网络管理员指南

网络管理员指南

网络管理员指南-1.网络介绍-1.历史

联网的想法可能象电信一样远旧。考虑生活在石头时代的人,鼓在此可能被用来了在个人之间传送消息。猜想洞
穴人A想要邀请洞穴人B参加对方掷岩石的一场比赛，但是他们居住的太远， B听不见A给他敲的鼓声。因此 A 的选择
是什么？他能 1 )-走到 B 的地方上, 2 )-得到更大的一个鼓,或 3 )-问 C ,C生活在A与B之间，让C传送信息。最后
这一个被叫作联网。

当然,我们从我们的祖先的原始的追求和设备走了很长的路了。现在,我们让计算机互相讨论电线的广阔的集合,纤
维光学,微波,等等,为星期六的足球比赛匹配预约。在下列，我们将处理这被完成的工具和方法，但是省掉电线,象足球
部分一样。

我们将在这个指南中描述网络的两种类型:那些基于 UUCP ，和那些基于TCP/IP的网络.这些是提供方法在两台计算
机之间传送数据的协议全套和软件包。在这章，我们将看到网络的两种类型，并且讨论他们的内在原则。

我们把网络定义为作为能与对方一起交流的许多主机,经常依靠在参加者之间中继数据的很多专注主机的服务。主机
经常是计算机，但是不必是;一个人作为主机也能想到X终端或聪明的打印机。主机的小块也被称为地点。

通讯没有某种语言或代码是不可能的。在计算机网络中，这些语言共同作为协议。然而，在此你不应该想到写的协议，
但是当规定的头相遇时，行为的高度形式化了的代码被观察,例如。处于很类似的时尚，在计算机网络被使用了的协议仅仅
是为在两个或两个以上主机之间交换信息的很严格的规则。

网络管理员指南-1.网络介绍-2.UUCP网络

UUCP 是 Unix-to-Unix Copy的一个缩写。它作为程序的一个文件包启动，在连续的线上转移文件，确定那些转
移的时间，并且在远程地点上开始执行程序。自从70年代末它的第一实现以来，它经历了主要的变化 ,但是它仍然在
它提供的服务中是一名勇士。它的主要的应用仍然是基于拨号的电话连接在宽区域网络。

UUCP 首先与1977年在贝尔实验室被开发，用于在他们的Unix发展地点之间的通讯。在1978年中 ，这个网络已经
连接了80多个地点。它作为一个应用程序运行电子邮件,象远程打印一样。然而,系统的使用是散布新软件和错误
修正。如今, UUCP 不再被到环境。有免费的和商业的为许多平台可得到的端口,包括 AmigaOS ， DOS , Atari
的 TOS ,等等。

UUCP 网络的主要不利条件之一是他们的低带宽。一方面,电话设备对于最大转移频率有严格的。另一方面,
UUCP 连接很少是永久的连接;相反,主机在常规的间隔中相互拨号。因此，大部分时间，它通过一个UUCP网络传递一个
邮件信息，它懒散地位于一些主机的磁盘上，等待下一次一个连接被建立。

尽管有这些，仍然有许多 UUCP 网络在整个世界中操作,主要由业余爱好者运行,它提供私人用户在合理价格
上的联网存取。UUCP流行的主要的原因是，它与把你的计算机与大的因特网电缆线联接起来相比是极便宜的。使你的
计算机成为 UUCP 节,你所需要的就是一个调制解调器，一个工作的UUCP实现，以及愿意给你发送邮件和新闻的另外一
个UUCP节点。

网络管理员指南-1.网络介绍-3.TCP/IP 网络-1)介绍TCP/IP网络

尽管 UUCP 可能是低花费拨号网络连接的合理的选择，有许多种情况证明它的存储转发技术很顽固,
例如在本地的区域联网( LANs )。这些通常由位于同样建筑中的少数机器组成,或甚至在一样的地板上的
少数机器组成，他们被互相联系以提供同类工作环境。典型地，你将想要在这些主机之间分享文件，或在
不同的机器上运行分布式的应用程序。

这些任务要求到联网的一条完全不同的途径。而不是与工作描述一起提交全部文件，所有的数据在更小
的块上被拆散(文件包),它很快地被提交给目的地主机,他们在此被重新集合。这类网络被称为一个切换包的
网络。在另外的事情之中，这允许在网络上运行交互的应用程序。这的费用是,当然,在软件方面极大地增加
了它的复杂性。

被采用的那个系统的答案--以及许多 nonsites --作为TCP/IP被知道。在这一节中,我们将看一看它的内在概念。


介绍TCP/IP-网络


TCP/IP追溯它的源头到1969年一个由美国DARPA（防御高级研究项目代理）创建的一个研究项目。它是一个实验性网络，
ARPANET，在他被证明成功之后，它转化到一个1975年的一个操作。

在1983年，新的协议套组TCP/IP制定为一个标准，网络上的所有主机要求使用它。当ARPANET最终成长为Internet（ARPANET
本身在1990年退出历史），TCP/IP的使用传播到超越Internet本身的网络。最为著名的是本地区域网络。但是在快速数字电
话设备之前，例如ISDN，它还有一个提升的特征作为一个拨叫网络的传输。

对于集中一些东西来查找我们讨论的贯穿下面部分的TCP/IP，我们将考察Groucho Marx大学（GMU），位于Fredland的某个
地方，作为例子。大多数系运行他们自己的本地区域网络，而一些共享一个，其它运行几个。他们都是内部连接的，并且通
过一个高速连接到Internet。

假设你的信箱在数学系连接到LAN主机，并且它的名字是erdos。要访问物理系，称为quark，你输入下面的命令：

$ rlogin quark.physics
Welcome to the Physics Department at GMU
(ttyq2) login:
在提示中，你输入你的注册名，称为andres，和你的密码。于是你在quark上给出一个shell，要到达那里你可以输入它就象
你正位于系统控制台。在你退出shell之后，你返到你自己的系统提示，你刚刚使用了一个即时，TCP/IP提供的交互式应用程
序：远程注册。

当注册到quark，你可能还想要运行一个X11基础的应用程序，如一个功能测绘程序，或者一个附录预览。来告诉这个应用程序
你想要使它的窗口显示在你的主机屏幕上，你需要设置DISPLAY环境变量：

$ export DISPLAY=erdos.maths:0.0
如果你现在开始你的应用程序，他将联络你的X服务器而不是quark的，并显示它所有的窗口在你的屏幕上。当然，这要求你有
X11运行在erdos。这里的问题是TCP/IP允许quark and erdos发送X11返回并给你印象你在一个单独的系统中。网络这个几乎是
透明的。

TCP/IP网络上的另外一个非常重要的应用程序是NFS，它代表Network File System（网络文件系统）。这是使网络透明的另外
一种方法。因为它基本上允许你从其他主机安装目录层，因此，它们象本地文件系统一样出现。例如，所有的用户根目录可以
在一个中心服务机器上，从那里所有在LAN上的其它主机安装到目录。它的影响是用户可以记录进入任何机器，并在相同的目
录发现他们自己。同样的，在一个机器上安装要求大空间的应用程序是可能的（例如：TeX）。并输出这些目录到其他机器。
我们将在章节-返回到NFS。

