Schnittstellen-Konfigurationsdateien steuern die Software-Schnittstellen der einzelnen Netzwerkschnittstellenger�te. Wenn das System bootet, verwendet es diese Dateien, um zu erfahren, welche Schnittstellen automatisch gestartet werden und wie diese zu konfigurieren sind. Diese Dateien hei�en normalerweise ifcfg <name>, wobei <name> sich auf den Namen des Ger�ts bezieht, das von der Konfigurationsdatei gesteuert wird.
8.2.1. Ethernet- Schnittstellen
Zu den am meisten verwendeten Schnittstellendateien geh�rt auch ifcfg-eth0, mit der die erste Ethernet Netzwerk-Schnittstellen-Karte im System, auch NIC genannt, gesteuert wird. In einem System mit mehreren NICs gibt es entsprechend mehrere ifcfg eth<X> Dateien (wobei <X> eine eindeutige Nummer ist, je nach der entsprechenden Schnittstelle). Da jedes Ger�t �ber eine eigene Konfigurationsdatei verf�gt, k�nnen Sie die Funktionalit�t jeder einzelnen Schnittstelle steuern.
Nachfolgend ist eine ifcfg-eth0-Beispielsdatei f�r ein System mit einer festen IP-Adresse:
Die in einer Schnittstellen-Konfigurationsdatei ben�tigten Werte k�nnen sich auf der Grundlage von anderen Werten �ndern. Die ifcfg-eth0-Datei f�r eine Schnittstelle mit DHCP sieht beispielsweise etwas anders aus, weil die IP-Information vom DHCP-Server zur Verf�gung gestellt wird:
DEVICE=eth0
BOOTPROTO=dhcp
ONBOOT=yes
Network Administration Tool (system-config-network) ist ein einfacher Weg �nderungen in Bezug auf die verschiedenen Netzwerk-Schnittstellen-Konfigurationsdateien durchzuf�hren (siehe dazu das Kapitel Network Configuration im Red Hat Enterprise Linux Handbuch zur System-Administration f�r detaillierte Instruktionen zur Benutzung dieses Tools).
Sie k�nnen die Konfigurationsdateien f�r eine bestimmte Netzwerkschnittstelle auch manuell bearbeiten.
Folgend ist eine Liste mit konfigurierbaren Parametern f�r eine Konfigurationsdatei einer Ethernet-Schnittstelle:
BOOTPROTO=<protocol>, wobei<protocol> f�r eine der folgenden Varianten stehen kann:
none — Es sollte kein Boot-Time-Protokoll verwendet werden.
bootp — Das BOOTP-Protokoll sollte verwendet werden.
dhcp — Das DHCP-Protokoll sollte verwendet werden.
BROADCAST=<address>, wobei <address> die Broadcast-Adresse ist. Diese Anweisung wird nicht mehr verwendet, da der Wert automatisch mit dem ifcalc-Befehl kalkuliert wird.
DEVICE=<name>, wobei <name> der der Name des physischen Ger�ts ist (ausgenommen dynamisch-zugewiesene PPP- Ger�te, bei denen es der logische Name) ist.
DHCP_HOSTNAME — Benutzen Sie diese Option lediglich, wenn der DHCP-Server den Client auffordert vor dem Erhalten einer IP-Adresse einen Hostnamen anzugeben. (Der DHCP-Server-Daemon in Red Hat Enterprise Linux unterst�tzt dieses Feature nicht.)
DNS{1,2}=<address>, wobei <Adresse> eine Name-Server-Adresse ist, die in /etc/resolv.conf gesetzt wird, wenn die Anweisung PEERDNS auf yes steht.
