章 5. 網絡設置

5.1. 基本網絡架構

讓我們來回顧一下現代Debian作業系統中的基本網絡架構。

表格 5.1. 網絡配置工具一覽表

軟體包	流行度	大小	類型	說明
`network-manager`	V:362, I:427	14799	配置：：NM	NetworkManager（守衛行程）：自動管理網絡
`network-manager-gnome`	V:121, I:353	5570	配置：：NM	NetworkManager（GNOME前端）
`ifupdown`	V:578, I:984	199	配置：：ifupdown	用來啓動/關閉網絡的標準工具（Debian特有）
`isc-dhcp-client`	V:217, I:981	2857	配置：：底層	DHCP客戶端
`pppoeconf`	V:0, I:7	192	配置：：輔助	配置助手，以便於使用PPPoE連接
`wpasupplicant`	V:328, I:485	3851	同上	WPA和WPA2客戶端支援（IEEE 802.11i)
`wpagui`	V:0, I:2	758	同上	wpa_supplicant Qt 圖形界面客戶端
`wireless-tools`	V:163, I:220	292	同上	操控Linux無線擴展的工具
`iw`	V:157, I:453	302	同上	配置 Linux 無線裝置的工具
`iproute2`	V:704, I:958	3514	配置：：iproute2	iproute2, IPv6和其他高級網絡配置：`ip`(8),`tc`(8)等等
`iptables`	V:314, I:890	2408	配置：：Netfilter	封包過濾和網絡地址轉換管理工具（Netfilter）
`iputils-ping`	V:199, I:997	120	測試	測試能否連接遠程主機，通過主機名或IP 地址（iproute2）
`iputils-arping`	V:4, I:57	49	測試	測試能否連接遠程主機，通過ARP地址
`iputils-tracepath`	V:3, I:40	45	測試	跟蹤存取遠程主機的路徑
`ethtool`	V:97, I:278	668	測試	顯示或更改以太網設備的設定
`mtr-tiny`	V:6, I:53	161	測試：：底層	追蹤連接遠程主機的路徑（文本界面）
`mtr`	V:4, I:44	214	同上	追蹤連接遠程主機的路徑（文本界面和GTK界面）
`gnome-nettool`	V:1, I:25	2492	同上	獲得常見網絡資訊的工具（GNOME)
`nmap`	V:25, I:224	4434	同上	網絡映射/端口掃描（Nmap，控制檯）
`zenmap`	V:0, I:2	2939	同上	網絡映射/端口掃描（GTK）
`tcpdump`	V:16, I:196	1332	同上	網絡流量分析（Tcpdump，控制檯）
`wireshark`	I:48	37	同上	網絡流量分析（Wireshark,GTK）
`tshark`	V:2, I:29	403	同上	網絡流量分析(控制檯）
`tcptrace`	V:0, I:2	401	同上	根據`tcpdump`的輸出生成的連接數據統計
`snort`	V:0, I:1	2203	同上	靈活的網絡入侵偵測系統（Snort）
`ntopng`	V:1, I:1	15904	同上	在網頁瀏覽器中展示網絡流量
`dnsutils`	V:26, I:372	259	同上	BIND軟體包提供的網絡客戶端程序：`nslookup`(8),`nsupdate`(8),`dig`(8)
`dlint`	V:0, I:5	53	同上	利用域名服務器查詢來查看DNS域資訊
`dnstracer`	V:0, I:1	61	同上	跟蹤DNS查詢直至源頭

5.1.1. 主機名解析

主機名解析，目前也是由 NSS (名字服務轉換 Name Service Switch) 機制來支援。這個解析的流程如下。

"/etc/nsswitch.conf" 檔案裡的 "hosts: files dns" 這段規定主機名解析順序。 (代替 "/etc/host.conf" 檔案裡的"order" 這段原有的功能。)
files 方式首先被呼叫。如果主機名在 "/etc/hosts" 檔案裡面發現，則回傳所有有效地址並退出。 ( "/etc/host.conf" 檔案包含 "multi on".)
dns 方式被呼叫。如果主機名通過查詢 "/etc/resolv.conf" 檔案裡面寫的網際網路域名系統 Domain Name System (DNS) 來找到，則回傳所有有效地址並退出。

例如, "/etc/hosts" 看起來如下。

127.0.0.1 localhost
127.0.1.1 host_name

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

每一行由 IP 地址開始，接下來是相關聯的主機名.

