出售域名

第 5 章 网络设置

目录

5.1. 基本网络架构
5.1.1. 主机名解析
5.1.2. 网络接口名称
5.1.3. 局域网网络地址范围
5.1.4. 网络设备支持
5.2. 现代的桌面网络配置
5.2.1. 图形界面的网络配置工具
5.3. 传统的网络连接和配置
5.4. 网络连接方式(传统)
5.4.1. 以太网 DHCP 连接
5.4.2. 以太网静态 IP 连接
5.4.3. 使用 pppconfig 的 PPP 连接
5.4.4. 使用 wvdialconf 的另一种可选的 PPP 连接
5.4.5. 使用 pppoeconf 的 PPPoE 以太网连接
5.5. 使用 ifupdown 进行基本网络配置(旧)
5.5.1. 简单的命令语法
5.5.2. "/etc/network/interfaces" 基本语法
5.5.3. 回环网络接口
5.5.4. 使用 DHCP 的网络接口
5.5.5. 使用静态 IP 地址的网络接口
5.5.6. 无线局域网接口基础
5.5.7. 使用 WPA/WPA2 的无线局域网接口
5.5.8. 使用 WEP 的无线局域网接口
5.5.9. PPP 连接
5.5.10. 另一种 PPP 连接
5.5.11. PPPoE 连接
5.5.12. ifupdown 网络配置状态
5.5.13. 网络重新配置基础
5.5.14. ifupdown-extra 包
5.6. 使用 ifupdown 的高级网络配置(旧)
5.6.1. ifplugd 软件包
5.6.2. ifmetric 软件包
5.6.3. 虚拟接口
5.6.4. 高级命令语法
5.6.5. 映射节 mapping stanza
5.6.6. 手动的可切换网络配置
5.6.7. ifupdown 系统的脚本
5.6.8. guessnet Mapping 映射
5.7. 底层网络配置
5.7.1. Iproute2 命令
5.7.2. 安全的底层网络操作
5.8. 网络优化
5.8.1. 找出最佳 MTU
5.8.2. 设置 MTU
5.8.3. WAN TCP 优化
5.9. Netfilter 网络过滤框架
[提示] 提示

关于GNU/Linux网络的通用手册,请查看Linux 网络管理员手册

[提示] 提示

关于Debian专属的网络手册,请查看Debian管理员手册—网络配置

[警告] 警告

为代替使用传统的网络接口名称的方案 ("eth0", "eth1", "wlan0", …), 新的 systemd 使用"enp0s25" 之类的 "可预测网络接口名称".

[警告] 警告

本章是基于 2013 年发布的 Debian 7.0 (Wheezy) 编写的,所以其内容正在变得过时。

[提示] 提示

尽管本手册仍用旧的 ifconfig(8) 命令和IPv4协议当作网络配置的例子,Debian在 wheezy 发行版后转向使用ip(8)命令和 IPv4+IPv6 协议。欢迎大家提供补丁,更新这个手册。

[提示] 提示

systemd环境下,可以用networkd来配置网络。请参考systemd-networkd(8)

