Linux网络管理工具
Linux网络管理工具
1.systemd-networkd
systemd自带的网络管理工具,一般仅用于有线网卡的网络配置或者是不需要验证的无线网络配置
1.描述
网络配置的操作由 systemd-networkd.service(8) 执行。
注意,网络设备的Network文件必须以 .network 作为后缀名,否则将被忽略。 一旦与Network文件匹配的网卡出现,对应的Network文件就会立即生效。
Network文件分别位于: 系统网络目录(/usr/lib/systemd/network)、 运行时网络目录(/run/systemd/network)、 本机网络目录(/etc/systemd/network)。 所有的Network文件(无论位于哪个目录中),统一按照文件名的字典顺序处理。 对于不同目录下的同名Network文件,仅以优先级最高的目录中的那一个为准。 具体说来就是:/etc/ 的优先级最高、 /run/ 的优先级居中、/usr/lib/ 的优先级最低。 如果系统管理员想要屏蔽 /usr/lib/ 目录中的某个Network文件, 那么最佳做法是在 /etc/ 目录中创建一个指向 /dev/null 的同名符号链接, 即可彻底屏蔽 /usr/lib/ 目录中的同名文件。
对于例如 foo.network 这样的Network文件,可以同时存在对应的 foo.network.d/ 目录,当解析完Network文件之后,目录中所有以 “.conf“ 结尾的文件,都会被按照文件名的字典顺序,依次解析(相当于依次附加到Network文件的末尾)。 这样就可以方便的修改Network文件,或者为Network文件添加额外的设置,而无需修改Network文件本身。 注意,所有配置片段(“.conf“ 文件)必须包含明确的小节头(例如 “[Match]“ 之类)。
“.d“ 目录除了可以放置在 /etc/systemd/network 目录中, 还可以放置在 /usr/lib/systemd/network 与 /run/systemd/network 目录中。 所有 “.d/“ 目录中的配置片段都会覆盖Network文件的设置(无论Network文件位于哪个目录)。 虽然在优先级上,/etc 中的配置片段优先级最高、 /run 中的配置片段优先级居中、/usr/lib 中的配置片段优先级最低。 但是由于 /run 是临时目录,而 /usr/lib 仅供软件包使用, 所以在实践中,”.d/“ 目录仅会放置在 /etc/systemd/network 目录中。
注意,如果某个网络接口既没有配置静态IPv6地址、也没有启用DHCPv6或IPv6LL的话, 将会被视为禁用IPv6支持。同时,systemd 将会自动向 /proc/sys/net/ipv6/conf/_`ifname`_/disable_ipv6 中写入”1”,以彻底禁用此接口上的IPv6支持。
2.配置选项
1.Match
Network文件中的Match选项用于描述需要配置的网卡的指定信息,如果同一块网卡有多个network文件,则以第一个匹配的文件配置信息为准。
Name
网卡的名称(网卡内核中INTERFACE的属性值)
匹配网卡的 “INTERFACE“ 属性值(网卡的内核名称)。
MACAddress
匹配网卡的物理地址。接受一个空白符分隔的MAC地址列表。 每个MAC地址都以冒号(:)、连字符(-)、句点(.)分隔的十六进制数表示(参见下例)。 可以多次使用此选项,表示融合多个列表。设为空字符串表示清空先前已经设置的列表。
例子:MACAddress=01:23:45:67:89:ab 00-11-22-33-44-55 AABB.CCDD.EEFF
Driver
匹配网卡的 “DRIVER“ 属性值(网卡的驱动名称)。 接收一个空格分隔的匹配模式列表(使用shell风格的通配符)。 注意,如果网卡的 “DRIVER“ 属性不存在, 那么将使用 “ethtool -i“ 命令中输出的驱动名称。 可以在列表前加上”!”前缀 表示反转。
Host
匹配系统的主机名(hostname)或”machine ID”, 参见 systemd.unit(5) 中的 “ConditionHost=“ 选项。
2.Link
可在 “[Link]“ 小节中使用如下选项对网卡进行设置:
MACAddress
设置网卡的物理地址(MAC地址)
MTUBytes
设置网卡的最大传输单元(MTU)。 可以使用 以1024为基准的 K, M, G 后缀。
注意,如果为网卡开启了IPv6支持, 那么设置任何小于 1280 的值都将被自动修正为 1280(IPv6的MTU最小值)。
ARP
接受一个布尔值。表示是否开启 ARP(Address Resolution Protocol) 支持。 若未设置此选项,则使用内核的默认值。
当在单个底层物理网卡上创建多个虚拟 MACVLAN 或 VLAN 设备时, 禁用ARP就非常有用了。 因为此时的底层物理网卡仅用于汇聚流量, 而并不参与任何网络操作。
Multicast
接受一个布尔值。表示是否开启设备的多播标记。
AllMulticast
接受一个布尔值。表示驱动程序是否从网络提取所有多播数据包。 启用多播路由时将会发生这种情况。
Unmanaged
接受一个布尔值。 默认值为 “no“ 。 若设为 “yes“ 则表示不使用 systemd 管理此设备, 在效果上相当于没有匹配到此设备。
当你希望 使用 systemd 之外的其他程序来管理网络设备时, 可以使用此选项。
RequiredForOnline
接受一个布尔值。默认值 “yes“ 表示当 “systemd-networkd-wait-online“ 检查网络是否在线时, 此网络必须在线(否则一直等到它在线)。 设为 “no“ 表示 忽略此网络(不检查此网络的状态)。
无论此选项如何设置,都会正常启动此网络。 只不过当 “RequiredForOnline=no“ 时, 如果此网络不在线(例如未能从 DHCP 获取IP地址、或者网线被拔出等原因), 那么 “systemd-networkd-wait-online“ 将会自动跳过它。
3.Network
可在 “[Network]“ 小节中使用如下选项对网卡进行设置:
Description
对网卡的 描述
DHCP
DHCPv4/DHCPv6 客户端支持。可以设为 “yes“, “no“, “ipv4“, “ipv6“ 之一。默认值为 “no“ 。
注意,当 “IPv6AcceptRA=yes“ 时, 无论此选项如何设置,DHCPv6 都将被无条件的启用。 若明确开启了 DHCPv6 支持, 那么无论在此连接上是否存在路由器、也无论路由器传递了什么样的标记(flag), 都会无条件的启动 DHCPv6 客户端。参见下文的 “IPv6AcceptRA=“ 选项。
注意,默认情况下, DHCP服务器分配的域名并不用于名字解析。 参见下面的 UseDomains= 选项。
参见下面的 “[DHCP]“ 小节, 以了解更多DHCP客户端配置选项。
DHCPServer
接受一个布尔值。表示是否在此网络上启动内置的 DHCPv4 服务器。 默认值为 “no“ 。 进一步的设置参见下面的 “[DHCPServer]“ 小节。
LinkLocalAddressing
链路本地地址自动配置。可设为 “yes“, “no“, “ipv4“, “ipv6“ 之一。 默认值为 “ipv6“
IPv4LLRoute
接受一个布尔值。表示是否为 non-IPv4LL 主机与 IPv4LL-only 主机之间的通信提供路由支持。默认值是 no 。 [译者注]”IPv4LL”(IPv4 Link-Local)又称为”ZEROCONF“, 可用于在没有DHCP服务器的网络中自动配置IP地址。
IPv6Token
一个前64位为空的IPv6地址。 用于设置该连接的 SLAAC IPv6 地址的64位接口部分。 注意,该值仅用于 SLAAC 而不是用于 DHCPv6 (即使 IPv6 Router Advertisement 明确要求 DHCP)。 默认值为自动生成。
LLMNR
