BEZEICHNUNG¶
systemd.netdev - Konfiguration des virtuellen Netzgerätes
BESCHREIBUNG¶
Netzeinrichtung wird durch systemd-networkd(8) durchgeführt.
Das Hauptdatei für das virtuelle Netzwerkgerät muss
die Endung »&.netdev« haben, andere Endungen werden
ignoriert. Virtuelle Netzwerkgeräte werden erstellt, sobald Networkd
gestartet wird. Falls ein Netdev mit dem festgelegten Namen bereits
existiert, wird Networkd es wie vorhanden benutzen, anstelle sein eigenes zu
erstellen. Beachten Sie, dass Einstellungen von bereits existierenden Netdev
durch Networkd nicht geändert werden.
Die Dateien .netdev werden aus Dateien, die sich im
Systemnetzwerkverzeichnis /lib/systemd/network, dem flüchtigen
Laufzeitnetzwerkverzeichnis /run/systemd/network und dem lokal
administrierten Netzwerkverzeichnis /etc/systemd/network befinden, gelesen.
Alle Konfigurationsdateien werden gemeinsam sortiert und in lexikalischer
Reihenfolge verarbeitet, unabhängig von den Verzeichnissen, in denen
sie sich befinden. Allerdings ersetzen Dateinamen mit lexikalisch
identischen Dateinamen einander. Dateien in /etc haben die höchste
Priorität, Dateien in /run haben Vorrang vor Dateien mit dem gleichen
Namen in /lib. Dies kann, falls notwendig, zum Außerkraftsetzen von
systembereitgestellten Konfigurationsdateinamen durch lokale Dateien
verwandt werden. Als Spezialfall deaktiviert eine leere Datei
(Dateigröße 0) oder ein Symlink auf /dev/null mit dem gleichen
Namen die Konfigurationsdatei komplett (sie ist
»maskiert«).
Zusammen mit der Netdev-Datei foo.netdev kann ein
»Ergänzungs«-Verzeichnis foo.netdev.d/ existieren. Alle
Dateien mit der Endung ».conf« aus diesem Verzeichnis werden
ausgewertet, nachdem die Datei selbst ausgewertet wurde. Dies ist
nützlich, um die Konfigurationseinstellungen zu ändern oder zu
ergänzen, ohne die Hauptkonfigurationsdatei selbst zu
verändern. Jede Ergänzungsdatei muss über geeignete
Abschnittkopfzeilen verfügen.
Zusätzlich zu /etc/systemd/network können
Ergänzungs-».d«-Verzeichnisse in die Verzeichnisse
/lib/systemd/network oder /run/systemd/network abgelegt werden.
Ergänzungsdateien in /etc haben Vorrang vor denen in /run, die
wiederum Vorrang vor denen in /lib haben. Ergänzungsdateien unter all
diesen Verzeichnissen haben Vorrang vor der Haupt-Netdev-Datei, wo auch
immer sich diese befindet. (Da /run temporär und /usr/lib für
Lieferanten ist, ist es natürlich unwahrscheinlich, dass
Ergänzungsverzeichnisse an einer der beiden Orte verwandt werden
sollten.)
UNTERSTÜTZTE NETDEV-ARTEN¶
Die folgenden Arten von virtuellen Netzwerkgeräten können in
.netdev-Dateien konfiguriert werden:
Tabelle 1. Unterstützte Arten von
virtuellen Netzwerkgeräten
Art |
Beschreibung |
bond |
A bond device is an aggregation of all its slave devices. See Linux
Ethernet Bonding Driver HOWTO[1] for details.Local configuration |
bridge |
A bridge device is a software switch, and each of its slave devices and
the bridge itself are ports of the switch. |
dummy |
Ein Pseudogerät, das alle an ihn gesandte Paket verwirft. |
gre |
Ein Stufe-3-GRE-Tunnel über IPv4. Siehe RFC 2784[2]
für Details. |
gretap |
Ein Stufe-2-GRE-Tunnel über IPv4. |
ip6gre |
Ein Stufe-3-GRE-Tunnel über IPv6. |
ip6tnl |
Ein IPv4- oder IPv6-Tunnel über IPv6 |
ip6gretap |
Ein Stufe-2-GRE-Tunnel über IPv6. |
ipip |
Ein IPv4-über-IPv4-Tunnel. |
ipvlan |
Ein ipvlan-Gerät ist ein gestapeltes Gerät, das basierend
auf IP-Adressfilterung Pakete von seinem unterliegenden Gerät
bekommt. |
macvlan |
Ein macvlan-Gerät ist ein gestapeltes Gerät, das basierend
auf MAC-Adressfilterung Pakete von seinem unterliegenden Gerät