让我们来回顾一下现代Debian操作系统中的基本网络架构。

表 5.1. 网络配置工具一览表

软件包 流行度 大小 类型 说明
ifupdown V:566, I:995 204 配置::ifupdown 用来启动/关闭网络的标准工具(Debian特有)
ifplugd V:4, I:19 209 同上 自动管理有线网络
ifupdown-extra V:0, I:1 96 同上 网络测试脚本,加强"ifupdown"软件包的功能
ifmetric V:0, I:1 36 同上 设置网络接口的路由度量
guessnet V:0, I:1 402 同上 脚本文件,利用"/etc/network/interfaces"文件来加强"ifupdown"的功能
ifscheme V:0, I:0 58 同上 映射脚本文件,增强"ifupdown"软件包的功能
ifupdown-scripts-zg2 V:0, I:0 147 同上 Zugschlus写的脚本,用于ifupdown手动管理
network-manager V:367, I:472 11192 配置::NM NetworkManager(守卫进程):自动管理网络
network-manager-gnome V:246, I:416 6132 同上 NetworkManager(GNOME前端)
wicd I:34 34 配置::wicd 有线和无线网络管理器(元软件包)
wicd-cli V:0, I:2 58 同上 有线和无线网络管理器(命令行客户端)
wicd-curses V:1, I:5 174 同上 有线和无线网络管理器(文本界面客户端)
wicd-daemon V:30, I:39 951 同上 有线和无线网络管理器(守护进程)
wicd-gtk V:24, I:36 573 同上 有线和无线网络管理器(GTK+客户端)
iptables V:243, I:993 1525 配置::Netfilter 封包过滤和网络地址转换管理工具(Netfilter
iproute V:134, I:531 23 配置::iproute2 iproute2, IPv6和其他高级网络配置:ip(8),tc(8)等等
ifrename V:0, I:2 121 同上 根据不同的静态标准来重命名网络接口:ifrename(8)
ethtool V:93, I:263 331 同上 显示或更改以太网设备的设定
iputils-ping V:262, I:996 111 测试::iproute2 测试能否连接远程主机,通过主机名IP 地址iproute2
iputils-arping V:67, I:390 58 同上 测试能否连接远程主机,通过ARP地址
iputils-tracepath V:17, I:288 75 同上 跟踪访问远程主机的路径
net-tools V:421, I:998 934 配置::net-tools NET-3网络工具箱(net-tools,IPv4网络配置):ifconfig(8)等等。
inetutils-ping V:0, I:1 337 测试::net-tools 测试能否连接远程主机,通过hostnameIP 地址(传统方式,GNU)
arping V:2, I:28 103 同上 测试能否连接远程主机,通过ARP地址(传统方法)
traceroute V:75, I:992 154 同上 跟踪连接远程主机的路径(传统方法,控制台)
isc-dhcp-client V:421, I:960 651 配置::底层 DHCP客户端
wpasupplicant V:292, I:547 2531 同上 WPA和WPA2客户端支持(IEEE 802.11i)
wpagui V:0, I:4 781 同上 wpa_supplicant Qt 图形界面客户端
wireless-tools V:86, I:276 265 同上 操控Linux无线扩展的工具
ppp V:177, I:519 927 同上 使用chat连接PPP/PPPoE
pppoeconf V:0, I:12 290 配置::辅助 配置助手,以便于使用PPPoE连接
pppconfig V:1, I:4 805 同上 配置助手,以便于使用chat连接PPP
wvdial V:0, I:8 276 同上 配置助手,以便于使用wvdialppp连接PPP
mtr-tiny V:7, I:60 105 测试::底层 追踪连接远程主机的路径(文本界面)
mtr V:6, I:40 150 同上 追踪连接远程主机的路径(文本界面和GTK+界面)
gnome-nettool V:14, I:283 2111 同上 获取常见网络信息的工具(GNOME)
nmap V:50, I:452 22296 同上 网络映射/端口扫描(Nmap,控制台)
zenmap V:3, I:12 2824 同上 网络映射/端口扫描(GTK+)
tcpdump V:22, I:198 1153 同上 网络流量分析(Tcpdump,控制台)
wireshark V:5, I:65 74 同上 网络流量分析(Wireshark,GTK+)
tshark V:3, I:37 365 同上 网络流量分析(控制台)
nagios3 I:8 NOT_FOUND 同上 主机、服务、网络监控及管理系统(Nagios
tcptrace V:0, I:1 392 同上 根据tcpdump的输出生成的连接数据统计
snort V:1, I:1 1920 同上 灵活的网络入侵侦测系统(Snort
ntopng V:0, I:1 578 同上 在网页浏览器中展示网络流量
dnsutils V:90, I:901 462 同上 BIND软件包提供的网络客户端程序:nslookup(8),nsupdate(8),dig(8)
dlint V:1, I:22 96 同上 利用域名服务器查询来查看DNS域信息
dnstracer V:0, I:2 56 同上 跟踪DNS查询直至源头

主机名解析,目前也是由 NSS (名字服务转换 Name Service Switch) 机制来支持。这个解析的流程如下。

  1. "/etc/nsswitch.conf" 文件里的 "hosts: files dns" 这段规定主机名解析顺序。 (代替 "/etc/host.conf" 文件里的"order" 这段原有的功能。)

  2. files 方式首先被调用。如果主机名在 "/etc/hosts" 文件里面发现,则返回所有有效地址并退出。 ( "/etc/host.conf" 文件包含 "multi on".)

  3. dns 方式被调用。如果主机名通过查询 "/etc/resolv.conf" 文件里面写的 互联网域名系统 Domain Name System (DNS) 来找到,则返回所有有效地址并退出。

例如, "/etc/hosts" 看起来如下。

127.0.0.1 localhost
127.0.1.1 <host_name>

# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

每一行由 IP 地址 开始,接下来是相关联的主机名.

