Devyn的Linux內(nèi)核專題:配置網(wǎng)絡(luò)特性
在本文中,我們將繼續(xù)配置網(wǎng)絡(luò)特性。記住,網(wǎng)絡(luò)是計(jì)算機(jī)最重要的特性,這篇文章和這之后的網(wǎng)絡(luò)相關(guān)文章都要重點(diǎn)了解。
在我們開啟這系列之前,我先要澄清一些事情。配置進(jìn)程不會(huì)編輯你當(dāng)前系統(tǒng)的內(nèi)核。這個(gè)進(jìn)程配置的是你編譯(或者交叉編譯)新內(nèi)核前的源代碼。一旦我完成了配置過(guò)程,那么我會(huì)討論讀者建議的話題。同樣,作為提醒,每個(gè)段落中在引號(hào)或者括號(hào)中的第一句或者第二句(很少)的文本是配置工具中設(shè)置的名字。
首先,我們可以啟用兩個(gè)不同的稀疏型獨(dú)立協(xié)議組播路由協(xié)議("IP: PIM-SM version 1 support" 和 "IP: PIM-SM version 2 support"),組播有點(diǎn)像廣播,但是廣播會(huì)給所有計(jì)算機(jī)發(fā)送信號(hào)而組播只會(huì)給選定的組或者計(jì)算機(jī)發(fā)送信號(hào)。所有PIM協(xié)議都是工作在IP的組播路由協(xié)議。
注意:當(dāng)計(jì)算機(jī)與另外一臺(tái)計(jì)算機(jī)或者服務(wù)器通信時(shí),這叫做單播 - 只是以防你們想知道。
下一個(gè)要配置的網(wǎng)絡(luò)特性是"ARP daemon support"。這讓內(nèi)核有一張IP地址表以及它們相應(yīng)的在內(nèi)部緩存中的硬件地址。ARP代表的是地址解析協(xié)議(Address-Resolution-Protocol)。
為了額外的安全,"TCP syncookie support"應(yīng)該要啟用。這保護(hù)計(jì)算機(jī)免于受到SYN洪水攻擊。黑客或者惡意軟件可能會(huì)發(fā)送SYN信息給一臺(tái)服務(wù)器來(lái)消耗它的資源,以便讓真實(shí)的訪客無(wú)法使用服務(wù)器提供的服務(wù)。SYN消息會(huì)打開一個(gè)計(jì)算機(jī)和服務(wù)器之間的連接。Syncookie會(huì)阻斷不正當(dāng)?shù)腟YN消息。那么,真實(shí)的用戶可以仍舊訪問(wèn)訪問(wèn)網(wǎng)站,而黑客則沒(méi)辦法浪費(fèi)你的帶寬。服務(wù)器應(yīng)該啟用這個(gè)特性。
下面的特性是用于 "Virtual (secure) IP: tunneling"。隧道是一個(gè)網(wǎng)絡(luò)協(xié)議到另外一個(gè)網(wǎng)絡(luò)協(xié)議的封裝。當(dāng)在使用虛擬私人網(wǎng)絡(luò)(VPN)時(shí)需要使用安全隧道。
接下來(lái),啟用"AH transformation"增加對(duì)IPSec驗(yàn)證頭的支持。這是一種管理數(shù)據(jù)驗(yàn)證的安全措施。
在這之后,啟用"ESP transformation"增加對(duì)IPSec封裝安全協(xié)議的支持。這是加密與可選擇的數(shù)據(jù)驗(yàn)證的安全措施。
如果啟用了這個(gè)特性(IP: IPComp transformation),Linux內(nèi)核會(huì)支持IP負(fù)載壓縮協(xié)議。這是一種無(wú)損壓縮系統(tǒng)。無(wú)損指的是數(shù)據(jù)仍會(huì)保持完整,在解壓縮后,數(shù)據(jù)在壓縮前后沒(méi)有變化。壓縮在加密前先執(zhí)行。由于更少的數(shù)據(jù)傳輸,所以這個(gè)壓縮協(xié)議可以加速網(wǎng)絡(luò)。
下面三個(gè)設(shè)置用于處理不同的IPsec特性("IP: IPsec transport mode"、"IP: IPsec tunnel mode"和"IP: IPsec BEET mode")。IPSec代表的是因特網(wǎng)安全協(xié)議(Internet Protocol SECurity).兩臺(tái)計(jì)算機(jī)之間并且/或者服務(wù)器間的傳輸模式是默認(rèn)的IPSec模式。傳輸模式使用AH或者ESP頭并且只加密IP頭。在隧道模式下,IP頭和負(fù)載會(huì)被加密。隧道模式通常用于連接網(wǎng)關(guān)到服務(wù)器/服務(wù)器或者服務(wù)器到服務(wù)器。BEET模式(Bound End-to-End Tunnel)不會(huì)在IP地址改變時(shí)重連。BEET模式下的連接會(huì)仍然存在。BEET模式比其他幾種模式使用更少的字節(jié)。