bekommt. |
macvtap |
Ein macvtap-Gerät ist ein gestapeltes Gerät, das basierend
auf MAC-Adressfilterung Pakete von seinem unterliegenden Gerät
bekommt. |
sit |
Ein IPv6-über-IPv4-Tunnel. |
tap |
Ein dauerhafter Stufe-2-Tunnel zwischen einem Netzwerkgerät und
einem Geräteknoten. |
tun |
Ein dauerhafter Stufe-3-Tunnel zwischen einem Netzwerkgerät und
einem Geräteknoten. |
veth |
Ein Ethernet-Tunnel zwischen einem Paar von Netzwerkgeräten. |
vlan |
A VLAN is a stacked device which receives packets from its underlying
device based on VLAN tagging. See IEEE 802.1Q[3] for details. |
vti |
Ein IPv4-über-IPSec-Tunnel. |
vti6 |
Ein IPv6-über-IPSec-Tunnel. |
vxlan |
Ein virtuell-erweiterbares LAN (vxlan), zur Verbindung von
Cloud-Computing-Einsätzen. |
geneve |
Ein »GEneric NEtwork Virtualization Encapsulation«-
(GENEVE) Netdev-Treiber. |
vrf |
Eine virtuelle Routing- und Weiterleitungs- (VRF[4])
Schnittstelle, um separate Routing- und Weiterleitungs-Domains zu
erstellen. |
vcan |
Der virtuelle CAN-Treiber (vcan). Ähnlich dem
Netzwerk-Loopback-Gerät bietet vcan eine virtuelle, lokale
CAN-Schnittstelle. |
vxcan |
Der virtuelle CAN-Tunnel-Treiber (vxcan). Ähnlich dem virtuellen
Ethernet-Treiber veth implementiert vxcan einen lokalen CAN-Verkehrstunnel
zwischen zwei virtuellen CAN-Netzwerkgeräten. Bei der Erstellung
eines vxcan werden zwei vxcan-Geräte als Paar erstellt. Wenn ein
Ende ein Paket empfängt, erscheint es auf seinem Partner und
umgedreht. Der vxcan kann für Namensraum-übergreifende
Kommunikation verwandt werden. |
wireguard |
Sicherer WireGuard-Netzwerktunnel. |
netdevsim |
Ein Simulator. Das simulierte Netzwerkgerät wird für das
Testen verschiedener Netzwerk-APIs verwandt und ist derzeit insbesondere
auf das Testen von Hardwareschnittstellen, die Teile übernehmen,
fokussiert. |
[MATCH]-ABSCHNITT-OPTIONEN¶
Ein virtuelles Netzwerkgerät wird nur erstellt, falls der Abschnitt
»[Match]« auf die aktuelle Umgebung passt oder falls der
Abschnitt leer ist. Die folgenden Schlüssel werden akzeptiert:
Host=
Passt auf den Rechnernamen oder die Maschinenkennung des
Rechners. Siehe »ConditionHost=« in
systemd.unit(5)
für Details.
Virtualization=
Prüft, ob das System in einer virtualisierten
Umgebung ausgeführt ist und testet optional, ob es eine bestimmte
Implementierung ist. Siehe »ConditionVirtualization=« in
systemd.unit(5) für Details.
KernelCommandLine=
Prüft, ob eine bestimmte
Kernel-Befehlszeilenoption gesetzt ist (oder ungesetzt, falls ein
Ausrufezeichen vorangesetzt ist). Siehe
»ConditionKernelCommandLine=« in
systemd.unit(5)
für Details.
KernelVersion=
Prüft, ob die Kernelversion (wie von
uname
-r berichtet) auf einen bestimmten Ausdruck passt (oder nicht passt, falls
ein Ausrufezeichen vorangesetzt ist). Siehe
»ConditionKernelVersion=« in
systemd.unit(5) für
Details.
Architecture=
Prüft, ob das System auf einer bestimmten
Architektur läuft. Siehe »ConditionArchitecture=« in
systemd.unit(5) für Details.
[NETDEV]-ABSCHNITT OPTIONEN¶
Der Abschnitt »[NetDev]« akzeptiert die folgenden
Schlüssel:
Description=
Eine formlose Beschreibung des Netdev.
Name=
Der bei der Erstellung des Netdev verwandte
Schnittstellenname. Diese Option ist verpflichtend.
Kind=
Die Art des Netdevs. Diese Option ist verpflichtend.
Siehe den Abschnitt »Unterstützte Netdev-Arten«
für gültige Schlüssel.
MTUBytes=
Die für das Gerät zu setzende maximale
Übertragungseinheit in Byte. Die gewöhnlichen Endungen K, M, G
werden unterstützt und zur Basis 1024 verstanden. Für
»tun«- oder »tap«-Geräte wird dieser
Schlüssel derzeit nicht unterstützt.
