Scroll to navigation

SYSTEMD.NETDEV(5) systemd.network SYSTEMD.NETDEV(5)

BEZEICHNUNG

systemd.netdev - Konfiguration des virtuellen Netzgerätes

ÜBERSICHT

netdev.netdev

BESCHREIBUNG

Netzeinrichtung wird durch systemd-networkd(8) durchgeführt.

Das Hauptdatei für das virtuelle Netzwerkgerät muss die Endung »&.netdev« haben, andere Endungen werden ignoriert. Virtuelle Netzwerkgeräte werden erstellt, sobald Networkd gestartet wird. Falls ein Netdev mit dem festgelegten Namen bereits existiert, wird Networkd es wie vorhanden benutzen, anstelle sein eigenes zu erstellen. Beachten Sie, dass Einstellungen von bereits existierenden Netdev durch Networkd nicht geändert werden.

Die Dateien .netdev werden aus Dateien, die sich im Systemnetzwerkverzeichnis /lib/systemd/network, dem flüchtigen Laufzeitnetzwerkverzeichnis /run/systemd/network und dem lokal administrierten Netzwerkverzeichnis /etc/systemd/network befinden, gelesen. Alle Konfigurationsdateien werden gemeinsam sortiert und in lexikalischer Reihenfolge verarbeitet, unabhängig von den Verzeichnissen, in denen sie sich befinden. Allerdings ersetzen Dateinamen mit lexikalisch identischen Dateinamen einander. Dateien in /etc haben die höchste Priorität, Dateien in /run haben Vorrang vor Dateien mit dem gleichen Namen in /lib. Dies kann, falls notwendig, zum Außerkraftsetzen von systembereitgestellten Konfigurationsdateinamen durch lokale Dateien verwandt werden. Als Spezialfall deaktiviert eine leere Datei (Dateigröße 0) oder ein Symlink auf /dev/null mit dem gleichen Namen die Konfigurationsdatei komplett (sie ist »maskiert«).

Zusammen mit der Netdev-Datei foo.netdev kann ein »Ergänzungs«-Verzeichnis foo.netdev.d/ existieren. Alle Dateien mit der Endung ».conf« aus diesem Verzeichnis werden ausgewertet, nachdem die Datei selbst ausgewertet wurde. Dies ist nützlich, um die Konfigurationseinstellungen zu ändern oder zu ergänzen, ohne die Hauptkonfigurationsdatei selbst zu verändern. Jede Ergänzungsdatei muss über geeignete Abschnittkopfzeilen verfügen.

Zusätzlich zu /etc/systemd/network können Ergänzungs-».d«-Verzeichnisse in die Verzeichnisse /lib/systemd/network oder /run/systemd/network abgelegt werden. Ergänzungsdateien in /etc haben Vorrang vor denen in /run, die wiederum Vorrang vor denen in /lib haben. Ergänzungsdateien unter all diesen Verzeichnissen haben Vorrang vor der Haupt-Netdev-Datei, wo auch immer sich diese befindet. (Da /run temporär und /usr/lib für Lieferanten ist, ist es natürlich unwahrscheinlich, dass Ergänzungsverzeichnisse an einer der beiden Orte verwandt werden sollten.)

UNTERSTÜTZTE NETDEV-ARTEN

Die folgenden Arten von virtuellen Netzwerkgeräten können in .netdev-Dateien konfiguriert werden:

Tabelle 1. Unterstützte Arten von virtuellen Netzwerkgeräten

Art Beschreibung
bond A bond device is an aggregation of all its slave devices. See Linux Ethernet Bonding Driver HOWTO[1] for details.Local configuration
bridge A bridge device is a software switch, and each of its slave devices and the bridge itself are ports of the switch.
dummy Ein Pseudogerät, das alle an ihn gesandte Paket verwirft.
gre Ein Stufe-3-GRE-Tunnel über IPv4. Siehe RFC 2784[2] für Details.
gretap Ein Stufe-2-GRE-Tunnel über IPv4.
erspan ERSPAN mirrors traffic on one or more source ports and delivers the mirrored traffic to one or more destination ports on another switch. The traffic is encapsulated in generic routing encapsulation (GRE) and is therefore routable across a layer 3 network between the source switch and the destination switch.
ip6gre Ein Stufe-3-GRE-Tunnel über IPv6.
ip6tnl Ein IPv4- oder IPv6-Tunnel über IPv6
ip6gretap Ein Stufe-2-GRE-Tunnel über IPv6.
ipip Ein IPv4-über-IPv4-Tunnel.
ipvlan Ein ipvlan-Gerät ist ein gestapeltes Gerät, das basierend auf IP-Adressfilterung Pakete von seinem unterliegenden Gerät bekommt.
macvlan Ein macvlan-Gerät ist ein gestapeltes Gerät, das basierend auf MAC-Adressfilterung Pakete von seinem unterliegenden Gerät bekommt.
macvtap Ein macvtap-Gerät ist ein gestapeltes Gerät, das basierend auf MAC-Adressfilterung Pakete von seinem unterliegenden Gerät bekommt.
sit Ein IPv6-über-IPv4-Tunnel.
tap Ein dauerhafter Stufe-2-Tunnel zwischen einem Netzwerkgerät und einem Geräteknoten.
tun Ein dauerhafter Stufe-3-Tunnel zwischen einem Netzwerkgerät und einem Geräteknoten.
veth Ein Ethernet-Tunnel zwischen einem Paar von Netzwerkgeräten.
vlan A VLAN is a stacked device which receives packets from its underlying device based on VLAN tagging. See IEEE 802.1Q[3] for details.
vti Ein IPv4-über-IPSec-Tunnel.
vti6 Ein IPv6-über-IPSec-Tunnel.
vxlan Ein virtuell-erweiterbares LAN (vxlan), zur Verbindung von Cloud-Computing-Einsätzen.
geneve Ein »GEneric NEtwork Virtualization Encapsulation«- (GENEVE) Netdev-Treiber.
vrf Eine virtuelle Routing- und Weiterleitungs- (VRF[4]) Schnittstelle, um separate Routing- und Weiterleitungs-Domains zu erstellen.
vcan Der virtuelle CAN-Treiber (vcan). Ähnlich dem Netzwerk-Loopback-Gerät bietet vcan eine virtuelle, lokale CAN-Schnittstelle.
vxcan Der virtuelle CAN-Tunnel-Treiber (vxcan). Ähnlich dem virtuellen Ethernet-Treiber veth implementiert vxcan einen lokalen CAN-Verkehrstunnel zwischen zwei virtuellen CAN-Netzwerkgeräten. Bei der Erstellung eines vxcan werden zwei vxcan-Geräte als Paar erstellt. Wenn ein Ende ein Paket empfängt, erscheint es auf seinem Partner und umgedreht. Der vxcan kann für Namensraum-übergreifende Kommunikation verwandt werden.
wireguard Sicherer WireGuard-Netzwerktunnel.
netdevsim Ein Simulator. Das simulierte Netzwerkgerät wird für das Testen verschiedener Netzwerk-APIs verwandt und ist derzeit insbesondere auf das Testen von Hardwareschnittstellen, die Teile übernehmen, fokussiert.
fou Foo-über-UDP-Tunneln.

