[[92400]]

在本文中，我們將繼續(xù)配置網(wǎng)絡(luò)特性。記住，網(wǎng)絡(luò)是計算機(jī)最重要的特性，這篇文章和這之后的網(wǎng)絡(luò)相關(guān)文章都要重點了解。

在我們開啟這系列之前，我先要澄清一些事情。配置進(jìn)程不會編輯你當(dāng)前系統(tǒng)的內(nèi)核。這個進(jìn)程配置的是你編譯(或者交叉編譯)新內(nèi)核前的源代碼。一旦我完成了配置過程，那么我會討論讀者建議的話題。同樣，作為提醒，每個段落中在引號或者括號中的第一句或者第二句(很少)的文本是配置工具中設(shè)置的名字。

首先，我們可以啟用兩個不同的稀疏型獨立協(xié)議組播路由協(xié)議("IP: PIM-SM version 1 support" 和 "IP: PIM-SM version 2 support")，組播有點像廣播，但是廣播會給所有計算機(jī)發(fā)送信號而組播只會給選定的組或者計算機(jī)發(fā)送信號。所有PIM協(xié)議都是工作在IP的組播路由協(xié)議。

注意：當(dāng)計算機(jī)與另外一臺計算機(jī)或者服務(wù)器通信時，這叫做單播 - 只是以防你們想知道。

下一個要配置的網(wǎng)絡(luò)特性是"ARP daemon support"。這讓內(nèi)核有一張IP地址表以及它們相應(yīng)的在內(nèi)部緩存中的硬件地址。ARP代表的是地址解析協(xié)議(Address-Resolution-Protocol)。

為了額外的安全，"TCP syncookie support"應(yīng)該要啟用。這保護(hù)計算機(jī)免于受到SYN洪水攻擊。黑客或者惡意軟件可能會發(fā)送SYN信息給一臺服務(wù)器來消耗它的資源，以便讓真實的訪客無法使用服務(wù)器提供的服務(wù)。SYN消息會打開一個計算機(jī)和服務(wù)器之間的連接。Syncookie會阻斷不正當(dāng)?shù)腟YN消息。那么，真實的用戶可以仍舊訪問訪問網(wǎng)站，而黑客則沒辦法浪費你的帶寬。服務(wù)器應(yīng)該啟用這個特性。

下面的特性是用于 "Virtual (secure) IP: tunneling"。隧道是一個網(wǎng)絡(luò)協(xié)議到另外一個網(wǎng)絡(luò)協(xié)議的封裝。當(dāng)在使用虛擬私人網(wǎng)絡(luò)(VPN)時需要使用安全隧道。

接下來，啟用"AH transformation"增加對IPSec驗證頭的支持。這是一種管理數(shù)據(jù)驗證的安全措施。

在這之后，啟用"ESP transformation"增加對IPSec封裝安全協(xié)議的支持。這是加密與可選擇的數(shù)據(jù)驗證的安全措施。

如果啟用了這個特性(IP: IPComp transformation)，Linux內(nèi)核會支持IP負(fù)載壓縮協(xié)議。這是一種無損壓縮系統(tǒng)。無損指的是數(shù)據(jù)仍會保持完整，在解壓縮后，數(shù)據(jù)在壓縮前后沒有變化。壓縮在加密前先執(zhí)行。由于更少的數(shù)據(jù)傳輸，所以這個壓縮協(xié)議可以加速網(wǎng)絡(luò)。

下面三個設(shè)置用于處理不同的IPsec特性("IP: IPsec transport mode"、"IP: IPsec tunnel mode"和"IP: IPsec BEET mode")。IPSec代表的是因特網(wǎng)安全協(xié)議(Internet Protocol SECurity).兩臺計算機(jī)之間并且/或者服務(wù)器間的傳輸模式是默認(rèn)的IPSec模式。傳輸模式使用AH或者ESP頭并且只加密IP頭。在隧道模式下，IP頭和負(fù)載會被加密。隧道模式通常用于連接網(wǎng)關(guān)到服務(wù)器/服務(wù)器或者服務(wù)器到服務(wù)器。BEET模式(Bound End-to-End Tunnel)不會在IP地址改變時重連。BEET模式下的連接會仍然存在。BEET模式比其他幾種模式使用更少的字節(jié)。