MACAddress=
Die für das Gerät zu verwendende
MAC-Adresse. Falls keine übergeben wird, wird eine basierend auf dem
Schnittstellennamen und der
machine-id(5) erstellt. Für
»tun«- oder »tap«-Geräte wird dieser
Schlüssel derzeit nicht unterstützt.
[BRIDGE]-ABSCHNITT-OPTIONEN¶
Der Abschnitt »[Bridge]« gilt nur für Netdevs der Art
»bridge« und akzeptiert die folgenden Schlüssel:
HelloTimeSec=
HelloTimeSec specifies the number of seconds between two
hello packets sent out by the root bridge and the designated bridges. Hello
packets are used to communicate information about the topology throughout the
entire bridged local area network.
MaxAgeSec=
MaxAgeSec specifies the number of seconds of maximum
message age. If the last seen (received) hello packet is more than this number
of seconds old, the bridge in question will start the takeover procedure in
attempt to become the Root Bridge itself.
ForwardDelaySec=
ForwardDelaySec legt die Anzahl an Sekunden, die in jedem
Anfragewartenden und lernenden Zustand verweilt bevor der
Weiterleitungszustand betreten wird, fest.
AgeingTimeSec=
Dies legt die Anzahl an Sekunden fest, die eine
MAC-Adresse in der Weiterleitungsdatenbank behalten wird, nachdem ein Paket
von dieser MAC-Adresse empfangen wurde.
Priority=
The priority of the bridge. An integer between 0 and
65535. A lower value means higher priority. The bridge having the lowest
priority will be elected as root bridge.
GroupForwardMask=
A 16-bit bitmask represented as an integer which allows
forwarding of link local frames with 802.1D reserved addresses
(01:80:C2:00:00:0X). A logical AND is performed between the specified bitmask
and the exponentiation of 2^X, the lower nibble of the last octet of the MAC
address. For example, a value of 8 would allow forwarding of frames addressed
to 01:80:C2:00:00:03 (802.1X PAE).
DefaultPVID=
This specifies the default port VLAN ID of a newly
attached bridge port. Set this to an integer in the range 1–4094 or
"none" to disable the PVID.
MulticastQuerier=
A boolean. This setting controls the
IFLA_BR_MCAST_QUERIER option in the kernel. If enabled, the kernel will send
general ICMP queries from a zero source address. This feature should allow
faster convergence on startup, but it causes some multicast-aware switches to
misbehave and disrupt forwarding of multicast packets. When unset, the
kernel's default setting applies.
MulticastSnooping=
A boolean. This setting controls the
IFLA_BR_MCAST_SNOOPING option in the kernel. If enabled, IGMP snooping
monitors the Internet Group Management Protocol (IGMP) traffic between hosts
and multicast routers. When unset, the kernel's default setting applies.
VLANFiltering=
A boolean. This setting controls the
IFLA_BR_VLAN_FILTERING option in the kernel. If enabled, the bridge will be
started in VLAN-filtering mode. When unset, the kernel's default setting
applies.
STP=
A boolean. This enables the bridge's Spanning Tree
Protocol (STP). When unset, the kernel's default setting applies.
[VLAN]-ABSCHNITT OPTIONEN¶
Der Abschnitt »[VLAN]« gilt nur für Netdevs der Art
»vlan« und akzeptiert die folgenden Schlüssel:
Id=
Die zu verwendende VLAN-Kennung. Eine Ganzzahl im Bereich
0…4094. Diese Option ist verpflichtend.
GVRP=
Das Generic VLAN Registration Protocol (GVRP) ist ein
Protokoll, das das automatische Erlernen von VLANs in einem Netz erlaubt. Ein
logischer Wert. Falls nicht gesetzt wird die Vorgabeeinstellung des Kernels
angewandt.
MVRP=
Multiple VLAN Registration Protocol (MVRP) formerly known
as GARP VLAN Registration Protocol (GVRP) is a standards-based Layer 2 network
protocol, for automatic configuration of VLAN information on switches. It was
defined in the 802.1ak amendment to 802.1Q-2005. A boolean. When unset, the
kernel's default setting applies.
LooseBinding=
The VLAN loose binding mode, in which only the
operational state is passed from the parent to the associated VLANs, but the
VLAN device state is not changed. A boolean. When unset, the kernel's default
setting applies.
ReorderHeader=
The VLAN reorder header is set VLAN interfaces behave
like physical interfaces. A boolean. When unset, the kernel's default setting
applies.
[MACVLAN]-ABSCHNITT OPTIONEN¶
Der Abschnitt »[MACVLAN]« gilt nur für Netdevs der Art
»macvlan« und akzeptiert die folgenden Schlüssel:
Mode=
Der zu verwendende MACVLAN-Modus. Die
unterstützten Optionen sind »private«,
»vepa«, »bridge« und
»passthru«.
