本文共 15393 字,大约阅读时间需要 51 分钟。
此命令刷新相邻表,根据某些条件选择要刷新的条目。此命令具有与show相同的参数。不同之处在于,当不给出参数时,它不会运行,而要刷新的默认邻居状态不包括permanent和noarp。
7、ip route—路由表管理
操纵内核路由表中的路由条目保存其他网络节点的路径信息。路由类型可以是:
Ⅰ)unicast,路由条目描述到路由前缀所涵盖的目的地的实际路径。
Ⅱ)unreachable,这些目的地是无法到达的。丢弃数据包,生成不可访问的ICMP消息主机。本地发件人得到一个EHOSTUNEACH错误。
Ⅲ)blackhole,这些目的地是无法到达的。数据包被静默丢弃。本地发送者得到一个EINVAL错误
Ⅳ)prohibit,这些目的地是无法到达的。丢弃数据包并生成ICMP消息通信,该ICMP消息通信在管理上被禁止。本地发件人得到一个EACCES错误。
Ⅴ)local,目的地分配给此主机。数据包被环回并在本地传送。
Ⅵ)broadcast,目的地是广播地址。数据包作为链路广播发送。
Ⅶ)throw,与策略规则一起使用的特殊控制路径。如果选择这样的路由,则将终止此表中的查找,假装没有找到路由。如果没有策略路由,则相当于路由表中没有路由。丢包并生成不可到达的ICMP消息网。本地发送者得到一个ENETUNEACH错误。
Ⅷ)nat,一条特殊的NAT路线。前缀覆盖的目的地被认为是虚拟地址(或外部地址),需要在转发之前转换为真实地址(或内部地址)。选择要转换到的地址,并附带属性警告:Linux2.6中不再支持路由NAT。
Ⅸ)via,anycast,未实现目标是分配给此主机的任意广播地址。它们主要等同于本地地址,但有一个不同之处:当将这些地址用作任何数据包的源地址时,这些地址是无效的。
multicast,用于多播路由的一种特殊类型。它不存在于普通路由表中。
路由表:Linux-2.x可以将路由打包到从1到255范围内的数字标识的多个路由表中,或者根据文件/etc/iucte 2/rt_tables的名称,默认情况下,所有普通路由都插入主表(ID 254),内核只在计算路由时使用此表。实际上,另一个表总是存在的,这是不可见的,但更重要的是。它是本地表(ID 255)。此表由本地地址和广播地址的路由组成。内核自动维护这个表,管理员通常不需要修改它,甚至不需要查看它。使用策略路由时,多个路由表进入游戏。
1)ip route add,增加路由
2)ip route change,修改路由
3)ip route replace,改变或者增加路由
toTYPEPREFIX(default),路由的目标前缀。如果省略类型,则IP采用类型单播。以上列出了其他类型的值。前缀是一个IP或IPv 6地址,后面有斜杠和前缀长度。如果前缀的长度丢失,则IP将采用全长主机路由.还有一个特殊的前缀默认值-相当于“IP 0/0“或者”to IPv6 ::/0“。
tosTOS,dsfieldTOS,服务类型(TOS)密钥。该密钥没有关联的掩码,最长的匹配被理解为:首先,比较路由和数据包的TOS。如果它们不相等,那么数据包仍然可以匹配为零TOS的路由。TOS要么是8位十六进制数字,要么是“/etc/iproute2/rt_dsfield“中的标识符
metricNUMBER,preferenceNUMBER,路由的首选值。NUMBER是任意32位数。
tableTABLEID,要添加此路由的表。TABLEID可能是文件“/etc/iproute2/rt_tables“中的一个数字或字符串。如果省略此参数,则IP假定主表,但本地路由、广播路由和NAT路由除外,默认情况下这些路由被放入本地表中。
devNAME,输出设备名字。
viaADDRESS,下一个路由器的地址。实际上,这个字段的意义取决于路由类型。对于普通单播路由,它要么是真正的下一跳路由器,要么是安装在BSD兼容模式下的直接路由,它可以是接口的本地地址。对于NAT路由,它是已翻译的IP目的地块的第一个地址。
srcADDRESS,发送到路由前缀所涵盖的目的地时要首选的源地址。
realmREALMID,指定此路由的域。REALMID可能是文件“/etc/iproute2/rt_realms“中的一个数字或字符串。