[MATCH]-ABSCHNITT-OPTIONEN

Ein virtuelles Netzwerkgerät wird nur erstellt, falls der Abschnitt »[Match]« auf die aktuelle Umgebung passt oder falls der Abschnitt leer ist. Die folgenden Schlüssel werden akzeptiert:

Host=

Passt auf den Rechnernamen oder die Maschinenkennung des Rechners. Siehe »ConditionHost=« in systemd.unit(5) für Details.

Virtualization=

Prüft, ob das System in einer virtualisierten Umgebung ausgeführt ist und testet optional, ob es eine bestimmte Implementierung ist. Siehe »ConditionVirtualization=« in systemd.unit(5) für Details.

KernelCommandLine=

Prüft, ob eine bestimmte Kernel-Befehlszeilenoption gesetzt ist (oder ungesetzt, falls ein Ausrufezeichen vorangesetzt ist). Siehe »ConditionKernelCommandLine=« in systemd.unit(5) für Details.

KernelVersion=

Prüft, ob die Kernelversion (wie von uname -r berichtet) auf einen bestimmten Ausdruck passt (oder nicht passt, falls ein Ausrufezeichen vorangesetzt ist). Siehe »ConditionKernelVersion=« in systemd.unit(5) für Details.

Architecture=

Prüft, ob das System auf einer bestimmten Architektur läuft. Siehe »ConditionArchitecture=« in systemd.unit(5) für Details.

[NETDEV]-ABSCHNITT OPTIONEN

Der Abschnitt »[NetDev]« akzeptiert die folgenden Schlüssel:

Description=

Eine formlose Beschreibung des Netdev.

Name=

Der bei der Erstellung des Netdev verwandte Schnittstellenname. Diese Option ist verpflichtend.

Kind=

Die Art des Netdevs. Diese Option ist verpflichtend. Siehe den Abschnitt »Unterstützte Netdev-Arten« für gültige Schlüssel.

MTUBytes=

Die für das Gerät zu setzende maximale Übertragungseinheit in Byte. Die gewöhnlichen Endungen K, M, G werden unterstützt und zur Basis 1024 verstanden. Für »tun«- oder »tap«-Geräte wird die Einstellung MTUBytes= derzeit im Abschnitt »[NetDev]« nicht unterstützt. Bitte geben Sie sie im Abschnitt »[Link]« der entsprechenden systemd.network(5)-Datei an.

MACAddress=

The MAC address to use for the device. For "tun" or "tap" devices, setting MACAddress= in the "[NetDev]" section is not supported. Please specify it in "[Link]" section of the corresponding systemd.network(5) file. If this option is not set, "vlan" devices inherit the MAC address of the physical interface. For other kind of netdevs, if this option is not set, then MAC address is generated based on the interface name and the machine-id(5).

[BRIDGE]-ABSCHNITT-OPTIONEN

Der Abschnitt »[Bridge]« gilt nur für Netdevs der Art »bridge« und akzeptiert die folgenden Schlüssel:

HelloTimeSec=

HelloTimeSec specifies the number of seconds between two hello packets sent out by the root bridge and the designated bridges. Hello packets are used to communicate information about the topology throughout the entire bridged local area network.

MaxAgeSec=

MaxAgeSec specifies the number of seconds of maximum message age. If the last seen (received) hello packet is more than this number of seconds old, the bridge in question will start the takeover procedure in attempt to become the Root Bridge itself.

ForwardDelaySec=

ForwardDelaySec legt die Anzahl an Sekunden, die in jedem Anfragewartenden und lernenden Zustand verweilt bevor der Weiterleitungszustand betreten wird, fest.

AgeingTimeSec=

Dies legt die Anzahl an Sekunden fest, die eine MAC-Adresse in der Weiterleitungsdatenbank behalten wird, nachdem ein Paket von dieser MAC-Adresse empfangen wurde.

