8.2. Настройка Сети

К ОСНОВАМ Необходимое понятие о сети (Ethernet, IP адрес, подсети, широковещательная рассылка пакетов)

Большинство современных локальных сетей используют протокол Ethernet, где данные разделяются на небольшие блоки, называемые кадрами и передаются по кабелю - за один раз - один кадр. Скорость передачи данных варьируется от 10 Мб/с для старых карт Ethernet до 100 Гбит/с - в новейших картах (при этом наиболее распространенная скорость в настоящее время растет со 100 Мбит/с до 10 Гбит/с). Наиболее широко используемые стандарты кабелей называются 10BASE-T, 100BASE-T, 1000BASE-T, 10GBASE-T и 40GBASE-T, в зависимости от обеспечиваемой ими пропускной способности (Т означает “twisted pair”(витая пара)); концы этих проводов обжимаются разъёмами RJ45. Имеются и другие типы кабелей, используемых в основном для скорости 10 Гбит/с и выше.

IP-адрес представляет собой номер, используемый для идентификации сетевого интерфейса на компьютере, на локальной сети или в Интернете. В настоящее время наиболее распространенной версией протокола является IP (IPv4). Номер IP кодируется в 32 бита, и обычно представляет из себя 4 блока 3-х значных чисел, разделённых точками (например 192.168.0.1), значение каждого блока находится в интервале от 0 до 255 (включительно, что соответствует 8-ми битной кодировке). Следующая версия протокола IPv6 расширяет адресное пространство до 128-бит, а сами адреса обычно представляют из себя последовательность из шестнадцатеричных чисел, разделенные на колонки через двоеточие (например, 2001:0db8:13bb:0002:0000:0000:0000:0020, или 2001:db8:13bb:2::20 для краткости).

Маска подсети (netmask) определяется в двоичном коде, у которой IP-адрес делится на две части - одна определяет адрес в наружной сети (например интернет), а вторая часть - определяет адрес машины во внутренней (локальной) сети. В примере, приведенном здесь, сконфигурирован статичный адрес IPv4, маска подсети, 255.255.255.0 (24 "1"(единицы) и следом за ними 8 "0"(нулей) в бинарном представлении, то есть 11111111111111111111111100000000) указывает на то, что первые 24 бит статичного IP-адреса соотносятся с адресом в наружной сети (например интернет или, в крупной сети (надсеть), то есть в сети рангом повыше), а другие 8 бит являются специфическими для данной машины. В IPv6, для удобочитаемости, указывается только количество “1”(единиц); маска сети для IPv6-сети может, таким образом, быть 64.

В IP-адресе, который приведен выше, номером машины является 0. Диапазон сетевых IPv4-адресов в сформированной сети часто синтаксически указывается следующим образом, a.b.c.d/e, в котором a.b.c.d является сетевым адресом и e - количество бит затрагивающие сетевую часть в IP-адресе. Пример сети, таким образом, можно записать: 192.168.0.0/24. Похожий синтаксис и в IPv6: 2001:db8:13bb:2::/64.

Маршрутизатор представляет собой устройство, которое соединяет несколько сетей друг с другом. Весь трафик, проходящий через маршрутизатор, направляется в нужную сеть. Для этого, маршрутизатор анализирует входящие пакеты и перенаправляет их в соответствии с IP-адресом места их конечного назначения. Маршрутизатор часто известен как шлюз; в этой конфигурации, он работает как машина, которая помогает выйти за пределы своей локальной сети (по направлению к расширенной сети, такой как Интернет).

Специальный широковещательный адрес (broadcast address - xxx.xxx.xxx.255) соединяет все станции в сети. Почти никогда не маршрутизируется, его функции в сети - рассылка дейтаграмм для компьютеров данной сети. В частности, это означает, что пакет данных с широковещательным адресом никогда не проходит через маршрутизатор.

Данная глава посвящена адресам IPv4, поскольку они сейчас наиболее часто используются. К особенностям протокола IPv6 мы обращаемся в разделе Раздел 10.6, «IPv6», но основные принципы остаются теми же.