在这个例子的第二行 127.0.1.1 IP 地址也许不会在其它类 Unix 系统发现。Debian Installer 为没有永久 IP 地址的系统创建这个条目,作为某些软件(如 GNOME)的一个变通方法,见文档 bug #719621.

<host_name> 匹配在"/etc/hostname"里定义的主机名。

对于有永久 IP 地址的系统,这个永久 IP 地址应当代替这里的 127.0.1.1

对于有永久 IP 地址和有 域名系统 Domain Name System (DNS)提供完全资格域名 fully qualified domain name (FQDN) 的系统,规范名 <host_name>.<domain_name> 应当被用来代替 <host_name>.

如果 resolvconf 软件包没有安装,"/etc/resolv.conf" 是一个静态文件。如果安装了,它是一个符号链接。此外,它包含有解析策略的初始化信息。如 DNS 是 IP="192.168.11.1",则包含如下。

nameserver 192.168.11.1

resolvconf 软件包使这个 "/etc/resolv.conf" 文件成为一个符号链接,并通过钩子脚本自动管理其内容。

对于典型 adhoc 局域网环境下的 PC 工作站,除了基本的 filesdns 方式之外,主机名还能够通过组播 DNS (mDNS, 零配置网络 Zeroconf)进行解析。

  • Avahi 提供 Debian 下的组播 DNS 发现框架。

  • 它和 Apple Bonjour / Apple Rendezvous 相当.

  • libnss-mdns 插件包提供 mDNS 的主机名解析,GNU C 库 (glibc)的 GNU 名字服务转换 Name Service Switch (NSS) 功能支持 mDNS。

  • "/etc/nsswitch.conf" 文件应当有像 "hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4" 这样的一段.

  • ".local"结尾的主机名,使用 pseudo-top-level domain (TLD) 来解析.

  • mDNS IPv4 本地连接组播地址 "224.0.0.251" 或它相应的 IPv6 地址 "FF02::FB" 被用来作为 ".local" 结尾名字的 DNS 查询。

较老的 Windows 系统安装 winbind 软件包来提供旧的 NETBios over TCP/IP 主机名解析。为启用这个功能,"/etc/nsswitch.conf" 文件应当有这样的一段: "hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4 wins"。 (现代 Windows 系统通常使用 dns 方式来进行主机名解析。)

[注意] 注意

域名系统 Domain Name System 中的扩展通用顶级域名 expansion of generic Top-Level Domains (gTLD) 还在进行中。在局域网内,选择一个域名时,请提防名字冲突 name collision

网络接口名称,比如说 eth0, 是在 Linux 内核里分配给每一个硬件的,当这个硬件被内核发现的时候,通过用户层的配置机制udev (参见 第 3.3 节 “udev 系统”)来分配.网卡接口名称也就是 ifup(8)interfaces(5)里的 physical interface

为了保证每个网络接口名称在每次重启后一致,会用到 MAC 地址 等,有一个规则文件"/etc/udev/rules.d/70-persistent-net.rules". 这个文件是由"/lib/udev/write_net_rules" 程序自动生成,是由 "persistent-net-generator.rules" 规则文件来运行. 你可以修改该文件来改变命名规则。

[小心] 小心

当编辑 "/etc/udev/rules.d/70-persistent-net.rules" 规则文件时,你必须保持每条规则在单独的一行中,并且 MAC 地址 要小写。比如说,如果你发现"FireWire device" 和"PCI device" 在这个文件中,你也许想命名"PCI device" 作为 eth0,并配置它为首要网络接口。

Debian squeeze 和新的发行版都可以通过后台守护进程(daemon)管理软件来管理网络连接,例如 NetworkManager (NM)(network-manager 和相关软件包)或 Wicd(wicd 和相关软件包)。

  • 它们有自己的 GUI 和命令行程序来作为用户界面。

  • 它们有自己的后台守护进程(daemon)作为它们的系统后端。

  • 它们使你可以简单地将系统连接到网络。

  • 它们使你可以简单地管理有线和无线网络的配置。

  • 它们允许你配置网络而不依赖传统的 ifupdown 软件包。

[注意] 注意

不要在服务器上使用这些自动网络配置工具。它们主要针对于笔记本电脑上的移动桌面用户。

这些现代的网络配置工具需要进行适当的配置,以避免与传统 ifupdown 软件包发生冲突,它的配置文件位于 “/etc/network/interfaces”。

[提示] 提示

使用 systemd 的系统中,可以在 /etc/systemd/network/ 里配置网络。参见 systemd-resolved(8)resolved.conf(5)systemd-networkd(8)