下面,內(nèi)核可以支持收到大量IPv4/TCP包時(shí)減輕棧負(fù)擔(dān)(Large Receive Offload (ipv4/tcp))。網(wǎng)卡(NIC)處理TCP/IP棧。這個(gè)特性在內(nèi)核中增加了處理大型棧的代碼。
INET套接字可以啟用(INET: socket monitoring interface)。INET套接字用于因特網(wǎng)。這個(gè)特性(當(dāng)啟用時(shí))會(huì)監(jiān)視來(lái)自或者發(fā)往因特網(wǎng)的連接與流量。
這里有另外一個(gè)套接字監(jiān)視接口(UDP: socket monitoring interface)。這個(gè)用于用戶數(shù)據(jù)報(bào)協(xié)議(User Datagram Protocol (UDP))。再說(shuō)一下,這個(gè)特性監(jiān)視UDP的套接字。
以下的設(shè)定會(huì)啟用不同的TCP擁塞控制(TCP: advanced congestion control)。如果網(wǎng)絡(luò)變得太忙或者帶寬已滿,那么許多計(jì)算機(jī)必須等待一些帶寬或者它們的數(shù)據(jù)流會(huì)變慢。如果流量被合理管理,這回有助于網(wǎng)絡(luò)性能提升。
TCP連接可以被MD5保護(hù)(TCP: MD5 Signature Option support)。這用于保護(hù)核心路由器之間的邊界網(wǎng)關(guān)協(xié)議(Border Gateway Protocol (BGP))連接。核心路由器是網(wǎng)絡(luò)中主要的路由器;這些路由器有時(shí)指的是因特網(wǎng)/網(wǎng)絡(luò)的骨干。BGP是一種路由決策協(xié)議。
下一個(gè)設(shè)定允許你啟用/禁用"The IPv6 protocol"。當(dāng)你啟用它,IPv4仍舊可以很好地工作。
下面的特性是一個(gè)特殊的隱私特性(IPv6: Privacy Extensions (RFC 3041) support)。這使得系統(tǒng)在網(wǎng)絡(luò)接口中生成并使用不同的隨即地址。
注意:計(jì)算機(jī)中沒(méi)有數(shù)據(jù)是真正隨機(jī)的。計(jì)算機(jī)中隨機(jī)數(shù)和隨機(jī)字串通常稱為偽隨機(jī)。
在多路由的網(wǎng)絡(luò)中,這個(gè)特性允許系統(tǒng)能夠更有效地計(jì)算出該使用哪一個(gè)(IPv6: Router Preference (RFC 4191))。
在這之后,一個(gè)用于處理路由信息的實(shí)驗(yàn)性特性可以啟用/禁用(IPv6: Route Information (RFC 4191))。記住,在編譯一個(gè)穩(wěn)定內(nèi)核時(shí),除非你確實(shí)需要這個(gè)問(wèn)題中特性,才去安裝實(shí)驗(yàn)性的功能。
有時(shí),當(dāng)系統(tǒng)自動(dòng)配置它的IPv6地址時(shí),它可能會(huì)得到一個(gè)網(wǎng)絡(luò)中已被使用的IPv6地址。這是一個(gè)允許重復(fù)地址檢測(cè)(Duplicate Address Detection (DAD)的實(shí)驗(yàn)性特性(IPv6: Enable RFC 4429 Optimistic DAD)。
IPv6可以有不同的IPsecc特性支持("IPv6: AH transformation" 和 "IPv6: ESP transformation")。
IPv6同樣可以使用先前討論過(guò)的IP負(fù)載壓縮協(xié)議(IP Payload Compression Protocol)(IPv6: IPComp transformation)。
這里甚至有IPv6移動(dòng)支持(IPv6: Mobility)。這允許使用IPv6的移動(dòng)設(shè)備在保留同樣地址的情況下使用其他的網(wǎng)絡(luò)。
再說(shuō)一次,這里同樣有一些針對(duì)IPv6的IPsec特性("IPv6: IPsec transport mode"、"IPv6: IPsec tunnel mode"、"IPv6: IPsec BEET mode")。
當(dāng)啟用此項(xiàng)后,IPv6可以支持MIPv6路由優(yōu)化(IPv6: MIPv6 route optimization mode)。這樣就可以確保最短和最佳網(wǎng)絡(luò)路徑了。如果消息在更少的路由和網(wǎng)絡(luò)設(shè)備間發(fā)送,那么下載和上傳速度就可以更快。
