 参见 &man.mdmfs.8;)
来完成。
/var/log/
存放各种的系统记录文件。
/var/mail/
存放用户mailbox(一种邮件存放格式)文件。
/var/spool/
各种打印机和邮件系统spooling(回环)的目录。
/var/tmp/
临时文件。 这些文件在系统重新启动时通常会保留,
除非 /var
是一个内存中的文件系统。
/var/yp
NIS 映射。
磁盘组织
FreeBSD 查找文件的最小单位是文件名。
而文件名区分大小写,这就意味着
readme.txt 和 README.TXT
是两个不相同的文件。 FreeBSD 不凭文件扩展名
(.txt) 去识别这个文件是
程序、 文档, 或是其他格式的数据。
各种文件存放在目录里。 一个目录可以为空,
也可以含有多个的文件。一个目录同样可以包含其他的目录,
允许您在一个目录里建立多个不同层次的目录。
这将帮助您轻松地组织您的数据。
文件或目录是由文件名或目录名,加上斜线符号 /,
再根据需要在目录名后面加上其他目录的名称。
如果您有一个名为 foo
的目录, 它包含另一个目录
bar, 后者包括一个叫
readme.txt 的文件, 则全名, 或者说到文件的
路径 就是
foo/bar/readme.txt。
在文件系统里目录和文件的作用是存储数据。
每一个文件系统都有且只有一个顶级目录 根目录,
这个根目录则可以容纳其他目录。
您也许在其他的一些操作系统碰到类似这里的情况,
当然也有不同的情况。 举些例子, &ms-dos; 是用
\ 分隔文件名或目录名,
而 &macos; 则使用:。
FreeBSD在路径方面不使用驱动器名符号或驱动器名称,
在FreeBSD里您不能这样使用:
c:/foo/bar/readme.txt。
为了代替(驱动器名符号), 一个文件系统会指定 根
文件系统, 根文件系统的根目录是
/。 其他每一个文件系统
挂接在根文件系统下。
无论有多少磁盘在FreeBSD 系统里, 每个磁盘都会以目录的方式加上。
假设您有三个文件系统, 名为 A、
B 和 C。
每个文件系统有一个根目录, 而各自含有两个其他的目录, 名为
A1, A2 (
B1, B2 和
C1, C2)。
看看 A 这个根文件系统。 假如您用
ls 命令来查看这个目录您会见到两个子目录:
A1 和 A2。
这个目录树是这个样子:
/
|
+--- A1
|
`--- A2
一个文件系统必须挂到另一个文件系统的某一目录,
所以现在假设把 B 文件系统挂到
A1目录, 那 B 根目录因此代替
了 A1,而显示出 B
目录(的内容):
/
|
+--- A1
| |
| +--- B1
| |
| `--- B2
|
`--- A2
无论B1 或
B2 目录在那里而延伸出来的路径必须为
/A1/B1 或 /A1/B2。
而在 /A1 里原有的文件会临时隐藏。
想这些文件再出现把 B 从 A
挂接释放。
所有在B1 或 B2
目录里的文件都可以通过 /A1/B1 或
/A1/B2 访问。而在 /A1
中原有的文件会被临时隐藏,直到 B 从 A
上被卸载 (unmout) 为止。
把 B 挂接在 A2
那图表的样子就是这样子:
/
|
+--- A1
|
`--- A2
|
+--- B1
|
`--- B2
这个路径分别是 /A2/B1 和
/A2/B2 。
文件系统能把顶部挂接在另一个文件系统上。
继续这个例子, 把 C 文件系统挂接在
B 文件系统里的 B1 目录,
排列如下:
/
|
+--- A1
|
`--- A2
|
+--- B1
| |
| +--- C1
| |
| `--- C2
|
`--- B2
或者把 C 文件系统挂接在 A
文件系统里的A1目录:
/
|
+--- A1
| |
| +--- C1
| |
| `--- C2
|
`--- A2
|
+--- B1
|
`--- B2
假如您熟悉 &ms-dos; 并知道 join 命令,
尽管不相同,其实功能是相似的。
这方面不是普通知识而且涉及到您自己所关心的,
当您安装FreeBSD并在以后添加新磁盘时,
您必须知到该如何新建文件系统和挂接上。
(FreeBSD系统)它有一个主要的根文件系统, 不需要另外新建立,
但当需要手工处理时,这是一个有用的知识。
多个文件系统的益处
不同的文件系统可用不同的 挂接参数。
举些例子, 仔细想一下, 根文件系统能用只读的方式挂接上,
防止不经意删除或编辑到一个危险的文件。
把各用户能写入的文件系统分开,
像/home这样,
由另外的文件系统分别用
nosuid 参数挂接,这个参数防止
suid/guid
在执行这个文件系统中的文件时生效, 从而缓解了一些安全问题。
FreeBSD 能根据一个文件系统使用的情况自动优化
这个文件系统上的文件布局。
所以对一个存储了大量小文件并会被频繁写入文件系统的优化与一个存储了少量大文件的优化是不同的。
而在一个大的单一文件系统上则无法体现这样的优化。
FreeBSD 的文件系统能够在断电时尽可能避免损失。
然而, 在关键点时的电源失效仍然可能会破坏文件系统的结构。
将您的文件系统分成多个有助于分散风险, 并方便备份和恢复。
单一文件系统的益处
文件系统是固定大小的。
当安装FreeBSD时新建一个文件系统并设定一个大小,
您会在稍后发觉到必须去建一个大的分区。
如果配置不当, 则需要备份、 重新创建文件系统,
然后再恢复数据。
FreeBSD 提供了 &man.growfs.8;
命令。 这使得能够实时地调整文件系统的大小,
因而不再受其限制。
文件系统是和分区一一对应的。
这里的分区和常用的术语分区 (例如, &ms-dos; 分区)
的意思并不一样, 这是由于 &os; 的 &unix; 传统造成的。
每一个分区使用一个从 a 到
h 的字母来表示。 每个分区只能包含一个文件系统,
这意味着文件系统通常可以由它们在文件系统目录结构中的挂接点,
或对应的分区字母来表示。
FreeBSD 的 交换分区 也需要使用磁盘空间。
交换分区是给 FreeBSD 作 虚拟内存 使用的,
这样能令您的计算机有更多的内存可使用,
当FreeBSD在运行而内存不够的时候,
它会把其他一些可转移的数据转移到交换分区,
空出内存的位置以供使用。
某些 partitions 的用途是确定的。
分区
约定
a
通常指定为根文件系统
b
通常指定为交换分区
c
通常它和所在的 slice 大小相同。
c 分区上工作时必定会影响到事整个
slice (举个例子,坏块扫描器)。
您通常不愿意在这个partition建立文件系统。
d
分区 d 曾经有特殊的含义,
不过这种意义在现时的系统上已不再适用, 因此
d 可以和任何其它普通的分区一样使用了。
每一个包含了文件系统的分区被保存在
FreeBSD 称为 slice 的部分上。
Slice 是一个 FreeBSD 术语, 通常被叫做分区,
再次强调, 这是由于
FreeBSD 的 &unix; 背景。 Slices 有其编号, 从1到4。
slices
partitions
专用 (dangerously dedicated)
Slice 编号在设备名后面, 并有一个 s
前缀, 从 1 开始。 因此 da0s1
是第一个 SCSI 驱动器的第一个 slice。 每个磁盘上只能有四个物理的
slices, 但您可以在物理 slice 中使用适当的类型来创建逻辑 slice。
这些扩展 slice 编号从 5 开始, 因此
ad0s5
是第一个 IDE 磁盘中的第一个
扩展 slice。 文件系统所使用的设备应该占满 slice。
Slices, 专用指定
物理驱动器,
和其他驱动器都包含 partitions,
那几个的 partitions 都是用字母从 a
到 h 来标定的,
而这些字母都在驱动器名字之后,所以
da0a
是指首个da设备的 a partition,
而那个就是 专项指定
。
ad1s3e
是指IDE磁盘上第三个slice的第五个partition。
最终,每个磁盘都被系统识别。
一个磁盘名字是用磁盘类型代码和编号来标识的,
它不像slices,磁盘的编号是由0开始的。
对应代码请看这里所列出的。
当在 FreeBSD 中指定 partition 名字时,
必须同时包含这个分区的 slice 和磁盘的名字; 类似地,
在指定 slice 时, 也应该给出包含该 slice 的磁盘名字。 可这样列出:
磁盘名称,s,slice 编号,和partition标定字母。
例子请看
。
这里显示了一个磁盘的布局,有更清楚的帮助。
在安装FreeBSD时,您首先要配置好磁盘slices,
然后在FreeBSD使用的slice上建立partitions。
并在每个partition上建立一个文件系统(或交换分区),
和指定文件系统的挂接位置。
磁盘设备的代码
代码
说明
ad
ATAPI (IDE) 磁盘
da
SCSI 直接存取磁盘
acd
ATAPI (IDE) 光驱
cd
SCSI 光驱
fd
软驱
样例磁盘, Slice, 和 Partition 它们的命名
命名
说明
ad0s1a
在首个IDE磁盘(ad0)上的
第一个slice (s1)里的
第一个partition (a)。
da1s2e
在第二个SCSI磁盘(da1)上的
第二个slice(s2)里的
第五个partition(e)。
一个磁盘的布局
从在系统里的首个IDE磁盘图表可以显示出FreeBSD的见解。
假设磁盘大小为4 GB,它里面包含了两个2 GB 大小的slices (但在&ms-dos;叫partitions)。
首个slice是一个&ms-dos;磁盘叫C:,
而第二个slice是FreeBSD配置好的slice。
FreeBSD配置好的slice有三个partitions和另一个交换分区。
这三个partitions各自控制一个文件系统。
partitiona 用于根文件系统,
partitione 用于 /var 目录层,
partitionf 用于 /usr 目录层。
.-----------------. --.
| | |
| DOS / Windows | |
: : > First slice, ad0s1
: : |
| | |
:=================: ==: --.
| | | Partition a, mounted as / |
| | > referred to as ad0s2a |
| | | |
:-----------------: ==: |
| | | Partition b, used as swap |
| | > referred to as ad0s2b |
| | | |
:-----------------: ==: | Partition c, no
| | | Partition e, used as /var > file system, all
| | > referred to as ad0s2e | of FreeBSD slice,
| | | | ad0s2c
:-----------------: ==: |
| | | |
: : | Partition f, used as /usr |
: : > referred to as ad0s2f |
: : | |
| | | |
| | --' |
`-----------------' --'
文件系统的挂接和卸下
这种文件系统就像一棵树那样用/确立根部,
是比较理想的文件系统。
而/dev、 /usr
和其他目录就是根目录的分枝,
另外这些目录可以再分枝,例如/usr/local。
根文件系统
应该考虑给某些目录一些空间从而分散文件系统。
/var
之下包含目录 log/,目录spool/,
和不同类型的临时文件,很可能把它塞满。
把什么都塞进根文件系统不是一个好主意,
好的做法是应该把 /var 从
/分离出去。
另一个要考虑的是,给物理设备或虚拟磁盘这些自带空间的文件系统确定目录结构树。
例如 网络文件系统 或光驱的挂接。
<filename>fstab</filename> 文件
文件系统
使用fstab的挂接
在 引导过程 期间,
自动挂上/etc/fstab所列出的文件系统。
(除非他们注明为 选项)。
/etc/fstab 文件包含的各行的列表格式如下:
device /mount-point fstype options dumpfreq passno
device
设备名称(设备必须存在), 说明在
.
mount-point
目录 (目录必须存在),
用在那个挂接上的文件系统上。
fstype
文件系统类型,请通过&man.mount.8;查阅。
默认的FreeBSD文件系统类型是ufs。
options
设为可读写文件系统的选项,
或设为只读文件系统的选项,
或其他一些选项,可随意选一个。
一个常用的选项 用在不需在引导过程期间挂接的文件系统。
其他的选项在 &man.mount.8; 手册里列出。
dumpfreq
&man.dump.8;
使用这项去决定那个文件系统必须移贮。
假如缺少这项,默认的数值为0。
passno
这一项决定文件系统的检查顺序,
文件系统想跳过检查应将passno设为0。
根文件系统(那个是在每方面开始之前必须检查的)
应该将它的 passno 设为1,
其他文件系统的 passno
必须把数值设到大于1。假如多个文件系统的passno的值相同,
那么 &man.fsck.8; 在允许的情况下将尝试并行地去检查文件系统。
请参阅 &man.fstab.5; 联机手册,
以获得关于 /etc/fstab 文件格式,
以及其中所包含的选项的进一步信息。
<command>mount</command> 命令
文件系统
挂接
这个 &man.mount.8; 命令是挂接文件系统的基本运用。
使用最多的基本格式:
&prompt.root; mount device mountpoint
它的选项非常多,而&man.mount.8; 手册同样提及, 但常用的都在这里:
挂接的各种选项
挂接/etc/fstab里所有列出的文件系统。
除非标记为 noauto
或作了排除在外的
类型标记,或者在这之前已挂上。
除了实际上系统调用以外,可以完成任何事情,这个选项是和
参数一起连在一块使用,可以决定&man.mount.8;所做的事情。
强制去挂接一个未知的文件系统(会有危险),
或当把一个文件系统挂接状态由可读写降为只读时,强制撤消可写通道。
以只读方式挂接文件系统。
这和在指定了 选项配合
(对于 &os; 5.2 之前的版本来说,
则是 ) 参数的效果是一样的。
fstype
根据给出的文件系统类型挂接文件系统,
假如给于选项,仅挂接这个类型的文件系统。
ufs
是默认的文件系统类型。
在文件系统上修改挂接选项。
版本模式。
以可读写方式挂接文件系统。
The 选项采用一个逗号分开以下多个选项:
noexec
不允许文件系统上的二进制程序执行。这也是一个有用的安全选项。
nosuid
不允许文件系统上的 setuid 或 setgid 标记生效。这也是一个有用的安全选项。
<command>umount</command> 命令
文件系统
卸下
&man.umount.8; 命令同样采用一个参数、一个挂接点、一个设备名。
或采用选项,又或采用选项。
所有格式都可采用 去强行卸下,
或采用 用那适当的版本。 但警告,采用
并不是一个好主意,
强行卸下文件系统可能损坏计算机或破坏文件系统上的数据。
和 会卸下所有已挂接的文件系,
可能通过后面列出的文件系统进行修改,
但无论如何,都不会尝试去卸下根文件系统。
进程
FreeBSD 是一个多任务操作系统。
这就意味着好像一次可以运行一个以上的程序。
每个占用一定时间运行的程序就叫 进程 (process)。
你运行的每一个命令会至少启动一个新进程,还有很多一直运行着的系统进程,
用以维持系统的正常运作。
每个进程用来标识的一个编号就叫
进程 ID, 或叫 PID。
而且,就像文件那样,每个进程也有所属用户和所属群体。
所属用户和所属群体使用在这方面:确定这个进程可以打开那些文件和那些设备,
从而在初期使用文件的权限。 多数的进程都有一个父进程,
而进程是依靠父进程来启动的。
例如,假如您把命令输入到shell里那shell是一个进程,而您运行的各个命令同样是进程,
那么,shell就是您各个运行进程的父进程。
而这方面有一个例外的进程就叫&man.init.8;。
init始终是首个进程,,所以他的PID始终是1,
而init在FreeBSD起动时由内核自动启动。
在系统上,有两个命令对进程观察非常有用:&man.ps.1; 和 &man.top.1;。
这个ps命令作用是观察当前运行进程的状态,
显示他们的PID,使用了多少内存,它们启动的命令行。
而top命令则是显示所有运行进程,并在以秒计的短时内更新数据。
您能交互式的观察您计算机的工作。
默认情况下, ps仅显示出您自己所运行的命令。
例如:
&prompt.user; ps
PID TT STAT TIME COMMAND
298 p0 Ss 0:01.10 tcsh
7078 p0 S 2:40.88 xemacs mdoc.xsl (xemacs-21.1.14)
37393 p0 I 0:03.11 xemacs freebsd.dsl (xemacs-21.1.14)
48630 p0 S 2:50.89 /usr/local/lib/netscape-linux/navigator-linux-4.77.bi
48730 p0 IW 0:00.00 (dns helper) (navigator-linux-)
72210 p0 R+ 0:00.00 ps
390 p1 Is 0:01.14 tcsh
7059 p2 Is+ 1:36.18 /usr/local/bin/mutt -y
6688 p3 IWs 0:00.00 tcsh
10735 p4 IWs 0:00.00 tcsh
20256 p5 IWs 0:00.00 tcsh
262 v0 IWs 0:00.00 -tcsh (tcsh)
270 v0 IW+ 0:00.00 /bin/sh /usr/X11R6/bin/startx -- -bpp 16
280 v0 IW+ 0:00.00 xinit /home/nik/.xinitrc -- -bpp 16
284 v0 IW 0:00.00 /bin/sh /home/nik/.xinitrc
285 v0 S 0:38.45 /usr/X11R6/bin/sawfish
在这个例子里您可看到,从 &man.ps.1; 输出的每一列是有规律的。
PID 就是进程ID,这个较早前已讨论过了。
PID号的分配由 1一直上升直到99999,
当您运行到超过限制时,这些编号会回转分配
(仍在使用中的 PID 不会分配给其他进程)。
TT这一列显示了程序运行所在的终端, 目前可以安全地忽略。
STAT 显示程序的状态,也可以安全地被忽略。
TIME是程序在CPU处理时间—运行的时间量,
并不是指您程序启动到现在的所用的时间。
许多程序碰巧遇到某方面在他们之前要花费大量CPU处理时间时,他们就必须等候。
最后, COMMAND 是运行程序时使所用的命令行。
&man.ps.1;支持使用各种选项去改变显示出来的内容,
最有用的一个就是auxww。
选项显示出所有运行进程的内容, 而不仅仅是您的进程。
选项显示出进程所归属的用户名字以及内存使用,
选项显示出后台进程。 而
选项表示为 &man.ps.1; 把每个进程的整个命令行全部显示完,
而不是由于命令行过长就把它从屏幕上截去。
下面和从&man.top.1;输出是类似的,一个示例式对话就象这样子:
&prompt.user; top
last pid: 72257; load averages: 0.13, 0.09, 0.03 up 0+13:38:33 22:39:10
47 processes: 1 running, 46 sleeping
CPU states: 12.6% user, 0.0% nice, 7.8% system, 0.0% interrupt, 79.7% idle
Mem: 36M Active, 5256K Inact, 13M Wired, 6312K Cache, 15M Buf, 408K Free
Swap: 256M Total, 38M Used, 217M Free, 15% Inuse
PID USERNAME PRI NICE SIZE RES STATE TIME WCPU CPU COMMAND
72257 nik 28 0 1960K 1044K RUN 0:00 14.86% 1.42% top
7078 nik 2 0 15280K 10960K select 2:54 0.88% 0.88% xemacs-21.1.14
281 nik 2 0 18636K 7112K select 5:36 0.73% 0.73% XF86_SVGA
296 nik 2 0 3240K 1644K select 0:12 0.05% 0.05% xterm
48630 nik 2 0 29816K 9148K select 3:18 0.00% 0.00% navigator-linu
175 root 2 0 924K 252K select 1:41 0.00% 0.00% syslogd
7059 nik 2 0 7260K 4644K poll 1:38 0.00% 0.00% mutt
...
这个输出分成两部份。 前面部份(起始前五行)
显示了:运行于最后进程的PID、 系统负载均衡
(那个是指系统繁忙时的调节方式)、 系统正常运行时间 (
指从启动算起所用的时间) 和当前时间。 前面部份另外的图表
涉及:多少进程在运行(这个情况是47), 多少内存和多少交换分区在使用,
和在不同CPU状态里系统消耗多少时间。
在那下面一连串的纵列和从&man.ps.1;输出的的内存是相似的。
如以前&man.ps.1;一样,您能见到:PID、用户名、CPU处理时间合计、运行的命令。
&man.top.1;默认是显示您的进程所用内存空间的合计。
内存空间这里分成两列,一列为总体大小,另一列是必须请求驻留大小是多少内存—总体大小。
而驻留大小实际上是瞬间使用的多少。
在以上那个例子,您会看到那&netscape;总计需要30 MB内存,
但实际只用了9 MB。
&man.top.1; 每两秒自动刷新一次,您可以用改变刷新的秒数。
守护进程,信号和杀死进程
当您运行一个编辑器时它是很容易控制的,告诉它去加载文件它就加载。
您之所以能这样做,是因为编辑器提供这样便利去这样做,和因为有编辑器去附上的终端。
一些程序在运行中不需要连续的用户输入,一有机会就从终端里分离到后台去。
例如,一个web系统整天都在作web请求的响应,他不需要您输入任何东西就能完成,
这个类别的另一个例子就是把email的传送。
我们把那些程序叫 守护进程。
守护神是希腊神话中的一些人物,非正非邪,他们是些守护小精灵, 大体上为人类作出贡献。
许多类似web服务或mail服务的系统对于今天仍有用途,
这就是为什么在那么长的时间里,BSD的吉祥物保持为一双鞋加一把钢叉的守护神模样。
守护进程的程序命名通常在最后加一个 d
。
BIND 是伯克利互联网域名服务 (而实际执行的程序名称则是
named),
Apache web系统的程序就叫 httpd,
在行式打印机上的打印守护进程就是 lpd。
这只是一种惯例,不是标准或硬性规定。
例如,为Sendmail而应用的主要mail守护进程就叫sendmail,
却不叫maild,这和您推测的一样。
有时可能会需要与守护进程进行通讯。 而 信号 则是其中的一种通讯机制。
可以发送信号给守护进程 (或相关的另一些进程) 来与它进行通信,
不同的信号都有自己的数字编号—其中一些有特殊的含义,
其它的则可以被应用程序自己进行解释, 而一般来说,
应用程序的文档会告诉哪些信号会被如何处理。
您只能给所属于您的进程发信号,假如您给其他人的进程发信号,
进程就会用&man.kill.1; 或 &man.kill.2;权限进行拒绝。
当然,root 用户会例外,它能把各种信号发送给每个进程。
在某些情况下,FreeBSD也会向应用软件发送信号。
假如一个应用软件含有恶意写入并试图去访问内存,那是不可想象的,FreeBSD会向那个进程发送
段式违规 信号 (SIGSEGV)。
假如一个应用软件使用&man.alarm.3;系统去进行周期性调用闹钟功能,每当达到时间时,
FreeBSD会向应用软件发送闹钟信号(SIGALRM)。
有两个信号可以停止进程:SIGTERM 和 SIGKILL。
SIGTERM比较友好,进程能捕捉这个信号,
根据您的需要来关闭程序。在关闭程序之前,您可以结束打开的记录文件和完成正在做的任务。
在某些情况下, 假如进程正在进行作业而且不能中断,那么进程可以忽略这个
SIGTERM信号。
对于SIGKILL信号,进程是不能忽略的。 这是一个
'我不管您在做什么,立刻停止
'的信号。
假如您发送SIGKILL信号给进程,
FreeBSD就将进程停止在那里。
有点不正确—少数的东西是不能中断的。
例如, 假如进程试图读取网络上另一计算机上的文件,
而那个的计算机会因为某些原因拿走了这个文件,
那这个进程从上述情况来看是 不能中断
。
最终这个进程会超时,典型的两分钟。一出现超时进程将被杀死。
.
您可能会去使用
SIGHUP、 SIGUSR1 和
SIGUSR2信号。 这都是些通用的信号,各种应用程序都可以应用
在各方面的信号发送。
假如您改变了web系统的配置文件—并想web系统去重读它的配置,
您可以停止然后再启动httpd。但这样做web系统会导致一个短暂
的中断周期,那样是不受欢迎的。几乎所有的守护进程在编写时,都会指定对SIGHUP
信号进行响应从而重读配置文件。
所以, 最好的方法, 就不是杀死并重启
httpd,
而是发一个 SIGHUP 信号给它。
因为在这方面没有一个标准,不同的守护进程有不同的用法,所以不了解时应读一下守护进程的文档。
发送信号可用&man.kill.1; 命令, 请参考&man.kill.1;所列出的例子。
发送一个信号给进程
这个例子显示了怎样去发一个信号给&man.inetd.8;。
inetd配置文件是/etc/inetd.conf,
如果想inetd 去重读文件系统的话,可以给它发一个SIGHUP
信号。
寻找您要发送信号的进程ID,可以用&man.ps.1; 加 &man.grep.1;来完成。
&man.grep.1;命令被用在搜索输出方面,搜索您指定的字符串。
这命令是由普通用户来执行的,而&man.inetd.8;是root用户运行的,
所以必须给&man.ps.1;带上选项。
&prompt.user; ps -ax | grep inetd
198 ?? IWs 0:00.00 inetd -wW
得出 &man.inetd.8; PID号是198。 有时
grep inetd 命令也出现在输出中,
这是因为在这方面 &man.ps.1; 也是寻找列表中运行进程。
使用 &man.kill.1; 去发送信号。 因为 &man.inetd.8;
是由 root启动的, 您必须使用 &man.su.1; 去
变为 root 用户。
&prompt.user; su
Password:
&prompt.root; /bin/kill -s HUP 198
和大多数 &unix; 命令一样, &man.kill.1; 如果完成了任务, 就不会给出任何消息。
假如您发送信号给一个不属于您的进程,
您会看到 kill:
PID: Operation not
permitted.
假如输错了PID号,把信号发送到其他进程,那是坏事。
或者您侥幸,把信号发送到不存在的进程,
您会看见 kill:
PID: No such process.
为什么使用 <command>/bin/kill</command>?
许多shell提供了内建 kill 命令,
这样, shell就能直接发送信号,而不是运行 /bin/kill。
这点非常有用, 但不同shell有不同的语法来指定发送信号的名字,
与其试图把它们学完倒不如简单地直接使用
/bin/kill ...。
发送其他的信号也很相似,
只要在命令行替换 TERM 或
KILL 就行了。
在系统上随意杀死进程是个坏主意,特别是&man.init.8;,
它的进程ID是1,它非常特殊。可以运行
/bin/kill -s KILL 1 命令来让系统迅速关机。
当您按下 Return (回车)键之前,
一定要 详细检查您运行 &man.kill.1;
时所指定的参数。
Shells
shells
命令行
在FreeBSD里,每日有一大堆工作是在命令行的界面完成的,那就叫做shell。
一个shell的主要功能就是从输入取得命令然后去执行他。
许多的shell同样能帮我们完成内建的每日功能,例如:文件管理、文件寻找、命令行编辑、
宏指令和环境变量。FreeBSD内含了一些shell,例如:sh、Bourne Shell、
tcsh和改良过的C-shell。
另外也有些shell也可在FreeBSD的Ports得到,例如:zsh和bash。
您想使用哪一种shell取决于您的喜好,
假如您是C程序设计师,您可能选择一个C-like shell例如tcsh。
假如您是从Linux过来的或是一个命令行的新手,您可能会试一下bash。
这一点告诉我们每一个shell都有各自的特性,可能适用于您的工作环境,也可能不适用于您的工作环境。
每个shell都有一个共通点就是文件名补全。
输入命令或文件名的前几个字,然后按Tab键,就能靠shell的自动补全功能得出
命令或文件名。这里有一个例子,假设您有两个文件叫
foobar 和foo.bar,而您想删除
foo.bar, 可这样在键盘上输入
rm fo[Tab].[Tab]。
那么shell就会输出 rm
foo[BEEP].bar。
这个[BEEP] 是这控制台铃声, 那个是告诉我们它不能完成文件名补全,因为有多个文件名符合。
foobar 和
foo.bar 都是以 fo开头, 它只可以补全到
foo。 输入
.并再按一次 Tab,shell才把其余的文件名全部显示出来。
环境变量
另一个特点就是shell利用环境变量运行。环境变量是贮存在shell环境空间上相对应的键和可变值,
这个空间能够补程序从shell里读出,而且包含了许多程序的配置。
这个一个常用环境变量列和其含义的列表:
environment variables (环境变量)
变量
说明
USER
当前登录进入的用户名。
PATH
搜索程序路径,以两点的冒号分隔开。
DISPLAY
假如有这个变量的话,就是X11显示器的网络名称。
SHELL
当前所用的shell。
TERM
用户终端的名字,通常用在确定终端的能力。
TERMCAP
各种终端功能所用终端分离编码的基本数据项目。
OSTYPE
操作系统类型,默认是FreeBSD。
MACHTYPE
是指系统上运行的CPU体系结构。
EDITOR
用户首选的文本编辑器。
PAGER
用户首选的文本页面调度程序 。
MANPATH
搜索联机手册路径,以两点的冒号分隔开。
Bourne shells
不同的shell设置环境变量也不相同。举个例子,
在如tcsh 和 csh这样的C-Style shell,
您必须使用setenv去设置环境变量。
而在如sh和bash这样的Bourne shell,
您必须使用export去设置当前环境变量。
再举个例子,要去设置或改变EDITOR环境变量,
在csh或tcsh下将EDITOR设为
/usr/local/bin/emacs:
&prompt.user; setenv EDITOR /usr/local/bin/emacs
而在Bourne shell下,则是:
&prompt.user; export EDITOR="/usr/local/bin/emacs"
您也可以在命令行上加一个$字符在变量之前从而取得环境变量。
举个例子,用echo $TERM 就会显示出$TERM的设定值,
其实就是shell取得$TERM并传给echo来显示的。
shell里有许多特别的字符代表着特别的资料,我们把叫做meta-characters。
最常用的就是*字符,它可代表文件名的任何字符。
这些特别字符应用到文件名全域方面。假如,输入
echo *和输入
ls的效果是相同的,其实就是 shell 取得了全部符合
*的文件名,并传给
echo 在命令行下显示出来。
为了防止shell去分析这些特别字符, 我们可在它之前加一个
\字符去说明它只是普通字符。
echo $TERM就会显示出您的终端情况,
而 echo \$TERM 就会显示出 $TERM
这几个字。
改变您用的Shell
改变您的Shell的最简单方法是使用
chsh 命令。 执行 chsh 将根据您设定的EDITOR
环境变量进入到那个编辑器,假如没有设定,就会进入vi编辑器。
请改变Shell:
这行对应值。
您可使用chsh 的选项,
这样就能设置您的shell却又不用编辑器。假如您想把shell改为bash
可用下面的技巧。
&prompt.user; chsh -s /usr/local/bin/bash
您使用的shells必须
在/etc/shells 文件里列出。 假如您从
ports里装一个shell, 那就不用做这步了。
假如您手工装一个shell,那就要手工添加进去。
举个例了子,假如您手工把 bash装到
/usr/local/bin里,您还要进行这一步:
&prompt.root; echo "/usr/local/bin/bash" >> /etc/shells
然后运行chsh。
文本编辑器
文本编辑器
编辑器
FreeBSD 的很多配置都可以通过编辑文本文件来完成。
因此, 最好能熟悉某种文本编辑器。
FreeBSD 基本系统中提供了一些, 您也可以从 Ports Collection
安装其它编辑器。
ee
editors
ee
最容易学的而又简单的编辑器是
ee编辑器, 是个标准的简易编辑器。 要启动
ee,首先就要在命令行输入
ee filename,
filename 是一个要编辑的文件名。
例如,要编辑 /etc/rc.conf就要输入
ee /etc/rc.conf,在
ee的控制内, 编辑器所有功能的操作方法都显示在最上方。
这个^ 字符代表
键盘上的Ctrl 键, 所以^e 就是
Ctrle组合键。
假如想离开ee,
按Esc键,就可选择离开编辑器。
当您修改了内容的时候,编辑器会提示您保存。
vi
编辑器
vi
emacs
编辑器
emacs
FreeBSD本身也带许可多有强大功能的文本编辑器, 例如
vi。还有其他在FreeBSD Ports里几种, 像
emacs 和 vim。
这些编辑器有着强大的功能,但同时学习起来比较复杂。
不管怎样,假如您从事文字编辑方面的工作,
学习如vim 或 emacs
这些有强大功能的编辑器用法,
在长时间工作里会帮您节省不少的时间。
设备和设备节点
在一个系统里,硬件描述通常用法就是一个设备对应一个术语,包括磁盘、打印机、显卡和键盘。
当 FreeBSD 启动过程中,大多数的设备都能探测到并显示出来,
您也可以查阅/var/run/dmesg.boot,
引导时所有信息都在里面。
例如, acd0 就是
首个 IDE 光盘设备, 而 kbd0
则代表键盘。
在&unix;操作系统里,大多数设备存在的特殊访问文件就是叫做设备节点,
他们都定位在/dev目录里。
建立设备节点
当在系统中添加新设备或将附加设备的支持编译进内核之后,
都必须为其建立设备节点。
<literal>DEVFS</literal> (DEVice 文件系统)
这个设备文件系统, 或叫 DEVFS,
为内核的设备命名在整体文件系统命名里提供通道,
并不是建立或更改设备节点,
DEVFS只是为您的特别文件系统进行维护。
请参见 &man.devfs.5; 联机手册以了解更多细节。
二进制文件格式
要理解为什么 &os; 使用 &man.elf.5; 格式, 您必须首先了解一些 &unix; 系统中的
三种 主要
可执行文件格式的有关知识:
&man.a.out.5;
是最古老和经典的
&unix; 目标文件格式,
这种格式在其文件的开始处有一个短小而又紧凑的首部,
该首部带有一个魔幻数字,用来标识具体的格式(更多详情参见&man.a.out.5;)。
这种格式包含3个要装载入内存的段:.text, .data, 和 .bss,以及
一个符号表和一个字符串表。
COFF
SVR3目标文件格式。其文件头现在包括一个区段表(section table),
因此除了.text,.data,和.bss区段以外,您还可以包含其它的区段。
&man.elf.5;
COFF 的后继, 其特点是可以有多个区段,
并可以使用32位或64位的值。 它有一个主要的缺点:
ELF 在其设计时假设每个系统体系结构只有一种 ABI。
这种假设事实上相当错误, 甚至在商业化的SYSV世界中都是错误的
(它们至少有三种ABI: SVR4, Solaris, SCO)。
FreeBSD试图在某种程度上解决这个问题,它提供一个工具,可以
对一个已知的ELF可执行文件
标识它所遵从的ABI的信息。
更多这方面的知识可以参见手册页&man.brandelf.1;
FreeBSD从经典
阵营中来,因此使用了&man.a.out.5;格式,
众多BSD版本的发行(直到3.X分支的开始)也证明了这种格式的有效性。
虽然在那以前的某段时间,在FreeBSD系统上创建和运行ELF格式
的二进制可执行文件(和内核)也是可能的,但FreeBSD一开始并不积极进步
到使用ELF作为其缺省的格式。为什么?噢,当Linux阵营完成了
转换到ELF格式的痛苦历程后,却发现并不足以由此而放弃
a.out可执行文件格式,因为正是由于它们不灵活的,
基于跳转表的共享库机制,使得销售商和开发者们构建共享库非常困难。
直到已有的ELF工具提供了一种解决共享库问题的办法,
并被普遍认为是前进方向
以后,迁徙的代价在FreeBSD界才被接受,
并由此完成了迁徙。FreeBSD的共享库机制其基础更类似于Sun &sunos;的共享库机制,
并且正因为此,其易用性很好。
那么,为什么会有这么多不同的格式呢?
回溯到蒙昧和黑暗的过去,那时只有简单的硬件。这种简单的硬件支撑了一个简单
和小型的系统。在这样的简单系统上(PDP-11)a.out格式
足以胜任表达二进制文件的任务。当人们将&unix;从这种简单的系统中移植出来的时候,
a.out格式被保留了下来,因为对于早期将&unix移植到
Motorola 68k,VAXen等系统来说,它还是足够可用的。
然后,一些聪明的硬件工程师认为,如果可以让软件完成一些简单的聪明操作,
那么他们就可以在硬件设计中减少若干门电路,并可以让CPU核心运行得更快。
当a.out格式用于这种新型的硬件系统时(现在我们叫它
RISC),显得并不合适。因此,人们设计了许多新的格式
以便在这样的硬件系统上能获得比简单的a.out格式更优越
的性能。诸如COFF,ECOFF,还有其它
一些晦涩难懂的格式正是在这个阶段被发明出来的,人们也研究了这些格式的局限性,
慢慢地最终落实到ELF格式。
同时,程序的大小变得越来越大,磁盘空间(以及物理内存)相对来说却仍然较小,
因此共享库的概念便产生了。VM系统也变得越来越复杂了。当所有这些进步都建立在
a.out格式的基础上的时候,它的可用性随着每个新特性
的产生就受到了严重考验。并且,人们还希望可以在运行时动态装载某些东西,或者
在初始化代码运行以后可以丢弃部分程序代码,以便节约主存储器和交换区。编程语言
也变得越来越复杂,人们希望可以在main()函数执行之前自动执行某些代码。为了实现
所有这些功能,人们对a.out格式作了很多改动(hack),
他们在某个阶段里基本也是可行的。随着时间的推移,a.out格式
不得不增加大量的代码和复杂度来满足这些需求。虽然ELF格式
解决了许多这样的问题,但是从一个可用的系统迁移到另一个系统却是痛苦的。因此
直到继续保留a.out格式的代价比迁移到ELF格式
的代价还大的时候,人们才会最终转换到ELF格式。
然而,随着时间的推移,FreeBSD系统本身的编译工具(特别是汇编器和装载器)
赖以派生的编译工具,其发展却形成了两个平行的分支。FreeBSD这个分支增加了共享库,
并修改了一些错误。而原先编写了这些工具的GNU人则重写了这些工具,并对交叉编译提供了
更简化的支持,还随意插入了不同格式的支持,等等。虽然很多人希望创建针对FreeBSD的
交叉编译器,但他们却并未如愿以偿,因为FreeBSD的as
和ld的源代码更为老旧,所以无法完成这个任务。
新的GNU工具链(binutils)则确实支持交叉编译,ELF
格式,共享库,C++扩展,等等。并且,由于很多供应商都发布ELF格式的
二进制文件,因而让FreeBSD能够运行它们将是一个很好的事情。
ELF格式比a.out格式开销要大些,同时也
允许基础系统有更好的扩展性。ELF格式的有关工具有着更好的维护,
并且提供交叉编译支持,这对许多人来说是很重要的。ELF格式可能会稍微
慢一些,但很难测量出来。另外,在这两者之间,有许多细节也是不同的,比如它们映射页面的方式,
处理初始化代码的方式,等等。所有这些都不太重要,但这也确实是不同之处。在将来的适当时候,
GENERIC内核将不再支持a.out格式,并且,
当不再需要运行遗留的a.out格式程序时,内核也将不再提供对其的支持。
取得更多的资讯
联机手册
联机手册
最详细的使用说明文档莫过于 FreeBSD 里的联机手册了。
几乎每一个程序都会附上一份简短说明,
以介绍这个程序的的基本功能以及参数的用法。
我们能通过 man 命令来阅读这些说明, 而使用
man 命令却是简单的事情:
&prompt.user; man command
command 就是您要了解的命令命称。
举个例子,想了解 ls 命令就输入:
&prompt.user; man ls
这些在线手册分下列章节:
用户命令。
系统调用以及错误代码。
C 库文件里的函数说明。
设备驱动程序。
文件格式。
游戏以及其他娱乐。
各种资讯。
系统维护以及命令。
内核开发情况。
在某些情况下,同样的主题也会出现在在线手册的不同章节。
举个例子,系统里有chmod这个用户命令,而又有个
chmod() 系统调用。 在这种情形下,您应当向
man 命令指定需要的内容:
&prompt.user; man 1 chmod
这样就会显示出手册里的用户 chmod 命令。
传统上,我们在写入文档时把特定详细参考内容在在线手册括号里注明。
所以 &man.chmod.1; 是指 chmod 用户命令,
而 &man.chmod.2; 是指系统调用。
如果您已经知道命令的名字,只是不知道要怎样使用的话,那就比较好办。
但您连名字都不知道呢?这个时候您就可以利用 man 的搜寻功能,
它会在手册的介绍部份找寻您要搜寻的关键字,它的选项是 :
&prompt.user; man -k mail
当您使用这个命令的时候,man会把介绍里含有mail
关键字
的命令列出来,实际上这和apropos命令的功能是相同的。
有时您会看到/usr/bin 下有许多命令但不知他们的用途,
您只需这样做:
&prompt.user; cd /usr/bin
&prompt.user; man -f *
或者这样做
&prompt.user; cd /usr/bin
&prompt.user; whatis *
两个命令是一样的。
GNU Info 文件
Free软件基金会
FreeBSD许多应用软件以及实用工具来自Free软件基金会(FSF)。
作为手册的扩充,这些程序提供了一种更具有活力的超文档说明info,
您可用info命令来阅读他们。
假如您装上emacs,也能利用emacs
的info模式来阅读。
使用 &man.info.1; 这个命令只需简单地输入:
&prompt.user; info
想得到简单介绍, 请按 h。 想快速得到的命令说明,
请按 ?。
diff --git a/zh_CN.GB2312/books/handbook/config/chapter.sgml b/zh_CN.GB2312/books/handbook/config/chapter.sgml
index 365992ea55..25d35b5c87 100644
--- a/zh_CN.GB2312/books/handbook/config/chapter.sgml
+++ b/zh_CN.GB2312/books/handbook/config/chapter.sgml
@@ -1,2882 +1,2882 @@
Chern
Lee
原作:
Mike
Smith
这份文档基于一份教程, 其作者是
Matt
Dillon
此外, 也参考了 tuning(7), 其作者是
设置和调整
概述
系统配置
系统优化
使用 &os; 的一个重要问题是系统配置。
正确地配置系统能充分地减少以后维护和升级系统所需的工作量。
这章将解释一些 &os; 的配置过程,包括一些可以调整的 &os;
系统的一些参数。
读完本章, 您将了解:
如何有效地利用文件系统和交换分区。
rc.conf 的基本设置以及
/usr/local/etc/rc.d 启动体系。
如何设置和测试网卡。
如何在您的网络设备上配置虚拟主机。
如何使用 /etc 下的各配置文件。
如何通过 sysctl 变量来对 &os; 系统进行调优。
怎样调整磁盘性能和修改内核限制。
在阅读本章之前,您应该了解:
了解 &unix; 和 &os; 的基础知识
()。
熟悉内核配置编译的基础知识
()。
初步配置
分区规划
分区规划
/etc
/var
/usr
基本分区
当使用 &man.bsdlabel.8; 或者 &man.sysinstall.8;
来分割您的文件系统的时候,
要记住硬盘驱动器外磁道传输数据要比从内磁道传输数据快。
因此应该将小的和经常访问的文件系统放在驱动器靠外的位置,
一些大的分区比如 /usr
应该放在比较靠里的位置。
以类似这样的顺序建立分区是一个不错的主意:root,swap,
/var,/usr。
/var 的大小能反映您的机器使用情况。
它用来存储邮件,日志文件和打印队列缓存,
特别是邮箱和日志文件可能会达到无法预料的大小,
这主要取决于在您的系统上有多少用户和您的日志文件可以保存多长时间。
一般大多数用户不需要一个 G 以上的空间,但要记住
/var/tmp 应该足够大来以便存储一些
packages。
/usr 分区存储很多用来系统运行所需要的文件例如
&man.ports.7; (建议这样做) 和源代码 (可选的)。安装的时候这两项都是可选的。
这个分区至少要保留两个 G 的可用空间。
当选择分区大小的时候,记住保留一些空间。
用完了一个分区的空间而在另一个分区上还有很多,
可能会导致出现一些错误。
一些用户会发现 &man.sysinstall.8; 的
Auto-defaults 自动分区有时会分配给
/var 和 / 较小的分区空间。
分区应该精确一些并且大一些。
交换分区
交换分区分配
交换分区
一般来讲,交换分区应该大约是系统内存 (RAM) 的两倍。
例如,如果机器有 128M 内存,交换文件应该是 256M。
较小内存的系统可以通过多一点地交换分区来提升性能。
不建议小于 256 兆的交换分区,并且扩充您的内存应该被考虑一下。
当交换分区最少是主内存的两倍的时候,内核的 VM (虚拟内存)
页面调度算法可以将性能调整到最好。如果您给机器添加更多内存,
配置太小的交换分区会导致 VM 页面扫描的代码效率低下。
在使用多块SCSI磁盘(或者不同控制器上的IDE磁盘)的大系统上,
建议在每个驱动器上建立交换分区(直到四个驱动器)。
交换分区应该大约一样大小。内核可以使用任意大小,
但内部数据结构则是最大交换分区的 4 倍。保持交换分区同样的大小,
可以允许内核最佳地调度交换空间来访问磁盘。
即使不太使用,分配大的交换分区也是好的,
在被迫重启之前它可以让您更容易的从一个失败的程序中恢复过来。
为什么要分区?
一些用户认为一个单独的大分区将会很好,
但是有很多原因会证明为什么这是个坏主意。首先,
每个分区有不同的分区特性,因此分开可以让文件系统调整它们。
例如,根系统和 /usr 一般只是读取,写入很少。
很多读写频繁的被放在 /var 和
/var/tmp中。
适当的划分一个系统, 在其中使用较小的分区, 这样,
那些以写为主的分区将不会比以读为主的分区付出更高的代价。
将以写为主的分区放在靠近磁盘的边缘,
例如放在实际的大硬盘的前面代替放在分区表的后面,将会提高您需要的分区的
I/O 性能。现在可能也需要在比较大的分区上有很好的 I/O 性能,
把他们移动到磁盘外围不会带来多大的性能提升,反而把
/var 移到外面会有很好的效果。最后涉及到安全问题。
一个主要是只读的小的、整洁的根分区可以提高从一个严重的系统崩溃中恢复过来的机会。
核心配置
rc 文件
rc.conf
系统的配置信息主要位于 /etc/rc.conf。
这个文件包含了配置信息很大的一部分,主要在系统启动的时候来配置系统,
这个名字直接说明了这点;它也是 rc*
文件的配置信息。
系统管理员应该在 rc.conf 文件中建立记录来覆盖
/etc/defaults/rc.conf 中的默认设置。
这个默认文件不应该被逐字的复制到
/etc —— 它包含的是默认值而不是一个例子。
所有特定的改变应该在 rc.conf 中。
在集群应用中,为了降低管理成本,
可以应用多种策略把涉及全站范围的设置从特定于系统的设置中分离出来。
建议的方法是将全站范围的设置放在另一个文件中,例如
/etc/rc.conf.site,
并且把它包含进然后把这个文件包括进只包含系统指定信息的
/etc/rc.conf。
由于 rc.conf 可以被 &man.sh.1;
阅读,所以达到这个目的很简单,例如:
rc.conf:
. /etc/rc.conf.site
hostname="node15.example.com"
network_interfaces="fxp0 lo0"
ifconfig_fxp0="inet 10.1.1.1"
rc.conf.site:
defaultrouter="10.1.1.254"
saver="daemon"
blanktime="100"
rc.conf.site 文件可以使用
rsync 或类似程序分发给各个系统,
同时各系统的 rc.conf 文件仍保持独立。
使用 &man.sysinstall.8; 或者 make world
来升级系统不会覆盖 rc.conf
文件, 所以系统配置信息不会丢失。
应用程序配置
典型的,被安装的应用程序有他自己的配置文件、语法等等。
从基本系统中分开他们是很重要的以至于他们可以容易的被
package 管理工具定位和管理
/usr/local/etc
一般来说,这些文件被安装在
/usr/local/etc。这个例子中,
一个应用程序有很多配置文件并且创建了一个子目录来存放他们。
通常,当一个 port 或者 package 被安装的时候,
配置文件示例也同样被安装了。它们通常用 .default
的后缀来标识。如果不存在这个应用程序的配置文件, 它们会通过复制
.default 文件来创建。
例如,看一下这个目下的内容 /usr/local/etc/apache:
-rw-r--r-- 1 root wheel 2184 May 20 1998 access.conf
-rw-r--r-- 1 root wheel 2184 May 20 1998 access.conf.default
-rw-r--r-- 1 root wheel 9555 May 20 1998 httpd.conf
-rw-r--r-- 1 root wheel 9555 May 20 1998 httpd.conf.default
-rw-r--r-- 1 root wheel 12205 May 20 1998 magic
-rw-r--r-- 1 root wheel 12205 May 20 1998 magic.default
-rw-r--r-- 1 root wheel 2700 May 20 1998 mime.types
-rw-r--r-- 1 root wheel 2700 May 20 1998 mime.types.default
-rw-r--r-- 1 root wheel 7980 May 20 1998 srm.conf
-rw-r--r-- 1 root wheel 7933 May 20 1998 srm.conf.default
文件大小显示了只有 srm.conf 改变了。以后
Apache 的升级就不会改变这个文件。
Tom
Rhodes
Contributed by
启动服务
服务
许多用户会选择使用 Ports Collection 来在 &os; 上安装第三方软件。
很多情况下这可能需要进行一些配置以便让这些软件能够在系统初始化的过程中启动。 服务,
例如 mail/postfix 或
www/apache13
就是这些需要在系统初始化时启动的软件包中的两个典型代表。
这一节解释了启动第三方软件所需要的步骤。
&os; 包含的大多数服务,例如 &man.cron.8;,
就是通过系统启动脚本启动的。 这些脚本也许会有些不同,
这取决于 &os; 版本。 但是不管怎样,
需要考虑的一个重要方面是他们的启动配置文件要能被基本启动脚本识别捕获。
在 rc.d 出现之前, 应用程序会把一个简单的启动脚本放到
/usr/local/etc/rc.d
目录中, 这个目录中的脚本会被系统初始化脚本读取。
尽管很多人已经花费了相当多的时间来把旧的配置方式融入到新系统中,
仍然有许多第三方软件需要把脚本放到上面提到的目录中。
是否使用 rc.d 会对这些脚本的执行带来一些变化。
在 &os; 5.1 之前采用的是旧式的配置,
当然, 绝大多数情况下, 新式的脚本也会工作的很好。
每个脚本都应该遵守 &os; 版本所需求的一些规定:
每个脚本必须在文件名最后添加一个 .sh
的扩展名,并且这个脚本能被系统执行。
后者可以通过 chmod 命令把权限设置为
755来实现。
它还应该能接受 start
选项来启动程序并且接受 stop
选项来结束程序。
一个简单的脚本看起来可能会像这样:
#!/bin/sh
echo -n ' utility'
case "$1" in
start)
/usr/local/bin/utility
;;
stop)
kill -9 `cat /var/run/utility.pid`
;;
*)
echo "Usage: `basename $0` {start|stop}" >&2
exit 64
;;
esac
exit 0
这个脚本提供了 stop 和
start 两个选项, 用以操作
utility。
可以用如下方法来启动:
&prompt.root; /usr/local/etc/rc.d/utility.sh start
现在不是所有第三方软件都需要在
rc.conf 中进行如此的配置,
不过几乎每天都有新的 port 被修改来采用这种配置方法。
您应在安装的最后阶段查看所显示的信息,
以了解某个具体的应用是否需要这样的配置。
某些第三方软件会提供启动脚本, 以便与
rc.d 配合使用;
这些内容将在下一节介绍。
扩展应用程序配置
现在 &os; 提供了 rc.d,
这使得对应用软件的启动进行配置变得更加方便,
并提供了更多的其他功能。 例如, 使用在
rc.d 一节中所介绍的关键字,
应用程序就可以设置在某些其他服务,
例如 DNS 之后启动; 除此之外,
还可以通过 rc.conf 来指定一些额外的启动参数,
而不再需要将它们硬编码到启动脚本中。 基本的启动脚本如下所示:
#!/bin/sh
#
# PROVIDE: utility
# REQUIRE: DAEMON
# KEYWORD: shutdown
#
# DO NOT CHANGE THESE DEFAULT VALUES HERE
# SET THEM IN THE /etc/rc.conf FILE
#
utility_enable=${utility_enable-"NO"}
utility_flags=${utility_flags-""}
utility_pidfile=${utility_pidfile-"/var/run/utility.pid"}
. /etc/rc.subr
name="utility"
rcvar=`set_rcvar`
command="/usr/local/sbin/utility"
load_rc_config $name
pidfile="${utility_pidfile}"
start_cmd="echo \"Starting ${name}.\"; /usr/bin/nice -5 ${command} ${utility_flags} ${command_args}"
run_rc_command "$1"
这个脚本将保证
utility 能够在
daemon 服务之后启动。 它同时也提供了设置和跟踪
PID, 也就是进程
ID 文件的方法。
可以在 /etc/rc.conf 中加入:
utility_enable="YES"
- 这个新方法也使得命令行参数、包含 /etc/rc.subr
+ 这个方法也使得命令行参数、包含 /etc/rc.subr
中所提供的功能, 兼容 &man.rcorder.8; 工具并提供更简单的通过
rc.conf 文件来配置的方法。
用服务来启动服务
其他服务, 例如 POP3
服务器, IMAP, 等等,
也可以通过 &man.inetd.8; 来启动。 这一过程包括从
Ports Collection 安装相应的应用程序,
并把配置加入到 /etc/inetd.conf 文件,
或去掉当前配置中的某些注释。
如何使用和配置 inetd 在
inetd 一节中进行了更为深入的阐述。
一些情况下, 通过
&man.cron.8; 来启动系统服务也是一种可行的选择。
这种方法有很多好处, 因为 cron 会以
crontab 的文件属主身份执行那些进程。
这使得普通用户也能够执行他们的应用。
cron 工具提供了一个独有的功能, 以
@reboot 来指定时间。
这样的设置将在 &man.cron.8; 启动时运行,
通常这也是系统初始化的时候。
Tom
Rhodes
Contributed by
配置 <command>cron</command>
cron
配置
&os; 最有用的软件包(utilities)中的一个是 &man.cron.8;。
cron 软件在后台运行并且经常检查
/etc/crontab 文件。cron
软件也检查 /var/cron/tabs 目录,搜索新的
crontab 文件。这些 crontab
文件存储一些 cron 在特定时间执行任务的信息。
cron 程序使用两种不同类型的配置文件,
即系统 crontab 和用户 crontabs。 两种格式的唯一区别是第六个字段。
在系统 crontab 中,第六个字段是用于执行命令的用户名。
这给予了系统 crontab 以任意用户身份执行命令的能力。
在用户 crontab 中, 第六个字段是要执行的命令,
所有的命令都会以这个用户自己的身份执行;
这是一项重要的安全功能。
同其他用户一样, root 用户也可以有自己的
crontab。 它不同于
/etc/crontab (也就是系统 crontab)。
由于有系统 crontab 的存在, 通常并不需要给
root 建立单独的用户 crontab。
让我们来看一下 /etc/crontab 文件:
# /etc/crontab - root's crontab for &os;
#
# $&os;: src/etc/crontab,v 1.32 2002/11/22 16:13:39 tom Exp $
#
像大多数 &os; 配置文件一样,# 字符是注释。
这样, 就可以编写注释来说明要执行什么操作, 以及这样做的原因。
需要注意的是, 注释应该另起一行, 而不能跟命令放在同一行上,
否则它们会被看成命令的一部分。 这个文件中的空行会被忽略。
首先应该定义环境变量。等号
(=) 字符用来定义任何环境变量,像这个例子用到了
SHELL,PATH 和 HOME
变量。如果 shell 行被忽略掉,cron 将会用默认值
sh。如果 变量被忽略,
那么就没有默认值并且需要指定文件绝对位置。如果
被忽略,cron 将用用执行者的 home 目录。
这一行定义了七个字段。它们是 minute、
hour、mday、
month、wday、
who 和 command。
它们差不多已经说明了各自的用处。Minute 是命令要运行时的分钟,Hour
跟 minute 差不多,只是用小时来表示。Mday 是每个月的天。Month 跟 hour
还有 minute 都差不多,用月份来表示。wday 字段表示星期几。
所有这些字段的值必须是数字并且用24小时制来表示。who
字段是特别的,并且只在 /etc/crontab 文件中存在。
这个字段指定了命令应该以哪个用户的身份来运行。当一个用户添加了他(她)的
crontab 文件的时候,他们就会没有这个字段选项。最后,是
command 字段。这是最后的一个字段,
所以自然就是它指定要运行的程序。
最后一行定义了上面所说的值。注意这里我们有一个
*/5 列表,紧跟着是一些 *
字符。* 字符代表开始到最后
,
也可以被解释成 每次。所以,根据这行,
显然表明了无论在何时每隔 5 分钟以 root
身份来运行 atrun 命令。查看 &man.atrun.8;
手册页以获得 atrun 的更多信息。
命令可以有任意多个传递给它们的标志。无论怎样,
扩展到多行的命令应该用反斜线(\
)来续行。
这是每个 crontab 文件的基本设置,
虽然它们有一个不同。第六行我们指定的用户名只存在于系统
/etc/crontab 文件。这个字段在普通用户的
crontab 文件中应该被忽略。
安装 Crontab
绝对不要用这种方法来编辑/安装系统 crontab。
您需要做的只是使用自己喜欢的编辑器:
cron 程序会注意到文件发生了变化,
并立即开始使用新的版本。参见
这个 FAQ 项目 以了解进一步的情况。
要安装刚写好的用户
crontab,
首先使用最习惯的编辑器来创建一个符合要求格式的文件,然后用
crontab 程序来完成。最常见的用法是:
&prompt.user; crontab crontab-file
在前面的例子中, crontab-file 是一个事先写好的
crontab。
还有一个选项用来列出安装的 crontab 文件:
只要传递 选项给 crontab
然后看一下输出。
用户想不用模板(已经存在的文件)而直接安装他的 crontab 文件,用
crontab -e 选项也是可以的。
它将会启动一个编辑器并且创建一个新文件,当这个文件被保存的时候,
它会自动的用 crontab 来安装这个文件。
如果您稍后想要彻底删除自己的用户 crontab
可以使用 crontab 的
选项。
Tom
Rhodes
Contributed by
在 &os; 中使用 rc
在 2002 年, &os; 整合了来自 NetBSD 的
rc.d 系统, 并通过它来完成系统的初始化工作。
用户要注意在
/etc/rc.d 目录下的文件。
这里面的许多文件是用来管理基础服务的, 它们可以通过
、 ,
以及 选项来控制。
举例来说, &man.sshd.8; 可以通过下面的命令来重启:
&prompt.root; /etc/rc.d/sshd restart
对其它服务的操作与此类似。 当然, 这些服务通常是在启动时根据
&man.rc.conf.5; 自动启动的。 例如, 要配置使系统启动时启动网络地址转换服务,
可以简单地通过在 /etc/rc.conf 中加入如下设置来完成:
natd_enable="YES"
如果 行已经存在,
只要简单的把 改成
即可。
rc 脚本在下次重新启动的时候会自动的装载所需要的服务,
像下面所描述的那样。
由于 rc.d
系统在系统启动/关闭时首先启动/停止服务,如果设置了适当的
/etc/rc.conf 变量,标准的
、 和
选项将会执行他们的动作。例如
sshd restart 命令只在 /etc/rc.conf
中的 sshd_enable 设置成
的时候工作。不管是否在 /etc/rc.conf 中设置了,要
、 或者
一个服务,命令前可以加上一个one
前缀。例如要不顾当前
/etc/rc.conf 的设置重新启动
sshd,执行下面的命令:
&prompt.root; /etc/rc.d/sshd onerestart
用选项 可以简单来的检查
/etc/rc.conf 中用适当的 rc.d
脚本启动的服务是否被启用。从而管理员可以运行这样的程序来检查
sshd 是否真的在 /etc/rc.conf
中被启动了:
&prompt.root; /etc/rc.d/sshd rcvar
# sshd
$sshd_enable=YES
第二行 (# sshd) 是从
sshd 命令中输出的,而不是
root 控制台。
为了确定一个服务是否真的在运行,可以用
选项。例如验证 sshd 是否真的启动了:
&prompt.root; /etc/rc.d/sshd status
sshd is running as pid 433.
