Professional Documents
Culture Documents
Sun Microsystems, Inc. 4150 Network Circle Santa Clara, CA 95054 U.S.A.
Referencia: 820298116 Octubre de 2009
Sun Microsystems, Inc. tiene derechos de propiedad intelectual relacionados con la tecnologa del producto que se describe en este documento. En concreto, y sin limitarse a ello, estos derechos de propiedad intelectual pueden incluir una o ms patentes de EE. UU. o aplicaciones pendientes de patente en EE. UU. y otros pases. Derechos del Gobierno de los Estados Unidos: software comercial. Los usuarios gubernamentales estn sujetos al acuerdo de licencia estndar de Sun Microsystems, Inc. y a las disposiciones aplicables de la regulacin FAR y sus suplementos. Esta distribucin puede incluir materiales desarrollados por terceras partes. Determinadas partes del producto pueden proceder de sistemas Berkeley BSD, con licencia de la Universidad de California. UNIX es una marca registrada en los EE.UU. y otros pases, bajo licencia exclusiva de X/Open Company, Ltd. Sun, Sun Microsystems, el logotipo de Sun, el logotipo de Solaris, el logotipo de la taza de caf de Java, docs.sun.com, Sun Quad FastEthernet, Java y Solaris son marcas comerciales o marcas comerciales registradas de Sun Microsystems, Inc. en EE.UU y otros pases. Todas las marcas registradas SPARC se usan bajo licencia y son marcas comerciales o marcas registradas de SPARC International, Inc. en los EE.UU. y en otros pases. Los productos con las marcas registradas de SPARC se basan en una arquitectura desarrollada por Sun Microsystems, Inc. La interfaz grfica de usuario OPEN LOOK y SunTM fue desarrollada por Sun Microsystems, Inc. para sus usuarios y licenciatarios. Sun reconoce los esfuerzos pioneros de Xerox en la investigacin y desarrollo del concepto de interfaces grficas o visuales de usuario para el sector de la informtica. Sun dispone de una licencia no exclusiva de Xerox para la interfaz grfica de usuario de Xerox, que tambin cubre a los licenciatarios de Sun que implementen las GUI de OPEN LOOK y que, por otra parte, cumplan con los acuerdos de licencia por escrito de Sun. Los productos comentados y la informacin contenida en esta publicacin estn controlados por las leyes de control de exportacin de los Estados Unidos y pueden estar sujetos a leyes de exportacin o importacin en otros pases. Queda terminantemente prohibido el uso final (directo o indirecto) de esta documentacin para el desarrollo de armas nucleares, qumicas, biolgicas, de uso martimo nuclear o misiles. Queda terminantemente prohibida la exportacin o reexportacin a pases sujetos al embargo de los Estados Unidos o a entidades identificadas en las listas de exclusin de exportacin de los Estados Unidos, incluidas, aunque sin limitarse a, las personas con acceso denegado y las listas de ciudadanos designados con carcter especial. ESTA DOCUMENTACIN SE PROPORCIONA TAL CUAL. SE RENUNCIA A TODAS LAS CONDICIONES EXPRESAS O IMPLCITAS, REPRESENTACIONES Y GARANTAS, INCLUIDAS CUALQUIER GARANTA IMPLCITA DE COMERCIALIZACIN, ADECUACIN PARA UNA FINALIDAD DETERMINADA O DE NO CONTRAVENCIN, EXCEPTO EN AQUELLOS CASOS EN QUE DICHA RENUNCIA NO FUERA LEGALMENTE VLIDA. Copyright 2009 Sun Microsystems, Inc. 4150 Network Circle, Santa Clara, CA 95054 U.S.A. Tous droits rservs.
Sun Microsystems, Inc. dtient les droits de proprit intellectuelle relatifs la technologie incorpore dans le produit qui est dcrit dans ce document. En particulier, et ce sans limitation, ces droits de proprit intellectuelle peuvent inclure un ou plusieurs brevets amricains ou des applications de brevet en attente aux Etats-Unis et dans d'autres pays. Cette distribution peut comprendre des composants dvelopps par des tierces personnes. Certaines composants de ce produit peuvent tre drives du logiciel Berkeley BSD, licencis par l'Universit de Californie. UNIX est une marque dpose aux Etats-Unis et dans d'autres pays; elle est licencie exclusivement par X/Open Company, Ltd. Sun, Sun Microsystems, le logo Sun, le logo Solaris, le logo Java Coffee Cup, docs.sun.com, Java et Solaris sont des marques de fabrique ou des marques dposes de Sun Microsystems, Inc., ou ses filiales, aux Etats-Unis et dans d'autres pays. Toutes les marques SPARC sont utilises sous licence et sont des marques de fabrique ou des marques dposes de SPARC International, Inc. aux Etats-Unis et dans d'autres pays. Les produits portant les marques SPARC sont bass sur une architecture dveloppe par Sun Microsystems, Inc. L'interface d'utilisation graphique OPEN LOOK et Sun a t dveloppe par Sun Microsystems, Inc. pour ses utilisateurs et licencis. Sun reconnat les efforts de pionniers de Xerox pour la recherche et le dveloppement du concept des interfaces d'utilisation visuelle ou graphique pour l'industrie de l'informatique. Sun dtient une licence non exclusive de Xerox sur l'interface d'utilisation graphique Xerox, cette licence couvrant galement les licencis de Sun qui mettent en place l'interface d'utilisation graphique OPEN LOOK et qui, en outre, se conforment aux licences crites de Sun. Les produits qui font l'objet de cette publication et les informations qu'il contient sont rgis par la legislation amricaine en matire de contrle des exportations et peuvent tre soumis au droit d'autres pays dans le domaine des exportations et importations. Les utilisations finales, ou utilisateurs finaux, pour des armes nuclaires, des missiles, des armes chimiques ou biologiques ou pour le nuclaire maritime, directement ou indirectement, sont strictement interdites. Les exportations ou rexportations vers des pays sous embargo des Etats-Unis, ou vers des entits figurant sur les listes d'exclusion d'exportation amricaines, y compris, mais de manire non exclusive, la liste de personnes qui font objet d'un ordre de ne pas participer, d'une faon directe ou indirecte, aux exportations des produits ou des services qui sont rgis par la legislation amricaine en matire de contrle des exportations et la liste de ressortissants spcifiquement designs, sont rigoureusement interdites. LA DOCUMENTATION EST FOURNIE "EN L'ETAT" ET TOUTES AUTRES CONDITIONS, DECLARATIONS ET GARANTIES EXPRESSES OU TACITES SONT FORMELLEMENT EXCLUES, DANS LA MESURE AUTORISEE PAR LA LOI APPLICABLE, Y COMPRIS NOTAMMENT TOUTE GARANTIE IMPLICITE RELATIVE A LA QUALITE MARCHANDE, A L'APTITUDE A UNE UTILISATION PARTICULIERE OU A L'ABSENCE DE CONTREFACON.
091014@23031
Contenido
Prefacio ..................................................................................................................................................29
Parte I
Conjunto de protocolos TCP/IP de Solaris (descripcin general) ................................................ 37 Novedades de esta versin .................................................................................................................. 37 Introduccin al conjunto de protocolos TCP/IP ............................................................................. 37 Capas de protocolo y el modelo de Interconexin de Sistemas Abiertos .............................. 38 Modelo de arquitectura del protocolo TCP/IP ......................................................................... 39 Cmo manejan las comunicaciones de datos los protocolos TCP/IP ........................................... 45 Encapsulado de datos y la pila de protocolo TCP/IP ............................................................... 45 Admisin de seguimiento interno de TCP/IP .......................................................................... 49 Informacin adicional sobre TCP/IP e Internet .............................................................................. 49 Manuales sobre TCP/IP .............................................................................................................. 49 Pginas web sobre TCP/IP y redes ............................................................................................. 49 Peticiones de comentarios y borradores de Internet ................................................................ 50
Parte II
Planificacin de la red TCP/IP (tareas) ............................................................................................. 53 Planificacin de la red (mapa de tareas) ............................................................................................ 54 Determinacin del hardware de red .................................................................................................. 55 Cmo decidir el formato de las direcciones IP para la red ............................................................. 55 Direcciones IPv4 .......................................................................................................................... 56 Direcciones IPv4 en formato CIDR ........................................................................................... 56 Direcciones DHCP ...................................................................................................................... 57 Direcciones IPv6 .......................................................................................................................... 57
3
Contenido
Direcciones privadas y prefijos de documentacin ................................................................. 57 Cmo obtener el nmero de IP de la red .......................................................................................... 58 Cmo disear un esquema de direcciones IPv4 .............................................................................. 58 Cmo disear un esquema de direcciones IPv4 ....................................................................... 60 Nmero de subred IPv4 ............................................................................................................... 61 Cmo disear un esquema de direcciones IPv4 CIDR ............................................................ 61 Uso de direcciones IPv4 privadas ............................................................................................... 62 Aplicacin de las direcciones IP a las interfaces de red ............................................................ 63 Entidades de denominacin en la red ............................................................................................... 63 Administracin de nombres de host .......................................................................................... 64 Seleccin de un servicio de nombres y de directorios .............................................................. 64 Planificacin de encaminadores en la red ......................................................................................... 66 Descripcin general de la topologa de red ............................................................................... 66 Cmo transfieren los paquetes los encaminadores .................................................................. 68
Introduccin a IPv6 (descripcin general) ...................................................................................... 71 Caractersticas principales de IPv6 .................................................................................................... 72 Direcciones ampliadas ................................................................................................................ 72 Configuracin automtica de direcciones y descubrimiento de vecinos .............................. 72 Simplificacin del formato del encabezado .............................................................................. 72 Ms posibilidades en las opciones de encabezado de IP .......................................................... 73 Compatibilidad de aplicaciones con direcciones IPv6 ............................................................ 73 Otros recursos de IPv6 ................................................................................................................ 73 Descripcin general de las redes IPv6 ............................................................................................... 75 Descripcin general de las direcciones IPv6 .................................................................................... 76 Partes de una direccin IPv6 ....................................................................................................... 77 Abreviacin de direcciones IPv6 ................................................................................................ 78 Prefijos de IPv6 ............................................................................................................................. 79 Direcciones unidifusin .............................................................................................................. 79 Direcciones multidifusin .......................................................................................................... 82 Grupos y direcciones de difusin por proximidad .................................................................. 83 Descripcin general del protocolo ND de IPv6 ............................................................................... 83 Configuracin automtica de direcciones IPv6 ............................................................................... 84 Descripcin general de configuracin automtica sin estado ................................................ 84 Descripcin general sobre los tneles de IPv6 ................................................................................. 85
Contenido
Planificacin de una red IPv6 (tareas) ............................................................................................. 87 Planificacin de IPv6 (mapas de tareas) ........................................................................................... 87 Situacin hipottica de topologa de red IPv6 .................................................................................. 89 Preparacin de la red ya configurada para admitir IPv6 ................................................................. 90 Preparacin de la topologa red para admitir IPv6 .................................................................. 90 Preparacin de servicios de red para admitir IPv6 ................................................................... 91 Preparacin de servidores para admitir IPv6 ........................................................................... 91 Cmo preparar servicios de red para admitir IPv6 .................................................................. 92 Cmo preparar DNS para admitir IPv6 .................................................................................... 93 Planificacin de tneles en la topologa de red ......................................................................... 93 Aspectos relacionados con la seguridad en la implementacin de IPv6 ................................ 94 Preparacin de un plan de direcciones IPv6 .................................................................................... 95 Obtencin de un prefijo de sitio ................................................................................................. 95 Creacin del esquema de numeracin de IPv6 ......................................................................... 95
Configuracin de servicios de red TCP/IP y direcciones IPv4 (tareas) .........................................97 Novedades de este captulo ................................................................................................................. 98 Antes de configurar una red IPv4 (mapa de tareas) ........................................................................ 98 Cmo determinar los modos de configuracin de host .................................................................. 99 Sistemas que deben ejecutarse en modo de archivos locales ................................................... 99 Sistemas que son clientes de red ............................................................................................... 101 Configuraciones mixtas ............................................................................................................ 101 Ejemplo de topologa de red IPv4 ............................................................................................ 101 Cmo agregar una subred a una red (mapa de tareas) .................................................................. 102 Mapa de tareas de configuracin de red .......................................................................................... 103 Configuracin de sistemas en la red local ....................................................................................... 104 Cmo configurar un host para el modo de archivos locales ................................................. 105 Cmo instalar un servidor de configuracin de red .............................................................. 107 Configuracin de clientes de red .............................................................................................. 108 Cmo configurar hosts para el modo de cliente de red ......................................................... 109 Cmo cambiar la direccin IPv4 y otros parmetros de configuracin de red .................. 110 Reenvo de paquetes y rutas en redes IPv4 ..................................................................................... 114 Protocolos de encaminamiento admitidos por el sistema operativo Solaris ...................... 115 Topologa de sistemas autnomos IPv4 .................................................................................. 119 Configuracin de un encaminador IPv4 ................................................................................. 122
5
Contenido
Tablas y tipos de encaminamiento ........................................................................................... 127 Configuracin de hosts mltiples ............................................................................................ 131 Configuracin del encaminamiento para sistemas de interfaz nica .................................. 134 Supervisin y modificacin de los servicios de capa de transporte ............................................. 139 Cmo registrar las direcciones IP de todas las conexiones TCP entrantes ......................... 139 Cmo agregar servicios que utilicen el protocolo SCTP ....................................................... 140 Cmo utilizar los envoltorios TCP para controlar el acceso a los servicios TCP ............... 143 Administracin de interfaces en Solaris 10 3/05 ............................................................................ 144 Novedades de esta seccin ........................................................................................................ 144 Configuracin de interfaces fsicas en Solaris 10 3/05 ........................................................... 144 Configuracin de VLAN en Solaris 10 3/05 SOLAMENTE ................................................. 148
Administracin de interfaces de red (tareas) ............................................................................... 153 Novedades en la administracin de interfaces de red ................................................................... 153 Administracin de interfaces (mapa de tareas) ............................................................................. 154 Administracin de interfaces de red individuales ......................................................................... 154 Cmo obtener el estado de una interfaz .................................................................................. 155 Cmo configurar una interfaz fsica tras la instalacin del sistema ..................................... 156 Cmo eliminar una interfaz fsica ............................................................................................ 159 SPARC: Cmo asegurarse de que la direccin MAC de una interfaz sea nica .................. 160 Aspectos bsicos sobre la administracin de interfaces fsicas .................................................... 162 Nombres de interfaz de red ....................................................................................................... 162 Conexin de una interfaz .......................................................................................................... 163 Tipos de interfaz del sistema operativo Solaris ....................................................................... 163 Administracin de redes de rea local virtuales ............................................................................. 164 Descripcin general de una configuracin VLAN ................................................................. 164 Planificacin de una red para redes VLAN ............................................................................. 167 Configuracin de redes VLAN ................................................................................................. 167 Descripcin general de agregaciones de vnculos .......................................................................... 170 Conceptos bsicos de agregaciones de vnculos ..................................................................... 170 Agregaciones de vnculos de extremo a extremo ................................................................... 172 Directivas y equilibrio de la carga ............................................................................................ 173 Modo de agregacin y nodos .................................................................................................... 173 Requisitos para agregaciones de vnculos ............................................................................... 174 Cmo crear una agregacin de vnculos ................................................................................. 174
Contenido
Cmo modificar una agregacin .............................................................................................. 176 Cmo eliminar una interfaz de una agregacin ..................................................................... 178 Cmo eliminar una agregacin ................................................................................................ 178 Cmo configurar VLAN a travs de una adicin de vnculos .............................................. 179
Configuracin de una red IPv6 (tareas). ........................................................................................ 181 Configuracin de una interfaz de IPv6 ........................................................................................... 181 Habilitacin de IPv6 en una interfaz (mapa de tareas) .......................................................... 182 Cmo habilitar una interfaz de IPv6 para la sesin actual .................................................... 182 Cmo habilitar interfaces de IPv6 de manera permanente ................................................... 184 Cmo desactivar la configuracin automtica de direcciones IPv6 .................................... 186 Configuracin de un encaminador IPv6 ........................................................................................ 187 Configuracin de IPv6 en encaminadores (mapa de tareas) ................................................ 187 Cmo configurar un encaminador habilitado para IPv6 ...................................................... 188 Modificacin de la configuracin de una interfaz de IPv6 para hosts y servidores ................... 191 Modificacin de la configuracin de una interfaz de IPv6 (mapa de tareas) ...................... 192 Uso de direcciones temporales para una interfaz ................................................................... 192 Configuracin de un token IPv6 .............................................................................................. 195 Administracin de interfaces habilitadas para IPv6 en servidores ...................................... 198 Tareas de configuracin de tneles para compatibilidad con IPv6 (mapa de tareas) ............... 199 Configuracin de tneles para compatibilidad con IPv6 ............................................................. 200 Cmo configurar manualmente IPv6 a travs de tneles IPv4 ............................................ 200 Cmo configurar manualmente tneles IPv6 a travs de IPv6 ............................................ 201 Cmo configurar tneles IPv4 a travs de IPv6 ...................................................................... 202 Cmo configurar un tnel 6to4 ................................................................................................ 203 Cmo configurar un tnel 6to4 hasta un encaminador de reenvo 6to4 ............................. 207 Configuracin de la compatibilidad con el servicio de nombres para IPv6 ............................... 209 Cmo agregar direcciones IPv6 a DNS ................................................................................... 209 Adicin de direcciones IPv6 a NIS ........................................................................................... 210 Cmo visualizar informacin sobre servicios de nombres de IPv6 ..................................... 210 Cmo verificar que los registros PTR de DNS IPv6 se actualicen correctamente .............. 211 Cmo visualizar informacin de IPv6 mediante NIS ............................................................ 212 Cmo visualizar informacin relativa a IPv6 al margen del servicio de nombres ............. 212
Contenido
Administracin de redes TCP/IP (tareas) ....................................................................................... 215 Tareas de administracin principales de TCP/IP (mapa de tareas) ............................................ 216 Supervisin de la configuracin de interfaz con el comando ifconfig ..................................... 217 Cmo obtener informacin sobre una interfaz especfica .................................................... 217 Cmo mostrar asignaciones de direccin de interfaz ............................................................ 219 Supervisin del estado de la red con el comando netstat ........................................................... 221 Cmo visualizar estadsticas por protocolo ............................................................................ 221 Cmo visualizar el estado de protocolos de transporte ......................................................... 223 Cmo visualizar el estado de interfaces de red ....................................................................... 224 Cmo visualizar el estado de los sockets ................................................................................. 225 Cmo visualizar el estado de las transmisiones de paquetes de un determinado tipo de direccin ..................................................................................................................................... 227 Cmo visualizar el estado de rutas conocidas ......................................................................... 227 Sondeo de hosts remotos con el comando ping ............................................................................ 228 Cmo determinar si un host remoto est en ejecucin ......................................................... 229 Cmo determinar si un host descarta paquetes ..................................................................... 229 Administracin y registro de la visualizacin del estado de la red ............................................... 230 Cmo controlar la salida de visualizacin de comandos relacionados con IP ................... 230 Cmo registrar acciones del daemon de rutas de IPv4 .......................................................... 231 Cmo efectuar el seguimiento de las actividades del daemon de descubrimiento cercano de IPv6 .............................................................................................................................................. 232 Visualizacin de informacin de encaminamiento con el comando traceroute .................... 233 Cmo saber la ruta de un host remoto ..................................................................................... 234 Cmo efectuar el seguimiento de todas las rutas .................................................................... 234 Control de transferencias de paquetes con el comando snoop .................................................... 235 Cmo comprobar paquetes de todas las interfaces ................................................................ 235 Cmo capturar salida del comando snoop en un archivo ..................................................... 237 Cmo comprobar paquetes entre un cliente y un servidor IPv4 .......................................... 238 Cmo supervisar trfico de redes IPv6 .................................................................................... 238 Administracin de seleccin de direcciones predeterminadas .................................................... 239 Cmo administrar la tabla de directrices de seleccin de direcciones IPv6 ........................ 239 Cmo modificar la tabla de seleccin de direcciones IPv6 slo para la sesin actual ........ 241
Resolucin de problemas de red (Tareas) ..................................................................................... 243 Novedades de Resolucin de problemas de red ............................................................................. 243 Consejos de resolucin de problemas de red generales ................................................................ 243
Gua de administracin del sistema: servicios IP Octubre de 2009
Contenido
Ejecucin de comprobaciones de diganstico bsicas ........................................................... 244 Cmo realizar comprobaciones de software de red bsicas .................................................. 244 Problemas comunes al utilizar IPv6 ................................................................................................ 245 El encaminador IPv4 no puede actualizarse a IPv6 ............................................................... 245 Problemas tras la actualizacin de servicios a IPv6 ................................................................ 245 El ISP actual no admite IPv6 ..................................................................................................... 245 Cuestiones de seguridad al transmitir datos mediante tnel a un encaminador de reenvo 6to4 .............................................................................................................................................. 246 Problemas comunes con un encaminador 6to4 ..................................................................... 246
10
Descripcin detallada de TCP/IP e IPv4 (referencia) ................................................................... 249 Novedades de TCP/IP e IPv4 ........................................................................................................... 249 Archivos de configuracin TCP/IP ................................................................................................. 249 Archivo /etc/hostname.interfaz ............................................................................................ 250 Archivo /etc/nodename ........................................................................................................... 251 Archivo /etc/defaultdomain ................................................................................................. 251 Archivo /etc/defaultrouter ................................................................................................. 251 Base de datos hosts ................................................................................................................... 251 Base de datos ipnodes ............................................................................................................... 255 Base de datos netmasks ............................................................................................................. 256 Daemon de servicios de Internet inetd .......................................................................................... 260 Bases de datos de red y el archivo nsswitch.conf ........................................................................ 260 Cmo afectan los servicios de nombres a las bases de datos de red ..................................... 261 Archivo nsswitch.conf ........................................................................................................... 263 Base de datos bootparams ......................................................................................................... 265 Base de datos ethers ................................................................................................................. 266 Otras bases de datos de red ....................................................................................................... 267 Base de datos protocols ........................................................................................................... 268 Base de datos services ............................................................................................................. 269 Protocolos de encaminamiento en el sistema operativo Solaris .................................................. 269 Protocolo Routing Information Protocol (RIP) ..................................................................... 270 Protocolo ICMP Router Discovery (RDISC) .......................................................................... 270 Clases de red ....................................................................................................................................... 270 Nmeros de red de clase A ........................................................................................................ 271 Nmeros de red de clase B ......................................................................................................... 271
9
Contenido
11
IPv6 en profundidad (referencia) ...................................................................................................273 Novedades de IPv6 en profundidad ................................................................................................ 273 Formatos de direcciones IPv6 que no son los bsicos ................................................................... 274 Direcciones 6to4 derivadas ....................................................................................................... 274 Direcciones multidifusin IPv6 en profundidad ................................................................... 276 Formato del encabezado de los paquetes de IPv6 .......................................................................... 277 Encabezados de extensin de IPv6 ........................................................................................... 278 Protocolos de pila doble .................................................................................................................... 279 Implementacin de IPv6 en Solaris 10 ............................................................................................ 280 Archivos de configuracin de IPv6 .......................................................................................... 280 Comandos relacionados con IPv6 ........................................................................................... 285 Daemons relacionados con IPv6 .............................................................................................. 292 Protocolo ND de IPv6 ....................................................................................................................... 295 Mensajes de ICMP del protocolo ND ...................................................................................... 295 Proceso de configuracin automtica ..................................................................................... 296 Solicitud e inasequibilidad de vecinos ..................................................................................... 298 Algoritmo de deteccin de direcciones duplicadas ............................................................... 298 Anuncios de proxy ..................................................................................................................... 299 Equilibrio de la carga entrante .................................................................................................. 299 Cambio de direccin local de vnculo ...................................................................................... 299 Comparacin del protocolo ND con ARP y protocolos relacionados con IPv4 ................ 300 Encaminamiento de IPv6 ................................................................................................................. 302 Anuncio de encaminador ......................................................................................................... 302 Tneles de IPv6 .................................................................................................................................. 303 Tneles configurados ................................................................................................................ 305 Tneles automticos 6to4 ......................................................................................................... 307 Extensiones de IPv6 para servicios de nombres de Solaris ........................................................... 312 Extensiones de DNS para IPv6 ................................................................................................. 312 Cambios en el archivo nsswitch.conf ................................................................................... 312 Cambios en los comandos de servicio de nombres ................................................................ 314 Admisin de NFS y RPC IPv6 .......................................................................................................... 314 Admisin de IPv6 en ATM ............................................................................................................... 314
10
Contenido
Parte III
DHCP ....................................................................................................................................................315
12
Solaris DHCP (descripcin general) ................................................................................................317 Acerca del protocolo DHCP ............................................................................................................. 317 Ventajas del uso de Solaris DHCP ................................................................................................... 318 Funcionamiento de DHCP ............................................................................................................... 319 Servidor Solaris DHCP ..................................................................................................................... 322 Administracin del servidor DHCP ........................................................................................ 323 Almacn de datos de DHCP ..................................................................................................... 323 Administrador de DHCP .......................................................................................................... 325 Utilidades de la lnea de comandos de DHCP ........................................................................ 326 Control de acceso basado en roles para los comandos DHCP .............................................. 327 Configuracin del servidor DHCP .......................................................................................... 327 Asignacin de direcciones IP .................................................................................................... 328 Informacin de configuracin de red ...................................................................................... 328 Opciones DHCP ......................................................................................................................... 329 Macros DHCP ............................................................................................................................ 329 Cliente de Solaris DHCP ................................................................................................................... 331
13
Planificacin del servicio DHCP (tareas) ........................................................................................ 333 Preparacin de la red para el servicio DHCP (mapa de tareas) .................................................... 333 Asignacin de topologa de red ................................................................................................ 334 Cmo determinar el nmero de servidores DHCP ............................................................... 335 Actualizacin de archivos de sistema y tablas de mscara de red ......................................... 336 Toma de decisiones para la configuracin del servidor DHCP (mapa de tareas) ...................... 338 Seleccin de un host para ejecutar el servicio DHCP ............................................................. 338 Seleccin del almacn de datos DHCP .................................................................................... 339 Configuracin de una directiva de permiso ............................................................................ 340 Cmo determinar los encaminadores para clientes DHCP .................................................. 341 Toma de decisiones para la administracin de direcciones IP (mapa de tareas) ....................... 341 Nmero y rangos de direcciones IP ......................................................................................... 342 Generacin de nombres de host de cliente ............................................................................. 342 Macros de configuracin de cliente predeterminadas ........................................................... 343 Tipos de permiso dinmico y permanente .............................................................................. 344 Tipos de permisos y direcciones IP reservadas ....................................................................... 344
11
Contenido
Planificacin de mltiples servidores DHCP ................................................................................. 345 Planificacin de la configuracin DHCP de las redes remotas .................................................... 346 Seleccin de la herramienta para configurar DHCP ..................................................................... 346 Funciones del Administrador de DHCP ................................................................................. 346 Funciones de dhcpconfig ......................................................................................................... 347 Comparacin del Administrador de DHCP y dhcpconfig .................................................. 347
14
Configuracin del servicio DHCP (tareas) ...................................................................................... 349 Configuracin y desconfiguracin de un servidor DHCP utilizando el Administrador de DHCP .................................................................................................................................................. 349 Configuracin de servidores DHCP ........................................................................................ 350 Cmo configurar un servidor DHCP (Administrador de DHCP) ...................................... 353 Configuracin de los agentes de reenvo de BOOTP ............................................................. 354 Cmo configurar un agente de reenvo de BOOTP (Administrador de DHCP) ............... 354 Desconfiguracin de servidores DHCP y agentes de reenvo de BOOTP ........................... 355 Datos DHCP en un servidor desconfigurado ......................................................................... 356 Cmo desconfigurar un servidor DHCP o un agente de reenvo de BOOTP (Administrador de DHCP) .................................................................................................................................... 357 Configuracin y desconfiguracin de un servidor DHCP mediante los comandos dhcpconfig ........................................................................................................................................ 357 Cmo configurar un servidor DHCP (dhcpconfig -D) ....................................................... 358 Cmo configurar un agente de reenvo de BOOTP (dhcpconfig -R) ................................ 359 Cmo desconfigurar un servidor DHCP o un agente de reenvo de BOOTP (dhcpconfig -U) ................................................................................................................................................ 359
15
Administracin de DHCP (tareas) ...................................................................................................361 Acerca del Administrador de DHCP ............................................................................................... 362 Ventana del Administrador de DHCP .................................................................................... 362 Mens del Administrador de DHCP ....................................................................................... 364 Cmo iniciar y detener el Administrador de DHCP ............................................................. 364 Cmo iniciar y detener el Administrador de DHCP ............................................................. 364 Configuracin del acceso de usuario a los comandos de DHCP .................................................. 365 Cmo conceder a los usuarios acceso a los comandos de DHCP ......................................... 365 Cmo iniciar y detener el servicio DHCP ....................................................................................... 366 Cmo iniciar y detener el servicio DHCP (Adminisitrador de DHCP) .............................. 367 Cmo habilitar e inhabilitar el servicio DHCP (Administrador de DHCP) ....................... 367
Gua de administracin del sistema: servicios IP Octubre de 2009
12
Contenido
Cmo habilitar e inhabilitar el servicio DHCP (dhcpconfig -S) ........................................ 367 Servicio DHCP y Utilidad de gestin de servicios ......................................................................... 368 Modificacin de las opciones del servicio DHCP (mapa de tareas) ............................................ 369 Cmo cambiar las opciones de registro de DHCP ................................................................. 371 Cmo generar mensajes de registro DHCP detallados (Administrador de DHCP) .......... 373 Cmo generar mensajes de registro DHCP detallados (lnea de comandos) ..................... 373 Cmo habilitar e inhabilitar el registro de transacciones DHCP (Administrador de DHCP) ......................................................................................................................................... 374 Cmo habilitar e inhabilitar el registro de transacciones DHCP (lnea de comandos) ..... 375 Cmo registrar transacciones DHCP en un archivo syslog independiente ...................... 375 Habilitacin de las actualizaciones DNS dinmicas por parte del servidor DHCP ........... 376 Cmo activar la actualizacin de DNS dinmica para los clientes DHCP .......................... 377 Registro de nombres de host de cliente ................................................................................... 378 Personalizacin de las opciones de rendimiento del servidor DHCP .................................. 379 Cmo personalizar las opciones de rendimiento DHCP (Administrador de DHCP) ...... 380 Cmo personalizar las opciones de rendimiento DHCP (lnea de comandos) .................. 381 Cmo agregar, modificar y eliminar redes DHCP (mapa de tareas) ........................................... 382 Especificacin de interfaces de redes para la supervisin de DHCP .................................... 383 Cmo especificar interfaces de red para la supervisin de DHCP (Administrador de DHCP) ......................................................................................................................................... 384 Cmo especificar las interfaces de red para la supervisin de DHCP (dhcpconfig) ......... 384 Cmo agregar redes DHCP ...................................................................................................... 385 Como agregar una red DHCP (Administrador de DHCP) ................................................... 386 Cmo agregar una red DHCP (dhcpconfig) ......................................................................... 387 Modificacin de configuraciones de redes DHCP ................................................................. 387 Cmo modificar la configuracin de una red DHCP (Administrador de DHCP) ............. 388 Cmo modificar la configuracin de una red DHCP (dhtadm) ............................................ 389 Eliminacin de redes DHCP ..................................................................................................... 390 Cmo eliminar una red DHCP (Administrador de DHCP) ................................................. 391 Cmo eliminar una red DHCP (pntadm) ................................................................................ 391 Clientes BOOTP con el servicio DHCP (mapa de tareas) ............................................................ 392 Cmo configurar la compatibilidad de cualquier cliente BOOTP (Administrador de DHCP) ......................................................................................................................................... 393 Cmo configurar la compatibilidad de los clientes BOOTP registrados (Administrador de DHCP) ......................................................................................................................................... 394 Uso de direcciones IP en el servicio DHCP (mapa de tareas) ...................................................... 395 Cmo agregar direcciones IP al servicio DHCP ..................................................................... 399
13
Contenido
Cmo agregar una nica direccin IP (Administrador de DHCP) ..................................... 401 Cmo duplicar una direccin IP existente (Administrador de DHCP) .............................. 402 Cmo agregar varias direcciones IP (Administrador de DHCP) ......................................... 402 Cmo agregar direcciones IP (pntadm ) ................................................................................. 403 Modificacin de direcciones IP en el servicio DHCP ............................................................ 403 Cmo modificar las propiedades de direcciones IP (Administrador de DHCP) ............... 405 Cmo modificar las propiedades de direcciones IP (pntadm) .............................................. 405 Eliminacin de direcciones IP del servicio DHCP ................................................................. 406 Cmo marcar direcciones IP como inutilizables para el servicio DHCP ............................ 406 Cmo marcar direcciones IP como no utilizables (Administrador de DHCP) .................. 406 Cmo marcar direcciones IP como inutilizables (pntadm) ................................................... 407 Eliminacin de direcciones IP del servicio DHCP ................................................................. 407 Cmo eliminar direcciones IP del servicio DHCP (Administrador de DHCP) ................. 408 Cmo eliminar direcciones IP del servicio DHCP (pntadm) ................................................ 409 Asignacin de una direccin IP reservada a un cliente DHCP ............................................. 409 Cmo asignar una direccin IP coherente a un cliente DHCP (Administrador de DHCP) ......................................................................................................................................... 410 Cmo asignar una direccin IP coherente a un cliente DHCP (pntadm) ............................ 411 Uso de macros DHCP (mapa de tareas) ......................................................................................... 412 Cmo visualizar las macros definidas en un servidor DHCP (Administrador de DHCP) 413 Cmo ver las macros definidas en un servidor DHCP (dhtadm) .......................................... 414 Modificacin de macros DHCP ............................................................................................... 414 Cmo cambiar los valores de las opciones en una macro DHCP (Administrador de DHCP) ......................................................................................................................................... 415 Cmo cambiar los valores de las opciones en una macro DHCP (dhtadm) ........................ 416 Cmo agregar opciones a una macro DHCP (Administrador de DHCP) .......................... 416 Cmo agregar opciones a una macro DHCP (dhtadm) ......................................................... 417 Como eliminar opciones de una macro DHCP (Administrador de DHCP) ...................... 418 Como eliminar opciones de una macro DHCP (dhtadm) ..................................................... 418 Creacin de macros DHCP ....................................................................................................... 419 Cmo crear una macro DHCP (Administrador de DHCP) ................................................. 419 Cmo crear una macro DHCP (dhtadm ) ............................................................................... 420 Eliminacin de macros DHCP ................................................................................................. 421 Cmo eliminar una macro DHCP (Administrador de DHCP) ........................................... 421 Cmo eliminar una macro DHCP (dhtadm ) ......................................................................... 422 Uso de opciones DHCP (mapa de tareas) ....................................................................................... 422
14 Gua de administracin del sistema: servicios IP Octubre de 2009
Contenido
Creacin de opciones DHCP .................................................................................................... 425 Cmo crear opciones DHCP (Administrador de DHCP) .................................................... 426 Cmo crear opciones DHCP (dhtadm ) .................................................................................. 427 Modificacin de opciones DHCP ............................................................................................. 428 Cmo modificar las propiedades de opciones DHCP (Administrador de DHCP) ........... 428 Cmo modificar las propiedades de opciones DHCP ( dhtadm) ......................................... 429 Eliminacin de opciones DHCP .............................................................................................. 430 Cmo eliminar opciones DHCP (Administrador de DHCP) .............................................. 430 Cmo eliminar opciones DHCP (dhtadm ) ............................................................................ 431 Modificacin de la informacin de opcin del cliente Solaris DHCP ................................. 431 Instalacin en red de Solaris con el servicio DHCP ....................................................................... 431 Arranque remoto y clientes de arranque sin disco (mapa de tareas) ........................................... 432 Configuracin de clientes DHCP slo para recibir informacin (mapa de tareas) ................... 434 Conversin a un nuevo almacn de datos DHCP .......................................................................... 434 Cmo convertir el almacn de datos DHCP (Administrador de DHCP) ........................... 436 Cmo convertir el almacn de datos DHCP (dhcpconfig -C) ........................................... 437 Transferencia de datos de configuracin entre servidores DHCP (mapa de tareas) ................. 437 Cmo exportar datos de un servidor DHCP (Administrador de DHCP) ........................... 440 Cmo exportar datos de un servidor DHCP (dhcpconfig -X) ............................................ 440 Cmo importar datos en un servidor DHCP (Administrador de DHCP) .......................... 442 Cmo importar datos en un servidor DHCP (dhcpconfig -I) ........................................... 442 Cmo modificar datos de DHCP importados (Administrador de DHCP) ........................ 443 Cmo modificar datos DHCP importados ( pntadm, dhtadm) ............................................ 444
16
Configuracin y administracin del cliente DHCP ....................................................................... 445 Acerca del cliente DHCP de Solaris ................................................................................................. 445 Servidor DHCPv6 ...................................................................................................................... 446 Diferencias entre DHCPv4 y DHCPv6 .................................................................................... 446 El modelo administrativo .......................................................................................................... 446 Detalles del protocolo ................................................................................................................ 448 Interfaces lgicas ........................................................................................................................ 448 Negociacin de opciones ........................................................................................................... 449 Sintaxis de configuracin .......................................................................................................... 449 Inicio de cliente DHCP .............................................................................................................. 450 Comunicacin con DHCPv6 .................................................................................................... 450
15
Contenido
Cmo gestionan los protocolos del cliente DHCP la informacin de configuracin de red ................................................................................................................................................ 451 Cierre del cliente DHCP ............................................................................................................ 453 Activacin y desactivacin de un cliente DHCP de Solaris .......................................................... 453 Cmo activar el cliente DHCP de Solaris ................................................................................ 453 Cmo desactivar un cliente DHCP de Solaris ........................................................................ 454 Administracin del cliente DHCP ................................................................................................... 455 Opciones del comando ifconfig que se utilizan con el cliente DHCP .............................. 455 Asignacin de los parmetros de configuracin del cliente DHCP ..................................... 456 Sistemas cliente DHCP con varias interfaces de red ..................................................................... 457 Nombres de host de cliente DHCPv4 .............................................................................................. 458 Cmo activar un cliente DHCPv4 de Solaris para que solicite un nombre de host especfico ..................................................................................................................................... 459 Sistemas cliente DHCP y servicios de nombres ............................................................................. 459 Configuracin de clientes DHCP como clientes NIS+ .......................................................... 461 Secuencias de eventos de cliente DHCP ......................................................................................... 464
17
Solucin de problemas de DHCP (referencia) ............................................................................... 469 Solucin de problemas del servidor DHCP .................................................................................... 469 Problemas de NIS+ y el almacn de datos DHCP .................................................................. 469 Errores de asignacin de direccin IP en DHCP .................................................................... 473 Solucin de problemas de configuracin del cliente DHCP ........................................................ 475 Problemas de comunicacin con el servidor DHCP .............................................................. 476 Problemas por informacin de configuracin DHCP incorrecta ........................................ 485 Problemas con el nombre de host proporcionado por el cliente DHCP ............................. 486
18
Comandos y archivos DHCP (referencia) ....................................................................................... 489 Comandos DHCP ............................................................................................................................. 489 Ejecucin de comandos DHCP en secuencias ........................................................................ 490 Archivos que utiliza el servicio DHCP ............................................................................................ 497 Informacin de opciones DHCP ..................................................................................................... 499 Cmo determinar si su sitio se ve afectado ............................................................................. 499 Diferencias entre los archivos dhcptags y inittab ............................................................... 500 Conversin de entradas de dhcptags en entradas de inittab ............................................. 501
16
Contenido
Parte IV
Seguridad IP .......................................................................................................................................503
19
Arquitectura de seguridad IP (descripcin general) ................................................................... 505 Novedades de IPsec ........................................................................................................................... 505 Introduccin a IPsec .......................................................................................................................... 507 RFC IPsec .................................................................................................................................... 508 Terminologa de IPsec ............................................................................................................... 508 Flujo de paquetes IPsec ..................................................................................................................... 509 Asociaciones de seguridad IPsec ...................................................................................................... 512 Administracin de claves en IPsec ........................................................................................... 512 Mecanismos de proteccin de IPsec ................................................................................................ 513 Encabezado de autenticacin ................................................................................................... 514 Carga de seguridad encapsuladora .......................................................................................... 514 Algoritmos de autenticacin y cifrado en IPsec ..................................................................... 515 Directivas de proteccin IPsec ......................................................................................................... 517 Modos de transporte y tnel en IPsec .............................................................................................. 517 Redes privadas virtuales e IPsec ....................................................................................................... 519 Paso a travs de IPsec y NAT ............................................................................................................ 520 IPsec y SCTP ....................................................................................................................................... 521 IPsec y Zonas de Solaris .................................................................................................................... 522 IPsec y dominios lgicos ................................................................................................................... 522 Archivos y utilidades IPsec ............................................................................................................... 522 Cambios en IPsec para la versin Solaris 10 ................................................................................... 524
20
Configuracin de IPsec (tareas) .......................................................................................................527 Proteccin del trfico con IPsec (mapa de tareas) ......................................................................... 527 Proteccin del trfico con IPsec ....................................................................................................... 528 Cmo proteger el trfico entre dos sistemas con IPsec .......................................................... 529 Cmo utilizar IPsec para proteger un servidor web del trfico que no procede de Internet ........................................................................................................................................ 533 Cmo visualizar las directivas de IPsec ................................................................................... 537 Cmo generar nmeros aleatorios en un sistema Solaris ..................................................... 537 Cmo crear manualmente asociaciones de seguridad IPsec ................................................ 539 Cmo verificar que los paquetes estn protegidos con IPsec ................................................ 544 Cmo configurar una funcin para la seguridad de la red .................................................... 545
17
Contenido
Cmo administrar servicios de IPsec e IKE ............................................................................ 547 Proteccin de una VPN con IPsec ................................................................................................... 549 Ejemplos de proteccin de una VPN con IPsec mediante el uso de tneles en modo tnel ............................................................................................................................................. 549 Proteccin de una VPN con IPsec (mapa de tareas) ...................................................................... 551 Descripcin de la topologa de red para la proteccin de una VPN por parte de las tareas de IPsec ............................................................................................................................................. 552 Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 ..................... 554 Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv6 ..................... 564 Cmo proteger una VPN con un tnel IPsec en modo transporte mediante IPv4 ............ 570 Cmo proteger una VPN con un tnel IPsec en modo transporte mediante IPv6 ............ 577 Cmo evitar la falsificacin de la IP ......................................................................................... 583
21
Arquitectura de seguridad IP (referencia) .................................................................................... 587 Utilidad de gestin de servicios de IPsec ......................................................................................... 587 Comando ipsecconf ........................................................................................................................ 588 Archivo ipsecinit.conf ................................................................................................................. 589 Archivo ipsecinit.conf de ejemplo ...................................................................................... 589 Consideraciones de seguridad para ipsecinit.conf e ipsecconf .................................... 590 Comando ipsecalgs ........................................................................................................................ 590 Base de datos de asociaciones de seguridad para IPsec ................................................................. 591 Utilidades para la generacin de claves en IPsec ............................................................................ 591 Consideraciones de seguridad para ipseckey ....................................................................... 592 Extensiones IPsec para otras utilidades .......................................................................................... 593 Comando ifconfig e IPsec ...................................................................................................... 593 Comando snoop e IPsec ............................................................................................................ 594
22
Intercambio de claves de Internet (descripcin general) ........................................................... 597 Novedades de IKE ............................................................................................................................. 597 Administracin de claves con IKE ................................................................................................... 598 Negociacin de claves IKE ................................................................................................................ 598 Terminologa de claves IKE ...................................................................................................... 598 Intercambio de IKE de fase 1 .................................................................................................... 599 Intercambio de IKE de fase 2 .................................................................................................... 600 Opciones de configuracin de IKE .................................................................................................. 600
18
Contenido
IKE con claves previamente compartidas ............................................................................... 600 IKE con certificados de claves pblicas ................................................................................... 601 IKE y aceleracin de hardware ......................................................................................................... 602 IKE y almacenamiento de hardware ............................................................................................... 602 Archivos y utilidades IKE ................................................................................................................. 602 Cambios de IKE en Solaris 10 .......................................................................................................... 604
23
Configuracin de IKE (tareas) ..........................................................................................................605 Configuracin de IKE (mapa de tareas) .......................................................................................... 605 Configuracin de IKE con claves previamente compartidas (mapa de tareas) .......................... 606 Configuracin de IKE con claves previamente compartidas ....................................................... 607 Cmo configurar IKE con claves previamente compartidas ................................................ 607 Cmo actualizar las claves IKE previamente compartidas ................................................... 610 Cmo ver las claves IKE previamente compartidas ............................................................... 612 Cmo agregar una clave IKE previamente compartida para una nueva entrada de directiva en ipsecinit.conf ................................................................................................................... 613 Verificacin de que las claves IKE previamente compartidas sean idnticas ..................... 617 Configuracin de IKE con certificados de clave pblica (mapa de tareas) ................................. 618 Configuracin de IKE con certificados de clave pblica ............................................................... 619 Cmo configurar IKE con certificados de clave pblica autofirmados ............................... 619 Cmo configurar IKE con certificados firmados por una autoridad de certificacin ....... 626 Cmo generar y almacenar certificados de clave pblica en el hardware ........................... 631 Cmo administrar una lista de revocacin de certificados ................................................... 635 Configuracin de IKE para sistemas porttiles (mapa de tareas) ................................................ 638 Configuracin de IKE para sistemas porttiles .............................................................................. 638 Cmo configurar IKE para sistemas remotos ......................................................................... 638 Configuracin de IKE para buscar el hardware conectado (mapa de tareas) ............................. 646 Configuracin de IKE para buscar el hardware conectado .......................................................... 647 Cmo configurar IKE para buscar la placa de Sun Crypto Accelerator 1000 ..................... 647 Cmo configurar IKE para buscar la placa de Sun Crypto Accelerator 4000 ..................... 648 Cambio de los parmetros de transmisin de IKE (mapa de tareas) ........................................... 650 Cambio de los parmetros de transmisin de IKE ........................................................................ 650 Cmo cambiar la duracin de la negociacin de claves IKE de fase 1 ................................. 650
19
Contenido
24
Intercambio de claves de Internet (referencia) ............................................................................ 653 Utilidad de gestin de servicios de IKE ........................................................................................... 653 Daemon IKE ...................................................................................................................................... 654 Archivo de directiva IKE .................................................................................................................. 654 Comando de administracin de IKE ............................................................................................... 655 Archivos de claves IKE previamente compartidas ........................................................................ 656 Comandos y bases de datos de claves pblicas IKE ....................................................................... 656 Comando ikecert tokens ...................................................................................................... 657 Comando ikecert certlocal ................................................................................................ 657 Comando ikecert certdb ...................................................................................................... 658 Comando ikecert certrldb .................................................................................................. 659 Directorio /etc/inet/ike/publickeys ............................................................................... 659 Directorio /etc/inet/secret/ike.privatekeys .............................................................. 659 Directorio /etc/inet/ike/crls ............................................................................................ 660
25
Filtro IP de Solaris (descripcin general) ....................................................................................... 661 Novedades del filtro IP de Solaris .................................................................................................... 661 Enlaces de filtros de paquetes ................................................................................................... 661 Filtros de paquetes IPv6 para el filtro IP de Solaris ................................................................ 662 Introduccin al filtro IP de Solaris ................................................................................................... 662 Fuentes de informacin para el filtro IP de cdigo abierto ................................................... 663 Procesamiento de paquetes del filtro IP de Solaris ........................................................................ 663 Directrices para utilizar el filtro IP de Solaris ................................................................................. 666 Uso de los archivos de configuracin del filtro IP de Solaris ........................................................ 666 Conjuntos de reglas del filtro IP de Solaris ..................................................................................... 667 Uso de la funcin de filtros de paquetes del filtro IP de Solaris ............................................ 667 Uso de la funcin NAT del filtro IP de Solaris ........................................................................ 670 Uso de la funcin de agrupaciones de direcciones del filtro IP de Solaris ........................... 671 Enlaces de filtros de paquetes ........................................................................................................... 673 El filtro IP de Solaris y el mdulo pfil STREAMS ........................................................................ 673 IPv6 para el filtro IP de Solaris ......................................................................................................... 674 Pginas del comando man del filtro IP de Solaris .......................................................................... 675
26
Filtro IP de Solaris (tareas) ............................................................................................................... 677 Configuracin del filtro IP de Solaris .............................................................................................. 677
Gua de administracin del sistema: servicios IP Octubre de 2009
20
Contenido
Cmo activar el filtro IP de Solaris ........................................................................................... 678 Cmo volver a activar el filtro IP de Solaris ............................................................................ 679 Cmo activar los filtros en bucle .............................................................................................. 680 Cmo desactivar el filtro IP de Solaris ............................................................................................ 681 Cmo desactivar los filtros de paquetes .................................................................................. 682 Cmo desactivar NAT ............................................................................................................... 683 Cmo desactivar los filtros de paquetes .................................................................................. 683 Mdulo pfil ...................................................................................................................................... 684 Cmo activar el filtro IP de Solaris en versiones anteriores de Solaris 10 ........................... 684 Cmo activar una NIC para los filtros de paquetes ................................................................ 687 Cmo desactivar el filtro IP de Solaris en una NIC ................................................................ 689 Cmo visualizar las estadsticas de pfil para el filtro IP de Solaris ..................................... 690 Conjuntos de reglas del filtro IP de Solaris ..................................................................................... 691 Administracin de conjuntos de reglas de filtros de paquetes para el filtro IP de Solaris .. 693 Administracin de reglas NAT para el filtro IP de Solaris ..................................................... 700 Administracin de agrupaciones de direcciones para el filtro IP de Solaris ....................... 702 Cmo visualizar las estadsticas e informacin sobre el filtro IP de Solaris ................................ 704 Cmo ver las tablas de estado para el filtro IP de Solaris ....................................................... 704 Cmo visualizar las estadsticas de estado para el filtro IP de Solaris .................................. 705 Cmo visualizar las estadsticas de NAT para el filtro IP de Solaris ..................................... 706 Cmo visualizar las estadsticas de la agrupacin de direcciones para el filtro IP de Solaris .......................................................................................................................................... 707 Archivos de registro para el filtro IP de Solaris .............................................................................. 707 Cmo configurar un archivo de registro para el filtro IP de Solaris ..................................... 708 Cmo visualizar los archivos de registro del filtro IP de Solaris ........................................... 709 Cmo vaciar el archivo de registro de paquetes ..................................................................... 710 Cmo guardar paquetes registrados en un archivo ............................................................... 711 Creacin y edicin de archivos de configuracin del filtro IP de Solaris .................................... 712 Cmo crear un archivo de configuracin para el filtro IP de Solaris ................................... 712 Ejemplos de archivos de configuracin del filtro IP de Solaris ............................................. 713
Parte V
IP mvil ................................................................................................................................................719
27
IP para mviles (Descripcin general) ........................................................................................... 721 Novedades de IP para mviles ......................................................................................................... 721
21
Contenido
Introduccin a IP para mviles ........................................................................................................ 722 Entidades funcionales de IP para mviles ...................................................................................... 724 Funcionamiento de IP para mviles ................................................................................................ 724 Descubrimiento de agentes .............................................................................................................. 727 Anuncio de agente ..................................................................................................................... 727 Solciitud de agente ..................................................................................................................... 728 Direcciones de auxilio ....................................................................................................................... 728 IP para mviles con tnel inverso .................................................................................................... 729 Admisin limitada de direcciones privadas ............................................................................ 729 Registro de IP para mviles .............................................................................................................. 731 Identificador de acceso de red (NAI) ....................................................................................... 733 Autenticacin mediante mensaje de IP para mviles ............................................................ 733 Solicitud de registro del nodo mvil ........................................................................................ 733 Mensaje de respuesta de registro .............................................................................................. 734 Consideraciones del agente externo ........................................................................................ 734 Consideraciones del agente interno ......................................................................................... 734 Descubrimiento dinmico de agente interno ......................................................................... 735 Encaminamiento de datagramas entre nodos mviles ................................................................. 735 Mtodos de encapsulado ........................................................................................................... 735 Encaminamiento de datagramas de unidifusin ................................................................... 735 Datagramas de multidifusin ................................................................................................... 736 Encaminamiento de datagramas de multidifusin ................................................................ 736 Consideraciones de seguridad para IP para mviles ..................................................................... 737 Uso de IPsec con IP para mviles ............................................................................................. 738
28
Administracin de IP mvil (tareas) ............................................................................................... 739 Creacin del archivo de configuracin de IP mvil (mapa de tareas) ......................................... 740 Creacin del archivo de configuracin de IP mvil ...................................................................... 740 Cmo planificar para IP mvil ................................................................................................. 740 Creacin del archivo de configuracin de IP mvil ............................................................... 741 Cmo configurar la seccin General ....................................................................................... 742 Cmo configurar la seccin Advertisements ........................................................................ 742 Cmo configurar la seccin GlobalSecurityParameters ................................................... 743 Cmo configurar la seccin Pool ............................................................................................. 743 Cmo configurar la seccin SPI ............................................................................................... 743
22
Contenido
Cmo configurar la seccin Address ....................................................................................... 744 Modificacin del archivo de configuracin de IP mvil (mapa de tareas) ................................. 745 Modificacin del archivo de configuracin de IP mvil ............................................................... 746 Cmo modificar la seccin General ........................................................................................ 746 Cmo modificar la seccin Advertisements ......................................................................... 747 Cmo modificar la seccin GlobalSecurityParameters .................................................... 747 Cmo modificar la seccin Pool .............................................................................................. 748 Cmo modificar la seccin SPI ................................................................................................ 748 Cmo modificar la seccin Address ........................................................................................ 749 Cmo agregar o eliminar parmetros del archivo de configuracin ................................... 750 Cmo mostrar los valores actuales de los parmetros del archivo de configuracin ......... 751 Presentacin del estado del agente de movilidad ........................................................................... 753 Cmo mostrar el estado del agente de movilidad .................................................................. 753 Presentacin de las rutas de movilidad de un agente externo ...................................................... 754 Cmo mostrar las rutas de movilidad de un agente externo ................................................. 755
29
Archivos y comandos de IP para mviles (referencia) ................................................................. 757 Descripcin general de la implementacin de IP para mviles en Solaris .................................. 757 Archivo de configuracin de IP para mviles ................................................................................ 758 Formato del archivo de configuracin .................................................................................... 759 Ejemplos de archivos de configuracin ................................................................................... 759 Secciones y etiquetas del archivo de configuracin ............................................................... 763 Configuracin del agente de movilidad IP ..................................................................................... 772 Estado de un agente de movilidad de IP para mviles .................................................................. 773 Informacin de estado de IP para mviles ..................................................................................... 774 Extensiones de netstat para IP para mviles ............................................................................... 774 Extensiones snoop de IP para mviles ............................................................................................ 775
Parte VI
IPMP .....................................................................................................................................................777
30
Introduccin a IPMP (descripcin general) ................................................................................... 779 Por qu debe utilizar IPMP .............................................................................................................. 779 Componentes IPMP de Solaris ................................................................................................ 780 Terminologa y conceptos de IPMP ........................................................................................ 781
23
Contenido
Requisitos bsicos de IPMP .............................................................................................................. 783 Direcciones IPMP ............................................................................................................................. 784 Direcciones de datos .................................................................................................................. 784 Direcciones de prueba ............................................................................................................... 784 Cmo evitar que las aplicaciones utilicen direcciones de prueba ........................................ 786 Configuraciones de interfaces IPMP ............................................................................................... 786 Interfaces de reserva en un grupo IPMP ................................................................................. 787 Configuraciones comunes de interfaces IPMP ...................................................................... 787 Funciones de deteccin de fallos IPMP y recuperacin ................................................................ 788 Deteccin de fallos basada en vnculos .................................................................................... 788 Deteccin de fallos basada en sondeos .................................................................................... 789 Fallos de grupo ........................................................................................................................... 790 Deteccin de reparaciones de interfaces fsicas ...................................................................... 790 Qu ocurre durante la conmutacin por error de la interfaz ................................................ 791 IPMP y reconfiguracin dinmica .................................................................................................. 792 Conexin de NIC ....................................................................................................................... 793 Desconexin de NIC .................................................................................................................. 794 Reconexin de NIC .................................................................................................................... 794 NIC que no estaban presentes durante el arranque del sistema ........................................... 795
31
Administracin de IPMP (tareas) ....................................................................................................797 Configuracin de IPMP (mapas de tareas) ..................................................................................... 797 Configuracin y administracin de grupos IPMP (mapa de tareas) ................................... 797 Administracin de IPMP en interfaces que admiten reconfiguracin dinmica (mapa de tareas) .......................................................................................................................................... 798 Configuracin de grupos IPMP ....................................................................................................... 799 Planificacin de un grupo IPMP .............................................................................................. 799 Configuracin de grupos IPMP ............................................................................................... 801 Configuracin de grupos IPMP con una nica interfaz fsica .............................................. 810 Mantenimiento de grupos IPMP ..................................................................................................... 811 Cmo mostrar la pertenencia de una interfaz a un grupo IPMP ......................................... 811 Cmo agregar una interfaz a un grupo IPMP ......................................................................... 812 Cmo eliminar una interfaz de un grupo IPMP ..................................................................... 813 Cmo mover una interfaz de un grupo IPMP a otro grupo .................................................. 814 Sustitucin de una interfaz fsica fallida en sistemas que admiten reconfiguracin dinmica 814
24
Contenido
Cmo eliminar una interfaz fsica que ha fallado (desconexin en DR) ............................. 815 Como sustituir una interfaz fsica que ha fallado (conexin en DR) ................................... 816 Recuperacin de una interfaz fsica que no estaba presente durante el arranque del sistema .. 816 Cmo recuperar una interfaz fsica que no est presente al arrancar el sistema ................ 817 Modificacin de configuraciones IPMP ......................................................................................... 819 Cmo configurar el archivo /etc/default/mpathd ............................................................. 819
Parte VII
32
Introduccin a IPQoS (Descripcin general) ................................................................................. 823 Conceptos bsicos de IPQoS ............................................................................................................ 823 Qu son los servicios diferenciados? ...................................................................................... 823 Funciones de IPQoS ................................................................................................................... 824 Dnde obtener ms informacin sobre la teora y prctica de la calidad del serivicio ...... 824 Proporcionar calidad de servicio con IPQoS ................................................................................. 826 Utilizacin de acuerdos de nivel de servicio ........................................................................... 826 Garantizar la calidad de servicio para una organizacin especfica ..................................... 826 Introduccin a la directiva de calidad de servicio .................................................................. 826 Mejorar la eficacia de la red con IPQoS ........................................................................................... 827 Cmo afecta el ancho de banda al trfico de red .................................................................... 827 Utilizacin de clases de servicio para priorizar el trfico ....................................................... 828 Modelo de servicios diferenciados .................................................................................................. 829 Descripcin general del clasificador (ipgpc) ......................................................................... 829 Descripcin general de medidor (tokenmt y tswtclmt) ...................................................... 830 Descripcin general de marcadores (dscpmk y dlcosmk) ...................................................... 831 Descripcin general del control de flujo (flowacct) ............................................................. 831 Cmo fluye el trfico a travs de los mdulso IPQoS ............................................................ 832 Reenvo del trfico en una red con IPQoS ...................................................................................... 834 Punto de cdigo DS ................................................................................................................... 834 Comportamientos por salto ...................................................................................................... 834
33
Planificacin para una red con IPQoS (Tareas) ............................................................................. 839 Planificacin de configuracin IPQoS general (Mapa de tareas) ................................................ 839 Planificacin de la distribucin de la red Diffserv ......................................................................... 840
25
Contenido
Estrategias de hardware para la red Diffserv ........................................................................... 840 Distribuciones de red IPQoS .................................................................................................... 841 Planificacin de la directiva de calidad de servicio ........................................................................ 843 Ayudas para planificar la directiva QoS ................................................................................... 843 Planificacin de la directiva QoS (Mapa de tareas) ................................................................ 844 Cmo preparar una red para IPQoS ........................................................................................ 845 Cmo definir las clases de la directiva QoS ............................................................................. 846 Definir filtros .............................................................................................................................. 848 Cmo definir filtros en la directiva QoS .................................................................................. 849 Cmo planificar el control de flujo .......................................................................................... 850 Cmo planificar el comportamiento de reenvo .................................................................... 853 Cmo planificar la recopilacin de datos de flujo .................................................................. 855 Introduccin al ejemplo de configuracin IPQoS ......................................................................... 856 Distribucin IPQoS ................................................................................................................... 856
34
Creacin del archivo de configuracin IPQoS (Tareas) ................................................................ 859 Definicin de una directiva QoS en el archivo de configuracin IPQoS (Mapa de tarea) ........ 859 Herramientas para crear una directiva QoS ................................................................................... 861 Archivo de configuracin IPQoS bsico ................................................................................. 861 Crear archivos de configuracin IPQoS para servidores web ...................................................... 862 Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico .................... 864 Cmo definir filtros en el archivo de configuracin IPQoS .................................................. 867 Cmo definir el reenvo de trfico en el archivo de configuracin IPQoS .......................... 868 Cmo activar el control para una clase en el archivo de configuracin IPQoS .................. 871 Cmo crear un archivo de configuracin IPQoS para un servidor Web "Best-Effort" ..... 873 Crear un archivo de configuracin IPQoS para un servidor de aplicaciones ............................. 876 Cmo definir el archivo de configuracin IPQoS para un servidor de aplicaciones ......... 878 Cmo configurar el reenvo para el trfico de aplicaciones en el archivo de configuracin IPQoS .......................................................................................................................................... 881 Cmo configurar el control de flujo en el archivo de configuracin IPQoS ....................... 883 Proporcionar servicios diferenciados en un encaminador ........................................................... 886 Cmo configurar un encaminador en una red con IPQoS ................................................... 887
35
Inicio y mantenimiento de IPQoS (Tareas) .................................................................................... 889 Administracin IPQoS (Mapa de tareas) ....................................................................................... 889
Gua de administracin del sistema: servicios IP Octubre de 2009
26
Contenido
Aplicacin de una configuracin IPQoS ......................................................................................... 890 Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS ............................ 890 Cmo garantizar que la configuracin IPQoS se aplica cada vez que se reinicia ............... 891 Activacin del registro syslog para mensajes IPQoS ................................................................... 891 Cmo activar el registro de mensajes IPQoS durante el inicio ............................................. 891 Resolucin de problemas con mensajes de error IPQoS .............................................................. 892
36
Uso de control de flujo y recopilacin de estadsticas (Tareas) ..................................................897 Establecimiento del control de flujo (Mapa de tareas) .................................................................. 897 Registro de informacin sobre flujos de trfico ............................................................................. 897 Cmo crear un archivo para datos de control de flujo ........................................................... 898 Recopilacin de estadsticas ............................................................................................................. 900
37
IPQoS detallado (Referencia) ..........................................................................................................903 Arquitectura IPQoS y el modelo Diffserv ....................................................................................... 903 Mdulo Classifier ....................................................................................................................... 903 Mdulo Meter ............................................................................................................................. 906 Mdulo marcador ...................................................................................................................... 909 Mdulo flowacct ...................................................................................................................... 913 Archivo de configuracin IPQoS ..................................................................................................... 916 Instruccin action .................................................................................................................... 917 Definiciones de mdulo ............................................................................................................ 918 Clusula class ........................................................................................................................... 919 Clusula filter ......................................................................................................................... 919 Clusula params ......................................................................................................................... 920 Herramienta de configuracin ipqosconf ..................................................................................... 920
27
28
Prefacio
La Gua de administracin del sistema: servicios IP forma parte de un conjunto de nueve volmenes que tratan de manera exhaustiva la administracin de sistemas Solaris. TM El presente manual da por supuesto que est instalado el sistema operativo Solaris 10. La red debe estar configurada o preparada para poder integrar cualquier software de red que se necesite. El sistema operativo Solaris 10 pertenece a la gama de productos de Solaris, en la que tambin se encuentra CDE (Common Desktop Environment). El sistema operativo Solaris es compatible con el sistema operativo System V, versin 4 de AT&T.
Nota Esta versin de SolarisTM es compatible con sistemas que usen arquitecturas de las familias
de procesadores SPARC y x86. Los sistemas compatibles aparecen en Solaris OS: Hardware Compatibility Lists (Http://www.sun.com/bigadmin/hcl). Este documento indica las diferencias de implementacin entre los tipos de plataforma. En este documento, estos trminos relacionados con x86 significan lo siguiente:
x86 hace referencia a la familia ms grande de productos compatibles con 64 y 32 bits. "x64" hace referencia especficamente a CPU compatibles x86 de 64 bits. x86 de 32 bits destaca informacin especfica de 32 bits acerca de sistemas basados en x86.
Para conocer cules son los sistemas admitidos, consulte las Listas de compatibilidad del sistema operativo Solaris.
29
Prefacio
Grupos y cuentas de usuario, asistencia para clientes y servidores, cierre y arranque de un sistema, administracin de servicios y administracin de software (paquetes y parches) Terminales y mdems, recursos del sistema (cuotas de disco, cuentas y archivos crontab), procesos del sistema y resolucin de problemas de software de Solaris Soportes extrables, discos y dispositivos, sistemas de archivos y copia de seguridad y restauracin de datos Administracin de redes TCP/IP, administracin de direcciones IPv4 e IPv6, DHCP, IPsec, IKE, filtro IP de Solaris, IP para mviles, multirruta IP de Solaris (IPMP) e IPQoS Servicios de directorios y nombres DNS, NIS y LDAP, incluida la transicin de NIS a LDAP y de NIS+ a LDAP Servicios de directorios y nombres NIS+ Servidores de cach Web, servicios relacionados con el tiempo, sistemas de archivos de red (NFS y Autofs), correo, SLP y PPP Auditora, administracin de dispositivos, seguridad de archivos, BART, servicios Kerberos, PAM, estructura criptogrfica de Solaris, privilegios, RBAC, SASL y Solaris Secure Shell Tareas y proyectos de temas de administracin de recursos, contabilidad extendida, controles de recursos, planificacin por reparto equitativo (FSS), control de memoria fsica utilizando el daemon de limitacin de recursos (rcapd) y agrupaciones de recursos; virtualizacin con la tecnologa de particin de software Zonas de Solaris y zonas con la marca lx Creacin y administracin de sistemas de archivos y agrupaciones de almacenamiento ZFS, instantneas, clones, copias de seguridad, uso de listas de control de acceso (ACL) para proteger archivos ZFS, uso de Solaris ZFS en un sistema Solaris con zonas instaladas, volmenes emulados y resolucin de problemas y recuperacin de datos Administracin de sistemas especfica de un sistema Solaris Trusted Extensions
System Administration Guide: Devices and File Systems Gua de administracin del sistema: servicios IP
System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) System Administration Guide: Naming and Directory Services (NIS+) System Administration Guide: Network Services System Administration Guide: Security Services
30
Prefacio
Ttulo de manual
Temas
A partir de la versin Solaris 10 5/08, se explica la forma de planificar, habilitar y configurar inicialmente Solaris Trusted Extensions Tareas y temas de impresin de Solaris, el uso de servicios, herramientas, protocolos y tecnologas para configurar y administrar las impresoras y los servicios de impresin
Manuales relacionados
En el presente manual se hace referencia a las siguientes obras.
Stevens, W. Richard. TCP/IP Illustrated, Volume 1, The Protocols. Addison Wesley, 1994. Hunt Craig.TCP/IP Network Administration, 3rd Edition. O'Reilly, 2002. Perkins, Charles E. Mobile IP Design Principles and Practices . Massachusetts, 1998, Addison-Wesley Publishing Company. Solomon, James D. Mobile IP: The Internet Unplugged. New Jersey, 1998, Prentice-Hall, Inc. Ferguson, Paul y Geoff Huston. Quality of Service. John Wiley & Sons, Inc., 1998. Kilkki, Kalevi. Differentiated Services for the Internet. Macmillan Technical Publishing, 1999.
El filtro IP de Solaris se deriva de software de filtro IP de cdigo abierto. Para consultar los trminos de la licencia y declaraciones de copyright de filtro IP, la ruta predeterminada es /usr/lib/ipf/IPFILTER.LICENCE. Si se ha instalado el sistema operativo Solaris en una ubicacin que no sea la predeterminada, modifique la ruta para acceder al archivo en la ubicacin correcta.
31
Prefacio
Convenciones tipogrficas
La siguiente tabla describe las convenciones tipogrficas utilizadas en este manual.
TABLA P1
Convenciones tipogrficas
Significado Ejemplo
Tipos de letra
AaBbCc123
Los nombres de los comandos, los archivos, los directorios y los resultados que el equipo muestra en pantalla.
Edite el archivo .login. Utilice el comando ls -a para mostrar todos los archivos. nombre_sistema% tiene correo.
AaBbCc123
Lo que se escribe, en contraposicin con la salida nombre_sistema% su del equipo en pantalla Contrasea: Marcador de posicin: sustituir por un valor o nombre real Ttulos de los manuales, trminos nuevos y palabras destacables El comando necesario para eliminar un archivo es rm nombrearchivo. Consulte el captulo 6 de la Gua del usuario. Una copia en cach es aquella que se almacena localmente. No guarde el archivo. Nota: algunos elementos destacados aparecen en negrita en lnea.
aabbcc123 AaBbCc123
32
Prefacio
Indicadores de shell
Indicador
Shell C Shell C para superusuario Shell Bourne y shell Korn Shell Bourne y shell Korn para superusuario
nombre_sistema% nombre_sistema# $ #
33
34
P A R T E
35
36
C A P T U L O
Este captulo introduce la implementacin en Solaris del conjunto de protocolos de red TCP/IP. Esta informacin se dirige a los administradores de sistemas y redes que no estn familiarizados con los conceptos bsicos de TCP/IP. En las dems secciones de esta gua se presupone que el usuario est familiarizado con estos conceptos. Este captulo contiene la informacin siguiente:
Introduccin al conjunto de protocolos TCP/IP en la pgina 37 Cmo manejan las comunicaciones de datos los protocolos TCP/IP en la pgina 45 Informacin adicional sobre TCP/IP e Internet en la pgina 49
Si los hosts de la red tienen que participar en el sistema de nombre de dominio (DNS), debe obtener y registrar un nombre de dominio nico. InterNIC coordina el registro de nombres de dominio a travs de un grupo de registros mundiales. Para obtener ms informacin acerca de DNS, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .
7 6 5 4
Se compone de los servicios y aplicaciones de comunicacin estndar que puede utilizar todo el mundo. Se asegura de que la informacin se transfiera al sistema receptor de un modo comprensible para el sistema. Administra las conexiones y terminaciones entre los sistemas que cooperan. Administra la transferencia de datos. Asimismo, garantiza que los datos recibidos sean idnticos a los transmitidos.
38
TABLA 11 N de capa
(Continuacin)
3 2 1
Administra las direcciones de datos y la transferencia entre redes. Administra la transferencia de datos en el medio de red. Define las caractersticas del hardware de red.
El modelo de referencia OSI define las operaciones conceptuales que no son exclusivas de un conjunto de protocolos de red particular. Por ejemplo, el conjunto de protocolos de red OSI implementa las siete capas del modelo OSI. TCP/IP utiliza algunas de las capas del modelo OSI. TCP/IP tambin combina otras capas. Otros protocolos de red, como SNA, agregan una octava capa.
5,6,7
Aplicacin
NFS, NIS, DNS, LDAP, telnet, ftp, rlogin, rsh, rcp, RIP, RDISC, SNMP y otros. TCP, UDP, SCTP IPv4, IPv6, ARP, ICMP PPP, IEEE 802.2 Ethernet (IEEE 802.3), Token Ring, RS-232, FDDI y otros.
4 3 2 1
La tabla muestra las capas de protocolo TCP/IP y los equivalentes del modelo OSI. Tambin se muestran ejemplos de los protocolos disponibles en cada nivel de la pila del protocolo TCP/IP. Cada sistema que participa en una transaccin de comunicacin ejecuta una nica implementacin de la pila del protocolo.
Captulo 1 Conjunto de protocolos TCP/IP de Solaris (descripcin general) 39
Capa de Internet
La capa de Internet, tambin conocida como capa de red o capa IP, acepta y transfiere paquetes para la red. Esta capa incluye el potente Protocolo de Internet (IP), el protocolo de resolucin de direcciones (ARP) y el protocolo de mensajes de control de Internet (ICMP).
Protocolo IP
El protocolo IP y sus protocolos de encaminamiento asociados son posiblemente la parte ms significativa del conjunto TCP/IP. El protocolo IP se encarga de:
Direcciones IP: Las convenciones de direcciones IP forman parte del protocolo IP. Cmo disear un esquema de direcciones IPv4 en la pgina 58 introduce las direcciones IPv4 y Descripcin general de las direcciones IPv6 en la pgina 76 las direcciones IPv6. Comunicaciones de host a host: El protocolo IP determina la ruta que debe utilizar un paquete, basndose en la direccin IP del sistema receptor. Formato de paquetes: el protocolo IP agrupa paquetes en unidades conocidas como datagramas. Puede ver una descripcin completa de los datagramas en Capa de Internet: preparacin de los paquetes para la entrega en la pgina 47. Fragmentacin: Si un paquete es demasiado grande para su transmisin a travs del medio de red, el protocolo IP del sistema de envo divide el paquete en fragmentos de menor tamao. A continuacin, el protocolo IP del sistema receptor reconstruye los fragmentos y crea el paquete original.
El sistema operativo Solaris admite los formatos de direcciones IPv4 e IPv6, que se describen en este manual. Para evitar confusiones con el uso del Protocolo de Internet, se utiliza una de las convenciones siguientes:
Cuando se utiliza el trmino "IP" en una descripcin, sta se aplica tanto a IPv4 como a IPv6. Cuando se utiliza el trmino "IPv4" en una descripcin, sta slo se aplica a IPv4. Cuando se utiliza el trmino "IPv6" en una descripcin, sta slo se aplica a IPv6.
40
Protocolo ARP
El protocolo de resolucin de direcciones (ARP) se encuentra conceptualmente entre el vnculo de datos y las capas de Internet. ARP ayuda al protocolo IP a dirigir los datagramas al sistema receptor adecuado asignando direcciones Ethernet (de 48 bits de longitud) a direcciones IP conocidas (de 32 bits de longitud).
Protocolo ICMP
El protocolo de mensajes de control de Internet (ICMP) detecta y registra las condiciones de error de la red. ICMP registra:
Paquetes soltados: Paquetes que llegan demasiado rpido para poder procesarse. Fallo de conectividad: No se puede alcanzar un sistema de destino. Redireccin: Redirige un sistema de envo para utilizar otro encaminador.
El Captulo 8, Administracin de redes TCP/IP (tareas) contiene ms informacin sobre los comandos del sistema operativo Solaris que utilizan ICMP para la deteccin de errores.
Capa de transporte
La capa de transporte TCP/IP garantiza que los paquetes lleguen en secuencia y sin errores, al intercambiar la confirmacin de la recepcin de los datos y retransmitir los paquetes perdidos. Este tipo de comunicacin se conoce como transmisin de punto a punto. Los protocolos de capa de transporte de este nivel son el Protocolo de control de transmisin (TCP), el Protocolo de datagramas de usuario (UDP) y el Protocolo de transmisin para el control de flujo (SCTP). Los protocolos TCP y SCTP proporcionan un servicio completo y fiable. UDP proporciona un servicio de datagrama poco fiable.
Protocolo TCP
TCP permite a las aplicaciones comunicarse entre s como si estuvieran conectadas fsicamente. TCP enva los datos en un formato que se transmite carcter por carcter, en lugar de transmitirse por paquetes discretos. Esta transmisin consiste en lo siguiente:
Punto de partida, que abre la conexin. Transmisin completa en orden de bytes. Punto de fin, que cierra la conexin.
TCP conecta un encabezado a los datos transmitidos. Este encabezado contiene mltiples parmetros que ayudan a los procesos del sistema transmisor a conectarse a sus procesos correspondientes en el sistema receptor. TCP confirma que un paquete ha alcanzado su destino estableciendo una conexin de punto a punto entre los hosts de envo y recepcin. Por tanto, el protocolo TCP se considera un protocolo fiable orientado a la conexin.
Captulo 1 Conjunto de protocolos TCP/IP de Solaris (descripcin general) 41
Protocolo SCTP
SCTP es un protocolo de capa de transporte fiable orientado a la conexin que ofrece los mismos servicios a las aplicaciones que TCP. Adems, SCTP admite conexiones entre sistema que tienen ms de una direccin, o de host mltiple. La conexin SCTP entre el sistema transmisor y receptor se denomina asociacin. Los datos de la asociacin se organizan en bloques. Dado que el protocolo SCTP admite varios hosts, determinadas aplicaciones, en especial las que se utilizan en el sector de las telecomunicaciones, necesitan ejecutar SCTP en lugar de TCP.
Protocolo UDP
UDP proporciona un servicio de entrega de datagramas. UDP no verifica las conexiones entre los hosts transmisores y receptores. Dado que el protocolo UDP elimina los procesos de establecimiento y verificacin de las conexiones, resulta ideal para las aplicaciones que envan pequeas cantidades de datos.
Capa de aplicacin
La capa de aplicacin define las aplicaciones de red y los servicios de Internet estndar que puede utilizar un usuario. Estos servicios utilizan la capa de transporte para enviar y recibir datos. Existen varios protocolos de capa de aplicacin. En la lista siguiente se incluyen ejemplos de protocolos de capa de aplicacin:
Servicios TCP/IP estndar como los comandos ftp, tftp y telnet. Comandos UNIX "r", como rlogin o rsh. Servicios de nombres, como NIS o el sistema de nombre de dominio (DNS). Servicios de directorio (LDAP). Servicios de archivos, como el servicio NFS. Protocolo simple de administracin de red (SNMP), que permite administrar la red. Protocolo RDISC (Router Discovery Server) y protocolos RIP (Routing Information Protocol).
FTP y FTP annimo: El Protocolo de transferencia de archivos (FTP) transfiere archivos a una red remota y desde ella. El protocolo incluye el comando ftp y el daemon in.ftpd. FTP permite a un usuario especificar el nombre del host remoto y las opciones de comandos de transferencia de archivos en la lnea de comandos del host local. El daemon in.ftpd del host remoto administra las solicitudes del host local. A diferencia de rcp, ftp funciona aunque el equipo remoto no ejecute un sistema operativo basado en UNIX. Para realizar una conexin ftp, el usuario debe iniciar sesin en un sistema remoto, aunque ste se haya configurado para permitir FTP annimo.
42
Puede obtener una gran cantidad de material de servidores FTP annimos conectados a Internet. Las universidades y otras instituciones configuran estos servidores para ofrecer software, trabajos de investigacin y otra informacin al dominio pblico. Al iniciar sesin en este tipo de servidor, se utiliza el nombre de inicio de sesin anonymous, que da nombre al "servidor FTP annimo" Este manual no describe el uso del FTP annimo ni la configuracin de servidores FTP annimos. Existen mltiples libros, como Conctate al mundo de Internet. Gua y catlogo, que describen el protocolo FTP annimo de manera pormenorizada. Encontrar informacin sobre el uso de FTP en la System Administration Guide: Network Services. La pgina del comando man ftp(1) describe todas las opciones del comando ftp que se invocan mediante el intrprete de comandos. La pgina del comando man ftpd(1M) describe los servicios que proporciona el daemon in.ftpd.
Telnet: El protocolo Telnet permite la comunicacin entre los terminales y los procesos orientados a los terminales de una red que ejecuta TCP/IP. Este protocolo se implementa como programa telnet en los sistemas locales y como daemon in.telnetd en los equipos remotos. Telnet proporciona una interfaz de usuario a travs de la cual se pueden comunicar dos hosts carcter por carcter o lnea por lnea. Telnet incluye un conjunto de comandos que se documentan de forma detallada en la pgina del comando man telnet(1). TFTP: el protocolo de transferencia de archivos trivial (tftp) ofrece funciones similares a ftp, pero no establece la conexin interactiva de ftp. Como consecuencia, los usuarios no pueden ver el contenido de un directorio ni cambiar directorios. Los usuarios deben conocer el nombre completo del archivo que se va a copiar. La pgina del comando man tftp(1) describe el conjunto de comandos tftp.
Encontrar instrucciones sobre estos comandos en las pginas del comando man rcp(1), rlogin(1) y rsh(1).
Servicios de nombres
El sistema operativo Solaris proporciona los siguientes servicios de nombres:
DNS: El sistema de nombre de dominio (DNS) es el servicio de nombres que proporciona Internet para las redes TCP/IP. DNS proporciona nombres de host al servicio de direcciones IP. Tambin acta como base de datos para la administracin del correo. Para ver una
43
descripcin completa de este servicio, consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP). Consulte tambin la pgina del comando man resolver(3RESOLV).
Archivos /etc : El sistema de nombres UNIX basado en host se desarroll para equipos UNIX autnomos y posteriormente se adapt para el uso en red. Muchos de los antiguos sistemas operativos y equipos UNIX siguen utilizando este sistema, pero no resulta adecuado para redes complejas de gran tamao. NIS: El Servicio de informacin de la red (NIS) se desarroll independientemente de DNS y tiene un enfoque ligeramente distinto. Mientras que DNS trata de facilitar la comunicacin con el uso de nombres de equipos en lugar de direcciones IP numricas, NIS se centra en facilitar la administracin de la red al proporcionar control centralizado sobre distintos tipos de informacin de red. NIS almacena informacin sobre los nombres de equipo y las direcciones, los usuarios, la red y los servicios de red. La informacin de espacio de nombres NIS se almacena en asignaciones NIS. Para obtener ms informacin sobre la arquitectura y administracin de NIS, consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Servicio de directorios
El sistema operativo Solaris admite LDAP (Protocolo ligero de acceso a directorios) junto con el servidor de directorios Sun ONE (Sun Open Net Environment), as como otros servidores de directorios LDAP. La diferencia entre un servicio de nombres y un servicio de directorios radica en la extensin de las funciones. Un servicio de directorios proporciona las mismas funciones que un servicio de nombres, pero adems cuenta con funciones adicionales. Consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Servicios de archivos
El protocolo de capa de aplicacin NFS proporciona servicios de archivos para el sistema operativo Solaris. Encontrar informacin completa sobre el servicio NFS en la System Administration Guide: Network Services.
Administracin de la red
El Protocolo simple de administracin de red (SNMP) permite ver la distribucin de la red y el estado de los equipos clave. SNMP tambin permite obtener estadsticas de red complejas del software basado en una interfaz grfica de usuario (GUI). Muchas compaas ofrecen paquetes de administracin de red que implementan SNMP.
Protocolos de encaminamiento
Los protocolos RIP y RDISC son dos protocolos de encaminamiento disponibles para las redes TCP/IP. Para ver una lista completa de los protocolos de encaminamiento disponibles para el sistema operativo Solaris 10, consulte la Tabla 51 y la Tabla 52.
44 Gua de administracin del sistema: servicios IP Octubre de 2009
45
Medio de red
FIGURA 11
Esta seccin resume el ciclo de vida de un paquete. El ciclo de vida empieza cuando se ejecuta un comando o se enva un mensaje, y finaliza cuando la aplicacin adecuada del sistema receptor recibe el paquete.
El protocolo de capa de transporte crea un flujo virtual de datos entre la aplicacin de envo y la de recepcin, que se identifica con un nmero de puerto de transporte. El nmero de puerto identifica un puerto, una ubicacin dedicada de la memoria par recibir o enviar datos. Adems, la capa de protocolo de transporte puede proporcionar otros servicios, como la entrega de datos ordenada y fiable. El resultado final depende de si la informacin se maneja con los protocolos TCP, SCTP o UDP.
Segmentacin TCP
TCP se denomina a menudo protocolo "orientado a la conexin" porque TCP garantiza la entrega correcta de los datos al host de recepcin. La Figura 11 muestra cmo el protocolo TCP recibe el flujo del comando rlogin. A continuacin, TCP divide los datos que se reciben de la capa de aplicacin en segmentos y adjunta un encabezado a cada segmento. Los encabezados de segmento contienen puertos de envo y recepcin, informacin de orden de los segmentos y un campo de datos conocido como suma de comprobacin. Los protocolos TCP de ambos hosts utilizan los datos de suma de comprobacin para determinar si los datos se transfieren sin errores.
Paquetes UDP
UDP es un protocolo "sin conexiones". A diferencia de TCP, UDP no comprueba los datos que llegan al host de recepcin. En lugar de ello, UDP da formato al mensaje que se recibe desde la capa de la aplicacin en los paquetes UDP. UDP adjunta un encabezado a cada paquete. El encabezado contiene los puertos de envo y recepcin, un campo con la longitud del paquete y una suma de comprobacin. El proceso UDP de envo intenta enviar el paquete a su proceso UDP equivalente en el host de recepcin. La capa de aplicacin determina si el proceso UDP de recepcin confirma la recepcin del paquete. UDP no requiere ninguna notificacin de la recepcin. UDP no utiliza el protocolo de tres vas.
asignndolos a unidades denominadas datagramas IP. A continuacin, el protocolo IP determina las direcciones IP para los datagramas, para que se puedan enviar de forma efectiva al host de recepcin.
Datagramas IP
IP adjunta un encabezado IP al segmento o el encabezado del paquete, adems de la informacin que agregan los protocolos TCP o UDP. La informacin del encabezado IP incluye las direcciones IP de los hosts de envo y recepcin, la longitud del datagrama y el orden de secuencia del datagrama. Esta informacin se facilita si el datagrama supera el tamao de bytes permitido para los paquetes de red y debe fragmentarse.
4. La capa de transporte (TCP, SCTP y UDP) lee el encabezado para determinar qu protocolo de capa de aplicacin debe recibir los datos. A continuacin, TCP, SCTP o UDP filtra el encabezado relacionado. TCP, SCTP o UDP enva el mensaje o el flujo a la aplicacin de recepcin. 5. La capa de aplicacin recibe el mensaje. A continuacin, la capa de aplicacin lleva a cabo la operacin que solicita el host de envo.
Craig Hunt. TCP/IP Network Administration: Este manual contiene algo de teora y mucha informacin prctica para la administracin de una red TCP/IP heterognea. W. Richard Stevens. TCP/IP Illustrated, Volume I: Este manual profundiza en los protocolos TCP/IP. Resulta ideal para los administradores de redes que requieren conocimientos tcnicos sobre TCP/IP y para los programadores de redes.
Sitio web
Descripcin
The Internet Engineering Task Force (IETF) web site (http://www.ietf.org/ home.html)
IETF es el organismo responsable de la arquitectura y el gobierno de Internet. La pgina web de IETF contiene informacin sobre las distintas actividades que lleva a cabo este organismo. Asimismo, incluye vnculos a las principales publicaciones del IETF. BigAdmin ofrece informacin sobre la administracin de equipos Sun. En esta pgina, encontrar preguntas frecuentes, recursos, foros,vnculos a documentacin y otros materiales relativos a la administracin del sistema operativo Solaris, incluidas las redes.
50
P A R T E
I I
Administracin de TCP/IP
Esta parte contiene tareas e informacin conceptual para poder configurar, administrar y resolver problemas de redes TCP/IP.
51
52
C A P T U L O
En este captulo se describen las cuestiones que debe resolver para poder crear una red de un modo organizado y rentable. Una vez resueltas estas cuestiones, puede establecer una planificacin de la red en la que se contemple la configuracin y administracin de la red en el futuro. Este captulo contiene la informacin siguiente:
Determinacin del hardware de red en la pgina 55 Cmo obtener el nmero de IP de la red en la pgina 58 Cmo decidir el formato de las direcciones IP para la red en la pgina 55 Entidades de denominacin en la red en la pgina 63 Planificacin de encaminadores en la red en la pgina 66
Para conocer las tareas necesarias para configurar una red, consulte el Captulo 5, Configuracin de servicios de red TCP/IP y direcciones IPv4 (tareas).
53
Determina los tipos de equipo que se necesitan y la distribucin de los equipos en el sitio.
Para ver cuestiones generales sobre la topologa de red, consulte Determinacin del hardware de red en la pgina 55. Para conocer la planificacin de la topologa de IPv6, consulte Preparacin de la topologa red para admitir IPv6 en la pgina 90. Para obtener informacin sobre un tipo de equipo especfico, consulte la documentacin del fabricante del equipo.
La red debe tener una direccin IP Consulte Cmo obtener el nica si tiene previsto comunicarse nmero de IP de la red fuera de su red local, por ejemplo, a en la pgina 58. travs de Internet. Consulte Cmo disear un esquema de direcciones IPv4 en la pgina 58 o Preparacin de un plan de direcciones IPv6 en la pgina 95. Consulte Bases de datos de red en la pgina 64. Consulte Seleccin de un servicio de nombres y de directorios en la pgina 64. Consulte Subdivisiones administrativas en la pgina 66. Consulte Planificacin de encaminadores en la red en la pgina 66.
3. Crear una planificacin de las Determine cuntas direcciones se direcciones IP para los sistemas, deben instalar en el sitio. basndose en su prefijo de red IPv4 o el prefijo de sitio IPv6. 4. Crear una lista que contenga las direcciones IP y los nombres de host de todos los equipos de la red. 5. Determinar qu servicio de nombres utilizar en la red. 6. Establecer subdivisiones administrativas, si la red lo requiere. 7. Determinar dnde colocar los encaminadores en el diseo de la red. Utilice la lista para crear bases de datos de red. Permite decidir si utilizar NIS, LDAP, DNS o las bases de datos de red en el directorio /etc local. Decida si el sitio precisa la divisin de la red en subdivisiones administrativas. Si la red es lo suficientemente grande como para requerir el uso de encaminadores, cree una topologa de red que los admita.
54
Tarea
Descripcin
Es posible que deba crear subredes para la administracin del espacio de direcciones IP o para que haya ms direcciones IP disponibles para los usuarios.
Para la planificacin de subredes IPv4, consulte Qu son las subredes? en la pgina 256. Para la planificacin de subredes IPv6, consulte Creacin de un esquema de numeracin para subredes en la pgina 95.
La topologa de red, el diseo y las conexiones del hardware de red El nmero de sistemas host que admite la red Los tipos de host que admite la red Los tipos de servidores que puede necesitar El tipo de medio de red que utilizar: Ethernet, Token Ring, FDDI, etc. Si necesita puentes o encaminadores que extiendan este medio o conecten la red local a redes externas Si algunos sistemas requieren interfaces adquiridas por separado adems de sus interfaces integradas
Teniendo en cuenta estos factores, puede determinar el tamao de la red de rea local.
Nota En este manual no se aborda el tema de la planificacin del hardware de red. Para obtener
El tipo de direccin IP que desea utilizar: IPv4 o IPv6 El nmero de sistemas potenciales de la red El nmero de sistemas que son encaminadores o sistemas de host mltiple, que requieren una direccin IP para cada interfaz Si se utilizarn direcciones privadas en la red Si habr un servidor DHCP que administre las agrupaciones de direcciones IPv4
El crecimiento mundial de Internet desde 1990 ha derivado en la escasez de direcciones IP disponibles. Para solucionar esta situacin, Internet Engineering Task Force (IETF) ha desarrollado una serie de alternativas a las direcciones IP. Los tipos de direcciones IP que se utilizan actualmente son: Si se ha asignado a su organizacin ms de una direccin IP para la red o si utiliza subredes, designe una autoridad centralizada en su organizacin para asignar las direcciones IP. Dicha autoridad debe controlar una agrupacin de direcciones IP de red asignadas, y asignar las direcciones de red, subred y host segn sea necesario. Para evitar problemas, asegrese de que no haya nmeros de red duplicados ni aleatorios en su organizacin.
Direcciones IPv4
Estas direcciones de 32 bits son el formato original de direcciones IP diseado para TCP/IP. Originalmente, existen tres clases de direcciones IP: A, B y C. El nmero de red que se asigna a una red refleja esta designacin de clase ms 8 o ms bits para representar un host. Las direcciones IPv4 basadas en clases requieren la configuracin de una mscara de red para el nmero de red. Asimismo, para que hayan ms direcciones disponibles para los sistemas de la red local, estas direcciones a menudo se dividen en subredes. Actualmente, se hace referencia a las direcciones IP como direcciones IPv4. Aunque los ISP ya no proporcionan nmeros de red IPv4 basados en clases, muchas redes existentes siguen tenindolos. Si desea ms informacin sobre la administracin de direcciones IPv4, consulte Cmo disear un esquema de direcciones IPv4 en la pgina 60.
Direcciones DHCP
El protocolo DHCP (Dynamic Host Configuration Protocol o protocolo dinmico de configuracin de host) permite a un sistema recibir informacin de configuracin de un servidor DHCP, incluida una direccin IP, como parte del proceso de arranque. Los servidores DHCP cuentan con agrupaciones de direcciones IP desde las que se asignan direcciones a los clientes DHCP. Un sitio que utilice DHCP puede utilizar una agrupacin de direcciones IP menor que la que se necesitara si todos los clientes tuvieran asignada una direccin IP permanente. Puede configurar el servicio DHCP de Solaris para administrar las direcciones IP del sitio, o parte de ellas. Para ms informacin, consulte el Captulo 12, Solaris DHCP (descripcin general).
Direcciones IPv6
IETF ha creado las direcciones IPv6 de 128 bits como solucin a largo plazo para la escasez de direcciones IPv4 disponibles. Las direcciones IPv6 proporcionan un espacio de direcciones mayor que el que hay disponible con las direcciones IPv4. El sistema operativo Solaris admite direcciones IPv4 e IPv6 en el mismo host, gracias al uso de la pila doble de TCP/IP. Al igual que las direcciones IPv4 en formato CIDR, las direcciones IPv6 no tienen nociones de clases o mscaras de red. Al igual que en el formato CIDR, las direcciones IPv6 utilizan prefijos para designar la parte de la direccin que define la red del sitio. Para ver una introduccin a IPv6, consulte Descripcin general de las direcciones IPv6 en la pgina 76.
ejemplos de este manual utilizan direcciones IPv4 privadas y el prefijo de documentacin de IPv6 reservado.
57
redes TCP/IP externas. En lugar de ello, utilice direcciones privadas tal como se describe en Uso de direcciones IPv4 privadas en la pgina 62.
Preparacin de un plan de direcciones IPv6 en la pgina 95. En esta seccin se ofrece una descripcin general de las direcciones IPv4 para ayudarle a disear un plan de direcciones IPv4. Para obtener informacin sobre las direcciones IPv6, consulte Descripcin general de las direcciones IPv6 en la pgina 76. Para obtener informacin sobre las direcciones DHCP, consulte el Captulo 12, Solaris DHCP (descripcin general). Cada red basada en IPv4 debe contar con:
58 Gua de administracin del sistema: servicios IP Octubre de 2009
Un nmero de red exclusivo asignado por un ISP, un IR o, para las redes ms antiguas, registrado por la IANA. Si tiene previsto utilizar direcciones privadas, los nmeros de red que cree deben ser exclusivos en su organizacin. Direcciones IPv4 exclusivas para las interfaces de cada sistema en la red. Una mscara de red.
La direccin IPv4 es un nmero de 32 bits que identifica de forma exclusiva una interfaz de red en un sistema, tal como se explica en Aplicacin de las direcciones IP a las interfaces de red en la pgina 63. Una direccin IPv4 se escribe en dgitos decimales, y se divide en cuatro campos de 8 bits separados por puntos. Cada campo de 8 bits representa un byte de la direccin IPv4. Este modo de representar los bytes de una direccin IPv4 se denomina normalmente formato de decimales con puntos. La figura siguiente muestra los componentes de una direccin IPv4, 172.16.50.56.
172.16 50.56
Nmero de red IPv4 registrada. En la notacin IPv4 basada en clases, este nmero tambin define la clase de red IP (la clase B en este ejemplo), que registra la IANA. Parte del host de la direccin IPv4. La parte del host identifica de forma exclusiva una interfaz en un sistema de una red. Para cada interfaz de una red local, la parte de la red de la direccin es la misma, pero la parte del host debe ser diferente.
Si tiene previsto crear una subred de una red IPv4 basada en clases, debe definir una mscara de subred o mscara de red, tal como se describe en Base de datos netmasks en la pgina 256. El ejemplo siguiente muestra la direccin de formato CIDR 192.168.3.56/22
59
Prefijo de red
192.168.3 56 /22
Parte de la red, que se compone del nmero de red IPv4 que se recibe de un ISP o un IR. Parte del host, que se asigna a una interfaz de un sistema. Prefijo de la red, que define cuntos bits de la direccin componen el nmero de red. El prefijo de la red tambin proporciona la mscara de subred para la direccin IP. Los prefijos de red tambin los asigna el ISP o el IR.
Una red basada en Solaris puede combinar direcciones IPv4 estndar, direcciones IPv4 con formato CIDR, direcciones DHCP, direcciones IPv6 y direcciones IPv4 privadas.
A B C
60
Los nmeros del primer byte de la direccin IPv4 definen si la red es de clase A, B o C. Los tres bytes restantes tienen el rango de 0255. Los nmeros 0 y 255 estn reservados. Puede asignar los nmeros del 1 al 254 a cada byte, dependiendo de la clase de red que la IANA asign a su red. La tabla siguiente muestra qu bytes de la direccin IPv4 tiene asignados. La tabla tambin muestra el rango de nmero de cada byte que tiene a su disposicin para asignarlos a los hosts.
TABLA 22 Clase de red
A B C
/etc/netmask file hacen necesaria la configuracin de la mscara de subred utilizando la notacin decimal con punto. En ambos casos, utilice la representacin decimal con punto del prefijo de red CIDR, tal como se muestra en la tabla.
TABLA 23
Para obtener ms informacin sobre las direcciones CIDR, consulte estas fuentes:
Para obtener informacin tcnica sobre CIDR, consulte RFC 1519, Classless Inter-Domain Routing (CIDR): una estrategia de agregacin y asignacin de direcciones (http://www.ietf.org/rfc/rfc1519.txt?number=1519). Si desea ms informacin general sobre CIDR, consulte la pgina de Pacific Bell Internet en Classless Inter-Domain Routing (CIDR) Overview (http://www.wirelesstek.com/ cidr.htm). Puede encontrar otra descripcin general de CIDR en el artculo de la Wikipedia " CIDR (Classless inter-domain routing)" (http://en.wikipedia.org/wiki/ Classless_inter-domain_routing).
Mscara de red
protocolos TCP/IP (y el sistema operativo Solaris) requieren tanto la direccin IP como el nombre de host para identificar un sistema de modo exclusivo. Desde el punto de vista del protocolo TCP/IP, una red es un conjunto de entidades con nombre. Un host es una entidad con un nombre. Un encaminador es una entidad con un nombre. La red es una entidad con un nombre. Del mismo modo, se puede asignar un nombre a un grupo o departamento en el que est instalada la red, as como a una divisin, regin o compaa. En teora, la jerarqua de nombres que se pueden utilizar para identificar una red prcticamente no tiene lmites. El nombre de dominio identifica un dominio.
La configuracin de las bases de datos de red es imprescindible. Debe decidir qu servicio de nombres utilizar como parte del proceso de planificacin de la red. Asimismo, la decisin de utilizar servicios de nombres tambin determina si organizar la red en un dominio administrativo. Bases de datos de red y el archivo nsswitch.conf en la pgina 260 incluye informacin detallada sobre el conjunto de bases de datos de red.
Nombres de dominio
Muchas redes organizan sus hosts y encaminadores en una jerarqua de dominios administrativos. Si utiliza el servicio de nombres NIS o DNS, debe seleccionar un nombre de dominio para la organizacin que sea exclusivo en todo el mundo. Para asegurarse de que su nombre de dominio sea exclusivo, debe registrarlo con InterNIC. Si tiene previsto utilizar DNS, tambin debe registrar su propio nombre de dominio con InterNIC. La estructura del nombre de dominio es jerrquica. Un nuevo dominio normalmente se ubica debajo de un dominio relacionado que ya existe. Por ejemplo, el nombre de dominio para una compaa subsidiaria puede ubicarse debajo el dominio de su compaa principal. Si el nombre de dominio no tiene otra relacin, una organizacin puede colocar su nombre de dominio directamente debajo de uno de los dominios que hay en el nivel superior. A continuacin se incluyen algunos ejemplos de dominios de nivel superior:
.com: compaas comerciales (de mbito internacional) .edu: instituciones educativas (de mbito internacional) .gov: organismos gubernamentales estadounidenses .fr: Francia
65
Seleccione el nombre que identifique a su organizacin, teniendo en cuenta que debe ser exclusivo.
Subdivisiones administrativas
Las subdivisiones administrativas estn relacionadas con el tamao y el control. Cuantos mas hosts y servidores haya en una red, ms compleja ser la tarea de administracin. Puede configurar divisiones administrativas adicionales si es preciso. Agregue redes de una clase especfica. Divida las redes existentes en subredes. La decisin de configurar subdivisiones administrativas para su red la determinan los factores siguientes:
Qu tamao tiene la red? Una nica divisin administrativa puede controlar una nica red de varios cientos de hosts, todo en la misma ubicacin fsica y con los mismos servicios administrativos. Sin embargo, en ocasiones es preciso establecer varias subdivisiones administrativas. Las subdivisiones resultan especialmente tiles si tiene una red reducida con subredes y est repartida por un rea geogrfica extensa.
Los usuarios de la red tienen necesidades similares? Por ejemplo, puede tener una red confinada a un nico edificio que admita un nmero de equipos relativamente reducido. Estos equipos se reparten en una serie de subredes. Cada subred admite grupos de usuarios con diferentes necesidades. En este ejemplo, puede utilizar una subdivisin administrativa para cada subred.
implementa el reenvo de IP. Sin embargo, el sistema no puede funcionar como encaminador hasta que est configurado tal como se describe en Configuracin de un encaminador IPv4 en la pgina 122. Los encaminadores conectan dos o ms redes para formar interredes mayores. Los encaminadores deben configurarse para transferir paquetes entre dos redes adyacentes. Los encaminadores tambin deben poder transferir paquetes a redes que se encuentran fuera de las redes adyacentes. La figura siguiente muestra las partes bsicas de una topologa de red. La primera ilustracin muestra una configuracin sencilla de dos redes conectadas por un nico encaminador. La segunda ilustracin muestra una configuracin de tres redes, interconectadas por dos encaminadores. En el primer ejemplo, el encaminador R une la red 1 y la red 2 en una interred mayor. En el segundo ejemplo, el encaminador 1 conecta las redes 1 y 2. El encaminador R2 conecta las redes 2 y 3. Las conexiones de una red que incluye las redes 1, 2 y 3.
Red 1
Red 2
Red 1
R1
Red 2
R2
Red 3
FIGURA 23
Adems de unir las redes en interredes, los encaminadores transfieren los paquetes entre las redes que se basan en las direcciones de la red de destino. A medida que las interredes se hacen ms complejas, cada encaminador debe tomar ms decisiones sobre los destinos de los paquetes. La figura siguiente muestra un caso ms complejo. El encaminador R3 conecta las redes 1 y 3. La redundancia aumenta la fiabilidad. Si la red 2 no funciona, el encaminador R3 continua proporcionando una ruta entre las redes 1 y 3. Se pueden interconectar muchas redes. No obstante, las redes deben utilizar los mismos protocolos de red.
67
R3
Red
R1
Red
R2
Red
FIGURA 24
Topologa de red que proporciona una ruta adicional entre las redes
68
Host A 192.9.200.15
Host B 192.9.202.10
Red 192.9.200
Red 192.9.201
Red 192.9.202
Encaminador R1
Encaminador R2
FIGURA 25
El encaminador R1 conecta las redes 192.9.200 y 192.9.201. El encaminador R2 conecta las redes 192.9.201 y 192.9.202. Si el host A de la red 192.9.200 enva un mensaje al host B de la red 192.9.202, tienen lugar los siguientes eventos: 1. El host A enva un paquete a travs de la red 192.9.200. El encabezado del paquete contiene la direccin IPv4 del host B receptor, 192.9.202.10. 2. Ninguno de los equipos de la red 192.9.200 tiene la direccin IPv4 192.9.202.10. Por tanto, el encaminador R1 acepta el paquete. 3. El encaminador R1 examina sus tablas de encaminamiento. Ningn equipo de la red 192.9.201 tiene la direccin 192.9.202.10. Sin embargo, las tablas de encaminamiento incluyen el encaminador R2. 4. A continuacin, R1 selecciona R2 como encaminador para el "siguiente salto". R1 enva el paquete a R2. 5. Dado que R2 conecta la red 192.9.201 con 192.9.202, R2 tiene la informacin de encaminamiento para el host B. A continuacin, el encaminador R2 enva el paquete a la red 192.9.202, en la que el host B acepta el paquete.
