| 第 5 章 網絡設置 | ||
|---|---|---|
 |
 |
|
| 第 5 章 網絡設置 | ||
|---|---|---|
| |
|
|
目录
![[提示]](images/tip.png)
|
提示 |
|---|---|
|
關於Debian專屬的網絡手冊,請查看Debian管理員手冊—網絡配置。 |
讓我們來回顧一下現代Debian操作系統中的基本網絡架構。
表 5.1. 網絡配置工具一覽表
| 軟件包 | 流行度 | 大小 | 類型 | 說明 |
|---|---|---|---|---|
network-manager
|
V:373, I:444 | 15443 | 配置::NM | NetworkManager(守衛進程):自動管理網絡 |
network-manager-gnome
|
V:130, I:374 | 5345 | 配置::NM | NetworkManager(GNOME前端) |
ifupdown
|
V:590, I:988 | 218 | 配置::ifupdown | 用來啓動/關閉網絡的標準工具(Debian特有) |
isc-dhcp-client
|
V:220, I:982 | 686 | 配置::底層 | DHCP客戶端 |
pppoeconf
|
V:0, I:7 | 192 | 配置::輔助 | 配置助手,以便於使用PPPoE連接 |
wpasupplicant
|
V:340, I:508 | 3431 | 同上 | WPA和WPA2客戶端支持(IEEE 802.11i) |
wpagui
|
V:0, I:2 | 796 | 同上 | wpa_supplicant Qt 圖形界面客戶端 |
wireless-tools
|
V:178, I:242 | 297 | 同上 | 操控Linux無線擴展的工具 |
iw
|
V:252, I:483 | 294 | 同上 | 配置 Linux 無線裝置的工具 |
iproute2
|
V:696, I:945 | 3248 | 配置::iproute2 | iproute2,
IPv6和其他高級網絡配置:ip(8),tc(8)等等 |
iptables
|
V:302, I:959 | 2521 | 配置::Netfilter | 封包過濾和網絡地址轉換管理工具(Netfilter) |
iputils-ping
|
V:211, I:997 | 113 | 測試 | 測試能否連接遠程主機,通過主機名或IP 地址(iproute2) |
iputils-arping
|
V:6, I:87 | 55 | 測試 | 測試能否連接遠程主機,通過ARP地址 |
iputils-tracepath
|
V:3, I:49 | 72 | 測試 | 跟蹤訪問遠程主機的路徑 |
ethtool
|
V:95, I:264 | 627 | 測試 | 顯示或更改以太網設備的設定 |
mtr-tiny
|
V:5, I:53 | 160 | 測試::底層 | 追蹤連接遠程主機的路徑(文本界面) |
mtr
|
V:4, I:43 | 214 | 同上 | 追蹤連接遠程主機的路徑(文本界面和GTK界面) |
gnome-nettool
|
V:1, I:34 | 2110 | 同上 | 獲取常見網絡信息的工具(GNOME) |
nmap
|
V:28, I:234 | 4509 | 同上 | 網絡映射/端口掃描(Nmap,控制檯) |
zenmap
|
V:0, I:5 | 2939 | 同上 | 網絡映射/端口掃描(GTK) |
tcpdump
|
V:18, I:196 | 1330 | 同上 | 網絡流量分析(Tcpdump,控制檯) |
wireshark
|
I:52 | 148 | 同上 | 網絡流量分析(Wireshark,GTK) |
tshark
|
V:2, I:31 | 501 | 同上 | 網絡流量分析(控制檯) |
tcptrace
|
V:0, I:2 | 401 | 同上 | 根據tcpdump的輸出生成的連接數據統計 |
snort
|
V:0, I:1 | 2206 | 同上 | 靈活的網絡入侵偵測系統(Snort) |
ntopng
|
V:1, I:1 | 969 | 同上 | 在網頁瀏覽器中展示網絡流量 |
dnsutils
|
V:44, I:443 | 272 | 同上 | BIND軟件包提供的網絡客戶端程序:nslookup(8),nsupdate(8),dig(8) |
dlint
|
V:0, I:6 | 53 | 同上 | 利用域名服務器查詢來查看DNS域信息 |
dnstracer
|
V:0, I:1 | 60 | 同上 | 跟蹤DNS查詢直至源頭 |
主機名解析,目前也是由 NSS (名字服務轉換 Name Service Switch) 機制來支援。這個解析的流程如下。
"/etc/nsswitch.conf" 檔案裡的 "hosts: files
dns" 這段規定主機名解析順序。 (代替 "/etc/host.conf"
檔案裡的"order" 這段原有的功能。)
files 方式首先被呼叫。如果主機名在 "/etc/hosts"
檔案裡面發現,則返回所有有效地址並退出。 ( "/etc/host.conf" 檔案包含
"multi on".)