在這個例子的第二行 127.0.1.1 IP 地址也許不會在其它類 Unix 系統發現。Debian Installer 為沒有永久 IP 地址的系統建立這個條目，作為某些軟體（如 GNOME）的一個變通方法，見文件 bug #719621.

host_name 匹配在"/etc/hostname"裡定義的主機名。

對於有永久 IP 地址的系統，這個永久 IP 地址應當代替這裡的 127.0.1.1。

對於有永久 IP 地址和有域名系統 Domain Name System (DNS)提供完全資格域名 fully qualified domain name (FQDN) 的系統，規範名 host_name.domain_name 應當被用來代替 host_name.

如果 resolvconf 軟體包沒有安裝，"/etc/resolv.conf" 是一個靜態檔案。如果安裝了，它是一個符號連結。此外，它包含有解析策略的初始化資訊。如 DNS 是 IP="192.168.11.1",則包含如下。

nameserver 192.168.11.1

resolvconf 軟體包使這個 "/etc/resolv.conf" 檔案成為一個符號連結，並通過鉤子指令碼自動管理其內容。

對於典型 adhoc 區域網環境下的 PC 工作站，除了基本的 files 和 dns 方式之外，主機名還能夠通過組播 DNS (mDNS, 零配置網路 Zeroconf)進行解析。

Avahi 提供 Debian 下的組播 DNS 發現框架。
它和 Apple Bonjour / Apple Rendezvous 相當.
libnss-mdns 外掛包提供 mDNS 的主機名解析，GNU C 庫 (glibc)的 GNU 名字服務轉換 Name Service Switch (NSS) 功能支援 mDNS。
"/etc/nsswitch.conf" 檔案應當有像 "hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4" 這樣的一段.
".local"結尾的主機名，使用 pseudo-top-level domain (TLD) 來解析.
mDNS IPv4 本地連線組播地址 "224.0.0.251" 或它相應的 IPv6 地址 "FF02::FB" 被用來作為 ".local" 結尾名字的 DNS 查詢。

較老的 Windows 系統安裝 winbind 軟體包來提供舊的 NETBios over TCP/IP 主機名解析。為啟用這個功能，"/etc/nsswitch.conf" 檔案應當有這樣的一段： "hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4 wins"。 (現代 Windows 系統通常使用 dns 方式來進行主機名解析。)

	注意
	域名系統 Domain Name System 中的擴充套件通用頂級域名 expansion of generic Top-Level Domains (gTLD) 還在進行中。在區域網內，選擇一個域名時，請提防名字衝突 name collision。

5.1.2. 網路介面名稱

systemd 使用"enp0s25" 之類的 "可預測網路介面名稱"。

5.1.3. 區域網網路地址範圍

讓我們重新提醒下在 rfc1918 裡規定的區域網 local area networks (LANs)IPv4 32 位地址在各類地址的保留範圍. 這些地址保證不會與因特網上專有的地址衝突。

	注意
	IP 地址書寫中有冒號的是 IPv6 地址，例如，"`::1`" 是 `localhost 本地主機`。

表格 5.2. 網路地址範圍列表

類別	網路地址	子網掩碼	子網掩碼/位數	子網數
A	10.x.x.x	255.0.0.0	/8	1
B	172.16.x.x — 172.31.x.x	255.255.0.0	/16	16
C	192.168.0.x — 192.168.255.x	255.255.255.0	/24	256

	注意
	如果這些地址分配到一個主機，那麼這個主機一定不能夠直接存取網際網路，必須通過一個作為閘道器的代理服務或通過網路地址轉換 Network Address Translation (NAT). 消費區域網環境，寬頻路由器通常使用 NAT。