ETHTOOL_OPTS=<options>, wobei <options> f�r jede Ger�te-spezifische Option seht, die von ethtool unterst�tzt wird. Wenn Sie zum Beispiel 100 MB, voll Duplex, erzwingen m�chten:
ETHTOOL_OPTS="autoneg off speed 100 duplex full"
Beachten Sie bitte dabei, dass �nderungen der Geschwindigkeit oder der Duplex-Einstellungen immer die autoneg off-Option erfordern. Dies muss immer zuerst angegeben werden, da Optionseintr�ge abh�ngig von deren Reihenfolge sind.
GATEWAY=<address>, wobei<address> die IP-Adresse des Netzwerk-Routers oder des Gateway-Devices ist (falls vorhanden).
HWADDR=<MAC-address>, wobei <MAC-address> die Hardware-Adresse des Ethernet-Ger�ts ist. Diese hat das Format AA:BB:CC:DD:EE:FF. Diese Anweisung ist f�r Rechner mit mehreren NICs n�tzlich, um sicherzustellen, dass die Schnittstellen den richtigen Ger�tenamen zugewiesen werden, unabh�ngig von der Lade-Reihenfolge der NIC-Module. Diese Anweisung sollte nicht in Verbindung mit MACADDR verwendet werden.
IPADDR=<address>, wobei <address> die IP-Adresse ist.
MACADDR=<MAC-address>, wobei <MAC-address> die Hardware-Adresse des Ethernet-Ger�ts ist. Diese hat das Format AA:BB:CC:DD:EE:FF. Diese Anweisung wird verwendet um einer Schnittstelle eine MAC-Adresse zuzuweisen, wobei die der physischen NIC �berschrieben wird. Diese Anweisung sollte nicht in Verbindung mit HWADDR verwendet werden.
MASTER=<bond-interface>, wobei <bond-interface> das Channel-Bonding-Interface ist, zu dem die Ethernet-Schnittstelle verbunden ist.
Diese Anweisung wird zusammen mit der SLAVE-Anweisung verwendet.
Sehen Sie Abschnitt 8.2.3 f�r Weiteres zu Channel-Bonding-Interfaces.
NETMASK=<mask>, wobei <mask> der Wert der Netzmaske ist.
NETWORK=<address>, wobei <address> die Netzwerkadresse ist. Diese Anweisung wird nicht l�nger verwendet, da der Wert automatisch mittels dem Befehl ifcalc kalkuliert wird.
ONBOOT=<answer>, wobei <answer> Folgendes bedeuten kann:
yes — Dieses Ger�t sollte beim Booten aktiviert werden.
no — Dieses Ger�t sollte nicht beim Booten aktiviert werden.
PEERDNS=<Antwort>, wobei <Antwort> Folgendes bedeuten kann:
yes — �ndern Sie /etc/resolv.conf, wenn die DNS-Anweisung gesetzt ist. Verwenden Sie DCHP, dann ist yes Standard.
no — �ndern Sie /etc/resolv.conf nicht.
SLAVE=<bond-interface>, wobei <bond-interface> Folgendes bedeuten kann:
yes — Dieses Ger�t wird vom in der MASTER-Direktive angegebenen Channel-Bonding-Interface gesteuert.
no — Dieses Ger�t wird nicht vom in der MASTER-Direktive angegebenen Channel-Bonding-Interface gesteuert.
Diese Anweisung wird zusammen mit der MASTER-Anweisung verwendet.
Sehen Sie Abschnitt 8.2.3 f�r Weiteres zu Channel-Bonding-Interfaces.
SRCADDR=<Adresse>, wobei <Adresse> die angegebene Ausgangs-IP-Adresse f�r ausgehende Pakete ist.
USERCTL=<Antwort>, wobei <Antwort> Folgendes bedeuten kann:
yes — Nicht-root d�rfen dieses Ger�t kontrollieren.
no — Nicht-root d�rfen dieses Ger�t nicht kontrollieren.