dns 方式被呼叫。如果主機名通過查詢 "/etc/resolv.conf"
檔案裡面寫的 網際網路域名系統 Domain Name
System (DNS) 來找到,則返回所有有效地址並退出。
例如, "/etc/hosts" 看起來如下。
127.0.0.1 localhost
127.0.1.1 host_name
# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
在這個例子的第二行 127.0.1.1 IP 地址也許不會在其它類 Unix 系統發現。Debian Installer 為沒有永久 IP
地址的系統建立這個條目,作為某些軟體(如 GNOME)的一個變通方法,見文件 bug
#719621.
host_name 匹配在"/etc/hostname"裡定義的主機名。
對於有永久 IP 地址的系統,這個永久 IP 地址應當代替這裡的 127.0.1.1。
對於有永久 IP 地址和有 域名系統 Domain Name System (DNS)提供完全資格域名 fully qualified domain name (FQDN) 的系統,規範名 host_name.domain_name 應當被用來代替 host_name.
如果 resolvconf
軟體包沒有安裝,"/etc/resolv.conf"
是一個靜態檔案。如果安裝了,它是一個符號連結。此外,它包含有解析策略的初始化資訊。如 DNS 是
IP="192.168.11.1",則包含如下。
nameserver 192.168.11.1
resolvconf 軟體包使這個 "/etc/resolv.conf"
檔案成為一個符號連結,並通過鉤子指令碼自動管理其內容。
對於典型 adhoc 區域網環境下的 PC 工作站,除了基本的 files 和
dns 方式之外,主機名還能夠通過組播 DNS (mDNS, 零配置網路 Zeroconf)進行解析。
Avahi 提供 Debian 下的組播 DNS 發現框架。
libnss-mdns 外掛包提供 mDNS 的主機名解析,GNU C 庫 (glibc)的 GNU 名字服務轉換
Name Service Switch (NSS) 功能支援 mDNS。
"/etc/nsswitch.conf" 檔案應當有像 "hosts: files
mdns4_minimal [NOTFOUND=return] dns mdns4" 這樣的一段.
".local"結尾的主機名,使用 pseudo-top-level domain (TLD) 來解析.
mDNS IPv4 本地連線組播地址 "224.0.0.251" 或它相應的 IPv6 地址
"FF02::FB" 被用來作為 ".local" 結尾名字的 DNS
查詢。
較老的 Windows 系統安裝 winbind 軟體包來提供舊的 NETBios over TCP/IP
主機名解析。為啟用這個功能,"/etc/nsswitch.conf" 檔案應當有這樣的一段:
"hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4
wins"。 (現代 Windows 系統通常使用 dns 方式來進行主機名解析。)
![[注意]](images/note.png)
|
注意 |
|---|---|
|
域名系統 Domain Name System 中的擴充套件通用頂級域名 expansion of generic Top-Level Domains (gTLD) 還在進行中。在區域網內,選擇一個域名時,請提防名字衝突 name collision。 |
讓我們重新提醒下在 rfc1918 裡規定的區域網 local area networks (LANs)IPv4 32 位地址在各類地址的保留範圍. 這些地址保證不會與因特網上專有的地址衝突。
|
|
注意 |
|---|---|
|
IP 地址書寫中有冒號的是 IPv6
地址,例如," |
表 5.2. 網路地址範圍列表
| 類別 | 網路地址 | 子網掩碼 | 子網掩碼/位數 | 子網數 |
|---|---|---|---|---|
| A | 10.x.x.x | 255.0.0.0 | /8 | 1 |
| B | 172.16.x.x — 172.31.x.x | 255.255.0.0 | /16 | 16 |
| C | 192.168.0.x — 192.168.255.x | 255.255.255.0 | /24 | 256 |
|
|
注意 |