69
70
C A P T U L O
Este captulo presenta una descripcin general de la implementacin de Solaris IPv6 (Internet Protocol versin 6). Dicha implementacin se compone del daemon asociado y utilidades compatibles con el espacio de direcciones IPv6. Las direcciones IPv6 e IPv4 coexisten en el entorno de redes de Solaris. Los sistemas que se configuran con direcciones IPv6 mantienen sus direcciones IPv4, en caso de que tales direcciones ya existan. Las operaciones en que intervienen direcciones IPv6 no repercuten negativamente en operaciones de IPv4 y viceversa. Se abordan los siguientes temas principales:
Caractersticas principales de IPv6 en la pgina 72 Descripcin general de las redes IPv6 en la pgina 75 Descripcin general de las direcciones IPv6 en la pgina 76 Descripcin general del protocolo ND de IPv6 en la pgina 83 Configuracin automtica de direcciones IPv6 en la pgina 84 Descripcin general sobre los tneles de IPv6 en la pgina 85
Planificacin de redes IPv6: Captulo 4, Planificacin de una red IPv6 (tareas) Tareas relacionadas con IPv6: Captulo 7, Configuracin de una red IPv6 (tareas). y Captulo 8, Administracin de redes TCP/IP (tareas). Informacin detallada de IPv6: Captulo 11, IPv6 en profundidad (referencia)
71
Direcciones ampliadas
El tamao de direcciones IP pasa de 32 bits en IPv4 a 128 bits en IPv6, para permitir ms niveles en la jerarqua de direcciones. Aparte, IPv6 proporciona muchos ms sistemas IPv6 con direcciones. Para obtener ms informacin, consulte Descripcin general de las direcciones IPv6 en la pgina 76.
Servicios de nombres como DNS, LDAP y NIS. Para obtener ms informacin sobre la compatibilidad de IPv6 con estos servicios de nombres, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP). Aplicaciones de autenticacin y proteccin de la privacidad, por ejemplo IP Security Architecture (IPsec) e Internet Key Exchange (IKE). Para obtener ms informacin, consulte la Parte IV. Servicios diferenciados, como los que proporciona IP Quality of Service (IPQoS). Para obtener ms informacin, consulte la Parte VII. Deteccin de fallos y funcionamiento a prueba de fallos, como se proporciona mediante IP multirruta de redes (IPMP). Para obtener ms informacin, consulte la Parte VI.
73
TABLA 31
RFC 3306, Describe el formato y los tipos ftp://ftp.rfc-editor.org/in-notes/rfc3306.txt (ftp://ftp.rfc-editor.org/ UnicastPrefixBased de direcciones IPv6 in-notes/rfc3306.txt) IPv6 Multicast Addresses multidifusin RFC 3484: Default Address Selection for Internet Protocol version 6 (IPv6) Describe los algoritmos que se http://www.ietf.org/rfc/rfc3484?number=3484 (http://www.ietf.org/ usan en la seleccin de rfc/rfc3484.txt?number=3484) direcciones predeterminadas de IPv6 http://www.ietf.org/rfc/rfc3513.txt?number=3513 (http:// www.ietf.org/rfc/rfc3513.txt?number=3513)
RFC 3513, Internet Contiene informacin Protocol version 6 (IPv6) exhaustiva sobre los tipos de Addressing Architecture direcciones IPv6 con abundantes ejemplos RFC 3587, IPv6 Global Unicast Address Format
Define el formato estndar de http://www.ietf.org/rfc/rfc3587.txt?number=3587 (http:// las direcciones IPv6 www.ietf.org/rfc/rfc3587.txt?number=3587) unidifusin
Sitios web
Los sitios web siguientes aportan informacin til sobre IPv6.
TABLA 32 Sitio web
Foro de IPv6
En este sitio web hay vnculos a presentaciones, eventos, clases e implementaciones sobre IPv6 en todo el mundo
http://www.ipv6forum.com
Grupo de trabajo de La pgina inicial de este grupo de IPv6 de Internet trabajo de IETF proporciona Educational Task Force vnculos a todos los borradores de Internet y RFC importantes relacionados con IPv6
http://www.ietf.org/html.charters/ipv6-charter.html
74
Subred 8b
Host
Vnculo 1
Host
Host Encaminador Vnculo 3 DMZ Vnculo 4 Subred 8c Encaminador de lmite Tnel de IPv6 ISP
Internet
FIGURA 31
La figura ilustra una red IPv6 y sus conexiones con un ISP. La red interna consta de los vnculos 1, 2, 3 y 4. Los hosts rellenan los vnculos y un encaminador los termina. El vnculo 4, considerado la DMZ de la red, queda terminado en un extremo por el encaminador de lmite. El encaminador de lmite ejecuta un tnel IPv6 a un ISP, que ofrece conexin a Internet para la red. Los vnculos 2 y 3 se administran como subred 8a. La subred 8b tan slo consta de sistemas en el vnculo 1. La subred 8c es contigua a la DMZ del vnculo 4. Como se muestra en la Figura 31, una red IPv6 tiene prcticamente los mismos componentes que una red IPv4. No obstante, la terminologa de IPv6 presenta ligeras diferencias respecto a la de IPv4. A continuacin se presenta una serie de trminos sobre componentes de red empleados en un contexto de IPv6.
75
nodo
Sistema con una direccin IPv6 y una interfaz configurada para admitir IPv6. Trmino genrico que se aplica a hosts y encaminadores. Nodo que reenva paquetes de IPv6. Para admitir IPv6, debe configurarse como mnimo una de las interfaces del encaminador. Un encaminador de IPv6 tambin puede anunciar el prefijo de sitio IPv6 registrado para la empresa en la red interna. Nodo con una direccin IPv6. Un host IPv6 puede tener configurada ms de una interfaz para que sea compatible con IPv6. Al igual que en IPv4, los hosts de IPv6 no reenvan paquetes. Un solo soporte contiguo de red conectado por un encaminador en cualquiera de sus extremos. Nodo de IPv6 que se encuentra en el mismo vnculo que el nodo local. Segmento administrativo de una red IPv6. Los componentes de una subred IPv6 se pueden corresponder directamente con todos los nodos de un vnculo, igual que en IPv4. Si es preciso, los nodos de un vnculo se pueden administrar en subredes independientes. Adems, IPv6 no permite subredes multivnculo, en las cuales los nodos de vnculos distintos pueden ser componentes de una sola subred. Los vnculos 2 y 3 de la Figura 31 son componentes de la subred 8a multivnculo. Tnel que proporciona una ruta de extremo a extremo virtual entre un nodo de IPv6 y otro punto final de nodo de IPv6. IPv6 permite la configuracin manual de tneles y automtica de tneles de 6to4. Encaminador en el lmite de una red que proporciona un extremo del tnel de IPv6 a un punto final fuera de la red local. Este encaminador debe tener como mnimo una interfaz de IPv6 a la red interna. En cuanto a la red externa, el encaminador puede tener una interfaz de IPv6 o IPv4.
encaminador de IPv6
host de IPv6
tnel de IPv6
encaminador de lmite
76
Nota Para obtener informacin referente a aspectos tcnicos sobre el formato de direccin
IPv6, consulte RFC 2374, IPv6 Global Unicast Address Format (http://www.ietf.org/rfc/ rfc2374.txt?number=2374) IPv6 abarca tres clases de direcciones: unidifusin multidifusin Identifica una interfaz de un solo nodo. Identifica un grupo de interfaces, en general en nodos distintos. Los paquetes que se envan a una direccin multidifusin se dirigen a todos los miembros del grupo de multidifusin. Identifica un grupo de interfaces, en general en nodos distintos. Los paquetes que se envan a una direccin de difusin por proximidad de dirigen al nodo de miembros del grupo de difusin por proximidad que se encuentre ms cerca del remitente.
ID de subred
ID de interfaz
77
Los tres campos que estn ms a la izquierda (48 bits) contienen el prefijo de sitio. El prefijo describe la topologa pblica que el ISP o el RIR (Regional Internet Registry, Registro Regional de Internet) suelen asignar al sitio. El campo siguiente lo ocupa el ID de subred de 16 bits que usted (u otro administrador) asigna al sitio. El ID de subred describe la topologa privada, denominada tambin topologa del sitio, porque es interna del sitio. Los cuatro campos situados ms a la derecha (64 bits) contienen el ID de interfaz, tambin denominado token. El ID de interfaz se configura automticamente desde la direccin MAC de interfaz o manualmente en formato EUI-64. Examine de nuevo la direccin de la figura Figura 32: 2001:0db8:3c4d:0015:0000:0000:1a2f:1a2b En este ejemplo se muestran los 128 bits completos de una direccin IPv6. Los primeros 48 bits, 2001:0db8:3c4d, contienen el prefijo de sitio y representan la topologa pblica. Los siguientes 16 bits, 0015, contienen el ID de subred y representan la topologa privada del sitio. Los 64 bits que estn ms a la derecha, 0000:0000:1a2f:1a2b, contienen el ID de interfaz.
78
Prefijos de IPv6
Los campos que estn ms a la izquierda de una direccin IPv6 contienen el prefijo, que se emplea para encaminar paquetes de IPv6. Los prefijos de IPv6 tienen el formato siguiente: prefijo/tamao en bits El tamao del prefijo se expresa en notacin CIDR (encaminamiento entre dominios sin clase). La notacin CIDR consiste en una barra inclinada al final de la direccin, seguida por el tamao del prefijo en bits. Para obtener informacin sobre direcciones IP en formato CIDR, consulte Cmo disear un esquema de direcciones IPv4 CIDR en la pgina 61. El prefijo de sitio de una direccin IPv6 ocupa como mximo los 48 bits de la parte ms a la izquierda de la direccin IPv6. Por ejemplo, el prefijo de sitio de la direccin IPv6 2001:db8:3c4d:0015:0000:0000:1a2f:1a2b/48 se ubica en los 48 bits que hay ms a la izquierda, 2001:db8:3c4d. Utilice la representacin siguiente, con ceros comprimidos, para representar este prefijo: 2001:db8:3c4d::/48
Nota 2001:db8::/32 es un prefijo especial de IPv6 que se emplea especficamente en ejemplos
de documentacin. Tambin se puede especificar un prefijo de subred, que define la topologa interna de la red respecto a un encaminador. La direccin IPv6 de ejemplo tiene el siguiente prefijo de subred: 2001:db8:3c4d:15::/64 El prefijo de subred siempre contiene 64 bits. Estos bits incluyen 48 del prefijo de sitio, adems de 16 bits para el ID de subred. Los prefijos siguientes se han reservado para usos especiales: 2002::/16 fe80::/10 ff00::/8 Indica que sigue un prefijo de encaminamiento de 6to4. Indica que sigue una direccin local de vnculo. Indica que sigue una direccin multidifusin.
Direcciones unidifusin
IPv6 incluye dos clases de asignaciones de direcciones unidifusin:
El tipo de direccin unidifusin viene determinado por los bits contiguos que estn ms a la izquierda (orden superior) de la direccin, los cuales contienen el prefijo. El formato de direcciones unidifusin se organiza conforme a la jerarqua siguiente:
Topologa pblica
Topologa de sitio
ID de subred
ID de interfaz
Topologa pblica
El prefijo de sitio define la topologa pblica de la red respecto a un encaminador. El ISP o el RIR proporcionan el prefijo de sitio a las empresas.
80
ID de interfaz
El ID de interfaz identifica una interfaz de un determinado nodo. Un ID de interfaz debe ser exclusivo en la subred. Los hosts de IPv6 pueden aplicar el protocolo ND para generar automticamente sus propios ID de interfaz. El protocolo ND genera de forma automtica el ID de interfaz, a partir de la direccin MAC o la direccin EUI-64 de la interfaz del host. Los ID de interfaz tambin se pueden asignar manualmente, lo cual es preferible en el caso de encaminadores de IPv6 y servidores habilitados para IPv6. Si desea obtener instrucciones sobre cmo crear manualmente direcciones EUI-3513, consulte RFC 3513 Internet Protocol Version 6 (IPv6) Addressing Architecture.
Formato:
0 64 bits
ID de interfaz 54 bits
Ejemplo: fe80::123e:456d
Un prefijo local de vnculo presenta el formato siguiente: fe80::ID_interfaz/10 A continuacin se muestra una direccin local de vnculo: fe80::23a1:b152
81
fe80 ID_interfaz
Representacin hexadecimal del prefijo binario de 10 bits 1111111010. Este prefijo identifica el tipo de direccin IPv6 como direccin local de vnculo. Direccin hexadecimal de la interfaz, que en general se deriva de la direccin MAC de 48 bits.
Al habilitar IPv6 durante la instalacin de Solaris, la interfaz con el nmero ms bajo del equipo local se configura con una direccin local de vnculo. Cada interfaz necesita por lo menos una direccin local de vnculo para identificar el nodo en los dems nodos del vnculo local. As pues, las direcciones locales de vnculo deben configurarse manualmente para las interfaces adicionales de un nodo. Tras la configuracin, el nodo utiliza sus direcciones locales de vnculo para la configuracin automtica de direcciones y el descubrimiento de vecinos.
Direcciones multidifusin
IPv6 permite el uso de direcciones multidifusin. La direccin multidifusin identifica un grupo de multidifusin, que es un grupo de interfaces, en general en nodos distintos. Una interfaz puede pertenecer a cualquier cantidad de grupos de multidifusin. Si los primeros 16 bits de una direccin IPv6 son ff00 n, la direccin es del tipo multidifusin. Las direcciones multidifusin se usan para el envo de informacin o servicios a todas las interfaces que se definen como miembros del grupo de multidifusin. Por ejemplo, uno de los usos de las direcciones multidifusin es comunicarse con todos los nodos de IPv6 del vnculo local. Al crearse la direccin unidifusin IPv6 de una interfaz, el ncleo convierte automticamente la interfaz en miembro de determinados grupos de multidifusin. Por ejemplo, el ncleo convierte cada nodo en un miembro del grupo de multidifusin del nodo solicitado, que utiliza el protocolo ND para detectar la accesibilidad. El ncleo convierte automticamente tambin un nodo en miembro de los grupos de multidifusin de todos los nodos o todos los encaminadores. Para obtener informacin exhaustiva sobre direcciones multidifusin, consulte Direcciones multidifusin IPv6 en profundidad en la pgina 276. Para obtener informacin sobre aspectos tcnicos, consulte RFC 3306, Unicast-Prefix-based IPv 6 Multicast Addresses (ftp://ftp.rfc-editor.org/in-notes/rfc3306.txt), donde se explica el formato de direcciones multidifusin. Para obtener ms informacin sobre el uso adecuado de grupos y direcciones multidifusin, consulte RFC 3307, Allocation Guidelines for IPv 6 Multicast Addresses (ftp://ftp.rfc-editor.org/in-notes/rfc3307.txt).
82
direcciones ni grupos de difusin por proximidad. Ahora bien, los nodos de IPv6 de Solaris pueden enviar paquetes a direcciones de difusin por proximidad. Para obtener ms informacin, consulte Consideraciones para tneles hasta un encaminador de reenvo 6to4 en la pgina 310.
Descubrimiento de encaminadores: ayuda a los hosts a detectar encaminadores en el vnculo local. Configuracin automtica de direcciones: permite que un nodo configure de manera automtica direcciones IPv6 para sus interfaces. Descubrimiento de prefijos: posibilita que los nodos detecten los prefijos de subred conocidos que se han asignado a un vnculo. Los nodos utilizan prefijos para distinguir los destinos que se encuentran en el vnculo local de los asequibles nicamente a travs de un encaminador. Resolucin de direcciones: permite que los nodos puedan determinar la direccin local de vnculo de un vecino solamente a partir de la direccin IP de los destinos. Determinacin de salto siguiente: utiliza un algoritmo para establecer la direccin IP de un salto de destinatario de paquetes que est ms all del vnculo local. El salto siguiente puede ser un encaminador o el nodo de destino. Deteccin de inasequibilidad de vecinos: ayuda a los nodos a establecer si un nodo ya no es asequible. La resolucin de direcciones puede repetirse tanto en encaminadores como hosts. Deteccin de direcciones duplicadas: permite que un nodo pueda determinar si est en uso o no una direccin que el nodo tenga la intencin de utilizar.
83
Redireccin: un encaminador indica a un host el mejor nodo de primer salto que se puede usar para acceder a un determinado destino.
El protocolo ND emplea los tipos de mensajes ICMP siguientes para la comunicacin entre los nodos de un vnculo:
Para obtener informacin exhaustiva sobre mensajes de protocolo ND y otros temas relativos a dicho protocolo, consulte Protocolo ND de IPv6 en la pgina 295. Para obtener informacin sobre aspectos tcnicos sobre Neighbor Discovery (ND), consulte RFC 2461, Neighbor Discovery for IP Version 6 (IPv6) (http://www.ietf.org/rfc/rfc2461.txt?number=2461).
Crea una direccin local de vnculo para cada interfaz, lo cual no precisa un encaminador en el vnculo. Verifica la exclusividad de una direccin en un vnculo, lo cual no precisa un encaminador en el vnculo. Determina si las direcciones globales deben obtenerse a partir del mecanismo con estado, sin estado o ambos. (Precisa un encaminador en el vnculo.)
automticamente, una direccin temporal consta del prefijo de sitio y un nmero de 64 bits generado aleatoriamente. Ese nmero aleatorio constituye la parte del ID de interfaz de la direccin IPv6. Una direccin local de vnculo no se genera con la direccin temporal como ID de interfaz. Los encaminadores anuncian todos los prefijos que se han asignado al vnculo. Los hosts de IPv6 emplean el protocolo ND para obtener un prefijo de subred a partir de un encaminador local. Los hosts crean direcciones IPv6 automticamente combinando el prefijo de subred con un ID de interfaz que se genera a partir de la direccin MAC de una interfaz. Si no hay encaminadores, un host puede generar nicamente direcciones locales de vnculo. Las direcciones locales de vnculo slo son aptas para comunicaciones con nodos del mismo vnculo.
Nota La configuracin automtica de direcciones sin estado no debe usarse para crear las direcciones IPv6 de servidores. Los hosts generan automticamente unos ID de interfaz que se basan en informacin especfica del hardware durante la configuracin automtica. El ID de interfaz actual puede llegar a invalidarse si la interfaz vigente se intercambia con una interfaz nueva.
Tnel configurado manualmente entre dos redes IPv6, a travs de una red IPv4. La red IPv4 puede ser Internet o una red local dentro de una empresa. Tnel configurado manualmente entre dos redes IPv4, a travs de una red IPv6, en general dentro de una empresa.
85
Tnel de 6to4 configurado dinmicamente entre dos redes IPv6, a travs de una red IPv4 de una empresa o por Internet.
Para obtener ms informacin sobre los tneles de IPv6, consulte Tneles de IPv6 en la pgina 303. Para obtener ms informacin relativa a tneles de IPv4 a IPv4 y redes privadas virtuales, consulte Redes privadas virtuales e IPsec en la pgina 519.
86
C A P T U L O
Implementar IPv6 en una red nueva o ya configurada supone un importante esfuerzo de planificacin. En este captulo se presentan las tareas principales imprescindibles para poder configurar IPv6. En el caso de redes ya configuradas, la implementacin de IPv6 se debe establecer por fases. Los temas de este captulo ayudan a implantar IPv6 en fases en una red que, por otro lado, es de slo IPv4. En este captulo se tratan los temas siguientes:
Planificacin de IPv6 (mapas de tareas) en la pgina 87 Situacin hipottica de topologa de red IPv6 en la pgina 89 Preparacin de la red ya configurada para admitir IPv6 en la pgina 90 Preparacin de un plan de direcciones IPv6 en la pgina 95
Para obtener una introduccin a los conceptos relativos a IPv6, consulte el Captulo 3, Introduccin a IPv6 (descripcin general). Para obtener informacin detallada, consulte el Captulo 11, IPv6 en profundidad (referencia).
Compruebe que el hardware se pueda actualizar Preparacin de la topologa red para admitir a IPv6. IPv6 en la pgina 90
87
Tarea
Descripcin
Compruebe que el ISP que utiliza admita IPv6. De no ser as, busque uno que sea compatible con IPv6. Puede utilizar dos ISP, uno para IPv6 y otro para comunicaciones de IPv4. Verifique que las aplicaciones puedan funcionar Cmo preparar servicios de red para admitir IPv6 en la pgina 92 en un entorno IPv6. Solicite al ISP o al RIR ms prximo un prefijo de sitio de 48 bits. Obtencin de un prefijo de sitio en la pgina 95
3. Comprobar que las aplicaciones estn preparadas para funcionar con IPv6. 4. Disponer de prefijo de sitio. 5. Crear un plan de direcciones de subredes.
Se debe planificar la topologa de red IPv6 global Creacin de un esquema de numeracin para y el esquema de direcciones para poder subredes en la pgina 95 configurar IPv6 en los distintos nodos de la red. Planificacin de tneles en la topologa de red en la pgina 93
6. Disear un plan para el uso de Establezca los encaminadores que deben tneles. ejecutar tneles a otras subredes o redes externas. 7. Crear un plan de direcciones para entidades de la red. 8. Desarrollar directrices de seguridad de IPv6.
Se debe planificar la direccin de servidores, Creacin de un plan de direcciones IPv6 para encaminadores y hosts antes de configurar IPv6. nodos en la pgina 96 A la hora de desarrollar directrices de seguridad de IPv6, consulte las funciones de filtro IP, arquitectura de seguridad IP (IPsec), Internet Key Exchange (IKE) y otras funciones de seguridad de Solaris. Por motivos de seguridad, se precisa un plan de direcciones para la DMZ y sus entidades antes de configurar IPv6. Configure IPv6 en todos los hosts y encaminadores. Compruebe que los servidores puedan admitir IPv6. Compruebe que los servidores DNS, NIS y LDAP se actualicen con las nuevas direcciones IPv6. Parte IV
9. (Opcional) Configurar una DMZ. 10. Habilitar los nodos para que admitan IPv6. 11. Activar servicios de red. 12. Actualizar nombres de servidor para la compatibilidad con IPv6.
Aspectos relacionados con la seguridad en la implementacin de IPv6 en la pgina 94 Configuracin de IPv6 en encaminadores (mapa de tareas) en la pgina 187 Tareas de administracin principales de TCP/IP (mapa de tareas) en la pgina 216 Configuracin de la compatibilidad con el servicio de nombres para IPv6 en la pgina 209
88
Hosts
Hosts
Hosts
Servidor LDAP
Encaminador 2 Red central IPv4 192.168.1.0 IPv6 Subred 1 Encaminador Encaminador Encaminador Cortafuegos 172.16.85.0 IPv4 192.168.3.0 IPv6 Subred 3 Servidor NFS Encaminador 1 (lmite) Cortafuegos Servidor Web Servidor FTP
DMZ
ISP
Internet
FIGURA 41
89
La situacin hipottica de red empresarial se compone de cinco subredes con cuatro direcciones IPv4 ya configuradas. Los vnculos de la red se corresponden directamente con las subredes administrativas. Las cuatro redes internas se muestran con direcciones IPv4 privadas en formato RFC 1918, solucin habitual ante la falta de direcciones IPv4. Estas redes internas se basan en el siguiente esquema de direcciones:
La subred 1 es la red principal interna 192.168.1 . La subred 2 es la red interna 192.168.2, con LDAP, sendmail y servidores DNS. La subred 3 es la red interna 192.168.3, con los servidores NFS de la empresa. La subred 4 es la red interna 192.168.4, que contiene hosts para los empleados de la empresa.
La red pblica externa 172.16.85 funciona como DMZ de la corporacin. Esta red contiene servidores Web, servidores FTP annimos y dems recursos que la empresa ofrece al entorno exterior. El encaminador 2 ejecuta un servidor de seguridad y separa la red pblica 172.16.85 de la red principal interna. En el otro extremo de la DMZ, el encaminador 1 ejecuta un servidor de seguridad y acta como encaminador de lmite de la empresa. En la Figura 41, la DMZ pblica presenta la direccin privada RFC 1918 172.16.85. En un entorno real, la DMZ pblica debe tener registrada una direccin IPv4. La mayora de los sitios de IPv4 emplean una combinacin de direcciones pblicas y direcciones privadas RFC 1918. Sin embargo, en el mbito de IPv6 el concepto de direcciones pblicas y privadas es distinto. Debido a que IPv6 dispone de mucho ms espacio de direcciones, las direcciones pblicas IPv6 se utilizan en redes pblicas y privadas.
Puede ejecutar sin ningn problema operaciones relacionadas con IPv4 en la red, durante la implementacin de IPv6 y tras sta. IPv6 incorpora funciones adicionales a una red ya configurada. As pues, la primera vez que implemente IPv6, compruebe que no se interrumpan las operaciones que funcionan con IPv4. Los temas que se tratan en esta seccin muestran detalladamente un procedimiento para incorporar IPv6 en una red ya configurada.
topologa de red (cables, encaminadores y hosts). Ahora bien, antes de configurar direcciones IPv6 en interfaces de red, quiz deba preparar para IPv6 el hardware y las aplicaciones. Verifique que el hardware de la red se pueda actualizar a IPv6. Por ejemplo, consulte la documentacin de los fabricantes sobre la compatibilidad con IPv6 respecto a los siguientes tipos de hardware:
Nota Todos los procedimientos de esta parte dan por sentado que el equipo, en especial los encaminadores, se pueden actualizar a IPv6.
Algunos modelos de encaminador no se pueden actualizar a IPv6. Para obtener ms informacin y una solucin alternativa, consulte El encaminador IPv4 no puede actualizarse a IPv6 en la pgina 245.
El servicio de correo IMAP slo es apto para IPv4. Los nodos configurados para IPv6 pueden ejecutar servicios de IPv4. Al activar IPv6, no todos los servicios aceptan conexiones IPv6. Los servicios conectados a IPv6 aceptarn una conexin. Los servicios que no estn conectados a IPv6 seguirn funcionando con la mitad de IPv4 de la pila de protocolos. Al actualizar los servicios a IPv6 pueden surgir algunos problemas. Para obtener ms informacin, consulte Problemas tras la actualizacin de servicios a IPv6 en la pgina 245.
interfaz de red que quiz tenga la intencin de extraer para mantener o reemplazar. Si se reemplaza una tarjeta de interfaz de red, el protocolo ND genera automticamente un ID de interfaz nuevo para dicha tarjeta. Algn servidor en concreto podra no aceptar este comportamiento. Por lo tanto, no descarte la configuracin manual de la parte correspondiente al ID de interfaz de las direcciones IPv6 en cada interfaz del servidor. Para obtener instrucciones, consulte Cmo configurar un token IPv6 especificado por el usuario en la pgina 196. Ms adelante, cuando deba reemplazar una tarjeta de interfaz de red, se aplica la direccin IPv6 que ya estaba configurada a la tarjeta nueva.
Verifique que el hardware del servidor de seguridad ya est preparado para IPv6. Para obtener instrucciones, consulte la documentacin pertinente sobre servidores de seguridad. Verifique que otros servicios de la red se hayan conectado a IPv6. Para obtener ms informacin, consulte la publicidad adicional y la documentacin relativa al software. Si el sitio implementa los servicios siguientes, asegrese de haber tomado las medidas apropiadas:
Servidores de seguridad Para poder admitir IPv6, quiz deba incrementar la severidad de las directrices ya establecidas para IPv4. Para otros aspectos sobre seguridad, consulte Aspectos relacionados con la seguridad en la implementacin de IPv6 en la pgina 94.
Correo En los registros MX para DNS, quiz deba agregar la direccin IPv6 del servidor de correo. DNS Para cuestiones especficas de DNS, consulte Cmo preparar DNS para admitir IPv6 en la pgina 93.
92
IPQoS En un host, emplee las mismas directrices DiffServ que se usaban en IPv4. Para obtener ms informacin, consulte Mdulo Classifier en la pgina 903.
Audite los servicios de red que ofrezca un nodo antes de convertir a IPv6 dicho nodo.
Compruebe que el servidor DNS que ejecuta la resolucin de nombres recursivos est en una pila doble (IPv4 e IPv6) o slo en IPv4. En el servidor DNS, rellene la base de datos de DNS con los pertinentes registros AAAA de base de datos de IPv6 en la zona de reenvo.
Nota Los servidores que ejecutan varios servicios fundamentales necesitan atencin especial. Verifique que la red funcione correctamente. Compruebe tambin que todos los servicios fundamentales tengan conexin con IPv6. A continuacin, agregue la direccin IPv6 del servidor a la base de datos de DNS.
3 4
Incorpore los registros PTR relativos a los registros AAAA en la zona inversa. Agregue datos slo de IPv4, o de IPv6 e IPv4, en el registro NS que describe zonas.
El ISP del que adquiere servicios IPv6 permite crear un tnel desde el encaminador de lmite del sitio hasta la red del ISP. La Figura 41 muestra un tnel de esta clase. En tal caso, se debe ejecutar IPv6 manual a travs de un tnel de IPv4.
93
Se administra una red distribuida de gran tamao con conectividad IPv4. Para conectar los sitios distribuidos que utilizan IPv6, puede ejecutar un tnel de 6to4 desde el encaminador de lmite de cada subred. En ocasiones, un encaminador de la infraestructura no se puede actualizar a IPv6. En tal caso, la alternativa es crear un tnel manual en el encaminador de IPv4 con dos encaminadores de IPv6 como puntos finales.
Para obtener informacin sobre configuracin de tneles, consulte Tareas de configuracin de tneles para compatibilidad con IPv6 (mapa de tareas) en la pgina 199. Para obtener informacin conceptual relativa a tneles, consulte Tneles de IPv6 en la pgina 303.
Los paquetes de IPv6 e IPv4 necesitan la misma cantidad de filtrado. A menudo, los paquetes de IPv6 pasan por un tnel a travs de un servidor de seguridad. Por lo tanto, debe aplicar cualquiera de las siguientes situaciones hipotticas:
Haga que el servidor de seguridad inspeccione el contenido en el tnel. Coloque un servidor de seguridad de IPv6 con reglas parecidas en el punto final del tnel del extremo opuesto.
Determinados mecanismos de transicin utilizan IPv6 en UDP a travs de tneles de IPv4. Dichos mecanismos pueden resultar peligrosos al cortocircuitarse el servidor de seguridad. Los nodos de IPv6 son globalmente asequibles desde fuera de la red empresarial. Si la directiva de seguridad prohbe el acceso pblico, debe establecer reglas ms estrictas con relacin al servidor de seguridad. Por ejemplo, podra configurar un servidor de seguridad con estado.
La funcin de IPsec (IP architecture security, arquitectura de seguridad IP) posibilita la proteccin criptogrfica de paquetes IPv6. Para obtener ms informacin, consulte el Captulo 19, Arquitectura de seguridad IP (descripcin general). La funcin IKE (Internet Key Exchange, intercambio de claves en Internet) permite el uso de autenticacin de claves pblicas para paquetes de IPv6. Para obtener ms informacin, consulte el Captulo 22, Intercambio de claves de Internet (descripcin general).
94
Obtencin de un prefijo de sitio en la pgina 95 Creacin del esquema de numeracin de IPv6 en la pgina 95
192.168.1.0/24 192.168.2.0/24
2001:db8:3c4d:1::/64 2001:db8:3c4d:2::/64
95
192.168.3.0/24 192.168.4.0/24
2001:db8:3c4d:3::/64 2001:db8:3c4d:4::/64
Proporcione a los servidores unos ID de interfaz descriptivos y estables. Un mtodo consiste en aplicar un sistema de numeracin consecutiva a los ID de interfaz. Por ejemplo, la interfaz interna del servidor LDAP que aparece en la Figura 41 podra ser 2001:db8:3c4d:2::2. Si habitualmente no cambia la numeracin de la red IPv4, es buena idea utilizar como ID de interfaz las direcciones IPv4 ya creadas de los encaminadores y servidores. En la Figura 41, suponga que la interfaz del encaminador 1 con la DMZ tiene la direccin IPv4 123.456.789.111. La direccin IPv4 puede convertirse a hexadecimal y aplicar el resultado como ID de interfaz. El nuevo ID de interfaz ser ::7bc8:156F. Este planteamiento se utiliza slo si se es el propietario de la direccin IPv4 registrada, en lugar de haber obtenido la direccin de un ISP. Si utiliza una direccin IPv4 proporcionada por un ISP, se crea una dependencia que puede causar problemas en caso de cambiar los ISP.
Debido al nmero limitado de direcciones IPv4, antes un diseador de redes deba tener en cuenta si iba a utilizar direcciones registradas globales y direcciones RFC 1918 privadas. No obstante, el concepto de direcciones IPv4 globales y privadas no es aplicable a las direcciones IPv6 . Puede utilizar direcciones unidifusin globales, que incluyen el prefijo de sitio, en todos los vnculos de la red, incluida la DMZ pblica.
96
C A P T U L O
La administracin de redes TCP/IP se compone de dos fases. La primera consiste en ensamblar el hardware. A continuacin, se configuran los daemon, archivos y servicios que implementan el protocolo TCP/IP. En este captulo se explica cmo configurar el protocolo TCP/IP en una red que implementa servicios y direcciones IPv4.
Nota Muchas de las tareas de este captulo se aplican a redes habilitadas tanto para IPv4 como para IPv6. Cuando las tareas de configuracin son distintas en los dos formatos de direcciones, es preciso seguir los pasos de configuracin de IPv4 que se indican en este captulo. Las tareas de este captulo establecen referencias cruzadas con las tareas IPv6 equivalentes del Captulo 7, Configuracin de una red IPv6 (tareas)..
Antes de configurar una red IPv4 (mapa de tareas) en la pgina 98 Cmo determinar los modos de configuracin de host en la pgina 99 Cmo agregar una subred a una red (mapa de tareas) en la pgina 102 Configuracin de sistemas en la red local en la pgina 104 Mapa de tareas de configuracin de red en la pgina 103 Reenvo de paquetes y rutas en redes IPv4 en la pgina 114 Supervisin y modificacin de los servicios de capa de transporte en la pgina 139 Administracin de interfaces en Solaris 10 3/05 en la pgina 144
97
Puede configurar y administrar las rutas a travs de la Utilidad de gestin de servicios (SMF) como alternativa al uso del comando routeadm. Para ver las instrucciones, consulte los procedimientos y ejemplos de Reenvo de paquetes y rutas en redes IPv4 en la pgina 114 y la pgina del comando man routeadm(1M). El archivo /etc/inet/ipnodes pasa a estar obsoleto. Utilice /etc/inet/ipnodes nicamente para las versiones anteriores de Solaris 10, tal como se explica en los procedimientos individuales.
Descripcin general de la topologa de red en la pgina 66 y Topologa de sistemas autnomos IPv4 en la pgina 119 Cmo disear un esquema de direcciones IPv4 en la pgina 60.
2. Obtener un nmero de red del proveedor de servicios de Internet (ISP) o el Registro Regional de Internet (RIR). 3. Planificar el esquema de direcciones IPv4 para la red. Si es preciso, incluir las direcciones de subred. 4. Ensamblar el hardware de red en funcin de la topologa de red. Verificar que el hardware funcione correctamente. 5. Asignar direcciones IPv4 y nombres de host a todos los sistemas de la red.
Obtiene un nmero de red registrado, que permite a los sistemas del sitio comunicarse externamente.
Utiliza el nmero de red como base Cmo disear un esquema de para el plan de direcciones. direcciones IPv4 en la pgina 60.
Configura sistemas, medios de red, Los manuales del hardware y Descripcin general de la encaminadores, conmutadores, topologa de red en la pgina 66. concentradores y puentes destacados en el diseo de la topologa de red. Asigna las direcciones IPv4 durante la instalacin del sistema operativo Solaris o la fase posterior a la instalacin, en los archivos apropiados. Cmo disear un esquema de direcciones IPv4 en la pgina 60 y Cmo cambiar la direccin IPv4 y otros parmetros de configuracin de red en la pgina 110
98
Tarea
Descripcin
6. Ejecutar el software de configuracin que necesitan los encaminadores e interfaces de red, si es preciso.
Planificacin de encaminadores en la red en la pgina 66 y Configuracin de un encaminador IPv4 en la pgina 122 for information on routers. System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) . System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)
7. Determinar qu servicio de Configura el servicio de nombres o nombres o directorios utiliza la red: de directorios seleccionado. NIS, LDAP, DNS o archivos locales. 8. Seleccionar nombres de dominio Elige un nombre de dominio para para la red, si es preciso. la red y lo registra con InterNIC.
Nombre de host de cada sistema Direccin IP de cada sistema Nombre de dominio al que pertenece cada sistema Encaminador predeterminado Mscara de red IPv4 en uso en cada red del sistema
Un sistema que obtiene la informacin de configuracin de TCP/IP de los archivos locales funciona en modo de archivos locales. Un sistema que obtiene la informacin de configuracin de TCP/IP de un servidor de red remoto funciona en modo de cliente de red.
Servidores NFS Servidores de nombres que proporcionan servicios NIS, LDAP o DNS Servidores de correo
Asimismo, los encaminadores deben ejecutarse en el modo de archivos locales. Los sistemas que funcionan exclusivamente como servidores de impresin no necesitan ejecutarse en el modo de archivos locales. El tamao de la red determina si los hosts individuales deben ejecutarse en el modo de archivos locales. Si est ejecutando una red de tamao reducido, la cantidad de trabajo que implica el mantenimiento de dichos archivos en los hosts individuales es manejable. Si la red sirve a cientos de hosts, la tarea resulta ms difcil, incluso aunque se divida la red en una serie de subdominios administrativos. Por consiguiente, en el caso de las redes de gran tamao, el uso del modo de archivos locales suele ser menos eficaz. Sin embargo, dado que los encaminadores y servidores deben ser autosuficientes, deben configurarse en el modo de archivos locales.
RARP: el protocolo RARP (Reverse Address Resolution Protocol) asigna direcciones Ethernet addresses (48 bits) a direcciones IPv4 (32 bits), al contrario que ARP. Al ejecutar RARP en un servidor de configuracin de red, los hosts que se ejecutan en el modo de cliente de red obtienen sus direcciones IP y archivos de configuracin de TCP/IP del servidor. El daemon in.rarpd permite los servicios de RARP. Consulte la pgina del comando man in.rarpd(1M) para obtener ms informacin. TFTP: El protocolo TFTP (Trivial File Transfer Protocol) es una aplicacin que transfiere archivos entre sistemas remotos. El daemon in.tftpd ejecuta los servicios TFTP, lo cual permite la transferencia de archivos entre los servidores de configuracin de red y sus clientes de red. Consulte la pgina del comando man in.tftpd(1M) para obtener ms informacin. Bootparams: el protocolo Bootparams proporciona los parmetros para el arranque que necesitan los clientes que arrancan la red. El daemon rpc.bootparamd ejecuta estos servicios. Consulte la pgina del comando man bootparamd(1M) para obtener ms informacin.
Los servidores de configuracin de red tambin pueden funcionar como servidores de archivos NFS. Si est configurando host como clientes de red, tambin debe configurar, como mnimo, un sistema en la red como servidor de configuracin de red. Si la red cuenta con subredes, debe tener como mnimo un servidor de configuracin de red para cada subred con clientes de red.
100 Gua de administracin del sistema: servicios IP Octubre de 2009
Configuraciones mixtas
Las configuraciones no se limitan al modo de todos los archivos locales o al modo de todos los clientes de red. Los encaminadores y servidores siempre deben configurarse en modo local. Para los hosts, puede utilizar cualquier combinacin de modos de clientes de red y de archivos locales.
101
Dominio deserts.worldwide.com timbuktu-201 192.9.201.10 Red 192.9.201 sahara 192.9.200.50 (servidor de config. de net.) nubian 192.9.200.4 (en modo de archivos locales)
informacin sobre la planificacin de subredes IPv6, consulte Preparacin de la topologa red para admitir IPv6 en la pgina 90 y Creacin de un esquema de numeracin para subredes en la pgina 95.
Tarea
Descripcin
1. Determinar si la topologa de red Determina la nueva topologa de requiere subredes. subred, incluida la ubicacin de los encaminadores y los hosts de las subredes.
Planificacin de encaminadores en la red en la pgina 66, Qu son las subredes? en la pgina 256 y Clases de red en la pgina 270
102
Tarea
Descripcin
2. Asignar las direcciones IP con el nuevo nmero de subred para que los sistemas pasen a ser miembros de la subred.
Configura las direcciones IP que utilizan el nuevo nmero de subred, ya sea durante la instalacin del sistema operativo Solaris o posteriormente, en el archivo /etc/hostname. interfaz. Modifica el archivo /etc/inet/netmasks, si est configurando manualmente los clientes de red. Tambin proporciona la mscara de red al programa de instalacin de Solaris.
Base de datos netmasks en la pgina 256 y Creacin de la mscara de red para las direcciones IPv4 en la pgina 257
4. Editar las bases de datos de red con las nuevas direcciones IP de todos los sistemas de la subred.
Modifique /etc/inet/hosts y, Base de datos hosts para Solaris 10 11/06 y las versiones en la pgina 251 anteriores/etc/inet/ipnodes, en todos los hosts para que se reflejen las nuevas direcciones de host.
Implica editar los archivos nodename, hostname, hosts, defaultdomain, defaultrouter y netmasks
Configurar un servidor de configuracin de red Configurar un host para el modo de cliente de red
Implica activar el daemon in.tftp Cmo instalar un servidor de y editar los archivos hosts, ethers configuracin de red y bootparams en la pgina 107 Implica crear el archivo hostname, editar el archivo hosts y eliminar los archivos nodename y defaultdomain, si existen Cmo configurar hosts para el modo de cliente de red en la pgina 109
Implica determinar si se utilizar el Cmo activar el encaminamiento encaminamiento esttico o esttico en un host de interfaz dinmico en el host. nica en la pgina 134 y Cmo activar el encaminamiento dinmico en un host de interfaz nica en la pgina 137.
103
Tarea
Descripcin
Implica cambiar el nombre de host, Cmo cambiar la direccin IPv4 y la direccin IP y otros parmetros otros parmetros de configuracin configurados durante la instalacin de red en la pgina 110 o posteriormente.
La direccin IP de cada interfaz de red en cada sistema. Los nombres de host de cada sistema de la red. Puede escribir el nombre de host en un archivo local o en una base de datos de servicios de nombres. El nombre de dominio DNS, NIS o LDAP en el que reside la base de datos, si es pertinente. Las direcciones de encaminador predeterminadas. Esta informacin se facilita en caso de tener una topologa de red simple con un nico encaminador conectado a cada red. Tambin se facilita esta informacin si los encaminadores no ejecutan protocolos de encaminamiento como RDISC (Router Discovery Server Protocol) o RIP (Router Information Protocol). Para ms informacin sobre los encaminadores predeterminados, consulte Reenvo de paquetes y rutas en redes IPv4 en la pgina 114 Consulte la Tabla 51 para ver una lista de los protocolos de encaminamiento que admite el sistema operativo Solaris. Mscara de subred (slo se necesita para las redes con subredes).
Si el programa de instalacin de Solaris detecta ms de una interfaz en el sistema, tiene la opcin de configurar las interfaces adicionales durante la instalacin. Para obtener ms informacin, consulte Gua de instalacin de Solaris 10: instalaciones bsicas. Este captulo contiene informacin sobre cmo crear y editar archivos de configuracin locales. Consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) para obtener informacin sobre cmo trabajar con bases de datos de servicios de nombres.
104
Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Cambie al directorio /etc. Compruebe que se haya configurado el nombre de host correcto en el archivo /etc/nodename. Al especificar el nombre de host de un sistema durante la instalacin de Solaris, dicho nombre se especifica en el archivo /etc/nodename. Asegrese de que la entrada del nombre de nodo sea el nombre de host correcto para el sistema. Compruebe que exista un archivo /etc/hostname.interfaz para cada interfaz de red del sistema. Para obtener la sintaxis del archivo e informacin bsica sobre el archivo /etc/hostname.interfaz, consulte Aspectos bsicos sobre la administracin de interfaces fsicas en la pgina 162. El programa de instalacin de Solaris requiere la configuracin de, como mnimo, una interfaz durante la instalacin. La primera interfaz que se configura automticamente se convierte en la interfaz de red principal. El programa de instalacin crea un archivo /etc/hostname. interfaz para la interfaz de red principal y otras interfaces que configure de modo opcional durante la instalacin. Si ha configurado interfaces adicionales durante la instalacin, compruebe que cada interfaz tenga un archivo /etc/hostname. interfaz correspondiente. No es necesario configurar ms de una interfaz durante la instalacin de Solaris. Sin embargo, si ms adelante desea agregar ms interfaces al sistema, debe configurarlas manualmente. Para ver los pasos necesarios para configurar interfaces manualmente, consulte Administracin de interfaces en Solaris 10 3/05 en la pgina 144 oCmo configurar una interfaz fsica tras la instalacin del sistema en la pgina 156, para las versiones a partir de Solaris 10 1/06.
2 3
Para Solaris 10 11/06 y las versiones anteriores, compruebe que las entradas del archivo /etc/inet/ipnodes sean actuales. El programa de instalacin de Solaris 10 crea el archivo /etc/inet/ipnodes. Este archivo contiene el nombre de nodo y las direcciones IPv4, as como la direccin IPv6, si es pertinente, de cada interfaz que se configure durante la instalacin.
Captulo 5 Configuracin de servicios de red TCP/IP y direcciones IPv4 (tareas) 105
Los apodos son nombres adicionales por los que se conoce una interfaz.
6
Compruebe que las entradas del archivo /etc/inet/hosts sean actuales. El programa de instalacin de Solaris crea entradas para la interfaz de red principal, la direccin en bucle y, si es preciso, cualquier interfaz adicional configurada durante la instalacin. a. Asegrese de que las entradas de /etc/inet/hosts sean actuales. b. (Opcional) Agregue las direcciones IP y los nombres correspondientes para las interfaces de red que se hayan agregado al host local tras la instalacin. c. (Opcional) Agregue la direccin o las direcciones IP del servidor de archivos, si el sistema de archivos /usr est montado con NFS.
Escriba el nombre de dominio completo de host en el archivo /etc/defaultdomain. Por ejemplo, supongamos que el host tenere es parte del dominio deserts.worldwide.com. Por tanto, debera escribir deserts.worldwide.com en /etc/defaultdomain . Consulte Archivo /etc/defaultdomain en la pgina 251 para obtener informacin adicional. Escriba el nombre de encaminador en el archivo /etc/defaultrouter. Consulte Archivo /etc/defaultrouter en la pgina 251 para obtener informacin sobre este archivo. Escriba el nombre del encaminador predeterminado y sus direcciones IP en el archivo /etc/inet/hosts. Hay disponibles opciones de encaminamiento adicionales, tal como se describe en Cmo configurar hosts para el modo de cliente de red en la pgina 109. Puede aplicar dichas opciones a una configuracin de modo de archivos locales. Agregue la mscara de red para su red, si es preciso:
10
Si el host obtiene la direccin IP de un servidor DHCP, no es necesario especificar la mscara de red. Si ha configurado un servidor NIS en la misma red que este cliente, puede agregar informacin de netmask en la base de datos adecuada del servidor. Para las dems condiciones, haga lo siguiente:
a. Escriba el nmero de red y la mscara de red en el archivo /etc/inet/netmasks. Use el siguiente formato:
network-number netmask
106 Gua de administracin del sistema: servicios IP Octubre de 2009
Para las direcciones CIDR, convierta el prefijo de red en la representacin decimal con punto equivalente. Los prefijos de red y sus equivalentes decimales con punto se incluyen en la Tabla 23. Por ejemplo, utilice lo siguiente para expresar el prefijo de red CIDR 192.168.3.0/22.
192.168.3.0 255.255.252.0
b. Cambie el orden de bsqueda de las mscaras de red en /etc/nsswitch.conf, para que se busquen los archivos locales en primer lugar:
netmasks: 11 files nis
Rearranque el sistema.
Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Cambie al directorio root (/) del servidor de configuracin de red. Active el daemon in.tftpd creando el directorio /tftpboot:
# mkdir /tftpboot
2 3
Active la lnea tftp en el archivo /etc/inetd.conf. Compruebe que la entrada sea como la siguiente:
tftp dgram udp6 wait root /usr/sbin/in.tftpd in.tftpd -s /tftpboot
Esta lnea impide que in.tftpd recupere archivos que no sean los que se encuentran en /tftpboot.
Captulo 5 Configuracin de servicios de red TCP/IP y direcciones IPv4 (tareas) 107
Edite la base de datos hosts. Agregue los nombres de host y direcciones IP para cada cliente de la red.
Edite la base de datos ethers. Cree entradas para cada host en la red que se ejecute en modo de cliente de red.
Edite la base de datos bootparams. Consulte Base de datos bootparams en la pgina 265. Utilice la entrada de comodn o cree una entrada para cada host que se ejecute en modo de cliente de red.
Convierta la entrada /etc/inetd.conf en un manifiesto de servicio de la Utilidad de gestin de servicios (SMF), y active el servicio resultante:
# /usr/sbin/inetconv
10
Ms informacin
108
Busque el directorio /etc para el archivo nodename. Si existe, elimnelo. La eliminacin de /etc/nodename hace que el sistema utilice el programa hostconfig para obtener el nombre de host, el nombre de dominio y las direcciones de encaminador del servidor de configuracin de red. Consulte Configuracin de sistemas en la red local en la pgina 104.
Cree el archivo /etc/hostname. interfaz, si no existe. Asegrese de que el archivo est vaco. Un archivo /etc/hostname.interfaz vaco hace que el sistema obtenga la direccin IPv4 del servidor de configuracin de red.
Asegrese de que el archivo /etc/inet/hosts contenga nicamente el nombre y la direccin IP de localhost de la interfaz de red en bucle.
# cat /etc/inet/hosts # Internet host table # 127.0.0.1 localhost
La interfaz en bucle IPv4 tiene la direccin IP 127.0.0.1 Para ms informacin, consulte Direccin en bucle en la pgina 252. El archivo no debe contener la direccin IP ni el nombre de host para el host local (interfaz de red principal).
5
Compruebe que exista un archivo /etc/defaultdomain. Si existe, elimnelo. El programa hostconfig configura automticamente el nombre de dominio. Para modificar el nombre de dominio que establece hostconfig, escriba el nombre de dominio que desee en el archivo /etc/defaultdomain.
Asegrese de que las rutas de bsqueda del archivo /etc/nsswitch.conf del cliente reflejen los requisitos del servicio de nombres para la red.
109
En la mayora de los casos, los pasos siguientes utilizan la notacin decimal con punto de IPv4 tradicional para especificar la direccin IPv4 y la mscara de subred. Tambin puede utilizar la notacin CIDR para especificar la direccin IPv4 en todos los archivos aplicables de este procedimiento. Para ver una introduccin a la notacin CIDR, consulte Direcciones IPv4 en formato CIDR en la pgina 56.
1
Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Slo para Solaris 10 11/06 y las versiones anteriores, modifique la direccin IP del archivo /etc/inet/ipnodes o la base de datos ipnodes equivalente. Utilice la siguiente sintaxis para cada direccin IP que agregue al sistema:
IP-address host-name, nicknames IP-address interface-name, nicknames
La primera entrada debe contener la direccin IP de la interfaz de red principal y el nombre de host del sistema. De modo opcional, puede agregar apodos para el nombre de host. Al agregar interfaces fsicas adicionales a un sistema, cree entradas en /etc/inet/ipnodes para las direcciones IP y los nombres asociados de dichas interfaces.
3
Si necesita cambiar el nombre de host del sistema, modifique la entrada de nombre de host en el archivo /etc/nodename. Modifique la direccin IP y, si es preciso, el nombre de host en el archivo /etc/inet/hosts o la base de datos hosts equivalente.
110
Modifique la direccin IP del archivo /etc/hostname.interfaz para la interfaz de red principal. Puede utilizar cualquiera de las siguientes entradas como entrada para la interfaz de red principal en el archivo /etc/hostnameinterfaz:
Direccin IPv4, expresada en el formato decimal con punto tradicional Use la sintaxis siguiente:
IPv4 address subnet mask
La entrada de mscara de red es opcional. Si no la especifica, se utiliza la mscara de red predeterminada. A continuacin le mostramos un ejemplo:
# vi hostname.eri0 10.0.2.5 netmask 255.0.0.0
Direcciones IPv4, expresadas en la notacin CIDR, si son adecuadas para la configuracin de la red.
IPv4 address/network prefix
El prefijo CIDR indica la mscara de red adecuada para la direccin IPv4. Por ejemplo, el /8 indica la mscara de red 255.0.0.0.
Nombre de host. Para utilizar el nombre de host del sistema en el archivo /etc/hostname.interfaz, asegrese de que el nombre de host y la direccin IPv4 asociada tambin estn en la base de datos hosts.
Si la mscara de subred ha cambiado, modifique las entradas de subred en los archivos siguientes:
Si la direccin de subred ha cambiado, cambie la direccin IP del encaminador predeterminado en /etc/defaultrouter a la direccin del nuevo encaminador predeterminado de la subred. Reinicie el sistema.
# reboot -- -r
Captulo 5 Configuracin de servicios de red TCP/IP y direcciones IPv4 (tareas) 111
Ejemplo 51
Cmo modificar las direcciones IPv4 y otros parmetros de red para que persistan en los rearranques
Este ejemplo muestra cmo cambiar los siguientes parmetros de red de un sistema que se pasa a otra subred:
La direccin IP de la interfaz de red principal eri0 cambia de 10.0.0.14 a 192.168.55.14 . El nombre de host cambia de myhost a mynewhostname. La mscara de red cambia de 255.0.0.0 a 255.255.255.0. La direccin del encaminador predeterminado cambia a 192.168.55.200 .
A continuacin, cambie el nombre de host del sistema y la direccin IP de eri0 en los archivos adecuados:
# vi /etc/nodename mynewhostname In Solaris 10 11/06 and earlier Solaris 10 releases only, do the following: # vi /etc/inet/ipnodes 192.168.55.14 mynewhostname #moved system to 192.168.55 net # vi /etc/inet/hosts # # Internet host table # 127.0.0.1 localhost 192.168.55.14 mynewhostname loghost # vi /etc/hostname.eri0 192.168.55.14 netmask 255.255.255.0
Ejemplo 52
Ejemplo 53
Cmo cambiar la direccin IPv4 para la sesin actual, utilizando la notacin CIDR
Este ejemplo muestra cmo cambiar un nombre de host y la direccin IP slo para la sesin actual, utilizando la notacin CIDR. Si rearranca, el sistema vuelve a tener la mscara de subred y la direccin IP anteriores. La direccin IP de la interfaz de red principal, eri0, cambia de 10.0.0.14 a 192.168.6.25/27.
# ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 eri0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 10.0.0.14 netmask ff000000 broadcast 10.255.255.255 ether 8:0:20:c1:8b:c3 # ifconfig eri0 192.168.6.25/27 broadcast + up # vi /etc/nodename mynewhostname # ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 eri0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.06.25 netmask ffffffe0 broadcast 10.255.255.255 ether 8:0:20:c1:8b:c3 # hostname mynewhostname
Cuando utiliza la notacin CIDR para la direccin IPv4, no es preciso especificar la mscara de red. ifconfig utiliza la designacin de prefijo de red para determinar la mscara de red. Por ejemplo, para la red 192.168.6.0/27, ifconfig configura la mscara de red ffffffe0. Si ha utilizado la designacin de prefijo /24 ms comn, la mscara de red resultante es ffffff00. El uso de la designacin de prefijo /24 equivale a especificar la mscara de red 255.255.255.0 como ifconfig al configurar una nueva direccin IP.
Vase tambin
Para cambiar la direccin IP de una interfaz que no sea la interfaz de red principal, consulte System Administration Guide: Basic Administration y Cmo configurar una interfaz fsica tras la instalacin del sistema en la pgina 156.
que no sea local, el sistema reenva dichos paquetes a la red local. A continuacin, la interfaz con la direccin IP de destino que se especifica en los encabezados del paquete recupera los paquetes de la red local. Si la direccin de destino no se encuentra en la red local, los paquetes se reenvan a la siguiente red adyacente, o salto. De manera predeterminada, el reenvo de paquetes se configura de manera automtica al instalar el sistema operativo Solaris. El encaminamiento es el proceso por el cual los sistemas deciden adnde enviar un paquete. Los protocolos de encaminamiento de un sistema "descubren" los otros sistemas de la red local. Cuando el sistema de origen y el de destino se encuentran en la misma red local, la ruta que recorren los paquetes entre ellos se denomina ruta directa. Si un paquete debe dar como mnimo un salto desde su sistema de origen, la ruta entre el sistema de origen y el de destino se denomina ruta indirecta. Los protocolos de encaminamiento recuerdan la ruta a una interfaz de destino y conservan los datos sobre las rutas conocidas en la tabla de encaminamiento del sistema. Los encaminadores son sistemas configurados especialmente con varias interfaces fsicas que conectan el encaminador a ms de una red local. Por tanto, el encaminador puede reenviar paquetes ms all de la LAN de inicio, al margen de si el encaminador ejecuta un protocolo de encaminamiento. Para ms informacin sobre el modo en que los encaminadores reenvan paquetes, consulte Planificacin de encaminadores en la red en la pgina 66. Los protocolos de encaminamiento administran la actividad de encaminamiento de un sistema y, al intercambiar la informacin de rutas con otros hosts, mantienen las rutas conocidas para las redes remotas. Tanto los encaminadores como los hosts pueden ejecutar protocolos de encaminamiento. Los protocolos de encaminamiento del host se comunican con los daemons de encaminamiento de otros encaminadores y hosts. Estos protocolos ayudan al host a determinar a donde reenviar los paquetes. Cuando las interfaces de red estn activas, el sistema automticamente se comunica con los daemons de encaminamiento. Estos daemons supervisan los encaminadores de la red y publican las direcciones de los encaminadores para los hosts de la red local. Algunos protocolos de encaminamiento, aunque no todos, tambin guardan estadsticas que puede utilizar para medir el rendimiento del encaminamiento. A diferencia del reenvo de paquetes, debe configurar explcitamente el encaminamiento en un sistema Solaris. Esta seccin contiene las tareas necesarias para administrar el reenvo de paquetes y el encaminamiento en hosts y encaminadores habilitados para IPv4. Para obtener informacin sobre el encaminamiento en una red habilitada para IPv6, consulte Configuracin de un encaminador IPv6 en la pgina 187.
bajo un control administrativo comn. En la topologa de red de la Figura 53, los encaminadores ejecutan un IGP para intercambiar informacin de encaminamiento. Los protocolos de portal exterior permiten al encaminador que conecta la interred local a una red externa intercambiar informacin con otro encaminador de la red externa. Por ejemplo, el encaminador que conecta una red corporativa a un ISP ejecuta un EGP para intercambiar informacin de encaminamiento con su encaminador equivalente del ISP. El protocolo de portal de lmite (BGP) es un conocido protocolo EGP que se utiliza para transferir informacin de encaminamiento entre diferentes organizaciones e IGP. La tabla siguiente proporciona informacin sobre los protocolos de encaminamiento de Solaris y la ubicacin de la documentacin asociada a cada protocolo.
TABLA 51 Protocolo
Protocolo Routing Information Protocol (RIP) Descubrimiento de encaminador de protocolo de mensajes de control de Internet (ICMP) Protocolo de informacin de encaminamiento, nueva generacin (RIPng) Protocolo de descubrimiento de vecinos (ND)
in.routed
IGP que encamina paquetes IPv4 y mantiene una tabla de encaminamiento Lo utilizan los hosts para descubrir la presencia de un encaminador en la red
Configuracin de un encaminador IPv4 en la pgina 122 Cmo activar el encaminamiento esttico en un host de interfaz nica en la pgina 134 y Cmo activar el encaminamiento dinmico en un host de interfaz nica en la pgina 137 Cmo configurar un encaminador habilitado para IPv6 en la pgina 188
in.routed
in.ripngd
in.ndpd
Advierte la presencia de un encaminador IPv6 y descubre la presencia de hosts IPv6 en una red
El sistema operativo Solaris 10 tambin admite el conjunto de protocolos de encaminamiento de cdigo abierto Quagga. Estos protocolos estn disponibles en el disco de consolidacin de SFW, aunque no forman parte de la distribucin principal de Solaris. La tabla siguiente enumera los protocolos Quagga:
TABLA 52 Protocolo
Protocolo RIP
ripd
Protocolo IGP vector-distancia para IPv4 que encamina paquetes IPv4 y muestra su tabla de encaminamiento a los vecinos.
116
TABLA 52 Protocolo
(Continuacin)
Descripcin
RIPng
ripngd
Protocolo IGP vector-distancia para IPv6. Encamina paquetes IPv6 y mantiene una tabla de encaminamiento. Protocolo IGP de estado de vnculo IPv4 para el encaminamiento de paquetes y las redes de gran disponibilidad Protocolo EGP para IPv4 y IPv6 para el encaminamiento en dominios administrativos.
Protocolo Abrir primero la ruta ms corta (OSPF) Protocolo de portal de lmite (BGP)
ospfd
bgpd
La figura siguiente muestra un sistema autnomo que utiliza los protocolos de encaminamiento Quagga:
117
Internet
Host A
Host B
Encaminador predeterminado R3
Encaminador de lmite R5
Re 2 RIP
RIP
Dominio de encaminamiento B
FIGURA 52
La figura muestra un sistema autnomo de red corporativa subdividido en dos dominios de encaminamiento: A y B. Un dominio de encaminamiento es una interred con una directiva de encaminamiento cohesiva, para fines administrativos o porque el dominio utiliza un nico protocolo de encaminamiento. Ambos dominios de la figura ejecutan protocolos de encaminamiento desde el conjunto de protocolos Quagga. El dominio de encaminamiento A es un dominio OSPF, que se administra con un nico ID de dominio OSPF. Todos los sistemas de este dominio ejecutan OSPF como protocolo de portal interior. Adems de los hosts y enrutadores internos, el dominio A incluye dos encaminadores de lmite.
118 Gua de administracin del sistema: servicios IP Octubre de 2009
El encaminador R1 conecta la red corporativa a un ISP y finalmente a Internet. Para facilitar las comunicaciones entre la red corporativa y el exterior, R1 ejecuta BGP en su interfaz de red dirigida al exterior. El encaminador de lmite R5 conecta el dominio A con el dominio B. Todos los sistemas del dominio B se administran con RIP como protocolo de portal interior. Por tanto, el encaminador de lmite R5 debe ejecutar OSPF en la interfaz dirigida al dominio A y RIP en la interfaz dirigida al dominio B. Para obtener ms informacin acerca de los protocolos Quagga, consulte Open Solaris Quagga (http://opensolaris.org/os/project/quagga/). Para obtener informacin acerca de los procedimientos de configuracin de estos protocolos, visite documentacin de Quagga.
119
Internet
ISP Encaminador I Red corporativa Encaminador de lmite Red 10.0.5.0 Encaminador predeterminado Encaminador 1 Encaminamiento dinmico en host A Red 192.168.5.0 Otros hosts Host con varias direcciones permanentes Red 192.168.5.0 Encaminamiento esttico en host B Red 172.20.1.0 Otros hosts Encaminador predeterminado Encaminador 2
Encaminador 3
FIGURA 53
La figura muestra un SA dividido en tres redes locales: 10.0.5.0, 172.20.1.0 y 192.168.5 . Cuatro encaminadores comparten las responsabilidades de reenvo de paquetes y encaminamiento. El SA incluye los siguientes tipos de sistemas:
Los encaminadores de lmite conectan un SA con una red externa, como Internet. Los encaminadores de lmite se interconectan con redes externas al IGP que se ejecuta en el SA local. Un encaminador de lmite puede ejecutar un EGP, como BGP, para intercambiar informacin con encaminadores externos, por ejemplo los encaminadores del ISP. En la Figura 53, las interfaces del encaminador de lmite se conectan a la red interna 10.0.5.0 y a un encaminador de alta velocidad de un proveedor de servicios.
120
Para obtener informacin sobre cmo configurar un encaminador de lmite, consulte la Open Source Quagga documentation (http://www.quagga.net/docs/ docs-info.php#SEC72) para BGP. Si tiene previsto utilizar BGP para conectar el SA con Internet, debe obtener un nmero de sistema autnomo (ASN) del registro de Internet para su configuracin regional. Los registros regionales, como ARIN (American Registry for Internet Numbers), incluyen las pautas para obtener un ASN. Por ejemplo, el ARIN Number Resource Policy Manual (http://www.arin.net/policy/nrpm.html#five) contiene instrucciones para obtener un ASN para sistemas autnomos en Estados Unidos y Canad. Su ISP tambin puede facilitarle un ASN.
Los encaminadores predeterminados guardan la informacin de encaminamiento en la red local. Estos encaminadores normalmente ejecutan IGP como RIP. En la Figura 53, las interfaces del encaminador 1 estn conectadas a las redes internas 10.0.5.0 y 192.168.5. El encaminador 1 tambin sirve como encaminador predeterminado para 192.168.5. El encaminador 1 guarda la informacin de encaminamiento para todos los sistemas en 192.168.5 y la dirige a otros encaminadores, como el encaminador de lmite. Las interfaces del encaminador 2 se conectan a las redes internas 10.0.5.0 y 172.20.1. Para ver un ejemplo de configuracin de un encaminador predeterminado, consulte el Ejemplo 54.
Los encaminadores de reenvo de paquetes reenvan paquetes pero no ejecutan protocolos de encaminamiento. Este tipo de encaminador recibe paquetes de una de sus interfaces que est conectada a una nica red. A continuacin, estos paquetes se reenvan mediante otra interfaz del encaminador a otra red local. En la Figura 53, el encaminador 3 es un encaminador de reenvo de paquetes con conexiones a las redes 172.20.1 y 192.168.5. Los hosts mltiples tienen dos o ms interfaces conectadas al mismo segmento de red. Un host mltiple puede reenviar paquetes, que es la accin predeterminada para todos los sistemas que ejecutan el sistema operativo Solaris. La Figura 53 muestra un host mltiple con ambas interfaces conectadas a la red 192.168.5. El Ejemplo 56 muestra cmo configurar un host mltiple. Los hosts de interfaz nica dependen de los encaminadores locales, no slo para reenviar paquetes, sino tambin para recibir informacin de configuracin de gran valor. La Figura 53 incluye el host A en la red 192.168.5, que implementa un encaminamiento dinmico, y el host B en la red 172.20.1, que implementa un encaminamiento esttico. Para configurar un host para ejecutar encaminamiento dinmico, consulte Cmo activar el encaminamiento dinmico en un host de interfaz nica en la pgina 137. Para configurar un host para ejecutar encaminamiento esttico, consulte Cmo activar el encaminamiento esttico en un host de interfaz nica en la pgina 134.
121
sistema Solaris. Para obtener ms informacin, consulte Gua de instalacin de Solaris 10: instalaciones bsicas.
Una vez el encaminador est instalado fsicamente en la red, configrelo para que funcione en modo de archivos locales, tal como se describe en Cmo configurar un host para el modo de archivos locales en la pgina 105. Con esta configuracin, los encaminadores arrancarn si el servidor de configuracin de red no funciona. En el sistema que va a configurar como encaminador, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
A partir de Solaris 10 1/06, utilice el comando dladm show-link para determinar qu interfaces estn instaladas fsicamente en el encaminador.
# dladm show-link
122
El siguiente ejemplo de resultado de dladm show-link indica que en el sistema hay disponibles una tarjeta NIC qfe con cuatro interfaces y dos interfaces bge.
qfe0 qfe1 qfe2 qfe3 bge0 bge1 3 type: type: type: type: type: type: legacy legacy legacy legacy non-vlan non-vlan mtu: mtu: mtu: mtu: mtu: mtu: 1500 1500 1500 1500 1500 1500 device: device: device: device: device: device: qfe0 qfe1 qfe0 qfe1 bge0 bge1
Revise las interfaces del encaminador que se han configurado y sondeado durante la instalacin.
# ifconfig -a
El resultado siguiente de ifconfig -a muestra que se ha configurado la interfaz qfe0 durante la instalacin. Esta interfaz se encuentra en la red 172.16.0.0. Las interfaces restantes de NIC qfe, qfe1 - qfe3, y las interfaces bge no se han configurado.
lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 qfe0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 172.16.26.232 netmask ffff0000 broadcast 172.16.26.255 ether 0:3:ba:11:b1:15
Nota Las interfaces que se configuran explcitamente con el comando ifconfig no persisten
tras un rearranque.
5
de DHCP, pero slo se recomienda hacerlo a los administradores de sistemas DHCP experimentados.
# ifconfig interface IPv4-address netmask+netmask
El prefijo /24 asigna automticamente la mscara de red 255.255.255.0 a qfe1. Consulte la tabla de prefijos CIDR y sus equivalentes de mscara de red de decimal con punto en la Figura 22.
6
(Opcional) Para asegurarse de que la configuracin de la interfaz persista tras los rearranques, cree un archivo /etc/hostname.interfaz para cada interfaz fsica adicional. Por ejemplo, cree los archivos /etc/hostname.qfe1 y /etc/hostname.qfe2. A continuacin, escriba el nombre de host timbuktu en el archivo /etc/hostname.qfe1 y el nombre de host timbuktu-201 en /etc/hostname.qfe1. Para obtener ms informacin sobre cmo configurar interfaces nicas, consulte Cmo configurar una interfaz fsica tras la instalacin del sistema en la pgina 156. Asegrese de rearrancar la configuracin tras crear el archivo:
# reboot -- -r
Agregue el nombre de host y la direccin IP de cada interfaz al archivo /etc/inet/hosts. Por ejemplo:
172.16.26.232 192.168.200.20 192.168.201.20 192.168.200.9 192.168.200.10 192.168.200.110 192.168.200.12 deadsea timbuktu timbuktu-201 gobi mojave saltlake chilean #interface for network 172.16.0.0 #interface for network 192.168.200 #interface for network 192.168.201
Las interfaces timbuktu y timbuktu-201 se encuentran en el mismo sistema. Observe que la direccin de red para timbuktu-201 es diferente de la interfaz de red para timbuktu. Esa diferencia existe porque el medio de red fsico de la red 192.168.201 est conectado a la interfaz de red timbuktu-201, mientras que el medio de la red 192.168.200 est conectado a la interfaz timbuktu.
8
Slo para Solaris 10 11/06 y las versiones anteriores de Solaris 10, agregue la direccin IP y el nombre de host de cada interfaz nueva en el archivo /etc/inet/ipnodes o la base de datos ipnodes equivalente. Por ejemplo:
vi /etc/inet/ipnodes 172.16.26.232 deadsea 192.168.200.20 timbuktu 192.168.201.20 timbuktu-201 #interface for network 172.16.0.0 #interface for network 192.168.200 #interface for network 192.168.201
124
Si el encaminador est conectado a una red con subredes, agregue el nmero de red y la mscara de red al archivo /etc/inet/netmasks.
Para las direcciones CIDR, utilice la versin de decimal con punto del prefijo en la entrada del archivo /etc/inet/netmask. Los prefijos de red y sus equivalentes decimales con punto se pueden encontrar en la Figura 22. Por ejemplo, debe utilizar la entrada siguiente de /etc/netmasks para expresar el prefijo de red CIDR 192.168.3.0/22:
192.168.3.0 255.255.252.0
10
Habilite el reenvo de paquetes IPv4 en el encaminador. Utilice uno de los siguientes comandos para habilitar el reenvo de paquetes:
En este punto, el encaminador puede reenviar paquetes ms all de la red local. El encaminador tambin admite el encaminamiento esttico, un proceso que permite agregar manualmente rutas a la tabla de encaminamiento. Si tiene previsto utilizar encaminamiento esttico en este sistema, habr finalizado la configuracin del encaminador. Sin embargo, debe guardar las rutas en la tabla de encaminamiento del sistema. Para obtener informacin sobre cmo agregar rutas, consulte Configuracin de rutas en la pgina 128 y la pgina del comando man route(1M).
11
(Opcional) Inicie un protocolo de encaminamiento. El daemon de encaminamiento /usr/sbin/in.routed actualiza automticamente la tabla de encaminamiento. Este proceso se conoce como encaminamiento dinmico. Active los protocolos de encaminamiento IPv4 predeterminados de uno de los modos siguientes:
Utilice el siguiente comando de SMF para iniciar un protocolo de encaminamiento como RIP.
# svcadm enable route:default
Para obtener informacin sobre el comando routeadm, consulte la pgina del comando man routeadm(1M).
Ejemplo 54
# ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 ce0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 172.20.1.10 netmask ffff0000 broadcast 172.20.10.100 ether 8:0:20:c1:1b:c6
El resultado de dladm show-link indica que hay tres vnculos disponibles en el sistema. Slo se ha sondeado la interfaz ce0. Para iniciar la configuracin de encaminador predeterminada, debe sondear fsicamente la interfaz bge0 a la red 10.0.5.0. A continuacin, debe sondear la interfaz y configurarla para que persista tras los rearranques.
# ifconfig bge0 plumb up # ifconfig bge0 10.0.5.10 # ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 ce0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 172.20.1.10 netmask ffff0000 broadcast 172.255.255.255 ether 8:0:20:c1:1b:c6 bge0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 10.0.5.10 netmask ff000000 broadcast 10.255.255.255 ether 8:0:20:e5:95:c4 # vi /etc/hostname.bge0
126 Gua de administracin del sistema: servicios IP Octubre de 2009
10.0.5.10 255.0.0.0
Siga configurando las siguientes bases de datos de red con informacin sobre la interfaz que acaba de sondear y la red a la que est conectada:
# vi /etc/inet/hosts 127.0.0.1 localhost 172.20.1.10 router2 10.0.5.10 router2-out # vi /etc/inet/netmasks 172.20.1.0 255.255.0.0 10.0.5.0 255.0.0.0
Finalmente, utilice SMF para activar el reenvo de paquetes y luego active el daemon de encaminamiento in.routed.
# svcadm enable ipv4-forwarding # svcadm enable route:default
Ahora el reenvo de paquetes IPv4 y el encaminamiento dinmico mediante RIP estn activados en el encaminador 2. Sin embargo, la configuracin de encaminador predeterminada para la red 172.20.1.0 todava no se ha completado. Debe hacer lo siguiente:
Modificar cada host de 172.10.1.10 para que obtenga su informacin de encaminamiento del nuevo encaminador predeterminado. Para ms informacin, consulte Cmo activar el encaminamiento esttico en un host de interfaz nica en la pgina 134. Defina una ruta esttica para el encaminador de lmite en la tabla de encaminamiento del encaminador 2. Para obtener ms informacin, consulte Tablas y tipos de encaminamiento en la pgina 127.
Flags Ref Use Interface ----- ----- ------ --------UG 1 532 ce0 U 1 0 bge0 U 1 0 bge0 UH 1 57 lo0
Puede configurar dos tipos de encaminamiento en un sistema Solaris: esttico y dinmico. Puede configurar uno o ambos tipos de encaminamiento en un nico sistema. Un sistema que implementa encaminamiento dinmico se basa en los protocolos de encaminamiento, como RIP para redes IPv4 y RIPng para redes IPv6, con el fin de mantener sus tablas de encaminamiento. Un sistema que slo ejecuta encaminamiento esttico no se basa en ningn protocolo de encaminamiento para la informacin de encaminamiento ni para actualizar la tabla de encaminamiento. Es preciso guardar las rutas conocidas del sistema manualmente con el comando route. Para obtener ms informacin al respecto, consulte la pgina del comando man route(1M). Al configurar el encaminamiento para la red local o el sistema autnomo, considere el tipo de encaminamiento que desea para los hosts y encaminadores especficos.
Tipo de encaminamiento Recomendado para
Esttico
Hosts y redes de tamao reducido que obtienen las rutas de un encaminador predeterminado, y encaminadores predeterminados que slo necesitan conocer uno o dos encaminadores en los siguientes saltos. Interredes de mayor tamao, encaminadores en redes locales con mltiples hosts y hosts de sistemas autnomos de gran tamao. El encaminamiento dinmico es la mejor opcin para los sistemas en la mayora de las redes. Encaminadores que conectan una red con encaminamiento esttico y una red con encaminamiento dinmico, y encaminadores de lmite que conectan un sistema autnomo interior con redes externas. La combinacin del encaminamiento esttico y dinmico en un sistema es una prctica habitual.
Dinmico
Configuracin de rutas
Para implementar el encaminamiento dinmico para una red IPv4, utilice el comando routeadm o svcadm para iniciar el daemon de encaminamiento in.routed. Para ver las instrucciones, consulte Configuracin de un encaminador IPv4 en la pgina 122. El encaminamiento dinmico es la estrategia preferida para la mayora de las redes y sistemas autnomos. Sin embargo, la topologa de red o un sistema especfico de la red podran requerir
128 Gua de administracin del sistema: servicios IP Octubre de 2009
el encaminamiento esttico. En tal caso, debe editar manualmente la tabla de encaminamiento del sistema para que refleje la ruta conocida al portal. El siguiente procedimiento muestra cmo agregar una ruta esttica.
Nota Dos rutas al mismo destino no hacen que el sistema ejecute automticamente la funcin
de equilibrio de carga o fallos. Si necesita estas funciones, utilice IPMP, tal como se describe en el Captulo 30, Introduccin a IPMP (descripcin general).
Visualice el estado actual de la tabla de encaminamiento. Utilice su cuenta de usuario habitual para ejecutar el siguiente comando netstat:
% netstat -rn
Flags Ref Use Interface ----- ----- ------ --------U 1 5879 ipge0 U 1 0 ipge0 UG 1 91908 UH 1 811302 lo0
Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
-p
Crea una ruta que debe persistir tras el rearranque del sistema. Si desea que la ruta sea vlida slo para la sesin actual, no utilice la opcin -p. Indica que est a punto de agregar la siguiente ruta. Especifica que la ruta se dirige a la red con la direccin de direccin_red.
129
-gateway direccin_portal
Indica que el sistema de portal para la ruta especificada tiene la direccin IP direccin_portal.
Ejemplo 55
Flags Ref Use Interface ----- ----- ------ --------UG 1 249 ce0 U 1 0 ce0 U 1 78 bge0 UH 1 57 lo0
La tabla de encaminamiento indica las dos rutas que conoce el encaminador 2. La ruta predeterminada utiliza la interfaz 172.20.1.10 del encaminador 2 como portal. La segunda ruta, 10.0.5.0, fue descubierta por el daemon in.routed que se ejecuta en el encaminador 2. El portal de esta ruta es el encaminador 1, con la direccin IP 10.0.5.20. Para agregar una segunda ruta a la red 10.0.5.0, que tiene su portal como encaminador de lmite, debe configurar lo siguiente:
# route -p add -net 10.0.5.0/24 -gateway 10.0.5.150/24 add net 10.0.5.0: gateway 10.0.5.150
Ahora la tabla de encaminamiento cuenta con una ruta para el encaminador de lmite, que tiene la direccin IP 10.0.5.150/24.
# netstat -rn Routing Table: IPv4 Destination -------------------default 224.0.0.0 10.0.5.0 10.0.5.0 127.0.0.1
Flags Ref Use Interface ----- ----- ------ --------UG 1 249 ce0 U 1 0 ce0 U 1 78 bge0 U 1 375 bge0 UH 1 57 lo0
130
Los servidores NFS, especialmente los que funcionan como grandes centros de datos, se pueden conectar a ms de una red para que un grupo de usuarios de gran tamao pueda compartir archivos. No es necesario que estos servidores mantengan tablas de encaminamiento. Los servidores de bases de datos pueden tener varias interfaces de red para proporcionar recursos a un grupo de usuarios de gran tamao, como los servidores NFS. Los portales de cortafuegos son sistemas que proporcionan conexin entre la red de una compaa y las redes pblicas como Internet. Los administradores configuran los cortafuegos como una medida de seguridad. Cuando se configura el host como un cortafuegos, no transfiere paquetes entre las redes conectadas a las interfaces del host. Sin embargo, el host puede seguir ofreciendo los servicios TCP/IP estndar, como ssh, a los usuarios autorizados.
Nota Cuando los hosts mltiples tienen diferentes tipos de cortafuegos en cualquiera de sus interfaces, procure evitar las interrupciones involuntarias de los paquetes del host. Este problema sucede especialmente con los cortafuegos con estado. Una solucin podra ser configurar los cortafuegos sin estado. Para ms informacin sobre los cortafuegos, consulte Firewall Systems de System Administration Guide: Security Services o la documentacin del cortafuegos si es de otro proveedor.
En el host mltiple previsto, asuma la funcin de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Configure y sondee cada interfaz de red adicional que no se haya configurado como parte de la instalacin del sistema operativo Solaris. Consulte Cmo configurar una interfaz fsica tras la instalacin del sistema en la pgina 156.
131
El comando routeadm sin opciones informa del estado de los daemon de encaminamiento. El siguiente resultado de routeadm muestra que el reenvo de IPv4 est activo:
Current Current Option Configuration System State --------------------------------------------------------------IPv4 routing disabled disabled IPv6 routing disabled disabled IPv4 forwarding enabled disabled IPv6 forwarding disabled disabled Routing services 4 "route:default ripng:default" Configuration
Desactive el reenvo de paquetes, si est activo en el sistema. Utilice uno de los siguientes comandos:
(Opcional) Active el encaminamiento dinmico para el host mltiple. Utilice uno de los siguientes comandos para activar el daemon in.routed:
Ejemplo 56
132
# dladm show-link hme0 type: legacy mtu: 1500 device: hme0 qfe0 type: legacy mtu: 1500 device: qfe0 qfe1 type: legacy mtu: 1500 device: qfe1 qfe2 type: legacy mtu: 1500 device: qfe2 qfe3 type: legacy mtu: 1500 device: qfe3 # ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 hme0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.5.82 netmask ff000000 broadcast 192.255.255.255 ether 8:0:20:c1:1b:c6
El comando dladm show-link muestra que hostc tiene dos interfaces con un total de cinco vnculos posibles. Sin embargo, slo se ha sondeado hme0. Para configurar hostc como host mltiple, debe agregar qfe0 u otro vnculo en la tarjeta NIC qfe. En primer lugar, debe conectar fsicamente la interfaz qfe0 a la red 192.168.5.0. A continuacin, sondee la interfaz qfe0 y haga que persista tras los rearranques.
# ifconfig qf0 plumb up # ifconfig qfe0 192.168.5.85 # ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 hme0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.5.82 netmask ff0000 broadcast 192.255.255.255 ether 8:0:20:c1:1b:c6 qfe0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.5.85 netmask ff000000 broadcast 192.255.255.255 ether 8:0:20:e1:3b:c4 # vi /etc/hostname.qfe0 192.168.5.85 255.0.0.0
133
# routeadm Configuration Current Current Option Configuration System State --------------------------------------------------------------IPv4 routing enabled enabled IPv6 routing disabled disabled IPv4 forwarding enabled enabled IPv6 forwarding disabled disabled Routing services "route:default ripng:default"
El comando routeadm indica que el encaminamiento dinmico a travs del daemon in.routed y el reenvo de paquetes estn activos. Sin embargo, necesita desactivar el reenvo de paquetes:
# svcadm disable ipv4-forwarding
Tambin puede utilizar los comandos routeadm como se indica en Cmo crear un host mltiple en la pgina 131 para desactivar el reenvo de paquetes. Cuando el reenvo de paquetes est desactivado, host3 se convierte en un host mltiple.
134
Para obtener informacin sobre el archivo /etc/defaultrouter, consulte Archivo /etc/defaultrouter en la pgina 251. Para obtener informacin sobre el encaminamiento esttico y la tabla de encaminamiento, consulte Tablas y tipos de encaminamiento en la pgina 127.
1
En el host de interfaz nica, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Compruebe que el archivo /etc/defaultrouter est presente en el host.
# cd /etc # ls | grep defaultrouter
3 4
Abra un editor de texto para crear o modificar el archivo /etc/defaultrouter. Agregue una entrada para el encaminador predeterminado.
# vi /etc/defaultrouter router-IP
donde IP_encaminador indica la direccin IP del encaminador predeterminado para el host que se debe usar.
5
Agregue una entrada para el encaminador predeterminado en el archivo /etc/inet/hosts local. Para obtener informacin sobre cmo configurar /etc/inet/hosts, consulte Cmo cambiar la direccin IPv4 y otros parmetros de configuracin de red en la pgina 110.
135
Ejemplo 57
La entrada en el archivo /etc/defaultrouter es la direccin IP de la interfaz en el encaminador 2, que se conecta a la red 172.20.1.0. A continuacin, compruebe si el host permite el reenvo de paquetes o el encaminamiento.
# routeadm Configuration
Current Current Option Configuration System State --------------------------------------------------------------IPv4 routing disabled disabled IPv6 routing disabled disabled IPv4 forwarding enabled enabled IPv6 forwarding disabled disabled Routing services "route:default ripng:default"
El reenvo de paquetes est activado para este host especfico. Debe desactivarlo del modo siguiente:
# svcadm disable ipv4-forwarding
Por ltimo, debe asegurarse de que el archivo /etc/inet/hosts del host tenga una entrada para el nuevo encaminador predeterminado.
# vi /etc/inet/hosts 127.0.0.1 localhost 172.20.1.18 host2 #primary network interface for host2 172.20.1.10 router2 #default router for host2
136
En el host, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Compruebe que exista el archivo /etc/defaultrouter.
# cd /etc # ls | grep defaultrouter
Si /etc/defaultrouter existe, elimine cualquier entrada que encuentre. Un archivo /etc/defaultrouter vaco obliga al host a utilizar el encaminamiento dinmico. Compruebe que el reenvo de paquetes y el encaminamiento estn activados en el host.
# routeadm Configuration Current Current Option Configuration System State --------------------------------------------------------------IPv4 routing disabled disabled IPv6 routing disabled disabled IPv4 forwarding enabled enabled IPv6 forwarding disabled disabled Routing services "route:default ripng:default"
Si el reenvo de paquetes est activo, desactvelo. Utilice uno de los siguientes comandos:
137
Active los protocolos de encaminamiento en el host. Utilice uno de los siguientes comandos:
Ahora el encaminamiento dinmico de IPv4 estar activo. La tabla de encaminamiento del host se guarda de forma dinmica mediante el daemon in.routed.
Ejemplo 58
El archivo presenta la entrada 192.168.5.10, que es la direccin IP del encaminador 1. Para activar el encaminamiento esttico, deber eliminar esta entrada. A continuacin, debe verificar que el reenvo de paquetes y el encaminamiento estn activados para el host.
Configuration Current Current Option Configuration System State --------------------------------------------------------------IPv4 routing disabled disabled IPv6 routing disabled disabled IPv4 forwarding disabled disabled IPv6 forwarding disabled disabled Routing services "route:default ripng:default" # routeadm
138
Tanto el encaminamiento como el reenvo de paquetes estn desactivados para hosta . Active el encaminamiento para completar la configuracin del encaminamiento dinmico para hosta, del modo siguiente:
# svcadm enable route:default
Registrar todas las conexiones TCP entrantes Agregar servicios que ejecutan un protocolo de capa de transporte, utilizando SCTP a modo de ejemplo Configurar la funcin de envoltorios TCP para el control de acceso
Para obtener informacin detallada sobre el daemon inetd, consulte la pgina del comando man inetd(1M).
Active el seguimiento TCP para todos los servicios que administre inetd.
# inetadm -M tcp_trace=TRUE
La tarea siguiente muestra cmo agregar un servicio SCTP inet que administre el daemon inetd al depsito SMF. La tarea muestra cmo utilizar los comandos de la Utilidad de gestin de servicios (SMF) para agregar el servicio.
Para obtener informacin sobre los comandos SMF, consulte SMF Command-Line Administrative Utilities de System Administration Guide: Basic Administration. Para obtener informacin sobre la sintaxis, consulte las pginas del comando man para los comandos SMF, como se describe en el procedimiento. Para obtener informacin detallada sobre SMF, consulte la pgina del comando man smf(5).
Antes de empezar
Antes de llevar a cabo el procedimiento siguiente, cree un archivo manifest para el servicio. El procedimiento utiliza como ejemplo un archivo manifest para el servicio echo que se denomina echo.sctp.xml . Inicie sesin en el sistema local con una cuenta de usuario con privilegios de escritura para los archivos del sistema.
140
Edite el archivo /etc/services y agregue una definicin para el nuevo servicio. Utilice la siguiente sintaxis para la definicin del servicio.
service-name |port/protocol | aliases
Agregue el nuevo servicio. Vaya al directorio en el que se encuentra el manifiesto del servicio y escriba lo siguiente:
# cd dir-name # svccfg import service-manifest-name
Para ver la sintaxis completa de svccfg, consulte la pgina del comando man svccfg(1M). Supongamos que desea agregar un nuevo servicio SCTP echo utilizando el manifiesto echo.sctp.xml que se encuentra en el directorio service.dir. Debe escribir lo siguiente:
# cd service.dir # svccfg import echo.sctp.xml 4
Para el argumento FMRI, utilice el Fault Managed Resource Identifier (FMRI) del manifiesto del servicio. Por ejemplo, para el servicio SCTP echo, debe utilizar el comando siguiente:
# svcs svc:/network/echo:sctp_stream
Si desea obtener informacin detallada sobre el comando svcs, consulte la pgina del comando man svcs(1). El resultado indica que el nuevo manifiesto del servicio est desactivado.
5
Enumere las propiedades del servicio para determinar si debe realizar modificaciones.
# inetadm -l FMRI
Para obtener informacin detallada sobre el comando inetadm, consulte la pgina del comando man inetadm(1M). Por ejemplo, para el servicio SCTP echo, debe escribir lo siguiente:
# inetadm -l svc:/network/echo:sctp_stream SCOPE NAME=VALUE name="echo" endpoint_type="stream"
141
Compruebe que el servicio est activado: Por ejemplo, para el nuevo servicio echo, debe escribir:
# inetadm | grep sctp_stream . . enabled online svc:/network/echo:sctp_stream
Ejemplo 59
142
default default default default default default default default default default default
proto="sctp" isrpc=FALSE wait=FALSE exec="/usr/lib/inet/in.echod -s" user="root" bind_addr="" bind_fail_max=-1 bind_fail_interval=-1 max_con_rate=-1 max_copies=-1 con_rate_offline=-1 failrate_cnt=40 failrate_interval=60 inherit_env=TRUE tcp_trace=FALSE tcp_wrappers=FALSE
# inetadm -e svc:/network/echo:sctp_stream # inetadm | grep echo disabled disabled disabled disabled enabled online
Cmo utilizar los envoltorios TCP para controlar el acceso a los servicios TCP
El programa tcpd implementa envoltorios TCP. Los envoltorios TCP incorporan una medida de seguridad para los daemons de servicio como ftpd al permanecer entre el daemon y las solicitudes de servicio entrantes. Los envoltorios TCP registran los intentos de conexin correctos e incorrectos. Asimismo, los envoltorios TCP pueden proporcionar control de acceso, y permitir o denegar la conexin en funcin del lugar donde se origine la solicitud. Puede utilizar los envoltorios TCP para proteger los daemons como SSH, Telnet o FTP. La aplicacin sendmail tambin puede utilizar envoltorios TCP, tal como se describe en Support for TCP Wrappers From Version 8.12 of sendmail de System Administration Guide: Network Services.
En el sistema local, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Active los envoltorios TCP.
# inetadm -M tcp_wrappers=TRUE
143
Configure la directiva de control de acceso de los envoltorios TCP tal como se describe en la pgina del comando man hosts_access(3). Esta pgina del comando man se encuentra en el directorio /usr/sfw/man del CD-ROM de SFW, que se suministra con el CD-ROM del sistema operativo Solaris.
Cmo agregar interfaces fsicas tras la instalacin del sistema Cmo agregar una red de rea local virtual (VLAN) a un adaptador de red
144
presentes en la instalacin y pregunta al usuario si desea configurarlas. Puede configurar estas interfaces en el momento del inicio o ms adelante.
Nota Las NIC tambin se conocen como adaptadores de red.
Adems de las tarjetas NIC integradas, puede agregar al sistema NIC que haya adquirido por separado. Las tarjetas NIC que haya adquirido por separado se instalan fsicamente de acuerdo con las instrucciones del fabricante. A continuacin, debe configurar las interfaces de las NIC para que se puedan utilizar para transferir trfico de datos. A continuacin se mencionan algunos motivos para configurar las interfaces adicionales en un sistema tras la instalacin:
Desea actualizar el sistema para convertirlo en un host mltiple. Para ms informacin sobre los hosts mltiples, consulte Configuracin de hosts mltiples en la pgina 131. Desea cambiar el host por un encaminador. Para obtener instrucciones sobre cmo configurar los encaminadores, consulte Configuracin de un encaminador IPv4 en la pgina 122. Desea agregar una interfaz a un grupo IPMP. Para obtener informacin sobre las interfaces de un grupo IPMP, consulte Configuraciones de interfaces IPMP en la pgina 786.
SOLAMENTE
Antes de empezar
Determine las direcciones IPv4 que desea utilizar para las interfaces adicionales. La interfaz fsica que se debe configurar debe estar presente en el sistema. Para obtener informacin sobre cmo instalar hardware NIC que haya adquirido por separado, consulte las instrucciones del fabricante que se incluyen con la tarjeta NIC. El siguiente procedimiento presupone que ha realizado un arranque de reconfiguracin tras instalar fsicamente una nueva interfaz.
Nota El siguiente procedimiento se aplica nicamente a los usuarios de Solaris 10 3/05. Si est utilizando una actualizacin del sistema operativo Solaris 10, consulte Cmo configurar una interfaz fsica tras la instalacin del sistema en la pgina 156.
En el sistema cuyas interfaces se deben configurar, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Captulo 5 Configuracin de servicios de red TCP/IP y direcciones IPv4 (tareas) 145
Nota Las interfaces que se configuran explcitamente con el comando ifconfig no persisten
tras un rearranque.
3
Compruebe que las interfaces que acaba de configurar estn sondeadas y configuradas, o "UP".
# ifconfig -a
Compruebe la lnea de estado para cada interfaz que se muestre. Asegrese de que el resultado contenga un indicador UP en la lnea de estado, por ejemplo:
qfe0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 5
(Opcional) Para que la configuracin de la interfaz persista tras los rearranques, siga estos pasos: a. Cree un archivo /etc/hostname.interfaz para todas las interfaces que deba configurar. Por ejemplo, para agregar una interfaz qfe0, debe crear el siguiente archivo:
# vi /etc/hostname.qfe0
b. Edite el archivo /etc/hostname.interfaz. Como mnimo, agregue la direccin IPv4 de la interfaz al archivo. Tambin puede agregar al archivo una mscara de red u otra informacin de configuracin.
Nota Para agregar una direccin IPv6 a una interfaz, consulte Modificacin de la configuracin de una interfaz de IPv6 para hosts y servidores en la pgina 191
146
e. Compruebe que la interfaz que ha creado en el archivo /etc/hostname. interfaz se haya configurado.
# ifconfig -a
Ejemplo 510
# ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 hme0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 10.0.0.14 netmask ff000000 broadcast 10.255.255.255 ether 8:0:20:c1:8b:c3 qfe0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 3 inet 10.0.0.32 netmask ff000000 broadcast 10.255.255.255 ether 8:0:20:c8:f4:1d qfe1: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 4 inet 10.0.0.33 netmask ff000000 broadcast 10.255.255.255 ether 8:0:20:c8:f4:1e Vase tambin
Para configurar una direccin IPv6 en una interfaz, consulte Cmo habilitar una interfaz de IPv6 para la sesin actual en la pgina 182. Para configurar la deteccin de fallos y la recuperacin tras un fallo para interfaces utilizando las rutas mltiples de redes (IPMP), consulte el Captulo 31, Administracin de IPMP (tareas).
147
En el sistema cuya interfaz debe eliminar, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
usuarios de Solaris 10 3/05. Si est utilizando una actualizacin de Solaris 10, consulte Administracin de redes de rea local virtuales en la pgina 164. Las redes de rea local virtual (VLAN) se utilizan comnmente para dividir grupos de usuarios de red en dominios de difusin manejables, con el fin de crear una segmentacin lgica de grupos de trabajo, y de aplicar directivas de seguridad en cada segmento lgico. Con varias VLAN en un adaptador, un servidor con un nico adaptador puede tener una presencia lgica en varias subredes IP. De modo predeterminado, pueden definirse 512 VLAN para cada adaptador compatible con VLAN del servidor. Si la red no necesita varias VLAN, puede utilizar la configuracin predeterminada, en cuyo caso no se requiere ninguna configuracin adicional. Para ver una descripcin general de las VLAN, consulte Descripcin general de una configuracin VLAN en la pgina 164.
148
Las VLAN se pueden crear de acuerdo con varios criterios, pero cada VLAN debe tener asignada una etiqueta VLAN o un ID de VLAN(VID). El VID es un identificador de 12 bits entre 1 y 4094 que identifica una VLAN exclusiva. Para cada interfaz de red (por ejemplo, ce0, ce1, ce2, etc.), pueden crearse 512 VLAN. Dado que las subredes IP se utilizan habitualmente, utilcelas cuando configure una interfaz de red VLAN. Esto significa que cada VID que asigne a una interfaz VLAN de una interfaz de red fsica pertenece a diferentes subredes. Para etiquetar una estructura Ethernet, es preciso agregar un encabezado de etiqueta a la estructura. La estructura se inserta inmediatamente a continuacin de la direccin MAC de destino y la direccin MAC de origen. El encabezado de etiqueta se compone de dos bytes de TPID (Tag Protocol Identifier, 0x8100) de Ethernet y dos bytes de TCI (Tag Control Information). La figura siguiente muestra el formato de encabezado de etiqueta de Ethernet.
CFI
VID
usuarios de Solaris 10 3/05. Si est utilizando una actualizacin de Solaris 10, consulte Cmo configurar una VLAN en la pgina 168
1
Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
149
Determine el tipo de interfaces que se utilizan en su sistema. Es posible que las letras ce no hagan referencia al adaptador de red de su sistema, lo cual es necesario para una VLAN.
# ifconfig -a lo0: flags=1000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 hme0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 129.156.200.77 netmask ffffff00 broadcast 129.156.200.255
Cree un archivo hostname.ce num (hostname6.cenum para IPv6) para las redes VLAN que se configurarn para cada adaptador del servidor. Utilice el siguiente formato de denominacin que incluye el VID y el punto fsico de conexin (PPA): VLAN logical PPA = 1000 * VID + PPA de dispositivo ce123000 = 1000*123 + 0 Por ejemplo: hostname.ce123000 PPA lgico de VLAN = 1000 * VID + PPA de dispositivo ce11000 = 1000*11 + 0 Por ejemplo: hostname.ce11000 Este formato limita el mximo de PPA (instancias) que se pueden configurar a 1.000 en el archivo /etc/path_to_inst. Por ejemplo, si un servidor con el adaptador Sun Gigabit Ethernet/P 3.0 tiene una instancia de 0, que pertenece a dos VLAN con los VID 123 y 224, debe utilizar ce123000 y ce224000, respectivamente, como los dos PPA de VLAN.
Configure un dispositivo virtual de VLAN: Por ejemplo, puede utilizar los siguientes ejemplos de ifconfig:
# ifconfig ce123000 plumb up # ifconfig ce224000 plumb up
El resultado de ifconfig -a en un sistema con dispositivos VLAN ce123000 y ce224000 debe ser parecido al siguiente
# ifconfig -a lo0: flags=1000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 hme0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 129.144.131.91 netmask ffffff00 broadcast 129.144.131.255 ether 8:0:20:a4:4f:b8 ce123000: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 3
150
inet 199.199.123.3 netmask ffffff00 broadcast 199.199.123.255 ether 8:0:20:a4:4f:b8 ce224000: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 4 inet 199.199.224.3 netmask ffffff00 broadcast 199.199.224.255 ether 8:0:20:a4:4f:b8 5
En el conmutador, configure las etiquetas VLAN y los puertos VLAN para que coincidan con las VLAN que ha configurado en el servidor. Siga los ejemplos del paso 4 para configurar los puertos de VLAN 123 y 224 en el conmutador o los puertos VLAN 10 y 11. Consulte la documentacin que se facilita con su conmutador para ver las instrucciones especficas para configurar las etiquetas y los puertos VLAN.
151
152
C A P T U L O
Administracin de interfaces (mapa de tareas) en la pgina 154 Aspectos bsicos sobre la administracin de interfaces fsicas en la pgina 162 Administracin de interfaces de red individuales en la pgina 154
El nuevo comando dladm para ver el estado de la interfaz se ha introducido en Cmo configurar una interfaz fsica tras la instalacin del sistema en la pgina 156. Se ha ampliado la compatibilidad con VLAN a las interfaces GLDv3, tal como se explica en Administracin de redes de rea local virtuales en la pgina 164. Se ha incorporado la compatibilidad con vnculos en Descripcin general de agregaciones de vnculos en la pgina 170.
En Solaris 10 8/07, /etc/inet/ipnodes pasa a estar obsoleto. Utilice /etc/inet/ipnodes nicamente para las versiones anteriores de Solaris 10, tal como se explica en los procedimientos individuales.
153
Comprobar el estado de las interfaces en un sistema. Agregar una sola interfaz tras la instalacin del sistema. SPARC: comprobar que la direccin MAC de una interfaz sea nica. Planificar y configurar un grupo IPMP.
Enumera todas las interfaces del Cmo obtener el estado de una sistema y comprueba cules de ellas interfaz en la pgina 155 ya estn sondeadas. Cambia un sistema a un encaminador o host mltiple configurando otra interfaz. Cmo configurar una interfaz fsica tras la instalacin del sistema en la pgina 156
Comprueba que la interfaz est SPARC: Cmo asegurarse de que configurada con su direccin MAC la direccin MAC de una interfaz de fbrica, en lugar de la direccin sea nica en la pgina 160 MAC del sistema (slo SPARC). Configura los fallos y las recuperaciones tras los fallos para las interfaces que son miembro de un grupo IPMP. Cmo planificar un grupo IPMP en la pgina 799 Cmo configurar un grupo IPMP con mltiples interfaces en la pgina 801
Para actualizar el sistema y convertirlo en un host mltiple. Para ms informacin, consulte Configuracin de hosts mltiples en la pgina 131. Para cambiar un host por un encaminador. Para obtener instrucciones sobre cmo configurar los encaminadores, consulte Configuracin de un encaminador IPv4 en la pgina 122. Para configurar las interfaces como parte de una VLAN. Para ms informacin, consulte Administracin de redes de rea local virtuales en la pgina 164. Para configurar las interfaces como miembros de una adicin. Para obtener ms informacin, consulte Descripcin general de agregaciones de vnculos en la pgina 170. Para agregar una interfaz a un grupo IPMP. Para obtener instrucciones sobre cmo configurar un grupo IPMP, consulte Configuracin de grupos IPMP en la pgina 799.
Esta seccin incluye informacin sobre cmo configurar interfaces de red individuales, a partir de Solaris 10 1/06. Consulte las secciones siguientes para obtener informacin sobre cmo configurar las interfaces de las siguientes agrupaciones:
154 Gua de administracin del sistema: servicios IP Octubre de 2009
Para configurar las interfaces de una VLAN, consulte Administracin de redes de rea local virtuales en la pgina 164. Para configurar las interfaces de una adicin, consulte Descripcin general de agregaciones de vnculos en la pgina 170. Para configurar las interfaces como miembros de grupos IPMP, consulte Configuracin de grupos IPMP en la pgina 799.
En el sistema cuyas interfaces se deben configurar, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Determine qu interfaces hay instaladas en el sistema.