8.2.2. IPsec Schnittstellen
Mit Red Hat Enterprise Linux ist es m�glich zu anderen Hosts oder Netzwerken �ber eine sichere IP-Verbindung, als IPsec bekannt, zu verbinden. F�r Anleitungen zur Einrichtung einer IPsec-Verbindung mit Network Administration Tool (redhat-config-network) siehe Kapitel Netzwerk-Konfiguration im Red Hat Enterprise Linux Handbuch zur System-Administration. F�r das manuelle Einrichten von IPsec-Verbindungen, siehe Kapitel Virtuelle Private Netzwerke im Red Hat Enterprise Linux Sicherheitshandbuch.
Das folgende Beispiel zeigt die Datei ifcfg f�r eine Netzwerk-zu-Netzwerk IPsec-Verbindung f�r LAN A. Der eindeutige Name, mit dem die Verbindung in diesem Beispiel identifiziert wird ist ipsec1, weswegen die entsprechende Datei /etc/sysconfig/network-scripts/ifcfg-ipsec1 benannt wird.
In diesem Beispiel ist X.X.X.X die �ffentliche IP-Adresse des Ziel-IPsec-Routers.
Folgend ist eine Liste mit konfigurierbaren Parametern f�r eine IPsec-Schnittstelle:
DST=<address>, wobei <address> die IP-Adresse des IPsec Ziel-Host oder Router ist. Dies wird sowohl f�r Host-zu-Host, als auch f�r Netzwerk-zu-Netzwerk IPsec-Konfigurationen verwendet.
DSTNET=<network>, wobei <network> die Netzwerk-Adresse des IPsec Ziel-Netzwerks ist. Dies wird lediglich f�r Netzwerk-zu-Netzwerk IPsec-Konfigurationen verwendet.
SRC=<address>, wobei <address> die IP-Adress des IPsec Quellen-Host oder Router ist. Diese Einstellung ist optional und wird lediglich f�r Host-zu-Host IPsec-Konfigurationen verwendet.
SRCNET=<network>, wobei <network> die Netzwerk-Adresse des IPsec Ziel-Netzwerks ist. Dies wird lediglich f�r Netzwerk-zu-Netzwerk IPsec-Konfigurationen verwendet.
TYPE=<interface-type>, wobei <interface-type>IPSEC ist. Beide Applikationen sind Teil des ipsec-tools-Paketes.
Siehe /usr/share/doc/initscripts-<version-number>/sysconfig.txt (ersetze <version-number> mit der Version des installierten initscripts-Pakets) f�r Konfigurationsparameter, wenn manuelle Key-Verschl�sselung mit IPsec verwendet wird.
Der racoon IKEv1 Key-Management-Daemon �bertr�gt und konfiguriert einen Parameter-Satz f�r IPSec. Es kann dabei "preshared" Keys, RSA-Signatures oder GSS-API verwenden. Wenn racoon dazu benutzt wird, automatisch Key-Verschl�sselungen zu bewerkstelligen, so sind folgende Optionen erforderlich:
IKE_METHOD=<encryption-method>, wobei <encryption-method> entweder PSK, X509 oder GSSAPI ist. Wenn PSK angegeben ist, muss der IKE_PSK-Parameter gesetzt sein. Wenn X509 angegeben ist, muss der IKE_CERTFILE-Parameter auch gesetzt sein.
IKE_PSK=<shared-key>, wobei <shared-key> der gemeinsame, geheime Wert f�r die PSK (Preshared Keys) Methode ist.
IKE_CERTFILE=<cert-file>, wobei <cert-file> eine g�ltige X.509 Zertifikatsdatei f�r den Host ist.
IKE_PEER_CERTFILE=<cert-file>, wobei <cert-file> eine g�ltige X.509 Zertifikatsdatei f�r den Remote-Host ist.
IKE_DNSSEC=<answer>, wobei <answer>yes ist. Der racoon-Daemon empf�ngt das X.509 Zertifikat des Remote-Host �ber DNS. Wenn ein IKE_PEER_CERTFILE angegeben ist, schlie�en Sie diesen Parameter nicht ein.