接受一个布尔值。默认值 yes 表示支持 本地链路多播名称解析(Link-Local Multicast Name Resolution),而 no 则表示关闭。 也可以设为 “resolve“ 表示仅支持解析,但不支持主机注册与宣布。 systemd-resolved.service(8) 会读取此选项的值。 [译者注]”LLMNR”(mDNS)可用于在没有DNS的局域网内自动发现(通过组播)本地网段上的主机。
MulticastDNS
接受一个布尔值。设为 yes 表示支持 组播DNS(Multicast DNS),而默认值 no 则表示关闭。 也可以设为 “resolve“ 表示仅支持解析,但不支持主机或服务注册与宣布。 systemd-resolved.service(8) 会读取此选项的值。 [译者注]”mDNS”(multicast DNS)可用于在没有DNS的局域网内自动发现(通过组播)本地网段上的主机/服务(例如FTP)。
DNSOverTLS
接受一个布尔值或特殊值 “opportunistic“ 。 设为 yes 表示为此连接开启 DNS-over-TLS 支持。设为 “opportunistic“ 表示优先使用 DNS-over-TLS 但也向下兼容不支持 DNS-over-TLS 的DNS服务器。 此选项实际上是针对每个网口覆盖了 resolved.conf(5)‘s 中的全局 DNSOverTLS= 设置。默认值为 no 。 此选项将被 systemd-resolved.service(8) 读取。
DNSSEC
接受一个布尔值或特殊值 “allow-downgrade“ 。设为 yes 表示支持 DNSSEC ,而默认值 no 则表示关闭。 也可以设为 “allow-downgrade“ 表示允许降级到普通的DNS协议, 以兼容不具备DNSSEC的网络环境。 systemd-resolved.service(8) 会读取此选项的值。 此选项实际上是针对每个网口覆盖了 resolved.conf(5) 中的全局 DNSSEC= 设置。
DNSSECNegativeTrustAnchors
可设为一个 空格分隔的域名列表。 当通过该网口的DNS服务器查询列表中的域名(含子域名)时, 无需验证应答的正确性。 常用于 禁用某些私有域名的DNSSEC验证。 因为这些私有域名 无法在互联网DNS服务器上进行验证。 默认值为空。 systemd-resolved.service(8) 会读取此选项的值。
LLDP
LLDP是一个二层协议,使得接入网络的一台设备可以将其主要的能力、管理地址、设备标识、接口标识等信息 发送给接入同一个局域网的其他设备。通常只有专业的路由器才会支持LLDP协议。 若设为 yes 则表示接收所有以太网LLDP(链路层发现协议)包,并且维护一个记录了所有LLDP邻居的数据库。 而 no 则表示彻底禁用LLDP支持。 默认值 “routers-only“ 表示仅收集各种路由器LLDP数据, 而忽略所有其他设备的LLDP数据(例如”电话”之类)。 可以用 networkctl(1) 查询所有收集到的邻居数据。LLDP仅可用于以太网。 下面的 EmitLLDP= 可用于接收本机发出的LLDP包。
EmitLLDP
如何发送以太网链路层发现协议(LLDP)数据包。 可以设为一个布尔值或者特殊值 “nearest-bridge“, “non-tpmr-bridge“, “customer-bridge“ 之一。 默认值 no 表示不发送任何LLDP数据包。 no 之外的其他值都表示周期性的发送包含本机配置信息的LLDP数据包。 LLDP数据包中包含了本机的如下信息:主机名(hostname)、machine ID (参见 machine-id(5))、 本地网络接口的名称、 pretty 主机名(参见 machine-info(5))。 LLDP仅可用于以太网链路。 由于LLDP数据包中包含了精确标识主机的敏感信息,所以切勿在不可信的网络环境中使用。 开启此选项之后,其他系统就可以通过本机发送的LLDP数据包,辨别其所连接的本机网络接口究竟是哪一个。 三个特殊值控制着如何传输LLDP数据包: “nearest-bridge“ 表示仅允许传输到最近连接的桥,这是最严苛的传输方式; “non-tpmr-bridge“ 表示仅允许跨越 Two-Port MAC 传输,但是不允许传输到另外的桥; “customer-bridge“ 表示一直传输到到达一个”customer bridge”(详见 IEEE 802.1AB-2016)。 设为 yes 与设为 “nearest-bridge“ 等价。 参见上文的 LLDP= 选项 以了解更多有关LLDP的含义。
BindCarrier
可设为一个网口列表,用于控制当前网口的行为: (1)当列表中的所有网口都处于停用状态(down)的时候,该网口也会被停用。 (2)当列表中的某个网口被启用的时候,该网口也会被启用。
Address
一个符合 inet_pton(3) 格式的 静态IPv4或IPv6地址及掩码位数 (用 “/“ 字符分隔)。 当 [Address] 小节(见下文)中只含有 Address= 时, 此选项相当于是 [Address] 小节的速记。 可以多次使用此选项以指定多个IP地址。
如果设置的地址是”0.0.0.0”(IPv4) 或 “[::]”(IPv6), 那么将首先检查所有当前已配置的网络接口以及所有网络配置文件, 然后按照所需地址段的大小, 自动从系统的可用地址池中分配一个新地址段, 并确保不发生任何地址段冲突。 系统默认的IPv4可用地址池如下: 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 ; 系统默认的IPv6可用地址池如下:fc00::/7 。 此选项主要用于管理大量动态创建的、 拥有相同网络配置的、需要自动分配地址段的 网络接口。
Gateway
一个 符合 inet_pton(3) 格式的网关地址。可以多次使用此选项以指定多个网关。 当 [Route] 小节(见下文)中只含有 Gateway= 时, 此选项相当于是 [Route] 小节的速记。
DNS
一个 符合 inet_pton(3) 格式的DNS服务器地址。可以多次使用此选项以指定多个DNS服务器。 systemd-resolved.service(8) 会读取此选项的值。
Domains
接受一个应该使用此连接的DNS服务器解析的域列表, 列表中的每一项都必须是一个域(可以带有可选的 “~“ 前缀)。 带有 “~“ 前缀的域被称为”路由域”,而不带前缀的域则被称为”搜索域”。 在将单标签主机名(不含”.”的主机名)扩展为FQDN(全限定域名)时,将会首先把”搜索域”用作搜索后缀。 当在此连接上解析一个单标签主机名时,列表中的每一个搜索域都将被依次添加为后缀, 以拼接成一个可用于解析的全限定域名, 直到某一个能够被解析成功为止。
列表中的域(包括搜索域与路由域)都可以用于路由DNS查询请求: 对于那些后缀位于此列表中的主机名(如果存在”搜索域”的话,那么还包括单标签主机名)的DNS查询请求,将会被路由到此连接的DNS服务器上。 对于同时承载多个域的主机来说,如果希望在不同的网络接口上拥有不同的私有DNS区域, 那么可以使用此处的域名路由逻辑。
特殊值 “~.“ (前面的波浪号表示这是一个”路由域”,后面的点表示根域(也就是所有域的后缀))拥有特殊的含义, 它表示将所有未能匹配其他域名路由规则的DNS请求,路由到此连接的DNS服务器上。 利用这个特殊值, 可以设置一组默认的DNS服务器。
systemd-resolved.service(8) 会读取此选项的值。 “搜索域”对应于 resolv.conf(5) 中的 domain 与 search 项。 在传统的 glibc API 中 无法找到与此处描述的域名路由逻辑对应的功能。
DNSDefaultRoute
接受一个布尔值。设为 yes 表示为此连接配置的 DNS 服务器, 将被用于解析不匹配任何其他连接 Domains= 设置的域名。 设为 no 表示为此连接配置的 DNS 服务器,仅用于解析匹配此链接上至少一个 Domains= 的域名(也就是完全不用于解析上述域名)。 若未设置此选项,则默认使用自动模式: 如果此连接没有配置任何”路由域”,那么,为此连接配置的 DNS 服务器, 将用于解析不匹配任何其他连接 Domains= 的域名。
NTP