|---|---|
|
如果這些地址分配到一個主機,那麼這個主機一定不能夠直接訪問網際網路,必須通過一個作為閘道器的代理服務或通過 網路地址轉換 Network Address Translation (NAT). 消費區域網環境,寬頻路由器通常使用 NAT。 |
儘管 Debian 系統支援大多數硬體裝置,但依舊有一些網路裝置需要 DFSG non-free 韌體來支援它們。參見 第 9.10.5 节 “硬體驅動和韌體”。
對於使用 systemd 的現代 Debian
桌面系統,網路介面通常由兩個服務進行初始化:lo
介面通常在“networking.service”處理,而其它介面則由“NetworkManager.service”處理。
Debian 可以透過後臺守護程序(daemon)管理軟體來管理網路連線,例如 NetworkManager (NM)(network-manager 和相關軟體包)。
它們有自己的 GUI 和命令列程式來作為使用者介面。
它們有自己的後臺守護程序(daemon)作為它們的系統後端。
它們使你可以簡單地將系統連線到網路。
它們使你可以簡單地管理有線和無線網路的配置。
它們允許你配置網路而不依賴傳統的 ifupdown 軟體包。
|
|
注意 |
|---|---|
|
不要在伺服器上使用這些自動網路配置工具。它們主要針對於膝上型電腦上的移動桌面使用者。 |
這些現代的網路配置工具需要進行適當的配置,以避免與傳統 ifupdown 軟體包發生衝突,它的配置檔案位於
“/etc/network/interfaces”。
Debian 系統 NM 的官方文件位於
“/usr/share/doc/network-manager/README.Debian” 。
本質上,如下操作即可完成桌面的網路配置。
通過下列命令使桌面使用者 foo 歸屬 “netdev” 組(另外,例如
GNOME 和 KDE 這樣的現代桌面環境會通過 D-bus 自動完成該操作)。
$ sudo adduser foo netdev
使 “/etc/network/interfaces” 的配置保持下面那樣簡潔。
auto lo iface lo inet loopback
透過下列命令重新啟動 NM。
$ sudo systemctl restart network-manager
通過圖形介面配置網路。
|
|
注意 |
|---|---|
|
只有不列在
“ |
|
|
提示 |
|---|---|
|
如果你想擴充套件 NM 的網路配置功能,請尋找適當的外掛模組和補充軟體包,例如
|
使用 systemd 的系統中,可以在
/etc/systemd/network/ 裡配置網路。參見
systemd-resolved(8)、resolved.conf(5) 和
systemd-networkd(8)。
這個允許在沒有影象介面的情況下配置現代網路。
DHCP 客戶端的配置可以透過建立 "/etc/systemd/network/dhcp.network"
檔案來進行設定。例如:
[Match] Name=en* [Network] DHCP=yes
一個靜態網路配置能夠透過建立 "/etc/systemd/network/static.network"
來設定.比如:
[Match] Name=en* [Network] Address=192.168.0.15/24 Gateway=192.168.0.1
在 Linux 上的底層網路配置,使用 iproute2 程式
(ip(8), …) .
Iproute2 命令集提供完整的底層網路配置能力。有個從舊的 net-tools 命令集到新的 iproute2 命令集的轉換表。
表 5.3. 從舊的 net-tools 命令集到新的 iproute2 命令集轉換表
| 舊的 net-tools | 新的 iproute2 | 操作 |
|---|---|---|
ifconfig(8) |
ip addr |
一個裝置上的協議(IP 或 IPv6)地址 |
route(8) |
ip route |
路由表條目 |
arp(8) |
ip neigh |
ARP 或 NDISC 快取條目 |
ipmaddr |
ip maddr |
多播地址 |
iptunnel |
ip tunnel |
IP 隧道 |
nameif(8) |
ifrename(8) |
基於 MAC 地址的網路介面名 |
mii-tool(8) |
ethtool(8) |
乙太網裝置設定 |
參見 ip(8) 和 IPROUTE2 工具套件 Howto.