[注意] 注意

这些自动网络配置工具的一些功能可能会带来令人烦扰的问题。它们不像传统的 ifupdown 软件包那样健壮。检查 network-manager 的 BTSwicd 的 BTS,来查看当前的问题和限制。

Debian 系统 NM 和 Wicd 的官方文档分别位于 “/usr/share/doc/network-manager/README.Debian” 和 “/usr/share/doc/wicd/README.Debian”。

本质上,如下操作即可完成桌面的网络配置。

  1. 通过下列命令使桌面用户 foo 归属 “netdev” 组(另外,例如 GNOME 和 KDE 这样的现代桌面环境会通过 D-bus 自动完成该操作)。

    $ sudo adduser foo netdev
  2. 使 “/etc/network/interfaces” 的配置保持下面那样简洁。

    auto lo
    iface lo inet loopback
  3. 通过下列命令重新启动 NM 或 Wicd。

    $ sudo /etc/init.d/network-manager restart
    $ sudo /etc/init.d/wicd restart
  4. 通过图形界面配置网络。

[注意] 注意

只有列在 “/etc/network/interfaces” 中的接口会被 NM 或 Wicd 管理,以避免与 ifupdown 的冲突。

[提示] 提示

如果你想扩展 NM 的网络配置功能,请寻找适当的插件模块和补充软件包,例如 network-manager-openconnect network-manager-openvpn-gnomenetwork-manager-pptp-gnomemobile-broadband-provider-infognome-bluetooth 等等。这同样适用于 Wicd。

[小心] 小心

这些自动网络配置工具可能无法兼容 “/etc/network/interfaces” 中传统的 ifupdown 的深奥配置,例如 第 5.5 节 “使用 ifupdown 进行基本网络配置(旧)”第 5.6 节 “使用 ifupdown 的高级网络配置(旧)” 中的那些配置。检查 network-manager 的 BTSwicd 的 BTS 来查看当前的问题和限制。

如果 第 5.2 节 “现代的桌面网络配置” 中描述的方法无法满足你的需要,那你应该使用结合了许多普通工具的传统网络连接和配置方法。

传统网络连接的每个方法都是特定的(参见 第 5.4 节 “网络连接方式(传统)”)。

用于 Linux 底层网络配置的程序有两种类型(参见 第 5.7.1 节 “Iproute2 命令”)。

  • 来自 Linux NET-3 网络系统的旧 net-tools 程序(ifconfig(8)……)。它们中的大多数都已经过时了。

  • 来自现在的 Linux 网络系统的新 Linux iproute2 程序(ip(8)……)。

尽管底层程序十分强大,但它们使用繁琐。因此创建了高层网络配置系统。

ifupdown 软件包是 Debian 中这种高层网络配置系统的实际标准。它让你可以简单地通过例如 “ifup eth0” 这样的命令来打开网络。它的配置文件位于 “/etc/network/interfaces” 中并且其典型内容如下。

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet dhcp

resolvconf 软件包是为了使 ifupdown 系统支持自动重写解析器配置文件 “/etc/resolv.conf” 来使网络地址解析平滑地重新配置。现在,大多数 Debian 网络配置软件包都使用了 resolvconf 软件包(参见 “/usr/share/doc/resolvconf/README.Debian”)。

ifupdown 软件包的辅助脚本,例如 ifplugdguessnetifscheme等,是为了进行网络环境的自动动态配置,例如位于有线局域网中的移动电脑。这些相对来说比较难使用,但在当前的 ifupdown 系统下工作良好。

详细的案例参见 第 5.5 节 “使用 ifupdown 进行基本网络配置(旧)”第 5.6 节 “使用 ifupdown 的高级网络配置(旧)”

[小心] 小心

在这节描述的连接测试方式仅仅用于测试目的。不应当直接用于日常的网络连接。建议你使用 NM, Wicd, 或 ifupdown 包代替。(参见 第 5.2 节 “现代的桌面网络配置”第 5.5 节 “使用 ifupdown 进行基本网络配置(旧)”).