mtuMTU,mtulockMTU,沿着到达目的地的路径的MTU。如果未使用修饰符锁,则由于路径MTU发现,内核可能更新MTU。如果使用修饰符锁,则不会尝试路径MTU发现,所有数据包都将在IPv4情况下不使用DF位发送,或者在IPv6中碎片到MTU。
windowNUMBER,TCP向这些目的地广告的最大窗口,以字节为单位。它限制了TCP对等点允许发送给我们的最大数据突发。
rttTIME,最初的RTT(‘往返时间’)估计。如果没有指定后缀,则单元是直接传递给路由代码的原始值,以保持与以前版本的兼容性。否则,如果使用s、sec或secs后缀指定秒,使用ms、msec或msecs指定毫秒。
rttvarTIME(2.3.15+ only),初始RTT方差估计。值与上述RTT指定的值相同。
rto_minTIME(2.6.23+ only),与此目标通信时要使用的最小TCP重传超时。值与上述RTT指定的值相同。
ssthreshNUMBER(2.3.15+ only),初始慢启动阈值的估计。
cwndNUMBER(2.3.15+ only),阻塞窗口的夹子。如果不使用锁标志,则忽略它
initcwndNUMBER,TCP连接的MSS中的最大初始拥塞窗口(CWND)大小。
initrwndNUMBER(2.6.33+ only),连接到此目标的初始接收窗口大小。实际窗口大小是此值乘以连接的MSS。默认值为零,意味着使用慢速开始值。
advmssNUMBER(2.3.15+ only),MSS(“最大段大小”)在建立TCP连接时向这些目的地做广告。如果未给出,Linux将使用从第一跳设备MTU中计算出来的默认值。(如果到达这些目的地的路径是不对称的,则这种猜测可能是错误的。)
reorderingNUMBER(2.3.15+ only),到达此目标的路径上的最大重排序。如果未给出,Linux将使用sysctl变量“net/ipv4/tcp_reordering“所选择的值。
nexthopNEXTHOP,多径路径的下一个。NEXTHOP是一个复杂的值,其语法类似于顶级参数列表:
Ⅰ)viaADDRESS,下一个路由器。
Ⅱ)devNAME,输出设备
Ⅲ)weightNUMBER,是反映其相对带宽或质量的多径路由的此元素的权重。
scopeSCOPE_VAL,路由前缀所涵盖的目的地的范围。SCOPE_VAL可以是文件“/etc/iproute2/rt_scopes“中的一个数字或字符串。如果省略此参数,则IP假定所有网关单播路由的作用域全局、直接单播和广播路由的范围链接以及本地路由的范围主机。
protocolRTPROTO,此路由的路由协议标识符。RTPROTO可以是文件“/etc/iproute2/rt_protos“中的一个数字或字符串。如果未给出路由协议ID,则IP假定协议启动(即假定路由是由不了解他们正在做的事情的人添加的)。一些协议值有固定的解释:
Ⅰ)redirect,该路由是由于icmp重定向而安装的。
Ⅱ)kernel,该路由是由内核在自动配置期间安装的。
Ⅲ)boot,该路由是在启动过程中安装的。如果路由守护进程启动,它将清除所有这些守护进程。
Ⅳ)static,管理员安装了该路由以覆盖动态路由。路由守护进程将尊重它们,甚至可能会向其对等方发布广告。
Ⅴ)ra,路由是由路由器发现协议安装的。
onlink,假装Nextthop直接连接到此链接,即使它不匹配任何接口前缀。
equalize,允许在多径路由上逐包随机化。如果没有这个修饰符,路由将被冻结到一个选定的下一个,这样负载拆分将只发生在每个流基上。只有当内核被修补时,均衡化才能工作。
4)ip route delete,删除路由
“ip route del“与”ip route add“具有相同的参数,但它们的语义略有不同。键值(to、tos、首选项和表)选择要删除的路由。如果存在可选属性,则IP验证它们是否与要删除的路由的属性一致。如果没有找到具有给定密钥和属性的路由,则”ip route del“将失败
5)ip route show,显示路由
toSELECTOR(default),仅从给定的目的地范围中选择路由。SELECTOR由一个可选修饰符(root、match、exact)和一个前缀组成。root选择前缀不小于PREFIX的路由。例如,“root 0/0“选择整个路由表。match选择前缀长度不超过PREFIX的路由。例如,”match 10.0/16“选择10.0/16、10/8和0/0,但未选择10.1/16和10.0.0/24。exact(或仅仅前缀)选择具有此前缀的路由。如果这两个选项都没有出现,则IP假设为根0/0,即它列出了整个表。
