Scroll to navigation

SYSTEMD.NETDEV(5) systemd.network SYSTEMD.NETDEV(5)

BEZEICHNUNG

systemd.netdev - Konfiguration des virtuellen Netzwerkgerätes

ÜBERSICHT

netdev.netdev

BESCHREIBUNG

Eine einfache ini-artige Textdatei, die von systemd-networkd(8) verwandt wird und die Konfiguration von virtuellen Netzwerkgeräten kodiert. Siehe systemd.syntax(7) für eine allgemeine Beschreibung der Syntax.

Das Hauptdatei für das virtuelle Netzwerkgerät muss die Endung »&.netdev« haben, andere Endungen werden ignoriert. Virtuelle Netzwerkgeräte werden erstellt, sobald Networkd gestartet wird. Falls ein Netdev mit dem angegebenen Namen bereits existiert, wird Networkd es wie vorhanden benutzen, anstelle sein eigenes zu erstellen. Beachten Sie, dass Einstellungen von bereits existierenden Netdev durch Networkd nicht geändert werden.

Die Dateien .netdev werden aus Dateien, die sich im Systemnetzwerkverzeichnis /lib/systemd/network, dem flüchtigen Laufzeitnetzwerkverzeichnis /run/systemd/network und dem lokal administrierten Netzwerkverzeichnis /etc/systemd/network befinden, gelesen. Alle Konfigurationsdateien werden gemeinsam sortiert und in lexikalischer Reihenfolge verarbeitet, unabhängig von den Verzeichnissen, in denen sie sich befinden. Allerdings ersetzen Dateinamen mit lexikalisch identischen Dateinamen einander. Dateien in /etc/ haben die höchste Priorität, Dateien in /run/ haben Vorrang vor Dateien mit dem gleichen Namen in /lib/. Dies kann, falls notwendig, zum Außerkraftsetzen von systemweit bereitgestellten Konfigurationsdateinamen durch lokale Dateien verwandt werden. Als Spezialfall deaktiviert eine leere Datei (Dateigröße 0) oder ein Symlink auf /dev/null mit dem gleichen Namen die Konfigurationsdatei komplett (sie ist »maskiert«).

Zusammen mit der Netdev-Datei foo.netdev kann ein »Ergänzungs«-Verzeichnis foo.netdev.d/ existieren. Alle Dateien mit der Endung ».conf« aus diesem Verzeichnis werden ausgewertet, nachdem die Datei selbst ausgewertet wurde. Dies ist nützlich, um die Konfigurationseinstellungen zu ändern oder zu ergänzen, ohne die Hauptkonfigurationsdatei selbst zu verändern. Jede Ergänzungsdatei muss über geeignete Abschnittkopfzeilen verfügen.

Zusätzlich zu /etc/systemd/network können Ergänzungs-».d«-Verzeichnisse in die Verzeichnisse /lib/systemd/network oder /run/systemd/network abgelegt werden. Ergänzungsdateien in /etc/ haben Vorrang vor denen in /run/, die wiederum Vorrang vor denen in /lib/ haben. Ergänzungsdateien unter all diesen Verzeichnissen haben Vorrang vor der Haupt-Netdev-Datei, wo auch immer sich diese befindet. (Da /run/ temporär und /usr/lib/ für Lieferanten vorgesehen ist, ist es natürlich unwahrscheinlich, dass Ergänzungsverzeichnisse an einem der beiden Orte verwandt werden sollten.)

UNTERSTÜTZTE NETDEV-ARTEN

Die folgenden Arten von virtuellen Netzwerkgeräten können in .netdev-Dateien konfiguriert werden:

Tabelle 1. Unterstützte Arten von virtuellen Netzwerkgeräten

Art Beschreibung
bond Ein Bond-Gerät ist eine Zusammenstellung aller seiner Slave-Geräte. Siehe das Linux-Ethernet-Bonding-Treiber-HOWTO[1] für Details.
bridge Ein Bridge-Gerät ist ein Software-Switch und jedes seiner Slave-Geräte und die Bridge selbst sind Ports des Switches.
dummy Ein Pseudogerät, das alle an es gesandten Pakete verwirft.
gre Ein GRE-Tunnel der Stufe 3 über IPv4. Siehe RFC 2784[2] für Details.
gretap Ein GRE-Tunnel der Stufe 2 über IPv4.
erspan ERSPAN spiegelt den Netzwerkverkehr auf einem oder mehreren Quell-Ports und liefert den gespiegelten Verkehr an einen oder mehrere Ziel-Ports auf einem anderen Switch. Der Netzwerkverkehr wird mittels »Generic routing encapsulation« (GRE) gekapselt und lässt sich daher zwischen dem Quell-Switch und dem Ziel-Switch über ein Layer-3-Netzwerk routen.
ip6gre Ein GRE-Tunnel der Stufe 3 über IPv6.
ip6tnl Ein IPv4- oder IPv6-Tunnel über IPv6
ip6gretap Ein GRE-Tunnel der Stufe 2 über IPv6.
ipip Ein IPv4-über-IPv4-Tunnel.
ipvlan Ein IPVLAN-Gerät ist ein gestapeltes Gerät, das basierend auf IP-Adressfilterung Pakete von seinem unterliegenden Gerät bekommt.
ipvtap Ein IPVTAP-Gerät ist ein gestapeltes Gerät, das basierend auf IP-Adressfilterung Pakete von seinem unterliegenden Gerät bekommt und auf das mittels der Tap-Benutzerschnittstelle zugegriffen werden kann.
macvlan Ein macvlan-Gerät ist ein gestapeltes Gerät, das basierend auf MAC-Adressfilterung Pakete von seinem unterliegenden Gerät bekommt.
macvtap Ein macvtap-Gerät ist ein gestapeltes Gerät, das basierend auf MAC-Adressfilterung Pakete von seinem unterliegenden Gerät bekommt.
sit Ein IPv6-über-IPv4-Tunnel.
tap Ein dauerhafter Stufe-2-Tunnel zwischen einem Netzwerkgerät und einem Geräteknoten.
tun Ein dauerhafter Stufe-3-Tunnel zwischen einem Netzwerkgerät und einem Geräteknoten.
veth Ein Ethernet-Tunnel zwischen einem Paar von Netzwerkgeräten.
vlan Ein VLAN ist ein gestapeltes Gerät, das basierend auf VLAN-Markierungen Pakete von seinem zugrundeliegenden Gerät erhält. Siehe IEEE 802.1Q[3] für Details.
vti Ein IPv4-über-IPSec-Tunnel.
vti6 Ein IPv6-über-IPSec-Tunnel.
vxlan Ein virtuell erweiterbares LAN (vxlan) zur Verbindung von Cloud-Computing-Einsätzen.
geneve Ein »GEneric NEtwork Virtualization Encapsulation«- (GENEVE) Netdev-Treiber.
l2tp Ein »Layer 2 Tunneling Protocol« (L2TP) ist ein Tunnelprotokoll, das zur Unterstützung virtueller privater Netze (VPNs) oder als Teil der Auslieferung von Diensten durch Internetzugangsanbieter verwandt wird. Dieses Protokoll bietet keine Verschlüsselung oder Vertraulichkeit.
macsec »Media Access Control Security« (MACsec) ist eine 802.1AE-IEEE-Industriestandardtechnik, die sichere Kommunikation für sämtlichen Verkehr auf Ethernet-Links bereitstellt. MACsec bietet End-zu-End-Sicherheit auf Ethernet-Links zwischen direkt verbundenen Knoten und ist in der Lage, die meisten Sicherheitsbedrohungen zu erkennen und zu verhindern.
vrf Eine virtuelle Routing- und Weiterleitungs- (VRF[4]) Schnittstelle, um separate Routing- und Weiterleitungs-Domains zu erstellen.
vcan Der virtuelle CAN-Treiber (vcan). Ähnlich dem Netzwerk-Loopback-Gerät bietet vcan eine virtuelle, lokale CAN-Schnittstelle.
vxcan Der virtuelle CAN-Tunnel-Treiber (vxcan). Ähnlich dem virtuellen Ethernet-Treiber veth implementiert vxcan einen lokalen CAN-Verkehrstunnel zwischen zwei virtuellen CAN-Netzwerkgeräten. Bei der Erstellung eines vxcan werden zwei vxcan-Geräte als Paar erstellt. Wenn ein Ende ein Paket empfängt, erscheint es auf seinem Partner und umgedreht. Der vxcan kann für Namensraum-übergreifende Kommunikation verwandt werden.
wireguard Sicherer WireGuard-Netzwerktunnel.
nlmon Ein Netlink-Überwachungsgerät. Verwenden Sie ein Nlmon-Gerät, wenn Sie die System-Netlink-Nachrichten überwachen möchten.
fou Foo-über-UDP-Tunnelung.
xfrm Eine virtuelle Tunnelschnittstelle ähnlich vti/vti6, aber mit mehreren Vorteilen.
ifb Die »Intermediate Functional Block« (ifb) Pseudo-Netzwerkschnittstelle agiert als QoS-Konzentrator für mehrere verschiedene Quellen von Verkehr.
bareudp Nackte UDP-Tunnel stellen eine generische L3-Kapselungsunterstützung zum Tunneln verschiedener L3-Protokolle wie MPLS, IP usw. innerhalb eines UDP-Tunnels bereit.

