Академический Документы
Профессиональный Документы
Культура Документы
Copyright 1999, 2010, Oracle y/o sus subsidiarias. Todos los derechos reservados. Este software y la documentacin relacionada estn sujetos a un contrato de licencia que incluye restricciones de uso y revelacin, y se encuentran protegidos por la legislacin sobre la propiedad intelectual. A menos que figure explcitamente en el contrato de licencia o est permitido por la ley, no se podr utilizar, copiar, reproducir, traducir, emitir, modificar, conceder licencias, transmitir, distribuir, exhibir, representar, publicar ni mostrar ninguna parte, de ninguna forma, por ningn medio. Queda prohibida la ingeniera inversa, desensamblaje o descompilacin de este software, excepto en la medida en que sean necesarios para conseguir interoperabilidad segn lo especificado por la legislacin aplicable. La informacin contenida en este documento puede someterse a modificaciones sin previo aviso y no se garantiza que se encuentre exenta de errores. Si detecta algn error, le agradeceremos que nos lo comunique por escrito. Si este software o la documentacin relacionada se entrega al Gobierno de EE.UU. o a cualquier entidad que adquiera licencias en nombre del Gobierno de EE.UU. se aplicar la siguiente disposicin: U.S. GOVERNMENT RIGHTS Programs, software, databases, and related documentation and technical data delivered to U.S. Government customers are "commercial computer software" or "commercial technical data" pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental regulations. As such, the use, duplication, disclosure, modification, and adaptation shall be subject to the restrictions and license terms set forth in the applicable Government contract, and, to the extent applicable by the terms of the Government contract, the additional rights set forth in FAR 52.227-19, Commercial Computer Software License (December 2007). Oracle America, Inc., 500 Oracle Parkway, Redwood City, CA 94065 Este software o hardware se ha desarrollado para uso general en diversas aplicaciones de gestin de la informacin. No se ha diseado ni est destinado para utilizarse en aplicaciones de riesgo inherente, incluidas las aplicaciones que pueden causar daos personales. Si utiliza este software o hardware en aplicaciones de riesgo, usted ser responsable de tomar todas las medidas apropiadas de prevencin de fallos, copia de seguridad, redundancia o de cualquier otro tipo para garantizar la seguridad en el uso de este software o hardware. Oracle Corporation y sus subsidiarias declinan toda responsabilidad derivada de los daos causados por el uso de este software o hardware en aplicaciones de riesgo. Oracle y Java son marcas comerciales registradas de Oracle y/o sus subsidiarias. Todos los dems nombres pueden ser marcas comerciales de sus respectivos propietarios. AMD, Opteron, el logotipo de AMD y el logotipo de AMD Opteron son marcas comerciales o marcas comerciales registradas de Advanced Micro Devices. Intel e Intel Xeon son marcas comerciales o marcas comerciales registradas de Intel Corporation. Todas las marcas comerciales de SPARC se utilizan con licencia y son marcas comerciales o marcas comerciales registradas de SPARC International, Inc. UNIX es una marca comercial registrada con acuerdo de licencia de X/Open Company, Ltd. Este software o hardware y la documentacin pueden ofrecer acceso a contenidos, productos o servicios de terceros o informacin sobre los mismos. Ni Oracle Corporation ni sus subsidiarias sern responsables de ofrecer cualquier tipo de garanta sobre el contenido, los productos o los servicios de terceros y renuncian explcitamente a ello. Oracle Corporation y sus subsidiarias no se harn responsables de las prdidas, los costos o los daos en los que se incurra como consecuencia del acceso o el uso de contenidos, productos o servicios de terceros. Copyright 1999, 2010, Oracle et/ou ses affilis. Tous droits rservs. Ce logiciel et la documentation qui laccompagne sont protgs par les lois sur la proprit intellectuelle. Ils sont concds sous licence et soumis des restrictions dutilisation et de divulgation. Sauf disposition de votre contrat de licence ou de la loi, vous ne pouvez pas copier, reproduire, traduire, diffuser, modifier, breveter, transmettre, distribuer, exposer, excuter, publier ou afficher le logiciel, mme partiellement, sous quelque forme et par quelque procd que ce soit. Par ailleurs, il est interdit de procder toute ingnierie inverse du logiciel, de le dsassembler ou de le dcompiler, except des fins dinteroprabilit avec des logiciels tiers ou tel que prescrit par la loi. Les informations fournies dans ce document sont susceptibles de modification sans pravis. Par ailleurs, Oracle Corporation ne garantit pas quelles soient exemptes derreurs et vous invite, le cas chant, lui en faire part par crit. Si ce logiciel, ou la documentation qui laccompagne, est concd sous licence au Gouvernement des Etats-Unis, ou toute entit qui dlivre la licence de ce logiciel ou lutilise pour le compte du Gouvernement des Etats-Unis, la notice suivante sapplique : U.S. GOVERNMENT RIGHTS. Programs, software, databases, and related documentation and technical data delivered to U.S. Government customers are "commercial computer software" or "commercial technical data" pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental regulations. As such, the use, duplication, disclosure, modification, and adaptation shall be subject to the restrictions and license terms set forth in the applicable Government contract, and, to the extent applicable by the terms of the Government contract, the additional rights set forth in FAR 52.227-19, Commercial Computer Software License (December 2007). Oracle America, Inc., 500 Oracle Parkway, Redwood City, CA 94065. Ce logiciel ou matriel a t dvelopp pour un usage gnral dans le cadre dapplications de gestion des informations. Ce logiciel ou matriel nest pas conu ni nest destin tre utilis dans des applications risque, notamment dans des applications pouvant causer des dommages corporels. Si vous utilisez ce logiciel ou matriel dans le cadre dapplications dangereuses, il est de votre responsabilit de prendre toutes les mesures de secours, de sauvegarde, de redondance et autres mesures ncessaires son utilisation dans des conditions optimales de scurit. Oracle Corporation et ses affilis dclinent toute responsabilit quant aux dommages causs par lutilisation de ce logiciel ou matriel pour ce type dapplications. Oracle et Java sont des marques dposes dOracle Corporation et/ou de ses affilis.Tout autre nom mentionn peut correspondre des marques appartenant dautres propritaires quOracle. AMD, Opteron, le logo AMD et le logo AMD Opteron sont des marques ou des marques dposes dAdvanced Micro Devices. Intel et Intel Xeon sont des marques ou des marques dposes dIntel Corporation. Toutes les marques SPARC sont utilises sous licence et sont des marques ou des marques dposes de SPARC International, Inc. UNIX est une marque dpose concd sous license par X/Open Company, Ltd.
100921@24661
Contenido
Prefacio ..................................................................................................................................................29
Parte I
Conjunto de protocolos TCP/IP de Oracle Solaris (descripcin general) ....................................37 Novedades de esta versin .................................................................................................................. 37 Introduccin al conjunto de protocolos TCP/IP ............................................................................. 37 Capas de protocolo y el modelo de Interconexin de Sistemas Abiertos .............................. 38 Modelo de arquitectura del protocolo TCP/IP ......................................................................... 39 Cmo manejan las comunicaciones de datos los protocolos TCP/IP ........................................... 45 Encapsulado de datos y la pila de protocolo TCP/IP ............................................................... 45 Admisin de seguimiento interno de TCP/IP .......................................................................... 49 Informacin adicional sobre TCP/IP e Internet .............................................................................. 49 Manuales sobre TCP/IP .............................................................................................................. 49 Pginas web sobre TCP/IP y redes ............................................................................................. 49 Peticiones de comentarios y borradores de Internet ................................................................ 50
Parte II
Planificacin de la red TCP/IP (tareas) ............................................................................................. 53 Planificacin de la red (mapa de tareas) ............................................................................................ 53 Determinacin del hardware de red .................................................................................................. 55 Cmo decidir el formato de las direcciones IP para la red ............................................................. 55 Direcciones IPv4 .......................................................................................................................... 56 Direcciones IPv4 en formato CIDR ........................................................................................... 56 Direcciones DHCP ...................................................................................................................... 57 Direcciones IPv6 .......................................................................................................................... 57
3
Contenido
Direcciones privadas y prefijos de documentacin ................................................................. 57 Cmo obtener el nmero de IP de la red .......................................................................................... 58 Cmo disear un esquema de direcciones IPv4 .............................................................................. 58 Cmo disear un esquema de direcciones IPv4 ....................................................................... 60 Nmero de subred IPv4 ............................................................................................................... 61 Cmo disear un esquema de direcciones IPv4 CIDR ............................................................ 61 Uso de direcciones IPv4 privadas ............................................................................................... 62 Aplicacin de las direcciones IP a las interfaces de red ............................................................ 63 Entidades de denominacin en la red ............................................................................................... 63 Administracin de nombres de host .......................................................................................... 64 Seleccin de un servicio de nombres y de directorios .............................................................. 64 Planificacin de enrutadores en la red .............................................................................................. 66 Descripcin general de la topologa de red ............................................................................... 66 Cmo transfieren los paquetes los enrutadores ....................................................................... 68
Introduccin a IPv6 (descripcin general) ...................................................................................... 71 Caractersticas principales de IPv6 .................................................................................................... 72 Direcciones ampliadas ................................................................................................................ 72 Configuracin automtica de direcciones y descubrimiento de vecinos .............................. 72 Simplificacin del formato del encabezado .............................................................................. 72 Ms posibilidades en las opciones de encabezado de IP .......................................................... 73 Compatibilidad de aplicaciones con direcciones IPv6 ............................................................ 73 Otros recursos de IPv6 ................................................................................................................ 73 Descripcin general de las redes IPv6 ............................................................................................... 74 Descripcin general de las direcciones IPv6 .................................................................................... 76 Partes de una direccin IPv6 ....................................................................................................... 77 Abreviacin de direcciones IPv6 ................................................................................................ 78 Prefijos de IPv6 ............................................................................................................................. 78 Direcciones unidifusin .............................................................................................................. 79 Direcciones multidifusin .......................................................................................................... 81 Grupos y direcciones de difusin por proximidad .................................................................. 82 Descripcin general del protocolo ND de IPv6 ............................................................................... 82 Configuracin automtica de direcciones IPv6 ............................................................................... 83 Descripcin general de configuracin automtica sin estado ................................................ 84 Descripcin general sobre los tneles de IPv6 ................................................................................. 85
Contenido
Planificacin de una red IPv6 (tareas) ............................................................................................. 87 Planificacin de IPv6 (mapas de tareas) ........................................................................................... 87 Situacin hipottica de topologa de red IPv6 .................................................................................. 88 Preparacin de la red ya configurada para admitir IPv6 ................................................................. 90 Preparacin de la topologa red para admitir IPv6 .................................................................. 90 Preparacin de servicios de red para admitir IPv6 ................................................................... 91 Preparacin de servidores para admitir IPv6 ........................................................................... 91 Cmo preparar servicios de red para admitir IPv6 .................................................................. 92 Cmo preparar DNS para admitir IPv6 .................................................................................... 92 Planificacin de tneles en la topologa de red ......................................................................... 93 Aspectos relacionados con la seguridad en la implementacin de IPv6 ................................ 94 Preparacin de un plan de direcciones IPv6 .................................................................................... 94 Obtencin de un prefijo de sitio ................................................................................................. 94 Creacin del esquema de numeracin de IPv6 ......................................................................... 95
Configuracin de servicios de red TCP/IP y direcciones IPv4 (tareas) .........................................97 Novedades de este captulo ................................................................................................................. 98 Antes de configurar una red IPv4 (mapa de tareas) ........................................................................ 98 Cmo determinar los modos de configuracin de host .................................................................. 99 Sistemas que deben ejecutarse en modo de archivos locales ................................................... 99 Sistemas que son clientes de red ............................................................................................... 101 Configuraciones mixtas ............................................................................................................ 101 Ejemplo de topologa de red IPv4 ............................................................................................ 101 Cmo agregar una subred a una red (mapa de tareas) .................................................................. 102 Mapa de tareas de configuracin de red .......................................................................................... 103 Configuracin de sistemas en la red local ....................................................................................... 104 Cmo configurar un host para el modo de archivos locales ................................................. 105 Cmo instalar un servidor de configuracin de red .............................................................. 107 Configuracin de clientes de red .............................................................................................. 109 Cmo configurar hosts para el modo de cliente de red ......................................................... 109 Cmo cambiar la direccin IPv4 y otros parmetros de configuracin de red .................. 110 Reenvo de paquetes y rutas en redes IPv4 ..................................................................................... 114 Protocolos de enrutamiento admitidos por Oracle Solaris ................................................... 115 Topologa de sistemas autnomos IPv4 .................................................................................. 118 Configuracin de un enrutador IPv4 ....................................................................................... 121
5
Contenido
Tablas y tipos de enrutamiento ................................................................................................ 126 Configuracin de hosts mltiples ............................................................................................ 129 Configuracin del enrutamiento para sistemas de interfaz nica ........................................ 132 Supervisin y modificacin de los servicios de capa de transporte ............................................. 137 Cmo registrar las direcciones IP de todas las conexiones TCP entrantes ......................... 137 Cmo agregar servicios que utilicen el protocolo SCTP ....................................................... 138 Cmo utilizar los envoltorios TCP para controlar el acceso a los servicios TCP ............... 141 Administracin de interfaces en Solaris 10 3/05 ............................................................................ 141 Novedades de esta seccin ........................................................................................................ 142 Configuracin de interfaces fsicas en Solaris 10 3/05 ........................................................... 142 Configuracin de VLAN en Solaris 10 3/05 SOLAMENTE ................................................. 146
Administracin de interfaces de red (tareas) ............................................................................... 149 Novedades en la administracin de interfaces de red ................................................................... 149 Administracin de interfaces (mapa de tareas) ............................................................................. 150 Administracin de interfaces de red individuales ......................................................................... 151 Cmo obtener el estado de una interfaz .................................................................................. 151 Cmo configurar una interfaz fsica tras la instalacin del sistema ..................................... 153 Cmo eliminar una interfaz fsica ............................................................................................ 156 SPARC: Cmo asegurarse de que la direccin MAC de una interfaz sea nica .................. 156 Aspectos bsicos sobre la administracin de interfaces fsicas .................................................... 158 Nombres de interfaz de red ....................................................................................................... 159 Conexin de una interfaz .......................................................................................................... 159 Tipos de interfaz de Oracle Solaris ........................................................................................... 160 Administracin de redes de rea local virtuales ............................................................................. 160 Descripcin general de una configuracin VLAN ................................................................. 161 Planificacin de una red para redes VLAN ............................................................................. 163 Configuracin de redes VLAN ................................................................................................. 164 Descripcin general de agregaciones de vnculos .......................................................................... 166 Conceptos bsicos de agregaciones de vnculos ..................................................................... 167 Agregaciones de vnculos de extremo a extremo ................................................................... 168 Directivas y equilibrio de la carga ............................................................................................ 169 Modo de agregacin y nodos .................................................................................................... 170 Requisitos para agregaciones de vnculos ............................................................................... 170 Cmo crear una agregacin de vnculos ................................................................................. 170
Contenido
Cmo modificar una agregacin .............................................................................................. 173 Cmo eliminar una interfaz de una agregacin ..................................................................... 174 Cmo eliminar una agregacin ................................................................................................ 174 Cmo configurar VLAN a travs de una adicin de vnculos .............................................. 175
Configuracin de una red IPv6 (tareas). ........................................................................................ 177 Configuracin de una interfaz de IPv6 ........................................................................................... 177 Habilitacin de IPv6 en una interfaz (mapa de tareas) .......................................................... 178 Cmo habilitar una interfaz de IPv6 para la sesin actual .................................................... 178 Cmo habilitar interfaces de IPv6 de manera permanente ................................................... 180 Cmo desactivar la configuracin automtica de direcciones IPv6 .................................... 182 Configuracin de un enrutador IPv6 .............................................................................................. 183 Configuracin de IPv6 en enrutadores (mapa de tareas) ...................................................... 183 Cmo configurar un enrutador habilitado para IPv6 ............................................................ 184 Modificacin de la configuracin de una interfaz de IPv6 para hosts y servidores ................... 187 Modificacin de la configuracin de una interfaz de IPv6 (mapa de tareas) ...................... 187 Uso de direcciones temporales para una interfaz ................................................................... 188 Configuracin de un token IPv6 .............................................................................................. 191 Administracin de interfaces habilitadas para IPv6 en servidores ...................................... 194 Tareas de configuracin de tneles para compatibilidad con IPv6 (mapa de tareas) ............... 195 Configuracin de tneles para compatibilidad con IPv6 ............................................................. 196 Cmo configurar manualmente IPv6 a travs de tneles IPv4 ............................................ 196 Cmo configurar manualmente tneles IPv6 a travs de IPv6 ............................................ 197 Cmo configurar tneles IPv4 a travs de IPv6 ...................................................................... 198 Cmo configurar un tnel 6to4 ................................................................................................ 198 Cmo configurar un tnel 6to4 hasta un enrutador de reenvo 6to4 .................................. 202 Configuracin de la compatibilidad con el servicio de nombres para IPv6 ............................... 204 Cmo agregar direcciones IPv6 a DNS ................................................................................... 204 Adicin de direcciones IPv6 a NIS ........................................................................................... 205 Cmo visualizar informacin sobre servicios de nombres de IPv6 ..................................... 205 Cmo verificar que los registros PTR de DNS IPv6 se actualicen correctamente .............. 206 Cmo visualizar informacin de IPv6 mediante NIS ............................................................ 207 Cmo visualizar informacin relativa a IPv6 al margen del servicio de nombres ............. 207
Contenido
Administracin de redes TCP/IP (tareas) ....................................................................................... 209 Tareas de administracin principales de TCP/IP (mapa de tareas) ............................................ 209 Supervisin de la configuracin de interfaz con el comando ifconfig ..................................... 211 Cmo obtener informacin sobre una interfaz especfica .................................................... 211 Cmo mostrar asignaciones de direccin de interfaz ............................................................ 213 Supervisin del estado de la red con el comando netstat ........................................................... 215 Cmo visualizar estadsticas por protocolo ............................................................................ 215 Cmo visualizar el estado de protocolos de transporte ......................................................... 217 Cmo visualizar el estado de interfaces de red ....................................................................... 218 Cmo visualizar el estado de los sockets ................................................................................. 218 Cmo visualizar el estado de las transmisiones de paquetes de un determinado tipo de direccin ..................................................................................................................................... 220 Cmo visualizar el estado de rutas conocidas ......................................................................... 221 Sondeo de hosts remotos con el comando ping ............................................................................ 222 Cmo determinar si un host remoto est en ejecucin ......................................................... 222 Cmo determinar si un host descarta paquetes ..................................................................... 222 Administracin y registro de la visualizacin del estado de la red ............................................... 223 Cmo controlar la salida de visualizacin de comandos relacionados con IP ................... 223 Cmo registrar acciones del daemon de rutas de IPv4 .......................................................... 224 Cmo efectuar el seguimiento de las actividades del daemon de descubrimiento cercano de IPv6 .............................................................................................................................................. 225 Visualizacin de informacin de enrutamiento con el comando traceroute .......................... 226 Cmo saber la ruta de un host remoto ..................................................................................... 226 Cmo efectuar el seguimiento de todas las rutas .................................................................... 227 Control de transferencias de paquetes con el comando snoop .................................................... 227 Cmo comprobar paquetes de todas las interfaces ................................................................ 228 Cmo capturar salida del comando snoop en un archivo ..................................................... 229 Cmo comprobar paquetes entre un cliente y un servidor IPv4 .......................................... 230 Cmo supervisar trfico de redes IPv6 .................................................................................... 230 Administracin de seleccin de direcciones predeterminadas .................................................... 231 Cmo administrar la tabla de directrices de seleccin de direcciones IPv6 ........................ 232 Cmo modificar la tabla de seleccin de direcciones IPv6 slo para la sesin actual ........ 233
Resolucin de problemas de red (Tareas) ..................................................................................... 235 Novedades de Resolucin de problemas de red ............................................................................. 235 Consejos de resolucin de problemas de red generales ................................................................ 235
Gua de administracin del sistema: servicios IP Septiembre de 2010
Contenido
Ejecucin de comprobaciones de diganstico bsicas ........................................................... 236 Cmo realizar comprobaciones de software de red bsicas .................................................. 236 Problemas comunes al utilizar IPv6 ................................................................................................ 237 El enrutador IPv4 no puede actualizarse a IPv6 ..................................................................... 237 Problemas tras la actualizacin de servicios a IPv6 ................................................................ 237 El ISP actual no admite IPv6 ..................................................................................................... 237 Cuestiones de seguridad al transmitir datos mediante tnel a un enrutador de reenvo 6to4 .............................................................................................................................................. 238 Problemas comunes con un enrutador 6to4 ........................................................................... 238
10
Descripcin detallada de TCP/IP e IPv4 (referencia) ................................................................... 241 Novedades de TCP/IP e IPv4 ........................................................................................................... 241 Archivos de configuracin TCP/IP ................................................................................................. 241 Archivo /etc/hostname.interfaz ............................................................................................ 242 Archivo /etc/nodename ........................................................................................................... 243 Archivo /etc/defaultdomain ................................................................................................. 243 Archivo /etc/defaultrouter ................................................................................................. 243 Base de datos hosts ................................................................................................................... 243 Base de datos ipnodes ............................................................................................................... 247 Base de datos netmasks ............................................................................................................. 248 Daemon de servicios de Internet inetd .......................................................................................... 252 Bases de datos de red y el archivo nsswitch.conf ........................................................................ 252 Cmo afectan los servicios de nombres a las bases de datos de red ..................................... 253 Archivo nsswitch.conf ........................................................................................................... 255 Base de datos bootparams ......................................................................................................... 257 Base de datos ethers ................................................................................................................. 258 Otras bases de datos de red ....................................................................................................... 259 Base de datos protocols ........................................................................................................... 260 Base de datos services ............................................................................................................. 260 Protocolos de enrutamiento en Oracle Solaris ............................................................................... 261 Protocolo Routing Information Protocol (RIP) ..................................................................... 261 Protocolo ICMP Router Discovery (RDISC) .......................................................................... 262 Clases de red ....................................................................................................................................... 262 Nmeros de red de clase A ........................................................................................................ 262 Nmeros de red de clase B ......................................................................................................... 263
9
Contenido
11
IPv6 en profundidad (referencia) ...................................................................................................265 Novedades de IPv6 en profundidad ................................................................................................ 265 Formatos de direcciones IPv6 que no son los bsicos ................................................................... 266 Direcciones 6to4 derivadas ....................................................................................................... 266 Direcciones multidifusin IPv6 en profundidad ................................................................... 268 Formato del encabezado de los paquetes de IPv6 .......................................................................... 269 Encabezados de extensin de IPv6 ........................................................................................... 270 Protocolos de pila doble .................................................................................................................... 271 Implementacin de IPv6 en Oracle Solaris 10 ............................................................................... 271 Archivos de configuracin de IPv6 .......................................................................................... 272 Comandos relacionados con IPv6 ........................................................................................... 277 Daemons relacionados con IPv6 .............................................................................................. 283 Protocolo ND de IPv6 ....................................................................................................................... 286 Mensajes de ICMP del protocolo ND ...................................................................................... 286 Proceso de configuracin automtica ..................................................................................... 287 Solicitud e inasequibilidad de vecinos ..................................................................................... 289 Algoritmo de deteccin de direcciones duplicadas ............................................................... 289 Anuncios de proxy ..................................................................................................................... 290 Equilibrio de la carga entrante .................................................................................................. 290 Cambio de direccin local de vnculo ...................................................................................... 290 Comparacin del protocolo ND con ARP y protocolos relacionados con IPv4 ................ 291 Encaminamiento de IPv6 ................................................................................................................. 292 Anuncio de enrutador ............................................................................................................... 293 Tneles de IPv6 .................................................................................................................................. 294 Tneles configurados ................................................................................................................ 296 Tneles automticos 6to4 ......................................................................................................... 298 Extensiones de IPv6 para servicios de nombres de Oracle Solaris ............................................... 303 Extensiones de DNS para IPv6 ................................................................................................. 303 Cambios en el archivo nsswitch.conf ................................................................................... 304 Cambios en los comandos de servicio de nombres ................................................................ 305 Admisin de NFS y RPC IPv6 .......................................................................................................... 305 Admisin de IPv6 en ATM ............................................................................................................... 306
10
Contenido
Parte III
DHCP ....................................................................................................................................................307
12
Acerca de DHCP de Oracle Solaris (informacin general) ........................................................... 309 Acerca del protocolo DHCP ............................................................................................................. 309 Ventajas del uso de DHCP de Oracle Solaris ................................................................................. 310 Funcionamiento de DHCP ............................................................................................................... 311 Servidor DHCP de Oracle Solaris .................................................................................................... 314 Administracin del servidor DHCP ........................................................................................ 315 Almacn de datos de DHCP ..................................................................................................... 315 Administrador de DHCP .......................................................................................................... 317 Utilidades de la lnea de comandos de DHCP ........................................................................ 318 Control de acceso basado en roles para los comandos DHCP .............................................. 319 Configuracin del servidor DHCP .......................................................................................... 319 Asignacin de direcciones IP .................................................................................................... 320 Informacin de configuracin de red ...................................................................................... 320 Opciones DHCP ......................................................................................................................... 321 Macros DHCP ............................................................................................................................ 321 Cliente DHCP de Oracle Solaris ...................................................................................................... 323
13
Planificacin del servicio DHCP (tareas) ........................................................................................ 325 Preparacin de la red para el servicio DHCP (mapa de tareas) .................................................... 325 Asignacin de topologa de red ................................................................................................ 326 Cmo determinar el nmero de servidores DHCP ............................................................... 327 Actualizacin de archivos de sistema y tablas de mscara de red ......................................... 328 Toma de decisiones para la configuracin del servidor DHCP (mapa de tareas) ...................... 330 Seleccin de un host para ejecutar el servicio DHCP ............................................................. 330 Seleccin del almacn de datos DHCP .................................................................................... 331 Configuracin de una directiva de permiso ............................................................................ 332 Cmo determinar los enrutadores para clientes DHCP ....................................................... 333 Toma de decisiones para la administracin de direcciones IP (mapa de tareas) ....................... 333 Nmero e intervalos de direcciones IP .................................................................................... 334 Generacin de nombres de host de cliente ............................................................................. 334 Macros de configuracin de cliente predeterminadas ........................................................... 335 Tipos de permiso dinmico y permanente .............................................................................. 336 Tipos de permisos y direcciones IP reservadas ....................................................................... 336
11
Contenido
Planificacin de mltiples servidores DHCP ................................................................................. 337 Planificacin de la configuracin DHCP de las redes remotas .................................................... 338 Seleccin de la herramienta para configurar DHCP ..................................................................... 338 Funciones del Administrador de DHCP ................................................................................. 338 Funciones de dhcpconfig ......................................................................................................... 339 Comparacin del Administrador de DHCP y dhcpconfig .................................................. 339
14
Configuracin del servicio DHCP (tareas) ...................................................................................... 341 Configuracin y desconfiguracin de un servidor DHCP utilizando el Administrador de DHCP .................................................................................................................................................. 341 Configuracin de servidores DHCP ........................................................................................ 342 Cmo configurar un servidor DHCP (Administrador de DHCP) ...................................... 345 Configuracin de los agentes de reenvo de BOOTP ............................................................. 346 Cmo configurar un agente de reenvo de BOOTP (Administrador de DHCP) ............... 346 Desconfiguracin de servidores DHCP y agentes de reenvo de BOOTP ........................... 347 Datos DHCP en un servidor desconfigurado ......................................................................... 348 Cmo desconfigurar un servidor DHCP o un agente de reenvo de BOOTP (Administrador de DHCP) .................................................................................................................................... 349 Configuracin y desconfiguracin de un servidor DHCP mediante los comandos dhcpconfig ........................................................................................................................................ 349 Cmo configurar un servidor DHCP (dhcpconfig -D) ....................................................... 350 Cmo configurar un agente de reenvo de BOOTP (dhcpconfig -R) ................................ 351 Cmo desconfigurar un servidor DHCP o un agente de reenvo de BOOTP (dhcpconfig -U) ................................................................................................................................................ 351
15
Administracin de DHCP (tareas) ...................................................................................................353 Acerca del Administrador de DHCP ............................................................................................... 354 Ventana del Administrador de DHCP .................................................................................... 354 Mens del Administrador de DHCP ....................................................................................... 356 Cmo iniciar y detener el Administrador de DHCP ............................................................. 356 Cmo iniciar y detener el Administrador de DHCP ............................................................. 356 Configuracin del acceso de usuario a los comandos de DHCP .................................................. 357 Cmo conceder a los usuarios acceso a los comandos de DHCP ......................................... 357 Cmo iniciar y detener el servicio DHCP ....................................................................................... 358 Cmo iniciar y detener el servicio DHCP (Adminisitrador de DHCP) .............................. 359 Cmo habilitar e inhabilitar el servicio DHCP (Administrador de DHCP) ....................... 359
Gua de administracin del sistema: servicios IP Septiembre de 2010
12
Contenido
Cmo habilitar e inhabilitar el servicio DHCP (dhcpconfig -S) ........................................ 359 Servicio DHCP y Utilidad de gestin de servicios ......................................................................... 360 Modificacin de las opciones del servicio DHCP (mapa de tareas) ............................................ 361 Cmo cambiar las opciones de registro de DHCP ................................................................. 363 Cmo generar mensajes de registro DHCP detallados (Administrador de DHCP) .......... 365 Cmo generar mensajes de registro DHCP detallados (lnea de comandos) ..................... 365 Cmo habilitar e inhabilitar el registro de transacciones DHCP (Administrador de DHCP) ......................................................................................................................................... 366 Cmo habilitar e inhabilitar el registro de transacciones DHCP (lnea de comandos) ..... 367 Cmo registrar transacciones DHCP en un archivo syslog independiente ...................... 367 Habilitacin de las actualizaciones DNS dinmicas por parte del servidor DHCP ........... 368 Cmo activar la actualizacin de DNS dinmica para los clientes DHCP .......................... 369 Registro de nombres de host de cliente ................................................................................... 370 Personalizacin de las opciones de rendimiento del servidor DHCP .................................. 371 Cmo personalizar las opciones de rendimiento DHCP (Administrador de DHCP) ...... 372 Cmo personalizar las opciones de rendimiento DHCP (lnea de comandos) .................. 373 Cmo agregar, modificar y eliminar redes DHCP (mapa de tareas) ........................................... 374 Especificacin de interfaces de redes para la supervisin de DHCP .................................... 375 Cmo especificar interfaces de red para la supervisin de DHCP (Administrador de DHCP) ......................................................................................................................................... 376 Cmo especificar las interfaces de red para la supervisin de DHCP (dhcpconfig) ......... 376 Cmo agregar redes DHCP ...................................................................................................... 377 Como agregar una red DHCP (Administrador de DHCP) ................................................... 378 Cmo agregar una red DHCP (dhcpconfig) ......................................................................... 379 Modificacin de configuraciones de redes DHCP ................................................................. 379 Cmo modificar la configuracin de una red DHCP (Administrador de DHCP) ............. 380 Cmo modificar la configuracin de una red DHCP (dhtadm) ............................................ 381 Eliminacin de redes DHCP ..................................................................................................... 382 Cmo eliminar una red DHCP (Administrador de DHCP) ................................................. 383 Cmo eliminar una red DHCP (pntadm) ................................................................................ 383 Clientes BOOTP con el servicio DHCP (mapa de tareas) ............................................................ 384 Cmo configurar la compatibilidad de cualquier cliente BOOTP (Administrador de DHCP) ......................................................................................................................................... 385 Cmo configurar la compatibilidad de los clientes BOOTP registrados (Administrador de DHCP) ......................................................................................................................................... 386 Uso de direcciones IP en el servicio DHCP (mapa de tareas) ...................................................... 387 Cmo agregar direcciones IP al servicio DHCP ..................................................................... 391
13
Contenido
Cmo agregar una nica direccin IP (Administrador de DHCP) ..................................... 393 Cmo duplicar una direccin IP existente (Administrador de DHCP) .............................. 393 Cmo agregar varias direcciones IP (Administrador de DHCP) ......................................... 394 Cmo agregar direcciones IP (pntadm ) ................................................................................. 394 Modificacin de direcciones IP en el servicio DHCP ............................................................ 395 Cmo modificar las propiedades de direcciones IP (Administrador de DHCP) ............... 396 Cmo modificar las propiedades de direcciones IP (pntadm) .............................................. 397 Eliminacin de direcciones IP del servicio DHCP ................................................................. 397 Cmo marcar direcciones IP como inutilizables para el servicio DHCP ............................ 398 Cmo marcar direcciones IP como no utilizables (Administrador de DHCP) .................. 398 Cmo marcar direcciones IP como inutilizables (pntadm) ................................................... 399 Eliminacin de direcciones IP del servicio DHCP ................................................................. 399 Cmo eliminar direcciones IP del servicio DHCP (Administrador de DHCP) ................. 400 Cmo eliminar direcciones IP del servicio DHCP (pntadm) ................................................ 400 Asignacin de una direccin IP reservada a un cliente DHCP ............................................. 401 Cmo asignar una direccin IP coherente a un cliente DHCP (Administrador de DHCP) ......................................................................................................................................... 402 Cmo asignar una direccin IP coherente a un cliente DHCP (pntadm) ............................ 403 Uso de macros DHCP (mapa de tareas) ......................................................................................... 403 Cmo visualizar las macros definidas en un servidor DHCP (Administrador de DHCP) 405 Cmo ver las macros definidas en un servidor DHCP (dhtadm) .......................................... 406 Modificacin de macros DHCP ............................................................................................... 406 Cmo cambiar los valores de las opciones en una macro DHCP (Administrador de DHCP) ......................................................................................................................................... 407 Cmo cambiar los valores de las opciones en una macro DHCP (dhtadm) ........................ 408 Cmo agregar opciones a una macro DHCP (Administrador de DHCP) .......................... 408 Cmo agregar opciones a una macro DHCP (dhtadm) ......................................................... 409 Como eliminar opciones de una macro DHCP (Administrador de DHCP) ...................... 410 Como eliminar opciones de una macro DHCP (dhtadm) ..................................................... 410 Creacin de macros DHCP ....................................................................................................... 411 Cmo crear una macro DHCP (Administrador de DHCP) ................................................. 411 Cmo crear una macro DHCP (dhtadm ) ............................................................................... 412 Eliminacin de macros DHCP ................................................................................................. 413 Cmo eliminar una macro DHCP (Administrador de DHCP) ........................................... 413 Cmo eliminar una macro DHCP (dhtadm ) ......................................................................... 414 Uso de opciones DHCP (mapa de tareas) ....................................................................................... 414
14 Gua de administracin del sistema: servicios IP Septiembre de 2010
Contenido
Creacin de opciones DHCP .................................................................................................... 417 Cmo crear opciones DHCP (Administrador de DHCP) .................................................... 418 Cmo crear opciones DHCP (dhtadm ) .................................................................................. 419 Modificacin de opciones DHCP ............................................................................................. 420 Cmo modificar las propiedades de opciones DHCP (Administrador de DHCP) ........... 420 Cmo modificar las propiedades de opciones DHCP ( dhtadm) ......................................... 421 Eliminacin de opciones DHCP .............................................................................................. 422 Cmo eliminar opciones DHCP (Administrador de DHCP) .............................................. 422 Cmo eliminar opciones DHCP (dhtadm ) ............................................................................ 423 Modificacin de la informacin de opcin del cliente DHCP de Oracle Solaris ................ 423 Instalacin en red de Oracle Solaris con el servicio DHCP .......................................................... 423 Inicio remoto y clientes de inicio sin disco (mapa de tareas) ....................................................... 424 Configuracin de clientes DHCP slo para recibir informacin (mapa de tareas) ................... 426 Conversin a un nuevo almacn de datos DHCP .......................................................................... 426 Cmo convertir el almacn de datos DHCP (Administrador de DHCP) ........................... 428 Cmo convertir el almacn de datos DHCP (dhcpconfig -C) ........................................... 429 Transferencia de datos de configuracin entre servidores DHCP (mapa de tareas) ................. 429 Cmo exportar datos de un servidor DHCP (Administrador de DHCP) ........................... 432 Cmo exportar datos de un servidor DHCP (dhcpconfig -X) ............................................ 432 Cmo importar datos en un servidor DHCP (Administrador de DHCP) .......................... 434 Cmo importar datos en un servidor DHCP (dhcpconfig -I) ........................................... 434 Cmo modificar datos de DHCP importados (Administrador de DHCP) ........................ 435 Cmo modificar datos DHCP importados ( pntadm, dhtadm) ............................................ 436
16
Configuracin y administracin del cliente DHCP ....................................................................... 437 Acerca del cliente DHCP de Oracle Solaris .................................................................................... 437 Servidor DHCPv6 ...................................................................................................................... 438 Diferencias entre DHCPv4 y DHCPv6 .................................................................................... 438 El modelo administrativo .......................................................................................................... 438 Detalles del protocolo ................................................................................................................ 440 Interfaces lgicas ........................................................................................................................ 440 Negociacin de opciones ........................................................................................................... 441 Sintaxis de configuracin .......................................................................................................... 441 Inicio de cliente DHCP .............................................................................................................. 442 Comunicacin con DHCPv6 .................................................................................................... 442
15
Contenido
Cmo gestionan los protocolos del cliente DHCP la informacin de configuracin de red ................................................................................................................................................ 443 Cierre del cliente DHCP ............................................................................................................ 445 Activacin y desactivacin de un cliente DHCP de Oracle Solaris .............................................. 445 Cmo activar el cliente DHCP de Oracle Solaris ................................................................... 445 Cmo desactivar un cliente DHCP de Oracle Solaris ............................................................ 446 Administracin del cliente DHCP ................................................................................................... 447 Opciones del comando ifconfig que se utilizan con el cliente DHCP .............................. 447 Asignacin de los parmetros de configuracin del cliente DHCP ..................................... 448 Sistemas cliente DHCP con varias interfaces de red ..................................................................... 449 Nombres de host de cliente DHCPv4 .............................................................................................. 450 Cmo activar un cliente DHCPv4 de Oracle Solaris para que solicite un nombre de host especfico ..................................................................................................................................... 451 Sistemas cliente DHCP y servicios de nombres ............................................................................. 452 Configuracin de clientes DHCP como clientes NIS+ .......................................................... 454 Secuencias de eventos de cliente DHCP ......................................................................................... 457
17
Solucin de problemas de DHCP (referencia) ............................................................................... 461 Solucin de problemas del servidor DHCP .................................................................................... 461 Problemas de NIS+ y el almacn de datos DHCP .................................................................. 461 Errores de asignacin de direccin IP en DHCP .................................................................... 465 Solucin de problemas de configuracin del cliente DHCP ........................................................ 467 Problemas de comunicacin con el servidor DHCP .............................................................. 468 Problemas por informacin de configuracin DHCP incorrecta ........................................ 476 Problemas con el nombre de host proporcionado por el cliente DHCP ............................. 477
18
Comandos y archivos DHCP (referencia) ....................................................................................... 481 Comandos DHCP ............................................................................................................................. 481 Ejecucin de comandos DHCP en secuencias ........................................................................ 482 Archivos que utiliza el servicio DHCP ............................................................................................ 488 Informacin de opciones DHCP ..................................................................................................... 490 Cmo determinar si su sitio se ve afectado ............................................................................. 490 Diferencias entre los archivos dhcptags y inittab ............................................................... 491 Conversin de entradas de dhcptags en entradas de inittab ............................................. 492
16
Contenido
Parte IV
Seguridad IP .......................................................................................................................................493
19
Arquitectura de seguridad IP (descripcin general) ................................................................... 495 Novedades de IPsec ........................................................................................................................... 495 Introduccin a IPsec .......................................................................................................................... 497 RFC IPsec .................................................................................................................................... 498 Terminologa de IPsec ............................................................................................................... 498 Flujo de paquetes IPsec ..................................................................................................................... 499 Asociaciones de seguridad IPsec ...................................................................................................... 502 Administracin de claves en IPsec ........................................................................................... 502 Mecanismos de proteccin de IPsec ................................................................................................ 503 Encabezado de autenticacin ................................................................................................... 504 Carga de seguridad encapsuladora .......................................................................................... 504 Algoritmos de autenticacin y cifrado en IPsec ..................................................................... 505 Directivas de proteccin IPsec ......................................................................................................... 507 Modos de transporte y tnel en IPsec .............................................................................................. 507 Redes privadas virtuales e IPsec ....................................................................................................... 510 Paso a travs de IPsec y NAT ............................................................................................................ 511 IPsec y SCTP ....................................................................................................................................... 512 IPsec y Zonas de Solaris .................................................................................................................... 512 IPsec y dominios lgicos ................................................................................................................... 512 Archivos y utilidades IPsec ............................................................................................................... 513 Cambios en IPsec para la versin Solaris 10 ................................................................................... 515
20
Configuracin de IPsec (tareas) .......................................................................................................517 Proteccin del trfico con IPsec (mapa de tareas) ......................................................................... 517 Proteccin del trfico con IPsec ....................................................................................................... 518 Cmo proteger el trfico entre dos sistemas con IPsec .......................................................... 519 Cmo utilizar IPsec para proteger un servidor web del trfico que no procede de Internet ........................................................................................................................................ 523 Cmo visualizar las directivas de IPsec ................................................................................... 526 Cmo generar nmeros aleatorios en un sistema Solaris ..................................................... 527 Cmo crear manualmente asociaciones de seguridad IPsec ................................................ 528 Cmo verificar que los paquetes estn protegidos con IPsec ................................................ 533 Cmo configurar una funcin para la seguridad de la red .................................................... 534
17
Contenido
Cmo administrar servicios de IPsec e IKE ............................................................................ 536 Proteccin de una VPN con IPsec ................................................................................................... 538 Ejemplos de proteccin de una VPN con IPsec mediante el uso de tneles en modo tnel ............................................................................................................................................. 538 Proteccin de una VPN con IPsec (mapa de tareas) ...................................................................... 540 Descripcin de la topologa de red para la proteccin de una VPN por parte de las tareas de IPsec ............................................................................................................................................. 541 Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 ..................... 543 Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv6 ..................... 553 Cmo proteger una VPN con un tnel IPsec en modo transporte mediante IPv4 ............ 559 Cmo proteger una VPN con un tnel IPsec en modo transporte mediante IPv6 ............ 565 Cmo evitar la falsificacin de la IP ......................................................................................... 571
21
Arquitectura de seguridad IP (referencia) .................................................................................... 575 Utilidad de gestin de servicios de IPsec ......................................................................................... 575 Comando ipsecconf ........................................................................................................................ 576 Archivo ipsecinit.conf ................................................................................................................. 577 Archivo ipsecinit.conf de ejemplo ...................................................................................... 577 Consideraciones de seguridad para ipsecinit.conf e ipsecconf .................................... 578 Comando ipsecalgs ........................................................................................................................ 578 Base de datos de asociaciones de seguridad para IPsec ................................................................. 579 Utilidades para la generacin de claves en IPsec ............................................................................ 579 Consideraciones de seguridad para ipseckey ....................................................................... 580 Extensiones IPsec para otras utilidades .......................................................................................... 581 Comando ifconfig e IPsec ...................................................................................................... 581 Comando snoop e IPsec ............................................................................................................ 582
22
Intercambio de claves de Internet (descripcin general) ........................................................... 583 Novedades de IKE ............................................................................................................................. 583 Administracin de claves con IKE ................................................................................................... 584 Negociacin de claves IKE ................................................................................................................ 584 Terminologa de claves IKE ...................................................................................................... 584 Intercambio de IKE de fase 1 .................................................................................................... 585 Intercambio de IKE de fase 2 .................................................................................................... 586 Opciones de configuracin de IKE .................................................................................................. 586
18
Contenido
IKE con claves previamente compartidas ............................................................................... 586 IKE con certificados de claves pblicas ................................................................................... 587 IKE y aceleracin de hardware ......................................................................................................... 588 IKE y almacenamiento de hardware ............................................................................................... 588 Archivos y utilidades IKE ................................................................................................................. 588 Cambios de IKE en Solaris 10 .......................................................................................................... 590
23
Configuracin de IKE (tareas) ..........................................................................................................591 Configuracin de IKE (mapa de tareas) .......................................................................................... 591 Configuracin de IKE con claves previamente compartidas (mapa de tareas) .......................... 592 Configuracin de IKE con claves previamente compartidas ....................................................... 593 Cmo configurar IKE con claves previamente compartidas ................................................ 593 Cmo actualizar las claves IKE previamente compartidas ................................................... 596 Cmo ver las claves IKE previamente compartidas ............................................................... 597 Cmo agregar una clave IKE previamente compartida para una nueva entrada de directiva en ipsecinit.conf ................................................................................................................... 599 Verificacin de que las claves IKE previamente compartidas sean idnticas ..................... 602 Configuracin de IKE con certificados de clave pblica (mapa de tareas) ................................. 603 Configuracin de IKE con certificados de clave pblica ............................................................... 604 Cmo configurar IKE con certificados de clave pblica autofirmados ............................... 604 Cmo configurar IKE con certificados firmados por una autoridad de certificacin ....... 610 Cmo generar y almacenar certificados de clave pblica en el hardware ........................... 616 Cmo administrar una lista de revocacin de certificados ................................................... 620 Configuracin de IKE para sistemas porttiles (mapa de tareas) ................................................ 622 Configuracin de IKE para sistemas porttiles .............................................................................. 622 Cmo configurar IKE para sistemas remotos ......................................................................... 623 Configuracin de IKE para buscar el hardware conectado (mapa de tareas) ............................. 630 Configuracin de IKE para buscar el hardware conectado .......................................................... 630 Cmo configurar IKE para buscar la placa de Sun Crypto Accelerator 1000 ..................... 630 Cmo configurar IKE para buscar la placa de Sun Crypto Accelerator 4000 ..................... 631 Cambio de los parmetros de transmisin de IKE (mapa de tareas) ........................................... 633 Cambio de los parmetros de transmisin de IKE ........................................................................ 633 Cmo cambiar la duracin de la negociacin de claves IKE de fase 1 ................................. 634
19
Contenido
24
Intercambio de claves de Internet (referencia) ............................................................................ 637 Utilidad de gestin de servicios de IKE ........................................................................................... 637 Daemon IKE ...................................................................................................................................... 638 Archivo de directiva IKE .................................................................................................................. 638 Comando de administracin de IKE ............................................................................................... 639 Archivos de claves IKE previamente compartidas ........................................................................ 640 Comandos y bases de datos de claves pblicas IKE ....................................................................... 640 Comando ikecert tokens ...................................................................................................... 641 Comando ikecert certlocal ................................................................................................ 641 Comando ikecert certdb ...................................................................................................... 642 Comando ikecert certrldb .................................................................................................. 643 Directorio /etc/inet/ike/publickeys ............................................................................... 643 Directorio /etc/inet/secret/ike.privatekeys .............................................................. 643 Directorio /etc/inet/ike/crls ............................................................................................ 644
25
Filtro IP de Oracle Solaris (descripcin general) .......................................................................... 645 Novedades del filtro IP de Oracle Solaris ........................................................................................ 645 Enlaces de filtros de paquetes ................................................................................................... 645 Filtros de paquetes IPv6 para el filtro IP de Oracle Solaris .................................................... 646 Introduccin al filtro IP de Oracle Solaris ...................................................................................... 646 Fuentes de informacin para el filtro IP de cdigo abierto ................................................... 647 Procesamiento de paquetes del filtro IP de Oracle Solaris ............................................................ 647 Directrices para utilizar el filtro IP de OpenSolaris ....................................................................... 650 Uso de los archivos de configuracin del filtro IP de OpenSolaris .............................................. 650 Conjuntos de reglas del filtro IP de Oracle Solaris ......................................................................... 651 Uso de la funcin de filtros de paquetes del filtro IP de Oracle Solaris ................................ 651 Uso de la funcin NAT del filtro IP de Oracle Solaris ............................................................ 654 Uso de la funcin de agrupaciones de direcciones del filtro IP de Oracle Solaris .............. 655 Enlaces de filtros de paquetes ........................................................................................................... 657 El filtro IP de Oracle Solaris y el mdulo pfil STREAMS ........................................................... 657 IPv6 para filtro IP de Oracle Solaris ................................................................................................. 658 Pginas del comando man del filtro IP de Oracle Solaris .............................................................. 659
26
Filtro IP de Oracle Solaris (tareas) ................................................................................................... 661 Configuracin del filtro IP de Oracle Solaris .................................................................................. 661
Gua de administracin del sistema: servicios IP Septiembre de 2010
20
Contenido
Cmo activar el filtro IP de Oracle Solaris .............................................................................. 662 Cmo reactivar el filtro IP de Oracle Solaris ........................................................................... 663 Cmo activar los filtros en bucle .............................................................................................. 664 Desactivacin e inhabilitacin de filtro IP de Oracle Solaris ........................................................ 665 Cmo desactivar los filtros de paquetes .................................................................................. 666 Cmo desactivar NAT ............................................................................................................... 666 Cmo desactivar los filtros de paquetes .................................................................................. 667 Mdulo pfil ...................................................................................................................................... 667 Cmo activar el filtro IP de Oracle Solaris en versiones anteriores de Oracle Solaris 10 ... 668 Cmo activar una NIC para los filtros de paquetes ................................................................ 671 Cmo desactivar el filtro IP de Oracle Solaris en una NIC .................................................... 672 Cmo visualizar las estadsticas de pfil para el filtro IP de Oracle Solaris ......................... 674 Conjuntos de reglas del filtro IP de Oracle Solaris ......................................................................... 674 Administracin de conjuntos de reglas de filtros de paquetes para el filtro IP de Oracle Solaris .......................................................................................................................................... 676 Administracin de reglas NAT para el filtro IP de Oracle Solaris ........................................ 682 Administracin de agrupaciones de direcciones para el filtro IP de Oracle Solaris ........... 685 Cmo visualizar las estadsticas e informacin sobre el filtro IP de Oracle Solaris ................... 687 Cmo ver las tablas de estado para el filtro IP de Oracle Solaris ........................................... 687 Cmo ver las tablas de estado para el filtro IP de Oracle Solaris ........................................... 688 Cmo visualizar las estadsticas de NAT para el filtro IP de Oracle Solaris ......................... 689 Cmo visualizar las estadsticas de la agrupacin de direcciones para el filtro IP de Oracle Solaris .......................................................................................................................................... 689 Archivos de registro para el filtro IP de Oracle Solaris .................................................................. 690 Cmo configurar un archivo de registro para el filtro IP de Oracle Solaris ........................ 690 Cmo visualizar los archivos de registro del filtro IP de Oracle Solaris .............................. 691 Cmo vaciar el archivo de registro de paquetes ..................................................................... 693 Cmo guardar paquetes registrados en un archivo ............................................................... 693 Creacin y edicin de archivos de configuracin del filtro IP de Oracle Solaris ........................ 694 Cmo crear un archivo de configuracin para el filtro IP de Oracle Solaris ....................... 694 Ejemplos de archivos de configuracin del filtro IP de Oracle Solaris ................................. 696
21
Contenido
Parte V
IP mvil ................................................................................................................................................701
27
IP para mviles (Descripcin general) ........................................................................................... 703 Novedades de IP para mviles ......................................................................................................... 703 Introduccin a IP para mviles ........................................................................................................ 704 Entidades funcionales de IP para mviles ...................................................................................... 706 Funcionamiento de IP para mviles ................................................................................................ 706 Descubrimiento de agentes .............................................................................................................. 709 Anuncio de agente ..................................................................................................................... 709 Solciitud de agente ..................................................................................................................... 710 Direcciones de auxilio ....................................................................................................................... 710 IP para mviles con tnel inverso .................................................................................................... 711 Admisin limitada de direcciones privadas ............................................................................ 711 Registro de IP para mviles .............................................................................................................. 713 Identificador de acceso de red (NAI) ....................................................................................... 715 Autenticacin mediante mensaje de IP para mviles ............................................................ 715 Solicitud de registro del nodo mvil ........................................................................................ 715 Mensaje de respuesta de registro .............................................................................................. 716 Consideraciones del agente externo ........................................................................................ 716 Consideraciones del agente interno ......................................................................................... 716 Descubrimiento dinmico de agente interno ......................................................................... 717 Encaminamiento de datagramas entre nodos mviles ................................................................. 717 Mtodos de encapsulado ........................................................................................................... 717 Encaminamiento de datagramas de unidifusin ................................................................... 717 Datagramas de multidifusin ................................................................................................... 718 Encaminamiento de datagramas de multidifusin ................................................................ 718 Consideraciones de seguridad para IP para mviles ..................................................................... 719
28
Administracin de IP mvil (tareas) ............................................................................................... 721 Creacin del archivo de configuracin de IP mvil (mapa de tareas) ......................................... 721 Creacin del archivo de configuracin de IP mvil ...................................................................... 722 Cmo planificar para IP mvil ................................................................................................. 722 Creacin del archivo de configuracin de IP mvil ............................................................... 723 Cmo configurar la seccin General ....................................................................................... 724 Cmo configurar la seccin Advertisements ........................................................................ 724
Gua de administracin del sistema: servicios IP Septiembre de 2010
22
Contenido
Cmo configurar la seccin GlobalSecurityParameters ................................................... 724 Cmo configurar la seccin Pool ............................................................................................. 725 Cmo configurar la seccin SPI ............................................................................................... 725 Cmo configurar la seccin Address ....................................................................................... 725 Modificacin del archivo de configuracin de IP mvil (mapa de tareas) ................................. 726 Modificacin del archivo de configuracin de IP mvil ............................................................... 727 Cmo modificar la seccin General ........................................................................................ 727 Cmo modificar la seccin Advertisements ......................................................................... 728 Cmo modificar la seccin GlobalSecurityParameters .................................................... 729 Cmo modificar la seccin Pool .............................................................................................. 729 Cmo modificar la seccin SPI ................................................................................................ 730 Cmo modificar la seccin Address ........................................................................................ 730 Cmo agregar o eliminar parmetros del archivo de configuracin ................................... 731 Cmo mostrar los valores actuales de los parmetros del archivo de configuracin ......... 732 Presentacin del estado del agente de movilidad ........................................................................... 734 Cmo mostrar el estado del agente de movilidad .................................................................. 734 Presentacin de las rutas de movilidad de un agente externo ...................................................... 735 Cmo mostrar las rutas de movilidad de un agente externo ................................................. 735
29
Archivos y comandos de IP para mviles (referencia) ................................................................. 737 Descripcin general de la implementacin de IP para mviles en Solaris .................................. 737 Archivo de configuracin de IP para mviles ................................................................................ 738 Formato del archivo de configuracin .................................................................................... 739 Ejemplos de archivos de configuracin ................................................................................... 739 Secciones y etiquetas del archivo de configuracin ............................................................... 742 Configuracin del agente de movilidad IP ..................................................................................... 751 Estado de un agente de movilidad de IP para mviles .................................................................. 752 Informacin de estado de IP para mviles ..................................................................................... 752 Extensiones de netstat para IP para mviles ............................................................................... 753 Extensiones snoop de IP para mviles ............................................................................................ 753
23
Contenido
Parte VI
IPMP .....................................................................................................................................................755
30
Introduccin a IPMP (descripcin general) ................................................................................... 757 Por qu debe utilizar IPMP .............................................................................................................. 757 Componentes IPMP de Oracle Solaris .................................................................................... 758 Terminologa y conceptos de IPMP ........................................................................................ 759 Requisitos bsicos de IPMP .............................................................................................................. 761 Direcciones IPMP ............................................................................................................................. 762 Direcciones de datos .................................................................................................................. 762 Direcciones de prueba ............................................................................................................... 762 Cmo evitar que las aplicaciones utilicen direcciones de prueba ........................................ 764 Configuraciones de interfaces IPMP ............................................................................................... 764 Interfaces de reserva en un grupo IPMP ................................................................................. 765 Configuraciones comunes de interfaces IPMP ...................................................................... 765 Funciones de deteccin de fallos IPMP y recuperacin ................................................................ 766 Deteccin de fallos basada en vnculos .................................................................................... 766 Deteccin de fallos basada en sondeos .................................................................................... 767 Fallos de grupo ........................................................................................................................... 768 Deteccin de reparaciones de interfaces fsicas ...................................................................... 768 Qu ocurre durante la conmutacin por error de la interfaz ................................................ 769 IPMP y reconfiguracin dinmica .................................................................................................. 770 Conexin de NIC ....................................................................................................................... 771 Desconexin de NIC .................................................................................................................. 771 Reconexin de NIC .................................................................................................................... 772 NIC que no estaban presentes durante el inicio del sistema ................................................. 772
31
Administracin de IPMP (tareas) ....................................................................................................775 Configuracin de IPMP (mapas de tareas) ..................................................................................... 775 Configuracin y administracin de grupos IPMP (mapa de tareas) ................................... 775 Administracin de IPMP en interfaces que admiten reconfiguracin dinmica (mapa de tareas) .......................................................................................................................................... 776 Configuracin de grupos IPMP ....................................................................................................... 777 Planificacin de un grupo IPMP .............................................................................................. 777 Configuracin de grupos IPMP ............................................................................................... 779 Configuracin de grupos IPMP con una nica interfaz fsica .............................................. 787
Gua de administracin del sistema: servicios IP Septiembre de 2010
24
Contenido
Mantenimiento de grupos IPMP ..................................................................................................... 789 Cmo mostrar la pertenencia de una interfaz a un grupo IPMP ......................................... 789 Cmo agregar una interfaz a un grupo IPMP ......................................................................... 790 Cmo eliminar una interfaz de un grupo IPMP ..................................................................... 790 Cmo mover una interfaz de un grupo IPMP a otro grupo .................................................. 791 Sustitucin de una interfaz fsica fallida en sistemas que admiten reconfiguracin dinmica 792 Cmo eliminar una interfaz fsica que ha fallado (desconexin en DR) ............................. 792 Como sustituir una interfaz fsica que ha fallado (conexin en DR) ................................... 793 Recuperacin de una interfaz fsica que no estaba presente durante el inicio del sistema ........ 794 Cmo recuperar una interfaz fsica que no est presente al iniciar el sistema .................... 794 Modificacin de configuraciones IPMP ......................................................................................... 796 Cmo configurar el archivo /etc/default/mpathd ............................................................. 797
Parte VII
32
Introduccin a IPQoS (Descripcin general) ................................................................................. 801 Conceptos bsicos de IPQoS ............................................................................................................ 801 Qu son los servicios diferenciados? ...................................................................................... 801 Funciones de IPQoS ................................................................................................................... 802 Dnde obtener ms informacin sobre la teora y prctica de la calidad del serivicio ...... 802 Proporcionar calidad de servicio con IPQoS ................................................................................. 804 Utilizacin de acuerdos de nivel de servicio ........................................................................... 804 Garantizar la calidad de servicio para una organizacin especfica ..................................... 804 Introduccin a la directiva de calidad de servicio .................................................................. 804 Mejorar la eficacia de la red con IPQoS ........................................................................................... 805 Cmo afecta el ancho de banda al trfico de red .................................................................... 805 Utilizacin de clases de servicio para priorizar el trfico ....................................................... 806 Modelo de servicios diferenciados .................................................................................................. 807 Descripcin general del clasificador (ipgpc) ......................................................................... 807 Descripcin general de medidor (tokenmt y tswtclmt) ...................................................... 808 Descripcin general de marcadores (dscpmk y dlcosmk) ...................................................... 809 Descripcin general del control de flujo (flowacct) ............................................................. 809 Cmo fluye el trfico a travs de los mdulso IPQoS ............................................................ 810 Reenvo del trfico en una red con IPQoS ...................................................................................... 812 Punto de cdigo DS ................................................................................................................... 812
25
Contenido
33
Planificacin para una red con IPQoS (Tareas) ............................................................................. 817 Planificacin de configuracin IPQoS general (Mapa de tareas) ................................................ 817 Planificacin de la distribucin de la red Diffserv ......................................................................... 818 Estrategias de hardware para la red Diffserv ........................................................................... 818 Distribuciones de red IPQoS .................................................................................................... 819 Planificacin de la directiva de calidad de servicio ........................................................................ 821 Ayudas para planificar la directiva QoS ................................................................................... 821 Planificacin de la directiva QoS (Mapa de tareas) ................................................................ 822 Cmo preparar una red para IPQoS ........................................................................................ 823 Cmo definir las clases de la directiva QoS ............................................................................. 824 Definir filtros .............................................................................................................................. 826 Cmo definir filtros en la directiva QoS .................................................................................. 827 Cmo planificar el control de flujo .......................................................................................... 828 Cmo planificar el comportamiento de reenvo .................................................................... 830 Cmo planificar la recopilacin de datos de flujo .................................................................. 833 Introduccin al ejemplo de configuracin IPQoS ......................................................................... 834 Distribucin IPQoS ................................................................................................................... 834
34
Creacin del archivo de configuracin IPQoS (Tareas) ................................................................ 837 Definicin de una directiva QoS en el archivo de configuracin IPQoS (Mapa de tarea) ........ 837 Herramientas para crear una directiva QoS ................................................................................... 839 Archivo de configuracin IPQoS bsico ................................................................................. 839 Crear archivos de configuracin IPQoS para servidores web ...................................................... 840 Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico .................... 842 Cmo definir filtros en el archivo de configuracin IPQoS .................................................. 844 Cmo definir el reenvo de trfico en el archivo de configuracin IPQoS .......................... 846 Cmo activar el control para una clase en el archivo de configuracin IPQoS .................. 849 Cmo crear un archivo de configuracin IPQoS para un servidor web "Best-Effort" ....... 850 Crear un archivo de configuracin IPQoS para un servidor de aplicaciones ............................. 853 Cmo definir el archivo de configuracin IPQoS para un servidor de aplicaciones ......... 855 Cmo configurar el reenvo para el trfico de aplicaciones en el archivo de configuracin IPQoS .......................................................................................................................................... 857 Cmo configurar el control de flujo en el archivo de configuracin IPQoS ....................... 859
Gua de administracin del sistema: servicios IP Septiembre de 2010
26
Contenido
Suministro de servicios diferenciados en un enrutador ............................................................... 862 Cmo configurar un enrutador en una red con IPQoS ......................................................... 863
35
Inicio y mantenimiento de IPQoS (Tareas) .................................................................................... 865 Administracin IPQoS (Mapa de tareas) ....................................................................................... 865 Aplicacin de una configuracin IPQoS ......................................................................................... 866 Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS ............................ 866 Cmo garantizar que la configuracin IPQoS se aplica cada vez que se reinicia ............... 867 Activacin del registro syslog para mensajes IPQoS ................................................................... 867 Cmo activar el registro de mensajes IPQoS durante el inicio ............................................. 868 Resolucin de problemas con mensajes de error IPQoS .............................................................. 869
36
Uso de control de flujo y recopilacin de estadsticas (Tareas) ..................................................873 Establecimiento del control de flujo (Mapa de tareas) .................................................................. 873 Registro de informacin sobre flujos de trfico ............................................................................. 874 Cmo crear un archivo para datos de control de flujo ........................................................... 874 Recopilacin de estadsticas ............................................................................................................. 876
37
IPQoS detallado (Referencia) ..........................................................................................................879 Arquitectura IPQoS y el modelo Diffserv ....................................................................................... 879 Mdulo Classifier ....................................................................................................................... 879 Mdulo Meter ............................................................................................................................. 882 Mdulo marcador ...................................................................................................................... 884 Mdulo flowacct ...................................................................................................................... 889 Archivo de configuracin IPQoS ..................................................................................................... 892 Instruccin action .................................................................................................................... 893 Definiciones de mdulo ............................................................................................................ 894 Clusula class ........................................................................................................................... 894 Clusula filter ......................................................................................................................... 895 Clusula params ......................................................................................................................... 895 Herramienta de configuracin ipqosconf ..................................................................................... 895
27
Contenido
28
Prefacio
System Administration Guide, IP Services forma parte de un conjunto de nueve volmenes que tratan de manera exhaustiva la administracin de sistemas Oracle Solaris. Este manual da por supuesto que ya se ha instalado Oracle Solaris 10. La red debe estar configurada o preparada para poder integrar cualquier software de red que se necesite. Oracle Solaris 10 es parte de la familia de productos Oracle Solaris, que incluye tambin Java Desktop System. Oracle Solaris es compatible con el sistema operativo AT&T's System V, versin 4.
Nota Esta versin de Oracle Solaris es compatible con sistemas que utilizan arquitecturas de procesador SPARC y x86. Los sistemas compatibles aparecen en Solaris OS: Hardware Compatibility Lists (Http://www.sun.com/bigadmin/hcl). Este documento indica las diferencias de implementacin entre los tipos de plataforma.
"x86" hace referencia a la familia ms grande de productos de 64 y 32 bits compatibles con x86. "x64" hace referencia especficamente a CPU de 64 bits compatibles con x86. x86 de 32 bits destaca informacin especfica de 32 bits acerca de sistemas basados en x86.
Para conocer cules son los sistemas admitidos, consulte las Listas de compatibilidad del sistema operativo Solaris.
29
Prefacio
System Administration Guide: Basic Administration System Administration Guide: Advanced Administration
Grupos y cuentas de usuario, asistencia para clientes y servidores, cierre e inicio de un sistema y administracin de servicios Terminales y mdems, recursos del sistema (cuotas de disco, cuentas y archivos crontab), procesos del sistema y resolucin de problemas de software de Oracle Solaris Soportes extrables, discos y dispositivos, sistemas de archivos y copia de seguridad y restauracin de datos Administracin de redes TCP/IP, administracin de direcciones IPv4 e IPv6, DHCP, IPsec, IKE, filtro IP de Oracle Solaris, IP para mviles, multirruta IP de Solaris (IPMP) e IPQoS Servicios de directorios y nombres DNS, NIS y LDAP, incluida la transicin de NIS a LDAP y de NIS+ a LDAP Servicios de directorios y nombres NIS+ Servidores de cach Web, servicios relacionados con el tiempo, sistemas de archivos de red (NFS y Autofs), correo, SLP y PPP Tareas y temas de impresin, uso de servicios, herramientas, protocolos y tecnologas para configurar y administrar las impresoras y los servicios de impresin Auditora, administracin de dispositivos, seguridad de archivos, BART, servicios Kerberos, PAM, estructura criptogrfica de Solaris, privilegios, RBAC, SASL y Solaris Secure Shell Tareas y proyectos de temas de administracin de recursos, contabilidad extendida, controles de recursos, planificacin por reparto equitativo (FSS), control de memoria fsica utilizando el daemon de limitacin de recursos (rcapd) y agrupaciones de recursos; virtualizacin con la tecnologa de particin de software Zonas de Solaris y zonas con la marca lx Creacin y administracin de sistemas de archivos y agrupaciones de almacenamiento ZFS, instantneas, clones, copias de seguridad, uso de listas de control de acceso (ACL) para proteger archivos ZFS, uso de Solaris ZFS en un sistema Solaris con zonas instaladas, volmenes emulados y resolucin de problemas y recuperacin de datos
System Administration Guide: Devices and File Systems Gua de administracin del sistema: servicios IP
System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) System Administration Guide: Naming and Directory Services (NIS+) System Administration Guide: Network Services System Administration Guide: Printing
Gua de administracin de sistemas: administracin de recursos y contenedores de Oracle Solaris y zonas de Oracle Solaris
30
Prefacio
Ttulo de manual
Temas
Oracle Solaris Trusted Extensions Administrators Procedures Oracle Solaris Trusted Extensions Configuration Guide
Administracin de sistemas especfica de un sistema Oracle Solaris Trusted Extensions A partir de la versin Solaris 10 5/08, se explica la forma de planificar, habilitar y configurar inicialmente la funcin Oracle Solaris Trusted Extensions
Manuales relacionados
En el presente manual se hace referencia a las siguientes obras.
Stevens, W. Richard. TCP/IP Illustrated, Volume 1, The Protocols. Addison Wesley, 1994. Hunt Craig.TCP/IP Network Administration, 3rd Edition. O'Reilly, 2002. Perkins, Charles E. Mobile IP Design Principles and Practices . Massachusetts, 1998, Addison-Wesley Publishing Company. Solomon, James D. Mobile IP: The Internet Unplugged. New Jersey, 1998, Prentice-Hall, Inc. Ferguson, Paul y Geoff Huston. Quality of Service. John Wiley & Sons, Inc., 1998. Kilkki, Kalevi. Differentiated Services for the Internet. Macmillan Technical Publishing, 1999.
El filtro IP de Oracle Solaris se deriva de software de filtro IP de cdigo abierto. Para consultar los trminos de la licencia y declaraciones de copyright de filtro IP, la ruta predeterminada es /usr/lib/ipf/IPFILTER.LICENCE. Si se ha instalado Oracle Solaris en una ubicacin que no sea la predeterminada, modifique la ruta para acceder al archivo en la ubicacin correcta.
31
Prefacio
Documentacin (http://docs.sun.com) Asistencia (http://www.oracle.com/us/support/systems/index.html) Formacin (http://education.oracle.com). Haga clic en el vnculo de Sun de la barra de navegacin izquierda.
Conozca los problemas tcnicos y sus soluciones en los foros de debate (http://forums.oracle.com). Obtenga manuales prcticos detallados con Oracle By Example (http://www.oracle.com/ technology/obe/start/index.html). Descargue cdigo de muestra (http://www.oracle.com/technology/sample_code/ index.html).
Convenciones tipogrficas
La siguiente tabla describe las convenciones tipogrficas utilizadas en este manual.
TABLA P1
Convenciones tipogrficas
Significado Ejemplo
Tipos de letra
AaBbCc123
Los nombres de los comandos, los archivos, los directorios y los resultados que el equipo muestra en pantalla.
Edite el archivo .login. Utilice el comando ls -a para mostrar todos los archivos. nombre_sistema% tiene correo.
AaBbCc123
Lo que se escribe, en contraposicin con la salida nombre_sistema% su del equipo en pantalla Contrasea: Marcador de posicin: sustituir por un valor o nombre real El comando necesario para eliminar un archivo es rm nombrearchivo .
aabbcc123
32
Prefacio
TABLA P1
Convenciones tipogrficas
Significado
(Continuacin)
Ejemplo
Tipos de letra
AaBbCc123
Consulte el captulo 6 de la Gua del usuario. Una copia en cach es aquella que se almacena localmente. No guarde el archivo. Nota: algunos elementos destacados aparecen en negrita en lnea.
Indicadores de shell
Indicador
Shell Bash, shell Korn y shell Bourne Shell Bash, shell Korn y shell Bourne para superusuario Shell C Shell C para superusuario
$ #
nombre_sistema% nombre_sistema#
33
34
P A R T E
35
36
C A P T U L O
Este captulo introduce la implementacin en Oracle Solaris del conjunto de protocolos de red TCP/IP. Esta informacin se dirige a los administradores de sistemas y redes que no estn familiarizados con los conceptos bsicos de TCP/IP. En las dems secciones de esta gua se presupone que el usuario est familiarizado con estos conceptos. Este captulo contiene la informacin siguiente:
Introduccin al conjunto de protocolos TCP/IP en la pgina 37 Cmo manejan las comunicaciones de datos los protocolos TCP/IP en la pgina 45 Informacin adicional sobre TCP/IP e Internet en la pgina 49
Si los hosts de la red tienen que participar en el sistema de nombre de dominio (DNS), debe obtener y registrar un nombre de dominio nico. InterNIC coordina el registro de nombres de dominio a travs de un grupo de registros mundiales. Para obtener ms informacin acerca de DNS, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .
7 6 5 4 3
Se compone de los servicios y aplicaciones de comunicacin estndar que puede utilizar todo el mundo. Se asegura de que la informacin se transfiera al sistema receptor de un modo comprensible para el sistema. Administra las conexiones y terminaciones entre los sistemas que cooperan. Administra la transferencia de datos. Asimismo, garantiza que los datos recibidos sean idnticos a los transmitidos. Administra las direcciones de datos y la transferencia entre redes.
38
TABLA 11 N de capa
(Continuacin)
2 1
Administra la transferencia de datos en el medio de red. Define las caractersticas del hardware de red.
El modelo de referencia OSI define las operaciones conceptuales que no son exclusivas de un conjunto de protocolos de red particular. Por ejemplo, el conjunto de protocolos de red OSI implementa las siete capas del modelo OSI. TCP/IP utiliza algunas de las capas del modelo OSI. TCP/IP tambin combina otras capas. Otros protocolos de red, como SNA, agregan una octava capa.
5,6,7
Aplicacin
NFS, NIS, DNS, LDAP, telnet, ftp, rlogin, rsh, rcp, RIP, RDISC, SNMP y otros. TCP, UDP, SCTP IPv4, IPv6, ARP, ICMP PPP, IEEE 802.2 Ethernet (IEEE 802.3), Token Ring, RS-232, FDDI y otros.
4 3 2 1
La tabla muestra las capas de protocolo TCP/IP y los equivalentes del modelo OSI. Tambin se muestran ejemplos de los protocolos disponibles en cada nivel de la pila del protocolo TCP/IP. Cada sistema que participa en una transaccin de comunicacin ejecuta una nica implementacin de la pila del protocolo.
39
Capa de Internet
La capa de Internet, tambin conocida como capa de red o capa IP, acepta y transfiere paquetes para la red. Esta capa incluye el potente Protocolo de Internet (IP), el protocolo de resolucin de direcciones (ARP) y el protocolo de mensajes de control de Internet (ICMP).
Protocolo IP
El protocolo IP y sus protocolos de enrutamiento asociados son posiblemente la parte ms significativa del conjunto TCP/IP. El protocolo IP se encarga de:
Direcciones IP: Las convenciones de direcciones IP forman parte del protocolo IP. Cmo disear un esquema de direcciones IPv4 en la pgina 58 introduce las direcciones IPv4 y Descripcin general de las direcciones IPv6 en la pgina 76 las direcciones IPv6. Comunicaciones de host a host: El protocolo IP determina la ruta que debe utilizar un paquete, basndose en la direccin IP del sistema receptor. Formato de paquetes: el protocolo IP agrupa paquetes en unidades conocidas como datagramas. Puede ver una descripcin completa de los datagramas en Capa de Internet: preparacin de los paquetes para la entrega en la pgina 47. Fragmentacin: Si un paquete es demasiado grande para su transmisin a travs del medio de red, el protocolo IP del sistema de envo divide el paquete en fragmentos de menor tamao. A continuacin, el protocolo IP del sistema receptor reconstruye los fragmentos y crea el paquete original.
Oracle Solaris admite los formatos de direcciones IPv4 e IPv6, que se describen en este manual. Para evitar confusiones con el uso del Protocolo de Internet, se utiliza una de las convenciones siguientes:
Cuando se utiliza el trmino "IP" en una descripcin, sta se aplica tanto a IPv4 como a IPv6. Cuando se utiliza el trmino "IPv4" en una descripcin, sta slo se aplica a IPv4. Cuando se utiliza el trmino "IPv6" en una descripcin, sta slo se aplica a IPv6.
40
Protocolo ARP
El protocolo de resolucin de direcciones (ARP) se encuentra conceptualmente entre el vnculo de datos y las capas de Internet. ARP ayuda al protocolo IP a dirigir los datagramas al sistema receptor adecuado asignando direcciones Ethernet (de 48 bits de longitud) a direcciones IP conocidas (de 32 bits de longitud).
Protocolo ICMP
El protocolo de mensajes de control de Internet (ICMP) detecta y registra las condiciones de error de la red. ICMP registra:
Paquetes soltados: Paquetes que llegan demasiado rpido para poder procesarse. Fallo de conectividad: No se puede alcanzar un sistema de destino. Redireccin: Redirige un sistema de envo para utilizar otro enrutador.
El Captulo 8, Administracin de redes TCP/IP (tareas) contiene ms informacin sobre los comandos de Oracle Solaris que utilizan ICMP para la deteccin de errores.
Capa de transporte
La capa de transporte TCP/IP garantiza que los paquetes lleguen en secuencia y sin errores, al intercambiar la confirmacin de la recepcin de los datos y retransmitir los paquetes perdidos. Este tipo de comunicacin se conoce como transmisin de punto a punto. Los protocolos de capa de transporte de este nivel son el Protocolo de control de transmisin (TCP), el Protocolo de datagramas de usuario (UDP) y el Protocolo de transmisin para el control de flujo (SCTP). Los protocolos TCP y SCTP proporcionan un servicio completo y fiable. UDP proporciona un servicio de datagrama poco fiable.
Protocolo TCP
TCP permite a las aplicaciones comunicarse entre s como si estuvieran conectadas fsicamente. TCP enva los datos en un formato que se transmite carcter por carcter, en lugar de transmitirse por paquetes discretos. Esta transmisin consiste en lo siguiente:
Punto de partida, que abre la conexin. Transmisin completa en orden de bytes. Punto de fin, que cierra la conexin.
TCP conecta un encabezado a los datos transmitidos. Este encabezado contiene mltiples parmetros que ayudan a los procesos del sistema transmisor a conectarse a sus procesos correspondientes en el sistema receptor. TCP confirma que un paquete ha alcanzado su destino estableciendo una conexin de punto a punto entre los hosts de envo y recepcin. Por tanto, el protocolo TCP se considera un protocolo fiable orientado a la conexin.
Captulo 1 Conjunto de protocolos TCP/IP de Oracle Solaris (descripcin general) 41
Protocolo SCTP
SCTP es un protocolo de capa de transporte fiable orientado a la conexin que ofrece los mismos servicios a las aplicaciones que TCP. Adems, SCTP admite conexiones entre sistema que tienen ms de una direccin, o de host mltiple. La conexin SCTP entre el sistema transmisor y receptor se denomina asociacin. Los datos de la asociacin se organizan en bloques. Dado que el protocolo SCTP admite varios hosts, determinadas aplicaciones, en especial las que se utilizan en el sector de las telecomunicaciones, necesitan ejecutar SCTP en lugar de TCP.
Protocolo UDP
UDP proporciona un servicio de entrega de datagramas. UDP no verifica las conexiones entre los hosts transmisores y receptores. Dado que el protocolo UDP elimina los procesos de establecimiento y verificacin de las conexiones, resulta ideal para las aplicaciones que envan pequeas cantidades de datos.
Capa de aplicacin
La capa de aplicacin define las aplicaciones de red y los servicios de Internet estndar que puede utilizar un usuario. Estos servicios utilizan la capa de transporte para enviar y recibir datos. Existen varios protocolos de capa de aplicacin. En la lista siguiente se incluyen ejemplos de protocolos de capa de aplicacin:
Servicios TCP/IP estndar como los comandos ftp, tftp y telnet. Comandos UNIX "r", como rlogin o rsh. Servicios de nombres, como NIS o el sistema de nombre de dominio (DNS). Servicios de directorio (LDAP). Servicios de archivos, como el servicio NFS. Protocolo simple de administracin de red (SNMP), que permite administrar la red. Protocolo RDISC (Router Discovery Server) y protocolos RIP (Routing Information Protocol).
FTP y FTP annimo: El Protocolo de transferencia de archivos (FTP) transfiere archivos a una red remota y desde ella. El protocolo incluye el comando ftp y el daemon in.ftpd. FTP permite a un usuario especificar el nombre del host remoto y las opciones de comandos de transferencia de archivos en la lnea de comandos del host local. El daemon in.ftpd del host remoto administra las solicitudes del host local. A diferencia de rcp, ftp funciona aunque el equipo remoto no ejecute un sistema operativo basado en UNIX. Para realizar una conexin ftp, el usuario debe iniciar sesin en un sistema remoto, aunque ste se haya configurado para permitir FTP annimo.
42
Puede obtener una gran cantidad de material de servidores FTP annimos conectados a Internet. Las universidades y otras instituciones configuran estos servidores para ofrecer software, trabajos de investigacin y otra informacin al dominio pblico. Al iniciar sesin en este tipo de servidor, se utiliza el nombre de inicio de sesin anonymous, que da nombre al "servidor FTP annimo" Este manual no describe el uso del FTP annimo ni la configuracin de servidores FTP annimos. Existen mltiples libros, como Conctate al mundo de Internet. Gua y catlogo, que describen el protocolo FTP annimo de manera pormenorizada. Encontrar informacin sobre el uso de FTP en la System Administration Guide: Network Services. La pgina del comando man ftp(1) describe todas las opciones del comando ftp que se invocan mediante el intrprete de comandos. La pgina del comando man ftpd(1M) describe los servicios que proporciona el daemon in.ftpd.
Telnet: El protocolo Telnet permite la comunicacin entre los terminales y los procesos orientados a los terminales de una red que ejecuta TCP/IP. Este protocolo se implementa como programa telnet en los sistemas locales y como daemon in.telnetd en los equipos remotos. Telnet proporciona una interfaz de usuario a travs de la cual se pueden comunicar dos hosts carcter por carcter o lnea por lnea. Telnet incluye un conjunto de comandos que se documentan de forma detallada en la pgina del comando man telnet(1). TFTP: el protocolo de transferencia de archivos trivial (tftp) ofrece funciones similares a ftp, pero no establece la conexin interactiva de ftp. Como consecuencia, los usuarios no pueden ver el contenido de un directorio ni cambiar directorios. Los usuarios deben conocer el nombre completo del archivo que se va a copiar. La pgina del comando man tftp(1) describe el conjunto de comandos tftp.
Encontrar instrucciones sobre estos comandos en las pginas del comando man rcp(1), rlogin(1) y rsh(1).
Servicios de nombres
Oracle Solaris proporciona los siguientes servicios de nombres:
DNS: El sistema de nombre de dominio (DNS) es el servicio de nombres que proporciona Internet para las redes TCP/IP. DNS proporciona nombres de host al servicio de direcciones IP. Tambin acta como base de datos para la administracin del correo. Para ver una
43
descripcin completa de este servicio, consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP). Consulte tambin la pgina del comando man resolver(3RESOLV).
Archivos /etc : El sistema de nombres UNIX basado en host se desarroll para equipos UNIX autnomos y posteriormente se adapt para el uso en red. Muchos de los antiguos sistemas operativos y equipos UNIX siguen utilizando este sistema, pero no resulta adecuado para redes complejas de gran tamao. NIS: El Servicio de informacin de la red (NIS) se desarroll independientemente de DNS y tiene un enfoque ligeramente distinto. Mientras que DNS trata de facilitar la comunicacin con el uso de nombres de equipos en lugar de direcciones IP numricas, NIS se centra en facilitar la administracin de la red al proporcionar control centralizado sobre distintos tipos de informacin de red. NIS almacena informacin sobre los nombres de equipo y las direcciones, los usuarios, la red y los servicios de red. La informacin de espacio de nombres NIS se almacena en asignaciones NIS. Para obtener ms informacin sobre la arquitectura y administracin de NIS, consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Servicio de directorios
Oracle Solaris admite LDAP (Protocolo ligero de acceso a directorios) junto con el servidor de directorios Sun ONE (Sun Open Net Environment), as como otros servidores de directorios LDAP. La diferencia entre un servicio de nombres y un servicio de directorios radica en la extensin de las funciones. Un servicio de directorios proporciona las mismas funciones que un servicio de nombres, pero adems cuenta con funciones adicionales. Consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Servicios de archivos
El protocolo de capa de aplicacin NFS proporciona servicios de archivos para Oracle Solaris. Encontrar informacin completa sobre el servicio NFS en la System Administration Guide: Network Services.
Administracin de la red
El Protocolo simple de administracin de red (SNMP) permite ver la distribucin de la red y el estado de los equipos clave. SNMP tambin permite obtener estadsticas de red complejas del software basado en una interfaz grfica de usuario (GUI). Muchas compaas ofrecen paquetes de administracin de red que implementan SNMP.
Protocolos de enrutamiento
Los protocolos RIP y RDISC son dos protocolos de enrutamiento disponibles para las redes TCP/IP. Para ver una lista completa de los protocolos de enrutamiento disponibles para Oracle Solaris 10, consulte la Tabla 51 y la Tabla 52.
44 Gua de administracin del sistema: servicios IP Septiembre de 2010
45
FIGURA 11
Medio de red
Esta seccin resume el ciclo de vida de un paquete. El ciclo de vida empieza cuando se ejecuta un comando o se enva un mensaje, y finaliza cuando la aplicacin adecuada del sistema receptor recibe el paquete.
El protocolo de capa de transporte crea un flujo virtual de datos entre la aplicacin de envo y la de recepcin, que se identifica con un nmero de puerto de transporte. El nmero de puerto identifica un puerto, una ubicacin dedicada de la memoria par recibir o enviar datos. Adems, la capa de protocolo de transporte puede proporcionar otros servicios, como la entrega de datos ordenada y fiable. El resultado final depende de si la informacin se maneja con los protocolos TCP, SCTP o UDP.
Segmentacin TCP
TCP se denomina a menudo protocolo "orientado a la conexin" porque TCP garantiza la entrega correcta de los datos al host de recepcin. La Figura 11 muestra cmo el protocolo TCP recibe el flujo del comando rlogin. A continuacin, TCP divide los datos que se reciben de la capa de aplicacin en segmentos y adjunta un encabezado a cada segmento. Los encabezados de segmento contienen puertos de envo y recepcin, informacin de orden de los segmentos y un campo de datos conocido como suma de comprobacin. Los protocolos TCP de ambos hosts utilizan los datos de suma de comprobacin para determinar si los datos se transfieren sin errores.
Paquetes UDP
UDP es un protocolo "sin conexiones". A diferencia de TCP, UDP no comprueba los datos que llegan al host de recepcin. En lugar de ello, UDP da formato al mensaje que se recibe desde la capa de la aplicacin en los paquetes UDP. UDP adjunta un encabezado a cada paquete. El encabezado contiene los puertos de envo y recepcin, un campo con la longitud del paquete y una suma de comprobacin. El proceso UDP de envo intenta enviar el paquete a su proceso UDP equivalente en el host de recepcin. La capa de aplicacin determina si el proceso UDP de recepcin confirma la recepcin del paquete. UDP no requiere ninguna notificacin de la recepcin. UDP no utiliza el protocolo de tres vas.
asignndolos a unidades denominadas datagramas IP. A continuacin, el protocolo IP determina las direcciones IP para los datagramas, para que se puedan enviar de forma efectiva al host de recepcin.
Datagramas IP
IP adjunta un encabezado IP al segmento o el encabezado del paquete, adems de la informacin que agregan los protocolos TCP o UDP. La informacin del encabezado IP incluye las direcciones IP de los hosts de envo y recepcin, la longitud del datagrama y el orden de secuencia del datagrama. Esta informacin se facilita si el datagrama supera el tamao de bytes permitido para los paquetes de red y debe fragmentarse.
4. La capa de transporte (TCP, SCTP y UDP) lee el encabezado para determinar qu protocolo de capa de aplicacin debe recibir los datos. A continuacin, TCP, SCTP o UDP filtra el encabezado relacionado. TCP, SCTP o UDP enva el mensaje o el flujo a la aplicacin de recepcin. 5. La capa de aplicacin recibe el mensaje. A continuacin, la capa de aplicacin lleva a cabo la operacin que solicita el host de envo.
Craig Hunt. TCP/IP Network Administration: Este manual contiene algo de teora y mucha informacin prctica para la administracin de una red TCP/IP heterognea. W. Richard Stevens. TCP/IP Illustrated, Volume I: Este manual profundiza en los protocolos TCP/IP. Resulta ideal para los administradores de redes que requieren conocimientos tcnicos sobre TCP/IP y para los programadores de redes.
Sitio web
Descripcin
The Internet Engineering Task Force (IETF) web site (http://www.ietf.org/ home.html)
IETF es el organismo responsable de la arquitectura y el gobierno de Internet. La pgina web de IETF contiene informacin sobre las distintas actividades que lleva a cabo este organismo. Asimismo, incluye vnculos a las principales publicaciones del IETF. BigAdmin ofrece informacin sobre la administracin de equipos Sun. En esta pgina, encontrar preguntas frecuentes, recursos, foros, vnculos a documentacin y otros materiales relativos a la administracin de Oracle Solaris 10, incluidas las redes.
50
P A R T E
I I
Administracin de TCP/IP
Esta parte contiene tareas e informacin conceptual para poder configurar, administrar y resolver problemas de redes TCP/IP.
51
52
C A P T U L O
En este captulo se describen las cuestiones que debe resolver para poder crear una red de un modo organizado y rentable. Una vez resueltas estas cuestiones, puede establecer una planificacin de la red en la que se contemple la configuracin y administracin de la red en el futuro. Este captulo contiene la informacin siguiente:
Determinacin del hardware de red en la pgina 55 Cmo obtener el nmero de IP de la red en la pgina 58 Cmo decidir el formato de las direcciones IP para la red en la pgina 55 Entidades de denominacin en la red en la pgina 63 Planificacin de enrutadores en la red en la pgina 66
Para conocer las tareas necesarias para configurar una red, consulte el Captulo 5, Configuracin de servicios de red TCP/IP y direcciones IPv4 (tareas).
53
Tarea
Descripcin
Determina los tipos de equipo que se necesitan y la distribucin de los equipos en el sitio.
Para ver cuestiones generales sobre la topologa de red, consulte Determinacin del hardware de red en la pgina 55. Para conocer la planificacin de la topologa de IPv6, consulte Preparacin de la topologa red para admitir IPv6 en la pgina 90. Para obtener informacin sobre un tipo de equipo especfico, consulte la documentacin del fabricante del equipo.
La red debe tener una direccin IP Consulte Cmo obtener el nica si tiene previsto comunicarse nmero de IP de la red fuera de su red local, por ejemplo, a en la pgina 58. travs de Internet. Consulte Cmo disear un esquema de direcciones IPv4 en la pgina 58 o Preparacin de un plan de direcciones IPv6 en la pgina 94. Consulte Bases de datos de red en la pgina 64. Consulte Seleccin de un servicio de nombres y de directorios en la pgina 64. Consulte Subdivisiones administrativas en la pgina 66. Consulte Planificacin de enrutadores en la red en la pgina 66.
3. Crear una planificacin de las Determine cuntas direcciones se direcciones IP para los sistemas, deben instalar en el sitio. basndose en su prefijo de red IPv4 o el prefijo de sitio IPv6. 4. Crear una lista que contenga las direcciones IP y los nombres de host de todos los equipos de la red. 5. Determinar qu servicio de nombres utilizar en la red. 6. Establecer subdivisiones administrativas, si la red lo requiere. 7. Determinar dnde colocar los enrutadores en el diseo de la red. Utilice la lista para crear bases de datos de red. Permite decidir si utilizar NIS, LDAP, DNS o las bases de datos de red en el directorio /etc local. Decida si el sitio precisa la divisin de la red en subdivisiones administrativas. Si la red es lo suficientemente grande como para requerir el uso de enrutadores, cree una topologa de red que los admita.
54
Tarea
Descripcin
Es posible que deba crear subredes para la administracin del espacio de direcciones IP o para que haya ms direcciones IP disponibles para los usuarios.
Para la planificacin de subredes IPv4, consulte Qu son las subredes? en la pgina 248. Para la planificacin de subredes IPv6, consulte Creacin de un esquema de numeracin para subredes en la pgina 95.
La topologa de red, el diseo y las conexiones del hardware de red El nmero de sistemas host que admite la red Los tipos de host que admite la red Los tipos de servidores que puede necesitar El tipo de medio de red que utilizar: Ethernet, Token Ring, FDDI, etc. Si necesita puentes o enrutadores que extiendan este medio o conecten la red local a redes externas Si algunos sistemas requieren interfaces adquiridas por separado adems de sus interfaces integradas
Teniendo en cuenta estos factores, puede determinar el tamao de la red de rea local.
Nota En este manual no se aborda el tema de la planificacin del hardware de red. Para obtener
El tipo de direccin IP que desea utilizar: IPv4 o IPv6 El nmero de sistemas potenciales de la red El nmero de sistemas que son enrutadores o sistemas de host mltiple, que requieren una direccin IP para cada interfaz Si se utilizarn direcciones privadas en la red Si habr un servidor DHCP que administre las agrupaciones de direcciones IPv4
El crecimiento mundial de Internet desde 1990 ha derivado en la escasez de direcciones IP disponibles. Para solucionar esta situacin, Internet Engineering Task Force (IETF) ha desarrollado una serie de alternativas a las direcciones IP. Los tipos de direcciones IP que se utilizan actualmente son: Si se ha asignado a su organizacin ms de una direccin IP para la red o si utiliza subredes, designe una autoridad centralizada en su organizacin para asignar las direcciones IP. Dicha autoridad debe controlar una agrupacin de direcciones IP de red asignadas, y asignar las direcciones de red, subred y host segn sea necesario. Para evitar problemas, asegrese de que no haya nmeros de red duplicados ni aleatorios en su organizacin.
Direcciones IPv4
Estas direcciones de 32 bits son el formato original de direcciones IP diseado para TCP/IP. Originalmente, existen tres clases de direcciones IP: A, B y C. El nmero de red que se asigna a una red refleja esta designacin de clase ms 8 o ms bits para representar un host. Las direcciones IPv4 basadas en clases requieren la configuracin de una mscara de red para el nmero de red. Asimismo, para que hayan ms direcciones disponibles para los sistemas de la red local, estas direcciones a menudo se dividen en subredes. Actualmente, se hace referencia a las direcciones IP como direcciones IPv4. Aunque los ISP ya no proporcionan nmeros de red IPv4 basados en clases, muchas redes existentes siguen tenindolos. Si desea ms informacin sobre la administracin de direcciones IPv4, consulte Cmo disear un esquema de direcciones IPv4 en la pgina 60.
Direcciones DHCP
El protocolo DHCP (Dynamic Host Configuration Protocol o protocolo dinmico de configuracin de host) permite a un sistema recibir informacin de configuracin de un servidor DHCP, incluida una direccin IP, como parte del proceso de inicio. Los servidores DHCP cuentan con agrupaciones de direcciones IP desde las que se asignan direcciones a los clientes DHCP. Un sitio que utilice DHCP puede utilizar una agrupacin de direcciones IP menor que la que se necesitara si todos los clientes tuvieran asignada una direccin IP permanente. Puede configurar el servicio DHCP de Oracle Solaris para administrar las direcciones IP del sitio, o parte de ellas. Para ms informacin, consulte el Captulo 12, Acerca de DHCP de Oracle Solaris (informacin general).
Direcciones IPv6
IETF ha creado las direcciones IPv6 de 128 bits como solucin a largo plazo para la escasez de direcciones IPv4 disponibles. Las direcciones IPv6 proporcionan un espacio de direcciones mayor que el que hay disponible con las direcciones IPv4. Oracle Solaris admite direcciones IPv4 e IPv6 en el mismo host, gracias al uso de la pila doble de TCP/IP. Al igual que las direcciones IPv4 en formato CIDR, las direcciones IPv6 no tienen nociones de clases o mscaras de red. Al igual que en el formato CIDR, las direcciones IPv6 utilizan prefijos para designar la parte de la direccin que define la red del sitio. Para ver una introduccin a IPv6, consulte Descripcin general de las direcciones IPv6 en la pgina 76.
ejemplos de este manual utilizan direcciones IPv4 privadas y el prefijo de documentacin de IPv6 reservado.
57
redes TCP/IP externas. En lugar de ello, utilice direcciones privadas tal como se describe en Uso de direcciones IPv4 privadas en la pgina 62.
Preparacin de un plan de direcciones IPv6 en la pgina 94. En esta seccin se ofrece una descripcin general de las direcciones IPv4 para ayudarle a disear un plan de direcciones IPv4. Para obtener informacin sobre las direcciones IPv6, consulte Descripcin general de las direcciones IPv6 en la pgina 76. Para obtener informacin sobre las direcciones DHCP, consulte el Captulo 12, Acerca de DHCP de Oracle Solaris (informacin general). Cada red basada en IPv4 debe contar con:
58 Gua de administracin del sistema: servicios IP Septiembre de 2010
Un nmero de red exclusivo asignado por un ISP, un IR o, para las redes ms antiguas, registrado por la IANA. Si tiene previsto utilizar direcciones privadas, los nmeros de red que cree deben ser exclusivos en su organizacin. Direcciones IPv4 exclusivas para las interfaces de cada sistema en la red. Una mscara de red.
La direccin IPv4 es un nmero de 32 bits que identifica de forma exclusiva una interfaz de red en un sistema, tal como se explica en Aplicacin de las direcciones IP a las interfaces de red en la pgina 63. Una direccin IPv4 se escribe en dgitos decimales, y se divide en cuatro campos de 8 bits separados por puntos. Cada campo de 8 bits representa un byte de la direccin IPv4. Este modo de representar los bytes de una direccin IPv4 se denomina normalmente formato de decimales con puntos. La figura siguiente muestra los componentes de una direccin IPv4, 172.16.50.56.
FIGURA 21
172.16 50.56
Nmero de red IPv4 registrada. En la notacin IPv4 basada en clases, este nmero tambin define la clase de red IP (la clase B en este ejemplo), que registra la IANA. Parte del host de la direccin IPv4. La parte del host identifica de forma exclusiva una interfaz en un sistema de una red. Para cada interfaz de una red local, la parte de la red de la direccin es la misma, pero la parte del host debe ser diferente.
Si tiene previsto crear una subred de una red IPv4 basada en clases, debe definir una mscara de subred o mscara de red, tal como se describe en Base de datos netmasks en la pgina 248. El ejemplo siguiente muestra la direccin de formato CIDR 192.168.3.56/22
FIGURA 22
59
192.168.3 56 /22
Parte de la red, que se compone del nmero de red IPv4 que se recibe de un ISP o un IR. Parte del host, que se asigna a una interfaz de un sistema. Prefijo de la red, que define cuntos bits de la direccin componen el nmero de red. El prefijo de la red tambin proporciona la mscara de subred para la direccin IP. Los prefijos de red tambin los asigna el ISP o el IR.
Una red basada en Oracle Solaris puede combinar direcciones IPv4 estndar, direcciones IPv4 con formato CIDR, direcciones DHCP, direcciones IPv6 y direcciones IPv4 privadas.
A B C
Los nmeros del primer byte de la direccin IPv4 definen si la red es de clase A, B o C. Los tres bytes restantes comprenden el intervalo 0255. Los nmeros 0 y 255 estn reservados. Puede asignar los nmeros del 1 al 254 a cada byte, dependiendo de la clase de red que la IANA asign a su red. La tabla siguiente muestra qu bytes de la direccin IPv4 tiene asignados. La tabla tambin muestra el intervalo de nmeros de cada byte que tiene a su disposicin para asignarlos a los hosts.
60 Gua de administracin del sistema: servicios IP Septiembre de 2010
A B C
61
TABLA 23
Para obtener ms informacin sobre las direcciones CIDR, consulte estas fuentes:
Para obtener informacin tcnica sobre CIDR, consulte RFC 1519, Classless Inter-Domain Routing (CIDR): una estrategia de agregacin y asignacin de direcciones (http://www.ietf.org/rfc/rfc1519.txt?number=1519). Si desea ms informacin general sobre CIDR, consulte la pgina de Pacific Bell Internet en Classless Inter-Domain Routing (CIDR) Overview (http://www.wirelesstek.com/ cidr.htm). Puede encontrar otra descripcin general de CIDR en el artculo de la Wikipedia " CIDR (Classless inter-domain routing)" (http://en.wikipedia.org/wiki/ Classless_inter-domain_routing).
62
Mscara de red
Los protocolos TCP/IP localizan un sistema en una red utilizando su direccin IP. Sin embargo, si utiliza un nombre reconocible, puede identificar fcilmente el sistema. En consecuencia, los protocolos TCP/IP (y Oracle Solaris) requieren tanto la direccin IP como el nombre de host para identificar un sistema de modo exclusivo. Desde el punto de vista del protocolo TCP/IP, una red es un conjunto de entidades con nombre. Un host es una entidad con un nombre. Un enrutador es una entidad con un nombre. La red es una entidad con un nombre. Del mismo modo, se puede asignar un nombre a un grupo o departamento en el que est instalada la red, as como a una divisin, regin o compaa. En teora, la jerarqua de nombres que se pueden utilizar para identificar una red prcticamente no tiene lmites. El nombre de dominio identifica un dominio.
La configuracin de las bases de datos de red es imprescindible. Debe decidir qu servicio de nombres utilizar como parte del proceso de planificacin de la red. Asimismo, la decisin de utilizar servicios de nombres tambin determina si organizar la red en un dominio administrativo. Bases de datos de red y el archivo nsswitch.conf en la pgina 252 incluye informacin detallada sobre el conjunto de bases de datos de red.
Nombres de dominio
Muchas redes organizan sus hosts y enrutadores en una jerarqua de dominios administrativos. Si utiliza el servicio de nombres NIS o DNS, debe seleccionar un nombre de dominio para la organizacin que sea exclusivo en todo el mundo. Para asegurarse de que su nombre de dominio sea exclusivo, debe registrarlo con InterNIC. Si tiene previsto utilizar DNS, tambin debe registrar su propio nombre de dominio con InterNIC. La estructura del nombre de dominio es jerrquica. Un nuevo dominio normalmente se ubica debajo de un dominio relacionado que ya existe. Por ejemplo, el nombre de dominio para una compaa subsidiaria puede ubicarse debajo el dominio de su compaa principal. Si el nombre de dominio no tiene otra relacin, una organizacin puede colocar su nombre de dominio directamente debajo de uno de los dominios que hay en el nivel superior. A continuacin se incluyen algunos ejemplos de dominios de nivel superior:
.com: compaas comerciales (de mbito internacional) .edu: instituciones educativas (de mbito internacional) .gov: organismos gubernamentales estadounidenses .fr: Francia
65
Seleccione el nombre que identifique a su organizacin, teniendo en cuenta que debe ser exclusivo.
Subdivisiones administrativas
Las subdivisiones administrativas estn relacionadas con el tamao y el control. Cuantos mas hosts y servidores haya en una red, ms compleja ser la tarea de administracin. Puede configurar divisiones administrativas adicionales si es preciso. Agregue redes de una clase especfica. Divida las redes existentes en subredes. La decisin de configurar subdivisiones administrativas para su red la determinan los factores siguientes:
Qu tamao tiene la red? Una nica divisin administrativa puede controlar una nica red de varios cientos de hosts, todo en la misma ubicacin fsica y con los mismos servicios administrativos. Sin embargo, en ocasiones es preciso establecer varias subdivisiones administrativas. Las subdivisiones resultan especialmente tiles si tiene una red reducida con subredes y est repartida por un rea geogrfica extensa.
Los usuarios de la red tienen necesidades similares? Por ejemplo, puede tener una red confinada a un nico edificio que admita un nmero de equipos relativamente reducido. Estos equipos se reparten en una serie de subredes. Cada subred admite grupos de usuarios con diferentes necesidades. En este ejemplo, puede utilizar una subdivisin administrativa para cada subred.
implementa el reenvo de IP. Sin embargo, el sistema no puede funcionar como enrutador hasta que est configurado tal como se describe en Configuracin de un enrutador IPv4 en la pgina 121. Los enrutadores conectan dos o ms redes para formar interredes mayores. Los enrutadores deben configurarse para transferir paquetes entre dos redes adyacentes. Los enrutadores tambin deben poder transferir paquetes a redes que se encuentran fuera de las redes adyacentes. La figura siguiente muestra las partes bsicas de una topologa de red. La primera ilustracin muestra una configuracin sencilla de dos redes conectadas por un nico enrutador. La segunda ilustracin muestra una configuracin de tres redes, interconectadas por dos enrutadores. En el primer ejemplo, el enrutador R une la red 1 y la red 2 en una interred mayor. En el segundo ejemplo, el enrutador 1 conecta las redes 1 y 2. El enrutador R2 conecta las redes 2 y 3. Las conexiones de una red que incluye las redes 1, 2 y 3.
FIGURA 23
Red 1
Red 2
Red 1
R1
Red 2
R2
Red 3
Adems de unir las redes en interredes, los enrutadores transfieren los paquetes entre las redes que se basan en las direcciones de la red de destino. A medida que las interredes se hacen ms complejas, cada enrutador debe tomar ms decisiones sobre los destinos de los paquetes. La figura siguiente muestra un caso ms complejo. El enrutador R3 conecta las redes 1 y 3. La redundancia aumenta la fiabilidad. Si la red 2 no funciona, el enrutador R3 continua proporcionando una ruta entre las redes 1 y 3. Se pueden interconectar muchas redes. No obstante, las redes deben utilizar los mismos protocolos de red.
67
FIGURA 24
Topologa de red que proporciona una ruta adicional entre las redes
R3
Red
R1
Red
R2
Red
68
FIGURA 25
Host A 192.9.200.15
Host B 192.9.202.10
Red 192.9.200
Red 192.9.201
Red 192.9.202
Encaminador R1
Encaminador R2
El enrutador R1 conecta las redes 192.9.200 y 192.9.201. El enrutador R2 conecta las redes 192.9.201 y 192.9.202. Si el host A de la red 192.9.200 enva un mensaje al host B de la red 192.9.202, tienen lugar los siguientes eventos: 1. El host A enva un paquete a travs de la red 192.9.200. El encabezado del paquete contiene la direccin IPv4 del host B receptor, 192.9.202.10. 2. Ninguno de los equipos de la red 192.9.200 tiene la direccin IPv4 192.9.202.10. Por tanto, el enrutador R1 acepta el paquete. 3. El enrutador R1 examina sus tablas de enrutamiento. Ningn equipo de la red 192.9.201 tiene la direccin 192.9.202.10. Sin embargo, las tablas de enrutamiento incluyen el enrutador R2. 4. A continuacin, R1 selecciona R2 como enrutador para el "siguiente salto". R1 enva el paquete a R2. 5. Dado que R2 conecta la red 192.9.201 con 192.9.202, R2 tiene la informacin de enrutamiento para el host B. A continuacin, el enrutador R2 enva el paquete a la red 192.9.202, en la que el host B acepta el paquete.
69
70
C A P T U L O
Este captulo presenta una descripcin general de la implementacin de Oracle Solaris IPv6 (Internet Protocol versin 6). Dicha implementacin se compone del daemon asociado y utilidades compatibles con el espacio de direcciones IPv6. Las direcciones IPv6 e IPv4 coexisten en el entorno de redes de Oracle Solaris. Los sistemas que se configuran con direcciones IPv6 mantienen sus direcciones IPv4, en caso de que tales direcciones ya existan. Las operaciones en que intervienen direcciones IPv6 no repercuten negativamente en operaciones de IPv4 y viceversa. Se abordan los siguientes temas principales:
Caractersticas principales de IPv6 en la pgina 72 Descripcin general de las redes IPv6 en la pgina 74 Descripcin general de las direcciones IPv6 en la pgina 76 Descripcin general del protocolo ND de IPv6 en la pgina 82 Configuracin automtica de direcciones IPv6 en la pgina 83 Descripcin general sobre los tneles de IPv6 en la pgina 85
Planificacin de redes IPv6: Captulo 4, Planificacin de una red IPv6 (tareas) Tareas relacionadas con IPv6: Captulo 7, Configuracin de una red IPv6 (tareas). y Captulo 8, Administracin de redes TCP/IP (tareas). Informacin detallada de IPv6: Captulo 11, IPv6 en profundidad (referencia)
71
Direcciones ampliadas
El tamao de direcciones IP pasa de 32 bits en IPv4 a 128 bits en IPv6, para permitir ms niveles en la jerarqua de direcciones. Aparte, IPv6 proporciona muchos ms sistemas IPv6 con direcciones. Para obtener ms informacin, consulte Descripcin general de las direcciones IPv6 en la pgina 76.
72
Servicios de nombres como DNS, LDAP y NIS. Para obtener ms informacin sobre la compatibilidad de IPv6 con estos servicios de nombres, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP). Aplicaciones de autenticacin y proteccin de la privacidad, por ejemplo IP Security Architecture (IPsec) e Internet Key Exchange (IKE). Para obtener ms informacin, consulte la Parte IV. Servicios diferenciados, como los que proporciona IP Quality of Service (IPQoS). Para obtener ms informacin, consulte la Parte VII. Deteccin de fallos y funcionamiento a prueba de fallos, como se proporciona mediante IP multirruta de redes (IPMP). Para obtener ms informacin, consulte la Parte VI.
73
TABLA 31
(Continuacin)
Ubicacin
RFC 3306, Describe el formato y los tipos ftp://ftp.rfc-editor.org/in-notes/rfc3306.txt (ftp://ftp.rfc-editor.org/ UnicastPrefixBased de direcciones IPv6 in-notes/rfc3306.txt) IPv6 Multicast Addresses multidifusin RFC 3484: Default Address Selection for Internet Protocol version 6 (IPv6) Describe los algoritmos que se http://www.ietf.org/rfc/rfc3484?number=3484 (http://www.ietf.org/ usan en la seleccin de rfc/rfc3484.txt?number=3484) direcciones predeterminadas de IPv6 http://www.ietf.org/rfc/rfc3513.txt?number=3513 (http:// www.ietf.org/rfc/rfc3513.txt?number=3513)
RFC 3513, Internet Contiene informacin Protocol version 6 (IPv6) exhaustiva sobre los tipos de Addressing Architecture direcciones IPv6 con abundantes ejemplos RFC 3587, IPv6 Global Unicast Address Format
Define el formato estndar de http://www.ietf.org/rfc/rfc3587.txt?number=3587 (http:// las direcciones IPv6 www.ietf.org/rfc/rfc3587.txt?number=3587) unidifusin
Sitios web
Los sitios web siguientes aportan informacin til sobre IPv6.
TABLA 32 Sitio web
Foro de IPv6
En este sitio web hay vnculos a presentaciones, eventos, clases e implementaciones sobre IPv6 en todo el mundo
http://www.ipv6forum.com
Grupo de trabajo de La pgina inicial de este grupo de IPv6 de Internet trabajo de IETF proporciona Educational Task Force vnculos a todos los borradores de Internet y RFC importantes relacionados con IPv6
http://www.ietf.org/html.charters/ipv6-charter.html
74
FIGURA 31
Subred 8b
Host
Vnculo 1
Host
Host Encaminador Vnculo 3 DMZ Vnculo 4 Subred 8c Encaminador de lmite Tnel de IPv6 ISP
Internet
La figura ilustra una red IPv6 y sus conexiones con un ISP. La red interna consta de los vnculos 1, 2, 3 y 4. Los hosts rellenan los vnculos y un enrutador los termina. El vnculo 4, considerado la DMZ de la red, queda terminado en un extremo por el enrutador de lmite. El enrutador de lmite ejecuta un tnel IPv6 a un ISP, que ofrece conexin a Internet para la red. Los vnculos 2 y 3 se administran como subred 8a. La subred 8b tan slo consta de sistemas en el vnculo 1. La subred 8c es contigua a la DMZ del vnculo 4. Como se muestra en la Figura 31, una red IPv6 tiene prcticamente los mismos componentes que una red IPv4. No obstante, la terminologa de IPv6 presenta ligeras diferencias respecto a la de IPv4. A continuacin se presenta una serie de trminos sobre componentes de red empleados en un contexto de IPv6. nodo enrutador de IPv6 Sistema con una direccin IPv6 y una interfaz configurada para admitir IPv6. Trmino genrico que se aplica a hosts y enrutadores. Nodo que reenva paquetes de IPv6. Para admitir IPv6, debe configurarse como mnimo una de las interfaces del enrutador. Un enrutador de IPv6 tambin puede anunciar el prefijo de sitio IPv6 registrado para la empresa en la red interna.
75
host de IPv6
Nodo con una direccin IPv6. Un host IPv6 puede tener configurada ms de una interfaz para que sea compatible con IPv6. Al igual que en IPv4, los hosts de IPv6 no reenvan paquetes. Un solo soporte contiguo de red conectado por un enrutador en cualquiera de sus extremos. Nodo de IPv6 que se encuentra en el mismo vnculo que el nodo local. Segmento administrativo de una red IPv6. Los componentes de una subred IPv6 se pueden corresponder directamente con todos los nodos de un vnculo, igual que en IPv4. Si es preciso, los nodos de un vnculo se pueden administrar en subredes independientes. Adems, IPv6 no permite subredes multivnculo, en las cuales los nodos de vnculos distintos pueden ser componentes de una sola subred. Los vnculos 2 y 3 de la Figura 31 son componentes de la subred 8a multivnculo. Tnel que proporciona una ruta de extremo a extremo virtual entre un nodo de IPv6 y otro punto final de nodo de IPv6. IPv6 permite la configuracin manual de tneles y automtica de tneles de 6to4. Enrutador en el lmite de una red que proporciona un extremo del tnel de IPv6 a un punto final fuera de la red local. Este enrutador debe tener como mnimo una interfaz de IPv6 a la red interna. En cuanto a la red externa, el enrutador puede tener una interfaz de IPv6 o IPv4.
tnel de IPv6
enrutador de lmite
IPv6, consulte RFC 2374, IPv6 Global Unicast Address Format (http://www.ietf.org/rfc/ rfc2374.txt?number=2374) IPv6 abarca tres clases de direcciones: unidifusin multidifusin Identifica una interfaz de un solo nodo. Identifica un grupo de interfaces, en general en nodos distintos. Los paquetes que se envan a una direccin multidifusin se dirigen a todos los miembros del grupo de multidifusin.
76
Identifica un grupo de interfaces, en general en nodos distintos. Los paquetes que se envan a una direccin de difusin por proximidad de dirigen al nodo de miembros del grupo de difusin por proximidad que se encuentre ms cerca del remitente.
FIGURA 32
Los tres campos que estn ms a la izquierda (48 bits) contienen el prefijo de sitio. El prefijo describe la topologa pblica que el ISP o el RIR (Regional Internet Registry, Registro Regional de Internet) suelen asignar al sitio. El campo siguiente lo ocupa el ID de subred de 16 bits que usted (u otro administrador) asigna al sitio. El ID de subred describe la topologa privada, denominada tambin topologa del sitio, porque es interna del sitio. Los cuatro campos situados ms a la derecha (64 bits) contienen el ID de interfaz, tambin denominado token. El ID de interfaz se configura automticamente desde la direccin MAC de interfaz o manualmente en formato EUI-64. Examine de nuevo la direccin de la figura Figura 32: 2001:0db8:3c4d:0015:0000:0000:1a2f:1a2b
77
En este ejemplo se muestran los 128 bits completos de una direccin IPv6. Los primeros 48 bits, 2001:0db8:3c4d, contienen el prefijo de sitio y representan la topologa pblica. Los siguientes 16 bits, 0015, contienen el ID de subred y representan la topologa privada del sitio. Los 64 bits que estn ms a la derecha, 0000:0000:1a2f:1a2b, contienen el ID de interfaz.
Prefijos de IPv6
Los campos que estn ms a la izquierda de una direccin IPv6 contienen el prefijo, que se emplea para enrutar paquetes de IPv6. Los prefijos de IPv6 tienen el formato siguiente: prefijo/tamao en bits El tamao del prefijo se expresa en notacin CIDR (enrutamiento entre dominios sin clase). La notacin CIDR consiste en una barra inclinada al final de la direccin, seguida por el tamao del prefijo en bits. Para obtener informacin sobre direcciones IP en formato CIDR, consulte Cmo disear un esquema de direcciones IPv4 CIDR en la pgina 61. El prefijo de sitio de una direccin IPv6 ocupa como mximo los 48 bits de la parte ms a la izquierda de la direccin IPv6. Por ejemplo, el prefijo de sitio de la direccin IPv6 2001:db8:3c4d:0015:0000:0000:1a2f:1a2b/48 se ubica en los 48 bits que hay ms a la izquierda, 2001:db8:3c4d. Utilice la representacin siguiente, con ceros comprimidos, para representar este prefijo:
78
2001:db8:3c4d::/48
Nota 2001:db8::/32 es un prefijo especial de IPv6 que se emplea especficamente en ejemplos
de documentacin. Tambin se puede especificar un prefijo de subred, que define la topologa interna de la red respecto a un enrutador. La direccin IPv6 de ejemplo tiene el siguiente prefijo de subred: 2001:db8:3c4d:15::/64 El prefijo de subred siempre contiene 64 bits. Estos bits incluyen 48 del prefijo de sitio, adems de 16 bits para el ID de subred. Los prefijos siguientes se han reservado para usos especiales: 2002::/16 fe80::/10 ff00::/8 Indica que sigue un prefijo de enrutamiento de 6to4. Indica que sigue una direccin local de vnculo. Indica que sigue una direccin multidifusin.
Direcciones unidifusin
IPv6 incluye dos clases de asignaciones de direcciones unidifusin:
El tipo de direccin unidifusin viene determinado por los bits contiguos que estn ms a la izquierda (orden superior) de la direccin, los cuales contienen el prefijo. El formato de direcciones unidifusin se organiza conforme a la jerarqua siguiente:
79
FIGURA 33
Topologa pblica
Topologa de sitio
Topologa pblica
El prefijo de sitio define la topologa pblica de la red respecto a un enrutador. El ISP o el RIR proporcionan el prefijo de sitio a las empresas.
ID de interfaz
El ID de interfaz identifica una interfaz de un determinado nodo. Un ID de interfaz debe ser exclusivo en la subred. Los hosts de IPv6 pueden aplicar el protocolo ND para generar automticamente sus propios ID de interfaz. El protocolo ND genera de forma automtica el ID de interfaz, a partir de la direccin MAC o la direccin EUI-64 de la interfaz del host. Los ID de interfaz tambin se pueden asignar manualmente, lo cual es preferible en el caso de enrutadores de IPv6 y servidores habilitados para IPv6. Si desea obtener instrucciones sobre cmo crear manualmente direcciones EUI-3513, consulte RFC 3513 Internet Protocol Version 6 (IPv6) Addressing Architecture.
80
Formato:
0 64 bits
ID de interfaz 54 bits
Ejemplo: fe80::123e:456d
Un prefijo local de vnculo presenta el formato siguiente: fe80::ID_interfaz/10 A continuacin se muestra una direccin local de vnculo: fe80::23a1:b152 fe80 ID_interfaz Representacin hexadecimal del prefijo binario de 10 bits 1111111010. Este prefijo identifica el tipo de direccin IPv6 como direccin local de vnculo. Direccin hexadecimal de la interfaz, que en general se deriva de la direccin MAC de 48 bits.
Al habilitar IPv6 durante la instalacin de Oracle Solaris, la interfaz con el nmero ms bajo del equipo local se configura con una direccin local de vnculo. Cada interfaz necesita por lo menos una direccin local de vnculo para identificar el nodo en los dems nodos del vnculo local. As pues, las direcciones locales de vnculo deben configurarse manualmente para las interfaces adicionales de un nodo. Tras la configuracin, el nodo utiliza sus direcciones locales de vnculo para la configuracin automtica de direcciones y el descubrimiento de vecinos.
Direcciones multidifusin
IPv6 permite el uso de direcciones multidifusin. La direccin multidifusin identifica un grupo de multidifusin, que es un grupo de interfaces, en general en nodos distintos. Una interfaz puede pertenecer a cualquier cantidad de grupos de multidifusin. Si los primeros 16 bits de una direccin IPv6 son ff00 n, la direccin es del tipo multidifusin.
81
Las direcciones multidifusin se usan para el envo de informacin o servicios a todas las interfaces que se definen como miembros del grupo de multidifusin. Por ejemplo, uno de los usos de las direcciones multidifusin es comunicarse con todos los nodos de IPv6 del vnculo local. Al crearse la direccin unidifusin IPv6 de una interfaz, el ncleo convierte automticamente la interfaz en miembro de determinados grupos de multidifusin. Por ejemplo, el ncleo convierte cada nodo en un miembro del grupo de multidifusin del nodo solicitado, que utiliza el protocolo ND para detectar la accesibilidad. El ncleo convierte automticamente tambin un nodo en miembro de los grupos de multidifusin de todos los nodos o todos los enrutadores. Para obtener informacin exhaustiva sobre direcciones multidifusin, consulte Direcciones multidifusin IPv6 en profundidad en la pgina 268. Para obtener informacin sobre aspectos tcnicos, consulte RFC 3306, Unicast-Prefix-based IPv 6 Multicast Addresses (ftp://ftp.rfc-editor.org/in-notes/rfc3306.txt), donde se explica el formato de direcciones multidifusin. Para obtener ms informacin sobre el uso adecuado de grupos y direcciones multidifusin, consulte RFC 3307, Allocation Guidelines for IPv 6 Multicast Addresses (ftp://ftp.rfc-editor.org/in-notes/rfc3307.txt).
difusin por proximidad. Ahora bien, los nodos de IPv6 de Oracle Solaris pueden enviar paquetes a direcciones de difusin por proximidad. Para obtener ms informacin, consulte Consideraciones para tneles hasta un enrutador de reenvo 6to4 en la pgina 301.
82
Descubrimiento de enrutadores: ayuda a los hosts a detectar enrutadores en el vnculo local. Configuracin automtica de direcciones: permite que un nodo configure de manera automtica direcciones IPv6 para sus interfaces. Descubrimiento de prefijos: posibilita que los nodos detecten los prefijos de subred conocidos que se han asignado a un vnculo. Los nodos utilizan prefijos para distinguir los destinos que se encuentran en el vnculo local de los asequibles nicamente a travs de un enrutador. Resolucin de direcciones: permite que los nodos puedan determinar la direccin local de vnculo de un vecino solamente a partir de la direccin IP de los destinos. Determinacin de salto siguiente: utiliza un algoritmo para establecer la direccin IP de un salto de destinatario de paquetes que est ms all del vnculo local. El salto siguiente puede ser un enrutador o el nodo de destino. Deteccin de inasequibilidad de vecinos: ayuda a los nodos a establecer si un nodo ya no es asequible. La resolucin de direcciones puede repetirse tanto en enrutadores como hosts. Deteccin de direcciones duplicadas: permite que un nodo pueda determinar si est en uso o no una direccin que el nodo tenga la intencin de utilizar. Redireccin: un enrutador indica a un host el mejor nodo de primer salto que se puede usar para acceder a un determinado destino.
El protocolo ND emplea los tipos de mensajes ICMP siguientes para la comunicacin entre los nodos de un vnculo:
Para obtener informacin exhaustiva sobre mensajes de protocolo ND y otros temas relativos a dicho protocolo, consulte Protocolo ND de IPv6 en la pgina 286. Para obtener informacin sobre aspectos tcnicos sobre Neighbor Discovery (ND), consulte RFC 2461, Neighbor Discovery for IP Version 6 (IPv6) (http://www.ietf.org/rfc/rfc2461.txt?number=2461).
83
Crea una direccin local de vnculo para cada interfaz, lo cual no precisa un enrutador en el vnculo. Verifica la exclusividad de una direccin en un vnculo, lo cual no precisa un enrutador en el vnculo. Determina si las direcciones globales deben obtenerse a partir del mecanismo con estado, sin estado o ambos. (Precisa un enrutador en el vnculo.)
84
Tnel configurado manualmente entre dos redes IPv6, a travs de una red IPv4. La red IPv4 puede ser Internet o una red local dentro de una empresa. Tnel configurado manualmente entre dos redes IPv4, a travs de una red IPv6, en general dentro de una empresa. Tnel de 6to4 configurado dinmicamente entre dos redes IPv6, a travs de una red IPv4 de una empresa o por Internet.
Para obtener ms informacin sobre los tneles de IPv6, consulte Tneles de IPv6 en la pgina 294. Para obtener ms informacin relativa a tneles de IPv4 a IPv4 y redes privadas virtuales, consulte Redes privadas virtuales e IPsec en la pgina 510.
85
86
C A P T U L O
Implementar IPv6 en una red nueva o ya configurada supone un importante esfuerzo de planificacin. En este captulo se presentan las tareas principales imprescindibles para poder configurar IPv6. En el caso de redes ya configuradas, la implementacin de IPv6 se debe establecer por fases. Los temas de este captulo ayudan a implantar IPv6 en fases en una red que, por otro lado, es de slo IPv4. En este captulo se tratan los temas siguientes:
Planificacin de IPv6 (mapas de tareas) en la pgina 87 Situacin hipottica de topologa de red IPv6 en la pgina 88 Preparacin de la red ya configurada para admitir IPv6 en la pgina 90 Preparacin de un plan de direcciones IPv6 en la pgina 94
Para obtener una introduccin a los conceptos relativos a IPv6, consulte el Captulo 3, Introduccin a IPv6 (descripcin general). Para obtener informacin detallada, consulte el Captulo 11, IPv6 en profundidad (referencia).
Compruebe que el hardware se pueda actualizar Preparacin de la topologa red para admitir a IPv6. IPv6 en la pgina 90
87
Tarea
Descripcin
Compruebe que el ISP que utiliza admita IPv6. De no ser as, busque uno que sea compatible con IPv6. Puede utilizar dos ISP, uno para IPv6 y otro para comunicaciones de IPv4. Verifique que las aplicaciones puedan funcionar Cmo preparar servicios de red para admitir IPv6 en la pgina 92 en un entorno IPv6. Solicite al ISP o al RIR ms prximo un prefijo de sitio de 48 bits. Obtencin de un prefijo de sitio en la pgina 94
3. Comprobar que las aplicaciones estn preparadas para funcionar con IPv6. 4. Disponer de prefijo de sitio. 5. Crear un plan de direcciones de subredes.
Se debe planificar la topologa de red IPv6 global Creacin de un esquema de numeracin para y el esquema de direcciones para poder subredes en la pgina 95 configurar IPv6 en los distintos nodos de la red. Planificacin de tneles en la topologa de red en la pgina 93 Creacin de un plan de direcciones IPv6 para nodos en la pgina 95 Parte IV
6. Disear un plan para el uso de Establezca los enrutadores que deben ejecutar tneles. tneles a otras subredes o redes externas. 7. Crear un plan de direcciones para entidades de la red. 8. Desarrollar directrices de seguridad de IPv6. Se debe planificar la direccin de servidores, enrutadores y hosts antes de configurar IPv6. A la hora de desarrollar directrices de seguridad de IPv6, consulte las funciones de filtro IP, arquitectura de seguridad IP (IPsec), Internet Key Exchange (IKE) y otras funciones de seguridad de Oracle Solaris. Por motivos de seguridad, se precisa un plan de direcciones para la DMZ y sus entidades antes de configurar IPv6.
9. (Opcional) Configurar una DMZ. 10. Habilitar los nodos para que admitan IPv6. 11. Activar servicios de red. 12. Actualizar nombres de servidor para la compatibilidad con IPv6.
Configure IPv6 en todos los hosts y enrutadores. Configuracin de IPv6 en enrutadores (mapa de tareas) en la pgina 183 Compruebe que los servidores puedan admitir IPv6. Compruebe que los servidores DNS, NIS y LDAP se actualicen con las nuevas direcciones IPv6. Tareas de administracin principales de TCP/IP (mapa de tareas) en la pgina 209 Configuracin de la compatibilidad con el servicio de nombres para IPv6 en la pgina 204
FIGURA 41
Hosts
Hosts
Hosts
Servidor LDAP
Encaminador 2 Red central IPv4 192.168.1.0 IPv6 Subred 1 Encaminador Encaminador Encaminador Cortafuegos 172.16.85.0 IPv4 192.168.3.0 IPv6 Subred 3 Servidor NFS Encaminador 1 (lmite) Cortafuegos Servidor Web Servidor FTP
DMZ
ISP
Internet
La situacin hipottica de red empresarial se compone de cinco subredes con cuatro direcciones IPv4 ya configuradas. Los vnculos de la red se corresponden directamente con las subredes administrativas. Las cuatro redes internas se muestran con direcciones IPv4 privadas en formato RFC 1918, solucin habitual ante la falta de direcciones IPv4. Estas redes internas se basan en el siguiente esquema de direcciones:
La subred 1 es la red principal interna 192.168.1 . La subred 2 es la red interna 192.168.2, con LDAP, sendmail y servidores DNS. La subred 3 es la red interna 192.168.3, con los servidores NFS de la empresa.
89
La subred 4 es la red interna 192.168.4, que contiene hosts para los empleados de la empresa.
La red pblica externa 172.16.85 funciona como DMZ de la corporacin. Esta red contiene servidores web, servidores FTP annimos y dems recursos que la empresa ofrece al entorno exterior. El enrutador 2 ejecuta un cortafuegos y separa la red pblica 172.16.85 de la red principal interna. En el otro extremo de la DMZ, el enrutador 1 ejecuta un cortafuegos y acta como enrutador de lmite de la empresa. En la Figura 41, la DMZ pblica presenta la direccin privada RFC 1918 172.16.85. En un entorno real, la DMZ pblica debe tener registrada una direccin IPv4. La mayora de los sitios de IPv4 emplean una combinacin de direcciones pblicas y direcciones privadas RFC 1918. Sin embargo, en el mbito de IPv6 el concepto de direcciones pblicas y privadas es distinto. Debido a que IPv6 dispone de mucho ms espacio de direcciones, las direcciones pblicas IPv6 se utilizan en redes pblicas y privadas.
IPv6. Puede ejecutar sin ningn problema operaciones relacionadas con IPv4 en la red, durante la implementacin de IPv6 y tras sta. IPv6 incorpora funciones adicionales a una red ya configurada. As pues, la primera vez que implemente IPv6, compruebe que no se interrumpan las operaciones que funcionan con IPv4. Los temas que se tratan en esta seccin muestran detalladamente un procedimiento para incorporar IPv6 en una red ya configurada.
90
Conmutadores
Nota Todos los procedimientos de esta parte dan por sentado que el equipo, en especial los enrutadores, se pueden actualizar a IPv6.
Algunos modelos de enrutador no se pueden actualizar a IPv6. Para obtener ms informacin y una solucin alternativa, consulte El enrutador IPv4 no puede actualizarse a IPv6 en la pgina 237.
El servicio de correo IMAP slo es apto para IPv4. Los nodos configurados para IPv6 pueden ejecutar servicios de IPv4. Al activar IPv6, no todos los servicios aceptan conexiones IPv6. Los servicios conectados a IPv6 aceptarn una conexin. Los servicios que no estn conectados a IPv6 seguirn funcionando con la mitad de IPv4 de la pila de protocolos. Al actualizar los servicios a IPv6 pueden surgir algunos problemas. Para obtener ms informacin, consulte Problemas tras la actualizacin de servicios a IPv6 en la pgina 237.
Verifique que el hardware del cortafuegos ya est preparado para IPv6. Para obtener instrucciones, consulte la documentacin pertinente sobre servidores de seguridad. Verifique que otros servicios de la red se hayan conectado a IPv6. Para obtener ms informacin, consulte la publicidad adicional y la documentacin relativa al software. Si el sitio implementa los servicios siguientes, asegrese de haber tomado las medidas apropiadas:
Servidores de seguridad Para poder admitir IPv6, quiz deba incrementar la severidad de las directrices ya establecidas para IPv4. Para otros aspectos sobre seguridad, consulte Aspectos relacionados con la seguridad en la implementacin de IPv6 en la pgina 94.
Correo En los registros MX para DNS, quiz deba agregar la direccin IPv6 del servidor de correo. DNS Para cuestiones especficas de DNS, consulte Cmo preparar DNS para admitir IPv6 en la pgina 92.
IPQoS En un host, emplee las mismas directrices DiffServ que se usaban en IPv4. Para obtener ms informacin, consulte Mdulo Classifier en la pgina 879.
Audite los servicios de red que ofrezca un nodo antes de convertir a IPv6 dicho nodo.
92
Para obtener ms informacin relativa a la compatibilidad de DNS con IPv6, consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
1
Compruebe que el servidor DNS que ejecuta la resolucin de nombres recursivos est en una pila doble (IPv4 e IPv6) o slo en IPv4. En el servidor DNS, rellene la base de datos de DNS con los pertinentes registros AAAA de base de datos de IPv6 en la zona de reenvo.
Nota Los servidores que ejecutan varios servicios fundamentales necesitan atencin especial. Verifique que la red funcione correctamente. Compruebe tambin que todos los servicios fundamentales tengan conexin con IPv6. A continuacin, agregue la direccin IPv6 del servidor a la base de datos de DNS.
3 4
Incorpore los registros PTR relativos a los registros AAAA en la zona inversa. Agregue datos slo de IPv4, o de IPv6 e IPv4, en el registro NS que describe zonas.
El ISP del que adquiere servicios IPv6 permite crear un tnel desde el enrutador de lmite del sitio hasta la red del ISP. La Figura 41 muestra un tnel de esta clase. En tal caso, se debe ejecutar IPv6 manual a travs de un tnel de IPv4. Se administra una red distribuida de gran tamao con conectividad IPv4. Para conectar los sitios distribuidos que utilizan IPv6, puede ejecutar un tnel de 6to4 desde el enrutador de lmite de cada subred. En ocasiones, un enrutador de la infraestructura no se puede actualizar a IPv6. En tal caso, la alternativa es crear un tnel manual en el enrutador de IPv4 con dos enrutadores de IPv6 como puntos finales.
Para obtener informacin sobre configuracin de tneles, consulte Tareas de configuracin de tneles para compatibilidad con IPv6 (mapa de tareas) en la pgina 195. Para obtener informacin conceptual relativa a tneles, consulte Tneles de IPv6 en la pgina 294.
Captulo 4 Planificacin de una red IPv6 (tareas) 93
Los paquetes de IPv6 e IPv4 necesitan la misma cantidad de filtrado. A menudo, los paquetes de IPv6 pasan por un tnel a travs de un cortafuegos. Por lo tanto, debe aplicar cualquiera de las siguientes situaciones hipotticas:
Haga que el cortafuegos inspeccione el contenido en el tnel. Coloque un cortafuegos de IPv6 con reglas parecidas en el punto final del tnel del extremo opuesto.
Determinados mecanismos de transicin utilizan IPv6 en UDP a travs de tneles de IPv4. Dichos mecanismos pueden resultar peligrosos al cortocircuitarse el cortafuegos. Los nodos de IPv6 son globalmente asequibles desde fuera de la red empresarial. Si la directiva de seguridad prohbe el acceso pblico, debe establecer reglas ms estrictas con relacin al cortafuegos. Por ejemplo, podra configurar un cortafuegos con estado.
La funcin de IPsec (IP architecture security, arquitectura de seguridad IP) posibilita la proteccin criptogrfica de paquetes IPv6. Para obtener ms informacin, consulte el Captulo 19, Arquitectura de seguridad IP (descripcin general). La funcin IKE (Internet Key Exchange, intercambio de claves en Internet) permite el uso de autenticacin de claves pblicas para paquetes de IPv6. Para obtener ms informacin, consulte el Captulo 22, Intercambio de claves de Internet (descripcin general).
Obtencin de un prefijo de sitio en la pgina 94 Creacin del esquema de numeracin de IPv6 en la pgina 95
Un ISP que admita IPv6 puede brindar a las empresas prefijos de sitio de IPv6 de 48 bits. Si el ISP slo admite IPv4, se puede buscar otro que sea compatible con IPv6 y mantener el ISP actual para IPv4. En tal caso, existen las siguientes soluciones alternativas. Para obtener ms informacin, consulte El ISP actual no admite IPv6 en la pgina 237. Si su organizacin es un ISP, los prefijos de sitio de sus clientes se obtienen del pertinente registro de Internet. Para obtener ms informacin, consulte la pgina de IANA (Internet Assigned Numbers Authority) (http://www.iana.org).
Proporcione a los servidores unos ID de interfaz descriptivos y estables. Un mtodo consiste en aplicar un sistema de numeracin consecutiva a los ID de interfaz. Por ejemplo, la interfaz interna del servidor LDAP que aparece en la Figura 41 podra ser 2001:db8:3c4d:2::2. Si habitualmente no cambia la numeracin de la red IPv4, es buena idea utilizar como ID de interfaz las direcciones IPv4 ya creadas de los enrutadores y servidores. En la Figura 41, suponga que la interfaz del enrutador 1 con la DMZ tiene la direccin IPv4 123.456.789.111. La direccin IPv4 puede convertirse a hexadecimal y aplicar el resultado como ID de interfaz. El nuevo ID de interfaz ser ::7bc8:156F. Este planteamiento se utiliza slo si se es el propietario de la direccin IPv4 registrada, en lugar de haber obtenido la direccin de un ISP. Si utiliza una direccin IPv4 proporcionada por un ISP, se crea una dependencia que puede causar problemas en caso de cambiar los ISP.
Debido al nmero limitado de direcciones IPv4, antes un diseador de redes deba tener en cuenta si iba a utilizar direcciones registradas globales y direcciones RFC 1918 privadas. No obstante, el concepto de direcciones IPv4 globales y privadas no es aplicable a las direcciones IPv6 . Puede utilizar direcciones unidifusin globales, que incluyen el prefijo de sitio, en todos los vnculos de la red, incluida la DMZ pblica.
96
C A P T U L O
La administracin de redes TCP/IP se compone de dos fases. La primera consiste en ensamblar el hardware. A continuacin, se configuran los daemon, archivos y servicios que implementan el protocolo TCP/IP. En este captulo se explica cmo configurar el protocolo TCP/IP en una red que implementa servicios y direcciones IPv4.
Nota Muchas de las tareas de este captulo se aplican a redes habilitadas tanto para IPv4 como para IPv6. Cuando las tareas de configuracin son distintas en los dos formatos de direcciones, es preciso seguir los pasos de configuracin de IPv4 que se indican en este captulo. Las tareas de este captulo establecen referencias cruzadas con las tareas IPv6 equivalentes del Captulo 7, Configuracin de una red IPv6 (tareas)..
Antes de configurar una red IPv4 (mapa de tareas) en la pgina 98 Cmo determinar los modos de configuracin de host en la pgina 99 Cmo agregar una subred a una red (mapa de tareas) en la pgina 102 Configuracin de sistemas en la red local en la pgina 104 Mapa de tareas de configuracin de red en la pgina 103 Reenvo de paquetes y rutas en redes IPv4 en la pgina 114 Supervisin y modificacin de los servicios de capa de transporte en la pgina 137 Administracin de interfaces en Solaris 10 3/05 en la pgina 141
97
Puede configurar y administrar las rutas a travs de la Utilidad de gestin de servicios (SMF) como alternativa al uso del comando routeadm. Para ver las instrucciones, consulte los procedimientos y ejemplos de Reenvo de paquetes y rutas en redes IPv4 en la pgina 114 y la pgina del comando man routeadm(1M). El archivo /etc/inet/ipnodes pasa a estar obsoleto. Utilice /etc/inet/ipnodes nicamente para las versiones anteriores de Oracle Solaris 10, tal como se explica en los procedimientos individuales.
Descripcin general de la topologa de red en la pgina 66 y Topologa de sistemas autnomos IPv4 en la pgina 118 Cmo disear un esquema de direcciones IPv4 en la pgina 60.
2. Obtener un nmero de red del proveedor de servicios de Internet (ISP) o el Registro Regional de Internet (RIR). 3. Planificar el esquema de direcciones IPv4 para la red. Si es preciso, incluir las direcciones de subred. 4. Ensamblar el hardware de red en funcin de la topologa de red. Verificar que el hardware funcione correctamente. 5. Asignar direcciones IPv4 y nombres de host a todos los sistemas de la red.
Obtiene un nmero de red registrado, que permite a los sistemas del sitio comunicarse externamente.
Utiliza el nmero de red como base Cmo disear un esquema de direcciones IPv4 en la pgina 60. para el plan de direcciones.
Configura sistemas, medios de red, Los manuales del hardware y Descripcin general de la enrutadores, conmutadores, topologa de red en la pgina 66. concentradores y puentes destacados en el diseo de la topologa de red. Asigna las direcciones IPv4 durante la instalacin de Oracle Solaris o la fase posterior a la instalacin, en los archivos apropiados. Cmo disear un esquema de direcciones IPv4 en la pgina 60 y Cmo cambiar la direccin IPv4 y otros parmetros de configuracin de red en la pgina 110
98
Tarea
Descripcin
6. Ejecutar el software de configuracin que necesitan los enrutadores e interfaces de red, si es preciso.
Planificacin de enrutadores en la red en la pgina 66 y Configuracin de un enrutador IPv4 en la pgina 121 for information on routers. System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) . System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)
7. Determinar qu servicio de Configura el servicio de nombres o nombres o directorios utiliza la red: de directorios seleccionado. NIS, LDAP, DNS o archivos locales. 8. Seleccionar nombres de dominio Elige un nombre de dominio para para la red, si es preciso. la red y lo registra con InterNIC.
Nombre de host de cada sistema Direccin IP de cada sistema Nombre de dominio al que pertenece cada sistema Enrutador predeterminado Mscara de red IPv4 en uso en cada red del sistema
Un sistema que obtiene la informacin de configuracin de TCP/IP de los archivos locales funciona en modo de archivos locales. Un sistema que obtiene la informacin de configuracin de TCP/IP de un servidor de red remoto funciona en modo de cliente de red.
Servidores NFS Servidores de nombres que proporcionan servicios NIS, LDAP o DNS Servidores de correo
Asimismo, los enrutadores deben ejecutarse en el modo de archivos locales. Los sistemas que funcionan exclusivamente como servidores de impresin no necesitan ejecutarse en el modo de archivos locales. El tamao de la red determina si los hosts individuales deben ejecutarse en el modo de archivos locales. Si est ejecutando una red de tamao reducido, la cantidad de trabajo que implica el mantenimiento de dichos archivos en los hosts individuales es manejable. Si la red sirve a cientos de hosts, la tarea resulta ms difcil, incluso aunque se divida la red en una serie de subdominios administrativos. Por consiguiente, en el caso de las redes de gran tamao, el uso del modo de archivos locales suele ser menos eficaz. Sin embargo, dado que los enrutadores y servidores deben ser autosuficientes, deben configurarse en el modo de archivos locales.
RARP: el protocolo RARP (Reverse Address Resolution Protocol) asigna direcciones Ethernet addresses (48 bits) a direcciones IPv4 (32 bits), al contrario que ARP. Al ejecutar RARP en un servidor de configuracin de red, los hosts que se ejecutan en el modo de cliente de red obtienen sus direcciones IP y archivos de configuracin de TCP/IP del servidor. El daemon in.rarpd permite los servicios de RARP. Consulte la pgina del comando man in.rarpd(1M) para obtener ms informacin. TFTP: el protocolo TFTP (Trivial File Transfer Protocol) es una aplicacin que transfiere archivos entre sistemas remotos. El daemon in.tftpd ejecuta los servicios TFTP, lo cual permite la transferencia de archivos entre los servidores de configuracin de red y sus clientes de red. Consulte la pgina del comando man in.tftpd(1M) para obtener ms informacin. Bootparams: el protocolo Bootparams proporciona los parmetros para el inicio que necesitan los clientes que inician la red. El daemon rpc.bootparamd ejecuta estos servicios. Consulte la pgina del comando man bootparamd(1M) para obtener ms informacin.
Los servidores de configuracin de red tambin pueden funcionar como servidores de archivos NFS. Si est configurando host como clientes de red, tambin debe configurar, como mnimo, un sistema en la red como servidor de configuracin de red. Si la red cuenta con subredes, debe tener como mnimo un servidor de configuracin de red para cada subred con clientes de red.
100 Gua de administracin del sistema: servicios IP Septiembre de 2010
Configuraciones mixtas
Las configuraciones no se limitan al modo de todos los archivos locales o al modo de todos los clientes de red. Los enrutadores y servidores siempre deben configurarse en modo local. Para los hosts, puede utilizar cualquier combinacin de modos de clientes de red y de archivos locales.
101
FIGURA 51
Dominio deserts.worldwide.com timbuktu-201 192.9.201.10 Red 192.9.201 sahara 192.9.200.50 (servidor de config. de net.) nubian 192.9.200.4 (en modo de archivos locales)
informacin sobre la planificacin de subredes IPv6, consulte Preparacin de la topologa red para admitir IPv6 en la pgina 90 y Creacin de un esquema de numeracin para subredes en la pgina 95.
La tabla siguiente muestra diferentes tareas para agregar una subred a la red actual. La tabla incluye una descripcin de lo que hace cada tarea y la seccin de la documentacin actual en que se detalla el procedimiento correspondiente.
Tarea Descripcin Para obtener instrucciones
1. Determinar si la topologa de red Determina la nueva topologa de requiere subredes. subred, incluida la ubicacin de los enrutadores y los hosts de las subredes.
Planificacin de enrutadores en la red en la pgina 66, Qu son las subredes? en la pgina 248 y Clases de red en la pgina 262
102
Tarea
Descripcin
2. Asignar las direcciones IP con el nuevo nmero de subred para que los sistemas pasen a ser miembros de la subred.
Configura las direcciones IP que utilizan el nuevo nmero de subred, ya sea durante la instalacin de Oracle Solaris o posteriormente, en el archivo /etc/hostname.interfaz. Modifica el archivo /etc/inet/netmasks, si est configurando manualmente los clientes de red. Tambin proporciona la mscara de red al programa de instalacin de Oracle Solaris.
Base de datos netmasks en la pgina 248 y Creacin de la mscara de red para las direcciones IPv4 en la pgina 249
4. Editar las bases de datos de red con las nuevas direcciones IP de todos los sistemas de la subred.
Modifique /etc/inet/hosts y, Base de datos hosts para Solaris 10 11/06 y las versiones en la pgina 243 anteriores/etc/inet/ipnodes, en todos los hosts para que se reflejen las nuevas direcciones de host.
Implica editar los archivos nodename, hostname, hosts, defaultdomain, defaultrouter y netmasks
Configurar un servidor de configuracin de red Configurar un host para el modo de cliente de red
Implica activar el daemon in.tftp Cmo instalar un servidor de y editar los archivos hosts, ethers configuracin de red y bootparams en la pgina 107 Implica crear el archivo hostname, editar el archivo hosts y eliminar los archivos nodename y defaultdomain, si existen Cmo configurar hosts para el modo de cliente de red en la pgina 109
103
Tarea
Descripcin
Implica determinar si se utilizar el Cmo activar el enrutamiento enrutamiento esttico o dinmico esttico en un host de interfaz en el host. nica en la pgina 132 y Cmo activar el enrutamiento dinmico en un host de interfaz nica en la pgina 135. Implica cambiar el nombre de host, Cmo cambiar la direccin IPv4 y la direccin IP y otros parmetros otros parmetros de configuracin configurados durante la instalacin de red en la pgina 110 o posteriormente.
La direccin IP de cada interfaz de red en cada sistema. Los nombres de host de cada sistema de la red. Puede escribir el nombre de host en un archivo local o en una base de datos de servicios de nombres. El nombre de dominio DNS, NIS o LDAP en el que reside la base de datos, si es pertinente. Las direcciones de enrutador predeterminadas. Esta informacin se facilita en caso de tener una topologa de red simple con un nico enrutador conectado a cada red. Tambin se facilita esta informacin si los enrutadores no ejecutan protocolos de enrutamiento como RDISC (Router Discovery Server Protocol) o RIP (Router Information Protocol). Para ms informacin sobre los enrutadores predeterminados, consulte Reenvo de paquetes y rutas en redes IPv4 en la pgina 114. Consulte la Tabla 51 para ver una lista de los protocolos de enrutamiento que admite Oracle Solaris. Mscara de subred (slo se necesita para las redes con subredes).
Si el programa de instalacin de Oracle Solaris detecta ms de una interfaz en el sistema, tiene la opcin de configurar las interfaces adicionales durante la instalacin. Para obtener ms informacin, consulte Gua de instalacin de Oracle Solaris 10 9/10: instalaciones bsicas.
104 Gua de administracin del sistema: servicios IP Septiembre de 2010
Este captulo contiene informacin sobre cmo crear y editar archivos de configuracin locales. Consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) para obtener informacin sobre cmo trabajar con bases de datos de servicios de nombres.
Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
2 3
Cambie al directorio /etc. Compruebe que se haya configurado el nombre de host correcto en el archivo /etc/nodename. Al especificar el nombre de host de un sistema durante la instalacin de Oracle Solaris, dicho nombre se especifica en el archivo /etc/nodename. Asegrese de que la entrada del nombre de nodo sea el nombre de host correcto para el sistema.
Compruebe que exista un archivo /etc/hostname.interfaz para cada interfaz de red del sistema. Para obtener la sintaxis del archivo e informacin bsica sobre el archivo /etc/hostname.interfaz, consulte Aspectos bsicos sobre la administracin de interfaces fsicas en la pgina 158. El programa de instalacin de Oracle Solaris requiere la configuracin de al menos una interfaz durante la instalacin. La primera interfaz que se configura automticamente se convierte en la interfaz de red principal. El programa de instalacin crea un archivo /etc/hostname. interfaz para la interfaz de red principal y otras interfaces que configure de modo opcional durante la instalacin. Si ha configurado interfaces adicionales durante la instalacin, compruebe que cada interfaz tenga un archivo /etc/hostname. interfaz correspondiente. No es necesario configurar ms de una interfaz durante la instalacin de Oracle Solaris. Sin embargo, si ms adelante desea agregar ms interfaces al sistema, debe configurarlas manualmente. Para ver los pasos necesarios para configurar interfaces manualmente, consulte Administracin de interfaces en Solaris 10 3/05 en la pgina 141 oCmo configurar una interfaz fsica tras la instalacin del sistema en la pgina 153, para las versiones a partir de Solaris 10 1/06.
Captulo 5 Configuracin de servicios de red TCP/IP y direcciones IPv4 (tareas) 105
Para Solaris 10 11/06 y las versiones anteriores, compruebe que las entradas del archivo /etc/inet/ipnodes sean actuales. El programa de instalacin de Oracle Solaris 10 crea el archivo /etc/inet/ipnodes. Este archivo contiene el nombre de nodo y las direcciones IPv4, as como la direccin IPv6, si es pertinente, de cada interfaz que se configure durante la instalacin. Utilice el formato siguiente para las entradas del archivo /etc/inet/ipnodes:
IP-address node-name nicknames...
Los apodos son nombres adicionales por los que se conoce una interfaz.
6
Compruebe que las entradas del archivo /etc/inet/hosts sean actuales. El programa de instalacin de Oracle Solaris crea entradas para la interfaz de red principal, la direccin en bucle y, si es preciso, cualquier interfaz adicional configurada durante la instalacin. a. Asegrese de que las entradas de /etc/inet/hosts sean actuales. b. (Opcional) Agregue las direcciones IP y los nombres correspondientes para las interfaces de red que se hayan agregado al host local tras la instalacin. c. (Opcional) Agregue la direccin o las direcciones IP del servidor de archivos, si el sistema de archivos /usr est montado con NFS.
Escriba el nombre de dominio completo de host en el archivo /etc/defaultdomain. Por ejemplo, supongamos que el host tenere es parte del dominio deserts.worldwide.com. Por tanto, debera escribir deserts.worldwide.com en /etc/defaultdomain . Consulte Archivo /etc/defaultdomain en la pgina 243 para obtener informacin adicional.
Escriba el nombre de enrutador en el archivo /etc/defaultrouter. Consulte Archivo /etc/defaultrouter en la pgina 243 para obtener informacin sobre este archivo.
Escriba el nombre del enrutador predeterminado y sus direcciones IP en el archivo /etc/inet/hosts. Hay disponibles opciones de enrutamiento adicionales, tal como se describe en Cmo configurar hosts para el modo de cliente de red en la pgina 109. Puede aplicar dichas opciones a una configuracin de modo de archivos locales.
