问题[linux-networking](server)

我在商业计划中从 ISP 收到了 4 个静态 IP 地址，这些地址将在 Linux 驱动的路由器上使用并通过命令进行配置ip。我以前的 ISP 给了我 4 /32 个 IP 地址，只需将其添加到 WAN 接口即可，并且可以相互独立工作；然而，我的新 ISP 给了我一个由 4 个 IP 地址组成的“路由”/30 块。

error: nexthop has invalid gateway当我收到或添加 IP 地址但无法解析任何外部 IP 地址或目标主机时，我一直无法弄清楚如何添加这些 IP 地址。

我的新ISP的网络配置如下：

• 广域网：1.1.1.2/30
• 网关：1.1.1.1/30
• 路由：1.1.1.4/30

我的ISP声称可能不需要网关地址，并且使用WAN地址作为上游。我的路由器有 2 个网卡； 1 个用于 LAN，1 个用于 WAN。我也用它iptables来配置防火墙。

如何通过ip命令在 Linux 系统上正确配置此设置？

我希望给定的网卡表现得像速度较慢的网卡一样。就像我笔记本电脑中的 1G 接口实际上是 100M 或 10M 接口一样。一种方法当然是挖出我以前的旧 10mbit 集线器，并将其用于此目的。

我确信有一个“软件解决方案”。tc事实上，命令和功能似乎tbf能够做到这一点。

不幸的是，我没有完全掌握实现上面所写内容的概念。似乎需要考虑一些数学知识来考虑假设的链接速度/sys/class/net/*/speed，可能是来自 的 MTU/sys/class/net/*/mtu以及系统的滴答率。我不确定现在“当前”发行版内核是否仍然需要后者（例如，我有CONFIG_NO_HZ=y）CONFIG_HZ_300=y。

一个 shell 脚本应该如何使此类功能更加通用？喜欢bash link-bandhwidth.sh <interface> 10m|100m|1G|2.5G|10G

编辑：

正如@vidarlo 所建议的，更改链接速度确实有效。我能够更改交换机上各个端口的公布速度列表。我使用 ethtool 得到的结果好坏参半，即使是在提供多种不同速度的 mlx5 卡上也是如此。

我还有一张 mlx4 卡，仅支持单一速度。在这里，我尝试了建议的但不完整的nc命令。因此，问题是如何以编程方式生成最优值。直到现在，这部分仍然没有答案。对我来说，这样的命令适用于固定速度 10G 链路：

tc qdisc add dev $interface root tbf rate 2000mbit latency 1ms burst 2000mbit

这就像假设的 2G 卡，但延迟和突发值很可能还有改进的空间。我也尝试过1000mbit并且100mbit得到了预期的结果。

我对构建服务器的概念很陌生，并且正在阅读有关虚拟机管理程序的内容。我了解到KVM是1型虚拟机管理程序，可以直接安装在服务器上，无需操作系统。但让我困惑的是，要安装 KVM 模块，你需要 Linux 内核。那么如何创建一个安装了虚拟机管理程序和 KVM 的可启动驱动器，而无需先安装 Linux 发行版。找不到任何文章来解释这个概念，或者我的理解不正确。

我有一个 Ansible playbook，用于配置新的 Linux VM。我最近正在使用 Ubuntu 22.04 构建一个新的虚拟机。该剧本将编写一些与网络等相关的配置文件，然后该过程的最后一步是使用 Ansiblesansible.builtin.package安装所有软件包更新。

- name: "Install updates"
  become: true
  ansible.builtin.package:
    upgrade: "dist"
  register: res_pkg_updates
  notify: "reboot system"
  tags: [ never, updates ]

我的虚拟机是根据我几个月前制作的模板创建的，因此 Ubuntu 操作系统有一些过时的软件包，这并不意外。问题是其中一个软件包必须支持或提供网络功能。因此，当package模块在安装更新的路径上启动虚拟机时，网络守护进程将重新启动，并且虚拟机将获取之前在我的剧本中配置的新 IP。这会导致 Ansible 任务挂起，等待重新连接到位于不同 IP 的计算机。