[MACVTAP]-ABSCHNITT OPTIONEN¶
Der Abschnitt »[MACVTAP]« gilt nur für Netdevs der Art
»macvtap« und akzeptiert die gleichen Schlüssel wie
für »[MACVLAN]«:
[IPVLAN]-ABSCHNITT OPTIONEN¶
Der Abschnitt »[IPVLAN]« gilt nur für Netdevs der Art
»ipvlan« und akzeptiert die folgenden Schlüssel:
Mode=
Der zu verwendende IPVLAN-Modus. Die unterstützten
Optionen sind »L2«, »L3« und
»L3S«.
Flags=
Die zu verwendenden IPVLAN-Schalter. Die
unterstützten Optionen sind »bridge«,
»private« und »vepa«.
[VXLAN]-ABSCHNITT OPTIONEN¶
Der Abschnitt »[VXLAN]« gilt nur für Netdevs der Art
»vxlan« und akzeptiert die folgenden Schlüssel:
Id=
Die zu verwendende VXLAN-Kennung.
Remote=
Konfiguriert die Ziel-IP-Adresse.
Local=
Konfiguriert die lokale IP-Adresse.
TOS=
Der Dienstetyp-Byte-Wert für eine
Vxlan-Schnittstelle.
TTL=
A fixed Time To Live N on Virtual eXtensible Local Area
Network packets. N is a number in the range 1–255. 0 is a special value
meaning that packets inherit the TTL value.
MacLearning=
Ein logischer Wert. Falls wahr, wird dynamisches
MAC-Lernen zur Erkennung von fernen MAC-Adressen aktiviert.
FDBAgeingSec=
Die Lebensdauer von
Weiterleitungsdatenbankeinträgen, die vom Kernel gelernt wurden, in
Sekunden.
MaximumFDBEntries=
Konfiguriert die maximale Anzahl an
FDB-Einträgen.
ReduceARPProxy=
A boolean. When true, bridge-connected VXLAN tunnel
endpoint answers ARP requests from the local bridge on behalf of remote
Distributed Overlay Virtual Ethernet (DVOE)[5] clients. Defaults to
false.
L2MissNotification=
Ein logischer Wert. Falls wahr wird
Netlink-LLADDR-Verlustbenachrichtigung aktiviert.
L3MissNotification=
Ein logischer Wert. Falls wahr wird
Netlink-IP-Adresssen-Verlustbenachrichtigung aktiviert.
RouteShortCircuit=
A boolean. When true, route short circuiting is turned
on.
UDPChecksum=
Ein logischer Wert. Falls wahr, wird das
Übertragen von UDP-Prüfsummen während VXLAN/IPv4
eingeschaltet.
UDP6ZeroChecksumTx=
Ein logischer Wert. Falls wahr, wird das
Übertragen von Null-UDP-Prüfsummen während VXLAN/IPv6
eingeschaltet.
UDP6ZeroChecksumRx=
Ein logischer Wert. Falls wahr, wird das Empfangen on
Null-UDP-Prüfsummen während VXLAN/IPv6 eingeschaltet.
RemoteChecksumTx=
A boolean. When true, remote transmit checksum offload of
VXLAN is turned on.
RemoteChecksumRx=
A boolean. When true, remote receive checksum offload in
VXLAN is turned on.
GroupPolicyExtension=
A boolean. When true, it enables Group Policy VXLAN
extension security label mechanism across network peers based on VXLAN. For
details about the Group Policy VXLAN, see the VXLAN Group
Policy[6] document. Defaults to false.
DestinationPort=
Konfiguriert den Standard-Ziel-UDP-Port pro Gerät.
Falls der Ziel-Port nicht festgelegt ist, wird die Linux-Kernel-Vorgabe
verwandt. Setzen Sie den Ziel-Port 4789, um den IANA-zugewiesenen Wert zu
erhalten. Falls nicht gesetzt oder falls dem Ziel-Port die leere Zeichenkette
zugeordnet ist, wird der Standard-Port 4789 verwandt.
PortRange=
Configures VXLAN port range. VXLAN bases source UDP port
based on flow to help the receiver to be able to load balance based on outer
header flow. It restricts the port range to the normal UDP local ports, and
allows overriding via configuration.
FlowLabel=
Specifies the flow label to use in outgoing packets. The
valid range is 0-1048575.
[GENEVE]-ABSCHNITT OPTIONEN¶
Der Abschnitt »[GENEVE]« gilt nur für Netdevs der Art
»geneve« und akzeptiert die folgenden Schlüssel:
Id=
Legt den zu verwendenden virtuellen Netzwerkkennzeichner
(VNI) fest. Bereich [0-16777215].
Remote=
Legt die Unicast-Ziel-IP-Adresse für ausgehende
Pakete fest.
TOS=
Legt den TOS-Wert für ausgehende Pakete fest.
Bereich [1-255].
TTL=
Legt den TTL-Wert für ausgehende Pakete fest.
Bereich [1-255].