当然，这些只是你通过TCP/IP网络可以做的事情的例子。可能性几乎是无止境的。

我们将进一步讨论TCP/IP网络。你将需要它来了解如何以及为什么配置到你的机器。我们将通过检查你的硬件开始，并慢慢上路。



网络管理员指南-1.网络介绍-3.TCP/IP 网络-2)以太网

本文出自:http://www.linpus.com.tw 作者: Andrew Anderson


广泛地被使用在LANS上的硬件类型通常被认为是以太网。它与通过接头，分接头或收发器被纳入它的由一根单个的
电缆线组成的主机。简单的以太网安装起来是相当便宜的,它,和一个每秒 10 兆位速率的网络转移说明它的流行性。


以太网有三种风情,称为厚和薄,分别地,和双绞线。薄和厚的以太网各个使用一根同轴电缆,在宽度和你可以把一台
主机纳入这根电缆线的方法上有不同。薄的以太网使用一个T型的“ BNC ”接头,你把它插入到电缆,并且拧一个插
头放在你的计算机的背后。厚的以太网要求你给电缆钻一个小洞,并且使用一个"vampire 接头"缚上一个接收器。
然后一个或一个以上的主机可以被连结到 接收器。薄和厚的以太网电缆可以运行200和500米的最大值,分别地,并
且也因此被称为 10base-2 和 10base-5 。使用一根电缆的双绞线由两根铜丝组成,它也被发现在一般的电话安装中，
但是通常要求附加的硬件。它也称为 10base-T。


尽管增加一台主机到一个厚的以太网有点毛乎乎的,它并不降低网络。把一台主机增加到细电缆网安装,因为你必须
切断电揽去插入接头，所以你必须有至少几分钟的时间中断联网服务。


大多数人比较喜欢薄的以太网,因为它是很便宜的: PC 卡只要 US$50，并且电缆每米只要几分钱。然而,对于大规模
的安装，厚的以太网是更适当的。例如,在 Gmu 数学部门的以太网使用厚的以太网,因此每次一台主机加入网络时交
通不会中断。


以太网技术的缺点之一是它的有限的电缆线长度,它预防除为 LANs 以外的它的任何使用。然而，几个以太网的片断
可以被连接到使用中继器 ，桥或路。中继器简单地在两个或更多的片断之间拷贝信号,以便所有片断象是一个以太网
一样一起行动。预定要求,网络上任何两个主机不能有超过四个中继器。桥和路是更复杂的。他们分析到来的数据,并
且只当接受者主机不在本地的以太网上时提交它。


以太网象一个公共汽车系统一样地工作,一台主机在此可以发送达到1500个字节的文件包(或框架)给在同样以太网上
的其他的主机。一位主机被它的以太网板的固件设定固定的一个6字节地址邮箱。这些地址通常由冒号分开了的两位
十六进制的数字顺序被写,例如 aa:bb:cc:dd:ee:ff 。


由一个地址被送出的一个框架被所有依附的地址看到，但是实际上仅有目的地主机能拣起它并且处理它。如果两个地
址同时试着发送，发生碰撞,它通过两个地址终止任务来解决,并且片刻后重新尝试发送。

网络管理员指南-1.网络介绍-3.TCP/IP 网络-3)其它类型的硬件


本文出自:http://www.linpus.com.tw 作者: Andrew Anderson

比较大的安装，例如：Groucho Marx大学，Ethernet经常不是唯一使用的设备类型。在Groucho Marx大学，每个
系的局域网都连接在校园网主线上，它是一个运行FDDI（光纤分布式数据借口）的光纤电缆。FDDI使用一个与传
输数据完全不同的连接方式。它基本上是发送一些记号，而一个网站如果得到一个记号的时候只被允许发送它的
一个框架。FDDI的主要优点是它大于100-Mbps的速度，和一个最大可以到达200公里的长度。


对于长距离的网络连接，设备类型上的一个不同类别经常被用到，它以一个名为X.25的标准为基础。象在美国的
Tymne和在德国的Datex-P一样，许多这样称呼的公共数据网络都支持这种服务。X.25要求一个特殊的硬件，被称
为一个Packet Assembler/Disassembler或者是PAD. X.25来根据自己的权益定义一套网络协议，但是它不经常用
来连接运行TCP/IP和其它协议的网络。因为IP包无法只是被简单地定位在X.25（并且反之亦然），它们被简单的
密封在X.25包中在网络中发送。


经常的，无线爱好者使用他们的设备来进行网络工作；这被称为packet radio 或者 ham radio。ham radios使用
的协议称为AX.25,它是从X.25.派生出来的。

其它技术是有关使用比较慢但是便宜的串连线的拨号连接。这仍然需要包裹传输的另外一个协议，例如SLIP或者PPP，
它们将会在下面进行介绍。

网络管理员指南-1.网络介绍-3.TCP/IP 网络 -4)Internet协议

本文出自:http://www.linpus.com.tw 作者: Andrew Anderson

当然，你不希望你的网络在一个Ethernet局域网上。理想状态下，你希望能够使用一个网络，它不需要考虑它所
运行的是什么硬件和它由几个子单元组成。例如，在比较大的安装中，如Groucho Marx大学，你通常有一些分开的
Ethernets，它们需要使用某种方法进行连接。在GMU，数学系运行着两个Ethernets：一个给教授和研究生使用的快
机器的网络和另外一个为学生准备的慢机器的网络。它们都连接在FDDI校园中枢上

这个连接由一个指定的主机处理，它就是一个所谓的网关，它通过在两个Ethernets个光缆线之间复制来处理输入和输
出的包。例如，如果你在数学系，并且想要从你的box中访问物理系子网上的quark的话，网络软件无法直接发送包到
quark，因为它不在同一个Ethernet。因此，它需要网关作为一个转发器。网关（被称为sophus）于是使用中枢转发这
些包裹到物理系与它同等级别的网关niels，niels再处理它到目标机器上。erdos 和quark之间的数据流动显示在下面
（向Guy L. Steele道歉）

表：从erdos 到 quark发送一个datagram的三个步骤。对不起：

这个指导数据到主机的计划被称为routing,并且包裹在这个上下文中经常是指datagrams。为了方便处理，datagrams交
换由一个简单的协议管理，它于硬件使用的IP或者Internet协议。在章节，我们将会更详细的谈到IP和routing中
的一些事项。

IP的主要益处是它将物理上相异的网络转化为月个亿显然统一的网络。这被被称为内部网络，它的结果“meta-network”
被称为一个internet.请注意，这里一个internet和那个internet之间的细微区别。后者是一个特殊的全球的internet的
名字。

当然，IP还需要一个硬件的地址计划。这通过分派给每个主机一个唯一的32-bit的数字来实现，被称为IP地址。一个
IP地址经常被写为有4个小数的数字，每个有8-bit位，由点隔开。例如，quark可能有一个IP地址是0x954C0C04，它可以被
写为149.76.12.4这种格式还被称为dotted quad符号。

你将会注意到，我们现在由个不同类型的地址：第一个是主机名，象quark，然后是IP地址，最后是硬件地址，如
6-byte Ethernet地址。所有这些都需要相匹配，所以当你输入登录到quark的时候，可以给网络软件quark的IP 地址；
当IP 处理任何数据到物理系Ethernet的时候，它需要找到相对应于IP地址的Ethernet地址，这似乎有些混乱。