我想知道如何配置我的ansible.builtin.package任务来安装软件包更新但不重新启动任何服务，尤其是网络服务。

我正在尝试初始化 Google Cloud 上的 Ubuntu 虚拟机与远程站点之间的 IPsec 隧道。

连接已正确建立，但从 Google Cloud 上的 Ubuntu 计算机无法到达远程网络上的主机 (172.17.20.25)。

云云：

公共IP：50.50.50.50

私有IP：10.132.0.63/32

远程站点：

公共IP：100.100.100.100

远程专用网络：172.17.20.0/16

ipsec配置文件

config setup
        charondebug="all"
        uniqueids=yes
conn intacloud-to-tper
        type=tunnel
        auto=start
        keyexchange=ikev2
        authby=secret
        leftid=50.50.50.50
        leftsubnet=10.132.0.62/32
        right=100.100.100.100
        rightsubnet=172.17.20.0/16 
        ike=aes-sha1-modp2048
        esp=aes-sha1
        aggressive=no
        keyingtries=%forever
        ikelifetime=28800s
        lifetime=3600s
        dpddelay=30s
        dpdtimeout=120s
        dpdaction=restart

ip 路由显示表 220

172.17.0.0/16 via 10.132.0.1 dev ens4 proto static src 10.132.0.62

ipsec 状态全部

    Status of IKE charon daemon (strongSwan 5.9.5, Linux 6.2.0-1019-gcp, x86_64):
  uptime: 2 hours, since Jan 24 17:36:07 2024
  malloc: sbrk 3100672, mmap 0, used 1403424, free 1697248
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 3
  loaded plugins: charon aesni aes rc2 sha2 sha1 md5 mgf1 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm drbg attr kernel-netlink resolve socket-default connmark stroke updown eap-mschapv2 xauth-generic counters
Listening IP addresses:
  10.132.0.62
Connections:
site-to-site:  %any...100.100.100.100  IKEv2, dpddelay=30s
site-to-site:   local:  [50.50.50.50] uses pre-shared key authentication
site-to-site:   remote: [100.100.100.100] uses pre-shared key authentication
site-to-site:   child:  10.132.0.62/32 === 172.17.0.0/16 TUNNEL, dpdaction=restart
Security Associations (1 up, 0 connecting):
site-to-site[1]: ESTABLISHED 2 hours ago, 10.132.0.62[50.50.50.50]...100.100.100.100[100.100.100.100]
site-to-site[1]: IKEv2 SPIs: -, pre-shared key reauthentication in 5 hours
site-to-site[1]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
site-to-site{4}:  INSTALLED, TUNNEL, reqid 1, ESP SPIs: cb5b6fdd_i 932ca574_o
site-to-site{4}:  AES_CBC_128/HMAC_SHA1_96, 0 bytes_i, 0 bytes_o, rekeying in 27 minutes
site-to-site{4}:   10.132.0.62/32 === 172.17.0.0/16

ip xfrm 策略

src 10.132.0.63/32 dst 172.17.0.0/16 
    dir out priority 375423 ptype main 
    tmpl src 10.132.0.63 dst 100.100.100.100
        proto esp spi 0xbb44a532 reqid 1 mode tunnel
src 172.17.0.0/16 dst 10.132.0.63/32 
    dir fwd priority 375423 ptype main 
    tmpl src 100.100.100.100 dst 10.132.0.63
        proto esp reqid 1 mode tunnel

我无法理解是否可能存在配置问题或者问题是否可能出在远程站点的配置中

我正在尝试学习如何正确设置 Wireguard（而不仅仅是通过复制粘贴）。我在快速入门页面上看到了这一行：

ip address add dev wg0 192.168.2.1/24

阅读 的手册页ip，似乎将给address add定地址分配给给定设备。这是有道理的，只不过示例地址包含 CIDR 掩码。我正在努力理解这意味着什么，而我的谷歌搜索让我失望了。

我们是说我们希望地址是192.168.2.0，还是……我什至不知道。这还能意味着什么？

编辑：等等，我刚刚意识到这可能是指定子网的一种方法。也许这对 Linux 用户来说是显而易见的，但我是一个 Windows 用户，在 Windows GUI 中，您可以将子网掩码与 IP 分开指定。我会把这个问题留在这里，以防万一我错了。

我正在本地 Fedora 39 机器上dnsmasq作为插件安装运行。NetworkManager我所需要的dnsmasq基本上是对hosts可以按主题组织的其他文件的支持。

我的配置是：

1. /etc/dnsmasql.conf:

user=dnsmasq
group=dnsmasq
interface=lo
bind-interfaces
conf-dir=/etc/NetworkManager/dnsmasq.d,*.conf
conf-dir=/etc/dnsmasq.d,.rpmnew,.rpmsave,.rpmorig