Сеть автоматически настраивается во время первоначальной установки. Если Network Manager установлен (что обычно происходит при полной установке с рабочим столом), возможно, никакая настройка фактически не потребуется (например, если вы используете DHCP при проводном соединении и у вас нет особых требований). Если требуется настройка (например, для интерфейса WiFi), то будет создан соответствующий файл в /etc/NetworkManager/system-connections/.

ЗАМЕТКА Диспетчер сети

Если Network Manager особенно рекомендуется при настройке роуминга(см. Раздел 8.2.5, «Автоматическая настройка сети для мобильных пользователей»), его также можно использовать в качестве умолчального инструмента управления сетью. Вы можете создать «Системные подключения», которые будут использоваться сразу после загрузки компьютера, либо вручную с помощью файла типа .ini в /etc/NetworkManager/system-connections/, либо с помощью графического инструмента (nm-connection-editor). Если вы использовали ifupdown, то надо отключить все записи в /etc/network/interfaces, если вы хотите чтобы Диспетчер сети сам создал эти записи (то есть по своему разумению). Ссылки:

→ https://wiki.gnome.org/Projects/NetworkManager/SystemSettings

→ https://developer.gnome.org/NetworkManager/1.30/ref-settings.html

Если Network Manager не установлен, установщик настроит ifupdown создав файл /etc/network/interfaces. Строка, начинающаяся с auto, даёт список интерфейсов, которые будут автоматически настраиваться при загрузке службой networking. При наличии большого количества интерфейсов рекомендуется хранить конфигурацию в разных файлах внутри /etc/network/interfaces.d/, как описано во врезке ВЕРНЁМСЯ К ОСНОВАМ Каталоги, оканчивающиеся на .d.

Таким образом, в контексте сервера ifupdown - инструмент настройки сети, который обычно у вас есть. Именно поэтому мы рассмотрим его в следующих разделах. Для получения дополнительной информации о синтаксисе файла конфигурации прочтите interfaces(5).

8.2.1. Ethernet Интерфейс

Если компьютер оснащен картой Ethernet, связанную с ней IP-сеть необходимо настроить, выбрав один из двух методов. Самый простой метод — динамическая настройка с помощью DHCP, для которого требуется DHCP-сервер в локальной сети. Он может указывать желаемое имя хоста, соответствующее настройке hostname в примере ниже. Затем DHCP-сервер отправляет параметры конфигурации для соответствующей сети.

Пример 8.1. Конфигурация DHCP

auto enp0s31f6
iface enp0s31f6 inet dhcp
  hostname arrakis

НА ПРАКТИКЕ Имена сетевых интерфейсов

По умолчанию ядро присваивает сетевым интерфейсам общие имена, такие как eth0 (для проводного Ethernet) или wlan0 (для WiFi). Число в этих именах представляет собой простой инкрементный счетчик, представляющий порядок, в котором они были обнаружены. На современном оборудовании этот порядок (по крайней мере теоретически) может меняться при каждой перезагрузке, поэтому умолчальные имена ненадёжны.

К счастью, systemd и udev умеют переименовывать интерфейсы, как только они появляются. Политика имен по умолчанию определяется /lib/systemd/network/99-default.link (см. systemd.link(5) для объяснения NamePolicy записи в этом файле). На практике имена часто основаны на физическом местоположении устройства (как можно предположить по тому, где оно подключено), и вы увидите имена, начинающиеся с en для проводного Ethernet и wl для Wi-Fi. В приведенном выше примере остальная часть имени в сокращенной форме указывает на PCI (p) номер шины (0), номер слота (s31), номер функции (f6). Таким образом, имя становится предсказуемым.

Очевидно, вы можете переопределить эту политику и/или дополнить её чтобы настроить имена конкретных интерфейсов. Вы можете узнать имена сетевых интерфейсов в выводе команды ip addr (или в виде имен файлов в файле /sys/class/net/).

В некоторых случаях может потребоваться отключить предсказуемое именование сетевых устройств, как описано выше. Помимо изменения правила udev по умолчанию, для достижения этой цели также можно загрузить систему, используя параметры ядра net.ifnames=0 (восстанавливает поведение ядра по умолчанию) и biosdevname=0 для достижения этой цели.