[MATCH]-ABSCHNITT-OPTIONEN

Ein virtuelles Netzwerkgerät wird nur erstellt, falls der Abschnitt »[Match]« auf die aktuelle Umgebung passt oder falls der Abschnitt leer ist. Die folgenden Schlüssel werden akzeptiert:

Host=

Passt auf den Rechnernamen oder die Maschinenkennung des Rechners. Siehe »ConditionHost=« in systemd.unit(5) für Details. Das Ergebnis wird negiert, wenn ein Ausrufezeichen (»!«) vorangestellt wird. Falls eine leere Zeichenkette zugewiesen wird, dann wird der vorher zugewiesene Wert bereinigt.

Virtualization=

Prüft, ob das System in einer virtualisierten Umgebung ausgeführt ist und testet optional, ob es eine bestimmte Implementierung ist. Siehe »ConditionVirtualization=« in systemd.unit(5) für Details. Das Ergebnis wird negiert, wenn ein Ausrufezeichen (»!«) vorangestellt wird. Falls eine leere Zeichenkette zugewiesen wird, dann wird der vorher zugewiesene Wert bereinigt.

KernelCommandLine=

Prüft, ob eine bestimmte Kernelbefehlzeilenoption gesetzt ist. Siehe »ConditionKernelCommandLine=« in systemd.unit(5) für Details. Das Ergebnis wird negiert, wenn ein Ausrufezeichen (»!«) vorangestellt wird. Falls eine leere Zeichenkette zugewiesen wird, dann wird der vorher zugewiesene Wert bereinigt.

KernelVersion=

Prüft, ob die Kernelversion (wie von uname -r gemeldet) auf einen bestimmten Ausdruck passt. Siehe »ConditionKernelVersion=« in systemd.unit(5) für Details. Das Ergebnis wird negiert, wenn ein Ausrufezeichen (»!«) vorangestellt wird. Falls eine leere Zeichenkette zugewiesen wird, dann wird der vorher zugewiesene Wert bereinigt.

Architecture=

Prüft, ob das System auf einer bestimmten Architektur läuft. Siehe »ConditionArchitecture=« in systemd.unit(5) für Details. Das Ergebnis wird negiert, wenn ein Ausrufezeichen (»!«) vorangestellt wird. Falls eine leere Zeichenkette zugewiesen wird, dann wird der vorher zugewiesene Wert bereinigt.

[NETDEV]-ABSCHNITT-OPTIONEN

Der Abschnitt »[NetDev]« akzeptiert die folgenden Schlüssel:

Description=

Eine formlose Beschreibung des Netdev.

Name=

Der bei der Erstellung des Netdev verwandte Schnittstellenname. Diese Einstellung ist verpflichtend.

Kind=

Die Art des Netdevs. Diese Einstellung ist verpflichtend. Siehe den Abschnitt »Unterstützte Netdev-Arten« für gültige Schlüssel.

MTUBytes=

Die für das Gerät zu setzende maximale Übertragungseinheit in Byte. Die gewöhnlichen Endungen K, M, G werden unterstützt und zur Basis 1024 verstanden. Für »tun«- oder »tap«-Geräte wird die Einstellung MTUBytes= derzeit im Abschnitt »[NetDev]« nicht unterstützt. Bitte geben Sie sie im Abschnitt »[Link]« der entsprechenden systemd.network(5)-Datei an.

MACAddress=

Die MAC-Adresse, die für das Gerät verwandt werden soll. Für »tun«- oder »tap« wird das Setzen von MACAddress= im Abschnitt »[NetDev]« nicht unterstützt. Bitte geben Sie diese im Abschnitt »[Link]« der entsprechenden systemd.network(5)-Datei an. Falls diese Option nicht gesetzt ist, erben »vlan«-Geräte die MAC-Adresse der physischen Schnittstelle. Für andere Arten von Netdevs wird die MAC-Adresse basierend auf dem Schnittstellennamen und der machine-id(5) erstellt, falls diese Option nicht gesetzt ist.

[BRIDGE]-ABSCHNITT-OPTIONEN

Der Abschnitt »[Bridge]« gilt nur für Netdevs der Art »bridge« und akzeptiert die folgenden Schlüssel:

HelloTimeSec=

HelloTimeSec legt die Anzahl der Sekunden zwischen zwei Hallo-Paketen fest, die von der Wurzel-Bridge und den ausgewiesenen Bridges ausgesandt werden. Hallo-Pakete werden zur Mitteilung von Informationen über die Topologie über das gesamte mit Bridges verbundene lokale Netzwerk verwandt.

MaxAgeSec=

MaxAgeSec legt die Anzahl der Sekunden für das maximale Nachrichtenalter fest. Falls das zuletzt gesehene (empfangene) Hallopaket mehr als diese Anzahl an Sekunden alt ist, wird die in Frage stehende Bridge die Übernahmeprozedur starten, um zu versuchen, selbst die Wurzel-Bridge zu werden.

ForwardDelaySec=

ForwardDelaySec legt die Anzahl an Sekunden fest, die in jedem auf Anfrage wartenden und lernenden Zustand verweilt wird, bevor der Weiterleitungszustand betreten wird.

AgeingTimeSec=

Dies legt die Anzahl an Sekunden fest, die eine MAC-Adresse in der Weiterleitungsdatenbank behalten wird, nachdem ein Paket von dieser MAC-Adresse empfangen wurde.

Priority=

Die Priorität der Bridge. Eine Ganzzahl zwischen 0 und 65535. Ein niedrigerer Wert bedeutet eine höhere Priorität. Die Bridge mit der niedrigsten Priorität wird als Wurzel-Bridge ausgewählt.

GroupForwardMask=

Eine 16-Bit-Bitmaske, die als Ganzzahl dargestellt ist, die das Weiterleiten von linklokalen Frames mit 802.1D-reservierten Adressen (01:80:C2:00:00:0X) erlaubt. Zwischen der angegebenen Bitmaske und der Exponierung von 2^X, dem unteren Nibble (halben Byte) des letzten Oktets der MAC-Adresse, wird ein logisches UND ausgeführt. Beispielsweise würde ein Wert von 8 die Weiterleitung von Frames, die 01:80:C2:00:00:03 (802.1X PAE) adressieren, erlauben.

DefaultPVID=

Dies legt die Vorgabe-Port-VLAN-Kennung eines neu hinzugefügten Bridge-Ports fest. Setzen Sie dies auf eine Ganzzahl im Bereich 1…4094 oder »none«, um die PVID zu deaktivieren.

MulticastQuerier=

Akzeptiert einen logischen Wert. Diese Einstellung steuert die Option IFLA_BR_MCAST_QUERIER im Kernel. Falls aktiviert, wird der Kernel allgemeine ICMP-Anfragen von einer Adresse, die komplett Null ist, senden. Diese Funktionalität sollte eine schnellere Konvergenz beim Hochfahren ermöglichen, führt aber bei einigen Multicast-fähigen Switches zu Fehlverhalten und stört die Weiterleitung von Multicast-Paketen. Falls nicht gesetzt, wird die Vorgabe des Kernels verwandt.

MulticastSnooping=

Takes a boolean. This setting controls the IFLA_BR_MCAST_SNOOPING option in the kernel. If enabled, IGMP snooping monitors the Internet Group Management Protocol (IGMP) traffic between hosts and multicast routers. When unset, the kernel's default will be used.

VLANFiltering=

Akzeptiert einen logischen Wert. Diese Einstellung steuert die Option IFLA_BR_VLAN_FILTERING im Kernel. Falls aktiviert, wird die Bridge im VLAN-Filtermodus gestartet. Falls nicht gesetzt, wird die Vorgabe des Kernels benutzt.

VLANProtocol=

Erlaubt die Einstellung des für VLAN-Filterung verwandten Protokolls. Akzeptiert 802.1q oder 802.1ad. Standardmäßig nicht gesetzt und die Vorgabe des Kernels wird benutzt.

STP=

Akzeptiert einen logischen Wert. Dies aktiviert das »Spanning Tree Protocol« (STP) der Bridge. Falls nicht gesetzt, wird die Vorgabe des Kernels benutzt.