10
106
Si ha configurado un servidor NIS en la misma red que este cliente, puede agregar informacin de netmask en la base de datos adecuada del servidor. Para las dems condiciones, haga lo siguiente:
a. Escriba el nmero de red y la mscara de red en el archivo /etc/inet/netmasks. Use el siguiente formato:
network-number netmask
Para las direcciones CIDR, convierta el prefijo de red en la representacin decimal con punto equivalente. Los prefijos de red y sus equivalentes decimales con punto se incluyen en la Tabla 23. Por ejemplo, utilice lo siguiente para expresar el prefijo de red CIDR 192.168.3.0/22.
192.168.3.0 255.255.252.0
b. Cambie el orden de bsqueda de las mscaras de red en /etc/nsswitch.conf, para que se busquen los archivos locales en primer lugar:
netmasks: 11 files nis
Reinicio el sistema.
Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Cambie al directorio raz (/) del servidor de configuracin de red. Active el daemon in.tftpd creando el directorio /tftpboot:
# mkdir /tftpboot
2 3
Active la lnea tftp en el archivo /etc/inetd.conf. Compruebe que la entrada sea como la siguiente:
tftp dgram udp6 wait root /usr/sbin/in.tftpd in.tftpd -s /tftpboot
Esta lnea impide que in.tftpd recupere archivos que no sean los que se encuentran en /tftpboot.
6
Edite la base de datos hosts. Agregue los nombres de host y direcciones IP para cada cliente de la red.
Edite la base de datos ethers. Cree entradas para cada host en la red que se ejecute en modo de cliente de red.
Edite la base de datos bootparams. Consulte Base de datos bootparams en la pgina 257. Utilice la entrada de comodn o cree una entrada para cada host que se ejecute en modo de cliente de red.
Convierta la entrada /etc/inetd.conf en un manifiesto de servicio de la Utilidad de gestin de servicios (SMF), y active el servicio resultante:
# /usr/sbin/inetconv
10
Ms informacin
108
Cree el archivo /etc/hostname. interfaz, si no existe. Asegrese de que el archivo est vaco. Un archivo /etc/hostname.interfaz vaco hace que el sistema obtenga la direccin IPv4 del servidor de configuracin de red. Asegrese de que el archivo /etc/inet/hosts contenga nicamente el nombre y la direccin IP de localhost de la interfaz de red en bucle.
# cat /etc/inet/hosts # Internet host table # 127.0.0.1 localhost
La interfaz en bucle IPv4 tiene la direccin IP 127.0.0.1 Para ms informacin, consulte Direccin en bucle en la pgina 244. El archivo no debe contener la direccin IP ni el nombre de host para el host local (interfaz de red principal).
5
Compruebe que exista un archivo /etc/defaultdomain. Si existe, elimnelo. El programa hostconfig configura automticamente el nombre de dominio. Para modificar el nombre de dominio que establece hostconfig, escriba el nombre de dominio que desee en el archivo /etc/defaultdomain.
Captulo 5 Configuracin de servicios de red TCP/IP y direcciones IPv4 (tareas) 109
Asegrese de que las rutas de bsqueda del archivo /etc/nsswitch.conf del cliente reflejen los requisitos del servicio de nombres para la red.
En la mayora de los casos, los pasos siguientes utilizan la notacin decimal con punto de IPv4 tradicional para especificar la direccin IPv4 y la mscara de subred. Tambin puede utilizar la notacin CIDR para especificar la direccin IPv4 en todos los archivos aplicables de este procedimiento. Para ver una introduccin a la notacin CIDR, consulte Direcciones IPv4 en formato CIDR en la pgina 56.
1
Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Slo para Solaris 10 11/06 y las versiones anteriores, modifique la direccin IP del archivo /etc/inet/ipnodes o la base de datos ipnodes equivalente. Utilice la siguiente sintaxis para cada direccin IP que agregue al sistema:
IP-address host-name, nicknames IP-address interface-name, nicknames
La primera entrada debe contener la direccin IP de la interfaz de red principal y el nombre de host del sistema. De modo opcional, puede agregar apodos para el nombre de host. Al agregar interfaces fsicas adicionales a un sistema, cree entradas en /etc/inet/ipnodes para las direcciones IP y los nombres asociados de dichas interfaces.
3
Si necesita cambiar el nombre de host del sistema, modifique la entrada de nombre de host en el archivo /etc/nodename.
Gua de administracin del sistema: servicios IP Septiembre de 2010
110
Modifique la direccin IP y, si es preciso, el nombre de host en el archivo /etc/inet/hosts o la base de datos hosts equivalente. Modifique la direccin IP del archivo /etc/hostname.interfaz para la interfaz de red principal. Puede utilizar cualquiera de las siguientes entradas como entrada para la interfaz de red principal en el archivo /etc/hostnameinterfaz:
Direccin IPv4, expresada en el formato decimal con punto tradicional Use la sintaxis siguiente:
IPv4 address subnet mask
La entrada de mscara de red es opcional. Si no la especifica, se utiliza la mscara de red predeterminada. A continuacin le mostramos un ejemplo:
# vi hostname.eri0 10.0.2.5 netmask 255.0.0.0
Direcciones IPv4, expresadas en la notacin CIDR, si son adecuadas para la configuracin de la red.
IPv4 address/network prefix
El prefijo CIDR indica la mscara de red adecuada para la direccin IPv4. Por ejemplo, el /8 indica la mscara de red 255.0.0.0.
Nombre de host. Para utilizar el nombre de host del sistema en el archivo /etc/hostname.interfaz, asegrese de que el nombre de host y la direccin IPv4 asociada tambin estn en la base de datos hosts.
Si la mscara de subred ha cambiado, modifique las entradas de subred en los archivos siguientes:
Si la direccin de subred ha cambiado, cambie la direccin IP del enrutador predeterminado en /etc/defaultrouter a la direccin del nuevo enrutador predeterminado de la subred. Reinicie el sistema.
# reboot -- -r
Captulo 5 Configuracin de servicios de red TCP/IP y direcciones IPv4 (tareas) 111
Ejemplo 51
Cmo modificar las direcciones IPv4 y otros parmetros de red para que persistan en los reinicios
Este ejemplo muestra cmo cambiar los siguientes parmetros de red de un sistema que se pasa a otra subred:
La direccin IP de la interfaz de red principal eri0 cambia de 10.0.0.14 a 192.168.55.14 . El nombre de host cambia de myhost a mynewhostname. La mscara de red cambia de 255.0.0.0 a 255.255.255.0. La direccin del enrutador predeterminado cambia a 192.168.55.200 .
A continuacin, cambie el nombre de host del sistema y la direccin IP de eri0 en los archivos adecuados:
# vi /etc/nodename mynewhostname In Solaris 10 11/06 and earlier Solaris 10 releases only, do the following: # vi /etc/inet/ipnodes 192.168.55.14 mynewhostname #moved system to 192.168.55 net # vi /etc/inet/hosts # # Internet host table # 127.0.0.1 localhost 192.168.55.14 mynewhostname loghost # vi /etc/hostname.eri0 192.168.55.14 netmask 255.255.255.0
# reboot -- -r
Ejemplo 53
Cmo cambiar la direccin IPv4 para la sesin actual, utilizando la notacin CIDR
Este ejemplo muestra cmo cambiar un nombre de host y la direccin IP slo para la sesin actual, utilizando la notacin CIDR. Si reinicia, el sistema vuelve a tener la mscara de subred y la direccin IP anteriores. La direccin IP de la interfaz de red principal, eri0, cambia de 10.0.0.14 a 192.168.6.25/27.
# ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000
Captulo 5 Configuracin de servicios de red TCP/IP y direcciones IPv4 (tareas) 113
eri0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 10.0.0.14 netmask ff000000 broadcast 10.255.255.255 ether 8:0:20:c1:8b:c3 # ifconfig eri0 192.168.6.25/27 broadcast + up # vi /etc/nodename mynewhostname # ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 eri0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.06.25 netmask ffffffe0 broadcast 10.255.255.255 ether 8:0:20:c1:8b:c3 # hostname mynewhostname
Cuando utiliza la notacin CIDR para la direccin IPv4, no es preciso especificar la mscara de red. ifconfig utiliza la designacin de prefijo de red para determinar la mscara de red. Por ejemplo, para la red 192.168.6.0/27, ifconfig configura la mscara de red ffffffe0. Si ha utilizado la designacin de prefijo /24 ms comn, la mscara de red resultante es ffffff00. El uso de la designacin de prefijo /24 equivale a especificar la mscara de red 255.255.255.0 como ifconfig al configurar una nueva direccin IP.
Vase tambin
Para cambiar la direccin IP de una interfaz que no sea la interfaz de red principal, consulte System Administration Guide: Basic Administration y Cmo configurar una interfaz fsica tras la instalacin del sistema en la pgina 153.
Los enrutadores son sistemas configurados especialmente con varias interfaces fsicas que conectan el enrutador a ms de una red local. Por tanto, el enrutador puede reenviar paquetes ms all de la LAN de inicio, al margen de si el enrutador ejecuta un protocolo de enrutamiento. Para ms informacin sobre el modo en que los enrutadores reenvan paquetes, consulte Planificacin de enrutadores en la red en la pgina 66. Los protocolos de enrutamiento administran la actividad de enrutamiento de un sistema y, al intercambiar la informacin de rutas con otros hosts, mantienen las rutas conocidas para las redes remotas. Tanto los enrutadores como los hosts pueden ejecutar protocolos de enrutamiento. Los protocolos de enrutamiento del host se comunican con los daemons de enrutamiento de otros enrutadores y hosts. Estos protocolos ayudan al host a determinar a donde reenviar los paquetes. Cuando las interfaces de red estn activas, el sistema automticamente se comunica con los daemons de enrutamiento. Estos daemons supervisan los enrutadores de la red y publican las direcciones de los enrutadores para los hosts de la red local. Algunos protocolos de enrutamiento, aunque no todos, tambin guardan estadsticas que puede utilizar para medir el rendimiento del enrutamiento. A diferencia del reenvo de paquetes, debe configurar explcitamente el enrutamiento en un sistema Oracle Solaris. Esta seccin contiene las tareas necesarias para administrar el reenvo de paquetes y el enrutamiento en hosts y enrutadores habilitados para IPv4. Para obtener informacin sobre el enrutamiento en una red habilitada para IPv6, consulte Configuracin de un enrutador IPv6 en la pgina 183.
115
TABLA 51 Protocolo
Protocolo Routing Information Protocol (RIP) Descubrimiento de enrutador de protocolo de mensajes de control de Internet (ICMP) Protocolo de informacin de enrutamiento, nueva generacin (RIPng) Protocolo de descubrimiento de vecinos (ND)
in.routed
IGP que enruta paquetes IPv4 y mantiene una tabla de enrutamiento Lo utilizan los hosts para descubrir la presencia de un enrutador en la red
Configuracin de un enrutador IPv4 en la pgina 121 Cmo activar el enrutamiento esttico en un host de interfaz nica en la pgina 132 y Cmo activar el enrutamiento dinmico en un host de interfaz nica en la pgina 135 Cmo configurar un enrutador habilitado para IPv6 en la pgina 184
in.routed
in.ripngd
in.ndpd
Advierte la presencia de un enrutador IPv6 Configuracin de una interfaz de IPv6 y descubre la presencia de hosts IPv6 en en la pgina 177 una red
Oracle Solaris 10 tambin admite los protocolos de enrutamiento de cdigo abierto Quagga. Estos protocolos estn disponibles en el disco de consolidacin de SFW, aunque no forman parte de la distribucin principal de Oracle Solaris. La tabla siguiente enumera los protocolos Quagga:
TABLA 52 Protocolo
Protocolo RIP
ripd
Protocolo IGP vector-distancia para IPv4 que enruta paquetes IPv4 y muestra su tabla de enrutamiento a los vecinos. Protocolo IGP vector-distancia para IPv6. Enruta paquetes IPv6 y mantiene una tabla de enrutamiento. Protocolo IGP de estado de vnculo IPv4 para el enrutamiento de paquetes y las redes de gran disponibilidad Protocolo EGP para IPv4 y IPv6 para el enrutamiento en dominios administrativos.
RIPng Protocolo Abrir primero la ruta ms corta (OSPF) Protocolo de portal de lmite (BGP)
ripngd
ospfd
bgpd
La figura siguiente muestra un sistema autnomo que utiliza los protocolos de enrutamiento Quagga:
116
FIGURA 52
Internet
Host A
Host B
Encaminador predeterminado R3
Encaminador de lmite R5
Re 2 RIP
RIP
Dominio de encaminamiento B
La figura muestra un sistema autnomo de red corporativa subdividido en dos dominios de enrutamiento: A y B. Un dominio de enrutamiento es una interred con una directiva de enrutamiento cohesiva, para fines administrativos o porque el dominio utiliza un nico protocolo de enrutamiento. Ambos dominios de la figura ejecutan protocolos de enrutamiento desde el conjunto de protocolos Quagga. El dominio de enrutamiento A es un dominio OSPF, que se administra con un nico ID de dominio OSPF. Todos los sistemas de este dominio ejecutan OSPF como protocolo de portal interior. Adems de los hosts y enrutadores internos, el dominio A incluye dos enrutadores de lmite.
Captulo 5 Configuracin de servicios de red TCP/IP y direcciones IPv4 (tareas) 117
El enrutador R1 conecta la red corporativa a un ISP y finalmente a Internet. Para facilitar las comunicaciones entre la red corporativa y el exterior, R1 ejecuta BGP en su interfaz de red dirigida al exterior. El enrutador de lmite R5 conecta el dominio A con el dominio B. Todos los sistemas del dominio B se administran con RIP como protocolo de portal interior. Por tanto, el enrutador de lmite R5 debe ejecutar OSPF en la interfaz dirigida al dominio A y RIP en la interfaz dirigida al dominio B. Para obtener ms informacin acerca de los protocolos Quagga, consulte Open Solaris Quagga (http://hub.opensolaris.org/bin/view/Project+quagga/). Para obtener informacin acerca de los procedimientos de configuracin de estos protocolos, visite documentacin de Quagga (http://quagga.net/docs/docs-info.php).
118
FIGURA 53
Internet
ISP Encaminador I Red corporativa Encaminador de lmite Red 10.0.5.0 Encaminador predeterminado Encaminador 1 Encaminamiento dinmico en host A Red 192.168.5.0 Otros hosts Host con varias direcciones permanentes Red 192.168.5.0 Encaminamiento esttico en host B Red 172.20.1.0 Otros hosts Encaminador predeterminado Encaminador 2
Encaminador 3
La figura muestra un SA dividido en tres redes locales: 10.0.5.0, 172.20.1.0 y 192.168.5 . Cuatro enrutadores comparten las responsabilidades de reenvo de paquetes y enrutamiento. El SA incluye los siguientes tipos de sistemas:
Los enrutadores de lmite conectan un SA con una red externa, como Internet. Los enrutadores de lmite se interconectan con redes externas al IGP que se ejecuta en el SA local. Un enrutador de lmite puede ejecutar un EGP, como BGP, para intercambiar informacin con enrutadores externos, por ejemplo los enrutadores del ISP. En la Figura 53, las interfaces del enrutador de lmite se conectan a la red interna 10.0.5.0 y a un enrutador de alta velocidad de un proveedor de servicios.
119
Para obtener informacin sobre cmo configurar un enrutador de lmite, consulte la documentacin de Open Source Quagga (http://www.quagga.net/docs/ docs-info.php#SEC72) para BGP. Si tiene previsto utilizar BGP para conectar el SA con Internet, debe obtener un nmero de sistema autnomo (ASN) del registro de Internet para su configuracin regional. Los registros regionales, como ARIN (American Registry for Internet Numbers), incluyen las pautas para obtener un ASN. Por ejemplo, ARIN Number Resource Policy Manual (http://www.arin.net/policy/nrpm.html#five) contiene instrucciones para obtener un ASN para sistemas autnomos en Estados Unidos y Canad. Su ISP tambin puede facilitarle un ASN.
Los enrutadores predeterminados guardan la informacin de enrutamiento en la red local. Estos enrutadores normalmente ejecutan IGP como RIP. En la Figura 53, las interfaces del enrutador 1 estn conectadas a las redes internas 10.0.5.0 y 192.168.5. El enrutador 1 tambin sirve como enrutador predeterminado para 192.168.5. El enrutador 1 guarda la informacin de enrutamiento para todos los sistemas en 192.168.5 y la dirige a otros enrutadores, como el enrutador de lmite. Las interfaces del enrutador 2 se conectan a las redes internas 10.0.5.0 y 172.20.1. Para ver un ejemplo de configuracin de un enrutador predeterminado, consulte el Ejemplo 54.
Los enrutadores de reenvo de paquetes reenvan paquetes pero no ejecutan protocolos de enrutamiento. Este tipo de enrutador recibe paquetes de una de sus interfaces que est conectada a una nica red. A continuacin, estos paquetes se reenvan mediante otra interfaz del enrutador a otra red local. En la Figura 53, el enrutador 3 es un enrutador de reenvo de paquetes con conexiones a las redes 172.20.1 y 192.168.5. Los hosts mltiples tienen dos o ms interfaces conectadas al mismo segmento de red. Un host mltiple puede reenviar paquetes, que es la accin predeterminada para todos los sistemas que ejecutan Oracle Solaris. La Figura 53 muestra un host mltiple con ambas interfaces conectadas a la red 192.168.5. El Ejemplo 56 muestra cmo configurar un host mltiple. Los hosts de interfaz nica dependen de los enrutadores locales, no slo para reenviar paquetes, sino tambin para recibir informacin de configuracin de gran valor. La Figura 53 incluye el host A en la red 192.168.5, que implementa un enrutamiento dinmico, y el host B en la red 172.20.1, que implementa un enrutamiento esttico. Para configurar un host para ejecutar enrutamiento dinmico, consulte Cmo activar el enrutamiento dinmico en un host de interfaz nica en la pgina 135. Para configurar un host para ejecutar enrutamiento esttico, consulte Cmo activar el enrutamiento esttico en un host de interfaz nica en la pgina 132.
120
Una vez el enrutador est instalado fsicamente en la red, configrelo para que funcione en modo de archivos locales, tal como se describe en Cmo configurar un host para el modo de archivos locales en la pgina 105. Con esta configuracin, los enrutadores se reiniciarn si el servidor de configuracin de red no funciona. En el sistema que va a configurar como enrutador, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
A partir de Solaris 10 1/06, utilice el comando dladm show-link para determinar qu interfaces estn instaladas fsicamente en el enrutador.
# dladm show-link
121
El siguiente ejemplo de resultado de dladm show-link indica que en el sistema hay disponibles una tarjeta NIC qfe con cuatro interfaces y dos interfaces bge.
qfe0 qfe1 qfe2 qfe3 bge0 bge1 3 type: type: type: type: type: type: legacy legacy legacy legacy non-vlan non-vlan mtu: mtu: mtu: mtu: mtu: mtu: 1500 1500 1500 1500 1500 1500 device: device: device: device: device: device: qfe0 qfe1 qfe0 qfe1 bge0 bge1
Revise las interfaces del enrutador que se han configurado y sondeado durante la instalacin.
# ifconfig -a
El resultado siguiente de ifconfig -a muestra que se ha configurado la interfaz qfe0 durante la instalacin. Esta interfaz se encuentra en la red 172.16.0.0. Las interfaces restantes de NIC qfe, qfe1 - qfe3, y las interfaces bge no se han configurado.
lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 qfe0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 172.16.26.232 netmask ffff0000 broadcast 172.16.26.255 ether 0:3:ba:11:b1:15
tras un reinicio.
5
122
El prefijo /24 asigna automticamente la mscara de red 255.255.255.0 a qfe1. Consulte la tabla de prefijos CIDR y sus equivalentes de mscara de red de decimal con punto en la Figura 22.
6
(Opcional) Para asegurarse de que la configuracin de la interfaz persista tras los reinicios, cree un archivo /etc/hostname.interfaz para cada interfaz fsica adicional. Por ejemplo, cree los archivos /etc/hostname.qfe1 y /etc/hostname.qfe2. A continuacin, escriba el nombre de host timbuktu en el archivo /etc/hostname.qfe1 y el nombre de host timbuktu-201 en /etc/hostname.qfe1. Para obtener ms informacin sobre cmo configurar interfaces nicas, consulte Cmo configurar una interfaz fsica tras la instalacin del sistema en la pgina 153. Asegrese de reiniciar la configuracin tras crear el archivo:
# reboot -- -r
Agregue el nombre de host y la direccin IP de cada interfaz al archivo /etc/inet/hosts. Por ejemplo:
172.16.26.232 192.168.200.20 192.168.201.20 192.168.200.9 192.168.200.10 192.168.200.110 192.168.200.12 deadsea timbuktu timbuktu-201 gobi mojave saltlake chilean #interface for network 172.16.0.0 #interface for network 192.168.200 #interface for network 192.168.201
Las interfaces timbuktu y timbuktu-201 se encuentran en el mismo sistema. Observe que la direccin de red para timbuktu-201 es diferente de la interfaz de red para timbuktu. Esa diferencia existe porque el medio de red fsico de la red 192.168.201 est conectado a la interfaz de red timbuktu-201, mientras que el medio de la red 192.168.200 est conectado a la interfaz timbuktu.
8
Slo para Solaris 10 11/06 y las versiones anteriores de Solaris 10, agregue la direccin IP y el nombre de host de cada interfaz nueva en el archivo /etc/inet/ipnodes o la base de datos ipnodes equivalente. Por ejemplo:
vi /etc/inet/ipnodes 172.16.26.232 deadsea 192.168.200.20 timbuktu 192.168.201.20 timbuktu-201 #interface for network 172.16.0.0 #interface for network 192.168.200 #interface for network 192.168.201
Si el enrutador est conectado a una red con subredes, agregue el nmero de red y la mscara de red al archivo /etc/inet/netmasks.
Para las direcciones CIDR, utilice la versin de decimal con punto del prefijo en la entrada del archivo /etc/inet/netmask. Los prefijos de red y sus equivalentes decimales con punto se pueden encontrar en la Figura 22. Por ejemplo, debe utilizar la entrada siguiente de /etc/netmasks para expresar el prefijo de red CIDR 192.168.3.0/22:
192.168.3.0 255.255.252.0
10
Habilite el reenvo de paquetes IPv4 en el enrutador. Utilice uno de los siguientes comandos para habilitar el reenvo de paquetes:
En este punto, el enrutador puede reenviar paquetes ms all de la red local. El enrutador tambin admite el enrutamiento esttico, un proceso que permite agregar manualmente rutas a la tabla de enrutamiento. Si tiene previsto utilizar enrutamiento esttico en este sistema, habr finalizado la configuracin del enrutador. Sin embargo, debe guardar las rutas en la tabla de enrutamiento del sistema. Para obtener informacin sobre cmo agregar rutas, consulte Configuracin de rutas en la pgina 127 y la pgina del comando man route(1M).
11
(Opcional) Inicie un protocolo de enrutamiento. El daemon de enrutamiento /usr/sbin/in.routed actualiza automticamente la tabla de enrutamiento. Este proceso se conoce como enrutamiento dinmico. Active los protocolos de enrutamiento IPv4 predeterminados de uno de los modos siguientes:
Utilice el siguiente comando de SMF para iniciar un protocolo de enrutamiento como RIP.
# svcadm enable route:default
El FMRI SMF asociado con el daemon in.routed es svc:/network/routing/route. Para obtener informacin sobre el comando routeadm, consulte la pgina del comando man routeadm(1M).
Ejemplo 54
124
Si se ha convertido en superusuario o ha asumido una funcin equivalente, determinar el estado de las interfaces del sistema. A partir de Solaris 10 1/06, puede utilizar el comando dladm como se indica a continuacin:
# dladm show-link ce0 type: legacy mtu: 1500 bge0 type: non-vlan mtu: 1500 bge1 type: non-vlan mtu: 1500 device: ce0 device: bge0 device: bge1
# ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 ce0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 172.20.1.10 netmask ffff0000 broadcast 172.20.10.100 ether 8:0:20:c1:1b:c6
El resultado de dladm show-link indica que hay tres vnculos disponibles en el sistema. Slo se ha sondeado la interfaz ce0. Para iniciar la configuracin de enrutador predeterminada, debe sondear fsicamente la interfaz bge0 a la red 10.0.5.0. A continuacin, debe sondear la interfaz y configurarla para que persista tras los reinicios.
# ifconfig bge0 plumb up # ifconfig bge0 10.0.5.10 # ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 ce0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 172.20.1.10 netmask ffff0000 broadcast 172.255.255.255 ether 8:0:20:c1:1b:c6 bge0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 10.0.5.10 netmask ff000000 broadcast 10.255.255.255 ether 8:0:20:e5:95:c4 # vi /etc/hostname.bge0 10.0.5.10 255.0.0.0
Siga configurando las siguientes bases de datos de red con informacin sobre la interfaz que acaba de sondear y la red a la que est conectada:
# vi /etc/inet/hosts 127.0.0.1 localhost 172.20.1.10 router2 10.0.5.10 router2-out # vi /etc/inet/netmasks 172.20.1.0 255.255.0.0 10.0.5.0 255.0.0.0
Finalmente, utilice SMF para activar el reenvo de paquetes y luego active el daemon de enrutamiento in.routed.
Captulo 5 Configuracin de servicios de red TCP/IP y direcciones IPv4 (tareas) 125
Ahora el reenvo de paquetes IPv4 y el enrutamiento dinmico mediante RIP estn activados en el enrutador 2. Sin embargo, la configuracin de enrutador predeterminada para la red 172.20.1.0 todava no se ha completado. Debe hacer lo siguiente:
Modificar cada host de 172.10.1.10 para que obtenga su informacin de enrutamiento del nuevo enrutador predeterminado. Para ms informacin, consulte Cmo activar el enrutamiento esttico en un host de interfaz nica en la pgina 132. Defina una ruta esttica para el enrutador de lmite en la tabla de enrutamiento del enrutador 2. Para obtener ms informacin, consulte Tablas y tipos de enrutamiento en la pgina 126.
En un sistema Oracle Solaris puede configurar dos tipos de enrutamiento: esttico y dinmico. Puede configurar uno o ambos tipos de enrutamiento en un nico sistema. Un sistema que implementa enrutamiento dinmico se basa en los protocolos de enrutamiento, como RIP para redes IPv4 y RIPng para redes IPv6, con el fin de mantener sus tablas de enrutamiento. Un sistema que slo ejecuta enrutamiento esttico no se basa en ningn protocolo de enrutamiento para la informacin de enrutamiento ni para actualizar la tabla de enrutamiento. Es preciso guardar las rutas conocidas del sistema manualmente con el comando route. Para obtener ms informacin al respecto, consulte la pgina del comando man route(1M). Al configurar el enrutamiento para la red local o el sistema autnomo, considere el tipo de enrutamiento que desea para los hosts y enrutadores especficos. La tabla siguiente muestra los diversos tipos de enrutamiento y las redes para las que es adecuado cada tipo.
126 Gua de administracin del sistema: servicios IP Septiembre de 2010
Tipo de enrutamiento
Recomendado para
Esttico
Hosts y redes de tamao reducido que obtienen las rutas de un enrutador predeterminado, y enrutadores predeterminados que slo necesitan conocer uno o dos enrutadores en los siguientes saltos. Interredes de mayor tamao, enrutadores en redes locales con mltiples hosts y hosts de sistemas autnomos de gran tamao. El enrutamiento dinmico es la mejor opcin para los sistemas en la mayora de las redes. Enrutadores que conectan una red con enrutamiento esttico y una red con enrutamiento dinmico, y enrutadores de lmite que conectan un sistema autnomo interior con redes externas. La combinacin del enrutamiento esttico y dinmico en un sistema es una prctica habitual.
Dinmico
Configuracin de rutas
Para implementar el enrutamiento dinmico para una red IPv4, utilice el comando routeadm o svcadm para iniciar el daemon de enrutamiento in.routed. Para ver las instrucciones, consulte Configuracin de un enrutador IPv4 en la pgina 121. El enrutamiento dinmico es la estrategia preferida para la mayora de las redes y sistemas autnomos. Sin embargo, la topologa de red o un sistema especfico de la red podran requerir el enrutamiento esttico. En tal caso, debe editar manualmente la tabla de enrutamiento del sistema para que refleje la ruta conocida al portal. El siguiente procedimiento muestra cmo agregar una ruta esttica.
Nota Dos rutas al mismo destino no hacen que el sistema ejecute automticamente la funcin
de equilibrio de carga o fallos. Si necesita estas funciones, utilice IPMP, tal como se describe en el Captulo 30, Introduccin a IPMP (descripcin general).
Visualice el estado actual de la tabla de enrutamiento. Utilice su cuenta de usuario habitual para ejecutar el siguiente comando netstat:
% netstat -rn
Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
-p
Crea una ruta que debe persistir tras el reinicio del sistema. Si desea que la ruta sea vlida slo para la sesin actual, no utilice la opcin -p. Indica que est a punto de agregar la siguiente ruta. Especifica que la ruta se dirige a la red con la direccin de direccin_red. Indica que el sistema de portal para la ruta especificada tiene la direccin IP direccin_portal.
Ejemplo 55
Flags Ref Use Interface ----- ----- ------ --------UG 1 249 ce0 U 1 0 ce0 U 1 78 bge0 UH 1 57 lo0
La tabla de enrutamiento indica las dos rutas que conoce el enrutador 2. La ruta predeterminada utiliza la interfaz 172.20.1.10 del enrutador 2 como portal. La segunda ruta, 10.0.5.0, fue descubierta por el daemon in.routed que se ejecuta en el enrutador 2. El portal de esta ruta es el enrutador 1, con la direccin IP 10.0.5.20.
128
Para agregar una segunda ruta a la red 10.0.5.0, que tiene su portal como enrutador de lmite, debe configurar lo siguiente:
# route -p add -net 10.0.5.0/24 -gateway 10.0.5.150/24 add net 10.0.5.0: gateway 10.0.5.150
Ahora la tabla de enrutamiento cuenta con una ruta para el enrutador de lmite, que tiene la direccin IP 10.0.5.150/24.
# netstat -rn Routing Table: IPv4 Destination -------------------default 224.0.0.0 10.0.5.0 10.0.5.0 127.0.0.1
Flags Ref Use Interface ----- ----- ------ --------UG 1 249 ce0 U 1 0 ce0 U 1 78 bge0 U 1 375 bge0 UH 1 57 lo0
Los servidores NFS, especialmente los que funcionan como grandes centros de datos, se pueden conectar a ms de una red para que una agrupacin de usuarios de gran tamao pueda compartir archivos. No es necesario que estos servidores mantengan tablas de enrutamiento. Los servidores de bases de datos pueden tener varias interfaces de red para proporcionar recursos a una agrupacin de usuarios de gran tamao, como los servidores NFS. Los portales de cortafuegos son sistemas que proporcionan conexin entre la red de una compaa y las redes pblicas como Internet. Los administradores configuran los cortafuegos como una medida de seguridad. Cuando se configura el host como un cortafuegos, no transfiere paquetes entre las redes conectadas a las interfaces del host. Sin embargo, el host puede seguir ofreciendo los servicios TCP/IP estndar, como ssh, a los usuarios autorizados.
129
Nota Cuando los hosts mltiples tienen diferentes tipos de cortafuegos en cualquiera de sus interfaces, procure evitar las interrupciones involuntarias de los paquetes del host. Este problema sucede especialmente con los cortafuegos con estado. Una solucin podra ser configurar los cortafuegos sin estado. Para ms informacin sobre los cortafuegos, consulte Firewall Systems de System Administration Guide: Security Services o la documentacin del cortafuegos si es de otro proveedor.
En el host mltiple previsto, asuma la funcin de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Configure y conecte cada interfaz de red adicional que no se haya configurado como parte de la instalacin de Oracle Solaris. Consulte Cmo configurar una interfaz fsica tras la instalacin del sistema en la pgina 153. Compruebe que el reenvo de IP no est activo en el host mltiple.
# routeadm
El comando routeadm sin opciones informa del estado de los daemon de enrutamiento. El siguiente resultado de routeadm muestra que el reenvo de IPv4 est activo:
Current Current Option Configuration System State --------------------------------------------------------------IPv4 routing disabled disabled IPv6 routing disabled disabled IPv4 forwarding enabled disabled IPv6 forwarding disabled disabled Routing services 4 "route:default ripng:default" Configuration
Desactive el reenvo de paquetes, si est activo en el sistema. Utilice uno de los siguientes comandos:
130
(Opcional) Active el enrutamiento dinmico para el host mltiple. Utilice uno de los siguientes comandos para activar el daemon in.routed:
Ejemplo 56
El comando dladm show-link muestra que hostc tiene dos interfaces con un total de cinco vnculos posibles. Sin embargo, slo se ha sondeado hme0. Para configurar hostc como host mltiple, debe agregar qfe0 u otro vnculo en la tarjeta NIC qfe. En primer lugar, debe conectar fsicamente la interfaz qfe0 a la red 192.168.5.0. A continuacin, sondee la interfaz qfe0 y haga que persista tras los reinicios.
# ifconfig qf0 plumb up # ifconfig qfe0 192.168.5.85 # ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 hme0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.5.82 netmask ff0000 broadcast 192.255.255.255 ether 8:0:20:c1:1b:c6 qfe0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.5.85 netmask ff000000 broadcast 192.255.255.255 ether 8:0:20:e1:3b:c4 # vi /etc/hostname.qfe0 192.168.5.85 255.0.0.0
131
El comando routeadm indica que el enrutamiento dinmico a travs del daemon in.routed y el reenvo de paquetes estn activos. Sin embargo, necesita desactivar el reenvo de paquetes:
# svcadm disable ipv4-forwarding
Tambin puede utilizar los comandos routeadm como se indica en Cmo crear un host mltiple en la pgina 130 para desactivar el reenvo de paquetes. Cuando el reenvo de paquetes est desactivado, host3 se convierte en un host mltiple.
132
informacin de enrutamiento. La figura Topologa de sistemas autnomos IPv4 en la pgina 118 muestra varios enrutadores predeterminados y sus hosts cliente. Si ha facilitado el nombre de un enrutador predeterminado al instalar un host especfico, dicho host ya estar configurado para utilizar el enrutamiento esttico.
Nota Tambin puede utilizar el procedimiento siguiente para configurar enrutamiento esttico en un host mltiple.
Para obtener informacin sobre el archivo /etc/defaultrouter, consulte Archivo /etc/defaultrouter en la pgina 243. Para obtener informacin sobre el enrutamiento esttico y la tabla de enrutamiento, consulte Tablas y tipos de enrutamiento en la pgina 126.
1
En el host de interfaz nica, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Compruebe que el archivo /etc/defaultrouter est presente en el host.
# cd /etc # ls | grep defaultrouter
3 4
Abra un editor de texto para crear o modificar el archivo /etc/defaultrouter. Agregue una entrada para el enrutador predeterminado.
# vi /etc/defaultrouter router-IP
donde IP_enrutador indica la direccin IP del enrutador predeterminado para el host que se debe usar.
5
133
Agregue una entrada para el enrutador predeterminado en el archivo /etc/inet/hosts local. Para obtener informacin sobre cmo configurar /etc/inet/hosts, consulte Cmo cambiar la direccin IPv4 y otros parmetros de configuracin de red en la pgina 110.
Ejemplo 57
La entrada en el archivo /etc/defaultrouter es la direccin IP de la interfaz en el enrutador 2, que se conecta a la red 172.20.1.0. A continuacin, compruebe si el host permite el reenvo de paquetes o el enrutamiento.
# routeadm Configuration Current Current Option Configuration System State --------------------------------------------------------------IPv4 routing disabled disabled IPv6 routing disabled disabled IPv4 forwarding enabled enabled IPv6 forwarding disabled disabled Routing services "route:default ripng:default"
El reenvo de paquetes est activado para este host especfico. Debe desactivarlo del modo siguiente:
# svcadm disable ipv4-forwarding
Por ltimo, debe asegurarse de que el archivo /etc/inet/hosts del host tenga una entrada para el nuevo enrutador predeterminado.
# vi /etc/inet/hosts 127.0.0.1 localhost 172.20.1.18 host2 #primary network interface for host2 172.20.1.10 router2 #default router for host2
134
En el host, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Compruebe que exista el archivo /etc/defaultrouter.
# cd /etc # ls | grep defaultrouter
Si /etc/defaultrouter existe, elimine cualquier entrada que encuentre. Un archivo /etc/defaultrouter vaco obliga al host a utilizar el enrutamiento dinmico. Compruebe que el reenvo de paquetes y el enrutamiento estn activados en el host.
# routeadm Configuration Current Current Option Configuration System State --------------------------------------------------------------IPv4 routing disabled disabled IPv6 routing disabled disabled IPv4 forwarding enabled enabled IPv6 forwarding disabled disabled Routing services "route:default ripng:default"
Si el reenvo de paquetes est activo, desactvelo. Utilice uno de los siguientes comandos:
Active los protocolos de enrutamiento en el host. Utilice uno de los siguientes comandos:
135
# routeadm -e ipv4-routing -u
Ahora el enrutamiento dinmico de IPv4 estar activo. La tabla de enrutamiento del host se guarda de forma dinmica mediante el daemon in.routed.
Ejemplo 58
El archivo presenta la entrada 192.168.5.10, que es la direccin IP del enrutador 1. Para activar el enrutamiento esttico, deber eliminar esta entrada. A continuacin, debe verificar que el reenvo de paquetes y el enrutamiento estn activados para el host.
Configuration Current Current Option Configuration System State --------------------------------------------------------------IPv4 routing disabled disabled IPv6 routing disabled disabled IPv4 forwarding disabled disabled IPv6 forwarding disabled disabled Routing services "route:default ripng:default" # routeadm
Tanto el enrutamiento como el reenvo de paquetes estn desactivados para hosta . Active el enrutamiento para completar la configuracin del enrutamiento dinmico para hosta, del modo siguiente:
# svcadm enable route:default
136
Registrar todas las conexiones TCP entrantes Agregar servicios que ejecutan un protocolo de capa de transporte, utilizando SCTP a modo de ejemplo Configurar la funcin de envoltorios TCP para el control de acceso
Para obtener informacin detallada sobre el daemon inetd, consulte la pgina del comando man inetd(1M).
137
La tarea siguiente muestra cmo agregar un servicio SCTP inet que administre el daemon inetd al depsito SMF. La tarea muestra cmo utilizar los comandos de la Utilidad de gestin de servicios (SMF) para agregar el servicio.
Para obtener informacin sobre los comandos SMF, consulte SMF Command-Line Administrative Utilities de System Administration Guide: Basic Administration. Para obtener informacin sobre la sintaxis, consulte las pginas del comando man para los comandos SMF, como se describe en el procedimiento. Para obtener informacin detallada sobre SMF, consulte la pgina del comando man smf(5).
Antes de empezar
Antes de llevar a cabo el procedimiento siguiente, cree un archivo manifest para el servicio. El procedimiento utiliza como ejemplo un archivo manifest para el servicio echo que se denomina echo.sctp.xml . Inicie sesin en el sistema local con una cuenta de usuario con privilegios de escritura para los archivos del sistema. Edite el archivo /etc/services y agregue una definicin para el nuevo servicio. Utilice la siguiente sintaxis para la definicin del servicio.
service-name |port/protocol | aliases
138
Agregue el nuevo servicio. Vaya al directorio en el que se encuentra el manifiesto del servicio y escriba lo siguiente:
# cd dir-name # svccfg import service-manifest-name
Para ver la sintaxis completa de svccfg, consulte la pgina del comando man svccfg(1M). Supongamos que desea agregar un nuevo servicio SCTP echo utilizando el manifiesto echo.sctp.xml que se encuentra en el directorio service.dir. Debe escribir lo siguiente:
# cd service.dir # svccfg import echo.sctp.xml 4
Para el argumento FMRI, utilice el Fault Managed Resource Identifier (FMRI) del manifiesto del servicio. Por ejemplo, para el servicio SCTP echo, debe utilizar el comando siguiente:
# svcs svc:/network/echo:sctp_stream
Si desea obtener informacin detallada sobre el comando svcs, consulte la pgina del comando man svcs(1). El resultado indica que el nuevo manifiesto del servicio est desactivado.
5
Enumere las propiedades del servicio para determinar si debe realizar modificaciones.
# inetadm -l FMRI
Para obtener informacin detallada sobre el comando inetadm, consulte la pgina del comando man inetadm(1M). Por ejemplo, para el servicio SCTP echo, debe escribir lo siguiente:
# inetadm -l svc:/network/echo:sctp_stream SCOPE NAME=VALUE name="echo" endpoint_type="stream" proto="sctp" isrpc=FALSE wait=FALSE exec="/usr/lib/inet/in.echod -s" . . default tcp_trace=FALSE default tcp_wrappers=FALSE
139
Compruebe que el servicio est activado: Por ejemplo, para el nuevo servicio echo, debe escribir:
# inetadm | grep sctp_stream . . enabled online svc:/network/echo:sctp_stream
Ejemplo 59
# inetadm -l svc:/network/echo:sctp_stream SCOPE NAME=VALUE name="echo" endpoint_type="stream" proto="sctp" isrpc=FALSE wait=FALSE exec="/usr/lib/inet/in.echod -s" user="root" default bind_addr="" default bind_fail_max=-1 default bind_fail_interval=-1 default max_con_rate=-1 default max_copies=-1 default con_rate_offline=-1 default failrate_cnt=40 default failrate_interval=60 default inherit_env=TRUE default tcp_trace=FALSE default tcp_wrappers=FALSE
140
# inetadm -e svc:/network/echo:sctp_stream # inetadm | grep echo disabled disabled disabled disabled enabled online svc:/network/echo:stream svc:/network/echo:dgram svc:/network/echo:sctp_stream
Cmo utilizar los envoltorios TCP para controlar el acceso a los servicios TCP
El programa tcpd implementa envoltorios TCP. Los envoltorios TCP incorporan una medida de seguridad para los daemons de servicio como ftpd al permanecer entre el daemon y las solicitudes de servicio entrantes. Los envoltorios TCP registran los intentos de conexin correctos e incorrectos. Asimismo, los envoltorios TCP pueden proporcionar control de acceso, y permitir o denegar la conexin en funcin del lugar donde se origine la solicitud. Puede utilizar los envoltorios TCP para proteger los daemons como SSH, Telnet o FTP. La aplicacin sendmail tambin puede utilizar envoltorios TCP, tal como se describe en Support for TCP Wrappers From Version 8.12 of sendmail de System Administration Guide: Network Services.
En el sistema local, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Active los envoltorios TCP.
# inetadm -M tcp_wrappers=TRUE
Configure la directiva de control de acceso de los envoltorios TCP tal como se describe en la pgina del comando man hosts_access(3). Esta pgina del comando man se encuentra en el directorio /usr/sfw/man del CD-ROM de SFW, que se suministra con el CD-ROM de Oracle Solaris.
Cmo agregar interfaces fsicas tras la instalacin del sistema Cmo agregar una red de rea local virtual (VLAN) a un adaptador de red
141
Adems de las tarjetas NIC integradas, puede agregar al sistema NIC que haya adquirido por separado. Las tarjetas NIC que haya adquirido por separado se instalan fsicamente de acuerdo con las instrucciones del fabricante. A continuacin, debe configurar las interfaces de las NIC para que se puedan utilizar para transferir trfico de datos. A continuacin se mencionan algunos motivos para configurar las interfaces adicionales en un sistema tras la instalacin:
142
Desea actualizar el sistema para convertirlo en un host mltiple. Para ms informacin sobre los hosts mltiples, consulte Configuracin de hosts mltiples en la pgina 129. Desea cambiar el host por un enrutador. Para obtener instrucciones sobre cmo configurar los enrutadores, consulte Configuracin de un enrutador IPv4 en la pgina 121. Desea agregar una interfaz a un grupo IPMP. Para obtener informacin sobre las interfaces de un grupo IPMP, consulte Configuraciones de interfaces IPMP en la pgina 764.
SOLAMENTE
Antes de empezar
Determine las direcciones IPv4 que desea utilizar para las interfaces adicionales. La interfaz fsica que se debe configurar debe estar presente en el sistema. Para obtener informacin sobre cmo instalar hardware NIC que haya adquirido por separado, consulte las instrucciones del fabricante que se incluyen con la tarjeta NIC. El siguiente procedimiento presupone que ha realizado un inicio de reconfiguracin tras instalar fsicamente una nueva interfaz.
Nota El siguiente procedimiento se aplica nicamente a los usuarios de Solaris 10 3/05. Si est utilizando una actualizacin de Oracle Solaris 10, consulte Cmo configurar una interfaz fsica tras la instalacin del sistema en la pgina 153.
En el sistema cuyas interfaces se deben configurar, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
tras un reinicio.
3
143
Compruebe que las interfaces que acaba de configurar estn sondeadas y configuradas, o "UP".
# ifconfig -a
Compruebe la lnea de estado para cada interfaz que se muestre. Asegrese de que el resultado contenga un indicador UP en la lnea de estado, por ejemplo:
qfe0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 5
(Opcional) Para que la configuracin de la interfaz persista tras los reinicios, siga estos pasos: a. Cree un archivo /etc/hostname.interfaz para todas las interfaces que deba configurar. Por ejemplo, para agregar una interfaz qfe0, debe crear el siguiente archivo:
# vi /etc/hostname.qfe0
b. Edite el archivo /etc/hostname.interfaz. Como mnimo, agregue la direccin IPv4 de la interfaz al archivo. Tambin puede agregar al archivo una mscara de red u otra informacin de configuracin.
Nota Para agregar una direccin IPv6 a una interfaz, consulte Modificacin de la configuracin de una interfaz de IPv6 para hosts y servidores en la pgina 187
c. Agregue entradas para las nuevas interfaces en el archivo /etc/inet/hosts. d. Efecte un inicio de reconfiguracin.
# reboot -- -r
e. Compruebe que la interfaz que ha creado en el archivo /etc/hostname. interfaz se haya configurado.
# ifconfig -a Ejemplo 510
144
# # # #
# ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 hme0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 10.0.0.14 netmask ff000000 broadcast 10.255.255.255 ether 8:0:20:c1:8b:c3 qfe0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 3 inet 10.0.0.32 netmask ff000000 broadcast 10.255.255.255 ether 8:0:20:c8:f4:1d qfe1: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 4 inet 10.0.0.33 netmask ff000000 broadcast 10.255.255.255 ether 8:0:20:c8:f4:1e Vase tambin
Para configurar una direccin IPv6 en una interfaz, consulte Cmo habilitar una interfaz de IPv6 para la sesin actual en la pgina 178. Para configurar la deteccin de fallos y la recuperacin tras un fallo para interfaces utilizando las rutas mltiples de redes (IPMP), consulte el Captulo 31, Administracin de IPMP (tareas).
En el sistema cuya interfaz debe eliminar, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Elimine la interfaz fsica. Escriba la forma siguiente del comando ifconfig:
# ifconfig interfacedown unplumb
145
usuarios de Solaris 10 3/05. Si est utilizando una actualizacin de Oracle Solaris 10, consulte Administracin de redes de rea local virtuales en la pgina 160. Las redes de rea local virtual (VLAN) se utilizan comnmente para dividir grupos de usuarios de red en dominios de difusin manejables, con el fin de crear una segmentacin lgica de grupos de trabajo, y de aplicar directivas de seguridad en cada segmento lgico. Con varias VLAN en un adaptador, un servidor con un nico adaptador puede tener una presencia lgica en varias subredes IP. De modo predeterminado, pueden definirse 512 VLAN para cada adaptador compatible con VLAN del servidor. Si la red no necesita varias VLAN, puede utilizar la configuracin predeterminada, en cuyo caso no se requiere ninguna configuracin adicional. Para ver una descripcin general de las VLAN, consulte Descripcin general de una configuracin VLAN en la pgina 161. Las VLAN se pueden crear de acuerdo con varios criterios, pero cada VLAN debe tener asignada una etiqueta VLAN o un ID de VLAN(VID). El VID es un identificador de 12 bits entre 1 y 4094 que identifica una VLAN exclusiva. Para cada interfaz de red (por ejemplo, ce0, ce1, ce2, etc.), pueden crearse 512 VLAN. Dado que las subredes IP se utilizan habitualmente, utilcelas cuando configure una interfaz de red VLAN. Esto significa que cada VID que asigne a una interfaz VLAN de una interfaz de red fsica pertenece a diferentes subredes. Para etiquetar una estructura Ethernet, es preciso agregar un encabezado de etiqueta a la estructura. La estructura se inserta inmediatamente a continuacin de la direccin MAC de destino y la direccin MAC de origen. El encabezado de etiqueta se compone de dos bytes de TPID (Tag Protocol Identifier, 0x8100) de Ethernet y dos bytes de TCI (Tag Control Information). La figura siguiente muestra el formato de encabezado de etiqueta de Ethernet.
146
FIGURA 54
usuarios de Solaris 10 3/05. Si est utilizando una actualizacin de Oracle Solaris 10, consulte Cmo configurar una VLAN en la pgina 164.
1
Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Determine el tipo de interfaces que se utilizan en su sistema. Es posible que las letras ce no hagan referencia al adaptador de red de su sistema, lo cual es necesario para una VLAN.
# ifconfig -a lo0: flags=1000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 hme0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 129.156.200.77 netmask ffffff00 broadcast 129.156.200.255
Cree un archivo hostname.ce num (hostname6.cenum para IPv6) para las redes VLAN que se configurarn para cada adaptador del servidor. Utilice el siguiente formato de denominacin que incluye el VID y el punto fsico de conexin (PPA): VLAN logical PPA = 1000 * VID + PPA de dispositivo ce123000 = 1000*123 + 0 Por ejemplo: hostname.ce123000 PPA lgico de VLAN = 1000 * VID + PPA de dispositivo ce11000 = 1000*11 + 0
Captulo 5 Configuracin de servicios de red TCP/IP y direcciones IPv4 (tareas) 147
Por ejemplo: hostname.ce11000 Este formato limita el mximo de PPA (instancias) que se pueden configurar a 1.000 en el archivo /etc/path_to_inst. Por ejemplo, si un servidor con el adaptador Sun Gigabit Ethernet/P 3.0 tiene una instancia de 0, que pertenece a dos VLAN con los VID 123 y 224, debe utilizar ce123000 y ce224000, respectivamente, como los dos PPA de VLAN.
4
Configure un dispositivo virtual de VLAN: Por ejemplo, puede utilizar los siguientes ejemplos de ifconfig:
# ifconfig ce123000 plumb up # ifconfig ce224000 plumb up
El resultado de ifconfig -a en un sistema con dispositivos VLAN ce123000 y ce224000 debe ser parecido al siguiente
# ifconfig -a lo0: flags=1000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 hme0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 129.144.131.91 netmask ffffff00 broadcast 129.144.131.255 ether 8:0:20:a4:4f:b8 ce123000: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 3 inet 199.199.123.3 netmask ffffff00 broadcast 199.199.123.255 ether 8:0:20:a4:4f:b8 ce224000: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 4 inet 199.199.224.3 netmask ffffff00 broadcast 199.199.224.255 ether 8:0:20:a4:4f:b8 5
En el conmutador, configure las etiquetas VLAN y los puertos VLAN para que coincidan con las VLAN que ha configurado en el servidor. Siga los ejemplos del paso 4 para configurar los puertos de VLAN 123 y 224 en el conmutador o los puertos VLAN 10 y 11. Consulte la documentacin que se facilita con su conmutador para ver las instrucciones especficas para configurar las etiquetas y los puertos VLAN.
148
C A P T U L O
Administracin de interfaces (mapa de tareas) en la pgina 150 Aspectos bsicos sobre la administracin de interfaces fsicas en la pgina 158 Administracin de interfaces de red individuales en la pgina 151
El nuevo comando dladm para ver el estado de la interfaz se ha introducido en Cmo configurar una interfaz fsica tras la instalacin del sistema en la pgina 153. Se ha ampliado la compatibilidad con VLAN a las interfaces GLDv3, tal como se explica en Administracin de redes de rea local virtuales en la pgina 160. Se ha incorporado la compatibilidad con vnculos en Descripcin general de agregaciones de vnculos en la pgina 166.
En Solaris 10 7/07, /etc/inet/ipnodes pasa a estar obsoleto. Utilice /etc/inet/ipnodes nicamente para las versiones anteriores de Solaris 10, tal como se explica en los procedimientos individuales.
149
Comprobar el estado de las interfaces en un sistema. Agregar una sola interfaz tras la instalacin del sistema. SPARC: comprobar que la direccin MAC de una interfaz sea nica. Planificar una red de rea local virtual (VLAN). Configurar una VLAN. Planificar adiciones.
Enumera todas las interfaces del Cmo obtener el estado de una sistema y comprueba cules de ellas interfaz en la pgina 151 ya estn sondeadas. Cambia un sistema a un enrutador o host mltiple configurando otra interfaz. Cmo configurar una interfaz fsica tras la instalacin del sistema en la pgina 153
Comprueba que la interfaz est SPARC: Cmo asegurarse de que configurada con su direccin MAC la direccin MAC de una interfaz de fbrica, en lugar de la direccin sea nica en la pgina 156 MAC del sistema (slo SPARC). Lleva a cabo las tareas de planificacin necesarias antes de crear una VLAN. Crea y modifica VLAN en la red. Disea la adicin y lleva a cabo las tareas de planificacin necesarias para configurar las adiciones. Lleva a cabo las tareas relativas a la adicin de vnculos. Configura los fallos y las recuperaciones tras los fallos para las interfaces que son miembro de un grupo IPMP. Cmo planificar la configuracin de una VLAN en la pgina 163 Cmo configurar una VLAN en la pgina 164 Descripcin general de agregaciones de vnculos en la pgina 166 Cmo crear una agregacin de vnculos en la pgina 170 Cmo planificar un grupo IPMP en la pgina 777 Cmo configurar un grupo IPMP con mltiples interfaces en la pgina 779
150
Para actualizar el sistema y convertirlo en un host mltiple. Para ms informacin, consulte Configuracin de hosts mltiples en la pgina 129. Para cambiar un host por un enrutador. Para obtener instrucciones sobre cmo configurar los enrutadores, consulte Configuracin de un enrutador IPv4 en la pgina 121. Para configurar las interfaces como parte de una VLAN. Para ms informacin, consulte Administracin de redes de rea local virtuales en la pgina 160. Para configurar las interfaces como miembros de una adicin. Para obtener ms informacin, consulte Descripcin general de agregaciones de vnculos en la pgina 166. Para agregar una interfaz a un grupo IPMP. Para obtener instrucciones sobre cmo configurar un grupo IPMP, consulte Configuracin de grupos IPMP en la pgina 777.
Esta seccin incluye informacin sobre cmo configurar interfaces de red individuales, a partir de Solaris 10 1/06. Consulte las secciones siguientes para obtener informacin sobre cmo configurar las interfaces de las siguientes agrupaciones:
Para configurar las interfaces de una VLAN, consulte Administracin de redes de rea local virtuales en la pgina 160. Para configurar las interfaces de una adicin, consulte Descripcin general de agregaciones de vnculos en la pgina 166. Para configurar las interfaces como miembros de grupos IPMP, consulte Configuracin de grupos IPMP en la pgina 777.
En el sistema cuyas interfaces se deben configurar, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Determine qu interfaces hay instaladas en el sistema.
# dladm show-link
Captulo 6 Administracin de interfaces de red (tareas) 151
En este paso se utiliza el comando dladm, que se explica detalladamente en la pgina del comando man dladm(1M). Este comando muestra todos los controladores de interfaces que encuentra, al margen de si las interfaces estn configuradas.
3
El comando ifconfig cuenta con mltiples funciones adicionales, incluida la conexin de una interfaz. Para ms informacin, consulte la pgina del comando man ifconfig(1M).
Ejemplo 61
El resultado de dladm show-link indica que hay disponibles cuatro controladores de interfaz para el host local. Pueden configurarse las interfaces ce y bge para las VLAN. Sin embargo, slo se pueden utilizar las interfaces GLDV3 con el tipo non-VLAN para las adiciones de vnculos. El ejemplo siguiente muestra la visualizacin del estado con el comando ifconfig - a.
# ifconfig -a lo0: flags=2001000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 ce0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4>mtu 1500 index 3 inet 192.168.84.253 netmask ffffff00 broadcast 192.168.84.255 ether 0:3:ba:7:84:5e bge0: flags=1004843 <UP,BROADCAST,RUNNING,MULTICAST,DHCP,IPv4>mtu 1500 index 2 inet 10.8.57.39 netmask ffffff00 broadcast 10.8.57.255 ether 0:3:ba:29:fc:cc
El resultado del comando ifconfig -a muestra las estadsticas slo para dos interfaces, ce0 y bge0. Este resultado muestra que slo se han conectado ce0 y bge0 y estn listos para ser utilizados en el trfico de red. Estas interfaces se pueden utilizar en una VLAN. Dado que se ha conectado bge0, ya no puede utilizar esta interfaz en una adicin.
152
Antes de empezar
Determine las direcciones IPv4 que desee utilizar para las interfaces adicionales. Asegrese de que la interfaz fsica que se va a configurar est instalada en el sistema. Para obtener informacin sobre cmo instalar hardware NIC que haya adquirido por separado, consulte las instrucciones del fabricante que se incluyen con la tarjeta NIC. Si acaba de instalar la interfaz, lleve a cabo un inicio de reconfiguracin antes de continuar con la tarea siguiente.
En el sistema cuyas interfaces se deben configurar, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
tras un reinicio.
4
153
Compruebe que las interfaces que acaba de configurar estn sondeadas y configuradas, o "UP".
# ifconfig -a
Compruebe la lnea de estado para cada interfaz que se muestre. Asegrese de que el resultado contenga un indicador UP en la lnea de estado, por ejemplo:
qfe0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 6
(Opcional) Para que la configuracin de la interfaz persista tras los reinicios, siga estos pasos: a. Cree un archivo /etc/hostname.interfaz para todas las interfaces que deba configurar. Por ejemplo, para agregar una interfaz qfe0, debe crear el siguiente archivo:
# vi /etc/hostname.qfe0 Nota Si crea archivos alternativos de host para la misma interfaz, tambin deben seguir el
formato de asignacin de nombres host.[0-9]*, como, por ejemplo, nombre_host.qfe0.a123. Nombres como hostname.qfe0.bak o hostname.qfe0.old no son vlidos y sern ignorados por las secuencias durante el inicio del sistema. Tenga en cuenta tambin que slo puede haber un archivo de nombre de host para una interfaz determinada. Si crea archivos alternativos de host para una interfaz con un nombre de archivo vlido como, por ejemplo, /etc/hostname.qfe y /etc/hostname.qfe.a123 , las secuencias de comandos de inicio intentarn la configuracin mediante la referencia a los contenidos de ambos archivos de host, y se generarn errores. Para evitar esos errores, proporcione un nombre de archivo no vlido para el sistema host que no desea utilizar en una configuracin concreta. b. Edite el archivo /etc/hostname.interfaz. Como mnimo, agregue la direccin IPv4 de la interfaz al archivo. Puede utilizar la notacin IPv4 tradicional o la notacin CIDR para especificar la direccin IP de la interfaz. Tambin puede agregar al archivo una mscara de red u otra informacin de configuracin.
Nota Para agregar una direccin IPv6 a una interfaz, consulte Modificacin de la configuracin de una interfaz de IPv6 para hosts y servidores en la pgina 187
c. Para 11/06 y las versiones anteriores de Oracle Solaris 10 10, agregue entradas para las nuevas interfaces en el archivo /etc/inet/ipnodes. d. Agregue entradas para las nuevas interfaces en el archivo /etc/inet/hosts. e. Efecte un inicio de reconfiguracin.
# reboot -- -r
154 Gua de administracin del sistema: servicios IP Septiembre de 2010
f. Compruebe que la interfaz que ha creado en el archivo /etc/hostname. interfaz se haya configurado.
# ifconfig -a
Ejemplo 62
Vase tambin
Para configurar una direccin IPv6 en una interfaz, consulte Cmo habilitar una interfaz de IPv6 para la sesin actual en la pgina 178. Para configurar la deteccin de fallos y la recuperacin tras un fallo para las interfaces utilizando las rutas mltiples de redes IP (IPMP), consulte el Captulo 31, Administracin de IPMP (tareas).
En el sistema cuya interfaz debe eliminar, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
SPARC: Cmo asegurarse de que la direccin MAC de una interfaz sea nica
Siga este procedimiento para configurar direcciones MAC. Algunas aplicaciones requieren que cada interfaz est en un host para tener una direccin MAC exclusiva. Sin embargo, cada sistema basado en SPARC tiene una direccin MAC para todo el sistema, que utilizan todas las interfaces de modo predeterminado. A continuacin se exponen dos situaciones en las que se podra configurar las direcciones MAC instaladas de fbrica para las interfaces en un sistema SPARC.
Para las adiciones de vnculos, debe utilizar las direcciones MAC de fbrica de las interfaces en la configuracin de la adicin. Para los grupos IPMP, cada interfaz del grupo debe tener una direccin MAC exclusiva. Estas interfaces deben utilizar sus direcciones MAC de fbrica.
156
El parmetro EEPROM local-mac-address? determina si todas las interfaces del sistema SPARC utilizan la direccin MAC de todo el sistema o una direccin MAC exclusiva. El siguiente procedimiento muestra cmo utilizar el comando eeprom para comprobar el valor actual de local-mac-address? y cambiarlo, si es preciso.
1
En el sistema cuyas interfaces se deben configurar, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Determine si todas las interfaces del sistema utilizan la direccin MAC del sistema.
# eeprom local-mac-address? local-mac-address?=false
En el ejemplo, la respuesta al comando eeprom, local-mac-address?=false, indica que todas las interfaces utilizan la direccin MAC del sistema. El valor de local-mac-address?=false debe cambiarse a local-mac-address?=true para que las interfaces puedan pasar a ser miembros de un grupo IPMP. Tambin debe cambiar local-mac-address?=false a local-mac-address?=true para las adiciones.
3
Al reiniciar el sistema, las interfaces con las direcciones MAC de fbrica ahora utilizan esta configuracin de fbrica, en lugar de la direccin MAC de todo el sistema. Las interfaces sin las direcciones MAC de fbrica siguen utilizando la direccin MAC de todo el sistema.
4
Compruebe las direcciones MAC de todas las interfaces del sistema. Busque los casos en que varias interfaces tengan la misma direccin MAC. En este ejemplo, todas las interfaces utilizan la direccin MAC de todo el sistema, 8:0:20:0:0:1.
ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 hme0: flags=1004843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 10.0.0.112 netmask ffffff80 broadcast 10.0.0.127 ether 8:0:20:0:0:1 ce0: flags=1004843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 10.0.0.114 netmask ffffff80 broadcast 10.0.0.127 ether 8:0:20:0:0:1 ce1: flags=1004843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 10.0.0.118 netmask ffffff80 broadcast 10.0.0.127 ether 8:0:20:0:0:1 Nota Contine con el paso siguiente slo si hay ms de una interfaz de red con la misma
157
Si es preciso, configure manualmente las interfaces restantes para que todas tengan una direccin MAC exclusiva. Especifique una direccin MAC exclusiva en el archivo /etc/hostname.interfaz para la interfaz concreta. En el ejemplo del paso 4, debe configurar ce0 y ce1 con direcciones MAC administradas localmente. Por ejemplo, para volver a configurar ce1 con la direccin MAC administrada localmente 06:05:04:03:02, debe agregar la lnea siguiente a /etc/hostname.ce1:
ether 06:05:04:03:02 Nota Para evitar la posibilidad de que una direccin MAC configurada manualmente entre en conflicto con otras direcciones MAC de la red, siempre debe configurar las direcciones MAC administradas localmente, tal como define el estndar IEEE 802.3.
Tambin puede utilizar el comando ifconfig ether para configurar la direccin MAC de una interfaz para la sesin actual. Sin embargo, los cambios que efecte directamente con ifconfig no se conservarn tras los reinicios. Consulte la pgina del comando man ifconfig(1M) para obtener ms informacin.
6
Reinicie el sistema.
IPMP, DHCP y otras. La mayora de los sistemas informticos tienen como mnimo una interfaz fsica que incorpora el fabricante en la placa del sistema principal. Algunos sistemas tambin pueden tener ms de una interfaz integrada. Adems de las interfaces integradas, tambin puede agregar a un sistema interfaces que haya adquirido por separado. Una interfaz que se adquiere por separado se conoce como tarjeta de interfaz de red (NIC). Las tarjetas NIC se instalan de acuerdo con las instrucciones del fabricante.
158 Gua de administracin del sistema: servicios IP Septiembre de 2010
Durante la instalacin del sistema, el programa de instalacin de Oracle Solaris detecta las interfaces que estn instaladas fsicamente y muestra el nombre de cada interfaz. Debe configurar como mnimo una interfaz desde la lista de interfaces. La primera interfaz que se configura durante la instalacin se convierte en la interfaz de red principal. La direccin IP de la interfaz de red principal se asocia con el nombre de host configurado del sistema, que se guarda en el archivo /etc/nodename. No obstante, puede configurar interfaces adicionales durante la instalacin o posteriormente.
Los nombres de controladores de los sistemas Oracle Solaris pueden incluir ce, hme, bge, e1000g y muchos otros nombres de controladores. La variable nmero_instancia puede tener un valor de cero a n, en funcin de cuntas interfaces de ese tipo de controlador haya instaladas en el sistema. Pongamos por ejemplo una interfaz 100BASE-TX Fast Ethernet, que se suele utilizar como interfaz de red principal en sistemas host y de servidor. Algunos nombres de controlador tpicos para esta interfaz son eri, qfe y hme. Cuando se utiliza como interfaz de red principal, la interfaz de Fast Ethernet tiene un nombre de dispositivo como eri0 o qfe0. Las NIC como eri o hme slo tienen una interfaz. Sin embargo, muchas marcas de NIC tienen varias interfaces. Por ejemplo, la tarjeta Quad Fast Ethernet (qfe) cuenta con cuatro interfaces, de la qfe0 a la qfe3.
Interfaces heredadas: Estas interfaces son interfaces DLPI y GLDv2. Algunos tipos de interfaces heredadas son eri, qfe y ce. Al comprobar el estado de la interfaz con el comando dladm show-link, estas interfaces aparecen como heredadas. Interfaces no VLAN: Estas interfaces son interfaces GLDv3.
Nota Actualmente se admite GLDv3 en los siguientes tipos de interfaces: bge, xge y e1000g.
Una red de rea local virtual (VLAN) es una subdivisin de una red de rea local en la capa de vnculo de datos de la pila de protocolo TCP/IP. Puede crear redes VLAN para redes de rea local que utilicen tecnologa de nodo. Al asignar los grupos de usuarios en redes VLAN, puede mejorar la administracin de red y la seguridad de toda la red local. Tambin puede asignar interfaces del mismo sistema a redes VLAN diferentes. Es recomendable dividir una red de rea local en redes VLAN si necesita lo siguiente:
Cree una divisin lgica de grupos de trabajo. Por ejemplo, suponga que todos los hosts de la planta de un edificio estn conectados mediante una red de rea local con nodos. Puede crear una VLAN para cada grupo de trabajo de la planta.
Designe diferentes directivas de seguridad para los grupos de trabajo. Por ejemplo, las necesidades de seguridad del departamento de finanzas y el de informtica son muy diferentes. Si los sistemas de ambos departamentos comparten la misma red local, puede crear una red VLAN independiente para cada departamento. Despus, puede asignar la directiva de seguridad apropiada para cada VLAN.
Divida los grupos de trabajo en dominios de emisin administrables. El uso de redes VLAN reduce el tamao de los dominios de emisin y mejora la efectividad de la red.
160
FIGURA 61
Host A
Host F
Host B
Encaminador
Los conmutadores 1 y 2 se encargan de la conexin a la red LAN 192.168.84.0. La red VLAN contiene sistemas del grupo de trabajo Contabilidad. Los sistemas del grupo de trabajo Recursos humanos se encuentran en la red VLAN Amarilla. Los sistemas del grupo de trabajo Tecnologas de la informacin se asignan a la VLAN Azul.
Captulo 6 Administracin de interfaces de red (tareas) 161
FIGURA 62
Host A Conmutador 1 VID = 123 VLAN AZUL VID = 123 Host B Conmutador 2 VID = 456 VID = 456 VLAN AMARILLA
Host C Otros hosts VID = 123 Puertos VID = 123 VLAN AZUL
La Figura 62 muestra varios hosts que estn conectados a diferentes VLAN. Hay dos hosts que pertenecen a la misma VLAN. En esta figura, las interfaces de red primaria de los tres hosts se conectan al conmutador 1. El host A es miembro de la red VLAN Azul. Por lo tanto, la interfaz del host A est configurada con el VID 123. Esta inferfaz se conecta al puerto 1 en el conmutador 1, que se configura con el VID 123. El host B es miembro de la red VLAN Amarilla con el VID 456. La interfaz del host B se conecta al puerto 5 en el conmutador 1, que se configura con el VID 456. Por ltimo, la interfaz del host C se conecta al puerto 9 en el conmutador 1. La red VLAN Azul se configura con el VID 123.
162
La figura tambin muestra que un nico host puede tambin pertenecer a ms de una VLAN. Por ejemplo, Host A tiene dos VLAN configuradas a travs de la interfaz del host. La segunda VLAN est configurada con el VID 456 y se conecta al puerto 3 que tambin est configurado con el VID 456. Por lo tanto, el Host A es miembro del Blue VLAN y del Yellow VLAN. Durante la configuracin de la red VLAN, debe especificar el punto de conexin fsico o PPA de la red VLAN. El valor PPA se obtiene con esta frmula:
driver-name + VID * 1000 + device-instance
El nmero de instancia de dispositivo debe ser menor que 1000. Por ejemlpo, para configurar una interfaz ce1 como parte de la red VLAN 456, se creara el siguiente PPA:
ce + 456 * 1000 + 1= ce456001
Examine la distribucin de red local y determine dnde es apropiado realizar las subdivisiones en redes VLAN. Para ver un ejemplo bsico de esta topologa, consulte la Figura 61. Cree un esquema numerado para los VID y asigne un VID a cada VLAN.
Nota Puede que ya haya un esquema numerado de VLAN en la red. En tal caso, deber crear
En cada sistema, determine las interfaces que deben ser miembros de una VLAN determinada. a. Determine las interfaces que se configuran en un sistema.
# dladm show-link
b. Identifique qu VID debe asociarse con cada vnculo de datos del sistema. c. Cree puntos PPA para cada interfaz que vaya a configurarse con una VLAN. No es necesario configurar todas las interfaces de un sistema en la misma red VLAN.
Captulo 6 Administracin de interfaces de red (tareas) 163
Compruebe las conexiones de las interfaces con los nodos de red. Anote el VID de cada interfaz y el puerto de nodo al que estn conectadas. Configure cada puerto del nodo con el mismo VID de la interfaz al que est conectado. Consulte la documentacin del fabricante del nodo para ver las instrucciones de configuracin.
Ahora Oracle Solaris admite redes de rea local virtuales en los siguientes tipos de interfaz:
De los tipos de interfaces antiguas, slo la interfaz ce puede hacerse miembro de una red VLAN. Puede configurar interfaces de diferentes tipos en la misma red VLAN.
Nota Puede configurar varias redes VLAN en un grupo IPMP. Para obtener ms informacin sobre los grupos IPMP, consulte Configuraciones de interfaces IPMP en la pgina 764.
Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Determine los tipos de interfaces que se utilizan en el sistema.
# dladm show-link
type: legacy mtu: 1500 type: legacy mtu: 1500 type: non-vlan mtu: 1500
bge1 bge2 3
Por ejemplo, para configurar la interfaz ce1 con una nueva direccin IP 10.0.0.2 en una red VLAN con el VID 123, se utilizara el siguiente comando:
# ifconfig ce123001 plumb 10.0.0.2 up Nota Puede asignar direcciones IPv4 e IPv6 a VLAN, como sucede con otras interfaces. 4
(Optativo) Para que la configuracin VLAN persista cuando se reinicia, cree un archivo hostname.PPA de interfaz para cada interfaz configurada como parte de una VLAN.
# cat hostname.interface-PPA IPv4-address
En el nodo, configure las etiquetas y los puertos VLAN para que se correspondan con las redes VLAN configuradas en el sistema.
Ejemplo 63
admiten agregaciones de vnculos. Para crear agregaciones de vnculos para estas versiones antiguas de Oracle Solaris, utilice Sun Trunking, como se describe en Sun Trunking 1.3 Installation and Users Guide. Oracle Solaris admite la organizacin de interfaces de red en agregaciones de vnculos. Una agregacin de vnculos consiste en varias interfaces de un sistema que se configuran juntas como una unidad lgica nica. Las agregaciones de vnculos, tambin denominadas truncaciones, se definen en IEEE 802.3ad Link Aggregation Standard (http://www.ieee802.org/3/ index.html). El estndar IEEE 802.3ad Link Aggregation proporciona un mtodo para combinar la capacidad de varios vnculos Ethernet duplex en un nico vnculo lgico. Este grupo de agregacin de vnculos se trata como si fuera un nico vnculo. A continuacin se enumeran las funciones de agregaciones de vnculos:
Ancho de banda ampliado La capacidad de varios vnculos se combina en un vnculo lgico. Recuperacin de fallos automtica El trfico de un vnculo que ha fallado se transfiere a vnculos activos de la agregacin. Equilibrio de carga El trfico entrante y saliente se distribuye de acuerdo con directivas de equilibrio de carga definidas por el usuario, como las direcciones MAC e IP de origen y destino. Admisin de duplicacin Dos sistemas pueden configurarse con agregaciones paralelas. Administracin mejorada Todas las interfaces se administran como una nica unidad. Menos drenaje en la agrupacin de direcciones de red Puede asignarse una direccin IP a la agregacin completa.
166
En sistemas con una aplicacin con un gran volumen de trfico distribuido, puede dedicar una agregacin al trfico de dicha aplicacin. Para ubicaciones con espacio de direcciones IP limitado pero que requieren una gran cantidad de ancho de banda, slo se necesita una direccin IP para una gran agregacin de interfaces. Para ubicaciones que necesitan ocultar la existencia de interfaces internas, la direccin IP de la agregacin oculta las interfaces a aplicaciones externas.
La Figura 63 muestra una agregacin de un servidor que aloja un sitio web muy visitado. Este sitio requiere un gran ancho de banda para el trfico de peticiones entre los clientes en Internet y el servidor de base de datos del sitio. Por cuestiones de seguridad, la existencia de interfaces individuales en el servidor debe ocultarse a las aplicaciones externas. La solucin es la agregacin aggr1 con la direccin IP 192.168.50.32. Esta adicin se compone de tres interfaces, de bge0 a bge2. Estas interfaces se dedican a enviar el trfico de respuesta a las peticiones de los clientes. La direccin saliente del trfico de paquetes de todas las interfaces es la direccin IP de aggr1, 192.168.50.32.
FIGURA 63
aggr1 192.168.50.32
La Figura 64 representa una red local con dos sistemas, cada uno con una agregacin configurada. Los dos sistemas estn conectados mediante un nodo (concentrador). Si necesita ejecutar una agregacin a travs de un nodo, el nodo debe admitir la tecnologa de agregaciones. Este tipo de configuracin resulta especialmente til para sistemas de alta disponibilidad y con duplicacin.
167
En la figura, el Sistema A tiene una agregacin que consta de dos interfaces, bge0 y bge1. Estas interfaces estn conectadas al nodo mediante puertos agregados. El Sistema B tiene una agregacin de cuatro interfaces, de e1000g0 through e1000g3. Estas interfaces tambin estn conectadas mediante puertos agregados del nodo.
FIGURA 64
bge0 bge1
168
FIGURA 65
Red local ce0 Sistema A bge0 bge1 bge2 ce0 Sistema B bge0 bge1 bge2 Indica una agregacin
En esta figura, el dispositivo bge0 del Sistema A est vinculado directamente a bge0 en el Sistema B, etc. De este modo, los sistemas A y B permiten duplicacin y alta disponibilidad, as como comunicaciones a alta velocidad entre ambos sistemas. Cada sistema tambin tiene la interfaz ce0 configurada para el flujo de trfico de la red local. La aplicacin ms comn para agregaciones de vnculo de extremo a extremo son los servidores de base de datos reflejados. Ambos servidores deben actualizarse a la vez y, por lo tanto, necesitan bastante ancho de banda, flujo de trfico de alta velocidad y fiabilidad. El uso ms habitual de las agregaciones de vnculos de extremo a extremo es en los centros de datos.
L2: determina el vnculo de salida numerando el encabezado MAC (L2) de cada paquete L3: determina el vnculo de salida numerando el encabezado IP (L3) de cada paquete L4: determina el vnculo de salida numerando el encabezado TCP, UDP u otro ULP (L4) de cada paquete
Tambin es vlida cualquier combinacin de estas directivas. La directiva predeterminada es L4. Si necesita ms informacin, consulte la pgina de comando man dladm(1M).
169
Modo inactivo El modo predeterminado para agregaciones. Los paquetes LACP, llamados LACPDU no se generan. Modo activo: el sistema genera paquetes LACPDU en intervalos regulares, que puede especificar el usuario. Modo pasivo: el sistema genera un LACPDU slo cuando recibe un LACPDU del nodo. Si la agregacin y el nodo estn configurados en modo pasivo, no pueden intercambiar paquetes LACPDU.
Si necesita informacin sobre sintaxis, consulte la pgina de comando man dladm(1M) y la documentacin del fabricante del nodo.
Debe usar el comando dladm para configurar agregaciones. Una interfaz sondeada no puede ser miembro de una agregacin. Las interfaces deben ser del tipo GLDv3: xge, e1000g y bge. Todas las interfaces de la agregacin deben ejecutarse a la misma velocidad y en modo duplex total. Debe definir el valor de direcciones MAC en true en el parmetro EEPROM local-mac-address? Si necesita instrucciones, consulte Cmo asegurarse de que la direccin MAC de una interfaz sea nica.
Antes de empezar
Configure los puertos del nodo para que se utilicen como una agregacin Si el nodo admite LACP, configure LACP en modo activo o pasivo
170
Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
interfaz clave
Representa el nombre de dispositivo de la interfaz que pasar a formar parte de la agregacin. Es el nmero que identifica la agregacin. El nmero de clave menor es 1. Los ceros no se pueden utilizar como claves.
Por ejemplo:
# dladm create-aggr -d bge0 -d bge1 1 5
Por ejemplo:
# ifconfig aggr1 plumb 192.168.84.14 up 6
El resultado muestra que se ha creado una agregacin con la clave 1 y la directiva L4.
7
(Optativo) Haga que la configuracin IP de la agregacin de vnculos persista al reiniciar. a. Para realizar agregaciones de vnculos con direcciones IPv4, cree un archivo /etc/hostname.aggrclave. Para realizar agregaciones de vnculos basadas en IPv6, cree un archivo /etc/hostname6.aggr.clave.
Captulo 6 Administracin de interfaces de red (tareas) 171
b. Escriba la direccin IPv4 o IPv6 de la agregacin de vnculos en el archivo. Por ejemplo, para la agregacin creada en este procedimiento, se creara el siguiente archivo:
# vi /etc/hostname.aggr1 192.168.84.14
172
Como puede comprobar, las dos interfaces usadas para la agregacin se haban sondeado previamente con ifconfig.
Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Modifique la agregacin para cambiar la directiva.
# dladm modify-aggr -Ppolicy key
directiva clave
Representa una o varias de las directivas L2, L3 y L4, como se explica en Directivas y equilibrio de la carga en la pgina 169. Es un nmero que identifica la agregacin. El nmero de clave menor es 1. Los ceros no se pueden utilizar como claves.
Si protocolo de control de agregacin de vnculos (LACP) se est ejecutando en el conmutador al que estn conectados los dispositivos de la agregacin, modifique la agregacin de modo que admita LACP. Si el nodo utiliza LACP en modo pasivo, asegrese de configurar el modo activo para la agregacin.
# dladm modify-aggr -l LACP mode -t timer-value key
Indica el modo LACP de la agregacin. Los valores son active, passive y off. Indica el valor de tiempo LACP, short o long. Es un nmero que identifica la agregacin. El nmero de clave menor es 1. Los zeros no se pueden utilizar como claves.
Ejemplo 65
173
# dladm modify-aggr -P L2 1 # dladm modify-aggr -l active -t short 1 # dladm show-aggr key: 1 (0x0001) policy: L2 address: device address speed bge0 0:3:ba:7:b5:a7 1000 Mbps bge1 0:3:ba:8:22:3b 0 Mbps
Ejemplo 66
174
clave
Es un nmero que identifica la agregacin. El nmero de clave menor es 1. Los zeros no se pueden utilizar como claves.
Ejemplo 67
Antes de empezar
Configure en primer lugar la adicin de vnculos con una direccin IP vlida. Tenga en cuenta el valor de la clave de la adicin que necesitar cuando se cree el VLAN a travs de la adicin. Para crear adiciones de vnculos, consulte Cmo crear una agregacin de vnculos en la pgina 170. Si ya se ha creado una adicin de vnculo, obtenga la clave de dicha adicin.
# dladm show-aggr
donde VID clave El ID de la VLAN La tecla de la adicin de vnculos a travs de la cual se ha creado el VLAN. La tecla debe tener un formato de 3 dgitos. Por ejemplo, si la tecla de adicin es 1, el nmero de tecla que se incluye en el nombre de la VLAN es 001.
3 4
Repita el paso 2 para crear otras VLAN a travs de la adicin. Configure las VLAN con direcciones IP vlidas.
175
Para crear configuraciones VLAN persistentes, agregue la informacin de la direccin IP a los archivos de configuracin /etc/hostname.VLAN correspondientes.
Ejemplo 68
176
C A P T U L O
Este captulo presenta tareas para configurar IPv6 en una red. Se tratan los temas principales siguientes:
Configuracin de una interfaz de IPv6 en la pgina 177 Habilitacin de IPv6 en una interfaz (mapa de tareas) en la pgina 178 Configuracin de un enrutador IPv6 en la pgina 183 Modificacin de la configuracin de una interfaz de IPv6 para hosts y servidores en la pgina 187 Modificacin de la configuracin de una interfaz de IPv6 (mapa de tareas) en la pgina 187 Configuracin de tneles para compatibilidad con IPv6 en la pgina 196 Tareas de configuracin de tneles para compatibilidad con IPv6 (mapa de tareas) en la pgina 195 Configuracin de la compatibilidad con el servicio de nombres para IPv6 en la pgina 204
Para obtener una descripcin general de los conceptos relativos a IPv6, consulte el Captulo 3, Introduccin a IPv6 (descripcin general). Para obtener informacin sobre tareas de planificacin de IPv6, consulte el Captulo 4, Planificacin de una red IPv6 (tareas). Para buscar informacin de referencia sobre las tareas del presente captulo, consulte el Captulo 11, IPv6 en profundidad (referencia).
Cada interfaz habilitada para IPv6 tiene asociado un archivo /etc/hostname6.interfaz, por ejemplo hostname6.dmfe0.
177
En Solaris 10 11/06 y versiones anteriores, se ha creado el archivo /etc/inet/ipnodes. Despus de la instalacin, en general este archivo slo contiene las direcciones de bucle de retorno de IPv6 e IPv4. Se ha modificado el archivo /etc/nsswitch.conf para permitir bsquedas mediante direcciones IPv6. Se crea la tabla de directrices de seleccin de direcciones IPv6. En esta tabla se da prioridad al formato de direcciones IP que debe utilizarse en las transmisiones a travs de una interfaz habilitada para IPv6.
En esta seccin se explica cmo habilitar IPv6 en las interfaces de un sistema instalado.
Habilitar IPv6 en una interfaz de un sistema en el que ya se haya instalado Oracle Solaris. Mantener la interfaz habilitada para IPv6 en los reinicios. Desactivar la configuracin automtica de direcciones IPv6.
Esta tarea se utiliza para habilitar Cmo habilitar una interfaz de IPv6 en una interfaz despus de IPv6 para la sesin actual haberse instalado Oracle Solaris 10. en la pgina 178 Esta tarea se utiliza para convertir Cmo habilitar interfaces de IPv6 en permanente la direccin IPv6 de de manera permanente la interfaz. en la pgina 180 Esta tarea se utiliza para configurar Cmo desactivar la configuracin manualmente la seccin del ID de automtica de direcciones IPv6 interfaz de la direccin IPv6. en la pgina 182
178
Nota Si la interfaz se ubica en el mismo vnculo como enrutador que anuncia un prefijo de IPv6, la interfaz obtiene el prefijo de sitio como parte de sus direcciones configuradas automticamente. Para obtener ms informacin, consulte Cmo configurar un enrutador habilitado para IPv6 en la pgina 184.
En el procedimiento siguiente se explica cmo habilitar IPv6 para una interfaz incorporada despus de instalar Oracle Solaris 10.
Antes de empezar
Complete las tareas de planificacin de la red IPv6, por ejemplo actualizar hardware y software, y preparar un plan direcciones. Para obtener ms informacin, consulte Planificacin de IPv6 (mapas de tareas) en la pgina 87. Inicie sesin en el posible nodo de IPv6 como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Ejemplo 71
Para este sistema slo est configurada la interfaz qfe0. Habilite IPv6 en esta interfaz de la forma que se indica a continuacin:
Captulo 7 Configuracin de una red IPv6 (tareas). 179
# ifconfig inet6 qfe0 plumb up # /usr/lib/inet/in.ndpd # ifconfig -a6 lo0: flags=2000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv6> mtu 8252 index 1 inet6 ::1/128 qfe0: flags=2000841 <UP,RUNNING,MULTICAST,IPv6> mtu 1500 index 2 ether 0:3:ba:13:14:e1 inet6 fe80::203:baff:fe13:14e1/10
En el ejemplo se muestra el estado de la interfaz del sistema antes y despus de habilitar para IPv6 la interfaz qfe0. La opcin -a6 de ifconfig muestra nicamente la informacin de IPv6 para qfe0 y la interfaz de bucle de retorno. La salida denota que slo se ha configurado una direccin local de vnculo para qfe0, fe80::203:baff:fe13:14e1/10. Esta direccin indica que hasta ahora ningn enrutador del vnculo local del nodo anuncia un prefijo de sitio. Tras habilitar IPv6, el comando ifconfig - a es apto para visualizar direcciones IPv4 e IPv6 de todas las interfaces de un sistema.
Pasos siguientes
Para configurar el nodo de IPv6 como enrutador, consulte Configuracin de un enrutador IPv6 en la pgina 183. Para mantener la configuracin de la interfaz de IPv6 en todos los reinicios, consulte Cmo habilitar interfaces de IPv6 de manera permanente en la pgina 180. Para anular la configuracin automtica de direcciones en el nodo, consulte Cmo desactivar la configuracin automtica de direcciones IPv6 en la pgina 182. Para adaptar el nodo como servidor, tenga en cuenta las sugerencias de Administracin de interfaces habilitadas para IPv6 en servidores en la pgina 194.
Inicie sesin en el nodo de IPv6 como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Gua de administracin del sistema: servicios IP Septiembre de 2010
180
Cree direcciones IPv6 para interfaces que se hayan agregado despus de la instalacin. a. Cree el archivo de configuracin.
# touch /etc/hostname6.interface
(Opcional) Cree un archivo /etc/inet/ndpd.conf que defina parmetros para variables de interfaz en el nodo. Si tiene que crear direcciones temporales para la interfaz del host, consulte Uso de direcciones temporales para una interfaz en la pgina 188. Para obtener ms informacin sobre /etc/inet/ndpd.conf, consulte la pgina de comando man ndpd.conf(4) y Archivo de configuracin ndpd.conf en la pgina 272. Reinicie el nodo.
# reboot -- -r
El proceso de reinicio enva paquetes de descubrimiento de enrutadores. Si un enrutador responde con un prefijo de sitio, el nodo puede configurar cualquier interfaz con el pertinente archivo de interfaz /etc/hostname6.interfaz con una direccin IPv6 global. De lo contrario, las interfaces habilitadas para IPv6 se configuran nicamente con direcciones locales de vnculo. Al reiniciarse tambin se reinician in.ndpd y otros daemon de red en modo IPv6.
Ejemplo 72
Cmo hacer que una interfaz de IPv6 se mantenga en los reinicios subsiguientes
En este ejemplo se muestra cmo hacer que la configuracin IPv6 de la interfaz qfe0 se mantenga en los reinicios subsiguientes. En este ejemplo, un enrutador del vnculo local anuncia el prefijo de sitio y el ID de subred 2001:db8:3c4d:15/64. En primer lugar, compruebe el estado de las interfaces del sistema.
# ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 qfe0: flags=1000863 <UP,BROADCAST,NOTRAILERS,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 172.16.27.74 netmask ffffff00 broadcast 172.16.27.255 ether 0:3:ba:13:14:e1 # touch /etc/hostname6.qfe0 # vi /etc/hostname6.qfe0 inet6 fe80::203:baff:fe13:1431/10 up
Captulo 7 Configuracin de una red IPv6 (tareas). 181
La salida de ifconfig -a6 muestra dos entradas para qfe0. La entrada qfe0 estndar incluye la direccin MAC y la direccin local de vnculo. Una segunda entrada, qfe0:1, indica que se ha creado una pseudointerfaz para la direccin IPv6 adicional de la interfaz qfe0. La nueva direccin global IPv6, 2001:db8:3c4d:15:203:baff:fe13:14e1/64, incluye el sitio de prefijo y el ID de subred anunciado por el enrutador local.
Pasos siguientes
Para configurar el nuevo nodo de IPv6 como enrutador, consulte Configuracin de un enrutador IPv6 en la pgina 183. Para anular la configuracin automtica de direcciones en el nodo, consulte Cmo desactivar la configuracin automtica de direcciones IPv6 en la pgina 182. Para adaptar el nodo nuevo como servidor, tenga en cuenta las sugerencias de Administracin de interfaces habilitadas para IPv6 en servidores en la pgina 194.
Inicie sesin en el nodo de IPv6 como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
182
Cree un archivo /etc/inet/ndpd.conf para el nodo. El archivo /etc/inet/ndpd.conf define las variables de interfaz del nodo en particular. Este archivo debera contener lo siguiente a fin de desactivar la configuracin automtica de direcciones en todas las interfaces del servidor:
if-variable-name StatelessAddrConf false
Para obtener ms informacin sobre /etc/inet/ndpd.conf, consulte la pgina de comando man ndpd.conf(4) y Archivo de configuracin ndpd.conf en la pgina 272.
3
1. Antes de comenzar la configuracin Antes de configurar un enrutador de IPv6, compruebe que haya habilitado para IPv6, debe completar cumplido todos los requisitos previos. las tareas de planificacin e instalacin de Oracle Solaris con interfaces habilitadas para IPv6. 2. Configurar un enrutador. 3. Configurar interfaces de tnel en el enrutador. Defina el prefijo de sitio de la red. Configure en el enrutador un tnel manual o una interfaz de tnel 6to4. La red IPv6 local necesita tneles para comunicarse con otras redes IPv6 aisladas.
Captulo 4, Planificacin de una red IPv6 (tareas) y Configuracin de una interfaz de IPv6 en la pgina 177.
Cmo configurar un tnel 6to4 en la pgina 198 Cmo configurar manualmente IPv6 a travs de tneles IPv4 en la pgina 196 Cmo configurar manualmente tneles IPv6 a travs de IPv6 en la pgina 197 Cmo configurar tneles IPv4 a travs de IPv6 en la pgina 198
183
Tarea
Descripcin
Si en la configuracin de red hay conmutadores, es ahora cuando los debe configurar para IPv6. Si en la configuracin de red hay concentradores, es ahora cuando los debe configurar para IPv6.
Consulte la documentacin del fabricante de conmutadores. Consulte la documentacin del fabricante de concentradores. Cmo agregar direcciones IPv6 a DNS en la pgina 204
6. Configurar el nombre de servicio de Configure el servicio de nombres redes para IPv6. principal (DNS, NIS o LDAP) para reconocer las direcciones IPv6 despus de configurar para IPv6 el enrutador. 7. (Opcional) Modificar las direcciones de las interfaces habilitadas para IPv6 en hosts y servidores. Configurar aplicaciones para que admitan IPv6. Despus de configurar el enrutador para IPv6, realice las modificaciones pertinentes en los hosts y servidores habilitados para IPv6. Para admitir IPv6, es posible que cada aplicacin necesite unas acciones determinadas.
Modificacin de la configuracin de una interfaz de IPv6 para hosts y servidores en la pgina 187
En el sistema que se va a convertir en enrutador de IPv6, asuma la funcin de administrador principal o de superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Revise las interfaces del enrutador que se han configurado para IPv6 durante la instalacin.
# ifconfig -a
Compruebe la salida con el fin de asegurarse de que las interfaces que quera configurar para IPv6 estn conectadas con direcciones locales de vnculo. La siguiente salida de ejemplo del comando ifconfig -a muestra las direcciones IPv4 e IPv6 que se configuraron para las interfaces del enrutador.
lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 dmfe0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 172.16.26.232 netmask ffffff00 broadcast 172.16.26.255
184 Gua de administracin del sistema: servicios IP Septiembre de 2010
ether 0:3:ba:11:b1:15 dmfe1: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4 mtu 1500 index 3 inet 172.16.26.220 netmask ffffff00 broadcast 172.16.26.255 ether 0:3:ba:11:b1:16 lo0: flags=2000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv6> mtu 8252 index 1 inet6 ::1/128 dmfe0: flags=2000841 <UP,RUNNING,MULTICAST,IPv6> mtu 1500 index 2 ether 0:3:ba:11:b1:15 inet6 fe80::203:baff:fe11:b115/10 dmfe1: flags=2000841 <UP,RUNNING,MULTICAST,IPv6> mtu 1500 index 3 ether 0:3:ba:11:b1:16 inet6 fe80::203:baff:fe11:b116/10
Asimismo, la salida muestra que la interfaz de red principal dmfe0 y la interfaz adicional dmfe1 se configuraron durante la instalacin con las direcciones locales de vnculo IPv6 fe80::203:baff:fe11:b115/10 y fe80::203:baff:fe11:b116/10.
3
Configure el reenvo de paquetes IPv6 en todas las interfaces del enrutador. En Solaris 10 11/03 y versiones anteriores, utilice el comando siguiente:
# routeadm -e ipv6-forwarding -u
Inicie el daemon de enrutamiento. El daemon in.ripngd se encarga del enrutamiento de IPv6. En Solaris 10 11/06 y versiones anteriores, inicie in.ripngd escribiendo el comando siguiente:
# routeadm -e ipv6-routing # routeadm -u
Para obtener informacin sobre la sintaxis del comando routeadm, consulte la pgina de comando man routeadm(1M).
5
Cree el archivo /etc/inet/ndpd.conf. Especifique el prefijo de sitio que debe anunciar el enrutador y dems datos de configuracin en /etc/inet/ndpd.conf. El daemon in.ndpd lee este archivo e implementa el protocolo de descubrimiento de vecinos de IPv6.
Captulo 7 Configuracin de una red IPv6 (tareas). 185
Para obtener una lista de variables y valores admitidos, consulte Archivo de configuracin ndpd.conf en la pgina 272 y la pgina de comando man ndpd.conf(4).
6
Este texto indica al daemon in.ndpd que enve anuncios de enrutador en todas las interfaces del enrutador que se hayan configurado para IPv6.
7
Aada texto al archivo /etc/inet/ndpd.conf para configurar el prefijo de sitio en las distintas interfaces del enrutador. El texto debe tener el formato siguiente:
prefix global-routing-prefix:subnet ID/64 interface
El siguiente archivo de ejemplo /etc/inet/ndpd.conf configura el enrutador para que anuncie el prefijo de sitio 2001:0db8:3c4d::/48 en las interfaces dmfe0 y dmfe1.
ifdefault AdvSendAdvertisements true prefixdefault AdvOnLinkFlag on AdvAutonomousFlag on if dmfe0 AdvSendAdvertisements 1 prefix 2001:0db8:3c4d:15::0/64 dmfe0 if dmfe1 AdvSendAdvertisements 1 prefix 2001:0db8:3c4d:16::0/64 dmfe1 8
Reinicie el sistema. El enrutador de IPv6 comienza a anunciar en el vnculo cualquier prefijo de sitio que est en el archivo ndpd.conf.
Ejemplo 73
186
index 2 inet6 2001:db8:3c4d:15:203:baff:fe11:b115/64 dmfe1: flags=2100841 <UP,RUNNING,MULTICAST,ROUTER,IPv6> mtu 1500 index 3 ether 0:3:ba:11:b1:16 inet6 fe80::203:baff:fe11:b116/10 dmfe1:1: flags=2180841 <UP,RUNNING,MULTICAST,ADDRCONF,ROUTER,IPv6> mtu 1500 index 3 inet6 2001:db8:3c4d:16:203:baff:fe11:b116/64
En este ejemplo, cada interfaz configurada para IPv6 dispone ahora de dos direcciones. La entrada con el nombre de la interfaz, por ejemplo dmfe0, muestra la direccin de vnculo local de dicha interfaz. La entrada con el formato interfaz:n, por ejemplo dmfe0:1, muestra una direccin IPv6 global. Esta direccin incluye el prefijo de sitio configurado en el archivo /etc/ndpd.conf, adems del ID de interfaz.
Vase tambin
Para configurar tneles desde los enrutadores identificados en la topologa de redes IPv6, consulte Configuracin de tneles para compatibilidad con IPv6 en la pgina 196. Para obtener informacin sobre cmo configurar conmutadores y concentradores en la red, consulte la documentacin del fabricante. Para configurar hosts de IPv6, consulte Modificacin de la configuracin de una interfaz de IPv6 para hosts y servidores en la pgina 187. Para mejorar la compatibilidad de IPv6 en los servidores, consulte Administracin de interfaces habilitadas para IPv6 en servidores en la pgina 194. Para obtener ms informacin sobre comandos, archivos y daemons de IPv6, consulte Implementacin de IPv6 en Oracle Solaris 10 en la pgina 271.
Tarea
Descripcin
Desactivar la configuracin automtica de direcciones IPv6. Cree una direccin temporal para un host.
Esta tarea se utiliza para configurar Cmo desactivar la configuracin manualmente la seccin del ID de automtica de direcciones IPv6 interfaz de la direccin IPv6. en la pgina 182 Oculte el ID de interfaz de un host. Para ello, configure una direccin temporal creada aleatoriamente que se utilice como los 64 bits inferiores de la direccin. Cree un token de 64 bits para emplearse como ID de interfaz en una direccin IPv6. Cmo configurar una direccin temporal en la pgina 189
188
La duracin de las direcciones temporales se especifica de la manera siguiente: n nh nd n cantidad de segundos, que es el valor predeterminado n cantidad de horas (h) n cantidad de das (d)
Inicie sesin en el host de IPv6 como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Si es preciso, habilite IPv6 en las interfaces del host. Consulte Cmo habilitar una interfaz de IPv6 para la sesin actual en la pgina 178. Edite el archivo /etc/inet/ndpd.conf para activar la generacin de direcciones temporales.
Para configurar direcciones temporales en todas las interfaces de un host, agregue la lnea siguiente en el archivo /etc/inet/ndpd.conf:
ifdefault TmpAddrsEnabled true
Para configurar una direccin temporal para una determinada interfaz, agregue la lnea siguiente en el archivo /etc/inet/ndpd.conf:
if interface TmpAddrsEnabled true
Esta sintaxis especifica el periodo de vida vlido de todas las interfaces en un host. El valor de duracin debe especificarse en segundos, horas o das. El periodo de vida vlido predeterminado es 7 das. TmpValidLifetime tambin puede usarse con las palabras clave if interfaz para especificar el periodo de vida vlido de una direccin temporal relativa a una determinada interfaz.
5
(Opcional) Especifique un periodo de vida preferente para la direccin temporal; una vez transcurrido, se prescinde de la direccin.
if interface TmpPreferredLifetime duration
Esta sintaxis especifica el periodo de vida preferente de la direccin temporal de una determinada interfaz. El periodo de vida preferente predeterminado es un da. TmpPreferredLifetime tambin se puede utilizar con la palabra clave ifdefault para indicar el periodo de vida preferente de las direcciones temporales relativas a todas las interfaces de un host.
Captulo 7 Configuracin de una red IPv6 (tareas). 189
Nota La seleccin de direcciones predeterminadas otorga una prioridad inferior a las direcciones IPv6 que se han descartado. Si se prescinde de una direccin IPv6 temporal, la seleccin de direcciones predeterminadas elige una direccin no descartada como direccin de origen de un paquete. Una direccin no descartada podra ser la direccin IPv6 generada de manera automtica o, posiblemente, la direccin IPv4 de la interfaz. Para obtener ms informacin sobre la seleccin de direcciones predeterminadas, consulte Administracin de seleccin de direcciones predeterminadas en la pgina 231. 6
(Opcional) Especifique el tiempo de generacin antes del descarte de direcciones durante el cual el host debe generar otra direccin temporal.
ifdefault TmpRegenAdvance duration
Esta sintaxis indica el tiempo de generacin antes del descarte de direccin de las direcciones temporales relativas a todas las interfaces de un host. El valor predeterminado es 5 segundos.
7
Verifique que las direcciones temporales se hayan creado mediante la ejecucin del comando ifconfig -a6, como se indica en el Ejemplo 75. En la salida del comando ifconfig, la palabra TEMPORARY debera estar en la misma lnea en que figura la definicin de interfaz.
Ejemplo 74
Ejemplo 75
190
hme0: flags=2000841 <UP,RUNNING,MULTICAST,IPv6> mtu 1500 index 2 ether 8:0:20:b9:4c:54 inet6 fe80::a00:20ff:feb9:4c54/10 hme0:1: flags=2080841 <UP,RUNNING,MULTICAST,ADDRCONF,IPv6> mtu 1500 index 2 inet6 2001:db8:3c4d:15:a00:20ff:feb9:4c54/64 hme0:2: flags=802080841<UP,RUNNING,MULTICAST,ADDRCONF,IPv6,TEMPORARY> mtu 1500 index 2 inet6 2001:db8:3c4d:15:7c37:e7d1:fc9c:d2cb/64
En la lnea siguiente a la interfaz hme0:2 figura la palabra TEMPORARY. Eso significa que la direccin 2001:db8:3c4d:15:7c37:e7d1:fc9c:d2cb/64 tiene un ID de interfaz temporal.
Vase tambin
Para configurar la compatibilidad del servicio de nombres para direcciones IPv6, consulte Configuracin de la compatibilidad con el servicio de nombres para IPv6 en la pgina 204. Para configurar direcciones IPv6 para un servidor, consulte Cmo configurar un token IPv6 especificado por el usuario en la pgina 192. Para supervisar actividades en nodos de IPv6, consulte el Captulo 8, Administracin de redes TCP/IP (tareas).
191
Nota La diferencia entre los tokens especificados por el usuario y las direcciones temporales es
Verifique que la interfaz que desea configurar con un token est conectada. Antes de poder configurar un token para su direccin IPv6, debe estar conectada una interfaz.
# ifconfig -a6 qfe0: flags=2000841 <UP,RUNNING,MULTICAST,IPv6> mtu 1500 index 2 ether 0:3:ba:13:14:e1 inet6 fe80::203:baff:fe13:14e1/10
Esta salida indica que la interfaz de red qfe0 est conectada y que tiene la direccin local de vnculo fe80::203:baff:fe13:14e1/10. Esta direccin se ha configurado automticamente durante la instalacin.
2
Cree uno o varios nmeros hexadecimales de 64 bits para utilizar como tokens para las interfaces del nodo. Para obtener ejemplos de tokens, consulte Direccin unidifusin local de vnculoen la pgina 81. Configure cada interfaz con un token. Utilice la forma siguiente del comando ifconfig para cada interfaz para disponer de un ID de interfaz especificado por el usuario (token):
ifconfig interface inet6 token address/64
Por ejemplo, utilice el comando siguiente para configurar la interfaz qfe0 con un token:
# ifconfig qfe0 inet6 token ::1a:2b:3c:4d/64
Repita este paso con cada interfaz que deba tener un token especificado por el usuario.
4
(Opcional) Haga que la nueva direccin IPv6 se mantenga despus de cada reinicio. a. Cree o edite un archivo /etc/hostname6.interfaz para cada interfaz que haya configurado con un token. b. Agregue el texto siguiente al final de cada archivo /etc/hostname.6 interfaz:
token ::token-name/64
192
Una vez se haya reiniciado el sistema, el token que haya configurado en un archivo /etc/hostname6. interfaz se aplica a la direccin IPv6 de interfaz. Esta direccin IPv6 se mantiene en los sucesivos reinicios que tengan lugar.
5
Ejemplo 76
Despus de configurar el token, la direccin global de la segunda lnea de estado de bge0:1 tiene configurado 1a:2b:3c:4d para su ID de interfaz.
Vase tambin
Para actualizar los servicios de nombres con las direcciones IPv6 del servidor, consulte Configuracin de la compatibilidad con el servicio de nombres para IPv6 en la pgina 204. Para supervisar el rendimiento del servidor, consulte el Captulo 8, Administracin de redes TCP/IP (tareas).
193
El servidor ya tiene instalado Oracle Solaris 10. IPv6 se ha habilitado en las interfaces del servidor durante la instalacin de Oracle Solaris o posteriormente, siguiendo las instrucciones de Configuracin de una interfaz de IPv6 en la pgina 177.
Si procede, actualice el software de las aplicaciones para que admitan IPv6. Numerosas aplicaciones que se ejecutan en la pila de protocolo IPv4 tambin funcionan correctamente en IPv6. Para obtener ms informacin, consulte Cmo preparar servicios de red para admitir IPv6 en la pgina 92.
1
En el servidor, adquiera la funcin de administrador principal o la de superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Compruebe que el prefijo de subred IPv6 est configurado en un enrutador en el mismo vnculo que el servidor. Para obtener ms informacin, consulte Configuracin de un enrutador IPv6 en la pgina 183. Aplique la estrategia pertinente relativa al ID de interfaz en las interfaces habilitadas para IPv6 del servidor. De forma predeterminada, la configuracin automtica de direcciones IPv6 utiliza la direccin MAC de una interfaz al crear la parte del ID de interfaz de la direccin IPv6. Si se conoce bien la direccin IPv6 de la interfaz, el intercambio de interfaces puede resultar problemtico. La direccin MAC de la nueva interfaz ser distinta. En el proceso de configuracin automtica de direcciones, se genera un nuevo ID de interfaz.
En una interfaz habilitada para IPv6 que no tenga previsto reemplazar, utilice la direccin IPv6 configurada automticamente como se ha indicado en Configuracin automtica de direcciones IPv6 en la pgina 83.
194
En el caso de interfaces habilitadas para IPv6 que deben figurar como annimas fuera de la red local, plantees la posibilidad de utilizar para el ID de interfaz un token generado aleatoriamente. Para obtener instrucciones y un ejemplo, consulte Cmo configurar una direccin temporal en la pgina 189. En las interfaces habilitadas para IPv6 que tenga previsto intercambiar con regularidad, cree tokens para los ID de interfaz. Para obtener instrucciones y un ejemplo, consulte Cmo configurar un token IPv6 especificado por el usuario en la pgina 192.
Se crea manualmente un tnel de Cmo configurar manualmente IPv6 en una red IPv4; solucin para IPv6 a travs de tneles IPv4 contactar con redes IPv6 remotas en la pgina 196 en dentro de una red ms grande, casi siempre una red empresarial IPv4. Se configura manualmente un tnel de IPv6 en una red IPv6; en general, se usa dentro de una red empresarial de gran tamao. Cmo configurar manualmente tneles IPv6 a travs de IPv6 en la pgina 197
Se configura manualmente un Cmo configurar tneles IPv4 a tnel de IPv4 en una red IPv6; travs de IPv6 en la pgina 198 resulta til en redes de gran tamao con redes IPv4 e IPv6. Se crea automticamente un tnel Cmo configurar un tnel 6to4 de 6to4; solucin para conectar con en la pgina 198 un sitio de IPv6 externo por Internet. Habilita un tnel a un enrutador de Cmo configurar un tnel 6to4 rels 6to4 mediante el comando hasta un enrutador de reenvo 6to4relay. 6to4 en la pgina 202
Configurar automticamente IPv6 en tneles de IPv4 (tneles de 6to4). Configurar un tnel entre un enrutador 6to4 y un enrutador de rels 6to4.
195
IPv6 en tneles de IPv4 IPv6 en tneles de IPv6 IPv4 en tneles de IPv6 Tneles de 6to4
Para obtener descripciones conceptuales de los tneles, consulte Tneles de IPv6 en la pgina 294.
Acceda al punto final del tnel local como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Cree el archivo /etc/hostname6.ip.tun n. La letra n representa el nmero de tnel, el primer tnel tiene el nmero cero. A continuacin, aada entradas siguiendo estos pasos: a. Aada la direccin de origen y la direccin de destino del tnel.
tsrc IPv4-source-address tdst IPv4-destination-address up
b. (Optativo) Aada una interfaz lgica para la direccin IPv6 de origen y para las direcciones IPv6 de destino.
addif IPv6-source-address IPv6-destination-address
196 Gua de administracin del sistema: servicios IP Septiembre de 2010
Puede omitir este paso si quiere que la direccin se autoconfigure para esta interfaz. No es necesario configurar direcciones de vnculo local para el tnel.
3 4 Ejemplo 77
Reinicie el sistema. Repita estas tareas en el punto final opuesto del tnel.
Entrada del archivo /etc/hostname6.ip.tun para un tnel manual IPv6 a travs de IPv4
Este archivo /etc/hostname6.ip.tun de ejemplo muestra un tnel para el que las direccione de origen y las direcciones de destino globales se configuran manualmente.
tsrc 192.168.8.20 tdst 192.168.7.19 up addif 2001:db8:3c4d:8::fe12:528 2001:db8:3c4d:7:a00:20ff:fe12:1234 up
Acceda al punto final del tnel local como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Cree el archivo /etc/hostname6.ip6.tun n . Utilice los valores 0, 1, 2, etc. para n. A continuacin, aada entradas siguiendo estos pasos. a. Aada la direccin de origen y la direccin de destino del tnel.
tsrc IPv6-source-address tdst IPv6-destination-address IPv6-packet-source-address IPv6-packet-destination-address up
b. (Optativo) Aada una interfaz lgica para la direccin IPv6 de origen y para la direccin IPv6 de destino.
addif IPv6-source-address IPv6-destination-address up
Puede omitir este paso si quiere que la direccin se autoconfigure para esta interfaz. No es necesario configurar direcciones de vnculo local para el tnel.
3 4
Reinicie el sistema. Repita este procedimiento en el punto final opuesto del tnel.
Captulo 7 Configuracin de una red IPv6 (tareas). 197
Ejemplo 78
Acceda al punto final del tnel IPv4 local como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Cree el archivo /etc/hostname.ip6.tunn. Utilice los valores 0, 1, 2, etc. para n. A continuacin, aada entradas siguiendo estos pasos: a. Aada la direccin de origen y la direccin de destino del tnel.
tsrc IPv6-source-address tdst IPv6-destination-address
b. (Optativo) Aada una interfaz lgica para la direccin IPv6 de origen y para la direccin IPv6 de destino.
addif IPv6-source-address IPv6-destination-address up 3 4
Reinicie el host local. Repita este procedimiento en el punto final opuesto del tnel.
Ejemplo 79
198
enrutador de lmite de sistema como un enrutador 6to4. El enrutador 6to4 funciona como el punto final de un tnel 6to4 entre la red y un enrutador de punto final de una red IPv6 remota.
Antes de empezar
Antes de configurar el enrutamiento 6to4 en una red IPv6, debe haber hecho lo siguiente:
Configurado IPv6 en todos los nodos correspondientes de la ubicacin que se vaya a definir como 6to4, como se describe en Modificacin de la configuracin de una interfaz de IPv6 para hosts y servidores en la pgina 187. Seleccionado al menos un enrutador con una conexin a una red IPv4 para que sea el enrutador 6to4. Configurado una direccin IPv4 globalmente nica para la interfaz del enrutador que se vaya a definir como 6to4 hasta la red IPv4. La direccin IPv4 debe ser esttica.
Nota No utilice una direccin IPv4 de asignacin dinmica, como se describe en el
Captulo 12, Acerca de DHCP de Oracle Solaris (informacin general). Las direcciones de asignacin dinmica globales pueden cambiar cuando haya pasado un tiempo, lo que puede tener efectos negativos en la planificacin de direcciones IPv6.
1
Acceda al enrutador que vaya a definir como 6to4 como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Si piensa usar la conversin recomendada de ID de subred=0 e ID de host=1, utilice el formato corto para /etc/hostname6.ip.6to4tun0:
tsrc IPv4-address up
Si piensa usar otras convenciones para el ID de subred e ID de host, utilice el formato largo para /etc/hostname6.ip.6to4tun0:
tsrc IPv4-address 2002:IPv4-address:subnet-ID:interface-ID:/64 up
A continuacin se muestran los parmetros requeridos para /etc/hostname6.ip.6to4tun0: tsrc direccin_IPv4 Indica que esta interfaz se utiliza como un origen de tnel. Especifica, en formato decimal con puntos, la direccin IPv4 configurada en la interfaz fsica que ser la pseudo-interfaz 6to4.
El resto de parmetros son optativos. Pero si especifica uno de los parmetros opcionales, debe especificarlos todos. 2002 Especifica el prefijo 6to4.
199
Especifica, como notacin hexadecimal, la direccin IPv4 de la pseudo-interfaz. Especifica, como notacin hexadecimal, un ID de subred que no sea 0. Especifica un ID de interfaz que no sea 1. Indica que el prefijo 6to4 tiene una tamao de 64 bits. Configura la interfaz 6to4 como "up".
Nota Dos tneles IPv6 de la red no pueden tener la misma direccin de origen y la misma
direccicn de destino. Como resultado, se descartaran los paquetes. Este tipo de evento puede suceder si un enrutador 6to4 tambin realiza tareas de tnel mediante el comando atun. Para obtener ms informacin sobre atun, consulte la pgina de comando man tun(7M).
3
(Optativo) Cree pseudo-interfaces 6to4 adicionales en el enrutador. Cada pseudo-interfaz que se vaya a definir como 6to4 debe tener ya configurada una direccin IPv4 globlamente nica. Reinicie el enrutador 6to4. Verifique el estado de la interfaz.
# ifconfig ip.6to4tun0 inet6
4 5
Edite el archivo /etc/inet/ndpd.conf para anunciar el enrutamiento 6to4. Si necesita informacin detallada, consulte la pgina de comando man ndpd.conf(4). a. Especifique la subred que recibir el anuncio en la primera lnea. Cree una entrada if con el siguiente formato:
if subnet-interface AdvSendAdvertisements 1
Por ejemplo, para anunciar el enrutamiento 6to4 a la subred conectada a la interfaz hme0, reemplace interfaz de subred por hme0.
if hme0 AdvSendAdvertisements 1
200
b. Aada el prefijo 6to4 como segunda lnea del anuncio. Cree una entrada prefix con el siguiente formato:
prefix 2002:IPv4-address:subnet-ID::/64 subnet-interface 7
Reinicie el enrutador. Tambin puede enviar un comando sighup al daemon /etc/inet/in.ndpd para que empiece a enviar anuncios de enrutador. Los nodos IPv6 de cada subred que recibir el prefijo 6to4 se autoconfiguran con las nuevas direcciones derivadas 6to4. Aada las nuevas direcciones derivadas 6to4 de los nodos al servicio de nombre utilizado en la ubicacin 6to4. Si necesita instrucciones, consulte Configuracin de la compatibilidad con el servicio de nombres para IPv6 en la pgina 204.
Ejemplo 710
Ejemplo 711
Ejemplo 712
Ejemplo 713
201
if qfe0 AdvSendAdvertisements 1 prefix 2002:c0a8:57bc:10::/64 qfe0 if qfe1 AdvSendAdvertisements 1 prefix 2002:c0a8:57bc:2::/64 qfe1 Ms informacin
Antes de empezar
Antes de habilitar un tnel hasta un enrutador de reenvo 6to4, debe haber realizado las siguientes tareas:
Configurar un enrutador 6to4 en la ubicacin, como se ha explicado en Cmo configurar un tnel 6to4 en la pgina 198 Revisar los problemas de seguridad relacionados con el establecimiento de un tnel hasta un enrutador de reenvo 6to4
Acceda al enrutador 6to4 como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Habilite un tnel hasta el enrutador de reenvo 6to4 utilizando uno de los siguientes formatos:
La opcin -e establece un tnel entre el enrutador 6to4 y un enrutador de reenvo 6to4 de difusin por proximidad. Los enrutadores de reenvo 6to4 de difusin por proximidad
202
tienen la direccin IPv4 192.88.99.1. El enrutador de reenvo de difusin por proximidad que se encuentre ms cerca fsicamente de su ubicacin pasa a ser el punto final del tnel 6to4. Este enrutador de reenvo gestiona el reenvo de paquetes entre su ubicacin 6to4 y una ubicacin IPv6 nativa. Si necesita informacin detallada sobre enrutadores de reenvo 6to4 de difusin por proximidad, consulte RFC 3068, "An Anycast Prefix for 6to 4 Relay Routers" (ftp://ftp.rfc-editor.org/in-notes/rfc3068.txt).
La opcin -a indica que ha continuacin se especifica una direccin de un enrutador determinado. Reemplace direccin de enrutador de reenvo con la direccin IPv4 del enrutador de reenvo 6to4 especfico con el que quiera establecer un tnel. El tnel hasta el enrutador de reenvo 6to4 permanece activo hasta que se elimine la pseudo-interfaz de tnel 6to4.
3
(Optativo) Haga que el tnel hasta el enrutador de reenvo 6to4 se mantenga al reiniciar. Es posible que en su ubicacin sea necesario restablecer el tnel hasta el enrutador de reenvo 6to4 cada vez que se reinicia en enrutador 6to4. Para ello, debe hacer lo siguiente: a. Edite el archivo /etc/default/inetinit. La lnea que se debe modificar se encuentra al final del archivo. b. Cambie el valor "NO" de la lnea ACCEPT6TO4RELAY=NO por "YES". c. (Optativo) Cree un tnel a un enrutador de reenvo 6to4 especfico que se mantenga al reiniciar. En el parmetro RELAY6TO4ADDR, cambie la direccin 192.88.99.1 por la direccin IPv4 del enrutador de reenvo 6to4 que quiera usar.
Ejemplo 714
203
Si la compatibilidad con enrutadores de reenvo 6to4 est activada, recibir el siguiente resultado:
# /usr/sbin/6to4relay 6to4relay: 6to4 Relay Router communication support is enabled. IPv4 remote address of Relay Router=192.88.99.1
Para obtener informacin exhaustiva sobre la administracin de DNS, NIS y LDAP, consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Para obtener ms informacin sobre administracin de DNS, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
204
Ejemplo 715
funciones de IPv6 de los mapas de ipnodes se mantienen ahora en los mapas de hosts. Para obtener informacin sobre cmo administrar mapas de NIS, consulte el Captulo 5, Setting Up and Configuring NIS Service de System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Se muestran la direccin y el nombre de servidor predeterminados, seguidos del smbolo de comillas angulares del comando nslookup.
205
Visualice informacin de un determinado host. Para ello, en el smbolo de comillas angulares escriba los comandos siguientes:
>set q=any >host-name
Ejemplo 716
Cmo verificar que los registros PTR de DNS IPv6 se actualicen correctamente
En este procedimiento, el comando nslookup se utiliza para visualizar los registros PTR relativos a DNS IPv6.
Se muestran la direccin y el nombre de servidor predeterminados, seguidos del smbolo de comillas angulares del comando nslookup.
2
En el smbolo de comillas angulares, escriba lo siguiente para ver los registros PTR:
>set q=PTR
206
Ejemplo 717
Ejemplo 718
207
208
C A P T U L O
El presente captulo presenta tareas para la administracin de redes TCP/IP. Contiene los temas siguientes:
Tareas de administracin principales de TCP/IP (mapa de tareas) en la pgina 209 Supervisin de la configuracin de interfaz con el comando ifconfig en la pgina 211 Supervisin del estado de la red con el comando netstat en la pgina 215 Sondeo de hosts remotos con el comando ping en la pgina 222 Administracin y registro de la visualizacin del estado de la red en la pgina 223 Visualizacin de informacin de enrutamiento con el comando traceroute en la pgina 226 Control de transferencias de paquetes con el comando snoop en la pgina 227 Administracin de seleccin de direcciones predeterminadas en la pgina 231
Las tareas dan por sentado que se dispone de una red TCP/IP operativa, ya sea IPv4y o IPv4/IPv6 de doble pila. Si desea implementar IPv6 en el sistema pero no lo ha hecho, para obtener ms informacin consulte los captulos siguientes:
Para programar una implementacin de IPv6, consulte el Captulo 4, Planificacin de una red IPv6 (tareas). Para configurar IPv6 y crear un entorno de red de pila doble, consulte el Captulo 7, Configuracin de una red IPv6 (tareas)..
Tarea
Descripcin
Visualizar informacin de configuracin relativa a una interfaz. Visualizar asignaciones de direcciones de interfaces. Visualizar estadsticas segn el protocolo. Visualizar el estado de la red.
Determinar la configuracin actual Cmo obtener informacin sobre de cada interfaz en un sistema. una interfaz especfica en la pgina 211 Determinar las asignaciones de direcciones de todas las interfaces del sistema local. Supervisar el rendimiento de los protocolos de red en un determinado sistema. Cmo mostrar asignaciones de direccin de interfaz en la pgina 213 Cmo visualizar estadsticas por protocolo en la pgina 215
Supervisar el sistema visualizando Cmo visualizar el estado de los todos los sockets y las entradas de sockets en la pgina 218 la tabla de enrutamiento. En la salida figuran la familia de direcciones inet4 de IPv4 y la famila de direcciones inet6 de IPv6. Supervisar el rendimiento de las interfaces de red, til para resolver problemas de transmisiones. Cmo visualizar el estado de interfaces de red en la pgina 218
Supervisar el estado de los paquetes Cmo visualizar el estado de las conforme se van transmitiendo. transmisiones de paquetes de un determinado tipo de direccin en la pgina 220 Se controla de la salida de los comandos ping, netstat, ifconfig y traceroute. Se crea un archivo denominado inet_type. En este archivo se establece la variable DEFAULT_IP. Se visualizan todos los paquetes IP mediante el comando snoop. Cmo controlar la salida de visualizacin de comandos relacionados con IP en la pgina 223
Cmo supervisar trfico de redes IPv6 en la pgina 230 Cmo efectuar el seguimiento de todas las rutas en la pgina 227
Efectuar el seguimiento de todas las Se utiliza el comando traceroute rutas conocidas en los enrutadores para mostrar todas las rutas. de la red.
210
Nombres de dispositivo de todas las interfaces de un sistema Todas las direcciones IPv4 y, si las hay, IPv6 asignadas a las interfaces Si estas interfaces estn configuradas
El siguiente procedimiento muestra cmo usar el comando ifconfig para obtener informacin de configuracin bsica sobre las interfaces de un sistema.
1
En el host local, adquiera la funcin de administrador principal o la de superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Obtenga informacin sobre una interfaz especfica.
# ifconfig interface
Lnea de estado La primera lnea del resultado del comando ifconfig contiene el nombre de la interfaz y marcas de estado asociadas a la interfaz. La lnea de estado tambin incluye la unidad de transmisin mxima (MTU) configurada para la interfaz y un nmero de ndice. Utilice la lnea de estado para determinar el estado actual de la interfaz.
La segunda lnea del resultado de ifconfig contiene la direccin IPv4 o IPv6 configurada para la interfaz. Si se trata de una direccin IPv4, la mscara de red y direccin de emisin configuradas tambin se muestran.
Lnea de direccin MAC Cuando se ejecuta el comando ifconfig como superusuario o con una funcin similar, el resultado de ifconfig contiene una tercera lnea. Para una direccin IPv4, la tercera lnea muestra la direccin MAC (direccin de capa Ethernet) asignada a la interfaz. Para una direccin IPv6, la tercera lnea del resultado muestra la direccin de vnculo local que el daemon IPv6 in.ndpd genera a partir de la direccin MAC.
Ejemplo 81
La siguiente tabla describe la informacin de variables en una consulta ifconfig y tambin incluye la descripcin de cmo la variable se puede mostrar en la pantalla y el tipo de informacin que se proporciona. Se utiliza como ejemplo el resultado anterior.
Resultado en pantalla
Variable
Descripcin
Nombre de interfaz Estado de interfaz Estado de emisin Estado de transmisin Estado multidifusin Unidad de transmisin mxima
eri0
Indica el nombre de dispositivo de la interfaz cuyo estado se solicita mediante el comando ifconfig.
flags=863<UP Muestra el estado de la interfaz, con cualquier marca asociada con la interfaz. Con esta informacin puede determinar si la interfaz est iniciada (UP) o no (DOWN ). BROADCAST Indica que la interfaz admite emisiones IPv4. Indica que el sistema est transmitiendo paquetes a travs de la interfaz. Muestra que la interfaz admite transmisiones multidifusin. La interfaz de ejemplo admite transmisiones multidifusin IPv4. Muestra que esta interfaz tiene un tamao de transferencia mxima de 1500 octetos.
RUNNING
212
Variable
Resultado en pantalla
Descripcin
Muestra la direccin IPv4 o IPv6 asignada a la interfaz. La interfaz de ejemplo eri0 tiene la direccin IPv4 10.0.0.112 . Muestra la mscara de red IPv4 de la interfaz especfica. Las direcciones IPv6 no utilizan mscaras de red.
En el sistema local, asuma la funcin de administrador de red o hgase superusuario. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Obtenga informacin sobre todas las interfaces. Puede usar variaciones del comando ifconfig -a para hacer lo siguiente:
Si el sistema local tiene IPv6, mostrar todas las direcciones IPv6 asignadas a las interfaces de un sistema.
ifconfig -a6
Ejemplo 82
(lo0), IPv4 (inet), e IPv6 (inet6). En la seccin IPv6 del resultado, la lnea de la interfaz qfe0 muestra la direccin IPv6 de vnculo local. La segunda direccin de qfe0 se muestra en la lnea qfe0:1 .
% ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 qfe0: flags=1004843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 10.0.0.112 netmask ffffff80 broadcast 10.0.0.127 ether 8:0:20:b9:4c:54 lo0: flags=2000849 <UP,RUNNING,MULTICAST,IPv6> mtu 8252 index 1 inet6 ::1/128 qfe0: flags=2000841 <UP,RUNNING,MULTICAST,IPv6> mtu 1500 index 2 ether 8:0:20:b9:4c:54 inet6 fe80::a00:20ff:feb9:4c54/10 qfe0:1: flags=2080841 <UP,RUNNING,MULTICAST,ADDRCONF,IPv6> mtu 1500 index 2 inet6 2001:db8:3c4d:48:a00:20ff:feb9:4c54/64 Ejemplo 83
Ejemplo 84
Este resultado de ifconfig muestra los tres tipos de direccin IPv6 siguientes que estn asignados a la nica interfaz de un host: lo0 Direccin en bucle IPv6.
214 Gua de administracin del sistema: servicios IP Septiembre de 2010
inet6 fe80::a00:20ff:feb9:4c54/10 Direccin de vnculo local asignada a la interfaz de red principal. inet6 2001:db8:3c4d:48:a00:20ff:feb9:4c54/64 Direccin IPv6, con prefijo de subred. El trmino ADDRCONF en el resultado indica que esta direccin fue autoconfigurada por el host.
netstat.
Ejemplo 85
rawipOutErrors UDP udpInDatagrams udpOutDatagrams TCP tcpRtoAlgorithm tcpRtoMax . . tcpListenDrop tcpHalfOpenDrop ipForwarding ipInReceives ipInAddrErrors . . ipsecInFailed ipOutIPv6 ipv6Forwarding ipv6InReceives ipv6InTooBigErrors . . rawipInOverflows ipv6OutIPv4 ICMPv4 icmpInMsgs icmpInCksumErrs . . icmpInOverflows =
0 udpInErrors udpOutErrors tcpRtoMin tcpMaxConn tcpListenDropQ0 tcpOutSackRetrans ipDefaultTTL ipInHdrErrors ipInCksumErrs ipInIPv6 ipOutSwitchIPv6 = = = = = = = = = = = 0 0 400 -1 0 0 255 0 0 0 0 255 0 0 0 0 = = 0 0
IPv4
= 2 =300182 = 0 = = 0 3
IPv6
= 2 = 13986 = 0 = 0 = 43593 = 0 = 0 0
0 0 2
12287 messages received 0 messages received with too few bytes 0 messages received with bad checksum 12287 membership queries received SCTP sctpRtoAlgorithm = vanj sctpRtoMin = 1000 sctpRtoMax = 60000 sctpRtoInitial = 3000 sctpTimHearBeatProbe = 2 sctpTimHearBeatDrop = 0 sctpListenDrop = 0 sctpInClosed = 0
216 Gua de administracin del sistema: servicios IP Septiembre de 2010
Ejemplo 87
TCP: IPv6 Local Address Remote Address Swind Send-Q Rwind Recv-Q State If ---------------- ---------------------- ------ ----- ------ ----------- ----localhost.38983 localhost.32777 49152 0 49152 0 ESTABLISHED
Captulo 8 Administracin de redes TCP/IP (tareas) 217
localhost.32777 localhost.38986
localhost.38983 localhost.38980
49152 49152
0 49152 0 49152
0 ESTABLISHED 0 ESTABLISHED
Ejemplo 88
Name Mtu Net/Dest Address Ipkts Ierrs Opkts Oerrs Collis lo0 8252 localhost localhost 142 0 142 0 0 hme0 1500 fe80::a00:20ff:feb9:4c54/10 fe80::a00:20ff:feb9:4c54 1106305 0 52422 0 0
Escriba lo siguiente para visualizar el estado de los sockets y las entradas de tabla de enrutador: Puede emplear su cuenta de usuario para ejecutar esta opcin de netstat.
% netstat -a
218
Ejemplo 89
State ------IDLE LISTEN LISTEN IDLE LISTEN LISTEN LISTEN LISTEN LISTEN LISTEN LISTEN LISTEN LISTEN LISTEN
219
. *.* 0 0 49152 0 LISTEN *TCP: IPv6 Local Address Remote Address Swind Send-Q Rwind Recv-Q ----------------------- ----------------------- ----- ------ ----- -----*.* *.* 0 0 49152 0 *.sunrpc *.* 0 0 49152 0 *.* *.* 0 0 49152 0 *.32774 *.* 0 0 49152 State If ---IDLE LISTEN IDLE
Para ver informacin sobre transmisiones de IPv4, escriba inet como argumento de netstat -f. Utilice inet6 como argumento de netstat -f para ver informacin de IPv6.
Ejemplo 810
Ejemplo 811
220
Ejemplo 812
Flags Ref Use Interface ----- ----- ------ --------U 1 31059 hme0 U 1 0 hme0 UG 1 2 hme0 UH 42019361 lo0
Routing Table: IPv6 Destination/Mask Gateway Flags Ref Use If --------------------------- --------------------------- ----- --- ------ ----2002:0a00:3010:2::/64 2002:0a00:3010:2:1b2b:3c4c:5e6e:abcd U 1 0 hme0:1 fe80::/10 fe80::1a2b:3c4d:5e6f:12a2 U 1 23 hme0 ff00::/8 fe80::1a2b:3c4d:5e6f:12a2 U 1 0 hme0 default fe80::1a2b:3c4d:5e6f:12a2 UG 1 0 hme0 localhost localhost UH 9 21832 lo0
La tabla siguiente describe el significado de los parmetros de salida de pantalla del comando netstat r.
Parmetro
Descripcin
Indica el host que es el punto final de destino de la ruta. La tabla de ruta IPv6 muestra el prefijo de un punto final de tnel 6to4 (2002:0a00:3010:2::/64) como punto final de destino de la ruta. Especifica el portal que se usa para enviar paquetes. Indica el estado actual de la ruta. El indicador U especifica que la ruta est activa. El indicador G especifica que la ruta es a un portal. Muestra la cantidad de paquetes enviados. Indica la interfaz concreta del host local que es el punto final de origen de la transmisin.
Use Interface
221
Este mensaje indica que nombre_host ha respondido a la solicitud de ICMP. Sin embargo, si nombre_host est desconectado o no puede recibir los paquetes de ICMP, el comando ping genera la respuesta siguiente:
no answer from hostname
Ejemplo 813
222
& ping -s host1.domain8 PING host1.domain8 : 56 data bytes 64 bytes from host1.domain8.COM (172.16.83.64): 64 bytes from host1.domain8.COM (172.16.83.64): 64 bytes from host1.domain8.COM (172.16.83.64): 64 bytes from host1.domain8.COM (172.16.83.64): 64 bytes from host1.domain8.COM (172.16.83.64): 64 bytes from host1.domain8.COM (172.16.83.64): 64 bytes from host1.domain8.COM (172.16.83.64): ^C
----host1.domain8 PING Statistics---7 packets transmitted, 7 packets received, 0% packet loss round-trip (ms) min/avg/max/stddev = 0.921/1.11/1.67/0.26
La estadstica de prdida de paquetes indica si el host ha descartado paquetes. Si falla el comando ping, compruebe el estado de la red que indican los comandos ifconfig y netstat. Consulte Supervisin de la configuracin de interfaz con el comando ifconfig en la pgina 211 y Supervisin del estado de la red con el comando netstat en la pgina 215.
1 2
Cree el archivo /etc/default/inet_type. Agregue una de las entradas siguientes a /etc/default/inet_type, segn lo que necesite la red:
o
DEFAULT_IP=IP_VERSION6
Captulo 8 Administracin de redes TCP/IP (tareas) 223
Para obtener ms informacin acerca del archivo inet_type, consulte la pgina de comando man inet_type(4).
Nota Los indicadores -4 y -6 del comando ifconfig anulan los valores establecidos en el archivo inet_type. El indicador -f del comando netstat tambin anula los valores establecidos en el archivo inet_type. Ejemplo 814
Si especifica la variable DEFAULT_IP=BOTH o DEFAULT_IP=IP_VERSION6 en el archivo inet_type, en principio debe obtenerse la salida siguiente:
% ifconfig -a lo0: flags=1000849 mtu 8232 index 1 inet 10.10.0.1 netmask ff000000 qfe0: flags=1000843 mtu 1500 index 2 inet 10.46.86.54 netmask ffffff00 broadcast 10.46.86.255 ether 8:0:20:56:a8 lo0: flags=2000849 mtu 8252 index 1 inet6 ::1/128 qfe0: flags=2000841 mtu 1500 index 2 ether 8:0:20:56:a8 inet6 fe80::a00:fe73:56a8/10 qfe0:1: flags=2080841 mtu 1500 index 2 inet6 2001:db8:3c4d:5:a00:fe73:56a8/64
Si se especifica la variable DEFAULT_IP=IP_VERSION4 o DEFAULT_IP=IP_VERSION6 en el archivo inet_type, en principio debe obtenerse la salida siguiente:
% ifconfig -a lo0: flags=849 mtu 8232 inet 10.10.0.1 netmask ff000000 qfe0: flags=843 mtu 1500 inet 10.46.86.54 netmask ffffff00 broadcast 10.46.86.255 ether 8:0:20:56:a8
En el host local, adquiera la funcin de administrador principal o la de superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Cree un archivo de registro de acciones de daemon de enrutamiento:
# /usr/sbin/in.routed /var/log-file-name
224
Precaucin En una red que est ocupada, este comando puede generar salida casi continua.
Ejemplo 815
Cmo efectuar el seguimiento de las actividades del daemon de descubrimiento cercano de IPv6
Si tiene la impresin de que el daemon in.ndpd funciona de modo incorrecto, inicie un registro que efecte el seguimiento de la actividad del daemon. Dicho seguimiento se refleja en la salida estndar hasta su conclusin. En el seguimiento figuran todas las transferencias de paquetes al iniciarse el daemon in.ndpd.
En el nodo IPv6 local, asuma la funcin de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Inicie el seguimiento del daemon in.ndpd.
# /usr/lib/inet/in.ndpd -t
3 Ejemplo 816
Nov Nov Nov Nov Nov Nov Nov Nov Nov Nov Nov Nov Nov Nov Nov Nov Nov Nov
18 18 18 18 18 18 18 18 18 18 18 18 18 18 18 18 18 18
17:27:28 Received valid advert from fe80::a00:20ff:fee9:2d27 (88 bytes) on hme0 17:27:28 Max hop limit: 0 17:27:28 Managed address configuration: Not set 17:27:28 Other configuration flag: Not set 17:27:28 Router lifetime: 1800 17:27:28 Reachable timer: 0 17:27:28 Reachable retrans timer: 0 17:27:28 Source LLA: len 6 <08:00:20:e9:2d:27> 17:27:28 Prefix: 2001:08db:3c4d:1::/64 17:27:28 On link flag:Set 17:27:28 Auto addrconf flag:Set 17:27:28 Valid time: 2592000 17:27:28 Preferred time: 604800 17:27:28 Prefix: 2002:0a00:3010:2::/64 17:27:28 On link flag:Set 17:27:28 Auto addrconf flag:Set 17:27:28 Valid time: 2592000 17:27:28 Preferred time: 604800
Esta forma del comando traceroute se puede ejecutar desde la cuenta de usuario.
Ejemplo 817
226
istanbul% traceroute farhost.faraway.com traceroute to farhost.faraway.com (172.16.64.39), 30 hops max, 40 byte packets 1 frbldg7c-86 (172.16.86.1) 1.516 ms 1.283 ms 1.362 ms 2 bldg1a-001 (172.16.1.211) 2.277 ms 1.773 ms 2.186 ms 3 bldg4-bldg1 (172.16.4.42) 1.978 ms 1.986 ms 13.996 ms 4 bldg6-bldg4 (172.16.4.49) 2.655 ms 3.042 ms 2.344 ms 5 ferbldg11a-001 (172.16.1.236) 2.636 ms 3.432 ms 3.830 ms 6 frbldg12b-153 (172.16.153.72) 3.452 ms 3.146 ms 2.962 ms 7 sanfrancisco (172.16.64.39) 3.430 ms 3.312 ms 3.451 ms
Esta forma del comando traceroute se puede ejecutar desde la cuenta de usuario.
Ejemplo 818
Para capturar paquetes en y desde la interfaz predeterminada en modo promiscuo, se debe adquirir la funcin de administracin de redes o convertirse en superusuario. En el formato resumido, snoop slo muestra los datos relativos al protocolo de nivel ms alto. Por ejemplo, un paquete de NFS muestra nicamente informacin de NFS. Se suprime la informacin subyacente de RPC, UDP, IP y Ethernet; sin embargo, se puede visualizar en caso de elegir cualquiera de las opciones detalladas. Utilice el comando snoop con frecuencia y buen criterio para familiarizarse con el comportamiento normal del sistema. Para obtener asistencia en el anlisis de paquetes, busque documentacin tcnica reciente y funciones de peticin de comentarios; asimismo, solicite el consejo de un experto en un mbito determinado, por ejemplo NFS o NIS. Para obtener ms informacin sobre el comando snoop y sus opciones, consulte la pgina de comando man snoop(1M)
El comando snoop suele utilizar el primer dispositivo que no es de bucle de retorno, en general la interfaz de red principal.
3
Comience a capturar paquetes escribiendo el comando snoop sin argumentos, como se muestra en el Ejemplo 819. Para detener el proceso, pulse Control+C.
Ejemplo 819
228
myhost -> nisserve2 nisserve2 -> myhost blue-112 -> slave-253-2 myhost -> DNSserver.local.com DNSserver.local.com myhost niserve2. . . farhost.remote.com-> myhost myhost -> farhost.remote.com . fe80::a00:20ff:febb:e09 -> ff02::9
C R C C R
MATCH 10.0.0.64 in ipnodes.byaddr MATCH No such key MATCH 10.0.0.112 in ipnodes.byaddr 192.168.10.10.in-addr.arpa. Internet PTR ? 192.168.10.10.in-addr.arpa. Internet PTR
Los paquetes que se capturan en esta salida muestran una seccin de inicio de sesin remoto, incluidas las bsquedas en los servidores NIS y DNS para resolver direcciones. Tambin se incluyen paquetes ARP peridicos del enrutador local y anuncios de la direccin local de vnculos IPv6 en el comando in.ripngd.
Por ejemplo:
# snoop -o /tmp/cap Using device /dev/eri (promiscuous mode) 30 snoop: 30 packets captured
En el ejemplo, se han capturado 30 paquetes en un archivo que se denomina /tmp/cap. El archivo se puede ubicar en cualquier directorio que disponga de suficiente espacio en disco. La cantidad de paquetes capturados se muestra en la lnea de comandos, y permite pulsar Control+C para cancelar en cualquier momento. El comando snoop crea una evidente carga de red en el equipo host que puede distorsionar el resultado. Para ver el resultado real, snoop debe ejecutarse desde otro sistema.
3
Ejemplo 820
3 4
230
Para obtener ms informacin sobre el comando snoop, consulte la pgina de comando man snoop(1M).
Ejemplo 821
231
Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Si desea personalizar la tabla, utilice un editor de textos en el archivo /etc/inet/ipaddrsel.conf. Utilice la sintaxis siguiente para las entradas del archivo /etc/inet/ipaddrsel:
prefix/prefix-length precedence label [# comment ]
A continuacin se muestran varias de las modificaciones habituales que podra querer aplicar a la tabla de directrices:
El formato de direccin 6to4 ahora tiene la prioridad ms alta: 50. Bucle, que anteriormente presentaba una prioridad de 50, ahora presenta una prioridad de 45. Los dems formatos de direcciones siguen igual.
232 Gua de administracin del sistema: servicios IP Septiembre de 2010
Designar una direccin de origen concreta que se deba utilizar en las comunicaciones con una determinada direccin de destino.
::1/128 2001:1111:1111::1/128 2001:2222:2222::/48 ::/0 50 40 40 40 Loopback ClientNet ClientNet Default
Esta entrada en concreto es til para los host que cuentan slo con una interfaz fsica. En este caso, 2001:1111:1111::1/128 se prefiere como direccin de origen de todos los paquetes cuyo destino previsto es la red 2001:2222:2222::/48. La prioridad 40 otorga una posicin preferente a la direccin de origen 2001:1111:1111::1/128 en relacin con los dems formatos de direcciones configurados para la interfaz.
El formato de IPv4 ::ffff:0.0.0.0/96 ha cambiado su prioridad predeterminada de 10 a 60, la prioridad mxima de la tabla.
5
Si la tabla de directrices modificada presenta problemas, restaure la tabla predeterminada de directrices de seleccin de direcciones IPv6.
# ipaddrsel -d
Cmo modificar la tabla de seleccin de direcciones IPv6 slo para la sesin actual
Si edita el archivo /etc/inet/ipaddrsel.conf, las modificaciones que efecte se mantendrn despus de cada reinicio. Si quiere aplicar las modificaciones nicamente en la sesin actual, siga este procedimiento.
Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Copie el contenido de /etc/inet/ipaddrsel en nombre_archivo; nombre_archivo es el archivo que haya seleccionado.
# cp /etc/inet/ipaddrsel filename
Captulo 8 Administracin de redes TCP/IP (tareas) 233
3 4
Modifique la tabla de directrices de nombre_archivo a su conveniencia. Cargar en el ncleo la tabla de directrices modificada.
# ipaddrsel -f filename
El ncleo emplea la nueva tabla de directrices hasta que se vuelva a iniciar el sistema.
234
C A P T U L O
Este captulo contiene soluciones para problemas comunes que se pueden producir en la red. Contiene los temas siguientes:
Consejos de resolucin de problemas de red generales en la pgina 235 Problemas comunes al utilizar IPv6 en la pgina 237
Si IPv6 est activado en la red, compruebe que el daemon IPv6 in.ndpd se est ejecutando:
# ps -ef | grep in.ndpd
236
Algunas aplicaciones, aunque se conviertan a IPv6,no activan IPv6 de manera predeterminada. Es posible que tenga que configurar estas aplicaciones para activar IPv6. Un servidor que ejecute varios servicios, algunos slo IPv4 y otros IPv4 e IPv6, puede producir problemas. Algunos clientes pueden necesitar utilizar varios tipos de servicios, lo que puede generar confusin en el servidor.
Contrate los servicios de otro proveedor ISP para que proporcione una segunda lnea para las comunidaciones IPv6 de su empresa. Esta solucin es cara. Consiga un ISP virtual. Un ISP virtual proporciona conectividad IPv6 sin vnculo. En su lugar, se crea un tnel desde sus oficinas, a travs del ISP IPv4, al ISP virtual. Utilice un tnel 6to4 a travs de su ISP a otros sitios IPv6. Para las direcciones, utilice las direcciones IPv4 registradas del enrutador 6to4 como seccin pblica de la direccin IPv6.
237
Aunque los enrutadores de reenvo 6to4 encapsulan y desencapsulan paquetes, no comprueban los datos que contienen los paquetes. El falseamiento de direcciones es un problema grave de los tneles a enrutadores de reenvo 6to4. Para el trfico entrante, el enrutador 6to4 no puede comparar la direccin IPv4 del enrutador de reenvo con la direccin IPv6 del origen. Por lo tanto, la direccin del host IPv6 puede falsearse fcilmente. La direccin del enrutador de reenvo 6to4 tambin puede falsearse. De manera predeterminada, no existe ningn mecanismo de confianza entre enrutadores 6to4 y enrutadores de reenvo 6to4. Por lo tanto, un enrutador 6to4 no puede identificar si el enrutador de reenvo 6to4 es de confianza, ni siquiera puede determinar si es un enrutador de reenvo 6to4 legtimo. Debe existir una relacin de confianza entre el sitio 6to4 y el destino IPv6, o ambos sitios quedan abiertos a posibles ataques.
Estos problemas y otras cuestiones de seguridad de los enrutadores de reenvo 6to4 se explican en el documento Security Considerations for 6to4. En general, slo es recomendable activar la admisin de enrutadores de reenvo 6to4 en los siguientes casos:
Pretende comunicarse con una red privada IPv6 de confianza desde su ubicacin 6to4. Por ejemplo, puede activar la admisin de enrutadores 6to4 en una red universitaria que consiste en ubicaciones 6to4 aisladas e IPv6 nativas. Su ubicacin 6to4 tiene motivos importantes de negocios para comunicarse con ciertos hosts IPv6 nativos. Ha realizado las comprobaciones y modelos de confianza sugeridos en el documento de Internet Security Considerations for 6to4.
4709338: se necesita una implementacin RIPng que reconozca enrutadores estticos 4152864 Configurar dos tneles con el mismo par tsrc/tdst es posible
automticamente a la tabla de rutas del enrutador 6to4. El error 4709338 describe una limitacin en el protocolo de enrutamiento RIPng de Oracle Solaris que evita que esta ruta esttica sea pblica en la ubicacin 6to4. Puede utilizar cualquiera de estas soluciones para el Error 4709338.
Aada la ruta esttica 2002::/16 a las tablas de enrutamiento de todos los enrutadores internos de la ubicacin 6to4. Utilice un protocolo de enrutamiento que no sea RIPng en el enrutador interno de la ubicacin 6to4.
239
240
10
C A P T U L O
1 0
Este captulo proporciona informacin de referencia sobre la red TCP/IP para los archivos de configuracin de la red, incluidos los tipos, su finalidad y el formato de las entradas de archivo. Las bases de datos de red existentes tambin se describen de forma pormenorizada. Asimismo, el captulo muestra cmo se deriva la estructura de las direcciones IPv4, basndose en clasificaciones de red definidas y en los nmeros de subred. Este captulo contiene la informacin siguiente:
Archivos de configuracin TCP/IP en la pgina 241 Bases de datos de red y el archivo nsswitch.conf en la pgina 252 Protocolos de enrutamiento en Oracle Solaris en la pgina 261 Clases de red en la pgina 262
Archivo /etc/hostname.interfaz Archivo /etc/nodename Archivo /etc/defaultdomain Archivo /etc/defaultrouter (opcional) Base de datos hosts En Solaris 10 11/06 y versiones anteriores, la base de datos ipnodes
241
El programa de instalacin de Oracle Solaris crea estos archivos como parte del proceso de instalacin. Tambin puede editar manualmente los archivos, como se describe en esta seccin. hosts y netmasks son dos de las bases de datos de red que leen los servicios de nombres disponibles en las redes de Oracle Solaris. Bases de datos de red y el archivo nsswitch.conf en la pgina 252 describe detalladamente el concepto de bases de datos de red. En Solaris 10 11/06 y versiones anteriores, para obtener informacin sobre el archivo ipnodes, consulte Base de datos ipnodes en la pgina 247.
Archivo /etc/hostname.interfaz
Este archivo define las interfaces de red fsicas del host local. En el sistema local debe haber como mnimo un archivo /etc/hostname.interfaz. El programa de instalacin de Oracle Solaris crea un archivo /etc/hostname.interfaz para la primera interfaz que se encuentra durante el proceso de instalacin. Esta interfaz normalmente tiene el nmero de dispositivo menor, por ejemplo, eri0, y se hace referencia a ella como la interfaz de red principal. Si el programa de instalacin encuentra interfaces adicionales, puede configurarlas de modo opcional, como parte del proceso de instalacin.
Nota Si crea archivos alternativos de host para la misma interfaz, tambin deben seguir el
formato de asignacin de nombres host.[0-9]*, como, por ejemplo, nombre_host.qfe0.a123. Nombres como hostname.qfe0.bak o hostname.qfe0.old no son vlidos y sern ignorados por las secuencias durante el inicio del sistema. Tenga en cuenta tambin que slo puede haber un archivo de nombre de host para una interfaz determinada. Si crea archivos alternativos de host para una interfaz con un nombre de archivo vlido como, por ejemplo, /etc/hostname.qfe y /etc/hostname.qfe.a123 , las secuencias de comandos de inicio intentarn la configuracin mediante la referencia a los contenidos de ambos archivos de host, y se generarn errores. Para evitar esos errores, proporcione un nombre de archivo no vlido para el sistema host que no desea utilizar en una configuracin concreta. Si agrega una interfaz de red nueva al sistema tras la instalacin, debe crear un archivo /etc/hostname.interfaz para dicha interfaz, tal como se explica en Cmo configurar una interfaz fsica tras la instalacin del sistema en la pgina 153. Asimismo, para que el software Oracle Solaris reconozca y utilice la nueva interfaz de red, debe cargar el controlador de dispositivos de la interfaz en el directorio correspondiente. Consulte la documentacin que se incluye con la nueva interfaz de red para conocer el nombre de la interfaz pertinente y las instrucciones relativas al controlador de dispositivos. El archivo /etc/hostname.interfaz bsico contiene una entrada: el nombre de host o direccin IPv4 asociados con la interfaz de red. La direccin IPv4 se puede expresar en el formato decimal
242 Gua de administracin del sistema: servicios IP Septiembre de 2010
con punto tradicional o en la notacin CIDR. Si utiliza un nombre de host como entrada para el archivo /etc/hostname.interfaz, dicho nombre de host tambin debe existir en el archivo /etc/inet/hosts. Por ejemplo, supongamos que smc0 es la interfaz de red principal para un sistema denominado tenere. El archivo /etc/hostname.smc0 podra tener como entrada una direccin IPv4 en notacin decimal con punto o CIDR, o el nombre de host tenere.