我们在这里不准备在继续了，进一步的内容将在章节中提到。现在，可以完全记起这些查找地址的步骤被称为主机名决议，
用于引导主机名到IP地址和地址决议，用于引导后面的部分到硬件地址。

网络管理员指南-1.网络介绍-3.TCP/IP 网络 -5)通过并联线上的IP

本文出自:http://www.linpus.com.tw 作者: Andrew Anderson


在连续线上，一个被叫作SLIP或者Serial Line IP的一个``de facto''标准经常会用到。一个SLIP的
修改被称为CSLIP，或者是压缩的SLIP，并且使用IP标题压缩来使连续线提供的相当低的带宽更好的使
用。一个不同的连续协议是PPP，或者是点到点协议。PPP比SLIP有更多的特征，包括一个谈话阶段的
连接。然而，使用SLIP的主要优势是这不仅限于传输IP datagrams,但是它不是设计用来传输任何类型
的datagrams。

网络管理员指南-1.网络介绍-3.TCP/IP 网络 -6)用户Datagram协议

本文出自:http://www.linpus.com.tw 作者: Andrew Anderson

当然，TCP不是TCP/IP网络中唯一的用户协议。尽管象rlogin一样适合于应用程序，它对于象NFS这样的应用程序
仍然有上层的。相替代的，就使用了TCP的同属协议，称为UDP，或者是User Datagram Protocol.象TCP协议
一样，UDP同样允许一个应用程序在远程机的一个特定的端口上同一个服务器联系。，但是不会为此建立一个连接。
相反，你可能需要使用它来发送单个数据包到目标服务器，也就是它的名字。

假设你已经从部门的中心NFS服务器galois上逐级安装了TeX路径，并且你想要浏览描述如何使用LaTeX的文件。你
打开你的编辑器，它首先阅读整个文件。然而可能会花费太多的时间与galois建立一个TCP连接，发送文件，并再
次退出连接。相反的，一个连接要求到送到galois，它把文件制成几个UDP数据包来发送，这样就会迅速得多。但
是，UDP不能处理文件的丢失或者是损坏。这些都由应用程序来决定—在这个例子中就是由NFS来决定。

网络管理员指南-1.网络介绍-3.TCP/IP 网络 -7)端口的更多信息

本文出自:http://www.linpus.com.tw 作者: Andrew Anderson

端口可以被看作是网络连接的接触点。如果一个应用程序想要提供一个特定的服务器，它就会将自己连接到
一个端口并等待客户（这也称为端口上的listening）。一个想要使用这个服务器的客户在它的本地主机上
分配出一个端口，并在远程主机上连接到服务器端口。


端口的一个重要特性是当一个连接在客户和服务器之间建立的时候，服务器的另外一个副本可能会连接到服
务器端口然后等待更多的客户。例如，这允许同一个主机上同时有几个远程注册，它们都使用同样的端口513。
TCP可以在这些连接的两端互相转告，因为它们来自于不同的端口和主机。例如，如果你从erdos两次记录到
quark，第一个rlogin客户将使用本地端口1023，而第二个端口将使用端口1022。然而二者在quark上都将连
接到同样的端口。

这个例子显示端口被当作集合点使用。在那里一个客户连接一个指定的端口来获得一个特定的服务。为了使
一个客户得知正确的端口号码，两个系统的管理员就这些号码的标志需要达成一个协议。对于广泛使用的服务，
例如rlogin,这些数字需要进行中心管理。这是由IETF（或者是Internet Engineering Task Force）完成的，
它有规律的释放一个标题为Assigned Numbers的RFC。在其它东西中间，它描述分配给well-known services的
端口号码。Linux使用一个定位服务器名称为数码的文件，称为/etc/services。它将在部分 中介绍。

尽管TCP 和 UDP的连接都依靠端口，但是如果这些数字发生冲突，它们仍然没有什么作用。例如，TCP的端口
513需要区别于UDP的端口513，。实际上，这些端口是两个不同的服务器的连接点，称为rlogin (TCP) 和rwho (UDP)。

网络管理员指南-1.网络介绍-3.TCP/IP 网络 -8)插槽集合

本文出自:http://www.linpus.com.tw 作者: Andrew Anderson

在操作系统中，上述中的软件所执行的所有任务和协议通常是核心的部分，并且它是这样。在世界上普
通的编程接口大多数是Berkeley Socket库。它的名字来自一个流行的类比，该类比将端口视作插座，并且
就象插入一样联接一个端口。它提供(约束( 2 ))呼叫给指定的一台远程主机，一个运输协议，以及一个能连
结或听到的程序(使用联接( 2 ),听( 2 )和接受（2））。然而socket库很一般,因为它不仅提供
一类TCP/IP-based 插座（ AF_INET 插座),而且处理到机器的本地连接的一个类( AF_UNIX 类)。一些执行也
能处理其他的级别,象 XNS 一样(复印联网系统)协议，或 X.25 。

socket库是标准的 libc C库的部分。当前，它仅仅支持 AF_INET 和 AF_UNIX 插座，但是努力为 Novell
的联网协议给予一体的支持,以便最终一个或一个以上的插座类别为这些可以被增加。

网络管理员指南 -1.网络介绍 - 4.网络

本文出自:http://www.linpus.com.tw 作者: Andrew Anderson

考虑全球程序者的努力结果，没有全球网络的支持就是不可能的。因此在早期的发展阶段许多人开始使用网络
资源提供程序就不值得大惊小怪了。一个UUCP安装的运行是从最开开始起步的，并且在从1992年秋天开始的以
TCP/IP为基础的网络上进行。在那时Ross Biro和其他的创立者建立了现在的Net-1。

在Ross与1993年退出发展行动之后，Fred van Kempen开始了在一个新的安装上的工作，他重新撰写了代码的主
要部分。这个正在进行的 努力被称为Net-2。第一个公共发布-- Net-2d是在1992年的夏天（作为0.99.10核心的
一部分），并且开始由几个人保护个扩展，最显著的是Alan Cox的Net-2Debugged。在对代码的大量的调试和实
践之后，他在出版1.0以后将名字改为Net-3。这是当前包含在官方核心发布的网络代码的版本。

Net-3为一个宽阔的Ethernet boards提供设备驱动。如SLIP（为通过连续线发送网络交通），和PLIP（对于平行
线）。使用Net-3，有一个TCP/IP的安装，它在一个本地的网络环境中表现非常好，它显示的工作状态可以击败一
些商业PC机。发展的趋向是必要的稳定以可靠的Internet主机上运行它.