# dladm show-link
En este paso se utiliza el comando dladm, que se explica detalladamente en la pgina del comando man dladm(1M). Este comando muestra todos los controladores de interfaces que encuentra, al margen de si las interfaces estn configuradas.
3
El comando ifconfig cuenta con mltiples funciones adicionales, incluida la conexin de una interfaz. Para ms informacin, consulte la pgina del comando man ifconfig(1M).
Ejemplo 61
155
El resultado de dladm show-link indica que hay disponibles cuatro controladores de interfaz para el host local. Pueden configurarse las interfaces ce y bge para las VLAN. Sin embargo, slo se pueden utilizar las interfaces GLDV3 con el tipo non-VLAN para las adiciones de vnculos. El ejemplo siguiente muestra la visualizacin del estado con el comando ifconfig - a.
# ifconfig -a lo0: flags=2001000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 ce0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4>mtu 1500 index 3 inet 192.168.84.253 netmask ffffff00 broadcast 192.168.84.255 ether 0:3:ba:7:84:5e bge0: flags=1004843 <UP,BROADCAST,RUNNING,MULTICAST,DHCP,IPv4>mtu 1500 index 2 inet 10.8.57.39 netmask ffffff00 broadcast 10.8.57.255 ether 0:3:ba:29:fc:cc
El resultado del comando ifconfig -a muestra las estadsticas slo para dos interfaces, ce0 y bge0. Este resultado muestra que slo se han conectado ce0 y bge0 y estn listos para ser utilizados en el trfico de red. Estas interfaces se pueden utilizar en una VLAN. Dado que se ha conectado bge0, ya no puede utilizar esta interfaz en una adicin.
Antes de empezar
Determine las direcciones IPv4 que desee utilizar para las interfaces adicionales. Asegrese de que la interfaz fsica que se va a configurar est instalada en el sistema. Para obtener informacin sobre cmo instalar hardware NIC que haya adquirido por separado, consulte las instrucciones del fabricante que se incluyen con la tarjeta NIC. Si acaba de instalar la interfaz, lleve a cabo un arranque de reconfiguracin antes de continuar con la tarea siguiente.
En el sistema cuyas interfaces se deben configurar, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Determine qu interfaces hay instaladas en el sistema.
# dladm show-link
156
Nota Las interfaces que se configuran explcitamente con el comando ifconfig no persisten
tras un rearranque.
4
Nota Puede especificar una direccin IPv4 en la notacin IPv4 tradicional o la notacin CIDR. 5
Compruebe que las interfaces que acaba de configurar estn sondeadas y configuradas, o "UP".
# ifconfig -a
Compruebe la lnea de estado para cada interfaz que se muestre. Asegrese de que el resultado contenga un indicador UP en la lnea de estado, por ejemplo:
qfe0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 6
(Opcional) Para que la configuracin de la interfaz persista tras los rearranques, siga estos pasos: a. Cree un archivo /etc/hostname.interfaz para todas las interfaces que deba configurar. Por ejemplo, para agregar una interfaz qfe0, debe crear el siguiente archivo:
# vi /etc/hostname.qfe0
Nota Si crea archivos alternativos de host para la misma interfaz, tambin deben seguir el
formato de asignacin de nombres host.[0-9]*, como, por ejemplo, nombre_host.qfe0.a123. Nombres como hostname.qfe0.bak o hostname.qfe0.old no son vlidos y sern ignorados por las secuencias durante el arranque del sistema.
157
b. Edite el archivo /etc/hostname.interfaz. Como mnimo, agregue la direccin IPv4 de la interfaz al archivo. Puede utilizar la notacin IPv4 tradicional o la notacin CIDR para especificar la direccin IP de la interfaz. Tambin puede agregar al archivo una mscara de red u otra informacin de configuracin.
Nota Para agregar una direccin IPv6 a una interfaz, consulte Modificacin de la configuracin de una interfaz de IPv6 para hosts y servidores en la pgina 191
c. Para Solaris 10 11/06 y las versiones anteriores de Solaris 10, agregue entradas para las nuevas interfaces en el archivo /etc/inet/ipnodes. d. Agregue entradas para las nuevas interfaces en el archivo /etc/inet/hosts. e. Efecte un arranque de reconfiguracin.
# reboot -- -r
f. Compruebe que la interfaz que ha creado en el archivo /etc/hostname. interfaz se haya configurado.
# ifconfig -a
158
For Solaris 10 11/06 and earlier releases:# vi /etc/inet/ipnodes 10.0.0.14 myhost 192.168.84.3 interface-2 192.168.84.72 interface-3
Para configurar una direccin IPv6 en una interfaz, consulte Cmo habilitar una interfaz de IPv6 para la sesin actual en la pgina 182. Para configurar la deteccin de fallos y la recuperacin tras un fallo para las interfaces utilizando las rutas mltiples de redes IP (IPMP), consulte el Captulo 31, Administracin de IPMP (tareas).
En el sistema cuya interfaz debe eliminar, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Elimine la interfaz fsica.
# ifconfig interface unplumb down
Captulo 6 Administracin de interfaces de red (tareas) 159
SPARC: Cmo asegurarse de que la direccin MAC de una interfaz sea nica
Siga este procedimiento para configurar direcciones MAC. Algunas aplicaciones requieren que cada interfaz est en un host para tener una direccin MAC exclusiva. Sin embargo, cada sistema basado en SPARC tiene una direccin MAC para todo el sistema, que utilizan todas las interfaces de modo predeterminado. A continuacin se exponen dos situaciones en las que se podra configurar las direcciones MAC instaladas de fbrica para las interfaces en un sistema SPARC.
Para las adiciones de vnculos, debe utilizar las direcciones MAC de fbrica de las interfaces en la configuracin de la adicin. Para los grupos IPMP, cada interfaz del grupo debe tener una direccin MAC exclusiva. Estas interfaces deben utilizar sus direcciones MAC de fbrica.
El parmetro EEPROM local-mac-address? determina si todas las interfaces del sistema SPARC utilizan la direccin MAC de todo el sistema o una direccin MAC exclusiva. El siguiente procedimiento muestra cmo utilizar el comando eeprom para comprobar el valor actual de local-mac-address? y cambiarlo, si es preciso.
1
En el sistema cuyas interfaces se deben configurar, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Determine si todas las interfaces del sistema utilizan la direccin MAC del sistema.
# eeprom local-mac-address? local-mac-address?=false
En el ejemplo, la respuesta al comando eeprom, local-mac-address?=false, indica que todas las interfaces utilizan la direccin MAC del sistema. El valor de local-mac-address?=false debe cambiarse a local-mac-address?=true para que las interfaces puedan pasar a ser miembros de un grupo IPMP. Tambin debe cambiar local-mac-address?=false a local-mac-address?=true para las adiciones.
3
160
Al rearrancar el sistema, las interfaces con las direcciones MAC de fbrica ahora utilizan esta configuracin de fbrica, en lugar de la direccin MAC de todo el sistema. Las interfaces sin las direcciones MAC de fbrica siguen utilizando la direccin MAC de todo el sistema.
4
Compruebe las direcciones MAC de todas las interfaces del sistema. Busque los casos en que varias interfaces tengan la misma direccin MAC. En este ejemplo, todas las interfaces utilizan la direccin MAC de todo el sistema, 8:0:20:0:0:1.
ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 hme0: flags=1004843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 10.0.0.112 netmask ffffff80 broadcast 10.0.0.127 ether 8:0:20:0:0:1 ce0: flags=1004843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 10.0.0.114 netmask ffffff80 broadcast 10.0.0.127 ether 8:0:20:0:0:1 ce1: flags=1004843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 10.0.0.118 netmask ffffff80 broadcast 10.0.0.127 ether 8:0:20:0:0:1
Nota Contine con el paso siguiente slo si hay ms de una interfaz de red con la misma
Si es preciso, configure manualmente las interfaces restantes para que todas tengan una direccin MAC exclusiva. Especifique una direccin MAC exclusiva en el archivo /etc/hostname.interfaz para la interfaz concreta. En el ejemplo del paso 4, debe configurar ce0 y ce1 con direcciones MAC administradas localmente. Por ejemplo, para volver a configurar ce1 con la direccin MAC administrada localmente 06:05:04:03:02, debe agregar la lnea siguiente a /etc/hostname.ce1:
ether 06:05:04:03:02
Nota Para evitar la posibilidad de que una direccin MAC configurada manualmente entre en conflicto con otras direcciones MAC de la red, siempre debe configurar las direcciones MAC administradas localmente, tal como define el estndar IEEE 802.3.
Tambin puede utilizar el comando ifconfig ether para configurar la direccin MAC de una interfaz para la sesin actual. Sin embargo, los cambios que efecte directamente con ifconfig no se conservarn tras los rearranques. Consulte la pgina del comando man ifconfig(1M) para obtener ms informacin.
6
Reinicie el sistema.
Captulo 6 Administracin de interfaces de red (tareas) 161
La mayora de los sistemas informticos tienen como mnimo una interfaz fsica que incorpora el fabricante en la placa del sistema principal. Algunos sistemas tambin pueden tener ms de una interfaz integrada. Adems de las interfaces integradas, tambin puede agregar a un sistema interfaces que haya adquirido por separado. Una interfaz que se adquiere por separado se conoce como tarjeta de interfaz de red (NIC). Las tarjetas NIC se instalan de acuerdo con las instrucciones del fabricante.
Nota Las NIC tambin se conocen como adaptadores de red.
Durante la instalacin del sistema, el programa de instalacin de Solaris detecta las interfaces que estn instaladas fsicamente y muestra el nombre de cada interfaz. Debe configurar como mnimo una interfaz desde la lista de interfaces. La primera interfaz que se configura durante la instalacin se convierte en la interfaz de red principal. La direccin IP de la interfaz de red principal se asocia con el nombre de host configurado del sistema, que se guarda en el archivo /etc/nodename. No obstante, puede configurar interfaces adicionales durante la instalacin o posteriormente.
Los nombres de controladores de los sistemas Solaris pueden incluir ce, hme, bge, e1000g y muchos otros nombres de controladores. La variable nmero_instancia puede tener un valor de cero a n, en funcin de cuntas interfaces de ese tipo de controlador haya instaladas en el sistema. Pongamos por ejemplo una interfaz 100BASE-TX Fast Ethernet, que se suele utilizar como interfaz de red principal en sistemas host y de servidor. Algunos nombres de controlador tpicos para esta interfaz son eri, qfe y hme. Cuando se utiliza como interfaz de red principal, la interfaz de Fast Ethernet tiene un nombre de dispositivo como eri0 o qfe0. Las NIC como eri o hme slo tienen una interfaz. Sin embargo, muchas marcas de NIC tienen varias interfaces. Por ejemplo, la tarjeta Quad Fast Ethernet (qfe) cuenta con cuatro interfaces, de la qfe0 a la qfe3.
Interfaces heredadas: Estas interfaces son interfaces DLPI y GLDv2. Algunos tipos de interfaces heredadas son eri, qfe y ce. Al comprobar el estado de la interfaz con el comando dladm show-link, estas interfaces aparecen como heredadas. Interfaces no VLAN: Estas interfaces son interfaces GLDv3.
Nota Actualmente se admite GLDv3 en los siguientes tipos de interfaces: bge, xge y e1000g.
163
Una red de rea local virtual (VLAN) es una subdivisin de una red de rea local en la capa de vnculo de datos de la pila de protocolo TCP/IP. Puede crear redes VLAN para redes de rea local que utilicen tecnologa de nodo. Al asignar los grupos de usuarios en redes VLAN, puede mejorar la administracin de red y la seguridad de toda la red local. Tambin puede asignar interfaces del mismo sistema a redes VLAN diferentes. Es recomendable dividir una red de rea local en redes VLAN si necesita lo siguiente:
Cree una divisin lgica de grupos de trabajo. Por ejemplo, suponga que todos los hosts de la planta de un edificio estn conectados mediante una red de rea local con nodos. Puede crear una VLAN para cada grupo de trabajo de la planta.
Designe diferentes directivas de seguridad para los grupos de trabajo. Por ejemplo, las necesidades de seguridad del departamento de finanzas y el de informtica son muy diferentes. Si los sistemas de ambos departamentos comparten la misma red local, puede crear una red VLAN independiente para cada departamento. Despus, puede asignar la directiva de seguridad apropiada para cada VLAN.
Divida los grupos de trabajo en dominios de emisin administrables. El uso de redes VLAN reduce el tamao de los dominios de emisin y mejora la efectividad de la red.
164
Host A
Host F
Host B
Encaminador
Los conmutadores 1 y 2 se encargan de la conexin a la red LAN 192.168.84.0. La red VLAN contiene sistemas del grupo de trabajo Contabilidad. Los sistemas del grupo de trabajo Recursos humanos se encuentran en la red VLAN Amarilla. Los sistemas del grupo de trabajo Tecnologas de la informacin se asignan a la VLAN Azul.
165
Host A Conmutador 1 VID = 123 VLAN AZUL VID = 123 Host B Conmutador 2 VID = 456 VID = 456 VLAN AMARILLA
La Figura 62 muestra varios hosts que estn conectados a diferentes VLAN. Hay dos hosts que pertenecen a la misma VLAN. En esta figura, las interfaces de red primaria de los tres hosts se conectan al conmutador 1. El host A es miembro de la red VLAN Azul. Por lo tanto, la interfaz del host A est configurada con el VID 123. Esta inferfaz se conecta al puerto 1 en el conmutador 1, que se configura con el VID 123. El host B es miembro de la red VLAN Amarilla con el VID 456. La interfaz del host B se conecta al puerto 5 en el conmutador 1, que se configura con el VID 456. Por ltimo, la interfaz del host C se conecta al puerto 9 en el conmutador 1. La red VLAN Azul se configura con el VID 123. La figura tambin muestra que un nico host puede tambin pertenecer a ms de una VLAN. Por ejemplo, Host A tiene dos VLAN configuradas a travs de la interfaz del host. La segunda VLAN est configurada con el VID 456 y se conecta al puerto 3 que tambin est configurado con el VID 456. Por lo tanto, el Host A es miembro del Blue VLAN y del Yellow VLAN. Durante la configuracin de la red VLAN, debe especificar el punto de conexin fsico o PPA de la red VLAN. El valor PPA se obtiene con esta frmula:
driver-name + VID * 1000 + device-instance
El nmero de instancia de dispositivo debe ser menor que 1000. Por ejemlpo, para configurar una interfaz ce1 como parte de la red VLAN 456, se creara el siguiente PPA:
166 Gua de administracin del sistema: servicios IP Octubre de 2009
Examine la distribucin de red local y determine dnde es apropiado realizar las subdivisiones en redes VLAN. Para ver un ejemplo bsico de esta topologa, consulte la Figura 61. Cree un esquema numerado para los VID y asigne un VID a cada VLAN.
Nota Puede que ya haya un esquema numerado de VLAN en la red. En tal caso, deber crear
En cada sistema, determine las interfaces que deben ser miembros de una VLAN determinada. a. Determine las interfaces que se configuran en un sistema.
# dladm show-link
b. Identifique qu VID debe asociarse con cada vnculo de datos del sistema. c. Cree puntos PPA para cada interfaz que vaya a configurarse con una VLAN. No es necesario configurar todas las interfaces de un sistema en la misma red VLAN.
4
Compruebe las conexiones de las interfaces con los nodos de red. Anote el VID de cada interfaz y el puerto de nodo al que estn conectadas. Configure cada puerto del nodo con el mismo VID de la interfaz al que est conectado. Consulte la documentacin del fabricante del nodo para ver las instrucciones de configuracin.
167
La versin actual del sistema operativo Solaris OS admite redes VLAN con los siguientes tipos de interfaz:
De los tipos de interfaces antiguas, slo la interfaz ce puede hacerse miembro de una red VLAN. Puede configurar interfaces de diferentes tipos en la misma red VLAN.
Nota Puede configurar varias redes VLAN en un grupo IPMP. Para obtener ms informacin sobre los grupos IPMP, consulte Configuraciones de interfaces IPMP en la pgina 786.
Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Por ejemplo, para configurar la interfaz ce1 con una nueva direccin IP 10.0.0.2 en una red VLAN con el VID 123, se utilizara el siguiente comando:
# ifconfig ce123001 plumb 10.0.0.2 up
168 Gua de administracin del sistema: servicios IP Octubre de 2009
Nota Puede asignar direcciones IPv4 e IPv6 a VLAN, como sucede con otras interfaces. 4
(Optativo) Para que la configuracin VLAN persista cuando se reinicia, cree un archivo hostname.PPA de interfaz para cada interfaz configurada como parte de una VLAN.
# cat hostname.interface-PPA IPv4-address
En el nodo, configure las etiquetas y los puertos VLAN para que se correspondan con las redes VLAN configuradas en el sistema.
Ejemplo 63
vnculos. Para crear agregaciones de vnculos para estas versiones antiguas de Solaris, utilice Sun Trunking, como se describe en la gua Sun Trunking 1.3 Installation and Users Guide. El sistema operativo Solaris permite organizar las interfaces de red en agregaciones de vnculos. Una agregacin de vnculos consiste en varias interfaces de un sistema que se configuran juntas como una unidad lgica nica. Las agregaciones de vnculos, tambin denominadas truncaciones, se definen en IEEE 802.3ad Link Aggregation Standard (http:// www.ieee802.org/3/index.html). El estndar IEEE 802.3ad Link Aggregation proporciona un mtodo para combinar la capacidad de varios vnculos Ethernet duplex en un nico vnculo lgico. Este grupo de agregacin de vnculos se trata como si fuera un nico vnculo. A continuacin se enumeran las funciones de agregaciones de vnculos:
Ancho de banda ampliado La capacidad de varios vnculos se combina en un vnculo lgico. Recuperacin de fallos automtica El trfico de un vnculo que ha fallado se transfiere a vnculos activos de la agregacin. Equilibrio de carga El trfico entrante y saliente se distribuye de acuerdo con directivas de equilibrio de carga definidas por el usuario, como las direcciones MAC e IP de origen y destino. Admisin de duplicacin Dos sistemas pueden configurarse con agregaciones paralelas. Administracin mejorada Todas las interfaces se administran como una nica unidad. Menos drenaje en el conjunto de direcciones de red Puede asignarse una direccin IP a la agregacin completa.
En sistemas con una aplicacin con un gran volumen de trfico distribuido, puede dedicar una agregacin al trfico de dicha aplicacin. Para ubicaciones con espacio de direcciones IP limitado pero que requieren una gran cantidad de ancho de banda, slo se necesita una direccin IP para una gran agregacin de interfaces.
170
Para ubicaciones que necesitan ocultar la existencia de interfaces internas, la direccin IP de la agregacin oculta las interfaces a aplicaciones externas.
La Figura 63 muestra una agregacin de un servidor que aloja un sitio web muy visitado. Este sitio requiere un gran ancho de banda para el trfico de peticiones entre los clientes en Internet y el servidor de base de datos del sitio. Por cuestiones de seguridad, la existencia de interfaces individuales en el servidor debe ocultarse a las aplicaciones externas. La solucin es la agregacin aggr1 con la direccin IP 192.168.50.32. Esta adicin se compone de tres interfaces, de bge0 a bge2. Estas interfaces se dedican a enviar el trfico de respuesta a las peticiones de los clientes. La direccin saliente del trfico de paquetes de todas las interfaces es la direccin IP de aggr1, 192.168.50.32.
aggr1 192.168.50.32
La Figura 64 representa una red local con dos sistemas, cada uno con una agregacin configurada. Los dos sistemas estn conectados mediante un nodo (concentrador). Si necesita ejecutar una agregacin a travs de un nodo, el nodo debe admitir la tecnologa de agregaciones. Este tipo de configuracin resulta especialmente til para sistemas de alta disponibilidad y con duplicacin. En la figura, el Sistema A tiene una agregacin que consta de dos interfaces, bge0 y bge1. Estas interfaces estn conectadas al nodo mediante puertos agregados. El Sistema B tiene una agregacin de cuatro interfaces, de e1000g0 through e1000g3. Estas interfaces tambin estn conectadas mediante puertos agregados del nodo.
171
bge0 bge1
Red local ce0 Sistema A bge0 bge1 bge2 ce0 Sistema B bge0 bge1 bge2 Indica una agregacin
FIGURA 65
172
En esta figura, el dispositivo bge0 del Sistema A est vinculado directamente a bge0 en el Sistema B, etc. De este modo, los sistemas A y B permiten duplicacin y alta disponibilidad, as como comunicaciones a alta velocidad entre ambos sistemas. Cada sistema tambin tiene la interfaz ce0 configurada para el flujo de trfico de la red local. La aplicacin ms comn para agregaciones de vnculo de extremo a extremo son los servidores de base de datos reflejados. Ambos servidores deben actualizarse a la vez y, por lo tanto, necesitan bastante ancho de banda, flujo de trfico de alta velocidad y fiabilidad. El uso ms habitual de las agregaciones de vnculos de extremo a extremo es en los centros de datos.
L2: determina el vnculo de salida numerando el encabezado MAC (L2) de cada paquete L3: determina el vnculo de salida numerando el encabezado IP (L3) de cada paquete L4: determina el vnculo de salida numerando el encabezado TCP, UDP u otro ULP (L4) de cada paquete
Tambin es vlida cualquier combinacin de estas directivas. La directiva predeterminada es L4. Si necesita ms informacin, consulte la pgina de comando man dladm(1M).
Modo inactivo El modo predeterminado para agregaciones. Los paquetes LACP, llamados LACPDU no se generan. Modo activo: el sistema genera paquetes LACPDU en intervalos regulares, que puede especificar el usuario. Modo pasivo: el sistema genera un LACPDU slo cuando recibe un LACPDU del nodo. Si la agregacin y el nodo estn configurados en modo pasivo, no pueden intercambiar paquetes LACPDU.
Si necesita informacin sobre sintaxis, consulte la pgina de comando man dladm(1M) y la documentacin del fabricante del nodo.
Captulo 6 Administracin de interfaces de red (tareas) 173
Debe usar el comando dladm para configurar agregaciones. Una interfaz sondeada no puede ser miembro de una agregacin. Las interfaces deben ser del tipo GLDv3: xge, e1000g y bge. Todas las interfaces de la agregacin deben ejecutarse a la misma velocidad y en modo duplex total. Debe definir el valor de direcciones MAC en true en el parmetro EEPROM local-mac-address? Si necesita instrucciones, consulte Cmo asegurarse de que la direccin MAC de una interfaz sea nica.
Antes de empezar
Configure los puertos del nodo para que se utilicen como una agregacin Si el nodo admite LACP, configure LACP en modo activo o pasivo
Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Determine qu interfaces hay instaladas en el sistema.
# dladm show-link
interfaz clave
Representa el nombre de dispositivo de la interfaz que pasar a formar parte de la agregacin. Es el nmero que identifica la agregacin. El nmero de clave menor es 1. Los ceros no se pueden utilizar como claves.
174
Por ejemplo:
# dladm create-aggr -d bge0 -d bge1 1 5
Por ejemplo:
# ifconfig aggr1 plumb 192.168.84.14 up 6
El resultado muestra que se ha creado una agregacin con la clave 1 y la directiva L4.
7
(Optativo) Haga que la configuracin IP de la agregacin de vnculos persista al reiniciar. a. Para realizar agregaciones de vnculos con direcciones IPv4, cree un archivo /etc/hostname.aggrclave. Para realizar agregaciones de vnculos basadas en IPv6, cree un archivo /etc/hostname6.aggr.clave. b. Escriba la direccin IPv4 o IPv6 de la agregacin de vnculos en el archivo. Por ejemplo, para la agregacin creada en este procedimiento, se creara el siguiente archivo:
# vi /etc/hostname.aggr1 192.168.84.14
175
Ejemplo 64
Como puede comprobar, las dos interfaces usadas para la agregacin se haban sondeado previamente con ifconfig.
176
Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Modifique la agregacin para cambiar la directiva.
# dladm modify-aggr -Ppolicy key
directiva clave
Representa una o varias de las directivas L2, L3 y L4, como se explica en Directivas y equilibrio de la carga en la pgina 173. Es un nmero que identifica la agregacin. El nmero de clave menor es 1. Los ceros no se pueden utilizar como claves.
Si protocolo de control de agregacin de vnculos (LACP) se est ejecutando en el conmutador al que estn conectados los dispositivos de la agregacin, modifique la agregacin de modo que admita LACP. Si el nodo utiliza LACP en modo pasivo, asegrese de configurar el modo activo para la agregacin.
# dladm modify-aggr -l LACP mode -t timer-value key
Indica el modo LACP de la agregacin. Los valores son active, passive y off. Indica el valor de tiempo LACP, short o long. Es un nmero que identifica la agregacin. El nmero de clave menor es 1. Los zeros no se pueden utilizar como claves.
Ejemplo 65
177
Ejemplo 66
Elimine la agregacin.
# dladm delete-aggr key
clave
Es un nmero que identifica la agregacin. El nmero de clave menor es 1. Los zeros no se pueden utilizar como claves.
Ejemplo 67
178
Antes de empezar
Configure en primer lugar la adicin de vnculos con una direccin IP vlida. Tenga en cuenta el valor de la clave de la adicin que necesitar cuando se cree el VLAN a travs de la adicin. Para crear adiciones de vnculos, consulte Cmo crear una agregacin de vnculos en la pgina 174. Si ya se ha creado una adicin de vnculo, obtenga la clave de dicha adicin.
# dladm show-aggr
donde VID clave El ID de la VLAN La tecla de la adicin de vnculos a travs de la cual se ha creado el VLAN. La tecla debe tener un formato de 3 dgitos. Por ejemplo, si la tecla de adicin es 1, el nmero de tecla que se incluye en el nombre de la VLAN es 001.
3 4 5
Repita el paso 2 para crear otras VLAN a travs de la adicin. Configure las VLAN con direcciones IP vlidas. Para crear configuraciones VLAN persistentes, agregue la informacin de la direccin IP a los archivos de configuracin /etc/hostname.VLAN correspondientes.
179
Ejemplo 68
180
C A P T U L O
Este captulo presenta tareas para configurar IPv6 en una red. Se tratan los temas principales siguientes:
Configuracin de una interfaz de IPv6 en la pgina 181 Habilitacin de IPv6 en una interfaz (mapa de tareas) en la pgina 182 Configuracin de un encaminador IPv6 en la pgina 187 Modificacin de la configuracin de una interfaz de IPv6 para hosts y servidores en la pgina 191 Modificacin de la configuracin de una interfaz de IPv6 (mapa de tareas) en la pgina 192 Configuracin de tneles para compatibilidad con IPv6 en la pgina 200 Tareas de configuracin de tneles para compatibilidad con IPv6 (mapa de tareas) en la pgina 199 Configuracin de la compatibilidad con el servicio de nombres para IPv6 en la pgina 209
Para obtener una descripcin general de los conceptos relativos a IPv6, consulte el Captulo 3, Introduccin a IPv6 (descripcin general). Para obtener informacin sobre tareas de planificacin de IPv6, consulte el Captulo 4, Planificacin de una red IPv6 (tareas). Para buscar informacin de referencia sobre las tareas del presente captulo, consulte el Captulo 11, IPv6 en profundidad (referencia).
Cada interfaz habilitada para IPv6 tiene asociado un archivo /etc/hostname6.interfaz, por ejemplo hostname6.dmfe0.
181
En Solaris 10 11/06 y versiones anteriores, se ha creado el archivo /etc/inet/ipnodes. Despus de la instalacin, en general este archivo slo contiene las direcciones de bucle de retorno de IPv6 e IPv4. Se ha modificado el archivo /etc/nsswitch.conf para permitir bsquedas mediante direcciones IPv6. Se crea la tabla de directrices de seleccin de direcciones IPv6. En esta tabla se da prioridad al formato de direcciones IP que debe utilizarse en las transmisiones a travs de una interfaz habilitada para IPv6.
En esta seccin se explica cmo habilitar IPv6 en las interfaces de un sistema instalado.
Habilitar IPv6 en una interfaz de un sistema en el que ya se haya instalado el sistema operativo Solaris 10. Mantener la interfaz habilitada para IPv6 en los rearranques. Desactivar la configuracin automtica de direcciones IPv6.
Esta tarea se utiliza para habilitar IPv6 en una interfaz despus de haberse instalado el sistema operativo Solaris 10.
Cmo habilitar una interfaz de IPv6 para la sesin actual en la pgina 182
Esta tarea se utiliza para convertir Cmo habilitar interfaces de IPv6 en permanente la direccin IPv6 de de manera permanente la interfaz. en la pgina 184 Esta tarea se utiliza para configurar Cmo desactivar la configuracin manualmente la seccin del ID de automtica de direcciones IPv6 interfaz de la direccin IPv6. en la pgina 186
182
Nota Si la interfaz se ubica en el mismo vnculo como encaminador que anuncia un prefijo de IPv6, la interfaz obtiene el prefijo de sitio como parte de sus direcciones configuradas automticamente. Para obtener ms informacin, consulte Cmo configurar un encaminador habilitado para IPv6 en la pgina 188.
En el procedimiento siguiente, se explica cmo habilitar IPv6 para una interfaz incorporada despus de instalar Solaris 10.
Antes de empezar
Complete las tareas de planificacin de la red IPv6, por ejemplo actualizar hardware y software, y preparar un plan direcciones. Para obtener ms informacin, consulte Planificacin de IPv6 (mapas de tareas) en la pgina 87. Inicie sesin en el posible nodo de IPv6 como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Habilite IPv6 en una interfaz.
# ifconfig inet6 interface plumb up
Nota Mediante el comando ifconfig-a6, puede visualizarse el estado de las interfaces habilitadas para IPv6 de un nodo.
Ejemplo 71
Para este sistema slo est configurada la interfaz qfe0. Habilite IPv6 en esta interfaz de la forma que se indica a continuacin:
Captulo 7 Configuracin de una red IPv6 (tareas). 183
# ifconfig inet6 qfe0 plumb up # /usr/lib/inet/in.ndpd # ifconfig -a6 lo0: flags=2000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv6> mtu 8252 index 1 inet6 ::1/128 qfe0: flags=2000841 <UP,RUNNING,MULTICAST,IPv6> mtu 1500 index 2 ether 0:3:ba:13:14:e1 inet6 fe80::203:baff:fe13:14e1/10
En el ejemplo se muestra el estado de la interfaz del sistema antes y despus de habilitar para IPv6 la interfaz qfe0. La opcin -a6 de ifconfig muestra nicamente la informacin de IPv6 para qfe0 y la interfaz de bucle de retorno. La salida denota que slo se ha configurado una direccin local de vnculo para qfe0, fe80::203:baff:fe13:14e1/10. Esta direccin indica que hasta ahora ningn encaminador del vnculo local del nodo anuncia un prefijo de sitio. Tras habilitar IPv6, el comando ifconfig - a es apto para visualizar direcciones IPv4 e IPv6 de todas las interfaces de un sistema.
Pasos siguientes
Para configurar el nodo de IPv6 como encaminador, consulte Configuracin de un encaminador IPv6 en la pgina 187. Para mantener la configuracin de la interfaz de IPv6 en todos los rearranques, consulte Cmo habilitar interfaces de IPv6 de manera permanente en la pgina 184. Para anular la configuracin automtica de direcciones en el nodo, consulte Cmo desactivar la configuracin automtica de direcciones IPv6 en la pgina 186. Para adaptar el nodo como servidor, tenga en cuenta las sugerencias de Administracin de interfaces habilitadas para IPv6 en servidores en la pgina 198.
Inicie sesin en el nodo de IPv6 como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Gua de administracin del sistema: servicios IP Octubre de 2009
184
Cree direcciones IPv6 para interfaces que se hayan agregado despus de la instalacin.
# touch /etc/hostname6.interface
(Opcional) Cree un archivo /etc/inet/ndpd.conf que defina parmetros para variables de interfaz en el nodo. Si tiene que crear direcciones temporales para la interfaz del host, consulte Uso de direcciones temporales para una interfaz en la pgina 192. Para obtener ms informacin sobre /etc/inet/ndpd.conf, consulte la pgina de comando man ndpd.conf(4) y Archivo de configuracin ndpd.conf en la pgina 280. Rearranque el nodo.
# reboot -- -r
El proceso de rearranque enva paquetes de descubrimiento de encaminadores. Si un encaminador responde con un prefijo de sitio, el nodo puede configurar cualquier interfaz con el pertinente archivo de interfaz /etc/hostname6.interfaz con una direccin IPv6 global. De lo contrario, las interfaces habilitadas para IPv6 se configuran nicamente con direcciones locales de vnculo. Al rearrancarse tambin se reinician in.ndpd y otros daemon de red en modo IPv6.
Ejemplo 72
Cmo hacer que una interfaz de IPv6 se mantenga en los rearranques subsiguientes
En este ejemplo se muestra cmo hacer que la configuracin IPv6 de la interfaz qfe0 se mantenga en los rearranques subsiguientes. En este ejemplo, un encaminador del vnculo local anuncia el prefijo de sitio y el ID de subred 2001:db8:3c4d:15/64. En primer lugar, compruebe el estado de las interfaces del sistema.
# ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 qfe0: flags=1000863 <UP,BROADCAST,NOTRAILERS,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 172.16.27.74 netmask ffffff00 broadcast 172.16.27.255 ether 0:3:ba:13:14:e1 # touch /etc/hostname6.qfe0 # reboot -- -r
inet6 2001:db8:3c4d:15:203:baff:fe13:14e1/64
La salida de ifconfig -a6 muestra dos entradas para qfe0. La entrada qfe0 estndar incluye la direccin MAC y la direccin local de vnculo. Una segunda entrada, qfe0:1, indica que se ha creado una pseudointerfaz para la direccin IPv6 adicional de la interfaz qfe0. La nueva direccin global IPv6, 2001:db8:3c4d:15:203:baff:fe13:14e1/64, incluye el sitio de prefijo y el ID de subred anunciado por el encaminador local.
Pasos siguientes
Para configurar el nuevo nodo de IPv6 como encaminador, consulte Configuracin de un encaminador IPv6 en la pgina 187. Para anular la configuracin automtica de direcciones en el nodo, consulte Cmo desactivar la configuracin automtica de direcciones IPv6 en la pgina 186. Para adaptar el nodo nuevo como servidor, tenga en cuenta las sugerencias de Administracin de interfaces habilitadas para IPv6 en servidores en la pgina 198.
Inicie sesin en el nodo de IPv6 como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Cree un archivo /etc/inet/ndpd.conf para el nodo. El archivo /etc/inet/ndpd.conf define las variables de interfaz del nodo en particular. Este archivo debera contener lo siguiente a fin de desactivar la configuracin automtica de direcciones en todas las interfaces del servidor:
if-variable-name StatelessAddrConf false
Para obtener ms informacin sobre /etc/inet/ndpd.conf, consulte la pgina de comando man ndpd.conf(4) y Archivo de configuracin ndpd.conf en la pgina 280.
3
186
1. Antes de comenzar la configuracin Antes de configurar un encaminador de IPv6, compruebe que haya habilitado para IPv6, debe completar cumplido todos los requisitos previos. las tareas de planificacin e instalacin de Solaris con interfaces habilitadas para IPv6. 2. Configurar un encaminador. 3. Configurar interfaces de tnel en el encaminador. Defina el prefijo de sitio de la red. Configure en el encaminador un tnel manual o una interfaz de tnel 6to4. La red IPv6 local necesita tneles para comunicarse con otras redes IPv6 aisladas.
Captulo 4, Planificacin de una red IPv6 (tareas) y Configuracin de una interfaz de IPv6 en la pgina 181.
Cmo configurar un tnel 6to4 en la pgina 203 Cmo configurar manualmente IPv6 a travs de tneles IPv4 en la pgina 200 Cmo configurar manualmente tneles IPv6 a travs de IPv6 en la pgina 201 Cmo configurar tneles IPv4 a travs de IPv6 en la pgina 202
Si en la configuracin de red hay conmutadores, es ahora cuando los debe configurar para IPv6. Si en la configuracin de red hay concentradores, es ahora cuando los debe configurar para IPv6.
Consulte la documentacin del fabricante de conmutadores. Consulte la documentacin del fabricante de concentradores. Cmo agregar direcciones IPv6 a DNS en la pgina 209
6. Configurar el nombre de servicio de Configure el servicio de nombres redes para IPv6. principal (DNS, NIS o LDAP) para reconocer las direcciones IPv6 despus de configurar para IPv6 el encaminador.
187
Tarea
Descripcin
7. (Opcional) Modificar las direcciones de las interfaces habilitadas para IPv6 en hosts y servidores. Configurar aplicaciones para que admitan IPv6.
Despus de configurar el encaminador para IPv6, realice las modificaciones pertinentes en los hosts y servidores habilitados para IPv6. Para admitir IPv6, es posible que cada aplicacin necesite unas acciones determinadas.
Modificacin de la configuracin de una interfaz de IPv6 para hosts y servidores en la pgina 191
En el sistema que se va a convertir en encaminador de IPv6, asuma la funcin de administrador principal o de superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Revise las interfaces del encaminador que se han configurado para IPv6 durante la instalacin.
# ifconfig -a
Compruebe la salida con el fin de asegurarse de que las interfaces que quera configurar para IPv6 estn conectadas con direcciones locales de vnculo. La siguiente salida de ejemplo del comando ifconfig -a muestra las direcciones IPv4 e IPv6 que se configuraron para las interfaces del encaminador.
lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 dmfe0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 172.16.26.232 netmask ffffff00 broadcast 172.16.26.255 ether 0:3:ba:11:b1:15 dmfe1: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4 mtu 1500 index 3 inet 172.16.26.220 netmask ffffff00 broadcast 172.16.26.255 ether 0:3:ba:11:b1:16 lo0: flags=2000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv6> mtu 8252 index 1 inet6 ::1/128 dmfe0: flags=2000841 <UP,RUNNING,MULTICAST,IPv6> mtu 1500 index 2 ether 0:3:ba:11:b1:15 inet6 fe80::203:baff:fe11:b115/10
188 Gua de administracin del sistema: servicios IP Octubre de 2009
dmfe1: flags=2000841 <UP,RUNNING,MULTICAST,IPv6> mtu 1500 index 3 ether 0:3:ba:11:b1:16 inet6 fe80::203:baff:fe11:b116/10
Asimismo, la salida muestra que la interfaz de red principal dmfe0 y la interfaz adicional dmfe1 se configuraron durante la instalacin con las direcciones locales de vnculo IPv6 fe80::203:baff:fe11:b115/10 y fe80::203:baff:fe11:b116/10.
3
Configure el reenvo de paquetes IPv6 en todas las interfaces del encaminador. En Solaris 10 11/03 y versiones anteriores, utilice el comando siguiente:
# routeadm -e ipv6-forwarding -u
Inicie el daemon de encaminamiento. El daemon in.ripngd se encarga del encaminamiento de IPv6. En Solaris 10 11/06 y versiones anteriores, inicie in.ripngd escribiendo el comando siguiente:
# routeadm -e ipv6-routing # routeadm -u
Para obtener informacin sobre la sintaxis del comando routeadm, consulte la pgina de comando man routeadm(1M).
5
Cree el archivo /etc/inet/ndpd.conf. Especifique el prefijo de sitio que debe anunciar el encaminador y dems datos de configuracin en /etc/inet/ndpd.conf. El daemon in.ndpd lee este archivo e implementa el protocolo de descubrimiento de vecinos de IPv6. Para obtener una lista de variables y valores admitidos, consulte Archivo de configuracin ndpd.conf en la pgina 280 y la pgina de comando man ndpd.conf(4).
Captulo 7 Configuracin de una red IPv6 (tareas). 189
Este texto indica al daemon in.ndpd que enve anuncios de encaminador en todas las interfaces del encaminador que se hayan configurado para IPv6.
7
Aada texto al archivo /etc/inet/ndpd.conf para configurar el prefijo de sitio en las distintas interfaces del encaminador. El texto debe tener el formato siguiente:
prefix global-routing-prefix:subnet ID/64 interface
El siguiente archivo de ejemplo /etc/inet/ndpd.conf configura el encaminador para que anuncie el prefijo de sitio 2001:0db8:3c4d::/48 en las interfaces dmfe0 y dmfe1.
ifdefault AdvSendAdvertisements true prefixdefault AdvOnLinkFlag on AdvAutonomousFlag on if dmfe0 AdvSendAdvertisements 1 prefix 2001:0db8:3c4d:15::0/64 dmfe0 if dmfe1 AdvSendAdvertisements 1 prefix 2001:0db8:3c4d:16::0/64 dmfe1 8
Reinicie el sistema. El encaminador de IPv6 comienza a anunciar en el vnculo cualquier prefijo de sitio que est en el archivo ndpd.conf.
Ejemplo 73
190
dmfe0:1: flags=2180841 <UP,RUNNING,MULTICAST,ADDRCONF,ROUTER,IPv6> mtu 1500 index 2 inet6 2001:db8:3c4d:15:203:baff:fe11:b115/64 dmfe1: flags=2100841 <UP,RUNNING,MULTICAST,ROUTER,IPv6> mtu 1500 index 3 ether 0:3:ba:11:b1:16 inet6 fe80::203:baff:fe11:b116/10 dmfe1:1: flags=2180841 <UP,RUNNING,MULTICAST,ADDRCONF,ROUTER,IPv6> mtu 1500 index 3 inet6 2001:db8:3c4d:16:203:baff:fe11:b116/64
En este ejemplo, cada interfaz configurada para IPv6 dispone ahora de dos direcciones. La entrada con el nombre de la interfaz, por ejemplo dmfe0, muestra la direccin de vnculo local de dicha interfaz. La entrada con el formato interfaz:n, por ejemplo dmfe0:1, muestra una direccin IPv6 global. Esta direccin incluye el prefijo de sitio configurado en el archivo /etc/ndpd.conf, adems del ID de interfaz.
Vase tambin
Para configurar tneles desde los encaminadores identificados en la topologa de redes IPv6, consulte Configuracin de tneles para compatibilidad con IPv6 en la pgina 200. Para obtener informacin sobre cmo configurar conmutadores y concentradores en la red, consulte la documentacin del fabricante. Para configurar hosts de IPv6, consulte Modificacin de la configuracin de una interfaz de IPv6 para hosts y servidores en la pgina 191. Para mejorar la compatibilidad de IPv6 en los servidores, consulte Administracin de interfaces habilitadas para IPv6 en servidores en la pgina 198. Para obtener ms informacin sobre comandos, archivos y daemons de IPv6, consulte Implementacin de IPv6 en Solaris 10 en la pgina 280.
191
Desactivar la configuracin automtica de direcciones IPv6. Cree una direccin temporal para un host.
Esta tarea se utiliza para configurar Cmo desactivar la configuracin manualmente la seccin del ID de automtica de direcciones IPv6 interfaz de la direccin IPv6. en la pgina 186 Oculte el ID de interfaz de un host. Para ello, configure una direccin temporal creada aleatoriamente que se utilice como los 64 bits inferiores de la direccin. Cree un token de 64 bits para emplearse como ID de interfaz en una direccin IPv6. Cmo configurar una direccin temporal en la pgina 193
Lapso durante el cual existe la direccin temporal; una vez transcurrido, la direccin se elimina del host.
Tiempo transcurrido antes de prescindir de la direccin temporal. Ese lapso de tiempo debe ser ms breve que el periodo de vida vlido. Intervalo de tiempo antes de la conclusin del periodo de vida preferente durante el cual el host debe generar otra direccin temporal.
La duracin de las direcciones temporales se especifica de la manera siguiente: n nh nd n cantidad de segundos, que es el valor predeterminado n cantidad de horas (h) n cantidad de das (d)
Inicie sesin en el host de IPv6 como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Si es preciso, habilite IPv6 en las interfaces del host. Consulte Cmo habilitar una interfaz de IPv6 para la sesin actual en la pgina 182. Edite el archivo /etc/inet/ndpd.conf para activar la generacin de direcciones temporales.
Para configurar direcciones temporales en todas las interfaces de un host, agregue la lnea siguiente en el archivo /etc/inet/ndpd.conf:
ifdefault TmpAddrsEnabled true
Para configurar una direccin temporal para una determinada interfaz, agregue la lnea siguiente en el archivo /etc/inet/ndpd.conf:
if interface TmpAddrsEnabled true
Esta sintaxis especifica el periodo de vida vlido de todas las interfaces en un host. El valor de duracin debe especificarse en segundos, horas o das. El periodo de vida vlido predeterminado es 7 das. TmpValidLifetime tambin puede usarse con las palabras clave if interfaz para especificar el periodo de vida vlido de una direccin temporal relativa a una determinada interfaz.
193
(Opcional) Especifique un periodo de vida preferente para la direccin temporal; una vez transcurrido, se prescinde de la direccin.
if interface TmpPreferredLifetime duration
Esta sintaxis especifica el periodo de vida preferente de la direccin temporal de una determinada interfaz. El periodo de vida preferente predeterminado es un da. TmpPreferredLifetime tambin se puede utilizar con la palabra clave ifdefault para indicar el periodo de vida preferente de las direcciones temporales relativas a todas las interfaces de un host.
Nota La seleccin de direcciones predeterminadas otorga una prioridad inferior a las direcciones IPv6 que se han descartado. Si se prescinde de una direccin IPv6 temporal, la seleccin de direcciones predeterminadas elige una direccin no descartada como direccin de origen de un paquete. Una direccin no descartada podra ser la direccin IPv6 generada de manera automtica o, posiblemente, la direccin IPv4 de la interfaz. Para obtener ms informacin sobre la seleccin de direcciones predeterminadas, consulte Administracin de seleccin de direcciones predeterminadas en la pgina 239. 6
(Opcional) Especifique el tiempo de generacin antes del descarte de direcciones durante el cual el host debe generar otra direccin temporal.
ifdefault TmpRegenAdvance duration
Esta sintaxis indica el tiempo de generacin antes del descarte de direccin de las direcciones temporales relativas a todas las interfaces de un host. El valor predeterminado es 5 segundos.
7
Verifique que las direcciones temporales se hayan creado mediante la ejecucin del comando ifconfig -a6, como se indica en el Ejemplo 75. En la salida del comando ifconfig, la palabra TEMPORARY debera estar en la misma lnea en que figura la definicin de interfaz.
Ejemplo 74
194
Ejemplo 75
En la lnea siguiente a la interfaz hme0:2 figura la palabra TEMPORARY. Eso significa que la direccin 2001:db8:3c4d:15:7c37:e7d1:fc9c:d2cb/64 tiene un ID de interfaz temporal.
Vase tambin
Para configurar la compatibilidad del servicio de nombres para direcciones IPv6, consulte Configuracin de la compatibilidad con el servicio de nombres para IPv6 en la pgina 209. Para configurar direcciones IPv6 para un servidor, consulte Cmo configurar un token IPv6 especificado por el usuario en la pgina 196. Para supervisar actividades en nodos de IPv6, consulte el Captulo 8, Administracin de redes TCP/IP (tareas).
195
problemas. Las distintas partes de la infraestructura de red, por ejemplo DNS o NIS, pueden tener guardadas determinadas direcciones IPv6 para las interfaces del servidor. Para prevenir los problemas de cambio de direccin, puede configurar manualmente un token para emplearse como ID de interfaz en una direccin IPv6. Para crear el token, especifique un nmero hexadecimal de 64 bits o menos para ocupar la parte del ID de interfaz de la direccin IPv6. En la subsiguiente configuracin automtica de direcciones, el descubrimiento de vecinos no crea un ID de interfaz que se base en la direccin MAC de la interfaz. En lugar de ello, el token creado manualmente se convierte en el ID de interfaz. Este token queda asignado a la interfaz, incluso si se sustituye una tarjeta.
Nota La diferencia entre los tokens especificados por el usuario y las direcciones temporales es
Asuma la funcin de administrador principal o convirtase en superusuario en el nodo. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Verifique que la interfaz que desea configurar con un token est conectada. Antes de poder configurar un token para su direccin IPv6, debe estar conectada una interfaz.
# ifconfig -a6 qfe0: flags=2000841 <UP,RUNNING,MULTICAST,IPv6> mtu 1500 index 2 ether 0:3:ba:13:14:e1 inet6 fe80::203:baff:fe13:14e1/10
Esta salida indica que la interfaz de red qfe0 est conectada y que tiene la direccin local de vnculo fe80::203:baff:fe13:14e1/10. Esta direccin se ha configurado automticamente durante la instalacin.
3
Cree uno o varios nmeros hexadecimales de 64 bits para utilizar como tokens para las interfaces del nodo. Para obtener ejemplos de tokens, consulte Direccin unidifusin local de vnculoen la pgina 81.
196
Configure cada interfaz con un token. Utilice la forma siguiente del comando ifconfig para cada interfaz para disponer de un ID de interfaz especificado por el usuario (token):
ifconfig interface inet6 token address/64
Por ejemplo, utilice el comando siguiente para configurar la interfaz qfe0 con un token:
# ifconfig qfe0 inet6 token ::1a:2b:3c:4d/64
Repita este paso con cada interfaz que deba tener un token especificado por el usuario.
5
(Opcional) Haga que la nueva direccin IPv6 se mantenga despus de cada rearranque. a. Cree o edite un archivo /etc/hostname6.interfaz para cada interfaz que haya configurado con un token. b. Agregue el texto siguiente al final de cada archivo /etc/hostname.6 interfaz:
token ::token-name/64
Una vez se haya rearrancado el sistema, el token que haya configurado en un archivo /etc/hostname6. interfaz se aplica a la direccin IPv6 de interfaz. Esta direccin IPv6 se mantiene en los sucesivos rearranques que tengan lugar.
6
Ejemplo 76
197
inet6 2001:db8:3c4d:152:c0:9fff:fe56:8255/64 # ifconfig bge0 inet6 token ::1a:2b:3c:4d/64 # vi /etc/hostname6.bge0 token ::1a:2b:3c:4d/64 # pkill -HUP -in.ndpd # ifconfig -a6 lo0: flags=2002000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv6,VIRTUAL> mtu 8252 index 1 inet6 ::1/128 bge0: flags=2100801 <UP,MULTICAST,IPv6> mtu 1500 index 5 inet6 fe80::2c0:9fff:fe56:8255/10 ether 0:c0:9f:56:82:55 bge0:1: flags=2180801 <UP, MULTICAST,ADDRCONF,IPv6>mtu 1500 index 5 inet6 2001:db8:3c4d:152:1a:2b:3c:4d/64
Despus de configurar el token, la direccin global de la segunda lnea de estado de bge0:1 tiene configurado 1a:2b:3c:4d para su ID de interfaz.
Vase tambin
Para actualizar los servicios de nombres con las direcciones IPv6 del servidor, consulte Configuracin de la compatibilidad con el servicio de nombres para IPv6 en la pgina 209. Para supervisar el rendimiento del servidor, consulte el Captulo 8, Administracin de redes TCP/IP (tareas).
El servidor ya tiene instalado el sistema operativo Solaris 10. IPv6 se ha habilitado en las interfaces del servidor durante la instalacin del sistema operativo Solaris o posteriormente, siguiendo las instrucciones de Configuracin de una interfaz de IPv6 en la pgina 181.
Si procede, actualice el software de las aplicaciones para que admitan IPv6. Numerosas aplicaciones que se ejecutan en la pila de protocolo IPv4 tambin funcionan correctamente en IPv6. Para obtener ms informacin, consulte Cmo preparar servicios de red para admitir IPv6 en la pgina 92.
198
En el servidor, adquiera la funcin de administrador principal o la de superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Compruebe que el prefijo de subred IPv6 est configurado en un encaminador en el mismo vnculo que el servidor. Para obtener ms informacin, consulte Configuracin de un encaminador IPv6 en la pgina 187. Aplique la estrategia pertinente relativa al ID de interfaz en las interfaces habilitadas para IPv6 del servidor. De forma predeterminada, la configuracin automtica de direcciones IPv6 utiliza la direccin MAC de una interfaz al crear la parte del ID de interfaz de la direccin IPv6. Si se conoce bien la direccin IPv6 de la interfaz, el intercambio de interfaces puede resultar problemtico. La direccin MAC de la nueva interfaz ser distinta. En el proceso de configuracin automtica de direcciones, se genera un nuevo ID de interfaz.
En una interfaz habilitada para IPv6 que no tenga previsto reemplazar, utilice la direccin IPv6 configurada automticamente como se ha indicado en Configuracin automtica de direcciones IPv6 en la pgina 84. En el caso de interfaces habilitadas para IPv6 que deben figurar como annimas fuera de la red local, plantees la posibilidad de utilizar para el ID de interfaz un token generado aleatoriamente. Para obtener instrucciones y un ejemplo, consulte Cmo configurar una direccin temporal en la pgina 193. En las interfaces habilitadas para IPv6 que tenga previsto intercambiar con regularidad, cree tokens para los ID de interfaz. Para obtener instrucciones y un ejemplo, consulte Cmo configurar un token IPv6 especificado por el usuario en la pgina 196.
Se crea manualmente un tnel de Cmo configurar manualmente IPv6 en una red IPv4; solucin para IPv6 a travs de tneles IPv4 contactar con redes IPv6 remotas en la pgina 200 en dentro de una red ms grande, casi siempre una red empresarial IPv4.
199
Tarea
Descripcin
Se configura manualmente un tnel de IPv6 en una red IPv6; en general, se usa dentro de una red empresarial de gran tamao.
Se configura manualmente un Cmo configurar tneles IPv4 a tnel de IPv4 en una red IPv6; travs de IPv6 en la pgina 202 resulta til en redes de gran tamao con redes IPv4 e IPv6. Se crea automticamente un tnel Cmo configurar un tnel 6to4 de 6to4; solucin para conectar con en la pgina 203 un sitio de IPv6 externo por Internet. Permite un tnel a un encaminador Cmo configurar un tnel 6to4 de rels 6to4 mediante el comando hasta un encaminador de reenvo 6to4relay. 6to4 en la pgina 207
Configurar automticamente IPv6 en tneles de IPv4 (tneles de 6to4). Configurar un tnel entre un encaminador 6to4 y un encaminador de rels 6to4.
IPv6 en tneles de IPv4 IPv6 en tneles de IPv6 IPv4 en tneles de IPv6 Tneles de 6to4
Para obtener descripciones conceptuales de los tneles, consulte Tneles de IPv6 en la pgina 303.
200
Acceda al punto final del tnel local como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Cree el archivo /etc/hostname6.ip.tun n. La letra n representa el nmero de tnel, el primer tnel tiene el nmero cero. A continuacin, aada entradas siguiendo estos pasos: a. Aada la direccin de origen y la direccin de destino del tnel.
tsrc IPv4-source-address tdst IPv4-destination-address up
b. (Optativo) Aada una interfaz lgica para la direccin IPv6 de origen y para las direcciones IPv6 de destino.
addif IPv6-source-address IPv6-destination-address
Puede omitir este paso si quiere que la direccin se autoconfigure para esta interfaz. No es necesario configurar direcciones de vnculo local para el tnel.
3 4
Reinicie el sistema. Repita estas tareas en el punto final opuesto del tnel.
Ejemplo 77
Entrada del archivo /etc/hostname6.ip.tun para un tnel manual IPv6 a travs de IPv4
Este archivo /etc/hostname6.ip.tun de ejemplo muestra un tnel para el que las direccione de origen y las direcciones de destino globales se configuran manualmente.
tsrc 192.168.8.20 tdst 192.168.7.19 up addif 2001:db8:3c4d:8::fe12:528 2001:db8:3c4d:7:a00:20ff:fe12:1234 up
Acceda al punto final del tnel local como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Captulo 7 Configuracin de una red IPv6 (tareas). 201
Cree el archivo /etc/hostname6.ip6.tun n . Utilice los valores 0, 1, 2, etc. para n. A continuacin, aada entradas siguiendo estos pasos. a. Aada la direccin de origen y la direccin de destino del tnel.
tsrc IPv6-source-address tdst IPv6-destination-address IPv6-packet-source-address IPv6-packet-destination-address up
b. (Optativo) Aada una interfaz lgica para la direccin IPv6 de origen y para la direccin IPv6 de destino.
addif IPv6-source-address IPv6-destination-address up
Puede omitir este paso si quiere que la direccin se autoconfigure para esta interfaz. No es necesario configurar direcciones de vnculo local para el tnel.
3 4
Reinicie el sistema. Repita este procedimiento en el punto final opuesto del tnel.
Ejemplo 78
Acceda al punto final del tnel IPv4 local como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Cree el archivo /etc/hostname.ip6.tunn. Utilice los valores 0, 1, 2, etc. para n. A continuacin, aada entradas siguiendo estos pasos: a. Aada la direccin de origen y la direccin de destino del tnel.
tsrc IPv6-source-address tdst IPv6-destination-address
202
b. (Optativo) Aada una interfaz lgica para la direccin IPv6 de origen y para la direccin IPv6 de destino.
addif IPv6-source-address IPv6-destination-address up 3 4
Reinicie el host local. Repita este procedimiento en el punto final opuesto del tnel.
Ejemplo 79
Antes de empezar
Antes de configurar el encaminamiento 6to4 en una red IPv6, debe haber hecho lo siguiente:
Configurado IPv6 en todos los nodos correspondientes de la ubicacin que se vaya a definir como 6to4, como se describe en Modificacin de la configuracin de una interfaz de IPv6 para hosts y servidores en la pgina 191. Seleccionado al menos un encaminador con una conexin a una red IPv4 para que sea el encaminador 6to4. Configurado una direccin IPv4 globalmente nica para la interfaz del encaminador que se vaya a definir como 6to4 hasta la red IPv4. La direccin IPv4 debe ser esttica.
Nota No utilice una direccin IPv4 de asignacin dinmica, como se describe en el
Captulo 12, Solaris DHCP (descripcin general). Las direcciones de asignacin dinmica globales pueden cambiar cuando haya pasado un tiempo, lo que puede tener efectos negativos en la planificacin de direcciones IPv6.
203
Acceda al encaminador que vaya a definir como 6to4 como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Si piensa usar la conversin recomendada de ID de subred=0 e ID de host=1, utilice el formato corto para /etc/hostname6.ip.6to4tun0:
tsrc IPv4-address up
Si piensa usar otras convenciones para el ID de subred e ID de host, utilice el formato largo para /etc/hostname6.ip.6to4tun0:
tsrc IPv4-address 2002:IPv4-address:subnet-ID:interface-ID:/64 up
A continuacin se muestran los parmetros requeridos para /etc/hostname6.ip.6to4tun0: tsrc direccin_IPv4 Indica que esta interfaz se utiliza como un origen de tnel. Especifica, en formato decimal con puntos, la direccin IPv4 configurada en la interfaz fsica que ser la pseudo-interfaz 6to4.
El resto de parmetros son optativos. Pero si especifica uno de los parmetros opcionales, debe especificarlos todos. 2002 direccin IPv4 ID de subred ID_interfaz /64 up Especifica el prefijo 6to4. Especifica, como notacin hexadecimal, la direccin IPv4 de la pseudo-interfaz. Especifica, como notacin hexadecimal, un ID de subred que no sea 0. Especifica un ID de interfaz que no sea 1. Indica que el prefijo 6to4 tiene una tamao de 64 bits. Configura la interfaz 6to4 como "up".
Nota Dos tneles IPv6 de la red no pueden tener la misma direccin de origen y la misma
direccicn de destino. Como resultado, se descartaran los paquetes. Este tipo de evento puede suceder si un encaminador 6to4 tambin realiza tareas de tnel mediante el comando atun. Para obtener ms informacin sobre atun, consulte la pgina de comando man tun(7M).
204
(Optativo) Cree pseudo-interfaces 6to4 adicionales en el encaminador. Cada pseudo-interfaz que se vaya a definir como 6to4 debe tener ya configurada una direccin IPv4 globlamente nica. Reinicie el encaminador 6to4. Verifique el estado de la interfaz.
# ifconfig ip.6to4tun0 inet6
4 5
Edite el archivo /etc/inet/ndpd.conf para anunciar el encaminamiento 6to4. Si necesita informacin detallada, consulte la pgina de comando man ndpd.conf(4). a. Especifique la subred que recibir el anuncio en la primera lnea. Cree una entrada if con el siguiente formato:
if subnet-interface AdvSendAdvertisements 1
Por ejemplo, para anunciar el encaminamiento 6to4 a la subred conectada a la interfaz hme0, reemplace interfaz de subred por hme0.
if hme0 AdvSendAdvertisements 1
b. Aada el prefijo 6to4 como segunda lnea del anuncio. Cree una entrada prefix con el siguiente formato:
prefix 2002:IPv4-address:subnet-ID::/64 subnet-interface 7
Reinicie el encaminador. Tambin puede enviar un comando sighup al daemon /etc/inet/in.ndpd para que empiece a enviar anuncios de encaminador. Los nodos IPv6 de cada subred que recibir el prefijo 6to4 se autoconfiguran con las nuevas direcciones derivadas 6to4. Aada las nuevas direcciones derivadas 6to4 de los nodos al servicio de nombre utilizado en la ubicacin 6to4. Si necesita instrucciones, consulte Configuracin de la compatibilidad con el servicio de nombres para IPv6 en la pgina 209.
205
Ejemplo 710
Ejemplo 711
Ejemplo 712
Ejemplo 713
Ms informacin
206
Antes de empezar
Antes de activar un tnel hasta un encaminador de reenvo 6to4, debe haber realizado las siguientes tareas:
Configurar un encaminador 6to4 en la ubicacin, como se ha explicado en Cmo configurar un tnel 6to4 en la pgina 203 Revisar los problemas de seguridad relacionados con el establecimiento de un tnel hasta un encaminador de reenvo 6to4
Acceda al encaminador 6to4 como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Active un tnel hasta el encaminador de reenvo 6to4 utilizando uno de los siguientes formatos:
La opcin -e establece un tnel entre el encaminador 6to4 y un encaminador de reenvo 6to4 de difusin por proximidad. Los encaminadores de reenvo 6to4 de difusin por proximidad tienen la direccin IPv4 192.88.99.1. El encaminador de reenvo de difusin por proximidad que se encuentre ms cerca fsicamente de su ubicacin pasa a ser el punto final del tnel 6to4. Este encaminador de reenvo gestiona el reenvo de paquetes entre su ubicacin 6to4 y una ubicacin IPv6 nativa. Si necesita informacin detallada sobre encaminadores de reenvo 6to4 de difusin por proximidad, consulte RFC 3068, "An Anycast Prefix for 6to 4 Relay Routers" (ftp://ftp.rfc-editor.org/in-notes/rfc3068.txt).
207
La opcin -a indica que ha continuacin se especifica una direccin de un encaminador determinado. Reemplace direccin de encaminador de reenvo con la direccin IPv4 del encaminador de reenvo 6to4 especfico con el que quiera establecer un tnel. El tnel hasta el encaminador de reenvo 6to4 permanece activo hasta que se eilmine la pseudo-interfaz de tnel 6to4.
3
(Optativo) Haga que el tnel hasta el encaminador de reenvo 6to4 se mantenga al reiniciar. Es posible que en su ubicacin sea necesario restablecer el tnel hasta el encaminador de reenvo 6to4 cada vez que se reinicia en encaminador 6to4. Para ello, debe hacer lo siguiente: a. Edite el archivo /etc/default/inetinit. La lnea que se debe modificar se encuentra al final del archivo. b. Cambie el valor "NO" de la lnea ACCEPT6TO4RELAY=NO por "YES". c. (Optativo) Cree un tnel a un encaminador de reenvo 6to4 especfico que se mantenga al reiniciar. En el parmetro RELAY6TO4ADDR, cambie la direccin 192.88.99.1 por la direccin IPv4 del encaminador de reenvo 6to4 que quiera usar.
Ejemplo 714
Si la compatibilidad con encaminadores de reenvo 6to4 est activada, recibir el siguiente resultado:
# /usr/sbin/6to4relay 6to4relay: 6to4 Relay Router communication support is enabled. IPv4 destination address of Relay Router=192.88.99.1
208
Para obtener informacin exhaustiva sobre la administracin de DNS, NIS y LDAP, consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Edite el pertinente archivo de zona de DNS agregando registros de AAAA por cada nodo habilitado para IPv6:
host-name IN AAAA host-address
Para obtener ms informacin sobre administracin de DNS, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Ejemplo 715
209
Para obtener informacin sobre cmo administrar mapas de NIS, consulte el Captulo 5, Setting Up and Configuring NIS Service de System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Se muestran la direccin y el nombre de servidor predeterminados, seguidos del smbolo de comillas angulares del comando nslookup.
2
Visualice informacin de un determinado host. Para ello, en el smbolo de comillas angulares escriba los comandos siguientes:
>set q=any >host-name
4
210
Ejemplo 716
Cmo verificar que los registros PTR de DNS IPv6 se actualicen correctamente
En este procedimiento, el comando nslookup se utiliza para visualizar los registros PTR relativos a DNS IPv6.
Se muestran la direccin y el nombre de servidor predeterminados, seguidos del smbolo de comillas angulares del comando nslookup.
2
En el smbolo de comillas angulares, escriba lo siguiente para ver los registros PTR:
>set q=PTR
Ejemplo 717
Ejemplo 718
farhost
212
213
214
C A P T U L O
El presente captulo presenta tareas para la administracin de redes TCP/IP. Contiene los temas siguientes:
Tareas de administracin principales de TCP/IP (mapa de tareas) en la pgina 216 Supervisin de la configuracin de interfaz con el comando ifconfig en la pgina 217 Supervisin del estado de la red con el comando netstat en la pgina 221 Sondeo de hosts remotos con el comando ping en la pgina 228 Administracin y registro de la visualizacin del estado de la red en la pgina 230 Visualizacin de informacin de encaminamiento con el comando traceroute en la pgina 233 Control de transferencias de paquetes con el comando snoop en la pgina 235 Administracin de seleccin de direcciones predeterminadas en la pgina 239
Las tareas dan por sentado que se dispone de una red TCP/IP operativa, ya sea IPv4y o IPv4/IPv6 de doble pila. Si desea implementar IPv6 en el sistema pero no lo ha hecho, para obtener ms informacin consulte los captulos siguientes:
Para programar una implementacin de IPv6, consulte el Captulo 4, Planificacin de una red IPv6 (tareas). Para configurar IPv6 y crear un entorno de red de pila doble, consulte el Captulo 7, Configuracin de una red IPv6 (tareas)..
215
Visualizar informacin de configuracin relativa a una interfaz. Visualizar asignaciones de direcciones de interfaces. Visualizar estadsticas segn el protocolo. Visualizar el estado de la red.
Determinar la configuracin actual Cmo obtener informacin sobre de cada interfaz en un sistema. una interfaz especfica en la pgina 217 Determinar las asignaciones de direcciones de todas las interfaces del sistema local. Supervisar el rendimiento de los protocolos de red en un determinado sistema. Cmo mostrar asignaciones de direccin de interfaz en la pgina 219 Cmo visualizar estadsticas por protocolo en la pgina 221
Supervisar el sistema visualizando Cmo visualizar el estado de los todos los sockets y las entradas de sockets en la pgina 225 la tabla de encaminamiento. En la salida figuran la familia de direcciones inet4 de IPv4 y la famila de direcciones inet6 de IPv6. Supervisar el rendimiento de las interfaces de red, til para resolver problemas de transmisiones. Cmo visualizar el estado de interfaces de red en la pgina 224
Supervisar el estado de los paquetes Cmo visualizar el estado de las conforme se van transmitiendo. transmisiones de paquetes de un determinado tipo de direccin en la pgina 227 Se controla de la salida de los comandos ping, netstat, ifconfig y traceroute. Se crea un archivo denominado inet_type. En este archivo se establece la variable DEFAULT_IP. Se visualizan todos los paquetes IP mediante el comando snoop. Cmo controlar la salida de visualizacin de comandos relacionados con IP en la pgina 230
Cmo supervisar trfico de redes IPv6 en la pgina 238 Cmo efectuar el seguimiento de todas las rutas en la pgina 234
Efectuar el seguimiento de todas las Se utiliza el comando traceroute rutas conocidas en los para mostrar todas las rutas. encaminadores de la red.
216
Nombres de dispositivo de todas las interfaces de un sistema Todas las direcciones IPv4 y, si las hay, IPv6 asignadas a las interfaces Si estas interfaces estn configuradas
El siguiente procedimiento muestra cmo usar el comando ifconfig para obtener informacin de configuracin bsica sobre las interfaces de un sistema.
1
En el host local, adquiera la funcin de administrador principal o la de superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Obtenga informacin sobre una interfaz especfica.
# ifconfig interface
Lnea de estado La primera lnea del resultado del comando ifconfig contiene el nombre de la interfaz y marcas de estado asociadas a la interfaz. La lnea de estado tambin incluye la unidad de transmisin mxima (MTU) configurada para la interfaz y un nmero de ndice. Utilice la lnea de estado para determinar el estado actual de la interfaz.
217
Lnea de informacin de direccin IP La segunda lnea del resultado de ifconfig contiene la direccin IPv4 o IPv6 configurada para la interfaz. Si se trata de una direccin IPv4, la mscara de red y direccin de emisin configuradas tambin se muestran.
Lnea de direccin MAC Cuando se ejecuta el comando ifconfig como superusuario o con una funcin similar, el resultado de ifconfig contiene una tercera lnea. Para una direccin IPv4, la tercera lnea muestra la direccin MAC (direccin de capa Ethernet) asignada a la interfaz. Para una direccin IPv6, la tercera lnea del resultado muestra la direccin de vnculo local que el daemon IPv6 in.ndpd genera a partir de la direccin MAC.
Ejemplo 81
En la siguiente tabla se muestra la informacin variable de una consulta ifconfig. Se utiliza como ejemplo el resultado anterior.
Resultado en pantalla
Variable
Descripcin
Nombre de interfaz Estado de interfaz Estado de emisin Estado de transmisin Estado multidifusin
eri0
Indica el nombre de dispositivo de la interfaz cuyo estado se solicita mediante el comando ifconfig.
flags=863<UP Muestra el estado de la interfaz, con cualquier marca asociada con la interfaz. Con esta informacin puede determinar si la interfaz est iniciada (UP) o no (DOWN ). BROADCAST Indica que la interfaz admite emisiones IPv4. Indica que el sistema est transmitiendo paquetes a travs de la interfaz. Muestra que la interfaz admite transmisiones multidifusin. La interfaz de ejemplo admite transmisiones multidifusin IPv4.
RUNNING
MULTICAST, IPv4
218
Variable
Resultado en pantalla
Descripcin
mtu 1500
Muestra que esta interfaz tiene un tamao de transferencia mxima de 1500 octetos. Muestra la direccin IPv4 o IPv6 asignada a la interfaz. La interfaz de ejemplo eri0 tiene la direccin IPv4 10.0.0.112 . Muestra la mscara de red IPv4 de la interfaz especfica. Las direcciones IPv6 no utilizan mscaras de red.
En el sistema local, asuma la funcin de administrador de red o hgase superusuario. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Obtenga informacin sobre todas las interfaces. Puede usar variaciones del comando ifconfig -a para hacer lo siguiente:
Si el sistema local tiene IPv6, mostrar todas las direcciones IPv6 asignadas a las interfaces de un sistema.
ifconfig -a6
219
Ejemplo 82
Ejemplo 83
Ejemplo 84
220
inet6 fe80::a00:20ff:feb9:4c54/10 qfe0:1: flags=2080841 <UP,RUNNING,MULTICAST,ADDRCONF,IPv6> mtu 1500 index 2 inet6 2001:db8:3c4d:48:a00:20ff:feb9:4c54/64
Este resultado de ifconfig muestra los tres tipos de direccin IPv6 siguientes que estn asignados a la nica interfaz de un host: lo0 Direccin en bucle IPv6. inet6 fe80::a00:20ff:feb9:4c54/10 Direccin de vnculo local asignada a la interfaz de red principal. inet6 2001:db8:3c4d:48:a00:20ff:feb9:4c54/64 Direccin IPv6, con prefijo de subred. El trmino ADDRCONF en el resultado indica que esta direccin fue autoconfigurada por el host.
Ejemplo 85
= =
0 0
= = = = =
0 0 255 0 0
IPv4
= 2 =300182 = 0
= =
0 3
ipInIPv6 ipOutSwitchIPv6
= =
0 0 255 0 0
IPv6
= 2 = 13986 = 0
= 0
= = = =
0 0 0 0
= 43593 = 0
0 icmp6InErrors = icmp6InAdminProhibs = 0 0
0 0
icmp6OutGroupResps =
12287 messages received 0 messages received with too few bytes 0 messages received with bad checksum 12287 membership queries received SCTP sctpRtoAlgorithm = vanj sctpRtoMin = 1000 sctpRtoMax = 60000 sctpRtoInitial = 3000 sctpTimHearBeatProbe = 2 sctpTimHearBeatDrop = 0 sctpListenDrop = 0 sctpInClosed = 0
Remote Address Swind Send-Q Rwind Recv-Q -------------------- ----- ------ ----- -----abc.def.local.Sun.COM.980 49640 0 49640 ghi.jkl.local.Sun.COM.1020 49640 1 49640 mno.pqr.remote.Sun.COM.nfsd 49640 0 49640
SCTP: Local Address Remote Address Swind Send-Q Rwind Recv-Q StrsI/O State ---------------- -------------- ----- ------ ------ ------ ------ ------*.echo 0.0.0.0 0 0 102400 0 128/1 LISTEN *.discard 0.0.0.0 0 0 102400 0 128/1 LISTEN *.9001 0.0.0.0 0 0 102400 0 128/1 LISTEN
Ejemplo 87
Remote Address Swind Send-Q Rwind Recv-Q -------------------- ----- ------ ----- -----abc.def.local.Sun.COM.980 49640 0 49640 ghi.jkl.local.Sun.COM.1020 49640 1 49640 mno.pqr.remote.Sun.COM.nfsd 49640 0 49640
Rwind Recv-Q State If ------ ----------- ----49152 0 ESTABLISHED 49152 0 ESTABLISHED 49152 0 ESTABLISHED
Ejemplo 88
224
paquetes de solicitud de arranque del cliente. Sin embargo, parece que el servidor no sabe responder. Esta confusin podra deberse a una direccin incorrecta en la base de datos hosts, ipnodes, o ethers. No obstante, si la cantidad de paquetes de entrada permanece invariable, el equipo no ve los paquetes. De este resultado puede inferirse otra clase de error, posiblemente un problema de hardware.
Name Mtu Net/Dest lo0 8232 loopback hme0 1500 host58 Address localhost host58 Ipkts Ierrs Opkts Oerrs Collis Queue 142 0 142 0 0 0 1106302 0 52419 0 0 0
Name Mtu Net/Dest Address Ipkts Ierrs Opkts Oerrs Collis lo0 8252 localhost localhost 142 0 142 0 0 hme0 1500 fe80::a00:20ff:feb9:4c54/10 fe80::a00:20ff:feb9:4c54 1106305 0 52422 0 0
Escriba lo siguiente para visualizar el estado de los sockets y las entradas de tabla de encaminador: Puede emplear su cuenta de usuario para ejecutar esta opcin de netstat.
% netstat -a
Ejemplo 89
UDP: IPv6 Local Address Remote Address State If --------------------------------- --------------------------------- ---------- ----*.* Unbound *.* Unbound *.sunrpc Idle *.* Unbound *.32771 Idle *.32778 Idle *.syslog Idle . . TCP: IPv4 Local Address Remote Address Swind Send-Q Rwind Recv-Q State -------------------- -------------------- ----- ------ ----- ------ ------*.* *.* 0 0 49152 0 IDLE localhost.4999 *.* 0 0 49152 0 LISTEN *.sunrpc *.* 0 0 49152 0 LISTEN *.* *.* 0 0 49152 0 IDLE *.sunrpc *.* 0 0 49152 0 LISTEN . . *.printer *.* 0 0 49152 0 LISTEN *.time *.* 0 0 49152 0 LISTEN *.daytime *.* 0 0 49152 0 LISTEN *.echo *.* 0 0 49152 0 LISTEN *.discard *.* 0 0 49152 0 LISTEN *.chargen *.* 0 0 49152 0 LISTEN *.shell *.* 0 0 49152 0 LISTEN *.shell *.* 0 0 49152 0 LISTEN *.kshell *.* 0 0 49152 0 LISTEN *.login . . *.* 0 0 49152 0 LISTEN *TCP: IPv6 Local Address Remote Address Swind Send-Q Rwind Recv-Q State If ----------------------- ----------------------- ----- ------ ----- --------*.* *.* 0 0 49152 0 IDLE *.sunrpc *.* 0 0 49152 0 LISTEN *.* *.* 0 0 49152 0 IDLE *.32774 *.* 0 0 49152
226 Gua de administracin del sistema: servicios IP Octubre de 2009
Para ver informacin sobre transmisiones de IPv4, escriba inet como argumento de netstat -f. Utilice inet6 como argumento de netstat -f para ver informacin de IPv6.
Ejemplo 810
Ejemplo 811
Ejemplo 812
Flags Ref Use Interface ----- ----- ------ --------U 1 31059 hme0 U 1 0 hme0 UG 1 2 hme0 UH 42019361 lo0
Routing Table: IPv6 Destination/Mask Gateway Flags Ref Use If --------------------------- --------------------------- ----- --- ------ ----2002:0a00:3010:2::/64 2002:0a00:3010:2:1b2b:3c4c:5e6e:abcd U 1 0 hme0:1 fe80::/10 fe80::1a2b:3c4d:5e6f:12a2 U 1 23 hme0 ff00::/8 fe80::1a2b:3c4d:5e6f:12a2 U 1 0 hme0 default fe80::1a2b:3c4d:5e6f:12a2 UG 1 0 hme0 localhost localhost UH 9 21832 lo0
Parmetro
Descripcin
Indica el host que es el punto final de destino de la ruta. La tabla de ruta IPv6 muestra el prefijo de un punto final de tnel 6to4 (2002:0a00:3010:2::/64) como punto final de destino de la ruta. Especifica el portal que se usa para enviar paquetes. Indica el estado actual de la ruta. El indicador U especifica que la ruta est activa. El indicador G especifica que la ruta es a un portal. Muestra la cantidad de paquetes enviados. Indica la interfaz concreta del host local que es el punto final de origen de la transmisin.
Use Interface
En esta sintaxis, host corresponde al nombre del host remoto. El argumento tiempo_espera opcional indica el tiempo en segundos para que el comando ping siga intentando contactar con el host remoto. El valor predeterminado es de 20 segundos. Para obtener ms informacin sobre sintaxis y opciones, consulte la pgina de comando man ping(1M).
Este mensaje indica que nombre_host ha respondido a la solicitud de ICMP. Sin embargo, si nombre_host est desconectado o no puede recibir los paquetes de ICMP, el comando ping genera la respuesta siguiente:
no answer from hostname
Ejemplo 813
^C ----host1.domain8 PING Statistics---7 packets transmitted, 7 packets received, 0% packet loss round-trip (ms) min/avg/max/stddev = 0.921/1.11/1.67/0.26
La estadstica de prdida de paquetes indica si el host ha descartado paquetes. Si falla el comando ping, compruebe el estado de la red que indican los comandos ifconfig y netstat. Consulte Supervisin de la configuracin de interfaz con el comando ifconfig en la pgina 217 y Supervisin del estado de la red con el comando netstat en la pgina 221.
1 2
Cree el archivo /etc/default/inet_type. Agregue una de las entradas siguientes a /etc/default/inet_type, segn lo que necesite la red:
o
DEFAULT_IP=IP_VERSION6
Para obtener ms informacin acerca del archivo inet_type, consulte la pgina de comando man inet_type(4).
230 Gua de administracin del sistema: servicios IP Octubre de 2009
Nota Los indicadores -4 y -6 del comando ifconfig anulan los valores establecidos en el archivo inet_type. El indicador -f del comando netstat tambin anula los valores establecidos en el archivo inet_type.
Ejemplo 814
Si especifica la variable DEFAULT_IP=BOTH o DEFAULT_IP=IP_VERSION6 en el archivo inet_type, en principio debe obtenerse la salida siguiente:
% ifconfig -a lo0: flags=1000849 mtu 8232 index 1 inet 10.10.0.1 netmask ff000000 qfe0: flags=1000843 mtu 1500 index 2 inet 10.46.86.54 netmask ffffff00 broadcast 10.46.86.255 ether 8:0:20:56:a8 lo0: flags=2000849 mtu 8252 index 1 inet6 ::1/128 qfe0: flags=2000841 mtu 1500 index 2 ether 8:0:20:56:a8 inet6 fe80::a00:fe73:56a8/10 qfe0:1: flags=2080841 mtu 1500 index 2 inet6 2001:db8:3c4d:5:a00:fe73:56a8/64
Si se especifica la variable DEFAULT_IP=IP_VERSION4 o DEFAULT_IP=IP_VERSION6 en el archivo inet_type, en principio debe obtenerse la salida siguiente:
% ifconfig -a lo0: flags=849 mtu 8232 inet 10.10.0.1 netmask ff000000 qfe0: flags=843 mtu 1500 inet 10.46.86.54 netmask ffffff00 broadcast 10.46.86.255 ether 8:0:20:56:a8
En el host local, adquiera la funcin de administrador principal o la de superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Captulo 8 Administracin de redes TCP/IP (tareas) 231
Precaucin En una red que est ocupada, este comando puede generar salida casi continua.
Ejemplo 815
Cmo efectuar el seguimiento de las actividades del daemon de descubrimiento cercano de IPv6
Si tiene la impresin de que el daemon in.ndpd funciona de modo incorrecto, inicie un registro que efecte el seguimiento de la actividad del daemon. Dicho seguimiento se refleja en la salida estndar hasta su conclusin. En el seguimiento figuran todas las transferencias de paquetes al iniciarse el daemon in.ndpd.
En el nodo IPv6 local, asuma la funcin de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
3
232
Ejemplo 816
233
Esta forma del comando traceroute se puede ejecutar desde la cuenta de usuario.
Ejemplo 817
Esta forma del comando traceroute se puede ejecutar desde la cuenta de usuario.
Ejemplo 818
234
5 v6host (2001:db8:4a3b::102:a00:fe79:19b0) 66.111 ms * 36.965 ms traceroute to v6host.remote.com (192.168.10.75),30 hops max,40 byte packets 1 v6-rout86 (172.16.86.1) 4.360 ms 3.452 ms 3.479 ms 2 flrmpj17u.here.COM (172.16.17.131) 4.062 ms 3.848 ms 3.505 ms 3 farhost.farway.com (10.0.0.23) 4.773 ms * 4.294 ms 4 distant.remote.com (192.168.10.104) 5.128 ms 5.362 ms * 5 v6host (192.168.15.85) 7.298 ms 5.444 ms *
El comando snoop suele utilizar el primer dispositivo que no es de bucle de retorno, en general la interfaz de red principal.
3
Comience a capturar paquetes escribiendo el comando snoop sin argumentos, como se muestra en el Ejemplo 819. Para detener el proceso, pulse Control+C.
Ejemplo 819
Los paquetes que se capturan en esta salida muestran una seccin de inicio de sesin remoto, incluidas las bsquedas en los servidores NIS y DNS para resolver direcciones. Tambin se incluyen paquetes ARP peridicos del encaminador local y anuncios de la direccin local de vnculos IPv6 en el comando in.ripngd.
236
Por ejemplo:
# snoop -o /tmp/cap Using device /dev/eri (promiscuous mode) 30 snoop: 30 packets captured
En el ejemplo, se han capturado 30 paquetes en un archivo que se denomina /tmp/cap. El archivo se puede ubicar en cualquier directorio que disponga de suficiente espacio en disco. La cantidad de paquetes capturados se muestra en la lnea de comandos, y permite pulsar Control+C para cancelar en cualquier momento. El comando snoop crea una evidente carga de red en el equipo host que puede distorsionar el resultado. Para ver el resultado real, snoop debe ejecutarse desde otro sistema.
3
Ejemplo 820
3 4
Para obtener ms informacin sobre el comando snoop, consulte la pgina de comando man snoop(1M).
Ejemplo 821
238
solicitation fe80::a00:20ff:fee9:2d27 -> fe80::a00:20ff:fecd:4375 ICMPv6 Neighbor solicitation fe80::a00:20ff:febb:e09 -> ff02::9 RIPng R (11 destinations) fe80::a00:20ff:fee9:2d27 -> ff02::1:ffcd:4375 ICMPv6 Neighbor solicitation
239
Precaucin La tabla de directrices de seleccin de direcciones IPv6 no se debe modificar salvo por los motivos que se exponen en la tarea siguiente. Una tabla de directrices mal configurada puede ocasionar problemas en la red. Efecte una copia de seguridad de la tabla de directrices, como en el procedimiento siguiente. 1
Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Revise la tabla de directrices de seleccin de direcciones IPv6 actual.
# ipaddrsel # Prefix ::1/128 ::/0 2002::/16 ::/96 ::ffff:0.0.0.0/96 Precedence 50 40 30 20 10 Label Loopback Default 6to4 IPv4_Compatible IPv4
Si desea personalizar la tabla, utilice un editor de textos en el archivo /etc/inet/ipaddrsel.conf. Utilice la sintaxis siguiente para las entradas del archivo /etc/inet/ipaddrsel:
prefix/prefix-length precedence label [# comment ]
A continuacin se muestran varias de las modificaciones habituales que podra querer aplicar a la tabla de directrices:
El formato de direccin 6to4 ahora tiene la prioridad ms alta: 50. Bucle, que anteriormente presentaba una prioridad de 50, ahora presenta una prioridad de 45. Los dems formatos de direcciones siguen igual.
Designar una direccin de origen concreta que se deba utilizar en las comunicaciones con una determinada direccin de destino.
::1/128 2001:1111:1111::1/128 2001:2222:2222::/48 50 Loopback 40 ClientNet 40 ClientNet
240
::/0
40 Default
Esta entrada en concreto es til para los host que cuentan slo con una interfaz fsica. En este caso, 2001:1111:1111::1/128 se prefiere como direccin de origen de todos los paquetes cuyo destino previsto es la red 2001:2222:2222::/48. La prioridad 40 otorga una posicin preferente a la direccin de origen 2001:1111:1111::1/128 en relacin con los dems formatos de direcciones configurados para la interfaz.
El formato de IPv4 ::ffff:0.0.0.0/96 ha cambiado su prioridad predeterminada de 10 a 60, la prioridad mxima de la tabla.
5
Si la tabla de directrices modificada presenta problemas, restaure la tabla predeterminada de directrices de seleccin de direcciones IPv6.
# ipaddrsel -d
Cmo modificar la tabla de seleccin de direcciones IPv6 slo para la sesin actual
Si edita el archivo /etc/inet/ipaddrsel.conf, las modificaciones que efecte se mantendrn despus de cada rearranque. Si quiere aplicar las modificaciones nicamente en la sesin actual, siga este procedimiento.
Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
El ncleo emplea la nueva tabla de directrices hasta que se vuelva a arrancar el sistema.
242
C A P T U L O
Este captulo contiene soluciones para problemas comunes que se pueden producir en la red. Contiene los temas siguientes:
Consejos de resolucin de problemas de red generales en la pgina 243 Problemas comunes al utilizar IPv6 en la pgina 245
Si IPv6 est activado en la red, compruebe que el daemon IPv6 in.ndpd se est ejecutando:
# ps -ef | grep in.ndpd
244
Algunas aplicaciones, aunque se conviertan a IPv6,no activan IPv6 de manera predeterminada. Es posible que tenga que configurar estas aplicaciones para activar IPv6. Un servidor que ejecute varios servicios, algunos slo IPv4 y otros IPv4 e IPv6, puede producir problemas. Algunos clientes pueden necesitar utilizar varios tipos de servicios, lo que puede generar confusin en el servidor.
Contrate los servicios de otro proveedor ISP para que proporcione una segunda lnea para las comunidaciones IPv6 de su empresa. Esta solucin es cara. Consiga un ISP virtual. Un ISP virtual proporciona conectividad IPv6 sin vnculo. En su lugar, se crea un tnel desde sus oficinas, a travs del ISP IPv4, al ISP virtual.
245
Utilice un tnel 6to4 a travs de su ISP a otros sitios IPv6. Para las direcciones, utilice las direcciones IPv4 registradas del encaminador 6to4 como seccin pblica de la direccin IPv6.
Aunque los encaminadores de reenvo 6to4 encapsulan y desencapsulan paquetes, no comprueban los datos que contienen los paquetes. El falseamiento de direcciones es un problema grave de los tneles a encaminadores de reenvo 6to4. Para el trfico entrante, el encaminador 6to4 no puede comparar la direccin IPv4 del encaminador de reenvo con la direccin IPv6 del origen. Por lo tanto, la direccin del host IPv6 puede falsearse fcilmente. La direccin del encaminador de reenvo 6to4 tambin puede falsearse. De manera predeterminada, no existe ningn mecanismo de confianza entre encaminadores 6to4 y encaminadores de reenvo 6to4. Por lo tanto, un encaminador 6to4 no puede identificar si el encaminador de reenvo 6to4 es de confianza, ni siquiera puede determinar si es un encaminador de reenvo 6to4 legtimo. Debe existir una relacin de confianza entre el sitio 6to4 y el destino IPv6, o ambos sitios quedan abiertos a posibles ataques.
Estos problemas y otras cuestiones de seguridad de los encaminadores de reenvo 6to4 se explican en el documento Security Considerations for 6to4. En general, slo es recomandable activar la admisin de encaminadores de reenvo 6to4 en los siguientes casos:
Pretende comunicarse con una red privada IPv6 de confianza desde su ubicacin 6to4. Por ejemplo, puede activar la admisin de encaminadores 6to4 en una red universitaria que consiste en ubicaciones 6to4 aisladas e IPv6 nativas. Su ubicacin 6to4 tiene motivos importantes de negocios para comunicarse con ciertos hosts IPv6 nativos. Ha realizado las comprobaciones y modelos de confianza sugeridos en el documento de Internet Security Considerations for 6to4.
4709338 Se necesita una implementacin RIPng que reconozca encaminadores estticos 4152864 Configurar dos tneles con el mismo par tsrc/tdst es posible
246
Aada la ruta esttica 2002::/16 a las tablas de encaminamiento de todos los encaminadores internos de la ubicacin 6to4. Utilice un protocolo de encaminamiento que no sea RIPng en el encaminador interno de la ubicacin 6to4.
247
248
10
C A P T U L O
1 0
Este captulo proporciona informacin de referencia sobre la red TCP/IP para los archivos de configuracin de la red, incluidos los tipos, su finalidad y el formato de las entradas de archivo. Las bases de datos de red existentes tambin se describen de forma pormenorizada. Asimismo, el captulo muestra cmo se deriva la estructura de las direcciones IPv4, basndose en clasificaciones de red definidas y en los nmeros de subred. Este captulo contiene la informacin siguiente:
Archivos de configuracin TCP/IP en la pgina 249 Bases de datos de red y el archivo nsswitch.conf en la pgina 260 Protocolos de encaminamiento en el sistema operativo Solaris en la pgina 269 Clases de red en la pgina 270
Archivo /etc/hostname.interfaz Archivo /etc/nodename Archivo /etc/defaultdomain Archivo /etc/defaultrouter (opcional) Base de datos hosts En Solaris 10 11/06 y versiones anteriores, la base de datos ipnodes
249
El programa de instalacin de Solaris crea estos archivos como parte del proceso de instalacin. Tambin puede editar manualmente los archivos, como se describe en esta seccin. Las bases de datos hosts y netmasks son dos de las bases de datos de red que leen los servicios de nombres disponibles en las redes de Solaris. Bases de datos de red y el archivo nsswitch.conf en la pgina 260 describe detalladamente el concepto de bases de datos de red. En Solaris 10 11/06 y versiones anteriores, para obtener informacin sobre el archivo ipnodes, consulte Base de datos ipnodes en la pgina 255.
Archivo /etc/hostname.interfaz
Este archivo define las interfaces de red fsicas del host local. En el sistema local debe haber como mnimo un archivo /etc/hostname.interfaz. El programa de instalacin de Solaris crea un archivo /etc/hostname.interfaz para la primera interfaz que se encuentra durante el proceso de instalacin. Esta interfaz normalmente tiene el nmero de dispositivo menor, por ejemplo, eri0, y se hace referencia a ella como la interfaz de red principal. Si el programa de instalacin encuentra interfaces adicionales, puede configurarlas de modo opcional, como parte del proceso de instalacin.
Nota Si crea archivos alternativos de host para la misma interfaz, tambin deben seguir el
formato de asignacin de nombres host.[0-9]*, como, por ejemplo, nombre_host.qfe0.a123. Nombres como hostname.qfe0.bak o hostname.qfe0.old no son vlidos y sern ignorados por las secuencias durante el arranque del sistema. Si agrega una interfaz de red nueva al sistema tras la instalacin, debe crear un archivo /etc/hostname.interfaz para dicha interfaz, tal como se explica en Cmo configurar una interfaz fsica tras la instalacin del sistema en la pgina 156. Asimismo, para que el software Solaris reconozca y utilice la nueva interfaz de red, debe cargar el controlador de dispositivos de la interfaz en el directorio correspondiente. Consulte la documentacin que se incluye con la nueva interfaz de red para conocer el nombre de la interfaz pertinente y las instrucciones relativas al controlador de dispositivos. El archivo /etc/hostname.interfaz bsico contiene una entrada: el nombre de host o direccin IPv4 asociados con la interfaz de red. La direccin IPv4 se puede expresar en el formato decimal con punto tradicional o en la notacin CIDR. Si utiliza un nombre de host como entrada para el archivo /etc/hostname.interfaz, dicho nombre de host tambin debe existir en el archivo /etc/inet/hosts. Por ejemplo, supongamos que smc0 es la interfaz de red principal para un sistema denominado tenere. El archivo /etc/hostname.smc0 podra tener como entrada una direccin IPv4 en notacin decimal con punto o CIDR, o el nombre de host tenere.
250 Gua de administracin del sistema: servicios IP Octubre de 2009
Nota IPv6 utiliza el archivo /etc/hostname6.interfaz para definir las interfaces de red. Para
Archivo /etc/nodename
Este archivo debe contener una entrada: el nombre de host del sistema local. Por ejemplo, en el sistema timbuktu, el archivo /etc/nodename incluira la entrada timbuktu.
Archivo /etc/defaultdomain
Este archivo debe contener una entrada: el nombre de dominio completo del dominio administrativo al que pertenece la red del host local. Puede proporcionar este nombre en el programa de instalacin de Solaris o editar el archivo posteriormente. Para ms informacin sobre los dominios de red, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Archivo /etc/defaultrouter
Este archivo puede contener una entrada para cada encaminador que est conectado directamente a la red. La entrada debe ser el nombre de la interfaz de red que acte como encaminador entre las redes. La presencia del archivo /etc/defaultrouter indica que el sistema est configurado para admitir el encaminamiento esttico.
Nota Para fines de compatibilidad con los sistemas operativos basados en BSD, el archivo /etc/hosts es un enlace simblico a /etc/inet/hosts.
[apodo] [#comentario]
Archivo /etc/inet/hosts para el sistema tenere loghost #loopback address #host name
Direccin en bucle
En el Ejemplo 101, la direccin IPv4 127.0.0.1 es la direccin en bucle. La direccin en bucle es la interfaz de red reservada que utiliza el sistema local para permitir la comunicacin entre los procesos. Esta direccin permite al host enviarse paquetes a s mismo. El comando ifconfig utiliza la direccin en bucle para la configuracin y las pruebas, tal como se explica en Supervisin de la configuracin de interfaz con el comando ifconfig en la pgina 217. Cada sistema de una red TCP/IP debe utilizar la direccin IP 127.0.0.1 para el bucle IPv4 del host local.
252
Nombre de host
La direccin IPv4 192.168.200.1 y el nombre tenere son la direccin y el nombre de host del sistema local. Se asignan a la interfaz de red principal del sistema.
Archivo /etc/inet/hosts para el sistema timbuktu localhost loghost timbuktu #This is the local host name timbuktu-201 #Interface to network 192.9.201
Con estas dos interfaces, timbuktu conecta las redes 192.168.200 y 192.168.201 como encaminador.
253
Direccin en bucle Direccin IPv4 y nombre de host del sistema local (interfaz de red principal) Direccin IPv4 y nombre de host de las interfaces de red adicionales conectadas a este sistema, si es preciso Direcciones IPv4 y nombres de host de todos los hosts de la red local Direcciones IPv4 y nombres de host de cualquier encaminador que deba conocer este sistema, si es preciso Direccin IPv4 de cualquier sistema que desee consultar el sistema por nombre de host
La Figura 101 muestra el archivo /etc/inet/hosts para el sistema tenere. Este sistema se ejecuta en modo de archivos locales. Tenga en cuenta que el archivo contiene las direcciones IPv4 y los nombres de host de cada sistema de la red 192.9.200. El archivo tambin contiene la direccin IPv4 y el nombre de interfaz timbuktu-201. Esta interfaz conecta la red 192.9.200 con la red 192.9.201. Un sistema configurado como cliente de red utiliza el archivo /etc/inet/hosts local para sus direcciones en bucle e IPv4.
254
# Desert Network - Hosts File # # If the NIS is running, this file is only consulted # when booting Lnea de localhost Lnea de nombre de host Lnea de servidor # 127.0.0.1 localhost # 192.9.200.1 192.9.200.50 # 192.9.200.2 192.9.200.3 Otros hosts 192.9.200.4 192.9.200.5 192.9.200.70 192.9.201.10 libyan ahaggar nubian faiyum timbuktu timbuktu-201 suz tim libby #This is Tom's machine #This is Bob's machine #This is Amina's machine #This is Suzanne's machine #This is Kathy's machine #Interface to net 192.9.201 on #timbuktu tenere sahara big #This is my machine #This is the net config server
FIGURA 101
En las versiones subsiguientes, las funciones de IPv6 de ipnodes se migran a la base de datos hosts. El archivo /etc/inet/ipnodes almacena las direcciones IPv4 e IPv6. Adems, puede guardar direcciones IPv4 en las notaciones decimal con punto o CIDR. Este archivo sirve como base de datos local que asocia los nombres de hosts con sus direcciones IPv4 e IPv6. No guarde los nombres de host y sus direcciones en archivos estticos, como /etc/inet/ipnodes. En cambio, para fines de pruebas, debe guardar las direcciones IPv6 en un archivo del mismo modo que las direcciones IPv4 se guardan en /etc/inet/hosts. El archivo ipnodes utiliza la misma
Captulo 10 Descripcin detallada de TCP/IP e IPv4 (referencia) 255
convencin de formato que el archivo hosts. Para ms informacin sobre /etc/inet/hosts, consulte Base de datos hosts en la pgina 251. Consulte la pgina del comando man ipnodes(4) para ver una descripcin del archivo ipnodes. Las aplicaciones habilitadas para IPv6 utilizan la base de datos /etc/inet/ipnodes. La base de datos /etc/hosts existente, que contiene slo direcciones IPv4, permanece igual para facilitar las aplicaciones existentes. Si la base de datos ipnodes no existe, las aplicaciones habilitadas para IPv6 utilizan la base de datos hosts existente.
Nota Si necesita agregar direcciones, debe agregar las direcciones IPv4 tanto al archivo hosts como al archivo ipnodes. Las direcciones IPv6 se agregan slo al archivo ipnodes.
EJEMPLO 103
Archivo /etc/inet/ipnodes
Debe agrupar las direcciones del nombre de host por nombre de host, como se muestra en este ejemplo.
# # Internet IPv6 host table # with both IPv4 and IPv6 addresses # ::1 localhost 2001:db8:3b4c:114:a00:20ff:fe78:f37c farsite.com farsite farsite-v6 fe80::a00:20ff:fe78:f37c farsite-11.com farsitell 192.168.85.87 farsite.com farsite farsite-v4 2001:db8:86c0:32:a00:20ff:fe87:9aba nearsite.com nearsite nearsite-v6 fe80::a00:20ff:fe87:9aba nearsite-11.com nearsitell 10.0.0.177 nearsite.com nearsite nearsite-v4 loghost
direccin, las subredes proporcionan un medio de asignar parte del espacio de la direccin host a las direcciones de red, lo cual permite tener ms redes. La parte del espacio de direccin de host asignada a las nuevas direcciones de red se conoce como nmero de subred. Adems de hacer que el espacio de la direccin IPv4 sea mas eficaz, las subredes presentan varias ventajas administrativas. El encaminamiento puede complicarse enormemente a medida que aumenta el nmero de redes. Por ejemplo, una pequea organizacin podra asignar a cada red local un nmero de clase C. A medida que la organizacin va aumentando, puede complicarse la administracin de los diferentes nmeros de red. Es recomendable asignar pocos nmeros de red de clase B a cada divisin principal de una organizacin. Por ejemplo, podra asignar una red de clase B al departamento de ingeniera, otra al departamento de operaciones, etc. A continuacin, podra dividir cada red de clase B en redes adicionales, utilizando los nmeros de red adicionales obtenidos gracias a las subredes. Esta divisin tambin puede reducir la cantidad de informacin de encaminamiento que se debe comunicar entre encaminadores.
257
Los bits de los bytes de direcciones host que se aplican a las direcciones de subredes y los que se aplican a direcciones host estn determinados por una mscara de subred. Las mscaras de subred se utilizan para seleccionar bits de cualquiera de los bytes para utilizar como direcciones de subred. Aunque los bits de mscara de red deben ser contiguos, no es necesario que estn alineados con los lmites del byte. La mscara de red puede aplicarse a una direccin IPv4 utilizando el operador lgico AND en el nivel de bits. Esta operacin selecciona las posiciones del nmero de red y el nmero de subred de la direccin. Las mscaras de red se pueden explicar en trminos de su representacin binaria. Puede utilizar una calculadora para la conversin de binario a decimal. Los ejemplos siguientes muestran los formatos binario y decimal de la mscara de red. Si se aplica una mscara de red 255.255.255.0 a la direccin IPv4 172.16.41.101, el resultado es la direccin IPv4 de 172.16.41.0. 172.16.41.101 & 255.255.255.0 = 172.16.41.0 En formato binario, la operacin es: 10000001.10010000.00101001.01100101 (direccin IPv4) y el operador AND con 11111111.11111111.11111111.00000000 (mscara de red) Ahora el sistema busca un nmero de red de 172.16.41 en lugar de 172.16. Si la red tiene el nmero 172.16.41, dicho nmero es lo que comprueba y busca el sistema. Dado que puede asignar hasta 254 valores al tercer byte del espacio de direccin IPv4, las subredes permiten crear espacio de direccin para 254 redes, mientras que anteriormente el espacio slo estaba disponible para una. Si va a proporcionar espacio de direccin slo para dos redes adicionales, puede utilizar la siguiente mscara de subred: 255.255.192.0 Esta mscara de red genera el resultado siguiente: 11111111.11111111.1100000.00000000 Este resultado deja 14 bits disponibles para las direcciones host. Dado que todos los 0 y 1 estn reservados, deben reservarse como mnimo 2 bits para el nmero host.
258
Archivo/etc/inet/netmasks
Si la red ejecuta NIS o LDAP, los servidores de estos servicios de nombres guardan las bases de datos netmasks. En el caso de las redes que utilizan archivos locales para el servicio de nombres, esta informacin se guarda en el archivo /etc/inet/netmasks.
Nota Para fines de compatibilidad con los sistemas operativos basados en BSD, el archivo /etc/netmasks es un enlace simblico a /etc/inet/netmasks.
# The netmasks file associates Internet Protocol (IPv4) address # masks with IPv4 network numbers. # # network-number netmask # # Both the network-number and the netmasks are specified in # decimal dot notation, e.g: # # 128.32.0.0 255.255.255.0 192.168.0.0 255.255.255.0
Si el archivo /etc/netmasks no existe, crelo con un editor de texto. Use la sintaxis siguiente:
network-number netmask-number
Consulte la pgina del comando man netmasks(4) para obtener ms informacin. Cuando cree nmeros de mscara de red, escriba el nmero de red asignado por el ISP o el registro de Internet (no el nmero de subred) y el nmero de mscara de red en /etc/inet/netmasks. Cada mscara de subred debe encontrarse en una lnea distinta. Por ejemplo:
128.78.0.0 255.255.248.0
Tambin puede escribir nombres simblicos para los nmeros de red en el archivo /etc/inet/hosts. Estos nombres de red pueden utilizarse en lugar de los nmeros de red como parmetros para los comandos.