Priority=

The priority of the bridge. An integer between 0 and 65535. A lower value means higher priority. The bridge having the lowest priority will be elected as root bridge.

GroupForwardMask=

A 16-bit bitmask represented as an integer which allows forwarding of link local frames with 802.1D reserved addresses (01:80:C2:00:00:0X). A logical AND is performed between the specified bitmask and the exponentiation of 2^X, the lower nibble of the last octet of the MAC address. For example, a value of 8 would allow forwarding of frames addressed to 01:80:C2:00:00:03 (802.1X PAE).

DefaultPVID=

This specifies the default port VLAN ID of a newly attached bridge port. Set this to an integer in the range 1–4094 or "none" to disable the PVID.

MulticastQuerier=

Takes a boolean. This setting controls the IFLA_BR_MCAST_QUERIER option in the kernel. If enabled, the kernel will send general ICMP queries from a zero source address. This feature should allow faster convergence on startup, but it causes some multicast-aware switches to misbehave and disrupt forwarding of multicast packets. When unset, the kernel's default will be used.

MulticastSnooping=

Takes a boolean. This setting controls the IFLA_BR_MCAST_SNOOPING option in the kernel. If enabled, IGMP snooping monitors the Internet Group Management Protocol (IGMP) traffic between hosts and multicast routers. When unset, the kernel's default will be used.

VLANFiltering=

Takes a boolean. This setting controls the IFLA_BR_VLAN_FILTERING option in the kernel. If enabled, the bridge will be started in VLAN-filtering mode. When unset, the kernel's default will be used.

STP=

Takes a boolean. This enables the bridge's Spanning Tree Protocol (STP). When unset, the kernel's default will be used.

[VLAN]-ABSCHNITT OPTIONEN

Der Abschnitt »[VLAN]« gilt nur für Netdevs der Art »vlan« und akzeptiert die folgenden Schlüssel:

Id=

Die zu verwendende VLAN-Kennung. Eine Ganzzahl im Bereich 0…4094. Diese Option ist verpflichtend.

GVRP=

Akzeptiert einen logischen Wert. Das Generic VLAN Registration Protocol (GVRP) ist ein Protokoll, das das automatische Erlernen von VLANs in einem Netz erlaubt. Falls nicht gesetzt, wird die Vorgabeeinstellung des Kernels verwandt.

MVRP=

Takes a boolean. Multiple VLAN Registration Protocol (MVRP) formerly known as GARP VLAN Registration Protocol (GVRP) is a standards-based Layer 2 network protocol, for automatic configuration of VLAN information on switches. It was defined in the 802.1ak amendment to 802.1Q-2005. When unset, the kernel's default will be used.

LooseBinding=

Takes a boolean. The VLAN loose binding mode, in which only the operational state is passed from the parent to the associated VLANs, but the VLAN device state is not changed. When unset, the kernel's default will be used.

ReorderHeader=

Takes a boolean. The VLAN reorder header is set VLAN interfaces behave like physical interfaces. When unset, the kernel's default will be used.

[MACVLAN]-ABSCHNITT OPTIONEN

Der Abschnitt »[MACVLAN]« gilt nur für Netdevs der Art »macvlan« und akzeptiert die folgenden Schlüssel:

Mode=

Der zu verwendende MACVLAN-Modus. Die unterstützten Optionen sind »private«, »vepa«, »bridge« und »passthru«.

[MACVTAP]-ABSCHNITT OPTIONEN

Der Abschnitt »[MACVTAP]« gilt nur für Netdevs der Art »macvtap« und akzeptiert die gleichen Schlüssel wie für »[MACVLAN]«:

[IPVLAN]-ABSCHNITT OPTIONEN

Der Abschnitt »[IPVLAN]« gilt nur für Netdevs der Art »ipvlan« und akzeptiert die folgenden Schlüssel:

Mode=

Der zu verwendende IPVLAN-Modus. Die unterstützten Optionen sind »L2«, »L3« und »L3S«.

Flags=

Die zu verwendenden IPVLAN-Schalter. Die unterstützten Optionen sind »bridge«, »private« und »vepa«.

[VXLAN]-ABSCHNITT OPTIONEN

Der Abschnitt »[VXLAN]« gilt nur für Netdevs der Art »vxlan« und akzeptiert die folgenden Schlüssel:

Id=

Die zu verwendende VXLAN-Kennung.

Remote=

Konfiguriert die Ziel-IP-Adresse.

Local=

Konfiguriert die lokale IP-Adresse.

TOS=

Der Dienstetyp-Byte-Wert für eine Vxlan-Schnittstelle.

TTL=

A fixed Time To Live N on Virtual eXtensible Local Area Network packets. N is a number in the range 1–255. 0 is a special value meaning that packets inherit the TTL value.

MacLearning=

Akzeptiert einen logischen Wert. Falls wahr, wird dynamisches MAC-Lernen zur Erkennung von fernen MAC-Adressen aktiviert.

FDBAgeingSec=

Die Lebensdauer von Weiterleitungsdatenbankeinträgen, die vom Kernel gelernt wurden, in Sekunden.

MaximumFDBEntries=

Konfiguriert die maximale Anzahl an FDB-Einträgen.

ReduceARPProxy=

Takes a boolean. When true, bridge-connected VXLAN tunnel endpoint answers ARP requests from the local bridge on behalf of remote Distributed Overlay Virtual Ethernet (DVOE)[5] clients. Defaults to false.

