ネットワークガイド


Red Hat Enterprise Linux 7

RHEL 7 でネットワーク、ネットワークインターフェイス、およびネットワークサービスの設定および管理

Marc Muehlfeld

Red Hat Customer Content Services

Ioanna Gkioka

Red Hat Customer Content Services

Mirek Jahoda

Red Hat Customer Content Services

Jana Heves

Red Hat Customer Content Services

Stephen Wadeley

Red Hat Customer Content Services

Christian Huffman

Red Hat Customer Content Services

概要

Red Hat Enterprise Linux 7 ネットワークガイド』では、Red Hat Enterprise Linux におけるネットワークインターフェイス、ネットワーク、およびネットワークサービスの設定および管理に関する情報を説明します。本ガイドは、Linux およびネットワークに関する基本的知識があるシステム管理者を対象としています。
注記
専門知識を深めるには、Red Hat システム管理 I (RH124) トレーニングコースの受講を推奨します。

パート I. 作業開始前の準備

ここでは、Red Hat Enterprise Linux のネットワークサービスの基本概念の概要を説明します。

第1章 ネットワークトピックの概要

1.1. IP ネットワークと非 IP ネットワークの比較

ネットワークとは、ファイル、プリンター、アプリケーション、インターネット接続など、情報とリソースを共有して通信できる、相互接続されたデバイスのシステムです。これらの各デバイスには、プロトコルと呼ばれる一連の規則を使用して 2 つ以上のデバイス間でメッセージを送受信する固有のインターネットプロトコル (IP) アドレスがあります。

ネットワーク通信のカテゴリー

IP ネットワーク
インターネットプロトコルアドレスを介して通信するネットワーク。IP ネットワークは、インターネットおよびほとんどの内部ネットワークに実装されています。イーサネット、ケーブルモデム、DSL モデム、ダイヤルアップモデム、無線ネットワーク、VPN 接続などがその代表的な例です。
非 IP ネットワーク
トランスポート層ではなく下位層を介して通信するのに使用されるネットワーク。このネットワークはほとんど使用されないことに注意してください。13章InfiniBand および RDMA ネットワークの設定で説明されているように、InfiniBand は非 IP ネットワークです。

1.2. 静的 IP アドレス指定と動的 IP アドレス指定の比較

静的な IP アドレス指定
デバイスに静的 IP アドレスが割り当てられている場合は、そのアドレスを手動で変更しない限り、時間の経過とともに変わることはありません。静的 IP アドレス指定の使用が推奨されるのは、次のような場合です。
  • DNS などのサーバーや認証サーバーのネットワークアドレスの整合性を確保する。
  • 他のネットワークインフラストラクチャーから独立して動作する、帯域外管理デバイスを使用する。
「ネットワーク設定方法の選択」に列挙されるすべての設定ツールでは、静的な IP アドレスを手動で割り当てることができます。「nmcli を使用した静的イーサネット接続の追加および設定」で説明されている nmcli ツールも適しています。
自動設定および管理の詳細は、Red Hat Enterprise Linux 7 システム管理ガイドの『OpenLMI』を参照してください。『Red Hat Enterprise Linux 7 インストールガイド』 では、ネットワーク設定の割り当てを自動化するのに使用できる Kickstart ファイルの使用方法を説明します。
動的な IP アドレス指定
デバイスに動的 IP アドレスが割り当てられている場合は、そのアドレスが時間の経過とともに変わります。このため、マシンを再起動すると IP アドレスが変わる可能性があるため、随時ネットワークに接続するデバイスに使用することが推奨されます。
動的 IP アドレスは、より柔軟で、設定と管理が簡単です。ダイナミックホストコントロールプロトコル (DHCP) は、ネットワーク設定をホストに動的に割り当てる従来の方法です。詳細は、「DHCP を使用する理由」を参照してください。また、「nmcli を使用した動的イーサネット接続の追加および設定」で説明されているように、nmcli ツールを使用することもできます。
注記
静的 IP アドレスまたは動的 IP アドレスをどのような場合に使用するかを定義する厳密な規則はありません。ユーザーのニーズ、設定、およびネットワーク環境によって異なります。
デフォルトでは、NetworkManager は、DHCP クライアントである dhclient を呼び出します。

1.3. DHCP クライアントの動作の設定

DHCP (Dynamic Host Configuration Protocol) クライアントは、クライアントがネットワークに接続するたびに、動的 IP アドレスと対応する設定情報を DHCP サーバーに要求します。
NetworkManager はデフォルトで DHCP クライアントである dhclient を呼び出すことに注意してください。

IP アドレスの要求

DHCP 接続が開始すると、dhcp クライアントは DHCP サーバーから IP アドレスを要求します。dhcp クライアントがこの要求を完了するのを待つ時間は、デフォルトで 60 秒です。nmcli ツールを使用して ipv4.dhcp-timeout プロパティーを設定するか、/etc/sysconfig/network-scripts/ifcfg-ifname ファイルの IPV4_DHCP_TIMEOUT オプションを設定できます。たとえば、nmcli を使用します。
~]# nmcli connection modify enp1s0 ipv4.dhcp-timeout 10
この間にアドレスを取得できないと、IPv4 設定は失敗します。接続全体が失敗する場合もあり、これは ipv4.may-fail プロパティーにより異なります。
  • ipv4.may-failyes (デフォルト)に設定されている場合、接続の状態は IPv6 設定に依存します。
    1. IPv6 設定が有効であり、これが成功すると、接続はアクティブになりますが、IPv4 設定は再試行できません。
    2. IPv6 設定が無効であるか、または設定されていないと、接続は失敗します。
  • ipv4.may-failno に設定されている場合、接続は非アクティブになります。この場合は、以下のようになります。
    1. 接続の autoconnect プロパティーが有効になっている場合、NetworkManager は、autoconnect-retries プロパティーに設定された回数だけ接続のアクティブ化を再試行します。デフォルトでは 4 回です。
    2. それでも接続が dhcp アドレスを取得できないと、自動アクティベーションは失敗します。
      5 分後に自動接続プロセスが再開されて、dhcp クライアントが dhcp サーバーからのアドレスの取得を再試行することに注意してください。

リース更新の要求

dhcp アドレスを取得し、IP アドレスのリースを更新できない場合、dhcp クライアントは 2 分ごとに 3 下位再起動して、dhcp サーバーからリースを取得しようとします。毎回、リースを取得するために ipv4.dhcp-timeout プロパティーを秒単位(デフォルトは 60)で設定して設定されます。試行時に応答を得ると、プロセスは停止し、リースが更新されます。
3 回失敗した後:
  • ipv4.may-failyes (デフォルト)に設定され、IPv6 が正常に設定されている場合、接続はアクティブになり、dhcp クライアントは 2 分ごとに再起動します。
  • ipv4.may-failno に設定すると、接続は非アクティブになります。この場合、接続の autoconnect プロパティーが有効になっている場合、接続は最初からアクティブになります。

1.3.1. DHCPv4 の永続化

起動時とリース更新プロセス時に DHCPv4 を永続化するには、ipv4.dhcp-timeout プロパティーを 32 ビットの整数(MAXINT32)の最大値 2147483647 または infinity 値に設定します。
~]$ nmcli connection modify enps1s0 ipv4.dhcp-timeout infinity
その結果、NetworkManager は、成功するまで DHCP サーバーからのリースの取得または更新の試行を停止しません。
リース更新プロセス中にのみ DHCP の永続的な動作を保証するには、/etc/sysconfig/network-scripts/ifcfg-enp1s0 設定ファイルまたは nmcli を使用して、IPADDR プロパティーに静的 IP を手動で追加します。
~]$ nmcli connection modify enp1s0 ipv4.address 192.168.122.88/24
IP アドレスのリース期限が切れると、静的 IP は、設定済みあるいは一部設定済みの IP 状態を保持します。IP アドレスを持つことはできますが、インターネットには接続されていません。dhcp クライアントが 2 分ごとに再起動することを確認してください。

1.4. ワイヤレス規制ドメインの設定

Red Hat Enterprise Linux では、crda パッケージに、特定地区のワイヤレス規制ルールをカーネルに提供する Central Regulatory Domain Agent が含まれています。これは特定の udev スクリプトで使用するもので、udev スクリプトをデバッグする場合以外は手動で実行しないでください。カーネルは、新しい規制ドメインの変更にあたり、udev イベントを送信することで crda を実行します。規制ドメインの変更は、Linux ワイヤレスサブシステム (IEEE-802.11) により起こります。このサブシステムは、regregation .bin ファイルを使用して規制データベース情報を維持します。
setregdomain ユーティリティーは、システムの規制ドメインを設定します。Setregdomain は引数を取らず、通常は管理者が手動で呼び出すのではなく、udev などのシステムスクリプトを介して呼び出されます。国コードの検索に失敗した場合、システム管理者は /etc/sysconfig/regdomain ファイルで COUNTRY 環境変数を定義できます。
規制ドメインの詳細は、次の man ページを参照してください。
  • setregdomain (1) man ページ:国コードに基づいて規制ドメインを設定します。
  • crda (8) man ページ - 特定の ISO または IEC 3166 alpha2 のワイヤレス規制ドメインをカーネルに送信します。
  • regulatory.bin (5) man ページ - Linux ワイヤレス規制データベースを表示します。
  • man ページの iw (8) - ワイヤレスデバイスおよびその設定を表示または操作します。

1.5. netconsoleの設定

ディスクへのログの記録に失敗した場合や、シリアルコンソールを使用できない場合は、カーネルデバッグの使用が必要になる場合があります。netconsole カーネルモジュールを使用すると、ネットワークを介して別のコンピューターにカーネルメッセージをログに記録できます。
netconsole を使用できるようにするには、ネットワークに適切に設定された rsyslog サーバーが必要です。

手順1.1 netconsole 用 rsyslog サーバーの設定

  1. /etc/rsyslog.conf ファイルの MODULES セクションで次の行のコメントを解除して、514/udp ポートをリッスンし、ネットワークからメッセージを受信するように rsyslogd デーモンを設定します。
    $ModLoad imudp
    $UDPServerRun 514
  2. rsyslogd サービスを再起動して、変更を適用します。
    ]# systemctl restart rsyslog
  3. rsyslogd が 514/udp ポートでリッスンしていることを確認します。
    ]# netstat -l | grep syslog
    udp        0      0 0.0.0.0:syslog          0.0.0.0:*
    udp6       0      0 [::]:syslog             [::]:*
    netstat -l 出力の 0.0.0.0:syslog および [::]:syslog 値は、rsyslogd/etc/services ファイルで定義されたデフォルトの netconsole ポートでリッスンしていることを意味します。
    ]$ cat /etc/services | grep syslog
    syslog          514/udp
    syslog-conn     601/tcp                 # Reliable Syslog Service
    syslog-conn     601/udp                 # Reliable Syslog Service
    syslog-tls      6514/tcp                # Syslog over TLS
    syslog-tls      6514/udp                # Syslog over TLS
    syslog-tls      6514/dccp               # Syslog over TLS
Netconsole は、initscripts パッケージの一部である /etc/sysconfig/netconsole ファイルを使用して設定されます。このパッケージはデフォルトでインストールされ、netconsole サービスも提供します。
送信元マシンを設定する場合は、次の手順に従ってください。

手順1.2 送信元マシンの設定

  1. /etc/sysconfig/netconsole ファイルの SYSLOGADDR 変数の値を、syslogd サーバーの IP アドレスに一致するように設定します。以下に例を示します。
    SYSLOGADDR=192.168.0.1
  2. 変更を有効にするために netconsole サービスを再起動します。
    ]# systemctl restart netconsole.service
  3. システムを再起動した後に netconsole.service を実行できるようにします。
    ]# systemctl enable netconsole.service
  4. クライアントからの netconsole メッセージを /var/log/messages ファイル(デフォルト)または rsyslog.conf で指定されたファイルで表示します。
    ]# cat /var/log/messages
注記
デフォルトでは、rsyslogd および netconsole.service はポート 514 を使用します。別のポートを使用するには、/etc/rsyslog.conf の以下の行を、必要なポート番号に変更します。
$UDPServerRun <PORT>
送信マシンで、/etc/sysconfig/netconsole ファイルで以下の行のコメントを解除して編集します。
SYSLOGPORT=514
netconsole 設定およびトラブルシューティングのヒントに関する詳細は、Netconsole Kernel Documentation を参照してください。

1.6. sysctl によるネットワークカーネル調整パラメーターの使用

sysctl ユーティリティーで特定のカーネルチューナブルを使用すると、実行中のシステムでネットワーク設定を調整し、ネットワークパフォーマンスに直接影響を与えることができます。
ネットワーク設定を変更するには、sysctl コマンドを使用します。システムの再起動後も持続する永続的な変更の場合は、/etc/sysctl.conf ファイルに行を追加します。
利用可能なすべての sysctl パラメーターの一覧を表示するには、root で以下を入力します。
~]# sysctl -a
sysctl を使用したネットワークカーネルパラメーターの詳細は、システム管理者のガイド の複数のインターフェイスでの PTP の使用 を参照してください。
ネットワークカーネルパラメーターの詳細は、カーネル管理ガイドのNetwork Interface Tunablesを参照してください。

1.7. ncat ユーティリティーを使用したデータの管理

ncat ネットワークユーティリティーは、Red Hat Enterprise Linux 7 の netcat に代わるものです。ncat は、他のアプリケーションやユーザーにネットワーク接続を提供する信頼できるバックエンドツールです。これはコマンドラインからデータを読み取り、書き込みを行い、通信に Transmission Control Protocol (TCP)、User Datagram Protocol (UDP)、Stream Control Transmission Protocol (SCTP)、Unix ソケットを使用します。ncat は、IPv4IPv6 の両方を処理し、接続を開き、パケットを送信し、ポートスキャンを実行し、SSL、接続ブローカーなどの高レベルの機能をサポートします。
同じオプションを使用して、nc コマンドを ncat として入力することもできます。ncat オプションの詳細は、移行計画ガイドの新しいネットワーキングユーティリティー(ncat)および 『ncat(1)』 の man ページを参照してください。

ncat のインストール

ncat パッケージをインストールするには、root で以下のコマンドを実行します。
~]# yum install ncat

ncat ユースケースの簡単な例

例1.1 クライアントとサーバーとの間の通信の有効化

  1. TCP ポート 8080 で接続をリッスンするように、クライアントマシンを設定します。
    ~]$ ncat -l 8080
  2. サーバーマシンで、クライアントの IP アドレスを指定し、同じポート番号を使用します。
    ~]$ ncat 10.0.11.60 8080
    接続のいずれの側でもメッセージを送信でき、ローカルマシンとリモートマシンの両方に表示されます。
  3. Ctrl+D を押して、TCP 接続を閉じます。
注記
UDP ポートを確認するには、-u オプションを指定して同じ nc コマンドを使用します。以下に例を示します。
~]$ ncat -u -l 8080

例1.2 ファイルの送信

前の例で説明したように情報を画面に表示するのではなく、すべての情報をファイルに送信できます。たとえば、TCP ポート 8080 を介してクライアントからサーバーにファイルを送信するには、次の手順を実行します。
  1. クライアントマシンで、ファイルをサーバーマシンに転送する特定のポートをリッスンするには、次のコマンドを実行します。
    ~]$  ncat -l 8080 > outputfile
  2. サーバーマシンで、クライアントの IP アドレス、ポート、および転送するファイルを指定します。
    ~]$  ncat -l 10.0.11.60 8080 < inputfile
ファイルが転送されると、接続は自動的に閉じます。
注記
他の対象にファイルを転送することもできます。
~]$  ncat -l 8080 < inputfile
~]$  ncat -l 10.0.11.60 8080 > outputfile

例1.3 HTTP プロキシーサーバーの作成

localhost ポート 8080 に HTTP プロキシーサーバーを作成するには、以下を実行します。
~]$  ncat -l --proxy-type http localhost 8080 

例1.4 ポートのスキャン

開いているポートを表示するには、-z オプションを使用してスキャンするポートの範囲を指定します。
~]$  ncat -z 10.0.11.60 80-90
    Connection to 192.168.0.1 80 port [tcp/http] succeeded!

例1.5 SSL を使用した安全なクライアントサーバー通信の設定

サーバーに SSL を設定します。
~]$ ncat -e /bin/bash -k -l 8080 --ssl
クライアントマシンで、次のコマンドを実行します。
~]$ ncat --ssl 10.0.11.60 8080 
注記
SSL 接続の真に機密性を確保するには、サーバーには --ssl-cert オプションおよび --ssl-key オプションが必要で、クライアントには --ssl-verify オプションおよび --ssl-trustfile オプションが必要です。OpenSSL の詳細は、 セキュリティーガイドの OpenSSL の使用 セクションを参照して ください。
その他の例は、『ncat(1)』 の man ページを参照してください。

パート II. IP ネットワークの管理

ここでは、Red Hat Enterprise Linux でネットワークを設定および管理する方法について詳しく説明します。

第2章 NetworkManager の使用

2.1. NetworkManager の概要

Red Hat Enterprise Linux 7 では、NetworkManager がデフォルトのネットワークサービスを提供します。これは動的ネットワーク制御および設定デーモンで、ネットワークデバイスと接続が利用可能なときにアクティブな状態を維持します。従来の ifcfg タイプの設定ファイルは引き続きサポートされます。詳細は、「ネットワークスクリプトによる NetworkManager の使用」を参照してください。

2.1.1. NetworkManager を使用する利点

NetworkManager を使用する主な利点は、次の通りです。
  • ネットワーク管理の容易化: NetworkManager は、ネットワーク接続が機能するようにします。システムにネットワーク設定がなく、ネットワークデバイスがあることを検出すると、NetworkManager は一時的な接続を作成して接続を提供します。
  • ユーザーへの接続設定が容易になります。NetworkManager、GUI、nmtui、nmcli など、 さまざまなツールで管理を提供します。「NetworkManager のツール」を参照してください。
  • 柔軟な設定に対応します。たとえば、WiFi インターフェイスを設定すると、NetworkManager は利用可能な wifi ネットワークをスキャンして表示します。インターフェイスを選択でき、NetworkManager は、再起動プロセス後の自動接続を提供するのに必要な認証情報を表示します。NetworkManager は、ネットワークエイリアス、IP アドレス、静的ルート、DNS 情報、VPN 接続、および接続固有のパラメーターを多数設定できます。設定オプションは、必要に応じて修正できます。
  • ネットワーク設定と状態についてアプリケーションによるクエリーと制御を可能にする、D-Bus を介した API を提供します。この方法により、アプリケーションは D-BUS を介してネットワークを確認し、制御できます。たとえば、Web コンソールインターフェイスは、Web ブラウザーを介してサーバーを監視および設定し、NetworkManager D-BUS インターフェイスを使用してネットワークを設定します。
  • 再起動プロセス後もデバイスの状態を維持し、再起動中に管理モードに設定されているインターフェイスを引き継ぎます。
  • 明示的にマネージド外として設定されていないが、ユーザーまたは他のネットワークサービスによって手動で制御されているデバイスを処理します。

2.2. NetworkManager のインストール

NetworkManager は、Red Hat Enterprise Linux にデフォルトでインストールされます。そうでない場合は、root で以下を入力します。
~]# yum install NetworkManager
ユーザーの権限および権限の取得に関する詳細情報は、Red Hat Enterprise Linux システム管理者のガイドを参照してください。

2.3. NetworkManager のステータスの確認

NetworkManager が実行しているかどうかを確認するには、次のコマンドを実行します。
~]$ systemctl status NetworkManager
NetworkManager.service - Network Manager
   Loaded: loaded (/lib/systemd/system/NetworkManager.service; enabled)
   Active: active (running) since Fri, 08 Mar 2013 12:50:04 +0100; 3 days ago
NetworkManager が実行されていない場合、systemctl status コマンドは Active: inactive (dead) と表示されることに注意してください。

2.4. NetworkManager の開始

NetworkManager を起動するには、次のコマンドを実行します。
~]# systemctl start NetworkManager
システムの起動時に NetworkManager を自動的に有効にするには、次のコマンドを実行します。
~]# systemctl enable NetworkManager
サービスの起動、停止、および管理に関する詳細情報は、Red Hat Enterprise Linux システム管理者のガイドを参照してください。

2.5. NetworkManager のツール

表2.1 NetworkManager のツールとアプリケーションの概要
アプリケーションおよびツール説明
nmcliコマンドラインツール。ユーザーとスクリプトが NetworkManager と対話できるようにします。nmcli は、サーバーなどの GUI がないシステムで、NetworkManager のすべての側面を制御することができることに注意してください。GUI ツールのようにさらに高度な機能を提供します。
nmtuiNetworkManager用の単純な curses ベースのテキストユーザーインターフェイス(TUI)
nm-connection-editorボンドの設定や接続のチーミングなど、control-center ユーティリティーで処理されていない特定のタスク用のグラフィカルユーザーインターフェイスツール。NetworkManager が保存したネットワーク接続を追加、削除、および変更できます。これを起動するには、端末に nm-connection-editor と入力します。
~]$ nm-connection-editor
control-centerGNOME Shell が提供し、デスクトップユーザーが利用可能なユーザーインターフェイス。これには、ネットワーク設定ツールが含まれます。これを起動するには、Super キーを押してアクティビティーの概要に入り、Network入力 して Enter を押します。Network 設定ツールが表示されます。
ネットワーク接続アイコンGNOME Shell が提供するグラフィカルユーザーインターフェイスツールで、NetworkManager が報告するネットワーク接続の状態を表します。アイコンには複数の状態があり、現在使用中の接続の種類を視覚的に表示します。

2.6. ネットワークスクリプトによる NetworkManager の使用

本セクションは、スクリプトの実行方法と、ネットワークスクリプトでカスタムコマンドを使用する方法を説明します。
ネットワークスクリプト という用語は、/etc/init.d/network スクリプトと、それが呼び出すその他のインストール済みスクリプトを指します。NetworkManager はデフォルトのネットワークサービスを提供しますが、スクリプトと NetworkManager は並行して実行され、連携することができます。Red Hat は、それを最初にテストすることを推奨します。

ネットワークスクリプトの実行

systemctl コマンド のみ を使用してネットワークスクリプトを実行します。
systemctl start|stop|restart|status network
systemctl ユーティリティーは既存の環境変数をクリアし、正しい実行を確保します。
Red Hat Enterprise Linux 7 では、 NetworkManager が最初に起動し、/etc/init.d/network が NetworkManager をチェックして、NetworkManager の接続の改ざんを回避します。NetworkManager は、sysconfig 設定ファイルを使用するプライマリーアプリケーションであり、/etc/init.d/network はセカンダリーとなることを目的としています。
/etc/init.d/network スクリプトは、以下を実行します。
  1. 手動で - systemctl コマンド start|stop|restart network のいずれかを使用して、
    または
  2. ネットワークサービスが有効な場合は、起動およびシャットダウン時 - systemctl enable network コマンドの結果として。
これは手動のプロセスで、起動後に発生するイベントに反応しません。また、ユーザーは ifup スクリプトおよび ifdown スクリプトを手動で呼び出すこともできます。
注記
initscripts の技術的制限により、systemctl reload network.service コマンドは機能しません。ネットワークサービスに新しい設定を適用するには、restart コマンドを使用します。
~]# systemctl restart network.service
これにより、新しい設定を読み込むために、ネットワークインターフェイスカード (NIC) をすべて無効にして有効にします。詳細は、Red Hat ナレッジベースソリューション Reload and force-reload options for network serviceを参照してください。

ネットワークスクリプトのカスタムコマンドを使用

/sbin/ifup-local スクリプト、ifdown-pre-local スクリプト、および ifdown-local スクリプトのカスタムコマンドは、これらのデバイスが /etc/init.d/network サービスによって制御されている場合にのみ実行されます。ifup-local ファイルは、デフォルトでは存在しません。必要に応じて、/sbin/ ディレクトリーの下に作成します。
ifup-local スクリプトは initscripts によってのみ読み取りでき、NetworkManager は読み取りできません。NetworkManager を使用してカスタムスクリプトを実行するには、dispatcher.d/ ディレクトリーの下に作成します。「dispatcher スクリプトの実行」を参照してください。
重要
initscripts パッケージに関連する rpms に含まれるファイルの変更は推奨されません。ファイルを変更した場合は、Red Hat サポートの対象外となります。
カスタムタスクは、ネットワーク接続がアップまたはダウンしたときに、古い ネットワークスクリプトNetworkManager の両方を使用して実行できます。NetworkManager が有効な場合は、ifup スクリプトおよび ifdown スクリプトにより、NetworkManager が問題のインターフェイスを管理するかどうかを NetworkManager に尋ねます。これは、ifcfg ファイルの DEVICE= 行にあります。
NetworkManager が管理するデバイス:
ifup の呼び出し
ifup を呼び出して、デバイスが NetworkManager管理 されている場合は、以下の 2 つのオプションがあります。
  • デバイスがまだ接続されてい ない 場合は、NetworkManager に接続を開始するように要求します。
  • デバイスがすでに 接続している 場合は、何もする必要がありません。
ifdown の呼び出し
ifdown を呼び出して、デバイスが NetworkManager により 管理 されます。
  • ifdown により、NetworkManager が接続を終了するように求められます。
NetworkManager が管理していないデバイス:
ifup または ifdown のいずれかを呼び出すと、このスクリプトは、NetworkManager が存在してから使用した、古い NetworkManager 以外のメカニズムを使用して接続を開始します。

dispatcher スクリプトの実行

NetworkManager は、追加のカスタムスクリプトを実行して、接続の状態に基づいてサービスを開始または停止する方法を提供します。デフォルトでは、/etc/NetworkManager/dispatcher.d/ ディレクトリーが存在し、NetworkManager はアルファベット順にそこにあるスクリプトを実行します。各スクリプトは、root が所有する実行可能ファイルであり、ファイル 所有 者に対してのみ 書き込み権限 を持っている必要があります。NetworkManager の dispatcher スクリプト実行の詳細は、Red Hat ナレッジベースソリューションethtool コマンドを適用するように NetworkManager の dispatcher スクリプトを記述するを参照してください。

2.7. sysconfig ファイルによる NetworkManager の使用

/etc/sysconfig/ ディレクトリーは、設定ファイルおよびスクリプトの場所です。ほとんどのネットワーク設定情報がここに保存されます。ただし、VPN、モバイルブロードバンド、および PPPoE の設定を除き、/etc/NetworkManager/ サブディレクトリーに保存されます。たとえば、インターフェイス固有の情報は、/etc/sysconfig/network-scripts/ ディレクトリーの ifcfg ファイルに保存されます。
グローバル設定には、/etc/sysconfig/network ファイルを使用します。VPN、モバイルブロードバンド、および PPPoE 接続に関する情報は /etc/NetworkManager/system-connections/ に保存されます。
Red Hat Enterprise Linux 7 では、ifcfg ファイルを編集しても、NetworkManager は自動的に変更を認識しないため、変更を通知する必要があります。NetworkManager プロファイル設定を更新するツールのいずれかを使用すると、NetworkManager は、そのプロファイルを使用して再接続するまでこれらの変更を実装しません。たとえば、エディターを使用して設定ファイルを変更した場合、NetworkManager は設定ファイルを再度読み込む必要があります。
これを確認するには、root で と入力して、すべての接続プロファイルをリロードします。
~]# nmcli connection reload
または、変更したファイル ifcfg-ifname1 つだけ 再読み込みするには、次のコマンドを実行します。
~]# nmcli con load /etc/sysconfig/network-scripts/ifcfg-ifname
上記のコマンドを使用して複数のファイル名を指定できることに注意してください。
nmcli などのツールを使用して変更した変更はリロードする必要はありませんが、関連するインターフェイスをダウンしてから再度起動する必要があります。
~]# nmcli dev disconnect interface-name
~]# nmcli con up interface-name
nmcli の詳細は、「nmcli を使用する IP ネットワークの設定」 を参照してください。
NetworkManager は、ネットワークスクリプトをトリガーしません。ただし、ネットワークスクリプトは、ifup コマンドの使用時に実行中の場合に NetworkManager をトリガーしようとします。ネットワークスクリプトの詳細は、「ネットワークスクリプトによる NetworkManager の使用」を参照してください。
ifup スクリプトは汎用スクリプトで、いくつかのことを実行し、ifup-device_nameifup-wirelessifup-ppp などのインターフェイス固有のスクリプトを呼び出します。ユーザーが ifup enp1s0 を手動で実行すると、以下を行います。
  1. ifup/etc/sysconfig/network-scripts/ifcfg-enp1s0 というファイルを探します。
  2. ifcfg ファイルが存在する場合、ifup はそのファイル内の TYPE キーを検索し、呼び出すタイプ固有のスクリプトを特定します。
  3. ifup は、TYPE に基づいて ifup-wireless または ifup-device_name を呼び出します。
  4. タイプ固有のスクリプトがタイプ固有のセットアップを実行します。
  5. タイプ固有のスクリプトにより、共通関数が DHCP や静的セットアップなどの IP関連のタスクを実行できます。
/etc/init.d/network は起動時にすべての ifcfg ファイルを読み取り、ONBOOT=yes になっている各ファイルについて、NetworkManager がすでに ifcfg ファイルから DEVICE を起動しているかどうかを確認します。NetworkManager がそのデバイスを起動するか、またはすでに起動している場合は、そのファイルに対しては何も実行されず、次の ONBOOT=yes ファイルもチェックされます。NetworkManager がまだそのデバイスを起動していない場合は、initscripts は従来の動作を続行し、その ifcfg ファイルの ifup を呼び出します。
その結果、NetworkManager または initscripts のいずれかで、ONBOOT=yes が含まれる ifcfg ファイルがシステム起動時に開始されることが予想されます。これにより、 NetworkManager が処理しないレガシーネットワークタイプ(ISDN、analog dial-up modems など)や、NetworkManager でまだサポートされていない新しいアプリケーションは、NetworkManager が処理できない場合でも initscripts によって正常に起動されます。
重要
スクリプトは ifcfg-* を文字通り行うため、バックアップファイルは /etc ディレクトリー内のどこか、またはライブファイルと同じ場所に保存しないことが推奨されます。.old.orig.rpmnew.rpmorig.rpmsave の拡張機能のみが除外されます。
sysconfig ファイルの使用方法は、「ifcfg ファイルを使用した IP ネットワークの設定」 および 『ifcfg(8)』 の man ページを参照してください。

2.8. 関連情報

  • man (1) man ページ:man ページとその検索方法が説明されています。
  • NetworkManager (8) man ページ - ネットワーク管理デーモンを説明しています。
  • NetworkManager.conf (5) man ページ - NetworkManager 設定ファイルが説明されています。
  • /usr/share/doc/initscripts-version/sysconfig.txt: 従来のネットワークサービスが理解できるように ifcfg 設定ファイルとそのディレクティブについて説明しています。
  • /usr/share/doc/initscripts-version/examples/networking/: 設定ファイルのサンプルが含まれるディレクトリー。
  • ifcfg (8) man ページ - ifcfg コマンドについて簡単に説明しています。

第3章 IP ネットワークの設定

システム管理者は、NetworkManager を使用してネットワークインターフェイスを設定できます。

3.1. ネットワーク設定方法の選択

3.2. nmtui を使用した IP ネットワークの設定

システム管理者は、NetworkManager のツール nmtui を使用してネットワークインターフェイスを設定できます。「NetworkManager のツール」を参照してください。
この手順では、テキストユーザーインターフェイスツール nmtui を使用してネットワークを設定する方法を説明します。
前提条件
  • 端末ウィンドウで nmtui ツールを使用する。NetworkManager-tui パッケージに含まれていますが、デフォルトでは NetworkManager と一緒にインストールされません。NetworkManager-tui をインストールするには、次のコマンドを実行します。
    ~]# yum install NetworkManager-tui
  • NetworkManager が実行していることを確認するには、「NetworkManager のステータスの確認」 を参照してください。
手順
  1. nmtui ツールを起動します。
    ~]$ nmtui
    テキストユーザーインターフェイスが表示されます。

    図3.1 NetworkManager のテキスト形式ユーザーインターフェイスの開始メニュー

    NetworkManager のテキスト形式ユーザーインターフェイスの開始メニュー
  2. 移動するには、矢印キーを使用するか、Tab を押して順方向に進み、Shift+Tab を押してオプションを再度実行します。Enter を押してオプションを選択します。Space バーは、チェックボックスのステータスを切り替えます。
すでにアクティブな接続に加えた変更を適用するには、接続を再アクティブすることが必要です。この場合は、以下の手順を実施します。
手順
  1. Activate a connection メニューエントリーを選択します。

    図3.2 接続のアクティブ化

    接続のアクティブ化
  2. 修正した接続を選択します。右側の Deactivate ボタンをクリックします。

    図3.3 修正した接続の非アクティブ化

    修正した接続の非アクティブ化
  3. 接続を再度選択し、Activate ボタンをクリックします。

    図3.4 修正した接続の再アクティブ化

    修正した接続の再アクティブ化
以下のコマンドも利用できます。
  • nmtui edit connection-name
    接続名が指定されていない場合、選択メニューが表示されます。接続名が指定され、正しく特定されると、関連する Edit connection 画面が表示されます。
  • nmtui connect connection-name
    接続名が指定されていない場合、選択メニューが表示されます。接続名を指定して正しく特定されると、関連する接続がアクティブになります。無効なコマンドがあると、使用方法に関するメッセージが表示されます。
nmtui は、すべての種類の接続に対応しているわけではないことに注意してください。特に、VPN、WPA Enterprise を使用したワイヤレスネットワーク接続、802.1X を使用したイーサネット接続は編集できません。

3.3. nmcli を使用する IP ネットワークの設定

nmcli (NetworkManager コマンドラインインターフェイス)コマンドラインユーティリティーは、NetworkManager を制御し、ネットワークステータスの報告に使用されます。これは、nm-applet またはその他のグラフィカルクライアントの代わりに使用できます。「NetworkManager のツール」を参照してください。nmcli は、ネットワーク接続の作成、表示、編集、削除、有効化、非アクティブ化、ネットワークデバイスのステータスの制御と表示に使用されます。
nmcli ユーティリティーは、NetworkManager を制御するためにユーザーとスクリプトの両方で使用できます。
  • サーバー、ヘッドレスマシン、および端末の場合は、nmcli を使用して、GUI を使用せずに NetworkManager を直接制御することができます。これには、ネットワーク接続の作成、編集、開始、および停止やネットワークステータスの表示が含まれます。
  • スクリプトの場合、nmcli は簡潔な出力形式をサポートします。これはスクリプト処理に適しています。この場合、ネットワーク接続を手動で管理するのではなく、ネットワーク設定の整合性を維持するために用いられます。
nmcli コマンドの基本的な形式は次のとおりです。ここでの OBJECT は、一般的 な、ネットワークラジオ接続デバイスエージェント、および 監視 のいずれかのオプションになります。
nmcli [OPTIONS] OBJECT { COMMAND | help }
コマンドには、このいずれかの接頭辞を使用できます。たとえば、nmcli con helpnmcli c helpnmcli connection help は、同じ出力を生成します。
OPTIONS で便利なオプションは以下のとおりです。
-t (terse)
このモードは、コンピューターのスクリプト処理に使用される場合があり、値だけを表示する簡潔な出力を確認できます。

例3.1 簡潔な出力の表示

nmcli -t device
ens3:ethernet:connected:Profile 1
lo:loopback:unmanaged:
-f (field)
このオプションでは、どのフィールドを出力に表示できるかを指定します。たとえば、NAME、UUID、TYPE、AUTOCONNECT、ACTIVE、DEVICE、STATE です。フィールドは、1 つまたは複数使用できます。複数のフィールドを使用する場合は、フィールドを区切るコンマの後に空白を入力しないでください。

例3.2 出力内のフィールドの指定

~]$ nmcli -f DEVICE,TYPE device
DEVICE  TYPE
ens3    ethernet
lo      loopback
また、次のようなスクリプトの記述に適しています。
~]$ nmcli -t -f DEVICE,TYPE device
ens3:ethernet
lo:loopback
-p (pretty)
このオプションにより、nmcli は人間が判読できる出力を生成します。たとえば、値を揃え、ヘッダーを表示します。

例3.3 pretty モードで出力の表示

nmcli -p device
=====================
  Status of devices
=====================
DEVICE  TYPE      STATE      CONNECTION
--------------------------------------------------------------
ens3    ethernet  connected  Profile 1
lo      loopback  unmanaged  --
-h (help)
ヘルプ情報を表示します。
nmcli ツールには、コンテキスト依存ヘルプが組み込まれています。
nmcli help
このコマンドでは、その後のコマンドで使用される利用可能なオプションおよびオブジェクト名のリストが表示されます。
nmcli object help
このコマンドでは、指定したオブジェクトに関する利用可能なアクションのリストが表示されます。以下に例を示します。
nmcli c help

3.3.1. nmcli の簡単な選択例

例3.4 NetworkManager の全体ステータスの確認

~]$ nmcli general status
STATE      CONNECTIVITY  WIFI-HW  WIFI     WWAN-HW  WWAN
connected  full          enabled  enabled  enabled  enabled
簡潔モードの場合は、以下のようになります。
~]$ nmcli -t -f STATE general
connected

例3.5 NetworkManager のロギングの状態の表示

~]$ nmcli general logging
  LEVEL  DOMAINS
  INFO   PLATFORM,RFKILL,ETHER,WIFI,BT,MB,DHCP4,DHCP6,PPP,WIFI_SCAN,IP4,IP6,A
UTOIP4,DNS,VPN,SHARING,SUPPLICANT,AGENTS,SETTINGS,SUSPEND,CORE,DEVICE,OLPC,
WIMAX,INFINIBAND,FIREWALL,ADSL,BOND,VLAN,BRIDGE,DBUS_PROPS,TEAM,CONCHECK,DC
B,DISPATCH