除了这些设备之外，还有几个正在进行的项目可以增加更多的功能,一个PPP的驱动(点到点协议,在连续线上发送
网络交通的另一种方法)当前是在Beta阶段,并且为ham无线电准备的AX.25驱动是在Alpha阶段。Alan Cox还为
Novell's IPX协议安装了一个驱动，但是对于一个完整的网络组套以兼容Novell的努力被暂时停止，因为Novell
不愿意提供必要的文件。另外一个有希望的工作是samba，它是由Andrew Tridgell撰写的一个对于Un*x的NetBIOS
服务器。

网络管理员指南 -1.网络介绍 - 4.网络 - 1)发展的不同方向

本文出自:http://www.linpus.com.tw 作者: Andrew Anderson

同时，Fred继续发展,继续到 Net-2e ,大部分特征被联网层的设计给修改了。在写的时候， Net-2e 仍然
是 Beta 软件。关于 Net-2e 大多数值得注意的是 DDI 的结合,设备驱动器接口。 DDI 提供统一的存取和配置
方法提所有联网设备和协议。

联网的 TCP/IP 的另一个执行来自 Matthias Urlichs ,它为 Linux 和 FreeBSD 写出一个 ISDN 驱动器。
为此，他在核心中综合一些BSD联网代码。

对于可预见的未来，然而, Net-3 似乎要在这里留下来。Alan当前在由火腿收音机业余运动员使用了的
AX.25 协议上进行一个执行的工作。无疑地,为核心被发展为"模块"的代码也带给网络代码带来新的推动力。
模块允许你在运行时间时把驱动器加到核心。

尽管这些不同的网络实现都努力提供一样的服务，在核心和设备水平上,他们之间有主要的差别。因此,你不
能设置从 Net-2d 或 Net-3 中用实用程序运行一个 Net-2e 核心的一个系统,并且反之毅然。这仅仅适用于相当
仔细处理核心内部的命令;应用程序和普通联网命令,例如 rlogin 或在他们的任何一个上被运用的远程登录命令。

但是，你不应该担心所有这些不同的网络版本。除非你正在参予活跃的开发，否则,你不必担心你运行哪个
TCP/IP 代码的版本。官方的核心版本总是被一套在核心中的兼容联网代码的联网工具伴随。

网络管理员指南 -1.网络介绍 - 4.网络 - 2)哪里可以得到编码

本文出自:http://www.linpus.com.tw 作者: Andrew Anderson


网络编码的最新版本可以从各种地方由匿名的FTP得到。官方Net-3的FTP网站是sunacm.swan.ac.uk，
由sunsite(http://www.linpus.com.tw/manual/701.../Network/sunacm)提供。最新的Net-2e修补
工具和二进制可以从ftp.aris.com得到。Matthias Urlichs' BSD-derived网络编码可以从
http://www.linpus.com.tw/manual/701...ux/netbsd得到。


最新的核心可以在http://www.linpus.com.tw/manual/701...PLE/Linus   发现，
sunsite 和 tsx-11.mit.edu提供这个路径。

网络管理员指南 -1.网络介绍 - 5.维护你的系统

本文出自:http://www.linpus.com.tw 作者: Andrew Anderson

通过这本书，我们将主要讨论安装和配置问题。然而，管理是比-多的部分。在设置一种服务以后，你也必须
让它运行。对于他们的大多数，仅仅少量的照顾将是必要的,但是有一些，类似邮件和新闻,要求你施行日常工作以
保持你系统的不断更新。我们将在以后的章中讨论这些任务。

维护的绝对最小量是定期为错误条件和不平常的事件检查系统和每个申请记录文件。通常,你想要通过写一些行
政的位置写手迹并且周期性地从 cron 运行他们来这样做。一些主要应用的来源分区，类似 smail 或C新闻,包含如
此的手迹。你仅需要制定他们适合你的需要和偏爱。

来自你的 cron 工作的任何东西的产量应该被邮寄给一个行政的帐目。通过缺省，许多应用程序将发送误差报告，
用法统计，或给根帐目的记录文件摘要说明。如果你经常作为根登录，这仅仅说得通;一个更好的想法是把根的邮件
提交给建立一个邮件别名的个人帐号，它被描述在章--。

然而你要小心地设置你的地点,Murphy的法律保证一些问题将最后出现。因此,维护一个系统也意味会得到抱怨。
通常，人们期望系统主管至少能作为根，经由电子邮件被到达，但是也有另外的地址通常用来到达一个人，他负责一
个维护的特殊方面。例如,关于一个故障邮件设置的抱怨通常被邮寄给 postmaster ;并且有新闻系统的问题可以被报
导到 newsmaster 或 Usenet 。到 hostmaster 的邮件应该被重寄到负责主机的基本网络服务的人，如果你运行一个
名字服务器，邮件应被重寄给 DNS名字服务器。

网络管理员指南 -1.网络介绍 - 5.维护你的系统 -1)系统安全

本文出自:http://www.linpus.com.tw 作者: Andrew Anderson

在一个网络环境下系统管理的另外一个非常重要的方面是保护的的系统和用户不受侵犯。疏忽的系统管理给不怀好
意者可乘之机：攻击的范围从密码猜测到Ethernet探听，毁坏包含从假的的邮件信息到数据的丢失或者是对你的用
户秘密的威胁。我们将讨论一些可能进入的内容的特殊的问题，以及一些常用的抵御方法。

本章将讨论处理系统安全的例子和基础技术。当然，题目不能涵盖所有你可能面对的所有的安全问题。它们只是描
述可能发生的一些问题。因此，阅读一本有关安全的书籍是非常必要的，特别是在一个网络系统中。极力推荐
Simon Garfinkel的 ``Practical UNIX Security'' (see [])。

系统的安全来自于好的系统管理。这包括所有权的检查以及所有重要文件和路径的进入许可。、监帐户的使用
等等。例如，COPS程序将检查你的文件系统和命令配置文件中不经常使用的许可或者其它的不规则。使用一个有特
定规则的用户密码套组使其不容易猜测也是一个聪明的做法。例如影子密码套组要求一个密码至少有5个字母，并且
要同时包含上面和下面的数字。

当使一个服务可以应用于网络，确定要给它一个“最小，”表示你不允许它代表做你不许可的事情。例如，你只
有在根或者是其它优先的帐户真正需要的时候才将setuid程序安装到它们上去。同样的，如果你只需要使用一个有很
大的应用程序，不要犹豫，把它在你的特殊应用程序允许的范围内。例如，如果你想要允许无磁盘主机从你
的机器启动，你必须提供TFTP（小文件传送服务）这样，在使用没有被的时候它们可以从/boot路径下下载基础
配置文件。这不是你想要的，为什么不TFTP服务到/boot路径呢？

根据同样的考虑，你可能想要特定的服务到用户使用特定的主机，表达来自于你的本地网络。在章节-,我们将介
绍tcpd，它可以在许多类型的网络应用中做这个工作。

另外一个重要的点是要避免“危险的”文软件。当然，任何你所使用的软件都可能是危险的，因为软件可能含有错误，
它们是聪明的人想要获得进入你的系统的许可。象这样的事情发生，并且没有完全的保护措施。这个问题对免费的软件
和商业化产品的影响是相同的。然而，那些要求特殊的程序本身比其他程序更为危险，因为如何循环漏洞都可以有
严重的后果。如果你在为网络目的安装一个setuid程序，你需要双北小心，不要漏掉文件中的任何内容，这样你就不会
节外生枝。

你可以不指定什么时候你的警觉失败，忽略你曾经如何谨慎。这样，你需要确定你尽早检查入侵者。检查一个系统记录
文件是一个好的开始，但是入侵者可能非常聪明，删除所有他或者她可能留下的任何明显的痕迹。然而，象tripwire这
样的工具可以让你检查重要的文件中的内容或者是许可是否被修改过。在后续的运行中，checksums被重新计算并与保存
的内容相比较以检查是否曾被修改。

网络管理员指南 -2.TCP/IP网络事件 -1>网络接口

本文出自:http://www.linpus.com.tw 作者: Andrew Anderson


我们现在将转向当连接你的机器到一个包含处理IP地址，主机名字， 有时是路由事件的TCP/IP网络的时候你将遇到的细节。
本章给你为了了解你设置要求的内容的背景，而下一章将介绍处理它们的工具。