tosTOS,只选择具有给定tos的路由。
tableTABLEID,显示此表中的路线。默认设置是显示tablemain。TABLEID可以是实表的ID,也可以是特殊值之一:
Ⅰ)all,列出所有的表。
Ⅱ)cache,备份路由缓存。
cloned,cached,列出克隆的路由,即由于某些路由属性(F.E)而从其他路由动态分叉的路由。(MTU)已更新。实际上,它等同于“table cache“。
fromSELECTOR,语法与to相同,但它绑定源地址范围而不是目的地。请注意,FROM选项仅适用于克隆路由。
protocolRTPROTO,仅列出此路由的协议。
scopeSCOPE_VAL,仅列出具有此范围的路由
typeTYPE,只列出此类型的路由。
devNAME,只列出经过此设备的路由
viaPREFIX,只列出通过前缀选择的下一个路由器的路由
srcPREFIX,只列出由前缀选择的首选源地址的路由。
realmREALMID,realmsFROMREALM/TOREALM,只列出这些领域的路由。
6)ip route flush,刷新路由表
此命令刷新由某些标准选择的路由,参数具有与“ip route show“的参数相同的语法和语义,但是路由表没有列出,而是被清除。唯一的区别是默认操作:显示转储所有IP主路由表,但刷新打印助手页。
使用“-statistics“选项,命令变得详细。它打印出已删除路由的数目和刷新路由表的轮数。如果该选项被给予两次,IP路由刷新也会以上一小节描述的格式转储所有已删除的路由。
)ip route get,获取一个单独的路由
此命令获取一条到达目标的路由,并按照内核所看到的那样打印其内容。
toADDRESS(default),目标地址。
fromADDRESS,源地址。
tosTOS,dsfieldTOS,服务类型。
iifNAME,预期将从该包到达的设备。
oifNAME,强制将此数据包路由的输出设备。
connected,如果没有提供源地址(选项从),则重新查找从第一次查找中接收到的源设置为首选地址的路由。如果使用策略路由,则可能是不同的路由。
请注意,此操作不等同于“ip route show“。show显示现有路线。如果必要的话,get解决它们并创建新的克隆。
8、ip rule---路由策略数据库管理
rule规则在路由策略数据库中控制路由选择算法。Internet中使用的经典路由算法只根据数据包的目的地地址(理论上,而不是实际中的TOS字段)进行路由决策。在某些情况下,我们希望通过不同的方式路由数据包,这不仅取决于目的地地址,还取决于其他数据包字段:源地址、IP协议、传输协议端口,甚至包有效负载。此任务称为“策略路由”。为了解决这一问题,传统的基于目标的路由表按照最长的匹配规则排序,被替换为“路由策略数据库”(RPDB),该数据库通过执行一组规则来选择路由。
每个策略路由规则由一个选择器和一个动作谓词组成。RPDB按照增加优先级的顺序进行扫描。每个规则的选择器应用于{源地址、目标地址、传入接口、tos、fwmark},如果选择器与数据包匹配,则执行操作。动作谓词可能会成功返回。在这种情况下,它将给出路由或故障指示,并终止RPDB查找。否则,RPDB程序将继续执行下一条规则。
语义上,自然动作是选择下一个和输出设备。在启动时,内核配置由三条规则组成的默认rpdb:
Ⅰ)Priority: 0。Selector:匹配任何内容,Action:查找本地路由表(ID 255)。本地表是包含本地地址和广播地址的高优先级控制路由的特殊路由表。
Ⅱ)Priority: 32766。Selector:匹配任何内容,Action:查找路由表主(ID 254)。主表是包含所有非策略路由的普通路由表.管理员可以删除和/或用其他规则重写此规则。
Ⅲ)Priority: 32767。Selector:匹配任何内容,Action:查找路由表默认值(ID 253)。默认表为空。如果没有先前的默认规则选择数据包,则保留用于某些后处理。这一规则也可以删除。