有些时候也可以 服务。
这一操作实际上是向服务发送一个信号, 来强制其重新加载配置。
多数情况下, 发给服务的会是 SIGHUP
信号。 并非所有服务都支持这一功能。
rc.d 系统不仅用于网络服务,
它也为系统初始化中的多数过程提供支持。
比如 bgfsck 文件, 当它被执行时,
将会给出下述信息:
Starting background file system checks in 60 seconds.
这个文件用做后台文件系统检查,系统初始化的时候完成。
很多系统服务依赖其他服务提供的相应功能。例如,NIS 和其他基于
RPC 的服务启动可能在 rpcbind 服务启动之前失败。
要解决这个问题,依赖关系信息和其他头信息当作注释被包含在每个启动脚本文件的前面。
程序在系统初始化时分析这些注释以决定调用其他系统服务来满足依赖关系。
下面的字句可能会包含在每个启动脚本文件的前面:
PROVIDE: 指定此文件所提供的服务的名字。
REQUIRE: 列出此服务启动之前所需要的其他服务。
此脚本提供的服务会在指定的那些服务 之后
启动。
BEFORE: 列出依赖此服务的其他服务。
此脚本提供的服务将在指定的那些服务 之前
启动。
通过这种方法,系统管理员可以容易的控制系统而不用像其他一些
&unix; 操作系统一样要用 runlevels
来控制。
更多关于 rc.d 系统的信息, 可以在
&man.rc.8; 和 &man.rc.subr.8; 联机手册中找到。
如果您有意撰写自己的 rc.d 脚本,
或对现有的脚本进行一些改进, 也可以参考
这篇文章。
Marc
Fonvieille
Contributed by
设置网卡
网卡
配置
现在我们不可想象一台计算机没有网络连接的情况。
添加和配置一块网卡是任何 &os; 系统管理员的一项基本任务。
查找正确的驱动程序
网卡
驱动程序
在开始之前,您应该知道您的网卡类型,它用的芯片和它是 PCI
还是 ISA 网卡。&os; 支持很多种 PCI 和 ISA 网卡。
可以查看您的版本硬件兼容性列表以确定您的网卡被支持。
确认系统能够支持您的网卡之后, 您还需要为它选择合适的驱动程序。
/usr/src/sys/conf/NOTES 和
/usr/src/sys/arch/conf/NOTES
将为您提供所支持的一些网卡和芯片组的信息。
如果您怀疑驱动程序是否使所要找的那一个,
请参考驱动程序的联机手册。
联机手册将提供关于所支持的硬件更详细的信息,
甚至还包括可能发生的问题。
如果您的网卡很常见的话, 大多数时候您不需要为驱动浪费精力。
常用的网卡在 GENERIC 内核中已经支持了,
所以您的网卡在启动时就会显示出来,像是:
dc0: <82c169 PNIC 10/100BaseTX> port 0xa000-0xa0ff mem 0xd3800000-0xd38
000ff irq 15 at device 11.0 on pci0
dc0: Ethernet address: 00:a0:cc:da:da:da
miibus0: <MII bus> on dc0
ukphy0: <Generic IEEE 802.3u media interface> on miibus0
ukphy0: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto
dc1: <82c169 PNIC 10/100BaseTX> port 0x9800-0x98ff mem 0xd3000000-0xd30
000ff irq 11 at device 12.0 on pci0
dc1: Ethernet address: 00:a0:cc:da:da:db
miibus1: <MII bus> on dc1
ukphy1: <Generic IEEE 802.3u media interface> on miibus1
ukphy1: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto
在这个例子中,我们看到有两块使用 &man.dc.4; 驱动的网卡在系统中。
如果您的网卡没有出现在
GENERIC 中, 则需要手工加载合适的驱动程序。
要完成这项工作可以使用下面两种方法之一:
最简单的办法是用 &man.kldload.8; 加载网卡对应的内核模块。
除此之外, 通过在 /boot/loader.conf
文件中加入适当的设置, 也可以让系统在引导时自动加载这些模块。
不过, 并不是所有的网卡都能够通过这种方法提供支持;
ISA 网卡是比较典型的例子。
另外, 您也可以将网卡的支持静态联编进内核。 察看
/usr/src/sys/conf/NOTES,
/usr/src/sys/arch/conf/NOTES
以及驱动程序的联机手册以了解需要在您的内核配置文件中加一些什么。
要了解关于重新编译内核的进一步细节, 请参见 。 如果您的卡在引导时可以被内核
(GENERIC) 识别,
您应该不需要编译新的内核。
使用 &windows; NDIS 驱动程序
NDIS
NDISulator
&windows; 驱动程序
Microsoft Windows
Microsoft Windows
device drivers (设备驱动)
KLD (kernel loadable
object)
不幸的是, 许多厂商由于认为驱动程序会涉及许多敏感的商业机密,
至今仍不愿意将把驱动程序作为开放源代码形式发布列入他们的时间表。
因此, &os; 和其他操作系统的开发者就只剩下了两种选择:
要么经历长时间的痛苦过程来对驱动进行逆向工程,
要么使用现存的为
µsoft.windows; 平台提供的预编译版本的驱动程序。
包括参与 &os; 开发的绝大多数开发人员,
都选择了后一种方法。
得益于 Bill Paul (wpaul) 的工作, 从
&os; 5.3-RELEASE 开始, 已经可以 直接地
支持 网络驱动接口标准 (NDIS, Network Driver Interface Specification) 了。
&os; NDISulator (也被称为 Project Evil) 可以支持二进制形式的
&windows; 驱动程序, 并让它相信正在运行的是 &windows;。 由于
&man.ndis.4; 驱动使用的是用于 &windows; 的二进制形式的驱动,
因此它只能在 &i386; 和 amd64 系统上使用。
&man.ndis.4; 驱动在设计时主要提供了
PCI、 CardBus 和 PCMCIA 设备的支持,
而 USB 设备目前则没有提供支持。
要使用 NDISulator, 您需要三件东西:
内核的源代码
二进制形式的 &windowsxp; 驱动程序
(扩展名为 .SYS)
&windowsxp; 驱动程序配置文件
(扩展名为 .INF)
您需要找到用于您的卡的这些文件。 一般而言,
这些文件可以在随卡附送的 CD 或制造商的网站上找到。
在下面的例子中, 我们用
W32DRIVER.SYS 和
W32DRIVER.INF 来表示这些文件。
不能在 &os;/amd64 上使用 &windows;/i386 驱动程序。
必须使用 &windows;/amd64 驱动才能在其上正常工作。
接下来的步骤是将二进制形式的驱动程序组装成内核模块。
要完成这一任务, 需要以
root 用户的身份执行 &man.ndisgen.8;:
&prompt.root; ndisgen /path/to/W32DRIVER.INF /path/to/W32DRIVER.SYS
&man.ndisgen.8; 是一个交互式的程序,
它会提示您输入所需的一些其他的额外信息;
这些工作完成之后, 它会在当前目录生成一个内核模块文件,
这个文件可以通过下述命令来加载:
&prompt.root; kldload ./W32DRIVER.ko
除了刚刚生成的内核模块之外,
还必须加载 ndis.ko 和
if_ndis.ko 这两个内核模块, 在您加载需要
&man.ndis.4; 的模块时, 通常系统会自动完成这一操作。
如果希望手工加载它们, 则可以使用下列命令:
&prompt.root; kldload ndis
&prompt.root; kldload if_ndis
第一个命令会加载 NDIS 袖珍端口驱动封装模块,
而第二条命令则加载实际的网络接口。
现在请查看 &man.dmesg.8; 来了解是否发生了错误。
如果一切正常, 您会看到类似下面的输出:
ndis0: <Wireless-G PCI Adapter> mem 0xf4100000-0xf4101fff irq 3 at device 8.0 on pci1
ndis0: NDIS API version: 5.0
ndis0: Ethernet address: 0a:b1:2c:d3:4e:f5
ndis0: 11b rates: 1Mbps 2Mbps 5.5Mbps 11Mbps
ndis0: 11g rates: 6Mbps 9Mbps 12Mbps 18Mbps 36Mbps 48Mbps 54Mbps
这之后, 就可以像使用其它网络接口
(例如 dc0) 一样来使用
ndis0 设备了。
与任何其它模块一样, 您也可以配置系统,
令其在启动时自动加载 NDIS 模块。 首先, 将生成的模块
W32DRIVER.ko 复制到 /boot/modules 目录中。
接下来, 在
/boot/loader.conf 中加入:
W32DRIVER_load="YES"
配置网卡
网卡
配置
现在正确的网卡驱动程序已经装载,那么就应该配置它了。
跟其他配置一样,网卡可以在安装时用
sysinstall 来配置。
要显示您系统上的网络接口的配置,输入下列命令:
&prompt.user; ifconfig
dc0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 192.168.1.3 netmask 0xffffff00 broadcast 192.168.1.255
ether 00:a0:cc:da:da:da
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
dc1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 10.0.0.1 netmask 0xffffff00 broadcast 10.0.0.255
ether 00:a0:cc:da:da:db
media: Ethernet 10baseT/UTP
status: no carrier
lp0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet 127.0.0.1 netmask 0xff000000
tun0: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
老版本的 &os; 可能需要在 &man.ifconfig.8; 后面接
选项,需要了解更多的 &man.ifconfig.8;
语法请查阅使用手册。注意所有关于 IPv6 (inet6
等等) 的记录在这个例子里都被忽略了。
在这个例子中,显示出了下列设备:
dc0: 第一个以太网接口
dc1: 第二个以太网接口
lp0: 并行端口网络接口
lo0: 回环设备
tun0:
ppp使用的隧道设备
&os; 使用内核引导时检测到的网卡驱动顺序来命名网卡。例如
sis2 是系统中使用 &man.sis.4;
驱动的第三块网卡。
在这个例子中,dc0
设备启用了。主要表现在:
UP 表示这块网卡已经配置完成准备工作。
这块网卡有一个 Internet (inet) 地址
(这个例子中是 192.168.1.3)。
它有一个有效的子网掩码 (netmask;
0xffffff00 等同于
255.255.255.0)。
它有一个有效的广播地址 (这个例子中是
192.168.1.255)。
网卡的 MAC (ether) 地址是
00:a0:cc:da:da:da
物理传输媒介模式处于自动选择状态
(media: Ethernet autoselect
(100baseTX <full-duplex>))。我们看到
dc1 被配置成运行在
10baseT/UTP 模式下。
要了解驱动媒介类型的更多信息,
请查阅它们的使用手册。
连接状态 (status)是
active,也就是说连接信号被检测到了。对于
dc1,我们看到
status: no carrier。
这通常是网线没有插好。
如果 &man.ifconfig.8; 的输出显示了类似于:
dc0: flags=8843<BROADCAST,SIMPLEX,MULTICAST> mtu 1500
ether 00:a0:cc:da:da:da
的信息,那么就是还没有配置网卡。
要配置网卡,您需要 root 权限。
网卡配置可以通过使用 &man.ifconfig.8; 命令行方式来完成,
但是这样每次启动都要做一遍。放置网卡配置信息的文件是
/etc/rc.conf。
用您自己喜欢的编辑器打开 /etc/rc.conf。
并且您需要为每一块系统中存在的网卡添加一行,
在我们的例子中,添加如下几行:
ifconfig_dc0="inet 192.168.1.3 netmask 255.255.255.0"
ifconfig_dc1="inet 10.0.0.1 netmask 255.255.255.0 media 10baseT/UTP"
用自己正确的设备名和地址来替换例子中的
dc0,dc1
等内容。您应该应该查阅网卡驱动和 &man.ifconfig.8;
的手册页来了解各选项,也要查看一下 &man.rc.conf.5;
帮助页来了解 /etc/rc.conf 的语法。
如果在安装的时候配置了网络,关于网卡的一些行可能已经存在了。
所以在添加新行前仔细检查一下 /etc/rc.conf。
您也可能需要编辑 /etc/hosts
来添加局域网中不同的机器名称和 IP 地址,如果它们不存在,查看
&man.hosts.5; 帮助和 /usr/share/examples/etc/hosts
以获得更多信息。
测试和调试
对 /etc/rc.conf
做了必要的修改之后应该重启系统以应用对接口的修改,
并且确认系统重启后没有任何配置错误。
系统重启后就应该测试网络接口了。
测试以太网卡
网卡
测试
为了确认网卡被正确的配置了,在这里我们要做两件事情。首先,
ping 自己的网络接口,接着 ping 局域网内的其他机器。
首先测试本地接口:
&prompt.user; ping -c5 192.168.1.3
PING 192.168.1.3 (192.168.1.3): 56 data bytes
64 bytes from 192.168.1.3: icmp_seq=0 ttl=64 time=0.082 ms
64 bytes from 192.168.1.3: icmp_seq=1 ttl=64 time=0.074 ms
64 bytes from 192.168.1.3: icmp_seq=2 ttl=64 time=0.076 ms
64 bytes from 192.168.1.3: icmp_seq=3 ttl=64 time=0.108 ms
64 bytes from 192.168.1.3: icmp_seq=4 ttl=64 time=0.076 ms
--- 192.168.1.3 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.074/0.083/0.108/0.013 ms
现在我们应该 ping 局域网内的其他机器:
&prompt.user; ping -c5 192.168.1.2
PING 192.168.1.2 (192.168.1.2): 56 data bytes
64 bytes from 192.168.1.2: icmp_seq=0 ttl=64 time=0.726 ms
64 bytes from 192.168.1.2: icmp_seq=1 ttl=64 time=0.766 ms
64 bytes from 192.168.1.2: icmp_seq=2 ttl=64 time=0.700 ms
64 bytes from 192.168.1.2: icmp_seq=3 ttl=64 time=0.747 ms
64 bytes from 192.168.1.2: icmp_seq=4 ttl=64 time=0.704 ms
--- 192.168.1.2 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.700/0.729/0.766/0.025 ms
您如果您设置了 /etc/hosts
文件,也可以用机器名来替换 192.168.1.2。
调试
网卡
故障排除
调试硬件和软件配置一直是一件头痛的事情,
从最简单的开始可以减轻一些痛苦。
例如网线是否插好了?是否配置好了网络服务?防火墙配置正确吗?
是否使用了被 &os; 支持的网卡?
在发送错误报告之前您应该查看一下硬件说明,
升级 &os; 到最新的 STABLE 版本,
看一下邮件列表或者在 Internet 上搜索一下。
如果网卡工作了,
但性能低下,应该好好阅读一下 &man.tuning.7; 联机手册。
您也可以检查一下网络配置,
不正确的设置会导致慢速的网络连接。
一些用户可能会在一些网卡上经历一到两次
device timeouts, 这通常是正常现象。
如果经常这样甚至引起麻烦, 则应确定一下它跟其他设备没有冲突。
仔细检查网线连接, 或者换一块网卡。
有时用户会看到少量 watchdog timeout
错误。 这种情况要做的第一件事就是检查线缆连接。
一些网卡需要支持总线控制的 PCI 插槽。
在一些老的主板上,只有一个 PCI 插槽支持 (一般是 slot 0)。
检查网卡和主板说明书来确定是不是这个问题。
No route to host
通常发生在如果系统不能发送一个路由到目的主机的包的时候。
这在没有指定默认路由或者网线没有插上时会发生。
检查 netstat -rn
的输出并确认有一个有效的路由能到达相应的主机。
如果没有,请查阅 。
ping: sendto: Permission denied
错误信息经常由防火墙的配置错误引起。
如果 ipfw 在内核中启用了但是没有定义规则,
那么默认的规则就是拒绝所有通讯,甚至 ping 请求!
查阅 以了解更多信息。
有时网卡性能低下或者低于平均水平,
这种情况最好把传输媒介模式从 autoselect
改变为正确的传输介质模式。
这通常对大多数硬件有用, 但可能不会解决所有人的问题。
接着,检查所有网络设置,并且阅读 &man.tuning.7; 手册页。
虚拟主机
虚拟主机
IP 别名
&os; 的一个很普通的用途是虚拟主机站点,
一个服务器虚拟成很多服务器一样提供网络服务。
这通过在一个接口上绑定多个网络地址来实现。
一个特定的网络接口有一个真实
的地址,
也可能有一些别名
地址。这些别名通常用
/etc/rc.conf 中的记录来添加。
一个 fxp0 的别名记录类似于:
ifconfig_fxp0_alias0="inet xxx.xxx.xxx.xxx netmask xxx.xxx.xxx.xxx"
记住别名记录必须从 alias0
开始并且按顺序递增(例如 _alias1、
_alias2)。
配置程序将会停止在第一个缺少的数字的地方。
计算别名的子网掩码是很重要的,幸运的是它很简单。
对于一个接口来说,必须有一个描述子网掩码的地址。
任何在这个网段下的地址必须有一个全是 1
的子网掩码(通常表示为
255.255.255.255 或
0xffffffff。
举例来说, 假设使用
fxp0 连接到两个网络,
分别是 10.1.1.0,
其子网掩码为 255.255.255.0,
以及 202.0.75.16,
其子网掩码为 255.255.255.240。
我们希望从 10.1.1.1
到 10.1.1.5 以及从
202.0.75.17 到
202.0.75.20 的地址能够互相访问。
如前所述, 只有两个网段中的第一个地址 (本例中,
10.0.1.1 和
202.0.75.17) 应使用真实的子网掩码;
其余的 (10.1.1.2
到 10.1.1.5 以及
202.0.75.18 到
202.0.75.20) 则必须配置为使用
255.255.255.255 作为子网掩码。
下面是根据上述描述所进行的 /etc/rc.conf
配置:
ifconfig_fxp0="inet 10.1.1.1 netmask 255.255.255.0"
ifconfig_fxp0_alias0="inet 10.1.1.2 netmask 255.255.255.255"
ifconfig_fxp0_alias1="inet 10.1.1.3 netmask 255.255.255.255"
ifconfig_fxp0_alias2="inet 10.1.1.4 netmask 255.255.255.255"
ifconfig_fxp0_alias3="inet 10.1.1.5 netmask 255.255.255.255"
ifconfig_fxp0_alias4="inet 202.0.75.17 netmask 255.255.255.240"
ifconfig_fxp0_alias5="inet 202.0.75.18 netmask 255.255.255.255"
ifconfig_fxp0_alias6="inet 202.0.75.19 netmask 255.255.255.255"
ifconfig_fxp0_alias7="inet 202.0.75.20 netmask 255.255.255.255"
配置文件
<filename>/etc</filename> 布局
在配置信息中有很多的目录,这些包括:
/etc
一般的系统配置信息。这儿的数据是与特定系统相关的。
/etc/defaults
系统配置文件的默认版本。
/etc/mail
额外的 &man.sendmail.8; 配置信息,其他 MTA 配置文件。
/etc/ppp
用于用户级和内核级 ppp 程序的配置。
/etc/namedb
&man.named.8; 数据的默认位置。通常 named.conf 和区域文件存放在这里。
/usr/local/etc
被安装的应用程序配置文件。可以参考每个应用程序的子目录。
/usr/local/etc/rc.d
被安装程序的 启动/停止 脚本。
/var/db
特定系统自动产生的数据库文件,像 package 数据库,位置数据库等等。
主机名
主机名
DNS
<filename>/etc/resolv.conf</filename>
resolv.conf
/etc/resolv.conf 指示了 &os; 如何访问域名系统(DNS)。
resolv.conf 中最常见的记录是:
nameserver
按顺序要查询的名字服务器的 IP 地址,最多三个。
search
搜索机器名的列表。这通常由本地机器名的域决定。
domain
本地域名。
一个典型的 resolv.conf 文件:
search example.com
nameserver 147.11.1.11
nameserver 147.11.100.30
只能使用一个 search 和
domain 选项。
如果您在使用 DHCP,&man.dhclient.8; 经常使用从 DHCP
服务器接受来的信息重写 resolv.conf。
<filename>/etc/hosts</filename>
主机
/etc/hosts 是 Internet
早期使用的一个简单文本数据库。
它结合 DNS 和 NIS 提供名字到 IP 地址的映射。
通过局域网连接的机器可以用这个简单的命名方案来替代设置一个
&man.named.8; 服务器。另外,/etc/hosts
也可以提供一个 Internet 名称的本地纪录以减轻需要从外部查询带来的负担。
# $&os;$
#
# Host Database
# This file should contain the addresses and aliases
# for local hosts that share this file.
# In the presence of the domain name service or NIS, this file may
# not be consulted at all; see /etc/nsswitch.conf for the resolution order.
#
#
::1 localhost localhost.my.domain myname.my.domain
127.0.0.1 localhost localhost.my.domain myname.my.domain
#
# Imaginary network.
#10.0.0.2 myname.my.domain myname
#10.0.0.3 myfriend.my.domain myfriend
#
# According to RFC 1918, you can use the following IP networks for
# private nets which will never be connected to the Internet:
#
# 10.0.0.0 - 10.255.255.255
# 172.16.0.0 - 172.31.255.255
# 192.168.0.0 - 192.168.255.255
#
# In case you want to be able to connect to the Internet, you need
# real official assigned numbers. PLEASE PLEASE PLEASE do not try
# to invent your own network numbers but instead get one from your
# network provider (if any) or from the Internet Registry (ftp to
# rs.internic.net, directory `/templates').
#
/etc/hosts 用简单的格式:
[Internet address] [official hostname] [alias1] [alias2] ...
例如:
10.0.0.1 myRealHostname.example.com myRealHostname foobar1 foobar2
参考 &man.hosts.5; 以获得更多信息。
日志文件配置
日志文件
<filename>syslog.conf</filename>
syslog.conf
syslog.conf 是 &man.syslogd.8; 程序的配置文件。
它指出了的 syslog 哪种信息类型被存储在特定的日志文件中。
# $&os;$
#
# Spaces ARE valid field separators in this file. However,
# other *nix-like systems still insist on using tabs as field
# separators. If you are sharing this file between systems, you
# may want to use only tabs as field separators here.
# Consult the syslog.conf(5) manual page.
*.err;kern.debug;auth.notice;mail.crit /dev/console
*.notice;kern.debug;lpr.info;mail.crit;news.err /var/log/messages
security.* /var/log/security
mail.info /var/log/maillog
lpr.info /var/log/lpd-errs
cron.* /var/log/cron
*.err root
*.notice;news.err root
*.alert root
*.emerg *
# uncomment this to log all writes to /dev/console to /var/log/console.log
#console.info /var/log/console.log
# uncomment this to enable logging of all log messages to /var/log/all.log
#*.* /var/log/all.log
# uncomment this to enable logging to a remote log host named loghost
#*.* @loghost
# uncomment these if you're running inn
# news.crit /var/log/news/news.crit
# news.err /var/log/news/news.err
# news.notice /var/log/news/news.notice
!startslip
*.* /var/log/slip.log
!ppp
*.* /var/log/ppp.log
参考 &man.syslog.conf.5; 手册页以获得更多信息
<filename>newsyslog.conf</filename>
newsyslog.conf
newsyslog.conf 是一个通常用
&man.cron.8; 计划运行的 &man.newsyslog.8; 程序的配置文件。
&man.newsyslog.8; 指出了什么时候日志文件需要打包或者重新整理。
比如 logfile 被移动到
logfile.0,logfile.0
被移动到 logfile.1 等等。另外,日志文件可以用
&man.gzip.1; 来压缩,它们是这样的命名格式:
logfile.0.gz,logfile.1.gz
等等。
newsyslog.conf
指出了哪个日志文件要被管理,要保留多少和它们什么时候被创建。
日志文件可以在它们达到一定大小或者在特定的日期被重新整理。
# configuration file for newsyslog
# $&os;$
#
# filename [owner:group] mode count size when [ZB] [/pid_file] [sig_num]
/var/log/cron 600 3 100 * Z
/var/log/amd.log 644 7 100 * Z
/var/log/kerberos.log 644 7 100 * Z
/var/log/lpd-errs 644 7 100 * Z
/var/log/maillog 644 7 * @T00 Z
/var/log/sendmail.st 644 10 * 168 B
/var/log/messages 644 5 100 * Z
/var/log/all.log 600 7 * @T00 Z
/var/log/slip.log 600 3 100 * Z
/var/log/ppp.log 600 3 100 * Z
/var/log/security 600 10 100 * Z
/var/log/wtmp 644 3 * @01T05 B
/var/log/daily.log 640 7 * @T00 Z
/var/log/weekly.log 640 5 1 $W6D0 Z
/var/log/monthly.log 640 12 * $M1D0 Z
/var/log/console.log 640 5 100 * Z
参考 &man.newsyslog.8; 手册页以获得更多信息。
<filename>sysctl.conf</filename>
sysctl.conf
sysctl
sysctl.conf 和
rc.conf 这两个文件的风格很接近。 其中的配置均为
变量=值
这样的形式。 在这个文件中配置的值, 均会在系统进入多用户模式之后进行实际的修改操作。
需要注意的是, 并不是所有的变量都能够在多用户模式下修改。
如果希望关闭对收到致命的信号退出的进程进行记录,
并阻止普通用户看到其他用户的进程, 可以在 sysctl.conf
中进行下列配置:
# 不记录由于致命信号导致的进程退出 (例如信号 11,访问越界)
kern.logsigexit=0
# 阻止用户看到以其他用户 UID 身份执行的进程。
security.bsd.see_other_uids=0
用 sysctl 进行调整
sysctl
调整
以 sysctl
&man.sysctl.8; 是一个允许您改变正在运行中的 &os;
系统的接口。它包含一些 TCP/IP 堆栈和虚拟内存系统的高级选项,
这可以让有经验的管理员提高引人注目的系统性能。用
&man.sysctl.8; 可以读取设置超过五百个系统变量。
基于这点,&man.sysctl.8; 提供两个功能:读取和修改系统设置。
查看所有可读变量:
&prompt.user; sysctl -a
读一个指定的变量,例如 kern.maxproc:
&prompt.user; sysctl kern.maxproc
kern.maxproc: 1044
要设置一个指定的变量,直接用
variable=value
这样的语法:
&prompt.root; sysctl kern.maxfiles=5000
kern.maxfiles: 2088 -> 5000
sysctl 变量的设置通常是字符串、数字或者布尔型。
(布尔型用 1 来表示'yes',用
0 来表示'no')。
如果你想在每次机器启动时自动设置某些变量,
可将它们加入到文件 /etc/sysctl.conf
之中。更多信息,请参阅手册页 &man.sysctl.conf.5; 及
。
Tom
Rhodes
Contributed by
只读的 &man.sysctl.8;
有时可能会需要修改某些只读的 &man.sysctl.8;
的值。 尽管有时不得不这样做,
但只有通过(重新)启动才能达到这样的目的。
例如一些膝上型电脑的 &man.cardbus.4;
设备不会探测内存范围,并且产生看似于这样的错误:
cbb0: Could not map register memory
device_probe_and_attach: cbb0 attach returned 12
像上面的错误通常需要修改一些只读的 &man.sysctl.8;
默认设置。要实现这点,用户可以在本地的
/boot/loader.conf.local 里面放一个
&man.sysctl.8; OIDs
。那些设置定位在
/boot/defaults/loader.conf 文件中。
修复上面的问题用户需要在刚才所说的文件中设置
。现在
&man.cardbus.4; 就会正常的工作了。
调整磁盘
Sysctl 变量
<varname>vfs.vmiodirenable</varname>
vfs.vmiodirenable
vfs.vmiodirenable sysctl
变量可以设置成0(关)或者1(开);默认是1。
这个变量控制目录是否被系统缓存。大多数目录是小的,
在系统中只使用单个片断(典型的是1K)并且在缓存中使用的更小
(典型的是512字节)。当这个变量设置为关闭 (0) 时,
缓存器仅仅缓存固定数量的目录,即使您有很大的内存。
而将其开启 (设置为1) 时, 则允许缓存器用 VM
页面缓存来缓存这些目录,让所有可用内存来缓存目录。
不利的是最小的用来缓存目录的核心内存是大于 512
字节的物理页面大小(通常是 4k)。
我们建议如果您在运行任何操作大量文件的程序时保持这个选项打开的默认值。
这些服务包括 web 缓存,大容量邮件系统和新闻系统。
尽管可能会浪费一些内存,但打开这个选项通常不会降低性能。
但还是应该检验一下。
<varname>vfs.write_behind</varname>
vfs.write_behind
vfs.write_behind sysctl
变量默认是 1 (打开)。
它告诉文件系统簇被收集满的时候把内容写进介质,
典型的是在写入大的连续的文件时。
主要的想法是, 如果可能对 I/O 性能会产生负面影响时,
应尽量避免让缓冲缓存被未同步缓冲区充满。
然而它可能降低处理速度并且在某些情况下您可能想要关闭它。
<varname>vfs.hirunningspace</varname>
vfs.hirunningspace
vfs.hirunningspace sysctl
变量决定了在任何给定情况下,
有多少写 I/O 被排进队列以给系统的磁盘控制器。
默认值一般是足够的,但是对有很多磁盘的机器来说您可能需要把它设置成
4M 或 5M。注意这个设置成很高的值(超过缓存器的写极限)会导致坏的性能。
不要盲目的把它设置太高!高的数值会导致同时发生的读操作的迟延。
sysctl 中还有许多与 buffer cache 和 VM页面 cache
有关的值, 一般不推荐修改它们。
虚拟内存系统已经能够很好地进行自动调整了。
<varname>vm.swap_idle_enabled</varname>
vm.swap_idle_enabled
vm.swap_idle_enabled sysctl
变量在有很多用户进入、离开系统和有很多空闲进程的大的多用户系统中很有用。
这些系统注重在空闲的内存中间产生连续压力的处理。通过
vm.swap_idle_threshold1 和
vm.swap_idle_threshold2 打开这个特性并且调整交换滞后
(在空闲时)允许您降低内存页中空闲进程的优先权,从而比正常的出页
(pageout)算法更快。这给出页守护进程带来了帮助。
除非您需要否则不要把这个选项打开,因为您所权衡的是更快地进入内存,
因而它会吃掉更多的交换和磁盘带宽。在小的系统上它会有决定性的效果,
但是在大的系统上它已经做了合适的页面调度这个选项允许 VM
系统容易的让全部的进程进出内存。
<varname>hw.ata.wc</varname>
hw.ata.wc
&os; 4.3 中默认将 IDE 的写缓存关掉了。 这会降低到 IDE
磁盘用于写入操作的带宽, 但我们认为这有助于避免硬盘厂商所引入的,
可能引致严重的数据不一致问题。 这类问题实际上是由于 IDE
硬盘就写操作完成这件事的不诚实导致的。 当启用了 IDE 写入缓存时,
IDE 硬盘驱动器不但不会按顺序将数据写到盘上, 而且当磁盘承受重载时,
它甚至会自作主张地对推迟某些块的实际写操作。 这样一来,
在系统发生崩溃或掉电时, 就会导致严重的文件系统损坏。
基于这些考虑, 我们将 &os; 的默认配置改成了更为安全的禁用 IDE
写入缓存。 然而不幸的是, 这样做导致了性能的大幅降低,
因此在后来的发行版中这个配置又改为默认启用了。
您可以通过观察 hw.ata.wc sysctl 变量,
来确认您的系统中所采用的默认值。 如果 IDE 写缓存被禁用,
您可以通过将内核变量设置为 1 来启用它。 这一操作必须在启动时通过
boot loader 来完成。 在内核启动之后尝试这么做是没有任何作用的。
要了解更多的信息,请查阅 &man.ata.4;。
<literal>SCSI_DELAY</literal>
(<varname>kern.cam.scsi_delay</varname>)
kern.cam.scsi_delay
kernel options
SCSI_DELAY
SCSI_DELAY 内核配置会缩短系统启动时间。
默认值在系统启动过程中有 15 秒的迟延时间,
这是一个足够多且可靠的值。把它减少到 5
通常也能工作(特别是现代的驱动器)。新一些的 &os;
(5.0 或更高版本) 应该用启动时刻可调整
kern.cam.scsi_delay。
这个可调整的和内核配置选项接受的值是
毫秒 不是
秒 。
Soft Updates
Soft Updates
tunefs
&man.tunefs.8; 程序能够用来很好的调整文件系统。
这个程序有很多不同的选项,但是现在只介绍 Soft Updates
的打开和关闭,这样做:
&prompt.root; tunefs -n enable /filesystem
&prompt.root; tunefs -n disable /filesystem
在文件系统被挂载之后不能用 &man.tunefs.8; 来修改。打开
Soft Updates 的最佳时机是在单用户模式下任何分区被被挂载前。
Soft Updates 极大地改善了元数据修改的性能,
主要是文件创建和删除,通过内存缓存。我们建议您在所有的文件系统上使用
Soft Updates。应该知道 Soft Updates 的两点:首先, Soft Updates
保证了崩溃后的文件系统完整性,但是很可能有几秒钟 (甚至一分钟!)
之前的数据没有写到物理磁盘。如果您的系统崩溃了您可能会丢失很多工作。
第二,SoftUpdates 推迟文件系统块的释放时间。如果在文件系统
(例如根文件系统)快满了的情况下对系统进行大规模的升级比如
make installworld,
可能会引起磁盘空间不足从而造成升级失败。
Soft Updates 的详细资料
Soft Updates
详细资料
有两种传统的方法来把文件系统的元数据 (meta-data) 写入磁盘。
(Meta-data更新是更新类似 inodes 或者目录这些没有内容的数据)
从前,默认方法是同步更新这些元数据(meta-data)。
如果一个目录改变了,系统在真正写到磁盘之前一直等待。
文件数据缓存(文件内容)在这之后以非同步形式写入。
这么做有利的一点是操作安全。如果更新时发生错误,元数据(meta-data)
一直处于完整状态。文件要不就被完整的创建要不根本就不创建。
如果崩溃时找不到文件的数据块,&man.fsck.8;
可以找到并且依靠把文件大小设置为 0 来修复文件系统。
另外,这么做既清楚又简单。缺点是元数据(meta-data)更新很慢。例如
rm -r 命令,依次触及目录下的所有文件,
但是每个目录的改变(删除一个文件)都要同步写入磁盘。
这包含它自己更新目录,inode 表和可能对文件分散的块的更新。
同样问题出现大的文件操作上(比如 tar -x)。
第二种方法是非同步元数据更新。这是 Linux/ext2fs 和 *BSD ufs 的
mount -o async 默认的方法。所有元数据更新也是通过缓存。
也就是它们会混合在文件内容数据更新中。
这个方法的优点是不需要等待每个元数据更新都写到磁盘上,
所以所有引起元数据更新大的操作比同步方式更快。同样,
这个方法也是清楚且简单的,所以代码中的漏洞风险很小。
缺点是不能保证文件系统的状态一致性。如果更新大量元数据时失败
(例如掉电或者按了重启按钮),文件系统会处在不可预知的状态。
系统再启动时没有机会检查文件系统的状态;inode
表更新的时候可能文件的数据块已经写入磁盘了但是相关联的目录没有,却不能用
fsck 命令来清理(因为磁盘上没有所需要的信息)。
如果文件系统修复后损坏了,唯一的选择是使用 &man.newfs.8; 并且从备份中恢复它。
这个问题通常的解决办法是使用 dirty region logging
或者 journaling
尽管它不是一贯的被使用并且有时候应用到其他的事务纪录中更好。
这种方法元数据更新依然同步写入,但是只写到磁盘的一个小区域。
过后他们将会被移动到正确的位置。因为纪录区很小,
磁盘上接近的区域磁头不需要移动很长的距离,所以这些比写同步快一些。
另外这个方法的复杂性有限,所以出现错误的机会也很少。缺点是元数据要写两次
(一次写到纪录区域,一次写到正确的区域)。正常情况下,
悲观的性能可能会发生。从另一方面来讲,
崩溃的时候所有未发生的元数据操作可以很快的在系统启动之后从记录中恢复过来。
Kirk McKusick,伯克利 FFS 的开发者,用 Soft Updates
解决了这个问题:元数据更新保存在内存中并且按照排列的顺序写入到磁盘
(有序的元数据更新
)。这样的结果是,在繁重的元数据操作中,
如果先前的更新还在内存中没有别写进磁盘,后来的更新就会捕捉到。
所以所有的目录操作在写进磁盘的时候首先在内存中执行
(数据块按照它们的位置来排列,所以它们不会在元数据前被写入)。
如果系统崩溃了这将导致一个固定的 日志回朔
:
所有不知如何写入磁盘的操作都像没有发生过一样。文件系统的一致性保持在
30 到 60 秒之前。它保证了所有正在使用的资源被标记例如块和 inodes。崩溃之后,
唯一的资源分配错误是一个实际是空闲
的资源的资源被标记为使用
。
&man.fsck.8; 可以认出这种情况并且释放不再使用的资源。它对于忽略崩溃后用
mount -f 强制挂上的文件系统的错误状态是安全的。
为了释放可能没有使用的资源,&man.fsck.8; 需要在过后的时间运行。一个主意是用
后台 fsck:系统启动的时候只有一个文件系统的
快照 被记录下来。fsck
可以在过后运行。所有文件系统可以在有错误
的时候被挂接,
所以系统可以在多用户模式下启动。接着,后台 fsck
可以在所有文件系统需要的时候启动来释放可能没有使用的资源。
(尽管这样,不用 Soft Updates 的文件系统依然需要通常的
fsck。)
它的优点是元数据操作几乎跟非同步一样快
(也就是比需要两次元数据写操作的 logging
更快)。缺点是代码的复杂性(意味着对于丢失用户敏感数据有更多的风险)
和高的内存使用量。另外它有些特点需要知道。崩溃之后,
文件系统状态会落后
一些。同步的方法用
fsck 后在一些地方可能产生一些零字节的文件,
这些文件在用 Soft Updates 文件系统之后不会存在,
因为元数据和文件内容根本没有写进磁盘(可能发生在运行
rm 之后)。这可能在文件系统上安装大量数据时候引发问题,
没有足够的剩余空间来两次存储所有文件。
调整内核限制
调整
内核限制
文件/进程限制
<varname>kern.maxfiles</varname>
kern.maxfiles
kern.maxfiles 可以根据系统的需要适当增减。
这个变量用于指定在系统中允许的文件描述符的最大数量。
当文件描述符表满的时候,
file: table is full
会在系统消息缓冲区中反复出现, 您可以使用
dmesg 命令来观察这一现象。
每个打开的文件、 套接字和管道, 都会占用一个文件描述符。
在大型生产服务器上, 可能会轻易地用掉数千个文件描述符,
具体用量取决于服务的类型和并行启动的服务数量。
在早期版本的 &os; 中, kern.maxfiles 的默认值,
是根据您内核配置文件中的 选项计算的。
kern.maxfiles 这个数值,
会随 成比例地增减。
当编译定制的内核时, 按照您系统的用途来修改这个值是个好主意。
这个数字同时还决定内核的许多预设的限制值。 有时,
尽管并不会真的有 256 个用户同时连接一台生产服务器,
但对于高负载的 web 服务器而言, 却可能需要与之类似的资源。
从 FreeBSD 4.5 开始, kern.maxusers
会在系统启动时, 根据可用内存的尺寸进行计算, 在内核开始运行之后,
可以通过只读的 kern.maxusers sysctl 变量值来进行观察。
有些情况下, 可能会希望使用更大或更小一些的
kern.maxusers, 它可以以加载器变量的形式进行配置;
类似 64、 128 和 256 这样的值都并不罕见。 我们不推荐使用超过 256
的值, 除非您需要巨量的文件描述符; 根据
kern.maxusers 推算默认值的那些变量,
一般都可以在引导甚至运行时通过 /boot/loader.conf
(请参见 &man.loader.conf.5; 联机手册或
/boot/defaults/loader.conf 文件来获得相关的指导)
或这篇文档的其余部分所介绍的方式来调整。 而在
FreeBSD 4.4 之前的版本, 则只能通过内核的 &man.config.8;
选项 来加以调整。
在较早的版本中, 如果您明确地将
maxusers 设置为
0, 则系统会自动地根据硬件配置来确定这个值。
自动调整算法会将
maxusers 设置为与主存的数量一样,
或者取其下限 32 或上限 384。
。 在 &os; 5.X 和更高版本中, maxusers
如果不指定的话, 就会取默认值 0。 如果希望自行管理
maxusers, 则应配置一个不低于 4 的值,
特别是使用 X Window System 或编译软件的时候。
这样做的原因是, maxusers
所决定的一个最为重要的表的尺寸会影响最大进程数,
这个数值将是 20 + 16 *
maxusers。 因此如果将 maxusers 设置为 1,
您就只能同时运行 36 个进程, 这还包括了 18
个左右的系统引导时启动的进程, 以及 15 个左右的,
在您启动 X Window System 时所引发的进程。 即使是简单的任务,
如阅读联机手册, 也需要启动多至九个的进程, 用以过滤、
解压缩, 并显示它。 将
maxusers 设为 64 将允许您同时执行最多 1044
个进程, 这几乎足以满足任何需要了。 不过,
如果您看在启动其它程序, 或运行用以支持大量用户的服务 (例如
ftp.FreeBSD.org) 时,
看到令人担忧的 proc table
full 错误, 就应该提高这一数值,
并重新联编内核。
maxusers 并 不能
限制实际能够登录到您系统上来的用户的数量。
它的主要作用是根据您可能支持的用户数量来为一系列系统数据表设置合理的尺寸,
以便提供支持他们所需运行的进程资源。 而 能够
限制并发远程以及 X 终端窗口数量的变量则是 pseudo-device pty
16。 对于 &os; 5.X, 您不再需要为这一数字而担心,
因为 &man.pty.4; 驱动已经是
自动复制的
了; 您只需在配置文件中指定
device pty 即可。
<varname>kern.ipc.somaxconn</varname>
kern.ipc.somaxconn
kern.ipc.somaxconn sysctl 变量
限制了接收新 TCP 连接侦听队列的大小。对于一个经常处理新连接的高负载
web服务环境来说,默认的 128 太小了。
大多数环境这个值建议增加到 1024 或者更多。
服务进程会自己限制侦听队列的大小(例如 &man.sendmail.8;
或者 Apache),
常常在它们的配置文件中有设置队列大小的选项。
大的侦听队列对防止拒绝服务 DoS 攻击也会有所帮助。
网络限制
NMBCLUSTERS 内核配置选项指出了系统可用的网络Mbuf的数量。
一个高流量的服务器使用一个小数目的网络缓存会影响 &os; 的性能。
每个 cluster 可能需要2K内存,所以一个1024的值需要在内核中给网络缓存保留2M内存。
可以用简单的方法计算出来需要多少网络缓存。
如果您有一个同时发生1000个以上连接的web服务器,
并且每个连接用掉16K接收和发送缓存, 就需要大概32M网络缓存来确保web服务器的工作。
一个好的简单计算方法是乘以2,所以2x32Mb/2Kb=64MB/2kb=32768。
我们建议在有大量内存的机器上把这个值设置在4096到32768之间。
没有必要把它设置成任意太高的值,它会在启动时引起崩溃。
&man.netstat.1; 的 选项可以用来观察网络cluster使用情况。
kern.ipc.nmbclusters 可以用来在启动时刻调节这个。
仅仅在旧版本的 &os; 需要使用 NMBCLUSTERS
&man.config.8; 选项。
经常使用 &man.sendfile.2; 系统调用的繁忙的服务器,
有必要通过 NSFBUFS 内核选项或者在
/boot/loader.conf (查看 &man.loader.8; 以获得更多细节)
中设置它的值来调节 &man.sendfile.2; 缓存数量。
这个参数需要调节的普通原因是在进程中看到 sfbufa
状态。sysctl kern.ipc.nsfbufs
变量在内核配置变量中是只读的。 这个参数是由 kern.maxusers
决定的,然而它可能有必要因此而调整。
即使一个套接字被标记成非阻塞,在这个非阻塞的套接字上呼叫
&man.sendfile.2; 可能导致 &man.sendfile.2; 呼叫阻塞直到有足够的
struct sf_buf 可用。
<varname>net.inet.ip.portrange.*</varname>
net.inet.ip.portrange.*
net.inet.ip.portrange.* sysctl
变量自动的控制绑定在 TCP 和 UDP 套接字上的端口范围。
这里有三个范围:一个低端范围,一个默认范围和一个高端范围。
大多数网络程序分别使用由 net.inet.ip.portrange.first
和 net.inet.ip.portrange.last 控制的从 1024 到 5000
的默认范围。端口范围用作对外连接,并且某些情况可能用完系统的端口,
这经常发生在运行一个高负荷 web 代理服务器的时候。
这个端口范围不是用来限制主要的例如 web
服务器进入连接或者有固定端口例如邮件传递对外连接的。
有时您可能用完了端口,那就建议适当的增加
net.inet.ip.portrange.last。
10000、20000 或者
30000 可能是适当的值。
更改端口范围的时候也要考虑到防火墙。 一些防火墙会阻止端口的大部分范围
(通常是低范围的端口)并且用高端口进行对外连接(—)。
基于这个问题建议不要把 net.inet.ip.portrange.first
设的太小。
TCP 带宽迟延(Bandwidth Delay Product)
限制 TCP 带宽延迟积
net.inet.tcp.inflight.enable
限制 TCP 带宽延迟积和 NetBSD 的 TCP/Vegas 类似。
它可以通过将 sysctl 变量
net.inet.tcp.inflight.enable
设置成 1 来启用。
系统将尝试计算每一个连接的带宽延迟积,
并将排队的数据量限制在恰好能保持最优吞吐量的水平上。
这一特性在您的服务器同时向使用普通调制解调器,
千兆以太网, 乃至更高速度的光与网络连接
(或其他带宽延迟积很大的连接) 的时候尤为重要,
特别是当您同时使用滑动窗缩放, 或使用了大的发送窗口的时候。
如果启用了这个选项, 您还应该把
net.inet.tcp.inflight.debug 设置为
0 (禁用调试),
对于生产环境而言, 将 net.inet.tcp.inflight.min
设置成至少
6144 会很有好处。 然而, 需要注意的是,
这个值设置过大事实上相当于禁用了连接带宽延迟积限制功能。
这个限制特性减少了在路由和交换包队列的堵塞数据数量,
也减少了在本地主机接口队列阻塞的数据的数量。在少数的等候队列中、
交互式连接,尤其是通过慢速的调制解调器,也能用低的
往返时间操作。但是,注意这只影响到数据发送
(上载/服务端)。对数据接收(下载)没有效果。
调整 net.inet.tcp.inflight.stab 是
不 推荐的。 这个参数的默认值是
20, 表示把 2 个最大包加入到带宽延迟积窗口的计算中。
额外的窗口似的算法更为稳定, 并改善对于多变网络环境的相应能力,
但也会导致慢速连接下的 ping 时间增长 (尽管还是会比没有使用
inflight 算法低许多)。 对于这些情形,
您可能会希望把这个参数减少到 15, 10, 或 5;
并可能因此而不得不减少
net.inet.tcp.inflight.min (比如说,
3500) 来得到希望的效果。 减少这些参数的值,
只应作为最后不得已时的手段来使用。
虚拟内存
<varname>kern.maxvnodes</varname>
vnode 是对文件或目录的一种内部表达。
因此, 增加可以被操作系统利用的 vnode 数量将降低磁盘的 I/O。
一般而言, 这是由操作系统自行完成的, 也不需要加以修改。
但在某些时候磁盘 I/O 会成为瓶颈, 而系统的 vnode 不足,
则这一配置应被增加。 此时需要考虑是非活跃和空闲内存的数量。
要查看当前在用的 vnode 数量:
&prompt.root; sysctl vfs.numvnodes
vfs.numvnodes: 91349
要查看最大可用的 vnode 数量:
&prompt.root; sysctl kern.maxvnodes
kern.maxvnodes: 100000
如果当前的 vnode 用量接近最大值, 则将
kern.maxvnodes 值增大 1,000
可能是个好主意。 您应继续查看
vfs.numvnodes 的数值,
如果它再次攀升到接近最大值的程度,
仍需继续提高 kern.maxvnodes。
在 &man.top.1; 中显示的内存用量应有显著变化,
更多内存会处于活跃 (active) 状态。
添加交换空间
不管您计划得如何好,有时候系统并不像您所期待的那样运行。
如果您发现需要更多的交换空间,添加它很简单。
有三种方法增加交换空间:添加一块新的硬盘驱动器、通过
NFS 使用交换空间和在一个现有的分区上创建一个交换文件。
要了解关于如何加密交换区, 相关配置, 以及为什么要这样做, 请参阅手册的
。
在新的硬盘驱动器上使用交换空间
这是添加交换空间最好的方法,
当然为了达到这个目的需要添加一块硬盘。
毕竟您总是可以使用另一块磁盘。如果能这么做,
重新阅读一下手册中关于交换空间的 来了解如何最优地安排交换空间。
通过 NFS 交换
除非没有可以用作交换空间的本地硬盘时,
否则不推荐您使用 NFS 来作为交换空间使用。
NFS 交换会受到可用网络带宽限制并且增加 NFS 服务器的负担。
交换文件
您可以创建一个指定大小的文件用来当作交换文件。
在我们的例子中我们将会使用叫做 /usr/swap0
的 64MB 大小的文件。当然您也可以使用任何您所希望的名字。
在 &os; 中创建交换文件
确认您的内核配置包含虚拟磁盘(Memory disk)驱动
(&man.md.4;)。它在 GENERIC 内核中是默认的。
device md # Memory "disks"
创建一个交换文件(/usr/swap0):
&prompt.root; dd if=/dev/zero of=/usr/swap0 bs=1024k count=64
赋予它(/usr/swap0)一个适当的权限:
&prompt.root; chmod 0600 /usr/swap0
在 /etc/rc.conf 中启用交换文件:
swapfile="/usr/swap0" # Set to name of swapfile if aux swapfile desired.
通过重新启动机器或下面的命令使交换文件立刻生效:
&prompt.root; mdconfig -a -t vnode -f /usr/swap0 -u 0 && swapon /dev/md0
Hiten
Pandya
Written by
Tom
Rhodes
电源和资源管理
BIOS 接口管理,例如可插拔 BIOS
(PNPBIOS)或者高级电源管理(APM)
等等。电源和资源管理是现代操作系统的关键组成部分。
例如您可能当系统温度过高的时候让您的操作系统能监视到
(并且可能提醒您)。
以有效的方式利用硬件资源是非常重要的。 在引入 ACPI
之前, 管理电源使用和系统散热对操作系统是很困难的。 硬件由 BIOS
进行管理, 因而用户对电源管理配置的控制和查看都比较困难。 一些系统通过
高级电源管理 (APM) 提供了有限的配置能力。
电源和资源管理是现代操作系统的一个关键组件。 例如, 您可能希望操作系统监视系统的一些限制,
例如系统的温度是否超出了预期的增长速度 (并在需要时发出警告)。
在 &os; 使用手册的这一章节,我们将提供 ACPI
全面的信息。 参考资料会在末尾给出。
什么是 ACPI?