下面，內(nèi)核可以支持收到大量IPv4/TCP包時減輕棧負(fù)擔(dān)(Large Receive Offload (ipv4/tcp))。網(wǎng)卡(NIC)處理TCP/IP棧。這個特性在內(nèi)核中增加了處理大型棧的代碼。

INET套接字可以啟用(INET: socket monitoring interface)。INET套接字用于因特網(wǎng)。這個特性(當(dāng)啟用時)會監(jiān)視來自或者發(fā)往因特網(wǎng)的連接與流量。

這里有另外一個套接字監(jiān)視接口(UDP: socket monitoring interface)。這個用于用戶數(shù)據(jù)報協(xié)議(User Datagram Protocol (UDP))。再說一下，這個特性監(jiān)視UDP的套接字。

以下的設(shè)定會啟用不同的TCP擁塞控制(TCP: advanced congestion control)。如果網(wǎng)絡(luò)變得太忙或者帶寬已滿，那么許多計算機(jī)必須等待一些帶寬或者它們的數(shù)據(jù)流會變慢。如果流量被合理管理，這回有助于網(wǎng)絡(luò)性能提升。

TCP連接可以被MD5保護(hù)(TCP: MD5 Signature Option support)。這用于保護(hù)核心路由器之間的邊界網(wǎng)關(guān)協(xié)議(Border Gateway Protocol (BGP))連接。核心路由器是網(wǎng)絡(luò)中主要的路由器；這些路由器有時指的是因特網(wǎng)/網(wǎng)絡(luò)的骨干。BGP是一種路由決策協(xié)議。

下一個設(shè)定允許你啟用/禁用"The IPv6 protocol"。當(dāng)你啟用它，IPv4仍舊可以很好地工作。

下面的特性是一個特殊的隱私特性(IPv6: Privacy Extensions (RFC 3041) support)。這使得系統(tǒng)在網(wǎng)絡(luò)接口中生成并使用不同的隨即地址。

注意：計算機(jī)中沒有數(shù)據(jù)是真正隨機(jī)的。計算機(jī)中隨機(jī)數(shù)和隨機(jī)字串通常稱為偽隨機(jī)。

在多路由的網(wǎng)絡(luò)中，這個特性允許系統(tǒng)能夠更有效地計算出該使用哪一個(IPv6: Router Preference (RFC 4191))。

在這之后，一個用于處理路由信息的實驗性特性可以啟用/禁用(IPv6: Route Information (RFC 4191))。記住，在編譯一個穩(wěn)定內(nèi)核時，除非你確實需要這個問題中特性，才去安裝實驗性的功能。

有時，當(dāng)系統(tǒng)自動配置它的IPv6地址時，它可能會得到一個網(wǎng)絡(luò)中已被使用的IPv6地址。這是一個允許重復(fù)地址檢測(Duplicate Address Detection (DAD)的實驗性特性(IPv6: Enable RFC 4429 Optimistic DAD)。

IPv6可以有不同的IPsecc特性支持("IPv6: AH transformation" 和 "IPv6: ESP transformation")。

IPv6同樣可以使用先前討論過的IP負(fù)載壓縮協(xié)議(IP Payload Compression Protocol)(IPv6: IPComp transformation)。

這里甚至有IPv6移動支持(IPv6: Mobility)。這允許使用IPv6的移動設(shè)備在保留同樣地址的情況下使用其他的網(wǎng)絡(luò)。

再說一次，這里同樣有一些針對IPv6的IPsec特性("IPv6: IPsec transport mode"、"IPv6: IPsec tunnel mode"、"IPv6: IPsec BEET mode")。

當(dāng)啟用此項后，IPv6可以支持MIPv6路由優(yōu)化(IPv6: MIPv6 route optimization mode)。這樣就可以確保最短和最佳網(wǎng)絡(luò)路徑了。如果消息在更少的路由和網(wǎng)絡(luò)設(shè)備間發(fā)送，那么下載和上傳速度就可以更快。