UDPChecksum=
Ein logischer Wert. Falls wahr, legt er fest, ob
UDP-Prüfsummen für über IPv4 übertragende Pakete
berechnet werden.
UDP6ZeroChecksumTx=
Ein logischer Wert. Falls wahr, wird die
UDP-Prüfsummenberechnung für übertragene Pakete
über IPv6 übersprungen.
UDP6ZeroChecksumRx=
Ein logischer Wert. Falls wahr, erlaubt eingehende
UDP-Pakete über IPv6 mit Null-Prüfsummenfeldern.
DestinationPort=
Legt den Ziel-Port fest. Standardmäßig
6081. Falls nicht gesetzt oder ihm die leere Zeichenkette zugewiesen wurde,
wird der Vorgabe-Port 6081 verwandt.
FlowLabel=
Specifies the flow label to use in outgoing
packets.
[TUNNEL]-ABSCHNITT OPTIONEN¶
Der Abschnitt »[Tunnel]« gilt nur für Netdevs der Art
»ipip«, »sit«, »gre«,
»gretap«, »ip6gre«, »ip6gretap«,
»vti«, »vti6« und »ip6tnl« und
akzeptiert die folgenden Schlüssel:
Local=
Eine statische lokale Adresse für getunnelte
Pakete. Es muss eine Adresse auf einer anderen Schnittstelle auf diesem
Rechner sein.
Remote=
Der ferne Endpunkt des Tunnels.
TOS=
Der Byte-Wert »Type Of Service« für
eine Tunnelschnittstelle. Für Details über den TOS, siehe das
Dokument Dienstetyp in der Internet-Protokollsammlung[7].
TTL=
Eine feste »Time To Live« N für
getunnelte Pakete. N ist eine Zahl im Bereich 1…255. 0 ist ein
besonderer Wert, der bdeutet, dass Pakete den TTL-Wert erben. Der Vorgabewert
für IPv4-Tunnel ist: erben. Der Vorgabewert für IPv6-Tunnel ist
64.
DiscoverPathMTU=
A boolean. When true, enables Path MTU Discovery on the
tunnel.
IPv6FlowLabel=
Configures the 20-bit flow label (see RFC
6437[8]) field in the IPv6 header (see RFC 2460[9]),
which is used by a node to label packets of a flow. It is only used for IPv6
tunnels. A flow label of zero is used to indicate packets that have not been
labeled. It can be configured to a value in the range 0–0xFFFFF, or be
set to "inherit", in which case the original flowlabel is
used.
CopyDSCP=
A boolean. When true, the Differentiated Service Code
Point (DSCP) field will be copied to the inner header from outer header during
the decapsulation of an IPv6 tunnel packet. DSCP is a field in an IP packet
that enables different levels of service to be assigned to network traffic.
Defaults to "no".
EncapsulationLimit=
Die Option »Tunnel Encapsulation Limit«
legt fest, wie viele zusätzliche Kapslungsstufen dem Paket
voranzustellen erlaubt sind. Enthält ein Option »Tunnel
Encapsulation Limit« beispielsweise den Wert Null, dann bedeutet dies,
dass ein Paket, das diese Option trägt, keinen weiteren Tunnel betreten
darf, bevor es den aktuellen Tunnel verlässt. (siehe RFC
2473[10]). Der Gültigkeitsbereich ist 0…255 und
»none«. Standardmäßig 4.
Key=
The Key= parameter specifies the same key to use
in both directions (InputKey= and OutputKey=). The Key=
is either a number or an IPv4 address-like dotted quad. It is used as
mark-configured SAD/SPD entry as part of the lookup key (both in data and
control path) in ip xfrm (framework used to implement IPsec protocol). See
ip-xfrm — transform configuration[11] for details. It is
only used for VTI/VTI6 tunnels.
InputKey=
Der Parameter InputKey= legt den für die
Eingabe zu verwendenden Schlüssel fest. Das Format ist zu Key=
identisch. Er wird nur für VTI/VTI6-Tunnel verwandt.
OutputKey=
Der Parameter OutputKey= legt den für die
Ausgabe zu verwendenden Schlüssel fest. Das Format ist zu Key=
identisch. Er wird nur für VTI/VTI6-Tunnel verwandt.
Mode=
Ein »ip6tnl«-Tunnel kann in einem der drei
Modi »ip6ip6« für IPv6 über IPv6,
»ipip6« für IPv4 über IPv6 oder
»any« für beides sein.
Independent=
Ein logischer Wert. Falls war, benötigt der Tunnel
keine Datei .network. Erstellt als »tunnel@NONE«.
Standardmäßig »false«.
AllowLocalRemote=
Ein logischer Wert. Falls war, wird Tunnelverkehr auf
ip6tnl-Geräten erlaubt, bei denen der ferne Endpunkt eine lokale
Rechneradresse ist. Standardmäßig nicht gesetzt.