一个时间服务器(NTP)地址。可以多次使用此选项以指定多个对时服务器。 systemd-timesyncd.service(8) 会读取此选项的值。
IPForward
控制IP转发功能 (将一个网口进入的IP包根据路由表转发到另一个网口): 默认值 “no“ 表示关闭转发功能; “yes“ 表示开启转发功能; “ipv4“ 表示仅开启IPv4转发; “ipv6“ 表示仅开启IPv6转发; 此选项实际上是设置了 net.ipv4.ip_forward, net.ipv6.conf.all.forwarding 两个 sysctl 项的值(详见 ip-sysctl.txt 文档)。默认值为 “no“
注意:只有默认值 “no“ 是局部设置,其他三个值都是全局设置。 具体的含义是指: 即使只有一个网络接口开启了IP转发功能(“yes“ 或 “ipv4“ 或 “ipv6“),也表示在全局开启IP转发功能, 而且即便随后再明确的将此选项设为 “no“ 也无济于事,IP转发功能依然会在全局范围内保持开启。 换句话说,IP转发功能一旦开启便是全局开启,并且不允许随后再关闭,即使针对单个网络接口关闭也不行。
如果只想在两个特定的网络接口之间进行转发,请勿使用此选项, 而是应该使用防火墙规则(iptables)。
IPMasquerade
若设为 “yes“ 则开启IP地址伪装功能。 它与SNAT(源地址转换技术)的不同之处在于能够自动获取连接的当前ip地址来做转换。 若设为 “yes“ 则隐含了 IPForward=ipv4 设置。 默认值是 “no“
IPv6PrivacyExtensions
配置IPv6 无状态临时地址(RFC 4941) 与IPv6隐私扩展。 若设为 “yes“ 则表示开启IPv6隐私扩展并使用临时的私有地址取代公共地址。 若设为 “prefer-public“ 则表示开启IPv6隐私扩展(若失败则关闭IPv6隐私扩展), 但使用公共地址。 若设为 “kernel“ 则表示不改变内核的现有设置。 默认值 “no“ 表示彻底关闭。
IPv6AcceptRA
接受一个布尔值。表示是否在此连接上接收IPv6路由通告消息(Router Advertisement)(IPv6的邻居发现协议的一部分)。 设为 yes 表示接收,设为 no 表示不接收(与本地转发的状态无关)。若未设置此选项,则使用内核的默认值: 当本地转发功能被禁用时,此选项的值为”yes”(接收路由通告);当本地转发功能被开启时,此选项的值为”no”(不接收路由通告)。 如果此选项的值为”yes”(接收路由通告),那么 DHCPv6 客户端将在两种情况下被启动: (1)传递了相关标志(flag);(2)在此连接上未发现路由器。
若想进一步详细配置 IPv6 RA 支持,可以参见下面的 “[IPv6AcceptRA]“ 小节。
参见内核的 ip-sysctl.txt 文档, 并阅读对 “accept_ra“ 属性的解释,不过要注意的是将此选项设为 1 相当于 将 “accept_ra“ 设为 2 。
IPv6DuplicateAddressDetection
设置要发送的 IPv6 DAD(Duplicate Address Detection) 提示数量。 若未设置此选项,则使用内核的默认值。
IPv6HopLimit
设置 IPv6 的”Hop Limit”(类似于 IPv4 TTL)值。 每经过一个路由器,该值都会减一, 当减到零时,此包将被丢弃。 若未设置此选项,则使用内核的默认值。
IPv4ProxyARP
接受一个布尔值, 表示是否为 IPv4 开启”代理ARP”(RFC1027)支持。 “代理ARP”就是通过一个主机(通常是路由器)来作为指定的设备对其他设备的ARP请求作出应答。 一般用于没有配置默认网关和路由策略的网络中。 若未设置此选项,则使用内核的默认值。
IPv6ProxyNDP
接受一个布尔值,表示是否支持代理邻居发现协议(Proxy Neighbor Discovery Protocol)。 如果相互通信的两个端点并不直接相连,但是互相又都期望彼此位于同一个直接相连物理连接上时, 可以使用代理邻居发现协议(Proxy Neighbor Discovery Protocol), 将双方的IPv6地址都映射到”NDP代理”的MAC地址,让”NDP代理”转发两个端点之间的流量, 从而使相互通信的双方看起来就像是在同一个物理连接上直接通信一样。 与 IPv4 的 proxy ARP 技术不同之处在于 IPv6 的NDP代理不是全局开启的, 它仅为”IPv6 neighbor proxy table”中的地址发送邻居宣告消息。 可以使用 ip -6 neighbour show proxy 命令显示”IPv6 neighbor proxy table”。 systemd-networkd 将会根据此选项的开关,来控制该接口的 proxy_ndp 开关。 若未设置此选项,则使用内核的默认值。
IPv6ProxyNDPAddress
用于代理邻居宣告(Neighbor Advertisement)消息的 IPv6 地址(NDP代理)。 可以多次使用此选项以设置多个代理。对于每个已配置的接口, systemd-networkd 将会把此处设置的代理添加到内核的 IPv6 neighbor proxy table 中。 虽然设置此选项相当于隐含的设置了 IPv6ProxyNDP=yes , 但是如果明确的设置了 IPv6ProxyNDP=no ,那么此选项将被忽略。若未设置此选项,则使用内核的默认值。
IPv6PrefixDelegation
是否允许在此连接上发送IPv6路由通告消息(Router Advertisement)(IPv6的邻居发现协议的一部分)。 设为 “static“ 表示按照 “[IPv6PrefixDelegation]“ 与任意 “[IPv6Prefix]“ 小节中的定义分配前缀。 设为 “dhcpv6“ 表示使用为另一个连接配置的 DHCPv6 客户端以及在 “[IPv6PrefixDelegation]“ 小节中配置的任意值请求前缀,同时忽略所以静态前缀配置小节。 设为 “yes“ 表示既使用静态配置也使用 DHCPv6 。 设为 “no“ 表示完全关闭 IPv6 前缀委派(Prefix Delegation)。 默认值为 “no“ 。详见 “[IPv6PrefixDelegation]“ 与 “[IPv6Prefix]“ 小节以了解更多配置选项。
IPv6MTUBytes
设置 IPv6 最大传输单元(MTU)。 必须设为一个大于等于 1280 字节的整数值。若未设置此选项,则使用内核的默认值。
Bridge
将该连接添加到指定名称的Bridge(网桥)中。参见 systemd.netdev(5) 手册。
Bond
将该连接添加到指定名称的Bond(多网卡绑定)中。参见 systemd.netdev(5) 手册。
VRF
将该连接添加到指定名称的VRF(VPN路由与转发表)中。参见 systemd.netdev(5) 手册。
VLAN
要在此连接上创建的VLAN(虚拟局域网)名称。参见 systemd.netdev(5) 手册。 可以多次使用此选项。
IPVLAN
要在该连接上创建的 IPVLAN 的名称。详见 systemd.netdev(5) 手册。 可以多次使用此选项。
MACVLAN
要在此连接上创建的MACVLAN(基于MAC地址划分的虚拟局域网)名称。参见 systemd.netdev(5) 手册。 可以多次使用此选项。
VXLAN
要在此连接上创建的VXLAN(虚拟可扩展局域网)名称。参见 systemd.netdev(5) 手册。 可以多次使用此选项。
Tunnel
要在此连接上创建的Tunnel(隧道)名称。参见 systemd.netdev(5) 手册。 可以多次使用此选项。
ActiveSlave
接受一个布尔值,设为 yes 表示该设备是等待激活的 slave 设备(必须处于 up 状态)。 此选项仅适用于 “active-backup“, “balance-alb“, “balance-tlb“ 模式。默认值为 no 。 此选项在效果上相当于设置 bond 模块的 active_slave 属性。
PrimarySlave