L2MissNotification=

Akzeptiert einen logischen Wert. Falls wahr, wird Netlink-LLADDR-Verlustbenachrichtigung aktiviert.

L3MissNotification=

Akzeptiert einen logischen Wert. Falls wahr, wird Netlink-IP-Adresssen-Verlustbenachrichtigung aktiviert.

RouteShortCircuit=

Takes a boolean. When true, route short circuiting is turned on.

UDPChecksum=

Akzeptiert einen logischen Wert. Falls wahr, wird das Übertragen von UDP-Prüfsummen während VXLAN/IPv4 eingeschaltet.

UDP6ZeroChecksumTx=

Akzeptiert einen logischen Wert. Falls wahr, wird das Übertragen von Null-UDP-Prüfsummen während VXLAN/IPv6 eingeschaltet.

UDP6ZeroChecksumRx=

Akzeptiert einen logischen Wert. Falls wahr, wird das Empfangen on Null-UDP-Prüfsummen während VXLAN/IPv6 eingeschaltet.

RemoteChecksumTx=

Takes a boolean. When true, remote transmit checksum offload of VXLAN is turned on.

RemoteChecksumRx=

Takes a boolean. When true, remote receive checksum offload in VXLAN is turned on.

GroupPolicyExtension=

Takes a boolean. When true, it enables Group Policy VXLAN extension security label mechanism across network peers based on VXLAN. For details about the Group Policy VXLAN, see the VXLAN Group Policy[6] document. Defaults to false.

DestinationPort=

Konfiguriert den Standard-Ziel-UDP-Port pro Gerät. Falls der Ziel-Port nicht festgelegt ist, wird die Linux-Kernel-Vorgabe verwandt. Setzen Sie den Ziel-Port 4789, um den IANA-zugewiesenen Wert zu erhalten. Falls nicht gesetzt oder falls dem Ziel-Port die leere Zeichenkette zugeordnet ist, wird der Standard-Port 4789 verwandt.

PortRange=

Configures VXLAN port range. VXLAN bases source UDP port based on flow to help the receiver to be able to load balance based on outer header flow. It restricts the port range to the normal UDP local ports, and allows overriding via configuration.

FlowLabel=

Specifies the flow label to use in outgoing packets. The valid range is 0-1048575.

[GENEVE]-ABSCHNITT OPTIONEN

Der Abschnitt »[GENEVE]« gilt nur für Netdevs der Art »geneve« und akzeptiert die folgenden Schlüssel:

Id=

Legt den zu verwendenden virtuellen Netzwerkkennzeichner (VNI) fest. Bereich [0-16777215].

Remote=

Legt die Unicast-Ziel-IP-Adresse für ausgehende Pakete fest.

TOS=

Legt den TOS-Wert für ausgehende Pakete fest. Bereich [1-255].

TTL=

Legt den TTL-Wert für ausgehende Pakete fest. Bereich [1-255].

UDPChecksum=

Akzeptiert einen logischen Wert. Falls wahr, legt er fest, ob UDP-Prüfsummen für über IPv4 übertragende Pakete berechnet werden.

UDP6ZeroChecksumTx=

Akzeptiert einen logischen Wert. Falls wahr, wird die UDP-Prüfsummenberechnung für übertragene Pakete über IPv6 übersprungen.

UDP6ZeroChecksumRx=

Akzeptiert einen logischen Wert. Falls wahr, erlaubt eingehende UDP-Pakete über IPv6 mit Null-Prüfsummenfeldern.

DestinationPort=

Legt den Ziel-Port fest. Standardmäßig 6081. Falls nicht gesetzt oder ihm die leere Zeichenkette zugewiesen wurde, wird der Vorgabe-Port 6081 verwandt.

FlowLabel=

Specifies the flow label to use in outgoing packets.

[TUNNEL]-ABSCHNITT OPTIONEN

Der Abschnitt »[Tunnel]« gilt nur für Netdevs der Art »ipip«, »sit«, »gre«, »gretap«, »ip6gre«, »ip6gretap«, »vti«, »vti6« und »ip6tnl« und akzeptiert die folgenden Schlüssel:

Local=

Eine statische lokale Adresse für getunnelte Pakete. Es muss eine Adresse auf einer anderen Schnittstelle auf diesem Rechner sein.

Remote=

Der ferne Endpunkt des Tunnels.

TOS=

Der Byte-Wert »Type Of Service« für eine Tunnelschnittstelle. Für Details über den TOS, siehe das Dokument Dienstetyp in der Internet-Protokollsammlung[7].

TTL=

Eine feste »Time To Live« N für getunnelte Pakete. N ist eine Zahl im Bereich 1…255. 0 ist ein besonderer Wert, der bdeutet, dass Pakete den TTL-Wert erben. Der Vorgabewert für IPv4-Tunnel ist: erben. Der Vorgabewert für IPv6-Tunnel ist 64.

DiscoverPathMTU=

Akzeptiert einen logischen Wert. Falls wahr, wird Pfad-MTU-Erkennung des Tunnels aktiviert.

IPv6FlowLabel=

Configures the 20-bit flow label (see RFC 6437[8]) field in the IPv6 header (see RFC 2460[9]), which is used by a node to label packets of a flow. It is only used for IPv6 tunnels. A flow label of zero is used to indicate packets that have not been labeled. It can be configured to a value in the range 0–0xFFFFF, or be set to "inherit", in which case the original flowlabel is used.