Nota IPv6 utiliza el archivo /etc/hostname6.interfaz para definir las interfaces de red. Para
Archivo /etc/nodename
Este archivo debe contener una entrada: el nombre de host del sistema local. Por ejemplo, en el sistema timbuktu, el archivo /etc/nodename incluira la entrada timbuktu.
Archivo /etc/defaultdomain
Este archivo debe contener una entrada: el nombre de dominio completo del dominio administrativo al que pertenece la red del host local. Puede proporcionar este nombre en el programa de instalacin de Oracle Solaris o editar el archivo posteriormente. Para ms informacin sobre los dominios de red, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Archivo /etc/defaultrouter
Este archivo puede contener una entrada para cada enrutador que est conectado directamente a la red. La entrada debe ser el nombre de la interfaz de red que acte como enrutador entre las redes. La presencia del archivo /etc/defaultrouter indica que el sistema est configurado para admitir el enrutamiento esttico.
Si utiliza los archivos locales para el servicio de nombres, la base de datos hosts se mantiene en el archivo /etc/inet/hosts. Este archivo contiene los nombres de host y las direcciones IPv4 de la interfaz de red principal, las dems interfaces de red conectadas al sistema y cualquier otra direccin de red que deba comprobar el sistema.
Nota Para fines de compatibilidad con los sistemas operativos basados en BSD, el archivo
[apodo] [#comentario]
Archivo /etc/inet/hosts para el sistema tenere loghost #loopback address #host name
Direccin en bucle
En el Ejemplo 101, la direccin IPv4 127.0.0.1 es la direccin en bucle. La direccin en bucle es la interfaz de red reservada que utiliza el sistema local para permitir la comunicacin entre los procesos. Esta direccin permite al host enviarse paquetes a s mismo. El comando ifconfig utiliza la direccin en bucle para la configuracin y las pruebas, tal como se explica en
244 Gua de administracin del sistema: servicios IP Septiembre de 2010
Supervisin de la configuracin de interfaz con el comando ifconfig en la pgina 211. Cada sistema de una red TCP/IP debe utilizar la direccin IP 127.0.0.1 para el bucle IPv4 del host local.
Nombre de host
La direccin IPv4 192.168.200.1 y el nombre tenere son la direccin y el nombre de host del sistema local. Se asignan a la interfaz de red principal del sistema.
Archivo /etc/inet/hosts para el sistema timbuktu localhost loghost timbuktu #This is the local host name timbuktu-201 #Interface to network 192.9.201
Con estas dos interfaces, timbuktu conecta las redes 192.168.200 y 192.168.201 como enrutador.
245
Direccin en bucle Direccin IPv4 y nombre de host del sistema local (interfaz de red principal) Direccin IPv4 y nombre de host de las interfaces de red adicionales conectadas a este sistema, si es preciso Direcciones IPv4 y nombres de host de todos los hosts de la red local Direcciones IPv4 y nombres de host de cualquier enrutador que deba conocer este sistema, si es preciso Direccin IPv4 de cualquier sistema que desee consultar el sistema por nombre de host
La Figura 101 muestra el archivo /etc/inet/hosts para el sistema tenere. Este sistema se ejecuta en modo de archivos locales. Tenga en cuenta que el archivo contiene las direcciones IPv4 y los nombres de host de cada sistema de la red 192.9.200. El archivo tambin contiene la direccin IPv4 y el nombre de interfaz timbuktu-201. Esta interfaz conecta la red 192.9.200 con la red 192.9.201. Un sistema configurado como cliente de red utiliza el archivo /etc/inet/hosts local para sus direcciones en bucle e IPv4.
246
FIGURA 101
# Desert Network - Hosts File # # If the NIS is running, this file is only consulted # when booting Lnea de localhost Lnea de nombre de host Lnea de servidor # 127.0.0.1 localhost # 192.9.200.1 192.9.200.50 # 192.9.200.2 192.9.200.3 Otros hosts 192.9.200.4 192.9.200.5 192.9.200.70 192.9.201.10 libyan ahaggar nubian faiyum timbuktu timbuktu-201 suz tim libby #This is Tom's machine #This is Bob's machine #This is Amina's machine #This is Suzanne's machine #This is Kathy's machine #Interface to net 192.9.201 on #timbuktu tenere sahara big #This is my machine #This is the net config server
En las versiones subsiguientes, las funciones de IPv6 de ipnodes se migran a la base de datos hosts. El archivo /etc/inet/ipnodes almacena las direcciones IPv4 e IPv6. Adems, puede guardar direcciones IPv4 en las notaciones decimal con punto o CIDR. Este archivo sirve como base de datos local que asocia los nombres de hosts con sus direcciones IPv4 e IPv6. No guarde los nombres de host y sus direcciones en archivos estticos, como /etc/inet/ipnodes. En cambio, para fines de pruebas, debe guardar las direcciones IPv6 en un archivo del mismo modo que las direcciones IPv4 se guardan en /etc/inet/hosts. El archivo ipnodes utiliza la misma
247
convencin de formato que el archivo hosts. Para ms informacin sobre /etc/inet/hosts, consulte Base de datos hosts en la pgina 243. Consulte la pgina del comando man ipnodes(4) para ver una descripcin del archivo ipnodes. Las aplicaciones habilitadas para IPv6 utilizan la base de datos /etc/inet/ipnodes. La base de datos /etc/hosts existente, que contiene slo direcciones IPv4, permanece igual para facilitar las aplicaciones existentes. Si la base de datos ipnodes no existe, las aplicaciones habilitadas para IPv6 utilizan la base de datos hosts existente.
Nota Si necesita agregar direcciones, debe agregar las direcciones IPv4 tanto al archivo hosts como al archivo ipnodes. Las direcciones IPv6 se agregan slo al archivo ipnodes.
EJEMPLO 103
Archivo /etc/inet/ipnodes
Debe agrupar las direcciones del nombre de host por nombre de host, como se muestra en este ejemplo.
# # Internet IPv6 host table # with both IPv4 and IPv6 addresses # ::1 localhost 2001:db8:3b4c:114:a00:20ff:fe78:f37c farsite.com farsite farsite-v6 fe80::a00:20ff:fe78:f37c farsite-11.com farsitell 192.168.85.87 farsite.com farsite farsite-v4 2001:db8:86c0:32:a00:20ff:fe87:9aba nearsite.com nearsite nearsite-v6 fe80::a00:20ff:fe87:9aba nearsite-11.com nearsitell 10.0.0.177 nearsite.com nearsite nearsite-v4 loghost
248
direcciones de red, lo cual permite tener ms redes. La parte del espacio de direccin de host asignada a las nuevas direcciones de red se conoce como nmero de subred. Adems de hacer que el espacio de la direccin IPv4 sea mas eficaz, las subredes presentan varias ventajas administrativas. El enrutamiento puede complicarse enormemente a medida que aumenta el nmero de redes. Por ejemplo, una pequea organizacin podra asignar a cada red local un nmero de clase C. A medida que la organizacin va aumentando, puede complicarse la administracin de los diferentes nmeros de red. Es recomendable asignar pocos nmeros de red de clase B a cada divisin principal de una organizacin. Por ejemplo, podra asignar una red de clase B al departamento de ingeniera, otra al departamento de operaciones, etc. A continuacin, podra dividir cada red de clase B en redes adicionales, utilizando los nmeros de red adicionales obtenidos gracias a las subredes. Esta divisin tambin puede reducir la cantidad de informacin de enrutamiento que se debe comunicar entre enrutadores.
249
subred se utilizan para seleccionar bits de cualquiera de los bytes para utilizar como direcciones de subred. Aunque los bits de mscara de red deben ser contiguos, no es necesario que estn alineados con los lmites del byte. La mscara de red puede aplicarse a una direccin IPv4 utilizando el operador lgico AND en el nivel de bits. Esta operacin selecciona las posiciones del nmero de red y el nmero de subred de la direccin. Las mscaras de red se pueden explicar en trminos de su representacin binaria. Puede utilizar una calculadora para la conversin de binario a decimal. Los ejemplos siguientes muestran los formatos binario y decimal de la mscara de red. Si se aplica una mscara de red 255.255.255.0 a la direccin IPv4 172.16.41.101, el resultado es la direccin IPv4 de 172.16.41.0. 172.16.41.101 & 255.255.255.0 = 172.16.41.0 En formato binario, la operacin es: 10000001.10010000.00101001.01100101 (direccin IPv4) y el operador AND con 11111111.11111111.11111111.00000000 (mscara de red) Ahora el sistema busca un nmero de red de 172.16.41 en lugar de 172.16. Si la red tiene el nmero 172.16.41, dicho nmero es lo que comprueba y busca el sistema. Dado que puede asignar hasta 254 valores al tercer byte del espacio de direccin IPv4, las subredes permiten crear espacio de direccin para 254 redes, mientras que anteriormente el espacio slo estaba disponible para una. Si va a proporcionar espacio de direccin slo para dos redes adicionales, puede utilizar la siguiente mscara de subred: 255.255.192.0 Esta mscara de red genera el resultado siguiente: 11111111.11111111.1100000.00000000 Este resultado deja 14 bits disponibles para las direcciones host. Dado que todos los 0 y 1 estn reservados, deben reservarse como mnimo 2 bits para el nmero host.
250
Archivo/etc/inet/netmasks
Si la red ejecuta NIS o LDAP, los servidores de estos servicios de nombres guardan las bases de datos netmasks. En el caso de las redes que utilizan archivos locales para el servicio de nombres, esta informacin se guarda en el archivo /etc/inet/netmasks.
Nota Para fines de compatibilidad con los sistemas operativos basados en BSD, el archivo /etc/netmasks es un vnculo simblico a /etc/inet/netmasks.
# The netmasks file associates Internet Protocol (IPv4) address # masks with IPv4 network numbers. # # network-number netmask # # Both the network-number and the netmasks are specified in # decimal dot notation, e.g: # # 128.32.0.0 255.255.255.0 192.168.0.0 255.255.255.0
Si el archivo /etc/netmasks no existe, crelo con un editor de texto. Use la sintaxis siguiente:
network-number netmask-number
Consulte la pgina del comando man netmasks(4) para obtener ms informacin. Cuando cree nmeros de mscara de red, escriba el nmero de red asignado por el ISP o el registro de Internet (no el nmero de subred) y el nmero de mscara de red en /etc/inet/netmasks. Cada mscara de subred debe encontrarse en una lnea distinta. Por ejemplo:
128.78.0.0 255.255.248.0
Tambin puede escribir nombres simblicos para los nmeros de red en el archivo /etc/inet/hosts. Estos nombres de red pueden utilizarse en lugar de los nmeros de red como parmetros para los comandos.
251
El valor de campo proto del perfil inetadm de un servicio especfico indica el protocolo de capa de transporte en el que se ejecuta el servicio. Si el servicio est habilitado slo para IPv4, el campo proto debe especificarse como tcp, udp o sctp.
Para obtener instrucciones sobre el uso de los comandos SMF, consulte SMF Command-Line Administrative Utilities de System Administration Guide: Basic Administration. Para ver una tarea que utilice comandos SMF para agregar un servicio que se ejecute con SCTP, consulte Cmo agregar servicios que utilicen el protocolo SCTP en la pgina 138. Para obtener informacin sobre cmo agregar servicios que manejen solicitudes IPv4 e IPv6, consulte Daemon de servicios de Internet inetd en la pgina 252.
252
Como parte del proceso de configuracin, puede editar las bases de datos hosts y netmasks, si la red cuenta con subredes. Se utilizan dos bases de datos de red, bootparams y ethers, para configurar los sistemas como clientes de red. El sistema operativo utiliza las bases de datos restantes, que raramente requieren edicin. Aunque el archivo nsswitch.conf no es una base de datos de red, debe configurar este archivo junto con las bases de datos de red pertinentes. El archivo nsswitch.conf especifica qu servicio de nombre utilizar para un sistema concreto: archivos locales, NIS, DNS o LDAP.
Las redes que utilizan archivos locales para su servicio de nombres dependen de los archivos de los directorios /etc/inet y /etc. NIS utiliza las bases de datos denominadas asignaciones NIS. DNS utiliza los registros con la informacin de host.
Nota El inicio DNS y los archivos de datos no se corresponden directamente con las bases de datos de red.
La figura siguiente muestra los formatos de la base de datos hosts que utilizan estos servicios de nombres.
253
FIGURA 102
Registro de DNS
Red que utiliza archivos locales para servicios de nombres /etc/hosts en servidor de config. de net. y otros equipos en modo de archivos locales
La tabla siguiente muestra las bases de datos de red y sus asignaciones NIS y archivos locales correspondientes.
Nota La base de datos ipnodes se elimina de las versiones de Oracle Solaris a partir de Solaris
10 11/06.
TABLA 101
254
TABLA 101
(Continuacin)
Asignaciones NIS
En este manual se describen las bases de datos de red tal como las ven las redes que utilizan archivos locales para los servicios de nombres.
Encontrar informacin sobre la base de datos hosts en Base de datos hosts en la pgina 243. Para obtener informacin sobre la base de datos netmasks, consulte Base de datos netmasks en la pgina 248. En el caso de Solaris 10 11/06 y versiones anteriores, encontrar informacin sobre la base de datos ipnodes en Base de datos ipnodes en la pgina 247.
Consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) para obtener informacin sobre las correspondencias de bases de datos de red en NIS, DNS y LDAP.
Archivo nsswitch.conf
El archivo /etc/nsswitch.conf define el orden de bsqueda de las bases de datos de red. El programa de instalacin de Oracle Solaris crea un archivo /etc/nsswitch.conf predeterminado para el sistema local, basndose en el servicio de nombres que indique durante el proceso de instalacin. Si ha seleccionado la opcin "None" que indica los archivos locales para el servicio de nombres, el archivo nsswitch.conf resultante ser similar al del ejemplo siguiente.
EJEMPLO 105
# # # # # # # #
/etc/nsswitch.files: An example file that could be copied over to /etc/nsswitch.conf; it does not use any naming service. "hosts:" and "services:" in this file are used only if the /etc/netconfig file contains "switch.so" as a nametoaddr library for "inet" transports. files files files files
255
EJEMPLO 105 nsswitch.conf para redes utilizando archivos para el servicio de nombres (Continuacin)
protocols: files rpc: files ethers: files netmasks: files bootparams: files publickey: files # At present there isnt a files backend for netgroup; the # system will figure it out pretty quickly, # and wont use netgroups at all. netgroup: files automount: files aliases: files services: files sendmailvars: files
La pgina del comando man nsswitch.conf(4) describe el archivo de manera pormenorizada. A continuacin se muestra la sintaxis bsica: base_datos servicio_nombres_para_buscar El campo base_datos puede incluir uno de mltiples tipos de bases de datos en las que busca el sistema operativo. Por ejemplo, el campo puede indicar una base de datos que afecta a los usuarios, como passwd o aliases , o una base de datos de red. El parmetro servicio_nombres_para_buscar puede tener los valores files, nis o nis+ para las bases de datos de redes. La base de datos hosts tambin puede tener dns como servicio de nombres para buscar. Adems, puede enumerar ms de un servicio de nombres, como nis+ y files. En el Ejemplo 105, la nica opcin de bsqueda que se indica es files. Por tanto, el sistema local obtiene informacin de seguridad y montaje automtico, adems de informacin de la base de datos de red, a partir de los archivos ubicados en los directorios /etc y /etc/inet.
Cambio de nsswitch.conf
El directorio /etc contiene el archivo nsswitch.conf, creado por el programa de instalacin de Oracle Solaris. Este directorio tambin contiene archivos de plantilla para los siguientes servicios de nombres:
nsswitch.files nsswitch.nis
Si desea cambiar de un servicio de nombres a otro, puede copiar la plantilla pertinente en nsswitch.conf. Tambin puede editar de forma selectiva el archivo nsswitch.conf y cambiar el servicio de nombres predeterminado para buscar bases de datos individuales. Por ejemplo, en una red que ejecuta NIS, es posible que tenga que cambiar el archivo nsswitch.conf en los clientes de red. La ruta de bsqueda de las bases de datos bootparams y ethers debe enumerar files como primera opcin, y despus nis. El ejemplo siguiente muestra las rutas de bsqueda correctas.
256 Gua de administracin del sistema: servicios IP Septiembre de 2010
EJEMPLO 106
# /etc/nsswitch.conf:# . . passwd: files nis group: files nis # consult /etc hosts: networks: protocols: rpc: ethers: netmasks: bootparams: publickey: netgroup: automount: aliases: "files" only if nis is down. nis [NOTFOUND=return] files nis [NOTFOUND=return] files nis [NOTFOUND=return] files nis [NOTFOUND=return] files files [NOTFOUND=return] nis nis [NOTFOUND=return] files files [NOTFOUND=return] nis nis nis files nis files nis
# for efficient getservbyname() avoid nis services: files nis sendmailvars: files
Para ms informacin sobre el cambio de servicio de nombres, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
En este ejemplo, el trmino dump= indica a los hosts cliente que no deben buscar un archivo de volcado.
El comodn de asterisco (*) indica que esta entrada se aplica a todos los clientes que no tengan un nombre especfico en la base de datos bootparams.
Direccin MAC del host Nombre oficial del host Cualquier nota que desee anexar a una entrada del archivo
El fabricante del equipo proporciona la direccin MAC. Si un sistema no muestra la direccin MAC durante el proceso de inicio, consulte los manuales de hardware para obtener informacin al respecto. Cuando aada entradas a la base de datos ethers, asegrese de que los nombres de host correspondan a los nombres principales de la base de datos hosts y, para Solaris 10 11/06 y versiones anteriores, a los de la base de datos ipnodes, no a los apodos, tal como se indica a continuacin.
258 Gua de administracin del sistema: servicios IP Septiembre de 2010
EJEMPLO 108
# This is a comment
Nombre oficial de la red Nmero asignado por el ISP o el registro de Internet Cualquier otro nombre por el que se conozca la red Cualquier nota que desee anexar a una entrada del archivo
Debe guardar el archivo networks. El programa netstat utiliza la informacin de esta base de datos para producir tablas de estado. A continuacin se incluye un archivo /etc/networks de ejemplo.
EJEMPLO 109
Archivo /etc/networks
#ident "@(#)networks 1.4 92/07/14 SMI" /* SVr4.0 1.1 */ # # The networks file associates Internet Protocol (IP) network # numbers with network names. The format of this file is: # # network-name network-number nicnames . . . # The loopback network is used only for intra-machine communication
259
EJEMPLO 109
(Continuacin)
loopback
# # Internet networks # arpanet 10 arpa # Historical # # local networks eng 192.168.9 #engineering acc 192.168.5 #accounting prog 192.168.2 #programming
Archivo /etc/inet/protocols protocols # # # # internet protocol, pseudo protocol number internet control message protocol transmission control protocol user datagram protocol
Archivo /etc/inet/services
# # Network services
260
EJEMPLO 1011
Archivo /etc/inet/services
(Continuacin)
# echo echo echo discard discard daytime daytime netstat ftp-data ftp telnet time time name whois
7/udp 7/tcp 7/sctp6 9/udp 11/tcp 13/udp 13/tcp 15/tcp 20/tcp 21/tcp 23/tcp 37/tcp 37/udp 42/udp 43/tcp
sink null
No se especifica el indicador S ("S" mayscula: "Modo de ahorro de espacio"). El comando in.routed genera una tabla de enrutamiento completa, al igual que en un enrutador. Se especifica el indicador S. El comando in.routed crea una tabla de ncleo mnima, que contiene una nica ruta predeterminada para cada enrutador disponible.
261
Clases de red
Clases de red
Nota La IANA ya no pone a disposicin los nmeros de red basados en clases, aunque hay muchas redes antiguas que siguen estando basadas en clases.
En esta seccin se describen las clases de red IPv4. Cada clase utiliza el espacio de direccin IPv4 de 32 bits de un modo distinto, y proporciona ms o menos bits para la parte de red de la direccin. Estas clases son las clases A, B y C.
FIGURA 103
Bits: 0 Red
7-8 Parte
15-16 Host
23-24 Parte
31
Direccin de clase A
262
Clases de red
Los valores asignados al primer byte de los nmeros de red de clase A van del 0 al 127. Pongamos como ejemplo la direccin IPv4 75.4.10.4. El valor 75 del primer byte indica que el host se encuentra en una red de clase A. Los bytes restantes, 4.10.4, establecen la direccin del host. Slo el primer byte de un nmero de clase A se registra con la IANA. El uso de los tres bytes restantes se deja a criterio del propietario del nmero de red. Slo existen 127 redes de clase A. Cada uno de estos nmeros puede incluir un mximo de 16.777.214 de hosts.
FIGURA 104
Bits: 0 Red
7-8 Parte
15-16 Host
23-24 Parte
31
Direccin de clase B
La clase B se asigna tpicamente a las organizaciones que tienen varios hosts en sus redes.
263
Clases de red
FIGURA 105
Bits: 0 Red
7-8 Parte
15-16 Host
23-24 Parte
31
Direccin de clase C
El primer byte de un nmero de red de clase C va de 192 a 223. El segundo y el tercer byte van de 1 a 255. Una direccin de clase C tpica podra ser 192.168.2.5. Los tres primeros bytes, 192.168.2, forman el nmero de red. El ltimo byte de este ejemplo, 5, es el nmero de host.
264
11
C A P T U L O
1 1
Este captulo proporciona la siguiente informacin de referencia relativa a la implementacin de IPv6 en Oracle Solaris 10. Formatos de direcciones IPv6 que no son los bsicos en la pgina 266 Formato del encabezado de los paquetes de IPv6 en la pgina 269 Protocolos de pila doble en la pgina 271 Implementacin de IPv6 en Oracle Solaris 10 en la pgina 271 Protocolo ND de IPv6 en la pgina 286 Encaminamiento de IPv6 en la pgina 292 Tneles de IPv6 en la pgina 294 Extensiones de IPv6 para servicios de nombres de Oracle Solaris en la pgina 303 Admisin de NFS y RPC IPv6 en la pgina 305 Admisin de IPv6 en ATM en la pgina 306
Para obtener una descripcin general de los conceptos relativos a IPv6, consulte el Captulo 3, Introduccin a IPv6 (descripcin general). Para obtener informacin sobre tareas relativas a la configuracin de redes habilitadas para IPv6, consulte el Captulo 7, Configuracin de una red IPv6 (tareas)..
265
Direcciones 6to4 derivadas en la pgina 266 Direcciones multidifusin IPv6 en profundidad en la pgina 268
FIGURA 111
Ejemplo de direccin 6to4: 2002:8192:5666::/48 Formato de ejemplo: 2002 Prefijo : 8192.5666 :: Direccin IPv4 /48 Tamao de prefijo (48 bits)
La figura siguiente ilustra las distintas partes de un prefijo de subred de un sitio de 6to4, de la forma que se incluira en el archivo ndpd.conf.
266
FIGURA 112
Ejemplo de direccin 6to4: 2002:8192.5666:1: :/64 Formato de ejemplo: 2002 Prefijo : 8192.5666 : Direccin IPv4 1 ID de subred : ID de host : /64 Tamao de anuncio (64 bits)
Esta tabla explica las partes que componen un prefijo de subred de 6to4, y sus respectivas longitudes y definiciones.
Parte Tamao Definicin
16 bits 32 bits
Etiqueta 2002 de prefijo de 6to4 (0x2002). Direccin IPv4 exclusiva que ya se ha configurado en la interfaz de 6to4. En el anuncio, se especifica la representacin hexadecimal de la direccin IPv4, en lugar de la representacin decimal con punto de IPv4. ID de subred; debe ser un valor exclusivo del vnculo en el sitio de 6to4.
ID de subred
16 bits
La salida del comando ifconfig -a en un host con una interfaz de 6to4 tiene un aspecto similar al siguiente:
qfe1:3: flags=2180841<UP,RUNNING,MULTICAST,ADDRCONF,ROUTER,IPv6> mtu 1500 index 7 inet6 2002:8192:56bb:9258:a00:20ff:fea9:4521/64
En esta salida, la direccin 6to4 derivada sigue a inet6. Esta tabla explica las partes de la direccin derivada 6to4, sus longitudes y la informacin que proporcionan.
Captulo 11 IPv6 en profundidad (referencia) 267
Parte de la direccin
Tamao
Definicin
2002, prefijo de 6to4 8192:56bb, direccin IPv4 en notacin hexadecimal para la pseudointerfaz de 6to4 que se configura en el enrutador de 6to4 9258, direccin de la subred a la que pertenece el host a00:20ff:fea9:4521, ID de interfaz de la interfaz de host que se configura para 6to4
8 bits 11111111
INDICS SCOP
Reservado Plen
11111111: identifica la direccin como direccin multidifusin. FLGS: conjunto de los cuatro indicadores 0,0,P,T. Los dos primeros deben ser cero. El campo P tiene uno de los valores siguientes:
0 = Direccin multidifusin que no se asigna en funcin del prefijo de red 1 = Direccin multidifusin que se asigna en funcin del prefijo de red
Reservado: valor reservado de cero. Plen: cantidad de bits del prefijo de sitio que identifican la subred, para una direccin multidifusin que se asigna a partir de un prefijo de sitio. ID de grupo: identificador del grupo de multidifusin, ya sea permanente o dinmico.
268
Para obtener informacin detallada sobre el formato multidifusin, consulte RFC 3306, Unicast-Prefix-based IPv6 Multicast Addresses (ftp://ftp.rfc-editor.org/in-notes/ rfc3306.txt). Determinadas direcciones multidifusin IPv6 son asignadas permanentemente por la IANA (Internet Assigned Numbers Authority). Ejemplos son las direcciones multidifusin de todos los nodos y todos los enrutadores multidifusin que necesitan todos los hosts y enrutadores de IPv6. Las direcciones multidifusin IPv6 tambin se pueden asignar dinmicamente. Para obtener ms informacin sobre el uso adecuado de grupos y direcciones multidifusin, consulte RFC 3307, Allocation Guidelines for IPv 6 Multicast Addresses.
FIGURA 113
Versin
Clase de trfico
Direccin de origen
Direccin de destino
Versin: nmero de versin de 4 bits del protocolo de Internet = 6. Clase de trfico: campo de clase de trfico de 8 bits. Etiqueta de flujo: campo de 20 bits. Tamao de carga til: entero sin signo de 16 bits, que representa el resto del paquete que sigue al encabezado de IPv6, en octetos.
269
Encabezado siguiente: selector de 8 bits. Identifica el tipo de encabezado que va inmediatamente despus del encabezado de IPv6. Emplea los mismos valores que el campo de protocolo IPv4. Lmite de salto: entero sin signo de 8 bits. Disminuye en uno cada nodo que reenva el paquete. El paquete se desecha si el lmite de salto se reduce a cero. Direccin de origen: 128 bits. Direccin del remitente inicial del paquete. Direccin de destino: 128 bits. Direccin del destinatario previsto del paquete. El destinatario previsto no es necesariamente el destinatario si existe un encabezado de enrutamiento opcional.
Encaminamiento: enrutamiento extendido, por ejemplo ruta holgada fijada en origen de IPv4 Fragmentacin: fragmentacin y montaje Autenticacin: integridad y autenticacin, y seguridad Encapsulado de carga til: confidencialidad Opciones de salto a salto: opciones especiales que necesitan procesamiento salto a salto Opciones de destino: informacin opcional que el nodo de destino debe examinar
270
FIGURA 114
Aplicacin Transporte
Red
IPv4
IPv6
Vnculo de datos
Ethernet
FDDI
PPP
etc
En el caso hipottico de pila doble, los subconjuntos de enrutadores y hosts se actualizan para admitir IPv6, adems de IPv4. Con este planteamiento de pila doble, los nodos actualizados siempre pueden interoperar con nodos que son slo de IPv4 mediante IPv4.
271
Archivo de configuracin ndpd.conf en la pgina 272 Archivo de configuracin de interfaces de IPv6 en la pgina 275 Archivo de configuracin /etc/inet/ipaddrsel.conf en la pgina 276
ifdefault
Especifica el comportamiento de enrutador en todas las interfaces. Utilice la sintaxis siguiente para establecer los parmetros de enrutador y los valores correspondientes: ifdefault [valor_variable]
prefixdefault
Especifica el comportamiento predeterminado para los anuncios de prefijo. Utilice la sintaxis siguiente para establecer los parmetros de enrutador y los valores correspondientes: prefixdefault [valor_variable]
if
Establece los parmetros segn la interfaz. Use la sintaxis siguiente: if interfaz [valor_variable]
prefix
Anuncia informacin de prefijo segn la interfaz. Use la sintaxis siguiente: prefijo prefijo/tamao interfaz [valor_variable]
En el archivo ndpd.conf, las palabras clave de esta tabla se usan con un conjunto de variables de configuracin de enrutador. Puede encontrar una definicin detallada de estas variables en RFC 2461, Neighbor Discovery for IP Version 6 (IPv6) (http://www.ietf.org/rfc/ rfc2461.txt?number=2461). En la siguiente tabla aparecen las variables necesarias para configurar una interfaz, junto con breves definiciones.
272 Gua de administracin del sistema: servicios IP Septiembre de 2010
AdvRetransTimer
Especifica el valor del campo RetransTimer en los mensajes de anuncio que enva el enrutador. Especifica el valor que se debe colocar en el lmite de salto actual de los mensajes de anuncio que enva el enrutador. Especifica la vida til predeterminada de los anuncios de enrutador. Especifica el valor de MTU (Maximum Transmission Unit, unidad de transmisin mxima) que debe enviar el enrutador. El cero indica que el enrutador no especifica opciones de MTU. Indica el valor que se debe colocar en el indicador Manage Address Configuration del anuncio de enrutador. Indica el valor que se debe colocar en el indicador Other Stateful Configuration del anuncio de enrutador. Especifica el valor del campo ReachableTime en los mensajes de anuncio que enva el enrutador. Indica si el nodo debe enviar anuncios y responder a solicitudes de enrutador. Esta variable se debe establecer en "TRUE" en el archivo ndpd.conf para activar funciones de anuncio de enrutador. Para obtener ms informacin, consulte Cmo configurar un enrutador habilitado para IPv6 en la pgina 184. Define la cantidad de mensajes consecutivos de solicitudes de vecino que el protocolo ND debe enviar duante la deteccin de direcciones duplicadas de la direccin del nodo local. Especifica el intervalo mximo de tiempo de espera entre el envo de anuncios multidifusin no solicitados. Especifica el intervalo mnimo de espera entre el envo de anuncios multidifusin no solicitados. Controla si el nodo configura su direccin IPv6 mediante la configuracin automtica de direcciones sin estado. Si en el archivo ndpd.conf se declara False, la direccin se debe configurar manualmente. Para obtener ms informacin, consulte Cmo configurar un token IPv6 especificado por el usuario en la pgina 192. Indica si se debe crear una direccin temporal para todas las interfaces o para una determinada interfaz de un nodo. Para obtener ms informacin, consulte Cmo configurar una direccin temporal en la pgina 189.
AdvCurHopLimit
AdvDefaultLifetime AdvLinkMTU
AdvManaged Flag
AdvOtherConfigFlag
AdvReachableTime
AdvSendAdvertisements
MinRtrAdvInterval
StatelessAddrConf
TmpAddrsEnabled
Falso
273
(Continuacin)
TmpMaxDesyncFactor
600 segundos
Especifica un valor aleatorio que se debe sustraer de la variable de vida til preferente TmpPreferredLifetime al iniciarse in.ndpd. La finalidad de la variable TmpMaxDesyncFactor es impedir que todos los sistemas de la red vuelvan a generar sus direcciones temporales al mismo tiempo. TmpMaxDesyncFactor permite modificar el lmite superior de ese valor aleatorio. Establece la vida til preferente de una direccin temporal. Para obtener ms informacin, consulte Cmo configurar una direccin temporal en la pgina 189. Especifica el tiempo de demora antes de descartar una direccin temporal. Para obtener ms informacin, consulte Cmo configurar una direccin temporal en la pgina 189. Establece la vida til vlida de una direccin temporal. Para obtener ms informacin, consulte Cmo configurar una direccin temporal en la pgina 189.
TmpPreferredLifetime
Falso
TmpRegenAdvance
Falso
TmpValidLifetime
Falso
En la siguiente tabla se muestran las variables que se utilizan para configurar prefijos IPv6.
TABLA 114 Variable
AdvAutonomousFlag
Verdadero Verdadero
Especifica el valor que se debe colocar en el campo AutonomousFlag en la opcin de informacin de prefijo. Especifica el valor que se debe colocar en el campo OnLink ("L-bit") en la opcin de informacin de prefijo. Especifica la fecha de caducidad preferente del prefijo. Especifica el valor que se debe colocar en el campo PreferredLifetime en la opcin de informacin de prefijo. Especifica la fecha de caducidad vlida del prefijo. Especifica la vida til vlida del prefijo que se configura.
AdvOnLinkFlag
AdvPreferredExpiration AdvPreferredLifetime
AdvValidExpiration AdvValidLifetime
EJEMPLO 111
Archivo /etc/inet/ndpd.conf
En el ejemplo siguiente se muestra el modo de utilizar las palabras clave y las variables de configuracin en el archivo ndpd.conf. Elimine el comentario (#) para activar la variable.
# # # #
274
EJEMPLO 111
Archivo /etc/inet/ndpd.conf
(Continuacin)
# # Per interface configuration variables # #DupAddrDetectTransmits #AdvSendAdvertisements #MaxRtrAdvInterval #MinRtrAdvInterval #AdvManagedFlag #AdvOtherConfigFlag #AdvLinkMTU #AdvReachableTime #AdvRetransTimer #AdvCurHopLimit #AdvDefaultLifetime # # Per Prefix: AdvPrefixList configuration variables # # #AdvValidLifetime #AdvOnLinkFlag #AdvPreferredLifetime #AdvAutonomousFlag #AdvValidExpiration #AdvPreferredExpiration ifdefault AdvReachableTime 30000 AdvRetransTimer 2000 prefixdefault AdvValidLifetime 240m AdvPreferredLifetime 120m if qe0 AdvSendAdvertisements 1 prefix 2:0:0:56::/64 qe0 prefix fec0:0:0:56::/64 qe0 if qe1 AdvSendAdvertisements 1 prefix 2:0:0:55::/64 qe1 prefix fec0:0:0:56::/64 qe1 if hme1 AdvSendAdvertisements 1 prefix 2002:8192:56bb:1::/64 qfe0 if hme1 AdvSendAdvertisements 1 prefix 2002:8192:56bb:2::/64 hme1
Al igual que las interfaces de IPv4, las de IPv6 se pueden configurar manualmente, tras instalar Oracle Solaris. El usuario crea archivos /etc/hostname6. interfaz para las nuevas interfaces. Para obtener instrucciones sobre la configuracin manual de interfaces, consulte Administracin de interfaces en Solaris 10 3/05 en la pgina 141 o el Captulo 6, Administracin de interfaces de red (tareas). Los nombres de archivos de configuracin de interfaz de red presentan la sintaxis siguiente:
hostname.interface hostname6.interface
dis
Indica un dispositivo de interfaz de red. El dispositivo puede ser una interfaz fsica de red, por ejemplo eri o qfe, o una interfaz lgica, por ejemplo un tnel. Para obtener ms informacin, consulte Archivo de configuracin de interfaces de IPv6 en la pgina 275. Presenta uno o varios mdulos STREAMS para insertar en el dispositivo cuando dicho dispositivo est conectado. Indica el punto fsico de conexin.
Mdulo PFC
276
Para obtener ms informacin sobre ippaddrsel.conf, consulte Motivos para modificar la tabla de directrices de seleccin de direcciones IPv6 en la pgina 278 y la pgina de comando man ipaddrsel.conf(4).
Comando ipaddrsel
El comando ipaddrsel permite modificar la tabla de directrices de seleccin de direcciones predeterminadas de IPv6. El ncleo de Oracle Solaris utiliza la tabla de directrices de seleccin de direcciones predeterminadas de IPv6 para ordenar direcciones de destino y seleccionar direcciones de origen en un encabezado de paquetes de IPv6. El archivo /etc/inet/ipaddrsel.conf contiene la tabla de directivas. En la tabla siguiente se enumeran los formatos de direcciones predeterminadas y las correspondientes prioridades en la tabla de directrices. En la pgina de comando man inet6(7P) hay ms informacin referente a aspectos tcnicos sobre la seleccin de direcciones IPv6.
TABLA 115 Prefijo
50 40 30 20 10
En esta tabla, los prefijos de IPv6 (::1/128 y ::/0) tienen prioridad sobre las direcciones 6to4 (2002::/16) y las direcciones IPv4 (::/96 y ::ffff:0:0/96). As pues, de forma predeterminada, el ncleo selecciona la direccin IPv6 global de la interfaz para paquetes que se dirigen a otro destino de IPv6. La direccin IPv4 de la interfaz tiene una prioridad inferior, sobre todo en cuanto a paquetes que se dirigen a un destino de IPv6. A partir de la direccin IPv6 de origen seleccionada, el ncleo tambin utiliza el formato de IPv6 para la direccin de destino.
Captulo 11 IPv6 en profundidad (referencia) 277
Si el sistema tiene una interfaz que se emplea para un tnel de 6to4, puede otorgar mayor prioridad a las direcciones 6to4. Si desea utilizar una determinada direccin de origen slo para comunicarse con una determinada direccin de destino, puede agregar dichas direcciones a la tabla de directrices. A continuacin, mediante el comando ifconfig etiquete las direcciones en funcin de las preferencias. Si quiere otorgar ms prioridad a las direcciones IPv4 respecto a las de IPv6, la prioridad de ::ffff:0:0/96 puede cambiarse por un nmero superior. Si debe asignar mayor prioridad a direcciones descartadas, tales direcciones se pueden incorporar a la tabla de directrices. Por ejemplo, las direcciones locales de sitio ahora se descartan en IPv6. Estas direcciones tienen el prefijo fec0::/10. La tabla de directrices se puede modificar para conceder mayor prioridad a las direcciones locales de sitio.
Para obtener ms informacin sobre el comando ipaddrsel, consulte la pgina de comando man ipaddrsel(1M).
Comando 6to4relay
El establecimiento de tneles de 6to4 permite las comunicaciones entre sitios de 6to4 que estn aislados. Sin embargo, para transferir paquetes con un sitio de IPv6 nativo que no sea de 6to4, el enrutador de 6to4 debe establecer un tnel con un enrutador de rel de 6to4. As, el enrutador de rel de 6to4 reenva los paquetes de 6to4 a la red IPv6 y, en ltima instancia, al sitio de IPv6 nativo. Si el sitio habilitado para 6to4 debe intercambiar datos con sitio de IPv6 nativo, utilice el comando 6to4relay para habilitar el tnel correspondiente. Como el uso de enrutadores de rel no es seguro, en Oracle Solaris de manera predeterminada se inhabilita el establecimiento de tneles con un enrutador de rel. Antes de implementar esta situacin hipottica, debe tener muy en cuenta los problemas que comporta crear un tnel con un enrutador de rel de 6to4. Para obtener ms informacin sobre enrutadores de rel de 6to4, consulte Consideraciones para tneles hasta un enrutador de reenvo 6to4 en la pgina 301. Si decide habilitar la admisin de enrutadores de rel 6to4, encontrar los procedimientos en Cmo configurar un tnel 6to4 en la pgina 198.
Sintaxis de 6to4relay
El comando 6to4relay presenta la sintaxis siguiente:
6to4relay -e [-a IPv4-address] -d -h
278 Gua de administracin del sistema: servicios IP Septiembre de 2010
-e
Habilita el uso de tneles entre el enrutador de 6to4 y un enrutador de rel de 6to4 de difusin por proximidad. As, la direccin de punto final de tnel se establece en 192.88.99.1, que es la predeterminada para el grupo de difusin por proximidad de enrutadores de rel de 6to4. Habilita el uso de tneles entre el enrutador de 6to4 y un enrutador de rel de 6to4 con la direccin_IPv4 que se especifique. Anula la admisin del establecimiento de tneles con el enrutador de rel de 6to4, que es el predeterminado de Oracle Solaris. Muestra la ayuda del comando 6to4relay.
-a direccin_IPv4 -d -h
El comando 6to4relay, sin argumentos, muestra el estado actual de la admisin de enrutadores de rel de 6to4. Este ejemplo ilustra el valor predeterminado de la implementacin de IPv6 en Oracle Solaris.
# /usr/sbin/6to4relay 6to4relay:6to4 Relay Router communication support is disabled
EJEMPLO 114
Si se especifica la opcin -a y una direccin IPv4 en el comando 6to4relay, en lugar de -192.88.99.1 se muestra la direccin IPv4 que se proporciona con a. 6to4relay no indica la ejecucin correcta de las opciones de -direccin_IPv4 -d, -e y a. Ahora bien, 6to4relay muestra cualquier mensaje de error que se pudiera generar durante la ejecucin de dichas opciones.
Establece el ndice de interfaces. Establece el origen o destino de tneles. Crea la siguiente interfaz lgica disponible. Elimina una interfaz lgica con una determinada direccin IP. Establece la direccin de destino punto a punto para una interfaz. Establece una direccin, mscara de red o ambas cosas para una interfaz. Establece la direccin de subred de una interfaz. Habilita o inhabilita la transmisin de paquetes en una interfaz.
En el Captulo 7, Configuracin de una red IPv6 (tareas)., encontrar procedimientos de configuracin de IPv6.
EJEMPLO 116
Adicin de una interfaz de IPv6 lgica con la opcin -addif del comando ifconfig
Eliminacin de una interfaz de IPv6 lgica con la opcin -removeif del comando ifconfig
280
EJEMPLO 118 Uso del comando ifconfig para configurar un origen de tneles de IPv6 (Continuacin)
Configura los correspondientes flujos de TCP/IP para utilizar el dispositivo de tneles e informar sobre el estado del dispositivo.
# ifconfig ip.tun0 inet6 tsrc 120.46.86.158 tdst 120.46.86.122
En este ejemplo de configuracin de pseudointerfaz de 6to4 se utiliza el ID de subred de 1 y se especifica el ID de host, en forma hexadecimal.
# ifconfig ip.6to4tun0 inet6 plumb # ifconfig ip.6to4tun0 inet tsrc 129.146.86.187 \ 2002:8192:56bb:1::8192:56bb/64 up # ifconfig ip.6to4tun0 inet6 ip.6to4tun0: flags=2200041<UP,RUNNING,NONUD,IPv6>mtu 1480 index 11 inet tunnel src 129.146.86.187 tunnel hop limit 60 inet6 2002:8192:56bb:1::8192:56bb/64
EJEMPLO 1110
permanente de DEFAULT_IP, se garantiza que netstat muestre nicamente informacin relativa a IPv4. Este valor puede anularse mediante la opcin -f. Para obtener ms informacin sobre el archivo inet_type, consulte la pgina de comando man inet_type(4). La opcin -p del comando netstat muestra la tabla de red a soporte, que es la tabla ARP para IPv4 y la cach interna para IPv6. Consulte la pgina de comando man netstat(1M) para obtener ms informacin. Consulte Cmo visualizar el estado de los sockets en la pgina 218 para obtener descripciones de procedimientos que utilizan este comando.
desea anular esta seleccin, utilice la opcin de lnea de comandos -A. Puede efectuar el seguimiento de cada ruta en cada direccin de un host con varias direcciones permanentes mediante la opcin de lnea de comandos -a. Para obtener ms informacin, consulte la pgina de comando man traceroute(1M) Para obtener informacin sobre procedimientos que usan el comando traceroute, consulte Visualizacin de informacin de enrutamiento con el comando traceroute en la pgina 226.
El daemon in.ndpd lo controlan parmetros que se establecen en el archivo de configuracin /etc/inet/ndpd.conf y los pertinentes parmetros del archivo de inicio de /var/inet/ndpd_state. interfaz. Si existe el archivo /etc/inet/ndpd.conf, se analiza y utiliza para configurar un nodo como enrutador. En la Tabla 112 figuran las palabras clave vlidas que podran aparecer en este archivo. Si se inicia un host, podra suceder que los enrutadores no estuvieran disponibles de manera inmediata. Los paquetes anunciados por el enrutador podran perderse. Asimismo, los paquetes anunciados quiz no se comuniquen con el host. El archivo /var/inet/ndpd_state.interfaz es un archivo de estado. Cada nodo lo actualiza peridicamente. Si el nodo falla y se reinicia, el nodo puede configurar sus interfaces si no hay enrutadores. Este archivo contiene las direcciones de interfaz, la ltima vez que se modific el
Captulo 11 IPv6 en profundidad (referencia) 283
archivo y el tiempo que este archivo ser vlido. Asimismo, el archivo contiene otros parmetros que se "aprenden" a partir de anteriores anuncios de enrutador.
Nota No es necesario modificar el contenido de archivos de estado. El daemon in.ndpd mantiene los archivos de estado de forma automtica.
Consulte las pginas de comando man in.ndpd(1M) y ndpd.conf(4) para obtener listas de variables de configuracin y valores permitidos.
Para obtener informacin sobre los comandos de SMF, consulte SMF Command-Line Administrative Utilities de System Administration Guide: Basic Administration. Para ver una tarea de ejemplo que utilice SMF en la configuracin de un manifiesto de servicio de IPv4 que se ejecute en SCTP, consulte Cmo agregar servicios que utilicen el protocolo SCTP en la pgina 138.
284
Si desea configurar un servicio de IPv6, asegrese de que el valor del campo proto del perfil inetadm relativo a ese servicio presente el valor correspondiente:
Si necesita un servicio que controle solicitudes de IPv4 e IPv6, elija tcp6, udp6 o sctp. Un valor de proto de tcp6, udp6 o sctp6 hace que inetd pase en un socket de IPv6 al servidor. El servidor contiene una direccin asignada a IPv4 en caso de que un cliente IPv4 tenga una solicitud. Si necesita un servicio que nicamente controle solicitudes de IPv6, elija tcp6only o udp6only. Si se asigna cualquiera de estos valores a proto, inetd pasa el servidor a un socket de IPv6.
Si reemplaza un comando de Oracle Solaris por otra implementacin, compruebe que la implementacin de ese servicio admita IPv6. Si la implementacin no admite IPv6, el valor de proto debe especificarse como tcp, udp o sctp. A continuacin se muestra un perfil generado tras la ejecucin de inetadm para un manifiesto de servicio echo que admite IPv4 e IPv6, y se ejecuta mediante SCTP:
# inetadm -l svc:/network/echo:sctp_stream SCOPE NAME=VALUE name="echo" endpoint_type="stream" proto="sctp6" isrpc=FALSE wait=FALSE exec="/usr/lib/inet/in.echod -s" user="root" default bind_addr="" default bind_fail_max=-1 default bind_fail_interval=-1 default max_con_rate=-1 default max_copies=-1 default con_rate_offline=-1 default failrate_cnt=40 default failrate_interval=60 default inherit_env=TRUE default tcp_trace=FALSE default tcp_wrappers=FALSE
Todos los servidores que se proporcionan con el software Oracle Solaris necesitan slo una entrada de perfil que especifique proto como tcp6, udp6 o sctp6. No obstante, el servidor de shell remoto (shell) y el servidor de ejecucin remoto (exec) se componen en la actualidad de una sola instancia de servicio, que necesita un valor de proto que contenga los valores de tcp y tcp6only. Por ejemplo, para establecer el valor de proto para shell, debe ejecutarse el comando siguiente:
# inetadm -m network/shell:default proto="tcp,tcp6only"
285
Protocolo ND de IPv6
Para obtener ms informacin sobre la escritura en servidores habilitados para IPv6 que utilizan sockets, consulte las extensiones de IPv6 de Socket API en la Programming Interfaces Guide.
El valor de proto debe establecerse en tcp6, sctp6 o udp6 para permitir conexiones IPv4 o IPv6. Si el valor deproto se establece en tcp, sctp o udp, el servicio utiliza slo IPv4. Si bien puede agregar una instancia de servicio que utilice sockets SCTP de uno a varios estilos para inetd, no es recomendable. inetd no funciona con sockets SCTP de uno a varios estilos. Si un servicio necesita dos entradas debido a diferencias en las propiedades de wait-status o exec, debe crear dos instancias o servicios a partir del servicio original.
Protocolo ND de IPv6
IPv6 introduce el protocolo ND (Neighbor Discovery), tal como se describe en RFC 2461, Neighbor Discovery for IP Version 6 (IPv6) (http://www.ietf.org/rfc/ rfc2461.txt?number=2461). Para obtener una descripcin general de las caractersticas de este protocolo, consulte Descripcin general del protocolo ND de IPv6 en la pgina 82. Esta seccin trata sobre las caractersticas siguientes del protocolo ND:
Mensajes de ICMP del protocolo ND en la pgina 286 Proceso de configuracin automtica en la pgina 287 Solicitud e inasequibilidad de vecinos en la pgina 289 Algoritmo de deteccin de direcciones duplicadas en la pgina 289 Comparacin del protocolo ND con ARP y protocolos relacionados con IPv4 en la pgina 291
Solicitud de enrutador: al habilitarse una interfaz, los hosts pueden enviar mensajes de solicitud de enrutador. Se solicita a los enrutadores que generen inmediatamente anuncios de enrutador, en lugar de hacerlo la prxima vez que se hubiera programado.
286
Protocolo ND de IPv6
Anuncio de enrutador: los enrutadores anuncian su presencia, as como varios parmetros de vnculos y de Internet. Los enrutadores anuncian de manera peridica o como respuesta a un mensaje de solicitud de enrutador. Los anuncios de enrutador contienen prefijos que se usan para la determinacin de onlinks o configuracin de direcciones, un valor de lmite de salto propuesto, etctera. Solicitud de vecino: los nodos envan mensajes de solicitud de vecino para determinar la direccin de capa de vnculo de un vecino. Los mensajes de solicitud de vecino tambin sirven para verificar que se pueda contactar con un vecino mediante una direccin de capa de vnculo almacenada en cach. Asimismo, las solicitudes de vecino se usan para detectar direcciones duplicadas. Anuncio de vecino: un nodo enva mensajes de anuncio de vecino como respuesta a un mensaje de solicitud de vecino. El nodo tambin puede enviar anuncios de vecino no solicitados para anunciar un cambio de direccin de capa de vnculo. Redireccin: los enrutadores emplean mensajes de redireccin para indicar a los hosts el mejor primer salto para acceder a un destino, o para indicar que el destino est en el mismo vnculo.
Protocolo ND de IPv6
4. Si un nodo determina que la direccin local de vnculo de prueba no es exclusiva, se detiene el proceso de configuracin automtica. De ser as, la direccin local de vnculo de la interfaz se debe configurar manualmente. Para simplificar la recuperacin, puede especificar otro ID de interfaz que anule el predeterminado. De este modo, el mecanismo de configuracin automtica puede reanudar su funcionamiento con el nuevo ID de interfaz, que en principio es exclusivo. 5. Si un nodo determina que la direccin local de vnculo de prueba es exclusiva, el nodo la asigna a la interfaz. En ese momento, el nodo dispone de conectividad IP con nodos vecinos. Los dems pasos de la configuracin automtica los efectan solamente hosts.
288
Protocolo ND de IPv6
formada por un ID de interfaz. Por eso, si un nodo ya ha comprobado la exclusividad de una direccin local de vnculo, no hace falta verificar las direcciones adicionales una a una. Las direcciones deben crearse a partir del mismo ID de interfaz. Por su parte, debe comprobarse la exclusividad de todas las direcciones que se obtengan manualmente. Los administradores de sistemas de algunos sitios consideran que el esfuerzo y los recursos dedicados a detectar direcciones duplicadas son mayores que sus ventajas. En estos sitios, la deteccin de direcciones duplicadas se puede inhabilitar estableciendo un indicador de configuracin segn la interfaz. Para acelerar el proceso de configuracin automtica, un host puede generar su propia direccin local de vnculo y verificar su exclusividad, mientras el host espera un anuncio de enrutador. Un enrutador podra retrasar durante unos segundos la respuesta a una solicitud de enrutador. Por lo tanto, el tiempo total que se necesita para completar la configuracin automtica puede ser considerablemente superior si los dos pasos se realizan en serie.
289
Protocolo ND de IPv6
El proceso de configuracin automtica que se describe en esta seccin deteccin de direcciones duplicadas slo es vlido para hosts, no para enrutadores. Debido a que la configuracin automtica de hosts emplea informacin anunciada por enrutadores, stos se deben configurar por otros medios. Sin embargo, los enrutadores generan direcciones locales de vnculo mediante el mecanismo que se explica en este captulo. Adems, en principio los enrutadores deben superar correctamente el algoritmo de deteccin de direcciones duplicadas en todas las direcciones antes de asignar la direccin a una interfaz.
Anuncios de proxy
Un enrutador que acepta paquetes de parte de una direccin de destino puede ejecutar anuncios que no se anulan. El enrutador puede aceptar paquetes de parte de una direccin de destino que sea incapaz de responder a solicitudes de destino. En la actualidad no se especifica el uso de proxy. Ahora bien, el anuncio de proxy se puede utilizar para ocuparse de casos como nodos mviles que se han desplazado fuera del vnculo. El uso de proxy no se ha concebido como mecanismo general para controlador nodos que no implementen este protocolo.
290
Protocolo ND de IPv6
El descubrimiento de enrutador forma parte del conjunto bsico de protocolos de IPv6. Los hosts de IPv6 no necesitan aplicar el comando snoop a los protocolos de enrutamiento para buscar un enrutador. IPv4 utiliza ARP, descubrimiento de enrutadores ICMP y redireccin de ICMP para el descubrimiento de enrutador. Los anuncios de enrutador de IPv6 llevan direcciones locales de vnculo. Para resolver la direccin local de vnculo no hace falta un intercambio adicional de paquetes. Los anuncios de enrutador llevan los prefijos de sitio para un vnculo. No hace falta un mecanismo aparte para configurar la mscara de red, como sucede con IPv4. Los anuncios de enrutador permiten la configuracin automtica de direcciones. En IPv4 no se implementa la configuracin automtica. El protocolo ND permite que los enrutadores de IPv6 anuncien una MTU (Maximum Transmission Unit, unidad de transmisin mxima) para hosts para utilizarse en el vnculo. Por lo tanto, todos los nodos emplean el mismo valor de MTU en los vnculos que carecen de una MTU bien definida. Podra ser que los hosts de IPv4 de una misma red tuvieran distintas MTU. A diferencia de las direcciones de emisin IPv4, las multidifusiones de resolucin de direcciones IPv6 se distribuyen en cuatro mil millones (2^32) de direcciones multidifusin, lo cual reduce significativamente las interrupciones por resolucin de direcciones en nodos que no sean el de destino. Adems, no es recomendable interrumpir sistemas que no sean IPv6. Las redirecciones de IPv6 contienen la direccin local de vnculo del primer salto nuevo. Al recibir una redireccin no hace falta una resolucin de direcciones aparte. Una misma red IPv6 puede tener asociados varios prefijos de sitio. De forma predeterminada, los hosts aprenden todos los prefijos de sitio locales a partir de anuncios de enrutador. Sin embargo, es posible configurar los enrutadores para que omitan todos o algunos prefijos de anuncios de enrutador. En esos casos, los hosts dan por sentado que los
291
Encaminamiento de IPv6
destinos se encuentran en redes remotas. Por lo tanto, los hosts envan el trfico a enrutadores. As pues, un enrutador puede ejecutar redirecciones si es preciso.
A diferencia de IPv4, el destinatario de un mensaje de redireccin de IPv6 da por sentado que el prximo salto nuevo se da en la red local. En IPv4, un host hace caso omiso de los mensajes de redireccin que especifiquen un prximo salto que no se ubique en la red local, conforme a la mscara de red. El mecanismo de redireccin de IPv6 es anlogo a la funcin XRedirect de IPv4. El mecanismo de redireccin es til en vnculos de soportes compartidos y de no emisin. En esta clase de redes, los nodos no deben comprobar todos los prefijos de destinos de vnculo local. La deteccin de inasequibilidad de vecinos de IPv6 mejora la distribucin de paquetes si hay enrutadores que funcionan mal. Esta capacidad mejora la distribucin de paquetes en vnculos con particiones o que funcionan parcialmente mal. Asimismo, mejora la distribucin de paquetes en nodos que modifican sus direcciones locales de vnculo. Por ejemplo, los nodos mviles pueden salir de la red local sin perder ninguna clase de conectividad debido a memorias cach de ARP que hayan quedado obsoletas. IPv4 carece de mtodo equivalente para la deteccin de inasequibilidad de vecinos. A diferencia de ARP, el protocolo ND detecta errores parciales en vnculos mediante la deteccin de inasequibilidad de vecinos. El protocolo ND evita el envo de trfico a vecinos si no existe conectividad bidireccional. Las direcciones locales de vnculo permiten la identificacin exclusiva de enrutadores y los hosts de IPv6 mantienen las asociaciones de enrutador. La capacidad de identificar enrutadores es necesaria en anuncios de enrutador y mensajes de redireccin. Los hosts deben mantener asociaciones de enrutador si el sitio emplea prefijos globales nuevos. IPv4 carece de un mtodo equiparable para la identificacin de enrutadores. Debido a que los mensajes de protocolo ND tienen un lmite de salto de 255 en la recepcin, dicho protocolo es inmune a ataques de spoofing provenientes de nodos que no estn en el vnculo. Por el contrario, los nodos que no estn en vnculos de IPv4 pueden enviar mensajes de redireccin de ICMP. Asimismo, los nodos que no estn en vnculos de IPv4 pueden enviar mensajes de anuncio de enrutador. La colocacin de resolucin de direcciones en la capa de ICMP hace que el protocolo ND sea ms independiente en cuanto a soportes que ARP. por consiguiente, se pueden utilizar la autenticacin IP y los mecanismos de seguridad estndar.
Encaminamiento de IPv6
El enrutamiento de IPv6 es casi idntico al de IPv4 en la direccin de enrutamiento entre dominios sin clase (CIDR). La nica diferencia estriba en que las direcciones son IPv6 de 128 bits, en lugar de IPv4 de 32 bits. Con extensiones sumamente sencillas, todos los algoritmos de enrutamiento de IPv4, por ejemplo OSPF, RIP, IDRP e IS-IS, son vlidos para enrutar IPv6.
292
Encaminamiento de IPv6
Asimismo, IPv6 incluye extensiones sencillas de enrutamiento que admiten nuevas y potentes posibilidades de enrutamiento. A continuacin se describen las nuevas funciones de enrutamiento:
La seleccin del proveedor se basa en las directrices, el rendimiento, los costes, etctera Movilidad de los hosts, enrutamiento a la ubicacin actual Redireccionamiento automtico, enrutamiento a la direccin nueva
Para acceder a las nuevas funciones de enrutamiento, debe crear secuencias de direcciones IPv6 que utilicen la opcin de enrutamiento de IPv6. Un origen de IPv6 utiliza la opcin de enrutamiento para obtener uno o varios nodos intermedios, o un grupo topolgico, que debe visitarse en direccin al destino del paquete. Es una funcin muy parecida a las opciones de ruta de registro y ruta holgada fija en origen de IPv4. Para que las secuencias de direcciones sean una funcin general, los hosts de IPv6 deben, en la mayora de los casos, invertir las rutas de un paquete que reciba un host. El paquete se debe autenticar correctamente mediante el encabezado de autenticacin de IPv6. El paquete debe contener secuencias de direcciones para devolver el paquete al emisor. Esta tcnica obliga a que las implementaciones de hosts de IPv6 admitan el control y la inversin de las rutas de origen. El control y la inversin de las rutas de origen es la clave que permite a los proveedores trabajar con los hosts que implementan las nuevas funciones de IPv6 como la seleccin de proveedor y las direcciones extendidas.
Anuncio de enrutador
En vnculos con capacidad multidifusin y punto a punto, cada enrutador enva, de forma peridica, al grupo multidifusin un paquete de anuncios de enrutador que informa de su disponibilidad. Un host recibe anuncios de enrutador de todos los enrutadores, y confecciona una lista de enrutadores predeterminados. Los enrutadores generan anuncios de enrutador con la suficiente frecuencia para que los hosts aprendan su presencia en pocos minutos. Sin embargo, los enrutadores no anuncian con suficiente frecuencia como para que una falta de anuncios permita detectar un error de enrutador. La deteccin de errores es factible mediante un algoritmo de deteccin independiente que determina la inasequibilidad de vecinos.
293
Tneles de IPv6
encontrarse en un vnculo aunque dicho destino no aparezca en ningn prefijo del vnculo que est anunciado. En esos casos, un enrutador puede enviar una redireccin. La redireccin indica al remitente que el destino es un vecino. Los anuncios de enrutador, y los indicadores de prefijo, permiten a los enrutadores informar a los hosts sobre cmo efectuar la configuracin automtica de direcciones sin estado.
Tneles de IPv6
Para minimizar las dependencias en una sitio de IPv4/IPv6 de doble pila, todos los enrutadores de la ruta entre dos nodos IPv6 no necesitan ser compatibles con IPv6. El mecanismo que admite esta clase de configuracin en red se denomina colocacin en tneles. Bsicamente, los paquetes de IPv6 se colocan en paquetes de IPv4, que luego se enrutan a travs de enrutadores de IPv4. La figura siguiente ilustra el mecanismo de colocacin en tneles mediante enrutadores de IPv4, cosa que en la figura se seala mediante una R.
294
Tneles de IPv6
FIGURA 115
R1 v4/v6
R2 v4/v6
La implementacin de IPv6 en Oracle Solaris incluye dos clases de mecanismos de colocacin en tneles:
Tneles configurados entre dos enrutadores, como en la Figura 115 Tneles automticos que terminan en los hosts de punto final
Un tnel configurado se utiliza actualmente en Internet para otras finalidades, por ejemplo en MBONE, el ncleo multidifusin de IPv4. Desde un punto de vista operativo, el tnel se compone de dos enrutadores que se configuran para tener un vnculo punto a punto virtual entre los dos enrutadores en la red IPv4. Es probable que esta clase de tnel se utilice en Internet en un futuro previsible. Los tneles automticos necesitan direcciones compatibles con IPv4. Los tneles automticos se pueden utilizar para conectar con IPv6 cuando no estn disponibles los enrutadores de IPv6. Estos tneles se pueden originar en un host de pila doble o un enrutador de pila doble configurando una interfaz de red de colocacin automtica en tneles. Los tneles siempre terminan en el host de pila doble. Estos tneles funcionan determinando dinmicamente la direccin IPv4 de destino, que es el punto final del tnel, extrayendo la direccin de la direccin de destino compatible con IPv4.
295
Tneles de IPv6
Tneles configurados
Las interfaces colocadas en tneles tienen el siguiente formato:
ip.tun ppa
ppa es el punto fsico de conexin. Al iniciar el sistema, se conecta remotamente con el mdulo de colocacin en tneles (tun) mediante el comando ifconfig, en la parte superior de IP para crear una interfaz virtual. La conexin remota se lleva a cabo creando el correspondiente archivo hostname6.*. Por ejemplo, para crear un tnel con el fin de encapsular paquetes de IPv6 en una red IPv4, IPv6 sobre IPv4, debe crear el siguiente nombre de archivo:
/etc/hostname6.ip.tun0
El contenido de este archivo se pasa a ifconfig tras la conexin de las interfaces. El contenido se convierte en los parmetros que se necesitan para configurar un tnel de extremo a extremo.
EJEMPLO 1111
En este ejemplo, las direcciones IPv4 de origen y destino se usan como tokens para configurar automticamente direcciones IPv6 locales de vnculo. Estas direcciones son el origen y destino de la interfaz ip.tun0. Se configuran dos interfaces. Se configura la interfaz ip.tun0. Tambin se configura una interfaz lgica ip.tun0:1. La interfaz lgica tiene las direcciones IPv6 de origen y destino especificadas mediante el comando addif. El contenido de estos archivos de configuracin se pasa al comando ifconfig sin modificarse cuando el sistema se inicia en modo multiusuario. Las entradas del Ejemplo 1111 equivalen a lo siguiente:
# ifconfig ip.tun0 inet6 plumb # ifconfig ip.tun0 inet6 tsrc 10.0.0.23 tdst 172.16.7.19 up # ifconfig ip.tun0 inet6 addif 2001:db8:3b4c:1:5678:5678::2 up
296
Tneles de IPv6
Para configurar ms interfaces lgicas, agregue lneas al archivo de configuracin. Para ello, utilice la siguiente sintaxis:
addif IPv6-source IPv6-destination up Nota Si cualquiera de los extremos del tnel es un enrutador de IPv6 que anuncia uno o varios
prefijos a travs del tnel, los comandos addif no se necesitan en los archivos de configuracin de tneles. Es posible que slo hagan falta tsrc y tdst debido a que todas las dems direcciones se configuran automticamente. En algunas circunstancias, determinadas direcciones locales de vnculo de origen y destino se deben configurar manualmente para un tnel en concreto. Para incluir estas direcciones locales de vnculo, cambie la primera lnea del archivo de configuracin. La lnea siguiente es a modo de ejemplo:
tsrc 10.0.0.23 tdst 172.16.7.19 fe80::1/10 fe80::2 up
Tenga en cuenta que la longitud del prefijo de la direccin local de vnculo de origen es de 10. En este ejemplo, la interfaz ip.tun0 tiene un aspecto parecido al siguiente:
ip.tun0: flags=2200850<UP,POINTOPOINT,RUNNING,MULTICAST,NONUD,IPv6> mtu 1480 index 6 inet tunnel src 10.0.0.23 tunnel dst 172.16.7.19 inet6 fe80::1/10 --> fe80::2
Para crear un tnel con el fin de encapsular paquetes de IPv6 en una red IPv6, IPv6 sobre IPv6, debe crear el siguiente nombre de archivo:
/etc/hostname6.ip6.tun0
EJEMPLO 1112
A continuacin se muestra un ejemplo de entradas del archivo hostname6.ip6.tun0 para encapsulado de IPv6 en una red IPv6:
tsrc 2001:db8:3b4c:114:a00:20ff:fe72:668c tdst 2001:db8:15fa:25:a00:20ff:fe9b:a1c3 fe80::4 fe80::61 up
Para crear un tnel con el fin de encapsular paquetes de IPv4 en una red IPv6, IPv4 sobre IPv6, debe crear el siguiente nombre de archivo:
/etc/hostname.ip6.tun0
297
Tneles de IPv6
EJEMPLO 1113
A continuacin se muestra un ejemplo de entradas del archivo hostname6.ip6.tun0 para encapsulado de IPv4 en una red IPv6:
tsrc 2001:db8:3b4c:114:a00:20ff:fe72:668c tdst 2001:db8:15fa:25:a00:20ff:fe9b:a1c3 10.0.0.4 10.0.0.61 up
Para crear un tnel con el fin de encapsular paquetes de IPv4 en una red IPv6, IPv4 sobre IPv4, debe crear el siguiente nombre de archivo:
/etc/hostname.ip.tun0
EJEMPLO 1114
A continuacin se muestra un ejemplo de entradas del archivo hostname.ip.tun0 para encapsulado de IPv4 en una red IPv4:
tsrc 172.16.86.158 tdst 192.168.86.122 10.0.0.4 10.0.0.61 up
Para obtener informacin sobre tun, consulte la pgina de comando man tun(7M). Para obtener una descripcin general sobre los conceptos de la colocacin en tneles de IPv6, consulte Descripcin general sobre los tneles de IPv6 en la pgina 85. Para obtener una descripcin sobre los procedimientos que seden realizar para configurar tneles, consulte Tareas de configuracin de tneles para compatibilidad con IPv6 (mapa de tareas) en la pgina 195.
Configuracin de un tnel 6to4 Direcciones 6to4, incluido el formato del anuncio Descripcin del flujo de paquetes a travs de un tnel 6to4 Configuracin de un tnel entre un enrutador 6to4 y un enrutador de reenvo 6to4
298
Tneles de IPv6
Puntos que considerar antes de configurar la compatibilidad con enrutador de reenvo 6to4
La tabla siguiente describe tareas adicionales para configurar tneles 6to4 y los recursos para obtener informacin adicional til.
Tarea o detalle Para obtener informacin
Tareas para configurar un tnel 6to4 RCF relacionado con 6to4 Informacin detallada sobre el comando 6to4relay, que permite utilizar tneles hasta un enrutador de reenvo 6to4 Cuestiones de seguridad de 6to4
Cmo configurar un tnel 6to4 en la pgina 198 RFC 3056, "Connection of IPv6 Domains via IPv4 Clouds" (http://www.ietf.org/rfc/rfc3056.txt) 6to4relay(1M)
299
Tneles de IPv6
FIGURA 116
Direccin IPv4
Tnel de 6to4
Encaminador B de 6to4
Sitio B de 6to4
Subred 1
Subred 2
Sitio A de 6to4
La figura muestra dos redes 6to4 independientes, Site A y Site B. Cada ubicacin tiene configurado un enrutador con una conexin externa a una red IPv4. Un tnel 6to4 en la red IPv4 proporciona una conexin para vincular ubicaciones 6to4. Antes de que una ubicacin IPv6 pueda convertirse en 6to4, debe configurar al menos una interfaz de enrutador para que admite 6to4. Esta interfaz debe proporcionar la conexin externa a la red IPv4. La direccin configurada en qfe0 debe ser nica globalmente. En esta figura, la interfaz qfe0 del enrutador de lmite de sistema Router A conecta la ubicacin Site A con la red IPv4. La interfaz qfe0 ya debe estar configurada con una direccin IPv4 antes de que sea posible configurar qfe0 como una pseudointerfaz 6to4. En la figura, la ubicacin 6to4 Site A est compuesta de dos subredes, que estn conectadas a las interfaces hme0 y hme1 del enrutador Router A. Todos los hosts IPv6 de ambas subredes de la ubicacin Site A se reconfiguran automticamente con direcciones derivadas 6to4 al recibir el anuncio del enrutador Router A. La ubicacin Site B es otra ubicacin 6to4 aislada. Para recibir correctamente trfico de la ubicacin Site A, se debe configurar un enrutador de lmite en la ubicacin Site B para admitir 6to4. De no ser as, los paquetes que reciba el enrutador de Site A no se reconocen y se descartan.
Tneles de IPv6
1. Un host en la subred 1 (Subnet 1) de la ubicacin 6to4 Site A enva una transmisin, con un host de la ubicacin 6to4 Site B como destino. El encabezado de cada paquete tiene una direccin de origen derivada de 6to4 y una direccin de destino derivada de 6to4. 2. El enrutador de la ubicacin Site A encapsula cada paquete 6to4 dentro de un encabezado IPv4. En este proceso, el enrutador establece la direccin IPv4 de destino del encabezado de encapsulado en la direccin de enrutador de la ubicacin Site B. En cada paquete de IPv6 que pasa por la interfaz de tnel, la direccin de destino de IPv6 tambin contiene la direccin de destino de IPv4. De este modo, el enrutador puede determinar la direccin IPv4 de destino que se establece en el encabezado de encapsulado. Despus, el enrutador utiliza procedimientos estndar IPv4 para reenviar los paquetes a travs de la red IPv4. 3. Cualquier enrutador IPv4 que encuentren los paquetes en su camino utilizar la direccin de destino IPv4 del paquete para reenviarlo. Esta direccin es la direccin IPv4 globalmente nica de la interfaz del enrutador Router B, que tambin funciona como pseudo-interfaz 6to4. 4. Los paquetes de Site A llegan al enrutador Router B, que desencapsula los paquetes IPv6 del encabezado IPv4. 5. A continuacin, Router B utiliza la direccin de destino del paquete IPv6 para reenviar los paquetes al receptor en Site B.
301
Tneles de IPv6
FIGURA 117
Direccin IPv4
Encaminador A de 6to4
Tnel de 6to4
En la Figura 117, la ubicacin 6to4 Site A necesita comunicarse con un nodo en la ubicacin IPv6 nativa Site B. La figura muestra la ruta de trfico desde Site A hasta un tnel 6to4 a travs de una red IPv4. Los puntos finales del tnel son el enrutador 6to4 Router A y un enrutador de reenvo 6to4. Ms all del enrutador de reenvo 6to4 se encuentra la red IPv6, a la que est conectada la ubicacin IPv6 Site B.
Flujo de paquetes entre una ubicacin 6to4 y una ubicacin IPv6 nativa
En esta seccin se describe el flujo de paquetes desde una ubicacin 6to4 hasta una ubicacin IPv6 nativa. Esta situacin hipottica utiliza la topologa de la Figura 117. 1. Un host en la ubicacin 6to4 Site A enva una transmisin que especifica como destino un host en la ubicacin IPv6 nativa Site B. El encabezado de cada paquete tiene una direccin derivada 6to4 como direccin de destino. La direccin de destino es una direccin IPv6 estndar.
302
2. El enrutador 6to4 de la ubicacin Site A encapsula cada paquete dentro de un encabezado IPv4, que tiene la direccin IPv4 del enrutador de reenvo 6to4 como destino. El enrutador 6to4 utiliza procedimientos IPv4 estndar para reenviar el paquete a travs de la red IPv4. Cualquier enrutador IPv4 que encuentren los paquetes en su camino los reenviar al enrutador de reenvo 6to4. 3. El enrutador de reenvo 6to4 de difusin por proximidad ms cercano fsicamente a la ubicacin Site A recibe los paquetes destinados al grupo de difusin por proximidad 192.88.99.1.
Nota Los enrutadores de reenvo 6to4 que forman parte del grupo de difusin por proximidad de enrutador de reenvo 6to4 tienen la direccin IP 192.88.99.1. Esta direccin de difusin por proximidad es la direccin predeterminada de enrutadores de reenvo 6to4. Si necesita utilizar un enrutador de reenvo 6to4 especfico, puede anular la direccin predeterminada y especificar la direccin IPv4 del enrutador.
4. El enrutador de reenvo desencapsula el encabezado IPv4 de los paquetes 6to4 y, de este modo, revela la direccin de destino IPv6 nativa. 5. A continuacin, el enrutador de reenvo enva los paquetes, que ahora son slo IPv6, a la red IPv6, donde los recibe un enrutador de la ubicacin Site B. El enrutador reenva los paquetes al nodo IPv6 de destino.
servicios de nombres, debe rellenar estas bases de datos de ipnodes con direcciones IPv4 e IPv6. De lo contrario, pueden darse retrasos innecesarios en la resolucin de direcciones de host, incluso en el momento del inicio. El diagrama siguiente ilustra la relacin nueva entre el archivo nsswitch.conf y las nuevas bases de datos de servicios de nombres para aplicaciones que utilizan los comandos gethostbyname y getipnodebyname. Los trminos en cursiva son nuevos. El comando gethostbyname comprueba nicamente las direcciones IPv4 almacenadas en /etc/inet/hosts. En Solaris 10 11/06 y versiones anteriores, el comando getipnodebyname consulta la base de datos que se indica en la entrada ipnodes del archivo nsswitch.conf. Si falla la bsqueda, el comando comprueba la base de datos que se indica en la entrada hosts del archivo nsswitch.conf.
304
FIGURA 118
Aplicacin gethostbyname()/getipnodebyname() nscd hosts ipnodes nsswitch.conf hosts: files nisplus dns ipnodes: files nisplus dns NIS hosts.byname ipnodes.byname hosts.org_dir ipnodes.byname NIS+ FILES DNS Registros A Registros AAAA /etc/hosts /etc/ipnodes
Para obtener ms informacin acerca de los servicios de nombres, consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
305
306
P A R T E
I I I
DHCP
Esta parte contiene informacin conceptual acerca del Protocolo de configuracin de host dinmico (DHCP) y tareas para planificar, configurar, administrar y resolver problemas del servicio DHCP de Oracle Solaris.
307
308
12
C A P T U L O
1 2
En este captulo se introduce el Protocolo de configuracin dinmica de host (DHCP), y se describen los conceptos relativos a dicho protocolo. Adems, se relatan las ventajas del uso de DHCP en una red. Este captulo contiene la informacin siguiente:
Acerca del protocolo DHCP en la pgina 309 Ventajas del uso de DHCP de Oracle Solaris en la pgina 310 Funcionamiento de DHCP en la pgina 311 Servidor DHCP de Oracle Solaris en la pgina 314 Cliente DHCP de Oracle Solaris en la pgina 323
Administracin de direcciones IP: una de las principales ventajas de DHCP es que facilita la administracin de las direcciones IP. En una red sin DHCP, debe asignar manualmente las direcciones IP. Debe asignar una direccin IP exclusiva a cada cliente y configurar cada uno de los clientes de modo individual. Si un cliente se pasa a una red distinta, debe realizar modificaciones manuales para dicho cliente. Si DHCP est activo, el servidor DHCP administra y asigna las direcciones IP sin necesidad de que intervenga el administrador. Los clientes pueden moverse a otras subredes sin necesidad de reconfiguracin manual, ya que obtienen del servidor DHCP la nueva informacin de cliente necesaria para la nueva red. Configuracin de cliente de red centralizada: Puede crear una configuracin a medida para determinados clientes o para determinados tipos de clientes. La informacin de configuracin se almacena en un lugar, el almacn de datos de DHCP. No es necesario iniciar sesin en un cliente para cambiar su configuracin. Puede realizar modificaciones en mltiples clientes cambiando la informacin del almacn de datos. Compatibilidad con clientes BOOTP: Tanto los servidores BOOTP como los servidores DHCP escuchan y responden las emisiones de los clientes. El servidor DHCP puede responder a las solicitudes de clientes BOOTP y de clientes DHCP. Los clientes BOOTP reciben una direccin IP y la informacin que necesitan para iniciar desde un servidor. Compatibilidad con clientes locales y remotos: BOOTP permite reenviar mensajes de una red a otra. DHCP aprovecha la funcin de reenvo de BOOTP de distintos modos. La mayora de los enrutadores de red se pueden configurar como agentes de reenvo de BOOTP para transferir solicitudes BOOTP a servidores que no se encuentren en la red del cliente. Las solicitudes DHCP se pueden reenviar del mismo modo, ya que el enrutador no distingue las solicitudes DHCP de las solicitudes BOOTP. El servidor DHCP de Oracle Solaris tambin se puede configurar como agente de reenvo de BOOTP, si no hay disponible ningn enrutador que admita el reenvo de BOOTP. Inicio de red: los clientes pueden utilizar DHCP para obtener la informacin necesaria para iniciar desde un servidor de la red, en lugar de utilizar RARP (Reverse Address Resolution Protocol) y el archivo bootparams. El servidor DHCP puede facilitar a un cliente toda la informacin que necesita para funcionar, incluida la direccin IP, el servidor de inicio y la informacin de configuracin de red. Dado que las solicitudes DHCP se pueden reenviar por subredes, es posible usar menos servidores de inicio en la red cuando se utiliza el inicio de red DHCP. El inicio RARP requiere que cada subred tenga un servidor de inicio. Amplia compatibilidad de red: las redes con millones de clientes DHCP pueden utilizar DHCP de Oracle Solaris. El servidor DHCP utiliza varios subprocesos para procesar a la vez mltiples solicitudes de clientes. El servidor tambin admite almacenes de datos optimizados para administrar grandes cantidades de datos. El acceso de los almacenes de
310
Funcionamiento de DHCP
datos se administra mediante mdulos de procesamiento independientes. Este tipo de almacn de datos permite la compatibilidad para cualquier base de datos que se necesite.
Funcionamiento de DHCP
En primer lugar, debe instalar y configurar el servidor DHCP. Durante la configuracin, se especifica la informacin sobre la red en la que deben funcionar los clientes. Una vez especificada esta informacin, los clientes pueden solicitar y recibir informacin de red. La secuencia de eventos del servicio DHCP se muestra en el diagrama siguiente. Los nmeros de los crculos corresponden a los elementos que se enumeran en la descripcin que sigue al diagrama.
311
Funcionamiento de DHCP
FIGURA 121
Servidor 1
Cliente
Servidor 2
1 Descubrir servidores DHCP. 2 Los servidores proporcionan informacin sobre configuracin y direcciones IP .
Tiempo
4 Reconocer solicitud. Se configura el cliente Se acaba el tiempo de permiso 5 Solicitar renovacin de permiso.
312
Funcionamiento de DHCP
El diagrama anterior muestra los siguientes pasos: 1. El cliente descubre un servidor DHCP emitiendo un mensaje de descubrimiento a la direccin de emisin limitada (255.255.255.255) de la subred local. Si hay un enrutador y est configurado para hacer de agente de reenvo de BOOTP, la solicitud se transfiere a otros servidores DHCP de diferentes subredes. La emisin incluye su ID exclusivo que, en la implementacin de DHCP de Oracle Solaris, se obtiene de la direccin de control de acceso de soportes (MAC) del cliente. En una red Ethernet, la direccin MAC es la misma que la direccin Ethernet. Los servidores DHCP que reciben el mensaje de descubrimiento pueden determinar la red del cliente con la informacin siguiente:
En qu interfaz de red se sita la solicitud? El servidor determina si el cliente se encuentra en la red a la que est conectada la interfaz o si est utilizando un agente de reenvo de BOOTP conectado a dicha red. Incluye la solicitud la direccin IP de un agente de reenvo de BOOTP? Cuando una solicitud pasa por un agente de reenvo, ste inserta su direccin en el encabezado de la solicitud. Cuando el servidor detecta una direccin de agente de reenvo, el servidor sabe que la parte de red de la direccin indica la direccin de red del cliente porque el agente de reenvo debe estar conectado a la red del cliente. La red del cliente cuenta con subredes? El servidor consulta la tabla netmasks para encontrar la mscara de subred que se utiliza en la red que indica la direccin del agente de reenvo o la direccin de la interfaz de red que recibi la solicitud. Cuando el servidor conoce la mscara de subred que se utiliza, puede determinar qu parte de la direccin de red es la parte del host, y a continuacin seleccionar una direccin IP adecuada para el cliente. Consulte la pgina del comando man netmasks(4) para obtener informacin sobre netmasks.
2. Cuando los servidores DHCP determinan la red del cliente, seleccionan una direccin IP adecuada y verifican que no est en uso. A continuacin, los servidores DHCP responden al cliente emitiendo un mensaje de oferta. El mensaje de oferta incluye la direccin IP seleccionada e informacin sobre los servicios que se pueden configurar para el cliente. Cada servidor reserva temporalmente la direccin IP ofrecida hasta que el cliente determina si utilizar la direccin IP. 3. El cliente selecciona la mejor oferta basndose en el nmero y el tipo de servicios ofrecidos. El cliente emite una solicitud que especifica la direccin IP del servidor que realiz la mejor oferta. La emisin garantiza que todos los servidores DHCP de respuesta sepan que el cliente ha seleccionado un servidor. Los servidores que no se eligen pueden cancelar las reservas de las direcciones IP que haban ofrecido. 4. El servidor seleccionado asigna la direccin IP para el cliente y almacena la informacin en el almacn de datos DHCP. El servidor tambin enva un mensaje de reconocimiento (ACK) al cliente. El mensaje de reconocimiento contiene los parmetros de configuracin de red
Captulo 12 Acerca de DHCP de Oracle Solaris (informacin general) 313
para el cliente. La utilidad ping permite al cliente probar la direccin IP para asegurarse de que no la est utilizando otro sistema. A continuacin, el cliente sigue inicindose para unirse a la red. 5. El cliente supervisa el tiempo de permiso. Una vez transcurrido un periodo determinado, el cliente enva un nuevo mensaje al servidor seleccionado para aumentar el tiempo de permiso. 6. El servidor DHCP que recibe la solicitud ampla el tiempo de permiso si el permiso sigue cumpliendo la directiva de permiso local que ha fijado el administrador. Si el servidor no responde en 20 segundos, el cliente emite una solicitud para que uno de los dems servidores DHCP pueda ampliar el permiso. 7. Cuando el cliente ya no necesita la direccin IP, notifica al servidor que la direccin IP est libre. Esta notificacin puede tener lugar durante un cierre ordenado y tambin se puede realizar manualmente.
Administra direcciones IP: El servidor DHCP controla una serie de direcciones IP y las asigna a los clientes, ya sea de forma permanente o durante un periodo determinado. El servidor utiliza un mecanismo de permiso para determinar durante cunto tiempo un cliente puede utilizar una direccin que no sea permanente. Cuando se deja de utilizar la direccin, se devuelve a la agrupacin y se puede volver a asignar. El servidor contiene informacin sobre la vinculacin de direcciones IP a los clientes de sus tablas de red DHCP, con lo cual se garantiza que no haya ms de un cliente que utilice la misma red. Configura la red para los clientes: El servidor asigna una direccin IP y proporciona otra informacin para la configuracin de red, como un nombre de host, una direccin de emisin, una mscara de subred, un portal predeterminado, un servicio de nombres y mucha otra informacin. La informacin de configuracin de red se obtiene de la base de datos dhcptab del servidor.
El servidor DHCP de Oracle Solaris tambin se puede configurar para llevar a cabo las siguientes funciones adicionales:
Responder a las solicitudes de clientes BOOTP: el servidor escucha las emisiones de los clientes BOOTP en las que se descubre un servidor BOOTP y les proporciona una direccin IP y los parmetros de inicio. Un administrador debe configurar la informacin de modo esttico. El servidor DHCP puede actuar como servidor BOOTP y como servidor DHCP de forma simultnea. Reenviar solicitudes: El servidor reenva solicitudes de BOOTP y DHCP a los servidores pertinentes de otras subredes. El servidor no puede proporcionar el servicio DHCP o BOOTP cuando est configurado como agente de reenvo de BOOTP.
314
Proporcionar compatibilidad con inicio de red para los clientes DHCP: el servidor puede proporcionar a los clientes DHCP la informacin necesaria para iniciar desde la red: una direccin IP, los parmetros de inicio y la informacin de configuracin de la red. El servidor tambin puede proporcionar la informacin que necesitan los clientes DHCP para iniciar e instalar una red de rea extensa (WAN). Actualizar las tablas DNS para los clientes que proporcionan un nombre de host: Para los clientes que proporcionan un valor y una opcin Hostname en sus solicitudes para el servicio DHCP, el servidor puede tratar de actualizar DNS en su lugar.
datos de DHCP si desarrolla su propio mdulo de cdigo para proporcionar una interfaz entre DHCP de Oracle Solaris (herramientas de administracin y servidor) y la base de datos. Para obtener ms informacin, consulte Solaris DHCP Service Developers Guide.
315
El almacn de datos de DHCP de Oracle Solaris incluye dos tipos de tablas. Puede ver y administrar el contenido de estas tablas utilizando el Administrador de DHCP o las utilidades de la lnea de comandos. Las tablas de datos son:
Tabla dhcptab: Incluye la informacin de configuracin que se puede transferir a los clientes. Tablas de red DHCP: Contienen informacin sobre los clientes DHCP y BOOTP que residen en la red especificada en el nombre de tabla. Por ejemplo, la red 192.168.32.0 tendra una tabla cuyo nombre incluye 192_168_32_0.
La tabla dhcptab
La tabla dhcptab contiene toda la informacin que pueden obtener los clientes del servidor DHCP. El servidor DHCP explora la tabla dhcptab cada vez que se inicia. El nombre de archivo de la tabla dhcptab vara en funcin del almacn de datos que se utiliza. Por ejemplo, la tabla dhcptab creada por el almacn de datos NIS+ SUNWnisplus es SUNWnisplus1_dhcptab. El protocolo DHCP define una serie de elementos de informacin estndar que se pueden transferir a los clientes. Estos elementos se denominan parmetros, smbolos u opciones. Las opciones se definen en el protocolo DHCP mediante cdigos numricos y etiquetas de texto, pero sin valores. En la tabla siguiente se incluyen algunas de las opciones estndar que se utilizan normalmente.
TABLA 121 Cdigo
1 3 6 12 15
Direccin IP de mscara de subred Direccin IP para el enrutador Direccin IP para el servidor DNS Cadena de texto para el nombre de host del cliente Nombre de dominio DNS
Al proporcionar informacin durante la configuracin del servidor, se asignan valores automticamente a algunas opciones. Puede asignar valores a otras opciones de forma explcita posteriormente. Las opciones y sus valores se transfieren al cliente para proporcionar informacin de configuracin. Por ejemplo, el par de opcin/valor, DNSdmain=Georgia.Peach.COM, configura el nombre de dominio DNS del cliente como Georgia.Peach.COM. Las opciones se pueden agrupar con otras opciones en contenedores conocidos como macros, lo cual facilita la transferencia de informacin a un cliente. Algunas macros se crean automticamente durante la configuracin del servidor y contienen las opciones a las que se asign valores durante la configuracin. Las macros pueden contener a su vez otras macros.
316 Gua de administracin del sistema: servicios IP Septiembre de 2010
El formato de la tabla dhcptab se describe en la pgina del comando man dhcptab(4) En el Administrador de DHCP, toda la informacin que se muestra en las fichas Opciones y Macros proviene de la tabla dhcptab. Consulte Opciones DHCP en la pgina 321 para obtener ms informacin acerca de las opciones. Consulte Macros DHCP en la pgina 321 si desea ms informacin sobre las macros. La tabla dhcptab no debe editarse manualmente. Debe utilizar el comando dhtadm o el Administrador de DHCP para crear, eliminar o modificar las opciones y macros.
Administrador de DHCP
El Administrador de DHCP es una herramienta de interfaz grfica de usuario (GUI) que puede utilizar para llevar a cabo todas las tareas de administracin asociadas al servicio DHCP. Puede utilizarlo para administrar el servidor y los datos que utiliza. Debe ser superusuario para ejecutar el Administrador de DHCP. Puede utilizar el Administrador de DHCP para:
Configurar y desconfigurar el servidor DHCP Iniciar, detener y reiniciar el servidor DHCP Desactivar y activar el servicio DHCP Personalizar la configuracin del servidor DHCP
El Administrador de DHCP permite administrar las direcciones IP, las macros de configuracin de red y las opciones de configuracin de red de los modos siguientes:
Agregar y eliminar redes en la administracin de DHCP Ver, agregar, modificar, eliminar y liberar direcciones IP en la administracin de DHCP Ver, agregar, modificar y eliminar macros de configuracin de red Ver, agregar, modificar y eliminar opciones de configuracin de red que no sean estndar
El Administrador de DHCP permite administrar los almacenes de datos DHCP de los modos siguientes:
Convertir datos a un nuevo formato de almacn de datos Mover los datos de DHCP de un servidor DHCP a otro exportndolos del primer servidor y luego importndolos en el segundo.
317
El Administrador de DHCP incluye una amplia ayuda en lnea sobre los procedimientos que permite realizar la herramienta. Para ms informacin, consulte Acerca del Administrador de DHCP en la pgina 354.
in.dhcpd
El daemon del servicio DHCP. Los argumentos de in.dhcpd(1M) la lnea de comandos permiten configurar varias opciones del tiempo de ejecucin. Se utiliza para configurar y anular la dhcpconfig(1M) configuracin de un servidor DHCP. Esta utilidad permite realizar muchas de las funciones del Administrador de DHCP desde la lnea de comandos. Esta utilidad est diseada principalmente para utilizarse en secuencias de comandos para sitios que deseen automatizar algunas funciones de configuracin. dhcpconfig recopila informacin de los archivos de topologa de red del sistema de servidor para crear informacin til para la configuracin inicial. Se utiliza para agregar, eliminar y modificar las opciones de configuracin y las macros para los clientes DHCP. Esta utilidad permite editar la tabla dhcptab de forma indirecta, con lo cual se garantiza que la tabla dhcptab tenga el formato correcto. No debe editar directamente la tabla dhcptab. dhtadm(1M)
dhcpconfig
dhtadm
318
(Continuacin)
Vnculos de pgina del comando man
pntadm
Se utiliza para administrar las tablas de red de DHCP. Esta utilidad permite llevar a cabo las siguientes tareas: Agregar y eliminar direcciones IP y redes en la administracin de DHCP.
pntadm(1M)
Modificar la configuracin de red para las direcciones IP especificadas. Mostrar informacin sobre las direcciones IP y redes en la administracin de DHCP.
El rol del servidor, tanto si es el servidor DHCP como el agente de reenvo de BOOTP El tipo de almacn de datos (archivos, archivos binarios, NIS+ o lo que haya especificado en su sitio) Los parmetros de configuracin del almacn de datos para el tipo de almacn de datos seleccionado El servicio de nombres que utilizar para actualizar los registros del host, en caso de haberlos (/etc/hosts , NIS+ o DNS) La duracin del permiso y si los clientes deben poder renovarlo
319
El nombre de dominio DNS y las direcciones IP de los servidores DNS Las direcciones de red y la mscara de subred de la primera red que desee configurar para el servicio DHCP El tipo de red, tanto si se trata de una red de rea local (LAN) como de una red de punto a punto El descubrimiento del enrutador o la direccin IP de un enrutador especfico El nombre de dominio NIS y la direccin IP de los servidores NIS El nombre de dominio NIS+ y la direccin IP de los servidores NIS+
Tambin puede configurar el servidor DHCP utilizando el comando dhcpconfig. Esta utilidad recopila informacin automticamente de los archivos de sistema existentes para proporcionar una configuracin inicial til. Por tanto, debe asegurarse de que los archivos sean correctos antes de ejecutar dhcpconfig. Consulte la pgina del comando man dhcpconfig(1M) para obtener informacin sobre los archivos que utiliza dhcpconfig para obtener informacin.
Asignacin de direcciones IP
El servidor DHCP de Oracle Solaris admite los siguientes tipos de asignacin de direcciones IP:
Asignacin manual: El servidor proporciona una direccin IP especfica seleccionada para un cliente DHCP concreto. La direccin no se puede reclamar ni asignar a otro cliente. Asignacin automtica o permanente: El servidor proporciona una direccin IP que no tenga vencimiento, con lo cual se asocia de forma permanente con el cliente hasta que se cambie la asignacin o el cliente libere la direccin. Asignacin dinmica: El servidor proporciona una direccin IP a un cliente que la solicite, con un permiso para un periodo especfico. Cuando venza el permiso, la direccin volver al servidor y se podr asignar a otro cliente. El periodo lo determina el tiempo de permiso que se configure para el servidor.
agrupar cualquier cantidad de opciones que desee proporcionar a los clientes. Puede utilizar el Administrador de DHCP para crear macros para agrupar opciones y asignar valores a las opciones. Si prefiere una herramienta de lnea de comandos, puede utilizar dhtadm, la utilidad de administracin de la tabla de configuracin DHCP, para trabajar con las opciones y macros.
Opciones DHCP
En DHCP de Oracle Solaris, una opcin es un dato de red que se puede transferir a un cliente. La documentacin sobre DHCP tambin hace referencia a las opciones como smbolos o etiquetas. Una opcin se define mediante un cdigo numrico y una etiqueta de texto. Una opcin recibe un valor cuando se utiliza en el servicio DHCP. El protocolo DHCP define un nmero mayor de opciones estndar para los datos de red especificados de modo comn: Subnet, Router, Broadcst, NIS+dom, Hostname y LeaseTim son algunos ejemplos. En la pgina del comando man dhcp_inittab(4) se muestra una lista completa de las opciones estndar. Las palabras clave de las opciones estndar no se pueden modificar de ningn modo. Sin embargo, puede asignar valores a las opciones relevantes para su red cuando incluya las opciones en las macros. Puede crear nuevas opciones para los datos que no estn representados por las opciones estndar. Las opciones que cree deben clasificarse en una de estas tres categoras:
Extendidas: Se reserva para las opciones que se han convertido opciones de DHCP estndar pero se incluyen en la implementacin del servidor DHCP. Puede utilizar la opcin extendida si conoce una opcin estndar que desee utilizar, pero no desea actualizar el servidor DHCP. Sitio: Se reserva para opciones exclusivas del sitio. Estas opciones se crean. Distribuidor: Se reserva para las opciones que slo deben aplicarse a los clientes de una clase concreta, como una plataforma de distribuidor o hardware. La implementacin de DHCP de Oracle Solaris incluye una serie de opciones de distribuidor para los clientes de Oracle Solaris. Por ejemplo, la opcin SrootIP4 se utiliza para especificar la direccin IP de un servidor que debera utilizar un cliente que se inicia desde la red para su sistema de archivos raz (/).
El Captulo 15, Administracin de DHCP (tareas) incluye los procedimientos para crear, modificar y eliminar las opciones de DHCP.
Macros DHCP
En el servicio DHCP de Oracle Solaris, una macro es un conjunto de opciones de configuracin de red y los valores que se les asignan. Las macros se crean para agrupar opciones para transferir a clientes o tipos de clientes especficos. Por ejemplo, una macro diseada para todos los clientes de una subred concreta podran contener pares de opcin/valor para la mscara de subred, direcciones IP de enrutador, direcciones de emisin, dominio NIS+ y tiempo de permiso.
Captulo 12 Acerca de DHCP de Oracle Solaris (informacin general) 321
Categora de macro
Clase de cliente
El nombre de la macro coincide con una clase de cliente, que se indica mediante el tipo de mquina del cliente, el sistema operativo, o ambos. Por ejemplo, si un servidor tiene una macro denominada SUNW.Sun-Blade-100, cualquier cliente cuya implementacin de hardware sea SUNW,Sun-Blade-100 recibir automticamente los valores de la macro SUNW.Sun-Blade-100. El nombre de la macro coincide con una direccin IP de la red administrada por DHCP. Por ejemplo, si un servidor tiene una macro denominada 10.53.224.0, cualquier cliente conectado a la red 10.53.224.0 recibir de manera automtica los valores de la macro 10.53.224.0. El nombre de macro coincide con algunos identificadores exclusivos del cliente, que normalmente se obtienen de una direccin MAC o Ethernet. Por ejemplo, si un servidor tiene una macro denominada 08002011DF32, el cliente con el ID de cliente 08002011DF32 (derivado de la direccin Ethernet 8:0:20:11:DF:32 ), recibir automticamente los valores de la macro denominada 08002011DF32.
Direccin de red
ID de cliente
Una macro con un nombre que no utilice una de las categoras incluidas en la Tabla 123 slo se puede procesar si se cumple una de estas condiciones:
La macro est asignada a una direccin IP. La macro se incluye en otra macro que se procesa automticamente. La macro se incluye en otra macro que est asignada a una direccin IP.
Nota Al configurar un servidor, se crea de forma predeterminada una macro cuyo nombre coincide con el nombre del servidor. Esta macro de servidor no se procesa automticamente para ningn cliente porque no tiene el nombre de uno de los tipos que desencadenan el procesamiento automtico. Cuando crea direcciones IP en el servidor posteriormente, las direcciones IP se asignan para utilizar la macro del servidor de modo predeterminado.
322
324
13
C A P T U L O
1 3
Puede utilizar el servicio DHCP en una red que est creando o en una que ya exista. Si esta configurando una red, consulte el Captulo 2, Planificacin de la red TCP/IP (tareas) antes de configurar el servicio DHCP. Si ya existe una red, contine en este captulo. En l se describen los pasos necesarios para configurar el servicio DHCP en la red. La informacin est destinada para uso con el Administrador de DHCP, aunque tambin puede utilizar la utilidad de lnea de comandos de dhcpconfig para configurar el servicio DHCP. Este captulo contiene la informacin siguiente:
Preparacin de la red para el servicio DHCP (mapa de tareas) en la pgina 325 Toma de decisiones para la configuracin del servidor DHCP (mapa de tareas) en la pgina 330 Toma de decisiones para la administracin de direcciones IP (mapa de tareas) en la pgina 333 Planificacin de mltiples servidores DHCP en la pgina 337 Planificacin de la configuracin DHCP de las redes remotas en la pgina 338 Seleccin de la herramienta para configurar DHCP en la pgina 338
325
Tarea
Descripcin
Determina y localiza los servicios disponibles en la red. Utiliza el nmero previsto de clientes DHCP como base para determinar la cantidad de servidores DHCP que se necesitan. Refleja la topologa de red de un modo preciso.
Asignacin de topologa de red en la pgina 326 Cmo determinar el nmero de servidores DHCP en la pgina 327
Servidor de tiempo Servidor de registro Servidor de impresin Servidor de instalacin Servidor de inicio Servidor proxy Web Servidor de intercambio Servidor de fuentes de ventanas X Servidor de Trivial File Transfer Protocol (TFTP)
326
Utilice una mscara de subred de longitud variable (VLSM) en las subredes para aprovechar al mximo el espacio de direcciones IP del que dispone. Es posible que no tenga que ejecutar varias redes en la misma red fsica. Consulte la pgina del comando man netmasks(4) para obtener informacin sobre la implementacin de subredes de longitud variable. Para obtener ms informacin sobre el enrutamiento entre dominios sin clase (CIDR) (CIDR) y VLSM, consulte http://www.ietf.org/rfc/rfc1519.txt. Configure los puertos de los conmutadores para asignar dispositivos a las diferentes LAN fsicas. Esta tcnica conserva la asignacin de una LAN a una red IP, necesaria para Oracle Solaris DHCP. Consulte la documentacin del conmutador para obtener informacin sobre cmo configurar los puertos.
Este nmero mximo es una pauta general, no una cifra absoluta. La capacidad de un cliente de servidor DHCP depende en gran medida de la cantidad de transacciones por segundo que deba procesar el servidor. Los tiempos de permisos y los patrones de uso tienen un impacto
Captulo 13 Planificacin del servicio DHCP (tareas) 327
significativo en la tasa de transaccin. Por ejemplo, supongamos que los permisos estn configurados en 12 horas y que los usuarios apagan los sistemas por la noche. Si muchos usuarios encienden sus sistemas a la misma hora por la maana, el servidor debe administrar picos de transacciones, ya que muchos clientes solicitan permisos a la vez. El servidor DHCP admite menos clientes en dichos entornos. El servidor DHCP puede admitir ms clientes en un entorno con permisos ms largos, o en un entorno compuesto por dispositivos que estn conectados permanentemente, como los mdems por cable. En la seccin Seleccin del almacn de datos DHCP en la pgina 331 se comparan los tipos de almacenes de datos.
Zona horaria
La fecha y la zona horaria se configuran inicialmente durante la instalacin de Oracle Solaris. Puede cambiar la fecha utilizando el comando date. Puede cambiar la zona horaria editando el archivo /etc/default/init para fijar la variable de entorno TZ. Consulte la pgina del comando man TIMEZONE(4) para obtener ms informacin.
328
(Continuacin)
Comentarios
Parmetros de DNS
/etc/resolv.conf
El servidor DHCP utiliza el archivo /etc/resolv.conf para obtener los parmetros de DNS como el nombre de dominio DNS o las direcciones de servidor DNS. Consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) o la pgina del comando man resolv.conf(4) para obtener ms informacin sobre resolv.conf.
Nombre de dominio de sistema, El servidor DHCP utiliza el comando nsswitch.conf, NIS o NIS+ domainname para obtener el nombre de dominio del sistema de servidor. El archivo nsswitch.conf indica al servidor dnde debe buscar la informacin del dominio. Si el sistema de servidor es un cliente NIS o NIS+, el servidor DHCP realiza una consulta para obtener las direcciones IP del servidor NIS o NIS+. Consulte la pgina del comando man nsswitch.conf(4) para obtener ms informacin. Tablas de enrutamiento del sistema, mensaje de usuario El servidor DHCP busca en las tablas de enrutamiento del sistema el enrutador predeterminado para los clientes conectados a la red local. Para los clientes que no se encuentren en la misma red, el servidor DHCP debe solicitar la informacin. El servidor DHCP busca sus propias interfaces de red para determinar la direccin de mscara de red y de emisin para los clientes locales. Si la solicitud la emite un agente de reenvo, el servidor obtiene la mscara de subred de la tabla netmasks de la red del agente de reenvo. Para la red local, el servidor DHCP obtiene la direccin de emisin consultando la interfaz de red. Para las redes remotas, el servidor utiliza la direccin IP del agente de reenvo BOOTP y la mscara de red de la red remota para calcular la direccin de emisin de la red.
Enrutador predeterminado
Mscara de subred
Direccin de emisin
329
Determina si un servidor rene los requisitos del sistema para ejecutar el servicio DHCP. Compara los tipos de almacn de datos para determinar el mejor para su sitio. Obtiene informacin de los permisos de direcciones IP para ayudarle a determinar la directiva de permiso adecuada para su sitio. Determina si los clientes DHCP utilizan descubrimiento de enrutador o un enrutador especfico.
Seleccin de un host para ejecutar el servicio DHCP en la pgina 330 Seleccin del almacn de datos DHCP en la pgina 331 Configuracin de una directiva de permiso en la pgina 332
Debe ejecutar Solaris 2.6 o una versin posterior. Si necesita utilizar un nmero de clientes ms elevado, debe instalar la versin Solaris 8 7/01 o una posterior. El host debe ser accesible a todas las redes que tengan clientes que necesiten utilizar DHCP, directamente en la red o a travs de un agente de reenvo de BOOTP. El host debe estar configurado para utilizar el enrutamiento. Adems, debe contar con una tabla netmasks configurada correctamente que refleje la topologa de la red.
330
Archivos binarios
Bajo mantenimiento, no se necesitan servidores de bases de datos. El contenido debe visualizarse con el Administrador de DHCP o dhtadm y pntadm. Se recomienda realizar copias de seguridad regulares de los archivos. El sistema de servidor DHCP debe estar configurado como cliente NIS+. Requiere mantenimiento del servicio NIS+. El contenido debe visualizarse con el Administrador de DHCP o dhtadm y pntadm. Se recomienda realizar copias de seguridad regulares con nisbackup. Bajo mantenimiento, no se necesitan servidores de bases de datos. El formato ASCII se puede leer sin el Administrador de DHCP, dhtadm o pntadm. Se recomienda realizar copias de seguridad regulares de los archivos.
Entornos de medio y gran tamao con mltiples redes y miles de clientes por red. tiles para ISP de medio y gran tamao.
NIS+
Los datos DHCP se distribuyen en NIS+, y varios servidores pueden acceder a los mismos contenedores.
Entornos de pequeo a mediano tamao, con un mximo de 5.000 clientes por red.
Archivos de texto
El almacn de datos se puede compartir entre servidores DHCP si los datos DHCP estn almacenados en un sistema de archivos que se exporta mediante un punto de montaje NFS.
Entornos reducidos con menos de 10.000 clientes, de entre unos cientos hasta mil clientes por red.
331
Los NIS tradicionales no se ofrecen como opcin de almacn de datos porque no admiten actualizaciones incrementales rpidas. Si la red utiliza NIS, debe utilizar los archivos de texto o binarios para el almacn de datos.
durante la configuracin del servidor. La negociacin del permiso se puede activar para determinados clientes o tipos de clientes mediante la opcin LeaseNeg de las macros de configuracin.
Nota Los sistemas que proporcionan servicios en la red deben conservar sus direcciones IP. Dichos sistemas no deben estar sujetos a permisos breves. Puede utilizar DHCP con dichos sistemas si asigna direcciones IP manuales reservadas a los sistemas, en lugar de direcciones IP con permisos permanentes. Puede detectar cundo se deja de utilizar la direccin IP del sistema.
Determina cuntas direcciones desea que administre el servidor DHCP, y cules son dichas direcciones.
333
Tarea
Descripcin
Decidir si el servidor debe generar Muestra cmo se generan los nombres de automticamente los nombres de host para host de cliente para que pueda decidir si va los clientes. a generar nombres de host. Determinar la macro de configuracin que Muestra las macros de configuracin de asignar a los clientes. cliente para que pueda seleccionar una macro adecuada para los clientes. Determinar los tipos de permisos que utilizar. Muestra los tipos de permisos para ayudarle a determinar cul es mejor para sus clientes DHCP.
Generacin de nombres de host de cliente en la pgina 334 Macros de configuracin de cliente predeterminadas en la pgina 335 Tipos de permiso dinmico y permanente en la pgina 336
Los nombres de cliente generados se pueden asignar a las direcciones IP de /etc/inet/hosts, DNS o NIS+ si especifica que se registren los nombres de host durante la configuracin de DHCP. Consulte Registro de nombres de host de cliente en la pgina 370 para obtener ms informacin.
Macro de direccin de red: El nombre de la macro de direccin de red coincide con la direccin IP de la red del cliente. Por ejemplo, si la red es 192.68.0.0, la macro de la direccin de red recibe el nombre 192.68.0.0. La macro contiene la informacin que necesita cualquier cliente que forme parte de la red, como la mscara de subred, la direccin de emisin de red, el enrutador predeterminado o el token de descubrimiento del enrutador, as como el servidor y el dominio NIS/NIS+ si el servidor utiliza NIS/NIS+. Podran incluirse otras opciones aplicables a la red. La macro de la direccin de red se procesa automticamente para todos los clientes que se encuentran en dicha red, tal como se describe en Orden del procesamiento de macros en la pgina 323. Macro de configuracin regional: Esta macro recibe el nombre de Locale. Contiene el desfase (en segundos) de la hora universal coordinada (UTC) para especificar la zona horaria. La macro de configuracin regional no se procesa automticamente, pero se incluye en la macro del servidor. Macro del servidor: El nombre de esta macro coincide con el nombre de host del servidor. Por ejemplo, si el servidor se denomina pineola, la macro del servidor tambin se llamar pineola. La macro del servidor contiene informacin sobre la directiva de permiso, el servidor de tiempo, el dominio DNS y el servidor DNS, y posiblemente otra informacin que el programa de configuracin haya obtenido de los archivos del sistema. La macro del servidor incluye la macro de configuracin regional, de modo que el servidor DHCP procesa la macro de configuracin regional como parte de la macro de servidor. Al configurar las direcciones IP para la primera red, debe seleccionar una macro de configuracin de cliente para utilizar con todos los clientes DHCP que utilicen las direcciones que est configurando. La macro que selecciona se asigna a las direcciones IP. De modo predeterminado, se selecciona la macro de servidor porque contiene la informacin que necesitan todos los clientes que utilizan este servidor.
335
Los clientes reciben las opciones que contiene la macro de direccin de red antes que las opciones de la macro que est asignada a las direcciones IP. Este orden de procesamiento hace que las opciones de la macro del servidor tengan prioridad sobre cualquier opcin de la macro de direccin de red. Consulte Orden del procesamiento de macros en la pgina 323 para obtener ms informacin sobre el orden en el que se procesan las macros.
La direccin slo se puede asignar al cliente que est vinculado a la direccin. El servidor DHCP no puede asignar la direccin a otro cliente. El servidor DHCP no puede reclamar esta direccin.
Cuando se asigna un permiso dinmico a una direccin reservada, la direccin slo se puede asignar al cliente que est vinculado a la direccin. Sin embargo, el cliente debe controlar el tiempo del permiso y negociar una ampliacin del mismo, como si la direccin no estuviera reservada. Esta estrategia permite controlar mediante la tabla de red cundo utiliza la direccin el cliente.
336 Gua de administracin del sistema: servicios IP Septiembre de 2010
No es posible crear direcciones reservadas para todas las direcciones IP durante la configuracin inicial. Las direcciones reservadas estn diseadas para utilizarse con moderacin para las direcciones individuales.
Divida la agrupacin de direcciones IP de modo que cada servidor sea responsable de un intervalo de direcciones y no se solapen las responsabilidades. Elija NIS+ como almacn de datos, si est disponible. Si no lo est, seleccione los archivos de texto y especifique un directorio compartido para la ruta absoluta al almacn de datos. El almacn de datos de archivos binarios no se puede compartir. Configure cada servidor por separado para que la propiedad de las direcciones se asigne correctamente y las macros del servidor se puedan crear automticamente. Configure los servidores para analizar las opciones y las macros de la tabla dhcptab a intervalos especficos de modo que los servidores utilicen la informacin ms reciente. Puede utilizar el Administrador de DHCP para programar la lectura automtica de dhcptab, tal como se describe en Personalizacin de las opciones de rendimiento del servidor DHCP en la pgina 371. Asegrese de que todos los clientes puedan acceder a todos los servidores DHCP de modo que se complementen. Un cliente con un permiso de direccin IP vlido podra tratar de verificar su configuracin o ampliar el permiso cuando no se puede acceder al servidor que posee dicha direccin de cliente. Otro servidor puede responder al cliente si el cliente ha intentado contactar con el servidor principal durante 20 segundos. Si un cliente solicita una direccin IP especfica y el servidor que posee dicha direccin no est disponible, uno de los servidores administrar la solicitud. En ese caso, el cliente no recibe la direccin solicitada. El cliente recibe una direccin IP que posee el servidor DHCP que responde.
337
La direccin IP de la red remota. La mscara de subred de la red remota. Esta informacin se puede obtener de la tabla netmasks del servicio de nombres. Si la red utiliza archivos locales, busque /etc/netmasks en un sistema de la red. Si la red utiliza NIS+, utilice el comando niscat netmasks.org_dir. Si la red utiliza NIS, utilice el comando ypcat -k netmasks.byaddr. Asegrese de que la tabla netmasks contenga toda la informacin de topologa de todas las subredes que desee administrar. El tipo de red. Los clientes se conectan a la red mediante una conexin de red de rea local (LAN) o un Protocolo punto a punto (PPP). Informacin de enrutamiento. Los clientes pueden utilizar el descubrimiento de enrutadores? Si no, debe determinar la direccin IP de un enrutador que puedan utilizar. El dominio NIS y los servidores NIS, si es preciso. El dominio NIS+ y los servidores NIS+, si es preciso.
Consulte Cmo agregar redes DHCP en la pgina 377 para aprender a agregar redes DHCP.
para configurar un servidor: formato del almacn de datos, directiva de permiso, dominios y servidores DNS/NIS/NIS+ y direcciones de enrutadores. El asistente obtiene parte de la informacin de los archivos del sistema, y el usuario slo debe confirmar que la informacin sea correcta o corregirla si es preciso. A medida que avanza por los cuadros de dilogo y aprueba la informacin, el daemon del servidor DHCP se inicia en el sistema del servidor. A continuacin, se le solicita que inicie el asistente para agregar direcciones para configurar las direcciones IP para la red. Inicialmente slo se configura la red del servidor para DHCP y se asignan los valores predeterminados a las dems opciones del servidor. Puede volver a ejecutar el Administrador de DHCP una vez completada la configuracin inicial para agregar redes y modificar las dems opciones del servidor. Consulte Configuracin y desconfiguracin de un servidor DHCP utilizando el Administrador de DHCP en la pgina 341 para obtener ms informacin sobre el asistente para la configuracin de DHCP. Consulte Acerca del Administrador de DHCP en la pgina 354 para obtener ms informacin acerca del Administrador de DHCP.
Funciones de dhcpconfig
La utilidad dhcpconfig admite opciones que permiten configurar y desconfigurar un servidor DHCP, as como convertir a un nuevo almacn de datos e importar/exportar datos de otros servidores DHCP. Si configura un servidor DHCP mediante la utilidad dhcpconfig, sta obtiene informacin de los archivos del sistema que se describen en Actualizacin de archivos de sistema y tablas de mscara de red en la pgina 328. No puede ver y confirmar la informacin que se obtiene de los archivos del sistema del mismo modo que con el Administrador de DHCP. Por tanto, es importante que los archivos del sistema estn actualizados antes de ejecutar dhcpconfig. Tambin puede utilizar las opciones de la lnea de comandos para modificar los valores que obtendra dhcpconfig de los archivos del sistema de modo predeterminado. El comando dhcpconfig puede utilizarse en secuencias. Consulte la pgina del comando man dhcpconfig(1M) para obtener ms informacin.
339
Permite ver la informacin obtenida de los archivos del sistema, y cambiarla si es preciso. Acelera el proceso de configuracin al omitir la solicitud de opciones de servidor que no son imprescindibles y utilizar los valores predeterminados para ellas. Puede cambiar las opciones no imprescindibles tras la configuracin inicial.
Puede especificar la informacin de red con las opciones de la lnea de comandos. Proceso de configuracin ms rpido, pero es posible que necesite especificar los valores de mltiples funciones.
El Captulo 14, Configuracin del servicio DHCP (tareas) incluye los procedimientos que puede seguir para configurar el servidor con el Administrador de DHCP o la utilidad dhcpconfig.
340
14
C A P T U L O
1 4
Al configurar el servicio DHCP en la red, se configura e inicia el primer servidor DHCP. Ms adelante, puede agregar otros servidores DHCP, que accedan a los mismos datos desde una ubicacin compartida si el almacn de datos admite datos compartidos. En este captulo se describen las tareas que permiten configurar el servidor DHCP y colocar las redes y sus direcciones IP asociadas en la administracin de DHCP. En este capitulo tambin se explica cmo anular la configuracin de un servidor DHCP. Cada tarea incluye un procedimiento para ayudarle a realizar la tarea en el Administrador de DHCP y un procedimiento para la tarea equivalente con la utilidad dhcpconfig. Este captulo contiene la informacin siguiente:
Configuracin y desconfiguracin de un servidor DHCP utilizando el Administrador de DHCP en la pgina 341 Configuracin y desconfiguracin de un servidor DHCP mediante los comandos dhcpconfig en la pgina 349
Si tiene problemas para configurar el servicio DHCP, consulte el Captulo 17, Solucin de problemas de DHCP (referencia). Despus de configurar el servicio DHCP, consulte el Captulo 15, Administracin de DHCP (tareas) para obtener informacin sobre la administracin del servicio DHCP.
en la pgina 354 para obtener informacin general sobre la utilidad. Consulte Cmo iniciar y detener el servicio DHCP (Adminisitrador de DHCP) en la pgina 359 para obtener informacin ms detallada sobre la ejecucin del Administrador de DHCP. Al ejecutar el Administrador de DHCP en un servidor que no est configurado para DHCP, se muestra la siguiente pantalla. Puede especificar si desea configurar un servidor DHCP o un agente de reenvo BOOTP.
FIGURA 141
342
FIGURA 142
Cuando haya completado la informacin que solicita el asistente, el Administrador de DHCP crear los elementos que se enumeran en la siguiente tabla.
TABLA 141 Elemento
Registra las palabras clave y los valores para Ubicacin y tipo de almacn de datos, as como las las opciones de configuracin del servidor. opciones que se utilizan con in.dhcpd para iniciar el daemon DHCP cuando se inicia el sistema. No edite este archivo manualmente. Debe utilizar dhcpmgr o dhcpconfig para modificar la informacin de configuracin de DHCP. El Administrador de DHCP crea una tabla dhcptab si no existe. Macros y opciones con valores asignados. Opcin UTCoffst con cantidad de segundos asignada.
tabla dhcptab
Macro de configuracin regional Contiene el desfase en segundos de la zona (opcional), denominada Locale horaria local de la Hora universal (UTC).
343
(Continuacin)
Contenido
Macro de servidor, cuyo nombre Contiene opciones cuyos valores estn coincide con el nombre del nodo determinados por la entrada del del servidor administrador que ha configurado el servidor DHCP. Las opciones se aplican a todos los clientes que utilizan las direcciones que posee el servidor.
La macro Locale ms las siguientes opciones: Timeserv, configurada para puntar a la direccin IP principal del servidor. LeaseTim, configurada con la cantidad de segundos para los permisos. LeaseNeg, si ha seleccionado permisos negociables. DNSdmain y DNSserv, si se ha configurado DNS. Hostname, que no debe tener un valor asignado. La presencia de esta opcin indica que el nombre de host debe obtenerse del servicio de nombres.
La macro de direccin de red, cuyo nombre coincide con la direccin de red de la red del cliente
Contiene opciones cuyos valores estn determinados por la entrada del administrador que ha configurado el servidor DHCP. Las opciones se aplican a todos los clientes que residen en la red especificada por el nombre de la macro.
Las siguientes opciones: Subnet, configurada con la mscara de subred para la subred local.
Router, configurada con la direccin IP de un enrutador, o RDiscvyF, para que el cliente utilice el descubrimiento de enrutadores. Broadcst, configurada con la direccin IP de emisin. Esta opcin slo est presente si la red no es una red de punto a punto. MTU, para la unidad de transmisin mxima NISdmain y NISservs, si se ha configurado NIS. NIS+dom y NIS+serv, si se ha configurado NIS+.
Se crea una tabla vaca hasta que se crean las No hay contenido hasta que no se agregan direcciones IP para la red. direcciones IP.
344
Antes de empezar
Seleccionar el sistema que se va a utilizar como servidor DHCP. Tomar decisiones sobre el almacn de datos, la directiva de permisos y la informacin de enrutadores.
1 2
Elija la opcin Configure as DHCP Server. Se abrir el asistente DHCP Configuration Wizard, que le ayudar a configurar el servidor.
Seleccione las opciones o escriba la informacin que se le solicita, basndose en las decisiones que ha tomado en la fase de planificacin. Si tiene problemas, haga clic en Help en la ventana del asistente para abrir el explorador web y ver la ayuda del asistente DHCP Configuration Wizard.
Haga clic en Finish para completar la configuracin del servidor cuando haya terminado de especificar la informacin solicitada. En Start Address Wizard, haga clic en Yes para configurar las direcciones IP para el servidor. El asistente Add Addresses to Network permite especificar qu direcciones colocar bajo el control de DHCP.
Responda a los indicadores de acuerdo con las decisiones que tom en la fase de planificacin. Consulte Toma de decisiones para la administracin de direcciones IP (mapa de tareas) en la pgina 333 para obtener ms informacin. Si tiene problemas, haga clic en Help en la ventana del asistente para abrir el explorador web y ver la ayuda del asistente Add Addresses to Network.
Revise las selecciones y haga clic en Finish para agregar las direcciones IP a la tabla de red. La tabla de red se actualiza con los registros para cada direccin del intervalo especificado.
345
Vase tambin
Puede agregar ms redes al servidor DHCP con el asistente Network Wizard, tal como se describe en Cmo agregar redes DHCP en la pgina 377.
Solicita la direccin IP de uno o ms servidores DHCP a los que se deben reenviar las solicitudes. Almacena la configuracin necesaria para el servicio de reenvo de BOOTP.
La figura siguiente muestra la pantalla que aparece al seleccionar la configuracin de un agente de reenvo de BOOTP.
FIGURA 143
Antes de empezar
1
346
Si el sistema no se ha configurado como servidor DHCP o agente de reenvo de BOOTP, se abrir el asistente DHCP Configuration Wizard. Si el sistema ya se ha configurado como servidor DHCP, primer debe desconfigurar el servidor. Consulte Desconfiguracin de servidores DHCP y agentes de reenvo de BOOTP en la pgina 347.
3
Seleccione Configure as BOOTP Relay. Se abrir el cuadro de dilogo Configure BOOTP Relay.
Escriba la direccin IP o el nombre de host de uno o ms servidores DHCP y haga clic en Add. Los servidores DHCP especificados deben configurarse para admitir las solicitudes BOOTP o DHCP recibidas por este agente de reenvo de BOOTP.
Haga clic en OK para salir del cuadro de dilogo. Observe que el Administrador de DHCP slo ofrece el men File para salir de la aplicacin y el men Service para administrar el servidor. Las opciones de men desactivadas slo son tiles en un servidor DHCP.
Detiene el proceso del daemon DHCP (in.dhpcd). Elimina el archivo /etc/inet/dhcpsvc.conf, que registra informacin sobre el inicio del daemon y la ubicacin del almacn de datos.
La figura siguiente muestra la pantalla que aparece al seleccionar la desconfiguracin de un servidor DHCP.
347
FIGURA 144
348
1 2
En el men Service, elija Unconfigure. Aparecer el cuadro de dilogo Desconfigurar servicio. Si el servidor es un agente de reenvo de BOOTP, el cuadro de dilogo permite confirmar la intencin de desconfigurar el agente de reenvo. Si el servidor es un servidor DHCP, debe decidir qu hacer con los datos DHCP y realizar las selecciones en el cuadro de dilogo. Consulte la Figura 144.
(Opcional) Seleccione las opciones para eliminar los datos. Si el servidor utiliza datos compartidos mediante NIS+ o en archivos compartidos mediante NFS, no seleccione ninguna opcin para eliminar los datos. Si el servidor no utiliza datos compartidos, seleccione una o ambas opciones para eliminar los datos. Consulte Datos DHCP en un servidor desconfigurado en la pgina 348 para obtener ms informacin acerca de la eliminacin de datos.
Haga clic en Aceptar para desconfigurar el servidor. Se cerrarn el cuadro de dilogo Desconfigurar servicio y el Administrador de DHCP.
349
Antes de empezar
Seleccionar el sistema que se va a utilizar como servidor DHCP. Tomar decisiones sobre el almacn de datos, la directiva de permisos y la informacin de enrutadores.
1 2
Inicie sesin en el sistema en el que desee configurar el servidor DHCP. Convirtase en superusuario o asuma un rol o nombre de usuario asignado al perfil de administracin de DHCP. Para obtener ms informacin acerca del perfil de administracin de DHCP, consulte Configuracin del acceso de usuario a los comandos de DHCP en la pgina 357. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
almacn_datos es uno de los siguientes: SUNWfiles , SUNWbinfiles o SUNWnisplus. La ubicacin es la ubicacin que depende del almacn de datos donde se desea almacenar los datos DHCP. Para SUNWfiles y SUNWbinfiles, la ubicacin debe ser un nombre de ruta absoluto. Para SUNWnisplus, la ubicacin debe ser un directorio NIS+ especificado por completo. Por ejemplo, puede escribir un comando similar al siguiente:
dhcpconfig -D -r SUNWbinfiles -p /var/dhcp
La utilidad dhcpconfig utiliza los archivos de red y los archivos de sistema del host para determinar los valores que se utilizan para configurar el servidor DHCP. Consulte la pgina del comando man dhcpconfig(1M) para obtener informacin sobre las opciones adicionales para el comando dhcpconfig que permiten modificar los valores predeterminados.
4
Agregue una o ms redes al servicio DHCP. Consulte Cmo agregar una red DHCP (dhcpconfig) en la pgina 379 para conocer el procedimiento para agregar una red.
350
Antes de empezar
1 2
Especifique una o ms direcciones IP de los servidores DHCP a los que desea reenviar las solicitudes. Si especifica ms de una direccin, seprelas con comas. Por ejemplo, puede escribir un comando similar al siguiente:
/usr/sbin/dhcpconfig -R 192.168.1.18,192.168.42.132
Si el servidor no utiliza datos compartidos, tambin puede utilizar la opcin -x para eliminar dhcptab y las tablas de red. Si el servidor utiliza datos compartidos, no utilice la opcin -x. La opcin -h puede utilizarse para eliminar nombres de host de la tabla host. Consulte la pgina del comando man dhcpconfig(1M) para obtener ms informacin sobre las opciones dhcpconfig. Consulte Datos DHCP en un servidor desconfigurado en la pgina 348 para obtener ms informacin acerca de la eliminacin de datos.
352
15
C A P T U L O
1 5
En este captulo se describen las tareas que pueden ser de utilidad durante la administracin del servicio DHCP de Oracle Solaris. El captulo incluye las tareas para el servidor, el agente de reenvo de BOOTP y el cliente. Cada tarea incluye un procedimiento para ayudarle a realizar la tarea en el Administrador de DHCP y un procedimiento para desempear una tarea equivalente con las utilidades de lnea de comandos de DHCP. Las utilidades de lnea de comandos de DHCP se describen con mayor detalle en las pginas de comando man. Antes de continuar con este captulo, debe haber completado la configuracin inicial del servicio DHCP y la red inicial. El Captulo 14, Configuracin del servicio DHCP (tareas) trata sobre la configuracin de DHCP. Este captulo contiene la informacin siguiente:
Acerca del Administrador de DHCP en la pgina 354 Configuracin del acceso de usuario a los comandos de DHCP en la pgina 357 Cmo iniciar y detener el servicio DHCP en la pgina 358 Servicio DHCP y Utilidad de gestin de servicios en la pgina 360 Modificacin de las opciones del servicio DHCP (mapa de tareas) en la pgina 361 Cmo agregar, modificar y eliminar redes DHCP (mapa de tareas) en la pgina 374 Clientes BOOTP con el servicio DHCP (mapa de tareas) en la pgina 384 Uso de direcciones IP en el servicio DHCP (mapa de tareas) en la pgina 387 Uso de macros DHCP (mapa de tareas) en la pgina 403 Uso de opciones DHCP (mapa de tareas) en la pgina 414 Instalacin en red de Oracle Solaris con el servicio DHCP en la pgina 423 Inicio remoto y clientes de inicio sin disco (mapa de tareas) en la pgina 424 Configuracin de clientes DHCP slo para recibir informacin (mapa de tareas) en la pgina 426 Conversin a un nuevo almacn de datos DHCP en la pgina 426 Transferencia de datos de configuracin entre servidores DHCP (mapa de tareas) en la pgina 429
353
Ficha Direcciones: enumera todas las redes y direcciones IP que se incluyen durante la administracin de DHCP. En la ficha Direcciones, puede trabajar con las redes y direcciones IP. Puede agregar o eliminar elementos individualmente o por bloques. Tambin puede modificar las propiedades de las redes o direcciones IP individuales o realizar las mismas modificaciones de propiedades de forma simultnea para un bloque de direcciones. Al iniciar el Administrador de DHCP, se abre la ficha Direcciones en primer lugar. Ficha Macros: enumera todas las macros disponibles de la tabla de configuracin de DHCP (dhcptab) y las opciones que contienen las macros. En la ficha Macros, puede crear o eliminar macros. Tambin puede modificar macros agregando opciones y asignndoles valores. Ficha Opciones: enumera todas las opciones definidas para este servidor DHCP. Las opciones que se enumeran en esta ficha no son las opciones estndar definidas en el protocolo DHCP. Las opciones son extensiones de las opciones estndar, y tienen la clase Extendidas, Distribuidor o Sitio. Las opciones estndar no se pueden modificar de ningn modo, por lo que no se incluyen aqu.
En la figura siguiente se muestra el aspecto que puede tener el Administrador de DHCP al iniciarlo en un servidor DHCP.
354
FIGURA 151
Cuando el servidor se configura como agente de reenvos de BOOTP, la ventana del Administrador de DHCP no incluye estas fichas. El agente de reenvo de BOOTP no necesita la misma informacin. Slo puede modificar las propiedades del agente de reenvo de BOOTP y detener o reiniciar el daemon DHCP con el Administrador de DHCP. En la figura siguiente se muestra el aspecto que podra tener el Administrador de DHCP en un sistema configurado como agente de reenvo de BOOTP.
FIGURA 152
355
File: Cierra el Administrador de DHCP. Edit: Lleva a cabo tareas de administracin para redes, direcciones, macros y opciones. View: Cambia el aspecto de la ficha seleccionada. Service: Administra el daemon de DHCP y el almacn de datos. Help: Abre el explorador web y muestra ayuda para el Administrador de DHCP.
Cuando el Administrador de DHCP se ejecuta en un agente de reenvo de BOOTP, los mens Edit y View estn desactivados. Todas las tareas de administracin de DHCP se llevan a cabo mediante los mens Edit y Service. Los comandos del men Edit permiten crear, eliminar y modificar elementos de la ficha seleccionada. Los elementos pueden incluir redes, direcciones, macros y opciones. Si est seleccionada la ficha Addresses, el men Edit tambin enumera los asistentes. Los asistentes son conjuntos de cuadros de dilogo que ayudan a crear redes y varias direcciones IP. El men Service enumera los comandos que permiten administrar el daemon de DHCP. En el men Service puede llevar a cabo las tareas siguientes:
Iniciar y detener el daemon de DHCP. Habilitar e inhabilitar el daemon de DHCP. Modificar la configuracin del servidor. Desconfigurar el servidor. Convertir el almacn de datos. Exportar e importar datos en el servidor.
356
(Opcional) Si se registra remotamente en el sistema de servidor DHCP, visualice el Administrador de DHCP en el sistema local del modo siguiente. a. Escriba lo siguiente en el sistema local:
# xhost +server-name
Se abrir la ventana del Administrador de DHCP. Si el servidor se configura como servidor DHCP, la ventana muestra la ficha Direcciones. Si el servidor se configura como agente de reenvo de BOOTP, la ventana no incluir ninguna ficha.
4
Para detener el Administrador de DHCP, elija Exit en el men File. Se cerrar la ventana del Administrador de DHCP.
Edite el archivo /etc/user_attr para agregar una entrada con el siguiente formato. Agregue una entrada para cada usuario o rol que deba administrar el servicio DHCP.
username::::type=normal;profiles=DHCP Management
Por ejemplo, para el usuario ram, debe agregar la siguiente entrada: ram::::type=normal;profiles=DHCP Management
Los comandos para iniciar, detener y reiniciar afectan al daemon slo para la sesin actual. Por ejemplo, si detiene el servicio DHCP, el daemon finaliza pero se reinicia al reiniciarse el sistema. La detencin del servicio no afecta a las tablas de datos DHCP. Puede utilizar los comandos del Administrador de DHCP o SMF para iniciar y detener temporalmente el servicio DHCP sin habilitar ni inhabilitar el servicio. Los comandos para activar y desactivar afectan al daemon para la sesin actual y para futuras sesiones. Si inhabilita el servicio DHCP, el daemon que est en ejecucin finaliza y no se inicia al reiniciar el servidor. Debe habilitar el daemon de DHCP para que se inicie automticamente al iniciar el sistema. Las tablas de datos de DHCP no se ven afectadas. Puede utilizar el Administrador de DHCP, el comando dhcpconfig o los comandos SMF para habilitar e inhabilitar el servicio DHCP. El comando unconfigure cierra el daemon, impide que el daemon se inicie al iniciarse el sistema y permite eliminar las tablas de datos de DHCP. Puede utilizar el Administrador de DHCP o el comando dhcpconfig para desconfigurar el servicio DHCP. La desconfiguracin se describe en el Captulo 14, Configuracin del servicio DHCP (tareas) .
Nota Si un servidor tiene varias interfaces de red pero no desea proporcionar servicios DHCP
en todas las redes, consulte Especificacin de interfaces de redes para la supervisin de DHCP en la pgina 375. Los siguientes procedimientos le ayudarn a iniciar, detener, habilitar e inhabilitar el servicio DHCP.
358 Gua de administracin del sistema: servicios IP Septiembre de 2010
1 2
Elija Start en el men Service para iniciar el servicio DHCP. Elija Stop en el men Service para detener el servicio DHCP. El daemon de DHCP se detiene hasta que se reinicia o se reinicia el sistema.
Elija Restart en el men Service para detener y reiniciar inmediatamente el servicio DHCP.
Elija Enable en el men Service para configurar el daemon DHCP para el inicio automtico cuando se inicie el sistema. El servicio DHCP se inicia automticamente cuando se habilita.
Elija Disable en el men Service para evitar que el daemon DHCP se inicie automticamente cuando se inicie el sistema. El servicio DHCP se detiene inmediatamente cuando est inhabilitado.
359
Convirtase en superusuario o asuma un rol o nombre de usuario asignado al perfil de administracin de DHCP. Para obtener ms informacin acerca del perfil de administracin de DHCP, consulte Configuracin del acceso de usuario a los comandos de DHCP en la pgina 357. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
dhcpconfig -S -e
dhcpconfig -S -d
Iniciar el servicio Ninguna de DHCP slo para la sesin actual Detener el servicio de DHCP para la sesin actual Ninguna
360
(Continuacin)
dhcpconfig -S -r
Habilita o inhabilita el registro, y selecciona una utilidad syslog para utilizar para el registro de transacciones DHCP.
Cmo generar mensajes de registro DHCP detallados (Administrador de DHCP) en la pgina 365 Cmo generar mensajes de registro DHCP detallados (lnea de comandos) en la pgina 365 Cmo habilitar e inhabilitar el registro de transacciones DHCP (Administrador de DHCP) en la pgina 366 Cmo habilitar e inhabilitar el registro de transacciones DHCP (lnea de comandos) en la pgina 367 Cmo registrar transacciones DHCP en un archivo syslog independiente en la pgina 367
Habilita o inhabilita la funcin del Cmo activar la actualizacin de DNS dinmica para servidor de agregar entradas de DNS los clientes DHCP en la pgina 369 dinmicamente para los clientes que proporcionan un nombre de host. Determina el tiempo mximo que debe dedicar el servidor a intentar actualizar el DNS.
361
Tarea
Descripcin
Habilita o inhabilita la posibilidad del servidor DHCP de determinar si una direccin IP no est siendo utilizada antes de ofrecer la direccin a un cliente.
Cmo personalizar las opciones de rendimiento DHCP (Administrador de DHCP) en la pgina 372 Cmo personalizar las opciones de rendimiento DHCP (lnea de comandos) en la pgina 373 Cmo personalizar las opciones de rendimiento DHCP (Administrador de DHCP) en la pgina 372 Cmo personalizar las opciones de rendimiento DHCP (lnea de comandos) en la pgina 373 Cmo personalizar las opciones de rendimiento DHCP (Administrador de DHCP) en la pgina 372 Cmo personalizar las opciones de rendimiento DHCP (lnea de comandos) en la pgina 373 Cmo personalizar las opciones de rendimiento DHCP (Administrador de DHCP) en la pgina 372 Cmo personalizar las opciones de rendimiento DHCP (lnea de comandos) en la pgina 373
Cambiar las opciones para la lectura Habilita o inhabilita la lectura de informacin de configuracin del automtica de dhcptab a intervalos servidor DHCP. concretos, o cambia el intervalo entre lecturas. Cambiar el nmero de saltos del agente de reenvo. Aumenta o disminuye el nmero de redes que puede atravesar una solicitud antes de que el daemon DHCP la coloque. Aumenta o disminuye la cantidad de segundos durante los que el servicio DHCP reserva una direccin IP ofrecida antes de ofrecerla a un nuevo cliente.
La figura siguiente muestra el cuadro de dilogo Modify Service Options del Administrador de DHCP.
362
FIGURA 153
Mensajes de error, que indican las condiciones que impiden al servicio DHCP cumplir los requisitos de un cliente o usuario. Advertencias y avisos, que indican condiciones anmalas pero no impiden que el servicio DHCP cumpla una solicitud.
Puede aumentar la cantidad de informacin que se registra utilizando la opcin detallada del daemon DHCP. El resultado del mensaje detallado puede ayudarle a resolver problemas relativos a DHCP. Consulte Cmo generar mensajes de registro DHCP detallados (Administrador de DHCP) en la pgina 365.
363
Otra tcnica de resolucin de problemas til es el registro de transacciones. Las transacciones proporcionan informacin sobre cualquier intercambio entre un servidor DHCP y reenvo de BOOTP y los clientes. Las transacciones DHCP incluyen los siguientes tipos de mensajes:
ASSIGN: asignacin de direccin IP ACK: el servidor reconoce que el cliente acepta la direccin IP ofrecida, y enva los parmetros de configuracin EXTEND: ampliacin del permiso RELEASE: liberacin de direccin IP DECLINE: el cliente rechaza la asignacin de direccin INFORM: el cliente solicita parmetros de configuracin de red pero no una direccin IP NAK: el servidor no reconoce la solicitud de un cliente para utilizar una direccin IP utilizada previamente ICMP_ECHO: el servidor detecta que la direccin IP potencial est siendo utilizada por otro host
RELAY-CLNT: el mensaje se reenva del cliente DHCP a un servidor DHCP RELAYSRVR: el mensaje se reenva del servidor DHCP al cliente DHCP
El registro de transacciones DHCP est inhabilitado de modo predeterminado. Si est activado, el registro de transacciones DHCP utiliza la utilidad local0 de syslog de modo predeterminado. Los mensajes de transacciones DHCP se generan con un nivel de gravedad de syslog de notice. Este nivel de seguridad hace que las transacciones DHCP se registren en el archivo en el que se registran otros avisos del sistema. Sin embargo, dado que se utiliza la utilidad local, los mensajes de transacciones DHCP se pueden registrar por separado de otros avisos. Para registrar los mensajes de transacciones por separado, debe editar el archivo syslog.conf para especificar un archivo de registro distinto. Consulte la pgina de comando man syslog.conf(4) para obtener ms informacin sobre el archivo syslog.conf. Puede habilitar o inhabilitar el registro de transacciones, y especificar una utilidad syslog diferente, desde local0 hasta local7, tal como se describe en Cmo habilitar e inhabilitar el registro de transacciones DHCP (Administrador de DHCP) en la pgina 366. En el archivo syslog.conf del sistema del servidor, tambin puede indicar a syslogd que almacene los mensajes de transacciones DHCP en un archivo separado. Consulte Cmo registrar transacciones DHCP en un archivo syslog independiente en la pgina 367 para obtener ms informacin.
364
2 3
Seleccione Verbose Log Messages. Seleccione Restart Server. La opcin Restart Server se encuentra en la parte inferior del cuadro de dilogo.
Haga clic en Aceptar. El daemon se ejecuta en modo detallado para esta sesin y cada sesin subsiguiente hasta que se restablece esta opcin. El modo detallado puede reducir la eficacia del daemon debido al tiempo que necesita para mostrar los mensajes.
La prxima vez que se inicie el servidor DHCP, se ejecutar en modo detallado hasta que se desactive dicho modo. Para desactivar el modo detallado, escriba el comando siguiente:
# /usr/sbin/dhcpconfig -P VERBOSE=
Captulo 15 Administracin de DHCP (tareas) 365
Este comando configura la palabra clave VERBOSE con ningn valor, lo que hace que se elimine la palabra clave del archivo de configuracin del servidor. El modo detallado puede reducir la eficacia del daemon debido al tiempo que necesita para mostrar los mensajes.
En el Administrador de DHCP, elija Modify en el men Service. Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 356 para obtener informacin sobre el Administrador de DHCP.
Seleccione Log Transactions to Syslog Facility. Para inhabilitar el registro de transacciones, anule la seleccin de esta opcin.
(Opcional) Seleccione una utilidad local de 0 a 7 para utilizar para el registro de transacciones DHCP. De modo predeterminado, las transacciones DHCP se registran en la ubicacin en la que se registran los avisos del sistema, que depende de la configuracin de syslogd. Si desea que las transacciones DHCP se registren en un archivo independiente de los dems avisos, del sistema, consulte Cmo registrar transacciones DHCP en un archivo syslog independiente en la pgina 367. El tamao de los archivos de mensajes puede aumentar rpidamente cuando est activado el registro de transacciones.
4 5
Seleccione Restart Server. Haga clic en Aceptar. El daemon registra las transacciones en la utilidad syslog seleccionada para esta sesin y cada sesin subsiguiente hasta que se inhabilita el registro.
366
syslog-local-facility es un nmero del 0 al 7. Si omite esta opcin, se utilizar 0. De modo predeterminado, las transacciones DHCP se registran en la ubicacin en la que se registran los avisos del sistema, que depende de la configuracin de syslogd. Si desea que las transacciones DHCP se registren en un archivo independiente de los dems avisos, del sistema, consulte Cmo registrar transacciones DHCP en un archivo syslog independiente en la pgina 367. El tamao de los archivos de mensajes puede aumentar rpidamente cuando est activado el registro de transacciones.
Edite el archivo /etc/syslog.conf en el sistema servidor para agregar una lnea con el formato siguiente:
localn.notice path-to-logfile
n es el nmero de utilidad de syslog especificado para el registro de transacciones, y ruta_archivo_registro es la ruta completa al archivo que se utilizar para registrar transacciones. Por ejemplo, puede agregar la lnea siguiente: local0.notice /var/log/dhcpsrvc Consulte la pgina de comando man syslog.conf(4) para obtener ms informacin sobre el archivo syslog.conf.
Habilitacin de las actualizaciones DNS dinmicas por parte del servidor DHCP
DNS proporciona servicios de nombre a direccin y de direccin a nombre para Internet. Una vez realizada una asignacin DNS, se puede alcanzar un sistema mediante su nombre de host o direccin IP. El sistema tambin se puede alcanzar desde fuera de su dominio. El servicio DHCP puede utilizar DNS de dos modos:
El servidor DHCP puede buscar el nombre de host asignado a una direccin IP que el servidor asigna al cliente. A continuacin, el servidor devuelve el nombre de host del cliente junto con el resto de informacin de configuracin del cliente. El servidor DHCP puede intentar realizar una asignacin de DNS en nombre de un cliente, si el servidor DHCP est configurado para actualizar DNS. El cliente puede proporcionar su propio nombre de host al solicitar el servicio DHCP. Si el servidor DHCP se configura para realizar actualizaciones de DNS, intenta actualizar el servidor DNS con el nombre de host sugerido del cliente. Si la actualizacin del DNS se realiza correctamente, el servidor DHCP devuelve el nombre de host solicitado al cliente. Si la actualizacin de DNS no se lleva a cabo correctamente, el servidor DHCP devuelve un nombre de host distinto al cliente.
Puede configurar el servicio DHCP para que actualice el servicio DNS para los clientes DHCP que proporcionen sus propios nombres de host. Para que funcione la actualizacin de DNS, el servidor DNS, el servidor DHCP y el cliente DHCP deben estar configurados correctamente. Asimismo, el nombre de host solicitado no debe estar en uso por otro sistema del dominio. La funcin de actualizacin de DNS del servidor DHCP funciona si se cumplen las siguientes condiciones:
El servidor DNS es compatible con RFC 2136. El software DNS se basa en BIND v8.2.2, nivel de parche 5 o posterior, tanto si se encuentra en el sistema servidor DHCP como en el sistema servidor DNS.
368
El servidor DNS se configura para aceptar las actualizaciones de DNS dinmicas del servidor DHCP. El servidor DHCP se configura para llevar a cabo actualizaciones de DNS dinmicas. La compatibilidad con DNS se configura para la red del cliente DHCP en el servidor DHCP. El cliente DHCP se configura para proporcionar un nombre de host solicitado en su mensaje de solicitud de DHCP. El nombre de host solicitado corresponde a una direccin que pertenece a DHCP. El nombre de host podra no tener ninguna direccin correspondiente.
De modo predeterminado, el daemon Oracle Solaris DNS (in.named) no permite actualizaciones dinmicas. La autorizacin para las actualizaciones de DNS dinmicas se concede en el archivo de configuracin named.conf del sistema de servidor de DNS. No se proporciona ninguna seguridad adicional. Debe considerar detenidamente la conveniencia de esta utilidad para los usuarios teniendo en cuenta el riesgo que plantea la habilitacin de actualizaciones de DNS dinmicas.
1 2 3
En el servidor DNS, edite el archivo /etc/named.conf como superusuario. Busque la seccin zone para el dominio adecuado en el archivo named.conf. Agregue las direcciones IP del servidor DHCP a la palabra clave allow-update. Si la palabra clave allow-update no existe, insrtela. Por ejemplo, si el servidor DHCP se encuentra en las direcciones 10.0.0.1 y 10.0.0.2, el archivo named.conf de la zona dhcp.domain.com debe modificarse del siguiente modo:
zone "dhcp.domain.com" in { type master; file "db.dhcp"; allow-update { 10.0.0.1; 10.0.0.2; }; }; zone "10.IN-ADDR.ARPA" in { type master; file "db.10"; allow-update { 10.0.0.1; 10.0.0.2; }; };
Tenga en cuenta que allow-update para ambas zonas debe estar habilitado para permitir al servidor DHCP actualizar tanto los registros A como PTR en el servidor DNS.
Captulo 15 Administracin de DHCP (tareas) 369
Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 356 para obtener informacin ms detallada.
5
Elija Modify en el men Service. Se abrir el cuadro de dilogo Modify Service Options. Seleccione Update DNS Host Information Upon Client Request. Especifique el nmero de segundos que debe esperar una respuesta del servidor DNS antes de desconectar y haga clic en OK. El valor predeterminado de 15 segundos debe ser suficiente. Si tiene problemas con el tiempo de espera, puede aumentar el valor ms adelante. Haga clic en la ficha Macros y asegrese de especificar el dominio DNS correcto. La opcin DNSdmain debe transferirse con el nombre de dominio correcto a cualquier cliente que requiera asistencia dinmica para la actualizacin de DNS. De modo predeterminado, DNSdmain se especifica en la macro del servidor, que se utiliza como la macro de configuracin vinculada a cada direccin IP. Configure el cliente DHCP para especificar su nombre de host cuando solicite el servicio DHCP. Si utiliza el cliente DHCP de Oracle Solaris, consulte Cmo activar un cliente DHCPv4 de Oracle Solaris para que solicite un nombre de host especfico en la pgina 451. Si su cliente no es un cliente DHCP de Oracle Solaris consulte la documentacin pertinente para obtener informacin sobre cmo especificar un nombre de host.
6 7
servidor DNS y el servidor DHCP se ejecutan en el mismo sistema. Si un cliente DHCP proporciona su nombre de host y el servidor DNS est configurado para permitir las actualizaciones dinmicas del servidor DHCP, el servidor DHCP puede actualizar DNS en nombre del cliente. Las actualizaciones dinmicas se pueden realizar aunque los
370 Gua de administracin del sistema: servicios IP Septiembre de 2010
servidores de DNS y DHCP se ejecuten en distintos sistemas. Consulte Habilitacin de las actualizaciones DNS dinmicas por parte del servidor DHCP en la pgina 368 para obtener ms informacin sobre la habilitacin de esta funcin. La tabla siguiente resume el registro de nombres de host de cliente para los sistemas cliente DHCP con los distintos servicios de nombres.
TABLA 152
Servicio de nombres
Herramientas de DHCP, si el servidor Servidor DHCP, si se configura para las DNS se ejecuta en el mismo sistema que el actualizaciones de DNS dinmicas servidor DHCP Administrador de DNS, si el servidor Administrador de DNS, si el servidor DHCP no est configurado para las DNS se ejecuta en un sistema diferente actualizaciones de DNS dinmicas
Los clientes DHCP de Oracle Solaris pueden solicitar nombres de host especficos en las solicitudes DHCP si estn configurados para hacerlo de acuerdo con lo descrito en Cmo activar un cliente DHCPv4 de Oracle Solaris para que solicite un nombre de host especfico en la pgina 451. Consulte la documentacin del proveedor para los dems clientes DHCP con el fin de averiguar si se admite esta posibilidad.
371
TABLA 153
Opcin de servidor
Nmero mximo de saltos de Si una solicitud ha pasado por ms de un nmero especfico de RELAY_HOPS=entero agentes de reenvo BOOTP agentes de reenvo BOOTP, la solicitud se soltar. El nmero mximo predeterminado de saltos de agentes de reenvo es cuatro. Este nmero normalmente es suficiente para la mayora de las redes. Es posible que una red necesite ms de cuatro saltos si las solicitudes DHCP pasan por varios agentes de reenvo BOOTP antes de alcanzar un servidor DHCP. Detectar direcciones duplicadas De modo predeterminado, el servidor establece una conexin ping con una direccin IP antes de ofrecer la direccin a un cliente. Si no hay respuesta para la conexin ping, se verifica que la direccin no est en uso. Puede inhabilitar esta funcin para reducir el tiempo que necesita el servidor para realizar una oferta. Sin embargo, al inhabilitar la funcin existe el riesgo de utilizar direcciones IP duplicadas. ICMP_VERIFY=TRUE/FALSE
RESCAN_INTERVAL=min El servidor se puede configurar para leer automticamente dhcptab en el intervalo especificado en minutos. Si la informacin de configuracin de red no cambia con frecuencia y no tiene mltiples servidores DHCP, no es necesario volver a cargar dhcptab automticamente. Asimismo, el Administrador de DHCP ofrece la opcin de que el servidor vuelva a cargar dhcptab tras haber realizado cambios en los datos. Despus de que un servidor ofrezca una direccin IP a un OFFER_CACHE_TIMEOUT=seg cliente, la oferta se almacena en la memoria cach. Mientras la oferta se encuentre en la memoria cach, el servidor no volver a ofrecer la direccin. Puede cambiar el nmero de segundos durante el que se almacena la oferta en la memoria cach. El valor predeterminado es de 10 segundos. En redes ms lentas, es posible que tenga que aumentar el tiempo de oferta.