MulticastIGMPVersion=

Erlaubt die Änderung der Version des Internet-Gruppenverwaltungsprotokolls (IGMP) für Multicast der Bridge. Akzeptiert die Ganzzahl 2 oder 3. Falls nicht gesetzt, wird die Vorgabe des Kernels benutzt.

[VLAN]-ABSCHNITT-OPTIONEN

Der Abschnitt »[VLAN]« gilt nur für Netdevs der Art »vlan« und akzeptiert den folgenden Schlüssel:

Id=

Die zu verwendende VLAN-Kennung. Eine Ganzzahl im Bereich 0…4094. Diese Einstellung ist verpflichtend.

GVRP=

Akzeptiert einen logischen Wert. Das »Generic VLAN Registration Protocol« (GVRP) ist ein Protokoll, das das automatische Erlernen von VLANs in einem Netz erlaubt. Falls nicht gesetzt, wird die Vorgabeeinstellung des Kernels verwandt.

MVRP=

Akzeptiert einen logischen Wert. Das »Multiple VLAN Registration Protocol« (MVRP), früher als »GARP VLAN Registration Protocol« (GVRP) bekannt, ist ein standardbasierendes Ebene-2-Netzwerkprotokoll für die automatische Konfiguration der VLAN-Information in Switches. Es wurde in der Änderung 802.1ak zu 802.1Q-2005 definiert. Falls nicht gesetzt, wird die Vorgabe des Kernels benutzt.

LooseBinding=

Takes a boolean. The VLAN loose binding mode, in which only the operational state is passed from the parent to the associated VLANs, but the VLAN device state is not changed. When unset, the kernel's default will be used.

ReorderHeader=

Akzeptiert einen logischen Wert. Wenn aktiviert, wird der Neuordnungs-Header des VLANs benutzt und VLAN-Schnittstellen verhalten sich wie physische Schnittstellen. Falls nicht gesetzt, wird die Vorgabe des Kernels benutzt.

[MACVLAN]-ABSCHNITT-OPTIONEN

Der Abschnitt »[MACVLAN]« gilt nur für Netdevs der Art »macvlan« und akzeptiert den folgenden Schlüssel:

Mode=

Der zu verwendende MACVLAN-Modus. Die unterstützten Optionen sind »private«, »vepa«, »bridge«, »passthru« und »source«.

SourceMACAddress=

Eine Leerraum-getrennte Liste von fernen, auf dem MACVLAN erlaubten Hardware-Adressen. Diese Option hat nur im Quellmodus eine Wirkung. Verwendet vollständige Doppelpunkt-, Bindestrich- oder Punkt-begrenzte hexadezimale Notation. Diese Option kann mehr als einmal auftauchen, dann werden die Listen zusammengeführt. Falls der Option die leere Zeichenkette zugewiesen wird, wird die vorher definierte Liste der Hardware-Adressen zurückgesetzt. Standardmäßig nicht gesetzt.

[MACVTAP]-ABSCHNITT-OPTIONEN

Der Abschnitt »[MACVTAP]« gilt nur für Netdevs der Art »macvtap« und akzeptiert die gleichen Schlüssel wie »[MACVLAN]«:

[IPVLAN]-ABSCHNITT-OPTIONEN

Der Abschnitt »[IPVLAN]« gilt nur für Netdevs der Art »ipvlan« und akzeptiert den folgenden Schlüssel:

Mode=

Der zu verwendende IPVLAN-Modus. Die unterstützten Optionen sind »L2«, »L3« und »L3S«.

Flags=

Die zu verwendenden IPVLAN-Schalter. Die unterstützten Optionen sind »bridge«, »private« und »vepa«.

[IPVTAP]-ABSCHNITT-OPTIONEN

Der Abschnitt »[IPVTAP]« gilt nur für Netdevs der Art »ipvtap« und akzeptiert die gleichen Schlüssel wie »[IPVLAN]«:

[VXLAN]-ABSCHNITT-OPTIONEN

Der Abschnitt »[VXLAN]« gilt nur für Netdevs der Art »vxlan« und akzeptiert den folgenden Schlüssel:

VNI=

Der VXLAN-Netzwerkkennzeichner (oder die VXLAN-Segmentkennung). Akzeptiert eine Zahl im Bereich 1-16777215.

Remote=

Konfiguriert die Ziel-IP-Adresse.

Local=

Konfiguriert die lokale IP-Adresse.

Group=

Konfiguriert VXLAN-Multicast-Gruppen-IP-Adressen. Alle Mitglieder eines VXLAN müssen die selben Multicast-Gruppenadressen verwenden.

TOS=

Der Dienstetyp-Byte-Wert für eine Vxlan-Schnittstelle.

TTL=

A fixed Time To Live N on Virtual eXtensible Local Area Network packets. Takes "inherit" or a number in the range 0–255. 0 is a special value meaning inherit the inner protocol's TTL value. "inherit" means that it will inherit the outer protocol's TTL value.

MacLearning=

Akzeptiert einen logischen Wert. Falls wahr, wird dynamisches MAC-Lernen zur Erkennung von fernen MAC-Adressen aktiviert.

FDBAgeingSec=

Die Lebensdauer von Weiterleitungsdatenbankeinträgen, die vom Kernel gelernt wurden, in Sekunden.

MaximumFDBEntries=

Konfiguriert die maximale Anzahl an FDB-Einträgen.

ReduceARPProxy=

Akzeptiert einen logischen Wert. Falls wahr, antworten mittels Bridges verbundene VXLAN-Tunnelendpunkte auf ARP-Anfragen von der lokalen Bridge im Auftrag von fernen Clients des »Distributed Overlay Virtual Ethernet« (verteilten virtuellen Überlagerungs-Ethernet) (DVOE)[5]. Standardmäßig falsch.

L2MissNotification=

Akzeptiert einen logischen Wert. Falls wahr, wird Netlink-LLADDR-Verlustbenachrichtigung aktiviert.

L3MissNotification=

Akzeptiert einen logischen Wert. Falls wahr, wird Netlink-IP-Adressen-Verlustbenachrichtigung aktiviert.

RouteShortCircuit=

Akzeptiert einen logischen Wert. Falls wahr, wird das Kurzschließen von Routen eingeschaltet.

UDPChecksum=

Akzeptiert einen logischen Wert. Falls wahr, wird das Übertragen von UDP-Prüfsummen während VXLAN/IPv4 eingeschaltet.

UDP6ZeroChecksumTx=

Akzeptiert einen logischen Wert. Falls wahr, wird das Übertragen von Null-UDP-Prüfsummen während VXLAN/IPv6 eingeschaltet.

UDP6ZeroChecksumRx=

Akzeptiert einen logischen Wert. Falls wahr, wird das Empfangen von Null-UDP-Prüfsummen während VXLAN/IPv6 eingeschaltet.

RemoteChecksumTx=

Akzeptiert einen logischen Wert. Falls wahr, wird das ferne Abladen von Übertragungsprüfsummen von VXLANs eingeschaltet.

RemoteChecksumRx=

Akzeptiert einen logischen Wert. Falls wahr, wird das ferne Abladen von Empfangsprüfsummen von VXLANs eingeschaltet.

GroupPolicyExtension=

Akzeptiert einen logischen Wert. Falls wahr, wird der »Group Policy VXLAN«-Erweiterungs-Sicherheits-Label-Mechanismus über Netzwerk-Peers auf VXLAN hinweg aktiviert. Für Details über das »Group Policy VXLAN« siehe das Dokument VXLAN Group Policy[6]. Standardmäßig falsch.

GenericProtocolExtension=

Akzeptiert einen logischen Wert. Falls wahr, erweitert die Generische Protokollerweiterung das bestehende VXLAN-Protokoll, um Protokolltypisierung, OAM und Versionierungsfähigkeiten bereitzustellen. Für Details zum VXLAN-GPE-Header, siehe das Dokument Generische Protokollerweiterung für VXLAN[7]. Falls der Ziel-Port nicht festgelegt und die Generische Protokollerweiterung gesetzt ist, wird der Vorgabe-Port 4790 verwandt. Standardmäßig falsch.

DestinationPort=

Konfiguriert den Standard-Ziel-UDP-Port. Falls der Ziel-Port nicht festgelegt ist, wird die Linux-Kernel-Vorgabe verwandt. Setzen Sie ihn auf 4789, um den IANA-zugewiesenen Wert zu erhalten.

PortRange=

Konfiguriert den Quell-Port-Bereich für das VXLAN. Basierend auf dem Datenfluss weist der Kernel den Quell-UDP-Port zu, um dem Empfänger zu helfen, Lastenverteilung vorzunehmen. Wenn diese Option nicht gesetzt ist, dann wird der normale Bereich von lokalen UDP-Ports verwandt.

