ネットワークガイド
RHEL 7 でネットワーク、ネットワークインターフェイス、およびネットワークサービスの設定および管理
概要
パート I. 作業開始前の準備
第1章 ネットワークトピックの概要
1.1. IP ネットワークと非 IP ネットワークの比較
ネットワーク通信のカテゴリー
- IP ネットワーク
- インターネットプロトコルアドレスを介して通信するネットワーク。IP ネットワークは、インターネットおよびほとんどの内部ネットワークに実装されています。イーサネット、ケーブルモデム、DSL モデム、ダイヤルアップモデム、無線ネットワーク、VPN 接続などがその代表的な例です。
- 非 IP ネットワーク
- トランスポート層ではなく下位層を介して通信するのに使用されるネットワーク。このネットワークはほとんど使用されないことに注意してください。13章InfiniBand および RDMA ネットワークの設定で説明されているように、InfiniBand は非 IP ネットワークです。
1.2. 静的 IP アドレス指定と動的 IP アドレス指定の比較
- 静的な IP アドレス指定
- デバイスに静的 IP アドレスが割り当てられている場合は、そのアドレスを手動で変更しない限り、時間の経過とともに変わることはありません。静的
IP
アドレス指定の使用が推奨されるのは、次のような場合です。DNS
などのサーバーや認証サーバーのネットワークアドレスの整合性を確保する。- 他のネットワークインフラストラクチャーから独立して動作する、帯域外管理デバイスを使用する。
「ネットワーク設定方法の選択」に列挙されるすべての設定ツールでは、静的なIP
アドレスを手動で割り当てることができます。「nmcli を使用した静的イーサネット接続の追加および設定」で説明されている nmcli ツールも適しています。自動設定および管理の詳細は、Red Hat Enterprise Linux 7 システム管理ガイドの『OpenLMI』を参照してください。『Red Hat Enterprise Linux 7 インストールガイド』 では、ネットワーク設定の割り当てを自動化するのに使用できる Kickstart ファイルの使用方法を説明します。 - 動的な IP アドレス指定
- デバイスに動的 IP アドレスが割り当てられている場合は、そのアドレスが時間の経過とともに変わります。このため、マシンを再起動すると IP アドレスが変わる可能性があるため、随時ネットワークに接続するデバイスに使用することが推奨されます。動的 IP アドレスは、より柔軟で、設定と管理が簡単です。ダイナミックホストコントロールプロトコル (DHCP) は、ネットワーク設定をホストに動的に割り当てる従来の方法です。詳細は、「DHCP を使用する理由」を参照してください。また、「nmcli を使用した動的イーサネット接続の追加および設定」で説明されているように、nmcli ツールを使用することもできます。注記静的 IP アドレスまたは動的 IP アドレスをどのような場合に使用するかを定義する厳密な規則はありません。ユーザーのニーズ、設定、およびネットワーク環境によって異なります。デフォルトでは、NetworkManager は、
DHCP
クライアントである dhclient を呼び出します。
1.3. DHCP クライアントの動作の設定
DHCP
クライアントである dhclient を呼び出すことに注意してください。
IP アドレスの要求
DHCP
接続が開始すると、dhcp クライアントは DHCP
サーバーから IP アドレスを要求します。dhcp クライアントがこの要求を完了するのを待つ時間は、デフォルトで 60 秒です。nmcli ツールを使用して ipv4.dhcp-timeout
プロパティーを設定するか、/etc/sysconfig/network-scripts/ifcfg-ifname
ファイルの IPV4_DHCP_TIMEOUT
オプションを設定できます。たとえば、nmcli を使用します。
~]# nmcli connection modify enp1s0 ipv4.dhcp-timeout 10
この間にアドレスを取得できないと、IPv4 設定は失敗します。接続全体が失敗する場合もあり、これは ipv4.may-fail
プロパティーにより異なります。
ipv4.may-fail
がyes
(デフォルト)に設定されている場合、接続の状態は IPv6 設定に依存します。- IPv6 設定が有効であり、これが成功すると、接続はアクティブになりますが、IPv4 設定は再試行できません。
- IPv6 設定が無効であるか、または設定されていないと、接続は失敗します。
ipv4.may-fail
がno
に設定されている場合、接続は非アクティブになります。この場合は、以下のようになります。- 接続の
autoconnect
プロパティーが有効になっている場合、NetworkManager は、autoconnect-retries
プロパティーに設定された回数だけ接続のアクティブ化を再試行します。デフォルトでは 4 回です。 - それでも接続が dhcp アドレスを取得できないと、自動アクティベーションは失敗します。5 分後に自動接続プロセスが再開されて、dhcp クライアントが dhcp サーバーからのアドレスの取得を再試行することに注意してください。
リース更新の要求
ipv4.dhcp-timeout
プロパティーを秒単位(デフォルトは 60)で設定して設定されます。試行時に応答を得ると、プロセスは停止し、リースが更新されます。
ipv4.may-fail
がyes
(デフォルト)に設定され、IPv6 が正常に設定されている場合、接続はアクティブになり、dhcp クライアントは 2 分ごとに再起動します。ipv4.may-fail
をno
に設定すると、接続は非アクティブになります。この場合、接続のautoconnect
プロパティーが有効になっている場合、接続は最初からアクティブになります。
1.3.1. DHCPv4 の永続化
ipv4.dhcp-timeout
プロパティーを 32 ビットの整数(MAXINT32)の最大値 2147483647
または infinity
値に設定します。
~]$ nmcli connection modify enps1s0 ipv4.dhcp-timeout infinity
その結果、NetworkManager は、成功するまで DHCP サーバーからのリースの取得または更新の試行を停止しません。
/etc/sysconfig/network-scripts/ifcfg-enp1s0
設定ファイルまたは nmcli を使用して、IPADDR
プロパティーに静的 IP を手動で追加します。
~]$ nmcli connection modify enp1s0 ipv4.address 192.168.122.88/24
1.4. ワイヤレス規制ドメインの設定
.bin
ファイルを使用して規制データベース情報を維持します。
/etc/sysconfig/regdomain
ファイルで COUNTRY
環境変数を定義できます。
setregdomain (1)
man ページ:国コードに基づいて規制ドメインを設定します。crda (8)
man ページ - 特定の ISO または IEC 3166 alpha2 のワイヤレス規制ドメインをカーネルに送信します。regulatory.bin (5)
man ページ - Linux ワイヤレス規制データベースを表示します。- man ページの
iw (8)
- ワイヤレスデバイスおよびその設定を表示または操作します。
1.5. netconsole
の設定
netconsole
カーネルモジュールを使用すると、ネットワークを介して別のコンピューターにカーネルメッセージをログに記録できます。
netconsole
を使用できるようにするには、ネットワークに適切に設定された rsyslog
サーバーが必要です。
手順1.1 netconsole 用 rsyslog サーバーの設定
/etc/rsyslog.conf
ファイルのMODULES
セクションで次の行のコメントを解除して、514/udp ポートをリッスンし、ネットワークからメッセージを受信するようにrsyslogd
デーモンを設定します。$ModLoad imudp $UDPServerRun 514
rsyslogd
サービスを再起動して、変更を適用します。]# systemctl restart rsyslog
rsyslogd
が 514/udp ポートでリッスンしていることを確認します。]# netstat -l | grep syslog udp 0 0 0.0.0.0:syslog 0.0.0.0:* udp6 0 0 [::]:syslog [::]:*
netstat -l 出力の0.0.0.0:syslog
および[::]:syslog
値は、rsyslogd
が/etc/services
ファイルで定義されたデフォルトのnetconsole
ポートでリッスンしていることを意味します。]$ cat /etc/services | grep syslog syslog 514/udp syslog-conn 601/tcp # Reliable Syslog Service syslog-conn 601/udp # Reliable Syslog Service syslog-tls 6514/tcp # Syslog over TLS syslog-tls 6514/udp # Syslog over TLS syslog-tls 6514/dccp # Syslog over TLS
Netconsole
は、initscripts パッケージの一部である /etc/sysconfig/netconsole
ファイルを使用して設定されます。このパッケージはデフォルトでインストールされ、netconsole
サービスも提供します。
手順1.2 送信元マシンの設定
/etc/sysconfig/netconsole
ファイルのSYSLOGADDR
変数の値を、syslogd
サーバーの IP アドレスに一致するように設定します。以下に例を示します。SYSLOGADDR=192.168.0.1
- 変更を有効にするために
netconsole
サービスを再起動します。]# systemctl restart netconsole.service
- システムを再起動した後に
netconsole.service
を実行できるようにします。]# systemctl enable netconsole.service
- クライアントからの
netconsole
メッセージを/var/log/messages
ファイル(デフォルト)またはrsyslog.conf
で指定されたファイルで表示します。]# cat /var/log/messages
rsyslogd
および netconsole.service
はポート 514 を使用します。別のポートを使用するには、/etc/rsyslog.conf
の以下の行を、必要なポート番号に変更します。
$UDPServerRun <PORT>
/etc/sysconfig/netconsole
ファイルで以下の行のコメントを解除して編集します。
SYSLOGPORT=514
netconsole
設定およびトラブルシューティングのヒントに関する詳細は、Netconsole Kernel Documentation を参照してください。
1.6. sysctl によるネットワークカーネル調整パラメーターの使用
sysctl
ユーティリティーで特定のカーネルチューナブルを使用すると、実行中のシステムでネットワーク設定を調整し、ネットワークパフォーマンスに直接影響を与えることができます。
/etc/sysctl.conf
ファイルに行を追加します。
sysctl
パラメーターの一覧を表示するには、root
で以下を入力します。
~]# sysctl -a
sysctl
を使用したネットワークカーネルパラメーターの詳細は、システム管理者のガイド の複数のインターフェイスでの PTP の使用 を参照してください。
1.7. ncat ユーティリティーを使用したデータの管理
IPv4
と IPv6
の両方を処理し、接続を開き、パケットを送信し、ポートスキャンを実行し、SSL
、接続ブローカーなどの高レベルの機能をサポートします。
ncat のインストール
root
で以下のコマンドを実行します。
~]# yum install ncat
ncat ユースケースの簡単な例
例1.1 クライアントとサーバーとの間の通信の有効化
- TCP ポート 8080 で接続をリッスンするように、クライアントマシンを設定します。
~]$ ncat -l 8080
- サーバーマシンで、クライアントの IP アドレスを指定し、同じポート番号を使用します。
~]$ ncat 10.0.11.60 8080
接続のいずれの側でもメッセージを送信でき、ローカルマシンとリモートマシンの両方に表示されます。 Ctrl+D
を押して、TCP 接続を閉じます。
-u
オプションを指定して同じ nc コマンドを使用します。以下に例を示します。
~]$ ncat -u -l 8080
例1.2 ファイルの送信
- クライアントマシンで、ファイルをサーバーマシンに転送する特定のポートをリッスンするには、次のコマンドを実行します。
~]$ ncat -l 8080 > outputfile
- サーバーマシンで、クライアントの IP アドレス、ポート、および転送するファイルを指定します。
~]$ ncat -l 10.0.11.60 8080 < inputfile
~]$ ncat -l 8080 < inputfile
~]$ ncat -l 10.0.11.60 8080 > outputfile
例1.3 HTTP プロキシーサーバーの作成
~]$ ncat -l --proxy-type http localhost 8080
例1.4 ポートのスキャン
-z
オプションを使用してスキャンするポートの範囲を指定します。
~]$ ncat -z 10.0.11.60 80-90
Connection to 192.168.0.1 80 port [tcp/http] succeeded!
例1.5 SSL を使用した安全なクライアントサーバー通信の設定
SSL
を設定します。
~]$ ncat -e /bin/bash -k -l 8080 --ssl
~]$ ncat --ssl 10.0.11.60 8080
SSL
接続の真に機密性を確保するには、サーバーには --ssl-cert
オプションおよび --ssl-key
オプションが必要で、クライアントには --ssl-verify
オプションおよび --ssl-trustfile
オプションが必要です。OpenSSL
の詳細は、『 セキュリティーガイドの OpenSSL の使用 セクションを参照して』 ください。
パート II. IP ネットワークの管理
第2章 NetworkManager の使用
2.1. NetworkManager の概要
ifcfg
タイプの設定ファイルは引き続きサポートされます。詳細は、「ネットワークスクリプトによる NetworkManager の使用」を参照してください。
2.1.1. NetworkManager を使用する利点
- ネットワーク管理の容易化: NetworkManager は、ネットワーク接続が機能するようにします。システムにネットワーク設定がなく、ネットワークデバイスがあることを検出すると、NetworkManager は一時的な接続を作成して接続を提供します。
- ユーザーへの接続設定が容易になります。NetworkManager は 、GUI、nmtui、nmcli など、 さまざまなツールで管理を提供します。「NetworkManager のツール」を参照してください。
- 柔軟な設定に対応します。たとえば、WiFi インターフェイスを設定すると、NetworkManager は利用可能な wifi ネットワークをスキャンして表示します。インターフェイスを選択でき、NetworkManager は、再起動プロセス後の自動接続を提供するのに必要な認証情報を表示します。NetworkManager は、ネットワークエイリアス、IP アドレス、静的ルート、DNS 情報、VPN 接続、および接続固有のパラメーターを多数設定できます。設定オプションは、必要に応じて修正できます。
- ネットワーク設定と状態についてアプリケーションによるクエリーと制御を可能にする、D-Bus を介した API を提供します。この方法により、アプリケーションは D-BUS を介してネットワークを確認し、制御できます。たとえば、
Web コンソールインターフェイスは、Web
ブラウザーを介してサーバーを監視および設定し、NetworkManager D-BUS インターフェイスを使用してネットワークを設定します。 - 再起動プロセス後もデバイスの状態を維持し、再起動中に管理モードに設定されているインターフェイスを引き継ぎます。
- 明示的にマネージド外として設定されていないが、ユーザーまたは他のネットワークサービスによって手動で制御されているデバイスを処理します。
2.2. NetworkManager のインストール
root
で以下を入力します。
~]# yum install NetworkManager
2.3. NetworkManager のステータスの確認
~]$ systemctl status NetworkManager
NetworkManager.service - Network Manager
Loaded: loaded (/lib/systemd/system/NetworkManager.service; enabled)
Active: active (running) since Fri, 08 Mar 2013 12:50:04 +0100; 3 days ago
Active: inactive (dead)
と表示されることに注意してください。
2.4. NetworkManager の開始
~]# systemctl start NetworkManager
~]# systemctl enable NetworkManager
2.5. NetworkManager のツール
アプリケーションおよびツール | 説明 |
---|---|
nmcli | コマンドラインツール。ユーザーとスクリプトが NetworkManager と対話できるようにします。nmcli は、サーバーなどの GUI がないシステムで、NetworkManager のすべての側面を制御することができることに注意してください。GUI ツールのようにさらに高度な機能を提供します。 |
nmtui | NetworkManager用の単純な curses ベースのテキストユーザーインターフェイス(TUI) |
nm-connection-editor | ボンドの設定や接続のチーミングなど、control-center ユーティリティーで処理されていない特定のタスク用のグラフィカルユーザーインターフェイスツール。NetworkManager が保存したネットワーク接続を追加、削除、および変更できます。これを起動するには、端末に nm-connection-editor と入力します。
~]$ nm-connection-editor
|
control-center | GNOME Shell が提供し、デスクトップユーザーが利用可能なユーザーインターフェイス。これには、ネットワーク設定ツールが含まれます。これを起動するには、Super キーを押してアクティビティーの概要に入り、Network と 入力 して Enter を押します。Network 設定ツールが表示されます。 |
ネットワーク接続アイコン | GNOME Shell が提供するグラフィカルユーザーインターフェイスツールで、NetworkManager が報告するネットワーク接続の状態を表します。アイコンには複数の状態があり、現在使用中の接続の種類を視覚的に表示します。 |
2.6. ネットワークスクリプトによる NetworkManager の使用
ネットワークスクリプト
という用語は、/etc/init.d/network
スクリプトと、それが呼び出すその他のインストール済みスクリプトを指します。NetworkManager はデフォルトのネットワークサービスを提供しますが、スクリプトと NetworkManager は並行して実行され、連携することができます。Red Hat は、それを最初にテストすることを推奨します。
ネットワークスクリプトの実行
systemctl start|stop|restart|status
network
systemctl ユーティリティーは既存の環境変数をクリアし、正しい実行を確保します。
/etc/init.d/network
が NetworkManager をチェックして、NetworkManager の接続の改ざんを回避します。NetworkManager は、sysconfig 設定ファイルを使用するプライマリーアプリケーションであり、/etc/init.d/network
はセカンダリーとなることを目的としています。
/etc/init.d/network
スクリプトは、以下を実行します。
- 手動で - systemctl コマンド
start|stop|restart
network のいずれかを使用して、または - ネットワークサービスが有効な場合は、起動およびシャットダウン時 - systemctl enable network コマンドの結果として。
ifup
スクリプトおよび ifdown
スクリプトを手動で呼び出すこともできます。
~]# systemctl restart network.service
これにより、新しい設定を読み込むために、ネットワークインターフェイスカード (NIC) をすべて無効にして有効にします。詳細は、Red Hat ナレッジベースソリューション Reload and force-reload options for network serviceを参照してください。
ネットワークスクリプトのカスタムコマンドを使用
/sbin/ifup-local
スクリプト、ifdown-pre-local
スクリプト、および ifdown-local
スクリプトのカスタムコマンドは、これらのデバイスが /etc/init.d/network
サービスによって制御されている場合にのみ実行されます。ifup-local
ファイルは、デフォルトでは存在しません。必要に応じて、/sbin/
ディレクトリーの下に作成します。
ifup-local
スクリプトは initscripts によってのみ読み取りでき、NetworkManager は読み取りできません。NetworkManager を使用してカスタムスクリプトを実行するには、dispatcher.d/
ディレクトリーの下に作成します。「dispatcher スクリプトの実行」を参照してください。
ネットワークスクリプト
と NetworkManager の両方を使用して実行できます。NetworkManager が有効な場合は、ifup
スクリプトおよび ifdown
スクリプトにより、NetworkManager が問題のインターフェイスを管理するかどうかを NetworkManager に尋ねます。これは、ifcfg
ファイルの 「DEVICE=」 行にあります。
- ifup の呼び出し
ifup
を呼び出して、デバイスが NetworkManager で 管理 されている場合は、以下の 2 つのオプションがあります。- デバイスがまだ接続されてい ない 場合は、NetworkManager に接続を開始するように要求します。
- デバイスがすでに 接続している 場合は、何もする必要がありません。
- ifdown の呼び出し
ifdown
を呼び出して、デバイスが NetworkManager により 管理 されます。ifdown
により、NetworkManager が接続を終了するように求められます。
ifup
または ifdown
のいずれかを呼び出すと、このスクリプトは、NetworkManager が存在してから使用した、古い NetworkManager 以外のメカニズムを使用して接続を開始します。
dispatcher スクリプトの実行
/etc/NetworkManager/dispatcher.d/
ディレクトリーが存在し、NetworkManager はアルファベット順にそこにあるスクリプトを実行します。各スクリプトは、root
が所有する実行可能ファイルであり、ファイル 所有 者に対してのみ 書き込み権限
を持っている必要があります。NetworkManager の dispatcher スクリプト実行の詳細は、Red Hat ナレッジベースソリューションethtool コマンドを適用するように NetworkManager の dispatcher スクリプトを記述するを参照してください。
2.7. sysconfig ファイルによる NetworkManager の使用
/etc/sysconfig/
ディレクトリーは、設定ファイルおよびスクリプトの場所です。ほとんどのネットワーク設定情報がここに保存されます。ただし、VPN、モバイルブロードバンド、および PPPoE の設定を除き、/etc/NetworkManager/
サブディレクトリーに保存されます。たとえば、インターフェイス固有の情報は、/etc/sysconfig/network-scripts/
ディレクトリーの ifcfg
ファイルに保存されます。
/etc/sysconfig/network
ファイルを使用します。VPN、モバイルブロードバンド、および PPPoE 接続に関する情報は /etc/NetworkManager/system-connections/
に保存されます。
ifcfg
ファイルを編集しても、NetworkManager は自動的に変更を認識しないため、変更を通知する必要があります。NetworkManager プロファイル設定を更新するツールのいずれかを使用すると、NetworkManager は、そのプロファイルを使用して再接続するまでこれらの変更を実装しません。たとえば、エディターを使用して設定ファイルを変更した場合、NetworkManager は設定ファイルを再度読み込む必要があります。
root
で と入力して、すべての接続プロファイルをリロードします。
~]# nmcli connection reload
ifcfg-ifname
を 1 つだけ 再読み込みするには、次のコマンドを実行します。
~]# nmcli con load /etc/sysconfig/network-scripts/ifcfg-ifname
~]# nmcli dev disconnect interface-name
~]# nmcli con up interface-name
ifup
コマンドの使用時に実行中の場合に NetworkManager をトリガーしようとします。ネットワークスクリプトの詳細は、「ネットワークスクリプトによる NetworkManager の使用」を参照してください。
ifup
スクリプトは汎用スクリプトで、いくつかのことを実行し、ifup-device_name
、ifup-wireless
、ifup-ppp
などのインターフェイス固有のスクリプトを呼び出します。ユーザーが ifup enp1s0 を手動で実行すると、以下を行います。
ifup
が/etc/sysconfig/network-scripts/ifcfg-enp1s0
というファイルを探します。ifcfg
ファイルが存在する場合、ifup
はそのファイル内のTYPE
キーを検索し、呼び出すタイプ固有のスクリプトを特定します。ifup
は、TYPE
に基づいてifup-wireless
またはifup-device_name
を呼び出します。- タイプ固有のスクリプトがタイプ固有のセットアップを実行します。
- タイプ固有のスクリプトにより、共通関数が
DHCP
や静的セットアップなどのIP
関連のタスクを実行できます。
/etc/init.d/network
は起動時にすべての ifcfg
ファイルを読み取り、ONBOOT=yes になっている各ファイルについて、NetworkManager がすでに ifcfg
ファイルから DEVICE を起動しているかどうかを確認します。NetworkManager がそのデバイスを起動するか、またはすでに起動している場合は、そのファイルに対しては何も実行されず、次の ONBOOT=yes ファイルもチェックされます。NetworkManager がまだそのデバイスを起動していない場合は、initscripts は従来の動作を続行し、その ifcfg
ファイルの ifup
を呼び出します。
ifcfg
ファイルがシステム起動時に開始されることが予想されます。これにより、 NetworkManager が処理しないレガシーネットワークタイプ(ISDN、analog dial-up modems など)や、NetworkManager でまだサポートされていない新しいアプリケーションは、NetworkManager が処理できない場合でも initscripts によって正常に起動されます。
/etc
ディレクトリー内のどこか、またはライブファイルと同じ場所に保存しないことが推奨されます。.old
、.orig
、.rpmnew
、.rpmorig
、.rpmsave
の拡張機能のみが除外されます。
2.8. 関連情報
man (1)
man ページ:man ページとその検索方法が説明されています。NetworkManager (8)
man ページ - ネットワーク管理デーモンを説明しています。NetworkManager.conf (5)
man ページ -NetworkManager
設定ファイルが説明されています。/usr/share/doc/initscripts-version/sysconfig.txt
: 従来のネットワークサービスが理解できるようにifcfg
設定ファイルとそのディレクティブについて説明しています。/usr/share/doc/initscripts-version/examples/networking/
: 設定ファイルのサンプルが含まれるディレクトリー。ifcfg (8)
man ページ - ifcfg コマンドについて簡単に説明しています。
第3章 IP ネットワークの設定
3.1. ネットワーク設定方法の選択
- NetworkManager を使用してネットワークインターフェイスを設定するには、以下のいずれかのツールを使用します。
- テキスト形式のユーザーインターフェイスツール nmtui。詳細は、「nmtui を使用した IP ネットワークの設定」を参照してください。
- コマンドラインツール nmcli詳細は、「nmcli を使用する IP ネットワークの設定」を参照してください。
- グラフィカルユーザーインターフェイスツール GNOME GUI詳細は、「 GNOME GUI を使用した IP ネットワークの設定 」を参照してください。
- NetworkManager を使用 せず にネットワークインターフェイスを設定するには、以下を行います。
ifcfg
ファイルを手動で編集します。詳細は、「ifcfg ファイルを使用した IP ネットワークの設定」を参照してください。- ip コマンドを使用します。IP アドレスをインターフェイスに割り当てるのに使用できますが、変更は再起動をまたぐ永続的なものではありません。詳細は、「ip コマンドを使用した IP ネットワークの設定」を参照してください。
- root ファイルシステムがローカルでは ない 場合にネットワークを設定するには、以下の手順を行います。
- カーネルのコマンドラインを使用する。詳細は、「カーネルコマンドラインから IP ネットワークの設定」を参照してください。
3.2. nmtui を使用した IP ネットワークの設定
前提条件
- 端末ウィンドウで nmtui ツールを使用する。NetworkManager-tui パッケージに含まれていますが、デフォルトでは NetworkManager と一緒にインストールされません。NetworkManager-tui をインストールするには、次のコマンドを実行します。
~]# yum install NetworkManager-tui
- NetworkManager が実行していることを確認するには、「NetworkManager のステータスの確認」 を参照してください。
手順
- nmtui ツールを起動します。
~]$ nmtui
テキストユーザーインターフェイスが表示されます。図3.1 NetworkManager のテキスト形式ユーザーインターフェイスの開始メニュー
[D] - 移動するには、矢印キーを使用するか、Tab を押して順方向に進み、Shift+Tab を押してオプションを再度実行します。Enter を押してオプションを選択します。Space バーは、チェックボックスのステータスを切り替えます。
手順
Activate a connection
メニューエントリーを選択します。図3.2 接続のアクティブ化
- 修正した接続を選択します。右側の
Deactivate
ボタンをクリックします。図3.3 修正した接続の非アクティブ化
- 接続を再度選択し、
Activate
ボタンをクリックします。図3.4 修正した接続の再アクティブ化
nmtui edit
接続名が指定されていない場合、選択メニューが表示されます。接続名が指定され、正しく特定されると、関連する Edit connection 画面が表示されます。connection-name
nmtui connect
接続名が指定されていない場合、選択メニューが表示されます。接続名を指定して正しく特定されると、関連する接続がアクティブになります。無効なコマンドがあると、使用方法に関するメッセージが表示されます。connection-name
802.1X
を使用したイーサネット接続は編集できません。
3.3. nmcli を使用する IP ネットワークの設定
- サーバー、ヘッドレスマシン、および端末の場合は、nmcli を使用して、GUI を使用せずに NetworkManager を直接制御することができます。これには、ネットワーク接続の作成、編集、開始、および停止やネットワークステータスの表示が含まれます。
- スクリプトの場合、nmcli は簡潔な出力形式をサポートします。これはスクリプト処理に適しています。この場合、ネットワーク接続を手動で管理するのではなく、ネットワーク設定の整合性を維持するために用いられます。
一般的
な、ネットワーク
、ラジオ
、接続
、デバイス
、エージェント
、および 監視
のいずれかのオプションになります。nmcli [OPTIONS] OBJECT { COMMAND | help }コマンドには、このいずれかの接頭辞を使用できます。たとえば、nmcli con help、nmcli c help、nmcli connection help は、同じ出力を生成します。
- -t (terse)
- このモードは、コンピューターのスクリプト処理に使用される場合があり、値だけを表示する簡潔な出力を確認できます。
例3.1 簡潔な出力の表示
nmcli -t device ens3:ethernet:connected:Profile 1 lo:loopback:unmanaged:
- -f (field)
- このオプションでは、どのフィールドを出力に表示できるかを指定します。たとえば、NAME、UUID、TYPE、AUTOCONNECT、ACTIVE、DEVICE、STATE です。フィールドは、1 つまたは複数使用できます。複数のフィールドを使用する場合は、フィールドを区切るコンマの後に空白を入力しないでください。
例3.2 出力内のフィールドの指定
~]$ nmcli -f DEVICE,TYPE device DEVICE TYPE ens3 ethernet lo loopback
また、次のようなスクリプトの記述に適しています。~]$ nmcli -t -f DEVICE,TYPE device ens3:ethernet lo:loopback
- -p (pretty)
- このオプションにより、nmcli は人間が判読できる出力を生成します。たとえば、値を揃え、ヘッダーを表示します。
例3.3 pretty モードで出力の表示
nmcli -p device ===================== Status of devices ===================== DEVICE TYPE STATE CONNECTION -------------------------------------------------------------- ens3 ethernet connected Profile 1 lo loopback unmanaged --
- -h (help)
- ヘルプ情報を表示します。
- nmcli help
- このコマンドでは、その後のコマンドで使用される利用可能なオプションおよびオブジェクト名のリストが表示されます。
- nmcli object help
- このコマンドでは、指定したオブジェクトに関する利用可能なアクションのリストが表示されます。以下に例を示します。
nmcli c help
3.3.1. nmcli の簡単な選択例
例3.4 NetworkManager の全体ステータスの確認
~]$ nmcli general status
STATE CONNECTIVITY WIFI-HW WIFI WWAN-HW WWAN
connected full enabled enabled enabled enabled
簡潔モードの場合は、以下のようになります。
~]$ nmcli -t -f STATE general
connected
例3.5 NetworkManager のロギングの状態の表示
~]$ nmcli general logging
LEVEL DOMAINS
INFO PLATFORM,RFKILL,ETHER,WIFI,BT,MB,DHCP4,DHCP6,PPP,WIFI_SCAN,IP4,IP6,A
UTOIP4,DNS,VPN,SHARING,SUPPLICANT,AGENTS,SETTINGS,SUSPEND,CORE,DEVICE,OLPC,
WIMAX,INFINIBAND,FIREWALL,ADSL,BOND,VLAN,BRIDGE,DBUS_PROPS,TEAM,CONCHECK,DC
B,DISPATCH
例3.6 すべての接続を表示
~]$ nmcli connection show
NAME UUID TYPE DEVICE
Profile 1 db1060e9-c164-476f-b2b5-caec62dc1b05 ethernet ens3
ens3 aaf6eb56-73e5-4746-9037-eed42caa8a65 ethernet --
例3.7 現在アクティブな接続のみを表示
~]$ nmcli connection show --active
NAME UUID TYPE DEVICE
Profile 1 db1060e9-c164-476f-b2b5-caec62dc1b05 ethernet ens3
例3.8 NetworkManager が認識するデバイスとその状態のみの表示
~]$ nmcli device status
DEVICE TYPE STATE CONNECTION
ens3 ethernet connected Profile 1
lo loopback unmanaged --
nmcli コマンド | 省略形 | |
---|---|---|
nmcli general status | nmcli g | |
nmcli general logging | nmcli g log | |
nmcli connection show | nmcli con show | |
nmcli connection show --active | nmcli con show -a | |
nmcli device status | nmcli dev |
3.3.2. nmcli を使用したネットワークインターフェイスの起動および停止
nmcli con up id bond0 nmcli con up id port0 nmcli dev disconnect bond0 nmcli dev disconnect ens3
3.3.3. nmcli オプションについて
connection.type
- 接続の種類です。設定可能な値は、adsl、bond、bond-slave、bridge、bridge-slave、bluetooth、cdma、ethernet、gsm、infiniband、olpc-mesh、team、team-slave、vlan、wifi、wimax です。各接続タイプには、タイプ固有のコマンドオプションがあります。
TYPE_SPECIFIC_OPTIONS
の一覧は、『nmcli(1)』 の man ページで確認できます。以下に例を示します。gsm
接続では、アクセスポイント名をapn
に指定する必要があります。nmcli c add connection.type gsm apn access_point_name
wifi
デバイスには、ssid
に指定されるサービスセット ID が必要です。nmcli c add connection.type wifi ssid My identifier
connection.interface-name
- 接続に関連するデバイス名。
nmcli con add connection.interface-name enp1s0 type ethernet
connection.id
- 接続プロファイルに使用される名前。接続名を指定しないと、次のように接続名が生成されます。
connection.type -connection.interface-name
connection.id
は接続 プロファイル の名前です。デバイスを示すインターフェイス名(wlp61s0
、ens3
、em1
)と混同しないようにしてください。なお、ユーザーはインターフェイスと同じ名前を接続に付けることができますが、これは別のものです。1 つのデバイスに複数の接続プロファイルを利用することもできます。これは、モバイルデバイスの場合や異なるデバイス間でネットワークケーブルを切り替える場合に非常に便利です。必要に応じて、設定を編集するのではなく、異なるプロファイルを作成してインターフェイスに適用します。id
オプションも接続プロファイル名を参照します。
show
、up
、down
などの nmcli コマンドで最も重要なオプションは次のとおりです。
id
- ユーザーが接続プロファイルに割り当てる識別用文字列。nmcli connection コマンドで、ID を使用して接続を指定できます。コマンド出力の NAME フィールドには、必ず接続 ID が表示されます。con-name が参照するのと同じ接続プロファイル名が参照されます。
uuid
- システムが接続プロファイルに割り当てる一意の識別用文字列。nmcli connection コマンドで
uuid
を使用して、接続を特定できます。
3.3.4. nmcli インタラクティブ接続エディターの使用
~]$ nmcli con edit
表示されたリストから有効な接続の種類を入力するよう求められます。接続の種類を入力すると、nmcli プロンプトが表示されます。接続の種類に精通している場合は、nmcli con edit コマンドに有効な接続 タイプ
オプションを追加して、nmcli プロンプトに直接取り込むことができます。既存の接続プロファイルの編集には、次の形式になります: nmcli con edit [id | uuid | path] ID新しい接続プロファイルを編集します。
nmcli con edit [type new-connection-type] [con-name new-connection-name]
describe setting.property)。以下に例を示します。
nmcli> describe team.config
3.3.5. nmcli による接続プロファイルの作成および修正
nmcli c add {ARGUMENTS}
- プロパティー名
- 接続を内部的に記述するために NetworkManager が使用する名前。最も重要なものを以下に示します。
- connection.type
nmcli c add connection.type
bond
- connection.interface-name
nmcli c add connection.interface-name
enp1s0
- connection.id
nmcli c add connection.id
"My Connection"
プロパティーとその設定の詳細は、man ページのnm-settings (5)
を参照してください。
- エイリアス名
- 内部的にプロパティーに翻訳された、人間が理解可能な名前。最も一般的なものを以下に示します。
- タイプ(connection.type プロパティー)
nmcli c add type
bond
- ifname (connection.interface-name プロパティー)
nmcli c add ifname
enp1s0
- con-name (connection.id プロパティー)
nmcli c add con-name
"My Connection"
nmcli
では、接続を作成するには、エイリアス
を使用する必要がありました。たとえば、ifname
enp1s0 および con-name
My Connection などです。次の形式のコマンドを使用できます。 nmcli c add type ethernet ifname enp1s0 con-name "My Connection"
プロパティー名
と エイリアス
の両方を同じ意味で使用できます。以下は、すべて有効であり、同等です。nmcli c add type ethernet ifname enp1s0 con-name "My Connection" ethernet.mtu 1600
nmcli c add connection.type ethernet ifname enp1s0 con-name "My Connection" ethernet.mtu 1600
nmcli c add connection.type ethernet connection.interface-name enps1s0 connection.id "My Connection" ethernet.mtu 1600
type
引数のみがすべての接続タイプに必須であり、ifname
は ボンディング
、チーム
、ブリッジ
、および vlan
を除くすべてのタイプで必須です。
- type (type_name)
- 接続の種類です。以下に例を示します。
nmcli c add type
bond
- ifname (interface_name)
- 接続のバインド先となるインターフェイスです。例を以下に示します。
nmcli c add ifname interface_name type ethernet
nmcli c modify
connection.id
を My Connection から My favorite connection
に変更し、connection.interface-name
を enp1s0
に変更するには、以下のコマンドを実行します。 nmcli c modify "My Connection" connection.id "My favorite connection" connection.interface-name enp1s0
プロパティー名
を使用することが推奨されます。エイリアス
は、互換性の理由でのみ使用されます。
nmcli c modify "My favorite connection" ethernet.mtu 1600
nmcli con up con-name
以下に例を示します。
nmcli con up My-favorite-connection
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/16)
3.3.6. nmcli を使用したネットワーク接続
~]$ nmcli con show
NAME UUID TYPE DEVICE
Auto Ethernet 9b7f2511-5432-40ae-b091-af2457dfd988 802-3-ethernet --
ens3 fb157a65-ad32-47ed-858c-102a48e064a2 802-3-ethernet ens3
MyWiFi 91451385-4eb8-4080-8b82-720aab8328dd 802-11-wireless wlp61s0
出力の NAME
フィールドは常に接続 ID (名前)を示すことに注意してください。これはインターフェイス名と同じように見えますが、異なるものです。上記の 2 つ目の接続では、NAME フィールドの ens3
は、ユーザーがインターフェイスに適用されるプロファイルに指定した接続 ID です。 ens3.最後の接続では、ユーザーは接続 ID MyWiFi
をインターフェイスに割り当てています。 wlp61s0.