372
Cambie las opciones que desee. Para obtener informacin sobre las opciones, consulte la Tabla 153.
3 4
Convirtase en superusuario o asuma un rol o nombre de usuario asignado al perfil de administracin de DHCP. Para obtener ms informacin acerca del perfil de administracin de DHCP, consulte Configuracin del acceso de usuario a los comandos de DHCP en la pgina 357. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
palabra_clave=valor puede ser cualquiera de las siguientes palabras clave: RELAY_HOPS=entero Especifica el nmero mximo de saltos de agentes de reenvo que puede tener lugar antes de que el daemon suelte el datagrama DHCP o BOOTP. Habilita o inhabilita la deteccin automtica de direcciones IP duplicadas. No se recomienda configurar esta palabra clave como FALSE. Especifica el intervalo en minutos que el servidor DHCP debe utilizar para planificar la relectura automtica de la informacin de dhcptab. Especifica la cantidad de segundos que el servidor DHCP debe almacenar en cach las ofertas que se extienden al descubrimiento de clientes DHCP. El valor predeterminado es de 10 segundos.
ICMP_VERIFY=TRUE/FALSE
RESCAN_INTERVAL=minutos
OFFER_CACHE_TIMEOUT=segundos
373
Ejemplo 151
Activar o desactivar el servicio El comportamiento predeterminado es Cmo especificar interfaces de red para la DHCP en las interfaces de red supervisar todas las interfaces de red para las supervisin de DHCP (Administrador de DHCP) del servidor solicitudes DHCP. Si no desea que todas las en la pgina 376 interfaces acepten solicitudes DHCP, puede eliminar una interfaz de la lista de interfaces supervisadas. Agregar una nueva red al servicio DHCP. Coloca una red en la administracin de Como agregar una red DHCP (Administrador de DHCP para administrar las direcciones IP de DHCP) en la pgina 378 la red. Cmo agregar una red DHCP (dhcpconfig) en la pgina 379 Modifica la informacin que se pasa a los clientes de una red especfica. Cmo modificar la configuracin de una red DHCP (Administrador de DHCP) en la pgina 380 Cmo modificar la configuracin de una red DHCP (dhtadm) en la pgina 381 Eliminar una red del servicio DHCP. Elimina una red para que DHCP deje de administrar las direcciones IP de la red. Cmo eliminar una red DHCP (Administrador de DHCP) en la pgina 383 Cmo eliminar una red DHCP (pntadm) en la pgina 383
374
FIGURA 154
Ficha Interfaces del cuadro de dilogo Modify Service Options del Administrador de DHCP
375
2 3 4
Seleccione la ficha Interfaces. Seleccione la interfaz de red adecuada. Haga clic en los botones de flechas para mover la interfaz a la lista adecuada. Por ejemplo, para omitir una interfaz, seleccinela en la lista Monitored Interfaces y, a continuacin, haga clic en el botn de flecha derecha. La interfaz se muestra en la lista Ignored Interfaces. Seleccione Restart Server y haga clic en Aceptar. Los cambios que realice persistirn tras los reinicios.
int, int,... es una lista de interfaces que supervisar. Los nombres de interfaz deben separarse con comas. Por ejemplo, debe utilizar el siguiente comando para supervisar slo ge0 y ge1:
#/usr/sbin/dhcpconfig -P INTERFACES=ge0,ge1
376 Gua de administracin del sistema: servicios IP Septiembre de 2010
Las interfaces que desea omitir deben omitirse de la lnea de comandos dhcpconfig. Los cambios realizados con este comando persistirn tras los reinicios.
FIGURA 155
377
Al configurar una nueva red, el Administrador de DHCP crea los componentes siguientes:
Una tabla de red en el almacn de datos. La nueva red se muestra en la lista de red de la ficha Addresses del Administrador de DHCP. Una macro de red que contiene la informacin que necesitan los clientes que residen en esta red. El nombre de la macro de red coincide con la direccin IP de la red. La macro de red se agrega a la tabla dhcptab del almacn de datos.
2 3
Elija Network Wizard en el men Edit. Seleccione las opciones o escriba la informacin necesaria. Utilice las decisiones que tom durante la fase de planificacin para determinar la informacin que se debe especificar. La planificacin se describe en Planificacin de la configuracin DHCP de las redes remotas en la pgina 338. Si tiene problemas con el uso del asistente, haga clic en Help en la ventana del asistente. El navegador Web muestra ayuda para el asistente Network Wizard de DHCP.
Haga clic en Finish para completar la configuracin de la red cuando haya terminado de especificar la informacin solicitada. El asistente Network Wizard crea una tabla de red vaca, que aparece en el panel izquierdo de la ventana. El asistente Network Wizard tambin crea una macro de red cuyo nombre coincide con la direccin IP de la red.
(Opcional) Seleccione la ficha Macros y la macro de red para visualizar el contenido de la macro. Puede confirmar que la informacin proporcionada en el asistente se ha insertado como valores para las opciones de la macro de red.
Vase tambin
Debe agregar direcciones para la red para poder administrar las direcciones IP de la red en DHCP. Consulte Cmo agregar direcciones IP al servicio DHCP en la pgina 391 para obtener ms informacin.
Gua de administracin del sistema: servicios IP Septiembre de 2010
378
Si deja vaca la tabla de red, el servidor DHCP puede seguir proporcionando informacin de configuracin a los clientes. Consulte Configuracin de clientes DHCP slo para recibir informacin (mapa de tareas) en la pgina 426 para obtener ms informacin.
direccin_red es la direccin IP de la red que desea agregar al servicio DHCP. Consulte la pgina del comando man dhcpconfig(1M) para conocer las subopciones que puede utilizar con la opcin -N. Si no utiliza las subopciones, dhcpconfig utiliza los archivos de red para obtener informacin sobre la red.
Vase tambin
Debe agregar direcciones para la red para poder administrar las direcciones IP de la red en DHCP. Consulte Cmo agregar direcciones IP al servicio DHCP en la pgina 391 para obtener ms informacin. Si deja vaca la tabla de red, el servidor DHCP puede seguir proporcionando informacin de configuracin a los clientes. Consulte Configuracin de clientes DHCP slo para recibir informacin (mapa de tareas) en la pgina 426 para obtener ms informacin.
379
FIGURA 156
Seleccione la macro de red cuyo nombre coincida con la configuracin de red que est modificando. El nombre de la macro de red es la direccin IP de red.
Elija Properties en el men Edit. El cuadro de dilogo Macro Properties muestra una tabla con las opciones que incluye la macro.
Seleccione la opcin que desea modificar. El nombre de opcin y su valor se muestran en los campos de texto en la parte superior del cuadro de dilogo.
380
(Opcional) Modifique el nombre de opcin o elija el botn Select para mostrar una lista con los nombres de opciones. El cuadro de dilogo Select Option incluye una lista de todas las opciones estndar de DHCP y una breve descripcin de cada opcin. (Opcional) Seleccione un nombre de opcin en el cuadro de dilogo Select Option y haga clic en OK. El nuevo nombre de opcin se muestra en el campo Option Name. Escriba el nuevo valor para la opcin y haga clic en Modify. (Opcional) Tambin puede agregar opciones a la macro de red eligiendo Select en el cuadro de dilogo. Consulte Modificacin de macros DHCP en la pgina 406 para obtener ms informacin general acerca de la modificacin de macros. Seleccione Notify DHCP Server of Change y haga clic en OK. Esta seleccin indica al servidor DHCP que debe volver a leer la tabla dhcptab para aplicar el cambio inmediatamente despus de hacer clic en OK.
7 8
Determine qu macro incluye informacin para todos los clientes de la red. El nombre de la macro de red coincide con la direccin IP de la red. Si no sabe qu macro incluye esta informacin, puede visualizar la tabla dhcptab para ver todas las macros utilizando el comando dhtadm -P.
Escriba un comando con el formato siguiente para cambiar el valor de la opcin que desee cambiar:
# dhtadm -M -m macro-name -e symbol=value -g
Captulo 15 Administracin de DHCP (tareas) 381
Consulte la pgina del comando man dhtadm(1M) para obtener informacin sobre las opciones de lnea de comandos dhtadm.
Ejemplo 152
FIGURA 157
El comando pntadm requiere la eliminacin de cada entrada de direccin IP de una red antes de eliminar dicha red. No puede eliminar ms de una red a la vez.
382
Elija Delete Networks en el men Edit. Se abrir el cuadro de dilogo Delete Networks.
En la lista Keep Networks, seleccione las redes que desee eliminar. Pulse la tecla Control mientras hace clic con el ratn para seleccionar varias redes. Pulse la tecla Mays mientras hace clic para seleccionar un intervalo de redes.
Haga clic en el botn de flecha derecha para mover las redes seleccionadas a la lista Delete Networks. Si desea eliminar las entradas de tabla host para estas direcciones DHCP de la red, seleccione Delete Host Table Entries. Tenga en cuenta que al eliminar las entradas de tabla host no se eliminan los registros host del servidor DNS para estas direcciones. Las entradas slo se eliminan en el servicio de nombres local.
Convirtase en superusuario o asuma un rol o nombre de usuario asignado al perfil de administracin de DHCP. Para obtener ms informacin acerca del perfil de administracin de DHCP, consulte Configuracin del acceso de usuario a los comandos de DHCP en la pgina 357. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Captulo 15 Administracin de DHCP (tareas) 383
Escriba un comando con el siguiente formato para eliminar una direccin IP y su nombre de host del servicio de nombres:
# pntadm -D -y IP-address
Por ejemplo, para eliminar la direccin IP 10.25.52.1, debe escribir el comando siguiente: # pntadm -D -y 10.25.52.1 La opcin -y especifica que se debe eliminar el nombre de host.
3
Repita el comando pntadm -D -y para cada direccin de la red. Puede crear una secuencia para ejecutar el comando pntadm si necesita borrar mltiples direcciones.
Una vez eliminadas todas las direcciones, escriba el comando siguiente para eliminar la red del servicio DHCP.
# pntadm -R network-IP-address
Por ejemplo, para eliminar la red 10.25.52.0, debe escribir el comando siguiente: # pntadm -R 10.25.52.0 Consulte la pgina del comando man pntadm(1M) para obtener ms informacin sobre la utilidad pntadm.
La tabla siguiente describe tareas que podran ser necesarias para la compatibilidad con clientes BOOTP. El mapa de tareas contiene vnculos a los procedimientos que se utilizan para llevar a cabo las tareas.
384
Tarea
Descripcin
Configurar compatibilidad automtica con Proporciona la direccin IP para cualquier BOOTP. cliente BOOTP de una red administrada por DHCP, o en una red conectada mediante un agente de reenvo a una red administrada por DHCP. Debe reservar una agrupacin de direcciones para uso exclusivo de los clientes BOOTP. Esta opcin podra ser ms til si el servidor debe admitir una gran cantidad de clientes BOOTP. Configurar compatibilidad manual con BOOTP.
Cmo configurar la compatibilidad de cualquier cliente BOOTP (Administrador de DHCP) en la pgina 385
Proporciona una direccin IP slo para los Cmo configurar la compatibilidad de los clientes BOOTP que se han registrado clientes BOOTP registrados manualmente con el servicio DHCP. (Administrador de DHCP) en la pgina 386 Esta opcin hace preciso vincular el ID de un cliente a una direccin IP especfica que se ha marcado para los clientes BOOTP. Esta opcin resulta til para un nmero reducido de clientes BOOTP o cuando se desea limitar la cantidad de clientes BOOTP que pueden utilizar el servidor DHCP.
2 3 4 5
En la seccin BOOTP Compatibility del cuadro de dilogo, seleccione Automatic. Seleccione Restart Server y haga clic en Aceptar. Seleccione la ficha Addresses. Seleccione las direcciones que desee reservar para los clientes BOOTP. Seleccione un intervalo de direcciones haciendo clic en la primera direccin, pulsando la tecla Mays y haciendo clic en la ltima direccin. Seleccione varias direcciones no simultneas pulsando la tecla Control mientras hace clic en cada direccin.
Captulo 15 Administracin de DHCP (tareas) 385
Seleccione Properties en el men Edit. Se abrir el cuadro de dilogo Modify Multiple Addresses.
En la seccin BOOTP, seleccione Assign All Addresses Only to BOOTP Clients. Las opciones restantes se deben configurar como Keep Current Settings.
Haga clic en Aceptar. Ahora cualquier cliente BOOTP podr obtener una direccin de este servidor DHCP.
2 3 4 5 6
En la seccin BOOTP Compatibility del cuadro de dilogo, seleccione Manual. Seleccione Restart Server y haga clic en Aceptar. Seleccione la ficha Addresses. Seleccione una direccin que desee asignar a un cliente BOOTP concreto. Elija Properties en el men Edit. Se abrir el cuadro de dilogo Address Properties.
7 8
En el cuadro de dilogo Address Properties, seleccione la ficha Lease. En el campo Client ID, escriba el identificador del cliente. Para un cliente BOOTP de &ProductBase en una red Ethernet, el ID de cliente es una cadena que se obtiene de la direccin Ethernet hexadecimal del cliente. El ID de cliente incluye un prefijo que indica el tipo de protocolo de resolucin de direcciones (ARP) para Ethernet (01). Por ejemplo, un cliente BOOTP con la direccin Ethernet 8:0:20:94:12:1e utilizara el ID de cliente 0108002094121E .
386
Seleccione Reserved para reservar la direccin IP para este cliente. Seleccione Assign Only to BOOTP Clients y haga clic en OK. En la ficha Addresses, BOOTP se muestra en el campo Status y el ID de cliente especificado aparece en el campo Client ID.
El siguiente mapa de tareas enumera las tareas que se deben llevar a cabo para agregar, modificar o eliminar direcciones IP. El mapa de tareas tambin contiene vnculos a los procedimientos utilizados para llevar a cabo las tareas.
Tarea Descripcin Para obtener instrucciones
Agrega direcciones IP en las redes que ya administra el servicio DHCP utilizando el Administrador de DHCP.
Cmo agregar una nica direccin IP (Administrador de DHCP) en la pgina 393 Cmo duplicar una direccin IP existente (Administrador de DHCP) en la pgina 393 Cmo agregar varias direcciones IP (Administrador de DHCP) en la pgina 394 Cmo agregar direcciones IP (pntadm ) en la pgina 394
387
Tarea
Descripcin
Cmo modificar las propiedades de direcciones IP (Administrador de DHCP) en la pgina 396 Cmo modificar las propiedades de direcciones IP (pntadm) en la pgina 397
Eliminar direcciones IP del servicio DHCP. Evita que DHCP utilice las direcciones IP especificadas.
Cmo marcar direcciones IP como no utilizables (Administrador de DHCP) en la pgina 398 Cmo marcar direcciones IP como inutilizables (pntadm) en la pgina 399 Cmo eliminar direcciones IP del servicio DHCP (Administrador de DHCP) en la pgina 400 Cmo eliminar direcciones IP del servicio DHCP (pntadm) en la pgina 400
Configura un cliente para recibir la misma direccin IP cada vez que el cliente solicita su configuracin.
Cmo asignar una direccin IP coherente a un cliente DHCP (Administrador de DHCP) en la pgina 402 Cmo asignar una direccin IP coherente a un cliente DHCP (pntadm) en la pgina 403
Propiedades de direcciones IP
Descripcin Cmo especificar en el comando pntadm
Direccin de red
La direccin de la red que contiene la direccin IP con la que se est trabajando. La direccin de red se muestra en la lista Networks de la ficha Addresses del Administrador de DHCP.
La direccin de red debe ser el ltimo argumento de la lnea de comandos pntadm que se ha utilizado para crear, modificar o eliminar una direccin IP. Por ejemplo, para agregar una direccin IP a la red 10.21.0.0, escriba: pntadm -A opciones direccin_IP 10.21.0.0
Direccin IP
La direccin con la que trabaja, tanto si est creando, modificando o eliminando la direccin. La direccin IP se muestra en la primera columna de la ficha Addresses del Administrador de DHCP.
La direccin IP debe acompaar a las opciones -A, -M y -D del comando pntadm. Por ejemplo, para modificar la direccin IP 10.21.5.12, escriba: pntadm -M 10.21.5.12 opciones 10.21.0.0
388
Propiedades de direcciones IP
Descripcin
(Continuacin)
Cmo especificar en el comando pntadm
El nombre de host asignado a la direccin IP de la tabla de hosts. El Administrador de DHCP puede generar automticamente este nombre cuando se crean las direcciones. Si crea una sola direccin, puede facilitar el nombre.
Especifique el nombre de cliente con la opcin -h. Por ejemplo, para especificar el nombre de cliente carrot12 para 10.21.5.12, escriba: pntadm -M 10.21.5.12 -h carrot12 10.21.0.0
Propiedad de un servidor
El servidor DHCP que administra la direccin Especifique el nombre de servidor propietario con la opcin -s. IP y responde a la solicitud del cliente DHCP Por ejemplo, para especificar el servidor blue2 para que sea de una asignacin de direccin IP. propietario de 10.21.5.12 , escriba: pntadm -M 10.21.5.12 -s blue2 10.21.0.0
Macro de configuracin
La macro que utiliza el servidor DHCP para obtener las opciones de configuracin de red de la tabla dhcptab. Cuando se configura un servidor y se agregan redes se crean automticamente varias macros. Consulte Macros DHCP en la pgina 321 si desea ms informacin sobre las macros. Cuando se crean direcciones, tambin se crea una macro de servidor. La macro de servidor se asigna como macro de configuracin para cada direccin.
Especifique el nombre de macro con la opcin -m. Por ejemplo, para asignar la macro de servidor blue2 a la direccin 10.21.5.12, escriba: pntadm -M 10.21.5.12 -m blue2 10.21.0.0
ID de cliente
Cadena de texto que es exclusiva en el servicio Especifique el ID de cliente con la opcin -i. DHCP. Por ejemplo, para asignar el ID de cliente 08002094121E a la Si el ID de cliente aparece como 00, la direccin 10.21.5.12, escriba: direccin no est asignada a ningn cliente. Si pntadm -M 10.21.5.12 -i 0108002094121E 10.21.0.0 especifica un ID de cliente al modificar las propiedades de una direccin IP, la direccin est vinculada exclusivamente a ese cliente. El fabricante del cliente DHCP determina el ID del cliente. Si el cliente no es un cliente DHCP de Oracle Solaris, consulte la documentacin del cliente DHCP para obtener ms informacin.
389
Propiedades de direcciones IP
Descripcin
(Continuacin)
Cmo especificar en el comando pntadm
Para clientes DHCP de Oracle Solaris, el ID de cliente se obtiene de la direccin de hardware hexadecimal del cliente. El ID de cliente incluye un prefijo que representa el cdigo ARP para el tipo de red, como 01 para Ethernet. Los cdigos ARP los asigna la Autoridad de nmeros asignados de Internet (IANA) en la seccin ARP Parameters del estndar Assigned Numbers en http://www.iana.com/numbers.html Por ejemplo, un cliente de Oracle Solaris con la direccin Ethernet hexadecimal 8:0:20:94:12:1e utiliza el ID de cliente 0108002094121E. El ID de cliente aparece en el Administrador de DHCP y pntadm cuando un cliente esta utilizando una direccin. Sugerencia: Como superusuario de un sistema cliente de Oracle Solaris, escriba el comando siguiente para obtener la direccin Ethernet para la interfaz: ifconfig -a Reservado Parmetro que especifica que la direccin est reservada exclusivamente para el cliente indicado por el ID de cliente, y que el servidor DHCP no puede solicitar la direccin. Si elige esta opcin, la direccin se asigna manualmente al cliente. Parmetro que determina el modo en que DHCP administra el uso que hacen los clientes de las direcciones IP. Un permiso puede ser dinmico o permanente. Consulte Tipos de permiso dinmico y permanente en la pgina 336 para obtener una descripcin ms detallada al respecto. La fecha en que caduca el permiso, slo aplicable cuando se especifica un permiso dinmico. La fecha se especifica con el formato mm/dd/aaaa. Especifique que la direccin est reservada, o se asigna manualmente, con la opcin -f. Por ejemplo, para especificar que la direccin IP 10.21.5.12 est reservada para un cliente, escriba: pntadm -M 10.21.5.12 -f MANUAL 10.21.0.0 Especifique que la direccin est asignada permanentemente con la opcin -f. De modo predeterminado, las direcciones obtienen permisos dinmicamente. Por ejemplo, para especificar que la direccin IP 10.21.5.12 tiene un permiso permanente, escriba: pntadm -M 10.21.5.12 -f PERMANENT 10.21.0.0 Especifique una fecha de caducidad del permiso con la opcin -e. Por ejemplo, para especificar la fecha de caducidad 1 de enero de 2006, debe escribir: pntadm -M 10.21.5.12 -e 01/01/2006 10.21.0.0
390
Propiedades de direcciones IP
Descripcin
(Continuacin)
Cmo especificar en el comando pntadm
Parmetro BOOTP
Parmetro que marca la direccin como reservada para los clientes BOOTP. Consulte Clientes BOOTP con el servicio DHCP (mapa de tareas) en la pgina 384 para obtener ms informacin sobre la compatibilidad con clientes BOOTP. Parmetro que marca la direccin para impedir que se asigne a cualquier cliente.
Reserve una direccin para los clientes BOOTP con la opcin -f. Por ejemplo, para reservar la direccin IP 10.21.5.12 para los clientes BOOTP, debe escribir: pntadm -M 10.21.5.12 -f BOOTP 10.21.0.0 Marque una direccin como inutilizable con la opcin -f. Por ejemplo, para marcar la direccin IP 10.21.5.12 como inutilizable, escriba: pntadm -M 10.21.5.12 -f UNUSABLE 10.21.0.0
Parmetro inutilizable
Agregue una nica direccin IP: coloque una nueva direccin IP en la administracin de DHCP. Duplique una direccin IP existente: copie las propiedades de una direccin IP existente administrada por DHCP y proporciona una direccin IP y un nombre de cliente nuevos. Agregue un intervalo de mltiples direcciones IP: utilice el asistente Address Wizard para colocar una serie de direcciones IP en la administracin de DHCP.
La siguiente figura muestra el cuadro de dilogo Create Address. El cuadro de dilogo Duplicate Address es idntico al cuadro de dilogo Create Address, excepto en que los campos de texto muestran los valores para una direccin existente.
391
FIGURA 158
La figura siguiente muestra el primer cuadro de dilogo del asistente Add Addresses to Network, que permite agregar un intervalo de direcciones IP.
FIGURA 159
392
2 3
2 3 4 5 6
2 3
Consulte la pgina del comando man pntadm(1M) para ver una lista de las opciones que puede utilizar con pntadm -A. Adems, la Tabla 154 incluye algunos ejemplos de comandos pntadm que especifican opciones.
Nota Puede escribir una secuencia para agregar varias direcciones con pntadm. Consulte el
394
FIGURA 1510
La figura siguiente muestra el cuadro de dilogo Modify Multiple Addresses que se utiliza para modificar mltiples direcciones IP.
395
FIGURA 1511
2 3
Seleccione la red de la direccin IP. Seleccione una o ms direcciones IP que modificar. Si desea modificar ms de una direccin, pulse la tecla Control mientras hace clic para seleccionar varias direcciones. Tambin puede pulsar la tecla Mays mientras hace clic para seleccionar un bloque de direcciones.
Elija Properties en el men Edit. Se abrir el cuadro de dilogo Address Properties o Modify Multiple Address.
396
Cambie las propiedades que desee. Haga clic en el botn Help o consulte la Tabla 154 para obtener informacin sobre las propiedades.
Muchas opciones pueden utilizarse con el comando pntadm, que se describe en la pgina del comando man pntadm(1M). La Tabla 154 incluye algunos ejemplos de comandos pntadm que especifican opciones.
Para impedir temporalmente el uso de direcciones, puede marcarlas como inutilizables en el cuadro de dilogo Address Properties, tal como se describe en Cmo marcar direcciones IP como inutilizables para el servicio DHCP en la pgina 398. Para impedir permanentemente que los clientes DHCP utilicen direcciones, elimine las direcciones de las tablas de red DHCP, tal como se describe en Eliminacin de direcciones IP del servicio DHCP en la pgina 399.
397
2 3
Seleccione la red de la direccin IP. Seleccione una o ms direcciones IP para marcar como inutilizables. Si desea marcar ms de una direccin como inutilizable, pulse la tecla Control mientras hace clic para seleccionar varias direcciones. Tambin puede pulsar la tecla Mays mientras hace clic para seleccionar un bloque de direcciones.
Elija Properties en el men Edit. Se abrir el cuadro de dilogo Address Properties o Modify Multiple Address.
5 6
Si est modificando una direccin, seleccione la ficha Lease. Seleccione Address is Unusable. Si est editando mltiples direcciones, seleccione Mark All Addresses Unusable.
398
Por ejemplo, para marcar la direccin 10.64.3.3 como inutilizable, escriba: pntadm -M 10.64.3.3 -f UNUSABLE 10.64.3.0
FIGURA 1512
399
2 3
Si incluye la opcin -y, el nombre de host se elimina del servicio de nombres que mantiene el nombre de host.
400 Gua de administracin del sistema: servicios IP Septiembre de 2010
Por ejemplo, para eliminar la direccin 10.64.3.3 de la red 10.64.3.0, as como eliminar el nombre de host correspondiente, escriba: pntadm -D 10.64.3.3 -y 10.64.3.0
401
FIGURA 1513
2 3
Seleccione la red adecuada. Haga doble clic en la direccin IP que desea que utilice el cliente. Se abrir la ventana Address Properties.
4 5
Seleccione la ficha Lease. En el campo Client ID, escriba el ID de cliente. El ID De cliente se obtiene de la direccin de hardware del cliente. Consulte la entrada Client ID en la Tabla 154 para obtener ms informacin.
6 7
Seleccione la opcin Reserved par impedir que el servidor reclame la direccin IP. En el rea Lease Policy de la ventana, seleccione Dynamic assignment o Permanent assignment. Seleccione Dynamic si desea que el cliente negocio la renovacin de permisos, lo que permite controlar el uso de la direccin. Dado que ha seleccionado Reserved, la direccin no se puede reclamar aunque se asigne un permiso dinmico. No es necesario especificar una fecha de caducidad para este permiso. El servidor DHCP calcula la fecha de caducidad utilizando el tiempo de permiso.
402
Si selecciona Permanent, no puede controlar el uso de la direccin IP a menos que active el registro de transacciones.
8
Por ejemplo, para activar el cliente DHCP de Oracle Solaris cuya direccin MAC es 08:00:20:94:12:1E para que reciba siempre la direccin IP 10.21.5.12, escriba: pntadm -M 10.21.5.12 -i 0108002094121E -f MANUAL+BOOTP 10.21.0.0
Consejo Consulte la entrada Client ID en la Tabla 154 para obtener ms informacin sobre cmo determinar los identificadores de cliente.
Cuando se utilizan macros, debe conocer las opciones estndar de DHCP, que se describen en la pgina del comando man dhcp_inittab(4). El siguiente mapa de tareas enumera las tareas que permiten ver, crear, modificar y eliminar macros DHCP. El mapa tambin incluye vnculos a secciones que explican cmo realizar cada tarea.
Tarea Descripcin Para obtener instrucciones
Visualiza una lista de todas las macros Cmo visualizar las macros definidas en un servidor DHCP que se definen en el servidor DHCP. (Administrador de DHCP) en la pgina 405 Cmo ver las macros definidas en un servidor DHCP (dhtadm) en la pgina 406
Cmo crear una macro DHCP (Administrador de DHCP) en la pgina 411 Cmo crear una macro DHCP (dhtadm ) en la pgina 412
Cambiar las macros modificando las opciones existentes, agregando opciones a las macros o eliminando opciones de las macros.
Cmo cambiar los valores de las opciones en una macro DHCP (Administrador de DHCP) en la pgina 407 Cmo cambiar los valores de las opciones en una macro DHCP (dhtadm) en la pgina 408 Cmo agregar opciones a una macro DHCP (Administrador de DHCP) en la pgina 408 Cmo agregar opciones a una macro DHCP (dhtadm) en la pgina 409 Como eliminar opciones de una macro DHCP (Administrador de DHCP) en la pgina 410 Como eliminar opciones de una macro DHCP (dhtadm) en la pgina 410
Cmo eliminar una macro DHCP (Administrador de DHCP) en la pgina 413 Cmo eliminar una macro DHCP (dhtadm ) en la pgina 414
404
FIGURA 1514
Para abrir una carpeta de macro, haga clic en el icono identificador a la izquierda del icono de carpeta. Se enumeran las macros que se incluyen en la macro seleccionada.
Para ver el contenido de una macro, haga clic en su nombre. Se muestran las opciones y sus valores asignados.
405
Este comando imprime como resultado estndar el contenido con formato de la tabla dhcptab, incluidas todas las macros y los smbolos definidos en el servidor DHCP.
406
FIGURA 1515
Cmo cambiar los valores de las opciones en una macro DHCP (Administrador de DHCP)
En el Administrador de DHCP, seleccione la ficha Macros. Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 356 para obtener informacin sobre el Administrador de DHCP.
2 3
Seleccione la macro que desee cambiar. Elija Properties en el men Edit. Se abrir el cuadro de dilogo Macro Properties.
En la tabla de opciones, seleccione la opcin que desee modificar. El nombre de la opcin y su valor se muestran en los campos Option Name y Option Value.
5 6
En el campo Option Value, seleccione el valor antiguo y escriba el nuevo valor para la opcin. Haga clic en Modify. El nuevo valor se muestra en la tabla de opciones.
Seleccione Notify DHCP Server of Change. Esta seleccin indica al servidor DHCP que debe volver a leer la tabla dhcptab para aplicar el cambio inmediatamente despus de hacer clic en OK.
407
Cmo cambiar los valores de las opciones en una macro DHCP (dhtadm)
Convirtase en superusuario o asuma un rol o nombre de usuario asignado al perfil de administracin de DHCP. Para obtener ms informacin acerca del perfil de administracin de DHCP, consulte Configuracin del acceso de usuario a los comandos de DHCP en la pgina 357. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Por ejemplo, para cambiar el tiempo de permiso y el desfase de tiempo universal en la macro bluenote, escriba: # dhtadm -M -m bluenote -e LeaseTim=43200:UTCOffst=28800 -g
2 3
Seleccione la macro que desee cambiar. Elija Properties en el men Edit. Se abrir el cuadro de dilogo Macro Properties.
408
En el campo Option Name, especifique el nombre de una opcin mediante uno de estos mtodos:
Haga clic en el botn Select junto al campo Option Name para seleccionar una opcin para agregar a la macro. El cuadro de dialogo Select Option muestra una lista ordenada alfabticamente con los nombres de opciones de categora estndar y sus descripciones. Si desea agregar una opcin que no estn en la categora estndar, utilice la lista Category para seleccionar una categora. Consulte Macros DHCP en la pgina 321 para obtener ms informacin acerca de las categoras de macros.
Escriba Include si desea incluir una referencia a una macro existente en la nueva macro.
Escriba el valor para la opcin en el campo Option Value. Si ha escrito Include como nombre de opcin, debe especificar el nombre de una macro existente en el campo Option Value. Haga clic en Add. La opcin se agrega en la parte inferior de la lista de opciones de esta macro. Para cambiar la posicin de la opcin en la macro, seleccione la opcin y haga clic en los botones de flecha para subir o bajar una opcin en la lista. Seleccione Notify DHCP Server of Change. Esta seleccin indica al servidor DHCP que debe volver a leer la tabla dhcptab para aplicar el cambio inmediatamente despus de hacer clic en OK. Haga clic en Aceptar.
Por ejemplo, para agregar la posibilidad de negociar permisos en la macro bluenote, escriba el comando siguiente: # dhtadm -M -m bluenote -e LeaseNeg=_NULL_VALUE -g Si una opcin no requiere un valor, debe utilizar _NULL_VALUE como valor para la opcin.
2 3
4 5
410
Elimine una opcin de una macro escribiendo un comando con el formato siguiente:
# dhtadm -M -m macroname -e option= -g
Por ejemplo, para eliminar la posibilidad de negociar permisos en la macro bluenote, escriba el comando siguiente: # dhtadm -M -m bluenote -e LeaseNeg= -g Si se especifica una opcin sin ningn valor, la opcin se elimina de la macro.
FIGURA 1516
Elija Crear en el men Editar. Se abrir el cuadro de dilogo Crear macro. Escriba un nombre exclusivo para la macro. El nombre puede tener hasta 128 caracteres alfanumricos. Si utiliza un nombre que coincida con un identificador de clase de proveedor, una direccin de red o un ID de cliente, la macro se procesa automticamente para los clientes adecuados. Si utiliza un nombre distinto, la macro no se procesa automticamente. La macro debe asignarse a una direccin IP especfica o incluirse en otra macro que se procese automticamente. Consulte Procesamiento de macros con el servidor DHCP en la pgina 322 para obtener informacin ms detallada. Haga clic en el botn Select, junto al campo Option Name. El cuadro de dilogo Select Option muestra una lista de los nombres de opciones de categoras estndar, ordenados alfabticamente, y sus descripciones. Si desea agregar una opcin que no estn en la categora estndar, utilice la lista Category. Seleccione la categora que desee en la lista Category. Consulte Opciones DHCP en la pgina 321 para obtener ms informacin sobre las categoras de opciones. Seleccione la opcin para agregar a la macro y haga clic en OK. El cuadro de dilogo Macro Properties muestra la opcin seleccionada en el campo Option Name. Escriba el valor para la opcin en el campo Option Value y haga clic en Add. La opcin se agrega en la parte inferior de la lista de opciones de esta macro. Para cambiar la posicin de la opcin en la macro, seleccione la opcin y haga clic en los botones de flecha para subir o bajar una opcin en la lista. Repita el Paso 5 y el Paso 6 para cada opcin que desee agregar a la macro. Seleccione Notify DHCP Server of Change cuando haya terminado de agregar opciones. Esta seleccin indica al servidor DHCP que debe volver a leer la tabla dhcptab para aplicar el cambio inmediatamente despus de hacer clic en OK. Haga clic en Aceptar.
7 8
412
Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
2
No hay ningn lmite para el nmero de pares opcin=valor que se puede incluir en el argumento para -d. El argumento debe empezar y acabar con dos puntos, y tener dos puntos entre cada par opcin=valor. La cadena completa debe incluirse entre comillas. Por ejemplo, para crear la macro bluenote, escriba el comando: # dhtadm -A -m bluenote -d :Router=10.63.6.121\ :LeaseNeg=_NULL_VALUE:DNSserv=10.63.28.12: -g Si una opcin no requiere un valor, debe utilizar _NULL_VALUE como valor para la opcin.
Seleccione Notify DHCP Server of Change. Esta seleccin indica al servidor DHCP que debe volver a leer la tabla dhcptab para aplicar el cambio inmediatamente despus de hacer clic en OK. Haga clic en Aceptar.
Captulo 15 Administracin de DHCP (tareas) 413
Por ejemplo, para eliminar la macro bluenote, debe escribir el comando siguiente: # dhtadm -D -m bluenote -g
414
Consejo Las opciones se denominan smbolos en la documentacin sobre DHCP. El comando dhtadm y su pgina del comando man relacionada tambin hacen referencia a las opciones como smbolos.
El siguiente mapa de tareas incluye las tareas que debe realizar para crear, modificar y eliminar opciones DHCP. El mapa de tareas contiene vnculos a los procedimientos necesarios para realizar las tareas.
Tarea Descripcin Para obtener instrucciones
Agrega nuevas opciones para la informacin Cmo crear opciones DHCP (Administrador que no cubre una opcin DHCP estndar. de DHCP) en la pgina 418 Cmo crear opciones DHCP (dhtadm ) en la pgina 419 Modificacin de la informacin de opcin del cliente DHCP de Oracle Solaris en la pgina 423
Cmo modificar las propiedades de opciones DHCP (Administrador de DHCP) en la pgina 420 Cmo modificar las propiedades de opciones DHCP ( dhtadm) en la pgina 421
Cmo eliminar opciones DHCP (Administrador de DHCP) en la pgina 422 Cmo eliminar opciones DHCP (dhtadm ) en la pgina 423
Antes de crear opciones DHCP, debe estar familiarizado con las propiedades de las opciones que se incluyen en la tabla siguiente.
TABLA 155
Propiedad de opcin
Category
La categora de una opcin debe ser una de las siguientes: Vendor: opciones especficas para la plataforma de proveedor de un cliente, tanto si es hardware como software.
Site: opciones especficas del sitio. Extend: opciones ms recientes incorporadas al protocolo DHCP, pero que todava no se han implementado como opciones estndar en DHCP de Oracle Solaris.
415
TABLA 155
(Continuacin)
Propiedad de opcin
Cdigo
El cdigo es un nmero exclusivo que se asigna a una opcin. No es posible utilizar el mismo cdigo para cualquier otra opcin dentro de su categora de opcin. El cdigo debe ser adecuado para la categora de opcin: Vendor: valores de cdigo del 1 al 254 para cada clase de proveedor Site: valores de cdigo del 128 al 254 Extend: valores de cdigo del 77 al 127 El tipo de datos especifica la clase de datos que se pueden asignar como valor para la opcin. En la lista siguiente se incluyen los tipos de datos vlidos. ASCII: valor de cadena de texto.
Data type
BOOLEAN: no se asocia ningn valor con el tipo de datos booleano. Si la opcin est presente, significa que una condicin es verdadera, y si est ausente, indica que una condicin es falsa. Por ejemplo, la opcin Hostname es booleana. La presencia de Hostname en una macro hace que el servidor DHCP busque el nombre de host asociado con la direccin asignada. IP: una o ms direcciones IP, en formato decimal con punto (xxx.xxx.xxx.xxx). OCTET: representacin ASCII no interpretada de datos binarios. Por ejemplo, un ID de cliente utiliza el tipo de datos de octetos. Los caracteres vlidos son 09, AF y af. Se necesitan dos caracteres ASCII para representar una cantidad de 8 bits. UNUMBER8, UNUMBER16, UNUMBER32, UNUMBER64, SNUMBER8, SNUMBER16, SNUMBER32 o SNUMBER64: valor numrico. Una U o S iniciales indican si el nmero est firmado o no. Los dgitos al final indican cuntos bits hay en el nmero.
Granularidad
La granularidad especifica cuntas "instancias" del tipo de datos se necesitan para representar un valor de opcin completo. Por ejemplo, un tipo de datos de IP y una granularidad de 2 indicara que el valor de opcin debe contener dos direcciones IP. El nmero mximo de valores que se puede especificar para la opcin. Por ejemplo, supongamos que el mximo es 2, la granularidad es 2 y el tipo de datos es IP. En ese caso, el valor de opcin podra contener un mximo de dos pares de direcciones IP.
Mximo
416
TABLA 155
(Continuacin)
Propiedad de opcin
Esta opcin slo est disponible cuando la categora de opcin es Proveedor. Las clases de cliente del proveedor identifican las clases de cliente con las que est asociada la opcin Proveedor. La clase es una cadena ASCII que representa el sistema operativo o el tipo de equipo del cliente. Por ejemplo, la cadena de clase para algunos modelos de estaciones de trabajo de Sun es SUNW.Sun-Blade-100. Este tipo de opcin permite definir los parmetros de configuracin que se transfieren a los clientes de la misma clase, y slo a los clientes de esa clase. Puede especificar varias clases de cliente. Slo los clientes DHCP con un valor de clase de cliente que coincida con la clase que se especifique recibirn las opciones previstas para esa clase. La clase de cliente la determina el proveedor del cliente DHCP. Para los clientes DHCP que no sean clientes de Oracle Solaris, consulte la documentacin del proveedor para el cliente DHCP de la clase de cliente. Para los clientes de Oracle Solaris, la clase de cliente Proveedor puede obtenerse mediante el comando uname -i del cliente. Para especificar la clase de cliente Proveedor, sustituya los puntos por las comas de la cadena que devuelve el comando uname. Por ejemplo, si la cadena SUNW,Sun-Blade-100 la devuelve el comando uname -i, debe especificar la clase de cliente Proveedor como SUNW.Sun-Blade-100.
417
FIGURA 1517
Incluya una breve descripcin para la nueva opcin. El nombre puede contener hasta 128 caracteres alfanumricos y espacios.
Escriba o seleccione valores para cada parmetro del cuadro de dilogo. Consulte la Tabla 155 para obtener informacin sobre cada parmetro, o visualice la ayuda del Administrador de DHCP.
Seleccione Notify DHCP Server of Change si ha terminado de crear las opciones. Esta seleccin indica al servidor DHCP que debe volver a leer la tabla dhcptab para aplicar el cambio inmediatamente despus de hacer clic en OK.
Haga clic en Aceptar. Ahora puede agregar la opcin a las macros, y asignar un valor a la opcin para transferir a los clientes.
418
nombre_opcin categora
Es una cadena alfanumrica de 128 caracteres menos. Es una de las siguientes: Site, Extend o Vendor=lista_clases . lista_clases es una lista separada por espacios de clases de cliente de proveedor a la que se aplica la opcin. Consulte la Tabla 155 para obtener informacin sobre cmo determinar la clase de cliente de proveedor. Es un valor numrico apropiado para la categora de opcin, tal como se explica en la Tabla 155. Se especifica mediante una palabra clave que indica el tipo de datos que se transfiere con la opcin, tal como se describe en la Tabla 155. Se especifica como nmero no negativo, como se explica en la Tabla 155. Es un nmero no negativo, como se explica en la Tabla 155.
419
FIGURA 1518
2 3
420
Edite las propiedades segn precise. Consulte la Tabla 155 para obtener informacin sobre las propiedades, o visualice la ayuda del Administrador de DHCP. Seleccione Notify DHCP Server of Change cuando haya terminado de configurar las opciones. El cambio se realiza en la tabla dhcptab. El servidor DHCP vuelve a leer la tabla dhcptab para aplicar los cambios. Haga clic en Aceptar.
nombre_opcin categora
Especifica el nombre de la opcin que se desea modificar. Puede ser Site, Extend o Vendor=lista_clases. lista_clases es una lista separada por espacios de clases de cliente de proveedor a la que se aplica la opcin. Por ejemplo, SUNW.Sun-Blade-100 SUNW.Ultra-80 SUNWi86pc. Especifica un valor numrico apropiado para la categora de opcin, tal como se explica en la Tabla 155. Especifica una palabra clave que indica el tipo de datos que se transfiere con la opcin, tal como se describe en la Tabla 155. Es un nmero no negativo, como se explica en la Tabla 155. Es un nmero no negativo, como se explica en la Tabla 155.
Debe especificar todas las propiedades de opciones DHCP con el conmutador -d, no slo las propiedades que se desea modificar.
421
Ejemplo 154
2 3
422
423
para la red durante el arranque, consulte el Captulo 2, Preconfiguracin de la informacin de configuracin del sistema (tareas) de Gua de instalacin de Oracle Solaris 10 9/10: instalaciones basadas en red. DHCP tambin admite sistemas cliente de Oracle Solaris que se inician e instalan remotamente desde servidores en una red de rea extensa (WAN) utilizando HTTP. Este mtodo de inicio e instalacin remotos se denomina mtodo de instalacin de inicio WAN . El inicio WAN permite instalar el sistema operativo Oracle Solaris en sistemas basados en SPARC en una red pblica extensa donde puede que la infraestructura de red sea poco fiable. Se puede utilizar el inicio WAN con funciones de seguridad para proteger la confidencialidad de los datos y la integridad de la imagen de instalacin. Antes de utilizar DHCP para iniciar e instalar sistemas clientes remotamente utilizando un inicio WAN, el servidor DHCP debe configurarse para proporcionar la siguiente informacin a los clientes:
Para obtener detalles sobre cmo configurar el servidor DHCP para proporcionar esta informacin, consulte el Captulo 2, Preconfiguracin de la informacin de configuracin del sistema (tareas) de Gua de instalacin de Oracle Solaris 10 9/10: instalaciones basadas en red. Para obtener informacin sobre cmo arrancar e instalar sistemas cliente con un servidor DHCP a travs de una WAN, consulte el Captulo 10, Inicio WAN (informacin general) de Gua de instalacin de Oracle Solaris 10 9/10: instalaciones basadas en red. Para obtener informacin sobre los clientes sin disco, consulte Inicio remoto y clientes de inicio sin disco (mapa de tareas) en la pgina 424.
424
nombre de host del servicio de nombres, como DNS. Si un cliente sin disco recibe una direccin IP coherente, el cliente utiliza un nombre de host coherente, y puede acceder a su particin raz en el servidor del sistema operativo. Adems de proporcionar la direccin IP y el nombre de host, el servidor DHCP puede proporcionar la ubicacin de los archivos del sistema operativo del cliente sin disco. Sin embargo, debe crear opciones y macros para transferir la informacin en un paquete de mensajes DHCP. El siguiente mapa de tareas enumera las tareas necesarias para admitir clientes sin disco o cualquier cliente de inicio remoto persistente. El mapa de tareas tambin contiene vnculos a procedimientos que permiten llevar a cabo las tareas.
Tarea Descripcin Para obtener instrucciones
Utilice el comando smosservice para crear Captulo 7, Managing Diskless Clients archivos de sistema operativo para los (Tasks) de System Administration Guide: clientes. Basic Administration Asimismo, consulte la pgina del comando man smosservice(1M).
Utilice el Administrador de DHCP o el comando dhtadm para crear macros y opciones del proveedor, que el servidor DHCP puede utilizar para transferir informacin de inicio a los clientes. Si ya ha creado las opciones para los clientes de instalacin de red, slo debe crear las macros de los tipos de cliente de proveedor de los clientes sin disco.
Captulo 2, Preconfiguracin de la informacin de configuracin del sistema (tareas) de Gua de instalacin de Oracle Solaris 10 9/10: instalaciones basadas en red
Utilice el Administrador de DHCP para marcar la direccin como reservada, o utilice el comando pntadm para marcar direcciones como MANUAL para los clientes sin disco. Utilice el comando smdiskless para incluir compatibilidad con el sistema operativo en el servidor de sistema operativo para cada cliente. Especifique las direcciones IP que ha reservado para cada cliente.
Captulo 7, Managing Diskless Clients (Tasks) de System Administration Guide: Basic Administration Asimismo, consulte la pgina del comando man smdiskless(1M).
425
Utilice el Administrador de DHCP o el comando pntadm para crear una tabla de red para la red de clientes slo de informacin.
Crear macros para incluir la Utilice el Administrador de DHCP o el informacin que necesitan los comando dhtadm para crear macros que clientes. transfieran la informacin necesaria a los clientes. Configurar el cliente DHCP para que emita un mensaje INFORM.
Utilice el comando ifconfig int dhcp inform Inicio de cliente DHCP en la pgina 442 para que el cliente DHCP emita un mensaje Opciones del comando ifconfig que se utilizan INFORM. con el cliente DHCP en la pgina 447 Pgina del comando man ifconfig(1M)
Nota Si ha actualizado de una versin de Oracle Solaris anterior a Solaris 8 7/01, debe leer esta
nota. Si ejecuta una herramienta de Oracle Solaris DHCP tras la instalacin de Oracle Solaris, se le pedir que convierta al nuevo almacn de datos. La conversin es necesaria porque el formato de los datos almacenados en ambos archivos y NIS+ ha cambiado en Solaris 8 7/01. Si no convierte al nuevo almacn de datos, el servidor DHCP seguir leyendo las tablas de datos antiguas. Sin embargo, el servidor slo puede otorgar permisos para los clientes existentes. No puede registrar nuevos clientes DHCP ni utilizar herramientas de administracin de DHCP con las tablas de datos antiguas. La utilidad de conversin tambin resulta til para los sitios que convierten de un almacn de datos proporcionado por Sun a un almacn de datos de otro proveedor. La utilidad de conversin busca entradas en el almacn de datos existente y agrega nuevas entradas que contienen los mismos datos al nuevo almacn de datos. El acceso al almacn de datos se implementa en mdulos separados para cada almacn de datos. Este enfoque modular permite a la utilidad de conversin convertir datos DHCP de cualquier formato de almacn de datos a otro diferente. Cada almacn de datos debe tener un mdulo que pueda utilizar el servicio DHCP. Consulte Solaris DHCP Service Developers Guide para obtener ms informacin sobre cmo escribir un mdulo para que admita un almacn de datos de terceros. La conversin del almacn de datos se puede llevar a cabo con el Administrador de DHCP mediante el asistente Data Store Conversion o con el comando dhcpconfig -C. La figura siguiente muestra el cuadro de dilogo inicial del asistente Data Store Conversion.
427
FIGURA 1519
Antes de que comience la conversin, debe especificar si desea guardar las tablas de los antiguos almacenes de datos (dhcptab y tablas de red). La utilidad de conversin detiene el servidor DHCP, convierte el almacn de datos y reinicia el servidor cuando la conversin se ha completado correctamente. Si no ha especificado que se guarden las tablas antiguas, la utilidad elimina las tablas despus de determinar que la conversin se ha realizado correctamente. El proceso de conversin puede requerir mucho tiempo. La conversin se ejecuta en segundo plano e incluye una indicacin del progreso.
Responda a las preguntas del asistente. Si no conoce la informacin que se le solicita, haga clic en Help para ver informacin detallada sobre cada cuadro de dilogo.
428
Revise sus selecciones y haga clic en Finish para convertir el almacn de datos. El servidor DHCP se reinicia cuando finaliza la conversin. El servidor utiliza de inmediato el nuevo almacn de datos.
recurso ruta
es el nuevo tipo de almacn de datos, como SUNWbinfiles es la ruta a los datos, como /var/dhcp
Si desea conservar los datos originales del antiguo almacn de datos tras la conversin, especifique la opcin -k. Por ejemplo, para convertir el almacn de datos a SUNWbinfiles y guardar el anterior, escriba:
# /usr/sbin/dhcpconfig -C -r SUNWbinfiles -p /var/dhcp -k
Consulte la pgina del comando man dhcpconfig(1M) para obtener ms informacin sobre la utilidad dhcpconfig.
429
Agregar un servidor para compartir las tareas de DHCP. Reemplazar el sistema del servidor DHCP. Cambiar la ruta del almacn de datos, mientras se sigue utilizando el mismo almacn de datos.
El siguiente mapa de tareas identifica los procedimientos que debe seguir al transferir datos de configuracin de DHCP. El mapa incluye vnculos a procedimientos para realizar las tareas.
Tarea Descripcin Para obtener instrucciones
1. Exportar los datos del primer Selecciona los datos que desea transferir a servidor. otro servidor y crea un archivo con los datos exportados.
Cmo exportar datos de un servidor DHCP (Administrador de DHCP) en la pgina 432 Cmo exportar datos de un servidor DHCP (dhcpconfig -X) en la pgina 432 Cmo importar datos en un servidor DHCP (Administrador de DHCP) en la pgina 434 Cmo importar datos en un servidor DHCP (dhcpconfig -I) en la pgina 434
Copia los datos exportados a otro almacn de datos del servidor DHCP.
Cambia los datos de configuracin especficos del servidor para que coincidan con la informacin del nuevo servidor.
Cmo modificar datos de DHCP importados (Administrador de DHCP) en la pgina 435 Cmo modificar datos DHCP importados ( pntadm, dhtadm) en la pgina 436
En el Administrador de DHCP, utilice el asistente Export Data y el asistente Import Data para transferir los datos de un servidor a otro. A continuacin, modifique las macros en la ficha Macros. Las siguientes figuras muestran los cuadros de dilogo iniciales de los asistentes.
430
FIGURA 1520
FIGURA 1521
431
Elija Export Data en el men Service. Se abrir el asistente Export Data tal como se muestra en la Figura 1520.
Responda a las preguntas del asistente. Si no conoce la respuesta, haga clic en Help para obtener informacin detallada sobre las preguntas.
Transfiera el archivo de exportacin a un sistema de archivos al que pueda acceder el servidor DHCP que debe importar los datos. Importe los datos tal como se describe en Cmo importar datos en un servidor DHCP (Administrador de DHCP) en la pgina 434.
Vase tambin
1 2
432
Exporte los datos. Puede exportar todos los datos de DHCP o partes especficas de los datos.
Para exportar direcciones, macros y opciones especficas, escriba un comando que utilice el formato siguiente:
# dhcpconfig -X filename -a network-addresses -m macros -o options
nombre_archivo es el nombre de ruta completo que desea utilizar para almacenar los datos exportados comprimidos. Las direcciones de red, macros DHCP y opciones DHCP concretas se especifican en listas separadas con comas. El ejemplo siguiente muestra cmo exportar redes, macros y opciones especficas. # dhcpconfig -X /var/dhcp/0dhcp1065_data \ -a 10.63.0.0,10.62.0.0 \ -m 10.63.0.0,10.62.0.0,SUNW.Sun-Blade-100 -o Sterm
Para exportar todos los datos de DHCP, escriba un comando que utilice la palabra clave ALL.
# dhcpconfig -X filename -a ALL -m ALL -o ALL
nombre_archivo es el nombre de ruta completo que desea utilizar para almacenar los datos exportados comprimidos. La palabra clave ALL puede utilizarse con las opciones de comandos para exportar todas las opciones, macros y direcciones de red. El ejemplo siguiente muestra cmo utilizar la palabra clave ALL. # dhcpconfig -X /var/dhcp/dhcp1065_data -a ALL -m ALL -o ALL
Consejo Puede omitir la exportacin de un tipo de datos concreto si no especifica la opcin de comando dhcpconfig para ese tipo de datos. Por ejemplo, si no especifica la opcin -m, no se exportar ninguna macro DHCP.
Consulte la pgina del comando man dhcpconfig(1M) para obtener ms informacin sobre el comando dhcpconfig.
4
Transfiera el archivo de exportacin a una ubicacin a la que pueda acceder el servidor que debe importar los datos. Importe los datos de acuerdo con lo descrito en Cmo importar datos en un servidor DHCP (dhcpconfig -I) en la pgina 434.
Vase tambin
433
Responda a las preguntas del asistente. Si no conoce la respuesta, haga clic en Help para obtener informacin detallada sobre las preguntas. Modifique los datos importados, si es preciso. Consulte Cmo modificar datos de DHCP importados (Administrador de DHCP) en la pgina 435
1 2
Modifique los datos importados, si es preciso. Consulte Cmo modificar datos DHCP importados ( pntadm, dhtadm) en la pgina 436.
Gua de administracin del sistema: servicios IP Septiembre de 2010
434
Busque en los datos importados informacin especfica de la red que se deba modificar. Por ejemplo, si ha movido redes, debe abrir la ficha Addresses y cambiar el servidor propietario de las direcciones en las redes importadas. Tambin puede abrir la ficha Macros para especificar los nombres de dominio correctos para NIS, NIS+ o DNS en algunas macros.
3 4
Abra la ficha Addresses y seleccione una red que haya importado. Para seleccionar todas las direcciones, haga clic en la primera direccin, mantenga pulsada la tecla Mays y elija la ltima direccin. En el men Edit, elija Properties. Se abrir el cuadro de dilogo Modify Multiple Addresses.
6 7
En el indicador Managing Server, seleccione el nombre del nuevo servidor. En el indicador Configuration Macro, seleccione la macro que se vaya a utilizar para todos los clientes de esta red y haga clic en OK. Abra la ficha Macros. Utilice el botn Find para buscar las opciones que probablemente se deban modificar. El botn Find se encuentra en la parte inferior de la ventana. DNSdmain, DNSserv , NISservs, NIS+serv y NISdmain son ejemplos de opciones que pueden requerir modificaciones en el nuevo servidor.
8 9
10
Cambie las opciones de las macros deseadas. Consulte Cmo modificar las propiedades de opciones DHCP (Administrador de DHCP) en la pgina 420 para conocer el procedimiento que debe seguir para cambiar opciones.
435
1 2
Busque en las tablas de red los datos que se deben modificar. Si ha transferido redes, utilice el comando pntadm -P direccin_red para imprimir las tablas de red para las redes que se han transferido. Modifique la informacin de la direccin IP con el comando pntadm. El servidor propietario y la macro de configuracin se pueden cambiar para las direcciones importadas. Por ejemplo, para cambiar el servidor propietario (10.60.3.4) y la macro (dhcpsrv-1060) for address 10.63.0.2, utilice el comando siguiente: pntadm -M 10.63.0.2 -s 10.60.3.4 -m dhcpsrv-1060 10.60.0.0 Si tiene una gran cantidad de direcciones, debe crear un archivo de secuencia que contenga los comandos para modificar cada direccin. Ejecute la secuencia con el comando pntadm -B, que ejecuta pntadm en modo de ejecucin por lotes. Consulte la pgina del comando man pntadm(1M).
Busque en las macros dhcptab opciones con valores que necesiten modificarse. Utilice el comando dhtadm -P para imprimir la tabla dhcptab completa en pantalla. Utilice grep u otra herramienta para buscar opciones o valores que desee cambiar. Si es preciso, modifique las opciones de las macros utilizando el comando dhtadm -M. Por ejemplo, puede modificar algunas macros para especificar los servidores y nombres de dominio correctos para NIS, NIS+ o DNS. Por ejemplo, el siguiente comando cambia los valores de DNSdmain y DNSserv en la macro mymacro: dhtadm -M -m mymacro -e DNSserv=dnssrv2:DNSdmain=example.net -g
436
16
C A P T U L O
1 6
Este captulo trata sobre el cliente Dynamic Host Configuration Protocol (DHCP) que es parte de Oracle Solaris. En el captulo se explica el funcionamiento de los protocolos DHCPv4 y DHCPv6 del cliente y la forma de modificar el comportamiento de este. Uno de los protocolos, DHCPv4, forma parte del sistema operativo Oracle Solaris desde hace tiempo, y permite a los servidores DHCP pasar parmetros de configuracin como direcciones de red IPv4 a nodos IPv4. El otro, DHCPv6, permite a los servidores DHCP pasar parmetros de configuracin, como direcciones de red IPv6, a nodos IPv6. DHCPv6 es una contrapartida con estado a IPv6 Stateless Address Autoconfiguration (RFC 2462), y se puede utilizar de forma independiente o conjuntamente con la sin estado para obtener parmetros de configuracin. Este captulo contiene la informacin siguiente:
Acerca del cliente DHCP de Oracle Solaris en la pgina 437 Activacin y desactivacin de un cliente DHCP de Oracle Solaris en la pgina 445 Administracin del cliente DHCP en la pgina 447 Sistemas cliente DHCP con varias interfaces de red en la pgina 449 Nombres de host de cliente DHCPv4 en la pgina 450 Sistemas cliente DHCP y servicios de nombres en la pgina 452 Secuencias de eventos de cliente DHCP en la pgina 457
No es necesario hacer nada ms con el cliente de Oracle Solaris para utilizar DHCP. La configuracin del servidor DHCP determina la informacin que se proporciona a los sistemas cliente DHCP que utilizan el servicio DHCP. Si un sistema cliente ya est ejecutando Oracle Solaris pero no utiliza DHCP, se puede reconfigurar para que lo utilice. Tambin se puede reconfigurar un sistema cliente DHCP de modo que deje de utilizar DHCP y utilice la informacin de red esttica que se le proporcione. Para ms informacin consulte Activacin y desactivacin de un cliente DHCP de Oracle Solaris en la pgina 445.
Servidor DHCPv6
No hay ningn servidor DHCPv6 disponible a travs de Sun Microsystems para Oracle Solaris. Los servidores de terceros son compatibles con el DHCPv6 de Sun y, si hay un servidor DHCPv6 en la red, el cliente DHCPv6 de Sun lo utilizar. Consulte Servidor DHCP de Oracle Solaris en la pgina 314para obtener informacin sobre el servidor DHCPv4 de Sun.
El modelo de administracin
DHCPv4&: el administrador activa DHCP para cada interfaz. La administracin se efecta por interfaz lgica. DHCPv6No es necesaria una configuracin explcita. Este protocolo se activa en una interfaz fsica determinada. DHCPv4El servidor DHCP proporciona la mscara de subred de cada direccin. La opcin de nombre de host establece el nombre de nodo en todo el sietema. DHCPv6: la mscara de subred la proporcionan los anuncios de enrutador, no el servidor DHCPv6. No existe la opcin de nombre de host DHCPv6.
El modelo administrativo
DHCPv4 requiere una configuracin de cliente explcita. Deber configurar el sistema DHCPv4 para direccionar a voluntad; esto se suele llevar a cabo durante la instalacin inicial del sistema o de forma dinmica mediante las opciones de ifconfig(1M).
438 Gua de administracin del sistema: servicios IP Septiembre de 2010
DHCPv6 no requiere una configuracin de cliente explcita. Por el contrario, el uso de DHCP es una propiedad de la red, y la seal para utilizarlo se encuentra en los mensajes de anuncio de los enrutadores locales. El cliente DHCP crea y destruye automticamente las interfaces lgicas segn sea necesario. El mecanismo de DHCPv6 es muy parecido, desde el punto de vista administrativo, a la configuracin de direcciones sin estado IPv6 (automtica) actual. Para la configuracin de direcciones sin estado se activara un indicador en el enrutador local con el fin de indicar que, para un conjunto de prefijos determinado, cada cliente deber configurar automticamente una direccin propia utilizando el prefijo anunciado, as como un smbolo o nmero aleatorio de interfaz local. Para DHCPv6 se requieren los mismos prefijos, pero las direcciones se obtienen y gestionan mediante un servidor DHCPv6 en lugar de asignarse de forma "aleatoria.
Interfaces lgicas
En el cliente DHCPv4, cada interfaz lgica es independiente y es una unidad administrativa. Aparte de la interfaz lgica cero (cuyo identificador predeterminado es la direccin MAC de la interfaz), el usuario puede configurar interfaces especficas para ejecutar DHCP; para ello debe especificar un CLIENT_ID en el archivo de configuracin dhcpagent. Por ejemplo: hme0:1.CLIENT_ID=orangutan DHCPv6 funciona de otra forma. La interfaz lgica cero en una interfaz IPv6 es siempre, a diferencia de IPv4, una direccin local. La direccin local se utiliza pars asignar automticamente una direccin IP a un dispositivo de una red IP cuando no se dispone de otro mtodo de asignacin, como un servidor DHCP. La interfaz lgica cero no puede estar bajo control de DHCP, de modo que, aunque DHCPv6 se ejecute en esa interfaz (que se denomina tambin interfaz "fsica"), solo asigna direcciones a interfaces lgicas que no sean la cero. En respuesta a una solicitud de cliente DHCPv6, el servidor DHCPv6 devuelve una lista de direcciones para que el cliente las configure.
440 Gua de administracin del sistema: servicios IP Septiembre de 2010
Negociacin de opciones
DHCPv6 dispone de la opcin Solicitud de opciones, que ofrece al servidor una pista de lo que el cliente prefiere ver. Si se han enviado todas las posibles opciones desde el servidor al cliente, se podra enviar tanta informacin que parte de ella debera perderse en el camino al cliente. El servidor podra utilizar esa pista para elegir qu opciones debe incluir en la respuesta. Otra posibilidad es que el servidor haga caso omiso de la pista y elija los elementos que se inlcuyen. En Oracle Solaris, por ejemplo, las opciones preferibles podran incluir el dominio de direcciones DNS de Oracle Solaris o el dominio de direcciones NIS, pero posiblemente no se incluira el servidor de netbios. DHCPv4 proporciona el mismo tipo de sugerencia, pero sin la opcin especial de Solicitud de opciones. En cambio, DHCPv4 utiliza PARAM_REQUEST_LIST en /etc/default/dhcpagent.
Sintaxis de configuracin
Configure el cliente DHCPv6 de forma similar al actual cliente DHCPv4, mediante /etc/default/dhcpagent. La sintaxis se aumenta con un marcador .v6 entre el nombre de la interfaz (si lo hay) y el parmetro que se debe configurar. Por ejemplo, la lista de solicitud de opciones IPv4 global se configura as: PARAM_REQUEST_LIST=1,3,6,12,15,28,43 Se puede configurar una interfaz individual para omitir la opcin de nombre de host, de este modo: hme0.PARAM_REQUEST_LIST=1,3,6,15,28,43 Para configurar una lista de solicitud global para DHCPv6, tenga en cuenta el punto precedente: .v6.PARAM_REQUEST_LIST=23,24 O, para configurar una interfaz individual, siga este ejemplo: hme0.v6.PARAM_REQUEST_LIST=21,22,23,24 Utilice como referencia para configuracin de DHCPv6 este archivo /etc/default/dhcpagent:
# The default DHCPv6 parameter request list has preference (7), unicast (12), # DNS addresses (23), DNS search list (24), NIS addresses (27), and # NIS domain (29). This may be changed by altering the following parameter# value pair. The numbers correspond to the values defined in RFC 3315 and # the IANA dhcpv6-parameters registry. .v6.PARAM_REQUEST_LIST=7,12,23,24,27,29
Captulo 16 Configuracin y administracin del cliente DHCP 441
La presencia del archivo /etc/dhcp.interfaz (por ejemplo, /etc/dhcp.ce0 en un sistema Sun Fire 880) indica a las secuencias de inicio que en la interfaz especificada se debe utilizar DHCPv4. Cuando encuentran un archivo dhcp. interfaz, las secuencias de inicio ejecutan dhcpagent. Al ejecutarse, dhcpagent espera hasta recibir instrucciones para configurar una interfaz de red. Las secuencias de inicio emiten el comando ifconfig interfaz dhcp start, que indica a dhcpagent que inicie DHCPv4 como se describe en Funcionamiento de DHCP en la pgina 311. Si hay comandos en el archivo dhcp.interfaz, se agregan a la opcin dhcp start de ifconfig. Consulte la pgina de comando man ifconfig(1M) para obtener informacin sobre las opciones del comando ifconfig interfaz dhcp.
El daemon in.ndpd recibe el mensaje de anuncio del enrutador. Lo hace automticamente en todas las interfaces sondeadas para IPv6 en el sistema. Cuando in.ndpd ve un RA que especifica que se debe ejecutar DHCPv6, lo llama. Para impedir que in.ndpd inicie DHCPv6 se puede modificar el archivo /etc/inet/ndpd.conf. Tambin se puede detener DHCPv6 una vez iniciado mediante una de las siguientes versiones de ifconfig: ifconfig <interfaz> inet6 dhcp drop o: ifconfig <interfaz> inet6 dhcp release
Cmo gestionan los protocolos del cliente DHCP la informacin de configuracin de red
Los protocolos de los clientes DHCPv4 y DHCPv6 gestionan la informacin de configuracin de red de forma distinta. La principal diferencia es que, con DHCPv4, la negociacin es por el permiso de uso de una sola direccin y algunas opciones para acompaarla. Con DHCPv6, la negociacin implica un lote de direcciones y de opciones. Para acceder a informacin bsica sobre la interaccin entre el cliente y el servidor DHCPv4, consulte el Captulo 12, Acerca de DHCP de Oracle Solaris (informacin general).
Cada vez que dhcpagent efecta una accin relacionada con el permiso, el daemon busca un archivo ejecutable denominado /etc/dhcp/eventhook. Si se halla un archivo ejecutable con ese nombre, dhcpagent llama a dicho archivo. Consulte Secuencias de eventos de cliente DHCP en la pgina 457 para obtener ms informacin acerca del uso del ejecutable de eventos.
Un cliente enva un mensaje de solictud para localizar servidores. Los servidores envan un mensaje de anuncio para indicar que estn disponibles para el servicio DHCP. Un cliente enva un mensaje de solicitud para pedir parmetros de configuracin, incluidas direcciones IP, a los servidores con los valores de preferencia ms altos. Los valores de preferencia de los servidores los asigna el administrador, y pueden ir desde 0, la mnima preferencia, a 255, la mxima. El servidor enva un mensaje de respuesta que contiene los permisos de direcciones y los datos de configuracin.
Si el valor de preferencia en el mensaje de anuncio es de 255, el cliente DHCPv6 selecciona inmediatamente ese servidor. Si el servidor con la preferencia ms alta no responde o no enva satisfactoriamente un mensaje de respuesta al mensaje de solicitud, el cliente sigue buscando servidores por orden de preferencia hasta que se queda sin mensajes de anuncio. En ese momento, el cliente vuelve a empezar reenviando mensajes de solicitud. El servidor elegido enva un mensaje de respuesta que contiene las direcciones y parmetros de configuracin asignados en respuesta a un mensaje de solicitud de tipo Request o Solicit.
444 Gua de administracin del sistema: servicios IP Septiembre de 2010
configuren con direcciones IP estticas, en lugar de utilizar DHCP. La determinacin de qu dispositivos de la red (como enrutadores y ciertos servidores) deben ser clientes excede el mbito de esta gua.
Si el sistema utiliza preconfiguracin en lugar de configuracin interactiva, edite el archivo sysidcfg. Agregue la subclave dhcp a la palabra clave interfaz_red en el archivo sysidcfg. Por ejemplo, interfaz_red=hme0 {dhcp}. Consulte la pgina del comando man sysidcfg(4) para obtener ms informacin.
Consulte la pgina de comando man sys-unconfig(1M) para saber ms datos sobre la informacin de configuracin que elimina este comando.
4
Reinicio del sistema una vez completado el cierre. Si el sistema utiliza preconfiguracin, la subclave dhcp del archivo sysidcfg configura el sistema para que utilice el cliente DHCP durante el inicio. Si el sistema no utiliza preconfiguracin, sysidtool le pedir informacin de configuracin cuando el sistema reinicie. Para ms informacin consulte la pgina de comando man sysidtool(1M).
Cuando se le solicite si se debe usar DHCP para configurar las interfaces de red, especifique S.
1 2
Consulte la pgina de comando man sys-unconfig(1M) para saber ms datos sobre la informacin de configuracin que elimina este comando.
4
Reinicio del sistema una vez completado el cierre. Si el sistema utiliza preconfiguracin, no se le solicitar informacin de configuracin y el cliente DHCP no se configura. Si el sistema no utiliza preconfiguracin, sysidtool le pedir informacin de configuracin cuando el sistema se reinicie. Para ms informacin consulte la pgina de comando man sysidtool(1M).
5
446
Cuando se le solicite si se debe usar DHCP para configurar las interfaces de red, especifique No.
Gua de administracin del sistema: servicios IP Septiembre de 2010
Iniciar el cliente DHCP El comando ifconfig interfaz [inet6] dhcp start inicia la interaccin entre dhcpagent y el servidor DHCP para obtener una direccin IP y un nuevo conjunto de opciones de configuracin. Este comando resulta til cuando se modifica informacin que desea que un cliente utilice de forma inmediata, como cuando se agregan direcciones IP o se cambia la mscara de subred. Solicitar solo informacin de configuracin de red El comando ifconfig interfaz [inet6] dhcp inform hace que dhcpagent emita una solicitud de parmetros de configuracin de red, con la excepcin de la direccin IP. Este comando resulta til cuando la interfaz de red tiene una direccin IP esttica, pero el sistema necesita actualizar las opciones de red. Por ejemplo, esta comando es prctico si no se utiliza DHCP para la gestin de direcciones IP, pero s para configurar los hosts de la red. Solicitar una ampliacin del permiso El comando ifconfig interfaz [inet6] dhcp extend hace que dhcpagent emita una solicitud de renovacin del permiso. El cliente solicita automticamente la renovacin de permisos. Sin embargo, puede ser conveniente utilizar este comando si cambia el tiempo de permiso y quiere que los clientes utilicen este nuevo tiempo inmediatamente, en lugar de esperar al siguiente intento de renovacin. Liberar la direccin IP El comando ifconfig interfaz [inet6] dhcp release hace que dhcpagent renuncie a la direccin IP que utiliza la interfaz de red. La liberacin de la direccin IP se lleva a cabo automticamente cuando caduca el permiso. Es conveniente emitir este comando, por ejemplo, desde un equipo porttil si quiere salir de una red y tiene previsto iniciarlo en una red distinta. Consulte tambin la propiedad RELEASE_ON_SIGTERM del archivo de configuracin /etc/default/dhcpagent.
447
Abandonar la direccin IP El comando ifconfig interfaz [inet6] dhcp drop hace que dhcpagent cierre la interfaz de red sin informar al servidor DHCP y reserve el permiso en el sistema de archivos. Este comando permite al cliente utilizar la misma direccin IP al reiniciar. Hacer un ping de la interfaz de red El comando ifconfig interfaz [inet6] dhcp ping permite determinar si la interfaz est bajo el control de DHCP. Ver el estado de configuracin DHCP de la interfaz de red El comando ifconfig interfaz [inet6] dhcp status muestra el estado actual del cliente DHCP. En la pantalla se muestran los siguientes elementos:
Si se ha asociado una direccin IP al cliente El nmero de solicitudes enviadas, recibidas y rechazadas Si esta interfaz es la principal Veces que se ha obtenido el permiso, cundo caduca y cundo est programado el inicio de los intentos de renovacin
Por ejemplo:
# ifconfig hme0 dhcp status Interface State Sent Recv Declined Flags hme0 BOUND 1 1 0 [PRIMARY] (Began,Expires,Renew)=(08/16/2005 15:27, 08/18/2005 13:31, 08/17/2005 15:24) # ifconfig hme0 inet6 dhcp status Interface State Sent Recv Declined Flags hme0 BOUND 1 0 0 [PRIMARY] (Began,Expires,Renew)=(11/22/2006 20:39, 11/22/2006 20:41, 11/22/2006 20:40)
Para DHCPv4
El sistema cliente no precisa de un nombre de host especfico. Si quiere que un cliente solicite un nombre de host determinado, consulte Nombres de host de cliente DHCPv4 en la pgina 450.
Las solicitudes predeterminadas del cliente se especifican en /etc/default/dhcpagent , e incluyen el servidor DNS, el dominio DNS y la direccin de difusin. Se puede configurar el archivo de parmetros del cliente DHCP para que solicite ms opciones en la palabra clave PARAM_REQUEST_LIST del archivo /etc/default/dhcpagent . Se puede configurar el servidor DHCP para que ofrezca opciones que no se hayan solicitado de forma explcita. Consulte Macros DHCP en la pgina 321 y Uso de macros DHCP (mapa de tareas) en la pgina 403 para obtener informacin sobre el uso de las macros del servidor DHCP para enviar informacin a los clientes.
El sistema cliente utiliza DHCP en una interfaz de red fsica. Si desea utilizar DHCP en ms de una interfaz de red fsica, consulte Sistemas cliente DHCP con varias interfaces de red en la pgina 449.
El cliente no se configura automticamente como cliente de servicio de nombres si se ha configurado despus de la instalacin de Oracle Solaris. Consulte Sistemas cliente DHCP y servicios de nombres en la pgina 452 para obtener informacin acerca del uso de servicios de nombres con clientes DHCP.
El cliente DHCP gestiona los permisos de las interfazs lgicas y fsicas de la misma forma, salvo por la siguiente limitacin de las interfazs lgicas:
El cliente DHCP no gestiona las rutas predeterminadas asociadas con interfazs lgicas. El ncleo de Oracle Solaris asocia rutas con interfaces fsicas, no lgicas. Cuando se establece la direccin IP de una interfaz fsica, se deben establecer las rutas predeterminadas necesarias en la tabla de enrutamiento. Si a continuacin se utiliza DHCP para configurar una interfaz lgica asociada con esa interfaz fsica, las rutas necesarias ya deben estar establecidas. La interfaz lgica utiliza las mismas rutas. Cuando caduca un permiso de una interfaz fsica, el cliente DHCP elimina las rutas predeterminadas asociadas con la interfaz. Cuando caduca un permiso de una interfaz lgica, el cliente DHCP no elimina las rutas predeterminadas asociadas con la interfaz. La interfaz fsica asociada, y quiz otras interfazs lgicas, pueden tener que utilizar esas mismas rutas. Si necesita agregar o eliminar rutas predeterminadas asociadas con una interfaz controlada por DHCP, utilice el mecanismo de secuencias de eventos del cliente DHCP. Consulte Secuencias de eventos de cliente DHCP en la pgina 457.
450
Nota El procedimiento siguiente no funciona con todos los servidores DHCP. Mediante este
proceso solicita al cliente que enve un nombre de host especfico al servidor DHCP y que espere el mismo nombre como respuesta. Sin embargo, el servidor DHCP no tiene por qu satisfacer esta solicitud y, de hecho, muchos no lo hacen. Se limitan a devolver un nombre distinto.
Cmo activar un cliente DHCPv4 de Oracle Solaris para que solicite un nombre de host especfico
En el sistema cliente, edite el archivo /etc/default/dhcpagent como superusuario. Busque la palabra clave REQUEST_HOSTNAME en el archivo /etc/default/dhcpagent y modifquela del siguiente modo:
REQUEST_HOSTNAME=yes
1 2
So delante de REQUEST_HOSTNAME aparece un signo de comentario (#), brrelo. Si no aparece la palabra clave REQUEST_HOSTNAME, insrtela.
3
Edite el archivo /etc/hostname. interfaz en el sistema cliente para agregar la lnea siguiente: inet nombre_host nombre_host es el nombre que quiere que el cliente utilice.
Escriba los comandos siguientes para que el cliente efecte una negociacin DHCP completa al reiniciar:
# ifconfig interface dhcp release # reboot
Los datos de DHCP reservados en el cliente se eliminan. El cliente reinicia el protocolo para solicitar nueva informacin de configuracin, incluido un nuevo nombre de host. El servidor DHCP se asegura en primer lugar de que otro sistema de la red no utiliza ese nombre de host. El servidor asigna entonces el nombre de host al cliente. Si se configura para ello, el servidor DHCP puede actualizar los servicios de nombres con el nombre de host del cliente. Si desea modificar el nombre de host ms adelante, repita el Paso 3 y el Paso 4.
451
452
TABLA 161
Servicio de nombres
NIS
Si utiliza DHCP de Oracle Solaris para enviar informacin de la instalacin de red de Oracle Solaris a un sistema cliente, puede utilizar una macro de configuracin que contiene las opciones NISservs y NISdmain. Estas opciones pasan las direcciones IP de los servidores NIS y el nombre de dominio NIS al cliente. El cliente se convierte automticamente en cliente NIS. Si un sistema cliente DHCP ya est ejecutando Oracle Solaris, el cliente NIS no se configura automticamente en ese sistema cuando el servidor DHCP enva informacin NIS al cliente. Si el servidor DHCP se configura para enviar informacin NIS al sistema cliente DHCP, puede ver los valores proporcionados al cliente utilizando el comando dhcpinfo en el cliente, de la siguiente forma: # /sbin/dhcpinfo NISdmain # /sbin/dhcpinfo NISservs
Nota Para DHCPv6, incluya -v6 y palabras clave de protocolo distintas en el comando.
# /sbin/dhcpinfo -v6 NISDomain # /sbin/dhcpinfo -v6 NISServers Utilice los valores devueltos para el nombre del dominio NIS y los servidores NIS al configurar el sistema como cliente NIS. Para configurar un cliente NIS para un sistema cliente DHCP de Oracle Solaris utilice el mtodo estndar documentado en el Captulo 5, Setting Up and Configuring NIS Service de System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Consejo Puede escribir una secuencia de comandos que utilice dhcpinfo e ypinit para automatizar la configuracin de clientes NIS en sistemas cliente DHCP.
NIS+
Si el cliente NIS+ para un sistema cliente DHCP se configura de la forma convencional, es posible que el servidor DHCP proporcione de vez en cuando al cliente direcciones distintas. Esto provoca problemas de seguridad, ya que la seguridad de NIS+ incluye la direccin IP como parte de la configuracin. Para garantizar que el cliente tenga la misma direccin cada vez, configure el cliente NIS+ para un sistema cliente DHCP de forma no estndar, segn se documenta en Configuracin de clientes DHCP como clientes NIS+ en la pgina 454. Si se ha asignado manualmente una direccin IP al sistema cliente DHCP, la direccin del cliente ser siempre la misma. El cliente NIS+ se puede configurar de la forma estndar, descrita en Setting Up NIS+ Client Machines de System Administration Guide: Naming and Directory Services (NIS+).
453
TABLA 161 Informacin de cliente de servicio de nombres para sistemas cliente DHCP (Continuacin) Servicio de nombres Informacin de configuracin de cliente
/etc/inet/hosts
Deber configurar el archivo /etc/inet/hosts para un sistema cliente DHCP que vaya a utilizar /etc/inet/hosts para su servicio de nombres. El nombre de host del sistema cliente DHCP se agrega a su propio archivo /etc/inet/hosts mediante las herramientas de DHCP. Sin embargo, se debe agregar manualmente el nombre de host al archivo /etc/inet/hosts de otros sistemas de la red. Si el sistema servidor DHCP utiliza /etc/inet/hosts para la resolucin de nombres, deber agregar tambin manualmente el nombre de host del cliente al sistema.
DNS
Si el sistema cliente DHCP recibe el nombre de dominio DNS a travs de DHCP, el archivo /etc/resolv.conf del sistema cliente se configura automticamente. El archivo /etc/nsswitch.conf se actualiza tambin automticamente para agregar dns a la lnea hosts a continuacin de otros servicios de nombres en el orden de bsqueda. Para obtener ms informacin acerca de DNS, consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
sesin en el sistema. Otros usuarios que inicien sesin en el sistema cliente DHCP debern disponer de sus propias credenciales nicas en el servidor NIS+. Estas credenciales se crean mediante el procedimiento descrito en la System Administration Guide: Naming and Directory Services (NIS+).
1
Para crear las credenciales para un cliente, escriba el siguiente comando en el servidor NIS+:
# nisgrep nisplus-client-name cred.org_dir > /tmp/file
Este comando escribe la entrada de la tabla cred.org_dir correspondiente al cliente NIS+ en un archivo temporal.
2
Utilice el comando cat para ver el contenido de este archivo. Tambin puede utilizar un editor de texto. Copie las credenciales para utilizar para los clientes DHCP. Deber copiar la clave pblica y la privada, que son largas secuencias de nmeros y letras separadas por dos puntos (:). Las credenciales se debern pegar en el comando que se emitir en el siguiente paso. Agregue credenciales para un cliente DHCP mediante el siguiente comando:
# nistbladm -a cname=" dhcp-client-name@nisplus-domain" auth_type=DES \ auth_name="unix.dhcp-client-name@nisplus-domain" \ public_data=copied-public-key \ private_data=copied-private-key
En clave_pblica_copiada, pegue la informacin de clave pblica que ha copiado del archivo temporal. En clave_privada_copiada, pegue la informacin de clave privada que ha copiado del archivo temporal.
5
Copie de forma remota los archivos desde el sistema cliente NIS+ al sistema cliente DHCP emitiendo los siguientes comandos en el sistema cliente DHCP:
# rcp nisplus-client-name:/var/nis/NIS_COLD_START /var/nis # rcp nisplus-client-name:/etc/.rootkey /etc # rcp nisplus-client-name:/etc/defaultdomain /etc
Si recibe un mensaje de permission denied (permiso denegado), es posible que los sistemas no estn conrfigurados para permitir la copia remota. En tal caso, puede copiar los archivos como usuario normal a una ubicacin intermedia. Como superusuario, copie los archivos desde la ubicacin intermedia a la ubicacin aproada en el sistema cliente DHCP.
6
Copie el archivo de cambios del servicio de nombres correcto para NIS+ mediante el siguiente comando en el sistema cliente DHCP:
# cp /etc/nsswitch.nisplus /etc/nsswitch.conf
Reinicie el sistema cliente DHCP. Ahora, el sistema cliente DHCP ya podr utilizar los servicios NIS+.
Captulo 16 Configuracin y administracin del cliente DHCP 455
Ejemplo 161
El sistema cliente DHCP dhow podr ahora utilizar los servicios NIS+.
Ejemplo 162
456
print - ${HOST}${i} #nistbladm -r [cname="${HOST}${i}.${DOMAIN}."]cred.org_dir nistbladm -a cname="${HOST}${i}.${DOMAIN}." \ auth_type=DES auth_name="unix.${HOST}${i}@${DOMAIN}" \ public_data=${PUBLIC_DATA} private_data=${PRIVATE_DTA} cred.org_Dir done exit 0
EXTEND y EXTEND6
EXPIRE y EXPIRE6
DROP y DROP6
RELEASE y RELEASE6
INFORM e INFORM6
Una interfaz obtiene informacin de configuracin nueva o actualizada de un servidor DHCP a travs del mensaje DHCPv4 INFORM o DHCPv6 Information-Request. Estos eventos tienen lugar cuando el cliente DHCP solo obtiene parmetros de configuracin del servidor, pero no obtiene un permiso de direccin IP. Durante la caducidad del permiso, cuando an quedan uno o ms permisos vlidos, se llama a la secuencia de eventos justo antes de eliminar las direcciones caducadas. Las direcciones que se van a eliminar se marcan con el indicador IFF_DEPRECATED.
LOSS6
donde interfaz es la interfaz que utiliza DHCP y evento es una de las palabras clave de evento descritas anteriormente. Por ejemplo, cuando la interfaz ce0 se configura por primera vez para DHCP, dhcpagent llama a la secuencia de eventos de la siguiente forma:
/etc/dhcp/eventhook ce0 BOUND
Asigne al archivo ejecutable el nombre /etc/dhcp/eventhook. Establezca el propietario del archivo en root. Establezca los permisos en 755 (rwxr-xr-x ). Escriba la secuencia o programa que debe llevar a cabo una serie de acciones en respuesta a alguno de los eventos documentados. Sun puede agregar nuevos eventos, de modo que el programa debe hacer caso omiso de los eventos no reconocidos o que no requieren accin. Por ejemplo, el programa o secuencia puede escribir un archivo de registro cuando el evento es RELEASE, y no hacer caso de los dems eventos. El programa o secuencia no debe ser interactivo. Antes de llamar a la secuencia de eventos, stdin, stdout y stderr se conectan a /dev/null. Para ver la salida de errores, deber redirigirla a un archivo.
La secuencia de eventos hereda su entorno de programa de dhcpagent, y se ejecuta con privilegios de root. Si es necesario, la secuencia puede utilizar la utilidad dhcpinfo para obtener ms informacin acerca de la interfaz. Para ms informacin consulte la pgina de comando man dhcpinfo(1). El daemon dhcpagent espera la salida de la secuencia de eventos para todos los eventos. Si la secuencia de eventos no sale transcurridos 55 segundos, dhcpagent enva una seal SIGTERM al proceso de la secuencia. Si el proceso sigue sin salir pasados otros tres segundos, el daemon enva una seal SIGKILL para cerrar el proceso.
458
En la pgina de comando man dhcpagent(1M) se muestra un ejemplo de secuencia de eventos. El Ejemplo 163 muestra la forma de utilizar una secuencia de eventos DHCP para mantener actualizado el contenido del archivo /etc/resolv.conf. Cuando tienen lugar los eventos BOUND y EXTEND, la secuencia sustituye los nombres del servidor de dominios y del servidor de nombres. Cuando tienen lugar los eventos EXPIRE, DROP y RELEASE, la secuencia elimina del archivo los nombres del servidor de dominios y del servidor de nombres.
Nota La secuencia de ejemplo supone que DHCP es el origen de autoridad del servidor de dominios y del servidor de nombres. Tambin supone que todas las interfaces bajo control de DHCP devuelven informacin coherente y actualizada. Es posible que estas hiptesis no reflejen las condiciones reales de su sistema.
EJEMPLO 163
#!/bin/ksh -p PATH=/bin:/sbin export PATH umask 0222 # Refresh the domain and name servers on /etc/resolv.conf insert () { dnsservers=dhcpinfo -i $1 DNSserv if [ -n "$dnsservers" ]; then # remove the old domain and name servers if [ -f /etc/resolv.conf ]; then rm -f /tmp/resolv.conf.$$ sed -e /^domain/d -e /^nameserver/d \ /etc/resolv.conf > /tmp/resolv.conf.$$ fi # add the new domain dnsdomain=dhcpinfo -i $1 DNSdmain if [ -n "$dnsdomain" ]; then echo "domain $dnsdomain" >> /tmp/resolv.conf.$$ fi # add new name servers for name in $dnsservers; do echo nameserver $name >> /tmp/resolv.conf.$$ done mv -f /tmp/resolv.conf.$$ /etc/resolv.conf fi } # Remove the domain and name servers from /etc/resolv.conf remove () { if [ -f /etc/resolv.conf ]; then rm -f /tmp/resolv.conf.$$
459
EJEMPLO 163
(Continuacin)
sed -e /^domain/d -e /^nameserver/d \ /etc/resolv.conf > /tmp/resolv.conf.$$ mv -f /tmp/resolv.conf.$$ /etc/resolv.conf fi } case $2 in BOUND | EXTEND) insert $1 exit 0 ;; EXPIRE | DROP | RELEASE) remove exit 0 ;; *) exit 0 ;; esac
460
17
C A P T U L O
1 7
En este captulo se ofrece informacin para ayudarle a resolver problemas que pueden aparecen al configurar un servidor o cliente DHCP. Tambin puede servir de ayuda con posibles problemas de uso de DHCP una vez finalizada la configuracin. Este captulo contiene la informacin siguiente:
Solucin de problemas del servidor DHCP en la pgina 461 Solucin de problemas de configuracin del cliente DHCP en la pgina 467
Consulte el Captulo 14, Configuracin del servicio DHCP (tareas) para obtener informacin sobre la configuracin del servidor DHCP. Consulte Activacin y desactivacin de un cliente DHCP de Oracle Solaris en la pgina 445 para obtener informacin sobre la configuracin de su cliente DHCP.
Problemas de NIS+ y el almacn de datos DHCP en la pgina 461 Errores de asignacin de direccin IP en DHCP en la pgina 465
No se puede seleccionar NIS+ como almacn de datos DHCP en la pgina 462 NIS+ no est bien configurado como almacn de datos DHCP en la pgina 462 Problemas de acceso de NIS+ para el almacn de datos DHCP en la pgina 463
461
El dominio ya debe estar configurado. El servidor maestro del dominio NIS+ se debe estar ejecutando. Las tablas del servidor maestro deben estar llenas. La tabla de hosts debe contener una entrada para el nuevo sistema cliente, el sistema servidor DHCP.
Setting Up NIS+ Client Machines de System Administration Guide: Naming and Directory Services (NIS+) ofrece informacin detallada acerca de la configuracin de un cliente NIS+.
/usr/lib/nis/nisstat Este comando muestra las estadsticas del dominio. Si el objeto raz no existe, no se devuelve estadstica alguna. Configure el dominio NIS+ siguiendo las indicaciones de la System Administration Guide: Naming and Directory Services (NIS+).
Problema: NIS+ no se utiliza para la informacin de passwd y publickey. Solucin: Escriba el comando siguiente para ver el archivo de configuracin del cambio de servicio de nombres: cat /etc/nsswitch.conf Compruebe si en las entradas passwd y publickey aparece la palabra clave nisplus. Consulte la System Administration Guide: Naming and Directory Services (NIS+) para obtener informacin acerca de la configuracin del cambio de servicio de nombres.
462 Gua de administracin del sistema: servicios IP Septiembre de 2010
domainname Si el comando muestra una cadena vaca, no se ha establecido ningn nombre para el dominio. Utilice archivos locales como almacn de datos o configure un dominio NIS+ para su red. Consulte la System Administration Guide: Naming and Directory Services (NIS+).
Problema: El archivo NIS_COLD_START no existe. Solucin: Escriba el comando siguiente en el sistema servidor para determinar si el archivo existe: cat /var/nis/NIS_COLD_START Utilice archivos locales como almacn de datos o crre un cliente NIS+. Consulte la System Administration Guide: Naming and Directory Services (NIS+).
dominio NIS+.
Solucin: Escriba el siguiente comando: nisls -ld org_dir
Los derechos de acceso se muestran en la forma r---rmcdrmcdr---, donde los permisos se aplican respectivamente a nobody (nadie), owner (propietario), group (grupo) y world (todos). El propietario del objeto se indica a continuacin. Normalmente, el objeto de directorio org_dir proporciona todos los derechos al propietario y al grupo. "Todos los derechos" significa derechos de leer, modificar, crear y destruir. El objeto de directorio org_dir proporicona nicamente acceso de lectura a las clases world y nobody. El nombre del servidor DHCP debe figurar como propietario del objeto org_dir o bien como principal en el grupo. El grupo debe tener acceso de creacin. Utilice el comando siguiente para ver el grupo:
nisls -ldg org_dir
Utilice el comando nischmod para cambiar los permisos de org_dir, si es necesario. Por ejemplo, para agregar al grupo acceso de creacin, escriba el siguiente comando:
nischmod g+c org_dir
Problema: El servidor DHCP no tiene derechos de acceso para crear una tabla en el objeto
org_dir. Normalmente, este problema significa que el nombre principal del sistema servidor no es miembro del grupo propietario del objeto org_dir, o que no existe un grupo propietario.
Solucin: Escriba este comando para averiguar el nombre del grupo propietario: niscat -o org_dir
Busque una lnea similar a la siguiente: Group : "admin.example.com." Para ver los nombres de principales del grupo, utilice el comando:
nisgrpadm -l groupname
Por ejemplo, este comando muestra los nombres de principales del grupo admin.example.com: nisgrpadm -l admin.example.com El nombre del sistema servidor debe aparecer como miembro explcito del grupo o estar incluido como miembro implcito de l. Si es necesario, agregue el nombre del sistema servidor al grupo mediante el comando nisgrpadm. Por ejemplo, para agregar el servidor de nombres pacific al grupo admin.example.com , utilice el siguiente comando:
nisgrpadm -a admin.example.com pacific.example.com
Utilice el comando nisaddcred para agregar credenciales de seguridad para un sistema servidor DHCP. En el ejemplo siguiente se muestra la forma de agregar credenciales DES para el sistema mercury en el dominio example.com:
nisaddcred -p unix.mercury@example.com \ -P mercury.example.com. DES example.com.
El comando solicita la contrasea de usuario root, necesaria para generar una clave secreta cifrada. Para ms informacin consulte la pgina de comando man nisaddcred(1M).
464
la tabla de red agregando la red de nuevo mediante DHCP Manager o mediante el comando dhcpconfig. Respuesta de ICMP ECHO al candidato de OFFER: n.n.n.n, desactivando Causa: La direccin IP que se iba a ofrecer a un cliente DHCP ya se est utilizando. Este problema puede surgir si hay ms de un servidor DHCP propietario de la direccin. Tambin puede ocurrir si se ha configurado manualmente una direccin para un cliente de red no DHCP.
Solucin: Determine el verdadero propietario de la direccin. Corrija la base de datos del servidor DHCP o la configuracin de red del host.
Respuesta de ICMP ECHO al candidato de OFFER: n.n.n.n. No hay registro de red dhcp correspondiente. Causa: La direccin IP que se iba a ofrecer a un cliente DHCP no tiene un registro en una tabla de red. Este error indica que el registro de la direccin IP se elimin de la tabla de red DHCP despus de seleccionar la direccin. Este error solo puede suceder durante el breve intervalo antes de terminar de comprobar la direccin duplicada.
Solucin: Utilice DHCP Manager o el comando pntadm para ver la tabla de red DHCP. Si falta
la direccin IP, crela con DHCP Manager eligiendo Crear en el men Edicin de la tabla Direccin. Tambin puede crear la direccin IP con el comando pntadm. Registro de red DHCP para n.n.n.n no disponible, solicitud ignorada. Causa: El registro de la direccin IP solicitada no est en la tabla de red DHCP, de modo que el servidor abandona la solicitud.
Solucin: Utilice DHCP Manager o el comando pntadm para ver la tabla de red DHCP. Si falta
la direccin IP, crela con DHCP Manager eligiendo Crear en el men Edicin de la tabla Direccin. Tambin puede crear la direccin IP con el comando pntadm. n.n.n.n actualmente marcada como no utilizable. Causa: La direccin IP solicitada no se puede ofrecer porque se ha marcado como no utilizable en la tabla de red.
Captulo 17 Solucin de problemas de DHCP (referencia) 465
Solucin: Utilice DHCP Manager o el comando pntadm para marcar la direccin como utilizable.
n.n.n.n se ha asignado manualmente. No se asignar ninguna direccin dinmica. Causa: Se ha asignado manualmente una direccin al ID de cliente, y se ha marcado la direccin como no utilizable. El servidor no puede asignar a este cliente una direccin distinta.
Solucin: Utilice DHCP Manager o el comando pntadm para hacer que la direccin sea utilizable, o asigne manualmente al cliente una direccin distinta.
La asignacin manual (n.n.n.n, ID de cliente) tiene otros n registros. Debera tener 0. Causa: Se ha asignado manualmente ms de una direccin IP al cliente con el ID especificado. Solo se debe asignar una direccin por cliente. El servidor selecciona la ltima direccin asignada que encuentra en la tabla de red.
Solucin: Utilice DHCP Manager o el comando pntadm para modificar direcciones IP y eliminar las asignaciones manuales adicionales.
No hay ms direcciones IP en la red n.n.n.n. Causa: Se han asignado todas las direcciones IP actualmente gestionadas por DHCP en la red especificada.
Solucin: Utilice DHCP Manager o el comando pntadm para crear nuevas direcciones IP para
esta red. El permiso del cliente: ID_cliente en n.n.n.n ha caducado. Causa: El permiso no era negociable y ha caducado.
Solucin: El cliente deber iniciar automticamente el protocolo para obtener un nuevo permiso.
Ha caducado la oferta para el cliente: n.n.n.n Causa: El servidor ha hecho una oferta de direccin IP al cliente, pero el cliente ha tardado demasiado en responder y la oferta ha caducado.
Solucin: El cliente deber emitir automticamente otro mensaje de descubrimiento. Si este mensaje caduca tambin, aumente el tiempo de caducidad de ofertas del servidor DHCP. En el Administrador de DHCP, elija Modify en el men Service.
El permiso del cliente: ID_cliente le falta la opcin de IP solicitada. Causa: La solicitud del cliente no especificaba la direccin IP ofrecida, de modo que el servidor DHCP ha hecho caso omiso de la solicitud. Este problema puede presentarse si se utiliza un cliente DHCP de otro fabricante que no sea compatible con el protocolo DHCP actualizado, RFC 2131.
466 Gua de administracin del sistema: servicios IP Septiembre de 2010
El permiso del cliente: ID_cliente est intentando renovar n.n.n.n, una direccin IP a la que no ha dado permiso. Causa: La direccin IP de este cliente en la tabla de red DHCP no coincide con la direccin IP especificada en su solicitud de renovacin. El servidor DHCP no renueva el permiso. Este problema se puede presentar al borrar un registro del cliente mientras este est an utilizando la direccin IP.
Solucin: Utilice DHCP Manager o el comando pntadm para examinar la table de red y corregir el registro del cliente en caso necesario. El ID del cliente debe estar vinculado a la direccin IP especificada. Si no est vinculado a ella, edite las propiedades de la direccin para agregar el ID del cliente.
El permiso del cliente: ID_cliente est intentando verificar la direccin no registrada: n.n.n.n, ignorada. Causa: El cliente especificado no se ha registrado en la tabla de red DHCP con esta direccin, de modo que este servidor DHCP hace caso omiso de la solicitud. Es posible que otro servidor DHCP de la red haya asignado la direccin al cliente. Sin embargo, puede que haya eliminado tambin el registro del cliente mientras este an estaba utilizando la direccin IP.
Solucin: Utilice DHCP Manager o el comando pntadm para examinar la tabla de red de este servidor y otros servidores DHCP de la red. Efecte las correcciones necesarias.
Tambin puede no hacer nada y permitir que el permiso caduque. El cliente solicitar automticamente un nuevo permiso de direccin. Si quiere que el cliente obtenga un nuevo permiso inmediatamente, reinicie el protocolo DHCP en el cliente mediante los comandos siguientes:
ifconfig interface dhcp release ifconfig interface dhcp start
Problemas de comunicacin con el servidor DHCP en la pgina 468 Problemas por informacin de configuracin DHCP incorrecta en la pgina 476
467
Antes de poder determinar el problema, deber reunir informacin de diagnstico del cliente y del servidor. Para recopilar esta informacin, efecte las siguientes tareas: 1. Cmo ejejcutar el cliente DHCP en modo de depuracin en la pgina 468 2. Cmo ejecutar el servidor DHCP en modo de depuracin en la pgina 469 3. Cmo utilizar snoop para supervisar el trfico DHCP en la red en la pgina 469 Puede llevar a cabo estos procesos de forma independiente o simultnea. La informacin recogida puede ayudarle a determinar si el problema es del cliente, del servidor o de un agente de reenvo. Esto le permitir hallar una solucin.
Asgnese los privilegios de superusuario en el sistema del cliente DHCP. Finalice el daemon del cliente DHCP.
# pkill -x dhcpagent
La opcin -d pone el cliente DHCP en modo de depuracin con detalle de nivel 1. La opcin -f hace que la salida se enve a la consola en lugar de a syslog.
4
Sustituya interfaz por el nombre de la interfaz de red del cliente, por ejemplo ge0.
468 Gua de administracin del sistema: servicios IP Septiembre de 2010
Cuando se ejcuta en modo de depuracin, el daemon del cliente muestra mensajes en pantalla mientras atiende las solicitudes de DHCP. Consulte Salida del cliente DHCP en modo de depuracin en la pgina 470 para obtener informacin sobre la salida del cliente en dicho modo.
Deber utilizar tambin las opciones de lnea de comandos de in.dhcpd que utiliza normalmente al ejecutar el daemon. Por ejemplo, si ejecuta el daemon como agente de reenvo BOOTP, incluya la opcin -r en el comando in.dhcpd -d -v. Cuando se ejecuta en modo de depuracin, el daemon muestra mensajes en pantalla mientras procesa las solicitudes de DHCP o BOOTP. Consulte Salida del servidor DHCP en modo de depuracin en la pgina 471 para obtener informacin sobre la depuracin del servidor.
Asgnese los privilegios de superusuario en el sistema del servidor DHCP. Inicie snoop para empezar a rastrear el trfico de red que pasa por la interfaz de red del servidor.
# /usr/sbin/snoop -d interface -o snoop-output-filename udp port 67 or udp port 68
snoop sigue supervisando la interfaz hasta que detenga snoop pulsando Control-C cuando ya tenga la informacin que necesita.
3
Inicie el sistema cliente o reinicie dhcpagent en l. En Cmo ejejcutar el cliente DHCP en modo de depuracin en la pgina 468 se indca cmo reiniciar dhcpagent. En el sistema servidor, utilice snoop para mostrar el archivo de salida con el contenido de los paquetes de red:
# /usr/sbin/snoop -i snoop-output-filename -x0 -v
Captulo 17 Solucin de problemas de DHCP (referencia) 469
ConsulteSalida de snoop en DHCP en la pgina 474 para obtener informacin de interpretacin de la salida.
Salida normal del cliente DHCP en modo de depuracin debug: set_packet_filter: set filter 0x27fc8 (DHCP filter) debug: init_ifs: initted interface hme0 debug: insert_ifs: hme0: sdumax 1500, optmax 1260, hwtype 1, hwlen 6 debug: insert_ifs: inserted interface hme0 debug: register_acknak: registered acknak id 5 debug: unregister_acknak: unregistered acknak id 5 debug: set_packet_filter: set filter 0x26018 (ARP reply filter) info: setting IP netmask on hme0 to 255.255.192.0 info: setting IP address on hme0 to 10.23.3.233 info: setting broadcast address on hme0 to 10.23.63.255 info: added default router 10.23.0.1 on hme0 debug: set_packet_filter: set filter 0x28054 (blackhole filter) debug: configure_if: bound ifsp->if_sock_ip_fd info: hme0 acquired lease, expires Tue Aug 10 16:18:33 2006 info: hme0 begins renewal at Tue Aug 10 15:49:44 2006 info: hme0 begins rebinding at Tue Aug 10 16:11:03 2006
/sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent:
Si el cliente no puede acceder al servidor DHCP, es posible que la salida del modo de depuracin sea similar a este ejemplo.
EJEMPLO 172
Salida del cliente DHCP en modo de depuracin que indica que hay algn problema debug: debug: debug: debug: debug: set_packet_filter: set filter 0x27fc8 (DHCP filter) init_ifs: initted interface hme0 select_best: no valid OFFER/BOOTP reply select_best: no valid OFFER/BOOTP reply select_best: no valid OFFER/BOOTP reply
Si se muestra este mensaje, la solicitud del cliente no ha llegado al servidor o el servidor no puede enviar una respuesta al cliente. Ejecute snoop en el servidor segn se describe en Cmo utilizar snoop para supervisar el trfico DHCP en la red en la pgina 469 para determinar si los paquetes del cliente han llegado al servidor.
470 Gua de administracin del sistema: servicios IP Septiembre de 2010
Daemon Version: 3.1 Maximum relay hops: 4 Transaction logging to console enabled. Run mode is: DHCP Server Mode. Datastore: nisplus Path: org_dir.dhcp.test..:dhcp.test..:$ DHCP offer TTL: 10 Ethers compatibility enabled. BOOTP compatibility enabled. ICMP validation timeout: 1000 milliseconds, Attempts: 2. Monitor (0005/hme0) started... Thread Id: 0005 - Monitoring Interface: hme0 ***** MTU: 1500 Type: DLPI Broadcast: 10.21.255.255 Netmask: 255.255.0.0 Address: 10.21.0.2 Monitor (0006/nf0) started... Thread Id: 0006 - Monitoring Interface: nf0 ***** MTU: 4352 Type: DLPI Broadcast: 10.22.255.255 Netmask: 255.255.0.0 Address: 10.22.0.1 Monitor (0007/qfe0) started... Thread Id: 0007 - Monitoring Interface: qfe0 ***** MTU: 1500 Type: DLPI Broadcast: 10.23.63.255 Netmask: 255.255.192.0 Address: 10.23.0.1 Read 33 entries from DHCP macro database on Tue Aug 10 15:10:27 2006 Datagram received on network device: qfe0 Client: 0800201DBA3A is requesting verification of address owned by 10.21.0.4 Datagram received on network device: qfe0 Client: 0800201DBA3A is requesting verification of address owned by 10.21.0.4 Datagram received on network device: qfe0 Client: 0800201DBA3A is requesting verification of address owned by 10.21.0.4 Datagram received on network device: qfe0 Client: 0800201DBA3A maps to IP: 10.23.3.233 Unicasting datagram to 10.23.3.233 address. Adding ARP entry: 10.23.3.233 == 0800201DBA3A DHCP EXTEND 0934312543 0934316143 10.23.3.233 10.21.0.2 0800201DBA3A SUNW.Ultra-5_10 0800201DBA3A
Captulo 17 Solucin de problemas de DHCP (referencia) 471
El Ejemplo 174 muestra la salida del modo de depuracin de un daemon DHCP que se inicia como agente de reenvo BOOTP. El agente reenva solicitudes de un cliente a un servidor DHCP, y reenva las respuestas del servidor al cliente.
EJEMPLO 174
Relay destination: 10.21.0.4 (blue-servr2) network: 10.21.0.0 Daemon Version: 3.1 Maximum relay hops: 4 Transaction logging to console enabled. Run mode is: Relay Agent Mode. Monitor (0005/hme0) started... Thread Id: 0005 - Monitoring Interface: hme0 ***** MTU: 1500 Type: DLPI Broadcast: 10.21.255.255 Netmask: 255.255.0.0 Address: 10.21.0.2 Monitor (0006/nf0) started... Thread Id: 0006 - Monitoring Interface: nf0 ***** MTU: 4352 Type: DLPI Broadcast: 10.22.255.255 Netmask: 255.255.0.0 Address: 10.22.0.1 Monitor (0007/qfe0) started... Thread Id: 0007 - Monitoring Interface: qfe0 ***** MTU: 1500 Type: DLPI Broadcast: 10.23.63.255 Netmask: 255.255.192.0 Address: 10.23.0.1 Relaying request 0800201DBA3A to 10.21.0.4, server port. BOOTP RELAY-SRVR 0934297685 0000000000 0.0.0.0 10.21.0.4 0800201DBA3A N/A 0800201DBA3A Packet received from relay agent: 10.23.0.1 Relaying reply to client 0800201DBA3A Unicasting datagram to 10.23.3.233 address. Adding ARP entry: 10.23.3.233 == 0800201DBA3A BOOTP RELAY-CLNT 0934297688 0000000000 10.23.0.1 10.23.3.233 0800201DBA3A N/A 0800201DBA3A Relaying request 0800201DBA3A to 10.21.0.4, server port. BOOTP RELAY-SRVR 0934297689 0000000000 0.0.0.0 10.21.0.4 0800201DBA3A N/A 0800201DBA3A Packet received from relay agent: 10.23.0.1 Relaying reply to client 0800201DBA3A Unicasting datagram to 10.23.3.233 address. Adding ARP entry: 10.23.3.233 == 0800201DBA3A
Si hay algn problema con DHCP, la salida del modo de depuracuin puede contener advertencias o mensajes de error. Utilice la siguiente lista de mensajes de error del servidor DHCP para encontrar soluciones. Respuesta de ICMP ECHO al candidato de OFFER: direccin_ip desactivando Causa: Antes de que el servidor DHCP ofrezca una direccin IP a un cliente, el servidor enva un ping a la direccin para comprobar que no se est utilizando. Si algn cliente responde, la direccin se est utilizando.
472 Gua de administracin del sistema: servicios IP Septiembre de 2010
Solucin: Asegrese de que las direcciones configuradas no se estn utilizando. Puede utilizar para ello el comando ping. Para ms informacin consulte la pgina de comando manping(1M).
No hay ms direcciones IP en la red direccin_red. Causa: No hay direcciones IP disponibles en la tabla de red DHCP asociada con la red del cliente.
Solucin: Cree ms direcciones IP mediante DHCP Manager o el comando pntadm. Si el daemon de DHCP est supervisando varias subredes, compruebe que las direcciones adicionales son para la subred en la que se encuentra el cliente. Para ms informacin consulte Cmo agregar direcciones IP al servicio DHCP en la pgina 391.
No hay mas direcciones IP para la red direccin_red cuando se ejcuta el daemon de DHCP en modo de compatibilidad con BOOTP. Causa: BOOTP no utiliza tiempos de permiso, de modo que el servidor DHCP busca direcciones libres con el indicador BOOTP activado para asignar a clientes BOOTP.
Solucin: Utilice DHCP Manager para asignar direcciones BOOTP. Para ms informacin
consulte Clientes BOOTP con el servicio DHCP (mapa de tareas) en la pgina 384. Solicitud de acceso a base de datos por red inexistente: nombre_base_datos en almacn de datos: almacn_datos. Causa: Durante la configuracin del servidor DHCP no se ha creado una tabla de red DHCP para una subred.
Solucin: Utilice DHCP Manager o el comando pntadm para crear la tabla de red DHCP y
nuevas direcciones IP. Consulte Cmo agregar redes DHCP en la pgina 377. No existe la tabla de red DHCP nombre_tabla para la red del cliente DHCP. Causa: Durante la configuracin del servidor DHCP no se ha creado una tabla de red DHCP para una subred.
Solucin: Utilice DHCP Manager o el comando pntadm para crear la tabla de red DHCP y nuevas direcciones IP. Consulte Cmo agregar redes DHCP en la pgina 377.
El cliente utiliza una cookie de BOOTP no compatible con RFC1048. Causa: Un dispositivo de la red est intentando acceder a una implementacin incompatible de BOOTP.
Solucin: Haga caso omiso de este mensaje a menos que tenga necesidad de configurar el dispositivo. Si quiere que el dispositivo sea compatible, consulte Clientes BOOTP con el servicio DHCP (mapa de tareas) en la pgina 384 para ms informacin.
473
ETHER: ----- Ether Header ----ETHER: ETHER: Packet 26 arrived at 14:43:19.14 ETHER: Packet size = 540 bytes ETHER: Destination = 8:0:20:8e:f3:7e, Sun ETHER: Source = 8:0:20:1e:31:c1, Sun ETHER: Ethertype = 0800 (IP) ETHER: IP: ----- IP Header ----IP: IP: Version = 4 IP: Header length = 20 bytes IP: Type of service = 0x00 IP: xxx. .... = 0 (precedence) IP: ...0 .... = normal delay IP: .... 0... = normal throughput IP: .... .0.. = normal reliability IP: Total length = 526 bytes IP: Identification = 64667 IP: Flags = 0x4 IP: .1.. .... = do not fragment IP: ..0. .... = last fragment IP: Fragment offset = 0 bytes IP: Time to live = 254 seconds/hops IP: Protocol = 17 (UDP) IP: Header checksum = 157a IP: Source address = 10.21.0.4, blue-servr2 IP: Destination address = 192.168.252.6, white-6 IP: No options IP: UDP: ----- UDP Header ----UDP: UDP: Source port = 67 UDP: Destination port = 68 (BOOTPC)
474 Gua de administracin del sistema: servicios IP Septiembre de 2010
EJEMPLO 175
(Continuacin)
UDP: Length = 506 UDP: Checksum = 5D4C UDP: DHCP: ----- Dynamic Host Configuration Protocol ----DHCP: DHCP: Hardware address type (htype) = 1 (Ethernet (10Mb)) DHCP: Hardware address length (hlen) = 6 octets DHCP: Relay agent hops = 0 DHCP: Transaction ID = 0x2e210f17 DHCP: Time since boot = 0 seconds DHCP: Flags = 0x0000 DHCP: Client address (ciaddr) = 0.0.0.0 DHCP: Your client address (yiaddr) = 192.168.252.6 DHCP: Next server address (siaddr) = 10.21.0.2 DHCP: Relay agent address (giaddr) = 0.0.0.0 DHCP: Client hardware address (chaddr) = 08:00:20:11:E0:1B DHCP: DHCP: ----- (Options) field options ----DHCP: DHCP: Message type = DHCPACK DHCP: DHCP Server Identifier = 10.21.0.4 DHCP: Subnet Mask = 255.255.255.0 DHCP: Router at = 192.168.252.1 DHCP: Broadcast Address = 192.168.252.255 DHCP: NISPLUS Domainname = dhcp.test DHCP: IP Address Lease Time = 3600 seconds DHCP: UTC Time Offset = -14400 seconds DHCP: RFC868 Time Servers at = 10.21.0.4 DHCP: DNS Domain Name = sem.example.com DHCP: DNS Servers at = 10.21.0.1 DHCP: Client Hostname = white-6 DHCP: Vendor-specific Options (166 total octets): DHCP: (02) 04 octets 0x8194AE1B (unprintable) DHCP: (03) 08 octets "pacific" DHCP: (10) 04 octets 0x8194AE1B (unprintable) DHCP: (11) 08 octets "pacific" DHCP: (15) 05 octets "xterm" DHCP: (04) 53 octets "/export/s2/base.s2s/latest/Solaris_8/Tools/Boot" DHCP: (12) 32 octets "/export/s2/base.s2s/latest" DHCP: (07) 27 octets "/platform/sun4u/kernel/unix" DHCP: (08) 07 octets "EST5EDT" 0: 0800 208e f37e 0800 201e 31c1 0800 4500 .. .~.. .1...E. 16: 020e fc9b 4000 fe11 157a ac15 0004 c0a8 ....@....z...... 32: fc06 0043 0044 01fa 5d4c 0201 0600 2e21 ...C.D..]L.....! 48: 0f17 0000 0000 0000 0000 c0a8 fc06 ac15 ................ 64: 0002 0000 0000 0800 2011 e01b 0000 0000 ........ ....... 80: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 96: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 112: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 128: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 144: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 160: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 176: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 192: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 208: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 224: 0000 0000 0000 0000 0000 0000 0000 0000 ................
Captulo 17 Solucin de problemas de DHCP (referencia) 475
EJEMPLO 175
Ejemplo de salida de snoop para un paquete 0000 0000 0000 0401 a8fc 0000 0f10 6f6d 362b 7469 7469 6f72 735f 6172 740c 6173 6573 756e 0807 0000 0000 0000 04ff ff40 0e10 736e 0604 a602 630a 630f 742f 776f 6973 202f 652e 7407 346d 4553 0000 0000 6382 ffff 0964 0204 742e ac15 0481 0481 0578 7332 732f 5f38 6578 7332 1b2f 2f6b 5435 0000 0000 5363 0003 6863 ffff 6561 0001 94ae 94ae 7465 382f 6c61 2f54 706f 3873 706c 6572 4544 0000 0000 3501 04c0 702e c7c0 7374 0c07 1b03 1b0b 726d 6261 7465 6f6f 7274 5f77 6174 6e65 54ff 0000 0000 0536 a8fc 7465 0404 2e73 7768 0861 0861 0435 7365 7374 6c73 2f73 6f73 666f 6c2f 0000 0000 04ac 011c 7374 ac15 756e 6974 746c 746c 2f65 2e73 2f53 2f42 3238 2f6c 726d 756e
(Continuacin) ................ ................ ......c.Sc5..6.. ................ .....@.dhcp.test 3............... ....sem.example. com.........whit e-6+.........pac ific.........pac ific...xterm.5/e xport/sx2/bcvf.s 2xs_btf/latest/S olaris_x/Tools/B oot. /export/s2x /bcvf.s2xs_btf/l atest../platform /sun4u/kernel/un ix..EST5EDT.
240: 256: 272: 288: 304: 320: 336: 352: 368: 384: 400: 416: 432: 448: 464: 480: 496: 512: 528:
0000 0000 0000 1500 04c0 3304 0004 2e63 652d 616e 616e 7870 3238 6f6c 6f6f 2f62 6174 2f73 6978
Examine las macros definidas en el servidor tal como se describe en Cmo visualizar las macros definidas en un servidor DHCP (Administrador de DHCP) en la pgina 405. Revise la informacin en Orden del procesamiento de macros en la pgina 323 y determine qu macros se procesan automticamente para este cliente. Examine la tabla de red para determinar si se asigna alguna macro a la direccin IP del cliente como macro de configuracin y, en su caso, cul es. Para ms informacin consulte Uso de direcciones IP en el servicio DHCP (mapa de tareas) en la pgina 387. Anote las opciones que aparecen en ms de una macro. Asegrese de que el valor deseado para una opcin se configura en la ltima macro procesada. Edite la macro o macros necesarias para garantizar que se pasa el valor correcto al cliente. Consulte Modificacin de macros DHCP en la pgina 406.
476
de DNS.
Solucin: Si el cliente tiene disponibles dos servidores DHCP, ambos se deben configurar para proporcionar actualizaciones de DNS. Consulte Habilitacin de las actualizaciones DNS dinmicas por parte del servidor DHCP en la pgina 368 para obtener informacin sobre la configuracin del servidor DHCP y del servidor DNS.
Para determinar si el servidor DHCP est configurado para proporcionar actualizaciones de DNS: 1. Determine la direccin IP del servidor DHCP del cliente. En el sistema cliente, utilice snoop u otra aplicacin para capturar paquetes de red. Consulte Cmo utilizar snoop para supervisar el trfico DHCP en la red en la pgina 469 y efecte el procedimiento en el cliente en lugar de hacerlo en el servidor. En la salida de snoop, busque el identificador del servidor DHCP para obtener la direccin IP del servidor. 2. Inicie sesin en el sistema servidor DHCP para comprobar que est configurado para efectuar actualizaciones de DNS. Escriba el siguiente comando como superusuario: dhcpconfig -P Si aparece UPDATE_TIMEOUT como parmetro de servidor, el servidor DHCP est configurado para efectuar actualizaciones de DNS. 3. En el servidor DNS, examine el archivo /etc/named.conf. Busque la palabta clave allow-update en la seccin zone del dominio apropiado. Si el servidor permite que el servidor DHCP efecte actualizaciones de DNS, la direccin IP del servidor DHCP aparecer en la palabra clave allow-update.
Captulo 17 Solucin de problemas de DHCP (referencia) 477
Problema: El cliente utiliza la opcin FQDN para especificar el nombre de host. Actualmente
Oracle Solaris DHCP no es compatible con FQDN porque no es una opcin oficial del protocolo DHCP.
Solucin: En el servidor, utilice snoop u otra aplicacin para capturar paquetes de red. Consulte
Cmo utilizar snoop para supervisar el trfico DHCP en la red en la pgina 469 En la salida de snoop, busque la opcin FQDN en un paquete del cliente. Configure el cliente para que especifique el nombre de host con la opcin Hostname. Hostname tiene el cdigo de opcin 12. Consulte la documentacin de cliente para obtener instrucciones. Para un cliente DHCP de Oracle Solaris, consulte Cmo activar un cliente DHCPv4 de Oracle Solaris para que solicite un nombre de host especfico en la pgina 451.
Problema: El servidor DHCP que efecta una oferta de direccin al cliente no conoce el dominio
DNS de este.
Solucin: En el servidor DHCP, busque la opcin DNSdmain con un valor vlido. Configure la
opcin DNSdmain con el dominio DNS correcto en una macro procesada para este cliente. DNSdmain suele estar incluida en la macro de red. Consulte Modificacin de macros DHCP en la pgina 406 para obtener informacin sobre cmo cambiar los valores de las opciones de una macro.
Problema: El nombre de host solicitado por el cliente corresponde a una direccin IP no gestionada por el servidor DHCP. El servidor DHCP de Oracle Solaris no efecta actualizaciones de DNS para direcciones IP que no gestiona. Solucin: Examinesyslog y busque uno de los siguientes mensajes del servidor DHCP:
There is no n.n.n.n dhcp-network table for DHCP clients network. DHCP network record for n.n.n.n is unavailable, ignoring request.
Configure el cliente para que solicite un nombre distinto. Consulte Cmo activar un cliente DHCPv4 de Oracle Solaris para que solicite un nombre de host especfico en la pgina 451. Elija un nombre asignado a una de las direcciones gestionadas por el servidor DHCP. Puede acceder a las asignaciones de direcciones en la ficha Direcciones de DHCP Manager. Tambin puede elegir una direccin que no est asignada a ninguna direccin IP.
Problema: El nombre de host solicitado por el cliente corresponde a una direccin IP no disponible actualmente. Es posible que la direccin se est utilizando, se haya asignado a otro cliente o se haya ofrecido a otro cliente. Solucin: Examinesyslog y busque el siguiente mensaje del servidor DHCP: ICMP ECHO reply to OFFER candidate: n.n.n.n.
Configure el cliente para que elija un nombre que corresponda a una direccin IP distinta. Tambin puede recuperar la direccin del cliente que la est utilizando.
478
Problema: El servidor DNS no est configurado para aceptar actualizaciones del servidor DHCP. Solucin: Examine el archivo /etc/named.conf del servidor DNS. Busque la direccin IP del servidor DHCP con la palabra clave allow-update en la seccin zone apropiada del dominio del servidor DHCP. Si no encuentra la direccin IP, el servidor DNS no est configurado para aceptar actualizaciones del servidor DHCP. Consulte Cmo activar la actualizacin de DNS dinmica para los clientes DHCP en la pgina 369 para obtener informacin sobre la configuracin del servidor DNS. Si el servidor DHCP tiene varias interfaces, quiz deba configurar el servidor DNS para que acepte actualizaciones de todas las direcciones del servidor DHCP. Active el modo de depuracin en el servidor DNS para ver si le estn llegando las actualizaciones. Si el servidor DNS ha recibido solicitudes de actualizacin, examine la salida del modo de depuracin para determinar por qu no se han producido las actualizaciones. Consulte la pgina de comando man in.named.1M para obtener informacin sobre el modo de depuracin de DNS. Problema: Es posible que las actualizaciones de DNS no se hayan completado en el tiempo asignado. Los servidores DHCP no devuelven nombres de host a los clientes si las actualizaciones de DNS no se han completado antes del lmite de tiempo configurado. Sin embargo, los intentos de completar las actualizaciones de DNS no se interrumpen. Solucin: Utilice el comando nslookup para determinar si las actualizaciones se han completado satisfactoriamente. Consulte la pgina de comando man nslookup(1M). Por ejemplo, supongamos que el dominio DNS es hills.example.org y la direccin IP del servidor DNS es 10.76.178.11. El nombre de host que el cliente desea registrar es cathedral. Puede utilizar el comando siguiente para determinar si cathedral se ha registrado con ese servidor DNS: nslookup cathedral.hills.example.org 10.76.178.11 Si las actualizaciones se han efectuado satisfactoriamente, pero no en el tiempo asignado, deber aumentar el tiempo. Consulte Cmo activar la actualizacin de DNS dinmica para los clientes DHCP en la pgina 369. En este procedimiento deber aumentar el nmero de segundos durante los que se debe esperar una respuesta del servidor DNS antes de que se agote el tiempo.
479
480
18
C A P T U L O
1 8
En este captulo se explican las relaciones entre los comandos DHCP y los archivos DHCP. En l no se explica el uso de los comandos. El captulo contiene la informacin siguiente: Comandos DHCP en la pgina 481 Archivos que utiliza el servicio DHCP en la pgina 488 Informacin de opciones DHCP en la pgina 490
Comandos DHCP
En la tabla siguiente se enumeran los comandos que se pueden utilizar para gestionar DHCP en la red.
TABLA 181 Orden
dhtadm
Se emplea para efectuar cambios en las opciones y macros de dhcptab. Este comando resulta til en secuencias creadas para automatizar los cambios en la informacin DHCP. Utilice dhtadm con la opcin -P y redirija la salida al comando grep para buscar de forma rpida valores especficos de opciones en la tabla dhcptab. Se utiliza para efectuar cambios en las tablas de red DHCP que asignan ID de cliente a direcciones IP y, de foram opcional, asocian informacin de configuracin con direcciones IP. Se usa para configurar y desconfigurar servidors DHCP y agentes de reenvo BOOTP. Tambin se utiliza para convertir a un formato de almacn de datos distinto y para importar y exportar datos de configuracin DHCP.
dhtadm(1M)
pntadm
pntadm(1M)
dhcpconfig
dhcpconfig(1M)
481
Comandos DHCP
(Continuacin)
Pgina de comando man
in.dhcpd
Daemon del servidor DHCP. El daemon se inicia al iniciarse el sistema. No es conveniente iniciar el daemon del servidor directamente. Utilice DHCP Manager, el comando svcadm o dhcpconfig para iniciar y detener el daemon. El daemon solo se debe llamar directamente para ejecutar el servidor en modo de depuracin y para resolver problemas.
in.dhcpd(1M)
dhcpmgr
DHCP Manager, una interfaz grfica de usuario (GUI) que se utiliza para dhcpmgr(1M) la configuracin y gestin del servicio DHCP. DHCP Manager es la herramienta recomendada para gestionar DHCP de Oracle Solaris. Se utiliza en el inicio del sistema para asignar direcciones IP a interfaces de red, configurar parmetros de red o ambas funciones. En un cliente DHCP de Oracle Solaris, ifconfig inicia DHCP para obtener los parmetros (incluida la direccin IP) necesarios para configurar una interfaz de red. Lo utilizan las secuencias de inicio de los sistemas cliente de Oracle Solaris para obtener informacin (como el nombre de host) para el daemon del cliente DHCP, dhcpagent. Tambin se puede utilizar dhcpinfo en secuencias o en la lnea de comandos para obtener valores de parmetros especficos. Se utiliza para capturar y mostrar el contenido de paquetes que circulan por la red. snoop resulta til para resolver problemas del servicio DHCP. El daemon del cliente DHCP, que implementa el extrremo cliente del protocolo DHCP. ifconfig(1M)
ifconfig
dhcpinfo
dhcpinfo(1)
snoop
snoop(1M)
dhcpagent
dhcpagent(1M)
#! /usr/bin/ksh # # This script utilizes the pntadm batch facility to add client entries # to a DHCP network table. It assumes that the user has the rights to # run pntadm to add entries to DHCP network tables. # # Based on the nsswitch setting, query the netmasks table for a netmask. # Accepts one argument, a dotted IP address. # get_netmask() {
482 Gua de administracin del sistema: servicios IP Septiembre de 2010
Comandos DHCP
EJEMPLO 181
(Continuacin)
MTMP=getent netmasks ${1} | awk { print $2 } if [ ! -z "${MTMP}" ] then print - ${MTMP} fi } # # Based on the network specification, determine whether or not network is # subnetted or supernetted. # Given a dotted IP network number, convert it to the default class # network.(used to detect subnetting). Requires one argument, the # network number. (e.g. 10.0.0.0) Echos the default network and default # mask for success, null if error. # get_default_class() { NN01=${1%%.*} tmp=${1#*.} NN02=${tmp%%.*} tmp=${tmp#*.} NN03=${tmp%%.*} tmp=${tmp#*.} NN04=${tmp%%.*} RETNET="" RETMASK="" typeset -i16 ONE=10#${1%%.*} typeset -i10 X=$((${ONE}&16#f0)) if [ ${X} -eq 224 ] then # Multicast typeset -i10 TMP=$((${ONE}&16#f0)) RETNET="${TMP}.0.0.0" RETMASK="240.0.0.0" fi typeset -i10 X=$((${ONE}&16#80)) if [ -z "${RETNET}" -a ${X} -eq 0 ] then # Class A RETNET="${NN01}.0.0.0" RETMASK="255.0.0.0" fi typeset -i10 X=$((${ONE}&16#c0)) if [ -z "${RETNET}" -a ${X} -eq 128 ] then # Class B RETNET="${NN01}.${NN02}.0.0" RETMASK="255.255.0.0" fi typeset -i10 X=$((${ONE}&16#e0)) if [ -z "${RETNET}" -a ${X} -eq 192 ] then # Class C RETNET="${NN01}.${NN02}.${NN03}.0" RETMASK="255.255.255.0"
Captulo 18 Comandos y archivos DHCP (referencia) 483
Comandos DHCP
EJEMPLO 181
(Continuacin)
fi print - ${RETNET} ${RETMASK} unset NNO1 NNO2 NNO3 NNO4 RETNET RETMASK X ONE } # # Given a dotted form of an IP address, convert it to its hex equivalent. # convert_dotted_to_hex() { typeset -i10 one=${1%%.*} typeset -i16 one=${one} typeset -Z2 one=${one} tmp=${1#*.} typeset -i10 two=${tmp%%.*} typeset -i16 two=${two} typeset -Z2 two=${two} tmp=${tmp#*.} typeset -i10 three=${tmp%%.*} typeset -i16 three=${three} typeset -Z2 three=${three} tmp=${tmp#*.} typeset -i10 four=${tmp%%.*} typeset -i16 four=${four} typeset -Z2 four=${four} hex=print - ${one}${two}${three}${four} | sed -e s/#/0/g print - 16#${hex} unset one two three four tmp } # # Generate an IP # get_addr() { typeset -i16 typeset -i16 typeset -i16 address given the network address, mask, increment.
# Maximum legal value - invert the mask, add to net. typeset -i16 mhosts=~${mask} typeset -i16 maxnet=${net}+${mhosts} # Add the incr value. let net=${net}+${incr} if [ $((${net} < ${maxnet})) -eq 1 ] then typeset -i16 a=${net}\&16#ff000000 typeset -i10 a="${a}>>24" typeset -i16 b=${net}\&16#ff0000
484 Gua de administracin del sistema: servicios IP Septiembre de 2010
Comandos DHCP
EJEMPLO 181
(Continuacin)
typeset -i10 b="${b}>>16" typeset -i16 c=${net}\&16#ff00 typeset -i10 c="${c}>>8" typeset -i10 d=${net}\&16#ff print - "${a}.${b}.${c}.${d}" fi unset net mask incr mhosts maxnet a b c d } # Given a network address and client address, return the index. client_index() { typeset -i NNO1=${1%%.*} tmp=${1#*.} typeset -i NNO2=${tmp%%.*} tmp=${tmp#*.} typeset -i NNO3=${tmp%%.*} tmp=${tmp#*.} typeset -i NNO4=${tmp%%.*} typeset -i16 NNF1 let NNF1=${NNO1} typeset -i16 NNF2 let NNF2=${NNO2} typeset -i16 NNF3 let NNF3=${NNO3} typeset -i16 NNF4 let NNF4=${NNO4} typeset +i16 NNF1 typeset +i16 NNF2 typeset +i16 NNF3 typeset +i16 NNF4 NNF1=${NNF1#16\#} NNF2=${NNF2#16\#} NNF3=${NNF3#16\#} NNF4=${NNF4#16\#} if [ ${#NNF1} -eq 1 ] then NNF1="0${NNF1}" fi if [ ${#NNF2} -eq 1 ] then NNF2="0${NNF2}" fi if [ ${#NNF3} -eq 1 ] then NNF3="0${NNF3}" fi if [ ${#NNF4} -eq 1 ] then NNF4="0${NNF4}" fi typeset -i16 NN let NN=16#${NNF1}${NNF2}${NNF3}${NNF4}
Captulo 18 Comandos y archivos DHCP (referencia) 485
Comandos DHCP
EJEMPLO 181
(Continuacin)
unset NNF1 NNF2 NNF3 NNF4 typeset -i NNO1=${2%%.*} tmp=${2#*.} typeset -i NNO2=${tmp%%.*} tmp=${tmp#*.} typeset -i NNO3=${tmp%%.*} tmp=${tmp#*.} typeset -i NNO4=${tmp%%.*} typeset -i16 NNF1 let NNF1=${NNO1} typeset -i16 NNF2 let NNF2=${NNO2} typeset -i16 NNF3 let NNF3=${NNO3} typeset -i16 NNF4 let NNF4=${NNO4} typeset +i16 NNF1 typeset +i16 NNF2 typeset +i16 NNF3 typeset +i16 NNF4 NNF1=${NNF1#16\#} NNF2=${NNF2#16\#} NNF3=${NNF3#16\#} NNF4=${NNF4#16\#} if [ ${#NNF1} -eq 1 ] then NNF1="0${NNF1}" fi if [ ${#NNF2} -eq 1 ] then NNF2="0${NNF2}" fi if [ ${#NNF3} -eq 1 ] then NNF3="0${NNF3}" fi if [ ${#NNF4} -eq 1 ] then NNF4="0${NNF4}" fi typeset -i16 NC let NC=16#${NNF1}${NNF2}${NNF3}${NNF4} typeset -i10 ANS let ANS=${NC}-${NN} print - $ANS } # # Check usage. # if [ "$#" != 3 ] then print "This script is used to add client entries to a DHCP network" print "table by utilizing the pntadm batch facilty.\n" print "usage: $0 network start_ip entries\n"
486 Gua de administracin del sistema: servicios IP Septiembre de 2010
Comandos DHCP
EJEMPLO 181
(Continuacin)
print "where: network is the IP address of the network" print " start_ip is the starting IP address \n" print " entries is the number of the entries to add\n" print "example: $0 10.148.174.0 10.148.174.1 254\n" return fi # # Use input arguments to set script variables. # NETWORK=$1 START_IP=$2 typeset -i STRTNUM=client_index ${NETWORK} ${START_IP} let ENDNUM=${STRTNUM}+$3 let ENTRYNUM=${STRTNUM} BATCHFILE=/tmp/batchfile.$$ MACRO=uname -n # # Check if mask in netmasks table. First try # for network address as given, in case VLSM # is in use. # NETMASK=get_netmask ${NETWORK} if [ -z "${NETMASK}" ] then get_default_class ${NETWORK} | read DEFNET DEFMASK # use the default. if [ "${DEFNET}" != "${NETWORK}" ] then # likely subnetted/supernetted. print - "\n\n###\tWarning\t###\n" print - "Network ${NETWORK} is netmasked, but no entry was found \n in the netmasks table; please update the netmasks \n table in the appropriate nameservice before continuing. \n (See /etc/nsswitch.conf.) \n" >&2 return 1 else # use the default. NETMASK="${DEFMASK}" fi fi # # Create a batch file. # print -n "Creating batch file " while [ ${ENTRYNUM} -lt ${ENDNUM} ] do if [ $((${ENTRYNUM}-${STRTNUM}))%50 -eq 0 ] then print -n "." fi CLIENTIP=get_addr ${NETWORK} ${NETMASK} ${ENTRYNUM} print "pntadm -A ${CLIENTIP} -m ${MACRO} ${NETWORK}" >> ${BATCHFILE}
Captulo 18 Comandos y archivos DHCP (referencia) 487
EJEMPLO 181
(Continuacin)
let ENTRYNUM=${ENTRYNUM}+1 done print " done.\n" # # Run pntadm in batch mode and redirect output to a temporary file. # Progress can be monitored by using the output file. # print "Batch processing output redirected to ${BATCHFILE}" print "Batch processing started." pntadm -B ${BATCHFILE} -v > /tmp/batch.out 2 >&1 print "Batch processing completed."
dhcptab
Trmino genrico para la tabla que contiene la informacin o configuracin de DHCP registrada en forma de opciones con valores asignados y luego agrupadas en forma de macros. El nombre de la tabla dhcptab y su ubicacin los determinan el almacn de datos que se utiliza para la informacin DHCP. Asigna direcciones IP a ID de cliente y opciones de configuracin. Las tablas de red DHCP se nombran segn la direccin IP de la red, como 10.21.32.0. No hay ningn archivo llamado dhcp_network. El nombre y la ubicacin de las tablas de red DHCP los determina el almacn de datos utilizado para la informacin de DHCP. Almacena opciones de inicio para el daemon DHCP e informacin para el almacn de datos. Este archivo no debe editarse de forma manual. Utilice el comando dhcpconfig para modificar las opciones de inicio. Especifica la ubicacin de las bases de datos de servicios de nombres y el orden en que se debe buscar en los servidores de nombres diversos tipos de informacin. El archivo nsswitch.conf se lee para obtener informacin de configuracin precisa al configurar un servidor DHCP. El archivo se ecnuentra en el directorio /etc.
dhcptab(4)
dhcp_network(4)
dhcpsvc.conf
dhcpsvc.conf(4)
nsswitch.conf
nsswitch.conf(4)
488
TABLA 182
(Continuacin)
Pgina de comando man
resolv.conf
Contiene informacin que se emplea para resolver consultas de DNS. Durante la configuracin del servidor DHCP se consulta este archivo para obtener informacin acerca del dominio DNS y del servidor DNS. El archivo se ecnuentra en el directorio /etc.
resolv.conf(4)
dhcp.interfaz
Indica que se debe utilizar DHCP en la interfaz de red del cliente No hay pgina de comando man especfica, especificada en el nombre de archivo dhcp.interfaz. Por consulte dhcp(5) ejemplo, la existencia de un archivo denominado dhcp.qe0 indica que se debe utilizar DHCP en la interfaz qe0. El archivo dhcp.interfaz puede contener comandos que se pasan como opciones al comando ifconfig, que a su vez se utiliza para iniciar DHCP en el cliente. El archivo se encuentra en el directorio /etc de los sistemas cliente DHCP de Oracle Solaris. Contiene los parmetros de configuracin obtenidos de DHCP para la interfaz de red especificada. El cliente guarda la informacin de configuracin actual en /etc/dhcp/interfaz.dhc cuando se termina el permiso de la direccin IP actual. Por ejemplo, si se usa DHCP en la interfaz qe0, dhcpagent guarda la informacin de configuracin en /etc/dhcp/qe0.dhc. La siguiente vez que se inicia DHCP en la interfaz, el cliente solicita utilizar la informacin guardada si el permiso no ha caducado. Si el servidor DHCP deniega la solicitud, el cliente inicia el proceso estndar de negociacin de permiso DHCP. No hay pgina de comando man especfica, consulte dhcpagent(1M)
interfaz.dhc
dhcpagent
Establece valores de parmetros para el daemon de cliente dhcpagent(1M) dhcpagent. La ruta al archivo es /etc/default/dhcpagent. Para ms informacin acerca de los parmetros consulte el archivo /etc/default/dhcpagent o la pgina de comando man dhcpagent(1M).
489
TABLA 182
(Continuacin)
Pgina de comando man
DHCP inittab
Define diversos aspectos de cdigos de opciones DHCP, como el dhcp_inittab(4) tipo de datos, y asigna etiquetas mnemnicas. Para ms informacin acerca de la sintaxis del archivo consulte la pgina de comando man dhcp_inittab(4). En el cliente, la informacin del archivo /etc/dhcp/inittab la utiliza dhcpinfo para proporcionar informacin ms significativa a los lectores humanos de la informacin. En el sistema servidor DHCP, este archivo lo utiliza el daemon DHCP y las herramientas de gestin para obtener informacin de opciones DHCP. El archivo /etc/dhcp/inittab sustituye al archivo /etc/dhcp/dhcptags utilizado en versiones anteriores. En Informacin de opciones DHCP en la pgina 490 hallar ms informacin acerca de esta sustitucin.
Tiene previsto actualizarse desde una versin de Oracle Solaris ms antigua que Solaris 8. Ha creado anteriormente nuevas opciones de DHCP. Ha modificado el archivo /etc/dhcp/dhcptags y desea conservar los cambios.
Al actualizarse, el registro de actualizacin le notifica que su archivo dhcptags e ha modificado y que deber efectuar cambios en en el archivo inittab de DHCP.
490 Gua de administracin del sistema: servicios IP Septiembre de 2010
categora cdigo
type
granularidad mximo
491
consumidores
Describe qu programas pueden utilizar esta informacin. Consumidores debe establecerse en sdmi, donde: s d m i snoop in.dhcpd dhcpmgr dhcpinfo
A continuacin se muestra un ejemplo de entrada de inittab: StaticRt - Standard, 33, IP, 2, 0, sdmi En esta entrada se describe una opcin denominada StaticRt. La opcin est en la categora estndar y el cdigo de opcin es el 33. Los datos previstos son probablemente una cantidad infinita de pares de direcciones porque el tipo es IP, la granularidad es 2 y el mximo es infinito (0). Los consumidores de esta opcin son sdmi: snoop, in.dhcpd, dhcpmgr y dhcpinfo.
492
P A R T E
I V
Seguridad IP
Esta seccin se centra en la seguridad de red. La arquitectura de seguridad IP (IPsec) protege la red en el nivel del paquete. El intercambio de claves de Internet (IKE) administra las claves para IPsec. El filtro IP de Oracle Solaris proporciona un cortafuegos.
493
494
19
C A P T U L O
1 9
La arquitectura de seguridad IP (IPsec) ofrece proteccin criptogrfica para los datagramas IP en paquetes de redes IPv4 e IPv6. Este captulo contiene la informacin siguiente: Novedades de IPsec en la pgina 495 Introduccin a IPsec en la pgina 497 Flujo de paquetes IPsec en la pgina 499 Asociaciones de seguridad IPsec en la pgina 502 Mecanismos de proteccin de IPsec en la pgina 503 Directivas de proteccin IPsec en la pgina 507 Modos de transporte y tnel en IPsec en la pgina 507 Redes privadas virtuales e IPsec en la pgina 510 Paso a travs de IPsec y NAT en la pgina 511 IPsec y SCTP en la pgina 512 IPsec y Zonas de Solaris en la pgina 512 IPsec y dominios lgicos en la pgina 512 Archivos y utilidades IPsec en la pgina 513 Cambios en IPsec para la versin Solaris 10 en la pgina 515
Para implementar IPsec en la red, consulte el Captulo 20, Configuracin de IPsec (tareas). Para obtener informacin de referencia, consulte el Captulo 21, Arquitectura de seguridad IP (referencia).
Novedades de IPsec
Solaris 10 4/09: a partir de esta versin, la utilidad de gestin de servicios (SMF) administra IPsec como conjunto de servicios.
495
Novedades de IPsec
Por defecto, hay dos servicios de IPsec habilitados en el inicio del sistema:
svc:/network/ipsec/policy:default svc:/network/ipsec/ipsecalgs:default
Por defecto, los servicios de gestin de claves se deshabilitan en el inicio del sistema:
svc:/network/ipsec/manual-key:default svc:/network/ipsec/ike:default
Para activar directivas IPsec en SMF, siga estos pasos: 1. 2. 3. 4. Agregue entradas de directivas IPsec al archivo ipsecinit.conf. Configure la Internet Key Exchange (IKE) o configure manualmente las claves. Actualice el servicio de directivas IPsec. Habilite el servicio de administracin de teclas.
Para obtener ms informacin sobre SMF, consulte el Captulo 18, Managing Services (Overview) de System Administration Guide: Basic Administration. Consulte tambin las pginas de comando man smf(5) y svcadm(1M). A partir de esta versin, los comandos ipsecconf e ipseckey presentan la opcin -c para comprobar la sintaxis de sus respectivos archivos de configuracin. Asimismo, el perfil de derechos Network IPsec Management se proporciona para administrar IPsec e IKE. Solaris 10 7/07&: a partir de esta versin, IPsec implementa por completo los tneles en modo tnel y se modifican las utilidades que admiten tneles.
IPsec implementa los tneles en modo tnel para las redes privadas virtuales (VPN). En modo tnel, IPsec admite mltiples clientes detrs de una sola NAT. En modo tnel, IPsec es interoperable con las implementaciones de tneles de IP en IP de otros proveedores. IPsec sigue admitiendo tneles en modo transporte, de modo que es compatible con las versiones anteriores de Solaris. La sintaxis para crear un tnel se simplifica. Para administrar la directiva IPsec, se ha ampliado el comando ipsecconf. El comando ifconfig no se admite para la administracin de la directiva IPsec. A partir de esta versin, se elimina el archivo /etc/ipnodes. Utilice el archivo /etc/hosts para configurar las direcciones IPv6 de red.
Solaris 10 1/06: a partir de esta versin, IKE es totalmente compatible con NAT-Traversal, como se describe en RFC 3947 y RFC 3948. Las operaciones IKE usan la biblioteca PKCS #11 de la estructura criptogrfica, lo cual mejora el rendimiento. La estructura criptogrfica proporciona un almacn de claves softtoken para las aplicaciones que utilizan la metarranura. Cuando IKE utilice la metarranura, podr guardar las claves en el disco, en una placa conectada o en el almacn de claves softtoken.
Para utilizar el almacn de claves softtoken, consulte la pgina del comando man cryptoadm(1M).
496
Introduccin a IPsec
Para ver una lista completa de las nuevas funciones de Solaris y una descripcin de las versiones de Solaris, consulte Novedades de Oracle Solaris 10 9/10.
Introduccin a IPsec
IPsec protege los paquetes IP autenticndolos, cifrndolos o llevando a cabo ambas acciones. IPsec se lleva a cabo dentro del mdulo IP, debajo de la capa de aplicacin. Por tanto, una aplicacin de Internet puede aprovechar IPsec aunque no est configurada para el uso de IPsec. Cuando se utiliza correctamente, la directiva IPsec es una herramienta eficaz para proteger el trfico de la red. La proteccin IPsec implica cinco componentes principales:
Protocolos de seguridad: Mecanismo de proteccin de datagramas IP. El encabezado de autenticacin (AH) firma los paquetes IP y garantiza la integridad. El contenido del datagrama no est cifrado, pero el receptor tiene la seguridad de que el contenido del paquete no se ha modificado. El receptor tambin tiene la garanta de que los paquetes los ha enviado el remitente. La Encapsulating Security Payload (ESP) cifra los datos IP, con lo cual codifica el contenido durante la transmisin de paquetes. ESP tambin puede garantizar la integridad de los datos mediante una opcin de algoritmo de autenticacin. Base de datos de asociaciones de seguridad (SADB): La base de datos que asocia un protocolo de seguridad con una direccin de destino IP y un nmero de ndice. El nmero de ndice se denomina ndice de parmetros de seguridad. Estos tres elementos (el protocolo de seguridad, la direccin de destino y el SPI) identifican de forma exclusiva a un paquete IPsec legtimo. La base de datos garantiza que el receptor reconozca un paquete protegido que llega a su destino. El receptor tambin utiliza informacin de la base de datos para descifrar la comunicacin, verificar que los paquetes no se hayan modificado, volver a ensamblar los paquetes y entregarlos en su destino final. Administracin de claves: La generacin y distribucin de claves para los algoritmos criptogrficos y SPI. Mecanismos de seguridad: Los algoritmos de autenticacin y cifrado que protegen los datos de los datagramas IP. Base de datos de directivas de seguridad (SPD): La base de datos que especifica el nivel de proteccin que se aplica a un paquete. SPD filtra el trfico IP para determinar el modo en que se deben procesar los paquetes. Un paquete puede descartarse, transferirse sin codificar o protegerse con IPsec. Para los paquetes salientes, SPD y SADB determinan el nivel de proteccin que se aplicar. Para los paquetes entrantes, SPD permite determinar si el nivel de proteccin del paquete es aceptable. Si el paquete se protege con IPsec, SPD se consulta una vez descifrado y verificado el paquete.
IPsec aplica los mecanismos de seguridad a los datagramas IP que se transfieren a la direccin de destino IP. El receptor utiliza la informacin de SADB para comprobar que los paquetes que llegan sean legtimos y descifrarlos. Las aplicaciones pueden invocar IPsec para aplicar mecanismos de seguridad a los datagramas IP por socket tambin.
Captulo 19 Arquitectura de seguridad IP (descripcin general) 497
Introduccin a IPsec
Los SA por socket modifican su entrada de puerto correspondiente en SPD. Adems, si el socket de un puerto est conectado y posteriormente se aplica la directiva IPsec a ese puerto, el trfico que utiliza ese socket no est protegido mediante IPsec. Naturalmente, un socket abierto en un puerto despus de la aplicacin de la directiva IPsec en el puerto est protegido con IPsec.
RFC IPsec
Internet Engineering Task Force (IETF) ha publicado una serie de solicitudes de comentarios (RFC) que describen la arquitectura de seguridad para la capa IP. Todas las RFC tienen copyright de la Sociedad de Internet. Encontrar un vnculo a las RFC en la pgina http://www.ietf.org/. La siguiente lista de RFC incluye referencias de seguridad IP generales:
RFC 2411, "IP Security Document Roadmap", noviembre de 1998. RFC 2401, "Security Architecture for the Internet Protocol", noviembre de 1998. RFC 2402, "IP Authentication Header", noviembre de 1998. RFC 2406, "IP Encapsulating Security Payload (ESP)", noviembre de 1998. RFC 2408, "Internet Security Association and Key Management Protocol (ISAKMP)", noviembre de 1998. RFC 2407, "The Internet IP Security Domain of Interpretation for ISAKMP", noviembre de 1998 RFC 2409, "The Internet Key Exchange (IKE)", noviembre de 1998. RFC 3554, "On the Use of Stream Control Transmission Protocol (SCTP) with IPsec", julio de 2003 [sin implementar en la versin Solaris 10]
Terminologa de IPsec
Las RFC IPsec definen una serie de trminos tiles para determinar cundo debe implementar IPsec en los sistemas. La tabla siguiente enumera los trminos de IPsec, proporciona sus acrnimos habituales y aporta una definicin. Para ver una lista de la terminologa que se utiliza en la negociacin de claves, consulte la Tabla 221.