259
El valor de campo proto del perfil inetadm de un servicio especfico indica el protocolo de capa de transporte en el que se ejecuta el servicio. Si el servicio est habilitado slo para IPv4, el campo proto debe especificarse como tcp, udp o sctp.
Para obtener instrucciones sobre el uso de los comandos SMF, consulte SMF Command-Line Administrative Utilities de System Administration Guide: Basic Administration. Para ver una tarea que utilice comandos SMF para agregar un servicio que se ejecute con SCTP, consulte Cmo agregar servicios que utilicen el protocolo SCTP en la pgina 140. Para obtener informacin sobre cmo agregar servicios que manejen solicitudes IPv4 e IPv6, consulte Daemon de servicios de Internet inetd en la pgina 260.
260
Como parte del proceso de configuracin, puede editar las bases de datos hosts y netmasks, si la red cuenta con subredes. Se utilizan dos bases de datos de red, bootparams y ethers, para configurar los sistemas como clientes de red. El sistema operativo utiliza las bases de datos restantes, que raramente requieren edicin. Aunque el archivo nsswitch.conf no es una base de datos de red, debe configurar este archivo junto con las bases de datos de red pertinentes. El archivo nsswitch.conf especifica qu servicio de nombre utilizar para un sistema concreto: archivos locales, NIS, DNS o LDAP.
Las redes que utilizan archivos locales para su servicio de nombres dependen de los archivos de los directorios /etc/inet y /etc. NIS utiliza las bases de datos denominadas asignaciones NIS. DNS utiliza los registros con la informacin de host.
Nota El arranque DNS y los archivos de datos no corresponden directamente con las bases de datos de red.
La figura siguiente muestra los formatos de la base de datos hosts que utilizan estos servicios de nombres.
261
Registro de DNS
Red que utiliza archivos locales para servicios de nombres /etc/hosts en servidor de config. de net. y otros equipos en modo de archivos locales
La tabla siguiente muestra las bases de datos de red y sus asignaciones NIS y archivos locales correspondientes.
Nota La base de datos ipnodes se elimina de las versiones de Solaris a partir de Solaris 10 11/06.
TABLA 101
262
TABLA 101
(Continuacin)
Asignaciones NIS
En este manual se describen las bases de datos de red tal como las ven las redes que utilizan archivos locales para los servicios de nombres.
Encontrar informacin sobre la base de datos hosts en Base de datos hosts en la pgina 251. Para obtener informacin sobre la base de datos netmasks, consulte Base de datos netmasks en la pgina 256. En el caso de Solaris 10 11/06 y versiones anteriores, encontrar informacin sobre la base de datos ipnodes en Base de datos ipnodes en la pgina 255.
Consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) para obtener informacin sobre las correspondencias de bases de datos de red en NIS, DNS y LDAP.
Archivo nsswitch.conf
El archivo /etc/nsswitch.conf define el orden de bsqueda de las bases de datos de red. El programa de instalacin de Solaris crea un archivo /etc/nsswitch.conf predeterminado para el sistema local, basndose en el servicio de nombres que indique durante el proceso de instalacin. Si ha seleccionado la opcin "None" que indica los archivos locales para el servicio de nombres, el archivo nsswitch.conf resultante ser similar al del ejemplo siguiente.
EJEMPLO 105
# # # # # # # #
/etc/nsswitch.files: An example file that could be copied over to /etc/nsswitch.conf; it does not use any naming service. "hosts:" and "services:" in this file are used only if the /etc/netconfig file contains "switch.so" as a nametoaddr library for "inet" transports. files files files files
263
EJEMPLO 105 nsswitch.conf para redes utilizando archivos para el servicio de nombres (Continuacin)
protocols: files rpc: files ethers: files netmasks: files bootparams: files publickey: files # At present there isnt a files backend for netgroup; the # system will figure it out pretty quickly, # and wont use netgroups at all. netgroup: files automount: files aliases: files services: files sendmailvars: files
La pgina del comando man nsswitch.conf(4) describe el archivo de manera pormenorizada. A continuacin se muestra la sintaxis bsica: base_datos servicio_nombres_para_buscar El campo base_datos puede incluir uno de mltiples tipos de bases de datos en las que busca el sistema operativo. Por ejemplo, el campo puede indicar una base de datos que afecta a los usuarios, como passwd o aliases , o una base de datos de red. El parmetro servicio_nombres_para_buscar puede tener los valores files, nis o nis+ para las bases de datos de redes. La base de datos hosts tambin puede tener dns como servicio de nombres para buscar. Adems, puede enumerar ms de un servicio de nombres, como nis+ y files. En el Ejemplo 105, la nica opcin de bsqueda que se indica es files. Por tanto, el sistema local obtiene informacin de seguridad y montaje automtico, adems de informacin de la base de datos de red, a partir de los archivos ubicados en los directorios /etc y /etc/inet.
Cambio de nsswitch.conf
El directorio /etc contiene el archivo nsswitch.conf que crea el programa de instalacin de Solaris. Este directorio tambin contiene archivos de plantilla para los siguientes servicios de nombres:
Si desea cambiar de un servicio de nombres a otro, puede copiar la plantilla pertinente en nsswitch.conf. Tambin puede editar de forma selectiva el archivo nsswitch.conf y cambiar el servicio de nombres predeterminado para buscar bases de datos individuales.
264 Gua de administracin del sistema: servicios IP Octubre de 2009
Por ejemplo, en una red que ejecuta NIS, es posible que tenga que cambiar el archivo nsswitch.conf en los clientes de red. La ruta de bsqueda de las bases de datos bootparams y ethers debe enumerar files como primera opcin, y despus nis. El ejemplo siguiente muestra las rutas de bsqueda correctas.
EJEMPLO 106
# /etc/nsswitch.conf:# . . passwd: files nis group: file nis # consult /etc hosts: networks: protocols: rpc: ethers: netmasks: bootparams: publickey: netgroup: automount: aliases: "files" only if nis is down. nis [NOTFOUND=return] files nis [NOTFOUND=return] files nis [NOTFOUND=return] files nis [NOTFOUND=return] files files [NOTFOUND=return] nis nis [NOTFOUND=return] files files [NOTFOUND=return] nis nis nis files nis files nis
# for efficient getservbyname() avoid nis services: files nis sendmailvars: files
Para ms informacin sobre el cambio de servicio de nombres, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Para cada sistema cliente de red, la entrada puede contener la informacin siguiente: el nombre del cliente, una lista de claves, los nombres de los servidores y los nombres de la ruta. El primer elemento de cada entrada es el nombre del sistema cliente. Todos los elementos son opcionales, a excepcin del primero. A continuacin se muestra un ejemplo.
EJEMPLO 107
En este ejemplo, el trmino dump= indica a los hosts cliente que no deben buscar un archivo de volcado.
El comodn de asterisco (*) indica que esta entrada se aplica a todos los clientes que no tengan un nombre especfico en la base de datos bootparams.
Direccin MAC del host Nombre oficial del host Cualquier nota que desee anexar a una entrada del archivo
El fabricante del equipo proporciona la direccin MAC. Si un sistema no muestra la direccin MAC durante el proceso de arranque, consulte los manuales de hardware para obtener informacin al respecto. Cuando aada entradas a la base de datos ethers, asegrese de que los nombres de host correspondan a los nombres principales de la base de datos hosts y, para Solaris 10 11/06 y versiones anteriores, a los de la base de datos ipnodes, no a los apodos, tal como se indica a continuacin.
EJEMPLO 108
# This is a comment
Nombre oficial de la red Nmero asignado por el ISP o el registro de Internet Cualquier otro nombre por el que se conozca la red Cualquier nota que desee anexar a una entrada del archivo
Debe guardar el archivo networks. El programa netstat utiliza la informacin de esta base de datos para producir tablas de estado.
267
Archivo /etc/networks
#ident "@(#)networks 1.4 92/07/14 SMI" /* SVr4.0 1.1 */ # # The networks file associates Internet Protocol (IP) network # numbers with network names. The format of this file is: # # network-name network-number nicnames . . . # The loopback network is used only for intra-machine communication loopback 127 # # Internet networks # arpanet 10 arpa # Historical # # local networks eng 192.168.9 #engineering acc 192.168.5 #accounting prog 192.168.2 #programming
Archivo /etc/inet/protocols
protocols # # # # internet protocol, pseudo protocol number internet control message protocol transmission control protocol user datagram protocol
268
Archivo /etc/inet/services
# # Network # echo echo echo discard discard daytime daytime netstat ftp-data ftp telnet time time name whois
services 7/udp 7/tcp 7/sctp6 9/udp 11/tcp 13/udp 13/tcp 15/tcp 20/tcp 21/tcp 23/tcp 37/tcp 37/udp 42/udp 43/tcp
sink null
269
Clases de red
No se especifica el indicador S ("S" mayscula: "Modo de ahorro de espacio"). El comando in.routed genera una tabla de encaminamiento completa, al igual que en un encaminador. Se especifica el indicador S. El comando in.routed crea una tabla de ncleo mnima, que contiene una nica ruta predeterminada para cada encaminador disponible.
Clases de red
Nota La IANA ya no pone a disposicin los nmeros de red basados en clases, aunque hay muchas redes antiguas que siguen estando basadas en clases.
En esta seccin se describen las clases de red IPv4. Cada clase utiliza el espacio de direccin IPv4 de 32 bits de un modo distinto, y proporciona ms o menos bits para la parte de red de la direccin. Estas clases son las clases A, B y C.
270
Clases de red
Bits: 0 Red
7-8 Parte
15-16 Host
23-24 Parte
31
Direccin de clase A
FIGURA 103
Los valores asignados al primer byte de los nmeros de red de clase A van del 0 al 127. Pongamos como ejemplo la direccin IPv4 75.4.10.4. El valor 75 del primer byte indica que el host se encuentra en una red de clase A. Los bytes restantes, 4.10.4, establecen la direccin del host. Slo el primer byte de un nmero de clase A se registra con la IANA. El uso de los tres bytes restantes se deja a criterio del propietario del nmero de red. Slo existen 127 redes de clase A. Cada uno de estos nmeros puede incluir un mximo de 16.777.214 de hosts.
Bits: 0 Red
7-8 Parte
15-16 Host
23-24 Parte
31
Direccin de clase B
FIGURA 104
271
Clases de red
La clase B se asigna tpicamente a las organizaciones que tienen varios hosts en sus redes.
Bits: 0 Red
7-8 Parte
15-16 Host
23-24 Parte
31
Direccin de clase C
FIGURA 105
El primer byte de un nmero de red de clase C va de 192 a 223. El segundo y el tercer byte van de 1 a 255. Una direccin de clase C tpica podra ser 192.168.2.5. Los tres primeros bytes, 192.168.2, forman el nmero de red. El ltimo byte de este ejemplo, 5, es el nmero de host.
272
11
C A P T U L O
1 1
Este captulo proporciona la siguiente informacin de referencia relativa a la implementacin de IPv6 en Solaris 10. Formatos de direcciones IPv6 que no son los bsicos en la pgina 274 Formato del encabezado de los paquetes de IPv6 en la pgina 277 Protocolos de pila doble en la pgina 279 Implementacin de IPv6 en Solaris 10 en la pgina 280 Protocolo ND de IPv6 en la pgina 295 Encaminamiento de IPv6 en la pgina 302 Tneles de IPv6 en la pgina 303 Extensiones de IPv6 para servicios de nombres de Solaris en la pgina 312 Admisin de NFS y RPC IPv6 en la pgina 314 Admisin de IPv6 en ATM en la pgina 314
Para obtener una descripcin general de los conceptos relativos a IPv6, consulte el Captulo 3, Introduccin a IPv6 (descripcin general). Para obtener informacin sobre tareas relativas a la configuracin de redes habilitadas para IPv6, consulte el Captulo 7, Configuracin de una red IPv6 (tareas)..
273
Direcciones 6to4 derivadas en la pgina 274 Direcciones multidifusin IPv6 en profundidad en la pgina 276
Ejemplo de direccin 6to4: 2002:8192:5666::/48 Formato de ejemplo: 2002 Prefijo : 8192.5666 :: Direccin IPv4 /48 Tamao de prefijo (48 bits)
FIGURA 111
La figura siguiente ilustra las distintas partes de un prefijo de subred de un sitio de 6to4, de la forma que se incluira en el archivo ndpd.conf.
274
Ejemplo de direccin 6to4: 2002:8192.5666:1: :/64 Formato de ejemplo: 2002 Prefijo : 8192.5666 : Direccin IPv4 1 ID de subred : ID de host : /64 Tamao de anuncio (64 bits)
FIGURA 112
Esta tabla explica las partes que componen un prefijo de subred de 6to4.
Parte Tamao Definicin
16 bits 32 bits
Etiqueta 2002 de prefijo de 6to4 (0x2002). Direccin IPv4 exclusiva que ya se ha configurado en la interfaz de 6to4. En el anuncio, se especifica la representacin hexadecimal de la direccin IPv4, en lugar de la representacin decimal con punto de IPv4. ID de subred; debe ser un valor exclusivo del vnculo en el sitio de 6to4.
ID de subred
16 bits
La salida del comando ifconfig -a en un host con una interfaz de 6to4 tiene un aspecto similar al siguiente:
qfe1:3: flags=2180841<UP,RUNNING,MULTICAST,ADDRCONF,ROUTER,IPv6> mtu 1500 index 7 inet6 2002:8192:56bb:9258:a00:20ff:fea9:4521/64
En esta salida, la direccin 6to4 derivada sigue a inet6. En esta tabla se explican las partes que componen la direccin 6to4 derivada.
275
Parte de la direccin
Tamao
Definicin
prefix direccin_IPv4
16 bits 32 bits
2002, prefijo de 6to4 8192:56bb, direccin IPv4 en notacin hexadecimal para la pseudointerfaz de 6to4 que se configura en el encaminador de 6to4 9258, direccin de la subred a la que pertenece el host a00:20ff:fea9:4521, ID de interfaz de la interfaz de host que se configura para 6to4
ID de subred ID de interfaz
16 bits 64 bits
8 bits 11111111
INDICS SCOP
Reservado Plen
11111111: identifica la direccin como direccin multidifusin. FLGS: conjunto de los cuatro indicadores 0,0,P,T. Los dos primeros deben ser cero. El campo P tiene uno de los valores siguientes:
0 = Direccin multidifusin que no se asigna en funcin del prefijo de red 1 = Direccin multidifusin que se asigna en funcin del prefijo de red
Reservado: valor reservado de cero. Plen: cantidad de bits del prefijo de sitio que identifican la subred, para una direccin multidifusin que se asigna a partir de un prefijo de sitio. ID de grupo: identificador del grupo de multidifusin, ya sea permanente o dinmico.
276
Para obtener informacin detallada sobre el formato multidifusin, consulte RFC 3306, Unicast-Prefix-based IPv6 Multicast Addresses (ftp://ftp.rfc-editor.org/in-notes/ rfc3306.txt). Determinadas direcciones multidifusin IPv6 son asignadas permanentemente por la IANA (Internet Assigned Numbers Authority). Ejemplos son las direcciones multidifusin de todos los nodos y todos los encaminadores multidifusin que necesitan todos los hosts y encaminadores de IPv6. Las direcciones multidifusin IPv6 tambin se pueden asignar dinmicamente. Para obtener ms informacin sobre el uso adecuado de grupos y direcciones multidifusin, consulte RFC 3307, Allocation Guidelines for IPv 6 Multicast Addresses.
Versin
Clase de trfico
Direccin de origen
Direccin de destino
FIGURA 113
Versin: nmero de versin de 4 bits del protocolo de Internet = 6. Clase de trfico: campo de clase de trfico de 8 bits. Etiqueta de flujo: campo de 20 bits. Tamao de carga til: entero sin signo de 16 bits, que representa el resto del paquete que sigue al encabezado de IPv6, en octetos.
277
Encabezado siguiente: selector de 8 bits. Identifica el tipo de encabezado que va inmediatamente despus del encabezado de IPv6. Emplea los mismos valores que el campo de protocolo IPv4. Lmite de salto: entero sin signo de 8 bits. Disminuye en uno cada nodo que reenva el paquete. El paquete se desecha si el lmite de salto se reduce a cero. Direccin de origen: 128 bits. Direccin del remitente inicial del paquete. Direccin de destino: 128 bits. Direccin del destinatario previsto del paquete. El destinatario previsto no es necesariamente el destinatario si existe un encabezado de encaminamiento opcional.
Encaminamiento: encaminamiento extendido, por ejemplo ruta holgada fijada en origen de IPv4 Fragmentacin: fragmentacin y montaje Autenticacin: integridad y autenticacin, y seguridad Encapsulado de carga til: confidencialidad Opciones de salto a salto: opciones especiales que necesitan procesamiento salto a salto Opciones de destino: informacin opcional que el nodo de destino debe examinar
278
Aplicacin Transporte
Red
IPv4
IPv6
Vnculo de datos
Ethernet
FDDI
PPP
etc
FIGURA 114
En el caso hipottico de pila doble, los subconjuntos de encaminadores y hosts se actualizan para admitir IPv6, adems de IPv4. Con este planteamiento de pila doble, los nodos actualizados siempre pueden interoperar con nodos que son slo de IPv4 mediante IPv4.
279
Archivo de configuracin ndpd.conf en la pgina 280 Archivo de configuracin de interfaces de IPv6 en la pgina 284 Archivo de configuracin /etc/inet/ipaddrsel.conf en la pgina 285
ifdefault
Especifica el comportamiento de encaminador en todas las interfaces. Utilice la sintaxis siguiente para establecer los parmetros de encaminador y los valores correspondientes: ifdefault [valor_variable]
prefixdefault
Especifica el comportamiento predeterminado para los anuncios de prefijo. Utilice la sintaxis siguiente para establecer los parmetros de encaminador y los valores correspondientes: prefixdefault [valor_variable]
if
Establece los parmetros segn la interfaz. Use la sintaxis siguiente: if interfaz [valor_variable]
prefix
Anuncia informacin de prefijo segn la interfaz. Use la sintaxis siguiente: prefijo prefijo/tamao interfaz [valor_variable]
280
En el archivo ndpd.conf, las palabras clave de esta tabla se usan con un conjunto de variables de configuracin de encaminador. Puede encontrar una definicin detallada de estas variables en RFC 2461, Neighbor Discovery for IP Version 6 (IPv6) (http://www.ietf.org/rfc/ rfc2461.txt?number=2461). En la siguiente tabla aparecen las variables necesarias para configurar una interfaz, junto con breves definiciones.
TABLA 113 Variable
AdvRetransTimer
Especifica el valor del campo RetransTimer en los mensajes de anuncio que enva el encaminador. Especifica el valor que se debe colocar en el lmite de salto actual de los mensajes de anuncio que enva el encaminador. Especifica la vida til predeterminada de los anuncios de encaminador. Especifica el valor de MTU (Maximum Transmission Unit, unidad de transmisin mxima) que debe enviar el encaminador. El cero indica que el encaminador no especifica opciones de MTU. Indica el valor que se debe colocar en el indicador Manage Address Configuration del anuncio de encaminador. Indica el valor que se debe colocar en el indicador Other Stateful Configuration del anuncio de encaminador. Especifica el valor del campo ReachableTime en los mensajes de anuncio que enva el encaminador. Indica si el nodo debe enviar anuncios y responder a solicitudes de encaminador. Esta variable se debe establecer en "TRUE" en el archivo ndpd.conf para activar funciones de anuncio de encaminador. Para obtener ms informacin, consulte Cmo configurar un encaminador habilitado para IPv6 en la pgina 188. Define la cantidad de mensajes consecutivos de solicitudes de vecino que el protocolo ND debe enviar duante la deteccin de direcciones duplicadas de la direccin del nodo local. Especifica el intervalo mximo de tiempo de espera entre el envo de anuncios multidifusin no solicitados. Especifica el intervalo mnimo de espera entre el envo de anuncios multidifusin no solicitados.
AdvCurHopLimit
AdvDefaultLifetime
AdvLinkMTU
AdvManaged Flag
AdvOtherConfigFlag
AdvReachableTime
AdvSendAdvertisements
MinRtrAdvInterval
281
(Continuacin)
StatelessAddrConf
Verdadero
Controla si el nodo configura su direccin IPv6 mediante la configuracin automtica de direcciones sin estado. Si en el archivo ndpd.conf se declara False, la direccin se debe configurar manualmente. Para obtener ms informacin, consulte Cmo configurar un token IPv6 especificado por el usuario en la pgina 196. Indica si se debe crear una direccin temporal para todas las interfaces o para una determinada interfaz de un nodo. Para obtener ms informacin, consulte Cmo configurar una direccin temporal en la pgina 193. Especifica un valor aleatorio que se debe sustraer de la variable de vida til preferente TmpPreferredLifetime al iniciarse in.ndpd. La finalidad de la variable TmpMaxDesyncFactor es impedir que todos los sistemas de la red vuelvan a generar sus direcciones temporales al mismo tiempo. TmpMaxDesyncFactor permite modificar el lmite superior de ese valor aleatorio. Establece la vida til preferente de una direccin temporal. Para obtener ms informacin, consulte Cmo configurar una direccin temporal en la pgina 193. Especifica el tiempo de demora antes de descartar una direccin temporal. Para obtener ms informacin, consulte Cmo configurar una direccin temporal en la pgina 193. Establece la vida til vlida de una direccin temporal. Para obtener ms informacin, consulte Cmo configurar una direccin temporal en la pgina 193.
TmpAddrsEnabled
Falso
TmpMaxDesyncFactor
600 segundos
TmpPreferredLifetime
Falso
TmpRegenAdvance
Falso
TmpValidLifetime
Falso
En la siguiente tabla se muestran las variables que se utilizan para configurar prefijos IPv6.
TABLA 114 Variable
AdvAutonomousFlag
Verdadero Verdadero
Especifica el valor que se debe colocar en el campo AutonomousFlag en la opcin de informacin de prefijo. Especifica el valor que se debe colocar en el campo OnLink ("L-bit") en la opcin de informacin de prefijo. Especifica la fecha de caducidad preferente del prefijo. Especifica el valor que se debe colocar en el campo PreferredLifetime en la opcin de informacin de prefijo.
AdvOnLinkFlag
AdvPreferredExpiration AdvPreferredLifetime
282
(Continuacin)
AdvValidExpiration AdvValidLifetime
EJEMPLO 111
Especifica la fecha de caducidad vlida del prefijo. Especifica la vida til vlida del prefijo que se configura.
Archivo /etc/inet/ndpd.conf
En el ejemplo siguiente se muestra el modo de utilizar las palabras clave y las variables de configuracin en el archivo ndpd.conf. Elimine el comentario (#) para activar la variable.
# ifdefault [variable-value ]* # prefixdefault [variable-value ]* # if ifname [variable-value ]* # prefix prefix/length ifname # # Per interface configuration variables # #DupAddrDetectTransmits #AdvSendAdvertisements #MaxRtrAdvInterval #MinRtrAdvInterval #AdvManagedFlag #AdvOtherConfigFlag #AdvLinkMTU #AdvReachableTime #AdvRetransTimer #AdvCurHopLimit #AdvDefaultLifetime # # Per Prefix: AdvPrefixList configuration variables # # #AdvValidLifetime #AdvOnLinkFlag #AdvPreferredLifetime #AdvAutonomousFlag #AdvValidExpiration #AdvPreferredExpiration ifdefault AdvReachableTime 30000 AdvRetransTimer 2000 prefixdefault AdvValidLifetime 240m AdvPreferredLifetime 120m if qe0 AdvSendAdvertisements 1 prefix 2:0:0:56::/64 qe0 prefix fec0:0:0:56::/64 qe0
283
EJEMPLO 111
Archivo /etc/inet/ndpd.conf
(Continuacin)
if qe1 AdvSendAdvertisements 1 prefix 2:0:0:55::/64 qe1 prefix fec0:0:0:56::/64 qe1 if hme1 AdvSendAdvertisements 1 prefix 2002:8192:56bb:1::/64 qfe0 if hme1 AdvSendAdvertisements 1 prefix 2002:8192:56bb:2::/64 hme1
dis
Indica un dispositivo de interfaz de red. El dispositivo puede ser una interfaz fsica de red, por ejemplo eri o qfe, o una interfaz lgica, por ejemplo un tnel. Para obtener ms informacin, consulte Archivo de configuracin de interfaces de IPv6 en la pgina 284. Presenta uno o varios mdulos STREAMS para insertar en el dispositivo cuando dicho dispositivo est conectado. Indica el punto fsico de conexin.
Mdulo PFC
284
Comando ipaddrsel
El comando ipaddrsel permite modificar la tabla de directrices de seleccin de direcciones predeterminadas de IPv6. El ncleo de Solaris utiliza la tabla de directrices de seleccin de direcciones predeterminadas de IPv6 para ordenar direcciones de destino y seleccionar direcciones de origen en un encabezado de paquetes de IPv6. El archivo /etc/inet/ipaddrsel.conf contiene la tabla de directivas.
285
En la tabla siguiente se enumeran los formatos de direcciones predeterminadas y las correspondientes prioridades en la tabla de directrices. En la pgina de comando man inet6(7P) hay ms informacin referente a aspectos tcnicos sobre la seleccin de direcciones IPv6.
TABLA 115 Prefijo
50 40 30 20 10
En esta tabla, los prefijos de IPv6 (::1/128 y ::/0) tienen prioridad sobre las direcciones 6to4 (2002::/16) y las direcciones IPv4 (::/96 y ::ffff:0:0/96). As pues, de forma predeterminada, el ncleo selecciona la direccin IPv6 global de la interfaz para paquetes que se dirigen a otro destino de IPv6. La direccin IPv4 de la interfaz tiene una prioridad inferior, sobre todo en cuanto a paquetes que se dirigen a un destino de IPv6. A partir de la direccin IPv6 de origen seleccionada, el ncleo tambin utiliza el formato de IPv6 para la direccin de destino.
Si el sistema tiene una interfaz que se emplea para un tnel de 6to4, puede otorgar mayor prioridad a las direcciones 6to4. Si desea utilizar una determinada direccin de origen slo para comunicarse con una determinada direccin de destino, puede agregar dichas direcciones a la tabla de directrices. A continuacin, mediante el comando ifconfig etiquete las direcciones en funcin de las preferencias. Si quiere otorgar ms prioridad a las direcciones IPv4 respecto a las de IPv6, la prioridad de ::ffff:0:0/96 puede cambiarse por un nmero superior. Si debe asignar mayor prioridad a direcciones descartadas, tales direcciones se pueden incorporar a la tabla de directrices. Por ejemplo, las direcciones locales de sitio ahora se descartan en IPv6. Estas direcciones tienen el prefijo fec0::/10. La tabla de directrices se puede modificar para conceder mayor prioridad a las direcciones locales de sitio.
286
Para obtener ms informacin sobre el comando ipaddrsel, consulte la pgina de comando man ipaddrsel(1M).
Comando 6to4relay
El establecimiento de tneles de 6to4 permite las comunicaciones entre sitios de 6to4 que estn aislados. Sin embargo, para transferir paquetes con un sitio de IPv6 nativo que no sea de 6to4, el encaminador de 6to4 debe establecer un tnel con un encaminador de rel de 6to4. As, el encaminador de rel de 6to4 reenva los paquetes de 6to4 a la red IPv6 y, en ltima instancia, al sitio de IPv6 nativo. Si el sitio habilitado para 6to4 debe intercambiar datos con sitio de IPv6 nativo, utilice el comando 6to4relay para habilitar el tnel correspondiente. Como el uso de encaminadores de rel no es seguro, en el sistema operativo Solaris de manera predeterminada se inhabilita el establecimiento de tneles con un encaminador de rel. Antes de implementar esta situacin hipottica, debe tener muy en cuenta los problemas que comporta crear un tnel con un encaminador de rel de 6to4. Para obtener ms informacin sobre encaminadores de rel de 6to4, consulte Consideraciones para tneles hasta un encaminador de reenvo 6to4 en la pgina 310. Si decide habilitar la admisin de encaminadores de rel 6to4, encontrar los procedimientos en Cmo configurar un tnel 6to4 en la pgina 203.
Sintaxis de 6to4relay
El comando 6to4relay presenta la sintaxis siguiente:
6to4relay -e [-a IPv4-address] -d -h
-e
Permite la admisin de tneles entre el encaminador de 6to4 y un encaminador de rel de 6to4 de difusin por proximidad. As, la direccin de punto final de tnel se establece en 192.88.99.1, que es la predeterminada para el grupo de difusin por proximidad de encaminadores de rel de 6to4. Permite la admisin de tneles entre el encaminador de 6to4 y un encaminador de rel de 6to4 con la direccin_IPv4 que se especifique. Anula la admisin del establecimiento de tneles con el encaminador de rel de 6to4, que es el predeterminado del sistema operativo Solaris. Muestra la ayuda del comando 6to4relay.
-a direccin_IPv4 -d -h
El comando 6to4relay, sin argumentos, muestra el estado actual de la admisin de encaminadores de rel de 6to4. Este ejemplo ilustra el valor predeterminado de la implementacin de IPv6 en el sistema operativo Solaris.
Captulo 11 IPv6 en profundidad (referencia) 287
EJEMPLO 113
Pantalla de estado predeterminado de admisin de encaminador de rel de 6to4 (Continuacin) # /usr/sbin/6to4relay 6to4relay:6to4 Relay Router communication support is disabled
EJEMPLO 114
Si se especifica la opcin -a y una direccin IPv4 en el comando 6to4relay, en lugar de -192.88.99.1 se muestra la direccin IPv4 que se proporciona con a. 6to4relay no indica la ejecucin correcta de las opciones de -direccin_IPv4 -d, -e y a. Ahora bien, 6to4relay muestra cualquier mensaje de error que se pudiera generar durante la ejecucin de dichas opciones.
288
En el Captulo 7, Configuracin de una red IPv6 (tareas)., encontrar procedimientos de configuracin de IPv6.
EJEMPLO 116
Adicin de una interfaz de IPv6 lgica con la opcin -addif del comando ifconfig
Eliminacin de una interfaz de IPv6 lgica con la opcin -removeif del comando ifconfig
Configura los correspondientes flujos de TCP/IP para utilizar el dispositivo de tneles e informar sobre el estado del dispositivo.
# ifconfig ip.tun0 inet6 tsrc 120.46.86.158 tdst 120.46.86.122
289
EJEMPLO 118
Uso del comando ifconfig para configurar un origen de tneles de IPv6 (Continuacin) inet tunnel src 120.46.86.158 tunnel dst 120.46.86.122 inet6 fe80::8192:569e/10 --> fe80::8192:567a
En este ejemplo de configuracin de pseudointerfaz de 6to4 se utiliza el ID de subred de 1 y se especifica el ID de host, en forma hexadecimal.
# ifconfig ip.6to4tun0 inet6 plumb # ifconfig ip.6to4tun0 inet tsrc 129.146.86.187 \ 2002:8192:56bb:1::8192:56bb/64 up # ifconfig ip.6to4tun0 inet6 ip.6to4tun0: flags=2200041<UP,RUNNING,NONUD,IPv6>mtu 1480 index 11 inet tunnel src 129.146.86.187 tunnel hop limit 60 inet6 2002:8192:56bb:1::8192:56bb/64
EJEMPLO 1110
290
La opcin -p del comando netstat muestra la tabla de red a soporte, que es la tabla ARP para IPv4 y la cach interna para IPv6. Consulte la pgina de comando man netstat(1M) para obtener ms informacin. Consulte Cmo visualizar el estado de los sockets en la pgina 225 para obtener descripciones de procedimientos que utilizan este comando.
291
Para obtener ms informacin, consulte la pgina de comando man traceroute(1M) Para obtener informacin sobre procedimientos que usan el comando traceroute, consulte Visualizacin de informacin de encaminamiento con el comando traceroute en la pgina 233.
El daemon in.ndpd lo controlan parmetros que se establecen en el archivo de configuracin /etc/inet/ndpd.conf y los pertinentes parmetros del archivo de inicio de /var/inet/ndpd_state. interfaz. Si existe el archivo /etc/inet/ndpd.conf, se analiza y utiliza para configurar un nodo como encaminador. En la Tabla 112 figuran las palabras clave vlidas que podran aparecer en este archivo. Si se arranca un host, podra suceder que los encaminadores no estuvieran disponibles de manera inmediata. Los paquetes anunciados por el encaminador podran perderse. Asimismo, los paquetes anunciados quiz no se comuniquen con el host. El archivo /var/inet/ndpd_state.interfaz es un archivo de estado. Cada nodo lo actualiza peridicamente. Si el nodo se falla y se reinicia, el nodo puede configurar sus interfaces si no hay encaminadores. Este archivo contiene las direcciones de interfaz, la ltima vez que se modific el archivo y el tiempo que este archivo ser vlido. Asimismo, el archivo contiene otros parmetros que se "aprenden" a partir de anteriores anuncios de encaminador.
292
Nota No es necesario modificar el contenido de archivos de estado. El daemon in.ndpd mantiene los archivos de estado de forma automtica.
Consulte las pginas de comando man in.ndpd(1M) y ndpd.conf(4) para obtener listas de variables de configuracin y valores permitidos.
Para obtener informacin sobre los comandos de SMF, consulte SMF Command-Line Administrative Utilities de System Administration Guide: Basic Administration. Para ver una tarea de ejemplo que utilice SMF en la configuracin de un manifiesto de servicio de IPv4 que se ejecute en SCTP, consulte Cmo agregar servicios que utilicen el protocolo SCTP en la pgina 140.
Si desea configurar un servicio de IPv6, asegrese de que el valor del campo proto del perfil inetadm relativo a ese servicio presente el valor correspondiente:
293
Si necesita un servicio que controle solicitudes de IPv4 e IPv6, elija tcp6, udp6 o sctp. Un valor de proto de tcp6, udp6 o sctp6 hace que inetd pase en un socket de IPv6 al servidor. El servidor contiene una direccin asignada a IPv4 en caso de que un cliente IPv4 tenga una solicitud. Si necesita un servicio que nicamente controle solicitudes de IPv6, elija tcp6only o udp6only. Si se asigna cualquiera de estos valores a proto, inetd pasa el servidor a un socket de IPv6.
Si reemplaza un comando de Solaris por otra implementacin, compruebe que la implementacin de ese servicio admita IPv6. Si la implementacin no admite IPv6, el valor de proto debe especificarse como tcp, udp o sctp. A continuacin se muestra un perfil generado tras la ejecucin de inetadm para un manifiesto de servicio echo que admite IPv4 e IPv6, y se ejecuta mediante SCTP:
# inetadm -l svc:/network/echo:sctp_stream SCOPE NAME=VALUE name="echo" endpoint_type="stream" proto="sctp6" isrpc=FALSE wait=FALSE exec="/usr/lib/inet/in.echod -s" user="root" default bind_addr="" default bind_fail_max=-1 default bind_fail_interval=-1 default max_con_rate=-1 default max_copies=-1 default con_rate_offline=-1 default failrate_cnt=40 default failrate_interval=60 default inherit_env=TRUE default tcp_trace=FALSE default tcp_wrappers=FALSE
Todos los servidores que se proporcionan con el software Solaris necesitan slo una entrada de perfil que especifique proto como tcp6, udp6 o sctp6. No obstante, el servidor de shell remoto (shell) y el servidor de ejecucin remoto (exec) se componen en la actualidad de una sola instancia de servicio, que necesita un valor de proto que contenga los valores de tcp y tcp6only. Por ejemplo, para establecer el valor de proto para shell, debe ejecutarse el comando siguiente:
294
Protocolo ND de IPv6
Para obtener ms informacin sobre la escritura en servidores habilitados para IPv6 que utilizan sockets, consulte las extensiones de IPv6 de Socket API en la Programming Interfaces Guide.
El valor de proto debe establecerse en tcp6, sctp6 o udp6 para permitir conexiones IPv4 o IPv6. Si el valor deproto se establece en tcp, sctp o udp, el servicio utiliza slo IPv4. Si bien puede agregar una instancia de servicio que utilice sockets SCTP de uno a varios estilos para inetd, no es recomendable. inetd no funciona con sockets SCTP de uno a varios estilos. Si un servicio necesita dos entradas debido a diferencias en las propiedades de wait-status o exec, debe crear dos instancias o servicios a partir del servicio original.
Protocolo ND de IPv6
IPv6 introduce el protocolo ND (Neighbor Discovery), tal como se describe en RFC 2461, Neighbor Discovery for IP Version 6 (IPv6) (http://www.ietf.org/rfc/ rfc2461.txt?number=2461). Para obtener una descripcin general de las caractersticas de este protocolo, consulte Descripcin general del protocolo ND de IPv6 en la pgina 83. Esta seccin trata sobre las caractersticas siguientes del protocolo ND:
Mensajes de ICMP del protocolo ND en la pgina 295 Proceso de configuracin automtica en la pgina 296 Solicitud e inasequibilidad de vecinos en la pgina 298 Algoritmo de deteccin de direcciones duplicadas en la pgina 298 Comparacin del protocolo ND con ARP y protocolos relacionados con IPv4 en la pgina 300
Solicitud de encaminador: al habilitarse una interfaz, los hosts pueden enviar mensajes de solicitud de encaminador. Se solicita a los encaminadores que generen inmediatamente anuncios de encaminador, en lugar de hacerlo la prxima vez que se hubiera programado.
295
Protocolo ND de IPv6
Anuncio de encaminador: los encaminadores anuncian su presencia, as como varios parmetros de vnculos y de Internet. Los encaminadores anuncian de manera peridica o como respuesta a un mensaje de solicitud de encaminador. Los anuncios de encaminador contienen prefijos que se usan para la determinacin de onlinks o configuracin de direcciones, un valor de lmite de salto propuesto, etctera. Solicitud de vecino: los nodos envan mensajes de solicitud de vecino para determinar la direccin de capa de vnculo de un vecino. Los mensajes de solicitud de vecino tambin sirven para verificar que se pueda contactar con un vecino mediante una direccin de capa de vnculo almacenada en cach. Asimismo, las solicitudes de vecino se usan para detectar direcciones duplicadas. Anuncio de vecino: un nodo enva mensajes de anuncio de vecino como respuesta a un mensaje de solicitud de vecino. El nodo tambin puede enviar anuncios de vecino no solicitados para anunciar un cambio de direccin de capa de vnculo. Redireccin: los encaminadores emplean mensajes de redireccin para indicar a los hosts el mejor primer salto para acceder a un destino, o para indicar que el destino est en el mismo vnculo.
Protocolo ND de IPv6
4. Si un nodo determina que la direccin local de vnculo de prueba no es exclusiva, se detiene el proceso de configuracin automtica. De ser as, la direccin local de vnculo de la interfaz se debe configurar manualmente. Para simplificar la recuperacin, puede especificar otro ID de interfaz que anule el predeterminado. De este modo, el mecanismo de configuracin automtica puede reanudar su funcionamiento con el nuevo ID de interfaz, que en principio es exclusivo. 5. Si un nodo determina que la direccin local de vnculo de prueba es exclusiva, el nodo la asigna a la interfaz. En ese momento, el nodo dispone de conectividad IP con nodos vecinos. Los dems pasos de la configuracin automtica los efectan solamente hosts.
297
Protocolo ND de IPv6
automtica sin estado. La exclusividad de una direccin la determina la parte de la direccin formada por un ID de interfaz. Por eso, si un nodo ya ha comprobado la exclusividad de una direccin local de vnculo, no hace falta verificar las direcciones adicionales una a una. Las direcciones deben crearse a partir del mismo ID de interfaz. Por su parte, debe comprobarse la exclusividad de todas las direcciones que se obtengan manualmente. Los administradores de sistemas de algunos sitios consideran que el esfuerzo y los recursos dedicados a detectar direcciones duplicadas son mayores que sus ventajas. En estos sitios, la deteccin de direcciones duplicadas se puede inhabilitar estableciendo un indicador de configuracin segn la interfaz. Para acelerar el proceso de configuracin automtica, un host puede generar su propia direccin local de vnculo y verificar su exclusividad, mientras el host espera un anuncio de encaminador. Un encaminador podra retrasar durante unos segundos la respuesta a una solicitud de encaminador. Por lo tanto, el tiempo total que se necesita para completar la configuracin automtica puede ser considerablemente superior si los dos pasos se realizan en serie.
298
Protocolo ND de IPv6
direcciones duplicadas. Los nodos deben ejecutar el algoritmo antes de asignar las direcciones a una interfaz. El algoritmo de deteccin de direcciones duplicadas se ejecuta en todas las direcciones. El proceso de configuracin automtica que se describe en esta seccin deteccin de direcciones duplicadas slo es vlido para hosts, no para encaminadores. Debido a que la configuracin automtica de hosts emplea informacin anunciada por encaminadores, stos se deben configurar por otros medios. Sin embargo, los encaminadores generan direcciones locales de vnculo mediante el mecanismo que se explica en este captulo. Adems, en principio los encaminadores deben superar correctamente el algoritmo de deteccin de direcciones duplicadas en todas las direcciones antes de asignar la direccin a una interfaz.
Anuncios de proxy
Un encaminador que acepta paquetes de parte de una direccin de destino puede ejecutar anuncios que no se anulan. El encaminador puede aceptar paquetes de parte de una direccin de destino que sea incapaz de responder a solicitudes de destino. En la actualidad no se especifica el uso de proxy. Ahora bien, el anuncio de proxy se puede utilizar para ocuparse de casos como nodos mviles que se han desplazado fuera del vnculo. El uso de proxy no se ha concebido como mecanismo general para controlador nodos que no implementen este protocolo.
Protocolo ND de IPv6
no sean vlidas. El envo de anuncios no solicitados es una simple mejora del rendimiento. El algoritmo de deteccin de inasequibilidad de vecinos se asegura de que todos los nodos descubran la nueva direccin de manera fiable, aunque ello comporte un retraso algo mayor.
El descubrimiento de encaminador forma parte del conjunto bsico de protocolos de IPv6. Los hosts de IPv6 no necesitan aplicar el comando snoop a los protocolos de encaminamiento para buscar un encaminador. IPv4 utiliza ARP, descubrimiento de encaminadores ICMP y redireccin de ICMP para el descubrimiento de encaminador. Los anuncios de encaminador de IPv6 llevan direcciones locales de vnculo. Para resolver la direccin local de vnculo no hace falta un intercambio adicional de paquetes. Los anuncios de encaminador llevan los prefijos de sitio para un vnculo. No hace falta un mecanismo aparte para configurar la mscara de red, como sucede con IPv4. Los anuncios de encaminador permiten la configuracin automtica de direcciones. En IPv4 no se implementa la configuracin automtica. El protocolo ND permite que los encaminadores de IPv6 anuncien una MTU (Maximum Transmission Unit, unidad de transmisin mxima) para hosts para utilizarse en el vnculo. Por lo tanto, todos los nodos emplean el mismo valor de MTU en los vnculos que carecen de una MTU bien definida. Podra ser que los hosts de IPv4 de una misma red tuvieran distintas MTU. A diferencia de las direcciones de emisin IPv4, las multidifusiones de resolucin de direcciones IPv6 se distribuyen en cuatro mil millones (2^32) de direcciones multidifusin, lo cual reduce significativamente las interrupciones por resolucin de direcciones en nodos que no sean el de destino. Adems, no es recomendable interrumpir sistemas que no sean IPv6. Las redirecciones de IPv6 contienen la direccin local de vnculo del primer salto nuevo. Al recibir una redireccin no hace falta una resolucin de direcciones aparte.
300
Protocolo ND de IPv6
Una misma red IPv6 puede tener asociados varios prefijos de sitio. De forma predeterminada, los hosts aprenden todos los prefijos de sitio locales a partir de anuncios de encaminador. Sin embargo, es posible configurar los encaminadores para que omitan todos o algunos prefijos de anuncios de encaminador. En esos casos, los hosts dan por sentado que los destinos se encuentran en redes remotas. Por lo tanto, los hosts envan el trfico a encaminadores. As pues, un encaminador puede ejecutar redirecciones si es preciso. A diferencia de IPv4, el destinatario de un mensaje de redireccin de IPv6 da por sentado que el prximo salto nuevo se da en la red local. En IPv4, un host hace caso omiso de los mensajes de redireccin que especifiquen un prximo salto que no se ubique en la red local, conforme a la mscara de red. El mecanismo de redireccin de IPv6 es anlogo a la funcin XRedirect de IPv4. El mecanismo de redireccin es til en vnculos de soportes compartidos y de no emisin. En esta clase de redes, los nodos no deben comprobar todos los prefijos de destinos de vnculo local. La deteccin de inasequibilidad de vecinos de IPv6 mejora la distribucin de paquetes si hay encaminadores que funcionan mal. Esta capacidad mejora la distribucin de paquetes en vnculos con particiones o que funcionan parcialmente mal. Asimismo, mejora la distribucin de paquetes en nodos que modifican sus direcciones locales de vnculo. Por ejemplo, los nodos mviles pueden salir de la red local sin perder ninguna clase de conectividad debido a memorias cach de ARP que hayan quedado obsoletas. IPv4 carece de mtodo equivalente para la deteccin de inasequibilidad de vecinos. A diferencia de ARP, el protocolo ND detecta errores parciales en vnculos mediante la deteccin de inasequibilidad de vecinos. El protocolo ND evita el envo de trfico a vecinos si no existe conectividad bidireccional. Las direcciones locales de vnculo permiten la identificacin exclusiva de encaminadores y los hosts de IPv6 mantienen las asociaciones de encaminador. La capacidad de identificar encaminadores es necesaria en anuncios de encaminador y mensajes de redireccin. Los hosts deben mantener asociaciones de encaminador si el sitio emplea prefijos globales nuevos. IPv4 carece de un mtodo equiparable para la identificacin de encaminadores. Debido a que los mensajes de protocolo ND tienen un lmite de salto de 255 en la recepcin, dicho protocolo es inmune a ataques de spoofing provenientes de nodos que no estn en el vnculo. Por el contrario, los nodos que no estn en vnculos de IPv4 pueden enviar mensajes de redireccin de ICMP. Asimismo, los nodos que no estn en vnculos de IPv4 pueden enviar mensajes de anuncio de encaminador. La colocacin de resolucin de direcciones en la capa de ICMP hace que el protocolo ND sea ms independiente en cuanto a soportes que ARP. por consiguiente, se pueden utilizar la autenticacin IP y los mecanismos de seguridad estndar.
301
Encaminamiento de IPv6
Encaminamiento de IPv6
El encaminamiento de IPv6 es casi idntico al de IPv4 en la direccin de encaminamiento entre dominios sin clase (CIDR). La nica diferencia estriba en que las direcciones son IPv6 de 128 bits, en lugar de IPv4 de 32 bits. Con extensiones sumamente sencillas, todos los algoritmos de encaminamiento de IPv4, por ejemplo OSPF, RIP, IDRP e IS-IS, son vlidos para encaminar IPv6. Asimismo, IPv6 incluye extensiones sencillas de encaminamiento que admiten nuevas y potentes posibilidades de encaminamiento. A continuacin se describen las nuevas funciones de encaminamiento:
La seleccin del proveedor se basa en las directrices, el rendimiento, los costes, etctera Movilidad de los hosts, encaminamiento a la ubicacin actual Redireccionamiento automtico, encaminamiento a la direccin nueva
Para acceder a las nuevas funciones de encaminamiento, debe crear secuencias de direcciones IPv6 que utilicen la opcin de encaminamiento de IPv6. Un origen de IPv6 utiliza la opcin de encaminamiento para obtener uno o varios nodos intermedios, o un grupo topolgico, que debe visitarse en direccin al destino del paquete. Es una funcin muy parecida a las opciones de ruta de registro y ruta holgada fija en origen de IPv4. Para que las secuencias de direcciones sean una funcin general, los hosts de IPv6 deben, en la mayora de los casos, invertir las rutas de un paquete que reciba un host. El paquete se debe autenticar correctamente mediante el encabezado de autenticacin de IPv6. El paquete debe contener secuencias de direcciones para devolver el paquete al emisor. Esta tcnica obliga a que las implementaciones de hosts de IPv6 admitan el control y la inversin de las rutas de origen. El control y la inversin de las rutas de origen es la clave que permite a los proveedores trabajar con los hosts que implementan las nuevas funciones de IPv6 como la seleccin de proveedor y las direcciones extendidas.
Anuncio de encaminador
En vnculos con capacidad multidifusin y punto a punto, cada encaminador enva, de forma peridica, al grupo multidifusin un paquete de anuncios de encaminador que informa de su disponibilidad. Un host recibe anuncios de encaminador de todos los encaminadores, y confecciona una lista de encaminadores predeterminados. Los encaminadores generan anuncios de encaminador con la suficiente frecuencia para que los hosts aprendan su presencia en pocos minutos. Sin embargo, los encaminadores no anuncian con suficiente frecuencia como para que una falta de anuncios permita detectar un error de encaminador. La deteccin de errores es factible mediante un algoritmo de deteccin independiente que determina la inasequibilidad de vecinos.
302
Tneles de IPv6
Tneles de IPv6
Para minimizar las dependencias en una sitio de IPv4/IPv6 de doble pila, todos los encaminadores de la ruta entre dos nodos IPv6 no necesitan ser compatibles con IPv6. El mecanismo que admite esta clase de configuracin en red se denomina colocacin en tneles. Bsicamente, los paquetes de IPv6 se colocan en paquetes de IPv4, que luego se encaminan a travs de encaminadores de IPv4. La figura siguiente ilustra el mecanismo de colocacin en tneles mediante encaminadores de IPv4, cosa que en la figura se seala mediante una R.
303
Tneles de IPv6
R1 v4/v6
R2 v4/v6
FIGURA 115
Tneles configurados entre dos encaminadores, como en la Figura 115 Tneles automticos que terminan en los hosts de punto final
Un tnel configurado se utiliza actualmente en Internet para otras finalidades, por ejemplo en MBONE, el ncleo multidifusin de IPv4. Desde un punto de vista operativo, el tnel se compone de dos encaminadores que se configuran para tener un vnculo punto a punto virtual entre los dos encaminadores en la red IPv4. Es probable que esta clase de tnel se utilice en Internet en un futuro previsible. Los tneles automticos necesitan direcciones compatibles con IPv4. Los tneles automticos se pueden utilizar para conectar con IPv6 cuando no estn disponibles los encaminadores de IPv6. Estos tneles se pueden originar en un host de pila doble o un encaminador de pila doble configurando una interfaz de red de colocacin automtica en tneles. Los tneles siempre terminan en el host de pila doble. Estos tneles funcionan determinando dinmicamente la direccin IPv4 de destino, que es el punto final del tnel, extrayendo la direccin de la direccin de destino compatible con IPv4.
304
Tneles de IPv6
Tneles configurados
Las interfaces colocadas en tneles tienen el siguiente formato:
ip.tun ppa
ppa es el punto fsico de conexin. Al iniciar el sistema, se conecta remotamente con el mdulo de colocacin en tneles (tun) mediante el comando ifconfig, en la parte superior de IP para crear una interfaz virtual. La conexin remota se lleva a cabo creando el correspondiente archivo hostname6.*. Por ejemplo, para crear un tnel con el fin de encapsular paquetes de IPv6 en una red IPv4, IPv6 sobre IPv4, debe crear el siguiente nombre de archivo:
/etc/hostname6.ip.tun0
El contenido de este archivo se pasa a ifconfig tras la conexin de las interfaces. El contenido se convierte en los parmetros que se necesitan para configurar un tnel de extremo a extremo.
EJEMPLO 1111
En este ejemplo, las direcciones IPv4 de origen y destino se usan como tokens para configurar automticamente direcciones IPv6 locales de vnculo. Estas direcciones son el origen y destino de la interfaz ip.tun0. Se configuran dos interfaces. Se configura la interfaz ip.tun0. Tambin se configura una interfaz lgica ip.tun0:1. La interfaz lgica tiene las direcciones IPv6 de origen y destino especificadas mediante el comando addif. El contenido de estos archivos de configuracin se pasa al comando ifconfig sin modificarse cuando el sistema se inicia en modo multiusuario. Las entradas del Ejemplo 1111 equivalen a lo siguiente:
# ifconfig ip.tun0 inet6 plumb # ifconfig ip.tun0 inet6 tsrc 10.0.0.23 tdst 172.16.7.19 up # ifconfig ip.tun0 inet6 addif 2001:db8:3b4c:1:5678:5678::2 up
305
Tneles de IPv6
inet6 fe80::c0a8:6417/10 --> fe80::c0a8:713 ip.tun0:1: flags=2200850<UP,POINTOPOINT,RUNNING,MULTICAST,NONUD,IPv6> mtu 1480 index 5 inet6 2001:db8:3b4c:1:5678:5678::2
Para configurar ms interfaces lgicas, agregue lneas al archivo de configuracin. Para ello, utilice la siguiente sintaxis:
addif IPv6-source IPv6-destination up
Nota Si cualquiera de los extremos del tnel es un encaminador de IPv6 que anuncia uno o varios prefjos a travs del tnel, los comandos addif no se necesitan en los archivos de configuracin de tneles. Es posible que slo hagan falta tsrc y tdst debido a que todas las dems direcciones se configuran automticamente.
En algunas circunstancias, determinadas direcciones locales de vnculo de origen y destino se deben configurar manualmente para un tnel en concreto. Para incluir estas direcciones locales de vnculo, cambie la primera lnea del archivo de configuracin. La lnea siguiente es a modo de ejemplo:
tsrc 10.0.0.23 tdst 172.16.7.19 fe80::1/10 fe80::2 up
Tenga en cuenta que la longitud del prefijo de la direccin local de vnculo de origen es de 10. En este ejemplo, la interfaz ip.tun0 tiene un aspecto parecido al siguiente:
ip.tun0: flags=2200850<UP,POINTOPOINT,RUNNING,MULTICAST,NONUD,IPv6> mtu 1480 index 6 inet tunnel src 10.0.0.23 tunnel dst 172.16.7.19 inet6 fe80::1/10 --> fe80::2
Para crear un tnel con el fin de encapsular paquetes de IPv6 en una red IPv6, IPv6 sobre IPv6, debe crear el siguiente nombre de archivo:
/etc/hostname6.ip6.tun0
EJEMPLO 1112
A continuacin se muestra un ejemplo de entradas del archivo hostname6.ip6.tun0 para encapsulado de IPv6 en una red IPv6:
tsrc 2001:db8:3b4c:114:a00:20ff:fe72:668c tdst 2001:db8:15fa:25:a00:20ff:fe9b:a1c3 fe80::4 fe80::61 up
306
Tneles de IPv6
Para crear un tnel con el fin de encapsular paquetes de IPv4 en una red IPv6, IPv4 sobre IPv6, debe crear el siguiente nombre de archivo:
/etc/hostname.ip6.tun0
EJEMPLO 1113
A continuacin se muestra un ejemplo de entradas del archivo hostname6.ip6.tun0 para encapsulado de IPv4 en una red IPv6:
tsrc 2001:db8:3b4c:114:a00:20ff:fe72:668c tdst 2001:db8:15fa:25:a00:20ff:fe9b:a1c3 10.0.0.4 10.0.0.61 up
Para crear un tnel con el fin de encapsular paquetes de IPv4 en una red IPv6, IPv4 sobre IPv4, debe crear el siguiente nombre de archivo:
/etc/hostname.ip.tun0
EJEMPLO 1114
A continuacin se muestra un ejemplo de entradas del archivo hostname.ip.tun0 para encapsulado de IPv4 en una red IPv4:
tsrc 172.16.86.158 tdst 192.168.86.122 10.0.0.4 10.0.0.61 up
Para obtener informacin especfica sobre tun, consulte la pgina del comando man tun(7M). Para obtener una descripcin general de los conceptos referentes a la colocacin de tneles durante la transicin a IPv6, consulte Descripcin general sobre los tneles de IPv6 en la pgina 85. Para obtener una descripcin sobre los procedimientos que seden realizar para configurar tneles, consulte Tareas de configuracin de tneles para compatibilidad con IPv6 (mapa de tareas) en la pgina 199.
Tneles de IPv6
Esta seccin proporciona material de referencia sobre los siguientes temas 6to4:
Configuracin de un tnel 6to4 Direcciones 6to4, incluido el formato del anuncio Descripcin del flujo de paquetes a travs de un tnel 6to4 Configuracin de un tnel entre un encaminador 6to4 y un encaminador de reenvo 6to4 Puntos que considerar antes de configurar la compatibilidad con encaminador de reenvo 6to4
Tareas para configurar un tnel 6to4 RCF relacionado con 6to4 Informacin detallada sobre el comando 6to4relay, que permite utilizar tneles hasta un encaminador de reenvo 6to4 Cuestiones de seguridad de 6to4
Cmo configurar un tnel 6to4 en la pgina 203 RFC 3056, "Connection of IPv6 Domains via IPv4 Clouds" (http://www.ietf.org/rfc/rfc3056.txt) 6to4relay(1M)
308
Tneles de IPv6
Direccin IPv4
Tnel de 6to4
Encaminador B de 6to4
Sitio B de 6to4
Subred 1
Subred 2
Sitio A de 6to4
FIGURA 116
La figura muestra dos redes 6to4 independientes, Site A y Site B. Cada ubicacin tiene configurado un encaminador con una conexin externa a una red IPv4. Un tnel 6to4 en la red IPv4 proporciona una conexin para vincular ubicaciones 6to4. Antes de que una ubicacin IPv6 pueda convertirse en 6to4, debe configurar al menos una interfaz de encaminador para que admite 6to4. Esta interfaz debe proporcionar la conexin externa a la red IPv4. La direccin configurada en qfe0 debe ser nica globalmente. En esta figura, la interfaz qfe0 del encaminador de lmite de sistema Router A conecta la ubicacin Site A con la red IPv4. La interfaz qfe0 ya debe estar configurada con una direccin IPv4 antes de que sea posible configurar qfe0 como una pseudointerfaz 6to4. En la figura, la ubicacin 6to4 Site A est compuesta de dos subredes, que estn conectadas a las interfaces hme0 y hme1 del encaminador Router A. Todos los hosts IPv6 de ambas subredes de la ubicacin Site A se reconfiguran automticamente con direcciones derivadas 6to4 al recibir el anuncio del encaminador Router A. La ubicacin Site B es otra ubicacin 6to4 aislada. Para recibir correctamente trfico de la ubicacin Site A, se debe configurar un encaminador de lmite en la ubicacin Site B para admitir 6to4. De no ser as, los paquetes que reciba el encaminador de Site A no se reconocen y se descartan.
Tneles de IPv6
1. Un host en la subred 1 (Subnet 1) de la ubicacin 6to4 Site A enva una transmisin, con un host de la ubicacin 6to4 Site B como destino. El encabezado de cada paquete tiene una direccin de origen derivada de 6to4 y una direccin de destino derivada de 6to4. 2. En encaminador de la ubicacin Site A encapsula cada paquete 6to4 dentro de un encabezado IPv4. En este proceso, el encaminador establece la direccin IPv4 de destino del encabezado de encapsulado en la direccin de encaminador de la ubicacin Site B. En cada paquete de IPv6 que pasa por la interfaz de tnel, la direccin de destino de IPv6 tambin contiene la direccin de destino de IPv4. De este modo, el encaminador puede determinar la direccin IPv4 de destino que se establece en el encabezado de encapsulado. Despus, el encaminador utiliza procedimientos estndar IPv4 para reenviar los paquetes a travs de la red IPv4. 3. Cualquier encaminador IPv4 que encuentren los paquetes en su camino utilizar la direccin de destino IPv4 del paquete para reenviarlo. Esta direccin es la direccin IPv4 globalmente nica de la interfaz del encaminador Router B, que tambin funciona como pseudo-interfaz 6to4. 4. Los paquetes de Site A llegan al encaminador Router B, que desencapsula los paquetes IPv6 del encabezado IPv4. 5. A continuacin, Router B utiliza la direccin de destino del paquete IPv6 para reenviar los paquetes al receptor en Site B.
310
Tneles de IPv6
Direccin IPv4
Encaminador A de 6to4
Tnel de 6to4
En la Figura 117, la ubicacin 6to4 Site A necesita comunicarse con un nodo en la ubicacin IPv6 nativa Site B. La figura muestra la ruta de trfico desde Site A hasta un tnel 6to4 a travs de una red IPv4. Los puntos finales del tnel son el encaminador 6to4 Router A y un encaminador de reenvo 6to4. Ms all del encaminador de reenvo 6to4 se encuentra la red IPv6, a la que est conectada la ubicacin IPv6 Site B.
Flujo de paquetes entre una ubicacin 6to4 y una ubicacin IPv6 nativa
En esta seccin se describe el flujo de paquetes desde una ubicacin 6to4 hasta una ubicacin IPv6 nativa. Esta situacin hipottica utiliza la topologa de la Figura 117. 1. Un host en la ubicacin 6to4 Site A enva una transmisin que especifica como destino un host en la ubicacin IPv6 nativa Site B. El encabezado de cada paquete tiene una direccin derivada 6to4 como direccin de destino. La direccin de destino es una direccin IPv6 estndar. 2. El encaminador 6to4 de la ubicacin Site A encapsula cada paquete dentro de un encabezado IPv4, que tiene la direccin IPv4 del encaminador de reenvo 6to4 como destino. El encaminador 6to4 utiliza procedimientos IPv4 estndar para reenviar el paquete
Captulo 11 IPv6 en profundidad (referencia) 311
a travs de la red IPv4. Cualquier encaminador IPv4 que encuentren los paquetes en su camino los reenviar al encaminador de reenvo 6to4. 3. El encaminador de reenvo 6to4 de difusin por proximidad ms cercano fsicamente a la ubicacin Site A recibe los paquetes destinados al grupo de difusin por proximidad 192.88.99.1.
Nota Los encaminadores de reenvo 6to4 que forman parte del grupo de difusin por proximidad de encaminador de reenvo 6to4 tienen la direccin IP 192.88.99.1. Esta direccin de difusin por proximidad es la direccin predeterminada de encaminadores de reenvo 6to4. Si necesita utilizar un encaminador de reenvo 6to4 especfico, puede anular la direccin predeterminada y especificar la direccin IPv4 del encaminador.
4. El encaminador de reenvo desencapsula el encabezado IPv4 de los paquetes 6to4 y, de este modo, revela la direccin de destino IPv6 nativa. 5. A continuacin, el encaminador de reenvo enva los paquetes, que ahora son slo IPv6, a la red IPv6, donde los recibe un encaminador de la ubicacin Site B. El encaminador reenva los paquetes al nodo IPv6 de destino.
hosts: files dns nisplus [NOTFOUND=return] ipnodes: files dns nisplus [NOTFOUND=return]
servicios de nombres, debe rellenar estas bases de datos de ipnodes con direcciones IPv4 e IPv6. De lo contrario, pueden darse retrasos innecesarios en la resolucin de direcciones de host, incluso en el momento del arranque. El diagrama siguiente ilustra la relacin nueva entre el archivo nsswitch.conf y las nuevas bases de datos de servicios de nombres para aplicaciones que utilizan los comandos gethostbyname y getipnodebyname. Los trminos en cursiva son nuevos. El comando gethostbyname comprueba nicamente las direcciones IPv4 almacenadas en /etc/inet/hosts. En Solaris 10 11/06 y versiones anteriores, el comando getipnodebyname consulta la base de datos que se indica en la entrada ipnodes del archivo nsswitch.conf. Si falla la bsqueda, el comando comprueba la base de datos que se indica en la entrada hosts del archivo nsswitch.conf.
Aplicacin gethostbyname()/getipnodebyname() nscd hosts ipnodes nsswitch.conf hosts: files nisplus dns ipnodes: files nisplus dns NIS hosts.byname ipnodes.byname hosts.org_dir ipnodes.byname
FIGURA 118
NIS+
FILES
Para obtener ms informacin acerca de los servicios de nombres, consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
313
314
P A R T E
I I I
DHCP
Esta parte contiene informacin conceptual acerca del Protocolo de configuracin de host dinmico (DHCP) y tareas para planificar, configurar, administrar y resolver problemas del servicio DHCP de Solaris.
315
316
12
C A P T U L O
1 2
En este captulo se introduce el Protocolo de configuracin dinmica de host (DHCP), y se describen los conceptos relativos a dicho protocolo. Adems, se relatan las ventajas del uso de DHCP en una red. Este captulo contiene la informacin siguiente:
Acerca del protocolo DHCP en la pgina 317 Ventajas del uso de Solaris DHCP en la pgina 318 Funcionamiento de DHCP en la pgina 319 Servidor Solaris DHCP en la pgina 322 Cliente de Solaris DHCP en la pgina 331
Administracin de direcciones IP: una de las principales ventajas de DHCP es que facilita la administracin de las direcciones IP. En una red sin DHCP, debe asignar manualmente las direcciones IP. Debe asignar una direccin IP exclusiva a cada cliente y configurar cada uno de los clientes de modo individual. Si un cliente se pasa a una red distinta, debe realizar modificaciones manuales para dicho cliente. Si DHCP est activo, el servidor DHCP administra y asigna las direcciones IP sin necesidad de que intervenga el administrador. Los clientes pueden moverse a otras subredes sin necesidad de reconfiguracin manual, ya que obtienen del servidor DHCP la nueva informacin de cliente necesaria para la nueva red. Configuracin de cliente de red centralizada: Puede crear una configuracin a medida para determinados clientes o para determinados tipos de clientes. La informacin de configuracin se almacena en un lugar, el almacn de datos de DHCP. No es necesario iniciar sesin en un cliente para cambiar su configuracin. Puede realizar modificaciones en mltiples clientes cambiando la informacin del almacn de datos. Compatibilidad con clientes BOOTP: Tanto los servidores BOOTP como los servidores DHCP escuchan y responden las emisiones de los clientes. El servidor DHCP puede responder a las solicitudes de clientes BOOTP y de clientes DHCP. Los clientes BOOTP reciben una direccin IP y la informacin que necesitan para arrancar desde un servidor. Compatibilidad con clientes locales y remotos: BOOTP permite reenviar mensajes de una red a otra. DHCP aprovecha la funcin de reenvo de BOOTP de distintos modos. La mayora de los encaminadores de red se pueden configurar como agentes de reenvo de BOOTP para transferir solicitudes BOOTP a servidores que no se encuentren en la red del cliente. Las solicitudes DHCP se pueden reenviar del mismo modo, ya que el encaminador no distingue las solicitudes DHCP de las solicitudes BOOTP. El servidor Solaris DHCP tambin se puede configurar como agente de reenvo de BOOTP, si no hay disponible ningn encaminador que admita el reenvo de BOOTP. Arranque de red: Los clientes pueden utilizar DHCP para obtener la informacin necesaria para arrancar desde un servidor de la red, en lugar de utilizar RARP (Reverse Address Resolution Protocol) y el archivo bootparams. El servidor DHCP puede facilitar a un cliente toda la informacin que necesita para funcionar, incluida la direccin IP, el servidor de arranque y la informacin de configuracin de red. Dado que las solicitudes DHCP se pueden reenviar por subredes, es posible usar menos servidores de arranque en la red cuando se utiliza el arranque de red DHCP. El arranque RARP requiere que cada subred tenga un servidor de arranque. Amplia compatibilidad de red: Las redes con millones de clientes DHCP pueden utilizar Solaris DHCP. El servidor DHCP utiliza varios subprocesos para procesar a la vez mltiples solicitudes de clientes. El servidor tambin admite almacenes de datos optimizados para
318
Funcionamiento de DHCP
administrar grandes cantidades de datos. El acceso de los almacenes de datos se administra mediante mdulos de procesamiento independientes. Este tipo de almacn de datos permite la compatibilidad para cualquier base de datos que se necesite.
Funcionamiento de DHCP
En primer lugar, debe instalar y configurar el servidor DHCP. Durante la configuracin, se especifica la informacin sobre la red en la que deben funcionar los clientes. Una vez especificada esta informacin, los clientes pueden solicitar y recibir informacin de red. La secuencia de eventos del servicio DHCP se muestra en el diagrama siguiente. Los nmeros de los crculos corresponden a los elementos que se enumeran en la descripcin que sigue al diagrama.
319
Funcionamiento de DHCP
Servidor 1
Cliente
Servidor 2
1 Descubrir servidores DHCP. 2 Los servidores proporcionan informacin sobre configuracin y direcciones IP .
Tiempo
4 Reconocer solicitud. Se configura el cliente Se acaba el tiempo de permiso 5 Solicitar renovacin de permiso.
FIGURA 121
320
Funcionamiento de DHCP
El diagrama anterior muestra los siguientes pasos: 1. El cliente descubre un servidor DHCP emitiendo un mensaje de descubrimiento a la direccin de emisin limitada (255.255.255.255) de la subred local. Si hay un encaminador y esta configurado para hacer de agente de reenvo de BOOTP, la solicitud se transfiere a otros servidores DHCP de diferentes subredes. La emisin incluye su ID exclusivo, que, en la implementacin de Solaris DHCP, se obtiene de la direccin de control de acceso de soportes (MAC) del cliente. En una red Ethernet, la direccin MAC es la misma que la direccin Ethernet. Los servidores DHCP que reciben el mensaje de descubrimiento pueden determinar la red del cliente con la informacin siguiente:
En qu interfaz de red se sita la solicitud? El servidor determina si el cliente se encuentra en la red a la que est conectada la interfaz o si est utilizando un agente de reenvo de BOOTP conectado a dicha red. Incluye la solicitud la direccin IP de un agente de reenvo de BOOTP? Cuando una solicitud pasa por un agente de reenvo, ste inserta su direccin en el encabezado de la solicitud. Cuando el servidor detecta una direccin de agente de reenvo, el servidor sabe que la parte de red de la direccin indica la direccin de red del cliente porque el agente de reenvo debe estar conectado a la red del cliente. La red del cliente cuenta con subredes? El servidor consulta la tabla netmasks para encontrar la mscara de subred que se utiliza en la red que indica la direccin del agente de reenvo o la direccin de la interfaz de red que recibi la solicitud. Cuando el servidor conoce la mscara de subred que se utiliza, puede determinar qu parte de la direccin de red es la parte del host, y a continuacin seleccionar una direccin IP adecuada para el cliente. Consulte la pgina del comando man netmasks(4) para obtener informacin sobre netmasks.
2. Cuando los servidores DHCP determinan la red del cliente, seleccionan una direccin IP adecuada y verifican que no est en uso. A continuacin, los servidores DHCP responden al cliente emitiendo un mensaje de oferta. El mensaje de oferta incluye la direccin IP seleccionada e informacin sobre los servicios que se pueden configurar para el cliente. Cada servidor reserva temporalmente la direccin IP ofrecida hasta que el cliente determina si utilizar la direccin IP. 3. El cliente selecciona la mejor oferta basndose en el nmero y el tipo de servicios ofrecidos. El cliente emite una solicitud que especifica la direccin IP del servidor que realiz la mejor oferta. La emisin garantiza que todos los servidores DHCP de respuesta sepan que el cliente ha seleccionado un servidor. Los servidores que no se eligen pueden cancelar las reservas de las direcciones IP que haban ofrecido. 4. El servidor seleccionado asigna la direccin IP para el cliente y almacena la informacin en el almacn de datos DHCP. El servidor tambin enva un mensaje de reconocimiento (ACK) al cliente. El mensaje de reconocimiento contiene los parmetros de configuracin de red
Captulo 12 Solaris DHCP (descripcin general) 321
para el cliente. La utilidad ping permite al cliente probar la direccin IP para asegurarse de que no la est utilizando otro sistema. A continuacin, el cliente sigue arrancndose para unirse a la red. 5. El cliente supervisa el tiempo de permiso. Una vez transcurrido un periodo determinado, el cliente enva un nuevo mensaje al servidor seleccionado para aumentar el tiempo de permiso. 6. El servidor DHCP que recibe la solicitud ampla el tiempo de permiso si el permiso sigue cumpliendo la directiva de permiso local que ha fijado el administrador. Si el servidor no responde en 20 segundos, el cliente emite una solicitud para que uno de los dems servidores DHCP pueda ampliar el permiso. 7. Cuando el cliente ya no necesita la direccin IP, notifica al servidor que la direccin IP est libre. Esta notificacin puede tener lugar durante un cierre ordenado y tambin se puede realizar manualmente.
Administra direcciones IP: El servidor DHCP controla una serie de direcciones IP y las asigna a los clientes, ya sea de forma permanente o durante un periodo determinado. El servidor utiliza un mecanismo de permiso para determinar durante cunto tiempo un cliente puede utilizar una direccin que no sea permanente. Cuando se deja de utilizar la direccin, se devuelve a la agrupacin y se puede volver a asignar. El servidor contiene informacin sobre la vinculacin de direcciones IP a los clientes de sus tablas de red DHCP, con lo cual se garantiza que no haya ms de un cliente que utilice la misma red. Configura la red para los clientes: El servidor asigna una direccin IP y proporciona otra informacin para la configuracin de red, como un nombre de host, una direccin de emisin, una mscara de subred, un portal predeterminado, un servicio de nombres y mucha otra informacin. La informacin de configuracin de red se obtiene de la base de datos dhcptab del servidor.
El servidor DHCP de Solaris tambin se puede configurar para llevar a cabo las siguientes funciones adicionales:
Responder a las solicitudes de clientes BOOTP: El servidor escucha las emisiones de los clientes BOOTP en las que se descubre un servidor BOOTP y les proporciona una direccin IP y los parmetros de arranque. Un administrador debe configurar la informacin de modo esttico. El servidor DHCP puede actuar como servidor BOOTP y como servidor DHCP de forma simultnea. Reenviar solicitudes: El servidor reenva solicitudes de BOOTP y DHCP a los servidores pertinentes de otras subredes. El servidor no puede proporcionar el servicio DHCP o BOOTP cuando est configurado como agente de reenvo de BOOTP.
322
Proporcionar compatibilidad con arranque de red para los clientes DHCP: El servidor puede proporcionar a los clientes DHCP la informacin necesaria para arrancar desde la red: una direccin IP, los parmetros de arranque y la informacin de configuracin de la red. El servidor tambin puede proporcionar la informacin que necesitan los clientes DHCP para arrancar e instalar un una red de rea extensa (WAN). Actualizar las tablas DNS para los clientes que proporcionan un nombre de host: Para los clientes que proporcionan un valor y una opcin Hostname en sus solicitudes para el servicio DHCP, el servidor puede tratar de actualizar DNS en su lugar.
datos de DHCP si desarrolla su propio mdulo de cdigo para proporcionar una interfaz entre Solaris DHCP (herramientas de administracin y servidor) y la base de datos. Para obtener ms informacin, consulte Solaris DHCP Service Developers Guide.
323
El almacn de datos de Solaris DHCP incluye dos tipos de tablas. Puede ver y administrar el contenido de estas tablas utilizando el Administrador de DHCP o las utilidades de la lnea de comandos. Las tablas de datos son:
Tabla dhcptab: Incluye la informacin de configuracin que se puede transferir a los clientes. Tablas de red DHCP: Contienen informacin sobre los clientes DHCP y BOOTP que residen en la red especificada en el nombre de tabla. Por ejemplo, la red 192.168.32.0 tendra una tabla cuyo nombre incluye 192_168_32_0.
La tabla dhcptab
La tabla dhcptab contiene toda la informacin que pueden obtener los clientes del servidor DHCP. El servidor DHCP explora la tabla dhcptab cada vez que se inicia. El nombre de archivo de la tabla dhcptab vara en funcin del almacn de datos que se utiliza. Por ejemplo, la tabla dhcptab creada por el almacn de datos NIS+ SUNWnisplus es SUNWnisplus1_dhcptab. El protocolo DHCP define una serie de elementos de informacin estndar que se pueden transferir a los clientes. Estos elementos se denominan parmetros, smbolos u opciones. Las opciones se definen en el protocolo DHCP mediante cdigos numricos y etiquetas de texto, pero sin valores. En la tabla siguiente se incluyen algunas de las opciones estndar que se utilizan normalmente.
TABLA 121 Cdigo
1 3 6 12 15
Direccin IP de mscara de subred Direccin IP para el encaminador Direccin IP para el servidor DNS Cadena de texto para el nombre de host del cliente Nombre de dominio DNS
Al proporcionar informacin durante la configuracin del servidor, se asignan valores automticamente a algunas opciones. Puede asignar valores a otras opciones de forma explcita posteriormente. Las opciones y sus valores se transfieren al cliente para proporcionar informacin de configuracin. Por ejemplo, el par de opcin/valor, DNSdmain=Georgia.Peach.COM, configura el nombre de dominio DNS del cliente como Georgia.Peach.COM. Las opciones se pueden agrupar con otras opciones en contenedores conocidos como macros, lo cual facilita la transferencia de informacin a un cliente. Algunas macros se crean automticamente durante la configuracin del servidor y contienen las opciones a las que se asign valores durante la configuracin. Las macros pueden contener a su vez otras macros.
324 Gua de administracin del sistema: servicios IP Octubre de 2009
El formato de la tabla dhcptab se describe en la pgina del comando man dhcptab(4) En el Administrador de DHCP, toda la informacin que se muestra en las fichas Opciones y Macros proviene de la tabla dhcptab. Consulte Opciones DHCP en la pgina 329 para obtener ms informacin acerca de las opciones. Consulte Macros DHCP en la pgina 329 si desea ms informacin sobre las macros. La tabla dhcptab no debe editarse manualmente. Debe utilizar el comando dhtadm o el Administrador de DHCP para crear, eliminar o modificar las opciones y macros.
Administrador de DHCP
El Administrador de DHCP es una herramienta de interfaz grfica de usuario (GUI) que puede utilizar para llevar a cabo todas las tareas de administracin asociadas al servicio DHCP. Puede utilizarlo para administrar el servidor y los datos que utiliza. Debe ser superusuario para ejecutar el Administrador de DHCP. Puede utilizar el Administrador de DHCP para:
Configurar y desconfigurar el servidor DHCP Iniciar, detener y reiniciar el servidor DHCP Desactivar y activar el servicio DHCP Personalizar la configuracin del servidor DHCP
El Administrador de DHCP permite administrar las direcciones IP, las macros de configuracin de red y las opciones de configuracin de red de los modos siguientes:
Agregar y eliminar redes en la administracin de DHCP Ver, agregar, modificar, eliminar y liberar direcciones IP en la administracin de DHCP Ver, agregar, modificar y eliminar macros de configuracin de red Ver, agregar, modificar y eliminar opciones de configuracin de red que no sean estndar
El Administrador de DHCP permite administrar los almacenes de datos DHCP de los modos siguientes:
Convertir datos a un nuevo formato de almacn de datos Mover los datos de DHCP de un servidor DHCP a otro exportndolos del primer servidor y luego importndolos en el segundo.
325
El Administrador de DHCP incluye una amplia ayuda en lnea sobre los procedimientos que permite realizar la herramienta. Para ms informacin, consulte Acerca del Administrador de DHCP en la pgina 362.
in.dhcpd
El daemon del servicio DHCP. Los argumentos de in.dhcpd(1M) la lnea de comandos permiten configurar varias opciones del tiempo de ejecucin. Se utiliza para configurar y anular la dhcpconfig(1M) configuracin de un servidor DHCP. Esta utilidad permite realizar muchas de las funciones del Administrador de DHCP desde la lnea de comandos. Esta utilidad est diseada principalmente para utilizarse en secuencias de comandos para sitios que deseen automatizar algunas funciones de configuracin. dhcpconfig recopila informacin de los archivos de topologa de red del sistema de servidor para crear informacin til para la configuracin inicial. Se utiliza para agregar, eliminar y modificar las opciones de configuracin y las macros para los clientes DHCP. Esta utilidad permite editar la tabla dhcptab de forma indirecta, con lo cual se garantiza que la tabla dhcptab tenga el formato correcto. No debe editar directamente la tabla dhcptab. dhtadm(1M)
dhcpconfig
dhtadm
326
(Continuacin)
Vnculos de pgina del comando man
pntadm
Se utiliza para administrar las tablas de red de DHCP. Esta utilidad permite llevar a cabo las siguientes tareas: Agregar y eliminar direcciones IP y redes en la administracin de DHCP.
pntadm(1M)
Modificar la configuracin de red para las direcciones IP especificadas. Mostrar informacin sobre las direcciones IP y redes en la administracin de DHCP.
El rol del servidor, tanto si es el servidor DHCP como el agente de reenvo de BOOTP El tipo de almacn de datos (archivos, archivos binarios, NIS+ o lo que haya especificado en su sitio) Los parmetros de configuracin del almacn de datos para el tipo de almacn de datos seleccionado El servicio de nombres que utilizar para actualizar los registros del host, en caso de haberlos (/etc/hosts , NIS+ o DNS) La duracin del permiso y si los clientes deben poder renovarlo
327
El nombre de dominio DNS y las direcciones IP de los servidores DNS Las direcciones de red y la mscara de subred de la primera red que desee configurar para el servicio DHCP El tipo de red, tanto si se trata de una red de rea local (LAN) como de una red de punto a punto El descubrimiento del encaminador o la direccin IP de un encaminador especfico El nombre de dominio NIS y la direccin IP de los servidores NIS El nombre de dominio NIS+ y la direccin IP de los servidores NIS+
Tambin puede configurar el servidor DHCP utilizando el comando dhcpconfig. Esta utilidad recopila informacin automticamente de los archivos de sistema existentes para proporcionar una configuracin inicial til. Por tanto, debe asegurarse de que los archivos sean correctos antes de ejecutar dhcpconfig. Consulte la pgina del comando man dhcpconfig(1M) para obtener informacin sobre los archivos que utiliza dhcpconfig para obtener informacin.
Asignacin de direcciones IP
El servidor Solaris DHCP admite los siguientes tipos de asignacin de direcciones IP:
Asignacin manual: El servidor proporciona una direccin IP especfica seleccionada para un cliente DHCP concreto. La direccin no se puede reclamar ni asignar a otro cliente. Asignacin automtica o permanente: El servidor proporciona una direccin IP que no tenga vencimiento, con lo cual se asocia de forma permanente con el cliente hasta que se cambie la asignacin o el cliente libere la direccin. Asignacin dinmica: El servidor proporciona una direccin IP a un cliente que la solicite, con un permiso para un periodo especfico. Cuando venza el permiso, la direccin volver al servidor y se podr asignar a otro cliente. El periodo lo determina el tiempo de permiso que se configure para el servidor.
agrupar cualquier cantidad de opciones que desee proporcionar a los clientes. Puede utilizar el Administrador de DHCP para crear macros para agrupar opciones y asignar valores a las opciones. Si prefiere una herramienta de lnea de comandos, puede utilizar dhtadm, la utilidad de administracin de la tabla de configuracin DHCP, para trabajar con las opciones y macros.
Opciones DHCP
En Solaris DHCP, una opcin es informacin de red que se puede transferir a un cliente. La documentacin sobre DHCP tambin hace referencia a las opciones como smbolos o etiquetas. Una opcin se define mediante un cdigo numrico y una etiqueta de texto. Una opcin recibe un valor cuando se utiliza en el servicio DHCP. El protocolo DHCP define un nmero mayor de opciones estndar para los datos de red especificados de modo comn: Subnet, Router, Broadcst, NIS+dom, Hostname y LeaseTim son algunos ejemplos. En la pgina del comando man dhcp_inittab(4) se muestra una lista completa de las opciones estndar. Las palabras clave de las opciones estndar no se pueden modificar de ningn modo. Sin embargo, puede asignar valores a las opciones relevantes para su red cuando incluya las opciones en las macros. Puede crear nuevas opciones para los datos que no estn representados por las opciones estndar. Las opciones que cree deben clasificarse en una de estas tres categoras:
Extendidas: Se reserva para las opciones que se han convertido opciones de DHCP estndar pero se incluyen en la implementacin del servidor DHCP. Puede utilizar la opcin extendida si conoce una opcin estndar que desee utilizar, pero no desea actualizar el servidor DHCP. Sitio: Se reserva para opciones exclusivas del sitio. Estas opciones se crean. Distribuidor: Se reserva para las opciones que slo deben aplicarse a los clientes de una clase concreta, como una plataforma de distribuidor o hardware. La implementacin de Solaris DHCP incluye una serie de opciones de distribuidor para los clientes de Solaris. Por ejemplo, la opcin SrootIP4 se utiliza para especificar la direccin IP de un servidor que debera utilizar un cliente arranca desde la red para su sistema de archivos root (/).
El Captulo 15, Administracin de DHCP (tareas) incluye los procedimientos para crear, modificar y eliminar las opciones de DHCP.
Macros DHCP
En el servicio de Solaris DHCP, una macro es un conjunto de opciones de configuracin de red y los valores que se les asignan. Las macros se crean para agrupar opciones para transferir a clientes o tipos de clientes especficos. Por ejemplo, una macro diseada para todos los clientes de una subred concreta podran contener pares de opcin/valor para la mscara de subred, direcciones IP de encaminador, direcciones de emisin, dominio NIS+ y tiempo de permiso.
Captulo 12 Solaris DHCP (descripcin general) 329
Categora de macro
Clase de cliente
El nombre de la macro coincide con una clase de cliente, que se indica mediante el tipo de mquina del cliente, el sistema operativo, o ambos. Por ejemplo, si un servidor tiene una macro denominada SUNW.Sun-Blade-100, cualquier cliente cuya implementacin de hardware sea SUNW,Sun-Blade-100 recibir automticamente los valores de la macro SUNW.Sun-Blade-100. El nombre de la macro coincide con una direccin IP de la red administrada por DHCP. Por ejemplo, si un servidor tiene una macro denominada 10.53.224.0, cualquier cliente conectado a la red 10.53.224.0 recibir de manera automtica los valores de la macro 10.53.224.0. El nombre de macro coincide con algunos identificadores exclusivos del cliente, que normalmente se obtienen de una direccin MAC o Ethernet. Por ejemplo, si un servidor tiene una macro denominada 08002011DF32, el cliente con el ID de cliente 08002011DF32 (derivado de la direccin Ethernet 8:0:20:11:DF:32 ), recibir automticamente los valores de la macro denominada 08002011DF32.
Direccin de red
Id. de cliente
Una macro con un nombre que no utilice una de las categoras incluidas en la Tabla 123 slo se puede procesar si se cumple una de estas condiciones:
La macro est asignada a una direccin IP. La macro se incluye en otra macro que se procesa automticamente. La macro se incluye en otra macro que est asignada a una direccin IP.
Nota Al configurar un servidor, se crea de forma predeterminada una macro cuyo nombre coincide con el nombre del servidor. Esta macro de servidor no se procesa automticamente para ningn cliente porque no tiene el nombre de uno de los tipos que desencadenan el procesamiento automtico. Cuando crea direcciones IP en el servidor posteriormente, las direcciones IP se asignan para utilizar la macro del servidor de modo predeterminado.
330
332
13
C A P T U L O
1 3
Puede utilizar el servicio DHCP en una red que est creando o en una que ya exista. Si esta configurando una red, consulte el Captulo 2, Planificacin de la red TCP/IP (tareas) antes de configurar el servicio DHCP. Si ya existe una red, contine en este captulo. En l se describen los pasos necesarios para configurar el servicio DHCP en la red. La informacin est destinada para uso con el Administrador de DHCP, aunque tambin puede utilizar la utilidad de lnea de comandos de dhcpconfig para configurar el servicio DHCP. Este captulo contiene la informacin siguiente:
Preparacin de la red para el servicio DHCP (mapa de tareas) en la pgina 333 Toma de decisiones para la configuracin del servidor DHCP (mapa de tareas) en la pgina 338 Toma de decisiones para la administracin de direcciones IP (mapa de tareas) en la pgina 341 Planificacin de mltiples servidores DHCP en la pgina 345 Planificacin de la configuracin DHCP de las redes remotas en la pgina 346 Seleccin de la herramienta para configurar DHCP en la pgina 346
333
Tarea
Descripcin
Utiliza el nmero previsto de clientes DHCP como base para determinar la cantidad de servidores DHCP que se necesitan. Refleja la topologa de red de un modo preciso.
Servidor de tiempo Servidor de registro Servidor de impresin Servidor de instalacin Servidor de arranque Servidor proxy Web Servidor de intercambio Servidor de fuentes de ventanas X Servidor de Trivial File Transfer Protocol (TFTP)
Cuando varias LAN se ejecutan en la misma red fsica, la solicitud de un cliente DHCP llega a todas las interfaces de hardware de red. Con ello parece que el cliente est conectado a todas las redes IP de forma simultnea. DHCP debe poder determinar la direccin de una red de cliente para asignar una direccin IP adecuada al cliente. Si en el soporte de hardware hay ms de una red, el servidor no puede determinar la red del cliente. El servidor no puede asignar una direccin IP sin conocer el nmero de red. Puede utilizar DHCP slo en una de las redes. Si una red no satisface sus necesidades de DHCP, debe volver a configurar las redes. Debe tener en cuenta las siguientes sugerencias:
Utilice una mscara de subred de longitud variable (VLSM) en las subredes para aprovechar al mximo el espacio de direcciones IP del que dispone. Es posible que no tenga que ejecutar varias redes en la misma red fsica. Consulte la pgina del comando man netmasks(4) para obtener informacin sobre la implementacin de subredes de longitud variable. Para obtener ms informacin sobre el encaminamiento entre dominios sin clase (CIDR) (CIDR) y VLSM, consulte http://www.ietf.org/rfc/rfc1519.txt. Configure los puertos de los conmutadores para asignar dispositivos a las diferentes LAN fsicas. Esta tcnica conserva la asignacin de una LAN a una red IP, necesaria para Solaris DHCP. Consulte la documentacin del conmutador para obtener informacin sobre cmo configurar los puertos.
Este nmero mximo es una pauta general, no una cifra absoluta. La capacidad de un cliente de servidor DHCP depende en gran medida de la cantidad de transacciones por segundo que deba procesar el servidor. Los tiempos de permisos y los patrones de uso tienen un impacto significativo en la tasa de transaccin. Por ejemplo, supongamos que los permisos estn configurados en 12 horas y que los usuarios apagan los sistemas por la noche. Si muchos usuarios encienden sus sistemas a la misma hora por la maana, el servidor debe administrar
Captulo 13 Planificacin del servicio DHCP (tareas) 335
picos de transacciones, ya que muchos clientes solicitan permisos a la vez. El servidor DHCP admite menos clientes en dichos entornos. El servidor DHCP puede admitir ms clientes en un entorno con permisos ms largos, o en un entorno compuesto por dispositivos que estn conectados permanentemente, como los mdems por cable. En la seccin Seleccin del almacn de datos DHCP en la pgina 339 se comparan los tipos de almacenes de datos.
Zona horaria
La fecha y la zona horaria se configuran inicialmente durante la instalacin de Solaris. Puede cambiar la fecha utilizando el comando date. Puede cambiar la zona horaria editando el archivo /etc/default/init para fijar la variable de entorno TZ. Consulte la pgina del comando man TIMEZONE(4) para obtener ms informacin.
336
(Continuacin)
Comentarios
Parmetros de DNS
/etc/resolv.conf
El servidor DHCP utiliza el archivo /etc/resolv.conf para obtener los parmetros de DNS como el nombre de dominio DNS o las direcciones de servidor DNS. Consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) o la pgina del comando man resolv.conf(4) para obtener ms informacin sobre resolv.conf.
Nombre de dominio de sistema, El servidor DHCP utiliza el comando nsswitch.conf, NIS o NIS+ domainname para obtener el nombre de dominio del sistema de servidor. El archivo nsswitch.conf indica al servidor dnde debe buscar la informacin del dominio. Si el sistema de servidor es un cliente NIS o NIS+, el servidor DHCP realiza una consulta para obtener las direcciones IP del servidor NIS o NIS+. Consulte la pgina del comando man nsswitch.conf(4) para obtener ms informacin. El servidor DHCP busca en las tablas de encaminamiento del sistema el encaminador predeterminado para los clientes conectados a la red local. Para los clientes que no se encuentren en la misma red, el servidor DHCP debe solicitar la informacin. El servidor DHCP busca sus propias interfaces de red para determinar la direccin de mscara de red y de emisin para los clientes locales. Si la solicitud la emite un agente de reenvo, el servidor obtiene la mscara de subred de la tabla netmasks de la red del agente de reenvo. Para la red local, el servidor DHCP obtiene la direccin de emisin consultando la interfaz de red. Para las redes remotas, el servidor utiliza la direccin IP del agente de reenvo BOOTP y la mscara de red de la red remota para calcular la direccin de emisin de la red.
Mscara de subred
Direccin de emisin
337
Determina si un servidor rene los requisitos del sistema para ejecutar el servicio DHCP. Compara los tipos de almacn de datos para determinar el mejor para su sitio. Obtiene informacin de los permisos de direcciones IP para ayudarle a determinar la directiva de permiso adecuada para su sitio. Determina si los clientes DHCP utilizan descubrimiento de encaminador o un encaminador especfico.
Seleccin de un host para ejecutar el servicio DHCP en la pgina 338 Seleccin del almacn de datos DHCP en la pgina 339 Configuracin de una directiva de permiso en la pgina 340
Debe ejecutar Solaris 2.6 o una versin posterior. Si necesita utilizar un nmero de clientes ms elevado, debe instalar la versin Solaris 8 7/01 o una posterior. El host debe ser accesible a todas las redes que tengan clientes que necesiten utilizar DHCP, directamente en la red o a travs de un agente de reenvo de BOOTP. El host debe estar configurado para utilizar el encaminamiento. Adems, debe contar con una tabla netmasks configurada correctamente que refleje la topologa de la red.
338
Archivos binarios
Bajo mantenimiento, no se necesitan servidores de bases de datos. El contenido debe visualizarse con el Administrador de DHCP o dhtadm y pntadm. Se recomienda realizar copias de seguridad regulares de los archivos. El sistema de servidor DHCP debe estar configurado como cliente NIS+. Requiere mantenimiento del servicio NIS+. El contenido debe visualizarse con el Administrador de DHCP o dhtadm y pntadm. Se recomienda realizar copias de seguridad regulares con nisbackup. Bajo mantenimiento, no se necesitan servidores de bases de datos. El formato ASCII se puede leer sin el Administrador de DHCP, dhtadm o pntadm. Se recomienda realizar copias de seguridad regulares de los archivos.
Entornos de medio y gran tamao con mltiples redes y miles de clientes por red. tiles para ISP de medio y gran tamao.
NIS+
Los datos DHCP se distribuyen en NIS+, y varios servidores pueden acceder a los mismos contenedores.
Entornos de pequeo a mediano tamao, con un mximo de 5.000 clientes por red.
Archivos de texto
El almacn de datos se puede compartir entre servidores DHCP si los datos DHCP estn almacenados en un sistema de archivos que se exporta mediante un punto de montaje NFS.
Entornos reducidos con menos de 10.000 clientes, de entre unos cientos hasta mil clientes por red.
339
Los NIS tradicionales no se ofrecen como opcin de almacn de datos porque no admiten actualizaciones incrementales rpidas. Si la red utiliza NIS, debe utilizar los archivos de texto o binarios para el almacn de datos.
durante la configuracin del servidor. La negociacin del permiso se puede activar para determinados clientes o tipos de clientes mediante la opcin LeaseNeg de las macros de configuracin.
Nota Los sistemas que proporcionan servicios en la red deben conservar sus direcciones IP. Dichos sistemas no deben estar sujetos a permisos breves. Puede utilizar DHCP con dichos sistemas si asigna direcciones IP manuales reservadas a los sistemas, en lugar de direcciones IP con permisos permanentes. Puede detectar cundo se deja de utilizar la direccin IP del sistema.
341
Tarea
Descripcin
Determina cuntas direcciones desea que administre el servidor DHCP, y cules son dichas direcciones.
Nmero y rangos de direcciones IP en la pgina 342 Generacin de nombres de host de cliente en la pgina 342 Macros de configuracin de cliente predeterminadas en la pgina 343 Tipos de permiso dinmico y permanente en la pgina 344
Decidir si el servidor debe generar Muestra cmo se generan los nombres de automticamente los nombres de host para host de cliente para que pueda decidir si va los clientes. a generar nombres de host. Determinar la macro de configuracin que Muestra las macros de configuracin de asignar a los clientes. cliente para que pueda seleccionar una macro adecuada para los clientes. Determinar los tipos de permisos que utilizar. Muestra los tipos de permisos para ayudarle a determinar cul es mejor para sus clientes DHCP.
Antes de configurar las direcciones IP, decida si desea que las herramientas de administracin de DHCP generen nombres de clientes y, de ser as, qu nombre raz se debe utilizar para los nombres. Los nombres de cliente generados se pueden asignar a las direcciones IP de /etc/inet/hosts, DNS o NIS+ si especifica que se registren los nombres de host durante la configuracin de DHCP. Consulte Registro de nombres de host de cliente en la pgina 378 para obtener ms informacin.
Macro de direccin de red: El nombre de la macro de direccin de red coincide con la direccin IP de la red del cliente. Por ejemplo, si la red es 192.68.0.0, la macro de la direccin de red recibe el nombre 192.68.0.0. La macro contiene la informacin que necesita cualquier cliente que forme parte de la red, como la mscara de subred, la direccin de emisin de red, el encaminador predeterminado o el token de descubrimiento del encaminador, as como el servidor y el dominio NIS/NIS+ si el servidor utiliza NIS/NIS+. Podran incluirse otras opciones aplicables a la red. La macro de la direccin de red se procesa automticamente para todos los clientes que se encuentran en dicha red, tal como se describe en Orden del procesamiento de macros en la pgina 331. Macro de configuracin regional: Esta macro recibe el nombre de Locale. Contiene el desfase (en segundos) de la hora universal coordinada (UTC) para especificar la zona horaria. La macro de configuracin regional no se procesa automticamente, pero se incluye en la macro del servidor. Macro del servidor: El nombre de esta macro coincide con el nombre de host del servidor. Por ejemplo, si el servidor se denomina pineola, la macro del servidor tambin se llamar pineola. La macro del servidor contiene informacin sobre la directiva de permiso, el servidor de tiempo, el dominio DNS y el servidor DNS, y posiblemente otra informacin que el programa de configuracin haya obtenido de los archivos del sistema. La macro del servidor incluye la macro de configuracin regional, de modo que el servidor DHCP procesa la macro de configuracin regional como parte de la macro de servidor. Al configurar las direcciones IP para la primera red, debe seleccionar una macro de configuracin de cliente para utilizar con todos los clientes DHCP que utilicen las direcciones que est configurando. La macro que selecciona se asigna a las direcciones IP. De
343
modo predeterminado, se selecciona la macro de servidor porque contiene la informacin que necesitan todos los clientes que utilizan este servidor. Los clientes reciben las opciones que contiene la macro de direccin de red antes que las opciones de la macro que est asignada a las direcciones IP. Este orden de procesamiento hace que las opciones de la macro del servidor tengan prioridad sobre cualquier opcin de la macro de direccin de red. Consulte Orden del procesamiento de macros en la pgina 331 para obtener ms informacin sobre el orden en el que se procesan las macros.
La direccin slo se puede asignar al cliente que est vinculado a la direccin. El servidor DHCP no puede asignar la direccin a otro cliente. El servidor DHCP no puede reclamar esta direccin.
Cuando se asigna un permiso dinmico a una direccin reservada, la direccin slo se puede asignar al cliente que est vinculado a la direccin. Sin embargo, el cliente debe controlar el
344 Gua de administracin del sistema: servicios IP Octubre de 2009
tiempo del permiso y negociar una ampliacin del mismo, como si la direccin no estuviera reservada. Esta estrategia permite controlar mediante la tabla de red cundo utiliza la direccin el cliente. No es posible crear direcciones reservadas para todas las direcciones IP durante la configuracin inicial. Las direcciones reservadas estn diseadas para utilizarse con moderacin para las direcciones individuales.
Divida la agrupacin de direcciones IP de modo que cada servidor sea responsable de un rango de direcciones y no se solapen las responsabilidades. Elija NIS+ como almacn de datos, si est disponible. Si no lo est, seleccione los archivos de texto y especifique un directorio compartido para la ruta absoluta al almacn de datos. El almacn de datos de archivos binarios no se puede compartir. Configure cada servidor por separado para que la propiedad de las direcciones se asigne correctamente y las macros del servidor se puedan crear automticamente. Configure los servidores para analizar las opciones y las macros de la tabla dhcptab a intervalos especficos de modo que los servidores utilicen la informacin ms reciente. Puede utilizar el Administrador de DHCP para programar la lectura automtica de dhcptab, tal como se describe en Personalizacin de las opciones de rendimiento del servidor DHCP en la pgina 379. Asegrese de que todos los clientes puedan acceder a todos los servidores DHCP de modo que se complementen. Un cliente con un permiso de direccin IP vlido podra tratar de verificar su configuracin o ampliar el permiso cuando no se puede acceder al servidor que posee dicha direccin de cliente. Otro servidor puede responder al cliente si el cliente ha intentado contactar con el servidor principal durante 20 segundos. Si un cliente solicita una direccin IP especfica y el servidor que posee dicha direccin no est disponible, uno de los servidores administrar la solicitud. En ese caso, el cliente no recibe la direccin solicitada. El cliente recibe una direccin IP que posee el servidor DHCP que responde.
345
La direccin IP de la red remota. La mscara de subred de la red remota. Esta informacin se puede obtener de la tabla netmasks del servicio de nombres. Si la red utiliza archivos locales, busque /etc/netmasks en un sistema de la red. Si la red utiliza NIS+, utilice el comando niscat netmasks.org_dir. Si la red utiliza NIS, utilice el comando ypcat -k netmasks.byaddr. Asegrese de que la tabla netmasks contenga toda la informacin de topologa de todas las subredes que desee administrar. El tipo de red. Los clientes se conectan a la red mediante una conexin de red de rea local (LAN) o un Protocolo punto a punto (PPP). Informacin de encaminamiento. Los clientes pueden utilizar el descubrimiento de encaminadores? Si no, debe determinar la direccin IP de un encaminador que puedan utilizar. El dominio NIS y los servidores NIS, si es preciso. El dominio NIS+ y los servidores NIS+, si es preciso.
Consulte Cmo agregar redes DHCP en la pgina 385 para aprender a agregar redes DHCP.
proporciona una serie de cuadros de dilogo que le solicitan la informacin bsica necesaria para configurar un servidor: formato del almacn de datos, directiva de permiso, dominios y servidores DNS/NIS/NIS+ y direcciones de encaminadores. El asistente obtiene parte de la informacin de los archivos del sistema, y el usuario slo debe confirmar que la informacin sea correcta o corregirla si es preciso. A medida que avanza por los cuadros de dilogo y aprueba la informacin, el daemon del servidor DHCP se inicia en el sistema del servidor. A continuacin, se le solicita que inicie el asistente para agregar direcciones para configurar las direcciones IP para la red. Inicialmente slo se configura la red del servidor para DHCP y se asignan los valores predeterminados a las dems opciones del servidor. Puede volver a ejecutar el Administrador de DHCP una vez completada la configuracin inicial para agregar redes y modificar las dems opciones del servidor. Consulte Configuracin y desconfiguracin de un servidor DHCP utilizando el Administrador de DHCP en la pgina 349 para obtener ms informacin sobre el asistente para la configuracin de DHCP. Consulte Acerca del Administrador de DHCP en la pgina 362 para obtener ms informacin acerca del Administrador de DHCP.
Funciones de dhcpconfig
La utilidad dhcpconfig admite opciones que permiten configurar y desconfigurar un servidor DHCP, as como convertir a un nuevo almacn de datos e importar/exportar datos de otros servidores DHCP. Si configura un servidor DHCP mediante la utilidad dhcpconfig, sta obtiene informacin de los archivos del sistema que se describen en Actualizacin de archivos de sistema y tablas de mscara de red en la pgina 336. No puede ver y confirmar la informacin que se obtiene de los archivos del sistema del mismo modo que con el Administrador de DHCP. Por tanto, es importante que los archivos del sistema estn actualizados antes de ejecutar dhcpconfig. Tambin puede utilizar las opciones de la lnea de comandos para modificar los valores que obtendra dhcpconfig de los archivos del sistema de modo predeterminado. El comando dhcpconfig puede utilizarse en secuencias. Consulte la pgina del comando man dhcpconfig(1M) para obtener ms informacin.