CopyDSCP=

Takes a boolean. When true, the Differentiated Service Code Point (DSCP) field will be copied to the inner header from outer header during the decapsulation of an IPv6 tunnel packet. DSCP is a field in an IP packet that enables different levels of service to be assigned to network traffic. Defaults to "no".

EncapsulationLimit=

Die Option »Tunnel Encapsulation Limit« legt fest, wie viele zusätzliche Kapslungsstufen dem Paket voranzustellen erlaubt sind. Enthält ein Option »Tunnel Encapsulation Limit« beispielsweise den Wert Null, dann bedeutet dies, dass ein Paket, das diese Option trägt, keinen weiteren Tunnel betreten darf, bevor es den aktuellen Tunnel verlässt. (siehe RFC 2473[10]). Der Gültigkeitsbereich ist 0…255 und »none«. Standardmäßig 4.

Key=

The Key= parameter specifies the same key to use in both directions (InputKey= and OutputKey=). The Key= is either a number or an IPv4 address-like dotted quad. It is used as mark-configured SAD/SPD entry as part of the lookup key (both in data and control path) in ip xfrm (framework used to implement IPsec protocol). See ip-xfrm — transform configuration[11] for details. It is only used for VTI/VTI6 tunnels.

InputKey=

Der Parameter InputKey= legt den für die Eingabe zu verwendenden Schlüssel fest. Das Format ist zu Key= identisch. Er wird nur für VTI/VTI6-Tunnel verwandt.

OutputKey=

Der Parameter OutputKey= legt den für die Ausgabe zu verwendenden Schlüssel fest. Das Format ist zu Key= identisch. Er wird nur für VTI/VTI6-Tunnel verwandt.

Mode=

Ein »ip6tnl«-Tunnel kann in einem der drei Modi »ip6ip6« für IPv6 über IPv6, »ipip6« für IPv4 über IPv6 oder »any« für beides sein.

Independent=

Akzeptiert einen logischen Wert. Falls wahr, benötigt der Tunnel keine Datei .network. Erstellt als »tunnel@NONE«. Standardmäßig »false«.

AllowLocalRemote=

Akzeptiert einen logischen Wert. Falls wahr, wird Tunnelverkehr auf ip6tnl-Geräten erlaubt, bei denen der ferne Endpunkt eine lokale Rechneradresse ist. Falls nicht gesetzt wird die Vorgabe des Kernels verwandt.

FooOverUDP=

Akezptiert einen logischen Wert. Legt fest, ob ein FooOverUDP=-Tunnel konfiguriert werden soll. Standardmäßig »false«. Für weitere Informationen siehe Foo über UDP[12].

FOUDestinationPort=

Diese Einstellung legt den UDP-Ziel-Port für Einkapslung fest. Dieses Feld ist verpflichtend und standardmäßig nicht gesetzt.

FOUSourcePort=

Diese Einstellung legt den UDP-Quell-Port für Einkapslung fest. Standardmäßig 0, das heißt, der Quell-Port für Pakete wird vom Netzwerkstapel entschieden.

Encapsulation=

Akzeptiert die gleichen Schlüssel wie »[FooOverUDP]«.

IPv6RapidDeploymentPrefix=

Reconfigure the tunnel for IPv6 Rapid Deployment[13], also known as 6rd. The value is an ISP-specific IPv6 prefix with a non-zero length. Only applicable to SIT tunnels.

ISATAP=

Takes a boolean. If set, configures the tunnel as Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) tunnel. Only applicable to SIT tunnels. When unset, the kernel's default will be used.

SerializeTunneledPackets=

Akzeptiert einen logischen Wert. Falls auf »yes« gesetzt, werden Pakete serialisiert. Wird nur auf ERSPAN-Tunnel angewandt. Falls nicht gesetzt wird die Vorgabe des Kernels verwandt.

ERSPANIndex=

Legt das ERSPAN-Indexfeld für die Schnittstelle fest. Dies ist eine Ganzzahl im Bereich 1-1048575, die mit dem Quell-Port und der Richtung des ERSPAN-Verkehrs verbunden ist. Dieses Feld ist verpflichtend.

[FOOOVERUDP]-ABSCHNITT OPTIONEN

Der Abschnitt »[FooOverUDP]« gilt nur für Netdevs der Art »fou« und akzeptiert die folgenden Schlüssel:

Protocol=

Das Protocol= legt die Protokollnummer der am UDP-Port ankommenden Pakete fest. Dieses Feld ist verpflichtend und standardmäßig nicht gesetzt. Gültiger Bereich ist 1-255.

Encapsulation=

Legt den verwandten Einkapslungsmechanismus zum Unterbringen von Netzwerkpaketen verschiedener Protokolle innerhalb von UDP-Paketen fest. Unterstützt die folgenden Werte: »FooOverUDP« stellt die einfachste, schnörkellose UDP-Einkapslung bereit, es kapselt Pakete direkt in den UDP-Nutzdaten. »GenericUDPEncapsulation« ist eine generische und erweiterbare Einkapslung, sie erlaubt das Einkapseln von Pakete für jedes IP-Protokoll und optionale Daten als Teil der Einkapslung. Für detailliertere Informationen siehe Generic UDP Encapsulation[14]. Standardmäßig »FooOverUDP«.

Port=

Legt die Portnummer fest, auf der IP-Einkapslungspakete ankommen werden. Bitte beachten Sie, dass Pakete mit entfernter Einkapslung ankommen werden. Dann werden sie manuell in den Netzwerkstapel zurückgeleitet und für die Auslieferung an dem wirklichen Ziel vorausgeleitet. Diese Option ist verpflichtend.