498
TABLA 191
Trmino de IPsec
Asociacin de seguridad
SA
Conexin exclusiva entre dos nodos de una red. La conexin se define mediante tres elementos: un protocolo de seguridad, un ndice de parmetros de seguridad y un destino IP. El destino IP puede ser una direccin IP o un socket. Base de datos que contiene todas las asociaciones de seguridad activas.
SADB
ndice de parmetros SPI de seguridad base de datos de directivas de seguridad Intercambio de claves Protocolo Diffie-Hellman Protocolo RSA DH SPD
El valor de ndice para una asociacin de seguridad. Un SPI es un valor de 32 bits que distingue entre las SA que tienen el mismo destino IP y protocolo de seguridad. Base de datos que determina si los paquetes salientes y entrantes tienen el nivel de proteccin especificado. El proceso de generacin de claves para los algoritmos criptogrficos asimtricos. Los dos mtodos principales son los protocolos RSA y el protocolo Diffie-Hellman. Protocolo de intercambio de claves que implica la generacin y la autenticacin de claves. A menudo se denomina intercambio de claves autenticadas. Protocolo de intercambio de claves que implica la generacin y la distribucin de claves. El protocolo recibe el nombre de sus tres creadores, Rivest, Shamir y Adleman. Estructura habitual para establecer el formato de los atributos SA, as como para negociar, modificar y eliminar SA. ISAKMP es el estndar IETF para administrar SA IPsec.
RSA
ISAKMP
499
FIGURA 191
Origen (aplicacin)
IP Decisin de encaminamiento IP
Se necesita ESP? No
Se necesita AH? No
Modo de tnel ESP encapsulado (poco frecuente) No Transmitir a destino Dispositivo de tneles Interfaz de tnel: Encapsular datagrama IP, luego volver a procesar mediante IP
500
FIGURA 192
Paquete entrante
IP Es el siguiente encabezado AH? No Es el siguiente encabezado ESP? No Determinar destinatario del datagrama (TCP, UDP, otros) Soltar paquete Procesar ESP, y si el pro- Correcto cesamiento es correcto, marcar datagrama como protegido con ESP. S Procesar AH, y si el pro- Correcto cesamiento es correcto, marcar datagrama como protegido con AH. Incorrecto
Incorrecto
No
Procesamiento ICMP
501
El SPI, un valor arbitrario de 32 bits, se transmite con un paquete AH o ESP. Las pginas del comando man ipsecah(7P) y ipsecesp(7P) explican la proteccin que ofrecen AH y ESP. Se utiliza un valor de suma de comprobacin de integridad para autenticar un paquete. Si la autenticacin falla, se deja el paquete. Las asociaciones de seguridad se almacenan en una base de datos de asociaciones de seguridad (SADB). Un motor de administracin basado en sockets, la interfaz PF_KEY, permite a las aplicaciones privilegiadas administrar la base de datos. Por ejemplo, la aplicacin IKE y el comando ipseckeys usan la interfaz de socket PF_KEY.
Para obtener una descripcin completa de SADB IPsec, consulte Base de datos de asociaciones de seguridad para IPsec en la pgina 579. Para obtener ms informacin sobre cmo administrar SADB, consulte la pgina del comando man pf_key(7P).
502
En la versin actual, SMF proporciona el siguiente servicio de administracin de claves para IPsec:
svc:/network/ipsec/ike:default service es el servicio SMF para la administracin automtica de claves. El servicio ike ejecuta el daemon in.iked para proporcionar administracin automtica de claves. Para ver una descripcin de IKE, consulte el Captulo 22, Intercambio de claves de Internet (descripcin general). Para obtener ms informacin sobre el daemon in.iked, consulte la pgina de comando man in.iked(1M) Para obtener informacin sobre el servicio ike, consulte Utilidad de gestin de servicios de IKE en la pgina 637. svc:/network/ipsec/manual-key:default service es el servicio SMF para la administracin manual de claves. El servicio de manual-key ejecuta el comando ipseckey con varias opciones para administrar claves manualmente. Para ver una descripcin del comando ipseckey, consulte Utilidades para la generacin de claves en IPsec en la pgina 579. Para obtener ms informacin sobre las opciones del comando ipseckey, consulte la pgina de comando man ipseckey(1M).
En las versiones anteriores a Solaris 10 4/09 los comandos en.iked e ipseckey administran material de claves.
El daemon in.iked proporciona administracin de claves automtica. Para ver una descripcin de IKE, consulte el Captulo 22, Intercambio de claves de Internet (descripcin general). Para obtener ms informacin sobre el daemon in.iked, consulte la pgina de comando man in.iked(1M). El comando ipseckey proporciona administracin de claves manual. Para ver una descripcin del comando, consulte Utilidades para la generacin de claves en IPsec en la pgina 579. Para obtener ms informacin sobre las opciones del comando ipseckey, consulte la pgina de comando man ipseckey(1M).
Un AH protege los datos con un algoritmo de autenticacin. Una ESP protege los datos con un algoritmo de cifrado. De modo opcional, una ESP protege los datos con un algoritmo de autenticacin. Cada implementacin de un algoritmo se denomina mecanismo.
503
Encabezado de autenticacin
El encabezado de autenticacin proporciona autenticacin de datos, una integridad slida y proteccin de repeticin para los datagramas IP. AH protege la mayor parte del datagrama IP. Como muestra la ilustracin siguiente, AH se inserta entre el encabezado IP y el encabezado de transporte.
IP Hdr
AH
TCP Hdr
El encabezado de transporte puede ser TCP, UDP, SCTP o ICMP. Si se utiliza un tnel, el encabezado de transporte puede ser otro encabezado de IP.
IP Hdr
ESP
TCP Hdr
Cifrado
En un paquete TCP, ESP encapsula nicamente el encabezado TCP y sus datos. Si el paquete se encuentra en un datagrama de IP en IP, ESP protege el datagrama IP interior. La directiva por socket permite la autoencapsulacin, de modo que ESP puede encapsular las opciones de IP cuando lo necesita. Si est activada la autoencapsulacin, se realiza una copia del encabezado IP para construir un datagrama de IP en IP. Por ejemplo, cuando la autoencapsulacin no est activada en un socket TCP, el datagrama se enva con el siguiente formato:
[ IP(a -> b) options + TCP + data ]
504 Gua de administracin del sistema: servicios IP Septiembre de 2010
Cuando la autoencapsulacin est activa en ese socket TCP, el datagrama se enva con el siguiente formato:
[ IP(a -> b) + ESP [ IP(a -> b) options + TCP + data ] ]
AH
Proporciona integridad slida, autenticacin de datos: Garantiza que el receptor recibe exactamente lo que ha enviado el remitente. Es susceptible a los ataques de repeticin cuando AH no activa la proteccin contra repeticiones.
ESP.
Con la opcin de cifrado, cifra el datagrama IP. Garantiza la confidencialidad. Con la opcin de autenticacin, proporciona la misma proteccin que AH. Con ambas opciones, proporciona integridad slida, autenticacin de datos y confidencialidad.
Intercepcin de comunicaciones Repeticin, cortar y pegar Repeticin, cortar y pegar e intercepcin de comunicaciones.
Captulo 13, Oracle Solaris Cryptographic Framework (Overview) de System Administration Guide: Security Services Captulo 8, Introduction to the Oracle Solaris Cryptographic Framework de Oracle Solaris Security for Developers Guide
kit reduce el nivel de revisin para cifrado del sistema. El kit es incompatible con el cifrado del sistema.
A partir de la versin Solaris 10 7/07, el contenido de Solaris Encryption Kit se instala mediante el disco de instalacin de Solaris. En esta versin se aaden los algoritmos de autenticacin SHA2: sha256, sha384 y sha512. Las implementaciones SHA2 cumplen la especificacin RFC 4868. Esta versin tambin agrega grupos Diffie-Hellman ms grandes: 2048 bits (grupo 14), 3072 bits (grupo 15) y 4096 bits (grupo 16). Tenga en cuenta que los sistemas de Sun con tecnologa CoolThreads slo aceleran los grupos de 2048 bits. Antes de la versin Solaris 10 7/07, el disco de instalacin de Solaris proporciona algoritmos bsicos, adems puede aadir algoritmos ms complejos desde Solaris Encryption Kit. De modo predeterminado, estn instalados los algoritmos DES-CBC, 3DES-CBC, AES-CBC, y Blowfish-CBC. Los tamaos de claves que admiten los algoritmos AES-CBC y Blowfish-CBC estn limitados a 128 bits. Los algoritmos AES-CBC y Blowfish-CBC que admiten tamaos de claves de ms de 128 bits estn disponibles para IPsec cuando se instala el Solaris Encryption Kit. Sin embargo, no todos los algoritmos de cifrado estn disponibles fuera de Estados Unidos. El kit est disponible en un CD independiente que no forma parte del paquete de instalacin de Solaris 10. En la Solaris 10 Encryption Kit Installation Guide se describe cmo instalar el kit. Para obtener ms informacin, visite el sitio web de descargas de Sun (http://www.oracle.com/
506
technetwork/indexes/downloads/index.html). Para descargar el kit, haga clic en la ficha Downloads A-Z y, a continuacin, haga clic en la letra S. Encontrar Solaris 10 Encryption Kit entre las 20 primeras entradas.
IPsec aplica la directiva en todo el sistema a los datagramas entrantes y salientes. Los datagramas salientes se envan con o sin proteccin. Si se aplica proteccin, los algoritmos son especficos o no especficos. Puede aplicar algunas reglas adicionales a los datagramas salientes, dados los datos adicionales que conoce el sistema. Los datagramas entrantes pueden aceptarse o dejarse. La decisin de dejar o aceptar un datagrama entrante se basa en varios criterios, que en ocasiones se pueden superponer o entrar en conflicto. Los conflictos se resuelven determinando qu regla que analiza primero. El trfico se acepta automticamente, excepto cuando una entrada de directiva indica que el trfico debe omitir las dems directivas. La directiva que normalmente protege un datagrama se puede omitir. Puede especificar una excepcin en la directiva del sistema, o solicitar una omisin en la directiva por socket. Para el trfico de un sistema, se aplican las directivas, pero no se aplican los mecanismos de seguridad reales. En lugar de ello, la directiva saliente de un paquete dentro del sistema se convierte en un paquete entrante al que se han aplicado esos mecanismos. El archivo ipsecinit.conf y el comando ipsecconf permiten configurar directivas IPsec. Para ver detalles y ejemplos, consulte la pgina del comando man ipsecconf(1M).
En modo transporte, el encabezado exterior determina la directiva IPsec que protege el paquete IP interior. En modo tnel, el paquete IP interior determina la directiva IPsec que protege su contenido.
En modo transporte, pueden utilizarse el encabezado exterior, el encabezado siguiente y los puertos que admita el siguiente encabezado para determinar la directiva IPsec. En efecto, IPsec puede aplicar diferentes directivas de modo de transporte entre dos direcciones IP hasta la
Captulo 19 Arquitectura de seguridad IP (descripcin general) 507
granularidad de un nico puerto. Por ejemplo, si el siguiente encabezado es TCP, que admite puertos, la directiva IPsec se puede configurar para un puerto TCP de la direccin IP exterior. De modo similar, si el siguiente encabezado es un encabezado IP, se pueden utilizar el encabezado exterior y el encabezado IP interior para determinar la directiva IPsec. El modo tnel slo funciona para los datagramas de IP en IP. El uso de tneles en modo tnel puede ser til cuando los usuarios se conecten desde casa a un equipo central. En modo tnel, la directiva IPsec se aplica en el contenido del datagrama IP interior. Se pueden aplicar diferentes directivas IPsec para distintas direcciones IP interiores. Es decir, el encabezado IP interior, su encabezado siguiente y los puertos que admite el siguiente encabezado pueden aplicar una directiva. A diferencia del modo transporte, en el modo tnel el encabezado IP exterior no dicta la directiva de su datagrama IP interior. Por tanto, en modo tnel, la directiva IPsec se puede especificar para las subredes de una LAN detrs de un enrutador y para puertos de dichas subredes. La directiva IPsec tambin se puede especificar para una direccin IP concreta, es decir, hosts de esas subredes. Los puertos de dichos hosts tambin pueden tener una directiva IPsec especfica. Sin embargo, si se ejecuta un protocolo de enrutamiento dinmico por un tnel, no utilice la seleccin de subredes o la seccin de direcciones, porque la vista de la topologa de red en la red equivalente podra cambiar. Los cambios invalidaran la directiva IPsec esttica. Para ver algunos ejemplos de procedimientos de tnel que incluyen la configuracin de rutas estticas, consulte Proteccin de una VPN con IPsec en la pgina 538. En SO Solaris, el modo tnel puede aplicarse slo en una interfaz de red de tneles IP. El comando ipsecconf proporciona una palabra clave tunnel para seleccionar una interfaz de red de tneles IP. Cuando la palabra clave tunnel est presente en una regla, todos los selectores especficos de dicha regla se aplican al paquete interior. En modo transporte, ESP, AH, o ambos, pueden proteger el datagrama. La figura siguiente muestra un encabezado IP con un paquete TCP sin proteger.
FIGURA 193
IP Hdr
TCP Hdr
En modo transporte, ESP protege los datos tal como se muestra en la figura siguiente. El rea sombreada muestra la parte cifrada del paquete.
508
FIGURA 194
IP Hdr
ESP
TCP Hdr
Cifrado
FIGURA 195
IP Hdr
AH
TCP Hdr
AH cifra los datos antes de que aparezcan en el datagrama. En consecuencia, la proteccin que proporciona AH, incluso en el modo transporte, cifra parte del encabezado IP. En modo tnel, todo el datagrama est dentro de la proteccin de un encabezado IPsec. El datagrama de la Figura 193 est protegido en modo tnel por otro encabezado IPsec exterior, en este caso ESP, tal como se muestra en la figura siguiente.
FIGURA 196
IP Hdr
ESP
IP Hdr
TCP Hdr
Cifrado
El comando ipsecconf incluye palabras clave para configurar tneles en modo tnel o en modo transporte.
Para obtener detalles sobre la directiva por socket, consulte la pgina del comando man ipsec(7P). Si desea ver un ejemplo de la directiva por socket, consulte Cmo utilizar IPsec para proteger un servidor web del trfico que no procede de Internet en la pgina 523. Para ms informacin acerca de los tneles, consulte la pgina del comando man ipsecconf(1M). Para ver un ejemplo de configuracin de tnel, consulte Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 543.
509
FIGURA 197
VPN Intranet Red 1 Sistema 1 hme1 hme0 Encaminador Internet Encaminador Intranet Red 2 Sistema 2 hme0 hme1
Para ver un ejemplo detallado del procedimiento de configuracin, consulte Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 543. Para ver un ejemplo similar con direcciones IPv6, consulte Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv6 en la pgina 553.
510
NAT-T funciona slo en redes IPv4. NAT-T no puede aprovechar la aceleracin ESP IPsec que proporciona la placa de Sun Crypto Accelerator 4000. Sin embargo, la aceleracin IKE con la placa Sun Crypto Accelerator 4000 funciona. El protocolo AH depende de un encabezado de IP inalterable; por lo tanto, AH no funciona con NAT-T. El protocolo ESP se utiliza con NAT-T. El cuadro NAT no utiliza reglas de procesamiento especiales. Un cuadro NAT con reglas de procesamiento IPsec especiales podra interferir con la implementacin de NAT-T. NAT-T slo funciona cuando el iniciador IKE es el sistema que hay detrs del cuadro NAT. Un contestador IKE no puede estar detrs de un cuadro NAT a menos que el cuadro se haya programado para reenviar paquetes IKE al sistema individual adecuado detrs del cuadro.
En losa siguientes documentos RFC se describen las funciones de NAT y los lmites de NAT-T. Puede obtener copias de los RFC en http://www.rfc-editor.org.
RFC 3022, "Traditional IP Network Address Translator (Traditional NAT)", enero de 2001. RFC 3715, "IPsec-Network Address Translation (NAT) Compatibility Requirements", marzo de 2004. RFC 3947, "Negotiation of NAT-Traversal in the IKE", enero de 2005. RFC 3948, "UDP Encapsulation of IPsec Packets", enero de 2005.
Para utilizar IPsec en una NAT, consulte Configuracin de IKE para sistemas porttiles (mapa de tareas) en la pgina 622.
511
IPsec y SCTP
IPsec y SCTP
El SO Solaris admite el protocolo SCTP (Streams Control Transmission Protocol). Se admite el uso del protocolo SCTP y el nmero de puerto SCTP para especificar la directiva IPsec, pero no es fiable. Las extensiones IPsec para SCTP tal como se especifican en la RFC 3554 todava no estn implementadas. Estas limitaciones pueden generar complicaciones a la hora de crear la directiva IPsec para SCTP. SCTP puede utilizar varias direcciones de origen y destino en el contexto de una sola asociacin SCTP. Cuando la directiva IPsec se aplica a una nica direccin de origen o una nica direccin de destino, la comunicacin puede fallar cuando SCTP cambie la direccin de origen o de destino de dicha asociacin. La directiva IPsec slo reconoce la direccin original. Para obtener informacin sobre SCTP, consulte las RFC y el Protocolo SCTP en la pgina 42.
512
Si desea obtener instrucciones sobre la implementacin de IPsec en la red, consulte Proteccin del trfico con IPsec (mapa de tareas) en la pgina 517. Para mas informacin sobre los archivos y las utilidades IPsec, consulte el Captulo 21, Arquitectura de seguridad IP (referencia).
TABLA 193
svc:/network/ipsec/ipsecalgs
En la versin actual, el servicio SMF que administra los algoritmos IPsec. En la versin actual, el servicio SMF que gestiona asociaciones de seguridad manuales (SA). En la versin actual, el servicio SMF que gestiona la directiva IPsec. En la versin actual, el servicio SMF para la gestin automtica de IPsec SA. archivo de directiva IPsec En las versiones anteriores a Solaris 10 4/09, si el archivo existe, IPsec se activar en el momento del inicio. En la versin actual, el servicio SMF policy utiliza este archivo para configurar la directiva de IPsec durante el inicio del sistema.
svc:/network/ipsec/manual-key
svc:/network/ipsec/policy
Comando ipsecconf
Comando de directiva IPsec. Es til para visualizar y modificar la ipsecconf(1M) directiva IPsec actual, as como para realizar pruebas. En las versiones anteriores a Solaris 10 4/09 las secuencias de comandos de inicio utilizan ipsecconf para leer el archivo /etc/inet/ipsecinit.conf y activar IPsec. En la versin actual, ipsecconf lo utiliza el servicio SMF policy para configurar la directiva IPsec en el inicio del sistema.
Interfaz para la base de datos de asociaciones de seguridad (SADB). Controla la administracin de claves manual y automtica.
pf_key(7P)
513
TABLA 193
(Continuacin)
Pgina de comando man
Comando ipseckey
Comando de material de claves de asociaciones de seguridad (SA) ipseckey(1M) de IPsec. ipseckey es un componente frontal de lnea de comandos para la interfaz PF_KEY. ipseckey puede crear, destruir o modificar SA. Claves para SA de IPsec. En las versiones anteriores a Solaris 10 4/09 si existe el archivo ipsecinit.conf, el archivo ipseckeys se lee automticamente en el momento del inicio. En la versin actual, el servicio SMF manual-key utiliza ipseckeys para configurar manualmente las asociaciones de seguridad (SA) durante el inicio del sistema.
Archivo /etc/inet/secret/ipseckeys
Comando ipsecalgs
Comando de algoritmos IPsec. Es til para visualizar y modificar la lista de algoritmos IPsec y sus propiedades. En la versin actual, se utiliza por parte del servicio SMF ipsecalgs para sincronizar algoritmos IPsec conocidos con el ncleo en el inicio del sistema.
ipsecalgs(1M)
Archivo /etc/inet/ipsecalgs
Contiene los protocolos IPsec configurados y las definiciones de algoritmos. Este archivo lo administra el comando ipsecalgs y nunca se debe editar manualmente. archivo de configuracin y directiva de IKE Por defecto, este archivo no existe. En las versiones anteriores a Solaris 10 4/09, si el archivo existe, el daemon IKE (in.iked) proporciona gestin automtica de claves. La administracin se basa en reglas y parmetros globales del archivo /etc/inet/ike/config. Consulte Archivos y utilidades IKE en la pgina 588. En la versin actual, si el archivo existe, el servicio svc:/network/ipsec/ike inicia el daemon IKE, in.iked, para proporcionar gestin automtica de claves. ike.config(4)
Archivo /etc/inet/ike/config
514
Cuando se conecta una placa Sun Crypto Accelerator 4000, sta coloca en cach automticamente las SA IPsec para los paquetes que utilizan la interfaz Ethernet de la placa. La placa tambin acelera el procesamiento de las SA IPsec. IPsec puede aprovechar la administracin de claves automtica con IKE a travs de redes IPv6. Para ms informacin, consulte el Captulo 22, Intercambio de claves de Internet (descripcin general). Para conocer las novedades IKE, consulte Cambios de IKE en Solaris 10 en la pgina 590. Encontrar ms ayuda en el analizador del comando ipseckey. El comando ipseckey monitor incluye indicaciones de fecha y hora en cada evento. Para obtener ms informacin, consulte la pgina del comando man ipseckey(1M). Los algoritmos IPsec ahora provienen de una ubicacin de almacenamiento central, la estructura criptogrfica de Solaris. La pgina del comando man ipsecalgs(1M) describe las caractersticas de los algoritmos que hay disponibles. Los algoritmos estn optimizados para la arquitectura en la que se ejecutan. Para obtener una descripcin de la estructura, consulte el Captulo 13, Oracle Solaris Cryptographic Framework (Overview) de System Administration Guide: Security Services. IPsec funciona en la zona global. La directiva IPsec se administra en la zona global para una zona no global. El material de claves se crea y administra manualmente en la zona global para una zona no global. IKE no se puede utilizar para generar claves para una zona no global. Para obtener ms informacin sobre zonas, consulte el Captulo 16, Introduccin a Solaris Zones de Gua de administracin de sistemas: administracin de recursos y contenedores de Oracle Solaris y zonas de Oracle Solaris. La directiva IPsec puede funcionar con el protocolo SCTP (Streams Control Transmission Protocol) y el nmero de puerto SCTP. Sin embargo, la implementacin no est completa. Las extensiones IPsec para SCTP que se especifican en la RFC 3554 todava no estn implementadas. Estas limitaciones pueden ocasionar complicaciones a la hora de crear la directiva IPsec para SCTP. Para obtener ms informacin, consulte las RFC. Asimismo, lea IPsec y SCTP en la pgina 512 y Protocolo SCTP en la pgina 42. IPsec e IKE pueden proteger el trfico que se origina detrs de un cuadro NAT. Para obtener ms detalles e informacin sobre las limitaciones, consulte Paso a travs de IPsec y NAT en la pgina 511. Para ver los procedimientos, consulte Configuracin de IKE para sistemas porttiles (mapa de tareas) en la pgina 622.
515
516
C A P T U L O
20
2 0
Este captulo incluye los procedimientos para implementar IPsec en la red. Los procedimientos se describen en los siguientes mapas de tareas:
Proteccin del trfico con IPsec (mapa de tareas) en la pgina 517 Proteccin de una VPN con IPsec (mapa de tareas) en la pgina 540
Para obtener informacin general sobre IPsec, consulte el Captulo 19, Arquitectura de seguridad IP (descripcin general). Para obtener informacin de referencia sobre IPsec, consulte el Captulo 21, Arquitectura de seguridad IP (referencia).
Proteger el trfico entre dos sistemas. Proteger un servidor web con la directiva IPsec.
Protege los paquetes de un sistema a otro. Requiere el uso de IPsec por parte del trfico que no sea de red. Los clientes web se identifican mediante puertos especficos, que omiten las comprobaciones de IPsec.
Cmo proteger el trfico entre dos sistemas con IPsec en la pgina 519 Cmo utilizar IPsec para proteger un servidor web del trfico que no procede de Internet en la pgina 523 Cmo visualizar las directivas de IPsec en la pgina 526
Visualizar las directivas de IPsec. Muestra las directivas de IPsec que se estn aplicando, en el orden en que se aplican.
517
Tarea
Descripcin
Genera nmeros aleatorios para el material de claves Cmo generar nmeros aleatorios en un para las asociaciones de seguridad creadas sistema Solaris en la pgina 527 manualmente. How to Generate a Symmetric Key by Using the pktool Command de System Administration Guide: Security Services Proporciona los datos bsicos para las asociaciones de seguridad: Nombre de algoritmo IPsec y material de claves Clave para el ndice de parmetros de seguridad Direcciones IP de origen y destino Cmo crear manualmente asociaciones de seguridad IPsec en la pgina 528
Comprobar que IPsec est protegiendo los paquetes. (Opcional) Crear un rol de seguridad de red. Administrar IPsec y materiales clave como un conjunto de servicios SMF. Configurar una red privada virtual protegida (VPN).
Examina el resultado del comando snoop para los Cmo verificar que los paquetes estn encabezados especficos que indica cmo se protegen protegidos con IPsec en la pgina 533 los datagramas IP. Crea un rol que puede configurar una red segura, pero que puede desempear menos funciones que un superusuario. Describe cmo y cundo utilizar los comandos que habilitan, inhabilitan, actualizan y reinician los servicios. Tambin describe los comandos que cambian los valores de propiedad de los servicios. Configura IPsec entre dos sistemas separados por Internet. Cmo configurar una funcin para la seguridad de la red en la pgina 534 Cmo administrar servicios de IPsec e IKE en la pgina 536
518
IPsec y zonas: Para administrar la directiva IPsec y las claves para una zona no global IP compartida, cree el archivo de directiva IPsec en la zona global y ejecute los comandos de configuracin de IPsec desde la zona global. Utilice la direccin de origen que corresponda a la zona no global que se est configurando. Tambin puede configurar la directiva IPsec y las claves en la zona global para la zona global. Para una zona de IP exclusiva, debe configurar directiva IPsec en la zona no global. A partir de la versin Solaris 10 7/07, puede utilizar IKE para administrar claves en una zona no global. IPsec y RBAC Para utilizar los roles para administrar IPsec, consulte el Captulo 9, Using Role-Based Access Control (Tasks) de System Administration Guide: Security Services. Si desea ver un ejemplo, consulte Cmo configurar una funcin para la seguridad de la red en la pgina 534. IPsec y SCTP IPsec se puede utilizar para proteger las asociaciones SCTP (Streams Control Transmission Protocol), pero debe hacerse con precaucin. Para obtener ms informacin, consulte IPsec y SCTP en la pgina 512.
Los dos sistemas se denominan enigma y partym. Cada sistema tiene dos direcciones, una direccin IPv4 y otra IPv6. Cada sistema requiere ESP cifrado con el algoritmo AES, que, a su vez, requiere una clave de 128 bits y autenticacin ESP con el resumen de mensajes de SHA1, que, a su vez, requiere una clave de 160 bits. Cada sistema utiliza asociaciones de seguridad compartidas. Con las asociaciones de seguridad (SA) compartidas, slo se necesita un par de SA para proteger los dos sistemas.
Antes de empezar 1
Debe estar en la zona global para configurar la directiva IPsec para el sistema o para una zona de IP compartida. Para una zona de IP exclusiva, configure la directiva IPsec en la zona no global. En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
519
Nota El registro remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja
de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para iniciar una sesin remota de forma segura. Esto se ilustra en el Ejemplo 201.
2
En cada sistema, agregue entradas de host. En la versin actual, agregue las entradas de host al archivo /etc/inet/hosts. En un sistema que se ejecute en una versin anterior a Solaris 10 7/07, agregue entradas IPv4 e IPv6 en el archivo /etc/inet/ipnodes. Las entradas de un sistema deben ser contiguas en el archivo. Para obtener informacin sobre los archivos de configuracin del sistema, consulte Archivos de configuracin TCP/IP en la pgina 241 y el Captulo 11, IPv6 en profundidad (referencia). Si est conectando sistemas slo con direcciones IPv4, debe modificar el archivo /etc/inet/hosts. En este ejemplo, los sistemas que se conectan ejecutan una versin anterior de Solaris y utilizan direcciones IPv6. a. En un sistema denominado enigma, escriba lo siguiente en el archivo hosts o ipnodes:
# Secure communication with partym 192.168.13.213 partym 2001::eeee:3333:3333 partym
En cada sistema, cree el archivo de directiva IPsec. El nombre de archivo es /etc/inet/ipsecinit.conf. Para ver un ejemplo, consulte el archivo /etc/inet/ipsecinit.sample.
Agregue una entrada de directiva IPsec al archivo ipsecinit.conf. a. En el sistema enigma, agregue la directiva siguiente:
{laddr enigma raddr partym} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
Para ver la sintaxis de las entradas de la directiva IPsec, consulte la pgina del comando man ipsecconf(1M).
520 Gua de administracin del sistema: servicios IP Septiembre de 2010
En cada sistema, agregue un par de SA IPsec entre los dos sistemas. Puede configurar el intercambio de claves de Internet (IKE) para crear las SA automticamente. Tambin puede agregar las SA de forma manual.
Nota Debe utilizar IKE a menos que tenga una razn de peso para generar y mantener las claves manualmente. La administracin de claves IKE es ms segura que la administracin manual.
Configure IKE siguiendo uno de los mtodos de configuracin de Configuracin de IKE (mapa de tareas) en la pgina 591. Para ver la sintaxis del archivo de configuracin de IKE, consulte la pgina del comando man ike.config(4). Para agregar las SA manualmente, consulte Cmo crear manualmente asociaciones de seguridad IPsec en la pgina 528.
A continuacin, vaya a Cmo verificar que los paquetes estn protegidos con IPsec en la pgina 533.
A partir de la versin Solaris 10 4/09, actualice el servicio IPsec y habilite el servicio de administracin de claves. Complete del Paso 7 al Paso 10.
La directiva IPsec est habilitada de forma predeterminada, por lo que puede actualizarla. Si ha inhabilitado la directiva IPsec, habiltela.
# svcadm enable svc:/network/ipsec/policy:default 9
521
Si ha configurado manualmente las claves en el Paso 5, realice una de las acciones siguientes:
10
Compruebe que los paquetes se estn protegiendo. Para ver el procedimiento, consulte Cmo verificar que los paquetes estn protegidos con IPsec en la pgina 533.
Ejemplo 201
En primer lugar, el administrador realiza del Paso 2 al Paso 5 del procedimiento anterior para configurar el primer sistema. A continuacin, en una ventana de terminal distinta, el administrador utiliza el comando ssh para iniciar la sesin en el segundo sistema.
local-system # ssh other-system other-system #
En la ventana de terminal de la sesin ssh, el administrador configura la directiva IPsec y las claves del segundo sistema; para ello, realiza del Paso 2 al Paso 6. A continuacin, el administrador termina la sesin ssh.
other-system # exit local-system #
Por ltimo, el administrador realiza el Paso 6 para habilitar la directiva IPsec en el primer sistema.
La prxima ocasin que los dos sistemas se comunican, incluida la conexin ssh, la comunicacin queda protegida por IPsec.
Ejemplo 202
522
implementar IPsec en un entorno de prueba. En un entorno de produccin, es ms seguro reiniciar que ejecutar el comando ipsecconf. Consulte las consideraciones de seguridad al final de este ejemplo. En lugar de reiniciar en el Paso 6, elija una de estas opciones:
Si ha utilizado IKE para crear material de claves, detenga y reinicie el daemon in.iked.
# pkill in.iked # /usr/lib/inet/in.iked
Si ha agregado claves manualmente, utilice el comando ipseckey para agregar las SA a la base de datos.
# ipseckey -c -f /etc/inet/secret/ipseckeys
Consideraciones de seguridad: Lea la advertencia que aparece al ejecutar el comando ipsecconf. Un socket que ya est bloqueado, es decir, un socket que ya est en uso, constituye una puerta trasera no segura al sistema. Si desea ms informacin al respecto, consulte Consideraciones de seguridad para ipsecinit.conf e ipsecconf en la pgina 578.
Cmo utilizar IPsec para proteger un servidor web del trfico que no procede de Internet
Un servidor web seguro permite a los clientes web comunicarse con el servicio web. En un servidor web seguro, el trfico que no sea de la red debe someterse a comprobaciones de seguridad. El siguiente procedimiento incluye las omisiones del trfico de red. Adems, este servidor web puede realizar solicitudes de clientes DNS no seguras. El resto del trfico requiere ESP con los algoritmos AES y SHA-1.
Antes de empezar
Debe encontrarse en la zona global para poder configurar la directiva IPsec. Para una zona de IP exclusiva, configure la directiva IPsec en la zona no global. Ha completado Cmo proteger el trfico entre dos sistemas con IPsec en la pgina 519 para que se apliquen las condiciones siguientes:
Que la comunicacin entre los dos sistemas est protegida por IPsec. Que se est generando material de claves, ya sea de forma manual o mediante IKE. Que haya comprobado que los paquetes se estn protegiendo.
523
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque
proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para iniciar una sesin remota de forma segura.
2
Determine qu servicios deben omitir las comprobaciones de directiva de seguridad. En el caso de un servidor web, estos servicios incluyen los puertos TCP 80 (HTTP) y 443 (HTTP seguro). Si el servidor web proporciona consultas de nombres DNS, el servidor tambin podra incluir el puerto 53 tanto para TCP como para UDP.
A partir de la versin Solaris 10 4/09, siga del Paso 4 al Paso 7. Si est ejecutando una versin anterior a Solaris 10 4/09 , siga del Paso 8 al Paso 11.
Agregue la directiva de servidor web al archivo de directiva IPsec. Agregue las lneas siguientes al archivo /etc/inet/ipsecinit.conf:
# Web traffic that web server should bypass. {lport 80 ulp tcp dir both} bypass {} {lport 443 ulp tcp dir both} bypass {} # Outbound DNS lookups should also be bypassed. {rport 53 dir both} bypass {} # Require all other traffic to use ESP with AES and SHA-1. # Use a unique SA for outbound traffic from the port {} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
Esta configuracin slo permite que el trfico seguro acceda al sistema, con las excepciones de omisin que se describen en el Paso 4.
5
524
Si ha configurado IKE en el Paso 5 de Cmo proteger el trfico entre dos sistemas con IPsec en la pgina 519, reinicie el servicio ike.
# svcadm restart svc:/network/ipsec/ike
Si ha configurado manualmente las claves en el Paso 5 de Cmo proteger el trfico entre dos sistemas con IPsecen la pgina 519, actualice el servicio manual-key.
# svcadm refresh svc:/network/ipsec/manual-key:default
Asigne al archivo un nombre que indique su finalidad, por ejemplo IPsecWebInitFile. Escriba las siguientes lneas en el archivo:
# Web traffic that web server should bypass. {lport 80 ulp tcp dir both} bypass {} {lport 443 ulp tcp dir both} bypass {} # Outbound DNS lookups should also be bypassed. {rport 53 dir both} bypass {} # Require all other traffic to use ESP with AES and SHA-1. # Use a unique SA for outbound traffic from the port {} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
Esta configuracin slo permite que el trfico seguro acceda al sistema, con las excepciones de omisin que se describen en el Paso 4.
9
Copie el contenido del archivo que haya creado en el Paso 8 en el archivo /etc/inet/ipsecinit.conf. Proteja el archivo IPsecWebInitFile con permisos de slo lectura.
# chmod 400 IPsecWebInitFile
10
11
Proteja el servidor web sin reiniciar. Elija una de las siguientes opciones:
Si est utilizando IKE para la administracin de claves, detenga el daemon in.iked y reincielo.
# pkill in.iked # /usr/lib/inet/in.iked
525
Si est administrando las claves manualmente, utilice los comandos ipseckey e ipsecconf. Utilice IPsecWebInitFile como argumento para el comando ipsecconf. Si utiliza el archivo ipsecinit.conf como argumento, el comando ipsecconf genera errores cuando las directivas del archivo ya estn implementadas en el sistema.
# ipseckey -c -f /etc/inet/secret/ipseckeys # ipsecconf -a /etc/inet/IPsecWebInitFile
Precaucin Lea la advertencia cuando ejecute el comando ipsecconf. Un socket que ya est
bloqueado, es decir, un socket que ya est en uso, constituye una puerta trasera no segura al sistema. Si desea ms informacin al respecto, consulte Consideraciones de seguridad para ipsecinit.conf e ipsecconf en la pgina 578. La misma advertencia aparece al reiniciar el daemon in.iked. Tambin puede reiniciar. Al reiniciar se asegura de que la directiva IPsec est aplicada en todas las conexiones TCP. Al reiniciar, las conexiones TCP utilizan la directiva del archivo de directiva IPsec.
12
(Opcional) Active un sistema remoto para comunicarse con el servidor web para trfico que no sea de red. Escriba la siguiente directiva en el archivo ipsecinit.conf de un sistema remoto:
# Communicate with web server about nonweb stuff # {laddr webserver} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
Un sistema remoto puede comunicarse de forma segura con el servidor web para trfico que no sea de web slo cuando las directivas IPsec del sistema coinciden.
Antes de empezar 1
Debe ejecutar el comando ipsecconf en la zona global. Para una zona de IP exclusiva, ejecute el comando ipsecconf en la zona no global. Asuma un rol que incluya el perfil de administracin IPsec de la red o convirtase en superusuario. Si est ejecutando una versin anterior a Solaris 10 4/09, el perfil de Network IPsec Management no est disponible. Utilice el perfil de la seguridad de la red. Para crear un rol que incluya un perfil de seguridad de red y asignarlo a un usuario, consulte Cmo configurar una funcin para la seguridad de la red en la pgina 534.
526
Visualizar las directivas de IPsec. a. Visualice las entradas de la directiva IPsec global en el orden en que se agregaron las entradas.
$ ipsecconf
El comando muestra cada entrada con un ndice, seguida de un nmero. b. Visualice las entradas de la directiva IPsec en el orden en que se produzca una coincidencia.
$ ipsecconf -l
c. Visualice las entradas de la directiva IPsec, incluidas las entradas por tnel, en el orden en que se produzca una coincidencia.
$ ipsecconf -L
-x -X -A n archivo head -n
Muestra el vaciado octal en formato hexadecimal. El formato hexadecimal resulta til para el material de claves. Dicho formato se imprime en bloques de 4 caracteres. Muestra el vaciado octal en formato hexadecimal. Dicho formato se imprime en bloques de 8 caracteres. Elimina la base de desfase de entrada de la pantalla. Acta como origen para los nmeros aleatorios. Limita el resultado de la pantalla a las primeras n lneas.
527
Combine el resultado para crear una clave con la longitud adecuada. Elimine los espacios entre los nmeros de una lnea para crear una clave de 32 caracteres. Una clave de 32 caracteres tiene 128 bits. En el caso de un ndice de parmetros de seguridad (SPI), debe utilizar una clave de 8 caracteres. La clave debe utilizar el prefijo 0x.
Ejemplo 203
Al combinar los cuatro nmeros de la primera lnea, puede crear una clave de 32 caracteres. Un nmero de 8 caracteres precedido de 0x proporciona un valor de SPI adecuado, por ejemplo, 0xf3447465. El ejemplo siguiente muestra dos lneas de claves en grupos de cuatro caracteres hexadecimales cada uno.
% od -x -A n /dev/random | head -2 34ce 56b2 8b1b 3677 9231 42e9 80b0 c673 2f74 2817 8026 df68 12f4 905a db3d ef27
Al combinar los ocho nmeros en la primera lnea, puede crear una clave de 32 caracteres.
Antes de empezar 1
Debe estar en la zona global para administrar material de claves para una zona IP compartida. Genere el material de claves para la SA. Necesita tres nmeros aleatorios hexadecimales para el trfico saliente y tres para el trfico entrante.
528
Dos nmeros aleatorios hexadecimales como valor para la palabra clave spi. Un nmero es para el trfico saliente. Otro es para el trfico entrante. Cada nmero puede tener hasta ocho caracteres de longitud. Dos nmeros aleatorios hexadecimales para el algoritmo SHA-1 para la autenticacin. Para una clave de 160 bits, cada numero debe tener 40 caracteres de longitud. Un nmero es para dst enigma. Un nmero es para dst partym. Dos nmeros aleatorios hexadecimales para el algoritmo DES para el cifrado de ESP. Para una clave de 256 bits, cada numero debe tener 64 caracteres de longitud. Un nmero es para dst enigma. Un nmero es para dst partym.
Si dispone de un generador de nmeros aleatorios en su sitio, utilcelo. Tambin puede utilizar el comando od. Consulte Cmo generar nmeros aleatorios en un sistema Solaris en la pgina 527 para ver el procedimiento.
2
En la consola del sistema de uno de los sistemas, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para iniciar una sesin remota de forma segura.
A partir de la versin Solaris 10 4/09, siga del Paso 8 al Paso 10. Si est ejecutando una versin anterior a Solaris 10 4/09, siga del Paso 4 al Paso 9.
El smbolo del sistema > indica que se encuentra en modo de comando ipseckey.
5
Para evitar que un intruso interrumpa las SA, debe sustituir el material de claves.
Captulo 20 Configuracin de IPsec (tareas) 529
sustituir las SA en un sistema, tambin deben sustituirse las del sistema remoto.
6
Esta sintaxis tambin se utiliza para sustituir las SA que acaba de vaciar. protocolo Especifica esp o ah. cadena_hex_aleatoria Especifica un nmero aleatorio de hasta ocho caracteres en formato hexadecimal. Preceda los caracteres con 0x. Si especifica ms nmeros de los que acepta el ndice de parmetros de seguridad (SPI), el sistema omitir los nmeros adicionales. Si especifica menos nmeros de los que acepta el SPI, el sistema rellena la entrada. dir Especifica la direccin IP de un sistema. dir2 Especifica la direccin IP del sistema equivalente a dir. prefijo_protocolo Especifica un prefijo encr o auth. El prefijo encr se utiliza con el protocolo esp. El prefijo auth se utiliza con el protocolo ah, y para autenticar el protocolo esp. algoritmo_protocolo Especifica un algoritmo para ESP o AH. Cada algoritmo requiere una clave de una longitud especfica. Los algoritmos de autenticacin incluyen MD5 y SHA-1. A partir de la versin Solaris 10 4/09, SHA256 y SHA512 son compatibles. Los algoritmos de cifrado incluyen DES, 3DES, AES y Blowfish. cadena_hex_aleatoria_de_longitud_algoritmo_especificada Especifica un nmero hexadecimal aleatorio de la longitud que requiere el algoritmo. Por ejemplo, el algoritmo MD5 requiere una cadena de 32 caracteres para su clave de 128 bits. El algoritmo 3DES requiere una cadena de 48 caracteres para su clave de 192 bits. a. Por ejemplo, en el sistema enigma, proteja los paquetes salientes. Utilice los nmeros aleatorios que haya generado en el paso Paso 1.
530
b. Contine en modo de comando ipseckey en el sistema enigma y proteja los paquetes entrantes. Escriba los siguientes comandos para proteger los paquetes:
> add esp spi 0x122a43e4 \ src 192.168.13.213 dst 192.168.116.16 \ encr_alg aes \ auth_alg sha1 \ encrkey a2ea934cd62ca7fa14907cb2ad189b68e4d18c976c14f22b30829e4b1ea4d2ae \ authkey c80984bc4733cc0b7c228b9b74b988d2b7467745 > Nota Las claves y el SPI pueden ser diferentes para cada SA. Debe asignar claves y SPI distintos para cada SA. 7 8
Para salir del modo de comando ipseckey, pulse Control-D o escriba quit. Agregue, el material de claves al archivo /etc/inet/secret/. En las versiones anteriores a Solaris 10 4/09 este paso garantiza que el material de claves est disponible para IPsec al reiniciar. Las lneas del archivo /etc/inet/secret/ipseckeys son idnticas al lenguaje de la lnea de comandos ipseckey. a. Por ejemplo, el archivo /etc/inet/secret/ipseckeys del sistema enigma tendra un aspecto similar al siguiente:
# ipseckeys - This file takes the file format documented in # ipseckey(1m). # Note that naming services might not be available when this file # loads, just like ipsecinit.conf. # # for outbound packets on enigma add esp spi 0x8bcd1407 \ src 192.168.116.16 dst 192.168.13.213 \ encr_alg aes \ auth_alg sha1 \ encrkey c0c65b888c2ee301c84245c3da63127e92b2676105d5330e85327c1442f37d49 \ authkey 6fab07fec4f2895445500ed992ab48835b9286ff
Captulo 20 Configuracin de IPsec (tareas) 531
# # for inbound packets add esp spi 0x122a43e4 \ src 192.168.13.213 dst 192.168.116.16 \ encr_alg aes \ auth_alg sha1 \ encrkey a2ea934cd62ca7fa14907cb2ad189b68e4d18c976c14f22b30829e4b1ea4d2ae \ authkey c80984bc4733cc0b7c228b9b74b988d2b7467745
Repita el procedimiento en el sistema partym. Utilice el mismo material de claves que utiliz en enigma. El material de claves de los dos sistemas debe ser idntico. Tal como se muestra en el ejemplo siguiente, slo los comentarios de ipseckeys son distintos. Los comentarios difieren porque dst enigma entra en el sistema enigma y sale del sistema partym.
# partym ipseckeys file # # for inbound packets add esp spi 0x8bcd1407 \ src 192.168.116.16 dst 192.168.13.213 \ encr_alg aes \ auth_alg sha1 \ encrkey c0c65b888c2ee301c84245c3da63127e92b2676105d5330e85327c1442f37d49 \ authkey 6fab07fec4f2895445500ed992ab48835b9286ff # # for outbound packets add esp spi 0x122a43e4 \ src 192.168.13.213 dst 192.168.116.16 \ encr_alg aes \ auth_alg sha1 \ encrkey a2ea934cd62ca7fa14907cb2ad189b68e4d18c976c14f22b30829e4b1ea4d2ae \ authkey c80984bc4733cc0b7c228b9b74b988d2b7467745
10
Sustitucin de SA de IPsec
En este ejemplo, el administrador est configurando un sistema que ejecuta la versin Solaris 10 actual. El administrador genera nuevas claves, cambia la informacin sobre claves en el archivo ipseckeys y reinicia el servicio.
En primer lugar, el administrador completa Cmo generar nmeros aleatorios en un sistema Solaris en la pgina 527 para generar las claves. A continuacin, el administrador utiliza las claves generadas en el archivo /etc/inet/secreto/.
532
El administrador ha utilizado los mismos algoritmos. Por tanto, el administrador cambia los valores de SPI, encrkey y authkey slo:
add esp spi 0x8xzy1492 \ src 192.168.116.16 dst 192.168.13.213 \ encr_alg aes \ auth_alg sha1 \ encrkey 0a1f3886b06ebd7d39f6f89e4c29c93f2741c6fa598a38af969907a29ab1b42a \ authkey a7230aabf513f35785da73e33b064608be41f69a # # add esp spi 0x177xce34\ src 192.168.13.213 dst 192.168.116.16 \ encr_alg aes \ auth_alg sha1 \ encrkey 4ef5be40bf93498017b2151d788bb37e372f091add9b11149fba42435fefe328 \ authkey 0e1875d9ff8e42ab652766a5cad49f38c9152821
Por ltimo, el administrador reinicia el servicio manual-key. El comando de reinicio borra las claves anteriores antes de agregar las nuevas.
# svcadm restart manual-key
AH: Prefijo que indica que AH esta protegiendo los encabezados. El prefijo AH: aparece si se utiliza auth_alg para proteger el trfico. ESP: Prefijo que indica que se estn enviando los datos cifrados. ESP: aparece si se utiliza encr_auth_alg o encr_alg para proteger el trfico.
Antes de empezar 1
Debe ser superusuario o asumir un rol equivalente para crear el resultado snoop. Para poder probar la conexin, es preciso tener acceso a ambos sistemas. Convirtase en superusuario en un sistema, por ejemplo partym.
% su Password: # Type root password
En el sistema partym, preprese para buscar paquetes desde un sistema remoto. En una ventana de terminal en partym, busque los paquetes desde el sistema enigma.
# snoop -v enigma Using device /dev/hme (promiscuous mode)
Captulo 20 Configuracin de IPsec (tareas) 533
Enve un paquete desde el sistema remoto. En otra ventana de terminal, inicie sesin remotamente en el sistema enigma. Facilite su contrasea. A continuacin, convirtase en superusuario y enve un paquete del sistema enigma al sistema partym. El paquete debe capturarse mediante el comando snoop -v enigma.
% ssh enigma Password: Type your password % su Password: Type root password # ping partym
Examine el resultado de snoop. En el sistema partym, debera ver el resultado que incluye la informacin de AH y ESP tras la informacin de encabezado IP inicial. Aparecer informacin de AH y ESP que muestra que se estn protegiendo los paquetes:
IP: IP: IP: IP: IP: IP: IP: AH: AH: AH: AH: AH: AH: AH: AH: AH: ESP: ESP: ESP: ESP: ESP: Time to live = 64 seconds/hops Protocol = 51 (AH) Header checksum = 4e0e Source address = 192.168.116.16, enigma Destination address = 192.168.13.213, partym No options ----- Authentication Header ----Next header = 50 (ESP) AH length = 4 (24 bytes) <Reserved field = 0x0> SPI = 0xb3a8d714 Replay = 52 ICV = c653901433ef5a7d77c76eaa ----- Encapsulating Security Payload ----SPI = 0xd4f40a61 Replay = 52 ....ENCRYPTED DATA....
534
Busque los perfiles de derechos de red en la base de datos prof_attr local. En la versin actual, aparece una salida similar a la siguiente:
% cd /etc/security % grep Network prof_attr Network IPsec Management:::Manage IPsec and IKE... Network Link Security:::Manage network link security... Network Management:::Manage the host and network configuration... Network Security:::Manage network and host security... Network Wifi Management:::Manage wifi network configuration... Network Wifi Security:::Manage wifi network security...
Si est ejecutando una versin anterior a Solaris 10 4/09, la salida presenta un aspecto parecido al siguiente:
% cd /etc/security % grep Network prof_attr Network Management:::Manage the host and network configuration Network Security:::Manage network and host security System Administrator::: Network Management
El perfil de administracin de red es un perfil complementario del perfil de administrador de sistemas. Si ha incluido el perfil de derechos de administrador de sistemas en un rol, dicho rol podr ejecutar los comandos del perfil de administracin de red.
2
Los comandos de directiva solaris se ejecutan con privilegio ( privs=sys_net_config). Los comandos de directiva suser se ejecutan como superusuario (uid=0).
3
Decida el mbito de las funciones de seguridad de la red en su sitio. Utilice las definiciones de los perfiles de derechos en el Paso 1 para guiar la decisin.
Para crear una funcin que administre toda la seguridad de la red, utilice el perfil de derechos de la seguridad de la red. En la versin actual, para crear una funcin que administre slo IPsec e IKE, utilice el perfil de derechos de gestin de red IPsec.
Cree un rol de seguridad de red que incluya el perfil de derechos de gestin de la red. Una funcin con el perfil de derechos de gestin de red IPsec o de seguridad de la red, adems del perfil de gestin de la red, puede ejecutar los comandos ifconfig, snoop, ipsecconf e ipseckey, entre otros, con privilegios adecuados. Para crear el rol, asignarlo a un usuario y registrar los cambios con el servicio de nombres, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Captulo 20 Configuracin de IPsec (tareas) 535
Ejemplo 205
El administrador asigna los perfiles de derechos wifi de red, seguridad de vnculos de red y gestin de red a la funcin. A continuacin, el administrador asigna la funcin LinkWifi a los usuarios pertinentes. El administrador asigna los perfiles de derechos de gestin de red IPsec y de gestin de red a la funcin. A continuacin, el administrador asigna la funcin de administrador de IPsec a los usuarios pertinentes.
Para administrar la directiva IPsec, lleve a cabo una de las siguientes acciones:
Tras cambiar el valor de una propiedad de servicio, consulte el valor de la propiedad y, a continuacin, actualice y reinicie el servicio policy.
# svccfg -s policy setprop config/config_file=/etc/inet/MyIpsecinit.conf # svcprop -p config/config_file policy /etc/inet/MyIpsecinit.conf # svcadm refresh svc:/network/ipsec/policy # svcadm restart svc:/network/ipsec/policy
536
Tras cambiar el valor de una propiedad de servicio, consulte el valor de la propiedad y, a continuacin, actualice el servicio y reincielo.
# svccfg -s ike setprop config/admin_privilege=modkeys # svcprop -p config/admin_privilege ike modkeys # svcadm refresh svc:/network/ipsec/ike # svcadm restart svc:/network/ipsec/ike
Para administrar claves manualmente, lleve a cabo una de las siguientes acciones:
Tras cambiar el valor de una propiedad de servicio, consulte el valor de la propiedad; a continuacin, actualice y reinicie el servicio.
# svccfg -s manual-key setprop config/config_file=/etc/inet/secret/MyIpseckeyfile # svcprop -p config/config_file manual-key /etc/inet/secret/MyIpseckeyfile # svcadm refresh svc:/network/ipsec/manual-key # svcadm restart svc:/network/ipsec/manual-key
Errores ms frecuentes
Utilice el comando svcs servicio para buscar el estado de un servicio. Si el servicio est en el modo maintenance, siga las sugerencias de depuracin en la salida del comando svcs -x servicio.
537
Para ver ejemplos de las directivas de IPsec para los tneles en modo tnel, consulte Ejemplos de proteccin de una VPN con IPsec mediante el uso de tneles en modo tnel en la pgina 538. Para ver los procedimientos que protegen las VPN, consulte Proteccin de una VPN con IPsec (mapa de tareas) en la pgina 540.
Ejemplos de proteccin de una VPN con IPsec mediante el uso de tneles en modo tnel
FIGURA 201
Central 10.1.2.0/24 .4 .3 .2
LAN
Tnel de IPsec
Internacional 10.2.3.0/24 .4 .3
192.168.1.10 .1
192.168.2.10
Internet
.2
R1
R2
.1
LAN
ip.tun0
Los ejemplos siguientes presuponen que el tnel se ha configurado para todas las subredes de la LAN:
538 Gua de administracin del sistema: servicios IP Septiembre de 2010
## Tunnel configuration ## # Tunnel name is ip.tun0 # Intranet point for the source is 10.1.2.1 # Intranet point for the destination is 10.2.3.1 # Tunnel source is 192.168.1.10 # Tunnel destination is 192.168.2.10
EJEMPLO 206
En este ejemplo, se puede crear un tnel de todo el trfico de las redes LAN locales de la red LAN central de la Figura 201 del enrutador 1 al 2 y, a continuacin, transferirlo a todas las redes LAN locales de la red LAN internacional. El trfico se cifra con AES.
## IPsec policy ## {tunnel ip.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
EJEMPLO 207
En este ejemplo, slo se crea un tnel y se cifra el trfico entre la subred 10.1.2.0/24 de la LAN central y la subred 10.2.3.0/24 de la LAN internacional. En caso de no haber otras directivas IPsec para Central, si la LAN central intenta enrutar el trfico para otras LAN por este tnel, el trfico se transferir al enrutador 1.
## IPsec policy ## {tunnel ip.tun0 negotiate tunnel laddr 10.1.2.0/24 raddr 10.2.3.0/24} ipsec {encr_algs aes encr_auth_algs md5 sha1 shared}
EJEMPLO 208
Creacin de un tnel slo para el trfico de correo electrnico entre dos subredes
En este ejemplo, se crea un tnel slo para el trfico de correo electrnico. El trfico se transfiere de la subred 10.1.2.0/24 de la LAN central al servidor de correo electrnico de la subred 10.2.3.0/24 de la LAN internacional. El correo electrnico se cifra con Blowfish. Las directivas se aplican a los puertos de correo electrnico remoto y local. La directiva rport protege el correo electrnico que Central enva al puerto de correo electrnico remoto de Internacional. La directiva lport protege el correo electrnico que Central recibe de Internacional en el puerto local 25.
## IPsec policy for email from Central to Overseas ## {tunnel ip.tun0 negotiate tunnel ulp tcp rport 25 laddr 10.1.2.0/24 raddr 10.2.3.0/24} ipsec {encr_algs blowfish encr_auth_algs sha1 sa shared} ## IPsec policy for email from Overseas to Central ## {tunnel ip.tun0 negotiate tunnel ulp tcp lport 25 laddr 10.1.2.0/24 raddr 10.2.3.0/24} ipsec {encr_algs blowfish encr_auth_algs sha1 sa shared}
539
EJEMPLO 209
En este ejemplo, la directiva IPsec protege los puertos FTP de la Figura 201 con DES para todas las subredes de la red LAN central a todas las subredes de la red LAN internacional. Esta configuracin funciona para el modo activo de FTP.
## IPsec policy for outbound FTP from Central to Overseas ## {tunnel ip.tun0 negotiate tunnel ulp tcp rport 21} ipsec {encr_algs aes encr_auth_algs sha1 sa shared} {tunnel ip.tun0 negotiate tunnel ulp tcp lport 20} ipsec {encr_algs aes encr_auth_algs sha1 sa shared} ## IPsec policy for inbound FTP from Central to Overseas ## {tunnel ip.tun0 negotiate tunnel ulp tcp lport 21} ipsec {encr_algs aes encr_auth_algs sha1 sa shared} {tunnel ip.tun0 negotiate tunnel ulp tcp rport 20} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
Proteger el trfico de tnel Protege el trfico en modo transporte entre dos sistemas en modo tnel por IPv4. Solaris 10, dos sistemas Oracle Solaris y un sistema Oracle Solaris Express. El sistema Solaris 10 debe ejecutar como mnimo la versin Solaris 10 7/07. Asimismo, protege el trfico en modo tnel entre un sistema Solaris 10 o un sistema Oracle Solaris Express y un sistema que se ejecuta en otra plataforma. El sistema Solaris 10 debe ejecutar como mnimo la versin Solaris 10 7/07. Proteger el trfico de tnel Protege el trfico en modo tnel entre dos sistemas en modo tnel por IPv6. Oracle Solaris que utilizan el protocolo IPv6.
Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 543
Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv6 en la pgina 553
540
Tarea
Descripcin
Proteger el trfico de tnel Protege el trfico en modo transporte entre dos sistemas Cmo proteger una VPN con un tnel IPsec en modo de transporte Solaris 10, dos sistemas Solaris o entre un sistema Solaris en modo transporte mediante IPv4 por IPv4. 10 y un sistema Oracle Solaris. El sistema Solaris 10 debe en la pgina 559 ejecutar como mnimo la versin Solaris 10 7/07. Adems, protege el trfico en modo transporte entre un sistema que ejecuta una versin anterior de SO Solaris y Solaris 10 o un sistema Oracle Solaris. El sistema Solaris 10 debe ejecutar como mnimo la versin Solaris 10 7/07. Protege el trfico utilizando una sintaxis ms antigua y no admitida. Este mtodo resulta til cuando se est comunicando con un sistema que ejecuta una versin anterior de SO Solaris. Este mtodo simplifica la comparacin de los archivos de configuracin de los dos sistemas. Proteger el trfico de tnel Protege el trfico en modo transporte entre dos sistemas en modo transporte por Oracle Solaris que utilizan el protocolo IPv6. IPv6. Evitar la falsificacin de la Crea un servicio SMF para evitar que el sistema reenve IP. paquetes a travs de una VPN sin descifrarlos. Ejemplo 2011 Ejemplo 2016
Cmo proteger una VPN con un tnel IPsec en modo transporte mediante IPv6 en la pgina 565 Cmo evitar la falsificacin de la IP en la pgina 571
Descripcin de la topologa de red para la proteccin de una VPN por parte de las tareas de IPsec
Los procedimientos que se describen a continuacin presuponen la siguiente configuracin. Para ver una representacin de la red, consulte la Figura 202.
Cada sistema utiliza un espacio de direccin IPv4. Para ver un ejemplo similar con direcciones IPv6, consulte Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv6 en la pgina 553.
Cada sistema cuenta con dos interfaces. La interfaz hme0 se conecta a Internet. En este ejemplo, las direcciones IP de Internet empiezan por 192.168. La interfaz hme1 se conecta a la LAN de la compaa, es decir, a su intranet. En este ejemplo, las direcciones IP de la intranet empiezan por el nmero 10. Cada sistema requiere autenticacin ESP con el algoritmo SHA-1. El algoritmo SHA1 requiere una clave de 160 bits. Cada sistema requiere cifrado ESP con el algoritmo AES. El algoritmo AES utiliza una clave de 128 o 256 bits. Cada sistema puede conectarse a un enrutador que tenga acceso directo a Internet. Cada sistema utiliza asociaciones de seguridad compartidas.
541
FIGURA 202
LAN Intranet Calif-vpn IPsec hme1 10.1.3.3 10.1.3.3 (sin numerar, tal como lo muestran los indicadores de interfaz) 192.168.13.5 Encaminador C hme0 192.168.13.213
LAN Intranet
hme1 10.16.16.6
ip.tun0 10.16.16.6 (sin numerar) hme0 = Desactivar reenvo de IP hme0 = Activar reenvo de IP ip.tun0 = Activar reenvo de IP Encaminador C - /etc/defaultrouter for Calif-vpn Encaminador E - /etc/defaultrouter for Euro-vpn
Como muestra la ilustracin anterior, los procedimientos para la red IPv4 utilizan los siguientes parmetros de configuracin.
Parmetro Europa California
enigma hme1
partym hme1
542
Parmetro
Europa
California
La direccin de intranet del sistema, tambin direccin -punto en el Paso 7 Interfaz de Internet del sistema
10.16.16.6
10.1.3.3
hme0
Direccin de Internet del sistema, tambin direccin tsrc en el Paso 7 192.168.116.16 Nombre del enrutador de Internet Direccin del enrutador de Internet Nombre de tnel router-E 192.168.116.4 ip.tun0
Las siguientes direcciones IPv6 se utilizan en los procedimientos. Los nombres de tnel son los mismos.
Parmetro Europa California
Direccin de intranet del sistema Direccin de Internet del sistema Direccin del enrutador de Internet
Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4
En modo tnel, el paquete IP interior determina la directiva IPsec que protege su contenido. Este procedimiento ampla el procedimiento de Cmo proteger el trfico entre dos sistemas con IPsec en la pgina 519. El procedimiento de configuracin se describe en Descripcin de la topologa de red para la proteccin de una VPN por parte de las tareas de IPsec en la pgina 541.
Nota Lleve a cabo los pasos de este procedimiento en ambos sistemas.
Adems de conectar dos sistemas, est conectando dos intranets que se conectan a estos dos sistemas. Los sistemas de este procedimiento actan como portales.
Antes de empezar
Debe estar en la zona global para configurar la directiva IPsec para el sistema o para una zona de IP compartida. Para una zona de IP exclusiva, configure la directiva IPsec en la zona no global.
Captulo 20 Configuracin de IPsec (tareas) 543
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para un inicio de sesin remota seguro.
Controle el flujo de paquetes antes de configurar IPsec. a. Asegrese de que el reenvo de IP y el enrutamiento dinmico de IP estn desactivados.
# routeadm Configuration Current Current Option Configuration System State -------------------------------------------------IPv4 forwarding disabled disabled IPv4 routing default (enabled) enabled ...
La desactivacin del reenvo de IP impide que los paquetes se enven de una red a otra a travs de este sistema. Para ver una descripcin del comando routeadm, consulte la pgina del comando man routeadm(1M). b. Active los hosts mltiples de destino estricto de IP.
# ndd -set /dev/ip ip_strict_dst_multihoming 1
La activacin de los hosts mltiples de destino estricto de IP garantiza que los paquetes de una de las direcciones de destino del sistema llegan a la direccin de destino correcta. Cuando est activa la funcin de hosts mltiples de destino estricto, los paquetes que alcanzan una determinada interfaz deben dirigirse a una de las direcciones IP locales de dicha interfaz. Todos los dems paquetes, incluidos los que se dirigen a otras direcciones locales del sistema, se eliminan.
Precaucin El valor de host mltiple vuelve al predeterminado cuando se inicia el sistema.
Para hacer que el valor cambiado sea persistente, consulte Cmo evitar la falsificacin de la IP en la pgina 571. c. Desactive la mayora de los servicios de red, y posiblemente todos.
544 Gua de administracin del sistema: servicios IP Septiembre de 2010
Nota Si su sistema se instal con el perfil SMF "limitado", puede omitir este paso. Los servicios de red se desactivan, a excepcin de Solaris Secure Shell.
La desactivacin de los servicios de red evita que los paquetes IP daen el sistema. Por ejemplo, podran aprovecharse un daemon SNMP, una conexin telnet o una conexin rlogin. Elija una de las siguientes opciones:
Si ejecuta Solaris 10 11/06 o una versin posterior, ejecute el perfil SMF "limitado".
# netservices limited
d. Compruebe que la mayora de los servicios de red estn inhabilitados. Compruebe que los montajes de realimentacin y el servicio ssh se estn ejecutando.
# svcs | grep network online Aug_02 ... online Aug_09 3 svc:/network/loopback:default svc:/network/ssh:default
Agregue un par de SA entre los dos sistemas. Elija una de las siguientes opciones:
Configure IKE para administrar las claves para las SA. Utilice uno de los procedimientos de Configuracin de IKE (mapa de tareas) en la pgina 591 para configurar IKE para la VPN. Si tiene motivos para administrar las claves manualmente, consulte Cmo crear manualmente asociaciones de seguridad IPsec en la pgina 528.
Agregue la directiva IPsec. Edite el archivo /etc/inet/ipsecinit.conf para agregar la directiva IPsec para la VPN. Para reforzar la directiva, consulte el Ejemplo 2012. Para ver ejemplos adicionales, consulte Ejemplos de proteccin de una VPN con IPsec mediante el uso de tneles en modo tnel en la pgina 538.
545
En esta directiva, la proteccin IPsec no se necesita entre sistemas de la LAN local y la direccin IP del servidor de seguridad, de modo que se agrega una instruccin bypass. a. En el sistema enigma, escriba la entrada siguiente en el archivo ipsecinit.conf:
# LAN traffic to and from this host can bypass IPsec. {laddr 10.16.16.6 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
Para configurar el tnel y protegerlo con IPsec, siga los pasos descritos en funcin de la versin de Solaris:
A partir de la versin Solaris 10 4/09, siga los pasos del Paso 7 al Paso 13 y, a continuacin, ejecute el protocolo de enrutamiento en Paso 22. Si est ejecutando una versin anterior a Solaris 10 4/09, siga las indicaciones del Paso 14 al Paso 22.
Para leer el contenido del archivo de configuracin de tnel en el ncleo, reinicie los servicios de red.
# svcadm restart svc:/network/initial:default
546
10
Active el reenvo de IP para la interfaz hme1. a. En el sistema enigma, agregue la entrada del enrutador al archivo /etc/hostname.hme1.
192.168.116.16 router
El reenvo de IP significa que los paquetes que llegan desde cualquier parte se pueden reenviar. El reenvo de IP tambin significa que los paquetes que abandonan esta interfaz podran haberse originado en cualquier otra parte. Para reenviar un paquete correctamente, tanto la interfaz receptora como la de transmisin deben tener activa la opcin de reenvo de IP. Dado que la interfaz hme1 est dentro de la intranet, el reenvo de IP debe estar activo para hme1. Dado que ip.tun0 conecta los dos sistemas a travs de Internet, el reenvo de IP debe estar activo para ip.tun0. La interfaz hme0 tiene su propio reenvo de IP desactivado para evitar que un adversario externo inserte paquetes en la intranet protegida. El trmino externo hace referencia a Internet.
11
Asegrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet. a. En el sistema enigma, agregue el indicador private al archivo /etc/hostname.hme0.
10.16.16.6 private
Aunque hme0 tenga el reenvo de IP desactivado, la implementacin de un protocolo de enrutamiento podra seguir publicando la interfaz. Por ejemplo, el protocolo in.routed podra seguir anunciando que hme0 est disponible para reenviar paquetes a sus equivalentes dentro de la intranet. Al configurar el indicador private de la interfaz, se evita la publicacin de estos datos.
12
Agregue manualmente una ruta predeterminada a travs de la interfaz hme0. La ruta predeterminada debe ser un enrutador con acceso directo a Internet. a. En el sistema enigma, agregue la ruta siguiente:
# route add default 192.168.116.4
Aunque la interfaz hme0 no forme parte de la intranet, hme0 necesita alcanzar su sistema equivalente a travs de Internet. Para encontrar su equivalente, hme0 necesita informacin sobre el enrutamiento de Internet. El sistema VPN aparece como host, en lugar de aparecer
Captulo 20 Configuracin de IPsec (tareas) 547
como enrutador, para el resto de Internet. Por tanto, puede utilizar un enrutador predeterminado o ejecutar el protocolo de descubrimiento de enrutador para encontrar un sistema equivalente. Para ms informacin, consulte las pginas del comando man route(1M) e in.routed(1M).
13 14
Para completar el procedimiento, vaya al Paso 22 para ejecutar un protocolo de enrutamiento. Configure el tnel, ip.tun0.
Nota Los siguientes pasos configuran un tnel en un sistema que ejecuta una versin anterior a Solaris 10 4/09.
16
17
El reenvo de IP significa que los paquetes que llegan desde cualquier parte se pueden reenviar. El reenvo de IP tambin significa que los paquetes que abandonan esta interfaz podran haberse originado en cualquier otra parte. Para reenviar un paquete correctamente, tanto la interfaz receptora como la de transmisin deben tener activa la opcin de reenvo de IP.
548
Puesto que la interfaz hme1 est dentro de la intranet, el reenvo de IP debe estar activo para hme1. Dado que ip.tun0 conecta los dos sistemas a travs de Internet, el reenvo de IP debe estar activo para ip.tun0. La interfaz hme0 tiene su propio reenvo de IP desactivado para evitar que un adversario externo inserte paquetes en la intranet protegida. El trmino externo hace referencia a Internet.
18
Aunque hme0 tenga el reenvo de IP desactivado, la implementacin de un protocolo de enrutamiento podra seguir publicando la interfaz. Por ejemplo, el protocolo in.routed podra seguir publicando que hme0 est disponible para reenviar paquetes a sus equivalentes dentro de la intranet. Al configurar el indicador private de la interfaz, se evita la publicacin de estos datos.
19
Agregue manualmente una ruta predeterminada a travs de hme0. La ruta predeterminada debe ser un enrutador con acceso directo a Internet. a. En el sistema enigma, agregue la ruta siguiente:
# route add default 192.168.116.4
Aunque la interfaz hme0 no forme parte de la intranet, hme0 necesita alcanzar su sistema equivalente a travs de Internet. Para encontrar su equivalente, hme0 necesita informacin sobre el enrutamiento de Internet. El sistema VPN aparece como host, en lugar de aparecer como enrutador, para el resto de Internet. Por tanto, puede utilizar un enrutador predeterminado o ejecutar el protocolo de descubrimiento de enrutador para encontrar un sistema equivalente. Para ms informacin, consulte las pginas del comando man route(1M) e in.routed(1M).
20
Asegrese de que la VPN se inicie tras un reinicio mediante la adicin de una entrada al archivo /etc/hostname.ip.tun0 .
system1-point system2-point tsrc system1-taddr tdst system2-taddr router up
549
21
Configure los archivos de interfaz para transferir los parmetros correctos al daemon de enrutamiento. a. En el sistema enigma, modifique los archivos /etc/hostname. interfaz.
# cat /etc/hostname.hme0 ## enigma 10.16.16.6 private # cat /etc/hostname.hme1 ## enigma 192.168.116.16 router
Podra ser que antes de ejecutar el protocolo de enrutamiento fuese necesario configurarlo. Para obtener ms informacin, consulte Protocolos de enrutamiento en Oracle Solaris en la pgina 261. Para conocer el procedimiento, consulte Configuracin de un enrutador IPv4 en la pgina 121.
Ejemplo 2010
En ambos sistemas, el administrador completa los cinco primeros pasos de Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 543. El administrador utiliza el comando ifconfig para conectar y configurar un tnel temporal.
system1 # ifconfig ip.tun0 plumb system1 # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213 # ssh system2 Password: admin-password-on-system2
550
system2 # ifconfig ip.tun0 plumb system2 # ifconfig ip.tun0 10.1.3.3 10.16.16.6 \ tsrc 192.168.13.213 tdst 192.168.116.16
El administrador habilita la directiva IPsec en el tnel. La directiva se cre en el Paso 4 de Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 543.
system1 # svcadm refresh svc:/network/ipsec/policy:default system2 # svcadm refresh svc:/network/ipsec/policy:default
El administrador realiza la interfaz de Internet y evita que los protocolos de enrutamiento pasen a travs de la interfaz de la intranet.
system1 # ifconfig hme1 router ; ifconfig hme0 private system2 # ifconfig hme1 router ; ifconfig hme0 private
El administrador agrega manualmente enrutamiento y ejecuta el protocolo de enrutamiento mediante el Paso 12 y el Paso 22 de Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 543 en ambos sistemas.
Ejemplo 2011
Creacin de un tnel en una versin anterior de un sistema Solaris mediante la lnea de comandos
En la versin Solaris 10 7/07, la sintaxis del comando ifconfig se ha simplificado. En este ejemplo, el administrador prueba la creacin del tnel en un sistema que est ejecutando una versin de Solaris anterior a Solaris 10 7/07. Mediante la sintaxis original del comando ifconfig, el administrador puede utilizar comandos idnticos en los dos sistemas comunicantes. Ms tarde, el administrador utilizar Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 543 para hacer que los tneles sean permanentes. Durante la prueba, el administrador realiza los pasos siguientes en los sistemas system1 y system2:
En ambos sistemas, el administrador completa los cinco primeros pasos de Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 543. El administrador conecta y configura el tnel.
system1 # ifconfig ip.tun0 plumb system1 # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213 \ encr_algs aes encr_auth_algs sha1 system1 # ifconfig ip.tun0 router up # ssh system2 Password: admin-password-on-system2 system2 # ifconfig ip.tun0 plumb system2 # ifconfig ip.tun0 10.1.3.3 10.16.16.6 \ tsrc 192.168.13.213 tdst 192.168.116.16 \
551
El administrador habilita la directiva IPsec en el tnel. La directiva se cre en el Paso 4 de Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 543.
system1 # svcadm refresh svc:/network/ipsec/policy:default system2 # svcadm refresh svc:/network/ipsec/policy:default
El administrador convierte la interfaz de Internet en un enrutador y evita que los protocolos de enrutamiento pasen a travs de la interfaz de la intranet.
system1 # ifconfig hme1 router ; ifconfig hme0 private system2 # ifconfig hme1 router ; ifconfig hme0 private
El administrador agrega enrutamiento mediante la realizacin del Paso 12 y el Paso 22 de Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 543 en ambos sistemas.
Ejemplo 2012
Ejemplo 2013
Uso de IPsec para proteger el trfico Telnet de un modo distinto del trfico SMTP
En este ejemplo, la primera regla protege al trfico telnet del puerto 23 con Blowfish y SHA1. La segunda regla protege al trfico SMTP del puerto 25 con AES y MD5.
{laddr 10.1.3.3 ulp tcp dport 23 dir both} ipsec {encr_algs blowfish encr_auth_algs sha1 sa unique} {laddr 10.1.3.3 ulp tcp dport 25 dir both} ipsec {encr_algs aes encr_auth_algs md5 sa unique}
Ejemplo 2014
Uso de un tnel IPsec en modo tnel para proteger una subred de un modo distinto del resto del trfico de red
La siguiente configuracin de tnel protege todo el trfico de la subred 10.1.3.0/24 a travs del tnel:
{tunnel ip.tun0 negotiate tunnel laddr 10.1.3.0/24} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
552
Las siguientes configuraciones de tnel protegen el trfico de la subred 10.1.3.0/24 a distintas subredes a travs del tnel. Las subredes que empiezan por 10.2.x.x atraviesan el tnel.
{tunnel ip.tun0 negotiate tunnel laddr 10.1.3.0/24 raddr 10.2.1.0/24} ipsec {encr_algs blowfish encr_auth_algs sha1 sa shared} {tunnel ip.tun0 negotiate tunnel laddr 10.1.3.0/24 raddr 10.2.2.0/24} ipsec {encr_algs blowfish encr_auth_algs sha1 sa shared} {tunnel ip.tun0 negotiate tunnel laddr 10.1.3.0/24 raddr 10.2.3.0/24} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv6
Para configurar una VPN en una red IPv6, debe seguir los mismos pasos que para configurar una red IPv4. No obstante, la sintaxis de los comandos es ligeramente distinta. Para ver una descripcin completa de los motivos para ejecutar comandos especficos, consulte los pasos correspondientes en Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 543.
Nota Lleve a cabo los pasos de este procedimiento en ambos sistemas.
Nombre del sistema Interfaz de la intranet del sistema Interfaz de Internet del sistema Direccin de intranet del sistema Direccin de Internet del sistema Nombre del enrutador de Internet Direccin del enrutador de Internet Nombre de tnel
553
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para un inicio de sesin remota seguro.
Controle el flujo de paquetes antes de configurar IPsec. Para ver los efectos de estos comandos, consulte el Paso 2 de Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 543. a. Asegrese de que el reenvo de IP y el enrutamiento dinmico de IP estn desactivados.
# routeadm Configuration Current Current Option Configuration System State -------------------------------------------------... IPv6 forwarding disabled disabled IPv6 routing disabled disabled
La desactivacin de los servicios de red evita que los paquetes IP daen el sistema. Por ejemplo, podran aprovecharse un daemon SNMP, una conexin telnet o una conexin rlogin.
554 Gua de administracin del sistema: servicios IP Septiembre de 2010
Si ejecuta Solaris 10 11/06 o una versin posterior, ejecute el perfil SMF "limitado".
# netservices limited
d. Compruebe que la mayora de los servicios de red estn inhabilitados. Compruebe que los montajes de realimentacin y el servicio ssh se estn ejecutando.
# svcs | grep network online Aug_02 ... online Aug_09 3 svc:/network/loopback:default svc:/network/ssh:default
Agregue un par de SA entre los dos sistemas. Elija una de las siguientes opciones:
Configure IKE para administrar las claves para las SA. Utilice uno de los procedimientos de Configuracin de IKE (mapa de tareas) en la pgina 591 para configurar IKE para la VPN. Si tiene motivos para administrar las claves manualmente, consulte Cmo crear manualmente asociaciones de seguridad IPsec en la pgina 528.
Agregue una directiva IPsec para la VPN. Edite el archivo /etc/inet/ipsecinit.conf para agregar la directiva IPsec para la VPN. a. En el sistema enigma, escriba la entrada siguiente en el archivo ipsecinit.conf:
# IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic to and from this host can bypass IPsec. {laddr 6000:6666::aaaa:1116 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
555
# WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared} 5
Para configurar el tnel y protegerlo con IPsec, siga los pasos en funcin de la versin de Solaris:
A partir de la versin Solaris 10 4/09, siga los pasos del Paso 7 al Paso 13 y, a continuacin, ejecute el protocolo de enrutamiento en Paso 22. Si est ejecutando una versin anterior a Solaris 10 4/09, siga las indicaciones del Paso 14 al Paso 22.
Configure el tnel, ip6.tun0, en el archivo /etc/hostname.ip6.tun0. a. En el sistema enigma, agregue la entrada siguiente al archivo hostname.ip6.tun0:
Para leer el contenido del archivo de configuracin de tnel en el ncleo, reinicie los servicios de red.
# svcadm restart svc:/network/initial:default
10
Active el reenvo de IP para la interfaz hme1. a. En el sistema enigma, agregue la entrada del enrutador al archivo /etc/hostname6.hme1.
2001::aaaa:6666:6666 inet6 router
Asegrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet. a. En el sistema enigma, agregue el indicador private al archivo /etc/hostname6.hme0.
6000:6666::aaaa:1116 inet6 private
556
Agregue manualmente una ruta predeterminada a travs de hme0. a. En el sistema enigma, agregue la ruta siguiente:
# route add -inet6 default 2001::aaaa:0:4
Para completar el procedimiento, vaya al Paso 22 para ejecutar un protocolo de enrutamiento. Configure un tnel seguro, ip6.tun0.
Nota Los siguientes pasos configuran un tnel en un sistema que est ejecutando una versin
16
17
18
557
19
Agregue manualmente una ruta predeterminada a travs de hme0. La ruta predeterminada debe ser un enrutador con acceso directo a Internet. a. En el sistema enigma, agregue la ruta siguiente:
# route add -inet6 default 2001::aaaa:0:4
Asegrese de que la VPN se inicie tras un reinicio, mediante la adicin de una entrada al archivo /etc/hostname6.ip6.tun0. La entrada replica los parmetros que se hayan transferido al comando ifconfig en el Paso 14. a. En el sistema enigma, agregue la entrada siguiente al archivo hostname6.ip6.tun0:
6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up
En cada sistema, configure los archivos de interfaz para transferir los parmetros correctos al daemon de enrutamiento. a. En el sistema enigma, modifique los archivos /etc/hostname. interfaz.
# cat /etc/hostname6.hme0 ## enigma 6000:6666::aaaa:1116 inet6 private # cat /etc/hostname6.hme1 ## enigma 2001::aaaa:6666:6666 inet6 router
558
Podra ser que antes de ejecutar el protocolo de enrutamiento fuese necesario configurarlo. Para obtener ms informacin, consulte Protocolos de enrutamiento en Oracle Solaris en la pgina 261. Para obtener un procedimiento, consulte Configuracin de un enrutador IPv6 en la pgina 183.
Cmo proteger una VPN con un tnel IPsec en modo transporte mediante IPv4
En modo transporte, el encabezado exterior determina la directiva IPsec que protege el paquete IP interior. Este procedimiento ampla el procedimiento de Cmo proteger el trfico entre dos sistemas con IPsec en la pgina 519. Adems de conectar dos sistemas, est conectando dos intranets que se conectan a estos dos sistemas. Los sistemas de este procedimiento actan como portales. En este procedimiento se utiliza la configuracin descrita en Descripcin de la topologa de red para la proteccin de una VPN por parte de las tareas de IPsec en la pgina 541. Para ver una descripcin completa de los motivos para ejecutar comandos especficos, consulte los pasos correspondientes en Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 543.
Nota Lleve a cabo los pasos de este procedimiento en ambos sistemas.
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para un inicio de sesin remota seguro.
Controle el flujo de paquetes antes de configurar IPsec. a. Asegrese de que el reenvo de IP y el enrutamiento dinmico de IP estn desactivados.
# routeadm Configuration Current Current Option Configuration System State -------------------------------------------------IPv4 forwarding disabled disabled IPv4 routing default (enabled) enabled ...
Captulo 20 Configuracin de IPsec (tareas) 559
Precaucin El valor de ip_strict_dst_multihoming vuelve al predeterminado cuando se inicia el sistema. Para hacer que el valor cambiado sea persistente, consulte Cmo evitar la falsificacin de la IP en la pgina 571.
La desactivacin de los servicios de red evita que los paquetes IP daen el sistema. Por ejemplo, podran aprovecharse un daemon SNMP, una conexin telnet o una conexin rlogin. Elija una de las siguientes opciones:
Si ejecuta Solaris 10 11/06 o una versin posterior, ejecute el perfil SMF "limitado".
# netservices limited
d. Compruebe que la mayora de los servicios de red estn inhabilitados. Compruebe que los montajes de realimentacin y el servicio ssh se estn ejecutando.
# svcs | grep network online Aug_02 ... online Aug_09 3
560
svc:/network/loopback:default svc:/network/ssh:default
Configure IKE para administrar las claves para las SA. Utilice uno de los procedimientos de Configuracin de IKE (mapa de tareas) en la pgina 591 para configurar IKE para la VPN. Si tiene motivos para administrar las claves manualmente, consulte Cmo crear manualmente asociaciones de seguridad IPsec en la pgina 528.
Agregue la directiva IPsec. Edite el archivo /etc/inet/ipsecinit.conf para agregar la directiva IPsec para la VPN. Para reforzar la directiva, consulte el Ejemplo 2015. a. Por ejemplo, en el sistema enigma, escriba la entrada siguiente en el archivo ipsecinit.conf:
# LAN traffic to and from this host can bypass IPsec. {laddr 10.16.16.6 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
Para configurar el tnel y protegerlo con IPsec, siga los pasos en funcin de la versin de Solaris:
A partir de la versin Solaris 10 4/09, siga los pasos del Paso 7 al Paso 13 y, a continuacin, ejecute el protocolo de enrutamiento en Paso 22. Si est ejecutando una versin anterior a Solaris 10 4/09, siga las indicaciones del Paso 14 al Paso 22.
Configure el tnel, ip.tun0, en el archivo /etc/hostname.ip.tun0. a. En el sistema enigma, agregue la entrada siguiente al archivo hostname.ip.tun0:
10.16.16.6 10.1.3.3 tsrc 192.168.116.16 tdst 192.168.13.213 router up
Para leer el contenido del archivo hostname.ip.tun0 en el ncleo, reinicie los servicios de red.
# svcadm restart svc:/network/initial:default
10
Active el reenvo de IP para la interfaz hme1. a. En el sistema enigma, agregue la entrada del enrutador al archivo /etc/hostname.hme1.
192.168.116.16 router
Asegrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet. a. En el sistema enigma, agregue el indicador private al archivo /etc/hostname.hme1.
10.16.16.6 private
Agregue manualmente una ruta predeterminada a travs de hme0. a. En el sistema enigma, agregue la ruta siguiente:
# route add default 192.168.116.4
Para completar el procedimiento, vaya al Paso 22 para ejecutar un protocolo de enrutamiento. Configure el tnel, ip.tun0.
Nota Los siguientes pasos configuran un tnel en un sistema que ejecuta una versin anterior a Solaris 10 4/09.
562
16
17
18
19
Agregue manualmente una ruta predeterminada a travs de hme0. La ruta predeterminada debe ser un enrutador con acceso directo a Internet.
# route add default router-on-hme0-subnet
Asegrese de que la VPN se inicie tras un reinicio mediante la adicin de una entrada al archivo /etc/hostname.ip.tun0 .
system1-point system2-point tsrc system1-taddr \ tdst system2-taddr encr_algs aes encr_auth_algs sha1 router up
Configure los archivos de interfaz para transferir los parmetros correctos al daemon de enrutamiento. a. En el sistema enigma, modifique los archivos /etc/hostname. interfaz.
# cat /etc/hostname.hme0 ## enigma 10.16.16.6 private # cat /etc/hostname.hme1 ## enigma 192.168.116.16 router
Ejemplo 2015
Ejemplo 2016
564
El administrador sigue el procedimiento Cmo proteger una VPN con un tnel IPsec en modo transporte mediante IPv4 en la pgina 559 con los siguientes cambios en la sintaxis.
Para el proceso del Paso 14 al Paso 16, la sintaxis para configurar un tnel seguro es la siguiente:
# ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213 \ encr_algs aes encr_auth_algs sha1 # ifconfig ip.tun0 router up # ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213 \ encr_algs aes encr_auth_algs sha1
La directiva IPsec que se transfiere a los comandos ifconfig debe ser la misma que la directiva IPsec del archivo ipsecinit.conf. Al reiniciar, cada sistema lee el archivo ipsecinit.conf para su directiva.
Cmo proteger una VPN con un tnel IPsec en modo transporte mediante IPv6
Para configurar una VPN en una red IPv6, debe seguir los mismos pasos que para configurar una red IPv4. No obstante, la sintaxis de los comandos es ligeramente distinta. Para ver una descripcin completa de los motivos para ejecutar comandos especficos, consulte los pasos correspondientes en Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 543.
Nota Lleve a cabo los pasos de este procedimiento en ambos sistemas.
Parmetro
Europa
California
Nombre del sistema Interfaz de la intranet del sistema Interfaz de Internet del sistema Direccin de intranet del sistema Direccin de Internet del sistema Nombre del enrutador de Internet Direccin del enrutador de Internet Nombre de tnel
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para un inicio de sesin remota seguro.
Controle el flujo de paquetes antes de configurar IPsec. a. Asegrese de que el reenvo de IP y el enrutamiento dinmico de IP estn desactivados.
# routeadm Configuration Current Current Option Configuration System State -------------------------------------------------... IPv6 forwarding disabled disabled IPv6 routing disabled disabled
566
inicia el sistema. Para hacer que el valor cambiado sea persistente, consulte Cmo evitar la falsificacin de la IP en la pgina 571. c. Compruebe que la mayora de los servicios de red estn inhabilitados. Compruebe que los montajes de realimentacin y el servicio ssh se estn ejecutando.
# svcs | grep network online Aug_02 ... online Aug_09 3 svc:/network/loopback:default svc:/network/ssh:default
Agregue un par de SA entre los dos sistemas. Elija una de las siguientes opciones:
Configure IKE para administrar las claves para las SA. Utilice uno de los procedimientos de Configuracin de IKE (mapa de tareas) en la pgina 591 para configurar IKE para la VPN. Si tiene motivos para administrar las claves manualmente, consulte Cmo crear manualmente asociaciones de seguridad IPsec en la pgina 528.
Agregue la directiva IPsec. Edite el archivo /etc/inet/ipsecinit.conf para agregar la directiva IPsec para la VPN. a. En el sistema enigma, escriba la entrada siguiente en el archivo ipsecinit.conf:
# IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic can bypass IPsec. {laddr 6000:6666::aaaa:1116 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1}
Para configurar el tnel y protegerlo con IPsec, siga los pasos en funcin de la versin de Solaris:
A partir de la versin Solaris 10 4/09, siga los pasos del Paso 7 al Paso 13 y, a continuacin, ejecute el protocolo de enrutamiento en Paso 22. Si est ejecutando una versin anterior a Solaris 10 4/09, siga los pasos del Paso 14 al Paso 22.
Configure el tnel, ip6.tun0, en el archivo /etc/hostname.ip6.tun0. a. En el sistema enigma, agregue la entrada siguiente al archivo hostname.ip6.tun0:
Para leer el contenido del archivo hostname.ip6.tun0 en el ncleo, reinicie los servicios de red.
# svcadm restart svc:/network/initial:default
10
Active el reenvo de IP para la interfaz hme1. a. En el sistema enigma, agregue la entrada del enrutador al archivo /etc/hostname6.hme1.
2001::aaaa:6666:6666 inet6 router
Asegrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet. a. En el sistema enigma, agregue el indicador private al archivo /etc/hostname6.hme0.
6000:6666::aaaa:1116 inet6 private
Agregue manualmente una ruta predeterminada a travs de hme0. a. En el sistema enigma, agregue la ruta siguiente:
# route add -inet6 default 2001::aaaa:0:4
568
Para completar el procedimiento, vaya al Paso 22 para ejecutar un protocolo de enrutamiento. Configure un tnel seguro, ip6.tun0.
Nota Los siguientes pasos configuran un tnel en un sistema que est ejecutando una versin
16
17
18
19
En cada sistema, agregue manualmente una ruta predeterminada mediante hme0. La ruta predeterminada debe ser un enrutador con acceso directo a Internet. a. En el sistema enigma, agregue la ruta siguiente:
# route add -inet6 default 2001::aaaa:0:4
569
20
En cada sistema, asegrese de que la VPN se inicie tras un reinicio agregando una entrada al archivo /etc/hostname6.ip6.tun0 . La entrada replica los parmetros que se hayan transferido al comando ifconfig en el Paso 14. a. En el sistema enigma, agregue la entrada siguiente al archivo hostname6.ip6.tun0:
6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up
Configure los archivos de interfaz para transferir los parmetros correctos al daemon de enrutamiento. a. En el sistema enigma, modifique los archivos /etc/hostname. interfaz.
# cat /etc/hostname6.hme0 ## enigma 6000:6666::aaaa:1116 inet6 private # cat /etc/hostname6.hme1 ## enigma 2001::aaaa:6666:6666 inet6 router
Ejemplo 2017
Uso de sintaxis descartada para configurar IPsec en modo de transporte mediante IPv6
En este ejemplo, el administrador conecta un sistema Solaris 10 7/07 con un sistema con la versin Solaris 10. Por tanto, el administrador utiliza la sintaxis de Solaris 10 en el archivo de configuracin e incluye los algoritmos IPsec en el comando ifconfig. El administrador sigue el procedimiento Cmo proteger una VPN con un tnel IPsec en modo transporte mediante IPv6 en la pgina 565 con los siguientes cambios en la sintaxis.
570
# IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic can bypass IPsec. {laddr 6000:3333::eeee:1113 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {} ipsec {encr_algs aes encr_auth_algs sha1}
Para el proceso del Paso 14 al Paso 17, la sintaxis para configurar un tnel seguro es la siguiente:
# ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 \ encr_algs aes encr_auth_algs sha1 # ifconfig ip6.tun0 inet6 router up
La directiva IPsec que se transfiere a los comandos ifconfig debe ser la misma que la directiva IPsec del archivo ipsecinit.conf. Al reiniciar, cada sistema lee el archivo ipsecinit.conf para su directiva.
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
571
Cree el manifiesto SMF especfico para el sitio con el fin de comprobar que no haya falsificacin de IP. Use el siguiente ejemplo de secuencia de comandos, /var/svc/manifest/site/spoof_check.xml .
<?xml version="1.0"?> <!DOCTYPE service_bundle SYSTEM "/usr/share/lib/xml/dtd/service_bundle.dtd.1"> <service_bundle type=manifest name=Custom:ip_spoof_checking> <!-This is a custom smf(5) manifest for this system. Place this file in /var/svc/manifest/site, the directory for local system customizations. The exec method uses an unstable interface to provide a degree of protection against IP spoofing attacks when this system is acting as a router. IP spoof protection can also be achieved by using ipfilter(5). If ipfilter is configured, this service can be disabled. Note: Unstable interfaces might be removed in later releases. See attributes(5). --> <service name=site/ip_spoofcheck type=service version=1> <create_default_instance enabled=false /> <single_instance /> <!-Dont enable spoof protection until the network is up.
--> <dependency name=basic_network grouping=require_all restart_on=none type=service> <service_fmri value=svc:/milestone/network /> </dependency> <exec_method type=method name=start exec=/usr/sbin/ndd -set /dev/ip ip_strict_dst_multihoming 1 <!-For an IPv6 network, use the IPv6 version of this command, as in: exec=/usr/sbin/ndd -set /dev/ip ip6_strict_dst_multihoming 1 --> timeout_seconds=60 /> <exec_method type=method name=stop exec=:true timeout_seconds=3
572 Gua de administracin del sistema: servicios IP Septiembre de 2010
/> <property_group name=startd type=framework> <propval name=duration type=astring value=transient /> </property_group> <stability value=Unstable /> </service> </service_bundle> 3
573
574
C A P T U L O
21
2 1
Utilidad de gestin de servicios de IPsec en la pgina 575 Comando ipsecconf en la pgina 576 Archivo ipsecinit.conf en la pgina 577 Comando ipsecalgs en la pgina 578 Base de datos de asociaciones de seguridad para IPsec en la pgina 579 Utilidades para la generacin de claves en IPsec en la pgina 579 Extensiones IPsec para otras utilidades en la pgina 581
Para obtener instrucciones sobre cmo implementar IPsec en la red, consulte el Captulo 20, Configuracin de IPsec (tareas). Para ver una descripcin general de IPsec, consulte el Captulo 19, Arquitectura de seguridad IP (descripcin general).
svc:/network/ipsec/policy servicio administra la directiva IPsec. Por defecto, este servicio est habilitado. El valor de la propiedad config_file determina la ubicacin del archivo ipsecinit.conf. El valor inicial es /etc/inet/ipsecinit.conf. svc:/network/ipsec/ipsecalgs servicio Administra los algoritmos que estn disponibles para IPsec. Por defecto, este servicio est habilitado. svc:/network/ipsec/manual-key servicio - Activa la gestin manual de claves. Por defecto, este servicio est inhabilitado. El valor de la propiedad config_file determina la ubicacin del archivo de configuracin ipseckeys. El valor inicial es /etc/inet/secret/ipseckeys. svc:/network/ipsec/ike servicio Administra IKE. Por defecto, este servicio est inhabilitado. Si desea conocer las propiedades configurables, consulte Utilidad de gestin de servicios de IKE en la pgina 637.
575
Comando ipsecconf
Para obtener ms informacin sobre SMF, consulte el Captulo 18, Managing Services (Overview) de System Administration Guide: Basic Administration. Consulte tambin las pginas de comando man smf(5),svcadm(1M) y svccfg(1M).
Comando ipsecconf
El comando ipsecconf permite configurar la directiva IPsec para un host. Al ejecutar el comando para configurar la directiva, el sistema crea las entradas de la directiva IPsec en el ncleo. El sistema utiliza estas entradas para comprobar la directiva en todos los datagramas IP entrantes y salientes. Los datagramas reenviados no estn sujetos a las comprobaciones de directivas que se agregan utilizando este comando. El comando ipsecconf tambin configura la base de datos de directivas de seguridad (SPD).
Para obtener informacin sobre cmo proteger los paquetes reenviados, consulte ifconfig(1M) y tun(7M). Para conocer las opciones de directiva IPsec, consulte la pgina del comando man ipsecconf(1M). Para obtener instrucciones sobre cmo utilizar el comando ipsecconf para proteger el trfico entre los sistemas, consulte Configuracin de IKE (mapa de tareas) en la pgina 591.
Debe convertirse en superusuario o asumir un rol equivalente para invocar el comando ipsecconf. El comando acepta entradas que protegen el trfico en ambas direcciones. El comando tambin acepta entradas que protegen el trfico slo en una direccin. Las entradas de directiva con un formato de direccin local y direccin remota pueden proteger el trfico en ambas direcciones con una sola entrada de directiva. Por ejemplo, las entradas que contienen los patrones laddr host1 y raddr host2 protegen el trfico en ambas direcciones, si no se especifica ninguna direccin para el host con nombre. De este modo, slo necesita una entrada de directiva para cada host. Las entradas de directiva con un formato de direccin de origen a direccin de destino slo protegen el trfico en una direccin. Por ejemplo, una entrada de directiva del patrn saddr host1 daddr host2 protege el trfico entrante o el saliente, no el trfico en ambas direcciones. Por tanto, para proteger el trfico en ambas direcciones, es necesario transferir al comando ipsecconf otra entrada, como en saddr host2 daddr host1. Para asegurarse de que la directiva IPsec est activa cuando se inicie el equipo, puede crear un archivo de directiva IPsec, /etc/inet/ipsecinit.conf. Este archivo se lee cuando se inician los servicios de red. Para obtener instrucciones sobre cmo crear un archivo de directiva IPsec, consulte Proteccin del trfico con IPsec (mapa de tareas) en la pgina 517. A partir de la versin &s10u7, con la opcin -c , el comando ipsecconf comprueba la sintaxis del archivo de directiva IPsec que proporciona como argumento.
576 Gua de administracin del sistema: servicios IP Septiembre de 2010
Archivo ipsecinit.conf
Las entradas de directivas agregadas por el comando ipsecconf no persisten tras un reinicio del sistema. Para asegurarse de que la directiva IPsec est activa cuando el sistema se inicia, agregue las entradas de directivas al archivo /etc/inet/ipsecinit.conf. En la versin actual, actualice o habilite el servicio directiva. En una versin anterior a Solaris 10 4/09 reinicie o utilice el comando ipsecconf. Si desea conocer ejemplos, consulte Proteccin del trfico con IPsec (mapa de tareas) en la pgina 517.
Archivo ipsecinit.conf
Para invocar las directivas de seguridad IPsec al iniciar Sistema operativo Solaris (sistema operativo Solaris), se crea un archivo de configuracin para iniciar IPsec con las entradas de directiva IPsec especficas. El nombre predeterminado para este archivo es /etc/inet/ipsecinit.conf. Consulte la pgina del comando man ipsecconf(1M) para obtener ms informacin acerca de las entradas de directiva y su formato. Una vez configuradas las directivas, puede utilizar el comando ipsecconf para ver o modificar la configuracin existente. A partir de Solaris 10 4/09, debe actualizar el servicio polcy para modificar la configuracin existente.
577
Comando ipsecalgs
# {ulp ipv6-icmp type 133-137 dir both } pass { } # # This will allow neighbor discovery to work normally.
La direccin de origen es un host que se puede buscar en la red. El sistema de nombres est en peligro.
Los fallos de seguridad a menudo se deben a la mala aplicacin de las herramientas, no a las herramientas en s. Utilice el comando ipsecconf con precaucin. Utilice una consola u otro TTY conectado fsicamente para obtener el funcionamiento mas seguro.
Comando ipsecalgs
La estructura criptogrfica de Solaris proporciona autenticacin y algoritmos de cifrado para IPsec. El comando ipsecalgs puede enumerar los algoritmos que cada protocolo de IPsec admite. La configuracin ipsecalgs se almacena en el archivo /etc/inet/ipsecalgs. Normalmente, este archivo no necesita modificarse. Sin embargo, si el archivo debe modificarse, utilice el comando ipsecalgs. El archivo nunca debe editarse directamente. En la versin actual, los algoritmos admitidos se sincronizan con el ncleo en el inicio del sistema mediante el servicio svc:/network/ipsec/ipsecalgs:default. ISAKMP dominio de interpretacin, que se trata en la norma RFC 1407, describe los algoritmos y protocolos IPsec vlidos. De manera general, el dominio de interpretacin define los formatos
578 Gua de administracin del sistema: servicios IP Septiembre de 2010
de los datos, los tipos de intercambio de trfico de red y las convenciones de denominacin de informacin relacionada con la seguridad. Ejemplos de informacin relacionada con la seguridad son los algoritmos y modos criptogrficos, y las directrices de seguridad. En concreto, el DOI ISAKMP define las convenciones de denominacin y numeracin para los algoritmos IPsec vlidos y sus protocolos. PROTO_IPSEC_AH y PROTO_IPSEC_ESP. Cada algoritmo se asocia exactamente con un protocolo. Estas definiciones DOI ISAKMP se encuentran en el archivo /etc/inet/ipsecalgs. Los nmeros de protocolo y algoritmos los define la Autoridad de nmeros asignados de Internet (IANA). El comando ipsecalgs permite ampliar la lista de algoritmos para IPsec. Para obtener ms informacin acerca de los algoritmos, consulte la pgina del comando man ipsecalgs(1M) Para mas informacin sobre la estructura criptogrfica de Solaris, consulte el Captulo 13, Oracle Solaris Cryptographic Framework (Overview) de System Administration Guide: Security Services.
la versin Solaris 10 4/09, con la opcin -c, el comando ipseckey comprueba la sintaxis del archivo de claves que proporciona como argumento. Las IPsec SA que aade el comando ipseckey no persisten tras el reinicio del sistema. En la versin actual, para habilitar manualmente las SA agregadas en el inicio del sistema, agregue entradas al archivo /etc/inet/secret/ipseckeys y, a continuacin, habilite el servicio svc:/network/ipsec/manual-key:default. Si desea conocer el procedimiento, consulte Cmo crear manualmente asociaciones de seguridad IPsec en la pgina 528. Aunque el comando ipseckey tiene un nmero limitado de opciones generales, admite un lenguaje de comandos amplio. Puede especificar que las solicitudes se enven mediante una interfaz de programacin especfica para las claves manuales. Para obtener informacin adicional, consulte la pgina del comando man pf_key(7P).
Ha actualizado el material de claves? La actualizacin peridica de las claves es fundamental para garantizar la seguridad. La actualizacin de las claves protege contra posibles ataques de los algoritmos y las claves, y limita los daos a los que se expone una clave. El TTY se transfiere por una red? El comando ipseckey est en modo interactivo?
En modo interactivo, la seguridad del material de claves es la seguridad de la ruta de red para el trfico de este TTY. Debe evitar el uso del comando ipseckey en una sesin rlogin o telnet de texto simple. Incluso las ventanas locales podran ser vulnerables a ataques de un programa oculto que lee los eventos de ventanas.
Ha utilizado la opcin -f? Se est accediendo al archivo a travs de la red? Todo el mundo puede leer el archivo?
Un adversario puede leer un archivo montado en red mientras se lee el archivo. Debe evitar el uso de un archivo con material de claves que pueda leer todo el mundo. Proteja su sistema de nombres. Si se cumplen las dos condiciones siguientes, los nombres de host dejarn de ser de confianza:
La direccin de origen es un host que se puede buscar en la red. El sistema de nombres est en peligro.
580
Los fallos de seguridad a menudo se deben a la mala aplicacin de las herramientas, no a las herramientas en s. Utilice el comando ipseckey con precaucin. Utilice una consola u otro TTY conectado fsicamente para obtener el funcionamiento mas seguro.
Debe especificar todas las opciones de seguridad de IPsec para un tnel de una invocacin. Por ejemplo, si utiliza solamente ESP para proteger el trfico, debe configurar el tnel (ip.tun0) una vez con ambas opciones de seguridad, como en el ejemplo siguiente:
# ifconfig ip.tun0 encr_algs aes encr_auth_algs md5
De un modo similar, una entrada de ipsecinit.conf configurara el tnel una vez con ambas opciones de seguridad, como en el caso siguiente:
# WAN traffic uses ESP with AES and MD5. {} ipsec {encr_algs aes encr_auth_algs md5}
Para el algoritmo, puede especificar un nmero o un nombre de algoritmo, incluido el parmetro any, para no expresar ninguna preferencia de algoritmo especfica. Para desactivar la seguridad del tnel, especifique la opcin siguiente:
auth_algs none
Para ver una lista de los algoritmos de autenticacin disponibles, ejecute el comando ipsecalgs.
Captulo 21 Arquitectura de seguridad IP (referencia) 581
Nota La opcin auth_algs no puede funcionar con NAT-Traversal. Para ms informacin, consulte Paso a travs de IPsec y NAT en la pgina 511.
Para el algoritmo, puede especificar un nmero o un nombre de algoritmo, incluido el parmetro any, para no expresar ninguna preferencia de algoritmo especfica. Si especifica un algoritmo de cifrado ESP pero no especifica el algoritmo de autenticacin, el valor predeterminado del algoritmo de autenticacin ESP es el parmetro any. Para ver una lista de los algoritmos de autenticacin disponibles, ejecute el comando ipsecalgs.
Para el algoritmo, puede especificar un nmero o un nombre de algoritmo. Para desactivar la seguridad del tnel, especifique la opcin siguiente:
encr_algs none
Si especifica un algoritmo de autenticacin ESP pero no un algoritmo de cifrado, el valor de cifrado predeterminado de ESP ser el parmetro null. Para ver una lista de los algoritmos de cifrado disponibles, ejecute el comando ipsecalgs.
C A P T U L O
22
2 2
El Protocolo de intercambio de claves de Internet (Internet Key Exchange, IKE) automatiza la gestin de claves de IPsec. Este captulo contiene la informacin siguiente sobre IKE:
Novedades de IKE en la pgina 583 Administracin de claves con IKE en la pgina 584 Negociacin de claves IKE en la pgina 584 Opciones de configuracin de IKE en la pgina 586 IKE y aceleracin de hardware en la pgina 588 IKE y almacenamiento de hardware en la pgina 588 Archivos y utilidades IKE en la pgina 588 Cambios de IKE en Solaris 10 en la pgina 590
Para obtener instrucciones sobre cmo implementar IKE, consulte el Captulo 23, Configuracin de IKE (tareas). Para obtener informacin de referencia, consulte el Captulo 24, Intercambio de claves de Internet (referencia). Para obtener informacin sobre IPsec, consulte el Captulo 19, Arquitectura de seguridad IP (descripcin general).
Novedades de IKE
Solaris 10 4/09: A partir de esta versin, la utilidad de gestin de servicios (SMF) administra IKE como servicio. Por defecto, el servicio red/svc:/ipsec/ike:predeterminado est deshabilitado. Tambin en esta versin, el perfil de derechos Network IPsec Management se proporciona para administrar IPsec e IKE. Solaris 10 7/07: A partir de esta versin, IKE puede utilizar el algoritmo AES y configurarse en la zona global para utilizar en zonas no globales.
La opcin de socket SO_ALLZONES permite a IKE controlar el trfico de las zonas no globales. Para ver una lista completa de las nuevas funciones de Solaris y una descripcin de las versiones de Solaris, consulte Novedades de Oracle Solaris 10 9/10.
583
584
TABLA 221
El proceso de generacin de claves para los algoritmos criptogrficos asimtricos. Los dos mtodos principales son los protocolos RSA y el protocolo Diffie-Hellman. Protocolo de intercambio de claves que implica la generacin y la autenticacin de claves. A menudo se denomina intercambio de claves autenticadas. Protocolo de intercambio de claves que implica la generacin y el transporte de claves. El protocolo recibe el nombre de sus tres creadores, Rivest, Shamir y Adleman. Slo se aplica en el intercambio de claves autenticadas. PFS garantiza que el material secreto a largo plazo para las claves no ponga en peligro la confidencialidad de las claves intercambiadas de comunicaciones anteriores. En PFS, la clave que se emplea para proteger la transmisin de datos no se aplica en la derivacin de claves adicionales. La fuente de la clave que se usa para proteger la transmisin de datos tampoco se emplea en la derivacin de claves adicionales.
RSA
PFS
Mtodo Oakley
Mtodo para establecer claves para la fase 2 de un modo seguro. Este protocolo es anlogo al mtodo Diffie-Hellman de intercambio de claves. De un modo similar a Diffie-Hellman, el intercambio de claves de grupo Oakley implica la generacin de claves y la autenticacin de claves. El mtodo Oakley se utiliza para negociar PFS.
Parmetros globales, como los nombres de los certificados de claves pblicas Si se utiliza confidencialidad directa perfecta (PFS) Las interfaces implicadas
585
Los dos mtodos de autenticacin son las claves previamente compartidas y los certificados de claves pblicas. Los certificados de claves pblicas pueden ser autofirmados. Los certificados tambin los puede emitir una autoridad de certificacin desde una organizacin de infraestructuras de clave pblica (PKI). Las organizaciones incluyen beTrusted, Entrust, GeoTrust, RSA Security y Verisign.
La clave precompartida de un sistema debe ser idntica a la clave de su sistema remoto. Las claves estn vinculadas a una direccin IP especfica. Las claves son ms seguras cuando un administrador controla los sistemas que se comunican. Para obtener ms informacin, consulte la pgina del comando man ike.preshared(4).
En la versin actual, el servicio SMF que gestiona IKE. Daemon de intercambio de claves de Internet (IKE). Activa la administracin de claves automtica. En la versin actual, el servicio ike habilita este daemon. En las versiones anteriores, se utiliza el comando in.iked.
smf(5) in.iked(1M)
588
TABLA 222 Archivos de configuracin de IKE, ubicaciones de almacenamiento de claves, comandos y servicios (Continuacin) Archivo, ubicacin, comando o servicio Descripcin Para obtener ms informacin
Comando de administracin de IKE para ver y modificar la directiva IKE. Comando de administracin de bases de datos de certificados para administrar bases de datos locales que contienen certificados de claves pblicas. Estas bases de datos tambin se puede almacenar en una placa de Sun Crypto Accelerator 4000 conectada. Archivo de configuracin predeterminada para la directiva IKE en el directorio /etc/inet. Contiene las reglas del sitio para hacer coincidir las solicitudes IKE entrantes y preparar las solicitudes IKE salientes. En la versin actual, si este archivo existe, el daemon en.iked se inicia cuando el servicio ike est habilitado. El comando svccfg puede modificar la ubicacin de este archivo.
ikeadm(1M)
ikecert(1M)
Archivo /etc/inet/ike/config
ike.config(4)
Archivo ike.preshared
Archivo de claves previamente compartidas del directorio /etc/inet/secret. Contiene material de claves secretas para autenticacin en el intercambio de fase 1. Se utiliza al configurar IKE con claves previamente compartidas.
ike.preshared(4)
Directorio ike.privatekeys
Directorio de claves privadas del directorio /etc/inet/secret. ikecert(1M) Contiene las claves privadas que forman parte de un par de claves pblica-privada. Directorio del directorio /etc/inet/ike que contiene archivos de certificados y claves pblicas. Contiene la parte de clave pblica de un par de claves pblica-privada. Directorio del directorio /etc/inet/ike que incluye listas de revocacin para archivos de certificados y claves pblicas. Hardware que acelera las operaciones de claves pblicas al descargar las operaciones del sistema operativo. ikecert(1M)
Directorio publickeys
Directorio crls Placa de Sun Crypto Accelerator 1000 Placa de Sun Crypto Accelerator 4000
ikecert(1M)
ikecert(1M)
Hardware que acelera las operaciones de claves pblicas al ikecert(1M) descargar las operaciones del sistema operativo. La placa tambin almacena claves pblicas, claves privadas y certificados de claves pblicas.
589
IKE se puede utilizar para automatizar el intercambio de claves para IPsec en redes IPv6. Para ms informacin, consulte Administracin de claves con IKE en la pgina 584.
Nota IKE no se puede utilizar para administrar claves para IPsec en una zona no global.
Las operaciones de claves pblicas de IKE se pueden acelerar mediante una placa de Sun Crypto Accelerator 1000 o una placa de Sun Crypto Accelerator 4000. Las operaciones se descargan en la placa. La descarga acelera el cifrado y reduce las exigencias con respecto al sistema operativo. Para mas informacin, consulte IKE y aceleracin de hardware en la pgina 588. Para conocer los procedimientos, consulte Configuracin de IKE para buscar el hardware conectado (mapa de tareas) en la pgina 630. Los certificados de claves pblicas, las claves privadas y las claves pblicas se pueden guardar en una placa de Sun Crypto Accelerator 4000. Para obtener ms informacin sobre el almacenamiento de claves, consulte IKE y almacenamiento de hardware en la pgina 588. IKE se puede utilizar para automatizar el intercambio de claves para IPsec desde un enrutador NAT. El trfico debe utilizar una red IPv4. Asimismo, las claves ESP IPsec a travs de NAT no pueden acelerarse con hardware. Para ms informacin, consulte Paso a travs de IPsec y NAT en la pgina 511. Para ver los procedimientos, consulte Configuracin de IKE para sistemas porttiles (mapa de tareas) en la pgina 622. Al archivo /etc/inet/ike/config se le han agregado parmetros de retransmisin y parmetros de tiempo de espera agotado de paquetes. Estos parmetros ajustan la negociacin de IKE de fase 1 (modo principal) para administrar la interferencia de redes, el trfico de red elevado y la interoperacin con plataformas que tienen diferentes implementaciones del protocolo IKE. Para obtener ms informacin sobre los parmetros, consulte la pgina del comando man ike.config(4) Para ver los procedimientos, consulte Cambio de los parmetros de transmisin de IKE (mapa de tareas) en la pgina 633.
590
C A P T U L O
23
2 3
En este captulo se describe cmo configurar Internet Key Exchange (IKE) para sus sistemas. Una vez configurado IKE, se genera automticamente material de claves para IPsec en la red. Este captulo contiene la informacin siguiente:
Configuracin de IKE (mapa de tareas) en la pgina 591 Configuracin de IKE con claves previamente compartidas (mapa de tareas) en la pgina 592 Configuracin de IKE con certificados de clave pblica (mapa de tareas) en la pgina 603 Configuracin de IKE para sistemas porttiles (mapa de tareas) en la pgina 622 Configuracin de IKE para buscar el hardware conectado (mapa de tareas) en la pgina 630 Cambio de los parmetros de transmisin de IKE (mapa de tareas) en la pgina 633
Para obtener una descripcin general sobre IKE, consulte el Captulo 22, Intercambio de claves de Internet (descripcin general). Para obtener informacin de referencia sobre IKE, consulte el Captulo 24, Intercambio de claves de Internet (referencia). Para ver ms procedimientos, consulte las secciones de ejemplos de las pginas del comando man ikeadm(1M), ikecert(1M) y ike.config(4).
Tarea
Descripcin
Configurar IKE con claves previamente compartidas Configurar IKE con certificados de clave pblica Cruzar un lmite de NAT Configurar IKE para generar y guardar certificados de clave pblica en el hardware conectado Ajustar parmetros de negociacin de clave de fase 1
Protege la comunicacin entre dos sistemas al hacer que dos sistemas compartan una clave secreta. Protege las comunicaciones con certificados de clave pblica. Los certificados pueden ser autofirmados o comprobados por una organizacin de PKI. Configura IPsec e IKE para comunicarse con un sistema porttil
Configuracin de IKE con claves previamente compartidas (mapa de tareas) en la pgina 592 Configuracin de IKE con certificados de clave pblica (mapa de tareas) en la pgina 603 Configuracin de IKE para sistemas porttiles (mapa de tareas) en la pgina 622
Permite a una placa Sun Crypto Accelerator 1000 o Configuracin de IKE para buscar el Sun Crypto Accelerator 4000 acelerar las operaciones hardware conectado (mapa de tareas) de IKE. Tambin permite a las placas Sun Crypto en la pgina 630 Accelerator 4000 guardar certificados de clave pblica. Cambia el tiempo de las negociaciones de claves IKE. Cambio de los parmetros de transmisin de IKE (mapa de tareas) en la pgina 633
Cmo configurar IKE con claves previamente compartidas en la pgina 593 Cmo actualizar las claves IKE previamente compartidas en la pgina 596 Cmo agregar una clave IKE previamente compartida para una nueva entrada de directiva en ipsecinit.conf en la pgina 599 Verificacin de que las claves IKE previamente compartidas sean idnticas en la pgina 602
Actualizar claves previamente Agrega nuevo material de claves para IKE en los compartidas en un sistema IKE sistemas que se comunican. en ejecucin Agregar claves previamente compartidas a un sistema IKE en ejecucin Comprobar que las claves previamente compartidas sean idnticas Agrega una nueva entrada de directiva IKE y nuevo material de claves en un sistema que est aplicando la directiva IKE. Muestra las claves previamente compartidas en ambos sistemas para comprobar que las claves sean idnticas.
592
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para un inicio de sesin remota seguro.
En cada sistema, copie el archivo /etc/inet/ike/config.sample al archivo /etc/inet/ike/config. Especifique las reglas y los parmetros generales en el archivo ike/config de cada sistema. Las reglas y los parmetros generales de este archivo deberan permitir la correcta aplicacin de la directiva IPsec en el archivo ipsecinit.conf del sistema. Los siguientes ejemplos de ike/config funcionan con los ejemplos de ipsecinit.conf de Cmo proteger el trfico entre dos sistemas con IPsec en la pgina 519. a. Por ejemplo, modifique el archivo /etc/inet/ike/config del sistema enigma:
### ike/config file on enigma, 192.168.116.16 ## Global parameters
Captulo 23 Configuracin de IKE (tareas) 593
# ## Phase 1 transform defaults p1_lifetime_secs 14400 p1_nonce_len 40 # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg des } p2_pfs 2 # ## The rule to communicate with partym # Label must be unique { label "enigma-partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 } Nota Todos los argumentos del parmetro auth_method deben encontrarse en la misma
Genere nmeros aleatorios para utilizar como material de claves. Si su sitio cuenta con un generador de nmeros aleatorios, utilcelo. En un sistema Solaris, puede utilizar el comando od. Por ejemplo, el siguiente comando imprime dos lneas de nmeros hexadecimales:
% od -X -A n /dev/random | head -2 f47cb0f4 32e14480 951095f8 2b735ba8
594
Para ver una explicacin del comando od, consulte Cmo generar nmeros aleatorios en un sistema Solaris en la pgina 527 y la pgina del comando man od(1).
Nota Otros sistemas operativos pueden requerir material de claves ASCII. Para generar una
El algoritmo de autenticacin de este procedimiento es SHA1, tal como se muestra en el Paso 3. El tamao del hash, es decir, el tamao del resultado del algoritmo de autenticacin, determina el tamao mnimo recomendado de una clave previamente compartida. El resultado del algoritmo SHA1 es 160 bits o 40 caracteres. La clave de ejemplo tiene una longitud de 56 caracteres, que proporciona material de claves adicional para usar en IKE.
7
Cree el archivo /etc/inet/secret/ike.preshared en cada sistema. Coloque la clave previamente compartida en cada archivo. a. Por ejemplo, en el sistema enigma, el archivo ike.preshared tendra el siguiente aspecto:
# ike.preshared on enigma, 192.168.116.16 #... { localidtype IP localid 192.168.116.16 remoteidtype IP remoteid 192.168.13.213 # enigma and partyms shared key in hex (192 bits) key f47cb0f432e14480951095f82b735ba80a9467d08f92c88068b6a40e }
595
Ejemplo 231
Generacin de material de claves idntico para dos sistemas con diferentes sistemas operativos
Solaris IPsec interopera con otros sistemas operativos. Si su sistema se comunica con un sistema que requiere claves previamente compartidas ASCII, debe generar una clave en dos formatos, hexadecimal y ASCII. En este ejemplo, el administrador del sistema Solaris desea material de claves de 56 caracteres. El administrador utiliza el comando siguiente para generar una clave hexadecimal a partir de una contrasea ASCII. La opcin -tx1 imprime los bytes uno a uno en todos los sistemas Solaris.
# /bin/echo "papiermache with cashews and\c" | od -tx1 | cut -c 8-55 | \ tr -d \n | tr -d | awk {print} 7061706965726d616368652077697468206361736865777320616e64
Al eliminar los desfases y concatenar el resultado hexadecimal, la clave hexadecimal del sistema Solaris es 7061706965726d616368652077697468206361736865777320616e64. El administrador coloca este valor en el archivo ike.preshared del sistema Solaris.
# Shared key in hex (192 bits) key 7061706965726d616368652077697468206361736865777320616e64
En el sistema que requiere claves previamente compartidas ASCII, la contrasea es la clave previamente compartida. El administrador del sistema Solaris comunica por telfono la contrasea (papiermache with cashews and) al otro administrador.
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para un inicio de sesin remota seguro.
596
Genere nmeros aleatorios y cree una clave con la longitud adecuada. Para obtener ms informacin, consulte Cmo generar nmeros aleatorios en un sistema Solaris en la pgina 527. Si va a generar una clave previamente compartida para un sistema Solaris que se comunica con un sistema operativo que requiere ASCII, consulte el Ejemplo 231.
Sustituya la clave actual por una nueva. Por ejemplo, en los hosts enigma y partym, debe reemplazar el valor de key en el archivo /etc/inet/secret/ike.preshared con un nuevo nmero que tenga la misma longitud.
Si est ejecutando una versin anterior a la Solaris 10 4/09, finalcela y reinicie el daemon in.iked. a. Compruebe el nivel de privilegio del daemon in.iked.
# /usr/sbin/ikeadm get priv Current privilege level is 0x0, base privileges enabled
Puede cambiar el material de claves si el comando devuelve un nivel de privilegio de 0x1 o 0x2. El nivel 0x0 no permite a las operaciones modificar ni ver el material de claves. De modo predeterminado, el daemon in.iked se ejecuta en el nivel de privilegio 0x0. b. Si el nivel de privilegio es 0x0, finalice el daemon y reincielo. Al reiniciar el daemon, lee la nueva versin del archivo ike.preshared.
# pkill in.iked # /usr/lib/inet/in.iked
c. Si el nivel de privilegio es 0x1 o 0x2, lea la nueva versin del archivo ike.preshared.
# ikeadm read preshared
Nota Para llevar a cabo este procedimiento en una versin anterior a Solaris 10 4/09 consulte
Ejemplo 232.
Antes de empezar 1
IKE se configura y el servicio ike se ejecuta. Consulte las teclas previamente compartidas de IKE.
# ikeadm ikeadm> dump preshared
Si aparece un mensaje de error, aumente el nivel de privilegios del daemon in.iked . a. Aumente el nivel de privilegios del daemon in.iked en el repositorio SMF.
# svcprop -p config/admin_privilege ike base # svccfg -s ike setprop config/admin_privilege=keymat
Devuelva al daemon IKE el nivel de privilegios base. a. Despus de ver las claves, devuelva al nivel de privilegios el valor predeterminado.
# svccfg -s ike setprop config/admin_privilege=base
Verificacin de las claves IKE compartidas previamente en una versin anterior a Solaris 10 4/09
En el siguiente ejemplo, el administrador est consultando claves en un sistema Solaris que no ejecuta la versin actual de Solaris. El administrador desea comprobar que las claves de este sistema son idnticas a las del sistema de comunicacin. Despus de comprobar que las claves de los dos sistemas son idnticos, el administrador restablece el nivel de privilegios a 0.
598
Debido a que el nivel de privilegios no es 0x1 o 0x2, el administrador detiene el daemon in.iked y, a continuacin, aumenta el nivel de privilegios a 2.
adm1 # pkill in.iked adm1 # /usr/lib/inet/in.iked -p 2 Setting privilege level to 2
El administrador inicia sesin remota en el sistema de comunicacin y determina que las claves sean idnticas. A continuacin, el administrador restablece el nivel bsico de privilegios.
# ikeadm set priv base
Cmo agregar una clave IKE previamente compartida para una nueva entrada de directiva en ipsecinit.conf
Si agrega entradas de la directiva IPsec, mientras se ejecutan IPsec e IKE, deber leer la nueva directiva y las reglas IKE en el ncleo. A partir de la versin Solaris 10 4/09, reinicie el servicio de directivas y actualice el servicio ike despus de agregar las nuevas claves.
Nota Para llevar a cabo este procedimiento en una versin anterior a Solaris 10 4/09, consulte el
Ejemplo 233.
Antes de empezar
El sistema enigma est configurado de acuerdo con lo descrito en Cmo configurar IKE con claves previamente compartidas en la pgina 593. El sistema enigma va a proteger su trfico con un nuevo sistema, ada. El daemon in.iked se ejecuta en ambos sistemas. Las interfaces de los sistemas se incluyen como entradas en el archivo /etc/hosts de ambos sistemas. La entrada siguiente es un ejemplo.
192.168.15.7 ada 192.168.116.16 enigma
Este procedimiento tambin funciona con una direccin IPv6 en el archivo /etc/inet/ipnodes. A partir de la versin Solaris 10 6/07 las entradas IPv6 se colocan en el archivo /etc/hosts.
Captulo 23 Configuracin de IKE (tareas) 599
Ha agregado una nueva entrada de directiva en el archivo /etc/inet/ipsecinit.conf en ambos sistemas. Las entradas tienen el siguiente aspecto:
# ipsecinit.conf file for enigma {laddr enigma raddr ada} ipsec {auth_algs any encr_algs any sa shared} # ipsecinit.conf file for ada {laddr ada raddr enigma} ipsec {auth_algs any encr_algs any sa shared}
En la versin actual, ha comprobado la sintaxis del archivo /etc/inet/ipsecinit.conf en ambos sistemas mediante lo siguiente:
# ipsecconf -c -f /etc/inet/ipsecinit.conf
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para un inicio de sesin remota seguro.
En este sistema, genere nmeros aleatorios y cree una clave de entre 64 y 448 bits. Para obtener ms informacin, consulte Cmo generar nmeros aleatorios en un sistema Solaris en la pgina 527. Si va a generar una clave previamente compartida para un sistema Solaris que se comunica con un sistema operativo que requiere ASCII, consulte el Ejemplo 231. Enve la clave al administrador del sistema remoto. Ambos deben agregar la misma clave previamente compartida y de forma simultnea. La seguridad de su clave depende de la seguridad de su mecanismo de transmisin. Se recomienda un mecanismo fuera de banda, como un correo registrado o un fax protegido. Tambin puede utilizar una sesin ssh para administrar ambos sistemas. Cree una regla para que IKE administre las claves para enigma y ada. a. En el sistema enigma, agregue la regla siguiente al archivo /etc/inet/ike/config:
### ike/config file on enigma, 192.168.116.16 ## The rule to communicate with ada {label "enigma-to-ada" local_addr 192.168.116.16 remote_addr 192.168.15.7 p1_xform {auth_method preshared oakley_group 5 auth_alg sha1 encr_alg blowfish}
600
p2_pfs 5 }
Asegrese de que haya claves IKE previamente compartidas al iniciar. a. En el sistema enigma, agregue la siguiente informacin al archivo /etc/inet/secret/ike.preshared:
# ike.preshared on enigma for the ada interface # { localidtype IP localid 192.168.116.16 remoteidtype IP remoteid 192.168.15.7 # enigma and adas shared key in hex (32 - 448 bits required) key 8d1fb4ee500e2bea071deb2e781cb48374411af5a9671714672bb1749ad9364d }
En cada sistema, reinicie el servicio de directivas de IPsec para asegurar la interfaz agregada.
# svcadm restart policy
Compruebe que los sistemas se puedan comunicar. Consulte Verificacin de que las claves IKE previamente compartidas sean idnticas en la pgina 602.
Captulo 23 Configuracin de IKE (tareas) 601
Ejemplo 233
Adicin de una clave IKE compartida previamente para una nueva entrada de directiva IPsec
En el siguiente ejemplo, el administrador agrega una clave compartida previamente a un sistema Solaris que no ejecuta la versin actual de Solaris. El administrador sigue el procedimiento anterior para modificar los archivos ike/config e ike., as como generar las claves y establecer contacto con el sistema remoto. El administrador utiliza comandos diferentes para leer la nueva directiva IPsec y las reglas IKE en el ncleo.
Antes de generar la nueva tecla, el administrador define el nivel de privilegios del daemon in.iked en 2.
# pkill in.iked # /usr/lib/inet/in.iked -p 2 Setting privilege level to 2
Despus de enviar la tecla para el otro sistema y agregar la nueva tecla al sistema, el administrador reduce el nivel de privilegios.
# ikeadm set priv base
Antes de empezar
IPsec se ha configurado y se ha habilitado entre los dos sistemas que se estn probando. Se est ejecutando la versin Solaris 10 actual.
Nota Para llevar a cabo este procedimiento en una versin anterior a Solaris 10 4/09 consulte
Ejemplo 232.
1
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Gua de administracin del sistema: servicios IP Septiembre de 2010
602
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para un inicio de sesin remota seguro. 2
Si el nivel de privilegios es keymat, contine con el Paso 3. Si el nivel de privilegios es base o modkeys, aumente su nivel. A continuacin, actualice el servicio ike y reincielo.
# svccfg -s ike setprop config/admin_privilege=keymat # svcadm refresh ike ; svcadm restart ike # svcprop -p config/admin_privilege ike keymat
Compare los dos vaciados. Si las claves previamente compartidas no son idnticas, sustituya una de ellas con la otra en el archivo /etc/inet/secret/ike.preshared.
Cuando se haya completado la verificacin, devuelva al nivel de privilegios el valor predeterminado de cada sistema.
# svccfg -s ike setprop config/admin_privilege=base # svcadm restart ike
603
Tarea
Descripcin
Crea y coloca dos certificados en cada sistema: Un certificado autofirmado El certificado de clave pblica del sistema remoto
Cmo configurar IKE con certificados de clave pblica autofirmados en la pgina 604 Cmo configurar IKE con certificados firmados por una autoridad de certificacin en la pgina 610
Crea una solicitud de certificado y coloca tres certificados en cada sistema: El certificado que crea la autoridad de certificacin a partir de su solicitud El certificado de clave pblica de la autoridad de certificacin La lista CRL de la autoridad de certificacin
Implica una de estas acciones: Cmo generar y almacenar Generar un certificado autofirmado en el hardware certificados de clave pblica en el local y luego agregar la clave pblica de un sistema hardware en la pgina 616 remoto al hardware. Generar una solicitud de certificado en el hardware local y luego agregar los certificados de clave pblica de la autoridad de certificacin al hardware. Cmo administrar una lista de revocacin de certificados en la pgina 620
604
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para un inicio de sesin remota seguro.
-ks -kc
Crea un certificado autofirmado. Crea una solicitud de certificado. Para conocer el procedimiento, consulte Cmo configurar IKE con certificados firmados por una autoridad de certificacin en la pgina 610. Es el tamao de la clave. Tamao_clave puede ser 512, 1024, 2048, 3072 o 4096. Especifica el tipo de algoritmo que utilizar. Tipo_algoritmo puede ser rsa-sha1, rsa-md5 o dsa-sha1. Es el nombre X.509 distinguido para el tema del certificado. Nombre_d suele tener el formato siguiente: C=country (pas), O=organization (organizacin=, OU=organizational unit (unidad organizativa), CN=common name (nombre comn). Las etiquetas vlidas son C, O, OU y CN. Nombre alternativo del certificado. Nombre_alt tiene el formato tag=value. Las etiquetas vlidas son IP, DNS, email y DN. Proporciona un tiempo de inicio de validez absoluto o relativo para el certificado. Proporciona un tiempo de fin de validez absoluto o relativo para el certificado. Permite al token de hardware PKCS #11 generar las claves. Los certificados se guardan en el hardware.
-A IP=192.168.13.213 Creating software private keys. Writing private key to file /etc/inet/secret/ike.privatekeys/0. Enabling external key providers - done. Acquiring private keys for signing - done. Certificate: Proceeding with the signing operation. Certificate generated successfully (.../publickeys/0) Finished successfully. Certificate added to database. -----BEGIN X509 CERTIFICATE----MIICLTCCAZagAwIBAgIBATANBgkqhkiG9w0BAQQFADBNMQswCQYDVQQGEwJVUzEX ... 6sKTxpg4GP3GkQGcd0r1rhW/3yaWBkDwOdFCqEUyffzU -----END X509 CERTIFICATE-----
Guarde el certificado y envelo al sistema remoto. El certificado se puede pegar en un mensaje de correo electrnico. a. Por ejemplo, enviara el siguiente certificado de partym al administrador de enigma:
To: admin@ja.enigmaexample.com From: admin@us.partyexample.com Message: -----BEGIN X509 CERTIFICATE----MIICLTCCAZagAwIBAgIBATANBgkqhkiG9w0BAQQFADBNMQswCQYDVQQGEwJVUzEX ... 6sKTxpg4GP3GkQGcd0r1rhW/3yaWBkDwOdFCqEUyffzU -----END X509 CERTIFICATE-----
606
En cada sistema, agregue el certificado que reciba. a. Copie la clave pblica del correo electrnico del administrador. b. Escriba el comando ikecert certdb -a y pulse la tecla Intro. Al pulsar Intro no aparecer ningn mensaje.
# ikecert certdb -a Press the Return key
c. Pegue la clave pblica. A continuacin, pulse la tecla Intro. Para finalizar la entrada, pulse Control+D.
-----BEGIN X509 CERTIFICATE----MIIC... ... ----END X509 CERTIFICATE----<Control>-D 5
Verifique con el otro administrador que el certificado proceda de dicho administrador. Por ejemplo, puede llamar por telfono al otro administrador para comparar los valores de hash de clave pblica. El hash de clave pblica del certificado compartido debe ser idntico en los dos sistemas. a. Enumere el certificado guardado en su sistema. Por ejemplo, en el sistema partym, el certificado pblico se encuentra en la ranura 1 y el certificado privado se encuentra en la ranura 0.
partym # ikecert certdb -l Certificate Slot Name: 0 Type: rsa-md5 Private Key Subject Name: <C=US, O=PartyCompany, OU=US-Partym, CN=Partym> Key Size: 1024 Public key hash: B2BD13FCE95FD27ECE6D2DCD0DE760E2 Certificate Slot Name: 1 Type: rsa-md5 Public Certificate (Private key in certlocal slot 0) Points to certificate's private key Subject Name: <C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax> Key Size: 1024 Public key hash: 2239A6A127F88EE0CB40F7C24A65B818
b. Compare este valor con el hash de clave pblica del sistema enigma. El hash de clave pblica se puede comunicar por telfono.
enigma # ikecert certdb -l Certificate Slot Name: 4 Type: rsa-md5 Private Key Subject Name: <C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax> Key Size: 1024 Public key hash: DF3F108F6AC669C88C6BD026B0FCE3A0
607
Certificate Slot Name: 5 Type: rsa-md5 Public Certificate (Private key in certlocal slot 4) Subject Name: <C=US, O=PartyCompany, OU=US-Partym, CN=Partym> Key Size: 1024 Public key hash: 2239A6A127F88EE0CB40F7C24A65B818 6
En cada sistema, confe en ambos certificados. Edite el archivo /etc/inet/ike/config para reconocer los certificados. El administrador del sistema remoto proporciona los valores para los parmetros cert_trust, remote_addr y remote_id. a. Por ejemplo, en el sistema partym, el archivo ike/config tendra el siguiente aspecto:
# Explicitly trust the following self-signed certs # Use the Subject Alternate Name to identify the cert # Verified # Verified cert_trust cert_trust remote address and remote ID public key hash per telephone call from administrator "192.168.13.213" Local system's certificate Subject Alt Name "192.168.116.16" Remote system's certificate Subject Alt Name
## Parameters that may also show up in rules. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg des } p2_pfs 5 { label "US-partym to JA-enigmax" local_id_type dn local_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" remote_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" local_addr 192.168.13.213 remote_addr 192.168.116.16 p1_xform {auth_method rsa_sig oakley_group 2 auth_alg sha1 encr_alg aes} }
b. En el sistema enigma, agregue los valores de enigma para los parmetros locales en el archivo ike/config. Para los parmetros remotos, utilice los valores de partym. Asegrese de que el valor de la palabra clave label sea nico. Este valor debe ser diferente del valor label del sistema remoto.
... {
608
label "JA-enigmax to US-partym" local_id_type dn local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" remote_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 ... Ejemplo 234
A continuacin, el administrador enva el archivo al segundo administrador por correo electrnico. El segundo administrador coloca el archivo en un directorio seguro e importa el certificado del archivo.
609
El comando ikecert importa nicamente el texto que hay entre las lneas -----BEGIN y -----END. El administrador verifica que el certificado local tenga el mismo valor hash de clave pblica quel valor hash de clave pblica que haya en el archivo co2sys.
sys2# ikecert certdb -l Certificate Slot Name: 1 Key Type: rsa (Private key in certlocal slot 1) Subject Name: <C=US, O=TestCo, CN=Co2Sys> Key Size: 1024 Public key hash: C46DE77EF09084CE2B7D9C70479D77FF
Para asegurarse de que el primer administrador enve este correo electrnico, el segundo administrador telefonea al primero para verificar el nombre del asunto del certificado.
Ejemplo 235
El administrador del sistema enigma establece las fechas para la validez del certificado. El certificado ser anterior en dos das y ser vlido hasta las 12 de la noche del 31 de diciembre de 2010.
# ikecert certlocal -ks -m 1024 -t rsa-md5 \ -D "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" \ -A IP=192.168.116.16 \ -S -2d -F "12/31/2010 12:00 AM"
Cmo configurar IKE con certificados firmados por una autoridad de certificacin
Los certificados pblicos de una autoridad de certificacin requieren negociar con una organizacin externa. Los certificados se pueden escalar con gran facilidad para proteger un mayor nmero de sistemas que se comunican.
610
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para un inicio de sesin remota seguro.
Utilice el comando ikecert certlocal -kc para crear una solicitud de certificado. Para ver una descripcin de los argumentos del comando, consulte el Paso 2 en Cmo configurar IKE con certificados de clave pblica autofirmados en la pgina 604.
# ikecert certlocal -kc -m keysize -t keytype \ -D dname -A altname
a. Por ejemplo, el comando siguiente crea una solicitud de certificado en el sistema partym:
# ikecert certlocal -kc -m 1024 -t rsa-md5 \ > -D "C=US, O=PartyCompany\, Inc., OU=US-Partym, CN=Partym" \ > -A "DN=C=US, O=PartyCompany\, Inc., OU=US-Partym" Creating software private keys. Writing private key to file /etc/inet/secret/ike.privatekeys/2. Enabling external key providers - done. Certificate Request: Proceeding with the signing operation. Certificate request generated successfully (.../publickeys/0) Finished successfully. -----BEGIN CERTIFICATE REQUEST----MIIByjCCATMCAQAwUzELMAkGA1UEBhMCVVMxHTAbBgNVBAoTFEV4YW1wbGVDb21w ... lcM+tw0ThRrfuJX9t/Qa1R/KxRlMA3zckO80mO9X -----END CERTIFICATE REQUEST-----
611
La organizacin de PKI puede indicar cmo enviar la solicitud de certificado. La mayora de las organizaciones cuenta con un sitio web con un formulario de envo. El formulario requiere una prueba de que el envo es legtimo. Normalmente, la solicitud de certificado se pega en el formulario. Cuando la organizacin ha comprobado la solicitud, emite los dos objetos de certificado siguientes y una lista de los certificados revocados:
El certificado de clave pblica: este certificado se basa en la solicitud que ha enviado a la organizacin. La solicitud que enva forma parte del certificado de clave pblica. El certificado le identifica de forma exclusiva. Una autoridad de certificacin: la firma de la organizacin. La autoridad de certificacin verifica que el certificado de clave pblica sea legtimo. Una lista de revocacin de certificados (CRL): La lista de certificados ms reciente que ha revocado la organizacin. La CRL no se enva por separado como objeto de certificado si el acceso a la CRL est integrado en el certificado de clave pblica. Cuando un URI para la CRL est integrado en el certificado de clave pblica, IKE puede recuperar automticamente la CRL. De modo similar, cuando una entrada DN (nombre de directorio en servidor LDAP) se integra en el certificado de clave pblica, IKE puede recuperar la CRL y almacenarla en cach desde un servidor LDAP que se especifique. Consulte Cmo administrar una lista de revocacin de certificados en la pgina 620 para ver un ejemplo de URI integrado y una entrada DN integrada en un certificado de clave pblica.
Agregue cada certificado al sistema. La opcin -a de ikecert certdb -a agrega el objeto pegado a la base de datos de certificados pertinente del sistema. Para ms informacin, consulte IKE con certificados de claves pblicas en la pgina 587. a. En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. b. Agregue el certificado de clave pblica que ha recibido de la organizacin de PKI.
# ikecert certdb -a Press the Return key Paste the certificate: -----BEGIN X509 CERTIFICATE----... -----END X509 CERTIFICATE---Press the Return key <Control>-D
612
Paste the CA: -----BEGIN X509 CERTIFICATE----... -----END X509 CERTIFICATE---Press the Return key <Control>-D
d. Si la organizacin de PKI ha enviado una lista de certificados revocados, agregue la CRL a la base de datos certrldb:
# ikecert certrldb -a Press the Return key Paste the CRL: -----BEGIN CRL----... -----END CRL---Press the Return key <Control>-D 5
Utilice la palabra clave cert_root para identificar la organizacin de PKI en el archivo /etc/inet/ike/config. Utilice el nombre que proporciona la organizacin de PKI. a. Por ejemplo, el archivo ike/config del sistema partym podra ser similar a:
# Trusted root cert # This certificate is from Example PKI # This is the X.509 distinguished name for the CA that it issues. cert_root "C=US, O=ExamplePKI\, Inc., OU=PKI-Example, CN=Example PKI" ## Parameters that may also show up in rules. p1_xform { auth_method rsa_sig oakley_group 1 auth_alg sha1 encr_alg des } p2_pfs 2 { label "US-partym to JA-enigmax - Example PKI" local_id_type dn local_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" remote_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" local_addr 192.168.13.213 remote_addr 192.168.116.16 p1_xform {auth_method rsa_sig oakley_group 2 auth_alg sha1 encr_alg aes} }
613
Nota Todos los argumentos del parmetro auth_method deben encontrarse en la misma
lnea. b. En el sistema enigma, cree un archivo similar. En concreto, el archivo enigma ike/config llevar a cabo las siguientes acciones:
Incluir el mismo valor de cert_root. Utilizar los valores de enigma para los parmetros locales. Utilice los valores de partym para los parmetros remotos. Cree un valor nico para la palabra clave label. Este valor debe ser diferente del valor label del sistema remoto.
... cert_root "C=US, O=ExamplePKI\, Inc., OU=PKI-Example, CN=Example PKI" ... { label "JA-enigmax to US-partym - Example PKI" local_id_type dn local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" remote_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 ... 6
Ninguna CRL disponible Si la organizacin de PKI no proporciona ninguna CRL, agregue la palabra clave ignore_crls al archivo ike/config.
# Trusted root cert ... cert_root "C=US, O=ExamplePKI\, Inc., OU=PKI-Example,... ignore_crls ...
La palabra clave ignore_crls indica a IKE que no debe buscar ninguna CRL.
CRL disponible Si la organizacin de PKI proporciona un punto de distribucin central para las CRL, puede modificar el archivo ike/config para que haga referencia a esa ubicacin. Consulte Cmo administrar una lista de revocacin de certificados en la pgina 620 para ver algunos ejemplos.
614
Ejemplo 236
2. En cada sistema, agregue el certificado enviado por correo electrnico a la base de datos publickeys local.
# ikecert certdb -a Press the Return key -----BEGIN X509 CERTIFICATE----MII... -----END X509 CERTIFICATE----Press the Return key <Control>-D
El mtodo de autenticacin para el cifrado de RSA oculta las identidades de IKE de los intrusos. Dado que el mtodo rsa_encrypt oculta la identidad del equivalente, IKE no puede recuperar su certificado. Como consecuencia de ello, el mtodo rsa_encrypt requiere que los equivalentes de IKE conozcan las claves pblicas el uno del otro. Por tanto, si utiliza un auth_method de rsa_encrypt en el archivo /etc/inet/ike/config, debe agregar el certificado del equivalente a la base de datos publickeys. La base de datos publickeys incluye tres certificados para cada par de sistemas que se comunican:
Su certificado de clave pblica El certificado de la administracin de certificacin El certificado de clave pblica del equivalente
Resolucin de problemas: La carga til de IKE, que incluye los tres certificados, puede ser demasiado grande para que la cifre rsa_encrypt. Errores como un fallo de autenticacin o
615
una carga til mal formada pueden indicar que el mtodo rsa_encrypt no puede cifrar la carga til total. Reduzca el tamao de la carga til utilizando un mtodo que requiera nicamente dos certificados, por ejemplo rsa_sig.
Antes de empezar
El hardware debe estar configurado. El hardware utiliza la biblioteca /usr/lib/libpkcs11.so, a menos que la palabra clave pkcs11_path del archivo /etc/inet/ike/config haga referencia a una biblioteca distinta. La biblioteca debe implementarse de acuerdo con el estndar siguiente: RSA Security Inc. PKCS #11 Cryptographic Token Interface (Cryptoki), es decir, una biblioteca PKCS #11. Consulte Cmo configurar IKE para buscar la placa de Sun Crypto Accelerator 4000 en la pgina 631 para obtener instrucciones sobre la instalacin.
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para un inicio de sesin remota seguro.
Genere un certificado autofirmado o una solicitud de certificado y especifique el ID de smbolo. Elija una de las siguientes opciones:
Nota La placa Sun Crypto Accelerator 4000 admite claves de hasta 2048 bits para RSA. Para DSA, esta placa admite claves de hasta 1024 bits.
616
Type user:password
El argumento para la opcin -T es el ID de smbolo de la placa Sun Crypto Accelerator 4000 conectada.
Para ver una descripcin de los argumentos para el comando ikecert, consulte la pgina del comando man ikecert(1M).
3
Cuando se le solicite un PIN, escriba el usuario de Sun Crypto Accelerator 4000, dos puntos y la contrasea del usuario. Si la placa de Sun Crypto Accelerator 4000 tiene un usuario ikemgr cuya contrasea es rgm4tigt, debe escribir:
Enter PIN for PKCS#11 token: ikemgr:rgm4tigt Nota La respuesta de PIN se guarda en el disco como texto sin cifrar.
Enve su certificado para que lo pueda utilizar la otra parte. Elija una de las siguientes opciones:
Enve el certificado autofirmado al sistema remoto. El certificado se puede pegar en un mensaje de correo electrnico.
Enve la solicitud de certificado a una organizacin que administre PKI. Siga las instrucciones de la administracin de PKI para enviar la solicitud de certificado. Para obtener informacin ms detallada, consulte el Paso 3 de Cmo configurar IKE con certificados firmados por una autoridad de certificacin en la pgina 610.
617
En el sistema, edite el archivo /etc/inet/ike/config para que reconozca los certificados. Elija una de las siguientes opciones.
Certificado autofirmado Utilice los valores que proporciona el administrador del sistema remoto para los parmetros cert_trust, remote_id y remote_addr. Por ejemplo, en el sistema enigma, el archivo ike/config sera similar a:
# Explicitly trust the following self-signed certs # Use the Subject Alternate Name to identify the cert cert_trust "192.168.116.16" cert_trust "192.168.13.213" Local system's certificate Subject Alt Name Remote system's certificate Subject Alt name
# Solaris 10 1/06 release: default path does not have to be typed in #pkcs11_path "/usr/lib/libpkcs11.so" Hardware connection # Solaris 10 release: use this path #pkcs11_path "/opt/SUNWconn/cryptov2/lib/libvpkcs11.so" ... { label "JA-enigmax to US-partym" local_id_type dn local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" remote_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 p1_xform {auth_method rsa_sig oakley_group 2 auth_alg sha1 encr_alg aes} }
Solicitud de certificado Escriba el nombre que proporciona la organizacin de PKI como valor para la palabra clave cert_root. Por ejemplo, el archivo ike/config del sistema enigma podra ser similar a:
# Trusted root cert # This certificate is from Example PKI # This is the X.509 distinguished name for the CA that it issues. cert_root "C=US, O=ExamplePKI\, Inc., OU=PKI-Example, CN=Example PKI" # Solaris 10 1/06 release: default path does not have to be typed in #pkcs11_path "/usr/lib/libpkcs11.so" Hardware connection # Solaris 10 release: use this path #pkcs11_path "/opt/SUNWconn/cryptov2/lib/libvpkcs11.so"
618
... { label "JA-enigmax to US-partym - Example PKI" local_id_type dn local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" remote_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 p1_xform {auth_method rsa_sig oakley_group 2 auth_alg sha1 encr_alg aes} } 6
Coloque los certificados de la otra parte en el hardware. Responda a la solicitud de PIN del mismo modo que en el Paso 3.
Nota Debe agregar los certificados de clave pblica al mismo hardware conectado que gener la
clave privada.
Certificado autofirmado. Agregue el certificado autofirmado al sistema remoto. En este ejemplo, el certificado se guarda en el archivo, DCA.ACCEL.STOR.CERT.
# ikecert certdb -a -T dca0-accel-stor < DCA.ACCEL.STOR.CERT Enter PIN for PKCS#11 token: Type user:password
Si el certificado autofirmado utiliz rsa_encrypt como valor para el parmetro auth_method, agregue el certificado del equivalente al hardware.
Certificados de una organizacin de PKI. Agregue el certificado que ha generado la organizacin a partir de la solicitud de certificado, y agregue la autoridad de certificacin.
# ikecert certdb -a -T dca0-accel-stor < DCA.ACCEL.STOR.CERT Enter PIN for PKCS#11 token: Type user:password # ikecert certdb -a -T dca0-accel-stor < DCA.ACCEL.STOR.CA.CERT Enter PIN for PKCS#11 token: Type user:password
Para agregar una lista de revocacin de certificados (CRL) de la organizacin de PKI, consulte Cmo administrar una lista de revocacin de certificados en la pgina 620.