[PEER]-ABSCHNITT OPTIONEN¶
Der Abschnitt »[Peer]« gilt nur für Netdevs der Art
»veth« und akzeptiert die folgenden Schlüssel:
Name=
Der bei der Erstellung des Netdev verwandte
Schnittstellenname. Diese Option ist verpflichtend.
MACAddress=
The peer MACAddress, if not set, it is generated in the
same way as the MAC address of the main interface.
[VXCAN]-ABSCHNITT OPTIONEN¶
Der Abschnitt »[VXCAN]« gilt nur für Netdevs der Art
»vxcan« und akzeptiert die folgenden Schlüssel:
Peer=
The peer interface name used when creating the netdev.
This option is compulsory.
[TUN]-ABSCHNITT OPTIONEN¶
Der Abschnitt »[Tun]« gilt nur für Netdevs der Art
»tun« und akzeptiert die folgenden Schlüssel:
OneQueue=
Akzeptiert ein logisches Argument. Konfiguriert ob alle
Pakete bei dem Gerät in die Warteschlange gestellt werden (aktiviert)
oder eine bestimmte Anzahl an Paketen bei dem Gerät und der Rest bei
der »qdisc« in die Warteschlange eingestellt wird.
Standardmäßíg »no«.
MultiQueue=
Akzeptiert ein logisches Argument. Konfiguriert ob
mehrere Dateideskriptoren (Warteschlangen) zur Parallelisierung des
Paketversands und -empfangs verwandt werden sollen.
Standardmäßig »no«.
PacketInfo=
Takes a boolean argument. Configures whether packets
should be prepended with four extra bytes (two flag bytes and two protocol
bytes). If disabled, it indicates that the packets will be pure IP packets.
Defaults to "no".
VNetHeader=
Takes a boolean argument. Configures IFF_VNET_HDR flag
for a tap device. It allows sending and receiving larger Generic Segmentation
Offload (GSO) packets. This may increase throughput significantly. Defaults to
"no".
User=
Benutzer, dem Zugriff auf das Gerät /dev/net/tun
gewährt werden soll.
Group=
Gruppe, der Zugriff auf das Gerät /dev/net/tun
gewährt werden soll.
[TAP]-ABSCHNITT OPTIONEN¶
Der Abschnitt »[Tap]« gilt nur für Netdevs der Art
»tap« und akzeptiert die gleichen Schlüssel wie der
Abschnitt »[Tun]«.
[WIREGUARD]-ABSCHNITT OPTIONEN¶
Der Abschnitt »[WireGuard]« akzeptiert die folgenden
Schlüssel:
PrivateKey=
The Base64 encoded private key for the interface. It can
be generated using the wg genkey command (see wg(8)). This
option is mandatory to use WireGuard. Note that because this information is
secret, you may want to set the permissions of the .netdev file to be owned by
"root:systemd-networkd" with a "0640" file mode.
ListenPort=
Setzt den UDP-Port, an dem auf Anfragen gewartet werden
soll. Akzeptiert entweder einen Wert zwischen 1 und 65535 oder
»auto«. Falls »auto« festgelegt ist, wird der Port
automatisch basierend auf dem Schnittstellennamen erstellt.
Standardmäßig »auto«.
FwMark=
Setzt auf von dieser Schnittstelle ausgehenden
WireGuard-Paketen eine Firewall-Kennzeichnung.
[WIREGUARDPEER]-ABSCHNITT OPTIONEN¶
Der Abschnitt »[WireGuardPeer]« akzeptiert die folgenden
Schlüssel:
PublicKey=
Setzt einen Base64-kodierten öffentlichen
Schlüssel, der mittels wg pubkey (siehe wg(8)) aus
einem privaten Schlüssel berechnet und normalerweise auf einem anderen
Weg zum Autor der Konfigurationsdatei transportiert wurde. Für diesen
Abschnitt ist diese Option verpflichtend.
PresharedKey=
Optional preshared key for the interface. It can be
generated by the wg genpsk command. This option adds an
additional layer of symmetric-key cryptography to be mixed into the already
existing public-key cryptography, for post-quantum resistance. Note that
because this information is secret, you may want to set the permissions of the
.netdev file to be owned by "root:systemd-networkd" with a
"0640" file mode.
AllowedIPs=
Sets a comma-separated list of IP (v4 or v6) addresses
with CIDR masks from which this peer is allowed to send incoming traffic and
to which outgoing traffic for this peer is directed. The catch-all 0.0.0.0/0
may be specified for matching all IPv4 addresses, and ::/0 may be specified
for matching all IPv6 addresses.
Endpoint=
Sets an endpoint IP address or hostname, followed by a
colon, and then a port number. This endpoint will be updated automatically
once to the most recent source IP address and port of correctly authenticated
packets from the peer at configuration time.