F�r weitere Informationen zu Verschl�sselungsalgorithmen, die f�r IPsec verf�gbar sind, sehen Sie die setkey man-Seite. F�r weitere Informationen zu racoon, sehen Sie racoon und die racoon.conf man-Seiten.
8.2.3. Channel-Bonding-Schnittstellen
Red Hat Enterprise Linux erlaubt Administratoren mehrere Netzwerk-Schnittstellen in einem einzelnen Kanal zusammenzuf�hren, indem die bonding Kernelmodule und eine spezielle Netzwerk-Schnitstelle, Channel-Bonding-Interface genannt, verwendet werden. Channel Bonding erlaubt es mehreren Netzwerk-Schnittstellen als eine zu arbeiten und gleichzeitig die Bandbreite zu erh�hen und Redundanz zu gew�hren.
Um ein Channel-Bonding-Interface zu erstellen, erzeugen Sie eine Datei im Verzeichnis /etc/sysconfig/network-scripts/ mit dem Namen ifcfg-bond<N>, wobei Sie <N> mit der Nummer der Schnittstelle, z.B. 0, ersetzen.
Der Inhalt der Datei kann dem Typ der Schnittstelle entsprechen, die in einem Channel-Bonding-Interface verwendet wird, wie einer Ethernet-Schnittstelle. Der einzige Unterschied ist, dass die DEVICE=-Direktive auf bond<N> gesetzt werden muss, wobei <N> die Nummer der Schnittstelle ist.
Die Folgende ist ein Beispiel einer Channel-Bonding Konfigurationsdatei:
Nachdem das Channel-Bonding-Interface erzeugt wurde, m�ssen die zu bindenden Netzwerk-Schnittstellen konfiguriert werden, indem die MASTER= und SLAVE=-Anweisungen zu deren Konfigurationsdateien hinzugef�gt werden. Die Konfigurationdateien f�r jede der gebundenen Schnittstellen k�nnen fast identisch sein.
Wenn, zum Beispiel, zwei Ethernet-Schnittstellen gebunden werden, k�nnen beide, eth0 und eth1, wie im folgenden Beispiel aussehen:
In diesem Beispiel steht <N> f�r die Nummer der Schnittstelle.
Damit ein Channel-Bonding-Interface g�ltig ist, muss das Kernelmodul geladen sein. Um sicherzustellen, dass das Kernelmodul geladen ist, wenn das Channel-Bonding-Interface hochgefahren wird, muss folgende Zeile zur Datei /etc/modules.conf hinzugef�gt werden:
alias bond<N> bonding
<N> steht hierbei f�r die Nummer der Schnittstelle, wie 0. F�r jedes konfigurierte Channel-Bonding-Interface muss ein entsprechender Eintrag in der Datei /etc/modules.conf stehen.
Sind /etc/modules.conf, das Channel-Bonding-Interface und die Netzwerk-Schnittstellen erst einmal konfiguriert, kann der Befehl ifup verwendet werden, um das Channel-Bonding-Interface anzusprechen.
Wichtig
Wichtige Aspekte des Channel-Bonding-Interface werden durch das Kernelmodul kontrolliert. F�r weitere Informationen zur Kontrolle der bonding-Module, sehen Sie Abschnitt A.3.2.
8.2.4. Alias- und Clone-Dateien
Zwei weniger verwendete Arten von Schnittstellen-Konfigurationsdateien sind Alias- und Clone Dateien.
Alias-Schnittstellen-Konfigurationsdateien, welche dazu benutzt werden, mehrere Adressen an eine einzige Schnittstelle zu binden, muss das ifcfg-<if-name>:<alias-value> Namensgebungsschema verwendet werden.