2. /etc/NetworkManager/conf.d/00-use-dnsmasq.conf

[main]
dns=dnsmasq

3. /etc/NetworkManager/dnsmasq.d/00-add-hosts.conf

log-queries
no-hosts
addn-hosts=/etc/hosts.d
address=/development/127.0.0.1

4. /etc/hosts.d是一个包含主机文件的目录，其中包含我想要“sinkhole”的条目：

0.0.0.0 1.example.com
0.0.0.0 2.example.com
...

dnsmasq已启动并正在运行，我在进程中看到守护进程：

ps aux | grep dnsmasq

dnsmasq    61161  0.4  0.0 228096  4480 ?        S    16:08   0:00 /usr/sbin/dnsmasq --no-resolv --keep-in-foreground --no-hosts --bind-interfaces --pid-file=/run/NetworkManager/dnsmasq.pid --listen-address=127.0.0.1 --cache-size=400 --clear-on-reload --conf-file=/dev/null --enable-dbus=org.freedesktop.NetworkManager.dnsmasq --conf-dir=/etc/NetworkManager/dnsmasq.d

我还在dnsmasq调试日志中看到，主机文件/etc/hosts.d也被读取：

Dec 30 16:18:40 fedora dnsmasq[61823]: chown of PID file /run/NetworkManager/dnsmasq.pid failed: Operation not permitted
Dec 30 16:18:40 fedora dnsmasq[61823]: DBus support enabled: connected to system bus
Dec 30 16:18:40 fedora dnsmasq[61823]: warning: no upstream servers configured
Dec 30 16:18:40 fedora dnsmasq[61823]: read /etc/hosts.d/private - 10 names
Dec 30 16:18:40 fedora dnsmasq[61823]: setting upstream servers from DBus
Dec 30 16:18:40 fedora dnsmasq[61823]: using nameserver 192.168.0.1#53(via wlp2s0)

但是，当我尝试从主机文件访问域时addn-hosts，它们并没有0.0.0.0按照我的预期解析。这些主机文件似乎被忽略。

另一方面，我添加到系统中的任何内容都会/etc/hosts按预期工作。即使我no-hosts在配置中显式使用了选项 dnsmasq，并且我看到它已添加到守护程序调用中。

我还看到dnsmasq使用了配置，因为该address=/development/127.0.0.1行按预期工作：

$ ping -c 3 anything.development
PING anything.development (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=64 time=0.091 ms
64 bytes from localhost (127.0.0.1): icmp_seq=2 ttl=64 time=0.175 ms
64 bytes from localhost (127.0.0.1): icmp_seq=3 ttl=64 time=0.200 ms

只是addn-hosts不知何故被忽略了。

这是我的/etc/resolv.conf：

# Generated by NetworkManager
nameserver 127.0.0.1
options edns0 trust-ad

以前我认为这是systemd-resolved.service干扰（因为它之前将 127.0.0.53 添加到我的resolv.conf 文件中），但现在我禁用了该服务：

systemctl status systemd-resolved.service
○ systemd-resolved.service - Network Name Resolution
     Loaded: loaded (/usr/lib/systemd/system/systemd-resolved.service; disabled; preset: enabled)
    Drop-In: /usr/lib/systemd/system/service.d
             └─10-timeout-abort.conf
     Active: inactive (dead)

我不确定我的配置有什么问题。

我正在尝试从 ftp 服务器（Insight 调试器版本，来自其官方网站（https://sourceware.org/insight/downloads.php））下载文件。ftp 网址为： ftp: //sourceware.org/pub/insight/releases

如果我在 Linux（或 Mac）上的浏览器中单击它，它只会请求打开 Dolphin 或 Finder 的权限，并在选择“guest”后显示内容，就好像它是我计算机上的普通本地文件夹一样。

问题是我想使用命令从命令行执行此操作ftp。当我尝试时，会发生这种情况：

$ ftp ftp://sourceware.org/pub/insight/releases
Connected to sourceware.org.
220 Welcome to sourceware FTP service.
331 Please specify the password.
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
200 Switching to Binary mode.
250 Directory successfully changed.
250 Directory successfully changed.
local: releases remote: releases
229 Entering Extended Passive Mode (|||36594|)
550 Failed to open file.
221 Goodbye.
                                                                              