你可以按下面的方式安全的使用底層網路命令,這些命令不會改變網路配置。
表 5.4. 底層網路命令列表
| 命令 | 說明 |
|---|---|
ip addr show |
顯示活動的網路介面連線和地址狀態 |
route -n |
用數字地址顯示全部路由表 |
ip route show |
用數字地址顯示全部路由表 |
arp |
顯示當前 ARP 快取表的內容 |
ip neigh |
顯示當前 ARP 快取表的內容 |
plog |
顯示 ppp 後臺守護程序(daemon)日誌 |
ping yahoo.com |
檢查到 "yahoo.com" 的因特網連線 |
whois yahoo.com |
在域名資料庫裡面檢查誰註冊了 "yahoo.com" |
traceroute yahoo.com |
跟蹤到 "yahoo.com" 的因特網連線 |
tracepath yahoo.com |
跟蹤到 "yahoo.com" 的因特網連線 |
mtr yahoo.com |
跟蹤到 "yahoo.com" 的因特網連線(重複的) |
dig [@dns-server.com] example.com [{a|mx|any}] |
查詢由 "dns-server.com" 提供服務的
"example.com" 域名的 DNS 記錄:
"a", "mx" 或 "any"
記錄 |
iptables -L -n |
檢視包過濾 |
netstat -a |
找出所有開啟的埠 |
netstat -l --inet |
找出監聽埠 |
netstat -ln --tcp |
找出 TCP 監聽埠(數字的) |
dlint example.com |
查詢 "example.com" 的 DNS zone 資訊 |
|
|
提示 |
|---|---|
|
部分底層網路配置工具放在 " |
通用的網路優化超出了本文的範圍。我提及消費等級連線相關的主題。
表 5.5. 網路優化工具列表
| 軟件包 | 流行度 | 大小 | 說明 |
|---|---|---|---|
iftop
|
V:7, I:112 | 97 | 顯示一個網路介面上的頻寬使用資訊 |
iperf
|
V:3, I:52 | 305 | 網際網路協議頻寬測量工具 |
ifstat
|
V:0, I:8 | 60 | 介面統計監控 |
bmon
|
V:1, I:17 | 146 | 行動式頻寬監視器和網速估計工具 |
ethstatus
|
V:0, I:4 | 40 | 快速測量網路裝置吞吐的指令碼 |
bing
|
V:0, I:1 | 80 | 實驗性的隨機頻寬測試器 |
bwm-ng
|
V:1, I:17 | 90 | 小巧簡單的控制檯頻寬監測器 |
ethstats
|
V:0, I:0 | 23 | 基於控制檯的乙太網統計監視器 |
ipfm
|
V:0, I:0 | 78 | 頻寬分析工具 |
最大傳輸單元 Maximum Transmission Unit
(MTU) 的值能夠通過加 "-M do" 選項的
ping(8) 實驗來確定,它傳送從 1500 位元組(對於IP+ICMP 包頭,有 28
位元組的偏移)大小開始的 ICMP 包,來找出 IP 不分片的最大包大小。
嘗試下列例子
$ ping -c 1 -s $((1500-28)) -M do www.debian.org PING www.debian.org (194.109.137.218) 1472(1500) bytes of data. From 192.168.11.2 icmp_seq=1 Frag needed and DF set (mtu = 1454) --- www.debian.org ping statistics --- 0 packets transmitted, 0 received, +1 errors
嘗試 MTU=1454 代替 MTU=1500
你看到用 MTU=1454 ping(8) 成功了。
如果 MTU 不是 1500,你可能想在 NM 裡面配置 MTU 設定。
這個過程是 路徑 MTU (PMTU) 發現 (RFC1191) , tracepath(8)
命令能夠自動完成這個。
|
|
提示 |
|---|---|
|
上面的列子,PMTU 的值是 1454,這是我先前的光纖到戶提供商,使用了 非同步傳輸模式 Asynchronous Transfer Mode (ATM) 作為他們的骨幹網路,並使用 PPPoE 作為客戶端。實際 PMTU 值依賴於你的環境,比如說,我新的光纖到戶提供商是 1500。 |