一台电脑典型的网络连接方式和连接路径,能够使用下面的内容概述。


每种连接方式配置脚本汇总。


网络连接缩略语意义如下。


[注意] 注意

通过电视线缆的广域网服务,通常使用 DHCP 或 PPPoE。ADSL 和 FTTP 通常使用 PPPoE。你需要咨询你的互联网服务提供商来获得广域网连接使用的精确配置。

[注意] 注意

当宽带路由器用来搭建家庭局域网环境时,局域网上的电脑需要使用宽带路由器上的 网络地址转换(NAT),来连接到广域网。在这样的情况下,局域网上的电脑网络接口需使用静态 IP 或者宽带路由器提供的 DHCP 服务。宽带路由器必须按 ISP 的指引来配置连接到广域网。

配置脚本 pppconfig 配置 PPP 连接,仅需要交互式的选择下面内容。

  • 电话号码

  • ISP 用户名

  • ISP 密码

  • 端口速率

  • modem 通信端口

  • 认证方式

表 5.6. 使用 pppconfig 的 PPP 连接配置文件列表

文件 功能
/etc/ppp/peers/<isp_name> pppconfig 生成针对 <isp_name> 的 pppd 配置文件
/etc/chatscripts/<isp_name> pppconfig 生成针对 <isp_name> 的 chat 配置文件
/etc/ppp/options pppd 常用的执行参数
/etc/ppp/pap-secret PAP 的鉴权认证数据 (有安全风险)
/etc/ppp/chap-secret CHAP 的鉴权认证数据(更安全)

[小心] 小心

"<isp_name>" 是 "互联网服务提供商" ,假设 ponpoff 命令调用时,没有参数。

你可以使用下面的底层网络配置工具测试配置。

$ sudo pon <isp_name>
...
$ sudo poff <isp_name>

参见 "/usr/share/doc/ppp/README.Debian.gz".

Debian 系统上的传统 TCP/IP 网络 搭建,ifupdown 软件包是作为一个上层工具来使用。有两个典型场景。

如果你想设置高级配置,这些传统的设置方法,是相当有用的。在下面的内容中发现细节。

ifupdown 包提供 Debian 系统中标准的高层网络配置框架。在本节中,我们通过 ifupdown 的简单介绍和许多典型列子来学习基本的网络配置。

第 5.4.1 节 “以太网 DHCP 连接” 准备系统后,在"/etc/network/interfaces" 里面,按下面的内容创建配置条目后,网络接口的 DHCP 便配置好了。

allow-hotplug eth0
iface eth0 inet dhcp

当 Linux 内核检测到物理接口 eth0, allow-hotplug 节促使 ifup 启动接口,iface 促使 ifup 使用 DHCP 来配置接口。

你需要安装 wpasupplicant 包来支持 WLAN 使用新的 WPA/WPA2.

使用 DHCP 的无线局域网连接,"/etc/network/interfaces" 文件的条目需要按下面的内容设置。

allow-hotplug ath0
iface ath0 inet dhcp
 wpa-ssid homezone
 # hexadecimal psk is encoded from a plaintext passphrase
 wpa-psk 000102030405060708090a0b0c0d0e0f101112131415161718191a1b1c1d1e1f

参见 "/usr/share/doc/wpasupplicant/README.modes.gz".

你需要安装 wireless-tools 包来支撑老的 WEP 无线局域网。(你的消费等级的路由器可能仍然使用不安全的架构,但这总比没有好。)

[小心] 小心

请注意:WEP 无线局域网上的网络流量,可以被其他人监听。

使用 DHCP 的无线局域网连接,"/etc/network/interfaces" 文件的条目需要按下面的内容设置。

allow-hotplug eth0
iface eth0 inet dhcp
 wireless-essid Home
 wireless-key1 0123-4567-89ab-cdef
 wireless-key2 12345678
 wireless-key3 s:password
 wireless-defaultkey 2
 wireless-keymode open

参见 "/usr/share/doc/wireless-tools/README.Debian".

你需要按之前的描述配置 PPP 连接(参见 第 5.4.3 节 “使用 pppconfig 的 PPP 连接”). 然后,按下面的方式给第一个 PPP 设备 ppp0 增加 “/etc/network/interfaces" 文件里的条目.

iface ppp0 inet ppp
 provider <isp_name>

你需要按之前的描述先配置好使用 wvdial 的另外一种 PPP 连接(参见第 5.4.4 节 “使用 wvdialconf 的另一种可选的 PPP 连接”). 然后,按下面的方式给第一个 PPP 设备 ppp0 增加 “/etc/network/interfaces" 文件里的条目.

iface ppp0 inet wvdial

使用 PPPoE 直接连接到广域网的电脑,你需要按之前的描述用 PPPoE 连接配置系统(参见 第 5.4.5 节 “使用 pppoeconf 的 PPPoE 以太网连接”). 然后,按下面的方式给第一个 PPPoE 设备 eth0 增加 “/etc/network/interfaces" 文件里的条目.