~]$ nmcli device status
DEVICE TYPE STATE CONNECTION
ens3 ethernet disconnected --
ens9 ethernet disconnected --
lo loopback unmanaged --
3.3.7. nmcli を使用した動的イーサネット接続の追加および設定
動的イーサネット接続を追加する
IP
設定でイーサネット設定プロファイルを追加するには、DHCP
がネットワーク設定を割り当てるのを許可します。 nmcli connection add type ethernet con-name connection-name ifname interface-name
~]$ nmcli con add type ethernet con-name my-office ifname ens3
Connection 'my-office' (fb157a65-ad32-47ed-858c-102a48e064a2) successfully added.
~]$ nmcli con up my-office
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/5)
デバイスおよび接続のステータスを確認します。
~]$ nmcli device status
DEVICE TYPE STATE CONNECTION
ens3 ethernet connected my-office
ens9 ethernet disconnected --
lo loopback unmanaged --
動的イーサネット接続の設定
DHCP
サーバーに送信したホスト名を変更するには、dhcp-hostname
プロパティーを修正します。
~]$ nmcli con modify my-office my-office ipv4.dhcp-hostname host-name ipv6.dhcp-hostname host-name
DHCP
サーバーに送信した IPv4
クライアント ID を変更するには、dhcp-client-id
プロパティーを修正します。
~]$ nmcli con modify my-office my-office ipv4.dhcp-client-id client-ID-string
IPv6
には dhcp-client-id
プロパティーがなく、dhclient は IPv6
の識別子を作成します。詳細は、man ページの dhclient (8)
を参照してください。
DHCP
サーバーでホストに送信された DNS
サーバーを無視するには、ignore-auto-dns
プロパティーを変更します。
~]$ nmcli con modify my-office my-office ipv4.ignore-auto-dns yes ipv6.ignore-auto-dns yes
nm-settings (5)
を参照してください。
例3.9 インタラクティブエディターを使用した動的イーサネット接続の設定
~]$ nmcli con edit type ethernet con-name ens3
===| nmcli interactive connection editor |===
Adding a new '802-3-ethernet' connection
Type 'help' or '?' for available commands.
Type 'describe [<setting>.<prop>]' for detailed property description.
You may edit the following settings: connection, 802-3-ethernet (ethernet), 802-1x, ipv4, ipv6, dcb
nmcli> describe ipv4.method
=== [method] ===
[NM property description]
IPv4 configuration method. If 'auto' is specified then the appropriate automatic method (DHCP, PPP, etc) is used for the interface and most other properties can be left unset. If 'link-local' is specified, then a link-local address in the 169.254/16 range will be assigned to the interface. If 'manual' is specified, static IP addressing is used and at least one IP address must be given in the 'addresses' property. If 'shared' is specified (indicating that this connection will provide network access to other computers) then the interface is assigned an address in the 10.42.x.1/24 range and a DHCP and forwarding DNS server are started, and the interface is NAT-ed to the current default network connection. 'disabled' means IPv4 will not be used on this connection. This property must be set.
nmcli> set ipv4.method auto
nmcli> save
Saving the connection with 'autoconnect=yes'. That might result in an immediate activation of the connection.
Do you still want to save? [yes] yes
Connection 'ens3' (090b61f7-540f-4dd6-bf1f-a905831fc287) successfully saved.
nmcli> quit
~]$
デフォルトの動作では、接続プロファイルが永続的に保存されます。必要な場合は、save temporary コマンドで、次回の再起動時まで、プロファイルをメモリーにのみ保持できます。
3.3.8. nmcli を使用した静的イーサネット接続の追加および設定
静的イーサネット接続の追加
IPv4
設定でイーサネット接続を追加するには、nmcli connection add type ethernet con-name connection-name ifname interface-name ip4 address gw4 address
IPv6
アドレスとゲートウェイ情報を ip6
および gw6
オプションを使用して追加できます。
IPv4
アドレスとゲートウェイのみを使用して静的イーサネット接続を作成するには、次のコマンドを実行します。
~]$ nmcli con add type ethernet con-name test-lab ifname ens9 ip4 10.10.10.10/24 \ gw4 10.10.10.254必要に応じて、デバイスの
IPv6
アドレスとゲートウェイを指定します。
~]$ nmcli con add type ethernet con-name test-lab ifname ens9 ip4 10.10.10.10/24 \ gw4 10.10.10.254 ip6 abbe::cafe gw6 2001:db8::1 Connection 'test-lab' (05abfd5e-324e-4461-844e-8501ba704773) successfully added.
IPv4
DNS
サーバーアドレスを設定するには、次のコマンドを実行します。
~]$ nmcli con mod test-lab ipv4.dns "8.8.8.8 8.8.4.4"
これにより、以前に設定された DNS
サーバーが置き換えられることに注意してください。2 つの IPv6
DNS
サーバーアドレスを設定するには、次のコマンドを実行します。
~]$ nmcli con mod test-lab ipv6.dns "2001:4860:4860::8888 2001:4860:4860::8844"
これにより、以前に設定された DNS
サーバーが置き換えられることに注意してください。または、以前のセットに DNS
サーバーを追加するには、+
接頭辞を使用します。
~]$ nmcli con mod test-lab +ipv4.dns "8.8.8.8 8.8.4.4"
~]$ nmcli con mod test-lab +ipv6.dns "2001:4860:4860::8888 2001:4860:4860::8844"
~]$ nmcli con up test-lab ifname ens9
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/6)
デバイスおよび接続のステータスを確認します。
~]$ nmcli device status
DEVICE TYPE STATE CONNECTION
ens3 ethernet connected my-office
ens9 ethernet connected test-lab
lo loopback unmanaged --
~]$ nmcli -p con show test-lab =============================================================================== Connection profile details (test-lab) =============================================================================== connection.id: test-lab connection.uuid: 05abfd5e-324e-4461-844e-8501ba704773 connection.interface-name: ens9 connection.type: 802-3-ethernet connection.autoconnect: yes connection.timestamp: 1410428968 connection.read-only: no connection.permissions: connection.zone: -- connection.master: -- connection.slave-type: -- connection.secondaries: connection.gateway-ping-timeout: 0 [output truncated]
-p, --pretty
オプションを使用すると、出力にタイトルバナーとセクション区切りが追加されます。
例3.10 インタラクティブエディターを使用した静的イーサネット接続の設定
~]$ nmcli con edit type ethernet con-name ens3
===| nmcli interactive connection editor |===
Adding a new '802-3-ethernet' connection
Type 'help' or '?' for available commands.
Type 'describe [>setting<.>prop<]' for detailed property description.
You may edit the following settings: connection, 802-3-ethernet (ethernet), 802-1x, ipv4, ipv6, dcb
nmcli> set ipv4.addresses 192.168.122.88/24
Do you also want to set 'ipv4.method' to 'manual'? [yes]: yes
nmcli>
nmcli> save temporary
Saving the connection with 'autoconnect=yes'. That might result in an immediate activation of the connection.
Do you still want to save? [yes] no
nmcli> save
Saving the connection with 'autoconnect=yes'. That might result in an immediate activation of the connection.
Do you still want to save? [yes] yes
Connection 'ens3' (704a5666-8cbd-4d89-b5f9-fa65a3dbc916) successfully saved.
nmcli> quit
~]$
デフォルトの動作では、接続プロファイルが永続的に保存されます。必要な場合は、save temporary コマンドで、次回の再起動時まで、プロファイルをメモリーにのみ保持できます。
connection.autoconnect
を yes
に設定します。NetworkManager は、設定を /etc/sysconfig/network-scripts/ifcfg-my-office
に書き込みます。ここで、対応する BOOTPROTO は none
に、ONBOOT は yes
に設定されます。
3.3.9. nmcli を使用してプロファイルを特定のデバイスにロック
nmcli connection add type ethernet con-name connection-name ifname interface-nameで行います。すべての互換性のあるイーサネットインターフェイスで利用可能なプロファイルを指定するには、
nmcli connection add type ethernet con-name connection-name ifname "*"を使用します。特定のインターフェイスを設定しなくても、
ifname
引数を使用する必要があることに注意してください。ワイルドカード文字 *
を使用して、プロファイルと互換性のあるデバイスを使用できることを指定します。
nmcli connection add type ethernet con-name "connection-name" ifname "*" mac 00:00:5E:00:53:00
3.3.10. nmcli を使用する Wi-Fi 接続の追加
~]$ nmcli dev wifi list
SSID MODE CHAN RATE SIGNAL BARS SECURITY
FedoraTest Infra 11 54 MB/s 98 ▂▄▆█ WPA1
Red Hat Guest Infra 6 54 MB/s 97 ▂▄▆█ WPA2
Red Hat Infra 6 54 MB/s 77 ▂▄▆_ WPA2 802.1X
* Red Hat Infra 40 54 MB/s 66 ▂▄▆_ WPA2 802.1X
VoIP Infra 1 54 MB/s 32 ▂▄__ WEP
MyCafe Infra 11 54 MB/s 39 ▂▄__ WPA2
IP
設定で Wi-Fi 接続プロファイルを作成し、DNS
アドレスの自動割り当てを許可するには、以下を実行します。
~]$ nmcli con add con-name MyCafe ifname wlp61s0 type wifi ssid MyCafe \ ip4 192.168.100.101/24 gw4 192.168.100.1WPA2 パスワード (例: 「caffeine」) を設定するには、以下のコマンドを実行します。
~]$ nmcli con modify MyCafe wifi-sec.key-mgmt wpa-psk ~]$ nmcli con modify MyCafe wifi-sec.psk caffeineパスワードのセキュリティーに関する情報は、『Red Hat Enterprise Linux 7 セキュリティーガイド』を参照してください。
~]$ nmcli radio wifi [on | off ]
nmcli を使用した特定プロパティーの変更
mtu
など)を確認するには、以下を実行します。
~]$ nmcli connection show id 'MyCafe' | grep mtu
802-11-wireless.mtu: auto
設定のプロパティーを変更するには、次のコマンドを実行します。
~]$ nmcli connection modify id 'MyCafe' 802-11-wireless.mtu 1350
変更を確認するには、次のコマンドを実行します。
~]$ nmcli connection show id 'MyCafe' | grep mtu
802-11-wireless.mtu: 1350
-3-ethernet および 802-
11-wireless
、および 設定のプロパティーとしての mtu
などのパラメーターを参照します。プロパティーとその設定の詳細は、man ページの nm-settings (5)
を参照してください。
3.3.11. 特定のデバイスを無視するように NetworkManager を設定
lo
(loopback)デバイス以外のすべてのデバイスを管理します。ただし、特定のデバイスを unmanaged に設定して、NetworkManager がこのデバイスを無視するように設定できます。この設定では、スクリプトなどを使用して、このデバイスを手動で管理できます。
3.3.11.1. NetworkManager で、デバイスを Unmanaged (管理外) として永続的に設定
enp1s0
インターフェイスを unmanaged として永続的に設定する方法を説明します。
手順
- オプション:デバイスの一覧を表示して、unmanaged に設定するデバイスを特定します。
# nmcli device status DEVICE TYPE STATE CONNECTION enp1s0 ethernet disconnected -- ...
- 以下の内容で
/etc/NetworkManager/conf.d/99-unmanaged-devices.conf
ファイルを作成します。[keyfile] unmanaged-devices=interface-name:enp1s0
複数のデバイスを unmanaged に設定するには、unmanaged-devices
パラメーターのエントリーをセミコロンで区切ります。[keyfile] unmanaged-devices=interface-name:interface_1;interface-name:interface_2;...