Предшественник схемы предсказуемых имён назывался «схема постоянных имён». Это было сделано с помощью udev правила назначения имени устройства на основе MAC-адреса. От этой схемы отказались, и с выпуском Debian 10 Buster пользователям было предложено перейти на предсказуемые имена сетевых устройств.

→ https://www.debian.org/releases/buster/amd64/release-notes/ch-information.en.html#migrate-interface-names

«Статическая» конфигурация должна указывать сетевые настройки фиксированным образом. Как минимум IP-адрес и маску подсети; а также иногда необходимо указать сетевой и широковещательный адреса. В качестве шлюза будет указан маршрутизатор, подключающийся к внешнему устройству.

Пример 8.2. Статическая конфигурация

auto enp0s31f6
iface enp0s31f6 inet static
  address 192.168.0.3/24
  broadcast 192.168.0.255
  network 192.168.0.0
  gateway 192.168.0.1

ЗАМЕТКА Настройка нескольких адресов

Можно взаимно увязать не только несколько интерфейсов с одной сетевой картой, физически установленной в компьютер, но также присвоить несколько IP-адресов на одиночный интерфейс. Чтобы назначить их, просто создайте несколько записей iface для того же устройства. Запомните также, что IP-адрес может соответствовать любому количеству имён через DNS, и что имя также может быть соотнесено с любым количеством пронумерованных IP-адресов.

Как вы можете догадаться, конфигурации могут быть довольно сложными, но эти опции используются только в весьма специфичных случаях. Приведенные здесь примеры типичны для обычных конфигураций.

8.2.2. Беспроводной интерфейс

Заставить работать беспроводные сетевые карты может быть немного сложнее. Прежде всего, они часто требуют установки проприетарных прошивок, которые по умолчанию не установлены в Debian. Затем беспроводные сети полагаются на криптографию, чтобы разрешить доступ только авторизованным пользователям, это подразумевает сохранение некоторого секретного ключа в конфигурации сети. Давайте рассмотрим эти темы одну за другой.

8.2.2.1. Установка необходимых прошивок

Сначала вам необходимо включить несвободный репозиторий в файле APT source.list: см. подробности об этом файле в Раздел 6.1, «Содержимое файла sources.list». Многие прошивки являются проприетарными и поэтому находятся в этом репозитории. Если хотите, вы можете попробовать пропустить этот шаг, но если на следующем шаге необходимая прошивка не будет найдена, повторите попытку после включения non-free (несвободного) раздела.

Затем вам необходимо установить соответствующие пакеты firmware-*. Если вы не знаете, какой пакет вам нужен, вы можете установить пакет isenkram и запустить его командой isenkram-autoinstall-firmware. Пакеты часто называются в честь производителя оборудования или соответствующего модуля ядра: firmware-iwlwifi для беспроводных карт Intel, firmware-atheros для Qualcomm Atheros, firmware-ralink для Ralink и т. д. Затем рекомендуется перезагрузка, поскольку драйвер ядра обычно ищет файлы прошивки при первой загрузке, а не после неё.

8.2.2.2. Специальные записи для беспроводной связи в `/etc/network/interfaces`

ifupdown умеет управлять беспроводными интерфейсами, но ему нужна помощь пакета wpasupplicant, который обеспечивает необходимую интеграцию между командами ifupdown и wpa_supplicant, используемыми для настройки беспроводных интерфейсов (при использовании шифрования WPA/WPA2). Обычную запись в /etc/network/interfaces необходимо расширить двумя дополнительными параметрами, чтобы указать имя беспроводной сети (также известное как её SSID) и Pre-Shared Key (PSK).

Пример 8.3. Конфигурация DHCP для беспроводного интерфейса

auto wlp4s0
iface wlp4s0 inet dhcp
  wpa-ssid Falcot
  wpa-psk ccb290fd4fe6b22935cbae31449e050edd02ad44627b16ce0151668f5f53c01b

wpa-psk параметр может содержать либо текстовую парольную фразу, либо её хешированную версию, сгенерированную с помощью wpa_passphrase SSID passphrase. Если вы используете незашифрованное беспроводное соединение, вам следует установить wpa-key-mgmt NONE и удалить запись wpa-psk. Для получения дополнительной информации о возможных вариантах конфигурации см. /usr/share/doc/wpasupplicant/README.Debian.gz.