ACPI
APM
高级配置和电源接口 (ACPI)
是一个业界标准的硬件资源和电源管理接口 (因此而得名) 。它是
操作系统控制的配置和电源管理(Operating System-directed
configuration and Power Management),也就是说,
它给操作系统(OS)提供了更多的控制和弹性。
在引入 ACPI 之前,
现代操作系统使得目前即插即用接口的局限性更加 凸现
出来。
ACPI 是 APM(高级电源管理)
的直接继承者。
高级电源管理 (APM) 的缺点
高级电源管理 (APM)
是一种基于系统目前的活动控制其电源使用的机制。
APM BIOS 由 (系统的) 制造商提供, 并且是硬件平台专属的。
在 OS 中的 APM 驱动作为中介来访问 APM 软件接口,
从而实现对电源使用的管理。 在 2000 年或更早的时期生产的计算机系统,
仍需要使用 APM。
APM 有四个主要的问题。 首先, 电源管理是通过
(制造商专属的) BIOS 实现的, 而 OS 则完全不了解其细节。
例如, 用户在 APM BIOS 中设置了硬盘驱动器的空闲等待数值,
当超过这一空闲时间的限制时, 它 (BIOS) 将会减慢硬盘驱动器的速度,
而不会征求 OS 的同意。 第二, APM 逻辑是嵌入
BIOS 的, 因此它是在 OS 的控制之外运转的。
这意味着用户只能通过通过刷新他们 ROM 中的 APM BIOS
才能够解决某些问题; 而这是一个很危险的操作,
因为它可能使系统进入一个无法恢复的状态。 第三, APM
是一种制造商专属的技术, 也就是说有很多第三方的
(重复的工作) 以及 bugs, 如果在一个制造商的 BIOS 中有,
也未必会在其他的产品中解决。 最后但绝不是最小的问题, APM
BIOS 没有为实现复杂的电源策略提供足够的余地,
也无法实现能够非常适合具体机器的策略。
即插即用 BIOS (PNPBIOS)
在很多时候都是不可靠的。 PNPBIOS 是 16-位 的技术,
因此 OS 不得不使用 16-位 模拟才能够与 PNPBIOS 的方法
接口
。
&os; APM 驱动在 &man.apm.4; 手册页中有描述。
配置 <acronym>ACPI</acronym>
默认情况下, acpi.ko 驱动,
会在系统引导时由 &man.loader.8; 加载, 而 不应
直接联编进内核。 这样做的原因是模块操作起来更方便, 例如, 无需重新联编内核就可以切换到另一个
acpi.ko 版本。 这样可以让测试变得更简单一些。
另一个原因是, 许多时候在启动已经启动之后再启动 ACPI 可能会有些问题。
如果您遇到了问题, 可以全面禁用 ACPI。
这个驱动不应, 目前也无法卸载, 因为系统总线通过它与许多不同的硬件进行交互。
ACPI 可以通过在
/boot/loader.conf 中配置或在 &man.loader.8; 提示符处配置
hint.acpi.0.disabled="1" 来禁用。
ACPI 和 APM 不能共存,
相反, 它们应分开使用。 后加载的驱动如果发现系统中已经执行了其中的一个,
便会停止执行。
ACPI 可以用来让系统进入休眠模式,
方法是使用 &man.acpiconf.8; 的
参数, 加上一个 1-5 的数字。 多数用户会希望使用
1 或 3 (挂起到 RAM)。
而 5 则会让系统执行与下列命令效果类似的软关机:
&prompt.root; halt -p
除此之外, 还有一些通过 &man.sysctl.8; 提供的选项。 请参见联机手册
&man.acpi.4; 和 &man.acpiconf.8; 以获得更多信息。
Nate
Lawson
撰写人:
Peter
Schultz
协力:
Tom
Rhodes
使用和调试 &os; <acronym>ACPI</acronym>
ACPI
problems
ACPI 是一种全新的发现设备、 管理电源使用、
以及提供过去由 BIOS 管理的访问不同硬件的标准化方法。
让 ACPI 在各种系统上都能正确使用的工作一直在进行,
但许多主板的 ACPI 机器语言
(AML) 字节代码中的 bug, &os; 的内核中子系统设计的不完善,
以及 &intel;
ACPI-CA 解释器中的 bug 仍然不时会出现。
这份文档期望能够帮助您协助 &os;
ACPI 的维护人员来找到您所观察到的问题的根源,
并通过调试找到其解决方法。 感谢您阅读这份文档,
我们也希望能够解决您的系统上的问题。
提交调试信息
在提交问题之前, 请确认您已经在运行最新的
BIOS 版本, 此外, 也包括嵌入式控制器的固件版本。
如果您希望提交一个问题,
请确保将下述信息发到
freebsd-acpi@FreeBSD.org:
问题行为的描述, 包括系统类型、型号,以及任何触发问题的相关信息。
另外, 请注意尽可能准确地描述这一问题是否对您是陌生的。
在 boot
-v
之后得到的 &man.dmesg.8; 输出, 以及任何在重现
bug 时出现的错误信息。
在禁用了 ACPI 之后的 boot
-v
的 &man.dmesg.8; 输出, 如果您发现禁用 ACPI
能够帮助消除问题。
来自 sysctl hw.acpi的输出。
这也是找到您的系统所提供的功能的一种好办法。
能够得到您的 ACPI Source Language
(ASL) 的 URL。
不要 把
ASL 直接发到邮件列表中,
因为它们可能非常大。
为了得到 ASL
您可以运行这个命令:
&prompt.root; acpidump -dt > name-system.asl
(把
name 改为您的登录名,
并把
system 改为您的硬件制造商及其型号。 例如:
njl-FooCo6000.asl)
许多开发者也会订阅 &a.current;
但还是请发到 &a.acpi.name; 这样它会被更多人看到。
请耐心等待, 因为我们都有全职的其他工作。
如果您的 bug 不是显而易见的, 我们可能会要求您通过
&man.send-pr.1; 来提交一个 PR。
在输入 PR 时,请将同样的信息包含进去。
这将帮助我们来追踪和解决问题。
不要在给 &a.acpi.name; 写信之前发送
PR 因为我们把它当作已知文体的备忘录而不是报告机制。
您的问题很可能已经被其他人报告过了。
背景
ACPI
ACPI 存在于采用
ia32 (x86)、 ia64 (安腾)、 以及 amd64 (AMD) 架构的所有现代计算机上。
完整的标准具有大量的各式功能, 包括
CPU 性能管理、 电源控制、 温度监控、
电池系统、 嵌入式控制器以及总线枚举。
绝大多数系统实现比完整标准的功能要少一些。 例如,
桌面系统通常只实现总线枚举部分, 而笔记本则通常支持降温和电源管理功能。
笔记本通常还提供休眠和唤醒支持, 并提供与此适应的复杂功能。
符合 ACPI 的系统中有许多组件。
BIOS 和芯片组制造商提供一些固定的表
(例如, FADT) 在存储器中, 以提供类似
APIC 映射 (用于 SMP)、
配置寄存器、 以及简单的配置值等等。 另外,
一个字节代码 (bytecode) 表
(系统区别描述表
DSDT)
则提供了通过树状命名空间来指定设备及其功能的方法。
ACPI 驱动必须要处理固定表,
实现字节码解释器, 并修改驱动程序和内核, 以接受来自
ACPI 子系统的信息。 对于 &os;, &intel;
提供了一个解释器 (ACPI-CA),
它在 Linux 和 NetBSD 也可以使用。
ACPI-CA 源代码可以在
src/sys/contrib/dev/acpica
找到。 用于在 &os; 中允许 ACPI-CA
正确运转的代码则在
src/sys/dev/acpica/Osd。
最后, 用于实现 ACPI 设备的驱动可以在
src/sys/dev/acpica 找到。
常见问题
ACPI
problems
要让 ACPI 正常工作,
它的每一部分都必须工作正常。 下面是一些常见的问题,
按照出新的频繁程度排序, 并给出了一些绕过或修正它们的方法。
鼠标问题
某些时候, 唤醒操作会导致鼠标不再正常工作。
已知的绕过这一问题的方法, 是在
/boot/loader.conf 文件中添加
hint.psm.0.flags="0x3000" 设置。
如果这样做不能解决问题, 请考虑按前面介绍的方法提交问题报告。
休眠/唤醒
ACPI 提供了三种休眠到
RAM (STR) 的状态,
S1-S3,
以及一个休眠到磁盘的状态 (STD),
称作 S4。 S5 是
软关机
同时也是系统接好电源但没有开机时的正常状态。
S4 实际上可以用两种不同的方法来实现。
S4BIOS 是一种由
BIOS 辅助的挂起到磁盘方法, 而
S4OS
则是完全由操作系统实现的。
可以使用 sysctl hw.acpi
来查看与休眠有关的项目。
这里是我的 Thinkpad 上得到的结果。
hw.acpi.supported_sleep_state: S3 S4 S5
hw.acpi.s4bios: 0
这表示我可以使用 acpiconf -s
来测试 S3,
S4OS, 以及
S5。 如果 是一
(1), 则可以使用
S4BIOS
来代替 S4
OS。
当测试休眠/唤醒时, 从
S1 开始, 如果它被支持的话。
这个状态是最可能正常工作的状态, 因为它不需要太多的驱动支持。
没有人实现 S2 但如果您有它的支持,
则应该和 S1 类似。 下一件值得尝试的是
S3。 这是最深的
STR 状态,
并需要一系列驱动的支持才能够正常地重新初始化您的硬件。
如果您在唤醒系统时遇到问题, 请不要吝惜发邮件给 &a.acpi.name;
邮件列表, 尽管不要指望问题一定会很快解决,
因为有许多驱动程序/硬件需要进行更多的测试和改进。
为了帮助隔离问题, 请在内核中删去尽可能多的驱动。
如果这样做能够解决问题, 请尝试逐个加载驱动直到问题再次出现。
通常预编译的驱动程序如
nvidia.ko、 X11
显示驱动, 以及 USB 的问题最多,
而以太网卡的驱动则通常工作的很好。
如果您能够通过加载和卸载驱动使系统正常工作,
您可以通过将适当的命令放到
/etc/rc.suspend 和
/etc/rc.resume 来将这个过程自动化。
在这两个文件中有一个注释掉的卸载和加载驱动程序的例子供您参考。
另外您还可以将 设置为零
(0), 如果您的显示在唤醒之后显得很混乱。
此外您还可以尝试更长或更短的
值看看是否有所助益。
另一件值得一试的事情是使用一个比较新的包含
ACPI 支持的 Linux 发行版来试试看他们的
休眠/唤醒 功能是否在同样的硬件上能够正常工作。
如果在 Linux 下正常, 则很可能是 &os; 驱动程序的问题,
而隔离问题并找到存在问题的驱动有助于解决它。
需要注意的是 ACPI 的维护人员通常并不维护其他驱动
(例如 声音、 ATA, 等等)
因此如果最终发现是驱动的问题最好还是发到
&a.current.name; 邮件列表并发给驱动程序的维护者。
如果您喜欢冒险, 则可以加一些 &man.printf.3;
到有问题的驱动中, 以找到它的恢复功能发生问题的位置。
最后, 试试看禁用 ACPI
并代之以启用 APM。
如果 休眠/唤醒 能够在 APM 下正常工作,
使用 APM 可能会更好,
特别是对于较老的硬件 (2000年以前)。
硬件制造商需要一些时间来让老硬件的
ACPI 工作正常,
而 ACPI 的问题十之八九是
BIOS 中的毛病引发的。
系统停止响应 (暂时或永久性地)
中断风暴
绝大多数系统停止响应是由于未能及时响应中断或发生了中断风暴导致的。
芯片组有很多问题最终会溯源到 BIOS
如何在引导系统之前配置中断, APIC
(MADT) 表的正确性, 以及
系统控制中断
(SCI) 如何路由。
通过察看 vmstat -i
的输出中包括 acpi0
的那一行可以区分中断风暴和未能及时响应中断。
如果每秒计数器增长的速度多于一两个,
则您是遇到了中断风暴。 如果系统停止了响应,
您可以尝试停止内核并进入 DDB
(在控制台上按 CTRL
ALTESC)
并输入 show interrupts。
APIC
禁用
处理中断问题的救命稻草是尝试禁用
APIC 支持, 这是通过在
loader.conf 中加入
hint.apic.0.disabled="1"
完成的。
崩溃
崩溃对于 ACPI 是比较罕见的情况,
如果发现, 我们将会非常重视并很快修复它。
您要做的第一件事是设法隔离出能够重现崩溃 (如果可能的话)
的操作并获取一份调用堆栈。 请启用
并设置串行控制台
(参见 )
或配置一个 &man.dump.8; 分区。 您将在
DDB 中通过
得到调用堆栈。 如果您只能用手抄的方法记录它,
一定要记下头五 (5) 行和最后五 (5) 行。
然后, 尝试通过在启动时禁用
ACPI 来隔离故障。 如果这样做能够正常工作,
请通过设置
的那组数值来隔离具体是哪个 ACPI
子系统的问题。 请参见
&man.acpi.4; 联机手册中给出的那些例子。
系统在休眠或关机之后又启动了
首先请尝试在 &man.loader.conf.5; 中设置
0
。
这将让 ACPI 不再在关机过程中禁用一些事件。
基于同样的原因, 一些系统需要把这个值设置为 1
(这是默认值)。
这通常能够修复在休眠或关机时立即再次启动的问题。
其他问题
如果您有 ACPI 的其他问题
(同 docking station 协同工作、 无法检测设备, 等等),
请把描述发给邮件列表; 不过, 这些问题也有可能和
ACPI 中尚未完成的部分有关,
它们可能需要时间才能被实现。 请给点耐心,
并准备测试我们可能会发给您的补丁。
<acronym>ASL</acronym>、<command>acpidump</command>, 以及
<acronym>IASL</acronym>
ACPI
ASL
最常见的问题是 BIOS
制造商提供的不正确 (甚至完全错误的!) 字节代码。
这通常会以类似下面这样的内核消息显示在控制台上:
ACPI-1287: *** Error: Method execution failed [\\_SB_.PCI0.LPC0.FIGD._STA] \\
(Node 0xc3f6d160), AE_NOT_FOUND
许多时候, 您可以通过将
BIOS 升级到最新版本来解决此类问题。
绝大多数控制台消息是无害的, 但如果您有其他问题例如电池工作不正常,
则从 AML 开始查找问题将是一条捷径。
字节代码, 或常说的 AML,
是从一种叫做 ASL 的语言写成的源代码进行编译得到的结果。
AML 一般存放在
DSDT 表中。 要得到您系统的
ASL, 需要使用 &man.acpidump.8;。
需要同时指定 (显示固定标的内容)
和 (将 AML 反编译成
ASL) 两个选项。 请参见
如何提交调试信息
一节了解如何使用它。
最方便的初步检查是尝试重新编译
ASL 来看看是否有错误。
通常可以忽略这一过程中产生的警告,
但错误一般就都是 bug, 它们通常就是导致
ACPI 无法正常工作的原因。
要重新编译您的 ASL,
可以使用下面的命令:
&prompt.root; iasl your.asl
修复 <acronym>ASL</acronym>
ACPI
ASL
我们的长期目标是让每一个人都能够在不需要任何用户干预的情况下使用
ACPI。 然而, 目前我们仍然在开发绕过
BIOS 制造商常见错误的方法。
µsoft; 解释器 (acpi.sys 和
acpiec.sys) 并不会严格地检查是否遵守了标准,
因此许多只在 &windows; 中测试 ACPI 的
BIOS 制造商很可能永远不会修正他们的
ASL。 我们希望不断地找出并用文档说明
µsoft; 的解释器到底允许那些不标准的行为,
并在 &os; 进行对应的修改使它能够正常工作而不需要用户修正
ASL。 作为一项临时缓解问题的方法,
并帮助我们确认其行为, 您可以手工修正
ASL。 如果这样能够解决问题,
请把新旧 ASL 的 &man.diff.1;
发给我们, 这样我们就有可能绕过 ACPI-CA
中的错误行为, 从而不再需要您来手工修正。
ACPI
error messages
下面是一些常见的错误信息, 它们的原因,
以及如何修正。
_OS dependencies (_OS 依赖)
某些 AML 假定世界是由不同版本的
&windows; 组成的。 您可以让 &os; 声称自己是任意
OS 来看一看是否能够修正问题。
比较简单的办法是设置
="Windows 2001"
到 /boot/loader.conf 中, 或使用您在
ASL 中找到的其他字符串。
Missing Return statements (缺少返回语句)
一些方法可能没按照标准要求的那样显式地返回值。
尽管 ACPI-CA 无法处理它,
但 &os; 提供了一个绕过它并允许其暗含地返回值的方法。
您也可以增加一个显式的
Return 语句, 如果您知道那里需要返回一个值的话。
要强制 iasl 编译
ASL, 需要使用
标志。
替换默认的 <acronym>AML</acronym>
在定制 your.asl 之后,
您可以通过下面的命令编译它:
&prompt.root; iasl your.asl
可以使用 标志来强制创建
AML, 即使在编译过程中发生了错误。
请注意某些错误 (例如, 缺少 Return 语句)
会自动被解释器忽略掉。
DSDT.aml 是
iasl 命令的默认输出文件名。
可以加载它来取代您 BIOS
中存在问题的副本 (它仍然存在于闪存中),
其方法是按下面的说明编辑
/boot/loader.conf:
acpi_dsdt_load="YES"
acpi_dsdt_name="/boot/DSDT.aml"
一定要把您的 DSDT.aml 复制到
/boot 目录中。
从
<acronym>ACPI</acronym> 中获取调试输出信息
ACPI
问题
ACPI
调试
ACPI 驱动程序提供了非常灵活的调试机制。
这允许您指定一组子系统, 以及所需要的详细信息。
需要调试的子系统可以按 layers(层)
来指定, 并分为 ACPI-CA 组件 (ACPI_ALL_COMPONENTS)
和 ACPI 硬件支持 (ACPI_ALL_DRIVERS)。
调试输出的详细程度可以通过
level(详细度)
来指定, 其范围是
ACPI_LV_ERROR (只报告错误) 到 ACPI_LV_VERBOSE (显示所有)。
level
是一个位掩码因此可以一次设置多个选项,
中间用空格分开。 实际使用中您应该考虑使用串行控制台来记录输出,
如果它太长以至于冲掉了控制台消息缓冲的话。
不同的层和输出详细度的完整列表可以在 &man.acpi.4; 联机手册中找到。
调试输出默认并不开启。 要起用它, 您需要在内核设置中添加
options ACPI_DEBUG, 如果您的内核中编入了
ACPI 的话。 您还可以在
/etc/make.conf 中加入
ACPI_DEBUG=1 来在全局起用它。
如果它只是模块, 您可以用下面的方法来重新编译
acpi.ko:
&prompt.root; cd /sys/modules/acpi/acpi
&& make clean &&
make ACPI_DEBUG=1
安装 acpi.ko 到
/boot/kernel and add your
并把所需的详细度和层在 loader.conf 中指定。
这个例子将启用所有
ACPI-CA 组件以及所有
ACPI 硬件驱动
(CPU、 LID, 等等) 的消息。
只输出错误信息, 也就是最低的详细度。
debug.acpi.layer="ACPI_ALL_COMPONENTS ACPI_ALL_DRIVERS"
debug.acpi.level="ACPI_LV_ERROR"
如果您需要的信息是由某个特定的事件触发的
(比如说, 休眠之后的唤醒), 您可以不修改
loader.conf 而转而使用
sysctl
来在启动和为那个事件准备系统之后再指定层和详细度。
这些 sysctl 的名字和
loader.conf 中的一致。
参考文献
关于 ACPI 的更多信息可以从下面这些地方找到:
The &a.acpi;
ACPI 邮件列表存档
旧的 ACPI 邮件列表存档
The ACPI 2.0 标准
&os; 手册页: &man.acpi.4;,
&man.acpi.thermal.4;, &man.acpidump.8;, &man.iasl.8;,
&man.acpidb.8;
DSDT 调试资源.
(使用 Compaq 作为例子但通常情况下都很有用。)
diff --git a/zh_CN.GB2312/books/handbook/desktop/chapter.sgml b/zh_CN.GB2312/books/handbook/desktop/chapter.sgml
index a8f846cdbb..65746b4fb1 100644
--- a/zh_CN.GB2312/books/handbook/desktop/chapter.sgml
+++ b/zh_CN.GB2312/books/handbook/desktop/chapter.sgml
@@ -1,1057 +1,1059 @@
Christophe
Juniet
Contributed by
桌面应用
概述
FreeBSD 可以运行种类繁多的桌面应用程序,
这包括像浏览器和字处理这样的软件。 绝大多数这样的程序都可以通过 package
来安装, 或者从 Ports
Collection 自动地构建。 许多新用户希望能够在它们的系统中找到这样的应用程序。
这一章将向您展示如何轻松地使用 package 或者 Ports Collection
中安装这样的软件。
需要注意的是从 ports 安装意味着要编译源码。 根据编译的
ports 和电脑速度的不同, 这可能需要花费相当长的时间。
若是您觉得编译源码太过耗时的话, 绝大多数 ports
也有预编译的版本可供安装。
因为 FreeBSD 提供的二进制兼容 Linux 的特性, 许多原本为 Linux
开发的程序都可以直接用在您的桌面。 在安装任何的 Linux
应用程序之前, 强烈的推荐您阅读 。
当您在寻找特定的 ports 时, 可以使用 &man.whereis.1;。 一般来说,
许多利用 Linux 二进制兼容特性的 ports 都以linux-
开头。
在下面的介绍中,都假设安装 Linux 应用程序前已经开启了 Linux 二进制兼容功能。
本章涵盖以下种类应用程序:
浏览器 (例如 Mozilla、
Opera、
Firefox、
Konqueror)
办公、图象处理 (例如
KOffice、
AbiWord、
GIMP、
OpenOffice.org)
文档查看 (例如 &acrobat.reader;、
gv、
Xpdf、
GQview)
财务 (例如
GnuCash、
Gnumeric、
Abacus)
阅读这章之前,您应该:
知道如何安装额外的第三方软件()。
知道如何安装 Linux 软件()。
想要获得更多的有关多媒体环境的信息,请阅读
。如果您想要建立和使用电子邮件,
请参考。
浏览器
浏览器
web
FreeBSD并没有预先安装特定的浏览器。然而,在 ports 的目录 www
有许多浏览器可以安装。如果您没有时间一一编译它们
(有些时候这可能需要花费相当长的时间) 大部分都有 package 可用。
KDE 和
GNOME 已经提供 HTML 浏览器。
请参考得到更多完整的有关设定这些桌面环境的信息。
如果您要找小型的浏览器, 可以试试看
www/dillo、
www/links 或
www/w3m。
这一节涉及如下程序:
程序名称
资源需求
安装时间
主要依赖
Mozilla
多
大量时间和空间
Gtk+
Opera
少
轻松
同时有可用的 FreeBSD 和 Linux 版本。 Linux 版本需要使用
Linux 二进制兼容模块和
linux-openmotif。
Firefox
中等
长
Gtk+
Konqueror
中等
长
需要 KDE 库
Mozilla
Mozilla
Mozilla 是一个完全移植到 FreeBSD
上的现代化的、 稳定的浏览器。 它拥有非常合乎标准的 HTML 支持,
它也能处理邮件和阅读新闻组。
假如您打算做一个自己的主页的话,它甚至提供一个 HTML 编辑器。
&netscape; 的使用者可能觉得它和
Communicator 非常相似,
两者有些部分实际上是相通的。
在 CPU 速度低于 233MHz 或者内存少于 64MB
的老式电脑上,Mozilla
会占用相当多资源而难以使用。您也许可以试试
Opera 浏览器,本章稍后将会介绍它。
也许基于某种原因,您不能或者不想编译
Mozilla,FreeBSD GNOME 团队已经为您制作好了
package。只需要通过网络安装它:
&prompt.root; pkg_add -r mozilla
如果没 package 可用,而您又有足够的时间和磁盘空间,您可以获取
Mozilla 的源码来编译并安装它到您的系统上。
执行以下指令既可:
&prompt.root; cd /usr/ports/www/mozilla
&prompt.root; make install clean
Mozilla 需要 root
权限执行 chrom 注册来确定正确的初始化。另外,
如果您想要一些额外的插件比如象 mouse gestures,您也必须以
root 权限执行 Mozilla
以便正确的安装。
一旦您完成了 Mozilla 安装,您就再也不需要
root 权限了。您可以用如下方式执行
Mozilla:
&prompt.user; mozilla
也可以用如下方式直接运行电子邮件和新闻阅读器:
&prompt.user; mozilla -mail
Firefox
Firefox
Firefox 是基于 Mozilla
代码系的下一代浏览器。 Mozilla
是一个完整的应用程序套件, 包含了浏览器、 邮件客户端、
聊天客户端等等。 而 Firefox
则只是一个浏览器, 这使得它体积更小并且执行速度更快。
您可以通过输入下面的命令来安装预编译的包:
&prompt.root; pkg_add -r firefox
如果您喜欢从源代码编译, 则可以使用 Ports
套件来完成这项工作:
&prompt.root; cd /usr/ports/www/firefox
&prompt.root; make install clean
Firefox、 Mozilla 与 &java; 插件
在这一节和下一节中,
我们均假定您已经安装了 Firefox 或
Mozilla。
&os; 基金会拥有来自 Sun Microsystems 的关于发布针对 &os;
的预编译版本的 Java 运行环境
(&jre;) 和 Java 开发包 (&jdk;) 的授权。 用于
&os; 的预编译版本可以在 &os;
基金会 网站上找到。
要为 Firefox 或
Mozilla 添加 &java; 支持,
您必须首先安装 java/javavmwrapper port。
接下来, 从
下载 Diablo &jre; 软件包,
并使用 &man.pkg.add.1; 来安装它。
启动浏览器, 并在地址栏中输入
about:plugins 然后按
Enter。 浏览器将给出一个页面,
其中会显示已经安装的插件,
您应在这个列表中找到 &java;
插件。 如果不是这样的话, 则需要以
root 身份执行下列命令:
&prompt.root; ln -s /usr/local/diablo-jre1.5.0/plugin/i386/ns7/libjavaplugin_oji.so \
/usr/local/lib/browser_plugins/
然后重新启动浏览器。
Firefox、 Mozilla 与 ¯omedia; &flash; 插件
¯omedia; &flash; 插件并没有直接提供其 &os; 版本。 不过,
我们有一个软件层 (wrapper) 可以用来运行 Linux 版本的插件。
这个 wrapper 也支持 &adobe; &acrobat;、
RealPlayer 和很多其他插件。
应安装 www/linuxpluginwrapper
port, 这个 port 需要依赖一个很大的 port,
emulators/linux_base。
请按照 port 在安装过程中所给出的提示对您的
/etc/libmap.conf 进行正确的配置!
示范的配置可以在
/usr/local/share/examples/linuxpluginwrapper/
目录找到。
下一步是安装 www/linux-flashplugin7 port。
一旦装好了这个插件, 就可以打开浏览器, 并在地址栏中输入
about:plugins 然后按下
Enter。 这将显示目前可用的插件列表。
如果您没有在这个列表中看到 &flash; 插件,
则多数情况下这是由于缺少一个符号链接导致的。
您需要以 root,
身份执行下面的命令:
&prompt.root; ln -s /usr/local/lib/npapi/linux-flashplugin/libflashplayer.so \
/usr/local/lib/browser_plugins/
&prompt.root; ln -s /usr/local/lib/npapi/linux-flashplugin/flashplayer.xpt \
/usr/local/lib/browser_plugins/
重新启动浏览器之后,
插件就应该会在前面提到的那个列表中有所体现了。
linuxpluginwrapper 只能在
&i386; 架构上运行。
Opera
Opera
Opera 是一个功能齐全,
并符合标准的浏览器。 它还提供了内建的邮件和新闻阅读器、 IRC 客户端,
RSS/Atom feed 阅读器以及更多功能。 除此之外,
Opera 是一个比较轻量的浏览器,
其速度很快。 它提供了两种不同的版本: native
FreeBSD 版本, 以及通过 Linux
模拟运行的版本。
要使用 Opera 的 FreeBSD
版本来浏览网页,安装以下的 package:
&prompt.root; pkg_add -r opera
有些 FTP 站点没有所有版本的 package,
但仍然可以通过 Ports 套件来安装
Opera:
&prompt.root; cd /usr/ports/www/opera
&prompt.root; make install clean
要安装 Linux 版本的
Opera,将上面例子中的
opera 替换为 linux-opera。Linux
版本在某些情况下非常有用,象是使用只有 Linux 版本的插件,例如 Adobe
&acrobat.reader;。就其它方面来说,
FreeBSD 和 Linux 版本的功能是完全一样的。
Konqueror
Konqueror
Konqueror 是
KDE 的一部分,不过也可以通过安装
x11/kdebase3
在非 KDE 环境下使用。
Konqueror 不止是一个浏览器,
也是一个文件管理器和多媒体播放器。
也有种类丰富的插件能够配合
Konqueror 一起使用,
您可以通过 misc/konq-plugins 来安装它们。
Konqueror 也支持 &flash;;
关于如何获得用于
Konqueror
的 &flash; 支持的 How To
文档
可以在 找到。
办公、图象处理
当需要进行办公或者进行图象处理时,
新用户通常都会找一些好用的办公套件或者字处理软件。 尽管目前有一些
桌面环境, 如
KDE 已经提供了办公套件,
但目前这还没有一定之规。 无论您使用那种桌面环境,
FreeBSD 都能提供您需要的软件。
这节涉及如下程序:
软件名称
资源需求
安装时间
主要依赖
KOffice
少
多
KDE
AbiWord
少
少
Gtk+ 或 GNOME
The Gimp
少
长
Gtk+
OpenOffice.org
多
长
&jdk; 1.4、 Mozilla
KOffice
KOffice
办公套件
KOffice
KDE 社区提供了一套办公套件,
它能用在桌面环境。它包含四个标准的组件,这些组件可以在其它办公套件中找到。
KWord 是字处理程序、
KSpread 是电子表格程序、
KPresenter 是演示文档制作管理程序、
Kontour是矢量绘图软件。
安装最新的
KOffice 之前,先确定您是否安装了最新版的
KDE。
使用 package 来安装 KOffice,安装细节如下:
&prompt.root; pkg_add -r koffice
如果没有可用的 package,您可以使用 Ports Collection 安装。
安装 KDE3 的
KOffice 版本,如下:
&prompt.root; cd /usr/ports/editors/koffice-kde3
&prompt.root; make install clean
AbiWord
AbiWord
AbiWord 是一个免费的字处理程序,它看起来和
µsoft; Word 的感觉很相似。
它适合用来打印文件、信函、报告、备忘录等等,
它非常快且包含许多特性,并且非常容易使用。
AbiWord 可以导入或输出很多文件格式,
包括一些象 µsoft; .doc 这类专有格式的文件。
AbiWord 也有 package
的安装方式。您可以用以下方法安装:
&prompt.root; pkg_add -r abiword
如果没有可用的 package,它也可以从 Ports Collection 编译。ports
collection 应该是最新的。它的安装方式如下:
&prompt.root; cd /usr/ports/editors/abiword
&prompt.root; make install clean
GIMP
GIMP
对图象的编辑或者加工,
GIMP 是一个非常精通图象处理的软件。
它可以被用来当作简单的绘图程序或者一个专业的照片处理套件。
它支持大量的插件和具有脚本界面的特性。
GIMP 可以读写众多的文件格式,
支持扫描仪和手写板。
您可以用下列命令安装:
&prompt.root; pkg_add -r gimp
如果您在 FTP 站点没有找到这个 package,您也可以使用
Ports Collection 的方法安装。ports 的 graphics
目录也包含有 Gimp 手册。
以下是安装它们的方法:
&prompt.root; cd /usr/ports/graphics/gimp
&prompt.root; make install clean
&prompt.root; cd /usr/ports/graphics/gimp-manual-pdf
&prompt.root; make install clean
Ports 中的 graphics
目录也有开发中的 GIMP 版本
graphics/gimp-devel。
HTML 版本的 Gimp 手册 可以在
graphics/gimp-manual-html
找到。
OpenOffice.org
OpenOffice.org
办公套件
OpenOffice.org
OpenOffice.org 包括一套完整的办公套件:
字处理程序、 电子表格程序、 演示文档管理程序和绘图程序。
它和其它的办公套件的特征非常相似,它可以导入输出不同的流行的文件格式。
它支持许多种语言 — 国际化已经渗透到了其界面、
拼写检查和字典等各个层面。
OpenOffice.org 的字处理程序使用 XML
文件格式使它增加了可移植性和灵活性。 电子表格程序支持宏语言和使用外来的数据库界面。
OpenOffice.org 已经可以平稳的运行在
&windows;、&solaris;、Linux、FreeBSD
和 &macos; X 等各种操作系统下。 更多的有关
OpenOffice.org 的信息可以在
OpenOffice.org 网页 找到。
对于特定的 FreeBSD 版本的信息,您可以在直接在 FreeBSD OpenOffice
移植团队的页面下载。
安装 OpenOffice.org 方法如下:
&prompt.root; pkg_add -r openoffice.org
如果您正在使用 &os; 的 -RELEASE 版本, 一般来说这样做是没问题的。
如果不是这样, 您就可能需要看一看 &os; OpenOffice.org
移植小组的网站,
并使用 &man.pkg.add.1; 从那里下载并安装合适的软件包。
最新的发布版本和开发版本都可以在那里找到。
装好 package 之后, 您只需输入下面的命令就能运行
OpenOffice.org 了:
&prompt.user; openoffice.org
在第一次运行时, 将询问您一些问题,
并在您的主目录中建立一个 .openoffice.org2 目录。
如果没有可用的 OpenOffice.org
package,您仍旧可以选择编译 port。然而,
您必须记住它的要求以及大量的磁盘空间和相当长的时间编译。
&prompt.root; cd /usr/ports/editors/openoffice.org-2
&prompt.root; make install clean
如果希望联编一套进行过本地化的版本,
将前述命令行改为:
&prompt.root; make LOCALIZED_LANG=your_language install clean
您需要将
your_language 改为正确的 ISO-代码。
所支持的语言代码可以在
files/Makefile.localized 文件中找到,
这个文件位于 port 的目录。
一旦完成上述操作, 就可以通过下面的命令来运行
OpenOffice.org 了:
&prompt.user; openoffice.org
文档查看器
&unix; 系统出现以来, 一些新的文档格式开始流行起来;
它们所需要的标准查看器可能不一定在系统内。
本节中, 我们将了解如何安装它们。
这节涵盖如下应用程序:
软件名称
资源需求
安装时间
主要依赖
&acrobat.reader;
少
少
Linux二进制兼容
gv
少
少
Xaw3d
Xpdf
少
少
FreeType
GQview
少
少
Gtk+ 或 GNOME
&acrobat.reader;
Acrobat Reader
PDF
查看器
现在许多文档都用 PDF 格式,
根据轻便小巧文档格式
的定义。一个被建议使用的查看器是
&acrobat.reader;,由 Adobe 所发行的
Linux 版本。因为 FreeBSD 能够运行 Linux 二进制文件,
所以它也可以用在 FreeBSD 中。
要从 Ports collection 安装 &acrobat.reader;
7, 只需:
&prompt.root; cd /usr/ports/print/acroread7
&prompt.root; make install clean
由于授权的限制, 我们不提供预编译的版本。
gv
gv
PDF
查看器
PostScript
查看器
gv 是 &postscript; 和
PDF 文件格式查看器。它源自 ghostview
因为使用 Xaw3d 函数库让它看起来更美观。
它很快而且界面很干净。gv
有很多特性比如象纸张大小、刻度或者抗锯齿。
大部分操作都可以只用键盘或鼠标完成。
安装 gv package,如下:
&prompt.root; pkg_add -r gv
如果您无法获取预编译的包, 则可以使用 Ports
collection:
&prompt.root; cd /usr/ports/print/gv
&prompt.root; make install clean
Xpdf
Xpdf
PDF
查看器
如果您想要一个小型的 FreeBSD PDF 查看器,
Xpdf 是一个小巧并且高效的查看器。
它只需要很少的资源而且非常稳定。它使用标准的 X
字体并且不需要 &motif; 或者其它的
X 工具包。
安装 Xpdf package,使用如下命令:
&prompt.root; pkg_add -r xpdf
如果 package 不可用或者您宁愿使用 Ports Collection,如下:
&prompt.root; cd /usr/ports/graphics/xpdf
&prompt.root; make install clean
一旦安装完成,您就可以启动
Xpdf 并且使用鼠标右键来使用菜单。
GQview
GQview
GQview 是一个图片管理器。
您可以单击鼠标来观看一个文件、开启一个外部编辑器、
使用预览和更多的功能。它也有幻灯片播放模式和一些基本的文件操作。
您可以管理采集的图片并且很容易找到重复的。
GQview 可以全屏幕观看并且支持国际化。
如果您想要安装
GQview package,如下:
&prompt.root; pkg_add -r gqview
如果您没有可用的 package 或者您宁愿使用 Ports Collection,如下:
&prompt.root; cd /usr/ports/graphics/gqview
&prompt.root; make install clean
财务
假如,基于任何的理由,您想要在 FreeBSD Desktop
管理您个人的财政,有一些强大并且易于使用的软件可以被您选择安装。
它们中的一些与流行的文件格式兼容象
Quicken
和 Excel 文件。
本节涵盖如下程序:
软件名称
资源需求
安装时间
主要依赖
GnuCash
少
长
GNOME
Gnumeric
少
长
GNOME
Abacus
少
少
Tcl/Tk
KMyMoney
少
长
KDE
GnuCash
GnuCash
GnuCash 是
GNOME 的一部分,GNOME
致力于为最终用户提供用户友好且功能强大的软件。使用
GnuCash,您可以关注您的收入和开支、您的银行帐户,
或者您的股票。它的界面特性看起来非常的专业。
GnuCash 提供一个智能化的注册、帐户分级系统、
很多键盘快捷方式和自动完成方式。它能分开一个单个的处理到几个详细的部分。
GnuCash 能导入和合并
Quicken QIF 文件格式。
它也支持大部分的国际日期和流行的格式。
在您的系统中安装 GnuCash 所需的命令如下:
&prompt.root; pkg_add -r gnucash
如果 package 不可用,您可以使用 Ports Collection 安装:
&prompt.root; cd /usr/ports/finance/gnucash
&prompt.root; make install clean
Gnumeric
Gnumeric
电子表格
Gnumeric
Gnumeric 是一个电子表格程序,
GNOME 桌面环境的一部分。
它以通过元素格式和许多片断的自动填充系统来方便的自动猜测
用户输入而著称。
它能导入一些流行的文件格式,比如象 Excel、
Lotus 1-2-3 或 Quattro Pro。
Gnumeric 凭借 math/guppi 支持图表。
它有大量的嵌入函数和允许所有通常比如象、数字、货币、日期、
时间等等的一些单元格式。
以 package 方式安装 Gnumeric 的方法如下:
&prompt.root; pkg_add -r gnumeric
如果 package 不可用,您可以使用 Ports Collection 安装:
&prompt.root; cd /usr/ports/math/gnumeric
&prompt.root; make install clean
Abacus
Abacus
spreadsheet
Abacus
Abacus 是一个小巧易用的电子表格程序。
它包含许多嵌入函数在一些领域如统计学、财务和数学方面很有帮助。
它能导入和输出 Excel 文件格式。
Abacus 可以产生 &postscript;
输出。
以 package 的方式安装 Abacus 的方法如下:
&prompt.root; pkg_add -r abacus
如果 package 不可用,您可以使用 Ports Collection 安装:
&prompt.root; cd /usr/ports/deskutils/abacus
&prompt.root; make install clean
KMyMoney
KMyMoney
spreadsheet
KMyMoney
- KMyMoney 是一个 KDE
- 环境下的个人财务管理软件。 KMyMoney
+ KMyMoney 是一个
+ KDE环境下的个人财务管理软件。
+ KMyMoney
旨在提供并融合各种商业财务管理软件所有的重要特性。
- 它也同样注重易用性和特有的复式记帐功能。 KMyMoney
+ 它也同样注重易用性和特有的复式记帐功能。
+ KMyMoney
能从标准的 Quicken Interchange Format (QIF) 文件导入数据,
追踪投资,处理多种货币并能提供一个财务报告。
另有可用的插件支持导入 OFX 格式的数据。
以 package 的方式安装 KMyMoney
的方法如下:
&prompt.root; pkg_add -r kmymoney2
如果 package 不可用,您可以使用 Ports Collection 安装:
&prompt.root; cd /usr/ports/finance/kmymoney2
&prompt.root; make install clean
总结
尽管 FreeBSD 由于其高性能和可靠性而获得了许多 ISP 的信赖,
但它也完全可以用于桌面环境。 拥有数以千计的
packages 和
ports
能够帮您迅速建立完美的桌面环境。
下面是本章涉及到的所有的软件的简要回顾:
软件名称
Package 名称
Ports 名称
Mozilla
mozilla
www/mozilla
Opera
opera
www/opera
Firefox
firefox
www/firefox
KOffice
koffice-kde3
editors/koffice-kde3
AbiWord
abiword
editors/abiword
The GIMP
gimp
graphics/gimp
OpenOffice.org
openoffice
editors/openoffice-1.1
&acrobat.reader;
acroread
print/acroread7
gv
gv
print/gv
Xpdf
xpdf
graphics/xpdf
GQview
gqview
graphics/gqview
GnuCash
gnucash
finance/gnucash
Gnumeric
gnumeric
math/gnumeric
Abacus
abacus
deskutils/abacus
diff --git a/zh_CN.GB2312/books/handbook/disks/chapter.sgml b/zh_CN.GB2312/books/handbook/disks/chapter.sgml
index d3cd89e62f..c3d61266b5 100644
--- a/zh_CN.GB2312/books/handbook/disks/chapter.sgml
+++ b/zh_CN.GB2312/books/handbook/disks/chapter.sgml
@@ -1,3676 +1,3665 @@
存储
概述
这章介绍了 FreeBSD 中磁盘的使用方法。包括内存盘,
网络附属磁盘和标准的 SCSI/IDE 存储设备,以及使用 USB 的设备。
读完这章,您将了解到:
FreeBSD 中用来描述硬盘上数据组织的术语 (partitions and slices)。
如何在您的系统上增加硬盘。
如何配置 &os; 来使用 USB 存储设备。
如何设置虚拟文件系统,例如内存磁盘。
如何使用配额来限制磁盘空间的使用。
如何增加磁盘安全来预防功击。
如何刻录 CD 和 DVD 。
用于备份的多种存储媒介。
如何在 FreeBSD 上使用备份程序。
如何备份到软磁盘。
文件系统快照是什么, 以及如何有效地使用它们。
在读这章之前,您应该:
知道怎样去配置和安装新的 FreeBSD 内核
().
设备命名
下面是在 FreeBSD 上被支持的物理存储设备和它们被分配的设备名。
物理磁盘命名规则
驱动器类型
驱动设备命名
IDE 硬盘驱动器
ad
IDE CDROM 驱动器
acd
SCSI 硬盘以及 USB 大容量存储设备
da
SCSI CDROM 驱动器
cd
各类非标准 CDROM 驱动器
用于 Mitsumi CD-ROM 的 mcd 以及用于
Sony CD-ROM 驱动器的 scd
Floppy drives
fd
SCSI tape drives
sa
IDE tape drives
ast
Flash drives
fla for &diskonchip; Flash device
RAID drives
aacd for &adaptec; AdvancedRAID,
mlxd and mlyd
for &mylex;,
amrd for AMI &megaraid;,
idad for Compaq Smart RAID,
twed for &tm.3ware; RAID.
David
O'Brien
Originally contributed by
添加磁盘
磁盘
添加
假设我们要给一台只有一个磁盘的机器增加一个新的 SCSI 磁盘。首先
需要关掉计算机,然后按操作规程来安装驱动器,控制器和驱动程序。由于
各厂家生产的产品各不相同,具体的安装细节不在此文档介绍之内。
以 root 用户登录。安装完驱动后,检查一下
/var/run/dmesg.boot 有没有找到新的磁盘。在我们
的例子中新增加的磁盘就是 da1,我们从
/1 挂上它。 (如果您正添加 IDE 驱动器,
则设备名应该是 ad1)。
partitions
slices
fdisk
因为 FreeBSD 运行在 IBM-PC 兼容机上,它必须遵循 PC BIOS 分区规范。
这与传统的 BSD 分区是不同的。一个 PC 的磁盘最高只能有四个 BIOS
主分区。如果磁盘只安装 FreeBSD 您可以使用 dedicated
模式。另外, FreeBSD 必须安装在 PC BIOS 支持的分区内。FreeBSD 把分区叫作
slices 这可能会把人搞糊涂。您也可以在只安装
FreeBSD 的磁盘上使用 slices,也可以在安装有其它操作系统的磁盘上使用
slices。这不会影响其它操作系统的 fdisk 分区工具。
在 slice 方式表示下,驱动器被添加到 /dev/da1s1e。
可以读作:SCSI 磁盘,编号为 1 (第二个SCSI 磁盘), slice 1 (PC BIOS 分区 1),
的 BSD 分区 e 。在有些例子中,也可以简化为
/dev/da1e。
由于 &man.bsdlabel.8; 使用 32-位 的整数来表示扇区号,
因此在多数情况下它的表现力限于每个磁盘
2^32-1 个扇区或 2TB。 &man.fdisk.8; 格式允许的起始扇区号不能高于
2^32-1 而分区长度也不能大于 2^32-1, 通常情况下这限制了分区大小最大为
2TB 而磁盘大小则是 4TB。 &man.sunlabel.8; 格式的限制是每个分区
2^32-1 个扇区, 但允许 8 个分区因此最大支持 16TB 的磁盘。
要使用更大的分区, 则应使用 &man.gpt.8;。
使用 &man.sysinstall.8;
sysinstall
adding disks
su
使用 <application>Sysinstall</application>
您可以使用 sysinstall
命令的菜单来分区和标记一个新的磁盘。 这一操作需要有 root 权限,
您可以直接使用 root 账户登录或者使用
su 命令来切换到 root 用户。运行
sysinstall ,然后选择
Configure 菜单。在
FreeBSD Configuration Menu 下,上下滚动,
选择 Fdisk 条目。
<application>fdisk</application> 分区编辑器
进入 fdisk 分区编辑器后,选择
A ,FreeBSD 将使用全部的磁盘。当被告知
remain cooperative with any future possible operating
systems
时,回答 YES。使用
W 保存刚才的修改。现在使用 q
退出 FDISK 编辑器。下面会看到有关 主引导区
的信息。 现在您已经在运行的系统上添加了一个磁盘,
因此应该选择 None。
Disk Label 编辑器
BSD partitions
接下来,您应该退出 sysinstall
并且再次启动它,并按照上面的步骤直接进入
Label 选项。进入 磁盘标签编辑器。
这就是您要创建的 BSD 分区。一个磁盘最多可以有 8 个分区,标记为
a-h。有几个分区标签有特殊的用途。
a 分区被用来作为根分区(/)。
系统磁盘(例如:从那儿启动的分区)必须有一个 a
分区。b 分区被用作交换分区,可以用很多磁盘用作交
换分区。 c 分区代表整个硬盘,或在 FreeBSD slice
模式下代表整个 slice。其它分区作为一般分区来使用。
sysinstall 的标签编辑器用 e
表示非 root 和非 swap 分区。在标签编辑器中,可以使用键入C
创建一个文件系统。当提示这是否是一个 FS(文件系统)或 swap 时,选择
FS,然后给出一个加载点(如: /mnt)。
当在 post-install 模式时添加一个磁盘, sysinstall
不会在 /etc/fstab 中创建记录,所以是否指定加载点并不重要。
现在已经准备把新标签写到磁盘上,然后创建一个文件系统,可以按下
W。出现任何错误都会不能创建新的分区。可以退出标签编辑
器然后重新执行 sysinstall 。
完成
下面一步就是编辑 /etc/fstab,为您的磁盘添加一个新
记录。
使用命令行工具
使用 Slices
这步安装将允许磁盘与可能安装在您计算机上的其它操作系统一起
正确工作,而不会搞乱其它操作系统的分区。推荐使用这种方法来安装
新磁盘,除非您有更好的理由再使用 dedicated
模式!
&prompt.root; dd if=/dev/zero of=/dev/da1 bs=1k count=1
&prompt.root; fdisk -BI da1 #初始化新磁盘
&prompt.root; bsdlabel -B -w da1s1 auto #加上标签
&prompt.root; bsdlabel -e da1s1 # 现在编辑您刚才创建的磁盘分区
&prompt.root; mkdir -p /1
&prompt.root; newfs /dev/da1s1e # 为您创建的每个分区重复这个操作
&prompt.root; mount /dev/da1s1e /1 # 挂上分区
&prompt.root; vi /etc/fstab # 完成之后,添加合适的记录到您的 /etc/fstab文件。
如果有一个 IDE 磁盘,记得要用 ad 替换前面的
da。
专用模式
OS/2
如果您并没有安装其它的操作系统,可以使用 dedicated
模式。记住这种模式可能会弄乱 Microsoft 的操作系统,但不会对它进行破坏。
它不识别找到的 IBM &os2 的 appropriate
分区。
&prompt.root; dd if=/dev/zero of=/dev/da1 bs=1k count=1
&prompt.root; bsdlabel -Bw da1 auto
&prompt.root; bsdlabel -e da1 # 创建 `e' 分区
&prompt.root; newfs -d0 /dev/da1e
&prompt.root; mkdir -p /1
&prompt.root; vi /etc/fstab # 为 /dev/da1e添加一个记录
&prompt.root; mount /1
另一种方法:
&prompt.root; dd if=/dev/zero of=/dev/da1 count=2
&prompt.root; bsdlabel /dev/da1 | bsdlabel -BR da1 /dev/stdin
&prompt.root; newfs /dev/da1e
&prompt.root; mkdir -p /1
&prompt.root; vi /etc/fstab # 为 /dev/da1e添加一个记录
&prompt.root; mount /1
RAID
软件 RAID
Christopher
Shumway
Original work by
Jim
Brown
Revised by
RAIDsoftware
RAIDCCD
连接磁盘驱动器配置 (CCD)
选择一个大容量存储比较好的解决方案,最重要的因素是产品的速度、
性能和成本。 通常这三者不可能都满足;要获得比较快和可靠的大容量存储设备,
就比较昂贵。但如果将成本降下来,那它的速度或可靠性就会打折扣。
在设计下面描述的系统时, 价格被选为最重要的因素,
接下来是速度和性能。 这个系统的数据传输速度基本上受限于网络。
性能也非常重要,
CCD 驱动器上的所有数据都被备份到了 CD-R 盘, 可以很容易地对数据进行恢复。
在选择一个大容量的存储解决方案时,第一步是要设计您自己的需求。
如果您的需求更偏重于速度和性能,那么您的解决方案将就不同于上面的设计。
安装硬件
除了 IDE 系统磁盘外,还有三个 Western Digital 30GB、5400 RPM
的 IDE 磁盘构成了大约 90G 的连接磁盘驱动存储空间。 理想情况是每个 IDE
硬盘都独占 IDE 控制器和数据线, 但为了尽可能降低成本, 通常并不会安装更多的控制器,
而是通过配置跳线,使每个 IDE 控制器都管理一个主盘和一个从盘。
重启动后,系统 BIOS 被配置成自动检测硬盘。FreeBSD 检测到它们:
ad0: 19574MB <WDC WD205BA> [39770/16/63] at ata0-master UDMA33
ad1: 29333MB <WDC WD307AA> [59598/16/63] at ata0-slave UDMA33
ad2: 29333MB <WDC WD307AA> [59598/16/63] at ata1-master UDMA33
ad3: 29333MB <WDC WD307AA> [59598/16/63] at ata1-slave UDMA33
如果 FreeBSD 没有检测到它们,请确定它们的跳线是否设置
正确。大多数 IDE 磁盘有一个 Cable Select
跳线。这个
不是 设置 master/slave 硬盘的跳线。查阅文档
信息来确定正确的跳线设置。
接下来考虑的是,如何创建文件系统。应该好好研究一下 &man.vinum.8; ()和 &man.ccd.4; 两种方式,在这里我们选择 &man.ccd.4;
安装 CCD
&man.ccd.4; 允许用户将几个相同的的磁盘通过一个逻辑文件系统
连接起来。要使用 &man.ccd.4;,您需要在内核中配置 &man.ccd.4;
支持选项。把这行加入到内核配置文件中,然后重建内核:
device ccd
对 &man.ccd.4; 的支持也可以内核模块的形式载入。
要安装 &man.ccd.4;, 首先需要使用 &man.bsdlabel.8; 来编辑硬盘:
bsdlabel -w ad1 auto
bsdlabel -w ad2 auto
bsdlabel -w ad3 auto
此处将整个硬盘创建为 ad1c, ad2c
和 ad3c。
下一步是改变 disklable 的类型。也可以使用 &man.bsdlabel.8; 来编辑:
bsdlabel -e ad1
bsdlabel -e ad2
bsdlabel -e ad3
这儿在每个已经设置了 EDITOR 环境变量的磁盘上打开了
disklable,在我我例子中使用的是 &man.vi.1;。
可以看到:
8 partitions:
# size offset fstype [fsize bsize bps/cpg]
c: 60074784 0 unused 0 0 0 # (Cyl. 0 - 59597)
添加一个新的 e 分区给 &man.ccd.4; 用。这可以是
c 分区的一个副本, 但 必须
是 4.2BSD。做完之后,您会看到一面这些:
8 partitions:
# size offset fstype [fsize bsize bps/cpg]
c: 60074784 0 unused 0 0 0 # (Cyl. 0 - 59597)
e: 60074784 0 4.2BSD 0 0 0 # (Cyl. 0 - 59597)
建立文件系统
现在已给每个磁盘都加上了标签,下面需要建立 &man.ccd.4;。要这样做,
需要使用 &man.ccdconfig.8; 工具,同时要提供类似下面的选项:
ccdconfig ccd0 32 0 /dev/ad1e /dev/ad2e /dev/ad3e
每个选项的意义和用法如下所示:
配置设备的第一个参数,在这是 /dev/ccd0c。
/dev/ 部分是任选项。
下一个参数是文件系统的插入页(interleave)。插入页定义了一个
磁盘块中一个分段或条带(stripe)的大小,通常是 512 个字节。所以一个为
32 的插入页将是 16,384 字节。
插入页为 &man.ccdconfig.8; 附带了标记。如果您要启用驱动器镜像,
需要在这儿指定它。在这个配置中没有做 &man.ccd.4; 的镜像,所以把它
设为 0 (zero)。
&man.ccdconfig.8; 的最后配置是设备的排列问题。使用完整的设备
路径名。
运行 &man.ccdconfig.8; 后 &man.ccd.4; 就配置好了。现在要创建文件
系统了,参考 &man.newfs.8; 选项,执行下同的命令:
newfs /dev/ccd0c
自动创建
最后,要挂上 &man.ccd.4; ,需要先配置它。把当前的配置文件写入
/etc/ccd.conf 中,使用下面的命令:
ccdconfig -g > /etc/ccd.conf
当重新启动系统时,如果 /etc/ccd.conf 存在,
脚本 /etc/rc 就运行 ccdconfig -C。
这样就能自动配置 &man.ccd.4; 以到它能被挂上。
如果启动进入了单用户模式,在 &man.mount.8; 上 &man.ccd.4;
之前,需要执行下面的命令来配置队列:
ccdconfig -C
要自动挂接 &man.ccd.4;,需要为 &man.ccd.4; 在
/etc/fstab 中配置一个记录,以便在启动时它能被挂上。
如下所示:
/dev/ccd0c /media ufs rw 2 2
Vinum 卷管理
RAIDsoftware
RAID
Vinum
Vinum 卷管理是一个实现虚拟磁盘的块驱动设备工具。它使磁盘从
块设备的接口和数据映射中独立出来。与传统的存储设备相比,增加了
灵活性、性能和可靠性。 &man.vinum.8; 实现了 RAID-0、RAID-1 和
RAID-5 三种模式,它们既可以独立使用,也可组合使用。
参考 得到更多 &man.vinum.8;
的信息。
硬件 RAID
RAID
hardware
FreeBSD 支持很多硬件 RAID 控制器。
这些硬件不需要 FreeBSD 指定软件来管理 RAID 系统。
使用 BIOS 支持的硬件,一般情况下这些硬件可以自行操作。
下面是一个简明的描述设置一个 Promise IDE RAID 控制器。
当硬件设备装好且系统重启后,屏幕上显示一个询问信息。接着进入硬件设置屏幕。在这里,
您可以把所有的磁盘联合在一起使用。这样 FreeBSD 将磁盘看作一个驱动器。其它
级别的 RAID 也可以相应的进行设置。
重建 ATA RAID1 阵列
FreeBSD 允许您热插拔阵列中损坏的磁盘。
在您重新启动系统之前请注意这一点。
您可能会在 /var/log/messages 或者在 &man.dmesg.8;
的输出中看到类似下面这些的内容:
ad6 on monster1 suffered a hard error.
ad6: READ command timeout tag=0 serv=0 - resetting
ad6: trying fallback to PIO mode
ata3: resetting devices .. done
ad6: hard error reading fsbn 1116119 of 0-7 (ad6 bn 1116119; cn 1107 tn 4 sn 11)\\
status=59 error=40
ar0: WARNING - mirror lost
使用 &man.atacontrol.8;,查看更多的信息:
&prompt.root; atacontrol list
ATA channel 0:
Master: no device present
Slave: acd0 <HL-DT-ST CD-ROM GCR-8520B/1.00> ATA/ATAPI rev 0
ATA channel 1:
Master: no device present
Slave: no device present
ATA channel 2:
Master: ad4 <MAXTOR 6L080J4/A93.0500> ATA/ATAPI rev 5
Slave: no device present
ATA channel 3:
Master: ad6 <MAXTOR 6L080J4/A93.0500> ATA/ATAPI rev 5
Slave: no device present
&prompt.root; atacontrol status ar0
ar0: ATA RAID1 subdisks: ad4 ad6 status: DEGRADED
首先您应将包含故障盘的 ata 通道卸下,
以便安全地将其拆除:
&prompt.root; atacontrol detach ata3
换上磁盘
重新挂接 ata 通道:
&prompt.root; atacontrol attach ata3
Master: ad6 <MAXTOR 6L080J4/A93.0500> ATA/ATAPI rev 5
Slave: no device present
将新盘作为热备盘加入阵列:
&prompt.root; atacontrol addspare ar0 ad6
重建阵列:
&prompt.root; atacontrol rebuild ar0
可以通过下面的命令来查看进度:
&prompt.root; dmesg | tail -10
[output removed]
ad6: removed from configuration
ad6: deleted from ar0 disk1
ad6: inserted into ar0 disk1 as spare
&prompt.root; atacontrol status ar0
ar0: ATA RAID1 subdisks: ad4 ad6 status: REBUILDING 0% completed
等待操作完成。
Marc
Fonvieille
Contributed by
USB 存储设备
USB
disks
到目前为止,有许多外部外部存储解决方案,
例如:通用串行总线 (USB):硬盘、USB thumbdrives、CD-R burners
等等。 &os; 为这些设备提供了支持。
配置
USB 大容量存储设备驱动,在 &man.umass.4;,
中提供了对 USB 存储设备的支持。如果您使用
GENERIC 内核,您不必要改变配置文件里的任何内容。
如果您使用了定制的内核,就要确定下面的行出现在您的内核配置文件里:
device scbus
device da
device pass
device uhci
device ohci
device usb
device umass
&man.umass.4; 驱动程序使用 SCSI 子系统来访问 USB 存储设备,
您的 USB 设备将被系统看成为一个 SCSI 设备。依靠您主板上的 USB 芯片,
您只须选择 device
uhci 或 device ohci 二者之一即可,
但是两者都加入内核配置文件当中也没有坏外。
不要忘了如果您加入了上面的几行要重新编译和安装内核。
如果您的 USB 设备是一个 CD-R 或 DVD 刻录机, SCSI CD-ROM
驱动程序, &man.cd.4;, 就必须加入内核中通过下面这行:
device cd
由于刻录机被视为 SCSI 设备, 因此, 不应该在内核配置文件中使用
&man.atapicam.4; 驱动程序。
在 &os; 中已经提供了对 USB 2.0 控制器的内建支持;
然而, 您必须在编译内核时在配置中加入:
device ehci
注意, 如果需要 USB 1.X 的支持, 您仍需要使用
&man.uhci.4; 和 &man.ohci.4; 驱动程序。
测试配置
配置好后准备进行测试:插入您的 USB 设备,
在系统信息中 (&man.dmesg.8;), 应该会出现像下面的设备:
umass0: USB Solid state disk, rev 1.10/1.00, addr 2
GEOM: create disk da0 dp=0xc2d74850
da0 at umass-sim0 bus 0 target 0 lun 0
da0: <Generic Traveling Disk 1.11> Removable Direct Access SCSI-2 device
da0: 1.000MB/s transfers
da0: 126MB (258048 512 byte sectors: 64H 32S/T 126C)
当然啦,商标,设备标识
(da0) 和其它的细节信息会根据您的配置不同
而有所不同。
因为 USB 设备被看作 SCSI 设备中的一个,
camcontrol 命令也能够用来列出
USB 存储设备和系统的关联:
&prompt.root; camcontrol devlist
<Generic Traveling Disk 1.11> at scbus0 target 0 lun 0 (da0,pass0)
如果设备上已经包含了文件系统, 现在应该就可以挂接它了。 如果需要,
请参阅 来了解如何在 USB驱动器上格式化和创建分区。
如果希望设备能够被普通用户挂接,
还需要做一些其它操作。 首先, 在 USB 存储设备连接到计算机上时,
系统自动生成的设备文件, 必须是该用户能够读写的。
一种做法是让所有属于 operator 组的用户都可以访问该设备。
要完成这项工作, 首先需要用 &man.pw.8; 来给用户指定组。 其次,
在生成设备文件时, operator 组应能读写它们。 这可以通过在
/etc/devfs.rules 中增加一些相应的设置来实现:
[localrules=1]
add path 'da*' mode 0660 group operator
如果系统中已经有其它 SCSI 磁盘, 则上述操作必须做一些变化。
例如, 如果系统中已经存在了设备名为 da0 到
da2 的磁盘, 则第二行应改为:
add path 'da[3-9]*' mode 0660 group operator
这会将系统中已经存在的磁盘, 排除在属于 operator
组的设备之外。
另外, 您还需要在 /etc/rc.conf 文件中,
启用 &man.devfs.rules.5; 规则集:
devfs_system_ruleset="localrules"
接下来, 需要配置内核, 令普通用户能够挂接文件系统。
最简单的方法是将下面的配置加入到
/etc/sysctl.conf:
vfs.usermount=1
注意, 这个设置只有在下次重启系统时才会生效。
另外, 您也可以使用 &man.sysctl.8; 来设置这个变量。
最后一步是创建将要挂接文件系统的目录。
这个目录必须是属于将要挂接文件系统的用户的。
以 root 身份为用户建立属于该用户的
/mnt/$USER
(此处 $USER 应替换成用户的登录名):
&prompt.root; mkdir /mnt/$USER
&prompt.root; chown $USER:$USER /mnt/$USER
假设已经插入了一个 USB 读卡设备, 并且系统将其识别为
/dev/da0s1, 由于这些设备通常是 FAT
文件系统, 用户可以这样挂接它们:
&prompt.user; mount -t msdosfs -m 644 -M 755 /dev/da0s1 /mnt/$USER
如果拔出设备 (必须首先将其对应的磁盘卷卸下),
则您会在系统消息缓冲区中看到类似下面的信息:
umass0: at uhub0 port 1 (addr 2) disconnected
(da0:umass-sim0:0:0:0): lost device
(da0:umass-sim0:0:0:0): removing device entry
GEOM: destroy disk da0 dp=0xc2d74850
umass0: detached
深入阅读
除了 Adding
Disks 和 Mounting and
Unmounting File Systems 章之外,阅读
&man.umass.4;, &man.camcontrol.8;, 和 &man.usbdevs.8;
也是很有益的。
Mike
Meyer
Contributed by
创建和使用光学介质(CD)
CDROMs
creating
介绍
CD 与普通的磁盘相比有很多不同的特性。最初它们是不能被用户写入的。
由于没有磁头和磁道移动时的延迟,所以它们可以连续的进行读取。
方便的在两个系统之间进行数据的传输,比起相同大小的存储介质来说。
CD 有磁道,这关系到数据读取时的连续性而不是物理磁盘的性能。
要在 FreeBSD 中制作一个 CD,您要准备好要写到 CD 上的数据文件,
然后根据每个 tracks 写入到 CD。
ISO 9660
文件系统
ISO 9660
ISO 9660 文件系统被设计用来处理这些差异。
但令人遗憾的是, 它也有一些其他文件系统所没有的限制, 不过幸运的是,
它提供了一项扩展机制, 使得正确写入的 CD 能够超越这些限制,
而又能在不支持这些扩展的系统上正常使用。
sysutils/cdrtools
sysutils/
port 包括了 &man.mkisofs.8;, 这是一个可以用来生成包含 ISO 9660 文件系统的数据文件的程序。
他也提供了对于一些扩展的支持选项,下面将详细介绍。
CD burner (刻录机)
ATAPI
使用哪个工具来刻录 CD 取决于您的 CD 刻录机是 ATAPI 的,
还是其他类型的。 对于 ATAPI CD 刻录机, 可以使用基本系统附带的 burncd 程序。 SCSI 和 USB CD
刻录机, 则需要配合
cdrecord 程序使用,
它可以通过 sysutils/cdrtools port
安装。 除此之外, 在 ATAPI 接口的刻录机上, 也可以配合 ATAPI/CAM 模块 来使用 cdrecord 以及其它为 SCSI
刻录机撰写的工具。
如果您想使用带图形界面的 CD 刻录软件,
可以考虑一下
X-CD-Roast 或
K3b。 这些工具可以通过使用预编译安装包,
或通过 sysutils/xcdroast 和 sysutils/k3b ports 来安装。
X-CD-Roast 和
K3b 需要 ATAPI/CAM 模块 配合 ATAPI
硬件。
mkisofs
&man.mkisofs.8; 程序作为
sysutils/cdrtools port 的一部分,
将生成 ISO 9660 文件系统,其中包含 &unix; 命名空间中的文件名。
最简单的用法是:
&prompt.root; mkisofs -o imagefile.iso /path/to/tree
文件系统
ISO 9660
这个命令将创建一个包含 ISO9660 文件系统的 imagefile.iso
文件,它是目录树 /path/to/tree 的一个副本。 在处理过程中,
它将文件名称映射为标准的 ISO9660 文件系统的文件名,将排除那些不典型的 ISO
文件系统的文件。
文件系统
HFS
文件系统
Joliet
有很多选项能够用来克服那些限制。特别的, 选项能够启用
Rock Ridge 扩展一般的 &unix; 系统, 选项能启用用于
Microsoft 系统的 Joliet 扩展, 选项能用来创建用于
&macos; 系统的 HFS 文件系统。
对于那些即将要在 FreeBSD 系统中使用 CD 的人来说,
选项能用来消除所有文件名的限制。当使用 选项时,它会产生一个
文件系统映像,它与您从那儿启动 FreeBSD 树是一样的,虽然它在许多方面也违反了
ISO 9660 的标准。
CDROMs
创建启动光盘
最后一个常用的选项是 。
它用来指定启动映像的位置, 用以生成
El Torito
启动 CD。 这个选项使用一个参数,
用以指定将写入 CD 的目录的根。 默认情况下, &man.mkisofs.8;
会以常说的 软盘模拟
方式来创建 ISO,
因此它希望引导映像文件的尺寸恰好是 1200, 1440 或
2880 KB。 某些引导加载器, 例如
FreeBSD 发行版磁盘, 并不使用模拟模式; 这种情况下,
需要使用 选项。 因此, 如果
/tmp/myboot 是一个包含了启动映像文件
/tmp/myboot/boot/cdboot 的可引导的
FreeBSD 系统, 您就可以使用下面的命令生成 ISO 9660 文件系统映像
/tmp/bootable.iso:
&prompt.root; mkisofs -R -no-emul-boot -b boot/cdboot -o /tmp/bootable.iso /tmp/myboot
完成这些工作之后, 如果您的内核中配置了 md,
就可以用下列命令来挂接文件系统了:
&prompt.root; mdconfig -a -t vnode -f /tmp/bootable.iso -u 0
&prompt.root; mount -t cd9660 /dev/md0 /mnt
可以发现 /mnt 和 /tmp/myboot
是一样的。
还可以使用 &man.mkisofs.8;
的其它选项来调整它的行为。特别是修改 ISO 9660 的划分格式,创建 Joliet
和 HFS 格式的磁盘。查看 &man.mkisofs.8; 联机手册得到更多的帮助。
burncd
CDROMs
burning
如果用的是 ATAPI 的 CD 刻录机,可以使用 burncd
命令来刻录您的 CD ISO 映像文件。 burncd 命令是基本
系统的一部分,中以使用 /usr/sbin/burncd 来安装。
用法如下:
&prompt.root; burncd -f cddevice data imagefile.iso fixate
在 cddevice 上刻录一份
imagefile.iso 的副本。
默认的设备是
/dev/acd0。
请参考 &man.burncd.8; 以了解设置写入速度的参数,如何在刻录完成之后自动弹出CD,以及刻录音频数据。
cdrecord
如果没有一个 ATAPI CD 刻录机,必须使用 cdrecord
来刻录您的 CD 。 cdrecord 不是基本系统的一部分;必须
从 sysutils/cdrtools 或适当的
package 安装它。基本系统的变化可能会引起这个程序的错误。可能是由
coaster
引起的。当升级系统时,同时需要升级 port,
或者如果您 使用 -STABLE,
那么在升级到新版本时也要升级 port。
cdrecord 有许多选项,基本用法与 burncd
相似。刻录一个 ISO 9660 映像文件只需这样做:
&prompt.root; cdrecord dev=device imagefile.iso
使用 cdrecord 的比较巧妙的方法是找到使用的
。要找到正确的设置,可以使用 cdrecord
的 标记,这会产生这样的结果:
CDROMs
burning
&prompt.root; cdrecord -scanbus
Cdrecord-Clone 2.01 (i386-unknown-freebsd7.0) Copyright (C) 1995-2004 Jörg Schilling
Using libscg version 'schily-0.1'
scsibus0:
0,0,0 0) 'SEAGATE ' 'ST39236LW ' '0004' Disk
0,1,0 1) 'SEAGATE ' 'ST39173W ' '5958' Disk
0,2,0 2) *
0,3,0 3) 'iomega ' 'jaz 1GB ' 'J.86' Removable Disk
0,4,0 4) 'NEC ' 'CD-ROM DRIVE:466' '1.26' Removable CD-ROM
0,5,0 5) *
0,6,0 6) *
0,7,0 7) *
scsibus1:
1,0,0 100) *
1,1,0 101) *
1,2,0 102) *
1,3,0 103) *
1,4,0 104) *
1,5,0 105) 'YAMAHA ' 'CRW4260 ' '1.0q' Removable CD-ROM
1,6,0 106) 'ARTEC ' 'AM12S ' '1.06' Scanner
1,7,0 107) *
这个列表列出了设备的的适当的 值。找到您的
CD burner ,使用三个用逗号分隔的数值来表示 .在
这个例子中,CRW 是 ,所以正确的输入应是
dev=1,5,0 。有一个很容易的方法可以指定这个值;看看 &man.cdrecord.1;
的介绍了解有关音轨,控制速度和其他的东西。
复制音频 CD
您可以这样复制 CD,把 CD 上面的音频数据解压缩出一系列的文件,
再把这些文件写到一张空白 CD 上。
这个过程对于 ATAPI 和 SCSI 驱动器来说有些微的不同。
SCSI 驱动器
使用 cdda2wav 来解压缩音频。
&prompt.user; cdda2wav -v255 -D2,0 -B -Owav
使用 cdrecord 来写
.wav 文件。
&prompt.user; cdrecord -v dev=2,0 -dao -useinfo *.wav
确保 2,0 被适当地设置了,
具体方法在 中有所描述。
ATAPI 驱动器
ATAPI CD 驱动用
/dev/acddtnn表示每个轨道,
这里 d 是驱动器号,
nn 是轨道号,由两位小数位组成,省略前缀零。
所以第一个盘片上的第一个轨道就是
/dev/acd0t01,第二个就是
/dev/acd0t02,第三个就是
/dev/acd0t03,等等。
请务必确认在
/dev 中出现了对应的文件。
如果您发现有某些项目缺失, 则应强制系统重新识别介质:
&prompt.root; dd if=/dev/acd0 of=/dev/null count=1
使用 &man.dd.1; 解压缩每个轨道。当解压缩文件的时候您也必须使用
一个特殊的块大小。
&prompt.root; dd if=/dev/acd0t01 of=track1.cdr bs=2352
&prompt.root; dd if=/dev/acd0t02 of=track2.cdr bs=2352
...