NetworkManager
サービスを再読み込みします。# systemctl reload NetworkManager
検証手順
- デバイスのリストを表示します。
# nmcli device status DEVICE TYPE STATE CONNECTION enp1s0 ethernet unmanaged -- ...
enp1s0
デバイスの横にある unmanaged 状態は、NetworkManager がこのデバイスを管理していないことを示します。
関連情報
3.3.11.2. NetworkManager でデバイスの非管理として一時的に設定
enp1s0
インターフェイスを unmanaged として一時的に設定する方法を説明します。
手順
- オプション:デバイスの一覧を表示して、unmanaged に設定するデバイスを特定します。
# nmcli device status DEVICE TYPE STATE CONNECTION enp1s0 ethernet disconnected -- ...
enp1s0
デバイスを unmanaged 状態に設定します。# nmcli device set enp1s0 managed no
検証手順
- デバイスのリストを表示します。
# nmcli device status DEVICE TYPE STATE CONNECTION enp1s0 ethernet unmanaged -- ...
enp1s0
デバイスの横にある unmanaged 状態は、NetworkManager がこのデバイスを管理していないことを示します。
関連情報
3.4. GNOME GUI を使用した IP ネットワークの設定
- GNOME control-center アプリケーション
- GNOME nm-connection-editor アプリケーション
3.4.1. control-center GUI を使用したネットワーク接続
- Super キーを押してアクティビティーの概要に入り、Settings と 入力 して Enter を押します。次に、左側の
Network
タブを選択すると、Network 設定ツールが表示されます。「control-center を使用した新しい接続の設定」に進みます。 - 画面右上にある GNOME シェルのネットワーク接続アイコンをクリックして、メニューを開く。
図3.5 control-center アプリケーションを使用したネットワーク設定
[D]
- 現在接続しているカテゴリー別のネットワーク一覧( 有線 や Wi-Fiなど)。
- NetworkManager が検出した Available Networks の全一覧。
- 設定済みの仮想プライベートネットワーク (VPN) への接続オプション。および
- ネットワーク設定 メニューエントリーを 選択するオプション。
3.4.2. GUI を使用した新規接続の設定および既存接続の編集
- GNOME control-center アプリケーション
- GNOME nm-connection-editor アプリケーション
3.4.2.1. control-center を使用した新規接続の設定および既存接続の編集
control-center を使用した新しい接続の設定
- Super キーを押してアクティビティーの概要に入り、Settings と 入力 して Enter を押します。次に、左側の
Network
タブを選択します。右側のメニューに Network 設定ツールが表示されます。図3.6 ネットワーク設定ウィンドウの表示
- 新しい接続を追加するには、プラスボタンをクリックします。設定するには、以下のコマンドを実行します。
control-center を使用した既存の接続の編集
IP
アドレス、DNS
、ルーティング設定などのほとんどのネットワーク設定タスクを実行できます。
図3.7 ネットワーク接続詳細ウィンドウを使用したネットワークの設定
[D]
3.4.2.2. nm-connection-editor を使用した新規接続の設定および既存接続の編集
nm-connection-editor を使用した新しい接続の設定
手順
- 端末に
nm-connection-editor
と入力します。~]$ nm-connection-editor
ネットワーク接続 ウィンドウが
表示されます。 - + (プラス) ボタンをクリックして、接続タイプを選択します。
図3.8 nm-connection-editor を使用した接続タイプの追加
図3.9 nm-connection-editor を使用した接続タイプの選択
作成および設定するには、以下のコマンドを実行します。
nm-connection-editor を使用した既存接続の編集
3.4.3. nm-connection-editor を使用した一般的な設定オプション
nm-connection-editor
ユーティリティーを使用する場合は、以下の手順に従って、ほとんどの接続タイプ(イーサネット、wifi、モバイルブロードバンド、DSL)に共通する設定オプションが 5 つあります。
手順
- 端末に
nm-connection-editor
と入力します。~]$ nm-connection-editor
ネットワーク接続 ウィンドウが
表示されます。+ (プラス) ボタンをクリックして接続タイプを選択するか、歯車アイコンをクリックして、既存の接続を編集します。 - Editing ダイアログで General タブを選択します。
図3.10 nm-connection-editor における設定オプション
- 接続名: ネットワーク接続のわかりやすい名前を入力します。この名前は、Network ウィンドウのメニューでこの接続を一覧表示するために使用されます。
- Connection priority for auto-activation - 接続が自動接続に設定されていると、番号がアクティブになります(デフォルトでは
0
)。数値が大きいほど優先度が高くなります。 - Automatically connect to this network when it is available - このボックスを選択すると、NetworkManager が利用可能なときにこの接続に自動接続します。詳細は、「control-center を使用した既存の接続の編集」を参照してください。
- All users can connect to this network - このボックスを選択すると、システム上のすべてのユーザーが 利用できる接続が作成されます。この設定を変更するには、root 権限が必要になる場合があります。詳細は、「GUI を使用したシステム全体およびプライベート接続プロファイルの管理」を参照してください。
- Automatically connect to VPN when using this connection - このボックスを選択すると、NetworkManager が利用可能なときに VPN 接続に自動接続します。ドロップダウンメニューから VPN を選択します。
- ファイアウォールゾーン - ドロップダウンメニューからファイアウォールゾーンを選択します。ファイアウォールゾーンに関する詳細情報は、『Red Hat Enterprise Linux 7 セキュリティーガイド』を参照してください。
3.4.4. GUI を使用してネットワークに自動的に接続
- GNOME control-center アプリケーション
- GNOME nm-connection-editor アプリケーション
3.4.4.1. control-center を使用したネットワークの自動接続
手順
- Super キーを押してアクティビティーの概要に入り、Settings と 入力 して Enter を押します。次に、左側の Network タブを選択します。ネットワーク設定ツールが右側のメニューに表示されます。「control-center を使用した新しい接続の設定」を参照してください。
- 右側のメニューから、ネットワークインターフェイスを選択します。
- 右側のメニューにある接続プロファイルの歯車アイコンをクリックします。Network の詳細ウィンドウが表示されます。
- Details メニューエントリーを選択します。「control-center を使用した既存の接続の編集」 を参照してください。
- Connect automatically を選択し、NetworkManager が利用可能であることを検知すると、NetworkManager が接続に自動接続するようになります。NetworkManager が自動的に接続しないようにする場合は、チェックボックスの選択を解除します。この場合、接続するには手動でネットワーク接続のアイコンを選択する必要があります。
3.4.4.2. nm-connection-editor を使用したネットワークの自動接続
Automatically connect to this network when it is available
チェックボックスにチェックを入れます。
3.4.5. GUI を使用したシステム全体およびプライベート接続プロファイルの管理
接続
設定の permissions
プロパティーの詳細は、man ページの nm-settings (5)
を参照してください。 以下のグラフィカルユーザーインターフェイスツールを使用して、接続プロファイルへのアクセスを制御できます。
- nm-connection-editor アプリケーション
- control-center アプリケーション
3.4.5.1. nm-connection-editor を使用した接続プロファイルの権限の管理
3.4.5.2. control-center を使用した接続プロファイルの権限の管理
Details
ウィンドウで Make available to other users チェックボックスを選択します。
user-em2
を作成し、自動的 に接続する チェックボックスを選択して いるが、他のユーザーにも利用可能に する 選択を行わない 場合、この接続は起動時に利用できなくなります。
- 他のユーザーにも利用可能にする チェックボックスの選択を解除します。これにより、この変更を行ったユーザーのみが 接続を変更および使用可能に変更します。
- polkit フレームワークを使用して、ユーザーごとに一般的なネットワーク操作のパーミッションを制限します。
polkit
の詳細については、polkit (8) の man ページを参照してください。
3.4.6. GUI を使用した有線 (イーサーネット) 接続の設定
- control-center アプリケーション
- nm-connection-editor アプリケーション
3.4.6.1. control-center を使用した有線接続の設定
手順
- Super キーを押してアクティビティーの概要に入り、Settings と 入力 して Enter を押します。次に、左側の
Network
メニューエントリーを選択すると、Network 設定ツールが表示されます。「control-center を使用した新しい接続の設定」 を参照してください。 - Wired ネットワークインターフェイスがまだ強調表示されていない場合は、選択します。システムは、デフォルトで、1 つの有線 接続プロファイル ( Wired )を作成し、設定します。プロファイルは、インターフェイスに適用できる名前の付いたコレクションです。必要に応じて、1 つのインターフェイスに対して複数のプロファイルを作成して適用できます。デフォルトのプロファイルは削除できませんが、設定は変更できます。
- 歯車アイコンをクリックして、デフォルトの Wired プロファイルを編集します。
基本設定オプション
図3.11 有線接続に関する基本設定オプション
- 名前: ネットワーク接続のわかりやすい名前を入力します。この名前は、Network ウィンドウのメニューでこの接続を一覧表示するために使用されます。
- MAC アドレス - このプロファイルを適用する必要があるインターフェイスの MAC アドレスを選択します。
- Cloned Address - 必要な場合は、使用する別の MAC アドレスを入力します。
- MTU: 必要な場合は、使用する特定の 最大伝送単位 (MTU)を入力します。MTU 値は、リンク層が転送する最大パケットサイズをバイト単位で表したものです。この値のデフォルトは
1500
で、通常は指定したり変更したりする必要はありません。
有線設定の追加作成
- または
- Port-based Network Access Control (PNAC) にアクセスし、802.1X セキュリティー メニューエントリーをクリックして、「802.1X セキュリティーの設定」 に進みます。
新しい (または変更した) 有線接続の保存
有線接続の新規作成
3.4.6.2. nm-connection-editor を使用した有線接続の設定
- 端末に nm-connection-editor を入力します。
~]$ nm-connection-editor
ネットワーク接続 ウィンドウが
表示されます。 - 編集するイーサネット接続を選択して、歯車アイコンをクリックします。
図3.12 有線接続を編集します。
編集
ダイアログが表示されます。- ネットワークに自動的に接続し、接続を制限するには、
General
タブをクリックします。「nm-connection-editor を使用した一般的な設定オプション」 を参照してください。 - ネットワーク設定を設定するには、
Ethernet
タブをクリックします。??? を参照してください。 - 有線接続に 802.1X セキュリティーを設定するには、
802.1X セキュリティー
タブをクリックします。??? を参照してください。 - IPV4 を設定するには、
IPV4 Settings
タブをクリックします。詳細は、「nm-connection-editor を使用した IPV4 の方法の設定」 を参照してください。 - IPV6 設定を設定するには、
IPV6 Settings
タブをクリックします。「IPv6 セッティングの設定」 を参照してください。
3.4.7. GUI を使用した Wi-Fi 接続の設定
Wi-Fi
(ワイヤレス または 802.11a/b/g/nとも呼ばれます)接続を設定する方法を説明します。アクセスポイントは、ワイヤレスデバイスをネットワークに接続できるデバイスです。
利用可能なアクセスポイントにすばやく接続
手順
- ネットワーク接続アイコンをクリックして、ネットワーク接続アイコンのメニューをアクティブにします。「control-center GUI を使用したネットワーク接続」を参照してください。
- Wi-Fi ネットワークの一覧で、アクセスポイントの Service Set Identifier (SSID)を見つけます。
- ネットワークの SSID をクリックします。鍵の記号は、アクセスポイントが認証を要求することを示します。アクセスポイントがセキュリティーで保護されている場合は、認証キーまたはパスワードの入力を求めるダイアログが表示されます。NetworkManager は、アクセスポイントで使用されるセキュリティーの種類を自動検出しようとします。複数の可能性がある場合、NetworkManager はセキュリティータイプを推測し、Wi-Fi セキュリティー ドロップダウンメニューで表示します。
- WPA-PSK セキュリティー (パスフレーズ付きの WPA) の場合は、選択する必要がありません。
- WPA Enterprise (802.1X) の場合は、セキュリティーを自動検出できないため、セキュリティーを選択する必要があります。良くわからない場合は、順番に、それぞれのタイプに接続してみてください。
- Password フィールドにキーまたはパスフレーズを入力します。40 ビットの WEP キーまたは 128 ビットの WPA キーは、必要な長さがないと無効になります。選択したセキュリティータイプに必要な長さのキーを入力するまで、Connect ボタンは非アクティブのままになります。ワイヤレスセキュリティーの詳細は、「802.1X セキュリティーの設定」 を参照してください。
非表示 Wi-Fi ネットワークへの接続
手順
- Super キーを押してアクティビティーの概要に入り、Settings と 入力 して Enter を押します。次に、左側の
Wi-Fi
メニューエントリーを選択します。 - Connect to Hidden Network を選択します。2 つの選択肢があります。
- 以前非表示にしたネットワークに接続したことがある場合は、以下を行います。
- ネットワークを選択するには、Connection ドロップダウンを使用します。
- そうでない場合は、以下の手順に従ってください。
- Connection ドロップダウンを のままにします。
- 非表示のネットワークの SSID を入力します。
- その Wi-Fi セキュリティー 方法を選択します。
- 正しい認証の秘密を入力します。
新しい Wi-Fi 接続の設定
手順
- Settings の Wi-Fi メニューエントリーを選択します。
- 接続する Wi-Fi 接続名 (デフォルトでは SSID と同じ) をクリックします。
- SSID が範囲にない場合は、「非表示 Wi-Fi ネットワークへの接続」を参照してください。
- SSID が範囲内にある場合は、右側のメニューで
Wi-Fi
接続プロファイルをクリックします。鍵の記号は、鍵やパスワードが必要であることを示します。要求されたら、認証の詳細を入力してください。
既存の Wi-Fi 接続の編集
手順
- Super キーを押してアクティビティーの概要に入り、Settings と 入力 して Enter を押します。
- 左側のメニューエントリーから Wi-Fi を選択します。
- 編集する Wi-Fi 接続名の右側にある歯車アイコンを選択すると、接続の編集ダイアログが表示されます。現在ネットワークが範囲に含まれていない場合は、履歴 をクリックして過去の接続を表示することに注意してください。Details ウィンドウには、接続の詳細が表示されます。
Wi-Fi 接続に関する基本設定オプション
図3.13 Wi-Fi 接続に関する基本設定オプション
- SSID
- アクセスポイント (AP) の サービスセット識別子 (SSID) です。
- BSSID
- BSSID( Basic Service Set Identifier )は、インフラストラクチャー モードで接続する特定のワイヤレスアクセスポイントの MAC アドレス(ハードウェアアドレス とも呼ばれます)です。このフィールドはデフォルトで空白になっており、BSSID を指定せずに SSID によってワイヤレスアクセスポイントに接続できます。BSSID を指定している場合は、システムによる特定のアクセスポイントのみへの関連付けが強制的に実行されます。アドホックネットワークの場合、アドホックネットワークの作成時に、mac80211 サブシステムがランダムに BSSID を生成します。NetworkManagerでは表示されません。
- MAC アドレス
- MAC アドレスを選択します。これは、Wi-Fi が使用する ハードウェアアドレス とも呼ばれます。単一システムには、1 つまたは複数のワイヤレスネットワークアダプターを接続することができます。したがって、MAC アドレス フィールドを使用すると、特定のワイヤレスアダプターを特定の接続(または接続)に関連付けることができます。
- クローンしたアドレス
- 実際のハードウェアアドレスの代わりに使用する、クローンした MAC アドレスです。必要でない限り、空白のままにします。
- Connect automatically - このボックスを選択すると、NetworkManager が利用可能なときにこの接続に自動接続します。詳細は、「control-center を使用した既存の接続の編集」を参照してください。
- Make available to other users - このボックスを選択して、システム上のすべてのユーザーが利用できる接続を作成します。この設定を変更するには、root 権限が必要になる場合があります。詳細は、「GUI を使用したシステム全体およびプライベート接続プロファイルの管理」を参照してください。
Wi-Fi 接続の追加設定
- または
新しい (または変更した) 接続の保存
3.4.8. GUI を使用した VPN 接続の設定
IPsec
は、VPN を作成するのに推奨される方法です。Libreswan は、VPN 用のオープンソースのユーザー空間 IPsec
実装です。コマンドラインを使用した IPsec
VPN の設定は、『Red Hat Enterprise Linux 7 セキュリティーガイド を参照してください』。
3.4.8.1. control-center を使用した VPN 接続の確立
IPsec
は、Red Hat Enterprise Linux 7 で VPN を作成するのに推奨される方法です。詳細は、「GUI を使用した VPN 接続の設定」 を参照してください。
root
で以下のコマンドを実行します。
~]# yum install NetworkManager-libreswan-gnome
- ルーティングおよび認証目的で 認証ヘッダー を追加します。
- パケットデータを暗号化します。
- カプセル化セキュリティーペイロード (ESP) プロトコルに従ってデータをパケットに囲みます。ESP は暗号化解除および処理の指示を設定します。
新しい IPsec VPN 接続の追加
手順
- Super キーを押してアクティビティーの概要に入り、Settings と 入力 して Enter を押します。次に Network メニューエントリーを選択すると、Network 設定ツールが表示されます。「control-center を使用した新しい接続の設定」 を参照してください。
- VPN エントリーで + (プラス) ボタンをクリックします。
- Add VPN ウィンドウが表示されます。 手動で設定する場合は、IPsec ベースの VPN を選択します。
図3.14 IPsec モードの VPN の設定
Identity
設定フォームでは、General
セクションおよびAdvanced
セクションにフィールドを指定できます。図3.15 全般オプションおよび高度セクション
General
セクションで、以下を指定できます。
- ゲートウェイ
- リモート VPN ゲートウェイの名前または
IP
アドレス。 - ユーザー名
- 必要な場合は、認証のために VPN ユーザーに関連付けられたパスワードを入力します。
- ユーザーパスワード
- 必要に応じて、認証のために VPN ユーザーの ID に関連付けられているパスワードを入力します。
- グループ名
- リモートゲートウェイで設定された VPN グループ名です。空欄の場合は、デフォルトのアグレッシブモードではなく IKEv1 メインモードが使われます。
- シークレット
- ユーザー認証の前に暗号化を初期化するのに使われる、事前共有キーです。必要に応じて、グループ名に関連付けられたパスワードを入力します。
Advanced
セクションでは、以下の設定が可能です。
- フェーズ 1 アルゴリズム
- 必要な場合は、暗号化チャンネルの認証および設定で使用するアルゴリズムを入力します。
- フェーズ 2 アルゴリズム
- 必要な場合は、
IPsec
ネゴシエーションに使用するアルゴリズムを入力します。 - ドメイン
- 必要な場合は、ドメイン名を入力します。
既存の VPN 接続を編集する
手順
- Super キーを押してアクティビティーの概要に入り、Settings と 入力 して Enter を押します。次に Network メニューエントリーを選択すると、Network 設定ツールが表示されます。「control-center を使用した新しい接続の設定」 を参照してください。
- 編集する VPN 接続を選択し、歯車アイコンをクリックして、
General
セクションおよびAdvanced
セクションを編集します。「control-center を使用した VPN 接続の確立」 を参照してください。
新規 (または修正した) 接続を保存して他の設定を行う
3.4.8.2. nm-connection-editor を使用した VPN 接続の設定
手順
- 端末に nm-connection-editor と入力します。ネットワーク接続 ウィンドウが表示されます。詳細は 「nm-connection-editor を使用した一般的な設定オプション」 を参照してください。
- + (プラス) ボタンをクリックします。Choose a Connection Type メニューが開きます。
IPsec ベースの VPN
オプションを選択します。
3.4.9. GUI を使用したモバイルブロードバンド接続の設定
- 2G: GPRS (General Packet Radio Service)、EDGE (Enhanced Data Rates for GSM Evolution)、または CDMA (Code Division Multiple Access)。
- 3G: UMTS (Universal Mobile Telecommunications System)、HSPA (High Speed Packet Access)、または EVDO (EVolution Data-Only)。
3.4.9.1. nm-connection-editor を使用したモバイルブロードバンド接続の設定
新しいモバイルブロードバンド接続の追加
手順
- 端末に nm-connection-editor と入力します。ネットワーク接続 ウィンドウが表示されます。詳細は 「nm-connection-editor を使用した一般的な設定オプション」 を参照してください。
- + (プラス) ボタンをクリックします。Choose a Connection Type メニューが開きます。
- Set up a Mobile Broadband Connection アシスタントを開きます。をクリックして、
- Create a connection for this mobile broadband device で、接続で使用する 2G または 3G 対応デバイスを選択します。ドロップダウンメニューが使用できない場合は、システムがモバイルブロードバンドの機能を持ったデバイスを検出できなかったことを示します。この場合、Cancel をクリックし、モバイルブロードバンド対応のデバイスが接続されており、コンピューターによって認識されていることを確認してから、この手順を再試行してください。続行 ボタンをクリックします。
- 一覧からサービスプロバイダーが置かれている国を選択し、Continue ボタンをクリックします。
- リストからプロバイダーを選択するか、手動で入力します。続行 ボタンをクリックします。
- ドロップダウンメニューから請求プランを選んで、Access Point Name (APN) が正しいか確認します。続行 ボタンをクリックします。
- 設定を確認して、適用 ボタンをクリックします。
- 「モバイルブロードバンドタブの設定」を参照して、モバイルブロードバンド特有の設定を編集します。
既存のモバイルブロードバンド接続を編集する
手順
- 端末に nm-connection-editor と入力します。ネットワーク接続 ウィンドウが 表示されます。
- Mobile Broadband タブを選択します。
- 編集する接続を選択し、歯車アイコンをクリックします。詳細は、「nm-connection-editor を使用した一般的な設定オプション」を参照してください。
- 「モバイルブロードバンドタブの設定」を参照して、モバイルブロードバンド特有の設定を編集します。
モバイルブロードバンドタブの設定
- Number
- GSM ベースのモバイルブロードバンドネットワークでの PPP 接続を確立するためにダイアルする番号です。このフィールドは、ブロードバンドデバイスの初期インストールの際に自動設定されている場合があります。通常、このフィールドは空白のままにして、代わりに APN を入力できます。
- Username
- ネットワークでの認証に使用するユーザー名を記入します。一部のプロバイダーは、ユーザー名を提供しないことや、ネットワーク接続の時点でユーザー名を受け付けたりすることがあります。
- Password
- ネットワークで認証に使用するパスワードを記入します。一部のプロバイダーはパスワードを提供しなかったり、またはすべてのパスワードを受け付けたりします。
- APN
- GSM ベースのネットワークとの接続を確立するために使用する Access Point Name (APN) を記入します。これは以下の項目を決定するので、正しい APN を記入することが重要になります。
- ネットワーク使用量についてユーザーが請求される方法
- ユーザーがインターネット、イントラネット、サブネットワークにアクセスできるかどうか。
- ネットワーク ID
- ネットワーク ID を入力すると、NetworkManager は、デバイスが特定のネットワークにのみ登録するように強制します。これにより、ローミングを直接に制御できない時に接続がローミングしないようにします。
- Type
- any: デフォルト値の Any では、モデムは最速のネットワークを選択します。3G (UMTS/HSPA): 接続に 3G ネットワーク技術のみを使用するように強制します。2G (GPRS/EDGE): 接続に 2G ネットワーク技術のみを使用するように強制します。prefer 3G (UMTS/HSPA) - HSPA や UMTS などの 3G 技術を使用して最初に接続を試み、障害時にのみ GPRS または EDGE にフォールバックします。prefer 2G (GPRS/EDGE) - まず、GPRS や EDGE などの 2G 技術を使用して接続しようとし、障害時にのみ HSPA または UMTS にフォールバックします。
- ホームネットワークが使用できない場合にローミングを許可
- ホームネットワークからローミングに移行せずに NetworkManager が接続を終了するようにするには、このボックスをオフにします。ボックスがオンになっていると、NetworkManager は、ホームネットワークからローミングに移行して適切な接続を維持しようとします。その逆も同様です。
- PIN
- デバイスの SIM (Subscriber Identity Module)が PIN (PersonIdentification Number)でロックされている場合は、PIN を入力して、NetworkManager がデバイスのロックを解除できるようにします。デバイスを使用するために PIN が必要な場合は、NetworkManager は SIM のロックを解除する必要があります。
APN
、Network ID
、または Type
オプションは含まれません。
新規 (または修正した) 接続を保存して他の設定を行う
3.4.10. GUI を使用して DSL 接続の設定
3.4.10.1. nm-connection-editor を使用した DSL 接続の設定
新しい DSL 接続の追加
手順
- 端末に nm-connection-editor と入力します。ネットワーク接続 ウィンドウが表示されます。詳細は 「nm-connection-editor を使用した一般的な設定オプション」 を参照してください。
- + (プラス) ボタンをクリックします。
- 接続の種類の選択 リストが表示されます。
- DSL Connection 1の編集 ウィンドウが表示されます。
既存の DSL 接続を編集する
手順
- 端末に nm-connection-editor と入力します。ネットワーク接続 ウィンドウが 表示されます。
- 編集する接続を選択し、歯車アイコンをクリックします。詳細は、「nm-connection-editor を使用した一般的な設定オプション」を参照してください。
DSL タブの設定
- Username
- サービスプロバイダー認証で使用するユーザー名を入力します。
- サービス
- サービスプロバイダーからの指示がない限り、空白のままにします。
- Password
- サービスプロバイダーから提供されたパスワードを入力します。
新規 (または修正した) 接続を保存して他の設定を行う
3.5. ifcfg ファイルを使用した IP ネットワークの設定
ifcfg
ファイルを編集して、ネットワークインターフェイスを手動で設定できます。
ifcfg-name
です。接尾辞 name は、設定ファイルが制御するデバイスの名前を指します。通常、ifcfg
ファイルの接尾辞は、設定ファイル自体の DEVICE ディレクティブが指定する文字列と同じです。
ifcfg ファイルを使用した静的ネットワーク設定によるインタフェースの設定
ifcfg
ファイルを使用して静的ネットワークでインターフェイスを設定するには、enp1s0
という名前のインターフェイスに対して、/etc/sysconfig/network-scripts/
ディレクトリーに ifcfg-enp1s0
という名前のファイルを作成します。これには以下が含まれます。
IPv4
設定の場合DEVICE=enp1s0 BOOTPROTO=none ONBOOT=yes PREFIX=24 IPADDR=10.0.1.27
IPv6
設定の場合DEVICE=enp1s0 BOOTPROTO=none ONBOOT=yes IPV6INIT=yes IPV6ADDR=2001:db8::2/48
これは ipcalc によって自動的に計算されるため、ネットワークまたはブロードキャストアドレスを指定する必要はありません。IPv6
の ifcfg 設定オプションの詳細は、『nm-settings-ifcfg-rh(5)』 の man ページを参照してください。
ifcfg ファイルを使用した動的ネットワーク設定によるインタフェースの設定
ifcfg
ファイルを使用して動的ネットワーク設定で em1 という名前のインターフェイスを設定するには、次のコマンドを実行します。
/etc/sysconfig/network-scripts/
ディレクトリーに、以下のようなifcfg-em1
という名前のファイルを作成します。DEVICE=em1 BOOTPROTO=dhcp ONBOOT=yes
DHCP
サーバーに別のホスト名を送信するようにインターフェイスを設定するには、ifcfg
ファイルに以下の行を追加します。DHCP_HOSTNAME=hostname
DHCP
サーバーに別の完全修飾ドメイン名(FQDN)を送信するようにインターフェイスを設定するには、ifcfg
ファイルに以下の行を追加します。DHCP_FQDN=fully.qualified.domain.name
注記指定したifcfg
ファイルでは、DHCP_HOSTNAME または DHCP_FQDN のいずれかのディレクティブ 1 つのみを使用してください。DHCP_HOSTNAME と DHCP_FQDN の両方が指定されている場合は、後者のみが使用されます。- 特定の
DNS
サーバーを使用するようにインターフェイスを設定するには、ifcfg
ファイルに以下の行を追加します。PEERDNS=no DNS1=ip-address DNS2=ip-address
ip-address は、DNS
サーバーのアドレスです。これにより、ネットワークサービスが指定されたDNS
サーバーで/etc/resolv.conf
を更新します。DNS
サーバーアドレスは 1 つだけ必要です。もう 1 つのアドレスは任意です。 ifcfg
ファイルで静的ルートを設定するには、「ifcfg ファイルでの静的ルートの設定」 を参照してください。デフォルトでは、インターフェイス設定ファイルでBOOTPROTO
をdhcp
に設定してアドレスを自動的に取得するようにプロファイルが設定されている場合、NetworkManager はDHCP
クライアントである dhclient を呼び出します。DHCP
が必要な場合は、インターフェイス上のすべてのインターネットプロトコル(IPv4
およびIPv6
)に対して dhclient のインスタンスが開始されます。NetworkManager が実行していない場合や、インターフェイスを管理していない場合は、必要に応じて従来のネットワークサービスが dhclient のインスタンスを呼び出します。動的な IP アドレスの詳細は、「静的 IP アドレス指定と動的 IP アドレス指定の比較」を参照してください。- 設定を適用するには、以下を行います。
- 更新した接続ファイルを再読み込みします。
# nmcli connection reload
- 接続を再度有効にします。
# nmcli connection up connection_name
3.5.1. ifcfg ファイルを使用したシステム全体およびプライベート接続プロファイルの管理
ifcfg
ファイルの USERS
ディレクティブに対応します。USERS
ディレクティブが存在しない場合、ネットワークプロファイルはすべてのユーザーが利用できます。たとえば、ifcfg
ファイルの以下のコマンドは、リストされているユーザーだけが接続を利用できるようにします。 USERS="joe bob alice"
USERCTL
ディレクティブを設定して、デバイスを管理できます。
- yes を設定すると、
root
以外のユーザーはこのデバイスを制御できます。 - を設定し ない と、
root
以外のユーザーがこのデバイスを制御することはでき ません。
3.6. ip コマンドを使用した IP ネットワークの設定
man ip (8)
ページに記載されています。Red Hat Enterprise Linux 7 におけるパッケージ名は、iproute となります。必要に応じて、以下のようにバージョン番号を確認して、ip ユーティリティーがインストールされていることを確認できます。
~]$ ip -V
ip utility, iproute2-ss130716
ip link set ifname down
IFF_UP
状態に設定し、カーネルのスコープから有効にします。これは、initscripts の ifup ifname コマンドまたは NetworkManager のデバイスのアクティブ化状態とは異なります。実際、NetworkManager は、インターフェイスが現在切断されている場合でも常にインターフェイスを設定します。nmcli ツールを使用してデバイスを切断しても、IFF_UP
フラグは削除されません。このようにして、NetworkManager はキャリアの状態に関する通知を受け取ります。
ifcfg
ファイル)を利用するか、スクリプトにコマンドを追加します。
IP
アドレスを割り当てることができます。 ip addr [ add | del ] address dev ifname
ip コマンドを使って静的アドレスを割り当てる
IP
アドレスをインターフェイスに割り当てるには、以下を実行します。
~]# ip address add 10.0.0.3/24 dev enp1s0 You can view the address assignment of a specific device: ~]# ip addr show dev enp1s0 2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether f0:de:f1:7b:6e:5f brd ff:ff:ff:ff:ff:ff inet 10.0.0.3/24 brd 10.0.0.255 scope global global enp1s0 valid_lft 58682sec preferred_lft 58682sec inet6 fe80::f2de:f1ff:fe7b:6e5f/64 scope link valid_lft forever preferred_lft foreverその他の例およびコマンドオプションは、man ページの
ip-address (8)
を参照してください。
ip コマンドを使って複数のアドレスを設定する
~]# ip address add 192.168.2.223/24 dev enp1s0 ~]# ip address add 192.168.4.223/24 dev enp1s0 ~]# ip addr 3: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 52:54:00:fb:77:9e brd ff:ff:ff:ff:ff:ff inet 192.168.2.223/24 scope global enp1s0 inet 192.168.4.223/24 scope global enp1s0
ip (8)
を参照してください。
3.7. カーネルコマンドラインから IP ネットワークの設定
- dracut ユーティリティーをインストールします。dracut の使用に関する詳細は、『Red Hat Enterprise Linux System Administrator's Guide』を参照してください。
- カーネルコマンドラインの
ip
オプションを使用して、設定を行います。ip<client-IP-number>:[<server-id>]:<gateway-IP-number>:<netmask>:<client-hostname>:<interface>:{dhcp|dhcp6|auto6|on|any|none|off}
以下に例を示します。DHCP
: DHCP 設定dhpc6
: DHCP IPv6 設定auto6
- 自動 IPv6 設定で
、any
: カーネルで利用可能なプロトコル(デフォルト)none
、off
- 自動設定なし、静的ネットワーク設定
ip=192.168.180.120:192.168.180.100:192.168.180.1:255.255.255.0::enp1s0:off
- ネームサーバーの設定を定義します。
nameserver=srv1 [nameserver=srv2 [nameserver=srv3 […]]]
/etc/sysconfig/network-scripts/
ファイルにコピーできる新しい ifcfg
ファイルを生成します。
3.8. IGMP で IP マルチキャストの有効化
~]$ ip maddr show dev br0
8: br0
inet 224.0.0.1
inet6 ff02::1
inet6 ff01::1
[output truncated]
MULTICAST
文字列を見つけます。以下に例を示します。
~]$ ip link show br0 8: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT qlen 1000 link/ether 6c:0b:84:67:fe:63 brd ff:ff:ff:ff:ff:ff
~]# ip link set multicast off dev br0 ~]$ ip link show br0 8: br0: <BROADCAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT qlen 1000 link/ether 6c:0b:84:67:fe:63 brd ff:ff:ff:ff:ff:ff
MULTICAST
文字列がない場合は、マルチキャストが無効になっていることを示します。
~]# ip link set multicast on dev br0 ~]$ ip link show br0 8: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT qlen 1000 link/ether 6c:0b:84:67:fe:63 brd ff:ff:ff:ff:ff:ff
ip (8)
man ページを参照してください。
/proc/net/igmp
ファイルを参照してください。
~]$ cat /proc/net/igmp
firewalld
で有効になっていません。ゾーンで IGMP を有効にするには、以下を行います。
~]# firewall-cmd --zone=zone-name --add-protocol=igmp
3.9. 関連情報
インストールされているドキュメント
- 『ip(8)』 man ページ: ip ユーティリティーのコマンド構文を説明しています。
- 『nmcli(1)』 の man ページ: NetworkManager のコマンドラインツールを説明しています。
- 『nmcli-examples(5)』 man ページ: nmcli コマンドの例を説明します。
- 『nm-settings(5)』 man ページ: NetworkManager のプロパティーとその設定を説明しています。
- 『nm-settings-ifcfg-rh(5)』 man ページ: ifcfg-rh 設定プラグインを説明しています。
オンラインドキュメント
- 『Red Hat Enterprise Linux 7 セキュリティーガイド』
IPsec
ベースの VPN とその設定について説明します。DNSSEC を使用した認証済みDNS
クエリーの使用を説明します。- 『RFC 1518』: Classless Inter-Domain Routing (CIDR)
- 可変長サブネットを含む CIDR アドレス割り当ておよび集約戦略を説明しています。
- 『RFC 1918』: Address Allocation for Private Internets
- は、プライベート使用用に予約されている
IPv4
アドレスの範囲を説明します。 - 『RFC 3330』: Special-Use IPv4 Addresses
- Internet Assigned Numbers Authority (IANA)によって割り当てられたグローバルおよび他の特殊な
IPv4
アドレスブロックを説明します。
第4章 静的ルートおよびデフォルトゲートウェイの設定
4.1. ルーティングおよびゲートウェイの概要
DHCP
によって設定されている場合、通常はアップストリームネットワークまたはインターネットにつながるゲートウェイのアドレスが割り当てられます。このゲートウェイは、通常はデフォルトのゲートウェイと呼ばれます。これは、システムがこれ以上のルールを認識していない場合 (ルーティングテーブルに存在しない場合)、使用するゲートウェイとなるためです。ネットワーク管理者は、ネットワーク内の最初または最後のホスト IP
アドレスをゲートウェイアドレスとして使用します(例:192.168.10 .1
または 192.168.10.254
)。ネットワーク自体を表すアドレス(この例では 192 .
168.10.0)と、サブネットのブロードキャストアドレス(この例では 192. 168.10.255)と混同しないようにしてください
。デフォルトゲートウェイは、従来のネットワークルーターです。デフォルトゲートウェイは、ローカルネットワーク宛ではなく、ルーティングテーブルで優先ルートが指定されていないすべてのトラフィックに適用されます。
4.2. nmcli を使った静的ルートの設定
- nmcli コマンドライン
- nmcli インタラクティブ接続エディター
例4.1 nmcli を使った静的ルートの設定
~]# nmcli connection modify enp1s0 +ipv4.routes "192.168.122.0/24 10.10.10.1"
これにより、192 .