619
Debe indicar a IKE que omita las CRL si la organizacin de la autoridad de certificacin no emite ninguna CRL. Esta opcin se muestra en el Paso 6 en Cmo configurar IKE con certificados firmados por una autoridad de certificacin en la pgina 610. Puede indicar a IKE que acceda a las CRL desde un indicador de recursos uniforme (URI) cuya direccin est integrada en el certificado de clave pblica de la autoridad de certificacin. Puede indicar a IKE que acceda a las CRL desde un servidor LDAP cuya entrada de nombre de directorio (DN) est integrada en el certificado de clave pblica de la autoridad de certificacin. Puede proporcionar la CRL como argumento para el comando ikecert certrldb. Si desea ver un ejemplo, consulte el Ejemplo 237.
El siguiente procedimiento describe cmo indicar a IKE que utilice las CRL de un punto de distribucin central.
1
-l -v certspec
Enumera los certificados de la base de datos IKE. Enumera los certificados en modo detallado. Utilice esta opcin con precaucin. Es un patrn que coincide con un certificado de la base de datos de certificados IKE.
Por ejemplo, el certificado siguiente ha sido emitido por Sun Microsystems. Los detalles se han modificado.
# ikecert certdb -lv example-protect.sun.com Certificate Slot Name: 0 Type: dsa-sha1 (Private key in certlocal slot 0) Subject Name: <O=Sun Microsystems Inc, CN=example-protect.sun.com> Issuer Name: <CN=Sun Microsystems Inc CA (Cl B), O=Sun Microsystems Inc> SerialNumber: 14000D93 Validity: Not Valid Before: 2002 Jul 19th, 21:11:11 GMT Not Valid After: 2005 Jul 18th, 21:11:11 GMT Public Key Info: Public Modulus (n) (2048 bits): C575A...A5 Public Exponent (e) ( 24 bits): 010001 Extensions: Subject Alternative Names: DNS = example-protect.sun.com
620
Key Usage: DigitalSignature KeyEncipherment [CRITICAL] CRL Distribution Points: Full Name: URI = #Ihttp://www.sun.com/pki/pkismica.crl#i DN = <CN=Sun Microsystems Inc CA (Cl B), O=Sun Microsystems Inc> CRL Issuer: Authority Key ID: Key ID: 4F ... 6B SubjectKeyID: A5 ... FD Certificate Policies Authority Information Access
Observe la entrada CRL Distribution Points. La entrada URI indica que la CRL de esta organizacin est disponible en Internet. La entrada DN indica que la CRL est disponible en un servidor LDAP. Cuando IKE accede a la CRL, sta se almacena en cach para futuros usos. Para acceder a la CRL, debe alcanzar un punto de distribucin.
2
Elija uno de los mtodos siguientes para acceder a la CRL desde un punto de distribucin central.
Utilice el URI. Agregue la palabra clave use_http al archivo /etc/inet/ike/config del host. Por ejemplo, el archivo ike/config tendra el siguiente aspecto:
# Use CRL from organizations URI use_http ...
Utilice un proxy Web. Agregue la palabra clave proxy al archivo ike/config. La palabra clave proxy adopta una direccin URL como argumento, como en el caso siguiente:
# Use own web proxy proxy "http://proxy1:8080"
Utilice un servidor LDAP. Configure el servidor LDAP como argumento para la palabra clave ldap-list del archivo /etc/inet/ike/config del host. Su organizacin proporciona el nombre del servidor LDAP. La entrada del archivo ike/config tendra el siguiente aspecto:
# Use CRL from organizations LDAP ldap-list "ldap1.sun.com:389,ldap2.sun.com" ...
IKE recupera la CRL y almacena en cach la CRL hasta que caduque el certificado.
621
Ejemplo 237
Comunicar remotamente con un sitio central Utilizar un certificado raz e IKE en un sistema central que acepta trfico de sistemas porttiles Utilizar un certificado raz e IKE en un sistema que no tiene una direccin IP fija Utilizar certificados autofirmados e IKE en un sistema central que acepta trfico de sistemas porttiles Utilizar certificados autofirmados e IKE en un sistema que no tiene una direccin IP fija
Permite a los sistemas remotos comunicarse con un Cmo configurar IKE para sitio central. Los sistemas remotos pueden ser sistemas remotos porttiles. en la pgina 623 Configura un sistema de portal para que acepte el trfico de IPsec de un sistema que no tiene una direccin IP fija. Ejemplo 238
Configura un sistema porttil para proteger su Ejemplo 239 trfico en un sitio central, como la oficina central de una compaa. Configura un sistema de portal con certificados Ejemplo 2310 autofirmados para aceptar trfico de IPsec desde un sistema porttil. Configura un sistema porttil con certificados autofirmados para proteger su trfico en un sitio central. Ejemplo 2311
622
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para un inicio de sesin remota seguro.
Configure el sistema central para que reconozca los sistemas porttiles. a. Configure el archivo /etc/hosts. El sistema central no tiene que reconocer las direcciones especficas para los sistemas porttiles.
# /etc/hosts on central central 192.xxx.xxx.x
b. Configure el archivo ipsecinit.conf. El sistema central necesita una directiva que permite una amplia gama de direcciones IP. Los certificados de la directiva IKE garantizan que los sistemas conectados son legtimos.
# /etc/inet/ipsecinit.conf on central # Keep everyone out unless they use this IPsec policy: {} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
623
c. Configure el archivo ike.config. DNS identifica el sistema central. Se utilizan certificados para autenticar el sistema.
## /etc/inet/ike/ike.config on central # Global parameters # # Find CRLs by URI, URL, or LDAP # Use CRL from organizations URI use_http # # Use web proxy proxy "http://somecache.domain:port/" # # Use LDAP server ldap_server "ldap-server1.domain.org,ldap2.domain.org:port" # # List CA-signed certificates cert_root "C=US, O=Domain Org, CN=Domain STATE" # # List self-signed certificates - trust server and enumerated others #cert_trust "DNS=central.domain.org" #cert_trust "DNS=mobile.domain.org" #cert_trust "DN=CN=Domain Org STATE (CLASS), O=Domain Org #cert_trust "email=root@central.domain.org" #cert_trust "email=user1@mobile.domain.org" # # Rule for mobile systems with certificate { label "Mobile systems with certificate" local_id_type DNS # Any mobile system who knows my DNS or IP can find me. local_id "central.domain.org" local_addr 192.xxx.xxx.x # Root certificate ensures trust, # so allow any remote_id and any remote IP address. remote_id "" remote_addr 0.0.0.0/0 p2_pfs 5 p1_xform {auth_method rsa_sig oakley_group 5 encr_alg blowfish auth_alg sha1 } } 3
Inicie sesin en cada sistema porttil y configure el sistema para buscar el sistema central. a. Configure el archivo /etc/hosts. El archivo /etc/hosts no necesita una direccin para el sistema porttil, pero puede proporcionar una. El archivo debe contener una direccin IP pblica para el sistema central.
# /etc/hosts on mobile mobile 10.x.x.xx central 192.xxx.xxx.x
624
b. Configure el archivo ipsecinit.conf. El sistema porttil debe encontrar el sistema central por su direccin IP pblica. Los sistemas deben configurar la misma directiva IPsec.
# /etc/inet/ipsecinit.conf on mobile # Find central {raddr 192.xxx.xxx.x} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
c. Configure el archivo ike.config. El identificador no puede ser una direccin IP. Los siguientes identificadores son vlidos para sistemas porttiles:
626
label "Off-site system with root certificate" local_id_type DNS local_id "main1.domain.org" local_addr 192.168.0.100 # Root certificate ensures trust, # so allow any remote_id and any remote IP address. remote_id "" remote_addr 0.0.0.0/0 p2_pfs 5 p1_xform {auth_method p1_xform {auth_method p1_xform {auth_method p1_xform {auth_method } Ejemplo 239 rsa_sig oakley_group 5 encr_alg blowfish auth_alg sha1} rsa_sig oakley_group 5 encr_alg aes auth_alg sha1} rsa_sig oakley_group 5 encr_alg blowfish auth_alg sha1} rsa_sig oakley_group 5 encr_alg aes auth_alg sha1}
cert_root "C=US, O=ExamplePKI Inc, OU=PKI-Example, CN=Example PKI" # # Rule for off-site systems with root certificate { label "Off-site mobile1 with root certificate" local_id_type DNS local_id "mobile1.domain.org" local_addr 0.0.0.0/0 # Find main1 and trust the root certificate remote_id "main1.domain.org" remote_addr 192.168.0.100 p2_pfs 5 p1_xform {auth_method rsa_sig oakley_group 5 encr_alg blowfish auth_alg sha1 } } Ejemplo 2310
628
p1_xform {auth_method rsa_sig oakley_group 5 encr_alg blowfish auth_alg sha1 } } Ejemplo 2311
629
Tarea
Descripcin
Descargar operaciones de claves IKE en Vincula IKE con la biblioteca de PKCS #11. Cmo configurar IKE para buscar la placa de la placa de Sun Crypto Accelerator 1000 Sun Crypto Accelerator 1000 en la pgina 630 Descargar operaciones de claves IKE y almacenar las claves en la placa de Sun Crypto Accelerator 4000 Vincula IKE con la biblioteca de PKCS #11 Cmo configurar IKE para buscar la placa de e indica el nombre del hardware conectado. Sun Crypto Accelerator 4000 en la pgina 631
Cmo configurar IKE para buscar la placa de Sun Crypto Accelerator 1000
El procedimiento siguiente presupone que hay una placa de Sun Crypto Accelerator 1000 conectada al sistema. Adems, el procedimiento presupone que se ha instalado y configurado el software para la placa. Para obtener instrucciones, consulte Sun Crypto Accelerator 1000 Board Version 2.0 Installation and Users Guide.
Antes de empezar
630
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para un inicio de sesin remota seguro.
Compruebe que est vinculada la biblioteca de PKCS #11. Escriba el comando siguiente para determinar si la biblioteca de PKCS #11 est vinculada:
# ikeadm get stats Phase 1 SA counts: Current: initiator: 0 responder: Total: initiator: 0 responder: Attempted: initiator: 0 responder: Failed: initiator: 0 responder: initiator fails include 0 time-out(s) PKCS#11 library linked in from /usr/lib/libpkcs11.so # 0 0 0 0
Solaris 10 1/06: A partir de esta versin, puede guardar las claves en el almacn de claves softtoken. Para obtener informacin sobre el almacn de claves que proporciona la estructura criptogrfica de Solaris, consulte la pgina del comando man cryptoadm(1M) Si desea ver un ejemplo del uso del almacn de claves, consulte el Example 2312.
Cmo configurar IKE para buscar la placa de Sun Crypto Accelerator 4000
El siguiente procedimiento presupone que hay una placa de Sun Crypto Accelerator 4000 conectada al sistema. Adems, el procedimiento presupone que se ha instalado y configurado el software para la placa. Para obtener instrucciones, consulte la Sun Crypto Accelerator 4000 Board Version 1.1 Installation and Users Guide. Si utiliza una placa Crypto Accelerator 6000 de Sun, consulte la Sun Crypto Accelerator 6000 Board Version 1.1 Users Guide para obtener instrucciones.
Antes de empezar
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Captulo 23 Configuracin de IKE (tareas) 631
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para un inicio de sesin remota seguro. 2
Compruebe que est vinculada la biblioteca de PKCS #11. IKE utiliza las rutinas de la biblioteca para administrar la generacin de claves y el almacenamiento de claves en la placa de Sun Crypto Accelerator 4000. Escriba el comando siguiente para determinar si se ha vinculado una biblioteca de PKCS #11:
$ ikeadm get stats ... PKCS#11 library linked in from /usr/lib/libpkcs11.so $ Nota La placa Sun Crypto Accelerator 4000 admite claves de hasta 2048 bits para RSA. Para DSA, esta placa admite claves de hasta 1024 bits.
La biblioteca devuelve un ID de smbolo, tambin denominado nombre de keystore, de 32 caracteres. En este ejemplo, puede utilizar el smbolo Sun Metaslot con los comandos ikecert para almacenar y acelerar claves IKE. Para obtener instrucciones sobre cmo utilizar el smbolo, consulte Cmo generar y almacenar certificados de clave pblica en el hardware en la pgina 616. Los espacios finales se rellenan automticamente con el comando ikecert.
Ejemplo 2312
Para crear una contrasea para el almacn de claves softtoken, consulte la pgina del comando man pktool(1).
632 Gua de administracin del sistema: servicios IP Septiembre de 2010
Un comando como el siguiente agregara un certificado al almacn de claves softtoken. Sun.Metaslot.cert es un archivo que contiene un certificado de una autoridad de certificacin.
# ikecert certdb -a -T "Sun Metaslot" < Sun.Metaslot.cert Enter PIN for PKCS#11 token: Type user:passphrase
Hacer la negociacin de claves ms eficiente Cambia los parmetros de negociacin de claves. Configurar la negociacin de claves para permitir retrasos en la transmisin Configurar la negociacin de claves para proceder con rapidez si es correcta o para mostrar los fallos rpidamente Alarga los parmetros de negociacin de claves. Acorta los parmetros de negociacin de claves.
Cmo cambiar la duracin de la negociacin de claves IKE de fase 1 en la pgina 634 Ejemplo 2313 Ejemplo 2314
633
proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para un inicio de sesin remota seguro.
2
Cambie los valores predeterminados de los parmetros de transmisin globales de cada sistema. En cada sistema, modifique los parmetros de duracin de la fase 1 del archivo /etc/inet/ike/config.
### ike/config file on system
## Global parameters # ## Phase 1 transform defaults # #expire_timer 300 #retry_limit 5 #retry_timer_init 0.5 (integer or float) #retry_timer_max 30 (integer or float)
expire_timer
Nmero de segundos que persistir una negociacin de IKE de fase 1 sin completar antes de eliminar el intento de negociacin. De modo predeterminado, el intento persiste durante 30 segundos. El nmero de retransmisiones antes de que se cancele cualquier negociacin de IKE. De modo predeterminado, hay cinco intentos de IKE. Intervalo inicial entre retransmisiones. Este intervalo se dobla hasta alcanzar el valor de retry_timer_max. El intervalo inicial es de 0,5 segundos. El intervalo mximo en segundos entre retransmisiones. El intervalo de retransmisin deja de aumentar una vez alcanzado este lmite. De modo predeterminado, el limite es de 30 segundos.
retry_limit
retry_timer_init
retry_timer_max
634
Ejemplo 2314
635
636
C A P T U L O
24
2 4
Utilidad de gestin de servicios de IKE en la pgina 637 Daemon IKE en la pgina 638 Archivo de directiva IKE en la pgina 638 Comando de administracin de IKE en la pgina 639 Archivos de claves IKE previamente compartidas en la pgina 640 Comandos y bases de datos de claves pblicas IKE en la pgina 640
Para obtener instrucciones sobre la implementacin de IKE, consulte el Captulo 23, Configuracin de IKE (tareas). Para obtener una descripcin general, consulte el Captulo 22, Intercambio de claves de Internet (descripcin general).
Propiedad config_file es la ubicacin del archivo de configuracin IKE. El valor inicial es /etc/inet/ike/config. Propiedad debug level es el nivel de depuracin del daemon in.iked. El valor inicial es op u operativos. Para ver los posibles valores, consulte la tabla de niveles de depuracin en Object Types en la pgina de comando man ikeadm(1M). Propiedad admin_privilege es el nivel de privilegio del daemon in.iked. El valor inicial es base. Otros valores son modkeys y keymat. Para obtener ms detalles, consulte Comando de administracin de IKE en la pgina 639.
637
Daemon IKE
Para obtener ms informacin sobre SMF, consulte el Captulo 18, Managing Services (Overview) de System Administration Guide: Basic Administration. Consulte tambin las pginas de comando man smf(5),svcadm(1M) y svccfg(1M).
Daemon IKE
El daemon in.iked automatiza la administracin de claves criptogrficas para IPsec en un sistema Solaris. El daemon negocia con un sistema remoto que ejecuta el mismo protocolo para proporcionar materiales de claves autenticados para las asociaciones de seguridad de forma protegida. El daemon debe ejecutarse en todos los sistemas que tienen previsto comunicarse de forma segura. Por defecto, el servicio svc:/network/ipsec/ike:default servicio no est habilitado. Despus de que se haya configurado el archivo /etc/inet/ike/config y se haya habilitado el servicio ike, el daemon in.iked se ejecuta con el inicio del sistema. Al ejecutar el daemon IKE, el sistema se autentica automticamente en su entidad IKE equivalente en el intercambio de fase 1. El equivalente se define en el archivo de directiva IKE, al igual que los mtodos de autenticacin. A continuacin, el daemon establece las claves para el intercambio de fase 2. Las claves IKE se actualizan automticamente a un intervalo especificado en el archivo de directiva. El daemon in.iked escucha las solicitudes IKE entrantes de la red y las solicitudes del trfico saliente mediante el socket PF_KEY. Para ms informacin, consulte la pgina del comando man pf_key(7P). Dos comandos admiten el daemon IKE. El comando ikeadm puede utilizarse para ver y modificar temporalmente la directiva IKE. Para modificar permanentemente la directiva IKE, puede modificar las propiedades del servicio ike. Si desea conocer el procedimiento, consulte Cmo ver las claves IKE previamente compartidas en la pgina 597. El comando ikecert permite ver y administrar las bases de datos de claves pblicas. Este comando administra las bases de datos locales, ike.privatekeys y publickeys . Este comando tambin administra operaciones de claves pblicas y el almacenamiento de las claves pblicas en el hardware.
acelerador de hardware conectado. Para ver ejemplos de los archivos de directiva IKE, consulte Configuracin de IKE con claves previamente compartidas (mapa de tareas) en la pgina 592. Para ver ejemplos y descripciones de las entradas de directiva IKE, consulte la pgina del comando man ike.config(4). Las asociaciones de seguridad de IPsec que admite IKE protegen los datagramas IP de acuerdo con las directivas que se establecen en el archivo de configuracin para la directiva IPsec, /etc/inet/ipsecinit.conf. El archivo de directiva IKE determina si se utiliza la seguridad directa perfecta (PFS) al crear las asociaciones de seguridad de IPsec. El archivo ike/config puede incluir la ruta a una biblioteca que se implementa de acuerdo con el estndar siguiente: Interfaz de seal criptogrfica RSA Security Inc. PKCS #11 (Cryptoki). IKE utiliza esta biblioteca de PKCS #11 con tal de acceder al hardware para la aceleracin de claves y el almacenamiento de claves. Las consideraciones de seguridad del archivo ike/config son similares a las consideraciones del archivo ipsecinit.conf. Para obtener ms informacin, consulte Consideraciones de seguridad para ipsecinit.conf e ipsecconf en la pgina 578.
Ver aspectos del proceso del daemon IKE. Cambiar los parmetros que se transfieren al daemon IKE. Ver estadsticas sobre la creacin de asociaciones de seguridad durante el intercambio de fase 1. Depurar procesos de IKE. Ver aspectos del estado de IKE. Cambiar las propiedades del daemon IKE. Ver estadsticas sobre la creacin de asociaciones de seguridad durante el intercambio de fase 1. Depurar los intercambios del protocolo IKE.
Para ver ejemplos y una descripcin completa de las opciones de este comando, consulte la pgina del comando man ikeadm(1M) El nivel de privilegio del daemon IKE en ejecucin determina qu aspectos del daemon IKE pueden verse y modificarse. Hay tres niveles de privilegio posibles. Nivel Base Nivel modkeys No puede ver ni modificar el material de claves. El nivel base es el nivel de privilegio predeterminado. Puede eliminar, cambiar y agregar claves previamente compartidas.
639
Nivel keymat
Si desea un cambio en un privilegio temporal, puede utilizar el comando ikeadm. Para un cambio permanente, cambie la propiedad admin_privilege del servicio ike. Si desea conocer el procedimiento, consulte Cmo administrar servicios de IPsec e IKE en la pgina 536. Las consideraciones de seguridad del comando ikeadm son similares a las consideraciones del comando ipseckey. Para ms detalles, consulte Consideraciones de seguridad para ipseckey en la pgina 580.
El archivo ike.preshared se crea al configurar el archivo ike/config para que requiera claves previamente compartidas. El material de claves se especifica para las asociaciones de seguridad de ISAKMP, es decir, para la autenticacin IKE en el archivo ike.preshared. Dado que se utilizan claves previamente compartidas para autenticar el intercambio de fase 1, el archivo debe ser vlido antes de iniciar el daemon in.iked. El archivo ipseckeys contiene el material de claves para las asociaciones de seguridad de IPsec. Para ver ejemplos de la administracin manual del archivo, consulte Cmo crear manualmente asociaciones de seguridad IPsec en la pgina 528. El daemon IKE no utiliza este archivo. El material de claves que genera IKE para las asociaciones de seguridad de IPsec se almacena en el ncleo.
Nota Las claves previamente compartidas no pueden utilizar el almacenamiento de hardware. Las claves previamente compartidas se generan y almacenan en el sistema.
640
El comando ikecert tambin administra el almacenamiento de claves. Las claves se pueden almacenar en disco, en una placa Sun Crypto Accelerator 4000 o Crypto Accelerator 6000 de Sun, o bien en un almacn de claves softtoken. El almacn de claves softtoken est disponible cuando la metarranura de la estructura criptogrfica de Solaris se utilice para comunicarse con el dispositivo de hardware. El comando ikecert utiliza la biblioteca PKCS #11 para localizar el almacenamiento de claves.
Solaris 10 1/06: A partir de esta versin, no es preciso especificar la biblioteca. De modo predeterminado, la biblioteca PKCS #11 es /usr/lib/libpkcs11.so. Solaris 10: en esta versin, debe especificarse la entrada PKCS #11. De lo contrario, la opcin -T del comando ikecert no funcionar. La entrada tiene el siguiente aspecto:
pkcs11_path "/opt/SUNWconn/cryptov2/lib/libvpkcs11.so"
Para obtener ms informacin, consulte la pgina del comando man ikecert(1M) Para obtener informacin sobre la metarranura y el almacn de claves softtoken, consulte la pgina del comando man cryptoadm(1M).
641
TABLA 241
Opcin ikecert
-A nombre_alternativo_tema
Apodo que identifica el certificado de modo exclusivo. Los posibles valores son una direccin IP, una direccin de correo electrnico o un nombre de dominio. El nombre completo de la autoridad de certificacin que incluye el pas (C), el nombre de organizacin (ON), la unidad organizativa (OU) y el nombre comn (CN). Mtodo de autenticacin que es ligeramente ms lento que RSA. Mtodo de autenticacin que es ligeramente ms lento que DSA. La clave pblica RSA debe ser lo suficientemente grande para cifrar la carga til mayor. Normalmente, una carga til de identidad, como el nombre distinguido X.509, es la mayor carga til.
-D nombre_distinguido_X.509
auth_method dss_sig
auth_method rsa_sig
-t rsa-md5 y -t rsa-sha1 -T
auth_method rsa_encrypt
El cifrado RSA oculta las identidades de IKE de los intrusos, pero requiere que los equivalentes de IKE conozcan las claves pblicas el uno del otro. La biblioteca PKCS #11 gestiona aceleracin de claves en las placas de Sun Crypto Accelerator 1000, Crypto Accelerator 6000 de Sun y Sun Crypto Accelerator 4000. La biblioteca tambin proporciona los smbolos que gestionan el almacenamiento de claves en las placas de Sun Crypto Accelerator 4000 y Crypto Accelerator 6000 de Sun.
pkcs11_path
Si emite una solicitud de certificado con el comando ikecert certlocal -kc, enva el resultado del comando a una organizacin de PKI o a una autoridad de certificacin. Si su compaa ejecuta su propio PKI, el resultado se enva al administrador de PKI. A continuacin, la organizacin de PKI, la autoridad de certificacin o el administrador de PKI crea los certificados. Los certificados que devuelve el PKI o la autoridad de certificacin se incluyen en el subcomando certdb. La lista de revocacin de certificados (CRL) que devuelve el PKI se incluye en el subcomando certrldb.
certificados de clave pblica autofirmados en la pgina 604. Este comando tambin acepta el certificado que recibe de un PKI o una autoridad de certificacin. Para conocer el procedimiento, consulte Cmo configurar IKE con certificados firmados por una autoridad de certificacin en la pgina 610. Los certificados y las claves pblicas se almacenan en el directorio /etc/inet/ike/publickeys del sistema. La opcin -T almacena los certificados, las claves privadas y las claves pblicas del hardware conectado.
Directorio /etc/inet/ike/publickeys
El directorio /etc/inet/ike/publickeys contiene la parte pblica de un par de claves pblica-privada y su certificado en los archivos, o ranuras. El directorio se protege en 0755 . El comando ikecert certdb rellena el directorio. La opcin -T almacena las claves en la placa Sun Crypto Accelerator 4000 o Crypto Accelerator 6000 de Sun en lugar del directorio publickeys. Las ranuras contienen, de modo codificado, el nombre distinguido X.509 de un certificado generado en otro sistema. Si est utilizando certificados autofirmados, se utiliza el certificado que se recibe del administrador del sistema remoto como entrada del comando. Si est utilizando certificados de una entidad certificadora (CA), puede instalar dos certificados firmados de sta en la base de datos. Se instala un certificado que est basado en la solicitud de firma de certificado que envi a la entidad certificadora (CA). Tambin se instala un certificado de la entidad certificadora (CA).
Directorio /etc/inet/secret/ike.privatekeys
El directorio /etc/inet/secret/ike.privatekeys contiene archivos de claves privadas que forman parte del par de claves pblica-privada, que constituye material de claves para las asociaciones de seguridad de ISAKMP. El directorio se protege en 0700. El comando ikecert certlocal rellena el directorio ike.privatekeys. Las claves privadas no son efectivas hasta que se instalan sus equivalentes de claves pblicas, certificados autofirmados o autoridades de certificacin. Los equivalentes de claves pblicas se almacenan en el directorio /etc/inet/ike/publickeys o en una placa &sca 4; o Crypto Accelerator 6000 de Sun.
Captulo 24 Intercambio de claves de Internet (referencia) 643
Directorio /etc/inet/ike/crls
El directorio /etc/inet/ike/crls contiene archivos de lista de revocacin de certificados (CRL). Cada archivo corresponde a un archivo de certificado pblico del directorio /etc/inet/ike/publickeys. Las organizaciones de PKI proporcionan las CRL para sus certificados. Puede utilizar el comando ikecert certrldb para rellenar la base de datos.
644
C A P T U L O
25
2 5
Este captulo proporciona una descripcin general del filtro IP de Oracle Solaris. Para informarse sobre las tareas del filtro IP de Oracle Solaris, consulte el Captulo 26, Filtro IP de Oracle Solaris (tareas). Este captulo contiene la informacin siguiente:
Novedades del filtro IP de Oracle Solaris en la pgina 645 Introduccin al filtro IP de Oracle Solaris en la pgina 646 Procesamiento de paquetes del filtro IP de Oracle Solaris en la pgina 647 Directrices para utilizar el filtro IP de OpenSolaris en la pgina 650 Uso de los archivos de configuracin del filtro IP de OpenSolaris en la pgina 650 Conjuntos de reglas del filtro IP de Oracle Solaris en la pgina 651 Enlaces de filtros de paquetes en la pgina 657 El filtro IP de Oracle Solaris y el mdulo pfil STREAMS en la pgina 657 IPv6 para filtro IP de Oracle Solaris en la pgina 658 Pginas del comando man del filtro IP de Oracle Solaris en la pgina 659
Los enlaces de filtros de paquetes simplifican la configuracin del filtro IP de Oracle Solaris.
645
Ahora se admite el uso de filtros de paquetes en las zonas. El uso de enlaces de filtros mejora el rendimiento del filtro IP de Oracle Solaris.
Para obtener ms informacin sobre estos enlaces, consulte Enlaces de filtros de paquetes en la pgina 657. Para conocer las tareas asociadas con los enlaces de filtros de paquetes, consulte el Captulo 26, Filtro IP de Oracle Solaris (tareas).
647
FIGURA 251
ENTRADA Filtro IP de entrada Traduccin de direcciones de red Contabilidad IP Comprobacin de cach de fragmentos Comprobacin de estado de paquetes Comprobacin de cortafuegos Comprobacin de estado de tabla
Grupos de reglas
Funcin
Ruta rpida Slo pase [Procesamiento de NCLEO TCP/IP] Filtro IP de salida Comprobacin de cach de fragmentos Comprobacin de estado de paquetes Comprobacin de cortafuegos Contabilidad IP Traduccin de direcciones de red Slo pase SALIDA Comprobacin de estado de tabla
Grupos de reglas
648
Traduccin de direcciones de red (NAT) La traduccin de una direccin IP privada a una direccin pblica distinta, o la asignacin de alias de mltiples direcciones privadas a una sola direccin pblica. NAT permite a una organizacin resolver el problema del agotamiento de direcciones IP cuando cuenta con redes y necesita acceder a Internet.
Cuentas IP Es posible configurar las reglas de entrada y salida por separado, y registrar el nmero de bytes que se transfieren. Cada vez que se produce una coincidencia de regla, el nmero de bytes del paquete se agrega a la regla y permite obtener las estadsticas de cascadas.
Comprobacin de cach de fragmentacin Si el siguiente paquete del trfico actual es un paquete y se ha permitido el paquete anterior, tambin se permitir el fragmento de paquete y se omitir la tabla de estado y la comprobacin de reglas.
Comprobacin de estado de paquete Si en una regla se incluye keep state, todos los paquetes de una sesin especfica se transfieren o bloquean automticamente, segn si la regla incluye pass o block.
Comprobacin de cortafuegos Las reglas de entrada y salida se pueden configurar por separado, y determinar si un paquete podr transferirse a travs del Filtro IP de Solaris a las rutinas TCP/IP del ncleo, o hacia la red.
Grupos Los grupos permiten escribir un conjunto de reglas a modo de rbol. Funcin Una funcin es la accin que se va a emprender. Las posibles funciones son block, pass, literal y send ICMP response.
Ruta rpida La ruta rpida seala al Filtro IP de Solaris que no debe transferir el paquete a la pila IP de UNIX para el enrutamiento, lo cual significa una reduccin de TTL.
Autenticacin IP Los paquetes que se autentican slo se transfieren una vez a travs de bucles de cortafuegos para evitar el procesamiento doble.
649
Los servicios SMF svc: /network/pfil y svc: /network/ipfilter administran el filtro IP de OpenSolaris. Para ver una descripcin completa de SMF, consulte el Captulo 18, Managing Services (Overview) de System Administration Guide: Basic Administration. Si desea informacin detallada sobre los procedimientos asociados con SMF, consulte el Captulo 19, Managing Services (Tasks) de System Administration Guide: Basic Administration. El filtro IP de OpenSolaris requiere la edicin directa de los archivos de configuracin. El filtro IP de OpenSolaris se instala con OpenSolaris. De modo predeterminado, el filtro IP de OpenSolaris no est activo en una instalacin desde cero. Para configurar los filtros, debe editar los archivos de configuracin y activar manualmente el filtro IP de OpenSolaris. Puede activar los filtros reiniciando el sistema o sondeando las interfaces con el comando ifconfig. Si desea ms informacin, consulte la pgina de comando man ifconfig(1M) Para conocer las tareas asociadas con la activacin del filtro IP de OpenSolaris, consulte Configuracin del filtro IP de Oracle Solaris en la pgina 661. Para administrar el filtro IP de OpenSolaris, debe asumir un rol que incluya el perfil de derechos de administracin del filtro IP o convertirse en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Las rutas de redes IP (IPMP) slo admiten filtros sin estado. Las configuraciones de Sun Cluster non admiten filtros con el filtro IP de OpenSolaris. Los filtros entre zonas no se admiten con el filtro IP de OpenSolaris.
650
Conjuntos de reglas de filtros de paquetes Conjuntos de reglas de traduccin de direcciones de red (NAT)
Asimismo, puede crear agrupaciones de direcciones para hacer referencia a grupos de direcciones IP. Estas agrupaciones podrn utilizarse ms adelante en un conjunto de reglas. Las agrupaciones de direcciones aceleran el procesamiento de reglas. Asimismo, facilitan la administracin de agrupaciones de direcciones de gran tamao.
se produce si el paquete coincide con una regla que contenga la palabra clave group. Si un paquete coincide con un grupo, slo se comprueban las reglas etiquetadas con el grupo.
preauth
2. Segn la accin que se lleve a cabo, la siguiente palabra debe ser in o out. Su eleccin determina si la regla de filtro de paquetes se aplica a un paquete entrante o saliente. 3. A continuacin, puede elegir en una lista de opciones. Si utiliza ms de una opcin, debe hacerlo en el orden siguiente. log quick Registra el paquete si la regla es la ltima regla coincidente. Utilice el comando ipmon para ver el registro. Ejecuta la regla que contiene la opcin quick si hay coincidencia de paquetes. Se detiene cualquier comprobacin de reglas adicional. Aplica la regla slo si el paquete se transfiere a la interfaz especificada o desde ella. Copia el paquete y enva el duplicado de nombre_interfaz a una direccin IP especificada opcionalmente. Transfiere el paquete a una cola de salida en nombre_interfaz.
4. Una vez especificadas las opciones, puede elegir entre varias palabras clave que determinan si el paquete coincide con la regla. Las siguientes palabras clave deben utilizarse en el orden que se indica.
Nota De modo predeterminado, cualquier paquete que no coincida con ninguna regla en el archivo de configuracin se transfiere a travs del filtro.
tos ttl
Filtra el paquete basndose en el valor de tipo de servicio expresado como entero decimal o hexadecimal. Hace coincidir el paquete basndose en su valor de tiempo de vida. El valor de tiempo de vida que se guarda en un paquete indica el tiempo que puede permanecer un paquete en la red antes de que se descarte. Coincide con un protocolo especfico. Puede utilizar cualquier nombre de protocolo especificado en el archivo /etc/protocols, o utilizar un nmero decimal para representar el protocolo. La palabra clave tcp/udp se puede utilizar para hacer coincidir un paquete TCP o UDP. Hace coincidir cualquiera o todos los elementos siguientes: la direccin IP de origen, la direccin IP de destino y el nmero de puerto. La palabra clave all se utiliza para aceptar paquetes de todos los orgenes y con todos los destinos. Hace coincidir los atributos especificados asociados con el paquete. Inserte las palabras not o no delante de la palabra clave para que el paquete coincida slo si no est presente la opcin. Se utiliza para que TCP filtra basndose en los indicadores TCP configurados. Para obtener ms informacin sobre los indicadores TCP, consulte la pgina del comando man ipf(4). Filtra de acuerdo con el tipo de ICMP. Esta palabra clave slo se utiliza cuando la opcin proto se configura como icmp y no se utiliza si se usa la opcin flags. Determina la informacin que se guarda para un paquete. Las opciones_guardado disponibles incluyen las opciones state y frags. La opcin state guarda informacin sobre la sesin y se puede guardar en paquetes TCP, UDP e ICMP. La opcin frags guarda informacin sobre los fragmentos de paquetes y
proto
from/to/all/ any
with
flags
icmp-type
keep opciones_guardado
653
la aplica a fragmentos posteriores. opciones_guardado permite la transferencia de los paquetes coincidentes sin pasar por la lista de control de acceso. head nmero group nmero Crea un grupo para las reglas de filtros, que se indica mediante el nmero nmero. Agrega la regla al nmero de grupo nmero en lugar de agregarla al grupo predeterminado. Todas las reglas de filtros se colocan en el grupo 0 si no se especifica otro.
El ejemplo siguiente ilustra cmo agrupar la sintaxis de reglas de filtros de paquetes para crear una regla. Para bloquear el trfico entrante de la direccin IP 192.168.0.0/16, debe incluir la siguiente regla en la lista:
block in quick from 192.168.0.0/16 to any
Para ver la gramtica y sintaxis completa que se utiliza para escribir reglas de filtros de paquetes, consulte la pgina del comando man ipf(4) Para conocer las tareas asociadas con los filtros de paquetes, consulte Administracin de conjuntos de reglas de filtros de paquetes para el filtro IP de Oracle Solaris en la pgina 676. Para ver una explicacin del esquema de direcciones IP (192.168.0.0/16) de este ejemplo, consulte el Captulo 2, Planificacin de la red TCP/IP (tareas).
654
2. Despus del comando, la siguiente palabra es el nombre de la interfaz, por ejemplo hme0. 3. A continuacin, puede elegir entre una serie de parmetros, que determinan la configuracin de NAT. Algunos de los parmetros son: ipmask dstipmask mapport Designa la mscara de red. Designa la direccin a la que se traduce ipmask. Designa los protocolos tcp, udp o tcp/udp, junto con una serie de nmeros de puerto.
El ejemplo siguiente muestra cmo agrupar la sintaxis de reglas NAT para crear una regla NAT. Para volver a escribir un paquete saliente en el dispositivo de0 con una direccin de origen de 192.168.1.0/24 y mostrar externamente su direccin de origen como 10.1.0.0/16, debe incluir la siguiente regla en el conjunto de reglas NAT:
map de0 192.168.1.0/24 -> 10.1.0.0/16
Para ver la gramtica y sintaxis completa que se utilizan para escribir las reglas NAT, consulta la pgina del comando man ipnat(4).
655
proporcionan los procesos para reducir el tiempo necesario para hacer coincidir las direcciones IP con las reglas. Asimismo, facilitan la administracin de grupos de direcciones de gran tamao. Las reglas de configuracin de agrupaciones de direcciones residen en el archivo ippool.conf. Si desea que las reglas de agrupaciones de direcciones se carguen durante el inicio, cree un archivo denominado /etc/ipf/ippool.conf en el que colocar las reglas de agrupaciones de direcciones. Si no desea que las reglas de agrupaciones de direcciones se carguen durante el inicio, coloque el archivo ippool.conf en la ubicacin que prefiera y active manualmente los filtros de paquetes con el comando ippool.
Define la referencia para las diferentes direcciones. Especifica el rol de la agrupacin en el filtro IP de Oracle Solaris. En este punto, el nico rol al que se puede hacer referencia es ipf. Especifica el formato de almacenamiento de la agrupacin. Especifica el nmero de referencia que utiliza la regla de filtros.
Por ejemplo, para hacer referencia al grupo de direcciones 10.1.1.1 y 10.1.1.2 y la red 192.16.1.0 como nmero de agrupacin 13, debe incluir la siguiente regla en el archivo de configuracin de agrupaciones de direcciones:
table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24 };
A continuacin, para hacer referencia al nmero de agrupacin 13 en una regla de filtros, debe estructurar la regla de un modo similar al siguiente:
pass in from pool/13 to any
Observe que debe cargar el archivo de agrupaciones antes de cargar el archivo de reglas que contiene una referencia a la agrupacin. Si no lo hace, la agrupacin no estar definida, como en el ejemplo siguiente:
# ipfstat -io empty list for ipfilter(out) block in from pool/13(!) to any
Aunque agregue la agrupacin ms adelante, no se actualizar el conjunto de reglas del ncleo. Tambin necesita volver a cargar el archivo de reglas que hace referencia a la agrupacin.
656
Para ver la gramtica y sintaxis completas que se utilizan para escribir las reglas de filtros de paquetes, consulte la pgina del comando man ippool(4).
Para conocer las tareas asociadas con la activacin del filtro IP de Oracle Solaris, consulte el Captulo 26, Filtro IP de Oracle Solaris (tareas).
Oracle Solaris 10
A partir de Solaris 10 7/07, el mdulo pfil se ha sustituido por los enlaces de filtros de paquetes y ya no se utiliza con el filtro IP de Oracle Solaris.
657
El mdulo pfil STREAMS es necesario para habilitar el filtro IP de Oracle Solaris. Sin embargo, el filtro IP de Oracle Solaris no proporciona un mecanismo automtico para utilizar el mdulo en cada interfaz. En lugar de ello, el mdulo pfil STREAMS lo administra el servicio SMF svc:/network/pfil. Para activar los filtros en una interfaz de red, primero debe configurar el archivo pfil.ap. A continuacin, active el servicio svc:/network/pfil para proporcionar el mdulo pfil STREAMS a la interfaz de red. Para que el mdulo STREAMS surta efecto, es necesario reiniciar el sistema o desconectar y volver a sondear cada interfaz de red en la que desee aplicar los filtros. Para activar las funciones de los filtros de paquetes IPv6, debe sondear la versin inet6 de la interfaz. Si no se encuentra ningn mdulo pfil para las interfaces de red, los servicios SMF se colocan en el estado de mantenimiento. La causa ms comn de esta situacin es un archivo /etc/ipf/pfil.ap editado de forma incorrecta. Si el servicio se coloca en el modo de mantenimiento, su aparicin se registra en los archivos de registro de filtros. Para ver las tareas asociadas con la activacin del filtro IP de Oracle Solaris, consulte Configuracin del filtro IP de Oracle Solaris en la pgina 661.
Las tareas del filtro IP asociadas con IPv6 no son muy diferentes de IPv4. La diferencia ms notable es el uso de la opcin -6 con determinados comandos. Tanto los comandos ipf como ipfstat incluyen la opcin -6 para utilizar los filtros de paquetes IPv6. Utilice la opcin -6 con el comando ipf para cargar y vaciar las reglas de filtros de paquetes IPv6. Para ver las estadsticas de IPv6, utilice la opcin -6 con el comando ipfstat. Los comandos ipmon e ippool tambin admiten IPv6, aunque no hay ninguna opcin asociada para la compatibilidad con IPv6. El comando ipmon se ha mejorado para permitir el registro de paquetes IPv6. El
658 Gua de administracin del sistema: servicios IP Septiembre de 2010
comando ippool admite las agrupaciones con las direcciones IPv6. Puede crear agrupaciones slo de direcciones IPv4 o IPv6, o una agrupacin que contenga tanto direcciones IPv4 como IPv6. Puede utilizar el archivo ipf6.conf para crear conjuntos de reglas de filtros de paquetes para IPv6. De modo predeterminado, el archivo de configuracin ipf6.conf se incluye en el directorio /etc/ipf. Al igual que con los dems archivos de configuracin de filtros, el archivo ipf6.conf se carga automticamente durante el proceso de inicio cuando se almacena en el directorio /etc/ipf. Tambin puede crear y guardar un archivo de configuracin IPv6 en otra ubicacin y cargar el archivo manualmente.
Nota La traduccin de direcciones de red (NAT) no admite IPv6.
Una vez configuradas las reglas de filtros de paquetes para IPv6, active las funciones de filtros de paquetes IPv6 sondeando la versin inet6 de la interfaz. Para obtener ms informacin sobre IPv6, consulte el Captulo 3, Introduccin a IPv6 (descripcin general). Para conocer las tareas asociadas con el filtro IP de Oracle Solaris, consulte el Captulo 26, Filtro IP de Oracle Solaris (tareas).
ipf(1M)
Utilice el comando ipf para: Trabajar con conjuntos de reglas de filtros de paquetes.
Desactivar y activar los filtros. Restablecer las estadsticas y volver a sincronizar la lista de interfaces del ncleo con la lista de estado de la interfaz actual.
ipf(4)
Contiene la gramtica y sintaxis para crear reglas de filtros de paquetes del filtro IP de Oracle Solaris. Proporciona informacin de licencia del filtro IP de cdigo abierto. Utilice el comando ipfs para guardar y restablecer la informacin NAT y la de la tabla de estado tras los reinicios.
ipfilter(5) ipfs(1M)
659
Descripcin
ipfstat(1M)
Utilice el comando ipfstat para recuperar y mostrar las estadsticas de procesamiento de paquetes. Utilice el comando ipmon para abrir el dispositivo de registro y ver los paquetes registrados para NAT y los filtros de paquetes. Utilice el comando ipnat para: Trabajar con reglas NAT. Recuperar y ver las estadsticas de NAT. Contiene la gramtica y sintaxis para crear reglas NAT. Utilice el comando ippool para crear y administrar agrupaciones de direcciones. Contiene la gramtica y sintaxis para crear agrupaciones de direcciones del filtro IP de Oracle Solaris. Muestra los parmetros de filtros actuales del mdulo pfil STREAMS y los valores actuales de los parmetros ajustables.
ipmon(1M)
ipnat(1M)
ipnat(4) ippool(1M)
ippool(4)
ndd(1M)
660
C A P T U L O
26
2 6
Este captulo proporciona instrucciones detalladas para las tareas del Filtro IP de Solaris. Para obtener informacin general sobre el filtro IP de Oracle Solaris, consulte el Captulo 25, Filtro IP de Oracle Solaris (descripcin general). Este captulo contiene la informacin siguiente:
Configuracin del filtro IP de Oracle Solaris en la pgina 661 Desactivacin e inhabilitacin de filtro IP de Oracle Solaris en la pgina 665 Mdulo pfil en la pgina 667 Conjuntos de reglas del filtro IP de Oracle Solaris en la pgina 674 Cmo visualizar las estadsticas e informacin sobre el filtro IP de Oracle Solaris en la pgina 687 Archivos de registro para el filtro IP de Oracle Solaris en la pgina 690 Creacin y edicin de archivos de configuracin del filtro IP de Oracle Solaris en la pgina 694
661
El filtro IP de Oracle Solaris no est Cmo activar el filtro IP de Oracle activado de modo predeterminado. Solaris en la pgina 662 Debe activarlo manualmente o utilizar los archivos de configuracin del directorio /etc/ipf/ y reiniciar el sistema. A partir de la versin Solaris 10 7/07, los enlaces de filtros de paquetes reemplazan al mdulo pfil para activar el filtro IP de Oracle Solaris. Puede activar o desactivar el filtro IP de Oracle Solaris reiniciando el sistema o utilizando el comando ipf. Cmo reactivar el filtro IP de Oracle Solaris en la pgina 663
De modo opcional, puede activar el Cmo activar los filtros en bucle filtrado en bucle, por ejemplo, para en la pgina 664 filtrar el trfico entre zonas.
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Cree un conjunto de reglas de filtros de paquetes. El conjunto de reglas de filtros de paquetes contiene reglas de filtros de paquetes que utiliza el filtro IP de Oracle Solaris. Si desea cargar las reglas de filtros de paquetes en el momento de iniciar, edite el archivo /etc/ipf/ipf.conf para implementar los filtros de paquetes IPv4. Utilice el archivo /etc/ipf/ipf6.conf para las reglas de filtros de paquetes IPv6. Si no desea cargar las reglas de filtros de paquetes al iniciar, colquelas en un archivo y active manualmente los filtros de paquetes. Para obtener informacin sobre los filtros de paquetes, consulte Uso de la funcin de filtros de paquetes del filtro IP de Oracle Solaris en la pgina 651. Para obtener
662
informacin sobre cmo trabajar con los archivos de configuracin, consulte Creacin y edicin de archivos de configuracin del filtro IP de Oracle Solaris en la pgina 694.
3
Cree un archivo ipnat.conf si desea utilizar la traduccin de direcciones de red. Si desea que las reglas NAT se carguen durante el inicio, cree un archivo denominado /etc/ipf/ipnat.conf en el que colocar las reglas NAT. Si no desea cargar las reglas NAT al iniciar, coloque el archivo ipnat.conf en la ubicacin que desee y active manualmente las reglas NAT. Para obtener ms informacin sobre NAT, consulte Uso de la funcin NAT del filtro IP de Oracle Solaris en la pgina 654.
4
(Opcional) Cree un archivo de configuracin de agrupaciones de direcciones. Cree un archivo ipool.conf si desea hacer referencia a una agrupacin de direcciones como una nica agrupacin. Si desea que el archivo de configuracin de agrupaciones de direcciones se cargue al inicio, cree un archivo denominado /etc/ipf/ippool.conf en el que colocar la agrupacin de direcciones. Si no desea cargar el archivo de configuracin de la agrupacin de direcciones al iniciar, coloque el archivo ippool.conf en la ubicacin que desee y active las reglas manualmente. Una agrupacin de direcciones slo puede contener direcciones IPv4 o IPv6. Tambin puede contener tanto direcciones IPv4 como direcciones IPv6. Para obtener ms informacin sobre las agrupaciones de direcciones, consulte Uso de la funcin de agrupaciones de direcciones del filtro IP de Oracle Solaris en la pgina 655.
(Opcional) Active el filtro de trfico en bucle. Si desea filtrar el trfico entre zonas que estn configuradas en el sistema, debe activar los filtros en bucle. Consulte Cmo activar los filtros en bucle en la pgina 664. Asegrese de definir tambin los conjuntos de reglas adecuados que se aplican a las zonas.
663
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Habilite el filtro IP de Oracle Solaris y los filtros utilizando uno de los mtodos siguientes:
Reinicie el equipo.
# reboot Nota Al activar el filtro IP, tras reiniciar se cargan los siguientes archivos si estn presentes: el archivo /etc/ipf/ipf.conf, el archivo /etc/ipf/ipf6.conf cuando se utiliza IPv6 o el archivo /etc/ipf/ipnat.conf.
Ejecute la siguiente serie de comandos para habilitar el filtro IP de Oracle Solaris y los filtros: a. Habilite el filtro IP de Oracle Solaris.
# ipf -E
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Detenga el filtro IP de Oracle Solaris si se est ejecutando.
# svcadm disable network/ipfilter
664
Edite los archivos /etc/ipf.conf o /etc/ipf6.conf agregando la lnea siguiente al principio del archivo:
set intercept_loopback true;
Esta lnea debe preceder a todas las reglas de filtros IP que se definan en el archivo. Sin embargo, puede insertar comentarios delante de la linea, como en el ejemplo siguiente:
# # Enable loopback filtering to filter between zones # set intercept_loopback true; # # Define policy # block in all block out all <other rules> ... 4
Para realizar pruebas Para resolver problemas del sistema cuando se cree que los causa el filtro IP de Oracle Solaris
El siguiente mapa de tareas identifica los procedimientos asociados con la desactivacin de las funciones de filtro IP de Oracle Solaris.
TABLA 262 Tarea
Desactive los filtros de paquetes utilizando el comando ipf. Desactive NAT utilizando el comando ipnat.
Cmo desactivar los filtros de paquetes en la pgina 666 Cmo desactivar NAT en la pgina 666
665
(Continuacin)
Para obtener instrucciones
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Use uno de los mtodos siguientes para desactivar las reglas de filtro IP de Oracle Solaris:
Este comando desactiva las reglas de filtros de paquetes para los paquetes entrantes.
Este comando desactiva las reglas de filtros de paquetes para los paquetes salientes.
666
Mdulo pfil
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Elimine NAT del ncleo.
# ipnat -FC
La opcin -C elimina todas las entradas de la lista de reglas NAT actual. La opcin -F elimina todas las entradas activas de la tabla de traducciones NAT activa, que muestra las asignaciones NAT activas.
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Desactive los filtros de paquetes y permita a todos los paquetes pasar a la red.
# ipf D Nota El comando ipf -D vaca las reglas del conjunto de reglas. Al volver a activar los filtros, debe agregar reglas al conjunto de reglas.
Mdulo pfil
En esta seccin se describe cmo utilizar el mdulo pfil STREAMS para activar o desactivar el filtro IP de Oracle Solaris y cmo ver las estadsticas de pfil. Los procedimientos slo se aplican a los sistemas que ejecutan una de las siguientes versiones de Oracle Solaris 10.
Mdulo pfil
El siguiente mapa de tareas identifica los procedimientos asociados con la configuracin del mdulo pfil.
TABLA 263 Tarea
El filtro IP de Oracle Solaris no est Cmo activar el filtro IP de Oracle activado de modo predeterminado. Solaris en versiones anteriores de Debe activarlo manualmente o Oracle Solaris 10 en la pgina 668 utilizar los archivos de configuracin del directorio /etc/ipf/ y reiniciar el sistema. Configure el mdulo pfil para activar los filtros de paquetes e una tarjeta NIC Elimine una tarjeta NIC y permita que todos los paquetes pasen a travs de ella. Visualice las estadsticas del mdulo pfil para poder resolver los problemas relativos al filtro IP de Oracle Solaris utilizando el comando ndd. Cmo activar una NIC para los filtros de paquetes en la pgina 671 Cmo desactivar el filtro IP de Oracle Solaris en una NIC en la pgina 672 Cmo visualizar las estadsticas de pfil para el filtro IP de Oracle Solaris en la pgina 674
Activar una NIC para los filtros de paquetes Desactivar el filtro IP de Oracle Solaris en una tarjeta NIC Visualice las estadsticas de pfil.
Cmo activar el filtro IP de Oracle Solaris en la pgina 662 que utiliza los enlaces de filtros de paquetes.
1
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
668
Mdulo pfil
Inicie el editor de archivos que prefiera y edite el archivo /etc/ipf/pfil.ap . Este archivo contiene los nombres de las tarjetas de interfaz de red (NIC) del host. De modo predeterminado, los nombres estn comentados. Elimine el comentario de los nombres de dispositivo que llevan el trfico de red que desea filtrar. Si el nombre de la NIC del sistema no aparece en la lista, agregue una lnea para especificar la tarjeta NIC.
# vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le #qe hme #qfe #eri #ce #bge #be #vge #ge #nf #fa #ci #el #ipdptp #lane #dmfe -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 pfil pfil pfil (Device has been uncommented for filtering) pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil
Active los cambios en el archivo /etc/ipf/pfil.ap reiniciando la instancia del servicio network/pfil.
# svcadm restart network/pfil
Cree un conjunto de reglas de filtros de paquetes. El conjunto de reglas de filtros de paquetes contiene reglas de filtros de paquetes que utiliza el filtro IP de Oracle Solaris. Si desea cargar las reglas de filtros de paquetes en el momento de iniciar, edite el archivo /etc/ipf/ipf.conf para implementar los filtros de paquetes IPv4. Utilice el archivo /etc/ipf/ipf6.conf para las reglas de filtros de paquetes IPv6. Si no desea cargar las reglas de filtros de paquetes al iniciar, colquelas en un archivo y active manualmente los filtros de paquetes. Para obtener informacin sobre los filtros de paquetes, consulte Uso de la funcin de filtros de paquetes del filtro IP de Oracle Solaris en la pgina 651. Para obtener informacin sobre cmo trabajar con los archivos de configuracin, consulte Creacin y edicin de archivos de configuracin del filtro IP de Oracle Solaris en la pgina 694.
Mdulo pfil
Cree un archivo ipnat.conf si desea utilizar la traduccin de direcciones de red. Si desea que las reglas NAT se carguen durante el inicio, cree un archivo denominado /etc/ipf/ipnat.conf en el que colocar las reglas NAT. Si no desea cargar las reglas NAT al iniciar, coloque el archivo ipnat.conf en la ubicacin que desee y active manualmente las reglas NAT. Para obtener ms informacin sobre NAT, consulte Uso de la funcin NAT del filtro IP de Oracle Solaris en la pgina 654.
6
(Opcional) Cree un archivo de configuracin de agrupaciones de direcciones. Cree un archivo ipool.conf si desea hacer referencia a una agrupacin de direcciones como una nica agrupacin. Si desea que el archivo de configuracin de agrupaciones de direcciones se cargue al inicio, cree un archivo denominado /etc/ipf/ippool.conf en el que colocar la agrupacin de direcciones. Si no desea cargar el archivo de configuracin de la agrupacin de direcciones al iniciar, coloque el archivo ippool.conf en la ubicacin que desee y active las reglas manualmente. Una agrupacin de direcciones slo puede contener direcciones IPv4 o IPv6. Tambin puede contener tanto direcciones IPv4 como direcciones IPv6. Para obtener ms informacin sobre las agrupaciones de direcciones, consulte Uso de la funcin de agrupaciones de direcciones del filtro IP de Oracle Solaris en la pgina 655.
Active las tarjetas NIC utilizando los comandos ifconfig unplumb e ifconfig plumb. A continuacin, active el filtro IP. La versin inet6 de la interfaz debe estar sondeada para poder implementar los filtros de paquetes IPv6.
# # # # # ifconfig hme0 ifconfig hme0 ifconfig hme0 ifconfig hme0 svcadm enable unplumb plumb 192.168.1.20 netmask 255.255.255.0 up inte6 unplumb inet6 plumb fec3:f849::1/96 up network/ipfilter
Para obtener ms informacin sobre el comando ifconfig, consulte la pgina del comando man ifconfig(1M).
670 Gua de administracin del sistema: servicios IP Septiembre de 2010
Mdulo pfil
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Inicie el editor de archivos que prefiera y edite el archivo /etc/ipf/pfil.ap . Este archivo contiene los nombres de las NIC del host. De modo predeterminado, los nombres estn comentados. Elimine el comentario de los nombres de dispositivo que llevan el trfico de red que desea filtrar. Si el nombre de la NIC del sistema no aparece en la lista, agregue una lnea para especificar la tarjeta NIC.
# vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le #qe hme #qfe #eri #ce #bge #be #vge #ge #nf #fa #ci #el #ipdptp #lane #dmfe -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 pfil pfil pfil (Device has been uncommented for filtering) pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil
Active los cambios en el archivo /etc/ipf/pfil.ap reiniciando la instancia del servicio network/pfil.
# svcadm restart network/pfil
Reinicie el equipo.
671
Mdulo pfil
# reboot Nota Es necesario reiniciar si no puede utilizar los comandos ifconfig unplumb y ifconfig plumb con seguridad en las tarjetas NIC.
Active las NIC que desee filtrar utilizando el comando ifconfig con las opciones unplumb y plumb. La versin inet6 de cada interfaz debe estar sondeada para poder implementar los filtros de paquetes IPv6.
# # # # ifconfig ifconfig ifconfig ifconfig hme0 hme0 hme0 hme0 unplumb plumb 192.168.1.20 netmask 255.255.255.0 up inet6 unplumb inet6 plumb fec3:f840::1/96 up
Para obtener ms informacin sobre el comando ifconfig, consulte la pgina del comando man ifconfig(1M).
672
Mdulo pfil
#ce #bge #be #vge #ge #nf #fa #ci #el #ipdptp #lane #dmfe 3
-1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1
0 0 0 0 0 0 0 0 0 0 0 0
pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil
Reinicie el equipo.
# reboot Nota Es necesario reiniciar si no puede utilizar los comandos ifconfig unplumb y ifconfig plumb con seguridad en las tarjetas NIC.
Desactive las tarjetas NIC utilizando el comando ifconfig con las opciones unplumb y plumb. La versin inet6 de cada interfaz no debe estar sondeada para poder desactivar los filtros de paquetes IPv6. realice los siguientes pasos. El dispositivo de ejemplo del sistema es hme: a. Identifique el "major number" del dispositivo que est desactivando.
# grep hme /etc/name_to_major hme 7
Para obtener ms informacin sobre el comando ifconfig, consulte la pgina del comando man ifconfig(1M).
673
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Visualice las estadsticas de pfil.
# ndd -get /dev/pfil qif_status
Ejemplo 261
Administrar, ver y modificar los conjuntos de reglas de filtros de paquetes del filtro IP de Oracle Solaris. Visualiza un conjunto de reglas de filtros de paquetes activo. Visualiza un conjunto de reglas de filtros de paquetes inactivo.
Administracin de conjuntos de reglas de filtros de paquetes para el filtro IP de Oracle Solaris en la pgina 676 Cmo visualizar el conjunto de reglas de filtros de paquetes activo en la pgina 676 Cmo visualizar el conjunto de reglas de filtros de paquetes inactivo en la pgina 677
674
(Continuacin)
Activa un conjunto de reglas activo Cmo activar un conjunto de distinto. reglas de filtros de paquetes diferente o actualizado en la pgina 677 Elimina un conjunto de reglas. Cmo eliminar un conjunto de reglas de filtros de paquetes en la pgina 678 Cmo anexar reglas al conjunto de reglas de filtros de paquetes activo en la pgina 679 Cmo anexar reglas al conjunto de reglas de filtros de paquetes inactivo en la pgina 680 Pasa de los conjuntos de reglas activos a los inactivos y viceversa. Elimina un conjunto de reglas inactivo del ncleo. Cmo alternar entre los conjuntos de reglas de filtros de paquetes activo e inactivo en la pgina 681 Cmo eliminar un conjunto de reglas de filtros de paquetes inactivo del ncleo en la pgina 682 Administracin de reglas NAT para el filtro IP de Oracle Solaris en la pgina 682 Visualiza las reglas NAT activas. Elimina las reglas NAT. Agrega las reglas adicionales a las reglas NAT. Administrar, ver y modificar las agrupaciones de direcciones del filtro IP de Oracle Solaris. Visualiza las agrupaciones de direcciones activas. Elimina una agrupacin de direcciones. Cmo ver las reglas NAT activas en la pgina 683 Cmo eliminar reglas NAT en la pgina 683 Como anexar reglas a las reglas NAT en la pgina 684 Administracin de agrupaciones de direcciones para el filtro IP de Oracle Solaris en la pgina 685 Cmo ver las agrupaciones de direcciones activas en la pgina 685 Cmo eliminar una agrupacin de direcciones en la pgina 685
Administrar, ver y modificar las reglas NAT del filtro IP de Oracle Solaris.
675
(Continuacin)
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Ejemplo 262
676
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Visualice el conjunto de reglas de filtros de paquetes inactivo.
# ipfstat -I -io
Ejemplo 263
actualizado
Siga este procedimiento para llevar a cabo una de las tareas siguientes:
Activar un conjunto de reglas de filtros de paquetes que no sea el que est utilizando el filtro IP de Oracle Solaris. Volver a cargar el mismo conjunto de reglas de filtros que se ha actualizado.
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Elija uno de estos pasos:
Cree un conjunto de reglas en un archivo diferente si desea activar un conjunto de reglas completamente distinto. Actualice el conjunto de reglas actual editando el archivo de configuracin que lo contiene.
El nombre_archivo puede ser el nuevo archivo con el nuevo conjunto de reglas o el archivo actualizado que contenga el conjunto de reglas activo.
Captulo 26 Filtro IP de Oracle Solaris (tareas) 677
El conjunto de reglas activo se elimina del ncleo. Las reglas del archivo nombre_archivo pasan a ser el conjunto de reglas activo.
Nota Es preciso ejecutar el comando aunque est volviendo a cargar el archivo de configuracin actual. De lo contrario, el antiguo conjunto de reglas seguir funcionando, y no se aplicar el conjunto de reglas modificado en el archivo de configuracin actualizado.
No utilice comandos como ipf -D o svcadm restart para cargar el conjunto de reglas actualizado. Dichos comandos ponen en peligro la red al desactivar el cortafuegos antes de cargar el nuevo conjunto de reglas.
Ejemplo 264
Ejemplo 265
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Gua de administracin del sistema: servicios IP Septiembre de 2010
678
-a -i -o
Ejemplo 266
Elimina todas las reglas de filtros del conjunto de reglas. Elimina las reglas de filtros de los paquetes entrantes. Elimina las reglas de filtros de los paquetes salientes.
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Utilice uno de os mtodos siguientes para anexar reglas al conjunto de reglas activo:
Ejecute los comandos siguientes: a. Cree un conjunto de reglas en el archivo que desee. b. Agregue las reglas que ha creado al conjunto de reglas activo.
# ipf -f filename
Las reglas de nombre_archivo se agregan al final del conjunto de reglas activo. Dado que el Filtro IP de Solaris utiliza un algoritmo de "ltima regla coincidente", las reglas que agregue determinan las prioridades de los filtros, a menos que utilice la palabra clave quick. Si el paquete coincide con una regla que contiene la palabra clave quick, se lleva a cabo la accin de dicha regla y no se comprueban las reglas subsiguientes.
679
Ejemplo 267
inactivo
1
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
2 3
Cree un conjunto de reglas en el archivo que desee. Agregue las reglas que ha creado al conjunto de reglas inactivo.
# ipf -I -f filename
Las reglas de nombre_archivo se agregan al final del conjunto de reglas inactivo. Dado que el Filtro IP de Solaris utiliza un algoritmo de "ltima regla coincidente", las reglas que agregue determinan las prioridades de los filtros, a menos que utilice la palabra clave quick. Si el paquete coincide con una regla que contiene la palabra clave quick, se lleva a cabo la accin de dicha regla y no se comprueban las reglas subsiguientes.
Ejemplo 268
680
activo e inactivo
1
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Alterne los conjuntos de reglas activo e inactivo.
# ipf -s
Este comando permite alternar entre los conjuntos de reglas activo e inactivo del ncleo. Si el conjunto de reglas inactivo est vaco, no se aplicar ningn filtro de paquetes.
Ejemplo 269
Cmo alternar entre los conjuntos de reglas de filtros de paquetes activo e inactivo
El ejemplo siguiente muestra cmo el uso del comando ipf -s convierte el conjunto de reglas inactivo en el conjunto activo y viceversa.
Antes de ejecutar el comando ipf -s, el resultado del comando ipfstat -I -io muestra las reglas en el conjunto de reglas inactivo. El resultado del comando ipfstat - io muestra las reglas en el conjunto de reglas activo.
# ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any # ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any
Despus de ejecutar el comando ipf -s, el resultado de los comandos ipfstat -I -io y ipfstat -io muestra que el contenido de los dos conjuntos de reglas ha cambiado.
# ipf -s Set 1 now inactive # ipfstat -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any # ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any
681
ncleo
1
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Especifique el conjunto de reglas inactivo en el comando "flush all".
# ipf -I -Fa
Ejemplo 2610
682
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Visualice las reglas NAT activas.
# ipnat -l
Ejemplo 2611
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Ejemplo 2612
683
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Utilice uno de os mtodos siguientes para anexar reglas al conjunto de reglas activo:
Anexe reglas al conjunto de reglas NAT en la lnea de comandos con el comando ipnat -f -.
# echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -
Ejecute los comandos siguientes: a. Cree reglas NAT adicionales en el archivo que desee. b. Agregue las reglas que ha creado al conjunto de reglas NAT activo.
# ipnat -f filename
684
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Ejemplo 2614
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Elimine las entradas de la agrupacin de direcciones actual.
# ippool -F
Ejemplo 2615
685
# ippool -l table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; }; # ippool -F 1 object flushed # ippool -l
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Utilice uno de os mtodos siguientes para anexar reglas al conjunto de reglas activo:
Ejecute los comandos siguientes: a. Cree agrupaciones de direcciones adicionales en el archivo que desee. b. Agregue las reglas que ha creado al conjunto de direcciones activo.
# ippool -f filename
686
Cmo visualizar las estadsticas e informacin sobre el filtro IP de Oracle Solaris (mapa de
Descripcin Para obtener instrucciones
tareas)
Tarea
Visualiza las tablas de estado para obtener informacin sobre los filtros de paquetes con el comando ipfstat.
Cmo ver las tablas de estado para el filtro IP de Oracle Solaris en la pgina 687
Visualiza las estadsticas sobre el Cmo ver las tablas de estado para estado de los paquetes utilizando el el filtro IP de Oracle Solaris comando ipfstat - s. en la pgina 688 Visualiza las estadsticas de NAT utilizando el comando ipnat -s. Visualiza las estadsticas de la agrupacin de direcciones utilizando el comando ippool -s. Cmo visualizar las estadsticas de NAT para el filtro IP de Oracle Solaris en la pgina 689 Cmo visualizar las estadsticas de la agrupacin de direcciones para el filtro IP de Oracle Solaris en la pgina 689
Ejemplo 2617
# ipfstat bad packets: in 0 out 0 input packets: blocked 160 passed 11 nomatch 1 counted 0 short 0 output packets: blocked 0 passed 13681 nomatch 6844 counted 0 short 0 input packets logged: blocked 0 passed 0 output packets logged: blocked 0 passed 0 packets logged: input 0 output 0 log failures: input 0 output 0 fragment state(in): kept 0 lost 0 fragment state(out): kept 0 lost 0 packet state(in): kept 0 lost 0 packet state(out): kept 0 lost 0 ICMP replies: 0 TCP RSTs sent: 0 Invalid source(in): 0 Result cache hits(in): 152 (out): 6837 IN Pullups succeeded: 0 failed: 0 OUT Pullups succeeded: 0 failed: 0 Fastroute successes: 0 failures: 0 TCP cksum fails(in): 0 (out): 0 IPF Ticks: 14341469 Packet log flags set: (0) none
Ejemplo 2618
688
0 expired 0 closed State logging enabled State table bucket statistics: 0 in use 0.00% bucket usage 0 minimal length 0 maximal length 0.000 average length
Ejemplo 2619
Cmo visualizar las estadsticas de la agrupacin de direcciones para el filtro IP de Oracle Solaris
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Captulo 26 Filtro IP de Oracle Solaris (tareas) 689
Ejemplo 2620
Crea un archivo de registro del filtro IP de Oracle Solaris independiente. Visualiza el estado, la NAT y los archivos de registro normales utilizando el comando ipmon. Elimine el contenido del bfer de registro de paquetes utilizando el comando ipmon - F. Guarda los paquetes registrados en un archivo para poder consultarlos posteriormente.
Cmo configurar un archivo de registro para el filtro IP de Oracle Solaris en la pgina 690 Cmo visualizar los archivos de registro del filtro IP de Oracle Solaris en la pgina 691 Cmo vaciar el archivo de registro de paquetes en la pgina 693 Cmo guardar paquetes registrados en un archivo en la pgina 693
690
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Ejemplo 2621
En la lnea de comandos:
# touch /var/log/ipmon.log # svcadm restart system-log
Antes de empezar
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Visualice el estado, la NAT o los archivos de registro normales. Para ver un archivo de registro, escriba el comando siguiente con la opcin adecuada:
# ipmon -o [S|N|I] filename
S N I
Muestra el archivo de registro de estado. Muestra al archivo de registro de NAT. Muestra el archivo de registro de IP normal.
Para ver todos los archivos de estado, NAT y registro normal, utilice todas las opciones:
# ipmon -o SNI filename
Si ha detenido manualmente el daemon ipmon en primer lugar, tambin puede utilizar el siguiente comando para ver los archivos de registro de estado, NAT y filtro IP de Oracle Solaris:
# ipmon -a filename Nota No utilice la sintaxis ipmon -a si el daemon ipmon sigue ejecutndose. Normalmente,
el daemon se inicia automticamente durante el inicio del sistema. Al ejecutar el comando ipmon -a tambin se abre otra copia de ipmon. En tal caso, ambas copias leen el mismo registro, y slo una obtiene un mensaje de registro especfico. Si desea ms informacin sobre cmo visualizar archivos de registro, consulte la pgina del comando man ipmon(1M).
Ejemplo 2622
o
# pkill ipmon # ipmon -aD /var/ipmon.log 02/09/2004 15:27:20.606626 hme0 @0:1 p 129.146.157.149 -> 129.146.157.145 PR icmp len 20 84 icmp echo/0 IN
692 Gua de administracin del sistema: servicios IP Septiembre de 2010
Ejemplo 2623
Siga registrando paquetes en el archivo nombre_archivo hasta interrumpir el procedimiento escribiendo Control-C para que vuelva a aparecer la lnea de comandos.
Ejemplo 2624
693
# cat /dev/ipl > /tmp/logfile ^C# # ipmon -f /tmp/logfile 02/09/2004 15:30:28.708294 hme0 @0:1 p 129.146.157.149,33923 129.146.157.145,23 PR tcp len 20 52 -S IN 02/09/2004 15:30:28.708708 hme0 @0:1 p 129.146.157.149,33923 129.146.157.145,23 PR tcp len 20 40 -A IN 02/09/2004 15:30:28.792611 hme0 @0:1 p 129.146.157.149,33923 129.146.157.145,23 PR tcp len 20 70 -AP IN 02/09/2004 15:30:28.872000 hme0 @0:1 p 129.146.157.149,33923 129.146.157.145,23 PR tcp len 20 40 -A IN 02/09/2004 15:30:28.872142 hme0 @0:1 p 129.146.157.149,33923 129.146.157.145,23 PR tcp len 20 43 -AP IN 02/09/2004 15:30:28.872808 hme0 @0:1 p 129.146.157.149,33923 129.146.157.145,23 PR tcp len 20 40 -A IN 02/09/2004 15:30:28.872951 hme0 @0:1 p 129.146.157.149,33923 129.146.157.145,23 PR tcp len 20 47 -AP IN 02/09/2004 15:30:28.926792 hme0 @0:1 p 129.146.157.149,33923 129.146.157.145,23 PR tcp len 20 40 -A IN . . (output truncated) -> -> -> -> -> -> -> ->
El signo # indica que una lnea contiene comentarios. Los comentarios y las reglas pueden coexistir en la misma lnea. Tambin se permite agregar espacios en blanco para facilitar la lectura de las reglas. Las reglas pueden ocupar ms de una lnea. Utilice la barra inclinada inversa (\) al final de una lnea para indicar que la regla contina en la lnea siguiente.
Los archivos de configuracin de filtros de paquetes Los archivos de configuracin de reglas NAT Los archivos de configuracin de agrupaciones de direcciones
694
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Inicie el editor de archivos que prefiera. Cree o edite el archivo de configuracin para la funcin que desee configurar.
Para crear un archivo de configuracin para las reglas de filtros de paquetes, edite el archivo ipf.conf. El filtro IP de Oracle Solaris utiliza las reglas de filtros de paquetes que se colocan en el archivo ipf.conf. Si coloca las reglas para los filtros de paquetes en el archivo /etc/ipf/ipf.conf, dicho archivo se carga al iniciar el sistema. Si no desea que las reglas de filtros se carguen durante el inicio, colquelas en el archivo que prefiera. A continuacin, puede activar las reglas con el comando ipf, tal como se describe en Cmo activar un conjunto de reglas de filtros de paquetes diferente o actualizado en la pgina 677. Consulte Uso de la funcin de filtros de paquetes del filtro IP de Oracle Solaris en la pgina 651 para obtener informacin sobre cmo crear reglas de filtros de paquetes.
Nota Si el archivo ipf.conf est vaco, no se aplica ningn filtro. Un archivo ipf.conf
Para crear un archivo de configuracin para las reglas NAT, edite el archivo ipnat.conf. El filtro IP de Oracle Solaris utiliza las reglas NAT que se colocan en el archivo ipnat.conf. Si coloca las reglas para NAT en el archivo /etc/ipf/ipnat.conf, dicho archivo se carga al iniciar el sistema. Si no desea que las reglas NAT se carguen durante el inicio, coloque el archivo ipnat.conf en la ubicacin que prefiera. A continuacin, puede activar las reglas NAT con el comando ipnat. Consulte Uso de la funcin NAT del filtro IP de Oracle Solaris en la pgina 654 para obtener informacin sobre cmo crear reglas para la NAT.
Para crear un archivo de configuracin para las agrupaciones de direcciones, edite el archivo ippool.conf. El filtro IP de Oracle Solaris utiliza la agrupacin de direcciones que se coloca en el archivo ippool.conf. Si coloca las reglas para la agrupacin de direcciones en el archivo /etc/ipf/ippool.conf, dicho archivo se carga al iniciar el sistema. Si no desea que la
695
agrupacin de direcciones se cargue durante el inicio, coloque el archivo ippool.conf en la ubicacin que prefiera. A continuacin, puede activar la agrupacin de direcciones con el comando ippool. Consulte Uso de la funcin de agrupaciones de direcciones del filtro IP de Oracle Solaris en la pgina 655 para obtener informacin sobre la creacin de agrupaciones de direcciones.
Este ejemplo muestra una configuracin en un equipo host con una interfaz de red elxl.
# pass and log everything by default pass in log on elxl0 all pass out log on elxl0 all # block, but dont log, incoming packets from other reserved addresses block in quick on elxl0 from 10.0.0.0/8 to any block in quick on elxl0 from 172.16.0.0/12 to any # block and log untrusted internal IPs. 0/32 is notation that replaces # address of the machine running Solaris IP Filter. block in log quick from 192.168.1.15 to <thishost> block in log quick from 192.168.1.43 to <thishost> # block and log X11 (port 6000) and remote procedure call # and portmapper (port 111) attempts block in log quick on elxl0 proto tcp from any to elxl0/32 port = 6000 keep state block in log quick on elxl0 proto tcp/udp from any to elxl0/32 port = 111 keep state
Este conjunto de reglas comienza con dos reglas sin restricciones que permiten la transferencia de todos los datos con la interfaz elxl. El segundo conjunto de reglas bloquea todos los paquetes entrantes de los espacios de direcciones privadas 10.0.0.0 y 172.16.0.0 mediante el cortafuegos. El siguiente conjunto de reglas bloquea direcciones internas especficas del equipo host. Finalmente, el ltimo conjunto de reglas bloquea los paquetes que provienen de los puertos 6000 y 111.
EJEMPLO 2626
Este ejemplo muestra una configuracin para un equipo host que acta como servidor Web. Este equipo cuenta con una interfaz de red eri.
# web server with an eri interface # block and log everything by default; then allow specific services
696
EJEMPLO 2626
(Continuacin)
# group 100 - inbound rules # group 200 - outbound rules # (0/32) resolves to our IP address) *** FTP proxy *** # block short packets which are packets fragmented too short to be real. block in log quick all with short # block and log inbound and outbound by default, group by destination block in log on eri0 from any to any head 100 block out log on eri0 from any to any head 200 # web rules that get hit most often pass in quick on eri0 proto tcp from any \ to eri0/32 port = http flags S keep state group 100 pass in quick on eri0 proto tcp from any \ to eri0/32 port = https flags S keep state group 100 # inbound traffic - ssh, auth pass in quick on eri0 proto tcp from any \ to eri0/32 port = 22 flags S keep state group 100 pass in log quick on eri0 proto tcp from any \ to eri0/32 port = 113 flags S keep state group 100 pass in log quick on eri0 proto tcp from any port = 113 \ to eri0/32 flags S keep state group 100 # outbound traffic - DNS, auth, NTP, ssh, WWW, smtp pass out quick on eri0 proto tcp/udp from eri0/32 \ to any port = domain flags S keep state group 200 pass in quick on eri0 proto udp from any port = domain to eri0/32 group 100 pass out quick on eri0 proto tcp from eri0/32 \ to any port = 113 flags S keep state group 200 pass out quick on eri0 proto tcp from eri0/32 port = 113 \ to any flags S keep state group 200 pass out quick on eri0 proto udp from eri0/32 to any port = ntp group 200 pass in quick on eri0 proto udp from any port = ntp to eri0/32 port = ntp group 100 pass out quick on eri0 proto tcp from eri0/32 \ to any port = ssh flags S keep state group 200 pass out quick on eri0 proto tcp from eri0/32 \ to any port = http flags S keep state group 200 pass out quick on eri0 proto tcp from eri0/32 \ to any port = https flags S keep state group 200 pass out quick on eri0 proto tcp from eri0/32 \ to any port = smtp flags S keep state group 200
697
EJEMPLO 2626
(Continuacin)
# pass icmp packets in and out pass in quick on eri0 proto icmp from any to eri0/32 keep state group 100 pass out quick on eri0 proto icmp from eri0/32 to any keep state group 200 # block and ignore NETBIOS packets block in quick on eri0 proto tcp from any \ to any port = 135 flags S keep state group 100 block in quick to any flags S block in quick block in quick on eri0 proto tcp from any port = 137 \ keep state group 100 on eri0 proto udp from any to any port = 137 group 100 on eri0 proto udp from any port = 137 to any group 100
block in quick on eri0 proto tcp from any port = 138 \ to any flags S keep state group 100 block in quick on eri0 proto udp from any port = 138 to any group 100 block in quick on eri0 proto tcp from any port = 139 to any flags S keep state group 100 block in quick on eri0 proto udp from any port = 139 to any group 100
EJEMPLO 2627
El ejemplo siguiente muestra una configuracin para un enrutador con una interfaz interna (ce0) y otra externa (ce1).
# internal interface is ce0 at 192.168.1.1 # external interface is ce1 IP obtained via DHCP # block all packets and allow specific services *** NAT *** *** POOLS *** # Short packets which are fragmented too short to be real. block in log quick all with short # By default, block and log everything. block in log on ce0 all block in log on ce1 all block out log on ce0 all block out log on ce1 all # Packets going in/out of network interfaces that arent on the loopback # interface should not exist. block in log quick on ce0 from 127.0.0.0/8 to any block in log quick on ce0 from any to 127.0.0.0/8 block in log quick on ce1 from 127.0.0.0/8 to any block in log quick on ce1 from any to 127.0.0.0/8
698
EJEMPLO 2627
(Continuacin)
# Deny reserved addresses. block in quick on ce1 from 10.0.0.0/8 to any block in quick on ce1 from 172.16.0.0/12 to any block in log quick on ce1 from 192.168.1.0/24 to any block in quick on ce1 from 192.168.0.0/16 to any # Allow internal traffic pass in quick on ce0 from 192.168.1.0/24 to 192.168.1.0/24 pass out quick on ce0 from 192.168.1.0/24 to 192.168.1.0/24 # Allow outgoing DNS requests from our servers on .1, .2, and .3 pass out quick on ce1 proto tcp/udp from ce1/32 to any port = domain keep state pass in quick on ce0 proto tcp/udp from 192.168.1.2 to any port = domain keep state pass in quick on ce0 proto tcp/udp from 192.168.1.3 to any port = domain keep state # Allow NTP from any internal hosts to any external NTP server. pass in quick on ce0 proto udp from 192.168.1.0/24 to any port = 123 keep state pass out quick on ce1 proto udp from any to any port = 123 keep state # Allow incoming mail pass in quick on ce1 proto tcp from any to ce1/32 port = smtp keep state pass in quick on ce1 proto tcp from any to ce1/32 port = smtp keep state pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = smtp keep state # Allow outgoing connections: SSH, WWW, NNTP, mail, whois pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = 22 keep state pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = 22 keep state pass pass pass pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = 80 keep state out quick on ce1 proto tcp from 192.168.1.0/24 to any port = 80 keep state in quick on ce0 proto tcp from 192.168.1.0/24 to any port = 443 keep state out quick on ce1 proto tcp from 192.168.1.0/24 to any port = 443 keep state
pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = nntp keep state block in quick on ce1 proto tcp from any to any port = nntp keep state pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = nntp keep state pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = smtp keep state pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = whois keep state pass out quick on ce1 proto tcp from any to any port = whois keep state # Allow ssh from offsite pass in quick on ce1 proto tcp from any to ce1/32 port = 22 keep state # Allow ping out pass in quick on ce0 proto icmp all keep state pass out quick on ce1 proto icmp all keep state
699
EJEMPLO 2627
(Continuacin)
# allow auth out pass out quick on ce1 proto tcp from ce1/32 to any port = 113 keep state pass out quick on ce1 proto tcp from ce1/32 port = 113 to any keep state # return rst for incoming auth block return-rst in quick on ce1 proto tcp from any to any port = 113 flags S/SA # log and return reset for any TCP packets with S/SA block return-rst in log on ce1 proto tcp from any to any flags S/SA # return ICMP error packets for invalid UDP packets block return-icmp(net-unr) in proto udp all
700
P A R T E
IP mvil
En esta parte se presenta el Protocolo de Internet mvil (IP mvil) y se indican las tareas de administracin de IP mvil. Puede instalar IP mvil en sistemas como equipos porttiles y sistemas con comunicacin inalmbrica para que puedan operar en redes externas.
Nota La funcin IP mvil se ha suprimido de las actualizaciones de Oracle Solaris 10
701
702
C A P T U L O
27
2 7
El protocolo de Internet (IP) para mviles permite transferir informacin entre sistemas mviles El concepto sistemas mviles incluye porttiles y comunicaciones inalmbricas. El sistema mvil puede cambiar su ubicacin a una red externa. Mientras est en la red externa, el sistema mvil se sigue pudiendo comunicar con la red principal del sistema. La implementacin Solaris del IP mvil slo es compatible con IPv4. Este captulo contiene la informacin siguiente:
Introduccin a IP para mviles en la pgina 704 Entidades funcionales de IP para mviles en la pgina 706 Funcionamiento de IP para mviles en la pgina 706 Descubrimiento de agentes en la pgina 709 Direcciones de auxilio en la pgina 710 IP para mviles con tnel inverso en la pgina 711 Registro de IP para mviles en la pgina 713 Encaminamiento de datagramas entre nodos mviles en la pgina 717 Consideraciones de seguridad para IP para mviles en la pgina 719
Para tareas relacionadas con IP para mviles, consulte el Captulo 28, Administracin de IP mvil (tareas) . Para acceder a material de referencia de IP para mviles, consulte el Captulo 29, Archivos y comandos de IP para mviles (referencia) .
703
704
FIGURA 271
Nodo mvil
Host de Internet
Nodo mvil
Si se utiliza la topologa de IP para mviles de esta figura, la situacin siguiente muestra cmo se mueve un datagrama de un punto a otro de la estructura de IP para mviles: 1. El host de Internet enva datagramas al nodo mvil a travs de la direccin permanente del nodo (proceso de enrutamiento IP normal). 2. Si el nodo mvil se encuentra en su red principal, el datagrama se entrega al nodo a travs del proceso IP normal. En caso contrario, es el agente interno el que recibe el datagrama. 3. Si el nodo mvil se encuentra en una red externa, el agente interno reenva el datagrama al agente externo. El agente interno debe encapsular el datagrama en un datagrama exterior para que la direccin IP del agente externo aparezca en el encabezado IP externo. 4. El agente externo entrega el datagrama al nodo mvil. 5. Los datagramas del nodo mvil hacia el host de Internet se envan mediante los procedimiento de enrutamiento IP normales. Si el nodo mvil se enciuentra en una red externo, los paquetes se entregan al agente externo. El agente externo reenva el datagrama al host de Internet. 6. En situaciones en las que haya filtrado de entrada, la direccin de origen debe ser topolgicamente correcta para la subred de la que procede el datagrama, o el enrutador no podr reenviarlo. Si se da esta situacin en enlaces entre el nodo mvil y el nodo de destino, el agente externo deber ofrecer el servicio de tnel inverso. As, el agente externo podr entregar todos los datagramas que el nodo mvil enve a su agente interno. El agente interno reenviar entonces el datagrama a travs de la ruta que hubiese tomado si el nodo mvil residiese en la red prinicpal. Este proceso garantiza la correccin de la direccin de origen para todos los enlaces que debe atravesar el datagrama. En lo concerniente a las comunicaciones inalmbricas, la Figura 271 ilustra el uso de transceptores inalmbricos para transmitir los datagramas al nodo de mviles. Asimismo, los datagramas entre el host de Internet y el nodo mvil utilizan la direccin permanente del nodo mvil. La direccin permanente se utiliza aunque el nodo mvil se envcuentre en la red externa.
Captulo 27 IP para mviles (Descripcin general) 705
La direccin de auxilio se utiliza nicamente para la comunicacin con agentes de moviilidad. La direccin de auxilio es invisible para el host de Internet.
Nodo mvil (NM): host o enrutador que cambia su punto de conexin de una red a otra al tiempo que conserva las comunicaciones existentes mediante el uso de su direccin IP permanente. Agente interno (AI): enrutador o servidor de la red principal de un nodo mvil. El enrutador intercepta los datagramas que van destinados al nodo mvil. A continuacin el enrutador entrega los datagramas a travs de la direccin de auxilio. El agente interno mantiene tambin informacin actualizada de la ubicacin del nodo mvil. Agente externo (AE): enrutador o servidor ubicado en la red externa que visita el nodo mvil. Ofrece servicios de enrutamiento de host al nodo mvil. El agente externo puede proporcionar tambin una direccin de auxilio al nodo mvil mientras este est registrado.
706
FIGURA 272
eth1 128.226.3.1
eth0
eth0
eth0
eth0
En la figura siguiente se muestra un nodo mvil que se ha trasladado a una red externo, Network B. Los datagramas destinados al nodo mvil son interceptados por el agente interno en la red principal, Network A, y encapsulados. A continuacin, los datagramas se envan al agente externo en Network B, y el agente externo filtra el encabezado exterior. A continuacin, el agente externo entrega el datagrama al nodo mvil, ubicado en Network B.
707
FIGURA 273
eth0 eth1
eth0
eth1 128.226.3.1
eth0
eth0
eth0
Es posible que la direccin de auxilio pertenezca a un agente externo. La direccin de auxilio puede adquirirse mediante el Protocolo dinmico de configuracin de host (DHCP) o el Protocolo punto a punto (PPP). En el segundo caso, un nodo mvil posee una direccin de auxilio coubicada. Los agentes de movilidad (agentes internos y externos) anuncian su presencia mediante mensajes de auncion de agente. Un nodo mvil tiene tambin la opcin de solicitar un mensaje de anuncio de agente. El nodo utiliza cualquier agente de mobvilidad conectado localmente a travs de un mensaje de solicitud de agente. Los nodos mviles utilizan los anunvios de agente para determinar si se encuentran en su red principal o en una red externa. El nodo mvil utiliza un proceso de regisro especial para informar al agente interno acerca de la actual ubicacin del nodo. El nodo mvil siempre est atento a los anuncios de los agentes de movilidad advirtiendo de su presencia. El nodo utiliza estos anuncios para determinar cundo se ha trasladado a otra subred. Cuando un nodo mvil determina que el nodo mvil ha cambiado de ubicacin, el nodo utiliza el nuevo agetnte externo para reenviar un mensaje de registro al agente interno. El nodo mvil utiliza el mismo proceso cuando el nodo mvil se mueve de una red externa a otra. Cuando el nodo mvil detecta que se envcuentra en la red principal, el nodo deja de utilizar los servicios de movilidad. Cuando el nodo mvil vuelve a su red prinicpal, anula su registro con el agente interno.
708 Gua de administracin del sistema: servicios IP Septiembre de 2010
Descubrimiento de agentes
Descubrimiento de agentes
Los nodos mviles utilizan el mtodo denominado descubrimiento de agentes para determinar la informacin siguiente:
Cundo se ha trasladado el nodo de una red a otra Si la red es la prinipal o una red externa La direccin de auxilio de agente externo que ofrece cada agente externo de esa red Los servicios de movilidad que ofrece el agente de movilidad, anunciados en forma de indicadores, y las extensiones adiconales en el anuncio de agente
Los agentes de movilidad transmiten anuncios de agentes para avisar de sus servicios en una red. En ausencia de anuncios de agente, un nodo mvil puede solicitarlos. Esta funcin se denomina solicitud de agente. Si un nodo mvil admite su propia direccin de auxilio coubicada, el nodo puede utilizar anuncios de enrutador normales para la misma finalidad.
Anuncio de agente
Los nodos mviles utilizan anuncios de agentes para determinar el punto de conexin actual a Internet o a la red de una organizacin. Un anuncio de agente es un anuncio de enrutador del protocolo de mensajes de control de Internet (ICMP) que se ha ampliado para llevar tambin una extensin de anuncio de agente de movilidad. Un agente externo puede estar demasiado ocupado para servir a otros nodos mviles. Sin embargo, el agente externo debe seguir enviando anuncios de agente. As, el nodo mvil, ya registrado con un agente externo, sabe que no se ha movido fuera del mbito del agente externo. El nodo mvil sabe tambin de este modo que no ha habido un fallo del agente externo. Un nodo mvil registrado con un agetne externo del que ya no recibe anuncios de agente probablemente sabe que ha perdido el contacto con ese agente.
709
Direcciones de auxilio
Solciitud de agente
Todos los nodos mviles deberan implementar la solicitud de agentes. El nodo mvil utiliza los mismos procedimientos, valores predeterminados y constantes que se especifican para los mensajes de solicitud de enrutadores ICMP. El ritmo de envo de solicitudes por parte del nodo mvil est limitado por el nodo en s. El nodo mvil puede enviar tras solicitudes iniciales al ritmo mximo de una solicitud por segundo mientras el nodo busca un agente. Una vez que el nodo mvil se registra con un agente, el ritmo de envo de solicitudes se reduce para limitar la carga sobre la red local.
Direcciones de auxilio
IP para mviles ofrece los siguientes modos alternativos para la obtencin de direcciones de auxilio:
Un agente externo proporciona una direccin de auxilio de agente externo, que se notifica al nodo mvil mediante mensajes de anuncio de agentes. La direccin de auxilio suele ser la direccin IP del agente externo que enva el anuncio. El agente externo es el extremo final del tnell. Cuando el agente externo recibe datagramas a travs de un tnel, los desencapsula. A continuacin, el agente entrega el datagrama interno al nodo mvil. Por tanto, varios nodos mviles pueden compartir la misma direccin de auxilio. En los enlaces inalmbricos, el ancho de banda es un factor importante. Desde los enlaces inalmbricos, los agentes externos pueden ofrecer servicios de IP para mviles a enlaces con un mayor ancho de banda. Un nodo mvil obtiene una direccin de auxilio coubicada como direccin IP local a travs de algn medio externo. El nodo mvil se asocia a continuacin con alguna de sus propios interfaces de red. El nodo puede obtener la direccin en forma temporal mediante DHCP. La direcicn puede tambin ser propiedad del nodo mvil a largo plazo. Sin embargo, el nodo solo puede utilizar la direccin mientras se halla de visita en la subred a la que pertenece la direccin de auxilio. Al utilizar una direccin de auxilio coubicada, el nodo mvil acta como extremo final del tnel. El nodo efecta el desencapsulado de los datagramas que le envan a travs del tnel.
Una direccin de auxilio coubicada permite que el nodo mvil funcione sin necesidad de agente externo. Por tanto, un nodo mvil puede utilzar una direccin de auxilio coubicada en redes que no tienen implementado un agente externo. Si un nodo mvil utiliza una direccin de auxilio coubicada, el nodo debe hallarse en un enlace identificado por el prefijo de red de la direccin de auxilio. En caso contrario, los datagramas que vayan destinados a la direccin de auxilio no se podrn entregar.
710 Gua de administracin del sistema: servicios IP Septiembre de 2010
FIGURA 274
Tnel inverso Nodo mvil Agente externo Tnel de reenvo Agente interno
Red IP
Nodo correspondiente
en su red principal. En la figura siguiente se muestra una tiopologa de red con dos nodos mviles con direcciones privadas. Los dos nodos utilizan la misma direccin de auxilio cuando se registran con el mismo agente externo.
FIGURA 275
La direccin de auxilio y la direccin del agente interno deben ser direcciones enrutables globalmente si pertenecen a dominios distintos conectados por Internet pblica. La misma red externa puede incluir dos nodos mviles con direcciones privadas que tengan la misma direccin IP. Sin embargo, cada nodo mvil debe tener un agente interno distinto. Asimismo, cada direccin debe hallarse en una subred de anuncios distinta de un nico agente externo. En la figura siguiente se muestra una topologa de red en la que se muestra esta situacin.
FIGURA 276
10.10.1.2 Nodo 1 mvil 10.10.1.2 Nodo 2 mvil Tnel de reenvo Agente externo
Tnel inverso Agente 2 interno Tnel de reenvo Tnel inverso Nodo 2 correspondiente
Agente 1 interno
Nodo 1 correspondiente
712
Solicitar servicios de reenvo al visitar una red externa Informar al agente interno de su direccin de auxilio actual Renovar un registro que est a punto de caducar Anular el registro cuando el nodo mvil vuelve a su red principal Solicitar un tnel inverso
En los mensajes de registro se intercambia informacin entre un nodo mvil, un agente externo y el agente interno. El registro crea o modifica un enlace de movilidad en el agente interno. El proceso de registro asocia la direccin permanente del nodo mvil durante la vida til especificada. El proceso de registro permite tambin a los nodos mviles efectuar las siguientes funciones:
Registrarse con varios agentes externos Anular direcciones de auxilio especficas al tiempo que se conservan otros enlaces de movilidad Descubrir la direccin de un agente interno si el nodo mvil no est configurado con esta informacin
IP para mviles define los siguientes procesos de registro para un nodo mvil:
Si un nodo mvil registra la direccin de auxilio de un agente externo, el nodo mvil est indicando al agente interno que est accesible a travs de dicho agente externo. Si un nodo mvil recibe un anuncio de agente que exige que el nodo se registre a travs de un agente externo, el nodo mvil puede an intentar obtener una direccin de auxilio coubicada. El nodo mvil puede tambin registrarse con ese agente externo o cualquier otro en ese enlace. Si un nodo mvil utiliza una direccin de auxilio coubicada, el nodo se registra directamente con el agente interno. Si un nodo mvil vuelve a su red principal, el nodo anula su registro con el agente interno.
Estos procesos de registro implican el intercambio de solicitudes de registro y de mensajes de respuesta de registro. Cuando el nodo mvil se registra mediante un agente externo, el proceso de registro reocrre los pasos siguientes, que se muestran en la figura a continuacin:
Captulo 27 IP para mviles (Descripcin general) 713
1. El nodo mvil enva una solicitud de registro al agente externo previsto para iniciar el proceso de registro. 2. El agente externo procesa la solicitud de registro y a continuacin la enva al agente interno. 3. El agente interno enva una respuesta de registro al agente externo para conceder o denegar la solicitud. 4. El agente externo procesa la respuesta de registro y a continuacin la enva al nodo mvill para indicarle la disposicin de la solicitud.
FIGURA 277
AE 2
AE 3
AI
AE Nodo mvil 4
Cuando el nodo mvil se registra directamente en el agente interno, el proceso de registro se compone nicamente de estos pasos:
El nodo mvil enva una solicitud de registro al agente interno. El agente interno enva una respuesta de registro al nodo mvil que concede o deniega la solicitud.
714
Asimismo, el agente externo o el interno pueden requerir un tnel inverso. Si el agente externo es compatible con la funcin de tnel inverso, el nodo mvil utiliza el proceso de registro para solicitar un tnel inverso. El nodo mvil activa el indicador de tnel inverso en la solicitud de registro para pedir un tnel inverso.
Un agente interno puede no tener configurada una subred fsica para los nodos mviles. Sin embargo, el agente debe reconocer la direccin permanente del nodo mvil mediante el archivo mipagent.conf u otro mecanismo cuando concede el registro. Para obtener ms informacin acerca de mipagent.conf, consulte Creacin del archivo de configuracin de IP mvil en la pgina 722. Un agente interno puede admitir nodos mviles con direcciones privadas configurando estos nodos en el archivo mipagent.conf. Las direcciones permanentees que utiliza el agente interno deben ser exclusivas.
Mtodos de encapsulado
Los agentes internos y externos utilizan alguno de los mtodos de encapsulado disponibles para admitir datagramas que utilcen tnel. Los mtodos de encapsulado definidos son Encapsulado de IP en IP, Encapsulado mnimo y Encapsulado de enrutamiento genrico (GRE). El agente interno y el externo, o el nodo mvil coubicado indirecto y el agente interno, deben admitir el mismo mtodo de encapsulado. Todas las entidades de IP para mviles deben admitir el encapsulado de IP en IP.
Si el nodo mvil est registrado y utiliza una direccin de auxilio de un agente externo, el proceso es directo. El nodo mvil elige su enrutador predeterminado de entre las direcciones de enrutador anunciado en la parte de anuncio de enrutador ICMP del anuncio del agente. El nodo mvil puede tambin tener en cuenta la direccin IP de origen del anuncio del agente como otra posible opcin para la direccin IP de un enrutador predeterminado. El nodo mvil puede registrarse directamente con el agente interno mediante el uso de una direccin de auxilio coubicada. A continuacin, el nodo mvil elige su enrutador predeterminado entre los que estn anunciados en cualquier mensaje de anuncio de enrutador ICMP que reciba. El prefijo de red del enrutador predeterminado elegido debe coincidir con el prefijo de red de la direccin de auxilio del nodo mvil que se obtiene de forma externa. La direccin debe coincidir con la direccin IP de origen del anuncio de agente bajo el prefijo de red. El nodo puede asimismo considerar esa direccin IP de origen como otra posible alternativa de direccin IP de un enrutador predeterminado. Si el nodo mvil est registrado, un agente externo que admita tnel inverso enruta los datagramas de unidifusin del nodo mvil al agente interno a travs del tnel inverso. Si el nodo mvil est registrado con un agente externo que admite tnel inverso, el nodo deber utilizar ese agente como enrutador predeterminado.
Datagramas de multidifusin
Cuando un agente interno recibe un datagrama de multidifusin o de difusin, el agente interno reenva nicamente el datagrama a los nodos mviles que han solicitado especficamente recibirlos. El modo en que el agente interno enva estos datagramas a los nodos mviles depende principalmente de dos factores. Bien el nodo mvil utiliza una direccin de auxilio proporcionada por un agente externo o bien utiliza du propia direccin de auxilio coubicada. El primer caso implica que el datagrama debe tener un doble encapsulado. El primer encabezado IP identifica el nodo mvil para el que se debe entregar el datagrama. El primer encabezado IP no est presente en el datagrama de multidifusin o difusin. El segundo encabezado IP identifica la direccin de auxilio y es el encabezado de tnel habitual. En el segundo caso, el nodo mvil desencapsula sus propios datagramas, y basta con enviar el datagrama a travs del tnel usual.
Si el nodo mvil utiliza una direccin de auxilio coubicada, puede utilizarla como direccin IP de origen de cualquier mensaje de entrada del Protocolo de gestin de grupos de Internet (IGMP). Sin embargo, la subred visitada debe disponer de un enrutador de multidifusin.
718
Si el nodo mvil quiere unirse al grupo de ICMP desde su subred principal, deber utilizar un tnel inverso para enviar mensajes de entrada IGMP al agente interno. Sin embargo, el agente interno del nodo mvil debe ser un enrutador de multidifusin. El agente interno reenva entonces los datagramas de multidifusin al nodo mvil a travs del tnel. Si el nodo mvil utiliza una direccin de auxilio coubicada, puede utilizarla como direccin IP de origen de los mensajes de entrada IGMP. Sin embargo, la subred visitada debe disponer de un enrutador de multidifusin. Una vez que el nodo mvil ha entrado en el grupo, puede participar enviando sus propios paquetes de multidifusin directamente en la red visitada. Enviar directamente en la red visitada. Enviar al agente interno a travs de un tnel.
El enrutamiento de multidifusin depende de la direccin IP de origen. Un nodo mvil que enva un datagrama de multidifusin debe enviarlo desde una direccin de origen vlida en ese enlace. As, un nodo mvil que enve datagramas de multidifusin directamente en la red visitada debe utilizar una direccin de auxilio coubicada como direccin IP de origen. Asimismo, el nodo mvil debe haberse unido al grupo de multidifusin asociado con la direccin. De forma similar, un nodo mvil que se haya unido a un grupo de multidifusin mientras estaba en su subred, antes de trasladarse, o se haya unido a un grupo de multidifusin utilizando itinerancia a travs de un tnel inverso con su agente interno, deber utilizar su direccin permanente como direccin IP de origen del datagrama de multidifusin. As, el nodo mvil deber enviar tambin estos datagramas por tnel inverso a su subred principal, ya sea l mismo mediante su direccin de auxilio coubicada o a travs del tnel inverso de un agente externo. Aunque parece ms eficiente que un nodo mvil se una siempre desde la subred que est visitando, sigue siendo un nodo mvil. En consecuencia, el nodo debera repetir la entrada cada vez que cambiase de subred. La forma ms eficiente es que el nodo mvil se una a travs de su agente interno, sin tener que encargarse de la carga adicional. Asimismo, puede haber sesiones de multidifusin solo disponibles desde la subred principal. Otros factores pueden tambin exigir que el nodo mvil participe de un modo especfico.
128 bits o mayores, con distribucin de claves manual. IP para mviles puede admitir otros algoritmos de autenticacin, modos de algoritmo, mtodos de distribucin de claves y tamaos de clave. Estos mtodos impiden la modificacin de los mensajes de registro de IP para mviles. Sin embargo, IP para mviles utiliza tambin una forma de proteccin de repeticin para avisar a las entidades de IP para mviles cuando reciben duplicados de mensajes de registro anteriores. Sin este mtodo de proteccin, el nodo mvil y su agente interno podran perder la sincronizacin cuando alguno de ellos recibiese un mensaje de registro. As, IP para mviles actualiza su estado. Por ejemplo, un agente interno recibe un mensaje de anulacin de registro duplicado mientras el nodo mvil est registrado a travs de un agente externo. La proteccin de repeticin se efecta mediante un mtodo denominado nonces o indicaciones de hora. Los agentes internos y los nodos mviles intercambian nonces e indicaciones de hora dentro de los mensajes de registro de IP para mviles. Las nonces e indicaciones de hora estn protegidas contra modificaciones por un algoritmo de autenticacin. Por consiguiente, si un agente interno recibe un mensaje duplicado, el mensaje puede descartarse. El uso de tneles puede suponer una vulnerabilidad significativa, en especial si el registro no est autenticado. Asimismo, el Protocolo de resolucin de direcciones (ARP) no est autenticado, y se puede utilizar para robar el trfico de otro host.
720
C A P T U L O
28
2 8
En este captulo se ofrecen procedimientos para modificar, agregar, eliminar y mostrar parmetros del archivo de configuracin de IP mvil. En l se indica tambin como mostrar el estado del agente de movilidad. Este captulo contiene la informacin siguiente:
Creacin del archivo de configuracin de IP mvil (mapa de tareas) en la pgina 721 Creacin del archivo de configuracin de IP mvil en la pgina 722 Modificacin del archivo de configuracin de IP mvil en la pgina 727 Modificacin del archivo de configuracin de IP mvil (mapa de tareas) en la pgina 726 Presentacin del estado del agente de movilidad en la pgina 734 Presentacin de las rutas de movilidad de un agente externo en la pgina 735
Para ver una introduccin a IP para mviles, consulte el Captulo 27, IP para mviles (Descripcin general). Para ver informacin detallada sobre IP para mviles, consulte el Captulo 29, Archivos y comandos de IP para mviles (referencia) .
Nota La funcin IP mvil se suprime de las actualizaciones de Solaris 10 posteriores a Solaris 10 8/07.
721
Tarea
Descripcin
Implica escribir el nmero de versin en la seccin General del archivo de configuracin de IP mvil. Implica agregar etiquetas y valores, o modificarlos, en la seccin Advertisements del archivo de configuracin de IP mvil. Implica agregar etiquetas y valores, o modificarlos, en la seccin GlobalSecurityParameters del archivo de configuracin de IP mvil. Implica agregar etiquetas y valores, o modificarlos, en la seccin Pool del archivo de configuracin de IP mvil. Implica agregar etiquetas y valores, o modificarlos, en la seccin SPI del archivo de configuracin de IP mvil. Implica agregar etiquetas y valores, o modificarlos, en la seccin Address del archivo de configuracin de IP mvil.
Cmo configurar la seccin General en la pgina 724 Cmo configurar la seccin Advertisements en la pgina 724
Cmo configurar la seccin GlobalSecurityParameters en la pgina 724 Cmo configurar la seccin Pool en la pgina 725 Cmo configurar la seccin SPI en la pgina 725 Cmo configurar la seccin Address en la pgina 725
En funcin de las necesidades de su organizacin, determinar qu funciones puede ofrecer su agente de IP mvil:
solo funcionalidad de agente externo slo funcionalidad de agente interno Funcionalidad de agente interno y externo
722
Cree el archivo /etc/inet/mipagent.conf y especifique los parmetros necesarios mediante los procedimientos descritos en esta seccin. Tambin puede copiar uno de los archivos siguientes en /etc/inet/mipagentconfiguracin y modificarlo segn sus necesidades:
Para funcionalidad de agente externo, copie /etc/inet/mipagentconfiguracin.fa-sample . Para funcionalidad de agente interno, copie /etc/inet/mipagentconfiguracin.ha-sample . Para funcionalidad de agente externo y de agente interno, copie /etc/inet/mipagentconfiguracin-sample.
Puede reiniciar el equipo e invocar la secuencia de inicio que inicia el daemon mipagent. Tambin puede iniciar mipagent escribiendo el comando siguiente:
# /etc/inet.d/mipagent start
En el directorio /etc/inet, cree un archivo vaco con el nombre mipagentconfiguracin. Copie el archivo de la lista siguiente que ofrezca la funcionalidad que desee para el archivo /etc/inet/mipagentconfiguracin.
Agregue o modifique parmetros de configuracin en el archivo /etc/inet/mipagentconfiguracin para adaptarse a sus requisitos. En el resto de procedimientos de esta seccin se describen los pasos para modificar las secciones de /etc/inet/mipagentconfiguracin.
723
Edite el archivo /etc/inet/mipagentconfiguracin y agregue o modifique las siguientes lneas utilizando los valores requeridos para su configuracin.
[Advertisements interface] HomeAgent = <yes/no> ForeignAgent = <yes/no> PrefixFlags = <yes/no> AdvertiseOnBcast = <yes/no> RegLifetime = n AdvLifetime = n AdvFrequency = n ReverseTunnel = <yes/no/FA/HA/both> ReverseTunnelRequired = <yes/no/FA/HA> Nota Deber incluir una seccin Advertisements distinta para cada interfaz del host local que
724
Edite el archivo /etc/inet/mipagentconfiguracin y agregue o modifique las siguientes lneas utilizando los valores requeridos para su configuracin.
[GlobalSecurityParameters] MaxClockSkew = n HA-FAauth = <yes/no> MN-FAauth = <yes/no> Challenge = <yes/no> KeyDistribution = files
1 2
Edite el archivo /etc/inet/mipagentconfiguracin Agregue o modifique las siguientes lneas utilizando los valores necesarios para su configuracin:
[Pool pool-identifier] BaseAddress = IP-address Size = size
1 2
Edite el archivo /etc/inet/mipagentconfiguracin . Agregue o modifique las siguientes lneas utilizando los valores necesarios para su configuracin:
[SPI SPI-identifier] ReplayMethod = <none/timestamps> Key = key Nota Deber incluir una seccin SPI distinta para cada contexto de seguridad implementado.
Agregue o modifique las siguientes lneas utilizando los valores necesarios para su configuracin:
726
Utiliza el comando mipagentconfig change para cambiar el valor de una etiqueta en la seccin Pool del archivo de configuracin de IP mvil. Utiliza el comando mipagentconfig change para cambiar el valor de una etiqueta en la seccin SPI del archivo de configuracin de IP mvil. Utiliza el comando mipagentconfig change para cambiar el valor de una etiqueta en la seccin Address del archivo de configuracin de IP mvil. Utiliza el comando mipagentconfig add o delete para agregar nuevos parmetros, etiquetas y valores o para eliminar los existentes en cualquier seccin del archivo de configuracin de IP mvil.
Mostrar los valores actuales de los destinos Utiliza el comando mipagentconfig get de parmetros. para ver los valores actuales de cualquier seccin del archivo de configuracin de IP mvil.
Cmo mostrar los valores actuales de los parmetros del archivo de configuracin en la pgina 732
En una lnea de comandos, escriba el comando siguiente para cada etiqueta de la seccin General que quiera modificar.
# mipagentconfig change <label> <value>
Ejemplo 281
Escriba el comando siguiente para cada una de las etiquetas que quiera modificar en la seccin Advertisements:
# mipagentconfig change adv device-name <label> <value>
Por ejemplo, si va a modificar la vida til anunciada del agente a 300 segundos para el dispositivo hme0, utilice el siguiente comando.
# mipagentconfig change adv hme0 AdvLifetime 300
Ejemplo 282
728
Por ejemplo, si quiere activar la autenticacin para el agente interno y el externo, utilice el comando siguiente:
# mipagentconfig change HA-FAauth yes Ejemplo 283
Ejemplo 284
# mipagentconfig change Pool 10 BaseAddress 192.168.1.1 # mipagentconfig change Pool 10 Size 100
Escriba el comando siguiente para cada una de las etiquetas que quiera modificar en la seccin SPI:
# mipagentconfig change SPI SPI-identifier <label> <value>
Por ejemplo, si va a cambiar la clave de SPI 257 en 5af2aee39ff0b332, utilice el comando siguiente.
# mipagentconfig change SPI 257 Key 5af2aee39ff0b332
Ejemplo 285
Para ver una descripcin de los tres mtodos de configuracin (NAI, direccin IP y nodo predeterminado), consulte Seccin Address en la pgina 747.
730 Gua de administracin del sistema: servicios IP Septiembre de 2010
Por ejemplo, para modificar el SPI de la direccin IP 10.1.1.1 a 258, utilice el siguiente comando:
# mipagentconfig change addr 10.1.1.1 SPI 258
Ejemplo 286
Escriba el comando correspondiente para cada etiqueta que quiera agregar o eliminar en la seccin designada:
731
Nota Para agregar una interfaz, escriba lo siguiente: # mipagentconfig add adv device-name
En este caso se asignan a la interfaz valores predeterminados (tanto para el agente externo como para el interno).
Ejemplo 287
Ejemplo 288
Eliminacin de SPI
En el ejemplo siguiente se muestra cmo eliminar el parmetro de seguridad SPI SPI 257.
# mipagentconfig delete SPI 257
Cmo mostrar los valores actuales de los parmetros del archivo de configuracin
Se puede utilizar el comando mipagentconfig get para mostrar los valores actuales asociados con los destinos de los parmetros.
732
Asuma la funcin de Administrador principal, o convirtase en superusuario, en el sistema en el que quiera activar IP mvil. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Escriba el comando siguiente para cada uno de los parmetros cuyo valor quiera mostrar:
# mipagentconfig get [<parameter> | <label>]
Por ejemplo, si quiere mostrar los valores de anuncio del dispositivo hme0, utilice el siguiente comando:
# mipagentconfig get adv hme0
Key=15111111111111111111111111111111 ReplayMethod=none # mipagentconfig get addr 10.1.1.1 [Address 10.1.1.1] SPI=258 Type=agent # mipagentconfig get addr 192.168.1.200 [Address 192.168.1.200] SPI=257 Type=node
-f -h -p
Muestra la lista de nodos mviles activos en la lista de visitantes del agente externo. Muestra la lista de nodos mviles activos en la tabla de enlace del agente interno. Muestra la lista de asociaciones de seguridad con los agentes de movilidad equivalentes de un agente.
Ejemplo 2810
Mobile Node
Time (s) Granted --------------- -------------- -----------foobar.xyz.com ha1.xyz.com 600 10.1.5.23 10.1.5.1 1000
Home Agent
En este ejemplo se indica cmo mostrar las asociaciones de seguridad de un agente interno.
# mipagentstat -fp
735
Ejemplo 2811
La primera lnea indica que la direccin IP de destino 10.6.32.11 y la interfaz entrante ip.tun1 seleccionan hme1 como interfaz de reenvo de los paquetes. La lnea siguiente indica que cualquier paquete que se origine desde la interfaz hme1 y la direccin de origen 10.6.32.11 debe reenviarse a ip.tun1.
736
C A P T U L O
29
2 9
En este captulo se describen los componentes incluidos en la implementacin de Solaris de IP para mviles. Para utilizar IP para mviles deber en primer lugar crear el archivo de configuracin de IP para mviles mediante los parmetros y comandos que se describen en este captulo. Este captulo contiene la informacin siguiente:
Descripcin general de la implementacin de IP para mviles en Solaris en la pgina 737 Archivo de configuracin de IP para mviles en la pgina 738 Configuracin del agente de movilidad IP en la pgina 751 Estado de un agente de movilidad de IP para mviles en la pgina 752 Informacin de estado de IP para mviles en la pgina 752 Extensiones de netstat para IP para mviles en la pgina 753 Extensiones snoop de IP para mviles en la pgina 753
Nota La funcin IP mvil se suprime de las actualizaciones de Solaris 10 posteriores a Solaris 10 8/07.
RFC 1918, "Address Allocation for Private Internets" (http://www.ietf.org/rfc/ rfc1918.txt?number=1918) RFC 2002, "IP Mobility Support" (Agent only) (http://www.ietf.org/rfc/ rfc2002.txt?number=2002) RFC 2003, "IP Encapsulation Within IP" (http://www.ietf.org/rfc/ rfc2003.txt?number=2003) RFC 2794, "Mobile IP Network Access Identifier Extension for IPv4" (http://www.ietf.org/rfc/rfc2794.txt?number=2794) RFC 3012, "Mobile IPv4 Challenge/Response Extensions" (http://www.ietf.org/rfc/ rfc3012.txt?number=3012) RFC 3024, "Reverse Tunneling for Mobile IP" (http://www.ietf.org/rfc/ rfc3024.txt?number=3024)
El protocolo de IP para mviles bsico (RFC 2002) no resuelve el problema de distribucin de claves ampliable y trata la distribucin de claves como un problema ortogonal. El software IP para mviles de Solaris utiliza nicamente claves configuradas manualmente, que se especifican en un archivo de configuracin. Las siguientes funciones RFC no son compatibles con la implementacin Solaris de IP para mviles:
RFC 1701, "General Routing Encapsulation" (http://www.ietf.org/rfc/ rfc1701.txt?number-1701) RFC 2004, "Minimal Encapsulation Within IP" (http://www.ietf.org/rfc/ rfc2004.txt?number=2004)
Las siguientes funciones no son compatibles con la implementacin Solaris de IP para mviles:
El reenvo de trfico de multidifusin o de difusin del agente interno al agente externo para un .n, que est visitando una red externa. El enrutamiento de datagramas de difusin y multidifusin a travs de tneles inversos. Las direcciones de auxilio privadas o las direcciones de agente interno privadas.
Secciones y etiquetas del archivo de configuracin en la pgina 742 describe los nombres de seccin, las etiquetas y los posibles valores.
mipagentconfiguracin-sample Contiene un ejemplo de configuracin para un agente de IP para mviles que ofrece funciones de agente externo e interno mipagentconfiguracin.fa-sample Contiene un ejemplo de configuracin para un agente de IP para mviles que ofrece nicamente funciones de agente externo mipagentconfiguracin.ha-sample Contiene un ejemplo de configuracin para un agente de IP para mviles que ofrece nicamente funciones de agente interno
Estos archivos de configuracin de ejemplo contienen parmetros de direccin y seguridad de nodo mvil. Antes de poder implementar IP para mviles, se debe crear un archivo de configuracin con el nombre mipagent.conf y situarlo en el directorio /etc/inet. Este archivo contiene los valores de configuracin adecuados para los requisitos de su implementacin de IP para mviles. Tambin puede elgir uno de los archivos de configuracin de ejemplo, modificarlo con sus valores de direcciones y seguridad y copiarlo en /etc/inet/mipagent.conf. Para ms informacin, consulte Creacin del archivo de configuracin de IP mvil en la pgina 723.
Archivomipagentconfiguracin-sample
En el listado siguiente se muestran las secciones, etiquetas y valores que contiene el archivo mipagentconfiguracin-sample. Secciones y etiquetas del archivo de configuracin en la pgina 742 describe la sintaxis, secciones, etiquetas y valores.
[General] Version = 1.0 # version number for the configuration file. (required)
[Advertisements hme0]
Captulo 29 Archivos y comandos de IP para mviles (referencia) 739
HomeAgent = yes ForeignAgent = yes PrefixFlags = yes AdvertiseOnBcast = yes RegLifetime = 200 AdvLifetime = 200 AdvFrequency = 5 ReverseTunnel = no ReverseTunnelRequired = no [GlobalSecurityParameters] MaxClockSkew = 300 HA-FAauth = yes MN-FAauth = yes Challenge = no KeyDistribution = files [Pool 1] BaseAddress = 10.68.30.7 Size = 4 [SPI 257] ReplayMethod = none Key = 11111111111111111111111111111111 [SPI 258] ReplayMethod = none Key = 15111111111111111111111111111111 [Address 10.1.1.1] Type = node SPI = 258 [Address mobilenode@sun.com] Type = node SPI = 257 Pool = 1 [Address Node-Default] Type = node SPI = 258 Pool = 1 [Address 10.68.30.36] Type = agent SPI = 257
Archivo mipagentconfiguracin.fa-sample
En el listado siguiente se muestran las secciones, etiquetas y valores que contiene el archivo mipagentconfiguracin.fa-sample. Secciones y etiquetas del archivo de configuracin en la pgina 742 describe la sintaxis, secciones, etiquetas y valores. El archivo mipagentconfiguracin.fa-sample muestra una configuracin que ofrece nicamente funciones de agente externo. Este archivo de ejemplo no contiene una seccin Pool (Agrupacin) porque las agrupaciones solo las emplean los agentes internos. Por lo dems, el archivo es idntico a mipagent.confsample.
740 Gua de administracin del sistema: servicios IP Septiembre de 2010
[Advertisements hme0] HomeAgent = no ForeignAgent = yes PrefixFlags = yes AdvertiseOnBcast = yes RegLifetime = 200 AdvLifetime = 200 AdvFrequency = 5 ReverseTunnel = yes ReverseTunnelRequired = no [GlobalSecurityParameters] MaxClockSkew = 300 HA-FAauth = yes MN-FAauth = yes Challenge = no KeyDistribution = files [SPI 257] ReplayMethod = none Key = 11111111111111111111111111111111 [SPI 258] ReplayMethod = none Key = 15111111111111111111111111111111 [Address 10.1.1.1] Type = node SPI = 258 [Address 10.68.30.36] Type = agent SPI = 257
Archivo mipagentconfiguracin.ha-sample
En el listado siguiente se muestran las secciones, etiquetas y valores que contiene el archivo mipagentconfiguracin.ha-sample. Secciones y etiquetas del archivo de configuracin en la pgina 742 describe la sintaxis, secciones, etiquetas y valores. El archivo mipagentconfiguracin.ha-sample muestra una configuracin que ofrece nicamente funciones de agente interno. Por lo dems, el archivo es idntico a mipagentconfiguracin-sample.
[General] Version = 1.0 # version number for the configuration file. (required)
[Advertisements hme0] HomeAgent = yes ForeignAgent = no PrefixFlags = yes AdvertiseOnBcast = yes RegLifetime = 200
Captulo 29 Archivos y comandos de IP para mviles (referencia) 741
AdvLifetime = 200 AdvFrequency = 5 ReverseTunnel = yes ReverseTunnelRequired = no [GlobalSecurityParameters] MaxClockSkew = 300 HA-FAauth = yes MN-FAauth = yes Challenge = no KeyDistribution = files [Pool 1] BaseAddress = 10.68.30.7 Size = 4 [SPI 257] ReplayMethod = none Key = 11111111111111111111111111111111 [SPI 258] ReplayMethod = none Key = 15111111111111111111111111111111 [Address 10.1.1.1] Type = node SPI = 258 [Address mobilenode@sun.com] Type = node SPI = 257 Pool = 1 [Address Node-Default] Type = node SPI = 258 Pool = 1
General (obligatoria) Advertisements (obligatoria) GlobalSecurityParameters (opcional) Pool (opcional) SPI (opcional) Address (opcional)
Las secciones General y GlobalSecurityParameters contienen informacin relativa al funcionamiento del agente de IP para mviles. Estas secciones solo pueden aparecer una vez en el archivo de configuracin.
742 Gua de administracin del sistema: servicios IP Septiembre de 2010
Seccin General
La seccin General slo contiene una etiqueta: el nmero de versin del archivo de configuracin. La sintaxis de la seccin General es la siguiente:
[General] Version = 1.0
Seccin Advertisements
La seccin Advertisements contiene las etiquetas HomeAgent y ForeignAgent y otras. Se debe incluir una seccin Advertisements distinta para cada interfaz del host local que ofrezca servicios de IP para mviles. La sintaxis de la seccin Advertisements es la siguiente:
[Advertisements interface] HomeAgent = <yes/no> ForeignAgent = <yes/no> . .
Generalmente, un sistema tiene una nica interfaz, por ejemplo eri0 o hme0, y admite operaciones de agente interno y de agente externo. Si se da esta situacin para el ejemplo hme0, el valor yes se asigna a las etiquetas HomeAgent y ForeignAgent, como se indica a continuacin:
[Advertisements hme0] HomeAgent = yes ForeignAgent = yes . .
Para anuncios a travs de interfaces dinmicas, utilice '*' en la parte de ID de dispositivo. Por ejemplo, nombre_interfaz ppp* implica en realidad que se han iniciado todas las interfaces PPP configuradas despus del daemon mipagent. Todos los atributos de la seccin Advertisements de una interfaz dinmica permanecen iguales. En la tabla siguiente se describen las etiquetas y los valores que se pueden utilizar en la seccin Advertisements.
TABLA 291 Etiqueta
HomeAgent
Determina si el daemon mipagent proporciona funcionalidad de agente interno. Determina si el daemon mipagent proporciona funcionalidad de agente externo. Especifica si los anuncios incluyen la extensin prefix-length opcional.
ForeignAgent
PrefixFlags
743
(Continuacin)
Descripcin
AdvertiseOnBcast
yes o no n
Si es yes, los anuncios se envan por 255.255.255.255, en lugar de por 224.0.0.1. Valor de periodo de vida mximo aceptado en las solicitudes de registro, en segundos. Periodo de tiempo mximo que el anuncio se considera vlido en ausencia de otros anuncios, en segundos. Tiempo entre dos anuncios consecutivos, en segundos.
RegLifetime
AdvLifetime
AdvFrequency
ReverseTunnel
yes o noFA o HA o both Determina si mipagent ofrece la funcin de tnel inverso. El valor yes implica que tanto el agente externo como el interno admiten tnel inverso. El valor no significa que la interfaz no admite tnel inverso. El valor FA significa que el agente externo admite tnel inverso. El valor HA significa que el agente interno admite tnel inverso. El valor both implica que tanto el agente externo como el interno admiten tnel inverso.
ReverseTunnelRequired
yes o no
Determina si mipagent requiere la funcin de tnel inverso. En consecuencia, determina si un nodo mvil debe solicitar un tnel inverso durante el registro. El valor yes implica que tanto el agente externo como el interno requieren tnel inverso. El valor no significa que la interfaz no requiere tnel inverso. El valor FA significa que el agente externo requiere un tnel inverso. El valor HA significa que el agente interno requiere un tnel inverso.
AdvInitCount
Determina el nmero inicial de anuncios no solicitados. El valor predeterminado es 1. Este valor slo es significativo si AdvLimitUnsolicited es yes. Activa o desactiva un nmero limitado de anuncios no solicitados a travs de la interfaz de movilidad.
AdvLimitUnsolicited
yes o no
Seccin GlobalSecurityParameters
La seccin GlobalSecurityParameters contiene las etiquetas maxClockSkew, HA-FAauth, MN-FAauth, Challenge y KeyDistribution. La sintaxis de la seccin es la siguiente:
744
[GlobalSecurityParameters] MaxClockSkew = n HA-FAauth = <yes/no> MN-FAauth = <yes/no> Challenge = <yes/no> KeyDistribution = files
El protocolo IP para mviles ofrece proteccin de repeticin de mensajes por el procedimiento de permitir la presencia de marcas de tiempo en los mensajes. Si las horas difieren, el agente interno devuelve un error al nodo mvil con la hora actual y el nodo puede volver a registrarse utilizando la hora actual. La etiqueta MaxClockSkew se utiliza para configurar el nmero mximo de segundos de diferencia entre los relojes del agente interno y del agente externo. El valor predeterminado es de 300 segundos. Las etiquetas HA-FAauth y MN-FAauth activan o desactivan el requisito de autenticacin interna-externa o mvil-externa, respectivamente. El valor predeterminado es desactivado. La etiqueta challenge se utiliza para que el agente externo emita desafos al nodo mvil en sus anuncios. La etiqueta se usa para proteccin de repeticin. El valor predeterminado es tambin desactivado. En la tabla siguiente se describen las etiquetas y los valores que se pueden utilizar en la seccin GlobalSecurityParameters.
TABLA 292 Etiqueta
MaxClockSkew
Nmero de segundos que mipagent acepta como diferencia entre su propia hora local y la encontrada en las solicitudes de registro Especifica si deben estar presentes las extensiones de autenticacin de agente interno-agente externo en las solicitudes y respuestas de registro Especifica si deben estar presentes las extensiones de autenticacin de nodo mvil-agente externo en las solicitudes y respuestas de registro Especifica si el agente externo incluye desafos en sus anuncios de movilidad Se le debe asignar el valor files
HA-FAauth
yes o no
MN-FAauth
yes o no
Challenge
yes o no files
KeyDistribution
Seccin Pool
El agente interno puede asignar a los nodos mviles direcciones dinmicas. La asignacin de direcciones dinmicas se lleva a cabo mediante el daemon mipagent de forma independiente de DHCP. Se puede crear una agrupacin de direcciones que los nodos mviles pueden utilizar mediante la solicitud de una direccin permanente. Las agrupaciones de direcciones se configuran mediante la seccin Pool del archivo de configuracin.
Captulo 29 Archivos y comandos de IP para mviles (referencia) 745
La seccin Pool contiene las etiquetas BaseAddress y Size. La sintaxis de la seccin Pool es la siguiente:
[Pool pool-identifier] BaseAddress = IP-address Size = size Nota Si utiliza un identificador Pool, tambin deber estar en la seccin Address del nodo
mvil. La seccin Pool se utiliza para definir agrupaciones de direcciones que se pueden asignar a los nodos mviles. La etiqueta BaseAddress se utiliza para establecer la primera direccin IP de la agrupacin. La etiqueta Size se utiliza para especificar el nmero de direcciones disponibles en la agrupacin. Por ejemplo, si las direcciones IP 192.168.1.1 a 192.168.1.100 estn reservadas en la agrupacin 10, la entrada de la seccin Pool ser la siguiente:
[Pool 10] BaseAddress = 192.168.1.1 Size = 100 Nota Los intervalos de direcciones no deben abarcar la direccin de difusin. Por ejemplo, no
se debe asignar BaseAddress = 192.168.1.200 y Size = 60, porque este rango abarca la direccin de difusin 192.168.1.255. En la tabla siguiente se describen las etiquetas y valores que se utilizan en la seccin Pool.
TABLA 293 Etiqueta
BaseAddress Size
n.n.n.n n
Seccin SPI
El protocolo de IP para mviles requiere autenticacin de mensajes, por lo tanto se debe identificar el contexto de seguridad mediante el ndice de parmetros de seguridad (SPI). El contexto de seguridad se define en la seccin SPI. Se debe incluir una seccin SPI distinta para cada contexto de seguridad definido. El contexto de seguridad se identifica con un cdigo numrico. El protocolo IP para mviles reserva los primeros 256 SPI. Por lo tanto, slo debe utilizar valores SPI superiores a 256. En la seccin SPI se puede encontrar informacin relacionada con la seguridad, como secretos compartidos y proteccin de repeticin.
746 Gua de administracin del sistema: servicios IP Septiembre de 2010
La seccin SPI contiene tambin las etiquetas ReplayMethod y Key. La sintaxis de la seccin SPI es la siguiente:
[SPI SPI-identifier] ReplayMethod = <none/timestamps> Key = key
Dos equivalentes que se comuniquen deben compartir el mismo identificador SPI. Es necesario configurarlos con la misma clave y mtodo de repeticin. La clave se especifica en forma de cadena de dgitos hexadecimales. La longitud mxima es de 16 bytes. Por ejemplo, si la clave tiene una longitud de 16 bytes y contiene los valores hexadecimales 0 a f, el aspecto de la cadena de la clave ser similar a:
Key = 0102030405060708090a0b0c0d0e0f10
El nmero de dgitos de las claves debe ser par, para corresponderse con la representacin de dos dgitos por byte. En la tabla siguiente se describen las etiquetas y valores que se pueden utilizar en la seccin SPI.
TABLA 294 Etiqueta
ReplayMethod
none o timestamps x
Especifica el tipo de autenticacin de repeticin que se utiliza para el SPI Clave de autenticacin en hexadecimal
Key
Seccin Address
La implementacin de Solaris de IP para mviles permite configurar los nodos mviles con tres mtodos posibles. Cada mtodo se configura en la seccin Address. El primer mtodo sigue el protocolo IP para mviles tradicional, y exige que cada nodo mvil tenga una direccin permanente. El segundo mtodo permite identificar un nodo mvil mediante su Identificador de acceso de red (NAI). El ltimo mtodo permite configurar un nodo mvil predeterminado, que puede utilizar cualquier nodo mvil que tenga el valor de SPI adecuado y el material de clave relacionado.
Nodo mvil
La seccin Address de un nodo mvil contiene las etiquetas Type y SPI, que definen el tipo de direccin y el identificador SPI. La sintaxis de la seccin Address es la siguiente:
[Address address] Type = node SPI = SPI-identifier
Se debe incluir una seccin Address en el archivo de configuracin de un agente interno por cada nodo para mviles que se admita.
Captulo 29 Archivos y comandos de IP para mviles (referencia) 747
Si se exige autenticacin de mensajes de IP para mviles entre el agente externo y el agente interno, se debe incluir una seccin Address por cada equivalente con el que un agente necesita comunicarse. El valor de SPI configurado debe representar una seccin SPI que est presente en el archivo de configuracin. Tambin puede configurar direcciones privadas para un nodo mvil. En la tabla siguiente se describen las etiquetas y los valores que se pueden utilizar en la seccin Address de un nodo mvil.
TABLA 295 Etiqueta
Type SPI
nodo n
Especifica que la entrada es para un nodo mvil Especifica el valor de SPI para la entrada asociada
Agente de movilidad
La seccin Address de un agente de movilidad contiene las etiquetas Type y SPI, que definen el tipo de direccin y el identificador SPI. La seccin Address de un agente de movilidad presenta la siguiente sintaxis:
[Address address] Type = agent SPI = SPI-identifier
Se debe incluir una seccin Address en el archivo de configuracin de un agente interno por cada agente de movilidad que se admita. Si se requiere autenticacin de mensajes IP entre los agentes interno y externo, debe incluirse una seccin Address para cada equivalente con el que un agente desee comunicarse. El valor de SPI configurado debe representar una seccin SPI que est presente en el archivo de configuracin. En la tabla siguiente se describen las etiquetas y valores que se pueden utilizar en la seccin Address de un agente de movilidad.
TABLA 296 Etiqueta
Type
agent
748
(Continuacin)
SPI
Para utilizar agrupaciones, los nodos mviles se deben identificar mediante su NAI. La seccin Address permite configurar un NAI, en lugar de una direccin permanente. Un NAI tiene el formato usuario@dominio. La etiqueta Pool se utiliza para especificar la agrupacin de direcciones que se debe utilizar para asignar la direccin permanente al nodo mvil. En la tabla siguiente se describen las etiquetas y los valores que se pueden utilizar en la seccin Address para un nodo mvil identificado por su NAI.
TABLA 297 Etiqueta
nodo n n
Especifica que la entrada es para un nodo mvil Especifica el valor de SPI para la entrada asociada Asigna la agrupacin desde la que se asigna una direccin a un nodo mvil
Deber tener secciones SPI y Pool correspondientes a las etiquetas SPI y Pool definidas en una seccin Address con un nodo mvil identificado por su NAI, como se muestra en la figura siguiente.
749
FIGURA 291
Secciones SPI y Pool correspondientes para la seccin Address en un nodo mvil identificado
por su NAI
SPI 251
POOL 10
El parmetro Node-Default permite reducir el tamao del archivo de configuracin. En caso contrario, cada nodo mvil necesitara su propia seccin. Sin embargo, el parmetro Node-Default implica un riesgo de seguridad. Si un nodo mvil deja de ser de confianza, es necesario actualizar la informacin de seguridad en todos los nodos mviles de confianza. Se trata de una tarea muy tediosa. Sin embargo, se puede utilizar el parmetro Node-Default en redes en las que los riesgos de seguridad no tienen importancia. En la tabla siguiente se describen las etiquetas y valores que se pueden utilizar en la seccin Address para un nodo mvil predeterminado.
TABLA 298 Etiqueta
nodo n n
Especifica que la entrada es para un nodo mvil Especifica el valor de SPI para la entrada asociada Asigna la agrupacin desde la que se asigna una direccin a un nodo mvil
Deber tener secciones SPI y Pool correspondientes a las etiquetas SPI y Pool definidas en una seccin Address con un nodo mvil predeterminado, como se muestra en la figura siguiente.
750
FIGURA 292
Secciones SPI y Pool correspondientes para la seccin Address en un nodo mvil predeterminado
SPI 251
POOL 10
En la tabla siguiente se describen todos los comandos que se pueden utilizar con mipagentconfig para crear o modificar parmetros en el archivo de configuracin /etc/inet/mipagent.conf.
TABLA 299 Orden
Subcomandos de mipagentconfig
Descripcin
add
Se utiliza para agregar parmetros de anuncio, de seguridad, SPI y direcciones al archivo de configuracin Se utiliza para modificar parmetros de anuncio, de seguridad, SPI y direcciones en el archivo de configuracin Se utiliza para eliminar parmetros de anuncio, de seguridad, SPI y direcciones del archivo de configuracin Se utiliza para mostrar los valores actuales del archivo de configuracin
change
delete
get
Consulte la pgina del comando man mipagentconfig(1M)para ver una descripcin de los parmetros de los comandos y de los valores que pueden adquirir. En Modificacin del archivo de configuracin de IP mvil en la pgina 727 se detallan procedimientos que utilizan el comando mipagentconfig.
751
Lista de visitantes de agente externo Home Agent Time (s) Remaining --------125 10 Flags ----.....T. .....T.
Mobile Node
Time (s) Granted --------------- -------------- -----------foobar.xyz.com ha1.xyz.com 600 10.1.5.23 10.1.5.1 1000
EJEMPLO 292
Tabla de enlace de agente interno Home Agent Time (s) Remaining --------125 10 Flags ----.....T. .....T.
Mobile Node
Time (s) Granted --------------- -------------- -----------foobar.xyz.com fa1.tuv.com 600 10.1.5.23 123.2.5.12 1000
Consulte la pgina de comando man mipagentstat(1M) para obtener ms informacin sobre las opciones del comando. En Presentacin del estado del agente de movilidad en la pgina 734 se detallan procedimientos que utilizan el comando mipagentstat.
752
Routing Table: IPv4 Source-Specific Destination In If Source Gateway Flags Use Out If -------------- ------- ------------ --------- ----- ---- ------10.6.32.11 ip.tun1 -10.6.32.97 UH 0 hme1 -hme1 10.6.32.11 -U 0 ip.tun1
En el ejemplo se muestran las rutas para un agente externo que utiliza un tnel inverso. La primera lnea indica que la direccin IP de destino 10.6.32.11 y la interfaz entrante ip.tun1 seleccionan hme1 como interfaz de reenvo de los paquetes. La siguiente lnea indica que todos los paquetes con origen en la interfaz hme1 y la direccin de origen 10.6.32.11 deben reenviarse a ip.tun1.
mip-mn2# snoop Using device /dev/hme (promiscuous mode) mip-fa2 -> 224.0.0.1 ICMP Router advertisement (Lifetime 200s [1]: {mip-fa2-80 2147483648}), (Mobility Agent Extension), (Prefix Lengths), (Padding) mip-mn2 -> mip-fa2 Mobile IP reg rqst mip-fa2 -> mip-mn2 Mobile IP reg reply (OK code 0)
En este ejemplo se muestra que el nodo mvil ha recibido uno de los anuncios de agente de movilidad enviados peridicamente desde el agente externo, mip-fa2. A continuacin, mip-mn2 ha enviado una solicitud de registro a mip-fa2 y, a cambio, ha recibido una respuesta de registro. En la respuesta se indica que el nodo mvil se ha registrado satisfactoriamente con su agente interno.
753
754
P A R T E
V I
IPMP
Esta parte introduce las mltiples rutas de redes IP (IPMP) y contiene las tareas necesarias para administrar IPMP. IPMP proporciona funciones de deteccin de fallos y conmutacin por error para las interfaces de un sistema que estn conectadas al mismo vnculo.
755
756
C A P T U L O
30
3 0
Las mltiples rutas de redes IP (IPMP) detectan los fallos en la interfaz fsica y conmutan por error el acceso a la red de forma transparente para un sistema con varias interfaces en el mismo vnculo IP. IPMP tambin permite repartir la carga de los paquetes para los sistemas con varias interfaces. Este captulo contiene la informacin siguiente:
Por qu debe utilizar IPMP en la pgina 757 Requisitos bsicos de IPMP en la pgina 761 Direcciones IPMP en la pgina 762 Componentes IPMP de Oracle Solaris en la pgina 758 Configuraciones de interfaces IPMP en la pgina 764 Funciones de deteccin de fallos IPMP y recuperacin en la pgina 766 IPMP y reconfiguracin dinmica en la pgina 770
Para conocer las tareas de configuracin de IPMP, consulte el Captulo 31, Administracin de IPMP (tareas).
direcciones IP de la interfaz fallida. El destinatario de estas direcciones es una interfaz en funcionamiento del grupo IPMP de la interfaz fallida. La funcin de conmutacin tras error de IPMP mantiene la conectividad e impide la interrupcin de cualquier conexin. Asimismo, IPMP mejora el rendimiento global de la red al expandir automticamente el trfico de la red por un conjunto de interfaces del grupo IPMP. Este proceso se denomina expansin de carga.
El daemon in.mpathd, que se describe detalladamente en la pgina del comando man in.mpathd(1M). El archivo de configuracin /etc/default/mpathd, que tambin se describe en la pgina del comando man in.mpathd(1M). Opciones ifconfig para la configuracin de IPMP, tal como se describe en la pgina del comando man ifconfig(1M).
El daemon in.mpathd detecta fallos y reparaciones enviando sondeos a todas las interfaces que forman parte de un grupo IPMP. El daemon in.mpathd tambin detecta fallos y reparaciones supervisando el indicador RUNNING en cada interfaz del grupo. Consulte la pgina del comando man in.mpathd(1M) para obtener ms informacin.
Nota No se admite DHCP para administrar direcciones de datos IPMP. Si intenta utilizar DHCP en estas direcciones, DHCP finalmente abandonar el control de dichas direcciones. No utilice DHCP en las direcciones de datos.
758
Vnculo IP
En terminologa IPMP, un vnculo IP es una utilidad de comunicacin o medio a travs del cual los nodos se pueden comunicar en la capa del vnculo de datos del conjunto de protocolos de Internet. Los tipos de vnculos IP podran incluir redes Ethernet simples, Ethernet con puente, concentradores o redes de modalidad de transferencia asncrona (ATM). Un vnculo IP puede tener uno o ms nmeros de subred IPv4 y, si es preciso, uno o ms prefijos de subred IPv6. No se puede asignar el mismo nmero o prefijo de subred a ms de un vnculo IP. En ATM LANE, un vnculo IP es una sola red de rea local (LAN) emulada. Con el protocolo de resolucin de direcciones (ARP), el alcance del protocolo ARP es un nico vnculo IP.
Nota Otros documentos relacionados con IP, como RFC 2460, Internet Protocol, Version 6 (IPv6) Specification, utilizan el trmino vnculo en lugar de vnculo IP. La parte VI utiliza el trmino vnculo IP para evitar la confusin con IEEE 802. En IEEE 802, vnculo hace referencia a una nica conexin entre una tarjeta de interfaz de red Ethernet (NIC) y un conmutador Ethernet.
Interfaz fsica
La interfaz fsica proporciona una conexin del sistema con un vnculo IP. Esta conexin se suele implementar como un controlador de dispositivos y una NIC. Si un sistema tiene varias interfaces conectadas al mismo vnculo, puede configurar IPMP para que lleve a cabo la conmutacin por error si falla una de las interfaces. Para obtener mas informacin sobre las interfaces fsicas, consulte Configuraciones de interfaces IPMP en la pgina 764.
Grupo IPMP
Un grupo de mltiples rutas IP, o grupo IPMP, se compone de una o ms interfaces fsicas en el mismo sistema configuradas con el mismo nombre de grupo IPMP. Todas las interfaces del grupo IPMP deben estar conectadas al mismo vnculo IP. El mismo nombre de grupo IPMP de cadena de caracteres (no nula) identifica a todas las interfaces del grupo. Puede colocar interfaces de NIC de diferentes velocidades en el mismo grupo IPMP, siempre que las NIC sean
Captulo 30 Introduccin a IPMP (descripcin general) 759
del mismo tipo. Por ejemplo, en el mismo grupo puede configurar las interfaces de NIC Ethernet de 100 megabits y las interfaces de NIC Ethernet de 1 gigabit. A modo de ejemplo, supongamos que tiene dos tarjetas NIC Ethernet de 100 megabits. Puede configurar una de las interfaces con 10 megabits y seguir colocando las dos interfaces en el mismo grupo IPMP. No es posible colocar dos interfaces de distintos tipos de medios en un grupo IPMP. Por ejemplo, no puede colocar una interfaz ATM en el mismo grupo que una interfaz Ethernet.
La ruta de transmisin o recepcin de la interfaz han fallado. La conexin de la interfaz al vnculo IP est inactiva. El puerto del conmutador no transmite ni recibe paquetes. La interfaz fsica de un grupo IPMP no est presente en el inicio del sistema.
Tras detectar un fallo, IPMP inicia la conmutacin por error. La conmutacin por error es el proceso automtico de conmutar el acceso de red de una interfaz fallida a una interfaz fsica que funcione del mismo grupo. El acceso a red incluye unidifusin, multidifusin y trfico de emisin IPv4, as como unidifusin, multidifusin y trfico de emisin IPv6. La conmutacin por error slo se produce si se ha configurado ms de una interfaz en el grupo IPMP. El proceso de conmutacin por error garantiza un acceso ininterrumpido a la red.
Sistemas de destino
La deteccin de errores basada en sondeos utiliza los sistemas de destino para determinar la condicin de una interfaz. Cada sistema de destino debe estar conectado al mismo vnculo IP que los miembros del grupo IPMP. El daemon in.mpathd del sistema local enva mensajes de sondeo de ICMP a cada sistema de destino. Los mensajes de sondeo ayudan a determinar el estado de cada interfaz del grupo IPMP. Para obtener ms informacin sobre el uso del sistema de destino en la deteccin de fallos basada en sondeos, consulte Deteccin de fallos basada en sondeos en la pgina 767.
760 Gua de administracin del sistema: servicios IP Septiembre de 2010
Reconfiguracin dinmica
La reconfiguracin dinmica (DR) es la capacidad de volver a configurar un sistema mientras se ejecuta, prcticamente con ningn impacto o con ninguno en absoluto en las operaciones en curso. No todas las plataformas de Sun admiten DR. Es posible que algunas plataformas de Sun slo admitan DR de determinados tipos de hardware. En las plataformas que admiten DR de NIC, se puede utilizar IPMP para conmutar por error de modo transparente el acceso de red y proporcionar acceso de red ininterrumpido al sistema. Para obtener ms informacin sobre cmo IPMP admite DR, consulte IPMP y reconfiguracin dinmica en la pgina 770.
Todas las interfaces de un grupo IPMP deben tener direcciones MAC nicas. De modo predeterminado, todas las interfaces de red de sistemas basados en SPARC comparten una nica direccin MAC. De este modo, debe cambiar explcitamente la configuracin predeterminada para poder utilizar IPMP en sistemas basados en SPARC. Para obtener ms informacin, consulte Cmo planificar un grupo IPMP en la pgina 777.
Todas las interfaces de un grupo IPMP deben tener el mismo tipo de medio. Si desea ms informacin, consulte Grupo IPMP en la pgina 759. Todas las interfaces de un grupo IPMP deben estar conectadas al mismo vnculo IP. Si desea ms informacin, consulte Grupo IPMP en la pgina 759.
Nota No se admiten varios grupos IPMP en el mismo dominio de emisin de capa de vnculo (L2 o capa 2). Normalmente, un dominio de emisin L2 se asigna a una subred especfica. Por lo tanto, debe configurar slo un grupo IPMP por subred.
761
Direcciones IPMP
En funcin de los requisitos de deteccin de fallos, es posible que deba utilizar tipos especficos de interfaces de red o configurar direcciones IP adicionales en cada interfaz de red. Consulte Deteccin de fallos basada en vnculos en la pgina 766 y Deteccin de fallos basada en sondeos en la pgina 767.
Direcciones IPMP
Puede configurar la deteccin de fallos IPMP en redes IPv4 y de pila doble, y redes IPv4 e IPv6. Las interfaces que se configuran con IPMP admiten dos tipos de direcciones: direcciones de datos y direcciones de prueba.
Direcciones de datos
Las direcciones de datos son direcciones IPv4 e IPv6 convencionales que se asignan a una interfaz de NIC durante el inicio o manualmente mediante el comando ifconfig. El trfico de paquetes IPv4 estndar y, si es aplicable, el trfico de paquetes IPv6 mediante una interfaz se considera trfico de datos.
Direcciones de prueba
Las direcciones de prueba son direcciones especficas IPMP que utiliza el daemon in.mpathd. Para que una interfaz utilice la deteccin de fallos basada en sondeos y la reparacin, debe estar configurada como mnimo con una direccin de prueba.
Nota Slo es necesario configurar direcciones de prueba si se va a utilizar la deteccin de fallos basada en sondeos.
El daemon in.mpathd utiliza las direcciones de prueba para el intercambio de sondeos ICMP (denominado tambin trfico de sondeos) con otros destinos del vnculo IP. El trfico de sondeos ayuda a determinar el estado de la interfaz y su NIC, incluida la informacin sobre si una interfaz ha fallado. Los sondeos verifican que la ruta de envo y recepcin de la interfaz est funcionando correctamente. Cada interfaz puede configurarse con una direccin de prueba IP. Para una interfaz de una red de doble pila, puede configurar una direccin de prueba IPv4, una direccin de prueba IPv6 o tanto la direccin de prueba IPv4 como la IPv6. Tras el fallo de una interfaz, las direcciones de prueba permanecen en la interfaz fallida de modo que in.mpathd puede seguir enviando sondeos para comprobar las posteriores reparaciones. Debe configurar de modo especfico las direcciones de prueba para que las aplicaciones no las utilicen por accidente. Para ms informacin, consulte Cmo evitar que las aplicaciones utilicen direcciones de prueba en la pgina 764.
762 Gua de administracin del sistema: servicios IP Septiembre de 2010
Direcciones IPMP
Para ms informacin sobre la deteccin de fallos basada en sondeos, consulte Deteccin de fallos basada en sondeos en la pgina 767.
Para obtener ms informacin sobre las direcciones locales de vnculo, consulte Direccin unidifusin local de vnculo. Cuando un grupo IPMP tiene conectadas direcciones tanto IPv4 como IPv6 en todas las interfaces del grupo, no es necesario configurar direcciones de IPv4 aparte. El daemon in.mpathd puede utilizar las direcciones locales de vnculo IPv6 como direcciones de prueba.
Captulo 30 Introduccin a IPMP (descripcin general) 763
Para crear una direccin de prueba IPv6, consulte la tarea Cmo configurar un grupo IPMP con mltiples interfaces en la pgina 779.
Precaucin La convencin que se utiliza para denominar redes VLAN puede conducir a errores
al configurar redes VLAN como grupo IPMP. Para obtener ms detalles acerca de nombres de VLAN, consulte Etiquetas VLAN y puntos de conexin fsicos en la pgina 162 de System Administration Guide: IP Services. Considere el ejemplo de cuatro redes VLAN bge1000, bge1001, bge2000 y bge2001. La implementacin de IPMP precisa que estas VLAN se agrupen del siguiente modo: bge1000 y bge1001 pertenecen a un grupo de la misma VLAN 1, mientras bge2000 y bge2001 pertenecen a otro grupo de la misma VLAN 2. Debido a los nombres de VLAN, pueden darse con frecuencia errores como mezclar VLAN que pertenecen a varios vnculos en un grupo IPMP, por ejemplo, bge1000 y bge2000.
Configuracin activa-activa
Un grupo IPMP de dos interfaces en el que ambas interfaces estn "activas", es decir, que pueden transmitir tanto trfico de datos como trfico de sondeos en cualquier momento Grupo IPMP de dos interfaces en el que una interfaz se configura como "reserva".
Configuracin activa-reserva
Deteccin de fallos basada en vnculos, si la admite el controlador de la NIC Deteccin de fallos basada en sondeos, cuando se configuran las direcciones de prueba Deteccin de interfaces que no estaban presentes durante el inicio
La pgina del comando man in.mpathd(1M) describe detalladamente el modo en que el daemon in.mpathd controla la deteccin de fallos de la interfaz.