FlowLabel=

Legt die in ausgehenden Paketen zu verwendende Flußkennzeichnung fest. Der gültige Bereich ist 0-1048575.

IPDoNotFragment=

Erlaubt das Einstellen des Bits IPv4-Nicht-Fragementieren (DF) bei ausgehenden Paketen oder den Wert von dem inneren IPv4-Header zu erben. Akzeptiert einen logischen Wert oder »inherit«. Setzen Sie es auf »inherit«, falls das eingekapselte Protokoll IPv6 ist. Falls nicht gesetzt, wird die Vorgabe des Kernels verwandt.

[GENEVE]-ABSCHNITT-OPTIONEN

Der Abschnitt »[GENEVE]« gilt nur für Netdevs der Art »geneve« und akzeptiert den folgenden Schlüssel:

Id=

Legt den zu verwendenden virtuellen Netzwerkkennzeichner (VNI) fest, eine Zahl zwischen 0 und 16777215. Dieses Feld ist verpflichtend.

Remote=

Legt die Unicast-Ziel-IP-Adresse für ausgehende Pakete fest.

TOS=

Legt den TOS-Wert für ausgehende Pakete fest. Akzeptiert eine Zahl zwischen 1 und 255.

TTL=

Akzeptiert die gleichen Werte im Abschnitt »[VXLAN]«, außer wenn nicht oder auf 0 gesetzt, dann wird die Vorgabe des Kernels benutzt, was bedeutet, dass der TTL der Pakete auf /proc/sys/net/ipv4/ip_default_ttl gesetzt wird.

UDPChecksum=

Akzeptiert einen logischen Wert. Falls wahr, legt er fest, dass UDP-Prüfsummen für über IPv4 übertragende Pakete berechnet werden.

UDP6ZeroChecksumTx=

Akzeptiert einen logischen Wert. Falls wahr, wird die UDP-Prüfsummenberechnung für übertragene Pakete über IPv6 übersprungen.

UDP6ZeroChecksumRx=

Akzeptiert einen logischen Wert. Falls wahr, werden eingehende UDP-Pakete über IPv6 mit Null-Prüfsummenfeldern erlaubt.

DestinationPort=

Legt den Ziel-Port fest. Standardmäßig 6081. Falls nicht gesetzt oder ihm die leere Zeichenkette zugewiesen wurde, wird der Vorgabe-Port 6081 verwandt.

FlowLabel=

Legt die in ausgehenden Paketen zu verwendende Flußkennzeichnung fest.

IPDoNotFragment=

Akzeptiert den gleichen Schlüssel wie im Abschnitt »[VXLAN]«.

Independent=

Akzeptiert einen logischen Wert. Falls wahr, wird die Vxlan-Schnittstelle ohne zugrundeliegende Schnittstelle erstellt. Standardmäßig »false«, was bedeutet, dass eine .network-Datei, die diesen Tunnel mittels Tunnel= erbittet, notwendig ist, damit dieser Tunnel erstellt werden kann.

[BAREUDP]-ABSCHNITT-OPTIONEN

Der Abschnitt »[BareUDP]« gilt nur für Netdevs der Art »bareudp« und akzeptiert die folgenden Schlüssel:

DestinationPort=

Gibt den Ziel-UDP-Port an (im Bereich 1…65535). Dies ist verpflichtend.

EtherType=

Gibt das L3-Protokoll an. Akzeptiert entweder »ipv4«, »ipv6«, »mpls-uc« oder »mpls-mc«. Dies ist verpflichtend.

[L2TP]-ABSCHNITT-OPTIONEN

Der Abschnitt »[L2TP]« gilt nur für Netdevs der Art »l2tp« und akzeptiert die folgenden Schlüssel:

TunnelId=

Legt die Tunnelkennung fest. Akzeptiert eine Zahl im Bereich 1…4294967295. Der verwandte Wert muss mit dem im Peer verwandten Wert »PeerTunnelId=« übereinstimmen. Diese Einstellung ist verpflichtend.

PeerTunnelId=

Legt die Peer-Tunnelkennung fest. Akzeptiert eine Zahl im Bereich 1…4294967295. Der verwandte Wert muss mit dem im Peer verwandten Wert »TunnelId=« übereinstimmen. Diese Einstellung ist verpflichtend.

Remote=

Legt die IP-Adresse des fernen Peers fest. Diese Einstellung ist verpflichtend.

Local=

Legt die IP-Adresse der lokalen Schnittstelle fest. Akzeptiert eine IP-Adresse oder die besonderen Werte »auto«, »static« oder »dynamic«. Wenn eine Adresse gesetzt ist, dann muss die lokale Schnittstelle diese Adresse haben. Falls »auto«, wird eine der Adressen auf der lokalen Schnittstelle verwandt. Ähnlich wird eine der statischen oder dynamischen Adressen auf der lokalen Schnittstelle verwandt, falls »static« oder »dynamic« gesetzt ist. Standardmäßig »auto«.

EncapsulationType=

Legt den Einkapselungstyp des Tunnels fest. Akzeptiert entweder »udp« oder »ip«.

UDPSourcePort=

Legt den für den Tunnel zu verwendenden UDP-Quell-Port fest. Verpflichtend, wenn Einkapselung ausgewählt ist. Ignoriert, wenn IP-Einkapselung ausgewählt ist.

UDPDestinationPort=

Legt den Ziel-Port fest. Verpflichtend, wenn UDP-Einkapselung ausgewählt ist. Ignoriert, wenn IP-Einkapselung ausgewählt ist.

UDPChecksum=

Akzeptiert einen logischen Wert. Falls wahr, legt er fest, dass UDP-Prüfsummen für über IPv4 übertragende Pakete berechnet werden.

UDP6ZeroChecksumTx=

Akzeptiert einen logischen Wert. Falls wahr, wird die UDP-Prüfsummenberechnung für übertragene Pakete über IPv6 übersprungen.

UDP6ZeroChecksumRx=

Akzeptiert einen logischen Wert. Falls wahr, werden eingehende UDP-Pakete über IPv6 mit Null-Prüfsummenfeldern erlaubt.

[L2TPSESSION]-ABSCHNITT-OPTIONEN

Der Abschnitt »[L2TPSession]« gilt nur für Netdevs der Art »l2tp« und akzeptiert die folgenden Schlüssel:

Name=

Legt den Namen der Sitzung fest. Diese Einstellung ist verpflichtend.

SessionId=

Legt die Sitzungskennung fest. Akzeptiert eine Zahl im Bereich 1…4294967295. Der verwandte Wert muss auf den beim Peer verwandten Wert »SessionId=« passen. Diese Einstellung ist verpflichtend.

PeerSessionId=

Legt die Sitzungskennung des Peers fest. Akzeptiert eine Zahl im Bereich 1…4294967295. Der verwandte Wert muss auf den beim Peer verwandten Wert »PeerSessionId=« passen. Diese Einstellung ist verpflichtend.

Layer2SpecificHeader=

Legt den Header-Typ »layer2specific« der Sitzung fest. Entweder »none« oder »default«. Standardmäßig »default«.

[MACSEC]-ABSCHNITT-OPTIONEN

Der Abschnitt »[MACsec]« gilt nur für Netdevs der Art »macsec« und akzeptiert die folgenden Schlüssel:

Port=

Legt den für den MACsec-Übertragungskanal verwandten Port fest. Der Port wird zur Erstellung sicherer Kanalkennzeichner (SCI) verwandt. Akzeptiert einen Wert zwischen 1 und 65535. Standardmäßig nicht gesetzt.

Encrypt=

Akzeptiert einen logischen Wert. Falls wahr, wird Verschlüsselung aktiviert. Standardmäßig nicht gesetzt.

[MACSECRECEIVECHANNEL]-ABSCHNITT-OPTIONEN

Der Abschnitt »[MACsecReceiveChannel]« gilt nur für Netdevs der Art »macsec« und akzeptiert die folgenden Schlüssel:

Port=

Legt den für den MACsec-Empfangskanal verwandten Port fest. Der Port wird zur Erstellung sicherer Kanalkennzeichner (SCI) verwandt. Akzeptiert einen Wert zwischen 1 und 65535. Diese Option ist verpflichtend und standardmäßig nicht gesetzt.

MACAddress=

Legt die für den MACsec-Empfangskanal verwandte MAC-Adresse fest. Die MAC-Adresse wird zur Erstellung sicherer Kanalkennzeichner (SCI) verwandt. Diese Einstellung ist verpflichtend und standardmäßig nicht gesetzt.

[MACSECTRANSMITASSOCIATION]-ABSCHNITT-OPTIONEN

Der Abschnitt »[MACsecTransmitAssociation]« gilt nur für Netdevs der Art »macsec« und akzeptiert die folgenden Schlüssel:

PacketNumber=

Legt die Paketnummer fest, die für den Wiederabspielschutz und die Erstellung des Initialisierungsvektors (zusammen mit dem Kennzeichner des sicheren Kanals [SCI]) verwandt wird. Akzeptiert einen Wert zwischen 1-4,294,967,295. Standardmäßig nicht gesetzt.

