学习如何使用 Quagga 套件的路由协议去管理动态路由。

迄今为止，本系列文章中，我们已经在 Linux 局域网路由新手指南：第 1 部分 中学习了复杂的 IPv4 地址，在 Linux 局域网路由新手指南：第 2 部分 中学习了如何去手工创建静态路由。

今天，我们继续使用 Quagga 去管理动态路由，这是一个安装完后就不用理它的的软件。Quagga 是一个支持 OSPFv2、OSPFv3、RIP v1 和 v2、RIPng、以及 BGP-4 的路由协议套件，并全部由 zebra 守护程序管理。

OSPF 的意思是 最短路径优先 Open Shortest Path First 。OSPF 是一个内部网关协议（IGP）;它可以用在局域网和跨因特网的局域网互联中。在你的网络中的每个 OSPF 路由器都包含整个网络的拓扑，并计算通过网络的最短路径。OSPF 会通过多播的方式自动对外传播它检测到的网络变化。你可以将你的网络分割为区域，以保持路由表的可管理性；每个区域的路由器只需要知道离开它的区域的下一跳接口地址，而不用记录你的网络的整个路由表。

RIP，即路由信息协议，是一个很老的协议，RIP 路由器向网络中周期性多播它的整个路由表，而不是像 OSPF 那样只多播网络的变化。RIP 通过跳数来测量路由，任何超过 15 跳的路由它均视为不可到达。RIP 设置很简单，但是 OSPF 在速度、效率以及弹性方面更佳。

BGP-4 是边界网关协议版本 4。这是用于因特网流量路由的外部网关协议（EGP）。你不会用到 BGP 协议的，除非你是因特网服务提供商。

准备使用 OSPF

在我们的小型 KVM 测试实验室中，用两台虚拟机表示两个不同的网络，然后将另一台虚拟机配置为路由器。创建两个网络：net1 是 192.168.110.0/24 ，而 net2 是 192.168.120.0/24。启用 DHCP 是明智的，否则你要分别进入这三个虚拟机，去为它们设置静态地址。Host 1 在 net1 中，Host 2 在 net2 中，而路由器同时与这两个网络连接。设置 Host 1 的网关地址为 192.168.110.126，Host 2 的网关地址为 192.168.120.136。

• Host 1： 192.168.110.125
• Host 2：192.168.120.135
• Router：192.168.110.126 和 192.168.120.136

在路由器上安装 Quagga。在大多数 Linux 中它是 quagga 软件包。在 Debian 上还有一个单独的文档包 quagga-doc。取消 /etc/sysctl.conf 配置文件中如下这一行的注释去启用包转发功能：

net.ipv4.ip_forward=1

然后，运行 sysctl -p 命令让变化生效。

配置 Quagga

查看你的 Quagga 包中的示例配置文件，比如，/usr/share/doc/quagga/examples/ospfd.conf.sample。除非你的 Linux 版本按你的喜好做了创新，否则，一般情况下配置文件应该在 /etc/quagga 目录中。大多数 Linux 版本在这个目录下有两个文件，vtysh.conf 和 zebra.conf。它们提供了守护程序运行所需要的最小配置。除非你的发行版做了一些特殊的配置，否则，zebra 总是首先运行，当你启动 ospfd 的时候，它将自动启动。Debian/Ubuntu 是一个特例，稍后我们将会说到它。

每个路由器守护程序将读取它自己的配置文件，因此，我们必须创建 /etc/quagga/ospfd.conf，并输入如下内容：

!/etc/quagga/ospfd.conf
hostname router1
log file /var/log/quagga/ospfd.log
router ospf
  ospf router-id 192.168.110.15
  network 192.168.110.0/0 area 0.0.0.0
  network 192.168.120.0/0 area 0.0.0.0
access-list localhost permit 127.0.0.1/32
access-list localhost deny any
line vty
  access-class localhost