766
Para determinar si la interfaz de otro proveedor admite la deteccin de fallos basada en vnculos, consulte la documentacin del fabricante. Estos controladores de interfaces de red supervisan el estado del vnculo de la interfaz y notifican al subsistema de red si dicho estado cambia. Cuando se notifica un cambio, el subsistema de red establece o borra el indicador RUNNING para dicha interfaz, segn sea preciso. Si el daemon detecta que el indicador RUNNING de la interfaz se ha borrado, el daemon rechaza inmediatamente la interfaz.
767
deteccin de fallos en el archivo /etc/default/mpathd. Para obtener instrucciones, consulte Cmo configurar el archivo /etc/default/mpathd en la pgina 797. Para un tiempo de deteccin de reparaciones de 10 segundos, la velocidad de sondeo es de aproximadamente un sondeo cada dos segundos. El tiempo mnimo de deteccin de reparaciones predeterminado es el doble del tiempo de deteccin de fallos, es decir, 20 segundos, ya que debe recibirse la respuesta de 10 sondeos consecutivos. Los tiempos de deteccin de fallos y reparaciones slo se aplican a la deteccin de fallos basada en sondeos.
Nota En un grupo IPMP compuesto por redes VLAN, la deteccin de fallos basada en vnculos se implementa por vnculos fsicos y, por lo tanto, afecta a todas las redes VLAN del vnculo en cuestin. La deteccin de fallos basada en sondeos se realiza por vnculos VLAN. Por ejemplo, bge0/bge1 y bge1000/bge1001 se configuran en un mismo grupo. Si el cable para bge0 est desconectado, la deteccin de fallos basada en vnculos no indicar que bge0 y bge1000 hayan fallado de manera inmediata. Sin embargo, si no se puede alcanzar ningn destino de sondeo de bge0, slo se indicar que ha fallado bge0, porque bge1000 tiene sus propios destinos de sondeo en su red VLAN.
Fallos de grupo
Un fallo de grupo tiene lugar cuando todas las interfaces de un grupo IPMP fallan al mismo tiempo. El daemon in.mpathd no lleva a cabo conmutaciones por error para un fallo de grupo. Asimismo, no se puede realizar ninguna conmutacin por error si todos los sistemas de destino fallan de forma simultnea. En este caso, in.mpathd vaca todos los sistemas de destino actuales y descubre nuevos sistemas de destino.
768
hme0: flags=9000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.85.19 netmask ffffff00 broadcast 192.168.85.255 groupname test hme0:1: flags=9000843<UP,BROADCAST,RUNNING,MULTICAST,DEPRECATED,IPv4,NOFAILOVER> mtu 1500 index 2 inet 192.168.85.21 netmask ffffff00 broadcast 192.168.85.255 hme1: flags=9000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 8 inet 192.168.85.20 netmask ffffff00 broadcast 192.168.85.255 groupname test hme1:1: flags=9000843<UP,BROADCAST,RUNNING,MULTICAST,DEPRECATED,IPv4,NOFAILOVER> mtu 1500 index 2 inet 192.168.85.22 netmask ffffff00 broadcast 192.168.85.255 hme0: flags=a000841<UP,RUNNING,MULTICAST,IPv6,NOFAILOVER> mtu 1500 index 2 inet6 fe80::a00:20ff:feb9:19fa/10 groupname test hme1: flags=a000841<UP,RUNNING,MULTICAST,IPv6,NOFAILOVER> mtu 1500 index 2 inet6 fe80::a00:20ff:feb9:1bfc/10 groupname test
EJEMPLO 302
hme0: flags=19000842<BROADCAST,RUNNING,MULTICAST,IPv4, NOFAILOVER,FAILED> mtu 0 index 2 inet 0.0.0.0 netmask 0 groupname test hme0:1: flags=19040843<UP,BROADCAST,RUNNING,MULTICAST,DEPRECATED,IPv4, NOFAILOVER,FAILED> mtu 1500 index 2 inet 192.168.85.21 netmask ffffff00 broadcast 10.0.0.255 hme1: flags=9000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.85.20 netmask ffffff00 broadcast 192.168.85.255 groupname test hme1:1: flags=9000843<UP,BROADCAST,RUNNING,MULTICAST,DEPRECATED,IPv4, NOFAILOVER> mtu 1500 index 2 inet 192.168.85.22 netmask ffffff00 broadcast 10.0.0.255 hme1:2: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 6 inet 192.168.85.19 netmask ffffff00 broadcast 192.168.18.255 hme0: flags=a000841<UP,RUNNING,MULTICAST,IPv6,NOFAILOVER,FAILED> mtu 1500 index 2 inet6 fe80::a00:20ff:feb9:19fa/10 groupname test hme1: flags=a000841<UP,RUNNING,MULTICAST,IPv6,NOFAILOVER> mtu 1500 index 2 inet6 fe80::a00:20ff:feb9:1bfc/10 groupname test
769
Puede ver que el indicador FAILED aparece en hme0 para indicar que la interfaz ha fallado. Observe tambin que se ha creado hme1:2. hme1:2 era originalmente hme0. La direccin 192.168.85.19 se convierte en accesible mediante hme1. Los miembros multidifusin asociados con 192.168.85.19 pueden seguir recibiendo paquetes, pero ahora los reciben mediante hme1. Cuando se produce el fallo de la direccin 192.168.85.19 de hme0 a hme1, se crea la direccin ficticia 0.0.0.0 en hme0. La direccin ficticia se crea para que se pueda seguir accediendo a hme0. hme0:1 no puede existir sin hme0. La direccin de prueba se elimina cuando tiene lugar una recuperacin tras los errores. De modo similar, se produce la conmutacin por error de la direccin IPv6 de hme0 a hme1. En IPv6, los miembros de multidifusin se asocian con ndices de interfaz. Los miembros de multidifusin tambin se conmutan por error de hme0 a hme1. Tambin se mueven todas las direcciones configuradas por in.ndpd. Esta accin no se muestra en los ejemplos. El daemon in.mpathd sigue realizando el sondeo a travs de la interfaz fallida hme0. Cuando el daemon recibe 10 respuestas consecutivas para un tiempo de deteccin de reparaciones predeterminado de 20 segundos, determina que la interfaz se ha reparado. Dado que el indicador RUNNING tambin se establece en hme0, el daemon invoca la recuperacin tras los errores. Despus de la recuperacin tras los errores, se restablece la configuracin original. Para ver una descripcin de todos los mensajes de error registrados en la consola durante los fallos y las reparaciones, consulte la pgina del comando man in.mpathd(1M).
770
Informacin detallada sobre el comando cfgadm Informacin especfica sobre DR en el entorno de Sun Cluster Informacin especfica sobre DR en el entorno de Sun Fire Informacin introductoria sobre DR y el comando cfgadm Tareas para administrar grupos IPMP en un sistema que admite DR
Pgina del comando man cfgadm(1M) Sun Cluster 3.1 System Administration Guide Sun Fire 880 Dynamic Reconfiguration Guide Captulo 6, Dynamically Configuring Devices (Tasks) de System Administration Guide: Devices and File Systems Sustitucin de una interfaz fsica fallida en sistemas que admiten reconfiguracin dinmica en la pgina 792
Conexin de NIC
Puede agregar interfaces a un grupo IPMP en cualquier momento utilizando el comando ifconfig, tal como se describe en Cmo configurar un grupo IPMP con mltiples interfaces en la pgina 779. De este modo, cualquier interfaz de los componentes del sistema que conecte tras el inicio del sistema se podr sondear y agregar a un grupo IPMP existente. Si es preciso, puede configurar las interfaces que acaba de agregar en su propio grupo IPMP. Estas interfaces y las direcciones de datos que se configuran en ellas estn inmediatamente disponibles para el grupo IPMP. Sin embargo, para que el sistema configure y utilice las interfaces automticamente tras un reinicio, debe crear un archivo /etc/hostname.interfaz para cada interfaz nueva. Para obtener ms informacin, consulte Cmo configurar una interfaz fsica tras la instalacin del sistema. Si ya existe un archivo /etc/hostname.interfaz cuando se conecta la interfaz, RCM configura automticamente la interfaz de acuerdo con el contenido de este archivo. De este modo, la interfaz recibe la misma configuracin que habra recibido tras el inicio del sistema.
Desconexin de NIC
Todas las solicitudes para desconectar los componentes del sistema que contengan NIC se comprueban antes para garantizar el mantenimiento de la conectividad. Por ejemplo, de modo predeterminado no puede desconectar una NIC que no se encuentre en un grupo IPMP. Tampoco puede desconectar una NIC que contenga las nicas interfaces en funcionamiento de un grupo IPMP. Sin embargo, si debe eliminar el componente del sistema, puede modificar este comportamiento con la opcin -f de cfgadm, tal como se explica en la pgina del comando man cfgadm(1M).
Captulo 30 Introduccin a IPMP (descripcin general) 771
Si las comprobaciones son correctas, las direcciones de datos asociadas con la NIC desconectada conmutarn por error a una NIC en funcionamiento del mismo grupo, como si la NIC que se desconecta hubiera fallado. Cuando se desconecta la NIC, todas las direcciones de prueba de las interfaces NIC se desconfiguran. A continuacin, la NIC se desconecta del sistema. Si falla alguno de estos pasos, o falla la DR de otro hardware del mismo componente del sistema, se restablece el estado original de la configuracin anterior. Recibir un mensaje de estado sobre este evento. De lo contrario, la solicitud de desconexin se completar correctamente. Ya podr eliminar el componente del sistema. Las conexiones existentes no se interrumpen.
Reconexin de NIC
RCM registra la informacin de configuracin asociada con cualquier NIC que se desconecte de un sistema en ejecucin. Como consecuencia, RCM trata la reconexin de una NIC que se ha desconectado previamente del mismo modo que lo hara con la conexin de una nueva NIC. Por tanto, RCM slo realiza conexiones. Sin embargo, las NIC reconectadas cuentan con un archivo /etc/hostname. interfaz. En ese caso, RCM configura automticamente la interfaz de acuerdo con el contenido del archivo /etc/hostname. interfaz. Asimismo, RCM informa al daemon in.mpathd de cada direccin de datos que se aloj originalmente en la interfaz reconectada. Cuando la interfaz reconectada funciona correctamente, todas sus direcciones de datos se recuperan tras los errores en la interfaz reconectada como si se hubiera reparado. Si la NIC que se reconecta no tiene ningn archivo /etc/hostname. interfaz, no hay ninguna informacin de configuracin disponible. RCM no tiene informacin sobre cmo configurar la interfaz. Una consecuencia de esta situacin es que las direcciones que se haban conmutado por error a otra interfaz no se recuperarn tras los errores.
Si no existe ninguna direccin alternativa, recibir mensajes de error similares a los siguientes:
772 Gua de administracin del sistema: servicios IP Septiembre de 2010
moving addresses from failed IPv4 interfaces: hme0 (couldnt move; no alternative interface) moving addresses from failed IPv6 interfaces: hme0 (couldnt move; no alternative interface) Nota En este caso de deteccin de fallos, slo se mueven a una interfaz alternativa las direcciones de datos que se especifican en el archivo /etc/hostname. interfaz de la interfaz que falta. Cualquier direccin que se obtenga por otros medios, como RARP o DHCP, no se obtendr ni se mover.
Si se reconecta con DR una interfaz con el mismo nombre que otra interfaz que no estaba presente durante el inicio del sistema, RCM sondea la interfaz automticamente. A continuacin, RCM configura la interfaz de acuerdo con el contenido del archivo /etc/hostname.interfaz de la interfaz. Finalmente, RCM recupera tras los errores las direcciones de datos, como si la interfaz se hubiera reparado. Por tanto, la configuracin de red final es idntica a la configuracin que se habra realizado si el sistema se hubiera iniciado con la interfaz presente.
773
774
C A P T U L O
31
3 1
En este capitulo se describen las tareas para administrar grupos de interfaces con mltiples rutas de redes IP (IPMP). Se abordan los siguientes temas principales:
Configuracin de IPMP (mapas de tareas) en la pgina 775 Configuracin de grupos IPMP en la pgina 777 Mantenimiento de grupos IPMP en la pgina 789 Sustitucin de una interfaz fsica fallida en sistemas que admiten reconfiguracin dinmica en la pgina 792 Recuperacin de una interfaz fsica que no estaba presente durante el inicio del sistema en la pgina 794 Modificacin de configuraciones IPMP en la pgina 796
Para obtener una descripcin general de los conceptos de IPMP, consulte el Captulo 30, Introduccin a IPMP (descripcin general).
Enumera toda la informacin auxiliar y las tareas necesarias para poder configurar un grupo IPMP.
775
Tarea
Descripcin
Configurar un grupo de interfaces IPMP con mltiples interfaces. Configurar un grupo IPMP en el que una de las interfaces es una interfaz de reserva. Configurar un grupo IPMP compuesto por una nica interfaz. Mostrar el grupo IPMP al que pertenece una interfaz fsica.
Configura una de las interfaces de Cmo configurar una interfaz de un grupo de interfaces IPMP como reserva para un grupo IPMP interfaz de reserva. en la pgina 785 Crea un nico grupo de interfaces IPMP. Cmo configurar un grupo IPMP de interfaz nica en la pgina 788
Explica cmo obtener el nombre de Cmo mostrar la pertenencia de un grupo IPMP de la interfaz a una interfaz a un grupo IPMP partir del resultado del comando en la pgina 789 ifconfig. Configura una nueva interfaz como Cmo agregar una interfaz a un miembro de un grupo IPMP grupo IPMP en la pgina 790 existente. Explica cmo eliminar una interfaz Cmo eliminar una interfaz de un de un grupo IPMP. grupo IPMP en la pgina 790 Mueve las interfaces entre los grupos IPMP. Personaliza el tiempo de deteccin de fallos y otros parmetros del daemon in.mpathd. Cmo mover una interfaz de un grupo IPMP a otro grupo en la pgina 791 Cmo configurar el archivo /etc/default/mpathd en la pgina 797
Agregar una interfaz a un grupo IPMP. Eliminar una interfaz de un grupo IPMP. Mover una interfaz de un grupo IPMP existente a otro grupo distinto. Cambiar tres parmetros predeterminados para el daemon in.mpathd.
Eliminar una interfaz que ha fallado. Reemplazar una interfaz que ha fallado. Recuperar una interfaz que no se ha configurado durante el inicio.
Cmo eliminar una interfaz fsica que ha fallado (desconexin en DR) en la pgina 792 Como sustituir una interfaz fsica que ha fallado (conexin en DR) en la pgina 793 Cmo recuperar una interfaz fsica que no est presente al iniciar el sistema en la pgina 794
776
Decida qu interfaces del sistema formarn parte del grupo IPMP. Un grupo IPMP se compone normalmente de, como mnimo, dos interfaces fsicas conectadas al mismo vinculo IP. No obstante, si lo desea, puede configurar un grupo IPMP de interfaz nica. Para ver una introduccin a los grupos IPMP, consulte Configuraciones de interfaces IPMP en la pgina 764. Por ejemplo, puede configurar el mismo conmutador Ethernet o la misma subred IP en el mismo grupo IPMP. Puede configurar la cantidad de interfaces que desee en el mismo grupo IPMP. No puede utilizar el parmetro group del comando ifconfig con interfaces lgicas. Por ejemplo, puede utilizar el parmetro group con hme0, pero no con hme0:1 .
Compruebe que cada interfaz del grupo tenga una direccin MAC exclusiva. Para ver instrucciones, consulte SPARC: Cmo asegurarse de que la direccin MAC de una interfaz sea nica en la pgina 156.
Elija un nombre para el grupo IPMP. Cualquier nombre que no sea nulo ser vlido. Tambin puede utilizar un nombre que identifique el vnculo IP al que estn vinculadas las interfaces.
777
Asegrese de que se inserte y configure el mismo conjunto de mdulos STREAMS en todas las interfaces del grupo IPMP. Todas las interfaces del mismo grupo deben tener configurados los mismos mdulos STREAMS y en el mismo orden. a. Compruebe el orden de los mdulos STREAMS en todas las interfaces del grupo IPMP eventual. Puede imprimir una lista de los mdulos STREAMS utilizando el comando ifconfig interfaz modlist. Por ejemplo, ste es el resultado de ifconfig para una interfaz hme0:
# ifconfig hme0 modlist 0 arp 1 ip 2 hme
Las interfaces existen normalmente como controladores de red justo debajo del mdulo IP, tal como se muestra en el resultado de ifconfig hme0 modlist. No requieren ninguna configuracin adicional. Sin embargo, determinadas tecnologas, como NCA o el Filtro IP, se insertan como mdulos STREAMS entre el mdulo IP y el controlador de red. Es posible que se originen problemas en el comportamiento de las interfaces del mismo grupo IPMP. Si un mdulo STREAMS tiene estado, puede producirse un comportamiento inesperado en la conmutacin por error, aunque se inserte el mismo mdulo en todas las interfaces de un grupo. Sin embargo, puede utilizar mdulos STREAMS sin estado, siempre y cuando los inserte en el mismo orden en todas las interfaces del grupo IPMP. b. Inserte los mdulos de una interfaz en el orden estndar para el grupo IPMP.
ifconfig interface modinsert module-name ifconfig hme0 modinsert ip 5
Utilice el mismo formato de direcciones IP en todas las interfaces del grupo IPMP. Si una interfaz est configurada para IPv4, todas las interfaces del grupo deben estar configuradas para IPv4. Supongamos que tiene un grupo IPMP compuesto por interfaces de varias NIC. Si aade direcciones IPv6 a las interfaces de una tarjeta NIC, todas las interfaces del grupo IPMP se deben configurar para que admitan IPv6.
6 7
Compruebe que todas las interfaces del grupo IPMP estn conectadas al mismo vnculo IP. Compruebe que el grupo IPMP no contenga interfaces con diferentes tipos de medios de red. Las interfaces que estn agrupadas deben tener el mismo tipo de interfaz, de acuerdo con lo que se define en /usr/include/net/if_types.h. Por ejemplo, no puede combinar interfaces Ethernet y Token Ring en un grupo IPMP. Tampoco puede combinar una interfaz de bus Token con las interfaces de modalidad de transferencia asncrona (ATM) del mismo grupo IPMP.
778
En el caso de IPMP con interfaces ATM, configure dichas interfaces en modo de emulacin de LAN. IPMP no se admite para las interfaces que utilicen IP clsica sobre ATM.
Para ver una introduccin a los grupos IPMP de interfaces mltiples, consulte Grupo IPMP en la pgina 759. Para conocer las tareas de planificacin, consulte Planificacin de un grupo IPMP en la pgina 777. Para configurar un grupo IPMP con una sola interfaz fsica, consulte Configuracin de grupos IPMP con una nica interfaz fsica en la pgina 787.
Es preciso que ya haya configurado las direcciones IPv4, y, si es necesario, las direcciones IPv6 de todas las interfaces del grupo IPMP eventual.
Precaucin Debe configurar slo un grupo IPMP para cada subred o dominio de emisin L2. Para obtener ms informacin, consulte Requisitos bsicos de IPMP en la pgina 761
En el sistema cuyas interfaces se deben configurar, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Coloque cada interfaz fsica en un grupo IPMP.
# ifconfig interface group group-name
Por ejemplo, para colocar hme0 y hme1 en el grupo testgroup1, debe escribir los siguientes comandos:
# ifconfig hme0 group testgroup1 # ifconfig hme1 group testgroup1
Captulo 31 Administracin de IPMP (tareas) 779
Evite utilizar espacios en los nombres de grupo. La pantalla de estado de ifconfig no muestra espacios. Por tanto, no cree dos nombres de grupo similares que slo se diferencien en un espacio. Si uno de los nombres de grupo contiene un espacio, aparecern iguales en la pantalla de estado. En un entorno de doble pila, si se coloca una instancia IPv4 de una interfaz en un grupo especfico, automticamente se coloca la instancia IPv6 en el mismo grupo.
3
(Opcional) Configure una direccin de prueba IPv4 en una o ms interfaces fsicas. Slo debe configurar una direccin de prueba si desea utilizar la deteccin de fallos basada en sondeos en una interfaz especfica. Las direcciones de prueba se configuran como interfaces lgicas de la interfaz fsica que especifica para el comando ifconfig. Si una interfaz del grupo va a convertirse en la interfaz de reserva, no configure ninguna direccin de prueba para la interfaz en este momento. Configure una direccin de prueba para la interfaz de reserva como parte de la tarea Cmo configurar una interfaz de reserva para un grupo IPMP en la pgina 785. Utilice la siguiente sintaxis del comando ifconfig para configurar una direccin de prueba:
# ifconfig interface addif ip-address parameters -failover deprecated up
Por ejemplo, para la interfaz de red principal hme0 debe crear la siguiente direccin de prueba:
# ifconfig hme0 addif 192.168.85.21 netmask + broadcast + -failover deprecated up
Este comando configura los siguientes parmetros para la interfaz de red principal hme0:
La direccin se establece en 192.168.85.21. La direccin de emisin y la mscara de red se configuran con el valor predeterminado. Se establecen las opciones -failover y deprecated.
Nota Debe marcar una direccin de prueba IPv4 como deprecated para evitar que las aplicaciones utilicen la direccin de prueba.
Compruebe la configuracin de IPv4 para una interfaz especfica. Puede ver el estado de una interfaz en cualquier momento escribiendo ifconfig interfaz. Para obtener mas informacin sobre cmo ver el estado de una interfaz, consulte Cmo obtener informacin sobre una interfaz especfica. Puede obtener informacin sobre la configuracin de la direccin de prueba para una interfaz fsica especificando la interfaz lgica que est asignada a la direccin de prueba.
# ifconfig hme0:1 hme0:1: flags=9000843<UP,BROADCAST,RUNNING,MULTICAST,DEPRECATED,IPv4,NOFAILOVER> mtu 1500 index 2 inet 192.168.85.21 netmask ffffff00 broadcast 192.168.85.255
780
Las interfaces fsicas con direcciones IPv6 se colocan en el mismo grupo IPMP que las direcciones IPv4 de las interfaces. Esto sucede al configurar la interfaz fsica con direcciones IPv4 en un grupo IPMP. Si coloca primero las interfaces fsicas con direcciones IPv6 en un grupo IPMP, las interfaces fsicas con direcciones IPv4 tambin se colocan implcitamente en el mismo grupo IPMP. Por ejemplo, para configurar hme0 con una direccin de prueba IPv6, debe escribir lo siguiente:
# ifconfig hme0 inet6 -failover
No es necesario marcar una direccin de prueba IPv6 como descartada para impedir que las aplicaciones utilicen la direccin de prueba.
6
En esta instancia, la direccin IPv4 de prueba se configura slo despus de reiniciar. Si desea invocar la configuracin en la sesin actual, lleve a cabo los pasos 1, 2, y, opcionalmente, 3.
Esta direccin IPv6 de prueba se configura slo despus del reinicio. Si desea invocar la configuracin en la sesin actual, lleve a cabo los pasos 1, 2, y, opcionalmente, 5.
8
(Opcional) Agregue ms interfaces al grupo IPMP repitiendo los pasos del 1 al 6. Puede agregar nuevas interfaces a un grupo existente en un sistema en funcionamiento. No obstante, los cambios se perdern al reiniciar.
Ejemplo 311
Configurar la direccin de emisin y la mascara de red con el valor predeterminado. Configurar la interfaz con una direccin de prueba 192.168.85.21.
781
Debe marcar una direccin de prueba IPv4 como deprecated para evitar que las aplicaciones utilicen la direccin de prueba. Consulte Cmo configurar un grupo IPMP con mltiples interfaces en la pgina 779. Para activar el atributo de conmutacin por error de la direccin, debe utilizar la opcin failover sin el guin. Todas las direcciones IP de prueba de un grupo IPMP deben utilizar el mismo prefijo de red. Las direcciones IP de prueba deben pertenecer a una nica subred IP.
Ejemplo 312
La interfaz fsica hme0 con la direccin de datos 192.168.85.19. Una interfaz lgica con la direccin de prueba 192.168.85.21.
Nota En este ejemplo, la interfaz fsica y la direccin de datos estn emparejadas. La interfaz lgica y la direccin de prueba. No obstante, no existen relaciones inherentes entre un "tipo" de interfaz y el tipo de direccin.
Las opciones deprecated y -failover configuradas. La direccin de emisin y la mscara de red se configuran con el valor predeterminado.
De modo similar, para colocar la segunda interfaz hme1 bajo el mismo grupo testgroup1 y configurar una direccin de prueba, debe agregar la lnea siguiente:
192.168.85.20 netmask + broadcast + group testgroup1 up \ addif 192.168.85.22 deprecated -failover netmask + broadcast + up Ejemplo 313
782
De modo similar, para colocar la segunda interfaz hme1 en el grupo testgroup1 y configurar una direccin de prueba, debe agregar la lnea siguiente al archivo /etc/hostname6.hme1:
-failover group testgroup1 up Errores ms frecuentes
Durante la configuracin del grupo IPMP, in.mpathd genera una serie de mensajes para la consola del sistema o el archivo syslog. Estos mensajes son informativos e indican que la configuracin de IPMP funciona correctamente.
Este mensaje indica que la interfaz hme0 se ha agregado al grupo IPMP testgroup1. Sin embargo, hme0 no tiene configurada una direccin de prueba. Para permitir la deteccin de fallos basada en sondeos, debe asignar una direccin de prueba a la interfaz.
May 24 14:09:57 host1 in.mpathd[101180]: No test address configured on interface hme0; disabling probe-based failure detection on it. testgroup1
Este mensaje aparece para todas las interfaces que slo tengan direcciones IPv4 agregadas a un grupo IPMP.
May 24 14:10:42 host4 in.mpathd[101180]: NIC qfe0 of group testgroup1 is not plumbed for IPv6 and may affect failover capability
Este mensaje aparece al configurar una direccin de prueba para una interfaz.
Created new logical interface hme0:1 May 24 14:16:53 host1 in.mpathd[101180]: Test address now configured on interface hme0; enabling probe-based failure detection on it
Vase tambin
Si desea que el grupo IPMP tenga una configuracin de reserva activa, vaya a Cmo configurar una interfaz de reserva para un grupo IPMP en la pgina 785.
Asegrese de que los posibles destinos estn disponibles y ejecutndose. Cree una lista de sus direcciones IP. Asegrese de que las interfaces de destino se encuentren en la misma red que el grupo IPMP que est configurando. La mscara de red y la direccin de emisin de los sistemas de destino deben ser las mismas que las direcciones del grupo IPMP. El host de destino debe poder responder a las solicitudes de ICMP desde la interfaz que utiliza la deteccin de fallos basada en sondeos.
Inicie sesin con su cuenta de usuario en el sistema en el que va a configurar la deteccin de fallos basada en sondeos. Agregue una ruta a un host particular para utilizar como destino en la deteccin de fallos basada en sondeos.
$ route add -host destination-IP gateway-IP -static
Sustituya los valores de IP_destino e IP_portal por la direccin IPv4 del host que se utilizar como destino. Por ejemplo, escriba lo siguiente para especificar el sistema de destino 192.168.85.137, que se encuentra en la misma subred que las interfaces del grupo IPMP testgroup1.
$ route add -host 192.168.85.137 192.168.85.137 -static 3
Agregue rutas a los host adicionales de la red para utilizar como sistemas de destino.
En el sistema en el que ha configurado un grupo IPMP, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Cree una secuencia de shell que configure rutas estticas para los destinos propuestos. Por ejemplo, puede crear una secuencia de shell denominada ipmp.targets con el siguiente contenido:
TARGETS="192.168.85.117 192.168.85.127 192.168.85.137" case "$1" in start)
784
/usr/bin/echo "Adding static routes for use as IPMP targets" for target in $TARGETS; do /usr/sbin/route add -host $target $target done ;; stop) /usr/bin/echo "Removing static routes for use as IPMP targets" for target in $TARGETS; do /usr/sbin/route delete -host $target $target done ;; esac 3
El prefijo S70 del nombre de archivo S70ipmp.targets ordena la nueva secuencia correctamente con respecto a las dems secuencias de inicio.
Debe tener todas las interfaces configuradas como miembros del grupo IPMP. No debe configurar ninguna direccin de prueba en la interfaz que se convertir en la interfaz de reserva.
Para obtener informacin sobre cmo configurar un grupo IPMP y asignar direcciones de prueba, consulte Cmo configurar un grupo IPMP con mltiples interfaces en la pgina 779.
1
En el sistema cuyas interfaces de reserva se deben configurar, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Captulo 31 Administracin de IPMP (tareas) 785
Una interfaz de reserva slo puede tener una direccin IP (la direccin de prueba). Debe configurar la opcin -failover antes de configurar la opcin standby up. Para <other-parameters>, utilice los parmetros que requiera su configuracin, segn lo descrito en la pgina del comando man ifconfig(1M).
Por ejemplo, para crear una direccin de prueba IPv4, debe escribir el siguiente comando: hme1 192.168.85.22 deprecated -failover standby Define hme1 como interfaz tpica para configurar como interfaz de reserva. Asigna esta direccin de prueba a la interfaz de reserva. Indica que la direccin de prueba no se utiliza para los paquetes salientes. Indica que la direccin de prueba no conmuta por error si falla la interfaz. Marca la interfaz como interfaz de reserva.
Por ejemplo, para crear una direccin de prueba IPv6, debe escribir el siguiente comando:
# ifconfig hme1 plumb -failover standby up
El indicador INACTIVE significa que esta interfaz no se utiliza para ningn paquete saliente. Cuando se produce una conmutacin por error en esta interfaz de reserva, se borra el indicador INACTIVE.
Nota Puede ver el estado de una interfaz en cualquier momento escribiendo el comando ifconfig interfaz. Para ms informacin sobre cmo ver el estado de la interfaz, consulte Cmo obtener informacin sobre una interfaz especfica en la pgina 211 . 4
(Opcional) Mantenga la interfaz de reserva IPv4 despus de reiniciar. Asigne la interfaz de reserva al mismo grupo IPMP, y configure una direccin de prueba para la interfaz de reserva.
786
Por ejemplo, para configurar hme1 como interfaz de reserva, debe agregar la siguiente lnea al archivo /etc/hostname.hme1:
192.168.85.22 netmask + broadcast + deprecated group test -failover standby up 5
(Opcional) Conserve la interfaz de reserva IPv6 tras los reinicios. Asigne la interfaz de reserva al mismo grupo IPMP, y configure una direccin de prueba para la interfaz de reserva. Por ejemplo, para configurar hme1 como interfaz de reserva, agregue la lnea siguiente al archivo /etc/hostname6.hme1:
-failover group test standby up
Ejemplo 314
La interfaz fsica hme2 como interfaz de reserva. La direccin de prueba 192.168.85.22. Las opciones deprecated y -failover configuradas. La direccin de emisin y la mscara de red se configuran con el valor predeterminado.
La interfaz se marca como interfaz de reserva slo despus de que la direccin se marque como direccin NOFAILOVER. Debe eliminar el estado de reserva de una interfaz escribiendo lo siguiente:
# ifconfig interface -standby
787
En el sistema con el eventual grupo IPMP de interfaz nica, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Para IPv4, cree el grupo IPMP de interfaz nica. Utilice la siguiente sintaxis para asignar la interfaz nica a un grupo IPMP.
# ifconfig interface group group-name
Tras realizar este paso, IPMP permite la deteccin de fallos basada en vnculos en la interfaz. Adems, puede utilizar el subcomando -failover del comando ifconfig para habilitar la deteccin de fallos basada en sonda. En el ejemplo siguiente se muestra la deteccin de fallos basada en sonda de hme0 mediante la direccin IP asignada actualmente a hme0:
# ifconfig hme0 -failover
A diferencia de los grupos de interfaz mltiple, la misma direccin IP puede ser de datos y de prueba. Para que las aplicaciones puedan utilizar la direccin de prueba como direccin de datos, las direcciones de prueba nunca se deben marcar como deprecated en los grupos IPMP de interfaz nica.
3
Para IPv6, cree el grupo IPMP de interfaz nica. Utilice la siguiente sintaxis para asignar la interfaz nica a un grupo IPMP:
# ifconfig interface inet6 group group-name
Por ejemplo, para agregar la interfaz nica hme0 en el grupo IPMP v6test, escriba lo siguiente:
# ifconfig hme0 inet6 group v6test
Tras realizar este paso, IPMP permite la deteccin de fallos basada en vnculos en la interfaz. Adems, puede utilizar el subcomando -failover del comando ifconfig para habilitar la deteccin de fallos basada en sonda. En el ejemplo siguiente se muestra la deteccin de fallos basada en sonda de hme0 mediante la direccin IP asignada actualmente a hme0:
# ifconfig hme0 inet6 -failover
788
A diferencia de los grupos de interfaz mltiple, la misma direccin IP puede ser de datos y de prueba. Para que las aplicaciones puedan utilizar la direccin de prueba como direccin de datos, las direcciones de prueba nunca se deben marcar como deprecated en los grupos IPMP de interfaz nica. En una configuracin de interfaz fsica nica, no puede comprobar si ha fallado el sistema de destino que se est sondeando o la interfaz. El sistema de destino se puede sondear mediante una nica interfaz fsica. Si slo hay un enrutador predeterminado en la subred, desactive IPMP si hay una nica interfaz fsica en el grupo. Si existe un enrutador distinto para IPv4 e IPv6, o hay varios enrutadores predeterminados, debe sondearse ms de un sistema de destino. De este modo, podr activar IPMP de un modo seguro.
Ejemplo 315
789
Para mostrar el nombre de grupo slo para la informacin de IPv6, debe escribir:
# ifconfig hme0 inet6 hme0: flags=a000841<UP,RUNNING,MULTICAST,IPv6> mtu 1500 index 2 inet6 fe80::a00:20ff:feb9:19fa/10 groupname testgroup1
790
todas las direcciones IP originales. El daemon in.mpathd trata de restaurar la configuracin original de una interfaz que se elimina del grupo. Debe asegurarse de que se restaure la configuracin antes de desconectar la interfaz. Consulte Qu ocurre durante la conmutacin por error de la interfaz en la pgina 769 para ver el aspecto de las interfaces antes y despus de una conmutacin por error.
1
En el sistema con la configuracin de grupo IPMP, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Elimine la interfaz del grupo IPMP.
# ifconfig interface group ""
En el sistema con la configuracin de grupo IPMP, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
791
Sustitucin de una interfaz fsica fallida en sistemas que admiten reconfiguracin dinmica
Al colocar la interfaz en un nuevo grupo se elimina automticamente la interfaz de cualquier grupo existente.
Ejemplo 318
Con este comando se elimina la interfaz hme0 del grupo IPMP test y se coloca en el grupo cs-link.
Sustitucin de una interfaz fsica fallida en sistemas que admiten reconfiguracin dinmica
Esta seccin contiene los procedimientos relativos a la administracin de sistemas que admiten reconfiguracin dinmica (DR).
Nota Las tareas slo se aplican a las capas IP configuradas con el comando ifconfig. Las capas que hay delante o detrs de la capa IP, como ATM u otros servicios, requieren pasos manuales especficos si las capas no estn automatizadas. Los pasos de los procedimientos siguientes permiten desconfigurar interfaces durante la desconexin previa y configurarlas tras la conexin posterior.
Las interfaces fsicas hme0 y hme1 son las interfaces de ejemplo. Ambas interfaces se encuentran en el mismo grupo IPMP. hme0 ha fallado. La interfaz lgica hme0:1 tiene la direccin de prueba. Se est sustituyendo la interfaz fallida por el mismo nombre de interfaz fsica, por ejemplo hme0 por hme0.
792
Sustitucin de una interfaz fsica fallida en sistemas que admiten reconfiguracin dinmica
Nota Puede omitir el paso 2 si la direccin de prueba se conecta utilizando el archivo /etc/hostname.hme0. 1
En el sistema con la configuracin de grupo IPMP, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Visualice la configuracin de la direccin de prueba.
# ifconfig hme0:1 hme0:1: flags=9040842<BROADCAST,RUNNING,MULTICAST,DEPRECATED,IPv4,NOFAILOVER> mtu 1500 index 3 inet 192.168.233.250 netmask ffffff00 broadcast 192.168.233.255
Esta informacin es necesaria para volver a sondear la direccin de prueba cuando se reemplaza la interfaz fsica.
3
Elimine la interfaz fsica. Consulte las siguientes fuentes para obtener una descripcin completa sobre cmo eliminar la interfaz fsica:
Pgina del comando man cfgadm(1M) Sun Enterprise 6x00, 5x00, 4x00, and 3x00 Systems Dynamic Reconfiguration User's Guide Sun Enterprise 10000 DR Configuration Guide
Reemplace la interfaz fsica. Consulte las instrucciones que se incluyen en las siguientes fuentes:
793
Recuperacin de una interfaz fsica que no estaba presente durante el inicio del sistema
Pgina del comando man cfgadm(1M) Sun Enterprise 6x00, 5x00, 4x00, and 3x00 Systems Dynamic Reconfiguration User's Guide Sun Enterprise 10000 DR Configuration Guide o Sun Fire 880 Dynamic Reconfiguration User's Guide
Recuperacin de una interfaz fsica que no estaba presente durante el inicio del sistema
Nota El siguiente procedimiento slo se aplica a las capas IP configuradas con el comando
ifconfig. Las capas que hay delante o detrs de la capa IP, como ATM u otros servicios, requieren pasos manuales especficos si las capas no estn automatizadas. Los pasos especficos del siguiente procedimiento permiten desconfigurar interfaces durante la desconexin previa y configurarlas tras la conexin posterior. La recuperacin tras la reconfiguracin dinmica es automtica para una interfaz que forma parte de la placa de E/S de una plataforma Sun FireTM. Si la tarjeta NIC es una Sun Crypto Accelerator I - cPCI, la recuperacin tambin es automtica. Como resultado, no es necesario realizar los pasos siguientes para una interfaz que se recupera como parte de una operacin de DR. Para obtener ms informacin sobre los sistemas Sun Fire x800 y Sun Fire 15000, consulte la pgina del comando man cfgadm_sbd(1M) La interfaz fsica vuelve a la configuracin especificada en el archivo /etc/hostname. interfaz. Consulte Configuracin de grupos IPMP en la pgina 777 para obtener ms detalles sobre cmo configurar las interfaces para que conserven la configuracin tras un reinicio.
Nota En los sistemas Sun Fire (Exx00) antiguos, la desconexin DR sigue estando sujeta a los procedimientos manuales. Sin embargo, las conexiones en DR estn automatizadas.
Cmo recuperar una interfaz fsica que no est presente al iniciar el sistema
Debe completar el procedimiento siguiente para recuperar una interfaz fsica que no estaba presente al iniciar el sistema. El ejemplo de este procedimiento est configurado del modo siguiente:
Las interfaces fsicas son hme0 y hme1. Ambas interfaces se encuentran en el mismo grupo IPMP. hme0 no estaba instalada durante el inicio del sistema.
794
Recuperacin de una interfaz fsica que no estaba presente durante el inicio del sistema
Nota La recuperacin tras error de direcciones IP durante la recuperacin de una interfaz fsica
fallida puede tardar hasta tres minutos. Este tiempo puede variar en funcin del trfico de la red. El tiempo tambin depende de la estabilidad de la interfaz entrante para recuperar las interfaces fallidas mediante el daemon in.mpathd.
1
En el sistema con la configuracin de grupo IPMP, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Recupere la informacin de red fallida del mensaje de error del registro de la consola. Consulte la pgina del comando man syslog(3C) El mensaje de error podra ser similar al siguiente:
moving addresses from failed IPv4 interfaces: hme1 (moved to hme0)
Este mensaje indica que las direcciones IPv4 de la interfaz fallida hme1 han fallado para la interfaz hme0. Tambin podra recibir un mensaje como el siguiente:
moving addresses from failed IPv4 interfaces: hme1 (couldnt move, no alternative interface)
Este mensaje indica que no se ha podido encontrar ninguna interfaz activa en el mismo grupo que la interfaz fallida hme1. Por tanto, las direcciones IPv4 de hme1 no se han podido conmutar por error.
3
Conecte la interfaz fsica al sistema. Consulte las siguientes instrucciones para reemplazar la interfaz fsica:
Pgina del comando man cfgadm(1M) Sun Enterprise 10000 DR Configuration Guide Sun Enterprise 6x00, 5x00, 4x00, and 3x00 Systems Dynamic Reconfiguration User's Guide
Consulte el contenido del paso 2. Si no se pueden mover las direcciones, vaya al paso 6. Si se han podido mover las direcciones, contine con el paso 5.
795
Desconecte las interfaces lgicas que se configuraron como parte del proceso de conmutacin por error. a. Revise el contenido del archivo /etc/hostname. movido_de_interfaz para determinar qu interfaces lgicas se han configurado como parte del proceso de conmutacin por error. b. Desconecte cada direccin IP de conmutacin por error.
# ifconfig moved-to-interface removeif moved-ip-address Nota Las direcciones de conmutacin por error se marcan con el parmetro failover, o no
se marcan con el parmetro -failover. No es necesario desconectar las direcciones IP marcadas con -failover. Por ejemplo, supongamos que el contenido del archivo /etc/hostname.hme0 contiene las lneas siguientes:
inet 10.0.0.4 -failover up group one addif 10.0.0.5 failover up addif 10.0.0.6 failover up
Para desconectar cada direccin IP de conmutacin tras error, escriba los comandos siguientes:
# ifconfig hme0 removeif 10.0.0.5 # ifconfig hme0 removeif 10.0.0.6 6
Reconfigure la informacin de IPv4 para la interfaz fsica reemplazada escribiendo el comando siguiente para cada interfaz eliminada:
# ifconfig removed-from-NIC <parameters>
796
donde n es el tiempo en segundos para que los sondeos ICMP detecten si se ha producido un fallo de la interfaz. El valor predeterminado es de 10 segundos. b. Escriba el nuevo valor para el parmetro FAILBACK.
FAILBACK=[yes | no]
yes: El valor yes es el comportamiento de recuperacin tras fallo predeterminado de IPMP. Cuando se detecta la reparacin de una interfaz fallida, el acceso de red recupera la interfaz reparada, tal como se describe en Funciones de deteccin de fallos IPMP y recuperacin en la pgina 766. no: El valor no indica que el trfico de datos no se devuelve a una interfaz reparada. Cuando se detecta la reparacin de una interfaz fallida, se configura el indicador INACTIVE para dicha interfaz. Este indicador significa que la interfaz no se va a utilizar para el trfico de datos. La interfaz se puede seguir utilizando para el trfico de sondeos. Por ejemplo, supongamos que un grupo IPMP se compone de dos interfaces, ce0 y ce1. A continuacin, supongamos que se configura el valor FAILBACK=no en /etc/default/mpathd. Si falla ce0, su trfico fallar para ce1, de acuerdo con el comportamiento de IPMP. No obstante, cuando IPMP detecta que se ha reparado ce0 , el trfico no se recupera de ce1, debido al parmetro FAILBACK=no de /etc/default/mpathd. La interfaz ce0 conserva su estado INACTIVE y no se utiliza para trfico a menos que falle la interfaz ce1. Si falla la interfaz ce1, las direcciones de ce1 se migran de nuevo a ce0, cuyo indicador INACTIVE se borra. Esta migracin tiene lugar siempre y cuando ce0 sea la nica interfaz INACTIVE del grupo. Si hay otras interfaces INACTIVE en el grupo, las direcciones podran migrarse a una interfaz INACTIVE que no sea ce0.
797
yes: El valor yes es el comportamiento predeterminado de IPMP. Este parmetro hace que IPMP omita las interfaces de red que no estn configuradas en un grupo IPMP. no: El valor no define la deteccin de fallos y la reparacin para todas las interfaces de red, independientemente de si estn configuradas en un grupo IPMP. Sin embargo, cuando se detecta un fallo o reparacin en una interfaz que no est configurada en un grupo IPMP, no tiene lugar ninguna recuperacin tras error o conmutacin por error. Por tanto, el valor no slo resulta til para comunicar errores y no mejora directamente la disponibilidad de la red.
798
P A R T E
V I I
799
800
C A P T U L O
32
3 2
IP Quality of Service (IPQoS) permite priorizar, controlar y realizar un seguimiento de las estadsticas de control. Utilizando IPQoS, puede ofrece un nivel de servicio estable a los usuarios de la red. Tambin puede administrar el trfico para evitar que se congestione la red. A continuacin puede ve runa lista de temas de este captulo:
Conceptos bsicos de IPQoS en la pgina 801 Proporcionar calidad de servicio con IPQoS en la pgina 804 Mejorar la eficacia de la red con IPQoS en la pgina 805 Modelo de servicios diferenciados en la pgina 807 Reenvo del trfico en una red con IPQoS en la pgina 812
Delegar los niveles de servicio a diferentes gurpos, como clientes o departamentos de una empresa
801
Priorizar los servicios de red que se ofrecen a grupos o aplicaciones especficos Descubrir y eliminar reas de cuello de botella de la red y otros tipos de congestin Supervisar el rendimiento de la red y proporcionar estadsticas de rendimiento Regular el ancho de banda hasta y desde recursos de red
Funciones de IPQoS
IPQoS proporciona las siguientes funciones:
ipqosconf Herramienta de lnea de comandos para configurar la directiva QoS Clasificador que selecciona acciones basadas en filtros que configuran la directiva QoS de la organizacin Mdulo de medicin para medir el trfico de red que cumple el modelo Diffserv Diferenciacin del servicio basada en la posibilidad de marcar el encabezado IP de un paquete con informacin de redireccin Mdulo de control de flujo que realiza un seguimiento de las estadsticas de flujo de trfico Seguimiento de las estadsticas de clases de trfico mediante el uso del comando UNIX kstat Compatibilidad con la arquitectura SPARC y x86 Compatibilidad con direcciones IPv4 e IPv6 Interoperatividad con la arquitectura de seguridad IPsec Compatibilidad con marcados de prioridad de usuario 802.1D para redes de rea local virtuales (VLAN)
Ferguson, Paul y Geoff Huston. Quality of Service. John Wiley & Sons, Inc., 1998. Kilkki, Kalevi. Differentiated Services for the Internet. Macmillan Technical Publishing, 1999.
802
RFC 2474, Definicin del campo de servicios diferenciados (DS) en los encabezados IPv4 e IPv6 (http://www.ietf.org/rfc/rfc2474.txt?number=2474): describe una mejora del campo de tipo de servicio (ToS) o campos DS de los encabezados de paquetes IPv4 e IPv6 para admitir servicios diferenciados. RFC 2475, An Architecture for Differentiated Services (http://www.ietf.org/rfc/ rfc2475.txt?number=2475): proporciona una descripcin detallada de la organizacin y de los mdulos de la arquitectura Diffserv. RFC 2597, Assured Forwarding PHB Group (http://www.ietf.org/rfc/ rfc2597.txt?number=2597): describe cmo funciona el comportamiento por salto del reenvo asegurado (AF). RFC 2598, An Expedited Forwarding PHB (http://www.ietf.org/rfc/ rfc2598.txt?number=2598): describe cmo funciona el comportamiento por salto de reenvo acelerado (EF). Borrador de Internet, Un modelo de administracin informal para enrutadores Diffserv: presenta un modelo para implementar la arquitectura Diffserv en enrutadores.
ipqosconf(1M) - Describe el comando para definir el archivo de configuracin IPQoS ipqos(7ipp) Describe la implementacin IPQoS del modelo de arquitectura Diffserv ipgpc(7ipp) Describe la implementacin IPQoS de un clasificador Diffserv tokenmt(7ipp) Describe el medidor IPQoS tokenmt tswtclmt(7ipp) Describe el medidor IPQoS tswtclmt dscpmk(7ipp) Describe el mdulo marcador DSCP dlcosmk(7ipp) Describe el mdulo marcador de prioridad de usuario IPQoS 802.1D flowacct(7ipp) Describe el mdulo de control de flujo IPQoS
803
acctadm(1M): describe el comando de configuracin de funciones de contabilidad ampliada de Oracle Solaris. El comando acctadm incluye extensiones IPQoS.
Grupos independientes de trfico de red denominados clases de servicio. Sistemas de medicin para regular la cantidad de trfico de red de cada clase. Estas medidas controlan el proceso de control del trfico denominado medicin.
804
Una accin que un sistema IPQoS y un enrutador Diffserv deben aplicar al flujo de un paquete. Este tipo de accin se denomina comportamiento por salto (PHB). Cualquier seguimiento de estadsticas que necesite su organizacin para una clase de servicio. Un ejemplo es el trfico generado por un cliente o aplicacin especficos.
Cuando los paquetes se transfieren a la red, el sistema con IPQoS evala los encabezados de los paquetes. La accin que realiza el sistema IPQoS la determina la directiva QoS. Las tareas para disear la directiva QoS se describen en la seccin Planificacin de la directiva de calidad de servicio en la pgina 821.
Cules son las reas de problemas de trfico de su red local? Qu debe hacer para conseguir la utilizacin ptima del ancho de banda disponible?
805
Cules son las aplicaciones de mayor importancia de su organizacin que deben tener la prioridad mxima? Qu aplicaciones pueden congestionarse? Cules son las aplicaciones de menor importancia, que pueden tener la prioridad ms baja?
Aplicaciones muy utilizadas, como correo electrnico y FTP saliente a un servidor especfico, cada una podra ser una clase. Debido a que los empleados utilizan estas aplicaciones constantemente, su directiva QoS puede garantizar una pequea cantidad de ancho de banda y una prioridad ms baja al correo electrnico y FTP. Una base de datos de entrada que debe estar activa las 24 horas del da. Segn la importancia de la aplicacin de base de datos para la empresa, puede asignarle una gran cantidad de ancho de banda y una prioridad alta. Un departamento que realiza un trabajo de vital importancia o que debe tratarse con cuidado, como el departamento de salarios y nminas. La importancia del departamento para la organizacin determina la prioridad y la cantidad de ancho de banda que se le asignar. Llamadas entrantes al sitio web externo de una compaa. A esta clase se le puede asignar una pequea cantidad de ancho de banda con prioridad baja.
806
En esta seccin se explican los mdulos Diffserv tal y como se utilizan en IPQoS. Es necesario conocer estos mdulos, sus nombres y su utilizacin para configurar la directiva QoS. Si necesita informacin detallada sobre cada mdulo, consulte la seccin Arquitectura IPQoS y el modelo Diffserv en la pgina 879.
Direccin de origen Direccin de destino Puerto de origen Puerto de destino Nmero de protocolo
En IPQoS, estos campos se conocen como 5-tuple. El mdulo clasificador de IPQoS se llama ipgpc. El clasificador ipgpc organiza los flujos de trfico en clases basada en caratersticas definidas en el archivo de configuracin IPQoS. Si necesita informacin detallada sobre ipgpc, consulte la seccin Mdulo Classifier en la pgina 879.
Clases IPQoS
Una clase es un grupo de flujos de red que compaten caractersticas similares. Por ejemplo, un ISP puede definir clases que representen los diferentes niveles de servicio ofrecidos a los clientes. Un ASP puede definir acuerdos SLA que asignen diferents niveles de servicio a distintas aplicaciones. En la potica QoS de un ASP, una clase puede incluir trfico FTP saliente destinado a una direccin IP de destino especfica. El trfico saliente del sitio web externo de una empresa tambin puede definirse como una clase.
Captulo 32 Introduccin a IPQoS (Descripcin general) 807
Agrupar el trfico en clases es una parte importante de la planificacin de la directiva QoS. Al crear clases utilizando la herramienta ipqosconf, se est configurando el clasificador ipgpc. Si necesita informacin sobre cmo definir clases, consulte la seccin Cmo definir las clases de la directiva QoS en la pgina 824.
Filtros IPQoS
Los filtros son conjuntos de reglas que contienen parmetros denominados selectores. Cada filtro debe hacer referencia a una clase. IPQoS compara los paquetes con los selectores de cada filtro para determinar si el paquete pertenece a la clase del filtro. Se puede filtrar un paquete utilizando diferentes selectores, por ejemplo, 5-tuple de IPQoS y otros parmetros comunes:
Direccin de origen y direccin de destino Puerto de origen y puerto de destino Nmeros de protocolo ID de usuario ID de proyecto Punto de cdigo de servicios diferenciados (DSCP) ndice de interfaz
Por ejemplo, un filtro sencillo puede incluir el puerto de destino con un valor de 80. A continuacin, el clasificador ipgpc selecciona todos los paquetes que estn vinculados con el puerto de destino 80 (HTTP) y gestiona los paquetes segn lo estipulado en la directiva QoS. Si necesita informacin sobre cmo crear filtros, consulte la seccin Cmo definir filtros en la directiva QoS en la pgina 827.
tokenmt Utiliza un esquema de medicin con conjunto de dos tokens tswtclmt Utiliza un esquema de medicin de ventana de lapso de tiempo
Ambos mdulos de medicin reconocen tres resultados: rojo, amarillo y verde. Las acciones que deben tomarse para cada resultado se definen en los parmetros red_action_name, yellow_action_name y green_action_name .
808 Gua de administracin del sistema: servicios IP Septiembre de 2010
Tambin puede configurar tokenmt para que tenga presente el color. Una instancia de medicin que tenga presente el color utiliza el tamao del paquete, DSCP, tasa de trfico y parmetros configurados para determinar el resultado. El medidor utiliza el DSCP para asignar el resultado del paquete al color verde, amarillo o rojo. Si necesita informacin sobre cmo definir parmetros para los medidores IPQoS, consulte la seccin Cmo planificar el control de flujo en la pgina 828.
dscpmk: marca el campo DS del encabezado de un paquete IP con un valor numrico denominado punto de cdigo de servicios diferenciados o DSCP. Un enrutador que admita Diffserv puede utilizar el punto de cdigo DS para aplicar el comportamiento de reenvo correspondiente al paquete. dlcosmk Marca la etiqueta de red de rea local virtual (VLAN) del encabezado de un frame Ethernet con un valor numrico denominado prioridad de usuario. La prioridad de usuario indica la clase de servicio (CoS), que define el comportamiento de reenvo que debe aplicarse al datagrama. dlcosmk es una adicin de IPQoS que no forma parte del modelo Diffserv designado por IETF.
Si necesita informacin sobre cmo utilizar un sistema de marcadores para la directiva QoS, consulte Cmo planificar el comportamiento de reenvo en la pgina 830.
Tambin puede recopilar estadsticas de otros atributos, como se describe en la seccin Registro de informacin sobre flujos de trfico en la pgina 874, y en las pginas de comando man flowacct(7ipp) y acctadm(1M). Si necesita ms informacin sobre cmo planificar una estrategia de control de flujo, consulte la seccin Cmo planificar la recopilacin de datos de flujo en la pgina 833.
810
FIGURA 321
Trfico entrante
Clasificador (ipgpc)
Medido?
No
Marcador (dscpmk)
Trfico saliente
Esta figura ilustra una secuencia de flujo de trfico comn en un sistema con IPQoS: 1. El clasificador selecciona todos los paquetes del flujo que cumplen los criterios de filtrado de la directiva QoS del sistema. 2. A continuacin, se evalan los paquetes para determinar la accin que se debe ejecutar. 3. El clasificador enva al marcador cualquier trafico que no requiera control de flujo. 4. El trfico que requiere control de flujo se enva al medidor. 5. El medidor fuerza la tasa configurada. A continuacin, el medidor asigna un valor de cumplimiento de trfico a los paquetes de flujo controlado. 6. Se evalan los paquetes de flujo controlado para determinar si necesitan control. 7. El medidor enva al marcador el trfico que no requiere control de flujo. 8. El mdulo de control de flujo recopila estadsticas sobre los paquetes recibidos. A continuacin, el mdulo enva los paquetes al marcador. 9. El marcador asigna un punto de cdigo DS al encabezado del paquete. Este DSCP indica el comportamiento por salto que un sistema con Diffserv debe aplicar al paquete.
Captulo 32 Introduccin a IPQoS (Descripcin general) 811
Punto de cdigo DS
El punto de cdigo DS (DSCP) define en el encabezado del paquete la accin que cualquier sistema con Diffserv debe ejecutar en un paquete marcado. La arquitectura diffserv define un conjunto de puntos de cdigo DS que utilizarn los sistemas con IPQoS y enrutadores diffserv. La arquitectura Diffserv tambin define un conjunto de acciones denominadas comportamientos de reenvo, que corresponden a los DSCP. El sistema IPQoS marca los bits precedentes del campo DS del encabezado del paquete con el DSCP. Cuando un enrutador recibe un paquete con un valor DSCP, aplica el comportamiento de reenvo asociado a dicho DSCP. Despus, el paquete se enva a la red.
Nota El marcador dlcosmk no utiliza el DSCP. En su lugar, dlcosmk marca los encabezados de frame Ethernet con un valor CoS. Si quiere configurar IPQoS en una red que utiliza dispositivos VLAN, consulte la seccin Mdulo marcador en la pgina 884.
banda para paquetes de esta clase. Puede aadir a la directiva QoS otros puntos DSCP que asignen diferentes niveles de precedencia a las clases de trfico. Los sistemas Diffserv asignan ancho de banda a los paquetes de baja precedencia segn las prioridades indicadas en los puntos DSCP de los paquetes. IPQoS admite dos tipos de comportamientos de reenvo, definidos en la arquitectura Diffserv, reenvo acelerado y reenvo asegurado.
Reenvo acelerado
el comportamiento por salto de reenvo acelerado (EF) asegura que cualquier clase de trfico con reenvos EF relacionados con DSCP tiene la mxima prioridad. El trfico con DSCP EF no se pone en cola. EF proporciona una prdida de datos, latencia y demora mnimas. El DSCP recomendado para EF es 101110. Un paquete que est marcado con 101110 recibe una precedencia de baja probabilidad de descarte asegurada al atravesar redes Diffserv hacia su destino. Utilice DSCP EF al asignar prioridad a clientes o aplicaciones con un acuerdo SLA de nivel alto.
Reenvo asegurado
El comportamiento por salto de reenvo asegurado (AF) proporciona cuatro clases de reenvo diferentes que se pueden asignar a un paquete. Cada clase de reenvo proporciona tres precedencias de descarte, tal y como se muestra en la Tabla 372. Los diferentes puntos de cdigo AF permiten asignar distintos niveles de servicio a clientes y aplicaciones. Puede priorizar trfico y servicios de la red al planificar la directiva QoS. Despus, puede asignar diferentes niveles AF para priorizar el trfico.
813
FIGURA 322
ipqos1 10.10.75.14
10.10.0.0 red 10.12.0.0 red 10.13.0.0 red 10.14.0.0 red ipqos2 10.14.60.2
diffrouter1
genrouter
diffrouter2
Los siguientes pasos muestran el flujo del paquete mostrado en la figura. Los pasos comienzan con el progreso de un paquete originado en el host ipqos1. Los pasos continan con varios saltos hasta el host ipqos2. 1. El usuario de ipqos1 ejecuta el comando ftp para acceder al host ipqos2, que est tres saltos ms all. 2. ipqos1 aplica su directiva QoS al flujo de paquetes resultante. Despus, ipqos1 clasifica el trfico ftp. El administrador del sistema ha creado una clase para todo el trfico ftp saliente con origen en la red local 10.10.0.0. Se asigna el comportamiento por salto AF22 al trfico de la clase ftp: clase dos, precedencia de descarte media. Se ha asignado una tasa de flujo de trfico de 2 Mb/seg a la clase ftp. 3. ipqos-1 mide el flujo ftp para determinar si excede la tasa asiganda de 2 Mbit/seg. 4. El marcador de ipqos1 marca los campos DS de los paquetes ftp salientes con el DSCP 010100, que corresponde a AF22 PHB. 5. El enrutador diffrouter1 recibe los paquetes ftp . A continuacin, diffrouter1 comprueba el DSCP. Si diffrouter1 est congestionado, los paquetes marcados con AF22 se descartan. 6. El trfico ftp se reenva al siguiente salto de acuerdo con el comportamiento por salto configurado para AF22 en los archivos de diffrouter1 .
814
7. El trfico ftp atraviesa la red 10.12.0.0 hasta genrouter, que no utiliza Diffserv. Como resultado, el trfico recibe el comportamiento de reenvo "mejor posible". 8. genrouter pasa el trfico ftp a la red 10.13.0.0, donde lo recibe diffrouter2. 9. diffrouter2 utiliza Diffserv. Por lo tanto, el enrutador reenva los paquetes ftp a la red de acuerdo con el PHB definido en la directiva del enrutador para paquetes AF22. 10. ipqos2 recibe el trfico ftp. ipqos2 solicita al usuario de ipqos1 un nombre de usuario y contrasea.
815
816
C A P T U L O
33
3 3
Puede configurar IPQoS en cualquier sistema que ejecute Oracle Solaris. El sistema IPQoS funciona con enrutadores con Diffserv para proporcionar servicios diferenciados y administracin del trfico en una intranet. Este captulo contiene tareas de planificacin para aadir sistemas con IPQoS a una red con Diffserv. Se tratan los temas siguientes.
Planificacin de configuracin IPQoS general (Mapa de tareas) en la pgina 817 Planificacin de la distribucin de la red Diffserv en la pgina 818 Planificacin de la directiva de calidad de servicio en la pgina 821 Planificacin de la directiva QoS (Mapa de tareas) en la pgina 822 Introduccin al ejemplo de configuracin IPQoS en la pgina 834
1. Planificar una distribucin de red Diffserv que incorpore los sistemas con IPQoS.
Adquirir conocimientos sobre las diferentes distribuciones de red Diffserv para determinar cul es la mejor solucin en su caso.
817
Tarea
Descripcin
2. Planificar los diferentes tipos de Organizar los tipos de servicios que Planificacin de la directiva de servicios que ofrecern los sistemas proporciona la red en acuerdos de calidad de servicio IPQoS. nivel de servicio (SLA). en la pgina 821. 3. Planificar la directiva QoS para cada sistema IPQoS. Decidir cules son las funciones de clases, medicin y recopilacin de datos necesarias para cada acuerdo SLA. Establecer las directivas de planificacin y espera en cola del enrutador Diffserv utilizado con los sistemas IPQoS. Planificacin de la directiva de calidad de servicio en la pgina 821. Consulte la documentacin del enrutador si necesita informacin sobre las directivas de espera en cola y planificacin.
Sistemas Oracle Solaris que ofrecen varios servicios, como servidores web o de base de datos Servidores de aplicaciones que ofrecen servicios de correo electrnico, FTP y otras aplicaciones de red comunes Servidores de cach web o proxy Redes de conjuntos de servidores con IPQoS administradas por equilibradores de carga con Diffserv Cortafuegos que administran el trfico de una red heterognea Sistemas IPQoS que forman parte de una red de rea local (LAN) virtual
Puede integrar sistemas IPQoS en una distribucin de red que ya tenga enrutadores con Diffserv en funcionamiento. Si el enrutador que utiliza no admite Diffserv, considere las soluciones Diffserv que ofrecen Cisco Systems, Juniper Networks y otros fabricantes de enrutadores. Si el enrutador local no utiliza Diffserv, se limita a transferir los paquetes marcados al siguiente salto sin evaluar las marcas.
818 Gua de administracin del sistema: servicios IP Septiembre de 2010
FIGURA 331
Encaminador diffserv
Conmutador
Otros sistemas Servidor FTP Servidor de base de datos Oracle Servidor Web
Esta red es slo un segmento de una intranet empresarial. Activando IPQoS en los servidores de aplicaciones y servidores web, puede controlar la tasa a la que cada sistema IPQoS enva el trfico saliente. Si configura el enrutador para utilizar Diffserv, puede obtener un mayor grado de control del trfico entrante y saliente. El ejemplo de esta gua utiliza una configuracin con IPQoS en un nico host. Para ver la distribucin de ejemplo que se utiliza en esta gua, consulte la Figura 334.
819
FIGURA 332
Encaminador
Equilibrador de cargas
Grupos de servidores
En esta distribucin, el enrutador utiliza Diffserv y, por lo tanto, puede poner en cola y tasar el trfico entrante y saliente. El equilibrador de carga tambin utiliza Diffserv y los conjuntos de servidiores usan IPQoS. El equilibrador de carga permite realizar un filtrado adicional al del enrutador utilizando selectores como el ID de usuario o de proyecto. Estos selectores estn incluidos en los datos de aplicacin. Esta configuracin permite controlar el flujo y reenviar el trfico para administrar la congestin en la red local. Tambin evita que el trfico saliente de los conjuntos de servidores sobrecargue otros sectores de la intranet.
IPQoS en un cortafuegos
La siguiente figura muestra un segmento de una red corporativa protegido de otros segmentos mediante un cortafuegos.
820
FIGURA 333
Encaminador diffserv
Cortafuegos
Sistema Solaris PC PC
Otros hosts
En esta configuracin, el trfico fluye hasta un enrutador con Diffserv que filtra y pone en cola los paquetes. Todo el trfico entrante reenviado por el enrutador se transfiere al cortafuegos con IPQoS. Para utilizar IPQoS, el cortafuegos no debe omitir la pila de reenvo de IP. La directiva de seguridad del cortafuegos determina si el trfico entrante puede entrar o salir de la red interna. La directiva QoS controla los niveles de servicio para el trfico entrante que ha pasado el cortafuegos. Segn la directiva QoS, el trfico saliente tambin puede marcarse con un comportamiento de reenvo.
821
TABLA 331
Clase
Clase 1
Filtro 1 Filtro 3
Selector 1 Selector 2
Clase 1
Filtro 2
Selector 1 Selector 2
N/D
N/D
Clase 2
Filtro 1
Selector 1 Selector 2
Clase 2
Filtro 2
Selector 1 Selector 2
N/D
N/D
Puede dividir cada categora principal para definir ms la directiva QoS. En las siguientes secciones se explica cmo obtener informacin sobre las categoras mostradas en la plantilla.
1. Disear la distribucin de red para que sea compatible con IPQoS. 2. Definir las clases en las que los servicios de la red deben dividirse.
Identificar los hosts y enrutadores de la red Cmo preparar una red para IPQoS para proporcionar servicios diferenciados. en la pgina 823 Examinar los tipos de servicios y acuerdos SLA que ofrece su organizacin y determinar las clases de trfico independientes a las que pertenece cada servicio. Determinar el mejor modo de separar el trfico de una clase especfica del flujo de trfico de la red. Cmo definir las clases de la directiva QoS en la pgina 824
822
Tarea
Descripcin
4. Definir tasas de control de flujo para medir el trfico cuando los paquetes salen del sistema IPQoS.
Cmo planificar el control de flujo en la pgina 828 Cmo planificar el comportamiento de reenvo en la pgina 830
5. Definir los puntos DSCP o valores de Planificar un esquema para determinar el prioridad de usuario que se deben untilizar comportamiento de reenvo asignado a un en la directiva QoS. flujo de trfico cuando lo controla el enrutador o nodo. 6. Si procede, definir un plan de supervisin de estadsticas para los flujos de trfico de la red.
Evaluar las clases de trfico para Cmo planificar la recopilacin de datos determinar qu flujos de trfico deben de flujo en la pgina 833 supervisarse por cuestiones de recopilacin de datos o estadsticas.
Nota En el resto de esta seccin se explica cmo planificar la directiva QoS de un sistema con
IPQoS. Para planificar la directiva QoS del enrutador Diffserv, consulte la documentacin y el sitio web del fabricante del enrutador.
Revisar la distribucin de la red. Despus, planificar una estrategia que utilice sistemas IPQoS y enrutadores Diffserv. Para ver ejemplos de distribucin de la red, consulte la seccin Planificacin de la distribucin de la red Diffserv en la pgina 818. Identificar los hosts de la distribucin de red que requieren IPQoS o que pueden ser buenos candidatos para el servicio IPQoS. Determinar qu sistemas con IPQoS pueden usar la misma directiva QoS. Por ejemplo, si piensa activar IPQoS en todos los hosts de la red, identifique los hosts que pueden usar la misma directiva QoS. Cada sistema con IPQoS debe tener una directiva QoS local, que se implementa en el archivo de configuracin IPQoS correspondiente. Aunque puede crear un archivo de configuracin IPQoS que utilicen varios sistemas. Despus puede copiar el archivo de configuracin en los sistemas que tengan los mismos requisitos de directiva QoS. Revisar y realizar cualquier tarea de planificacin requerida por el enrutador Diffserv de la red. Consulte la documentacin y el sitio web del fabricante del enrutador si necesita ms informacin.
Captulo 33 Planificacin para una red con IPQoS (Tareas) 823
En el siguiente procedimiento se asume que ya ha determinado qu sistemas de la red utilizarn IPQoS, como se explica en la seccin Cmo preparar una red para IPQoS en la pgina 823.
1
Crear una tabla de planificacin QoS para organizar la informacin de directiva QoS. Para ver sugerencias, consulte la Tabla 331.
2 3
Realizar el resto de los pasos para cada directiva QoS de la red. Definir las clases que utilizar en la directiva QoS. Las siguientes preguntas son una gua para analizar el trfico de red para posibles definiciones de clases.
Su empresa ofrece acuerdos de nivel de servicio a los clientes? En caso afirmativo, evale los niveles de prioridad relativa de los acuerdos SLA que su empresa ofrece a los clientes. Las mismas aplicaciones pueden ofrecerse a clientes con niveles de prioridad diferentes garantizados. Por ejemplo, su empresa puede ofrecer alojamiento de sitios web a cada cliente, lo que indica que necesita definir una clase para cada sitio web de cliente. Un acuerdo SLA puede ofrecer un sitio web de nivel alto como un nilvel de servicio. Otro acuerdo SLA puede ofrecer un sitio web personal "best-effort" a clientes con descuento. Este factor no slo implica diferentes clases de sitio web sino tambin diferentes comportambientos por salto que se asignan a las clases de sitio web.
El sistema IPQoS ofrece aplicaciones comunes que necesitan control de flujo? Puede mejorar el rendimiento de la red activando IPQoS en servidores que ofrecen aplicaciones comunes que generan mucho trfico. Algunos ejemplos son el correo electrnico, noticias de red y FTP. Considere la posibilidad de crear clases independientes para el trfico entrante y saliente para cada tipo de servicio, si corresponde. Por ejemplo, puede crear una clase mail-in y una clase mail-out para la directiva QoS de un servidor de correo.
824
Cualquier aplicacin importante que requiera comportamientos de reenvo de mxima prioridad debe recibir la mxima prioridad en la cola del enrutador. Los ejemplos ms tpicos son el streaming de vdeo y audio. Definir clases de entrada y clases de salida para estas aplicaciones de alta prioridad. Despus, aadir las clases a las directivas QoS del sistema con IPQoS que proporciona las aplicaciones y del enrutador Diffserv.
La red tiene flujos de trfico que deben controlarse porque consumen grandes cantidades de ancho de banda? Utilizar netstat , snoop y otras herrmientas de supervisin de la red para descubrir los tipos de trfico que causan problemas en la red. Revisar las clases creadas hasta ahora y crear clases para cualquier categora de trfico con problemas no definidos. Si ya ha definido clases para una categora de trfico problemtico, defina tasas para que el medidor controle el trfico. Crear clases para el trfico problemtico en cada sistema con IPQoS de la red. Despus, cada sistema IPQoS puede gestionar el trfico problemtico limitando la tasa a la que el flujo de trfico se enva en la red. Asegrese de definir estas clases de problemas en la directiva QoS del enrutador Diffserv. Despus, el enrutador puede poner en cola y planificar los flujos problemticos de acuerdo con la configuracin de la directiva QoS.
Necesita estadsticas sobre determinados tipos de trfico? Una revisin rpida del acuerdo SLA permite determinar qu tipos de trfico del cliente requieren recopilacin de datos. Si su empresa ofrece acuerdos SLA, es probable que ya haya creado clases para el trfico que requiere recopilacin de datos. Tambin puede definir clases para activar la recopilacin de estadsticas en flujos de trafico qu eest supervisando. Tambin es posilbe crear clases para trfico al que se restringe el acceso por motivos de seguridad.
4 5
Enumerar las clases definidas en la tabla de planificacin QoS creada en el paso 1. Asignar un nivel de prioridad a cada clase. Por ejemplo, el nivel de prioridad 1 representa la clase de prioridad mxima y se asignan priordiades de nivel descendentes al resto de clases. El nivel de priordiad que se asigna slo tiene propsito organizativo. Los niveles de prioridad definidos en la plantilla de directiva QoS no se utilizan en IPQoS. De hecho, puede asignar la misma prioridad a varias clases, si es apropiado para la directiva QoS. Cuando haya terminado de definir las clases, puede definir filtros para cada clase, como se explica en Cmo definir filtros en la directiva QoSen la pgina 827.
Ms informacin
importante si se asignan comportamientos por salto al trfico saliente, como se explica en la seccin Cmo planificar el comportamiento de reenvo en la pgina 830. Adems de asignar un PHB a una clase, tambin puede definir un selector de prioridad en un filtro para la clase. El selector de prioridad est activo slo en el host con IPQoS. Imagine que varias clases con tasas iguales y puntos DSCP idnticos en ocasiones compiten por el ancho de banda al salir del sistema IPQoS. El selector de prioridad de cada clase puede ordenar el nivel de servicio que se asigna a dos clases con valores que de otro modo seran idnticos.
Definir filtros
Puede crear filtros para identificar flujos de paquetes como miembros de una clase especfica. Cada filtro contiene selectores, que definen los criterios para evaluar un flujo de paquetes. El sistema con IPQoS utiliza los criterios de los selectores para extraer paquetes de un flujo de trfico. Despus, el sistema IPQoS asocia los paquetes con una clase. Para ver una intruduccin a los filtros, consulte la seccin Filtros IPQoS en la pgina 808. En la siguiente tabla se enumeran los selectores ms usados. Los cinco selectores representan el 5-tuple IPQoS, que el sistema IPQoS utiliza para identificar paquetes como miembros de un flujo. Para ver una lista completa de selectores, consulte la Tabla 371.
TABLA 332 Nombre
Direccin de origen. Direccin de destino. Nmero de puerto de origen. Puede usar un nmero de puerto conocido, definido en /etc/services o un nmero de puerto definido por el usuario. Nmero de puerto de destino. Nmero de protocolo IP o nombre de protocolo asignado al tipo de flujo de trfico en /etc/protocols. Estilo de direcciones que usar. Se utiliza IPv4 o IPv6. IPv4 es el predeterminado. Contenido del campo DS, es decir, el punto DSCP. Utilice este selector para extraer paquetes entrantes que ya estn marcados con un DSCP especfico. Nivel de prioridad asignado a la clase. Si necesita ms informacin, consulte Cmo definir las clases de la directiva QoS en la pgina 824. El ID de usuario de UNIX o nombre de usuario que se utiliza cuando se ejecuta la aplicacin de nivel superior. ID de proyecto que se utiliza cuando se ejecuta la aplicacin de nivel superior.
dport protocol
ip_version dsfield
priority
user
projid
826
(Continuacin)
Definicin
direction
Nota Elija los selectores con detenimiento. Utilice slo los selectores necesarios para extraer
paquetes de una clase. Cuantos ms selectores defina, ms se ver afectado el rendimiento IPQoS.
Antes de empezar 1
Ejemplo 331
ftp-traffic
ftp-out
Vase tambin
Para definir un esquema de control de flujo, consulte la seccin Cmo planificar el control de flujo en la pgina 828. Para definir comportamientos de reenvo para flujos que vuelven al flujo de red, consulte Cmo planificar el comportamiento de reenvo en la pgina 830.
827
Para planificar la recopilacin de datos de flujo de determinados tipos de trfico, consulte la seccin Cmo planificar la recopilacin de datos de flujo en la pgina 833. Para aadir ms clases a la directiva QoS, consulte la seccin Cmo definir las clases de la directiva QoS en la pgina 824. Para aadir ms filtros a la directiva QoS, consulte la seccin Cmo definir filtros en la directiva QoS en la pgina 827.
1 2
Determine el ancho de banda mximo de la red. Revise cualquier acuerdo SLA que ofrezca su red. Identifique los clientes y los tipos de servicio garantizados a cada cliente. Para garantizar un nivel de servicio determinado, es posible que necesite medir ciertas clases de trfico generadas por el cliente. Revise la lista de clases creadas en la seccin Cmo definir las clases de la directiva QoS en la pgina 824. Determine si hay alguna otra clase, a parte de las asociadas con acuerdos SLA, que deba medirse. Suponga que el sistema IPQoS incluye una aplicacin que genera mucho trfico. Despus de clasificar el trfico de la aplicacin, mida los flujos para controlar la tasa a la que los paquetes del flujo vuelven a la red.
Nota No es necesario medir todas las clases. Tenga en mente estas directrices al revisar la lista de clases.
Determine qu filtros de cada clase seleccionan el trfico que necesita control de flujo. Despus, refine la lista de clases que necesitan medicin. Las clases que tengan varios filtros pueden necesitar medicin slo para un filtro. Suponga que define filtros para el trfico entrante y saliente de una clase especfica. Puede llegar a la conclusin de que slo el trfico en una direccin requiere control de flujo.
Gua de administracin del sistema: servicios IP Septiembre de 2010
828
Elija un mdulo de medicin para cada clase con control de flujo. Aada el nombre de mdulo a la columna de medicin de la tabla de planificacin QoS. Aada las tasas de cada clase que se medir a la tabla de organizacin. Si utiliza el mdulo tokenmt, deber definir las siguientes tasas en bits por segundo:
Si estas tasas son suficientes para medir una clase especfica, puede definir solamente la tasa asignada y rfaga asignada para tokenmt. Si es necesario, puede definir tambin las siguientes tasas:
Para ver una definicin completa de las tasas de tokenmt, consulte la seccin Configuracin de tokenmt como medidor de doble tasa en la pgina 883. Tambin puede encontrar informacin detallada en la pgina de comando man tokenmt (7ipp). Si utiliza el mdulo tswtclmt, debe definir las siguientes tasas en bits por segundo.
Tambin puede definir el tamao de la ventana en milisegundos. Estas tasas estn definidas en la seccin Mdulo de medicin tswtclmt en la pgina 884 y en la pgina de comando man twstclmt (7ipp).
7
Aada resultados de cumplimiento del trfico al metro medido. Los resultados de ambos mdulos de medicin son verde, rojo y amarillo. Aada a la tabla de organizacin QoS los resultados de cumplimiento del trfico aplicables a las tasas definidas. Los resultados de los medidores estn explicados en la seccin Mdulo Meter en la pgina 882. Debe determinar qu acciones deben realizarse con el trfico que cumple, o no cumple, la tasa asignada. Normalmente, pero no siempre, la accin consiste en marcar el encabezado del paquete con un comportamiento por salto. Una accin aceptable para el trfico de nivel verde es continuar el procesamiento mientras los flujos de trfico no excedan la tasa asignada. Otra accin sera descartar los paquetes de la clase si los flujos exceden la tasa mxima.
Ejemplo 332
Definir medidores
La tabla siguiente muestra entradas de medidor para una clase de trfico de correo electrnico. La red en la que se encuentra el sistema IPQoS tiene un ancho de banda total de 100 Mbits/seg, o 10000000 bits por segundo. La directiva QoS asigna una prioridad baja a la clase de correo electrnico. Esta clase tambin recibe un comportamiento de reenvo "best-effort".
Captulo 33 Planificacin para una red con IPQoS (Tareas) 829
Clase
Prioridad
Filtro
Selector
Tasa
mail_in
mail_out
medidor=tokenmt tasa asignada=5000000 rfaga asignada =5000000 tasa mxima =10000000 rfaga mxima=1000000 precedencia verde=continuar procesando precendencia amarilla=marcar PHB amarillo precedencia roja=descartar
Vase tambin
Para definir los comportamientos de reenvo para flujos cuando los paquetes vuelven al flujo de red, consulte la seccin Cmo planificar el comportamiento de reenvo en la pgina 830. Para planificar la recopilacin de datos de flujo de determinados tipos de trfico, consulte la seccin Cmo planificar la recopilacin de datos de flujo en la pgina 833. Para aadir ms clases a la directiva QoS, consulte la seccin Cmo definir las clases de la directiva QoS en la pgina 824. Para aadir ms filtros a la directiva QoS, consulte la seccin Cmo definir filtros en la directiva QoS en la pgina 827. Para definir otro esquema de control de flujo, consulte la seccin Cmo planificar el control de flujo en la pgina 828. Para crear un archivo de configuracin IPQoS, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 842.
830
El modelo Diffserv utiliza el marcador para asignar el comportamiento de reenvo elegido a los flujos de trfico. IPQoS ofrece los siguiente mdulos de marcador.
dscpmk Se utiliza para marcar el campo DS de un paquete IP con un DSCP dlcosmk Se utiliza para marcar la etiqueta VLAN de un datagrama con un valor de clase de servicio (CoS)
Nota Las sugerencias de esta seccin hacen referencia especficamente a paquetes IP. Si el sistema IPQoS incluye un dispositivo VLAN, puede usar el marcador dlcosmk para marcar comportamientos de reenvo para datagramas. Si necesita ms informacin, consulte la seccin Uso del marcador dlcosmk con dispositivos VLAN en la pgina 887.
Para priorizar el trfico IP, debe asignar un punto DSCP a cada paquete. El marcador dscpmk marca el campo DS del paquete con el DSCP. El DSCP de una clase se elige de un grupo de puntos de cdigo conocidos asociados con el tipo de comportamiento de reenvo. Estos puntos de cdigo conocidos son 46 (101110) para el comportamiento PHB EF y un conjunto de puntos de cdigo para el comportamiento PHB AF. Para ver una descripcin general de los puntos DSCP y el reenvo, consulte la seccin Reenvo del trfico en una red con IPQoS en la pgina 812.
Antes de empezar
En los siguientes pasos se asume que ha definido clases y filtros para la directiva QoS. Aunque normalmente se usa el medidor con el marcador para controlar el trfico, puede usarse solamente el marcador para definir un comportamiento de reenvo. Revise las clases creadas hasta ahora y las prioridades asignadas a cada clase. No es necesario que se marquen todas las clases de trfico.
Asigne el comportamiento por salto EF a la clase con la prioridad ms alta. El comportamiento PHB EF garantiza que los paquetes con el punto DSCP EF 46 (101110) se transfieren a la red antes que los paquetes con cualquier comportamiento PHB AF. Utilice el comportamiento PHB EF para el trfico de mayor prioridad. Si necesita ms informacin sobre EF, consulte la seccin Reenvo acelerado (EF) PHB en la pgina 885. Asigen comportamientos de reenvo a clases cuyo trfico se va a medir. Asigne puntos de cdigo DS al resto de clases, de acuerdo con las prioridades asignadas a las clases.
3 4
Ejemplo 333
Un acuerdo SLA garantiza a los paquetes de esta clase un servicio de nivel alto o de nivel bajo cuando la red tiene mucho trfico. Una clase con una prioridad ms baja puede colapsar la red.
Se utiliza el marcador con el medidor para proporcionar servicios diferenciados y administracin del ancho de banda a estas clases. Por ejemplo, la siguiente tabla muestra una parte de una directiva QoS. Esta directiva define una clase para una aplicacin de juegos muy utilizada que genera un alto volumen de trfico.
Clase Prioridad Filtro Selector Tasa Reenvo?
games_app games_app
9 9
games_in games_out
N/D medidor=tokenmt tasa asignada=5000000 rfaga asignada =5000000 tasa mxima =10000000 rfaga mxima=15000000 precedencia verde=continuar procesando precendencia amarilla=marcar PHB amarillo precedencia roja=descartar
Los comportamientos de reenvo asignan puntos DSCP de baja prioridad al trfico games_app que cumple su tasa asignada o est por debajo de la tasa mxima. Cuando el trfico games_app excede la tasa mxima, la directiva QoS indica que los paquetes de games_app deben descartarse. Todos los puntos de cdigo AF se enumeran en la Tabla 372.
Vase tambin
Para planificar la recopilacin de datos de flujo de determinados tipos de trfico, consulte la seccin Cmo planificar la recopilacin de datos de flujo en la pgina 833. Para aadir ms clases a la directiva QoS, consulte la seccin Cmo definir las clases de la directiva QoS en la pgina 824. Para aadir ms filtros a la directiva QoS, consulte la seccin Cmo definir filtros en la directiva QoS en la pgina 827.
832
Para definir un esquema de control de flujo, consulte la seccin Cmo planificar el control de flujo en la pgina 828. Para definir comportamientos de reenvo adicionales para flujos cuando los paquetes vuelven al flujo de red, consulte la seccin Cmo planificar el comportamiento de reenvo en la pgina 830. Para crear un archivo de configuracin IPQoS, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 842.
Su empresa ofrece acuerdos SLA a los clientes? Si la respuesta es "s", debe recopilar datos sobre el flujo. Revise los acuerdos SLA para determinar qu tipos de trfico de red desea ofrecer su empresa a los clientes. A continuacin, revise la directiva QoS para determinar qu clases seleccionan el trfico que se facturar. Hay aplicaciones que deben supervisarse o comprobarse para evitar problemas de red? Si la respusta es "s", considere la posibilidad de recopilar datos sobre el flujo para observar el comportamiento de estas aplicaciones. Revise la directiva QoS para determinar qu clases ha asignado al trfico que requiere supervisin. En la tabla de planificacin QoS, marque una Y en la columna de recopilacin de datos sobre el flujo de las clases que requieran recopilacin de datos.
Vase tambin
Para aadir ms clases a la directiva QoS, consulte la seccin Cmo definir las clases de la directiva QoS en la pgina 824. Para aadir ms filtros a la directiva QoS, consulte la seccin Cmo definir filtros en la directiva QoS en la pgina 827. Para definir un esquema de control de flujo, consulte la seccin Cmo planificar el control de flujo en la pgina 828. Para definir los comportamientos de reenvo para flujos cuando los paquetes vuelven al flujo de red, consulte la seccin Cmo planificar el comportamiento de reenvo en la pgina 830. Para planificar la recopilacin de datos adicional para determinados tipos de trfico, consulte la seccin Cmo planificar la recopilacin de datos de flujo en la pgina 833. Para crear el archivo de configuracin IPQoS, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 842.
833
Distribucin IPQoS
La siguiente figura muestra la distribucin de red que utiliza la intranet pblica de BigISP.
834
FIGURA 334
Otras compaas Lneas arrendadas Red de nivel 0 10.10.0.0 Red de nivel 1 10.11.0.0
Goldco
Internet
Usuario 1
Usuario 2
Goldweb IPQoS
Otras aplicaciones
datarouter diffserv
Nivel 0:la red 10.10.0.0 incluye un enrutador Diffserv llamado Bigrouter, con interfaz externa e interna. Varias empresas, entre ellas una organizacin llamada Goldco, han alquilado servicios de lnea arrendada que finalizan en Bigrouter. EL nivel 0 tambin gestiona los clientes individuales que llaman desde lneas telefnicas o RDSI. Nivel 1: la red 10.11.0.0 proporciona servicios web. El servidor Goldweb aloja el sitio web adquirido por Goldco como parte del servicio de alto nivel que Goldco ha adquirido de BigISP. El servidor Userweb aloja sitios web pequeos adquiridos por clientes individuales. Ambos servidores, Goldweb y Userweb utilizan IPQoS.
835
Nivel 2 La red 10.12.0.0 proporciona aplicaciones para todos los clientes. BigAPPS, uno de los servidores de aplicaciones, utiliza IPQoS. BigAPPS proporciona servicios SMTP, de noticias y FTP. Nivel 3 La red 10.13.0.0 aloja grandes servidores de base de datos. El acceso al Nivel 3 est controlado por datarouter, un enrutador Diffserv.
836
C A P T U L O
34
3 4
En este captulo se explica cmo crear archivos de configuracin IPQoS. El captulo trata los siguientes temas.
Definicin de una directiva QoS en el archivo de configuracin IPQoS (Mapa de tarea) en la pgina 837 Herramientas para crear una directiva QoS en la pgina 839 Crear archivos de configuracin IPQoS para servidores web en la pgina 840 Crear un archivo de configuracin IPQoS para un servidor de aplicaciones en la pgina 853 Suministro de servicios diferenciados en un enrutador en la pgina 862
En este captulo se asume que el usuario ha definido una directiva QoS completa y que est listo para utilizarla como base para el archivo de configuracin IPQoS. Si necesita instrucciones sobre la planificacin de directivas QoS, consulte el tema Planificacin de la directiva de calidad de servicio en la pgina 821.
1. Planificar la configuracin de red Decidir qu sistemas de la red local con IPQoS. van a utilizar IPQoS.
837
Tarea
Descripcin
Identificar flujos de trfico como Planificacin de la directiva de diferentes clases de servicio. A calidad de servicio continuacin, determinar qu en la pgina 821 flujos requieren administracin del trfico. Crear el archivo IPQoS, invocar el clasificador IP y definir una clase para procesar. Aadir los filtros que determinan qu trfico se selecciona y organiza en una clase. Crear ms clases y filtros para que los procese el clasificador IP. Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 842 Cmo definir filtros en el archivo de configuracin IPQoS en la pgina 844 Cmo crear un archivo de configuracin IPQoS para un servidor web "Best-Effort" en la pgina 850 Cmo configurar el control de flujo en el archivo de configuracin IPQoS en la pgina 859 Cmo definir el reenvo de trfico en el archivo de configuracin IPQoS en la pgina 846
3. Crear el archivo de configuracin IPQoS y definir la primera accin. 4. Crear filtros para un clase.
6. Aadir una instruccin action Si la directiva QoS solicita control con parmetros para configurar los de flujo, asigne tasas de control de mdulos de medicin. flujo y niveles de cumplimiento al medidor. 7. Aadir una instruccin action con parmetros para configurar el marcador. 8. Aadir una instruccin action con parmetros para configurar el mdulo de control de flujo. Si la potica QoS solicita comportamientos de reenvo diferenciados, defina cmo deben reenviarse las clases de trfico.
Si la directiva QoS solicita Cmo activar el control para una recopilacin de estadsticas sobre clase en el archivo de configuracin flujos de trfico, defina cmo deben IPQoS en la pgina 849 recopilarse las estadsticas de control. Aadir el contenido de un archivo de configuracin IPQoS especificado a los mdulos de ncleo apropiados. Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 866
10. Configurar los Si algn archivo de configuracin Cmo configurar un enrutador en comportamientos de reenvo en los IPQoS de la red define los una red con IPQoS archivos de enrutador. comportamientos de reenvo, en la pgina 863 aada los puntos DSCP resultantes a los archivos de planificacin correspondientes del enrutador.
838
Goldweb: Un servidor web que aloja sitios web de clientes que tienen acuerdos SLA de nivel alto Userweb: Un servidor web menos potente que aloja pginas personales de usuarios que tienen acuerdos SLA de tipo best-effort BigAPPS Servidor de aplicaciones que ofrece sesrvicios de correo, noticas y FTP a clientes con servicios de nivel alto y "best-effort"
Estos tres archivos de configuracin ilustran las configuraciones IPQoS ms comunes. Puede usar los archivos de muestra de la siguiente seccin como plantilla para su implementacin IPQoS.
839
fmt_version 1.0 action { module ipgpc name ipgpc.classify params { global_stats TRUE } class { name goldweb next_action markAF11 enable_stats FALSE } class { name video next_action markEF enable_stats FALSE } filter { name webout sport 80 direction LOCAL_OUT class goldweb } filter { name videoout sport videosrv direction LOCAL_OUT class video } } action { module dscpmk name markAF11 params { global_stats FALSE dscp_map{0-63:10} next_action continue } } action { module dscpmk
840 Gua de administracin del sistema: servicios IP Septiembre de 2010
EJEMPLO 341
Archivo de configuracin IPQoS de ejemplo para un servidor web de nivel alto (Continuacin) name markEF params { global_stats TRUE dscp_map{0-63:46} next_action acct } } action { module flowacct name acct params { enable_stats TRUE timer 10000 timeout 10000 max_limit 2048 } }
El siguiente archivo de configuracin define actividades IPQoS en Userweb. Este servidor aloja sitios web de usuarios con acuerdos SLA de bajo precio o "best-effort". Este nivel de servicio garantiza el mejor servicio que puede ofrecerse a clientes "best-effort" despus de que el sistema IPQoS administre el trfico de clientes con acuerdos SLA de nivel alto.
EJEMPLO 342
fmt_version 1.0 action { module ipgpc name ipgpc.classify params { global_stats TRUE } class { name Userweb next_action markAF12 enable_stats FALSE } filter { name webout sport 80 direction LOCAL_OUT class Userweb } } action { module dscpmk name markAF12 params { global_stats FALSE dscp_map{0-63:12} next_action continue
Captulo 34 Creacin del archivo de configuracin IPQoS (Tareas) 841
EJEMPLO 342
(Continuacin)
} }
Inicie una sesin en el servidor web de nivel alto y cree un archivo de configuracin IPQoS con extensin .qos. Los archivos de configuracin IPQoS deben comenzar con el nmero de versin fmt_version 1.0 como primera lnea sin comentar. A continuacin del parmetro de abertura, escriba la instruccin de accin, que configura el clasificador IP genrico ipgpc. Esta primera accin inicia el rbol de instrucciones de accin que compone el archivo de configuracin IPQoS. Por ejemplo, el archivo /var/ipqos/Goldweb.qos comienza con la instruccin de accin inicial para llamar al clasificador ipgpc.
fmt_version 1.0 action { module ipgpc name ipgpc.classify
Inicia el archivo de configuracin IPQoS. Inicia la instruccin de accin. Configura el clasificador ipgpc como la primera accin del archivo de configuracin. Define el nombre de la instruccin de accin de clasificador, que siempre debe ser ipgpc.classify.
Si necesita informacin sintctica detallada sobre instrucciones de accin, consulte la seccin Instruccin action en la pgina 893 y la pgina de comando man ipqosconf(1M).
842 Gua de administracin del sistema: servicios IP Septiembre de 2010
El parmetro global_stats TRUE de la instruccin ipgpc.classify activa la recoplicacin de estadsticas para dicha accin. global_stats TRUE tambin activa la recopliacin de estadsticas por clase cuando una definicin de clusula de clase especifica enable_stats TRUE. Activar las estadsticas afecta al rendimiento. Puede ser til recopilar estadsticas en un archivo de configuracin IPQoS nuevo para verificar que IPQoS funciona correctamente. Ms adelante, puede desactivar la recopliacin de estadsticas cambiando el argumento de global_stats a FALSE. Las estadsticas globales son tan solo uno de los parmetros que se pueden definir en la clusula params. Si necesita ms informacin sobre sintaxis y otros datos de las clusulas params, consulte la seccin Clusula params en la pgina 895 y la pgina de comando man ipqosconf(1M).
4
Defina una clusula que identifique el trfico vinculado al servidor de nivel alto.
class { name goldweb next_action markAF11 enable_stats FALSE }
Esta instruccin se denomina una clusula class. Una clusula class tiene el siguiente contenido. name goldweb next_action markAF11 Crea la clase goldweb para identificar el trfico vinculado al servidor Goldweb. Incica al mdulo ipgpc que debe pasar los paquetes de la clase goldweb a la instruccin de accin markAF11. La instruccin de accin markAF11 llama al marcador dscpmk. Activa la recopilacin de estadsticas de la clase goldweb. Aunque, debido a que el valor de enable_stats es FALSE, las estadsticas de esta clase no estn activadas.
enable_stats FALSE
Si necesita informacin detallada sobre la sintaxis de la clusula class, consulte la seccin Clusula class en la pgina 894 y la pgina de comando man ipqosconf(1M).
5
Defina una clase que identifique una aplicacin que deba tener reenvo de mxima prioridad.
class { name video next_action markEF enable_stats FALSE }
843
Crea la clase video para identificar el trfico saliente de video streaming del servidor Goldweb. Indica al mdulo ipgpc que debe pasar los paquetes de la clase video a la instruccin markEF despus de que ipgpc haya terminado el procesamiento. La instruccin markEF llama al marcador dscpmk. Activa la recopliacin de estadsticas de la clase video. Aunque, debido a que el valor de enable_stats es FALSE, la recopilacin de estadsticas para esta clase no se activa.
enable_stats FALSE
Vase tambin
Para definir filtros para la clase creada, consulte la seccin Cmo definir filtros en el archivo de configuracin IPQoS en la pgina 844. Para crear otra clusula para el archivo de configuracin, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 842.
Antes de empezar
En el procedimiento se asume que ya ha comenzado la creacin del archivo y ha definido clases. Los pasos continan con la generacin del archivo /var/ipqos/Goldweb.qos creado en la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 842.
Nota Al crear el archivo de configuracin IPQoS, asegrese de comenzar y finalizar cada clsula class y cada filtro con llaves ({ }). Para ver un ejemplo del uso de llaves, consulte el Ejemplo 341.
Abra el archivo de configuracin IPQoS y busque la ltima clase definida. Por ejemplo, en el servidor con IPQoS Goldweb, empezara despus de la siguiente clusula class de /var/ipqos/Goldweb.qos:
class { name video next_action markEF enable_stats FALSE }
844
Defina una clusula filter para seleccionar el trfico saliente del sistema IPQoS.
filter { name webout sport 80 direction LOCAL_OUT class goldweb }
Asigna el nombre webout al filtro. Selecciona el trfico con origen en el puerto 80, el puerto de trfico HTTP (web). Selecciona el trfico saliente del sistema local. Identifca la clase a la que pertenece el filtro, en este caso, la clase goldweb.
Si necesita informacin detallada y sintctica sobre la clusula filter del archivo de configuracin IPQoS, consulte la seccin Clusula filter en la pgina 895.
3
Defina una clsula filter para seleccionar el trfico de video streaming del sistema IPQoS.
filter { name videoout sport videosrv direction LOCAL_OUT class video }
Asgina el nombre videoout al filtro. Selecciona el trfico con un puerto de origen videosrv, un puerto definido anteriormente para la aplicacin de video streaming en este sistema. Selecciona el trfico saliente del sistema local. Identifica la clase a la que pertenece el filtro, en este caso, la clase video.
Vase tambin
Para definir comportamientos de reenvo para los mdulos de marcador, consulte la seccin Cmo definir el reenvo de trfico en el archivo de configuracin IPQoS en la pgina 846. Para definir parmetros de control de flujo para los mdulos de medidor, consulte la seccin Cmo configurar el control de flujo en el archivo de configuracin IPQoS en la pgina 859. Para activar el archivo de configuracin IPQoS, consulte la seccin Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 866. Para definir filtros adicionales, consulte la seccin Cmo definir filtros en el archivo de configuracin IPQoS en la pgina 844.
845
Para crear clases para flujos de trfico de aplicaciones, consulte la seccin Cmo definir el archivo de configuracin IPQoS para un servidor de aplicaciones en la pgina 855.
Antes de empezar
En el procedimiento se asume que ya tiene un archivo de configuracin IPQoS con clases y filtros definidos. Los pasos continan con la creacin del archivo /var/ipqos/Goldweb.qos del Ejemplo 341.
Nota El procedimiento muestra cmo configurar el reenvo de trfico utilizando el mdulo de marcador dscpmk. Si necesita informacin sobre el reenvo de trfico en sistemas VLAN utilizando el marcador dlclosmk, consulte la seccin Uso del marcador dlcosmk con dispositivos VLAN en la pgina 887.
Abra el archivo de configuracin IPQoS y localice el final del ltimo filtro definido. Por ejemplo, en el servidor con IPQoS Goldweb, empezara despus de la siguiente clusula filter en /var/ipqos/Goldweb.qos:
filter { name videoout sport videosrv direction LOCAL_OUT class video } }
Observe que esta clusula filter se encuentra al final de la instruccin action del clasificador ipgpc. Por lo tanto, necesita una llave de cierre para finalizar el filtro y otra para finalizar la instruccin action.
2
846
La clase goldweb definida anteriormente incluye una instruccin next_action markAF11. Esta instruccin enva los flujos de trfico a la instruccin de accin markAF11 cuando el clasificador ha finalizado el procesamiento.
3
global_stats FALSE
Activa la recopilacin de estadsticas de la instruccin action del marcador markAF11. Aunque, debido a que el valor de enable_stats es FALSE, no se recopilan estadsticas. Asigna un DSCP de valor 10 a los encabezados de paquetes de la clase de trfico goldweb, que el marcador est procesando en ese momento. Indica que no se necesita ms procesamiento en los paquetes de la clase de trfico goldweb, y que estos paquetes pueden volver al flujo de red.
El DSCP de valor 10 indica al marcador que debe definir todas las entradas del mapa dscp en el valor decimal 10 (binario 001010). Este punto de cdigo indica que los paquetes de la clase de trfico goldweb estn sujetos al comportamiento por salto AF11. AF11 garantiza que todos los paquetes con DSCP de valor 10 reciben un servicio de alta prioridad y baja probabilidad de descarte. Por lo tanto, el trfico saliente para clientes de nivel alto en Goldweb recibe la prioridad ms alta diponilble para el PHB de reenvo asegurado (AF). Para ver una tabla de puntos DSCP para AF, consulte la Tabla 372.
4
global_stats TRUE
Activa la recopilacin de estadsticas en la clase video, que selecciona paquetes de video streaming.
847
Asgina un DSCP de valor 46 a los encabezados de paquetes de la clase de trfico video, que el marcador est procesando en ese momento. Indica al mdulo dscpmk que debe pasar los paquetes de la clase video a la instruccin acct action cuando dscpmk haya completado el procesamiento. La instruccin acct action invoca al mdulo flowacct.
El DSCP de valor 46 indica al mdulo dscpmk que debe establecer todas las entradas del mapa dscp en el valor decimal 46 (binario 101110) en el campo DS. Este punto de cdigo indica que los paquetes de la clase de trfico video estn sujetos al comportamiento por salto de reenvo acelerado (EF).
Nota El punto de cdigo recmendado para EF es 46 (binario 101110). Otros puntos DSCP
asignan comportamientos PHB AF a un paquete. El PHB EF garantiza que los paquetes con el DSCP de valor 46 reciben la mxima precendencia en sistemas IPQoS y Diffserv. Las aplicaciones streaming requieren el servicio de prioridad ms alta, por eso se les asignan comportamientos PHB EF en la directiva QoS. Si necesita ms informacin sobre PHB de reenvo acelerado, consulte la seccin Reenvo acelerado (EF) PHB en la pgina 885.
6
Aada los puntos DSCP que ha creado a los archivos correspondientes del enrutador Diffserv. Si necesita ms informacin, consulte Cmo configurar un enrutador en una red con IPQoS en la pgina 863.
Vase tambin
Para empezar a recopilar estadsticas de control de flujo sobre el trfico, consulte la seccin Cmo activar el control para una clase en el archivo de configuracin IPQoS en la pgina 849. Para definir comportamientos de reenvo para los mdulos de marcador, consulte la seccin Cmo definir el reenvo de trfico en el archivo de configuracin IPQoS en la pgina 846. Para definir parmetros de control de flujo para los mdulos de medidor, consulte la seccin Cmo configurar el control de flujo en el archivo de configuracin IPQoS en la pgina 859. Para activar el archivo de configuracin IPQoS, consulte la seccin Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 866. Para definir filtros adicionales, consulte la seccin Cmo definir filtros en el archivo de configuracin IPQoS en la pgina 844. Para crear clases para flujos de trfico de aplicaciones, consulte la seccin Cmo definir el archivo de configuracin IPQoS para un servidor de aplicaciones en la pgina 855.
848
Antes de empezar
En el procedimiento se asume que ya tiene un archivo de configuracin IPQoS con clases, filtros y acciones de medicin definidas, si correponde, y acciones de marcado, si corresponde. Los pasos continan con la creacin del archivo /var/ipqos/Goldweb.qos del Ejemplo 341. Abra el archivo de configuracin IPQoS y localice el final de la ltima instruccin action definida. Por ejemplo, en el servidor con IPQoS Goldweb, empezara despus de la siguiente instruccin action markEF en /var/ipqos/Goldweb.qos.
action { module dscpmk name markEF params { global_stats TRUE dscp_map{0-63:46} next_action acct } }
Invoca al mdulo de control de flujo flowacct. Asigna el nombre acct a la instruccin action
global_stats TRUE
Activa la recopilacin de estadsticas de la clase video, que selecciona paquetes de video streaming.
849
timer 10000
Especifica la duracin del intervalo, en milisengundos, que se utiliza al explorar la tabla de flujos para detectar flujos con tiempo de espera superado. En este parmetro, el intervalo es de 10000 milisegundos. Especifica el valor de tiempo de espera de intervalo mnimo. El tiempo de espera de un flujo se supera cuando los paquetes del flujo no se envan durante un intervalo de tiempo de espera. En este parmetro, se supera el tiempo de espera de paquetes cuando transcurren 10000 milisegundos. Determina el nmero mximo de registros de flujos en la tabla de flujos para esta instancia de accin. Indica que no es necesario ms procesamiento en los paquetes de la clase de trfico video y que los paquetes pueden volver al flujo de red.
timeout 10000
El mdulo flowacct recopila informacin estadstica sobre los flujos de paquetes de una clase especfica hasta que se supera un valor de timeout.
Vase tambin
Para configurar comportamientos por salto en un enrutador, consulte la seccin Cmo configurar un enrutador en una red con IPQoS en la pgina 863. Para activar el archivo de configuracin IPQoS, consulte la seccin Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 866. Para crear clases para flujos de trfico de aplicaciones, consulte la seccin Cmo definir el archivo de configuracin IPQoS para un servidor de aplicaciones en la pgina 855.
1 2
Inicie una sesin en el servidor web "best-effort". Cree un archivo de configuracin IPQoS con extensin .qos.
fmt_vesion 1.0 action { module ipgpc name ipgpc.classify params {
850
global_stats TRUE }
El archivo /var/ipqos/userweb.qos debe comenzar con la intruccin action parcial para invocar al clasificador ipgpc. Adems, la instruccin action tambin tiene una clusula params para activar la recopilacin de estadsticas. Si necesita una explicacin de esta instruccin action, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 842.
3
Defina una clase que identifique el trfico vinculado con el servidor web "best-effort".
class { name userweb next_action markAF12 enable_stats FALSE }
Crea una clase llamada userweb para reenvar el trfico web de usuarios. Indica al mdulo ipgpc que debe transferir los paquetes de la clase userweb a la instruccin action markAF12 cuando ipgpc haya completado el procesamiento. La instruccin action markAF12 invoca al marcador dscpmk. Activa la recopilacin de estadsticas para la clase userweb. Aunque, debido a que el valor de enable_stats es FALSE, no se recopilan estadsticas para esta clase.
enable_stats FALSE
Para ver una explicacin de la tarea de la clusula class, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 842.
4
Defina una clusula filter para seleccionar los flujos de trfico de la clase userweb.
filter { name webout sport 80 direction LOCAL_OUT class userweb } }
Asigna el nombre webout al filtro. Selecciona el trfico con origen en el puerto 80, el puerto de trfico HTTP (web). Selecciona el trfico saliente del sistema local. Identifica la clase a la que pertenece el filtro, en este caso, la clase userweb.
851
Para ver una explicacin de la tarea de la clusula filter, consulte la seccin Cmo definir filtros en el archivo de configuracin IPQoS en la pgina 844.
5
La clase definida previamente userweb incluye una instruccin next_action markAF12. Esta instruccin enva flujos de trfico a la instruccin action markAF12 cuando el clasificador finaliza el procesamiento.
6
Defina parmetros que debe usar el marcador para procesar el flujo de trfico.
params { global_stats FALSE dscp_map{0-63:12} next_action continue } }
global_stats FALSE
Activa la recopilacin de estadsticas para la instruccin action del marcador markAF12. Aunque, debido a que el valor de enable_stats es FALSE, no se recopilan estadsticas. Asigna un valor DSCP de 12 a los encabezados de paquetes de la clase de trfico userweb, que est procesando el marcador en ese momento. Indica que no es necesario ms procesamiento en los paquetes de la clase de trfico userweb, y que los paquetes pueden volver al flujo de red.
El valor DSCP de 12 indica al marcador que debe definir todas las entradas del mapa dscp en el valor decimal 12 (binario 001100). Este punto de cdigo indica que los paquetes de la clase de trfico userweb estn sujetos al comportamiento por salto AF12. AF12 garantiza que todos los paquetes con el DSCP de valor 12 en el campo DS reciben un servicio de probabilidad de descarte media y prioridad alta.
7 Vase tambin
Para aadir clases y otra configuracin para flujos de trfico de aplicaciones, consulte la seccin Cmo definir el archivo de configuracin IPQoS para un servidor de aplicaciones en la pgina 855. Para configurar comportamientos por salto en un enrutador, consulte la seccin Cmo configurar un enrutador en una red con IPQoS en la pgina 863.
852
Para activar el archivo de configuracin IPQoS, consulte la seccin Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 866.
fmt_version 1.0 action { module ipgpc name ipgpc.classify params { global_stats TRUE } class { name smtp enable_stats FALSE next_action markAF13 } class { name news next_action markAF21 } class { name ftp next_action meterftp } filter { name smtpout sport smtp class smtp } filter { name newsout sport nntp class news } filter { name ftpout sport ftp class ftp }
853
EJEMPLO 343
(Continuacin)
filter { name ftpdata sport ftp-data class ftp } } action { module dscpmk name markAF13 params { global_stats FALSE dscp_map{0-63:14} next_action continue } } action { module dscpmk name markAF21 params { global_stats FALSE dscp_map{0-63:18} next_action continue } } action { module tokenmt name meterftp params { committed_rate 50000000 committed_burst 50000000 red_action_name AF31 green_action_name markAF22 global_stats TRUE } } action { module dscpmk name markAF31 params { global_stats TRUE dscp_map{0-63:26} next_action continue } } action { module dscpmk name markAF22 params { global_stats TRUE dscp_map{0-63:20} next_action continue } }
854
Si necesita una explicacin de la instruccin action inicial, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 842.
2
Cree clases para seleccionar el trfico de tres aplicaciones en el servidor BigAPPS. Aada las definicioes de clases despus de la instruccin action de apertura.
class { name smtp enable_stats FALSE next_action markAF13 } class { name news next_action markAF21 } class { name ftp enable_stats TRUE next_action meterftp }
Crea una clase llamada smtp, que incluye los flujos de trfico de correo electrnico que debe administrar la aplicacin SMTP Activa la recopilacin de estadsticas para la clase smtp. Aunque, debido a que el valor de enable_stats es FALSE, no se recopilan estadsticas para esta clase. Indica al mdulo ipgpc que debe transferir los paquetes de la clase smtp a la instruccin action markAF13 cuando ipgpc haya completado el procesamiento.
next_action markAF13
855
Crea una clase llamada news, que incluye los flujos de trfico de noticias de red que debe administrar la aplicacin NNTP. Indica al mdulo ipgpc que debe transferir los paquetes de la clase news a la instruccin action markAF21 cuando ipgpc haya completado el procesamiento. Crea una clase llamada ftp, que administra el trfico saliente gstionado por la aplicacin FTP. Activa la recopilacin de estadsticas para la clase ftp. Indica al mdulo ipgpc que debe transferir los paquetes de la clase ftp a la instruccin action meterftp cuando ipgpc haya completado el procesamiento.
Si necesita ms informacin sobre cmo definir clases, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 842.
3
Defina clusulas filter para seleccionar el trfico de las clases definidas en el paso 2.
filter { name smtpout sport smtp class smtp } filter { name newsout sport nntp class news } filter { name ftpout sport ftp class ftp } filter { name ftpdata sport ftp-data class ftp } }
name smtpout sport smtp class smtp name newsout sport nntp
Asigna el nombre smtpout al filtro. Selecciona el trfico con puerto de origen 25, el puerto para la aplicacin sendmail (SMTP). Identifica la clase a la que pertenece el filtro, en este caso, la clase smtp. Asigna el nombre newsout al filtro. Selecciona el trfico con nombre de puerto origen nntp, el nombre de puerto para la aplicacin de noticias de red (NNTP).
856
class news name ftpout sport ftp name ftpdata sport ftp-data class ftp
Identifica la clase a la que pertenece el filtro, en este caso, la clase news. Asigna el nombre ftpout al filtro. Selecciona los datos de control con un puerto origen 21, el nmero de puerto para trfico FTP. Asigna el nombre ftpdata al filtro. Selecciona el trfico con puerto de origen 20, el nmero de puerto para trfico FTP. Identifica la clase a la que pertenecen los filtros ftpout y ftpdata, en este caso ftp.
Vase tambin
Para definir filtros, consulte la seccin Cmo definir filtros en el archivo de configuracin IPQoS en la pgina 844. Para definir comportamientos de reenvo para el trfico de aplicaciones, consulte la seccin Cmo configurar el reenvo para el trfico de aplicaciones en el archivo de configuracin IPQoS en la pgina 857. Para configurar el control de flujo utilizando los mdulos de medicin, consulte la seccin Cmo configurar el control de flujo en el archivo de configuracin IPQoS en la pgina 859. Para configurar la recopilacin de datos sobre el flujo, consulte la seccin Cmo activar el control para una clase en el archivo de configuracin IPQoS en la pgina 849.
Antes de empezar 1
En el procedimiento se asume que ya tiene un archivo de configuracin IPQoS con clases y filtros definidos para las aplicaciones que se van a marcar. Abra el archivo de configuracin IPQoS creado para el servidor de aplicaciones y localice el final de la ltima clusula filter. En el archivo /var/ipqos/BigAPPS.qos, el ltimo filtro es el siguiente:
filter { name ftpdata sport ftp-data class ftp
857
} } 2
Defina el comportamiento por salto que debe marcarse en los flujos de trfico de correo electrnico.
params { global_stats FALSE dscp_map{0-63:14} next_action continue } }
global_stats FALSE
Activa la recopilacin de estadsticas para la instruccin action del marcador markAF13. Aunque, debido a que el valor de enable_stats es FALSE, no se recopilan estadsticas. Asigna un DSCP de valor 14 a los encabezados de paquetes de la clase de trfico smtp, que est procesando el marcador en ese momento. Indica que no se necesita ms procesamiento en los paquetes de la clase de trfico smtp. Estos paquetes pueden volver al flujo de red.
dscp_map{063:14}
next_action continue
El valor DSCP de 14 indica al marcador que debe efinir todas las entradas del mapa dscp en el valor decimal 14 (binario 001110). El DSCP de valor 14 define el comportamiento por salto AF13. El marcador marca paquetes de la clase de trfico smtp con el DSCP de valor 14 en el campo DS. AF13 asigna todos los paquetes con un DSCP de 14 a una precedencia de alta probabilidad de descarte. Aunque, debido a que AF13 tambin garantiza una prioridad de Clase 1, el enrutador sigue garantizando una alta prioridad en cola al trfico de correo electrnico saliente. Para ver una tabla de cdigos para AF, consulte la Tabla 372.
4
Aada una instruccin action de marcador para definir un comportamiento por salto para el trfico de noticias de red:
action { module dscpmk name markAF21 params { global_stats FALSE dscp_map{0-63:18}
858
next_action continue } }
Asigna el nombre markAF21 a la instruccin action . Asigna un valor DSCP de 18 a los encabezados de paquetes de la clase de trfico nntp que est procesando el marcador en ese momento.
El valor DSCP de 18 indica al marcador que debe definir todas las entradas del mapa dscp en el valor decimal 18 (binario 010010). El valor DSCP 18 define el comportamiento por salto AF21. El marcador marca los paquetes de la clase de trfico news con el valor DSCP 18 en el campo DS. AF21 garantiza que todos los paquetes con un valor DSCP de 18 reciben una precedencia de baja probabilidad de descarte, pero slo con prioridad Clase 2. Por lo tanto, la posibilidad de que se descarte el trfico de noticias de red es bajo.
Vase tambin
Para aadir informacin de configuracin para servidores web, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 842. Para configurar el control de flujo utilizando los mdulos de medicin, consulte la seccin Cmo configurar el control de flujo en el archivo de configuracin IPQoS en la pgina 859. Para configurar la recopilacin de datos sobre el flujo, consulte la seccin Cmo activar el control para una clase en el archivo de configuracin IPQoS en la pgina 849. Para configurar comportamientos de reenvo en un enrutador, consulte la seccin Cmo configurar un enrutador en una red con IPQoS en la pgina 863. Para activar el archivo de configuracin IPQoS, consulte la seccin Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 866.
Antes de empezar
En los pasos se asume que ya ha definido una clase y un filtro para controlar el flujo de la aplicacin.
859
Abra el archivo de configuracin IPQoS que ha creado para el servidor de aplicaciones. En el archivo /var/ipqos/BigAPPS.qos , empiece despus de la siguiente accin de marcador:
action { module dscpmk name markAF21 params { global_stats FALSE dscp_map{0-63:18} next_action continue } }
Cree una instruccin action de medidor para controlar el flujo de trfico de la clase ftp.
action { module tokenmt name meterftp
Asigna una tasa de transmisin de 50.000.000 bps al trfico de la clase ftp. Dedica un tamao de rfaga de 50.000.000 al trfico de la clase ftp.
Para ver una explicacin de los parmetros tokenmt, consulte la seccin Configuracin de tokenmt como medidor de doble tasa en la pgina 883.
4
red_action_name markAF31
Idinca que si el flujo de trfico de la clase ftp excede la tasa asignada, los paquetes se envan a la instruccin action del marcador markAF31. Indica que si los flujos de trfico de la clase ftp cumplen la tasa asignada, los paquetes se envan a la instruccin action de markAF22.
green_action_name markAF22
860
global_stats TRUE
Si necesita ms informacin sobre el cumplimiento del trfico, consulte la seccin Mdulo Meter en la pgina 882.
5
Aada uns instruccin action de marcador para asignar un comportamiento por salto a los flujos de trfico de la clase ftp que no cumplan la tasa.
action { module dscpmk name markAF31 params { global_stats TRUE dscp_map{0-63:26} next_action continue } }
Invoca al mdulo de marcador dscpmk. Asigna el nombre markAF31 a la instruccin action. Activa las estadsticas para la clase ftp. Asigna un valor DSCP de 26 a los encabezados de paquetes de la clase de trfico ftp cuando el trfico excede la tasa asignada. Indica que no se requiere ms procesamiento para los paquetes de la clase de trfico ftp. Estos paquetes pueden devolverse al flujo de red.
El valor DSCP de 26 indica al marcador que debe establecer todas las entradas del mapa dscp en el valor decimal 26 (binario 011010). El valor DSCP 26 define el comportamiento por salto AF31. El marcador marca los paquetes de la clase de trfico ftp con el valor DSCP 26 en el campo DS. AF31 garantiza que todos los paquetes con un valor DSCP de 26 reciben una precedencia de baja probabilidad de descarte, pero slo con prioridad Clase 3. Por lo tanto, la posibilidad de que se descarte el trfico FTP que no cumple la tasa es baja. Para ver una tabla de cdigos para AF, consulte la Tabla 372.
6
Aada una instruccin action de marcador para asignar un comportamiento por salto a los flujos de trfico ftp que cumplen la tasa asignada.
action { module dscpmk name markAF22 params { global_stats TRUE dscp_map{0-63:20} next_action continue } }
861
Asigna el nombre markAF22 a la accin marker. Asigna un valor DSCP de 20 a los encabezados de paquetes de la clase de trfico ftp cuando el trfico ftp cumple la tasa configurada.
El valor DSCP de 20 indica al marcador que debe definir todas las entradas del mapa dscp en el valor decimal 20 (binario 010100). El valor DSCP de 20 define el comportamiento por salto AF22. El marcador marca los paquetes de la clase de trfico ftp con el valor DSCP de 20 en el campo DS. AF22 garantiza que todos los paquetes con un valor DSCP de 20 reciben una precedencia de probabilidad de descarte media con prioridad de Clase 2. Por lo tanto, el trfico FTP que cumple la tasa tiene garantizada una precedencia con probabilidad de descarte media entre los flujos envados simultneamente por el sistema IPQoS. Aunque el enrutador asigna una prioridad de reenvo ms alta a las clases de trfico con una marca de precedencia de probabilidad de descarte media de Clase 1 o superior. Para ver una tabla de cdigos para AF, consulte la Tabla 372.
7
Aada los puntos DSCP que ha creado para el servidor de aplicaciones a los archivos correspondientes del enrutador Diffserv.
Vase tambin
Para activar el archivo de configuracin IPQoS, consulte la seccin Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 866. Para aadir informacin de configuracin para servidores web, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 842. Para configurar la recopilacin de datos sobre el flujo, consulte la seccin Cmo activar el control para una clase en el archivo de configuracin IPQoS en la pgina 849. Para configurar comportamientos de reenvo en un enrutador, consulte la seccin Cmo configurar un enrutador en una red con IPQoS en la pgina 863.
862
Antes de empezar 1 2
video goldweb webout smtp news ftp conformant traffic ftp nonconformant traffic
Aada los puntos de cdigo de los archivos de configuracin IPQoS de la red a los archivos correspondientes del enrutador Diffserv. Los puntos de cdigo proporcionados deben facilitar la configuracin del mecanismo de planificacin Diffserv del enrutador. Consulte la documentacin y el sitio web del fabricante del enrutador si necesita instrucciones.
863
864
C A P T U L O
35
3 5
Este captulo contiene tareas para activar un archivo de configuracin IPQoS y para el registro de eventos relacionados con IPQoS. Contiene los temas siguientes:
Administracin IPQoS (Mapa de tareas) en la pgina 865 Aplicacin de una configuracin IPQoS en la pgina 866 Activacin del registro syslog para mensajes IPQoS en la pgina 867 Resolucin de problemas con mensajes de error IPQoS en la pgina 869
Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 866 Cmo garantizar que la configuracin IPQoS se aplica cada vez que se reinicia en la pgina 867.
2. Haga que los comandos de Asegrese de que la configuracin IPQoS se inicio de Oracle Solaris aplica cada vez que se reinicia el sistema. apliquen el archivo de configuracin IPQoS depurado cada vez que se inicie el sistema. 3. Active el regirstro syslog para IPQoS. Aada una entrada para activar el registro syslog de mensajes IPQoS.
865
Tarea
Descripcin
Asuma la funcin de administrador principal o hgase superusuario en el sistema con IPQoS. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
ipqosconf escribe la informacin en el archivo de configuracin IPQoS especificado de los mdulos IPQoS del kernel de Oracle Solaris. En este ejemplo, el contenido de /var/ipqos/Goldweb.qos se aplica al kernel de Oracle Solaris actual.
Nota Cuando se aplica un archivo de configuracin IPQoS con la opcin -a, las acciones del archivo slo se activan para la sesin actual. 3
Compruebe y depure la nueva configuracin IPQoS. Utilice las herramientas de UNIX para supervisar el comportamiento IPQoS y recopilar estadsticas sobre la implementacin IPQoS. Esta informacin permite determinar si la configuracin funciona como se esperaba.
Vase tambin
Para ver estadsticas sobre cmo funcionan los mdulos IPQoS, consulte la seccin Recopilacin de estadsticas en la pgina 876.
866
Para registrar los mensajes ipqosconf, consulte la seccin Activacin del registro syslog para mensajes IPQoS en la pgina 867. Para asegurarse de que la configuracin IPQoS actual se aplica en cada inicio, consulte la seccin Cmo garantizar que la configuracin IPQoS se aplica cada vez que se reinicia en la pgina 867.
Cmo garantizar que la configuracin IPQoS se aplica cada vez que se reinicia
Debe hacer que la configuracin IPQoS sea persistente en cada reinicio. En caso contrario, la configuracin actual slo se aplica hasta que el sistema se reinicia. Cuando la configuracin IPQoS funcione correctamente en un sistema, haga lo siguiente para que la configuracin sea persistente cada vez que se reinicia.
Asuma la funcin de administrador principal o hgase superusuario en el sistema con IPQoS. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Si existe una configuracin, ipqosconf la muestra en pantalla. Si no recibe ninguna respuesta, aplique la configuracin, como se explica en la seccin Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 866.
3
Asegrese de que la configuracin IPQoS se aplica cada vez que el sistema IPQoS se reinicia.
# /usr/sbin/ipqosconf -c
La opcin -c hace que la configuracin IPQoS actual est presente en el archivo de configuracin de inicio /etc/inet/ipqosinit.conf .
867
2 3
Utilice tabuladores en lugar de espacios entre las columnas. La entrada registra todos los mensajes de inicio generados por IPQoS en el archivo /var/adm/messages .
4
Ejemplo 351
Tambin puede encontrar mensajes de error IPQoS similares a los siguientes en el archivo /var/adm/messages del sistema con IPQoS.
May 14 10:56:47 ipqos-14 ipqosconf: [ID 123217 user.error] Missing/Invalid config file fmt_version. May 14 10:58:19 ipqos-14 ipqosconf: [ID 671991 user.error] No ipgpc action defined.
Para ver una descripcin de estos mensajes de error, consulte la Tabla 351.
868
Mensaje de error
Undefined action in parameter nombre de parmetro action nombre de accin action nombre de accin involved in cycle
En el archivo de configuracin IPQoS, el nombre de accin especificado en nombre de parmetro no existe en el archivo de configuracin. En el archivo de configuracin IPQoS, nombre de accin forma parte de un ciclo de acciones, lo que no estr pemitido por IPQoS.
Determine el ciclo de acciones. A continuacin, elimine una de las referencias cclicas del archivo de configuracin IPQoS.
Una definicin de accin no ipgpc no es Elimine la accin no referenciada. Tambin puede referenciada por ninguna otra accin hacer que otra accin haga referencia a la accin no definida en la configuracin IPQoS, lo que referenciada. no est permitido por IPQoS. Aada la versin de formato, como se explica en El formato del archivo de configuracin Cmo crear el archivo de configuracin IPQoS y no est especificado como primera entrada del archivo como requiere IPQoS. definir las clases de trfico en la pgina 842. La versin de formato especificada en el Cambie la versin de formato por fmt_version 1.0, archivo de configuracin no es compatilbe esto es necesario para ejecutar la versin Solaris 9 9/02 con IPQoS. de IPQoS y versiones posteriores. No ha definido una accin para el clasificador ipgpc en el archivo de configuracin, como requiere IPQoS. Cuando ejecut ipqosconf -c para confirmar una configuradcin, dicha configuracin estaba vaca, lo que no est permitido por IPQoS. En el archivo de configuracion, ha utilizado una mscara CIDR como parte de la direccin IP que est fuera del intervalo de direcciones IP vlidas. En el archivo de configuracin, ha definido una mscara CIDR para un nombre de host, lo que no est permtido en IPQoS. Defina una accin para ipgpc, como se muestra en la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 842. Asegrese de aplicar un archivo de configuracin antes de intentar confirmar una configuracin. Si necesita instrucciones, consulte Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 866. Cambie el valor de mscara por uno que se encuentre entre 132 para IPv4 y 1128 para IPv6.
Address masks arent allowed for host names line nmero de lnea
869
TABLA 351
(Continuacin)
Solucin
Mensaje de error
Descripcin
Invalid module name line nmero de lnea ipgpc action has incorrect name line nmero de lnea Second parameter clause not supported line nmero de lnea Duplicate named action
En el archivo de configuracin, el nombre de mdulo que ha especificado en una instruccin de accin no es vlido.
Compruebe que el nombre de mdulo est bien escrito. Para ver una lista de mdulos IPQoS, consulte la Tabla 375.
El nombre asignado a la accin ipgpc en el Cambie el nombre de la accin ipgpc.classify. archivo de configuracin no es el nombre ipgpc.classify requerido. En el archivo de configuracin, ha especificado dos clusulas de parmetro para una nica accin, lo que no est permitido por IPQoS. Combine todos los parmetros de la accin en una nica clusula de parmetro.
En el archivo de configuracin, ha Cambie el nombre de una de las acciones o elimnela. asignado el mismo nombre a dos acciones. Ha asignado el mismo nombre a dos filtros o dos clases en la misma accin, lo que no se permite en el archivo de configuracin IPQoS. En el archivo de configuracin, el filtro hace referencia a una clase no definida en la accin. La clase hace referencia a una accin no definida en el archivo de configuracin. En el archivo de configuracin, uno de los parmetros no es vlido. Cambie el nombre de uno de los filtros o clases, o elimnelo.
Duplicate named filter/class in action nombre de accin Undefined class in filter nombre de filtro in action nombre de accin Undefined action in class nombre de clase action nombre de accin Invalid parameters for action nombre de accin
Cree la clase, o cambie la referencia del filtro a una clase existente. Cree la accin, o cambie la referencia a una accin existente. Para ver el mdulo al que llama la accin especificada, consulte la entrada de mdulo de la seccin Arquitectura IPQoS y el modelo Diffserv en la pgina 879. Tambin puede consultar la pgina de comando man ipqosconf(1M). Para ver el mdulo al que llama la accin especificada, consulte la entrada de mdulo de la seccin Arquitectura IPQoS y el modelo Diffserv en la pgina 879. Tambin puede consultar la pgina de comando man ipqosconf(1M). Revise el archivo de configuracin y elimine las clases innecesarias. Tambin puede aumentar el nmero mximo de clases aadiendo al archivo /etc/system la entrada ipgpc_max_classesnmero de clases.
Ha especificado ms clases de las permitidas en la accin ipgpc del archivo de configuracin IPQoS. El nmero mximo es 10007.
870
TABLA 351
(Continuacin)
Solucin
Mensaje de error
Descripcin
Ha especificado ms filtros de los permitidos en la accin ipgpc del archivo de configuracin IPQoS. El nmero mximo es 10007. En el archivo de configuracin, el filtro nombre de filtro tiene parmetros no vlidos o no especificados.
Revise el archivo de configuracin y elimine los filtros innecesarios. Tambin puede aumentar el nmero mximo de filtros aadiendo al archivo /etc/system la entrada ipgpc_max_filtersnmero de filtros. Consulte la pgina de comando man ipqosconf(1M) para ve runa lista de parmetros vlidos. Elimine el signo de exclamacin o cambie el nombre completo de la accin, clase o filtro.
Name not allowed to start Inicia una accin, un filtro o un nombre with !, line nmero de lnea de clase con un signo de exclamacin (!), lo cual no est permitido en el archivo IPQoS. Name exceeds the maximum name length line nmero de lnea Array declaration line nmero de lnea is invalid Ha definido un nombre de una accin, clase o filtro en el archivo de configuracin que excede la longitud mxima de 23 caracteres. En el archivo de configuracin, la declaracin de matriz del parmetro de la lnea nmero de lnea no es vlido.
Para ver la sintaxis correcta de la declaracin de matriz a la que llama la instruccin de accin con la matriz no vlida, consulte la seccin Arquitectura IPQoS y el modelo Diffserv en la pgina 879. Tambin puede consultar la pgina de comando man ipqosconf(1M). Asegrese de que la cadena citada empieza y termina en la misma lnea en el archivo de configuracin. Para ver los valores aceptables para el mdulo al que llama la instruccin de accin, consulte la descripcin del mdulo en la seccin Arquitectura IPQoS y el modelo Diffserv en la pgina 879. Tambin puede consultar la pgina de comando man ipqosconf(1M). Compruebe que el valor de anumeracin es correcto para el parmetro. Para ver una descripcin del mdulo al que llama la instruccin de accin con el nmero de lnea no reconocido, consulte la seccin Arquitectura IPQoS y el modelo Diffserv en la pgina 879. Tambin puede consultar la pgina de comando man ipqosconf(1M). Para ver la sintaxis correcta del mdulo al que llama la instruccin de accin con la lista de valores mal formada, consulte la descripcin del mdulo en la seccin Arquitectura IPQoS y el modelo Diffserv en la pgina 879. Tambin puede consultar la pgina de comando man ipqosconf(1M).
Quoted string exceeds line, nmero de lnea Invalid value, line nmero de lnea
La cadena no tiene las comillas de cierre en la misma lnea, lo que es obligatorio en el archivo de configuracin. El valor definido en la lnea nmero de lnea del archivo de configuracin no es compatible con el parmetro.
El valor de nmero de lnea del archivo de configuracin no es un valor de enumeracin admitido para este parmetro.
La enumeracin especificada en nmero de lnea del archivo de configuracin no cumple la sintaxis de especificacin.
871
TABLA 351
(Continuacin)
Solucin
Mensaje de error
Descripcin
Se ha especificado un parmetro duplicado en nmero de lnea, lo que no est permitido en el archivo de configuracin.
Ha asignado a la accin de nmero de Cambie el nombre de la accin de modo que no utilice lnea del archivo de configuracin un un nombre predefinido. nombre que utiliza el nombre predefinido continue o drop". ipqosconf no ha podido determinar la direccin de origen o destino definida para el filtro en el archivo de configuracin. Por lo tanto, se omite el filtro. Si el filtro es importante, intente aplicar la configuracin ms adelante.
Failed to resolve src/dst host name for filter at line nmero de lnea, ignoring filter
La versin IP de la direccin de nmero de Cambie las dos entradas en conflicto para que sean compatibles. lnea es incompatible con la versin de una direccin IP especificada previamente o parmetro ip_version. Ha intentado cambiar el mdulo de una accin que ya existe en la configuracin IPQoS del sistema, lo que no est permitido. Vace la configuracin actual antes de aplicar la nueva configuracin.
Action at line nmero de lnea has the same name as currently installed action, but is for a different module
872
C A P T U L O
36
3 6
En este captulo se explica como obtener datos de control y estadsticas sobre el trfico administrador por un sistema IPQoS. Se explican los siguientes temas:
Establecimiento del control de flujo (Mapa de tareas) en la pgina 873 Registro de informacin sobre flujos de trfico en la pgina 874 Recopilacin de estadsticas en la pgina 876
1. Cree un archivo para guardar la informacin de control de flujos de trfico. 2. Defina los parmetros flowacct en el archivo de configuracin IPQoS.
Utilice el comando acctadm para crear un Cmo crear un archivo para datos de control de flujo archivo en el que se almacenarn los en la pgina 874 resultados del procsamiento de flowacct. Defina valores para los parmetros timer, Cmo activar el control para una clase en el archivo de timeout y max_limit. configuracin IPQoS en la pgina 849
873
Si necesita instrucciones para crear una instruccin de accin para flowacct en el archivo de configuracin IPQoS, consulte Cmo configurar el control de flujo en el archivo de configuracin IPQoS en la pgina 859. Para aprender cmo funciona flowacct, consulte Mdulo Classifier en la pgina 879. Si necesita informacin tcnica, consulte la pgina de comando man flowacct(7ipp).
Asuma la funcin de administrador principal o hgase superusuario en el sistema con IPQoS. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Cree un archivo de control de flujo bsico. En el siguiente ejemplo se muestra cmo crear un archivo de control de flujo bsico para el servidor web configurado en el Ejemplo 341.
# /usr/sbin/acctadm -e basic -f /var/ipqos/goldweb/account.info flow
874
Invoca a acctadm con la opcn -e. La opcin -e activa los argumentos que hay a continuacin. Determina que slo los datos de los ocho atributos bsicos flowacct se registran en el archivo. Especifica el nombre de ruta completo del archivo que contendr los registros de flujo de flowacct. Indica a acctadm que debe activar el control de flujo.
Para ver la informacin de control de flujo del sistema IPQoS, escriba acctadm sin argumentos. acctadm genera la siguiente salida:
Task accounting: inactive Task accounting file: Tracked task resources: Untracked task resources: Process accounting: Process accounting file: Tracked process resources: Untracked process resources: Flow accounting: Flow accounting file: Tracked flow resources: Untracked flow resources: none none extended inactive none none extended,host,mstate active /var/ipqos/goldweb/account.info basic dsfield,ctime,lseen,projid,uid
Todas las entradas menos las cuatro ltimas son para su uso con la funcin Solaris Resource Manager. En la siguiente tabla se explican las entras especficas de IPQoS.
Entrada Descripcin
Flow accounting: active Flow accounting file: /var/ipqos/goldweb/account.info Tracked flow resources: basic
Indica que el control de flujo est activado. Da el nombre del archivo de control de flujo actual. Indica que slo se supervisan los atributos de flujo bsicos. Enumera los atributos flowacct que no se supervisan en el archivo.
875
Recopilacin de estadsticas
Ver el contenido de un archivo de control de flujo. En Interfaz Perl para libexacct de Gua de administracin de sistemas: administracin de recursos y contenedores de Oracle Solaris y zonas de Oracle Solaris encontrar instrucciones para ver el contenido de un archivo de control de flujo.
Vase tambin
Para ver informacin detallada sobre la funcin de contabilidad ampliada, consulte el Captulo 4, Contabilidad ampliada (descripcin general) de Gua de administracin de sistemas: administracin de recursos y contenedores de Oracle Solaris y zonas de Oracle Solaris. Para definir parmetros flowacct en el archivo de configuracin IPQoS, consulte Cmo activar el control para una clase en el archivo de configuracin IPQoS en la pgina 849. Para imprimir los datos del archivo creado con acctadm , consulte Interfaz Perl para libexacct de Gua de administracin de sistemas: administracin de recursos y contenedores de Oracle Solaris y zonas de Oracle Solaris.
Recopilacin de estadsticas
Puede utilizar el comando kstat para generar estadsticas de los mdulos IPQoS. Use la sintaxis siguiente:
/bin/kstat -m ipqos-module-name
Puede especificar cualquier nombre de mdulo IPQoS vlido, como se muestra en la Tabla 375. Por ejemplo, para ver estadsticas generadas por el marcador dscpmk, utilice el siguiente comando de kstat:
/bin/kstat -m dscpmk
A continuacin se muestra un ejemplo del posible resultado al ejecutar kstat para obtener estadsticas sobre el mdulo flowacct.
# kstat -m flowacct module: flowacct name: Flowacct statistics bytes_in_tbl crtime epackets flows_in_tbl nbytes npackets snaptime usedmem
876
Recopilacin de estadsticas
EJEMPLO 361
(Continuacin)
Da el nombre de la clase a la que pertenecen los flujos de trfico, en este caso flacct. Nmero total de bytes en la tabla de flujo. El nmero total de bytes es la suma en bytes de todos los registros de flujo actuales de la tabla de flujo. La cantidad total de bytes de esta tabla de flujo es de 84. Si no hay ningn flujo en la tabla, el valor de bytes_in_tbl es 0. La ltima vez que se cre est salida de kstat. Nmero de paquetes que resultaron en un error durante el procesamiento, en este ejemplo 0. Nmero de registros de flujo que hay en la tabla de flujos, en este ejemplo es 1. Si no hay ningn registro en la tabla, el valor de flows_in_tbl es 0. Nmero total de bytes observados por esta instancia de accin flowacct, en este ejemplo 84. El valor incluye bytes que se encuentran actualmente en la tabla de flujo. El valor tambin incluye bytes obsoletos que ya no se encuentran en la tabla de flujo. Nmero total de paquetes observados por esta instancia de accin flowacct, en este ejemplo 1. npackets incluye paquetes que se encuentran actualmente en la tabla de flujo. npackets tambin incluye paquetes obsoletos que ya no se encuentran en la tabla de flujo. Memoria en bytes en uso por la tabla de flujo mantenida por esta instancia flowacct. En el ejemplo, el valor usedmem es 256. El valor de usedmem es 0 cuando la tabla de flujo no contiene ningn registro de flujo.
npackets
usedmem
877
878
C A P T U L O
37
3 7
Este captulo contiene material de referencia con informacin detallada sobre los siguientes temas de IPQoS:
Arquitectura IPQoS y el modelo Diffserv en la pgina 879 Archivo de configuracin IPQoS en la pgina 892 Herramienta de configuracin ipqosconf en la pgina 895
Para obtener una descripcin general, consulte el Captulo 32, Introduccin a IPQoS (Descripcin general). Si necesita informacin sobre la planificacin, consulte el Captulo 33, Planificacin para una red con IPQoS (Tareas). Para ver los procedimientos para configurar IPQoS, consulte el Captulo 34, Creacin del archivo de configuracin IPQoS (Tareas).
Adems, IPQoS incluye el mdulo de control de flujo y el marcador dlcosmk para su uso en dispositivos VLAN (red de rea local virtual).
Mdulo Classifier
En el modelo Diffserv, el mdulo classifier se encarga de organizar los flujos de trfico seleccionados en grupos a los que se aplican diferentes niveles de servicio. Los clasificadores definidos en RFC 2475 se disearon originalmente para enrutadores de lmite de sistema. En
879
cambio, el clasificador IPQoS ipgpc est diseado para administrar flujos de trfico en hosts internos de la red local. Por lo tanto, una red con sistemas IPQoS y un enrutador Diffserv puede proporcionar un alto nivel de servicios diferenciados. Para ver una descripcin tcnica de ipgpc, consulte la pgina de comando man ipgpc(7ipp). El clasificador ipgpc se encarga de lo siguiente: 1. Selecciona los flujos de trfico que cumplen los criterios especificados en el archivo de configuracin IPQoS en el sistema con IPQoS La directiva QoS define varios criterios que deben estar presentes en los encabezados de paquetes. Estos criterios se denominan selectores. El clasificador ipgpc compara estos selectores con los encabezados de paquetes que recibe el sistema IPQoS. Despus, ipgpc selecciona todos los paquetes que coinciden. 2. Separa los flujos de paquetes en clases, trfico de red con las mismas caractersticas, como se ha definido en el archivo de configurain IPQoS 3. Examina el valor del campo de servicios diferenciados (DS) del paquete para comprobar si contiene un punto de cdigo de servicios diferenciados (DSCP) La presencia de un punto de cdigo DSCP indica si el trfico entrante ha sido marcado en su origen con un comportamiento de reenvo. 4. Determina qu otras acciones estn especificadas en la configuracin IPQoS para paquetes de una clase especfica 5. Transfiere los paquets al siguiente mdulo IPQoS especificado en el archivo de configuracin IPQoS, o los devuelve al flujo de red Para ver una descripcin general del clasificador, consulte Descripcin general del clasificador (ipgpc) en la pgina 807. Si necesita informacin sobre cmo invocar al clasificador en el archivo de configuracin IPQoS, consulte Archivo de configuracin IPQoS en la pgina 892.
Selectores IPQoS
El clasificador ipgpc admite varios selectores que se pueden usar en la clusula filter del archivo de configuracin IPQoS. Al usar un filtro, utilice siempre el nmero mnimo de selectores necesarios para extraer el trfico de una clase determinada. El nmero de filtros definidos repercute en el rendiemiento de IPQoS. En la siguiente tabla se muestran los selectores disponibles para ipgpc .
TABLA 371 Selector
saddr daddr
880
(Continuacin)
Informacin seleccionada
sport
Un nmero de puerto o nombre de servicio, definido en /etc/services . Un nmero de puerto o nombre de servicio, definido en /etc/services . Un nmero o nombre de protocolo, definido en /etc/protocols. Punto de cdigo DS (DSCP) con un valor de 063.
Puerto de origen del que proviene una clase de trfico. Puerto de destino de una clase de trfico. Protocolo que usar esta clase de trfico. DSCP que define cualquier comportamiento de reenvo que deb aplicarse al paquete. Si se especifica este parmetro, el parmetro dsfield_mask tambin debe especificarse. Se utiliza en combinacin con el selector dsfield. dsfield_mask se aplica al selector dsfield para determinar qu bit se utiliza para la comparacin. Interfaz que se utiliza para el trfico entrante o saliente de una clase determinada. ID de usuario que se suministra a una aplicacin.
dport
protocol
dsfield
dsfield_mask
if_name
Nombre de interfaz. Nmero del ID de usuario o nombre de usuario de UNIX que se seleccionar. Si no hay ningn ID de usuario ni nombre de usuario en el paquete, se utilizar la opcin predeterminada, 1. Nmero de ID de proyecto que se seleccionar. Nmero de prioridad. La prioridad ms baja es 0. El argumento puede ser uno de los siguientes: LOCAL_IN LOCAL_OUT FWD_IN FWD_OUT
user
projid
ID de proyecto que se suministra a una aplicacin. Prioridad que se asigna a paquetes de esta clase. La prioridad se utiliza para ordenar la importancia de filtros de la misma clase. Direccin del flujo de paquete en el equipo IPQoS. Trfico de entrada local del sistema IPQoS. Trfico de salida local del sistema IPQoS. Trfico de entrada que se debe reenviar. Trfico de salida que se debe reenviar.
priority
direction
precedence
Valor de precedencia. La precedencia ms alta es La precedencia se utiliza para ordenar filtros 0. con la misma prioridad. V4 o V6 Esquema de direcciones utilizado por los paquetes, IPv4 o IPv6.
ip_version
881
Mdulo Meter
El medidor controla la tasa de transmisin de flujos por paquete. Despus, determina si el paquete cumple los parmetros configurados. El mdulo medidor (Meter) determina la siguietne accin para un paquete de un conjunto de acciones, que dependen del tamao del paquete, los parmetros configurados y la tasa de flujo. Meter consta de dos mdulos de medicin, tokenmt y tswtclmt, que se configuran en el archivo de configuracn IPQoS. Puede configurar uno de los mdulos, o ambos, para una clase. Al configurar un mdulo de medicin, puede definir dos parmetros de tasa:
committed-rate Define la tasa de transmisin aceptable, en bits por segundo, para paquetes de una clase determinada peak-rate Define la tasa de transmisin mxima, en bits por segundo, que se permite para paquetes de una clase determinada
green El paquete permite que el flujo se mantenga en la tasa aprobada. yellow El paquete hace que el flujo sobrepase su tasa aprobada pero no la mxima. red El paquete hace que el flujo sobrepase su tasa mxima.
Puede configurar cada resultado con acciones diferentes en el archivo de configuracin IPQoS. La tasa aprobada y la tasa mxima se explican en la siguiente seccin.
committed_rate Especifica la tasa aprobada para el flujo, en bits por segundo. committed_burst Especifica el tamao de rfaga aprobado en bits. El parmetro committed_burst define cuntos paquetes de una clase determinada pueden transmitirse a la red a la tasa aprobada. peak_rate Especifica la tasa mxima en bits por segundo. peak_burst Especifica el tamao de rfaga mxima en bits. El parmetro peak_burst asigna a una clase de trfico un tamao de rfaga mxima que sobrepasa la tasa aprobada.
882
color_aware Establece tokenmt en modo de activacin. color_map Define una matriz de enteros que asgina valores DSCP a verde, amarillo o rojo.
action { module tokenmt name meter1 params { committed_rate 4000000 peak_rate 8000000 committed_burst 4000000 peak_burst 8000000 global_stats true red_action_name continue yellow_action_name continue green_action_name continue color_aware true color_map {0-20,22:GREEN;21,23-42:RED;43-63:YELLOW} } }
Captulo 37 IPQoS detallado (Referencia) 883
Para activar el reconocimiento de color, hay que establecer el parmetro color_aware en true. Como medidor con reconocimiento de color, tokenmt asume que el paquete ya se ha marcado como rojo, amarillo o verde por una accin tokenmt anterior. tokenmt con reconocimiento de color evala los paquetes utilizando el punto de cdigo DSCP del encabezado, adems de los parmetros de un medidor de doble tasa. El parmetro color_map contiene una matriz en la que se asigna el punto de cdigo DSCP del encabezado del paquete. Observe la siguiente matriz color_map :
color_map {0-20,22:GREEN;21,23-42:RED;43-63:YELLOW}
Los paqutes con un DSCP de 020 y 22 se asignan al verde. Los paquetes con un DSCP de 21 y 2342 se asignan al rojo. Los paquetes con un DSCP de 4363 se asignan al amarillo. tokenmt mantiene un mapa de color predeterminado. Aunque puede cambiar los valores predeterminados utilizando los parmetros color_map . En los parmetros color_action_name, puede especificar continue para completar el procesamiento del paquete. Tambin puede aadir un argumento para enviar el paquete a una accin de marcador, por ejemplo yellow_action_name mark22.
committed_rate Especifica la tasa aprobada en bits por segundo peak_rate Especifica la tasa mxima en bits por segundo window Define la fase temporal, en milisegundos en los cuales se mantiene el historial de ancho de banda medio
Si necesita informacin tcnica sobre tswtclmt, consulte la pgina de comando man tswtclmt(7ipp) Si necesita informacin general sobre formadores de tasa similares a tswtclmt, consulte RFC 2963, A Rate Adaptive Shaper for Differentiated Services (http:// www.ietf.org/rfc/rfc2963.txt?number=2963).
Mdulo marcador
IPQoS incluye dos mdulos de marcador, dscpmk y dlcosmk. Esta seccin contiene informacin sobre cmo usar ambos marcadores. Normalmente se utiliza dscpmk, porque dlcosmk slo est disponible para sistemas IPQoS con dispositivos VLAN.
884 Gua de administracin del sistema: servicios IP Septiembre de 2010
Si necesita informacin tcnica sobre dscpmk, consulte la pgina de comando man dscpmk(7ipp). Si necesita informacin tcnica sobre dlcosmk, consulte la pgina de comando man dlcosmk(7ipp).
tienen garantizado un tratamiento preferencial por todos los enrutadores Diffserv que se encuentren hasta el destino del paquete. Si necesita informacin tcnica sobre EF, consulte RFC 2598, Un PHB de reenvo acelerado.
Precedencia con baja probabilidad de descarte Precedencia con probabilidad de descarte media Precedencia con alta probabilidad de descarte
Cualquier sistema con Diffserv puede utilizar el punto de cdigo AF como gua para proporcionar comportamientos de reenvo diferenciados a diferentes clases de trfico. Cuando estos paquetes llegan a un enrutador con Diffserv, el enrutador evala los puntos de cdigo de los paquetes junto con los puntos de cdigo DSCP de otro trfico en cola. Despus, el enrutador reenva o descarta paquetes, segn el ancho de banda disponible y las prioridades asignadas por los puntos DSCP de los paquetes. Los paquetes marcados con PHB EF tienen ancho de banda garantizado con respecto a paquetes marcados con cualquier comportamiento PHB AF. El marcado de paquetes debe coordinarse entre cualquier sistema IPQoS de la red y el enrutador Diffserv, para garantizar que los paquetes se reenvan de manera apropiada. Por ejemplo, suponga que los sistemas IPQoS de la red marcan los paquetes con puntos de cdigo AF21 (010010), AF13 (001110), AF43 (100110) y EF (101110). Deber aadir los puntos de cdigo DSCP AF21, AF13, AF43 y EF al archivo correspondiente del enrutador Diffserv. Para obtener una explicacin tcnica sobre la tabla de puntos de cdigo AF, consulte RFC 2597. En las pginas web de los fabricantes de enrutadores Cisco Systems y Juniper Networks puede encontrar informacin detallada acerca de la configuracin de comportamientos AF PHB.
886 Gua de administracin del sistema: servicios IP Septiembre de 2010
Puede usar esta informacin para definir comportamientos PHB AF para sistemas IPQoS y enrutadores. La documentacin del fabricante del enrutador contiene instrucciones para definir puntos de cdigo DS en el equipo.
El parmetro dscp_map es una matriz de 64 elementos, que se rellena con el valor (DSCP). dscp_map se utiliza para asignar puntos DSCP entrantes a puntos DSCP salientes que aplica el marcador dscpmk. Debe especificar el valor DSCP de dscp_map en notacin decimal. Por ejemplo, el punto de cdigo EF 101110 debe traducirse al valor decimal 46, que da como resultado dscp_map{0-63:46}. Para puntos de cdigo AF, debe convertir los diferentes puntos de cdigo que se muestran en la Tabla 372 a notacin decimal para usarlos con dscp_map.