例3.6 すべての接続を表示

~]$ nmcli connection show
  NAME       UUID                                  TYPE      DEVICE
Profile 1  db1060e9-c164-476f-b2b5-caec62dc1b05  ethernet    ens3
ens3       aaf6eb56-73e5-4746-9037-eed42caa8a65  ethernet    --

例3.7 現在アクティブな接続のみを表示

~]$ nmcli connection show --active
  NAME       UUID                                  TYPE      DEVICE
Profile 1  db1060e9-c164-476f-b2b5-caec62dc1b05  ethernet     ens3

例3.8 NetworkManager が認識するデバイスとその状態のみの表示

~]$ nmcli device status
DEVICE  TYPE      STATE      CONNECTION
ens3    ethernet  connected  Profile 1
lo      loopback  unmanaged  --
nmcli コマンドの以下の省略形を使用することもできます。
表3.1 nmcli コマンドの省略形の例
nmcli コマンド 省略形  
nmcli general status nmcli g  
nmcli general logging nmcli g log  
nmcli connection show nmcli con show  
nmcli connection show --active nmcli con show -a  
nmcli device status nmcli dev  
その他の例は、『nmcli-examples(5)』 の man ページを参照してください。

3.3.2. nmcli を使用したネットワークインターフェイスの起動および停止

nmcli ツールを使用すると、コントローラーを含むネットワークインターフェイスを起動および停止できます。以下に例を示します。
nmcli con up id bond0
nmcli con up id port0
nmcli dev disconnect bond0
nmcli dev disconnect ens3
注記
nmcli connection down コマンドは、デバイスをさらに自動アクティブ化しないようにすることなく、デバイスからの接続を非アクティブにします。nmcli device disconnect コマンドは、デバイスを切断し、手動で介入することなく、デバイスが自動的に接続を自動的にアクティベートしないようにします。

3.3.3. nmcli オプションについて

nmcli の重要なプロパティーオプションを以下に示します。『nmcli(1)』 の man ページの包括的な一覧を参照してください。
connection.type
接続の種類です。設定可能な値は、adsl、bond、bond-slave、bridge、bridge-slave、bluetooth、cdma、ethernet、gsm、infiniband、olpc-mesh、team、team-slave、vlan、wifi、wimax です。各接続タイプには、タイプ固有のコマンドオプションがあります。TYPE_SPECIFIC_OPTIONS の一覧は、『nmcli(1)』 の man ページで確認できます。以下に例を示します。
  • gsm 接続では、アクセスポイント名を apn に指定する必要があります。
    nmcli c add connection.type gsm apn access_point_name
  • wifi デバイスには、ssid に指定されるサービスセット ID が必要です。
    nmcli c add connection.type wifi ssid My identifier
connection.interface-name
接続に関連するデバイス名。
nmcli con add connection.interface-name enp1s0 type ethernet
connection.id
接続プロファイルに使用される名前。接続名を指定しないと、次のように接続名が生成されます。
connection.type -connection.interface-name
connection.id は接続 プロファイル の名前です。デバイスを示すインターフェイス名(wlp61s0ens3em1)と混同しないようにしてください。なお、ユーザーはインターフェイスと同じ名前を接続に付けることができますが、これは別のものです。1 つのデバイスに複数の接続プロファイルを利用することもできます。これは、モバイルデバイスの場合や異なるデバイス間でネットワークケーブルを切り替える場合に非常に便利です。必要に応じて、設定を編集するのではなく、異なるプロファイルを作成してインターフェイスに適用します。id オプションも接続プロファイル名を参照します。
showupdown などの nmcli コマンドで最も重要なオプションは次のとおりです。
id
ユーザーが接続プロファイルに割り当てる識別用文字列。nmcli connection コマンドで、ID を使用して接続を指定できます。コマンド出力の NAME フィールドには、必ず接続 ID が表示されます。con-name が参照するのと同じ接続プロファイル名が参照されます。
uuid
システムが接続プロファイルに割り当てる一意の識別用文字列。nmcli connection コマンドで uuid を使用して、接続を特定できます。

3.3.4. nmcli インタラクティブ接続エディターの使用

nmcli ツールには、インタラクティブな接続エディターがあります。使用するには、次のコマンドを実行します。
~]$ nmcli con edit
表示されたリストから有効な接続の種類を入力するよう求められます。接続の種類を入力すると、nmcli プロンプトが表示されます。接続の種類に精通している場合は、nmcli con edit コマンドに有効な接続 タイプ オプションを追加して、nmcli プロンプトに直接取り込むことができます。既存の接続プロファイルの編集には、次の形式になります:
nmcli con edit [id | uuid | path] ID
新しい接続プロファイルを編集します。
nmcli con edit [type new-connection-type] [con-name new-connection-name]
有効なコマンドの一覧を表示するには、nmcli プロンプトで help と入力します。describe コマンドを使用して、設定とそのプロパティーの説明を取得します(
describe setting.property
)。以下に例を示します。
nmcli> describe team.config

3.3.5. nmcli による接続プロファイルの作成および修正

接続プロファイルには、データソースへの接続に必要な接続プロパティー情報が含まれています。
nmcli を使用して NetworkManager に新しいプロファイルを 作成 するには、以下のコマンドを実行します。
nmcli c add {ARGUMENTS}
nmcli c add では、2 種類のパラメーターを使用できます。
プロパティー名
接続を内部的に記述するために NetworkManager が使用する名前。最も重要なものを以下に示します。
  • connection.type
    nmcli c add connection.type bond
  • connection.interface-name
    nmcli c add connection.interface-name enp1s0
  • connection.id
    nmcli c add connection.id "My Connection"
    プロパティーとその設定の詳細は、man ページの nm-settings (5) を参照してください。
エイリアス名
内部的にプロパティーに翻訳された、人間が理解可能な名前。最も一般的なものを以下に示します。
  • タイプ(connection.type プロパティー)
    nmcli c add type bond
  • ifname (connection.interface-name プロパティー)
    nmcli c add ifname enp1s0
  • con-name (connection.id プロパティー)
    nmcli c add con-name "My Connection"
以前のバージョンの nmcli では、接続を作成するには、エイリアス を使用する必要がありました。たとえば、ifname enp1s0 および con-name My Connection などです。次の形式のコマンドを使用できます。
nmcli c add type ethernet ifname enp1s0 con-name "My Connection"
より新しいバージョンでは、プロパティー名エイリアス の両方を同じ意味で使用できます。以下は、すべて有効であり、同等です。
nmcli c add type ethernet ifname enp1s0 con-name "My Connection" ethernet.mtu 1600
nmcli c add connection.type ethernet ifname enp1s0 con-name "My Connection" ethernet.mtu 1600 
nmcli c add connection.type ethernet connection.interface-name enps1s0 connection.id  "My Connection" ethernet.mtu 1600
引数は、接続の種類によって異なります。type 引数のみがすべての接続タイプに必須であり、ifnameボンディングチームブリッジ、および vlan を除くすべてのタイプで必須です。
type (type_name)
接続の種類です。以下に例を示します。
nmcli c add type bond
ifname (interface_name)
接続のバインド先となるインターフェイスです。例を以下に示します。
nmcli c add ifname interface_name type ethernet
接続プロファイルの 1 つまたは複数のプロパティーを 修正する には、以下のコマンドを使用します。
nmcli c modify
たとえば、connection.id を My Connection から My favorite connection に変更し、connection.interface-nameenp1s0 に変更するには、以下のコマンドを実行します。
nmcli c modify "My Connection" connection.id "My favorite connection" connection.interface-name enp1s0
注記
プロパティー名 を使用することが推奨されます。エイリアス は、互換性の理由でのみ使用されます。
また、イーサネット MTU を 1600 に設定するには、以下のようにサイズを変更します。
nmcli c modify "My favorite connection" ethernet.mtu 1600 
nmcli を使用して接続を修正した後に変更を適用するには、以下のコマンドを入力して接続を再度アクティブ化します。
nmcli con up con-name
以下に例を示します。
nmcli con up My-favorite-connection 
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/16)

3.3.6. nmcli を使用したネットワーク接続

現在利用可能なネットワーク接続をリスト表示するには、以下を実行します。
~]$ nmcli con show
NAME              UUID                                  TYPE            DEVICE
Auto Ethernet     9b7f2511-5432-40ae-b091-af2457dfd988  802-3-ethernet  --
ens3              fb157a65-ad32-47ed-858c-102a48e064a2  802-3-ethernet  ens3
MyWiFi            91451385-4eb8-4080-8b82-720aab8328dd  802-11-wireless wlp61s0
出力の NAME フィールドは常に接続 ID (名前)を示すことに注意してください。これはインターフェイス名と同じように見えますが、異なるものです。上記の 2 つ目の接続では、NAME フィールドの ens3 は、ユーザーがインターフェイスに適用されるプロファイルに指定した接続 ID です。 ens3.最後の接続では、ユーザーは接続 ID MyWiFi をインターフェイスに割り当てています。 wlp61s0.
イーサネット接続を追加すると、設定プロファイルが作成され、それがデバイスに割り当てられます。新規プロファイルを作成する前に、以下のように利用可能なデバイスを確認します。
~]$ nmcli device status
DEVICE  TYPE      STATE         CONNECTION
ens3    ethernet  disconnected  --
ens9    ethernet  disconnected  --
lo      loopback  unmanaged     --

3.3.7. nmcli を使用した動的イーサネット接続の追加および設定

動的イーサネット接続を追加する
動的 IP 設定でイーサネット設定プロファイルを追加するには、DHCP がネットワーク設定を割り当てるのを許可します。
nmcli connection add type ethernet con-name connection-name ifname interface-name
たとえば、my-office という名前の動的接続を作成するには、以下のコマンドを実行します。
~]$ nmcli con add type ethernet con-name my-office ifname ens3
Connection 'my-office' (fb157a65-ad32-47ed-858c-102a48e064a2) successfully added.
イーサネット接続を開くには、以下のコマンドを実行します。
~]$ nmcli con up my-office
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/5)
デバイスおよび接続のステータスを確認します。
~]$ nmcli device status
DEVICE  TYPE      STATE         CONNECTION
ens3    ethernet  connected     my-office
ens9    ethernet  disconnected  --
lo      loopback  unmanaged     --
動的イーサネット接続の設定
ホストから DHCP サーバーに送信したホスト名を変更するには、dhcp-hostname プロパティーを修正します。
~]$ nmcli con modify my-office my-office ipv4.dhcp-hostname host-name ipv6.dhcp-hostname host-name
ホストから DHCP サーバーに送信した IPv4 クライアント ID を変更するには、dhcp-client-id プロパティーを修正します。
~]$ nmcli con modify my-office my-office ipv4.dhcp-client-id client-ID-string
IPv6 には dhcp-client-id プロパティーがなく、dhclientIPv6 の識別子を作成します。詳細は、man ページの dhclient (8) を参照してください。
DHCP サーバーでホストに送信された DNS サーバーを無視するには、ignore-auto-dns プロパティーを変更します。
~]$ nmcli con modify my-office my-office ipv4.ignore-auto-dns yes ipv6.ignore-auto-dns yes
プロパティーとその設定の詳細は、man ページの nm-settings (5) を参照してください。

例3.9 インタラクティブエディターを使用した動的イーサネット接続の設定

インタラクティブエディターを使用して動的イーサネット接続を設定するには、次のコマンドを実行します。
~]$ nmcli con edit type ethernet con-name ens3

===| nmcli interactive connection editor |===

Adding a new '802-3-ethernet' connection

Type 'help' or '?' for available commands.
Type 'describe [<setting>.<prop>]' for detailed property description.

You may edit the following settings: connection, 802-3-ethernet (ethernet), 802-1x, ipv4, ipv6, dcb
nmcli> describe ipv4.method

=== [method] ===
[NM property description]
IPv4 configuration method.  If 'auto' is specified then the appropriate automatic method (DHCP, PPP, etc) is used for the interface and most other properties can be left unset.  If 'link-local' is specified, then a link-local address in the 169.254/16 range will be assigned to the interface.  If 'manual' is specified, static IP addressing is used and at least one IP address must be given in the 'addresses' property.  If 'shared' is specified (indicating that this connection will provide network access to other computers) then the interface is assigned an address in the 10.42.x.1/24 range and a DHCP and forwarding DNS server are started, and the interface is NAT-ed to the current default network connection.  'disabled' means IPv4 will not be used on this connection.  This property must be set.

nmcli> set ipv4.method auto
nmcli> save
Saving the connection with 'autoconnect=yes'. That might result in an immediate activation of the connection.
Do you still want to save? [yes] yes
Connection 'ens3' (090b61f7-540f-4dd6-bf1f-a905831fc287) successfully saved.
nmcli> quit
~]$
デフォルトの動作では、接続プロファイルが永続的に保存されます。必要な場合は、save temporary コマンドで、次回の再起動時まで、プロファイルをメモリーにのみ保持できます。

3.3.8. nmcli を使用した静的イーサネット接続の追加および設定

静的イーサネット接続の追加
静的 IPv4 設定でイーサネット接続を追加するには、
nmcli connection add type ethernet con-name connection-name ifname interface-name ip4 address gw4 address
IPv6 アドレスとゲートウェイ情報を ip6 および gw6 オプションを使用して追加できます。
たとえば、IPv4 アドレスとゲートウェイのみを使用して静的イーサネット接続を作成するには、次のコマンドを実行します。
~]$ nmcli con add type ethernet con-name test-lab ifname ens9 ip4 10.10.10.10/24 \
gw4 10.10.10.254
必要に応じて、デバイスの IPv6 アドレスとゲートウェイを指定します。
~]$ nmcli con add type ethernet con-name test-lab ifname ens9 ip4 10.10.10.10/24 \
gw4 10.10.10.254 ip6 abbe::cafe gw6 2001:db8::1
Connection 'test-lab' (05abfd5e-324e-4461-844e-8501ba704773) successfully added.
2 つの IPv4 DNS サーバーアドレスを設定するには、次のコマンドを実行します。
~]$ nmcli con mod test-lab ipv4.dns "8.8.8.8 8.8.4.4"
これにより、以前に設定された DNS サーバーが置き換えられることに注意してください。2 つの IPv6 DNS サーバーアドレスを設定するには、次のコマンドを実行します。
~]$ nmcli con mod test-lab ipv6.dns "2001:4860:4860::8888 2001:4860:4860::8844"
これにより、以前に設定された DNS サーバーが置き換えられることに注意してください。または、以前のセットに DNS サーバーを追加するには、+ 接頭辞を使用します。
~]$ nmcli con mod test-lab +ipv4.dns "8.8.8.8 8.8.4.4"
~]$ nmcli con mod test-lab +ipv6.dns "2001:4860:4860::8888 2001:4860:4860::8844"
新しいイーサネット接続を開くには、以下のコマンドを実行します。
~]$ nmcli con up test-lab ifname ens9
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/6)
デバイスおよび接続のステータスを確認します。
~]$ nmcli device status
DEVICE  TYPE      STATE      CONNECTION
ens3    ethernet  connected  my-office
ens9    ethernet  connected  test-lab
lo      loopback  unmanaged  --
新規に設定した接続の詳細情報を表示するには、以下のコマンドを実行します。
~]$ nmcli -p con show test-lab
===============================================================================
                     Connection profile details (test-lab)
===============================================================================
connection.id:                          test-lab
connection.uuid:                        05abfd5e-324e-4461-844e-8501ba704773
connection.interface-name:              ens9
connection.type:                        802-3-ethernet
connection.autoconnect:                 yes
connection.timestamp:                   1410428968
connection.read-only:                   no
connection.permissions:
connection.zone:                        --
connection.master:                      --
connection.slave-type:                  --
connection.secondaries:
connection.gateway-ping-timeout:        0
[output truncated]
-p, --pretty オプションを使用すると、出力にタイトルバナーとセクション区切りが追加されます。

例3.10 インタラクティブエディターを使用した静的イーサネット接続の設定

インタラクティブエディターを使用した静的イーサネット接続を設定するには、以下のコマンドを実行します。
~]$ nmcli con edit type ethernet con-name ens3

===| nmcli interactive connection editor |===

Adding a new '802-3-ethernet' connection

Type 'help' or '?' for available commands.
Type 'describe [>setting<.>prop<]' for detailed property description.

You may edit the following settings: connection, 802-3-ethernet (ethernet), 802-1x, ipv4, ipv6, dcb
nmcli> set ipv4.addresses 192.168.122.88/24
Do you also want to set 'ipv4.method' to 'manual'? [yes]: yes
nmcli>
nmcli> save temporary
Saving the connection with 'autoconnect=yes'. That might result in an immediate activation of the connection.
Do you still want to save? [yes] no
nmcli> save
Saving the connection with 'autoconnect=yes'. That might result in an immediate activation of the connection.
Do you still want to save? [yes] yes
Connection 'ens3' (704a5666-8cbd-4d89-b5f9-fa65a3dbc916) successfully saved.
nmcli> quit
~]$
デフォルトの動作では、接続プロファイルが永続的に保存されます。必要な場合は、save temporary コマンドで、次回の再起動時まで、プロファイルをメモリーにのみ保持できます。
NetworkManager は、内部パラメーター connection.autoconnectyes に設定します。NetworkManager は、設定を /etc/sysconfig/network-scripts/ifcfg-my-office に書き込みます。ここで、対応する BOOTPROTO は none に、ONBOOT は yes に設定されます。
ifcfg ファイルへの手動の変更は、インターフェイスが次に起動するまで NetworkManager では認識されません。設定ファイルの使用方法については、「sysconfig ファイルによる NetworkManager の使用」「ifcfg ファイルを使用した IP ネットワークの設定」を参照してください。

3.3.9. nmcli を使用してプロファイルを特定のデバイスにロック

特定のインターフェイスデバイスにプロファイルをロックするには、
nmcli connection add type ethernet con-name connection-name ifname interface-name
で行います。すべての互換性のあるイーサネットインターフェイスで利用可能なプロファイルを指定するには、
nmcli connection add type ethernet con-name connection-name ifname "*"
を使用します。特定のインターフェイスを設定しなくても、ifname 引数を使用する必要があることに注意してください。ワイルドカード文字 * を使用して、プロファイルと互換性のあるデバイスを使用できることを指定します。
プロファイルを特定の MAC アドレスにロックするには、次のコマンドを実行します。
nmcli connection add type ethernet con-name "connection-name" ifname "*" mac 00:00:5E:00:53:00

3.3.10. nmcli を使用する Wi-Fi 接続の追加

利用可能な Wi-Fi アクセスポイントを表示するには、次のコマンドを実行します。
~]$ nmcli dev wifi list
  SSID            MODE  CHAN  RATE     SIGNAL  BARS  SECURITY
  FedoraTest     Infra  11    54 MB/s  98      ▂▄▆█  WPA1
  Red Hat Guest  Infra  6     54 MB/s  97      ▂▄▆█  WPA2
  Red Hat        Infra  6     54 MB/s  77      ▂▄▆_  WPA2 802.1X
* Red Hat        Infra  40    54 MB/s  66      ▂▄▆_  WPA2 802.1X
  VoIP           Infra  1     54 MB/s  32      ▂▄__  WEP
  MyCafe         Infra  11    54 MB/s  39      ▂▄__  WPA2
静的 IP 設定で Wi-Fi 接続プロファイルを作成し、DNS アドレスの自動割り当てを許可するには、以下を実行します。
~]$ nmcli con add con-name MyCafe ifname wlp61s0 type wifi ssid MyCafe \
ip4 192.168.100.101/24 gw4 192.168.100.1
WPA2 パスワード (例: caffeine) を設定するには、以下のコマンドを実行します。
~]$ nmcli con modify MyCafe wifi-sec.key-mgmt wpa-psk
~]$ nmcli con modify MyCafe wifi-sec.psk caffeine
パスワードのセキュリティーに関する情報は、『Red Hat Enterprise Linux 7 セキュリティーガイド』を参照してください。
Wi-Fi 状態を変更するには、以下のコマンドを実行します。
~]$ nmcli radio wifi [on | off ]
nmcli を使用した特定プロパティーの変更
特定のプロパティー( mtu など)を確認するには、以下を実行します。
~]$ nmcli connection show id 'MyCafe' | grep mtu
802-11-wireless.mtu:                     auto
設定のプロパティーを変更するには、次のコマンドを実行します。
~]$ nmcli connection modify id 'MyCafe' 802-11-wireless.mtu 1350
変更を確認するには、次のコマンドを実行します。
~]$ nmcli connection show id 'MyCafe' | grep mtu
802-11-wireless.mtu:                     1350
NetworkManager は、設定の 802 -3-ethernet および 802- 11-wireless、および 設定のプロパティーとしての mtu などのパラメーターを参照します。プロパティーとその設定の詳細は、man ページの nm-settings (5) を参照してください。

3.3.11. 特定のデバイスを無視するように NetworkManager を設定

デフォルトでは、NetworkManager は lo (loopback)デバイス以外のすべてのデバイスを管理します。ただし、特定のデバイスを unmanaged に設定して、NetworkManager がこのデバイスを無視するように設定できます。この設定では、スクリプトなどを使用して、このデバイスを手動で管理できます。
3.3.11.1. NetworkManager で、デバイスを Unmanaged (管理外) として永続的に設定
インターフェイス名、MAC アドレス、デバイスタイプなど、複数の基準に基づいてデバイスを 管理対象外 として設定できます。この手順では、NetworkManager で、enp1s0 インターフェイスを unmanaged として永続的に設定する方法を説明します。
一時的にネットワークデバイスを 管理対象外 として設定する場合は、「NetworkManager でデバイスの非管理として一時的に設定」 を参照してください。
手順
  1. オプション:デバイスの一覧を表示して、unmanaged に設定するデバイスを特定します。
    # nmcli device status
    DEVICE  TYPE      STATE         CONNECTION
    enp1s0  ethernet  disconnected  --
    ...
  2. 以下の内容で /etc/NetworkManager/conf.d/99-unmanaged-devices.conf ファイルを作成します。
    [keyfile]
    unmanaged-devices=interface-name:enp1s0
    複数のデバイスを unmanaged に設定するには、unmanaged-devices パラメーターのエントリーをセミコロンで区切ります。
    [keyfile]
    unmanaged-devices=interface-name:interface_1;interface-name:interface_2;...
  3. NetworkManager サービスを再読み込みします。
    # systemctl reload NetworkManager
検証手順
  • デバイスのリストを表示します。
    # nmcli device status
    DEVICE  TYPE      STATE      CONNECTION
    enp1s0  ethernet  unmanaged  --
    ...
    enp1s0 デバイスの横にある unmanaged 状態は、NetworkManager がこのデバイスを管理していないことを示します。
関連情報
デバイスを非管理対象と、対応する構文に設定するのに使用できる基準の一覧は、man ページの NetworkManager.conf(5) の 『Device List Format』 セクションを参照してください。
3.3.11.2. NetworkManager でデバイスの非管理として一時的に設定
インターフェイス名、MAC アドレス、デバイスタイプなど、複数の基準に基づいてデバイスを 管理対象外 として設定できます。この手順では、NetworkManager で、enp1s0 インターフェイスを unmanaged として一時的に設定する方法を説明します。
この方法は、たとえば、テスト目的で使用します。ネットワークデバイスを 管理対象外 として永続的に設定するには、「NetworkManager で、デバイスを Unmanaged (管理外) として永続的に設定」 を参照してください。
手順
  1. オプション:デバイスの一覧を表示して、unmanaged に設定するデバイスを特定します。
    # nmcli device status
    DEVICE  TYPE      STATE         CONNECTION
    enp1s0  ethernet  disconnected  --
    ...
  2. enp1s0 デバイスを unmanaged 状態に設定します。
    # nmcli device set enp1s0 managed no
検証手順
  • デバイスのリストを表示します。
    # nmcli device status
    DEVICE  TYPE      STATE      CONNECTION
    enp1s0  ethernet  unmanaged  --
    ...
    enp1s0 デバイスの横にある unmanaged 状態は、NetworkManager がこのデバイスを管理していないことを示します。
関連情報
デバイスを非管理対象と、対応する構文に設定するのに使用できる基準の一覧は、man ページの NetworkManager.conf(5) の 『Device List Format』 セクションを参照してください。

3.4. GNOME GUI を使用した IP ネットワークの設定

Red Hat Enterprise Linux 7 では、NetworkManager には独自のグラフィカルユーザーインターフェイス(GUI)がありません。デスクトップ右上のネットワーク接続アイコンは GNOME Shell の一部として提供され、ネットワーク設定ツールは、有線、無線、vpn 接続をサポートする新しい GNOME control-center GUI の一部として提供されます。nm-connection-editor は、GUI 設定の主なツールです。control-center の機能に加えて、ボンド、チーム、ブリッジ接続の設定など、GNOME control-center によって提供されない機能も適用されます。本セクションでは、以下を使用してネットワークインターフェイスを設定できます。
  • GNOME control-center アプリケーション
  • GNOME nm-connection-editor アプリケーション

3.4.1. control-center GUI を使用したネットワーク接続

control-center アプリケーションの ネットワーク 設定ウィンドウにアクセスするには、次の 2 つの方法があります。
  • Super キーを押してアクティビティーの概要に入り、Settings入力 して Enter を押します。次に、左側の Network タブを選択すると、Network 設定ツールが表示されます。「control-center を使用した新しい接続の設定」に進みます。
  • 画面右上にある GNOME シェルのネットワーク接続アイコンをクリックして、メニューを開く。

    図3.5 control-center アプリケーションを使用したネットワーク設定

    control-center アプリケーションを使用したネットワーク設定
GNOME シェルのネットワーク接続アイコンをクリックすると、以下が表示されます。
  • 現在接続しているカテゴリー別のネットワーク一覧( 有線Wi-Fiなど)。
  • NetworkManager が検出した Available Networks の全一覧。
  • 設定済みの仮想プライベートネットワーク (VPN) への接続オプション。
    および
  • ネットワーク設定 メニューエントリーを 選択するオプション。
ネットワークに接続されていれば、その接続名の左側に 黒い点 が表示されます。
Network Settings をクリックすると、Network 設定ツールが表示されます。「control-center を使用した新しい接続の設定」に進みます。

3.4.2. GUI を使用した新規接続の設定および既存接続の編集

システム管理者は、ネットワーク接続を設定できます。これにより、ユーザーがインターフェイスの設定を適用または変更できます。それには、次のいずれかの方法を使用できます。
  • GNOME control-center アプリケーション
  • GNOME nm-connection-editor アプリケーション
3.4.2.1. control-center を使用した新規接続の設定および既存接続の編集
GNOME control-center アプリケーションを使用してネットワーク接続を作成および設定できます。
control-center を使用した新しい接続の設定
control-center アプリケーションを使用して、新しい有線、ワイヤレス、vpn 接続を設定するには、以下の手順を実行します。
  1. Super キーを押してアクティビティーの概要に入り、Settings入力 して Enter を押します。次に、左側の Network タブを選択します。右側のメニューに Network 設定ツールが表示されます。

    図3.6 ネットワーク設定ウィンドウの表示

    ネットワーク設定ウィンドウの表示
  2. 新しい接続を追加するには、プラスボタンをクリックします。
    設定するには、以下のコマンドを実行します。
    Wi-Fi 接続 の場合は、Settings メニューの Wi-fi エントリーをクリックして、に進みます。 「GUI を使用した Wi-Fi 接続の設定」
control-center を使用した既存の接続の編集
Network settings ウィンドウで既存の接続プロファイルの歯車アイコンをクリックすると、Details ウィンドウが開き、そこから IP アドレス、DNS、ルーティング設定などのほとんどのネットワーク設定タスクを実行できます。

図3.7 ネットワーク接続詳細ウィンドウを使用したネットワークの設定

ネットワーク接続詳細ウィンドウを使用したネットワークの設定
追加または設定するすべての接続で、NetworkManager を選択して、利用可能な接続時にそのネットワークに自動的に接続できます。これを行うには、Connect automatically を選択し、NetworkManager が利用可能であることを検出すると、NetworkManager が接続に自動接続するようにします。NetworkManager が自動的に接続しないようにする場合は、チェックボックスの選択を解除します。この場合、接続するには手動でネットワーク接続のアイコンを選択する必要があります。
他のユーザーにも利用可能にするには、他のユーザーにも 利用可能にする のチェックボックスを選択します。
接続の変更後に変更を適用するには、接続ウィンドウの右上隅にある Apply ボタンをクリックします。
Remove Connection Profile の赤いボックスをクリックすると、接続を削除できます。
3.4.2.2. nm-connection-editor を使用した新規接続の設定および既存接続の編集
nm-connection-editor GUI アプリケーションを使用すると、control-center が提供する以外の追加機能を使用して、任意の接続を設定できます。さらに、nm-connection-editor は、ボンディング、ブリッジ、VLAN、チーム接続の設定など、GNOME control-center で提供されない機能を適用します。
nm-connection-editor を使用した新しい接続の設定
nm-connection-editor を使用して新しい接続タイプを追加するには、以下を実行します。
手順
  1. 端末に nm-connection-editor と入力します。
    ~]$ nm-connection-editor
    ネットワーク接続 ウィンドウが 表示されます。
  2. + (プラス) ボタンをクリックして、接続タイプを選択します。

    図3.8 nm-connection-editor を使用した接続タイプの追加

    nm-connection-editor を使用した接続タイプの追加

    図3.9 nm-connection-editor を使用した接続タイプの選択

    nm-connection-editor を使用した接続タイプの選択
    作成および設定するには、以下のコマンドを実行します。
nm-connection-editor を使用した既存接続の編集
既存の接続タイプについては、ネットワーク接続ダイアログの歯車アイコンをクリックします。「nm-connection-editor を使用した新しい接続の設定」 を参照してください。

3.4.3. nm-connection-editor を使用した一般的な設定オプション

nm-connection-editor ユーティリティーを使用する場合は、以下の手順に従って、ほとんどの接続タイプ(イーサネット、wifi、モバイルブロードバンド、DSL)に共通する設定オプションが 5 つあります。
手順
  1. 端末に nm-connection-editor と入力します。
    ~]$ nm-connection-editor
    ネットワーク接続 ウィンドウが 表示されます。+ (プラス) ボタンをクリックして接続タイプを選択するか、歯車アイコンをクリックして、既存の接続を編集します。
  2. Editing ダイアログで General タブを選択します。

    図3.10 nm-connection-editor における設定オプション

    nm-connection-editor における設定オプション
  • 接続名: ネットワーク接続のわかりやすい名前を入力します。この名前は、Network ウィンドウのメニューでこの接続を一覧表示するために使用されます。
  • Connection priority for auto-activation - 接続が自動接続に設定されていると、番号がアクティブになります(デフォルトでは0 )。数値が大きいほど優先度が高くなります。
  • Automatically connect to this network when it is available - このボックスを選択すると、NetworkManager が利用可能なときにこの接続に自動接続します。詳細は、「control-center を使用した既存の接続の編集」を参照してください。
  • All users can connect to this network - このボックスを選択すると、システム上のすべてのユーザーが 利用できる接続が作成されます。この設定を変更するには、root 権限が必要になる場合があります。詳細は、「GUI を使用したシステム全体およびプライベート接続プロファイルの管理」を参照してください。
  • Automatically connect to VPN when using this connection - このボックスを選択すると、NetworkManager が利用可能なときに VPN 接続に自動接続します。ドロップダウンメニューから VPN を選択します。
  • ファイアウォールゾーン - ドロップダウンメニューからファイアウォールゾーンを選択します。ファイアウォールゾーンに関する詳細情報は、『Red Hat Enterprise Linux 7 セキュリティーガイド』を参照してください。
注記
VPN 接続タイプでは、上記の設定オプションのうち 3 つだけが利用できます( 接続名すべてのユーザーはこのネットワークおよび ファイアウォールゾーンに接続 できます)

3.4.4. GUI を使用してネットワークに自動的に接続

追加または設定するすべての接続で、利用可能なときに NetworkManager がそのネットワークに自動的に接続しようとするかどうかを選択できます。以下のいずれかの方法を使用できます。
  • GNOME control-center アプリケーション
  • GNOME nm-connection-editor アプリケーション
3.4.4.1. control-center を使用したネットワークの自動接続
control-center を使用して、自動的にネットワークに接続できます。
手順
  1. Super キーを押してアクティビティーの概要に入り、Settings入力 して Enter を押します。次に、左側の Network タブを選択します。ネットワーク設定ツールが右側のメニューに表示されます。「control-center を使用した新しい接続の設定」を参照してください。
  2. 右側のメニューから、ネットワークインターフェイスを選択します。
  3. 右側のメニューにある接続プロファイルの歯車アイコンをクリックします。Network の詳細ウィンドウが表示されます。
  4. Details メニューエントリーを選択します。「control-center を使用した既存の接続の編集」 を参照してください。
  5. Connect automatically を選択し、NetworkManager が利用可能であることを検知すると、NetworkManager が接続に自動接続するようになります。NetworkManager が自動的に接続しないようにする場合は、チェックボックスの選択を解除します。この場合、接続するには手動でネットワーク接続のアイコンを選択する必要があります。
3.4.4.2. nm-connection-editor を使用したネットワークの自動接続
GNOME nm-connection-editor アプリケーションを使用して、ネットワークに自動的に接続することもできます。これを行うには、「nm-connection-editor を使用した一般的な設定オプション」 に記載の手順に従って、General タブの Automatically connect to this network when it is available チェックボックスにチェックを入れます。

3.4.5. GUI を使用したシステム全体およびプライベート接続プロファイルの管理

NetworkManager は、すべての 接続プロファイル を保存します。プロファイルは、インターフェイスに適用できる名前の付いたコレクションです。NetworkManager は、システム全体の使用用の接続プロファイル(システム接続)とすべての ユーザー接続 プロファイルを保存します。接続プロファイルへのアクセスは、NetworkManager によって保存されるパーミッションによって制御されます。接続 設定の permissions プロパティーの詳細は、man ページの nm-settings (5) を参照してください。 以下のグラフィカルユーザーインターフェイスツールを使用して、接続プロファイルへのアクセスを制御できます。
  • nm-connection-editor アプリケーション
  • control-center アプリケーション
3.4.5.1. nm-connection-editor を使用した接続プロファイルの権限の管理
システムの全ユーザーが利用できる接続を作成するには、「nm-connection-editor を使用した一般的な設定オプション」 に記載される手順に従って、General タブの All users may connect to this network チェックボックスをオンにします。
3.4.5.2. control-center を使用した接続プロファイルの権限の管理
他のユーザーが利用できる接続を確立するには、「control-center を使用した既存の接続の編集」 に記載されている手順に従って、GNOME control-center Network settings Details ウィンドウで Make available to other users チェックボックスを選択します。
逆に、他のユーザーにも利用可能にする チェックボックスの選択を解除して、システム全体ではなく、ユーザー固有のものにします。
注記
システムのポリシーによっては、接続をユーザー固有またはシステム全体に変更するために、システムで root 権限が必要となる場合があります。
NetworkManager のデフォルトポリシーでは、すべてのユーザーがシステム全体の接続を作成および変更できます。起動時に利用可能とするプロファイルはユーザーがログインするまで見えないため、これらをプライベートにすることはできません。たとえば、ユーザーが接続プロファイル user-em2 を作成し、自動的 に接続する チェックボックスを選択して いるが、他のユーザーにも利用可能に する 選択を行わない 場合、この接続は起動時に利用できなくなります。
接続とネットワークを制限するには 2 つのオプションがあり、これらは個別または合わせて使用できます。
  • 他のユーザーにも利用可能にする チェックボックスの選択を解除します。これにより、この変更を行ったユーザーのみが 接続を変更および使用可能に変更します。
  • polkit フレームワークを使用して、ユーザーごとに一般的なネットワーク操作のパーミッションを制限します。
この 2 つのオプションを合わせると、ネットワークに関して詳細なセキュリティーと制御が可能になります。 polkit の詳細については、polkit (8) の man ページを参照してください。
VPN 接続は Wi-Fi やイーサネット接続よりもプライベートなものという前提なので、これは 常に ユーザーごとのプライベートとして作成されることに留意してください。

3.4.6. GUI を使用した有線 (イーサーネット) 接続の設定

GUI を使用して有線接続を設定する方法は 2 つあります。
  • control-center アプリケーション
  • nm-connection-editor アプリケーション
3.4.6.1. control-center を使用した有線接続の設定
手順
  1. Super キーを押してアクティビティーの概要に入り、Settings入力 して Enter を押します。次に、左側の Network メニューエントリーを選択すると、Network 設定ツールが表示されます。「control-center を使用した新しい接続の設定」 を参照してください。
  2. Wired ネットワークインターフェイスがまだ強調表示されていない場合は、選択します。
    システムは、デフォルトで、1 つの有線 接続プロファイル ( Wired )を作成し、設定します。プロファイルは、インターフェイスに適用できる名前の付いたコレクションです。必要に応じて、1 つのインターフェイスに対して複数のプロファイルを作成して適用できます。デフォルトのプロファイルは削除できませんが、設定は変更できます。
  3. 歯車アイコンをクリックして、デフォルトの Wired プロファイルを編集します。
基本設定オプション
Wired ダイアログでは、Identity メニューエントリーを選択すると、以下の設定が表示されます。