你可以使用感叹号（!）或者井号（#）去注释掉这些行。我们来快速浏览一下这些选项。

• hostname 可以是你希望的任何内容。这里不是一般意义上的 Linux 主机名，但是，当你使用 vtysh 或者 telnet 登入时，你将看到它们。
• log file 是你希望用于保存日志的任意文件。
• router 指定路由协议。
• ospf router-id 是任意的 32 位数字。使用路由器的一个 IP 地址就是很好的选择。
• network 定义你的路由器要通告的网络。
• access-list 限制 vtysh 登入，它是 Quagga 命令行 shell，它允许本地机器登入，并拒绝任何远程管理。

Debian/Ubuntu

在你启动守护程序之前，Debian/Ubuntu 相对其它的 Debian 衍生版可能多需要一步到多步。编辑 /etc/quagga/daemons ，除了 zebra=yes 和 ospfd=yes 外，使其它所有的行的值为 no。

然后，在 Debian 上运行 ospfd 去启动 Quagga：

# systemctl start quagga

在大多数的其它 Linux 上，包括 Fedora 和 openSUSE，用如下命令启动 ospfd：

# systemctl start ospfd

现在，Host 1 和 Host 2 将可以互相 ping 通对方和路由器。

这里用了许多篇幅去描述非常简单的设置。在现实中，路由器将连接两个交换机，然后为连接到这个交换机上的所有电脑提供一个网关。你也可以在你的路由器上添加更多的网络接口，这样你的路由器就可以为更多的网络提供路由服务，或者也可以直接连接到其它路由器上，或者连接到连接其它路由器的骨干网络上。

你或许不愿意如此麻烦地手工配置网络接口。最简单的方法是使用你的 DHCP 服务器去宣告你的路由器。如果你使用了 Dnsmasq，那么你就有了一个 DHCP 和 DNS 的一体化解决方案。

还有更多的配置选项，比如，加密的密码保护。更多内容请查看 Quagga 路由套件 的官方文档。

via: https://www.linux.com/learn/intro-to-linux/2018/3/dynamic-linux-routing-quagga

作者：CARLA SCHRODER 译者：qhwdw 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

如何使用 IP 工具来快速轻松地找到你的 IP 地址、显示路由表等等。

ifconfig 命令在 Linux 上被弃用已有十多年的时间了，而 iproute2 项目包含了神奇的工具 ip。许多在线教程资源仍然采用旧的命令行工具，如 ifconfig、route 和 netstat。本教程的目标是分享一些可以使用 ip 工具轻松完成的网络相关的事情。

找出你的 IP 地址

[dneary@host]$ ip addr show
[snip]
44: wlp4s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
        link/ether 5c:e0:c5:c7:f0:f1 brd ff:ff:ff:ff:ff:ff
        inet 10.16.196.113/23 brd 10.16.197.255 scope global dynamic wlp4s0
        valid_lft 74830sec preferred_lft 74830sec
        inet6 fe80::5ee0:c5ff:fec7:f0f1/64 scope link
        valid_lft forever preferred_lft forever

ip addr show 会告诉你很多关于你的所有网络链接设备的信息。在这里，我的无线以太网卡（wlp4s0）是 IPv4 地址（inet 字段）10.16.196.113/23。 /23 表示 32 位 IP 地址中的 23 位将被该子网中的所有 IP 地址共享。子网中的 IP 地址范围从 10.16.196.0 到 10.16.197.254。子网的广播地址（IP 地址后面的 brd 字段）10.16.197.255 保留给子网上所有主机的广播流量。

我们能只使用 ip addr show dev wlp4s0 来显示单个设备的信息。

显示你的路由表

[dneary@host]$ ip route list
default via 10.16.197.254 dev wlp4s0 proto static metric 600
10.16.196.0/23 dev wlp4s0 proto kernel scope link src 10.16.196.113 metric 601
192.168.122.0/24 dev virbr0 proto kernel scope link src 192.168.122.1 linkdown

路由表是本地主机帮助网络流量确定去哪里的方式。它包含一组路标，将流量发送到特定的接口，以及在其旅途中的特定下一个地点。

如果你运行任何虚拟机或容器，它们将获得自己的 IP 地址和子网，这可能会使这些路由表非常复杂，但在单个主机中，通常有两条指令。对于本地流量，将其发送到本地以太网上，并且网络交换机将找出（使用称为 ARP 的协议）哪个主机拥有目标 IP 地址，并且要将流量发送到哪里。对于到互联网的流量，将其发送到本地网关节点，它将更好地了解如何到达目的地。