5.1.4. 網路裝置支援

儘管 Debian 系統支援大多數硬體裝置，但依舊有一些網路裝置需要 DFSG non-free 韌體來支援它們。參見節 9.10.5, “硬體驅動和韌體”。

5.2. 現代的桌面網路配置

對於使用 systemd 的現代 Debian 桌面系統，網路介面通常由兩個服務進行初始化：lo 介面通常在“networking.service”處理，而其它介面則由“NetworkManager.service”處理。

Debian 可以透過後臺守護程序（daemon）管理軟體來管理網路連線，例如 NetworkManager (NM)（network-manager 和相關軟體包）。

它們有自己的 GUI 和指令列程式來作為使用者介面。
它們有自己的後臺背景程式（daemon）作為它們的系統後端。
它們使你可以簡單地將系統連線到網路。
它們使你可以簡單地管理有線和無線網路的配置。
它們允許你配置網路而不依賴傳統的 ifupdown 軟體包。

	注意
	不要在伺服器上使用這些自動網路配置工具。它們主要針對於膝上型電腦上的移動桌面使用者。

這些現代的網路配置工具需要進行適當的配置，以避免與傳統 ifupdown 軟體包發生衝突，它的配置檔案位於 “/etc/network/interfaces”。

5.2.1. 圖形介面的網路配置工具

Debian 系統 NM 的官方文件位於 “/usr/share/doc/network-manager/README.Debian” 。

本質上，如下操作即可完成桌面的網路配置。

通過下列指令使桌面使用者 foo 歸屬 “netdev” 組（另外，例如 GNOME 和 KDE 這樣的現代桌面環境會通過 D-bus 自動完成該操作）。
```
$ sudo adduser foo netdev
```
使 “/etc/network/interfaces” 的配置保持下面那樣簡潔。
```
auto lo
iface lo inet loopback
```

透過下列命令重新啟動 NM。

$ sudo systemctl restart network-manager

通過圖形介面配置網路。

	注意
	只有不列在 “`/etc/network/interfaces`” 中的介面會被 NM 管理，以避免與 `ifupdown` 的衝突。

	提示
	如果你想擴充套件 NM 的網路配置功能，請尋找適當的外掛模組和補充軟體包，例如 `network-manager-openconnect`、`network-manager-openvpn-gnome`、`network-manager-pptp-gnome`、`mobile-broadband-provider-info`、`gnome-bluetooth` 等等。

5.3. 沒有影象介面的現代網路配置

使用 systemd 的系統中，可以在 /etc/systemd/network/ 裡配置網路。參見 systemd-resolved(8)、resolved.conf(5) 和 systemd-networkd(8)。

這個允許在沒有影象介面的情況下配置現代網路。

DHCP 客戶端的配置可以透過建立 "/etc/systemd/network/dhcp.network" 檔案來進行設定。例如：

[Match]
Name=en*

[Network]
DHCP=yes

一個靜態網路配置能夠透過建立 "/etc/systemd/network/static.network" 來設定.比如：

[Match]
Name=en*

[Network]
Address=192.168.0.15/24
Gateway=192.168.0.1

5.4. 底層網路配置

在 Linux 上的底層網路配置，使用 iproute2 程式 (ip(8), …) .

5.4.1. Iproute2 指令

Iproute2 指令集提供完整的底層網路配置能力。有個從舊的 net-tools 指令集到新的 iproute2 指令集的轉換表。

表格 5.3. 從舊的 net-tools 指令集到新的 iproute2 指令集轉換表

舊的 net-tools	新的 iproute2	操作
`ifconfig`(8)	`ip addr`	一個裝置上的協議（IP 或 IPv6）地址
`route`(8)	`ip route`	路由表條目
`arp`(8)	`ip neigh`	ARP 或 NDISC 快取條目
`ipmaddr`	`ip maddr`	多播地址
`iptunnel`	`ip tunnel`	IP 隧道
`nameif`(8)	`ifrename`(8)	基於 MAC 地址的網路介面名
`mii-tool`(8)	`ethtool`(8)	乙太網路裝置設定

參見 ip(8) 和 IPROUTE2 工具套件 Howto.