网络接口

为了隐蔽可能被用于一个联网环境中的设备的差异,TCP/IP 通过被存取的硬件定义一个抽象的接口。这个接口提供一
套操作,这套操作对于所有硬件类型是一样的,并且基本上处理发送和接收文件包。

对于你想要为联网使用的每个外部设备,一个相应的接口必须在核心中。例如，以太网接口被称为 eth0 和 eth1 ，
并且 SLIP 接口作为 sl0 , sl1 ,等等。当你想要命名一台特别的物理设备到核心时，这些接口名字被用于配置目的。在那
以外,他们没有任何意义。

可用于联网的 TCP/IP,一个接口必须被分配一个IP地址,当与世界其他部分进行交流时，这个IP地址作为它的辨认进行服
务。这个地址与上面被提及了的接口名字不同;如果你把一个接口比作门，那么地址象钉在它上的名字板一样。

当然,有另外的设备参数可以被设置;其中之一是能被特殊硬件设备处理的数据包的最大尺寸，也被称为最大的转移单位，
或 MTU 。其他的属性将以后介绍。

网络管理员指南 -2.TCP/IP网络事件 -2>IP地址

本文出自:http://www.linpus.com.tw 作者: Andrew Anderson


就象在先前的章提及了的那样，联网IP 协议理解的地址是32位的数字。每台机器必须被分配到联网的环境
唯一的一个数字。如果你正在运行没有与另外的网络有 TCP/IP 通路的一个本地的网络，你可以根据你的个人偏
爱分配这些数字。然而,对于在因特网上的地点，数字被一个的权威，网络信息中心，或 NIC 分配。

为了更容易的读，IP地址被分为叫做八位字节的四个８位数字。例如, quark.physics.groucho.edu 有 0x954C0C04
的一个IP地址,它作为 149.76.12.4 被写。这格式经常被提交给作为由符号连接的四个小于255的数字代表IP地址。

为这个标志的另外一个原因是IP地址被切分进一个网络数字,它被包含在最重要的八位字节中，和一台主机数字,它是
剩余物。当为IP地址申请到 NIC 时，你没有为你计划使用的每个单个的主机分配一个地址。相反，你被给出一个网络数字，
并且被允许根据你的偏爱在你的网络上在这个范围以内分配所有的有效的IP地址到主机。

取决于网络的大小,主机部分可以需要更小或更大。容纳不同的需要,这里有几种网络种类,定义不同IP地址的切开。

类别A。类别A通过 127.0.0.0 包含网络1.0.0.0 。网络数字被包含在第一个八位字节中。这提供给一个24小点主机,
大约允许 1.6 百万主机。

类别B。类别B通过 191.255.0.0包含网络 128.0.0.0 ;网络数字在第二个八位字节中。这允许每个有 65024 的主机
16320 张网。

类别C。类别C网络范围从 192.0.0.0到223.255.255.0 ,与网络数字包含在第三个八位字节中。这允许有直到 254 位主
机的将近 2 百万个网络。

类别D ， E ，并且通过 254.0.0.0 掉进 224.0.0.0 范围的 F 地址是试验性的，或为未来使用被保留并且不指定任何网络。

如果我们回到先前章中的例子，我们发现那149.76.12.4 , quark 的地址,参考在 类别B网络 149.76.0.0的主机12.4 。

你可能注意到了，在上面的表中不是所有可能的值被允许在主机部分中的每个八位字节。因为有八位字节的主机数字，所
有 0 或所有 255 为特殊的目的被保留。所有的主机部分位是零的一个地址参考网络，并且主机部分所有的位的地址是 1的被
称为一个广播地址。这同时在指定的网络上参考所有的主机。这样， 149.76.255.255 不是一个有效的主机地址，但是在网络
149.76.0.0 上参考所有的主机。

也有两个网络地址被保留, 0.0.0.0 和 127.0.0.0 。第一个被称为缺省线路,后者 loopback 地址。缺省线路有时使用IP
路线数据的方式,它将被在下面处理。

网络 127.0.0.0 为IP通路被保留到你的主机。通常,地址 127.0.0.1将在你的主机上被分到一个特殊的接口,所谓的
loopback 接口,它象一个关上的电路一样行动。来自TCP 或 UDP 被传递给它的任何 IP 包将被返回到他们，好像它刚从一些
网络到达了。这允许你开发并且测试曾经没有使用一个“真实”网络的联网软件。另外一个有用的应用程序是你什么时候想要
使用在一立的主机上的联网软件。这就象它发出的声音一样很平常;例如，许多 UUCP 地点根本没有 IP 连接，但是仍然不
过想要运行INN新闻系统。对于合适的操作,INN要求 loopback 接口。

网络管理员指南 -2.TCP/IP网络事件 -3>地址解析

本文出自:http://www.linpus.com.tw 作者: Andrew Anderson


既然你已经看了IP地址怎么被完成，你可能正想知道他们怎么在一个以太网上被使用到地址不同的主机。
不管怎么说,以太网协议通过一个六-八位字节数字识别主机，该数字通常和一个IP地址绝对什么都不是，它是
不是这样呢？

正确。那是机制被需要到以太网地址之上印射IP地址的原因。这是所谓的地址解析协议，或 ARP 。事实上，
ARP 根本没被到以太网，但是也用于例如火腿收音机之类的另外类型的网络上。这个想法内在的 ARP 确实是
当人们必须在150个人中寻找X先生时，大多数人们所做的事情:他们到处走动，呼唤他的名字,确信如果他在那里
他将做出回应。

当 ARP 想要找到一个给出的IP地址相应的以太网地址时，它使用以太网的一个特征“广播,”一个数据包在此
同时在网络上被邮寄到所有的位置。ARP 发送了的广播数据包为IP地址包含一个询问。收到主机的各个位置把这比
作它自己的IP地址,并且如果它匹配，返回一个 ARP 答复至询问的主机。询问的主机现在能从答复中提取发送者的
以太网地址。

当然你可能想知道一台主机怎么可以在整个世界众多以太网中发现它需要的主机,并且这为什么应该是一个以太网。
这些问题都包含什么被称为路由,也就是在一个网络发现一台主机的物理地点。这将是下节的话题。

有片刻的时间，让我们更多地谈论一些 ARP。一旦一台主机发现了一个以太网地址，它在它的 ARP 缓存中存储它,
因此，它不必询问它下一次它想要发送一个数据包到主机。然而,永远坚持这个信息，是不明智的;例如,远程主机的以
太网卡片可能因为技术的问题被代替, ARP 入口变得无效。迫使另外一个询问IP地址，在 ARP 缓存的入口因此在一段
时间后被丢弃。

有时,找到与一个给出的以太网地址被联系了的IP地址，也是必要的。当一台无盘的机器想要在网络上从一个服务
器启动时，这发生,它在本地的区域网络上是相当普通的一种状况。一个无盘的顾客,然而,实际上没有自己的信息--除
了它的以太网地址！因此它基本上做的东西是，广播包含一个请求启动服务者告诉它它的IP地址的一条消息。为这有另
外一个的协议，命名的颠倒地址解析协议，或 RARP 。与 BOOTP 协议一起，它为引导在网络上的无盘的顾客服务以定义一个程序。