[PEER]-ABSCHNITT OPTIONEN

Der Abschnitt »[Peer]« gilt nur für Netdevs der Art »veth« und akzeptiert die folgenden Schlüssel:

Name=

Der bei der Erstellung des Netdev verwandte Schnittstellenname. Diese Option ist verpflichtend.

MACAddress=

The peer MACAddress, if not set, it is generated in the same way as the MAC address of the main interface.

[VXCAN]-ABSCHNITT OPTIONEN

Der Abschnitt »[VXCAN]« gilt nur für Netdevs der Art »vxcan« und akzeptiert die folgenden Schlüssel:

Peer=

The peer interface name used when creating the netdev. This option is compulsory.

[TUN]-ABSCHNITT OPTIONEN

Der Abschnitt »[Tun]« gilt nur für Netdevs der Art »tun« und akzeptiert die folgenden Schlüssel:

OneQueue=

Akzeptiert einen logischen Wert. Konfiguriert ob alle Pakete bei dem Gerät in die Warteschlange gestellt werden (aktiviert) oder eine bestimmte Anzahl an Paketen bei dem Gerät und der Rest bei der »qdisc« in die Warteschlange eingestellt wird. Standardmäßíg »no«.

MultiQueue=

Akzeptiert einen logischen Wert. Konfiguriert ob mehrere Dateideskriptoren (Warteschlangen) zur Parallelisierung des Paketversands und -empfangs verwandt werden sollen. Standardmäßig »no«.

PacketInfo=

Akzeptiert einen logischen Wert. Konfiguriert, ob Paketen vier zusätzliche Bytes (zwei Schalter-Bytes und zwei Protokoll-Bytes) vorangestellt werden sollen. Falls deaktiviert, zeigt dies an, dass die Pakete reine IP-Pakete sein werden. Standardmäßig »no«.

VNetHeader=

Takes a boolean. Configures IFF_VNET_HDR flag for a tap device. It allows sending and receiving larger Generic Segmentation Offload (GSO) packets. This may increase throughput significantly. Defaults to "no".

User=

Benutzer, dem Zugriff auf das Gerät /dev/net/tun gewährt werden soll.

Group=

Gruppe, der Zugriff auf das Gerät /dev/net/tun gewährt werden soll.

[TAP]-ABSCHNITT OPTIONEN

Der Abschnitt »[Tap]« gilt nur für Netdevs der Art »tap« und akzeptiert die gleichen Schlüssel wie der Abschnitt »[Tun]«.

[WIREGUARD]-ABSCHNITT OPTIONEN

Der Abschnitt »[WireGuard]« akzeptiert die folgenden Schlüssel:

PrivateKey=

Der Base64-kodierte private Schlüssel für die Schnittstelle. Er kann mit dem Befehl wg genkey erstellt werden (siehe wg(8)). Für die Verwendung von WireGuard ist diese Option verpflichtend. Beachten Sie, dass Sie die Berechtigungen der ».netdev«-Datei auf den Eigentümer »root:systemd-network« mit einem Dateimodus »0640« setzen sollten, da diese Information geheim ist.

ListenPort=

Setzt den UDP-Port, an dem auf Anfragen gewartet werden soll. Akzeptiert entweder einen Wert zwischen 1 und 65535 oder »auto«. Falls »auto« festgelegt ist, wird der Port automatisch basierend auf dem Schnittstellennamen erstellt. Standardmäßig »auto«.

FwMark=

Setzt auf von dieser Schnittstelle ausgehenden WireGuard-Paketen eine Firewall-Kennzeichnung.

[WIREGUARDPEER]-ABSCHNITT OPTIONEN

Der Abschnitt »[WireGuardPeer]« akzeptiert die folgenden Schlüssel:

PublicKey=

Setzt einen Base64-kodierten öffentlichen Schlüssel, der mittels wg pubkey (siehe wg(8)) aus einem privaten Schlüssel berechnet und normalerweise auf einem anderen Weg zum Autor der Konfigurationsdatei transportiert wurde. Für diesen Abschnitt ist diese Option verpflichtend.

PresharedKey=

Optional preshared key for the interface. It can be generated by the wg genpsk command. This option adds an additional layer of symmetric-key cryptography to be mixed into the already existing public-key cryptography, for post-quantum resistance. Note that because this information is secret, you may want to set the permissions of the .netdev file to be owned by "root:systemd-networkd" with a "0640" file mode.

AllowedIPs=

Sets a comma-separated list of IP (v4 or v6) addresses with CIDR masks from which this peer is allowed to send incoming traffic and to which outgoing traffic for this peer is directed. The catch-all 0.0.0.0/0 may be specified for matching all IPv4 addresses, and ::/0 may be specified for matching all IPv6 addresses.

Endpoint=

Sets an endpoint IP address or hostname, followed by a colon, and then a port number. This endpoint will be updated automatically once to the most recent source IP address and port of correctly authenticated packets from the peer at configuration time.

PersistentKeepalive=

Sets a seconds interval, between 1 and 65535 inclusive, of how often to send an authenticated empty packet to the peer for the purpose of keeping a stateful firewall or NAT mapping valid persistently. For example, if the interface very rarely sends traffic, but it might at anytime receive traffic from a peer, and it is behind NAT, the interface might benefit from having a persistent keepalive interval of 25 seconds. If set to 0 or "off", this option is disabled. By default or when unspecified, this option is off. Most users will not need this.