KeyId=

Legt die Kennzeichnung für den Schlüssel fest. Akzeptiert eine Zahl zwischen 0-255. Dieses Feld ist verpflichtend und standardmäßig nicht gesetzt.

Key=

Legt den im Übertragungskanal zu verwendenden Verschlüsselungsschlüssel fest. Der gleiche Schlüssel muss auf dem Empfangskanal des Peers konfiguriert werden. Diese Einstellung ist verpflichtend und standardmäßig nicht gesetzt. Akzeptiert einen hexadezimal kodierten 128-Bit-Schlüssel, beispielsweise »dffafc8d7b9a43d5b9a3dfbbf6a30c16«.

KeyFile=

Akzeptiert einen absoluten Pfad zu einer Datei, die einen hexadezimal kodierten 128-Bit-Schlüssel enthält, der in dem Übertragungskanal verwandt wird. Wenn diese Option angegeben ist, dann wird Key= ignoriert. Beachten Sie, dass diese Datei durch den Benutzer »systemd-network« lesbar sein muss, daher sollte sie beispielsweise »root:systemd-network« mit einem Dateimodus »0640« gehören. Falls sich der Pfad auf ein AF_UNIX-Datenstromsocket im Dateisystem bezieht, wird dorthin eine Verbindung aufgemacht und der Schlüssel daraus gelesen.

Activate=

Akzeptiert einen logischen Wert. Falls aktiviert, wird die Sicherheitszuordnung aktiviert. Standardmäßig nicht gesetzt.

UseForEncoding=

Akzeptiert einen logischen Wert. Falls aktiviert, wird die Sicherheitszuordnung für die Kodierung verwandt. Nur ein Abschnitt »[MACsecTransmitAssociation]« kann diese Option aktivieren. Wenn aktiviert ist Activate=yes impliziert. Standardmäßig nicht gesetzt.

[MACSECRECEIVEASSOCIATION]-ABSCHNITT-OPTIONEN

Der Abschnitt »[MACsecReceiveAssociation]« gilt nur für Netdevs der Art »macsec« und akzeptiert die folgenden Schlüssel:

Port=

Akzeptiert den gleichen Schlüssel wie im Abschnitt »[MACsecReceiveChannel]«.

MACAddress=

Akzeptiert den gleichen Schlüssel wie im Abschnitt »[MACsecReceiveChannel]«.

PacketNumber=

Akzeptiert den gleichen Schlüssel wie im Abschnitt »[MACsecTransmitAssociation]«.

KeyId=

Akzeptiert den gleichen Schlüssel wie im Abschnitt »[MACsecTransmitAssociation]«.

Key=

Akzeptiert den gleichen Schlüssel wie im Abschnitt »[MACsecTransmitAssociation]«.

KeyFile=

Akzeptiert den gleichen Schlüssel wie im Abschnitt »[MACsecTransmitAssociation]«.

Activate=

Akzeptiert den gleichen Schlüssel wie im Abschnitt »[MACsecTransmitAssociation]«.

[TUNNEL]-ABSCHNITT-OPTIONEN

Der Abschnitt »[Tunnel]« gilt nur für Netdevs der Arten »ipip«, »sit«, »gre«, »gretap«, »ip6gre«, »ip6gretap«, »vti«, »vti6«, »ip6tnl« und »erspan« und akzeptiert die folgenden Schlüssel:

Local=

Eine statische lokale Adresse für getunnelte Pakete. Es muss eine Adresse auf einer anderen Schnittstelle auf diesem Rechner oder der besondere Wert »any« sein.

Remote=

Der ferne Endpunkt des Tunnels. Akzeptiert eine IP-Adresse oder den besonderen Wert »any«.

TOS=

Der Byte-Wert »Type Of Service« für eine Tunnelschnittstelle. Für Details über den TOS, siehe das Dokument Dienstetyp in der Internet-Protokollsammlung[8].

TTL=

Eine fester »Time To Live«-Wert für getunnelte Pakete, der im Bereich 1…255 liegen kann. 0 ist ein besonderer Wert, der bedeutet, dass Pakete den TTL-Wert erben. Der Vorgabewert für IPv4-Tunnel ist 0 (erben). Der Vorgabewert für IPv6-Tunnel ist 64.

DiscoverPathMTU=

Akzeptiert einen logischen Wert. Falls wahr, wird Pfad-MTU-Erkennung des Tunnels aktiviert.

IPv6FlowLabel=

Konfiguriert das 20-Bit-Flußkennzeichnungsfeld (siehe RFC 6437[9]) im IPv6-Header (siehe RFC 2460[10]), der von einem Knoten zur Kennzeichnung von Paketen eines Flusses verwandt wird. Es wird nur für IPv6-Tunnel verwandt. Eine Flußkennzeichnung von Null wird zur Bezeichnung von nicht gekennzeichneten Paketen verwandt. Es kann auf jeden Wert im Bereich 0…0xFFFFF konfiguriert oder auf den Wert »inherit« gesetzt werden; in letzterem Fall wird das ursprüngliche Flußkennzeichen verwandt.

CopyDSCP=

Akzeptiert einen logischen Wert. Falls wahr, dann wird das Feld »Differentiated Service Code Point« (DSCP) während der Entkapselung eines IPv6-Tunnelpakets aus dem inneren Header in den äußeren Header kopiert. DSCP ist ein Feld in einem IP-Paket, das die Zuweisung verschiedener Stufen eines Dienstes zum Netzwerkverkehr ermöglicht. Standardmäßig »no«.

EncapsulationLimit=

Die Option »Tunnel Encapsulation Limit« legt fest, wie viele zusätzliche Kapselungsstufen dem Paket voranzustellen erlaubt sind. Enthält ein Option »Tunnel Encapsulation Limit« beispielsweise den Wert Null, dann bedeutet dies, dass ein Paket, das diese Option trägt, keinen weiteren Tunnel betreten darf, bevor es den aktuellen Tunnel verlässt. (siehe RFC 2473[11]). Der Gültigkeitsbereich ist 0…255 und »none«. Standardmäßig 4.

Key=

Der Parameter Key= spezifiziert den gleichen Schlüssel, der in beide Richtungen (InputKey= und OutputKey=) verwandt werden soll. Der Key= ist entweder eine Nummer oder ein IPv4-adressartiges Quadrupel (getrennt durch Punkte). Er wird als markierungs-konfigurierte SAD/SPD-Einträge als Teil des Nachschlageschlüssels in IP XFRM (einem Rahmenwerk zur Implementierung des IPsec-Protokolls) verwandt (sowohl im Daten- als auch im Steuerpfad). Siehe ip-xfrm — Konfiguration umwandeln[12] für Details. Er wird nur für VTI/VTI6-, GRE-, GRETAP- und ERSPAN-Tunnel verwandt.

InputKey=

Der Parameter InputKey= legt den für die Eingabe zu verwendenden Schlüssel fest. Das Format ist zu Key= identisch. Er wird nur für VTI/VTI6-, GRE-, GRETAP- und ERSPAN-Tunnel verwandt.

OutputKey=

Der Parameter OutputKey= legt den für die Ausgabe zu verwendenden Schlüssel fest. Das Format ist zu Key= identisch. Er wird nur für VTI/VTI6-, GRE-, GRETAP- und ERSPAN-Tunnel verwandt.

Mode=

Ein »ip6tnl«-Tunnel kann in einem der drei Modi »ip6ip6« für IPv6 über IPv6, »ipip6« für IPv4 über IPv6 oder »any« für beides sein.

Independent=

Akzeptiert einen logischen Wert. Wenn falsch (die Vorgabe), wird der Tunnel immer über eines der Netzwerk-Geräte erstellt und zur Erstellung wird eine .network-Datei benötigt, die diesen Tunnel mittels Tunnel= anfordert. Wenn wahr, dann wird der Tunnel unabhängig von irgendeinem Netzwerk als »tunnel@NONE« erstellt.

AssignToLoopback=

Akzeptiert einen logischen Wert. Falls auf »yes« gesetzt, wird die Loopback-Schnittstelle »lo« als zugrundeliegendes Gerät für die Tunnel-Schnittstelle verwandt. Standardmäßig »no«.

AllowLocalRemote=

Akzeptiert einen logischen Wert. Falls wahr, wird Tunnelverkehr auf ip6tnl-Geräten erlaubt, bei denen der ferne Endpunkt eine lokale Rechneradresse ist. Falls nicht gesetzt, wird die Vorgabe des Kernels verwandt.