347
Permite ver la informacin obtenida de los archivos del sistema, y cambiarla si es preciso. Acelera el proceso de configuracin al omitir la solicitud de opciones de servidor que no son imprescindibles y utilizar los valores predeterminados para ellas. Puede cambiar las opciones no imprescindibles tras la configuracin inicial.
Puede especificar la informacin de red con las opciones de la lnea de comandos. Proceso de configuracin ms rpido, pero es posible que necesite especificar los valores de mltiples funciones.
El Captulo 14, Configuracin del servicio DHCP (tareas) incluye los procedimientos que puede seguir para configurar el servidor con el Administrador de DHCP o la utilidad dhcpconfig.
348
14
C A P T U L O
1 4
Al configurar el servicio DHCP en la red, se configura e inicia el primer servidor DHCP. Ms adelante, puede agregar otros servidores DHCP, que accedan a los mismos datos desde una ubicacin compartida si el almacn de datos admite datos compartidos. En este captulo se describen las tareas que permiten configurar el servidor DHCP y colocar las redes y sus direcciones IP asociadas en la administracin de DHCP. En este capitulo tambin se explica cmo anular la configuracin de un servidor DHCP. Cada tarea incluye un procedimiento para ayudarle a realizar la tarea en el Administrador de DHCP y un procedimiento para la tarea equivalente con la utilidad dhcpconfig. Este captulo contiene la informacin siguiente:
Configuracin y desconfiguracin de un servidor DHCP utilizando el Administrador de DHCP en la pgina 349 Configuracin y desconfiguracin de un servidor DHCP mediante los comandos dhcpconfig en la pgina 357
Si tiene problemas para configurar el servicio DHCP, consulte el Captulo 17, Solucin de problemas de DHCP (referencia). Despus de configurar el servicio DHCP, consulte el Captulo 15, Administracin de DHCP (tareas) para obtener informacin sobre la administracin del servicio DHCP.
en la pgina 362 para obtener informacin general sobre la utilidad. Consulte Cmo iniciar y detener el servicio DHCP (Adminisitrador de DHCP) en la pgina 367 para obtener informacin ms detallada sobre la ejecucin del Administrador de DHCP. Al ejecutar el Administrador de DHCP en un servidor que no est configurado para DHCP, se muestra la siguiente pantalla. Puede especificar si desea configurar un servidor DHCP o un agente de reenvo BOOTP.
FIGURA 141
350
FIGURA 142
Cuando haya completado la informacin que solicita el asistente, el Administrador de DHCP crear los elementos que se enumeran en la siguiente tabla.
TABLA 141 Elemento
Registra las palabras clave y los valores para Ubicacin y tipo de almacn de datos, as como las las opciones de configuracin del servidor. opciones que se utilizan con in.dhcpd para iniciar el daemon DHCP cuando arranca el sistema. No edite este archivo manualmente. Debe utilizar dhcpmgr o dhcpconfig para modificar la informacin de configuracin de DHCP. El Administrador de DHCP crea una tabla dhcptab si no existe. Macros y opciones con valores asignados. Opcin UTCoffst con cantidad de segundos asignada.
tabla dhcptab
Macro de configuracin regional Contiene el desfase en segundos de la zona (opcional), denominada Locale horaria local de la Hora universal (UTC).
351
(Continuacin)
Contenido
Macro de servidor, cuyo nombre Contiene opciones cuyos valores estn coincide con el nombre del nodo determinados por la entrada del del servidor administrador que ha configurado el servidor DHCP. Las opciones se aplican a todos los clientes que utilizan las direcciones que posee el servidor.
La macro Locale ms las siguientes opciones: Timeserv, configurada para puntar a la direccin IP principal del servidor. LeaseTim, configurada con la cantidad de segundos para los permisos. LeaseNeg, si ha seleccionado permisos negociables. DNSdmain y DNSserv, si se ha configurado DNS. Hostname, que no debe tener un valor asignado. La presencia de esta opcin indica que el nombre de host debe obtenerse del servicio de nombres.
La macro de direccin de red, cuyo nombre coincide con la direccin de red de la red del cliente
Contiene opciones cuyos valores estn determinados por la entrada del administrador que ha configurado el servidor DHCP. Las opciones se aplican a todos los clientes que residen en la red especificada por el nombre de la macro.
Las siguientes opciones: Subnet, configurada con la mscara de subred para la subred local.
Router, configurada con la direccin IP de un encaminador, o RDiscvyF, para que el cliente utilice el descubrimiento de encaminadores. Broadcst, configurada con la direccin IP de emisin. Esta opcin slo est presente si la red no es una red de punto a punto. MTU, para la unidad de transmisin mxima NISdmain y NISservs, si se ha configurado NIS. NIS+dom y NIS+serv, si se ha configurado NIS+.
Se crea una tabla vaca hasta que se crean las No hay contenido hasta que no se agregan direcciones IP para la red. direcciones IP.
352
Antes de empezar
Seleccionar el sistema que se va a utilizar como servidor DHCP. Tomar decisiones sobre el almacn de datos, la directiva de permisos y la informacin de encaminadores.
1 2
Elija la opcin Configure as DHCP Server. Se abrir el asistente DHCP Configuration Wizard, que le ayudar a configurar el servidor.
Seleccione las opciones o escriba la informacin que se le solicita, basndose en las decisiones que ha tomado en la fase de planificacin. Si tiene problemas, haga clic en Help en la ventana del asistente para abrir el explorador web y ver la ayuda del asistente DHCP Configuration Wizard.
Haga clic en Finish para completar la configuracin del servidor cuando haya terminado de especificar la informacin solicitada. En Start Address Wizard, haga clic en Yes para configurar las direcciones IP para el servidor. El asistente Add Addresses to Network permite especificar qu direcciones colocar bajo el control de DHCP.
Responda a los indicadores de acuerdo con las decisiones que tom en la fase de planificacin. Consulte Toma de decisiones para la administracin de direcciones IP (mapa de tareas) en la pgina 341 para obtener ms informacin. Si tiene problemas, haga clic en Help en la ventana del asistente para abrir el explorador web y ver la ayuda del asistente Add Addresses to Network.
Revise las selecciones y haga clic en Finish para agregar las direcciones IP a la tabla de red. La tabla de red se actualiza con los registros para cada direccin del rango especificado.
353
Vase tambin
Puede agregar ms redes al servidor DHCP con el asistente Network Wizard, tal como se describe en Cmo agregar redes DHCP en la pgina 385.
Solicita la direccin IP de uno o ms servidores DHCP a los que se deben reenviar las solicitudes. Almacena la configuracin necesaria para el servicio de reenvo de BOOTP.
La figura siguiente muestra la pantalla que aparece al seleccionar la configuracin de un agente de reenvo de BOOTP.
FIGURA 143
Antes de empezar
1
354
Si el sistema no se ha configurado como servidor DHCP o agente de reenvo de BOOTP, se abrir el asistente DHCP Configuration Wizard. Si el sistema ya se ha configurado como servidor DHCP, primer debe desconfigurar el servidor. Consulte Desconfiguracin de servidores DHCP y agentes de reenvo de BOOTP en la pgina 355.
3
Seleccione Configure as BOOTP Relay. Se abrir el cuadro de dilogo Configure BOOTP Relay.
Escriba la direccin IP o el nombre de host de uno o ms servidores DHCP y haga clic en Add. Los servidores DHCP especificados deben configurarse para admitir las solicitudes BOOTP o DHCP recibidas por este agente de reenvo de BOOTP.
Haga clic en OK para salir del cuadro de dilogo. Observe que el Administrador de DHCP slo ofrece el men File para salir de la aplicacin y el men Service para administrar el servidor. Las opciones de men desactivadas slo son tiles en un servidor DHCP.
Detiene el proceso del daemon DHCP (in.dhpcd). Elimina el archivo /etc/inet/dhcpsvc.conf, que registra informacin sobre el inicio del daemon y la ubicacin del almacn de datos.
La figura siguiente muestra la pantalla que aparece al seleccionar la desconfiguracin de un servidor DHCP.
355
FIGURA 144
356
1 2
En el men Service, elija Unconfigure. Aparecer el cuadro de dilogo Desconfigurar servicio. Si el servidor es un agente de reenvo de BOOTP, el cuadro de dilogo permite confirmar la intencin de desconfigurar el agente de reenvo. Si el servidor es un servidor DHCP, debe decidir qu hacer con los datos DHCP y realizar las selecciones en el cuadro de dilogo. Consulte la Figura 144.
(Opcional) Seleccione las opciones para eliminar los datos. Si el servidor utiliza datos compartidos mediante NIS+ o en archivos compartidos mediante NFS, no seleccione ninguna opcin para eliminar los datos. Si el servidor no utiliza datos compartidos, seleccione una o ambas opciones para eliminar los datos. Consulte Datos DHCP en un servidor desconfigurado en la pgina 356 para obtener ms informacin acerca de la eliminacin de datos.
Haga clic en Aceptar para desconfigurar el servidor. Se cerrarn el cuadro de dilogo Desconfigurar servicio y el Administrador de DHCP.
357
Antes de empezar
Seleccionar el sistema que se va a utilizar como servidor DHCP. Tomar decisiones sobre el almacn de datos, la directiva de permisos y la informacin de encaminadores.
1 2
Inicie sesin en el sistema en el que desee configurar el servidor DHCP. Convirtase en superusuario o asuma un rol o nombre de usuario asignado al perfil de administracin de DHCP. Para obtener ms informacin acerca del perfil de administracin de DHCP, consulte Configuracin del acceso de usuario a los comandos de DHCP en la pgina 365. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
almacn_datos es uno de los siguientes: SUNWfiles , SUNWbinfiles o SUNWnisplus. La ubicacin es la ubicacin que depende del almacn de datos donde se desea almacenar los datos DHCP. Para SUNWfiles y SUNWbinfiles, la ubicacin debe ser un nombre de ruta absoluto. Para SUNWnisplus, la ubicacin debe ser un directorio NIS+ especificado por completo. Por ejemplo, puede escribir un comando similar al siguiente:
dhcpconfig -D -r SUNWbinfiles -p /var/dhcp
La utilidad dhcpconfig utiliza los archivos de red y los archivos de sistema del host para determinar los valores que se utilizan para configurar el servidor DHCP. Consulte la pgina del comando man dhcpconfig(1M) para obtener informacin sobre las opciones adicionales para el comando dhcpconfig que permiten modificar los valores predeterminados.
4
Agregue una o ms redes al servicio DHCP. Consulte Cmo agregar una red DHCP (dhcpconfig) en la pgina 387 para conocer el procedimiento para agregar una red.
358
Antes de empezar
1 2
Especifique una o ms direcciones IP de los servidores DHCP a los que desea reenviar las solicitudes. Si especifica ms de una direccin, seprelas con comas. Por ejemplo, puede escribir un comando similar al siguiente:
/usr/sbin/dhcpconfig -R 192.168.1.18,192.168.42.132
Si el servidor no utiliza datos compartidos, tambin puede utilizar la opcin -x para eliminar dhcptab y las tablas de red. Si el servidor utiliza datos compartidos, no utilice la opcin -x. La opcin -h puede utilizarse para eliminar nombres de host de la tabla host. Consulte la pgina del comando man dhcpconfig(1M) para obtener ms informacin sobre las opciones dhcpconfig. Consulte Datos DHCP en un servidor desconfigurado en la pgina 356 para obtener ms informacin acerca de la eliminacin de datos.
360
15
C A P T U L O
1 5
En este captulo se describen las tareas que le pueden ser de utilidad durante la administracin del servicio Solaris DHCP. El captulo incluye las tareas para el servidor, el agente de reenvo de BOOTP y el cliente. Cada tarea incluye un procedimiento para ayudarle a realizar la tarea en el Administrador de DHCP y un procedimiento para desempear una tarea equivalente con las utilidades de lnea de comandos de DHCP. Las utilidades de lnea de comandos de DHCP se describen con mayor detalle en las pginas de comando man. Antes de continuar con este captulo, debe haber completado la configuracin inicial del servicio DHCP y la red inicial. El Captulo 14, Configuracin del servicio DHCP (tareas) trata sobre la configuracin de DHCP. Este captulo contiene la informacin siguiente:
Acerca del Administrador de DHCP en la pgina 362 Configuracin del acceso de usuario a los comandos de DHCP en la pgina 365 Cmo iniciar y detener el servicio DHCP en la pgina 366 Servicio DHCP y Utilidad de gestin de servicios en la pgina 368 Modificacin de las opciones del servicio DHCP (mapa de tareas) en la pgina 369 Cmo agregar, modificar y eliminar redes DHCP (mapa de tareas) en la pgina 382 Clientes BOOTP con el servicio DHCP (mapa de tareas) en la pgina 392 Uso de direcciones IP en el servicio DHCP (mapa de tareas) en la pgina 395 Uso de macros DHCP (mapa de tareas) en la pgina 412 Uso de opciones DHCP (mapa de tareas) en la pgina 422 Instalacin en red de Solaris con el servicio DHCP en la pgina 431 Arranque remoto y clientes de arranque sin disco (mapa de tareas) en la pgina 432 Configuracin de clientes DHCP slo para recibir informacin (mapa de tareas) en la pgina 434 Conversin a un nuevo almacn de datos DHCP en la pgina 434 Transferencia de datos de configuracin entre servidores DHCP (mapa de tareas) en la pgina 437
361
Ficha Direcciones: enumera todas las redes y direcciones IP que se incluyen durante la administracin de DHCP. En la ficha Direcciones, puede trabajar con las redes y direcciones IP. Puede agregar o eliminar elementos individualmente o por bloques. Tambin puede modificar las propiedades de las redes o direcciones IP individuales o realizar las mismas modificaciones de propiedades de forma simultnea para un bloque de direcciones. Al iniciar el Administrador de DHCP, se abre la ficha Direcciones en primer lugar. Ficha Macros: enumera todas las macros disponibles de la tabla de configuracin de DHCP (dhcptab) y las opciones que contienen las macros. En la ficha Macros, puede crear o eliminar macros. Tambin puede modificar macros agregando opciones y asignndoles valores. Ficha Opciones: enumera todas las opciones definidas para este servidor DHCP. Las opciones que se enumeran en esta ficha no son las opciones estndar definidas en el protocolo DHCP. Las opciones son extensiones de las opciones estndar, y tienen la clase Extendidas, Distribuidor o Sitio. Las opciones estndar no se pueden modificar de ningn modo, por lo que no se incluyen aqu.
En la figura siguiente se muestra el aspecto que puede tener el Administrador de DHCP al iniciarlo en un servidor DHCP.
362
FIGURA 151
Cuando el servidor se configura como agente de reenvos de BOOTP, la ventana del Administrador de DHCP no incluye estas fichas. El agente de reenvo de BOOTP no necesita la misma informacin. Slo puede modificar las propiedades del agente de reenvo de BOOTP y detener o reiniciar el daemon DHCP con el Administrador de DHCP. En la figura siguiente se muestra el aspecto que podra tener el Administrador de DHCP en un sistema configurado como agente de reenvo de BOOTP.
FIGURA 152
363
File: Cierra el Administrador de DHCP. Edit: Lleva a cabo tareas de administracin para redes, direcciones, macros y opciones. View: Cambia el aspecto de la ficha seleccionada. Service: Administra el daemon de DHCP y el almacn de datos. Help: Abre el explorador web y muestra ayuda para el Administrador de DHCP.
Cuando el Administrador de DHCP se ejecuta en un agente de reenvo de BOOTP, los mens Edit y View estn desactivados. Todas las tareas de administracin de DHCP se llevan a cabo mediante los mens Edit y Service. Los comandos del men Edit permiten crear, eliminar y modificar elementos de la ficha seleccionada. Los elementos pueden incluir redes, direcciones, macros y opciones. Si est seleccionada la ficha Addresses, el men Edit tambin enumera los asistentes. Los asistentes son conjuntos de cuadros de dilogo que ayudan a crear redes y varias direcciones IP. El men Service enumera los comandos que permiten administrar el daemon de DHCP. En el men Service puede llevar a cabo las tareas siguientes:
Iniciar y detener el daemon de DHCP. Habilitar e inhabilitar el daemon de DHCP. Modificar la configuracin del servidor. Desconfigurar el servidor. Convertir el almacn de datos. Exportar e importar datos en el servidor.
364
(Opcional) Si se registra remotamente en el sistema de servidor DHCP, visualice el Administrador de DHCP en el sistema local del modo siguiente. a. Escriba lo siguiente en el sistema local:
# xhost +server-name
Se abrir la ventana del Administrador de DHCP. Si el servidor se configura como servidor DHCP, la ventana muestra la ficha Direcciones. Si el servidor se configura como agente de reenvo de BOOTP, la ventana no incluir ninguna ficha.
4
Para detener el Administrador de DHCP, elija Exit en el men File. Se cerrar la ventana del Administrador de DHCP.
Edite el archivo /etc/user_attr para agregar una entrada con el siguiente formato. Agregue una entrada para cada usuario o rol que deba administrar el servicio DHCP.
username::::type=normal;profiles=DHCP Management
Por ejemplo, para el usuario ram, debe agregar la siguiente entrada: ram::::type=normal;profiles=DHCP Management
Los comandos para iniciar, detener y reiniciar afectan al daemon slo para la sesin actual. Por ejemplo, si detiene el servicio DHCP, el daemon finaliza pero se reinicia al rearrancar el sistema. La detencin del servicio no afecta a las tablas de datos DHCP. Puede utilizar los comandos del Administrador de DHCP o SMF para iniciar y detener temporalmente el servicio DHCP sin habilitar ni inhabilitar el servicio. Los comandos para activar y desactivar afectan al daemon para la sesin actual y para futuras sesiones. Si inhabilita el servicio DHCP, el daemon que est en ejecucin finaliza y no se inicia al rearrancar el servidor. Debe habilitar el daemon de DHCP para que se inicie automticamente al arrancar el sistema. Las tablas de datos de DHCP no se ven afectadas. Puede utilizar el Administrador de DHCP, el comando dhcpconfig o los comandos SMF para habilitar e inhabilitar el servicio DHCP. El comando unconfigure cierra el daemon, impide que el daemon se inicie al arrancar el sistema y permite eliminar las tablas de datos de DHCP. Puede utilizar el Administrador de DHCP o el comando dhcpconfig para desconfigurar el servicio DHCP. La desconfiguracin se describe en el Captulo 14, Configuracin del servicio DHCP (tareas) .
Nota Si un servidor tiene varias interfaces de red pero no desea proporcionar servicios DHCP
en todas las redes, consulte Especificacin de interfaces de redes para la supervisin de DHCP en la pgina 383. Los siguientes procedimientos le ayudarn a iniciar, detener, habilitar e inhabilitar el servicio DHCP.
366 Gua de administracin del sistema: servicios IP Octubre de 2009
1 2
Elija Start en el men Service para iniciar el servicio DHCP. Elija Stop en el men Service para detener el servicio DHCP. El daemon de DHCP se detiene hasta que se reinicia o se rearranca el sistema.
Elija Restart en el men Service para detener y reiniciar inmediatamente el servicio DHCP.
Elija Enable en el men Service para configurar el daemon DHCP para el inicio automtico cuando se arranque el sistema. El servicio DHCP se inicia automticamente cuando se habilita.
Elija Disable en el men Service para evitar que el daemon DHCP se inicie automticamente cuando se arranque el sistema. El servicio DHCP se detiene inmediatamente cuando est inhabilitado.
367
Convirtase en superusuario o asuma un rol o nombre de usuario asignado al perfil de administracin de DHCP. Para obtener ms informacin acerca del perfil de administracin de DHCP, consulte Configuracin del acceso de usuario a los comandos de DHCP en la pgina 365. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
dhcpconfig -S -e
dhcpconfig -S -d
368
(Continuacin)
Ninguna
dhcpconfig -S -r
Habilita o inhabilita el registro, y selecciona una utilidad syslog para utilizar para el registro de transacciones DHCP.
Cmo generar mensajes de registro DHCP detallados (Administrador de DHCP) en la pgina 373 Cmo generar mensajes de registro DHCP detallados (lnea de comandos) en la pgina 373 Cmo habilitar e inhabilitar el registro de transacciones DHCP (Administrador de DHCP) en la pgina 374 Cmo habilitar e inhabilitar el registro de transacciones DHCP (lnea de comandos) en la pgina 375 Cmo registrar transacciones DHCP en un archivo syslog independiente en la pgina 375
369
Tarea
Descripcin
Habilita o inhabilita la funcin del Cmo activar la actualizacin de DNS dinmica para servidor de agregar entradas de DNS los clientes DHCP en la pgina 377 dinmicamente para los clientes que proporcionan un nombre de host. Determina el tiempo mximo que debe dedicar el servidor a intentar actualizar el DNS. Habilita o inhabilita la posibilidad del servidor DHCP de determinar si una direccin IP no est siendo utilizada antes de ofrecer la direccin a un cliente. Cmo personalizar las opciones de rendimiento DHCP (Administrador de DHCP) en la pgina 380 Cmo personalizar las opciones de rendimiento DHCP (lnea de comandos) en la pgina 381 Cmo personalizar las opciones de rendimiento DHCP (Administrador de DHCP) en la pgina 380 Cmo personalizar las opciones de rendimiento DHCP (lnea de comandos) en la pgina 381 Cmo personalizar las opciones de rendimiento DHCP (Administrador de DHCP) en la pgina 380 Cmo personalizar las opciones de rendimiento DHCP (lnea de comandos) en la pgina 381 Cmo personalizar las opciones de rendimiento DHCP (Administrador de DHCP) en la pgina 380 Cmo personalizar las opciones de rendimiento DHCP (lnea de comandos) en la pgina 381
Cambiar las opciones para la lectura Habilita o inhabilita la lectura de informacin de configuracin del automtica de dhcptab a intervalos servidor DHCP. concretos, o cambia el intervalo entre lecturas. Cambiar el nmero de saltos del agente de reenvo. Aumenta o disminuye el nmero de redes que puede atravesar una solicitud antes de que el daemon DHCP la coloque. Aumenta o disminuye la cantidad de segundos durante los que el servicio DHCP reserva una direccin IP ofrecida antes de ofrecerla a un nuevo cliente.
La figura siguiente muestra el cuadro de dilogo Modify Service Options del Administrador de DHCP.
370
FIGURA 153
Mensajes de error, que indican las condiciones que impiden al servicio DHCP cumplir los requisitos de un cliente o usuario. Advertencias y avisos, que indican condiciones anmalas pero no impiden que el servicio DHCP cumpla una solicitud.
Puede aumentar la cantidad de informacin que se registra utilizando la opcin detallada del daemon DHCP. El resultado del mensaje detallado puede ayudarle a resolver problemas relativos a DHCP. Consulte Cmo generar mensajes de registro DHCP detallados (Administrador de DHCP) en la pgina 373.
371
Otra tcnica de resolucin de problemas til es el registro de transacciones. Las transacciones proporcionan informacin sobre cualquier intercambio entre un servidor DHCP y reenvo de BOOTP y los clientes. Las transacciones DHCP incluyen los siguientes tipos de mensajes:
ASSIGN: asignacin de direccin IP ACK: el servidor reconoce que el cliente acepta la direccin IP ofrecida, y enva los parmetros de configuracin EXTEND: ampliacin del permiso RELEASE: liberacin de direccin IP DECLINE: el cliente rechaza la asignacin de direccin INFORM: el cliente solicita parmetros de configuracin de red pero no una direccin IP NAK: el servidor no reconoce la solicitud de un cliente para utilizar una direccin IP utilizada previamente ICMP_ECHO: el servidor detecta que la direccin IP potencial est siendo utilizada por otro host
RELAY-CLNT: el mensaje se reenva del cliente DHCP a un servidor DHCP RELAYSRVR: el mensaje se reenva del servidor DHCP al cliente DHCP
El registro de transacciones DHCP est inhabilitado de modo predeterminado. Si est activado, el registro de transacciones DHCP utiliza la utilidad local0 de syslog de modo predeterminado. Los mensajes de transacciones DHCP se generan con un nivel de gravedad de syslog de notice. Este nivel de seguridad hace que las transacciones DHCP se registren en el archivo en el que se registran otros avisos del sistema. Sin embargo, dado que se utiliza la utilidad local, los mensajes de transacciones DHCP se pueden registrar por separado de otros avisos. Para registrar los mensajes de transacciones por separado, debe editar el archivo syslog.conf para especificar un archivo de registro distinto. Consulte la pgina de comando man syslog.conf(4) para obtener ms informacin sobre el archivo syslog.conf. Puede habilitar o inhabilitar el registro de transacciones, y especificar una utilidad syslog diferente, desde local0 hasta local7, tal como se describe en Cmo habilitar e inhabilitar el registro de transacciones DHCP (Administrador de DHCP) en la pgina 374. En el archivo syslog.conf del sistema del servidor, tambin puede indicar a syslogd que almacene los mensajes de transacciones DHCP en un archivo separado. Consulte Cmo registrar transacciones DHCP en un archivo syslog independiente en la pgina 375 para obtener ms informacin.
372
2 3
Seleccione Verbose Log Messages. Seleccione Restart Server. La opcin Restart Server se encuentra en la parte inferior del cuadro de dilogo. Haga clic en Aceptar. El daemon se ejecuta en modo detallado para esta sesin y cada sesin subsiguiente hasta que se restablece esta opcin. El modo detallado puede reducir la eficacia del daemon debido al tiempo que necesita para mostrar los mensajes.
La prxima vez que se inicie el servidor DHCP, se ejecutar en modo detallado hasta que se desactive dicho modo. Para desactivar el modo detallado, escriba el comando siguiente:
# /usr/sbin/dhcpconfig -P VERBOSE=
Captulo 15 Administracin de DHCP (tareas) 373
Este comando configura la palabra clave VERBOSE con ningn valor, lo que hace que se elimine la palabra clave del archivo de configuracin del servidor. El modo detallado puede reducir la eficacia del daemon debido al tiempo que necesita para mostrar los mensajes.
En el Administrador de DHCP, elija Modify en el men Service. Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 364 para obtener informacin sobre el Administrador de DHCP.
Seleccione Log Transactions to Syslog Facility. Para inhabilitar el registro de transacciones, anule la seleccin de esta opcin.
(Opcional) Seleccione una utilidad local de 0 a 7 para utilizar para el registro de transacciones DHCP. De modo predeterminado, las transacciones DHCP se registran en la ubicacin en la que se registran los avisos del sistema, que depende de la configuracin de syslogd. Si desea que las transacciones DHCP se registren en un archivo independiente de los dems avisos, del sistema, consulte Cmo registrar transacciones DHCP en un archivo syslog independiente en la pgina 375. El tamao de los archivos de mensajes puede aumentar rpidamente cuando est activado el registro de transacciones.
4 5
Seleccione Restart Server. Haga clic en Aceptar. El daemon registra las transacciones en la utilidad syslog seleccionada para esta sesin y cada sesin subsiguiente hasta que se inhabilita el registro.
374
syslog-local-facility es un nmero del 0 al 7. Si omite esta opcin, se utilizar 0. De modo predeterminado, las transacciones DHCP se registran en la ubicacin en la que se registran los avisos del sistema, que depende de la configuracin de syslogd. Si desea que las transacciones DHCP se registren en un archivo independiente de los dems avisos, del sistema, consulte Cmo registrar transacciones DHCP en un archivo syslog independiente en la pgina 375. El tamao de los archivos de mensajes puede aumentar rpidamente cuando est activado el registro de transacciones.
Edite el archivo /etc/syslog.conf en el sistema servidor para agregar una lnea con el formato siguiente:
localn.notice path-to-logfile
n es el nmero de utilidad de syslog especificado para el registro de transacciones, y ruta_archivo_registro es la ruta completa al archivo que se utilizar para registrar transacciones. Por ejemplo, puede agregar la lnea siguiente: local0.notice /var/log/dhcpsrvc Consulte la pgina de comando man syslog.conf(4) para obtener ms informacin sobre el archivo syslog.conf.
Habilitacin de las actualizaciones DNS dinmicas por parte del servidor DHCP
DNS proporciona servicios de nombre a direccin y de direccin a nombre para Internet. Una vez realizada una asignacin DNS, se puede alcanzar un sistema mediante su nombre de host o direccin IP. El sistema tambin se puede alcanzar desde fuera de su dominio. El servicio DHCP puede utilizar DNS de dos modos:
El servidor DHCP puede buscar el nombre de host asignado a una direccin IP que el servidor asigna al cliente. A continuacin, el servidor devuelve el nombre de host del cliente junto con el resto de informacin de configuracin del cliente. El servidor DHCP puede intentar realizar una asignacin de DNS en nombre de un cliente, si el servidor DHCP est configurado para actualizar DNS. El cliente puede proporcionar su propio nombre de host al solicitar el servicio DHCP. Si el servidor DHCP se configura para realizar actualizaciones de DNS, intenta actualizar el servidor DNS con el nombre de host sugerido del cliente. Si la actualizacin del DNS se realiza correctamente, el servidor DHCP devuelve el nombre de host solicitado al cliente. Si la actualizacin de DNS no se lleva a cabo correctamente, el servidor DHCP devuelve un nombre de host distinto al cliente.
Puede configurar el servicio DHCP para que actualice el servicio DNS para los clientes DHCP que proporcionen sus propios nombres de host. Para que funcione la actualizacin de DNS, el servidor DNS, el servidor DHCP y el cliente DHCP deben estar configurados correctamente. Asimismo, el nombre de host solicitado no debe estar en uso por otro sistema del dominio. La funcin de actualizacin de DNS del servidor DHCP funciona si se cumplen las siguientes condiciones:
El servidor DNS es compatible con RFC 2136. El software DNS se basa en BIND v8.2.2, parche 5 o posterior, tanto si se encuentra en el sistema servidor DHCP como en el sistema servidor DNS.
376
El servidor DNS se configura para aceptar las actualizaciones de DNS dinmicas del servidor DHCP. El servidor DHCP se configura para llevar a cabo actualizaciones de DNS dinmicas. La compatibilidad con DNS se configura para la red del cliente DHCP en el servidor DHCP. El cliente DHCP se configura para proporcionar un nombre de host solicitado en su mensaje de solicitud de DHCP. El nombre de host solicitado corresponde a una direccin que pertenece a DHCP. El nombre de host podra no tener ninguna direccin correspondiente.
De modo predeterminado, el daemon DNS de Solaris (in.named) no permite las actualizaciones dinmicas. La autorizacin para las actualizaciones de DNS dinmicas se concede en el archivo de configuracin named.conf del sistema de servidor de DNS. No se proporciona ninguna seguridad adicional. Debe considerar detenidamente la conveniencia de esta utilidad para los usuarios teniendo en cuenta el riesgo que plantea la habilitacin de actualizaciones de DNS dinmicas.
1 2 3
En el servidor DNS, edite el archivo /etc/named.conf como superusuario. Busque la seccin zone para el dominio adecuado en el archivo named.conf. Agregue las direcciones IP del servidor DHCP a la palabra clave allow-update. Si la palabra clave allow-update no existe, insrtela. Por ejemplo, si el servidor DHCP se encuentra en las direcciones 10.0.0.1 y 10.0.0.2, el archivo named.conf de la zona dhcp.domain.com debe modificarse del siguiente modo:
zone "dhcp.domain.com" in { type master; file "db.dhcp"; allow-update { 10.0.0.1; 10.0.0.2; }; }; zone "10.IN-ADDR.ARPA" in { type master; file "db.10"; allow-update { 10.0.0.1; 10.0.0.2; }; };
Captulo 15 Administracin de DHCP (tareas) 377
Tenga en cuenta que allow-update para ambas zonas debe estar habilitado para permitir al servidor DHCP actualizar tanto los registros A como PTR en el servidor DNS.
4
Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 364 para obtener informacin ms detallada.
5
Elija Modify en el men Service. Se abrir el cuadro de dilogo Modify Service Options. Seleccione Update DNS Host Information Upon Client Request. Especifique el nmero de segundos que debe esperar una respuesta del servidor DNS antes de desconectar y haga clic en OK. El valor predeterminado de 15 segundos debe ser suficiente. Si tiene problemas con el tiempo de espera, puede aumentar el valor ms adelante. Haga clic en la ficha Macros y asegrese de especificar el dominio DNS correcto. La opcin DNSdmain debe transferirse con el nombre de dominio correcto a cualquier cliente que requiera asistencia dinmica para la actualizacin de DNS. De modo predeterminado, DNSdmain se especifica en la macro del servidor, que se utiliza como la macro de configuracin vinculada a cada direccin IP. Configure el cliente DHCP para especificar su nombre de host cuando solicite el servicio DHCP. Si utiliza el cliente Solaris DHCP, consulte Cmo activar un cliente DHCPv4 de Solaris para que solicite un nombre de host especfico en la pgina 459. Si su cliente no es un cliente Solaris DHCP, consulte la documentacin de su cliente DHCP para obtener informacin sobre cmo especificar un nombre de host.
6 7
378
Si un cliente DHCP proporciona su nombre de host y el servidor DNS est configurado para permitir las actualizaciones dinmicas del servidor DHCP, el servidor DHCP puede actualizar DNS en nombre del cliente. Las actualizaciones dinmicas se pueden realizar aunque los servidores de DNS y DHCP se ejecuten en distintos sistemas. Consulte Habilitacin de las actualizaciones DNS dinmicas por parte del servidor DHCP en la pgina 376 para obtener ms informacin sobre la habilitacin de esta funcin. La tabla siguiente resume el registro de nombres de host de cliente para los sistemas de cliente DHCP con los distintos servicios de nombres.
TABLA 152
Servicio de nombres
Herramientas de DHCP, si el servidor Servidor DHCP, si se configura para las DNS se ejecuta en el mismo sistema que el actualizaciones de DNS dinmicas servidor DHCP Administrador de DNS, si el servidor Administrador de DNS, si el servidor DHCP no est configurado para las DNS se ejecuta en un sistema diferente actualizaciones de DNS dinmicas
Los clientes Solaris DHCP pueden solicitar nombres de host especficos en las solicitudes DHCP si estn configurados para hacerlo de acuerdo con lo descrito en Cmo activar un cliente DHCPv4 de Solaris para que solicite un nombre de host especfico en la pgina 459. Consulte la documentacin del proveedor para los dems clientes DHCP con el fin de averiguar si se admite esta posibilidad.
379
TABLA 153
Opcin de servidor
Nmero mximo de saltos de Si una solicitud ha pasado por ms de un nmero especfico de RELAY_HOPS=entero agentes de reenvo BOOTP agentes de reenvo BOOTP, la solicitud se soltar. El nmero mximo predeterminado de saltos de agentes de reenvo es cuatro. Este nmero normalmente es suficiente para la mayora de las redes. Es posible que una red necesite ms de cuatro saltos si las solicitudes DHCP pasan por varios agentes de reenvo BOOTP antes de alcanzar un servidor DHCP. Detectar direcciones duplicadas De modo predeterminado, el servidor establece una conexin ping con una direccin IP antes de ofrecer la direccin a un cliente. Si no hay respuesta para la conexin ping, se verifica que la direccin no est en uso. Puede inhabilitar esta funcin para reducir el tiempo que necesita el servidor para realizar una oferta. Sin embargo, al inhabilitar la funcin existe el riesgo de utilizar direcciones IP duplicadas. ICMP_VERIFY=TRUE/FALSE
RESCAN_INTERVAL=min El servidor se puede configurar para leer automticamente dhcptab en el intervalo especificado en minutos. Si la informacin de configuracin de red no cambia con frecuencia y no tiene mltiples servidores DHCP, no es necesario volver a cargar dhcptab automticamente. Asimismo, el Administrador de DHCP ofrece la opcin de que el servidor vuelva a cargar dhcptab tras haber realizado cambios en los datos. Despus de que un servidor ofrezca una direccin IP a un OFFER_CACHE_TIMEOUT=seg cliente, la oferta se almacena en la memoria cach. Mientras la oferta se encuentre en la memoria cach, el servidor no volver a ofrecer la direccin. Puede cambiar el nmero de segundos durante el que se almacena la oferta en la memoria cach. El valor predeterminado es de 10 segundos. En redes ms lentas, es posible que tenga que aumentar el tiempo de oferta.
380
Cambie las opciones que desee. Para obtener informacin sobre las opciones, consulte la Tabla 153.
3 4
Convirtase en superusuario o asuma un rol o nombre de usuario asignado al perfil de administracin de DHCP. Para obtener ms informacin acerca del perfil de administracin de DHCP, consulte Configuracin del acceso de usuario a los comandos de DHCP en la pgina 365. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
palabra_clave=valor puede ser cualquiera de las siguientes palabras clave: RELAY_HOPS=entero Especifica el nmero mximo de saltos de agentes de reenvo que puede tener lugar antes de que el daemon suelte el datagrama DHCP o BOOTP. Habilita o inhabilita la deteccin automtica de direcciones IP duplicadas. No se recomienda configurar esta palabra clave como FALSE. Especifica el intervalo en minutos que el servidor DHCP debe utilizar para planificar la relectura automtica de la informacin de dhcptab. Especifica la cantidad de segundos que el servidor DHCP debe almacenar en cach las ofertas que se extienden al descubrimiento de clientes DHCP. El valor predeterminado es de 10 segundos.
ICMP_VERIFY=TRUE/FALSE
RESCAN_INTERVAL=minutos
OFFER_CACHE_TIMEOUT=segundos
381
Ejemplo 151
Activar o desactivar el servicio El comportamiento predeterminado es Cmo especificar interfaces de red para la DHCP en las interfaces de red supervisar todas las interfaces de red para las supervisin de DHCP (Administrador de DHCP) del servidor solicitudes DHCP. Si no desea que todas las en la pgina 384 interfaces acepten solicitudes DHCP, puede eliminar una interfaz de la lista de interfaces supervisadas. Agregar una nueva red al servicio DHCP. Coloca una red en la administracin de Como agregar una red DHCP (Administrador de DHCP para administrar las direcciones IP de DHCP) en la pgina 386 la red. Cmo agregar una red DHCP (dhcpconfig) en la pgina 387 Modifica la informacin que se pasa a los clientes de una red especfica. Cmo modificar la configuracin de una red DHCP (Administrador de DHCP) en la pgina 388 Cmo modificar la configuracin de una red DHCP (dhtadm) en la pgina 389 Eliminar una red del servicio DHCP. Elimina una red para que DHCP deje de administrar las direcciones IP de la red. Cmo eliminar una red DHCP (Administrador de DHCP) en la pgina 391 Cmo eliminar una red DHCP (pntadm) en la pgina 391
382
FIGURA 154
Ficha Interfaces del cuadro de dilogo Modify Service Options del Administrador de DHCP
383
2 3 4
Seleccione la ficha Interfaces. Seleccione la interfaz de red adecuada. Haga clic en los botones de flechas para mover la interfaz a la lista adecuada. Por ejemplo, para omitir una interfaz, seleccinela en la lista Monitored Interfaces y, a continuacin, haga clic en el botn de flecha derecha. La interfaz se muestra en la lista Ignored Interfaces. Seleccione Restart Server y haga clic en Aceptar. Los cambios que realice persistirn tras los rearranques.
int, int,... es una lista de interfaces que supervisar. Los nombres de interfaz deben separarse con comas. Por ejemplo, debe utilizar el siguiente comando para supervisar slo ge0 y ge1:
#/usr/sbin/dhcpconfig -P INTERFACES=ge0,ge1
384 Gua de administracin del sistema: servicios IP Octubre de 2009
Las interfaces que desea omitir deben omitirse de la lnea de comandos dhcpconfig. Los cambios realizados con este comando persistirn tras los rearranques.
FIGURA 155
385
Al configurar una nueva red, el Administrador de DHCP crea los componentes siguientes:
Una tabla de red en el almacn de datos. La nueva red se muestra en la lista de red de la ficha Addresses del Administrador de DHCP. Una macro de red que contiene la informacin que necesitan los clientes que residen en esta red. El nombre de la macro de red coincide con la direccin IP de la red. La macro de red se agrega a la tabla dhcptab del almacn de datos.
2 3
Elija Network Wizard en el men Edit. Seleccione las opciones o escriba la informacin necesaria. Utilice las decisiones que tom durante la fase de planificacin para determinar la informacin que se debe especificar. La planificacin se describe en Planificacin de la configuracin DHCP de las redes remotas en la pgina 346. Si tiene problemas con el uso del asistente, haga clic en Help en la ventana del asistente. El navegador Web muestra ayuda para el asistente Network Wizard de DHCP.
Haga clic en Finish para completar la configuracin de la red cuando haya terminado de especificar la informacin solicitada. El asistente Network Wizard crea una tabla de red vaca, que aparece en el panel izquierdo de la ventana. El asistente Network Wizard tambin crea una macro de red cuyo nombre coincide con la direccin IP de la red.
(Opcional) Seleccione la ficha Macros y la macro de red para visualizar el contenido de la macro. Puede confirmar que la informacin proporcionada en el asistente se ha insertado como valores para las opciones de la macro de red.
Vase tambin
Debe agregar direcciones para la red para poder administrar las direcciones IP de la red en DHCP. Consulte Cmo agregar direcciones IP al servicio DHCP en la pgina 399 para obtener ms informacin.
Gua de administracin del sistema: servicios IP Octubre de 2009
386
Si deja vaca la tabla de red, el servidor DHCP puede seguir proporcionando informacin de configuracin a los clientes. Consulte Configuracin de clientes DHCP slo para recibir informacin (mapa de tareas) en la pgina 434 para obtener ms informacin.
direccin_red es la direccin IP de la red que desea agregar al servicio DHCP. Consulte la pgina del comando man dhcpconfig(1M) para conocer las subopciones que puede utilizar con la opcin -N. Si no utiliza las subopciones, dhcpconfig utiliza los archivos de red para obtener informacin sobre la red.
Vase tambin
Debe agregar direcciones para la red para poder administrar las direcciones IP de la red en DHCP. Consulte Cmo agregar direcciones IP al servicio DHCP en la pgina 399 para obtener ms informacin. Si deja vaca la tabla de red, el servidor DHCP puede seguir proporcionando informacin de configuracin a los clientes. Consulte Configuracin de clientes DHCP slo para recibir informacin (mapa de tareas) en la pgina 434 para obtener ms informacin.
387
FIGURA 156
Seleccione la macro de red cuyo nombre coincida con la configuracin de red que est modificando. El nombre de la macro de red es la direccin IP de red.
Elija Properties en el men Edit. El cuadro de dilogo Macro Properties muestra una tabla con las opciones que incluye la macro.
Seleccione la opcin que desea modificar. El nombre de opcin y su valor se muestran en los campos de texto en la parte superior del cuadro de dilogo.
388
(Opcional) Modifique el nombre de opcin o elija el botn Select para mostrar una lista con los nombres de opciones. El cuadro de dilogo Select Option incluye una lista de todas las opciones estndar de DHCP y una breve descripcin de cada opcin. (Opcional) Seleccione un nombre de opcin en el cuadro de dilogo Select Option y haga clic en OK. El nuevo nombre de opcin se muestra en el campo Option Name. Escriba el nuevo valor para la opcin y haga clic en Modify. (Opcional) Tambin puede agregar opciones a la macro de red network eligiendo Select en el cuadro de dilogo. Consulte Modificacin de macros DHCP en la pgina 414 para obtener ms informacin general acerca de la modificacin de macros. Seleccione Notify DHCP Server of Change y haga clic en OK. Esta seleccin indica al servidor DHCP que debe volver a leer la tabla dhcptab para aplicar el cambio inmediatamente despus de hacer clic en OK.
7 8
Determine qu macro incluye informacin para todos los clientes de la red. El nombre de la macro de red coincide con la direccin IP de la red. Si no sabe qu macro incluye esta informacin, puede visualizar la tabla dhcptab para ver todas las macros utilizando el comando dhtadm -P.
Escriba un comando con el formato siguiente para cambiar el valor de la opcin que desee cambiar:
# dhtadm -M -m macro-name -e symbol=value -g
Captulo 15 Administracin de DHCP (tareas) 389
Consulte la pgina del comando man dhtadm(1M) para obtener informacin sobre las opciones de lnea de comandos dhtadm.
Ejemplo 152
FIGURA 157
El comando pntadm requiere la eliminacin de cada entrada de direccin IP de una red antes de eliminar dicha red. No puede eliminar ms de una red a la vez.
390
Elija Delete Networks en el men Edit. Se abrir el cuadro de dilogo Delete Networks.
En la lista Keep Networks, seleccione las redes que desee eliminar. Pulse la tecla Control mientras hace clic con el ratn para seleccionar varias redes. Pulse la tecla Mays mientras hace clic para seleccionar un rango de redes.
Haga clic en el botn de flecha derecha para mover las redes seleccionadas a la lista Delete Networks. Si desea eliminar las entradas de tabla host para estas direcciones DHCP de la red, seleccione Delete Host Table Entries. Tenga en cuenta que al eliminar las entradas de tabla host no se eliminan los registros host del servidor DNS para estas direcciones. Las entradas slo se eliminan en el servicio de nombres local.
Convirtase en superusuario o asuma un rol o nombre de usuario asignado al perfil de administracin de DHCP. Para obtener ms informacin acerca del perfil de administracin de DHCP, consulte Configuracin del acceso de usuario a los comandos de DHCP en la pgina 365. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Captulo 15 Administracin de DHCP (tareas) 391
Escriba un comando con el siguiente formato para eliminar una direccin IP y su nombre de host del servicio de nombres:
# pntadm -D -y IP-address
Por ejemplo, para eliminar la direccin IP 10.25.52.1, debe escribir el comando siguiente: # pntadm -D -y 10.25.52.1 La opcin -y especifica que se debe eliminar el nombre de host.
3
Repita el comando pntadm -D -y para cada direccin de la red. Puede crear una secuencia para ejecutar el comando pntadm si necesita borrar mltiples direcciones.
Una vez eliminadas todas las direcciones, escriba el comando siguiente para eliminar la red del servicio DHCP.
# pntadm -R network-IP-address
Por ejemplo, para eliminar la red 10.25.52.0, debe escribir el comando siguiente: # pntadm -R 10.25.52.0 Consulte la pgina del comando man pntadm(1M) para obtener ms informacin sobre la utilidad pntadm.
El siguiente mapa de tareas enumera las tareas que puede necesitar llevar a cabo para conseguir la compatibilidad con los clientes BOOTP. El mapa de tareas contiene vnculos a los procedimientos que se utilizan para llevar a cabo las tareas.
392
Tarea
Descripcin
Configurar compatibilidad automtica con Proporciona la direccin IP para cualquier BOOTP. cliente BOOTP de una red administrada por DHCP, o en una red conectada mediante un agente de reenvo a una red administrada por DHCP. Debe reservar una agrupacin de direcciones para uso exclusivo de los clientes BOOTP. Esta opcin podra ser ms til si el servidor debe admitir una gran cantidad de clientes BOOTP. Configurar compatibilidad manual con BOOTP.
Cmo configurar la compatibilidad de cualquier cliente BOOTP (Administrador de DHCP) en la pgina 393
Proporciona una direccin IP slo para los Cmo configurar la compatibilidad de los clientes BOOTP que se han registrado clientes BOOTP registrados manualmente con el servicio DHCP. (Administrador de DHCP) en la pgina 394 Esta opcin hace preciso vincular el ID de un cliente a una direccin IP especfica que se ha marcado para los clientes BOOTP. Esta opcin resulta til para un nmero reducido de clientes BOOTP o cuando se desea limitar la cantidad de clientes BOOTP que pueden utilizar el servidor DHCP.
2 3 4 5
En la seccin BOOTP Compatibility del cuadro de dilogo, seleccione Automatic. Seleccione Restart Server y haga clic en Aceptar. Seleccione la ficha Addresses. Seleccione las direcciones que desee reservar para los clientes BOOTP. Seleccione un rango de direcciones haciendo clic en la primera direccin, pulsando la tecla Mays y haciendo clic en la ltima direccin. Seleccione varias direcciones no simultneas pulsando la tecla Control mientras hace clic en cada direccin.
Captulo 15 Administracin de DHCP (tareas) 393
Seleccione Properties en el men Edit. Se abrir el cuadro de dilogo Modify Multiple Addresses.
En la seccin BOOTP, seleccione Assign All Addresses Only to BOOTP Clients. Las opciones restantes se deben configurar como Keep Current Settings.
Haga clic en Aceptar. Ahora cualquier cliente BOOTP podr obtener una direccin de este servidor DHCP.
2 3 4 5 6
En la seccin BOOTP Compatibility del cuadro de dilogo, seleccione Manual. Seleccione Restart Server y haga clic en Aceptar. Seleccione la ficha Addresses. Seleccione una direccin que desee asignar a un cliente BOOTP concreto. Elija Properties en el men Edit. Se abrir el cuadro de dilogo Address Properties.
7 8
En el cuadro de dilogo Address Properties, seleccione la ficha Lease. En el campo Client ID, escriba el identificador del cliente. Para un cliente de Solaris BOOTP de una red Ethernet, el ID de cliente es una cadena que se obtiene de la direccin Ethernet hexadecimal del cliente. El ID de cliente incluye un prefijo que indica el tipo de protocolo de resolucin de direcciones (ARP) para Ethernet (01). Por ejemplo, un cliente BOOTP con la direccin Ethernet 8:0:20:94:12:1e utilizara el ID de cliente 0108002094121E .
394
Consejo Como superusuario de un sistema cliente de Solaris, escriba el comando siguiente para obtener la direccin Ethernet para la interfaz:
# ifconfig -a
9 10
Seleccione Reserved para reservar la direccin IP para este cliente. Seleccione Assign Only to BOOTP Clients y haga clic en OK. En la ficha Addresses, BOOTP se muestra en el campo Status y el ID de cliente especificado aparece en el campo Client ID.
El siguiente mapa de tareas enumera las tareas que se deben llevar a cabo para agregar, modificar o eliminar direcciones IP. El mapa de tareas tambin contiene vnculos a los procedimientos utilizados para llevar a cabo las tareas.
395
Tarea
Descripcin
Agrega direcciones IP en las redes que ya administra el servicio DHCP utilizando el Administrador de DHCP.
Cmo agregar una nica direccin IP (Administrador de DHCP) en la pgina 401 Cmo duplicar una direccin IP existente (Administrador de DHCP) en la pgina 402 Cmo agregar varias direcciones IP (Administrador de DHCP) en la pgina 402 Cmo agregar direcciones IP (pntadm ) en la pgina 403
Cmo modificar las propiedades de direcciones IP (Administrador de DHCP) en la pgina 405 Cmo modificar las propiedades de direcciones IP (pntadm) en la pgina 405
Eliminar direcciones IP del servicio DHCP. Evita que DHCP utilice las direcciones IP especificadas.
Cmo marcar direcciones IP como no utilizables (Administrador de DHCP) en la pgina 406 Cmo marcar direcciones IP como inutilizables (pntadm) en la pgina 407 Cmo eliminar direcciones IP del servicio DHCP (Administrador de DHCP) en la pgina 408 Cmo eliminar direcciones IP del servicio DHCP (pntadm) en la pgina 409
Configura un cliente para recibir la misma direccin IP cada vez que el cliente solicita su configuracin.
Cmo asignar una direccin IP coherente a un cliente DHCP (Administrador de DHCP) en la pgina 410 Cmo asignar una direccin IP coherente a un cliente DHCP (pntadm) en la pgina 411
396
Propiedades de direcciones IP
Descripcin Cmo especificar en el comando pntadm
Direccin de red
La direccin de la red que contiene la direccin IP con la que se est trabajando. La direccin de red se muestra en la lista Networks de la ficha Addresses del Administrador de DHCP.
La direccin de red debe ser el ltimo argumento de la lnea de comandos pntadm que se ha utilizado para crear, modificar o eliminar una direccin IP. Por ejemplo, para agregar una direccin IP a la red 10.21.0.0, escriba: pntadm -A opciones direccin_IP 10.21.0.0
Direccin IP
La direccin con la que trabaja, tanto si est creando, modificando o eliminando la direccin. La direccin IP se muestra en la primera columna de la ficha Addresses del Administrador de DHCP.
La direccin IP debe acompaar a las opciones -A, -M y -D del comando pntadm. Por ejemplo, para modificar la direccin IP 10.21.5.12, escriba: pntadm -M 10.21.5.12 opciones 10.21.0.0 Especifique el nombre de cliente con la opcin -h. Por ejemplo, para especificar el nombre de cliente carrot12 para 10.21.5.12, escriba: pntadm -M 10.21.5.12 -h carrot12 10.21.0.0
El nombre de host asignado a la direccin IP de la tabla de hosts. El Administrador de DHCP puede generar automticamente este nombre cuando se crean las direcciones. Si crea una sola direccin, puede facilitar el nombre.
Propiedad de un servidor
El servidor DHCP que administra la direccin Especifique el nombre de servidor propietario con la opcin -s. IP y responde a la solicitud del cliente DHCP Por ejemplo, para especificar el servidor blue2 para que sea de una asignacin de direccin IP. propietario de 10.21.5.12 , escriba: pntadm -M 10.21.5.12 -s blue2 10.21.0.0
Macro de configuracin
La macro que utiliza el servidor DHCP para obtener las opciones de configuracin de red de la tabla dhcptab. Cuando se configura un servidor y se agregan redes se crean automticamente varias macros. Consulte Macros DHCP en la pgina 329 si desea ms informacin sobre las macros. Cuando se crean direcciones, tambin se crea una macro de servidor. La macro de servidor se asigna como macro de configuracin para cada direccin.
Especifique el nombre de macro con la opcin -m. Por ejemplo, para asignar la macro de servidor blue2 a la direccin 10.21.5.12, escriba: pntadm -M 10.21.5.12 -m blue2 10.21.0.0
397
Propiedades de direcciones IP
Descripcin
(Continuacin)
Cmo especificar en el comando pntadm
Id. de cliente
Cadena de texto que es exclusiva en el servicio Especifique el ID de cliente con la opcin -i. DHCP. Por ejemplo, para asignar el ID de cliente 08002094121E a la Si el ID de cliente aparece como 00, la direccin 10.21.5.12, escriba: direccin no est asignada a ningn cliente. Si pntadm -M 10.21.5.12 -i 0108002094121E 10.21.0.0 especifica un ID de cliente al modificar las propiedades de una direccin IP, la direccin est vinculada exclusivamente a ese cliente. El fabricante del cliente DHCP determina el ID del cliente. Si el cliente no es un cliente Solaris DHCP, consulte la documentacin del cliente DHCP para obtener ms informacin. Para los clientes Solaris DHCP, el ID de cliente se obtiene de la direccin de hardware hexadecimal del cliente. El ID de cliente incluye un prefijo que representa el cdigo ARP para el tipo de red, como 01 para Ethernet. Los cdigos ARP los asigna la Autoridad de nmeros asignados de Internet (IANA) en la seccin ARP Parameters del estndar Assigned Numbers en http://www.iana.com/numbers.html Por ejemplo, un cliente Solaris con la direccin Ethernet hexadecimal 8:0:20:94:12:1e utiliza el ID de cliente 0108002094121E . El ID de cliente aparece en el Administrador de DHCP y pntadm cuando un cliente esta utilizando una direccin. Sugerencia: Como superusuario de un sistema cliente de Solaris, escriba el comando siguiente para obtener la direccin Ethernet para la interfaz: ifconfig -a
Reservado
Parmetro que especifica que la direccin est reservada exclusivamente para el cliente indicado por el ID de cliente, y que el servidor DHCP no puede solicitar la direccin. Si elige esta opcin, la direccin se asigna manualmente al cliente.
Especifique que la direccin est reservada, o se asigna manualmente, con la opcin -f. Por ejemplo, para especificar que la direccin IP 10.21.5.12 est reservada para un cliente, escriba: pntadm -M 10.21.5.12 -f MANUAL 10.21.0.0
398
Propiedades de direcciones IP
Descripcin
(Continuacin)
Cmo especificar en el comando pntadm
Parmetro que determina el modo en que DHCP administra el uso que hacen los clientes de las direcciones IP. Un permiso puede ser dinmico o permanente. Consulte Tipos de permiso dinmico y permanente en la pgina 344 para obtener una descripcin ms detallada al respecto. La fecha en que caduca el permiso, slo aplicable cuando se especifica un permiso dinmico. La fecha se especifica con el formato mm/dd/aaaa.
Especifique que la direccin est asignada permanentemente con la opcin -f. De modo predeterminado, las direcciones obtienen permisos dinmicamente. Por ejemplo, para especificar que la direccin IP 10.21.5.12 tiene un permiso permanente, escriba: pntadm -M 10.21.5.12 -f PERMANENT 10.21.0.0 Especifique una fecha de caducidad del permiso con la opcin -e. Por ejemplo, para especificar la fecha de caducidad 1 de enero de 2006, debe escribir: pntadm -M 10.21.5.12 -e 01/01/2006 10.21.0.0
Parmetro BOOTP
Parmetro que marca la direccin como reservada para los clientes BOOTP. Consulte Clientes BOOTP con el servicio DHCP (mapa de tareas) en la pgina 392 para obtener ms informacin sobre la compatibilidad con clientes BOOTP. Parmetro que marca la direccin para impedir que se asigne a cualquier cliente.
Reserve una direccin para los clientes BOOTP con la opcin -f. Por ejemplo, para reservar la direccin IP 10.21.5.12 para los clientes BOOTP, debe escribir: pntadm -M 10.21.5.12 -f BOOTP 10.21.0.0 Marque una direccin como inutilizable con la opcin -f. Por ejemplo, para marcar la direccin IP 10.21.5.12 como inutilizable, escriba: pntadm -M 10.21.5.12 -f UNUSABLE 10.21.0.0
Parmetro inutilizable
Agregue una nica direccin IP: coloque una nueva direccin IP en la administracin de DHCP. Duplique una direccin IP existente: copie las propiedades de una direccin IP existente administrada por DHCP y proporciona una direccin IP y un nombre de cliente nuevos. Agregue un rango de mltiples direcciones IP: utilice el asistente Address Wizard para colocar una serie de direcciones IP en la administracin de DHCP.
399
La siguiente figura muestra el cuadro de dilogo Create Address. El cuadro de dilogo Duplicate Address es idntico al cuadro de dilogo Create Address, excepto en que los campos de texto muestran los valores para una direccin existente.
FIGURA 158
La figura siguiente muestra el primer cuadro de dilogo del asistente Add Addresses to Network, que permite agregar un rango de direcciones IP.
400
FIGURA 159
2 3
Seleccione la red en la que se agregar la nueva direccin IP. Elija Crear en el men Editar. Se abrir el cuadro de dilogo Crear direccin.
Seleccione o escriba los valores para los parmetros de direcciones en las fichas Address y Lease. Pulse el botn Help para abrir un explorador web con ayuda para el cuadro de dilogo. Asimismo, consulte la Tabla 154 para obtener informacin detallada sobre los parmetros.
401
2 3 4 5 6
Seleccione la red en la que se encuentra la nueva direccin IP. Seleccione la direccin que tenga las propiedades que desea duplicar. Elija Duplicate en el men Edit. Especifique la nueva direccin IP en el campo IP Address. (Opcional) Especifique un nuevo nombre de cliente para la direccin. No puede utilizar el mismo nombre que utilice la direccin que est duplicando.
(Opcional) Modifique otros valores de opciones, si es preciso. La mayora de las aplicaciones restantes no se modificarn.
2 3
Seleccione la red en la que se agregarn las nuevas direcciones IP. Elija Address Wizard en el men Edit. El cuadro de dilogo Add Addresses to Network solicita que especifique valores para las propiedades de direcciones IP. Consulte la Tabla 154 para obtener ms informacin sobre las propiedades, o pulse el botn Help del cuadro de dilogo. Toma de decisiones para la administracin de direcciones IP (mapa de tareas) en la pgina 341 incluye informacin ms exhaustiva.
402
Haga clic en el botn de flecha derecha cuando finalice cada pantalla, y haga clic en Finish en la ltima pantalla. La ficha Addresses se actualiza con las nuevas direcciones.
Consulte la pgina del comando man pntadm(1M) para ver una lista de las opciones que puede utilizar con pntadm -A. Adems, la Tabla 154 incluye algunos ejemplos de comandos pntadm que especifican opciones.
Nota Puede escribir una secuencia para agregar varias direcciones con pntadm. Consulte el
403
FIGURA 1510
La figura siguiente muestra el cuadro de dilogo Modify Multiple Addresses que se utiliza para modificar mltiples direcciones IP.
FIGURA 1511
404
2 3
Muchas opciones pueden utilizarse con el comando pntadm, que se describe en la pgina del comando man pntadm(1M).
Captulo 15 Administracin de DHCP (tareas) 405
La Tabla 154 incluye algunos ejemplos de comandos pntadm que especifican opciones.
Para impedir temporalmente el uso de direcciones, puede marcarlas como inutilizables en el cuadro de dilogo Address Properties, tal como se describe en Cmo marcar direcciones IP como inutilizables para el servicio DHCP en la pgina 406. Para impedir permanentemente que los clientes DHCP utilicen direcciones, elimine las direcciones de las tablas de red DHCP, tal como se describe en Eliminacin de direcciones IP del servicio DHCP en la pgina 407.
2 3
406
Elija Properties en el men Edit. Se abrir el cuadro de dilogo Address Properties o Modify Multiple Address.
5 6
Si est modificando una direccin, seleccione la ficha Lease. Seleccione Address is Unusable. Si est editando mltiples direcciones, seleccione Mark All Addresses Unusable.
Por ejemplo, para marcar la direccin 10.64.3.3 como inutilizable, escriba: pntadm -M 10.64.3.3 -f UNUSABLE 10.64.3.0
407
FIGURA 1512
2 3
Seleccione la red de la direccin IP. Seleccione una o ms direcciones IP que eliminar. Si desea eliminar ms de una direccin, pulse la tecla Control mientras hace clic para seleccionar varias direcciones. Tambin puede pulsar la tecla Mays mientras hace clic para seleccionar un bloque de direcciones.
Elija Delete en el men Edit. El cuadro de dilogo Delete Address enumera las direcciones que ha seleccionado para que pueda confirmar la eliminacin.
Si desea eliminar los nombres de host de la tabla de hosts, seleccione Delete From Hosts Table. Si el Administrador de DHCP gener los nombres de host, puede eliminar los nombres de la tabla de hosts.
408
Si incluye la opcin -y, el nombre de host se elimina del servicio de nombres que mantiene el nombre de host. Por ejemplo, para eliminar la direccin 10.64.3.3 de la red 10.64.3.0, as como eliminar el nombre de host correspondiente, escriba: pntadm -D 10.64.3.3 -y 10.64.3.0
no es posible controlar el uso de la direccin. Cuando un cliente obtiene un permiso permanente, no vuelve a ponerse en contacto con el servidor. El cliente slo puede obtener informacin de configuracin actualizada liberando la direccin IP y volviendo a iniciar la negociacin del permiso DHCP. Puede utilizar el comando pntadm -M o el cuadro de dilogo Address Properties del Administrador de DHCP para configurar las propiedades de permisos. La figura siguiente muestra la ficha Lease del cuadro de dilogo Address Properties, que se utiliza para modificar el permiso.
FIGURA 1513
2 3
Seleccione la red adecuada. Haga doble clic en la direccin IP que desea que utilice el cliente. Se abrir la ventana Address Properties.
410
En el campo Client ID, escriba el ID de cliente. El ID De cliente se obtiene de la direccin de hardware del cliente. Consulte la entrada Client ID en la Tabla 154 para obtener ms informacin.
6 7
Seleccione la opcin Reserved par impedir que el servidor reclame la direccin IP. En el rea Lease Policy de la ventana, seleccione Dynamic assignment o Permanent assignment. Seleccione Dynamic si desea que el cliente negocio la renovacin de permisos, lo que permite controlar el uso de la direccin. Dado que ha seleccionado Reserved, la direccin no se puede reclamar aunque se asigne un permiso dinmico. No es necesario especificar una fecha de caducidad para este permiso. El servidor DHCP calcula la fecha de caducidad utilizando el tiempo de permiso. Si selecciona Permanent, no puede controlar el uso de la direccin IP a menos que active el registro de transacciones.
Por ejemplo, para activar el cliente Solaris DHCP cuya direccin MAC es 08:00:20:94:12:1E para que reciba siempre la direccin IP 10.21.5.12, escriba: pntadm -M 10.21.5.12 -i 0108002094121E -f MANUAL+BOOTP 10.21.0.0
Consejo Consulte la entrada Client ID en la Tabla 154 para obtener ms informacin sobre cmo determinar los identificadores de cliente.
411
Visualiza una lista de todas las macros Cmo visualizar las macros definidas en un servidor DHCP que se definen en el servidor DHCP. (Administrador de DHCP) en la pgina 413 Cmo ver las macros definidas en un servidor DHCP (dhtadm) en la pgina 414
Cmo crear una macro DHCP (Administrador de DHCP) en la pgina 419 Cmo crear una macro DHCP (dhtadm ) en la pgina 420
Cambiar las macros modificando las opciones existentes, agregando opciones a las macros o eliminando opciones de las macros.
Cmo cambiar los valores de las opciones en una macro DHCP (Administrador de DHCP) en la pgina 415 Cmo cambiar los valores de las opciones en una macro DHCP (dhtadm) en la pgina 416 Cmo agregar opciones a una macro DHCP (Administrador de DHCP) en la pgina 416 Cmo agregar opciones a una macro DHCP (dhtadm) en la pgina 417 Como eliminar opciones de una macro DHCP (Administrador de DHCP) en la pgina 418 Como eliminar opciones de una macro DHCP (dhtadm) en la pgina 418
412
Tarea
Descripcin
Cmo eliminar una macro DHCP (Administrador de DHCP) en la pgina 421 Cmo eliminar una macro DHCP (dhtadm ) en la pgina 422
FIGURA 1514
413
Para abrir una carpeta de macro, haga clic en el icono identificador a la izquierda del icono de carpeta. Se enumeran las macros que se incluyen en la macro seleccionada. Para ver el contenido de una macro, haga clic en su nombre. Se muestran las opciones y sus valores asignados.
Este comando imprime como resultado estndar el contenido con formato de la tabla dhcptab, incluidas todas las macros y los smbolos definidos en el servidor DHCP.
414
FIGURA 1515
Cmo cambiar los valores de las opciones en una macro DHCP (Administrador de DHCP)
En el Administrador de DHCP, seleccione la ficha Macros. Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 364 para obtener informacin sobre el Administrador de DHCP.
2 3
Seleccione la macro que desee cambiar. Elija Properties en el men Edit. Se abrir el cuadro de dilogo Macro Properties.
En la tabla de opciones, seleccione la opcin que desee modificar. El nombre de la opcin y su valor se muestran en los campos Option Name y Option Value.
5 6
En el campo Option Value, seleccione el valor antiguo y escriba el nuevo valor para la opcin. Haga clic en Modify. El nuevo valor se muestra en la tabla de opciones.
Seleccione Notify DHCP Server of Change. Esta seleccin indica al servidor DHCP que debe volver a leer la tabla dhcptab para aplicar el cambio inmediatamente despus de hacer clic en OK.
415
Cmo cambiar los valores de las opciones en una macro DHCP (dhtadm)
Convirtase en superusuario o asuma un rol o nombre de usuario asignado al perfil de administracin de DHCP. Para obtener ms informacin acerca del perfil de administracin de DHCP, consulte Configuracin del acceso de usuario a los comandos de DHCP en la pgina 365. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Por ejemplo, para cambiar el tiempo de permiso y el desfase de tiempo universal en la macro bluenote, escriba: # dhtadm -M -m bluenote -e LeaseTim=43200:UTCOffst=28800 -g
2 3
Seleccione la macro que desee cambiar. Elija Properties en el men Edit. Se abrir el cuadro de dilogo Macro Properties.
416
En el campo Option Name, especifique el nombre de una opcin mediante uno de estos mtodos:
Haga clic en el botn Select junto al campo Option Name para seleccionar una opcin para agregar a la macro. El cuadro de dialogo Select Option muestra una lista ordenada alfabticamente con los nombres de opciones de categora estndar y sus descripciones. Si desea agregar una opcin que no estn en la categora estndar, utilice la lista Category para seleccionar una categora. Consulte Macros DHCP en la pgina 329 para obtener ms informacin acerca de las categoras de macros.
Escriba Include si desea incluir una referencia a una macro existente en la nueva macro.
Escriba el valor para la opcin en el campo Option Value. Si ha escrito Include como nombre de opcin, debe especificar el nombre de una macro existente en el campo Option Value. Haga clic en Add. La opcin se agrega en la parte inferior de la lista de opciones de esta macro. Para cambiar la posicin de la opcin en la macro, seleccione la opcin y haga clic en los botones de flecha para subir o bajar una opcin en la lista. Seleccione Notify DHCP Server of Change. Esta seleccin indica al servidor DHCP que debe volver a leer la tabla dhcptab para aplicar el cambio inmediatamente despus de hacer clic en OK. Haga clic en Aceptar.
Por ejemplo, para agregar la posibilidad de negociar permisos en la macro bluenote, escriba el comando siguiente: # dhtadm -M -m bluenote -e LeaseNeg=_NULL_VALUE -g Si una opcin no requiere un valor, debe utilizar _NULL_VALUE como valor para la opcin.
2 3
4 5
418
Elimine una opcin de una macro escribiendo un comando con el formato siguiente:
# dhtadm -M -m macroname -e option= -g
Por ejemplo, para eliminar la posibilidad de negociar permisos en la macro bluenote, escriba el comando siguiente: # dhtadm -M -m bluenote -e LeaseNeg= -g Si se especifica una opcin sin ningn valor, la opcin se elimina de la macro.
FIGURA 1516
Elija Crear en el men Editar. Se abrir el cuadro de dilogo Crear macro. Escriba un nombre exclusivo para la macro. El nombre puede tener hasta 128 caracteres alfanumricos. Si utiliza un nombre que coincida con un identificador de clase de proveedor, una direccin de red o un ID de cliente, la macro se procesa automticamente para los clientes adecuados. Si utiliza un nombre distinto, la macro no se procesa automticamente. La macro debe asignarse a una direccin IP especfica o incluirse en otra macro que se procese automticamente. Consulte Procesamiento de macros con el servidor DHCP en la pgina 330 para obtener informacin ms detallada. Haga clic en el botn Select, junto al campo Option Name. El cuadro de dilogo Select Option muestra una lista de los nombres de opciones de categoras estndar, ordenados alfabticamente, y sus descripciones. Si desea agregar una opcin que no estn en la categora estndar, utilice la lista Category. Seleccione la categora que desee en la lista Category. Consulte Opciones DHCP en la pgina 329 para obtener ms informacin sobre las categoras de opciones. Seleccione la opcin para agregar a la macro y haga clic en OK. El cuadro de dilogo Macro Properties muestra la opcin seleccionada en el campo Option Name. Escriba el valor para la opcin en el campo Option Value y haga clic en Add. La opcin se agrega en la parte inferior de la lista de opciones de esta macro. Para cambiar la posicin de la opcin en la macro, seleccione la opcin y haga clic en los botones de flecha para subir o bajar una opcin en la lista. Repita el Paso 5 y el Paso 6 para cada opcin que desee agregar a la macro. Seleccione Notify DHCP Server of Change cuando haya terminado de agregar opciones. Esta seleccin indica al servidor DHCP que debe volver a leer la tabla dhcptab para aplicar el cambio inmediatamente despus de hacer clic en OK. Haga clic en Aceptar.
7 8
420
Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
2
No hay ningn lmite para el nmero de pares opcin=valor que se puede incluir en el argumento para -d. El argumento debe empezar y acabar con dos puntos, y tener dos puntos entre cada par opcin=valor. La cadena completa debe incluirse entre comillas. Por ejemplo, para crear la macro bluenote, escriba el comando:
# dhtadm -A -m bluenote -d :Router=10.63.6.121\ :LeaseNeg=_NULL_VALUE:DNSserv=10.63.28 Si una opcin no requiere un valor, debe utilizar _NULL_VALUE como valor para la opcin.
Seleccione la macro que va a eliminar. El cuadro de dilogo Delete Macro le solicita que confirme que desea eliminar la macro especificada.
Seleccione Notify DHCP Server of Change. Esta seleccin indica al servidor DHCP que debe volver a leer la tabla dhcptab para aplicar el cambio inmediatamente despus de hacer clic en OK.
Por ejemplo, para eliminar la macro bluenote, debe escribir el comando siguiente: # dhtadm -D -m bluenote -g
422
El siguiente mapa de tareas incluye las tareas que debe realizar para crear, modificar y eliminar opciones DHCP. El mapa de tareas contiene vnculos a los procedimientos necesarios para realizar las tareas.
Tarea Descripcin Para obtener instrucciones
Agrega nuevas opciones para la informacin Cmo crear opciones DHCP (Administrador que no cubre una opcin DHCP estndar. de DHCP) en la pgina 426 Cmo crear opciones DHCP (dhtadm ) en la pgina 427 Modificacin de la informacin de opcin del cliente Solaris DHCP en la pgina 431
Cmo modificar las propiedades de opciones DHCP (Administrador de DHCP) en la pgina 428 Cmo modificar las propiedades de opciones DHCP ( dhtadm) en la pgina 429
Cmo eliminar opciones DHCP (Administrador de DHCP) en la pgina 430 Cmo eliminar opciones DHCP (dhtadm ) en la pgina 431
Antes de crear opciones DHCP, debe estar familiarizado con las propiedades de las opciones que se incluyen en la tabla siguiente.
TABLA 155
Propiedad de opcin
Category
La categora de una opcin debe ser una de las siguientes: Vendor: opciones especficas para la plataforma de proveedor de un cliente, tanto si es hardware como software.
Site: opciones especficas del sitio. Extend: opciones ms recientes incorporadas al protocolo DHCP, pero que todava no se han implementado como opciones estndar en Solaris DHCP.
423
TABLA 155
(Continuacin)
Propiedad de opcin
Cdigo
El cdigo es un nmero exclusivo que se asigna a una opcin. No es posible utilizar el mismo cdigo para cualquier otra opcin dentro de su categora de opcin. El cdigo debe ser adecuado para la categora de opcin: Vendor: valores de cdigo del 1 al 254 para cada clase de proveedor Site: valores de cdigo del 128 al 254 Extend: valores de cdigo del 77 al 127 El tipo de datos especifica la clase de datos que se pueden asignar como valor para la opcin. En la lista siguiente se incluyen los tipos de datos vlidos. ASCII: valor de cadena de texto.
Data type
BOOLEAN: no se asocia ningn valor con el tipo de datos booleano. Si la opcin est presente, significa que una condicin es verdadera, y si est ausente, indica que una condicin es falsa. Por ejemplo, la opcin Hostname es booleana. La presencia de Hostname en una macro hace que el servidor DHCP busque el nombre de host asociado con la direccin asignada. IP: una o ms direcciones IP, en formato decimal con punto (xxx.xxx.xxx.xxx). OCTET: representacin ASCII no interpretada de datos binarios. Por ejemplo, un ID de cliente utiliza el tipo de datos de octetos. Los caracteres vlidos son 09, AF y af. Se necesitan dos caracteres ASCII para representar una cantidad de 8 bits. UNUMBER8, UNUMBER16, UNUMBER32, UNUMBER64, SNUMBER8, SNUMBER16, SNUMBER32 o SNUMBER64: valor numrico. Una U o S iniciales indican si el nmero est firmado o no. Los dgitos al final indican cuntos bits hay en el nmero.
Granularidad
La granularidad especifica cuntas "instancias" del tipo de datos se necesitan para representar un valor de opcin completo. Por ejemplo, un tipo de datos de IP y una granularidad de 2 indicara que el valor de opcin debe contener dos direcciones IP. El nmero mximo de valores que se puede especificar para la opcin. Por ejemplo, supongamos que el mximo es 2, la granularidad es 2 y el tipo de datos es IP. En ese caso, el valor de opcin podra contener un mximo de dos pares de direcciones IP.
Mximo
424
TABLA 155
(Continuacin)
Propiedad de opcin
Esta opcin slo est disponible cuando la categora de opcin es Proveedor. Las clases de cliente del proveedor identifican las clases de cliente con las que est asociada la opcin Proveedor. La clase es una cadena ASCII que representa el sistema operativo o el tipo de equipo del cliente. Por ejemplo, la cadena de clase para algunos modelos de estaciones de trabajo de Sun es SUNW.Sun-Blade-100 . Este tipo de opcin permite definir los parmetros de configuracin que se transfieren a los clientes de la misma clase, y slo a los clientes de esa clase. Puede especificar varias clases de cliente. Slo los clientes DHCP con un valor de clase de cliente que coincida con la clase que se especifique recibirn las opciones previstas para esa clase. La clase de cliente la determina el proveedor del cliente DHCP. Para los clientes DHCP que no sean clientes de Solaris, consulte la documentacin del proveedor para el cliente DHCP de la clase de cliente. Para los clientes de Solaris, la clase de cliente Proveedor puede obtenerse mediante el comando uname -i del cliente. Para especificar la clase de cliente Proveedor, sustituya los puntos por las comas de la cadena que devuelve el comando uname. Por ejemplo, si la cadena SUNW,Sun-Blade-100 la devuelve el comando uname -i, debe especificar la clase de cliente Proveedor como SUNW.Sun-Blade-100.
425
FIGURA 1517
Incluya una breve descripcin para la nueva opcin. El nombre puede contener hasta 128 caracteres alfanumricos y espacios.
Escriba o seleccione valores para cada parmetro del cuadro de dilogo. Consulte la Tabla 155 para obtener informacin sobre cada parmetro, o visualice la ayuda del Administrador de DHCP.
Seleccione Notify DHCP Server of Change si ha terminado de crear las opciones. Esta seleccin indica al servidor DHCP que debe volver a leer la tabla dhcptab para aplicar el cambio inmediatamente despus de hacer clic en OK.
Haga clic en Aceptar. Ahora puede agregar la opcin a las macros, y asignar un valor a la opcin para transferir a los clientes.
426
nombre_opcin categora
Es una cadena alfanumrica de 128 caracteres menos. Es una de las siguientes: Site, Extend o Vendor=lista_clases . lista_clases es una lista separada por espacios de clases de cliente de proveedor a la que se aplica la opcin. Consulte la Tabla 155 para obtener informacin sobre cmo determinar la clase de cliente de proveedor. Es un valor numrico apropiado para la categora de opcin, tal como se explica en la Tabla 155. Se especifica mediante una palabra clave que indica el tipo de datos que se transfiere con la opcin, tal como se describe en la Tabla 155. Se especifica como nmero no negativo, como se explica en la Tabla 155. Es un nmero no negativo, como se explica en la Tabla 155.
427
FIGURA 1518
2 3
428
Edite las propiedades segn precise. Consulte la Tabla 155 para obtener informacin sobre las propiedades, o visualice la ayuda del Administrador de DHCP. Seleccione Notify DHCP Server of Change cuando haya terminado de configurar las opciones. El cambio se realiza en la tabla dhcptab. El servidor DHCP vuelve a leer la tabla dhcptab para aplicar los cambios. Haga clic en Aceptar.
nombre_opcin categora
Especifica el nombre de la opcin que se desea modificar. Puede ser Site, Extend o Vendor=lista_clases. lista_clases es una lista separada por espacios de clases de cliente de proveedor a la que se aplica la opcin. Por ejemplo, SUNW.Sun-Blade-100 SUNW.Ultra-80 SUNWi86pc. Especifica un valor numrico apropiado para la categora de opcin, tal como se explica en la Tabla 155. Especifica una palabra clave que indica el tipo de datos que se transfiere con la opcin, tal como se describe en la Tabla 155. Es un nmero no negativo, como se explica en la Tabla 155. Es un nmero no negativo, como se explica en la Tabla 155.
Debe especificar todas las propiedades de opciones DHCP con el conmutador -d, no slo las propiedades que se desea modificar.
429
Ejemplo 154
2 3
430
431
para la red durante el arranque, consulte el Captulo 6, Preconfiguracin de la informacin de configuracin del sistema (tareas) de Gua de instalacin de Solaris 10: instalaciones basadas en red. DHCP tambin admite sistemas de cliente de Solaris que se arrancan e instalan remotamente desde los servidores en una red de rea extensa (WAN) utilizando HTTP. Este mtodo de arranque e instalacin remotos se denomina mtodo de instalacin de arranque WAN. El arranque WAN permite instalar el sistema operativo Solaris en sistemas basados en SPARC en una red pblica extensa donde la infraestructura de red puede que sea poco fiable. Se puede utilizar el arranque WAN con funciones de seguridad para proteger la confidencialidad de los datos y la integridad de la imagen de instalacin. Antes de utilizar DHCP para arrancar e instalar sistemas de clientes remotamente utilizando un arranque WAN, el servidor DHCP debe configurarse para proporcionar la siguiente informacin a los clientes:
Para obtener detalles sobre cmo configurar el servidor DHCP para proporcionar esta informacin, consulte el Captulo 6, Preconfiguracin de la informacin de configuracin del sistema (tareas) de Gua de instalacin de Solaris 10: instalaciones basadas en red. Para obtener informacin sobre cmo arrancar e instalar sistemas cliente con un servidor DHCP a travs de una WAN, consulte el Captulo 11, Arranque WAN (informacin general) de Gua de instalacin de Solaris 10: instalaciones basadas en red. Para obtener informacin sobre los clientes sin disco, consulte Arranque remoto y clientes de arranque sin disco (mapa de tareas) en la pgina 432.
432
nombre de host del servicio de nombres, como DNS. Si un cliente sin disco recibe una direccin IP coherente, el cliente utiliza un nombre de host coherente, y puede acceder a su particin raz en el servidor del sistema operativo. Adems de proporcionar la direccin IP y el nombre de host, el servidor DHCP puede proporcionar la ubicacin de los archivos del sistema operativo del cliente sin disco. Sin embargo, debe crear opciones y macros para transferir la informacin en un paquete de mensajes DHCP. El siguiente mapa de tareas enumera las tareas necesarias para admitir clientes sin disco o cualquier cliente de arranque remoto persistente. El mapa de tareas tambin contiene enlaces a procedimientos que permiten llevar a cabo las tareas.
Tarea Descripcin Para obtener instrucciones
Utilice el comando smosservice para crear Captulo 7, Managing Diskless Clients archivos de sistema operativo para los (Tasks) de System Administration Guide: clientes. Basic Administration Asimismo, consulte la pgina del comando man smosservice(1M).
Utilice el Administrador de DHCP o el comando dhtadm para crear macros y opciones del proveedor, que el servidor DHCP puede utilizar para transferir informacin de arranque a los clientes. Si ya ha creado las opciones para los clientes de instalacin de red, slo debe crear las macros de los tipos de cliente de proveedor de los clientes sin disco.
Captulo 6, Preconfiguracin de la informacin de configuracin del sistema (tareas) de Gua de instalacin de Solaris 10: instalaciones basadas en red
Utilice el Administrador de DHCP para marcar la direccin como reservada, o utilice el comando pntadm para marcar direcciones como MANUAL para los clientes sin disco. Utilice el comando smdiskless para incluir compatibilidad con el sistema operativo en el servidor de sistema operativo para cada cliente. Especifique las direcciones IP que ha reservado para cada cliente.
Captulo 7, Managing Diskless Clients (Tasks) de System Administration Guide: Basic Administration Asimismo, consulte la pgina del comando man smdiskless(1M).
433
Utilice el Administrador de DHCP o el comando pntadm para crear una tabla de red para la red de clientes slo de informacin.
Crear macros para incluir la Utilice el Administrador de DHCP o el informacin que necesitan los comando dhtadm para crear macros que clientes. transfieran la informacin necesaria a los clientes. Configurar el cliente DHCP para que emita un mensaje INFORM.
Utilice el comando ifconfig int dhcp inform Inicio de cliente DHCP en la pgina 450 para que el cliente DHCP emita un mensaje Opciones del comando ifconfig que se utilizan INFORM. con el cliente DHCP en la pgina 455 Pgina del comando man ifconfig(1M)
434
Nota Si ha actualizado de una versin de Solaris anterior a Solaris 8 7/01, debe leer esta nota.
Si ejecuta una herramienta de Solaris DHCP tras la instalacin de Solaris, se le pedir que convierta al nuevo almacn de datos. La conversin es necesaria porque el formato de los datos almacenados en ambos archivos y NIS+ ha cambiado en Solaris 8 7/01. Si no convierte al nuevo almacn de datos, el servidor DHCP seguir leyendo las tablas de datos antiguas. Sin embargo, el servidor slo puede otorgar permisos para los clientes existentes. No puede registrar nuevos clientes DHCP ni utilizar herramientas de administracin de DHCP con las tablas de datos antiguas. La utilidad de conversin tambin resulta til para los sitios que convierten de un almacn de datos proporcionado por Sun a un almacn de datos de otro proveedor. La utilidad de conversin busca entradas en el almacn de datos existente y agrega nuevas entradas que contienen los mismos datos al nuevo almacn de datos. El acceso al almacn de datos se implementa en mdulos separados para cada almacn de datos. Este enfoque modular permite a la utilidad de conversin convertir datos DHCP de cualquier formato de almacn de datos a otro diferente. Cada almacn de datos debe tener un mdulo que pueda utilizar el servicio DHCP. Consulte Solaris DHCP Service Developers Guide para obtener ms informacin sobre cmo escribir un mdulo para que admita un almacn de datos de terceros. La conversin del almacn de datos se puede llevar a cabo con el Administrador de DHCP mediante el asistente Data Store Conversion o con el comando dhcpconfig -C. La figura siguiente muestra el cuadro de dilogo inicial del asistente Data Store Conversion.
435
FIGURA 1519
Antes de que comience la conversin, debe especificar si desea guardar las tablas de los antiguos almacenes de datos (dhcptab y tablas de red). La utilidad de conversin detiene el servidor DHCP, convierte el almacn de datos y reinicia el servidor cuando la conversin se ha completado correctamente. Si no ha especificado que se guarden las tablas antiguas, la utilidad elimina las tablas despus de determinar que la conversin se ha realizado correctamente. El proceso de conversin puede requerir mucho tiempo. La conversin se ejecuta en segundo plano e incluye una indicacin del progreso.
Responda a las preguntas del asistente. Si no conoce la informacin que se le solicita, haga clic en Help para ver informacin detallada sobre cada cuadro de dilogo.
436
Revise sus selecciones y haga clic en Finish para convertir el almacn de datos. El servidor DHCP se reinicia cuando finaliza la conversin. El servidor utiliza de inmediato el nuevo almacn de datos.
recurso ruta
es el nuevo tipo de almacn de datos, como SUNWbinfiles es la ruta a los datos, como /var/dhcp
Si desea conservar los datos originales del antiguo almacn de datos tras la conversin, especifique la opcin -k. Por ejemplo, para convertir el almacn de datos a SUNWbinfiles y guardar el anterior, escriba:
# /usr/sbin/dhcpconfig -C -r SUNWbinfiles -p /var/dhcp -k
Consulte la pgina del comando man dhcpconfig(1M) para obtener ms informacin sobre la utilidad dhcpconfig.
437
Agregar un servidor para compartir las tareas de DHCP. Reemplazar el sistema del servidor DHCP. Cambiar la ruta del almacn de datos, mientras se sigue utilizando el mismo almacn de datos.
El siguiente mapa de tareas identifica los procedimientos que debe seguir al transferir datos de configuracin de DHCP.
Tarea Descripcin Para obtener instrucciones
1. Exportar los datos del primer Selecciona los datos que desea transferir a servidor. otro servidor y crea un archivo con los datos exportados.
Cmo exportar datos de un servidor DHCP (Administrador de DHCP) en la pgina 440 Cmo exportar datos de un servidor DHCP (dhcpconfig -X) en la pgina 440 Cmo importar datos en un servidor DHCP (Administrador de DHCP) en la pgina 442 Cmo importar datos en un servidor DHCP (dhcpconfig -I) en la pgina 442
Copia los datos exportados a otro almacn de datos del servidor DHCP.
Cambia los datos de configuracin especficos del servidor para que coincidan con la informacin del nuevo servidor.
Cmo modificar datos de DHCP importados (Administrador de DHCP) en la pgina 443 Cmo modificar datos DHCP importados ( pntadm, dhtadm) en la pgina 444
En el Administrador de DHCP, utilice el asistente Export Data y el asistente Import Data para transferir los datos de un servidor a otro. A continuacin, modifique las macros en la ficha Macros. Las siguientes figuras muestran los cuadros de dilogo iniciales de los asistentes.
438
FIGURA 1520
FIGURA 1521
439
Elija Export Data en el men Service. Se abrir el asistente Export Data tal como se muestra en la Figura 1520.
Responda a las preguntas del asistente. Si no conoce la respuesta, haga clic en Help para obtener informacin detallada sobre las preguntas.
Transfiera el archivo de exportacin a un sistema de archivos al que pueda acceder el servidor DHCP que debe importar los datos. Importe los datos tal como se describe en Cmo importar datos en un servidor DHCP (Administrador de DHCP) en la pgina 442.
Vase tambin
1 2
440
Exporte los datos. Puede exportar todos los datos de DHCP o partes especficas de los datos.
Para exportar direcciones, macros y opciones especficas, escriba un comando que utilice el formato siguiente:
# dhcpconfig -X filename -a network-addresses -m macros -o options
nombre_archivo es el nombre de ruta completo que desea utilizar para almacenar los datos exportados comprimidos. Las direcciones de red, macros DHCP y opciones DHCP concretas se especifican en listas separadas con comas. El ejemplo siguiente muestra cmo exportar redes, macros y opciones especficas.
Para exportar todos los datos de DHCP, escriba un comando que utilice la palabra clave ALL.
# dhcpconfig -X filename -a ALL -m ALL -o ALL
nombre_archivo es el nombre de ruta completo que desea utilizar para almacenar los datos exportados comprimidos. La palabra clave ALL puede utilizarse con las opciones de comandos para exportar todas las opciones, macros y direcciones de red. El ejemplo siguiente muestra cmo utilizar la palabra clave ALL. # dhcpconfig -X /var/dhcp/dhcp1065_data -a ALL -m ALL -o ALL
Consejo Puede omitir la exportacin de un tipo de datos concreto si no especifica la opcin de comando dhcpconfig para ese tipo de datos. Por ejemplo, si no especifica la opcin -m, no se exportar ninguna macro DHCP.
Consulte la pgina del comando man dhcpconfig(1M) para obtener ms informacin sobre el comando dhcpconfig.
4
Transfiera el archivo de exportacin a una ubicacin a la que pueda acceder el servidor que debe importar los datos. Importe los datos de acuerdo con lo descrito en Cmo importar datos en un servidor DHCP (dhcpconfig -I) en la pgina 442.
Vase tambin
441
1 2
Modifique los datos importados, si es preciso. Consulte Cmo modificar datos DHCP importados ( pntadm, dhtadm) en la pgina 444.
Gua de administracin del sistema: servicios IP Octubre de 2009
442
Busque en los datos importados informacin especfica de la red que se deba modificar. Por ejemplo, si ha movido redes, debe abrir la ficha Addresses y cambiar el servidor propietario de las direcciones en las redes importadas. Tambin puede abrir la ficha Macros para especificar los nombres de dominio correctos para NIS, NIS+ o DNS en algunas macros.
3 4
Abra la ficha Addresses y seleccione una red que haya importado. Para seleccionar todas las direcciones, haga clic en la primera direccin, mantenga pulsada la tecla Mays y elija la ltima direccin. En el men Edit, elija Properties. Se abrir el cuadro de dilogo Modify Multiple Addresses.
6 7
En el indicador Managing Server, seleccione el nombre del nuevo servidor. En el indicador Configuration Macro, seleccione la macro que se vaya a utilizar para todos los clientes de esta red y haga clic en OK. Abra la ficha Macros. Utilice el botn Find para buscar las opciones que probablemente se deban modificar. El botn Find se encuentra en la parte inferior de la ventana. DNSdmain, DNSserv , NISservs, NIS+serv y NISdmain son ejemplos de opciones que pueden requerir modificaciones en el nuevo servidor.
8 9
10
Cambie las opciones de las macros deseadas. Consulte Cmo modificar las propiedades de opciones DHCP (Administrador de DHCP) en la pgina 428 para conocer el procedimiento que debe seguir para cambiar opciones.
443
1 2
Busque en las tablas de red los datos que se deben modificar. Si ha transferido redes, utilice el comando pntadm -P direccin_red para imprimir las tablas de red para las redes que se han transferido. Modifique la informacin de la direccin IP con el comando pntadm. El servidor propietario y la macro de configuracin se pueden cambiar para las direcciones importadas. Por ejemplo, para cambiar el servidor propietario (10.60.3.4) y la macro (dhcpsrv-1060) for address 10.63.0.2, utilice el comando siguiente: pntadm -M 10.63.0.2 -s 10.60.3.4 -m dhcpsrv-1060 10.60.0.0 Si tiene una gran cantidad de direcciones, debe crear un archivo de secuencia que contenga los comandos para modificar cada direccin. Ejecute la secuencia con el comando pntadm -B, que ejecuta pntadm en modo de ejecucin por lotes. Consulte la pgina del comando man pntadm(1M).
Busque en las macros dhcptab opciones con valores que necesiten modificarse. Utilice el comando dhtadm -P para imprimir la tabla dhcptab completa en pantalla. Utilice grep u otra herramienta para buscar opciones o valores que desee cambiar. Si es preciso, modifique las opciones de las macros utilizando el comando dhtadm -M. Por ejemplo, puede modificar algunas macros para especificar los servidores y nombres de dominio correctos para NIS, NIS+ o DNS. Por ejemplo, el siguiente comando cambia los valores de DNSdmain y DNSserv en la macro mymacro: dhtadm -M -m mymacro -e DNSserv=dnssrv2:DNSdmain=example.net -g
444
16
C A P T U L O
1 6
En este captulo se comenta el cliente del Protocolo de configuracin dinmica de host (DHCP) que forma parte del sistema operativo Solaris. En el captulo se explica el funcionamiento de los protocolos DHCPv4 y DHCPv6 del cliente y la forma de modificar el comportamiento de este. Uno de los protocolos, DHCPv4, forma parte del sistema operativo Solaris (SO Solaris) desde hace tiempo, y permite a los servidores DHCP pasar parmetros de configuracin como direcciones de red IPv4 a nodos IPv4. El otro, DHCPv6, permite a los servidores DHCP pasar parmetros de configuracin, como direcciones de red IPv6, a nodos IPv6. DHCPv6 es una contrapartida con estado a IPv6 Stateless Address Autoconfiguration (RFC 2462), y se puede utilizar de forma independiente o conjuntamente con la sin estado para obtener parmetros de configuracin. Este captulo contiene la informacin siguiente:
Acerca del cliente DHCP de Solaris en la pgina 445 Activacin y desactivacin de un cliente DHCP de Solaris en la pgina 453 Administracin del cliente DHCP en la pgina 455 Sistemas cliente DHCP con varias interfaces de red en la pgina 457 Nombres de host de cliente DHCPv4 en la pgina 458 Sistemas cliente DHCP y servicios de nombres en la pgina 459 Secuencias de eventos de cliente DHCP en la pgina 464
No es necesario hacer nada ms con el cliente Solaris para utilizar DHCP. La configuracin del servidor DHCP determina la informacin que se proporciona a los sistemas cliente DHCP que utilizan el servicio DHCP. Si un sistema cliente ya est ejecutando el SO Solaris pero no utiliza DHCP, se puede reconfigurar para que lo utilice. Tambin se puede reconfigurar un sistema cliente DHCP de modo que deje de utilizar DHCP y utilice la informacin de red esttica que se le proporcione. Para ms informacin consulte Activacin y desactivacin de un cliente DHCP de Solaris en la pgina 453.
Servidor DHCPv6
No hay ningn servidor DHCPv6 disponible a travs de Sun Microsystems para el SO Solaris. Los servidores de terceros son compatibles con el DHCPv6 de Sun y, si hay un servidor DHCPv6 en la red, el cliente DHCPv6 de Sun lo utilizar. Consulte Servidor Solaris DHCP en la pgina 322 para obtener informacin sobre el servidor DHCPv4 de Sun.
El modelo de administracin
DHCPv4El administracor activa DHCP para cada interfaz. La administracin se efecta por interfaz lgica. DHCPv6No es necesaria una configuracin explcita. Este protocolo se activa en una interfaz fsica determinada. DHCPv4El servidor DHCP proporciona la mscara de subred de cada direccin. La opcin de nombre de host establece el nombre de nodo en todo el sietema. DHCPv6La mscara de subred la proporcionan los anuncios de encaminador, no el servidor DHCPv6. No existe la opcin de nombre de host DHCPv6.
El modelo administrativo
DHCPv4 requiere una configuracin de cliente explcita. Deber configurar el sistema DHCPv4 para direccionar a voluntad; esto se suele llevar a cabo durante la instalacin inicial del sistema o de forma dinmica mediante las opciones de ifconfig(1M).
446 Gua de administracin del sistema: servicios IP Octubre de 2009
DHCPv6 no requiere una configuracin de cliente explcita. Por el contrario, el uso de DHCP es una propiedad de la red, y la seal para utilizarlo se encuentra en los mensajes de anuncio de los encaminadores locales. El cliente DHCP crea y destruye automticamente las interfaces lgicas segn sea necesario. El mecanismo de DHCPv6 es muy parecido, desde el punto de vista administrativo, a la configuracin de direcciones sin estado IPv6 (automtica) actual. Para la configuracin de direcciones sin estado se activara un indicador en el encaminador local par indicar que, para un conjunto de prefijos determinado, cada cliente deber configurar automticamente una direccin propia utilizando el prefijo anunciado, as como un smbolo o nmero aleatorio de interfaz local. Para DHCPv6 se requieren los mismos prefijos, pero las direcciones se obtienen y gestionan mediante un servidor DHCPv6 en lugar de asignarse de forma "aleatoria.
Interfaces lgicas
En el cliente DHCPv4, cada interfaz lgica es independiente y es una unidad administrativa. Aparte de la interfaz lgica cero (cuyo identificador predeterminado es la direccin MAC de la interfaz), el usuario puede configurar interfaces especficas para ejecutar DHCP; para ello debe especificar un CLIENT_ID en el archivo de configuracin dhcpagent. Por ejemplo: hme0:1.CLIENT_ID=orangutan DHCPv6 funciona de otra forma. La interfaz lgica cero en una interfaz IPv6 es siempre, a diferencia de IPv4, una direccin local. La direccin local se utiliza pars asignar automticamente una direccin IP a un dispositivo de una red IP cuando no se dispone de otro mtodo de asignacin, como un servidor DHCP. La interfaz lgica cero no puede estar bajo control de DHCP, de modo que, aunque DHCPv6 se ejecute en esa interfaz (que se denomina tambin interfaz "fsica"), solo asigna direcciones a interfaces lgicas que no sean la cero. En respuesta a una solicitud de cliente DHCPv6, el servidor DHCPv6 devuelve una lista de direcciones para que el cliente las configure.
448 Gua de administracin del sistema: servicios IP Octubre de 2009
Negociacin de opciones
DHCPv6 dispone de la opcin Solicitud de opciones, que ofrece al servidor una pista de lo que el cliente prefiere ver. Si se han enviado todas las posibles opciones desde el servidor al cliente, se podra enviar tanta informacin que parte de ella debera perderse en el camino al cliente. El servidor podra utilizar esa pista para elegir qu opciones debe incluir en la respuesta. Otra posibilidad es que el servidor haga caso omiso de la pista y elija los elementos que se inlcuyen. En el SO Solaris, por ejemplo, las opciones preferibles podran incluir el dominio de direcciones DNS de Solaris o al dominio de direcciones NIS, pero posiblemente no se incluira el servidor de netbios. DHCPv4 proporciona el mismo tipo de sugerencia, pero sin la opcin especial de Solicitud de opciones. En cambio, DHCPv4 utiliza PARAM_REQUEST_LIST en /etc/default/dhcpagent.
Sintaxis de configuracin
Configure el cliente DHCPv6 de forma similar al actual cliente DHCPv4, mediante /etc/default/dhcpagent. La sintaxis se aumenta con un marcador .v6 entre el nombre de la interfaz (si lo hay) y el parmetro que se debe configurar. Por ejemplo, la lista de solicitud de opciones IPv4 global se configura as: PARAM_REQUEST_LIST=1,3,6,12,15,28,43 Se puede configurar una interfaz individual para omitir la opcin de nombre de host, de este modo: hme0.PARAM_REQUEST_LIST=1,3,6,15,28,43 Para configurar una lista de solicitud global para DHCPv6, tenga en cuenta el punto precedente: .v6.PARAM_REQUEST_LIST=23,24 O, para configurar una interfaz individual, siga este ejemplo: hme0.v6.PARAM_REQUEST_LIST=21,22,23,24 Utilice como referencia para configuracin de DHCPv6 este archivo /etc/default/dhcpagent:
# The default DHCPv6 parameter request list has preference (7), unicast (12), # DNS addresses (23), DNS search list (24), NIS addresses (27), and # NIS domain (29). This may be changed by altering the following parameter# value pair. The numbers correspond to the values defined in RFC 3315 and # the IANA dhcpv6-parameters registry. .v6.PARAM_REQUEST_LIST=7,12,23,24,27,29
Captulo 16 Configuracin y administracin del cliente DHCP 449
La presencia del archivo /etc/dhcp.interfaz (por ejemplo, /etc/dhcp.ce0 en un sistema Sun FireTM 880) indica a las secuencias de inicio que en la interfaz especificada se debe utilizar DHCPv4. Cuando encuentran un archivo dhcp. interfaz, las secuencias de inicio ejecutan dhcpagent. Al ejecutarse, dhcpagent espera hasta recibir instrucciones para configurar una interfaz de red. Las secuencias de inicio emiten el comando ifconfig interfaz dhcp start, que indica a dhcpagent que inicie DHCPv4 como se describe en Funcionamiento de DHCP en la pgina 319. Si hay comandos en el archivo dhcp.interfaz, se agregan a la opcin dhcp start de ifconfig. Consulte la pgina de comando man ifconfig(1M) para obtener informacin sobre las opciones del comando ifconfig interfaz dhcp.
anuncio de encaminador y utiliza DHCP para obtener una direccin y otros parmetros, o el sistema solicita solo datos que no sean la direccin (por ejemplo, servidores DNS) con DHCPv6. El daemon in.ndpd recibe el mensaje de anuncio del encaminador. Lo hace automticamente en todas las interfaces sondeadas para IPv6 en el sistema. Cuando in.ndpd ve un RA que especifica que se debe ejecutar DHCPv6, lo llama. Para impedir que in.ndpd inicie DHCPv6 se puede modificar el archivo /etc/inet/ndpd.conf. Tambin se puede detener DHCPv6 una vez iniciado mediante una de las siguientes versiones de ifconfig: ifconfig <interfaz> inet6 dhcp drop o: ifconfig <interfaz> inet6 dhcp release
Cmo gestionan los protocolos del cliente DHCP la informacin de configuracin de red
Los protocolos de los clientes DHCPv4 y DHCPv6 gestionan la informacin de configuracin de red de forma distinta. La principal diferencia es que, con DHCPv4, la negociacin es por el permiso de uso de una sola direccin y algunas opciones para acompaarla. Con DHCPv6, la negociacin implica un lote de direcciones y de opciones. Para acceder a informacin bsica sobre la interaccin entre el cliente y el servidor DHCPv4, consulte el Captulo 12, Solaris DHCP (descripcin general).
comando ifconfig le indica que lo haga. Si dhcpagent obtiene que la interfaz est en marcha y que la direccin IP no ha cambiafdo, enva una solicitud al servidor para una renovacin del permiso. Si no se puede renovar el permiso, dhcpagent cierra la interfaz al finalizar el perodo de permiso. Cada vez que dhcpagent efecta una accin relacionada con el permiso, el daemon busca un archivo ejecutable denominado /etc/dhcp/eventhook. Si se halla un archivo ejecutable con ese nombre, dhcpagent llama a dicho archivo. Consulte Secuencias de eventos de cliente DHCP en la pgina 464 para obtener ms informacin acerca del uso del ejecutable de eventos.