网络管理员指南 -2.TCP/IP网络事件 -4>IP路由 -1)IP网络


本文出自:http://www.linpus.com.tw 作者: Andrew Anderson


当你给某人写信的时候，你 通常在信封上输入一个完整的地址。注明国家，省会，邮编等等。在你把它放入
油箱之后，邮递服务将递送它到目的地：它将会被发送到指定的国家，它的国家服务将分发邮件到正确的省会
个地区等等。这种逐级方式的好处是明显的：当你发送邮件的时候，本地邮递管理者只是粗略的知道信将要发
送到哪去，但是不需要担心在指定的国家信如何传送。

IP网络建筑在一个相类似的方式上。整个Internet包含一系列的网络编号，称为autonomous systems。每一个
这样的系统在编号和主机之间运行任何路径，因此递送一个datagram的任务就简化为查找到目标主机网络，就
是说，当datagram被处理到任何在特定的网络的主机上的时候，进一步的程序有网络自己完成


网络管理员指南 -2.TCP/IP网络事件 -4>IP路由 -2)子网


本文出自:http://www.linpus.com.tw 作者: Andrew Anderson


这结构被切开IP地址进入一台主机和网络部分反映,象上面解释的那样。由缺省，目的地网络从IP地址的
网络部分被导出。这样,有相同的IP网络数字的主机应该在一样的网络内被发现,并且反过来也如此。

它在网络内提供一个类似的计划也是有意义的,因为它可能由许多它自己几百个更小的网络组成，最小的
单位是象以太网一样的物理的网络。因此, IP 允许你细分一个IP网络进入若干子网。

一个子网负责从部分IP网络把数据包发送到IP地址的某个范围。就象类A， B ，或 C ,它被部分IP地址的
网络认明。然而,网络部分现在由主机部分扩展到包括一些位。被解释为子网数字的位的数字被所谓的子网面具，
或 netmask给出 。这也是一个32位的数字,它为部分IP地址的网络部分指定位面具。

图:子网一个类 B 网络

格劳乔·马克思大学的校园网络是这样的一个网络的一个例子。它有一个 class-B 网络 149.76.0.0 数字，
并且它的 netmask 是 255.255.0.0 。

内部, Gmu 的校园网络由若干更小的网络组成,例如各种各样的部门的 LANs 。因此IP地址的范围被拆散进 254
张子网， 149.76.1.0 通过 149.76.254.0 。例如,理论的物理的部门被分配了 149.76.12.0 。校园脊梁是由它自己
的权利的一个网络，并且被给出 149.76.1.0 。这些子网分享一样的IP网络数字,然而第三个八位字节用于在他们之
间区分。这样他们将使用 255.255.255.0 的一个子网面具。

图显示 149.76.12.4 , quark 的地址,当地址作为一个平常的 class-B 网络被拿时，并且当用 sub-netting 使
用时，它如何被解释。值得注意的是sub-netting(当产生子网的技术被叫时)仅仅是网络的一个内部的部门。经常,子
网被创造反映存在的边界,他们是物理的(在两个以太网之间),行政的(在两个部门之间),或地理的,并且这些子网的权威
被代表为一些有联系的人。然而，这结构仅仅影响网络的内部行为，并且对外面的世界完全不可见。


网络管理员指南 -2.TCP/IP网络事件 -4>IP路由 -3)网关


本文出自:http://www.linpus.com.tw 作者: Andrew Anderson


子网不只是一个组织的长处，它还经常是硬件边界的结果。在一个给出的物理网络上的一个主机的观点，例如一
个Ethernet，是非常有限的：它可以直接对话的唯一的主机是那些在网络连接的机器。所有其它的主机只有通过网
关访问。一个网关是一个同时连接到一个或者多个物理网络的主机并且它被设置为在其中进行交换。

如果一个主机在一个本地的物理网络上，为了使IP容易辨识，不同的物理网络必须属于不同的IP网络。例如数字
149.76.4.0在数学LAN上为主机保留。当发送一个datagram到quark，erdos上的网络软件立即从IP地址上查找,
149.76.12.4,它是在一个不同的物理网络上的主机的目的地。于是只能从一个网关进行访问（默认为sophus）

sophus本身被连接到两个分别的sophus：数学系和校园中枢，它们各自通过一个不同的界面访问eth0 和fddi0。现
在我们附值的是什么IP地址？我们是否需要给出一个在子网149.76.1.0，或者是149.76.4.0?

回答是：两个都需要。当在数学LAN上与一个主机交谈，sophus需要使用一个149.76.4.1的IP地址，并且当与一个中
枢交谈的时候，他需要使用149.76.1.4.

因此，一个网关为它所在的每一个网络上分配一个IP地址。这些地址—--连同相应的网络覆盖一起被连接到子网访问
时通过的界面。于是，为sophus准备的界面的地图和地址需要象这样：


----------------------------------------
+-------+-------------+----------------+
|iface | address | netmask |
+-------+-------------+----------------+
+-------+-------------+----------------+
|eth0 | 149.76.4.1 | 255.255.255.0 |
|fddi0 | 149.76.1.4 | 255.255.255.0 |
|lo | 127.0.0.1 | 255.0.0.0 |
+-------+-------------+----------------+
+-------+-------------+----------------+

最后部分描述lo的循环界面，它在上面有介绍

图-显示Groucho Marx大学的一部分网络布局（GMU）。同时在两个子网上的主机显示在两个地址上。

图：Groucho Marx大学部分地图布局。

通常，你可以忽略附加一个地址到一个主机和到它的界面之间的微小区别。对于只在一个网络上的主机，即使是严格的
对话，你通常需要选择拥有这个和那个IP地址的主机。Ethernet界面有这个IP地址。然而，这个区别只有当你选择一个
网关的时候才真正重要。

网络管理员指南 -2.TCP/IP网络事件 -4>IP路由 -4)路由表


本文出自:http://www.linpus.com.tw 作者: Andrew Anderson


我们现在集中讨论当递送一个datagram到一个远程网络的时候IP如何选择使用网关。

我们在以前已经看到，当为quark给出一个datagram的时候，erdos检查确切不在本地网络上的地址。于是，
发送它到默认网关sophus，他现在基本上面对的是同一个任务。Sophus发现quark没有在任何它直接连接到的
网络上，因此它还需要找到另外一个网络进行转发。正确的选择是niels，就是通向物理系的网关。之后sophus
需要一些信息连同一个适合的网关合作一个目标网络。

IP为此使用的常规信息基本上是一个连接网络到接触他的网关的表格。一个抓住所有路径（默认路径）也必须经
常被支持；这是与网络0.0.0.0合作的网关。所有到一个未知网络的包裹通过默认路径发送。在sophus上，这个
表格可能象这样：


-----------------------------------------
+-----------+-------------+------------+
|Network | Gateway | Interface |
+------------+-------------+------------+
+------------+-------------+------------+
|149.76.1.0 | - | fddi0 |
|149.76.2.0 | 149.76.1.2 | fddi0 |
|149.76.3.0 | 149.76.1.3 | fddi0 |
|149.76.4.0 | - | eth0 |
|149.76.5.0 | 149.76.1.5 | fddi0 |
|... | ... | ... |
|0.0.0.0 | 149.76.1.2 | fddi0 |
+------------+-------------+------------+
+------------+-------------+------------+
sophus直接连接到一个网络的路径不需要一个网关，因此，它们显示一个网关进入为``-''。