FooOverUDP=

Akzeptiert einen logischen Wert. Legt fest, ob ein FooOverUDP=-Tunnel konfiguriert werden soll. Dies ist nur für IPIP-, SIT-, GRE- und GRETAP-Tunnel wirksam. Standardmäßig »false«. Für weitere Informationen siehe Foo über UDP[13].

FOUDestinationPort=

Diese Einstellung legt den UDP-Ziel-Port für Einkapselung fest. Dieses Feld ist verpflichtend wenn FooOverUDP=yes und standardmäßig nicht gesetzt.

FOUSourcePort=

Diese Einstellung legt den UDP-Quell-Port für Einkapselung fest. Standardmäßig 0, das heißt, der Quell-Port für Pakete wird vom Netzwerkstapel entschieden.

Encapsulation=

Akzeptiert den gleichen Schlüssel wie im Abschnitt »[FooOverUDP]«.

IPv6RapidDeploymentPrefix=

Rekonfiguriert den Tunnel für »IPv6 Rapid Deployment[14]«, auch als 6rd bekannt. Der Wert ist ein Internetzugangsanbieter-spezifisches IPv6-Präfix mit einer von Null verschiedenen Länge. Wird nur bei SIT-Tunneln angewandt.

ISATAP=

Akzeptiert einen logischen Wert. Falls gesetzt, wird der Tunnel gemäß des »Intra-Site Automatic Tunnel Addressing Protocols« (seiteninternes automatisches Tunnel-Adressierungsprotokoll, ISATAP) konfiguriert. Dies ist nur auf SIT-Tunnel anwendbar. Falls nicht gesetzt, wird die Vorgabe des Kernels verwandt.

SerializeTunneledPackets=

Akzeptiert einen logischen Wert. Falls auf »yes« gesetzt, werden Pakete serialisiert. Wird nur auf GRE-, GRETAP- und ERSPAN-Tunnel angewandt. Falls nicht gesetzt, wird die Vorgabe des Kernels verwandt.

ERSPANIndex=

Legt das ERSPAN-Indexfeld für die Schnittstelle fest. Dies ist eine Ganzzahl im Bereich 1-1048575, die mit dem Quell-Port und der Richtung des ERSPAN-Verkehrs verbunden ist. Dieses Feld ist verpflichtend.

[FOOOVERUDP]-ABSCHNITT-OPTIONEN

Der Abschnitt »[FooOverUDP]« gilt nur für Netdevs der Art »fou« und akzeptiert die folgenden Schlüssel:

Encapsulation=

Legt den verwandten Einkapselungsmechanismus zum Unterbringen von Netzwerkpaketen verschiedener Protokolle innerhalb von UDP-Paketen fest. Unterstützt die folgenden Werte: »FooOverUDP« stellt die einfachste, schnörkellose UDP-Einkapselung bereit, es kapselt Pakete direkt in den UDP-Nutzdaten. »GenericUDPEncapsulation« ist eine generische und erweiterbare Einkapselung, sie erlaubt das Einkapseln von Pakete für jedes IP-Protokoll und optionale Daten als Teil der Einkapselung. Für detailliertere Informationen siehe Generic UDP Encapsulation[15]. Standardmäßig »FooOverUDP«.

Port=

Legt die Portnummer fest, auf der eingekapselte Pakete ankommen werden. Diese Pakete werden entfernt und manuell zurück in den Netzwerkstapel geleitet, wobei die Kapselung entfernt wurde und sie an das wirkliche Ziel gesandt werden. Diese Option ist verpflichtend.

PeerPort=

Legt die Port-Nummer des Peers fest. Standardmäßig nicht gesetzt. Beachten Sie, dass die »Peer=«-Adresse verpflichtend ist, wenn der Peer-Port gesetzt ist.

Protocol=

Das Protocol= legt die Protokollnummer der am UDP-Port ankommenden Pakete fest. Ist Encapsulation=FooOverUDP, dann ist dieses Feld verpflichtend und standardmäßig nicht gesetzt. Akzeptiert einen IP-Protokollnamen wie »gre« oder »ipip« oder eine Ganzzahl im Bereich 1-255. Ist Encapsulation=GenericUDPEncapsulation, dann darf dies nicht festgelegt werden.

Peer=

Konfiguriert die IP-Adresse des Peers. Beachten Sie, dass »PeerPort=« verpflichtend ist, wenn die Peer-Adresse gesetzt ist.

Local=

Konfiguriert die lokale IP-Adresse.

[PEER]-ABSCHNITT-OPTIONEN

Der Abschnitt »[Peer]« gilt nur für Netdevs der Art »veth« und akzeptiert die folgenden Schlüssel:

Name=

Der bei der Erstellung des Netdev verwandte Schnittstellenname. Diese Einstellung ist verpflichtend.

MACAddress=

Falls die MAC-Adresse des Peers nicht gesetzt ist, wird sie auf die gleiche Weise wie die MAC-Adresse der Hauptschnittstelle erzeugt.

[VXCAN]-ABSCHNITT-OPTIONEN

Der Abschnitt »[VXCAN]« gilt nur für Netdevs der Art »vxcan« und akzeptiert den folgenden Schlüssel:

Peer=

Der Name der Peer-Schnittstelle, der beim Erzeugen des Netdevs verwandt werden soll. Diese Einstellung ist verpflichtend.

[TUN]-ABSCHNITT-OPTIONEN

Der Abschnitt »[Tun]« gilt nur für Netdevs der Art »tun« und akzeptiert die folgenden Schlüssel:

MultiQueue=

Akzeptiert einen logischen Wert. Konfiguriert, ob mehrere Dateideskriptoren (Warteschlangen) zur Parallelisierung des Paketversands und -empfangs verwandt werden sollen. Standardmäßig »no«.

PacketInfo=

Akzeptiert einen logischen Wert. Konfiguriert, ob Paketen vier zusätzliche Bytes (zwei Schalter-Bytes und zwei Protokoll-Bytes) vorangestellt werden sollen. Falls deaktiviert, zeigt dies an, dass die Pakete reine IP-Pakete sein werden. Standardmäßig »no«.

VNetHeader=

Takes a boolean. Configures IFF_VNET_HDR flag for a tun or tap device. It allows sending and receiving larger Generic Segmentation Offload (GSO) packets. This may increase throughput significantly. Defaults to "no".

User=

Benutzer, dem Zugriff auf das Gerät /dev/net/tun gewährt werden soll.

Group=

Gruppe, der Zugriff auf das Gerät /dev/net/tun gewährt werden soll.

[TAP]-ABSCHNITT-OPTIONEN

Der Abschnitt »[Tap]« gilt nur für Netdevs der Art »tap« und akzeptiert die gleichen Schlüssel wie der Abschnitt »[Tun]«.

[WIREGUARD]-ABSCHNITT-OPTIONEN

Der Abschnitt »[WireGuard]« akzeptiert die folgenden Schlüssel:

PrivateKey=

Der Base64-kodierte private Schlüssel für die Schnittstelle. Er kann mit dem Befehl wg genkey erstellt werden (siehe wg(8)). Für die Verwendung von WireGuard ist diese Option oder PrivateKeyFile= verpflichtend. Beachten Sie, dass Sie die Berechtigungen der ».netdev«-Datei auf den Eigentümer »root:systemd-network« mit einem Dateimodus »0640« setzen sollten, da diese Information geheim ist.

PrivateKeyFile=

Akzeptiert einen absoluten Pfad zu einer Datei, die den Base64-kodierten privaten Schlüssel für die Schnittstelle enthält. Wenn diese Option angegeben ist, dann wird PrivateKey= ignoriert. Beachten Sie, dass diese Datei durch den Benutzer »systemd-network« lesbar sein muss, daher sollte sie »root:systemd-network« mit einem Dateimodus »0640« gehören. Falls sich der Pfad auf ein AF_UNIX-Datenstromsocket im Dateisystem bezieht, wird dorthin eine Verbindung aufgemacht und der Schlüssel daraus gelesen.

ListenPort=

Setzt den UDP-Port, an dem auf Anfragen gewartet werden soll. Akzeptiert entweder einen Wert zwischen 1 und 65535 oder »auto«. Falls »auto« festgelegt ist, wird der Port automatisch basierend auf dem Schnittstellennamen erstellt. Standardmäßig »auto«.

FirewallMark=

Setzt auf von dieser Schnittstelle ausgehenden WireGuard-Paketen eine Firewall-Kennzeichnung. Akzeptiert eine Zahl zwischen 1 und 4294967295.

[WIREGUARDPEER]-ABSCHNITT-OPTIONEN

Der Abschnitt »[WireGuardPeer]« akzeptiert die folgenden Schlüssel:

PublicKey=

Setzt einen Base64-kodierten öffentlichen Schlüssel, der mittels wg pubkey (siehe wg(8)) aus einem privaten Schlüssel berechnet und normalerweise auf einem anderen Weg zum Autor der Konfigurationsdatei transportiert wurde. Für diesen Abschnitt ist diese Option verpflichtend.