Un cliente enva un mensaje de solictud para localizar servidores. Los servidores envan un mensaje de anuncio para indicar que estn disponibles para el servicio DHCP. Un cliente enva un mensaje de solicitud para pedir parmetros de configuracin, incluidas direcciones IP, a los servidores con los valores de preferencia ms altos. Los valores de preferencia de los servidores los asigna el administrador, y pueden ir desde 0, la mnima preferencia, a 255, la mxima. El servidor enva un mensaje de respuesta que contiene los permisos de direcciones y los datos de configuracin.
Si el valor de preferencia en el mensaje de anuncio es de 255, el cliente DHCPv6 selecciona inmediatamente ese servidor. Si el servidor con la preferencia ms alta no responde o no enva satisfactoriamente un mensaje de respuesta al mensaje de solicitud, el cliente sigue buscando servidores por orden de preferencia hasta que se queda sin mensajes de anuncio. En ese momento, el cliente vuelve a empezar reenviando mensajes de solicitud.
452 Gua de administracin del sistema: servicios IP Octubre de 2009
El servidor elegido enva un mensaje de respuesta que contiene las direcciones y parmetros de configuracin asignados en respuesta a un mensaje de solicitud de tipo Request o Solicit.
configuren con direcciones IP estticas, en lugar de utilizar DHCP. La determinacin de qu dispositivos de la red, como encaminadores y ciertos servidores, deben ser clientes y cules no excede el mbito de esta gua.
Si el sistema utiliza preconfiguracin en lugar de configuracin interactiva, edite el archivo sysidcfg. Agregue la subclave dhcp a la palabra clave interfaz_red en el archivo sysidcfg. Por ejemplo, interfaz_red=hme0 {dhcp}. Consulte la pgina del comando man sysidcfg(4) para obtener ms informacin. Desconfigure y cierre el sistema.
# sys-unconfig
Consulte la pgina de comando man sys-unconfig(1M) para saber ms datos sobre la informacin de configuracin que elimina este comando.
4
Rearranque el sistema una vez completado el cierre. Si el sistema utiliza preconfiguracin, la subclave dhcp del archivo sysidcfg configura el sistema para que utilice el cliente DHCP durante el arranque. Si el sistema no utiliza preconfiguracin, sysidtool le solicitar informacin de configuracin cuando el sistema rearranque. Para ms informacin consulte la pgina de comando man sysidtool(1M).
Cuando se le solicite si se debe usar DHCP para configurar las interfaces de red, especifique S.
1 2
Consulte la pgina de comando man sys-unconfig(1M) para saber ms datos sobre la informacin de configuracin que elimina este comando.
4
Rearranque el sistema una vez completado el cierre. Si el sistema utiliza preconfiguracin, no se le solicitar informacin de configuracin y el cliente DHCP no se configura. Si el sistema no utiliza preconfiguracin, sysidtool le solicitar informacin de configuracin cuando el sistema rearranque. Para ms informacin consulte la pgina de comando man sysidtool(1M).
5
454
Cuando se le solicite si se debe usar DHCP para configurar las interfaces de red, especifique No.
Gua de administracin del sistema: servicios IP Octubre de 2009
Iniciar el cliente DHCP El comando ifconfig interfaz [inet6] dhcp start inicia la interaccin entre dhcpagent y el servidor DHCP para obtener una direccin IP y un nuevo conjunto de opciones de configuracin. Este comando resulta til cuando se modifica informacin que desea que un cliente utilice de forma inmediata, como cuando se agregan direcciones IP o se cambia la mscara de subred. Solicitar solo informacin de configuracin de red El comando ifconfig interfaz [inet6] dhcp inform hace que dhcpagent emita una solicitud de parmetros de configuracin de red, con la excepcin de la direccin IP. Este comando resulta til cuando la interfaz de red tiene una direccin IP esttica, pero el sistema necesita actualizar las opciones de red. Por ejemplo, esta comando es prctico si no se utiliza DHCP para la gestin de direcciones IP, pero s para configurar los hosts de la red. Solicitar una ampliacin del permiso El comando ifconfig interfaz [inet6] dhcp extend hace que dhcpagent emita una solicitud de renovacin del permiso. El cliente solicita automticamente la renovacin de permisos. Sin embargo, puede ser conveniente utilizar este comando si cambia el tiempo de permiso y quiere que los clientes utilicen este nuevo tiempo inmediatamente, en lugar de esperar al siguiente intento de renovacin. Liberar la direccin IP El comando ifconfig interfaz [inet6] dhcp release hace que dhcpagent renuncie a la direccin IP que utiliza la interfaz de red. La liberacin de la direccin IP se lleva a cabo automticamente cuando caduca el permiso. Es conveniente emitir este comando, por ejemplo, desde un equipo porttil si quiere salir de una red y tiene previsto arrancarlo en una red distinta. Consulte tambin la propiedad RELEASE_ON_SIGTERM del archivo de configuracin /etc/default/dhcpagent.
455
Abandonar la direccin IP El comando ifconfig interfaz [inet6] dhcp drop hace que dhcpagent cierre la interfaz de red sin informar al servidor DHCP y reserve el permiso en el sistema de archivos. Este comando permite al cliente utilizar la misma direccin IP al rearrancar. Hacer un ping de la interfaz de red El comando ifconfig interfaz [inet6] dhcp ping permite determinar si la interfaz est bajo el control de DHCP. Ver el estado de configuracin DHCP de la interfaz de red El comando ifconfig interfaz [inet6] dhcp status muestra el estado actual del cliente DHCP. En la pantalla se muestran los siguientes elementos:
Si se ha asociado una direccin IP al cliente El nmero de solicitudes enviadas, recibidas y rechazadas Si esta interfaz es la principal Veces que se ha obtenido el permiso, cundo caduca y cundo est programado el inicio de los intentos de renovacin
Por ejemplo:
# ifconfig hme0 dhcp status Interface State Sent Recv Declined Flags hme0 BOUND 1 1 0 [PRIMARY] (Began,Expires,Renew)=(08/16/2005 15:27, 08/18/2005 13:31, 08/17/2005 15:24) # ifconfig hme0 inet6 dhcp status Interface State Sent Recv Declined Flags hme0 BOUND 1 0 0 [PRIMARY] (Began,Expires,Renew)=(11/22/2006 20:39, 11/22/2006 20:41, 11/22/2006 20:40)
Para DHCPv4
El sistema cliente no precisa de un nombre de host especfico. Si quiere que un cliente solicite un nombre de host determinado, consulte Nombres de host de cliente DHCPv4 en la pgina 458.
Las solicitudes predeterminadas del cliente se especifican en /etc/default/dhcpagent , e incluyen el servidor DNS, el dominio DNS y la direccin de difusin. Se puede configurar el archivo de parmetros del cliente DHCP para que solicite ms opciones en la palabra clave PARAM_REQUEST_LIST del archivo /etc/default/dhcpagent . Se puede configurar el servidor DHCP para que ofrezca opciones que no se hayan solicitado de forma explcita. Consulte Macros DHCP en la pgina 329 y Uso de macros DHCP (mapa de tareas) en la pgina 412 para obtener informacin sobre el uso de las macros del servidor DHCP para enviar informacin a los clientes.
El sistema cliente utiliza DHCP en una interfaz de red fsica. Si desea utilizar DHCP en ms de una interfaz de red fsica, consulte Sistemas cliente DHCP con varias interfaces de red en la pgina 457.
El cliente no se configura automticamente como cliente de servicio de nombres si se ha configurado despus de la instalacin de Solaris. Consulte Sistemas cliente DHCP y servicios de nombres en la pgina 459 para obtener informacin acerca del uso de servicios de nombres con clientes DHCP.
El cliente DHCP gestiona los permisos de las interfazs lgicas y fsicas de la misma forma, salvo por la siguiente limitacin de las interfazs lgicas:
El cliente DHCP no gestiona las rutas predeterminadas asociadas con interfazs lgicas. El ncleo de Solaris asocia rutas con interfazs fsicas, no lgicas. Cuando se establece la direccin IP de una interfaz fsica, se deben establecer las rutas predeterminadas necesarias en la tabla de encaminamiento. Si a continuacin se utiliza DHCP para configurar una interfaz lgica asociada con esa interfaz fsica, las rutas necesarias ya deben estar establecidas. La interfaz lgica utiliza las mismas rutas. Cuando caduca un permiso de una interfaz fsica, el cliente DHCP elimina las rutas predeterminadas asociadas con la interfaz. Cuando caduca un permiso de una interfaz lgica, el cliente DHCP no elimina las rutas predeterminadas asociadas con la interfaz. La interfaz fsica asociada, y quiz otras interfazs lgicas, pueden tener que utilizar esas mismas rutas. Si necesita agregar o eliminar rutas predeterminadas asociadas con una interfaz controlada por DHCP, utilice el mecanismo de secuencias de eventos del cliente DHCP. Consulte Secuencias de eventos de cliente DHCP en la pgina 464.
proceso solicita al cliente que enve un nombre de host especfico al servidor DHCP y que espere el mismo nombre como respuesta. Sin embargo, el servidor DHCP no tiene por qu satisfacer esta solicitud y, de hecho, muchos no lo hacen. Se limitan a devolver un nombre distinto.
458
Cmo activar un cliente DHCPv4 de Solaris para que solicite un nombre de host especfico
En el sistema cliente, edite el archivo /etc/default/dhcpagent como superusuario. Busque la palabra clave REQUEST_HOSTNAME en el archivo /etc/default/dhcpagent y modifquela del siguiente modo:
REQUEST_HOSTNAME=yes
1 2
So delante de REQUEST_HOSTNAME aparece un signo de comentario (#), brrelo. Si no aparece la palabra clave REQUEST_HOSTNAME, insrtela.
3
Edite el archivo /etc/hostname. interfaz en el sistema cliente para agregar la lnea siguiente: inet nombre_host nombre_host es el nombre que quiere que el cliente utilice.
Escriba los comandos siguientes para que el cliente efecte una negociacin DHCP completa al rearrancar:
# ifconfig interface dhcp release # reboot
Los datos de DHCP reservados en el cliente se eliminan. El cliente reinicia el protocolo para solicitar nueva informacin de configuracin, incluido un nuevo nombre de host. El servidor DHCP se asegura en primer lugar de que otro sistema de la red no utiliza ese nombre de host. El servidor asigna entonces el nombre de host al cliente. Si se configura para ello, el servidor DHCP puede actualizar los servicios de nombres con el nombre de host del cliente. Si desea modificar el nombre de host ms adelante, repita el Paso 3 y el Paso 4.
TABLA 161
Servicio de nombres
NIS
Si utiliza DHCP de Solaris para enviar informacin de la instalacin de red de Solaris a un sistema cliente, puede utilizar una macro de configuracin que contiene las opciones NISservs y NISdmain. Estas opciones pasan las direcciones IP de los servidores NIS y el nombre de dominio NIS al cliente. El cliente se convierte automticamente en cliente NIS. Si un sistema cliente DHCP ya est ejeuctando el SO Solaris, el cliente NIS no se configura automticamente en ese sistema cuando el servidor DHCP enva informacin NIS al cliente. Si el servidor DHCP se configura para enviar informacin NIS al sistema cliente DHCP, puede ver los valores proporcionados al cliente utilizando el comando dhcpinfo en el cliente, de la siguiente forma: # /sbin/dhcpinfo NISdmain # /sbin/dhcpinfo NISservs
Nota Para DHCPv6, incluya -v6 y palabras clave de protocolo distintas en el comando.
# /sbin/dhcpinfo -v6 NISDomain # /sbin/dhcpinfo -v6 NISServers Utilice los valores devueltos para el nombre del dominio NIS y los servidores NIS al configurar el sistema como cliente NIS. Para configurar un cliente NIS para un sistema cliente DHCP de Solaris utilice el mtodo estndar documentado en el Captulo 5, Setting Up and Configuring NIS Service de System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Consejo Puede escribir una secuencia de comandos que utilice dhcpinfo e ypinit para automatizar la configuracin de clientes NIS en sistemas cliente DHCP.
NIS+
Si el cliente NIS+ para un sistema cliente DHCP se configura de la forma convencional, es posible que el servidor DHCP proporcione de vez en cuando al cliente direcciones distintas. Esto provoca problemas de seguridad, ya que la seguridad de NIS+ incluye la direccin IP como parte de la configuracin. Para garantizar que el cliente tenga la misma direccin cada vez, configure el cliente NIS+ para un sistema cliente DHCP de forma no estndar, segn se documenta en Configuracin de clientes DHCP como clientes NIS+ en la pgina 461. Si se ha asignado manualmente una direccin IP al sistema cliente DHCP, la direccin del cliente ser siempre la misma. El cliente NIS+ se puede configurar de la forma estndar, descrita en Setting Up NIS+ Client Machines de System Administration Guide: Naming and Directory Services (NIS+).
460
TABLA 161 Informacin de cliente de servicio de nombres para sistemas cliente DHCP (Continuacin) Servicio de nombres Informacin de configuracin de cliente
/etc/inet/hosts
Deber configurar el archivo /etc/inet/hosts para un sistema cliente DHCP que vaya a utilizar /etc/inet/hosts para su servicio de nombres. El nombre de host del sistema cliente DHCP se agrega a su propio archivo /etc/inet/hosts mediante las herramientas de DHCP. Sin embargo, se debe agregar manualmente el nombre de host al archivo /etc/inet/hosts de otros sistemas de la red. Si el sistema servidor DHCP utiliza /etc/inet/hosts para la resolucin de nombres, deber agregar tambin manualmente el nombre de host del cliente al sistema.
DNS
Si el sistema cliente DHCP recibe el nombre de dominio DNS a travs de DHCP, el archivo /etc/resolv.conf del sistema cliente se configura automticamente. El archivo /etc/nsswitch.conf se actualiza tambin automticamente para agregar dns a la lnea hosts a continuacin de otros servicios de nombres en el orden de bsqueda. Para obtener ms informacin acerca de DNS, consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
sesin en el sistema. Otros usuarios que inicien sesin en el sistema cliente DHCP debern disponer de sus propias credenciales nicas en el servidor NIS+. Estas credenciales se crean mediante el procedimiento descrito en la System Administration Guide: Naming and Directory Services (NIS+).
1
Para crear las credenciales para un cliente, escriba el siguiente comando en el servidor NIS+:
# nisgrep nisplus-client-name cred.org_dir > /tmp/file
Este comando escribe la entrada de la tabla cred.org_dir correspondiente al cliente NIS+ en un archivo temporal.
2
Utilice el comando cat para ver el contenido de este archivo. Tambin puede utilizar un editor de texto.
Copie las credenciales para utilizar para los clientes DHCP. Deber copiar la clave pblica y la privada, que son largas secuencias de nmeros y letras separadas por dos puntos (:). Las credenciales se debern pegar en el comando que se emitir en el siguiente paso.
En clave_pblica_copiada, pegue la informacin de clave pblica que ha copiado del archivo temporal. En clave_privada_copiada, pegue la informacin de clave privada que ha copiado del archivo temporal.
5
Copie de forma remota los archivos desde el sistema cliente NIS+ al sistema cliente DHCP emitiendo los siguientes comandos en el sistema cliente DHCP:
# rcp nisplus-client-name:/var/nis/NIS_COLD_START /var/nis # rcp nisplus-client-name:/etc/.rootkey /etc # rcp nisplus-client-name:/etc/defaultdomain /etc
Si recibe un mensaje de permission denied (permiso denegado), es posible que los sistemas no estn conrfigurados para permitir la copia remota. En tal caso, puede copiar los archivos como usuario normal a una ubicacin intermedia. Como superusuario, copie los archivos desde la ubicacin intermedia a la ubicacin aproada en el sistema cliente DHCP.
6
Copie el archivo de cambios del servicio de nombres correcto para NIS+ mediante el siguiente comando en el sistema cliente DHCP:
# cp /etc/nsswitch.nisplus /etc/nsswitch.conf
462
Rearranque el sistema cliente DHCP. Ahora, el sistema cliente DHCP ya podr utilizar los servicios NIS+.
Ejemplo 161
El sistema cliente DHCP dhow podr ahora utilizar los servicios NIS+.
Ejemplo 162
PRIVATE_DATA=3a86729b685e2b2320cd7e26d4f1519ee070a60620a93e48a8682c5031058df4 HOST="dhcp-" DOMAIN="mydomain.example.com" for i in 002 003 004 005 006 007 008 009 010 011 012 013 014 015 016 017 018 019 do print - ${HOST}${i} #nistbladm -r [cname="${HOST}${i}.${DOMAIN}."]cred.org_dir nistbladm -a cname="${HOST}${i}.${DOMAIN}." \ auth_type=DES auth_name="unix.${HOST}${i}@${DOMAIN}" \ public_data=${PUBLIC_DATA} private_data=${PRIVATE_DTA} cred.org_Dir done exit 0
EXTEND y EXTEND6
EXPIRE y EXPIRE6
464
DROP y DROP6
El cliente usa la concesin para eliminar la interfaz desde el control DHCP. Se llama a la secuencia de eventos inmediatamente antes de la interfaz se retire del control de DHCP. El cliente deja de usar la direccin IP. Se llama a la secuencia de eventos inmediatamente antes de que el cliente libere la direccin en la interfaz y enve el paquete DHCPv4 RELEASE o DHCPv6 Release al servidor DHCP. Una interfaz obtiene informacin de configuracin nueva o actualizada de un servidor DHCP a travs del mensaje DHCPv4 INFORM o DHCPv6 Information-Request. Estos eventos tienen lugar cuando el cliente DHCP solo obtiene parmetros de configuracin del servidor, pero no obtiene un permiso de direccin IP. Durante la caducidad del permiso, cuando an quedan uno o ms permisos vlidos, se llama a la secuencia de eventos justo antes de eliminar las direcciones caducadas. Las direcciones que se van a eliminar se marcan con el indicador IFF_DEPRECATED.
RELEASE y RELEASE6
INFORM e INFORM6
LOSS6
donde interfaz es la interfaz que utiliza DHCP y evento es una de las palabras clave de evento descritas anteriormente. Por ejemplo, cuando la interfaz ce0 se configura por primera vez para DHCP, dhcpagent llama a la secuencia de eventos de la siguiente forma:
/etc/dhcp/eventhook ce0 BOUND
Asigne al archivo ejecutable el nombre /etc/dhcp/eventhook. Establezca el propietario del archivo en root. Establezca los permisos en 755 (rwxr-xr-x ). Escriba la secuencia o programa que debe llevar a cabo una serie de acciones en respuesta a alguno de los eventos documentados. Sun puede agregar nuevos eventos, de modo que el programa debe hacer caso omiso de los eventos no reconocidos o que no requieren accin. Por ejemplo, el programa o secuencia puede escribir un archivo de registro cuando el evento es RELEASE, y no hacer caso de los dems eventos. El programa o secuencia no debe ser interactivo. Antes de llamar a la secuencia de eventos, stdin, stdout y stderr se conectan a /dev/null. Para ver la salida de errores, deber redirigirla a un archivo.
465
La secuencia de eventos hereda su entorno de programa de dhcpagent, y se ejeucta con privilegios de root. Si es necesario, la secuencia puede utilizar la utilidad dhcpinfo para obtener ms informacin acerca de la interfaz. Para ms informacin consulte la pgina de comando man dhcpinfo(1). El daemon dhcpagent espera la salida de la secuencia de eventos para todos los eventos. Si la secuencia de eventos no sale transcurridos 55 segundos, dhcpagent enva una seal SIGTERM al proceso de la secuencia. Si el proceso sigue sin salir pasados otros tres segundos, el daemon enva una seal SIGKILL para cerrar el proceso. En la pgina de comando man dhcpagent(1M) se muestra un ejemplo de secuencia de eventos. El Ejemplo 163 muestra la forma de utilizar una secuencia de eventos DHCP para mantener actualizado el contenido del archivo /etc/resolv.conf. Cuando tienen lugar los eventos BOUND y EXTEND, la secuencia sustituye los nombres del servidor de dominios y del servidor de nombres. Cuando tienen lugar los eventos EXPIRE, DROP y RELEASE, la secuencia elimina del archivo los nombres del servidor de dominios y del servidor de nombres.
Nota La secuencia de ejemplo supone que DHCP es el origen de autoridad del servidor de dominios y del servidor de nombres. Tambin supone que todas las interfaces bajo control de DHCP devuelven informacin coherente y actualizada. Es posible que estas hiptesis no reflejen las condiciones reales de su sistema.
EJEMPLO 163
#!/bin/ksh -p PATH=/bin:/sbin export PATH umask 0222 # Refresh the domain and name servers on /etc/resolv.conf insert () { dnsservers=dhcpinfo -i $1 DNSserv if [ -n "$dnsservers" ]; then # remove the old domain and name servers if [ -f /etc/resolv.conf ]; then rm -f /tmp/resolv.conf.$$ sed -e /^domain/d -e /^nameserver/d \ /etc/resolv.conf > /tmp/resolv.conf.$$ fi # add the new domain dnsdomain=dhcpinfo -i $1 DNSdmain
466
EJEMPLO 163
(Continuacin)
if [ -n "$dnsdomain" ]; then echo "domain $dnsdomain" >> /tmp/resolv.conf.$$ fi # add new name servers for name in $dnsservers; do echo nameserver $name >> /tmp/resolv.conf.$$ done mv -f /tmp/resolv.conf.$$ /etc/resolv.conf fi } # Remove the domain and name servers from /etc/resolv.conf remove () { if [ -f /etc/resolv.conf ]; then rm -f /tmp/resolv.conf.$$ sed -e /^domain/d -e /^nameserver/d \ /etc/resolv.conf > /tmp/resolv.conf.$$ mv -f /tmp/resolv.conf.$$ /etc/resolv.conf fi } case $2 in BOUND | EXTEND) insert $1 exit 0 ;; EXPIRE | DROP | RELEASE) remove exit 0 ;; *) exit 0 ;; esac
467
468
17
C A P T U L O
1 7
En este captulo se ofrece informacin para ayudarle a resolver problemas que pueden aparecen al configurar un servidor o cliente DHCP. Tambin puede servir de ayuda con posibles problemas de uso de DHCP una vez finalizada la configuracin. Este captulo contiene la informacin siguiente:
Solucin de problemas del servidor DHCP en la pgina 469 Solucin de problemas de configuracin del cliente DHCP en la pgina 475
Consulte el Captulo 14, Configuracin del servicio DHCP (tareas) para obtener informacin sobre la configuracin del servidor DHCP. Consulte Activacin y desactivacin de un cliente DHCP de Solaris en la pgina 453 para obtener informacin sobre la configuracin de su cliente DHCP.
Problemas de NIS+ y el almacn de datos DHCP en la pgina 469 Errores de asignacin de direccin IP en DHCP en la pgina 473
No se puede seleccionar NIS+ como almacn de datos DHCP en la pgina 470 NIS+ no est bien configurado como almacn de datos DHCP en la pgina 470 Problemas de acceso de NIS+ para el almacn de datos DHCP en la pgina 471
469
El dominio ya debe estar configurado. El servidor maestro del dominio NIS+ se debe estar ejecutando. Las tablas del servidor maestro deben estar llenas. La tabla de hosts debe contener una entrada para el nuevo sistema cliente, el sistema servidor DHCP.
Setting Up NIS+ Client Machines de System Administration Guide: Naming and Directory Services (NIS+) ofrece informacin detallada acerca de la configuracin de un cliente NIS+.
/usr/lib/nis/nisstat Este comando muestra las estadsticas del dominio. Si el objeto root no existe, no se devuelve estadstica alguna. Configure el dominio NIS+ siguiendo las indicaciones de la System Administration Guide: Naming and Directory Services (NIS+).
Problema: NIS+ no se utiliza para la informacin de passwd y publickey. Solucin: Escriba el comando siguiente para ver el archivo de configuracin del cambio de servicio de nombres: cat /etc/nsswitch.conf Compruebe si en las entradas passwd y publickey aparece la palabra clave nisplus. Consulte la System Administration Guide: Naming and Directory Services (NIS+) para obtener informacin acerca de la configuracin del cambio de servicio de nombres.
470 Gua de administracin del sistema: servicios IP Octubre de 2009
domainname Si el comando muestra una cadena vaca, no se ha establecido ningn nombre para el dominio. Utilice archivos locales como almacn de datos o configure un dominio NIS+ para su red. Consulte la System Administration Guide: Naming and Directory Services (NIS+).
Problema: El archivo NIS_COLD_START no existe. Solucin: Escriba el comando siguiente en el sistema servidor para determinar si el archivo existe: cat /var/nis/NIS_COLD_START Utilice archivos locales como almacn de datos o crre un cliente NIS+. Consulte la System Administration Guide: Naming and Directory Services (NIS+).
Los derechos de acceso se muestran en la forma r---rmcdrmcdr---, donde los permisos se aplican respectivamente a nobody (nadie), owner (propietario), group (grupo) y world (todos). El propietario del objeto se indica a continuacin. Normalmente, el objeto de directorio org_dir proporciona todos los derechos al propietario y al grupo. "Todos los derechos" significa derechos de leer, modificar, crear y destruir. El objeto de directorio org_dir proporicona nicamente acceso de lectura a las clases world y nobody. El nombre del servidor DHCP debe figurar como propietario del objeto org_dir o bien como principal en el grupo. El grupo debe tener acceso de creacin. Utilice el comando siguiente para ver el grupo:
nisls -ldg org_dir
Utilice el comando nischmod para cambiar los permisos de org_dir, si es necesario. Por ejemplo, para agregar al grupo acceso de creacin, escriba el siguiente comando:
nischmod g+c org_dir
Problema: El servidor DHCP no tiene derechos de acceso para crear una tabla en el objeto
org_dir. Normalmente, este problema significa que el nombre principal del sistema servidor no es miembro del grupo propietario del objeto org_dir, o que no existe un grupo propietario.
Solucin: Escriba este comando para averiguar el nombre del grupo propietario: niscat -o org_dir
Busque una lnea similar a la siguiente: Group : "admin.example.com." Para ver los nombres de principales del grupo ,utilice el comando:
nisgrpadm -l groupname
Por ejemplo, este comando muestra los nombres de principales del grupo admin.example.com: nisgrpadm -l admin.example.com El nombre del sistema servidor debe aparecer como miembro explcito del grupo o estar incluido como miembro implcito de l. Si es necesario, agregue el nombre del sistema servidor al grupo mediante el comando nisgrpadm. Por ejemplo, para agregar el servidor de nombres pacific al grupo admin.example.com , utilice el siguiente comando:
nisgrpadm -a admin.example.com pacific.example.com
Utilice el comando nisaddcred para agregar credenciales de seguridad para un sistema servidor DHCP. En el ejemplo siguiente se muestra la forma de agregar credenciales DES para el sistema mercury en el dominio example.com:
nisaddcred -p unix.mercury@example.com \ -P mercury.example.com. DES example.com.
El comando solicita la contrasea de usuario root, necesaria para generar una clave secreta cifrada. Para ms informacin consulte la pgina de comando man nisaddcred(1M).
472
la tabla de red agregando la red de nuevo mediante DHCP Manager o mediante el comando dhcpconfig. Respuesta de ICMP ECHO al candidato de OFFER: n.n.n.n, desactivando Causa: La direccin IP que se iba a ofrecer a un cliente DHCP ya se est utilizando. Este problema puede surgir si hay ms de un servidor DHCP propietario de la direccin. Tambin puede ocurrir si se ha configurado manualmente una direccin para un cliente de red no DHCP.
Solucin: Determine el verdadero propietario de la direccin. Corrija la base de datos del servidor DHCP o la configuracin de red del host.
Respuesta de ICMP ECHO al candidato de OFFER: n.n.n.n. No hay registro de red dhcp correspondiente. Causa: La direccin IP que se iba a ofrecer a un cliente DHCP no tiene un registro en una tabla de red. Este error indica que el registro de la direccin IP se elimin de la tabla de red DHCP despus de seleccionar la direccin. Este error solo puede suceder durante el breve intervalo antes de terminar de comprobar la direccin duplicada.
Solucin: Utilice DHCP Manager o el comando pntadm para ver la tabla de red DHCP. Si falta
la direccin IP, crela con DHCP Manager eligiendo Crear en el men Edicin de la tabla Direccin. Tambin puede crear la direccin IP con el comando pntadm. Registro de red DHCP para n.n.n.n no disponible, solicitud ignorada. Causa: El registro de la direccin IP solicitada no est en la tabla de red DHCP, de modo que el servidor abandona la solicitud.
Solucin: Utilice DHCP Manager o el comando pntadm para ver la tabla de red DHCP. Si falta
la direccin IP, crela con DHCP Manager eligiendo Crear en el men Edicin de la tabla Direccin. Tambin puede crear la direccin IP con el comando pntadm. n.n.n.n actualmente marcada como no utilizable. Causa: La direccin IP solicitada no se puede ofrecer porque se ha marcado como no utilizable en la tabla de red.
Captulo 17 Solucin de problemas de DHCP (referencia) 473
Solucin: Utilice DHCP Manager o el comando pntadm para marcar la direccin como utilizable.
n.n.n.n se ha asignado manualmente. No se asignar ninguna direccin dinmica. Causa: Se ha asignado manualmente una direccin al ID de cliente, y se ha marcado la direccin como no utilizable. El servidor no puede asignar a este cliente una direccin distinta.
Solucin: Utilice DHCP Manager o el comando pntadm para hacer que la direccin sea utilizable, o asigne manualmente al cliente una direccin distinta.
La asignacin manual (n.n.n.n, ID de cliente) tiene otros n registros. Debera tener 0. Causa: Se ha asignado manualmente ms de una direccin IP al cliente con el ID especificado. Solo se debe asignar una direccin por cliente. El servidor selecciona la ltima direccin asignada que encuentra en la tabla de red.
Solucin: Utilice DHCP Manager o el comando pntadm para modificar direcciones IP y eliminar las asignaciones manuales adicionales.
No hay ms direcciones IP en la red n.n.n.n. Causa: Se han asignado todas las direcciones IP actualmente gestionadas por DHCP en la red especificada.
Solucin: Utilice DHCP Manager o el comando pntadm para crear nuevas direcciones IP para
esta red. El permiso del cliente: ID_cliente en n.n.n.n ha caducado. Causa: El permiso no era negociable y ha caducado.
Solucin: El cliente deber iniciar automticamente el protocolo para obtener un nuevo permiso.
Ha caducado la oferta para el cliente: n.n.n.n Causa: El servidor ha hecho una oferta de direccin IP al cliente, pero el cliente ha tardado demasiado en responder y la oferta ha caducado.
Solucin: El cliente deber emitir automticamente otro mensaje de descubrimiento. Si este mensaje caduca tambin, aumente el tiempo de caducidad de ofertas del servidor DHCP. En el Administrador de DHCP, elija Modify en el men Service.
El permiso del cliente: ID_cliente le falta la opcin de IP solicitada. Causa: La solicitud del cliente no especificaba la direccin IP ofrecida, de modo que el servidor DHCP ha hecho caso omiso de la solicitud. Este problema puede presentarse si se utiliza un cliente DHCP de otro fabricante que no sea compatible con el protocolo DHCP actualizado, RFC 2131.
474 Gua de administracin del sistema: servicios IP Octubre de 2009
El permiso del cliente: ID_cliente est intentando renovar n.n.n.n, una direccin IP a la que no ha dado permiso. Causa: La direccin IP de este cliente en la tabla de red DHCP no coincide con la direccin IP especificada en su solicitud de renovacin. El servidor DHCP no renueva el permiso. Este problema se puede presentar al borrar un registro del cliente mientras este est an utilizando la direccin IP.
Solucin: Utilice DHCP Manager o el comando pntadm para examinar la table de red y corregir el registro del cliente en caso necesario. El ID del cliente debe estar vinculado a la direccin IP especificada. Si no est vinculado a ella, edite las propiedades de la direccin para agregar el ID del cliente.
El permiso del cliente: ID_cliente est intentando verificar la direccin no registrada: n.n.n.n, ignorada. Causa: El cliente especificado no se ha registrado en la tabla de red DHCP con esta direccin, de modo que este servidor DHCP hace caso omiso de la solicitud. Es posible que otro servidor DHCP de la red haya asignado la direccin al cliente. Sin embargo, puede que haya eliminado tambin el registro del cliente mientras este an estaba utilizando la direccin IP.
Solucin: Utilice DHCP Manager o el comando pntadm para examinar la tabla de red de este servidor y otros servidores DHCP de la red. Efecte las correcciones necesarias.
Tambin puede no hacer nada y permitir que el permiso caduque. El cliente solicitar automticamente un nuevo permiso de direccin. Si quiere que el cliente obtenga un nuevo permiso inmediatamente, reinicie el protocolo DHCP en el cliente mediante los comandos siguientes:
ifconfig interface dhcp release ifconfig interface dhcp start
Problemas de comunicacin con el servidor DHCP en la pgina 476 Problemas por informacin de configuracin DHCP incorrecta en la pgina 485
475
Antes de poder determinar el problema, deber reunir informacin de diagnstico del cliente y del servidor. Para recopilar esta informacin, efecte las siguientes tareas: 1. Cmo ejejcutar el cliente DHCP en modo de depuracin en la pgina 476 2. Cmo ejecutar el servidor DHCP en modo de depuracin en la pgina 477 3. Cmo utilizar snoop para supervisar el trfico DHCP en la red en la pgina 477 Puede llevar a cabo estos procesos de forma independiente o simultnea. La informacin recogida puede ayudarle a determinar si el problema es del cliente, del servidor o de un agente de reenvo. Esto le permitir hallar una solucin.
Asgnese los privilegios de superusuario en el sistema del cliente DHCP. Finalice el daemon del cliente DHCP.
# pkill -x dhcpagent
La opcin -d pone el cliente DHCP en modo de depuracin con detalle de nivel 1. La opcin -f hace que la salida se enve a la consola en lugar de a syslog.
4
Sustituya interfaz por el nombre de la interfaz de red del cliente, por ejemplo ge0.
476 Gua de administracin del sistema: servicios IP Octubre de 2009
Cuando se ejcuta en modo de depuracin, el daemon del cliente muestra mensajes en pantalla mientras atiende las solicitudes de DHCP. Consulte Salida del cliente DHCP en modo de depuracin en la pgina 478 para obtener informacin sobre la salida del cliente en dicho modo.
Deber utilizar tambin las opciones de lnea de comandos de in.dhcpd que utiliza normalmente al ejecutar el daemon. Por ejemplo, si ejecuta el daemon como agente de reenvo BOOTP, incluya la opcin -r en el comando in.dhcpd -d -v. Cuando se ejecuta en modo de depuracin, el daemon muestra mensajes en pantalla mientras procesa las solicitudes de DHCP o BOOTP. Consulte Salida del servidor DHCP en modo de depuracin en la pgina 479 para obtener informacin sobre la depuracin del servidor.
Asgnese los privilegios de superusuario en el sistema del servidor DHCP. Inicie snoop para empezar a rastrear el trfico de red que pasa por la interfaz de red del servidor.
# /usr/sbin/snoop -d interface -o snoop-output-filename udp port 67 or udp port 68
snoop sigue supervisando la interfaz hasta que detenga snoop pulsando Control-C cuando ya tenga la informacin que necesita.
3
Arranque el sistema cliente o reinicie dhcpagent en l. En Cmo ejejcutar el cliente DHCP en modo de depuracin en la pgina 476 se indca cmo reiniciar dhcpagent.
477
En el sistema servidor, utilice snoop para mostrar el archivo de salida con el contenido de los paquetes de red:
# /usr/sbin/snoop -i snoop-output-filename -x0 -v
ConsulteSalida de snoop en DHCP en la pgina 482 para obtener informacin de interpretacin de la salida.
Salida normal del cliente DHCP en modo de depuracin debug: set_packet_filter: set filter 0x27fc8 (DHCP filter) debug: init_ifs: initted interface hme0 debug: insert_ifs: hme0: sdumax 1500, optmax 1260, hwtype 1, hwlen 6 debug: insert_ifs: inserted interface hme0 debug: register_acknak: registered acknak id 5 debug: unregister_acknak: unregistered acknak id 5 debug: set_packet_filter: set filter 0x26018 (ARP reply filter) info: setting IP netmask on hme0 to 255.255.192.0 info: setting IP address on hme0 to 10.23.3.233 info: setting broadcast address on hme0 to 10.23.63.255 info: added default router 10.23.0.1 on hme0 debug: set_packet_filter: set filter 0x28054 (blackhole filter) debug: configure_if: bound ifsp->if_sock_ip_fd info: hme0 acquired lease, expires Tue Aug 10 16:18:33 2006 info: hme0 begins renewal at Tue Aug 10 15:49:44 2006 info: hme0 begins rebinding at Tue Aug 10 16:11:03 2006
/sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent:
Si el cliente no puede acceder al servidor DHCP, es posible que la salida del modo de depuracin sea similar a este ejemplo.
EJEMPLO 172
Salida del cliente DHCP en modo de depuracin que indica que hay algn problema debug: debug: debug: debug: debug: set_packet_filter: set filter 0x27fc8 (DHCP filter) init_ifs: initted interface hme0 select_best: no valid OFFER/BOOTP reply select_best: no valid OFFER/BOOTP reply select_best: no valid OFFER/BOOTP reply
EJEMPLO 172 Salida del cliente DHCP en modo de depuracin que indica que hay algn problema (Continuacin)
Si se muestra este mensaje, la solicitud del cliente no ha llegado al servidor o el servidor no puede enviar una respuesta al cliente. Ejecute snoop en el servidor segn se describe en Cmo utilizar snoop para supervisar el trfico DHCP en la red en la pgina 477 para determinar si los paquetes del cliente han llegado al servidor.
Daemon Version: 3.1 Maximum relay hops: 4 Transaction logging to console enabled. Run mode is: DHCP Server Mode. Datastore: nisplus Path: org_dir.dhcp.test..:dhcp.test..:$ DHCP offer TTL: 10 Ethers compatibility enabled. BOOTP compatibility enabled. ICMP validation timeout: 1000 milliseconds, Attempts: 2. Monitor (0005/hme0) started... Thread Id: 0005 - Monitoring Interface: hme0 ***** MTU: 1500 Type: DLPI Broadcast: 10.21.255.255 Netmask: 255.255.0.0 Address: 10.21.0.2 Monitor (0006/nf0) started... Thread Id: 0006 - Monitoring Interface: nf0 ***** MTU: 4352 Type: DLPI Broadcast: 10.22.255.255 Netmask: 255.255.0.0 Address: 10.22.0.1 Monitor (0007/qfe0) started... Thread Id: 0007 - Monitoring Interface: qfe0 ***** MTU: 1500 Type: DLPI
Captulo 17 Solucin de problemas de DHCP (referencia) 479
EJEMPLO 173
(Continuacin)
Broadcast: 10.23.63.255 Netmask: 255.255.192.0 Address: 10.23.0.1 Read 33 entries from DHCP macro database on Tue Aug 10 15:10:27 2006 Datagram received on network device: qfe0 Client: 0800201DBA3A is requesting verification of address owned by 10.21.0.4 Datagram received on network device: qfe0 Client: 0800201DBA3A is requesting verification of address owned by 10.21.0.4 Datagram received on network device: qfe0 Client: 0800201DBA3A is requesting verification of address owned by 10.21.0.4 Datagram received on network device: qfe0 Client: 0800201DBA3A maps to IP: 10.23.3.233 Unicasting datagram to 10.23.3.233 address. Adding ARP entry: 10.23.3.233 == 0800201DBA3A DHCP EXTEND 0934312543 0934316143 10.23.3.233 10.21.0.2 0800201DBA3A SUNW.Ultra-5_10 0800201DBA3A
El Ejemplo 174 muestra la salida del modo de depuracin de un daemon DHCP que se inicia como agente de reenvo BOOTP. El agente reenva solicitudes de un cliente a un servidor DHCP, y reenva las respuestas del servidor al cliente.
EJEMPLO 174
Relay destination: 10.21.0.4 (blue-servr2) network: 10.21.0.0 Daemon Version: 3.1 Maximum relay hops: 4 Transaction logging to console enabled. Run mode is: Relay Agent Mode. Monitor (0005/hme0) started... Thread Id: 0005 - Monitoring Interface: hme0 ***** MTU: 1500 Type: DLPI Broadcast: 10.21.255.255 Netmask: 255.255.0.0 Address: 10.21.0.2 Monitor (0006/nf0) started... Thread Id: 0006 - Monitoring Interface: nf0 ***** MTU: 4352 Type: DLPI Broadcast: 10.22.255.255 Netmask: 255.255.0.0 Address: 10.22.0.1 Monitor (0007/qfe0) started... Thread Id: 0007 - Monitoring Interface: qfe0 ***** MTU: 1500 Type: DLPI Broadcast: 10.23.63.255 Netmask: 255.255.192.0
480 Gua de administracin del sistema: servicios IP Octubre de 2009
EJEMPLO 174
(Continuacin)
Address: 10.23.0.1 Relaying request 0800201DBA3A to 10.21.0.4, server port. BOOTP RELAY-SRVR 0934297685 0000000000 0.0.0.0 10.21.0.4 0800201DBA3A N/A 0800201DBA3A Packet received from relay agent: 10.23.0.1 Relaying reply to client 0800201DBA3A Unicasting datagram to 10.23.3.233 address. Adding ARP entry: 10.23.3.233 == 0800201DBA3A BOOTP RELAY-CLNT 0934297688 0000000000 10.23.0.1 10.23.3.233 0800201DBA3A N/A 0800201DBA3A Relaying request 0800201DBA3A to 10.21.0.4, server port. BOOTP RELAY-SRVR 0934297689 0000000000 0.0.0.0 10.21.0.4 0800201DBA3A N/A 0800201DBA3A Packet received from relay agent: 10.23.0.1 Relaying reply to client 0800201DBA3A Unicasting datagram to 10.23.3.233 address. Adding ARP entry: 10.23.3.233 == 0800201DBA3A
Si hay algn problema con DHCP, la salida del modo de depuracuin puede contener advertencias o mensajes de error. Utilice la siguiente lista de mensajes de error del servidor DHCP para encontrar soluciones. Respuesta de ICMP ECHO al candidato de OFFER: direccin_ip desactivando Causa: Antes de que el servidor DHCP ofrezca una direccin IP a un cliente, el servidor enva un ping a la direccin para comprobar que no se est utilizando. Si algn cliente responde, la direccin se est utilizando.
Solucin: Asegrese de que las direcciones configuradas no se estn utilizando. Puede utilizar para ello el comando ping. Para ms informacin consulte la pgina de comando manping(1M).
No hay ms direcciones IP en la red direccin_red. Causa: No hay direcciones IP disponibles en la tabla de red DHCP asociada con la red del cliente.
Solucin: Cree ms direcciones IP mediante DHCP Manager o el comando pntadm. Si el daemon de DHCP est supervisando varias subredes, compruebe que las direcciones adicionales son para la subred en la que se encuentra el cliente. Para ms informacin consulte Cmo agregar direcciones IP al servicio DHCP en la pgina 399.
481
No hay mas direcciones IP para la red direccin_red cuando se ejcuta el daemon de DHCP en modo de compatibilidad con BOOTP. Causa: BOOTP no utiliza tiempos de permiso, de modo que el servidor DHCP busca direcciones libres con el indicador BOOTP activado para asignar a clientes BOOTP.
Solucin: Utilice DHCP Manager para asignar direcciones BOOTP. Para ms informacin
consulte Clientes BOOTP con el servicio DHCP (mapa de tareas) en la pgina 392. Solicitud de acceso a base de datos por red inexistente: nombre_base_datos en almacn de datos: almacn_datos. Causa: Durante la configuracin del servidor DHCP no se ha creado una tabla de red DHCP para una subred.
Solucin: Utilice DHCP Manager o el comando pntadm para crear la tabla de red DHCP y nuevas direcciones IP. Consulte Cmo agregar redes DHCP en la pgina 385.
No existe la tabla de red DHCP nombre_tabla para la red del cliente DHCP. Causa: Durante la configuracin del servidor DHCP no se ha creado una tabla de red DHCP para una subred.
Solucin: Utilice DHCP Manager o el comando pntadm para crear la tabla de red DHCP y nuevas direcciones IP. Consulte Cmo agregar redes DHCP en la pgina 385.
El cliente utiliza una cookie de BOOTP no compatible con RFC1048. Causa: Un dispositivo de la red est intentando acceder a una implementacin incompatible de BOOTP.
Solucin: Haga caso omiso de este mensaje a menos que tenga necesidad de configurar el dispositivo. Si quiere que el dispositivo sea compatible, consulte Clientes BOOTP con el servicio DHCP (mapa de tareas) en la pgina 392 para ms informacin.
En el ejemplo siguiente se muestra una salida normal de snoop para un mensaje de reconocimiento (ACK) de DHCP enviado desde el servidor en blue-servr2 a un cliente cuya direccin MAC es 8:0:20:8e:f3:7e . En el mensaje, el servidor asigna al cliente la direccin IP 192.168.252.6 y el nombre de host white-6. El mensaje incluye tambin diversas opciones de red estndar y varias opciones de cliente especficas del proveedor.
EJEMPLO 175
ETHER: ----- Ether Header ----ETHER: ETHER: Packet 26 arrived at 14:43:19.14 ETHER: Packet size = 540 bytes ETHER: Destination = 8:0:20:8e:f3:7e, Sun ETHER: Source = 8:0:20:1e:31:c1, Sun ETHER: Ethertype = 0800 (IP) ETHER: IP: ----- IP Header ----IP: IP: Version = 4 IP: Header length = 20 bytes IP: Type of service = 0x00 IP: xxx. .... = 0 (precedence) IP: ...0 .... = normal delay IP: .... 0... = normal throughput IP: .... .0.. = normal reliability IP: Total length = 526 bytes IP: Identification = 64667 IP: Flags = 0x4 IP: .1.. .... = do not fragment IP: ..0. .... = last fragment IP: Fragment offset = 0 bytes IP: Time to live = 254 seconds/hops IP: Protocol = 17 (UDP) IP: Header checksum = 157a IP: Source address = 10.21.0.4, blue-servr2 IP: Destination address = 192.168.252.6, white-6 IP: No options IP: UDP: ----- UDP Header ----UDP: UDP: Source port = 67 UDP: Destination port = 68 (BOOTPC) UDP: Length = 506 UDP: Checksum = 5D4C UDP: DHCP: ----- Dynamic Host Configuration Protocol ----DHCP: DHCP: Hardware address type (htype) = 1 (Ethernet (10Mb)) DHCP: Hardware address length (hlen) = 6 octets DHCP: Relay agent hops = 0
Captulo 17 Solucin de problemas de DHCP (referencia) 483
EJEMPLO 175
(Continuacin)
DHCP: Transaction ID = 0x2e210f17 DHCP: Time since boot = 0 seconds DHCP: Flags = 0x0000 DHCP: Client address (ciaddr) = 0.0.0.0 DHCP: Your client address (yiaddr) = 192.168.252.6 DHCP: Next server address (siaddr) = 10.21.0.2 DHCP: Relay agent address (giaddr) = 0.0.0.0 DHCP: Client hardware address (chaddr) = 08:00:20:11:E0:1B DHCP: DHCP: ----- (Options) field options ----DHCP: DHCP: Message type = DHCPACK DHCP: DHCP Server Identifier = 10.21.0.4 DHCP: Subnet Mask = 255.255.255.0 DHCP: Router at = 192.168.252.1 DHCP: Broadcast Address = 192.168.252.255 DHCP: NISPLUS Domainname = dhcp.test DHCP: IP Address Lease Time = 3600 seconds DHCP: UTC Time Offset = -14400 seconds DHCP: RFC868 Time Servers at = 10.21.0.4 DHCP: DNS Domain Name = sem.example.com DHCP: DNS Servers at = 10.21.0.1 DHCP: Client Hostname = white-6 DHCP: Vendor-specific Options (166 total octets): DHCP: (02) 04 octets 0x8194AE1B (unprintable) DHCP: (03) 08 octets "pacific" DHCP: (10) 04 octets 0x8194AE1B (unprintable) DHCP: (11) 08 octets "pacific" DHCP: (15) 05 octets "xterm" DHCP: (04) 53 octets "/export/s2/base.s2s/latest/Solaris_8/Tools/Boot" DHCP: (12) 32 octets "/export/s2/base.s2s/latest" DHCP: (07) 27 octets "/platform/sun4u/kernel/unix" DHCP: (08) 07 octets "EST5EDT" 0: 0800 208e f37e 0800 201e 31c1 0800 4500 .. .~.. .1...E. 16: 020e fc9b 4000 fe11 157a ac15 0004 c0a8 ....@....z...... 32: fc06 0043 0044 01fa 5d4c 0201 0600 2e21 ...C.D..]L.....! 48: 0f17 0000 0000 0000 0000 c0a8 fc06 ac15 ................ 64: 0002 0000 0000 0800 2011 e01b 0000 0000 ........ ....... 80: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 96: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 112: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 128: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 144: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 160: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 176: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 192: 0000 0000 0000 0000 0000 0000 0000 0000 ................
484 Gua de administracin del sistema: servicios IP Octubre de 2009
EJEMPLO 175
Ejemplo de salida de snoop para un paquete 0000 0000 0000 0000 0000 0401 a8fc 0000 0f10 6f6d 362b 7469 7469 6f72 735f 6172 740c 6173 6573 756e 0807 0000 0000 0000 0000 0000 04ff ff40 0e10 736e 0604 a602 630a 630f 742f 776f 6973 202f 652e 7407 346d 4553 0000 0000 0000 0000 6382 ffff 0964 0204 742e ac15 0481 0481 0578 7332 732f 5f38 6578 7332 1b2f 2f6b 5435 0000 0000 0000 0000 5363 0003 6863 ffff 6561 0001 94ae 94ae 7465 382f 6c61 2f54 706f 3873 706c 6572 4544 0000 0000 0000 0000 3501 04c0 702e c7c0 7374 0c07 1b03 1b0b 726d 6261 7465 6f6f 7274 5f77 6174 6e65 54ff 0000 0000 0000 0000 0536 a8fc 7465 0404 2e73 7768 0861 0861 0435 7365 7374 6c73 2f73 6f73 666f 6c2f 0000 0000 0000 0000 04ac 011c 7374 ac15 756e 6974 746c 746c 2f65 2e73 2f53 2f42 3238 2f6c 726d 756e
(Continuacin) ................ ................ ................ ................ ......c.Sc5..6.. ................ .....@.dhcp.test 3............... ....sem.example. com.........whit e-6+.........pac ific.........pac ific...xterm.5/e xport/sx2/bcvf.s 2xs_btf/latest/S olaris_x/Tools/B oot. /export/s2x /bcvf.s2xs_btf/l atest../platform /sun4u/kernel/un ix..EST5EDT.
208: 224: 240: 256: 272: 288: 304: 320: 336: 352: 368: 384: 400: 416: 432: 448: 464: 480: 496: 512: 528:
0000 0000 0000 0000 0000 1500 04c0 3304 0004 2e63 652d 616e 616e 7870 3238 6f6c 6f6f 2f62 6174 2f73 6978
Examine las macros definidas en el servidor tal como se describe en Cmo visualizar las macros definidas en un servidor DHCP (Administrador de DHCP) en la pgina 413. Revise la informacin en Orden del procesamiento de macros en la pgina 331 y determine qu macros se procesan automticamente para este cliente. Examine la tabla de red para determinar si se asigna alguna macro a la direccin IP del cliente como macro de configuracin y, en su caso, cul es. Para ms informacin consulte Uso de direcciones IP en el servicio DHCP (mapa de tareas) en la pgina 395. Anote las opciones que aparecen en ms de una macro. Asegrese de que el valor deseado para una opcin se configura en la ltima macro procesada. Edite la macro o macros necesarias para garantizar que se pasa el valor correcto al cliente. Consulte Modificacin de macros DHCP en la pgina 414.
485
de DNS.
Solucin: Si el cliente tiene disponibles dos servidores DHCP, ambos se deben configurar para proporcionar actualizaciones de DNS. Consulte Habilitacin de las actualizaciones DNS dinmicas por parte del servidor DHCP en la pgina 376 para obtener informacin sobre la configuracin del servidor DHCP y del servidor DNS.
Para determinar si el servidor DHCP est configurado para proporcionar actualizaciones de DNS: 1. Determine la direccin IP del servidor DHCP del cliente. En el sistema cliente, utilice snoop u otra aplicacin para capturar paquetes de red. Consulte Cmo utilizar snoop para supervisar el trfico DHCP en la red en la pgina 477 y efecte el procedimiento en el cliente en lugar de hacerlo en el servidor. En la salida de snoop, busque el identificador del servidor DHCP para obtener la direccin IP del servidor. 2. Inicie sesin en el sistema servidor DHCP para comprobar que est configurado para efectuar actualizaciones de DNS. Escriba el siguiente comando como superusuario: dhcpconfig -P Si aparece UPDATE_TIMEOUT como parmetro de servidor, el servidor DHCP est configurado para efectuar actualizaciones de DNS. 3. En el servidor DNS, examine el archivo /etc/named.conf. Busque la palabta clave allow-update en la seccin zone del dominio apropiado. Si el servidor permite que el servidor DHCP efecte actualizaciones de DNS, la direccin IP del servidor DHCP aparecer en la palabra clave allow-update.
486 Gua de administracin del sistema: servicios IP Octubre de 2009
Problema: El cliente utiliza la opcin FQDN para especificar el nombre de host. Solaris DHCP no es actualmente compatible ocn la opcin FQDN porque no es una opcin oficial del protocolo DHCP. Solucin: En el servidor, utilice snoop u otra aplicacin para capturar paquetes de red. Consulte
Cmo utilizar snoop para supervisar el trfico DHCP en la red en la pgina 477 En la salida de snoop, busque la opcin FQDN en un paquete del cliente. Configure el cliente para que especifique el nombre de host con la opcin Hostname. Hostname tiene el cdigo de opcin 12. Consulte la documentacin de cliente para obtener instrucciones. Para un cliente de Solaris, consulte Cmo activar un cliente DHCPv4 de Solaris para que solicite un nombre de host especfico en la pgina 459.
Problema: El servidor DHCP que efecta una oferta de direccin al cliente no conoce el dominio
DNS de este.
Solucin: En el servidor DHCP, busque la opcin DNSdmain con un valor vlido. Configure la
opcin DNSdmain con el dominio DNS correcto en una macro procesada para este cliente. DNSdmain suele estar incluida en la macro de red. Consulte Modificacin de macros DHCP en la pgina 414 para obtener informacin sobre cmo cambiar los valores de las opciones de una macro.
Problema: El nombre de host solicitado por el cliente corresponde a una direccin IP no
gestionada por el servidor DHCP. El servidor DHCP de Solaris no efecta actualizaciones de DNS para direcciones IP que no gestiona.
Solucin: Examinesyslog y busque uno de los siguientes mensajes del servidor DHCP:
There is no n.n.n.n dhcp-network table for DHCP clients network. DHCP network record for n.n.n.n is unavailable, ignoring request.
Configure el cliente para que solicite un nombre distinto. Consulte Cmo activar un cliente DHCPv4 de Solaris para que solicite un nombre de host especfico en la pgina 459. Elija un nombre asignado a una de las direcciones gestionadas por el servidor DHCP. Puede acceder a las asignaciones de direcciones en la ficha Direcciones de DHCP Manager. Tambin puede elegir una direccin que no est asignada a ninguna direccin IP.
Problema: El nombre de host solicitado por el cliente corresponde a una direccin IP no
disponible actualmente. Es posible que la direccin se est utilizando, se haya asignado a otro cliente o se haya ofrecido a otro cliente.
Solucin: Examinesyslog y busque el siguiente mensaje del servidor DHCP: ICMP ECHO reply to OFFER candidate: n.n.n.n.
Configure el cliente para que elija un nombre que corresponda a una direccin IP distinta. Tambin puede recuperar la direccin del cliente que la est utilizando.
487
Problema: El servidor DNS no est configurado para aceptar actualizaciones del servidor DHCP. Solucin: Examine el archivo /etc/named.conf del servidor DNS. Busque la direccin IP del servidor DHCP con la palabra clave allow-update en la seccin zone apropiada del dominio del servidor DHCP. Si no encuentra la direccin IP, el servidor DNS no est configurado para aceptar actualizaciones del servidor DHCP. Consulte Cmo activar la actualizacin de DNS dinmica para los clientes DHCP en la pgina 377 para obtener informacin sobre la configuracin del servidor DNS. Si el servidor DHCP tiene varias interfaces, quiz deba configurar el servidor DNS para que acepte actualizaciones de todas las direcciones del servidor DHCP. Active el modo de depuracin en el servidor DNS para ver si le estn llegando las actualizaciones. Si el servidor DNS ha recibido solicitudes de actualizacin, examine la salida del modo de depuracin para determinar por qu no se han producido las actualizaciones. Consulte la pgina de comando man in.named.1M para obtener informacin sobre el modo de depuracin de DNS. Problema: Es posible que las actualizaciones de DNS no se hayan completado en el tiempo asignado. Los servidores DHCP no devuelven nombres de host a los clientes si las actualizaciones de DNS no se han completado antes del lmite de tiempo configurado. Sin embargo, los intentos de completar las actualizaciones de DNS no se interrumpen. Solucin: Utilice el comando nslookup para determinar si las actualizaciones se han completado satisfactoriamente. Consulte la pgina de comando man nslookup(1M). Por ejemplo, supongamos que el dominio DNS es hills.example.org y la direccin IP del servidor DNS es 10.76.178.11. El nombre de host que el cliente desea registrar es cathedral. Puede utilizar el comando siguiente para determinar si cathedral se ha registrado con ese servidor DNS: nslookup cathedral.hills.example.org 10.76.178.11 Si las actualizaciones se han efectuado satisfactoriamente, pero no en el tiempo asignado, deber aumentar el tiempo. Consulte Cmo activar la actualizacin de DNS dinmica para los clientes DHCP en la pgina 377. En este procedimiento deber aumentar el nmero de segundos durante los que se debe esperar una respuesta del servidor DNS antes de que se agote el tiempo.
488
18
C A P T U L O
1 8
En este captulo se explican las relaciones entre los comandos DHCP y los archivos DHCP. En l no se explica el uso de los comandos. El captulo contiene la informacin siguiente: Comandos DHCP en la pgina 489 Archivos que utiliza el servicio DHCP en la pgina 497 Informacin de opciones DHCP en la pgina 499
Comandos DHCP
En la tabla siguiente se enumeran los comandos que se pueden utilizar para gestionar DHCP en la red.
TABLA 181 Orden
dhtadm
Se emplea para efectuar cambios en las opciones y macros de dhcptab. Este comando resulta til en secuencias creadas para automatizar los cambios en la informacin DHCP. Utilice dhtadm con la opcin -P y redirija la salida al comando grep para buscar de forma rpida valores especficos de opciones en la tabla dhcptab. Se utiliza para efectuar cambios en las tablas de red DHCP que asignan ID de cliente a direcciones IP y, de foram opcional, asocian informacin de configuracin con direcciones IP. Se usa para configurar y desconfigurar servidors DHCP y agentes de reenvo BOOTP. Tambin se utiliza para convertir a un formato de almacn de datos distinto y para importar y exportar datos de configuracin DHCP.
dhtadm(1M)
pntadm
pntadm(1M)
dhcpconfig
dhcpconfig(1M)
489
Comandos DHCP
(Continuacin)
Pgina de comando man
in.dhcpd
Daemon del servidor DHCP. El daemon se inicia al iniciarse el sistema. No es conveniente iniciar el daemon del servidor directamente. Utilice DHCP Manager, el comando svcadm o dhcpconfig para iniciar y detener el daemon. El daemon solo se debe llamar directamente para ejecutar el servidor en modo de depuracin y para resolver problemas.
in.dhcpd(1M)
dhcpmgr
DHCP Manager, una interfaz grfica de usuario (GUI) que se utiliza para dhcpmgr(1M) la configuracin y gestin del servicio DHCP. DHCP Manager es la herramienta recomendada para gestionar DHCP de Solaris. Se utiliza en el arranque del sistema para asignar direcciones IP a ifconfig(1M) interfaces de red, configurar parmetros de red o ambas funciones. En un cliente DHCP de Solaris, ifconfig inicia DHCP para obtener los parmetros (incluida la direccin IP) necesarios para configurar una interfaz de red. Lo utilizan las secuencias de inicio de los sistemas cliente de Solaris para dhcpinfo(1) obtener informacin (como el nombre de host) para el daemon del cliente DHCP, dhcpagent. Tambin se puede utilizar dhcpinfo en secuencias o en la lnea de comandos para obtener valores de parmetros especficos. Se utiliza para capturar y mostrar el contenido de paquetes que circulan por la red. snoop resulta til para resolver problemas del servicio DHCP. El daemon del cliente DHCP, que implementa el extrremo cliente del protocolo DHCP. snoop(1M)
ifconfig
dhcpinfo
snoop
dhcpagent
dhcpagent(1M)
#! /usr/bin/ksh # # This script utilizes the pntadm batch facility to add client entries # to a DHCP network table. It assumes that the user has the rights to # run pntadm to add entries to DHCP network tables. # # Based on the nsswitch setting, query the netmasks table for a netmask. # Accepts one argument, a dotted IP address.
490 Gua de administracin del sistema: servicios IP Octubre de 2009
Comandos DHCP
EJEMPLO 181
(Continuacin)
# get_netmask() { MTMP=getent netmasks ${1} | awk { print $2 } if [ ! -z "${MTMP}" ] then print - ${MTMP} fi } # # Based on the network specification, determine whether or not network is # subnetted or supernetted. # Given a dotted IP network number, convert it to the default class # network.(used to detect subnetting). Requires one argument, the # network number. (e.g. 10.0.0.0) Echos the default network and default # mask for success, null if error. # get_default_class() { NN01=${1%%.*} tmp=${1#*.} NN02=${tmp%%.*} tmp=${tmp#*.} NN03=${tmp%%.*} tmp=${tmp#*.} NN04=${tmp%%.*} RETNET="" RETMASK="" typeset -i16 ONE=10#${1%%.*} typeset -i10 X=$((${ONE}&16#f0)) if [ ${X} -eq 224 ] then # Multicast typeset -i10 TMP=$((${ONE}&16#f0)) RETNET="${TMP}.0.0.0" RETMASK="240.0.0.0" fi typeset -i10 X=$((${ONE}&16#80)) if [ -z "${RETNET}" -a ${X} -eq 0 ] then # Class A RETNET="${NN01}.0.0.0" RETMASK="255.0.0.0" fi
Captulo 18 Comandos y archivos DHCP (referencia) 491
Comandos DHCP
EJEMPLO 181
(Continuacin)
typeset -i10 X=$((${ONE}&16#c0)) if [ -z "${RETNET}" -a ${X} -eq 128 ] then # Class B RETNET="${NN01}.${NN02}.0.0" RETMASK="255.255.0.0" fi typeset -i10 X=$((${ONE}&16#e0)) if [ -z "${RETNET}" -a ${X} -eq 192 ] then # Class C RETNET="${NN01}.${NN02}.${NN03}.0" RETMASK="255.255.255.0" fi print - ${RETNET} ${RETMASK} unset NNO1 NNO2 NNO3 NNO4 RETNET RETMASK X ONE } # # Given a dotted form of an IP address, convert it to its hex equivalent. # convert_dotted_to_hex() { typeset -i10 one=${1%%.*} typeset -i16 one=${one} typeset -Z2 one=${one} tmp=${1#*.} typeset -i10 two=${tmp%%.*} typeset -i16 two=${two} typeset -Z2 two=${two} tmp=${tmp#*.} typeset -i10 three=${tmp%%.*} typeset -i16 three=${three} typeset -Z2 three=${three} tmp=${tmp#*.} typeset -i10 four=${tmp%%.*} typeset -i16 four=${four} typeset -Z2 four=${four} hex=print - ${one}${two}${three}${four} | sed -e s/#/0/g print - 16#${hex} unset one two three four tmp }
492 Gua de administracin del sistema: servicios IP Octubre de 2009
Comandos DHCP
EJEMPLO 181
(Continuacin)
# Maximum legal value - invert the mask, add to net. typeset -i16 mhosts=~${mask} typeset -i16 maxnet=${net}+${mhosts} # Add the incr value. let net=${net}+${incr} if [ $((${net} < ${maxnet})) -eq 1 ] then typeset -i16 a=${net}\&16#ff000000 typeset -i10 a="${a}>>24" typeset -i16 b=${net}\&16#ff0000 typeset -i10 b="${b}>>16" typeset -i16 c=${net}\&16#ff00 typeset -i10 c="${c}>>8" typeset -i10 d=${net}\&16#ff print - "${a}.${b}.${c}.${d}" fi unset net mask incr mhosts maxnet a b c d } # Given a network address and client address, return the index. client_index() { typeset -i NNO1=${1%%.*} tmp=${1#*.} typeset -i NNO2=${tmp%%.*} tmp=${tmp#*.} typeset -i NNO3=${tmp%%.*} tmp=${tmp#*.} typeset -i NNO4=${tmp%%.*} typeset -i16 NNF1
Captulo 18 Comandos y archivos DHCP (referencia) 493
Comandos DHCP
EJEMPLO 181
(Continuacin)
let NNF1=${NNO1} typeset -i16 NNF2 let NNF2=${NNO2} typeset -i16 NNF3 let NNF3=${NNO3} typeset -i16 NNF4 let NNF4=${NNO4} typeset +i16 NNF1 typeset +i16 NNF2 typeset +i16 NNF3 typeset +i16 NNF4 NNF1=${NNF1#16\#} NNF2=${NNF2#16\#} NNF3=${NNF3#16\#} NNF4=${NNF4#16\#} if [ ${#NNF1} -eq 1 ] then NNF1="0${NNF1}" fi if [ ${#NNF2} -eq 1 ] then NNF2="0${NNF2}" fi if [ ${#NNF3} -eq 1 ] then NNF3="0${NNF3}" fi if [ ${#NNF4} -eq 1 ] then NNF4="0${NNF4}" fi typeset -i16 NN let NN=16#${NNF1}${NNF2}${NNF3}${NNF4} unset NNF1 NNF2 NNF3 NNF4 typeset -i NNO1=${2%%.*} tmp=${2#*.} typeset -i NNO2=${tmp%%.*} tmp=${tmp#*.} typeset -i NNO3=${tmp%%.*} tmp=${tmp#*.} typeset -i NNO4=${tmp%%.*} typeset -i16 NNF1 let NNF1=${NNO1} typeset -i16 NNF2 let NNF2=${NNO2}
494 Gua de administracin del sistema: servicios IP Octubre de 2009
Comandos DHCP
EJEMPLO 181
(Continuacin)
typeset -i16 NNF3 let NNF3=${NNO3} typeset -i16 NNF4 let NNF4=${NNO4} typeset +i16 NNF1 typeset +i16 NNF2 typeset +i16 NNF3 typeset +i16 NNF4 NNF1=${NNF1#16\#} NNF2=${NNF2#16\#} NNF3=${NNF3#16\#} NNF4=${NNF4#16\#} if [ ${#NNF1} -eq 1 ] then NNF1="0${NNF1}" fi if [ ${#NNF2} -eq 1 ] then NNF2="0${NNF2}" fi if [ ${#NNF3} -eq 1 ] then NNF3="0${NNF3}" fi if [ ${#NNF4} -eq 1 ] then NNF4="0${NNF4}" fi typeset -i16 NC let NC=16#${NNF1}${NNF2}${NNF3}${NNF4} typeset -i10 ANS let ANS=${NC}-${NN} print - $ANS } # # Check usage. # if [ "$#" != 3 ] then print "This script is used to add client entries to a DHCP network" print "table by utilizing the pntadm batch facilty.\n" print "usage: $0 network start_ip entries\n" print "where: network is the IP address of the network" print " start_ip is the starting IP address \n" print " entries is the number of the entries to add\n"
Captulo 18 Comandos y archivos DHCP (referencia) 495
Comandos DHCP
EJEMPLO 181
(Continuacin)
print "example: $0 10.148.174.0 10.148.174.1 254\n" return fi # # Use input arguments to set script variables. # NETWORK=$1 START_IP=$2 typeset -i STRTNUM=client_index ${NETWORK} ${START_IP} let ENDNUM=${STRTNUM}+$3 let ENTRYNUM=${STRTNUM} BATCHFILE=/tmp/batchfile.$$ MACRO=uname -n # # Check if mask in netmasks table. First try # for network address as given, in case VLSM # is in use. # NETMASK=get_netmask ${NETWORK} if [ -z "${NETMASK}" ] then get_default_class ${NETWORK} | read DEFNET DEFMASK # use the default. if [ "${DEFNET}" != "${NETWORK}" ] then # likely subnetted/supernetted. print - "\n\n###\tWarning\t###\n" print - "Network ${NETWORK} is netmasked, but no entry was found \n in the netmasks table; please update the netmasks \n table in the appropriate nameservice before continuing. \n (See /etc/nsswitch.conf.) \n" >&2 return 1 else # use the default. NETMASK="${DEFMASK}" fi fi # # Create a batch file. # print -n "Creating batch file " while [ ${ENTRYNUM} -lt ${ENDNUM} ] do
496 Gua de administracin del sistema: servicios IP Octubre de 2009
EJEMPLO 181
(Continuacin)
if [ $((${ENTRYNUM}-${STRTNUM}))%50 -eq 0 ] then print -n "." fi CLIENTIP=get_addr ${NETWORK} ${NETMASK} ${ENTRYNUM} print "pntadm -A ${CLIENTIP} -m ${MACRO} ${NETWORK}" >> ${BATCHFILE} let ENTRYNUM=${ENTRYNUM}+1 done print " done.\n" # # Run pntadm in batch mode and redirect output to a temporary file. # Progress can be monitored by using the output file. # print "Batch processing output redirected to ${BATCHFILE}" print "Batch processing started." pntadm -B ${BATCHFILE} -v > /tmp/batch.out 2 >&1 print "Batch processing completed."
dhcptab
Trmino genrico para la tabla que contiene la informacin o configuracin de DHCP registrada en forma de opciones con valores asignados y luego agrupadas en forma de macros. El nombre de la tabla dhcptab y su ubicacin los determinan el almacn de datos que se utiliza para la informacin DHCP. Asigna direcciones IP a ID de cliente y opciones de configuracin. Las tablas de red DHCP se nombran segn la direccin IP de la red, como 10.21.32.0. No hay ningn archivo llamado dhcp_network. El nombre y la ubicacin de las tablas de red DHCP los determina el almacn de datos utilizado para la informacin de DHCP.
dhcptab(4)
dhcp_network(4)
497
TABLA 182
(Continuacin)
Pgina de comando man
dhcpsvc.conf
Almacena opciones de inicio para el daemon DHCP e informacin para el almacn de datos. Este archivo no debe editarse de forma manual. Utilice el comando dhcpconfig para modificar las opciones de inicio. Especifica la ubicacin de las bases de datos de servicios de nombres y el orden en que se debe buscar en los servidores de nombres diversos tipos de informacin. El archivo nsswitch.conf se lee para obtener informacin de configuracin precisa al configurar un servidor DHCP. El archivo se ecnuentra en el directorio /etc. Contiene informacin que se emplea para resolver consultas de DNS. Durante la configuracin del servidor DHCP se consulta este archivo para obtener informacin acerca del dominio DNS y del servidor DNS. El archivo se ecnuentra en el directorio /etc.
dhcpsvc.conf(4)
nsswitch.conf
nsswitch.conf(4)
resolv.conf
resolv.conf(4)
dhcp.interfaz
Indica que se debe utilizar DHCP en la interfaz de red del cliente No hay pgina de comando man especfica, especificada en el nombre de archivo dhcp.interfaz. Por consulte dhcp(5) ejemplo, la existencia de un ,a denominado dhcp.qe0 indica que se debe utilizar DHCP en la interfaz qe0. El archivo dhcp. interfaz puede contener comandos que se pasan como opciones al comando ifconfig, que a su vez se utiliza para iniciar DHCP en el cliente. El archivo se encuentra en el directorio /etc de los sistemas cliente DHCP de Solaris. Contiene los parmetros de configuracin obtenidos de DHCP para la interfaz de red especificada. El cliente guarda la informacin de configuracin actual en /etc/dhcp/interfaz.dhc cuando se termina el permiso de la direccin IP actual. Por ejemplo, si se usa DHCP en la interfaz qe0, dhcpagent guarda la informacin de configuracin en /etc/dhcp/qe0.dhc. La siguiente vez que se inicia DHCP en la interfaz, el cliente solicita utilizar la informacin guardada si el permiso no ha caducado. Si el servidor DHCP deniega la solicitud, el cliente inicia el proceso estndar de negociacin de permiso DHCP. No hay pgina de comando man especfica, consulte dhcpagent(1M)
interfaz.dhc
dhcpagent
Establece valores de parmetros para el daemon de cliente dhcpagent(1M) dhcpagent. La ruta al archivo es /etc/default/dhcpagent. Para ms informacin acerca de los parmetros consulte el archivo /etc/default/dhcpagent o la pgina de comando man dhcpagent(1M).
498
TABLA 182
(Continuacin)
Pgina de comando man
DHCP inittab
Define diversos aspectos de cdigos de opciones DHCP, como el dhcp_inittab(4) tipo de datos, y asigna etiquetas mnemnicas. Para ms informacin acerca de la sintaxis del archivo consulte la pgina de comando man dhcp_inittab(4). En el cliente, la informacin del archivo /etc/dhcp/inittab la utiliza dhcpinfo para proporcionar informacin ms significativa a los lectores humanos de la informacin. En el sistema servidor DHCP, este archivo lo utiliza el daemon DHCP y las herramientas de gestin para obtener informacin de opciones DHCP. El archivo /etc/dhcp/inittab sustituye al archivo /etc/dhcp/dhcptags utilizado en versiones anteriores. En Informacin de opciones DHCP en la pgina 499 hallar ms informacin acerca de esta sustitucin.
Tiene previsto actualizarse desde una versin de Solaris ms antigua que Solaris 8. Ha creado anteriormente nuevas opciones de DHCP. Ha modificado el archivo /etc/dhcp/dhcptags y desea conservar los cambios.
Al actualizarse, el registro de actualizacin le notifica que su archivo dhcptags e ha modificado y que deber efectuar cambios en en el archivo inittab de DHCP.
Captulo 18 Comandos y archivos DHCP (referencia) 499
categora cdigo
type
granularidad mximo
500
consumidores
Describe qu programas pueden utilizar esta informacin. Consumidores debe establecerse en sdmi, donde: s d m i snoop in.dhcpd dhcpmgr dhcpinfo
A continuacin se muestra un ejemplo de entrada de inittab: StaticRt - Standard, 33, IP, 2, 0, sdmi En esta entrada se describe una opcin denominada StaticRt. La opcin est en la categora estndar y el cdigo de opcin es el 33. Los datos previstos son probablemente una cantidad infinita de pares de direcciones porque el tipo es IP, la granularidad es 2 y el mximo es infinito (0). Los consumidores de esta opcin son sdmi: snoop, in.dhcpd, dhcpmgr y dhcpinfo.
501
502
P A R T E
I V
Seguridad IP
Esta seccin se centra en la seguridad de red. La arquitectura de seguridad IP (IPsec) protege la red en el nivel del paquete. El intercambio de claves de Internet (IKE) administra las claves para IPsec. El filtro IP de Solaris proporciona un cortafuegos.
503
504
19
C A P T U L O
1 9
La arquitectura de seguridad IP (IPsec) ofrece proteccin criptogrfica para los datagramas IP en paquetes de redes IPv4 e IPv6. Este captulo contiene la informacin siguiente: Novedades de IPsec en la pgina 505 Introduccin a IPsec en la pgina 507 Flujo de paquetes IPsec en la pgina 509 Asociaciones de seguridad IPsec en la pgina 512 Mecanismos de proteccin de IPsec en la pgina 513 Directivas de proteccin IPsec en la pgina 517 Modos de transporte y tnel en IPsec en la pgina 517 Redes privadas virtuales e IPsec en la pgina 519 Paso a travs de IPsec y NAT en la pgina 520 IPsec y SCTP en la pgina 521 IPsec y Zonas de Solaris en la pgina 522 IPsec y dominios lgicos en la pgina 522 Archivos y utilidades IPsec en la pgina 522 Cambios en IPsec para la versin Solaris 10 en la pgina 524
Para implementar IPsec en la red, consulte el Captulo 20, Configuracin de IPsec (tareas). Para obtener informacin de referencia, consulte el Captulo 21, Arquitectura de seguridad IP (referencia).
Novedades de IPsec
Solaris 10 4/09: a partir de esta versin, la utilidad de gestin de servicios (SMF) administra IPsec como conjunto de servicios.
505
Novedades de IPsec
Por defecto, hay dos servicios de IPsec habilitados en el arranque del sistema:
svc:/network/ipsec/policy:default svc:/network/ipsec/ipsecalgs:default
Por defecto, los servicios de gestin de claves se deshabilitan en el arranque del sistema:
svc:/network/ipsec/manual-key:default svc:/network/ipsec/ike:default
Para activar directivas IPsec en SMF, siga estos pasos: 1. 2. 3. 4. Agregue entradas de directivas IPsec al archivo ipsecinit.conf. Configure la Internet Key Exchange (IKE) o configure manualmente las claves. Actualice el servicio de directivas IPsec. Habilite el servicio de administracin de teclas.
Para obtener ms informacin sobre SMF, consulte el Captulo 17, Managing Services (Overview) de System Administration Guide: Basic Administration. Consulte tambin las pginas de comando man smf(5) y svcadm(1M). A partir de esta versin, los comandos ipsecconf e ipseckey presentan la opcin -c para comprobar la sintaxis de sus respectivos archivos de configuracin. Asimismo, el perfil de derechos Network IPsec Management se proporciona para administrar IPsec e IKE. Solaris 10 8/07&: a partir de esta versin, IPsec implementa por completo los tneles en modo tnel y se modifican las utilidades que admiten tneles.
IPsec implementa los tneles en modo tnel para las redes privadas virtuales (VPN). En modo tnel, IPsec admite mltiples clientes detrs de una sola NAT. En modo tnel, IPsec es interoperable con las implementaciones de tneles de IP en IP de otros proveedores. IPsec sigue admitiendo tneles en modo transporte, de modo que es compatible con las versiones anteriores de Solaris. La sintaxis para crear un tnel se simplifica. Para administrar la directiva IPsec, se ha ampliado el comando ipsecconf. El comando ifconfig no se admite para la administracin de la directiva IPsec. A partir de esta versin, se elimina el archivo /etc/ipnodes. Utilice el archivo /etc/hosts para configurar las direcciones IPv6 de red.
Solaris 10 1/06: a partir de esta versin, IKE es totalmente compatible con NAT-Traversal, como se describe en RFC 3947 y RFC 3948. Las operaciones IKE usan la biblioteca PKCS #11 de la estructura criptogrfica, lo cual mejora el rendimiento. La estructura criptogrfica proporciona un almacn de claves softtoken para las aplicaciones que utilizan la metarranura. Cuando IKE utilice la metarranura, podr guardar las claves en el disco, en una placa conectada o en el almacn de claves softtoken.
Para utilizar el almacn de claves softtoken, consulte la pgina del comando man cryptoadm(1M).
506
Introduccin a IPsec
Para ver una lista completa de las nuevas funciones de Solaris y una descripcin de las versiones de Solaris, consulte Novedades de Solaris 10.
Introduccin a IPsec
IPsec protege los paquetes IP autenticndolos, cifrndolos o llevando a cabo ambas acciones. IPsec se lleva a cabo dentro del mdulo IP, debajo de la capa de aplicacin. Por tanto, una aplicacin de Internet puede aprovechar IPsec aunque no est configurada para el uso de IPsec. Cuando se utiliza correctamente, la directiva IPsec es una herramienta eficaz para proteger el trfico de la red. La proteccin IPsec implica cinco componentes principales:
Protocolos de seguridad: Mecanismo de proteccin de datagramas IP. El encabezado de autenticacin (AH) firma los paquetes IP y garantiza la integridad. El contenido del datagrama no est cifrado, pero el receptor tiene la seguridad de que el contenido del paquete no se ha modificado. El receptor tambin tiene la garanta de que los paquetes los ha enviado el remitente. La Encapsulating Security Payload (ESP) cifra los datos IP, con lo cual codifica el contenido durante la transmisin de paquetes. ESP tambin puede garantizar la integridad de los datos mediante una opcin de algoritmo de autenticacin. Base de datos de asociaciones de seguridad (SADB): La base de datos que asocia un protocolo de seguridad con una direccin de destino IP y un nmero de ndice. El nmero de ndice se denomina ndice de parmetros de seguridad. Estos tres elementos (el protocolo de seguridad, la direccin de destino y el SPI) identifican de forma exclusiva a un paquete IPsec legtimo. La base de datos garantiza que el receptor reconozca un paquete protegido que llega a su destino. El receptor tambin utiliza informacin de la base de datos para descifrar la comunicacin, verificar que los paquetes no se hayan modificado, volver a ensamblar los paquetes y entregarlos en su destino final. Administracin de claves: La generacin y distribucin de claves para los algoritmos criptogrficos y SPI. Mecanismos de seguridad: Los algoritmos de autenticacin y cifrado que protegen los datos de los datagramas IP. Base de datos de directivas de seguridad (SPD): La base de datos que especifica el nivel de proteccin que se aplica a un paquete. SPD filtra el trfico IP para determinar el modo en que se deben procesar los paquetes. Un paquete puede descartarse, transferirse sin codificar o protegerse con IPsec. Para los paquetes salientes, SPD y SADB determinan el nivel de proteccin que se aplicar. Para los paquetes entrantes, SPD permite determinar si el nivel de proteccin del paquete es aceptable. Si el paquete se protege con IPsec, SPD se consulta una vez descifrado y verificado el paquete.
IPsec aplica los mecanismos de seguridad a los datagramas IP que se transfieren a la direccin de destino IP. El receptor utiliza la informacin de SADB para comprobar que los paquetes que llegan sean legtimos y descifrarlos. Las aplicaciones pueden invocar IPsec para aplicar mecanismos de seguridad a los datagramas IP por socket tambin.
Captulo 19 Arquitectura de seguridad IP (descripcin general) 507
Introduccin a IPsec
Los SA por socket modifican su entrada de puerto correspondiente en SPD. Adems, si el socket de un puerto est conectado y posteriormente se aplica la directiva IPsec a ese puerto, el trfico que utiliza ese socket no est protegido mediante IPsec. Naturalmente, un socket abierto en un puerto despus de la aplicacin de la directiva IPsec en el puerto est protegido con IPsec.
RFC IPsec
Internet Engineering Task Force (IETF) ha publicado una serie de solicitudes de comentarios (RFC) que describen la arquitectura de seguridad para la capa IP. Todas las RFC tienen copyright de la Sociedad de Internet. Encontrar un vnculo a las RFC en la pgina http://ietf.org/. La siguiente lista de RFC incluye referencias de seguridad IP generales:
RFC 2411, "IP Security Document Roadmap", noviembre de 1998. RFC 2401, "Security Architecture for the Internet Protocol", noviembre de 1998. RFC 2402, "IP Authentication Header", noviembre de 1998. RFC 2406, "IP Encapsulating Security Payload (ESP)", noviembre de 1998. RFC 2408, "Internet Security Association and Key Management Protocol (ISAKMP)", noviembre de 1998. RFC 2407, "The Internet IP Security Domain of Interpretation for ISAKMP", noviembre de 1998 RFC 2409, "The Internet Key Exchange (IKE)", noviembre de 1998. RFC 3554, "On the Use of Stream Control Transmission Protocol (SCTP) with IPsec", julio de 2003 [sin implementar en la versin Solaris 10]
Terminologa de IPsec
Las RFC IPsec definen una serie de trminos tiles para determinar cundo debe implementar IPsec en los sistemas. La tabla siguiente enumera los trminos de IPsec, proporciona sus acrnimos habituales y aporta una definicin. Para ver una lista de la terminologa que se utiliza en la negociacin de claves, consulte la Tabla 221.
508
TABLA 191
Trmino de IPsec
Asociacin de seguridad
SA
Conexin exclusiva entre dos nodos de una red. La conexin se define mediante tres elementos: un protocolo de seguridad, un ndice de parmetros de seguridad y un destino IP. El destino IP puede ser una direccin IP o un socket. Base de datos que contiene todas las asociaciones de seguridad activas.
SADB
ndice de parmetros SPI de seguridad base de datos de directivas de seguridad Intercambio de claves Protocolo Diffie-Hellman Protocolo RSA DH SPD
El valor de ndice para una asociacin de seguridad. Un SPI es un valor de 32 bits que distingue entre las SA que tienen el mismo destino IP y protocolo de seguridad. Base de datos que determina si los paquetes salientes y entrantes tienen el nivel de proteccin especificado. El proceso de generacin de claves para los algoritmos criptogrficos asimtricos. Los dos mtodos principales son los protocolos RSA y el protocolo Diffie-Hellman. Protocolo de intercambio de claves que implica la generacin y la autenticacin de claves. A menudo se denomina intercambio de claves autenticadas. Protocolo de intercambio de claves que implica la generacin y la distribucin de claves. El protocolo recibe el nombre de sus tres creadores, Rivest, Shamir y Adleman. Estructura habitual para establecer el formato de los atributos SA, as como para negociar, modificar y eliminar SA. ISAKMP es el estndar IETF para administrar SA IPsec.
RSA
ISAKMP
509
Origen (aplicacin)
IP Decisin de encaminamiento IP
Se necesita ESP? No
Se necesita AH? No
Modo de tnel ESP encapsulado (poco frecuente) No Transmitir a destino Dispositivo de tneles Interfaz de tnel: Encapsular datagrama IP, luego volver a procesar mediante IP
FIGURA 191
510
Paquete entrante
IP Es el siguiente encabezado AH? No Es el siguiente encabezado ESP? No Determinar destinatario del datagrama (TCP, UDP, otros) Soltar paquete Procesar ESP, y si el pro- Correcto cesamiento es correcto, marcar datagrama como protegido con ESP. S Procesar AH, y si el pro- Correcto cesamiento es correcto, marcar datagrama como protegido con AH. Incorrecto
Incorrecto
No
Procesamiento ICMP
511
El SPI, un valor arbitrario de 32 bits, se transmite con un paquete AH o ESP. Las pginas del comando man ipsecah(7P) y ipsecesp(7P) explican la proteccin que ofrecen AH y ESP. Se utiliza un valor de suma de comprobacin de integridad para autenticar un paquete. Si la autenticacin falla, se deja el paquete. Las asociaciones de seguridad se almacenan en una base de datos de asociaciones de seguridad (SADB). Un motor de administracin basado en sockets, la interfaz PF_KEY, permite a las aplicaciones privilegiadas administrar la base de datos. Por ejemplo, la aplicacin IKE y el comando ipseckeys usan la interfaz de socket PF_KEY.
Para obtener una descripcin completa de SADB IPsec, consulte Base de datos de asociaciones de seguridad para IPsec en la pgina 591. Para obtener ms informacin sobre cmo administrar SADB, consulte la pgina del comando man pf_key(7P).
512
En la versin actual, SMF proporciona el siguiente servicio de administracin de claves para IPsec:
svc:/network/ipsec/ike:default service es el servicio SMF para la administracin automtica de claves. El servicio ike ejecuta el daemon in.iked para proporcionar administracin automtica de claves. Para ver una descripcin de IKE, consulte el Captulo 22, Intercambio de claves de Internet (descripcin general). Para obtener ms informacin sobre el daemon in.iked, consulte la pgina de comando man in.iked(1M) Para obtener informacin sobre el servicio ike, consulte Utilidad de gestin de servicios de IKE en la pgina 653. svc:/network/ipsec/manual-key:default service es el servicio SMF para la administracin manual de claves. El servicio de manual-key ejecuta el comando ipseckey con varias opciones para administrar claves manualmente. Para ver una descripcin del comando ipseckey, consulte Utilidades para la generacin de claves en IPsec en la pgina 591. Para obtener ms informacin sobre las opciones del comando ipseckey, consulte la pgina de comando man ipseckey(1M).
En las versiones anteriores a Solaris 10 4/09 los comandos en.iked e ipseckey administran material de claves.
El daemon in.iked proporciona administracin de claves automtica. Para ver una descripcin de IKE, consulte el Captulo 22, Intercambio de claves de Internet (descripcin general). Para obtener ms informacin sobre el daemon in.iked, consulte la pgina de comando man in.iked(1M). El comando ipseckey proporciona administracin de claves manual. Para ver una descripcin del comando, consulte Utilidades para la generacin de claves en IPsec en la pgina 591. Para obtener ms informacin sobre las opciones del comando ipseckey, consulte la pgina de comando man ipseckey(1M).
Un AH protege los datos con un algoritmo de autenticacin. Una ESP protege los datos con un algoritmo de cifrado. De modo opcional, una ESP protege los datos con un algoritmo de autenticacin. Cada implementacin de un algoritmo se denomina mecanismo.
513
Encabezado de autenticacin
El encabezado de autenticacin proporciona autenticacin de datos, una integridad slida y proteccin de repeticin para los datagramas IP. AH protege la mayor parte del datagrama IP. Como muestra la ilustracin siguiente, AH se inserta entre el encabezado IP y el encabezado de transporte.
IP Hdr
AH
TCP Hdr
El encabezado de transporte puede ser TCP, UDP, SCTP o ICMP. Si se utiliza un tnel, el encabezado de transporte puede ser otro encabezado de IP.
IP Hdr
ESP
TCP Hdr
Cifrado
En un paquete TCP, ESP encapsula nicamente el encabezado TCP y sus datos. Si el paquete se encuentra en un datagrama de IP en IP, ESP protege el datagrama IP interior. La directiva por socket permite la autoencapsulacin, de modo que ESP puede encapsular las opciones de IP cuando lo necesita. Si est activada la autoencapsulacin, se realiza una copia del encabezado IP para construir un datagrama de IP en IP. Por ejemplo, cuando la autoencapsulacin no est activada en un socket TCP, el datagrama se enva con el siguiente formato:
[ IP(a -> b) options + TCP + data ]
514 Gua de administracin del sistema: servicios IP Octubre de 2009
Cuando la autoencapsulacin est activa en ese socket TCP, el datagrama se enva con el siguiente formato:
[ IP(a -> b) + ESP [ IP(a -> b) options + TCP + data ] ]
AH
Proporciona integridad slida, autenticacin de datos: Garantiza que el receptor recibe exactamente lo que ha enviado el remitente. Es susceptible a los ataques de repeticin cuando AH no activa la proteccin contra repeticiones.
ESP.
Con la opcin de cifrado, cifra el datagrama IP. Garantiza la confidencialidad. Con la opcin de autenticacin, proporciona la misma proteccin que AH. Con ambas opciones, proporciona integridad slida, autenticacin de datos y confidencialidad.
Intercepcin de comunicaciones Repeticin, cortar y pegar Repeticin, cortar y pegar e intercepcin de comunicaciones.
Captulo 13, Solaris Cryptographic Framework (Overview) de System Administration Guide: Security Services Captulo 8, Introduction to the Solaris Cryptographic Framework de Solaris Security for Developers Guide
A partir de la versin Solaris 10 8/07, el contenido de Solaris Encryption Kit se instala mediante el disco de instalacin de Solaris. En esta versin se aaden los algoritmos de autenticacin SHA2: sha256, sha384 y sha512. Las implementaciones SHA2 cumplen la especificacin RFC 4868. Esta versin tambin agrega grupos Diffie-Hellman ms grandes: 2048 bits (grupo 14), 3072 bits (grupo 15) y 4096 bits (grupo 16). Tenga en cuenta que los sistemas de Sun con tecnologa CoolThreads slo aceleran los grupos de 2048 bits. Antes de la versin Solaris 10 8/07, el disco de instalacin de Solaris proporciona algoritmos bsicos, adems puede aadir algoritmos ms complejos desde Solaris Encryption Kit. De modo predeterminado, estn instalados los algoritmos DES-CBC, 3DES-CBC, AES-CBC, y Blowfish-CBC. Los tamaos de claves que admiten los algoritmos AES-CBC y Blowfish-CBC estn limitados a 128 bits. Los algoritmos AES-CBC y Blowfish-CBC que admiten tamaos de claves de ms de 128 bits estn disponibles para IPsec cuando se instala el Solaris Encryption Kit. Sin embargo, no todos los algoritmos de cifrado estn disponibles fuera de Estados Unidos. El kit est disponible en un CD independiente que no forma parte del paquete de instalacin de Solaris 10. En la Solaris 10 Encryption Kit Installation Guide se describe cmo instalar el kit. Para ms informacin, consulte la pgina web Sun Downloads web site (http://www.sun.com/ download). Para descargar el kit, haga clic en la ficha Downloads A-Z y, a continuacin, haga clic en la letra S. Encontrar Solaris 10 Encryption Kit entre las 20 primeras entradas.
516
IPsec aplica la directiva en todo el sistema a los datagramas entrantes y salientes. Los datagramas salientes se envan con o sin proteccin. Si se aplica proteccin, los algoritmos son especficos o no especficos. Puede aplicar algunas reglas adicionales a los datagramas salientes, dados los datos adicionales que conoce el sistema. Los datagramas entrantes pueden aceptarse o dejarse. La decisin de dejar o aceptar un datagrama entrante se basa en varios criterios, que en ocasiones se pueden superponer o entrar en conflicto. Los conflictos se resuelven determinando qu regla que analiza primero. El trfico se acepta automticamente, excepto cuando una entrada de directiva indica que el trfico debe omitir las dems directivas. La directiva que normalmente protege un datagrama se puede omitir. Puede especificar una excepcin en la directiva del sistema, o solicitar una omisin en la directiva por socket. Para el trfico de un sistema, se aplican las directivas, pero no se aplican los mecanismos de seguridad reales. En lugar de ello, la directiva saliente de un paquete dentro del sistema se convierte en un paquete entrante al que se han aplicado esos mecanismos. El archivo ipsecinit.conf y el comando ipsecconf permiten configurar directivas IPsec. Para ver detalles y ejemplos, consulte la pgina del comando man ipsecconf(1M).
En modo transporte, el encabezado exterior determina la directiva IPsec que protege el paquete IP interior. En modo tnel, el paquete IP interior determina la directiva IPsec que protege su contenido.
En modo transporte, pueden utilizarse el encabezado exterior, el encabezado siguiente y los puertos que admita el siguiente encabezado para determinar la directiva IPsec. En efecto, IPsec puede aplicar diferentes directivas de modo de transporte entre dos direcciones IP hasta la granularidad de un nico puerto. Por ejemplo, si el siguiente encabezado es TCP, que admite puertos, la directiva IPsec se puede configurar para un puerto TCP de la direccin IP exterior. De modo similar, si el siguiente encabezado es un encabezado IP, se pueden utilizar el encabezado exterior y el encabezado IP interior para determinar la directiva IPsec.
Captulo 19 Arquitectura de seguridad IP (descripcin general) 517
El modo tnel slo funciona para los datagramas de IP en IP. El uso de tneles en modo tnel puede ser til cuando los usuarios se conecten desde casa a un equipo central. En modo tnel, la directiva IPsec se aplica en el contenido del datagrama IP interior. Se pueden aplicar diferentes directivas IPsec para distintas direcciones IP interiores. Es decir, el encabezado IP interior, su encabezado siguiente y los puertos que admite el siguiente encabezado pueden aplicar una directiva. A diferencia del modo transporte, en el modo tnel el encabezado IP exterior no dicta la directiva de su datagrama IP interior. Por tanto, en modo tnel, la directiva IPsec se puede especificar para las subredes de una LAN detrs de un encaminador y para puertos de dichas subredes. La directiva IPsec tambin se puede especificar para una direccin IP concreta, es decir, hosts de esas subredes. Los puertos de dichos hosts tambin pueden tener una directiva IPsec especfica. Sin embargo, si se ejecuta un protocolo de encaminamiento dinmico por un tnel, no utilice la seleccin de subredes o la seccin de direcciones, porque la vista de la topologa de red en la red equivalente podra cambiar. Los cambios invalidaran la directiva IPsec esttica. Para ver algunos ejemplos de procedimientos de tnel que incluyen la configuracin de rutas estticas, consulte Proteccin de una VPN con IPsec en la pgina 549. En SO Solaris, el modo tnel puede aplicarse slo en una interfaz de red de tneles IP. El comando ipsecconf proporciona una palabra clave tunnel para seleccionar una interfaz de red de tneles IP. Cuando la palabra clave tunnel est presente en una regla, todos los selectores especficos de dicha regla se aplican al paquete interior. En modo transporte, ESP, AH, o ambos, pueden proteger el datagrama. La figura siguiente muestra un encabezado IP con un paquete TCP sin proteger.
IP Hdr
FIGURA 193
TCP Hdr
En modo transporte, ESP protege los datos tal como se muestra en la figura siguiente. El rea sombreada muestra la parte cifrada del paquete.
IP Hdr
ESP
TCP Hdr
Cifrado
FIGURA 194
IP Hdr
FIGURA 195
AH
TCP Hdr
AH cifra los datos antes de que aparezcan en el datagrama. En consecuencia, la proteccin que proporciona AH, incluso en el modo transporte, cifra parte del encabezado IP. En modo tnel, todo el datagrama est dentro de la proteccin de un encabezado IPsec. El datagrama de la Figura 193 est protegido en modo tnel por otro encabezado IPsec exterior, en este caso ESP, tal como se muestra en la figura siguiente.
IP Hdr
ESP
IP Hdr
TCP Hdr
Cifrado
FIGURA 196
El comando ipsecconf incluye palabras clave para configurar tneles en modo tnel o en modo transporte.
Para obtener detalles sobre la directiva por socket, consulte la pgina del comando man ipsec(7P). Si desea ver un ejemplo de la directiva por socket, consulte Cmo utilizar IPsec para proteger un servidor web del trfico que no procede de Internet en la pgina 533. Para ms informacin acerca de los tneles, consulte la pgina del comando man ipsecconf(1M). Para ver un ejemplo de configuracin de tnel, consulte Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554.
originado en su equivalente especificado en el destino del tnel. Si existe esa confianza, puede utilizar el reenvo de IP por interfaz para crear una red privada virtual (VPN). Puede utilizar IPsec para construir una VPN. IPsec protege la conexin. Por ejemplo, una organizacin que utiliza tecnologa VPN para conectar oficinas con redes separadas puede implementar IPsec para proteger el trfico entre las dos oficinas. La figura siguiente ilustra cmo las dos oficinas utilizan Internet para formar su VPN con IPsec implementado en sus sistemas de red.
VPN Intranet Red 1 Sistema 1 hme1 hme0 Encaminador Internet Encaminador Intranet Red 2 Sistema 2 hme0 hme1
FIGURA 197
Para ver un ejemplo detallado del procedimiento de configuracin, consulte Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554. Para las redes IPv6, consulte Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv6 en la pgina 564.
520
IPsec y SCTP
La posibilidad de utilizar IKE cuando un cuadro NAT se encuentra entre sistemas que se comunican, se denomina NAT traversal, o NAT-T. En la versin the Solaris 10, tiene las limitaciones siguientes:
NAT-T funciona slo en redes IPv4. NAT-T no puede aprovechar la aceleracin ESP IPsec que proporciona la placa de Sun Crypto Accelerator 4000. Sin embargo, la aceleracin IKE con la placa Sun Crypto Accelerator 4000 funciona. El protocolo AH depende de un encabezado de IP inalterable; por lo tanto, AH no funciona con NAT-T. El protocolo ESP se utiliza con NAT-T. El cuadro NAT no utiliza reglas de procesamiento especiales. Un cuadro NAT con reglas de procesamiento IPsec especiales podra interferir con la implementacin de NAT-T. NAT-T slo funciona cuando el iniciador IKE es el sistema que hay detrs del cuadro NAT. Un contestador IKE no puede estar detrs de un cuadro NAT a menos que el cuadro se haya programado para reenviar paquetes IKE al sistema individual adecuado detrs del cuadro.
En losa siguientes documentos RFC se describen las funciones de NAT y los lmites de NAT-T. Puede obtener copias de los RFC en http://www.rfc-editor.org.
RFC 3022, "Traditional IP Network Address Translator (Traditional NAT)", enero de 2001. RFC 3715, "IPsec-Network Address Translation (NAT) Compatibility Requirements", marzo de 2004. RFC 3947, "Negotiation of NAT-Traversal in the IKE", enero de 2005. RFC 3948, "UDP Encapsulation of IPsec Packets", enero de 2005.
Para utilizar IPsec en una NAT, consulte Configuracin de IKE para sistemas porttiles (mapa de tareas) en la pgina 638.
IPsec y SCTP
El SO Solaris admite el protocolo SCTP (Streams Control Transmission Protocol). Se admite el uso del protocolo SCTP y el nmero de puerto SCTP para especificar la directiva IPsec, pero no es fiable. Las extensiones IPsec para SCTP tal como se especifican en la RFC 3554 todava no estn implementadas. Estas limitaciones pueden generar complicaciones a la hora de crear la directiva IPsec para SCTP. SCTP puede utilizar varias direcciones de origen y destino en el contexto de una sola asociacin SCTP. Cuando la directiva IPsec se aplica a una nica direccin de origen o una nica direccin de destino, la comunicacin puede fallar cuando SCTP cambie la direccin de origen o de destino de dicha asociacin. La directiva IPsec slo reconoce la direccin original. Para obtener informacin sobre SCTP, consulte las RFC y el Protocolo SCTP en la pgina 42.
Captulo 19 Arquitectura de seguridad IP (descripcin general) 521
Si desea obtener instrucciones sobre la implementacin de IPsec en la red, consulte Proteccin del trfico con IPsec (mapa de tareas) en la pgina 527. Para mas informacin sobre los archivos y las utilidades IPsec, consulte el Captulo 21, Arquitectura de seguridad IP (referencia).
522
TABLA 193
svc:/network/ipsec/ipsecalgs
En la versin actual, el servicio SMF que administra los algoritmos IPsec. En la versin actual, el servicio SMF que gestiona asociaciones de seguridad manuales (SA). En la versin actual, el servicio SMF que gestiona la directiva IPsec. En la versin actual, el servicio SMF para la gestin automtica de IPsec SA. archivo de directiva IPsec En las versiones anteriores a Solaris 10 4/09, si el archivo existe, IPsec se activar en el momento del arranque. En la versin actual, el servicio SMF policy utiliza este archivo para configurar la directiva de IPsec durante el arranque del sistema.
svc:/network/ipsec/manual-key
svc:/network/ipsec/policy
Comando ipsecconf
Comando de directiva IPsec. Es til para visualizar y modificar la ipsecconf(1M) directiva IPsec actual, as como para realizar pruebas. En las versiones anteriores a Solaris 10 4/09 las secuencias de comandos de arranque utilizan ipsecconf para leer el archivo /etc/inet/ipsecinit.conf y activar IPsec. En la versin actual, ipsecconf lo utiliza el servicio SMF polcy para configurar la directiva IPsec en el arranque del sistema.
Interfaz para la base de datos de asociaciones de seguridad (SADB). Controla la administracin de claves manual y automtica.
pf_key(7P)
Comando de material de claves de asociaciones de seguridad (SA) ipseckey(1M) de IPsec. ipseckey es un componente frontal de lnea de comandos para la interfaz PF_KEY. ipseckey puede crear, destruir o modificar SA. Claves para SA de IPsec. En las versiones anteriores a Solaris 10 4/09 si existe el archivo ipsecinit.conf, el archivo ipseckeys se lee automticamente en el momento del arranque. En la versin actual, el servicio SMF manual-key utiliza ipseckeys para configurar manualmente las asociaciones de seguridad (SA) durante el arranque del sistema.