在上面的情况中，第一行代表外部流量的外部网关，第二行代表本地流量，第三行代表主机上运行的虚拟机的虚拟网桥，但该链接当前未激活。

监视你的网络配置

[dneary@host]$ ip monitor all
[dneary@host]$ ip -s link list wlp4s0

ip monitor 命令可用于监视路由表（网络接口上的网络寻址）的更改或本地主机上 ARP 表的更改。此命令在调试与容器和网络相关的网络问题时特别有用，如当两个虚拟机应该能彼此通信，但实际不能。

在使用 all 时，ip monitor 会报告所有的更改，前缀以 [LINK]（网络接口更改）、[ROUTE]（更改路由表）、[ADDR]（IP 地址更改）或 [NEIGH]（与马无关 —— 与邻居的 ARP 地址相关的变化）。

你还可以监视特定对象上的更改（例如，特定的路由表或 IP 地址）。

另一个适用于许多命令的有用选项是 ip -s，它提供了一些统计信息。添加第二个 -s 选项可以添加更多统计信息。上面的 ip -s link list wlp4s0 会给出很多关于接收和发送的数据包的信息、丢弃的数据包数量、检测到的错误等等。

提示：缩短你的命令

一般来说，对于 ip 工具，你只需要包含足够的字母来唯一标识你想要做的事情。你可以使用 ip mon 来代替 ip monitor。你可以使用 ip a l，而不是 ip addr list，并且可以使用 ip r来代替 ip route。ip link list 可以缩写为 ip l ls。要了解可用于更改命令行为的许多选项，请浏览 ip 手册页。

via: https://opensource.com/article/18/5/useful-things-you-can-do-with-IP-tool-Linux

作者：Dave Neary 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

使用 Ansible IT 自动化引擎节省更新的时间。

你有没有想过，如何打补丁、重启系统，然后继续工作？

如果你的回答是肯定的，那就需要了解一下 Ansible 了。它是一个配置管理工具，对于一些复杂的有时候需要几个小时才能完成的系统管理任务，又或者对安全性有比较高要求的时候，使用 Ansible 能够大大简化工作流程。

以我作为系统管理员的经验，打补丁是一项最有难度的工作。每次遇到 公共漏洞批露 Common Vulnearbilities and Exposure （CVE）通知或者 信息保障漏洞预警 Information Assurance Vulnerability Alert （IAVA）时都必须要高度关注安全漏洞，否则安全部门将会严肃追究自己的责任。

使用 Ansible 可以通过运行封装模块以缩短打补丁的时间，下面以 yum 模块更新系统为例，使用 Ansible 可以执行安装、更新、删除、从其它地方安装（例如持续集成/持续开发中的 rpmbuild）。以下是系统更新的任务：

  - name: update the system
    yum:
      name: "*"
      state: latest

在第一行，我们给这个任务命名，这样可以清楚 Ansible 的工作内容。第二行表示使用 yum 模块在CentOS虚拟机中执行更新操作。第三行 name: "*" 表示更新所有程序。最后一行 state: latest 表示更新到最新的 RPM。

系统更新结束之后，需要重新启动并重新连接：

  - name: restart system to reboot to newest kernel
    shell: "sleep 5 && reboot"
    async: 1
    poll: 0

  - name: wait for 10 seconds
    pause:
      seconds: 10

  - name: wait for the system to reboot
    wait_for_connection:
      connect_timeout: 20
      sleep: 5
      delay: 5
      timeout: 60

  - name: install epel-release
    yum:
      name: epel-release
      state: latest

shell 模块中的命令让系统在 5 秒休眠之后重新启动，我们使用 sleep 来保持连接不断开，使用 async 设定最大等待时长以避免发生超时，poll 设置为 0 表示直接执行不需要等待执行结果。暂停 10 秒钟以等待虚拟机恢复，使用 wait_for_connection 在虚拟机恢复连接后尽快连接。随后由 install epel-release 任务检查 RPM 的安装情况。你可以对这个剧本执行多次来验证它的幂等性，唯一会显示造成影响的是重启操作，因为我们使用了 shell 模块。如果不想造成实际的影响，可以在使用 shell 模块的时候 changed_when: False。