Eine ifcfg-eth0:0-Datei kann z.B. so konfiguriert werden, dass sie DEVICE=eth0:0 und eine statische IP-Adresse 10.0.0.2 spezifieren kann und somit als Alias einer bereits konfigurierten Ethernet-Schnittstelle dienen kann, um ihre IP- Informationen �ber DHCP in ifcfg-eth0 zu empfangen. An dieser Stelle ist das eth0-Ger�t mit einer dynamischen IP-Adresse verkn�pft, kann aber jederzeit �ber die feste 10.0.0.2 IP-Adresse auf das System zur�ckgreifen.
Achtung
Alias-Schnittstellen unterst�tzen DHCP nicht.
Bei der Namensgebung einer Clone-Schnittstellen-Konfigurationsdatei sollten folgende Konventionen eingehalten werden: ifcfg-<if-name>-<clone-name>. W�hrend eine Alias-Datei mehrere Adressen an einer bestehenden Schnittstelle erm�glicht, wird eine Clone-Datei dazu benutzt, zus�tzliche Optionen f�r eine Schnittstelle festzulegen. Zum Beispiel kann eine Standard-DHCP-Ethernet-Schnittstelle, eth0 genannt, �hnlich aussehen wie in diesem Beispiel:
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=dhcp
Da USERCTL auf no eingestellt ist, k�nnen Benutzer, wenn nichts anderes angegeben wird, diese Schnittstelle nicht starten oder beenden. Um den Benutzern dies zu erm�glichen, erstellen Sie einen Clone durch Kopieren von ifcfg-eth0 nach ifcfg-eth0-user und f�gen Sie folgende Zeile zu ifcfg-eth0-user hinzu:
USERCTL=yes
Wenn ein Benutzer mit dem Befehl /sbin/ifup eth0-user die eth0-Schnittstelle startet, werden die Konfigurationsoptionen von ifcfg-eth0 und ifcfg-eth0-user kombiniert. Dies ist zwar nur ein sehr einfaches Beispiel, diese Methode kann �ber f�r viele verschiedene Optionen und Schnittstellen verwendet werden.
Der einfachste Weg zur Erstellung von Alias- und Clone-Schnittstellen-Konfigurationsdateien ist die Verwendung des grafischen Network Administration Tool. Weitere Informationen zur Verwendung dieses Tools finden Sie im Kapitel Netzwerk-Konfiguration im Red Hat Enterprise Linux Handbuch zur System-Administration.
8.2.5. Schnittstellen f�r den Verbindungsaufbau
Wenn Sie �ber einen Dialup-Account mit dem Internet verbinden, brauchen Sie eine Konfigurationsdatei f�r diese Schnittstelle.
PPP-Schnittstellendateien haben das Format ifcfg-ppp<X> (wobei <X> eine eindeutige, einer spezifischen Schnittstelle entsprechende Nummer ist).
Die Konfigurationsdatei der PPP-Schnittstelle wird automatisch erzeugt, wenn Sie wvdial, Network Administration Tool oder Kppp verwenden, um einen Dialup-Account zu erzeugen. Sie k�nnen diese Datei aber auch manuell erstellen und bearbeiten.
Serial Line Internet Protocol (SLIP) ist eine weitere Dialup-Schnittstelle, wird im allgemeinen aber seltener verwendet. Ein typischer Name f�r die Schnittstellen-Konfigurationsdatei der SLIP-Dateien ist z.B. ifcfg-sl0.
Folgende Optionen k�nnen in diesen Dateien verwendet werden:
DEFROUTE=<Antwort>, wobei <Antwort> Folgendes bedeuten kann:
yes — Stellt diese Schnittstelle als Standardroute ein.
no — Stellt diese Schnittstelle nicht als Standardroute ein.
DEMAND=<Antwort>, wobei <Antwort> Folgendes bedeuten kann:
yes — Mit dieser Schnittstelle kann pppd eine Verbindung starten, wenn darauf zugegriffen wird.
no — Verbindungen mit dieser Schnittstelle m�ssen manuell hergestellt werden.
IDLETIMEOUT=<Wert>, wobei <Wert> die Sekunden ohne Aktivit�t darstellt, nach denen die Schnittstelle die Verbindung selbst unterbricht.