路径表格可以通过各种方法建立。对于小的LANs，它通常有效通过手工并使用根时间中的路径命令来反映的IP的
方法建立（参考章节-）。对于较大的网络，它们通过路由daemons被建立个调节。它们在中心主机上运行并路由
信息在网络成员之间到计算“可视”路径。

根据网络的大小，将会使用不同的路由协议。 对于自制系统中的路径（例如Groucho Marx校园），会使用
internal routing protocols。最突出的一个是RIP, the Routing Information Protocol,它是由BSD路由的daemon
安装的。对于自动系统中间的路由，需要使用如EGP这样的外部路由协议或者是BGP（边界网关协议）；它们连同RIP
都被安装到Cornell大学登录的daemon中。

网络管理员指南 -2.TCP/IP网络事件 -4>IP路由 -5)公制值

本文出自:http://www.linpus.com.tw 作者: Andrew Anderson


基础在RIP的动态路由选择最好的路径到一些目标主机或者建筑在一系列“跳跃”基础上的网络，就是，
网关的一个datagram需要在达到它之前通过。路径越短，RIP速率越高。使用16或者更多跳跃的非常长的
路径被认为是无用的，并且被抛弃。

要内部使用RIP管理路由信息到你的本地网络，你需要在所有主机上运行gated。在启动时间，gated检查石
油的活动网络界面。如果多于一个活动界面（不计算循环回来的界面），假设主机正在几个网络中交换包裹，
并将交换和预测路由信息。否则它只是被动接受任何RIP更新和本地路由表格更新。

当从本地路由表格预测信息时，gated从与路由表格进入一起的称为米制值中计算路径的长度。这个米制数值由
系统管理员在配置路径并需要反映实际使用路径的花费的时候设置。因此，路径的米制到主机的子网直接连接到
恒定为零，而一个通过两个网关的路径需要各有一个米制。但是，注意，当你不使用RIP或者gated，就不需要
使用米制。

网络管理员指南 -2.TCP/IP网络事件 -5>Internet控制信息协议

本文出自:http://www.linpus.com.tw 作者: Andrew Anderson


IP 有一个连带的协议我们在上面还没有提到。它就是Internet控制信息协议（ICMP），它被核心网络代码使用
来交流错误信息和其他类似的主机。例如，假设你又在erdos中，并想要以quark为单位远程登录到端口12345，
但是端口上没有程序等待使用。当这个端口的第一个TCP包到达quark，网络层将发现它并立即返回一个以“端口
无法达到”开头的ICMP信息到erdos。

有许多ICMP辨认的信息，许多都是在错误条件下处理的。但是，有一个非常有趣的称为Redirect message（重新
发送信息）的信息。它由路由模块当发现另外的主机正在使用它作为网关的时候被产生，即使有更短的路径。例如，
在启动可能没有完成的sophus的路径表之后，包含到数学网络的路径，到FDDI 主干，以及在
Groucho Computing Center's gateway (gcc1)中指出的默认路径的任何包裹。因此，任何quark的包裹会被发送到
gcc1而不是通向物理系的网关niels。当收到这样一个datagram时候，gcc1将注意到这是路径选择的错误，并将转发
包裹到niels,同时返回一个ICMP重寄信息到sophus说明它到超级路径。

现在，这看来是一个非常聪明的方法需要手工设置除了大多数基本路径以外的任何内容。但是注意它依靠动态路径
方案，RIP或者ICMP重寄信息，不总是一个好主意。ICMP重寄RIP提供你很少或者在一些路由信息实际可信的时候没
有选择。这允许恶意不付任何代价就打断了你整个网络交通，甚至危害其他。由此，有一些版本的网络代码处理重寄
信息影响到整个网络路径，就象它们只是重寄到主机路径。


网络管理员指南 -2.TCP/IP网络事件 -6>域名系统 -1)主机名决议

本文出自:http://www.linpus.com.tw 作者: Andrew Anderson


主机名决议

正如上面介绍的，TCP/IP网络地址考虑到了32 位的数字。但是你很困难记住它们。因此，主机通常被称
为是“常规”名字，如客人或者陌生人。于是应用程序的责任就是查找对应这个名字的IP地址。这个程
序称为主机名决议。

一个想要找到一个给定的主机名对应的IP地址的应用程序不需要提供它自己的路径来寻找一个主机和IP地址。
而是依靠字库功能的数字透明的做，称为gethostbyname(3) 和 gethostbyaddr(3)。传统上，这些以及一些相
关的程序在一个单独的称为resolver library的字库中组合，它们是标准libc. Colloquially的一部分。这个
功能集合因此被称为“抉择者（the resolver）”。

现在，在一个小的象Ethernet的网络上，或者甚至是一组，保留定位主机名到地址不困难。这个信息经常在一
个名字是/etc/hosts的文件中。当添加或者移动主机时，或者再指定地址的时候，你所要做的就是在所有主机
上更新主机。非常明显，这将比包含多于一个的手动机器给网络添加更多麻烦。

解决这个问题的一个方法是NIS，Network Information System（网络信息系统），由SUN微系统出品，俗称YP
或者黄页。NIS存储主机文件（和其它信息）在一个主要主机的数据中。从那里客户可以按照需求恢复它。同时，
这个方式只使用于象LANs这样的中型网络，因为他关系到中心维护整个主机数据，并分发它到所有服务器。

在Internet上，地址信息最初存储在一个单独的 HOSTS.TXT数据中。这个文件被保存在网络信息中心，或者NIC，
并且必须被下载并被所有参与的站点安装。当网络成长，这个方法会出现许多问题。除了经常涉及的HOSTS.TXT
安装管理，装载分发它的服务器变成很多。甚至更严重的问题是所有名字必须使用NIC注册，它必须确定没有名字
被使用两次。

这就是在1984年为什么一个新的解决方法产生，Domain Name System（域名系统）。DNS由Paul Mockapetris设计，
同时修改了两个问题。

网络管理员指南 -2.TCP/IP网络事件 -6>域名系统 -2)进入DNS

本文出自:http://www.linpus.com.tw 作者: Andrew Anderson


进入DNS

DNS组织主机名在一个等级域中。一个域是诗歌站点的集合，与---类似。因为他们形成一个正确的网络（例如所
有机器在一个校园，或者所有主机在BITNET），因为他们都属于一个特定的组织（如美国），或者因为他们
简单的在地理上接近。例如，大学以EDU域组合，每一个大学或学院使用分别的在它们主机所包含的域之下的子域。
Groucho Marx大学可以给出groucho.edu域，而数学系的LAN分配为maths.groucho.edu。在系级别的网络域名附加
在它们的主机名字上；因此erdos成了erdos.maths.groucho.edu。这称为fully qualified domain name（完全合
格域名），或者FQDN，它在世界范围唯一辨识这个主机。

表-显示名字空间的一个部分。输入在这个树结构的根部。它由一个单独的点指示，被适当的称为root domain（根域），
和周围所有其它的域。为了指明一个主机名是一个完全合格域名，而不是一个与一些（暗指）的本地域名，它有时同
一个拖长的点一起写。这明显指出名字的最后组成是根域。

在名字等级中依靠它，一个域名可能被称为最高水平，第二水平，或者第三水平。发生更多的子划分，但是不常见。
有一些最高水平你可能经常见到：

edu (Mostly US) educational institutions like universities, etc.


com Commercial organizations, companies.


org Non-commercial organizations. Often private UUCP networks are
in this domain.


net Gateways and other administrative host on a network.


mil US military institutions.


gov US government institutions.


uucp Officially, all site names formerly used as UUCP names without
domain, have been moved to this domain.