168.22. 0/24
サブネットへのトラフィックが 10.10.10.1 のゲートウェイに転送されます。
例4.2 nmcli をエディター使用した静的ルートの設定
~]$ nmcli con edit ens3 ===| nmcli interactive connection editor |=== Editing existing '802-3-ethernet' connection: 'ens3' Type 'help' or '?' for available commands. Type 'describe [<setting>.<prop>]' for detailed property description. You may edit the following settings: connection, 802-3-ethernet (ethernet), 802-1x, dcb, ipv4, ipv6, tc, proxy nmcli> set ipv4.routes 192.168.122.0/24 10.10.10.1 nmcli> save persistent Connection 'ens3' (23f8b65a-8f3d-41a0-a525-e3bc93be83b8) successfully updated. nmcli> quit
4.3. GUI を使用した静的ルートの設定
- ルート
IP
アドレスを入力します。ネットマスク - 上記で入力したIP
アドレスのネットマスクまたは接頭辞長。IP
アドレス。- Automatic が ON の場合、
RA
またはDHCP
からのルートが使用されますが、追加の静的ルートを追加することもできます。OFF の場合は、定義した静的ルートのみが使用されます。 - Use this connection only for resources on its network (この接続はネットワーク上のリソースのためだけに使用)
- このチェックボックスを選択すると、この接続はデフォルトルートになりません。よくある例としては、本社への接続が VPN トンネルや専用線で、インターネット向けトラフィックにこの接続を使用しない場合が挙げられます。このオプションを選択すると、この接続で自動的に学習したルートを使用することが明確なトラフィックか、手動で入力したトラフィックのみがこの接続を経由します。
4.4. ip コマンドでの静的ルートの設定
IP
ルーティングテーブルを表示するには、ip route コマンドを使用します。以下に例を示します。
~]$ ip route default via 192.168.122.1 dev ens9 proto static metric 1024 192.168.122.0/24 dev ens9 proto kernel scope link src 192.168.122.107 192.168.122.0/24 dev enp1s0 proto kernel scope link src 192.168.122.126
ip route [ add | del | change | append | replace ] destination-address
の ip-route (8)
man ページを参照してください。
~]# ip route add 192.0.2.1 via 10.0.0.1 [dev
interface]
IP
アドレスで、10.0.0.1 はネクストホップアドレスで、interface はネクストホップにつながる終了インターフェイスです。
IP
アドレスの範囲を表す IP
アドレス)、以下を実行します。
~]# ip route add 192.0.2.0/24 via 10.0.0.1 [dev
interface]
192.0.2.0 はドット付き 10 進表記の宛先ネットワークの IP
アドレスで、/24 はネットワーク接頭辞です。ネットワーク接頭辞は、サブネットマスク内の有効なビット数です。ネットワークアドレスにスラッシュ、ネットワーク接頭辞長を続けるこの形式は、classless inter-domain routing (CIDR) 表記と呼ばれることもあります。
~]# ip route del 192.0.2.1
/etc/sysconfig/network-scripts/
ディレクトリーに route-interface
ファイルを作成して設定します。たとえば、enp1s0 インターフェイスの静的ルートは、/etc/sysconfig/network-scripts/route-enp1s0
ファイルに保存されます。route-interface
ファイルに加えた変更は、ネットワークサービスまたはインターフェイスを再起動するまで反映されません。route-interface
ファイルには、2 つの形式があります。
- ip コマンド引数については、「IP コマンド引数形式を使用した静的ルート」 を参照してください。および
- network/netmask ディレクティブは、「Network または Netmask のディレクティブ形式を使用した静的ルート」を参照してください。
ip route
コマンドの詳細は、ip-route (8) man ページを参照してください。
4.5. ifcfg ファイルでの静的ルートの設定
/etc/sysconfig/network-scripts/
ディレクトリーのインターフェイスごとの設定ファイルに配置する必要があります。ファイル名は、route-interface
の形式にする必要があります。設定ファイルで使用するコマンドの種類は 2 つあります。
IP コマンド引数形式を使用した静的ルート
/etc/sysconfig/network-scripts/route-enp1s0
)で必要な場合は、最初の行でデフォルトゲートウェイへのルートを定義します。これは、ゲートウェイが DHCP
経由で設定されておらず、/etc/sysconfig/network
ファイルでグローバルに設定されていない場合のみ必要です。
default via 192.168.1.1 dev
interface
IP
アドレスです。interface は、デフォルトゲートウェイに接続されている、または到達可能なインターフェイスになります。dev
オプションは省略できます。これはオプションです。この設定は、/etc/sysconfig/network
ファイルの設定よりも優先されることに注意してください。
10.10.10.0/24 via 192.168.1.1 [dev
interface]
IP
アドレスです。ネクストホップアドレス の方が好ましいですが、出口インターフェイスのアドレスでも機能します。「ネクストホップ」とは、ゲートウェイやルーターなどリンクのリモート側を意味します。dev
オプションを使用して、終了 インターフェイス を指定できますが、必須ではありません。必要に応じて静的ルートを追加します。
route-interface
ファイルの例です。デフォルトゲートウェイは 192.168.0.1
です。 enp1s0 リースされた行または WAN 接続は 192.168.0.10
で利用できます。2 つの静的ルートは、10.10.10.0/ 24
ネットワークおよび 172.16.1.10/32
ホストに到達するためのものです。
default via 192.168.0.1 dev enp1s0 10.10.10.0/24 via 192.168.0.10 dev enp1s0 172.16.1.10/32 via 192.168.0.10 dev enp1s0
192.168.0.0/24
ネットワークに送信されるパケットは、そのネットワークに接続されているインターフェイスに送信されます。10.10.10.0/ 24
ネットワークおよび 172.16.1.10/32
ホストに送信されるパケットは 192. 168
.0.10 に転送されます。既知でないリモートネットワークに向かうパケットはデフォルトゲートウェイを使用するので、デフォルトルートが適切でない場合は、静的ルートはリモートネットワークもしくはホスト用のみに設定すべきです。ここでのリモートとは、システムに直接繋がれていないネットワークやホストを指します。
IPv6
設定の場合、ip
ルート形式の route6-interface
ファイルの例:
2001:db8:1::/48 via 2001:db8::1 metric 2048 2001:db8:2::/48
ip route
形式を使用して、送信元アドレスを指定できます。以下に例を示します。
10.10.10.0/24 via 192.168.0.10 src 192.168.0.2
DHCP
によって割り当てられており、同じメトリックを持つ同じゲートウェイが設定ファイルで指定されている場合、起動時またはインターフェイスの起動時にエラーが発生します。"RTNETLINK answers: File exists" というエラーメッセージが表示される可能性があります。このエラーは無視できます。
Network または Netmask のディレクティブ形式を使用した静的ルート
route-interface
ファイルに network/netmask ディレクティブ形式を使用することもできます。以下は、ネットワーク/ネットマスク形式のテンプレートで、後に説明が続きます。
ADDRESS0=10.10.10.0 NETMASK0=255.255.255.0 GATEWAY0=192.168.1.1
ADDRESS0=10.10.10.
0 は、到達するリモートネットワークまたはホストのネットワークアドレスです。NETMASK0=255
で定義されているネットワークアドレスのネットマスクです。.255.255
.0 は、ADDRESS0= 10.10.10.0GATEWAY0=192
に到達するために使用できるデフォルトゲートウェイまたは.168.1.1
は、ADDRESS0= 10.10.10.0IP
アドレスです。
route-interface
ファイルの例です。デフォルトゲートウェイは 192.168.0.1
ですが、リースされた行または WAN 接続は 192.168.0 .10
で利用できます。2 つの静的ルートは、10
.10.10.0/24 および 172.16.1.0/24
ネットワークに到達するためのものです。
ADDRESS0=10.10.10.0 NETMASK0=255.255.255.0 GATEWAY0=192.168.0.10 ADDRESS1=172.16.1.10 NETMASK1=255.255.255.0 GATEWAY1=192.168.0.10
ADDRESS0
、ADDRESS1
、ADDRESS2
などです。
4.5.1. ポリシールーティングについて
Policy-routing
はソースルーティングとも呼ばれ、より柔軟なルーティング設定のためのメカニズムです。ルーティングの決定は、通常、パッケージの宛先 IP アドレスに基づいて行われます。ポリシールーティング
により、ソース IP アドレス、ソースポート、プロトコルタイプなどの他のルーティングプロパティーに基づいてルートをより柔軟に選択できます。ルーティングテーブルは、ネットワークに関するルート情報を保存します。これらは、/etc/iproute2/rt_tables
ファイルに設定できる数値または名前で識別されます。デフォルトのテーブルは 254
で識別されます。policy-routing
を使用すると、ルールも必要になります。ルールは、ルーティングテーブルを選択するために使用され、パケットの特定のプロパティーに基づいています。
ip route
形式は、複数のルーティングテーブルを指定する既存のポリシーベースのルーティング設定を定義するために使用できます。
10.10.10.0/24 via 192.168.0.10 table 1 10.10.10.0/24 via 192.168.0.10 table 2
IPv4
の場合は /etc/sysconfig/network-scripts/rule-enp1s0
ファイル、または IPv6
の場合は /etc/sysconfig/network-scripts/rule6-enp1s0
ファイルに編集します。
IPv4
の場合はipv4.route-table
およびIPv6
の場合はipv6.route-table
DHCP
、autoconf6
、DHCP6
からのすべてのルートがそのテーブルに配置されます。また、アドレスをすでに設定しているサブネットのルートはすべて、対応するルーティングテーブルに追加します。たとえば、192.168.1.10/24 アドレスを設定する場合は、ipv4.route-table に 192.168.1.0/24 サブネットを追加します。
policy-routing
ルールの詳細は、man ページの ip-rule (8)
を参照してください。ルーティングテーブルは、man ページの ip-route (8)
を参照してください。
4.6. デフォルトゲートウェイの設定
/etc/sysconfig/network
ファイルを解析し、「up」 にあるインターフェイスのネットワークインターフェイス ifcfg
ファイルを解析するネットワークスクリプトによって決定されます。ifcfg
ファイルは数値順に解析され、最後に読み取られる GATEWAY ディレクティブはルーティングテーブルのデフォルトルートを作成するために使用されます。
/etc/sysconfig/network
ファイルの使用は非推奨となり、ゲートウェイの指定はインターフェイスごとの設定ファイルでのみ行う必要があります。
DHCP
によって割り当てられるのが最適です。NetworkManager のゲートウェイへのアクセスに使用する終了インターフェイスの選択に影響を与える必要がある特別なケースでは、デフォルトゲートウェイに送られないインターフェイスに対して ifcfg
ファイルで DEFROUTE=no コマンドを利用します。
第5章 ネットワーク接続設定の設定
5.1. 802.3 リンクセッティングの設定
802-3-ethernet.auto-negotiate
802-3-ethernet.speed
802-3-ethernet.duplex
- リンクネゴシエーションを無視する
- オートネゴシエーションを強制的にアクティブ化する
- リンク設定
speed
およびduplex
を手動で設定する
リンクネゴシエーションを無視する
802-3-ethernet.auto-negotiate = no 802-3-ethernet.speed = 0 802-3-ethernet.duplex = NULL
auto-negotiate
パラメーターが no
に設定されていても、speed
および duplex
の値が設定されていない場合、これはオートネゴシエーションが無効になっているわけではありません。
オートネゴシエーションを強制的にアクティブ化する
802-3-ethernet.auto-negotiate = yes 802-3-ethernet.speed = 0 802-3-ethernet.duplex = NULL
リンクの speed および duplex を手動で設定する
speed
および duplex
設定を手動で設定できます。
speed
および duplex
を手動で設定するには、上記のパラメーターを以下のように設定します。
802-3-ethernet.auto-negotiate = no 802-3-ethernet.speed = [speed in Mbit/s] 802-3-ethernet.duplex = [half |full]
speed
と duplex
の値の両方を設定してください。設定しないと、NetworkManager はリンク設定を更新しません。
- nmcli ツール
- nm-connection-editor ユーティリティー
nmcli ツールを使用した 802.3 リンク設定の設定
手順
- enp1s0 デバイス用に、新規イーサネット接続を作成します。
- 希望の 802.3 リンクセッティングを設定します。詳細は、を参照してください。 「802.3 リンクセッティングの設定」たとえば、
speed
オプション 100 Mbit/s およびduplex
を full に手動で設定するには、次のコマンドを実行します。nmcli connection add con-name MyEthernet type ethernet ifname enp1s0 \ 802-3-ethernet.auto-negotiate no \ 802-3-ethernet.speed 100 \ 802-3-ethernet.duplex full
nm-connection-editor による 802.3 リンク設定の設定
手順
- 端末に nm-connection-editor と入力します。
- 編集するイーサネット接続を選択し、歯車アイコンをクリックして、編集ダイアログに移動します。詳細は、「nm-connection-editor を使用した一般的な設定オプション」を参照してください。
- 希望のリンクネゴシエーションを選択します。
ignore
: リンク設定はスキップされます(デフォルト)。Automatic
: デバイスに対してリンクオートネゴシエーションが強制されます。Manual
:Speed
オプションおよびDuplex
オプションを指定して、リンクネゴシエーションを強制することができます。
図5.1 nm-connection-editor を使用した 802.3 リンクセッティングの設定
5.2. 802.1X セキュリティーの設定
DHCP
サーバーは、許可されていないユーザーに IP
アドレスをリースしないように設定されていましたが、さまざまな理由から、これは実用的ではなく、安全ではないため、推奨されなくなりました。代わりに、802.1X セキュリティーを使用して、ポートベースの認証を通じて、論理的に安全なネットワークを確保します。
5.2.1. nmcli を使用した Wi-Fi 用の 802.1X セキュリティーの設定
手順
- 認証された
key-mgmt
(キー管理)プロトコルを設定します。セキュアなwifi
接続の鍵設定メカニズムを設定します。プロパティーの詳細は 『nm-settings(5)』 の man ページを参照してください。 - 802-1x 認証設定の設定TLS (Transport Layer Security) 認証については、「TLS の設定」を参照してください。
802-1x 認証設定 | 名前 | |
---|---|---|
802-1x.identity | アイデンティティー | |
802-1x.ca-cert | CA 証明書 | |
802-1x.client-cert | ユーザー証明書 | |
802-1x.private-key | 秘密鍵 | |
802-1x.private-key-password | 秘密鍵のパスワード |
nmcli c add type wifi ifname wlo61s0 con-name 'My Wifi Network' \ 802-11-wireless.ssid 'My Wifi' \ 802-11-wireless-security.key-mgmt wpa-eap \ 802-1x.eap tls \ 802-1x.identity identity@example.com \ 802-1x.ca-cert /etc/pki/my-wifi/ca.crt \ 802-1x.client-cert /etc/pki/my-wifi/client.crt \ 802-1x.private-key /etc/pki/my-wifi/client.key \ 802-1x.private-key-password s3cr3t
5.2.2. nmcli を使用した有線用の 802.1X セキュリティーの設定
有線
接続を設定するには、ワイヤレス
接続と同じ手順に従います( 802-11-wireless.ssid
および 802-11-wireless-security.key-mgmt
設定を除く)。
5.2.3. GUI を使用した Wi-Fi 用の 802.1X セキュリティーの設定
手順
- Network ウィンドウを開きます( 「control-center GUI を使用したネットワーク接続」を参照してください)。
- 右側のメニューから ワイヤレス ネットワークインターフェイスを選択します。必要に応じて、電源ボタンを ON に設定し、ハードウェアスイッチがオンであることを確認します。
- 802.1X セキュリティーを設定する新規接続の接続名を選択するか、既存の接続プロファイルのギアのアイコンをクリックします。新規接続の場合、必要な認証手順を完了して接続を完了させてからギアのアイコンをクリックします。
- Security を選択します。以下の設定オプションが利用できます。
- Security
- Password
- 認証プロセスで使用するパスワードを入力します。
- ドロップダウンメニューから、、 、または のセキュリティー方法のいずれかを選択します。
5.2.4. nm-connection-editor を使用した有線用の 802.1X セキュリティーの設定
手順
- 端末に nm-connection-editor を入力します。
~]$ nm-connection-editor
ネットワーク接続 ウィンドウが
表示されます。 - 編集するイーサネット接続を選択し、歯車アイコンをクリックしてください。「nm-connection-editor を使用した有線接続の設定」を参照してください。
- セキュリティー を 選択 し、電源ボタンを ON に設定して、設定を有効にします。
- 以下のいずれかの認証方法を選択します。
- Transport Layer Security には TLS を選択し、「TLS の設定」 に進みます。
- FAST を選択して Flexible Authentication through Secure Tunneling を選択し、「Tunneled TLS の設定」 に進みます。
- Tunneled Transport Layer Security (TTLS または EAP-TTLS として知られる)には Tunneled TLS を選択し、「Tunneled TLS の設定」 に進みます。
- Protected Extensible Authentication Protocol には Protected EAP (PEAP) を選択し、「Protected EAP (PEAP) の設定」 に進みます。
TLS の設定
- アイデンティティー
- このサーバーの識別子を入力します。
- ユーザー証明書
- 個人用 X.509 証明書ファイルをブラウズして選択します。これは、Distinguished Encoding Rules (DER) または Privacy Enhanced Mail (PEM) でエンコードされたものです。
- CA 証明書
- X.509 認証局 証明書ファイルをブラウズして選択します。これは、Distinguished Encoding Rules (DER) または Privacy Enhanced Mail (PEM) でエンコードされたものです。
- 秘密鍵
- プライベートキーをブラウズして選択します。これは、Distinguished Encoding Rules (DER)、Privacy Enhanced Mail (PEM)、または Personal Information Exchange Syntax Standard (PKCS #12) でエンコードされたものです。
- 秘密鍵のパスワード
- Private key フィールドに秘密鍵のパスワードを入力します。Show password を選択して、入力時にパスワードを表示します。
FAST の設定
- Anonymous Identity
- このサーバーの識別子を入力します。
- PAC プロビジョニング
- チェックボックスを選択してから、 、および both から選択し 。
- PAC file
- クリックしてブラウズし、protected access credential (PAC) ファイルを選択します。
- Inner authentication
- Username
- 認証プロセスで使用するユーザー名を入力します。
- Password
- 認証プロセスで使用するパスワードを入力します。
Tunneled TLS の設定
- Anonymous identity
- この値は、非暗号化 ID として使用されます。
- CA 証明書
- クリックしてブラウズし、認証局 (CA) の証明書を選択します。
- Inner authentication
- Username
- 認証プロセスで使用するユーザー名を入力します。
- Password
- 認証プロセスで使用するパスワードを入力します。
Protected EAP (PEAP) の設定
- Anonymous Identity
- この値は、非暗号化 ID として使用されます。
- CA 証明書
- クリックしてブラウズし、認証局 (CA) の証明書を選択します。
- PEAP version
- 使用する、保護された EAP のバージョン。Automatic、0、1 のいずれか。
- Inner authentication
- Username
- 認証プロセスで使用するユーザー名を入力します。
- Password
- 認証プロセスで使用するパスワードを入力します。
5.3. wpa_supplicant および NetworkManagerでの MACsec
の使用
Media Access Control Security
(MACsec
、IEEE 802.1AE)は、LAN 内のすべてのトラフィックを GCM-AES-128 アルゴリズムで暗号化および認証します。MACsec
は、IP
だけでなく、ARP (Address Resolution Protocol)、ND (Neighbor Discovery)、または DHCP
も保護できます。IPsec
はネットワーク層(レイヤー 3)および SSL
または TLS
上でアプリケーション層(レイヤー 7)で動作しますが、MACsec
はデータリンク層(レイヤー 2)で動作します。MACsec
と他のネットワーク層のセキュリティープロトコルを組み合わせて、これらの標準が提供するさまざまなセキュリティー機能を利用します。
MACsec
を有効にするには、以下を実行します。
手順
- CAK/CKN ペアを作成します。たとえば、次のコマンドにより、16 バイトの鍵が 16 進数表記で生成されます。
~]$ dd if=/dev/urandom count=16 bs=1 2> /dev/null | hexdump -e '1/2 "%02x"'
wpa_supplicant.conf
設定ファイルを作成し、次の行を追加します。ctrl_interface=/var/run/wpa_supplicant eapol_version=3 ap_scan=0 fast_reauth=1 network={ key_mgmt=NONE eapol_flags=0 macsec_policy=1 mka_cak=0011... # 16 bytes hexadecimal mka_ckn=2233... # 32 bytes hexadecimal }
前の手順の値を使用して、wpa_supplicant.conf
設定ファイルのmka_cak
行とmka_ckn
行を完了します。詳細は、man ページのwpa_supplicant.conf (5)
を参照してください。- wlp61s0 を使用してネットワークに接続している場合は、以下のコマンドを使用して wpa_supplicant を起動します。
~]# wpa_supplicant -i wlp61s0 -Dmacsec_linux -c wpa_supplicant.conf
wpa_supplicant.conf
ファイルを作成および編集する代わりに、nmcli コマンドを使用して、前述の手順と同じように wpa_supplicant を設定することを推奨します。以下の例では、すでに 16 バイトの 16 進数 CAK ($MKA_CAK
)と 32 バイトの 16 進数 CKN ($MKA_CKN
)があることを前提としています。
~]# nmcli connection add type macsec \ con-name test-macsec+ ifname macsec0 \ connection.autoconnect no \ macsec.parent wlp61s0 macsec.mode psk \ macsec.mka-cak $MKA_CAK \ macsec.mka-cak-flags 0 \ macsec.mka-ckn $MKA_CKN ~]# nmcli connection up test-macsec+
MACsec
ネットワークのアーキテクチャー、ユースケースシナリオ、設定例の詳細は、MACsec: a different solution to encrypt network traffic の記事を参照してください。
5.4. IPv4 設定の設定
control-center を使用した IPv4 設定の設定
手順
- Super キーを押してアクティビティーの概要に入り、Settings と 入力 して Enter を押します。次に、左側の
Network
タブを選択すると、Network 設定ツールが表示されます。「control-center を使用した新しい接続の設定」に進みます。 - 編集する接続を選択し、歯車アイコンをクリックします。
編集
ダイアログが表示されます。 - IPv4 メニューエントリーをクリックします。
IP
アドレス、DNS
、およびルート情報を入力します。IPv4 メニューエントリーは、有線、ワイヤレス、モバイルブロードバンド、VPN、DSL のいずれかを作成して変更するときに利用できます。
DHCP
を使用して DHCP
サーバーから動的 IP
アドレスを取得する場合は、アドレス を に設定するだけです。
nm-connection-editor を使用した IPV4 の方法の設定
IPv4
設定方法を説明します。
手順
- 端末に nm-connection-editor と入力します。
- 既存の接続タイプの場合は、歯車アイコンをクリックします。
図5.2 接続の編集
- IPv4 Settings をクリックします。
図5.3 IPv4 設定の設定
接続の種類別で利用可能な IPv4 方式
IPv4
接続方法のいずれかを選択できます。関連のある接続の種類に応じてすべての方式がここにリスト表示されています。
- 有線、ワイヤレス、DSL 接続の方式
IP
アドレスの割り当てにDHCP
サーバーを使用する場合は、このオプションを選択します。DHCP クライアント ID フィールドに入力する必要はありません。IP
アドレスの割り当てにDHCP
サーバーを使用しているが、DNS
サーバーを手動で割り当てたい場合は、このオプションを選択します。IP
アドレスを手動で割り当てる場合は、このオプションを選択します。DHCP
サーバーがなく、IP
アドレスを手動で割り当てない場合は、このオプションを選択します。接頭辞169.254/16
が付いたランダムなアドレスが 『RFC 3927』 に従って割り当てられます。.x.1/24
範囲のアドレスが割り当てられ、DHCP
サーバーおよびDNS
サーバーが起動し、ネットワーク アドレス変換 (NAT)を使用してシステム上のデフォルトのネットワーク接続にインターフェイスが接続されています。IPv4
は無効になっています。- モバイルブロードバンド接続の方式
IP
アドレスとDNS
サーバーを自動的に割り当てる場合は、このオプションを選択します。IP
アドレスを自動的に割り当ててもDNS
サーバーを手動で指定する場合は、このオプションを選択します。- VPN 接続の方式
IP
アドレスとDNS
サーバーを自動的に割り当てる場合は、このオプションを選択します。IP
アドレスを自動的に割り当ててもDNS
サーバーを手動で指定する場合は、このオプションを選択します。- DSL 接続の方式
IP
アドレスとDNS
サーバーを自動的に割り当てる場合は、このオプションを選択します。IP
アドレスを自動的に割り当ててもDNS
サーバーを手動で指定する場合は、このオプションを選択します。
DHCP
を使用して DHCP
サーバーから動的 IP
アドレスを取得する場合は、method を に設定するだけです。
5.5. IPv6 セッティングの設定
- メソッド
- ignore: この接続の
IPv6
設定を無視する場合は、このオプションを選択します。DNS
サーバーを手動で割り当てたい場合は、このオプションを選択します。DHCPv6
からの情報を直接要求してステートフルな設定を作成する場合は、このオプションを選択します。IP
アドレスを手動で割り当てる場合は、このオプションを選択します。 - アドレス
DNS
サーバーのコンマ区切りリストを入力します。
5.6. PPP (ポイントツーポイント) セッティングの設定
Authentication Methods
- MPPE (ポイントツーポイント暗号化) を使用
- Microsoft のポイントツーポイント暗号化プロトコル (『RFC 3078』)。
- BSD データ圧縮を許可する
- PPP BSD 圧縮プロトコル (『RFC 1977』)。
- Deflate データ圧縮を許可する
- PPP Deflate プロトコル (『RFC 1979』)。
- TCP ヘッダー圧縮を使用
- 低スピードシリアルリンク用に TCP/IP ヘッダーを圧縮します (『RFC 1144』)。
- PPP echo のパケットを送信
- ループバックテスト用の LCP Echo 要求および Echo 応答コード (『RFC 1661』)。
第6章 ホスト名の設定
6.1. ホスト名について
ホスト
名には、static、pretty、および transient の 3 つのクラスがあります。
名
で、ユーザーが選択でき、/etc/hostname
ファイルに保存されます。「一時的な」 ホスト 名
は、カーネルによって維持される動的なホスト名です。デフォルトでは static ホスト名に初期化され、その値は「localhost」になります。実行時に DHCP
または mDNS
で変更できます。「pretty」 ホスト 名
は、ユーザーに表示するためのフリーフォームの UTF8 ホスト名です。
host.example.com
などの DNS
内のマシンに使用される 完全修飾ドメイン名 (FQDN)と一致することを推奨しています。また、静的および一時的な名前は、厳密な要件ではない場合でも、7 ビットの ASCII 小文字の下位文字のみで設定され、スペースやドットはなく、DNS
ドメイン名ラベルで許可されている形式に制限することが推奨されます。ただし、これは厳密な要件ではありません。従来の仕様ではアンダースコアは禁止されているので、この使用も推奨されません。
a-z
、A-Z
、0
「-
」 9、-、「_
」、および で設定されます 「。
」 唯一の場合は、ドットで開始または終了しないようにし、それぞれに続く 2 つのドットをたどらないようにします。また、最大 64 文字までの長さも強制されます。
6.1.1. 推奨される命名プラクティス
.yourcompany
等)を公開レジスターに追加することがあります。このため、Red Hat では、プライベートネットワーク上であっても委任されていないドメイン名を使用しないことを強く推奨しています。その結果、ネットワークリソースは利用できなくなります。また、委任されていないドメイン名を使うと、DNSSEC の実装および維持がより困難になります。これは、ドメイン名の競合が DNSSEC 検証の有効化に手動の設定ペナルティーを必要とするためです。この問題の詳細は、ドメイン名の衝突に関する ICANN のよくある質問を参照してください。
6.2. テキスト形式のユーザーインターフェイス nmtui を使用したホスト名の設定
~]$ nmtui
テキストユーザーインターフェイスが表示されます。無効なコマンドがあると、使用方法に関するメッセージが表示されます。
図6.1 NetworkManager のテキスト形式ユーザーインターフェイスの開始メニュー
[D]
/etc/hostname
ファイルで静的ホスト名をクエリーして設定できます。
systemd-hostnamed
サービスを使用して、/etc/hostname
ファイルに保存される静的ホスト名の読み取りおよび書き込みを行います。このため、/etc/hostname
ファイルに対する手動の変更が NetworkManager によって自動的に取得されなくなりました。システムのホスト名は、hostnamectl ユーティリティーで変更する必要があります。また、/etc/sysconfig/network
ファイルで HOSTNAME
変数の使用が非推奨になりました。
6.3. hostnamectl を使用したホスト名の設定
6.3.1. 全ホスト名の表示
~]$ hostnamectl status
オプションが指定されていない場合、status
オプションはデフォルトで暗示されています。
6.3.2. 全ホスト名の設定
root
で以下のコマンドを実行します。
~]# hostnamectl set-hostname name
このコマンドは、pretty、static、および transient のホスト名を同様に変更します。static および transient ホスト名は、pretty ホスト名のシンプルな形式です。スペースは 「-
」 に置き換えられ、特殊文字は削除されます。
6.3.3. 特定のホスト名の設定
root
で以下のコマンドを入力します。
~]# hostnamectl set-hostname name [option...]
ここでの オプション は、-- pretty
、-- static
、および --transient
のいずれかです。
--static
オプションまたは --transient
オプションが --pretty
オプションとともに使用すると、静的および一時的なホスト名は Pretty ホスト名の形式を簡素化されます。スペースは 「-
」 に置き換えられ、特殊文字は削除されます。--pretty
オプションを使用しなければ、簡素化されることはありません。
~]# hostnamectl set-hostname "Stephen's notebook" --pretty
6.3.4. 特定のホスト名の削除
root
で以下のコマンドを関連するオプションと共に実行します。
~]# hostnamectl set-hostname "" [option...]