使用
burncd 把解压缩的文件刻录到光盘上。您必须指定
这些文件是音频文件,这样 burncd 会在刻录完成时
结束光盘。
&prompt.root; burncd -f /dev/acd0 audio track1.cdr track2.cdr ... fixate
复制数据 CD
您可以把数据 CD 复制成一个与之等价的映像文件,
可以使用 &man.mkisofs.8; 创建这种文件,
或使用它来复制任何数据 CD。 这里给出的例子假定您的 CDROM
设备是 acd0, 您应将其替换为您实际使用的 CDROM 设备。
&prompt.root; dd if=/dev/acd0 of=file.iso bs=2048
现在您有一个映像文件了,您可以像上面描述的那样把它刻录成 CD。
使用数据 CD
现在您已经创建了一张标准的数据 CDROM,您或许想要
挂载来读取上面的设备。
默认情况下,&man.mount.8; 假定文件系统是
ufs 类型的。如果您尝试下面的命令:
&prompt.root; mount /dev/cd0 /mnt
您会得到一条 Incorrect super
block 的错误信息,没有挂载成功。CDROM 不是
UFS 文件系统,所以试图这样挂载它是
是不行的。您需要告诉 &man.mount.8;
文件系统是 ISO9660 类型的,这样
就可以了。只需要指定 &man.mount.8; 的
选项。例如,
如果您想要挂载 CDROM 设备,
/dev/cd0 到
/mnt 目录,您需要执行:
&prompt.root; mount -t cd9660 /dev/cd0 /mnt
注意您的设备名
(在这个例子中是 /dev/cd0)可能
有所不同,取决于您的 CDROM 使用的接口。另外,
选项等同于执行
&man.mount.cd9660.8;。上面的例子可以缩短
为:
&prompt.root; mount_cd9660 /dev/cd0 /mnt
用这种方法您基本可以使用任何买到的数据 CDROM。
然而某些有 ISO 9660 扩展的光盘可能会行为古怪。
例如,joliet 光盘用两个字节的 unicode 字符存储所有的文件名。
FreeBSD 内核并不使用 Unicode, 但 &os; CD9660 驱动可以将
Unicode 字符自动转换为内核可以识别的形式。 如果您发现有些非英文字符显示为问号,
就绪要使用 选项来指定字符集了。
欲了解进一步的详情, 请参见联机手册 &man.mount.cd9660.8;。
如果希望通过 选项来进行字符集转换,
则内核会需要加载 cd9660_iconv.ko 模块。 这项工作可以通过在
loader.conf 中加入下列配置:
cd9660_iconv_load="YES"
并重新启动计算机来完成, 除此之外, 也可以通过 &man.kldload.8; 来手动加载。
有时候,当您试图挂载 CDROM 的时候,会得到一条 Device not
configured 的错误信息。这通常
表明 CDROM 驱动认为托盘里没有光盘,
或者驱动器在总线上不可见。
需要几秒钟时间等待 CDROM 驱动器辨别已经接到反馈的信息,
请耐心等待。
有时候,SCSI CDROM 可能会找不到,因为没有足够的
时间来应答总线的 reset 信号。如果您有一个 SCSI
CDROM 请将下面的选项添加到您的内核
配置文件并重建您的内核。
options SCSI_DELAY=15000
这个告诉您的 SCSI 总线启动时暂停 15 秒钟,
给您的 CDROM 驱动器足够的机会来应答
总线 reset 信号。
刻录原始数据 CD
您可以选择把一个文件目录刻录到 CD 上而不用
创建 ISO 9660 文件系统。有些人这么做是为了备份的
目的。这个运行的比刻录一个标准 CD 速度要快得多:
&prompt.root; burncd -f /dev/acd1 -s 12 data archive.tar.gz fixate
要重新找回这样刻录到 CD 上的数据,
您必须从原始设备节点读取数据:
&prompt.root; tar xzvf /dev/acd1
您不能像挂载一个通常的 CDROM 一样挂载这张光盘。
这样的 CDROM 也不能在除了 FreeBSD 之外的任何操作系统上读出。
如果您想要可以挂载 CD,或者
和另一种操作系统共享数据,您必须像上面描述的那样使用
&man.mkisofs.8;。
Marc
Fonvieille
Contributed by
CD burner
ATAPI/CAM driver
使用 ATAPI/CAM 驱动
这个驱动允许 ATAPI 设备(CD-ROM, CD-RW, DVD
驱动器等...)通过 SCSI 子系统访问,
这样允许使用像 sysutils/cdrdao 或者
&man.cdrecord.1; 这样的程序。
要使用这个驱动, 您需要把下面这行添加到 /boot/loader.conf
文件中:
atapicam_load="YES"
接下来, 重新启动计算机。
如果您希望将 &man.atapicam.4; 以静态联编的形式加入内核,
则需要在内核配置文件中加入这行:
device atapicam
此外还需要在内核配置文件中加入:
device ata
device scbus
device cd
device pass
这些应该已经有了。 然后, 重新联编并安装新内核,
并重新启动计算机。
在引导过程中, 您的刻录机将会出现在内核的提示信息中,
就像这样:
acd0: CD-RW <MATSHITA CD-RW/DVD-ROM UJDA740> at ata1-master PIO4
cd0 at ata1 bus 0 target 0 lun 0
cd0: <MATSHITA CDRW/DVD UJDA740 1.00> Removable CD-ROM SCSI-0 device
cd0: 16.000MB/s transfers
cd0: Attempt to query device size failed: NOT READY, Medium not present - tray closed
驱动器现在可以通过
/dev/cd0 设备名访问了,例如要
挂载 CD-ROM 到 /mnt,只需要键入下面的
命令:
&prompt.root; mount -t cd9660 /dev/cd0 /mnt
作为 root,您可以运行下面的
命令来得到刻录机的 SCSI 地址:
&prompt.root; camcontrol devlist
<MATSHITA CDRW/DVD UJDA740 1.00> at scbus1 target 0 lun 0 (pass0,cd0)
这样 1,0,0 就是 SCSI 地址了,可以被
&man.cdrecord.1; 和其他的 SCSI 程序使用。
有关 ATAPI/CAM 和 SCSI 系统的更多信息,
可以参阅 &man.atapicam.4; 和 &man.cam.4; 手册
页。
Marc
Fonvieille
Contributed by
Andy
Polyakov
With inputs from
创建和使用光学介质(DVD)
DVD
burning
介绍
和 CD 相比,DVD 是下一代光学存储介质技术。
DVD 可以容纳比任何 CD 更多的数据,已经成为现今视频出版业的标准。
我们称作可记录 DVD 的有五种物理记录格式:
DVD-R:这是第一种可用的 DVD 可记录格式。
DVD-R 标准由 DVD Forum 定义。
这种格式是一次可写的。
DVD-RW:这是 DVD-R 标准的可覆写版本。
一张 DVD-RW 可以被覆写大约 1000
次。
DVD-RAM:这也是一种被 DVD Forum 所支持的可覆写格式。
DVD-RAM 可以被看作一种可移动硬盘。
然而,这种介质和大部分
DVD-ROM 驱动器以及 DVD-Video 播放器不兼容;
只有少数 DVD 刻录机支持 DVD-RAM。
请参阅
以了解关于如何使用 DVD-RAM 的进一步详情。
DVD+RW:这是一种由
DVD+RW
Alliance 定义的可覆写格式。一张 DVD+RW 可以被覆写大约 1000
次。
DVD+R:这种格式是 DVD+RW 格式的一次可写变种。
一张单层的可记录 DVD 可以存储
4,700,000,000 字节,相当于 4.38 GB 或者说
4485 MB (1 千字节等于 1024 字节)。
必须说明一下物理介质与应用程序的分歧。
例如 DVD-Video 是一种特殊的文件系统,
可以被覆写到任何可记录的 DVD 物理介质上:
DVD-R、DVD+R、DVD-RW 等等。在选择介质类型之前,
您一定要确认刻录机和
DVD-Video 播放器 (一种单独的播放器或者计算机上的 DVD-ROM 驱动器)
是和这种介质兼容的。
配置
&man.growisofs.1; 将被用来实施 DVD
刻录。 这个命令是
dvd+rw-tools 工具集 (sysutils/dvd+rw-tools) 的一部分。
dvd+rw-tools 支持所有的 DVD 介质类型。
这些工具将使用 SCSI 子系统来访问设备,因此
ATAPI/CAM 支持 必须加入内核。
如果您的刻录机采用 USB 接口则不需要这么做,请参考
来了解 USB
设备配置的进一步详情。
此外,还需要启用 ATAPI 设备的 DMA 支持。 这一工作可以通过在
/boot/loader.conf 文件中加入下面的行来完成:
hw.ata.atapi_dma="1"
试图使用
dvd+rw-tools 之前您应该参考
dvd+rw-tools
硬件兼容性列表 是否有与您的 DVD 刻录机有关的信息。
如果您想要一个图形化的用户界面,您应该看一看
K3b (sysutils/k3b),它提供了
&man.growisofs.1; 的一个友好界面和许多其他刻录工具。
刻录数据 DVD
&man.growisofs.1; 命令是 mkisofs 的前端,它会调用
&man.mkisofs.8; 来创建文件系统布局,完成到 DVD 上的刻录。
这意味着您不需要在刻录之前创建数据映像。
要把 /path/to/data 目录的数据刻录到 DVD+R
或者 DVD-R 上面,使用下面的命令:
&prompt.root; growisofs -dvd-compat -Z /dev/cd0 -J -R /path/to/data
选项传递给
&man.mkisofs.8; 用于文件系统创建 (这表示创建带有带有
joliet 和 Rock Ridge 扩展的 ISO 9660 文件系统),
参考 &man.mkisofs.8; 联机手册了解更多细节。
选项 用来在任何情况下初始刻录会话:
不管多会话与否。
DVD 设备,/dev/cd0,
必须依照您的配置做出改变。
参数会结束光盘,
光盘成为不可附加的。这会提供更多的和
DVD-ROM 驱动器的介质兼容性。
也可以刻录成一个 pre-mastered 映像,
例如记录一个映像文件
imagefile.iso, 我们可以运行:
&prompt.root; growisofs -dvd-compat -Z /dev/cd0=imagefile.iso
刻录的速度可以被检测到并自动进行调整,
根据介质和驱动器的使用情况。如果您想强制改变速度,
可以使用
参数。更多的信息,请看 &man.growisofs.1;
联机手册。
DVD
DVD-Video
刻录 DVD-Video
DVD-Video 是一种特殊的基于 ISO 9660
和 micro-UDF (M-UDF) 规范的文件系统。 DVD-Video
也呈现了一个特殊的数据格式,
这就是为什么您需要一个特殊的程序像 multimedia/dvdauthor 来制作
DVD 的原因。
如果您已经有了 DVD-Video 文件系统的映像,
就可以以同样的方式制作另一个映像,可以参看前面章节的例子。
如果您想制作 DVD 并想放在特定的目录中,如在目录
/path/to/video 中,
可以使用下面的命令来刻录 DVD-Video:
&prompt.root; growisofs -Z /dev/cd0 -dvd-video /path/to/video
选项将传递给
&man.mkisofs.8; 并指示它创建一个 DVD-Video 文件系统布局。
除此之外。 选项也包含了
&man.growisofs.1;
选项。
DVD
DVD+RW
使用 DVD+RW
不像 CD-RW, 一个空白的 DVD+RW 在每一次使用前必须先格式化。
&man.growisofs.1; 程序将会适时的自动对其进行适当的处理,
这是 recommended 的方式。您也可以使用
dvd+rw-format 来对 DVD+RW 进行格式化:
&prompt.root; dvd+rw-format /dev/cd0
您只需要执行这样的操作一次,牢记只有空白的
DVD+RW 介质才需要格式化。您可以以前面章节同样的方式来刻录
DVD+RW。
如果您想刻录新的数据 (刻录一个新的完整的文件系统
而不仅仅是追加一些数据) 到 DVD+RW,您不必再将其格式化成空白盘,
您只须要直接覆盖掉以前的记录即可。
(执行一个新的初始化对话), 像这样:
&prompt.root; growisofs -Z /dev/cd0 -J -R /path/to/newdata
DVD+RW 格式化程序为简单的向以前的记录追加数据提供了可能性。
这个操作有一个新的会话和一个已经存在的会话合并而成。
它不需要多个写会话过程,
&man.growisofs.1; 将在介质上 增加
ISO 9660 文件系统。
例如,我们想追加一些数据到到我们以前的
DVD+RW 上,我们可以使用下面的命令:
&prompt.root; growisofs -M /dev/cd0 -J -R /path/to/nextdata
在以后的写操作时, 应使用与最初的刻录会话时相同的 &man.mkisofs.8;
选项。
如果您想获得与 DVD-ROM 驱动更好的兼容性,可以使用
选项。 在 DVD+RW 这种情况下, 这样做并不妨碍您添加数据。
如果出于某种原因您真的想要空白介质盘,
可以执行下面的命令:
&prompt.root; growisofs -Z /dev/cd0=/dev/zero
DVD
DVD-RW
使用 DVD-RW
DVD-RW 接受两种光盘格式:增补顺序写入和受限式覆写。默认的
DVD-RW 盘是顺序写入格式。
空白的 DVD-RW 能够直接进行刻录而不需要格式化操作,
然而非空的顺序写入格式的 DVD-RW 需要格式化才能写入新的初始区段。
要格式化一张 DVD-RW 为顺序写入模式,运行:
&prompt.root; dvd+rw-format -blank=full /dev/cd0
一次完全的格式化 ()
在 1x 倍速的介质上将会花费大约 1 个小时。快速格式化可以使用
选项来进行,如果
DVD-RW 要以 Disk-At-Once (DAO) 模式刻录的话。要以
DAO 模式刻录 DVD-RW,使用命令:
&prompt.root; growisofs -use-the-force-luke=dao -Z /dev/cd0=imagefile.iso
选项不是必需的,
因为 &man.growisofs.1; 试图最低限度的检测 (快速格式化) 介质并进行
DAO 写入。
事实上对于任何 DVD-RW 都应该使用受限式覆写模式,
这种格式比默认的增补顺序写入更加灵活。
在一张顺序 DVD-RW 上写入数据,使用和其他 DVD 格式相同的指令:
&prompt.root; growisofs -Z /dev/cd0 -J -R /path/to/data
如果您想在您以前的刻录上附加数据,您必须使用
&man.growisofs.1; 的 选项。然而,
如果您在一张增补顺序写入模式的 DVD-RW 上附加数据,
将会在盘上创建一个新的区段,结果就是一张多区段光盘。
受限式覆写格式的 DVD-RW 在新的初始化区段前不需要格式化,
您只是要用 选项覆写光盘,这和
DVD+RW 的情形是相似的。也可以用和 DVD+RW 同样方式的
选项把现存的 ISO 9660 文件系统写入光盘。
结果会是一张单区段 DVD。
要把 DVD-RW 置于受限式覆写格式,
必须使用下面的命令:
&prompt.root; dvd+rw-format /dev/cd0
更改回顺序写入模式使用:
&prompt.root; dvd+rw-format -blank=full /dev/cd0
多区段
几乎没有哪个 DVD-ROM 驱动器支持多区段
DVD,它们大多数时候都只读取第一个区段。
顺序写入格式的 DVD+R、DVD-R 和 DVD-RW 可以支持多区段,
DVD+RW 和 DVD-RW 受限式覆写格式不存在多区段的概念。
在 DVD+R、DVD-R 或者 DVD-RW 的顺序写入格式下,
一次初始化 (未关闭) 区段之后使用下面的命令,
将会在光盘上添加一个新的区段:
&prompt.root; growisofs -M /dev/cd0 -J -R /path/to/nextdata
对 DVD+RW 或者 DVD-RW 在受限式覆写模式下使用这条命令,
会合并新区段到存在的区段中来附加数据。
结果就是一张单区段光盘。
这是在这些介质上用于在最初的写操作之后添加数据的方式。
介质上的一些空间用于区段之间区段的开始与结束。
因此,应该用大量的数据添加区段来优化介质空间。
对于 DVD+R 来说区段的数量限制为 154,
对于 DVD-R 来说大约是 2000,对于双层 DVD+R 来说是 127。
更多的信息
要获得更多的关于 DVD 的信息
dvd+rw-mediainfo
/dev/cd0 命令可以运行来获得
更多的信息。
更多的关于
dvd+rw-tools 的信息可以在
&man.growisofs.1; 联机手册找到,在 dvd+rw-tools
web site 和 cdwrite mailing
list 联接中也可找到。
dvd+rw-mediainfo 命令的输出结果记录,
以及介质的问题会被用来做问题报告。 如果没有这些输出,
就很难帮您解决问题。
使用 DVD-RAM
DVD
DVD-RAM
配置
DVD-RAM 刻录机通常使用 SCSI 或 ATAPI
两种接口之一。 对于 ATAPI 设备, DMA 传输模式必须手工启用。
这一工作可以通过在
/boot/loader.conf 文件中增加下述配置来完成:
hw.ata.atapi_dma="1"
初始化介质
如本章前面的介绍所言,
DVD-RAM 可以视为一移动硬盘。 与任何其它型号的移动硬盘类似,
首次使用它之前, 应首先 初始化
DVD-RAM。
在下面的例子中, 我们将在全部空间上使用标准的 UFS2 文件系统:
&prompt.root; dd if=/dev/zero of=/dev/acd0 count=2
&prompt.root; bsdlabel -Bw acd0
&prompt.root; newfs /dev/acd0
您应根据实际情况将 acd0 改为您所使用的设备名。
使用介质
一旦您在 DVD-RAM 上完成了前面的操作,
就可以像普通的硬盘一样挂接它了:
&prompt.root; mount /dev/acd0 /mnt
然后就可以正常地对 DVD-RAM 进行读写了。
Julio
Merino
原作
Martin
Karlsson
重写
创建和使用软盘
把数据存储在软盘上有时也是十分有用的。
例如, 在没有其它可靠的存储介质,
或只需将少量数据传到其他计算机时。
这一章将介绍怎样在 FreeBSD 上使用软盘。
在使用 DOS 3.5 英寸软盘时首要要涉及的就是格式化,
但其概念与其它的软盘格式化极为类似。
格式化软盘
设备
软盘的访问像其它设备一样是通过在
/dev 中的条目来实现的。
直接访问软盘时, 只需简单地使用
/dev/fdN 来表示。
格式化
一张软盘在使用这前必须先被低级格式化。
通常卖主已经做过了,但格式化是检测介质完整性的一种好方法。
尽管这有可能会强取大量(或少量)的硬盘大小,但
大部分磁盘都能被格式化设计为 1440kB 。
低级格式化软盘你需要使用
&man.fdformat.1; 命令。这个程序需要设备名作为参数。
要留意一切错误信息,这些信息能够帮助你确定
磁盘的好与坏。
软盘的格式化
使用
/dev/fdN
设备来格式化软盘。插入一张新的 3.5 英寸的软盘在你的设备中:
&prompt.root; /usr/sbin/fdformat -f 1440 /dev/fd0
磁盘标签
经过低级格式化后, 你需要给它分配一个标签。
这个磁盘标签以后会被删去, 但系统需要使用它来确定磁盘的尺寸。
新的磁盘标签将会接管整个磁盘,会包括所有合适的关于软盘的 geometry 信息。
磁盘标签的 geometry 值列在
/etc/disktab中。
现在可以用下面的方法来使用 &man.bsdlabel.8; 了:
&prompt.root; /sbin/bsdlabel -B -w /dev/fd0 fd1440
文件系统
现在对软盘进行高级格式化。
这会在它上面安置一个新的文件系统,可使 FreeBSD 来对它进行读写。
在创建完新的文件系统后,磁盘标签将被消毁,所以如果你想重新格式化磁盘,
你必须重新创建磁盘标签。
软盘的文件系统可以选择 UFS 或 FAT 。
FAT 是通常情况下软盘比较好的选择。
要制作新的文件系统在软盘上,可以使用下面的命令:
&prompt.root; /sbin/newfs_msdos /dev/fd0
现在磁盘已经可以进行读取和使用。
使用软盘
要使用软盘,需要先使用 &man.mount.msdosfs.8; 挂接它。
除此之外, 也可以使用在 ports 套件中的
emulators/mtools 程序。
用磁带机备份
tape media
主流的磁带机有 4mm, 8mm, QIC, mini-cartridge 和 DLT。
4mm (DDS: Digital Data Storage)
tape media
DDS (4mm) tapes
tape media
QIC tapes
4mm 磁带机正在逐步取代 QIC 成为工作站备份数据的首选设备。
在 Conner 收购了 QIC 磁带机领域领先的制造商 Archive 之后不久,
即不再生产这种磁带机, 这使得这一趋势变得愈加明显。
4mm 的驱动器更加小和安静,但对于数据保存的可靠性仍不及 8mm
驱动器。它要比 8mm 的便宜和小得多 (3 x 2 x 0.5 inches, 76 x 51
x 12 mm) 。和 8mm 的一样,读写关的寿命都不长,因为它们同样使用螺旋式
的方式来读写。
这些设备的数据传输的速度约在 ~150 kB/s 到 ~500 kB/s 之间,
存储空间从 1.3 GB 到 2.0 GB 之间,硬件压缩可使空间加倍。磁带库
单元可以有 6 台磁带机,120 个磁带匣,以自动切换的方式使用同一个磁带柜,
磁带库的容量可达 240 GB 。
DDS-3 标准现在支持的磁带机容量最高可达到 12 GB (或压缩的 24 GB )。
4mm 和 8mm 同样都使用螺旋式读写的方式,所有螺旋式读写的优点及缺点,
都可以在 4mm 和 8mm 磁带机上看到。
磁带在经过 2,000 次的使用或 100 次的全部备份后,就该退休了。
8mm (Exabyte)
tape media
Exabyte (8mm) tapes
8mm 磁带机是最常见的 SCSI 磁带机,也是磁带交换的最佳选择。几乎每个
工作站都有一台 2 GB 8mm 磁带机。8mm 磁带机可信度高、方便、安静。
卡匣小 (4.8 x 3.3 x 0.6 inches; 122 x 84 x 15 mm)而且不贵。8mm 磁带机
的下边是一个短短的读写头,而读写头的寿命取决于磁带经过读写头时,相对高
速运动情况。
数据传输速度约在 250 kB/s 到 500 kB/s 之间,可存储的空间从
300 MB 到 7 GB,硬件压缩可使空间加倍。磁带库单元可以有 6 台磁
带机,120 个磁带匣,以自动切换的方式使用同一个磁带柜,磁带库的容量可达
840+ GB。
Exabyte Mammoth
模型支持 12 GB 的容量在一个磁带
上(压缩后可达 24 GB )相当于普通磁带的二倍。
数据是使用螺旋式读写的方式记录在磁带上的,读写头和磁带约相差 6 度,
磁带以 270 度缠绕着轴,并抵住读写头,轴适时地旋转,使得磁带具有高密度,
从一端到另一端并可使磁道紧密地分布。
QIC
tape media
QIC-150
QIC-150 磁带和磁带机可能是最常见的磁带机和介质了。
QIC 磁带机是最便宜的 正规
备份设备。
它的缺点在于介质的价格较高。 QIC 磁带要比 8mm 或 4mm 磁带贵,
每 GB 的数据存储价格可能最高高出 5 倍。 但是,
如果您的需求能够为半打磁带所满足的话, 那么 QIC
可能是明智之选。 QIC 是
最 常见的磁带机。 每个站点都会有某种密度的 QIC。
这有时是一种麻烦, QIC 有很多在外观上相似(有时一样),但是密度不同的磁带。
QIC 磁带机噪音很大。
它们在寻址以及读写时都会发出声音。 QIC 磁带的规格是 6 x 4 x 0.7 英寸
(152 x 102 x 17 毫米)。
数据传输的速度介于 150 kB/s 到 500 kB/s 之间,可存储的空间
从 40 MB 到 15 GB。较新的 QIC 磁带机具有硬件压缩的功能。 QIC
的使用率愈来愈低,渐渐被 DAT 所取代。
数据以磁道的方式记录在磁带上,磁道数及磁道的宽度会根据容量而有所不同。
通常新的磁带机具有的向后兼容的读取功能(通常也具备写入的功能)。对于数据
的安全性,QIC 具有不错的评价。
磁带机在经过 5,000 次的使用后,就该退休了。
DLT
tape media
DLT
在这一章列出的磁带机中 DLT 具有最快的数据传输率。 1/2" (12.5mm) 的
磁带包含在单轴的磁带匣 (4 x 4 x 1 inches; 100 x 100 x 25 mm)中。磁带匣
的一边是一个旋转匣道,通过匣道的开合,可以让磁带卷动。磁带匣内只有一个
轴,而本章中所提到的其他磁带匣都是有两个轴的(9磁道磁带机例外)。
数据传输的速度约 1.5 MB/s,是 4mm, 8mm, 或 QIC 磁带机的三倍。
可存储的空间从 10 GB 到 20 GB,具有磁带机数据库。磁带机数据库
单元可以有 1 to 20 台磁带机,5 到 900 个磁带匣,磁带机数据库的容量可达
50 GB 到 9 TB 。
如果要压缩的话,DLT 型 IV 格式的磁带机最高可支持 70 GB 的存储
容量。
数据存储在平行于磁带运行方向的磁道上(就像 QIC 磁带),一次写入两个
磁道。读写头的寿命相当长,每当磁带停止前进,磁带与读写头之间没有相对运动。
AIT
tape media
AIT
AIT 是 Sony 开发的一种新格式,每个磁带最高可以存储 50 GB。磁带
机使用内存芯片来保存磁带上的索引内容。这个索引能够被磁带机驱动器快速阅读
来搜索磁带机上文件所处的位置,而不像其他的磁带机需要花几分钟的时间才能找
到文件。像 SAMS:Alexandria 这样的软件:能够操
作四十或者更多的 AIT 磁带库,直接使用内存芯片来进行通信把内容显示在屏幕上,
以决定把什么文件备份到哪个磁带上,加载和恢复数据。
像这样的库成本大概在 $20,000 美元左右,零售市场可能还要贵一点。
第一次使用新的磁带机
当在一块完全空白的磁带上尝试定入数据时,会得到类似下面这样的错误信息:
sa0(ncr1:4:0): NOT READY asc:4,1
sa0(ncr1:4:0): Logical unit is in process of becoming ready
信息指出这块磁带没有块编号 (block 编号为 0)。在 QIC-525 之后的所有 QIC
磁带,都采用 QIC-525 标准,必须写入一个 Identifier Block 。对于这种问题,
有以下两种解决的办法:
用mt fsf 1 可以让磁带机对磁带写入 Identifier Block 。
使用面板上的按钮磁带。
再插入一次,并存储 dump 数据到磁带上。
这时dump 将传回 DUMP: End of tape
detected ,然后您会得到这样的错误信息: HARDWARE
FAILURE info:280 asc:80,96。
这时用 mt rewind 来倒转磁带。
磁带操作的后续操作就完成了。
用软盘备份
能够使用软盘来备份数据吗
backup floppies
floppy disks
软磁盘通常是用来备份的设备中不太合适的设备:
这种设备不太可靠,特别是长期使用。
备份和恢复都很慢
它们只有非常有限的存储容量。
然而,如果没有其它的备份数据的方法,那软盘备份总比没有备份要好。
如果必须使用软盘的话,必须确保盘片的质量。软盘在办公室中使用已经有许多
年了。最好使用一些名牌厂商的产品以确保质量。
如何备份数据到软盘
最好的备份数据到软盘的方法是使用 &man.tar.1; 程序加上 选项,
它可以允许数据备份到多张软盘上。
要备份当前目录中所有的文件可以使用这个命令 (需要有 root权限):
&prompt.root; tar Mcvf /dev/fd0 *
当第一张盘满的时候, &man.tar.1; 会指示您插入下一张盘,插入第二张盘之后就按回车。
Prepare volume #2 for /dev/fd0 and hit return:
这个步骤可能需要重复很多次,直到这些文件备份完成为止。
可以压缩备份吗
tar
gzip
compression
不幸的是,&man.tar.1; 在为多卷文件作备份时是不允许使用
选项的。当然,可以用 &man.gzip.1; 压缩所有的文件,把它们打包到磁盘,以后在用
&man.gunzip.1; 解开。
如何恢复备份
要恢复所有文件:
&prompt.root; tar Mxvf /dev/fd0
有两种方法来恢复软盘中的个别文件。首先,就要用第一张软盘启动:
&prompt.root; tar Mxvf /dev/fd0 filename
&man.tar.1; 程序会提示您插入后面的软盘,直到它找到所需要的文件。
如果您知道哪个文件在哪个盘上,您就可以插入那张盘,然后使用上同同样的命令。
如果软盘上的第一个文件与前面的文件是连续的,那 &man.tar.1; 命令会警告您它无法
恢复,即使您不要求它这样做。
Lowell
Gilbert
原作
备份策略
设计备份计划的第一要务是确认以下问题皆已考虑到:
磁盘故障
文件的意外删除
随机的文件损毁
机器完全损毁 (例如火灾), 包括破坏全部在线备份。
针对上述的每个问题采用完全不同的技术来解决是完全可行的。
除了只包含少量几乎没有价值数据的个人系统之外,
一般来说很少有一种技术能够同时兼顾前面所有的需要。
可以采用的技术包括:
对整个系统的数据进行存档, 备份到永久性的离线介质上。
这种方法实际上能够提供针对前面所有问题的保护, 但这样做通常很慢,
而且恢复时会比较麻烦。 您可以将备份置于近线或在线的状态,
然而恢复文件仍然是一个难题, 特别是对没有特权的那些用户而言。
文件系统快照。 这种技术实际上只对无意中删除文件这一种情况有用,
但在这种情况下它会提供
非常大 的帮助,
而且访问迅速, 操作容易。
直接复制整个文件系统和/或磁盘 (例如周期性地对整个机器做 &man.rsync.1;)。
通常这对于在网络上的单一需求最为适用。 要为磁盘故障提供更为通用的保护,
通常这种方法要逊于 RAID。
对于恢复无意中删除的文件来说, 这种方法基本上与
UFS 快照属于同一层次, 使用哪一个取决于您的喜好。
RAID。 它能够最大限度地减少磁盘故障导致的停机时间。
其代价是需要处理更为频繁的磁盘故障 (因为磁盘的数量增加了),
尽管这类故障不再需要作为非常紧急的事项来处理。
检查文件的指纹。 &man.mtree.8; 工具对于这种操作非常有用。
尽管这并不是一种备份的技术, 但它能够确保您有机会注意到那些您需要求助于离线备份的事情。
这对于离线备份非常重要, 而且应有计划地加以检查。
很容易列举更多的技术, 它们中有许多实际上是前面所列出的方法的变种。
特别的需求通常会需要采用特别的技术 (例如, 备份在线运行的数据库,
往往需要数据库软件提供某种方法来完成中间步骤) 来满足。
最重要的事情是, 一定要了解需要将数据保护起来免受何种风险,
以及发生问题时应该如何处理。
备份程序
有三个主要的备份程序 &man.dump.8;、&man.tar.1; 和 &man.cpio.1;。
Dump 和 Restore
备份软件
dump / restore
dump
restore
dump 和 restore 是 &unix;
传统的备份程序。它以 block 而不是以文件为单位来备份数据、链接或目录。
dump 备份的是设备上的整个文件系统,不能只备份一
一个文件系统的部分或是用到两个以上文件系统的目录树。
dump 不会写文件和目录到磁带机,而是写入包含文件
和目录的原始数据块。
如果在您的 root 目录使用 dump ,将不需要
备份 /home、/usr 或其他目录,
因为这些是典型的其他文件系统或符号连接到那些文件系统的加载点。
dump 是最早出现于 AT&T UNIX 的 Version 6 (约 1975)。
默认的参数适用于 9-track 磁带(6250 bpi),所以如果要用高密度的磁带(最高可达
62,182 ftpi),就不能用默认的参数,而要另外指定参数。这些默认值必须在命令行被
修改以更好地利用当前磁带机的功能。
.rhosts
rdump 和 rrestore 可以通过网络在另一
台计算机的磁带机上备份数据。这两个程序都是依靠 &man.rcmd.3; 和
&man.ruserok.3; 来访问远程的磁带机。因此,运行备份的用户必须要有远程
主机的 .rhosts 访问权。rdump 和
rrestore 的参数必须适用于远程主机(例如,当您从 FreeBSD 连到
一台 SUN 工作站 knomodo 去使用磁带机时,使用:
&prompt.root; /sbin/rdump 0dsbfu 54000 13000 126 komodo:/dev/nsa8 /dev/da0a 2>&1
要注意的是:必须检查您在使用 .rhosts 时的安全情况。
也可以通过使用 ssh 用一个更安全的方式来使用 dump
和 restore 。
通过 <application>ssh</application> 使用 <command>dump</command>
&prompt.root; /sbin/dump -0uan -f - /usr | gzip -2 | ssh -c blowfish \
targetuser@targetmachine.example.com dd of=/mybigfiles/dump-usr-l0.gz
或使用 dump 的 built-in 方法,
设置环境变量 RSH:
通过设置 <application>ssh</application> 环境变量 <envar>RSH</envar> 使用 <command>dump</command>
&prompt.root; RSH=/usr/bin/ssh /sbin/dump -0uan -f targetuser@targetmachine.example.com:/dev/sa0 /usr
<command>tar</command>
备份软件
tar
&man.tar.1; 也同样是在第 6 版 AT&T UNIX
(大约是 1975 前后) 出现的。 tar 对文件系统直接操作;
其作用是把文件和目录写入磁带。 tar 并不支持
&man.cpio.1; 所提供的全部功能, 但也不需要 cpio
所需要使用的诡异的命令行管道。
tar
在 FreeBSD 5.3 和更高版本中, 同时提供了 GNU tar
和默认的 bsdtar。
GNU 的版本可以通过 gtar 来使用。 它通过与
rdump 一样的语法来支持远程设备。
要 tar 到连接在名为
komodo 的 Sun 机器上的
Exabyte 磁带机, 可以使用:
&prompt.root; /usr/bin/gtar cf komodo:/dev/nsa8 . 2>&1
您也可以让
bsdtar 通过管道和
rsh 将数据发送到远程的磁带机上。
&prompt.root; tar cf - . | rsh hostname dd of=tape-device obs=20b
如果您担心通过网络备份会有安全问题,应当使用 ssh ,
而不是 rsh。
<command>cpio</command>
backup software
cpio
&man.cpio.1; 是 &unix; 最早用来作文件交换的磁带机程序。它有执行字节
交换的选项,可以用几种不同的格式写入,并且可以将数据用管道传给其他程序。
cpio 没办法自动查找目录树内的文件列表,必须通过标准
输入 stdin 来指定。
cpio
cpio 不支持通过网络的备份方式。可以使用 pipeline 和
rsh 来传送数据给远程的磁带机。
&prompt.root; for f in directory_list; do
find $f >> backup.list
done
&prompt.root; cpio -v -o --format=newc < backup.list | ssh user@host "cat > backup_device"
这里的 directory_list 是要备份的目录列表,
user@host 结合了将
要执行备份的用户名和主机名,backup_device 是写
入备份的设备(如 /dev/nsa0)。
<command>pax</command>
backup software
pax
pax
POSIX
IEEE
&man.pax.1; 是符合 IEEE/&posix; 标准的程序。多年来各种不同版本
的 tar 和 cpio 间有些不兼容。
为了防止这种情况,并使其标准化,&posix; 出了这套新的工具程序。
pax 尝试可以读写各种 cpio
和 tar 的格式,并可以自己增加新的格式。它的命令
集比 tar 更接近 cpio。
<application>Amanda</application>
backup software
Amanda
Amanda
Amanda (Advanced Maryland
Network Disk Archiver) 并非单一的程序,而是一个客户机/服务器模式的备份系统
。一台 Amanda 服务器可以备份任意数量执行
Amanda 的客户机或是将连上 Amanda
服务器的计算机上的数据备份到一台磁带机上。一个常见的问题是,数据写入磁带机的时间将超
过取行数据的时间,而 Amanda 解决了这个问题。它使用一个
holding disk
来同时备份几个文件系统。 Amanda
建立 archive sets
的一组磁带,用来备份在 Amanda
的配置文件中所列出的完整的文件系统。
Amanda 配置文件提供完整的备份控制及
Amanda 产生的网络传输。 Amanda
可以使用上述任何一个设备程序来向磁带写入数据。Amanda
可以从 port 或 package 取得,它并非系统默认安装的。
Do Nothing 备份策略
Do nothing
不是一个程序,而是被广泛使用的备份策略。
不需要预算,不需要备份的计划表,全部都不用。如果您的数据发生了什么问题,
忽略它!
如果您的时间和数据不值得您做这些事,那么 Do nothing
将是最好的备份程序。要注意的是,&unix; 是相当好用的工具,您可能在几个月
内,就发现您已经收集了不少对您来说相当具有价值的文件和程序。
Do nothing
对于像 /usr/obj 和其他
可由您的计算机产生的文件来说,是最好的方法。例如这本手册包含有 HTML 或
&postscript; 格式的文件。这些文档格式是从 SGML 输入文件创建的。创建 HTML
或 &postscript; 格式的文件的备份就没有必要了。只要经常备份 SGML 文件就够了。
哪个备份程序最好?
LISA
在&man.dump.8; 时期 Elizabeth D. Zwicky
测试了所有以上列出的备份程序。在各种各样怪异的文件系统中,
dump 是您明智的选择。Elizabeth 建立起各种各样、
奇怪或常见的文件系统,并用各种备份程序,测试在各种文件系统上备份
及恢复数据。这些怪异之处包括:具有 holes 和一个 nulls block 的文件,
文件名具有有趣字符,无法读写的文件及设备,在备份时改变文件大小,在
备份时建立或删除的文件。她将结果刑在: LISA V in Oct. 1991.
See torture-testing
Backup and Archive Programs.
应急恢复程序
在出现灾难前
在遇到灾难前,只需要执行以下四个步骤:
bsdlabel
第一,打出您的每个磁盘驱动器的磁盘标签 (例如:
bsdlabel da0 | lpr),文件系统表,
(/etc/fstab) ,以及所有启动信息,
并将其复制两份。
fix-it floppies
第二,确定遇到的情况时,用来启动及修复的软盘
(boot.flp 和 fixit.flp)
具有您所有的设备代号。最简单的方法是用软盘启动,然后检查启动信息,
如果设备都被列出,并且可以正常使用,就可以跳到第三步。
否则,必须建立两张传统的可启动软盘,并包含:
fdisk, bsdlabel,
newfs, mount, 以及所有使用的
备份程序。这些程序必须被静态的连接。如果使用的是 dump,
那么这张软盘就必须包含 restore。
第三,定期将数据备份到磁带。任何在上次备份后的改变都无法恢复。记得将
磁盘写保护。
第四,测试在第二步所建立的软盘及备份的磁带,将过程记录下来,并和这张
可启动的软盘和磁带放在一起。也许您在恢复时会想要,而这份记录将防止您破坏
您的磁带 (怎么说呢?因为您可能将 tar xvf /dev/sa0 打成
tar cvf /dev/sa0 而重写了备份磁带)。
为了安全,您可以每次都做两份备份磁带及一张启动磁盘,并将其中
一份备份磁带存放在其它地方。其它地方不是指同一栋办公大楼的地下室
(世贸中心的一些公司应该学到了一些教训),而是真的要让人的磁带离您
的的计算机远远的。
一个建立启动磁盘的 shell 脚本例子:
/mnt/sbin/init
gzip -c -best /sbin/fsck > /mnt/sbin/fsck
gzip -c -best /sbin/mount > /mnt/sbin/mount
gzip -c -best /sbin/halt > /mnt/sbin/halt
gzip -c -best /sbin/restore > /mnt/sbin/restore
gzip -c -best /bin/sh > /mnt/bin/sh
gzip -c -best /bin/sync > /mnt/bin/sync
cp /root/.profile /mnt/root
-cp -f /dev/MAKEDEV /mnt/dev
-chmod 755 /mnt/dev/MAKEDEV
-
chmod 500 /mnt/sbin/init
chmod 555 /mnt/sbin/fsck /mnt/sbin/mount /mnt/sbin/halt
chmod 555 /mnt/bin/sh /mnt/bin/sync
chmod 6555 /mnt/sbin/restore
-#
-# create the devices nodes
-#
-cd /mnt/dev
-./MAKEDEV std
-./MAKEDEV da0
-./MAKEDEV da1
-./MAKEDEV da2
-./MAKEDEV sa0
-./MAKEDEV pty0
-cd /
-
#
# create minimum file system table
#
cat > /mnt/etc/fstab < /mnt/etc/passwd < /mnt/etc/master.passwd <
出现灾难后
关键问题是: 您的硬件是否幸免于难?
由于已经做好了定期的备份工作, 因此并不需要担心软件的问题。
如果硬件已经损毁, 这些部分应该在尝试使用计算机之前换掉。
如果硬件还能用, 检查一下您的软盘。 如果使用定制的引导软盘,
启动单用户模式 (在 boot: 提示后输入
-s)。 跳过下面一段。
如果您使用 boot.flp 和
fixit.flp 软盘, 请继续阅读。 将
boot.flp
软盘插到计算机的第一个软驱并启动机器。 此时,
最初的安装菜单将显示在屏幕上。
选择 Fixit--Repair mode with CDROM or floppy.
选项。 在得到提示后插入
fixit.flp 。
restore 以及其他需要的程序,
可以在 /mnt2/rescue
(对于 &os; 5.2 之前的版本, 则是
/mnt2/stand)。
分别恢复每一个文件系统
mount
root partition
bsdlabel
newfs
试着 mount 上您的第一个磁盘的 root 分区(例如: mount /dev/da0a
/mnt)。假如这个磁盘标签已经损坏,使用 bsdlabel
来重新分割并分配磁盘标签(利用您以前保留下来的数据)。使用 newfs
来建立文件系统,并重新挂上软盘读写的 root 分区 (mount -u -o rw
/mnt)。然后使用备份程序及备份磁带来修复文件系统 (例如: restore vrf
/dev/sa0)。最后 Unmount 这个文件系统 (例如: umount
/mnt)。对于每个损坏的文件系统都重复一次。
当您的系统正常启动后,将您的数据备份到新的磁带。任何造成数据丢失的
的灾难都可能再次发生。现在花一些时间,也许可以使您免于下次的灾难。
* I Did Not Prepare for the Disaster, What Now?