现在我们已经知道如何对系统进行更新、重启虚拟机、重新连接、安装 RPM 包。下面我们通过 Ansible Lightbulb 来安装 NGINX:

  - name: Ensure nginx packages are present
    yum:
      name: nginx, python-pip, python-devel, devel
      state: present
    notify: restart-nginx-service

  - name: Ensure uwsgi package is present
    pip:
      name: uwsgi
      state: present
    notify: restart-nginx-service

  - name: Ensure latest default.conf is present
    template:
      src: templates/nginx.conf.j2
      dest: /etc/nginx/nginx.conf
      backup: yes
    notify: restart-nginx-service

  - name: Ensure latest index.html is present
    template:
      src: templates/index.html.j2
      dest: /usr/share/nginx/html/index.html

  - name: Ensure nginx service is started and enabled
    service:
      name: nginx
      state: started
      enabled: yes

  - name: Ensure proper response from localhost can be received
    uri:
      url: "http://localhost:80/"
      return_content: yes
    register: response
    until: 'nginx_test_message in response.content'
    retries: 10
    delay: 1

以及用来重启 nginx 服务的操作文件：

# 安装 nginx 的操作文件
  - name: restart-nginx-service
    service:
      name: nginx
      state: restarted

在这个角色里，我们使用 RPM 安装了 nginx、python-pip、python-devel、devel，用 PIP 安装了 uwsgi，接下来使用 template 模块复制 nginx.conf 和 index.html 以显示页面，并确保服务在系统启动时启动。然后就可以使用 uri 模块检查到页面的连接了。

这个是一个系统更新、系统重启、安装 RPM 包的剧本示例，后续可以继续安装 nginx，当然这里可以替换成任何你想要的角色和应用程序。

  - hosts: all
    roles:
      - centos-update
      - nginx-simple

这只是关于如何更新系统、重启以及后续工作的示例。简单起见，我只添加了不带变量的包，当你在操作大量主机的时候，你就需要修改其中的一些设置了：

• async & poll
• serial
• forks

这是由于在生产环境中如果你想逐一更新每一台主机的系统，你需要花相当一段时间去等待主机重启才能够继续下去。

via: https://opensource.com/article/18/3/ansible-patch-systems

作者：Jonathan Lozada De La Matta 译者：HankChow 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

AWFFull 是基于 “Webalizer” 的 Web 服务器日志分析程序。AWFFull 以 HTML 格式生成使用统计信息以便用浏览器查看。结果以柱状和图形两种格式显示，这有利于解释数据。它提供每年、每月、每日和每小时的使用统计数据，并显示网站、URL、referrer、user agent（浏览器）、用户名、搜索字符串、进入/退出页面和国家（如果一些信息不存在于处理后日志中那么就没有）。AWFFull 支持 CLF（通用日志格式）日志文件，以及由 NCSA 等定义的组合日志格式，它还能只能地处理这些格式的变体。另外，AWFFull 还支持 wu-ftpd xferlog 格式的日志文件，它能够分析 ftp 服务器和 squid 代理日志。日志也可以通过 gzip 压缩。