На этом этапе вам следует рассмотреть возможность ограничения прав на чтение /etc/network/interfaces только для пользователя root, поскольку файл содержит закрытый ключ, к которому не все пользователи должны иметь доступ.

8.2.3. Подключение к PPP через PSTN-модем

Соединение «точка-точка» (PPP) устанавливает прерывистое соединение; это наиболее распространенное решение для соединений, осуществляемых с помощью телефонного модема («модем PSTN», поскольку соединение осуществляется через коммутируемую телефонную сеть общего пользования).

Для подключения через телефонный модем требуется учетная запись у провайдера доступа, включая номер телефона, имя пользователя, пароль и, иногда, используемый протокол аутентификации. Такого рода соединения настраиваются с применением инструмента pppconfig, расположенного в одноименном пакете Debian. По умолчанию, он устанавливает соединение с именем provider (к примеру с именем вашего Интернет-провайдера). Если вы сомневаетесь в протоколе аутентификации, выберите PAP: его применяют большинство Интернет-сервис провайдеров.

После настройки, становится возможным соединиться командой pon (передавая ей имя соединения как параметр, когда установленное по умолчанию значение provider не подходит). Отключить это соединение можно с командой poff. Указанные две команды могут быть выполнены пользователем администратор (root), или любым другим пользователем, включенным в группу dip.

8.2.4. Подключение через ADSL модем

Общим названием “ADSL модем” обозначают большую группу устройств с очень различными функциями. Модемы, что могут быть запросто использованы с Linux имеют в своем составе интерфейс Ethernet (а не только интерфейс USB). Это направление (развития модемов с интегрированным интерфейсом Ethernet) становится все более популярным. Большинство Интернет провайдеров, оказывающих услуги по предоставлению доступа в интернет по технологии ADSL, предлагают пользователям долгосрочную ссуду или дают в аренду “коробку” с интерфейсом Ethernet. В зависимости от типа модема, параметры их настройки могут изменяться в широком диапазоне.

8.2.4.1. Модемы, поддерживающие протокол PPPoE

Некоторые Ethernet - модемы работают с протоколом PPPOE (Point to Point Protocol over Ethernet - протокол "точка-точка поверх Интернет"). Инструмент pppoeconf (из одноимённого пакета) настраивает такое соединение. Для этого, он изменяет файл с настройками провайдера /etc/ppp/peers/dsl-provider и записывает данные для входа (login) в файлы /etc/ppp/pap-secrets и /etc/ppp/chap-secrets. Рекомендуется принять все изменения, предлагаемые этой командой.

Как только настройка будет закончена, вы можете открыть ADSL-соединение с командой pon dsl-provider или закрыть с poff dsl-provider.

СОВЕТ Включите команду ppp в автостарт (boot)

PPP соединение поверх ADSL является, по определению, неустойчивым. Поскольку оно обычно не тарифицируется по времени, у пользователя появляется соблазн держать его всегда открытыми. Однако имеется и несколько минусов такого решения. Стандартным решением для этого является использование системы инициализации (init).

С помощью systemd добавление задачи автоматического перезапуска для ADSL-соединения — это простой вопрос создания «единичного файла», такого как /etc/systemd/system/adsl-connection.service со следующим содержимым:

[Unit]
Description=ADSL connection

[Service]
Type=forking
ExecStart=/usr/sbin/pppd call dsl-provider
Restart=always

[Install]
WantedBy=multi-user.target

Как только этот unit файл будет создан, его надо будет включить командой systemctl enable adsl-connection. Этот цикл можно запустить вручную командой systemctl start adsl-connection; также он будет автоматически запущен при старте системы.

На системах, не использующих systemd (включая Wheezy и более ранние версии Debian), стандартная система инициализации SystemV работает по-другому. На таких системах, всё, что нужно — это добавить в конец файла /etc/inittab строку, аналогичную следующей; при разрыве соединения init его переподключит.

adsl:2345:respawn:/usr/sbin/pppd call dsl-provider

Для ADSL соединений, выполняющих автовыключение ежедневно, этот способ сокращает длительность прерывания.