図3.11 有線接続に関する基本設定オプション

有線接続に関する基本設定オプション
  • 名前: ネットワーク接続のわかりやすい名前を入力します。この名前は、Network ウィンドウのメニューでこの接続を一覧表示するために使用されます。
  • MAC アドレス - このプロファイルを適用する必要があるインターフェイスの MAC アドレスを選択します。
  • Cloned Address - 必要な場合は、使用する別の MAC アドレスを入力します。
  • MTU: 必要な場合は、使用する特定の 最大伝送単位 (MTU)を入力します。MTU 値は、リンク層が転送する最大パケットサイズをバイト単位で表したものです。この値のデフォルトは 1500 で、通常は指定したり変更したりする必要はありません。
有線設定の追加作成
編集ダイアログで、既存の接続をさらに設定できます。
設定するには、以下のコマンドを実行します。
新しい (または変更した) 有線接続の保存
有線接続の編集が終わったら、適用 ボタンをクリックしてカスタマイズした設定を保存します。編集中にプロファイルが使用されていた場合は、接続を再起動して、NetworkManager に変更を適用します。プロファイルがオフだった場合は、これをオンにするか、ネットワーク接続アイコンメニューで選択します。新規および変更後の接続を使用することに関する詳細情報は、control-center GUI を使用したネットワーク接続」を参照してください。
有線接続の新規作成
新しい有線接続プロファイルを作成するには、+ (プラス) ボタンをクリックします。「control-center を使用した新しい接続の設定」を参照してください。
プラスボタンをクリックして新しい接続を追加する場合は、NetworkManager により、その接続用の新しい設定ファイルが作成され、既存の接続の編集に使用するのと同じダイアログが表示されます。「control-center を使用した既存の接続の編集」 を参照してください。これらのダイアログの違いは、既存の接続プロファイルに Details メニューエントリーがあることです。
3.4.6.2. nm-connection-editor を使用した有線接続の設定
nm-connection-editor GUI アプリケーションは、control-center GUI アプリケーションよりも多くの設定オプションを提供します。nm-connection-editor を使用して有線接続を設定するには、以下を行います。
  1. 端末に nm-connection-editor を入力します。
    ~]$ nm-connection-editor
    ネットワーク接続 ウィンドウが 表示されます。
  2. 編集するイーサネット接続を選択して、歯車アイコンをクリックします。

    図3.12 有線接続を編集します。

    有線接続を編集します。
    編集 ダイアログが表示されます。

3.4.7. GUI を使用した Wi-Fi 接続の設定

本セクションでは、NetworkManager を使用して、アクセスポイントへの Wi-Fi (ワイヤレス または 802.11a/b/g/nとも呼ばれます)接続を設定する方法を説明します。アクセスポイントは、ワイヤレスデバイスをネットワークに接続できるデバイスです。
(3G などの) モバイルブロードバンドの設定方法は、「GUI を使用したモバイルブロードバンド接続の設定」を参照してください。
利用可能なアクセスポイントにすばやく接続
手順
  1. ネットワーク接続アイコンをクリックして、ネットワーク接続アイコンのメニューをアクティブにします。control-center GUI を使用したネットワーク接続」を参照してください。
  2. Wi-Fi ネットワークの一覧で、アクセスポイントの Service Set Identifier (SSID)を見つけます。
  3. ネットワークの SSID をクリックします。鍵の記号は、アクセスポイントが認証を要求することを示します。アクセスポイントがセキュリティーで保護されている場合は、認証キーまたはパスワードの入力を求めるダイアログが表示されます。
    NetworkManager は、アクセスポイントで使用されるセキュリティーの種類を自動検出しようとします。複数の可能性がある場合、NetworkManager はセキュリティータイプを推測し、Wi-Fi セキュリティー ドロップダウンメニューで表示します。
    • WPA-PSK セキュリティー (パスフレーズ付きの WPA) の場合は、選択する必要がありません。
    • WPA Enterprise (802.1X) の場合は、セキュリティーを自動検出できないため、セキュリティーを選択する必要があります。
      良くわからない場合は、順番に、それぞれのタイプに接続してみてください。
  4. Password フィールドにキーまたはパスフレーズを入力します。40 ビットの WEP キーまたは 128 ビットの WPA キーは、必要な長さがないと無効になります。選択したセキュリティータイプに必要な長さのキーを入力するまで、Connect ボタンは非アクティブのままになります。ワイヤレスセキュリティーの詳細は、「802.1X セキュリティーの設定」 を参照してください。
NetworkManager が正常にアクセスポイントに接続すると、ネットワーク接続アイコンがワイヤレス接続のシグナル強度を示すグラフィカルインジケーターに変わります。
また、自動作成されたアクセスポイント接続の設定を、あたかも自分で追加したように編集することもできます。Network ウィンドウの Wi-Fi ページには History ボタンがあります。このボタンをクリックすると、接続を試みたすべての接続が一覧表示されます。「既存の Wi-Fi 接続の編集」 を参照
非表示 Wi-Fi ネットワークへの接続
すべてのアクセスポイントにはそれら自体の識別のために サービスセット識別子 (SSID) があります。ただし、アクセスポイントは、その SSID をブロードキャストしないように設定できます。この場合、 表示であり、NetworkManagerAvailable ネットワークのリストには表示されません。ただし、その SSID と認証方法と秘密情報が分かっていれば、SSID を非表示としているワイヤレスアクセスポイントに接続することは可能です。非表示のワイヤレスネットワークに接続するには、以下を行います。
手順
  1. Super キーを押してアクティビティーの概要に入り、Settings入力 して Enter を押します。次に、左側の Wi-Fi メニューエントリーを選択します。
  2. Connect to Hidden Network を選択します。2 つの選択肢があります。
    • 以前非表示にしたネットワークに接続したことがある場合は、以下を行います。
      1. ネットワークを選択するには、Connection ドロップダウンを使用します。
      2. Connect をクリックします。
    • そうでない場合は、以下の手順に従ってください。
      1. Connection ドロップダウンを New のままにします。
      2. 非表示のネットワークの SSID を入力します。
      3. その Wi-Fi セキュリティー 方法を選択します。
      4. 正しい認証の秘密を入力します。
      5. Connect をクリックします。
ワイヤレスセキュリティー設定の詳細は、「802.1X セキュリティーの設定」 を参照してください。
新しい Wi-Fi 接続の設定
手順
  1. SettingsWi-Fi メニューエントリーを選択します。
  2. 接続する Wi-Fi 接続名 (デフォルトでは SSID と同じ) をクリックします。
    • SSID が範囲にない場合は、「非表示 Wi-Fi ネットワークへの接続」を参照してください。
    • SSID が範囲内にある場合は、右側のメニューで Wi-Fi 接続プロファイルをクリックします。鍵の記号は、鍵やパスワードが必要であることを示します。要求されたら、認証の詳細を入力してください。
既存の Wi-Fi 接続の編集
以前接続しようとした、または接続できた既存の接続を編集できます。
手順
  1. Super キーを押してアクティビティーの概要に入り、Settings入力 して Enter を押します。
  2. 左側のメニューエントリーから Wi-Fi を選択します。
  3. 編集する Wi-Fi 接続名の右側にある歯車アイコンを選択すると、接続の編集ダイアログが表示されます。現在ネットワークが範囲に含まれていない場合は、履歴 をクリックして過去の接続を表示することに注意してください。Details ウィンドウには、接続の詳細が表示されます。
Wi-Fi 接続に関する基本設定オプション
Wi-Fi 接続の設定を編集するには、接続の編集ダイアログから Identity を選択します。以下の設定が可能です。

図3.13 Wi-Fi 接続に関する基本設定オプション

Wi-Fi 接続に関する基本設定オプション
SSID
アクセスポイント (AP) の サービスセット識別子 (SSID) です。
BSSID
BSSID( Basic Service Set Identifier )は、インフラストラクチャー モードで接続する特定のワイヤレスアクセスポイントの MAC アドレス(ハードウェアアドレス とも呼ばれます)です。このフィールドはデフォルトで空白になっており、BSSID を指定せずに SSID によってワイヤレスアクセスポイントに接続できます。BSSID を指定している場合は、システムによる特定のアクセスポイントのみへの関連付けが強制的に実行されます。
アドホックネットワークの場合、アドホックネットワークの作成時に、mac80211 サブシステムがランダムに BSSID を生成します。NetworkManagerでは表示されません。
MAC アドレス
MAC アドレスを選択します。これは、Wi-Fi が使用する ハードウェアアドレス とも呼ばれます。
単一システムには、1 つまたは複数のワイヤレスネットワークアダプターを接続することができます。したがって、MAC アドレス フィールドを使用すると、特定のワイヤレスアダプターを特定の接続(または接続)に関連付けることができます。
クローンしたアドレス
実際のハードウェアアドレスの代わりに使用する、クローンした MAC アドレスです。必要でない限り、空白のままにします。
以下の設定は、ほとんどの接続の種類に共通のものです。
Wi-Fi 接続の追加設定
編集ダイアログで、既存の接続をさらに設定できます。
設定するには、以下のコマンドを実行します。
新しい (または変更した) 接続の保存
ワイヤレス接続の編集が終わったら、適用 ボタンをクリックして設定を保存します。設定が適切であれば、ネットワーク接続のアイコンメニューからこの変更した接続を選択することで接続できます。ネットワークの選択および接続については、control-center GUI を使用したネットワーク接続」を参照してください。

3.4.8. GUI を使用した VPN 接続の設定

Libreswan が提供する IPsec は、VPN を作成するのに推奨される方法です。Libreswan は、VPN 用のオープンソースのユーザー空間 IPsec 実装です。コマンドラインを使用した IPsec VPN の設定は、『Red Hat Enterprise Linux 7 セキュリティーガイド を参照してください』。
3.4.8.1. control-center を使用した VPN 接続の確立
Libreswan が提供する IPsec は、Red Hat Enterprise Linux 7 で VPN を作成するのに推奨される方法です。詳細は、「GUI を使用した VPN 接続の設定」 を参照してください。
下記の GNOME グラフィカルユーザーインターフェイスツールには、NetworkManager-libreswan-gnome パッケージが必要です。パッケージをインストールするには、root で以下のコマンドを実行します。
~]# yum install NetworkManager-libreswan-gnome
Red Hat Enterprise Linux に新しいパッケージをインストールする方法の詳細は、Red Hat Enterprise Linux システム管理者のガイドを参照してください。
仮想プライベートネットワーク (VPN) を確立すると、使用中の LAN (ローカルエリアネットワーク) と別のリモートの LAN との間で通信ができるようになります。これは、インターネットなどの中間ネットワークにトンネルを設定して行います。設定している VPN トンネルは、通常、認証と暗号化を使用します。安全なトンネルを使用して VPN 接続を正常に確立した後は、ユーザーが送信するパケットに対して、VPN ルーターまたはゲートウェイが以下のアクションを実行します。
  1. ルーティングおよび認証目的で 認証ヘッダー を追加します。
  2. パケットデータを暗号化します。
  3. カプセル化セキュリティーペイロード (ESP) プロトコルに従ってデータをパケットに囲みます。ESP は暗号化解除および処理の指示を設定します。
受信側の VPN ルーターはヘッダー情報を開いてデータを暗号化解読し、それを目的地 (ネットワーク上のワークステーションまたは他のノード) に送信します。ネットワーク対ネットワークの接続を使用すると、ローカルネットワーク上の受信側ノードはすでに暗号化解読されいてすぐに処理ができる状態のパケットを受信します。このため、ネットワーク対ネットワークの VPN 接続での暗号化と暗号化解除のプロセスは、クライアントに透過的になっています。
VPN は認証と暗号化で複数のレイヤーを使用するため、複数のリモートノードを統合してひとつのイントラネットとして作動させる上で安全かつ効果的な手段となります。
新しい IPsec VPN 接続の追加
手順
  1. Super キーを押してアクティビティーの概要に入り、Settings入力 して Enter を押します。次に Network メニューエントリーを選択すると、Network 設定ツールが表示されます。「control-center を使用した新しい接続の設定」 を参照してください。
  2. VPN エントリーで + (プラス) ボタンをクリックします。
  3. Add VPN ウィンドウが表示されます。 手動で設定する場合は、IPsec ベースの VPN を選択します。

    図3.14 IPsec モードの VPN の設定

    IPsec モードの VPN の設定
  4. Identity 設定フォームでは、General セクションおよび Advanced セクションにフィールドを指定できます。

    図3.15 全般オプションおよび高度セクション

    全般オプションおよび高度セクション
  • General セクションで、以下を指定できます。
ゲートウェイ
リモート VPN ゲートウェイの名前または IP アドレス。
ユーザー名
必要な場合は、認証のために VPN ユーザーに関連付けられたパスワードを入力します。
ユーザーパスワード
必要に応じて、認証のために VPN ユーザーの ID に関連付けられているパスワードを入力します。
グループ名
リモートゲートウェイで設定された VPN グループ名です。空欄の場合は、デフォルトのアグレッシブモードではなく IKEv1 メインモードが使われます。
シークレット
ユーザー認証の前に暗号化を初期化するのに使われる、事前共有キーです。必要に応じて、グループ名に関連付けられたパスワードを入力します。
  • Advanced セクションでは、以下の設定が可能です。
フェーズ 1 アルゴリズム
必要な場合は、暗号化チャンネルの認証および設定で使用するアルゴリズムを入力します。
フェーズ 2 アルゴリズム
必要な場合は、IPsec ネゴシエーションに使用するアルゴリズムを入力します。
ドメイン
必要な場合は、ドメイン名を入力します。
注記
NetworkManager を使用せずに IPsec VPN を設定する場合は、「GUI を使用した VPN 接続の設定」 を参照してください。
既存の VPN 接続を編集する
手順
  1. Super キーを押してアクティビティーの概要に入り、Settings入力 して Enter を押します。次に Network メニューエントリーを選択すると、Network 設定ツールが表示されます。「control-center を使用した新しい接続の設定」 を参照してください。
  2. 編集する VPN 接続を選択し、歯車アイコンをクリックして、General セクションおよび Advanced セクションを編集します。「control-center を使用した VPN 接続の確立」 を参照してください。
新規 (または修正した) 接続を保存して他の設定を行う
新しい VPN 接続の編集が終わったら、保存 ボタンをクリックしてカスタマイズした設定を保存します。編集中にプロファイルが使用されていた場合には、接続の電源を入れ直して、NetworkManager が変更を適用するようにします。プロファイルがオフだった場合は、これをオンにするか、ネットワーク接続アイコンメニューで選択します。新規および変更後の接続を使用することに関する詳細情報は、control-center GUI を使用したネットワーク接続」を参照してください。
既存の接続をさらに設定するには、Network ウィンドウでその接続を選択し、Configure をクリックして Editing ダイアログに戻ります。
そして、以下のいずれかの設定をします。
3.4.8.2. nm-connection-editor を使用した VPN 接続の設定
nm-connection-editor を使用して VPN 接続を追加し、設定することもできます。以下の手順を行います。
手順
  1. 端末に nm-connection-editor と入力します。ネットワーク接続 ウィンドウが表示されます。詳細は 「nm-connection-editor を使用した一般的な設定オプション」 を参照してください。
  2. + (プラス) ボタンをクリックします。Choose a Connection Type メニューが開きます。
  3. VPN メニューエントリーから、IPsec ベースの VPN オプションを選択します。
  4. Create をクリックして Editing ダイアログを開き、「新しい IPsec VPN 接続の追加」 に進んで General セクションおよび Advanced セクションを編集します。

3.4.9. GUI を使用したモバイルブロードバンド接続の設定

NetworkManager のモバイルブロードバンド接続機能を使用して、以下の 2G および 3G サービスに接続できます。
  • 2G: GPRS (General Packet Radio Service)、EDGE (Enhanced Data Rates for GSM Evolution)、または CDMA (Code Division Multiple Access)。
  • 3G: UMTS (Universal Mobile Telecommunications System)、HSPA (High Speed Packet Access)、または EVDO (EVolution Data-Only)。
接続を作成するには、使用中のシステムがすでに発見して認識しているモバイルブロードバンドのデバイス (モデム) をコンピューターが備えている必要があります。そのようなデバイスはコンピューターに内蔵されている場合 (多くのノートブックやネットブック) と、外付けまたは内蔵のハードウェアとして提供されている場合があります。たとえば、PC カードや USB モデム、ドングル、モデムとして機能する携帯電話などです。
3.4.9.1. nm-connection-editor を使用したモバイルブロードバンド接続の設定
GNOME nm-connection-editor を使用して、モバイルブロードバンド接続を設定できます。
新しいモバイルブロードバンド接続の追加
手順
  1. 端末に nm-connection-editor と入力します。ネットワーク接続 ウィンドウが表示されます。詳細は 「nm-connection-editor を使用した一般的な設定オプション」 を参照してください。
  2. + (プラス) ボタンをクリックします。Choose a Connection Type メニューが開きます。
  3. Mobile Broadband メニューエントリーを選択します。
  4. Create をクリックして、Set up a Mobile Broadband Connection アシスタントを開きます。
  5. Create a connection for this mobile broadband device で、接続で使用する 2G または 3G 対応デバイスを選択します。ドロップダウンメニューが使用できない場合は、システムがモバイルブロードバンドの機能を持ったデバイスを検出できなかったことを示します。この場合、Cancel をクリックし、モバイルブロードバンド対応のデバイスが接続されており、コンピューターによって認識されていることを確認してから、この手順を再試行してください。続行 ボタンをクリックします。
  6. 一覧からサービスプロバイダーが置かれている国を選択し、Continue ボタンをクリックします。
  7. リストからプロバイダーを選択するか、手動で入力します。続行 ボタンをクリックします。
  8. ドロップダウンメニューから請求プランを選んで、Access Point Name (APN) が正しいか確認します。続行 ボタンをクリックします。
  9. 設定を確認して、適用 ボタンをクリックします。
  10. 「モバイルブロードバンドタブの設定」を参照して、モバイルブロードバンド特有の設定を編集します。
既存のモバイルブロードバンド接続を編集する
手順
  1. 端末に nm-connection-editor と入力します。ネットワーク接続 ウィンドウが 表示されます。
  2. Mobile Broadband タブを選択します。
  3. 編集する接続を選択し、歯車アイコンをクリックします。詳細は、「nm-connection-editor を使用した一般的な設定オプション」を参照してください。
  4. 「モバイルブロードバンドタブの設定」を参照して、モバイルブロードバンド特有の設定を編集します。
モバイルブロードバンドタブの設定
アシスタントを使用して新しいモバイルブロードバンド接続をすでに追加している場合(手順は 「新しいモバイルブロードバンド接続の追加」 を参照)、ホームネットワークが利用できない場合はローミングを無効にするか、ネットワーク ID を割り当て、接続を使用するときに特定の技術(3G や 2G など)を優先するように NetworkManager に指示できます。
Number
GSM ベースのモバイルブロードバンドネットワークでの PPP 接続を確立するためにダイアルする番号です。このフィールドは、ブロードバンドデバイスの初期インストールの際に自動設定されている場合があります。通常、このフィールドは空白のままにして、代わりに APN を入力できます。
Username
ネットワークでの認証に使用するユーザー名を記入します。一部のプロバイダーは、ユーザー名を提供しないことや、ネットワーク接続の時点でユーザー名を受け付けたりすることがあります。
Password
ネットワークで認証に使用するパスワードを記入します。一部のプロバイダーはパスワードを提供しなかったり、またはすべてのパスワードを受け付けたりします。
APN
GSM ベースのネットワークとの接続を確立するために使用する Access Point Name (APN) を記入します。これは以下の項目を決定するので、正しい APN を記入することが重要になります。
  • ネットワーク使用量についてユーザーが請求される方法
  • ユーザーがインターネット、イントラネット、サブネットワークにアクセスできるかどうか。
ネットワーク ID
ネットワーク ID を入力すると、NetworkManager は、デバイスが特定のネットワークにのみ登録するように強制します。これにより、ローミングを直接に制御できない時に接続がローミングしないようにします。
Type
any: デフォルト値の Any では、モデムは最速のネットワークを選択します。
3G (UMTS/HSPA): 接続に 3G ネットワーク技術のみを使用するように強制します。
2G (GPRS/EDGE): 接続に 2G ネットワーク技術のみを使用するように強制します。
prefer 3G (UMTS/HSPA) - HSPA や UMTS などの 3G 技術を使用して最初に接続を試み、障害時にのみ GPRS または EDGE にフォールバックします。
prefer 2G (GPRS/EDGE) - まず、GPRS や EDGE などの 2G 技術を使用して接続しようとし、障害時にのみ HSPA または UMTS にフォールバックします。
ホームネットワークが使用できない場合にローミングを許可
ホームネットワークからローミングに移行せずに NetworkManager が接続を終了するようにするには、このボックスをオフにします。ボックスがオンになっていると、NetworkManager は、ホームネットワークからローミングに移行して適切な接続を維持しようとします。その逆も同様です。
PIN
デバイスの SIM (Subscriber Identity Module)が PIN (PersonIdentification Number)でロックされている場合は、PIN を入力して、NetworkManager がデバイスのロックを解除できるようにします。デバイスを使用するために PIN が必要な場合は、NetworkManager は SIM のロックを解除する必要があります。
CDMA および EVDO のオプションは少なくなります。APNNetwork ID、または Type オプションは含まれません。
新規 (または修正した) 接続を保存して他の設定を行う
モバイルブロードバンド接続の編集が終わったら、適用 ボタンをクリックしてカスタマイズした設定を保存します。編集中にプロファイルが使用されていた場合には、接続の電源を入れ直して、NetworkManager が変更を適用するようにします。プロファイルがオフだった場合は、これをオンにするか、ネットワーク接続アイコンメニューで選択します。新規および変更後の接続を使用することに関する詳細情報は、control-center GUI を使用したネットワーク接続」を参照してください。
既存の接続をさらに設定するには、ネットワーク 接続 ウィンドウでその接続を選択し、編集 をクリックして 編集 ダイアログに戻ります。
そして、以下のいずれかの設定をします。

3.4.10. GUI を使用して DSL 接続の設定

このセクションでは、個人ユーザーや SOHO インストールでよくある DSL モデムルーターの外部の組み合わせではなく、ホスト内に DSL カードが組み込まれているインストールについて説明します。
3.4.10.1. nm-connection-editor を使用した DSL 接続の設定
GNOME nm-connection-editor を使用して DSL 接続を設定できます。
新しい DSL 接続の追加
手順
  1. 端末に nm-connection-editor と入力します。ネットワーク接続 ウィンドウが表示されます。詳細は 「nm-connection-editor を使用した一般的な設定オプション」 を参照してください。
  2. + (プラス) ボタンをクリックします。
  3. 接続の種類の選択 リストが表示されます。
  4. DSL を選択し、Create ボタンをクリックします。
  5. DSL Connection 1の編集 ウィンドウが表示されます。
既存の DSL 接続を編集する
手順
  1. 端末に nm-connection-editor と入力します。ネットワーク接続 ウィンドウが 表示されます。
  2. 編集する接続を選択し、歯車アイコンをクリックします。詳細は、「nm-connection-editor を使用した一般的な設定オプション」を参照してください。
DSL タブの設定
Username
サービスプロバイダー認証で使用するユーザー名を入力します。
サービス
サービスプロバイダーからの指示がない限り、空白のままにします。
Password
サービスプロバイダーから提供されたパスワードを入力します。
新規 (または修正した) 接続を保存して他の設定を行う
DSL 接続の編集が終わったら、適用 ボタンをクリックしてカスタマイズした設定を保存します。編集中にプロファイルが使用されていた場合には、接続の電源を入れ直して、NetworkManager が変更を適用するようにします。プロファイルがオフだった場合は、これをオンにするか、ネットワーク接続アイコンメニューで選択します。新規および変更後の接続を使用することに関する詳細情報は、control-center GUI を使用したネットワーク接続」を参照してください。
既存の接続をさらに設定するには、ネットワーク 接続 ウィンドウでその接続を選択し、編集 をクリックして 編集 ダイアログに戻ります。
設定するには、以下のコマンドを実行します。

3.5. ifcfg ファイルを使用した IP ネットワークの設定

システム管理者は、ifcfg ファイルを編集して、ネットワークインターフェイスを手動で設定できます。
インターフェイス設定 (ifcfg) ファイルは、個々のネットワークデバイスのソフトウェアインターフェイスを制御します。これは、システムの起動時に、このファイルを使用して、どのインターフェイスを起動するかと、どのように設定するかを決定します。通常、これらのファイルの名前は ifcfg-name です。接尾辞 name は、設定ファイルが制御するデバイスの名前を指します。通常、ifcfg ファイルの接尾辞は、設定ファイル自体の DEVICE ディレクティブが指定する文字列と同じです。

ifcfg ファイルを使用した静的ネットワーク設定によるインタフェースの設定

たとえば、ifcfg ファイルを使用して静的ネットワークでインターフェイスを設定するには、enp1s0 という名前のインターフェイスに対して、/etc/sysconfig/network-scripts/ ディレクトリーに ifcfg-enp1s0 という名前のファイルを作成します。これには以下が含まれます。
  • IPv4 設定の場合
    DEVICE=enp1s0
    BOOTPROTO=none
    ONBOOT=yes
    PREFIX=24
    IPADDR=10.0.1.27
    
  • IPv6 設定の場合
    DEVICE=enp1s0
    BOOTPROTO=none
    ONBOOT=yes
    IPV6INIT=yes
    IPV6ADDR=2001:db8::2/48
    
    これは ipcalc によって自動的に計算されるため、ネットワークまたはブロードキャストアドレスを指定する必要はありません。
    IPv6 の ifcfg 設定オプションの詳細は、『nm-settings-ifcfg-rh(5)』 の man ページを参照してください。
重要
Red Hat Enterprise Linux 7 では、11章ネットワークデバイス命名における一貫性で説明されるように、ネットワークインターフェイスの命名規則が変更されています。HWADDR ディレクティブを使用してハードウェアまたは MAC アドレスを指定すると、デバイスの命名手順に影響が及ぶ可能性があります。

ifcfg ファイルを使用した動的ネットワーク設定によるインタフェースの設定

ifcfg ファイルを使用して動的ネットワーク設定で em1 という名前のインターフェイスを設定するには、次のコマンドを実行します。
  1. /etc/sysconfig/network-scripts/ ディレクトリーに、以下のような ifcfg-em1 という名前のファイルを作成します。
    DEVICE=em1
    BOOTPROTO=dhcp
    ONBOOT=yes
    
  2. DHCP サーバーに別のホスト名を送信するようにインターフェイスを設定するには、ifcfg ファイルに以下の行を追加します。
    DHCP_HOSTNAME=hostname
    DHCP サーバーに別の完全修飾ドメイン名(FQDN)を送信するようにインターフェイスを設定するには、ifcfg ファイルに以下の行を追加します。
    DHCP_FQDN=fully.qualified.domain.name
    注記
    指定した ifcfg ファイルでは、DHCP_HOSTNAME または DHCP_FQDN のいずれかのディレクティブ 1 つのみを使用してください。DHCP_HOSTNAMEDHCP_FQDN の両方が指定されている場合は、後者のみが使用されます。
  3. 特定の DNS サーバーを使用するようにインターフェイスを設定するには、ifcfg ファイルに以下の行を追加します。
      PEERDNS=no
      DNS1=ip-address
      DNS2=ip-address
    ip-address は、DNS サーバーのアドレスです。これにより、ネットワークサービスが指定された DNS サーバーで /etc/resolv.conf を更新します。DNS サーバーアドレスは 1 つだけ必要です。もう 1 つのアドレスは任意です。
  4. ifcfg ファイルで静的ルートを設定するには、「ifcfg ファイルでの静的ルートの設定」 を参照してください。
    デフォルトでは、インターフェイス設定ファイルで BOOTPROTOdhcp に設定してアドレスを自動的に取得するようにプロファイルが設定されている場合、NetworkManagerDHCP クライアントである dhclient を呼び出します。DHCP が必要な場合は、インターフェイス上のすべてのインターネットプロトコル( IPv4 および IPv6 )に対して dhclient のインスタンスが開始されます。NetworkManager が実行していない場合や、インターフェイスを管理していない場合は、必要に応じて従来のネットワークサービスが dhclient のインスタンスを呼び出します。動的な IP アドレスの詳細は、「静的 IP アドレス指定と動的 IP アドレス指定の比較」を参照してください。
  5. 設定を適用するには、以下を行います。
    1. 更新した接続ファイルを再読み込みします。
      # nmcli connection reload
    2. 接続を再度有効にします。
      # nmcli connection up connection_name

3.5.1. ifcfg ファイルを使用したシステム全体およびプライベート接続プロファイルの管理

パーミッションは、ifcfg ファイルの USERS ディレクティブに対応します。USERS ディレクティブが存在しない場合、ネットワークプロファイルはすべてのユーザーが利用できます。たとえば、ifcfg ファイルの以下のコマンドは、リストされているユーザーだけが接続を利用できるようにします。
USERS="joe bob alice"
また、USERCTL ディレクティブを設定して、デバイスを管理できます。
  • yes を設定すると、root 以外のユーザーはこのデバイスを制御できます。
  • を設定し ない と、root 以外のユーザーがこのデバイスを制御することはでき ません

3.6. ip コマンドを使用した IP ネットワークの設定

システム管理者は、ip コマンドを使用してネットワークインターフェイスを設定できますが、再起動後も変更は維持されません。システムを再起動すると、変更が失われます。
ip ユーティリティーのコマンドは、アップストリームのパッケージ名の後に iproute2 と呼ばれることがありますが、man ip (8) ページに記載されています。Red Hat Enterprise Linux 7 におけるパッケージ名は、iproute となります。必要に応じて、以下のようにバージョン番号を確認して、ip ユーティリティーがインストールされていることを確認できます。
~]$ ip -V
ip utility, iproute2-ss130716
ip コマンドを使用すると、NetworkManager と並行してアドレスとルートを追加および削除することができます。これにより、アドレスとルートが維持され、nmclinmtuicontrol-center、D-Bus API で認識されます。
インターフェイスを停止するには、以下のコマンドを実行します。
ip link set ifname down
注記
ip link set ifname コマンドは、ネットワークインターフェイスを IFF_UP 状態に設定し、カーネルのスコープから有効にします。これは、initscripts の ifup ifname コマンドまたは NetworkManager のデバイスのアクティブ化状態とは異なります。実際、NetworkManager は、インターフェイスが現在切断されている場合でも常にインターフェイスを設定します。nmcli ツールを使用してデバイスを切断しても、IFF_UP フラグは削除されません。このようにして、NetworkManager はキャリアの状態に関する通知を受け取ります。
ip ユーティリティーは、ifconfig ユーティリティーに代わるものであることに注意してください。これは、( ifconfigが提供する) net-tools パッケージが InfiniBand アドレスに対応していないためです。
利用可能な OBJECT の詳細は、ip help コマンドを使用します。たとえば、ip link help および ip addr help などです。
注記
コマンド ラインで指定された IP コマンドは、システム再起動後に維持されません。永続性が必要な場合は、設定ファイル(ifcfg ファイル)を利用するか、スクリプトにコマンドを追加します。
コマンドラインと設定ファイルの使用例は、nmtui および nmcli の例の後に含まれていますが、NetworkManager へのグラフィカルユーザーインターフェイス( control-center、および nm-connection-editor )のいずれかの使用を説明する前。
ip ユーティリティーを使用すると、以下の形式のインターフェイスに IP アドレスを割り当てることができます。
ip addr [ add | del ] address dev ifname

ip コマンドを使って静的アドレスを割り当てる

IP アドレスをインターフェイスに割り当てるには、以下を実行します。
~]# ip address add 10.0.0.3/24 dev enp1s0
You can view the address assignment of a specific device:
~]# ip addr show dev enp1s0
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether f0:de:f1:7b:6e:5f brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.3/24 brd 10.0.0.255 scope global global enp1s0
       valid_lft 58682sec preferred_lft 58682sec
    inet6 fe80::f2de:f1ff:fe7b:6e5f/64 scope link
       valid_lft forever preferred_lft forever
その他の例およびコマンドオプションは、man ページの ip-address (8) を参照してください。

ip コマンドを使って複数のアドレスを設定する

ip ユーティリティーは、同じインターフェイスへの複数のアドレスの割り当てをサポートしているため、複数のアドレスを同じインターフェイスにバインドする alias インターフェイスメソッドを使用する必要がなくなりました。アドレスを割り当てる ip コマンドは、複数のアドレスを割り当てるために複数回繰り返すことができます。以下に例を示します。
~]# ip address add 192.168.2.223/24 dev enp1s0
~]# ip address add 192.168.4.223/24 dev enp1s0
~]# ip addr
3: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 52:54:00:fb:77:9e brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.223/24 scope global enp1s0
    inet 192.168.4.223/24 scope global enp1s0
ip ユーティリティーのコマンドの詳細は、man ページの ip (8) を参照してください。
注記
コマンド ラインで指定された IP コマンドは、システム再起動後に維持され ません

3.7. カーネルコマンドラインから IP ネットワークの設定

インターフェイスから iSCSI ターゲットの root ファイルシステムに接続すると、インストール済みシステムでネットワーク設定が設定されません。この問題を解決するために、以下を行います。
  1. dracut ユーティリティーをインストールします。dracut の使用に関する詳細は、Red Hat Enterprise Linux System Administrator's Guideを参照してください。
  2. カーネルコマンドラインの ip オプションを使用して、設定を行います。
    ip<client-IP-number>:[<server-id>]:<gateway-IP-number>:<netmask>:<client-hostname>:<interface>:{dhcp|dhcp6|auto6|on|any|none|off}
    • DHCP: DHCP 設定
    • dhpc6: DHCP IPv6 設定
    • auto6 - 自動 IPv6 設定
    • any: カーネルで利用可能なプロトコル(デフォルト)
    • noneoff - 自動設定なし、静的ネットワーク設定
    以下に例を示します。
    ip=192.168.180.120:192.168.180.100:192.168.180.1:255.255.255.0::enp1s0:off
  3. ネームサーバーの設定を定義します。
    nameserver=srv1 [nameserver=srv2 [nameserver=srv3 […]]]
dracut ユーティリティーはネットワーク接続を設定し、/etc/sysconfig/network-scripts/ ファイルにコピーできる新しい ifcfg ファイルを生成します。

3.8. IGMP で IP マルチキャストの有効化

IGMP (Internet Group Management Protocol) を使用すると、管理者は、ネットワーク間、ホスト間、およびルーター間のマルチキャストトラフィックへのルーティングおよびサブスクリプションを管理できるようになります。Red Hat Enterprise Linux のカーネルは IGMPv3 に対応しています。
マルチキャスト情報を表示するには、以下のように ip maddr show サブコマンドを使用します。
~]$ ip maddr show dev br0
8:	br0
	inet  224.0.0.1
	inet6 ff02::1
	inet6 ff01::1
[output truncated]
または、ip link show コマンド出力で MULTICAST 文字列を見つけます。以下に例を示します。
~]$ ip link show br0
8: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT qlen 1000
    link/ether 6c:0b:84:67:fe:63 brd ff:ff:ff:ff:ff:ff
デバイスでマルチキャストを無効にし、br0 デバイスで無効になっていることを確認するには、以下を行います。
~]# ip link set multicast off dev br0
~]$ ip link show br0
8: br0: <BROADCAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT qlen 1000
    link/ether 6c:0b:84:67:fe:63 brd ff:ff:ff:ff:ff:ff
MULTICAST 文字列がない場合は、マルチキャストが無効になっていることを示します。
br0 デバイスでマルチキャストを有効にし、それが有効になっていることを確認するには、以下を行います。
~]# ip link set multicast on dev br0
~]$ ip link show br0
8: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT qlen 1000
    link/ether 6c:0b:84:67:fe:63 brd ff:ff:ff:ff:ff:ff
詳細は、ip Command Cheat Sheet for Red Hat Enterprise Linux の記事および ip (8) man ページを参照してください。
マルチキャスト用にサブスクライブしている IGMP と IP アドレスの現行バージョンを確認するには、/proc/net/igmp ファイルを参照してください。
~]$ cat /proc/net/igmp
注記
デフォルトでは、IGMP は firewalld で有効になっていません。ゾーンで IGMP を有効にするには、以下を行います。
~]# firewall-cmd --zone=zone-name --add-protocol=igmp

3.9. 関連情報

インストールされているドキュメント

  • ip(8)』 man ページ: ip ユーティリティーのコマンド構文を説明しています。
  • nmcli(1)』 の man ページ: NetworkManager のコマンドラインツールを説明しています。
  • nmcli-examples(5)』 man ページ: nmcli コマンドの例を説明します。
  • nm-settings(5)』 man ページ: NetworkManager のプロパティーとその設定を説明しています。
  • nm-settings-ifcfg-rh(5)』 man ページ: ifcfg-rh 設定プラグインを説明しています。

オンラインドキュメント

Red Hat Enterprise Linux 7 セキュリティーガイド
IPsec ベースの VPN とその設定について説明します。DNSSEC を使用した認証済み DNS クエリーの使用を説明します。
RFC 1518: Classless Inter-Domain Routing (CIDR)
可変長サブネットを含む CIDR アドレス割り当ておよび集約戦略を説明しています。
RFC 1918: Address Allocation for Private Internets
は、プライベート使用用に予約されている IPv4 アドレスの範囲を説明します。
RFC 3330: Special-Use IPv4 Addresses
Internet Assigned Numbers Authority (IANA)によって割り当てられたグローバルおよび他の特殊な IPv4 アドレスブロックを説明します。

第4章 静的ルートおよびデフォルトゲートウェイの設定

本章は、静的ルートおよびデフォルトゲートウェイの設定を説明します。

4.1. ルーティングおよびゲートウェイの概要

ルーティングは、別のシステムへのネットワークパスをシステムが見つけられるようにするメカニズムです。ルーティングは、しばしば、ルーティング専用のネットワーク上で、デバイスにより処理されます (ただし、デバイスはルーティングを行うように設定できます)。したがって、Red Hat Enterprise Linux サーバーまたはクライアントで静的ルートを設定する必要がない場合もしばしばあります。例外は、暗号化された VPN トンネルを通過する必要があるトラフィックや、コストやセキュリティー上の理由から、特定のルートを通過する必要があるトラフィックが含まれます。ホストのルーティングテーブルには、ネットワークに直接接続しているルートが自動的に追加されます。このルートは、ネットワークインターフェイスが 起動 していると調べられます。リモートネットワークまたはホストに到達するには、システムには、トラフィックが送られるゲートウェイのアドレスが指定されている必要があります。
ホストのインターフェイスが DHCP によって設定されている場合、通常はアップストリームネットワークまたはインターネットにつながるゲートウェイのアドレスが割り当てられます。このゲートウェイは、通常はデフォルトのゲートウェイと呼ばれます。これは、システムがこれ以上のルールを認識していない場合 (ルーティングテーブルに存在しない場合)、使用するゲートウェイとなるためです。ネットワーク管理者は、ネットワーク内の最初または最後のホスト IP アドレスをゲートウェイアドレスとして使用します(例:192.168.10 .1 または 192.168.10.254 )。ネットワーク自体を表すアドレス(この例では 192 . 168.10.0)と、サブネットのブロードキャストアドレス(この例では 192. 168.10.255)と混同しないようにしてください。デフォルトゲートウェイは、従来のネットワークルーターです。デフォルトゲートウェイは、ローカルネットワーク宛ではなく、ルーティングテーブルで優先ルートが指定されていないすべてのトラフィックに適用されます。
注記
専門知識を深めるには、Red Hat システム管理 I (RH124) トレーニングコースの受講を推奨します。

4.2. nmcli を使った静的ルートの設定

nmcli ツールを使用して静的ルートを設定するには、以下のいずれかを使用します。
  • nmcli コマンドライン
  • nmcli インタラクティブ接続エディター

例4.1 nmcli を使った静的ルートの設定

コマンドラインを使用して、既存のイーサネット接続に静的ルートを設定するには、以下のコマンドを実行します。
~]# nmcli connection modify enp1s0 +ipv4.routes "192.168.122.0/24 10.10.10.1"
これにより、192 .168.22. 0/24 サブネットへのトラフィックが 10.10.10.1 のゲートウェイに転送されます。

例4.2 nmcli をエディター使用した静的ルートの設定

インタラクティブエディターを使用したイーサネット接続に静的ルートを設定するには、以下のコマンドを実行します。
~]$ nmcli con edit ens3
===| nmcli interactive connection editor |===

Editing existing '802-3-ethernet' connection: 'ens3'

Type 'help' or '?' for available commands.
Type 'describe [<setting>.<prop>]' for detailed property description.