allow-hotplug eth0
iface eth0 inet manual
 pre-up /sbin/ifconfig eth0 up
 up ifup ppp0=dsl
 down ifdown ppp0=dsl
 post-down /sbin/ifconfig eth0 down
# The following is used internally only
iface dsl inet ppp
 provider dsl-provider

ifupdown 软件包,使用其高级用法,其功能就能够超出在 第 5.5 节 “使用 ifupdown 进行基本网络配置(旧)” 所描述的内容。

描述在这里的这些功能是完全可选的。我,由于懒惰和极简主义,几乎不使用这些令人烦扰的东西。

[小心] 小心

如果你不能够通过 第 5.5 节 “使用 ifupdown 进行基本网络配置(旧)” 里的信息建立网络连接,使用下面的信息,你就会使你的情形变得比较糟糕。

ifplugd 软件包是一个老的自动网络配置工具,它仅能够管理以太网连接。解决了移动 PC 等拔插以太网线缆的问题。如果你有安装 NetworkManagerWicd (参见 第 5.2 节 “现代的桌面网络配置”),就不需要这个软件包。

这个软件包运行一个后台守护进程(daemon) 来代替 autoallow-hotplug 的功能 (参见 表 5.10 “"/etc/network/interfaces" 里面的节列表”),并启动网络连接上的接口。

以太网端口怎样使用 ifplugd 软件包,比如 eth0,请看下面。

  1. 删除 "/etc/network/interfaces" 里面的节: "auto eth0" 或 "allow-hotplug eth0".

  2. 保留 "/etc/network/interfaces" 里的节: "iface eth0 inet …" 和 "mapping …".

  3. 安装 ifplugd 软件包.

  4. 运行 "sudo dpkg-reconfigure ifplugd".

  5. eth0 作为 "由 ifplugd 监控的静态网卡".

现在,网络按你希望的方式重新配置了。

  • 在打开电源或发现硬件的时候启动,接口不会自己启动自己。

  • 发现以太网线缆时,启动接口。

  • 在拔掉以太网线缆后启动一段时间,然后接口自动关闭。

  • 在插入另外的以太网线缆时,接口在新的网络环境下启动。

[提示] 提示

ifplugd(8) 命令的参数能够设置其行为,比如说重新配置接口的延时。

为了避免复杂,我们在 第 5.5.2 节 “"/etc/network/interfaces" 基本语法” 里省略了解释 "/etc/network/interfaces" 里的 mapping 节。

mapping <interface_name_glob>
 script <script_name>
 map <script_input1>
 map <script_input2>
 map ...

这给 /etc/network/interfaces 文件提供了一个高级特征,可以自动选择映射脚本 <script_name> 定义的配置。

让我们来跟随下面的执行。

$ sudo ifup eth0

当 "<interface_name_glob>" 匹配 "eth0", 这个执行过程执行下面的命令来自动配置 eth0

$ sudo ifup eth0=$(echo -e '<script_input1> \n <script_input2> \n ...' | <script_name> eth0)

这里," map " 脚本输入行是可选和可以重复的。

[注意] 注意

mapping 节工作的匹配模式,类似于 shell 文件名匹配。 (参见 第 1.5.6 节 “Shell 通配符”).

以下是如何在几个网络配置中进行手动切换,而无需像 第 5.5.13 节 “网络重新配置基础” 中那样重写 “/etc/network/interfaces” 文件。

对于你需要访问的所有网络配置,你需要在 “/etc/network/interfaces” 文件中像下面那样创建一个单独的节。

auto lo
iface lo inet loopback

iface config1 inet dhcp

iface config2 inet static
 address 192.168.11.100
 netmask 255.255.255.0
 gateway 192.168.11.1
 dns-domain example.com
 dns-nameservers 192.168.11.1

iface pppoe inet manual
 pre-up /sbin/ifconfig eth0 up
 up ifup ppp0=dsl
 down ifdown ppp0=dsl
 post-down /sbin/ifconfig eth0 down

# The following is used internally only
iface dsl inet ppp
 provider dsl-provider

iface pots inet ppp
 provider provider

请注意,iface 后面标识的 网络配置名称 不用于标识 网络接口名称。另外,也没有 autoallow-hotplug 节来根据事件自动启动网络接口 eth0

现在,你可以切换网络配置了。

让我们通过 DHCP 将你的 PC 移动到局域网。你可以通过下列命令开启由网络配置名称(逻辑接口名称)config1 指定的网络接口(物理接口) eth0

$ sudo ifup eth0=config1
Password:
...

eth0 接口已开启,由 DHCP 配置并连接到了局域网。

$ sudo ifdown eth0=config1
...

eth0 接口已关闭并断开局域网连接。

让我们通过静态 IP 使你的 PC 移动到局域网。你可以通过下列命令开启由网络配置名称 config2 指定的网络接口 eth0

$ sudo ifup eth0=config2
...