]]>
Marc
Fonvieille
Reorganized and enhanced by
网络、内存和 和以及映像文件为介质的虚拟文件系统
virtual disks
磁盘
虚拟
除了插在您计算机上的物理磁盘:
软盘、 CD、 硬盘驱动器, 等等之外, FreeBSD
还能识别一些其他的磁盘形式 - 虚拟磁盘。
NFS
Coda
disks
memory
这还包括, 如 网络文件系统 (Network File System) 和 Coda一类的网络文件系统、
内存以及映像文件为介质的虚拟文件系统。
随运行的 FreeBSD 版本不同,
用来创建和使用以映像文件介质文件系统和内存文件系统的工具也不尽相同。
系统会使用 &man.devfs.5; 来创建设备节点, 这对用户来说是透明的。
以映像文件为介质的文件系统
disks (磁盘)
file-backed (采用文件作为介质)
在 FreeBSD 系统中, 可以用 &man.mdconfig.8;
程序来配置和启用内存磁盘, &man.md.4;。 要使用
&man.mdconfig.8;, 就需要在内核配置文件中添加 &man.md.4; 模块来支持它:
device md
&man.mdconfig.8; 命令支持三种类型的虚拟文件系统:
使用 &man.malloc.9;,来分配内存文件系统,内存文件系统作为文件或作为
备用的交换分区。一种使用方式是在文件中来挂载一个软盘和
CD 镜像。
将一个暨存的映像文件作为文件系统挂载:
使用 <command>mdconfig</command> 挂载已经存在的映像文件
&prompt.root; mdconfig -a -t vnode -f diskimage -u 0
&prompt.root; mount /dev/md0 /mnt
使用 &man.mdconfig.8; 来创建新的映像文件:
使用 <command>mdconfig</command> 将映像文件作为文件系统挂载
&prompt.root; dd if=/dev/zero of=newimage bs=1k count=5k
5120+0 records in
5120+0 records out
&prompt.root; mdconfig -a -t vnode -f newimage -u 0
&prompt.root; bsdlabel -w md0 auto
&prompt.root; newfs md0a
/dev/md0a: 5.0MB (10224 sectors) block size 16384, fragment size 2048
using 4 cylinder groups of 1.25MB, 80 blks, 192 inodes.
super-block backups (for fsck -b #) at:
160, 2720, 5280, 7840
&prompt.root; mount /dev/md0a /mnt
&prompt.root; df /mnt
Filesystem 1K-blocks Used Avail Capacity Mounted on
/dev/md0a 4710 4 4330 0% /mnt
如果没有通过 选项指定一个标识号
&man.mdconfig.8; 将使用
&man.md.4; 为它自动选择一个未用的设备标识号。
分配给它的标识名将被输出到标准输出设备, 其形式是与
md4 类似。 如果希望了解更多相关信息, 请参见联机手册
&man.mdconfig.8;。
&man.mdconfig.8; 功能很强大,
但在将映像文件作为文件系统挂载时, 仍需使用许多行的命令。 为此
FreeBSD 也提供了一个名为 &man.mdmfs.8; 的工具, 该程序使用
&man.mdconfig.8; 来配置 &man.md.4; 设备, 并用
&man.newfs.8; 在其上创建 UFS 文件系统, 然后用 &man.mount.8; 来完成挂载操作。 例如,
如果想创建和挂接像上面那样的文件系统映像,
只需简单地执行下面的步骤:
使用 <command>mdmfs</command> 命令配置和挂载一个映像文件为文件系统
&prompt.root; dd if=/dev/zero of=newimage bs=1k count=5k
5120+0 records in
5120+0 records out
&prompt.root; mdmfs -F newimage -s 5m md0 /mnt
&prompt.root; df /mnt
Filesystem 1K-blocks Used Avail Capacity Mounted on
/dev/md0 4718 4 4338 0% /mnt
如果你使用没有加标识号的 选项,
&man.mdmfs.8; 将使用 &man.md.4; 的自动标示号特性来自动为其
选择一个未使用的设备。更详细的
&man.mdmfs.8;,请参考联机手册。
以内存为介质的文件系统
disks (磁盘)
内存文件系统
一般来说, 在建立以内存为介质的文件系统时, 应使用 交换区作为介质
(swap backing)
。 使用交换区作为介质,
并不意味着内存盘将被无条件地换出到交换区,
它只是表示将根据需要从可换出的内存池中分配内存。
此外, 也可以使用
&man.malloc.9; 创建以内存作为介质的文件系统。
不过在内存不足时, 这种方式可能引致系统崩溃。
用 <command>mdconfig</command>
创建新的内存盘设备
&prompt.root; mdconfig -a -t swap -s 5m -u 1
&prompt.root; newfs -U md1
/dev/md1: 5.0MB (10240 sectors) block size 16384, fragment size 2048
using 4 cylinder groups of 1.27MB, 81 blks, 192 inodes.
with soft updates
super-block backups (for fsck -b #) at:
160, 2752, 5344, 7936
&prompt.root; mount /dev/md1 /mnt
&prompt.root; df /mnt
Filesystem 1K-blocks Used Avail Capacity Mounted on
/dev/md1 4718 4 4338 0% /mnt
使用 <command>mdmfs</command> 来新建内存介质文件系统
&prompt.root; mdmfs -s 5m md2 /mnt
&prompt.root; df /mnt
Filesystem 1K-blocks Used Avail Capacity Mounted on
/dev/md2 4846 2 4458 0% /mnt
从系统中移除内存盘设备
磁盘
移除内存盘设备
当不再使用内存盘设备时, 应将其资源释放回系统。
第一步操作是卸下文件系统, 然后使用
&man.mdconfig.8; 把虚拟磁盘从系统中分离, 以释放资源。
例如, 要分离并释放所有
/dev/md4 使用的资源, 应使用命令:
&prompt.root; mdconfig -d -u 4
mdconfig -l 命令可以列出关于配置
&man.md.4; 设备的信息。
Tom
Rhodes
Contributed by
文件系统快照
文件系统
快照
FreeBSD 提供了一个和 Soft Updates
关联的新功能: 文件系统快照
快照允许用户创建指定文件系统的映像,并把它们当做一个文件来对待。
快照文件必须在文件系统正在使用时创建,一个用户对每个文件系统创建的
快照不能大于20个。活动的快照文件被记录在超级块中,所以它们可以在系统
启动的时候一块进行挂接后摘掉。当一个快照不再需要时,可以使用标准的
&man.rm.1; 使用来使其删除。快照可以以任何顺序进行移除,但所有使用
的快照不可能同时进行移除,因为其它的快照将有可能互相引用一些块。
不可改的 文件标志,
是由 &man.mksnap.ffs.8; 在完成创建快照文件时设置的。
&man.unlink.1; 命令是一个特例, 以允许删除快照文件。
快照可以通过 &man.mount.8; 命令创建。 将文件系统
/var 的快照放到
/var/snapshot/snap 可以使用下面的命令:
&prompt.root; mount -u -o snapshot /var/snapshot/snap /var
作为选择,你也可以使用 &man.mksnap.ffs.8; 来创建一个快照:
&prompt.root; mksnap_ffs /var /var/snapshot/snap
可以查找文件系统中的快照文件 (例如 /var),
方法是使用 &man.find.1; 命令:
&prompt.root; find /var -flags snapshot
当快照文件被创建好后,可以用于下面一些目的:
有些管理员用文件快照来进行备份,
因为快照可以被转移到 CD 或磁带上。
文件系统一致性检查程序 &man.fsck.8; 可以用来检查快照文件。
如果文件系统在挂接前是一致的, 则检查结果也一定是一致的
(也就是不会做任何修改)。 实际上这也正是后台 &man.fsck.8;
的操作过程。
在快照上运行 &man.dump.8; 程序。
dump 将返回包含文件系统和快照的时间戳。&man.dump.8;
也能够抓取快照,使用
标志可以首先创建快照, 完成 dump 映像之后再自动删除它。
用 &man.mount.8; 来挂接快照作为文件系统的一个冻结的镜像。
要 &man.mount.8; 快照
/var/snapshot/snap 运行:
&prompt.root; mdconfig -a -t vnode -f /var/snapshot/snap -u 4
&prompt.root; mount -r /dev/md4 /mnt
现在你就可以看到挂接在 /mnt 目录下的 /var
文件系统的快照。 每一样东西都保存的像它创建时的状态一样。
唯一例外的是更早的快照文件将表现为长度为 0 的文件。
用完快照文件之后可以把它卸下,使用:
&prompt.root; umount /mnt
&prompt.root; mdconfig -d -u 4
想了解更多关于 和
文件系统快照的信息, 包括技术说明, 可以访问
Marshall Kirk McKusick 的 WWW 站点
。
文件系统配额
accounting
disk space
disk quotas
配额是操作系统的一个可选的功能,
它允许管理员以文件系统为单元,
限制分派给用户或组成员所使用的磁盘空间大小或是使用的总文件数量。
这经常被用于那些分时操作的系统上, 对于这些系统而言,
通常希望限制分派到每一个用户或组的资源总量,
从而可以防止某个用户占用所有可用的磁盘空间。
配置系统来启用磁盘配额
在决定使用磁盘配额前,确信磁盘配额已经在内核中配置好了。只要在在内核
中配置文件中添加下面一行就行了:
options QUOTA
在默认情况下 GENERIC 内核是不会启用这个功能的,
所以必须配置、重建和安装一个定制的内核。请参考 FreeBSD 内核配置
这章了解更多有关内核配置的信息。
接下来,需要在 /etc/rc.conf 中启用磁盘配额。可以
通过添加下面这行来完成:
enable_quotas="YES"
disk quotas
checking
为了更好的控制配额时的启动,还有另外一个可配置的变量。通常
启动时,集成在每个文件系统上的配额会被配额检查程序
&man.quotacheck.8; 自动检查。配额检查功能能够确保在配额数据库中
的数据正确地反映了文件系统的数
据情况。这是一个很耗时间的处理进程,它会影响系统的启动时间。如果
想跳过这一步,可以在文件 /etc/rc.conf 加入
下面这一行来达到目的:
check_quotas="NO"
最后,要编辑 /etc/fstab 文件,以在每一个
文件系统基础上雇用磁盘配额。这是启用用户和组配额,或同时启用用户
和组配额的地方。
要在一个文件系统上启用每个用户的配额,可以在 /etc/fstab
里添加 选项在要雇用配额文件的系统上。例如:
/dev/da1s2g /home ufs rw,userquota 1 2
同样的,要启用组配额,使用 选项来代替
选项。要同时启用用户和组配额,可以这样做:
/dev/da1s2g /home ufs rw,userquota,groupquota 1 2
默认情况下,配额文件是存放在文件系统的以 quota.user
和 quota.group 命名的根目录下。可以查看 &man.fstab.5;
联机手册了解更多信息。 尽管联机手册 &man.fstab.5; 提到,
可以为配额文件指定其他的位置, 但并不推荐这样做,
因为不同的配额工具并不一定遵循此规则。
到这儿,可以用新内核重新启动系统。 /etc/rc 将自动
运行适当的命令来创建最初的配额文件,所以并不需要手动来创建任何零长度的配额
文件。
在通常的操作过程中,并不要求手动运行 &man.quotacheck.8;、
&man.quotaon.8;, 或 &man.quotaoff.8; 命令,然而可能需要阅读与他们的操作
相似的联机手册。
设置配额限制
disk quotas
limits
一旦您配置好了启用配额的系统,可以检查一下它们是真的有用。
可以这样做:
&prompt.root; quota -v
您应该能够看到一行当前正在使用的每个文件系统启用的磁盘配额
使用情况的摘要信息。
现在可以使用 &man.edquota.8; 命令准备启用配额限制。
有几个有关如何强制限制用户或组可以分配到的磁盘空间大小的选项。
您可以限制磁盘存储块的配额, 或文件的数量, 甚至同时限制两者。
这些限制最终可分为两类: 硬限制和软限制。
硬性限制
硬性限制是一种不能越过的限制。 一旦用户达到了系统指定的硬性限制,
他就无法在对应的文件系统分配到更多的资源。
例如, 如果文件系统上分给用户的硬性限制是
500 KB, 而现在已经用掉了 490 KB,
那么这个用户最多还能再分配 10 KB 的空间。
换言之, 如果这时试图再分配 11 KB, 则会失败。
软性限制
而与此相反, 软性限制在一段时间内是允许越过的。
这段时间也称为宽限期, 其默认值是一周。
如果一个用户延缓时间太长的话,软限制将会变成硬限制,
而继续分配磁盘空间的操作将被拒绝。
当用户占用的空间回到软性限制值以下时, 宽限期将重新开始计算。
下面是一个运行 &man.edquota.8; 时看到的例子。当 &man.edquota.8;
命令被调用时,会被转移进 EDITOR 环境变量指派的编辑
器中,允许编辑配额限制。如果环境变量没有设置,默认在
vi 编辑器上进行。
&prompt.root; edquota -u test
Quotas for user test:
/usr: kbytes in use: 65, limits (soft = 50, hard = 75)
inodes in use: 7, limits (soft = 50, hard = 60)
/usr/var: kbytes in use: 0, limits (soft = 50, hard = 75)
inodes in use: 0, limits (soft = 50, hard = 60)
在每一个启用了磁盘配额的文件系统上,通常会看到两行。一行是
block 限制,另一行是 inode 限制。简单地改变要修改的配额限制的值。
例如,提高这个用户软限制的数值到 500 ,硬限制到 600 :
/usr: kbytes in use: 65, limits (soft = 50, hard = 75)
to:
/usr: kbytes in use: 65, limits (soft = 500, hard = 600)
当离开编辑器的时候,新的配额限制设置将会被保存。
有时,在 UIDs 的范围上设置配额限制是非常必要的。这可以通过在
&man.edquota.8; 命令后面加上 选项来完成。首先,
给用户分配所需要的配额限制,然后运行命令
edquota -p protouser startuid-enduid。例如,如果
用户 test 已经有了所需要的配额限制,下面的命令
可以被用来复制那些 UIDs 为10,000 到 19,999 的配额限制:
&prompt.root; edquota -p test 10000-19999
更多细节请参考 &man.edquota.8; 联机手册。
检查配额限制和磁盘使用
disk quotas
checking
既可以使用 &man.quota.1; 也可以使用 &man.repquota.8; 命令来检查
配额限制和磁盘使用情况。 &man.quota.1; 命令能够检查单个用户和组的配置
使用情况。只有超级用户才可以检查其它用户的配额和磁盘使用情况。
&man.repquota.8; 命令可以用来了解所有配额和磁盘的使用情况。
下面是一个使用 quota -v 命令后的输出情况:
Disk quotas for user test (uid 1002):
Filesystem usage quota limit grace files quota limit grace
/usr 65* 50 75 5days 7 50 60
/usr/var 0 50 75 0 50 60
宽限期
前面以 /usr 作为例子。
此用户目前已经比软限制 50 KB 超出了 15 KB,
还剩下 5 天的宽限期。 请注意,
星号 * 说明用户已经超出了其配额限制。
通常, 如果用户没有使用文件系统上的磁盘空间, 就不会在
&man.quota.1; 命令的输出中显示, 即使已经为那个用户指定了配额。
而使用 选项则会显示它们, 例如前面例子中的
/usr/var。
通过 NFS 使用磁盘配额
NFS
配额能够在 NFS 服务器上被配额子系统强迫使用。在 NFS 客户端,
&man.rpc.rquotad.8; 命令可以使用 quota 信息用于 &man.quota.1;
命令, 可以允许用户查看它们的 quota 统计信息。
可以这样在 /etc/inetd.conf 中启用
rpc.rquotad:
rquotad/1 dgram rpc/udp wait root /usr/libexec/rpc.rquotad rpc.rquotad
现在重启 inetd:
&prompt.root; kill -HUP `cat /var/run/inetd.pid`
Lucky
Green
Contributed by
shamrock@cypherpunks.to
加密磁盘分区
disks
encrypting
FreeBSD 提供了极好的数据保护措施,防止未受权的数据访问。
文件权限和强制访问控制(MAC)(看 )
可以帮助预防在操作系统处于运行状态和计算机加电时未受权的第三方访问数据。
但是,和操作系统强制受权不相关的是,如果黑客有物理上访问计算机的可能,
那他就可以简单的把计算机的硬件安装到另一个系统上复制出敏感的数据。
无论攻击者如何取得停机后的硬件或硬盘驱动器本身, &os; GEOM
Based Disk Encryption (基于 GEOM 的磁盘加密, gbde) 和
geli 加密子系统都能够保护计算机上的文件系统数据,
使它们免受哪怕是训练有素的攻击者获得有用的资源。
与那些只能加密单个文件的笨重的加密方法不同,
gbde 和 geli
能够透明地加密整个文件系统。 明文数据不会出现在硬盘的任何地方。
使用 <application>gbde</application> 对磁盘进行加密
成为 <username>root</username>
配置 gbde
需要超级用户的权力。
&prompt.user; su -
Password:
在内核配置文件中添加对 &man.gbde.4; 的支持
在您的内核配置中加入下面一行:
options GEOM_BDE
按照 所进行的介绍重新编译并安装内核。
重新引导进入新的内核。
另一种无需重新编译内核的方法, 是使用
kldload 来加载 &man.gbde.4;:
&prompt.root; kldload geom_bde
准备加密盘
下面这个例子假设您添加了一个新的硬盘在您的系统并将拥有一个单独的加密分区。
这个分区将挂接在 /private目录下。
gbde 也可以用来加密
/home 和 /var/mail,
但是这需要更多的复杂命令来执行。
添加新的硬盘
添加新的硬盘到系统中可以查看在 中的说明。
这个例子的目的是说明一个新的硬盘分区已经添加到系统中如:
/dev/ad4s1c。在例子中
/dev/ad0s1*
设备代表系统中存在的标准 FreeBSD 分区。
&prompt.root; ls /dev/ad*
/dev/ad0 /dev/ad0s1b /dev/ad0s1e /dev/ad4s1
/dev/ad0s1 /dev/ad0s1c /dev/ad0s1f /dev/ad4s1c
/dev/ad0s1a /dev/ad0s1d /dev/ad4
创建一个目录来保存 gbde Lock 文件
&prompt.root; mkdir /etc/gbde
gbde lock 文件包含了
gbde 需要访问的加密分区的信息。
没有 lock 文件,
gbde 将不能解密包含在加密分区上的数据。
每个加密分区使用一个独立的 lock 文件。
初始化 gbde 分区
一个 gbde 分区在使用前必须被初始化,
这个初始化过程只需要执行一次:
&prompt.root; gbde init /dev/ad4s1c -i -L /etc/gbde/ad4s1c
&man.gbde.8; 将打开您的编辑器,
提示您去设置在一个模板文件中的配置变量。
使用 UFS1 或 UFS2,设置扇区大小为 2048:
$FreeBSD: src/sbin/gbde/template.txt,v 1.1 2002/10/20 11:16:13 phk Exp $
#
# Sector size is the smallest unit of data which can be read or written.
# Making it too small decreases performance and decreases available space.
# Making it too large may prevent filesystems from working. 512 is the
# minimum and always safe. For UFS, use the fragment size
#
sector_size = 2048
[...]
&man.gbde.8; 将让您输入两次用来加密数据的密钥短语。
两次输入的密钥必须相同。
gbde
保护您数据的能力依靠您选择输入的密钥的质量。
这个提示教您怎样选择一个安全易记的密钥短语,
请看 Diceware
Passphrase 网站。
gbde init 命令为您的
gbde 分区创建了一个 lock 文件,
在这个例子中存储在
/etc/gbde/ad4s1c中。
gbde lock
文件 必须 和加密分区上的内容同时备份。
如果发生只有 lock 文件遭到删除的情况时, 就没有办法确定
gbde 分区上的数据是否是解密过的。
另外, 如果没有 lock 文件, 即使磁盘的合法主人,
不经过大量细致的工作也无法访问加密分区上的数据,
而这是在设计 &man.gbde.8; 时完全没有考虑过的。
把加密分区和内核进行关联
&prompt.root; gbde attach /dev/ad4s1c -l /etc/gbde/ad4s1c
在加密分区的初始化过程中您将被要求提供一个密码短语。
新的加密设备将在
/dev 中显示为
/dev/device_name.bde:
&prompt.root; ls /dev/ad*
/dev/ad0 /dev/ad0s1b /dev/ad0s1e /dev/ad4s1
/dev/ad0s1 /dev/ad0s1c /dev/ad0s1f /dev/ad4s1c
/dev/ad0s1a /dev/ad0s1d /dev/ad4 /dev/ad4s1c.bde
在加密设备上创建文件系统
当加密设备和内核进行关联后,
您就可以使用 &man.newfs.8; 在此设备上创建文件系统,
使用 &man.newfs.8; 来初始化一个 UFS2
文件系统比初始化一个 UFS1 文件系统还要快,摧荐使用
选项。
&prompt.root; newfs -U -O2 /dev/ad4s1c.bde
&man.newfs.8; 命令必须在一个
gbde 分区上执行,
这个分区通过一个存在的
*.bde
设备名进行标识。
挂接加密分区
为加密文件系统创建一个挂接点。
&prompt.root; mkdir /private
挂接加密文件系统。
&prompt.root; mount /dev/ad4s1c.bde /private
校验加密文件系统是否有效
加密的文件系统现在对于
&man.df.1; 应该可见并可以使用。
&prompt.user; df -H
Filesystem Size Used Avail Capacity Mounted on
/dev/ad0s1a 1037M 72M 883M 8% /
/devfs 1.0K 1.0K 0B 100% /dev
/dev/ad0s1f 8.1G 55K 7.5G 0% /home
/dev/ad0s1e 1037M 1.1M 953M 0% /tmp
/dev/ad0s1d 6.1G 1.9G 3.7G 35% /usr
/dev/ad4s1c.bde 150G 4.1K 138G 0% /private
挂接已有的加密文件系统
每次系统启动后,
在使用加密文件系统前必须和内核重新进行关联,
校验错误和再次挂接。使用的命令必须由
root用户来执行。
关联 gbde 分区到内核
&prompt.root; gbde attach /dev/ad4s1c -l /etc/gbde/ad4s1c
接下来系统将提示您输入在初始化加密的
gbde 分区时所用的密码短语。
校验文件系统错误
加密文件系统不能列在
/etc/fstab 文件中进行自动加载,
在加载前必须手动运行 &man.fsck.8;
命令对文件系统进行错误检测。
&prompt.root; fsck -p -t ffs /dev/ad4s1c.bde
挂接加密文件系统
&prompt.root; mount /dev/ad4s1c.bde /private
加密后的文件系统现在可以有效使用。
自动挂接加密分区
可以创建脚本来自动地附加、 检测, 并挂接加密分区,
然而, 处于安全考虑, 这个脚本不应包含 &man.gbde.8; 密码。
因而, 我们建议这类脚本在控制台或通过 &man.ssh.1;
执行并要求用户输入口令。
除此之外, 系统还提供了一个 rc.d 脚本。
这个脚本的参数可以通过
&man.rc.conf.5; 来指定, 例如:
gbde_autoattach_all="YES"
gbde_devices="ad4s1c"
在启动时将要求输入 gbde
的口令。 在输入正确的口令之后, gbde
加密分区将被自动挂接。 对于将 gbde
用在笔记本电脑上时, 这就很有用了。
gbde 提供的密码学保护
&man.gbde.8; 采用 CBC 模式的 128-位 AES 来加密扇区数据。
磁盘上的每个扇区都采用不同的 AES 密钥来加密。
要了解关于 gbde 的密码学设计,
包括扇区密钥如何从用户提供的口令字中生成等细节,
请参考 &man.gbde.4;。
兼容性问题
&man.sysinstall.8; 是和
gbde 加密设备不兼容的。
在启动 &man.sysinstall.8; 时必须将
*.bde
设备和内核进行分离,否则在初始化探测设备时将引起冲突。
与加密设备进行分离在我们的例子中使用如下的命令:
&prompt.root; gbde detach /dev/ad4s1c
还需要注意的是, 由于 &man.vinum.4; 没有使用
&man.geom.4; 子系统, 因此不能同时使用
gbde 与
vinum 卷。
Daniel
Gerzo
撰写者
使用 <command>geli</command> 对磁盘进行加密
从 &os; 6.0 开始提供了一个新的密码学 GEOM class —
geli。 它目前由
&a.pjd; 开发。 Geli 工具与
gbde 不同; 它提供了一些不同的功能,
并采用了不同的方式来进行密码学运算。
&man.geli.8; 最重要的功能包括:
使用了 &man.crypto.9; 框架 —
如果系统中有加解密硬件加速设备, 则 geli
会自动加以利用。
支持多种加密算法 (目前支持
AES、 Blowfish, 以及 3DES)。
允许对根分区进行加密。 在系统启动时,
将要求输入用于加密根分区的口令。
允许使用两个不同的密钥 (例如, 一个
个人密钥
和一个 公司密钥
)。
geli 速度很快 —
它只进行简单的扇区到扇区的加密。
允许备份和恢复主密钥。 当用户必须销毁其密钥时,
仍然可以通过从备份中恢复密钥来存取数据。
允许使用随机的一次性密钥来挂接磁盘
— 这对于交换区和临时文件系统非常有用。
更多 geli 功能介绍可以在
&man.geli.8; 联机手册中找到。
下面的步骤介绍了如何启用 &os; 内核中的
geli 支持,
并解释了如何创建新和使用 geli
加密 provider。
要使用 geli, 您必须运行
&os; 6.0-RELEASE 或更新版本。 由于需要修改内核,
因此您还需要拥有超级用户权限。
在内核中加入 <command>geli</command> 支持
在内核配置文件中加入下面两行:
options GEOM_ELI
device crypto
按照 介绍的步骤重新编译并安装内核。
另外, geli 也可以在系统引导时加载。 这是通过在
/boot/loader.conf 中增加下面的配置来实现的:
geom_eli_load="YES"
&man.geli.8; 现在应该已经为内核所支持了。
生成主密钥
下面的例子讲描述如何生成密钥文件, 它将作为主密钥 (Master Key)
的一部分, 用于挂接到
/private 的加密 provider。
这个密钥文件将提供一些随机数据来加密主密钥。 同时,
主密钥也会使用一个口令字来保护。 Provider 的扇区尺寸为 4kB。
此外, 这里的讨论将介绍如何挂载
geli provider, 在其上创建文件系统,
如何挂接并在其上工作, 最后将其卸下。
建议您使用较大的扇区尺寸 (例如 4kB),
以获得更好的性能。
主密钥将由口令字保护, 而密钥文件的数据来源则将是
/dev/random。 我们称之为 provider 的
/dev/da2.eli 的扇区尺寸将是 4kB。
&prompt.root; dd if=/dev/random of=/root/da2.key bs=64 count=1
&prompt.root; geli init -s 4096 -K /root/da2.key /dev/da2
Enter new passphrase:
Reenter new passphrase:
同时使用口令字和密钥文件并不是必须的;
您也可以只使用其中的一种来加密主密钥。
如果密钥文件写作 -
, 则表示使用标准输入。
下面是关于如何使用多个密钥文件的例子:
&prompt.root; cat keyfile1 keyfile2 keyfile3 | geli init -K - /dev/da2
将 provider 与所生成的密钥关联
&prompt.root; geli attach -k /root/da2.key /dev/da2
Enter passphrase:
新的明文设备将被命名为
/dev/da2.eli。
&prompt.root; ls /dev/da2*
/dev/da2 /dev/da2.eli
创建新的文件系统
&prompt.root; dd if=/dev/random of=/dev/da2.eli bs=1m
&prompt.root; newfs /dev/da2.eli
&prompt.root; mount /dev/da2.eli /private
现在加密的文件系统应该已经可以被 &man.df.1; 看到,
并处于可用状态了:
&prompt.root; df -H
Filesystem Size Used Avail Capacity Mounted on
/dev/ad0s1a 248M 89M 139M 38% /
/devfs 1.0K 1.0K 0B 100% /dev
/dev/ad0s1f 7.7G 2.3G 4.9G 32% /usr
/dev/ad0s1d 989M 1.5M 909M 0% /tmp
/dev/ad0s1e 3.9G 1.3G 2.3G 35% /var
/dev/da2.eli 150G 4.1K 138G 0% /private
卸下卷并断开 provider
一旦在加密分区上的工作完成,
并且不再需要 /private 分区,
就应考虑将其卸下并将 geli 加密分区从内核上断开。
&prompt.root; umount /private
&prompt.root; geli detach da2.eli
关于如何使用 &man.geli.8; 的更多信息,
可以在其联机手册中找到。
使用 <filename>geli</filename> <filename>rc.d</filename> 脚本
geli 提供了一个 rc.d 脚本,
它可以用于简化 geli 的使用。 通过
&man.rc.conf.5; 配置 geli 的方法如下:
geli_devices="da2"
geli_da2_flags="-p -k /root/da2.key"
这将把 /dev/da2 配置为一个
geli provider, 其主密钥文件位于
/root/da2.key, 而
geli 在连接 provider 时将不使用口令字
(注意只有在 geli init 阶段使用了
才可以这样做)。
系统将在关闭之前将 geli provider 断开。
关于如何配置 rc.d 的详细信息可以在使用手册的
rc.d 一节中找到。
Christian
Brüffer
原作
对交换区进行加密
swap (交换区)
encrypting (加密)
从 &os; 5.3-RELEASE 开始, &os; 提供了易于配置的交换区加密机制。
随所用的 &os; 版本, 可用的配置选项会有所不同,
而配置方法也会有一些差异。 从 &os; 6.0-RELEASE 开始,
已经可以使用 &man.gbde.8; 和 &man.geli.8;
两种加密系统来进行交换区的加密操作了。 在更早的版本中,
则只提供了 &man.gbde.8;。 前面所说的这两种加密系统,
都用到了 encswap 这个
rc.d 脚本。
在前面的小节 如何加密磁盘分区
中, 已经就不同的加密系统之间的区别进行了简单的讨论。
为什么需要对交换区进行加密?
与加密磁盘分区类似, 加密交换区有助于保护敏感信息。
为此, 我们不妨考虑一个需要处理敏感信息的程序, 例如,
它需要处理口令。 如果这些口令一直保持在物理内存中, 则一切相安无事。
然而, 如果操作系统开始将内存页换出到交换区,
以便为其他应用程序腾出内存时, 这些口令就可能以未加密的形式写到磁盘上,
并为攻击者所轻易获得。 加密交换区能够有效地解决这类问题。
准备
在本节余下的部分中, 我们约定使用 ad0s1b
作为交换区。
到目前为止, 交换区仍是未加密的。
很可能其中已经存有明文形式的口令或其他敏感数据。
要纠正这一问题, 首先应使用随机数来覆盖交换分区的数据:
&prompt.root; dd if=/dev/random of=/dev/ad0s1b bs=1m
使用 &man.gbde.8; 来加密交换区
如果使用 &os; 6.0-RELEASE 或更新的版本, 则 /etc/fstab
中与交换区对应的行中, 设备名应追加
.bde 后缀:
# Device Mountpoint FStype Options Dump Pass#
/dev/ad0s1b.bde none swap sw 0 0
对于 &os; 6.0-RELEASE 之前的版本,
还需要在 /etc/rc.conf 中加入:
gbde_swap_enable="YES"
使用 &man.geli.8; 来加密分区
另一种方法是使用 &man.geli.8; 来达到加密交换区的目的,
其过程与使用 &man.gbde.8; 大体相似。 此时, 在 /etc/fstab
中交换区对应的行中, 设备名应追加
.eli 后缀:
# Device Mountpoint FStype Options Dump Pass#
/dev/ad0s1b.eli none swap sw 0 0
&man.geli.8; 默认情况下使用密钥长度为 256-位的
AES 加密算法。
当然, 这些默认值是可以通过 /etc/rc.conf 中的
geli_swap_flags 选项来修改的。 下面的配置表示让 rc.d 脚本
encswap 创建一个 &man.geli.8; 交换区,
在其上使用密钥长度为 128-位 的 Blowfish 加密算法, 4 kilobytes
的扇区尺寸, 并采用 最后一次关闭时卸下
的策略:
+ geli_swap_flags="-e blowfish -l 128 -s 4096 -d"
+
+ For systems prior to &os; 6.2-RELEASE, use the following line:
+
geli_swap_flags="-a blowfish -l 128 -s 4096 -d"
请参见 &man.geli.8; 联机手册中关于 onetime
命令的说明, 以了解其他可用的选项。
验证所作的配置能够发挥作用
在重启系统之后, 就可以使用
swapinfo 命令来验证加密交换区是否已经在正常运转了。
如果使用了 &man.gbde.8;, 则:
&prompt.user; swapinfo
Device 1K-blocks Used Avail Capacity
/dev/ad0s1b.bde 542720 0 542720 0%
如果使用了 &man.geli.8;, 则:
&prompt.user; swapinfo
Device 1K-blocks Used Avail Capacity
/dev/ad0s1b.eli 542720 0 542720 0%
diff --git a/zh_CN.GB2312/books/handbook/firewalls/chapter.sgml b/zh_CN.GB2312/books/handbook/firewalls/chapter.sgml
index 6122fcd0e8..831ad01872 100644
--- a/zh_CN.GB2312/books/handbook/firewalls/chapter.sgml
+++ b/zh_CN.GB2312/books/handbook/firewalls/chapter.sgml
@@ -1,2986 +1,2986 @@
Joseph J.
Barbish
Contributed by
Brad
Davis
Converted to SGML and updated by
防火墙
防火墙
安全
防火墙
入门
防火墙的存在, 使得过滤出入系统的数据流成为可能。
防火墙可以使用一组或多组 规则 (rules)
,
来检查出入您的网络连接的数据包, 并决定允许或阻止它们通过。
这些规则通常可以检查数据包的某个或某些特征,
这些特征包括, 但不必限于协议类型、 来源或目的主机地址,
以及来源或目的端口。
防火墙可以大幅度地改善主机或网络的安全。
它可以用来完成下面的任务:
保护和隔离应用程序、 服务程序, 以及您内部网络上的机器,
不受那些来自公共的 Internet 网络上您所不希望的数据流量的干扰。
限制或禁止从内部网访问公共的 Internet 上的服务。
支持网络地址转换
(NAT),
它使得您的内部网络能够使用私有的 IP 地址,
并分享一条通往公共的 Internet 的连接 (使用一个
IP 地址, 或者一组公网地址)。
读完这章, 您将了解:
如何正确地定义包过滤规则。
&os; 中内建的集中防火墙之间的差异。
如何使用和配置 OpenBSD 的
PF 防火墙。
如何使用和配置
IPFILTER。
如何使用和配置
IPFW。
阅读这章之前, 您需要:
理解基本的 &os; 和 Internet 概念。
防火墙的概念
防火墙/primary>
规则集
建立防火墙规则集的基本方法有两种:
包容式的
或 排斥式的
。
排斥式的防火墙, 允许除了禁止的那些数据之外的所有网络流量通过。
包容式的防火墙正好相反。 后者只允许符合规则的流量通过,
而其他所有的流量都被阻止。
包容式防火墙一般说来要比排斥式防火墙安全,
因为他们显著地降低了由于允许不希望的网络流量通过所带来的风险。
如果使用了 带状态功能的防火墙 (stateful
firewall)
, 则安全机制可以进一步地细化。
带状态功能的防火墙能够记录通过防火墙的连接,
进而只允许与现有连接匹配的连接, 或创建新的连接。
带状态功能的防火墙的缺点, 则是在很短时间内有大量的连接请求时,
它们可能会受到拒绝服务
(DoS) 攻击。
绝大多数防火墙都提供了同时启用两种防火墙的能力,
以便为站点提供更好的保护。
防火墙软件包
&os; 的基本系统内建了三种不同的防火墙软件包。
它们是 IPFILTER
(也被称作 IPF)、
IPFIREWALL (也被称作 IPFW),
以及 OpenBSD 的 PacketFilter (也被称为
PF)。 &os; 也提供了两个内建的、
用于流量整形 (基本上是控制带宽占用) 的软件包:
&man.altq.4; 和 &man.dummynet.4;。 Dummynet 在过去一直和
IPFW 紧密集成, 而
ALTQ 则需要配合
IPF/PF 使用。 IPF、
IPFW, 以及 PF 都是用规则来控制是否允许数据包出入您的系统,
虽然它们采取了不同的实现方法和规则语法。
&os; 包含多个内建的防火墙软件包的原因在于,
不同的人会有不同的需求和偏好。 任何一个防火墙软件包都很难说是最好的。
作者倾向于使用 IPFILTER, 因为它提供的状态式规则,
在 NAT 的环境中要简单许多,
而且它内建了 ftp 代理, 这简化了使用外部 FTP 服务时所需的配置。
由于所有的防火墙都基于检查所选定的包控制字段来实现功能,
撰写防火墙规则集时, 就必须了解
TCP/IP 是如何工作的,
以及包的控制字段在正常会话交互中的作用。
您可以在这个网站找到一份很好的解释文档:
.
OpenBSD Packet Filter (PF) 和
<acronym>ALTQ</acronym>
防火墙
PF
2003 年 7 月, OpenBSD 的防火墙,
也就是常说的 PF 被成功地移植到了 &os; 上,
并可以通过 &os; Ports Collection 来安装了;
第一个将 PF 集成到基本系统中的版本是
2004 年 11 月发行的 &os; 5.3。
PF 是一个完整的提供了大量功能的防火墙软件,
并提供了可选的 ALTQ (交错队列, Alternate
Queuing) 功能。 ALTQ 提供了服务品质
(QoS) 带宽整形功能,
这个功能能够以基于过滤规则的方式来保障不同服务的带宽。
OpenBSD Project 在维护 PF 用户指南方面已经做了非常卓越的工作,
因此我们不打算在这本使用手册中进行更进一步的阐述,
以避免不必要的重复劳动。
更多的详细信息, 可以在 &os; 版本的 PF 网站上找到: 。
启用 PF
PF 作为 &os; 5.3 和更高版本基本系统安装的一部分,
作为一个可以动态加载的模块出现。 如果在 rc.conf 中配置了
pf_enable="YES" 则系统会自动加载对应的内核模块。
可加载内核模块在构建时启用了 &man.pflog.4;。
这个模块假定 options
INET 和 device bpf 是存在的。
除非编译时指定了
NOINET6 (对 &os; 6.0-RELEASE 之前的版本) 或
NO_INET6 (对更新一些的版本) (例如在
&man.make.conf.5; 中定义) 它还需要 options INET6。
一旦加载了这个内核模块, 或者将 PF 支持静态联编进内核,
就可以随时通过 pfctl 来启用或禁用
pf 了。
下面的例子展示了如何启用
pf:
&prompt.root; pfctl -e
pfctl 命令提供了一种与
pf 防火墙交互的方法。 要了解进一步的信息,
参考 &man.pfctl.8; 联机手册是一个不错的办法。
内核选项
内核选项
device pf
内核选项
device pflog
内核选项
device pfsync
将下面这些选项加入到 &os; 内核的编译配置文件中并不是启用
PF 的强制性要求。 这里列出它们主要是为了介绍一些背景信息。
将 PF 编译到内核中之后, 就不再需要使用可加载内核模块了。
如何在内核编译配置中加入对于 PF 选项的例子可以在内核源代码中的
/usr/src/sys/conf/NOTES 这个文件中找到。
这里列举如下:
device pf
device pflog
device pfsync
device pf 用于启用
Packet Filter
防火墙的支持。
device pflog 启用可选的
&man.pflog.4; 伪网络设备, 用以通过 &man.bpf.4;
描述符来记录流量。 &man.pflogd.8; 服务可以用来存储信息,
并把它们以日志形式记录到磁盘上。
device pfsync 启用可选的
&man.pfsync.4; 伪网络设备, 用以监视
状态变更
。 由于这不是那个可加载内核模块的一部分,
因此如果需要使用它, 就必须自行编译定制的内核了。
这些设置只有在您使用它们构建和安装新内核之后才会生效。
可用的 rc.conf 选项
您需要在 /etc/rc.conf
中添加如下配置, 以便在启动时激活 PF:
pf_enable="YES" # 启用 PF (如果需要的话, 自动加载内核模块)
pf_rules="/etc/pf.conf" # pf 使用的规则定义文件
pf_flags="" # 启动时传递给 pfctl 的其他选项
pflog_enable="YES" # 启动 pflogd(8)
pflog_logfile="/var/log/pflog" # pflogd 用于记录日志的文件名
pflog_flags="" # 启动时传递给 pflogd 的其他选项
如果您的防火墙后面有一个 LAN,
而且需要通过它来转发 LAN 上的包, 或进行 NAT,
还必须同时启用下述选项:
gateway_enable="YES" # 启用为 LAN 网关
启用 <acronym>ALTQ</acronym>
ALTQ 只有在作为编译选项加入到 &os; 内核时,
才能使用。 ALTQ 目前还不是所有的可用网卡驱动都能够支持的。
请参见 &man.altq.4; 联机手册了解您正使用的 &os; 版本中的驱动支持情况。
下面这些选项将启用 ALTQ 以及一些附加的功能。
options ALTQ
options ALTQ_CBQ # 基于分类的排列 (CBQ)
options ALTQ_RED # 随机先期检测 (RED)
options ALTQ_RIO # 对进入和发出的包进行 RED
options ALTQ_HFSC # 带等级的包调度器 (HFSC)
options ALTQ_PRIQ # 按优先级的排列 (PRIQ)
options ALTQ_NOPCC # 在联编 SMP 内核时必须使用,禁止读时钟
options ALTQ 将启用
ALTQ 框架的支持。
options ALTQ_CBQ
用于启用基于分类的队列 (CBQ) 支持。 CBQ
允许您将连接分成不同的类别, 或者说, 队列,
以便在规则中为它们指定不同的优先级。
options ALTQ_RED
将启用随机预检测 (RED)。
RED 是一种用于防止网络拥塞的技术。
RED 度量队列的长度,
并将其与队列的最大和最小长度阈值进行比较。
如果队列过长, 则新的包将被丢弃。
如名所示, RED 从不同的连接中随机地丢弃数据包。
options ALTQ_RIO 将启用出入的随机预检测。
options ALTQ_HFSC
启用层次式公平服务平滑包调度器。
要了解关于 HFSC 进一步的信息, 请参见 。
options ALTQ_PRIQ 启用优先队列
(PRIQ)。 PRIQ
首先允许高优先级队列中的包通过。
options ALTQ_NOPCC 启用
ALTQ 的
SMP 支持。
如果是 SMP 系统,
则必须使用它。
建立过滤规则
Packet Filter 会从
&man.pf.conf.5; 文件中读取配置规则, 并根据那里的规则修改、
丢弃或让数据包通过。 默认安装的 &os;
已经提供了一个默认的、 包含一些有用例子和注释的
/etc/pf.conf。
尽管 &os; 提供了自己的 /etc/pf.conf,
但这个文件和 OpenBSD 中的语法是一样的。 OpenBSD
开发团队提供了一个非常好的配置 pf
资源, 它可以在
找到。
在浏览 pf 用户手册时, 请时刻注意,
在 &os; 中所包含的 pf 的版本和 OpenBSD 中是不一样的。 在 &os; 5.X 中
pf 相当于 OpenBSD 3.5 中的版本,
而 &os; 6.X 中则相当于 OpenBSD 3.7。
关于 pf 的配置和使用问题,
可以在 &a.pf; 提出。 当然, 在提出问题之前,
别忘了查阅邮件列表的存档。
IPFILTER (IPF) 防火墙
防火墙
IPFILTER
这一节的内容正在撰写中。 其内容可能不总是十分准确。
IPFILTER 的作者是 Darren Reed。 IPFILTER 是独立于操作系统的:
它是一个开放源代码的应用, 并且已经被移植到了 &os;、 NetBSD、
OpenBSD、 SunOS、 HP/UX, 以及 Solaris 操作系统上。
IPFILTER 的支持和维护都相当活跃, 并且有规律地发布更新版本。
IPFILTER 提供了内核模式的防火墙和
NAT 机制,
这些机制可以通过用户模式运行的接口程序进行监视和控制。
防火墙规则可以使用 &man.ipf.8; 工具来动态地设置和删除。
NAT 规则可以通过
&man.ipnat.1; 工具来维护。 &man.ipfstat.8; 工具则可以用来显示
IPFILTER 内核部分的统计数据。 最后, 使用
&man.ipmon.8; 程序可以把 IPFILTER 的动作记录到系统日志文件中。
IPF 最初是使用一组
以最后匹配的规则为准
的策略来实现的,
这种方式只能支持无状态的规则。 随着时代的进步,
IPF 被逐渐增强, 并加入了 quick
选项,
以及支持状态的 keep
state
选项, 这使得规则处理逻辑变得更富有现代气息。
IPF 的官方文档介绍了传统的规则编写方法和文件处理逻辑。
新增的功能只是作为一些附加的选项出现, 如果能完全理解这些功能,
则对于建立更安全的防火墙就很有好处。
这一节中主要是针对 quick
选项,
以及支持状态的 keep state
选项的介绍。
这是包容式防火墙规则集最基本的编写要素。
包容式防火墙只允许与规则匹配的包通过。 这样,
您就既能够控制来自防火墙后面的机器请求 Internet 公网上的那些服务,
同时也可以控制来自 Internet 的请求能够访问内部网上的哪些服务。
所有其它的访问请求都会被阻止, 并记录下来。
包容式防火墙一般而言要远比排斥式的要安全,
而且也只需要定义允许哪些访问通过。
要获得关于传统规则处理方式的详细信息,
请参考:
以及 。
IPF FAQ 可以在 找到。
除此之外, 您还可以在
找到开放源代码的 IPFilter 的邮件列表存档, 并进行搜索。
启用 IPF
IPFILTER
启用
IPF 作为 &os; 基本安装的一部分,
以一个独立的内核模块的形式提供。
如果在 rc.conf 中配置了
ipfilter_enable="YES",
系统就会自动地动态加载 IPF 内核模块。
这个内核模块在创建时启用了日志支持, 并加入了 default
pass all 选项。 如果只是需要把默认的规则设置为
block all 的话, 并不需要把 IPF
编译到内核中。 可以简单地通过把这条规则加入自己的规则集来达到同样的目的。
内核选项
内核选项
IPFILTER
内核选项
IPFILTER_LOG
内核选项
IPFILTER_DEFAULT_BLOCK
IPFILTER
内核选项
下面这些 &os; 内核编译选项并不是启用 IPF 所必需的。
这里只是作为背景知识来加以阐述。 如果将 IPF
编入了内核, 则对应的内核模块将不被使用。
关于 IPF 选项语句的内核编译配置的例子, 可以在内核源代码中的
/usr/src/sys/conf/NOTES 找到。
此处列举如下:
options IPFILTER
options IPFILTER_LOG
options IPFILTER_DEFAULT_BLOCK
options IPFILTER 用于启用
IPFILTER
防火墙的支持。
options IPFILTER_LOG 用于启用 IPF 的日志支持,
所有匹配了包含 log 的规则的包,
都会被记录到 ipl 这个包记录伪—设备中。
options IPFILTER_DEFAULT_BLOCK
将改变防火墙的默认动作, 进而, 所有不匹配防火墙的 pass
规则的包都会被阻止。
这些选项只有在您重新编译并安装内核之后才会生效。
可用的 rc.conf 选项
要在启动时激活 IPF, 您需要在 /etc/rc.conf
中增加下面的设置:
ipfilter_enable="YES" # 启动 ipf 防火墙
ipfilter_rules="/etc/ipf.rules" # 将被加载的规则定义, 这是一个文本文件
ipmon_enable="YES" # 启动 IP 监视日志
ipmon_flags="-Ds" # D = 作为服务程序启动
# s = 使用 syslog 记录
# v = 记录 tcp 窗口大小、 ack 和顺序号(seq)
# n = 将 IP 和端口映射为名字
如果您的 LAN 在防火墙后面, 并且使用了保留的私有 IP 地址范围,
那就需要增加下面的一些选项来启用 NAT 功能:
gateway_enable="YES" # 启用作为 LAN 网关的功能
ipnat_enable="YES" # 启动 ipnat 功能
ipnat_rules="/etc/ipnat.rules" # 用于 ipnat 的规则定义文件
IPF
ipf
ipf 命令可以用来加载您自己的规则文件。 一般情况下,
您可以建立一个包括您自定义的规则的文件,
并使用这个命令来替换掉正在运行的防火墙中的内部规则:
&prompt.root; ipf -Fa -f /etc/ipf.rules
表示清除所有的内部规则表。
用于指定将要被读取的规则定义文件。
这个功能使得您能够修改自定义的规则文件, 通过运行上面的 IPF 命令,
可以将正在运行的防火墙刷新为使用全新的规则集, 而不需要重新启动系统。
这对于测试新的规则来说就很方便, 因为您可以任意执行上面的命令。
请参考 &man.ipf.8; 联机手册以了解这个命令提供的其它选项。
&man.ipf.8; 命令假定规则文件是一个标准的文本文件。
它不能处理使用符号代换的脚本。
也确实有办法利用脚本的非常强大的符号替换能力来构建 IPF 规则。
要了解进一步的细节, 请参考
。
IPFSTAT
ipfstat
IPFILTER
统计
默认情况下, &man.ipfstat.8; 会获取并显示所有的累积统计,
这些统计是防火墙启动以来用户定义的规则匹配的出入流量,
您可以通过使用
ipf -Z 命令来将这些计数器清零。
请参见 &man.ipfstat.8; 联机手册以了解进一步的细节。
默认的 &man.ipfstat.8; 命令输出类似于下面的样子:
input packets: blocked 99286 passed 1255609 nomatch 14686 counted 0
output packets: blocked 4200 passed 1284345 nomatch 14687 counted 0
input packets logged: blocked 99286 passed 0
output packets logged: blocked 0 passed 0
packets logged: input 0 output 0
log failures: input 3898 output 0
fragment state(in): kept 0 lost 0
fragment state(out): kept 0 lost 0
packet state(in): kept 169364 lost 0
packet state(out): kept 431395 lost 0
ICMP replies: 0 TCP RSTs sent: 0
Result cache hits(in): 1215208 (out): 1098963
IN Pullups succeeded: 2 failed: 0
OUT Pullups succeeded: 0 failed: 0
Fastroute successes: 0 failures: 0
TCP cksum fails(in): 0 (out): 0
Packet log flags set: (0)
如果使用了 (进入流量)
或者 (输出流量),
它就只获取并显示内核中所安装的对应过滤器规则的统计数据。
ipfstat -in 以规则号的形式显示进入的内部规则表。
ipfstat -on 以规则号的形式显示流出的内部规则表。
输出和下面的类似:
@1 pass out on xl0 from any to any
@2 block out on dc0 from any to any
@3 pass out quick on dc0 proto tcp/udp from any to any keep state
ipfstat -ih 显示内部规则表中的进入流量,
每一个匹配规则前面会同时显示匹配的次数。
ipfstat -oh 显示内部规则表中的流出流量,
每一个匹配规则前面会同时显示匹配的次数。
输出和下面的类似:
2451423 pass out on xl0 from any to any
354727 block out on dc0 from any to any
430918 pass out quick on dc0 proto tcp/udp from any to any keep state
ipfstat 命令的一个重要的功能可以通过指定
参数来使用, 它会以类似 &man.top.1;
的显示 &os; 正运行的进程表的方式来显示统计数据。
当您的防火墙正在受到攻击的时候, 这个功能让您得以识别、
试验, 并查看攻击的数据包。 这个选项提还提供了实时选择希望监视的目的或源 IP、
端口或协议的能力。 请参见 &man.ipfstat.8; 联机手册以了解详细信息。
IPMON
ipmon
IPFILTER
记录日志
为了使 ipmon 能够正确工作,
必须打开 IPFILTER_LOG 这个内核选项。 这个命令提供了两种不同的使用模式。
内建模式是默认的模式, 如果您不指定
参数, 就会采用这种模式。
服务模式是持续地通过系统日志来记录的工作模式, 这样,
您就可以通过查看日志来了解过去曾经发生过的事情。
这种模式是 &os; 和 IPFILTER 配合工作的模式。
由于在 &os; 中提供了一个内建的系统日志自动轮转功能,
因此, 使用 syslogd 比默认的将日志信息记录到一个普通文件要好。
在默认的 rc.conf 文件中, 您会看到一个
ipmon_flags 语句, 指定了 标志:
ipmon_flags="-Ds" # D = 作为服务程序启动
# s = 使用 syslog 记录
# v = 记录 tcp 窗口大小、 ack 和顺序号(seq)
# n = 将 IP 和端口映射为名字
记录日志的好处是很明显的。 它提供了在事后重新审查相关信息,
例如哪些包被丢弃, 以及这些包的来源地址等等。
这将为查找攻击者提供非常有用的第一手资料。
即使启用了日志机制, IPF 仍然不会对其规则进行任何日志记录工作。
防火墙管理员可以决定规则集中的哪些应记录日志,
并在这些规则上加入 log 关键字。 一般来说, 只应记录拒绝性的规则。
作为惯例, 通常会有一条默认的、拒绝所有网络流量的规则,
并指定 log 关键字, 作为您的规则集的最后一条。
这样, 您就能够看到所有没有匹配任何规则的数据包。
IPMON 的日志
Syslogd 使用特殊的方法对日志数据进行分类。
它使用称为 facility
和 level
的组。
以 模式运行的 IPMON 采用 security
作为 facility
名。 所有由 IPMON 记录的数据都会进入 security。
如果需要, 可以用下列 levels
来进一步区分数据:
LOG_INFO - 使用 "log" 关键字指定的通过或阻止动作
LOG_NOTICE - 同时记录通过的那些数据包
LOG_WARNING - 同时记录阻止的数据包
LOG_ERR - 进一步记录含不完整的包头的数据包
要设置 IPFILTER 来将所有的数据记录到
/var/log/ipfilter.log, 需要首先建立这个文件。
下面的命令可以完成这个工作:
&prompt.root; touch /var/log/ipfilter.log
syslog 功能可以通过在 /etc/syslog.conf 文件中的语句来定义。
syslog.conf 提供了相当多的用以控制 syslog
如何处理类似 IPF 这样的用用程序所产生的系统消息的方法。
您需要将下列语句加到
/etc/syslog.conf:
security.* /var/log/ipfilter.log
这里的 security.*
表示把所有的相关日志信息写到指定的文件中。
要让 /etc/syslog.conf
中的修改立即生效, 您可以重新启动计算机, 或者通过执行
/etc/rc.d/syslogd reload
来让它重新读取 /etc/syslog.conf。
不要忘了修改 /etc/newsyslog.conf
来让您刚创建的日志进行轮转。
记录消息的格式
由 ipmon 生成的消息由空格分隔的数据字段组成。
所有的消息都包含的字段是:
接到数据包的日期。
接到数据包的时间。 其格式为
HH:MM:SS.F, 分别是小时、 分钟、 秒,
以及分秒 (这个数字可能有许多位)。
处理数据包的网络接口名字,
例如 dc0。
组和规则的编号, 例如 @0:17。
可以通过 ipfstat -in 来查看这些信息。
动作: p 表示通过, b 表示阻止, S 表示包头不全,
n 表示没有匹配任何规则, L 表示 log 规则。
显示这些标志的顺序是: S, p, b, n, L。
大写的 P 或 B 表示记录包的原因是某个全局的日志配置,
而不是某个特定的规则。
地址。 这实际上包括三部分:
源地址和端口 (以逗号分开), 一个 ->
符号, 以及目的地址和端口。
209.53.17.22,80 -> 198.73.220.17,1722.
PR, 后跟协议名称或编号,
例如, PR tcp。
len, 后跟包头的长度, 以及包的总长度,
例如 len 20 40。
对于 TCP 包, 则还会包括一个附加的字段,
由一个连字号开始, 之后是表示所设置的标志的一个字母。
请参见 &man.ipmon.8; 联机手册, 以了解这些字母所对应的标志。
对于 ICMP 包, 则在最后会有两个字段。
前一个总是 ICMP
, 而后一个则是 ICMP
消息和子消息的类型, 中间以斜线分靠, 例如 ICMP 3/3
表示端口不可达消息。
构建采用符号替换的规则脚本
一些有经验的 IPF 会创建包含规则的文件,
并把它编写成能够与符号替换脚本兼容的方式。 这样做最大的好处是,
它能够让您只修改符号名字所代表的值,
而在脚本执行时直接替换掉所有的名符。
作为脚本, 您可以使用符号替换来把那些经常使用的值直接用于多个规则。
下面我们将给出一个例子。
这个脚本所使用的语法与 sh、 csh,
以及 tcsh 脚本。
符号替换的前缀字段是美元符号: $。
符号字段不使用 $ 前缀。
希望替换符号字段的值,
必须使用双引号 (") 括起来。
您的规则文件的开头类似这样:
############# IPF 规则脚本的开头 ########################
oif="dc0" # 外网接口的名字
odns="192.0.2.11" # ISP 的 DNS 服务器 IP 地址
myip="192.0.2.7" # 来自 ISP 的静态 IP 地址
ks="keep state"
fks="flags S keep state"
# 可以使用这个脚本来建立 /etc/ipf.rules 文件,
# 也可以 "直接地" 运行它。
#
# 请删除两个注释号之一。
#
# 1) 保留下面一行, 则创建 /etc/ipf.rules:
#cat > /etc/ipf.rules << EOF
#
# 2) 保留下面一行, 则 "直接地" 运行脚本:
/sbin/ipf -Fa -f - << EOF
# 允许发出到我的 ISP 的域名服务器的访问
pass out quick on $oif proto tcp from any to $odns port = 53 $fks
pass out quick on $oif proto udp from any to $odns port = 53 $ks
# 允许发出未加密的 www 访问请求
pass out quick on $oif proto tcp from $myip to any port = 80 $fks
# 允许发出使用 TLS SSL 加密的 https www 访问请求
pass out quick on $oif proto tcp from $myip to any port = 443 $fks
EOF
################## IPF 规则脚本的结束 ########################
这就是所需的全部内容。 这个规则本身并不重要,
它们主要是用于体现如何使用符号代换字段,
以及如何完成值的替换。
如果上面的例子的名字是 /etc/ipf.rules.script,
就可以通过输入下面的命令来重新加载规则:
&prompt.root; sh /etc/ipf.rules.script
在规则文件中嵌入符号有一个问题: IPF 无法识别符号替换,
因此它不能直接地读取这样的脚本。
这个脚本可以使用下面两种方法之一来使用:
去掉 cat 之前的注释,
并注释掉
/sbin/ipf 开头的那一行。 像其他配置一样, 将
ipfilter_enable="YES" 放到
/etc/rc.conf 文件中,
并在此后立刻执行脚本, 以创建或更新
/etc/ipf.rules。
通过把 ipfilter_enable="NO"
(这是默认值) 加到
/etc/rc.conf 中,
来禁止系统启动脚本开启 IPFILTER。
在
/usr/local/etc/rc.d/
启动目录中增加一个类似下面的脚本。
应该给它起一个显而易见的名字, 例如
ipf.loadrules.sh。
请注意, .sh
扩展名是必需的。
#!/bin/sh
sh /etc/ipf.rules.script
脚本文件必须设置为属于 root,
并且属主可读、 可写、 可执行。
&prompt.root; chmod 700 /usr/local/etc/rc.d/ipf.loadrules.sh
这样, 在系统启动时, 就会自动加载您的 IPF
规则了。
IPF 规则集
规则集是指一组编写好的依据包的值决策允许通过或阻止 ipf 规则。
包的双向交换组成了一个会话交互。 防火墙规则集对同一个包会进行两次处理,
第一次是它从公网的 Internet 主机到达的时候, 第二次是它离开并返回初始的
Internet 公网主机的时候。 每一个 TCP/IP 服务 (例如 telnet, www,
邮件等等) 是由协议预先定义的源或目的 IP 地址, 以及源或目的端口。
这是最基本的一些可以为防火墙规则所利用的, 判别是否允许服务通过的标准。
IPFILTER
规则处理顺序
IPF 最初被写成使用一组称作
以最后匹配的规则为准
的处理逻辑, 且只能处理无状态的规则。
随着时代的发展, IPF 进行了改进, 并提供了 quick
选项, 以及一个有状态的 keep state
选项。
后者使处理逻辑迅速地跟上了时代的步伐。
这一节中提供的一些指导,
是基于使用包含 quick
选项和有状态的
keep state
选项来进行阐述的。
这些是编写包容式防火墙规则集的基本要素。
包容式防火墙只允许与规则匹配的服务通过。 这样,
您就既能够控制来自防火墙后面的机器请求 Internet 公网上的那些服务,
同时也可以控制来自 Internet 的请求能够访问内部网上的哪些服务。
所有其它的访问请求都会被阻止, 并记录下来。
包容式防火墙一般而言要远比排斥式的要安全,
而且也只需要定义允许哪些访问通过。
当对防火墙规则进行操作时, 应该
谨慎行事。 某些配置可能会
将您反锁在 服务器外面。
安全起见, 您可以考虑在第一次进行防火墙配置时在本地控制台上,
而不是远程, 例如通过
ssh 来进行。
规则语法
IPFILTER
规则语法
这里给出的规则语法已经简化到只处理那些新式的带状态规则,
并且都是 第一个匹配的规则获胜
逻辑的。
要了解完整的传统规则语法描述, 请参见 &man.ipf.8; 联机手册。
以 # 字符开头的内容会被认为是注释。
这些注释可以出现在一行规则的末尾, 或者独占一行。 空行会被忽略。
规则由关键字组成。 这些关键字必须以一定的顺序,
从左到右出现在一行上。 接下来的文字中关键字将使用粗体表示。
某些关键字可能提供了子选项, 这些子选项本身可能也是关键字,
而且可能会提供更多的子选项。 下面的文字中,
每种语法都使用粗体的小节标题呈现, 并介绍了其上下文。
ACTION IN-OUT OPTIONS SELECTION STATEFUL PROTO
SRC_ADDR,DST_ADDR OBJECT PORT_NUM TCP_FLAG
STATEFUL
ACTION = block | pass
IN-OUT = in | out
OPTIONS = log | quick | on
网络接口的名字
SELECTION = proto 协议名称 |
源/目的 IP | port = 端口号 | flags 标志值
PROTO = tcp/udp | udp | tcp |
icmp
SRC_ADD,DST_ADDR = all | from
对象 to 对象
OBJECT = IP地址 | any
PORT_NUM = port 端口号
TCP_FLAG = S
STATEFUL = keep state
ACTION (动作)
动作对表示匹配规则的包应采取什么动作。
每一个规则 必须 包含一个动作。
可以使用下面两种动作之一:
block 表示如果规则与包匹配,
则丢弃包。
pass 表示如果规则与包匹配,
则允许包通过防火墙。
IN-OUT
每个过滤器规则都必须明确地指定是流入还是流出的规则。
下一个关键字必须要么是 in, 要么是 out,
否则将无法通过语法检查。
in 表示规则应被应用于刚刚从 Internet
公网上收到的数据包。
out 表示规则应被应用于即将发出到
Internet 的数据包。
OPTIONS
这些选项必须按下面指定的顺序出现。
log 表示包头应被写入到
ipl 日志 (如前面 LOGGING 小节所介绍的那样),
如果它与规则匹配的话。
quick 表示如果给出的参数与包匹配,
则以这个规则为准, 这使得能够 "短路" 掉后面的规则。
这个选项对于使用新式的处理逻辑是必需的。
on 表示将网络接口的名称作为筛选参数的一部分。
接口的名字会在 &man.ifconfig.8; 的输出中显示。 使用这个选项,
则规则只会应用到某一个网络接口上的出入数据包上。
要配置新式的处理逻辑, 必须使用这个选项。
当记录包时, 包的头会被写入到 IPL 包日志伪设备中。
紧跟 log 关键字, 可以使用下面几个修饰符
(按照下列顺序):
body 表示应同时记录包的前 128 字节的内容。
first 如果 log 关键字和
keep state
选项同时使用,
则这个选项只在第一个包上触发, 这样就不用记录每一个
keep state
包信息了。
SELECTION
这一节所介绍的关键字可以用于所检察的包的属性。
有一个关键字主题, 以及一组子选项关键字,
您必须从他们中选择一个。 以下是一些通用的属性,
它们必须按下面的顺序使用:
PROTO
proto 是一个主题关键字,
它必须与某个相关的子选项关键字配合使用。
这个值的作用是匹配某个特定的协议。
要使用新式的规则处理逻辑, 就必须使用这个选项。
tcp/udp | udp | tcp | icmp 或其他在
/etc/protocols 中定义的协议。
特殊的协议关键字 tcp/udp 可以用于匹配
TCP 或 UDP 包,
引入这个关键字的作用是是避免大量的重复规则的麻烦。
SRC_ADDR/DST_ADDR
使用 all 关键词, 基本上相当于 from
any to any
在没有配合其他关键字的情形。
from src to dst: from 和 to
关键字主要是用来匹配 IP 地址。 所有的规则都必须同时给出源和目的两个参数。
any 是一个可以用于匹配任意 IP 地址的特殊关键字。
例如, 您可以使用 from any to any
或 from
0.0.0.0/0 to any
或 from any to 0.0.0.0/0
或 from
0.0.0.0 to any
以及 from any to 0.0.0.0
。
IP 地址可以按句点分隔的 IP 地址/掩码长度 的方式来指定,
也可以只指定一个句点分隔的 IP 地址。
如果无法使用子网掩码来表示 IP 的话, 表达地址就会很麻烦。
请参见下面的网页了解如何撰写掩码长度:
。
PORT
如果为源或目的指定了匹配端口, 规则就只能应用于 TCP 和
UDP 包了。 当编写端口比较规则时,
可以指定 /etc/services 中所定义的名字,
也可以直接用端口号来指定。 如果端口号出现在源对象一侧,
则被认为是源端口号; 反之, 则被认为是目的端口号。
要使用新式的规则处理逻辑,
就必须与 to 对象配合使用这个选项。
使用的例子: from any to any port = 80
。
端口的比较是以数字的形式进行的, 可以使用比较算符来指定,
也可以指定一个范围。
port "=" | "!=" | "<" | ">" | "<=" | ">=" |
"eq" | "ne" | "lt" | "gt" | "le" | "ge".