PresharedKey=

Optionaler vorabverteilter Schlüssel für die Schnittstelle. Er kann mittels des Befehls wg genpsk erstellt werden. Diese Option fügt eine zusätzliche kryptographische Schicht mit symmetrischen Schlüsseln hinzu, die in die bereits bestehende Kryptographie mit öffentlichen Schlüsseln für Post-Quanten-Widerstandsfähigkeit hineingemischt wird. Beachten Sie, dass Sie die Berechtigungen der ».netdev«-Datei auf den Eigentümer »root:systemd-network« mit einem Dateimodus »0640« setzen sollten, da diese Informationen geheim sind.

PresharedKeyFile=

Akzeptiert einen absoluten Pfad zu einer Datei, die den Base64-kodierten vorabverteilten Schlüssel für den Peer enthält. Wenn diese Option angegeben ist, wird PresharedKey= ignoriert. Beachten Sie, dass diese Datei für den Benutzer »systemd-network« lesbar sein muss und daher beispielsweise »root:systemd-network« mit dem Dateimodus »0640« gehören sollte. Falls sich der Pfad auf ein AF_UNIX-Datenstromsocket im Dateisystem bezieht, wird dorthin eine Verbindung aufgemacht und der Schlüssel daraus gelesen.

AllowedIPs=

Setzt eine Kommata-getrennte Liste von IP- (v4 oder v6)-Adressen mit CIDR-Masken, von denen diesem Peer erlaubt ist, eingehenden Verkehr zu senden und zu dem ausgehenden Verkehr für diesen Peer geleitet wird.

Die Sammel-Adresse 0.0.0.0/0 kann angegeben werden, sie passt auf alle IPv4-Adressen und ::/0 kann für IPv6 für alle Adressen angegeben werden.

Note that this only affects "routing inside the network interface itself", as in, which wireguard peer packets with a specific destination address are sent to, and what source addresses are accepted from which peer.

To cause packets to be sent via wireguard in first place, a route needs to be added, as well - either in the "[Routes]" section on the ".network" matching the wireguard interface, or outside of networkd.

Endpoint=

Setzt eine(n) Endpunkt-IP-Adresse oder Rechnernamen, gefolgt von einem Doppelpunkt und dann einer Portnummer. Dieser Endpunkt wird zum Konfigurationszeitpunkt einmal automatisch auf die neuste Quell-IP-Adresse (mit Port) von korrekt authentifizierten Paketen von dem Peer aktualisiert.

PersistentKeepalive=

Setzt ein Intervall in Sekunden, zwischen 1 und einschließlich 65535, wie oft ein leeres, authentifiziertes Paket zum Peer gesandt werden soll, um eine zustandsbehaftete Firewall oder eine NAT-Zuordnung dauerhaft gültig zu halten. Falls beispielsweise eine Schnittstelle sehr selten Verkehr sendet, aber jederzeit vom Peer Verkehr erwartet und hinter NAT ist, kann die Schnittstelle davon profitieren, ein dauerhaftes aktivhaltendes Intervall von 25 Sekunden zu haben. Falls auf 0 oder »off« gesetzt, wird diese Option deaktiviert. Standardmäßig oder wenn nicht angegeben, ist die Option aus. Die meisten Benutzer werden dies nicht benötigen.

[BOND]-ABSCHNITT-OPTIONEN

Der Abschnitt »[Bond]« akzeptiert den folgenden Schlüssel:

Mode=

Specifies one of the bonding policies. The default is "balance-rr" (round robin). Possible values are "balance-rr", "active-backup", "balance-xor", "broadcast", "802.3ad", "balance-tlb", and "balance-alb".

TransmitHashPolicy=

Wählt die Übertragungs-Hash-Richtlinie aus, die in der Slave-Auswahl in den Modi balance-xor, 802.3ad und tlb verwandt werden soll. Mögliche Werte sind »layer2«, »layer3+4«, »layer2+3«, »encap2+3« und »encap3+4«.

LACPTransmitRate=

Specifies the rate with which link partner transmits Link Aggregation Control Protocol Data Unit packets in 802.3ad mode. Possible values are "slow", which requests partner to transmit LACPDUs every 30 seconds, and "fast", which requests partner to transmit LACPDUs every second. The default value is "slow".

MIIMonitorSec=

Legt die Abfragefrequenz der Link-Überwachung des »Media Independent Interface« fest. Ein Wert von 0 deaktiviert die MII-Linküberwachung. Dieser Wert wird auf den nächsten Millisekundenwert abgerundet. Standardmäßig 0.

UpDelaySec=

Legt die Verzögerung fest, bevor ein Link aktiviert wird, nachdem ein Link-Aktiv-Zustand erkannt wurde. Dieser Wert wird auf ein Vielfaches von MIIMonitorSec abgerundet. Der Vorgabewert ist 0.

DownDelaySec=

Legt die Verzögerung fest, bevor ein Link deaktiviert wird, nachdem ein Link-Inaktiv-Zustand erkannt wurde. Dieser Wert wird auf ein Vielfaches von MIIMonitorSec abgerundet. Der Vorgabewert ist 0.

LearnPacketIntervalSec=

Legt die Anzahl der Sekunden zwischen den Instanzen fest, in denen der Bonding-Treiber zu lernende Pakete an jeden der Slave-Peer-Switches sendet. Der zulässige Bereich ist 1…0x7fffffff; der Vorgabewert ist 1. Diese Option ist nur in den Modi »balance-tlb« und »balance-alb« wirksam.

AdSelect=

Legt die zu verwendende 802.3ad-Aggregationsauswahllogik fest. Mögliche Werte sind »stable«, »bandwidth« und »count«.

AdActorSystemPriority=

Specifies the 802.3ad actor system priority. Takes a number in the range 1—65535.

AdUserPortKey=

Legt den benutzerdefinierten Anteil des 802.3ad-Port-Schlüssels fest. Akzeptiert eine Zahl im Bereich 0…1023.

AdActorSystem=

Legt die 802.3ad-System-MAC-Adresse fest. Diese kann weder ein Null- noch eine Multicast-Adresse sein.

FailOverMACPolicy=

Specifies whether the active-backup mode should set all slaves to the same MAC address at the time of enslavement or, when enabled, to perform special handling of the bond's MAC address in accordance with the selected policy. The default policy is none. Possible values are "none", "active" and "follow".

ARPValidate=

Legt fest, ob ARP-Probenachrichten und -Antworten in jedem Modus, der ARP-Überwachung unterstützt, validiert werden soll oder ob von ARP verschiedener Verkehr für Link-Überwachungszwecke gefiltert (ignoriert) werden soll. Mögliche Werte sind »none«, »active«, »backup« und »all«.

ARPIntervalSec=

Legt die ARP-Linküberwachungsfrequenz fest. Ein Wert von 0 deaktiviert die ARP-Überwachung. Der Vorgabewert ist 0 und die Vorgabeeinheit ist Sekunden.

ARPIPTargets=

Specifies the IP addresses to use as ARP monitoring peers when ARPIntervalSec is greater than 0. These are the targets of the ARP request sent to determine the health of the link to the targets. Specify these values in IPv4 dotted decimal format. At least one IP address must be given for ARP monitoring to function. The maximum number of targets that can be specified is 16. The default value is no IP addresses.

ARPAllTargets=

Legt die Anzahl der ARPIPTargets fest, die erreichbar sein müssen, damit der ARP-Monitor einen Slave als aktiv betrachtet. Diese Option betrifft nur den aktiven Sicherungsmodus für Slaves mit aktiviertem ARPValidate. Mögliche Werte sind »any« und »all«.

PrimaryReselectPolicy=

Legt die Neuauswahlrichtlinie für den primären Slave fest. Dies beeinflusst, wie der primäre Slave zur Übernahme des aktiven Slaves ausgewählt wird, wenn der aktive Slave fehlschlägt oder die Wiederherstellung des primären Slaves stattfindet. Diese Option ist dazu gedacht, ein Hin- und Herspringen zwischen dem primären Slave und anderen Slaves zu verhindern. Mögliche Werte sind »always«, »better« und »failure«.

ResendIGMP=

Legt die Anzahl von IGMP-Mitgliedschaftsberichten fest, die nach einem Failover-Ereignis ausgestellt werden sollen. Ein Mitgliedschaftsbericht wird direkt nach dem Failover ausgestellt, nachfolgende Pakete werden im Abstand von 200 ms gesandt. Der gültige Bereich ist 0…255. Standardmäßig 1. Ein Wert von 0 verhindert das Ausstellen von Mitgliedschaftsberichten als Reaktion auf ein Failover-Ereignis.