PersistentKeepalive=
Sets a seconds interval, between 1 and 65535 inclusive,
of how often to send an authenticated empty packet to the peer for the purpose
of keeping a stateful firewall or NAT mapping valid persistently. For example,
if the interface very rarely sends traffic, but it might at anytime receive
traffic from a peer, and it is behind NAT, the interface might benefit from
having a persistent keepalive interval of 25 seconds. If set to 0 or
"off", this option is disabled. By default or when unspecified, this
option is off. Most users will not need this.
[BOND]-ABSCHNITT OPTIONEN¶
Der Abschnitt »[Bond]« akzeptiert die folgenden Schlüssel:
Mode=
Specifies one of the bonding policies. The default is
"balance-rr" (round robin). Possible values are
"balance-rr", "active-backup", "balance-xor",
"broadcast", "802.3ad", "balance-tlb", and
"balance-alb".
TransmitHashPolicy=
Selects the transmit hash policy to use for slave
selection in balance-xor, 802.3ad, and tlb modes. Possible values are
"layer2", "layer3+4", "layer2+3",
"encap2+3", and "encap3+4".
LACPTransmitRate=
Specifies the rate with which link partner transmits Link
Aggregation Control Protocol Data Unit packets in 802.3ad mode. Possible
values are "slow", which requests partner to transmit LACPDUs every
30 seconds, and "fast", which requests partner to transmit LACPDUs
every second. The default value is "slow".
MIIMonitorSec=
Specifies the frequency that Media Independent Interface
link monitoring will occur. A value of zero disables MII link monitoring. This
value is rounded down to the nearest millisecond. The default value is
0.
UpDelaySec=
Legt die Verzögerung fest, bevor ein Link
aktiviert wird, nachdem ein Link-Aktiv-Zustand erkannt wurde. Dieser Wert wird
auf ein Vielfaches von MIIMonitorSec abgerundet. Der Vorgabewert ist 0.
DownDelaySec=
Legt die Verzögerung fest, bevor ein Link
deaktiviert wird, nachdem ein Link-Deaktiv-Zustand erkannt wurde. Dieser Wert
wird auf ein Vielfaches von MIIMonitorSec abgerundet. Der Vorgabewert ist
0.
LearnPacketIntervalSec=
Specifies the number of seconds between instances where
the bonding driver sends learning packets to each slave peer switch. The valid
range is 1–0x7fffffff; the default value is 1. This option has an
effect only for the balance-tlb and balance-alb modes.
AdSelect=
Legt die zu verwendende 802.3ad-Aggregationsauswahllogik
fest. Mögliche Werte sind »stable«,
»bandwidth« und »count«.
FailOverMACPolicy=
Specifies whether the active-backup mode should set all
slaves to the same MAC address at the time of enslavement or, when enabled, to
perform special handling of the bond's MAC address in accordance with the
selected policy. The default policy is none. Possible values are
"none", "active" and "follow".
ARPValidate=
Specifies whether or not ARP probes and replies should be
validated in any mode that supports ARP monitoring, or whether non-ARP traffic
should be filtered (disregarded) for link monitoring purposes. Possible values
are "none", "active", "backup" and
"all".
ARPIntervalSec=
Legt die ARP-Linküberwachungsfrequenz in
Millisekunden fest. Ein Wert von 0 deaktiviert die ARP-Überwachung. Der
Vorgabewert ist 0.
ARPIPTargets=
Specifies the IP addresses to use as ARP monitoring peers
when ARPIntervalSec is greater than 0. These are the targets of the ARP
request sent to determine the health of the link to the targets. Specify these
values in IPv4 dotted decimal format. At least one IP address must be given
for ARP monitoring to function. The maximum number of targets that can be
specified is 16. The default value is no IP addresses.
ARPAllTargets=
Specifies the quantity of ARPIPTargets that must be
reachable in order for the ARP monitor to consider a slave as being up. This
option affects only active-backup mode for slaves with ARPValidate enabled.
Possible values are "any" and "all".
PrimaryReselectPolicy=
Specifies the reselection policy for the primary slave.
This affects how the primary slave is chosen to become the active slave when
failure of the active slave or recovery of the primary slave occurs. This
option is designed to prevent flip-flopping between the primary slave and
other slaves. Possible values are "always", "better" and
"failure".
ResendIGMP=
Specifies the number of IGMP membership reports to be
issued after a failover event. One membership report is issued immediately
after the failover, subsequent packets are sent in each 200ms interval. The
valid range is 0–255. Defaults to 1. A value of 0 prevents the IGMP
membership report from being issued in response to the failover event.
PacketsPerSlave=
Specify the number of packets to transmit through a slave
before moving to the next one. When set to 0, then a slave is chosen at
random. The valid range is 0–65535. Defaults to 1. This option only has
effect when in balance-rr mode.