"" は引用符付きの 空の文字列で、オプション は --pretty
、--static
、および --transient
のいずれかです。
6.3.5. ホスト名のリモートでの変更
-H, --host
オプションを使用します。
~]# hostnamectl set-hostname -H
[username]@hostname
ここでの hostname は、設定対象となるリモートホストです。username はオプション選択になります。hostnamectl ツールは SSH
を使用してリモートシステムに接続します。
6.4. nmcli を使用したホスト名の設定
/etc/hostname
ファイルで静的ホスト名をクエリーして設定できます。
~]$ nmcli general hostname
静的ホスト名を my-server に設定するには、root
で以下のコマンドを実行します。
~]# nmcli general hostname my-server
6.5. 関連情報
hostnamectl (1)
man ページ - コマンドおよびコマンドオプションを含む hostnamectl について説明しています。hostname (1)
man ページ - hostname コマンドおよび domainname コマンドについて説明しています。hostname (5)
man ページ - ホスト名ファイル、その内容、および使用について説明します。hostname (7)
man ページ - ホスト名の解決の説明が記載されています。machine-info (5)
man ページ - ローカルマシン情報ファイルおよびそれに含まれる環境変数について説明しています。machine-id (5)
man ページ - ローカルマシン ID 設定ファイルが説明されています。systemd-hostnamed.service (8)
man ページ - hostnamectl が使用するsystemd-hostnamed
システムサービスについて説明しています。
第7章 ネットワークボンディングの設定
7.1. コントローラーおよびポートインターフェイスのデフォルト動作の理解
NetworkManager
デーモンを使用してボンディングされたポートインターフェイスを制御する場合、特に障害検索時には、以下の点に留意してください。
- コントローラーインターフェイスを起動しても、ポートインターフェイスは自動的に起動しない。
- ポートインターフェイスを起動すると、コントローラーインターフェイスは毎回、起動する。
- コントローラーインターフェイスを停止すると、ポートインターフェイスも停止する。
- ポートのないコントローラーは静的
IP
接続を開始できる。 - コントローラーにポートがない場合は、
DHCP
接続の開始時にポートを待機します。 DHCP
接続でポートを待機中のコントローラーは、キャリアを含むポートが追加されると完了する。DHCP
接続でポートを待機中のコントローラーは、キャリアをともなわないポートが追加されると待機を継続します。
7.2. テキスト形式のユーザーインターフェイス nmtui を使ったボンディングの設定
~]$ nmtui
テキストユーザーインターフェイスが表示されます。無効なコマンドがあると、使用方法に関するメッセージが表示されます。
- メニューから 接続の編集 を選択します。Add を選択すると、New Connection 画面が開きます。
図7.1 NetworkManager テキスト形式のユーザーインターフェイスのボンド接続追加メニュー
[D] - Bond を選択してから Create を選択します。ボンドの 接続の編集 画面が開きます。
図7.2 NetworkManager テキスト形式ユーザーインターフェイスでボンド接続を設定するメニュー
[D] - この時点で、ボンドにポートインターフェイスを追加する必要があります。これらを追加するには、Add を選択します。これにより、New Connection 画面が開きます。Connection のタイプを選択したら、Create ボタンを選択します。
図7.3 NetworkManager テキスト形式ユーザーインターフェイスで新規ボンドスレーブを設定するメニュー
[D] - ポートの 接続の編集 画面が表示されます。Device セクションに、必要なポートのデバイス名または MAC アドレスを入力します。必要な場合は、イーサネット ラベルの右側にある Show を選択して、ボンドの MAC アドレスとして使用するクローンの MAC アドレスを入力します。OK ボタンを選択してポートを保存します。注記MAC アドレスなしでデバイスを指定すると、Edit Connection ウィンドウが再読み込みされると Device セクションが自動的に入力されますが、デバイスが正常に見つかった場合にのみデバイスセクションが自動的に設定されます。
図7.4 NetworkManager テキスト形式ユーザーインターフェイスでボンドスレーブ接続を設定するメニュー
[D] - Slaves セクションにボンディングポートの名前が表示されます。さらにポート接続を追加する場合は、上記のステップを繰り返します。
- 設定を確認してから、OK ボタンを選択します。
図7.5 NetworkManager のテキスト形式ユーザーインターフェイスでボンドを完了
[D]
7.3. NetworkManager のコマンドラインツール nmcli を使用したネットワークボンディング
ボンド
接続を作成するには、以下のコマンドを実行します。
~]$ nmcli con add type bond ifname mybond0
Connection 'bond-mybond0' (5f739690-47e8-444b-9620-1895316a28ba) successfully added.
con-name
を指定しなかったため、接続名はインターフェイス名の前に種類を追加したものであったことに注意してください。
~]$ nmcli con add type bond ifname mybond0 bond.options "mode=balance-rr,miimon=100"
Connection 'bond-mybond0' (5f739690-47e8-444b-9620-1895316a28ba) successfully added.
- 新しいコネクションを作成します。詳細は「nmcli による接続プロファイルの作成および修正」を参照してください。
- コントローラープロパティーを
ボンド
インターフェイス名、またはコントローラー接続の名前に設定します。
~]$ nmcli con add type ethernet ifname ens3 master mybond0
Connection 'bond-slave-ens3' (220f99c6-ee0a-42a1-820e-454cbabc2618) successfully added.
ポート
インターフェイスを追加するには、新しいインターフェイスで直前のコマンドを繰り返します。以下に例を示します。
~]$ nmcli con add type ethernet ifname ens7 master mybond0
Connection 'bond-slave-ens7' (ecc24c75-1c89-401f-90c8-9706531e0231) successfully added.
~]$ nmcli con up bond-slave-ens7
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/14)
~]$ nmcli con up bond-slave-ens3
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/15)
active_slave
オプションおよび primary
オプションを変更できます。たとえば、active_slave
オプションを変更するには、以下のコマンドを実行します。
~]$ nmcli dev mod bond0 +bond.options "active_slave=ens7"
Connection successfully reapplied to device 'bond0'.
または、primary
オプションを変更する場合は、以下を実行します。
~]$ nmcli dev mod bond0 +bond.options "primary=ens3"
Connection successfully reapplied to device 'bond0'.
active_slave
オプションで設定したインターフェイスが、直ちにアクティブポートになります。一方、ボンドの primary
オプションでは、新たなポートが追加された時またはアクティブポートに障害が発生した時にカーネルが自動的に選択するアクティブポートを指定します。
7.4. コマンドラインインターフェイス (CLI) の使用
ボンディングカーネルモジュールと、チャンネルボンディング
インターフェイス と呼ばれる特別なネットワークインターフェイスを使用して作成されます。
7.4.1. ボンディングカーネルモジュールがインストールされているかの確認
root
で以下のコマンドを実行して、モジュールを読み込むことができます。
~]# modprobe --first-time bonding
このアクティベーションは、システム再起動後は維持されません。永続的なモジュールの読み込みに関する詳細は、『Red Hat Enterprise Linux カーネル管理ガイド』を参照してください。BONDING_OPTS ディレクティブを使用した正しい設定ファイルを指定すると、ボンディングモジュールは必要に応じて読み込まれるため、別個に読み込む必要はありません。
~]$ modinfo bonding
コマンドオプションについては、modprobe (8)
の man ページを参照してください。
7.4.2. チャンネルボンディングインターフェイスの作成
/etc/sysconfig/network-scripts/
ディレクトリーに ifcfg-bondN
という名前のファイルを作成し、N をそのインターフェイスの番号(例: 0
)に置き換えます。
DEVICE
ディレクティブは ボンディングNで、N
はインターフェイスの番号に置き換え、TYPE=Bond があることです。さらに、BONDING_MASTER=yes を設定します。
例7.1 ifcfg-bond0 インターフェイス設定ファイルの例
DEVICE=bond0 NAME=bond0 TYPE=Bond BONDING_MASTER=yes IPADDR=192.168.1.1 PREFIX=24 ONBOOT=yes BOOTPROTO=none BONDING_OPTS="bonding parameters separated by spaces" NM_CONTROLLED="no"
ifcfg-bondN
インターフェイスファイルの BONDING_OPTS="bonding parameters"
ディレクティブにスペース区切りリストとして指定する必要があります。ボンディングデバイスのオプションは、/etc/modprobe.d/bonding.conf
または非推奨の /etc/modprobe.conf
ファイルで指定し ない でください。
max_bonds
パラメーターはインターフェイス固有ではないため、BONDING_OPTS ディレクティブで ifcfg-bondN
ファイルを使用する場合は設定しないでください。このディレクティブにより、ネットワークスクリプトが必要に応じてボンドインターフェイスを作成するためです。
7.4.3. ポートインターフェイスの作成
マスター
とも呼ばれます)で、ボンディングされるインターフェイスはポート(スレーブ)と呼ばれます
。チャネルボンディングインターフェイスを作成した後に、ボンディングされるネットワークインターフェイスを設定するには、そのポートの設定ファイルに MASTER
および SLAVE
ディレクティブを追加します。各ポートインターフェイスの設定ファイルは、ほぼ同一となる可能性があります。
例7.2 ポートインターフェイス設定ファイルの例
enp1s0
と enp2s0
がチャンネルボンディングされている場合、両方のインターフェイスの例を以下に示します。
DEVICE=device_name NAME=bond0-slave TYPE=Ethernet BOOTPROTO=none ONBOOT=yes MASTER=bond0 SLAVE=yes NM_CONTROLLED="no"
7.4.4. チャンネルボンディングのアクティブ化
root
で以下のコマンドを実行します。
~]# ifup ifcfg-enp1s0
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/7)
~]# ifup ifcfg-enp2s0
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/8)
ifdown device_nameこれが完了した後、すべてのポートを有効にすることで、ボンドが有効になります (「down」 に設定されていないことが前提)。
root
で変更したすべてのインターフェイスに対して コマンドを実行します。
~]# nmcli con load /etc/sysconfig/network-scripts/ifcfg-device
または、すべてのインターフェイスをリロードします。
~]# nmcli con reload
デフォルトの動作では、NetworkManager は変更を認識せず、古い設定データを引き続き使用します。これは、NetworkManager.conf
ファイルの monitor-connection-files
オプションで設定されます。詳細は、NetworkManager.conf (5)
man ページを参照してください。
~]# ip link show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: enp1s0: <BROADCAST,MULTICAST,SLAVE,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bond0 state UP mode DEFAULT qlen 1000
link/ether 52:54:00:e9:ce:d2 brd ff:ff:ff:ff:ff:ff
3: enp2s0: <BROADCAST,MULTICAST,SLAVE,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bond0 state UP mode DEFAULT qlen 1000
link/ether 52:54:00:38:a6:4c brd ff:ff:ff:ff:ff:ff
4: bond0: <BROADCAST,MULTICAST,MASTER,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT
link/ether 52:54:00:38:a6:4c brd ff:ff:ff:ff:ff:ff
7.4.5. 複数のボンド作成
- BONDING_OPTS ディレクティブで複数の
ifcfg-bondN
ファイルを作成します。このディレクティブにより、ネットワークスクリプトが必要に応じてボンドインターフェイスを作成します。 - ボンディングされるインターフェイス設定ファイルを作成するか、または既存のインターフェイス設定ファイルを編集し、SLAVE ディレクティブを追加します。
- ボンディングされるポートインターフェイスであるインターフェイスを MASTER ディレクティブでチャネルボンディングインターフェイスに割り当てます。
例7.3 複数の ifcfg-bondN インターフェイス設定ファイルの例
DEVICE=bondN NAME=bondN TYPE=Bond BONDING_MASTER=yes IPADDR=192.168.1.1 PREFIX=24 ONBOOT=yes BOOTPROTO=none BONDING_OPTS="bonding parameters separated by spaces"
ifcfg-bond0
と ifcfg-bond1
の設定ファイルを適切な IP
アドレスで作成します。
7.5. 冗長性についてネットワーク設定ボンディングの確認
手順
- ボンドインターフェイスから、宛先の IP を ping します。以下に例を示します。
~]# ping -I bond0 DSTADDR
- どのインターフェイスが
アクティブ
モードであるかを表示します。~]# cat /sys/class/net/bond0/bonding/active_slave enp1s0
enp1s0 は、アクティブな
ポートインターフェイスです。 アクティブな
ポートインターフェイスをダウンに設定します。~]# ip link set enp1s0 down
バックアップ
インターフェイスが起動しているかどうかを確認します。~]# cat /sys/class/net/bond0/bonding/active_slave enp2s0
enp2s0 がアクティブな
ポートインターフェイスになりました。- ボンドインターフェイスから、宛先の IP を ping できるかどうかを確認します。
~]# ping -I bond0 DSTADDR
7.6. スイッチにおけるボンディングモードおよび必要な設定の概要
ボンディングモード | スイッチの設定 |
---|---|
0 - balance-rr | (LACP がネゴシエートされたものではなく) 静的な Etherchannel を有効にする必要があります。 |
1 - active-backup | 自動ポートが必要です。 |
2 - balance-xor | (LACP がネゴシエートされたものではなく) 静的な Etherchannel を有効にする必要があります。 |
3 - broadcast | (LACP がネゴシエートされたものではなく) 静的な Etherchannel を有効にする必要があります。 |
4 - 802.3ad | LACP がネゴシエートされた Etherchannel が有効になっている必要があります。 |
5 - balance-tlb | 自動ポートが必要です。 |
6 - balance-alb | 自動ポートが必要です。 |
7.7. チャンネルボンディングの使用
7.7.1. ボンディングモジュールのディレクティブ
ifcfg-bond0
など)の BONDING_OPTS="bonding parameters" ディレクティブに追加する前に、ボンディングされたインターフェイスでどのチャンネルボンディングモジュールパラメーター
が最適かをテストすることが推奨されます。ボンディングされたインターフェイスのパラメーターは、sysfs
ファイルシステムのファイルを操作することで、ボンディングモジュールをアンロード(およびリロード)せずに設定できます。
sysfs
は、カーネルオブジェクトをディレクトリー、ファイル、シンボリックリンクとして表現する仮想ファイルシステムです。sysfs
は、カーネルオブジェクトに関する情報をクエリーするのに使用でき、通常のファイルシステムコマンドを使用してこれらのオブジェクトを操作することもできます。sysfs
仮想ファイルシステムは、/sys/
ディレクトリーにマウントされます。すべてのボンディングインターフェイスは、/sys/class/net/
ディレクトリー配下のファイルと対話して操作することで動的に設定できます。
ifcfg-bond0
などのチャンネルボンディングインターフェイスファイルを作成します。bond0
にボンディングされる各インターフェイスの設定ファイルに SLAVE=yes
および MASTER=bond0
ディレクティブを挿入します。これが完了すると、パラメーターの確認に進むことができます。
root
で ifup bondN
を実行して、作成したボンディング を開きます。
~]# ifup bond0
ifcfg-bond0
ボンディングインターフェイスファイルを正しく作成した場合は、root
で ip link show を実行した場合の出力に bond0
が表示されます。
~]# ip link show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: enp1s0: <BROADCAST,MULTICAST,SLAVE,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bond0 state UP mode DEFAULT qlen 1000
link/ether 52:54:00:e9:ce:d2 brd ff:ff:ff:ff:ff:ff
3: enp2s0: <BROADCAST,MULTICAST,SLAVE,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bond0 state UP mode DEFAULT qlen 1000
link/ether 52:54:00:38:a6:4c brd ff:ff:ff:ff:ff:ff
4: bond0: <BROADCAST,MULTICAST,MASTER,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT
link/ether 52:54:00:38:a6:4c brd ff:ff:ff:ff:ff:ff
~]$ cat /sys/class/net/bonding_masters
bond0
/sys/class/net/bondN/bonding/
ディレクトリーにあるファイルを操作すると、各ボンドを個別に設定できます。まず、設定するボンドをダウンにします。
~]# ifdown bond0
root
で以下のコマンドを実行します。
~]# echo 1000 > /sys/class/net/bond0/bonding/miimon
balance-alb
モードに設定するには、以下のいずれかを実行します。
~]# echo 6 > /sys/class/net/bond0/bonding/mode
~]# echo balance-alb > /sys/class/net/bond0/bonding/mode
sysfs
を使用してパラメーターを変更し、これを元に戻して再テストします。
/etc/sysconfig/network-scripts/ifcfg-bondN
ファイルの BONDING_OPTS=
ディレクティブに、これらのパラメーターをスペース区切りリストとして追加します。ボンディングが開始されるたびに( ONBOOT=yes
ディレクティブが設定されている場合はブートシーケンス中のシステムなど)、BONDING_OPTS
で指定したボンディングオプションがそのボンディングに対して有効になります。
parm
の簡単な説明を参照してください。詳細は、https://www.kernel.org/doc/Documentation/networking/bonding.txtを参照してください。
ボンディングインターフェイスパラメーター
-
ad_select=value
- 使用する 802.3ad アグリゲーションの選択論理を指定します。以下の値が使用できます。
stable
または0
- デフォルト設定。アクティブなアグリゲーターは、最大のアグリゲーション帯域幅によって選択されます。アクティブなアグリゲーターの再選択は、すべてのポートがダウンとなるか、ポートがなくなった時にのみ行われます。bandwidth
または1
: アクティブなアグリゲーターは、最大集約帯域幅によって選択されます。アクティブなアグリゲーターの再選択は以下の場合に行われます。- ボンドにポートが追加される、またはボンドからポートが削除される。
- ポートのリンク状態が変更される。
- ポートの 802.3ad 関連状態が変更される。
- ボンドの管理状態が有効になる。
count
または2
: アクティブなアグリゲーターは、ポートの最大数で選択されます。上記の帯域幅
設定については、再選択が行われます。
帯域幅
とカウント
選択ポリシーにより、アクティブなアグリゲーターの部分的な障害が発生した場合に 802.3ad アグリゲーションのフェイルオーバーが可能になります。これにより、帯域幅またはポート数の可用性が最も高いアグリゲーターが常にアクティブになります。 -
arp_interval=time_in_milliseconds
ARP
監視が発生する頻度を指定します(ミリ秒単位)。重要arp_interval
およびarp_ip_target
パラメーターの両方を指定するか、miimon
パラメーターを指定する必要があります。指定されないと、リンクが失敗した場合にネットワークパフォーマンスが低下する恐れがあります。mode=0 または mode
=2 (2
つの負荷分散モード)でこの設定を使用する場合は、NIC 全体にパケットを均等に分散するようにネットワークスイッチを設定する必要があります。この方法の詳細については、https://www.kernel.org/doc/Documentation/networking/bonding.txt を参照してください。デフォルトでは、値は0
に設定され、無効にされます。-
arp_ip_target=ip_address[,ip_address_2,…ip_address_16]
arp_interval
パラメーターが有効な場合にARP
要求のターゲットIP
アドレスを指定します。最大 16 のIP
アドレスはコンマ区切りリストで指定できます。-
arp_validate=value
ARP
プローブのソース/ディストリビューションを検証します。デフォルトはnone
です。その他の有効な値は、active
、backup
、およびall
です。-
downdelay=time_in_milliseconds
- リンクを無効にする前に、リンクの失敗後に待機する時間を指定します (ミリ秒単位)。値は、
miimon
パラメーターで指定された値の倍数である必要があります。デフォルトでは、値は0
に設定され、無効にされます。 -
fail_over_mac=value
- アクティブ-バックアップモードが、割り当て時にすべてのポートを同一 MAC アドレスに設定する (従来の動作) か、有効な場合は、選択されたポリシーに従って、ボンドの MAC アドレスの特別な処理を実行するかを指定します。可能な値は次のとおりです。
none
または0
- デフォルト設定。この設定によりfail_over_mac
が無効になり、割り当て時にボンディングがアクティブ-バックアップボンドのすべてのポートを同じ MAC アドレスに設定します。active
または1
- 「active」fail_over_mac
ポリシーは、ボンドの MAC アドレスは常に現在アクティブなポートの MAC アドレスである必要があることを示します。ポートの MAC アドレスは変更されませんが、代わりにフェイルオーバー中にボンドの MAC アドレスが変更されます。このポリシーは、MAC アドレスを変更できないデバイスや、(ARP 監視を妨害する) 自身のソース MAC を持つ着信ブロードキャストを拒否するデバイスに便利なものです。このポリシーのマイナス面は、ネットワーク上のすべてのデバイスが余計な ARP によって更新される必要があるという点です。通常の方法では、スイッチが着信トラフィックを嗅ぎ付けて ARP テーブルを更新します。余計な ARP が失われると、通信が中断される可能性があります。このポリシーを MII モニターと合わせて使用すると、実際に送受信可能になる前にリンクを有効にするデバイスが特に余計な ARP を失いやすくなります。また、適切な updelay 設定が必要になる可能性があります。follow
または2
- 「follow」fail_over_mac
ポリシーにより、ボンドの MAC アドレスが正常に選択されます(通常、最初のポートの MAC アドレスがボンディングに追加されます)。ただし、2 番目以降のポートはこの MAC アドレスに設定されず、バックアップのロールを果たします。つまり、ポートはフェイルオーバー時にボンドの MAC アドレスでプログラミングされます (また、それまでアクティブだったポートが新たにアクティブになったポートの MAC アドレスを受け取ります)。このポリシーは、複数ポートが同一 MAC アドレスでプログラミングされる際に、混乱したりパフォーマンスペナルティーを受けるマルチポートデバイスに便利なものです。
- lacp_rate=value
- リンクパートナーが 802.3ad モードで LACPDU パケットを送信するレートを指定します。以下の値が使用できます。
slow
または0
- デフォルト設定。パートナーが 30 秒ごとに LACPDU を送信するよう指定します。fast
または1
- パートナーが 1 秒ごとに LACPDU を送信するように指定します。
-
miimon=time_in_milliseconds
- MII リンク監視が発生する頻度を指定します (ミリ秒単位)。MII は NIC がアクティブであることを検証するために使用されるため、これは高可用性が必要な場合に役立ちます。特定の NIC のドライバーが MII ツールに対応していることを確認するには、root で以下のコマンドを入力します。
~]# ethtool interface_name | grep "Link detected:"
このコマンドでは、interface_name を、ボンドインターフェイスではなく、enp1s0
などのデバイスインターフェイスの名前に置き換えます。MII が対応している場合は、コマンドは以下を返します。Link detected: yes
高可用性のためにボンディングされたインターフェイスを使用する場合、各 NIC のモジュールは MII に対応していなければなりません。値を0
(デフォルト)に設定すると、この機能はオフになります。この設定を設定する際に、このパラメーターのスタート地点は100
です。重要arp_interval
およびarp_ip_target
パラメーターの両方を指定するか、miimon
パラメーターを指定する必要があります。指定されないと、リンクが失敗した場合にネットワークパフォーマンスが低下する恐れがあります。 -
mode=value
- ボンディングポリシーの指定が可能になります。value は、次のいずれかになります。
balance-rr
または0
- 耐障害性および負荷分散のラウンドロビンポリシーを設定します。利用可能な最初のインターフェイスからそれぞれのボンディングされたポートインターフェイスで送受信が順次行われます。active-backup
または1
- 耐障害性のためのアクティブバックアップポリシーを設定します。利用可能になった最初のボンディングされたポートインターフェイスにより送受信が行われます。別のボンディングされたポートインターフェイスは、アクティブなボンディングされたポートインターフェイスに障害が発生した場合にのみ使用されます。balance-xor
または2
- 送信は、選択したハッシュポリシーに基づきます。デフォルトでは、送信元と宛先の MAC アドレスの XOR にポートインターフェイス数のモジュロを掛けてハッシュを導出します。このモードでは、宛先が特定のピアになっているトラフィックは常に同一インターフェイスで送信されます。宛先は MAC アドレスで決められるので、この方法は同一リンクまたはローカルネットワーク上にあるピアが宛先のトラフィックに最適なものです。トラフィックが単一ルーターを通過する必要がある場合は、このトラフィックバランスのモードは最適ではなくなります。broadcast
または3
- 耐障害性を確保するためにブロードキャストポリシーを設定します。すべての送信は、すべてのポートインターフェイスで行われます。802.3ad
または4
- IEEE 802.3ad 動的リンクアグリゲーションポリシーを設定します。同一の速度とデュプレックス設定を共有するアグリゲーショングループを作成します。アクティブなアグリゲーターのすべてのポートで送受信を行います。802.3ad に対応するスイッチが必要です。balance-tlb
または5
- 耐障害性と負荷分散のために TLB (Transmit Load Balancing)ポリシーを設定します。発信トラフィックは、各ポートインターフェイスの現在の負荷に従って分散されます。受信トラフィックは、現在のポートにより受信されます。受信ポートに障害が発生すると、障害が発生したポートの MAC アドレスを別のポートが引き継ぎます。このモードは、カーネルボンディングモジュールが認識しているローカルアドレスにのみ、適したものになります。このため、仮想マシンのブリッジの背後では使用できません。balance-alb
または6
- 耐障害性と負荷分散のための Adaptive Load Balancing (ALB)ポリシーを設定します。IPv4
トラフィック用の送受信負荷分散が含まれます。ARP
ネゴシエーションにより、受信負荷分散を実現します。このモードは、カーネルボンディングモジュールが認識しているローカルアドレスにのみ、適したものになります。このため、仮想マシンのブリッジの背後では使用できません。
アップストリームスイッチで必要な設定の詳細は、「スイッチにおけるボンディングモードおよび必要な設定の概要」を参照してください。 -
primary=interface_name
- プライマリーデバイスのインターフェイス名(例:
enp1s0
)を指定します。プライマリー
デバイスは、最初に使用されるボンディングインターフェイスであり、失敗しない限り破棄されません。この設定が特に役立つのは、ボンディングインターフェイスの NIC の 1 つが高速なため、大規模な負荷に対応できる場合です。この設定は、ボンディングインターフェイスがactive-backup
モードである場合にのみ有効です。詳細は、https://www.kernel.org/doc/Documentation/networking/bonding.txt を参照してください。 -
primary_reselect=value
- プライマリーポートに対して再選択ポリシーを指定します。これは、アクティブなポートの障害やプライマリーポートの回復が発生した場合に、どのようにプライマリーポートが選択されてアクティブなポートになるかという点に影響します。このパラメーターは、プライマリポートと他のポートとの間で何度も切り替えが発生しないようにするためのものです。可能な値は次のとおりです。
always
または0
(デフォルト): プライマリーポートは、復旧するたびにアクティブなポートになります。better
または1
- プライマリーポートの速度とデュプレックスが、現在のアクティブなポートの速度とデュプレックスよりも良い場合、プライマリーポートは有効になるとアクティブなポートになります。failure
または2
- 現在のアクティブなポートが失敗し、プライマリーポートが稼働している場合に限り、プライマリーポートはアクティブなポートになります。
primary_reselect
設定は無視されます。- アクティブなポートがない場合は、回復する最初のポートがアクティブなポートになります。
- プライマリーポートがボンドに初めて割り当てられると、そのポートが必ずアクティブなポートになります。
sysfs
を介してprimary_reselect
ポリシーを変更すると、新しいポリシーに従って直ちに最適なアクティブなポートが選択されます。これにより、状況によってはアクティブなポートに変更が生じる場合があります。 -
resend_igmp=range
- フェイルオーバーイベント後に発行される IGMP メンバーシップレポートの数を指定します。1 つのメンバーシップレポート がフェイルオーバーの直後に発行され、以降のパケットは 200ms (ミリ秒) の間隔で送信されます。有効な範囲は
0
から255
です。デフォルト値は1
です。値が0
の場合は、フェイルオーバーイベントへの応答で IGMP メンバーシップレポートが発行されなくなります。このオプションは、フェイルオーバーが IGMP トラフィックをあるポートから別のポートに切り替えることができる balance-rr (mode 0)、active-backup (mode 1)、balance-tlb (mode 5)および balance-alb (mode 6)のボンディングモードに役立ちます。したがって、新しく選択されたポートを介して着信 IGMP トラフィックをスイッチで転送するには、新しい IGMP レポートを発行する必要があります。 -
updelay=time_in_milliseconds
- リンクを有効にする前の待機時間を指定します (ミリ秒単位)。値は、
miimon
パラメーターで指定された値の倍数である必要があります。デフォルトでは、値は0
に設定され、無効にされます。 -
use_carrier=number
- リンク状態を決定するために、
miimon
が MII/ETHTOOL ioctls またはnetif_carrier_ok()
を使用するかどうかを指定します。netif_carrier_ok()
関数は、デバイスドライバーに依存してnetif_carrier_on/off
でその状態を維持します。ほとんどのデバイスドライバーがこの機能に対応しています。MII/ETHTOOL ioctls ツールは、カーネル内の非推奨の呼び出しシーケンスを活用します。ただし、デバイスドライバーがnetif_carrier_on/off
に対応していない場合も設定可能です。有効な値は以下のとおりです。1
: デフォルト設定。netif_carrier_ok()
の使用を有効にします。0
: MII/ETHTOOL ioctls の使用を有効にします。
注記リンクがアップしているべきではない時にリンクがアップであると主張する場合は、ネットワークデバイスドライバーがnetif_carrier_on/off
に対応していない可能性があります。 -
xmit_hash_policy=value
balance-xor
および802.3ad
モードでポートを選択するために使用される送信ハッシュポリシーを選択します。可能な値は次のとおりです。0
またはlayer2
- デフォルト設定。このパラメーターは、ハードウェア MAC アドレスの XOR を使用してハッシュを生成します。使用する式は以下のとおりです。(source_MAC_address XOR destination_MAC) MODULO slave_count
このアルゴリズムは、すべてのトラフィックを同じポートの特定のネットワークピアに割り振り、802.3ad に対応します。1
またはlayer3+4