要指定端口范围, 可以使用 "<>" | "><"。
在源和目的匹配参数之后, 需要使用下面两个参数,
才能够使用新式的规则处理逻辑。
<acronym>TCP</acronym>_FLAG
标志只对 TCP 过滤使用。
这些字母用来表达 TCP 包头的标志。
新式的规则处理逻辑使用 flags
S 参数来识别 tcp 会话开始的请求。
STATEFUL
keep state 表示如果有一个包与规则匹配,
则其筛选参数应激活有状态的过滤机制。
如果使用新式的处理逻辑, 则这个选项是必需的。
有状态过滤
IPFILTER
有状态过滤
有状态过滤将网络流量当作一种双向的包交换来处理。
如果激活它, keep-state 会动态地为每一个相关的包在双向会话交互过程中产生内部规则。
它能够确认发起者和包的目的地之间的会话是有效的双向包交换过程的一部分。
如果包与这些规则不符, 则将自动地拒绝。
状态保持也使得 ICMP 包能够与 TCP
或 UDP 会话相关。 因此, 如果您在浏览网站时收到允许的状态保持规则匹配的
ICMP 类型 3 代码 4 响应, 则这些响应会被自动地允许进入。
所有 IPF 能够处理的包, 都可以作为某种活跃会话的一部分,
即使它是另一种协议的, 也会被允许进入。
所发生的事情是:
将要通过联入公网的网络接口发出的包, 首先会经过动态状态表的检查。
如果包与会话中预期的下一个包匹配, 则防火墙就会允许包通过,
而会话的交互流信息也会在动态状态表中进行更新, 而其他的包,
则将使用发出规则集来检查。
发到联入 Internet 公网的包, 也会首先经过动态规则表的检查。
如果与会话中预期的下一个包匹配, 则防火墙就允许它通过,
并更新动态状态表。 其他包仍会使用进入规则集进行检查。
当会话结束时, 对应的项会在动态状态表中删除。
有状态过滤使得您能够集中于阻止/允许新的会话。
一旦新会话被允许通过, 则所有后续的包就都被自动地允许通过,
而伪造的包则被自动地拒绝。 如果新的会话被阻止,
则后续的包也都不会被允许通过。 有状态过滤从技术角度而言,
在阻止目前攻击者常用的洪水式攻击来说, 具有更好的抗御能力。
包容式规则集的例子
下面的规则集是如何编写非常安全的包容式防火墙规则集的一个范例。
包容式防火墙只让允许的服务通过, 而所有其他的访问都会被默认地拒绝。
所有的防火墙都有至少两个接口对应的默认规则, 从而使防火墙能够正常工作。
所有的类 &unix; 系统, 包括 &os; 都使用
lo0 和 IP 地址
127.0.0.1 用于操作系统中内部的通讯。
防火墙规则必须允许这些包无阻碍地通过。
接入 Internet 公网的网络接口, 是放置规则并允许将访问请求发到
Internet 以及接收响应的地方。
这有可能是用户模式的 PPP tun0 接口,
如果您的网卡同 DSL 或电缆调制解调器相联的话。
如果有至少一个网卡与防火墙后的内网 LAN 相联,
这些网络接口就应该有一个规则来允许来自这些 LAN 接口的包无阻碍地通过。
一般说来, 规则应被组织为三个主要的小节:
所有允许自由通过的接口规则, 发到公网接口的规则,
以及进入公网接口的规则。
每一个公网接口规则中, 经常会匹配到的规则应该放置在尽可能靠前的位置。
而最后一个规则应该是阻止包通过, 并记录它们。
下面防火墙规则集中, Outbound 部分是一些使用
'pass' 的规则, 这些规则指定了允许访问的公网
Internet 服务, 并且指定了 'quick'、 'on'、
'proto'、 'port', 以及 'keep state' 这些选项。 'proto
tcp' 规则还指定了 'flag' 这个选项, 这样会话的第一个包将出发状态机制。
接下来的 Inbound 一节, 则首先阻止所有不希望的数据包。
这样做有两个原因, 其一是被阻止的包可能会被后面的规则允许,
从而并不妨碍获得授权的服务正常工作;
其二是这避免了那些不常见的包由于匹配到最后一条规则而触发日志,
规则集中的最后一条规则是阻止并记录所有的包,
通过这样的记录, 就比较容易找到攻击系统的人,
并为采取法律措施收集证据。
需要注意的另一件事情是, 如果收到了不希望的数据包,
则这些包会被丢弃, 而不是给出什么响应。 这样做的好处是,
攻击者无法了解包是否已经被您的系统收到。
攻击者所能了解到的信息越少,
攻陷您的系统所需要花费的时间也就越长。
我们在这里记录的连入的 'nmap OS 指纹' 探测企图,
一般来说正是攻击者所做的第一件事。
如果您看到了 'log first' 规则的日志,
就应该用 ipfstat -hio 命令来看看那个规则被匹配的次数,
以便了解系统是否正在或曾被攻击。
如果记录的包的端口号并不是您所知道的,
可以在 /etc/services 或
了解端口号通常的用途。
参考下面的网页, 了解木马使用的端口:。
下面是我在自己的系统中使用的完整的, 非常安全的
'包容式' 防火墙规则集。 直接使用这个规则集不会给您造成问题,
您所要做的只是注释掉那些您不需要的服务。
如果在日志中发现了希望阻止的记录, 只需在
inbound 小节中增加一条阻止规则集可。
您必须将每一个规则中的 dc0
替换为您系统上接入 Internet 的网络接口名称, 例如,
用户环境下的 PPP 应该是 tun0。
在
/etc/ipf.rules 中加入下面的内容:
#################################################################
# No restrictions on Inside LAN Interface for private network
# Not needed unless you have LAN
#################################################################
#pass out quick on xl0 all
#pass in quick on xl0 all
#################################################################
# No restrictions on Loopback Interface
#################################################################
pass in quick on lo0 all
pass out quick on lo0 all
#################################################################
# Interface facing Public Internet (Outbound Section)
# Interrogate session start requests originating from behind the
# firewall on the private network
# or from this gateway server destine for the public Internet.
#################################################################
# Allow out access to my ISP's Domain name server.
# xxx must be the IP address of your ISP's DNS.
# Dup these lines if your ISP has more than one DNS server
# Get the IP addresses from /etc/resolv.conf file
pass out quick on dc0 proto tcp from any to xxx port = 53 flags S keep state
pass out quick on dc0 proto udp from any to xxx port = 53 keep state
# Allow out access to my ISP's DHCP server for cable or DSL networks.
# This rule is not needed for 'user ppp' type connection to the
# public Internet, so you can delete this whole group.
# Use the following rule and check log for IP address.
# Then put IP address in commented out rule & delete first rule
pass out log quick on dc0 proto udp from any to any port = 67 keep state
#pass out quick on dc0 proto udp from any to z.z.z.z port = 67 keep state
# Allow out non-secure standard www function
pass out quick on dc0 proto tcp from any to any port = 80 flags S keep state
# Allow out secure www function https over TLS SSL
pass out quick on dc0 proto tcp from any to any port = 443 flags S keep state
# Allow out send & get email function
pass out quick on dc0 proto tcp from any to any port = 110 flags S keep state
pass out quick on dc0 proto tcp from any to any port = 25 flags S keep state
# Allow out Time
pass out quick on dc0 proto tcp from any to any port = 37 flags S keep state
# Allow out nntp news
pass out quick on dc0 proto tcp from any to any port = 119 flags S keep state
# Allow out gateway & LAN users non-secure FTP ( both passive & active modes)
# This function uses the IPNAT built in FTP proxy function coded in
# the nat rules file to make this single rule function correctly.
# If you want to use the pkg_add command to install application packages
# on your gateway system you need this rule.
pass out quick on dc0 proto tcp from any to any port = 21 flags S keep state
# Allow out secure FTP, Telnet, and SCP
# This function is using SSH (secure shell)
pass out quick on dc0 proto tcp from any to any port = 22 flags S keep state
# Allow out non-secure Telnet
pass out quick on dc0 proto tcp from any to any port = 23 flags S keep state
# Allow out FBSD CVSUP function
pass out quick on dc0 proto tcp from any to any port = 5999 flags S keep state
# Allow out ping to public Internet
pass out quick on dc0 proto icmp from any to any icmp-type 8 keep state
# Allow out whois for LAN PC to public Internet
pass out quick on dc0 proto tcp from any to any port = 43 flags S keep state
# Block and log only the first occurrence of everything
# else that's trying to get out.
# This rule enforces the block all by default logic.
block out log first quick on dc0 all
#################################################################
# Interface facing Public Internet (Inbound Section)
# Interrogate packets originating from the public Internet
# destine for this gateway server or the private network.
#################################################################
# Block all inbound traffic from non-routable or reserved address spaces
block in quick on dc0 from 192.168.0.0/16 to any #RFC 1918 private IP
block in quick on dc0 from 172.16.0.0/12 to any #RFC 1918 private IP
block in quick on dc0 from 10.0.0.0/8 to any #RFC 1918 private IP
block in quick on dc0 from 127.0.0.0/8 to any #loopback
block in quick on dc0 from 0.0.0.0/8 to any #loopback
block in quick on dc0 from 169.254.0.0/16 to any #DHCP auto-config
block in quick on dc0 from 192.0.2.0/24 to any #reserved for docs
block in quick on dc0 from 204.152.64.0/23 to any #Sun cluster interconnect
block in quick on dc0 from 224.0.0.0/3 to any #Class D & E multicast
##### Block a bunch of different nasty things. ############
# That I do not want to see in the log
# Block frags
block in quick on dc0 all with frags
# Block short tcp packets
block in quick on dc0 proto tcp all with short
# block source routed packets
block in quick on dc0 all with opt lsrr
block in quick on dc0 all with opt ssrr
# Block nmap OS fingerprint attempts
# Log first occurrence of these so I can get their IP address
block in log first quick on dc0 proto tcp from any to any flags FUP
# Block anything with special options
block in quick on dc0 all with ipopts
# Block public pings
block in quick on dc0 proto icmp all icmp-type 8
# Block ident
block in quick on dc0 proto tcp from any to any port = 113
# Block all Netbios service. 137=name, 138=datagram, 139=session
# Netbios is MS/Windows sharing services.
# Block MS/Windows hosts2 name server requests 81
block in log first quick on dc0 proto tcp/udp from any to any port = 137
block in log first quick on dc0 proto tcp/udp from any to any port = 138
block in log first quick on dc0 proto tcp/udp from any to any port = 139
block in log first quick on dc0 proto tcp/udp from any to any port = 81
# Allow traffic in from ISP's DHCP server. This rule must contain
# the IP address of your ISP's DHCP server as it's the only
# authorized source to send this packet type. Only necessary for
# cable or DSL configurations. This rule is not needed for
# 'user ppp' type connection to the public Internet.
# This is the same IP address you captured and
# used in the outbound section.
pass in quick on dc0 proto udp from z.z.z.z to any port = 68 keep state
# Allow in standard www function because I have apache server
pass in quick on dc0 proto tcp from any to any port = 80 flags S keep state
# Allow in non-secure Telnet session from public Internet
# labeled non-secure because ID/PW passed over public Internet as clear text.
# Delete this sample group if you do not have telnet server enabled.
#pass in quick on dc0 proto tcp from any to any port = 23 flags S keep state
# Allow in secure FTP, Telnet, and SCP from public Internet
# This function is using SSH (secure shell)
pass in quick on dc0 proto tcp from any to any port = 22 flags S keep state
# Block and log only first occurrence of all remaining traffic
# coming into the firewall. The logging of only the first
# occurrence stops a .denial of service. attack targeted
# at filling up your log file space.
# This rule enforces the block all by default logic.
block in log first quick on dc0 all
################### End of rules file #####################################
<acronym>NAT</acronym>
NAT
IP 伪装
NAT
网络地址转换
NAT
NAT 是 网络地址转换(Network Address
Translation) 的缩写。 对于那些熟悉 &linux; 的人来说,
这个概念叫做 IP 伪装 (Masquerading); NAT 和 IP
伪装是完全一样的概念。 由
IPF 的 NAT 提供的一项功能是,
将防火墙后的本地局域网 (LAN) 共享一个 ISP 提供的 IP
地址来接入 Internet 公网。
有些人可能会问, 为什么需要这么做。 一般而言, ISP
会为非商业用户提供动态的 IP 地址。 动态地址意味着每次登录到
ISP 都有可能得到不同的 IP 地址, 无论是采用电话拨号登录,
或使用 cable 以及 DSL 调制解调器的方式。 这个 IP 是您与
Internet 公网交互时使用的身份。
现在考虑家中有五台 PC 需要访问
Internet 的情形。 您可能需要向 ISP 为每一台 PC
所使用的独立的 Internet 账号付费, 并且拥有五根电话线。
有了 NAT, 您就只需要一个 ISP 账号,
然后将另外四台 PC 的网卡通过交换机连接起来,
并通过运行 &os; 系统的那台机器作为网关连接出去。
NAT 会自动地将每一台 PC 在内网的 LAN IP 地址,
在离开防火墙时转换为公网的 IP 地址。 此外, 当数据包返回时,
也将进行逆向的转换。
NAT 通常是在没有向 ISP 请求许可,
或事先知会的情况下进行的, 因而如果被发现,
有时可能会成为 ISP 撤销您的账号的一个借口。
商业用户一般来说会购买昂贵得多的 Internet 线路,
通常会获得一组长期有效的静态 IP 地址块。 ISP
一般会希望并同意商业用户在他们的内网中使用
NAT。
在 IP 地址空间中, 有一些特殊的范围是保留供经过
NAT 的内网 LAN IP 地址使用的。 根据
RFC 1918, 您可以使用下面这些 IP 范围用于内网,
它们不会在 Internet 公网上路由:
起始 IP 10.0.0.0
-
结束 IP 10.255.255.255
起始 IP 172.16.0.0
-
结束 IP 172.31.255.255
起始 IP 192.168.0.0
-
结束 IP 192.168.255.255
IP<acronym>NAT</acronym>
NAT
以及 IPFILTER
ipnat
NAT 规则是通过
ipnat 命令加载的。 默认情况下,
NAT 规则会保存在
/etc/ipnat.rules 文件中。 请参见 &man.ipnat.1;
了解更多的详情。
如果在 NAT 已经启动之后想要修改
NAT 规则, 可以修改保存 NAT 规则的那个文件,
然后在执行 ipnat 命令时加上 参数,
以删除在用的 NAT 内部规则表,
以及所有地址翻译表中已有的项。
要重新加载 NAT 规则, 可以使用类似下面的命令:
&prompt.root; ipnat -CF -f /etc/ipnat.rules
如果想要看看您系统上
NAT 的统计信息, 可以用下面的命令:
&prompt.root; ipnat -s
要列出当前的 NAT 表的映射关系,
使用下面的命令:
&prompt.root; ipnat -l
要显示详细的信息并显示与规则处理和当前的规则/表项:
&prompt.root; ipnat -v
IP<acronym>NAT</acronym> 规则
NAT 规则非常的灵活,
能够适应商业用户和家庭用户的各种不同的需求。
这里所介绍的规则语法已经被简化,
以适应非商用环境中的一般情况。 完整的规则语法描述,
请参考 &man.ipnat.5; 联机手册中的介绍。
NAT 规则的写法与下面的例子类似:
map IF LAN_IP_RANGE -> PUBLIC_ADDRESS
关键词 map 出现在规则的最前面。
将 IF 替换为对外的网络接口名。
LAN_IP_RANGE 是内网中的客户机使用的地址范围。
通常情况下, 这应该是类似 192.168.1.0/24 的地址。
PUBLIC_ADDRESS
既可以是外网的 IP 地址, 也可以是
0/32 这个特殊的关键字,
它表示分配到 IF 上的所有地址。
<acronym>NAT</acronym> 的工作原理
当包从 LAN 到达防火墙, 而目的地址是公网地址时,
它首先会通过 outbound 过滤规则。 接下来,
NAT 会得到包, 并按自顶向下的顺序处理规则,
而第一个匹配的规则将生效。
NAT 接下来会根据包对应的接口名字和源
IP 地址检查所有的规则。 如果包和某个 NAT
规则匹配, 则会检查包的
[源 IP 地址, 例如, 内网的 IP 地址] 是否在
NAT 规则中箭头左侧指定的 IP 地址范围匹配。
如果匹配, 则包的原地址将被根据用 0/32
关键字指定的 IP 地址重写。
NAT 将向它的内部
NAT 表发送此地址, 这样, 当包从 Internet
公网中返回时, 就能够把地址映射回原先的内网 IP 地址,
并在随后使用过滤器规则来处理。
启用 IP<acronym>NAT</acronym>
要启用 IPNAT, 只需在
/etc/rc.conf 中加入下面一些语句。
使机器能够在不同的网络接口之间进行包的转发,
需要:
gateway_enable="YES"
每次开机时自动启动 IPNAT:
ipnat_enable="YES"
指定 IPNAT 规则集文件:
ipnat_rules="/etc/ipnat.rules"
大型 LAN 中的 <acronym>NAT</acronym>
对于在一个 LAN 中有大量 PC, 以及包含多个 LAN 的情形,
把所有的内网 IP 地址都映射到同一个公网 IP 上会导致资源不够的问题,
因为同一个端口可能在许多做了
NAT 的 LAN PC 上被多次使用, 并导致碰撞。
有两种方法来缓解这个难题。
指定使用哪些端口
普通的 NAT 规则类似于:
map dc0 192.168.1.0/24 -> 0/32
上面的规则中, 包的源端口在包通过 IPNAT
时时不会发生变化的。 通过使用 portmap 关键字, 您可以要求
IPNAT 只使用一定范围内的端口地址。
比如说, 下面的规则将让
IPNAT 把源端口改为指定范围内的端口:
map dc0 192.168.1.0/24 -> 0/32 portmap tcp/udp 20000:60000
使用
auto 关键字可以让配置变得更简单一些, 它会要求
IPNAT 自动地检测可用的端口并使用:
map dc0 192.168.1.0/24 -> 0/32 portmap tcp/udp auto
使用公网地址池
对很大的 LAN 而言, 总有一天会达到这样一个临界值,
此时的 LAN 地址已经多到了无法只用一个公网地址表现的程度。
如果有可用的一块公网 IP 地址, 则可以将这些地址作为一个
地址池
来使用, 让 IPNAT
来从这些公网 IP 地址中挑选用于发包的地址,
并将其为这些包创建映射关系。
例如, 如果将下面这个把所有包都映射到同一公网 IP 地址的规则:
map dc0 192.168.1.0/24 -> 204.134.75.1
稍作修改, 就可以用子网掩码来表达 IP 地址范围:
map dc0 192.168.1.0/24 -> 204.134.75.0/255.255.255.0
或者用 CIDR 记法来指定的一组地址了:
map dc0 192.168.1.0/24 -> 204.134.75.0/24
端口重定向
非常流行的一种做法是, 将 web 服务器、
邮件服务器、 数据库服务器以及 DNS 分别放到 LAN 上的不同的 PC 上。
这种情况下, 来自这些服务器的网络流量仍然应该被 NAT,
但必须有办法把进入的流量发到对应的局域网的
PC 上。 IPNAT 提供了 NAT
重定向机制来解决这个问题。 考虑下面的情况,
您的 web 服务器的 LAN 地址是 10.0.10.25, 而您的唯一的公网 IP
地址是 20.20.20.5, 则可以编写这样的规则:
rdr dc0 20.20.20.5/32 port 80 -> 10.0.10.25 port 80
或者:
rdr dc0 0.0.0.0/0 port 80 -> 10.0.10.25 port 80
另外, 也可以让 LAN 地址 10.0.10.33 上运行的 LAN DNS 服务器来处理公网上的
DNS 请求:
rdr dc0 20.20.20.5/32 port 53 -> 10.0.10.33 port 53 udp
FTP 和 <acronym>NAT</acronym>
FTP 是一个在 Internet 如今天这样为人所熟知之前就已经出现的恐龙,
那时, 研究机构和大学是通过租用的线路连到一起的, 而 FTP
则被用于在科研人员之间共享大文件。 那时,
数据的安全性并不是需要考虑的事情。 若干年之后, FTP
协议则被埋进了正在形成中的 Internet 骨干,
而它使用明文来交换用户名和口令的缺点,
并没有随着新出现的一些安全需求而得到改变。 FTP 提供了两种不同的风格,
即主动模式和被动模式。 两者的区别在于数据通道的建立方式。
被动模式相对而言要更加安全, 因为数据通道是由发起 ftp
会话的一方建立的。 关于 FTP 以及它所提供的不同模式,
在
进行了很好的阐述。
IP<acronym>NAT</acronym> 规则
IPNAT 提供了一个内建的 FTP 代理选项,
它可以在 NAT map 规则中指定。
它能够监视所有外发的 FTP 主动或被动模式的会话开始请求,
并动态地创建临时性的过滤器规则, 只打开用于数据通道的端口号。
这样, 就消除了 FTP 一般会给防火墙带来的,
需要大范围地打开高端口所可能带来的安全隐患。
下面的规则可以处理来自内网的 FTP 访问:
map dc0 10.0.10.0/29 -> 0/32 proxy port 21 ftp/tcp
这个规则能够处理来自网关的 FTP 访问:
map dc0 0.0.0.0/0 -> 0/32 proxy port 21 ftp/tcp
这个则处理所有来自内网的非 FTP 网络流量:
map dc0 10.0.10.0/29 -> 0/32
FTP map 规则应该在普通的 map 规则之前出现。
所有的包会从最上面的第一个规则开始进行检查。
匹配的顺序是网卡名称, 内网源 IP 地址, 以及它是否是 FTP 包。
如果所有这些规则都匹配成功, 则 FTP
代理将建立一个临时的过滤规则, 以便让 FTP 会话的数据包能够正常出入,
同时对这些包进行 NAT。
所有的 LAN 数据包, 如果没有匹配第一条规则,
则会继续尝试匹配下面的规则, 并最终被
NAT。
IP<acronym>NAT</acronym> FTP 过滤规则
如果使用了
NAT FTP 代理, 则只需要为 FTP 创建一个规则。
如果没有使用 FTP 代理, 则需要下面三个规则:
# Allow out LAN PC client FTP to public Internet
# Active and passive modes
pass out quick on rl0 proto tcp from any to any port = 21 flags S keep state
# Allow out passive mode data channel high order port numbers
pass out quick on rl0 proto tcp from any to any port > 1024 flags S keep state
# Active mode let data channel in from FTP server
pass in quick on rl0 proto tcp from any to any port = 20 flags S keep state
IPFW
防火墙
IPFW
这一节的内容正在撰写中。 其内容可能不总是十分准确。
IPFIREWALL (IPFW) 是一个由 &os; 发起的防火墙应用软件,
它由 &os; 的志愿者成员编写和维护。
它使用了传统的无状态规则和规则编写方式,
以期达到简单状态逻辑所期望的目标。
标准的 &os; 安装中, IPFW 所给出的规则集样例 (可以在
/etc/rc.firewall 中找到) 非常简单,
建议不要不加修改地直接使用。 该样例中没有使用状态过滤,
而该功能在大部分的配置中都是非常有用的,
因此这一节并不以系统自带的样例作为基础。
IPFW 的无状态规则语法, 是由一种提供复杂的选择能力的技术支持的,
这种技术远远超出了一般的防火墙安装人员的知识水平。
IPFW 是为满足专业用户,
以及掌握先进技术的电脑爱好者们对于高级的包选择需求而设计的。
要完全释放 IPFW 的规则所拥有的强大能力,
需要对不同的协议的细节有深入的了解,
并根据它们独特的包头信息来编写规则。
这一级别的详细阐述超出了这本手册的范围。
IPFW 由七个部分组成, 其主要组件是内核的防火墙过滤规则处理器,
及其集成的数据包记帐工具、 日志工具、 用以触发
NAT 工具的 'divert' (转发) 规则、
高级特殊用途工具、 dummynet 流量整形机制,
'fwd rule' 转发工具, 桥接工具, 以及 ipstealth 工具。
启用 IPFW
IPFW
启用
IPFW 是基本的 &os; 安装的一部分, 以单独的可加载内核模块的形式提供。
如果在 rc.conf 中加入
firewall_enable="YES" 语句, 就会自动地加载对应的内核模块。
除非您打算使用由它提供的
NAT 功能, 一般情况下并不需要把 IPFW 编进
&os; 的内核。
如果将
firewall_enable="YES" 加入到
rc.conf 中并重新启动系统,
则下列信息将在启动过程中, 以高亮的白色显示出来:
ipfw2 initialized, divert disabled, rule-based forwarding disabled, default to deny, logging disabled
可加载内核模块在编译时加入了记录日志的能力。 要启用日志功能,
并配置详细日志记录的限制, 需要在
/etc/sysctl.conf 中加入一些配置。
这些设置将在重新启动之后生效:
net.inet.ip.fw.verbose=1
net.inet.ip.fw.verbose_limit=5
内核选项
内核选项
IPFIREWALL
内核选项
IPFIREWALL_VERBOSE
内核选项
IPFIREWALL_VERBOSE_LIMIT
IPFW
内核选项
把下列选项在编译 &os; 内核时就加入, 并不是启用 IPFW 所必需的,
除非您需要使用 NAT 功能。
这里只是将这些选项作为背景知识来介绍。
options IPFIREWALL
这个选项将 IPFW 作为内核的一部分来启用。
options IPFIREWALL_VERBOSE
这个选项将启用记录通过 IPFW 的匹配了包含 'log' 关键字规则的每一个包的功能。
options IPFIREWALL_VERBOSE_LIMIT=5
以每项的方式, 限制通过 &man.syslogd.8; 记录的包的个数。
如果在比较恶劣的环境下记录防火墙的活动可能会需要这个选项。
它能够避免潜在的针对 syslog 的洪水式拒绝服务攻击。
内核选项
IPFIREWALL_DEFAULT_TO_ACCEPT
options IPFIREWALL_DEFAULT_TO_ACCEPT
这个选项默认地允许所有的包通过防火墙,
如果您是第一次配置防火墙, 使用这个选项将是一个不错的主意。
options IPV6FIREWALL
options IPV6FIREWALL_VERBOSE
options IPV6FIREWALL_VERBOSE_LIMIT
options IPV6FIREWALL_DEFAULT_TO_ACCEPT
这些选项与 IPv4 的对应选项功能一样, 它们是针对 IPv6
的。 如果不使用 IPv6, 则不带任何规则的 IPV6FIREWALL
将阻止所有的 IPv6 包。
内核选项
IPDIVERT
options IPDIVERT
这一选项启用 NAT
功能。
如果内核选项中没有加入 IPFIREWALL_DEFAULT_TO_ACCEPT,
或将您的防火墙设置配置为允许所有的进入包,
则所有发到本机或发出的包都会被阻止。
<filename>/etc/rc.conf</filename> Options
启用防火墙:
firewall_enable="YES"
要选择由 &os; 提供的几种防火墙类型中的一种来作为默认配置,
您需要阅读
/etc/rc.firewall 文件并选出合适的类型,
然后在 /etc/rc.conf 中加入类似下面的配置:
firewall_type="open"
您还可以指定下列配置规则之一:
open — 允许所有流量通过。
client — 只保护本机。
simple — 保护整个网络。
closed — 完全禁止除回环设备之外的全部 IP
流量。
UNKNOWN — 禁止加载防火墙规则。
filename — 到防火墙规则文件的绝对路径。
有两种加载自定义 ipfw 防火墙规则的方法。
其一是将变量 firewall_type 设为包含不带 &man.ipfw.8;
命令行选项的 防火墙规则
文件的完整路径。 下面是一个简单的规则集例子:
add block in all
add block out all
除此之外, 也可以将
firewall_script 变量设为包含
ipfw 命令的可执行脚本,
这样这个脚本会在启动时自动执行。 与前面规则集文件等价的规则脚本如下:
#!/bin/sh
ipfw -q flush
ipfw add block in all
ipfw add block out all
如果 firewall_type 设为
client 或 simple,
则还应查看在 /etc/rc.firewall
中的默认规则, 以确认它们与所在机器的配置相一致。
此外, 请注意这一章中的例子均假定 firewall_script 是
/etc/ipfw.rules。
启用日志:
firewall_logging="YES"
设置
firewall_logging 的唯一作用是,
系统将把 net.inet.ip.fw.verbose sysctl
变量置为 1 (参见 )。 并没有能够设置日志限制的
rc.conf 变量, 不过这种限制可以通过设置某些 sysctl
变量来完成, 可以手工进行操作, 也可以写到
/etc/sysctl.conf 文件中:
net.inet.ip.fw.verbose_limit=5
如果您的计算机是作为网关使用的, 也就是它通过 &man.natd.8;
提供网络地址翻译 (NAT),
请参见 以了解需要在
/etc/rc.conf 中配置的选项。
IPFW 命令
ipfw
ipfw 命令是在防火墙运行时,
用于在其内部规则表中手工逐条添加或删除防火墙规则的标准工具。
这一方法的问题在于, 一旦您的关闭计算机或停机,
则所有增加或删除或修改的规则也就丢掉了。
把所有的规则都写到一个文件中, 并在启动时使用这个文件来加载规则,
或一次大批量地替换防火墙规则, 那么推荐使用这里介绍的方法。
ipfw 的另一个非常实用的功能是将所有正在运行的防火墙规则显示出来。
IPFW 的记账机制会为每一个规则动态地创建计数器,
用以记录与它们匹配的包的数量。 在测试规则的过程中,
列出规则及其计数器是了解它们是否工作正常的重要手段。
按顺序列出所有的规则:
&prompt.root; ipfw list
列出所有的规则, 同时给出最后一次匹配的时间戳:
&prompt.root; ipfw -t list
列出所有的记账信息、 匹配规则的包的数量, 以及规则本身。
第一列是规则的编号, 随后是发出包匹配的数量, 进入包的匹配数量,
最后是规则本身。
&prompt.root; ipfw -a list
列出所有的动态规则和静态规则:
&prompt.root; ipfw -d list
同时显示已过期的动态规则:
&prompt.root; ipfw -d -e list
将计数器清零:
&prompt.root; ipfw zero
只把规则号为
NUM 的计数器清零:
&prompt.root; ipfw zero NUM
IPFW 规则集
规则集是一组根据包中选择的数值使用 allow 或 deny 写出的 ipfw 规则。
在两个主机之前的双向包交换组成了一次会话交互。 防火墙规则集,
会对同一个包处理两次: 第一次是包从公网上到达防火墙时,
而第二次则是包返回 Internet 公网上的主机时。
每一个 TCP/IP 服务 (例如 telnet, www, mail,
等等), 都有事先定义好的协议, 以及一个端口号。
这可以作为建立允许或阻止规则时的基本选择依据。
IPFW
规则处理顺序
当有数据包进入防火墙时, 会从规则集里的第一个规则开始进行比较,
并自顶向下地进行匹配。 当包与某个选择规则参数相匹配时,
将会执行规则所定义的动作, 并停止规则集搜索。 这种策略,
通常也被称作 最先匹配者获胜
的搜索方法。
如果没有任何与包相匹配的规则, 那么它就会根据强制的 ipfw
默认规则, 也就是 65535 号规则截获。 一般情况下这个规则是阻止包,
而且不给出任何回应。
如果规则定义的动作是 count、
skipto 或 tee
规则的话, 搜索会继续。
这里所介绍的规则, 都是使用了那些包含状态功能的,
也就是 'keep state'、 'limit'、 'in'/'out'、
或者 'via' 选项的规则。 这是编写包容式防火墙规则集所需的基本框架。
包容式防火墙只允许与规则匹配的包通过。 这样,
您就既能够控制来自防火墙后面的机器请求 Internet 公网上的那些服务,
同时也可以控制来自 Internet 的请求能够访问内部网上的哪些服务。
所有其它的访问请求都会被阻止, 并记录下来。
包容式防火墙一般而言要远比排斥式的要安全,
而且也只需要定义允许哪些访问通过。
在操作防火墙规则时应谨慎行事, 如果操作不当,
有可能将自己反锁在外面。
规则语法
IPFW
规则语法
这里所介绍的规则语法已经经过了简化,
只包括了建立标准的包容式防火墙规则集所必需的那些。
要了解完整的规则语法说明,
请参见 &man.ipfw.8; 联机手册。
规则是由关键字组成的: 这些关键字必须以特定的顺序从左到右书写。
下面的介绍中, 关键字使用粗体表示。 某些关键字还包括了子选项,
这些子选项本身可能也是关键字, 有些还可以包含更多的子选项。
# 用于表示开始一段注释。
它可以出现在一个规则的后面, 也可以独占一行。
空行会被忽略。
CMD RULE_NUMBER ACTION LOGGING SELECTION
STATEFUL
CMD
每一个新的规则都应以
add 作为前缀, 它表示将规则加入内部表。
RULE_NUMBER
每一个规则都必须包含一个规则编号。
ACTION
每一个规则可以与下列的动作之一相关联,
所指定的动作将在进入的数据包与规则所指定的选择标准相匹配时执行。
allow | accept | pass |
permit
这些关键字都表示允许匹配规则的包通过防火墙,
并停止继续搜索规则。
check-state
根据动态规则表检查数据包。 如果匹配,
则执行规则所指定的动作, 亦即生成动态规则;
否则, 转移到下一个规则。 check-state 规则没有选择标准。
如果规则集中没有 check-state 规则,
则会在第一个 keep-state 或 limit 规则处,
对动态规则表实施检查。
deny | drop
这两个关键字都表示丢弃匹配规则的包。
同时, 停止继续搜索规则。
LOGGING
log or
logamount
当数据包与带 log 关键字的规则匹配时,
将通过名为 SECURITY 的 facility 来把消息记录到 syslogd。
只有在记录的次数没有超过 logamount 参数所指定的次数时,
才会记录日志。 如果没有指定 logamount, 则会以 sysctl 变量
net.inet.ip.fw.verbose_limit 所指定的限制为准。
如果将这两种限制值之一指定为零, 则表示不作限制。
万一达到了限制数,
可以通过将规则的日志计数或包计数清零来重新启用日志,
请参见 ipfw reset log 命令来了解细节。
日志是在所有其他匹配条件都验证成功之后,
在针对包实施最终动作 (accept, deny) 之前进行的。
您可以自行决定哪些规则应启用日志。
SELECTION
这一节所介绍的关键字主要用来描述检查包的哪些属性,
用以判断包是否与规则相匹配。
下面是一些通用的用于匹配包特征的属性,
它们必须按顺序使用:
udp | tcp | icmp
也可以指定在
/etc/protocols 中所定义的协议。
这个值定义的是匹配的协议, 在规则中必须指定它。
from src to dst
from 和 to 关键字用于匹配 IP 地址。
规则中必须同时指定源和目的两个参数。
如果需要匹配任意 IP 地址,
可以使用特殊关键字 any。
还有一个特殊关键字, 即 me,
用于匹配您的 &os; 系统上所有网络接口上所配置的 IP 地址,
它可以用于表达网络上的其他计算机到防火墙 (也就是本机),
例如 'from me to any' 或 'from any to me' 或 'from 0.0.0.0/0 to any' 或
'from any to 0.0.0.0/0' 或 'from 0.0.0.0 to any' 或 'from
any to 0.0.0.0' 以及 'from me to 0.0.0.0'。 IP
地址可以通过 带点的 IP 地址/掩码长度,
或者一个带点的 IP 地址的形式来指定。 这是编写规则时所必需的。
如果不清楚如何写掩码长度, 请参见 。
port number
这个参数主要用于那些支持端口号的协议 (例如
TCP 和 UDP)。 如果要通过端口号匹配某个协议,
就必须指定这个参数。 此外, 也可以通过服务的名字 (根据
/etc/services) 来指定服务,
这样会比使用数字指定端口号直观一些。
in | out
相应地, 匹配进入和发出的包。
这里的 in 和 out 都是关键字, 在编写匹配规则时,
必需作为其他条件的一部分来使用。
via IF
根据指定的网络接口的名称精确地匹配进出的包。
这里的 via
关键字将使得接口名称成为匹配过程的一部分。
setup
要匹配 TCP 会话的发起请求,
就必须使用它。
keep-state
这是一个必须使用的关键字。 在发生匹配时,
防火墙将创建一个动态规则, 其默认行为是,
匹配使用同一协议的、从源到目的 IP/端口 的双向网络流量。
limit {src-addr | src-port | dst-addr |
dst-port}
防火墙只允许匹配规则时, 与指定的参数相同的
N 个连接。
可以指定至少一个源或目的地址及端口。
'limit' 和 'keep-state' 不能在同一规则中同时使用。
'limit' 提供了与 'keep-state' 相同的功能,
并增加了一些独有的能力。
状态规则选项
IPFW
带状态过滤
有状态过滤将网络流量当作一种双向的包交换来处理。
它提供了一种额外的检查能力,
用以检测会话中的包是否来自最初的发送者,
并在遵循双向包交换的规则进行会话。
如果包与这些规则不符, 则将自动地拒绝它们。
'check-state' 用来识别在 IPFW
规则集中的包是否符合动态规则机制的规则。
如果匹配, 则允许包通过,
此时防火墙将创建一个新的动态规则来匹配双向交换中的下一个包。
如果不匹配, 则将继续尝试规则集中的下一个规则。
动态规则机制在 SYN-flood 攻击下是脆弱的,
因为这种情况会产生大量的动态规则, 从而耗尽资源。
为了抵抗这种攻击, 从 &os; 中加入了一个叫做 limit
的新选项。
这个选项可以用来限制符合规则的会话允许的并发连接数。
如果动态规则表中的规则数超过限制, 则包将被丢弃。
记录防火墙消息
IPFW
记录日志
记录日志的好处是显而易见的: 它提供了在事后检查所发生的状况的方法,
例如哪些包被丢弃了, 这些包的来源和目的地,
从而为您提供找到攻击者所需的证据。
即使启用了日志机制, IPFW 也不会自行生成任何规则的日志。
防火墙管理员需要指定规则集中的哪些规则应该记录日志,
并在这些规则上增加 log 动作。 一般来说, 只有
deny 规则应记录日志, 例如对于进入的
ICMP ping 的 deny 规则。 另外,
复制默认的 ipfw 终极 deny 规则, 并加入 log
动作来作为您的规则集的最后一条规则也是很常见的用法。
这样, 您就能看到没有匹配任何一条规则的那些数据包。
日志是一把双刃剑, 如果不谨慎地加以利用,
则可能会陷入过多的日志数据中, 并导致磁盘被日志塞满。
将磁盘填满是 DoS 攻击最为老套的手法之一。
由于日志除了会写入磁盘之外, 还会输出到 root 的控制台屏幕上,
因此有过多的日志信息是很让人恼火的事情。
IPFIREWALL_VERBOSE_LIMIT=5
内核选项将限制同一个规则发到系统日志程序 syslogd 的连续消息的数量。
当内核启用了这个选项时,
某一特定规则所产生的连续消息的数量将封顶为这个数字。
一般来说, 没有办法从连续 200 条一模一样的日志信息中获取更多有用的信息。
举例来说, 如果同一个规则产生了 5 次消息并被记录到
syslogd, 余下的相同的消息将被计数,
并像下面这样发给 syslogd:
last message repeated 45 times
所有记录的数据包包消息, 默认情况下会最终写到
/var/log/security 文件中,
后者在 /etc/syslog.conf 文件里进行了定义。
编写规则脚本
绝大多数有经验的 IPFW 用户会创建一个包含规则的文件,
并且, 按能够以脚本形式运行的方式来书写。 这样做最大的一个好处是,
可以大批量地刷新防火墙规则, 而无须重新启动系统就能够激活它们。
这种方法在测试新规则时会非常方便,
因为同一过程在需要时可以多次执行。
作为脚本, 您可以使用符号替换来撰写那些经常需要使用的值,
并用同一个符号在多个规则中反复地表达它。
下面将给出一个例子。
这个脚本使用的语法同 'sh'、
'csh' 以及 'tcsh' 脚本兼容。 符号替换字段使用美元符号 $
作为前缀。 符号字段本身并不使用 $ 前缀。
符号替换字段的值必须使用 "双引号" 括起来。
可以使用类似下面的规则文件:
############### start of example ipfw rules script #############
#
ipfw -q -f flush # Delete all rules
# Set defaults
oif="tun0" # out interface
odns="192.0.2.11" # ISP's DNS server IP address
cmd="ipfw -q add " # build rule prefix
ks="keep-state" # just too lazy to key this each time
$cmd 00500 check-state
$cmd 00502 deny all from any to any frag
$cmd 00501 deny tcp from any to any established
$cmd 00600 allow tcp from any to any 80 out via $oif setup $ks
$cmd 00610 allow tcp from any to $odns 53 out via $oif setup $ks
$cmd 00611 allow udp from any to $odns 53 out via $oif $ks
################### End of example ipfw rules script ############
这就是所要做的全部事情了。 例子中的规则并不重要,
它们主要是用来表示如何使用符号替换。
如果把上面的例子保存到
/etc/ipfw.rules 文件中,
您就可以通过输入下面的命令来加载它。
&prompt.root; sh /etc/ipfw.rules
/etc/ipfw.rules 这个文件可以放到任何位置,
也可以命名为随便什么别的名字。
也可以手工执行下面的命令来达到类似的目的:
&prompt.root; ipfw -q -f flush
&prompt.root; ipfw -q add check-state
&prompt.root; ipfw -q add deny all from any to any frag
&prompt.root; ipfw -q add deny tcp from any to any established
&prompt.root; ipfw -q add allow tcp from any to any 80 out via tun0 setup keep-state
&prompt.root; ipfw -q add allow tcp from any to 192.0.2.11 53 out via tun0 setup keep-state
&prompt.root; ipfw -q add 00611 allow udp from any to 192.0.2.11 53 out via tun0 keep-state
带状态规则集
以下的这组非-NAT 规则集,
是如何编写非常安全的 '包容式' 防火墙的一个例子。
包容式防火墙只允许匹配了 pass 规则的包通过,
而默认阻止所有的其他数据包。 必须有至少两个网络接口,
并且在其上配置了规则才能使防火墙正常工作。
所有类 &unix; 操作系统, 也包括 &os;,
都设计为允许使用网络接口 lo0 和 IP
地址 127.0.0.1 来完成操作系统内部的通讯。
防火墙必须包含一组规则, 使这些数据包能够无障碍地收发。
接入 Internet 公网的那个网络接口上,
应该配置授权和访问控制, 来限制对外的访问, 以及来自 Internet
公网的访问。 这个接口很可能是您的 ppp 接口, 例如
tun0, 或者您接在 DSL 或电缆 modem
上的网卡。
如果有至少一个网卡接入了防火墙后的内网 LAN,
则必须为这些接口配置规则,
以便让这些接口之间的包能够顺畅地通过。
所有的规则应被组织为三个部分, 所有应无阻碍地通过的规则,
公网的发出规则, 以及公网的接收规则。
公网接口相关的规则的顺序,
应该是最经常用到的放在尽可能靠前的位置,
而最后一个规则, 则应该是阻止那个接口在那一方向上的包。
发出部分的规则只包含一些 'allow' 规则,
允许选定的那些唯一区分协议的端口号所指定的协议通过,
以允许访问 Internet 公网上的这些服务。
所有的规则中都指定了 proto, port,
in/out, via 以及 keep state 这些选项。 'proto tcp'
规则同时指定 'setup' 选项, 来区分开始协议会话的包,
以触发将包放入
keep state 规则表中的动作。
接收部分则首先阻止所有不希望的包, 在这里有两个目的。
首先是, 这些包被禁止掉之后, 就不会由于匹配了后面的某个规则而被允许。
其次, 明确地禁止这些包, 就不会再在日志中记录它们而形成干扰。
防火墙的最后一条规则是阻止并记录所有包, 这样,
您就可以留下用于起诉攻击您的系统的人的有用记录。
另一件需要注意的事情是, 不希望的数据包一般来说不会有任何响应,
这些数据包会被丢弃并消失。 这样,
攻击者也就无法了解他的数据包是否到达了您的系统。
而攻击者了解的信息越少, 它们攻陷系统所需的时间也就越长。
当记录的包使用的端口号不是您所熟悉的那些时, 可以看一看
/etc/services/ 或到
并查找一下端口号, 以了解其用途。 另外,
您也可以在这个网页上了解常见木马所使用的端口: 。
包容式规则集的例子
下面是一个非-NAT 的规则集,
它是一个完整的包容式规则集。 使用它作为您的规则集不会有什么问题。
只需把那些不需要的服务对应的 pass 规则注释掉就可以了。
如果您在日志中看到消息, 而且不想再看到它们,
只需在接收部分增加一个一个 deny 规则。 您可能需要把 'dc0'
改为接入公网的接口的名字。 对于使用用户态 ppp 的用户而言, 应该是
'tun0'。
您可以看出这些规则中的模式。
所有请求 Internet 公网上服务的会话开始包,
都使用了 keep-state。
所有来自 Internet 的授权服务请求,
都采用了 limit 选项来防止洪水式攻击。
所有的规则都使用了 in 或者 out 来说明方向。
所有的规则都使用了 via 接口名来指定应该匹配通过哪一个接口的包。
这些规则都应放到
/etc/ipfw.rules。
################ Start of IPFW rules file ###############################
# Flush out the list before we begin.
ipfw -q -f flush
# Set rules command prefix
cmd="ipfw -q add"
pif="dc0" # public interface name of NIC
# facing the public Internet
#################################################################
# No restrictions on Inside LAN Interface for private network
# Not needed unless you have LAN.
# Change xl0 to your LAN NIC interface name
#################################################################
#$cmd 00005 allow all from any to any via xl0
#################################################################
# No restrictions on Loopback Interface
#################################################################
$cmd 00010 allow all from any to any via lo0
#################################################################
# Allow the packet through if it has previous been added to the
# the "dynamic" rules table by a allow keep-state statement.
#################################################################
$cmd 00015 check-state
#################################################################
# Interface facing Public Internet (Outbound Section)
# Interrogate session start requests originating from behind the
# firewall on the private network or from this gateway server
# destine for the public Internet.
#################################################################
# Allow out access to my ISP's Domain name server.
# x.x.x.x must be the IP address of your ISP.s DNS
# Dup these lines if your ISP has more than one DNS server
# Get the IP addresses from /etc/resolv.conf file
$cmd 00110 allow tcp from any to x.x.x.x 53 out via $pif setup keep-state
$cmd 00111 allow udp from any to x.x.x.x 53 out via $pif keep-state
# Allow out access to my ISP's DHCP server for cable/DSL configurations.
# This rule is not needed for .user ppp. connection to the public Internet.
# so you can delete this whole group.
# Use the following rule and check log for IP address.
# Then put IP address in commented out rule & delete first rule
$cmd 00120 allow log udp from any to any 67 out via $pif keep-state
#$cmd 00120 allow udp from any to x.x.x.x 67 out via $pif keep-state
# Allow out non-secure standard www function
$cmd 00200 allow tcp from any to any 80 out via $pif setup keep-state
# Allow out secure www function https over TLS SSL
$cmd 00220 allow tcp from any to any 443 out via $pif setup keep-state
# Allow out send & get email function
$cmd 00230 allow tcp from any to any 25 out via $pif setup keep-state
$cmd 00231 allow tcp from any to any 110 out via $pif setup keep-state
# Allow out FBSD (make install & CVSUP) functions
# Basically give user root "GOD" privileges.
$cmd 00240 allow tcp from me to any out via $pif setup keep-state uid root
# Allow out ping
$cmd 00250 allow icmp from any to any out via $pif keep-state
# Allow out Time
$cmd 00260 allow tcp from any to any 37 out via $pif setup keep-state
# Allow out nntp news (i.e. news groups)
$cmd 00270 allow tcp from any to any 119 out via $pif setup keep-state
# Allow out secure FTP, Telnet, and SCP
# This function is using SSH (secure shell)
$cmd 00280 allow tcp from any to any 22 out via $pif setup keep-state
# Allow out whois
$cmd 00290 allow tcp from any to any 43 out via $pif setup keep-state
# deny and log everything else that.s trying to get out.
# This rule enforces the block all by default logic.
$cmd 00299 deny log all from any to any out via $pif
#################################################################
# Interface facing Public Internet (Inbound Section)
# Interrogate packets originating from the public Internet
# destine for this gateway server or the private network.
#################################################################
# Deny all inbound traffic from non-routable reserved address spaces
$cmd 00300 deny all from 192.168.0.0/16 to any in via $pif #RFC 1918 private IP
$cmd 00301 deny all from 172.16.0.0/12 to any in via $pif #RFC 1918 private IP
$cmd 00302 deny all from 10.0.0.0/8 to any in via $pif #RFC 1918 private IP
$cmd 00303 deny all from 127.0.0.0/8 to any in via $pif #loopback
$cmd 00304 deny all from 0.0.0.0/8 to any in via $pif #loopback
$cmd 00305 deny all from 169.254.0.0/16 to any in via $pif #DHCP auto-config
$cmd 00306 deny all from 192.0.2.0/24 to any in via $pif #reserved for docs
$cmd 00307 deny all from 204.152.64.0/23 to any in via $pif #Sun cluster interconnect
$cmd 00308 deny all from 224.0.0.0/3 to any in via $pif #Class D & E multicast
# Deny public pings
$cmd 00310 deny icmp from any to any in via $pif
# Deny ident
$cmd 00315 deny tcp from any to any 113 in via $pif
# Deny all Netbios service. 137=name, 138=datagram, 139=session
# Netbios is MS/Windows sharing services.
# Block MS/Windows hosts2 name server requests 81
$cmd 00320 deny tcp from any to any 137 in via $pif
$cmd 00321 deny tcp from any to any 138 in via $pif
$cmd 00322 deny tcp from any to any 139 in via $pif
$cmd 00323 deny tcp from any to any 81 in via $pif
# Deny any late arriving packets
$cmd 00330 deny all from any to any frag in via $pif
# Deny ACK packets that did not match the dynamic rule table
$cmd 00332 deny tcp from any to any established in via $pif
# Allow traffic in from ISP's DHCP server. This rule must contain
# the IP address of your ISP.s DHCP server as it.s the only
# authorized source to send this packet type.
# Only necessary for cable or DSL configurations.
# This rule is not needed for .user ppp. type connection to
# the public Internet. This is the same IP address you captured
# and used in the outbound section.
#$cmd 00360 allow udp from any to x.x.x.x 67 in via $pif keep-state
# Allow in standard www function because I have apache server
$cmd 00400 allow tcp from any to me 80 in via $pif setup limit src-addr 2
# Allow in secure FTP, Telnet, and SCP from public Internet
$cmd 00410 allow tcp from any to me 22 in via $pif setup limit src-addr 2
# Allow in non-secure Telnet session from public Internet
# labeled non-secure because ID & PW are passed over public
# Internet as clear text.
# Delete this sample group if you do not have telnet server enabled.
$cmd 00420 allow tcp from any to me 23 in via $pif setup limit src-addr 2
# Reject & Log all incoming connections from the outside
$cmd 00499 deny log all from any to any in via $pif
# Everything else is denied by default
# deny and log all packets that fell through to see what they are
$cmd 00999 deny log all from any to any
################ End of IPFW rules file ###############################
一个 <acronym>NAT</acronym> 和带状态规则集的例子
NAT
以及 IPFW
要使用 IPFW 的 NAT 功能, 还需要进行一些额外的配置。
除了其他 IPFIREWALL 语句之外,
还需要在内核编译配置中加上 'option divert' 语句。
在
/etc/rc.conf 中, 除了普通的 IPFW 配置之外,
还需要加入:
natd_enable="YES" # Enable NATD function
natd_interface="rl0" # interface name of public Internet NIC
natd_flags="-dynamic -m" # -m = preserve port numbers if possible
将带状态规则与转发 natd 规则 (网络地址转换)
会使规则集的编写变得非常复杂。 check-state 的位置,
以及 'divert natd' 规则将变得非常关键。 这样一来,
就不再有简单的顺序处理逻辑流程了。 提供了一种新的动作类型,
称为 'skipto'。 要使用 skipto 命令,
就必须给每一个规则进行编号,
以确定 skipto 规则号是您希望跳转到的位置。
下面给出了一些未加注释的例子来说明如何编写这样的规则,
用以帮助您理解包处理规则集的处理顺序。
处理流程从规则文件最上边的第一个规则开始处理,
并自顶向下地尝试每一个规则, 直到找到匹配的规则,
且数据包从防火墙中放出为止。 请注意规则号 100 101,
450, 500, 以及 510 的位置非常重要。
这些规则控制发出和接收的包的地址转换过程,
这样它们在 keep-state 动态表中的对应项中就能够与内网的
LAN IP 地址关联。 另一个需要注意的是, 所有的 allow
和 deny 规则都指定了包的方向 (也就是 outbound 或 inbound)
以及网络接口。 最后, 请注意所有发出的会话请求都会请求
skipto rule 500 以完成网络地址转换。
下面以 LAN 用户使用 web 浏览器访问一个 web 页面为例。
Web 页面使用 80 来完成通讯。 当包进入防火墙时,
规则 100 并不匹配, 因为它是发出而不是收到的包。
它能够通过规则 101, 因为这是第一个包,
因而它还没有进入动态状态保持表。
包最终到达规则 125, 并匹配该规则。
最终, 它会通过接入 Internet 公网的网卡发出。
这之前, 包的源地址仍然是内网 IP 地址。
一旦匹配这个规则, 就会触发两个动作。
keep-state 选项会把这个规则发到 keep-state 动态规则表中,
并执行所指定的动作。 动作是发到规则表中的信息的一部分。
在这个例子中, 这个动作是 "skipto rule
500"。 规则 500 NAT 包的 IP 地址,
并将其发出。 请务必牢记, 这一步非常重要。
接下来, 数据包将到达目的地, 之后返回并从规则集的第一条规则开始处理。
这一次, 它将与规则 100 匹配, 其目的 IP 地址将被映射回对应的内网
LAN IP 地址。 其后, 它会被
check-state 规则处理, 进而在暨存会话表中找到对应项,
并发到 LAN。 数据包接下来发到了内网 LAN PC 上,
而后者则会发送从远程服务器请求下一段数据的新数据包。
这个包会再次由 check-state 规则检查, 并找到发出的表项,
并执行其关联的动作, 即 'skipto 500'。 包跳转到规则 500 并被
NAT 后发出。
在接收一侧, 已经存在的会话的数据包, 会被 check-state
规则自动地处理, 并放到转发 natd 规则。 我们需要解决的问题是,
阻止所有的坏数据包, 而只允许授权的服务。
例如在防火墙上运行了 Apache 服务, 而我们希望人们在访问 Internet
公网的同时, 也能够访问本地的 web 站点。
新的接入开始请求包将匹配规则 100, 而 IP
地址则为防火墙所在的服务器而映射到了 LAN
IP。 此后, 包会匹配所有我们希望检查的那些令人生厌的东西,
并最终匹配规则 425。 一旦发生匹配, 会发生两件事。
数据包会被发到 keep-state 动态表, 但此时,
所有来自那个源 IP 的会话请求的数量会被限制为 2。
这一做法能够挫败针对指定端口上服务的 DoS 攻击。
动作同时指定了包应被发到 LAN 上。 包返回时,
check-state 规则会识别出包属于某一已经存在的会话交互,
并直接把它发到规则 500 做
NAT, 并发到发出接口。
示范规则集 #1:
#!/bin/sh
cmd="ipfw -q add"
skip="skipto 500"
pif=rl0
ks="keep-state"
good_tcpo="22,25,37,43,53,80,443,110,119"
ipfw -q -f flush
$cmd 002 allow all from any to any via xl0 # exclude LAN traffic
$cmd 003 allow all from any to any via lo0 # exclude loopback traffic
$cmd 100 divert natd ip from any to any in via $pif
$cmd 101 check-state
# Authorized outbound packets
$cmd 120 $skip udp from any to xx.168.240.2 53 out via $pif $ks
$cmd 121 $skip udp from any to xx.168.240.5 53 out via $pif $ks
$cmd 125 $skip tcp from any to any $good_tcpo out via $pif setup $ks
$cmd 130 $skip icmp from any to any out via $pif $ks
$cmd 135 $skip udp from any to any 123 out via $pif $ks
# Deny all inbound traffic from non-routable reserved address spaces
$cmd 300 deny all from 192.168.0.0/16 to any in via $pif #RFC 1918 private IP
$cmd 301 deny all from 172.16.0.0/12 to any in via $pif #RFC 1918 private IP
$cmd 302 deny all from 10.0.0.0/8 to any in via $pif #RFC 1918 private IP
$cmd 303 deny all from 127.0.0.0/8 to any in via $pif #loopback
$cmd 304 deny all from 0.0.0.0/8 to any in via $pif #loopback
$cmd 305 deny all from 169.254.0.0/16 to any in via $pif #DHCP auto-config
$cmd 306 deny all from 192.0.2.0/24 to any in via $pif #reserved for docs
$cmd 307 deny all from 204.152.64.0/23 to any in via $pif #Sun cluster
$cmd 308 deny all from 224.0.0.0/3 to any in via $pif #Class D & E multicast
# Authorized inbound packets
$cmd 400 allow udp from xx.70.207.54 to any 68 in $ks
$cmd 420 allow tcp from any to me 80 in via $pif setup limit src-addr 1
$cmd 450 deny log ip from any to any
# This is skipto location for outbound stateful rules
$cmd 500 divert natd ip from any to any out via $pif
$cmd 510 allow ip from any to any
######################## end of rules ##################
下面的这个规则集基本上和上面一样,
但使用了易于读懂的编写方式, 并给出了相当多的注解,
以帮助经验较少的 IPFW 规则编写者更好地理解这些规则到底在做什么。
示范规则集 #2:
#!/bin/sh
################ Start of IPFW rules file ###############################
# Flush out the list before we begin.
ipfw -q -f flush
# Set rules command prefix
cmd="ipfw -q add"
skip="skipto 800"