如果一個管理員需要連接到兩個IPv6網(wǎng)絡(luò)，但是只能通過IPv4來連接，這時內(nèi)核使這個變得可能(IPv6: IPv6-in-IPv4 tunnel (SIT driver)。這通過隧道使IPv6報文穿越IPv4網(wǎng)絡(luò)。

這個隧道特性是用于IPv6-in-IPv6 和 IPv4 tunneled in IPv6 (IPv6: IP-in-IPv6 tunnel (RFC2473))

另外一個隧道特性是(IPv6: GRE tunnel)。他只允許GRE隧道。(GRE：通用路由封裝(Generic Routing Encapsulation))

允許支持多重路由表(IPv6: Multiple Routing Tables)。路由表是一張網(wǎng)絡(luò)位置列表和數(shù)據(jù)要去目的地的路徑。

允許根據(jù)源地址或前綴進(jìn)行路由如果啟用了(IPv6: source address based routing)。

"IPv6 Multicast routing"(IPv6組播路由)仍然是實驗性質(zhì)。IPv4和IPv6處理組播的方式不同。

典型的組播路由根據(jù)目標(biāo)地址和源地址來處理組播包(IPv6: multicast policy routing)。啟用這個選項會將接口和包的標(biāo)記(mark)包含到?jīng)Q策中。

下面可以啟用IPv6的PIM-SMv2 組播路由協(xié)議(IPv6: PIM-SM version 2 support)。這與先前提到的IPv4 PIM相同。因為IPv4和IPv6不同，所以PIM可以被v4/v6同時/分別激活

網(wǎng)絡(luò)包標(biāo)簽協(xié)議(Network packet labeling protocols)(就像CIPSO和RIPSO)可以啟用(NetLabel subsystem support)。這些標(biāo)簽包含了安全信息和權(quán)限。

網(wǎng)絡(luò)包可以通過啟用安全標(biāo)記(Security Marking)變得更安全。

這個網(wǎng)絡(luò)特性增加了一些開銷(Time-stamping in PHY devices)。物理層(PHY)設(shè)備可以給網(wǎng)絡(luò)包打上時間戳。PHY代表的是"PHYsical layer"。這些設(shè)備管理收到和發(fā)送的消息。

可以啟用netfilter(Network packet filtering framework)。Netfilters過濾并修改過往的網(wǎng)絡(luò)包。包過濾器是一種防火墻。如果包滿足了一定的條件，包不會被允許通過。

數(shù)據(jù)報擁塞控制協(xié)議(Datagram Congestion Control Protocol)可以啟用(The DCCP Protocol)。DCCP允許雙向單播連接。DCCP有助于流媒體、網(wǎng)絡(luò)電話和在線游戲。

下一步，流控制傳輸協(xié)議(Stream Control Transmission Protocol)可以啟用(The SCTP Protocol)。SCTP工作在IP頂層并且是一個穩(wěn)定可靠的協(xié)議。

下面的協(xié)議是可靠數(shù)據(jù)報套接字(Reliable Datagram Sockets)協(xié)議(The RDS Protocol)。

RDS可以使用Infiniband和iWARP作為一種支持RDMA的傳輸方式(RDS over Infiniband and iWARP)，Infiniband和iWARP都是協(xié)議。RDMA代表的是遠(yuǎn)程直接內(nèi)存訪問(remote direct memory access)。RDMA用于一臺遠(yuǎn)程計算機(jī)訪問另一臺計算機(jī)的內(nèi)存而無需本機(jī)計算機(jī)操作系統(tǒng)的輔助。這就像直接內(nèi)存訪問(DMA),但是這里遠(yuǎn)程代替了本地計算機(jī)。

RDS同樣可以使用TCP傳輸(RDS over TCP)

接下來，"RDS debugging messages"應(yīng)該禁用。

下面的網(wǎng)絡(luò)協(xié)議用于集群(The TIPC Protocol)。集群就是一組計算機(jī)作為一臺計算機(jī)。它們需要有一個方式去通信，所以他們使用透明內(nèi)部進(jìn)程間通信協(xié)議(Transparent Inter Process Communication (TIPC))。