接受一个布尔值,设为 yes 表示该设备是首选的 slave 设备, 也就是一旦该设备可用,就立即将其激活, 并且仅在该设备确实已经掉线的情况下才会使用其他 slave 设备。 在希望尽可能优先使用某个 slave 的场合(比如某个 slave 的带宽更高), 可以使用此选项。 此选项仅适用于 “active-backup“, “balance-alb“, “balance-tlb“ 模式。默认值为 no 。此选项在效果上相当于设置 bond 模块的 primary 属性。
ConfigureWithoutCarrier
接受一个布尔值,设为 yes 表示即使没有实际的载体,也允许 networkd 配置该连接。 默认值为 no 。
4.Address
可以使用多个 “[Address]“ 小节来配置多个IP地址。 可在 “[Address]“ 小节中使用的选项如下:
Address
含义与 “[Network]“ 小节中同名选项相同。 这是一个必须设置的选项。
Peer
一个用于点对点网络中的IP地址, 格式与 “Address“ 相同。
Broadcast
一个 符合 inet_pton(3) 格式的广播地址,仅用于IPv4连接。 若未设置,则自动从 “Address“ 中提取。
Label
一个地址标签
PreferredLifetime
设置IP地址的默认有效期。 默认值 “forever“/“infinity“ 表示”永不过期”,也就是本小节所设置的IP地址永远有效。 设为 “0“ 表示本小节所设置的IP地址”立即过期”, 除非被明确要求,否则不会被使用。 这种IP地址仅用于 某些需要明确使用该地址的特殊应用程序。
Scope
IP地址的作用域。可设为 0~255 之间的整数或特殊值 “global“(可用于任何地方), “link“(仅用于局域网), “host“(仅限于主机内通信) 之一。 默认值是 “global“ 。
HomeAddress
接受一个布尔值。设为 yes 表示将该地址视为 RFC 6275 中定义的”home address”。 仅适用于 IPv6 。默认值是 no
DuplicateAddressDetection
接受一个布尔值。设为 yes 表示在添加该地址时执行 RFC 4862 中描述的重复地址检测动作。 仅适用于 IPv6 。默认值是 no
ManageTemporaryAddress
接受一个布尔值。设为 yes 表示内核将按照 RFC 3041 隐私扩展规范,管理根据 Address= 的值作为模版而创建的临时地址。 要想让此设置有效,必须使用 sysctl 将 use_tempaddr 属性设为大于零的值。 给定地址的前缀长度必须是 64 。 开启此选项之后,就像激活了无状态自动配置一样,将允许在手动配置的网络上使用隐私扩展。 仅适用于 IPv6 。默认值是 no
PrefixRoute
接受一个布尔值。 当添加或修改一个 IPv6 地址时,用户空间程序需要一个禁止添加前缀路由的指示。 这与例如 IFA_F_MANAGERTEMPADDR 等标记一起使用时相关,此时用户空间程序会创建根据 autoconf 生成的地址, 但是取决于不同的环节,有可能不应该为此前缀添加路由。默认值是 no
AutoJoin
接受一个布尔值。因为交换机不会复制不为多播地址报告IGMP的端口上的多播包, 所以如果有一个能够感知IGMP的以太网交换机, 那么将无法通过 ip maddr 命令在以太网层次上加入到多播组中去。 通过 ip link add vxlan 命令创建的 vxlan 设备或者通过 systemd-networkd 创建的 vxlan 虚拟网络设备, 都开启了必要的选项以允许它们加入到多播组中去。 通过使用 “autojoin“ 选项扩展 ip maddr 命令, 可以让 openvswitch (OVS) vxlan 获得类似的功能, 同时仍然保留其他需要接受多播流量的隧道机制。 默认值是 “no“
5.Neighbor
“[Neighbor]“ 小节 用于在邻居表(IPv6)或ARP表(IPv4)中, 为给定的MAC地址添加一个永久静态项。 可以使用多个 “[Neighbor]“ 小节来配置多个静态邻居。 可以在 “[Neighbor]“ 小节中使用的选项如下:
Address
邻居的IP地址
MACAddress
邻居的MAC地址
6.IPv6AddressLabel
IPv6地址标签用于地址选择(参见 RFC 3484)。 内核仅存储标签自身,而标签的优先级则由用户空间程序管理。 可以使用多个 “[IPv6AddressLabel]“ 小节来配置多个IPv6地址标签。 可在 “[IPv6AddressLabel]“ 小节中使用的选项如下:
Label
用于前缀(一个无符号整数)的标签,必须设为 0 到 4294967294 之间的一个整数。 0xffffffff 是预留值,禁止使用。这是一个必须设置的选项。
Prefix
IPv6前缀是指一个带有前缀长度的地址(以 “/“ 字符分隔)。 这是一个必须设置的选项。
7.RoutingPolicyRule
可以使用多个 “[RoutingPolicyRule]“ 小节来配置多个路由策略。 可在 “[RoutingPolicyRule]“ 小节中使用的选项如下:
TypeOfService
指定要匹配的服务类型。可设为一个 0~255 之间的整数。
From
指定要匹配的源地址前缀。可以加上”/前缀长度”后缀。
To
指定要匹配的目的地址前缀。可以加上”/前缀长度”后缀。
FirewallMark
指定要匹配的 iptables 防火墙标签值(一个介于 1~4294967295 之间的整数)
Table
指定在规则选择器匹配成功时, 要查找的路由表ID(一个介于 1~4294967295 之间的整数)。
Priority
指定该规则的优先级,必须设为一个无符号整数。 数值越小优先级越高,也就是多条规则按照各自优先级数值从小到大的顺序处理。
IncomingInterface
指定要匹配的流入设备。如果设为回环接口,那么表示该规则仅匹配本机产生的数据包。
OutgoingInterface
指定要匹配的流出设备。流出接口仅用于源自绑定到某个设备的本地套接字的数据包。
SourcePort
指定要在转发信息库(FIB)规则中匹配的源IP端口或源IP端口范围。 可以通过”低端口-高端口”格式(使用连字符)来指定端口范围。默认未设置。
DestinationPort
指定要在转发信息库(FIB)规则中匹配的目标IP端口或目标IP端口范围。 可以通过”低端口-高端口”格式(使用连字符)来指定端口范围。默认未设置。
IPProtocol
指定要在转发信息库(FIB)规则中匹配的IP协议。可设为例如 “tcp“, “udp“, “sctp“ 这样的协议名称,或者例如 “6“(“tcp“), “17“(“udp“) 这样的协议号。 默认未设置。
InvertRule
一个布尔值。表示是否反转规则。默认为 no 。
8.Route
可以使用多个 “[Route]“ 小节来配置多个路由。 可在 “[Route]“ 小节中使用的选项如下:
Gateway
含义与 “[Network]“ 中的同名选项相同。
GatewayOnlink
接受一个布尔值。默认值为 “no“ 。 设为 yes 表示要求内核不必检查本小节设置的网关是否直接可达, 也就是内核不必检查本小节所设置的网关是否确实连接到了本地网络上。 这样,在向内核的路由表插入路由记录时,可以阻止内核抱怨”路由不可达”的错误。
Destination
该路由的目的地址前缀,可以带有”/前缀长度”后缀, 如果省略了此后缀, 则视为一个全长度的主机路由。
Source
该路由的源地址前缀,可以带有”/前缀长度”后缀, 如果省略了此后缀, 则视为一个全长度的主机路由。
Metric
该路由的跃点数(一个正整数)
IPv6Preference
为路由发现消息(Router Discovery messages)设置路由优先级(参见 RFC4191)。 可设为如下值: “low“ 表示最低优先级、 “medium“ 表示默认优先级、 “high“ 表示最高优先级。
Scope
该路由的适用范围: “global“, “link“, “host“ 。 默认值为 “global“
PreferredSource
该路由的首选源地址, 必须符合 inet_pton(3) 格式。
Table=_num_