如果一個(gè)管理員需要連接到兩個(gè)IPv6網(wǎng)絡(luò),但是只能通過(guò)IPv4來(lái)連接,這時(shí)內(nèi)核使這個(gè)變得可能(IPv6: IPv6-in-IPv4 tunnel (SIT driver)。這通過(guò)隧道使IPv6報(bào)文穿越IPv4網(wǎng)絡(luò)。
這個(gè)隧道特性是用于IPv6-in-IPv6 和 IPv4 tunneled in IPv6 (IPv6: IP-in-IPv6 tunnel (RFC2473))
另外一個(gè)隧道特性是(IPv6: GRE tunnel)。他只允許GRE隧道。(GRE:通用路由封裝(Generic Routing Encapsulation))
允許支持多重路由表(IPv6: Multiple Routing Tables)。路由表是一張網(wǎng)絡(luò)位置列表和數(shù)據(jù)要去目的地的路徑。
允許根據(jù)源地址或前綴進(jìn)行路由如果啟用了(IPv6: source address based routing)。
"IPv6 Multicast routing"(IPv6組播路由)仍然是實(shí)驗(yàn)性質(zhì)。IPv4和IPv6處理組播的方式不同。
典型的組播路由根據(jù)目標(biāo)地址和源地址來(lái)處理組播包(IPv6: multicast policy routing)。啟用這個(gè)選項(xiàng)會(huì)將接口和包的標(biāo)記(mark)包含到?jīng)Q策中。
下面可以啟用IPv6的PIM-SMv2 組播路由協(xié)議(IPv6: PIM-SM version 2 support)。這與先前提到的IPv4 PIM相同。因?yàn)镮Pv4和IPv6不同,所以PIM可以被v4/v6同時(shí)/分別激活
網(wǎng)絡(luò)包標(biāo)簽協(xié)議(Network packet labeling protocols)(就像CIPSO和RIPSO)可以啟用(NetLabel subsystem support)。這些標(biāo)簽包含了安全信息和權(quán)限。
網(wǎng)絡(luò)包可以通過(guò)啟用安全標(biāo)記(Security Marking)變得更安全。
這個(gè)網(wǎng)絡(luò)特性增加了一些開銷(Time-stamping in PHY devices)。物理層(PHY)設(shè)備可以給網(wǎng)絡(luò)包打上時(shí)間戳。PHY代表的是"PHYsical layer"。這些設(shè)備管理收到和發(fā)送的消息。
可以啟用netfilter(Network packet filtering framework)。Netfilters過(guò)濾并修改過(guò)往的網(wǎng)絡(luò)包。包過(guò)濾器是一種防火墻。如果包滿足了一定的條件,包不會(huì)被允許通過(guò)。
數(shù)據(jù)報(bào)擁塞控制協(xié)議(Datagram Congestion Control Protocol)可以啟用(The DCCP Protocol)。DCCP允許雙向單播連接。DCCP有助于流媒體、網(wǎng)絡(luò)電話和在線游戲。
下一步,流控制傳輸協(xié)議(Stream Control Transmission Protocol)可以啟用(The SCTP Protocol)。SCTP工作在IP頂層并且是一個(gè)穩(wěn)定可靠的協(xié)議。
下面的協(xié)議是可靠數(shù)據(jù)報(bào)套接字(Reliable Datagram Sockets)協(xié)議(The RDS Protocol)。
RDS可以使用Infiniband和iWARP作為一種支持RDMA的傳輸方式(RDS over Infiniband and iWARP),Infiniband和iWARP都是協(xié)議。RDMA代表的是遠(yuǎn)程直接內(nèi)存訪問(wèn)(remote direct memory access)。RDMA用于一臺(tái)遠(yuǎn)程計(jì)算機(jī)訪問(wèn)另一臺(tái)計(jì)算機(jī)的內(nèi)存而無(wú)需本機(jī)計(jì)算機(jī)操作系統(tǒng)的輔助。這就像直接內(nèi)存訪問(wèn)(DMA),但是這里遠(yuǎn)程代替了本地計(jì)算機(jī)。
RDS同樣可以使用TCP傳輸(RDS over TCP)
接下來(lái),"RDS debugging messages"應(yīng)該禁用。
下面的網(wǎng)絡(luò)協(xié)議用于集群(The TIPC Protocol)。集群就是一組計(jì)算機(jī)作為一臺(tái)計(jì)算機(jī)。它們需要有一個(gè)方式去通信,所以他們使用透明內(nèi)部進(jìn)程間通信協(xié)議(Transparent Inter Process Communication (TIPC))。