INITSTRING=<Zeichenkette>, wobei <Zeichenkette> die erste Zeichenfolge ist, die an das Modem �bergeben wird. Diese Option wird haupts�chlich von SLIP-Schnittstellen verwendet.
LINESPEED=<Wert>, wobei <Wert> die Baudrate des Ger�tes angibt. Zu den m�glichen Standardwerten geh�ren 57600, 38400, 19200 und 9600.
MODEMPORT=<Ger�t>, wobei <Ger�t> der Name des Serial-Ger�ts ist, das die Verbindung f�r die Schnittstelle herstellt.
MTU=<Wert>, wobei <Wert> die Maximum Transfer Unit (MTU)-Einstellung f�r die Schnittstelle ist. Die MTU bezieht sich auf die gr��tm�gliche Zahl von Daten (in Bytes), die ein Frame �bertragen kann, die Header-Information nicht mitgez�hlt. Bei einigen Dial-up-Situationen hat die Einstellung dieses Werts auf 576 zur Folge, dass weniger Pakete ausgelassen werden (DROP) und die Durchl�ssigkeit f�r Verbindungen leicht erh�ht wird.
NAME=<Name>, wobei <Name> sich auf den Oberbegriff der Konfigurationssammlung f�r Dialup-Verbindungen bezieht.
PAPNAME=<Name>, wobei <Name> f�r den Benutzernamen steht, der w�hrend der �nderung des Password Authentication Protocol (PAP) vergeben wurde und Ihnen die Verbindung zu einem Remote-System erm�glicht.
PERSIST=<Antwort>, wobei <Antwort> Folgendes bedeuten kann:
yes — Diese Schnittstelle sollte st�ndig aktiviert sein, auch wenn nach einem Abbruch das Modem deaktiviert wird.
no — Diese Schnittstelle sollte nicht st�ndig aktiv sein.
REMIP=<Adresse>, wobei <Adresse> die IP-Adresse des Remote-Systems ist. Wird �blicherweise nicht festgelegt.
WVDIALSECT=<Name>, wobei <Name> dieser Schnittstelle in /etc/wvdial.conf eine Anw�hl-Konfiguration zuweist, die die anzuw�hlende Telefonnummer und andere wichtige Informationen f�r die Schnittstelle enth�lt.
8.2.6. Weitere Schnittstellen
Weitere �bliche Schnittstellen-Konfigurationsdateien beinhalten Folgendes:
ifcfg-lo — Ein lokale Loopback-Schnittstelle wird oft zum Testen verwendet, wie auch in Applikationen, die eine zum System zur�ckweisende IP-Adresse ben�tigen. Jegliche Daten, die zum Loopback-Ger�t gesendet werden, werden augenblicklich zur Netzwerkschicht des Host zur�ckgegeben.
Warnung
Bearbeiten Sie niemals das Loopback-Schnittstellenskript /etc/sysconfig/network-scripts/ifcfg-lo von Hand. Andernfalls kann die richtige Funktionsweise des Systems beeintr�chtigt werden.
ifcfg-irlan0 — Eine Infrarot-Schnittstelle sorgt daf�r, dass Informationen zwischen Ger�ten wie Laptop und Drucker �ber einen Infrarot-Link flie�en, welcher �hnlich arbeitet wie ein Ethernet-Ger�t, mit dem Unterschied, dass es normalerweise �ber eine Peer-to-Peer-Verbindung l�uft.
ifcfg-plip0 — Eine Parallel-Line-Interface-Protocol (PLIP)-Verbindung arbeitet auf �hnliche Weise, mit dem Unterschied, dass sie eine parallelen Schnittstelle verwendet.
ifcfg-tr0 — Token Ring Topologien sind nicht mehr so verbreitet auf Local Area Networks (LANs), da sie durch Ethernet verdr�ngt wurden.