该路由表的标识符(可设为 1~4294967295 之间的整数, 0 表示不设置标识符)。 可以通过 ip route show table num 命令查看此路由表的内容。
Protocol
设置路由的协议标识符。可设为 0 到 255 之间的整数,或者特殊值 “kernel“, “boot“, “static“ 之一。默认值为 “static“
Type
设置路由的类型。可设为下列值之一: “unicast“ 表示描述前往目的地址的真实路径(单播路由)、 “blackhole“ 表示直接悄无声息的丢弃数据包(黑洞路由)、 “unreachable“ 表示直接丢弃数据包并返回一个”主机不可达”ICMP消息、 “prohibit“ 表示直接丢弃数据包并返回一个”通信被禁止”ICMP消息。 “throw“ 表示在当前路由表中的路由查找将失败,路由选择过程将返回到路由策略数据库(RPDB)。 默认值是 “unicast“ 。
InitialCongestionWindow
设置启动TCP连接时使用的初始TCP拥塞窗口大小。在TCP会话启动期间, 当客户端请求资源时,服务器的初始拥塞窗口大小决定了首次数据传输时一次性向客户端发送多少字节的数据。 取值范围是 1 到 4294967295(2^32 - 1) 字节(可以使用以1024为基准的 K, M, G 后缀)。 若未设置此选项,则使用内核的默认值。
InitialAdvertisedReceiveWindow
设置TCP初始接收窗口大小,也就是首次传输时可以一次性接受多少字节的数据。 在等待接收端确认和更新窗口之前,发送端每次最多只能发送该这么多数据。 取值范围是 1 到 4294967295(2^32 - 1) 字节(可以使用以1024为基准的 K, M, G 后缀)。 若未设置此选项,则使用内核的默认值。
QuickAck
接受一个布尔值。设为 yes 表示为路由启用 TCP “quick ack”模式。若未设置此选项,则使用内核的默认值。
MTUBytes
设置该路由的最大传输单元。 单位是字节(可以使用 以1024为基准的 K, M, G 后缀)。
注意,如果在此连接上启用了 IPv6 ,那么任何小于 1280 (IPv6 的最小 MTU 值) 的值都会被自动增加到 1280 。
9.DHCP
“[DHCP]“ 小节用于配置 DHCPv4/DHCP6 客户端。 仅在 [Network] 小节中的 DHCP= 选项已开启的情况下有意义。
UseDNS
默认值 yes 表示 从DHCP服务器接收DNS服务器的设置, 同时无视任何本地的静态DNS配置。
这相当于 resolv.conf(5) 中 nameserver 的作用。
UseNTP
默认值 yes 表示 从DHCP服务器接收NTP服务器的设置(被 systemd-timesyncd 使用), 同时无视任何本地的静态NTP配置。
UseMTU
若设为 yes 则表示 从DHCP服务器接收MTU(最大传输单元)的设置。 如果已经设置了 MTUBytes= 选项,那么此选项将被忽略。 默认值是 no 。
Anonymize
接受一个布尔值。设为 yes 表示按照 RFC 7844 规范向 DHCP 服务器发送选项, 也就是不再发送例如主机名之类暴露用户身份的信息,以实现匿名的网络访问。 默认值是 no 。
此选项应该仅在 MACAddressPolicy=random 的情况下才可以设为 yes 。 参见 systemd.link(5) 手册。
注意,当此选项被设为 yes 之后, 下列选项将被忽略: SendHostname=, ClientIdentifier=, UseRoutes=, SendHostname=, UseMTU=, VendorClassIdentifier=, `UseTimezone
SendHostname
默认值 yes 表示将本机的主机名(hostname)发送给DHCP服务器。 注意,主机名只能由7位ASCII小写字母、数字、连字符(-)组成,并且必须格式化为有效的DNS域名。 否则,即使将此选项设为 yes , 也不会发送主机名。
UseHostname
默认值 yes 表示 将从DHCP服务器接收到的主机名(hostname)设置为系统的临时主机名。
Hostname
将此选项的值(而不是真实的主机名)作为主机名发送给 DHCP 服务器。 注意,主机名只能由7位ASCII小写字母、数字、连字符(-)组成, 并且必须格式化为有效的DNS域名。
UseDomains
接受一个布尔值或特殊值 “route“ 。 yes 表示将从DHCP服务器接收到的域用于此连接的DNS搜索域。 在效果上与 Domains= 中不带 “~“ 前缀的值类似。 “route“ 表示仅将从DHCP服务器接收到的域用于路由DNS查询(而不用于搜索), 在效果上与 Domains= 中带有 “~“ 前缀的值类似。 默认值为 no 。
建议仅在可信任网络环境中才能将此选项设为 yes 。 因为它会影响到所有主机名的解析,特别是单标签主机名(不含”.”的主机名)的解析。 一般来说,仅设置”路由域”而不设置”搜索域”是安全的, 因为这样做不会影响到单标签主机名(不含”.”的主机名)的解析。
当设为 yes 时,此选项相当于 resolv.conf(5) 中 domain 的作用。
UseRoutes
默认值 yes 表示从DHCP服务器请求静态路由,并将DHCP服务器返回的结果添加到本机的路由表中, 同时将跃点数设为 1024 ,此外,还会根据路由目的地址以及网关的不同,将 scope 值设为 “global”, “link”, “host” 之一。 如果目的地址就在本机(例如 127.x.x.x 或者本地连接自身的地址),那么 scope 值将被设为 “host” , 否则如果网关不存在(也就是直接路由),那么 scope 值将被设为 “link” 。 对于其他情况, scope 值将被设为默认的 “global” 。
UseTimezone
若设为 yes 则表示 将从DHCP服务器接收到的时区用作本机的时区。 默认值是 “no“
CriticalConnection
若设为 yes 则表示 即使所获得的IP地址租约已经过期,也不归还,依然继续使用。 这种做法是与DHCP协议相违背的, 但在某些场合却是最佳的选择(例如根文件系统依赖于此连接)。 默认值为 no
ClientIdentifier
使用什么样的 DHCPv4 客户端标识符: “mac“ 表示连接的MAC地址; “duid“ 表示一个符合RFC4361规范的客户端ID(也就是 IAID 与 DUID 的组合); “duid-only“ 表示仅使用 DUID (可能与 RFC 规范不兼容,但某些场合需要这样做)。 默认值是 “duid“
VendorClassIdentifier
标识厂商类型与配置的厂商类标识符(DHCP Option 60), 这是一个DHCP可选项。
UserClass
用于 DHCPv4 客户端标识用户或应用的类型(DHCP “User Class” 选项)。 此选项中包含的字符串表明此客户端是哪些用户类的成员。 每个类都有一个标识字符串,供DHCP服务对客户端进行分类。 此选项接受一个空白分隔的字符串列表。
DUIDType
为此连接设置一个专用的 DUIDType 以覆盖全局默认值。参见 networkd.conf(5) 以了解可用值。
DUIDRawData
为此连接设置一个专用的 DUIDRawData 以覆盖全局默认值。参见 networkd.conf(5) 以了解可用值。
IAID
为此连接设置一个 DHCP IAID(Identity Association Identifier) ,一个 32-bit 无符号整数。
RequestBroadcast
要求DHCP服务器在完成配置IP地址之前使用广播消息。 对于不能接收原始包的网卡, 或者 在配置IP地址之前不能接收任何包的网卡来说,必须开启此选项。 另一方面, 对于广播包被屏蔽的网络来说,则必须关闭此选项。
RouteMetric
指定由DHCP分配的路由的 跃点数(一个正整数)。
RouteTable=_num_
DHCP路由表标识符(一个 1 到 4294967295 之间的整数, 0 表示未设置)。 可以使用 ip route show table num 查看路由表内容。