Archivo /etc/inet/secret/ipseckeys
Comando ipsecalgs
Comando de algoritmos IPsec. Es til para visualizar y modificar la lista de algoritmos IPsec y sus propiedades. En la versin actual, se utiliza por parte del servicio SMF ipsecalgs para sincronizar algoritmos IPsec conocidos con el ncleo en el arranque del sistema.
ipsecalgs(1M)
523
TABLA 193
(Continuacin)
Pgina de comando man
Archivo /etc/inet/ipsecalgs
Contiene los protocolos IPsec configurados y las definiciones de algoritmos. Este archivo lo administra el comando ipsecalgs y nunca se debe editar manualmente. archivo de configuracin y directiva de IKE Por defecto, este archivo no existe. En las versiones anteriores a Solaris 10 4/09, si el archivo existe, el daemon IKE (in.iked) proporciona gestin automtica de claves. La administracin se basa en reglas y parmetros globales del archivo /etc/inet/ike/config. Consulte Archivos y utilidades IKE en la pgina 602. En la versin actual, si el archivo existe, el servicio svc:/network/ipsec/ike inicia el daemon IKE, in.iked, para proporcionar gestin automtica de claves. ike.config(4)
Archivo /etc/inet/ike/config
Cuando se conecta una placa Sun Crypto Accelerator 4000, sta coloca en cach automticamente las SA IPsec para los paquetes que utilizan la interfaz Ethernet de la placa. La placa tambin acelera el procesamiento de las SA IPsec. IPsec puede aprovechar la administracin de claves automtica con IKE a travs de redes IPv6. Para ms informacin, consulte el Captulo 22, Intercambio de claves de Internet (descripcin general). Para conocer las novedades IKE, consulte Cambios de IKE en Solaris 10 en la pgina 604. Encontrar ms ayuda en el analizador del comando ipseckey. El comando ipseckey monitor incluye indicaciones de fecha y hora en cada evento. Para obtener ms informacin, consulte la pgina del comando man ipseckey(1M). Los algoritmos IPsec ahora provienen de una ubicacin de almacenamiento central, la estructura criptogrfica de Solaris. La pgina del comando man ipsecalgs(1M) describe las caractersticas de los algoritmos que hay disponibles. Los algoritmos estn optimizados para la arquitectura en la que se ejecutan. Para obtener una descripcin de la estructura, consulte el Captulo 13, Solaris Cryptographic Framework (Overview) de System Administration Guide: Security Services. IPsec funciona en la zona global. La directiva IPsec se administra en la zona global para una zona no global. El material de claves se crea y administra manualmente en la zona global para una zona no global. IKE no se puede utilizar para generar claves para una zona no
524
global. Para obtener informacin sobre las zonas, consulte el Captulo 16, Introduccin a Solaris Zones de Gua de administracin de sistemas: Zonas de Solaris y administracin de recursos y contenedores de Solaris.
La directiva IPsec puede funcionar con el protocolo SCTP (Streams Control Transmission Protocol) y el nmero de puerto SCTP. Sin embargo, la implementacin no est completa. Las extensiones IPsec para SCTP que se especifican en la RFC 3554 todava no estn implementadas. Estas limitaciones pueden ocasionar complicaciones a la hora de crear la directiva IPsec para SCTP. Para obtener ms informacin, consulte las RFC. Asimismo, lea IPsec y SCTP en la pgina 521 y Protocolo SCTP en la pgina 42. IPsec e IKE pueden proteger el trfico que se origina detrs de un cuadro NAT. Para obtener ms detalles e informacin sobre las limitaciones, consulte Paso a travs de IPsec y NAT en la pgina 520. Para ver los procedimientos, consulte Configuracin de IKE para sistemas porttiles (mapa de tareas) en la pgina 638.
525
526
C A P T U L O
20
2 0
Este captulo incluye los procedimientos para implementar IPsec en la red. Los procedimientos se describen en los siguientes mapas de tareas:
Proteccin del trfico con IPsec (mapa de tareas) en la pgina 527 Proteccin de una VPN con IPsec (mapa de tareas) en la pgina 551
Para obtener informacin general sobre IPsec, consulte el Captulo 19, Arquitectura de seguridad IP (descripcin general). Para obtener informacin de referencia sobre IPsec, consulte el Captulo 21, Arquitectura de seguridad IP (referencia).
Proteger el trfico entre dos sistemas. Proteger un servidor Web con la directiva IPsec.
Protege los paquetes de un sistema a otro. Requiere el uso de IPsec por parte del trfico que no sea de red. Los clientes Web se identifican mediante puertos especficos, que omiten las comprobaciones de IPsec.
Cmo proteger el trfico entre dos sistemas con IPsec en la pgina 529 Cmo utilizar IPsec para proteger un servidor web del trfico que no procede de Internet en la pgina 533 Cmo visualizar las directivas de IPsec en la pgina 537
Visualizar las directivas de IPsec. Muestra las directivas de IPsec que se estn aplicando, en el orden en que se aplican.
527
Tarea
Descripcin
Genera nmeros aleatorios para el material de claves Cmo generar nmeros aleatorios en un para las asociaciones de seguridad creadas sistema Solaris en la pgina 537 manualmente. How to Generate a Symmetric Key by Using the pktool Command de System Administration Guide: Security Services Proporciona los datos bsicos para las asociaciones de seguridad: Nombre de algoritmo IPsec y material de claves Clave para el ndice de parmetros de seguridad Direcciones IP de origen y destino Cmo crear manualmente asociaciones de seguridad IPsec en la pgina 539
Comprobar que IPsec est protegiendo los paquetes. (Opcional) Crear un rol de seguridad de red. Administrar IPsec y materiales clave como un conjunto de servicios SMF. Configurar una red privada virtual protegida (VPN).
Examina el resultado del comando snoop para los Cmo verificar que los paquetes estn encabezados especficos que indica cmo se protegen protegidos con IPsec en la pgina 544 los datagramas IP. Crea un rol que puede configurar una red segura, pero que puede desempear menos funciones que un superusuario. Describe cmo y cundo utilizar los comandos que habilitan, inhabilitan, actualizan y reinician los servicios. Tambin describe los comandos que cambian los valores de propiedad de los servicios. Configura IPsec entre dos sistemas separados por Internet. Cmo configurar una funcin para la seguridad de la red en la pgina 545 Cmo administrar servicios de IPsec e IKE en la pgina 547
528
IPsec y zonas: Para administrar la directiva IPsec y las claves para una zona no global IP compartida, cree el archivo de directiva IPsec en la zona global y ejecute los comandos de configuracin de IPsec desde la zona global. Utilice la direccin de origen que corresponda a la zona no global que se est configurando. Tambin puede configurar la directiva IPsec y las claves en la zona global para la zona global. Para una zona de IP exclusiva, debe configurar directiva IPsec en la zona no global. A partir de la versin Solaris 10 8/07, puede utilizar IKE para administrar claves en una zona no global. IPsec y RBAC Para utilizar los roles para administrar IPsec, consulte el Captulo 9, Using Role-Based Access Control (Tasks) de System Administration Guide: Security Services. Si desea ver un ejemplo, consulte Cmo configurar una funcin para la seguridad de la red en la pgina 545. IPsec y SCTP IPsec se puede utilizar para proteger las asociaciones SCTP (Streams Control Transmission Protocol), pero debe hacerse con precaucin. Para obtener ms informacin, consulte IPsec y SCTP en la pgina 521.
Los dos sistemas se denominan enigma y partym. Cada sistema tiene dos direcciones, una direccin IPv4 y otra IPv6. Cada sistema requiere ESP cifrado con el algoritmo AES, que, a su vez, requiere una clave de 128 bits y autenticacin ESP con el resumen de mensajes de SHA1, que, a su vez, requiere una clave de 160 bits. Cada sistema utiliza asociaciones de seguridad compartidas. Con las asociaciones de seguridad (SA) compartidas, slo se necesita un par de SA para proteger los dos sistemas.
Antes de empezar 1
Debe estar en la zona global para configurar la directiva IPsec para el sistema o para una zona de IP compartida. Para una zona de IP exclusiva, configure la directiva IPsec en la zona no global. En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
529
Nota El registro remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja
de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para iniciar una sesin remota de forma segura. Esto se ilustra en el Ejemplo 201.
2
En cada sistema, agregue entradas de host. En la versin actual, agregue las entradas de host al archivo /etc/inet/hosts. En un sistema que se ejecute en una versin anterior a Solaris 10 8/07, agregue entradas IPv4 e IPv6 en el archivo /etc/inet/ipnodes. Las entradas de un sistema deben ser contiguas en el archivo. Para obtener informacin sobre los archivos de configuracin del sistema, consulte Archivos de configuracin TCP/IP en la pgina 249 y el Captulo 11, IPv6 en profundidad (referencia). Si est conectando sistemas slo con direcciones IPv4, debe modificar el archivo /etc/inet/hosts. En este ejemplo, los sistemas que se conectan ejecutan una versin anterior de Solaris y utilizan direcciones IPv6. a. En un sistema denominado enigma, escriba lo siguiente en el archivo hosts o ipnodes:
# Secure communication with partym 192.168.13.213 partym 2001::eeee:3333:3333 partym
En cada sistema, cree el archivo de directiva IPsec. El nombre de archivo es /etc/inet/ipsecinit.conf. Para ver un ejemplo, consulte el archivo /etc/inet/ipsecinit.sample. Agregue una entrada de directiva IPsec al archivo ipsecinit.conf. a. En el sistema enigma, agregue la directiva siguiente:
{laddr enigma raddr partym} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
Para ver la sintaxis de las entradas de la directiva IPsec, consulte la pgina del comando man ipsecconf(1M).
530 Gua de administracin del sistema: servicios IP Octubre de 2009
En cada sistema, agregue un par de SA IPsec entre los dos sistemas. Puede configurar el intercambio de claves de Internet (IKE) para crear las SA automticamente. Tambin puede agregar las SA de forma manual.
Nota Debe utilizar IKE a menos que tenga una razn de peso para generar y mantener las claves manualmente. La administracin de claves IKE es ms segura que la administracin manual.
Configure IKE siguiendo uno de los mtodos de configuracin de Configuracin de IKE (mapa de tareas) en la pgina 605. Para ver la sintaxis del archivo de configuracin de IKE, consulte la pgina del comando man ike.config(4). Para agregar las SA manualmente, consulte Cmo crear manualmente asociaciones de seguridad IPsec en la pgina 539.
A continuacin, vaya a Cmo verificar que los paquetes estn protegidos con IPsec en la pgina 544.
A partir de la versin Solaris 10 4/09, actualice el servicio IPsec y habilite el servicio de administracin de claves. Complete del Paso 7 al Paso 10.
La directiva IPsec est habilitada de forma predeterminada, por lo que puede actualizarla. Si ha inhabilitado la directiva IPsec, habiltela.
# svcadm enable svc:/network/ipsec/policy:default
531
Si ha configurado manualmente las claves en el Paso 5, realice una de las acciones siguientes:
10
Compruebe que los paquetes se estn protegiendo. Para ver el procedimiento, consulte Cmo verificar que los paquetes estn protegidos con IPsec en la pgina 544.
Ejemplo 201
En primer lugar, el administrador realiza del Paso 2 al Paso 5 del procedimiento anterior para configurar el primer sistema. A continuacin, en una ventana de terminal distinta, el administrador utiliza el comando ssh para iniciar la sesin en el segundo sistema.
local-system # ssh other-system other-system #
En la ventana de terminal de la sesin ssh, el administrador configura la directiva IPsec y las claves del segundo sistema; para ello, realiza del Paso 2 al Paso 6. A continuacin, el administrador termina la sesin ssh.
other-system # exit local-system #
532
Por ltimo, el administrador realiza el Paso 6 para habilitar la directiva IPsec en el primer sistema.
La prxima ocasin que los dos sistemas se comunican, incluida la conexin ssh, la comunicacin queda protegida por IPsec.
Ejemplo 202
Si ha utilizado IKE para crear material de claves, detenga y reinicie el daemon in.iked.
# pkill in.iked # /usr/lib/inet/in.iked
Si ha agregado claves manualmente, utilice el comando ipseckey para agregar las SA a la base de datos.
# ipseckey -c -f /etc/inet/secret/ipseckeys
Consideraciones de seguridad: Lea la advertencia que aparece al ejecutar el comando ipsecconf. Un socket que ya est bloqueado, es decir, un socket que ya est en uso, constituye una puerta trasera no segura al sistema. Si desea ms informacin al respecto, consulte Consideraciones de seguridad para ipsecinit.conf e ipsecconf en la pgina 590.
Cmo utilizar IPsec para proteger un servidor web del trfico que no procede de Internet
Un servidor Web seguro permite a los clientes Web comunicarse con el servicio Web. En un servidor Web seguro, el trfico que no sea de la red debe someterse a comprobaciones de seguridad. El siguiente procedimiento incluye las omisiones del trfico de red. Adems, este servidor Web puede realizar solicitudes de clientes DNS no seguras. El resto del trfico requiere ESP con los algoritmos AES y SHA-1.
Captulo 20 Configuracin de IPsec (tareas) 533
Antes de empezar
Debe encontrarse en la zona global para poder configurar la directiva IPsec. Para una zona de IP exclusiva, configure la directiva IPsec en la zona no global. Ha completado Cmo proteger el trfico entre dos sistemas con IPsec en la pgina 529 para que se apliquen las condiciones siguientes:
Que la comunicacin entre los dos sistemas est protegida por IPsec. Que se est generando material de claves, ya sea de forma manual o mediante IKE. Que haya comprobado que los paquetes se estn protegiendo.
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para iniciar una sesin remota de forma segura.
Determine qu servicios deben omitir las comprobaciones de directiva de seguridad. En el caso de un servidor Web, estos servicios incluyen los puertos TCP 80 (HTTP) y 443 (HTTP seguro). Si el servidor Web proporciona consultas de nombres DNS, el servidor tambin podra incluir el puerto 53 tanto para TCP como para UDP. Cree una directiva IPsec para el servidor web y habiltela.
A partir de la versin Solaris 10 4/09, siga del Paso 4 al Paso 7. Si est ejecutando una versin anterior a Solaris 10 4/09 , siga del Paso 8 al Paso 11.
Agregue la directiva de servidor web al archivo de directiva IPsec. Agregue las lneas siguientes al archivo /etc/inet/ipsecinit.conf:
# Web traffic that web server should bypass. {lport 80 ulp tcp dir both} bypass {} {lport 443 ulp tcp dir both} bypass {} # Outbound DNS lookups should also be bypassed. {rport 53 dir both} bypass {} # Require all other traffic to use ESP with AES and SHA-1. # Use a unique SA for outbound traffic from the port
534
Esta configuracin slo permite que el trfico seguro acceda al sistema, con las excepciones de omisin que se describen en el Paso 4.
5
Si ha configurado IKE en el Paso 5 de Cmo proteger el trfico entre dos sistemas con IPsec en la pgina 529, reinicie el servicio ike.
# svcadm restart svc:/network/ipsec/ike
Si ha configurado manualmente las claves en el Paso 5 de Cmo proteger el trfico entre dos sistemas con IPsecen la pgina 529, actualice el servicio manual-key.
# svcadm refresh svc:/network/ipsec/manual-key:default
Asigne al archivo un nombre que indique su finalidad, por ejemplo IPsecWebInitFile. Escriba las siguientes lneas en el archivo:
# Web traffic that web server should bypass. {lport 80 ulp tcp dir both} bypass {} {lport 443 ulp tcp dir both} bypass {} # Outbound DNS lookups should also be bypassed. {rport 53 dir both} bypass {} # Require all other traffic to use ESP with AES and SHA-1. # Use a unique SA for outbound traffic from the port {} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
Esta configuracin slo permite que el trfico seguro acceda al sistema, con las excepciones de omisin que se describen en el Paso 4.
Captulo 20 Configuracin de IPsec (tareas) 535
Copie el contenido del archivo que haya creado en el Paso 8 en el archivo /etc/inet/ipsecinit.conf. Proteja el archivo IPsecWebInitFile con permisos de slo lectura.
# chmod 400 IPsecWebInitFile
10
11
Proteja el servidor Web sin rearrancar. Elija una de las siguientes opciones:
Si est utilizando IKE para la administracin de claves, detenga el daemon in.iked y reincielo.
# pkill in.iked # /usr/lib/inet/in.iked
Si est administrando las claves manualmente, utilice los comandos ipseckey e ipsecconf. Utilice IPsecWebInitFile como argumento para el comando ipsecconf. Si utiliza el archivo ipsecinit.conf como argumento, el comando ipsecconf genera errores cuando las directivas del archivo ya estn implementadas en el sistema.
# ipseckey -c -f /etc/inet/secret/ipseckeys # ipsecconf -a /etc/inet/IPsecWebInitFile
Precaucin Lea la advertencia cuando ejecute el comando ipsecconf. Un socket que ya est
bloqueado, es decir, un socket que ya est en uso, constituye una puerta trasera no segura al sistema. Si desea ms informacin al respecto, consulte Consideraciones de seguridad para ipsecinit.conf e ipsecconf en la pgina 590. La misma advertencia aparece al reiniciar el daemon in.iked. Tambin puede rearrancar. Al rearrancar se asegura de que la directiva IPsec est aplicada en todas las conexiones TCP. Al rearrancar, las conexiones TCP utilizan la directivadel archivo de directiva IPsec.
12
(Opcional) Active un sistema remoto para comunicarse con el servidor Web para trfico que no sea de red. Escriba la siguiente directiva en el archivo ipsecinit.conf de un sistema remoto:
# Communicate with web server about nonweb stuff # {laddr webserver} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
Un sistema remoto puede comunicarse de forma segura con el servidor Web para trfico que no sea de red slo cuando las directivas IPsec de los directivas coinciden.
536
Antes de empezar 1
Debe ejecutar el comando ipsecconf en la zona global. Para una zona de IP exclusiva, ejecute el comando ipsecconf en la zona no global. Asuma un rol que incluya el perfil de administracin IPsec de la red o convirtase en superusuario. Si est ejecutando una versin anterior a Solaris 10 4/09, el perfil de Network IPsec Management no est disponible. Utilice el perfil de la seguridad de la red. Para crear un rol que incluya un perfil de seguridad de red y asignarlo a un usuario, consulte Cmo configurar una funcin para la seguridad de la red en la pgina 545.
Visualizar las directivas de IPsec. a. Visualice las entradas de la directiva IPsec global en el orden en que se agregaron las entradas.
$ ipsecconf
El comando muestra cada entrada con un ndice, seguida de un nmero. b. Visualice las entradas de la directiva IPsec en el orden en que se produzca una coincidencia.
$ ipsecconf -l
c. Visualice las entradas de la directiva IPsec, incluidas las entradas por tnel, en el orden en que se produzca una coincidencia.
$ ipsecconf -L
En la versin Solaris 10 4/09, tambin puede utilizar el comando pktool. La sintaxis de este comando es ms sencilla que la del comando od. Para obtener ms detalles, consulte How to Generate a Symmetric Key by Using the pktool Command de System Administration Guide: Security Services.
1
-x -X -A n archivo head -n
2
Muestra el vaciado octal en formato hexadecimal. El formato hexadecimal resulta til para el material de claves. Dicho formato se imprime en bloques de 4 caracteres. Muestra el vaciado octal en formato hexadecimal. Dicho formato se imprime en bloques de 8 caracteres. Elimina la base de desfase de entrada de la pantalla. Acta como origen para los nmeros aleatorios. Limita el resultado de la pantalla a las primeras n lneas.
Combine el resultado para crear una clave con la longitud adecuada. Elimine los espacios entre los nmeros de una lnea para crear una clave de 32 caracteres. Una clave de 32 caracteres tiene 128 bits. En el caso de un ndice de parmetros de seguridad (SPI), debe utilizar una clave de 8 caracteres. La clave debe utilizar el prefijo 0x.
Ejemplo 203
Al combinar los cuatro nmeros de la primera lnea, puede crear una clave de 32 caracteres. Un nmero de 8 caracteres precedido de 0x proporciona un valor de SPI adecuado, por ejemplo, 0xf3447465. El ejemplo siguiente muestra dos lneas de claves en grupos de cuatro caracteres hexadecimales cada uno.
% od -x -A n /dev/random | head -2 34ce 56b2 8b1b 3677 9231 42e9 80b0 c673 2f74 2817 8026 df68 12f4 905a db3d ef27
Al combinar los ocho nmeros en la primera lnea, puede crear una clave de 32 caracteres.
538
Antes de empezar 1
Debe estar en la zona global para administrar material de claves para una zona IP compartida. Genere el material de claves para la SA. Necesita tres nmeros aleatorios hexadecimales para el trfico saliente y tres para el trfico entrante. Por tanto, un sistema necesita generar los siguientes nmeros:
Dos nmeros aleatorios hexadecimales como valor para la palabra clave spi. Un nmero es para el trfico saliente. Otro es para el trfico entrante. Cada nmero puede tener hasta ocho caracteres de longitud. Dos nmeros aleatorios hexadecimales para el algoritmo SHA-1 para la autenticacin. Para una clave de 160 bits, cada numero debe tener 40 caracteres de longitud. Un nmero es para dst enigma. Un nmero es para dst partym. Dos nmeros aleatorios hexadecimales para el algoritmo DES para el cifrado de ESP. Para una clave de 256 bits, cada numero debe tener 64 caracteres de longitud. Un nmero es para dst enigma. Un nmero es para dst partym.
Si dispone de un generador de nmeros aleatorios en su sitio, utilcelo. Tambin puede utilizar el comando od. Consulte Cmo generar nmeros aleatorios en un sistema Solaris en la pgina 537 para ver el procedimiento.
2
En la consola del sistema de uno de los sistemas, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para iniciar una sesin remota de forma segura.
539
A partir de la versin Solaris 10 4/09, siga del Paso 8 al Paso 10. Si est ejecutando una versin anterior a Solaris 10 4/09, siga del Paso 4 al Paso 9.
El smbolo del sistema > indica que se encuentra en modo de comando ipseckey.
5
Para evitar que un intruso interrumpa las SA, debe sustituir el material de claves.
Nota Es necesario coordinar la sustitucin de claves en los sistemas que se comunican. Al
sustituir las SA en un sistema, tambin deben sustituirse las del sistema remoto.
6
Esta sintaxis tambin se utiliza para sustituir las SA que acaba de vaciar. protocolo Especifica esp o ah. cadena_hex_aleatoria Especifica un nmero aleatorio de hasta ocho caracteres en formato hexadecimal. Preceda los caracteres con 0x. Si especifica ms nmeros de los que acepta el ndice de parmetros de seguridad (SPI), el sistema omitir los nmeros adicionales. Si especifica menos nmeros de los que acepta el SPI, el sistema rellena la entrada. dir Especifica la direccin IP de un sistema. dir2 Especifica la direccin IP del sistema equivalente a dir.
540
prefijo_protocolo Especifica un prefijo encr o auth. El prefijo encr se utiliza con el protocolo esp. El prefijo auth se utiliza con el protocolo ah, y para autenticar el protocolo esp. algoritmo_protocolo Especifica un algoritmo para ESP o AH. Cada algoritmo requiere una clave de una longitud especfica. Los algoritmos de autenticacin incluyen MD5 y SHA-1. A partir de la versin Solaris 10 4/09, SHA256 y SHA512 son compatibles. Los algoritmos de cifrado incluyen DES, 3DES, AES y Blowfish. cadena_hex_aleatoria_de_longitud_algoritmo_especificada Especifica un nmero hexadecimal aleatorio de la longitud que requiere el algoritmo. Por ejemplo, el algoritmo MD5 requiere una cadena de 32 caracteres para su clave de 128 bits. El algoritmo 3DES requiere una cadena de 48 caracteres para su clave de 192 bits. a. Por ejemplo, en el sistema enigma, proteja los paquetes salientes. Utilice los nmeros aleatorios que haya generado en el paso Paso 1. Para Solaris 10 1/06:
> add esp spi 0x8bcd1407 \ src 192.168.116.16 dst 192.168.13.213 \ encr_alg aes \ auth_alg sha1 \ encrkey c0c65b888c2ee301c84245c3da63127e92b2676105d5330e85327c1442f37d49 \ authkey 6fab07fec4f2895445500ed992ab48835b9286ff >
Nota El sistema equivalente debe utilizar el mismo material de claves y el mismo SPI.
b. Contine en modo de comando ipseckey en el sistema enigma y proteja los paquetes entrantes. Escriba los siguientes comandos para proteger los paquetes:
> add esp spi 0x122a43e4 \ src 192.168.13.213 dst 192.168.116.16 \ encr_alg aes \ auth_alg sha1 \ encrkey a2ea934cd62ca7fa14907cb2ad189b68e4d18c976c14f22b30829e4b1ea4d2ae \ authkey c80984bc4733cc0b7c228b9b74b988d2b7467745 >
541
Nota Las claves y el SPI pueden ser diferentes para cada SA. Debe asignar claves y SPI distintos para cada SA. 7 8
Para salir del modo de comando ipseckey, pulse Control-D o escriba quit. Agregue, el material de claves al archivo /etc/inet/secret/. En las versiones anteriores a Solaris 10 4/09 este paso garantiza que el material de claves est disponible para IPsec al rearrancar. Las lneas del archivo /etc/inet/secret/ipseckeys son idnticas al lenguaje de la lnea de comandos ipseckey. a. Por ejemplo, el archivo /etc/inet/secret/ipseckeys del sistema enigma tendra un aspecto similar al siguiente:
# ipseckeys - This file takes the file format documented in # ipseckey(1m). # Note that naming services might not be available when this file # loads, just like ipsecinit.conf. # # for outbound packets on enigma add esp spi 0x8bcd1407 \ src 192.168.116.16 dst 192.168.13.213 \ encr_alg aes \ auth_alg sha1 \ encrkey c0c65b888c2ee301c84245c3da63127e92b2676105d5330e85327c1442f37d49 \ authkey 6fab07fec4f2895445500ed992ab48835b9286ff # # for inbound packets add esp spi 0x122a43e4 \ src 192.168.13.213 dst 192.168.116.16 \ encr_alg aes \ auth_alg sha1 \ encrkey a2ea934cd62ca7fa14907cb2ad189b68e4d18c976c14f22b30829e4b1ea4d2ae \ authkey c80984bc4733cc0b7c228b9b74b988d2b7467745
Repita el procedimiento en el sistema partym. Utilice el mismo material de claves que utiliz en enigma.
542
El material de claves de los dos sistemas debe ser idntico. Tal como se muestra en el ejemplo siguiente, slo los comentarios de ipseckeys son distintos. Los comentarios difieren porque dst enigma entra en el sistema enigma y sale del sistema partym.
# partym ipseckeys file # # for inbound packets add esp spi 0x8bcd1407 \ src 192.168.116.16 dst 192.168.13.213 \ encr_alg aes \ auth_alg sha1 \ encrkey c0c65b888c2ee301c84245c3da63127e92b2676105d5330e85327c1442f37d49 \ authkey 6fab07fec4f2895445500ed992ab48835b9286ff # # for outbound packets add esp spi 0x122a43e4 \ src 192.168.13.213 dst 192.168.116.16 \ encr_alg aes \ auth_alg sha1 \ encrkey a2ea934cd62ca7fa14907cb2ad189b68e4d18c976c14f22b30829e4b1ea4d2ae \ authkey c80984bc4733cc0b7c228b9b74b988d2b7467745 10
Sustitucin de SA de IPsec
En este ejemplo, el administrador est configurando un sistema que ejecuta la versin Solaris 10 actual. El administrador genera nuevas claves, cambia la informacin sobre claves en el archivo ipseckeys y reinicia el servicio.
En primer lugar, el administrador completa Cmo generar nmeros aleatorios en un sistema Solaris en la pgina 537 para generar las claves. A continuacin, el administrador utiliza las claves generadas en el archivo /etc/inet/secreto/. El administrador ha utilizado los mismos algoritmos. Por tanto, el administrador cambia los valores de SPI, encrkey y authkey slo:
add esp spi 0x8xzy1492 \ src 192.168.116.16 dst 192.168.13.213 \ encr_alg aes \ auth_alg sha1 \ encrkey 0a1f3886b06ebd7d39f6f89e4c29c93f2741c6fa598a38af969907a29ab1b42a \ authkey a7230aabf513f35785da73e33b064608be41f69a #
543
# add esp spi 0x177xce34\ src 192.168.13.213 dst 192.168.116.16 \ encr_alg aes \ auth_alg sha1 \ encrkey 4ef5be40bf93498017b2151d788bb37e372f091add9b11149fba42435fefe328 \ authkey 0e1875d9ff8e42ab652766a5cad49f38c9152821
Por ltimo, el administrador reinicia el servicio manual-key. El comando de reinicio borra las claves anteriores antes de agregar las nuevas.
# svcadm restart manual-key
AH: Prefijo que indica que AH esta protegiendo los encabezados. El prefijo AH: aparece si se utiliza auth_alg para proteger el trfico. ESP: Prefijo que indica que se estn enviando los datos cifrados. ESP: aparece si se utiliza encr_auth_alg o encr_alg para proteger el trfico.
Antes de empezar 1
Debe ser superusuario o asumir un rol equivalente para crear el resultado snoop. Para poder probar la conexin, es preciso tener acceso a ambos sistemas. Convirtase en superusuario en un sistema, por ejemplo partym.
% su Password: # Type root password
En el sistema partym, preprese para buscar paquetes desde un sistema remoto. En una ventana de terminal en partym, busque los paquetes desde el sistema enigma.
# snoop -v enigma Using device /dev/hme (promiscuous mode)
Enve un paquete desde el sistema remoto. En otra ventana de terminal, inicie sesin remotamente en el sistema enigma. Facilite su contrasea. A continuacin, convirtase en superusuario y enve un paquete del sistema enigma al sistema partym. El paquete debe capturarse mediante el comando snoop -v enigma.
% ssh enigma Password: % su Type your password
544
Examine el resultado de snoop. En el sistema partym, debera ver el resultado que incluye la informacin de AH y ESP tras la informacin de encabezado IP inicial. Aparecer informacin de AH y ESP que muestra que se estn protegiendo los paquetes:
IP: IP: IP: IP: IP: IP: IP: AH: AH: AH: AH: AH: AH: AH: AH: AH: ESP: ESP: ESP: ESP: ESP: Time to live = 64 seconds/hops Protocol = 51 (AH) Header checksum = 4e0e Source address = 192.168.116.16, enigma Destination address = 192.168.13.213, partym No options ----- Authentication Header ----Next header = 50 (ESP) AH length = 4 (24 bytes) <Reserved field = 0x0> SPI = 0xb3a8d714 Replay = 52 ICV = c653901433ef5a7d77c76eaa ----- Encapsulating Security Payload ----SPI = 0xd4f40a61 Replay = 52 ....ENCRYPTED DATA....
Busque los perfiles de derechos de red en la base de datos prof_attr local. En la versin actual, aparece una salida similar a la siguiente:
% cd /etc/security % grep Network prof_attr Network IPsec Management:::Manage IPsec and IKE... Network Link Security:::Manage network link security...
Captulo 20 Configuracin de IPsec (tareas) 545
Management:::Manage the host and network configuration... Security:::Manage network and host security... Wifi Management:::Manage wifi network configuration... Wifi Security:::Manage wifi network security...
Si est ejecutando una versin anterior a Solaris 10 4/09, la salida presenta un aspecto parecido al siguiente:
% cd /etc/security % grep Network prof_attr Network Management:::Manage the host and network configuration Network Security:::Manage network and host security System Administrator::: Network Management
El perfil de administracin de red es un perfil complementario del perfil de administrador de sistemas. Si ha incluido el perfil de derechos de administrador de sistemas en un rol, dicho rol podr ejecutar los comandos del perfil de administracin de red.
2
Los comandos de directiva solaris se ejecutan con privilegio ( privs=sys_net_config). Los comandos de directiva suser se ejecutan como superusuario (uid=0).
3
Decida el mbito de las funciones de seguridad de la red en su sitio. Utilice las definiciones de los perfiles de derechos en el Paso 1 para guiar la decisin.
Para crear una funcin que administre toda la seguridad de la red, utilice el perfil de derechos de la seguridad de la red. En la versin actual, para crear una funcin que administre slo IPsec e IKE, utilice el perfil de derechos de gestin de red IPsec.
Cree un rol de seguridad de red que incluya el perfil de derechos de gestin de la red. Una funcin con el perfil de derechos de gestin de red IPsec o de seguridad de la red, adems del perfil de gestin de la red, puede ejecutar los comandos ifconfig, snoop, ipsecconf e ipseckey, entre otros, con privilegios adecuados. Para crear el rol, asignarlo a un usuario y registrar los cambios con el servicio de nombres, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
546
Ejemplo 205
El administrador asigna los perfiles de derechos wifi de red, seguridad de vnculos de red y gestin de red a la funcin. A continuacin, el administrador asigna la funcin LinkWifi a los usuarios pertinentes. El administrador asigna los perfiles de derechos de gestin de red IPsec y de gestin de red a la funcin. A continuacin, el administrador asigna la funcin de administrador de IPsec a los usuarios pertinentes.
Para administrar la directiva IPsec, lleve a cabo una de las siguientes acciones:
Tras cambiar el valor de una propiedad de servicio, consulte el valor de la propiedad y, a continuacin, actualice y reinicie el servicio policy.
# svccfg -s policy setprop config/config_file=/etc/inet/MyIpsecinit.conf # svcprop -p config/config_file policy /etc/inet/MyIpsecinit.conf # svcadm refresh svc:/network/ipsec/policy # svcadm restart svc:/network/ipsec/policy
547
Tras cambiar el valor de una propiedad de servicio, consulte el valor de la propiedad y, a continuacin, actualice el servicio y reincielo.
# svccfg -s ike setprop config/admin_privilege=modkeys # svcprop -p config/admin_privilege ike modkeys # svcadm refresh svc:/network/ipsec/ike # svcadm restart svc:/network/ipsec/ike
Para administrar claves manualmente, lleve a cabo una de las siguientes acciones:
Tras cambiar el valor de una propiedad de servicio, consulte el valor de la propiedad; a continuacin, actualice y reinicie el servicio.
# svccfg -s manual-key setprop config/config_file=/etc/inet/secret/MyIpseckeyfile # svcprop -p config/config_file manual-key /etc/inet/secret/MyIpseckeyfile # svcadm refresh svc:/network/ipsec/manual-key # svcadm restart svc:/network/ipsec/manual-key
Errores ms frecuentes
Utilice el comando svcs servicio para buscar el estado de un servicio. Si el servicio est en el modo maintenance, siga las sugerencias de depuracin en la salida del comando svcs -x servicio.
548
Para ver ejemplos de las directivas de IPsec para los tneles en modo tnel, consulte Ejemplos de proteccin de una VPN con IPsec mediante el uso de tneles en modo tnel en la pgina 549. Para ver los procedimientos que protegen las VPN, consulte Proteccin de una VPN con IPsec (mapa de tareas) en la pgina 551.
Ejemplos de proteccin de una VPN con IPsec mediante el uso de tneles en modo tnel
Tnel de IPsec
Central 10.1.2.0/24 .4 .3 .2
LAN
Internacional 10.2.3.0/24 .4 .3
192.168.1.10 .1
192.168.2.10
Internet
.2
R1
R2
.1
LAN
ip.tun0
FIGURA 201
Los ejemplos siguientes presuponen que el tnel se ha configurado para todas las subredes de la LAN:
Captulo 20 Configuracin de IPsec (tareas) 549
## Tunnel configuration ## ifconfig ip.tun0 10.1.2.1 10.2.3.1 tsrc 192.168.1.10 tdst 192.168.2.10
EJEMPLO 206
En este ejemplo, se puede crear un tnel de todo el trfico de las redes LAN locales de la red LAN central de la Figura 201 del encaminador 1 al 2 y, a continuacin, transferirlo a todas las redes LAN locales de la red LAN internacional. El trfico se cifra con AES.
## IPsec policy ## {tunnel ip.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
EJEMPLO 207
En este ejemplo, slo se crea un tnel y se cifra el trfico entre la subred 10.1.2.0/24 de la LAN central y la subred 10.2.3.0/24 de la LAN internacional. En caso de no haber otras directivas IPsec para Central, si la LAN central intenta encaminar el trfico para otras LAN por este tnel, el trfico se transferir al encaminador 1.
## IPsec policy ## {tunnel ip.tun0 negotiate tunnel laddr 10.1.2.0/24 raddr 10.2.3.0/24} ipsec {encr_algs aes encr_auth_algs md5 sha1 shared}
EJEMPLO 208
Creacin de un tnel slo para el trfico de correo electrnico entre dos subredes
En este ejemplo, se crea un tnel slo para el trfico de correo electrnico. El trfico se transfiere de la subred 10.1.2.0/24 de la LAN central al servidor de correo electrnico de la subred 10.2.3.0/24 de la LAN internacional. El correo electrnico se cifra con Blowfish. Las directivas se aplican a los puertos de correo electrnico remoto y local. La directiva rport protege el correo electrnico que Central enva al puerto de correo electrnico remoto de Internacional. La directiva lport protege el correo electrnico que Central recibe de Internacional en el puerto local 25.
## IPsec policy for email from Central to Overseas ## {tunnel ip.tun0 negotiate tunnel ulp tcp rport 25 laddr 10.1.2.0/24 raddr 10.2.3.0/24} ipsec {encr_algs blowfish encr_auth_algs sha1 sa shared} ## IPsec policy for email from Overseas to Central ## {tunnel ip.tun0 negotiate tunnel ulp tcp lport 25 laddr 10.1.2.0/24 raddr 10.2.3.0/24} ipsec {encr_algs blowfish encr_auth_algs sha1 sa shared}
550
EJEMPLO 209
En este ejemplo, la directiva IPsec protege los puertos FTP de la Figura 201 con DES para todas las subredes de la red LAN central a todas las subredes de la red LAN internacional. Esta configuracin funciona para el modo activo de FTP.
## IPsec policy for outbound FTP from Central to Overseas ## {tunnel ip.tun0 negotiate tunnel ulp tcp rport 21} ipsec {encr_algs aes encr_auth_algs sha1 sa shared} {tunnel ip.tun0 negotiate tunnel ulp tcp lport 20} ipsec {encr_algs aes encr_auth_algs sha1 sa shared} ## IPsec policy for inbound FTP from Central to Overseas ## {tunnel ip.tun0 negotiate tunnel ulp tcp lport 21} ipsec {encr_algs aes encr_auth_algs sha1 sa shared} {tunnel ip.tun0 negotiate tunnel ulp tcp rport 20} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
Proteger el trfico de tnel Protege el trfico en modo tnel entre dos sistemas en modo tnel por IPv4. Solaris 10 8/07, dos sistemas Solaris Express o entre un sistema Solaris 10 8/07 y un sistema Solaris Express. Asimismo, protege el trfico en modo tnel entre un sistema Solaris 10 8/07 o un sistema Solaris Express y un sistema que se ejecuta en otra plataforma. Proteger el trfico de tnel Protege el trfico en modo tnel entre dos sistemas en modo tnel por IPv6. Solaris que utilizan el protocolo IPv6.
Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554
Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv6 en la pgina 564
551
Tarea
Descripcin
Proteger el trfico de tnel Protege el trfico en modo transporte entre dos sistemas en modo de transporte Solaris 10 8/07, dos sistemas Solaris Express o entre un por IPv4. sistema Solaris 10 8/07 y un sistema Solaris Express. Adems, protege el trfico en modo transporte entre un sistema que ejecuta una versin anterior de SO Solaris y Solaris 10 8/07 o un sistema Solaris Express. Protege el trfico utilizando una sintaxis ms antigua y no admitida. Este mtodo resulta til cuando se est comunicando con un sistema que ejecuta una versin anterior de SO Solaris. Este mtodo simplifica la comparacin de los archivos de configuracin de los dos sistemas. Proteger el trfico de tnel Protege el trfico en modo transporte entre dos sistemas en modo transporte por Solaris que utilizan el protocolo IPv6. IPv6. Evitar la falsificacin de la Crea un servicio SMF para evitar que el sistema reenve IP. paquetes a travs de una VPN sin descifrarlos.
Cmo proteger una VPN con un tnel IPsec en modo transporte mediante IPv4 en la pgina 570
Cmo proteger una VPN con un tnel IPsec en modo transporte mediante IPv6 en la pgina 577 Cmo evitar la falsificacin de la IP en la pgina 583
Descripcin de la topologa de red para la proteccin de una VPN por parte de las tareas de IPsec
Los procedimientos que se describen a continuacin presuponen la siguiente configuracin. Para ver una representacin de la red, consulte la Figura 202.
Cada sistema utiliza un espacio de direccin IPv4. Para ver un ejemplo similar con direcciones IPv6, consulte Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv6 en la pgina 564.
Cada sistema cuenta con dos interfaces. La interfaz hme0 se conecta a Internet. En este ejemplo, las direcciones IP de Internet empiezan por 192.168. La interfaz hme1 se conecta a la LAN de la compaa, es decir, a su intranet. En este ejemplo, las direcciones IP de la intranet empiezan por el nmero 10. Cada sistema requiere autenticacin ESP con el algoritmo SHA-1. El algoritmo SHA1 requiere una clave de 160 bits. Cada sistema requiere cifrado ESP con el algoritmo AES. El algoritmo AES utiliza una clave de 128 o 256 bits. Cada sistema puede conectarse a un encaminador que tenga acceso directo a Internet. Cada sistema utiliza asociaciones de seguridad compartidas.
552
LAN Intranet Calif-vpn IPsec hme1 10.1.3.3 10.1.3.3 (sin numerar, tal como lo muestran los indicadores de interfaz) 192.168.13.5 Encaminador C hme0 192.168.13.213
LAN Intranet
hme1 10.16.16.6
ip.tun0 10.16.16.6 (sin numerar) hme0 = Desactivar reenvo de IP hme0 = Activar reenvo de IP ip.tun0 = Activar reenvo de IP Encaminador C - /etc/defaultrouter for Calif-vpn Encaminador E - /etc/defaultrouter for Euro-vpn
FIGURA 202
Como muestra la ilustracin anterior, los procedimientos de IPv4 utilizan estos parmetros de configuracin.
Parmetro Europa California
Nombre del sistema Interfaz de la intranet del sistema Interfaz de Internet del sistema
553
Parmetro
Europa
California
10.16.16.6
10.1.3.3
Direccin de Internet del sistema, tambin direccin tsrc en el Paso 7 192.168.116.16 Nombre del encaminador de Internet Direccin del encaminador de Internet Nombre de tnel router-E 192.168.116.4 ip.tun0
Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4
Este procedimiento ampla el procedimiento de Cmo proteger el trfico entre dos sistemas con IPsec en la pgina 529. El procedimiento de configuracin se describe en Descripcin de la topologa de red para la proteccin de una VPN por parte de las tareas de IPsec en la pgina 552. Adems de conectar dos sistemas, est conectando dos intranets que se conectan a estos dos sistemas. Los sistemas de este procedimiento actan como portales.
Nota Lleve a cabo los pasos de este procedimiento en ambos sistemas.
Antes de empezar 1
Debe estar en la zona global para configurar la directiva IPsec para el sistema o para una zona de IP compartida. Para una zona de IP exclusiva, configure la directiva IPsec en la zona no global. En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para un inicio de sesin remota seguro.
Controle el flujo de paquetes antes de configurar IPsec. a. Asegrese de que el reenvo de IP y el encaminamiento dinmico de IP estn desactivados.
# routeadm Configuration Option Current Current Configuration System State
554
-------------------------------------------------IPv4 forwarding disabled disabled IPv4 routing default (enabled) enabled ...
La desactivacin del reenvo de IP impide que los paquetes se enven de una red a otra a travs de este sistema. Para ver una descripcin del comando routeadm, consulte la pgina del comando man routeadm(1M). b. Active los hosts mltiples de destino estricto de IP.
# ndd -set /dev/ip ip_strict_dst_multihoming 1
La activacin de los hosts mltiples de destino estricto de IP garantiza que los paquetes de una de las direcciones de destino del sistema llegan a la direccin de destino correcta. Cuando est activa la funcin de hosts mltiples de destino estricto, los paquetes que alcanzan una determinada interfaz deben dirigirse a una de las direcciones IP locales de dicha interfaz. Todos los dems paquetes, incluidos los que se dirigen a otras direcciones locales del sistema, se eliminan.
Precaucin El valor de ip_strict_dst_multihoming vuelve al predeterminado cuando se arranca el sistema. Para hacer que el valor cambiado sea persistente, consulte Cmo evitar la falsificacin de la IP en la pgina 583.
La desactivacin de los servicios de red evita que los paquetes IP daen el sistema. Por ejemplo, podran aprovecharse un daemon SNMP, una conexin telnet o una conexin rlogin. Elija una de las siguientes opciones:
Si ejecuta Solaris 10 11/06 o una versin posterior, ejecute el perfil SMF "limitado".
# netservices limited
# # # # # # #
d. Compruebe que la mayora de los servicios de red estn inhabilitados. Compruebe que los montajes de realimentacin y el servicio ssh se estn ejecutando.
# svcs | grep network online Aug_02 ... online Aug_09 3 svc:/network/loopback:default svc:/network/ssh:default
Agregue un par de SA entre los dos sistemas. Elija una de las siguientes opciones:
Configure IKE para administrar las claves para las SA. Utilice uno de los procedimientos de Configuracin de IKE (mapa de tareas) en la pgina 605 para configurar IKE para la VPN. Si tiene motivos para administrar las claves manualmente, consulte Cmo crear manualmente asociaciones de seguridad IPsec en la pgina 539.
Agregue la directiva IPsec. Edite el archivo /etc/inet/ipsecinit.conf para agregar la directiva IPsec para la VPN. Para reforzar la directiva, consulte el Ejemplo 2012. Para ver ejemplos adicionales, consulte Ejemplos de proteccin de una VPN con IPsec mediante el uso de tneles en modo tnel en la pgina 549. En esta directiva, la proteccin IPsec no se necesita entre sistemas de la LAN local y la direccin IP del servidor de seguridad, de modo que se agrega una instruccin bypass. a. En el sistema enigma, escriba la entrada siguiente en el archivo ipsecinit.conf:
# LAN traffic to and from this host can bypass IPsec. {laddr 10.16.16.6 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
{tunnel ip.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared} 5
Para configurar el tnel y protegerlo con IPsec, siga los pasos descritos en funcin de la versin de Solaris:
A partir de la versin Solaris 10 4/09, siga los pasos del Paso 7 al Paso 13 y, a continuacin, ejecute el protocolo de enrutamiento en Paso 22. Si est ejecutando una versin anterior a Solaris 10 4/09, siga los pasos del Paso 14 al Paso 22.
Para leer el contenido del archivo hostname.ip.tun0 en el ncleo, reinicie los servicios de red.
# svcadm restart svc:/network/initial:default
10
Active el reenvo de IP para la interfaz hme1. a. En el sistema enigma, agregue la entrada del enrutador al archivo /etc/hostname.hme1.
192.168.116.16 router
El reenvo de IP significa que los paquetes que llegan desde cualquier parte se pueden reenviar. El reenvo de IP tambin significa que los paquetes que abandonan esta interfaz podran haberse originado en cualquier otra parte. Para reenviar un paquete correctamente, tanto la interfaz receptora como la de transmisin deben tener activa la opcin de reenvo de IP.
Captulo 20 Configuracin de IPsec (tareas) 557
Puesto que la interfaz hme1 est dentro de la intranet, el reenvo de IP debe estar activo para hme1. Dado que ip.tun0 conecta los dos sistemas a travs de Internet, el reenvo de IP debe estar activo para ip.tun0. La interfaz hme0 tiene su propio reenvo de IP desactivado para evitar que un adversario externo inserte paquetes en la intranet protegida. El trmino externo hace referencia a Internet.
11
Asegrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet. a. En el sistema enigma, agregue el indicador private al archivo /etc/hostname.hme0.
10.16.16.6 private
Aunque hme0 tenga el reenvo de IP desactivado, la implementacin de un protocolo de encaminamiento podra seguir publicando la interfaz. Por ejemplo, el protocolo in.routed podra seguir publicando que hme0 est disponible para reenviar paquetes a sus equivalentes dentro de la intranet. Al configurar el indicador private de la interfaz, se evita la publicacin de estos datos.
12
Agregue manualmente una ruta predeterminada a travs de la interfaz hme0. La ruta predeterminada debe ser un encaminador con acceso directo a Internet. a. En el sistema enigma, agregue la ruta siguiente:
# route add default 192.168.116.4
Aunque la interfaz hme0 no forme parte de la intranet, hme0 necesita alcanzar su sistema equivalente a travs de Internet. Para encontrar su equivalente, hme0 necesita informacin sobre el encaminamiento de Internet. El sistema VPN aparece como host, en lugar de aparecer como encaminador, para el resto de Internet. Por tanto, puede utilizar un encaminador predeterminado o ejecutar el protocolo de descubrimiento de encaminador para encontrar un sistema equivalente. Para ms informacin, consulte las pginas del comando man route(1M) e in.routed(1M).
13 14
Para completar el procedimiento, vaya al Paso 22 para ejecutar un protocolo de enrutamiento. Configure el tnel, ip.tun0.
558
Nota Los siguientes pasos configuran un tnel en un sistema que ejecuta una versin anterior a Solaris 10 4/09.
16
17
El reenvo de IP significa que los paquetes que llegan desde cualquier parte se pueden reenviar. El reenvo de IP tambin significa que los paquetes que abandonan esta interfaz podran haberse originado en cualquier otra parte. Para reenviar un paquete correctamente, tanto la interfaz receptora como la de transmisin deben tener activa la opcin de reenvo de IP. Puesto que la interfaz hme1 est dentro de la intranet, el reenvo de IP debe estar activo para hme1. Dado que ip.tun0 conecta los dos sistemas a travs de Internet, el reenvo de IP debe estar activo para ip.tun0. La interfaz hme0 tiene su propio reenvo de IP desactivado para evitar que un adversario externo inserte paquetes en la intranet protegida. El trmino externo hace referencia a Internet.
559
18
Aunque hme0 tenga el reenvo de IP desactivado, la implementacin de un protocolo de encaminamiento podra seguir publicando la interfaz. Por ejemplo, el protocolo in.routed podra seguir publicando que hme0 est disponible para reenviar paquetes a sus equivalentes dentro de la intranet. Al configurar el indicador private de la interfaz, se evita la publicacin de estos datos.
19
Agregue manualmente una ruta predeterminada a travs de hme0. La ruta predeterminada debe ser un encaminador con acceso directo a Internet. a. En el sistema enigma, agregue la ruta siguiente:
# route add default 192.168.116.4
Aunque la interfaz hme0 no forme parte de la intranet, hme0 necesita alcanzar su sistema equivalente a travs de Internet. Para encontrar su equivalente, hme0 necesita informacin sobre el encaminamiento de Internet. El sistema VPN aparece como host, en lugar de aparecer como encaminador, para el resto de Internet. Por tanto, puede utilizar un encaminador predeterminado o ejecutar el protocolo de descubrimiento de encaminador para encontrar un sistema equivalente. Para ms informacin, consulte las pginas del comando man route(1M) e in.routed(1M).
20
Asegrese de que la VPN se inicie tras un rearranque mediante la adicin de una entrada al archivo /etc/hostname.ip.tun0 .
system1-point system2-point tsrc system1-taddr tdst system2-taddr router up
560
21
Configure los archivos de interfaz para transferir los parmetros correctos al daemon de enrutamiento. a. En el sistema enigma, modifique los archivos /etc/hostname. interfaz.
# cat enigma hostname.hme0 10.16.16.6 private # cat enigma hostname.hme1 192.168.116.16 router
Podra ser que antes de ejecutar el protocolo de encaminamiento fuese necesario configurarlo. Para obtener ms informacin, consulte Protocolos de encaminamiento en el sistema operativo Solaris en la pgina 269. Para conocer el procedimiento, consulte Configuracin de un encaminador IPv4 en la pgina 122.
Ejemplo 2010
En ambos sistemas, el administrador completa los cinco primeros pasos de Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554. El administrador utiliza el comando ifconfig para conectar y configurar un tnel temporal.
system1 # ifconfig ip.tun0 plumb system1 # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213 # ssh system2 Password: admin-password-on-system2
561
system2 # ifconfig ip.tun0 plumb system2 # ifconfig ip.tun0 10.1.3.3 10.16.16.6 \ tsrc 192.168.13.213 tdst 192.168.116.16
El administrador habilita la directiva IPsec en el tnel. La directiva se cre en el Paso 4 de Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554.
system1 # svcadm refresh svc:/network/ipsec/policy:default system2 # svcadm refresh svc:/network/ipsec/policy:default
El administrador realiza la interfaz de Internet y evita que los protocolos de enrutamiento pasen a travs de la interfaz de la intranet.
system1 # ifconfig hme1 router ; ifconfig hme0 private system2 # ifconfig hme1 router ; ifconfig hme0 private
El administrador agrega manualmente enrutamiento y ejecuta el protocolo de enrutamiento mediante el Paso 12 y el Paso 22 de Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554 en ambos sistemas.
Ejemplo 2011
Creacin de un tnel en una versin anterior de un sistema Solaris mediante la lnea de comandos
En la versin Solaris 10 8/07, la sintaxis del comando ifconfig se ha simplificado. En este ejemplo, el administrador prueba la creacin del tnel en un sistema que est ejecutando una versin de Solaris anterior a Solaris 10 8/07. Mediante la sintaxis original del comando ifconfig, el administrador puede utilizar comandos idnticos en los dos sistemas comunicantes. Ms tarde, el administrador utilizar Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554 para hacer que los tneles sean permanentes. Durante la prueba, el administrador realiza los pasos siguientes en los sistemas system1 y system2:
En ambos sistemas, el administrador completa los cinco primeros pasos de Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554. El administrador conecta y configura el tnel.
system1 # ifconfig ip.tun0 plumb system1 # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213 \ encr_algs aes encr_auth_algs sha1 system1 # ifconfig ip.tun0 router up # ssh system2 Password: admin-password-on-system2 system2 # ifconfig ip.tun0 plumb
562
system2 # ifconfig ip.tun0 10.1.3.3 10.16.16.6 \ tsrc 192.168.13.213 tdst 192.168.116.16 \ encr_algs aes encr_auth_algs sha1 system2 # ifconfig ip.tun0 router up
El administrador habilita la directiva IPsec en el tnel. La directiva se cre en el Paso 4 de Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554.
system1 # svcadm refresh svc:/network/ipsec/policy:default system2 # svcadm refresh svc:/network/ipsec/policy:default
El administrador convierte la interfaz de Internet en un enrutador y evita que los protocolos de enrutamiento pasen a travs de la interfaz de la intranet.
system1 # ifconfig hme1 router ; ifconfig hme0 private system2 # ifconfig hme1 router ; ifconfig hme0 private
El administrador agrega enrutamiento mediante la realizacin del Paso 12 y el Paso 22 de Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554 en ambos sistemas.
Ejemplo 2012
Ejemplo 2013
Uso de IPsec para proteger el trfico Telnet de un modo distinto del trfico SMTP
En este ejemplo, la primera regla protege al trfico telnet del puerto 23 con Blowfish y SHA1. La segunda regla protege al trfico SMTP del puerto 25 con AES y MD5.
{laddr 10.1.3.3 ulp tcp dport 23 dir both} ipsec {encr_algs blowfish encr_auth_algs sha1 sa unique} {laddr 10.1.3.3 ulp tcp dport 25 dir both} ipsec {encr_algs aes encr_auth_algs md5 sa unique}
563
Ejemplo 2014
Uso de un tnel IPsec en modo tnel para proteger una subred de un modo distinto del resto del trfico de red
La siguiente configuracin de tnel protege todo el trfico de la subred 10.1.3.0/24 a travs del tnel:
{tunnel ip.tun0 negotiate tunnel laddr 10.1.3.0/24} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
Las siguientes configuraciones de tnel protegen el trfico de la subred 10.1.3.0/24 a distintas subredes a travs del tnel. Las subredes que empiezan por 10.2.x.x atraviesan el tnel.
{tunnel ip.tun0 negotiate tunnel laddr 10.1.3.0/24 raddr 10.2.1.0/24} ipsec {encr_algs blowfish encr_auth_algs sha1 sa shared} {tunnel ip.tun0 negotiate tunnel laddr 10.1.3.0/24 raddr 10.2.2.0/24} ipsec {encr_algs blowfish encr_auth_algs sha1 sa shared} {tunnel ip.tun0 negotiate tunnel laddr 10.1.3.0/24 raddr 10.2.3.0/24} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv6
Para configurar una VPN en una red IPv6, debe seguir los mismos pasos que para configurar una red IPv4. No obstante, la sintaxis de los comandos es ligeramente distinta. Para ver una descripcin completa de los motivos para ejecutar comandos especficos, consulte los pasos correspondientes en Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554.
Nota Lleve a cabo los pasos de este procedimiento en ambos sistemas.
Nombre del sistema Interfaz de la intranet del sistema Interfaz de Internet del sistema
564
Parmetro
Europa
California
Direccin de intranet del sistema Direccin de Internet del sistema Nombre del encaminador de Internet Direccin del encaminador de Internet Nombre de tnel
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para un inicio de sesin remota seguro.
Controle el flujo de paquetes antes de configurar IPsec. Para ver los efectos de estos comandos, consulte el Paso 2 de Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554. a. Asegrese de que el reenvo de IP y el encaminamiento dinmico de IP estn desactivados.
# routeadm Configuration Current Current Option Configuration System State -------------------------------------------------... IPv6 forwarding disabled disabled IPv6 routing disabled disabled
565
Precaucin El valor de ip6_strict_dst_multihoming vuelve al predeterminado cuando se arranca el sistema. Para hacer que el valor cambiado sea persistente, consulte Cmo evitar la falsificacin de la IP en la pgina 583.
La desactivacin de los servicios de red evita que los paquetes IP daen el sistema. Por ejemplo, podran aprovecharse un daemon SNMP, una conexin telnet o una conexin rlogin. Elija una de las siguientes opciones:
Si ejecuta Solaris 10 11/06 o una versin posterior, ejecute el perfil SMF "limitado".
# netservices limited
d. Compruebe que la mayora de los servicios de red estn inhabilitados. Compruebe que los montajes de realimentacin y el servicio ssh se estn ejecutando.
# svcs | grep network online Aug_02 ... online Aug_09 3 svc:/network/loopback:default svc:/network/ssh:default
Agregue un par de SA entre los dos sistemas. Elija una de las siguientes opciones:
Configure IKE para administrar las claves para las SA. Utilice uno de los procedimientos de Configuracin de IKE (mapa de tareas) en la pgina 605 para configurar IKE para la VPN. Si tiene motivos para administrar las claves manualmente, consulte Cmo crear manualmente asociaciones de seguridad IPsec en la pgina 539.
566
Agregue una directiva IPsec para la VPN. Edite el archivo /etc/inet/ipsecinit.conf para agregar la directiva IPsec para la VPN. a. En el sistema enigma, escriba la entrada siguiente en el archivo ipsecinit.conf:
# IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic to and from this host can bypass IPsec. {laddr 6000:6666::aaaa:1116 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
Para configurar el tnel y protegerlo con IPsec, siga los pasos en funcin de la versin de Solaris:
A partir de la versin Solaris 10 4/09, siga los pasos del Paso 7 al Paso 13 y, a continuacin, ejecute el protocolo de enrutamiento en Paso 22. Si est ejecutando una versin anterior a Solaris 10 4/09, siga las indicaciones del Paso 14 al Paso 22.
Configure el tnel, ip6.tun0, en el archivo /etc/hostname.ip6.tun0. a. En el sistema enigma, agregue la entrada siguiente al archivo hostname.ip6.tun0:
Para leer el contenido del archivo hostname.ip6.tun0 en el ncleo, reinicie los servicios de red.
# svcadm restart svc:/network/initial:default
10
Active el reenvo de IP para la interfaz hme1. a. En el sistema enigma, agregue la entrada del enrutador al archivo /etc/hostname6.hme1.
2001::aaaa:6666:6666 inet6 router
Asegrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet. a. En el sistema enigma, agregue el indicador private al archivo /etc/hostname6.hme0.
6000:6666::aaaa:1116 inet6 private
Agregue manualmente una ruta predeterminada a travs de hme0. a. En el sistema enigma, agregue la ruta siguiente:
# route add -inet6 default 2001::aaaa:0:4
Para completar el procedimiento, vaya al Paso 22 para ejecutar un protocolo de enrutamiento. Configure un tnel seguro, ip6.tun0.
Nota Los siguientes pasos configuran un tnel en un sistema que est ejecutando una versin
16
17
18
19
Agregue manualmente una ruta predeterminada a travs de hme0. La ruta predeterminada debe ser un encaminador con acceso directo a Internet. a. En el sistema enigma, agregue la ruta siguiente:
# route add -inet6 default 2001::aaaa:0:4
Asegrese de que la VPN se inicie tras un reinicio, mediante la adicin de una entrada al archivo /etc/hostname6.ip6.tun0. La entrada replica los parmetros que se hayan transferido al comando ifconfig en el Paso 14. a. En el sistema enigma, agregue la entrada siguiente al archivo hostname6.ip6.tun0:
6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up
569
21
En cada sistema, configure los archivos de interfaz para transferir los parmetros correctos al daemon de encaminamiento. a. En el sistema enigma, modifique los archivos /etc/hostname. interfaz.
# cat enigma hostname6.hme0 6000:6666::aaaa:1116 inet6 private # cat enigma hostname6.hme1 2001::aaaa:6666:6666 inet6 router
Podra ser que antes de ejecutar el protocolo de encaminamiento fuese necesario configurarlo. Para obtener ms informacin, consulte Protocolos de encaminamiento en el sistema operativo Solaris en la pgina 269. Para obtener un procedimiento, consulte Configuracin de un encaminador IPv6 en la pgina 187.
Cmo proteger una VPN con un tnel IPsec en modo transporte mediante IPv4
Este procedimiento ampla el procedimiento de Cmo proteger el trfico entre dos sistemas con IPsec en la pgina 529. Adems de conectar dos sistemas, est conectando dos intranets que se conectan a estos dos sistemas. Los sistemas de este procedimiento actan como portales. En este procedimiento se utiliza la configuracin descrita en Descripcin de la topologa de red para la proteccin de una VPN por parte de las tareas de IPsec en la pgina 552. Para ver una descripcin completa de los motivos para ejecutar comandos especficos, consulte los pasos correspondientes en Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554.
Nota Lleve a cabo los pasos de este procedimiento en ambos sistemas.
570
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para un inicio de sesin remota seguro.
Controle el flujo de paquetes antes de configurar IPsec. a. Asegrese de que el reenvo de IP y el encaminamiento dinmico de IP estn desactivados.
# routeadm Configuration Current Current Option Configuration System State -------------------------------------------------IPv4 forwarding disabled disabled IPv4 routing default (enabled) enabled ...
Precaucin El valor de ip_strict_dst_multihoming vuelve al predeterminado cuando se arranca el sistema. Para hacer que el valor cambiado sea persistente, consulte Cmo evitar la falsificacin de la IP en la pgina 583.
La desactivacin de los servicios de red evita que los paquetes IP daen el sistema. Por ejemplo, podran aprovecharse un daemon SNMP, una conexin telnet o una conexin rlogin.
Captulo 20 Configuracin de IPsec (tareas) 571
Si ejecuta Solaris 10 11/06 o una versin posterior, ejecute el perfil SMF "limitado".
# netservices limited
d. Compruebe que la mayora de los servicios de red estn inhabilitados. Compruebe que los montajes de realimentacin y el servicio ssh se estn ejecutando.
# svcs | grep network online Aug_02 ... online Aug_09 3 svc:/network/loopback:default svc:/network/ssh:default
Agregue un par de SA entre los dos sistemas. Elija una de las siguientes opciones:
Configure IKE para administrar las claves para las SA. Utilice uno de los procedimientos de Configuracin de IKE (mapa de tareas) en la pgina 605 para configurar IKE para la VPN. Si tiene motivos para administrar las claves manualmente, consulte Cmo crear manualmente asociaciones de seguridad IPsec en la pgina 539.
Agregue la directiva IPsec. Edite el archivo /etc/inet/ipsecinit.conf para agregar la directiva IPsec para la VPN. Para reforzar la directiva, consulte el Ejemplo 2015. a. Por ejemplo, en el sistema enigma, escriba la entrada siguiente en el archivo ipsecinit.conf:
# LAN traffic to and from this host can bypass IPsec. {laddr 10.16.16.6 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
572
Para configurar el tnel y protegerlo con IPsec, siga los pasos en funcin de la versin de Solaris:
A partir de la versin Solaris 10 4/09, siga los pasos del Paso 7 al Paso 13 y, a continuacin, ejecute el protocolo de enrutamiento en Paso 22. Si est ejecutando una versin anterior a Solaris 10 4/09, siga los pasos del Paso 14 al Paso 22.
Configure el tnel, ip.tun0, en el archivo /etc/hostname.ip.tun0. a. En el sistema enigma, agregue la entrada siguiente al archivo hostname.ip.tun0:
10.16.16.6 10.1.3.3 tsrc 192.168.116.16 tdst 192.168.13.213 router up
Para leer el contenido del archivo hostname.ip.tun0 en el ncleo, reinicie los servicios de red.
# svcadm restart svc:/network/initial:default
10
Active el reenvo de IP para la interfaz hme1. a. En el sistema enigma, agregue la entrada del enrutador al archivo /etc/hostname.hme1.
192.168.116.16 router
573
11
Asegrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet. a. En el sistema enigma, agregue el indicador private al archivo /etc/hostname.hme0.
10.16.16.6 private
Agregue manualmente una ruta predeterminada a travs de hme0. a. En el sistema enigma, agregue la ruta siguiente:
# route add default 192.168.116.4
Para completar el procedimiento, vaya al Paso 22 para ejecutar un protocolo de enrutamiento. Configure el tnel, ip.tun0.
Nota Los siguientes pasos configuran un tnel en un sistema que ejecuta una versin anterior a Solaris 10 4/09.
15
16
17
18
19
Agregue manualmente una ruta predeterminada a travs de hme0. La ruta predeterminada debe ser un encaminador con acceso directo a Internet.
# route add default router-on-hme0-subnet
Asegrese de que la VPN se inicie tras un rearranque mediante la adicin de una entrada al archivo /etc/hostname.ip.tun0 .
system1-point system2-point tsrc system1-taddr \ tdst system2-taddr encr_algs aes encr_auth_algs sha1 router up
575
21
Configure los archivos de interfaz para transferir los parmetros correctos al daemon de enrutamiento. a. En el sistema enigma, modifique los archivos /etc/hostname. interfaz.
# cat enigma hostname.hme0 10.16.16.6 private # cat enigma hostname.hme1 192.168.116.16 router
Ejemplo 2015
Ejemplo 2016
576
# LAN traffic to and from this address can bypass IPsec. {laddr 10.1.3.3 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {} ipsec {encr_algs aes encr_auth_algs sha1}
Para el proceso del Paso 14 al Paso 16, la sintaxis para configurar un tnel seguro es la siguiente:
# ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213 \ encr_algs aes encr_auth_algs sha1 # ifconfig ip.tun0 router up # ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213 \ encr_algs aes encr_auth_algs sha1
La directiva IPsec que se transfiere a los comandos ifconfig debe ser la misma que la directiva IPsec del archivo ipsecinit.conf. Al rearrancar, cada sistema lee el archivo ipsecinit.conf para su directiva.
Cmo proteger una VPN con un tnel IPsec en modo transporte mediante IPv6
Para configurar una VPN en una red IPv6, debe seguir los mismos pasos que para configurar una red IPv4. No obstante, la sintaxis de los comandos es ligeramente distinta. Para ver una descripcin completa de los motivos para ejecutar comandos especficos, consulte los pasos correspondientes en Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554.
Nota Lleve a cabo los pasos de este procedimiento en ambos sistemas.
Parmetro
Europa
California
Nombre del sistema Interfaz de la intranet del sistema Interfaz de Internet del sistema Direccin de intranet del sistema Direccin de Internet del sistema Nombre del encaminador de Internet Direccin del encaminador de Internet Nombre de tnel
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para un inicio de sesin remota seguro.
Controle el flujo de paquetes antes de configurar IPsec. a. Asegrese de que el reenvo de IP y el encaminamiento dinmico de IP estn desactivados.
# routeadm Configuration Current Current Option Configuration System State -------------------------------------------------... IPv6 forwarding disabled disabled IPv6 routing disabled disabled
Precaucin El valor de ip6_strict_dst_multihoming vuelve al predeterminado cuando se arranca el sistema. Para hacer que el valor cambiado sea persistente, consulte Cmo evitar la falsificacin de la IP en la pgina 583.
c. Compruebe que la mayora de los servicios de red estn inhabilitados. Compruebe que los montajes de realimentacin y el servicio ssh se estn ejecutando.
# svcs | grep network online Aug_02 ... online Aug_09 3 svc:/network/loopback:default svc:/network/ssh:default
Agregue un par de SA entre los dos sistemas. Elija una de las siguientes opciones:
Configure IKE para administrar las claves para las SA. Utilice uno de los procedimientos de Configuracin de IKE (mapa de tareas) en la pgina 605 para configurar IKE para la VPN. Si tiene motivos para administrar las claves manualmente, consulte Cmo crear manualmente asociaciones de seguridad IPsec en la pgina 539.
Agregue la directiva IPsec. Edite el archivo /etc/inet/ipsecinit.conf para agregar la directiva IPsec para la VPN. a. En el sistema enigma, escriba la entrada siguiente en el archivo ipsecinit.conf:
# IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic can bypass IPsec. {laddr 6000:6666::aaaa:1116 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1}
Para configurar el tnel y protegerlo con IPsec, siga los pasos en funcin de la versin de Solaris:
A partir de la versin Solaris 10 4/09, siga los pasos del Paso 7 al Paso 13 y, a continuacin, ejecute el protocolo de enrutamiento en Paso 22. Si est ejecutando una versin anterior a Solaris 10 4/09, siga los pasos del Paso 14 al Paso 22.
Configure el tnel, ip6.tun0, en el archivo /etc/hostname.ip6.tun0. a. En el sistema enigma, agregue la entrada siguiente al archivo hostname.ip6.tun0:
Para leer el contenido del archivo hostname.ip6.tun0 en el ncleo, reinicie los servicios de red.
# svcadm restart svc:/network/initial:default
10
Active el reenvo de IP para la interfaz hme1. a. En el sistema enigma, agregue la entrada del enrutador al archivo /etc/hostname6.hme1.
2001::aaaa:6666:6666 inet6 router
Asegrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet. a. En el sistema enigma, agregue el indicador private al archivo /etc/hostname6.hme0.
6000:6666::aaaa:1116 inet6 private
580
12
Agregue manualmente una ruta predeterminada a travs de hme0. a. En el sistema enigma, agregue la ruta siguiente:
# route add -inet6 default 2001::aaaa:0:4
Para completar el procedimiento, vaya al Paso 22 para ejecutar un protocolo de enrutamiento. Configure un tnel seguro, ip6.tun0.
Nota Los siguientes pasos configuran un tnel en un sistema que est ejecutando una versin
16
17
18
581
19
En cada sistema, agregue manualmente una ruta predeterminada mediante hme0. La ruta predeterminada debe ser un encaminador con acceso directo a Internet. a. En el sistema enigma, agregue la ruta siguiente:
# route add -inet6 default 2001::aaaa:0:4
En cada sistema, asegrese de que la VPN se inicie tras un rearranque agregando una entrada al archivo /etc/hostname6.ip6.tun0 . La entrada replica los parmetros que se hayan transferido al comando ifconfig en el Paso 14. a. En el sistema enigma, agregue la entrada siguiente al archivo hostname6.ip6.tun0:
6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up
Configure los archivos de interfaz para transferir los parmetros correctos al daemon de enrutamiento. a. En el sistema enigma, modifique los archivos /etc/hostname. interfaz.
# cat enigma hostname6.hme0 6000:6666::aaaa:1116 inet6 private # cat enigma hostname6.hme1 2001::aaaa:6666:6666 inet6 router
582
Ejemplo 2017
Uso de sintaxis descartada para configurar IPsec en modo de transporte mediante IPv6
En este ejemplo, el administrador conecta un sistema Solaris 10 8/07 con un sistema con la versin Solaris 10. Por tanto, el administrador utiliza la sintaxis de Solaris 10 en el archivo de configuracin e incluye los algoritmos IPsec en el comando ifconfig. El administrador sigue el procedimiento Cmo proteger una VPN con un tnel IPsec en modo transporte mediante IPv6 en la pgina 577 con los siguientes cambios en la sintaxis.
Para el proceso del Paso 14 al Paso 17, la sintaxis para configurar un tnel seguro es la siguiente:
# ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 \ encr_algs aes encr_auth_algs sha1 # ifconfig ip6.tun0 inet6 router up
La directiva IPsec que se transfiere a los comandos ifconfig debe ser la misma que la directiva IPsec del archivo ipsecinit.conf. Al rearrancar, cada sistema lee el archivo ipsecinit.conf para su directiva.
parmetro de inicio mltiple de destino estricto de IP mediante el uso del comando ndd. Cuando este parmetro se define en un manifiesto SMF, el parmetro se establece cuando el sistema se reinicia.
Nota Lleve a cabo los pasos de este procedimiento en ambos sistemas. 1
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Cree el manifiesto SMF especfico para el sitio con el fin de comprobar que no haya falsificacin de IP. Use el siguiente ejemplo de secuencia de comandos, /var/svc/manifest/site/spoof_check.xml .
<?xml version="1.0"?> <!DOCTYPE service_bundle SYSTEM "/usr/share/lib/xml/dtd/service_bundle.dtd.1"> <service_bundle type=manifest name=Custom:ip_spoof_checking> <!-This is a custom smf(5) manifest for this system. Place this file in /var/svc/manifest/site, the directory for local system customizations. The exec method uses an unstable interface to provide a degree of protection against IP spoofing attacks when this system is acting as a router. IP spoof protection can also be achieved by using ipfilter(5). If ipfilter is configured, this service can be disabled. Note: Unstable interfaces might be removed in later releases. See attributes(5). --> <service name=site/ip_spoofcheck type=service version=1> <create_default_instance enabled=false /> <single_instance /> <!---> Dont enable spoof protection until the network is up.
584
<dependency name=basic_network grouping=require_all restart_on=none type=service> <service_fmri value=svc:/milestone/network /> </dependency> <exec_method type=method name=start exec=/usr/sbin/ndd -set /dev/ip ip_strict_dst_multihoming 1 <!-For an IPv6 network, use the IPv6 version of this command, as in: exec=/usr/sbin/ndd -set /dev/ip ip6_strict_dst_multihoming 1 --> timeout_seconds=60 /> <exec_method type=method name=stop exec=:true timeout_seconds=3 /> <property_group name=startd type=framework> <propval name=duration type=astring value=transient /> </property_group> <stability value=Unstable /> </service> </service_bundle> 3
586
C A P T U L O
21
2 1
Utilidad de gestin de servicios de IPsec en la pgina 587 Comando ipsecconf en la pgina 588 Archivo ipsecinit.conf en la pgina 589 Comando ipsecalgs en la pgina 590 Base de datos de asociaciones de seguridad para IPsec en la pgina 591 Utilidades para la generacin de claves en IPsec en la pgina 591 Extensiones IPsec para otras utilidades en la pgina 593
Para obtener instrucciones sobre cmo implementar IPsec en la red, consulte el Captulo 20, Configuracin de IPsec (tareas). Para ver una descripcin general de IPsec, consulte el Captulo 19, Arquitectura de seguridad IP (descripcin general).
svc:/network/ipsec/policy servicio administra la directiva IPsec. Por defecto, este servicio est habilitado. El valor de la propiedad config_file determina la ubicacin del archivo ipsecinit.conf. El valor inicial es /etc/inet/ipsecinit.conf. svc:/network/ipsec/ipsecalgs servicio Administra los algoritmos que estn disponibles para IPsec. Por defecto, este servicio est habilitado. svc:/network/ipsec/manual-key servicio - Activa la gestin manual de claves. Por defecto, este servicio est inhabilitado. El valor de la propiedad config_file determina la ubicacin del archivo de configuracin ipseckeys. El valor inicial es /etc/inet/secret/ipseckeys. svc:/network/ipsec/ike servicio Administra IKE. Por defecto, este servicio est inhabilitado. Si desea conocer las propiedades configurables, consulte Utilidad de gestin de servicios de IKE en la pgina 653.
587
Comando ipsecconf
Para obtener ms informacin sobre SMF, consulte el Captulo 17, Managing Services (Overview) de System Administration Guide: Basic Administration. Consulte tambin las pginas de comando man smf(5),svcadm(1M) y svccfg(1M).
Comando ipsecconf
El comando ipsecconf permite configurar la directiva IPsec para un host. Al ejecutar el comando para configurar la directiva, el sistema crea las entradas de la directiva IPsec en el ncleo. El sistema utiliza estas entradas para comprobar la directiva en todos los datagramas IP entrantes y salientes. Los datagramas reenviados no estn sujetos a las comprobaciones de directivas que se agregan utilizando este comando. El comando ipsecconf tambin configura la base de datos de directivas de seguridad (SPD).
Para obtener informacin sobre cmo proteger los paquetes reenviados, consulte las pginas del comando man ifconfig(1M) y tun(7M). Para conocer las opciones de directiva IPsec, consulte la pgina del comando man ipsecconf(1M). Para obtener instrucciones sobre cmo utilizar el comando ipsecconf para proteger el trfico entre los sistemas, consulte Configuracin de IKE (mapa de tareas) en la pgina 605.
Debe convertirse en superusuario o asumir un rol equivalente para invocar el comando ipsecconf. El comando acepta entradas que protegen el trfico en ambas direcciones. El comando tambin acepta entradas que protegen el trfico slo en una direccin. Las entradas de directiva con un formato de direccin local y direccin remota pueden proteger el trfico en ambas direcciones con una sola entrada de directiva. Por ejemplo, las entradas que contienen los patrones laddr host1 y raddr host2 protegen el trfico en ambas direcciones, si no se especifica ninguna direccin para el host con nombre. De este modo, slo necesita una entrada de directiva para cada host. Las entradas de directiva con un formato de direccin de origen a direccin de destino slo protegen el trfico en una direccin. Por ejemplo, una entrada de directiva del patrn saddr host1 daddr host2 protege el trfico entrante o el saliente, no el trfico en ambas direcciones. Por tanto, para proteger el trfico en ambas direcciones, es necesario transferir al comando ipsecconf otra entrada, como en saddr host2 daddr host1. Para asegurarse de que la directiva IPsec est activa cuando se arranque el equipo, puede crear un archivo de directiva IPsec, /etc/inet/ipsecinit.conf. Este archivo se lee cuando se inician los servicios de red. Para obtener instrucciones sobre cmo crear un archivo de directiva IPsec, consulte Proteccin del trfico con IPsec (mapa de tareas) en la pgina 527. A partir de la versin &s10u7, con la opcin -c , el comando ipsecconf comprueba la sintaxis del archivo de directiva IPsec que proporciona como argumento.
588 Gua de administracin del sistema: servicios IP Octubre de 2009
Archivo ipsecinit.conf
Las entradas de directivas agregadas por el comando ipsecconf no persisten tras un reinicio del sistema. Para asegurarse de que la directiva IPsec est activa cuando el sistema arranca, agregue las entradas de directivas al archivo /etc/inet/ipsecinit.conf. En la versin actual, actualice o habilite el servicio directiva. En una versin anterior a Solaris 10 4/09 reinicie o utilice el comando ipsecconf. Si desea conocer ejemplos, consulte Proteccin del trfico con IPsec (mapa de tareas) en la pgina 527.
Archivo ipsecinit.conf
Para invocar las directivas de seguridad IPsec al iniciar Sistema operativo Solaris (sistema operativo Solaris), se crea un archivo de configuracin para iniciar IPsec con las entradas de directiva IPsec especficas. El nombre predeterminado para este archivo es /etc/inet/ipsecinit.conf. Consulte la pgina del comando man ipsecconf(1M) para obtener ms informacin acerca de las entradas de directiva y su formato. Una vez configuradas las directivas, puede utilizar el comando ipsecconf para ver o modificar la configuracin existente. A partir de Solaris 10 4/09, debe actualizar el servicio polcy para modificar la configuracin existente.
For example, {rport 23} ipsec {encr_algs des encr_auth_algs md5} will protect the telnet traffic originating from the host with ESP using DES and MD5. Also: {raddr 10.5.5.0/24} ipsec {auth_algs any} will protect traffic to or from the 10.5.5.0 subnet with AH using any available algorithm.
To do basic filtering, a drop rule may be used. For example: {lport 23 dir in} drop {} {lport 23 dir out} drop {} will disallow any remote system from telnetting in.
589
Comando ipsecalgs
# # # # # # #
If you are using IPv6, it may be useful to bypass neighbor discovery to allow in.iked to work properly with on-link neighbors. To do that, add the following lines: {ulp ipv6-icmp type 133-137 dir both } pass { } This will allow neighbor discovery to work normally.
La direccin de origen es un host que se puede buscar en la red. El sistema de nombres est en peligro.
Los fallos de seguridad a menudo se deben a la mala aplicacin de las herramientas, no a las herramientas en s. Utilice el comando ipsecconf con precaucin. Utilice una consola u otro TTY conectado fsicamente para obtener el funcionamiento mas seguro.
Comando ipsecalgs
La estructura criptogrfica de Solaris proporciona autenticacin y algoritmos de cifrado para IPsec. El comando ipsecalgs puede enumerar los algoritmos que cada protocolo de IPsec admite. La configuracin ipsecalgs se almacena en el archivo /etc/inet/ipsecalgs. Normalmente, este archivo no necesita modificarse. Sin embargo, si el archivo debe modificarse, utilice el comando ipsecalgs. El archivo nunca debe editarse directamente. En la versin actual, los algoritmos admitidos se sincronizan con el ncleo en el arranque del sistema mediante el servicio svc:/network/ipsec/ipsecalgs:default.
590 Gua de administracin del sistema: servicios IP Octubre de 2009
ISAKMP dominio de interpretacin, que se trata en la norma RFC 1407, describe los algoritmos y protocolos IPsec vlidos. De manera general, el dominio de interpretacin define los formatos de los datos, los tipos de intercambio de trfico de red y las convenciones de denominacin de informacin relacionada con la seguridad. Ejemplos de informacin relacionada con la seguridad son los algoritmos y modos criptogrficos, y las directrices de seguridad. En concreto, el DOI ISAKMP define las convenciones de denominacin y numeracin para los algoritmos IPsec vlidos y sus protocolos. PROTO_IPSEC_AH y PROTO_IPSEC_ESP. Cada algoritmo se asocia exactamente con un protocolo. Estas definiciones DOI ISAKMP se encuentran en el archivo /etc/inet/ipsecalgs. Los nmeros de protocolo y algoritmos los define la Autoridad de nmeros asignados de Internet (IANA). El comando ipsecalgs permite ampliar la lista de algoritmos para IPsec. Para obtener ms informacin acerca de los algoritmos, consulte la pgina del comando man ipsecalgs(1M) Para mas informacin sobre la estructura criptogrfica de Solaris, consulte el Captulo 13, Solaris Cryptographic Framework (Overview) de System Administration Guide: Security Services.
El comando ipseckey puede utilizarse para ver todas las SA conocidas por el sistema, independientemente de si las claves se han agregado manualmente o mediante IKE. A partir de la versin Solaris 10 4/09, con la opcin -c, el comando ipseckey comprueba la sintaxis del archivo de claves que proporciona como argumento. Las IPsec SA que aade el comando ipseckey no persisten tras el reinicio del sistema. En la versin actual, para habilitar manualmente las SA agregadas en el arranque del sistema, agregue entradas al archivo /etc/inet/secret/ipseckeys y, a continuacin, habilite el servicio svc:/network/ipsec/manual-key:default. Si desea conocer el procedimiento, consulte Cmo crear manualmente asociaciones de seguridad IPsec en la pgina 539. Aunque el comando ipseckey tiene un nmero limitado de opciones generales, admite un lenguaje de comandos amplio. Puede especificar que las solicitudes se enven mediante una interfaz de programacin especfica para las claves manuales. Para obtener informacin adicional, consulte la pgina del comando man pf_key(7P).
Ha actualizado el material de claves? La actualizacin peridica de las claves es fundamental para garantizar la seguridad. La actualizacin de las claves protege contra posibles ataques de los algoritmos y las claves, y limita los daos a los que se expone una clave. El TTY se transfiere por una red? El comando ipseckey est en modo interactivo?
En modo interactivo, la seguridad del material de claves es la seguridad de la ruta de red para el trfico de este TTY. Debe evitar el uso del comando ipseckey en una sesin rlogin o telnet de texto simple. Incluso las ventanas locales podran ser vulnerables a ataques de un programa oculto que lee los eventos de ventanas.
Ha utilizado la opcin -f? Se est accediendo al archivo a travs de la red? Todo el mundo puede leer el archivo?
Un adversario puede leer un archivo montado en red mientras se lee el archivo. Debe evitar el uso de un archivo con material de claves que pueda leer todo el mundo. Proteja su sistema de nombres. Si se cumplen las dos condiciones siguientes, los nombres de host dejarn de ser de confianza:
592
Los fallos de seguridad a menudo se deben a la mala aplicacin de las herramientas, no a las herramientas en s. Utilice el comando ipseckey con precaucin. Utilice una consola u otro TTY conectado fsicamente para obtener el funcionamiento mas seguro.
Debe especificar todas las opciones de seguridad de IPsec para un tnel de una invocacin. Por ejemplo, si utiliza solamente ESP para proteger el trfico, debe configurar el tnel (ip.tun0) una vez con ambas opciones de seguridad, como en el ejemplo siguiente:
# ifconfig ip.tun0 encr_algs aes encr_auth_algs md5
De un modo similar, una entrada de ipsecinit.conf configurara el tnel una vez con ambas opciones de seguridad, como en el caso siguiente:
# WAN traffic uses ESP with AES and MD5. {} ipsec {encr_algs aes encr_auth_algs md5}
Para el algoritmo, puede especificar un nmero o un nombre de algoritmo, incluido el parmetro any, para no expresar ninguna preferencia de algoritmo especfica. Para desactivar la seguridad del tnel, especifique la opcin siguiente:
auth_algs none
Captulo 21 Arquitectura de seguridad IP (referencia) 593
Para ver una lista de los algoritmos de autenticacin disponibles, ejecute el comando ipsecalgs.
Nota La opcin auth_algs no puede funcionar con NAT-Traversal. Para ms informacin, consulte Paso a travs de IPsec y NAT en la pgina 520.
Para el algoritmo, puede especificar un nmero o un nombre de algoritmo, incluido el parmetro any, para no expresar ninguna preferencia de algoritmo especfica. Si especifica un algoritmo de cifrado ESP pero no especifica el algoritmo de autenticacin, el valor predeterminado del algoritmo de autenticacin ESP es el parmetro any. Para ver una lista de los algoritmos de autenticacin disponibles, ejecute el comando ipsecalgs.
Para el algoritmo, puede especificar un nmero o un nombre de algoritmo. Para desactivar la seguridad del tnel, especifique la opcin siguiente:
encr_algs none
Si especifica un algoritmo de autenticacin ESP pero no un algoritmo de cifrado, el valor de cifrado predeterminado de ESP ser el parmetro null. Para ver una lista de los algoritmos de cifrado disponibles, ejecute el comando ipsecalgs.
Para ver un ejemplo de resultado snoop detallado en un paquete protegido, consulte Cmo verificar que los paquetes estn protegidos con IPsec en la pgina 544.
595
596
C A P T U L O
22
2 2
El Protocolo de intercambio de claves de Internet (Internet Key Exchange, IKE) automatiza la gestin de claves de IPsec. Este captulo contiene la informacin siguiente sobre IKE:
Novedades de IKE en la pgina 597 Administracin de claves con IKE en la pgina 598 Negociacin de claves IKE en la pgina 598 Opciones de configuracin de IKE en la pgina 600 IKE y aceleracin de hardware en la pgina 602 IKE y almacenamiento de hardware en la pgina 602 Archivos y utilidades IKE en la pgina 602 Cambios de IKE en Solaris 10 en la pgina 604
Para obtener instrucciones sobre cmo implementar IKE, consulte el Captulo 23, Configuracin de IKE (tareas). Para obtener informacin de referencia, consulte el Captulo 24, Intercambio de claves de Internet (referencia). Para obtener informacin sobre IPsec, consulte el Captulo 19, Arquitectura de seguridad IP (descripcin general).
Novedades de IKE
Solaris 10 4/09: A partir de esta versin, la utilidad de gestin de servicios (SMF) administra IKE como servicio. Por defecto, el servicio red/svc:/ipsec/ike:predeterminado est deshabilitado. Tambin en esta versin, el perfil de derechos Network IPsec Management se proporciona para administrar IPsec e IKE. Solaris 10 8/07: A partir de esta versin, IKE puede utilizar el algoritmo AES y configurarse en la zona global para utilizar en zonas no globales.
La opcin de socket SO_ALLZONES permite a IKE controlar el trfico de las zonas no globales. Para ver una lista completa de las nuevas funciones de Solaris y una descripcin de las versiones de Solaris, consulte Novedades de Solaris 10.
597
598
TABLA 221
El proceso de generacin de claves para los algoritmos criptogrficos asimtricos. Los dos mtodos principales son los protocolos RSA y el protocolo Diffie-Hellman. Protocolo de intercambio de claves que implica la generacin y la autenticacin de claves. A menudo se denomina intercambio de claves autenticadas. Protocolo de intercambio de claves que implica la generacin y el transporte de claves. El protocolo recibe el nombre de sus tres creadores, Rivest, Shamir y Adleman. Slo se aplica en el intercambio de claves autenticadas. PFS garantiza que el material secreto a largo plazo para las claves no ponga en peligro la confidencialidad de las claves intercambiadas de comunicaciones anteriores. En PFS, la clave que se emplea para proteger la transmisin de datos no se aplica en la derivacin de claves adicionales. La fuente de la clave que se usa para proteger la transmisin de datos tampoco se emplea en la derivacin de claves adicionales.
RSA
PFS
Mtodo Oakley
Mtodo para establecer claves para la fase 2 de un modo seguro. Este protocolo es anlogo al mtodo Diffie-Hellman de intercambio de claves. De un modo similar a Diffie-Hellman, el intercambio de claves de grupo Oakley implica la generacin de claves y la autenticacin de claves. El mtodo Oakley se utiliza para negociar PFS.
Parmetros globales, como los nombres de los certificados de claves pblicas Si se utiliza confidencialidad directa perfecta (PFS) Las interfaces implicadas
599
Los dos mtodos de autenticacin son las claves previamente compartidas y los certificados de claves pblicas. Los certificados de claves pblicas pueden ser autofirmados. Los certificados tambin los puede emitir una autoridad de certificacin desde una organizacin de infraestructuras de clave pblica (PKI). Las organizaciones incluyen beTrusted, Entrust, GeoTrust, RSA Security y Verisign.
Una clave previamente compartida del sistema debe ser idntica a su clave de sistema remoto. Las claves estn vinculadas a una direccin IP especfica. Las claves son ms seguras cuando un administrador controla los sistemas que se comunican. Para obtener ms informacin, consulte la pgina del comando man ike.preshared(4).
svc: /network/ipsec/ike
smf(5)
602
TABLA 222
Daemon /usr/lib/inet/in.iked
Daemon de intercambio de claves de Internet (IKE). Activa la administracin de claves automtica. En la versin actual, el servicio ike habilita este daemon. En las versiones anteriores, se utiliza el comando in.iked. Comando de administracin de IKE para ver y modificar la directiva IKE. Comando de administracin de bases de datos de certificados para administrar bases de datos locales que contienen certificados de claves pblicas. Estas bases de datos tambin se puede almacenar en una placa de Sun Crypto Accelerator 4000 conectada. Archivo de configuracin predeterminada para la directiva IKE en el directorio /etc/inet. Contiene las reglas del sitio para hacer coincidir las solicitudes IKE entrantes y preparar las solicitudes IKE salientes. En la versin actual, si este archivo existe, el daemon en.iked se inicia cuando el servicio ike est habilitado. El comando svccfg puede modificar la ubicacin de este archivo.
in.iked(1M)
ikeadm(1M)
ikecert(1M)
Archivo /etc/inet/ike/config
ike.config(4)
Archivo ike.preshared
Archivo de claves previamente compartidas del directorio /etc/inet/secret. Contiene material de claves secretas para autenticacin en el intercambio de fase 1. Se utiliza al configurar IKE con claves previamente compartidas.
ike.preshared(4)
Directorio ike.privatekeys
Directorio de claves privadas del directorio /etc/inet/secret. ikecert(1M) Contiene las claves privadas que forman parte de un par de claves pblica-privada. Directorio del directorio /etc/inet/ike que contiene archivos de certificados y claves pblicas. Contiene la parte de clave pblica de un par de claves pblica-privada. Directorio del directorio /etc/inet/ike que incluye listas de revocacin para archivos de certificados y claves pblicas. Hardware que acelera las operaciones de claves pblicas al descargar las operaciones del sistema operativo. ikecert(1M)
Directorio publickeys
Directorio crls Placa de Sun Crypto Accelerator 1000 Placa de Sun Crypto Accelerator 4000
ikecert(1M)
ikecert(1M)
Hardware que acelera las operaciones de claves pblicas al ikecert(1M) descargar las operaciones del sistema operativo. La placa tambin almacena claves pblicas, claves privadas y certificados de claves pblicas.
603
IKE se puede utilizar para automatizar el intercambio de claves para IPsec en redes IPv6. Para ms informacin, consulte Administracin de claves con IKE en la pgina 598.
Nota IKE no se puede utilizar para administrar claves para IPsec en una zona no global.
Las operaciones de claves pblicas de IKE se pueden acelerar mediante una placa de Sun Crypto Accelerator 1000 o una placa de Sun Crypto Accelerator 4000. Las operaciones se descargan en la placa. La descarga acelera el cifrado y reduce las exigencias con respecto al sistema operativo. Para mas informacin, consulte IKE y aceleracin de hardware en la pgina 602. Para conocer los procedimientos, consulte Configuracin de IKE para buscar el hardware conectado (mapa de tareas) en la pgina 646. Los certificados de claves pblicas, las claves privadas y las claves pblicas se pueden guardar en una placa de Sun Crypto Accelerator 4000. Para obtener ms informacin sobre el almacenamiento de claves, consulte IKE y almacenamiento de hardware en la pgina 602. IKE se puede utilizar para automatizar el intercambio de claves para IPsec desde un encaminador NAT. El trfico debe utilizar una red IPv4. Asimismo, las claves ESP IPsec a travs de NAT no pueden acelerarse con hardware. Para ms informacin, consulte Paso a travs de IPsec y NAT en la pgina 520. Para ver los procedimientos, consulte Configuracin de IKE para sistemas porttiles (mapa de tareas) en la pgina 638. Al archivo /etc/inet/ike/config se le han agregado parmetros de retransmisin y parmetros de tiempo de espera agotado de paquetes. Estos parmetros ajustan la negociacin de IKE de fase 1 (modo principal) para administrar la interferencia de redes, el trfico de red elevado y la interoperacin con plataformas que tienen diferentes implementaciones del protocolo IKE. Para obtener ms informacin sobre los parmetros, consulte la pgina del comando man ike.config(4) Para ver los procedimientos, consulte Cambio de los parmetros de transmisin de IKE (mapa de tareas) en la pgina 650.
604
C A P T U L O
23
2 3
En este captulo se describe cmo configurar Internet Key Exchange (IKE) para sus sistemas. Una vez configurado IKE, se genera automticamente material de claves para IPsec en la red. Este captulo contiene la informacin siguiente:
Configuracin de IKE (mapa de tareas) en la pgina 605 Configuracin de IKE con claves previamente compartidas (mapa de tareas) en la pgina 606 Configuracin de IKE con certificados de clave pblica (mapa de tareas) en la pgina 618 Configuracin de IKE para sistemas porttiles (mapa de tareas) en la pgina 638 Configuracin de IKE para buscar el hardware conectado (mapa de tareas) en la pgina 646 Cambio de los parmetros de transmisin de IKE (mapa de tareas) en la pgina 650
Para obtener informacin general sobre IKE, consulte el Captulo 22, Intercambio de claves de Internet (descripcin general). Para obtener informacin de referencia sobre IKE, consulte el Captulo 24, Intercambio de claves de Internet (referencia). Para ver ms procedimientos, consulte las secciones de ejemplos de las pginas del comando man ikeadm(1M), ikecert(1M) y ike.config(4).
Tarea
Descripcin
Configurar IKE con claves previamente compartidas Configurar IKE con certificados de clave pblica Cruzar un lmite de NAT Configurar IKE para generar y guardar certificados de clave pblica en el hardware conectado Ajustar parmetros de negociacin de clave de fase 1
Protege la comunicacin entre dos sistemas al hacer que dos sistemas compartan una clave secreta. Protege las comunicaciones con certificados de clave pblica. Los certificados pueden ser autofirmados o comprobados por una organizacin de PKI. Configura IPsec e IKE para comunicarse con un sistema porttil
Configuracin de IKE con claves previamente compartidas (mapa de tareas) en la pgina 606 Configuracin de IKE con certificados de clave pblica (mapa de tareas) en la pgina 618 Configuracin de IKE para sistemas porttiles (mapa de tareas) en la pgina 638
Permite a una placa Sun Crypto Accelerator 1000 o Configuracin de IKE para buscar el Sun Crypto Accelerator 4000 acelerar las operaciones hardware conectado (mapa de tareas) de IKE. Tambin permite a las placas Sun Crypto en la pgina 646 Accelerator 4000 guardar certificados de clave pblica. Cambia el tiempo de las negociaciones de claves IKE. Cambio de los parmetros de transmisin de IKE (mapa de tareas) en la pgina 650
Cmo configurar IKE con claves previamente compartidas en la pgina 607 Cmo actualizar las claves IKE previamente compartidas en la pgina 610 Cmo agregar una clave IKE previamente compartida para una nueva entrada de directiva en ipsecinit.conf en la pgina 613 Verificacin de que las claves IKE previamente compartidas sean idnticas en la pgina 617
Actualizar claves previamente Agrega nuevo material de claves para IKE en los compartidas en un sistema IKE sistemas que se comunican. en ejecucin Agregar claves previamente compartidas a un sistema IKE en ejecucin Comprobar que las claves previamente compartidas sean idnticas Agrega una nueva entrada de directiva IKE y nuevo material de claves en un sistema que est aplicando la directiva IKE. Muestra las claves previamente compartidas en ambos sistemas para comprobar que las claves sean idnticas.
606
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El registro remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja
de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para iniciar una sesin remota de forma segura.
2
En cada sistema, copie el archivo /etc/inet/ike/config.sample al archivo /etc/inet/ike/config. Especifique las reglas y los parmetros generales en el archivo ike/config de cada sistema. Las reglas y los parmetros generales de este archivo deberan permitir la correcta aplicacin de la directiva IPsec en el archivo ipsecinit.conf del sistema. Los siguientes ejemplos de ike/config funcionan con los ejemplos de ipsecinit.conf de Cmo proteger el trfico entre dos sistemas con IPsec en la pgina 529. a. Por ejemplo, modifique el archivo /etc/inet/ike/config del sistema enigma:
### ike/config file on enigma, 192.168.116.16
607
## Global parameters # ## Phase 1 transform defaults p1_lifetime_secs 14400 p1_nonce_len 40 # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg des } p2_pfs 2 # ## The rule to communicate with partym # Label must be unique { label "enigma-partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
Nota Todos los argumentos del parmetro auth_method deben encontrarse en la misma
608
Genere nmeros aleatorios para utilizar como material de claves. Si su sitio cuenta con un generador de nmeros aleatorios, utilcelo. En un sistema Solaris, puede utilizar el comando od. Por ejemplo, el siguiente comando imprime dos lneas de nmeros hexadecimales:
% od -X -A n /dev/random | head -2 f47cb0f4 32e14480 951095f8 2b735ba8 0a9467d0 8f92c880 68b6a40e 0efe067d
Para ver una explicacin del comando od, consulte Cmo generar nmeros aleatorios en un sistema Solaris en la pgina 537 y la pgina del comando man od(1).
Nota Otros sistemas operativos pueden requerir material de claves ASCII. Para generar una
El algoritmo de autenticacin de este procedimiento es SHA1, tal como se muestra en el Paso 3. El tamao del hash, es decir, el tamao del resultado del algoritmo de autenticacin, determina el tamao mnimo recomendado de una clave previamente compartida. El resultado del algoritmo SHA1 es 160 bits o 40 caracteres. La clave de ejemplo tiene una longitud de 56 caracteres, que proporciona material de claves adicional para usar en IKE.
7
Cree el archivo /etc/inet/secret/ike.preshared en cada sistema. Coloque la clave previamente compartida en cada archivo. a. Por ejemplo, en el sistema enigma, el archivo ike.preshared tendra el siguiente aspecto:
# ike.preshared on enigma, 192.168.116.16 #... { localidtype IP localid 192.168.116.16 remoteidtype IP remoteid 192.168.13.213 # enigma and partyms shared key in hex (192 bits) key f47cb0f432e14480951095f82b735ba80a9467d08f92c88068b6a40e }
key f47cb0f432e14480951095f82b735ba80a9467d08f92c88068b6a40e }
Nota Las claves previamente compartidas de cada sistema deben ser idnticas. Ejemplo 231
Generacin de material de claves idntico para dos sistemas con diferentes sistemas operativos
Solaris IPsec interopera con otros sistemas operativos. Si su sistema se comunica con un sistema que requiere claves previamente compartidas ASCII, debe generar una clave en dos formatos, hexadecimal y ASCII. En este ejemplo, el administrador del sistema Solaris desea material de claves de 56 caracteres. El administrador utiliza el comando siguiente para generar una clave hexadecimal a partir de una contrasea ASCII. La opcin -tx1 imprime los bytes uno a uno en todos los sistemas Solaris.
# /bin/echo "papiermache with cashews and\c" | od -tx1 | cut -c 8-55 | \ tr -d \n | tr -d | awk {print} 7061706965726d616368652077697468206361736865777320616e64
Al eliminar los desfases y concatenar el resultado hexadecimal, la clave hexadecimal del sistema Solaris es 7061706965726d616368652077697468206361736865777320616e64. El administrador coloca este valor en el archivo ike.preshared del sistema Solaris.
# Shared key in hex (192 bits) key 7061706965726d616368652077697468206361736865777320616e64
En el sistema que requiere claves previamente compartidas ASCII, la contrasea es la clave previamente compartida. El administrador del sistema Solaris comunica por telfono la contrasea (papiermache with cashews and) al otro administrador.
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Gua de administracin del sistema: servicios IP Octubre de 2009
610
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para iniciar una sesin remota de forma segura. 2
Genere nmeros aleatorios y cree una clave con la longitud adecuada. Para obtener ms informacin, consulte Cmo generar nmeros aleatorios en un sistema Solaris en la pgina 537. Si va a generar una clave previamente compartida para un sistema Solaris que se comunica con un sistema operativo que requiere ASCII, consulte el Ejemplo 231.
Sustituya la clave actual por una nueva. Por ejemplo, en los hosts enigma y partym, debe reemplazar el valor de key en el archivo /etc/inet/secret/ike.preshared con un nuevo nmero que tenga la misma longitud.
Si est ejecutando una versin anterior a la Solaris 10 4/09, finalcela y reinicie el daemon in.iked. a. Compruebe el nivel de privilegio del daemon in.iked.
# /usr/sbin/ikeadm get priv Current privilege level is 0x0, base privileges enabled
Puede cambiar el material de claves si el comando devuelve un nivel de privilegio de 0x1 o 0x2. El nivel 0x0 no permite a las operaciones modificar ni ver el material de claves. De modo predeterminado, el daemon in.iked se ejecuta en el nivel de privilegio 0x0. b. Si el nivel de privilegio es 0x0, finalice el daemon y reincielo. Al reiniciar el daemon, lee la nueva versin del archivo ike.preshared.
# pkill in.iked # /usr/lib/inet/in.iked
c. Si el nivel de privilegio es 0x1 o 0x2, lea la nueva versin del archivo ike.preshared.
# ikeadm read preshared
611
Ejemplo 232. IKE se configura y el servicio ike se ejecuta. Consulte las teclas previamente compartidas de IKE.