PacketsPerSlave=

Legt die Anzahl an Paketen fest, die durch einen Slave übertragen werden soll, bevor zum nächsten übergegangen wird. Falls auf 0 gesetzt, wird ein Slave zufällig gewählt. Der gültige Bereich ist 0…65535. Standardmäßig 1. Diese Option ist nur im Modus »balance-rr« wirksam.

GratuitousARP=

Specify the number of peer notifications (gratuitous ARPs and unsolicited IPv6 Neighbor Advertisements) to be issued after a failover event. As soon as the link is up on the new slave, a peer notification is sent on the bonding device and each VLAN sub-device. This is repeated at each link monitor interval (ARPIntervalSec or MIIMonitorSec, whichever is active) if the number is greater than 1. The valid range is 0–255. The default value is 1. These options affect only the active-backup mode.

AllSlavesActive=

Takes a boolean. Specifies that duplicate frames (received on inactive ports) should be dropped when false, or delivered when true. Normally, bonding will drop duplicate frames (received on inactive ports), which is desirable for most users. But there are some times it is nice to allow duplicate frames to be delivered. The default value is false (drop duplicate frames received on inactive ports).

DynamicTransmitLoadBalancing=

Akzeptiert einen logischen Wert. Legt fest, ob dynamisches Verschachteln von Datenflüssen aktiviert ist. Gilt nur im Modus balance-tlb. Standardmäßig nicht gesetzt.

MinLinks=

Legt die minimale Anzahl an Links fest, die aktiv sein müssen, bevor festgestellt wird, dass ein Träger vorhanden ist. Der Vorgabewert ist 0.

Für weitere Datailinformationen siehe das Linux-Ethernet-Bonding-Treiber-HOWTO[1]

[XFRM]-ABSCHNITT-OPTIONEN

Der Abschnitt »[Xfrm]« akzeptiert die folgenden Schlüssel:

InterfaceId=

Setzt die Kennung/den Schlüssel der Xfrm-Schnittstelle, die einer SA/Richtlinie zugeordnet sein muss. Darf dezimal oder hexadezimal sein, gültiger Bereich ist 0-0xffffffff, standardmäßig 0.

Independent=

Akzeptiert einen logischen Wert. Falls »false« (die Vorgabe), muss die Xfrm-Schnittstelle ein unterliegendes Gerät haben, das für Hardware-Abladen verwandt werden kann.

Für weitere Datailinformationen siehe die Virtuellen XFRM-Schnittstellen[16].

[VRF]-ABSCHNITT-OPTIONEN

Der Abschnitt »[VRF]« gilt nur für Netdevs der Art »vrf« und akzeptiert den folgenden Schlüssel:

Table=

Der numerische Routing-Tabellenkennzeichner. Diese Einstellung ist verpflichtend.

BEISPIELE

Beispiel 1. /etc/systemd/network/25-bridge.netdev 

[NetDev]
Name=bridge0
Kind=bridge

Beispiel 2. /etc/systemd/network/25-vlan1.netdev

[Match]
Virtualization=no
[NetDev]
Name=vlan1
Kind=vlan
[VLAN]
Id=1

Beispiel 3. /etc/systemd/network/25-ipip.netdev

[NetDev]
Name=ipip-tun
Kind=ipip
MTUBytes=1480
[Tunnel]
Local=192.168.223.238
Remote=192.169.224.239
TTL=64

Beispiel 4. /etc/systemd/network/1-fou-tunnel.netdev

[NetDev]
Name=fou-tun
Kind=fou
[FooOverUDP]
Port=5555
Protocol=4

Beispiel 5. /etc/systemd/network/25-fou-ipip.netdev

[NetDev]
Name=ipip-tun
Kind=ipip
[Tunnel]
Independent=yes
Local=10.65.208.212
Remote=10.65.208.211
FooOverUDP=yes
FOUDestinationPort=5555

Beispiel 6. /etc/systemd/network/25-tap.netdev

[NetDev]
Name=tap-test
Kind=tap
[Tap]
MultiQueue=yes
PacketInfo=yes

Beispiel 7. /etc/systemd/network/25-sit.netdev

[NetDev]
Name=sit-tun
Kind=sit
MTUBytes=1480
[Tunnel]
Local=10.65.223.238
Remote=10.65.223.239

Beispiel 8. /etc/systemd/network/25-6rd.netdev

[NetDev]
Name=6rd-tun
Kind=sit
MTUBytes=1480
[Tunnel]
Local=10.65.223.238
IPv6RapidDeploymentPrefix=2602::/24

Beispiel 9. /etc/systemd/network/25-gre.netdev

[NetDev]
Name=gre-tun
Kind=gre
MTUBytes=1480
[Tunnel]
Local=10.65.223.238
Remote=10.65.223.239

Beispiel 10. /etc/systemd/network/25-ip6gre.netdev

[NetDev]
Name=ip6gre-tun
Kind=ip6gre
[Tunnel]
Key=123

Beispiel 11. /etc/systemd/network/25-vti.netdev

[NetDev]
Name=vti-tun
Kind=vti
MTUBytes=1480
[Tunnel]
Local=10.65.223.238
Remote=10.65.223.239

Beispiel 12. /etc/systemd/network/25-veth.netdev

[NetDev]
Name=veth-test
Kind=veth
[Peer]
Name=veth-peer

Beispiel 13. /etc/systemd/network/25-bond.netdev

[NetDev]
Name=bond1
Kind=bond
[Bond]
Mode=802.3ad
TransmitHashPolicy=layer3+4
MIIMonitorSec=1s
LACPTransmitRate=fast

Beispiel 14. /etc/systemd/network/25-dummy.netdev

[NetDev]
Name=dummy-test
Kind=dummy
MACAddress=12:34:56:78:9a:bc

Beispiel 15. /etc/systemd/network/25-vrf.netdev

Eine VRF-Schnittstelle mit Tabelle 42 erstellen.

[NetDev]
Name=vrf-test
Kind=vrf
[VRF]
Table=42

Beispiel 16. /etc/systemd/network/25-macvtap.netdev

Ein MacVTap-Gerät erstellen.

[NetDev]
Name=macvtap-test
Kind=macvtap

Beispiel 17. /etc/systemd/network/25-wireguard.netdev

[NetDev]
Name=wg0
Kind=wireguard
[WireGuard]
PrivateKey=EEGlnEPYJV//kbvvIqxKkQwOiS+UENyPncC4bF46ong=
ListenPort=51820
[WireGuardPeer]
PublicKey=RDf+LSpeEre7YEIKaxg+wbpsNV7du+ktR99uBEtIiCA=
AllowedIPs=fd31:bf08:57cb::/48,192.168.26.0/24
Endpoint=wireguard.example.com:51820

Beispiel 18. /etc/systemd/network/27-xfrm.netdev

[NetDev]
Name=xfrm0
Kind=xfrm
[Xfrm]
Independent=yes

SIEHE AUCH

systemd(1), systemd-networkd(8), systemd.link(5), systemd.network(5)

ANMERKUNGEN

1.
Linux-Ethernet-Bonding-Treiber-HOWTO
https://www.kernel.org/doc/Documentation/networking/bonding.txt
2.
RFC 2784
https://tools.ietf.org/html/rfc2784
3.
IEEE 802.1Q
http://www.ieee802.org/1/pages/802.1Q.html
4.
VRF
https://www.kernel.org/doc/Documentation/networking/vrf.txt
5.
(DVOE)
https://en.wikipedia.org/wiki/Distributed_Overlay_Virtual_Ethernet
6.
VXLAN Group Policy
https://tools.ietf.org/html/draft-smith-vxlan-group-policy
7.
Generische Protokollerweiterung für VXLAN
https://tools.ietf.org/html/draft-ietf-nvo3-vxlan-gpe-07
8.
Dienstetyp in der Internet-Protokollsammlung
http://tools.ietf.org/html/rfc1349
9.
RFC 6437
https://tools.ietf.org/html/rfc6437
10.
RFC 2460
https://tools.ietf.org/html/rfc2460
11.
RFC 2473
https://tools.ietf.org/html/rfc2473#section-4.1.1
12.
ip-xfrm — Konfiguration umwandeln
http://man7.org/linux/man-pages/man8/ip-xfrm.8.html
13.
Foo über UDP
https://lwn.net/Articles/614348
14.
IPv6 Rapid Deployment
https://tools.ietf.org/html/rfc5569
15.
Generische UDP-Einkapselung
https://lwn.net/Articles/615044
16.
Virtuellen XFRM-Schnittstellen
https://lwn.net/Articles/757391

ÜBERSETZUNG

Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.

Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.

Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an <debian-l10n-german@lists.debian.org>.

systemd 247