除非已经明确为此选项设置了一个正整数, 否则当与 VRF= 一起使用时,将会使用VRF的路由表。
ListenPort
设置DHCP客户端的监听端口(客户端默认在UDP的68端口监听)。
RapidCommit
接受一个布尔值。 DHCPv6 客户端可以通过一种被称为”rapid commit”的快速两消息交换方式(solicit, reply)从 DHCPv6 服务器获得配置参数。 如果 DHCPv6 客户端与服务器都支持”rapid commit”选项, 那么将会使用快速两消息交换方式(solicit, reply)取代默认的四消息交换方式(solicit, advertise, request, reply)。 两消息交换方式提高了客户端配置速度,在网络负债较重的环境中很有意义。 详见 RFC 3315 文档。 默认值为 yes 。
ForceDHCPv6PDOtherInformation
接受一个布尔值。 设为 yes 表示即使在路由通告(Router Advertisement)消息中设置了’Other information’位,也强制使用 DHCPv6 有状态模式。 默认情况下,当在路由通告(Router Advertisement)消息中仅设置了’Other information’位时, DHCPv6 将以无状态的两消息交换方式请求网络信息。但是在 RFC 7084(要求 WPD-4)规范中, 针对客户边缘(Customer Edge)路由器,此种默认行为发生了改变,使得即使在路由通告(Router Advertisement)消息中仅设置了’Other information’位, 也将请求有状态的 DHCPv6 前缀委派(Prefix Delegation)。 此选项就用于开启这种 CE(Customer Edge) 行为,否则无法自动区分’Other information’位的含义。 此选项的默认值是 no 。 当该网络设备用作 CE(Customer Edge) 路由器时(不需要委派前缀),应该将此选项设为 yes 。
10.IPv6AcceptRA
“[IPv6AcceptRA]“ 用于配置IPv6路由通告(Router Advertisement)客户端。 仅在 [Network] 小节中的 IPv6AcceptRA= 选项已开启的情况下有意义。
UseDNS
默认值 yes 表示从IPv6路由通告消息中接收DNS服务器的设置, 同时无视任何本地的静态DNS配置。
这相当于 resolv.conf(5) 中 nameserver 的作用。
UseDomains
接受一个布尔值。或特殊值 “route“ 。 yes 表示将从IPv6路由通告消息中接收到的域用于此连接的DNS搜索域。 在效果上与 Domains= 中不带 “~“ 前缀的值类似。 “route“ 表示仅将从IPv6路由通告消息中接收到的域用于路由DNS查询(而不用于搜索), 在效果上与 Domains= 中带有 “~“ 前缀的值类似。 默认值为 no
建议仅在可信任网络环境中才能将此选项设为 yes 。 因为它会影响到所有主机名的解析,特别是单标签主机名(不含”.”的主机名)的解析。 一般来说,仅设置”路由域”而不设置”搜索域”是安全的, 因为这样做不会影响到单标签主机名(不含”.”的主机名)的解析。
当设为 yes 时,此选项相当于 resolv.conf(5) 中 nameserver 的作用。
RouteTable=num
在路由通告中接收到的路由表编号(一个 1 到 4294967295 之间的整数, 0 表示未设置)。 可以使用 ip route show table num 命令显示表内容。
11.DHCPServer
“[DHCPServer]“ 小节用于配置 DHCPv4 服务端。 仅在 [Network] 小节中的 DHCPServer= 选项已开启的情况下有意义。
PoolOffset=, PoolSize
配置可用于动态分配的IP地址池。 地址池必须与DHCP服务器的IP地址位于同一子网内, 并且不得包含子网地址与广播地址。 PoolOffset= 用于设置地址池的起点,用相对于子网起点的偏移量表示。 若设为”0”则表示使用默认值。 PoolSize= 用于设置地址池的长度(也就是包含的IP地址数量)。 若设为”0”则表示使用默认值。 默认情况下,地址池的起点位于子网地址之后的第一个地址, 终点位于广播地址前面的那个地址,也就是包含了全部的可分配地址。 如果地址池中正好包含了DHCP服务器自身的地址(默认情况就是这样)也没关系, 这个地址不会被分配给DHCP客户端。
DefaultLeaseTimeSec=, MaxLeaseTimeSec
设置传递给DHCP客户端的 默认租期(默认”1h”)与最大租期(默认”12h”), 可以使用 “min”, “h”, “days”, “weeks”, “months” 后缀。 默认租期用于客户端未指定租约时长的情况。 如果客户端指定的租约时长超过了此处设置的最大值, 那么将自动限制为此处设置的最大值。 如果租约经常变化, 那么应该设置较小的值; 反之, 为了降低DHCP所占用的网络流量, 应该设置较大的值。
EmitDNS=, DNS
接受一个布尔值。 设置是否要给DHCP客户端传递DNS服务器信息。 默认值 “yes“ 表示要传递。 而 DNS= 则用于设置一个 要传递的DNS服务器列表(以IPv4地址表示)。 如果 EmitDNS=yes 但同时并未设置 DNS= 的值, 那么将自动使用从”上级连接”中获得的DNS服务器列表。 所谓”上级连接”是指 系统中优先级最高的默认路由。 注意: (1)不会从本机的 /etc/resolv.conf 中提取DNS服务器。 (2)并不通知DHCP客户端”上级连接”的DNS变化。 为了确保客户端能够及时知晓”上级连接”的DNS变化, 应该减小 MaxLeaseTimeSec= 的值。
EmitNTP=, NTP
与 EmitDNS= 和 DNS= 完全相同, 不同之处 仅在于 这两个选项针对的是 NTP时间服务器。
EmitRouter
与 EmitDNS= 完全相同, 不同之处仅在于 这两个选项针对的是 路由器。
EmitTimezone,Timezone
接受一个布尔值。 设置是否要给DHCP客户端传递时区信息。默认值 “yes“ 表示要传递。 而 Timezone= 则用于设置一个要传递的时区字符串, 例如 “Asia/Shanghai“(中华民国中原时区) 或 “UTC“(世界统一时间) 或 “PRC“(中华人民共和国)。 若未明确设置 Timezone= 的值, 那么将使用本机的时区,也就是 /etc/localtime 软连接。
12.IPv6PrefixDelegation
“[IPv6PrefixDelegation]“ 小节用于配置如何发送IPv6路由通告消息(IPv6 Router Advertisement)以及是否用作路由器角色, 仅在 [Network] 小节中的 IPv6PrefixDelegation= 选项已开启的情况下有意义。 IPv6 网络前缀定义在一个或多个 “[IPv6Prefix]“ 小节中。
Managed,OtherInformation
此二选项 都只接受一个布尔值。 Managed=yes 表示通过 DHCPv6 服务器来获取 IPv6 地址。 OtherInformation=yes 表示通过 DHCPv6 服务器来获取其他信息。 此二选项的默认值都是 “no“ ,表示完全不使用 DHCPv6 服务器。
RouterLifetimeSec
设置此连接作为 IPv6 路由器的时长(单位是秒)。 如果设置了此选项,那么将会在路由通告消息中将该网络连接宣布为一个 IPv6 路由器。 若未设置此选项,则表示本机不是一个路由器。
RouterPreference
设置 IPv6 路由的优先权,此选项仅在 RouterLifetimeSec= 非零的时候有意义。 可设为 “high“, “medium“(默认值), “low“ 之一。 详见 RFC 4191 文档。
EmitDNS,DNS