8.2.4.2. Модемы, поддерживающие PPTP

PPTP (туннельный протокол типа точка-точка - Point-to-Point Tunneling Protocol) был создан компанией Microsoft. Его использование брало своё начало от ADSL, однако очень быстро было заменено на PPPOE. Если вас принуждают использовать этот протокол, то смотрите Раздел 10.3.4, «PPTP».

8.2.4.3. Модемы, поддерживающие DHCP

Когда модем подключён к компьютеру кабелем Ethernet (перекрёстный кабель - crossover cable), обычно на компьютере вы настраиваете сетевое соединение с помощью DHCP, а модем работает как шлюз (gateway) и берет на себя заботу о маршрутизации (то есть управляет сетевым трафиком между компьютером и Интернет).

К ОСНОВАМ Перекрёстный (crossover) кабель для прямого соединения Ethernet

Компьютерные сетевые карты ожидают получать данные по конкретным проводам (жилкам) в кабеле и посылают такие же данные по другим. При подключении компьютера к локальной сети, обычно вы соединяете кабелем (прямым или перекрестным) сетевую карту с концентратором или коммутатором. Однако, если вы хотите соединить между собою два компьютера напрямую (без концентратора или коммутатора) необходимо направлять сигнал, посылаемый одной картой в получающую часть другой карты, и наоборот. Для этого предназначен перекрестный кабель, и это причина его использования.

Обратите внимание, что это различие со временем стало почти неактуальным, поскольку современные сетевые карты способны определять тип присутствующего кабеля и соответствующим образом адаптироваться, поэтому нет ничего необычного в том, что оба типа кабеля будут работать в данном местоположении.

Большинство “ADSL маршрутизаторов”, имеющихся сегодня в продаже, можно использовать так же, как ADSL модемы, которые предоставляют пользователям провайдеры Internet.

8.2.5. Автоматическая настройка сети для мобильных пользователей

Многие инженеры Falcot имеют портативный компьютер, который они используют и дома в рабочих целях. Настройки используемых сетевых подключений различны в зависимости от местоположения. Дома это может быть радиосвязь wifi (защищенная ключом WPA), а на рабочем месте проводная сеть для улучшения безопасности и большей полосы пропускания.

Чтобы избежать ручного подсоединения и отсоединения от интерфейса соответствующей сети, администраторы установили пакет network-manager на мобильные компьютеры. Это программное обеспечение позволяет пользователям быстро переключаться из одной сети в другую используя маленькую иконку в области уведомлений графической среды. Щелчком по этой иконке можно вывести список всех доступных сетей (проводная и беспроводная), и далее можно выбрать из них ту сеть, к которой пользователь хочет подключиться. Программа сохраняет конфигурацию сетей, к которым пользователь уже подключался, и автоматически переключается на лучшую доступную сеть при разрыве текущего соединения.

Чтобы достичь такого результата, программа была разделена на 2 части: запущенный с правами администратора (root) процесс (daemon) активирует и настраивает сетевой интерфейс, и этот процесс контролируется через пользовательский интерфейс. PolicyKit обрабатывает необходимые проверки авторизации для контроля этой программы и Debian настраивает PolicyKit таким образом, что участники группы netdev могут добавлять и изменять соединения Менеджера сети.

Network Manager (менеджер сети) знает как обработать различные типы соединений (DHCP, ручная настройка, локальная сеть), но только в случае, если эти настройки произведены им. Вот почему иногда Менеджер сети игнорирует все сетевые интерфейсы в /etc/network/interfaces и /etc/network/interfaces.d/. Так как Network Manager не выдаёт подробностей по сетевому соединению, настроенному без его участия (не показываемому в иконке), быстрое решение данной проблемы - удалить из /etc/network/interfaces любые настройки для интерфейсов, которые должны управляться самим Network Manager (и потом при его запуске он заново создаст конфигурационные файлы сетевых соединений).

Обратите внимание, что эта программа устанавливается по умолчанию в случае, если при первоначальной установке системы было выбрано задание “Окружение рабочего стола”.