如果检测到压缩日志文件，它将在读取时自动解压缩。压缩日志必须是 .gz 扩展名的标准 gzip 压缩。

对于 Webalizer 的修改

AWFFull 基于 Webalizer 的代码，并有许多或大或小的变化。包括：

• 不止原始统计数据：利用已发布的公式，提供额外的网站使用情况。
• GeoIP IP 地址能更准确地检测国家。
• 可缩放的图形
• 与 GNU gettext 集成，能够轻松翻译。目前支持 32 种语言。
• 在首页显示超过 12 个月的网站历史记录。
• 额外的页面计数跟踪和排序。
• 一些小的可视化调整，包括 Geolizer 用量中使用 Kb、Mb。
• 额外的用于 URL 计数、进入和退出页面、站点的饼图
• 图形上的水平线更有意义，更易于阅读。
• User Agent 和 Referral 跟踪现在通过 PAGES 而非 HITS 进行计算。
• 现在支持 GNU 风格的长命令行选项（例如 --help）。
• 可以通过排除“什么不是”以及原始的“什么是”来选择页面。
• 对被分析站点的请求以匹配的引用 URL 显示。
• 404 错误表，并且可以生成引用 URL。
• 生成的 html 可以使用外部 CSS 文件。
• POST 分析总结使得手动优化配置文件性能更简单。
• 可以将指定的 IP 和地址分配给指定的国家。
• 便于使用其他工具详细分析的转储选项。
• 支持检测并处理 Lotus Domin- v6 日志。

在 Ubuntu 17.10 上安装 AWFFull

sud- apt-get install awffull

配置 AWFFull

你必须在 /etc/awffull/awffull.conf 中编辑 AWFFull 配置文件。如果你在同一台计算机上运行多个虚拟站点，​​则可以制作多个默认配置文件的副本。

sud- vi /etc/awffull/awffull.conf

确保有下面这几行：

LogFile /var/log/apache2/access.log.1
OutputDir /var/www/html/awffull

保存并退出文件。

你可以使用以下命令运行 awffull。

awffull -c [your config file name]

这将在 /var/www/html/awffull 目录下创建所有必需的文件，以便你可以使用 http://serverip/awffull/ 。

你应该看到类似于下面的页面：

如果你有更多站点，你可以使用 shell 和计划任务自动化这个过程。

via: http://www.ubuntugeek.com/install-awffull-web-server-log-analysis-application-on-ubuntu-17-10.html

作者：ruchi 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在我们之前的 Ansible 教程中，我们讨论了 Ansible 的安装和配置。在这个 Ansible 教程中，我们将学习一些基本的 Ansible 命令的例子，我们将用它来管理基础设施。所以让我们先看看一个完整的 Ansible 命令的语法：

$ ansible <group> -m <module> -a <arguments>

在这里，我们可以用单个主机或用 <group> 代替一组主机，<arguments> 是可选的参数。现在我们来看看一些 Ansible 的基本命令。

检查主机的连通性

我们在之前的教程中也使用了这个命令。检查主机连接的命令是：

$ ansible <group> -m ping

重启主机

$ ansible <group> -a "/sbin/reboot"

检查主机的系统信息

Ansible 收集所有连接到它主机的信息。要显示主机的信息，请运行：

$ ansible <group> -m setup | less

其次，通过传递参数来从收集的信息中检查特定的信息：

$ ansible <group> -m setup -a "filter=ansible_distribution"

传输文件

对于传输文件，我们使用模块 copy ，完整的命令是这样的：

$ ansible <group> -m copy -a "src=/home/dan dest=/tmp/home"

管理用户

要管理已连接主机上的用户，我们使用一个名为 user 的模块，并如下使用它。

创建新用户

$ ansible <group> -m user -a "name=testuser password=<encrypted password>"

删除用户

$ ansible <group> -m user -a "name=testuser state=absent"

注意： 要创建加密密码，请使用 "mkpasswd -method=sha-512"。

更改权限和所有者

要改变已连接主机文件的所有者，我们使用名为 file 的模块，使用如下。

更改文件权限

$ ansible <group> -m file -a "dest=/home/dan/file1.txt mode=777"

更改文件的所有者

$ ansible <group> -m file -a "dest=/home/dan/file1.txt mode=777 owner=dan group=dan"

管理软件包

我们可以通过使用 yum 和 apt 模块来管理所有已连接主机的软件包，完整的命令如下：

检查包是否已安装并更新

$ ansible <group> -m yum -a "name=ntp state=latest"

检查包是否已安装，但不更新

$ ansible <group> -m yum -a "name=ntp state=present"

检查包是否是特定的版本

$ ansible <group> -m yum -a "name= ntp-1.8 state=present"

检查包是否没有安装

$ ansible <group> -m yum -a "name=ntp state=absent"

管理服务

要管理服务，我们使用模块 service ，完整命令如下：

启动服务

$ansible <group> -m service -a "name=httpd state=started"

停止服务

$ ansible <group> -m service -a "name=httpd state=stopped"