這個高速協(xié)議使用固定大小的數(shù)據(jù)包(Asynchronous Transfer Mode (ATM))。

使用ATM的IP可以與連接到一個ATM網(wǎng)絡(luò)的IP的系統(tǒng)通信(Classical IP over ATM)。

下一個特性禁用"ICMP host unreachable"(ICMP主機(jī)不可達(dá))錯誤信息(Do NOT send ICMP if no neighbor)。這防止了由于重新校驗而移除ATMARP表被移除的問題。ATMARP表管理地址解析。ICMP代表的是因特網(wǎng)控制消息協(xié)議(Internet Control Message Protocol)并被常用于通過網(wǎng)絡(luò)發(fā)送錯誤消息。

LAN仿真(LANE)仿真了ATM網(wǎng)絡(luò)上的LAN服務(wù)(LAN Emulation (LANE) support)。一臺LANE計算機(jī)可以作為橋接Ethernet和ELAN的代理。

"Multi-Protocol Over ATM (MPOA) support"允許ATM設(shè)備通過子網(wǎng)邊界發(fā)送連接。

在這個特性下，至少在kernel看來ATM PVCs的行為就像Ethernet(RFC1483/2684 Bridged protocols）。PVC代表的是永久虛電路(permanent virtual circuit)。虛擬連接是一種基于包的連接，它伴隨著主/原始協(xié)議使用其他更高層的協(xié)議。

"Layer Two Tunneling Protocol (L2TP)"(二層隧道協(xié)議)是隧道對應(yīng)用透明。虛擬私有網(wǎng)絡(luò)(Virtual Private Networks (VPNs))使用L2TP

要想使用基于Linux的以太網(wǎng)橋，啟用這個橋特性(802.1d Ethernet Bridging)。在網(wǎng)絡(luò)中，一個橋同時連接兩個或者更多的連接。以太網(wǎng)橋是使用以太網(wǎng)端口的硬件橋。

"IGMP/MLD snooping"(IGMP/MLD 探聽)是一種以太網(wǎng)橋能夠基于IGMP/MLD負(fù)載選擇性地轉(zhuǎn)發(fā)組播信號的能力。禁用這個特性能夠明顯減少內(nèi)核的大小。IGMP代表的是因特網(wǎng)組管理協(xié)議(Internet Group Management Protocol),這是一種被用于設(shè)置組播組的協(xié)議。MLD代表多播監(jiān)聽發(fā)現(xiàn)(Multicast Listener Discovery)。

下一個過濾特性允許以太網(wǎng)橋選擇性地管理在每個數(shù)據(jù)包中的基于VLAN的信息的流量。禁用這個特性可以減小內(nèi)核的大小。

通過啟用這個特性(802.1Q VLAN Support)，VLAN接口可以在以太網(wǎng)上創(chuàng)建。下面"GVRP (GARP VLAN Registration Protocol)"支持GVPR協(xié)議被用于在網(wǎng)絡(luò)設(shè)備上注冊某些vlan。

在這之后，"MVRP (Multiple VLAN Registration Protocol) support"(多重VLAN注冊協(xié)議)可以啟用。MVRP是GVRP更新的替代品。

"DECnet Support"是一種Digital公司發(fā)明的網(wǎng)絡(luò)協(xié)議。這是一中既安全又穩(wěn)定的協(xié)議。

"DECnet router support"允許用戶制作基于Linux的支持DRCnet的路由。

注意：Linux可以用于服務(wù)器、工作站、路由器、集群、防火墻并支持其他許多用途。

下面的特性用于支持邏輯鏈路層2(Logical Link Layer type 2)(ANSI/IEEE 802.2 LLC type 2 Support)。這層允許在同一個網(wǎng)絡(luò)設(shè)備上使用多個協(xié)議。強(qiáng)烈建議在網(wǎng)絡(luò)很重要的環(huán)境中啟用這個特性。最好所有內(nèi)核都支持這個特性。

在下一篇文章中，我們將討論更多的關(guān)于可以配置的網(wǎng)絡(luò)設(shè)定。

via: http://www.linux.org/threads/the-linux-kernel-configuring-the-kernel-part-8.4525/