[BOND]-ABSCHNITT OPTIONEN

Der Abschnitt »[Bond]« akzeptiert die folgenden Schlüssel:

Mode=

Specifies one of the bonding policies. The default is "balance-rr" (round robin). Possible values are "balance-rr", "active-backup", "balance-xor", "broadcast", "802.3ad", "balance-tlb", and "balance-alb".

TransmitHashPolicy=

Selects the transmit hash policy to use for slave selection in balance-xor, 802.3ad, and tlb modes. Possible values are "layer2", "layer3+4", "layer2+3", "encap2+3", and "encap3+4".

LACPTransmitRate=

Specifies the rate with which link partner transmits Link Aggregation Control Protocol Data Unit packets in 802.3ad mode. Possible values are "slow", which requests partner to transmit LACPDUs every 30 seconds, and "fast", which requests partner to transmit LACPDUs every second. The default value is "slow".

MIIMonitorSec=

Specifies the frequency that Media Independent Interface link monitoring will occur. A value of zero disables MII link monitoring. This value is rounded down to the nearest millisecond. The default value is 0.

UpDelaySec=

Legt die Verzögerung fest, bevor ein Link aktiviert wird, nachdem ein Link-Aktiv-Zustand erkannt wurde. Dieser Wert wird auf ein Vielfaches von MIIMonitorSec abgerundet. Der Vorgabewert ist 0.

DownDelaySec=

Legt die Verzögerung fest, bevor ein Link deaktiviert wird, nachdem ein Link-Deaktiv-Zustand erkannt wurde. Dieser Wert wird auf ein Vielfaches von MIIMonitorSec abgerundet. Der Vorgabewert ist 0.

LearnPacketIntervalSec=

Specifies the number of seconds between instances where the bonding driver sends learning packets to each slave peer switch. The valid range is 1–0x7fffffff; the default value is 1. This option has an effect only for the balance-tlb and balance-alb modes.

AdSelect=

Legt die zu verwendende 802.3ad-Aggregationsauswahllogik fest. Mögliche Werte sind »stable«, »bandwidth« und »count«.

AdActorSystemPriority=

Specifies the 802.3ad actor system priority. Ranges [1-65535].

AdUserPortKey=

Legt den benutzerdefinierten Anteil des 802.3ad-Port-Schlüssels fest. Bereich [0-1023].

AdActorSystem=

Legt die 802.3ad-System-MAC-Adresse fest. Diese kann weder NULL noch Multicast sein.

FailOverMACPolicy=

Specifies whether the active-backup mode should set all slaves to the same MAC address at the time of enslavement or, when enabled, to perform special handling of the bond's MAC address in accordance with the selected policy. The default policy is none. Possible values are "none", "active" and "follow".

ARPValidate=

Specifies whether or not ARP probes and replies should be validated in any mode that supports ARP monitoring, or whether non-ARP traffic should be filtered (disregarded) for link monitoring purposes. Possible values are "none", "active", "backup" and "all".

ARPIntervalSec=

Legt die ARP-Linküberwachungsfrequenz in Millisekunden fest. Ein Wert von 0 deaktiviert die ARP-Überwachung. Der Vorgabewert ist 0.

ARPIPTargets=

Specifies the IP addresses to use as ARP monitoring peers when ARPIntervalSec is greater than 0. These are the targets of the ARP request sent to determine the health of the link to the targets. Specify these values in IPv4 dotted decimal format. At least one IP address must be given for ARP monitoring to function. The maximum number of targets that can be specified is 16. The default value is no IP addresses.

ARPAllTargets=

Specifies the quantity of ARPIPTargets that must be reachable in order for the ARP monitor to consider a slave as being up. This option affects only active-backup mode for slaves with ARPValidate enabled. Possible values are "any" and "all".

PrimaryReselectPolicy=

Specifies the reselection policy for the primary slave. This affects how the primary slave is chosen to become the active slave when failure of the active slave or recovery of the primary slave occurs. This option is designed to prevent flip-flopping between the primary slave and other slaves. Possible values are "always", "better" and "failure".

ResendIGMP=

Specifies the number of IGMP membership reports to be issued after a failover event. One membership report is issued immediately after the failover, subsequent packets are sent in each 200ms interval. The valid range is 0–255. Defaults to 1. A value of 0 prevents the IGMP membership report from being issued in response to the failover event.

PacketsPerSlave=

Specify the number of packets to transmit through a slave before moving to the next one. When set to 0, then a slave is chosen at random. The valid range is 0–65535. Defaults to 1. This option only has effect when in balance-rr mode.

GratuitousARP=

Specify the number of peer notifications (gratuitous ARPs and unsolicited IPv6 Neighbor Advertisements) to be issued after a failover event. As soon as the link is up on the new slave, a peer notification is sent on the bonding device and each VLAN sub-device. This is repeated at each link monitor interval (ARPIntervalSec or MIIMonitorSec, whichever is active) if the number is greater than 1. The valid range is 0–255. The default value is 1. These options affect only the active-backup mode.

AllSlavesActive=

Takes a boolean. Specifies that duplicate frames (received on inactive ports) should be dropped when false, or delivered when true. Normally, bonding will drop duplicate frames (received on inactive ports), which is desirable for most users. But there are some times it is nice to allow duplicate frames to be delivered. The default value is false (drop duplicate frames received on inactive ports).

DynamicTransmitLoadBalancing=

Takes a boolean. Specifies if dynamic shuffling of flows is enabled. Applies only for balance-tlb mode. Defaults to unset.

MinLinks=

Specifies the minimum number of links that must be active before asserting carrier. The default value is 0.