pif="rl0" # public interface name of NIC
# facing the public Internet
#################################################################
# No restrictions on Inside LAN Interface for private network
# Change xl0 to your LAN NIC interface name
#################################################################
$cmd 005 allow all from any to any via xl0
#################################################################
# No restrictions on Loopback Interface
#################################################################
$cmd 010 allow all from any to any via lo0
#################################################################
# check if packet is inbound and nat address if it is
#################################################################
$cmd 014 divert natd ip from any to any in via $pif
#################################################################
# Allow the packet through if it has previous been added to the
# the "dynamic" rules table by a allow keep-state statement.
#################################################################
$cmd 015 check-state
#################################################################
# Interface facing Public Internet (Outbound Section)
# Interrogate session start requests originating from behind the
# firewall on the private network or from this gateway server
# destine for the public Internet.
#################################################################
# Allow out access to my ISP's Domain name server.
# x.x.x.x must be the IP address of your ISP's DNS
# Dup these lines if your ISP has more than one DNS server
# Get the IP addresses from /etc/resolv.conf file
$cmd 020 $skip tcp from any to x.x.x.x 53 out via $pif setup keep-state
# Allow out access to my ISP's DHCP server for cable/DSL configurations.
$cmd 030 $skip udp from any to x.x.x.x 67 out via $pif keep-state
# Allow out non-secure standard www function
$cmd 040 $skip tcp from any to any 80 out via $pif setup keep-state
# Allow out secure www function https over TLS SSL
$cmd 050 $skip tcp from any to any 443 out via $pif setup keep-state
# Allow out send & get email function
$cmd 060 $skip tcp from any to any 25 out via $pif setup keep-state
$cmd 061 $skip tcp from any to any 110 out via $pif setup keep-state
# Allow out FreeBSD (make install & CVSUP) functions
# Basically give user root "GOD" privileges.
$cmd 070 $skip tcp from me to any out via $pif setup keep-state uid root
# Allow out ping
$cmd 080 $skip icmp from any to any out via $pif keep-state
# Allow out Time
$cmd 090 $skip tcp from any to any 37 out via $pif setup keep-state
# Allow out nntp news (i.e. news groups)
$cmd 100 $skip tcp from any to any 119 out via $pif setup keep-state
# Allow out secure FTP, Telnet, and SCP
# This function is using SSH (secure shell)
$cmd 110 $skip tcp from any to any 22 out via $pif setup keep-state
# Allow out whois
$cmd 120 $skip tcp from any to any 43 out via $pif setup keep-state
# Allow ntp time server
$cmd 130 $skip udp from any to any 123 out via $pif keep-state
#################################################################
# Interface facing Public Internet (Inbound Section)
# Interrogate packets originating from the public Internet
# destine for this gateway server or the private network.
#################################################################
# Deny all inbound traffic from non-routable reserved address spaces
$cmd 300 deny all from 192.168.0.0/16 to any in via $pif #RFC 1918 private IP
$cmd 301 deny all from 172.16.0.0/12 to any in via $pif #RFC 1918 private IP
$cmd 302 deny all from 10.0.0.0/8 to any in via $pif #RFC 1918 private IP
$cmd 303 deny all from 127.0.0.0/8 to any in via $pif #loopback
$cmd 304 deny all from 0.0.0.0/8 to any in via $pif #loopback
$cmd 305 deny all from 169.254.0.0/16 to any in via $pif #DHCP auto-config
$cmd 306 deny all from 192.0.2.0/24 to any in via $pif #reserved for docs
$cmd 307 deny all from 204.152.64.0/23 to any in via $pif #Sun cluster
$cmd 308 deny all from 224.0.0.0/3 to any in via $pif #Class D & E multicast
# Deny ident
$cmd 315 deny tcp from any to any 113 in via $pif
# Deny all Netbios service. 137=name, 138=datagram, 139=session
# Netbios is MS/Windows sharing services.
# Block MS/Windows hosts2 name server requests 81
$cmd 320 deny tcp from any to any 137 in via $pif
$cmd 321 deny tcp from any to any 138 in via $pif
$cmd 322 deny tcp from any to any 139 in via $pif
$cmd 323 deny tcp from any to any 81 in via $pif
# Deny any late arriving packets
$cmd 330 deny all from any to any frag in via $pif
# Deny ACK packets that did not match the dynamic rule table
$cmd 332 deny tcp from any to any established in via $pif
# Allow traffic in from ISP's DHCP server. This rule must contain
# the IP address of your ISP's DHCP server as it's the only
# authorized source to send this packet type.
# Only necessary for cable or DSL configurations.
# This rule is not needed for 'user ppp' type connection to
# the public Internet. This is the same IP address you captured
# and used in the outbound section.
$cmd 360 allow udp from x.x.x.x to any 68 in via $pif keep-state
# Allow in standard www function because I have Apache server
$cmd 370 allow tcp from any to me 80 in via $pif setup limit src-addr 2
# Allow in secure FTP, Telnet, and SCP from public Internet
$cmd 380 allow tcp from any to me 22 in via $pif setup limit src-addr 2
# Allow in non-secure Telnet session from public Internet
# labeled non-secure because ID & PW are passed over public
# Internet as clear text.
# Delete this sample group if you do not have telnet server enabled.
$cmd 390 allow tcp from any to me 23 in via $pif setup limit src-addr 2
# Reject & Log all unauthorized incoming connections from the public Internet
$cmd 400 deny log all from any to any in via $pif
# Reject & Log all unauthorized out going connections to the public Internet
$cmd 450 deny log all from any to any out via $pif
# This is skipto location for outbound stateful rules
$cmd 800 divert natd ip from any to any out via $pif
$cmd 801 allow ip from any to any
# Everything else is denied by default
# deny and log all packets that fell through to see what they are
$cmd 999 deny log all from any to any
################ End of IPFW rules file ###############################
diff --git a/zh_CN.GB2312/books/handbook/geom/chapter.sgml b/zh_CN.GB2312/books/handbook/geom/chapter.sgml
index 7e777488b6..974a346e1b 100644
--- a/zh_CN.GB2312/books/handbook/geom/chapter.sgml
+++ b/zh_CN.GB2312/books/handbook/geom/chapter.sgml
@@ -1,609 +1,612 @@
Tom
Rhodes
原作
GEOM: 模块化磁盘变换框架
概述
GEOM
GEOM 磁盘框架
GEOM
本章将介绍以 &os; GEOM 框架来使用磁盘。
这包括了使用这一框架来配置的主要的 RAID
控制工具。 这一仗不会深入讨论 GEOM
如何处理或控制 I/O、 其下层的子系统或代码。
您可以从 &man.geom.4; 联机手册及其众多 SEE ALSO 参考文献中得到这些信息。
这一章也不是对 RAID 配置的权威介绍,
它只介绍由 支持GEOM 的 RAID
级别。
读完这章, 您将了解:
通过 GEOM 支持的 RAID 类型。
如何使用基本工具来配置和管理不同的 RAID
级别。
如何通过 GEOM 使用镜像、 条带、 加密和挂接在远程的磁盘设备。
如何排除挂接在 GEOM 框架上的磁盘设备的问题。
阅读这章之前, 您应:
理解 &os; 如何处理磁盘设备
()。
了解如何配置和安装新的 &os; 内核
()。
GEOM 介绍
GEOM 允许访问和控制类 (classes) — 主引导记录、
BSD 标签 (label), 等等 — 通过使用
provider, 或在
/dev 中的特殊文件。
它支持许多软件 RAID 配置, GEOM 能够向操作系统,
以及在其上运行的工具提供透明的访问方式。
Tom
Rhodes
原作
Murray
Stokely
RAID0 - 条带
GEOM
条带
条带是一种将多个磁盘驱动器合并为一个卷的方法。
许多情况下, 这是通过硬件控制器来完成的。 GEOM
磁盘子系统提供了 RAID0 的软件支持,
它也成为磁盘条带。
在 RAID0 系统中, 数据被分为多个块,
这些块将分别写入阵列的所有磁盘。 与先前需要等待系统将 256k
数据写到一块磁盘上不同, RAID0 系统,
能够同时分别将打碎的 64k 写到四块磁盘上, 从而提供更好的 I/O
性能。 这一性能提升还能够通过使用多个磁盘控制器来进一步改进。
在 RAID0 条带中的每一个盘的尺寸必须一样,
因为 I/O 请求是分散到多个盘上的, 以便让这些盘上的读写并行完成。
磁盘条带图
在未格式化的 ATA 磁盘上建立条带
加载 geom_stripe
模块:
&prompt.root; kldload geom_stripe
确信存在合适的挂接点 (mount point)。 如果这个卷将成为根分区,
那么暂时把它挂接到其他位置i, 如 /mnt:
&prompt.root; mkdir /mnt
确定将被做成条带卷的磁盘的设备名,
并创建新的条带设备。 举例而言,
要将两个未用的、 尚未分区的 ATA 磁盘
/dev/ad2 和
/dev/ad3 做成一个条带设备:
&prompt.root; gstripe label -v st0 /dev/ad2 /dev/ad3
接着需要写标准的 label, 也就是通常所说的分区表到新卷上,
并安装标准的引导代码:
&prompt.root; bsdlabel -wB /dev/stripe/st0
上述过程将在
/dev/stripe
目录中的 st0 设备基础上建立两个新设备。
这包括 st0a 和
st0c。 这时, 就可以在
st0a 设备上用下述
newfs 命令来建立文件系统了:
&prompt.root; newfs -U /dev/stripe/st0a
在屏幕上将滚过一些数字, 整个操作应该能在数秒内完成。
现在可以挂接刚刚做好的卷了。
要挂接刚创建的条带盘:
&prompt.root; mount /dev/stripe/st0a /mnt
要在启动过程中自动挂接这个条带上的文件系统,
需要把关于卷的信息放到
/etc/fstab 文件中:
&prompt.root; echo "/dev/stripe/st0a /mnt ufs rw 2 2" \
>> /etc/fstab
此外, geom_stripe 模块也必须通过在
/boot/loader.conf 中增加下述设置,
以便在系统初始化过程中自动加载。
&prompt.root; echo 'geom_stripe_load="YES"' >> /boot/loader.conf
RAID1 - 镜像
GEOM
磁盘镜像
镜像是一种许多公司和家庭用户使用的不需中断的备份技术。
当存在镜像时, 它的意思是说 磁盘B 简单地复制 磁盘A。
或者, 也可能是 磁盘C+D
复制 磁盘A+B。 无论磁盘如何配置, 共同的特征,
都是磁盘或卷的信息会被复制。 随后,在无需中断服务或访问的情况下,
可以很容易地复原和备份这些信息, 甚至把它们存储到其他更安全的地方。
要开始做这件事, 首先要确保系统中有两个同样大的磁盘驱动器,
下面的例子假定使用直接访问方式 (Direct Access, &man.da.4;)
SCSI 的磁盘。
首先需要把 &os; 安装到第一块磁盘上, 并建立两个分区。
第一个分区将成为交换区, 其尺寸应该是两倍的
RAM 尺寸, 而余下的空间,
则作为根 (/) 文件系统来使用。
当然, 也可以为其他挂接点划分不同的分区;
但是, 这将使难度提高一个量级,
因为您将不得不手工修改 &man.bsdlabel.8; 和 &man.fdisk.8;
的设置。
重新启动系统, 并等待其完全初始化完。
当这个过程完成之后, 以 root
用户的身份登录。
创建 /dev/mirror/gm 设备,
并将其连接到 /dev/da1:
&prompt.root; gmirror label -vnb round-robin gm0 /dev/da1
系统应会给出下列回应:
Metadata value stored on /dev/da1.
Done.
初始化 GEOM, 这将加载
/boot/kernel/geom_mirror.ko 内核模块:
&prompt.root; gmirror load
这个命令应该会在
/dev/mirror
目录中创建
gm0 设备节点。
在刚创建的 gm0
设备上安装通用的 fdisk 标签以及引导区代码:
&prompt.root; fdisk -vBI /dev/mirror/gm0
接下来安装通用的 bsdlabel
信息:
&prompt.root; bsdlabel -wB /dev/mirror/gm0s1
如果存在多个区段 (slice) 或分区 (partition),
则需要修改一部分上面命令的参数。
它们必须与另一个盘上对应的区段和分区匹配。
使用 &man.newfs.8; 工具来在 gm0s1a
设备上建立默认的 UFS
文件系统:
&prompt.root; newfs -U /dev/mirror/gm0s1a
这将让系统输出很多信息和一系列数字。 不必为此担心,
只需看看是否有错误提示就可以了, 如果没问题, 接下来把它挂到
/mnt 挂接点上面:
&prompt.root; mount /dev/mirror/gm0s1a /mnt
现在需要把所有引导盘上的数据迁移到新的文件系统上了。
下面的例子使用了 &man.dump.8; 和 &man.restore.8;
这两个命令; 不过, 用 &man.dd.1; 在这里也可以达到完全一样的目的。
&prompt.root; dump -L -0 -f- / |(cd /mnt && restore -r -v -f-)
这个操作必须在所有文件系统上都作一遍。 您可以将前述命令中的文件系统,
改为所希望的文件系统的位置。
接下来应该编辑复制出来的 /mnt/etc/fstab
文件, 并删去或注释掉交换文件
需要注意的是,
在 fstab 注释掉交换文件,
通常会需要您以其他方式重建交换空间。
请参见 以了解进一步的细节。
。 修改其他文件系统对应的信息,
以便让它们使用新盘。 参考下面的例子:
# Device Mountpoint FStype Options Dump Pass#
#/dev/da0s2b none swap sw 0 0
/dev/mirror/gm0s1a / ufs rw 1 1
接下来应在当前和新 root 分区中分别建立一个 boot.config 文件。 它会
帮助
系统的 BIOS
从正确的驱动器上引导:
&prompt.root; echo "1:da(1,a)/boot/loader" > /boot.config
&prompt.root; echo "1:da(1,a)/boot/loader" > /mnt/boot.config
在所有的分区上都放这些是为了保证系统能够正确引导。
如果由于某种原因系统无法从新的根分区读数据,
则还有一根救命稻草。
用下面的命令来确保系统引导时会加载 geom_mirror.ko:
&prompt.root; echo 'geom_mirror_load="YES"' >> /mnt/boot/loader.conf
最后重新启动系统:
&prompt.root; shutdown -r now
如果一切顺利, 系统将从
gm0s1a 设备启动, 并给出 login
提示等待用户登录。 如果发生错误, 请查阅接下来的故障排除环节。 我们接着将
da0 磁盘也加入 gm0
设备:
&prompt.root; gmirror configure -a gm0
&prompt.root; gmirror insert gm0 /dev/da0
此处 告诉 &man.gmirror.8; 采用自动同步,
或换言之: 自动地将磁盘的写操作做镜像处理。 联机手册中详细解释了如何重建,
以及替换磁盘, 只不过它用 data
表示这里的 gm0。
故障排除
系统拒绝引导
如果系统引导时出现类似下面的提示:
ffs_mountroot: can't find rootvp
Root mount failed: 6
mountroot>
这种情况应使用电源或复位按钮重启机器。
在引导菜单中, 选择第六 (6) 个选项。
这将让系统进入 &man.loader.8; 提示符。
在此处手工加载内核模块:
OK? load geom_mirror
OK? boot
如果这样做能解决问题, 则说明由于某种原因模块没有被正确加载。
可以通过在内核配置文件中加入:
options GEOM_MIRROR
然后重新编译和安装内核来解决这个问题。
GEOM Gate 网络设备
通过 gate 工具, GEOM 支持以远程方式使用设备, 例如磁盘、
CD-ROM、 文件等等。 这和 NFS 类似。
在开始工作之前, 首先要创建一个导出文件。
这个文件的作用是指定谁可以访问导出的资源,
以及提供何种级别的访问授权。 例如,
要把第一块 SCSI 盘的第四个 slice 导出,
对应的 /etc/gg.exports 会是类似下面的样子:
192.168.1.0/24 RW /dev/da0s4d
这表示允许同属私有子网的所有机器访问
da0s4d 分区上的文件系统。
要导出这个设备, 首先请确认它没有被挂接,
然后是启动 &man.ggated.8; 服务:
&prompt.root; ggated
现在我们将在客户机上 mount 该设备,
使用下面的命令:
&prompt.root; ggatec create -o rw 192.168.1.1 /dev/da0s4d
ggate0
&prompt.root; mount /dev/ggate0 /mnt
到此为止, 设备应该已经可以通过挂接点
/mnt 访问了。
请注意, 如果设备已经被服务器或网络上的任何其他机器挂接,
则前述操作将会失败。
如果不再需要使用这个设备,
就可以使用 &man.umount.8; 命令来安全地将其卸下了,
这一点和其他磁盘设备类似。
为磁盘设备添加卷标
GEOM
磁盘卷标
在系统初始化的过程中, &os; 内核会为检测到的设备创建设备节点。
这种检测方式存在一些问题, 例如,
在通过 USB 添加设备时应如何处理?
很可能有闪存盘设备最初被识别为
da0 而在这之后, 则由
da0 变成了
da1。 而这则会在挂接
/etc/fstab 中的文件系统时造成问题,
这些问题, 还可能在系统引导时导致无法正常启动。
解决这个问题的一个方法是以连接拓扑方式链式地进行
SCSI 设备命名, 这样,
当在 SCSI 卡上增加新设备时, 这些设备将使用一个未用的编号。
但如果 USB 设备取代了主 SCSI 磁盘的位置呢?
由于 USB 通常会在 SCSI 卡之前检测到,
因此很可能出现这种现象。 当然, 可以通过在系统引导之后再插入这些设备来绕过这个问题。
另一种绕过这个问题的方法, 则是只使用
ATA 驱动器, 并避免在
/etc/fstab 中列出
SCSI 设备。
还有一种更好的解决方法。 通过使用
glabel 工具, 管理员或用户可以为磁盘设备打上标签, 并在
/etc/fstab 中使用这些标签。 由于
glabel 会将标签保存在对应 provider 的最后一个扇区,
在系统重启之后, 它仍会持续存在。 因此, 通过将具体的设备替换为使用标签表示,
无论设备节点变成什么, 文件系统都能够顺利地完成挂接。
这并不是说标签一定是永久性的。
glabel 工具既可以创建永久性标签, 也可以创建临时性标签。
在重启时, 只有永久性标签会保持。 请参见联机手册 &man.glabel.8;
以了解两者之间的差异。
标签类型和使用示范
有两种类型的标签, 一种是普通标签, 另一种是文件系统标签。
两者的差异体现在是否能够自动检测, 以及是否在重启后保持。 这些标签会放到
/dev 中的特殊目录中,
这些目录的名字取决于文件系统类型。 例如,
UFS2 文件系统的标签会创建到
/dev/ufs2
目录中。
普通标签在系统下次重启时会消失, 这些标签会创建到
/dev/label 目录中,
很适合测试之用。
永久性标签可以使用
tunefs 或 newfs
工具来创建。 要为
UFS2 文件系统创建标签, 而不破坏其上的数据,
可以使用下面的命令:
&prompt.root; tunefs -L home /dev/da3
如果文件系统满了, 这可能会导致数据损坏; 不过, 如果文件系统快满了,
此时应首先删除一些无用的文件, 而不是增加标签。
现在, 您应可以在
/dev/ufs2 目录中看到标签,
并将其加入 /etc/fstab:
/dev/ufs2/home /home ufs rw 2 2
当运行 tunefs 时, 应首先卸下文件系统。
现在可以像平时一样挂接文件系统了:
&prompt.root; mount /home
- 下列命令可以清除标签:
-
- &prompt.root; glabel destroy home
-
现在, 只要在系统引导时通过 /boot/loader.conf 配置加载了内核模块
geom_label.ko, 或在联编内核时指定了
GEOM_LABEL 选项,
设备节点由于增删设备而顺序发生变化时, 就不会影响文件系统的挂接了。
通过使用 newfs 命令的
参数, 可以在创建文件系统时为其添加默认的标签。
请参见联机手册 &man.newfs.8; 以了解进一步的详情。
+
+ 下列命令可以清除标签:
+
+ &prompt.root; glabel destroy home
通过 GEOM 实现 UFS 日志
GEOM
日志
随着 &os; 7.0 的发布, 实现了长期为人们所期待的
UFS 日志。 这个实现采用了
GEOM 子系统, 可以很容易地使用 &man.gjournal.8; 工具来进行配置。
日志是什么? 日志的作用是保存文件系统事务的记录, 换言之,
完成一次完整的磁盘写入操作所需的变动, 这些记录会在元数据以及文件数据写盘之前,
写入到磁盘中。 这种事务日志可以在随后用于重放并完成文件系统事务,
以避免文件系统出现不一致的问题。
这种方法是另一种阻止文件系统丢失数据并发生不一致的方法。 与 Soft Updates
追踪并确保元数据更新顺序这种方法不同, 它会实际地将日志保存到磁盘最后的扇区,
或另外一块磁盘上。
与其他文件系统的日志实现不同,
gjournal 采用的是基于块, 而不是作为文件系统的一部分的方式 -
它只是作为一种
GEOM 扩展实现。
如果希望启用 gjournal,
&os; 内核需要下列选项 - 这是 7.X 系统上的默认配置:
options UFS_GJOURNAL
现在, 可以为空闲的文件系统创建日志了。 对于新增的 SCSI 磁盘
da4, 具体的操作步骤为:
&prompt.root; gjournal label /dev/da4
- gjournal load
+&prompt.root; gjournal load
这样, 就会出现一个与
/dev/da4 设备节点对应的
/dev/da4.journal 设备节点。
接下来, 可以在这个设备上简历文件系统:
&prompt.root; newfs -O 2 -J /dev/da4.journal
这个命令将建立一个包含日志的
UFS2 文件系统。
然后就可以用 mount 命令来挂接设备了:
- &prompt.root mount /dev/da4.journal /mnt
+ &prompt.root; mount /dev/da4.journal /mnt
当磁盘包含多个 slice 时, 每个 slice 上都会建立日志。
- 例如, 如果有 ad4s1 和 ad4s2
- 这两个 slice, 则 gjournal 会建立
- ad4s1.journal 和 ad4s2.journal。 如果连续运行两次这个命令, 则会建立
+ 例如, 如果有 ad4s1 和
+ ad4s2 这两个 slice,
+ 则 gjournal 会建立
+ ad4s1.journal 和
+ ad4s2.journal。
+ 如果连续运行两次这个命令, 则会建立
多层日志
。
在某些情况下, 可能会希望在其他磁盘上保存日志。 对于这些情形,
日志提供者或存储设备, 应在启用日志的设备后给出。 在暨存的文件系统上,
可以用 tunefs 来启用日志; 不过,
在尝试修改文件系统之前, 您应对其进行备份。 多数情况下,
gjournal 会因为无法建立日志而失败, 在误用
tunefs 时, 这可能导致失败。
diff --git a/zh_CN.GB2312/books/handbook/ports/chapter.sgml b/zh_CN.GB2312/books/handbook/ports/chapter.sgml
index a81947600a..300d1e82b5 100644
--- a/zh_CN.GB2312/books/handbook/ports/chapter.sgml
+++ b/zh_CN.GB2312/books/handbook/ports/chapter.sgml
@@ -1,1265 +1,1281 @@
安装应用程序: Packages 和 Ports
概述
ports
packages
FreeBSD 将许多系统工具捆绑作为基本系统的一部分。 然而,
要完成实际的工作, 可能还需要安装更多的第三方应用。 FreeBSD 提供了两种补充的技术,
用以在您的系统中安装第三方软件: FreeBSD Ports 套件 (用于从源代码安装),
以及 packages (用以从预编译的二进制版本安装)。
这两种方法都可以用于从本地介质, 或从网上直接安装您喜欢的应用程序的最新版本。
读完这章,您将了解到:
如何安装第三方的二进制软件包。
如何使用 ports 套件从源代码构建第三方软件。
如何删除先前安装的软件包。
如何改动Ports Collection里面的一些参数,定制软件使用。
如何找到您需要的软件包。
如何升级您的应用软件。
软件安装预览
如果您以前使用过 &unix; 系统,那典型的第三方软件安装的步骤是像下面描述的:
下载这个软件,软件的发行版可能是源代码格式,或是一个二进制包。
解开软件(其中代表性的是用 &man.compress.1;, &man.gzip.1;, 或
&man.bzip2.1; 压缩过的tar包)。
阅读相关文档,了解如何安装。 (多半一个文件名是INSTALL或README,
或在doc/ 目录下的一些文档)
如果软件是以源代码形式发布的,那就需要编译它。可能需要编辑一个
Makefile文件, 或运行
configure脚本,和其他的一些工作。
测试和安装软件。
如果一切顺利的话,就这么简单。如果您在安装一个软件包时发生一些错误,
您可能需要编辑一下它的代码,以使它能正常工作。
您可以继续使用 传统的
方式安装软件。 然而, FreeBSD
提供了两种技术: packages 和 ports。 就在写这篇文章的时候,
已经有超过 &os.numports; 个第三方的应用程序可以使用了。
对于任意一个应用程序包,是一个可以下载的FreeBSD package文件。这个
FreeBSD package包含了编译好的的副本, 还有一些配置文件或文档。
一个下载的包文件可以用 FreeBSD 的包管理命令来操作, 例如
&man.pkg.add.1;,&man.pkg.delete.1;, &man.pkg.info.1; 等等。
可以使用一个简单的命令安装一个新的应用程序。
一个FreeBSD的port是一个可以自动从源代码编译成应用程序的文件集合。
记住,如果您自己来编译的话,需要执行很多步的操作 (解压, 补丁, 编译,
安装)。 这些整理 port 的文件集合包含了系统需要完成这个工作的必需信息。
您可以运行一些简单的命令, 那些源代码就可以自动地下载, 解开, 打补丁,
编译, 直至安装完成。
实际上,ports 系统也能做出被 pkg_add
的程序包和不久就要讲到的其他包管理命令来安装的软件包。
Packages 和 ports 是互相 依赖 的。
假设您想安装一个依赖于已经安装的特定库的应用程序。
应用程序和那个库都已经应用于 FreeBSD ports 和 packages。
如果您使用 命令或 ports 系统来添加应用程序,
两个都必须注意库是否被安装, 如果没有, 它会自动先安装库。
这里给出的两种技术是很相似的,您可能会奇怪为什么 FreeBSD
会弄出这两种技术。 其实, packages 和 ports 都有它们自己的长处,
使用哪一种完全取决于您自己的喜好。
Package的优点
一个压缩的 package 通常要比一个压缩的包含源代码的应用程序小得多。
package 不需要进行额外的编译。 对于大型应用程序如
Mozilla, KDE 或
GNOME 来说这显得尤为重要,
特别是在您的系统资源比较差的情况下。
package不需要您知道如何在FreeBSD上编译软件的详细过程。
Ports 的优点
package 在编译时通常使用比较保守的选项,
这是为了保证它们能够运行在大多数的系统上。 通过从 port 安装,
您可以细微调整编译选项来产生适合于处理器的代码 (针对于 Pentium 4
或 AMD 的 Athlon CPU)。
一些软件包已经把与它们相关的能做和不能做的事情的选项都编译进去了。
例如, Apache 可能就配置了很多的选项。
从 port 中安装时, 您不一定要接受默认的选项, 可以自己来设置。
在一些例子中,一个软件有不同的配置存在多个package。 例如,
Ghostscript存在
ghostscript package 和
ghostscript-nox11 package两个配置package,
这取决于您是否安装了X11服务器。 这样的调整对package是可能的,
但如果一个应用程序有超过一个或两个不同的编译时间选项时, 就不行了。
一些软件的许可条件禁止采用二进制形式发行。 它们必须带上源代码。
一些人不信任二进制发行形式。 至少有了源代码, (理论上)
可以亲自阅读它,寻找潜在的问题。
如果您要自己对软件打补丁,您就需要有源代码。
一些人喜欢整天围着源代码转, 所以他们喜欢亲自阅读源代码,
修改源代码等等。
保持更新 ports, 订阅邮件列表 &a.ports; 和递交错误报告 &a.ports-bugs;。
安装任何应用程序之前, 应首先检查
上是否有关于您所安装的应用程序的安全问题报告。
您也可以安装 ports-mgmt/portaudit,
它能够自动地检查已经安装的应用程序的漏洞;
此外, 在您安装程序之前它也会首先检查是否存在已知的漏洞。
另外, 您也可以使用 portaudit
-F -a 这个命令在安装了某个软件包之后作出检查。
这章的其余部分将介绍在 FreeBSD 上如何使用 packages 和 ports 来安装和管理第三方软件。
寻找您要的应用程序
在您安装任何应用程序之前,需要知道您需要什么,那个应用程序叫什么。
FreeBSD中可用的应用程序正在不断地增长着。幸运的是,
有许多方法可以找到您所需要的程序:
FreeBSD站点上有一个可以搜索到的当前所有可用的应用程序列表,在 http://www.FreeBSD.org/ports/。
它分很多种类,您既可以通过程序的名称来搜索,
也可以在分类中列出所有可用的应用程序 (如果您知道名字),
也可以在分类中列出所有可用的应用程序。
FreshPorts
Dan Langille 维护着网站 FreshPorts,在 。 FreshPort时刻 追踪
着在 ports 中应用程序的变化。当有任何程序被升级时,他们就会发 email 提醒您。
FreshMeat
如果您不知道您想要的应用程序的名字,可以通过 () 网站来查找,
如果找到了应用程序, 您可以回 FreeBSD 的主站去看一下这个应用程序是否已经被
port 进去了。
如果您知道一个port的准确名字, 但需要知道在哪个类别里面能找到它,您可以使用
&man.whereis.1; 这个命令。简单地输入 whereis
file,
file 就是您想安装的程序名字。
如果系统找到了它, 您将被告知在它在哪里, 例如:
&prompt.root; whereis lsof
lsof: /usr/ports/sysutils/lsof
结果告诉我们这个命令lsof (一个系统配置程序)可以在
/usr/ports/sysutils/lsof目录中找到。
还有另外的一个寻找您需要的port的方法--是用ports collecton
内嵌的搜索机制。要使用这个搜索, 您需要先到
/usr/ports目录下面。 在那个目录里面,
运行make search
name=program-name,
program-name 就是您想寻找的程序名字。
举个例子, 如果您想找 lsof:
&prompt.root; cd /usr/ports
&prompt.root; make search name=lsof
Port: lsof-4.56.4
Path: /usr/ports/sysutils/lsof
Info: Lists information about open files (similar to fstat(1))
Maint: obrien@FreeBSD.org
Index: sysutils
B-deps:
R-deps:
在输出的内容里面您要特别注意包含 Path:
的这行将告诉您在哪里可以找到这个 port。 如果要安装此 port,
那其他输出的信息不是必须的, 但是还是显示输出了。
为了更深入的搜索,您还可以用 make
search key=string,
string就是您想搜索的部分内容。
它将搜索port的名字、 注释, 描述和从属关系,
如果您不知道您想搜索的程序名字,
可以利用它搜索一些关键主题来找到您需要的。
上面说的这些方法, 搜索的关键字没有大小写区分的。
搜索 LSOF
的结果将和搜索lsof
的结果一样。
Chern
Lee
Contributed by
使用Packages系统
一个package的安装
packages
installing
pkg_add
您可以用 &man.pkg.add.1;
这个命令从本地文件或网络上的服务器来安装一个 FreeBSD 软件包。
在本地手动下载一个package,并安装它
&prompt.root; ftp -a ftp2.FreeBSD.org
Connected to ftp2.FreeBSD.org.
220 ftp2.FreeBSD.org FTP server (Version 6.00LS) ready.
331 Guest login ok, send your email address as password.
230-
230- This machine is in Vienna, VA, USA, hosted by Verio.
230- Questions? E-mail freebsd@vienna.verio.net.
230-
230-
230 Guest login ok, access restrictions apply.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> cd /pub/FreeBSD/ports/packages/sysutils/
250 CWD command successful.
ftp> get lsof-4.56.4.tgz
local: lsof-4.56.4.tgz remote: lsof-4.56.4.tgz
200 PORT command successful.
150 Opening BINARY mode data connection for 'lsof-4.56.4.tgz' (92375 bytes).
100% |**************************************************| 92375 00:00 ETA
226 Transfer complete.
92375 bytes received in 5.60 seconds (16.11 KB/s)
ftp> exit
&prompt.root; pkg_add lsof-4.56.4.tgz
如果您没有本地package的安装盘 (如 FreeBSD CD-ROM),
可以执行 &man.pkg.add.1; 命令并加上 选项。
这将迫使程序自动决定目标文件的正确格式和版本,
然后自动从一个 FTP 站点寻找和安装 package。
pkg_add
&prompt.root; pkg_add -r lsof
上面的例子将下载正确的package, 而不需要用户的干预就可以安装。
如果您想指定 FreeBSD package 的镜像站点, 替换主站点, 就必须相应地设置
PACKAGESITE 这个环境变量, 覆盖原来的设置。
&man.pkg.add.1; 使用 &man.fetch.3; 下载文件, 可以使用多种环境变量,
包含 FTP_PASSIVE_MODE、 FTP_PROXY,
和 FTP_PASSWORD。 如果您使用 FTP/HTTP
代理或在防火墙后面, 您可能需要设置这些环境变量。
详细的列表请参考 &man.fetch.3;。上述例子中用 lsof
替代了 lsof-4.56.4。 当使用远程安装 Package
的时候软件名字不需要包含版本号。 &man.pkg.add.1;
将自动的找到这个软件最新的版本。
如果您使用 &os.current; 或 &os.stable;版本的FreeBSD, &man.pkg.add.1;
将下载您的应用软件的最新版本。 如果您使用 -RELEASE 版本的
FreeBSD, 它将会获得与您的版本相应的软件包版本。
您可以通过修改环境变量 PACKAGESITE
来改变这一行为。 例如, 如果您运行 &os; 5.4-RELEASE
系统, 默认情况下 &man.pkg.add.1; 将尝试从
ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-5.4-release/Latest/
下载预编译的软件包。 如果您希望强制 &man.pkg.add.1; 下载
&os; 5-STABLE 的软件包, 则可以将 PACKAGESITE
设置为
ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-5-stable/Latest/。
软件包采用 .tgz 和 .tbz
两种格式。您可以在
下面或从 FreeBSD 的发行光盘找到, 它在每一个 4CD 的 FreeBSD 发行版的
/packages目录中。 软件包的设计规划与
/usr/ports 树一致。 每个分类都有自己的目录,
所有的软件包可以在目录 All中找到。
软件包系统的目录结构与ports的设计规划一致; 它们共同构成了整个 package/port。
软件包的管理
packages
managing
&man.pkg.info.1; 是用于列出已安装的所有软件包列表和描述的程序。
pkg_info
&prompt.root; pkg_info
cvsup-16.1 A general network file distribution system optimized for CV
docbook-1.2 Meta-port for the different versions of the DocBook DTD
...
&man.pkg.version.1;是一个用来统计所有安装的软件包版本的工具。
它可以用来比较本地 package 的版本与 ports 目录中的当前版本是否一致。
pkg_version
&prompt.root; pkg_version
cvsup =
docbook =
...
在第二列的符号指出了安装版本的相关时间和本地ports目录树中可用的版本。
符号
含义
= 在本地ports树中与已安装的软件包版本相匹配。
<
已安装的版本要比在ports树中的版本旧。
>已安装的版本要比在ports树中的版本新
(本地的port树可能没有更新)。
? 已安装的软件包无法在ports索引中找到。
(可能发生这种事情,举个例子, 您早先安装的一个 port 从 port
树中移出或改名了)
*软件包有很多版本。
删除一个软件包
pkg_delete
packages
deleting
要删除先前安装的软件package,只要使用&man.pkg.delete.1; 工具。
&prompt.root; pkg_delete xchat-1.7.1
需要注意的是, &man.pkg.delete.1; 需要提供完整的包名; 如果您只是指定了类似
xchat 而不是
xchat-1.7.1 这样的名字, 则它将拒绝执行操作。
不过, 您可以使用 &man.pkg.version.1; 来了解安装的 package 的版本。
除此之外, 也可以使用通配符:
&prompt.root; pkg_delete xchat\*
这时, 所有名字以
xchat 开头的 package 都会被删掉。
其它
所有已安装的 package 信息都保存在 /var/db/pkg
目录下。 安装文件的列表和每个 package
的内容和描述都能在这个目录的相关文件中找到。
使用Ports Collection
下面的几个小节中, 给出了关于如何使用
Ports 套件来在您的系统中安装或卸载程序的介绍。 关于可用的 make
targets 以及环境变量的介绍, 可以在 &man.ports.7; 中找到。
获得Ports Collection
在您能使用 ports 之前, 您必须先获得 Ports Collection —
本质上是 /usr/ports 目录下的一堆
Makefile、 补丁和描述文件。
在您安装 FreeBSD 系统的时候, sysinstall
会询问您是否需要安装 Ports Collection。 如果您选择 no,
那您可以用下面的指令来安装 Ports Collection:
CVSup 方法
保持您本地 Ports 套件最新的一种快捷的方法,
是使用 CVSup 来进行更新。
如果您希望了解更多关于 CVSup 的细节, 请参见
使用 CVSup。
csup 是用 C 语言对
CVSup 软件的重写, 在 &os; 6.2
和更高版本中, 作为系统的一部分提供。 您可以直接使用系统附带的
csup 而跳过 #1 这一步,
并将这份文档余下部分中的
cvsup 命令改为
csup。 对于较早版本而言,
可以使用 net/csup
port 或预编译包来安装 csup。
在首次运行 CVSup 之前,
务必确认 /usr/ports
是空的! 如果您之前已经用其他地方安装了一份 Ports 套件,
则 CVSup
可能不会自动删除已经在上游服务器上删除掉的补丁文件。
安装 net/cvsup-without-gui 软件包:
&prompt.root; pkg_add -r cvsup-without-gui
请参见 如何安装 CVSup () 以了解更多细节。
运行 cvsup:
&prompt.root; cvsup -L 2 -h cvsup.FreeBSD.org /usr/share/examples/cvsup/ports-supfile
将
cvsup.FreeBSD.org 改为离您较近的
CVSup 服务器。 请参见
CVSup 镜像 () 中的镜像站点完整列表。
有时可能希望使用自己的
ports-supfile, 比如说,
不想每次都通过命令行来指定所使用的 CVSup
服务器。
这种情况下, 需要以 root 身份将
/usr/share/examples/cvsup/ports-supfile
复制到新的位置, 例如
/root 或您的主目录。
编辑 ports-supfile。
把
CHANGE_THIS.FreeBSD.org
修改成离您较近的 CVSup 服务器。
可以参考 CVSup
镜像 ()
中的镜像站点完整列表。
接下来按如下的方式运行 cvsup:
&prompt.root; cvsup -L 2 /root/ports-supfile
此后运行 &man.cvsup.1; 命令将下载最近所进行的改动,
并将它们应用到您的 Ports Collection 上,
不过这一过程并不重新联编您系统上的 ports。
Portsnap 方式
Portsnap 是另一种用于发布
Ports 套件的方法。 它最早从 &os; 6.0 开始引入。
在较早的系统中, 您可以通过 ports-mgmt/portsnap package 来安装它:
&prompt.root; pkg_add -r portsnap
请参见 使用 Portsnap
以了解关于全部 Portsnap
功能的详细描述。
如果您使用 &os; 6.1-RELEASE,
或通过 port 或 package 安装了较新版本的 Portsnap
的话, 可以直接跳过这一步。 /usr/ports 将在首次使用 &man.portsnap.8;
命令时自动创建。 而如果您使用的是较早期版本的
Portsnap,
就只能手工创建空的 /usr/ports 目录了。
&prompt.root; mkdir /usr/ports
下载压缩的 Ports 套件快照到
/var/db/portsnap。
您可以根据需要在这之后关闭 Internet 连接。
&prompt.root; portsnap fetch
假如您是首次运行 Portsnap,
则需要将快照释放到 /usr/ports:
&prompt.root; portsnap extract
如果您已经有装好的 /usr/ports 而您只想更新,
则应执行下面的命令:
&prompt.root; portsnap update
Sysinstall 方式
这种方法需要使用 sysinstall
从安装介质上安装 Ports 套件。 注意, 安装的将是发布发行版时的旧版 Ports
套件。 如果您能访问 Internet, 应使用前面介绍的方法之一。
以 root 身份运行
sysinstall
(对 &os; 5.2 之前的版本, 应执行 /stand/sysinstall):
&prompt.root; sysinstall
用光标向下选择 Configure,
并按 Enter。
向下并选择
Distributions, 按
Enter。
选择 ports, 并按
Space。
选择 Exit, 并按
Enter。
选择所希望的安装介质, 例如 CDROM、
FTP, 等等。
选择 Exit 并按
Enter。
按 X 退出
sysinstall。
安装 Ports
ports
安装
当提到 Ports Collection 时,
第一个要说明的就是何谓 skeleton
。 简单地说,
port skeleton 是让一个程序在 FreeBSD
上简洁地编译并安装的所需文件的最小组合。 每个 port skeleton 包含:
一个 Makefile。 Makefile
包括好几个部分, 指出应用程序是如何编译以及将被安装在系统的哪些地方。
一个 distinfo 文件。这个文件包括这些信息:
这些文件用来对下载后的文件校验和进行检查
(使用 &man.md5.1; 和 &man.sha256.1;),
来确保在下载过程中文件没有被破坏。
一个 files 目录。 这个目录包括在
FreeBSD 系统上编译和安装程序需要用到的补丁。
这些补丁基本上都是些小文件, 指出特定文件作了哪些修正。
它们都是纯文本的的格式,基本上是这样的
删除第 10 行
或
将第 26 行改为这样 ...
,
补丁文件也被称作 diffs
,
他们由 &man.diff.1; 程序生成。
这个目录也包含了在编译 port 时要用到的其它文件。
一个 pkg-descr 文件。
这是一个提供更多细节,有软件的多行描述。
一个 pkg-plist 文件。
这是即将被安装的所有文件的列表。它告诉 ports
系统在卸载时需要删除哪些文件。
一些ports还有些其它的文件, 例如
pkg-message。 ports
系统在一些特殊情况下会用到这些文件。
如果您想知道这些文件更多的细节以及 ports 的概要, 请参阅
FreeBSD Porter's Handbook。
port里面包含着如何编译源代码的指令, 但不包含真正的源代码。 您可以在网上或
CD-ROM 上获得源代码。 源代码可能被开发者发布成任何格式。
一般来说应该是一个被 tar 和 gzip 过的文件,
或者是被一些其他的工具压缩或未压缩的文件。
ports中这个程序源代码标示文件叫 distfile
,
安装 &os; port的方法还不止这两种。
您必须使用 root 用户登录后安装 ports。
在安装任何 port 之前, 应该首先确保已经更新到了最新的
Ports Collection, 并检查 中是否有与那个
port 有关的安全问题。
在安装应用程序之前, 可以使用
portaudit 来自动地检查是否存在已知的安全问题。
这个工具同样可以在
Ports Collection (ports-mgmt/portaudit) 中找到。
在安装新的 port 之前, 可以考虑先运行一下
portaudit -F 来抓取最新的漏洞数据库。
在每天的周期性系统安全检察时, 数据库会被自动更新,
并且会在这之后实施安全审计。
欲了解进一步的情况,请参阅 &man.portaudit.1; 和 &man.periodic.8;。
Ports 套件假定您有可用的
Internet 连接。 如果您没有, 则需要将
distfile 手工放到 /usr/ports/distfiles
中。
要开始操作, 首先进入要安装 port 的目录:
&prompt.root; cd /usr/ports/sysutils/lsof
一旦进入了 lsof 的目录,您将会看到这个port的结构。
下一步就是 make,或说 联编
这个 port。
只需在命令行简单地输入 make 命令就可轻松完成这一工作。
做好之后,您可以看到下面的信息:
&prompt.root; make
>> lsof_4.57D.freebsd.tar.gz doesn't seem to exist in /usr/ports/distfiles/.
>> Attempting to fetch from ftp://lsof.itap.purdue.edu/pub/tools/unix/lsof/.
===> Extracting for lsof-4.57
...
[extraction output snipped]
...
>> Checksum OK for lsof_4.57D.freebsd.tar.gz.
===> Patching for lsof-4.57
===> Applying FreeBSD patches for lsof-4.57
===> Configuring for lsof-4.57
...
[configure output snipped]
...
===> Building for lsof-4.57
...
[compilation output snipped]
...
&prompt.root;
注意,一旦编译完成,您就会回到命令行。 下一步安装 port,
要安装它只需要在 make 命令后跟上一个单词
install 即可:
&prompt.root; make install
===> Installing for lsof-4.57
...
[installation output snipped]
...
===> Generating temporary packing list
===> Compressing manual pages for lsof-4.57
===> Registering installation for lsof-4.57
===> SECURITY NOTE:
This port has installed the following binaries which execute with
increased privileges.
&prompt.root;
一旦您返回到提示符,您就可以运行您刚刚安装的程序了。因为
lsof 是一个赋予特殊权限的程序,
因此显示了一个安全警告。 在编译和安装 ports 的时候,
您应该留意任何出现的警告。
删除工作目录是个好主意,
这个目录中包含了全部在编译过程中用到的临时文件。
这些文件不仅会占用宝贵的磁盘空间, 而且可能会给升级新版本的 port
时带来麻烦。
&prompt.root; make clean
===> Cleaning for lsof-4.57
&prompt.root;
使用 make
install clean 可以一步完成 make、
make install 和 make clean
这三个分开的步骤的工作。
一些 shell 会缓存环境变量
PATH 中指定的目录里的可执行文件,
以加速查找它们的速度。 如果您使用的是这类 shell,
在安装 port 之后可能需要执行 rehash
命令, 然后才能运行新安装的那些命令。
这个命令可以在类似
tcsh 的 shell 中使用。 对于类似
sh 的 shell,
对应的命令是 hash -r。
请参见您的 shell 的文档以了解进一步的情况。
某些第三方 DVD-ROM 产品, 如 FreeBSD
Mall 的 FreeBSD Toolkit 中包含了 distfiles。
这些文件可以与 Ports 套件配合使用。
将 DVD-ROM 挂接到 /cdrom。
如果您使用不同的挂接点, 则应设置 make 变量 CD_MOUNTPTS。
如果盘上有需要的 distfiles, 则会自动使用。
请注意, 少数 ports 并不允许通过 CD-ROM 发行。
这可能是由于下载之前需要填写注册表格,
或者不允许再次发布, 或者有一些其它原因。
如果您希望安装在 CD-ROM 上没有的 port,
就需要在线操作了。
ports 系统使用 &man.fetch.1; 去下载文件, 它有很多可以设置的环境变量,
其中包括 FTP_PASSIVE_MODE、 FTP_PROXY,
和 FTP_PASSWORD。 如果您在防火墙之后,或使用 FTP/HTTP代理,
您就可能需要设置它们。 完整的说明请看 &man.fetch.3;。
当使用者不是所有时间都能连接上网络, 则可以利用 make
fetch。 您只要在顶层目录
(/usr/ports) 下运行这个命令,
所有需要的文件都将被下载。 这个命令也同样可以在下级类别目录中使用,
例如: /usr/ports/net。
注意, 如果一个port有一些依赖的库或其他 port, 它将 不
下载这些依赖的 port 的 distfile 文件, 如果您想获取所有依赖的
port 的所有 distfile, 请用 fetch-recursive
命令代替 fetch命令。
您可以在一个类别或在顶级目录编译所有的 port, 或者使用上述提到的
make fetch命令。 这样是非常危险的,
因为有一些port不能并存。 或者有另一种可能, 一些port会安装两个不同的文件,
但是却是相同的文件名。
在一些罕见的例子中, 用户可能需要在除了 MASTER_SITES
以外的一个站点(本地已经下载下来的文件)去获得一个文件包。
您可以用以下命令不使用 MASTER_SITES:
&prompt.root; cd /usr/ports/directory
&prompt.root; make MASTER_SITE_OVERRIDE= \
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/distfiles/ fetch
在这个例子中,我们把
MASTER_SITES这个选项改为了 ftp.FreeBSD.org/pub/FreeBSD/ports/distfiles/。
一些 port 允许 (或甚至要求) 您指定编译选项来
启用/禁用 应用程序中非必需的功能, 一些安全选项,
以及其他可以订制的内容。 具有代表性的包括
www/mozilla、 security/gpgme、 以及 mail/sylpheed-claws。
如果存在这样的选项, 通常会在编译时给出提示。
改变默认的 Ports 目录
有时, 使用不同的工作临时目录和目标目录可能很有用
(甚至是必要的)。 可以用
WRKDIRPREFIX 和 PREFIX
这两个变量来改变默认的目录。 例如:
&prompt.root; make WRKDIRPREFIX=/usr/home/example/ports install
将在 /usr/home/example/ports
中编译 port 并把所有的文件安装到
/usr/local。
&prompt.root; make PREFIX=/usr/home/example/local install
将在 /usr/ports 编译它并安装到
/usr/home/example/local。
当然,
&prompt.root; make WRKDIRPREFIX=../ports PREFIX=../local install
将包含两种设置 (没有办法在这一页把它写完,
但您应该已经知道怎么回事了)。
另外, 这些变量也可以作为环境变量来设置。
请参考您的 shell 的联机手册上关于如何设置环境变量的说明。
处理 <command>imake</command>
一些 port 使用 imake (这是
X Window 系统的一部分) 不能正常地配合
PREFIX, 它们会坚持把文件安装到
/usr/X11R6 下面。
类似地, 一些 Perl port 会忽略 PREFIX
并把文件安装到 Perl 的目录中。
让这些 port 尊重
PREFIX 是困难甚至是不可能的事情。
+
+
+ 重新配置 Ports
+
+ 当你在编译某些 ports 的时候,可能会弹出一个基于 ncurses
+ 的菜单来让你来选择一些编译选项。 通常用户都希望能够在一个 port
+ 被编译安装了以后还能再次访问这份菜单以添加删除或修改这些选项。
+ 实际上有很多方法来做这件事情。 一个方法进入那个 port 的目录后键入
+ make config,
+ 之后便会再次显示出菜单和已选择的项目。 另一个方法是用
+ make showconfig,
+ 这会给你显示出所有的配置选项。还有一个方法是执行
+ make rmconfig,
+ 这将删除所有已选择的项目。 有关这些选项更详细的内容请参阅
+ &man.ports.7;。
+
卸载已经安装的 Ports
ports
卸载
现在您已经了解了如何安装 ports, 并希望进一步了解如何卸载,
特别是在错误地安装了某个 port 之后。我们将卸载前面例子
(假如您没有注意的话, 是 lsof)
中安装的 port。 Ports 可以同 packages 以完全相同的方式 (在 Packages 一节 中进行了介绍) 卸载,
方法是使用 &man.pkg.delete.1; 命令:
&prompt.root; pkg_delete lsof-4.57
升级 Ports
ports
升级
首先, 使用 &man.pkg.version.1; 命令来列出 Ports Collection
中提供了更新版本的那些 port:
&prompt.root; pkg_version -v
<filename>/usr/ports/UPDATING</filename>
在您更新了 Ports 套件之后, 在升级 port 之前, 应查看
/usr/ports/UPDATING。
这个文件中介绍了在升级时用户应注意的问题,
以及一些可能需要进行的操作。 这可能包括更改文件格式、
配置文件位置的变动, 以及与先前版本的兼容性等等。
如果 UPDATING 与本书中介绍的内容不同,
请以 UPDATING 为准。
使用 Portupgrade 来更新 Ports
portupgrade
portupgrade 工具是设计来简化升级已安装的 port 的操作的。
它通过 ports-mgmt/portupgrade port 来提供。
您可以像其它 port 那样, 使用 make install
clean 命令来安装它:
&prompt.root; cd /usr/ports/ports-mgmt/portupgrade
&prompt.root; make install clean
使用 pkgdb
-F 命令来扫描已安装的 port 的列表,
并修正其所报告的不一致。 在每次升级之前, 有规律地执行它是个好主意。
运行 portupgrade -a 时,
portupgrade 将开始并升级系统中所安装的所有过时的 ports。
如果您希望在每个升级操作时得到确认, 应指定
参数。
&prompt.root; portupgrade -ai
如果您只希望升级某个特定的应用程序, 而非全部可用的 port,
应使用 portupgrade
pkgname。
如果 portupgrade 应首先升级指定应用程序的话,
则应指定 参数。
&prompt.root; portupgrade -R firefox
要使用预编译的 package 而不是 ports 来进行安装, 需要指定
。 如果指定了这个选项,
portupgrade
会搜索 PKG_PATH 中指定的本地目录,
如果没有找到, 则从远程站点下载。 如果本地没有找到,
而且远程站点也没有成功地下载预编译包, 则
portupgrade 将使用 ports。
要禁止使用 port, 可以指定 。
&prompt.root; portupgrade -PP gnome2
如果只想下载 distfiles (或者, 如果指定了
的话, 是 packages) 而不想构建或安装任何东西,
可以使用 。
要了解更多细节, 请参考 &man.portupgrade.1;。
使用 Portmanager 来升级 Ports
portmanager
Portmanager 是另一个用以简化已安装 port
升级操作的工具。 它可以通过
ports-mgmt/portmanager port 安装:
&prompt.root; cd /usr/ports/ports-mgmt/portmanager
&prompt.root; make install clean
可以通过这个简单的命令来升级所有已安装的 port:
&prompt.root; portmanager -u
如果希望 Portmanager 在进行每步操作之前都给出提示,
应使用 参数。 Portmanager
也可以用来在系统中安装新的 ports。 与通常的
make install clean 命令不同,
它会在联编和安装您所选择的 port 之前升级所有依赖包。
&prompt.root; portmanager x11/gnome2
如果关于所选 port 的依赖有任何问题,
可以用 Portmanager 来以正确的顺序重新构建它们。
完成之后, 有问题的 port 也将被重新构建。
&prompt.root; portmanager graphics/gimp -f
要了解更多信息, 请参见 &man.portmanager.1;。
Ports 和磁盘空间
ports
disk-space
使用 Ports 套件会最终用完磁盘空间。 在通过 ports 联编和安装软件之后,
您应记得清理临时的 work 目录,
其方法是使用 make
clean 命令。 您可以使用下面的命令来清理整个
Ports 套件:
&prompt.root; portsclean -C
随着时间的推移, 您可能会在
distfiles 目录中积累下大量源代码文件。
您可以手工删除这些文件, 也可以使用下面的命令来删除所有 port
都不引用的文件:
&prompt.root; portsclean -D
除此之外, 也可以用下列命令删去目前安装的 port 没有使用的源码包文件:
&prompt.root; portsclean -DD
这个 portsclean 工具是
portupgrade 套件的一部分。
不要忘记删除那些已经安装, 但已不再使用的 ports。
用于自动完成这种工作的一个好工具是
ports-mgmt/pkg_cutleaves port。
安装之后还要做点什么?
通常,您通过port安装完一个软件后,可以阅读它带的一些文档(如果它包含文档的话),
或需要编辑它的配置文件,来确保这个软件的运行,
或在机器启动的时候启动(如果它是一个服务的话),等等。
对于不同的软件有着不同的配置步骤。不管怎样,
如果您装好了一个软件,但是不知道下一步怎么办的时候,
这些小技巧可能可以帮助您:
使用 &man.pkg.info.1; 命令,它能找到安装了哪些文件,以及装在哪里。
举个例子,如果您安装了 FooPackage version 1.0.0, 那么这个命令
&prompt.root; pkg_info -L foopackage-1.0.0 | less
将显示这个软件包安装的所有文件,您要特别注意在man/目录里面的文件,
它们可能是手册,etc/目录里面的配置文件,以及 doc/目录下面更多的文档。
如果您不确定已经安装好的软件版本,您可以使用这样的命令
&prompt.root; pkg_info | grep -i foopackage
它将会找到所有已安装的软件包名字中包含foopackage
的软件包。 对于其他的查找, 您只需要在命令行中替换
foopackage。
一旦一些软件手册已被您确认安装,您可以使用 &man.man.1; 查看它。
同样的,如果有的话,您还可以完整的查看一遍配置文件的示例,以及任何额外的文档。
如果应用软件有网站, 您还可以从网站上找到文档,常见问题的解答,或其他更多。
如果您不知道它们的网站地址,请使用下面的命令
&prompt.root; pkg_info foopackage-1.0.0
一个 WWW: 行, 如果它存在,
它将提供一个这个应用程序的网站URL.
Ports 如果需要在服务器启动时运行(就像互联网服务器),
它通常会把一个脚本的样例放入
/usr/local/etc/rc.d 目录。为了保证正确性,
您可以查看这个脚本, 并编辑或更改这个脚本的名字。 详情请看启动服务。
如何处理坏掉的 Ports
如果您发现某个 port 无法正常工作,
有几件事值得尝试, 包括:
在 问题报告数据库
中查找是否有尚未提交的修正。 如果有, 可以使用所提议的修正。
要求 port 的监护人 (maintainer) 提供帮助。 输入
make maintainer 或阅读
Makefile 查找监护人的电子邮件地址。
请记得把 port 的名字和版本写在邮件里
(Makefile 中的
$FreeBSD:这一行) 并把错误输出的头几行发给 maintainer。
某些 ports 并非一个人维护, 而是写了一个 邮件列表。
许多, 但并非所有 port, 使用类似
freebsd-listname@FreeBSD.org 这样的地址。
请在提出问题时考虑这一点。
特别地, 由
freebsd-ports@FreeBSD.org 监护的 port,
实际上并没有人维护。 订阅这个邮件列表的人们会感谢您提供的修正和支持。
我们一直都需要更多志愿者!
如果您没有得到回应,
则可以使用 &man.send-pr.1; 来提交问题报告 (请参见 如何撰写
FreeBSD 问题报告)。
修正它! Porter
手册 中提供了关于
Ports
基础设施的详细信息,
通过了解这些内容, 您就能修正偶然坏掉的 port,
或甚至提交自己的 port 了!
从较近的 FTP 站点下载一个编译好的安装包。
中央的
package collection 在 ftp.FreeBSD.org 的 packages
目录中, 但 在此之前
一定记得先看看 本地镜像
上是否已经有了!