开启 eth0 接口,使用静态 IP 配置并连接到局域网。像 dns-* 这样的额外参数会配置 “/etc/resolv.conf” 的内容。如果安装了 resolvconf,“/etc/resolv.conf” 会更容易管理。

$ sudo ifdown eth0=config2
...

eth0 接口再次关闭并断开局域网连接。

让我们将你的 PC 移动到 PPPoE 服务器的 BB-modem 上的一个端口。你可以通过下列命令开启由网络配置名称 pppoe 指定的网络接口 eth0

$ sudo ifup eth0=pppoe
...

eth0 接口已开启,由 PPPoE 配置直接连接到 ISP。

$ sudo ifdown eth0=pppoe
...

eth0 接口再次关闭并断开连接。

让我们将你的 PC 移动到使用 POTS 和 modem 的位置,而非局域网或 BB-modem。你可以通过下列命令开启由网络配置名称 ppp0 指定的网络接口 eth0

$ sudo ifup ppp0=pots
...

开启 ppp0接口,并使用 PPP 连接到互联网。

$ sudo ifdown ppp0=pots
...

关闭 ppp0 接口并断开网络。

你应该检查 “/etc/network/run/ifstate” 文件,查看ifupdown 系统当前网络配置的状态。

[警告] 警告

如果你有多个网络接口,你可能需要调整 eth*ppp* 等的末尾数字。

ifupdown 系统会自动运行安装在 “/etc/network/*/” 中的脚本,而且会传递环境变量给脚本。


这里,每一个环境变量,"$IF_<OPTION>",是在相应的选项名字 <option1> 和 <option2> 前增加 "$IF_" 来创建, 把字母转换为大写字母,将中划线替换为下划线,忽略非字母数字的字符。

[提示] 提示

<address_family>, <method_name>, <option1> 和 <option2> 的说明,请参见第 5.5.2 节 “"/etc/network/interfaces" 基本语法”

ifupdown-extra 软件包 (参见 第 5.5.14 节 “ifupdown-extra 包”)使用这些环境变量来扩展ifupdown 软件包的功能. ifmetric 软件包 (参见 第 5.6.2 节 “ifmetric 软件包”)安装 "/etc/network/if-up.d/ifmetric"脚本,这个脚本通过"$IF_METRIC"变量来设置 metric 路由度量值. guessnet 软件包 (参见 第 5.6.8 节 “guessnet Mapping 映射”),提供简单和功能强大的框架,用于通过 mapping 映射机制自动选择网络配置,这个软件包也使用了这些环境变量。

[注意] 注意

使用这些环境变量进行个性化网络配置的列子,你可以查看"/usr/share/doc/ifupdown/examples/*"里的列子脚本,以及 ifschemeifupdown-scripts-zg2 软件包使用的脚本.这些额外的脚本有部分功能和 ifupdown-extraguessnet 软件包的基本功能重叠. 如果你安装了这些额外脚本,你应当个性化这些脚本来避免互相影响。

为了替代在 第 5.6.6 节 “手动的可切换网络配置” 描述的手工选择配置,你可以使用在 第 5.6.5 节 “映射节 mapping stanza” 描述的映射机制,自动选择个性化脚本来进行配置网络。

guessnet 软件包提供的 guessnet-ifupdown(8) 命令,是被设计作为映射脚本,并提供强力框架来增强ifupdown 系统.

  • iface 节下的每一个网络配置,列出测试条件作为guessnet 选项的值。

  • 映射机制选择第一个没有错误结果的 iface 作为网络配置。

guessnet-ifupdown 使用的映射脚本和 ifupdown的原始网络配置架构,这两种对 "/etc/network/interfaces" 文件的用法,不会造成负面的影响,因为 guessnet 选项仅仅只导出额外的环境变量到 ifupdown 系统运行的脚本。细节参见 guessnet-ifupdown(8).