You may edit the following settings: connection, 802-3-ethernet (ethernet), 802-1x, dcb, ipv4, ipv6, tc, proxy
nmcli> set ipv4.routes 192.168.122.0/24 10.10.10.1
nmcli> save persistent
Connection 'ens3' (23f8b65a-8f3d-41a0-a525-e3bc93be83b8) successfully updated.
nmcli> quit

4.3. GUI を使用した静的ルートの設定

静的ルートを設定するには、設定する接続の IPv4 または IPv6 設定ウィンドウを開きます。詳細は control-center GUI を使用したネットワーク接続」を参照してください。
ルート
Address - リモートネットワーク、サブネット、またはホストの IP アドレスを入力します。
ネットマスク - 上記で入力した IP アドレスのネットマスクまたは接頭辞長。
Gateway - 上記で入力したリモートネットワーク、サブネット、またはホストにつながるゲートウェイの IP アドレス。
メトリック: このルートに渡す優先値であるネットワークコスト。数値が低い方が優先されます。
自動
Automatic が ON の場合、RA または DHCP からのルートが使用されますが、追加の静的ルートを追加することもできます。OFF の場合は、定義した静的ルートのみが使用されます。
Use this connection only for resources on its network (この接続はネットワーク上のリソースのためだけに使用)
このチェックボックスを選択すると、この接続はデフォルトルートになりません。よくある例としては、本社への接続が VPN トンネルや専用線で、インターネット向けトラフィックにこの接続を使用しない場合が挙げられます。このオプションを選択すると、この接続で自動的に学習したルートを使用することが明確なトラフィックか、手動で入力したトラフィックのみがこの接続を経由します。

4.4. ip コマンドでの静的ルートの設定

システム管理者は、ip route コマンドを使用して静的ルートを設定できます。
IP ルーティングテーブルを表示するには、ip route コマンドを使用します。以下に例を示します。
~]$ ip route
default via 192.168.122.1 dev ens9  proto static  metric 1024
192.168.122.0/24 dev ens9  proto kernel  scope link  src 192.168.122.107
192.168.122.0/24 dev enp1s0  proto kernel  scope link  src 192.168.122.126
ip route コマンドは、以下の形式を取ります。オプションおよび形式の詳細は、
ip route [ add | del | change | append | replace ] destination-address
ip-route (8) man ページを参照してください。
静的ルートをホストアドレス、つまり 1 つの IP アドレスに追加するには、以下のコマンドを実行します。
~]# ip route add 192.0.2.1 via 10.0.0.1 [dev interface]
ここでの 192. 0.2.1 は、ドット付き 10 進表記のホストの IP アドレスで、10.0.0.1 はネクストホップアドレスで、interface はネクストホップにつながる終了インターフェイスです。
ネットワークに静的ルートを追加するには(つまり IP アドレスの範囲を表す IP アドレス)、以下を実行します。
~]# ip route add 192.0.2.0/24 via 10.0.0.1 [dev interface]
192.0.2.0 はドット付き 10 進表記の宛先ネットワークの IP アドレスで、/24 はネットワーク接頭辞です。ネットワーク接頭辞は、サブネットマスク内の有効なビット数です。ネットワークアドレスにスラッシュ、ネットワーク接頭辞長を続けるこの形式は、classless inter-domain routing (CIDR) 表記と呼ばれることもあります。
割り当てた静的ルートを削除するには、以下のコマンドを実行します。
~]# ip route del 192.0.2.1
ip route を使用してルーティングテーブルに加えた変更は、システムを再起動しても維持されません。静的ルートを永続的に設定するには、そのインターフェイス /etc/sysconfig/network-scripts/ ディレクトリーに route-interface ファイルを作成して設定します。たとえば、enp1s0 インターフェイスの静的ルートは、/etc/sysconfig/network-scripts/route-enp1s0 ファイルに保存されます。route-interface ファイルに加えた変更は、ネットワークサービスまたはインターフェイスを再起動するまで反映されません。route-interface ファイルには、2 つの形式があります。
ip route コマンドの詳細は、ip-route (8) man ページを参照してください。

4.5. ifcfg ファイルでの静的ルートの設定

コマンドプロンプトで ip コマンドを使用して設定した静的ルートは、システムがシャットダウンまたは再起動されると失われます。システムの再起動後に静的ルートを永続化するように設定するには、/etc/sysconfig/network-scripts/ ディレクトリーのインターフェイスごとの設定ファイルに配置する必要があります。ファイル名は、route-interface の形式にする必要があります。設定ファイルで使用するコマンドの種類は 2 つあります。

IP コマンド引数形式を使用した静的ルート

インターフェイスごとの設定ファイル(例: /etc/sysconfig/network-scripts/route-enp1s0 )で必要な場合は、最初の行でデフォルトゲートウェイへのルートを定義します。これは、ゲートウェイが DHCP 経由で設定されておらず、/etc/sysconfig/network ファイルでグローバルに設定されていない場合のみ必要です。
default via 192.168.1.1 dev interface
ここでの 192.168.1.1 は、デフォルトゲートウェイの IP アドレスです。interface は、デフォルトゲートウェイに接続されている、または到達可能なインターフェイスになります。dev オプションは省略できます。これはオプションです。この設定は、/etc/sysconfig/network ファイルの設定よりも優先されることに注意してください。
リモートネットワークへのルートが必要な場合は、静的ルートは以下のように指定できます。各行は、個別のルートとして解析されます。
10.10.10.0/24 via 192.168.1.1 [dev interface]
ここでの 10.10.10.0/24 は、リモートもしくは宛先ネットワークのネットワークアドレスおよび接頭辞長です。アドレス 192.168.1.1 は、リモートネットワークにつながる IP アドレスです。ネクストホップアドレス の方が好ましいですが、出口インターフェイスのアドレスでも機能します。ネクストホップとは、ゲートウェイやルーターなどリンクのリモート側を意味します。dev オプションを使用して、終了 インターフェイス を指定できますが、必須ではありません。必要に応じて静的ルートを追加します。
以下は、ip コマンド引数形式を使用した route-interface ファイルの例です。デフォルトゲートウェイは 192.168.0.1 です。 enp1s0 リースされた行または WAN 接続は 192.168.0.10 で利用できます。2 つの静的ルートは、10.10.10.0/ 24 ネットワークおよび 172.16.1.10/32 ホストに到達するためのものです。
default via 192.168.0.1 dev enp1s0
10.10.10.0/24 via 192.168.0.10 dev enp1s0
172.16.1.10/32 via 192.168.0.10 dev enp1s0
上記の例では、ローカルの 192.168.0.0/24 ネットワークに送信されるパケットは、そのネットワークに接続されているインターフェイスに送信されます。10.10.10.0/ 24 ネットワークおよび 172.16.1.10/32 ホストに送信されるパケットは 192. 168.0.10 に転送されます。既知でないリモートネットワークに向かうパケットはデフォルトゲートウェイを使用するので、デフォルトルートが適切でない場合は、静的ルートはリモートネットワークもしくはホスト用のみに設定すべきです。ここでのリモートとは、システムに直接繋がれていないネットワークやホストを指します。
IPv6 設定の場合、ip ルート形式の route6-interface ファイルの例:
2001:db8:1::/48 via 2001:db8::1 metric 2048
2001:db8:2::/48
出口インターフェイスの指定は、オプションです。特定のインターフェイスからトラフィックを強制的に締め出したい場合は、これが便利です。たとえば、VPN の場合、リモートネットワークへのトラフィックが通過するように強制できます。 tun0 インターフェイスが宛先ネットワークとは別のサブネットにある場合でも、インターフェイス。
ip route 形式を使用して、送信元アドレスを指定できます。以下に例を示します。
10.10.10.0/24 via 192.168.0.10 src 192.168.0.2
複数のルーティングテーブルを指定する既存のポリシーベースのルーティング設定を定義するには、「ポリシールーティングについて」を参照してください。
重要
デフォルトゲートウェイがすでに DHCP によって割り当てられており、同じメトリックを持つ同じゲートウェイが設定ファイルで指定されている場合、起動時またはインターフェイスの起動時にエラーが発生します。"RTNETLINK answers: File exists" というエラーメッセージが表示される可能性があります。このエラーは無視できます。

Network または Netmask のディレクティブ形式を使用した静的ルート

route-interface ファイルに network/netmask ディレクティブ形式を使用することもできます。以下は、ネットワーク/ネットマスク形式のテンプレートで、後に説明が続きます。
ADDRESS0=10.10.10.0
NETMASK0=255.255.255.0
GATEWAY0=192.168.1.1
  • ADDRESS0=10.10.10. 0 は、到達するリモートネットワークまたはホストのネットワークアドレスです。
  • NETMASK0=255 .255.255 .0 は、ADDRESS0= 10.10.10.0 で定義されているネットワークアドレスのネットマスクです。
  • GATEWAY0=192 .168.1.1は、ADDRESS0= 10.10.10.0 に到達するために使用できるデフォルトゲートウェイまたは IP アドレスです。
以下は、network/netmask ディレクティブ形式を使用した route-interface ファイルの例です。デフォルトゲートウェイは 192.168.0.1 ですが、リースされた行または WAN 接続は 192.168.0 .10 で利用できます。2 つの静的ルートは、10.10.10.0/24 および 172.16.1.0/24 ネットワークに到達するためのものです。
ADDRESS0=10.10.10.0
NETMASK0=255.255.255.0
GATEWAY0=192.168.0.10
ADDRESS1=172.16.1.10
NETMASK1=255.255.255.0
GATEWAY1=192.168.0.10
後に続く静的ルートは、順番に番号付けされる必要があり、いずれの値もスキップしてはいけません。たとえば、ADDRESS0ADDRESS1ADDRESS2 などです。
デフォルトでは、パケットをあるインターフェイスから別のインターフェイスに転送することや、同じインターフェイスから外部に送信することは、セキュリティー上の理由から無効になっています。 これにより、外部トラフィック用のルーターとしてシステムが動作しているのを防ぐことができます。接続の共有や VPN サーバーの設定など、外部トラフィックをルーティングするのにシステムがルーティングする必要がある場合は、IP 転送を有効にする必要があります。詳細は『Red Hat Enterprise Linux 7 Security Guide』を参照してください。

4.5.1. ポリシールーティングについて

Policy-routing はソースルーティングとも呼ばれ、より柔軟なルーティング設定のためのメカニズムです。ルーティングの決定は、通常、パッケージの宛先 IP アドレスに基づいて行われます。ポリシールーティング により、ソース IP アドレス、ソースポート、プロトコルタイプなどの他のルーティングプロパティーに基づいてルートをより柔軟に選択できます。ルーティングテーブルは、ネットワークに関するルート情報を保存します。これらは、/etc/iproute2/rt_tables ファイルに設定できる数値または名前で識別されます。デフォルトのテーブルは 254 で識別されます。policy-routing を使用すると、ルールも必要になります。ルールは、ルーティングテーブルを選択するために使用され、パケットの特定のプロパティーに基づいています。
initscript の場合、ルーティングテーブルは、テーブルの引数から設定できるルートのプロパティーになります。ip route 形式は、複数のルーティングテーブルを指定する既存のポリシーベースのルーティング設定を定義するために使用できます。
10.10.10.0/24 via 192.168.0.10 table 1
10.10.10.0/24 via 192.168.0.10 table 2
initscripts でルーティングルールを指定するには、IPv4 の場合は /etc/sysconfig/network-scripts/rule-enp1s0 ファイル、または IPv6 の場合は /etc/sysconfig/network-scripts/rule6-enp1s0 ファイルに編集します。
NetworkManager はポリシールーティングをサポートしますが、ルールはまだサポートされていません。ルールは、カスタムスクリプトを実行して設定する必要があります。手動の静的なルート 1 つに対して、ルーティングテーブルを 1 つ選択できます。
  • IPv4の場合は ipv4.route-table
    および
  • IPv6 の場合は ipv6.route-table
特定のテーブルへのルートを設定することで、DHCPautoconf6DHCP6 からのすべてのルートがそのテーブルに配置されます。また、アドレスをすでに設定しているサブネットのルートはすべて、対応するルーティングテーブルに追加します。たとえば、192.168.1.10/24 アドレスを設定する場合は、ipv4.route-table に 192.168.1.0/24 サブネットを追加します。
policy-routing ルールの詳細は、man ページの ip-rule (8) を参照してください。ルーティングテーブルは、man ページの ip-route (8) を参照してください。

4.6. デフォルトゲートウェイの設定

デフォルトゲートウェイは、最初に /etc/sysconfig/network ファイルを解析し、up にあるインターフェイスのネットワークインターフェイス ifcfg ファイルを解析するネットワークスクリプトによって決定されます。ifcfg ファイルは数値順に解析され、最後に読み取られる GATEWAY ディレクティブはルーティングテーブルのデフォルトルートを作成するために使用されます。
デフォルトルートは、GATEWAY ディレクティブで、グローバルまたはインターフェイス固有の設定ファイルのいずれかで指定できます。ただし、Red Hat Enterprise Linux では、グローバルな /etc/sysconfig/network ファイルの使用は非推奨となり、ゲートウェイの指定はインターフェイスごとの設定ファイルでのみ行う必要があります。
NetworkManager がモバイルホストが管理している動的ネットワーク環境では、ゲートウェイ情報はインターフェイス固有である可能性が高く、DHCP によって割り当てられるのが最適です。NetworkManager のゲートウェイへのアクセスに使用する終了インターフェイスの選択に影響を与える必要がある特別なケースでは、デフォルトゲートウェイに送られないインターフェイスに対して ifcfg ファイルで DEFROUTE=no コマンドを利用します。

第5章 ネットワーク接続設定の設定

本章では、ネットワーク接続設定のさまざまな設定について説明し、NetworkManager を使用して設定する方法を説明します。

5.2. 802.1X セキュリティーの設定

802.1X セキュリティーとは、ポートベースのネットワークアクセス制御 (PNAC) 用の IEEE 基準の名前です。これは、WPA Enterprise とも呼ばれます。802.1X セキュリティーは、物理ネットワークから 論理ネットワーク へのアクセスを制御する手段です。論理ネットワークに参加するクライアントはすべて、正しい 802.1X 認証方法を使用して、ルーターなどのサーバーで認証を行う必要があります。
802.1X セキュリティーは、ほとんどの場合、ワイヤレスネットワーク (WLAN) のセキュリティー保護に関連付けられていますが、ネットワーク (LAN) に物理的にアクセスする侵入者が侵入するのを防ぐためにも使用できます。
以前は、DHCP サーバーは、許可されていないユーザーに IP アドレスをリースしないように設定されていましたが、さまざまな理由から、これは実用的ではなく、安全ではないため、推奨されなくなりました。代わりに、802.1X セキュリティーを使用して、ポートベースの認証を通じて、論理的に安全なネットワークを確保します。
802.1X は、WLAN と LAN のアクセス制御のためのフレームワークを提供して、EAP (Extensible Authentication Protocol) タイプの 1 つを運搬するエンベロープとして機能します。EAP のタイプとは、ネットワーク上でセキュリティーの達成方法を定義するプロトコルです。

5.2.1. nmcli を使用した Wi-Fi 用の 802.1X セキュリティーの設定

手順
  1. 認証された key-mgmt (キー管理)プロトコルを設定します。セキュアな wifi 接続の鍵設定メカニズムを設定します。プロパティーの詳細は 『nm-settings(5)』 の man ページを参照してください。
  2. 802-1x 認証設定の設定TLS (Transport Layer Security) 認証については、「TLS の設定」を参照してください。
表5.1 802-1x 認証設定
802-1x 認証設定 名前  
802-1x.identity アイデンティティー  
802-1x.ca-cert CA 証明書  
802-1x.client-cert ユーザー証明書  
802-1x.private-key 秘密鍵  
802-1x.private-key-password 秘密鍵のパスワード  
たとえば、EAP-TLS 認証メソッドを使用して WPA2 Enterprise を設定するには、以下の設定を適用します。
nmcli c add type wifi ifname wlo61s0 con-name 'My Wifi Network' \
      802-11-wireless.ssid 'My Wifi' \
      802-11-wireless-security.key-mgmt wpa-eap \
      802-1x.eap tls \
      802-1x.identity identity@example.com \
      802-1x.ca-cert /etc/pki/my-wifi/ca.crt \
      802-1x.client-cert /etc/pki/my-wifi/client.crt \
      802-1x.private-key /etc/pki/my-wifi/client.key \
      802-1x.private-key-password s3cr3t

5.2.2. nmcli を使用した有線用の 802.1X セキュリティーの設定

nmcli ツールを使用して 有線 接続を設定するには、ワイヤレス 接続と同じ手順に従います( 802-11-wireless.ssid および 802-11-wireless-security.key-mgmt 設定を除く)。

5.2.3. GUI を使用した Wi-Fi 用の 802.1X セキュリティーの設定

手順
  1. Network ウィンドウを開きます( control-center GUI を使用したネットワーク接続」を参照してください)。
  2. 右側のメニューから ワイヤレス ネットワークインターフェイスを選択します。必要に応じて、電源ボタンを ON に設定し、ハードウェアスイッチがオンであることを確認します。
  3. 802.1X セキュリティーを設定する新規接続の接続名を選択するか、既存の接続プロファイルのギアのアイコンをクリックします。新規接続の場合、必要な認証手順を完了して接続を完了させてからギアのアイコンをクリックします。
  4. Security を選択します。
    以下の設定オプションが利用できます。
    Security
    none: Wi-Fi 接続を暗号化しません。
    WEP 40/128-bit Key - IEEE 802.11 標準からの Wired Equivalent Privacy (WEP)。共有キー (PSK) を 1 つ使用します。
    WEP 128 ビットパスフレーズ - パスフレーズの MD5 ハッシュを使用して WEP キーを取得します。
    LEAP - Cisco Systems の Lightweight Extensible Authentication Protocol。
    動的 WEP (802.1X) - WEP キーは動的に変更されます。用途「TLS の設定」
    WPA & WPA2 Personal - IEEE 802.11i 標準からの Wi-Fi Protected Access (WPA)。WEP の代替。802.11i-2004 規格の Wi-Fi Protected Access II (WPA2)。個人モードは、事前共有キー (WPA-PSK) を使用します。
    WPA & WPA2 Enterprise - IEEE 802.1X ネットワークアクセス制御を提供するために RADIUS 認証サーバーで使用する WPA。用途「TLS の設定」
    Password
    認証プロセスで使用するパスワードを入力します。
  5. ドロップダウンメニューから、LEAPDynamic WEP (802.1X)、または WPA & WPA2 Enterprise のセキュリティー方法のいずれかを選択します。
Security ドロップダウンメニューでの選択に対応する 拡張認証プロトコル (EAP)タイプは、「TLS の設定」 を参照してください。

5.2.4. nm-connection-editor を使用した有線用の 802.1X セキュリティーの設定

手順
  1. 端末に nm-connection-editor を入力します。
    ~]$ nm-connection-editor
    ネットワーク接続 ウィンドウが 表示されます。
  2. 編集するイーサネット接続を選択し、歯車アイコンをクリックしてください。「nm-connection-editor を使用した有線接続の設定」を参照してください。
  3. セキュリティー を 選択 し、電源ボタンを ON に設定して、設定を有効にします。
  4. 以下のいずれかの認証方法を選択します。
TLS の設定
トランスポート層セキュリティー (TLS) では、クライアントとサーバーは、TLS プロトコルを使用した相互認証が行われます。サーバーはデジタル証明書を維持していることを示し、クライアントはクライアント側の証明書を使用して自身の ID を証明することで、キー情報が交換されます。認証が完了すると、TLS トンネルの使用は終了します。その代わりにクライアントとサーバーは交換したキーで、AES、TKIP、WEP のいずれかを使用してデータを暗号化します。
認証を希望する全クライアントに証明書が配布される必要があるということは、EAP-TLS 認証のメソッドが非常に強力であることを意味しますが、セットアップはより複雑になります。TLS セキュリティーを使用すると、証明書を管理する公開鍵インフラストラクチャー (PKI) のオーバーヘッドが必要になります。TLS セキュリティーを使用する利点は、パスワードが危険にさらされても (W)LAN へのアクセスが許可されないことです。侵入者は、認証するクライアントのプライベートキーにもアクセスを必要とします。
NetworkManager は、対応している TLS のバージョンを決定しません。NetworkManager は、ユーザーが入力するパラメーターを収集し、手順を処理するデーモン wpa_supplicant に渡します。このデーモンは、OpenSSL を使用して TLS トンネルを確立します。OpenSSL 自体は、SSL/TLS プロトコルバージョンを処理します。両端が対応する一番高いバージョンが使用されます。
TLS を設定するには、「nm-connection-editor を使用した有線用の 802.1X セキュリティーの設定」 で説明されている手順に従います。以下の設定が可能です。
アイデンティティー
このサーバーの識別子を入力します。
ユーザー証明書
個人用 X.509 証明書ファイルをブラウズして選択します。これは、Distinguished Encoding Rules (DER) または Privacy Enhanced Mail (PEM) でエンコードされたものです。
CA 証明書
X.509 認証局 証明書ファイルをブラウズして選択します。これは、Distinguished Encoding Rules (DER) または Privacy Enhanced Mail (PEM) でエンコードされたものです。
秘密鍵
プライベートキーをブラウズして選択します。これは、Distinguished Encoding Rules (DER)、Privacy Enhanced Mail (PEM)、または Personal Information Exchange Syntax Standard (PKCS #12) でエンコードされたものです。
秘密鍵のパスワード
Private key フィールドに秘密鍵のパスワードを入力します。Show password を選択して、入力時にパスワードを表示します。
FAST の設定
FAST を設定するには、「nm-connection-editor を使用した有線用の 802.1X セキュリティーの設定」 で説明されている手順に従います。以下の設定が可能です。
Anonymous Identity
このサーバーの識別子を入力します。
PAC プロビジョニング
チェックボックスを選択してから AnonymousAuthenticated、および both から選択し ます
PAC file
クリックしてブラウズし、protected access credential (PAC) ファイルを選択します。
Inner authentication
GTC - Generic Token Card。
MSCHAPv2 - Microsoft Challenge Handshake Authentication Protocol version 2.
Username
認証プロセスで使用するユーザー名を入力します。
Password
認証プロセスで使用するパスワードを入力します。
Tunneled TLS の設定
Tunneled TLS を設定するには、「nm-connection-editor を使用した有線用の 802.1X セキュリティーの設定」 で説明されている手順に従います。以下の設定が可能です。
Anonymous identity
この値は、非暗号化 ID として使用されます。
CA 証明書
クリックしてブラウズし、認証局 (CA) の証明書を選択します。
Inner authentication
PAP - パスワード認証プロトコル。
MSCHAP - チャレンジハンドシェイク認証プロトコル
MSCHAPv2 - Microsoft Challenge Handshake Authentication Protocol version 2.
CHAP - チャレンジハンドシェイク認証プロトコル
Username
認証プロセスで使用するユーザー名を入力します。
Password
認証プロセスで使用するパスワードを入力します。
Protected EAP (PEAP) の設定
Protected EAP (PEAP)を設定するには、「nm-connection-editor を使用した有線用の 802.1X セキュリティーの設定」 に記載されている手順に従います。以下の設定が可能です。
Anonymous Identity
この値は、非暗号化 ID として使用されます。
CA 証明書
クリックしてブラウズし、認証局 (CA) の証明書を選択します。
PEAP version
使用する、保護された EAP のバージョン。Automatic、0、1 のいずれか。
Inner authentication
MSCHAPv2 - Microsoft Challenge Handshake Authentication Protocol version 2.
MD5 - メッセージダイジェスト 5、暗号ハッシュ関数。
GTC - Generic Token Card。
Username
認証プロセスで使用するユーザー名を入力します。
Password
認証プロセスで使用するパスワードを入力します。

5.3. wpa_supplicant および NetworkManagerでの MACsec の使用

Media Access Control Security (MACsec、IEEE 802.1AE)は、LAN 内のすべてのトラフィックを GCM-AES-128 アルゴリズムで暗号化および認証します。MACsec は、IP だけでなく、ARP (Address Resolution Protocol)、ND (Neighbor Discovery)、または DHCP も保護できます。IPsec はネットワーク層(レイヤー 3)および SSL または TLS 上でアプリケーション層(レイヤー 7)で動作しますが、MACsec はデータリンク層(レイヤー 2)で動作します。MACsec と他のネットワーク層のセキュリティープロトコルを組み合わせて、これらの標準が提供するさまざまなセキュリティー機能を利用します。
事前に共有されている CAK/CKN (Connectivity Association Key/CAK Name)ペアを使用して認証を実行するスイッチを使用して MACsec を有効にするには、以下を実行します。
手順
  1. CAK/CKN ペアを作成します。たとえば、次のコマンドにより、16 バイトの鍵が 16 進数表記で生成されます。
    ~]$ dd if=/dev/urandom count=16 bs=1 2> /dev/null | hexdump -e '1/2 "%02x"'
  2. wpa_supplicant.conf 設定ファイルを作成し、次の行を追加します。
    ctrl_interface=/var/run/wpa_supplicant
    eapol_version=3
    ap_scan=0
    fast_reauth=1
    
    network={
        key_mgmt=NONE
        eapol_flags=0
        macsec_policy=1
    
        mka_cak=0011... # 16 bytes hexadecimal
        mka_ckn=2233... # 32 bytes hexadecimal
    }
    前の手順の値を使用して、wpa_supplicant.conf 設定ファイルの mka_cak 行と mka_ckn 行を完了します。
    詳細は、man ページの wpa_supplicant.conf (5) を参照してください。
  3. wlp61s0 を使用してネットワークに接続している場合は、以下のコマンドを使用して wpa_supplicant を起動します。
    ~]# wpa_supplicant -i wlp61s0 -Dmacsec_linux -c wpa_supplicant.conf
Red Hat では、wpa_supplicant.conf ファイルを作成および編集する代わりに、nmcli コマンドを使用して、前述の手順と同じように wpa_supplicant を設定することを推奨します。以下の例では、すでに 16 バイトの 16 進数 CAK ($MKA_CAK)と 32 バイトの 16 進数 CKN ($MKA_CKN)があることを前提としています。
~]# nmcli connection add type macsec \
  con-name test-macsec+ ifname macsec0 \
  connection.autoconnect no \
  macsec.parent wlp61s0 macsec.mode psk \
  macsec.mka-cak $MKA_CAK \
  macsec.mka-cak-flags 0 \
  macsec.mka-ckn $MKA_CKN

~]# nmcli connection up test-macsec+
この手順の後に、macsec0 デバイスを設定してネットワーク設定に使用する必要があります。
詳細は、What's new in MACsec: setting up MACsec using wpa_supplicant and (optionally) NetworkManagerの記事を参照してください。さらに、MACsec ネットワークのアーキテクチャー、ユースケースシナリオ、設定例の詳細は、MACsec: a different solution to encrypt network traffic の記事を参照してください。

5.4. IPv4 設定の設定

control-center を使用した IPv4 設定の設定

手順
  1. Super キーを押してアクティビティーの概要に入り、Settings入力 して Enter を押します。次に、左側の Network タブを選択すると、Network 設定ツールが表示されます。「control-center を使用した新しい接続の設定」に進みます。
  2. 編集する接続を選択し、歯車アイコンをクリックします。編集 ダイアログが表示されます。
  3. IPv4 メニューエントリーをクリックします。
IPv4 メニューエントリーでは、ネットワークへの接続に使用する方法を設定し、必要に応じて IP アドレス、DNS、およびルート情報を入力します。IPv4 メニューエントリーは、有線、ワイヤレス、モバイルブロードバンド、VPN、DSL のいずれかを作成して変更するときに利用できます。
DHCP を使用して DHCP サーバーから動的 IP アドレスを取得する場合は、アドレス を Automatic (DHCP) に設定するだけです。
静的ルートを設定する必要がある場合は、「GUI を使用した静的ルートの設定」を参照してください。

nm-connection-editor を使用した IPV4 の方法の設定

nm-connection-editor を使用して、接続設定を編集および設定できます。この手順では、IPv4 設定方法を説明します。
手順
  1. 端末に nm-connection-editor と入力します。
  2. 既存の接続タイプの場合は、歯車アイコンをクリックします。

    図5.2 接続の編集

    接続の編集
  3. IPv4 Settings をクリックします。

    図5.3 IPv4 設定の設定

    IPv4 設定の設定

接続の種類別で利用可能な IPv4 方式

Method ドロップダウンメニューをクリックすると、設定している接続のタイプに応じて、以下の IPv4 接続方法のいずれかを選択できます。関連のある接続の種類に応じてすべての方式がここにリスト表示されています。
有線、ワイヤレス、DSL 接続の方式
Automatic (DHCP) - 接続しているネットワークが IP アドレスの割り当てに DHCP サーバーを使用する場合は、このオプションを選択します。DHCP クライアント ID フィールドに入力する必要はありません。
自動(DHCP)アドレスのみ - 接続しているネットワークが IP アドレスの割り当てに DHCP サーバーを使用しているが、DNS サーバーを手動で割り当てたい場合は、このオプションを選択します。
Manual: IP アドレスを手動で割り当てる場合は、このオプションを選択します。
Link-Local Only - 接続しているネットワークに DHCP サーバーがなく、IP アドレスを手動で割り当てない場合は、このオプションを選択します。接頭辞 169.254/16 が付いたランダムなアドレスが RFC 3927 に従って割り当てられます。
他のコンピューターと共有 - 設定しているインターフェイスがインターネットまたは WAN 接続を共有する場合は、このオプションを選択します。このインターフェイスには、10.42 .x.1/24 範囲のアドレスが割り当てられ、DHCP サーバーおよび DNS サーバーが起動し、ネットワーク アドレス変換 (NAT)を使用してシステム上のデフォルトのネットワーク接続にインターフェイスが接続されています。
Disabled - この接続では IPv4 は無効になっています。
モバイルブロードバンド接続の方式
自動(PPP) - 接続しているネットワークが IP アドレスと DNS サーバーを自動的に割り当てる場合は、このオプションを選択します。
自動(PPP)アドレスのみ - 接続しているネットワークが IP アドレスを自動的に割り当てても DNS サーバーを手動で指定する場合は、このオプションを選択します。
VPN 接続の方式
自動(VPN) - 接続しているネットワークが IP アドレスと DNS サーバーを自動的に割り当てる場合は、このオプションを選択します。
自動(VPN)アドレスのみ - 接続しているネットワークが IP アドレスを自動的に割り当てても DNS サーバーを手動で指定する場合は、このオプションを選択します。
DSL 接続の方式
自動(PPPoE) - 接続しているネットワークが IP アドレスと DNS サーバーを自動的に割り当てる場合は、このオプションを選択します。
自動(PPPoE)アドレスのみ - 接続しているネットワークが IP アドレスを自動的に割り当てても DNS サーバーを手動で指定する場合は、このオプションを選択します。
DHCP を使用して DHCP サーバーから動的 IP アドレスを取得する場合は、method を Automatic (DHCP) に設定するだけです。
静的ルートを設定する必要がある場合は、Routes ボタンをクリックします。設定オプションの詳細は、「GUI を使用した静的ルートの設定」 を参照してください。

5.5. IPv6 セッティングの設定

IPv6 を設定するには、「IPv4 設定の設定」 に記載されている手順に従い、IPv6 メニューエントリーをクリックします。
メソッド
ignore: この接続の IPv6 設定を無視する場合は、このオプションを選択します。
Automatic: SLAAC を使用して、ハードウェアアドレスおよび ルーター広告 (RA)に基づいてステートレスの自動設定を作成するには、このオプションを選択します。
自動、アドレスのみ - 接続しているネットワークが ルーター広告 (RA)を使用して自動ステートレス設定を作成するが、DNS サーバーを手動で割り当てたい場合は、このオプションを選択します。
自動、DHCP のみ - RA を使用しないが、DHCPv6 からの情報を直接要求してステートフルな設定を作成する場合は、このオプションを選択します。
Manual: IP アドレスを手動で割り当てる場合は、このオプションを選択します。
Link-Local Only - 接続しているネットワークに DHCP サーバーがなく、IP アドレスを手動で割り当てない場合は、このオプションを選択します。接頭辞 FE80::0 の付いたランダムなアドレスが RFC 4862 に従って割り当てられます。
アドレス
DNS サーバー: DNS サーバーのコンマ区切りリストを入力します。
ドメインの検索: ドメインコントローラーのコンマ区切りリストを入力します。
静的ルートを設定する必要がある場合は、Routes ボタンをクリックします。設定オプションの詳細は、「GUI を使用した静的ルートの設定」 を参照してください。

5.6. PPP (ポイントツーポイント) セッティングの設定

Authentication Methods
多くの場合、プロバイダーの PPP サーバーは許可されたすべての認証方法をサポートしています。接続に失敗する場合は、PPP サーバーの設定に応じて一部の認証方法のサポートを無効にする必要があります。
MPPE (ポイントツーポイント暗号化) を使用
Microsoft のポイントツーポイント暗号化プロトコル (RFC 3078)。
BSD データ圧縮を許可する
PPP BSD 圧縮プロトコル (RFC 1977)。
Deflate データ圧縮を許可する
PPP Deflate プロトコル (RFC 1979)。
TCP ヘッダー圧縮を使用
低スピードシリアルリンク用に TCP/IP ヘッダーを圧縮します (RFC 1144)。
PPP echo のパケットを送信
ループバックテスト用の LCP Echo 要求および Echo 応答コード (RFC 1661)。
注記
NetworkManager の PPP サポートは任意であるため、PPP 設定を設定するには、NetworkManager-ppp パッケージがすでにインストールされていることを確認してください。

第6章 ホスト名の設定

6.1. ホスト名について

ホスト 名には、static、pretty、および transient の 3 つのクラスがあります。
静的 ホスト名は従来のホスト で、ユーザーが選択でき、/etc/hostname ファイルに保存されます。一時的な ホスト は、カーネルによって維持される動的なホスト名です。デフォルトでは static ホスト名に初期化され、その値はlocalhostになります。実行時に DHCP または mDNS で変更できます。pretty ホスト は、ユーザーに表示するためのフリーフォームの UTF8 ホスト名です。
注記
ホスト名は、最大 64 文字の長さの自由形式の文字列にすることができます。ただし、Red Hat では、static および transient の両方の名前が host.example.com などの DNS 内のマシンに使用される 完全修飾ドメイン名 (FQDN)と一致することを推奨しています。また、静的および一時的な名前は、厳密な要件ではない場合でも、7 ビットの ASCII 小文字の下位文字のみで設定され、スペースやドットはなく、DNS ドメイン名ラベルで許可されている形式に制限することが推奨されます。ただし、これは厳密な要件ではありません。従来の仕様ではアンダースコアは禁止されているので、この使用も推奨されません。
hostnamectl ツールは、Static および transient のホスト名が、a-zA-Z0 - 9、-、_、および で設定されます 唯一の場合は、ドットで開始または終了しないようにし、それぞれに続く 2 つのドットをたどらないようにします。また、最大 64 文字までの長さも強制されます。