GratuitousARP=
Specify the number of peer notifications (gratuitous ARPs
and unsolicited IPv6 Neighbor Advertisements) to be issued after a failover
event. As soon as the link is up on the new slave, a peer notification is sent
on the bonding device and each VLAN sub-device. This is repeated at each link
monitor interval (ARPIntervalSec or MIIMonitorSec, whichever is active) if the
number is greater than 1. The valid range is 0–255. The default value
is 1. These options affect only the active-backup mode.
AllSlavesActive=
A boolean. Specifies that duplicate frames (received on
inactive ports) should be dropped when false, or delivered when true.
Normally, bonding will drop duplicate frames (received on inactive ports),
which is desirable for most users. But there are some times it is nice to
allow duplicate frames to be delivered. The default value is false (drop
duplicate frames received on inactive ports).
MinLinks=
Specifies the minimum number of links that must be active
before asserting carrier. The default value is 0.
For more detail information see Linux Ethernet Bonding
Driver HOWTO[1]
BEISPIEL¶
Beispiel 1. /etc/systemd/network/25-bridge.netdev
[NetDev]
Name=bridge0
Kind=bridge
Beispiel 2. /etc/systemd/network/25-vlan1.netdev
[Match]
Virtualization=no
[NetDev]
Name=vlan1
Kind=vlan
[VLAN]
Id=1
Beispiel 3. /etc/systemd/network/25-ipip.netdev
[NetDev]
Name=ipip-tun
Kind=ipip
MTUBytes=1480
[Tunnel]
Local=192.168.223.238
Remote=192.169.224.239
TTL=64
Beispiel 4. /etc/systemd/network/25-tap.netdev
[NetDev]
Name=tap-test
Kind=tap
[Tap]
MultiQueue=true
PacketInfo=true
Beispiel 5. /etc/systemd/network/25-sit.netdev
[NetDev]
Name=sit-tun
Kind=sit
MTUBytes=1480
[Tunnel]
Local=10.65.223.238
Remote=10.65.223.239
Beispiel 6. /etc/systemd/network/25-gre.netdev
[NetDev]
Name=gre-tun
Kind=gre
MTUBytes=1480
[Tunnel]
Local=10.65.223.238
Remote=10.65.223.239
Beispiel 7. /etc/systemd/network/25-vti.netdev
[NetDev]
Name=vti-tun
Kind=vti
MTUBytes=1480
[Tunnel]
Local=10.65.223.238
Remote=10.65.223.239
Beispiel 8. /etc/systemd/network/25-veth.netdev
[NetDev]
Name=veth-test
Kind=veth
[Peer]
Name=veth-peer
Beispiel 9. /etc/systemd/network/25-bond.netdev
[NetDev]
Name=bond1
Kind=bond
[Bond]
Mode=802.3ad
TransmitHashPolicy=layer3+4
MIIMonitorSec=1s
LACPTransmitRate=fast
Beispiel 10. /etc/systemd/network/25-dummy.netdev
[NetDev]
Name=dummy-test
Kind=dummy
MACAddress=12:34:56:78:9a:bc
Beispiel 11. /etc/systemd/network/25-vrf.netdev
Eine VRF-Schnittstelle mit Tabelle 42 erstellen.
[NetDev]
Name=vrf-test
Kind=vrf
[VRF]
Table=42
Beispiel 12. /etc/systemd/network/25-macvtap.netdev
Ein MacVTap-Gerät erstellen.
[NetDev]
Name=macvtap-test
Kind=macvtap
Beispiel 13. /etc/systemd/network/25-wireguard.netdev
[NetDev]
Name=wg0
Kind=wireguard
[WireGuard]
PrivateKey=EEGlnEPYJV//kbvvIqxKkQwOiS+UENyPncC4bF46ong=
ListenPort=51820
[WireGuardPeer]
PublicKey=RDf+LSpeEre7YEIKaxg+wbpsNV7du+ktR99uBEtIiCA=
AllowedIPs=fd31:bf08:57cb::/48,192.168.26.0/24
Endpoint=wireguard.example.com:51820
ANMERKUNGEN¶
- 1.
- Linux Ethernet Bonding Driver HOWTO
- 2.
- RFC 2784
- 3.
- IEEE 802.1Q
- 4.
- VRF
- 5.
- (DVOE)
- 6.
- VXLAN Group Policy
- 7.
- Dienstetyp in der Internet-Protokollsammlung
- 8.
- RFC 6437
- 9.
- RFC 2460
- 10.
- RFC 2473
- 11.
- ip-xfrm — Konfiguration umwandeln
ÜBERSETZUNG¶
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann
<debian@helgefjell.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die
GNU General Public License Version 3 oder neuer bezüglich der
Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite
finden, schicken Sie bitte eine E-Mail an
<debian-l10n-german@lists.debian.org>.