RPDB可能包含以下类型的规则:
Ⅰ)unicast,该规则规定返回在规则引用的路由表中找到的路由。
Ⅱ)blackhole,这条规则规定要悄悄丢弃数据包。
Ⅲ)unreachable,该规则规定生成“网络不可达”错误。
Ⅳ)prohibit,该规则规定产生“在行政上禁止通信”错误。
Ⅴ)nat,该规则规定将ip数据包的源地址转换为其他值。
1)ip rule add,增加规则。
2)ip rule delete,删除规则。
typeTYPE(default),这个规则的类型
fromPREFIX,选择要匹配的源前缀
toPREFIX,选择要匹配的目标前缀
iifNAME,选择要匹配的传入设备。如果接口是回送的,则该规则只匹配来自此主机的数据包。这意味着您可以为转发包和本地数据包创建单独的路由表,从而完全隔离它们。
tosTOS,dsfieldTOS,选择要匹配的TOS值。
fwmarkMARK,选择要匹配的fwmark值。
priorityPREFERENCE,这条规则的优先级。每个规则都应该有一个显式设置的唯一优先级值。选项、偏好和顺序是优先级的同义词。
tableTABLEID,如果规则选择器匹配,则查找路由表标识符。还可以使用查找而不是表。
realmsFROM/TO,规则匹配和路由表查找成功时要选择的区域。只有当路由没有选择任何领域时,才使用要使用的领域。
natADDRESS,要翻译的IP地址块的基(用于源地址)。该地址可以是NAT地址块的开始(由NAT路由选择),也可以是本地主机地址(甚至为零)。在最后一种情况下,路由器不会翻译数据包,而是将它们伪装成这个地址。使用map-to而不是nat意味着同样的事情。
3)ip rule flush,刷新规则,还转储所有已删除的规则。
没有参数。
4)ip rule show,显示规则
没有参数
9、ip maddress---多播地址管理
1)ip maddress show,显示多播地址
devNAME(default),设备名字
2)ip maddress add,增加多播地址
3)ip maddress delete,删除多播地址
这些命令附加/分离一个静态链路层多播地址,以便在接口上侦听。请注意,不可能静态地加入协议多播组。此命令仅管理链接层地址
addressLLADDRESS(default),链路层多播地址。
devNAME,加入/删除多播地址的设备
10、ip mroute---多播路由缓存管理
mroute对象是由用户级mrouting守护进程创建的多播路由缓存条目。由于组播路由引擎当前接口的局限性,无法对多播路由对象进行管理更改,因此只能显示对象
ip mroute show,列出mroute缓存项
toPREFIX(default),选择要列出的目标多播地址的前缀。
iifNAME,接收多播数据包的接口。
fromPREFIX,选择多播路由的IP源地址的前缀
11、ip tunnel---通道配置
tunnel对象是隧道,它将数据包封装在IP包中,然后通过IP基础结构发送。加密(或外部)地址族由“-f“选项指定。默认的是ipv4。
1)ip tunnel add,增加一个新隧道
2)ip tunnel change,修改一个已经存在的隧道
3)ip tunnel delete,删除隧道
nameNAME(default),隧道设备名字。
modeMODE,设置隧道模式。可用的模式取决于封装地址系列。IPv 4封装可用的模式:ipip、SIT、isatap和grep;IPv6封装的模式:ip6ip6、ipip6和any。
remoteADDRESS,设置隧道的远程端点
localADDRESS,设置隧道数据包的固定本地地址。它必须是此主机的另一个接口上的地址。
ttlN,在隧道化的数据包上设置固定的TTL N。N是介于1-255范围内的一个数字.0是一个特殊值,意味着数据包继承TTL值。IPv 4隧道的默认值是:Inherence。IPv6隧道的默认值是:64。
tosT,dsfieldT,tclassT,在隧道数据包上设置固定的TOS(或IPv 6中的流量类)T。默认值是:inherit。
devNAME,将隧道绑定到设备名称,以便隧道数据包只能通过此设备路由,并且在到达端点的路由发生更改时无法逃逸到另一个设备。