6.2. テキスト形式のユーザーインターフェイス nmtui を使用したホスト名の設定

テキスト形式のユーザーインターフェイスツール nmtui を使用すると、ターミナルのウィンドウでホスト名を設定できます。このツールを起動するには、以下のコマンドを実行します。
~]$ nmtui
テキストユーザーインターフェイスが表示されます。無効なコマンドがあると、使用方法に関するメッセージが表示されます。

図6.1 NetworkManager のテキスト形式ユーザーインターフェイスの開始メニュー

NetworkManager のテキスト形式ユーザーインターフェイスの開始メニュー
移動するには、矢印キーを使用するか、Tab を押して順方向に進み、Shift+Tab を押してオプションを再度実行します。Enter を押してオプションを選択します。Space バーは、チェックボックスのステータスを切り替えます。
nmtui のインストール方法は、「nmtui を使用した IP ネットワークの設定」 を参照してください。
NetworkManager のテキストユーザーインターフェイスツール nmtui を使用すると、/etc/hostname ファイルで静的ホスト名をクエリーして設定できます。
重要
Red Hat Enterprise Linux では、NetworkManagersystemd-hostnamed サービスを使用して、/etc/hostname ファイルに保存される静的ホスト名の読み取りおよび書き込みを行います。このため、/etc/hostname ファイルに対する手動の変更が NetworkManager によって自動的に取得されなくなりました。システムのホスト名は、hostnamectl ユーティリティーで変更する必要があります。また、/etc/sysconfig/network ファイルで HOSTNAME 変数の使用が非推奨になりました。

6.3. hostnamectl を使用したホスト名の設定

hostnamectl ツールは、特定のシステム上で使用中の 3 つのクラスのホスト名を管理するためのものです。

6.3.1. 全ホスト名の表示

現行のホスト名をすべて表示するには、以下のコマンドを実行します。
~]$ hostnamectl status
オプションが指定されていない場合、status オプションはデフォルトで暗示されています。

6.3.2. 全ホスト名の設定

システム上のすべてのホスト名を設定するには、root で以下のコマンドを実行します。
~]# hostnamectl set-hostname name
このコマンドは、pretty、static、および transient のホスト名を同様に変更します。static および transient ホスト名は、pretty ホスト名のシンプルな形式です。スペースは - に置き換えられ、特殊文字は削除されます。

6.3.3. 特定のホスト名の設定

特定のホスト名を設定するには、関連するオプションを指定して、root で以下のコマンドを入力します。
~]# hostnamectl set-hostname name [option...]
ここでの オプション は、-- pretty-- static、および --transient のいずれかです。
--static オプションまたは --transient オプションが --pretty オプションとともに使用すると、静的および一時的なホスト名は Pretty ホスト名の形式を簡素化されます。スペースは - に置き換えられ、特殊文字は削除されます。--pretty オプションを使用しなければ、簡素化されることはありません。
pretty ホスト名を設定する際、ホスト名に空白や単一引用符が含まれているのであれば、適切な引用符を用いてください。以下に例を示します。
~]# hostnamectl set-hostname "Stephen's notebook" --pretty

6.3.4. 特定のホスト名の削除

特定のホスト名を削除してデフォルトに戻すには、root で以下のコマンドを関連するオプションと共に実行します。
~]# hostnamectl set-hostname "" [option...]
"" は引用符付きの 空の文字列で、オプション--pretty--static、および --transient のいずれかです。

6.3.5. ホスト名のリモートでの変更

リモートシステムで hostnamectl コマンドを実行するには、以下のように -H, --host オプションを使用します。
~]# hostnamectl set-hostname -H [username]@hostname
ここでの hostname は、設定対象となるリモートホストです。username はオプション選択になります。hostnamectl ツールは SSH を使用してリモートシステムに接続します。

6.4. nmcli を使用したホスト名の設定

NetworkManager ツールの nmcli を使用して、/etc/hostname ファイルで静的ホスト名をクエリーして設定できます。
静的ホスト名にクエリーを実行するには、以下のコマンドを発行します。
~]$ nmcli general hostname
静的ホスト名を my-server に設定するには、root で以下のコマンドを実行します。
~]# nmcli general hostname my-server

6.5. 関連情報

  • hostnamectl (1) man ページ - コマンドおよびコマンドオプションを含む hostnamectl について説明しています。
  • hostname (1) man ページ - hostname コマンドおよび domainname コマンドについて説明しています。
  • hostname (5) man ページ - ホスト名ファイル、その内容、および使用について説明します。
  • hostname (7) man ページ - ホスト名の解決の説明が記載されています。
  • machine-info (5) man ページ - ローカルマシン情報ファイルおよびそれに含まれる環境変数について説明しています。
  • machine-id (5) man ページ - ローカルマシン ID 設定ファイルが説明されています。
  • systemd-hostnamed.service (8) man ページ - hostnamectl が使用する systemd-hostnamed システムサービスについて説明しています。

第7章 ネットワークボンディングの設定

Red Hat Enterprise Linux 7 では、管理者が複数のネットワークインターフェイスを単一のチャンネルにまとめること (ボンディング) ができます。このチャンネルボンディングにより、複数のネットワークインターフェイスが 1 つとして機能できるようになり、また同時に帯域幅が増加し、冗長性を提供します。
警告
ネットワークスイッチを使わずにケーブルの直接接続を使用すると、ボンディングはサポートされません。本章で説明されているフェイルオーバーメカニズムは、ネットワークスイッチがないと予想どおりに機能しません。詳細についてはナレッジベースの記事ボンディングは、クロスオーバーケーブルを使用したダイレクトコレクションをサポートしますか ?を参照してください。
注記
active-backup、balance-tlb および balance-alb の各モードはスイッチの特定の設定を必要としません。他のボンディングモードでは、スイッチがリンクを集約するように設定する必要があります。たとえば、Cisco スイッチでは Modes 0、2、および 3 に EtherChannel を必要としますが、Mode 4 には LACP と EtherChannel が必要となります。スイッチで提供されるドキュメントを参照し、https://www.kernel.org/doc/Documentation/networking/bonding.txt を参照してください。

7.1. コントローラーおよびポートインターフェイスのデフォルト動作の理解

NetworkManager デーモンを使用してボンディングされたポートインターフェイスを制御する場合、特に障害検索時には、以下の点に留意してください。
  1. コントローラーインターフェイスを起動しても、ポートインターフェイスは自動的に起動しない。
  2. ポートインターフェイスを起動すると、コントローラーインターフェイスは毎回、起動する。
  3. コントローラーインターフェイスを停止すると、ポートインターフェイスも停止する。
  4. ポートのないコントローラーは静的 IP 接続を開始できる。
  5. コントローラーにポートがない場合は、DHCP 接続の開始時にポートを待機します。
  6. DHCP 接続でポートを待機中のコントローラーは、キャリアを含むポートが追加されると完了する。
  7. DHCP 接続でポートを待機中のコントローラーは、キャリアをともなわないポートが追加されると待機を継続します。

7.2. テキスト形式のユーザーインターフェイス nmtui を使ったボンディングの設定

テキスト形式のユーザーインターフェイスツール nmtui を使用すると、ターミナルのウィンドウでボンディングを設定できます。このツールを起動するには、以下のコマンドを実行します。
~]$ nmtui
テキストユーザーインターフェイスが表示されます。無効なコマンドがあると、使用方法に関するメッセージが表示されます。
移動するには、矢印キーを使用するか、Tab を押して順方向に進み、Shift+Tab を押してオプションを再度実行します。Enter を押してオプションを選択します。Space バーは、チェックボックスのステータスを切り替えます。
  1. メニューから 接続の編集 を選択します。Add を選択すると、New Connection 画面が開きます。

    図7.1 NetworkManager テキスト形式のユーザーインターフェイスのボンド接続追加メニュー

    NetworkManager テキスト形式のユーザーインターフェイスのボンド接続追加メニュー
  2. Bond を選択してから Create を選択します。ボンドの 接続の編集 画面が開きます。

    図7.2 NetworkManager テキスト形式ユーザーインターフェイスでボンド接続を設定するメニュー

    NetworkManager テキスト形式ユーザーインターフェイスでボンド接続を設定するメニュー
  3. この時点で、ボンドにポートインターフェイスを追加する必要があります。これらを追加するには、Add を選択します。これにより、New Connection 画面が開きます。Connection のタイプを選択したら、Create ボタンを選択します。

    図7.3 NetworkManager テキスト形式ユーザーインターフェイスで新規ボンドスレーブを設定するメニュー

    NetworkManager テキスト形式ユーザーインターフェイスで新規ボンドスレーブを設定するメニュー
  4. ポートの 接続の編集 画面が表示されます。Device セクションに、必要なポートのデバイス名または MAC アドレスを入力します。必要な場合は、イーサネット ラベルの右側にある Show を選択して、ボンドの MAC アドレスとして使用するクローンの MAC アドレスを入力します。OK ボタンを選択してポートを保存します。
    注記
    MAC アドレスなしでデバイスを指定すると、Edit Connection ウィンドウが再読み込みされると Device セクションが自動的に入力されますが、デバイスが正常に見つかった場合にのみデバイスセクションが自動的に設定されます。

    図7.4 NetworkManager テキスト形式ユーザーインターフェイスでボンドスレーブ接続を設定するメニュー

    NetworkManager テキスト形式ユーザーインターフェイスでボンドスレーブ接続を設定するメニュー
  5. Slaves セクションにボンディングポートの名前が表示されます。さらにポート接続を追加する場合は、上記のステップを繰り返します。
  6. 設定を確認してから、OK ボタンを選択します。

    図7.5 NetworkManager のテキスト形式ユーザーインターフェイスでボンドを完了

    NetworkManager のテキスト形式ユーザーインターフェイスでボンドを完了
ボンド用語の定義は、「Bond タブの設定」を参照してください。
nmtui のインストール方法は、「nmtui を使用した IP ネットワークの設定」 を参照してください。

7.3. NetworkManager のコマンドラインツール nmcli を使用したネットワークボンディング

注記
nmcli の概要は、「nmcli を使用する IP ネットワークの設定」 を参照してください。
nmcli ツールを使用して ボンド 接続を作成するには、以下のコマンドを実行します。
~]$ nmcli con add type bond ifname mybond0
Connection 'bond-mybond0' (5f739690-47e8-444b-9620-1895316a28ba) successfully added.
ボンドに con-name を指定しなかったため、接続名はインターフェイス名の前に種類を追加したものであったことに注意してください。
NetworkManager は、カーネルが提供するほとんどのボンディングオプションに対応します。以下に例を示します。
~]$ nmcli con add type bond ifname mybond0 bond.options "mode=balance-rr,miimon=100"
Connection 'bond-mybond0' (5f739690-47e8-444b-9620-1895316a28ba) successfully added.
ポートインターフェイスを追加するには、次の手順を実行します。
  1. 新しいコネクションを作成します。詳細は「nmcli による接続プロファイルの作成および修正」を参照してください。
  2. コントローラープロパティーを ボンド インターフェイス名、またはコントローラー接続の名前に設定します。
~]$ nmcli con add type ethernet ifname ens3 master mybond0
Connection 'bond-slave-ens3' (220f99c6-ee0a-42a1-820e-454cbabc2618) successfully added.
新しい ポート インターフェイスを追加するには、新しいインターフェイスで直前のコマンドを繰り返します。以下に例を示します。
~]$ nmcli con add type ethernet ifname ens7 master mybond0
Connection 'bond-slave-ens7' (ecc24c75-1c89-401f-90c8-9706531e0231) successfully added.
ポートをアクティブにするには、以下のコマンドを実行します。
~]$ nmcli con up bond-slave-ens7
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/14)
~]$ nmcli con up bond-slave-ens3
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/15)
ポートをアクティブ化すると、コントローラー接続も開始されます。詳細は、「コントローラーおよびポートインターフェイスのデフォルト動作の理解」 を参照してください。この場合、コントローラー接続を手動でアクティブ化する必要はありません。
接続を解除せずに、実行時にボンディングの active_slave オプションおよび primary オプションを変更できます。たとえば、active_slave オプションを変更するには、以下のコマンドを実行します。
~]$ nmcli dev mod bond0 +bond.options "active_slave=ens7"
Connection successfully reapplied to device 'bond0'.
または、primary オプションを変更する場合は、以下を実行します。
~]$ nmcli dev mod bond0 +bond.options "primary=ens3"
Connection successfully reapplied to device 'bond0'.
注記
active_slave オプションで設定したインターフェイスが、直ちにアクティブポートになります。一方、ボンドの primary オプションでは、新たなポートが追加された時またはアクティブポートに障害が発生した時にカーネルが自動的に選択するアクティブポートを指定します。

7.4. コマンドラインインターフェイス (CLI) の使用

ボンドは、ボンディングカーネルモジュールと、チャンネルボンディング インターフェイス と呼ばれる特別なネットワークインターフェイスを使用して作成されます。

7.4.1. ボンディングカーネルモジュールがインストールされているかの確認

Red Hat Enterprise Linux 7 では、ボンディングモジュールはデフォルトでは読み込まれません。root で以下のコマンドを実行して、モジュールを読み込むことができます。
~]# modprobe --first-time bonding
このアクティベーションは、システム再起動後は維持されません。永続的なモジュールの読み込みに関する詳細は、Red Hat Enterprise Linux カーネル管理ガイドを参照してください。BONDING_OPTS ディレクティブを使用した正しい設定ファイルを指定すると、ボンディングモジュールは必要に応じて読み込まれるため、別個に読み込む必要はありません。
モジュールについての情報を表示するには、以下のコマンドを実行します。
~]$ modinfo bonding
コマンドオプションについては、modprobe (8) の man ページを参照してください。

7.4.2. チャンネルボンディングインターフェイスの作成

チャンネルボンディングインターフェイスを作成するには、/etc/sysconfig/network-scripts/ ディレクトリーに ifcfg-bondN という名前のファイルを作成し、N をそのインターフェイスの番号(例: 0 )に置き換えます。
ファイルのコンテンツは、イーサネットインターフェイスなどボンディングされるインターフェイスのものであればどの設定ファイルでもそれをベースとすることができます。DEVICE ディレクティブは ボンディングNで、N はインターフェイスの番号に置き換え、TYPE=Bond があることです。さらに、BONDING_MASTER=yes を設定します。

例7.1 ifcfg-bond0 インターフェイス設定ファイルの例

チャンネルボンディングインターフェイスの例は以下のようになります。
DEVICE=bond0
NAME=bond0
TYPE=Bond
BONDING_MASTER=yes
IPADDR=192.168.1.1
PREFIX=24
ONBOOT=yes
BOOTPROTO=none
BONDING_OPTS="bonding parameters separated by spaces"
NM_CONTROLLED="no"
NAME ディレクティブは、NetworkManager で接続プロファイルに名前を付けるのに役立ちます。ONBOOT は、起動時 (一般的にはデバイスの自動接続時) にプロファイルを起動するかどうかを示しています。
重要
ボンディングカーネルモジュールのパラメーターは、ifcfg-bondN インターフェイスファイルの BONDING_OPTS="bonding parameters" ディレクティブにスペース区切りリストとして指定する必要があります。ボンディングデバイスのオプションは、/etc/modprobe.d/bonding.conf または非推奨の /etc/modprobe.conf ファイルで指定し ない でください。
max_bonds パラメーターはインターフェイス固有ではないため、BONDING_OPTS ディレクティブで ifcfg-bondN ファイルを使用する場合は設定しないでください。このディレクティブにより、ネットワークスクリプトが必要に応じてボンドインターフェイスを作成するためです。
ボンディングモジュールの設定に関する指示およびアドバイスとボンディングパラメーターのリストについては、「チャンネルボンディングの使用」を参照してください。
NM_CONTROLLED="no" 設定が存在しない場合は、NetworkManager がこの設定ファイルの設定を上書きする可能性があることに注意してください。

7.4.3. ポートインターフェイスの作成

チャンネルボンディングインターフェイスはコントローラー( マスターとも呼ばれます)で、ボンディングされるインターフェイスはポート(スレーブ)と呼ばれます。チャネルボンディングインターフェイスを作成した後に、ボンディングされるネットワークインターフェイスを設定するには、そのポートの設定ファイルに MASTER および SLAVE ディレクティブを追加します。各ポートインターフェイスの設定ファイルは、ほぼ同一となる可能性があります。

例7.2 ポートインターフェイス設定ファイルの例

たとえば、2 つのイーサネットインターフェイス enp1s0enp2s0 がチャンネルボンディングされている場合、両方のインターフェイスの例を以下に示します。
DEVICE=device_name
NAME=bond0-slave
TYPE=Ethernet
BOOTPROTO=none
ONBOOT=yes
MASTER=bond0
SLAVE=yes
NM_CONTROLLED="no"
この例では、device_name をインターフェイス名で置換します。インターフェイスが ONBOOT=yes となっているプロファイルまたは設定ファイルが複数ある場合は、それらが相互に競合し、ボンドポートの代わりに単純な TYPE=Ethernet プロファイルがアクティブ化される可能性があることに注意してください。
注記
NM_CONTROLLED="no" 設定が存在しない場合は、NetworkManager がこの設定ファイルの設定を上書きする可能性があることに注意してください。

7.4.4. チャンネルボンディングのアクティブ化

ボンドをアクティブにするには、すべてのポートを有効にします。root で以下のコマンドを実行します。
~]# ifup ifcfg-enp1s0
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/7)
~]# ifup ifcfg-enp2s0
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/8)
すでに up となっているインターフェイスのインターフェイスファイルを編集する場合は、以下のようにまず最初にそれらを down にします。
ifdown device_name
これが完了した後、すべてのポートを有効にすることで、ボンドが有効になります (down に設定されていないことが前提)。
NetworkManager が変更を認識させるには、root で変更したすべてのインターフェイスに対して コマンドを実行します。
~]# nmcli con load /etc/sysconfig/network-scripts/ifcfg-device
または、すべてのインターフェイスをリロードします。
~]# nmcli con reload
デフォルトの動作では、NetworkManager は変更を認識せず、古い設定データを引き続き使用します。これは、NetworkManager.conf ファイルの monitor-connection-files オプションで設定されます。詳細は、NetworkManager.conf (5) man ページを参照してください。
ボンドインターフェイスのステータスを表示するには、以下のコマンドを実行します。
~]# ip link show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: enp1s0: <BROADCAST,MULTICAST,SLAVE,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bond0 state UP mode DEFAULT qlen 1000
    link/ether 52:54:00:e9:ce:d2 brd ff:ff:ff:ff:ff:ff
3: enp2s0: <BROADCAST,MULTICAST,SLAVE,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bond0 state UP mode DEFAULT qlen 1000
    link/ether 52:54:00:38:a6:4c brd ff:ff:ff:ff:ff:ff
4: bond0: <BROADCAST,MULTICAST,MASTER,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT
    link/ether 52:54:00:38:a6:4c brd ff:ff:ff:ff:ff:ff

7.4.5. 複数のボンド作成

Red Hat Enterprise Linux では、各ボンドに BONDING_OPTS ディレクティブを含むチャンネルボンディングインターフェイスが作成されます。この設定方法を使うと、複数のボンディングデバイスに異なる設定をすることが可能になります。複数のチャンネルボンディングインターフェイスを作成するには、以下の手順に従います。
  • BONDING_OPTS ディレクティブで複数の ifcfg-bondN ファイルを作成します。このディレクティブにより、ネットワークスクリプトが必要に応じてボンドインターフェイスを作成します。
  • ボンディングされるインターフェイス設定ファイルを作成するか、または既存のインターフェイス設定ファイルを編集し、SLAVE ディレクティブを追加します。
  • ボンディングされるポートインターフェイスであるインターフェイスを MASTER ディレクティブでチャネルボンディングインターフェイスに割り当てます。

例7.3 複数の ifcfg-bondN インターフェイス設定ファイルの例

以下は、チャンネルボンディングインターフェイス設定ファイルの例です。
DEVICE=bondN
NAME=bondN
TYPE=Bond
BONDING_MASTER=yes
IPADDR=192.168.1.1
PREFIX=24
ONBOOT=yes
BOOTPROTO=none
BONDING_OPTS="bonding parameters separated by spaces"
この例では、N をインターフェイスの番号に置き換えます。たとえば、2 つのボンディングを作成するには、ifcfg-bond0ifcfg-bond1 の設定ファイルを適切な IP アドレスで作成します。
例7.2「ポートインターフェイス設定ファイルの例」 に従ってボンディングされるインターフェイスを作成し、MASTER=bondN ディレクティブを使って必要に応じてボンドインターフェイスに割り当てます。たとえば、上記の例から、ボンドごとに 2 つのインターフェイスが必要な場合は、2 つのボンドで 4 つのインターフェイス設定ファイルを作成し、最初の 2 つを MASTER=bond0 を使用して割り当て、次の 2 つは MASTER=bond1 を使用して割り当てます。

7.5. 冗長性についてネットワーク設定ボンディングの確認

ネットワークの冗長性は、特定のシステムの障害を防止または回復するために、バックアップ目的でデバイスが使用される場合のプロセスです。次の手順では、冗長性でボンディングのネットワーク設定を確認する方法を説明します。
手順
  1. ボンドインターフェイスから、宛先の IP を ping します。以下に例を示します。
    ~]# ping -I bond0 DSTADDR
  2. どのインターフェイスが アクティブ モードであるかを表示します。
    ~]# cat /sys/class/net/bond0/bonding/active_slave
    enp1s0
    enp1s0 は、アクティブな ポートインターフェイスです。
  3. アクティブな ポートインターフェイスをダウンに設定します。
    ~]# ip link set enp1s0 down
  4. バックアップ インターフェイスが起動しているかどうかを確認します。
    ~]# cat /sys/class/net/bond0/bonding/active_slave
    enp2s0
    enp2s0アクティブな ポートインターフェイスになりました。
  5. ボンドインターフェイスから、宛先の IP を ping できるかどうかを確認します。
    ~]# ping -I bond0 DSTADDR

7.6. スイッチにおけるボンディングモードおよび必要な設定の概要

以下の表は、ボンディングモードに応じて、アップストリームのスイッチに適用する必要がある設定を示しています。
表7.1 ボンディングモードに依存するスイッチ設定
ボンディングモード スイッチの設定
0 - balance-rr (LACP がネゴシエートされたものではなく) 静的な Etherchannel を有効にする必要があります。
1 - active-backup 自動ポートが必要です。
2 - balance-xor (LACP がネゴシエートされたものではなく) 静的な Etherchannel を有効にする必要があります。
3 - broadcast (LACP がネゴシエートされたものではなく) 静的な Etherchannel を有効にする必要があります。
4 - 802.3ad LACP がネゴシエートされた Etherchannel が有効になっている必要があります。
5 - balance-tlb 自動ポートが必要です。
6 - balance-alb 自動ポートが必要です。
スイッチの設定は、スイッチのドキュメントを参照してください。

7.7. チャンネルボンディングの使用

パフォーマンスを強化するには、利用可能なモジュールオプションを調節して、最適な組み合わせを確認します。特に、miimon パラメーターまたは arp_interval パラメーターおよび arp_ip_target パラメーターに注意してください。利用可能なオプションリストと使用しているボンディングされたインターフェイスに最適なオプションを迅速に決定する方法については、「ボンディングモジュールのディレクティブ」を参照してください。

7.7.1. ボンディングモジュールのディレクティブ

ボンディングインターフェイス設定ファイル(ifcfg-bond0 など)の BONDING_OPTS="bonding parameters" ディレクティブに追加する前に、ボンディングされたインターフェイスでどのチャンネルボンディングモジュールパラメーター が最適かをテストすることが推奨されます。ボンディングされたインターフェイスのパラメーターは、sysfs ファイルシステムのファイルを操作することで、ボンディングモジュールをアンロード(およびリロード)せずに設定できます。
sysfs は、カーネルオブジェクトをディレクトリー、ファイル、シンボリックリンクとして表現する仮想ファイルシステムです。sysfs は、カーネルオブジェクトに関する情報をクエリーするのに使用でき、通常のファイルシステムコマンドを使用してこれらのオブジェクトを操作することもできます。sysfs 仮想ファイルシステムは、/sys/ ディレクトリーにマウントされます。すべてのボンディングインターフェイスは、/sys/class/net/ ディレクトリー配下のファイルと対話して操作することで動的に設定できます。
ボンディングインターフェイスに最適なパラメーターを決定するには、「チャンネルボンディングインターフェイスの作成」 の手順に従って、ifcfg-bond0 などのチャンネルボンディングインターフェイスファイルを作成します。bond0 にボンディングされる各インターフェイスの設定ファイルに SLAVE=yes および MASTER=bond0 ディレクティブを挿入します。これが完了すると、パラメーターの確認に進むことができます。
まず、rootifup bondNを実行して、作成したボンディング を開きます。
~]# ifup bond0
ifcfg-bond0 ボンディングインターフェイスファイルを正しく作成した場合は、root ip link show を実行した場合の出力に bond0 が表示されます。
~]# ip link show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: enp1s0: <BROADCAST,MULTICAST,SLAVE,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bond0 state UP mode DEFAULT qlen 1000
    link/ether 52:54:00:e9:ce:d2 brd ff:ff:ff:ff:ff:ff
3: enp2s0: <BROADCAST,MULTICAST,SLAVE,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bond0 state UP mode DEFAULT qlen 1000
    link/ether 52:54:00:38:a6:4c brd ff:ff:ff:ff:ff:ff
4: bond0: <BROADCAST,MULTICAST,MASTER,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT
    link/ether 52:54:00:38:a6:4c brd ff:ff:ff:ff:ff:ff
アップになっていないボンドも含めてすべての既存のボンドを表示するには、以下を実行します。
~]$ cat /sys/class/net/bonding_masters
bond0
/sys/class/net/bondN/bonding/ ディレクトリーにあるファイルを操作すると、各ボンドを個別に設定できます。まず、設定するボンドをダウンにします。
~]# ifdown bond0
たとえば、bond0 で 1 秒間隔で MII 監視を有効にするには、root で以下のコマンドを実行します。
~]# echo 1000 > /sys/class/net/bond0/bonding/miimon
bond0 を balance-alb モードに設定するには、以下のいずれかを実行します。
~]# echo 6 > /sys/class/net/bond0/bonding/mode
またはモード名を使用します。
~]# echo balance-alb > /sys/class/net/bond0/bonding/mode
該当するボンディングのオプションを設定したら、ifup bondN を実行して、これを起動してテストできます。オプションを変更する場合は、インターフェイスをダウンさせ、sysfs を使用してパラメーターを変更し、これを元に戻して再テストします。
ボンディングに最適なパラメーターセットを決定したら、設定するボンディングインターフェイスの /etc/sysconfig/network-scripts/ifcfg-bondN ファイルの BONDING_OPTS= ディレクティブに、これらのパラメーターをスペース区切りリストとして追加します。ボンディングが開始されるたびに( ONBOOT=yes ディレクティブが設定されている場合はブートシーケンス中のシステムなど)、BONDING_OPTS で指定したボンディングオプションがそのボンディングに対して有効になります。
以下では、多くの一般的なチャンネルボンディングパラメーターの名前とそれらの機能の詳細をリスト表示しています。詳細は、modinfo bonding の出力にある各 parm の簡単な説明を参照してください。詳細は、https://www.kernel.org/doc/Documentation/networking/bonding.txtを参照してください。

ボンディングインターフェイスパラメーター

ad_select=value
使用する 802.3ad アグリゲーションの選択論理を指定します。以下の値が使用できます。
  • stable または 0 - デフォルト設定。アクティブなアグリゲーターは、最大のアグリゲーション帯域幅によって選択されます。アクティブなアグリゲーターの再選択は、すべてのポートがダウンとなるか、ポートがなくなった時にのみ行われます。
  • bandwidth または 1: アクティブなアグリゲーターは、最大集約帯域幅によって選択されます。アクティブなアグリゲーターの再選択は以下の場合に行われます。
    • ボンドにポートが追加される、またはボンドからポートが削除される。
    • ポートのリンク状態が変更される。
    • ポートの 802.3ad 関連状態が変更される。
    • ボンドの管理状態が有効になる。
  • count または 2: アクティブなアグリゲーターは、ポートの最大数で選択されます。上記の 帯域幅 設定については、再選択が行われます。
帯域幅カウント 選択ポリシーにより、アクティブなアグリゲーターの部分的な障害が発生した場合に 802.3ad アグリゲーションのフェイルオーバーが可能になります。これにより、帯域幅またはポート数の可用性が最も高いアグリゲーターが常にアクティブになります。
arp_interval=time_in_milliseconds
ARP 監視が発生する頻度を指定します(ミリ秒単位)。
重要
arp_interval および arp_ip_target パラメーターの両方を指定するか、miimon パラメーターを指定する必要があります。指定されないと、リンクが失敗した場合にネットワークパフォーマンスが低下する恐れがあります。
mode =0 または mode = 2 (2 つの負荷分散モード)でこの設定を使用する場合は、NIC 全体にパケットを均等に分散するようにネットワークスイッチを設定する必要があります。この方法の詳細については、https://www.kernel.org/doc/Documentation/networking/bonding.txt を参照してください。
デフォルトでは、値は 0 に設定され、無効にされます。
arp_ip_target=ip_address[,ip_address_2,…ip_address_16]
arp_interval パラメーターが有効な場合に ARP 要求のターゲット IP アドレスを指定します。最大 16 の IP アドレスはコンマ区切りリストで指定できます。
arp_validate=value
ARP プローブのソース/ディストリビューションを検証します。デフォルトは none です。その他の有効な値は、activebackup、および all です。
downdelay=time_in_milliseconds
リンクを無効にする前に、リンクの失敗後に待機する時間を指定します (ミリ秒単位)。値は、miimon パラメーターで指定された値の倍数である必要があります。デフォルトでは、値は 0 に設定され、無効にされます。
fail_over_mac=value
アクティブ-バックアップモードが、割り当て時にすべてのポートを同一 MAC アドレスに設定する (従来の動作) か、有効な場合は、選択されたポリシーに従って、ボンドの MAC アドレスの特別な処理を実行するかを指定します。可能な値は次のとおりです。
  • none または 0 - デフォルト設定。この設定により fail_over_mac が無効になり、割り当て時にボンディングがアクティブ-バックアップボンドのすべてのポートを同じ MAC アドレスに設定します。
  • active または 1 - active fail_over_mac ポリシーは、ボンドの MAC アドレスは常に現在アクティブなポートの MAC アドレスである必要があることを示します。ポートの MAC アドレスは変更されませんが、代わりにフェイルオーバー中にボンドの MAC アドレスが変更されます。
    このポリシーは、MAC アドレスを変更できないデバイスや、(ARP 監視を妨害する) 自身のソース MAC を持つ着信ブロードキャストを拒否するデバイスに便利なものです。このポリシーのマイナス面は、ネットワーク上のすべてのデバイスが余計な ARP によって更新される必要があるという点です。通常の方法では、スイッチが着信トラフィックを嗅ぎ付けて ARP テーブルを更新します。余計な ARP が失われると、通信が中断される可能性があります。
    このポリシーを MII モニターと合わせて使用すると、実際に送受信可能になる前にリンクを有効にするデバイスが特に余計な ARP を失いやすくなります。また、適切な updelay 設定が必要になる可能性があります。
  • follow または 2 - follow fail_over_mac ポリシーにより、ボンドの MAC アドレスが正常に選択されます(通常、最初のポートの MAC アドレスがボンディングに追加されます)。ただし、2 番目以降のポートはこの MAC アドレスに設定されず、バックアップのロールを果たします。つまり、ポートはフェイルオーバー時にボンドの MAC アドレスでプログラミングされます (また、それまでアクティブだったポートが新たにアクティブになったポートの MAC アドレスを受け取ります)。
    このポリシーは、複数ポートが同一 MAC アドレスでプログラミングされる際に、混乱したりパフォーマンスペナルティーを受けるマルチポートデバイスに便利なものです。
lacp_rate=value
リンクパートナーが 802.3ad モードで LACPDU パケットを送信するレートを指定します。以下の値が使用できます。
  • slow または 0 - デフォルト設定。パートナーが 30 秒ごとに LACPDU を送信するよう指定します。
  • fast または 1 - パートナーが 1 秒ごとに LACPDU を送信するように指定します。
miimon=time_in_milliseconds
MII リンク監視が発生する頻度を指定します (ミリ秒単位)。MII は NIC がアクティブであることを検証するために使用されるため、これは高可用性が必要な場合に役立ちます。特定の NIC のドライバーが MII ツールに対応していることを確認するには、root で以下のコマンドを入力します。
~]# ethtool interface_name | grep "Link detected:"
このコマンドでは、interface_name を、ボンドインターフェイスではなく、enp1s0 などのデバイスインターフェイスの名前に置き換えます。MII が対応している場合は、コマンドは以下を返します。
Link detected: yes
高可用性のためにボンディングされたインターフェイスを使用する場合、各 NIC のモジュールは MII に対応していなければなりません。値を 0 (デフォルト)に設定すると、この機能はオフになります。この設定を設定する際に、このパラメーターのスタート地点は 100 です。
重要
arp_interval および arp_ip_target パラメーターの両方を指定するか、miimon パラメーターを指定する必要があります。指定されないと、リンクが失敗した場合にネットワークパフォーマンスが低下する恐れがあります。
mode=value
ボンディングポリシーの指定が可能になります。value は、次のいずれかになります。
  • balance-rr または 0 - 耐障害性および負荷分散のラウンドロビンポリシーを設定します。利用可能な最初のインターフェイスからそれぞれのボンディングされたポートインターフェイスで送受信が順次行われます。
  • active-backup または 1 - 耐障害性のためのアクティブバックアップポリシーを設定します。利用可能になった最初のボンディングされたポートインターフェイスにより送受信が行われます。別のボンディングされたポートインターフェイスは、アクティブなボンディングされたポートインターフェイスに障害が発生した場合にのみ使用されます。
  • balance-xor または 2 - 送信は、選択したハッシュポリシーに基づきます。デフォルトでは、送信元と宛先の MAC アドレスの XOR にポートインターフェイス数のモジュロを掛けてハッシュを導出します。このモードでは、宛先が特定のピアになっているトラフィックは常に同一インターフェイスで送信されます。宛先は MAC アドレスで決められるので、この方法は同一リンクまたはローカルネットワーク上にあるピアが宛先のトラフィックに最適なものです。トラフィックが単一ルーターを通過する必要がある場合は、このトラフィックバランスのモードは最適ではなくなります。
  • broadcast または 3 - 耐障害性を確保するためにブロードキャストポリシーを設定します。すべての送信は、すべてのポートインターフェイスで行われます。
  • 802.3ad または 4 - IEEE 802.3ad 動的リンクアグリゲーションポリシーを設定します。同一の速度とデュプレックス設定を共有するアグリゲーショングループを作成します。アクティブなアグリゲーターのすべてのポートで送受信を行います。802.3ad に対応するスイッチが必要です。
  • balance-tlb または 5 - 耐障害性と負荷分散のために TLB (Transmit Load Balancing)ポリシーを設定します。発信トラフィックは、各ポートインターフェイスの現在の負荷に従って分散されます。受信トラフィックは、現在のポートにより受信されます。受信ポートに障害が発生すると、障害が発生したポートの MAC アドレスを別のポートが引き継ぎます。このモードは、カーネルボンディングモジュールが認識しているローカルアドレスにのみ、適したものになります。このため、仮想マシンのブリッジの背後では使用できません。
  • balance-alb または 6 - 耐障害性と負荷分散のための Adaptive Load Balancing (ALB)ポリシーを設定します。IPv4 トラフィック用の送受信負荷分散が含まれます。ARP ネゴシエーションにより、受信負荷分散を実現します。このモードは、カーネルボンディングモジュールが認識しているローカルアドレスにのみ、適したものになります。このため、仮想マシンのブリッジの背後では使用できません。
アップストリームスイッチで必要な設定の詳細は、「スイッチにおけるボンディングモードおよび必要な設定の概要」を参照してください。
primary=interface_name
プライマリーデバイスのインターフェイス名(例: enp1s0 )を指定します。プライマリー デバイスは、最初に使用されるボンディングインターフェイスであり、失敗しない限り破棄されません。この設定が特に役立つのは、ボンディングインターフェイスの NIC の 1 つが高速なため、大規模な負荷に対応できる場合です。
この設定は、ボンディングインターフェイスが active-backup モードである場合にのみ有効です。詳細は、https://www.kernel.org/doc/Documentation/networking/bonding.txt を参照してください。
primary_reselect=value
プライマリーポートに対して再選択ポリシーを指定します。これは、アクティブなポートの障害やプライマリーポートの回復が発生した場合に、どのようにプライマリーポートが選択されてアクティブなポートになるかという点に影響します。このパラメーターは、プライマリポートと他のポートとの間で何度も切り替えが発生しないようにするためのものです。可能な値は次のとおりです。
  • always または 0 (デフォルト): プライマリーポートは、復旧するたびにアクティブなポートになります。
  • better または 1 - プライマリーポートの速度とデュプレックスが、現在のアクティブなポートの速度とデュプレックスよりも良い場合、プライマリーポートは有効になるとアクティブなポートになります。
  • failure または 2 - 現在のアクティブなポートが失敗し、プライマリーポートが稼働している場合に限り、プライマリーポートはアクティブなポートになります。
primary_reselect 設定は無視されます。
  • アクティブなポートがない場合は、回復する最初のポートがアクティブなポートになります。
  • プライマリーポートがボンドに初めて割り当てられると、そのポートが必ずアクティブなポートになります。
sysfs を介して primary_reselect ポリシーを変更すると、新しいポリシーに従って直ちに最適なアクティブなポートが選択されます。これにより、状況によってはアクティブなポートに変更が生じる場合があります。
resend_igmp=range
フェイルオーバーイベント後に発行される IGMP メンバーシップレポートの数を指定します。1 つのメンバーシップレポート がフェイルオーバーの直後に発行され、以降のパケットは 200ms (ミリ秒) の間隔で送信されます。
有効な範囲は 0 から 255 です。デフォルト値は 1 です。値が 0 の場合は、フェイルオーバーイベントへの応答で IGMP メンバーシップレポートが発行されなくなります。
このオプションは、フェイルオーバーが IGMP トラフィックをあるポートから別のポートに切り替えることができる balance-rr (mode 0)、active-backup (mode 1)、balance-tlb (mode 5)および balance-alb (mode 6)のボンディングモードに役立ちます。したがって、新しく選択されたポートを介して着信 IGMP トラフィックをスイッチで転送するには、新しい IGMP レポートを発行する必要があります。
updelay=time_in_milliseconds
リンクを有効にする前の待機時間を指定します (ミリ秒単位)。値は、miimon パラメーターで指定された値の倍数である必要があります。デフォルトでは、値は 0 に設定され、無効にされます。
use_carrier=number
リンク状態を決定するために、miimon が MII/ETHTOOL ioctls または netif_carrier_ok() を使用するかどうかを指定します。netif_carrier_ok() 関数は、デバイスドライバーに依存して netif_carrier_on/off でその状態を維持します。ほとんどのデバイスドライバーがこの機能に対応しています。
MII/ETHTOOL ioctls ツールは、カーネル内の非推奨の呼び出しシーケンスを活用します。ただし、デバイスドライバーが netif_carrier_on/off に対応していない場合も設定可能です。
有効な値は以下のとおりです。
  • 1 : デフォルト設定。netif_carrier_ok() の使用を有効にします。
  • 0 : MII/ETHTOOL ioctls の使用を有効にします。
注記
リンクがアップしているべきではない時にリンクがアップであると主張する場合は、ネットワークデバイスドライバーが netif_carrier_on/off に対応していない可能性があります。
xmit_hash_policy=value
balance-xor および 802.3ad モードでポートを選択するために使用される送信ハッシュポリシーを選択します。可能な値は次のとおりです。
  • 0 または layer2 - デフォルト設定。このパラメーターは、ハードウェア MAC アドレスの XOR を使用してハッシュを生成します。使用する式は以下のとおりです。
    (source_MAC_address XOR destination_MAC) MODULO slave_count
    このアルゴリズムは、すべてのトラフィックを同じポートの特定のネットワークピアに割り振り、802.3ad に対応します。
  • 1 または layer3+4 - 上層プロトコル情報(利用可能な場合)を使用してハッシュを生成します。これにより、特定のネットワークピアへのトラフィックが複数のポートに及ぶようにできますが、単一の接続では複数のポートに及びません。
    断片化された TCP および UDP パケットに使用される公式は、以下のとおりです:
    ((source_port XOR dest_port) XOR
      ((source_IP XOR dest_IP) AND 0xffff)
        MODULO slave_count
    断片化された TCP または UDP パケットおよびその他の IP プロトコルトラフィックの場合、送信元および宛先ポート情報は省略されます。非IP トラフィックの場合、式は layer2 送信ハッシュポリシーと同じです。
    このポリシーの目的は、特に PFC2 付きの Cisco スイッチや Foundry および IBM 製品など一部のスイッチの動作を真似ることです。
    このポリシーで使用されるアルゴリズムは、802.3ad に対応していません。
  • 2 または layer2+3 - layer2 および layer3 プロトコル情報の組み合わせを使用して、ハッシュを生成します。
    ハードウェア MAC アドレスと IP アドレスの XOR を使用してハッシュを生成します。式は以下のとおりです。
    (((source_IP XOR dest_IP) AND 0xffff) XOR
      ( source_MAC XOR destination_MAC ))
        MODULO slave_count
    このアルゴリズムは、すべてのトラフィックを同じポートの特定のネットワークピアに割り振ります。非IP トラフィックの場合、式は layer2 送信ハッシュポリシーと同じになります。
    このポリシーの目的は、特に layer3 ゲートウェイデバイスが大半の宛先に到達する必要がある環境において、layer2 単独の場合より分散されたトラフィックを提供することです。
    このアルゴリズムは、802.3ad に対応しています。