DNS=用于设置当EmitDNS=yes时, 通过路由通告(Router Advertisement)消息分发的递归DNS服务器的 IPv6 地址列表。 如果DNS= 的值为空, 那么 DNS 服务器将从 "[Network]" 小节读取。如果 "[Network]" 小节也不包含任何 DNS 服务器, 那么,将使用来自于上行链路中优先级最高的默认路由的 DNS 服务器。 如果 EmitDNS=no, 那么将不会在路由通告(Router Advertisement)消息中发送DNS服务器信息。EmitDNS=` 的默认值是 yes 。
EmitDomains,Domains
Domains=用于设置当EmitDomains=yes时, 通过路由通告(Router Advertisement)消息分发的DNS搜索域列表。 如果Domains= 的值为空,那么DNS搜索域将从 "[Network]" 小节读取。如果 "[Network]" 小节也不包含任何DNS搜索域, 那么,将使用来自于上行链路中优先级最高的默认路由的DNS搜索域。 如果 EmitDomains=no, 那么将不会在路由通告(Router Advertisement)消息中发送DNS搜索域信息。EmitDomains=` 的默认值是 yes 。
DNSLifetimeSec
设置 DNS= 与 Domains= 两个选项中设置的列表的有效期(单位是秒)。
13.IPv6Prefix
可以设置多个 “[IPv6Prefix]“ 小节, 每个小节都包含一个通过路由通告声明的 IPv6 前缀。详见 RFC 4861 文档。
AddressAutoconfiguration=, OnLink
此二选项都只接受一个布尔值。 AddressAutoconfiguration=yes 表示允许自动配置带有此前缀的 IPv6 地址。 OnLink=yes 表示此前缀可用于在线(OnLink)检测。 此二选项的默认值都是 “yes“ 以简化配置难度。
Prefix
设置用于分发的 IPv6 前缀。 值是一个形如 “IPv6地址/前缀长度“ 的字符串。 因为每个 IPv6 前缀的有效期、是否允许自动配置地址、在线(OnLink)状态可能各不相同, 所以需要使用多个 “[IPv6Prefix]“ 小节来分别配置多个不同的 IPv6 前缀。
PreferredLifetimeSec=, ValidLifetimeSec
PreferredLifetimeSec=表示该IPv6前缀的首选生存期时长(单位是秒),默认值是 604800 秒(一个星期)。ValidLifetimeSec=` 表示该IPv6前缀的有效生存期时长(单位是秒),默认值是 2592000 秒(30天)。
14.Bridge
可在 “[Bridge]“ 小节中使用的选项如下:
UnicastFlood
接受一个布尔值。 设为 yes 表示网桥应该通过该端口转发没有FDB项并且目标MAC地址未知的流量。 若未设置此选项,则使用内核的默认值。
MulticastToUnicast
接受一个布尔值。设置是否开启运行在网桥多播侦听功能之上的多播到单播。 这意味着单播副本只传递给对它感兴趣的主机。 若未设置此选项,则使用内核的默认值。
HairPin
接受一个布尔值。 设置网桥是否可以将从该端口接收到的流量仍然通过该端口返还发送回去。 若未设置此选项, 则使用内核的默认值。
UseBPDU
接受一个布尔值。设置该网桥端口是否处理 STP BPDU(Bridge Protocol Data Units)。 若未设置此选项,则使用内核的默认值。
FastLeave
接受一个布尔值。 设置是否允许在该端口接收到”IGMP Leave”消息后立即停止此端口上的多播。 此选项仅与IGMP嗅探一起使用才有意义。若未设置此选项,则使用内核的默认值。
AllowPortToBeRoot
接受一个布尔值。设置是否允许该端口成为根端口(Root Port),也就是与根桥(Root Bridge)直接相连或路径最短的端口。 此选项仅在网桥启用了STP(生成树协议)的情况下才有意义。 若未设置此选项,则使用内核的默认值。
Cost
设置该端口发送数据包的”cost”。 一个网桥上的不同端口可能有不同的速度, 速度越快的端口,其”cost”值也越低。 因此,”cost”值可用于决定使用哪个端口。 取值范围是 1 到 65535 之间的一个整数。
Priority
设置该接口的”优先级”。 网桥上的每一个端口都可以拥有一个”优先级”,用于确定优先使用哪一个连接。 较小的数值表示优先级较高(更优先使用)。 可设为 0 到 63 之间的整数。 此选项没有默认值,意味着默认使用内核的值(默认为 32)。
15.BridgeFDB
“[BridgeFDB]“ 小节 用于管理网桥端口的流量转发表。 可以通过设置多个 “[BridgeFDB]“ 小节 来配置多个静态MAC表项。
MACAddress
这是一个必须设置的选项, 含义与 “[Link]“ 小节中的同名选项相同。
VLANId
新的静态MAC表项的”VLAN ID”。 若未设置, 则不添加任何”VLAN ID”信息。
16.CAN
管理控制器区域网络(Controller Area Network)(CAN 总线)。 可在 “[CAN]“ 小节中使用的选项如下:
BitRate
CAN设备的比特率(位/秒)。 可以使用以1000为基准的 SI 后缀(K, M)。
SamplePoint
可选的采样点小数点百分比(例如 “75%“, “87.5%“)。
RestartSec
自动重启延迟。 设为非零值表示在总线断开的情况下,延迟指定的时长后自动触发CAN控制器重启。 可以使用表示时间单位的 “s“, “ms“, “us“ 后缀。设为 “infinity“ 或 “0“ 表示关闭自动重启。 默认为关闭自动重启。
17.BridgeVLAN
“[BridgeVLAN]“ 小节用于管理网桥端口的 VLAN ID 配置。 可以通过设置多个 “[BridgeVLAN]“ 小节来配置多个 VLAN 项。 此小节仅在 systemd.netdev(5) 中 “[Bridge]“ 小节下的 VLANFiltering= 选项被开启时才有意义。
VLAN
可以设为一个单独的 ID 或 “M-N” 格式表示的ID范围。表示在此端口上启用的 VLAN ID 。 有效的 VLAN ID 范围是 1~4094 。
EgressUntagged
可以设为一个单独的 ID 或 “M-N” 格式表示的ID范围。 此处设置的 VLAN ID 将被用于在出口上 untag 帧。 设置此选项将会隐含的使用 VLAN= 并将 VLAN ID 同时应用于进入的帧。
PVID
为所有进入的 untag 帧设置 Port VLAN ID 。此选项仅可使用一次。 设置此选项将会隐含的使用 VLAN= 并将 VLAN ID 同时应用于进入的帧。
3.实例
1.指定网卡配置静态ip
/etc/systemd/network/50-static.network
1 | |
1 | |
2.桥接网卡
1 | |
1 | |
1 | |
创建一个网桥,并将 “enp2s0“ 与 “wlp3s0“ 添加进去。 同时为网桥配置一个静态地址,静态设置的网关也将被用作默认路由。 设置的DNS服务器将会被添加到全局DNS服务器列表中。
/etc/systemd/network/20-bridge-slave-interface-vlan.network
[Match]
Name=enp2s0
[Network]
Bridge=bridge0
[BridgeVLAN]
VLAN=1-32
PVID=42
EgressUntagged=42
[BridgeVLAN]
VLAN=100-200
[BridgeVLAN]
EgressUntagged=300-400
本例的设置覆盖了上例中对 “enp2s0“ 接口的配置,为其开启了 VLAN 功能: (1) VLAN ID 等于 1-32, 42, 100-400 的包将被直接发出, (2) VLAN ID 等于 42, 300-400 的包将被去掉 tag 标记之后再发出。 (3) 接收到的无 tag 标记的包将被指定一个 VLAN ID 等于 42 的值。
3.隧道配置
/etc/systemd/network/25-tunnels.network
[Match]
Name=ens1
[Network]
Tunnel=ipip-tun
Tunnel=sit-tun
Tunnel=gre-tun
Tunnel=vti-tun