技术上，这些的前4个属于Internet的美国部分，但是你可能在这些域中看到非美国的站点。这对于网络域来说特别真实。
但是mil和gov只用在美国。

美国之外，每个国家通常使用一个顶级域，它命名在ISO-3166指定的国家代码两个数字之后。例如Finland使用fi域，法
国使用fr，德国使用de，澳大利亚使用au等等。下面的顶级域，每一个国家的NIC免费在他们想要的方法中组织主机名。
例如，澳大利亚有类似与国际顶级域的第二水平域，名字是com.au, edu.au等等。其它象德国，不使用这个多余的水平，
而是比较长的名字直接指定到运行一个特出域的组织。例如，不经常看到主机名类似ftp.informatik.uni-erlangen.de. Chalk，
它在德国有效。

当然，这些国家域名不表示一个在那个域之下的主机实际上就在那个国家中，它只是表示主机同那个国家的NIC. A Swedish
制造商的一个在澳大利亚的分支注册，并仍然把它所有的主机同se顶级域一起注册。

现在在一个域名等级中组织名字空间精细的解决了名字的唯一问题。DNS一个主机名字必须只在它的域中是唯一的来给它一个
同全球其它所有主机都不同的名字。进而，完全合格名字非常容易记忆。由他们自己掌握，这些已经是非常好的原因来拆分
一个大的域为许多子域。

但是DNS为你做更多的事情：它允许你通过一个子表它的管理者的权利。例如，在Groucho计算机中心的维护者可能为每一个
系建立一个子域；我们上面已经遇到了数学和物理子域。当他们发现物理系网络太大并且在外部无秩序管理时候，（之后，
物理学家被认为是一些无秩序的人），他们可能通过控制physics.groucho.edu域到这个网络的管理员来简单的跳过。这些将
自由使用他们想要的主机名，并从他们喜欢的风格的网络中分配IP地址，不需要外部介入。

最为结尾，名字空间为区域，各分布在一个域中。注意一个区域和一个域之间的细微区别：域groucho.edu包含在
Groucho Marx大学的所有主机，而区域groucho.edu只包含由计算机中心直接管理的主机，例如在数学系中。在物理系中的主
机属于一个不同的区域，名字是physics.groucho.edu。在表-,一个区域的开始由一个画到域名的圈标记。

网络管理员指南 -2.TCP/IP网络事件 -6>域名系统 -4)域名服务器

本文出自:http://www.linpus.com.tw 作者: Andrew Anderson


掌握一个域上主机的所有信息的名字服务器称为对这个区域有权威，并且有时指定为主名字服务器。任何在这个
区域要求一个主机将最终归于这些主名字服务器中的一个。

要避免一个区域连贯的图象，它的主服务器必须非常同步。这通过使它们中的一个成为主服务器来达到，它从数据
文件中装载他的区域信息，并使其它二级服务器定时从主服务器传送区域数据。

有几个名字服务器的原因是分配工作装载，另外一个是冗余。当一个名字服务器在一个良好的方式上失败的时候，
如破坏或者丢失它的网络连接，所有的询问将返回到其它服务器。当然，这个方法不保证你来自产生错误回复到所
有DNS要求的服务器故障，例如，来自服务程序本身的软件问题。

当然你还可以考虑运行一个名字服务器，它不对任何域有权威。这种类型的服务器没有用，它仍然可以为运行在本
地网络上的应用软件引导询问。并且缓冲存储信息。它就被称为caching-only server（只缓冲服务器）。

网络管理员指南 -2.TCP/IP网络事件 -6>域名系统 -5)DNS数据库

本文出自:http://www.linpus.com.tw 作者: Andrew Anderson

我们上面已经看到DNS不只是处理主机的IP地址，还在名字服务器上交换信息。事实上可能有一系列不同类型的DNS数据。

一个单一的来自DNS数据库的信息称为一个resource record（来源记录），或者RR。每一个记录有一个类型的合作，描
述它代表的数据类型，和它属于的网络类型。后者跟随不同地址方案的需求，如IP地址（IN类），或者Hesiod网络的地址
（在MIT使用），和更多。旧的来源记录类型是一个用IP地址联合一个完全合格域的记录。

当然，一个主机可能有多于一个的名字。但是，它们中的一个必须是官方的，或者是真实的主机名，而其它的是前面提到
的化名。区别是真正的主机名有一个记录合作，而其它的只有一个类型CNAME的记录在真正主机名字上。

我们将不讲解所有记录类型，而是保留它们到后面的章节。但是最好在这里给你一个简短的例子。表-显示一个域数据的一
部分，它为physics.groucho.edu区域装载到名字服务器。

除了A和CNAME记录，你可以在文件顶部看到一个特殊的记录，有几行。这是SOA来源记录，信号为Start of Authority（授
权开始），它掌握区域上服务器授权的普通信息。例如，它包含所有记录的默认生存时间。

注意例子文件中的所有不是由一个点结尾的名字需要插入相应的groucho.edu域。在SOA记录中的特殊名字``@''由它自己指
定到域名。

我们上面已经看到groucho.edu域的名字服务器需要知道物理区域，这样它们可以指定询问到它们的名字服务器。这通常通
过一系列记录达到：给服务器FQDN的NS记录，和一个与一个地址合作的记录。因为这些记录是一起掌握名字空间的记录，它
们通常称为glue records（胶水记录）。它们是记录的唯一例子，在那里一个专利区实际具有在子区域中的信息。为
physics.groucho.edu准备、指定到名字服务器的胶水记录显示在图-。

网络管理员指南 -2.TCP/IP网络事件 -6>域名系统 -6)颠倒查找

本文出自:http://www.linpus.com.tw 作者: Andrew Anderson


图 5 。来自为物理部门的 named.hosts 文件的一篇摘录。

Physics Department.

;
; Authoritative Information on physics.groucho.edu
@ IN SOA {
niels.physics.groucho.edu.
hostmaster.niels.physics.groucho.edu.
1034 ; serial no
360000 ; refresh
3600 ; retry
3600000 ; expire
3600 ; default ttl
}
;
; Name servers
IN NS niels
IN NS gauss.maths.groucho.edu.
gauss.maths.groucho.edu. IN A 149.76.4.23
;
; Theoretical Physics (subnet 12)
niels IN A 149.76.12.1
IN A 149.76.1.12
nameserver IN CNAME niels
otto IN A 149.76.12.2
quark IN A 149.76.12.4
down IN A 149.76.12.5
strange IN A 149.76.12.6
...
; Collider Lab. (subnet 14)
boson IN A 149.76.14.1
muon IN A 149.76.14.7
bogon IN A 149.76.14.12
...


比较于查找属于一台主机的IP地址,发现到一个相应地址的规范的主机名字，有时是合乎需要的。这被称为颠倒印射，
并且被若干网络服务用于验证一个顾客的身份。当使用一个单个的主机文件时，颠倒查找简单地包含为拥有可怀疑的IP地址
的一台主机查找文件。用DNS ，名字