- 上層プロトコル情報(利用可能な場合)を使用してハッシュを生成します。これにより、特定のネットワークピアへのトラフィックが複数のポートに及ぶようにできますが、単一の接続では複数のポートに及びません。断片化された TCP および UDP パケットに使用される公式は、以下のとおりです:((source_port XOR dest_port) XOR ((source_IP XOR dest_IP) AND
0xffff
) MODULO slave_count断片化された TCP または UDP パケットおよびその他のIP
プロトコルトラフィックの場合、送信元および宛先ポート情報は省略されます。非IP
トラフィックの場合、式は layer2 送信ハッシュポリシーと同じです。このポリシーの目的は、特に PFC2 付きの Cisco スイッチや Foundry および IBM 製品など一部のスイッチの動作を真似ることです。このポリシーで使用されるアルゴリズムは、802.3ad に対応していません。2
またはlayer2+3
- layer2 および layer3 プロトコル情報の組み合わせを使用して、ハッシュを生成します。ハードウェア MAC アドレスとIP
アドレスの XOR を使用してハッシュを生成します。式は以下のとおりです。(((source_IP XOR dest_IP) AND
0xffff
) XOR ( source_MAC XOR destination_MAC )) MODULO slave_countこのアルゴリズムは、すべてのトラフィックを同じポートの特定のネットワークピアに割り振ります。非IP
トラフィックの場合、式は layer2 送信ハッシュポリシーと同じになります。このポリシーの目的は、特に layer3 ゲートウェイデバイスが大半の宛先に到達する必要がある環境において、layer2 単独の場合より分散されたトラフィックを提供することです。このアルゴリズムは、802.3ad に対応しています。
7.8. GUI を使用したボンディング接続の作成
7.8.1. ボンド接続の確立
手順7.1 nm-connection-editor を使用して新規ボンド接続を追加する
- 端末に nm-connection-editor と入力します。
~]$ nm-connection-editor
- Add ボタンをクリックします。Choose a Connection Type ウィンドウが表示されます。Bond を選択し、Create を クリックします。ボンディング接続 1の編集 ウィンドウが表示されます。
図7.6 NetworkManager グラフィカルユーザーインターフェイスの Bond 追加メニュー
[D] - Bond タブで をクリックし、ボンド接続で使用するインターフェイスのタイプを選択します。 ボタンをクリックします。ポートタイプを選択するダイアログが表示されるのは、最初のポートを作成する時のみです。その後は、すべてのポートに同じタイプが自動的に使われます。
- bond0 スレーブ 1 の編集 ウィンドウが表示されます。デバイス MAC アドレス ドロップダウンメニューを使用して、ボンディングするインターフェイスの MAC アドレスを選択します。最初のポートの MAC アドレスがボンドインターフェイス用の MAC アドレスとして使用されます。必要な場合は、ボンドの MAC アドレスとして使用するクローンした MAC アドレスを入力します。 ボタンをクリックします。
図7.7 NetworkManager グラフィカルユーザーインターフェイスのボンド接続追加メニュー
[D] - ボンディングされたポートの名前が Bond connections ウィンドウに表示されます。 ボタンをクリックして、さらにポート接続を追加します。
- 設定を確認してから Save ボタンをクリックします。
- 以下の「Bond タブの設定」を参照して、ボンド固有の設定を編集します。
手順7.2 既存のボンド接続を編集する
- 端末に nm-connection-editor と入力します。
~]$ nm-connection-editor
- 編集する接続を選択し、Edit ボタンをクリックします。
- General タブを選択します。
- 接続名、自動接続の動作、および可用性のセッティングを設定します。編集 ダイアログの 5 つの設定は、すべての接続の種類に共通です。全般 タブ:
- 接続名: ネットワーク接続のわかりやすい名前を入力します。この名前は、Network ウィンドウのメニューでこの接続を一覧表示するために使用されます。
- Automatically connect to this network when it is available - このボックスを選択すると、NetworkManager が利用可能なときにこの接続に自動接続します。詳細は、「control-center を使用した既存の接続の編集」を参照してください。
- All users can connect to this network - このボックスを選択すると、システム上のすべてのユーザーが 利用できる接続が作成されます。この設定を変更するには、root 権限が必要になる場合があります。詳細は、「GUI を使用したシステム全体およびプライベート接続プロファイルの管理」を参照してください。
- Automatically connect to VPN when using this connection - このボックスを選択すると、NetworkManager が利用可能なときに VPN 接続に自動接続します。ドロップダウンメニューから VPN を選択します。
- ファイアウォールゾーン - ドロップダウンメニューからファイアウォールゾーンを選択します。ファイアウォールゾーンに関する詳細情報は、『Red Hat Enterprise Linux 7 セキュリティーガイド』を参照してください。
- 以下の「Bond タブの設定」を参照して、ボンド固有の設定を編集します。
新規 (または修正した) 接続を保存して他の設定を行う
- または
7.8.1.1. Bond タブの設定
- Mode
- ボンドを設定するポート接続でのトラフィック共有に使われるモード。デフォルトは ラウンドロビン です。
802.3ad
などの他のロード共有モードは、ドロップダウンリストで選択できます。 - リンク監視
- ネットワークトラフィックを伝送するポートの能力を監視する方法。
- ラウンドロビン
- 耐障害性とロードバランシングにラウンドロビンポリシーを設定します。利用可能な最初のインターフェイスからそれぞれのボンディングされたポートインターフェイスで送受信が順次行われます。このモードは、仮想マシンのブリッジの背後では追加のスイッチ設定がないと機能しない可能性があります。
- アクティブバックアップ
- 耐障害性のためアクティブなバックアップポリシーを設定します。利用可能になった最初のボンディングされたポートインターフェイスにより送受信が行われます。別のボンディングされたポートインターフェイスは、アクティブなボンディングされたポートインターフェイスに障害が発生した場合にのみ使用されます。これは、InfiniBand デバイスのボンドで利用可能な唯一のモードです。
- XOR
- XOR (排他的理論和) を設定します。送受信は選択されたハッシュポリシーに基づいて行われます。デフォルトでは、送信元と宛先の MAC アドレスの XOR にポートインターフェイス数のモジュロを掛けてハッシュを導出します。このモードでは、宛先が特定のピアになっているトラフィックは常に同一インターフェイスで送信されます。宛先は MAC アドレスで決められるので、この方法は同一リンクまたはローカルネットワーク上にあるピアが宛先のトラフィックに最適なものです。トラフィックが単一ルーターを通過する必要がある場合は、このトラフィックバランスのモードは最適ではなくなります。
- ブロードキャスト
- 耐障害性にブロードキャストポリシーを設定します。すべての送信は、すべてのポートインターフェイスで行われます。このモードは、仮想マシンのブリッジの背後では追加のスイッチ設定がないと機能しない可能性があります。
- 802.3ad
- IEEE
802.3ad
動的リンクアグリゲーションポリシーを設定します。同一の速度とデュプレックス設定を共有するアグリゲーショングループを作成します。アクティブなアグリゲーターのすべてのポートで送受信を行います。802.3ad
に準拠するネットワークスイッチが必要です。 - 適応送信のロードバランシング
- 耐障害性とロードバランシングのための適応型送信ロードバランシング (TLB) ポリシーを設定します。発信トラフィックは、各ポートインターフェイスの現在の負荷に従って分散されます。受信トラフィックは、現在のポートにより受信されます。受信ポートに障害が発生すると、障害が発生したポートの MAC アドレスを別のポートが引き継ぎます。このモードは、カーネルボンディングモジュールが認識しているローカルアドレスにのみ、適したものになります。このため、仮想マシンのブリッジの背後では使用できません。
- 適応ロードバランス
- 耐障害性とロードバランシングに適応型ロードバランシング (ALB) ポリシーを設定します。
IPv4
トラフィック用の送受信負荷分散が含まれます。ARP
ネゴシエーションにより、受信負荷分散を実現します。このモードは、カーネルボンディングモジュールが認識しているローカルアドレスにのみ、適したものになります。このため、仮想マシンのブリッジの背後では使用できません。
- MII (Media Independent Interface)
- インターフェイスのキャリア波の状態を監視します。これには、ドライバーをクエリーするか、MII レジスターに直接クエリーするか、ethtool を使用してデバイスにクエリーを実行します。利用可能な 3 つのオプションは以下のとおりです。
- 監視周期
- ドライバーもしくは MII レジスターへのクエリーの間隔時間 (ミリ秒単位)
- 接続遅延
- up とレポートされたリンクの使用を試みるまでの待機時間 (ミリ秒単位)。この遅延は、リンクが 「up」 として報告される直後に、一部の Gratuitous
ARP
要求が期間内に失われる場合に使用できます。これが発生するのは、たとえばスイッチ初期化などの間です。 - 接断遅延
- これまでアクティブだったリンクが「down」とレポートされた際に、別のリンクに変更するまでの待ち時間 (ミリ秒単位)。アタッチされたスイッチがバックアップモードに変更するまで比較的長い時間がかかる場合に、この遅延は使用できます。
- ARP
- アドレス解決プロトコル(
ARP
)は、1 つ以上のピアをプローブし、リンク層接続がどのように機能しているかを判断するために使用されます。これは、送信開始時間および最終受信時間を提供しているデバイスドライバーに依存しています。以下の 2 つのオプションがあります。- 監視周期
ARP
リクエストを送信する間隔(ミリ秒単位)。- ARP ターゲット
ARP
要求を送信するIP
アドレスのコンマ区切りリスト。
7.9. 関連情報
インストールされているドキュメント
nmcli (1)
man ページ - NetworkManager のコマンドラインツールを説明しています。nmcli-examples (5)
man ページ - nmcli コマンドの例を説明します。nm-settings (5)
man ページ - NetworkManager 接続の設定およびパラメーターが説明されています。
オンラインドキュメント
- 『Red Hat Enterprise Linux システム管理者のガイド』
- カーネルモジュール機能の使用方法を説明しています。
- https://access.redhat.com/site/node/28421/Configuring_VLAN_devices_over_a_bonded_interface
- ボンディングされたインターフェイスでの VLAN デバイスの設定に関する Red Hat ナレッジベースの記事です。
第8章 ネットワークチーミングの設定
8.1. ネットワークチーミングについて
ボンディング
と呼ばれます。この概念の新しい実装の呼び方として、ネットワークチーミング という用語が選択されました。既存のボンディングドライバーは影響を受けません。ネットワークチーミングは Red Hat Enterprise Linux 7 のボンディングの代替メカニズムとして提供されるもので、これに置き換わるものではありません。
libteam
ライブラリーを使用するアプリケーションデーモン teamd
も利用可能です。teamd
の 1 つのインスタンスが、チームドライバーの 1 つのインスタンスを制御できます。このデーモンは、「ランナー」と呼ばれる新たなコードを使用することで、ラウンドロビンなどの負荷分散やアクティブバックアップ論理を実装します。このようにコードを分離することで、ネットワークチーミングの実装は負荷分散および冗長性要件に対して容易に拡張可能およびスケーラブルなソリューションを提供します。たとえば、カスタムランナーは、teamd を介して新しいロジックを実装するために比較的簡単に記述でき、 teamd
も任意であるため、libteam を使用するために独自のアプリケーションを作成することができます。
teamd
の実行中のインスタンスを制御するために使用できます。teamdctl は、teamd
D-Bus API に関する D-Bus ラッパーを提供します。デフォルトでは、teamd
は Unix Domain Sockets を使用してリッスンし、通信しますが、引き続き D-Bus を監視します。これは、teamd
が D-Bus が存在しない環境またはまだ読み込まれていない環境で使用できるようにするためです。たとえば、teamd
リンクで起動すると、D-Bus がまだ読み込まれません。ランタイム時に teamdctl ユーティリティーを使用すると、設定の読み取り、リンク監視の状態の確認と変更、ポートの状態の確認と変更、ポートの追加と削除、アクティブ状態とバックアップ状態間のポート変更を行うことができます。
libteam
ユーザー空間ライブラリーは API と直接対話しませんが、libnl または teamnl を使用してドライバー API と対話します。
ポート
という用語は スレーブ
としても知られています。teamd
を
直接使用する場合は、port が推奨されます。一方、NetworkManager を使用してチームを作成するインターフェイスを参照する場合は、スレーブ
が使用されます。
8.2. コントローラーおよびポートインターフェイスのデフォルト動作の理解
NetworkManager
デーモンを使用してチーミングされたポートインターフェイスを制御する場合、特に障害検索時には、以下の点に留意してください。
- コントローラーインターフェイスを起動しても、ポートインターフェイスは自動的に起動しない。
- ポートインターフェイスを起動すると、コントローラーインターフェイスは毎回、起動する。
- コントローラーインターフェイスを停止すると、ポートインターフェイスも停止する。
- ポートのないコントローラーは静的
IP
接続を開始できる。 - コントローラーにポートがない場合は、
DHCP
接続の開始時にポートを待機します。 DHCP
接続でポートを待機中のコントローラーは、キャリアを含むポートが追加されると完了する。DHCP
接続でポートを待機中のコントローラーは、キャリアをともなわないポートが追加されると待機を継続します。
8.3. ネットワークチーミングとボンディングの比較
機能 | ボンディング | チーム |
---|---|---|
ブロードキャスト Tx ポリシー | はい | はい |
ラウンドロビン Tx ポリシー | はい | はい |
アクティブバックアップ Tx ポリシー | はい | ◯ |
LACP (802.3ad) への対応 | あり (アクティブのみ) | ◯ |
ハッシュベースの Tx ポリシー | ◯ | ◯ |
ユーザーによるハッシュ機能の設定 | いいえ | ◯ |
Tx 負荷分散への対応 (TLB) | ◯ | ◯ |
LACP ハッシュポートの選択 | ◯ | はい |
LACP サポートの負荷分散 | いいえ | ◯ |
Ethtool リンク監視 | ◯ | ◯ |
ARP リンク監視 | ◯ | ◯ |
NS/NA (IPv6) リンク監視 | いいえ | はい |
ポート アップ/ダウン 遅延 | はい | はい |
ポート優先度および持続性 (「プライマリー」オプション強化) | いいえ | はい |
ポートごとの個別リンク監視のセットアップ | いいえ | はい |
複数のリンク監視セットアップ | 限定的 | はい |
ロックなし Tx/Rx パス | なし (rwlock) | あり (RCU) |
VLAN への対応 | ◯ | はい |
ユーザースペースランタイム制御 | 限定的 | 完全 |
ユーザー空間での論理 | いいえ | ◯ |
拡張性 | 困難 | 容易 |
モジュラー設計 | いいえ | ◯ |
パフォーマンスのオーバーヘッド | 低 | 非常に低い |
D-Bus インターフェイス | いいえ | はい |
複数デバイススタッキング | はい | はい |
LLDP を使った zero config | いいえ | (計画中) |
NetworkManager への対応 | ◯ | はい |
8.4. ネットワークチーミングデーモンおよびランナーについて
teamd
は、libteam を使用してチームドライバーのインスタンスを制御します。このチームドライバーのインスタンスは、ハードウェアドライバーのインスタンスを追加してネットワークリンクの「チーム」を形成します。チームドライバーがネットワークインターフェイスを提示します。team0 たとえば、カーネルの他の部分まで。チームドライバーのインスタンスによって作成されたインターフェイスの名前は、以下のようになります。 team0,team1ドキュメントに記載されているため、同様。これは分かりやすくするためのもので、他の名前を使っても構いません。チーミングのすべてのメソッドに共通するロジックは、teamd
によって実装されます。ラウンドロビンなど、異なる負荷共有とバックアップメソッドに固有の機能は、「runners」 と呼ばれる別のコードのユニットによって実装されます。「ランナー」という用語がこれらのコードユニットの呼称に選ばれたのは、「モジュール」や「モード」といった言葉がカーネルとの関係ですでに特別な意味を持っているためです。ユーザーは JSON 形式の設定ファイルでランナーを指定し、インスタンスの作成時にコードが teamd
のインスタンスにコンパイルされます。ランナーのコードは作成時に teamd
のインスタンスにコンパイルされるため、ランナーはプラグインではありません。必要に応じて、teamd
のプラグインとしてコードを作成できます。
- broadcast (データは全ポートで送信されます)
- round-robin (データは全ポートで順番に送信されます)
- active-backup (1 つのポートまたはリンクが使用され、他はバックアップとして維持されます)
- loadbalance (アクティブ Tx 負荷分散と BPF ベースの Tx ポートセレクターを使用)
- lacp (802.3ad リンクアグリゲーション制御プロトコルを実装)
- ethtool (Libteam lib は ethtool を使用してリンク状態の変更を監視します)。設定ファイルで他のリンク監視が指定されていなければ、これがデフォルトになります。
- arp_ping ( arp_ping ユーティリティーは、ARP パケットを使用して遠端のハードウェアアドレスの存在を監視するために使用されます。)
- nsna_ping (
IPv6
近隣検出プロトコルからの近隣広告と近隣要望は、近隣のインターフェイスの存在を監視するために使用されます)
8.5. ネットワークチーミングデーモンのインストール
teamd
は、デフォルトではインストールされません。teamd
をインストールするには、root
で以下のコマンドを実行します。
~]# yum install teamd
8.6. ボンドのチーム変換
ifcfg
または JSON 形式のチーム設定ファイルに変換できます。ファイアウォールルール、エイリアスインターフェイス、および元のインターフェイス名に関連付けられる可能性のあるものはすべて、名前変更後に破損する可能性があることに注意してください。これは、このツールは ifcfg
ファイルのみを変更し、それ以外は何も変更しないためです。
~]$ bond2team --examples
/tmp/bond2team.XXXXXX/
で始まるディレクトリーに新規ファイルが作成されます。XXXXXX はランダムな文字列です。新しい設定ファイルを作成したら、古いボンディングファイルをバックアップフォルダーに移動し、新しいファイルを /etc/sysconfig/network-scripts/
ディレクトリーに移動します。
例8.1 ボンドのチーム変換
bond0
設定をチーム ifcfg
に変換するには、root
でコマンドを実行します。
~]# /usr/bin/bond2team --master bond0
これで bond0
という名前が保持されることに注意してください。新しい名前を使用して設定を保存するには、以下のように --rename
を使用します。
~]# /usr/bin/bond2team --master bond0 --rename team0
ifcfg
ファイルではなく JSON 形式のファイルを出力する --json
オプションを追加します。JSON 形式の例については、teamd.conf (5)
の man ページを参照してください。
例8.2 ボンドをチームに変換してファイルパスを指定する手順
bond0
設定をチーム ifcfg
に変換し、ifcfg
ファイルへのパスを手動で指定するには、root
でコマンドを実行します。
~]# /usr/bin/bond2team --master bond0 --configdir /path/to/ifcfg-file
ifcfg
ファイルではなく JSON 形式のファイルを出力する --json
オプションを追加します。
例8.3 Bond2team を使ってチーム設定を作成する手順
~]# /usr/bin/bond2team --bonding_opts "mode=1 miimon=500"
以下のように、コマンドラインにポートを提供することもできます。
~]# /usr/bin/bond2team --bonding_opts "mode=1 miimon=500 primary=enp1s0 \ primary_reselect-0" --port enp1s0 --port enp2s0 --port enp3s0 --port enp4s0
bond2team (1)
man ページを参照してください。ボンディングパラメーターの説明については、「チャンネルボンディングの使用」 を参照してください。
8.7. ネットワークチームでポートとして使用するインターフェイスの選択
~]$ ip link show
1: lo: <LOOPBACK,UP,LOWER_UP > mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: em1: <BROADCAST,MULTICAST,UP,LOWER_UP > mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000
link/ether 52:54:00:6a:02:8a brd ff:ff:ff:ff:ff:ff
3: em2: <BROADCAST,MULTICAST,UP,LOWER_UP > mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000
link/ether 52:54:00:9b:6d:2a brd ff:ff:ff:ff:ff:ff
利用可能なインターフェイスから使用するネットワークチームに最適なものを選択し、「ネットワークチーム設定方式の選択」に進みます。
8.8. ネットワークチーム設定方式の選択
teamd
を使用してネットワークチームを作成するに は、「teamd を使用したネットワークチームの作成」 に進みます。
8.9. テキスト形式のユーザーインターフェイス nmtui でネットワークチームを設定する手順
~]$ nmtui
テキストユーザーインターフェイスが表示されます。無効なコマンドがあると、使用方法に関するメッセージが表示されます。
- メニューから 接続の編集 を選択します。Add を選択すると、New Connection 画面が開きます。
図8.1 NetworkManager テキスト形式のユーザーインターフェイスのチーム接続追加メニュー
[D] - チーム を選択すると、接続の編集 画面が開きます。
図8.2 NetworkManager テキスト形式ユーザーインターフェイスでチーム接続を設定するメニュー
[D] - チームにポートインターフェイスを追加するには 追加 を選択すると、新規接続 画面が開きます。Connection のタイプを選択したら、Create ボタンを選択して、チームの 接続の編集 表示を表示します。
図8.3 NetworkManager テキスト形式ユーザーインターフェイスで新規チームポートインターフェイス接続を設定するメニュー
[D] - Device セクションに、必要なポートのデバイス名または MAC アドレスを入力します。必要な場合は、イーサネット ラベルの右側にある Show を選択して、チームの MAC アドレスとして使用するクローンの MAC アドレスを入力します。OK ボタンを選択します。注記MAC アドレスなしでデバイスを指定すると、Edit Connection ウィンドウが再読み込みされると Device セクションが自動的に入力されますが、デバイスが正常に見つかった場合にのみデバイスセクションが自動的に設定されます。
図8.4 NetworkManager テキスト形式ユーザーインターフェイスでチームのポートインターフェイス接続を設定するメニュー
[D] - Slaves セクションにチームポートの名前が表示されます。さらにポート接続を追加する場合は、上記のステップを繰り返します。
- カスタムポート設定を適用する場合は、JSON 設定 セクションの下にある Edit ボタンを選択します。これにより vim コンソールが起動し、変更を適用できます。vim からの変更の書き込みが完了したら、JSON 設定 の下に表示される JSON 文字列が意図したものと一致することを確認します。
- 設定を確認してから、OK ボタンを選択します。
図8.5 NetworkManager テキスト形式ユーザーインターフェイスでチーム接続を設定するメニュー
[D]
8.10. コマンドラインを使用したネットワークチームの設定
8.10.1. nmcli を使用したネットワークチーミングの設定
~]$ nmcli connection show
NAME UUID TYPE DEVICE
enp2s0 0e8185a1-f0fd-4802-99fb-bedbb31c689b 802-3-ethernet --
enp1s0 dfe1f57b-419d-4d1c-aaf5-245deab82487 802-3-ethernet --
~]$ nmcli device status
DEVICE TYPE STATE CONNECTION
virbr0 bridge connected virbr0
ens3 ethernet connected ens3
~]$ nmcli connection add type team ifname ServerA
Connection 'team-ServerA' (b954c62f-5fdd-4339-97b0-40efac734c50) successfully added.
NetworkManager は内部パラメーター connection.autoconnect
を yes
に設定します。IP
アドレスが指定されていないため、ipv4.method
は auto
に設定されます。NetworkManager は、設定ファイルを /etc/sysconfig/network-scripts/ifcfg-team-ServerA
に書き込みます。ここで、対応する ONBOOT は yes
に、BOOTPROTO は dhcp
に設定されます。
~]$ nmcli con show team-ServerA connection.id: team-ServerA connection.uuid: b954c62f-5fdd-4339-97b0-40efac734c50 connection.interface-name: ServerA connection.type: team connection.autoconnect: yes … ipv4.method: auto [output truncated]JSON 設定ファイルが指定されていないので、デフォルト値が適用されます。チーム JSON パラメーターとそのデフォルト値の詳細は、
teamd.conf (5)
man ページを参照してください。名前は、インターフェイス名の前に種類を追加したものになっていることに留意してください。別の方法では、以下のように con-name
オプションで名前を指定します。
~]$ nmcli connection add type team con-name Team0 ifname ServerB
Connection 'Team0' (5f7160a1-09f6-4204-8ff0-6d96a91218a7) successfully added.
~]$ nmcli con show
NAME UUID TYPE DEVICE
team-ServerA b954c62f-5fdd-4339-97b0-40efac734c50 team ServerA
enp2s0 0e8185a1-f0fd-4802-99fb-bedbb31c689b 802-3-ethernet --
enp1s0 dfe1f57b-419d-4d1c-aaf5-245deab82487 802-3-ethernet --
Team0 5f7160a1-09f6-4204-8ff0-6d96a91218a7 team ServerB
nmcli con mod old-team-name connection.id new-team-name
nmcli connection modify team-name team.config JSON-config
: JSON 文字列としてチーム設定を指定するか、設定を含むファイル名を指定します。ファイル名には、パスを含めることができます。いずれの場合も、team.config
プロパティーに保存される内容は JSON 文字列です。JSON 文字列の場合は、文字列を単一引用符で囲み、文字列全体をコマンドラインにペーストします。
team.config
プロパティーを確認するには、以下を実行します。 nmcli con show team-name | grep team.config
team.config
プロパティーを設定すると、それに応じてその他のチームプロパティーがすべて更新されます。
team.config
プロパティーが更新されます。
team.link-watchers
プロパティーを設定するには、nmcli connection modify team-name team.link-watchers
"name=ethtool delay-up=5, name=nsna_ping target-host=target.host"
の形式でコマンドを入力します。必要な link-watchers
はコンマで区切り、同じ link-watcher
に属する属性はスペースで区切られます。
team.runner
および team.link-watchers
プロパティーを設定するには、次の形式でコマンドを入力します。 nmcli connection modify team-name team.runner
activebackup team.link-watchers
"name=ethtool delay-up=5, name=nsna_ping target-host=target.host"
team.config
プロパティーを対応する JSON 文字列に設定するのと同じです。 nmcli connection modify team-name team.config
'{"runner": {"name": "activebackup"}, "link_watch": [{"name": "ethtool", "delay_up": 5},{"name": "nsna_ping", "target_host ": "target.host"}]'
Team0
にインターフェイス enp1s0 を追加するには、以下のコマンドを実行します。
~]$ nmcli con add type ethernet con-name Team0-port1 ifname enp1s0 slave-type team master Team0
Connection 'Team0-port1' (ccd87704-c866-459e-8fe7-01b06cf1cffc) successfully added.
~]$ nmcli con add type ethernet con-name Team0-port2 ifname enp2s0 slave-type team master Team0
Connection 'Team0-port2' (a89ccff8-8202-411e-8ca6-2953b7db52dd) successfully added.
nmcli は、イーサネットポートのみをサポートします。
~]$ nmcli connection up Team0-port1
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/2)
~]$ nmcli connection up Team0-port2
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/3)
~]$ ip link
3: Team0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT
link/ether 52:54:00:76:6f:f0 brd ff:ff:ff:ff:ff:f
あるいは、以下のようにチームを有効にするコマンドを実行します。
~]$ nmcli connection up Team0
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/4)
8.10.2. teamd を使用したネットワークチームの作成
root
権限でエディターを使用してファイルを編集することです。利用可能な設定例をリスト表示するには、以下のコマンドを実行します。
~]$ ls /usr/share/doc/teamd-*/example_configs/
activebackup_arp_ping_1.conf activebackup_multi_lw_1.conf loadbalance_2.conf
activebackup_arp_ping_2.conf activebackup_nsna_ping_1.conf loadbalance_3.conf
activebackup_ethtool_1.conf broadcast.conf random.conf
activebackup_ethtool_2.conf lacp_1.conf roundrobin_2.conf
activebackup_ethtool_3.conf loadbalance_1.conf roundrobin.conf
activebackup_ethtool_1.conf
など、含まれているファイルのいずれかを表示するには、以下のコマンドを実行します。
~]$ cat /usr/share/doc/teamd-*/example_configs/activebackup_ethtool_1.conf
{
"device": "team0",
"runner": {"name": "activebackup"},
"link_watch": {"name": "ethtool"},
"ports": {
"enp1s0": {
"prio": -10,
"sticky": true
},
"enp2s0": {
"prio": 100
}
}
}
teamd
設定ファイルを保存する作業設定ディレクトリーを作成します。たとえば通常ユーザーの場合、以下の形式のコマンドを実行します。
~]$ mkdir ~/teamd_working_configs
選択したファイルを作業ディレクトリーにコピーし、必要に応じて編集します。以下の形式のコマンドを使用できます。
~]$ cp /usr/share/doc/teamd-*/example_configs/activebackup_ethtool_1.conf \ ~/teamd_working_configs/activebackup_ethtool_1.conf
ネットワークチームのポートとして使用するインターフェイスを変更する場合など、使用中の環境に適合するようにファイルを編集するには、以下のように編集するファイルを開きます。
~]$ vi ~/teamd_working_configs/activebackup_ethtool_1.conf
必要な変更を加えて、ファイルを保存します。vi (1)
の man ページでは、vi エディターの使用についてのヘルプを参照するか、お好みのエディターを使用してください。
~]$ ip link show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: em1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000
link/ether 52:54:00:d5:f7:d4 brd ff:ff:ff:ff:ff:ff
3: em2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000
link/ether 52:54:00:d8:04:70 brd ff:ff:ff:ff:ff:ff
この例では、使用する予定のインターフェイスはどちらも「UP」になっていることが分かります。
root
で以下の形式のコマンドを実行します。
~]# ip link set down em1
必要に応じて各インターフェイスでこれを繰り返します。
root
ユーザーとして作業設定ディレクトリー(この例ではteamd_working_configs )に移動します。
~]# cd /home/userteamd_working_configs
それから、以下の形式のコマンドを実行します。
~]# teamd -g -f activebackup_ethtool_1.conf -d
Using team device "team0".