7.8. GUI を使用したボンディング接続の作成

GNOME control-center ユーティリティーを使用して、NetworkManager に、2 つ以上の有線または InfiniBand 接続からボンドを作成するように指示できます。最初にボンディングする接続を作成する必要はありません。それは、ボンディングを設定するためのプロセスで設定できます。設定プロセスを完了するには、利用可能なインターフェイスの MAC アドレスが必要です。

7.8.1. ボンド接続の確立

手順7.1 nm-connection-editor を使用して新規ボンド接続を追加する

新規ボンド接続を作成するには、以下のステップに従います。
  1. 端末に nm-connection-editor と入力します。
    ~]$ nm-connection-editor
  2. Add ボタンをクリックします。Choose a Connection Type ウィンドウが表示されます。Bond を選択し、Create クリックします。ボンディング接続 1の編集 ウィンドウが表示されます。

    図7.6 NetworkManager グラフィカルユーザーインターフェイスの Bond 追加メニュー

    NetworkManager グラフィカルユーザーインターフェイスの Bond 追加メニュー
  3. Bond タブで 追加 をクリックし、ボンド接続で使用するインターフェイスのタイプを選択します。Create ボタンをクリックします。ポートタイプを選択するダイアログが表示されるのは、最初のポートを作成する時のみです。その後は、すべてのポートに同じタイプが自動的に使われます。
  4. bond0 スレーブ 1 の編集 ウィンドウが表示されます。デバイス MAC アドレス ドロップダウンメニューを使用して、ボンディングするインターフェイスの MAC アドレスを選択します。最初のポートの MAC アドレスがボンドインターフェイス用の MAC アドレスとして使用されます。必要な場合は、ボンドの MAC アドレスとして使用するクローンした MAC アドレスを入力します。Save ボタンをクリックします。

    図7.7 NetworkManager グラフィカルユーザーインターフェイスのボンド接続追加メニュー

    NetworkManager グラフィカルユーザーインターフェイスのボンド接続追加メニュー
  5. ボンディングされたポートの名前が Bond connections ウィンドウに表示されます。Add ボタンをクリックして、さらにポート接続を追加します。
  6. 設定を確認してから Save ボタンをクリックします。
  7. 以下の「Bond タブの設定」を参照して、ボンド固有の設定を編集します。

手順7.2 既存のボンド接続を編集する

既存のボンド接続を編集するには以下のステップに従います。
  1. 端末に nm-connection-editor と入力します。
    ~]$ nm-connection-editor
  2. 編集する接続を選択し、Edit ボタンをクリックします。
  3. General タブを選択します。
  4. 接続名、自動接続の動作、および可用性のセッティングを設定します。
    編集 ダイアログの 5 つの設定は、すべての接続の種類に共通です。全般 タブ:
    • 接続名: ネットワーク接続のわかりやすい名前を入力します。この名前は、Network ウィンドウのメニューでこの接続を一覧表示するために使用されます。
    • Automatically connect to this network when it is available - このボックスを選択すると、NetworkManager が利用可能なときにこの接続に自動接続します。詳細は、「control-center を使用した既存の接続の編集」を参照してください。
    • All users can connect to this network - このボックスを選択すると、システム上のすべてのユーザーが 利用できる接続が作成されます。この設定を変更するには、root 権限が必要になる場合があります。詳細は、「GUI を使用したシステム全体およびプライベート接続プロファイルの管理」を参照してください。
    • Automatically connect to VPN when using this connection - このボックスを選択すると、NetworkManager が利用可能なときに VPN 接続に自動接続します。ドロップダウンメニューから VPN を選択します。
    • ファイアウォールゾーン - ドロップダウンメニューからファイアウォールゾーンを選択します。ファイアウォールゾーンに関する詳細情報は、『Red Hat Enterprise Linux 7 セキュリティーガイド』を参照してください。
  5. 以下の「Bond タブの設定」を参照して、ボンド固有の設定を編集します。
新規 (または修正した) 接続を保存して他の設定を行う
ボンド接続の編集が終わったら、保存 ボタンをクリックしてカスタマイズした設定を保存します。
そして、以下のいずれかの設定をします。
7.8.1.1. Bond タブの設定
新規のボンド接続をすでに追加している場合(手順は 手順7.1「nm-connection-editor を使用して新規ボンド接続を追加する」 を参照)、Bond タブを編集して、負荷分散モードと、ポート接続の失敗を検出するのに使用するリンク監視のタイプを設定できます。
Mode
ボンドを設定するポート接続でのトラフィック共有に使われるモード。デフォルトは ラウンドロビン です。802.3ad などの他のロード共有モードは、ドロップダウンリストで選択できます。
リンク監視
ネットワークトラフィックを伝送するポートの能力を監視する方法。
以下の負荷分散モードは、モード ドロップダウンリストから選択できます。
ラウンドロビン
耐障害性とロードバランシングにラウンドロビンポリシーを設定します。利用可能な最初のインターフェイスからそれぞれのボンディングされたポートインターフェイスで送受信が順次行われます。このモードは、仮想マシンのブリッジの背後では追加のスイッチ設定がないと機能しない可能性があります。
アクティブバックアップ
耐障害性のためアクティブなバックアップポリシーを設定します。利用可能になった最初のボンディングされたポートインターフェイスにより送受信が行われます。別のボンディングされたポートインターフェイスは、アクティブなボンディングされたポートインターフェイスに障害が発生した場合にのみ使用されます。これは、InfiniBand デバイスのボンドで利用可能な唯一のモードです。
XOR
XOR (排他的理論和) を設定します。送受信は選択されたハッシュポリシーに基づいて行われます。デフォルトでは、送信元と宛先の MAC アドレスの XOR にポートインターフェイス数のモジュロを掛けてハッシュを導出します。このモードでは、宛先が特定のピアになっているトラフィックは常に同一インターフェイスで送信されます。宛先は MAC アドレスで決められるので、この方法は同一リンクまたはローカルネットワーク上にあるピアが宛先のトラフィックに最適なものです。トラフィックが単一ルーターを通過する必要がある場合は、このトラフィックバランスのモードは最適ではなくなります。
ブロードキャスト
耐障害性にブロードキャストポリシーを設定します。すべての送信は、すべてのポートインターフェイスで行われます。このモードは、仮想マシンのブリッジの背後では追加のスイッチ設定がないと機能しない可能性があります。
802.3ad
IEEE 802.3ad 動的リンクアグリゲーションポリシーを設定します。同一の速度とデュプレックス設定を共有するアグリゲーショングループを作成します。アクティブなアグリゲーターのすべてのポートで送受信を行います。802.3ad に準拠するネットワークスイッチが必要です。
適応送信のロードバランシング
耐障害性とロードバランシングのための適応型送信ロードバランシング (TLB) ポリシーを設定します。発信トラフィックは、各ポートインターフェイスの現在の負荷に従って分散されます。受信トラフィックは、現在のポートにより受信されます。受信ポートに障害が発生すると、障害が発生したポートの MAC アドレスを別のポートが引き継ぎます。このモードは、カーネルボンディングモジュールが認識しているローカルアドレスにのみ、適したものになります。このため、仮想マシンのブリッジの背後では使用できません。
適応ロードバランス
耐障害性とロードバランシングに適応型ロードバランシング (ALB) ポリシーを設定します。IPv4 トラフィック用の送受信負荷分散が含まれます。ARP ネゴシエーションにより、受信負荷分散を実現します。このモードは、カーネルボンディングモジュールが認識しているローカルアドレスにのみ、適したものになります。このため、仮想マシンのブリッジの背後では使用できません。
以下のリンク監視のタイプは、Link Monitoring ドロップダウンリストから選択できます。ボンディングされたインターフェイスでどのチャンネルボンディングのモジュールパラメーターが最適な動作をするかテストするとよいでしょう。
MII (Media Independent Interface)
インターフェイスのキャリア波の状態を監視します。これには、ドライバーをクエリーするか、MII レジスターに直接クエリーするか、ethtool を使用してデバイスにクエリーを実行します。利用可能な 3 つのオプションは以下のとおりです。
監視周期
ドライバーもしくは MII レジスターへのクエリーの間隔時間 (ミリ秒単位)
接続遅延
up とレポートされたリンクの使用を試みるまでの待機時間 (ミリ秒単位)。この遅延は、リンクが up として報告される直後に、一部の Gratuitous ARP 要求が期間内に失われる場合に使用できます。これが発生するのは、たとえばスイッチ初期化などの間です。
接断遅延
これまでアクティブだったリンクがdownとレポートされた際に、別のリンクに変更するまでの待ち時間 (ミリ秒単位)。アタッチされたスイッチがバックアップモードに変更するまで比較的長い時間がかかる場合に、この遅延は使用できます。
ARP
アドレス解決プロトコル(ARP)は、1 つ以上のピアをプローブし、リンク層接続がどのように機能しているかを判断するために使用されます。これは、送信開始時間および最終受信時間を提供しているデバイスドライバーに依存しています。
以下の 2 つのオプションがあります。
監視周期
ARP リクエストを送信する間隔(ミリ秒単位)。
ARP ターゲット
ARP 要求を送信する IP アドレスのコンマ区切りリスト。

7.9. 関連情報

インストールされているドキュメント

  • nmcli (1) man ページ - NetworkManager のコマンドラインツールを説明しています。
  • nmcli-examples (5) man ページ - nmcli コマンドの例を説明します。
  • nm-settings (5) man ページ - NetworkManager 接続の設定およびパラメーターが説明されています。

オンラインドキュメント

Red Hat Enterprise Linux システム管理者のガイド
カーネルモジュール機能の使用方法を説明しています。
https://access.redhat.com/site/node/28421/Configuring_VLAN_devices_over_a_bonded_interface
ボンディングされたインターフェイスでの VLAN デバイスの設定に関する Red Hat ナレッジベースの記事です。

第8章 ネットワークチーミングの設定

8.1. ネットワークチーミングについて

ネットワークリンクを結合させてより高いスループットの論理リンクや冗長性を提供する手段には、チャンネルボンディングイーサネットボンディングポートトランキングチャンネルチーミングNIC チーミング、または リンクアグリゲーション など多くの名前が付けられています。当初 Linux カーネルで実装されたこの概念は、広く ボンディング と呼ばれます。この概念の新しい実装の呼び方として、ネットワークチーミング という用語が選択されました。既存のボンディングドライバーは影響を受けません。ネットワークチーミングは Red Hat Enterprise Linux 7 のボンディングの代替メカニズムとして提供されるもので、これに置き換わるものではありません。
注記
モード 4 Link Aggregation Control Protocol (LACP) チーミングモードについては、リンクを集約するようにスイッチを設定する必要があります。詳細は https://www.kernel.org/doc/Documentation/networking/bonding.txt を参照してください。
ネットワークチーミング (またはチーム) は、高速でパケットフローを処理する小型のカーネルドライバーおよびその他すべてのユーザースペースタスクを実行する様々なユーザースペースのアプリケーションを提供するという、異なる方法でこの概念を実装するように設計されています。このドライバーには Team Netlink API と呼ばれる アプリケーションプログラミングインターフェイス (API) が備わっており、これが Netlink 通信を実装します。ユーザースペースのアプリケーションは、この API を使用してドライバーと通信できます。libと呼ばれるライブラリーは、Team Netlink 通信と RT Netlink メッセージのユーザースペースラッピングを行うために提供されています。libteam ライブラリーを使用するアプリケーションデーモン teamd も利用可能です。teamd の 1 つのインスタンスが、チームドライバーの 1 つのインスタンスを制御できます。このデーモンは、ランナーと呼ばれる新たなコードを使用することで、ラウンドロビンなどの負荷分散やアクティブバックアップ論理を実装します。このようにコードを分離することで、ネットワークチーミングの実装は負荷分散および冗長性要件に対して容易に拡張可能およびスケーラブルなソリューションを提供します。たとえば、カスタムランナーは、teamd を介して新しいロジックを実装するために比較的簡単に記述でき、 teamd も任意であるため、libteam を使用するために独自のアプリケーションを作成することができます。
teamdctl ユーティリティーは、D-bus を使用して teamd の実行中のインスタンスを制御するために使用できます。teamdctl は、teamd D-Bus API に関する D-Bus ラッパーを提供します。デフォルトでは、teamd は Unix Domain Sockets を使用してリッスンし、通信しますが、引き続き D-Bus を監視します。これは、teamd が D-Bus が存在しない環境またはまだ読み込まれていない環境で使用できるようにするためです。たとえば、teamd リンクで起動すると、D-Bus がまだ読み込まれません。ランタイム時に teamdctl ユーティリティーを使用すると、設定の読み取り、リンク監視の状態の確認と変更、ポートの状態の確認と変更、ポートの追加と削除、アクティブ状態とバックアップ状態間のポート変更を行うことができます。
Team Netlink API は、Netlink メッセージを使ってユーザースペースのアプリケーションと通信します。libteam ユーザー空間ライブラリーは API と直接対話しませんが、libnl または teamnl を使用してドライバー API と対話します。
要約すると、カーネルで実行中のチームドライバーのインスタンスは、直接設定、制御されることはありません。すべての設定は、teamd アプリケーションなどのユーザー空間アプリケーションを使用して行われます。アプリケーションはその後、カーネルドライバーのパートに適切に指示します。
注記
ネットワークチーミングのコンテキストでは、ポート という用語は スレーブ としても知られています。teamd 直接使用する場合は、port が推奨されます。一方、NetworkManager を使用してチームを作成するインターフェイスを参照する場合は、スレーブ が使用されます。

8.2. コントローラーおよびポートインターフェイスのデフォルト動作の理解

NetworkManager デーモンを使用してチーミングされたポートインターフェイスを制御する場合、特に障害検索時には、以下の点に留意してください。
  1. コントローラーインターフェイスを起動しても、ポートインターフェイスは自動的に起動しない。
  2. ポートインターフェイスを起動すると、コントローラーインターフェイスは毎回、起動する。
  3. コントローラーインターフェイスを停止すると、ポートインターフェイスも停止する。
  4. ポートのないコントローラーは静的 IP 接続を開始できる。
  5. コントローラーにポートがない場合は、DHCP 接続の開始時にポートを待機します。
  6. DHCP 接続でポートを待機中のコントローラーは、キャリアを含むポートが追加されると完了する。
  7. DHCP 接続でポートを待機中のコントローラーは、キャリアをともなわないポートが追加されると待機を継続します。
警告
ネットワークスイッチを使わずにケーブルの直接接続を使用すると、チーミングはサポートされません。本章で説明されているフェイルオーバーメカニズムは、ネットワークスイッチがないと予想どおりに機能しません。詳細についてはナレッジベースの記事ボンディングは、クロスオーバーケーブルを使用したダイレクトコレクションをサポートしますか ?を参照してください。

8.3. ネットワークチーミングとボンディングの比較

表8.1 ボンディングおよびチームにおける機能の比較
機能ボンディングチーム
ブロードキャスト Tx ポリシーはいはい
ラウンドロビン Tx ポリシーはいはい
アクティブバックアップ Tx ポリシーはい
LACP (802.3ad) への対応あり (アクティブのみ)
ハッシュベースの Tx ポリシー
ユーザーによるハッシュ機能の設定いいえ
Tx 負荷分散への対応 (TLB)
LACP ハッシュポートの選択はい
LACP サポートの負荷分散いいえ
Ethtool リンク監視
ARP リンク監視
NS/NA (IPv6) リンク監視いいえはい
ポート アップ/ダウン 遅延はいはい
ポート優先度および持続性 (プライマリーオプション強化)いいえはい
ポートごとの個別リンク監視のセットアップいいえはい
複数のリンク監視セットアップ限定的はい
ロックなし Tx/Rx パスなし (rwlock)あり (RCU)
VLAN への対応はい
ユーザースペースランタイム制御限定的完全
ユーザー空間での論理いいえ
拡張性困難容易
モジュラー設計いいえ
パフォーマンスのオーバーヘッド非常に低い
D-Bus インターフェイスいいえはい
複数デバイススタッキングはいはい
LLDP を使った zero configいいえ(計画中)
NetworkManager への対応はい

8.4. ネットワークチーミングデーモンおよびランナーについて

チームデーモン teamd は、libteam を使用してチームドライバーのインスタンスを制御します。このチームドライバーのインスタンスは、ハードウェアドライバーのインスタンスを追加してネットワークリンクのチームを形成します。チームドライバーがネットワークインターフェイスを提示します。team0 たとえば、カーネルの他の部分まで。チームドライバーのインスタンスによって作成されたインターフェイスの名前は、以下のようになります。 team0,team1ドキュメントに記載されているため、同様。これは分かりやすくするためのもので、他の名前を使っても構いません。チーミングのすべてのメソッドに共通するロジックは、teamd によって実装されます。ラウンドロビンなど、異なる負荷共有とバックアップメソッドに固有の機能は、runners と呼ばれる別のコードのユニットによって実装されます。ランナーという用語がこれらのコードユニットの呼称に選ばれたのは、モジュールモードといった言葉がカーネルとの関係ですでに特別な意味を持っているためです。ユーザーは JSON 形式の設定ファイルでランナーを指定し、インスタンスの作成時にコードが teamd のインスタンスにコンパイルされます。ランナーのコードは作成時に teamd のインスタンスにコンパイルされるため、ランナーはプラグインではありません。必要に応じて、teamd のプラグインとしてコードを作成できます。
本ガイド執筆時点では、以下のランナーが利用可能です。
  • broadcast (データは全ポートで送信されます)
  • round-robin (データは全ポートで順番に送信されます)
  • active-backup (1 つのポートまたはリンクが使用され、他はバックアップとして維持されます)
  • loadbalance (アクティブ Tx 負荷分散と BPF ベースの Tx ポートセレクターを使用)
  • lacp (802.3ad リンクアグリゲーション制御プロトコルを実装)
さらに、以下のリンク監視が利用可能です。
  • ethtool (Libteam lib は ethtool を使用してリンク状態の変更を監視します)。設定ファイルで他のリンク監視が指定されていなければ、これがデフォルトになります。
  • arp_ping ( arp_ping ユーティリティーは、ARP パケットを使用して遠端のハードウェアアドレスの存在を監視するために使用されます。)
  • nsna_ping ( IPv6 近隣検出プロトコルからの近隣広告と近隣要望は、近隣のインターフェイスの存在を監視するために使用されます)
コードには、特定のリンク監視が特定のランナーで使用されないようにするための制限はありませんが、lacp ランナーを使用する場合は、ethtool が唯一の推奨されるリンク監視です。

8.5. ネットワークチーミングデーモンのインストール

ネットワークチーミングデーモン teamd は、デフォルトではインストールされません。teamd をインストールするには、root で以下のコマンドを実行します。
~]# yum install teamd

8.6. ボンドのチーム変換

bond2team ツールを使用して、既存のボンディング設定ファイルをチーム設定ファイルに変換できます。ifcfg 形式のボンド設定ファイルを、 ifcfg または JSON 形式のチーム設定ファイルに変換できます。ファイアウォールルール、エイリアスインターフェイス、および元のインターフェイス名に関連付けられる可能性のあるものはすべて、名前変更後に破損する可能性があることに注意してください。これは、このツールは ifcfg ファイルのみを変更し、それ以外は何も変更しないためです。
コマンド形式の例を見るには、以下のコマンドを実行します。
~]$ bond2team --examples
/tmp/bond2team.XXXXXX/ で始まるディレクトリーに新規ファイルが作成されます。XXXXXX はランダムな文字列です。新しい設定ファイルを作成したら、古いボンディングファイルをバックアップフォルダーに移動し、新しいファイルを /etc/sysconfig/network-scripts/ ディレクトリーに移動します。

例8.1 ボンドのチーム変換

現在の bond0 設定をチーム ifcfg に変換するには、root でコマンドを実行します。
~]# /usr/bin/bond2team --master bond0
これで bond0 という名前が保持されることに注意してください。新しい名前を使用して設定を保存するには、以下のように --rename を使用します。
~]# /usr/bin/bond2team --master bond0 --rename team0
ifcfg ファイルではなく JSON 形式のファイルを出力する --json オプションを追加します。JSON 形式の例については、teamd.conf (5) の man ページを参照してください。

例8.2 ボンドをチームに変換してファイルパスを指定する手順

現在の bond0 設定をチーム ifcfg に変換し、ifcfg ファイルへのパスを手動で指定するには、root でコマンドを実行します。
~]# /usr/bin/bond2team --master bond0 --configdir /path/to/ifcfg-file
ifcfg ファイルではなく JSON 形式のファイルを出力する --json オプションを追加します。

例8.3 Bond2team を使ってチーム設定を作成する手順

bond2team ツールにボンディングパラメーターの一覧を指定して、チーム設定を作成することもできます。以下に例を示します。
~]# /usr/bin/bond2team --bonding_opts "mode=1 miimon=500"
以下のように、コマンドラインにポートを提供することもできます。
~]# /usr/bin/bond2team --bonding_opts "mode=1 miimon=500 primary=enp1s0 \
  primary_reselect-0" --port enp1s0 --port enp2s0 --port enp3s0 --port enp4s0
詳細は、bond2team (1) man ページを参照してください。ボンディングパラメーターの説明については、「チャンネルボンディングの使用」 を参照してください。

8.7. ネットワークチームでポートとして使用するインターフェイスの選択

利用可能なインターフェイスを表示するには、以下のコマンドを実行します。
~]$ ip link show
1: lo:  <LOOPBACK,UP,LOWER_UP > mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: em1:  <BROADCAST,MULTICAST,UP,LOWER_UP > mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000
    link/ether 52:54:00:6a:02:8a brd ff:ff:ff:ff:ff:ff
3: em2:  <BROADCAST,MULTICAST,UP,LOWER_UP > mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000
link/ether 52:54:00:9b:6d:2a brd ff:ff:ff:ff:ff:ff
利用可能なインターフェイスから使用するネットワークチームに最適なものを選択し、「ネットワークチーム設定方式の選択」に進みます。

8.8. ネットワークチーム設定方式の選択

NetworkManager のテキストユーザーインターフェイスツール nmtui を使用してネットワークチームを設定するに は、に進みます。 「テキスト形式のユーザーインターフェイス nmtui でネットワークチームを設定する手順」
コマンドラインツールnmcli を使用してネットワークチームを作成するに は、「nmcli を使用したネットワークチーミングの設定」 に進みます。
チームデーモン であるteamd を使用してネットワークチームを作成するに は、「teamd を使用したネットワークチームの作成」 に進みます。
設定ファイルを使用してネットワークチームを作成するには「ifcfg ファイルを使用したネットワークチームの作成」に進みます。
グラフィカルユーザーインターフェイスを使用してネットワークチームを設定するには「GUI を使用したネットワークチームの作成」に進みます。

8.9. テキスト形式のユーザーインターフェイス nmtui でネットワークチームを設定する手順

テキスト形式のユーザーインターフェイスツール nmtui を使用すると、ターミナルのウィンドウでチーミングを設定できます。このツールを起動するには、以下のコマンドを実行します。
~]$ nmtui
テキストユーザーインターフェイスが表示されます。無効なコマンドがあると、使用方法に関するメッセージが表示されます。
移動するには、矢印キーを使用するか、Tab を押して順方向に進み、Shift+Tab を押してオプションを再度実行します。Enter を押してオプションを選択します。Space バーは、チェックボックスのステータスを切り替えます。
  1. メニューから 接続の編集 を選択します。Add を選択すると、New Connection 画面が開きます。

    図8.1 NetworkManager テキスト形式のユーザーインターフェイスのチーム接続追加メニュー

    NetworkManager テキスト形式のユーザーインターフェイスのチーム接続追加メニュー
  2. チーム を選択すると、接続の編集 画面が開きます。

    図8.2 NetworkManager テキスト形式ユーザーインターフェイスでチーム接続を設定するメニュー

    NetworkManager テキスト形式ユーザーインターフェイスでチーム接続を設定するメニュー
  3. チームにポートインターフェイスを追加するには 追加 を選択すると、新規接続 画面が開きます。Connection のタイプを選択したら、Create ボタンを選択して、チームの 接続の編集 表示を表示します。

    図8.3 NetworkManager テキスト形式ユーザーインターフェイスで新規チームポートインターフェイス接続を設定するメニュー

    NetworkManager テキスト形式ユーザーインターフェイスで新規チームポートインターフェイス接続を設定するメニュー
  4. Device セクションに、必要なポートのデバイス名または MAC アドレスを入力します。必要な場合は、イーサネット ラベルの右側にある Show を選択して、チームの MAC アドレスとして使用するクローンの MAC アドレスを入力します。OK ボタンを選択します。
    注記
    MAC アドレスなしでデバイスを指定すると、Edit Connection ウィンドウが再読み込みされると Device セクションが自動的に入力されますが、デバイスが正常に見つかった場合にのみデバイスセクションが自動的に設定されます。

    図8.4 NetworkManager テキスト形式ユーザーインターフェイスでチームのポートインターフェイス接続を設定するメニュー

    NetworkManager テキスト形式ユーザーインターフェイスでチームのポートインターフェイス接続を設定するメニュー
  5. Slaves セクションにチームポートの名前が表示されます。さらにポート接続を追加する場合は、上記のステップを繰り返します。
  6. カスタムポート設定を適用する場合は、JSON 設定 セクションの下にある Edit ボタンを選択します。これにより vim コンソールが起動し、変更を適用できます。vim からの変更の書き込みが完了したら、JSON 設定 の下に表示される JSON 文字列が意図したものと一致することを確認します。
  7. 設定を確認してから、OK ボタンを選択します。

    図8.5 NetworkManager テキスト形式ユーザーインターフェイスでチーム接続を設定するメニュー

    NetworkManager テキスト形式ユーザーインターフェイスでチーム接続を設定するメニュー
JSON 文字列の例については、「teamd ランナーの設定」を参照してください。nmtui を使用したチームまたはポート設定には、文字列例の関連セクションのみを使用する必要があることに注意してください。JSON 文字列の一部としてDeviceを指定しないでください。たとえば、チームの JSON 設定フィールドでは、deviceの後からportの前までの JSON 文字列を使用してください。ポートに関連するすべての JSON 文字列のみをポート設定フィールドに追加する必要があります。
nmtui のインストール方法は、「nmtui を使用した IP ネットワークの設定」 を参照してください。

8.10. コマンドラインを使用したネットワークチームの設定

8.10.1. nmcli を使用したネットワークチーミングの設定

システムで利用可能な接続を表示するには、以下のコマンドを実行します。
~]$ nmcli connection show
NAME  UUID                                  TYPE            DEVICE
enp2s0  0e8185a1-f0fd-4802-99fb-bedbb31c689b  802-3-ethernet  --
enp1s0  dfe1f57b-419d-4d1c-aaf5-245deab82487  802-3-ethernet  --
システムで利用可能なデバイスを表示するには、以下のコマンドを実行します。
~]$ nmcli device status
DEVICE      TYPE      STATE                                  CONNECTION
virbr0      bridge    connected                              virbr0
ens3        ethernet  connected                              ens3
新しいチームインターフェイスを、ServerA という名前で作成するには、以下のコマンドを実行します。
~]$ nmcli connection add type team ifname ServerA
Connection 'team-ServerA' (b954c62f-5fdd-4339-97b0-40efac734c50) successfully added.
NetworkManager は内部パラメーター connection.autoconnectyes に設定します。IP アドレスが指定されていないため、ipv4.methodauto に設定されます。NetworkManager は、設定ファイルを /etc/sysconfig/network-scripts/ifcfg-team-ServerA に書き込みます。ここで、対応する ONBOOT は yes に、BOOTPROTO は dhcp に設定されます。
ifcfg ファイルへの手動の変更は、インターフェイスが次に起動するまで NetworkManager では認識されません。設定ファイルの使用方法については、「sysconfig ファイルによる NetworkManager の使用」を参照してください。
割り当てた別の値を表示するには、以下のコマンドを実行します。
~]$ nmcli con show team-ServerA
connection.id:                          team-ServerA
connection.uuid:                        b954c62f-5fdd-4339-97b0-40efac734c50
connection.interface-name:              ServerA
connection.type:                        team
connection.autoconnect:                 yes

ipv4.method:                            auto
[output truncated]
JSON 設定ファイルが指定されていないので、デフォルト値が適用されます。チーム JSON パラメーターとそのデフォルト値の詳細は、teamd.conf (5) man ページを参照してください。名前は、インターフェイス名の前に種類を追加したものになっていることに留意してください。別の方法では、以下のように con-name オプションで名前を指定します。
~]$ nmcli connection add type team con-name Team0 ifname ServerB
Connection 'Team0' (5f7160a1-09f6-4204-8ff0-6d96a91218a7) successfully added.
設定したチームインターフェイスを表示するには、以下のコマンドを実行します。
~]$ nmcli con show
NAME                UUID                                  TYPE            DEVICE
team-ServerA        b954c62f-5fdd-4339-97b0-40efac734c50  team            ServerA
enp2s0                0e8185a1-f0fd-4802-99fb-bedbb31c689b  802-3-ethernet  --
enp1s0                dfe1f57b-419d-4d1c-aaf5-245deab82487  802-3-ethernet  --
Team0               5f7160a1-09f6-4204-8ff0-6d96a91218a7  team            ServerB
チームに割り当てられた名前を変更するには、以下の形式でコマンドを入力します。
nmcli con mod old-team-name connection.id new-team-name
すでに存在するチームのチーム設定ファイルを読み込むには、
nmcli connection modify team-name team.config JSON-config
: JSON 文字列としてチーム設定を指定するか、設定を含むファイル名を指定します。ファイル名には、パスを含めることができます。いずれの場合も、team.config プロパティーに保存される内容は JSON 文字列です。JSON 文字列の場合は、文字列を単一引用符で囲み、文字列全体をコマンドラインにペーストします。
team.config プロパティーを確認するには、以下を実行します。
nmcli con show team-name | grep team.config
team.config プロパティーを設定すると、それに応じてその他のチームプロパティーがすべて更新されます。
対応する JSON 文字列を直接変更せずに、特定のチームオプションを公開して設定するより柔軟な方法も可能になります。これは、利用可能なその他のチームプロパティーを使用して、必要な値に 1 つずつ関連するチームオプションを設定できます。その結果、新しい値に一致するように team.config プロパティーが更新されます。
たとえば、1 つまたは複数のリンク監視を指定できるようにする team.link-watchers プロパティーを設定するには、
nmcli connection modify team-name team.link-watchers "name=ethtool delay-up=5, name=nsna_ping target-host=target.host"
の形式でコマンドを入力します。必要な link-watchers はコンマで区切り、同じ link-watcher に属する属性はスペースで区切られます。
team.runner および team.link-watchers プロパティーを設定するには、次の形式でコマンドを入力します。
nmcli connection modify team-name team.runner activebackup team.link-watchers "name=ethtool delay-up=5, name=nsna_ping target-host=target.host"
これは、team.config プロパティーを対応する JSON 文字列に設定するのと同じです。
nmcli connection modify team-name team.config '{"runner": {"name": "activebackup"}, "link_watch": [{"name": "ethtool", "delay_up": 5},{"name": "nsna_ping", "target_host ": "target.host"}]'
Team0-port1 という名前の Team0 にインターフェイス enp1s0 を追加するには、以下のコマンドを実行します。
~]$ nmcli con add type ethernet con-name Team0-port1 ifname enp1s0 slave-type team master Team0
Connection 'Team0-port1' (ccd87704-c866-459e-8fe7-01b06cf1cffc) successfully added.
同様に Team0-port2 の名前で別のインターフェイス enp2s0 を追加するには、以下のコマンドを実行します。
~]$ nmcli con add type ethernet con-name Team0-port2 ifname enp2s0 slave-type team master Team0
Connection 'Team0-port2' (a89ccff8-8202-411e-8ca6-2953b7db52dd) successfully added.
nmcli は、イーサネットポートのみをサポートします。
チームを有効にするには、以下のように最初にポートをアップにする必要があります。
~]$ nmcli connection up Team0-port1
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/2)
~]$ nmcli connection up Team0-port2
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/3)
以下のようにポートをアクティブ化することで、チームインターフェイスがアップになっていることを確認できます。
~]$ ip link
3:  Team0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT
    link/ether 52:54:00:76:6f:f0 brd ff:ff:ff:ff:ff:f
あるいは、以下のようにチームを有効にするコマンドを実行します。
~]$ nmcli connection up Team0
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/4)
nmcliの概要は、「nmcli を使用する IP ネットワークの設定」 を参照してください。