5.4.2. 安全的底層網路操作

你可以按下面的方式安全的使用底層網路指令，這些指令不會改變網路配置。

表格 5.4. 底層網路指令列表

指令	說明
`ip addr show`	顯示活動的網路介面連線和地址狀態
`route -n`	用數字地址顯示全部路由表
`ip route show`	用數字地址顯示全部路由表
`arp`	顯示當前 ARP 快取表的內容
`ip neigh`	顯示當前 ARP 快取表的內容
`plog`	顯示 ppp 後臺背景程式（daemon）日誌
`ping yahoo.com`	檢查到 "`yahoo.com`" 的因特網連線
`whois yahoo.com`	在域名資料庫裡面檢查誰註冊了 "`yahoo.com`"
`traceroute yahoo.com`	跟蹤到 "`yahoo.com`" 的因特網連線
`tracepath yahoo.com`	跟蹤到 "`yahoo.com`" 的因特網連線
`mtr yahoo.com`	跟蹤到 "`yahoo.com`" 的因特網連線（重複的）
`dig [@dns-server.com] example.com [{a\|mx\|any}]`	查詢由 "`dns-server.com`" 提供服務的 "`example.com`" 域名的 DNS 記錄： "`a`", "`mx`" 或 "`any`" 記錄
`iptables -L -n`	檢視包過濾
`netstat -a`	找出所有開啟的埠
`netstat -l --inet`	找出監聽埠
`netstat -ln --tcp`	找出 TCP 監聽埠（數字的）
`dlint example.com`	查詢 "`example.com`" 的 DNS zone 資訊

	提示
	部分底層網路配置工具放在 "`/sbin/`" 目錄。你可以像 "`/sbin/ifconfig`" 這樣使用完整指令路徑，或把 "`/sbin`" 加到 "`~/.bashrc`" 檔案列出的 "`$PATH`" 環境變數裡。

5.5. 網路最佳化

通用的網路優化超出了本文的範圍。我提及消費等級連線相關的主題。

表格 5.5. 網路最佳化工具清單

軟體包	流行度	大小	說明
`iftop`	V:6, I:114	93	顯示一個網路介面上的頻寬使用資訊
`iperf`	V:3, I:50	349	網際網路協議頻寬測量工具
`ifstat`	V:0, I:8	59	介面統計監控
`bmon`	V:1, I:18	144	行動式頻寬監視器和網速估計工具
`ethstatus`	V:0, I:4	40	快速測量網路裝置吞吐的指令碼
`bing`	V:0, I:1	80	實驗性的隨機頻寬測試器
`bwm-ng`	V:1, I:16	95	小巧簡單的控制檯頻寬監測器
`ethstats`	V:0, I:0	23	基於控制檯的乙太網路統計監視器
`ipfm`	V:0, I:0	78	頻寬分析工具

5.5.1. 找出最佳 MTU

網路管理器通常會自動設定最佳最大傳輸單元 (MTU) 。

在一些場景中，在用 ping(8) 加上"-M do"選項傳送各種大小的 ICMP 報文資料包進行實驗後，你希望可以手動設定 MTU。MTU 是最大可完成沒有 IP 分片的資料包大小加上 28 位元組（IPv4）或 48 位元組（IPv6）。下面的列子，發現 IPv4 連線的 MTU 是 1460，IPv6 連線的 MTU 是 1500。

$ ping -4 -c 1 -s $((1500-28)) -M do www.debian.org
PING  (149.20.4.15) 1472(1500) bytes of data.
ping: local error: message too long, mtu=1460

---  ping statistics ---
1 packets transmitted, 0 received, +1 errors, 100% packet loss, time 0ms

$ ping -4 -c 1 -s $((1460-28)) -M do www.debian.org
PING  (130.89.148.77) 1432(1460) bytes of data.
1440 bytes from klecker-misc.debian.org (130.89.148.77): icmp_seq=1 ttl=50 time=325 ms

---  ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 325.318/325.318/325.318/0.000 ms
$ ping -6 -c 1 -s $((1500-48)) -M do www.debian.org
PING www.debian.org(mirror-csail.debian.org (2603:400a:ffff:bb8::801f:3e)) 1452 data bytes
1460 bytes from mirror-csail.debian.org (2603:400a:ffff:bb8::801f:3e): icmp_seq=1 ttl=47 time=191 ms