Clase de servicio
0 1 2
887
TABLA 373
(Continuacin)
Definicin
Clase de servicio
3 4 5 6 7
Excelente Carga controlada Vdeo, latencia de menos de 100ms Vdeo, latencia de menos de 10ms Control de red
fmt_version 1.0 action { module ipgpc name ipgpc.classify filter { name myfilter2 daddr 10.10.8.3 class myclass } class { name myclass next_action mark4 } } action { name mark4 module dlcosmk params { cos 4 next_action continue global_stats true } }
888 Gua de administracin del sistema: servicios IP Septiembre de 2010
En esta configuracin, todo el trfico de machine1 destinado para el dispositivo VLAN de machine2 se transfiere al marcador dlcosmk. La accin de marcador mark4 indica a dlcosmk que debe aadir una marca VLAN a datagramas de la clase myclass con un valor CoS de 4. El valor de prioridad de usuario de 4 indica que el conmutador que hay entre los dos equipos debe proporcionar reenvo de carga controlado a los flujos de trfico myclass desde machine1 .
Mdulo flowacct
El mdulo IPQoS flowacct registra informacin sobre flujos de trfico, un proceso que se denomina control de flujo. El control de flujo genera datos que pueden utilizarse para la facturacin de clientes o para evaluar la cantidad de trfico de una clase determinada. El control de flujo es optativo. flowacct es, generalmente, el ltimo mdulo que los mdulos medidos o marcados encuentras antes de enviarse al flujo de red. Para ver una ilustracin de la ubicacin de flowacct en el modelo Diffserv, consulte la Figura 321. Para ver informacin tcnica detallada sobre flowacct, consulte la pgina de comando man flowacct(7ipp). Para activar el control de flujo, debe usar la herramienta de control de Oracle Solaris exacct y el comando acctadm, adems de flowacct. Para ver los pasos necesarios para configurar el control de flujo, consulte la seccin Establecimiento del control de flujo (Mapa de tareas) en la pgina 873.
Parmetros de flowacct
El mdulo flowacct recopila informacin sobre flujos en una tabla de flujo compuesta por registros de flujo. Cada entrada de la tabla contiene un registro de flujo. No se puede ver una tabla de flujo. En el archivo de configuracin IPQoS, se definen los siguientes parmetros de flowacct para medir los registros de flujo y escribirlos en la tabla de flujo:
timer Define un intervalo, en milisengundos, en el que los flujos con tiempo de espera superado se eliminan de la tabla de flujo y se escriben en el archivo creado por acctadm timeout Define un intervalo, en milisegundos, que especifica cunto tiempo debe estar inactivo un flujo de paquete para que se supere el tiempo de espera del flujo
Nota Puede configurar timer y timeout para que tengan diferentes valores.
max_limit Define el lmite mximo para el nmero de registros de flujo que pueden almacenarse en la tabla de flujo
Para ver un ejemplo de cmo se utilizan los parmetros flowacct en el archivo de configuracin IPQoS, consulte Cmo configurar el control de flujo en el archivo de configuracin IPQoS en la pgina 859.
Captulo 37 IPQoS detallado (Referencia) 889
Tabla de flujo
El mdulo flowacct mantiene una tabla de flujo que registra todos los flujos de paquetes supervisados por una instancia de flowacct. Un flujo se identifica mediante los siguientes parmetros, que incluyen flowacct 8tuple:
Direccin de origen Direccin de destino Puerto de origen Puerto de destino DSCP ID de usuario ID de proyecto Nmero de protocolo
Si todos los parmetros de 8tuple de un flujo siguen siendo los mismos, la tabla de flujo contiene slo una entrada. El parmetro max_limit determina el nmero de entradas que puede contener una tabla de flujo. La tabla de flujo se explora en el intervalo especificado en el archivo de configuracin IPQoS del parmetro timer. El tiempo predeterminado es 15 segundos. El tiempo de espera de un flujo se supera cuando el sistema IPQoS no enva los paquetes del flujo en el intervalo timeout definido en el archivo de configuracin IPQoS. El intervalo de tiempo de espera predeterminado es de 60 segundos. Las entradas con tiempo de espera superado se escriben en el archivo de control creado con el comando acctadm.
Registros flowacct
Un registro flowacct contiene los atributos descritos en la siguiente tabla.
TABLA 374
Nombre de atributo
src-addr-tipo de direccin
Direccin de oregien del originador. El tipo de Bsico direccin es v4 para IPv4 o v6 para IPv6, especificado en el archivo de configuracin IPQoS. Direccin de destino de los paquetes. El tipo de Bsico direccin es v4 para IPv4 o v6 para IPv6, especificado en el archivo de configuracin IPQoS. Puerto de origen del que proviene el flujo. Bsico
dest-addr-tipo de direccin
src-port dest-port
Nmero de puerto de destino al que est vinculado el Bsico flujo. Nmero de protocolo del flujo. Nmero de paquetes del flujo. Bsico Bsico
protocol total-packets
890
TABLA 374
(Continuacin)
Tipo
Nombre de atributo
Contenido de atributo
Bsico
Nombre de la accin flowacct que ha registrado este Bsico flujo. Primera vez que flowacct examina un paquete del flujo. ltima vez que se observ un paquete del flujo. DSCP en los encabezados del paquete saliente del flujo. ID o nombre de usuario UNIX, obtenido de la aplicacin. ID de proyecto, obtenido de la aplicacin. Slo ampliado Slo ampliado Slo ampliado Slo ampliado Slo ampliado
last-seen diffserv-field
user
projid
Invoca a acctadm con la opcn -e. "-e" indica que a continuacin hay una lista de recursos. Especifica los atributos que se deben recopilar. tipo de archivo debe reemplazarse por basic o extended. Para ver una lista de atributos de cada tipo de archivo, consulte la Tabla 374. Crea el archivo nombre de archivo que contendr los registros de flujo. Indica que acctadm debe ejecutarse con IPQoS.
891
texto con estilo de ordenador Informacin sintctica proporcionada para explicar las secciones del archivo de configuracin. El usuario no noecesita escribir el texto con estilo de ordenador en ningn momento. texto en negrita Texto literal que debe escribir en el archivo de configuracin IPQoS. Por ejemplo, siempre debe empezar el archivo de configuracin IPQoS con fmt_version. texto en cursiva Texto variable que se reemplaza con informacin descriptiva sobre la configuracin. Por ejemplo, nombre de accin o nombre de mdulo deben reemplazarse siempre por informacin sobre la configuracin.
Sintaxis del archivo de configuracin IPQoS
EJEMPLO 373
file_format_version ::= fmt_version version action_clause ::= action { name action-name module module-name params-clause | "" cf-clauses } action_name ::= string module_name ::= ipgpc | dlcosmk | dscpmk | tswtclmt | tokenmt | flowacct params_clause ::= params { parameters params-stats | "" } parameters ::= prm-name-value parameters | "" prm_name_value ::= param-name param-value params_stats ::= global-stats boolean cf_clauses ::= class-clause cf-clauses | filter-clause cf-clauses | "" class_clause ::= class { name class-name next_action next-action-name class-stats | "" }
892
EJEMPLO 373
(Continuacin)
class_name ::= string next_action_name ::= string class_stats ::= enable_stats boolean boolean ::= TRUE | FALSE filter_clause ::= filter { name filter-name class classname parameters } filter_name ::= string
El texto restante describe cada seccin principal del archivo de configuracin IPQoS.
Instruccin action
Las instrucciones action se utilizan para invocar a los diferentes mdulos IPQoS descritos en Arquitectura IPQoS y el modelo Diffserv en la pgina 879. Al crear el archivo de configuracin IPQoS, siempre se debe empezar por el nmero de versin. Despus, se debe aadir la siguiente instruccin action para invocar al clasificador:
fmt_version 1.0 action { module ipgpc name ipgpc.classify }
A continuacin de la instruccin action de clasificador, aada una clusula params o class. Utilice la siguiente sintaxis para el resto de instrucciones action:
action { name action-name module module-name params-clause | "" cf-clauses }
Asigna un nombre a la accin. Identifica el mdulo IPQoS que se debe invocar, que debe ser uno de los mdulos de la Tabla 375. Pueden ser parmetros que debe procesar el clasificador, como estadsticas globales, o la siguiente accin que procesar.
893
clusulas cf
Definiciones de mdulo
La definicin de mdulo indica qu mdulo procesar los parmetros de la instruccin action. El archivo de configuracin IPQoS puede incluir los siguientes mdulos.
TABLA 375
Mdulos IPQoS
Definicin
Nombre de mdulo
ipgpc dscpmk
Clasificador IP Marcador que se debe utilizar para crear puntos de cdigo DSCP en paquetes IP Marcador que se debe utilizar con dispositivos VLAN Medidor de conjunto de tokens Medidor de fase temporal de desplazamiento Mdulo de control de flujo
Clusula class
Se define una clusula class para cada clase de trfico. Utilice esta sintaxis para definir las clases restantes de la configuracin IPQoS:
class { name class-name next_action next-action-name }
Para activar la recopilacin de estadsticas de una clase determinada, primero debe activar las estadsticas globales en la instruccin action ipgpc.classify. Si necesita ms informacin, consulte Instruccin action en la pgina 893. Utilice la instruccin enable_stats TRUE cuando quiera activar la recopilacin de estadsticas de una clase. Si no necesita recopilar estadsticas de una clase, puede especificar enable_stats FALSE. Tambin puede eliminar la instruccin enable_stats. El trfico de una red con IPQoS que no est definido especficamente pertenece a la clase predeterminada.
894 Gua de administracin del sistema: servicios IP Septiembre de 2010
Clusula filter
Los filtros estn compuestos por selectores que agrupan los flujos de trfico en clases. Estos selectores definen especficamente los criterios que deben aplicarse al trfico de la clase creada en la clusula class. Si un paquete cumple todos los selectores del filtro de mxima prioridad, se considera un miembro de la clase del filtro. Para ver una lista completa de los selectores que pueden usarse con el clasificador ipgpc, consulte la Tabla 371. Los filtros se definen en el archivo de configuracin IPQoS utilizando una clusula filter, que tiene la siguiente sintaxis:
filter { name filter-name class class-name parameters (selectors) }
Clusula params
La clusula params contiene instrucciones de procesamiento para el mdulo definido en la instruccin de accin. Utilice la siguiente sintaxis para la clusula params:
params { parameters params-stats | "" }
En la clusula params se utilizan parmetros aplicables al mdulo. El valor estadsitcas params de la clusula params es global_stats TRUE o global_stats FALSE. La instruccin global_stats TRUE activa estadsticas de estilo UNIX para la instruccin action en la que se invocan las estadsticas globales. Puede ver las estadsticas con el comando kstat. Debe activar las estadsticas de la instruccin action antes de poder activar las estadsitcas por clase.
Aplica el archivo de configuracin a los mdulos de kernel IPQoS (ipqosconf -a nombre de archivo) Indica el archivo de configuracin IPQoS actual del kernel (ipqosconf -l) Asegura que la configuracin IPQoS actual se lee y aplica cada vez que se reinicia el equipo (ipqosconf -c)
895
896
Glosario
El presente glosario contiene definiciones de trminos nuevos que se utilizan en este manual y que no figuran en el glosario Sun Global Glossary del sitio web docs.sun.com.
3DES administracin de claves AES Consulte Triple-DES. La forma de administrar la SA (Security Association). Advanced Encryption Standard. Una tcnica de cifrado de datos en bloques de 128 bits simtricos. En octubre del ao 2000, el gobierno de Estados Unidos adopt la variante Rijndael del algoritmo como estndar de cifrado. AES sustituye al cifrado DES como estndar gubernamental. Puede ser un agente interno o externo. Enrutador o servidor de la red externa a la que accede el nodo mvil. Enrutador o servidor de la red principal de un nodo mvil. En IP para mviles, conjunto de direcciones designadas por el administrador de red principal para que lo utilicen los nodos mviles que necesitan una direccin permanente. En IP para mviles, mensaje que los agentes internos y externos envan para avisar de su presencia en cualquier vnculo con el que se haya conectado. Proceso en el que los enrutadores anuncian su presencia junto con otros parmetros de vnculo e Internet, de manera peridica o como respuesta a un mensaje de solicitud de enrutador.
agente de movilidad agente externo agente interno agrupacin de direcciones anuncio de agente anuncio de enrutador
anuncio de vecinos Respuesta a mensaje de solicitud de vecino o proceso de un nodo que enva anuncios de vecino no solicitados para anunciar un cambio de direccin de capa de vnculo. asociacin de seguridad de la movilidad ataque smurf Serie de medidas de seguridad, por ejemplo un algoritmo de autenticacin, entre un par de nodos, que se aplican a mensajes de protocolo IP para mviles y que los dos nodos se intercambian. Uso de un paquete icmp echo request dirigido a una direccin de difusin IP o varias direcciones de emisin mltiple desde ubicaciones remotas para crear cadas o congestiones severas en las redes.
autoconfiguracin Proceso mediante el cual un host configura automticamente su direccin IPv6 a partir del prefijo del sitio y la direccin MAC local.
897
autoconfiguracin Proceso mediante el cual un host genera sus propias direcciones IPv6 combinamdo su direccin MAC y sin estado un prefijo de IPv6 anunciado por un enrutador IPv6 local. autoridad de certificacin base de datos de directivas de seguridad (SPD) Blowfish Organizacin externa o empresa que ofrece confianza y que emite los certificados digitales utilizados para crear firmas digitales y pares de claves pblicas-privadas. La autoridad de certificacin garantiza la identidad de la persona a la que se concede el certificado exclusivo. Base de datos que determina el nivel de proteccin que debe aplicarse a un paquete. La SPD filtra el trfico de IP para establecer si se debe descartar un paquete, autorizarle el paso o protegerlo con IPsec.
Algoritmo cifrado de bloques simtricos con una clave de tamao variable que va de 32 a 448 bits. Bruce Schneier, su creador, afirma que Blowfish se optimiza en el caso de aplicaciones en que la clave se modifica con poca frecuencia. Consulte autoridad de certificacin. Capa inmediatamente inferior a IPv4/IPv6. Los datos que se transportan en un paquete. La carga til no incluye la informacin de encabezado que se necesita para que el paquete llegue a su destino. Sistema de cifrado en el que el emisor y el receptor de un mensaje emplean claves distintas para cifrar y descifrar dicho mensaje. Las claves asimtricas se usan para establecer un canal seguro de cifrado simtrico de claves. protocolo de Diffie-Hellman es un ejemplo de protocolo de claves asimtricas. Se contrapone a criptografa de clave simtrica. En IPQoS, grupo de flujos de datos de red que comparten caractersticas similares. Las clases se definen en el archivo de configuracin de IPQoS. Proceso de conmutar la conexin del acceso a la red de una interfaz defectuosa a otra que se encuentra en buen estado. El acceso a red incluye unidifusin, multidifusin y trfico de emisin IPv4, as como unidifusin, multidifusin y trfico de emisin IPv6. En IPQoS, proceso de recopilacin y registro de informacin relativa a los flujos de trfico. La contabilidad de flujos se establece definiendo los parmetros del mdulo flowacct en el archivo de configuracin de IPQoS. Cualquier programa o dispositivo que asle la intranet o red de una organizacin particular de Internet, con lo cual queda protegida de intrusiones externas. Un cortafuegos puede abarcar filtrado de paquetes, servidores proxy y NAT (Network Address Translation, traduccin de direcciones de red). Sistema de cifrado en que el emisor y el receptor de un mensaje comparten una sola clave comn. Esa clave comn se emplea para cifrar y descifrar el mensaje. Las claves simtricas se usan para cifrar la mayor parte de las transmisiones de datos en IPsec. DES constituye un ejemplo de sistema de claves simtricas. Sistema criptogrfico basado en dos claves. La clave pblica es de dominio general. La clave privada slo la conoce el destinatario del mensaje. IKE proporciona claves pblicas para IPsec. Consulte datagrama IP.
898
direccin de multidifusin
datagrama IP
Paquete de informacin que se transfiere por IP. Un datagrama IP contiene un encabezado y datos. En el encabezado figuran las direcciones del origen y el destino del datagrama. Otros campos del encabezado permiten identificar y volver a combinar los datos con los datagramas adjuntos en el destino. Siglas en ingls de Data Encryption Standard, estndar de cifrado de datos. Un mtodo de cifrado de claves simtricas que se desarroll en 1975 y que la ANSI estandariz en 1981 como ANSI X.3.92. DES utiliza una clave de 56 bits.
DES
descubrimiento de En IP para mviles, proceso segn el cual un nodo mvil determina si se ha movido, cul es su ubicacin agente actual, as como su direccin de auxilio en una red externa. descubrimiento de Proceso de los hosts que buscan enrutadores residentes en un vnculo conectado. enrutadores descubrimiento de Mecanismo de IP que permite a los host encontrar otros host que residen en un vnculo conectado. vecinos deteccin de errores deteccin de reparaciones direccin de auxilio direccin de datos Proceso en el que se detecta que deja de funcionar una interfaz o la ruta de una interfaz a un dispositivo de capa de Internet. IP Multipathing para redes presenta dos clases de deteccin de errores: deteccin en vnculos (predeterminada) o en sondeos (opcional). Proceso en el que se detecta si una tarjeta de interfaz de red o la ruta de dicha tarjeta a un dispositivo de capa 3 comienza a funcionar correctamente despus de un fallo. Direccin temporal de un nodo mvil que sirve como punto de salida del tnel cuando el nodo mvil se conecta a una red externa. Direccin IP que puede utilizarse como origen o destino de datos. Las direcciones de datos forman parte de un grupo IPMP y se pueden usar para enviar y recibir trfico en cualquier interfaz del grupo. Adems, el conjunto de direcciones de datos de un grupo IPMP se puede utilizar continuamente siempre que funcione una interfaz en el grupo. Direcciones de red IPv4 cuya parte principal de la direccin es de bits de todo cero (10.50.0.0) o todo uno (10.50.255.255). Un paquete que se enva a una direccin de difusin desde un equipo de la red local se distribuye a todos los equipos de dicha red. Direccin IPv6 que se asigna a un grupo de interfaces (en general pertenecientes a nodos distintos). El paquete que se enva a una direccin de difusin por proximidad se dirige a la interfaz ms prxima que contenga dicha direccin. La ruta del paquete se atiene a la medicin de distancia del protocolo de encaminamiento.
Formato de direccin IPv4 que no se basa en clases de red (clase A, B y C). Las direcciones CIDR tienen un direccin de tamao de 32 bits. Utilizan la notacin decimal con puntos IPv4 estndar, ms un prefijo de red. Dicho encaminamiento entre dominios sin prefijo define el nmero de red y la mscara de red. clase (CIDR) direccin de multidifusin Direccin IPv6 que identifica un grupo de interfaces de una manera determinada. Un paquete enviado a una direccin multidifusin se distribuye a todas las interfaces del grupo. La direccin de multidifusin IPv6 funciona de manera similar a la direccin de emisin IPv4.
899
direccin de prueba
direccin de prueba direccin de unidifusin direccin de uso local direccin de uso local de sitio direccin DEPRECATED direccin local de vnculo direccin permanente direccin privada
Direccin IP en un grupo IPMP que debe usarse como direccin de origen o destino de sondas; no debe emplearse como direccin de origen o destino para trfico de datos. Direccin IPv6 que identifica una sola interfaz de un nodo compatible con IPv6. Una direccin de unidifusin se compone de prefijo de sitio, ID de subred e ID de interfaz. Direccin de unidifusin que slo tiene un mbito de encaminamiento local (dentro de una subred o una red de suscriptores). Esta direccin puede tener tambin un mbito de exclusividad local o global. Designacin que se usa para direccin en un solo sitio. Direccin IP que no sirve como direccin de origen de datos que estn en un grupo IPMP. En general, las direcciones de prueba IPMP son del tipo DEPRECATED . Ahora bien, cualquier direccin se puede marcar como DEPRECATED para impedir que pueda utilizarse como direccin de origen. En IPv6, designacin que se usa para asignar una direccin a un solo vnculo para, por ejemplo, la configuracin automtica de direcciones. De forma predeterminada, la direccin local de vnculo se crea a partir de la direccin MAC del sistema. Direccin IP que se asigna a un nodo mvil durante un periodo de tiempo prolongado. La direccin permanece inalterable en tanto el nodo se conecta con cualquier otra ubicacin de Internet o la red de una organizacin. Direccin IP que no se puede encaminar por Internet. Las redes internas utilizan las direcciones privadas en los host que no necesitan conexin con Internet. Las direcciones estn definidas en Address Allocation for Private Internets (http://www.ietf.org/rfc/rfc1918.txt?number=1918) y con frecuencia se las denomina direcciones 1918. Interfaces de red que proporcionan reenvo de trfico en el nivel de Ethernet (vnculo de datos) del protocolo de pila IP. El dominio de interpretacin define los formatos de los datos, los tipos de intercambio de trfico de red y las convenciones de denominacin de informacin relacionada con la seguridad. Ejemplos de informacin relacionada con la seguridad son los algoritmos y modos criptogrficos, y las directrices de seguridad. Siglas en ingls de Digital Signature Algorithm, algoritmo de firma digital. Algoritmo de clave pblica con un tamao de clave variable que va de 512 a 4096 bits. DSS, el estndar del gobierno de Estados Unidos, llega hasta los 1024 bits. DSA se basa en el algotirmo SHA-1 para las entradas. Consulte encabezado IP. Encabezado de extensin que proporciona autenticacin e integridad, sin confidencialidad, a datagramas IP. Consulte encabezado IP. Veinte bytes de datos que identifican un paquete de Internet de forma exclusiva. El encabezado contiene direcciones de origen y destino del paquete. Una opcin del encabezado permite agregar ms bytes.
DSA
900
encapsulado encapsulado mnimo Encapsulating Security Payload (ESP) enlace de movilidad enrutador
Proceso de colocacin de un encabezado y carga til en el primer paquete, que posteriormente se coloca en la carga til del segundo paquete. Forma opcional de tnel de IPv4 en IPv4 vlida para agentes internos, externos y nodos mviles. El encapsulado mnimo presenta 8 o 12 bytes menos de estructura general que IP en encapsulado IP. Encabezado de extensin que proporciona integridad y confidencialidad a los datagramas. ESP es uno de los cinco componentes de la arquitectura para seguridad IP (IPsec). Asociacin entre una direccin permanente y una de auxilio, junto con la vida til que tenga dicha asociacin. Sistema que en general tiene ms de una interfaz, ejecuta protocolos de encaminamiento y reenva paquetes. Un sistema se puede configurar con una sola interfaz como enrutador si el sistema es el punto final de un vnculo PPP.
expansin de carga Proceso de distribuir trfico de entrada o salida en un conjunto de interfaces. Como consecuencia de la expansin de carga, se obtiene un mayor rendimiento. La expansin de carga slo se produce cuando el trfico de red fluye hacia varios destinos que utilizan mltiples conexiones. Hay dos clases de expansin de carga: expansin de carga de entrada para trfico de entrada, y de salida para trfico de salida. filtro Conjunto de reglas que establecen las caractersticas de una clase en el archivo de configuracin de IPQoS. El sistema IPQoS selecciona para procesar cualquier flujo de trfico de datos que se adecue a los filtros de su archivo de configuracin de IPQoS. Consulte filtro de paquetes. Funcin de cortafuegos que se puede configurar para permitir o denegar el paso de determinados paquetes a travs de un cortafuegos. Un filtro de paquetes que puede supervisar el estado de las conexiones activas y recurrir a la informacin obtenida para establecer los paquetes de red que podrn pasar a travs del cortafuegos. Al efectuar el seguimiento y relacionar solicitudes y respuestas, un filtro de paquetes con estado puede detectar respuestas que no coincidan con una consulta. Consulte filtro de paquetes con estado. Cdigo digital que se vincula con un mensaje transmitido electrnicamente y que identifica al remitente de forma exclusiva. Forma opcional de tnel vlida para agentes internos, externos y nodos mviles. GRE permite encapsular un paquete de cualquier protocolo de capa de red en un paquete de distribucin del mismo o cualquier otro protocolo de capa de red. Grupo de interfaces que tienen la misma direccin de direccin por proximidad IPv6. La implementacin de IPv6 en Oracle Solaris no permite crear direcciones ni grupos de difusin por proximidad. Ahora bien, los nodos IPv6 de Oracle Solaris pueden enviar trfico a grupos de difusin por proximidad.
filtro de paquetes dinmico firma digital Generic Routing Encapsulation (GRE) grupo de difusin por proximidad
901
grupo IPMP
grupo IPMP
Grupo con varias rutas IP, compuesto por una serie de interfaces de red con un conjunto de direcciones de datos que el sistema trata como intercambiables para mejorar la disponibilidad y utilizacin de la red. El grupo IPMP, incluidas todas sus direcciones de datos e interfaces IP subyacentes, lo representa una interfaz IPMP. Un mtodo de hashing por clave para autenticar mensajes. HMAC es un algoritmo de autenticacin de claves secretas. HMAC se utiliza junto a una funcin de hash criptogrfica iterativa, como por ejemplo MD5 o SHA-1, en combinacin con una clave secreta compartida. La capacidad criptogrfica de HMAC depende de las propiedades de la funcin de hash subyacente. Sistema que no reenva paquetes. Al instalar Oracle Solaris, de forma predeterminada un sistema se convierte en host. Es decir, el sistema no puede reenviar paquetes. En general, un host tiene una interfaz fisica, aunque tambin puede constar de varias interfaces. Sistema con ms de una interfaz fsica y que no reenva paquetes. Un host multired puede ejecutar protocolos de encaminamiento. Siglas inglesas de Internet Control Message Protocol (protocolo de mensajes de control de Internet). Se utiliza para administrar e intercambiar mensajes de control. Siglas inglesas de Internet Key Exchange (intercambio de claves en Internet). IKE automatiza el suministro de material de claves autenticadas para la SA (Security Association) de IPsec. Interfaz fsica que no se emplea para transportar trfico de datos a menos que otra inferfaz fsica haya sufrido algn problema. Valor entero que indica la fila de la base de datos de asociaciones de seguridad (SDAB) que debe utilizar un destinatario para descifrar un paquete recibido. Se trata de una pseudointerfaz que proporciona conexin de red virtual aunque no est configurada en una interfaz de red fsica. Los contenedores tales como dominios xVM o zonas IP exclusivos se configuran conforme a interfaces de red virtual (VNIC) para formar una red virtual. Conexin de un sistema con un vnculo. Esta conexin se suele implementar entre un controlador de dispositivo y una tarjeta de interfaz de red. Algunas tarjetas de interfaz de red pueden presentar varios puntos de conexin, por ejemplo qfe. Consulte Protocolo de Internet (IP), IPv4, IPv6. Mecanismo para colocar en tneles paquetes IP dentro de paquetes IP. Funcin de software que permite la implementacin del estndar modelo DiffServ, adems de contabilidad de flujo y marcacin 802.1 D para LAN virtuales. Mediante IPQoS se pueden proporcionar varios niveles de servicios de red a clientes y aplicaciones, segn lo que se establezca en el archivo de configuracin de IPQoS. Seguridad IP. Arquitectura de seguridad que proporciona proteccin a los datagramas IP. Internet Protocol version 4. IPv4 en ocasiones se denomina IP. Esta versin admite un espacio de direcciones de 32 bits.
HMAC
host
host multired ICMP IKE inactividad ndice de parmetros de seguridad interfaz de red virtual (VNIC) interfaz fsica
IP IP en encapsulado IP IPQoS
IPsec IPv4
902
paquete
IPv6 lista de revocacin de certificados (CRL) MAC (Message Authentication Code) marcador
Internet Protocol version 6. IPv6 admite espacio de direcciones de 128 bits. Lista de certificados de claves pblicas revocados por una autoridad de certificacin. Estas listas se almacenan en la base de datos de CRL que se mantiene con IKE. MAC proporciona seguridad en la integridad de los datos y autentica el origen de los datos. MAC no proporciona proteccin contra intromisiones externas.
1. Mdulo de la arquitectura DiffServ e IPQoS que marca el campo DS de un paquete IP con un valor que indica la forma en que se reenva el paquete. En la implementacin de IPQoS, el mdulo marker es dscpmk. 2. Mdulo de la implementacin de IPQoS que marca la etiqueta de LAN virtual de un datagrama de Ethernet con un valor de prioridad de usuario. El valor de prioridad de usuario indica la forma en que los datagramas deben reenviarse en una red con dispositivos VLAN. Este mdulo se denomina dlcosmk.
Una funcin de hash criptogrfica iterativa utilizada para autenticar mensajes, incluso las firmas digitales. Rivest desarroll esta funcin en 1991. Mdulo de la arquitectura DiffServ que mide la velocidad del flujo de trfico de una determinada clase. La implementacin de IPQoS presenta dos medidores, tokenmt y tswtclmt. Proceso que traslada una direccin de una interfaz de red a otra interfaz de red. La migracin de direcciones tiene lugar como proceso de recuperacin de errores cuando falla una interfaz, o de recuperacin si se repara una interfaz. Estndar de arquitectura de Internet Engineering Task Force para implementar distintas clases de servicios en redes IP. Los mdulos principales son classifier (clasificador), meter (medidor), marker (marcador), scheduler (programador) y dropper (descartador). IPQoS implementa los mdulos classifier, meter y marker. El modelo DiffServ se describe en RFC 2475, An Architecture for Differentiated Services. Siglas en ingls de Maximum Transmission Unit, unidad de transmisin mxima. El tamao, en octetos, que puede transmitirse por un vnculo. Por ejemplo, una red Ethernet tiene una MTU de 1500 octetos. Denominacin que identifica de forma exclusiva el nodo mvil con el formato usuario@dominio.
MTU NAI (Network Access Identifier) NAT nodo nodo mvil nombre de keystore paquete
Consulte traduccin de la direccin de red. En IPv6, cualquier sistema compatible con IPv6, ya sea host o enrutador. Host o enrutador capaz de cambiar su punto de conexin de una red a otra y mantener todas las comunicaciones utilizando su direccin IP permanente. Nombre que un administrador asigna a un rea de almacenamiento o keystore, en una tarjeta de interfaz de red. El nombre de keystore tambin se denomina token o ID de token. Grupo de informacin que se transmite como una unidad a travs de lneas de comunicaciones. Contiene un encabezado IP y una carga til.
903
paquete icmp echo Paquete que se enva a un sistema en Internet para solicitar una respuesta. Esta clase de paquetes suelen request denominarse "ping". PFS (Perfect Forward Secrecy) En PFS, la clave que se emplea para proteger la transmisin de datos no se aplica en la derivacin de claves adicionales. La fuente de la clave que se usa para proteger la transmisin de datos tampoco se emplea en la derivacin de claves adicionales. PFS slo se aplica en el intercambio de claves autenticadas. Consulte tambin protocolo de Diffie-Hellman. PHB (Per-Hop Behavior, comportamiento por salto) pila pila de IP pila de protocolos pila doble PKI Prioridad que se asigna a una clase de trfico. PHB indica la prioridad que tienen los flujos de datos de esa clase respecto a otras clases de trfico.
Consulte pila de IP. TCP/IP se suele denominar "pila". Este trmino designa las capas (TCP, IP y en ocasiones otras) a travs de las cuales se transfieren todos los datos en los extremos de cliente y servidor de un intercambio de datos. Consulte pila de IP. Pila de protocolo TCP/IP con IPv4 e IPv6 en la capa de red; el resto de la pila permanece idntico. Si al instalar Oracle Solaris se habilita IPv6, el sistema recibe la versin de pila doble de TCP/IP. Siglas en ingls de Public Key Infrastructure, infraestructura de clave pblica. Sistema de certificados digitales, autoridades de certificacin y otras autoridades de registro que verifican y autentican la validez de cada parte que interviene en una transaccin por Internet. Valor de 3 bits que implementa marcas de CoS (Class-of-Service, clase de servicio), que definen la forma en que los datagramas de Ethernet se reenvan en una red de dispositivos VLAN. Tambin se lo denomina "criptografa de claves pblicas". Se trata de un protocolo de claves criptogrficas asimtricas que desarrollaron Diffie y Hellmann en 1976. Este protocolo permite a dos usuarios intercambiar una clave secreta mediante un medio no seguro, sin ningn otro secreto. El protocolo IKE utiliza el de Diffie-Hellman. Mtodo o protocolo con el cual se envan datos de un sistema a otro por Internet.
Protocolo de Internet (IP) punto de cdigo DS reconfiguracin dinmica (DR) recuperacin tras los errores
Valor de 6 bits que, al incluirse en el campo DS o un encabezado IP, indica la manera en que se reenva un paquete. Funcin que permite volver a configurar un sistema aunque est ejecutndose, sin apenas afectar o sin afectar en absoluto a los procesos que estn en curso. No todas las plataformas de Sun admiten DR. Es posible que algunas plataformas de Sun slo admitan DR de determinados tipos de hardware como NIC. Proceso de recuperar la conexin del acceso a la red de una interfaz cuya reparacin se ha detectado.
904
selector
Cualquier otra red que no sea la red principal del nodo mvil. Red cuyo prefijo coincide con el prefijo de red de una direccin permanente de nodo mvil.
red privada virtual Una sola red lgica y segura que emplea tneles en una red pblica como Internet. (VPN) red virtual Se trata de una combinacin de recursos de red de software y hardware y de funciones que se administran de manera conjunta como una nica entidad de software. Una red virtual interna consolida los recursos de red en un nico sistema, el cual en ocasiones se denomina red en una caja. En un enrutador, proceso para informar a un host sobre un primer salto ms apropiado para llegar a un determinado destino. Proceso segn el cual un nodo mvil registra su direccin de auxilio con su agente interno y agente externo cuando no se encuentra en su ubicacin permanente. En IPsec, ataque en el cual un intruso se apropia de un paquete. El paquete almacenado sustituye o repite el original posteriormente. Para protegerse contra tales ataques, un paquete puede contener un campo que se incremente durante la vida til de la clave secreta que protege el paquete. Accin que se realiza como consecuencia de la medicin del trfico. Los medidores de IPQoS tienen tres resultados, rojo, amarillo y verde, que se definen en el archivo de configuracin de IPQoS. Mtodo para la obtencin de firmas digitales y criptosistemas de claves pblicas. Dicho mtodo lo describieron sus creadores, Rivest, Shamir y Adleman, en 1978. Consulte SA (Security Association). Asociacin que establece las propiedades de seguridad entre un primer host y un segundo.
Siglas en ingls de Security Associations Database, base de datos de asociaciones de seguridad. Tabla en la que se especifican claves y algoritmos criptogrficos. Las claves y los algoritmos se utilizan en la transmisin segura de datos. Medida que se usa para identificar la cantidad de enrutadores que hay entre dos hosts o sistemas. Si un origen y un destino estn separados por tres enrutadores, los sistemas estn a una distancia de cuatro saltos. Consulte protocolo SCTP (Streams Control Transport Protocol). Siglas en ingls de Stream Control Transport Protocol, protocolo de transporte de control del flujo. Protocolo de capas de transporte que brinda comunicaciones relativas a las conexiones de manera parecida a TCP. Adems, SCTP permite varias direcciones permanentes, en que uno de los puntos finales de la conexin puede tener ms de una direccin IP. Elemento que define los criterios de aplicacin en los paquetes de una determinada clase, a fin de seleccionar ese trfico en el flujo de datos de la red. Los selectores se definen en la clusula de filtro en el archivo de configuracin de IPQoS.
salto
SCTP SCTP
selector
905
servidor proxy
Servidor que se emplaza entre una aplicacin cliente, por ejemplo un navegador de web, y otro servidor. Se utiliza para filtrar solicitudes, por ejemplo para impedir el acceso a determinados sitios web. Siglas en ingls de Secure Hashing Algorithm, algoritmo de hash seguro. El algoritmo funciona en cuaquier tamao de entrada que sea inferior a 264 para generar una sntesis del mensaje. El algoritmo SHA-1 es la entrada de DSA. Acceso no autorizado a redes de equipos; con frecuencia se usa como parte de programas automatizados para tamizar informacin, por ejemplo contraseas de texto no cifrado, de ltima hora. Proceso de los hosts que solicitan enrutadores para la generacin inmediata de anuncios de enrutador, en lugar de hacerlo la prxima vez que se hubiera programado.
solicitud de vecino Solicitud enviada por un nodo para determinar la direccin de capa de vnculo de un vecino. Asimismo, una solicitud de vecino verifica que se pueda contactar con un vecino mediante una direccin de capa de vnculo almacenada en cach. sondear Accin de abrir un dispositivo asociado con un nombre de interfaz fsica. Al sondear una interfaz, los flujos se configuran para que el protocolo IP pueda utilizar el dispositivo. Utilice el comando ifconfig para sondear una interfaz durante una sesin activa del sistema. Consulte base de datos de directivas de seguridad (SPD). Consulte ndice de parmetros de seguridad. Obtener acceso no autorizado a un equipo mediante el envo de un mensaje con una direccin IP indicando que el mensaje procede de un host de confianza. Para efectuar spoofing en IP, el agresor debe recurrir a una serie de tcnicas para averiguar la direccin IP de un host de confianza; a continuacin, debe modificar los encabezados de paquete para suplantar dicha identidad y simular que los paquetes proceden de ese host. En IP para mviles, tabla de agentes internos que asocia una direccin permanente con una auxiliar, incluyendo la vida til de que dispone y el tiempo que se otorga. Tarjeta de adaptador de red que acta como interfaz de una red. Algunas tarjetas de interfaz de red pueden tener varias interfaces fsicas, por ejemplo la tarjeta qfe. TCP/IP (Transmission Control Protocol/Internet Protocol) es el protocolo o lenguaje de comunicaciones bsico de Internet. Tambin se usa como protocolo de comunicaciones en redes privadas (tanto intranets como extranets). Tambin se conoce como NAT (del ingls Network Address Translation). Traduccin de una direccin IP que se utiliza en una red a otra direccin IP conocida en otra red. Se utiliza para limitar la cantidad de direcciones IP globales que se necesitan. Acrnimo en ingls de Triple-Data Encryption Standard. Mtodo de cifrado de claves simtricas. Triple-DES necesita un tamao de clave de 168 bits. Triple-DES tambin se escribe 3DES. La ruta a la que sigue un datagrama cuando se encapsula. Consulte encapsulado.
906
vnculo IP
Tnel que comienza en el agente interno y termina en la direccin de auxilio del nodo mvil. Tnel que comienza en la direccin de auxilio del nodo mvil y termina en el agente interno. Nmero que se genera a partir de una cadena de texto. Las funciones hash se usan para asegurarse de que no se alteren los mensajes transmitidos. MD5 y SHA-1 son ejemplos de funciones hash de una direccin. Infraestructura o medio de comunicacin que permite a los nodos comunicarse en la capa de vnculo. La capa de vnculo es la inmediatamente inferior a IPv4/IPv6. Ejemplos son las redes Ethernet (simple o con puente) o ATM. Se asignan uno o ms nmeros o prefijos de subred IPv4 a un vnculo IP. No se puede asignar el mismo nmero o prefijo de subred a ms de un vnculo IP. En ATM LANE, un vnculo IP es una sola LAN emulada. Al utilizar ARP, el mbito del protocolo ARP es un solo vnculo IP.
907
908
ndice
Nmeros y smbolos
* (asterisco), comodn en base de datos bootparams, 258 smbolo del sistema >, modo de comando ipseckey, 529 &filtro IP de Oracle Solaris, enlaces de filtros de paquetes, 662-663
A
opcin -A comando ikecert, 642 comando ikecert certlocal, 605 acceso http a CRL, palabra clave use_http, 621 acctadm comando, para el control de flujo, 875 acelerar clculos IKE, 588, 630 activar daemons de configuracin de red, 107 red habilitada para IPv6, 183-184 activar filtro IP de Oracle Solaris, en versiones anteriores de Oracle Solaris 10, 668-670 actualizar, claves previamente compartidas (IKE), 596-597 acuerdo de nivel de servicio (SLA), 804 clases de servicio, 807 faturacin a clientes, segn el control de flujo, 874 proporcionar diferentes clases de servicio, 806 administracin de claves automtica, 584 IKE, 584
administracin de claves (Continuacin) IPsec, 502-503 manual, 579-581 servicio de manual-key, 503 servicio ike, 503 zonas y, 519 administracin de la red, disear la red, 55 administracin de red nombres de host, 64 Protocolo simple de administracin de red (SNMP), 44 administracin de redes, nmeros de red, 56 administracin del trfico control del flujo, 808 planificar distribuciones de red, 819 priorizar los flujos de trfico, 806 reenvo del trfico, 812, 813, 814 regulacin del ancho de banda, 805 Administrador de DHCP descripcin, 317 detener, 357 funciones, 338 iniciar, 356 mens, 356 ventana y fichas, 354 admisin de ATM, IPv6, en, 306 agente de movilidad, 708, 716 anuncios de enrutador, 738 archivo mipagent_state, 752 configurar, 751 estado, 752 seccin Address, 748
909
ndice
agente de movilidad (Continuacin) software, 737 agente de reenvo BOOTP, saltos, 372 agente de reenvo de BOOTP configurar con dhcpconfig -R, 351 con el Administrador de DHCP, 346 agente externo admisin de asociacin de seguridad, 715 autenticacin, 729 autenticacin de mensajes, 748 compatibilidad con encapsulado, 717 consideraciones, 716 datagramas, 705 definicin, 706 determinar funcionalidad, 722 direccin de auxilio, 710, 713, 717 funcionar sin, 710 lista de visitantes, 734, 752 mensaje de registro, 708 registrar mediante uso, 713 registrarse con varios, 713 registrarse mediante, 713 servir a nodos mviles, 709 solciitar servicio de, 716 transmitir solicitud de registro, 715 agente interno admisin de asociacin de seguridad, 715 anular registro, 713 asignaciones de direcciones dinmicas, 745 autenticacin, 729 binding table, 752 consideraciones, 716 descubrimiento dinmico, 717 determinar funcionalidad, 722 encapsulado, 717 entrega de datagrama, 705 implementacin, 737 informacin de estado, 752 mensaje de registro, 708, 713 proteccin de repeticin de mensajes, 745 reenviar datagramas, 718 respuesta de registro, 716 seccin Address, 747, 748
910
agente interno (Continuacin) solicitud de registro, 715, 716 tabla de enlace, 734, 735 ubicacin de nodos mviles, 708 agregaciones configuraciones con nodo, 168 de extremo a extremo, 168 crear, 170-173 definicin, 166 directiva de equilibrio de la carga, 169 distribuciones bsicas, 167 eliminar interfaces, 174 funciones, 166 modificar, 173-174 requisitos, 170 agregaciones de vnculos, Ver agregaciones agregar certificados autofirmados (IKE), 605 certificados de autoridad de certificacin (IKE), 610-616 certificados de clave pblica (IKE), 610-616 claves manualmente (IPsec), 528-533 claves previamente compartidas (IKE), 599-602 SA IPsec, 521, 528-533 agrupaciones de direcciones anexar, 686 configurar, 655-657 descripcin general, 655-657 eliminar, 685-686 ver, 685 ver estadsticas, 689-690 AH, Ver encabezado de autenticacin (AH) algoritmo de autenticacin DSS, 642 algoritmo de autenticacin MD5, longitud de clave, 530 algoritmo de cifrado 3DES IPsec y, 506 longitud de clave, 530 algoritmo de cifrado AES, IPsec y, 506 algoritmo de cifrado Blowfish, IPsec y, 506 algoritmo de cifrado DES, IPsec y, 506 algoritmo de cifrado RSA, 642
ndice
algoritmo de cifrado Triple-DES, IPsec y, 506 algoritmos de autenticacin certificados IKE, 642 especificar para IPsec, 581 algoritmos de cifrado especificar para IPsec, 581 IPsec 3DES, 506 AES, 506 Blowfish, 506 DES, 506 almacn de claves de softtoken, almacenamiento de claves con metaslot, 583 almacn de claves softtoken almacenamiento de claves con metarranura, 496, 641 almacn de datos de DHCP, descripcin general, 315 almacn de datos DHCP convertir, 426-429 exportar datos, 432 importar datos, 434 modificar datos importados, 435, 436 seleccionar, 331 transferir datos entre servidores, 429-436 almacenamiento de claves almacn de claves softtoken, 496 almacenamiento de claves softtoken, 632-633 asociaciones de seguridad de ISAKMP, 640 ID de seal a partir de metarranura, 632-633 SA de IPsec, 514 softtoken, 641 almacenamiento de claves softtoken, almacenamiento de claves con metarranura, 632-633 almacenar claves IKE en disco, 612, 643 claves IKE en hardware, 588, 631-633 ampliar permiso DHCP, 447 anular registro IP para mviles, 708, 713, 714 anuncio 6to4, 200 anuncio de agente a travs de interfaces dinmicas, 709 IP para mviles, 709 anuncio de enrutador, 442
anuncio de enrutador (Continuacin) IP para mviles, 738 IPv6, 287, 288, 291, 293-294 prefijo, 288 anuncios de agente, a travs de interfaces dinmicas, 743 archivo /etc/bootparams, 257 archivo /etc/default/dhcpagent, 448-449 archivo /etc/default/dhcpagent, descripcin, 489 archivo /etc/default/inet_type, 223-224 valor DEFAULT_IP, 281 archivo /etc/default/mpathd, 796 archivo /etc/defaultdomain configuracin de modo de archivos locales, 106 descripcin, 243 eliminar para modo de cliente de red, 109 archivo /etc/defaultrouter configuracin de modo de archivos locales, 106 descripcin, 243 archivo /etc/dhcp/dhcptags convertir entradas, 490 descripcin, 490 archivo /etc/dhcp/eventhook, 458 archivo /etc/dhcp/inittab, descripcin, 490 archivo /etc/dhcp.interfaz, 448 archivo /etc/dhcp.interfaz, descripcin, 489 archivo /etc/dhcp/interfaz.dhc, descripcin, 489 archivo /etc/ethers, 258 archivo /etc/hostname.interfaz configuracin de enrutador, 123 archivo /etc/hostname.interfaz configuracin de modo de cliente de red, 109 configuracin manual, 144, 154 archivo /etc/hostname.interfaz descripcin, 242 archivo /etc/hostname6.interface, colocar en tneles de IPv6, 296 archivo /etc/hostname6.interfaz, sintaxis, 275-276 archivo /etc/hostname6.ip.6to4tun0, 199 archivo /etc/hostname6.ip.tun, 197, 198 archivo /etc/hosts, Ver archivo /etc/inet/hosts archivo /etc/inet/dhcpsvc.conf, 343 archivo /etc/inet/hosts, 520 agregar subredes, 102
911
ndice
archivo /etc/inet/hosts (Continuacin) archivo inicial, 245 configuracin de modo de archivos locales, 106 configuracin de modo de cliente de red, 109 direccin en bucle, 244 formato, 244 archivo /etc/inet/hosts, interfaces de red mltiples, 245 archivo /etc/inet/hosts nombre de host, 245 archivo /etc/inet/ike/config certificados autofirmados, 608 certificados de clave pblica, 613, 618 claves previamente compartidas, 593 colocar certificados en hardware, 618 comando ikecert, 641 consideraciones de seguridad, 639 descripcin, 586, 638 ejemplo, 593 archivo /etc/inet/ike/config, entrada de biblioteca PKCS #11, 641 archivo /etc/inet/ike/config palabra clave cert_root, 613, 618 palabra clave cert_trust, 608, 618 palabra clave ignore_crls, 614 palabra clave ldap-list, 621 palabra clave pkcs11_path, 616, 641 palabra clave proxy, 621 palabra clave use_http, 621 parmetros de transmisin, 634 resumen, 589 archivo /etc/inet/ipaddrsel.conf, 232, 276-277 archivo /etc/inet/ipnodes, 247, 520 archivo /etc/inet/ipsecinit.conf, 577-578 archivo /etc/inet/ndpd.conf, 186, 283 anuncio de 6to4, 266 anuncio de enrutador 6to4, 200 configuracin de direcciones temporales, 189 crear, 185 palabras clave, 272-275, 284 variables de configuracin de interfaz, 272 variables de configuracin de prefijo, 274 archivo /etc/inet/netmasks agregar subredes, 102
912
archivo /etc/inet/netmasks (Continuacin) configuracin de enrutador, 123 editar, 251 archivo /etc/inet/networks, descripcin general, 259 archivo /etc/inet/protocols, 260 archivo /etc/inet/services, ejemplo, 260 archivo /etc/ipnodes suprimido, 495-497 archivo /etc/netmasks, 251 archivo /etc/nodename descripcin, 243 eliminar para el modo de cliente de red, 109 archivo /etc/nsswitch.conf, 255, 257 cambiar, 257 configuracin de modo de cliente de red, 110 modificaciones, para admisin de IPv6, 304-305 sintaxis, 256 uso por DHCP, 488 archivo /etc/resolv.conf, uso por DHCP, 489 archivo /net/if_types.h, 778 archivo /var/inet/ndpd_state.interface, 283 archivo de configuracin mipagent.conf, 723, 724, 738, 751 configurar, 722 archivo de registro, vaciar en filtro IP de Oracle Solaris, 693 archivo de zona, 204 archivo de zona inversa, 204 archivo defaultdomain configuracin de modo de archivos locales, 106 descripcin, 243 eliminar para modo de cliente de red, 109 archivo defaultrouter configuracin de modo de archivos locales, 106 descripcin, 243 seleccin de protocolo de enrutamiento automtico y, 133 archivo dhcpsvc.conf, 488 archivo dhcptags, 490 archivo/etc/dhcp.interfaz, 442 archivo/etc/hostname6.interfaz, configurar manualmente interfaces, 178-180 archivo/etc/nsswitch.conf, ejemplos, 256 archivo eventhook, 458
ndice
archivo hostname.interfaz configuracin de enrutador, 123 descripcin, 242 archivo hostname6.interfaz, configurar manualmente interfaces, 178-180 archivo hostname6.interfaz, sintaxis, 275-276 archivo hostname6.ip.tun, 197, 198 archivo hosts, 520 archivo ike.preshared, 595, 640 archivo Ike.preshared, ejemplo, 601 archivo inet_type, 223-224 archivo ipaddrsel.conf, 232, 276-277 archivo ipnodes, 247, 520 archivo ipsecinit.conf comprobar sintaxis, 521 configurar opciones de tnel, 581 consideraciones de seguridad, 578 descripcin, 513 ejemplo, 577 eliminar omisin IPsec de LAN, 552, 564 objetivo, 507 omitir LAN, 546, 561 proteger el servidor web, 525 proteger servidor web, 524 ubicacin y alcance, 512 archivo ipseckeys, almacenar claves de IPsec, 514 archivo mipagent_state, 752 archivo mpathd, 796-798 archivo ndpd.conf anuncio 6to4, 200 configuracin de direcciones temporales, 189 crear, en un enrutador IPv6, 185 archivo ndpd.conf lista de palabras clave, 272-275 variables de configuracin de interfaz, 272 variables de configuracin de prefijo, 274 archivo nodename descripcin, 243 eliminar para el modo de cliente de red, 109 archivo nsswitch.conf, 255, 257 configuracin de modo de cliente de red, 110 ejemplos, 256 modificaciones, para admisin de IPv6, 304-305 sintaxis, 256
archivoike/config, Ver archivo/etc/inet/ike/config archivos IKE archivo ike/config, 514, 586, 589, 638 archivo ike.preshared, 589, 640 directorio crls, 589, 644 directorio ike.privatekeys, 589, 643 directorio publickeys, 589, 643 IPsec archivo ipsecinit.conf, 513, 577-578 archivo ipsecinit.conf f, 513 archivo ipseckeys, 514 archivos de configuracin crear para filtro IP de Oracle Solaris, 694-696 ejemplos de filtro IP de Oracle Solaris, 650 IPv6 archivo /etc/inet/hostname6.interfaz, 275-276 archivo /etc/inet/ipaddrsel.conf, 276-277 archivo /etc/inet/ndpd.conf, 272, 274 archivo/etc/inet/ndpd.conf, 272-275 redes TCP/IP archivo /etc/defaultdomain, 243 archivo /etc/defaultrouter, 243 archivo /etc/hostname.interfaz, 242 archivo /etc/nodename, 109, 243 base de datos hosts, 243, 246 base de datos netmasks, 248 archivos de configuracin IPQoS de ejemplo configuracin de dispositivo VLAN, 888 segmento de reconocimiento de colores, 883 servidor de aplicaciones, 853 servidor web "best-effort", 841 servidor web de nivel alto, 840 archivos de directiva archivo ike/config, 638 archivo ipsecinit.conf, 577-578 archivoike/config, 589 consideraciones de seguridad, 578 archivos de directivaca, archivo ike/config, 514 archivos de registro crear para filtro IP de Oracle Solaris, 690-691 ver para filtro IP de Oracle Solaris, 691-692 argumento tokens, comandoikecert, 641
913
ndice
arquitectura de seguridad IP, Ver IPsec asistente Network Wizard de DHCP, 377 asistente para la configuracin de DHCP, descripcin, 342 asociacin de identidad, 440 asociaciones de seguridad generacin de nmeros aleatorios, 586 IKE, 638 IP para mviles, 715 ISAKMP, 585 asociaciones de seguridad (SA) agregar IPsec, 521 base de datos IPsec, 579 crear manualmente, 528-533 IPsec, 502-503, 521 obtener claves para, 527-528 reemplazar SA IPsec, 529 vaciar SA IPsec, 529 asociaciones de seguridad del protocolo de administracin de claves y asociaciones de seguridad de Internet (ISAKMP), ubicacin de almacenamiento, 640 aspectos sobre la seguridad, redes habilitadas para IPv6, 94 asterisco (*), comodn en base de datos bootparams, 258 ATM, compatibilidad con IPMP para, 778 atributo deprecated, comando ifconfig, 764 autenticacin de agente externo, 715 autenticacin de agente externo-mvil, 715 autenticacin de agente interno-mvil, 715 autenticacin de mensajes IP para mviles, 715, 746, 748 Autoridad de nmeros asignados de Internet (IANA), servicios de registro, 60
B
base de datos bootparams archivos del servicio de nombres correspondiente, 255 descripcin general, 257 entrada comodn, 258
914
base de datos de asociaciones de seguridad (SADB), 579 base de datos de directivas de seguridad (SPD) configurar, 576 IPsec, 497, 499 base de datos ethers archivos del servicio de nombres correspondiente, 254 comprobar entradas, 236 descripcin general, 258 base de datos hosts, 243, 246 archivo /etc/inet/hosts configuracin de enrutador, 123 configuracin de modo de archivos locales, 106 configuracin de modo de cliente de red, 110 direccin en bucle, 244 formato, 244 interfaces de red mltiples, 245 nombre de host, 245 archivos del servicio de nombres correspondiente, 254 cmo afectan los servicios de nombres, 246 comprobar entradas, 236 servicio de nombres cmo afectan, 245 formatos, 253 base de datos ike.privatekeys, 643 base de datos netmasks, 248 agregar subredes, 102, 106 archivo /etc/inet/netmasks agregar subredes, 102 configuracin de enrutador, 123 editar, 251 archivos del servicio de nombres correspondiente, 254 mscaras de red aplicar a direccin IPv4, 250 crear, 249, 250 descripcin, 249 base de datos networks archivos del servicio de nombres correspondiente, 255 descripcin general, 259
ndice
base de datos protocols archivos del servicio de nombres correspondiente, 255 descripcin general, 260 base de datos publickeys, 643 base de datos services actualizar, para SCTP, 138 archivos del servicio de nombres correspondiente, 255 descripcin general, 260 bases de datos base de datos de asociaciones de seguridad (SADB), 579 base de datos de directivas de seguridad (SPD), 497 base de datos ike/crls, 643, 644 base de datos ike.privatekeys, 641, 643 base de datos ike/publickeys, 642 base de datosike/publickeys, 643 IKE, 640-644 bases de datos de red, 252, 255 archivo nsswitch.conf y, 253, 255, 257 archivos de servicios de nombres correspondientes, 254 base de datos bootparams, 257 base de datos ethers comprobar entradas, 236 descripcin general, 258 base de datos hosts cmo afectan los servicios de nombres, 245 comprobar entradas, 236 descripcin general, 243, 246 servicios de nombres, cmo afectan, 246 servicios de nombres, formatos, 253 base de datos netmasks, 248, 254 base de datos networks, 259 base de datos protocols, 260 base de datos services, 260 cmo afectan los servicios de nombres, 253, 255 inicio DNS y archivos de datos, 253 BGP, Ver protocolos de enrutamiento biblioteca, PKCS #11, 642 biblioteca PKCS #11, en archivo ike/config, 641 biblioteca PKCS #11 library, especificar ruta, 642
C
clculos acelerar IKE en hardware, 588, 630-631, 631-633 calidad de servicio (QoS), directiva QoS, 804 calidad del servicio (QoS), tareas, 801 cambio de direccin de capa de vnculo, 290 Cambio de los parmetros de transmisin de IKE (mapa de tareas), 633 campo CRC (comprobacin de redundancia cclica), 48 campos de encabezado, IPv6, 269 capa de aplicacin ciclo de vida del paquete host de envo, 46 host de recepcin, 49 OSI, 38 TCP/IP, 42, 44 administracin de red, 44 comandos UNIX "r", 43 descripcin, 39, 42 protocolos de enrutamiento, 44 servicios de archivos, 44 servicios de nombres, 43 servicios TCP/IP estndar, 42, 43 capa de Internet (TCP/IP) ciclo de vida del paquete host de envo, 47 host de recepcin, 48 descripcin, 39, 40 protocolo ARP, 41 protocolo ICMP, 41 protocolo IP, 40 capa de presentacin (OSI), 38 capa de red (OSI), 38 capa de red fsica (TCP/IP), 40, 48 capa de red fsica(TCP/IP), 48 capa de sesin (OSI), 38
915
ndice
capa de transporte ciclo de vida del paquete host de envo, 46, 47 host de recepcin, 49 encapsulado de datos, 46, 47 obtener estado del protocolo de transporte, 217-218 OSI, 38 TCP/IP descripcin, 39, 41 protocolo SCTP, 42, 138-141 protocolo TCP, 41 protocolo UDP, 42 capa de vnculo de datos ciclo de vida del paquete host de envo, 48 estructura, 48 OSI, 39 TCP/IP, 39, 40 capa del vnculo de datos ciclo de vida del paquete host de recepcin, 48 capa fsica (OSI), 39 capas de protocolo ciclo de vida del paquete, 46, 49 modelo de arquitectura de protocolo TCP/IP, 44 capa de aplicacin, 39, 42, 44 capa de Internet, 39, 40 capa de red fsica, 39, 40 capa de transporte, 39, 41 capa de vnculo de datos, 39, 40 modelo de referencia OSI, 38, 39 capas de protocolos, modelo de arquitectura del protocolo TCP/IP, 39 caractersticas de IPv6, descubrimiento de vecinos, 82 Carga de seguridad encapsuladora (ESP) consideraciones de seguridad, 505 descripcin, 504-505 proteger paquetes IP, 497 Carga de seguridad encapsuladora(ESP), mecanismo de proteccin IPsec, 503-507 certificados agregar a base de datos, 612 almacenar en hardware, 588, 630
916
certificados, almacenar (Continuacin) IKE, 643 crear autofirmados (IKE), 605 de autoridad de certificacin, 612 de autoridad de certificacin en hardware, 619 descripcin, 612 en archivo ike/config, 618 enumeracin, 607 guardar en equipo, 604 IKE, 587 omitir CRL, 614 solicitar de autoridad de certificacin, 611 en hardware, 617 certificados de claves pblicas, Ver certificados cifrado, Ver algoritmos de cifrado clases, 807 definir, en el archivo de configuracin IPQoS, 851, 855 selectores, lista de, 880 sintaxis de la clusula class, 894 clases de red, 60 asignacin de nmero de red de IANA, 60 clase A, 262 clase B, 263 clase C, 263 esquema de direcciones, 60 intervalo de nmeros disponibles, 60 clases de redes, administracin de nmeros de red, 56 clases de servicio, Ver clases clusula class, del archivo de configuracin IPQoS, 843 clusula class, en el archivo de configuracin IPQoS, 894 clusula filter, del archivo de configuracin IPQoS, 845 clusula filter, en el archivo de configuracin IPQoS, 895 clusula params de un marcador action, 847 de una accin flowacct , 849 definir estadsticas globales, 843, 895 para una instruccin action de medicin, 860
ndice
clusula params (Continuacin) sintaxis, 895 claves administracin automtica, 584 administracin manual, 579-581 administrar IPsec, 502-503 almacenar (IKE) certificados, 643 claves pblicas, 643 privadas, 641 almacenar en hardware, 588 base de datos ike.privatekeys, 643 base de datosike/publickeys, 643 generar nmeros aleatorios para, 527-528 previamente compartidas (IKE), 586 claves precompartidas (IKE), ver, 597-599 claves previamente compartidas (IKE) almacenar, 640 compartidas con otras plataformas, 596 descripcin, 586 mapa de tareas, 592 reemplazar, 596-597 claves previamente compartidas (IPsec), crear, 528-533 claves privadas, almacenar (IKE), 641 claves pblicas, almacenar (IKE), 643 cliente DHCP abandonar direccin IP, 448 activar, 445-446 administracin, 447 ampliar permiso, 447 cerrar, 445 configuracin incorrecta, 476 definicin, 323 desactivar, 446 desconfigurar, 446 ejecutar en modo de depuracin ejemplo de salida, 470 ejeuctar programas con, 457-460 en sistemas cliente sin disco, 424 generacin de nombre de host, 334 ID de cliente, 389 informacin de opcin, 423 informacin de red sin permiso, 426, 447 iniciar, 447
cliente DHCP (Continuacin) inicio, 442 interfaces lgicas, 449 liberar direccin IP, 447 mostrar estado de interfaz, 448 nombre de host especificar, 451 parmetros, 448-449 probar interfaz, 448 secuencias de eventos, 457-460 servicios de nombres, 371 solucin de problemas, 467 varias interfaces de red, 449 cliente DHCPv4, gestin de interfaz de red, 443 cliente DHCPv6, gestin de la interfaz de red, 444 clientes de red base de datos ethers, 258 configuracin de host, 110 servidor de configuracin de red para, 100, 107 sistemas que funcionan como, 101 clientes sin disco, compatibilidad de DHCP, 424 comando command, verificar proteccin de paquetes, 533-534 comando /usr/sbin/6to4relay, 202 comando /usr/sbin/ping, 223 descripcin, 222 ejecutar, 223 sintaxis, 222 comando 6to4relay, 202 definicin, 278 ejemplos, 279 sintaxis, 278 tareas de configuracin de tnel, 202 comando acctadm, para control de flujo, 809, 891 comando dhcpconfig descripcin, 318, 481 comando dhcpmgr, descripcin, 482 comando dhtadm crear macros con, 411 crear opciones, 417 descripcin, 318, 481 eliminar macros con, 413 eliminar opciones, 422 modificar macros con, 406
917
ndice
comando dhtadm (Continuacin) modificar opciones con, 420 comando dladm configurar una VLAN, 164-166 eliminar interfaces de una agregacin, 174 mostrar estado, 152 para comprobar el estado de agregacin, 171 para crear una agregacin, 171 para modificar una agregacin, 173 comando gethostbyname, 304 comando getipnodebyname, 304 comando ifconfig, 296 atributo deprecated, 764 comprobar el orden de los mdulos STREAMS, 778 configurar tneles de IPv6, 280-281 controlar el cliente DHCP, 447 DHCP y, 482 extensiones 6to4, 200 extensiones de IPv6, 279 extensiones IMPM a, 758 formato de resultado, 211 informacin de resultado, 212 mostrar grupo IPMP, 789 opcin de seguridad auth_algs, 581-582 opcin de seguridad encr_algs, 582 opcin de seguridad encr_auth_algs, 582 opcin failover, 763 opciones de seguridad de IPsec, 581-582 parmetro group, 779, 792 parmetro standby, 765 parmetro test, 779 sintaxis, 211 usar como herramienta de resolucin de problemas, 235 visualizar estado de interfaz, 211, 213-214, 766 comando ikeadm descripcin, 638, 639-640 nivel de privilegio comprobar, 597 nivel de privilegios comprobar, 598 comando ikecert descripcin, 638, 640
918
comando ikecert (Continuacin) opcin -A, 642 opcin -a, 616 opcin -T, 616, 642 opcin -t, 642 comando ikecert certdb opcin -a, 607, 612 comando ikecert certlocal opcin -kc, 611 opcin -ks, 605 comando ikecert certrldb, opcin -a, 622 comando ikecert tokens, 632 comando ipaddrsel, 232, 277-278 comando ipf, opcin -F, 666 comando ipqosconf aplicar una configuracin, 866, 867 listado de la configuracin actual, 867 opciones de comando, 895 comando ipsecconf configurar directiva IPsec, 576-577 consideraciones de seguridad, 523, 578 descripcin, 513 objetivo, 507 opcin -a, 523 opcin -f, 523 visualizar directiva IPsec, 523-526, 526-527, 577-578 comando ipseckey consideraciones de seguridad, 580-581 descripcin, 514, 579-581 finalidad, 503 modo interactivo, 529 objetivo, 503 comando mipagentconfig configurar agente de movilidad, 751 descripcin de comandos, 751 modificar archivo de configuracin, 727 seccin Address, 731 seccin Advertisements, 728 seccin General, 728 seccin GlobalSecurityParameters, 729 seccin Pool, 729 seccin SPI, 730
ndice
comando mipagentstat estado de agente de movilidad, 752 mostrar estado de agente, 734-735 comando netstat descripcin, 215 ejecutar comprobaciones de software, 236 extensiones de IP para mviles, 753 extensiones de IPv6, 281 opcin -a, 218 opcin -f, 218 opcin -r, 221-222 opcin inet, 218 opcin inet6, 218 sintaxis, 215 visualizar estadsticas por protocolo, 215 visualizar estado de rutas conocidas, 221-222 comando nisaddcred, y DHCP, 464 comando nischmod, y DHCP, 463 comando nisls, y DHCP, 463 comando nisstat, y DHCP, 462 comando nslookup, 305 IPv6, 206 comando od, 594 comando ping, 223 descripcin, 222 ejecutar, 223 extensiones de IPv6, 282 opcin -s, 222 sintaxis, 222 comando pntadm descripcin, 319, 481 ejemplos, 387 usar en secuencias, 482 comando rlogin, proceso del paquete, 46 comando route IPsec, 547, 549, 557, 558, 562, 563, 569 opcin inet6, 282 comando routeadm activar enrutamiento dinmico, 135 configuracin de enrutador IPv6, 185 comando Routeadm, configurar VPN con IPsec, 564 comando routeadm hosts mltiples, 130 reenvo de IP, 544
comando snoop comprobar flujo de paquetes, 227 comprobar paquetes entre servidor y cliente, 230 extensiones de IP para mviles, 753 extensiones de IPv6, 282 palabra clave de protocolo ip6, 282 supervisar frfico de IPv6, 230-231 supervisar trfico DHCP, 469-470 ejemplo de salida, 474 visualizar contenido de paquetes, 228 visualizar paquetes protegidos, 581, 582 comando svcadm actualizar IKE, 601 desactivar servicios de red, 545, 554, 560 reiniciar directiva IPsec, 601 comando sys-unconfig y cliente DHCP, 446 comando traceroute definicin, 226-227 extensiones de IPv6, 282 seguimiento de rutas, 227 comandos IKE, 640-644 comando ikeadm, 589, 638, 639-640 comando ikecert, 589, 638, 640 daemon in.iked, 638 IPsec comando in.iked, 503 comando ipsecalgs, 506, 578-579 comando ipsecconf, 513, 523, 576-577 comando ipseckey, 514, 529, 579-581 comando snoop, 581, 582 consideraciones de seguridad, 580-581 lista, 513-515 comandos "r", en UNIX, 43 comandos UNIX "r", 43 comodines en base de datos bootparams, 258 comportamiento por salto (PHB), 812 definir, en el archivo de configuracin IPQoS, 861 reenvo AF, 813 reenvo EF, 813 utilizar, con el marcador dscpmk, 885 comprobacin de redundancia cclica (CRC), campo, 48
919
ndice
comprobar archivos de configuracin IPsec sintaxis, 496 comunicaciones de datos, 45, 49 ciclo de vida del paquete, 46, 49 comunicaciones de host a host, 40 comunicaciones inalmbricas IP para mviles, 705, 710, 719 conectar una interfaz, 159 conectividad, informes de errores del protocolo ICMP, 41 confidencialidad directa perfecta (PFS) descripcin, 585 IKE, 584 configuracin automtica de direcciones definicin, 83 habilitar, en un nodo de IPv6, 179, 180, 182 IPv6, 283, 287 configuracin automtica de direcciones sin estado, 288 configuracin de cliente, 438 configuracin de conmutador en una topologa de agregacin, 167 protocolo de control de agregacin de vnculos (LACP), 170 protocolo de control de agregacin de vnculos (LACP) modos, 173 configuracin de enrutador 6to4 ejemplos, 201 tareas, 199 Configuracin de IKE (mapa de tareas), 591 Configuracin de IKE con certificados de clave pblica (mapa de tareas), 603 Configuracin de IKE con claves previamente compartidas (mapa de tareas), 592 Configuracin de IKE para buscar el hardware conectado (mapa de tareas), 630 Configuracin de IKE para sistemas porttiles (mapa de tareas), 622 configuracin de interfaz activa-activa, IPMP, 766 configuracin de interfaz activa-reserva, IPMP, 766 configuracin de nodos, en una configuracin VLAN, 162 configuracin de pseudo-interfaz 6to4, 199
920
configuracin de red configurar clientes de red, 109 servicios, 137 configurar seguridad, 493 enrutador, 121 enrutador IPv6, 184 instalacin de servidores de configuracin de red, 107 modos de configuracin de host, 99 modos de configuracin de TCP/IP, 101 informacin de configuracin, 99 modo de cliente de red, 101 servidores de configuracin de red, 100 modos de configuracin TCP/IP modo de archivos locales, 100 salto, descripcin, 114 tareas de configuracin de red IPv4, 104 topologa de red IPv4, 101 configuracin de redes habilitar IPv6 en un host, 187-195 hosts con varias direcciones permanentes habilitados para IPv6, 178-180 configurar agrupaciones de direcciones, 655-657 archivo ike/config, 638 archivo ipsecinit.conf, 577-578 archivos de configuracin TCP/IP, 241 archivo /etc/defaultdomain, 243 archivo /etc/defaultrouter, 243 archivo /etc/hostname.interfaz, 242 archivo /etc/nodename, 109, 243 base de datos hosts, 243, 246 base de datos netmasks, 248 cliente DHCP, 437 enrutadores, 261 descripcin general, 121 interfaces de red, 121, 123 enrutadores habilitados para IPv6, 184 IKE, 591 IKE con certificados autofirmados, 604-610 IKE con certificados de autoridad de certificacin, 610-616 IKE con certificados de clave pblica, 603, 604-610
ndice
configurar (Continuacin) IKE con certificados en hardware, 616-619 IKE con sistemas porttiles, 622-629 interfaces manualmente, para IPv6, 178-180 IPsec, 576-577 IPsec en LAN, 552, 564 modos de configuracin de TCP/IP configuraciones mixtas, 101 ejemplo de red, 101 modo de archivos locales, 99, 107 modo de cliente de red, 110 redes TCP/IP archivo nsswitch.conf, 255, 257 archivos de configuracin, 241 bases de datos de red, 252, 255, 257 clientes de red, 109 modos de archivos locales, 107 requisitos previos, 98 servicios TCP/IP estndar, 137 reglas de filtros de paquetes, 651-654 reglas NAT, 654-655 seguridad de red con un rol, 534-536 servicio DHCP, 341 servidor de configuracin de red, 107 VPN en modo transporte con IPsec, 559-565 VPN en modo tnel con IPsec, 538, 543-553 VPN protegida con IPsec, 543-553 conjunto de protocolo TCP/IP modelo de arquitectura de protocolo TCP/IP capa de Internet, 39 capa de red fsica, 39 capa de transporte, 39 capa de vnculo de datos, 39 conjunto de protocolos TCP/IP admisin de seguimiento interno, 49 comunicaciones de datos, 45, 49 encapsulado de datos, 45, 49 descripcin general, 37, 38 informacin adicional, 49 FYI, 50 manuales, 49 modelo de arquitectura de protocolo TCP/IP, 44 capa de aplicacin, 39, 42, 44 capa de Internet, 40
conjunto de protocolos TCP/IP, modelo de arquitectura de protocolo TCP/IP (Continuacin) capa de red fsica, 40 capa de transporte, 41 modelo de arquitectura de TCP/IP capa de vnculo de datos, 40 modelo de arquitectura del protocolo TCP/IP, 39 modelo de referencia OSI, 38, 39 protocolos de pila doble, 90 visualizar estadsticas, 215 conjuntos de reglas Ver Vase filtro IP de Oracle Solaris filtros de paquetes, 651-657 inactivos Ver tambin filtro IP de Oracle Solaris NAT, 654-655 conjuntos de reglas activos, Ver filtro IP de Oracle Solaris conjuntos de reglas inactivos, Ver filtro IP de Oracle Solaris conmutacin por error definicin, 760 ejemplos, 769 interfaz de reserva, 765 reconfiguracin dinmica (DR) y, 771-772 consideraciones de seguridad archivo ike/config, 638 archivo ipsecinit.conf, 578 archivoipseckeys file, 532 Carga de seguridad encapsuladora (ESP), 505 claves precompartidas, 587 comando ipsecconf, 578 comando ipseckey, 580-581 configurar IPsec, 520 cuestiones de enrutador de reenvo 6to4, 238 encabezado de autenticacin (AH), 505 IP para mviles, 719-720 protocolos de seguridad, 505 sockets bloqueados, 578 control de flujo, 874, 889 tabla de registro de flujo, 890 control del flujo, mediante los mdulos de medicin, 808
921
ndice
conversin de binario a decimal, 250 conversin de decimal a binario, 250 convertir almacn de datos DHCP, 426-429 creacin de directorio /tftpboot, 107 crear certificados autofirmados (IKE), 605 ndice de parmetros de seguridad (SPI), 528 macros DHCP, 411 manifiesto SMF especfico del sitio, 571-573 opciones DHCP, 417 rol relativo a seguridad, 534-536 SA IPsec, 521, 528-533 solicitudes de certificados, 611 crear archivo, ipsecinit.conf, 520 crear tneles, 706, 720 CRL acceder desde ubicacin central, 620 base de datos ike/crls, 644 comando ikecert certrldb, 643 enumerar, 620 omitir, 614 cumplimiento del trfico definir, 860 parmetros de tasa, 882 parmetros de tasas, 882 planificacin tasas en la directiva QoS, 829 planificar resultados en la directiva QoS, 829 resultados, 808, 882
D
daemon /usr/sbin/in.routed descripcin, 261 modo de ahorro de espacio, 261 daemon /usr/sbin/inetd, comprobar el estado de inetd, 236 daemon dhcpagent, 442 archivo de parmetros, 489 modo de depuracin, 468-469 daemon in.dhcpd, 318 descripcin, 482 modo de depuracin, 469
922
daemon in.iked activar, 638 descripcin, 584 detener e iniciar, 523, 597 nivel de privilegio comprobar, 597 opcin -c, 594 opcin -f, 594 daemon in.mpathd definicin, 758-759 destinos de sondeo, 767 velocidad de sondeo, 758 daemon in.ndpd comprobar el estado, 236 crear un registro, 225-226 opciones, 283 daemon in.rarpd, 100 daemon in.ripngd, 185, 284 daemon in.routed, 135 crear un registro, 224-225 descripcin, 261 modo de ahorro de espacio, 261 daemon in.telnet, 43 daemon in.tftpd activar, 107 descripcin, 100 daemon inetd administrar servicios, 252 daemon inetd, comprobar el estado, 236 daemon inetd servicios de IPv6, 284-286 daemon IPMPin.mpathd, 758-759 daemon mipagent, 723, 738, 752 daemon rpc.bootparamd, 100 daemons daemon de enrutamiento in.routed, 135 daemon in.iked, 584, 588 daemon in.mpathd, 758-759 daemon in.ndpd, 283 daemon in.ripngd, 185, 284 daemon in.tftpd, 107 in.iked daemon, 638 protocolos de inicio de servidores de configuracin de red, 100
ndice
daemons (Continuacin) servicios de Internet inetd, 252 datagrama encapsulado, IP para mviles, 706 datagramas encabezado IP, 48 formato de protocolo IP, 40 funciones de protocolo UDP, 42 IP, 497 proceso de paquetes, 48 datagramas de multidifusin, IP para mviles, 718 datagramas IP encabezado IP, 48 formato de protocolo IP, 40 funciones de protocolo UDP, 42 proceso de paquetes, 48 proteger con IPsec, 497 desactivar filtro IP de Oracle Solaris, 667, 672-673 descubrimiento de agentes, IP para mviles, 709-710 descubrimiento de enrutador, en IPv6, 288, 291 descubrimiento de enrutadores, en IPv6, 83, 283 descubrimiento de prefijos, en IPv6, 83 destinos de sondeo, daemon in.mpathd, 762 deteccin de direcciones duplicadas algoritmo, 289 IPv6, 83 servicio DHCP, 372 deteccin de fallos, en IPMP, 766 definicin, 760 NIC que no estaban al iniciar el sistema, 772-773 velocidad de sondeo, 758 deteccin de fallos basada en sondeos configurar sistemas de destino, 783-785 Deteccin de fallos basada en sondeos, definicin, 767-768 deteccin de fallos basada en sondeos destinos de sondeo, 767 trfico de sondeos, IPMP, 762 deteccin de fallos basada en vnculos, definicin, 766-767 deteccin de fallos basados en sondeos, tiempo de deteccin de fallos, 768 deteccin de inasequibilidad de vecinos IPv6, 83, 289, 292 deteccin de reparaciones, con IPMP, 760, 768
determinacin de salto siguiente, IPv6, 83 DHCP Configuration Wizard, para agente de reenvo de BOOTP, 347 dhcpinfo, comando, descripcin, 482 DHCPv4 y DHCPv6, 438 DHCPv6, nombre de cliente, 439 DHCPv6 y DHCPv4, 438 direccin 6to4 direccin de host, 267 formato, 266 direccin de auxilio adquirir, 710 agente externo, 710, 713, 716 agentes de movilidad, 705 compartir, 710 coubicada, 708, 710, 715, 718 informacin de estado, 752 IP para mviles, 704 registro de nodos mviles, 713 ubicacin del nodo mvil, 706 direccin de auxilio coubicada, 708, 715, 718 obtener, 710 direccin de control de acceso a medios, Ver direccin MAC direccin de difusin, 746 direccin DHCP inutilizable, 391 direccin en bucle, 109, 244 direccin Ethernet, Ver direccin MAC direccin IP direccin IP de origen, 717, 718 etiqueta BaseAddress, 746 nodo mvil, 706, 715 direccin local de vnculo como direccin de prueba IPMP, 763-764 configuracin manual, con un token, 194 formato, 81 direccin local de vnculo IPv6, con IPMP, 764 direccin MAC, 439 asignar a IP en base de datos ethers, 258 comprobar exclusividad, 156-158 ID de interfaz de IPv6, 80 requisitos de IPMP, 761-762 utilizada en ID de cliente DHCP, 322 direccin permanente, 704, 705, 706
923
ndice
direccin temporal, en IPv6 configurar, 189-191 definicin, 188-191 direcciones direccin en bucle, 244 direcciones de datos, IPMP, 762 direcciones de prueba, IPMP, 762-764 direcciones Ethernet base de datos ethers, 254, 258 formato 6to4, 266 formato CIDR, 59 formato IPv4, 59 IPv6, formato 6to4, 199 locales de vnculo IPv6, 81 mscara de red IPv4, 249 mostrar direcciones de todas las interfaces, 213-214 multidifusin, en IPv6, 268-269 seleccin de direcciones predeterminadas, 231-234 temporales, en IPv6, 188-191 unidifusin global IPv6, 79-80 direcciones de datos, IPMP, definicin, 762 direcciones de difusin por proximidad, 202 definicin, 82 direcciones de prueba, IPMP configuracin IPv6, 781 configurar en una interfaz de reserva, 786 IPv4, 780 definicin, 762 evitar uso por parte de aplicaciones, 764 interfaz de reserva, 765 requisitos de IPv4, 763 requisitos de IPv6, 763-764 trfico de sondeos y, 762 direcciones DHCP no utilizables, 397 direcciones Ethernet, Ver base de datos ethers direcciones IP asignacin con DHCP, 333 clases de redes administracin de nmeros de red, 56 DHCP agregar, 391 eliminar, 397
924
direcciones IP, DHCP (Continuacin) errores, 465 inutilizables, 398 modificar propiedades, 395 propiedades, 388 reservar para cliente, 401 tareas, 387 disear el esquema de direcciones, 55 disear un esquema de direcciones, 63 funciones del protocolo IP, 40 interfaces de red y, 63 mostrar direcciones de todas las interfaces, 213-214 problemas de subred, 250 direcciones IPv4 aplicar mscaras de red, 250 asignacin de nmero de red de IANA, 60 clases de red, 60 clase A, 262 clase B, 263 clase C, 263 esquema de direcciones, 60 formato, 58 formato de decimales con puntos, 59 intervalo de nmeros disponibles, 60 nombres simblicos para nmeros de red, 251 nmero de subred, 61 partes, 61 subredes, 248 direcciones IPv6 configuracin automtica de direcciones, 83 difusin por proximidad, 82 ejemplo de uso de VPN con IPsec, 553-559 exclusividad, 288 ID de interfaz, 80 locales de vnculo, 81 multidifusin, 81-82 resolucin de direcciones, 83 unidifusin, 79-80 direcciones locales de sitio, IPv6, 84 direcciones locales de vnculo IPv6, 288, 292, 296 direcciones multidifusin, IPv6 comparacin con direcciones de emisin, 291 descripcin general, 81-82
ndice
direcciones multidifusin, IPv6 (Continuacin) formato, 268-269 direcciones privadas, IP para mviles, 711-712 directiva de seguridad archivo (IPsec) ipsecinit.conf, 577-578 archivo ike/config (IKE), 514 archivo ipsecinit.conf (IPsec), 520 IPsec, 507 directiva IPsec datagramas IP en IP, 495-497 ejemplo de LAN, 552 ejemplo de tneles en modo transporte, 564 ejemplo de uso de sintaxis no admitida, 564-565 ejemplos de sintaxis de tnel, 538-540 especificar, 555, 567 directiva QoS, 804 crear filtros, 826 plantilla para organizar la directiva, 821 directivas, IPsec, 507 directivas, para agregaciones, 169 directorio /etc/inet/ike/crls, 644 directorio /etc/inet/ike/publickeys, 643 directorio /etc/inet/secret/ike.privatekeys, 643 directorios certificados (IKE), 643 claves previamente compartidas (IKE), 640 claves privadas (IKE), 641 claves pblicas (IKE), 643 directorios /etc/inet/publickeys, 643 /etc/inet, 589 /etc/inet/ike, 589 /etc/inet/secret, 589 /etc/inet/secret/ike.privatekeys, 641 disear la red descripcin general, 55 esquema de direcciones IP, 55, 63 nombres de hosts, 64 seleccin de nombre de dominio, 65 subredes, 248 dispositivos de LAN virtual (VLAN) en una red IPQoS, 887 distribuciones de red para IPQoS, 818 ejemplo de configuracin, 834
distribuciones de red para IPQoS (Continuacin) Red LAN con conjuntos de servidores con IPQoS, 819 red LAN con cortafuegos con IPQoS, 820 Red LAN con hosts con IPQoS, 819 dominios lgicos, IPsec, 512
E
EGP, Ver protocolos de enrutamiento ejemplo de red de IPQoS, 839 eliminar opciones DHCP, 422 SA IPsec, 529 encabezado de autenticacin (AH) consideraciones de seguridad, 505 mecanismo de proteccin IPsec, 503-507 proteger datagrama IP, 504 proteger paquetes IP, 497 encabezado de paquetes encabezado IP, 48 funciones de protocolo TCP, 41 encapsulado de datos definicin, 45 pila de protocolo TCP/IP y, 45, 49 enlace de movilidad, 713, 715, 716, 718 enlaces de filtros de paquetes, 657 enrutador con Diffserv evaluacin de puntos de cdigo DS, 886 planificar, 823 enrutador de lmite, 119 enrutador de lmite de sistema, en ubicacin 6to4, 300 enrutador de reenvo, configuracin de tnel 6to4, 202, 203 enrutador de reenvo 6to4 cuestiones de seguridad, 238, 301-303 tareas de configuracin de tnel, 202, 203 topologa de tnel, 302 enrutador de reenvo de paquetes, 120 enrutador de rel de 6to4, en un tnel de 6to4, 278 enrutador predeterminado definicin, 120 ejemplo de configuracin, 124
925
ndice
enrutadores agregar, 66, 69 archivo /etc/defaultrouter, 243 configuracin de modo de archivos locales, 106 configurar, 261 interfaces de red, 123 IPv6, 184 definicin, 115, 121, 261 direccin predeterminada, 104 direcciones para clientes DHCP, 333 ejemplo, configurar un enrutador predeterminado, 124 enrutador de reenvo de paquetes, 120 enrutadores predeterminados, 120 enrutamiento dinmico, 135 enrutamiento esttico, 133 funcin, en topologa 6to4, 299 lmite, 119 problemas al actualizar a IPv6, 237 protocolos de enrutamiento descripcin, 44, 261, 262 seleccin automtica, 123 topologa de red, 66, 67 transferencia de paquetes, 68, 69 enrutamiento configuracin de tabla de enrutamiento, 127 configurar esttico, 132 configurar manualmente una tabla de enrutamiento, 126 definicin, 114 en hosts de interfaz nica, 132 en hosts mltiples, 129 enrutamiento dinmico, 126 enrutamiento esttico, 126 IPv6, 292 portal, 126 ruta directa, 114 ruta indirecta, 114 enrutamiento de datagramas de multidifusin, IP para mviles, 718-719 enrutamiento de datagramas de unidifusin, IP para mviles, 717-718 enrutamiento dinmico, 135 configurar en un host de interfaz nica, 135
926
enrutamiento dinmico (Continuacin) ejemplo de configuracin de host, 136 uso recomendado, 127 enrutamiento esttico, 133, 243 agregar una ruta esttica, 126, 127-129 configurar manualmente en un host, 132 ejemplo de configuracin, 128-129 ejemplo de configuracin de host, 134 uso recomendado, 127 entrada /opt/SUNWconn/lib/libpkcs11.so, en archivo ike/config, 641 enumeracin, certificados (IPsec), 607 enumerar algoritmos (IPsec), 505, 581 certificados (IPsec), 620 CRL (IPsec), 620 hardware (IPsec), 632 ID de seal a partir de metarranura, 632-633 ID de smbolo (IPsec), 632 envoltorios, TCP, 141 envoltorios TCP, activar, 141 equilibrio de carga, en una red habilitada para IPv6, 290 equilibrio de la carga en una red con IPQoS, 819 entre agregaciones, 169 equilibrio de la carga entrante, 290 equipos, proteger comunicacin, 519-523 ESP, Ver Carga de seguridad encapsuladora (ESP) estadsticas por protocolo (netstat), 215 transmisin de paquetes (ping), 222, 223 estadsticas de estado, ver, 688-689 estadsticas de IPQoS activacin de las estadsticas globales, 894 activar estadsticas basadas en clases, 894 activar estadsticas globales, 843 generar, con el comando kstat, 876 estructura capa de vnculo de datos, 40, 48 descripcin, 48 estructura criptogrfica de Solaris, IPsec y, 578-579 estructura del Gestor de coordinacin de reconfiguracin (RCM), 772
ndice
/etc/dhcp/inittab archivo, modificar, 423 /etc/hostnameinterfaz, configuracin de modo de archivos locales, 105 /etc/inet/hosts, archivo archivo inicial, 244 interfaces de red mltiples, 245 /etc/ipf/ipf.conf, archivo, Ver filtro IP de Oracle Solaris /etc/ipf/ipnat.conf, archivo, Ver filtro IP de Oracle Solaris /etc/ipf/ippool.conf, archivo, Ver filtro IP de Oracle Solaris /etc/nsswitch.conf, archivo cambiar, 256 plantillas de servicios de nombres, 256 etiqueta AdvertiseOnBcast, 724, 744 etiqueta AdvFrequency, 724, 744 etiqueta AdvInitCount, 744 etiqueta AdvLifetime, 724, 728, 744 etiqueta AdvLimitUnsolicited, 744 etiqueta BaseAddress, 725, 746 etiqueta Challenge, 724, 745 etiqueta ForeignAgent, 724, 733, 743 etiqueta HA-FAauth, 724, 729, 745 etiqueta HomeAgent, 724, 733, 743 etiqueta Key, 725, 730, 747 etiqueta KeyDistribution, 724, 745 etiqueta MaxClockSkew, 724, 745 etiqueta MN-FAauth, 724, 745 etiqueta Pool, 726, 731, 749, 750 etiqueta PrefixFlags, 724, 743 etiqueta RegLifetime, 724, 744 etiqueta ReplayMethod, 725, 747 etiqueta ReverseTunnel, 724, 744 etiqueta ReverseTunnelRequired, 724, 744 etiqueta Size, 725, 746 etiqueta SPI, 730, 748, 749, 750 etiqueta Type, 731, 748, 749, 750 etiqueta Version, 724, 743 eventos DHCP, 457-460 evitar falsificacin de IP, manifiesto SMF, 571-573 expansin de carga definicin, 758 saliente, 761
F
fallos de grupo, IPMP, 768 filtro IP, Ver filtro IP de Oracle Solaris filtro IP de &ProductBase eliminar reglas NAT, 683-684 filtro IP de OpenSolaris comando ifconfig, 650 directrices de uso, 650 filtro IP de Oracle Solaris activar en versiones anteriores de Oracle Solaris 10, 668-670 administrar conjuntos de reglas de filtros de paquetes, 676-682 agrupaciones de direcciones, 655-657 anexar, 686 eliminar, 685-686 ver, 685 archivo /etc/ipf/ipf.conf, 694-696 archivo /etc/ipf/ipf6.conf, 658-659 archivo /etc/ipf/ipnat.conf, 694-696 archivo /etc/ipf/ippool.conf, 694-696 archivo ipf.conf, 651-654 archivo ipnat.conf, 654-655 archivo ippool.conf, 655-657 comando ipf, 663-664 opcin -6, 658-659 comando ipfstat opcin -6, 658-659 comando ipmon IPv6, 658-659 comando ipnat, 663-664 comando ippool IPv6, 658-659 conjunto de reglas activar otro, 677-678 conjuntos de reglas, 651-657 activos, 676 alternar, 681 anexar a activos, 679-680 anexar a inactivos, 680 eliminar, 678-679 eliminar inactivos, 682 inactivos, 677
927
ndice
filtro IP de Oracle Solaris (Continuacin) crear archivos de registro, 690-691 crear archivos de configuracin, 694-696 desactivar, 667 en una NIC, 672-673 NAT, 666-667 descripcin general, 646-647 descripcin general de filtros de paquetes, 651-654 ejemplos de archivo de configuracin, 650 enlaces de filtros de paquetes, 657 especificar una NIC, 671-672 filtros en bucle, 664-665 guardar paquetes registrados en un archivo, 693-694 informacin de cdigo abierto, 647 ipf6.conf file, 658-659 ippool, comando, 685 IPv6, 658-659 mdulo pfil, 657-658 NAT, 654-655 reactivar, 663-664 reglas NAT anexar, 684 ver, 683 vaciar archivo de registro, 693 ver archivos de registro, 691-692 estadsticas de estado, 688-689 estadsticas NAT, 689 pfil estadsticas, 674 tablas de estado, 687-688 filtro IP de Oracle Solaris IP ver estadsticas de agrupacin de direcciones, 689-690 filtros, 808 crear, en el archivo de configuracin IPQoS, 851, 856 planificar, en la directiva QoS, 826 selectores, lista de, 880 sintaxis de la clusula filter, 895 filtros de paquete, especificar una NIC, 671-672
928
filtros de paquetes activar otro conjunto de reglas, 677-678 administrar conjuntos de reglas, 676-682 alternar entre conjuntos de reglas, 681 anexar reglas a conjunto activo, 679-680 reglas a conjunto inactivo, 680 configurar, 651-654 desactivar, 666 eliminar conjunto de reglas activo, 678-679 conjunto de reglas inactivo, 682 volver a cargar tras actualizar conjunto de reglas actualset, 677-678 firmas digitales DSA, 642 RSA, 642 flujo de paquetes a travs de tnel, 300 enrutador de reenvo, 302 flujo de paquetes, IPv6 6to4 e IPv6 nativo, 302 a travs de tnel 6to4, 300 foreign agent, implementacin, 737 formato de decimales con puntos, 59
G
generar, nmeros aleatorios, 527-528 grupos de difusin por proximidad, enrutador de reenvo 6to4, 202 grupos IPMP agregar interfaces, mediante DR, 771 agregar una interfaz a un grupo, 790 configurar, 779-783 configurar un grupo para una nica interfaz, 787-789 eliminar interfaces, mediante DR, 771-772, 772 eliminar una interfaz de un grupo, 790-791 fallos de grupo, 768 interfaces que no estn presentes durante el inicio, 772-773 mostrar pertenencia a un grupo, 789-790 mover una interfaz entre grupos, 791-792
ndice
grupos IPMP (Continuacin) planificar tareas, 777-779 resolucin de problemas de configuracin de grupo, 783 velocidad de NIC en un grupo, 759-760
H
hardware acelerar clculos IKE, 588, 630 almacenar claves IKE, 588, 631-633 capa de red fsica (TCP/IP), 39, 40 capa fsica (OSI), 39 hardware para redes con IPQoS, 818 host, configurar una direccin 6to4, 267 hostname.interfaz, archivo, en IPMP, 786 hosts comprobar conectividad de host con ping, 222 comprobar conectividad IP, 223 configurar para IPv6, 187-195 de recepcin transferencia del paquete a travs de, 48 direcciones IPv6 temporales, 188-191 ejemplo de red, 101 en una topologa de enrutamiento IPv4, 120 en una topologa de red IPv4, 101 envo transferencia de paquete a travs de, 46, 48 modos de configuracin de TCP/IP, 101 configuraciones mixtas, 101 ejemplo de red, 101 informacin de configuracin, 99 modo de archivos locales, 99 modo de cliente de red, 101, 110 servidores de configuracin de red, 100 modos de configuracin TCP/IP modo de archivos locales, 100, 107 modo de cliente de red, 101 mltiples configurar, 129 definicin, 120 nombre de host administrar, 64 archivo /etc/inet/hosts, 245
hosts (Continuacin) recibir transferencia del paquete a travs de, 49 resolucin de problemas generales, 235 seleccin del protocolo de enrutamiento, 123 hosts, base de datos archivo /etc/inet/hosts archivo inicial, 244, 245 interfaces de red mltiples, 245 hosts base de datos archivo /etc/inet/hosts agregar subredes, 102 hosts con varias direcciones permanentes, habilitar para IPv6, 178-180 hosts de envo transferencia de paquete a travs de, 46, 48 hosts de recepcin transferencia del paquete a travs de, 48, 49 hosts mltiples configuracin durante la instalacin, 245 configurar, 130-132 definicin, 120, 129 ejemplo de configuracin, 131 en redes con cortafuegos, 130
I
ID de cliente, 439 ID de interfaz definicin, 80 formato, en una direccin IPv6, 77 utilizar un token configurado manualmente, 194 ID de token, del hardware, 643 identificador de acceso de red, IP para mviles, seccin Address, 749 identificador de acceso de red (NAI), IP para mviles, 747 ifconfig sondear una interfaz, 122, 143, 153 ifconfig, comando, 650 parmetro standby, 786 ifconfig comando conectar una interfaz, 159
929
ndice
ifconfig comando (Continuacin) configurar dispositivos VLAN, 148 IGP, Ver protocolos de enrutamiento IKE aceleracin de hardware, 588 administracin de claves, 584 administrar mediante SMF, 536-537 agregar certificados autofirmados, 605 almacenamiento de hardware de claves, 588 archivo ike.preshared, 640 archivos de configuracin, 588-589 asociaciones de seguridad, 638 asociaciones de seguridad de ISAKMP, 585 asociaciones de seguridad ISAKMP, 585 base de datos crls, 644 base de datos ike.privatekeys, 643 base de datos publickeys, 643 bases de datos, 640-644 biblioteca PKCS #11, 642 buscar hardware conectado, 630 cambiar nivel de privilegios, 598, 640 certificados, 587 claves precompartidas ver, 597-599 claves previamente compartidas, 586 comando ikeadm, 639-640 comando ikecert, 640 comando ikecert certdb, 612 comando ikecert certrldb, 622 comando ikecert tokens, 632 comprobar validez de directiva, 594 confidencialidad directa perfecta (PFS), 584 configurar con certificados de autoridad de certificacin, 610-616 con certificados de clave pblica, 603 con claves previamente compartidas, 592 para sistemas porttiles, 622-629 crear certificados autofirmados, 605 daemon, 638 daemon in.iked, 638 descripcin de servicios SMF, 588-589
930
IKE (Continuacin) descripcin general, 584 descripciones de comandos, 588-589 generar solicitudes de certificacin, 611 implementar, 591 intercambio de fase 1, 585 intercambio de fase 2, 586 mediante la placa Crypto Accelerator 6000 de Sun, 631-633 mediante una placa Crypto Accelerator de Sun, 643 NAT y, 626-627, 628-629 negociacin de claves de fase 1, 633-635 nivel de privilegio comprobar, 597 nivel de privilegios cambiar, 598, 640 comprobar, 598 descripcin, 639 referencia, 637 resolucin de problemas de tiempo de transmisin, 633-635 RFC, 498 servicio de SMF, 637-638 sistemas porttiles, 622-629 ubicaciones de almacenamiento para claves, 588-589 utilizar placa Sun Crypto Accelerator 1000, 630-631 utilizar placa Sun Crypto Accelerator 4000, 631-633 utilizar procesador UltraSPARC T2, 630 utilizar una placa Crypto Accelerator de Sun, 641, 642 ver claves precompartidas, 597-599 zona global, 583 in.iked daemon nivel de privilegios comprobar, 598 indicador de recursos uniforme (URI), para acceder a CRL, 620 ndice de parmetro de seguridad (SPI), IP para mviles, 715 ndice de parmetros de seguridad (SPI) crear, 528 descripcin, 502-503
ndice
ndice de parmetros de seguridad (SPI) (Continuacin) IP para mviles, 746 tamao de clave, 528 inetd daemon, servicios iniciados por, 137 informacin de estado, IP para mviles, 752 iniciar, protocolos de inicio de servidores de configuracin de red, 100 instruccin action, 893 interfaces comprobar paquetes, 228-229 configuracin de enrutador, 121, 123 configurar como parte de una VLAN, 164-166 conectar, 159 direcciones temporales, 188-191 en agregaciones, 170-173 en Solaris 10 1/06, 153-156 en Solaris 10 3/05, 143 interfaces lgicas de IPv6, 275-276 manualmente, para IPv6, 178-180 convenciones de denominacin, 159 eliminar, 145 en Solaris 10 1/06, 156 fallo, con IPMP, 769 hosts mltiples, 129, 245 mostrar estado, 213-214 mostrar estado, Solaris 10 1/06, 151-152 orden de los mdulos STREAMS en una interfaz, 778 pseudo-interfaz, para tneles 6to4, 199 reserva, en IPMP, 765 reserva en IPMP, 785-787 tipos, en Solaris 10 1/06, 160 tipos de interfaces heredadas, 160 tipos de interfaces no VLAN, 160 tipos de interfaz IPMP, 764-766 tipos de NIC, 142, 158 tipos que admiten agregaciones, 170 verificar exclusividad de direccin MAC, 156-158 visualizar estado, 211, 766 VLAN, 160-166 VLAN, en Solaris 10 3/05, 146-148 interfaces de red direcciones IP y, 63
interfaces de red (Continuacin) interfaces de red mltiples archivo /etc/inet/hosts, 245 mostrar estado de DHCP, 448 interfaces de red mltiples archivo /etc/inet/hosts, 245 configuracin de enrutador, 121, 123 interfaces de redes, supervisar con servicio DHCP, 375 interfaces dinmicas a travs de anuncio de agente, 709 anuncios de agente a travs de, 743 interfaces heredadas, 160 interfaces lgicas definicin, 142, 158 para direccin IPv6, 275-276 para tneles IPv6, 196, 197, 198 sistemas cliente DHCP, 449 interfaces no VLAN, 160 interfaz, definicin, 158 interfaz de red, configurar, 141-148 interfaz de red principal, 142, 158 interfaz de reserva configurar direccin de prueba en, 786 configurar para un grupo IPMP, 785-787 definicin, 765 interfaz de socket PF_KEY IPsec, 502, 513 interfaz fsica, 167-168 Ver tambin interfaces agregar, tras la instalacin, 143, 153 configurar, 141-148 convenciones de denominacin, 159 definicin, 142, 158, 759 deteccin de fallos, 766 deteccin de reparaciones con IPMP, 768 eliminar, 156 en Solaris 10 3/05, 145 tarjeta de interfaz de red (NIC), 142, 158 VLAN, definicin, 146-148 interfaz lgica, 440 Internet, registro de nombre de dominio, 38 InterNIC servicios de registro registro de nombre de dominio, 38
931
ndice
interoperabilidad, IPsec con otras plataformas utilizando claves previamente compartidas, 596 interoperatividad, IPsec con otras plataformas en modo tnel, 496 interredes definicin, 67 redundancia y fiabilidad, 67 topologa, 66, 67 transferencia de paquetes mediante enrutadores, 68, 69 IP address, direccin de auxilio, 710 IP mvil configurar, 722-726 ejemplos de archivos de configuracin, 739-742 formato del archivo de configuracin, 739 implementar, 721 mostrar estado de agente, 734-735 RFC admitidos, 737 seccin Address nodo mvil predeterminado, 726 IP para mviles anular registro, 708, 713, 714 anuncio de agente, 708, 709, 713 anuncio de enrutador, 738 archivo de configuracin seccin Address, 746, 747-750 seccin Advertisements, 743-744 seccin General, 743 seccin GlobalSecurityParameters, 744-745 seccin Pool, 745-746 seccin SPI, 746-747, 748 asociacin de seguridad, 715 autenticacin de mensajes, 715, 719 comunicaciones inalmbricas, 705, 710, 719 consideraciones de seguridad, 719-720 datagrama encapsulado, 706 datagramas de multidifusin, 718 descubrimiento de agentes, 709-710 direcciones privadas, 711-712 enrutamiento de datagramas de multidifusin, 718-719 enrutamiento de datagramas de unidifusin, 717-718 funcionamiento, 706-708
932
IP para mviles (Continuacin) funciones no admitidas, 738 funciones RFC no admitidas, 738 identificador de acceso de red (NAIN), 747 ndice de parmetro de seguridad (SPI), 715 ndice de parmetros de seguridad (SPI), 746 informacin de estado, 752 mensaje de autenticacin, 746 mensaje de respuesta de registro, 716 mensaje de solicitud de registro, 716 mensajes de registro, 713, 714, 715, 738 movimiento de datagramas, 705 registrar, 706, 713 indicador de tnel inverso, 715 seccin Address identificador de acceso de red (NAI), 749 nodo mvil predeterminado, 750 secciones del archivo de configuracin, 742 solicitud de agente, 709, 710 solicitud de agentes, 708 solicitud de registro, 715 tipos de encapsulado, 717 tnel inverso, 709, 711-712 consideraciones del agente externo, 716 consideraciones del agente interno, 716 enrutamiento de datagramas de multidifusin, 719 enrutamiento de datagramas de unidifusin, 718 IP para mvilesIP, registrar, 708 ip_strict_dst_multihoming, evitar falsificacin de IP, 571-573 ipf, comando Ver tambin filtro IP de Oracle Solaris anexar reglas de lnea de comandos, 679-680 opcin -a, 677-678 opcin -D, 667 opcin -E, 663-664 opcin -F, 677-678, 678-679 opcin -f, 663-664, 677-678, 679-680, 680 opcin -I, 682 opcin -s, 681 opcin -6, 658-659 opcin-F, 682 opcin-I, 680
ndice
ipf.conf, archivo, 651-654 Ver filtro IP de Oracle Solaris ipfstat, comando, 687-688 Ver tambin filtro IP de Oracle Solaris opcin -i, 676, 677 opcin -o, 676, 677 opcin -s, 688-689 opcin -6, 658-659 opcin-I, 677 ipfstat,comando, opcin -t, 687-688 ipgpc clasificador, Ver mdulo clasificador ipmon, comando Ver tambin filtro IP de Oracle Solaris IPv6, 658-659 opcin -a, 691-692 opcin -F, 693 opcin -o, 691-692 IPMP administrar, 789-792 archivo de configuracin IPMP, 796-798 archivo hostname.interfaz, 786 compatibilidad con ATM, 778 compatibilidad con Ethernet, 778 compatibilidad con Token ring, 778 componentes de software, 758 configuracin de grupo planificar un grupo IPMP, 777-779 resolucin de problemas, 783 tareas para configurar, 779-783 configuracin de interfaz activa-activa, 766 activa-reserva, 766 interfaz de reserva, 765, 785-787 tipos de configuracin de interfaz, 764 conmutacin por error definicin, 760 conservar configuracin tras reinicio, 781, 782 controladores de red admitidos, 766 definicin de grupo de mltiples rutas Ver grupo IPMP descripcin general, 757-761 deteccin de fallos definicin, 760 deteccin de fallos basada en sondeos, 767-768
IPMP (Continuacin) deteccin de fallos basada en vnculos, 766-767 deteccin de reparaciones, 760 direcciones de datos, 762 direcciones de prueba, 762-764 expansin de carga, 758 mantener la configuracin tras el reinicio, 786 reconfiguracin dinmica, 761, 770-773 reemplazar interfaces, DR, 792-794 reemplazar una interfaz que no estaba presente al iniciar el sistema, 794-796 requisitos bsicos, 761-762 sistemas de destino, 760 configurar manualmente, 784 configurar una secuencia, 784-785 terminologa, 759-761 tiempo de deteccin de fallos, 768 trfico de sondeos, 762 vnculos IP, tipos, 759 ipnat, comando Ver tambin filtro IP de Oracle Solaris anexar reglas de lnea de comandos, 684 opcin -C, 666-667 opcin -F, 666-667, 683-684 opcin -f, 663-664, 684 opcin -l, 683 opcin -s, 689 ipnat.conf, archivo, 654-655 Ver filtro IP de Oracle Solaris ippool, comando Ver tambin filtro IP de Oracle Solaris anexar reglas de lnea de comandos, 686 IPv6, 658-659 opcin -F, 685-686 opcin -f, 686 opcin -l, 685 opcin -s, 689-690 ippool.conf, archivo, 655-657 Ver filtro IP de &ProductBase IPQoS, 801 archivo de configuracin, 839, 892 clusula class, 843 clusula filter, 845 instruccin action de marcador, 846
933
ndice
IPQoS, archivo de configuracin (Continuacin) instruccin action inicial, 893 instruccin de accin inicial, 842 lista de mdulos IPQoS, 894 sintaxis, 892 sintaxis de instruccin action, 893 compatibilidad con dispositivos VLAN, 887 directrices en redes habilitadas para IPv6, 92 distribuciones de red admitidas, 818 distribuciones de red compatibles, 819, 820 ejemplo de configuracin, 834-836 ejemplo de red, 839 enrutadores en una red IPQoS, 862 funciones, 802 funciones de administracin del trfico, 805, 806 generacin de estadsticas, 876 implementacin del modelo Diffserv, 807 mensajes de error, 869 pginas de comando man, 803 Peticiones de comentarios relacionadas, 803 planificar la configuracin, 817 planificar la directiva QoS, 821 registro de mensajes, 867 ipqosconf, 839 IPsec activar, 513 administracin de claves, 502-503 administrar mediante SMF, 536-537 agregar asociaciones de seguridad (SA), 521 algoritmos de autenticacin, 506 algoritmos de cifrado, 506 archivo /etc/hostname.ip6.tun0 configurar VPN, 556, 568 archivo /etc/hosts, 520 archivo /etc/inet/ipnodes, 520 archivo hostname.ip.tun0 configurar VPN, 561 archivo ipsecinit.conf archivo de directiva, 507 configurar, 520 descripcin, 577-578 eliminar omisin IPsec de LAN, 552, 564 omitir LAN, 546, 561, 581 proteger el servidor web, 525
934
IPsec, archivo ipsecinit.conf (Continuacin) proteger servidor web, 524 archivos de configuracin, 513-515 archivos de directiva, 577-578 asegurar el registro remoto, 520 asociaciones de seguridad (SA), 502-503 base de datos de asociaciones de seguridad (SADB), 497, 579 base de datos de directivas de seguridad (SPD), 497, 576 base de datos de directivasde seguridad (SPD), 499 Carga de seguridad encapsuladora (ESP), 503-507 comando de directiva , 576-577 comando ifconfig configurar VPN, 548, 557, 569 opciones de seguridad, 581-582 comando ipsecalgs, 506, 578-579 comando ipsecconf, 507, 576-577 comando ipseckey, 503, 579-581 comando route, 547, 549, 557, 558, 562, 563, 569 comando snoop, 581, 582 comandos, lista, 513-515 componentes, 497 configurar, 507, 576-577 configurar directiva permanentemente, 577-578 temporalmente, 576-577 crear manualmente SA, 528-533 daemon in.iked, 503 datos de encapsulacin, 504 descripcin general, 497 directiva de proteccin, 507 dominios lgicos, 512 especificar algoritmos de autenticacin, 581 algoritmos de cifrado, 581 estructura criptogrfica de Solaris y, 578-579 extensiones para utilidades comando ifconfig, 581-582 comando snoop, 581, 582 implementar, 517 ndice de parmetros de seguridad (SPI), 502-503
ndice
IPsec (Continuacin) interoperatividad con otras plataformas claves previamente compartidas, 527, 596 tneles de IP en IP, 496 mecanismos de proteccin, 503-507 mecanismos de seguridad, 497 modo de transporte, 507-509 modo de tnel, 507-509 NAT y, 511 obtener nmeros aleatorios para claves, 527-528 omitir, 507, 524, 525 origen de algoritmo, 578-579 proceso de paquetes entrantes, 499 proceso de paquetes salientes, 499 proteger paquetes, 497 servidores Web, 523-526 sistemas porttiles, 622-629 VPN, 543-553 proteger trfico, 519-523 proteger una VPN, 538-540, 540-573 protocolo SCTP y, 512, 519 protocolos de seguridad, 497, 502-503 RBAC y, 519 redes privadas virtuales (VPN), 510, 543-553 RFC, 498 roles de seguridad, 534-536 servicios directiva, 513 manual-key, 514 servicios, lista, 513-515 servicios de SMF, 495-497, 575-576 sustituir asociaciones de seguridad (SA), 529 terminologa, 498-499 tneles, 510 utilidades de claves comando ipseckey, 579-581 IKE, 584 utilizar ssh para inicio de sesin remota seguro, 522 verificar proteccin de paquetes, 533-534 visualizar directivas, 526-527 VPN IPv4 en modo transporte de tnel y, 559-565 VPN IPv4 y, 543-553
IPsec (Continuacin) VPN IPv6 en modo de transporte de tnel, y, 565-571 VPN IPv6 y, 553-559 zonas y, 512, 519 ipsecconf, comando, configurar tneles, 508 IPv6 admisin de ATM, 306 agregar compatibilidad con DNS, 204 direcciones a NIS, 205 anuncio de enrutador, 287, 288, 291, 293 aspectos sobre la seguridad, 94 campos de encabezado de extensin, 270 comando nslookup, 206 comparacin con IPv4, 291-292 comparado con IPv4, 72 comprobar el estado de in.ndpd, 236 configuracin automtica de direcciones, 283, 287 configuracin automtica de direcciones sin estado, 288 configuracin de direcciones temporales, 188-191 configuracin de tneles, 196-197 daemon in.ndpd, 283 daemon in.ripngd, 284 descripcin general de protocolo, 287 descubrimiento de enrutador, 291 descubrimiento de enrutadores, 283 deteccin de direcciones duplicadas, 83 deteccin de inasequibilidad de vecinos, 83, 292 determinacin de salto siguiente, 83 direccin 6to4, 266 direcciones locales de sitio, 84 direcciones locales de vnculo, 288, 292 direcciones multidifusin, 268-269, 291 enrutamiento, 292 extensiones del comando ifconfig, 279 filtro IP de Oracle Solaris, 658-659 formato de encabezado de paquetes, 269-270 habilitar, en un servidor, 194-195 plan de direcciones, 95-96 preparacin para admitir DNS, 92-93 problemas comunes con un enrutador 6to4, 238 protocolo ND (Neighbor Discovery), 286-292
935
ndice
IPv6 (Continuacin) protocolos de pila doble, 90 redireccin, 287, 291 redirigir, 83 registros AAAA de DNS, 206 resolucin de problemas IPv6 comunes, 237 resolver problemas IPv6 comunes, 237-239 solicitud de enrutador, 286, 288 solicitud de vecino, 287 solicitud e inasequibilidad de vecinos, 289 subredes, 76 supervisar trfico, 230-231 tabla de directrices de seleccin de direcciones predeterminada, 277 tneles, 296-298 tneles automticos, 295
K
keys, crear para SA IPsec, 528-533 kstat comando, usado con IPQoS, 876
L
lista de visitantes agente externo, 734 IP para mviles, 752 listas de revocacin de certificados, Ver CRL
M
macros DHCP Ver macros DHCP macros de DHCP, configuracin, 389 macros DHCP categoras, 322 crear, 411 descripcin general, 321 eliminar, 413 inicio de red, 425 lmite de tamao, 323
936
macros DHCP (Continuacin) macro de configuracin regional, 343 macro de direccin de red, 322, 344 macro de servidor, 344 macros de clase de cliente, 322 macros de ID de cliente, 322 modificar, 406 orden de procesamiento, 323 predeterminadas, 335 procesamiento automtico, 322 uso, 403 mapa de hosts.byaddr, 205 mapa de hosts.byname, 205 mapa de ipnodes.byaddr, 205 mapa de ipnodes.byname, 205 mapa de tareas IPQoS planificar la configuracin, 817 mapas de tareas Cambio de los parmetros de transmisin de IKE (mapa de tareas), 633 Configuracin de IKE (mapa de tareas), 591 Configuracin de IKE con certificados de clave pblica (mapa de tareas), 603 Configuracin de IKE con claves previamente compartidas (mapa de tareas), 592 Configuracin de IKE para buscar el hardware conectado (mapa de tareas), 630 Configuracin de IKE para sistemas porttiles (mapa de tareas), 622 configuracin de red, 98-99 DHCP compatibilidad con clientes BOOTP, 384 compatibilidad con clientes slo de informacin, 426 decisiones sobre la administracin de direcciones IP, 333 eliminacin de clientes de inicio y sin disco con DHCP, 425 modificar opciones de servicio DHCP, 361 preparar red para DHCP, 326 redes DHCP, 374 toma de decisiones para la configuracin del servidor DHCP, 330
ndice
mapas de tareas, DHCP (Continuacin) transferir datos de configuracin de servidores DHCP, 430 uso de direcciones IP, 387 uso de macros DHCP, 404 uso de opciones DHCP, 415 IP mvil configuracin, 721-722 modificar una configuracin, 726-727 IPMP administracin de reconfiguracin dinmica (DR), 776-777 configuracin de grupos IPMP, 775-776 IPQoS configuracin de control de flujo, 873 creacin de archivo de configuracin, 837 planificacin de directiva QoS, 822 IPv6 configuracin, 183-184 configuracin de tnel, 195 planificar, 87-88 Proteccin de una VPN con IPsec (mapa de tareas), 540-573 Proteccin del trfico con IPsec (mapa de tareas), 517 red IPv4 agregar subredes, 102-103 tareas de administracin de red, 209 marca de clase de servicio (CoS), 809 marcador dlcosmk, 809 etiquetas VLAN, 887 planificar el reenvo de datagramas, 831 valores de prioridad de usuario, tabla de, 887 marcador dscpmk, 809 comportamientos PHB para el reenvo de paquetes, 885 invocar, en una instruccin action de marcador, 846, 852, 858, 861 planificar el reenvo de paquetes, 831 marcas de tiempo, 725, 745 mecanismos de proteccin, IPsec, 503-507 medidor tokenmt, 808 configuracin de presencia de color, 809 configuracin de reconocimiento de colores, 883
medidor tokenmt (Continuacin) medicin de tasas, 882 medidor de doble tasa, 883 medidor de tasa nica, 883 parmetros de tasas, 882 medidor tswtclmt, 808, 884 medicin de tasas, 884 mensajes, anuncio de enrutador, 294 mensajes de error de IPQoS, 869 metarranura almacenamiento de claves, 496, 632-633 metaslot, almacenamiento de claves, 583 modelo administrativo, 438 modelo administrativo de DHCPv6, 439 modelo de referencia de Interconexin de Sistemas Abiertos (OSI), 39 modelo de referencia para redes de Interconexin de Sistemas Abiertos (OSI), 38 modelo Diffserv ejemplo de flujo, 810 implementacin de IPQoS, 807 implementacin IPQoS, 808, 809, 810 mdulo clasificador, 807 mdulos de marcador, 809 mdelo Diffserv, mdulos de medidor, 808 modificar macros DHCP, 406 opciones DHCP, 420 modo de ahorro de espacio, opcin de daemon in.routed, 261 modo de archivos locales configuracin de host, 107 definicin, 99 servidores de configuracin de red, 100 sistemas que necesitan, 99, 100 modo de cliente de red configuracin de host, 110 definicin, 99 descripcin general, 101 modo de transporte datos protegidos con ESP, 508 IPsec, 507-509 modo de tnel, IPsec, 507-509 modo interactivo, comando ipseckey, 529
937
ndice
modo transporte, proteger datos con AH, 509 modo tnel, proteger paquete IP interior completo, 509 modos de configuracin de host (TCP/IP), 99, 101 configuraciones mixtas, 101 ejemplo de red, 101 modo de archivos locales, 99, 100 modo de cliente de red, 101 servidores de configuracin de red, 100 topologa de red IPv4, 101 mdulo clasificador, 807 instruccin de accin, 842 mdulo classifier, funciones de classifier, 880 mdulo flowacct, 809, 889 atributos de registros de flujo, 890 comando acctadm, para crear un archivo de control de flujo, 891 instruccin action de flowacct, 849 parmetros, 889 registros de flujo, 874 tabla de registro de flujo, 890 mdulo tun, 296 mdulos de marcado Ver tambin marcador dlcosmk mdulos de marcador, 809 Ver tambin marcador dlcosmk Ver tambin marcador dscpmk compatibilidad con dispositivos VLAN, 887 especificar un punto de cdigo DS, 887 PHB, para el reenvo de paquetes IP, 812 mdulos de medicin Ver tambin medidor tokenmt Ver tambin medidor tswtclmt introduccin, 808 invocar, en el archivo de configuracin IPQoS, 860 resultados de la medicin, 808, 882 mltiples rutas de redes IP (IPMP), Ver IPMP
N
NAT compatible con RFC, 496 configurar reglas, 654-655 desactivar, 666-667
938
NAT (Continuacin) descripcin general, 654-655 eliminar reglas NAT, 683-684 IPsec admite varios clientes, 495-497 limitaciones con IPsec, 511 reglas NAT anexar, 684 ver, 683 uso de IPsec e IKE, 626-627, 628-629 ver estadsticas, 689 ndd, comando, ver pfil mdulo, 674 negociacin de claves, IKE, 633-635 netmasks, base de datos, subredes, 248 NIC Ver tarjeta de interfaz de red (NIC) especificar para filtro IP de Oracle Solaris, 671-672 NIS agregar direccin IPv6, 205 bases de datos de red, 64, 253 registro de nombre de dominio, 38 seleccionar como servicio de nombres, 65 NIS+ seleccionar como servicio de nombres, 65 y el almacn de datos DHCP, 461-464 nivel de privilegio, comprobar en IKE, 597 nivel de privilegios cambiar en IKE, 598 comprobar en IKE, 598 definir en IKE, 603 nodo, IPv6, 75 nodo mvil, 704, 705, 706, 749 definicin, 706 seccin Address, 726 nodo mvil predeterminado IP para mviles, seccin Address, 750 seccin Address de IP mvil, 726 nombre de almacn de claves, Ver ID de token nombre de directorio (DN), para acceder a CRL, 620 nombre de host, activar solicitud de cliente de, 451 nombre de inicio de sesin annimo, 43 nombre de nodo host local, 109, 243 nombres de dominio archivo /etc/defaultdomain, 106, 109, 243
ndice
nombres de dominio (Continuacin) dominios de nivel superior, 65 registrar, 38 seleccionar, 65 nombres de interfaz de red, 159 nombres/denominacin entidades de redes de denominacin, 63 entidades de redes de nombres, 66 nombre de host administrar, 64 archivo /etc/inet/hosts, 245 nombre de nodo host local, 109, 243 nombres de dominio dominios de nivel superior, 65 registro, 38 seleccionar, 65 nombres simblicos para nmeros de red, 251 novedades comando inetconv, 108 configurar sistemas de destino en IPMP, 783-785 deteccin de fallos basada en vnculos, 766-767 estado de interfaz con comando dladm, 152 mejoras de IKE, 590 mejoras de IPsec, 515 protocolo SCTP, 138-141 Utilidad de gestin de servicios (SMF), 108 nsswitch.conf, archivo cambiar, 256 plantillas de servicios de nombres, 256 nsswitch.conf file, changing, 257 nuevas caracteristicas, DHCP en interfaces lgicas, 449 nuevas caractersticas, secuencias de eventos DHCP, 457-460 nuevas funciones comando routeadm, 185 configurar manualmente una direccin local de vnculo, 192-193 direcciones temporales en IPv6, 188-191 prefijo de sitio, en IPv6, 77, 78-79 seleccin de direcciones predeterminadas, 231-234 nmeros aleatorios, generar con comando od, 594 nmeros de red, 37
nmeros de red de clase A descripcin, 262 divisin de espacio de direccin IPv4, 60 intervalo de nmeros disponibles, 61 nmeros de red de clase A, B y C, 56, 60 nmeros de red de clase B descripcin, 263 divisin de espacio de direccin IPv4, 60 intervalo de nmeros disponibles, 61 nmeros de red de clase C descripcin, 263 divisin de espacio de direccin IPv4, 60 intervalo de nmeros disponibles, 61
O
omitir directiva IPsec, 507 IPsec en LAN, 546, 561 opcin -a comando ikecert, 616 comando ikecert certdb, 607, 612 comando ikecert certrldb, 622 comando ipsecconf, 523 opcin -c comando ipsecconf, 496, 576 comando ipseckey, 496, 579 daemon in.iked, 594 opcin -D comando ikecert, 642 comando ikecert certlocal, 605 opcin -F, comando ikecert certlocal, 605 opcin -f comando ipseckey, 523 daemon in.iked, 594 opcin -L, comandoipsecconf, 527 opcin -l comando ikecert certdb, 607 comando ipsecconf, 527 opcin -m, comando ikecert certlocal, 605 opcin -q, daemon in.routed, 261 opcin -S comando ikecert certlocal, 605 daemon in.routed, 261
939
ndice
opcin -s, comando ping, 223 opcin -T comando ikecert certlocal, 605 opcin -t comando ikecert, 642 comando ikecert certlocal, 605 opcin de seguridad auth_algs, comando ifconfig, 581-582 opcin de seguridad encr_algs, comando ifconfig, 582 opcin de seguridad encr_auth_algs, comando ifconfig, 582 opcin failover, comando ifconfig, 763 opcin -kc comando ikecert certlocal, 605, 611, 641 opcin -ks comando ikecert certlocal, 605, 641 opciones DHCP crear, 417 descripcin general, 321 eliminar, 422 modificar, 420 propiedades, 415 uso, 414
P
palabra clave cert_root archivo de configuracin de IKE, 613, 618 palabra clave cert_trust archivo de configuracin de IKE, 608, 618 comando ikecert, 642 palabra clave expire_timer, archivo de configuracin de IKE, 634 palabra clave ignore_crls, archivo de configuracin de IKE, 614 palabra clave ldap-list, archivo de configuracin de IKE, 621 palabra clave pkcs11_path descripcin, 641 comando ikecert, 642 utilizar, 616 palabra clave proxy, archivo de configuracin de IKE, 621
940
palabra clave retry_limit, archivo de configuracin de IKE, 634 palabra clave retry_timer_init, archivo de configuracin de IKE, 634 palabra clave retry_timer_max, archivo de configuracin de IKE, 634 palabra clave tunnel directiva IPsec, 539, 546, 555 palabra clave use_http, archivo de configuracin IKE, 621 paquetes ciclo de vida, 46, 49 capa de aplicacin, 46 capa de Internet, 47 capa de red fsica, 48 capa de transporte, 46, 47 capa de vnculo de datos, 48 capa del vnculo de datos, 48 proceso de host de recepcin, 48 proceso del host de recepcin, 49 comprobar flujo, 227 descartados o perdidos, 222 descripcin, 45 encabezado encabezado IP, 48 funciones de protocolo TCP, 41 encapsulado de datos, 46, 47 formato de encabezado de paquetes de IPv6, 269-270 fragmentacin, 40 funciones de protocolo IP, 40 proteger con IKE, 585 con IPsec, 499, 503-507 paquetes entrantes, 499 paquetes salientes, 499 reenviar, 114 soltados o perdidos, 41 transferir enrutador, 68, 69 pila TCP/IP, 45, 49 UDP, 47 verificar proteccin, 533-534 visualizar contenido, 228
ndice
paquetes descartados o perdidos, 222 paquetes fragmentados, 40 paquetes perdidos o descartados, 222 paquetes perdidos o soltados, 41 paquetes registrados, guardar en un archivo, 693-694 paquetes soltados o perdidos, 41 parmetro group comando ifconfig, 779, 792 parmetro standby comando ifconfig, 765, 786 parmetro test, comando ifconfig, 779 parmetros de transmisin ajuste de IKE, 633-635 parmetros globales de IKE, 634 parmetros de transmisin (IKE), cambiar, 633 perfil de derechos de administracin de red, 535 perfil de derechos de gestin de red IPsec, 535 perfil de derechos de seguridad de red, 534-536 perfiles de derechos administracin de red, 535 gestin de red IPsec, 535 permiso de DHCP fecha de caducidad, 390 tipo, 390 permiso DHCP dinmico y permanente, 336 direcciones IP reservadas, 390 negociacin, 332 policy, 332 tiempo, 332 y direcciones IP reservadas, 336 Peticin de comentarios (RFC), IPQoS, 803 peticin de comentarios (RFC), IPv6, 73-74 peticiones de comentarios (RFC), definicin, 50 pfil, mdulo, 657-658 ver estadsticas, 674 PFS, Ver confidencialidad directa perfecta (Perfect Forward Secrecy o PFS) placa de Sun Crypto Accelerator 1000, 588 placa de Sun Crypto Accelerator 4000, acelerar clculos IKE, 588 placa Sun Crypto Accelerator 1000, utilizar con IKE, 630-631
placa Sun Crypto Accelerator 4000 almacenar claves IKE, 588 utilizar con IKE, 631-633 planificacin de la red, 69 agregar enrutadores, 66, 69 decisiones de diseo, 55 decisiones sobre diseo, 55 esquema de direcciones IP, 55, 63 planificacin de red, 53 registro de red, 58 planificacin de redes asignaciones de nombres, 63, 66 portal, en una topologa de red, 126 prefijo prefijo de sitio, IPv6, 78-79 prefijo de subred, IPv6, 79 red, IPv4, 61 prefijo 6to4, anuncio /etc/inet/ndpd.conf, 201 prefijo de 6to4, explicacin de partes, 267 prefijo de red, IPv4, 61 prefijo de sitio, IPv6 advertir, en el enrutador, 186 definicin, 77, 78 obtencin, 94-95 prefijo de subred, IPv6, 79 prefijos anuncio de enrutador, 288, 291, 293 presencia de color, 809 procesador UltraSPARC T2, utilizar con IKE, 630 programa /usr/sbin/in.rdisc, descripcin, 262 programa ftp, 42 programa FTP annimo descripcin, 43 programa FTP annimo, descripcin, 43 programa hostconfig, 109 programa in.rdisc, descripcin, 262 proteccin de repeticin de mensajes, 745 Proteccin de una VPN con IPsec (mapa de tareas), 540-573 Proteccin del trfico con IPsec (mapa de tareas), 517 proteger claves en hardware, 588 paquetes entre dos sistemas, 519-523 servidor Web con IPsec, 523-526
941
ndice
proteger (Continuacin) sistemas porttiles con IPsec, 622-629 trfico IPsec, 497 VPN con tnel IPsec en modo transporte, 559-565 VPN con tnel IPsec en modo tnel, 543-553 protocolo ARP (Address Resolution Protocol), comparacin con protocolo ND (Neighbor Discovery), 291-292 protocolo BOOTP compatibilidad con clientes con el servicio DHCP, 384 y DHCP, 309 protocolo Bootparams, 100 protocolo de administracin de claves y asociacin de seguridad de Internet (ISAKMP) asociaciones de seguridad, descripcin, 585 Protocolo de configuracin dinmica de host, Ver protocolo DHCP protocolo de control de agregacin de vnculos (LACP) modificar modos de LACP, 173 modos, 170 protocolo de informacin de enrutamiento (RIP), descripcin, 44 protocolo de Internet (IP), 704 protocolo de reconocimiento, tres vas, 47 protocolo de resolucin de direcciones (ARP), definicin, 41 protocolo de tres vas, 47 protocolo DHCP descripcin general, 309 secuencia de eventos, 311 ventajas en la implementacin de Oracle Solaris, 310 protocolo ICMP descripcin, 41 invocar, con ping, 222 mensajes, para protocolo ND, 286-287 visualizar estadsticas, 215 protocolo ICMP Router Discovery (RDISC), 262 protocolo IP comprobar conectividad de host, 222, 223 descripcin, 40 visualizar estadsticas, 215
942
protocolo ND capacidad, 82 configuracin automtica de direcciones, 83 descubrimiento de enrutadores, 83 descubrimiento de prefijos, 83 resolucin de direcciones, 83 protocolo ND (Neighbor Discovery) caractersticas principales, 286-292 comparacin con ARP, 291-292 configuracin automtica de direcciones, 287 descubrimiento de enrutador, 288 descubrimiento de prefijo, 288 deteccin de direcciones duplicadas, 289 solicitud de vecino, 289 protocolo RARP asignacin de direcciones Ethernet, 258 comprobar direcciones Ethernet, 236 configuracin de servidor RARP, 107 descripcin, 100 protocolo SCTP agregar servicios activados para SCTP, 138-141 descripcin, 42 IPsec y, 519 limitaciones con IPsec, 512 servicio del archivo /etc/inet/services, 260 visualizar estadsticas, 215 visualizar estado, 217 Protocolo simple de administracin de red (SNMP), 44 protocolo TCP descripcin, 41 establecer una conexin, 47 segmentacin, 47 servicios del archivo /etc/inet/services, 260 visualizar estadsticas, 215 protocolo Telnet, 43 protocolo tftp descripcin, 43 protocolo de inicio de servidor de configuracin de red, 100 protocolo UDP descripcin, 42 proceso de paquetes UDP, 47 servicios del archivo /etc/inet/services, 260 visualizar estadsticas, 215
ndice
protocolos de enrutamiento daemons de enrutamiento asociados, 116 descripcin, 44, 115, 261, 262 en Oracle Solaris, 115 protocolo de portal de lmite (BGP), 119 protocolo de portal exterior (EGP), 115 protocolo de portal interior (IGP), 115 RDISC descripcin, 44, 262 RIP descripcin, 44, 261 seleccin automtica, 123 protocolos de pila doble, 90, 271 protocolos de seguridad Carga de seguridad encapsuladora (ESP), 504-505 consideraciones de seguridad, 505 descripcin general, 497 encabezado de autenticacin (AH), 504 mecanismos de proteccin IPsec, 503 protocolos TCP/IP, servicios estndar, 137 prximo salto, 292 puertos, nmeros de puerto TCP, UDP y SCTP, 260 punto de cdigo DS (DSCP), 809, 812 configuracin de reconocimiento de color, 884 configurar, en un enrutador diffserv, 863, 885 definir, en el archivo de configuracin IPQoS, 847 parmetro dscp_map, 887 PHB y DSCP, 812 planificar, en la directiva QoS, 831 punto de cdigo de reenvo AF, 813, 886 punto de cdigo de reenvo EF, 885 punto de codigo de reenvo EF, 813 punto de conexin fsico (PPA), 163 punto fsico de conexin (PPA), 147
R
ranuras, del hardware, 643 RBAC IPsec y, 519 y comandos DHCP, 319 RDISC descripcin, 44, 262 reconfiguracin dinmica (DR) agregar interfaces a un grupo IPMP, 771 definicin, 761 desconectar interfaces de un grupo IPMP, 771-772 interfaces que no estn presentes durante el inicio, 772-773 interoperatividad con IPMP, 770-773 procedimientos de conexin en DR, 793-794 procedimientos de desconexin en DR, 792-793 reconectar interfaces en un grupo IPMP, 772 reemplazar interfaces fallidas, 792-794 reemplazar una interfaz que no estaba presente al iniciar, 794-796 reconocimiento de colores, 883 recuperacin tras los errores definicin, 760 reconfiguracin dinmica (DR), con, 772 red de rea extensa (WAN) Internet registro de nombre de dominio, 38 red externa, 706, 713, 717 red permanente, 706 red principal, 705, 713, 716 redes DHCP agregar a servicio DHCP, 377 eliminar del servicio DHCP, 382 modificar, 379 trabajar con, 374-384 redes privadas virtuales (VPN) configurar con el comando routeadm, 544, 564 construidas con IPsec, 510 ejemplo de IPv4, 543-553 ejemplo de IPv6, 553-559 proteger con IPsec, 543-553 proteger con IPsec en modo de transporte de tnel, 559-565
943
Q
QoS, directiva implementar en archivo de configuracin IPQoS, 837 mapa de tareas de planificacin, 822
ndice
redes TCP/IP archivos de configuracin, 241 archivo /etc/defaultdomain, 243 archivo /etc/defaultrouter, 243 archivo /etc/hostname.interfaz, 242 archivo /etc/nodename, 109, 243 base de datos hosts, 243, 246 base de datos netmasks, 248 configuracin de host, 99 configurar archivo nsswitch.conf, 255, 257 bases de datos de red, 252, 255, 257 clientes de red, 109 instalacin de servidor de configuracin de red, 107 modo de archivos locales, 107 modos de configuracin de host, 99, 101 requisitos previos, 98 servicios TCP/IP estndar, 137 modos de configuracin de host, 101 configuraciones mixtas, 101 ejemplo de red, 101 modo de archivos locales, 99, 100 modo de cliente de red, 101 servidores de configuracin de red, 100 nmeros de red, 37 proteger con ESP, 504 resolucin de problemas, 230 comando ifconfig, 211 comando netstat, 215 comando ping, 222, 223 comprobaciones de software, 236 mtodos generales, 235 prdida de paquetes, 222, 223 programas de diagnstico de otros fabricantes, 235 visualizar contenido de paquetes, 228 tareas de configuracin de red IPv4, 104 topologa de red IPv4, 101 redireccin IPv6, 287, 291 redirigir, IPv6, 83 reemplazar, claves previamente compartidas (IKE), 596-597
944
reenviar trfico, planificar, en la directiva QoS, 825 reenvo acelerado (EF), 813, 885 definir, en el archivo de configuracin IPQoS, 848 reenvo asegurado (AF), 813, 886 para una instruccin action de marcador, 847 tabla de puntos de cdigo AF, 886 reenvo de IP en VPN, 510 en VPN IPv4, 544, 547, 548, 559, 562 en VPN IPv6, 554, 556, 557, 566, 568, 569 reenvo de trfico, efecto de comportamientos PHB en el reenvo de trfico, 885 reenvo del trfico flujo del trfico a travs de redes Diffserv, 813 reenvo de datagramas, 887 reenvo de paquetes IP, con DSCP, 812 registrar nombres de dominio, 38 sistemas autnomos, 120 registro indicador de tnel inverso, 715 IP para mviles, 706, 708, 713 mensaje de respuesta, 716 mensajes, 713, 716 redes, 58 solicitud, 715 registro de archivo syslog.conf para IPQoS, 867 registros AAAA, 206, 303 regulacin del ancho de banda, 805 regular el ancho de banda, planificar, en la directiva QoS, 825 Requests for Comments (RFC), 50 requisitos de IPMP, 761-762 resolucin de direcciones, en IPv6, 83 resolucin de problemas carga til de IKE, 615 comprobar vnculos de PPP flujo de paquetes, 227 redes TCP/IP comando ping, 223 comando traceroute, 226-227 comprobaciones de software, 236 comprobar paquetes entre cliente y servidor, 230 mtodos generales, 235
ndice
resolucin de problemas, redes TCP/IP (Continuacin) mostrar estado de interfaz con el comando ifconfig, 213-214 observar transmisiones de interfaces, 218 obtener estadsticas por protocolo, 215-216 obtener estado del protocolo de transporte, 217-218 prdida de paquetes, 222, 223 programas de diagnstico de otros fabricantes, 235 seguimiento de actividad de in.ndpd, 225-226 seguimiento de in.routed, 224-225 sondear hosts remotos con comando ping, 222 supervisar estado de red con comando netstat, 215 supervisar transferencia de paquetes con el comando snoop, 227 visualizar estado de rutas conocidas, 221-222 redes TCP/IP networks visualizar estado de interfaz con comando ifconfig, 211 tiempo de transmisin de IKE, 633-635 resolver problemas IPv6, 237-239 roles, crear rol de seguridad de red, 534-536 routeadm, comando, activar enrutamiento dinmico, 124 routers configurar para redes IPv4, 121 Routing Information Protocol (RIP), descripcin, 261
S
salto, en reenvo de paquetes, 114 saltos, agente de reenvo, 372 seccin Address archivo de configuracin de IP para mviles, 746, 747-750 direcciones privadas, 748 etiquetas y valores, 748 etiquetas y valores de nodo predeterminado, 750 etiquetas y valores NAI, 749
seccin Advertisements archivo de configuracin de IP para mviles, 743-744 etiquetas y valores, 743 seccin General archivo de configuracin de IP para mviles, 743 etiqueta Version, 743 seccin GlobalSecurityParameters archivo de configuracin de IP para mviles, 744-745 etiquetas y valores, 745 seccin Pool, etiquetas y valores, 746 seccin Pool section, archivo de configuracin de IP para mviles, 745-746 seccin SPI archivo de configuracin de IP para mviles, 746-747, 748 etiquetas y valores, 747 segmento ACK, 47 segmento SYN, 47 seguridad IKE, 638 IPsec, 497 seguridad de red, configurar, 493 seleccin de direcciones predeterminadas, 277-278 definicin, 231-234 tabla de directrices de seleccin de direcciones IPv6, 232-233 selectores, 808 IPQoS 5-tuple, 807 planificar, en la directiva QoS, 826 selectores, lista de, 880 servicio clave manual, utilizar, 522 servicio de manual-key, descripcin, 503 servicio de nombres de archivos locales archivo /etc/inet/hosts, 520 archivo inicial, 244, 245 ejemplo, 246 formato, 244 requisitos, 246 archivo /etc/inet/ipnodes, 520 bases de datos de red, 253 descripcin, 65 modo de archivos locales, 99, 100
945
ndice
servicio DHCP agregar redes, 377 asignacin de direcciones IP, 320 compatibilidad con clientes BOOTP, 384 compatibilidad con instalacin de inicio WAN, 424 desconfigurar, 347 con el Administrador de DHCP, 349 descripcin general de la configuracin de red, 320 direcciones IP agregar, 391 eliminar, 397 inutilizables, 398 modificar propiedades, 395 reservar para cliente, 401 habilitar e inhabilitar comando dhcpconfig, 359-360 efectos de, 358 habilitar y deshabilitar Administrador de DHCP, 359 iniciar y detener Administrador de DHCP, 359 efectos de, 358 Inicio e instalacin en red de Oracle Solaris, 423-424 mensajes de error, 465, 472 modificar opciones de servicio, 361 planificar, 325 registro descripcin general, 363 transacciones, 364 supervisin de interfaz de red, 375 tiempo de oferta de cach, 372 topologa de red, 326 Utilidad de gestin de servicios, 360-361 servicio ike descripcin, 503, 575 utilizar, 521 servicio Ipsecalgs, descripcin, 575 servicio manual-key, descripcin, 575 servicio policy descripcin, 575 utilizar, 521
servicios IPsec ipsecalgs, 514 red y comando svcadm, 545, 554, 560 servicios de archivos, 44 servicios de nombres archivos correspondientes a las bases de datos de red, 254 archivos locales archivo /etc/inet/hosts, 244, 246 descripcin, 65 modo de archivos locales, 99, 100 base de datos hosts y, 245, 246 bases de datos de red y, 64, 253 especificacin de orden de bsqueda de base de datos, 255 especificacin de orden de bsqueda de bases de datos, 257 NIS, 65 NIS+, 65 plantillas de archivo nsswitch.conf, 256 registro de clientes DHCP, 371 registro de nombre de dominio, 38 seleccionar servicio, 64 seleccionar un servicio, 66 servicios admitidos, 64 sistema de nombre de dominio (DNS), 43 sistema de nombres de dominio (DNS), 65 subdivisiones administrativas, 66 servicios diferenciados, 801 distribuciones de red, 818 modelo de servicios diferenciados, 807 proporcionar diferentes clases de servicio, 806 servicios NFS, 44 servidor, DHCPv6, 438 servidor de aplicaciones, configurar para IPQoS, 853 servidor DHCP administrar, 315 almacn de datos, 315 configuracin descripcin general, 319 informacin recopilada, 328 configurar comando dhcpconfig, 350
946
ndice
servidor DHCP, configurar (Continuacin) con el Administrador de DHCP, 342 cuntos configurar, 327 ejecutar en modo de depuracin, 469 ejemplo de salida, 471-473 funciones, 314 habilitar para actualizar DNS, 368-369 opciones, 361 Administrador de DHCP, 372-373 comando dhcpconfig, 373-374 planificacin de mltiples servidores, 337 seleccionar, 330 solucin de problemas, 461 servidores, IPv6 habilitar IPv6, 194-195 planificar tareas, 91 servidores de configuracin de red definicin, 100 instalar, 107 protocolos de inicio, 100 servidores web configurar para IPQoS, 840, 841, 850, 852 servidores Web, proteger con IPsec, 523-526 siguiente salto, 114 sistema autnomo (SA), Ver topologa de red sistema de destino, en IPMP configurar en una secuencia de shell, 784-785 configurar manualmente, 784 definicin, 760 sistema de nombre de dominio (DNS) bases de datos de red, 64, 253 descripcin, 43 habilitar actualizaciones dinmicas por parte de servidor DHCP, 368-369 registro de nombre de dominio, 38 seleccionar como servicio de nombres, 65 sistema de nombres de dominio (DNS) archivo de zona, 204 archivo de zona inversa, 204 extensiones para IPv6, 303 sistema nombres de dominio (DNS), preparar, para admitir IPv6, 92-93 sistemas, proteger comunicacin, 519-523
sistemas operativos basados en BSD vnculo de archivo /etc/inet/hosts, 244 vnculo de archivo /etc/inet/netmasks, 251 SNMP (Protocolo simple de administracin de red), 44 sockets consideraciones de seguridad, 523 seguridad IPsec, 578 visualizar estado de sockets con netstat, 218 solicitud de agente, IP para mviles, 709, 710 solicitud de agentes, IP para mviles, 708 solicitud de enrutador IPv6, 286, 288 solicitud de vecino, IPv6, 287 solicitudes de certificados de autoridad de certificacin, 611 en hardware, 617 utilizar, 642 solicitudes de comentarios (RFC) IKE, 498 IPsec, 498 solicitudes de opciones, 441 solucin de problemas, DHCP, 461 sondear una interfaz, 122, 143, 153 subdivisiones, administrativas, 66 subdivisiones administrativas, 66 subredes base de datos netmasks, 248 creacin de mscara de red, 249, 250 editar archivo /etc/inet/netmasks, 251 descripcin general, 248 direcciones IPv4 y, 250 IPv4 configuracin de mscara de red, 106 direcciones y, 249 IPv6 configuracin 6to4, 300 definicin, 76 sugerencias de numeracin, 95 mscaras de red aplicar a direccin IPv4, 250 crear, 250 nmero de subred, IPv4, 248 nmero de subred en direcciones IPv4, 61 prefijo de subred, IPv6, 79
947
ndice
subredes (Continuacin) servidores de configuracin de red, 100 sustituir claves manuales (IPsec), 529 SA IPsec, 529
T
opcin -T comando ikecert, 616, 642, 643 -t, opcin, inetd daemon, 137 tabla de enlace agente interno, 734, 735 IP para mviles, 752 tabla dhcptab, 343 descripcin, 488 descripcin general, 316 eliminar al desconfigurar, 348 leer automticamente, 372 tabla hosts.org_dir, 205 tabla ipnodes.org_dir, 205 tablas de enrutamiento configuracin manual, 127 configurar manualmente, 126 creacin de daemon de in.routed, 261 definicin, 114 descripcin, 68 ejemplo de transferencia de paquetes, 69 modo de ahorro de espacio, 261 mostrar, 235 seguimiento de todas las rutas, 227 subredes, 248 tablas de estado, ver, 687-688 tablas de red DHCP creadas durante la configuracin del servidor, 344 descripcin, 317 eliminar al desconfigurar, 348 tarjeta de interfaz de red (NIC) administrar NIC que no estn durante el inicio, 772-773 conectar NIC con DR, 771 definicin, 759 desconectar NIC con DR, 771-772, 772 deteccin de reparaciones, 760
948
tarjeta de interfaz de red (NIC) (Continuacin) fallos y conmutacin por error, 760 NIC, tipos, 142 NIC, tipos de, 158 NIC que admiten IPMP, 766 reconfiguracin dinmica, 761 velocidad de NIC en un grupo IPMP, 759-760 TCP/IP protocol suite, 37 tiempo de deteccin de fallos, IPMP, 768 tipos de encapsulado, IP para mviles, 717 Token ring, compatibilidad con IPMP para, 778 topologa, 66, 67 topologa de IP para mviles, 704 topologa de red, 66, 67 DHCP y, 326 sistema autnomo, 118 topologa de sitio, IPv6, 80 topologa pblica, IPv6, 80 traduccin de direcciones de red (NAT), Ver NAT transicin a IPv6, mecanismo 6to4, 298 truncaciones, Ver agregaciones tnel, 717 tnel, palabra clave, directiva IPsec, 508 tnel inverso consideraciones del agente externo, 716 consideraciones del agente interno, 716 enrutamiento de datagramas de multidifusin, 719 enrutamiento de datagramas de unidifusin, 718 IP para mviles, 709, 711-712 tneles configuracin de IPv6 IPv4 a travs de IPv6, 198 IPv6 a travs de IPv4, 196-197 IPv6 a travs de IPv6, 197 configurar IPv6 ejemplos, 280-281 en enrutador de reenvo 6to4, 202 tneles 6to4, 198 IPsec, 510 IPv6, automtico Ver tneles, tneles 6to4 IPv6, configurados manualmente, 296-298 mecanismos de colocacin en tneles de IPv6, 294 modo transporte, 507
ndice
tneles (Continuacin) modo tnel, 508 modos en IPsec, 507-509 opciones de seguridad de ifconfig, 581-582 planificar, para IPv6, 93 proteger paquetes, 510 topologa, hasta enrutador de reenvo 6to4, 302 tneles 6to4 flujo de paquetes, 300, 302 problemas conocidos, 238 topologa, 299 tneles 6to4 definicin, 198 enrutador de reenvo 6to4, 202 flujo de paquetes, 300, 302 problemas conocidos, 238 topologa de ejemplo, 299 tneles automticos, transicin a IPv6, 295 tneles IPsec, sintaxis simplificada, 495-497 tunnels, tneles 6to4, 298
U
unidad de transmisin mxima (MTU), 291 /usr/sbin/inetd daemon, servicios iniciados por, 137 utilidad de gestin de servicios (SMF) servicio IKE actualizar, 522, 597 cambiar propiedad de servicio, 598 Utilidad de gestin de servicios (SMF) servicio IKE descripcin, 637-638 utilidad de gestin de servicios (SMF) servicio IKE descripcin, 583 Utilidad de gestin de servicios (SMF) servicio IKE habilitar, 638 utilidad de gestin de servicios (SMF) servicio IKE habilitar, 521, 626, 635 ike servicio, 588
Utilidad de gestin de servicios (SMF) servicio IKE propiedades configurables, 637 utilidad de gestin de servicios (SMF) servicio IKE reiniciar, 521 servicio ike, 503 servicios de IPsec, 575-576 manual-key servicio, 579 servicio ipsecalgs, 578 servicio policy, 513 servicios IPsec clave manual utilizar, 522 descripcin, 495-497 descripcin de manual-key, 503 lista, 513-515 utilizar para administrar IKE, 536-537 utilizar para administrar IPsec, 536-537 utilidades de claves comando ipseckey, 503 protocolo IKE, 584 servicio de manual-key, 503 servicio ike, 503 utilidades de la lnea de comandos de DHCP, 318 utilidades de lnea de comandos DHCP, privilegios, 357
V
opcin -V comando snoop, 581, 582 vaciar, Ver eliminar valor de prioridad de usuario, 809 varias interfaces de red, sistemas cliente DHCP, 449 verificar archivo ipsecinit.conf sintaxis, 521, 546 proteccin de paquetes, 533-534 vnculo, IPv6, 76 vnculo IP, en terminologa IPMP, 759 vnculos de PPP resolucin de problemas flujo de paquetes, 227
949
ndice
visualizar configuracin de IPsec, 577-578 directiva IPsec, 526-527 visualizar estadsticas de protocolo, 215 VLAN configuracin, 160-166 configuracin, en Solaris 10 3/05, 146-148 configuracin de nodos, 162 configuraciones, 161-163 definicin, 146-148, 160-166 dispositivo virtual, 148, 165 escenarios de muestra, 160 esttica configuracin, en Solaris 10 3/05, 147-148 formato de encabezado de etiqueta, 146 ID de VLAN (VID), 146 ID VLAN (VID), 162-163 interfaces admitidas en Solaris 10 1/06, 164 planificar, 163-164 punto de conexin fsico (PPA), 163 punto fsico de conexin (PPA), 147 VPN, Ver redes privadas virtuales (VPN)
Z
zona global, IKE, 583 zonas administracin de claves y, 519 IPsec y, 512, 519
950