Using PID file "/var/run/teamd/team0.pid"
Using config file "/home/user/teamd_working_configs/activebackup_ethtool_1.conf"
-g
オプションはデバッグメッセージ用のオプションであり、-f
オプションは、読み込む設定ファイルを指定することです。-d
オプションは、起動後にプロセスがデーモンとして実行されるようにします。その他のオプションについては、teamd (8)
man ページを参照してください。
root
で以下のコマンドを実行します。
~]# teamdctl team0 state
setup:
runner: activebackup
ports:
em1
link watches:
link summary: up
instance[link_watch_0]:
name: ethtool
link: up
em2
link watches:
link summary: up
instance[link_watch_0]:
name: ethtool
link: up
runner:
active port: em1
root
で以下の形式でコマンドを実行します。
~]# ip addr add 192.168.23.2/24 dev team0
~]$ ip addr show team0
4: team0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
link/ether 16:38:57:60:20:6f brd ff:ff:ff:ff:ff:ff
inet 192.168.23.2/24 scope global team0
valid_lft forever preferred_lft forever
inet6 2620:52:0:221d:1438:57ff:fe60:206f/64 scope global dynamic
valid_lft 2591880sec preferred_lft 604680sec
inet6 fe80::1438:57ff:fe60:206f/64 scope link
valid_lft forever preferred_lft forever
root
で以下の形式のコマンドを実行します。「」
~]# ip link set dev team0 up
root
で以下の形式のコマンドを実行します。
~]# ip link set dev team0 down
root
ユーザーとして以下の形式のコマンドを実行します。
~]# teamd -t team0 -k
-k
オプションは、デバイスに関連付けられたデーモンのインスタンスを指定することです。 team0 強制終了されます。その他のオプションについては、teamd (8)
man ページを参照してください。
teamd
のコマンドラインオプションのヘルプは、次のコマンドを発行します。
~]$ teamd -h
また、teamd (8)
の man ページを参照してください。
8.10.3. ifcfg ファイルを使用したネットワークチームの作成
ifcfg
ファイルを使用してネットワークチームを作成するには、以下のように /etc/sysconfig/network-scripts/
ディレクトリーにファイルを作成します。
DEVICE=team0 DEVICETYPE=Team ONBOOT=yes BOOTPROTO=none IPADDR=192.168.11.1 PREFIX=24 TEAM_CONFIG='{"runner": {"name": "activebackup"}, "link_watch": {"name": "ethtool"}}'これでチームへのインターフェイスが作成されます。つまり、これが
マスター
になります。
/etc/sysconfig/network-scripts/
ディレクトリーに以下のように 1 つ以上のファイルを作成します。
DEVICE=enp1s0 HWADDR=D4:85:64:01:46:9E DEVICETYPE=TeamPort ONBOOT=yes TEAM_MASTER=team0 TEAM_PORT_CONFIG='{"prio": 100}'必要に応じてポートインターフェイスを同様に追加します。追加する各ポート (ネットワークデバイス) に応じて、DEVICE と HWADDR のフィールドを変更します。ポートの優先度が
prio
によって指定されていない場合、デフォルトで 0
になります。-32,767 から +
32,767
までの範囲の負の値および正の値を受け入れます。
root
で以下のコマンドを実行します。
~]# ifup team0
ネットワークチームを表示するには、以下のコマンドを実行します。
~]$ ip link show
8.10.4. iputils を使用したネットワークチームへのポートの追加
root
で以下のコマンドを実行します。
~]# ip link set dev em1 down ~]# ip link set dev em1 master team0必要に応じてさらにポートを追加します。チームドライバーが自動的にポートをアップにします。
8.10.5. teamnl を使用したチームのポートのリスト表示
root
で以下のコマンドを実行します。
~]# teamnl team0 ports
em2: up 100 fullduplex
em1: up 100 fullduplex
8.10.6. teamnl を使用したチームのオプション設定
root
で以下のコマンドを実行します。
~]# teamnl team0 options
チームがアクティブなバックアップモードを使用するように設定するには、root
で以下のコマンドを実行します。
~]# teamnl team0 setoption mode activebackup
8.10.7. iputils を使用したネットワークチームへのアドレス追加
root
で以下のコマンドを実行します。
~]# ip addr add 192.168.252.2/24 dev team0
8.10.8. iputils を使用したネットワークチームへのインターフェイスの有効化
root
で以下のコマンドを実行します。
~]# ip link set team0 up
8.10.9. teamnl を使用したチームのアクティブポートオプション表示
activeport
オプションを表示または一覧表示するには、root
で以下のコマンドを実行します。
~]# teamnl team0 getoption activeport
0
8.10.10. teamnl を使用したチームのアクティブポートオプション設定
activeport
オプションを設定するには、root
で以下のコマンドを実行します。
~]# teamnl team0 setoption activeport 5
チームポートオプションの変更を確認するには、root
で以下のコマンドを実行します。
~]# teamnl team0 getoption activeport
5
8.11. teamdctl を使用した teamd の制御
teamd
のインスタンスに対して統計や設定情報をクエリーしたり、変更を加えたりするには、制御ツール teamdctl を使用します。
root
で以下のコマンドを入力します。
~]# teamdctl team0 state view
さらに詳細な出力を表示するには、以下のコマンドを実行します。
~]# teamdctl team0 state view -v
~]# teamdctl team0 state dump
~]# teamdctl team0 config dump
~]# teamdctl team0 port config dump em1
8.11.1. ネットワークチームへのポートの追加
root
で以下のコマンドを発行します。
~]# teamdctl team0 port add em1
teamdctl
を直接使用してポートを追加する場合は、ポートを down に設定する必要があります。そうしないと、teamdctl team0 port add em1 コマンドが失敗します。
8.11.2. ネットワークチームからのポートの削除
root
で以下のコマンドを発行します。
~]# teamdctl team0 port remove em1
8.11.3. ネットワークチームのポートに対するスティッキー設定の適用
前提条件
- すでにネットワークインターフェイスのチームを作成している。その結果、ポート(em1)の設定を更新します。
手順
- スティッキー設定を更新します em1:
~]# teamdctl team0 port config update em1 '{ "prio": 100, "sticky": true }'
- Remove em1:
~]# teamdctl team0 port remove em1
- 追加 em1 もう一度スティッキー設定が有効になるようにします。
~]# teamdctl team0 port add em1
古い設定は上書きされ、省略されたオプションはデフォルト値にリセットされることに注意してください。他のチームデーモン制御ツールコマンド例は、teamdctl (8)
の man ページを参照してください。
8.11.4. ネットワークチーム内のポート設定表示
root
で以下のコマンドを発行します。
~]# teamdctl team0 port config dump em1
これでポート設定が JSON 形式で標準出力にダンプされます。
8.12. 冗長性についてネットワーク設定チーミングの確認
手順
- チームインターフェイスから、宛先の IP を ping します。以下に例を示します。
~]# ping -I team0 DSTADDR
- どのインターフェイスが
アクティブ
モードであるかを表示します。~]# teamdctl team0 state setup: runner: activebackup ports: enp1s0 link watches: link summary: up instance[link_watch_0]: name: ethtool link: up down count: 0 enp2s0 link watches: link summary: up instance[link_watch_0]: name: ethtool link: up down count: 0 runner: active port: enp1s0
enp1s0 はアクティブ
なインターフェイスです。 - ホストからネットワークケーブルを一時的に削除します。注記ソフトウェアユーティリティーを使用してリンク障害イベントを適切にテストする方法はありません。
ip
やnmcli
などの接続を非アクティブにするツールでは、ポート設定の変更を処理するドライバーの機能のみが表示され、実際のリンク障害イベントは表示されません。 バックアップ
インターフェイスが起動しているかどうかを確認します。~]# teamdctl team0 state setup: runner: activebackup ports: enp1s0 link watches: link summary: down instance[link_watch_0]: name: ethtool link: down down count: 1 enp2s0 link watches: link summary: up instance[link_watch_0]: name: ethtool link: up down count: 0 runner: active port: enp2s0
enp2s0 がアクティブな
インターフェイスになりました。- チームインターフェイスから、宛先の IP を ping できるかどうかを確認します。
~]# ping -I team0 DSTADDR
8.13. teamd ランナーの設定
teamd
ランナーについては、「ネットワークチーミングデーモンおよびランナーについて」 を参照してください。
8.13.1. ブロードキャストランナーの設定
root
でエディターを使用して、以下をチームの JSON 形式設定ファイルに追加します。
{ "device": "team0", "runner": {"name": "broadcast"}, "ports": {"em1": {}, "em2": {}} }
teamd.conf (5)
を参照してください。
8.13.2. ランダムランナーの設定
root
でエディターを使用して、以下をチームの JSON 形式設定ファイルに追加します。
{ "device": "team0", "runner": {"name": "random"}, "ports": {"em1": {}, "em2": {}} }
teamd.conf (5)
を参照してください。
8.13.3. ラウンドロビンランナーの設定
root
でエディターを使用して、以下をチームの JSON 形式設定ファイルに追加します。
{ "device": "team0", "runner": {"name": "roundrobin"}, "ports": {"em1": {}, "em2": {}} }これが、ラウンドロビンの非常に基本的な設定になります。
teamd.conf (5)
を参照してください。
8.13.4. アクティブバックアップランナーの設定
{ "device": "team0", "runner": { "name": "activebackup" }, "link_watch": { "name": "ethtool" }, "ports": { "em1": { "prio": -10, "sticky": true }, "em2": { "prio": 100 } } }この設定例では、ethtool でアクティブバックアップランナーをリンク監視として使用します。ポート em2 に高い優先度が設定されています。スティッキーフラグにより、 em1 がアクティブになると、リンクが起動している限りアクティブな状態が維持されます。
{ "device": "team0", "runner": { "name": "activebackup" }, "link_watch": { "name": "ethtool" }, "ports": { "em1": { "prio": -10, "sticky": true, "queue_id": 4 }, "em2": { "prio": 100 } } }この設定例では、
4
のキュー ID を追加します。ethtool でアクティブバックアップランナーをリンク監視として使用します。ポート em2 に高い優先度が設定されています。ただし、スティッキーフラグにより、 em1 がアクティブになると、リンクが起動している限りアクティブな状態が維持されます。
root
でエディターを使用して、以下をチームの JSON 形式設定ファイルに追加します。
{ "device": "team0", "runner": { "name": "activebackup" }, "link_watch": { "name": "ethtool", "delay_up": 2500, "delay_down": 1000 }, "ports": { "em1": { "prio": -10, "sticky": true }, "em2": { "prio": 100 } } }この設定例では、ethtool でアクティブバックアップランナーをリンク監視として使用します。ポート em2 に高い優先度が設定されています。ただし、スティッキーフラグにより、 em1 がアクティブになると、リンクが起動している限りアクティブな状態が維持されます。リンク変更はランナーに即座に反映されませんが、遅延は適用されます。
teamd.conf (5)
を参照してください。
8.13.5. 負荷分散ランナーの設定
teamd
による介入なしに行われます。
root
でエディターを使用して、以下をチームの JSON 形式設定ファイルに追加します。
{ "device": "team0", "runner": { "name": "loadbalance", "tx_hash": ["eth", "ipv4", "ipv6"] }, "ports": {"em1": {}, "em2": {}} }ハッシュベースのパッシブ送信 (Tx) 負荷分散の設定
root
でエディターを使用して、以下をチームの JSON 形式設定ファイルに追加します。
{ "device": "team0", "runner": { "name": "loadbalance", "tx_hash": ["eth", "ipv4", "ipv6"], "tx_balancer": { "name": "basic" } }, "ports": {"em1": {}, "em2": {}} }基本的ロードバランサーを使用したアクティブ送信 (Tx) 負荷分散の設定
teamd.conf (5)
を参照してください。
8.13.6. LACP (802.3ad) ランナーの設定
root
でエディターを使用して、以下をチームの JSON 形式設定ファイルに追加します。
{ "device": "team0", "runner": { "name": "lacp", "active": true, "fast_rate": true, "tx_hash": ["eth", "ipv4", "ipv6"] }, "link_watch": {"name": "ethtool"}, "ports": {"em1": {}, "em2": {}} }接続先が link aggregation control protocol (LACP) に対応している場合の接続の設定になります。LACP ランナーは ethtool を使用してリンクのステータスを監視する必要があります。ethtool だけがリンク監視に使用できます。たとえば、arp_ping の場合、リンクは起動しません。この理由は、リンクが最初に確立される必要があり、その後でのみ、ARP を含むパケットが送信可能となるためです。ethtool を使用すると、各リンク層を個別に監視するため、これを防ぐことができます。
"tx_balancer": { "name": "basic" }
teamd.conf (5)
を参照してください。
8.13.7. リンクのステータス監視の設定
root
権限でエディターを使用して、JSON 形式の文字列をチームの JSON 形式の設定ファイルに追加します。
8.13.7.1. リンクのステータス監視用の Ethtool 設定
"link_watch": { "name": "ethtool", "delay_up": 2500 }
"link_watch": { "name": "ethtool", "delay_down": 1000 }
8.13.7.2. リンクのステータス監視用の ARP Ping の設定
teamd
は、リンクがアップかどうかを判断するために、ARP REQUEST をリンクのリモート側のアドレスに送信します。使用される方法は arping ユーティリティーと同じですが、そのユーティリティーを使用しません。
{ "device": "team0", "runner": {"name": "activebackup"}, "link_watch":{ "name": "arp_ping", "interval": 100, "missed_max": 30, "source_host": "192.168.23.2", "target_host": "192.168.23.1" }, "ports": { "em1": { "prio": -10, "sticky": true }, "em2": { "prio": 100 } } }この設定では、arp_ping をリンク監視として使用します。
missed_max
オプションは、逃したリプライの最大許容数 (ARP 応答など) の制限値です。これは interval
オプションとともに選択して、リンクがダウンだと報告されるまでの合計回数を決定します。
root
で以下のコマンドを実行します。
~]# teamdctl port config update em2 JSON-config-file古い設定は上書きされ、省略されたオプションはデフォルト値にリセットされることに注意してください。他のチームデーモン制御ツールコマンド例は、
teamdctl (8)
の man ページを参照してください。
8.13.7.3. リンクのステータス監視用の IPv6 NA/NS の設定
{ "device": "team0", "runner": {"name": "activebackup"}, "link_watch": { "name": "nsna_ping", "interval": 200, "missed_max": 15, "target_host": "fe80::210:18ff:feaa:bbcc" }, "ports": { "em1": { "prio": -10, "sticky": true }, "em2": { "prio": 100 } } }
"link_watch": { "name": "nsna_ping", "interval": 200 }ここでの値は、ミリ秒単位の正の数になります。これは
missed_max
オプションとともに選択して、リンクがダウンだと報告されるまでの合計回数を決定します。
"link_watch": { "name": "nsna_ping", "missed_max": 15 }実行されなかった NS/NA 返信パケットの最大数。この数を超えると、リンクがオフラインになっていると報告されます。
missed_max
オプションは、逃したリプライの最大許容数 (ARP 応答など) の制限値です。これは interval
オプションとともに選択して、リンクがダウンだと報告されるまでの合計回数を決定します。
IPv6
アドレスターゲットアドレスに解決されるホスト名を設定するには、以下のセクションを追加または編集します。
"link_watch": { "name": "nsna_ping", "target_host": "MyStorage" }「target_host」 オプションには、NS/NA パケットのターゲットアドレスとして使用される
IPv6
アドレスに変換されるホスト名が含まれます。IPv6
アドレスは、ホスト名の代わりに使用できます。
teamd.conf (5)
を参照してください。
8.13.8. ポート選択上書きの設定
teamd
ランナー)のポリシーを使用して選択されます。ただし場合によっては、送信トラフィックの特定クラスを、特定の物理的インターフェイスに向けて、やや複雑なポリシーを実装することが役に立つこともあります。デフォルトでは、チームドライバーはマルチキューを認識し、ドライバーが初期化されると 16 のキューが作成されます。キューが増減する必要がある場合は、Netlink 属性 tx_queues を使用してチームドライバーのインスタンスの作成時にこの値を変更できます。
queue_id
で設定できます。
{ "queue_id": 3 }これらのキュー ID を tc ユーティリティーと組み合わせて使用して、マルチキューキュー識別子とフィルターを設定し、特定のポートデバイスで特定のトラフィックを送信するようにフィルターを設定できます。たとえば、上記の設定を使用し、
192.168.1.100
にバインドされているすべてのトラフィックを強制的に使用させる場合 enp1s0 チームで出力デバイスとして、root
で以下の形式のコマンドを実行します。
~]# tc qdisc add dev team0 handle 1 root multiq ~]# tc filter add dev team0 protocol ip parent 1: prio 1 u32 match ip dst \ 192.168.1.100 action skbedit queue_mapping 3トラフィックを特定ポートにバインドするためにランナー選択論理を上書きするこのメカニズムは、すべてランナーに使用できます。
8.13.9. BPF ベースの Tx ポートセレクターの設定
eth
: ソースおよび宛先の MAC アドレスを使用します。VLAN
: VLAN ID を使用します。ipv4
: ソースおよび宛先のIPv4
アドレスを使用します。ipv6
- ソースおよび宛先IPv6
アドレスを使用します。ip
: ソースおよび宛先のIPv4
およびIPv6
アドレスを使用します。L3
: ソースおよび宛先のIPv4
およびIPv6
アドレスを使用します。TCP
: ソースおよび宛先のTCP
ポートを使用します。UDP
: ソースおよび宛先のUDP
ポートを使用します。SCTP
: ソースおよび宛先のSCTP
ポートを使用します。L4
: ソースおよび宛先のTCP
およびUDP
およびSCTP
ポートを使用します。
"tx_hash": ["eth", "ipv4", "ipv6"]例は「負荷分散ランナーの設定」を参照してください。
8.14. GUI を使用したネットワークチームの作成
8.14.1. チーム接続の確立
手順8.1 nm-connection-editor を使用して新規チーム接続を追加する
- 端末に nm-connection-editor と入力します。
~]$ nm-connection-editor
- Add ボタンをクリックします。Choose a Connection Type ウィンドウが表示されます。Team を選択し、Create を クリックします。チーム接続 1の編集 ウィンドウが表示されます。
図8.6 NetworkManager グラフィカルユーザーインターフェイスの追加メニュー
[D] - チーム タブで をクリックし、チーム接続で使用するインターフェイスのタイプを選択します。 ボタンをクリックします。ポートタイプを選択するダイアログが表示されるのは、最初のポートを作成する時のみです。その後は、すべてのポートに同じタイプが自動的に使われます。
- team0 スレーブ 1 の編集 ウィンドウが表示されます。
図8.7 NetworkManager グラフィカルユーザーインターフェイスの
スレーブ
接続追加
[D] - カスタムポート設定を適用する場合は、Team Port タブをクリックして JSON 設定文字列を入力するか、ファイルからインポートします。
- チーミングされたポートの名前が Team connections ウィンドウに表示されます。 ボタンをクリックして、さらにポート接続を追加します。
- 設定を確認してから Save ボタンをクリックします。
- チーム固有の設定は、以下の「チームタブの設定」を参照してください。
手順8.2 既存のチーム接続を編集する
- 端末に nm-connection-editor と入力します。
~]$ nm-connection-editor
- 編集する接続を選択し、Edit ボタンをクリックします。
- General タブを選択します。
- 編集 ダイアログの 5 つの設定は、ほとんどの接続の種類に共通です。General タブを参照してください。
- 接続名: ネットワーク接続のわかりやすい名前を入力します。この名前は、Network ウィンドウのメニューでこの接続を一覧表示するために使用されます。
- Connection priority for auto-activation - 接続が自動接続に設定されていると、番号がアクティブになります(デフォルトでは
0
)。数値が大きいほど優先度が高くなります。 - Automatically connect to this network when it is available - このボックスを選択すると、NetworkManager が利用可能なときにこの接続に自動接続します。詳細は、「control-center を使用した既存の接続の編集」を参照してください。
- All users can connect to this network - このボックスを選択すると、システム上のすべてのユーザーが 利用できる接続が作成されます。この設定を変更するには、root 権限が必要になる場合があります。詳細は、「GUI を使用したシステム全体およびプライベート接続プロファイルの管理」を参照してください。
- Automatically connect to VPN when using this connection - このボックスを選択すると、NetworkManager が利用可能なときに VPN 接続に自動接続します。ドロップダウンメニューから VPN を選択します。
- ファイアウォールゾーン - ドロップダウンメニューからファイアウォールゾーンを選択します。ファイアウォールゾーンに関する詳細情報は、『Red Hat Enterprise Linux 7 セキュリティーガイド』を参照してください。
- チーム固有の設定は、以下の「チームタブの設定」を参照してください。
新規 (または修正した) 接続を保存して他の設定を行う
- または
8.14.1.1. チームタブの設定
8.15. 関連情報
インストールされているドキュメント
teamd (8)
man ページ -teamd
サービスについて説明しています。teamdctl (8)
man ページ -teamd
制御ツールについて説明しています。teamd.conf (5)
man ページ -teamd
設定ファイルが説明されています。teamnl (8)
man ページ -teamd
Netlink ライブラリーについて説明しています。bond2team (1)
man ページ:ボンディングオプションをチームに変換するツールを説明しています。
オンラインドキュメント
- http://www.w3schools.com/js/js_json_syntax.asp
- JSON 構文についての説明です。
第9章 ネットワークブリッジングの設定
9.1. テキスト形式のユーザーインターフェイス nmtui によるブリッジングの設定
~]$ nmtui
テキストユーザーインターフェイスが表示されます。無効なコマンドがあると、使用方法に関するメッセージが表示されます。
- メニューから 接続の編集 を選択します。Add を選択すると、New Connection 画面が開きます。
図9.1 NetworkManager テキスト形式のユーザーインターフェイスのブリッジ接続追加メニュー
[D] - Bridge を選択すると、接続の編集 画面が開きます。
- ブリッジにポートインターフェイスを追加するには 追加 を選択すると、新規接続 画面が開きます。Connection のタイプを選択したら、Create ボタンを選択して、ブリッジの Edit Connection 表示を表示します。
図9.2 NetworkManager テキスト形式ユーザーインターフェイスで新規ブリッジ
スレーブ
接続の追加メニュー
[D] - Device セクションに、必要なポートのデバイス名または MAC アドレスを入力します。必要に応じて、イーサネット ラベルの右側にある Show を選択して、ブリッジの MAC アドレスとして使用するクローンの MAC アドレスを入力します。OK ボタンを選択します。注記MAC アドレスなしでデバイスを指定すると、Edit Connection ウィンドウが再読み込みされると Device セクションが自動的に入力されますが、デバイスが正常に見つかった場合にのみデバイスセクションが自動的に設定されます。
図9.3 NetworkManager テキスト形式ユーザーインターフェイスでブリッジ
スレーブ
を設定するメニュー
[D] - Slaves セクションにブリッジポートの名前が表示されます。さらにポート接続を追加する場合は、上記のステップを繰り返します。
- 設定を確認してから、OK ボタンを選択します。
図9.4 NetworkManager テキスト形式ユーザーインターフェイスでブリッジを設定するメニュー
[D]
9.2. NetworkManager のコマンドラインツール nmcli の使用
root
で以下のコマンドを発行します。
~]# nmcli con add type bridge ifname br0
Connection 'bridge-br0' (6ad5bba6-98a0-4f20-839d-c997ba7668ad) successfully added.
インターフェイス名が指定されない場合、名前はデフォルトで bridge,bridge-1,bridge-2などになります。
~]$ nmcli con show
NAME UUID TYPE DEVICE
bridge-br0 79cf6a3e-0310-4a78-b759-bda1cc3eef8d bridge br0
enp1s0 4d5c449a-a6c5-451c-8206-3c9a4ec88bca 802-3-ethernet enp1s0
STP
を無効にするには、root
で以下のコマンドを実行します。
~]# nmcli con modify bridge-br0 bridge.stp no
このブリッジの 802.1D STP
を再度有効にするには、root
で以下のコマンドを実行します。
~]# nmcli con modify bridge-br0 bridge.stp yes
802.1D STP
のデフォルトのブリッジ優先度は 32768
です。root ブリッジ選択では、少ない値が選ばれます。たとえば、優先度が 28672
のブリッジは、優先度が 32768
(デフォルト)のブリッジよりも root ブリッジとして選択されます。デフォルト値以外の値のブリッジを作成するには、以下のコマンドを実行します。
~]$ nmcli con add type bridge ifname br5 stp yes priority 28672
Connection 'bridge-br5' (86b83ad3-b466-4795-aeb6-4a66eb1856c7) successfully added.
許可される値は 0
から 65535
です。
~]$ nmcli connection modify bridge-br5 bridge.priority 36864
許可される値は 0
から 65535
です。
:80:C2: 00:00:00 から 01:80:C2
:00:00:0F
に設定するには、group-forward-mask
プロパティーを変更します。このプロパティーは、16 ビットのマスクです。各ビットは、転送する必要がある上記の範囲内のグループアドレスに対応します。以下に例を示します。
~]$ nmcli connection modify bridge-br5 bridge.group-forward-mask 8
group-forward-mask
プロパティーは、0
、1
、2
ビットを 1
に設定することはできません。これは、スパニングツリープロトコル(STP)、リンクアグリゲーション制御プロトコル(LACP)、およびイーサネット MAC 一時停止フレームに使用されるためです。
~]$ nmcli -f bridge con show bridge-br0
802.1D STP
のその他のオプションは、man ページの nmcli (1)
の bridge セクションに記載されています。
~]$ nmcli con add type ethernet ifname enp1s0 master bridge-br0
Connection 'bridge-slave-enp1s0' (70ffae80-7428-4d9c-8cbd-2e35de72476e) successfully added.