通常情况下这些安装包都可以直接使用,
而且应该比自行编译快一些。
安装过程本身可以通过 &man.pkg.add.1; 来完成。
diff --git a/zh_CN.GB2312/books/handbook/serialcomms/chapter.sgml b/zh_CN.GB2312/books/handbook/serialcomms/chapter.sgml
index 947cf769c7..76167c257f 100644
--- a/zh_CN.GB2312/books/handbook/serialcomms/chapter.sgml
+++ b/zh_CN.GB2312/books/handbook/serialcomms/chapter.sgml
@@ -1,2545 +1,2545 @@
串口通讯
概述
串口通讯
&unix; 一直都是支持串口通讯的。事实上,
早期的 &unix; 系统就是利用串口线来输入和输出数据的。
那时常见的 终端
包括一个每秒10个字符的串口打印机和键盘,
现在这些已经发生了很大的变化。 这章将介绍一些利用 FreeBSD
进行串口通讯的方法。
读完这章,您将了解到:
如何通过终端连接到您的FreeBSD系统。
如何使用modem拨号到远程主机。
如何允许远程用户通过modem登录到您的系统。
如何从串口控制台引导您的系统。
阅读这章之前,您应当了解:
如何配置和安装一个新的内核 ()。
理解 &unix; 的权限和进程 ()。
准备您打算在 FreeBSD 中使用的串口设备 (modem 或多插口卡)
的技术参考手册。
介绍
术语
bits-per-second
bps
每秒位— 数据的传输速度
DTE
DTE
数据终端设备 — 如您的计算机
DCE
DCE
数据通讯设备 — 如您的modem
RS-232
RS-232C cables
用于硬件串口通讯的EIA标准
当讨论通讯数据速度的时候,这节不会使用术语
baud
。Baud指电气标准传输率,它已经使用了很长时间,
而 bps
(bits per second) 才是正确使用的术语
(至少它不会打扰那些爱争吵的家伙)。
线缆和端口
要将 modem 或终端与您的 FreeBSD 系统相连,
您的计算机需要一个串口, 以及用于连接串口设备所需的线缆。
如果您比较熟悉硬件及所需要的电缆, 则可以跳过这节。
线缆
串口线缆有许多不同的种类。 最常见的两种类型是 null-modem
线缆和标准 (直联
) RS-232 线缆。
您的硬件说明书中会介绍应使用的线缆种类。
Null-modem线缆
null-modem cable
null-modem 电缆会直接传送某些信号, 如 Signal
Ground
(信号地), 但对其他信号进行交换。
例如, Transmitted Data
(数据发送) 引脚是连到另一端
Received Data
(数据接收) 引脚的。
也可以自行制作 null-modem 电缆给终端使用 (例如, 为了品质的要求)。
下面的表格展示了 RS-232C
信号,
以及 DB-25 连接器上的引脚。 注意, 标准也要求一根直通引脚 1 到引脚 1
的 保护地 (Protective Ground)
线, 但这通常都被省掉。 某些终端在只有引脚 2、 3 和 7 的时候,
就已经能够正常使用了, 而其他一些,
则需要下面例子中所展示的不同的配置。
DB-25 to DB-25 Null-Modem Cable
信号
引脚 #
引脚 #
信号
SG
7
连接到
7
SG
TD
2
连接到
3
RD
RD
3
连接到
2
TD
RTS
4
连接到
5
CTS
CTS
5
连接到
4
RTS
DTR
20
连接到
6
DSR
DTR
20
连接到
8
DCD
DSR
6
连接到
20
DTR
DCD
8
连接到
20
DTR
这里还有两种目前比较流行的其他接线方式。
DB-9 到 DB-9 Null-Modem 电缆
信号
引脚 #
引脚 #
信号
RD
2
接到
3
TD
TD
3
接到
2
RD
DTR
4
接到
6
DSR
DTR
4
接到
1
DCD
SG
5
接到
5
SG
DSR
6
接到
4
DTR
DCD
1
接到
4
DTR
RTS
7
接到
8
CTS
CTS
8
接到
7
RTS
DB-9 到 DB-25 Null-Modem 电缆
信号
引脚 #
引脚 #
信号
RD
2
DB-9 到 DB-25 Null-Modem 电缆
2
TD
TD
3
接到
3
RD
DTR
4
接到
6
DSR
DTR
4
接到
8
DCD
SG
5
接到
7
SG
DSR
6
接到
20
DTR
DCD
1
接到
20
DTR
RTS
7
接到
5
CTS
CTS
8
接到
4
RTS
当某一段连接器上的一个引脚需要连接到对端的一对引脚时,
通常是将那一对引脚使用一短线连接,
而使用长线接到另一端的那个引脚。
上面的设计似乎更为流行。 在其他变种中 (在 RS-232 Made
Easy 这本书中进行了详细介绍) 则是 SG 接 SG,
TD 接 RD、 RTS 和
CTS 接 DCD、 DTR 接 DSR, 反之亦然。
标准RS-232C线缆
RS-232C cables
标准的串口电缆会直接传送所有 RS-232C 信号。
也就是说, 一头的 Transmitted Data
引脚,
会直接接到另一头的 Transmitted Data
引脚。
这包括将调制解调器接到您的
FreeBSD 系统上的那种电缆, 同样也适用于某些型号的终端。
端口
串口是FreeBSD主机与终端传输数据的设备。
这节描述了端口的种类和它们在 FreeBSD 上是如何编址的。
端口的种类
有好几种串口。 在采购或制作线缆之前,
您应确认它能够适合您的终端以及 FreeBSD 系统。
绝大多数终端都提供 DB-25 端口。 个人计算机,
也包括运行 FreeBSD 的 PC 机, 通常会有 DB-25 或 DB-9 口。
如果您的 PC 上有多插口串口卡, 则可能有 RJ-12 或
RJ-45 口。
请参见您硬件的文档以了解所用接口的规格。
此外, 您也可以通过观察外观来了解所用的端口。
端口名称Port Names
在FreeBSD中,您可以通过 /dev
目录中的一个记录来访问每个串口。有两种不同的记录:
呼入端口被命名为/dev/ttydN,
这里 N 是端口号,从零开始。
通常,您使用呼入端口作为终端。呼入端口要求数据线使用载波检测
(DCD) 信号来工作。
呼出端口被命名为 /dev/cuadN。
您通常不使用呼出端口作为终端, 只使用modem。
如果串口线或终端不支持载波检测数据传输,
您可以使用呼出端口。
在 &os; 5.X 和更早版本中, 呼出端口的名字是
/dev/cuaaN。
如果您已经连接一个终端到第一个串口 (在 &ms-dos;
上是COM1),
则可以使用 /dev/ttyd0 来作为终端。
如果它是在第二个串口 (COM2),
那就是 /dev/ttyd1,等等。
内核配置
FreeBSD默认支持4个串口。 在&ms-dos;下,这些是
COM1,
COM2,
COM3,
和
COM4。 FreeBSD 目前支持 dumb
多口串口卡,如 BocaBoard 1008 和 2016, 以及许多 Digiboard
和 Stallion Technologies 制造的智能多接口卡。 不过,
默认的内核只会寻找标准的COM端口。
要看看您的内核是否支持您的串口,只要在内核启动时查看一下启动信息,
或使用 /sbin/dmesg 命令重新检测内核启动信息。
特别的,寻找以sio字符启动的信息。
如果想只察看包含
sio 一词的消息, 可以使用下面的命令:
&prompt.root; /sbin/dmesg | grep 'sio'
例如,在一个带有4个串口的系统上,这些是串口特定的内核启动信息:
sio0 at 0x3f8-0x3ff irq 4 on isa
sio0: type 16550A
sio1 at 0x2f8-0x2ff irq 3 on isa
sio1: type 16550A
sio2 at 0x3e8-0x3ef irq 5 on isa
sio2: type 16550A
sio3 at 0x2e8-0x2ef irq 9 on isa
sio3: type 16550A
如果内核未能认出所有的串口, 可能需要通过修改
/boot/device.hints 文件来进行一些配置。
此外, 也可以注释或完全删除掉您没有的设备。
请参见 &man.sio.4; 联机手册来了解关于串口,
以及多插口卡配置的进一步细节。 如果您正使用一个在不同版本的
FreeBSD 上的文件请务必小心, 因为设备参数和语法发生了变化。
这里端口 IO_COM1 代替了
0x3f8,端口 IO_COM2 代替了
0x2f8,端口 IO_COM3 代替了
0x3e8,端口 IO_COM4 代替了
0x2e8,这些都是各自端口相应的端口地址。
中断4,3,5,9都是经常用的中断。也要注意有些正常的串口可能
无法 在一些ISA总线的PC上共享中断
(多插口板卡有板载的电子设备,允许在板上所有 16550A
的设备共享一个或两个中断请求)。
设备特殊文件
在内核中, 大多数设备都是通过 设备特殊文件
来访问的,
这些文件一般位于 /dev 目录中。
sio 是通过
/dev/ttydN (呼入)
和 /dev/cuadN
(呼出) 设备来访问的。 此外, FreeBSD 也提供了初始化设备
(在 &os; 6.X 上是
/dev/ttydN.init 以及
/dev/cuadN.init,
而在 &os; 5.X 上则是
/dev/ttyidN 和
/dev/cuaiaN) 以及锁设备
(在 &os; 6.X 上是
/dev/ttydN.lock 和
/dev/cuadN.lock,
而在 &os; 5.X 上则是
/dev/ttyldN 和
/dev/cualaN)。
初始化设备用于在打开端口时初始化其通讯参数, 例如使用
RTS/CTS 信号进行流控制的调制解调器的
crtscts。 锁设备则用于在端口上提供一个锁标志,
防止用户或程序改变特定的参数; 请参见 &man.termios.4;、
&man.sio.4;, 以及 &man.stty.1; 的联机手册, 以了解关于终端配置、
锁和初始化设备, 以及配置终端参数的详细信息。
串口配置
ttyd
cuad
ttydN (或
cuadN)
设备是您将要打开的应用程序的一般设备。 当进程打开某个设备时,
它将有一个终端 I/O 设置的默认配置。 您可以在命令行看看这些设置:
&prompt.root; stty -a -f /dev/ttyd1
当您修改了这个设备的设置,这个设置会生效,除非设备被关闭。
当它被重新打开时,它将回到默认设置。 要修改默认设置,您可以打开和调整
初始状态
设备的设置。例如,
要为ttyd5 打开
模式,8位通讯和默认的 流控制,
输入:
&prompt.root; stty -f /dev/ttyd5.init clocal cs8 ixon ixoff
rc files
rc.serial
串口设备的系统级初始化,
是由 /etc/rc.d/serial 来控制的。
这个文件会影响串口设备的默认设置。
为了防止应用程序修改某些设置,
应修改 lock state
(锁状态) 设备。 例如, 要把
ttyd5 的速率锁定为 57600 bps, 输入:
&prompt.root; stty -f /dev/ttyd5.lock 57600
现在,一个打开ttyd5
和设法改变端口速度的应用程序将被固定在57600bit/s。很自然地,
您需要确定初始状态,然后用root帐户锁定状态设备的写入功能。
很显然,您应该只让 root
用户可以初始化或锁定设备的状态。
Sean
Kelly
Contributed by
终端
终端
当您在计算机控制台或是在一个连接的网络上时,
终端提供了一个方便和低成本的访问 FreeBSD 系统的方法。
这节描述了如何在 FreeBSD 上使用终端。
终端的用法和类型
早期的 &unix; 系统没有控制台。
人们通过将终端连接到计算机的串口来登录和使用程序。
它很像用 modem 和一些终端软件来拨号进入一个远程的系统,
只能执行文本的工作。
今天的 PC 已经可以使用高质量的图形了,
但与今天的其他&unix;操作系统一样,建立一个登录会话的能力仍然存在。
通过使用一个终端连接到一个没有使用的串口,
您就能登录和运行任何文本程序或在 X 视窗系统中运行一个
xterm 窗口程序。
对于商业用户,您可以把任何终端连接到 FreeBSD 系统,
然后把它们放在员工的桌面上。 对于家庭用户,则可以使用一台比较老的
IBM PC 或 Macintosh 运行一个终端连接到一台运行 FreeBSD
的高性能机器上。
对于FreeBSD,有三种终端:
哑终端
充当终端的PC
X 终端
下面一小节将描述每一种终端。
哑终端
哑终端需要专门的好几种硬件,让您通过串口线连接到计算机。
它们被叫做 哑
是因为它们只能够用来显示,
发送和接收文本。 您不能在它上面运行任何程序。
有好几百种哑终端,包括Digital Equipment Corporation
的VT-100和Wyse的WY-75。只有几种可以在FreeBSD上工作。
一些高端的终端可以显示图形,但只有某些软件包可以使用这些高级特性。
哑终端被广泛用于那些不需要图形应用的工作中。
充当终端的PC
假如 哑终端 的功能仅限于显示、
发送和接收文本的话, 那么显然任何一台闲置的个人计算机,
都完全能够胜任哑终端的工作。 因此您需要的是合适的线缆,
以及一些在这台计算机上运行的 终端仿真
软件。
这种配置在家庭中应用十分广泛。 例如, 如果您的爱人正忙于在您的
FreeBSD 系统的控制台上工作时,
您就可以将一台功能稍弱的计算机挂在这个 FreeBSD
系统上来同时完成一些文本界面的工作。
在 &os; 的基本系统中至少有两个能用于进行串口连接的工具:
&man.cu.1; 和 &man.tip.1;。
如果要从运行 &os; 的计算机上通过串口连接到另一系统,
可以使用:
&prompt.root; cu -l 串口设备
此处 串口设备
表示您计算机上某个串口对应的设备名。
在 &os; 6.0 之前的版本中, 这些设备的名字是
/dev/cuaaN,
而在 6.0 和更新一些的版本中, 则是
/dev/cuadN。
此处的 N
表示串口的编号。
请注意在 &os; 中设备的编号是从零而非一开始的
(这一点与另一些系统, 如基于 &ms-dos; 的系统不同)。
因此, 在基于 &ms-dos; 系统中的 COM1
在 &os;
中通常叫做 /dev/cuad0。
其他一些人可能喜欢使用另一些来自 Ports 套件的程序。
Ports 中提供了几个与 &man.cu.1; 和
&man.tip.1; 类似的工具,
例如 comms/minicom。
X 终端
X终端是最复杂的终端系统。它们通常需要使用以太网来连接。
它们能显示任何X应用程序。
我们介绍X终端只是为了感兴趣。然而,
这章不会涉及X终端的安装,配置或使用。
配置
这节描述了您在一个终端上启用一个登录会话时, 需要在 FreeBSD
系统上进行的配置。 假设已经配置好了内核来支持串口,
就可以直接开始连接了。
在 中曾经提到, init
进程依赖于系统启动时所有的处理控制和初始化。
通过 init 来执行的一些任务将先读取
/etc/ttys文件,
然后在可用的终端上启用一个 getty 进程。
getty 进程可用来阅读一个登录名和启动
login程序。
然而,要为您的FreeBSD系统配置终端,您需要以
root 身份执行下面的步骤:
如果它不在那里, 您需要为串口在
/dev 目录下添加一行记录到
/etc/ttys。
指定 /usr/libexec/getty 在端口上运行,
然后从 /etc/gettytab 文件指定适当的
getty 类型。
指定默认的终端类型。
设置端口为 on
。
确定端口是否为 secure
。
迫使init 重新读取
/etc/ttys文件。
作为可选的步骤,您可以通过在 /etc/gettytab
中建立一个记录,在第2步创建一个定制的
getty 类型来使用。这章不会介绍如何做。
您可以参考 &man.gettytab.5; 和 &man.getty.8;
的联机手册了解更多信息。
添加一个记录到<filename>/etc/ttys</filename>
/etc/ttys文件列出了您
FreeBSD系统上允许登录的所有端口。 例如, 第一个虚拟控制台
ttyv0 在这个文件中有一个记录。
您可以使用这个记录登录进控制台。
这个文件也包含其他虚拟控制台的记录,串口,和伪 ttys 终端。
对于一个硬连线的终端, 只要列出串口的
/dev 记录而不需要
/dev 部分 (例如,
/dev/ttyv0 可以被列为
ttyv0)。
默认的 FreeBSD 安装包括一个支持最初四个串口
ttyd0 到 ttyd3
的/etc/ttys 文件。
如果您从那些端口中某一个使用终端,您不需要添加另一个记录。
在
<filename>/etc/ttys</filename> 中增加终端记录
假设我们连接两个终端给系统: 一个 Wyse-50 和一个老的运行
Procomm 终端软件模拟一个
VT-100 终端的286IBM PC。 在 /etc/ttys
文件中的相应的记录是这样的:
ttyd1 "/usr/libexec/getty std.38400" wy50 on insecure
ttyd5 "/usr/libexec/getty std.19200" vt100 on insecure
第一部分指定了终端指定文件的名称, 它可以在
/dev中找到。
第二部分是在这行执行的命令,通常是 &man.getty.8;。
getty 初始化然后打开一行,设置速度,
用户名的命令和执行登录程序。
getty 程序在它的命令行接收一个参数 (可选),
getty 类型。 一个
getty 类型会在终端行描述一个特征,
像波特率和奇偶校验。 getty 程序从
/etc/gettytab 文件读取这些特征。
文件/etc/gettytab
包含了许多老的和新的终端行记录。
在很多例子中,启动文本 std
的记录将用硬连线终端来工作。 这些记录忽略了奇偶性。
这是一个从110到115200 bit/s的 std 记录。
当然,您可以添加您自己的记录到这个文件。
gettytab 的联机手册提供了更多的信息。
当在/etc/ttys中设置
getty 类型的时候,
确信在终端上的通讯设置匹配。
在我们的例子中, Wyse-50 不使用奇偶性, 用38400 bit/s
来连接。286 PC不使用奇偶性,用19200bit/s来连接。
第三部分是通常连接到那个tty行的终端类型。对于拨号端口,
unknown 或 dialup
通常被用在这个地方。 对于硬连线的终端,终端类型不会改变,
所以您可以从termcap数据库文件中放一个真正的终端类型。
在我们的例子中, Wyse-50 使用真正的终端类型,
而运行 Procomm 的286
PC将被设置成在VT-100上的模拟。
如果端口被启用,可以指定第四个部分。在第二部分,
把它放在这儿将执行初始化进程来启动程序
getty。如果您在这部分拖延,
将没有getty,在端口上因此就没有登录。
最后部分被用来指定端口是否安全。
标记一个安全的端口意味着您信任它允许用 root
帐户从那个端口登录。 不安全的端口不允许
root登录。 在一个不安全的端口上,
用户必须用无特权的帐户登录, 然后使用
su 或一个相似的机制来获得超级用户的权限。
重新读取<filename>/etc/ttys</filename>来强制<command>init</command>
对/etc/ttys文件做一个必要的修改后,您必须发送一个
SIGHUP 信号给初始化进程来迫使它重新读取配置文件,例如:
&prompt.root; kill -HUP 1
init 总是系统运行时的第一个进程,因此它总是PID 1。
如果能够正确设置,所有的线缆都是适当的,终端将可以启用了,
然后一个 getty 进程将在每个终端运行,
您将在您的终端上看到登录命令行。
您的连接可能出现的问题
即使您小心翼翼地注意细节,您仍然可能会在设置终端时出错。
这有一个有关问题和解决办法的列表:
没有登录命令出现:
确定终端被嵌入和打开了。如果把一台个人计算机充当一个终端,
确信终端模拟软件运行在正确的串口上。
确信线缆被稳固地连接在终端和 FreeBSD 计算机上。
确信用了正确的电缆。
确定终端和 FreeBSD 的传输速度和奇偶设置已经一致了。
如果您有一个图像显示终端,确信对比度已经调节好了。
如果它是一个可打印的终端,确信纸张和墨水已经就绪了。
确定一个 getty 进程正在运行和服务终端。
例如, 可以用ps 命令得到运行
getty 程序的列表,键入:
&prompt.root; ps -axww|grep getty
您将看到一个终端的记录。例如,下面的显示表明一个getty
正在第二个串口 ttyd1 运行,
正在 /etc/gettytab 中使用 std.38400
的记录:
22189 d1 Is+ 0:00.03 /usr/libexec/getty std.38400 ttyd1
如果没有 getty 进程运行,
确信您已经在/etc/ttys中启用了端口。
在修改完/etc/ttys文件后,记得运行
kill -HUP 1。
如果 getty 进程确实在运行,
但终端上仍然没有显示出登录提示, 或者虽然显示了单缺不允许您输入,
您的终端或电缆可能不支持硬件握手。 请尝试将
/etc/ttys 中的
std.38400 改为
3wire.38400 (注意在改完
/etc/ttys 之后要
kill -HUP 1)。
3wire 记录和
std 类似, 但忽略硬件握手。
您可能需要在使用 3wire
时减少波特率或启用软件流控制以避免缓冲区溢出。
出现一个 <quote>垃圾</quote> 而不是一个登录命令行
确信终端和 FreeBSD 使用相同的 bit/s 传输率和奇偶校验设置。
检查一下 getty 进程确信当前使用正确的
getty 类型。 如果没有,
编辑/etc/ttys然后运行kill
-HUP 1。
当键入密码时,字符两个两个出现
将终端 (或终端模拟软件) 从 半双工
或 本地回显
换成
全双工
。
Guy
Helmer
Contributed by
Sean
Kelly
Additions by
拨入服务
拨入服务
为拨入服务配置FreeBSD系统与连接到终端是非常相似的,除非您正在使用
modem来拨号而不是终端。
外置vs.内置modem
外置modem看起来很容易拨号。 因为,外置 modem
可以通过储存在非易失性的RAM中的参数来配置,
它们通常提供指示器来显示重要的RS-232信号的状态。
不停闪光的信号灯能给用户留下比较深刻的印象,
而且指示器也可以用来查看modem是否正常地工作。
内置modem通常缺乏非易失性的RAM,
所以对它们的配置可能会限制在通过 DIP 开关来设置。
如果您的内置modem有指示灯,您也很难看得到。
Modem和线缆
modem
如果您使用一个外置的 modem,那您将需要适当的电缆线。
一个标准的串口线应当足够长以至普通的信号能够连接上:
信号名称
缩写
全名
RD
收到数据 (Received Data)
TD
传出数据 (Transmitted Data)
DTR
数据终端就绪 (Data Terminal Ready)
DSR
数据集就绪 (Data Set Ready)
DCD
数据载波检测 (Data Carrier Detect) (RS-232 的收到线路信号检测器)
SG
信号地 (Signal Ground)
RTS
要求发送数据 (Request to Send)
CTS
允许对方发送数据 (Clear to Send)
FreeBSD 对速度超过 2400 bps 的情形需要通过 RTS 和
CTS 信号来完成流控制,
通过 CD 信号来检测呼叫响应和挂机, 并通过
DTR 信号来在会话结束时对调制解调器进行复位。
某些电缆在连接时没有提供全部需要的信号, 这会给您带来问题,
例如在挂断时登录会话不消失, 这就有可能是电缆的问题。
与其它类 &unix; 操作系统类似, FreeBSD 使用硬件信号来检测呼叫响应,
以及在挂断时挂断并复位调制解调器。 FreeBSD 避免发送命令给调制解调器,
或监视其状态。 如果您熟悉通过调制解调器来连接基于 PC 的 BBS 系统,
这可能看起来有点难用。
串口的考虑
FreeBSD支持基于 NS8250, NS16450, NS16550 和 NS16550A
的EIA RS-232C通讯接口。 8250和16450设备有单字符缓冲。
16550设备提供了一个 16 个字符的缓冲, 可以提高更多的系统性能。
因为单字符缓冲设备比 16 个字符的缓冲需要更多的系统资源来工作,
所以基于16550A的接口卡可能更好。 如果系统没有活动的串口,
或有较大的负载, 16 字符缓冲的卡对于低错误率的通讯来说更好。
快速预览
getty
对于终端, init
会在每个配置串口上为每个拨入连接产生一个 getty
进程。 例如, 如果一个 modem 被附带在 /dev/ttyd0
中,用命令ps ax可以显示下面这些:
4850 ?? I 0:00.09 /usr/libexec/getty V19200 ttyd0
当用户拨上modem, 并使用它进行连接时, CD
线就会被 modem 认出。 内核注意到载波信号已经被检测到,
需要完成 getty 端口的打开。
getty 发送一个登录:在指定的初始线速度上的命令行。
Getty 会检查合法的字符是否被接收, 在典型的配置中,
如果发现 垃圾
, getty
就会设法调节线速度,直到它接收到合理的字符。
/usr/bin/login
用户在键入他/她的登录名称后,
getty执行/usr/bin/login,
这会要求用户输入密码来完成登录, 然后启动用户的shell。
配置文件
如果希望允许拨入您的 FreeBSD 系统, 在
/etc 目录中有三个系统配置文件需要您关注。 其一是
/etc/gettytab,
其中包含用于 /usr/libexec/getty 服务的配置信息。 其二是
/etc/ttys, 它的作用是告诉
/sbin/init 哪些 tty
设备上应该运行 getty。 最后,
关于端口的初始化命令, 应放到
/etc/rc.d/serial 脚本中。
关于在 &unix; 上配置拨入调制解调器有两种主要的流派。
一种是将本地计算机到调制解调器的
RS-232 接口配置为固定速率。 这样做的好处是,
远程用户总能立即见到系统的登录提示符, 而其缺点则是,
系统并不知道用户真实的数据速率是多少, 因而, 类似 Emacs
这样的程序, 也就无法调整它们绘制屏幕的方式,
以便为慢速连接改善响应时间。
另一种流派将调制解调器的 RS-232 接口速率配置为随远程用户的连接速率变化。 例如, 对
V.32bis (14.4 Kbps) 连接,
调制解调器会让自己的 RS-232 接口以 19.2 Kbps 的速率运行,
而 2400 bps 连接, 则会使调制解调器的 RS-232 接口以 2400 bps
的速率运行。 由于
getty 并不能识别具体的调制解调器的连接速率反馈信息,
因此, getty 会以初始速度给出一个
login: 提示, 并检查用户的响应字符。
如果用户看到乱码, 则他们应知道此时应按下
Enter 键, 直到看到可以辨认的提示符为止。
如果数据速率不匹配, 则 getty
会将用户输入的任何信息均视为 乱码
,
并尝试以下一种速率来再次给出 login: 提示符。
这一过程可能需要令人作呕地重复下去, 不过一般而言,
用户只要敲一两下键盘就能看到正确的提示符了。 显然,
这种登录过程看起来不如前面所介绍的
锁定速率
方法那样简单明了,
但使用低速连接的用户, 却可以在运行全屏幕程序时得到更好的交互响应。
这一节将尽可能公平地介绍关于配置的信息,
但更着力于介绍调制解调器速率随连接速率变化的配置方法。
<filename>/etc/gettytab</filename>
/etc/gettytab
/etc/gettytab是一个用来配置
getty 信息的 termcap 风格的文件。 请看看
gettytab 的联机手册了解完整的文件格式和功能列表。
锁定速度的配置
如果您把您的modem的数据通讯率锁定在一个特殊的速度上,
您不需要对 /etc/gettytab 文件作任何变化。
匹配速度的配置
您将需要在 /etc/gettytab
中设置一个记录来告诉 getty 您希望在
modem 上使用的速度。 如果您的 modem 的速率是 2400 bit/s,
则可以使用现有的 D2400 的记录。
#
# Fast dialup terminals, 2400/1200/300 rotary (can start either way)
#
D2400|d2400|Fast-Dial-2400:\
:nx=D1200:tc=2400-baud:
3|D1200|Fast-Dial-1200:\
:nx=D300:tc=1200-baud:
5|D300|Fast-Dial-300:\
:nx=D2400:tc=300-baud:
如果您有一个更高速度的 modem, 必须在
/etc/gettytab 中添加一个记录。
下面是一个让您可以以最高 19.2 Kbit/s 的用在
14.4 Kbit/s的modem上的接口记录:
#
# Additions for a V.32bis Modem
#
um|V300|High Speed Modem at 300,8-bit:\
:nx=V19200:tc=std.300:
un|V1200|High Speed Modem at 1200,8-bit:\
:nx=V300:tc=std.1200:
uo|V2400|High Speed Modem at 2400,8-bit:\
:nx=V1200:tc=std.2400:
up|V9600|High Speed Modem at 9600,8-bit:\
:nx=V2400:tc=std.9600:
uq|V19200|High Speed Modem at 19200,8-bit:\
:nx=V9600:tc=std.19200:
这样做的结果是 8-数据位, 没有奇偶校验的连接。
上面使用19.2 Kbit/s的连接速度的例子,也可以使用
9600 bit/s (for V.32), 2400 bit/s, 1200 bit/s,300 bit/s,
直到 19.2 Kbit/s。 通讯率的调节使用 nx=
(next table
) 来实现。 每条线使用一个
tc= (table continuation
)
的记录来加速对于一个特殊传输率的标准设置。
如果您有28.8 Kbit/s的modem,或您想使用它的 14.4Kbit/s
模式, 就需要使用一个更高的超过 19.2 Kbit/s 的通讯速度的
modem。 这是一个启动 57.6 Kbit/s 的 gettytab
记录的例子:
#
# Additions for a V.32bis or V.34 Modem
# Starting at 57.6 Kbps
#
vm|VH300|Very High Speed Modem at 300,8-bit:\
:nx=VH57600:tc=std.300:
vn|VH1200|Very High Speed Modem at 1200,8-bit:\
:nx=VH300:tc=std.1200:
vo|VH2400|Very High Speed Modem at 2400,8-bit:\
:nx=VH1200:tc=std.2400:
vp|VH9600|Very High Speed Modem at 9600,8-bit:\
:nx=VH2400:tc=std.9600:
vq|VH57600|Very High Speed Modem at 57600,8-bit:\
:nx=VH9600:tc=std.57600:
如果您的 CPU 速度较低, 或系统的负荷很重, 而且没有
16550A 的串口,您可能会在57.6 Kbit/s 上得到
sio silo
错误。
<filename>/etc/ttys</filename>
/etc/ttys
/etc/ttys文件的配置在
中介绍过。 配置 modem 是相似的,
但我们必须指定一个不同的终端类型。
锁定速度和匹配速度配置的通用格式是:
ttyd0 "/usr/libexec/getty xxx" dialup on
上面的第一条是这个记录的设备特定文件 —
ttyd0 表示 /dev/ttyd0
是这个 getty 将被监视的文件。 第二条
"/usr/libexec/getty
xxx"
是将运行在设备上的进程 init。
第三条,dialup,是默认的终端类型。 第四个参数,
on, 指出了线路是可操作的
init。 也可能会有第五个参数,
secure, 但它将只被用作拥有物理安全的终端
(如系统终端)。
默认的终端类型可能依赖于本地参考。 拨号是传统的默认终端类型,
以至用户可以定制它们的登录脚本来注意终端什么时候拨号,
和自动调节它们的终端类型。 然而, 作者发现它很容易在它的站点上指定
vt102 作为默认的终端类型,
因为用户刚才在它们的远程系统上使用的是VT102模拟器。
您对/etc/ttys作修改之后,您可以发送
init 进程给一个 HUP
信号来重读文件。您可以使用下面的命令来发送信号:
&prompt.root; kill -HUP 1
如果这是您的第一次设置系统, 您可能要在发信号
init 之前等一下, 等到您的 modem
正确地配置并连接好。
锁定速度的配置
对于一个锁定速度的配置,您的 ttys
记录必须有一个为 getty 提供固定速度的记录。
对于一个速度被锁定在 19.2kbit/s 的 modem,
ttys 记录是这样的:
ttyd0 "/usr/libexec/getty std.19200" dialup on
如果您的 modem 被锁定在一个不同的数据速度,
为 std.speed 使用适当的速度来代替 std.19200。
确信您使用了一个在 /etc/gettytab
中列出的正确的类型。
匹配速度的设置
在一个匹配速度的设置中,您的 ttys
录需要参考在 /etc/gettytab 适当的起始
auto-baud
记录。 例如, 如果您为一个以 19.2
Kbit/s 开始的可匹配速度的 modem 添加上面建议的记录, 您的
ttys 记录可能是这样的:
ttyd0 "/usr/libexec/getty V19200" dialup on
<filename>/etc/rc.d/serial</filename>
rc files
rc.serial
高速调制解调器, 如使用 V.32、 V.32bis, 以及 V.34 的那些,
需要使用硬件 (RTS/CTS) 流控制。
您可以在
/etc/rc.d/serial 中增加
stty 命令来在 FreeBSD 内核中,
为调制解调器设置硬件流控制标志。
例如, 在 1 号串口
(COM2) 拨入和拨出设备上配置 termios 标志
crtscts, 可以通过在
/etc/rc.d/serial 增加下面的设置来实现:
# Serial port initial configuration
stty -f /dev/ttyd1.init crtscts
stty -f /dev/cuad1.init crtscts
Modem 设置
如果您有一个 modem, 它的参数能被存储在非易失性的 RAM 中,
您将必须使用一个终端程序来设置参数。 使用同样的通讯速度来连接
modem 作为初始速度 getty 将使用和配置
modem 的非易失性RAM来适应这些要求:
连接时宣告 CD
操作时宣告 DTR; DTR
消失时挂断线路并复位调制解调器
CTS 传输数据流控制
禁用 XON/XOFF 流控制
RTS 接收数据流控制
宁静模式 (无返回码)
无命令回显
请阅读您 modem 的文档找到您需要用什么命令和 DIP 接口设置。
例如,要在一个 USRobotics Sportster 14400 的外置 modem
上设置上面的参数,可以用下面这些命令:
ATZ
AT&C1&D2&H1&I0&R2&W
您也可能想要在 modem 上寻找机会调节这个设置, 例如它是否使用
V.42bis 和 MNP5 压缩。
外置 modem 也有一些用来设置的 DIP 开关,
也许您可以使用这些设置作为一个例子:
Switch 1: UP — DTR Normal
Switch 2: N/A (Verbal Result Codes/Numeric Result
Codes)
Switch 3: UP — Suppress Result Codes
Switch 4: DOWN — No echo, offline commands
Switch 5: UP — Auto Answer
Switch 6: UP — Carrier Detect Normal
Switch 7: UP — Load NVRAM Defaults
Switch 8: N/A (Smart Mode/Dumb Mode)
在拨号 modem 上的结果代码应该被 禁用/抑制, 以避免当
getty 在 modem 处于命令模式并回显输入时错误地给出
login: 提示时可能造成的问题。
这样可能导致 getty 与 modem
之间产生更长的不必要交互。
锁定速度的配置
对于锁定速度的配置, 您需要配置 modem
来获得一个不依赖于通讯率的稳定的 modem到计算机 的传输率。
在一个 USR Sportster 14400 外置 modem 上, 这些命令将锁定
modem到计算机 的传输率:
ATZ
AT&B1&W
匹配速度的配置
对于一个变速的配置, 您需要配置 modem
调节它的串口传输率匹配接收的传输率。
在一个 USR Sportster 14400 的外置 modem 上, 这些命令将锁定
modem 的错误修正传输率适合命令要求的速度,
但允许串口速度适应没有纠错的连接:
ATZ
AT&B2&W
检查modem的配置
大多数高速的modem提供了用来查看当前操作参数的命令。
在USR Sportster 14400外置modem上, 命令 ATI5
显示了存储在非易失性RAM中的设置。 要看看正确的 modem 操作参数,
可以使用命令 ATZ 然后是
ATI4。
如果您有一个不同牌子的 modem, 检查 modem
的使用手册看看如何双重检查您的 modem 的配置参数。
问题解答
这儿是几个检查拨号modem的步骤。
检查FreeBSD系统
把您的modem连接到FreeBSD系统, 启动系统, 然后, 如果您的
modem 有一个指示灯, 当登录时看看 modem 的 DTR 指示灯是否亮:
会在系统控制台出现命令行——如果它亮, 意味着 FreeBSD
已经在适当的通讯端口启动了一个 getty 进程,
等待 modem 接收一个呼叫。
如果DTR指示灯不亮, 通过控制台登录到
FreeBSD系统,然后执行一个 ps ax
命令来看 FreeBSD 是否正在正确的端口运行
getty进程。
您将在进程显示中看到像这样的一行:
114 ?? I 0:00.10 /usr/libexec/getty V19200 ttyd0
115 ?? I 0:00.10 /usr/libexec/getty V19200 ttyd1
如果您看到是这样的:
114 d0 I 0:00.10 /usr/libexec/getty V19200 ttyd0
modem 不接收呼叫, 这意味着 getty
已经在通讯端口打开了。 这可以指出线缆有问题或 modem 错误配置,
因为 getty 无法打开通讯端口。
如果您没有看到任何 getty 进程等待打开想要的
ttydN 端口,
在 /etc/ttys 中双击您的记录看看那儿是否有错误。
另外,检查日志文件 /var/log/messages
看看是否有一些来自 init 或
getty 的问题日志。 如果有任何信息,
仔细检查配置文件 /etc/ttys 和
/etc/gettytab,还有相应的设备文件
/dev/ttydN,
是否有错误,丢失记录,或丢失了设备指定文件。
尝试接入Try Dialing In
设法拨入系统。 确信使用8位, 没有奇偶检验, 在远程系统上的1阻止位。
如果您不能立刻得到一个命令行, 试试每隔一秒按一下
Enter。 如果您仍没有看到一个登录: 设法发送一个
BREAK。 如果您正使用一个高速的 modem 来拨号,
请在锁定拨号 modem 的接口速度后再试试。
如果您不能得到一个登录:prompt,再检查一下
/etc/gettytab,重复检查:
在/etc/ttys 中指定的初始可用的名称与
/etc/gettytab 的一个可用的相匹配。
每个 nx= 记录与另一个
gettytab 可用名称匹配。
每个 tc= 记录与另一个
gettytab可用名称相匹配。
如果您拨号但 FreeBSD 系统上的 modem 没有回应, 确信 modem
能回应电话。 如果 modem 看起来配置正确了, 通过检查 modem
的指示灯来确认 DTR 线连接正确。
如果您做了好几次,它仍然无法工作,打断一会,等会再试试。
如果还不能工作, 也许您应该发一封电子邮件给 &a.questions;
寻求帮助。
拨出设备
dial-out service
下面将让您的主机通过 modem 连接到另一台计算机上。
这只要适当地建立一个终端作为远程主机就可以。
这可以用来登录进一个BBS。
如果您用 PPP 有问题, 那这种连接可以用来从 Internet
上下载一个文件。 如果您必须 FTP 一些东西, 而 PPP 断了,
使用终端会话来 FTP 它们。 然后使用 zmodem 来把它们传输到您的机器上。
我的Stock Hayes Modem不被支持,我该怎么办?
事实上, 联机手册对于这个的描述已经过时了。 一个通用的
Hayes拨号已经内建其中。 只要在您的 /etc/remote
文件中使用 at=hayes。
Hayes 驱动不够 聪明
只能认出一些比较新的 modem
的高级特性 — 如 BUSY、
NO DIALTONE, 或 CONNECT 115200
的信息将被搞乱。 当您使用的时候, 您必须把这些信息关掉。(通过
ATX0&W)。
另外,拨号的延迟是 60 秒。 您的 modem
可能使用另外的时间或提示认为有其他的通讯问题。
试试 ATS7=45&W。
注意: 实际上 tip 不支持所有的
Hayes modems。 解决方法是编辑
/usr/src/usr.bin/tip/tip
目录中的 tipconf.h 文件。很明显,
您需要它的源代码才能这样做。
把行#define HAYES 0 改为
#define HAYES 1。 然后
make 并
make install就可以了。
我如何输入这些 AT 命令?
/etc/remote
在
/etc/remote 文件中增加一个 direct
项。
举例而言, 如果您的调制解调器挂在第一个串口, 即 /dev/cuad0 上,
则应添加下面这行:
cuad0:dv=/dev/cuad0:br#19200:pa=none
此处应使用您的 modem 所支持的最高 br bps 速率。
接下来, 输入 tip cuad0 就可以连到 modem 上了。
此外, 也可以 root 身份执行 cu
命令:
&prompt.root; cu -lline -sspeed
line 是串口
(例如 /dev/cuad0) 而
speed 则是速率
(如 57600)。 当您输入完 AT
之后, 按 ~. 即可退出。
现在pn <literal>@</literal>标记不能工作?
在电话号码中的 @ 标记告诉计算机在
/etc/phones 文件中查找一个电话号码。 但
@ 标记也是一个在像 /etc/remote
这样的可用文件中的特殊字符。 用一个反斜线符号退出:
pn=\@
我如何在命令行拨电话号码?
在您的 /etc/remote 文件中通常放着一个叫做
generic
的记录。 例如:
tip115200|Dial any phone number at 115200 bps:\
:dv=/dev/cuad0:br#115200:at=hayes:pa=none:du:
tip57600|Dial any phone number at 57600 bps:\
:dv=/dev/cuad0:br#57600:at=hayes:pa=none:du:
然后, 可以执行:
&prompt.root; tip -115200 5551234
如果您更喜欢cu而不是tip,使用一个通用的cu记录:
cu115200|Use cu to dial any number at 115200bps:\
:dv=/dev/cuad1:br#57600:at=hayes:pa=none:du:
然后键入:
&prompt.root; cu 5551234 -s 115200
这么做时是否每次都需要重新输入 bps 速率?
添加一项 tip1200 或
cu1200, 并将 bps 速率换成更合适的值。
tip 的默认值是1200 bps, 也就是为什么会有
tip1200 这条记录的原因。
虽然您并不需要使用 1200 bps。
我通过一个终端服务器访问了很多主机。
除非每次都要等到您连接到主机然后键入
CONNECT <host>, 否则使用
tip 的 cm 功能。
例如, 在 /etc/remote 中的这些记录:
pain|pain.deep13.com|Forrester's machine:\
:cm=CONNECT pain\n:tc=deep13:
muffin|muffin.deep13.com|Frank's machine:\
:cm=CONNECT muffin\n:tc=deep13:
deep13:Gizmonics Institute terminal server:\
:dv=/dev/cuad2:br#38400:at=hayes:du:pa=none:pn=5551234:
将让您键入 tip pain 或 tip
muffin 连接到主机pain或muffin, 和 tip
deep13 连接到终端服务器。
<command>tip</command>能为每个站点试用多个线路吗?
经常有一个问题, 一个大学有几个modem线路, 几千个学生设法使用它们。
在 /etc/remote 中为您的大学添加一个记录,
然后为 pn 功能使用 @ 标记:
big-university:\
:pn=\@:tc=dialout
dialout:\
:dv=/dev/cuad3:br#9600:at=courier:du:pa=none:
接着, 在 /etc/phones
中列出大学的电话号码:
big-university 5551111
big-university 5551112
big-university 5551113
big-university 5551114
tip 将按顺序试用每一个,然后就停止。
如果想继续测试, 隔一段时间再运行 tip。
为什么我必须键入
<keycombo action="simul">
<keycap>Ctrl</keycap>
<keycap>P</keycap>
</keycombo>
两次才能发出
<keycombo action="simul">
<keycap>Ctrl</keycap>
<keycap>P</keycap>
</keycombo>
一次?
CtrlP是默认的强制
字符,被用来告诉tip下一个字符是文字的数据。您可以用~s给任何其他的字符设置强制字符,这意思是设置一个变量
。
在新的一行键入 ~sforce=single-char。
single-char 是任何简单的字符。 如果您遗漏了
single-char, 那强制字符就是空字符,
这可以键入
Ctrl2
或
CtrlSpace
来完成。 更好的 single-char
是
Shift
Ctrl
6
, 这只用在一些终端服务器上。
通过在您的 $HOME/.tiprc
文件中指定下面这行, 就可以得到您想要的任何强制字符:
force=<single-char>
突然我键入的每一样东西都变成了大写??
您一定是键入了
Ctrl
A
, 即 tip
的 raise character
,
会临时地指定成坏掉的 caps-lock键。 使用上面的
~s 来合理地设置各种
raisechar。 事实上,
如果您不想使用这些特性的话,您可以用同样的方法设置强制字符。
这儿有一个很好的示例 .tiprc 文件, 对
Emacs用户来说,需要经常按
Ctrl2
和
CtrlA
:
force=^^
raisechar=^^
The ^^ is
ShiftCtrl6
.
如何用 <command>tip</command> 做文件传输?
如果您正在与另一台 &unix; 系统对话, 您可以用
~p(put) 和 ~t (take)
发送和接收文件。 这些命令可以在远程系统上运行 cat
和 echo 来接收和发送文件。 语法是这样的:
~p
local-file
remote-file
~t
remote-file
local-file
由于没有错误校验, 所以您需要使用其他协议, 如 zmodem。
我如何用<command>tip</command>运行zmodem?
要接收这些文件,可以在远程终端启动发送程序。然后,键入
~C rz 在本地开始接收它们。 要发送文件,
可以在远程终端启动接收程序。 然后, 键入 ~C sz
files
把它们发送到远程系统。
Kazutaka
YOKOTA
Contributed by
Bill
Paul
Based on a document by
设置串口控制台
serial console
介绍
FreeBSD可以通过一个串口只使用一个哑 (dumb) 终端就可以启动一个系统。
这样一种配置只有两种人能使用: 希望在机器上安装 FreeBSD 的系统管理员,
他没有键盘或显示器, 还有就是要调试内核或设备驱动程序的开发人员。
就象 描述的, FreeBSD
采用一个三步的启动过程。 最先两步储存在 FreeBSD 启动磁盘的启动
slice 的启动代码块中。 引导块然后就被加载,
接着运行第三步启动引导器 (/boot/loader)。
为了设置串口控制台, 您必须配置启动代码块, 启动引导器代码和内核。
串口控制台的配置, 简明版
这一节假定您使用默认的配置, 只希望迅速地获得关于配置串口控制台的概览。
使用串口电缆连接 COM1 和控制终端。
要在串口控制台上显示所有的引导信息,
需要以超级用户的身份执行下面的命令:
&prompt.root; echo 'console="comconsole"' >> /boot/loader.conf
编辑 /etc/ttys 并把 ttyd0 的
off 改为 on,
dialup 改为 vt100。
否则通过串口控制台上将不会提示输入口令,
从而导致潜在的安全漏洞。
重新启动并观察是否生效。
如果需要不同的配置, 更进一步的配置讨论可以在
找到。
串口控制台的设置
准备一根串口线缆。
null-modem cable
您需要使用一个 null-modem 的线缆或标准的串口线和一个 null-modem
适配器。 请参考
中有关串口线的讨论。
拔掉键盘。
绝大多数的PC在开机检测的时候会检测到键盘,
如果没有检测到键盘, 则会出现错误。 一些机器会提示缺少键盘,
就不会继续引导系统。
如果您的计算机出现错误, 但仍能继续启动, 您可以不必理它。
如果您的计算机没有键盘拒绝启动, 那您需要配置 BIOS
来避免它。 请参考您的主板的使用说明了解更多细节。
在 BIOS 中将键盘设为 Not installed
(未安装)。
现在您仍然无法使用键盘。 这样做只是告诉 BIOS
在启动时不要探测键盘。 您的 BIOS 不应抱怨键盘不存在。
即使这一标志设置为 Not
installed
时, 只要把键盘插上,
它就仍可使用。
如果系统有 PS/2 鼠标, 如果幸运的话,
您也可以象键盘一样把它拔下来, 这是因为 PS/2
鼠标与键盘的一些硬件是共享的, 您的鼠标插上去,
系统会认为键盘仍在那儿。
插一个哑 (dumb) 终端到COM1:(sio0)。
如果您没有哑终端, 可以使用一个比较老的带有一个 modem
程序的PC/XT机器, 或在其他 &unix; 机器上的串口。 如果您没有
COM1: (sio0),
去找一个。 这时, 您就不能只能选择
COM1:来启动系统。
如果您已经在另一台设备上使用 COM1,
您必须临时删除那个设备, 然后安装一个新的系统引导块和内核。
确信您的内核配置文件已经为 COM1:
(sio0) 设置了适当的标记:
有关的标记是:
0x10
启用控制台支持。 如果没有设置它,
则其他的控制台标记都会被忽略。 现在,
绝大多数的设置都有控制台的支持。
这个标记的第一个就是首选的。
这个单独选项是不能确保串口适用于控制台的,
设置下面的标记或加上下面描述的 选项,
和这个放在一起。
0x20
无论是否使用了下面将要讨论的
选项, 都强制这个单元作为控制台
(除非使用了更高优先级的控制台)。
标志 0x20 必须与 一起使用。
0x40
预留这个单元 (配合
0x10) 并让它不能用于普通的使用。
您不应在希望作为控制台的串口单元上设置这个标志。
这一标志是为内核远程调试准备的。
参见 开发者手册
以了解关于远程调试更进一步的情况。
例如:
device sio0 at isa? port IO_COM1 flags 0x10 irq 4
看看 &man.sio.4; 的联机手册了解更多信息。
如果标记没有被设置, 您必须运行UserConfig或重新编译内核。
在启动磁盘的 a 分区的根目录创建
boot.config 文件。
这个文件将指导引导块代码如何启动系统。 为了激活串口控制台,
您必须有一个或多个下面的选项——如果您要多个选项,
在同一行必须都包含它们:
切换内部和串口控制台。 您使用这个来交换控制台设备。
例如, 如果您从内部控制台启动, 您可以使用
来直接使用启动引导器和内核来使用串口作为它的控制台设备。
另外, 如果您从串口启动, 您可以使用
来告诉启动引导器和内核使用显示设备作为控制台。
切换单一和双重控制台配置。 在单一配置中,
控制台将是本机的控制台 (显示设备) 或串口。
在双重控制台配置中, 显示设备和串口将同时成为控制台,
无论 的选项的情形。 然而,
双控制台配置只在引导块运行的过程中起作用。
一旦启动引导器获得控制, 由
选项指定的控制台将成为唯一的控制台。
在启动时,探测键盘。如果键盘找不到,
和 选项会自动设置。
由于当前版本引导块的空间限制,
选项只能探测扩展的键盘。 少于101键的键盘将无法被探测到。
如果您碰到这个情况, 您必须避免使用
选项。 目前还没有绕过这个问题的办法。
使用 选项来自动选择控制台, 或使用
选项来激活控制台。
您也可以使用boot联机文档中所描述的其他选项。
除了 选项, 所有选项将被传给启动引导器
(/boot/loader)。 启动引导器将通过检查
选项的状态来决定是显示设备成为控制台,
还是串口成为控制台。 这表示如果您指定 选项,
但在 /boot.config 中没有
选项, 您在启动代码块时使用串口作为控制台。
启动引导器将使用内部显示设备作为控制台。
启动机器
当您启动您的FreeBSD时,引导块将把 /boot.config
的内容发给控制台。例如:
/boot.config: -P
Keyboard: no
如果您把 放在 /boot.config
中并指出键盘存在或不存在, 那将只出现第二行。
这些信息会被定位到串口或内部控制台, 或两者同时, 这完全取决于
/boot.config 中的选项。
选项
送出消息的设备
none
内部控制台
串口控制台
串口控制台和内部控制台
串口控制台和内部控制台
, 有键盘
内部控制台
, 无键盘
串口控制台
出现上面信息后,在引导块加载启动引导器和更多信息被映到屏幕之前将有一个小小的停顿。
在通常情况下, 您不需要打断启动进程, 但为了确信设置是否正确, 您也可以这样做。
在控制台上按 Enter 以外的任意键就能打断启动进程。
引导块将进入命令行模式。 您将看到:
>> FreeBSD/i386 BOOT
Default: 0:ad(0,a)/boot/loader
boot:
检验上面出现的信息, 可能是串口, 或内部控制台, 或两个同时,
完全取决于您在 /boot.config 中的选项。
如果信息出现在正确的控制台, 按 Enter
继续启动进程。
如果您要使用串口控制台, 但您没有看到命令行, 那可能设置有问题。
这时, 输入 然后按 Enter/Return 来告诉引导块
(然后是启动引导器和内核) 选择串口作为控制台。 一旦系统起来了,
就可以回去检查一下是什么出了问题。
启动引导器加载完后, 您将进入启动进程的第三步,
您仍然可以在启动引导器通过设定您喜欢的环境来切换内部控制台和串口控制台。
参考 。
摘要
这是几个在这章要讨论的几个设置和选择的控制台的摘要。
例1: 您为 <devicename>sio0</devicename> 设置标记 0x10
device sio0 at isa? port IO_COM1 flags 0x10 irq 4
在 /boot.config 中的选项
引导块执行时所用的控制台
引导加载器执行时所用的控制台
内核所用的控制台
无
内部
内部
内部
串口
串口
串口
串口和内部
内部
内部
串口和内部
串口
串口
, 有键盘
内部
内部
内部
, 没有键盘
串口和内部
串口
串口
例2:您为sio0设置标记为0x30
device sio0 at isa? port IO_COM1 flags 0x30 irq 4
在 /boot.config 中的选项
引导块执行时所用的控制台
引导加载器执行时所用的控制台
内核所用的控制台
无
内部
内部
串口
串口
串口
串口
串口和内部
内部
串口
串口和内部
串口
串口
, 有键盘
内部
内部
串口
, 没有键盘
串口和内部
串口
串口
串口控制台的提示
设置更高的串口速度
在默认配置中, 串口的设置是: 速率 9600 波特、 8
数据位、 无奇偶校验位、 1 停止位。 如果您希望修改默认的控制台速率,
可以采用下列几种方法之一:
将 BOOT_COMCONSOLE_SPEED 配置为希望的速率,
并重新编译引导块。 请参见
以了解如何联编和安装新的引导块。
如果串口控制台已配置为使用 以外的其它方式引导,
或者内核使用的速率与引导块不同, 则必需在内核配置文件中加入下述设置,
并重新联编新内核:
options CONSPEED=19200
使用内核引导选项 .
这个命令行选项可以加到 /boot.config
中。 请参见联机手册 &man.boot.8; 以获得如何在 /boot.config
中增加选项, 以及其它的可用选项。
在您的 /boot/loader.conf 文件中启用 comconsole_speed
选项。
使用这个选项时,您还需要在 /boot/loader.conf
中配置 console、
boot_serial, 以及
boot_multicons。 下面是一个利用
comconsole_speed 改变串口控制台速率的例子:
boot_multicons="YES"
boot_serial="YES"
comconsole_speed="115200"
console="comconsole,vidconsole"
&os; 在 6.1-RELEASE 之前的版本并不支持
以及 /boot/loader.conf
的 comconsole_speed 选项,
如果您使用的是较早的 &os; 版本, 就只能重新编译引导块了。
使用 <devicename>sio0</devicename> 以外的串口
作为控制台
使用串口而不是 sio0
作为控制台需要做一些重编译。 如果您无论如何都要使用另一个串口,
重新编译引导块, 启动引导器和内核。
取得内核源代码 (参考 )。
编辑 /etc/make.conf 文件, 然后设置
BOOT_COMCONSOLE_PORT作为您要使用
(0x3f8、 0x2f8、 0x3E8
或 0x2E8) 端口的地址。 只有 sio0 到
sio3 (COM1 到
COM4) 都可以使用; 但多口串口卡将不会工作。
不需要任何中断设置。
创建一个定制的内核配置文件, 在您要使用的串口添加合适的标记。
例如, 如果要将 sio1
(COM2) 作为控制台:
device sio1 at isa? port IO_COM2 flags 0x10 irq 3
或
device sio1 at isa? port port IO_COM2 flags 0x30 irq 3
其他端口的控制台标记也不要设。
重新编译和安装引导块:
&prompt.root; cd /sys/boot
&prompt.root; make clean
&prompt.root; make
&prompt.root; make install
重建和安装内核。
用 &man.bsdlabel.8;
将引导块写到启动盘上,然后从新内核启动。
通过串口线进入DDB调试器
options BREAK_TO_DEBUGGER
options DDB
在串口控制台上得到一个登录命令行
您可能希望通过串口线进入登录提示, 现在您可以看到启动信息,
通过串口控制台键入内核调试信息。可以这样做。
用一个编辑器打开 /etc/ttys 文件,
然后找到下面的行:
ttyd0 "/usr/libexec/getty std.9600" unknown off secure
ttyd1 "/usr/libexec/getty std.9600" unknown off secure
ttyd2 "/usr/libexec/getty std.9600" unknown off secure
ttyd3 "/usr/libexec/getty std.9600" unknown off secure
ttyd0 到 ttyd3 相当于
COM1 到 COM4。
可以打开或关闭某个端口。 如果您已经改变了串口的速度,
还必须改掉标准的 9600 与当前的例如 19200 相匹配。
您也可以改变终端的类型从不知名的到您串口终端的真实类型。
编辑完这个文件, 您必须 kill -HUP 1
来使这个修改生效。
从启动引导器修改控制台
前面一节描述了如何通过调整引导块来设定串口控制台。
这节将讲到在启动引导器中通过键入一些命令和环境变量来指定控制台。
由于启动引导器会被启动进程的第三步所调用, 引导块以后,
在启动引导器中的设置将忽略在引导块中的设置。
配置串口控制台
您可以很容易地指定启动引导器和内核来使用串口控制台, 只需要在
/boot/loader.rc中写入下面这行:
set console="comconsole"
无论前一节中的引导块如何配置, 这个设置都会生效。
您最好把上面一行放在文件的第一行,
以便尽早地在启动时看到串口控制台的启动信息。
同样地,您可以指定内部控制台为:
set console="vidconsole"
如果您不设置启动引导环境变量控制台,
启动引导器和内核将使用在引导块时用
选项指定的控制台。
在 3.2 以及更新的版本中,您可以在 /boot/loader.conf.local
或 /boot/loader.conf 中,
而不是在 /boot/loader.rc 指定控制台。
用这种方法, 您的 /boot/loader.rc
文件将是这样的:
include /boot/loader.4th
start
然后, 创建 /boot/loader.conf.local 并加入下面的行。
console=comconsole
或
console=vidconsole
看看 &man.loader.conf.5; 的联机手册了解更多信息。
目前, 引导块尚不提供与引导加载器的
选项等价的选项,
另外, 它也不能根据是否有键盘存在自动决定选择使用内部控制台还是串口控制台。
使用串口而不是<devicename>sio0</devicename>作为控制台
要使用一个串口而不是 sio0 作为串口控制台
需要重新编译启动引导器。下面的步骤跟
描述的相似。
警告
这篇文章本意是想告诉人们如何设定没有显示设备或键盘的专用服务器。
不幸的是, 绝大多数系统没有键盘可以让您启动,
而没有显示设备就不让您启动。 使用 AMI BIOS 的机器可以通过在 CMOS
中将 graphics adapter
项设为
Not installed
来在启动时不要求显示适配器。
然而, 许多机器并不支持这个选项,
如果您的系统没有显示硬件就拒绝启动。 对于这些机器, 即使您没有显示器,
也必须在机器上插上显示适配器。 建议您试试采用 AMI BIOS 的机器。