nopmtudisc,禁用此隧道上的路径MTU发现。默认情况下启用它。请注意,固定的ttl与此选项不兼容:使用固定的ttl进行隧道操作总是会使pmtu发现。
keyK,ikey K,okey K,(只有GRE隧道)使用键控GRE与密钥K,K要么是一个数字或一个类似IP地址的虚线四边形。key参数设置在两个方向上使用的键。ikey和okey参数为输入和输出设置不同的键。
csum, icsum, ocsum,(只有GRE隧道)生成/要求隧道数据包的校验和。ocsum标志计算传出数据包的校验和。icsum标志要求所有输入数据包都具有正确的校验和。csum标志等效于组合icsum ocsum。
seq, iseq, oseq,(只有GRE隧道)序列化数据包。oseq标志允许对传出数据包进行排序。iseq标志要求对所有输入数据包进行序列化。seq标志等效于iseq oseq组合。这不是工作。不要用它
dscpinherit,(只有IPv 6隧道)在内部和外部报头之间继承DS字段
encaplimELIM,设置固定的封装限制。缺省值为4
flowlabelFLOWLABEL,(只有IPv 6隧道)设置固定的流标签。
4)ip tunnel prl,潜在路由器列表(只有ISATAP)
devNAME,
prl-defaultADDR,
prl-nodefaultADDR,
prl-deleteADDR,
添加或删除addr作为潜在的路由器或默认路由器
5)ip tunnel show,列出隧道
没有参数
12、ip monitor and rtmon---状态监控
IP实用程序可以连续地监视设备、地址和路由的状态。此选项的格式略有不同。也就是说,监视器command是命令行中的第一个命令,然后对象列表如下:
ip monitor [ all | LISTofOBJECTS]
OBJECT-LIST是我们要监视的对象类型的列表。它可能包含链接、地址和路由。如果没有提供文件参数,则IP将打开RTNETLINK,侦听该参数,并以前面部分描述的格式转储状态更改。
如果给定文件名,则不会侦听RTNETLINK,而是打开包含以二进制格式保存的RTNETLINK消息的文件,并将其转储。可以使用rtmon实用程序生成这样的历史文件。此实用程序具有类似于IP监视器的命令行语法。理想情况下,应该在发出第一个网络配置命令之前启动rtmon。例如,如果你在一个启动脚本中插入:
rtmon file /var/log/rtmon.log
稍后您将能够查看完整的历史记录。当然,可以随时启动rtmon。它在历史记录的前面加上在启动时转储的状态快照
13、ip xfrm---设置xfrm
xfrm是一个IP框架,它可以转换数据报的格式,即用某种算法对数据包进行加密。xfrm策略和xfrm状态通过模板tmpl_list相关联。该框架被用作IPsec协议的一部分。
1)ip xfrm state add,增加新的状态
2)ip xfrm state update,更新已经存在的状态
3)ip xfrm state allocspi,分配SPI数值
MODE,设置为默认传输,但可以设置为tunnel,ro或者beet。
FLAG-LIST,包含一个或多个标志。
FLAG,可以设置为noecn、decap-dscp、wildrecv
ENCAP,封装设置为封装类型ENCAP-TYPE、源端口SPORT、目标端口DPORT和OADDR。
ENCAP-TYPE,可以是espinudp或者espinudp-nonike。
ALGO-LIST,包含一个或多个算法Algo,该算法依赖于Algo_type设置的算法类型。它可以使用这些算法enc、auth、comp。
4)ip xfrm policy add,增加新策略
5)ip xfrm policy update,更新已经存在的策略
6)ip xfrm policy delete,删除存在的策略
7)ip xfrm policy get,过去存在的策略
8)ip xfrm policy deleteall,删除所有的xfrm策略
9)ip xfrm policy list,打印策略列表
10)ip xfrm policy flush,舒心策略
dirDIR,目录可以是inp、out、fwd
SELECTOR,选择将设置策略的地址。选择器由源地址和目标地址定义。