/etc/systemd/network/25-tunnel-ipip.netdev
[NetDev]
Name=ipip-tun
Kind=ipip
/etc/systemd/network/25-tunnel-sit.netdev
[NetDev]
Name=sit-tun
Kind=sit
/etc/systemd/network/25-tunnel-gre.netdev
[NetDev]
Name=gre-tun
Kind=gre
/etc/systemd/network/25-tunnel-vti.netdev
[NetDev]
Name=vti-tun
Kind=vti
这将启动 “ens1“ 接口,并使用此接口创建一个 IPIP 隧道、 一个 SIT 隧道、一个 GRE 隧道、一个 VTI 隧道。
4.多网卡绑定
/etc/systemd/network/30-bond1.network
[Match]
Name=bond1
[Network]
DHCP=ipv6
/etc/systemd/network/30-bond1.netdev
[NetDev]
Name=bond1
Kind=bond
/etc/systemd/network/30-bond1-dev1.network
[Match]
MACAddress=52:54:00:e9:64:41
[Network]
Bond=bond1
/etc/systemd/network/30-bond1-dev2.network
[Match]
MACAddress=52:54:00:e9:64:42
[Network]
Bond=bond1
创建一个 “bond1“ 设备, 并将两个MAC地址为 52:54:00:e9:64:41 与 52:54:00:e9:64:42 的网卡添加进去。 同时使用 DHCPv6 来获取地址。
5.虚拟路由转发(VRF)
将 “bond1“ 添加到 VRF 主接口 “vrf1“ 上。 这将把此接口上生成的路由重定向到创建 VFR 过程中定义的路由表中。 注意,Linux-4.8 之前的内核不会根据 VFR 路由表重定向流量,除非专门添加了特定的IP规则。
/etc/systemd/network/25-vrf.network
[Match]
Name=bond1
[Network]
VRF=vrf1
6.MacVTap
启动 “macvtap-test“ 接口, 并将其附着到 “enp0s25“ 上。
/usr/lib/systemd/network/25-macvtap.network
[Match]
Name=enp0s25
[Network]
MACVTAP=macvtap-test
2.NetworkManager
1.描述
NetworkManager 是一个为系统提供检测和配置功能以便自动连接到网络的程序。NetworkManager 的功能对无线和有线网络都很有用。对于无线网络,NetworkManager 偏好已知的无线网络,并能切换到最可靠的网络。能感知 NetworkManager 的应用程序可以切换在线和离线模式。比起无线连接,NetworkManager 更偏好有线连接,且支持调制解调器连接和一些类型的 VPN。NetworkManager 最初由 Red Hat 开发,现在由 GNOME 管理。
1.移动网络支持
安装 modemmanager包 和 usb_modeswitch包。然后启用并启动 ModemManager.service。
可能需要重新启动 NetworkManager.service 才能使其检测 ModemManager。重新启动后,重新插入调制解调器应该就可以识别了。
从前端界面(例如 nm-connection-editor包)添加连接并将连接类型选择为 broadband,选择 ISP 和套餐, mobile-broadband-provider-info包 会自动填入 APN 和其它设置。
2.PPPoE / DSL 支持
安装 rp-pppoe包 以支持 PPPoE / DSL 连接。使用 nm-connection-editor 添加一个新的 DSL/PPPoE 连接。
3.VPN 支持
从 1.16 版本开始 NetworkManager 原生支持 WireGuard,它只需要 wireguard 内核模块。详见 WireGuard in NetworkManager 博客文章。
对其他类型 VPN 的支持基于一个插件系统。它们在以下软件包中提供:
- networkmanager-openconnect包 支持 OpenConnect
- networkmanager-openvpn 支持 OpenVPN
- networkmanager-pptp包 支持 PPTP Client
- networkmanager-strongswan包 支持 strongSwan
- networkmanager-vpnc包
- networkmanager-fortisslvpn-gitAUR
- networkmanager-iodine-gitAUR
- networkmanager-libreswanAUR
- networkmanager-l2tp包
- networkmanager-ssh-gitAUR
- network-manager-sstp包
4.GUI界面
- nm-connection-editor包 提供图形界面;
- network-manager-applet包 提供系统托盘图标(
nm-applet)。
2.安装
1 | |
3.使用
1.nmcli
1.常用的命令
1.显示附近的 Wi-Fi 网络
1 | |
2.连接到 Wi-Fi 网络
1 | |
3.连接到隐藏的 Wi-Fi 网络
1 | |
4.连接到 wlan1 网络接口上的 Wi-Fi
1 | |
5.断开网络接口上的连接
1 | |
6.显示连接列表及其名称、UUID、类型和支持设备
1 | |
7.激活连接(即使用现有配置文件连接到网络)
1 | |
8.删除连接
1 | |
9.显示所有网络设备及其状态
1 | |
10.关闭 Wi-Fi
1 | |
2.编辑连接
1.获取连接列表
1 | |
2.nmcli交互式编辑器
1 | |
3.nmcli命令行界面
1 | |
连接文件
/etc/NetworkManager/system-connections/
4.重载连接文件
1 | |
2.nmtui
nmtui为networkmanager的交互式图形化管理工具
3.iwd
1.描述
iwd (iNet wireless daemon,iNet 无线守护程序) 是由英特尔(Intel)为 Linux 编写的一个无线网络守护程序。该项目的核心目标是不依赖任何外部库,而是最大程度地利用 Linux 内核提供的功能来优化资源利用。
iwd 可以独立工作,也可以和 ConnMan、systemd-networkd 和 NetworkManager 这样更完善的网络管理器结合使用。
2.安装
1 | |
3.使用
1.iwctl
1 | |
4.wpa_supplicant
1.描述
wpa_supplicant 是跨平台的 WPA 请求者程序(supplicant),支持 WEP、WPA 和 WPA2(IEEE 802.11i).。可以在桌面、笔记本甚至嵌入式系统中使用。
2.安装
安装 wpa_supplicant包 软件包。此软件包提供了主程序 _wpa_supplicant_,密码工具 wpa_passphrase 和文字界面前端 wpa_cli.
此外软件包 wpa_supplicant_guiAUR 提供了图形界面 _wpa_gui_。 wpa-cuteAUR 是 wpa_gui 的一个分支,提供了额外的修正和改进。
1 | |
3.使用
配置文件
/etc/wpa_supplicant/wpa_supplicant.conf
1 | |
连接网络
1 | |
生成配置文件
1 | |
5.dhcpcd
1.描述
hcpcd 是 DHCP 和 DHCPv6 客户端,是目前功能最丰富的开源 DHCP 客户端。项目主页包含了完整的功能列表。
2.安装
1 | |
3.使用
1.获取ip地址
1 | |
2. 设置静态IP地址
1 | |
3.设置回落地址
在dhcp续约失败时,会启用此ip配置
1 | |