For more detail information see Linux Ethernet Bonding Driver HOWTO[1]

BEISPIELE

Beispiel 1. /etc/systemd/network/25-bridge.netdev 

[NetDev]
Name=bridge0
Kind=bridge

Beispiel 2. /etc/systemd/network/25-vlan1.netdev

[Match]
Virtualization=no
[NetDev]
Name=vlan1
Kind=vlan
[VLAN]
Id=1

Beispiel 3. /etc/systemd/network/25-ipip.netdev

[NetDev]
Name=ipip-tun
Kind=ipip
MTUBytes=1480
[Tunnel]
Local=192.168.223.238
Remote=192.169.224.239
TTL=64

Beispiel 4. /etc/systemd/network/1-fou-tunnel.netdev

[NetDev]
Name=fou-tun
Kind=fou
[FooOverUDP]
Port=5555
Protocol=4

Beispiel 5. /etc/systemd/network/25-fou-ipip.netdev

[NetDev]
Name=ipip-tun
Kind=ipip
[Tunnel]
Independent=yes
Local=10.65.208.212
Remote=10.65.208.211
FooOverUDP=yes
FOUDestinationPort=5555

Beispiel 6. /etc/systemd/network/25-tap.netdev

[NetDev]
Name=tap-test
Kind=tap
[Tap]
MultiQueue=yes
PacketInfo=yes

Beispiel 7. /etc/systemd/network/25-sit.netdev

[NetDev]
Name=sit-tun
Kind=sit
MTUBytes=1480
[Tunnel]
Local=10.65.223.238
Remote=10.65.223.239

Beispiel 8. /etc/systemd/network/25-6rd.netdev

[NetDev]
Name=6rd-tun
Kind=sit
MTUBytes=1480
[Tunnel]
Local=10.65.223.238
IPv6RapidDeploymentPrefix=2602::/24

Beispiel 9. /etc/systemd/network/25-gre.netdev

[NetDev]
Name=gre-tun
Kind=gre
MTUBytes=1480
[Tunnel]
Local=10.65.223.238
Remote=10.65.223.239

Beispiel 10. /etc/systemd/network/25-vti.netdev

[NetDev]
Name=vti-tun
Kind=vti
MTUBytes=1480
[Tunnel]
Local=10.65.223.238
Remote=10.65.223.239

Beispiel 11. /etc/systemd/network/25-veth.netdev

[NetDev]
Name=veth-test
Kind=veth
[Peer]
Name=veth-peer

Beispiel 12. /etc/systemd/network/25-bond.netdev

[NetDev]
Name=bond1
Kind=bond
[Bond]
Mode=802.3ad
TransmitHashPolicy=layer3+4
MIIMonitorSec=1s
LACPTransmitRate=fast

Beispiel 13. /etc/systemd/network/25-dummy.netdev

[NetDev]
Name=dummy-test
Kind=dummy
MACAddress=12:34:56:78:9a:bc

Beispiel 14. /etc/systemd/network/25-vrf.netdev

Eine VRF-Schnittstelle mit Tabelle 42 erstellen.

[NetDev]
Name=vrf-test
Kind=vrf
[VRF]
Table=42

Beispiel 15. /etc/systemd/network/25-macvtap.netdev

Ein MacVTap-Gerät erstellen.

[NetDev]
Name=macvtap-test
Kind=macvtap

Beispiel 16. /etc/systemd/network/25-wireguard.netdev

[NetDev]
Name=wg0
Kind=wireguard
[WireGuard]
PrivateKey=EEGlnEPYJV//kbvvIqxKkQwOiS+UENyPncC4bF46ong=
ListenPort=51820
[WireGuardPeer]
PublicKey=RDf+LSpeEre7YEIKaxg+wbpsNV7du+ktR99uBEtIiCA=
AllowedIPs=fd31:bf08:57cb::/48,192.168.26.0/24
Endpoint=wireguard.example.com:51820

SIEHE AUCH

systemd(1), systemd-networkd(8), systemd.link(5), systemd.network(5)

ANMERKUNGEN

1.
Linux Ethernet Bonding Driver HOWTO
https://www.kernel.org/doc/Documentation/networking/bonding.txt
2.
RFC 2784
https://tools.ietf.org/html/rfc2784
3.
IEEE 802.1Q
http://www.ieee802.org/1/pages/802.1Q.html
4.
VRF
https://www.kernel.org/doc/Documentation/networking/vrf.txt
5.
(DVOE)
https://en.wikipedia.org/wiki/Distributed_Overlay_Virtual_Ethernet
6.
VXLAN Group Policy
https://tools.ietf.org/html/draft-smith-vxlan-group-policy
7.
Dienstetyp in der Internet-Protokollsammlung
http://tools.ietf.org/html/rfc1349
8.
RFC 6437
https://tools.ietf.org/html/rfc6437
9.
RFC 2460
https://tools.ietf.org/html/rfc2460
10.
RFC 2473
https://tools.ietf.org/html/rfc2473#section-4.1.1
11.
ip-xfrm — Konfiguration umwandeln
http://man7.org/linux/man-pages/man8/ip-xfrm.8.html
12.
Foo über UDP
https://lwn.net/Articles/614348
13.
IPv6 Rapid Deployment
https://tools.ietf.org/html/rfc5569
14.
Generische UDP-Einkapslung
https://lwn.net/Articles/615044

ÜBERSETZUNG

Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.

Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.

Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an <debian-l10n-german@lists.debian.org>.

systemd 241