--- www.debian.org ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 191.332/191.332/191.332/0.000 ms

這個過程是路徑 MTU (PMTU) 發現 (RFC1191) ， tracepath(8) 指令能夠自動完成這個。

表格 5.6. 最佳 MTU 值的基本指引方法

網路環境	MTU	基本原理
撥號連線(IP: PPP)	576	標準的
乙太網路連線 (IP: DHCP 或固定)	1500	預設標準值

除了這些基本的指引方法外，你還應當知道下面的資訊。

使用任何隧道方式(VPN 等.)的最佳 MTU 需要進一步減去它們上面的頭部。
MTU 值不應當超過通過實驗驗證的 PMTU 值。
當遇到其它限制的時候，較大的 MTU 值通常比較好。

最大分片大小 (MSS) 是另外一種衡量包大小的方法。MSS 和 MTU 的關係如下.

對於 IPv4， MSS = MTU - 40
對於 IPv6，MSS = MTU - 60

	注意
	基於 `iptables`(8) (參見節 5.6, “Netfilter 網路過濾框架”) 的優化，能夠通過 MSS 來壓縮包大小，路由器會用到 MMS 。參見 `iptables`(8)中的"TCPMSS" .

5.5.2. WAN TCP 最佳化

TCP 吞吐量能夠通過調整 TCP 緩衝大小的參數來最大化，對現代大頻寬和高延時的 WAN，在 "TCP Tuning Guide" 和 "TCP tuning"裡有描述. 到目前為止，當前 Debian 預設設定能夠很好的服務好我的 1G bps 光纖到戶 LAN 連線。

5.6. Netfilter 網路過濾框架

Netfilter 使用 Linux 核心模組 (參見節 3.8.1, “核心模組初始化”) 提供狀態防火牆和網路地址轉換 (NAT) 框架。

表格 5.7. 防火牆工具列表

軟體包	流行度	大小	說明
`iptables`	V:314, I:890	2408	netfilter 管理工具(`iptables`(8) 用於 IPv4, `ip6tables`(8) 用於 IPv6)
`arptables`	V:0, I:2	100	netfilter 管理工具(`arptables`(8) 用於 ARP)
`ebtables`	V:13, I:31	264	netfilter 管理工具 (`ebtables`(8) 用於乙太網路橋)
`iptstate`	V:0, I:3	119	持續性監控 netfilter 狀態 (和 `top`(1) 相似)
`shorewall-init`	V:0, I:0	68	Shoreline 防火牆初始化
`shorewall`	V:3, I:10	2458	Shoreline 防火牆, netfilter 配置檔案生成器
`shorewall-lite`	V:0, I:0	65	Shoreline 防火牆, netfilter 配置檔案生成器 (精簡版)
`shorewall6`	V:1, I:2	779	Shoreline 防火牆, netfilter 配置檔案生成器(IPv6 版本)
`shorewall6-lite`	V:0, I:0	64	Shoreline 防火牆, netfilter 配置檔案生成器 (IPv6,精簡版)

netfilter 主要的使用者層程式是 iptables(8).你能從 shell 手工交付式的配置 netfilter，使用 iptables-save(8) 儲存當前狀態,當系統重啟時，通過 init 指令碼呼叫 iptables-restore(8) 來恢復。

像 shorewall 這樣的配置幫助指令碼能夠使這個過程變得更簡單。

參見 http://www.netfilter.org/documentation/ 上的文件(或在 "/usr/share/doc/iptables/html/" 裡面的文件).

	提示
	雖然這些是為 Linux 2.4 寫的,`iptables`(8) 指令和 netfilter 核心功能都能夠在 Linux2.6 和 3.x 核心系列實現.

	提示
	關於Debian專屬的網絡手冊，請查看Debian管理員手冊—網絡配置。

	提示
	systemd環境下，可以用networkd來配置網絡。請參考`systemd-networkd`(8)。


章 4. 認證和訪問控制		章 6. 網路應用