8.10.2. teamd を使用したネットワークチームの作成

注記
teamd を使って作成された設定には永続性がありません。このため、「nmcli を使用したネットワークチーミングの設定」または「ifcfg ファイルを使用したネットワークチームの作成」で定義されているステップを使ってチームを作成する必要がある場合があります。
ネットワークチームを作成するには、ポートまたはリンクのチームに対するインターフェイスとして作動する仮想インターフェイスの設定ファイルが JSON 形式で必要になります。簡単な方法は、サンプル設定ファイルをコピーし、root 権限でエディターを使用してファイルを編集することです。利用可能な設定例をリスト表示するには、以下のコマンドを実行します。
~]$ ls /usr/share/doc/teamd-*/example_configs/
activebackup_arp_ping_1.conf  activebackup_multi_lw_1.conf   loadbalance_2.conf
activebackup_arp_ping_2.conf  activebackup_nsna_ping_1.conf  loadbalance_3.conf
activebackup_ethtool_1.conf   broadcast.conf                 random.conf
activebackup_ethtool_2.conf   lacp_1.conf                    roundrobin_2.conf
activebackup_ethtool_3.conf   loadbalance_1.conf             roundrobin.conf
activebackup_ethtool_1.conf など、含まれているファイルのいずれかを表示するには、以下のコマンドを実行します。
~]$ cat /usr/share/doc/teamd-*/example_configs/activebackup_ethtool_1.conf
{
	"device":	"team0",
	"runner":	{"name": "activebackup"},
	"link_watch":	{"name": "ethtool"},
	"ports":	{
		"enp1s0": {
			"prio": -10,
			"sticky": true
		},
		"enp2s0": {
			"prio": 100
		}
	}
}
teamd 設定ファイルを保存する作業設定ディレクトリーを作成します。たとえば通常ユーザーの場合、以下の形式のコマンドを実行します。
~]$ mkdir ~/teamd_working_configs
選択したファイルを作業ディレクトリーにコピーし、必要に応じて編集します。以下の形式のコマンドを使用できます。
~]$ cp /usr/share/doc/teamd-*/example_configs/activebackup_ethtool_1.conf \ ~/teamd_working_configs/activebackup_ethtool_1.conf
ネットワークチームのポートとして使用するインターフェイスを変更する場合など、使用中の環境に適合するようにファイルを編集するには、以下のように編集するファイルを開きます。
~]$ vi ~/teamd_working_configs/activebackup_ethtool_1.conf
必要な変更を加えて、ファイルを保存します。vi (1) の man ページでは、vi エディターの使用についてのヘルプを参照するか、お好みのエディターを使用してください。
チーム内でポートとして使用するインターフェイスをチームデバイスに追加する際には、それがアクティブになっていない、つまりdownになっている必要があることに注意してください。インターフェイスのステータスを確認するには、以下のコマンドを実行します。
~]$ ip link show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: em1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000
    link/ether 52:54:00:d5:f7:d4 brd ff:ff:ff:ff:ff:ff
3: em2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000
  link/ether 52:54:00:d8:04:70 brd ff:ff:ff:ff:ff:ff
この例では、使用する予定のインターフェイスはどちらもUPになっていることが分かります。
インターフェイスを停止するには、root で以下の形式のコマンドを実行します。
~]# ip link set down em1
必要に応じて各インターフェイスでこれを繰り返します。
設定ファイルに基づいてチームインターフェイスを作成するには、root ユーザーとして作業設定ディレクトリー(この例ではteamd_working_configs )に移動します。
~]# cd /home/userteamd_working_configs
それから、以下の形式のコマンドを実行します。
~]# teamd -g -f activebackup_ethtool_1.conf -d
Using team device "team0".
Using PID file "/var/run/teamd/team0.pid"
Using config file "/home/user/teamd_working_configs/activebackup_ethtool_1.conf"
-g オプションはデバッグメッセージ用のオプションであり、-f オプションは、読み込む設定ファイルを指定することです。-d オプションは、起動後にプロセスがデーモンとして実行されるようにします。その他のオプションについては、teamd (8) man ページを参照してください。
チームのステータスを確認するには、root で以下のコマンドを実行します。
~]# teamdctl team0 state
setup:
  runner: activebackup
ports:
  em1
    link watches:
      link summary: up
      instance[link_watch_0]:
        name: ethtool
        link: up
  em2
    link watches:
      link summary: up
      instance[link_watch_0]:
        name: ethtool
        link: up
runner:
  active port: em1
アドレスをネットワークチームインターフェイスに適用するには、以下を実行します。team0root で以下の形式でコマンドを実行します。
~]# ip addr add 192.168.23.2/24 dev team0
チームインターフェイスの IP アドレスを確認するには、以下のコマンドを実行します。
~]$ ip addr show team0
4: team0:  <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
    link/ether 16:38:57:60:20:6f brd ff:ff:ff:ff:ff:ff
    inet 192.168.23.2/24 scope global team0
       valid_lft forever preferred_lft forever
    inet6 2620:52:0:221d:1438:57ff:fe60:206f/64 scope global dynamic
       valid_lft 2591880sec preferred_lft 604680sec
    inet6 fe80::1438:57ff:fe60:206f/64 scope link
       valid_lft forever preferred_lft forever
チームインターフェイスをアクティブにするか、を起動するには、root で以下の形式のコマンドを実行します。
~]# ip link set dev team0 up
チームインターフェイスを一時的に非アクティブ化するか、を 停止 するには、root で以下の形式のコマンドを実行します。
~]# ip link set dev team0 down
チームデーモンのインスタンスを終了するか、または強制終了するには、root ユーザーとして以下の形式のコマンドを実行します。
~]# teamd -t team0 -k
-k オプションは、デバイスに関連付けられたデーモンのインスタンスを指定することです。 team0 強制終了されます。その他のオプションについては、teamd (8) man ページを参照してください。
teamd のコマンドラインオプションのヘルプは、次のコマンドを発行します。
~]$ teamd -h
また、teamd (8) の man ページを参照してください。

8.10.3. ifcfg ファイルを使用したネットワークチームの作成

ifcfg ファイルを使用してネットワークチームを作成するには、以下のように /etc/sysconfig/network-scripts/ ディレクトリーにファイルを作成します。
DEVICE=team0
DEVICETYPE=Team
ONBOOT=yes
BOOTPROTO=none
IPADDR=192.168.11.1
PREFIX=24
TEAM_CONFIG='{"runner": {"name": "activebackup"}, "link_watch": {"name": "ethtool"}}'
これでチームへのインターフェイスが作成されます。つまり、これが マスター になります。
メンバーとなるポートを作成するには、以下を実行します。 team0/etc/sysconfig/network-scripts/ ディレクトリーに以下のように 1 つ以上のファイルを作成します。
DEVICE=enp1s0
HWADDR=D4:85:64:01:46:9E
DEVICETYPE=TeamPort
ONBOOT=yes
TEAM_MASTER=team0
TEAM_PORT_CONFIG='{"prio": 100}'
必要に応じてポートインターフェイスを同様に追加します。追加する各ポート (ネットワークデバイス) に応じて、DEVICE と HWADDR のフィールドを変更します。ポートの優先度が prio によって指定されていない場合、デフォルトで 0 になります。-32,767 から + 32,767 までの範囲の負の値および正の値を受け入れます。
HWADDR ディレクティブを使用してハードウェアまたは MAC アドレスを指定すると、デバイスの命名手順に影響します。これについては、11章ネットワークデバイス命名における一貫性で説明します。
ネットワークチームを開くには、root で以下のコマンドを実行します。
~]# ifup team0
ネットワークチームを表示するには、以下のコマンドを実行します。
~]$ ip link show

8.10.4. iputils を使用したネットワークチームへのポートの追加

ポートを追加するには、以下を実行します。 em1 ネットワークチームへ team0ip ユーティリティーを使用して、root で以下のコマンドを実行します。
~]# ip link set dev em1 down
~]# ip link set dev em1 master team0
必要に応じてさらにポートを追加します。チームドライバーが自動的にポートをアップにします。

8.10.5. teamnl を使用したチームのポートのリスト表示

teamnl ユーティリティーを使用して、ネットワークチーム内のポートを表示または一覧表示するには、root で以下のコマンドを実行します。
~]# teamnl team0 ports
em2: up 100 fullduplex
em1: up 100 fullduplex

8.10.6. teamnl を使用したチームのオプション設定

teamnl ユーティリティーを使用して、現在利用可能なすべてのオプションを表示または一覧表示するには、root で以下のコマンドを実行します。
~]# teamnl team0 options
チームがアクティブなバックアップモードを使用するように設定するには、root で以下のコマンドを実行します。
~]# teamnl team0 setoption mode activebackup

8.10.7. iputils を使用したネットワークチームへのアドレス追加

チームへのアドレスの追加 team0ip ユーティリティーを使用して、root で以下のコマンドを実行します。
~]# ip addr add 192.168.252.2/24 dev team0

8.10.8. iputils を使用したネットワークチームへのインターフェイスの有効化

ネットワークチームへインターフェイスをアクティブまたは 開く には、以下を行います。team0ip ユーティリティーを使用して、root で以下のコマンドを実行します。
~]# ip link set team0 up

8.10.9. teamnl を使用したチームのアクティブポートオプション表示

teamnl ユーティリティーを使用して、ネットワークチームで activeport オプションを表示または一覧表示するには、root で以下のコマンドを実行します。
~]# teamnl team0 getoption activeport
0

8.10.10. teamnl を使用したチームのアクティブポートオプション設定

teamnl ユーティリティーを使用して、ネットワークチームで activeport オプションを設定するには、root で以下のコマンドを実行します。
~]# teamnl team0 setoption activeport 5
チームポートオプションの変更を確認するには、root で以下のコマンドを実行します。
~]# teamnl team0 getoption activeport
5

8.11. teamdctl を使用した teamd の制御

実行中の teamd のインスタンスに対して統計や設定情報をクエリーしたり、変更を加えたりするには、制御ツール teamdctl を使用します。
チームの現在の状態を表示するには、以下を実行します。 team0root で以下のコマンドを入力します。
~]# teamdctl team0 state view
さらに詳細な出力を表示するには、以下のコマンドを実行します。
~]# teamdctl team0 state view -v
完全な状態のダンプを JSON 形式 (マシン処理に便利) で表示 team0以下のコマンドを使用します。
~]# teamdctl team0 state dump
JSON 形式の設定ダンプの場合 team0以下のコマンドを使用します。
~]# teamdctl team0 config dump
ポートの設定を表示するには、 em1これはチームの一部です team0以下のコマンドを入力します。
~]# teamdctl team0 port config dump em1

8.11.1. ネットワークチームへのポートの追加

ポートを追加するには、以下を実行します。 em1 ネットワークチームへ team0root で以下のコマンドを発行します。
~]# teamdctl team0 port add em1
重要
teamdctl を直接使用してポートを追加する場合は、ポートを down に設定する必要があります。そうしないと、teamdctl team0 port add em1 コマンドが失敗します。

8.11.2. ネットワークチームからのポートの削除

インターフェイスを削除するには、以下を行います。 em1 ネットワークチームから team0root で以下のコマンドを発行します。
~]# teamdctl team0 port remove em1

8.11.3. ネットワークチームのポートに対するスティッキー設定の適用

teamdctl コマンドを使用してスティッキー設定を適用し、特定のポートが利用可能なときにアクティブなリンクとして使用されるようにすることができます。
前提条件
  • すでにネットワークインターフェイスのチームを作成している。その結果、ポート(em1)の設定を更新します。
手順
JSON 形式の設定をポートに適用するには、以下を実行します。 em1 ネットワークチームにおいて team0以下のコマンドを実行します。
  1. スティッキー設定を更新します em1:
    ~]# teamdctl team0 port config update em1 '{ "prio": 100, "sticky": true }'
  2. Remove em1:
    ~]# teamdctl team0 port remove em1
  3. 追加 em1 もう一度スティッキー設定が有効になるようにします。
    ~]# teamdctl team0 port add em1
    古い設定は上書きされ、省略されたオプションはデフォルト値にリセットされることに注意してください。他のチームデーモン制御ツールコマンド例は、teamdctl (8) の man ページを参照してください。

8.11.4. ネットワークチーム内のポート設定表示

ポートの設定をコピーするには、以下を実行します。 em1 ネットワークチームにおいて team0root で以下のコマンドを発行します。
~]# teamdctl team0 port config dump em1
これでポート設定が JSON 形式で標準出力にダンプされます。

8.12. 冗長性についてネットワーク設定チーミングの確認

ネットワークの冗長性は、特定のシステムの障害を防止または回復するために、バックアップ目的でデバイスが使用される場合のプロセスです。次の手順では、冗長性でチーミングのネットワーク設定を確認する方法を説明します。
手順
  1. チームインターフェイスから、宛先の IP を ping します。以下に例を示します。
    ~]# ping -I team0 DSTADDR
  2. どのインターフェイスが アクティブ モードであるかを表示します。
    ~]# teamdctl team0 state
    setup:
      runner: activebackup
    ports:
      enp1s0
        link watches:
          link summary: up
          instance[link_watch_0]:
            name: ethtool
            link: up
            down count: 0
      enp2s0
        link watches:
          link summary: up
          instance[link_watch_0]:
            name: ethtool
            link: up
            down count: 0
    runner:
      active port: enp1s0
    enp1s0アクティブ なインターフェイスです。
  3. ホストからネットワークケーブルを一時的に削除します。
    注記
    ソフトウェアユーティリティーを使用してリンク障害イベントを適切にテストする方法はありません。ipnmcli などの接続を非アクティブにするツールでは、ポート設定の変更を処理するドライバーの機能のみが表示され、実際のリンク障害イベントは表示されません。
  4. バックアップ インターフェイスが起動しているかどうかを確認します。
    ~]# teamdctl team0 state
    setup:
     runner: activebackup
    ports:
     enp1s0
       link watches:
         link summary: down
         instance[link_watch_0]:
           name: ethtool
           link: down
           down count: 1
     enp2s0
       link watches:
         link summary: up
         instance[link_watch_0]:
           name: ethtool
           link: up
           down count: 0
    runner:
     active port: enp2s0
    enp2s0アクティブな インターフェイスになりました。
  5. チームインターフェイスから、宛先の IP を ping できるかどうかを確認します。
    ~]# ping -I team0 DSTADDR

8.13. teamd ランナーの設定

ランナーとは、デーモンのインスタンスが作成される際に、チームデーモンにコンパイルされるコードのユニットです。teamd ランナーについては、「ネットワークチーミングデーモンおよびランナーについて」 を参照してください。

8.13.1. ブロードキャストランナーの設定

ブロードキャストランナーを設定するには、root でエディターを使用して、以下をチームの JSON 形式設定ファイルに追加します。
{
 "device": "team0",
 "runner": {"name": "broadcast"},
 "ports": {"em1": {}, "em2": {}}
}
詳細は、man ページの teamd.conf (5) を参照してください。

8.13.2. ランダムランナーの設定

ランダムランナーは、ラウンドロビンランナーと同様の動作をします。
ランダムなランナーを設定するには、root でエディターを使用して、以下をチームの JSON 形式設定ファイルに追加します。
{
 "device": "team0",
 "runner": {"name": "random"},
 "ports": {"em1": {}, "em2": {}}
}
詳細は、man ページの teamd.conf (5) を参照してください。

8.13.3. ラウンドロビンランナーの設定

ラウンドロビンランナーを設定するには、root でエディターを使用して、以下をチームの JSON 形式設定ファイルに追加します。
{
 "device": "team0",
 "runner": {"name": "roundrobin"},
 "ports": {"em1": {}, "em2": {}}
}
これが、ラウンドロビンの非常に基本的な設定になります。
詳細は、man ページの teamd.conf (5) を参照してください。

8.13.4. アクティブバックアップランナーの設定

アクティブバックアップランナーは、リンク監視すべてを使用してチーム内のリンクのステータスを判断できます。以下のいずれかの例を JSON 形式の設定ファイルに追加できます。
{
   "device": "team0",
   "runner": {
      "name": "activebackup"
   },
   "link_watch": {
      "name": "ethtool"
   },
   "ports": {
      "em1": {
         "prio": -10,
         "sticky": true
      },
      "em2": {
         "prio": 100
      }
   }
}
この設定例では、ethtool でアクティブバックアップランナーをリンク監視として使用します。ポート em2 に高い優先度が設定されています。スティッキーフラグにより、 em1 がアクティブになると、リンクが起動している限りアクティブな状態が維持されます。
{
   "device": "team0",
   "runner": {
      "name": "activebackup"
   },
   "link_watch": {
      "name": "ethtool"
   },
   "ports": {
      "em1": {
         "prio": -10,
         "sticky": true,
         "queue_id": 4
      },
      "em2": {
         "prio": 100
      }
   }
}
この設定例では、4 のキュー ID を追加します。ethtool でアクティブバックアップランナーをリンク監視として使用します。ポート em2 に高い優先度が設定されています。ただし、スティッキーフラグにより、 em1 がアクティブになると、リンクが起動している限りアクティブな状態が維持されます。
ethtool をリンク監視として使用するアクティブバックアップランナーを設定し、遅延を適用するには、root でエディターを使用して、以下をチームの JSON 形式設定ファイルに追加します。
{
   "device": "team0",
   "runner": {
      "name": "activebackup"
   },
   "link_watch": {
      "name": "ethtool",
      "delay_up": 2500,
      "delay_down": 1000
   },
   "ports": {
      "em1": {
         "prio": -10,
         "sticky": true
      },
      "em2": {
         "prio": 100
      }
   }
}
この設定例では、ethtool でアクティブバックアップランナーをリンク監視として使用します。ポート em2 に高い優先度が設定されています。ただし、スティッキーフラグにより、 em1 がアクティブになると、リンクが起動している限りアクティブな状態が維持されます。リンク変更はランナーに即座に反映されませんが、遅延は適用されます。
詳細は、man ページの teamd.conf (5) を参照してください。

8.13.5. 負荷分散ランナーの設定

このランナーは、アクティブとパッシブという 2 つのタイプの負荷分散に使用できます。アクティブモードでは、最近のトラフィックの統計値を使用して、トラフィックをできるだけ均一に共有することで、持続的なトラフィックの再分散が図られます。パッシブモードでは、トラフィックのストリームが利用可能なリンクにランダムに分配されます。この方法では処理オーバーヘッドが低くなることから、速度面で有利になります。大量のトラフィックアプリケーションでは、トラフィックは通常、利用可能なリンク間でランダムに分散される複数のストリームで設定されるため、これが推奨されます。このように、負荷共有は teamd による介入なしに行われます。
パッシブ送信(Tx)負荷分散用に負荷分散ランナーを設定するには、root でエディターを使用して、以下をチームの JSON 形式設定ファイルに追加します。
{
 "device": "team0",
 "runner": {
   "name": "loadbalance",
   "tx_hash": ["eth", "ipv4", "ipv6"]
 },
 "ports": {"em1": {}, "em2": {}}
}
ハッシュベースのパッシブ送信 (Tx) 負荷分散の設定
アクティブ送信(Tx)負荷分散用に負荷分散ランナーを設定するには、root でエディターを使用して、以下をチームの JSON 形式設定ファイルに追加します。
{
   "device": "team0",
   "runner": {
     "name": "loadbalance",
     "tx_hash": ["eth", "ipv4", "ipv6"],
     "tx_balancer": {
       "name": "basic"
     }
   },
   "ports": {"em1": {}, "em2": {}}
}
基本的ロードバランサーを使用したアクティブ送信 (Tx) 負荷分散の設定
詳細は、man ページの teamd.conf (5) を参照してください。

8.13.6. LACP (802.3ad) ランナーの設定

ethtool をリンク監視として使用する LACP ランナーを設定するには、root でエディターを使用して、以下をチームの JSON 形式設定ファイルに追加します。
{
   "device": "team0",
   "runner": {
       "name": "lacp",
       "active": true,
       "fast_rate": true,
       "tx_hash": ["eth", "ipv4", "ipv6"]
   },
     "link_watch": {"name": "ethtool"},
     "ports": {"em1": {}, "em2": {}}
}
接続先が link aggregation control protocol (LACP) に対応している場合の接続の設定になります。LACP ランナーは ethtool を使用してリンクのステータスを監視する必要があります。ethtool だけがリンク監視に使用できます。たとえば、arp_ping の場合、リンクは起動しません。この理由は、リンクが最初に確立される必要があり、その後でのみ、ARP を含むパケットが送信可能となるためです。ethtool を使用すると、各リンク層を個別に監視するため、これを防ぐことができます。
このランナーでは、負荷分散ランナーを使用した場合と同様の方法でアクティブ負荷分散が可能になります。アクティブ送信 (Tx) 負荷分散を有効にするには、以下のセクションを追加します。
"tx_balancer": {
       "name": "basic"
}
詳細は、man ページの teamd.conf (5) を参照してください。

8.13.8. ポート選択上書きの設定

フレームを送信する物理的なポートは、通常、チームドライバーのカーネル部分が選択するもので、ユーザーまたはシステム管理者とは関係がありません。出力ポートは、選択したチームモード(teamd ランナー)のポリシーを使用して選択されます。ただし場合によっては、送信トラフィックの特定クラスを、特定の物理的インターフェイスに向けて、やや複雑なポリシーを実装することが役に立つこともあります。デフォルトでは、チームドライバーはマルチキューを認識し、ドライバーが初期化されると 16 のキューが作成されます。キューが増減する必要がある場合は、Netlink 属性 tx_queues を使用してチームドライバーのインスタンスの作成時にこの値を変更できます。
ポートのキュー ID は、以下のようにポート設定オプション queue_id で設定できます。
{
  "queue_id": 3
}
これらのキュー ID を tc ユーティリティーと組み合わせて使用して、マルチキューキュー識別子とフィルターを設定し、特定のポートデバイスで特定のトラフィックを送信するようにフィルターを設定できます。たとえば、上記の設定を使用し、192.168.1.100 にバインドされているすべてのトラフィックを強制的に使用させる場合 enp1s0 チームで出力デバイスとして、root で以下の形式のコマンドを実行します。
~]# tc qdisc add dev team0 handle 1 root multiq
~]# tc filter add dev team0 protocol ip parent 1: prio 1 u32 match ip dst \
  192.168.1.100 action skbedit queue_mapping 3
トラフィックを特定ポートにバインドするためにランナー選択論理を上書きするこのメカニズムは、すべてランナーに使用できます。

8.13.9. BPF ベースの Tx ポートセレクターの設定

負荷分散および LACP ランナーは、パケットのハッシュを使ってネットワークトラフィックのフローを分類します。ハッシュの計算メカニズムは、Berkeley Packet Filter (BPF) コードに基づいています。BPF コードは、送信パケットのポリシー判断の作成ではなく、ハッシュ生成のために使用されます。ハッシュの長さは 8 ビットで、256 バリアントになります。つまり、多くの異なる ソケットバッファー (SKB) は同じハッシュを持つことが可能で、このため同一リンクでトラフィックを渡すことになります。短いハッシュを使うと、複数のリンクに負荷を分散する目的でトラフィックを異なるストリームにすばやく分類できます。静的モードでは、トラフィックをどのポートに送信するかを判断するためだけにハッシュが使用されます。アクティブモードでは、ランナーは継続的にハッシュを異なるポートに割り当て、完全な負荷分散を試みます。
パケット Tx ハッシュの計算には、以下の断片化されたタイプまたは文字列が使用できます。
  • eth: ソースおよび宛先の MAC アドレスを使用します。
  • VLAN: VLAN ID を使用します。
  • ipv4: ソースおよび宛先の IPv4 アドレスを使用します。
  • ipv6 - ソースおよび宛先 IPv6 アドレスを使用します。
  • ip: ソースおよび宛先の IPv4 および IPv6 アドレスを使用します。
  • L3: ソースおよび宛先の IPv4 および IPv6 アドレスを使用します。
  • TCP: ソースおよび宛先の TCP ポートを使用します。
  • UDP: ソースおよび宛先の UDP ポートを使用します。
  • SCTP: ソースおよび宛先の SCTP ポートを使用します。
  • L4: ソースおよび宛先の TCP および UDP および SCTP ポートを使用します。
これらの文字列は、負荷分散ランナーに行を追加することによって使用できます。
"tx_hash": ["eth", "ipv4", "ipv6"]
例は「負荷分散ランナーの設定」を参照してください。

8.14. GUI を使用したネットワークチームの作成

8.14.1. チーム接続の確立

nm-connection-editor を使用して、NetworkManager に、2 つ以上の Wired 接続または InfiniBand 接続からチームを作成できます。接続が最初にチーミングされている必要はありません。チームを設定するプロセスの一部として設定することが可能です。設定プロセスを完了するには、利用可能なインターフェイスの MAC アドレスが必要です。

手順8.1 nm-connection-editor を使用して新規チーム接続を追加する

新規チーム接続を追加するには、以下のステップに従います。
  1. 端末に nm-connection-editor と入力します。
    ~]$ nm-connection-editor
  2. Add ボタンをクリックします。Choose a Connection Type ウィンドウが表示されます。Team を選択し、Create クリックします。チーム接続 1の編集 ウィンドウが表示されます。

    図8.6 NetworkManager グラフィカルユーザーインターフェイスの追加メニュー

    NetworkManager グラフィカルユーザーインターフェイスの追加メニュー
  3. チーム タブで 追加 をクリックし、チーム接続で使用するインターフェイスのタイプを選択します。Create ボタンをクリックします。ポートタイプを選択するダイアログが表示されるのは、最初のポートを作成する時のみです。その後は、すべてのポートに同じタイプが自動的に使われます。
  4. team0 スレーブ 1 の編集 ウィンドウが表示されます。

    図8.7 NetworkManager グラフィカルユーザーインターフェイスの スレーブ 接続追加

    NetworkManager グラフィカルユーザーインターフェイスの スレーブ 接続追加
  5. カスタムポート設定を適用する場合は、Team Port タブをクリックして JSON 設定文字列を入力するか、ファイルからインポートします。
  6. Save ボタンをクリックします。
  7. チーミングされたポートの名前が Team connections ウィンドウに表示されます。Add ボタンをクリックして、さらにポート接続を追加します。
  8. 設定を確認してから Save ボタンをクリックします。
  9. チーム固有の設定は、以下の「チームタブの設定」を参照してください。

手順8.2 既存のチーム接続を編集する

既存のチーム接続を編集するには以下の手順に従います。
  1. 端末に nm-connection-editor と入力します。
    ~]$ nm-connection-editor
  2. 編集する接続を選択し、Edit ボタンをクリックします。
  3. General タブを選択します。
  4. 編集 ダイアログの 5 つの設定は、ほとんどの接続の種類に共通です。General タブを参照してください。
    • 接続名: ネットワーク接続のわかりやすい名前を入力します。この名前は、Network ウィンドウのメニューでこの接続を一覧表示するために使用されます。
    • Connection priority for auto-activation - 接続が自動接続に設定されていると、番号がアクティブになります(デフォルトでは0 )。数値が大きいほど優先度が高くなります。
    • Automatically connect to this network when it is available - このボックスを選択すると、NetworkManager が利用可能なときにこの接続に自動接続します。詳細は、「control-center を使用した既存の接続の編集」を参照してください。
    • All users can connect to this network - このボックスを選択すると、システム上のすべてのユーザーが 利用できる接続が作成されます。この設定を変更するには、root 権限が必要になる場合があります。詳細は、「GUI を使用したシステム全体およびプライベート接続プロファイルの管理」を参照してください。
    • Automatically connect to VPN when using this connection - このボックスを選択すると、NetworkManager が利用可能なときに VPN 接続に自動接続します。ドロップダウンメニューから VPN を選択します。
    • ファイアウォールゾーン - ドロップダウンメニューからファイアウォールゾーンを選択します。ファイアウォールゾーンに関する詳細情報は、『Red Hat Enterprise Linux 7 セキュリティーガイド』を参照してください。
  5. チーム固有の設定は、以下の「チームタブの設定」を参照してください。
新規 (または修正した) 接続を保存して他の設定を行う
チーム接続の編集が終わったら、保存 ボタンをクリックしてカスタマイズした設定を保存します。
そして、以下のいずれかの設定をします。
8.14.1.1. チームタブの設定
すでに新規チーム接続が追加されている場合は、カスタムの JSON 設定文字列をテキストボックスに入力するか、設定ファイルをインポートできます。Save をクリックして、JSON 設定をチームインターフェイスに適用します。
JSON 文字列の例については、「teamd ランナーの設定」を参照してください。
新規チームの追加方法は 手順8.1「nm-connection-editor を使用して新規チーム接続を追加する」を参照してください。

8.15. 関連情報

インストールされているドキュメント

  • teamd (8) man ページ - teamd サービスについて説明しています。
  • teamdctl (8) man ページ - teamd 制御ツールについて説明しています。
  • teamd.conf (5) man ページ - teamd 設定ファイルが説明されています。
  • teamnl (8) man ページ - teamd Netlink ライブラリーについて説明しています。
  • bond2team (1) man ページ:ボンディングオプションをチームに変換するツールを説明しています。

オンラインドキュメント

http://www.w3schools.com/js/js_json_syntax.asp
JSON 構文についての説明です。

第9章 ネットワークブリッジングの設定

ネットワークブリッジは、MAC アドレスに基づいてネットワーク間のトラフィックを転送するリンク層デバイスです。転送の決定は、MAC アドレスのテーブルに基づいて行われ、このテーブルはネットワークトラフィックをリッスンして、どのホストがどのネットワーク接続しているかをネットワークブリッジが学習することで構築されます。Linux ホスト内では、ソフトウェアブリッジを使ってハードウェアをエミュレートすることができます。たとえば、仮想化アプリケーション内で NIC を 1 つ以上の仮想 NIC と共有するなどです。
アドホック または インフラストラクチャー モードで稼働している Wi-Fi ネットワーク上では、ブリッジは確立できないことに注意してください。IEEE 802.11 標準が、通信時間の効率性のために Wi-Fi で 3 アドレスフレームの使用を指定するためです。

9.1. テキスト形式のユーザーインターフェイス nmtui によるブリッジングの設定

テキスト形式のユーザーインターフェイスツール nmtui を使用すると、端末ウィンドウでブリッジングを設定できます。このツールを起動するには、以下のコマンドを実行します。
~]$ nmtui
テキストユーザーインターフェイスが表示されます。無効なコマンドがあると、使用方法に関するメッセージが表示されます。
移動するには、矢印キーを使用するか、Tab を押して順方向に進み、Shift+Tab を押してオプションを再度実行します。Enter を押してオプションを選択します。Space バーは、チェックボックスのステータスを切り替えます。
  1. メニューから 接続の編集 を選択します。Add を選択すると、New Connection 画面が開きます。

    図9.1 NetworkManager テキスト形式のユーザーインターフェイスのブリッジ接続追加メニュー

    NetworkManager テキスト形式のユーザーインターフェイスのブリッジ接続追加メニュー
  2. Bridge を選択すると、接続の編集 画面が開きます。
  3. ブリッジにポートインターフェイスを追加するには 追加 を選択すると、新規接続 画面が開きます。Connection のタイプを選択したら、Create ボタンを選択して、ブリッジの Edit Connection 表示を表示します。

    図9.2 NetworkManager テキスト形式ユーザーインターフェイスで新規ブリッジ スレーブ 接続の追加メニュー

    NetworkManager テキスト形式ユーザーインターフェイスで新規ブリッジ スレーブ 接続の追加メニュー
  4. Device セクションに、必要なポートのデバイス名または MAC アドレスを入力します。必要に応じて、イーサネット ラベルの右側にある Show を選択して、ブリッジの MAC アドレスとして使用するクローンの MAC アドレスを入力します。OK ボタンを選択します。
    注記
    MAC アドレスなしでデバイスを指定すると、Edit Connection ウィンドウが再読み込みされると Device セクションが自動的に入力されますが、デバイスが正常に見つかった場合にのみデバイスセクションが自動的に設定されます。

    図9.3 NetworkManager テキスト形式ユーザーインターフェイスでブリッジ スレーブ を設定するメニュー

    NetworkManager テキスト形式ユーザーインターフェイスでブリッジ スレーブ を設定するメニュー
  5. Slaves セクションにブリッジポートの名前が表示されます。さらにポート接続を追加する場合は、上記のステップを繰り返します。
  6. 設定を確認してから、OK ボタンを選択します。

    図9.4 NetworkManager テキスト形式ユーザーインターフェイスでブリッジを設定するメニュー

    NetworkManager テキスト形式ユーザーインターフェイスでブリッジを設定するメニュー
ブリッジ用語の定義は、「ブリッジタブを設定する」を参照してください。
nmtui のインストール方法は、「nmtui を使用した IP ネットワークの設定」 を参照してください。

9.2. NetworkManager のコマンドラインツール nmcli の使用

ブリッジを作成するには、次のコマンドを実行します。 bridge-br0root で以下のコマンドを発行します。
~]# nmcli con add type bridge ifname br0
Connection 'bridge-br0' (6ad5bba6-98a0-4f20-839d-c997ba7668ad) successfully added.
インターフェイス名が指定されない場合、名前はデフォルトで bridge,bridge-1,bridge-2などになります。
接続を表示するには、以下のコマンドを実行します。
~]$ nmcli con show
NAME        UUID                                  TYPE            DEVICE
bridge-br0  79cf6a3e-0310-4a78-b759-bda1cc3eef8d  bridge          br0
enp1s0      4d5c449a-a6c5-451c-8206-3c9a4ec88bca  802-3-ethernet  enp1s0
デフォルトでは、スパニングツリープロトコル (STP) が有効になっています。使用される値は、IEEE 802.1D-1998 標準からのものです。このブリッジの STP を無効にするには、root で以下のコマンドを実行します。
~]# nmcli con modify bridge-br0 bridge.stp no
このブリッジの 802.1D STP を再度有効にするには、root で以下のコマンドを実行します。
~]# nmcli con modify bridge-br0 bridge.stp yes
802.1D STP のデフォルトのブリッジ優先度は 32768 です。root ブリッジ選択では、少ない値が選ばれます。たとえば、優先度が 28672 のブリッジは、優先度が 32768 (デフォルト)のブリッジよりも root ブリッジとして選択されます。デフォルト値以外の値のブリッジを作成するには、以下のコマンドを実行します。
~]$ nmcli con add type bridge ifname br5 stp yes priority 28672
Connection 'bridge-br5' (86b83ad3-b466-4795-aeb6-4a66eb1856c7) successfully added.
許可される値は 0 から 65535 です。
既存ブリッジのブリッジ優先度をデフォルト値以外の値に変更するには、以下の形式のコマンドを実行します。
~]$ nmcli connection modify bridge-br5 bridge.priority 36864
許可される値は 0 から 65535 です。
範囲内のグループアドレスを転送するブリッジ接続を 01 :80:C2: 00:00:00 から 01:80:C2:00:00:0F に設定するには、group-forward-mask プロパティーを変更します。このプロパティーは、16 ビットのマスクです。各ビットは、転送する必要がある上記の範囲内のグループアドレスに対応します。以下に例を示します。
~]$ nmcli connection modify bridge-br5 bridge.group-forward-mask 8
重要
group-forward-mask プロパティーは、012 ビットを 1 に設定することはできません。これは、スパニングツリープロトコル(STP)、リンクアグリゲーション制御プロトコル(LACP)、およびイーサネット MAC 一時停止フレームに使用されるためです。
ブリッジの設定を表示するには、以下のコマンドを実行します。
~]$ nmcli -f bridge con show bridge-br0
802.1D STP のその他のオプションは、man ページの nmcli (1) の bridge セクションに記載されています。
インターフェイスを追加または割り当てる場合、たとえば enp1s0をブリッジ bridge-br0に割り当てるには、以下のコマンドを実行します。
~]$ nmcli con add type ethernet ifname enp1s0 master bridge-br0
Connection 'bridge-slave-enp1s0' (70ffae80-7428-4d9c-8cbd-2e35de72476e) successfully added.
既存の接続をブリッジに割り当てるには、以下の手順に従ってください。
  1. そのコントローラーとポートタイプのプロパティーを変更します。たとえば、vlan100 という名前の既存の VLAN 接続を割り当てるには、次のコマンドを実行します。
    ~]$ nmcli connection modify vlan100 master bridge-br0 slave-type bridge
  2. 接続を再度アクティブにして、変更を適用します。
    ~]$ nmcli connection up vlan100
インタラクティブモードを使用して値を変更するには、以下のコマンドを実行します。
~]$ nmcli connection edit bridge-br0
nmcli プロンプトが表示されます。
nmcli> set bridge.priority 4096
nmcli> save
Connection 'bridge-br0' (79cf6a3e-0310-4a78-b759-bda1cc3eef8d) successfully saved.
nmcli> quit
nmcli の概要は、「nmcli を使用する IP ネットワークの設定」 を参照してください。

9.3. コマンドラインインターフェイス (CLI) の使用

9.3.1. ブリッジングカーネルモジュールがインストールされているかの確認

Red Hat Enterprise Linux 7 では、ブリッジングモジュールはデフォルトで読み込まれています。必要に応じて、root で以下のコマンドを実行して、モジュールがロードされていることを確認することができます。
~]# modprobe --first-time bridge
modprobe: ERROR: could not insert 'bridge': Module already in kernel
モジュールについての情報を表示するには、以下のコマンドを実行します。
~]$ modinfo bridge
コマンドオプションについては、modprobe (8) の man ページを参照してください。

9.3.2. ネットワークブリッジの作成

ネットワークブリッジを作成するには、/etc/sysconfig/network-scripts/ ディレクトリーに ifcfg-brN という名前のファイルを作成し、N0 などのインターフェイスの番号に置き換えます。
ファイルのコンテンツは、イーサネットインターフェイスなどブリッジされるインターフェイスがどのようなタイプでも類似したものになります。相違点は、以下のとおりです。
  • DEVICE ディレクティブは、brN 形式の引数としてインターフェイス名を指定しています。N はインターフェイスの数に置き換えます。
  • TYPE ディレクティブには、引数 Bridge が指定されています。このディレクティブは、デバイスタイプと、引数が大文字/小文字を区別するかを決定します。
  • ブリッジインターフェイス設定ファイルには IP アドレスが割り当てられますが、物理インターフェイスの設定ファイルには MAC アドレスのみが必要です(以下を参照)。
  • 追加のディレクティブ DELAY=0 が加えられ、ブリッジがトラフィックを監視し、ホストの位置を学習し、フィルタリング機能の基になる MAC アドレステーブルを構築する間に、ブリッジが待機することを回避します。ルーティングループが可能でない場合は、デフォルトの 15 秒遅延は不要です。