$

在docker-compose容器组中，容器不需要地址，因为它们可以使用 Docker 仅为该组成员提供的伪 DNS 来相互通信。然后，与外部通信，这是 Docker 喜欢的标准 NAT 回归事务。

如果我使用基于 macvlan 网络的 IP 寻址怎么办？我如何分配一个与整个组共享的地址，而不是仅分配给该组的单个服务。我找到的所有示例和文档不仅不是官方的，而且还在撰写文件中应用了服务级别的地址。从未提及或暗示其他选项。

如果我将带有 IP 地址的这些行从服务移到引用 compose 文件中的 macvlan docker 网络的部分，然后像以前一样保留服务，以便它们使用 NAT 欺骗，但至少在独立的后面主机的地址，可以吗？

我在 GitHub 上找到了这个片段作为示例：

#
# macvlan def
docker network create -d macvlan \
    --subnet=192.168.0.0/24 \
    --gateway=192.168.0.1 \
    --ip-range=192.168.0.100/28 \
    -o parent=eth0 vdsm

#
# compose file
services:
  dsm:
    container_name: dsm
    ..<snip>..
    networks:
      vdsm:
        ipv4_address: 192.168.0.100  ╮
                                     │ ↙︎ MOVE SOMEWHERE DOWN HERE 
networks:       ╭────────────────────╯
  vdsm:         ↓ ← macvlan/EXT NETWORK REF
    external: true       

我猜，这有点像混合 macvlan+NAT（桥接网络）方法。无论如何，它会起作用吗？

谢谢。

我使用LXD和cloud-init配置一个具有两个接口的实例，这两个接口通过 DHCP 分配 IP。

• eth0(10.23.44.177/24) 连接到主机 (lxdbr0) 上的网桥以访问互联网。
• enp5s0(192.168.100.179) 连接到私有 LAN 上的另一个节点，无法访问互联网。

我的问题是，我可以 ping 8.8.8.8 或专用 LAN 上的 IP，但它们都严重滞后，10 秒内无法工作，然后进行 ping，然后一段时间没有任何结果。如果我关闭两个接口之一，另一个就可以正常工作。我确信我的路由有问题。

这是一些信息。

$ ip route s
default via 192.168.100.1 dev enp5s0 proto dhcp src 192.168.100.179 metric 100
default via 10.23.44.1 dev eth0 proto dhcp src 10.23.44.177 metric 100
10.23.44.0/24 dev eth0 proto kernel scope link src 10.23.44.177
10.23.44.1 dev eth0 proto dhcp scope link src 10.23.44.177 metric 100
192.168.100.0/24 dev enp5s0 proto kernel scope link src 192.168.100.179
192.168.100.1 dev enp5s0 proto dhcp scope link src 192.168.100.179 metric 100

$ ifconfig
enp5s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
    inet 192.168.100.179  netmask 255.255.255.0  broadcast 192.168.100.255
    inet6 fe80::216:xxxx:xxxx:xxxx  prefixlen 64  scopeid 0x20<link>
    ether 00:16:3e:xx:xx:xx  txqueuelen 1000  (Ethernet)
    RX packets 144  bytes 15102 (15.1 KB)
    RX errors 0  dropped 0  overruns 0  frame 0
    TX packets 705  bytes 55690 (55.6 KB)
    TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
    inet 10.23.44.177  netmask 255.255.255.0  broadcast 10.23.44.255
    inet6 fd42:45c6:df12:80cb:216:xxxx:xxxx:xxxx  prefixlen 64  scopeid 0x0<global>
    inet6 fe80::216:3eff:xxxx:xxxx  prefixlen 64  scopeid 0x20<link>
    ether 00:16:3e:12:xx:xx  txqueuelen 1000  (Ethernet)
    RX packets 15620  bytes 95337338 (95.3 MB)
    RX errors 0  dropped 0  overruns 0  frame 0
    TX packets 10186  bytes 740093 (740.0 KB)
    TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
    inet 127.0.0.1  netmask 255.0.0.0
    inet6 ::1  prefixlen 128  scopeid 0x10<host>
    loop  txqueuelen 1000  (Local Loopback)
    RX packets 182  bytes 17262 (17.2 KB)
    RX errors 0  dropped 0  overruns 0  frame 0
    TX packets 182  bytes 17262 (17.2 KB)
    TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

谁能提供一些帮助来修复我的路线？