重启服务

$ ansible <group> -m service -a "name=httpd state=restarted"

这样我们简单的、单行 Ansible 命令的教程就完成了。此外，在未来的教程中，我们将学习创建 playbook，来帮助我们更轻松高效地管理主机。

via: http://linuxtechlab.com/ansible-tutorial-simple-commands/

作者：SHUSAIN 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Q：我正在电脑上使用 Debian Linux 9 “stretch”。 我想用 NetworkManager 来建网桥。但是根本就没有添加 br0的选项。我该如何在 Linux 里使用 nmcli 来为 NetworkManager 创建或者添加网桥呢？

网桥没什么特别的，只是把两个网络连在一起。它工作在数据链路层，即 OSI 模型的第二层。网桥经常用在虚拟机或别的一些软件中。为了使用网桥而关闭桌面 Linux 上的 NetworkManager 显然是不明智的。nmcli 可以创建一个永久的网桥而不需要编辑任何文件。

本文将展示如何使用 NetworkManager 的命令行工具 nmcli 来创建网桥。

如何使用 nmcli 来创建/添加网桥

使用 NetworkManager 在 Linux 上添加网桥接口的步骤如下：

1. 打开终端
2. 获取当前连接状态： nmcli con show
3. 添加新的网桥： nmcli con add type bridge ifname br0
4. 创建子网卡： nmcli con add type bridge-slave ifname eno1 master br0
5. 打开 br0： nmcli con up br0

让我们从细节层面看看如何创建一个名为 br0 的网桥。

获取当前网络配置

你可以通过 NetworkManager 的 GUI 来了解本机的网络连接：

也可以使用如下命令行来查看：

$ nmcli con show
$ nmcli connection show --active 

我有一个使用网卡 eno1 的 “有线连接”。我的系统还有一个 VPN 接口。我将要创建一个名为 br0 的网桥，并连接到 eno1。

如何创建一个名为 br0 的网桥

$ sudo nmcli con add ifname br0 type bridge con-name br0
$ sudo nmcli con add type bridge-slave ifname eno1 master br0
$ nmcli connection show

你也可以禁用 STP：

$ sudo nmcli con modify br0 bridge.stp no
$ nmcli con show
$ nmcli -f bridge con show br0

最后一条命令展示了禁用 STP 后的网桥参数：

bridge.mac-address:                     --
bridge.stp:                             no
bridge.priority:                        32768
bridge.forward-delay:                   15
bridge.hello-time:                      2
bridge.max-age:                         20
bridge.ageing-time:                     300
bridge.multicast-snooping:              yes

如何打开网桥

你必须先关闭 Wired connection 1 ，然后打开 br0：

$ sudo nmcli con down "Wired connection 1"
$ sudo nmcli con up br0
$ nmcli con show

使用 ip 命令 来查看 IP 信息：

$ ip a s
$ ip a s br0

附录: 如何在 KVM 上使用 br0

现在你可以使用 KVM/VirtualBox/VMware workstation 创建的 VM（虚拟机）来直接连接网络而非通过 NAT。使用 vi 或者 cat 命令为虚拟机创建一个名为 br0.xml 的文件：

$ cat /tmp/br0.xml

添加以下代码：

<network>
  <name>br0</name>
  <forward mode="bridge"/>
  <bridge name="br0" />
</network>

如下所示运行 virsh命令：

# virsh net-define /tmp/br0.xml
# virsh net-start br0
# virsh net-autostart br0
# virsh net-list --all

输出：

 Name State Autostart Persistent
----------------------------------------------------------
 br0 active yes yes
 default inactive no yes

阅读 man 页面获取更多信息：

$ man ip
$ man nmcli

关于作者

作者是 nixCraft 的创建者、老练的系统管理员和一个 Linux/Unix shell 脚本编程培训师。他为全球客户和各种公司工作，包括 IT，教育，国防，空间研究以及非营利组织。 他的联系方式 Twitter、 Facebook、 Google+。

via: https://www.cyberciti.biz/faq/how-to-add-network-bridge-with-nmcli-networkmanager-on-linux/

作者：Vivek Gite 译者：kennethXia 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出