- そのコントローラーとポートタイプのプロパティーを変更します。たとえば、vlan100 という名前の既存の VLAN 接続を割り当てるには、次のコマンドを実行します。
~]$ nmcli connection modify vlan100 master bridge-br0 slave-type bridge
- 接続を再度アクティブにして、変更を適用します。
~]$ nmcli connection up vlan100
~]$ nmcli connection edit bridge-br0
nmcli プロンプトが表示されます。
nmcli> set bridge.priority 4096 nmcli> save Connection 'bridge-br0' (79cf6a3e-0310-4a78-b759-bda1cc3eef8d) successfully saved. nmcli> quit
9.3. コマンドラインインターフェイス (CLI) の使用
9.3.1. ブリッジングカーネルモジュールがインストールされているかの確認
root
で以下のコマンドを実行して、モジュールがロードされていることを確認することができます。
~]# modprobe --first-time bridge
modprobe: ERROR: could not insert 'bridge': Module already in kernel
モジュールについての情報を表示するには、以下のコマンドを実行します。
~]$ modinfo bridge
コマンドオプションについては、modprobe (8)
の man ページを参照してください。
9.3.2. ネットワークブリッジの作成
/etc/sysconfig/network-scripts/
ディレクトリーに ifcfg-brN
という名前のファイルを作成し、N を 0
などのインターフェイスの番号に置き換えます。
DEVICE
ディレクティブは、brN
形式の引数としてインターフェイス名を指定しています。N はインターフェイスの数に置き換えます。TYPE
ディレクティブには、引数Bridge
が指定されています。このディレクティブは、デバイスタイプと、引数が大文字/小文字を区別するかを決定します。- ブリッジインターフェイス設定ファイルには
IP
アドレスが割り当てられますが、物理インターフェイスの設定ファイルには MAC アドレスのみが必要です(以下を参照)。 - 追加のディレクティブ
DELAY=0
が加えられ、ブリッジがトラフィックを監視し、ホストの位置を学習し、フィルタリング機能の基になる MAC アドレステーブルを構築する間に、ブリッジが待機することを回避します。ルーティングループが可能でない場合は、デフォルトの 15 秒遅延は不要です。
例9.1 ifcfg-br0 インターフェイス設定ファイルの例
IP
アドレスを使用したブリッジインターフェイスの設定ファイルの例になります。
DEVICE=br0 TYPE=Bridge IPADDR=192.168.1.1 PREFIX=24 BOOTPROTO=none ONBOOT=yes DELAY=0
例9.2 ifcfg-enp1s0 インターフェイス設定ファイルの例
/etc/sysconfig/network-scripts/ifcfg-device_name
で物理インターフェイスを設定します。device_name はインターフェイスの名前です。
DEVICE=device_name TYPE=Ethernet HWADDR=AA:BB:CC:DD:EE:FF BOOTPROTO=none ONBOOT=yes BRIDGE=br0
ifcfg-rh
は、「Type Interface」 の形式で接続プロファイルの名前を作成します。この例では、ブリッジの名前が Bridge br0
であることを意味します。または、NAME=bridge-br0 が ifcfg-br0
ファイルに追加されると、接続プロファイルの名前は bridge-br0
になります。
DEVICE
ディレクティブでは、デバイスの種類を判断しないため、ほとんどすべてのインターフェイス名を使用できます。TYPE=Ethernet
は必須ではありません。TYPE
ディレクティブが設定されていない場合、(名前が明確に異なるインターフェイス設定ファイルと合致していなければ) そのデバイスはイーサネットデバイスとして扱われます。
ifup device
の形式で root
でコマンドを実行します。このコマンドは、NetworkManager が実行されているかどうかを検出し、nmcli con load UUID を呼び出して、nmcli con up UUID を呼び出します。
root
で以下のコマンドを実行します。
~]# systemctl restart network
このコマンドは、ネットワークサービスを停止し、ネットワークサービスを起動してから、ONBOOT=yes の ifcfg ファイルすべてに対して ifup を呼び出します。
NetworkManager.conf
ファイルの monitor-connection-files
オプションで設定されます。詳細は、NetworkManager.conf (5)
man ページを参照してください。
9.3.3. ボンドを使ったネットワークブリッジ
DEVICE=interface_name TYPE=Ethernet SLAVE=yes MASTER=bond0 BOOTPROTO=none HWADDR=AA:BB:CC:DD:EE:FF
interface_name
をインターフェイス名として使用することは一般的ですが、ほとんどすべての名前を使用することができます。
/etc/sysconfig/network-scripts/ifcfg-bond0
を作成または編集します。
DEVICE=bond0 ONBOOT=yes BONDING_OPTS='mode=1 miimon=100' BRIDGE=brbond0ボンディングモジュールの設定に関する指示およびアドバイスとボンディングパラメーターのリストについては、「チャンネルボンディングの使用」を参照してください。
/etc/sysconfig/network-scripts/ifcfg-brbond0
を以下のように作成または編集します。
DEVICE=brbond0 ONBOOT=yes TYPE=Bridge IPADDR=192.168.1.1 PREFIX=24
MASTER=bond0
ディレクティブを持つ 2 つ以上のインターフェイス設定ファイルができました。これらは、DEVICE=bond0
ディレクティブを含む /etc/sysconfig/network-scripts/ifcfg-bond0
という名前の設定ファイルを参照します。この ifcfg-bond0
は、/etc/sysconfig/network-scripts/ifcfg-brbond0
設定ファイルを参照します。これには IP
アドレスが含まれ、ホスト内の仮想ネットワークへのインターフェイスとして機能します。
ifup device
の形式で root
でコマンドを実行します。このコマンドは、NetworkManager が実行されているかどうかを検出し、nmcli con load UUID を呼び出して、nmcli con up UUID を呼び出します。
root
で以下のコマンドを実行します。
~]# systemctl restart network
このコマンドは、ネットワークサービスを停止し、ネットワークサービスを起動してから、ONBOOT=yes の ifcfg ファイルすべてに対して ifup を呼び出します。
NetworkManager.conf
ファイルの monitor-connection-files
オプションで設定されます。詳細は、NetworkManager.conf (5)
man ページを参照してください。
9.4. GUI を使ったネットワークブリッジングの設定
DHCP
や IPv6
自動設定などのネットワーク依存 IP
設定を開始します。ポートまたはポートが接続されるか、またはパケットの転送を開始する前に、静的 IP
アドレス処理を続行できます。
9.4.1. GUI を使用したブリッジ接続の確立
手順9.1 nm-connection-editor を使用して新規ブリッジ接続の追加
- 端末に nm-connection-editor と入力します。
~]$ nm-connection-editor
- Add ボタンをクリックします。Choose a Connection Type ウィンドウが表示されます。Bridge を選択し、Create を クリックします。ブリッジ 接続 1の編集 ウィンドウが表示されます。
図9.5 ブリッジ接続 1 の編集
[D] - 以下の 手順9.3「ブリッジにポートインターフェイスを追加する」 を参照してポートデバイスを追加します。
手順9.2 既存のブリッジ接続を編集する
- 端末に nm-connection-editor と入力します。
~]$ nm-connection-editor
- 編集する Bridge 接続を選択します。
- Edit ボタンをクリックします。
接続名、自動接続の動作、可用性の設定
- 接続名: ネットワーク接続のわかりやすい名前を入力します。この名前は、Network ウィンドウのメニューでこの接続を一覧表示するために使用されます。
- Automatically connect to this network when it is available - このボックスを選択すると、NetworkManager が利用可能なときにこの接続に自動接続します。詳細は、「control-center を使用した既存の接続の編集」を参照してください。
- All users can connect to this network - このボックスを選択すると、システム上のすべてのユーザーが 利用できる接続が作成されます。この設定を変更するには、root 権限が必要になる場合があります。詳細は、「GUI を使用したシステム全体およびプライベート接続プロファイルの管理」を参照してください。
- Automatically connect to VPN when using this connection - このボックスを選択すると、NetworkManager が利用可能なときに VPN 接続に自動接続します。ドロップダウンメニューから VPN を選択します。
- ファイアウォールゾーン - ドロップダウンメニューからファイアウォールゾーンを選択します。ファイアウォールゾーンに関する詳細情報は、『Red Hat Enterprise Linux 7 セキュリティーガイド』を参照してください。
9.4.1.1. ブリッジタブを設定する
- インターフェイス名
- ブリッジへのインターフェイス名。
- ブリッジ接続
- 1 つ以上のポートインターフェイス。
- エージング時間
- MAC アドレスが MAC アドレス転送データベースに保持される時間 (秒単位)。
- IGMP スヌーピングのを有効化
- 必要に応じて、チェックボックスをオンにして、デバイスで IGMP スヌーピングを有効にします。
- STP (スパニングツリープロトコル) を有効化
- 必要に応じて、チェックボックスを選択して
STP
を有効にします。 - 優先度
- ブリッジの優先度。優先度の一番低いブリッジが root ブリッジに選ばれます。
- 転送遅延
- 転送状態に入るまでのリスニングと状態確認の両方に費やされる秒数。デフォルトは 15 秒です。
- Hello タイム
- ブリッジプロトコルデータ単位 (BPDU) で設定情報を送信する間隔 (秒単位)。
- 最大エージ
- BPDU カラの設定情報を保存する最大秒数。この値は Hello タイムを 2 倍したものに 1 を加えたものになりますが、転送遅延を 2 倍したものから 1 を引いたものよりも少なくなる必要があります。
- グループ転送マスク
- このプロパティーは、グループアドレスの転送を許可するグループアドレスのマスクです。ほとんどの場合、01
:80:C2:
の範囲のグループアドレスは、ブリッジデバイスによって転送されません。このプロパティーは、16 ビットのマスクで、それぞれ上記の範囲内のグループアドレスに対応しており、転送する必要があります。00:00:00 から 01:80:C2
:00:00:0Fグループ転送マスク
プロパティーは、スパニングツリープロトコル(STP)、リンクアグリゲーション制御プロトコル(LACP)、およびイーサネット MAC 一時停止フレームに使用されるため、0
、
、1
2
ビットを 1 に設定できないことに注意してください。
手順9.3 ブリッジにポートインターフェイスを追加する
- ブリッジにポートを追加するには、ブリッジ 接続 1の編集 ウィンドウで Bridge タブを選択します。必要な場合は、手順9.2「既存のブリッジ接続を編集する」の手順に従ってこのウィンドウを開きます。
- 接続の種類の選択 メニューが表示されます。をクリックします。
- リストから作成する接続の種類を選択します。Create をクリックします。選択した接続タイプに該当するウィンドウが表示されます。
図9.6 NetworkManager グラフィカルユーザーインターフェイスのブリッジ接続追加
[D] - Bridge Port タブを選択します。必要に応じて Priority and Path cost を設定します。ブリッジポートの STP 優先度は Linux カーネルで制限されていることに注意してください。標準では
0
から255
の範囲が許可されますが、Linux では0
から63
までしか許可されません。この場合、デフォルトは32
です。図9.7 NetworkManager グラフィカルユーザーインターフェイスでのブリッジポートタブ
[D] - 必要な場合は、Hairpin mode チェックボックスを選択して、外部処理用のフレームの転送を有効にします。これは、仮想イーサネットポートアグリゲーター (VEPA) モードとも呼ばれます。
- イーサネットポートの場合は Ethernet タブをクリックして 「基本設定オプション 」 に進みます。
- ボンディングポートの場合は、Bond タブをクリックして 「Bond タブの設定」 に進みます。または、
- チームポートの場合は Team タブをクリックして 「チームタブの設定」 に進みます。
- VLAN ポートの場合は VLAN タブをクリックして 「VLAN タブの設定」 に進みます。
新規 (または修正した) 接続を保存して他の設定を行う
図9.8 NetworkManager グラフィカルユーザーインターフェイスでのブリッジ
[D]
9.5. iproute を使用したイーサネットブリッジの設定
優先度
、コスト
、状態
などのブリッジポートオプションを設定できます。
ip
ユーティリティーを使用して、ブリッジデバイスに割り当てられたインターフェイス enp1s0 にポートオプションを設定するには、root
で以下のコマンドを実行します。
~]# ip link set enp1s0 type bridge_slave option
ip
ユーティリティーを使用して利用可能なオプションを選択するには、root
で以下のコマンドを実行します。
~]# ip link help bridge_slave
Usage: ... bridge_slave [ state STATE ] [ priority PRIO ] [cost COST ]
[ guard {on | off} ]
[ hairpin {on | off} ]
[ fastleave {on | off} ]
[ root_block {on | off} ]
[ learning {on | off} ]
[ flood {on | off} ]
ポートオプションの詳細は、man ページの ip-link (8)
を参照してください。
9.6. 関連情報
nmcli (1)
man ページ - NetworkManager のコマンドラインツールを説明しています。nmcli-examples (5)
man ページ - nmcli コマンドの例を説明します。nm-settings (5)
man ページ - NetworkManager 接続の設定およびパラメーターが説明されています。ip-link (8)
man ページ - ブリッジポートオプションの説明。
第10章 802.1Q VLAN タグの設定
- ボンド上に VLAN を作成した場合は、ボンドにポートがあり、VLAN インターフェイスをアクティブにする前にそれらが 「up」 になっていることが重要です。ポートのないボンドに VLAN インターフェイスを追加しても機能しません。
- VLAN 仮想デバイスは、親の新規 MAC アドレスに一致するように MAC アドレスを変更できないため、
fail_over_mac=follow
オプションが指定されたボンディングで VLAN ポートを設定することはできません。この場合、トラフィックは間違ったソースの MAC アドレスで送信されます。 - VLAN のタグ付けがされたパケットをネットワークスイッチ経由で送信するには、スイッチを適切に設定する必要があります。たとえば、複数の VLAN からタグ付けされたパケットを受け付けるには、Cisco スイッチ上のポートは 1 つの VLAN に割り当てられているか、トランクポートになるように設定されている必要があります。一部ベンダーのスイッチでは、トランクポートが ネイティブ VLAN のタグ付けされていないフレームを処理することが許されます。一部のデバイスでは、ネイティブ VLAN を有効または無効にすることができますが、他のデバイスでは、デフォルトでは無効になっています。この相違が原因となり、異なる 2 つのスイッチ間で ネイティブ VLAN の誤設定が生じ、セキュリティーリスクが発生する可能があります。以下に例を示します。あるスイッチは ネイティブ VLAN 1 を使用し、他のスイッチは ネイティブ VLAN 10 を使用するとします。タグが挿入されずにフレームの通過が許可されると、攻撃者は VLAN 間をジャンプすることができます。この一般的なネットワーク侵入方法は、VLAN ホッピング とも呼ばれています。セキュリティーリスクを最小限に抑えるためには、インターフェイスを以下のように設定します。
- スイッチ
- 必要でない限り、トランクポートを無効にする。
- トランクポートが必要な場合は、タグ付けされていないフレームが許可されないように ネイティブ VLAN を無効にする。
- Red Hat Enterprise Linux サーバー
- nftables ユーティリティーまたは ebtables ユーティリティーを使用して、入力フィルターリングでタグ付けされていないフレームをドロップします。
- 古いネットワークインターフェイスカードやループバックインターフェイス、Wimax カードや InfiniBand デバイスのなかには、VLAN 非対応 といって、VLAN をサポートできないものもあります。これは通常、これらのデバイスがタグ付けされたパケットに関連する VLAN ヘッダーや大きい MTU サイズに対応できないためです。
10.1. VLAN インターフェイス設定方式の選択
- NetworkManager のテキストユーザーインターフェイスツール nmtui を使用して VLAN インターフェイスを設定するに は、に進みます。 「テキスト形式のユーザーインターフェイス nmtui を使った 802.1Q VLAN タグの設定」
- NetworkManager のコマンドラインツール nmcli を使用して VLAN インターフェイスを設定するに は、に進みます。 「コマンドラインツール nmcli を使った 802.1Q VLAN タグの設定」
- ネットワークインターフェイスを手動で設定するには、「コマンドラインを使用した 802.1Q VLAN タグの設定」を参照してください。
- グラフィカルユーザーインターフェイスツールを使ってネットワークを設定するには、「GUI を使用した 802.1Q VLAN タグの設定」に進みます。
10.2. テキスト形式のユーザーインターフェイス nmtui を使った 802.1Q VLAN タグの設定
~]$ nmtui
テキストユーザーインターフェイスが表示されます。無効なコマンドがあると、使用方法に関するメッセージが表示されます。
図10.1 NetworkManager テキスト形式のユーザーインターフェイスの VLAN 接続追加メニュー
[D]
図10.2 NetworkManager テキスト形式ユーザーインターフェイスで VLAN 接続を設定するメニュー
[D]
10.3. コマンドラインツール nmcli を使った 802.1Q VLAN タグの設定
~]$ nmcli con show
NAME UUID TYPE DEVICE
System enp2s0 9c92fad9-6ecb-3e6c-eb4d-8a47c6f50c04 802-3-ethernet enp2s0
System enp1s0 5fb06bd0-0bb0-7ffb-45f1-d6edd65f3e03 802-3-ethernet enp1s0
出力の NAME フィールドは常に接続 ID を表すことに留意してください。これはインターフェイス名と同じように見えますが、異なるものです。nmcli connection コマンドで ID を使用して接続を識別できます。firewalld
などの他のアプリケーションで DEVICE 名を使用します。
10
のイーサネットインターフェイス enp1s0 で 802.1Q VLAN インターフェイスを作成するには、以下のコマンドを実行します。
~]$ nmcli con add type vlan ifname VLAN10 dev enp1s0 id 10
Connection 'vlan-VLAN10' (37750b4a-8ef5-40e6-be9b-4fb21a4b6d17) successfully added.
VLAN インターフェイスに con-name
を指定しなかったため、接続名がインターフェイス名の前に種類を追加したものとなっていることに留意してください。別の方法では、以下のように con-name
オプションで名前を指定します。
~]$ nmcli con add type vlan con-name VLAN12 dev enp1s0 id 12
Connection 'VLAN12' (b796c16a-9f5f-441c-835c-f594d40e6533) successfully added.
VLAN インターフェイスにアドレスを割り当てる
IPv4
アドレスとゲートウェイを持つ VLAN インターフェイスを作成するコマンドは以下のようになります。
~]$ nmcli con add type vlan con-name VLAN20 dev enp1s0 id 20 ip4 10.10.10.10/24 \ gw4 10.10.10.254
~]$ nmcli con add type vlan con-name VLAN30 dev enp1s0 id 30
~]$ nmcli con show
NAME UUID TYPE DEVICE
VLAN12 4129a37d-4feb-4be5-ac17-14a193821755 vlan enp1s0.12
System enp2s0 9c92fad9-6ecb-3e6c-eb4d-8a47c6f50c04 802-3-ethernet enp2s0
System enp1s0 5fb06bd0-0bb0-7ffb-45f1-d6edd65f3e03 802-3-ethernet enp1s0
vlan-VLAN10 1be91581-11c2-461a-b40d-893d42fed4f4 vlan VLAN10
~]$ nmcli -p con show VLAN12 =============================================================================== Connection profile details (VLAN12) =============================================================================== connection.id: VLAN12 connection.uuid: 4129a37d-4feb-4be5-ac17-14a193821755 connection.interface-name: -- connection.type: vlan connection.autoconnect: yes … ------------------------------------------------------------------------------- 802-3-ethernet.port: -- 802-3-ethernet.speed: 0 802-3-ethernet.duplex: -- 802-3-ethernet.auto-negotiate: yes 802-3-ethernet.mac-address: -- 802-3-ethernet.cloned-mac-address: -- 802-3-ethernet.mac-address-blacklist: 802-3-ethernet.mtu: auto … vlan.interface-name: -- vlan.parent: enp1s0 vlan.id: 12 vlan.flags: 0 (NONE) vlan.ingress-priority-map: vlan.egress-priority-map: ------------------------------------------------------------------------------- =============================================================================== Activate connection details (4129a37d-4feb-4be5-ac17-14a193821755) =============================================================================== GENERAL.NAME: VLAN12 GENERAL.UUID: 4129a37d-4feb-4be5-ac17-14a193821755 GENERAL.DEVICES: enp1s0.12 GENERAL.STATE: activating [output truncated]
nmcli (1)
man ページの VLAN セクションに記載されています。man ページでは、VLAN が作成されるデバイスは、parent device と呼ばれています。上記の例では、デバイスはインターフェイス名 enp1s0
で指定されており、接続 UUID または MAC アドレスで指定することもできます。
13
で、以下のコマンドを実行します。
~]$ nmcli con add type vlan con-name VLAN1 dev enp2s0 id 13 ingress "2:3,3:5"
~]$ nmcli connection show vlan-VLAN10
~]$ nmcli connection modify vlan-VLAN10 802.mtu 1496
MTU 設定は、ネットワーク層パケットの最大サイズを決定します。リンク層フレームが送信可能なペイロードの最大サイズは、ネットワーク層 MTU を制限します。通常のイーサネットフレームの場合、1500 バイトの MTU になります。VLAN 設定の際には、802.1Q タグを受け入れるためにリンク層ヘッダーのサイズが 4 バイト拡大されるので、MTU を変更する必要はありません。
connection.interface-name
と vlan.interface-name
は同じでなければなりません(設定されている場合)。したがって、nmcli のインタラクティブモードを使用して同時に変更する必要があります。VLAN 接続名を変更するには、以下のコマンドを実行します。
~]$ nmcli con edit vlan-VLAN10 nmcli> set vlan.interface-name superVLAN nmcli> set connection.interface-name superVLAN nmcli> save nmcli> quit
ioctl
フラグを設定および消去できます。次の VLAN フラグが NetworkManager でサポートされています。
- 0x01 - 出力パケットヘッダーを並び替えます。
- 0x02 - GVRP プロトコルを使用します。
- 0x04 - インターフェイスとそのマスターのバインディングを外します。
0x04
は、loose binding モードを有効にします。このモードでは、動作状態のみが親から関連付けられた VLAN に渡されますが、VLAN デバイスの状態は変更されません。
~]$ nmcli connection modify vlan-VLAN10 vlan.flags 1
10.4. コマンドラインを使用した 802.1Q VLAN タグの設定
8021q
モジュールはデフォルトでロードされています。必要に応じて、root
で以下のコマンドを実行して、モジュールがロードされていることを確認することができます。
~]# modprobe --first-time 8021q
modprobe: ERROR: could not insert '8021q': Module already in kernel
モジュールについての情報を表示するには、以下のコマンドを実行します。
~]$ modinfo 8021q
コマンドオプションについては、modprobe (8)
の man ページを参照してください。
10.4.1. ifcfg ファイルを使用した 802.1q VLAN タグの設定
/etc/sysconfig/network-scripts/ifcfg-device_name
で親インターフェイスを設定します。device_name はインターフェイスの名前です。DEVICE=interface_name TYPE=Ethernet BOOTPROTO=none ONBOOT=yes
/etc/sysconfig/network-scripts/
ディレクトリーで VLAN インターフェイスを設定します。設定ファイル名は、親インターフェイスに.
文字と VLAN ID 番号を加えたものにする必要があります。たとえば、VLAN ID が 192 で、親インターフェイスが enp1s0 の場合、設定ファイル名はifcfg-enp1s0.192
になります。DEVICE=enp1s0.192 BOOTPROTO=none ONBOOT=yes IPADDR=192.168.1.1 PREFIX=24 NETWORK=192.168.1.0 VLAN=yes
同じインターフェイス enp1s0 で 2 つ目の VLAN (VLAN ID 193 など)を設定する必要がある場合は、VLAN 設定の詳細でenp1s0.193
という名前の新しいファイルを追加します。- 変更を反映させるには、ネットワークサービスを再起動します。
root
で以下のコマンドを実行します。~]# systemctl restart network
10.4.2. ip コマンドを使用した 802.1Q VLAN タグの設定
8
の場合は、root
で以下のコマンドを実行します。
~]# ip link add link enp1s0 name enp1s0.8 type vlan id 8
VLAN を表示するには、以下のコマンドを実行します。
~]$ ip -d link show enp1s0.8
4: enp1s0.8@enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT
link/ether 52:54:00:ce:5f:6c brd ff:ff:ff:ff:ff:ff promiscuity 0
vlan protocol 802.1Q id 8 <REORDER_HDR>
0x
で始まる場合、および 8 進数値( 0
の場合)として、VLAN ID を 16 進数として解釈することに注意してください。つまり、10 進数の値が 22
の VLAN ID を割り当てるには、ゼロを追加しないでください。
root
で以下のコマンドを実行します。
~]# ip link delete enp1s0.8
~]# ip link add link enp1s0 name enp1s0.1 type vlan id 1 ip link set dev enp1s0.1 up ~]# ip link add link enp1s0 name enp1s0.2 type vlan id 2 ip link set dev enp1s0.2 up
tcpdump -nnei enp1s0 -vvv
ifcfg
ファイルを使用します。「ifcfg ファイルを使用した 802.1q VLAN タグの設定」 を参照
10.5. GUI を使用した 802.1Q VLAN タグの設定
10.5.1. VLAN 接続の確立
手順10.1 nm-connection-editor を使用して新規 VLAN 接続を追加する
- 端末に nm-connection-editor と入力します。
~]$ nm-connection-editor
- Add ボタンをクリックします。Choose a Connection Type ウィンドウが表示されます。VLAN を選択し、Create を クリックします。VLAN 接続 1の編集 ウィンドウが表示されます。
- VLAN タブで、VLAN 接続に使用する親インターフェイスをドロップダウンリストから選択します。
- VLAN ID を入力します。
- VLAN インターフェイス名を入力します。これは、作成される VLAN インターフェイスの名前です。たとえば、
enp1s0.1 または
vlan2
などです。(通常、これは親インターフェイス名に 「.
」 と VLAN ID を加えたか、「vlan
」 に VLAN ID を加えたものになります。) - 設定を確認してから Save ボタンをクリックします。
- VLAN 固有の設定を編集するには、「VLAN タブの設定」を参照してください。
図10.3 nm-connection-editor を使用して新規 VLAN 接続を追加する
[D]
手順10.2 既存の VLAN 接続を編集する
- 端末に nm-connection-editor と入力します。
~]$ nm-connection-editor
- 編集する接続を選択し、Edit ボタンをクリックします。
- General タブを選択します。
- 接続名、自動接続の動作、および可用性のセッティングを設定します。編集 ダイアログの これらの設定は、すべての接続の種類に共通です。
- 接続名: ネットワーク接続のわかりやすい名前を入力します。この名前は、ネットワーク ウィンドウの VLAN セクションでこの接続を一覧表示するために使用されます。
- Automatically connect to this network when it is available - このボックスを選択すると、NetworkManager が利用可能なときにこの接続に自動接続します。詳細は、「control-center を使用した既存の接続の編集」を参照してください。
- Available to all users - このボックスを選択して、システム上のすべてのユーザーが利用できる接続を作成します。この設定を変更するには、root 権限が必要になる場合があります。詳細は、「GUI を使用したシステム全体およびプライベート接続プロファイルの管理」を参照してください。
- VLAN 固有の設定を編集するには、「VLAN タブの設定」を参照してください。
新規 (または修正した) 接続を保存して他の設定を行う
- または
10.5.1.1. VLAN タブの設定
- 親インターフェイス
- ドロップダウンリストから以前に設定したインターフェイスを選択できます。
- VLAN ID
- VLAN ネットワークのトラフィックのタグ付けに使用する ID 番号。
- VLAN インターフェイス名
- 作成される VLAN インターフェイスの名前。たとえば、
enp1s0.1 または
vlan2
などです。 - クローンした MAC アドレス
- VLAN インターフェイスの特定に使用する別の MAC アドレスをオプションで設定します。このアドレスを使って、この VLAN 上で送信されたパケットのソース MAC アドレスを変更することができます。
- MTU
- VLAN 接続で送信されるパケットに使用する最大転送単位 (MTU) のサイズをオプションで設定します。
10.6. ip コマンドを使用したボンドおよびブリッジ上での VLAN の使用
root
としてボンドデバイスを追加します。# ip link add bond0 type bond # ip link set bond0 type bond miimon 100 mode active-backup # ip link set em1 down # ip link set em1 master bond0 # ip link set em2 down # ip link set em2 master bond0 # ip link set bond0 up
- ボンドデバイス上に VLAN を設定します。
# ip link add link bond0 name bond0.2 type vlan id 2 # ip link set bond0.2 up
- ブリッジデバイスを追加し、そこに VLAN をアタッチします。
# ip link add br0 type bridge # ip link set bond0.2 master br0 # ip link set br0 up
10.7. NetworkManager のコマンドラインツール nmcli の使用した、ボンドおよびブリッジの VLAN
- ボンドデバイスを追加します。
~]$ nmcli connection add type bond con-name Bond0 ifname bond0 bond.options "mode=active-backup,miimon=100" ipv4.method disabled ipv6.method ignore
この場合、ボンド接続は、VLAN の下位インターフェイスとしてのみ機能し、IP アドレスを取得しません。したがって、ipv4.method disabled
パラメーターおよびipv6.method ignore
パラメーターがコマンドラインに追加されました。 - ボンドデバイスにポートを追加します。
~]$ nmcli connection add type ethernet con-name Slave1 ifname em1 master bond0 slave-type bond ~]$ nmcli connection add type ethernet con-name Slave2 ifname em2 master bond0 slave-type bond
- ブリッジデバイスを追加します。
~]$ nmcli connection add type bridge con-name Bridge0 ifname br0 ipv4.method manual ipv4.addresses 192.0.2.1/24
- ブリッジデバイスに割り当てられたボンドに、VLAN インターフェイスを追加します。
~]$ nmcli connection add type vlan con-name Vlan2 ifname bond0.2 dev bond0 id 2 master br0 slave-type bridge
- 作成した接続を表示します。
~]$ nmcli connection show NAME UUID TYPE DEVICE Bond0 f05806fa-72c3-4803-8743-2377f0c10bed bond bond0 Bridge0 22d3c0de-d79a-4779-80eb-10718c2bed61 bridge br0 Slave1 e59e13cb-d749-4df2-aee6-de3bfaec698c 802-3-ethernet em1 Slave2 25361a76-6b3c-4ae5-9073-005be5ab8b1c 802-3-ethernet em2 Vlan2 e2333426-eea4-4f5d-a589-336f032ec822 vlan bond0.2
10.8. VLAN スイッチポートモードの設定
switchport モード
を設定する必要があります。Red Hat Enterprise Linux サーバーまたはワークステーションは、通常は 1 つの VLAN にのみ接続されているため、switchport mode access
を適切なものにし、デフォルト設定にします。
switchport mode trunk
を設定する必要があります。
スイッチポートモードトランク
を使用します。インターフェイスに IP アドレスのみを設定する場合は、Cisco スイッチポートモードによるアクセス
を使用します。
10.9. 関連情報
ip-link (8)
man ページ - ip ユーティリティーのネットワークデバイス設定コマンドが説明されています。nmcli (1)
man ページ - NetworkManager のコマンドラインツールを説明しています。nmcli-examples (5)
man ページ - nmcli