表 5.6. 最佳 MTU 值的基本指引方法
| 網路環境 | MTU | 基本原理 |
|---|---|---|
| 撥號連線(IP: PPP) | 576 | 標準的 |
| 乙太網連線 (IP: DHCP 或固定) | 1500 | 預設標準值 |
| 乙太網連線 (IP: PPPoE) | 1492 (=1500-8) | PPP 頭部 2 位元組 和 PPPOE 頭部 6 位元組 |
| 乙太網連線 (ISP 骨幹網: ATM, IP: DHCP 或固定 IP) | 1462 (=48*31-18-8) | 作者推斷:18 位元組的乙太網頭,8位元組 SAR 尾(譯註:SAR 為 ATM 技術名詞) |
| 乙太網連線 (ISP 骨幹: ATM, IP: PPPoE) | 1454 (=48*31-8-18-8) | 作者推斷:18 位元組的乙太網頭,8 位元組 SAR 尾(譯註:SAR 為 ATM 技術名詞),2 位元組 PPP 頭和 6 位元組 PPPoE 頭 |
除了這些基本的指引方法外,你還應當知道下面的資訊。
使用任何隧道方式(VPN 等.)的最佳 MTU 需要進一步減去它們上面的頭部。
MTU 值不應當超過通過實驗驗證的 PMTU 值。
當遇到其它限制的時候,較大的 MTU 值通常比較好。
最大分片大小 (MSS) 是另外一種衡量包大小的方法。MSS 和 MTU 的關係如下.
對於 IPv4, MSS = MTU - 40
對於 IPv6,MSS = MTU - 60
|
|
注意 |
|---|---|
|
基於 |
TCP 吞吐量能夠通過調整 TCP 緩衝大小的引數來最大化,對現代大頻寬和高延時的 WAN,在 "TCP Tuning Guide" 和 "TCP tuning"裡有描述. 到目前為止,當前 Debian 預設設定能夠很好的服務好我的 1G bps 光纖到戶 LAN 連線。
Netfilter 使用 Linux 核心 模組 (參見 第 3.8.1 节 “核心模組初始化”) 提供 狀態防火牆 和 網路地址轉換 (NAT) 框架。
表 5.7. 防火牆工具列表
| 軟件包 | 流行度 | 大小 | 說明 |
|---|---|---|---|
iptables
|
V:302, I:959 | 2521 | netfilter
管理工具(iptables(8) 用於 IPv4, ip6tables(8)
用於 IPv6) |
arptables
|
V:0, I:2 | 96 | netfilter
管理工具(arptables(8) 用於 ARP) |
ebtables
|
V:15, I:34 | 265 | netfilter 管理工具
(ebtables(8) 用於乙太網橋) |
iptstate
|
V:0, I:3 | 116 | 持續性監控 netfilter 狀態 (和
top(1) 相似) |
shorewall-init
|
V:0, I:0 | 68 | Shoreline 防火牆 初始化 |
shorewall
|
V:4, I:11 | 2458 | Shoreline 防火牆, netfilter 配置檔案生成器 |
shorewall-lite
|
V:0, I:0 | 65 | Shoreline 防火牆, netfilter 配置檔案生成器 (精簡版) |
shorewall6
|
V:1, I:2 | 779 | Shoreline 防火牆, netfilter 配置檔案生成器(IPv6 版本) |
shorewall6-lite
|
V:0, I:0 | 64 | Shoreline 防火牆, netfilter 配置檔案生成器 (IPv6,精簡版) |
netfilter 主要的使用者層程式是
iptables(8).你能從 shell 手工交付式的配置 netfilter,使用 iptables-save(8)
儲存當前狀態,當系統重啟時,通過 init 指令碼呼叫 iptables-restore(8) 來恢復。
像 shorewall 這樣的配置幫助指令碼能夠使這個過程變得更簡單。
參見 http://www.netfilter.org/documentation/
上的文件(或在 "/usr/share/doc/iptables/html/" 裡面的文件).
|
|
提示 |
|---|---|
|
雖然這些是為 Linux 2.4
寫的, |
| |
|
|
| 第 4 章 認證和訪問控制 |
|
第 6 章 網路應用 |