UPSPEC,由源端口sport、目的端口dport、type和code定义。
devDEV,指定网络设备。
indexINDEX,索引策略的数量。
ptypePTYPE,默认是main,可以切换为sub。
actionACTION,默认是allow,可以切换为block。
priorityPRIORITY,级别是一个数字,默认0。
LIMIT-LIST,限制以秒、字节或数据包数量为单位设置。
TMPL-LIST,模板列表基于ID、mode、reqid、level。
ID,由源地址、目标地址、proto和spi的值指定。
XFRM_PROTO,值可以是esp、ah、comp、route2、hao。
MODE,默认transport,,还可以是tunnel,beet。
LEVEL,默认required,还可以是use。
UPSPEC,由sport、dport、type、code指定。
11)ip xfrm monitor,用于列出所有对象或定义的对象组。
xfrm monitor可以监视所有对象或其中定义的组的策略。
14、ip token
IPv 6令牌化接口标识支持用于向节点分配众所周知的主机部分地址,同时仍然从路由器广告获得全局网络前缀。令牌标识符的主要目标是服务器平台,其中的地址通常是手动配置的,而不是使用DHCPv 6或SLAAC。通过使用令牌化标识符,主机仍然可以使用SLAAC确定其网络前缀,但如果其网络前缀更改,则更容易自动重新编号[1]。
1)ip token set,设置接口令牌
TOKEN,接口标识符令牌地址
devDEV,网络接口
2)ip token get,从内核获取接口令牌
显示特定网络设备的令牌化接口标识符。参数:与“ip token set”的参数一致,但必须省略该令牌。
3)ip token list,列出所有接口令牌
列出内核中网络接口的所有令牌化接口标识符
15、实例
1)显示设备的各种协议地址
[root@localhost ~]# ip addr show //显示设备支持的协议的地址
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 08:00:27:14:33:57 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.9/24 brd 192.168.1.255 scope global eth0
inet6 fe80::a00:27ff:fe14:3357/64 scope link
valid_lft forever preferred_lft forever
2)为目标设备添加地址
[root@localhost ~]# ip addr help //查看帮助文档
Usage: ip addr {add|change|replace} IFADDR dev STRING [ LIFETIME ]
[ CONFFLAG-LIST]
ip addr del IFADDR dev STRING
ip addr {show|flush} [ dev STRING ] [ scope SCOPE-ID ]
[ to PREFIX ] [ FLAG-LIST ] [ label PATTERN ]
[root@localhost ~]# ip addr add 192.168.1.110 dev eth0 //给eth0添加新的ip
[root@localhost ~]# ip addr show dev eth0 //查看eth0的地址信息,多了一个ip
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 08:00:27:14:33:57 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.9/24 brd 192.168.1.255 scope global eth0
inet 192.168.1.110/32 scope global eth0
inet6 fe80::a00:27ff:fe14:3357/64 scope link
valid_lft forever preferred_lft forever
转载地址:http://fokwo.baihongyu.com/