這個(gè)高速協(xié)議使用固定大小的數(shù)據(jù)包(Asynchronous Transfer Mode (ATM))。
使用ATM的IP可以與連接到一個(gè)ATM網(wǎng)絡(luò)的IP的系統(tǒng)通信(Classical IP over ATM)。
下一個(gè)特性禁用"ICMP host unreachable"(ICMP主機(jī)不可達(dá))錯(cuò)誤信息(Do NOT send ICMP if no neighbor)。這防止了由于重新校驗(yàn)而移除ATMARP表被移除的問(wèn)題。ATMARP表管理地址解析。ICMP代表的是因特網(wǎng)控制消息協(xié)議(Internet Control Message Protocol)并被常用于通過(guò)網(wǎng)絡(luò)發(fā)送錯(cuò)誤消息。
LAN仿真(LANE)仿真了ATM網(wǎng)絡(luò)上的LAN服務(wù)(LAN Emulation (LANE) support)。一臺(tái)LANE計(jì)算機(jī)可以作為橋接Ethernet和ELAN的代理。
"Multi-Protocol Over ATM (MPOA) support"允許ATM設(shè)備通過(guò)子網(wǎng)邊界發(fā)送連接。
在這個(gè)特性下,至少在kernel看來(lái)ATM PVCs的行為就像Ethernet(RFC1483/2684 Bridged protocols)。PVC代表的是永久虛電路(permanent virtual circuit)。虛擬連接是一種基于包的連接,它伴隨著主/原始協(xié)議使用其他更高層的協(xié)議。
"Layer Two Tunneling Protocol (L2TP)"(二層隧道協(xié)議)是隧道對(duì)應(yīng)用透明。虛擬私有網(wǎng)絡(luò)(Virtual Private Networks (VPNs))使用L2TP
要想使用基于Linux的以太網(wǎng)橋,啟用這個(gè)橋特性(802.1d Ethernet Bridging)。在網(wǎng)絡(luò)中,一個(gè)橋同時(shí)連接兩個(gè)或者更多的連接。以太網(wǎng)橋是使用以太網(wǎng)端口的硬件橋。
"IGMP/MLD snooping"(IGMP/MLD 探聽)是一種以太網(wǎng)橋能夠基于IGMP/MLD負(fù)載選擇性地轉(zhuǎn)發(fā)組播信號(hào)的能力。禁用這個(gè)特性能夠明顯減少內(nèi)核的大小。IGMP代表的是因特網(wǎng)組管理協(xié)議(Internet Group Management Protocol),這是一種被用于設(shè)置組播組的協(xié)議。MLD代表多播監(jiān)聽發(fā)現(xiàn)(Multicast Listener Discovery)。
下一個(gè)過(guò)濾特性允許以太網(wǎng)橋選擇性地管理在每個(gè)數(shù)據(jù)包中的基于VLAN的信息的流量。禁用這個(gè)特性可以減小內(nèi)核的大小。
通過(guò)啟用這個(gè)特性(802.1Q VLAN Support),VLAN接口可以在以太網(wǎng)上創(chuàng)建。下面"GVRP (GARP VLAN Registration Protocol)"支持GVPR協(xié)議被用于在網(wǎng)絡(luò)設(shè)備上注冊(cè)某些vlan。
在這之后,"MVRP (Multiple VLAN Registration Protocol) support"(多重VLAN注冊(cè)協(xié)議)可以啟用。MVRP是GVRP更新的替代品。
"DECnet Support"是一種Digital公司發(fā)明的網(wǎng)絡(luò)協(xié)議。這是一中既安全又穩(wěn)定的協(xié)議。
"DECnet router support"允許用戶制作基于Linux的支持DRCnet的路由。
注意:Linux可以用于服務(wù)器、工作站、路由器、集群、防火墻并支持其他許多用途。
下面的特性用于支持邏輯鏈路層2(Logical Link Layer type 2)(ANSI/IEEE 802.2 LLC type 2 Support)。這層允許在同一個(gè)網(wǎng)絡(luò)設(shè)備上使用多個(gè)協(xié)議。強(qiáng)烈建議在網(wǎng)絡(luò)很重要的環(huán)境中啟用這個(gè)特性。最好所有內(nèi)核都支持這個(gè)特性。
在下一篇文章中,我們將討論更多的關(guān)于可以配置的網(wǎng)絡(luò)設(shè)定。
via: http://www.linux.org/threads/the-linux-kernel-configuring-the-kernel-part-8.4525/