例9.1 ifcfg-br0 インターフェイス設定ファイルの例

以下は、静的 IP アドレスを使用したブリッジインターフェイスの設定ファイルの例になります。
DEVICE=br0
TYPE=Bridge
IPADDR=192.168.1.1
PREFIX=24
BOOTPROTO=none
ONBOOT=yes
DELAY=0
ブリッジを完成するには、別のインターフェイスを作成するか既存のインターフェイスを修正して、これをブリッジインターフェイスに向けます。

例9.2 ifcfg-enp1s0 インターフェイス設定ファイルの例

以下の例は、イーサネットインターフェイス設定ファイルをブリッジインターフェイスに向けたものです。/etc/sysconfig/network-scripts/ifcfg-device_name で物理インターフェイスを設定します。device_name はインターフェイスの名前です。
DEVICE=device_name
TYPE=Ethernet
HWADDR=AA:BB:CC:DD:EE:FF
BOOTPROTO=none
ONBOOT=yes
BRIDGE=br0
オプションで、NAME ディレクティブを使って名前を指定することもできます。名前が指定されていない場合、NetworkManager プラグインである ifcfg-rh は、Type Interface の形式で接続プロファイルの名前を作成します。この例では、ブリッジの名前が Bridge br0 であることを意味します。または、NAME=bridge-br0ifcfg-br0 ファイルに追加されると、接続プロファイルの名前は bridge-br0 になります。
注記
DEVICE ディレクティブでは、デバイスの種類を判断しないため、ほとんどすべてのインターフェイス名を使用できます。TYPE=Ethernet は必須ではありません。TYPE ディレクティブが設定されていない場合、(名前が明確に異なるインターフェイス設定ファイルと合致していなければ) そのデバイスはイーサネットデバイスとして扱われます。
ディレクティブでは、大文字と小文字は区別されます。
HWADDR ディレクティブを使用してハードウェアまたは MAC アドレスを指定すると、11章ネットワークデバイス命名における一貫性 で説明されているようにデバイスの命名手順に影響します。
警告
リモートホスト上でブリッジ設定をしていて、そのホストへの接続に設定中の物理 NIC を使用している場合、この先に進む前に接続が切断された場合の影響を検討してください。サービスを再起動する際には接続が失われ、エラーが発生すると接続を再確立することができない場合があります。コンソールもしくは帯域外のアクセスが推奨されます。
新規または最近設定したインターフェイスを開くには、
ifup device
の形式で root でコマンドを実行します。このコマンドは、NetworkManager が実行されているかどうかを検出し、nmcli con load UUID を呼び出して、nmcli con up UUID を呼び出します。
または、すべてのインターフェイスを再読み込みするには、root で以下のコマンドを実行します。
~]# systemctl restart network
このコマンドは、ネットワークサービスを停止し、ネットワークサービスを起動してから、ONBOOT=yes の ifcfg ファイルすべてに対して ifup を呼び出します。
注記
デフォルトの動作では、NetworkManager は ifcfg ファイルへの変更を認識せず、インターフェイスが次に起動するまで古い設定データを引き続き使用します。これは、NetworkManager.conf ファイルの monitor-connection-files オプションで設定されます。詳細は、NetworkManager.conf (5) man ページを参照してください。

9.3.3. ボンドを使ったネットワークブリッジ

ボンディングされた 2 つ以上のイーサネットインターフェイスで形成されたネットワークブリッジの例を示します。ボンディングインターフェイスの設定ファイルを理解していない場合は、「チャンネルボンディングインターフェイスの作成」を参照してください。
ボンディングする 2 つ以上のイーサネットインターフェイスの設定ファイルを、以下のように作成または編集します。
DEVICE=interface_name
TYPE=Ethernet
SLAVE=yes
MASTER=bond0
BOOTPROTO=none
HWADDR=AA:BB:CC:DD:EE:FF
注記
interface_name をインターフェイス名として使用することは一般的ですが、ほとんどすべての名前を使用することができます。
以下のように、インターフェイス設定ファイル /etc/sysconfig/network-scripts/ifcfg-bond0 を作成または編集します。
DEVICE=bond0
ONBOOT=yes
BONDING_OPTS='mode=1 miimon=100'
BRIDGE=brbond0
ボンディングモジュールの設定に関する指示およびアドバイスとボンディングパラメーターのリストについては、「チャンネルボンディングの使用」を参照してください。
インターフェイス設定ファイル /etc/sysconfig/network-scripts/ifcfg-brbond0 を以下のように作成または編集します。
DEVICE=brbond0
ONBOOT=yes
TYPE=Bridge
IPADDR=192.168.1.1
PREFIX=24
MASTER=bond0 ディレクティブを持つ 2 つ以上のインターフェイス設定ファイルができました。これらは、DEVICE=bond0 ディレクティブを含む /etc/sysconfig/network-scripts/ifcfg-bond0 という名前の設定ファイルを参照します。この ifcfg-bond0 は、/etc/sysconfig/network-scripts/ifcfg-brbond0 設定ファイルを参照します。これには IP アドレスが含まれ、ホスト内の仮想ネットワークへのインターフェイスとして機能します。
新規または最近設定したインターフェイスを開くには、
ifup device
の形式で root でコマンドを実行します。このコマンドは、NetworkManager が実行されているかどうかを検出し、nmcli con load UUID を呼び出して、nmcli con up UUID を呼び出します。
または、すべてのインターフェイスを再読み込みするには、root で以下のコマンドを実行します。
~]# systemctl restart network
このコマンドは、ネットワークサービスを停止し、ネットワークサービスを起動してから、ONBOOT=yes の ifcfg ファイルすべてに対して ifup を呼び出します。
注記
デフォルトの動作では、NetworkManager は ifcfg ファイルへの変更を認識せず、インターフェイスが次に起動するまで古い設定データを引き続き使用します。これは、NetworkManager.conf ファイルの monitor-connection-files オプションで設定されます。詳細は、NetworkManager.conf (5) man ページを参照してください。

9.4. GUI を使ったネットワークブリッジングの設定

ブリッジインターフェイスを開始すると、NetworkManager は少なくとも 1 つのポートが 転送 状態になるのを待ってから、DHCPIPv6 自動設定などのネットワーク依存 IP 設定を開始します。ポートまたはポートが接続されるか、またはパケットの転送を開始する前に、静的 IP アドレス処理を続行できます。

9.4.1. GUI を使用したブリッジ接続の確立

手順9.1 nm-connection-editor を使用して新規ブリッジ接続の追加

新規ブリッジ接続を作成するには、以下のステップに従います。
  1. 端末に nm-connection-editor と入力します。
    ~]$ nm-connection-editor
  2. Add ボタンをクリックします。Choose a Connection Type ウィンドウが表示されます。Bridge を選択し、Create クリックします。ブリッジ 接続 1の編集 ウィンドウが表示されます。

    図9.5 ブリッジ接続 1 の編集

    ブリッジ接続 1 の編集
  3. 以下の 手順9.3「ブリッジにポートインターフェイスを追加する」 を参照してポートデバイスを追加します。

手順9.2 既存のブリッジ接続を編集する

  1. 端末に nm-connection-editor と入力します。
    ~]$ nm-connection-editor
  2. 編集する Bridge 接続を選択します。
  3. Edit ボタンをクリックします。
接続名、自動接続の動作、可用性の設定
編集 ダイアログの 5 つの設定は、すべての接続の種類に共通です。全般 タブ:
  • 接続名: ネットワーク接続のわかりやすい名前を入力します。この名前は、Network ウィンドウのメニューでこの接続を一覧表示するために使用されます。
  • Automatically connect to this network when it is available - このボックスを選択すると、NetworkManager が利用可能なときにこの接続に自動接続します。詳細は、「control-center を使用した既存の接続の編集」を参照してください。
  • All users can connect to this network - このボックスを選択すると、システム上のすべてのユーザーが 利用できる接続が作成されます。この設定を変更するには、root 権限が必要になる場合があります。詳細は、「GUI を使用したシステム全体およびプライベート接続プロファイルの管理」を参照してください。
  • Automatically connect to VPN when using this connection - このボックスを選択すると、NetworkManager が利用可能なときに VPN 接続に自動接続します。ドロップダウンメニューから VPN を選択します。
  • ファイアウォールゾーン - ドロップダウンメニューからファイアウォールゾーンを選択します。ファイアウォールゾーンに関する詳細情報は、『Red Hat Enterprise Linux 7 セキュリティーガイド』を参照してください。
9.4.1.1. ブリッジタブを設定する
インターフェイス名
ブリッジへのインターフェイス名。
ブリッジ接続
1 つ以上のポートインターフェイス。
エージング時間
MAC アドレスが MAC アドレス転送データベースに保持される時間 (秒単位)。
IGMP スヌーピングのを有効化
必要に応じて、チェックボックスをオンにして、デバイスで IGMP スヌーピングを有効にします。
STP (スパニングツリープロトコル) を有効化
必要に応じて、チェックボックスを選択して STP を有効にします。
優先度
ブリッジの優先度。優先度の一番低いブリッジが root ブリッジに選ばれます。
転送遅延
転送状態に入るまでのリスニングと状態確認の両方に費やされる秒数。デフォルトは 15 秒です。
Hello タイム
ブリッジプロトコルデータ単位 (BPDU) で設定情報を送信する間隔 (秒単位)。
最大エージ
BPDU カラの設定情報を保存する最大秒数。この値は Hello タイムを 2 倍したものに 1 を加えたものになりますが、転送遅延を 2 倍したものから 1 を引いたものよりも少なくなる必要があります。
グループ転送マスク
このプロパティーは、グループアドレスの転送を許可するグループアドレスのマスクです。ほとんどの場合、01 :80:C2: 00:00:00 から 01:80:C2:00:00:0F の範囲のグループアドレスは、ブリッジデバイスによって転送されません。このプロパティーは、16 ビットのマスクで、それぞれ上記の範囲内のグループアドレスに対応しており、転送する必要があります。グループ転送マスク プロパティーは、スパニングツリープロトコル(STP)、リンクアグリゲーション制御プロトコル(LACP)、およびイーサネット MAC 一時停止フレームに使用されるため、01 2 ビットを 1 に設定できないことに注意してください。

手順9.3 ブリッジにポートインターフェイスを追加する

  1. ブリッジにポートを追加するには、ブリッジ 接続 1の編集 ウィンドウで Bridge タブを選択します。必要な場合は、手順9.2「既存のブリッジ接続を編集する」の手順に従ってこのウィンドウを開きます。
  2. Add をクリックします。接続の種類の選択 メニューが表示されます。
  3. リストから作成する接続の種類を選択します。Create をクリックします。選択した接続タイプに該当するウィンドウが表示されます。

    図9.6 NetworkManager グラフィカルユーザーインターフェイスのブリッジ接続追加

    NetworkManager グラフィカルユーザーインターフェイスのブリッジ接続追加
  4. Bridge Port タブを選択します。必要に応じて Priority and Path cost を設定します。ブリッジポートの STP 優先度は Linux カーネルで制限されていることに注意してください。標準では 0 から 255 の範囲が許可されますが、Linux では 0 から 63 までしか許可されません。この場合、デフォルトは 32 です。

    図9.7 NetworkManager グラフィカルユーザーインターフェイスでのブリッジポートタブ

    NetworkManager グラフィカルユーザーインターフェイスでのブリッジポートタブ
  5. 必要な場合は、Hairpin mode チェックボックスを選択して、外部処理用のフレームの転送を有効にします。これは、仮想イーサネットポートアグリゲーター (VEPA) モードとも呼ばれます。
そして、以下のいずれかの設定をします。
新規 (または修正した) 接続を保存して他の設定を行う
新しいブリッジ接続の編集が終わったら、保存 ボタンをクリックしてカスタマイズした設定を保存します。編集中にプロファイルが使用されていた場合には、接続の電源を入れ直して、NetworkManager が変更を適用するようにします。プロファイルがオフだった場合は、これをオンにするか、ネットワーク接続アイコンメニューで選択します。新規および変更後の接続を使用することに関する詳細情報は、control-center GUI を使用したネットワーク接続」を参照してください。
既存の接続をさらに設定するには、Network ウィンドウでその接続を選択し、Options をクリックして Editing ダイアログに戻ります。
そして、以下のいずれかの設定をします。
保存が完了すると、ブリッジはポートとともにネットワーク設定ツール画面に表示されます。

図9.8 NetworkManager グラフィカルユーザーインターフェイスでのブリッジ

NetworkManager グラフィカルユーザーインターフェイスでのブリッジ

9.5. iproute を使用したイーサネットブリッジの設定

bridge-utils の代わりに、iproute パッケージを使用できます。優先度コスト状態 などのブリッジポートオプションを設定できます。
ip ユーティリティーを使用して、ブリッジデバイスに割り当てられたインターフェイス enp1s0 にポートオプションを設定するには、root で以下のコマンドを実行します。
~]# ip link set enp1s0 type bridge_slave option
ip ユーティリティーを使用して利用可能なオプションを選択するには、root で以下のコマンドを実行します。
~]# ip link help bridge_slave
      Usage: ... bridge_slave [ state STATE ] [ priority PRIO ] [cost COST ]
                          [ guard {on | off} ]
                          [ hairpin {on | off} ]
                          [ fastleave {on | off} ]
                          [ root_block {on | off} ]
                          [ learning {on | off} ]
                          [ flood {on | off} ]
ポートオプションの詳細は、man ページの ip-link (8) を参照してください。

9.6. 関連情報

  • nmcli (1) man ページ - NetworkManager のコマンドラインツールを説明しています。
  • nmcli-examples (5) man ページ - nmcli コマンドの例を説明します。
  • nm-settings (5) man ページ - NetworkManager 接続の設定およびパラメーターが説明されています。
  • ip-link (8) man ページ - ブリッジポートオプションの説明。

第10章 802.1Q VLAN タグの設定

VLAN を作成するには、親インターフェイス と呼ばれるインターフェイスの上に別のインターフェイスを作成します。VLAN インターフェイスは、パケットがインターフェイスを通過する際に VLAN ID でタグ付けし、返信パケットの場合はタグを外します。VLAN インターフェイスは他のインターフェイスと同様に設定することができます。親インターフェイスはイーサネットインターフェイスである必要はありません。802.1Q VLAN タグインターフェイスは、ブリッジ、ボンド、およびチームインターフェイスの上に作成することができますが、以下の点に注意してください。
  • ボンド上に VLAN を作成した場合は、ボンドにポートがあり、VLAN インターフェイスをアクティブにする前にそれらが up になっていることが重要です。ポートのないボンドに VLAN インターフェイスを追加しても機能しません。
  • VLAN 仮想デバイスは、親の新規 MAC アドレスに一致するように MAC アドレスを変更できないため、fail_over_mac=follow オプションが指定されたボンディングで VLAN ポートを設定することはできません。この場合、トラフィックは間違ったソースの MAC アドレスで送信されます。
  • VLAN のタグ付けがされたパケットをネットワークスイッチ経由で送信するには、スイッチを適切に設定する必要があります。たとえば、複数の VLAN からタグ付けされたパケットを受け付けるには、Cisco スイッチ上のポートは 1 つの VLAN に割り当てられているか、トランクポートになるように設定されている必要があります。一部ベンダーのスイッチでは、トランクポートが ネイティブ VLAN のタグ付けされていないフレームを処理することが許されます。一部のデバイスでは、ネイティブ VLAN を有効または無効にすることができますが、他のデバイスでは、デフォルトでは無効になっています。この相違が原因となり、異なる 2 つのスイッチ間で ネイティブ VLAN の誤設定が生じ、セキュリティーリスクが発生する可能があります。以下に例を示します。
    あるスイッチは ネイティブ VLAN 1 を使用し、他のスイッチは ネイティブ VLAN 10 を使用するとします。タグが挿入されずにフレームの通過が許可されると、攻撃者は VLAN 間をジャンプすることができます。この一般的なネットワーク侵入方法は、VLAN ホッピング とも呼ばれています。
    セキュリティーリスクを最小限に抑えるためには、インターフェイスを以下のように設定します。
    スイッチ
    • 必要でない限り、トランクポートを無効にする。
    • トランクポートが必要な場合は、タグ付けされていないフレームが許可されないように ネイティブ VLAN を無効にする。
    Red Hat Enterprise Linux サーバー
    • nftables ユーティリティーまたは ebtables ユーティリティーを使用して、入力フィルターリングでタグ付けされていないフレームをドロップします。
  • 古いネットワークインターフェイスカードやループバックインターフェイス、Wimax カードや InfiniBand デバイスのなかには、VLAN 非対応 といって、VLAN をサポートできないものもあります。これは通常、これらのデバイスがタグ付けされたパケットに関連する VLAN ヘッダーや大きい MTU サイズに対応できないためです。
注記
Red Hat では、VLAN 上へのボンディング設定をサポートしていません。詳細については、Red Hat ナレッジベースの記事 VLAN 上にポートインターフェイスとしてボンディングを設定することは有効か を参照してください。

10.1. VLAN インターフェイス設定方式の選択

10.2. テキスト形式のユーザーインターフェイス nmtui を使った 802.1Q VLAN タグの設定

テキスト形式のユーザーインターフェイスツール nmtui を使用すると、ターミナルのウィンドウで 802.1Q VLAN を設定できます。このツールを起動するには、以下のコマンドを実行します。
~]$ nmtui
テキストユーザーインターフェイスが表示されます。無効なコマンドがあると、使用方法に関するメッセージが表示されます。
移動するには、矢印キーを使用するか、Tab を押して順方向に進み、Shift+Tab を押してオプションを再度実行します。Enter を押してオプションを選択します。Space バーは、チェックボックスのステータスを切り替えます。
メニューから 接続の編集 を選択します。Add を選択すると、New Connection 画面が開きます。

図10.1 NetworkManager テキスト形式のユーザーインターフェイスの VLAN 接続追加メニュー

NetworkManager テキスト形式のユーザーインターフェイスの VLAN 接続追加メニュー
VLAN を選択すると、接続の編集 画面が開きます。画面のプロンプトに従って設定を完了します。

図10.2 NetworkManager テキスト形式ユーザーインターフェイスで VLAN 接続を設定するメニュー

NetworkManager テキスト形式ユーザーインターフェイスで VLAN 接続を設定するメニュー
VLAN 用語の定義は、「VLAN タブの設定」を参照してください。
nmtui のインストール方法は、「nmtui を使用した IP ネットワークの設定」 を参照してください。

10.3. コマンドラインツール nmcli を使った 802.1Q VLAN タグの設定

システム上で利用可能なインターフェイスを表示するには、以下のコマンドを実行します。
~]$ nmcli con show
NAME         UUID                                  TYPE            DEVICE
System enp2s0  9c92fad9-6ecb-3e6c-eb4d-8a47c6f50c04  802-3-ethernet  enp2s0
System enp1s0  5fb06bd0-0bb0-7ffb-45f1-d6edd65f3e03  802-3-ethernet  enp1s0
出力の NAME フィールドは常に接続 ID を表すことに留意してください。これはインターフェイス名と同じように見えますが、異なるものです。nmcli connection コマンドで ID を使用して接続を識別できます。firewalld などの他のアプリケーションで DEVICE 名を使用します。
VLAN インターフェイス VLAN10 および ID 10 のイーサネットインターフェイス enp1s0 で 802.1Q VLAN インターフェイスを作成するには、以下のコマンドを実行します。
~]$ nmcli con add type vlan ifname VLAN10 dev enp1s0 id 10
Connection 'vlan-VLAN10' (37750b4a-8ef5-40e6-be9b-4fb21a4b6d17) successfully added.
VLAN インターフェイスに con-name を指定しなかったため、接続名がインターフェイス名の前に種類を追加したものとなっていることに留意してください。別の方法では、以下のように con-name オプションで名前を指定します。
~]$ nmcli con add type vlan con-name VLAN12 dev enp1s0 id 12
Connection 'VLAN12' (b796c16a-9f5f-441c-835c-f594d40e6533) successfully added.

VLAN インターフェイスにアドレスを割り当てる

同じ nmcli コマンドを使用して、他のインターフェイスと同様に静的および動的インターフェイスアドレスを割り当てることができます。
たとえば、静的 IPv4 アドレスとゲートウェイを持つ VLAN インターフェイスを作成するコマンドは以下のようになります。
~]$ nmcli con add type vlan con-name VLAN20 dev enp1s0 id 20 ip4 10.10.10.10/24 \
gw4 10.10.10.254
動的アドレスを割り当てる VLAN インターフェイスを作成するには、以下のコマンドを実行します。
~]$ nmcli con add type vlan con-name VLAN30 dev enp1s0 id 30
nmcli コマンドを使用してインターフェイスを設定する例は、「nmcli を使用したネットワーク接続」 を参照してください。
作成した VLAN インターフェイスを表示するには、以下のコマンドを実行します。
~]$ nmcli con show
NAME         UUID                                  TYPE            DEVICE
VLAN12         4129a37d-4feb-4be5-ac17-14a193821755  vlan            enp1s0.12
System enp2s0  9c92fad9-6ecb-3e6c-eb4d-8a47c6f50c04  802-3-ethernet  enp2s0
System enp1s0  5fb06bd0-0bb0-7ffb-45f1-d6edd65f3e03  802-3-ethernet  enp1s0
vlan-VLAN10    1be91581-11c2-461a-b40d-893d42fed4f4  vlan            VLAN10
新規に設定した接続の詳細情報を表示するには、以下のコマンドを実行します。
~]$ nmcli -p con show VLAN12
===============================================================================
                      Connection profile details (VLAN12)
===============================================================================
connection.id:                          VLAN12
connection.uuid:                        4129a37d-4feb-4be5-ac17-14a193821755
connection.interface-name:              --
connection.type:                        vlan
connection.autoconnect:                 yes

-------------------------------------------------------------------------------
802-3-ethernet.port:                    --
802-3-ethernet.speed:                   0
802-3-ethernet.duplex:                  --
802-3-ethernet.auto-negotiate:          yes
802-3-ethernet.mac-address:             --
802-3-ethernet.cloned-mac-address:      --
802-3-ethernet.mac-address-blacklist:
802-3-ethernet.mtu:                     auto

vlan.interface-name:                    --
vlan.parent:                            enp1s0
vlan.id:                                12
vlan.flags:                             0 (NONE)
vlan.ingress-priority-map:
vlan.egress-priority-map:
-------------------------------------------------------------------------------
===============================================================================
      Activate connection details (4129a37d-4feb-4be5-ac17-14a193821755)
===============================================================================
GENERAL.NAME:                           VLAN12
GENERAL.UUID:                           4129a37d-4feb-4be5-ac17-14a193821755
GENERAL.DEVICES:                        enp1s0.12
GENERAL.STATE:                          activating
[output truncated]
VLAN コマンドのその他のオプションは、nmcli (1) man ページの VLAN セクションに記載されています。man ページでは、VLAN が作成されるデバイスは、parent device と呼ばれています。上記の例では、デバイスはインターフェイス名 enp1s0 で指定されており、接続 UUID または MAC アドレスで指定することもできます。
イーサネットインターフェイス np2s0 上で、イングレス優先度マッピングを使用して 802.1Q VLAN 接続プロファイル (名前 VLAN1 ID 13 で、以下のコマンドを実行します。
~]$ nmcli con add type vlan con-name VLAN1 dev enp2s0 id 13 ingress "2:3,3:5"
上記で作成された VLAN に関連するすべてのパラメーターを表示するには、以下のコマンドを実行します。
~]$ nmcli connection show vlan-VLAN10
MTU を変更するには、以下のコマンドを実行します。
~]$ nmcli connection modify vlan-VLAN10 802.mtu 1496
MTU 設定は、ネットワーク層パケットの最大サイズを決定します。リンク層フレームが送信可能なペイロードの最大サイズは、ネットワーク層 MTU を制限します。通常のイーサネットフレームの場合、1500 バイトの MTU になります。VLAN 設定の際には、802.1Q タグを受け入れるためにリンク層ヘッダーのサイズが 4 バイト拡大されるので、MTU を変更する必要はありません。
執筆時点では、connection.interface-namevlan.interface-name は同じでなければなりません(設定されている場合)。したがって、nmcli のインタラクティブモードを使用して同時に変更する必要があります。VLAN 接続名を変更するには、以下のコマンドを実行します。
~]$ nmcli con edit vlan-VLAN10
nmcli> set vlan.interface-name superVLAN
nmcli> set connection.interface-name superVLAN
nmcli> save
nmcli> quit
nmcli ユーティリティーを使用すると、802.1Q コードの動作を変更する ioctl フラグを設定および消去できます。次の VLAN フラグが NetworkManager でサポートされています。
  • 0x01 - 出力パケットヘッダーを並び替えます。
  • 0x02 - GVRP プロトコルを使用します。
  • 0x04 - インターフェイスとそのマスターのバインディングを外します。
VLAN の状態は、親もしくはマスターインターフェイス (VLAN が作成されているインターフェイスもしくはデバイス) に同期されます。親インターフェイスがdownの管理状態に設定されていると、関連するすべての VLAN もダウンに設定され、ルートもすべてルーティングテーブルからフラッシュされます。フラグ 0x04 は、loose binding モードを有効にします。このモードでは、動作状態のみが親から関連付けられた VLAN に渡されますが、VLAN デバイスの状態は変更されません。
VLAN フラグを設定するには、以下のコマンドを実行します。
~]$ nmcli connection modify vlan-VLAN10 vlan.flags 1
nmcli の概要は、「nmcli を使用する IP ネットワークの設定」 を参照してください。

10.4. コマンドラインを使用した 802.1Q VLAN タグの設定

Red Hat Enterprise Linux 7 では、8021q モジュールはデフォルトでロードされています。必要に応じて、root で以下のコマンドを実行して、モジュールがロードされていることを確認することができます。
~]# modprobe --first-time 8021q
modprobe: ERROR: could not insert '8021q': Module already in kernel
モジュールについての情報を表示するには、以下のコマンドを実行します。
~]$ modinfo 8021q
コマンドオプションについては、modprobe (8) の man ページを参照してください。

10.4.1. ifcfg ファイルを使用した 802.1q VLAN タグの設定

  1. /etc/sysconfig/network-scripts/ifcfg-device_name で親インターフェイスを設定します。device_name はインターフェイスの名前です。
    DEVICE=interface_name
    TYPE=Ethernet
    BOOTPROTO=none
    ONBOOT=yes
  2. /etc/sysconfig/network-scripts/ ディレクトリーで VLAN インターフェイスを設定します。設定ファイル名は、親インターフェイスに . 文字と VLAN ID 番号を加えたものにする必要があります。たとえば、VLAN ID が 192 で、親インターフェイスが enp1s0 の場合、設定ファイル名は ifcfg-enp1s0.192 になります。
    DEVICE=enp1s0.192
    BOOTPROTO=none
    ONBOOT=yes
    IPADDR=192.168.1.1
    PREFIX=24
    NETWORK=192.168.1.0
    VLAN=yes
    同じインターフェイス enp1s0 で 2 つ目の VLAN (VLAN ID 193 など)を設定する必要がある場合は、VLAN 設定の詳細で enp1s0.193 という名前の新しいファイルを追加します。
  3. 変更を反映させるには、ネットワークサービスを再起動します。root で以下のコマンドを実行します。
    ~]# systemctl restart network

10.4.2. ip コマンドを使用した 802.1Q VLAN タグの設定

イーサネットインターフェイス enp1s0 に 802.1Q VLAN インターフェイスを作成し、名前が VLAN8 および ID 8 の場合は、root で以下のコマンドを実行します。
~]# ip link add link enp1s0 name enp1s0.8 type vlan id 8
VLAN を表示するには、以下のコマンドを実行します。
~]$ ip -d link show enp1s0.8
4: enp1s0.8@enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT
     link/ether 52:54:00:ce:5f:6c brd ff:ff:ff:ff:ff:ff promiscuity 0
     vlan protocol 802.1Q id 8 <REORDER_HDR>
ip ユーティリティーは、VLAN ID が 0x で始まる場合、および 8 進数値( 0 の場合)として、VLAN ID を 16 進数として解釈することに注意してください。つまり、10 進数の値が 22 の VLAN ID を割り当てるには、ゼロを追加しないでください。
VLAN を削除するには、root で以下のコマンドを実行します。
~]# ip link delete enp1s0.8
複数の VLAN に属する複数のインターフェイスを使用するには、物理インターフェイス enp1s0 に、適切な VLAN ID を持つローカルの enp1s0.1enp1s0.2 を作成します。
~]# ip link add link enp1s0 name enp1s0.1 type vlan id 1
    ip link set dev enp1s0.1 up
~]# ip link add link enp1s0 name enp1s0.2 type vlan id 2
    ip link set dev enp1s0.2 up
物理デバイスでネットワークスニファーを実行すると、enp1s0 に VLAN デバイスが設定されていなくても、物理デバイスに到達するタグ付きフレームをキャプチャーできます。以下に例を示します。
tcpdump -nnei enp1s0 -vvv
注記
ip コマンドを使用して作成された VLAN インターフェイスは、システムがシャットダウンまたは再起動されると失われます。システム再起動後に VLAN インターフェイスを永続化するように設定するには、ifcfg ファイルを使用します。「ifcfg ファイルを使用した 802.1q VLAN タグの設定」 を参照

10.5. GUI を使用した 802.1Q VLAN タグの設定

10.5.1. VLAN 接続の確立

nm-connection-editor を使用して、既存のインターフェイスを親インターフェイスとして使用して VLAN を作成できます。 VLAN デバイスが自動的に作成されるのは、親インターフェイスが自動的に接続するよう設定されている場合のみであることに注意してください。

手順10.1 nm-connection-editor を使用して新規 VLAN 接続を追加する

  1. 端末に nm-connection-editor と入力します。
    ~]$ nm-connection-editor
  2. Add ボタンをクリックします。Choose a Connection Type ウィンドウが表示されます。VLAN を選択し、Create クリックします。VLAN 接続 1の編集 ウィンドウが表示されます。
  3. VLAN タブで、VLAN 接続に使用する親インターフェイスをドロップダウンリストから選択します。
  4. VLAN ID を入力します。
  5. VLAN インターフェイス名を入力します。これは、作成される VLAN インターフェイスの名前です。たとえば、enp1s0.1 または vlan2 などです。(通常、これは親インターフェイス名に . と VLAN ID を加えたか、vlan に VLAN ID を加えたものになります。)
  6. 設定を確認してから Save ボタンをクリックします。
  7. VLAN 固有の設定を編集するには、「VLAN タブの設定」を参照してください。

図10.3 nm-connection-editor を使用して新規 VLAN 接続を追加する

nm-connection-editor を使用して新規 VLAN 接続を追加する

手順10.2 既存の VLAN 接続を編集する

既存の VLAN 接続を編集するには以下の手順に従います。
  1. 端末に nm-connection-editor と入力します。
    ~]$ nm-connection-editor
  2. 編集する接続を選択し、Edit ボタンをクリックします。
  3. General タブを選択します。
  4. 接続名、自動接続の動作、および可用性のセッティングを設定します。
    編集 ダイアログの これらの設定は、すべての接続の種類に共通です。
    • 接続名: ネットワーク接続のわかりやすい名前を入力します。この名前は、ネットワーク ウィンドウの VLAN セクションでこの接続を一覧表示するために使用されます。
    • Automatically connect to this network when it is available - このボックスを選択すると、NetworkManager が利用可能なときにこの接続に自動接続します。詳細は、「control-center を使用した既存の接続の編集」を参照してください。
    • Available to all users - このボックスを選択して、システム上のすべてのユーザーが利用できる接続を作成します。この設定を変更するには、root 権限が必要になる場合があります。詳細は、「GUI を使用したシステム全体およびプライベート接続プロファイルの管理」を参照してください。
  5. VLAN 固有の設定を編集するには、「VLAN タブの設定」を参照してください。
新規 (または修正した) 接続を保存して他の設定を行う
VLAN 接続の編集が終わったら、保存 ボタンをクリックしてカスタマイズした設定を保存します。
そして、以下のいずれかの設定をします。
10.5.1.1. VLAN タブの設定
新しい VLAN 接続をすでに追加している場合( 手順10.1「nm-connection-editor を使用して新規 VLAN 接続を追加する」 を参照)、VLAN タブを編集して親インターフェイスと VLAN ID を設定できます。
親インターフェイス
ドロップダウンリストから以前に設定したインターフェイスを選択できます。
VLAN ID
VLAN ネットワークのトラフィックのタグ付けに使用する ID 番号。
VLAN インターフェイス名
作成される VLAN インターフェイスの名前。たとえば、enp1s0.1 または vlan2 などです。
クローンした MAC アドレス
VLAN インターフェイスの特定に使用する別の MAC アドレスをオプションで設定します。このアドレスを使って、この VLAN 上で送信されたパケットのソース MAC アドレスを変更することができます。
MTU
VLAN 接続で送信されるパケットに使用する最大転送単位 (MTU) のサイズをオプションで設定します。

10.6. ip コマンドを使用したボンドおよびブリッジ上での VLAN の使用

ボンドおよびブリッジ上で VLAN を使用するには、以下の手順を実施します。
  1. root としてボンドデバイスを追加します。
    # ip link add bond0 type bond
    # ip link set bond0 type bond miimon 100 mode active-backup
    # ip link set em1 down
    # ip link set em1 master bond0
    # ip link set em2 down
    # ip link set em2 master bond0
    # ip link set bond0 up
    
  2. ボンドデバイス上に VLAN を設定します。
    # ip link add link bond0 name bond0.2 type vlan id 2
    # ip link set bond0.2 up
    
  3. ブリッジデバイスを追加し、そこに VLAN をアタッチします。
    # ip link add br0 type bridge
    # ip link set bond0.2 master br0
    # ip link set br0 up
    

10.7. NetworkManager のコマンドラインツール nmcli の使用した、ボンドおよびブリッジの VLAN

ボンドおよびブリッジ上で VLAN を使用するには、以下の手順を実施します。
  1. ボンドデバイスを追加します。
    ~]$ nmcli connection add type bond con-name Bond0 ifname bond0 bond.options "mode=active-backup,miimon=100" ipv4.method disabled ipv6.method ignore
    この場合、ボンド接続は、VLAN の下位インターフェイスとしてのみ機能し、IP アドレスを取得しません。したがって、ipv4.method disabled パラメーターおよび ipv6.method ignore パラメーターがコマンドラインに追加されました。
  2. ボンドデバイスにポートを追加します。
    ~]$ nmcli connection add type ethernet con-name Slave1 ifname em1 master bond0 slave-type bond
    ~]$ nmcli connection add type ethernet con-name Slave2 ifname em2 master bond0 slave-type bond
  3. ブリッジデバイスを追加します。
    ~]$ nmcli connection add type bridge con-name Bridge0 ifname br0 ipv4.method manual ipv4.addresses 192.0.2.1/24
  4. ブリッジデバイスに割り当てられたボンドに、VLAN インターフェイスを追加します。
    ~]$ nmcli connection add type vlan con-name Vlan2 ifname bond0.2 dev bond0 id 2 master br0 slave-type bridge
  5. 作成した接続を表示します。
    ~]$ nmcli connection show
     NAME     UUID                                  TYPE            DEVICE
     Bond0    f05806fa-72c3-4803-8743-2377f0c10bed  bond            bond0
     Bridge0  22d3c0de-d79a-4779-80eb-10718c2bed61  bridge          br0
     Slave1   e59e13cb-d749-4df2-aee6-de3bfaec698c  802-3-ethernet  em1
     Slave2   25361a76-6b3c-4ae5-9073-005be5ab8b1c  802-3-ethernet  em2
     Vlan2    e2333426-eea4-4f5d-a589-336f032ec822  vlan            bond0.2

10.8. VLAN スイッチポートモードの設定

Red Hat Enterprise Linux マシンは、多くの場合はルーターとして使用され、ネットワークインターフェイスで高度な VLAN 設定を可能にします。イーサネットインターフェイスがスイッチに接続し、物理インターフェイスを介して VLAN を実行している場合は、switchport モード を設定する必要があります。Red Hat Enterprise Linux サーバーまたはワークステーションは、通常は 1 つの VLAN にのみ接続されているため、switchport mode access を適切なものにし、デフォルト設定にします。
特定のシナリオでは、複数のタグ付き VLAN が同じ物理リンク、つまり、スイッチと Red Hat Enterprise&nbsp;Linux マシンとの間のイーサネットを使用するため、両端で switchport mode trunk を設定する必要があります。
たとえば、Red Hat Enterprise Linux マシンをルーターとして使用する場合、マシンは、ルーターの背後にあるさまざまな VLAN から同じ物理イーサーネットを介して、スイッチにタグ付きパケットを転送し、その VLAN 間の分離を維持する必要があります。
「コマンドラインツール nmcli を使った 802.1Q VLAN タグの設定」 などで説明されている設定では、Cisco スイッチポートモードトランク を使用します。インターフェイスに IP アドレスのみを設定する場合は、Cisco スイッチポートモードによるアクセス を使用します。

10.9. 関連情報

  • ip-link (8) man ページ - ip ユーティリティーのネットワークデバイス設定コマンドが説明されています。
  • nmcli (1) man ページ - NetworkManager のコマンドラインツールを説明しています。
  • nmcli-examples (5) man ページ - nmcli