[注意] 注意

当多个 guessnet 选项行需要在 "/etc/network/interfaces" 里出现时,选项行使用 guessnet1, guessnet2,这类的开头,因为 ifupdown 软件包不允许选项行开头字符串重复。

通用的网络优化超出了本文的范围。我提及消费等级连接相关的主题。


最大传输单元 Maximum Transmission Unit (MTU) 的值能够通过加 "-M do" 选项的 ping(8) 实验来确定,它发送从 1500 字节(对于IP+ICMP 包头,有 28 字节的偏移)大小开始的 ICMP 包,来找出 IP 不分片的最大包大小。

尝试下列例子

$ ping -c 1 -s $((1500-28)) -M do www.debian.org
PING www.debian.org (194.109.137.218) 1472(1500) bytes of data.
From 192.168.11.2 icmp_seq=1 Frag needed and DF set (mtu = 1454)

--- www.debian.org ping statistics ---
0 packets transmitted, 0 received, +1 errors

尝试 1454 代替 1500

你看到用 1454 ping(8) 成功了。

这个过程是 路径 MTU (PMTU) 发现 (RFC1191) , tracepath(8) 命令能够自动完成这个。

[提示] 提示

上面的列子,PMTU 的值是 1454,这是我先前的光纤到户提供商,使用了 异步传输模式 Asynchronous Transfer Mode (ATM) 作为他们的骨干网络,并使用 PPPoE 作为客户端。实际 PMTU 值依赖于你的环境,比如说,我新的光纤到户提供商是 1500。


除了这些基本的指引方法外,你还应当知道下面的信息。

  • 使用任何隧道方式(VPN 等.)的最佳 MTU 需要进一步减去它们上面的头部。

  • MTU 值不应当超过通过实验验证的 PMTU 值。

  • 当遇到其它限制的时候,较大的 MTU 值通常比较好。

这里示例设置 MTU 值,从默认的 1500 设置到 1454.

对于 DHCP (参见 第 5.5.4 节 “使用 DHCP 的网络接口”), 你能够使用下面的方式替换 "/etc/network/interfaces" 文件里 iface 节相关的行.

iface eth0 inet dhcp
 pre-up /sbin/ifconfig $IFACE mtu 1454

对于静态 IP (参见 第 5.5.5 节 “使用静态 IP 地址的网络接口”), 你能够使用下面的方式替换 "/etc/network/interfaces" 文件里 iface 节相关的行.

iface eth0 inet static
 address 192.168.11.100
 netmask 255.255.255.0
 gateway 192.168.11.1
 mtu 1454
 dns-domain example.com
 dns-nameservers 192.168.11.1

对于直接 PPPoE (参见 第 5.4.5 节 “使用 pppoeconf 的 PPPoE 以太网连接”),你能够使用下面的方式替换 "/etc/ppp/peers/dsl-provider" 里 "mtu" 相关的行.

mtu 1454

最大分片大小 (MSS) 是另外一种衡量包大小的方法。MSS 和 MTU 的关系如下.

  • 对于 IPv4, MSS = MTU - 40

  • 对于 IPv6,MSS = MTU - 60

[注意] 注意

基于 iptables(8) (参见 第 5.9 节 “Netfilter 网络过滤框架”) 的优化,能够通过 MSS 来压缩包大小,路由器会用到 MMS 。参见 iptables(8)中的"TCPMSS" .

TCP 吞吐量能够通过调整 TCP 缓冲大小的参数来最大化,对现代大带宽和高延时的 WAN,在 "TCP Tuning Guide" 和 "TCP tuning"里有描述. 到目前为止,当前 Debian 默认设置能够很好的服务好我的 1G bps 光纤到户 LAN 连接。

Netfilter 使用 Linux 内核 模块 (参见 第 3.3.1 节 “内核模块初始化”) 提供 状态防火墙网络地址转换 (NAT) 框架。


netfilter 主要的用户层程序是 iptables(8).你能从 shell 手工交付式的配置 netfilter,使用 iptables-save(8) 保存当前状态,当系统重启时,通过 init 脚本调用 iptables-restore(8) 来恢复。

shorewall 这样的配置帮助脚本能够使这个过程变得更简单。

参见 http://www.netfilter.org/documentation/ 上的文档(或在 "/usr/share/doc/iptables/html/" 里面的文档).

[提示] 提示

虽然这些是为 Linux 2.4 写的,iptables(8) 命令和 netfilter 内核功能都能够在 Linux2.63.x 内核系列实现.


host by nrdoc.com  CDN