# ikeadm ikeadm> dump preshared 2
Antes de empezar 1
Si aparece un mensaje de error, aumente el nivel de privilegios del daemon in.iked . a. Aumente el nivel de privilegios del daemon in.iked en el repositorio SMF.
# svcprop -p config/admin_privilege ike base # svccfg -s ike setprop config/admin_privilege=keymat
Devuelva al daemon IKE el nivel de privilegios base. a. Despus de ver las claves, devuelva al nivel de privilegios el valor predeterminado.
# svccfg -s ike setprop config/admin_privilege=base
Ejemplo 232
Verificacin de las claves IKE compartidas previamente en una versin anterior a Solaris 10 4/09
En el siguiente ejemplo, el administrador est consultando claves en un sistema Solaris que no ejecuta la versin actual de Solaris. El administrador desea comprobar que las claves de este sistema son idnticas a las del sistema de comunicacin. Despus de comprobar que las claves de los dos sistemas son idnticos, el administrador restablece el nivel de privilegios a 0.
Debido a que el nivel de privilegios no es 0x1 o 0x2, el administrador detiene el daemon in.iked y, a continuacin, aumenta el nivel de privilegios a 2.
adm1 # pkill in.iked adm1 # /usr/lib/inet/in.iked -p 2 Setting privilege level to 2
El administrador inicia sesin remota en el sistema de comunicacin y determina que las claves sean idnticas. A continuacin, el administrador restablece el nivel bsico de privilegios.
# ikeadm set priv base
Cmo agregar una clave IKE previamente compartida para una nueva entrada de directiva en ipsecinit.conf
Si agrega entradas de la directiva IPsec, mientras se ejecutan IPsec e IKE, deber leer la nueva directiva y las reglas IKE en el ncleo. A partir de la versin Solaris 10 4/09, reinicie el servicio de directivas y actualice el servicio ike despus de agregar las nuevas claves.
Nota Para llevar a cabo este procedimiento en una versin anterior a Solaris 10 4/09, consulte el
Ejemplo 233.
613
Antes de empezar
El sistema enigma est configurado de acuerdo con lo descrito en Cmo configurar IKE con claves previamente compartidas en la pgina 607. El sistema enigma va a proteger su trfico con un nuevo sistema, ada. El daemon in.iked se ejecuta en ambos sistemas. Las interfaces de los sistemas se incluyen como entradas en el archivo /etc/hosts de ambos sistemas. La entrada siguiente es un ejemplo.
192.168.15.7 ada 192.168.116.16 enigma
Este procedimiento tambin funciona con una direccin IPv6 en el archivo /etc/inet/ipnodes. A partir de la versin Solaris 10 5/07 las entradas IPv6 se colocan en el archivo /etc/hosts.
Ha agregado una nueva entrada de directiva en el archivo /etc/inet/ipsecinit.conf en ambos sistemas. Las entradas tienen el siguiente aspecto:
# ipsecinit.conf file for enigma {laddr enigma raddr ada} ipsec {auth_algs any encr_algs any sa shared} # ipsecinit.conf file for ada {laddr ada raddr enigma} ipsec {auth_algs any encr_algs any sa shared}
En la versin actual, ha comprobado la sintaxis del archivo /etc/inet/ipsecinit.conf en ambos sistemas mediante lo siguiente:
# ipsecconf -c -f /etc/inet/ipsecinit.conf
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para un inicio de sesin remota seguro.
En este sistema, genere nmeros aleatorios y cree una clave de entre 64 y 448 bits. Para obtener ms informacin, consulte Cmo generar nmeros aleatorios en un sistema Solaris en la pgina 537. Si va a generar una clave previamente compartida para un sistema Solaris que se comunica con un sistema operativo que requiere ASCII, consulte el Ejemplo 231.
Gua de administracin del sistema: servicios IP Octubre de 2009
614
Enve la clave al administrador del sistema remoto. Ambos deben agregar la misma clave previamente compartida y de forma simultnea. La seguridad de su clave depende de la seguridad de su mecanismo de transmisin. Se recomienda un mecanismo fuera de banda, como un correo registrado o un fax protegido. Tambin puede utilizar una sesin ssh para administrar ambos sistemas.
Cree una regla para que IKE administre las claves para enigma y ada. a. En el sistema enigma, agregue la regla siguiente al archivo /etc/inet/ike/config:
### ike/config file on enigma, 192.168.116.16 ## The rule to communicate with ada {label "enigma-to-ada" local_addr 192.168.116.16 remote_addr 192.168.15.7 p1_xform {auth_method preshared oakley_group 5 auth_alg sha1 encr_alg blowfish} p2_pfs 5 }
Asegrese de que haya claves IKE previamente compartidas al rearrancar. a. En el sistema enigma, agregue la siguiente informacin al archivo /etc/inet/secret/ike.preshared:
# ike.preshared on enigma for the ada interface # { localidtype IP localid 192.168.116.16 remoteidtype IP remoteid 192.168.15.7 # enigma and adas shared key in hex (32 - 448 bits required)
Captulo 23 Configuracin de IKE (tareas) 615
key 8d1fb4ee500e2bea071deb2e781cb48374411af5a9671714672bb1749ad9364d }
En cada sistema, reinicie el servicio de directivas de IPsec para asegurar la interfaz agregada.
# svcadm restart policy
Compruebe que los sistemas se puedan comunicar. Consulte Verificacin de que las claves IKE previamente compartidas sean idnticas en la pgina 617.
Ejemplo 233
Adicin de una clave IKE compartida previamente para una nueva entrada de directiva IPsec
En el siguiente ejemplo, el administrador agrega una clave compartida previamente a un sistema Solaris que no ejecuta la versin actual de Solaris. El administrador sigue el procedimiento anterior para modificar los archivos ike/config e ike., as como generar las claves y establecer contacto con el sistema remoto. El administrador utiliza comandos diferentes para leer la nueva directiva IPsec y las reglas IKE en el ncleo.
Antes de generar la nueva tecla, el administrador define el nivel de privilegios del daemon in.iked en 2.
# pkill in.iked # /usr/lib/inet/in.iked -p 2 Setting privilege level to 2
Despus de enviar la tecla para el otro sistema y agregar la nueva tecla al sistema, el administrador reduce el nivel de privilegios.
# ikeadm set priv base
616
# ipsecconf -a /etc/inet/ipsecinit.conf
Antes de empezar
IPsec se ha configurado y se ha habilitado entre los dos sistemas que se estn probando. Se est ejecutando la versin Solaris 10 actual.
Nota Para llevar a cabo este procedimiento en una versin anterior a Solaris 10 4/09, consulte el
Ejemplo 232.
1
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para un inicio de sesin remota seguro.
Si el nivel de privilegios es keymat, contine con el Paso 3. Si el nivel de privilegios es base o modkeys, aumente su nivel. A continuacin, actualice el servicio ike y reincielo.
# svccfg -s ike setprop config/admin_privilege=keymat # svcadm refresh ike ; svcadm restart ike # svcprop -p config/admin_privilege ike keymat
617
Compare los dos vaciados. Si las claves previamente compartidas no son idnticas, sustituya una de ellas con la otra en el archivo /etc/inet/secret/ike.preshared.
Cuando se haya completado la verificacin, devuelva al nivel de privilegios el valor predeterminado de cada sistema.
# svccfg -s ike setprop config/admin_privilege=base # svcadm restart ike
Crea y coloca dos certificados en cada sistema: Un certificado autofirmado El certificado de clave pblica del sistema remoto
Cmo configurar IKE con certificados de clave pblica autofirmados en la pgina 619 Cmo configurar IKE con certificados firmados por una autoridad de certificacin en la pgina 626
Crea una solicitud de certificado y coloca tres certificados en cada sistema: El certificado que crea la autoridad de certificacin a partir de su solicitud El certificado de clave pblica de la autoridad de certificacin La lista CRL de la autoridad de certificacin
618
Tarea
Descripcin
Implica una de estas acciones: Cmo generar y almacenar Generar un certificado autofirmado en el hardware certificados de clave pblica en el local y luego agregar la clave pblica de un sistema hardware en la pgina 631 remoto al hardware. Generar una solicitud de certificado en el hardware local y luego agregar los certificados de clave pblica de la autoridad de certificacin al hardware. Cmo administrar una lista de revocacin de certificados en la pgina 635
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El registro remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja
de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para iniciar una sesin remota de forma segura.
619
-ks -kc
Crea un certificado autofirmado. Crea una solicitud de certificado. Para conocer el procedimiento, consulte Cmo configurar IKE con certificados firmados por una autoridad de certificacin en la pgina 626. Es el tamao de la clave. Tamao_clave puede ser 512, 1024, 2048, 3072 o 4096. Especifica el tipo de algoritmo que utilizar. Tipo_algoritmo puede ser rsa-sha1, rsa-md5 o dsa-sha1. Es el nombre X.509 distinguido para el tema del certificado. Nombre_d suele tener el formato siguiente: C=country (pas), O=organization (organizacin=, OU=organizational unit (unidad organizativa), CN=common name (nombre comn). Las etiquetas vlidas son C, O, OU y CN. Nombre alternativo del certificado. Nombre_alt tiene el formato tag=value. Las etiquetas vlidas son IP, DNS, email y DN. Proporciona un tiempo de inicio de validez absoluto o relativo para el certificado. Proporciona un tiempo de fin de validez absoluto o relativo para el certificado. Permite al token de hardware PKCS #11 generar las claves. Los certificados se guardan en el hardware.
620
Guarde el certificado y envelo al sistema remoto. El certificado se puede pegar en un mensaje de correo electrnico. a. Por ejemplo, enviara el siguiente certificado de partym al administrador de enigma:
To: admin@ja.enigmaexample.com From: admin@us.partyexample.com Message: -----BEGIN X509 CERTIFICATE----MIICLTCCAZagAwIBAgIBATANBgkqhkiG9w0BAQQFADBNMQswCQYDVQQGEwJVUzEX ... 6sKTxpg4GP3GkQGcd0r1rhW/3yaWBkDwOdFCqEUyffzU -----END X509 CERTIFICATE-----
En cada sistema, agregue el certificado que reciba. a. Copie la clave pblica del correo electrnico del administrador.
621
b. Escriba el comando ikecert certdb -a y pulse la tecla Intro. Al pulsar Intro no aparecer ningn mensaje.
# ikecert certdb -a Press the Return key
c. Pegue la clave pblica. A continuacin, pulse la tecla Intro. Para finalizar la entrada, pulse Control+D.
-----BEGIN X509 CERTIFICATE----MIIC... ... ----END X509 CERTIFICATE----<Control>-D 5
Verifique con el otro administrador que el certificado proceda de dicho administrador. Por ejemplo, puede llamar por telfono al otro administrador para comparar los valores de hash de clave pblica. El hash de clave pblica del certificado compartido debe ser idntico en los dos sistemas. a. Enumere el certificado guardado en su sistema. Por ejemplo, en el sistema partym, el certificado pblico se encuentra en la ranura 1 y el certificado privado se encuentra en la ranura 0.
partym # ikecert certdb -l Certificate Slot Name: 0 Type: rsa-md5 Private Key Subject Name: <C=US, O=PartyCompany, OU=US-Partym, CN=Partym> Key Size: 1024 Public key hash: B2BD13FCE95FD27ECE6D2DCD0DE760E2 Certificate Slot Name: 1 Type: rsa-md5 Public Certificate (Private key in certlocal slot 0) Points to certificate's private key Subject Name: <C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax> Key Size: 1024 Public key hash: 2239A6A127F88EE0CB40F7C24A65B818
b. Compare este valor con el hash de clave pblica del sistema enigma. El hash de clave pblica se puede comunicar por telfono.
enigma # ikecert certdb -l Certificate Slot Name: 4 Type: rsa-md5 Private Key Subject Name: <C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax> Key Size: 1024 Public key hash: DF3F108F6AC669C88C6BD026B0FCE3A0 Certificate Slot Name: 5 Type: rsa-md5 Public Certificate (Private key in certlocal slot 4) Subject Name: <C=US, O=PartyCompany, OU=US-Partym, CN=Partym> Key Size: 1024
622
En cada sistema, confe en ambos certificados. Edite el archivo /etc/inet/ike/config para reconocer los certificados. El administrador del sistema remoto proporciona los valores para los parmetros cert_trust, remote_addr y remote_id. a. Por ejemplo, en el sistema partym, el archivo ike/config tendra el siguiente aspecto:
# Explicitly trust the following self-signed certs # Use the Subject Alternate Name to identify the cert # Verified # Verified cert_trust cert_trust remote address and remote ID public key hash per telephone call from administrator "192.168.13.213" Local system's certificate Subject Alt Name "192.168.116.16" Remote system's certificate Subject Alt Name
## Parameters that may also show up in rules. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg des } p2_pfs 5 { label "US-partym to JA-enigmax" local_id_type dn local_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" remote_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" local_addr 192.168.13.213 remote_addr 192.168.116.16 p1_xform {auth_method rsa_sig oakley_group 2 auth_alg sha1 encr_alg aes} }
b. En el sistema enigma, agregue los valores de enigma para los parmetros locales en el archivo ike/config. Para los parmetros remotos, utilice los valores de partym. Asegrese de que el valor de la palabra clave label sea nico. Este valor debe ser diferente del valor label del sistema remoto.
... { label "JA-enigmax to US-partym" local_id_type dn local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax"
623
remote_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 ...
Ejemplo 234
624
El segundo administrador coloca el archivo en un directorio seguro e importa el certificado del archivo.
sys2# cd / sys2# ikecert certdb -a < /sec/co2sys
El comando ikecert importa nicamente el texto que hay entre las lneas -----BEGIN y -----END. El administrador verifica que el certificado local tenga el mismo valor hash de clave pblica quel valor hash de clave pblica que haya en el archivo co2sys.
sys2# ikecert certdb -l Certificate Slot Name: 1 Key Type: rsa (Private key in certlocal slot 1) Subject Name: <C=US, O=TestCo, CN=Co2Sys> Key Size: 1024 Public key hash: C46DE77EF09084CE2B7D9C70479D77FF
Para asegurarse de que el primer administrador enve este correo electrnico, el segundo administrador telefonea al primero para verificar el nombre del asunto del certificado.
Ejemplo 235
El administrador del sistema enigma establece las fechas para la validez del certificado. El certificado ser anterior en dos das y ser vlido hasta las 12 de la noche del 31 de diciembre de 2010.
# ikecert certlocal -ks -m 1024 -t rsa-md5 \ -D "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" \ -A IP=192.168.116.16 \ -S -2d -F "12/31/2010 12:00 AM"
625
Cmo configurar IKE con certificados firmados por una autoridad de certificacin
Los certificados pblicos de una autoridad de certificacin requieren negociar con una organizacin externa. Los certificados se pueden escalar con gran facilidad para proteger un mayor nmero de sistemas que se comunican.
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para iniciar una sesin remota de forma segura.
Utilice el comando ikecert certlocal -kc para crear una solicitud de certificado. Para ver una descripcin de los argumentos del comando, consulte el Paso 2 en Cmo configurar IKE con certificados de clave pblica autofirmados en la pgina 619.
# ikecert certlocal -kc -m keysize -t keytype \ -D dname -A altname
a. Por ejemplo, el comando siguiente crea una solicitud de certificado en el sistema partym:
# ikecert certlocal -kc -m 1024 -t rsa-md5 \ > -D "C=US, O=PartyCompany\, Inc., OU=US-Partym, CN=Partym" \ > -A "DN=C=US, O=PartyCompany\, Inc., OU=US-Partym" Creating software private keys. Writing private key to file /etc/inet/secret/ike.privatekeys/2. Enabling external key providers - done. Certificate Request: Proceeding with the signing operation. Certificate request generated successfully (.../publickeys/0) Finished successfully. -----BEGIN CERTIFICATE REQUEST----MIIByjCCATMCAQAwUzELMAkGA1UEBhMCVVMxHTAbBgNVBAoTFEV4YW1wbGVDb21w ... lcM+tw0ThRrfuJX9t/Qa1R/KxRlMA3zckO80mO9X -----END CERTIFICATE REQUEST-----
626
Enve la solicitud de certificado a una organizacin de PKI. La organizacin de PKI puede indicar cmo enviar la solicitud de certificado. La mayora de las organizaciones cuenta con un sitio web con un formulario de envo. El formulario requiere una prueba de que el envo es legtimo. Normalmente, la solicitud de certificado se pega en el formulario. Cuando la organizacin ha comprobado la solicitud, emite los dos objetos de certificado siguientes y una lista de los certificados revocados:
El certificado de clave pblica: este certificado se basa en la solicitud que ha enviado a la organizacin. La solicitud que enva forma parte del certificado de clave pblica. El certificado le identifica de forma exclusiva. Una autoridad de certificacin: la firma de la organizacin. La autoridad de certificacin verifica que el certificado de clave pblica sea legtimo. Una lista de revocacin de certificados (CRL): La lista de certificados ms reciente que ha revocado la organizacin. La CRL no se enva por separado como objeto de certificado si el acceso a la CRL est integrado en el certificado de clave pblica. Cuando un URI para la CRL est integrado en el certificado de clave pblica, IKE puede recuperar automticamente la CRL. De modo similar, cuando una entrada DN (nombre de directorio en servidor LDAP) se integra en el certificado de clave pblica, IKE puede recuperar la CRL y almacenarla en cach desde un servidor LDAP que se especifique. Consulte Cmo administrar una lista de revocacin de certificados en la pgina 635 para ver un ejemplo de URI integrado y una entrada DN integrada en un certificado de clave pblica.
Agregue cada certificado al sistema. La opcin -a de ikecert certdb -a agrega el objeto pegado a la base de datos de certificados pertinente del sistema. Para ms informacin, consulte IKE con certificados de claves pblicas en la pgina 601. a. En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario.
627
d. Si la organizacin de PKI ha enviado una lista de certificados revocados, agregue la CRL a la base de datos certrldb:
# ikecert certrldb -a Press the Return key Paste the CRL: -----BEGIN CRL----... -----END CRL---Press the Return key <Control>-D 5
Utilice la palabra clave cert_root para identificar la organizacin de PKI en el archivo /etc/inet/ike/config. Utilice el nombre que proporciona la organizacin de PKI. a. Por ejemplo, el archivo ike/config del sistema partym podra ser similar a:
# Trusted root cert # This certificate is from Example PKI # This is the X.509 distinguished name for the CA that it issues. cert_root "C=US, O=ExamplePKI\, Inc., OU=PKI-Example, CN=Example PKI" ## Parameters that may also show up in rules. p1_xform
628
{ auth_method rsa_sig oakley_group 1 auth_alg sha1 encr_alg des } p2_pfs 2 { label "US-partym to JA-enigmax - Example PKI" local_id_type dn local_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" remote_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" local_addr 192.168.13.213 remote_addr 192.168.116.16 p1_xform {auth_method rsa_sig oakley_group 2 auth_alg sha1 encr_alg aes} }
Nota Todos los argumentos del parmetro auth_method deben encontrarse en la misma
lnea. b. En el sistema enigma, cree un archivo similar. En concreto, el archivo enigma ike/config llevar a cabo las siguientes acciones:
Incluir el mismo valor de cert_root. Utilizar los valores de enigma para los parmetros locales. Utilice los valores de partym para los parmetros remotos. Cree un valor nico para la palabra clave label. Este valor debe ser diferente del valor label del sistema remoto.
... cert_root "C=US, O=ExamplePKI\, Inc., OU=PKI-Example, CN=Example PKI" ... { label "JA-enigmax to US-partym - Example PKI" local_id_type dn local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" remote_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 ...
629
Ninguna CRL disponible Si la organizacin de PKI no proporciona ninguna CRL, agregue la palabra clave ignore_crls al archivo ike/config.
# Trusted root cert ... cert_root "C=US, O=ExamplePKI\, Inc., OU=PKI-Example,... ignore_crls ...
La palabra clave ignore_crls indica a IKE que no debe buscar ninguna CRL.
CRL disponible Si la organizacin de PKI proporciona un punto de distribucin central para las CRL, puede modificar el archivo ike/config para que haga referencia a esa ubicacin. Consulte Cmo administrar una lista de revocacin de certificados en la pgina 635 para ver algunos ejemplos.
Ejemplo 236
630
2. En cada sistema, agregue el certificado enviado por correo electrnico a la base de datos publickeys local.
# ikecert certdb -a Press the Return key -----BEGIN X509 CERTIFICATE----MII... -----END X509 CERTIFICATE----Press the Return key <Control>-D
El mtodo de autenticacin para el cifrado de RSA oculta las identidades de IKE de los intrusos. Dado que el mtodo rsa_encrypt oculta la identidad del equivalente, IKE no puede recuperar su certificado. Como consecuencia de ello, el mtodo rsa_encrypt requiere que los equivalentes de IKE conozcan las claves pblicas el uno del otro. Por tanto, si utiliza un auth_method de rsa_encrypt en el archivo /etc/inet/ike/config, debe agregar el certificado del equivalente a la base de datos publickeys. La base de datos publickeys incluye tres certificados para cada par de sistemas que se comunican:
Su certificado de clave pblica El certificado de la administracin de certificacin El certificado de clave pblica del equivalente
Resolucin de problemas: La carga til de IKE, que incluye los tres certificados, puede ser demasiado grande para que la cifre rsa_encrypt. Errores como un fallo de autenticacin o una carga til mal formada pueden indicar que el mtodo rsa_encrypt no puede cifrar la carga til total. Reduzca el tamao de la carga til utilizando un mtodo que requiera nicamente dos certificados, por ejemplo rsa_sig.
Antes de empezar
El hardware debe estar configurado. El hardware utiliza la biblioteca /usr/lib/libpkcs11.so, a menos que la palabra clave pkcs11_path del archivo /etc/inet/ike/config haga referencia a una biblioteca distinta. La biblioteca debe implementarse de acuerdo con el estndar siguiente: RSA Security Inc. PKCS #11 Cryptographic Token Interface (Cryptoki), es decir, una biblioteca PKCS #11.
631
Consulte Cmo configurar IKE para buscar la placa de Sun Crypto Accelerator 4000 en la pgina 648 para obtener instrucciones sobre la instalacin.
1
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El registro remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja
de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para iniciar una sesin remota de forma segura.
2
Genere un certificado autofirmado o una solicitud de certificado y especifique el ID de smbolo. Elija una de las siguientes opciones:
Nota La placa Sun Crypto Accelerator 4000 admite claves de hasta 2048 bits para RSA. Para DSA, esta placa admite claves de hasta 1024 bits.
El argumento para la opcin -T es el ID de smbolo de la placa Sun Crypto Accelerator 4000 conectada.
Para ver una descripcin de los argumentos para el comando ikecert, consulte la pgina del comando man ikecert(1M).
632
Cuando se le solicite un PIN, escriba el usuario de Sun Crypto Accelerator 4000, dos puntos y la contrasea del usuario. Si la placa de Sun Crypto Accelerator 4000 tiene un usuario ikemgr cuya contrasea es rgm4tigt, debe escribir:
Enter PIN for PKCS#11 token: ikemgr:rgm4tigt
Enve su certificado para que lo pueda utilizar la otra parte. Elija una de las siguientes opciones:
Enve el certificado autofirmado al sistema remoto. El certificado se puede pegar en un mensaje de correo electrnico. Enve la solicitud de certificado a una organizacin que administre PKI. Siga las instrucciones de la administracin de PKI para enviar la solicitud de certificado. Para obtener informacin ms detallada, consulte el Paso 3 de Cmo configurar IKE con certificados firmados por una autoridad de certificacin en la pgina 626.
En el sistema, edite el archivo /etc/inet/ike/config para que reconozca los certificados. Elija una de las siguientes opciones.
Certificado autofirmado Utilice los valores que proporciona el administrador del sistema remoto para los parmetros cert_trust, remote_id y remote_addr. Por ejemplo, en el sistema enigma, el archivo ike/config sera similar a:
# Explicitly trust the following self-signed certs # Use the Subject Alternate Name to identify the cert cert_trust "192.168.116.16" cert_trust "192.168.13.213" Local system's certificate Subject Alt Name Remote system's certificate Subject Alt name
633
# Solaris 10 1/06 release: default path does not have to be typed in #pkcs11_path "/usr/lib/libpkcs11.so" Hardware connection # Solaris 10 release: use this path #pkcs11_path "/opt/SUNWconn/cryptov2/lib/libvpkcs11.so" ... { label "JA-enigmax to US-partym" local_id_type dn local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" remote_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 p1_xform {auth_method rsa_sig oakley_group 2 auth_alg sha1 encr_alg aes} }
Solicitud de certificado Escriba el nombre que proporciona la organizacin de PKI como valor para la palabra clave cert_root. Por ejemplo, el archivo ike/config del sistema enigma podra ser similar a:
# Trusted root cert # This certificate is from Example PKI # This is the X.509 distinguished name for the CA that it issues. cert_root "C=US, O=ExamplePKI\, Inc., OU=PKI-Example, CN=Example PKI" # Solaris 10 1/06 release: default path does not have to be typed in #pkcs11_path "/usr/lib/libpkcs11.so" Hardware connection # Solaris 10 release: use this path #pkcs11_path "/opt/SUNWconn/cryptov2/lib/libvpkcs11.so" ... { label "JA-enigmax to US-partym - Example PKI" local_id_type dn local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" remote_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 p1_xform {auth_method rsa_sig oakley_group 2 auth_alg sha1 encr_alg aes} }
634
Coloque los certificados de la otra parte en el hardware. Responda a la solicitud de PIN del mismo modo que en el Paso 3.
Nota Debe agregar los certificados de clave pblica al mismo hardware conectado que gener la
clave privada.
Certificado autofirmado. Agregue el certificado autofirmado al sistema remoto. En este ejemplo, el certificado se guarda en el archivo, DCA.ACCEL.STOR.CERT.
# ikecert certdb -a -T dca0-accel-stor < DCA.ACCEL.STOR.CERT Enter PIN for PKCS#11 token: Type user:password
Si el certificado autofirmado utiliz rsa_encrypt como valor para el parmetro auth_method, agregue el certificado del equivalente al hardware.
Certificados de una organizacin de PKI. Agregue el certificado que ha generado la organizacin a partir de la solicitud de certificado, y agregue la autoridad de certificacin.
# ikecert certdb -a -T dca0-accel-stor < DCA.ACCEL.STOR.CERT Enter PIN for PKCS#11 token: Type user:password # ikecert certdb -a -T dca0-accel-stor < DCA.ACCEL.STOR.CA.CERT Enter PIN for PKCS#11 token: Type user:password
Para agregar una lista de revocacin de certificados (CRL) de la organizacin de PKI, consulte Cmo administrar una lista de revocacin de certificados en la pgina 635.
Debe indicar a IKE que omita las CRL si la organizacin de la autoridad de certificacin no emite ninguna CRL. Esta opcin se muestra en el Paso 6 en Cmo configurar IKE con certificados firmados por una autoridad de certificacin en la pgina 626. Puede indicar a IKE que acceda a las CRL desde un indicador de recursos uniforme (URI) cuya direccin est integrada en el certificado de clave pblica de la autoridad de certificacin.
635
Puede indicar a IKE que acceda a las CRL desde un servidor LDAP cuya entrada de nombre de directorio (DN) est integrada en el certificado de clave pblica de la autoridad de certificacin. Puede proporcionar la CRL como argumento para el comando ikecert certrldb. Si desea ver un ejemplo, consulte el Ejemplo 237.
El siguiente procedimiento describe cmo indicar a IKE que utilice las CRL de un punto de distribucin central.
1
-l -v certspec
Enumera los certificados de la base de datos IKE. Enumera los certificados en modo detallado. Utilice esta opcin con precaucin. Es un patrn que coincide con un certificado de la base de datos de certificados IKE.
Por ejemplo, el certificado siguiente ha sido emitido por Sun Microsystems. Los detalles se han modificado.
# ikecert certdb -lv example-protect.sun.com Certificate Slot Name: 0 Type: dsa-sha1 (Private key in certlocal slot 0) Subject Name: <O=Sun Microsystems Inc, CN=example-protect.sun.com> Issuer Name: <CN=Sun Microsystems Inc CA (Cl B), O=Sun Microsystems Inc> SerialNumber: 14000D93 Validity: Not Valid Before: 2002 Jul 19th, 21:11:11 GMT Not Valid After: 2005 Jul 18th, 21:11:11 GMT Public Key Info: Public Modulus (n) (2048 bits): C575A...A5 Public Exponent (e) ( 24 bits): 010001 Extensions: Subject Alternative Names: DNS = example-protect.sun.com Key Usage: DigitalSignature KeyEncipherment [CRITICAL] CRL Distribution Points: Full Name: URI = #Ihttp://www.sun.com/pki/pkismica.crl#i DN = <CN=Sun Microsystems Inc CA (Cl B), O=Sun Microsystems Inc> CRL Issuer: Authority Key ID: Key ID: 4F ... 6B SubjectKeyID: A5 ... FD
636
Observe la entrada CRL Distribution Points. La entrada URI indica que la CRL de esta organizacin est disponible en Internet. La entrada DN indica que la CRL est disponible en un servidor LDAP. Cuando IKE accede a la CRL, sta se almacena en cach para futuros usos. Para acceder a la CRL, debe alcanzar un punto de distribucin.
2
Elija uno de los mtodos siguientes para acceder a la CRL desde un punto de distribucin central.
Utilice el URI. Agregue la palabra clave use_http al archivo /etc/inet/ike/config del host. Por ejemplo, el archivo ike/config tendra el siguiente aspecto:
# Use CRL from organizations URI use_http ...
Utilice un proxy Web. Agregue la palabra clave proxy al archivo ike/config. La palabra clave proxy adopta una direccin URL como argumento, como en el caso siguiente:
# Use own web proxy proxy "http://proxy1:8080"
Utilice un servidor LDAP. Configure el servidor LDAP como argumento para la palabra clave ldap-list del archivo /etc/inet/ike/config del host. Su organizacin proporciona el nombre del servidor LDAP. La entrada del archivo ike/config tendra el siguiente aspecto:
# Use CRL from organizations LDAP ldap-list "ldap1.sun.com:389,ldap2.sun.com" ...
IKE recupera la CRL y almacena en cach la CRL hasta que caduque el certificado.
Ejemplo 237
637
Comunicar remotamente con un sitio central Utilizar un certificado root e IKE en un sistema central que acepta trfico de sistemas porttiles Utilizar un certificado root e IKE en un sistema que no tiene una direccin IP fija Utilizar certificados autofirmados e IKE en un sistema central que acepta trfico de sistemas porttiles Utilizar certificados autofirmados e IKE en un sistema que no tiene una direccin IP fija
Permite a los sistemas remotos comunicarse con un Cmo configurar IKE para sitio central. Los sistemas remotos pueden ser sistemas remotos porttiles. en la pgina 638 Configura un sistema de portal para que acepte el trfico de IPsec de un sistema que no tiene una direccin IP fija. Ejemplo 238
Configura un sistema porttil para proteger su Ejemplo 239 trfico en un sitio central, como la oficina central de una compaa. Configura un sistema de portal con certificados Ejemplo 2310 autofirmados para aceptar trfico de IPsec desde un sistema porttil. Configura un sistema porttil con certificados autofirmados para proteger su trfico en un sitio central. Ejemplo 2311
638
central desde un encaminador NAT, no se utilizarn sus direcciones exclusivas. Un encaminador NAT asigna una direccin IP arbitraria, que el sistema central no reconocera. Las claves previamente compartidas tampoco funcionan bien como mecanismo de autenticacin para sistemas porttiles, dado que requieren direcciones IP fijas. Los certificados autofirmados o certificados desde un PKI permiten a los sistemas porttiles comunicarse con el sitio central.
1
En la consola del sistema central, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para iniciar una sesin remota de forma segura.
Configure el sistema central para que reconozca los sistemas porttiles. a. Configure el archivo /etc/hosts. El sistema central no tiene que reconocer las direcciones especficas para los sistemas porttiles.
# /etc/hosts on central central 192.xxx.xxx.x
b. Configure el archivo ipsecinit.conf. El sistema central necesita una directiva que permite una amplia gama de direcciones IP. Los certificados de la directiva IKE garantizan que los sistemas conectados son legtimos.
# /etc/inet/ipsecinit.conf on central # Keep everyone out unless they use this IPsec policy: {} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
c. Configure el archivo ike.config. DNS identifica el sistema central. Se utilizan certificados para autenticar el sistema.
## /etc/inet/ike/ike.config on central # Global parameters # # Find CRLs by URI, URL, or LDAP # Use CRL from organizations URI use_http #
Captulo 23 Configuracin de IKE (tareas) 639
# Use web proxy proxy "http://somecache.domain:port/" # # Use LDAP server ldap_server "ldap-server1.domain.org,ldap2.domain.org:port" # # List CA-signed certificates cert_root "C=US, O=Domain Org, CN=Domain STATE" # # List self-signed certificates - trust server and enumerated others #cert_trust "DNS=central.domain.org" #cert_trust "DNS=mobile.domain.org" #cert_trust "DN=CN=Domain Org STATE (CLASS), O=Domain Org #cert_trust "email=root@central.domain.org" #cert_trust "email=user1@mobile.domain.org" # # Rule for mobile systems with certificate { label "Mobile systems with certificate" local_id_type DNS # Any mobile system who knows my DNS or IP can find me. local_id "central.domain.org" local_addr 192.xxx.xxx.x # Root certificate ensures trust, # so allow any remote_id and any remote IP address. remote_id "" remote_addr 0.0.0.0/0 p2_pfs 5 p1_xform {auth_method rsa_sig oakley_group 5 encr_alg blowfish auth_alg sha1 } } 3
Inicie sesin en cada sistema porttil y configure el sistema para buscar el sistema central. a. Configure el archivo /etc/hosts. El archivo /etc/hosts no necesita una direccin para el sistema porttil, pero puede proporcionar una. El archivo debe contener una direccin IP pblica para el sistema central.
# /etc/hosts on mobile mobile 10.x.x.xx central 192.xxx.xxx.x
640
b. Configure el archivo ipsecinit.conf. El sistema porttil debe encontrar el sistema central por su direccin IP pblica. Los sistemas deben configurar la misma directiva IPsec.
# /etc/inet/ipsecinit.conf on mobile # Find central {raddr 192.xxx.xxx.x} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
c. Configure el archivo ike.config. El identificador no puede ser una direccin IP. Los siguientes identificadores son vlidos para sistemas porttiles:
local_id "mobile.domain.org" local_addr 0.0.0.0/0 # Find central and trust the root certificate remote_id "central.domain.org" remote_addr 192.xxx.xxx.x p2_pfs 5 p1_xform {auth_method rsa_sig oakley_group 5 encr_alg blowfish auth_alg sha1 } } 4
642
use_http # # Use web proxy proxy "http://cache1.domain.org:8080/" # # Use LDAP server ldap_server "ldap1.domain.org,ldap2.domain.org:389" # # List CA-signed certificate cert_root "C=US, O=ExamplePKI Inc, OU=PKI-Example, CN=Example PKI" # # Rule for off-site systems with root certificate { label "Off-site system with root certificate" local_id_type DNS local_id "main1.domain.org" local_addr 192.168.0.100 # Root certificate ensures trust, # so allow any remote_id and any remote IP address. remote_id "" remote_addr 0.0.0.0/0 p2_pfs 5 p1_xform {auth_method p1_xform {auth_method p1_xform {auth_method p1_xform {auth_method }
rsa_sig oakley_group 5 encr_alg blowfish auth_alg sha1} rsa_sig oakley_group 5 encr_alg aes auth_alg sha1} rsa_sig oakley_group 5 encr_alg blowfish auth_alg sha1} rsa_sig oakley_group 5 encr_alg aes auth_alg sha1}
Ejemplo 239
## /etc/hosts on mobile1 mobile1 10.1.3.3 main1 192.168.0.100 ## /etc/inet/ipsecinit.conf on mobile1 # Find main1 {raddr 192.168.0.100} ipsec {encr_algs aes encr_auth_algs sha1 sa shared} ## /etc/inet/ike/ike.config on mobile1 # Global parameters # # Find CRLs by URI, URL, or LDAP # Use CRL from organizations URI use_http # # Use web proxy proxy "http://cache1.domain.org:8080/" # # Use LDAP server ldap_server "ldap1.domain.org,ldap2.domain.org:389" # # List CA-signed certificate cert_root "C=US, O=ExamplePKI Inc, OU=PKI-Example, CN=Example PKI" # # Rule for off-site systems with root certificate { label "Off-site mobile1 with root certificate" local_id_type DNS local_id "mobile1.domain.org" local_addr 0.0.0.0/0 # Find main1 and trust the root certificate remote_id "main1.domain.org" remote_addr 192.168.0.100 p2_pfs 5 p1_xform {auth_method rsa_sig oakley_group 5 encr_alg blowfish auth_alg sha1 } }
Ejemplo 2310
644
## /etc/hosts on main1 main1 192.168.0.100 ## /etc/inet/ipsecinit.conf on main1 # Keep everyone out unless they use this IPsec policy: {} ipsec {encr_algs aes encr_auth_algs sha1 sa shared} ## /etc/inet/ike/ike.config on main1 # Global parameters # # Self-signed certificates - trust me and enumerated others cert_trust "DNS=main1.domain.org" cert_trust "jdoe@domain.org" cert_trust "user2@domain.org" cert_trust "user3@domain.org" # # Rule for off-site systems with trusted certificate { label "Off-site systems with trusted certificates" local_id_type DNS local_id "main1.domain.org" local_addr 192.168.0.100 # Trust the self-signed certificates # so allow any remote_id and any remote IP address. remote_id "" remote_addr 0.0.0.0/0 p2_pfs 5 p1_xform {auth_method rsa_sig oakley_group 5 encr_alg blowfish auth_alg sha1 } }
Ejemplo 2311
## /etc/inet/ipsecinit.conf on mobile1 # Find main1 {raddr 192.168.0.100} ipsec {encr_algs aes encr_auth_algs sha1 sa shared} ## /etc/inet/ike/ike.config on mobile1 # Global parameters # Self-signed certificates - trust me and the central system cert_trust "jdoe@domain.org" cert_trust "DNS=main1.domain.org" # # Rule for off-site systems with trusted certificate { label "Off-site mobile1 with trusted certificate" local_id_type email local_id "jdoe@domain.org" local_addr 0.0.0.0/0 # Find main1 and trust the certificate remote_id "main1.domain.org" remote_addr 192.168.0.100 p2_pfs 5 p1_xform {auth_method rsa_sig oakley_group 5 encr_alg blowfish auth_alg sha1 } }
646
Tarea
Descripcin
Descargar operaciones de claves IKE en Vincula IKE con la biblioteca de PKCS #11. Cmo configurar IKE para buscar la placa de la placa de Sun Crypto Accelerator 1000 Sun Crypto Accelerator 1000 en la pgina 647 Descargar operaciones de claves IKE y almacenar las claves en la placa de Sun Crypto Accelerator 4000 Vincula IKE con la biblioteca de PKCS #11 Cmo configurar IKE para buscar la placa de e indica el nombre del hardware conectado. Sun Crypto Accelerator 4000 en la pgina 648
Cmo configurar IKE para buscar la placa de Sun Crypto Accelerator 1000
El procedimiento siguiente presupone que hay una placa de Sun Crypto Accelerator 1000 conectada al sistema. Adems, el procedimiento presupone que se ha instalado y configurado el software para la placa. Para obtener instrucciones, consulte Sun Crypto Accelerator 1000 Board Version 2.0 Installation and Users Guide. En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para iniciar una sesin remota de forma segura.
Antes de empezar
Compruebe que est vinculada la biblioteca de PKCS #11. Escriba el comando siguiente para determinar si la biblioteca de PKCS #11 est vinculada:
# ikeadm get stats Phase 1 SA counts: Current: initiator: Total: initiator:
Captulo 23 Configuracin de IKE (tareas)
0 0
responder: responder:
0 0
647
Attempted: initiator: 0 responder: Failed: initiator: 0 responder: initiator fails include 0 time-out(s) PKCS#11 library linked in from /usr/lib/libpkcs11.so # 3
0 0
Solaris 10 1/06: A partir de esta versin, puede guardar las claves en el almacn de claves softtoken. Para obtener informacin sobre el almacn de claves que proporciona la estructura criptogrfica de Solaris, consulte la pgina del comando man cryptoadm(1M) Si desea ver un ejemplo del uso del almacn de claves, consulte el Example 2312.
Cmo configurar IKE para buscar la placa de Sun Crypto Accelerator 4000
El siguiente procedimiento presupone que hay una placa de Sun Crypto Accelerator 4000 conectada al sistema. Adems, el procedimiento presupone que se ha instalado y configurado el software para la placa. Para obtener instrucciones, consulte la Sun Crypto Accelerator 4000 Board Version 1.1 Installation and Users Guide. Si utiliza una placa Crypto Accelerator 6000 de Sun, consulte la Sun Crypto Accelerator 6000 Board Version 1.1 Users Guide para obtener instrucciones.
Antes de empezar
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para iniciar una sesin remota de forma segura.
Compruebe que est vinculada la biblioteca de PKCS #11. IKE utiliza las rutinas de la biblioteca para administrar la generacin de claves y el almacenamiento de claves en la placa de Sun Crypto Accelerator 4000. Escriba el comando siguiente para determinar si se ha vinculado una biblioteca de PKCS #11:
$ ikeadm get stats ... PKCS#11 library linked in from /usr/lib/libpkcs11.so $
648
Nota La placa Sun Crypto Accelerator 4000 admite claves de hasta 2048 bits para RSA. Para DSA, esta placa admite claves de hasta 1024 bits. 3
La biblioteca devuelve un ID de smbolo, tambin denominado nombre de keystore, de 32 caracteres. En este ejemplo, puede utilizar el smbolo Sun Metaslot con los comandos ikecert para almacenar y acelerar claves IKE. Para obtener instrucciones sobre cmo utilizar el smbolo, consulte Cmo generar y almacenar certificados de clave pblica en el hardware en la pgina 631. Los espacios finales se rellenan automticamente con el comando ikecert.
Ejemplo 2312
Para crear una contrasea para el almacn de claves softtoken, consulte la pgina del comando man pktool(1). Un comando como el siguiente agregara un certificado al almacn de claves softtoken. Sun.Metaslot.cert es un archivo que contiene un certificado de una autoridad de certificacin.
# ikecert certdb -a -T "Sun Metaslot" < Sun.Metaslot.cert Enter PIN for PKCS#11 token: Type user:passphrase
649
Hacer la negociacin de claves ms eficiente Cambia los parmetros de negociacin de claves. Configurar la negociacin de claves para permitir retrasos en la transmisin Configurar la negociacin de claves para proceder con rapidez si es correcta o para mostrar los fallos rpidamente Alarga los parmetros de negociacin de claves. Acorta los parmetros de negociacin de claves.
Cmo cambiar la duracin de la negociacin de claves IKE de fase 1 en la pgina 650 Ejemplo 2313 Ejemplo 2314
650
Nota El registro remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja
de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para iniciar una sesin remota de forma segura.
2
Cambie los valores predeterminados de los parmetros de transmisin globales de cada sistema. En cada sistema, modifique los parmetros de duracin de la fase 1 del archivo /etc/inet/ike/config.
### ike/config file on system
## Global parameters # ## Phase 1 transform defaults # #expire_timer 300 #retry_limit 5 #retry_timer_init 0.5 (integer or float) #retry_timer_max 30 (integer or float)
expire_timer
Nmero de segundos que persistir una negociacin de IKE de fase 1 sin completar antes de eliminar el intento de negociacin. De modo predeterminado, el intento persiste durante 30 segundos. El nmero de retransmisiones antes de que se cancele cualquier negociacin de IKE. De modo predeterminado, hay cinco intentos de IKE. Intervalo inicial entre retransmisiones. Este intervalo se dobla hasta alcanzar el valor de retry_timer_max. El intervalo inicial es de 0,5 segundos. El intervalo mximo en segundos entre retransmisiones. El intervalo de retransmisin deja de aumentar una vez alcanzado este lmite. De modo predeterminado, el limite es de 30 segundos.
retry_limit
retry_timer_init
retry_timer_max
651
Ejemplo 2313
Ejemplo 2314
652
C A P T U L O
24
2 4
Utilidad de gestin de servicios de IKE en la pgina 653 Daemon IKE en la pgina 654 Archivo de directiva IKE en la pgina 654 Comando de administracin de IKE en la pgina 655 Archivos de claves IKE previamente compartidas en la pgina 656 Comandos y bases de datos de claves pblicas IKE en la pgina 656
Para obtener instrucciones sobre la implementacin de IKE, consulte el Captulo 23, Configuracin de IKE (tareas). Para obtener informacin general, consulte el Captulo 22, Intercambio de claves de Internet (descripcin general).
Propiedad config_file es la ubicacin del archivo de configuracin IKE. El valor inicial es /etc/inet/ike/config. Propiedad debug level es el nivel de depuracin del daemon in.iked. El valor inicial es op u operativos. Para ver los posibles valores, consulte la tabla de niveles de depuracin en Object Types en la pgina de comando man ikeadm(1M). Propiedad admin_privilege es el nivel de privilegio del daemon in.iked. El valor inicial es base. Otros valores son modkeys y keymat. Para obtener ms detalles, consulte Comando de administracin de IKE en la pgina 655.
653
Daemon IKE
Para obtener ms informacin sobre SMF, consulte el Captulo 17, Managing Services (Overview) de System Administration Guide: Basic Administration. Consulte tambin las pginas de comando man smf(5),svcadm(1M) y svccfg(1M).
Daemon IKE
El daemon in.iked automatiza la administracin de claves criptogrficas para IPsec en un sistema Solaris. El daemon negocia con un sistema remoto que ejecuta el mismo protocolo para proporcionar materiales de claves autenticados para las asociaciones de seguridad de forma protegida. El daemon debe ejecutarse en todos los sistemas que tienen previsto comunicarse de forma segura. Por defecto, el servicio svc:/network/ipsec/ike:default servicio no est habilitado. Despus de que se haya configurado el archivo /etc/inet/ike/config y se haya habilitado el servicio ike, el daemon in.iked se ejecuta con el arranque del sistema. Al ejecutar el daemon IKE, el sistema se autentica automticamente en su entidad IKE equivalente en el intercambio de fase 1. El equivalente se define en el archivo de directiva IKE, al igual que los mtodos de autenticacin. A continuacin, el daemon establece las claves para el intercambio de fase 2. Las claves IKE se actualizan automticamente a un intervalo especificado en el archivo de directiva. El daemon in.iked escucha las solicitudes IKE entrantes de la red y las solicitudes del trfico saliente mediante el socket PF_KEY. Para ms informacin, consulte la pgina del comando man pf_key(7P). Dos comandos admiten el daemon IKE. El comando ikeadm puede utilizarse para ver y modificar temporalmente la directiva IKE. Para modificar permanentemente la directiva IKE, puede modificar las propiedades del servicio ike. Si desea conocer el procedimiento, consulte Cmo ver las claves IKE previamente compartidas en la pgina 612. El comando ikecert permite ver y administrar las bases de datos de claves pblicas. Este comando administra las bases de datos locales, ike.privatekeys y publickeys . Este comando tambin administra operaciones de claves pblicas y el almacenamiento de las claves pblicas en el hardware.
acelerador de hardware conectado. Para ver ejemplos de los archivos de directiva IKE, consulte Configuracin de IKE con claves previamente compartidas (mapa de tareas) en la pgina 606. Para ver ejemplos y descripciones de las entradas de directiva IKE, consulte la pgina del comando man ike.config(4). Las asociaciones de seguridad de IPsec que admite IKE protegen los datagramas IP de acuerdo con las directivas que se establecen en el archivo de configuracin para la directiva IPsec, /etc/inet/ipsecinit.conf. El archivo de directiva IKE determina si se utiliza la seguridad directa perfecta (PFS) al crear las asociaciones de seguridad de IPsec. El archivo ike/config puede incluir la ruta a una biblioteca que se implementa de acuerdo con el estndar siguiente: Interfaz de seal criptogrfica RSA Security Inc. PKCS #11 (Cryptoki). IKE utiliza esta biblioteca de PKCS #11 con tal de acceder al hardware para la aceleracin de claves y el almacenamiento de claves. Las consideraciones de seguridad del archivo ike/config son similares a las consideraciones del archivo ipsecinit.conf. Para obtener ms informacin, consulte Consideraciones de seguridad para ipsecinit.conf e ipsecconf en la pgina 590.
Ver aspectos del proceso del daemon IKE. Cambiar los parmetros que se transfieren al daemon IKE. Ver estadsticas sobre la creacin de asociaciones de seguridad durante el intercambio de fase 1. Depurar procesos de IKE. Ver aspectos del estado de IKE. Cambiar las propiedades del daemon IKE. Ver estadsticas sobre la creacin de asociaciones de seguridad durante el intercambio de fase 1. Depurar los intercambios del protocolo IKE.
Para ver ejemplos y una descripcin completa de las opciones de este comando, consulte la pgina del comando man ikeadm(1M) El nivel de privilegio del daemon IKE en ejecucin determina qu aspectos del daemon IKE pueden verse y modificarse. Hay tres niveles de privilegio posibles. Nivel Base Nivel modkeys No puede ver ni modificar el material de claves. El nivel base es el nivel de privilegio predeterminado. Puede eliminar, cambiar y agregar claves previamente compartidas.
655
Nivel keymat
Si desea un cambio en un privilegio temporal, puede utilizar el comando ikeadm. Para un cambio permanente, cambie la propiedad admin_privilege del servicio ike. Si desea conocer el procedimiento, consulte Cmo administrar servicios de IPsec e IKE en la pgina 547. Las consideraciones de seguridad del comando ikeadm son similares a las consideraciones del comando ipseckey. Para ms detalles, consulte Consideraciones de seguridad para ipseckey en la pgina 592.
El archivo ike.preshared se crea al configurar el archivo ike/config para que requiera claves previamente compartidas. El material de claves se especifica para las asociaciones de seguridad de ISAKMP, es decir, para la autenticacin IKE en el archivo ike.preshared. Dado que se utilizan claves previamente compartidas para autenticar el intercambio de fase 1, el archivo debe ser vlido antes de iniciar el daemon in.iked. El archivo ipseckeys contiene el material de claves para las asociaciones de seguridad de IPsec. Para ver ejemplos de la administracin manual del archivo, consulte Cmo crear manualmente asociaciones de seguridad IPsec en la pgina 539. El daemon IKE no utiliza este archivo. El material de claves que genera IKE para las asociaciones de seguridad de IPsec se almacena en el ncleo.
Nota Las claves previamente compartidas no pueden utilizar el almacenamiento de hardware. Las claves previamente compartidas se generan y almacenan en el sistema.
656
El comando ikecert tambin administra el almacenamiento de claves. Las claves se pueden almacenar en disco, en una placa Sun Crypto Accelerator 4000 o Crypto Accelerator 6000 de Sun, o bien en un almacn de claves softtoken. El almacn de claves softtoken est disponible cuando la metarranura de la estructura criptogrfica de Solaris se utilice para comunicarse con el dispositivo de hardware. El comando ikecert utiliza la biblioteca PKCS #11 para localizar el almacenamiento de claves.
Solaris 10 1/06: A partir de esta versin, no es preciso especificar la biblioteca. De modo predeterminado, la biblioteca PKCS #11 es /usr/lib/libpkcs11.so. Solaris 10: en esta versin, debe especificarse la entrada PKCS #11. De lo contrario, la opcin -T del comando ikecert no funcionar. La entrada tiene el siguiente aspecto:
pkcs11_path "/opt/SUNWconn/cryptov2/lib/libvpkcs11.so"
Para obtener ms informacin, consulte la pgina del comando man ikecert(1M) Para obtener informacin sobre la metarranura y el almacn de claves softtoken, consulte la pgina del comando man cryptoadm(1M).
657
TABLA 241
Opcin ikecert
-A nombre_alternativo_tema
Apodo que identifica el certificado de modo exclusivo. Los posibles valores son una direccin IP, una direccin de correo electrnico o un nombre de dominio. El nombre completo de la autoridad de certificacin que incluye el pas (C), el nombre de organizacin (ON), la unidad organizativa (OU) y el nombre comn (CN). Mtodo de autenticacin que es ligeramente ms lento que RSA. Mtodo de autenticacin que es ligeramente ms lento que DSA. La clave pblica RSA debe ser lo suficientemente grande para cifrar la carga til mayor. Normalmente, una carga til de identidad, como el nombre distinguido X.509, es la mayor carga til.
-D nombre_distinguido_X.509
auth_method dss_sig
auth_method rsa_sig
-t rsa-md5 y -t rsa-sha1 -T
auth_method rsa_encrypt
El cifrado RSA oculta las identidades de IKE de los intrusos, pero requiere que los equivalentes de IKE conozcan las claves pblicas el uno del otro. La biblioteca PKCS #11 gestiona aceleracin de claves en las placas de Sun Crypto Accelerator 1000, Crypto Accelerator 6000 de Sun y Sun Crypto Accelerator 4000. La biblioteca tambin proporciona los smbolos que gestionan el almacenamiento de claves en las placas de Sun Crypto Accelerator 4000 y Crypto Accelerator 6000 de Sun.
pkcs11_path
Si emite una solicitud de certificado con el comando ikecert certlocal -kc, enva el resultado del comando a una organizacin de PKI o a una autoridad de certificacin. Si su compaa ejecuta su propio PKI, el resultado se enva al administrador de PKI. A continuacin, la organizacin de PKI, la autoridad de certificacin o el administrador de PKI crea los certificados. Los certificados que devuelve el PKI o la autoridad de certificacin se incluyen en el subcomando certdb. La lista de revocacin de certificados (CRL) que devuelve el PKI se incluye en el subcomando certrldb.
certificados de clave pblica autofirmados en la pgina 619. Este comando tambin acepta el certificado que recibe de un PKI o una autoridad de certificacin. Para conocer el procedimiento, consulte Cmo configurar IKE con certificados firmados por una autoridad de certificacin en la pgina 626. Los certificados y las claves pblicas se almacenan en el directorio /etc/inet/ike/publickeys del sistema. La opcin -T almacena los certificados, las claves privadas y las claves pblicas del hardware conectado.
Directorio /etc/inet/ike/publickeys
El directorio /etc/inet/ike/publickeys contiene la parte pblica de un par de claves pblica-privada y su certificado en los archivos, o ranuras. El directorio se protege en 0755 . El comando ikecert certdb rellena el directorio. La opcin -T almacena las claves en la placa Sun Crypto Accelerator 4000 o Crypto Accelerator 6000 de Sun en lugar del directorio publickeys. Las ranuras contienen, de modo codificado, el nombre distinguido X.509 de un certificado generado en otro sistema. Si est utilizando certificados autofirmados, se utiliza el certificado que se recibe del administrador del sistema remoto como entrada del comando. Si est utilizando certificados de una entidad certificadora (CA), puede instalar dos certificados firmados de sta en la base de datos. Se instala un certificado que est basado en la solicitud de firma de certificado que envi a la entidad certificadora (CA). Tambin se instala un certificado de la entidad certificadora (CA).
Directorio /etc/inet/secret/ike.privatekeys
El directorio /etc/inet/secret/ike.privatekeys contiene archivos de claves privadas que forman parte del par de claves pblica-privada, que constituye material de claves para las asociaciones de seguridad de ISAKMP. El directorio se protege en 0700. El comando ikecert certlocal rellena el directorio ike.privatekeys. Las claves privadas no son efectivas hasta que se instalan sus equivalentes de claves pblicas, certificados autofirmados o autoridades de certificacin. Los equivalentes de claves pblicas se almacenan en el directorio /etc/inet/ike/publickeys o en una placa &sca 4; o Crypto Accelerator 6000 de Sun.
Captulo 24 Intercambio de claves de Internet (referencia) 659
Directorio /etc/inet/ike/crls
El directorio /etc/inet/ike/crls contiene archivos de lista de revocacin de certificados (CRL). Cada archivo corresponde a un archivo de certificado pblico del directorio /etc/inet/ike/publickeys. Las organizaciones de PKI proporcionan las CRL para sus certificados. Puede utilizar el comando ikecert certrldb para rellenar la base de datos.
660
C A P T U L O
25
2 5
Este captulo proporciona una descripcin general del filtro IP de Solaris. Para conocer las tareas del filtro IP de Solaris, consulte el Captulo 26, Filtro IP de Solaris (tareas). Este captulo contiene la informacin siguiente:
Novedades del filtro IP de Solaris en la pgina 661 Introduccin al filtro IP de Solaris en la pgina 662 Procesamiento de paquetes del filtro IP de Solaris en la pgina 663 Directrices para utilizar el filtro IP de Solaris en la pgina 666 Uso de los archivos de configuracin del filtro IP de Solaris en la pgina 666 Conjuntos de reglas del filtro IP de Solaris en la pgina 667 Enlaces de filtros de paquetes en la pgina 673 El filtro IP de Solaris y el mdulo pfil STREAMS en la pgina 673 IPv6 para el filtro IP de Solaris en la pgina 674 Pginas del comando man del filtro IP de Solaris en la pgina 675
Ahora se admite el uso de filtros de paquetes en las zonas. El uso de enlaces de filtros mejora el rendimiento del filtro IP de Solaris.
Para obtener ms informacin sobre estos enlaces, consulte Enlaces de filtros de paquetes en la pgina 673. Para conocer las tareas asociadas con los enlaces de filtros de paquetes, consulte el Captulo 26, Filtro IP de Solaris (tareas).
663
ENTRADA Filtro IP de entrada Traduccin de direcciones de red Contabilidad IP Comprobacin de cach de fragmentos Comprobacin de estado de paquetes Comprobacin de cortafuegos Comprobacin de estado de tabla
Grupos de reglas
Funcin
Ruta rpida Slo pase [Procesamiento de NCLEO TCP/IP] Filtro IP de salida Comprobacin de cach de fragmentos Comprobacin de estado de paquetes Comprobacin de cortafuegos Contabilidad IP Traduccin de direcciones de red Slo pase SALIDA
FIGURA 251
Grupos de reglas
664
Traduccin de direcciones de red (NAT) La traduccin de una direccin IP privada a una direccin pblica distinta, o la asignacin de alias de mltiples direcciones privadas a una sola direccin pblica. NAT permite a una organizacin resolver el problema del agotamiento de direcciones IP cuando cuenta con redes y necesita acceder a Internet.
Cuentas IP Es posible configurar las reglas de entrada y salida por separado, y registrar el nmero de bytes que se transfieren. Cada vez que se produce una coincidencia de regla, el nmero de bytes del paquete se agrega a la regla y permite obtener las estadsticas de cascadas.
Comprobacin de cach de fragmentacin Si el siguiente paquete del trfico actual es un paquete y se ha permitido el paquete anterior, tambin se permitir el fragmento de paquete y se omitir la tabla de estado y la comprobacin de reglas.
Comprobacin de estado de paquete Si en una regla se incluye keep state, todos los paquetes de una sesin especfica se transfieren o bloquean automticamente, segn si la regla incluye pass o block.
Comprobacin de cortafuegos Las reglas de entrada y salida se pueden configurar por separado, y determinar si un paquete podr transferirse a travs del Filtro IP de Solaris a las rutinas TCP/IP del ncleo, o hacia la red.
Grupos Los grupos permiten escribir un conjunto de reglas a modo de rbol. Funcin Una funcin es la accin que se va a emprender. Las posibles funciones son block, pass, literal y send ICMP response.
Ruta rpida La ruta rpida seala al Filtro IP de Solaris que no debe transferir el paquete a la pila IP de UNIX para el encaminamiento, lo cual significa una reduccin de TTL.
Autenticacin IP Los paquetes que se autentican slo se transfieren una vez a travs de bucles de cortafuegos para evitar el procesamiento doble.
665
Los servicios SMF administran el filtro IP de Solaris (svc: /network/pfil and svc: /network/ipfilter. Para ver una descripcin completa de SMF, consulte el Captulo 17, Managing Services (Overview) de System Administration Guide: Basic Administration. Si desea informacin detallada sobre los procedimientos asociados con SMF, consulte el Captulo 18, Managing Services (Tasks) de System Administration Guide: Basic Administration. El filtro IP de Solaris requiere la edicin directa de los archivos de configuracin. El filtro IP de Solaris se instala como parte del sistema operativo Solaris. De modo predeterminado, el filtro IP de Solaris no est activo en una instalacin desde cero. Para configurar los filtros, debe editar los archivos de configuracin y activar manualmente el filtro IP de Solaris. Puede activar los filtros rearrancando el sistema o sondeando las interfaces con el comando ifconfig. Si desea ms informacin, consulte la pgina de comando man ifconfig(1M) Para conocer las tareas asociadas con la activacin del filtro IP de Solaris, consulte Configuracin del filtro IP de Solaris en la pgina 677. Para administrar el filtro IP de Solaris, debe asumir un rol que incluya el perfil de derechos de administracin del filtro IP o convertirse en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Las rutas de redes IP (IPMP) slo admiten filtros sin estado. Las configuraciones de Sun Cluster non admiten filtros con el filtro IP de Solaris. Los filtros entre zonas no se admiten con el filtro IP de Solaris.
666
Conjuntos de reglas de filtros de paquetes Conjuntos de reglas de traduccin de direcciones de red (NAT)
Asimismo, puede crear agrupaciones de direcciones para hacer referencia a grupos de direcciones IP. Estas agrupaciones podrn utilizarse ms adelante en un conjunto de reglas. Las agrupaciones de direcciones aceleran el procesamiento de reglas. Asimismo, facilitan la administracin de grupos de direcciones de gran tamao.
preauth
2. Segn la accin que se lleve a cabo, la siguiente palabra debe ser in o out. Su eleccin determina si la regla de filtro de paquetes se aplica a un paquete entrante o saliente. 3. A continuacin, puede elegir en una lista de opciones. Si utiliza ms de una opcin, debe hacerlo en el orden siguiente. log quick Registra el paquete si la regla es la ltima regla coincidente. Utilice el comando ipmon para ver el registro. Ejecuta la regla que contiene la opcin quick si hay coincidencia de paquetes. Se detiene cualquier comprobacin de reglas adicional. Aplica la regla slo si el paquete se transfiere a la interfaz especificada o desde ella. Copia el paquete y enva el duplicado de nombre_interfaz a una direccin IP especificada opcionalmente. Transfiere el paquete a una cola de salida en nombre_interfaz.
4. Una vez especificadas las opciones, puede elegir entre varias palabras clave que determinan si el paquete coincide con la regla. Las siguientes palabras clave deben utilizarse en el orden que se indica.
668 Gua de administracin del sistema: servicios IP Octubre de 2009
Nota De modo predeterminado, cualquier paquete que no coincida con ninguna regla en el archivo de configuracin se transfiere a travs del filtro.
tos ttl
Filtra el paquete basndose en el valor de tipo de servicio expresado como entero decimal o hexadecimal. Hace coincidir el paquete basndose en su valor de tiempo de vida. El valor de tiempo de vida que se guarda en un paquete indica el tiempo que puede permanecer un paquete en la red antes de que se descarte. Coincide con un protocolo especfico. Puede utilizar cualquier nombre de protocolo especificado en el archivo /etc/protocols, o utilizar un nmero decimal para representar el protocolo. La palabra clave tcp/udp se puede utilizar para hacer coincidir un paquete TCP o UDP. Hace coincidir cualquiera o todos los elementos siguientes: la direccin IP de origen, la direccin IP de destino y el nmero de puerto. La palabra clave all se utiliza para aceptar paquetes de todos los orgenes y con todos los destinos. Hace coincidir los atributos especificados asociados con el paquete. Inserte las palabras not o no delante de la palabra clave para que el paquete coincida slo si no est presente la opcin. Se utiliza para que TCP filtra basndose en los indicadores TCP configurados. Para obtener ms informacin sobre los indicadores TCP, consulte la pgina del comando man ipf(4). Filtra de acuerdo con el tipo de ICMP. Esta palabra clave slo se utiliza cuando la opcin proto se configura como icmp y no se utiliza si se usa la opcin flags. Determina la informacin que se guarda para un paquete. Las opciones_guardado disponibles incluyen las opciones state y frags. La opcin state guarda informacin sobre la sesin y se puede guardar en paquetes TCP, UDP e ICMP. La opcin frags guarda informacin sobre los fragmentos de paquetes y la aplica a fragmentos posteriores. opciones_guardado permite la transferencia de los paquetes coincidentes sin pasar por la lista de control de acceso. Crea un grupo para las reglas de filtros, que se indica mediante el nmero nmero.
669
proto
from/to/all/ any
with
flags
icmp-type
keep opciones_guardado
head nmero
group nmero
Agrega la regla al nmero de grupo nmero en lugar de agregarla al grupo predeterminado. Todas las reglas de filtros se colocan en el grupo 0 si no se especifica otro.
El ejemplo siguiente ilustra cmo agrupar la sintaxis de reglas de filtros de paquetes para crear una regla. Para bloquear el trfico entrante de la direccin IP 192.168.0.0/16, debe incluir la siguiente regla en la lista:
block in quick from 192.168.0.0/16 to any
Para ver la gramtica y sintaxis completa que se utiliza para escribir reglas de filtros de paquetes, consulte la pgina del comando man ipf(4) Para conocer las tareas asociadas con los filtros de paquetes, consulte Administracin de conjuntos de reglas de filtros de paquetes para el filtro IP de Solaris en la pgina 693. Para ver una explicacin del esquema de direcciones IP (192.168.0.0/16) de este ejemplo, consulte el Captulo 2, Planificacin de la red TCP/IP (tareas).
670
Redirige los paquetes de una direccin IP y un par de puertos a otra direccin IP y otro par de puertos. Establece una NAT bidireccional entre una direccin IP externa y una direccin IP interna. Establece una traduccin basada en una direccin IP esttica. Este comando se basa en un algoritmo que fuerza la traduccin de las direcciones en un intervalo de destino.
2. Despus del comando, la siguiente palabra es el nombre de la interfaz, por ejemplo hme0. 3. A continuacin, puede elegir entre una serie de parmetros, que determinan la configuracin de NAT. Algunos de los parmetros son: ipmask dstipmask mapport Designa la mscara de red. Designa la direccin a la que se traduce ipmask. Designa los protocolos tcp, udp o tcp/udp, junto con una serie de nmeros de puerto.
El ejemplo siguiente muestra cmo agrupar la sintaxis de reglas NAT para crear una regla NAT. Para volver a escribir un paquete saliente en el dispositivo de0 con una direccin de origen de 192.168.1.0/24 y mostrar externamente su direccin de origen como 10.1.0.0/16, debe incluir la siguiente regla en el conjunto de reglas NAT:
map de0 192.168.1.0/24 -> 10.1.0.0/16
Para ver la gramtica y sintaxis completa que se utilizan para escribir las reglas NAT, consulta la pgina del comando man ipnat(4).
671
direcciones. Si no desea que las reglas de agrupaciones de direcciones se carguen durante el arranque, coloque el archivo ippool.conf en la ubicacin que prefiera y active manualmente los filtros de paquetes con el comando ippool.
Define la referencia para las diferentes direcciones. Especifica el rol de la agrupacin en el filtro IP de Solaris. En este punto, el nico rol al que se puede hacer referencia es ipf. Especifica el formato de almacenamiento de la agrupacin. Especifica el nmero de referencia que utiliza la regla de filtros.
Por ejemplo, para hacer referencia al grupo de direcciones 10.1.1.1 y 10.1.1.2 y la red 192.16.1.0 como nmero de agrupacin 13, debe incluir la siguiente regla en el archivo de configuracin de agrupaciones de direcciones:
table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24 };
A continuacin, para hacer referencia al nmero de agrupacin 13 en una regla de filtros, debe estructurar la regla de un modo similar al siguiente:
pass in from pool/13 to any
Observe que debe cargar el archivo de agrupaciones antes de cargar el archivo de reglas que contiene una referencia a la agrupacin. Si no lo hace, la agrupacin no estar definida, como en el ejemplo siguiente:
# ipfstat -io empty list for ipfilter(out) block in from pool/13(!) to any
Aunque agregue la agrupacin ms adelante, no se actualizar el conjunto de reglas del ncleo. Tambin necesita volver a cargar el archivo de reglas que hace referencia a la agrupacin. Para ver la gramtica y sintaxis completas que se utilizan para escribir las reglas de filtros de paquetes, consulte la pgina del comando man ippool(4).
672
Para conocer las tareas asociadas con la activacin del filtro IP de Solaris, consulte el Captulo 26, Filtro IP de Solaris (tareas).
10:
A partir de Solaris 10 8/07, el mdulo pfil se ha sustituido por los enlaces de filtros de paquetes y ya no se utiliza con el filtro IP de Solaris. El mdulo pfil STREAMS es necesario para activar el filtro IP de Solaris. Sin embargo, el filtro IP de Solaris no proporciona un mecanismo automtico para utilizar el mdulo en cada interfaz. En lugar de ello, el mdulo pfil STREAMS lo administra el servicio SMF svc:/network/pfil. Para activar los filtros en una interfaz de red, primero debe configurar el
673
archivo pfil.ap. A continuacin, active el servicio svc:/network/pfil para proporcionar el mdulo pfil STREAMS a la interfaz de red. Para que el mdulo STREAMS surta efecto, es necesario rearrancar el sistema o desconectar y volver a sondear cada interfaz de red en la que desee aplicar los filtros. Para activar las funciones de los filtros de paquetes IPv6, debe sondear la versin inet6 de la interfaz. Para ver las tareas asociadas con la activacin del filtro IP de Solaris, consulte Configuracin del filtro IP de Solaris en la pgina 677. Si no se encuentra ningn mdulo pfil para las interfaces de red, los servicios SMF se colocan en el estado de mantenimiento. La causa ms comn de esta situacin es un archivo /etc/ipf/pfil.ap editado de forma incorrecta. Si el servicio se coloca en el modo de mantenimiento, su aparicin se registra en los archivos de registro de filtros. Para ver las tareas asociadas con la activacin del filtro IP de Solaris, consulte Configuracin del filtro IP de Solaris en la pgina 677.
Las tareas del filtro IP asociadas con IPv6 no son muy diferentes de IPv4. La diferencia ms notable es el uso de la opcin -6 con determinados comandos. Tanto los comandos ipf como ipfstat incluyen la opcin -6 para utilizar los filtros de paquetes IPv6. Utilice la opcin -6 con el comando ipf para cargar y vaciar las reglas de filtros de paquetes IPv6. Para ver las estadsticas de IPv6, utilice la opcin -6 con el comando ipfstat. Los comandos ipmon e ippool tambin admiten IPv6, aunque no hay ninguna opcin asociada para la compatibilidad con IPv6. El comando ipmon se ha mejorado para permitir el registro de paquetes IPv6. El comando ippool admite las agrupaciones con las direcciones IPv6. Puede crear agrupaciones slo de direcciones IPv4 o IPv6, o una agrupacin que contenga tanto direcciones IPv4 como IPv6.
674 Gua de administracin del sistema: servicios IP Octubre de 2009
Puede utilizar el archivo ipf6.conf para crear conjuntos de reglas de filtros de paquetes para IPv6. De modo predeterminado, el archivo de configuracin ipf6.conf se incluye en el directorio /etc/ipf. Al igual que con los dems archivos de configuracin de filtros, el archivo ipf6.conf se carga automticamente durante el proceso de arranque cuando se almacena en el directorio /etc/ipf. Tambin puede crear y guardar un archivo de configuracin IPv6 en otra ubicacin y cargar el archivo manualmente.
Nota La traduccin de direcciones de red (NAT) no admite IPv6.
Una vez configuradas las reglas de filtros de paquetes para IPv6, active las funciones de filtros de paquetes IPv6 sondeando la versin inet6 de la interfaz. Para obtener ms informacin sobre IPv6, consulte el Captulo 3, Introduccin a IPv6 (descripcin general). Para conocer las tareas asociadas con el filtro IP de Solaris, consulte el Captulo 26, Filtro IP de Solaris (tareas).
ipf(1M)
Utilice el comando ipf para: Trabajar con conjuntos de reglas de filtros de paquetes.
Desactivar y activar los filtros. Restablecer las estadsticas y volver a sincronizar la lista de interfaces del ncleo con la lista de estado de la interfaz actual.
ipf(4)
Contiene la gramtica y sintaxis para crear reglas de filtros de paquetes del filtro IP de Solaris. Proporciona informacin de licencia del filtro IP de cdigo abierto. Utilice el comando ipfs para guardar y restablecer la informacin NAT y de la tabla de estado tras los rearranques. Utilice el comando ipfstat para recuperar y mostrar las estadsticas de procesamiento de paquetes. Utilice el comando ipmon para abrir el dispositivo de registro y ver los paquetes registrados para NAT y los filtros de paquetes.
ipfilter(5) ipfs(1M)
ipfstat(1M)
ipmon(1M)
675
Descripcin
ipnat(1M)
Utilice el comando ipnat para: Trabajar con reglas NAT. Recuperar y ver las estadsticas de NAT. Contiene la gramtica y sintaxis para crear reglas NAT. Utilice el comando ippool para crear y administrar agrupaciones de direcciones. Contiene la gramtica y sintaxis para crear agrupaciones de direcciones del filtro IP de Solaris. Muestra los parmetros de filtros actuales del mdulo pfil STREAMS y los valores actuales de los parmetros ajustables.
ipnat(4) ippool(1M)
ippool(4)
ndd(1M)
676
C A P T U L O
26
2 6
Este captulo proporciona instrucciones detalladas para las tareas del Filtro IP de Solaris. Para obtener informacin general sobre el filtro IP de Solaris, consulte el Captulo 25, Filtro IP de Solaris (descripcin general). Este captulo contiene la informacin siguiente:
Configuracin del filtro IP de Solaris en la pgina 677 Cmo desactivar el filtro IP de Solaris en la pgina 681 Mdulo pfil en la pgina 684 Conjuntos de reglas del filtro IP de Solaris en la pgina 691 Cmo visualizar las estadsticas e informacin sobre el filtro IP de Solaris en la pgina 704 Archivos de registro para el filtro IP de Solaris en la pgina 707 Creacin y edicin de archivos de configuracin del filtro IP de Solaris en la pgina 712
677
El filtro IP de Solaris no est Cmo activar el filtro IP de activado de modo predeterminado. Solaris en la pgina 678 Debe activarlo manualmente o utilizar los archivos de configuracin del directorio /etc/ipf/ y rearrancar el sistema. A partir de la versin Solaris 10 8/07, los enlaces de filtros de paquetes reemplazan al mdulo pfil para activar el filtro IP de Solaris. Puede activar o desactivar el filtro IP de Solaris rearrancando el sistema o utilizando el comando ipf. Cmo volver a activar el filtro IP de Solaris en la pgina 679
De modo opcional, puede activar el Cmo activar los filtros en bucle filtrado en bucle, por ejemplo, para en la pgina 680 filtrar el trfico entre zonas.
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Cree un conjunto de reglas de filtros de paquetes. El conjunto de reglas de filtros de paquetes contiene reglas de filtros de paquetes que utiliza el filtro IP de Solaris. Si desea cargar las reglas de filtros de paquetes en el momento de arrancar, edite el archivo /etc/ipf/ipf.conf para implementar los filtros de paquetes IPv4. Utilice el archivo /etc/ipf/ipf6.conf para las reglas de filtros de paquetes IPv6. Si no desea cargar las reglas de filtros de paquetes al arrancar, colquelas en un archivo y active manualmente los filtros de paquetes. Para obtener informacin sobre los filtros de paquetes, consulte Uso de la
Gua de administracin del sistema: servicios IP Octubre de 2009
678
funcin de filtros de paquetes del filtro IP de Solaris en la pgina 667. Para obtener informacin sobre cmo trabajar con los archivos de configuracin, consulte Creacin y edicin de archivos de configuracin del filtro IP de Solaris en la pgina 712.
3
Cree un archivo ipnat.conf si desea utilizar la traduccin de direcciones de red. Si desea que las reglas NAT se carguen durante el arranque, cree un archivo denominado /etc/ipf/ipnat.conf en el que colocar las reglas NAT. Si no desea cargar las reglas NAT al arrancar, coloque el archivo ipnat.conf en la ubicacin que desee y active manualmente las reglas NAT. Para obtener ms informacin sobre NAT, consulte Uso de la funcin NAT del filtro IP de Solaris en la pgina 670.
4
(Opcional) Cree un archivo de configuracin de grupos de direcciones. Cree un archivo ipool.conf si desea hacer referencia a un grupo de direcciones como un nico grupo. Si desea que el archivo de configuracin de grupos de direcciones se cargue al arrancar, cree un archivo denominado /etc/ipf/ippool.conf en el que colocar el grupo de direcciones. Si no desea cargar el archivo de configuracin del grupo de direcciones al arrancar, coloque el archivo ippool.conf en la ubicacin que desee y active las reglas manualmente. Un grupo de direcciones slo puede contener direcciones IPv4 o IPv6. Tambin puede contener tanto direcciones IPv4 como direcciones IPv6. Para obtener ms informacin sobre los grupos de direcciones, consulte Uso de la funcin de agrupaciones de direcciones del filtro IP de Solaris en la pgina 671.
(Opcional) Active el filtro de trfico en bucle. Si desea filtrar el trfico entre zonas que estn configuradas en el sistema, debe activar los filtros en bucle. Consulte Cmo activar los filtros en bucle en la pgina 680. Asegrese de definir tambin los conjuntos de reglas adecuados que se aplican a las zonas.
679
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Active el filtro IP de Solaris y los filtros utilizando uno de los mtodos siguientes:
Reinicie el equipo.
# reboot
Nota Al activar el filtro IP, tras rearrancar se cargan los siguientes archivos si estn
presentes: el archivo /etc/ipf/ipf.conf, el archivo /etc/ipf/ipf6.conf cuando se utiliza IPv6 o el archivo /etc/ipf/ipnat.conf.
Ejecute la siguiente serie de comandos para activar el filtro IP de Solaris y activar los filtros: a. Active el filtro IP de Solaris.
# ipf -E
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Gua de administracin del sistema: servicios IP Octubre de 2009
680
Edite los archivos /etc/ipf.conf o /etc/ipf6.conf agregando la lnea siguiente al inicio del archivo:
set intercept_loopback true;
Esta lnea debe preceder a todas las reglas de filtros IP que se definan en el archivo. Sin embargo, puede insertar comentarios delante de la linea, como en el ejemplo siguiente:
# # Enable loopback filtering to filter between zones # set intercept_loopback true; # # Define policy # block in all block out all <other rules> ... 4
Para realizar pruebas Para resolver problemas del sistema cuando se cree que los causa el filtro IP de Solaris
El siguiente mapa de tareas identifica los procedimientos asociados con la desactivacin de las funciones de filtro IP de Solaris.
Captulo 26 Filtro IP de Solaris (tareas) 681
Desactive los filtros de paquetes. Desactive NAT. Desactive los filtros de paquetes y NAT.
Desactive los filtros de paquetes utilizando el comando ipf. Desactive NAT utilizando el comando ipnat. Desactive los filtros de paquetes y NAT utilizando el comando ipf.
Cmo desactivar los filtros de paquetes en la pgina 682 Cmo desactivar NAT en la pgina 683 Cmo desactivar los filtros de paquetes en la pgina 683
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Use uno de los mtodos siguientes para desactivar las reglas de filtro IP de Solaris:
Este comando desactiva las reglas de filtros de paquetes para los paquetes entrantes.
Este comando desactiva las reglas de filtros de paquetes para los paquetes salientes.
682
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Elimine NAT del ncleo.
# ipnat -FC
La opcin -C elimina todas las entradas de la lista de reglas NAT actual. La opcin -F elimina todas las entradas activas de la tabla de traducciones NAT activa, que muestra las asignaciones NAT activas.
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Desactive los filtros de paquetes y permita a todos los paquetes pasar a la red.
# ipf D
Nota El comando ipf -D vaca las reglas del conjunto de reglas. Al volver a activar los filtros, debe agregar reglas al conjunto de reglas.
683
Mdulo pfil
Mdulo pfil
En esta seccin se describe cmo utilizar el mdulo pfil STREAMS para activar o desactivar el filtro IP de Solaris y cmo ver las estadsticas de pfil. Los procedimientos slo se aplican a los sistemas que ejecutan una de las siguientes versiones de Solaris 10:
El siguiente mapa de tareas identifica los procedimientos asociados con la configuracin del mdulo pfil.
TABLA 263 Tarea
El filtro IP de Solaris no est Cmo activar el filtro IP de Solaris activado de modo predeterminado. en versiones anteriores de Solaris Debe activarlo manualmente o 10 en la pgina 684 utilizar los archivos de configuracin del directorio /etc/ipf/ y rearrancar el sistema. Configure el mdulo pfil para activar los filtros de paquetes e una tarjeta NIC Elimine una tarjeta NIC y permita que todos los paquetes pasen a travs de ella. Visualice las estadsticas del mdulo pfil para poder resolver los problemas relativos al filtro IP de Solaris utilizando el comando ndd. Cmo activar una NIC para los filtros de paquetes en la pgina 687 Cmo desactivar el filtro IP de Solaris en una NIC en la pgina 689 Cmo visualizar las estadsticas de pfil para el filtro IP de Solaris en la pgina 690
Activar una NIC para los filtros de paquetes Desactive el filtro IP de Solaris en una tarjeta NIC Visualice las estadsticas de pfil.
684
Mdulo pfil
Nota Si el sistema ejecuta como mnimo la versin Solaris 10 8/07, siga el procedimiento
Cmo activar el filtro IP de Solaris en la pgina 678 que utiliza los enlaces de filtros de paquetes.
1
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Inicie el editor de archivos que prefiera y edite el archivo /etc/ipf/pfil.ap . Este archivo contiene los nombres de las tarjetas de interfaz de red (NIC) del host. De modo predeterminado, los nombres estn comentados. Elimine el comentario de los nombres de dispositivo que llevan el trfico de red que desea filtrar. Si el nombre de la NIC del sistema no aparece en la lista, agregue una lnea para especificar la tarjeta NIC.
# vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le #qe hme #qfe #eri #ce #bge #be #vge #ge #nf #fa #ci #el #ipdptp #lane #dmfe -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 pfil pfil pfil (Device has been uncommented for filtering) pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil
Active los cambios en el archivo /etc/ipf/pfil.ap reiniciando la instancia del servicio network/pfil.
# svcadm restart network/pfil
Captulo 26 Filtro IP de Solaris (tareas) 685
Mdulo pfil
Cree un conjunto de reglas de filtros de paquetes. El conjunto de reglas de filtros de paquetes contiene reglas de filtros de paquetes que utiliza el filtro IP de Solaris. Si desea cargar las reglas de filtros de paquetes en el momento de arrancar, edite el archivo /etc/ipf/ipf.conf para implementar los filtros de paquetes IPv4. Utilice el archivo /etc/ipf/ipf6.conf para las reglas de filtros de paquetes IPv6. Si no desea cargar las reglas de filtros de paquetes al arrancar, colquelas en un archivo y active manualmente los filtros de paquetes. Para obtener informacin sobre los filtros de paquetes, consulte Uso de la funcin de filtros de paquetes del filtro IP de Solaris en la pgina 667. Para obtener informacin sobre cmo trabajar con los archivos de configuracin, consulte Creacin y edicin de archivos de configuracin del filtro IP de Solaris en la pgina 712.
Cree un archivo ipnat.conf si desea utilizar la traduccin de direcciones de red. Si desea que las reglas NAT se carguen durante el arranque, cree un archivo denominado /etc/ipf/ipnat.conf en el que colocar las reglas NAT. Si no desea cargar las reglas NAT al arrancar, coloque el archivo ipnat.conf en la ubicacin que desee y active manualmente las reglas NAT. Para obtener ms informacin sobre NAT, consulte Uso de la funcin NAT del filtro IP de Solaris en la pgina 670.
6
(Opcional) Cree un archivo de configuracin de grupos de direcciones. Cree un archivo ipool.conf si desea hacer referencia a un grupo de direcciones como un nico grupo. Si desea que el archivo de configuracin de grupos de direcciones se cargue al arrancar, cree un archivo denominado /etc/ipf/ippool.conf en el que colocar el grupo de direcciones. Si no desea cargar el archivo de configuracin del grupo de direcciones al arrancar, coloque el archivo ippool.conf en la ubicacin que desee y active las reglas manualmente. Un grupo de direcciones slo puede contener direcciones IPv4 o IPv6. Tambin puede contener tanto direcciones IPv4 como direcciones IPv6. Para obtener ms informacin sobre los grupos de direcciones, consulte Uso de la funcin de agrupaciones de direcciones del filtro IP de Solaris en la pgina 671.
686
Mdulo pfil
Nota Es necesario rearrancar si no puede utilizar los comandos ifconfig unplumb y ifconfig plumb con seguridad en las tarjetas NIC.
Active las tarjetas NIC utilizando los comandos ifconfig unplumb e ifconfig plumb. A continuacin, active el filtro IP. La versin inet6 de la interfaz debe estar sondeada para poder implementar los filtros de paquetes IPv6.
# # # # # ifconfig hme0 ifconfig hme0 ifconfig hme0 ifconfig hme0 svcadm enable unplumb plumb 192.168.1.20 netmask 255.255.255.0 up inte6 unplumb inet6 plumb fec3:f849::1/96 up network/ipfilter
Para obtener ms informacin sobre el comando ifconfig, consulte la pgina del comando man ifconfig(1M).
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Inicie el editor de archivos que prefiera y edite el archivo /etc/ipf/pfil.ap . Este archivo contiene los nombres de las NIC del host. De modo predeterminado, los nombres estn comentados. Elimine el comentario de los nombres de dispositivo que llevan el trfico de red que desea filtrar. Si el nombre de la NIC del sistema no aparece en la lista, agregue una lnea para especificar la tarjeta NIC.
# vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules
687
Mdulo pfil
#le #qe hme #qfe #eri #ce #bge #be #vge #ge #nf #fa #ci #el #ipdptp #lane #dmfe 3
-1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
pfil pfil pfil (Device has been uncommented for filtering) pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil
Active los cambios en el archivo /etc/ipf/pfil.ap reiniciando la instancia del servicio network/pfil.
# svcadm restart network/pfil
Reinicie el equipo.
# reboot
Nota Es necesario rearrancar si no puede utilizar los comandos ifconfig unplumb y ifconfig plumb con seguridad en las tarjetas NIC.
Active las NIC que desee filtrar utilizando el comando ifconfig con las opciones unplumb y plumb. La versin inet6 de cada interfaz debe estar sondeada para poder implementar los filtros de paquetes IPv6.
# # # # ifconfig ifconfig ifconfig ifconfig hme0 hme0 hme0 hme0 unplumb plumb 192.168.1.20 netmask 255.255.255.0 up inet6 unplumb inet6 plumb fec3:f840::1/96 up
Para obtener ms informacin sobre el comando ifconfig, consulte la pgina del comando man ifconfig(1M).
688
Mdulo pfil
Reinicie el equipo.
# reboot
689
Mdulo pfil
Nota Es necesario rearrancar si no puede utilizar los comandos ifconfig unplumb y ifconfig plumb con seguridad en las tarjetas NIC.
Desactive las tarjetas NIC utilizando el comando ifconfig con las opciones unplumb y plumb. La versin inet6 de cada interfaz no debe estar sondeada para poder desactivar los filtros de paquetes IPv6. realice los siguientes pasos. El dispositivo de ejemplo del sistema es hme: a. Identifique el "major number" del dispositivo que est desactivando.
# grep hme /etc/name_to_major hme 7
Modules pfil
Para obtener ms informacin sobre el comando ifconfig, consulte la pgina del comando man ifconfig(1M).
690
Ejemplo 261
Administrar, ver y modificar los conjuntos de reglas de filtros de paquetes del filtro IP de Solaris. Visualiza un conjunto de reglas de filtros de paquetes activo. Visualiza un conjunto de reglas de filtros de paquetes inactivo.
Administracin de conjuntos de reglas de filtros de paquetes para el filtro IP de Solaris en la pgina 693 Cmo visualizar el conjunto de reglas de filtros de paquetes activo en la pgina 693 Cmo visualizar el conjunto de reglas de filtros de paquetes inactivo en la pgina 693
Activa un conjunto de reglas activo Cmo activar un conjunto de distinto. reglas de filtros de paquetes diferente o actualizado en la pgina 694 Elimina un conjunto de reglas. Cmo eliminar un conjunto de reglas de filtros de paquetes en la pgina 695
691
(Continuacin)
Para obtener instrucciones
Cmo anexar reglas al conjunto de reglas de filtros de paquetes activo en la pgina 696 Cmo anexar reglas al conjunto de reglas de filtros de paquetes inactivo en la pgina 697
Pasa de los conjuntos de reglas activos a los inactivos y viceversa. Elimina un conjunto de reglas inactivo del ncleo.
Cmo alternar entre los conjuntos de reglas de filtros de paquetes activo e inactivo en la pgina 698 Cmo eliminar un conjunto de reglas de filtros de paquetes inactivo del ncleo en la pgina 699 Administracin de reglas NAT para el filtro IP de Solaris en la pgina 700
Administrar, ver y modificar las reglas NAT del filtro IP de Solaris. Visualiza las reglas NAT activas. Elimina las reglas NAT. Agrega las reglas adicionales a las reglas NAT. Administrar, ver y modificar las agrupaciones de direcciones del filtro IP de Solaris. Visualiza las agrupaciones de direcciones activas. Elimina una agrupacin de direcciones. Agrega reglas adicionales a una agrupacin de direcciones.
Cmo ver las reglas NAT activas en la pgina 700 Cmo eliminar reglas NAT en la pgina 700 Como anexar reglas a las reglas NAT en la pgina 701 Administracin de agrupaciones de direcciones para el filtro IP de Solaris en la pgina 702 Cmo ver las agrupaciones de direcciones activas en la pgina 702 Cmo eliminar una agrupacin de direcciones en la pgina 702 Cmo anexar reglas a una agrupacin de direcciones en la pgina 703
692
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Visualice el conjunto de reglas de filtros de paquetes activo que se ha cargado en el ncleo.
# ipfstat -io
Ejemplo 262
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Visualice el conjunto de reglas de filtros de paquetes inactivo.
# ipfstat -I -io
Captulo 26 Filtro IP de Solaris (tareas) 693
Ejemplo 263
actualizado
Siga este procedimiento para llevar a cabo una de las tareas siguientes:
Activar un conjunto de reglas de filtros de paquetes que no sea el que est utilizando el filtro IP de Solaris. Volver a cargar el mismo conjunto de reglas de filtros que se ha actualizado.
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Cree un conjunto de reglas en un archivo diferente si desea activar un conjunto de reglas completamente distinto. Actualice el conjunto de reglas actual editando el archivo de configuracin que lo contiene.
El nombre_archivo puede ser el nuevo archivo con el nuevo conjunto de reglas o el archivo actualizado que contenga el conjunto de reglas activo. El conjunto de reglas activo se elimina del ncleo. Las reglas del archivo nombre_archivo pasan a ser el conjunto de reglas activo.
694
Nota Es preciso ejecutar el comando aunque est volviendo a cargar el archivo de configuracin actual. De lo contrario, el antiguo conjunto de reglas seguir funcionando, y no se aplicar el conjunto de reglas modificado en el archivo de configuracin actualizado.
No utilice comandos como ipf -D o svcadm restart para cargar el conjunto de reglas actualizado. Dichos comandos ponen en peligro la red al desactivar el cortafuegos antes de cargar el nuevo conjunto de reglas.
Ejemplo 264
Ejemplo 265
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Captulo 26 Filtro IP de Solaris (tareas) 695
-a -i -o
Ejemplo 266
Elimina todas las reglas de filtros del conjunto de reglas. Elimina las reglas de filtros de los paquetes entrantes. Elimina las reglas de filtros de los paquetes salientes.
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Utilice uno de os mtodos siguientes para anexar reglas al conjunto de reglas activo:
Ejecute los comandos siguientes: a. Cree un conjunto de reglas en el archivo que desee. b. Agregue las reglas que ha creado al conjunto de reglas activo.
# ipf -f filename
Las reglas de nombre_archivo se agregan al final del conjunto de reglas activo. Dado que el Filtro IP de Solaris utiliza un algoritmo de "ltima regla coincidente", las reglas que agregue determinan las prioridades de los filtros, a menos que utilice la palabra clave
696
quick. Si el paquete coincide con una regla que contiene la palabra clave quick, se lleva a cabo la accin de dicha regla y no se comprueban las reglas subsiguientes.
Ejemplo 267
inactivo
1
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
2 3
Cree un conjunto de reglas en el archivo que desee. Agregue las reglas que ha creado al conjunto de reglas inactivo.
# ipf -I -f filename
Las reglas de nombre_archivo se agregan al final del conjunto de reglas inactivo. Dado que el Filtro IP de Solaris utiliza un algoritmo de "ltima regla coincidente", las reglas que agregue determinan las prioridades de los filtros, a menos que utilice la palabra clave quick. Si el paquete coincide con una regla que contiene la palabra clave quick, se lleva a cabo la accin de dicha regla y no se comprueban las reglas subsiguientes.
Ejemplo 268
697
# ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all # ipf -I -f /etc/ipf/ipf.conf # ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any
activo e inactivo
1
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Este comando permite alternar entre los conjuntos de reglas activo e inactivo del ncleo. Si el conjunto de reglas inactivo est vaco, no se aplicar ningn filtro de paquetes.
Ejemplo 269
Cmo alternar entre los conjuntos de reglas de filtros de paquetes activo e inactivo
El ejemplo siguiente muestra cmo el uso del comando ipf -s convierte el conjunto de reglas inactivo en el conjunto activo y viceversa.
Antes de ejecutar el comando ipf -s, el resultado del comando ipfstat -I -io muestra las reglas en el conjunto de reglas inactivo. El resultado del comando ipfstat - io muestra las reglas en el conjunto de reglas activo.
# ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any # ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any
Despus de ejecutar el comando ipf -s, el resultado de los comandos ipfstat -I -io y ipfstat -io muestra que el contenido de los dos conjuntos de reglas ha cambiado.
698
# ipf -s Set 1 now inactive # ipfstat -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any # ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any
ncleo
1
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Ejemplo 2610
ipfilter(out) ipfilter(in)
699
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Ejemplo 2611
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Elimine las reglas NAT actuales.
# ipnat -C
Ejemplo 2612
700
# ipnat -l List of active MAP/Redirect filters: map dmfe0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions: # ipnat -C 1 entries flushed from NAT list # ipnat -l List of active MAP/Redirect filters: List of active sessions:
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Utilice uno de os mtodos siguientes para anexar reglas al conjunto de reglas activo:
Anexe reglas al conjunto de reglas NAT en la lnea de comandos con el comando ipnat -f -.
# echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -
Ejecute los comandos siguientes: a. Cree reglas NAT adicionales en el archivo que desee. b. Agregue las reglas que ha creado al conjunto de reglas NAT activo.
# ipnat -f filename
701
# ipnat -l List of active MAP/Redirect filters: map dmfe0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions:
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Ejemplo 2614
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
702
Ejemplo 2615
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Utilice uno de os mtodos siguientes para anexar reglas al conjunto de reglas activo:
Ejecute los comandos siguientes: a. Cree agrupaciones de direcciones adicionales en el archivo que desee. b. Agregue las reglas que ha creado al conjunto de direcciones activo.
# ippool -f filename
703
# ippool -l table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; }; # echo "table role = ipf type = tree number = 100 {10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24};" | ippool -f # ippool -l table role = ipf type = tree number = 100 { 10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24; }; table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
Cmo visualizar las estadsticas e informacin sobre el filtro IP de Solaris (mapa de tareas)
Descripcin Para obtener instrucciones
Visualiza las tablas de estado para obtener informacin sobre los filtros de paquetes con el comando ipfstat.
Cmo ver las tablas de estado para el filtro IP de Solaris en la pgina 704
Visualiza las estadsticas sobre el Cmo visualizar las estadsticas de estado de los paquetes utilizando el estado para el filtro IP de Solaris comando ipfstat - s. en la pgina 705 Visualiza las estadsticas de NAT utilizando el comando ipnat -s. Visualiza las estadsticas de la agrupacin de direcciones utilizando el comando ippool -s. Cmo visualizar las estadsticas de NAT para el filtro IP de Solaris en la pgina 706 Cmo visualizar las estadsticas de la agrupacin de direcciones para el filtro IP de Solaris en la pgina 707
704
Nota Puede utilizar la opcin -t para ver la tabla de estado en el formato de la utilidad. Ejemplo 2617
Ejemplo 2618
Ejemplo 2619
0 out expired 0
706
bad nat 0
Ejemplo 2620
Crea un archivo de registro del filtro IP de Solaris independiente. Visualiza el estado, la NAT y los archivos de registro normales utilizando el comando ipmon.
Cmo configurar un archivo de registro para el filtro IP de Solaris en la pgina 708 Cmo visualizar los archivos de registro del filtro IP de Solaris en la pgina 709
707
(Continuacin)
Elimine el contenido del bfer de registro de paquetes utilizando el comando ipmon - F. Guarda los paquetes registrados en un archivo para poder consultarlos posteriormente.
Cmo vaciar el archivo de registro de paquetes en la pgina 710 Cmo guardar paquetes registrados en un archivo en la pgina 711
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Edite el archivo /etc/syslog.conf agregando las dos lneas siguientes:
# Save IPFilter log output to its own file local0.debug /var/log/log-name
Nota En la segunda lnea, asegrese de utilizar la tecla de tabulacin y no la barra espaciadora para separar local0.debug de /var/log/nombre_registro. 3
Ejemplo 2621
708
En la lnea de comandos:
# touch /var/log/ipmon.log # svcadm restart system-log
Antes de empezar 1
S N I
Muestra el archivo de registro de estado. Muestra al archivo de registro de NAT. Muestra el archivo de registro de IP normal.
Para ver todos los archivos de estado, NAT y registro normal, utilice todas las opciones:
# ipmon -o SNI filename
Si ha detenido manualmente el daemon ipmon en primer lugar, tambin puede utilizar el siguiente comando para ver los archivos de registro de estado, NAT y filtro IP de Solaris:
# ipmon -a filename
el daemon se inicia automticamente durante el arranque del sistema. Al ejecutar el comando ipmon -a tambin se abre otra copia de ipmon. En tal caso, ambas copias leen el mismo registro, y slo una obtiene un mensaje de registro especfico. Si desea ms informacin sobre cmo visualizar archivos de registro, consulte la pgina del comando man ipmon(1M).
Captulo 26 Filtro IP de Solaris (tareas) 709
Ejemplo 2622
o
# pkill ipmon # ipmon -aD /var/ipmon.log 02/09/2004 15:27:20.606626 hme0 @0:1 p 129.146.157.149 -> 129.146.157.145 PR icmp len 20 84 icmp echo/0 IN
Ejemplo 2623
710
Siga registrando paquetes en el archivo nombre_archivo hasta interrumpir el procedimiento escribiendo Control-C para que vuelva a aparecer la lnea de comandos.
Ejemplo 2624
711
El signo # indica que una lnea contiene comentarios. Los comentarios y las reglas pueden coexistir en la misma lnea. Tambin se permite agregar espacios en blanco para facilitar la lectura de las reglas. Las reglas pueden ocupar ms de una lnea. Utilice la barra inclinada inversa (\) al final de una lnea para indicar que la regla contina en la lnea siguiente.
Los archivos de configuracin de filtros de paquetes Los archivos de configuracin de reglas NAT Los archivos de configuracin de agrupaciones de direcciones
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Inicie el editor de archivos que prefiera. Cree o edite el archivo de configuracin para la funcin que desee configurar.
Para crear un archivo de configuracin para las reglas de filtros de paquetes, edite el archivo ipf.conf. El filtro IP de Solaris utiliza las reglas de filtros de paquetes que se colocan en el archivo ipf.conf. Si coloca las reglas para los filtros de paquetes en el archivo /etc/ipf/ipf.conf, dicho archivo se carga al arrancar el sistema. Si no desea que las reglas de filtros se carguen durante el arranque, colquelas en el archivo que prefiera. A continuacin, puede activar las reglas con el comando ipf, tal como se describe en Cmo activar un conjunto de reglas de filtros de paquetes diferente o actualizado en la pgina 694. Consulte Uso de la funcin de filtros de paquetes del filtro IP de Solaris en la pgina 667 para obtener informacin sobre cmo crear reglas de filtros de paquetes.
712
Nota Si el archivo ipf.conf est vaco, no se aplica ningn filtro. Un archivo ipf.conf
Para crear un archivo de configuracin para las reglas NAT, edite el archivo ipnat.conf. El filtro IP de Solaris utiliza las reglas NAT que se colocan en el archivo ipnat.conf. Si coloca las reglas para NAT en el archivo /etc/ipf/ipnat.conf, dicho archivo se carga al arrancar el sistema. Si no desea que las reglas NAT se carguen durante el arranque, coloque el archivo ipnat.conf en la ubicacin que prefiera. A continuacin, puede activar las reglas NAT con el comando ipnat. Consulte Uso de la funcin NAT del filtro IP de Solaris en la pgina 670 para obtener informacin sobre cmo crear reglas para la NAT.
Para crear un archivo de configuracin para las agrupaciones de direcciones, edite el archivo ippool.conf. El filtro IP de Solaris utiliza la agrupacin de direcciones que se coloca en el archivo ippool.conf. Si coloca las reglas para la agrupacin de direcciones en el archivo /etc/ipf/ippool.conf , dicho archivo se carga al arrancar el sistema. Si no desea que la agrupacin de direcciones se cargue durante el arranque, coloque el archivo ippool.conf en la ubicacin que prefiera. A continuacin, puede activar la agrupacin de direcciones con el comando ippool. Consulte Uso de la funcin de agrupaciones de direcciones del filtro IP de Solaris en la pgina 671 para obtener informacin sobre la creacin de agrupaciones de direcciones.
Este ejemplo muestra una configuracin en un equipo host con una interfaz de red elxl.
# pass and log everything by default pass in log on elxl0 all pass out log on elxl0 all
713
EJEMPLO 2625
(Continuacin)
# block, but dont log, incoming packets from other reserved addresses block in quick on elxl0 from 10.0.0.0/8 to any block in quick on elxl0 from 172.16.0.0/12 to any # block and log untrusted internal IPs. 0/32 is notation that replaces # address of the machine running Solaris IP Filter. block in log quick from 192.168.1.15 to <thishost> block in log quick from 192.168.1.43 to <thishost> # block and log X11 (port 6000) and remote procedure call # and portmapper (port 111) attempts block in log quick on elxl0 proto tcp from any to elxl0/32 port = 6000 keep state block in log quick on elxl0 proto tcp/udp from any to elxl0/32 port = 111 keep state
Este conjunto de reglas comienza con dos reglas sin restricciones que permiten la transferencia de todos los datos con la interfaz elxl. El segundo conjunto de reglas bloquea todos los paquetes entrantes de los espacios de direcciones privadas 10.0.0.0 y 172.16.0.0 mediante el cortafuegos. El siguiente conjunto de reglas bloquea direcciones internas especficas del equipo host. Finalmente, el ltimo conjunto de reglas bloquea los paquetes que provienen de los puertos 6000 y 111.
EJEMPLO 2626
Este ejemplo muestra una configuracin para un equipo host que acta como servidor Web. Este equipo cuenta con una interfaz de red eri.
# web server with an eri interface # block and log everything by default; then allow specific services # group 100 - inbound rules # group 200 - outbound rules # (0/32) resolves to our IP address) *** FTP proxy ***
# block short packets which are packets fragmented too short to be real. block in log quick all with short
# block and log inbound and outbound by default, group by destination block in log on eri0 from any to any head 100 block out log on eri0 from any to any head 200
714
EJEMPLO 2626
(Continuacin)
pass in quick on eri0 proto tcp from any \ to eri0/32 port = http flags S keep state group 100 pass in quick on eri0 proto tcp from any \ to eri0/32 port = https flags S keep state group 100
# inbound traffic - ssh, auth pass in quick on eri0 proto tcp from any \ to eri0/32 port = 22 flags S keep state group 100 pass in log quick on eri0 proto tcp from any \ to eri0/32 port = 113 flags S keep state group 100 pass in log quick on eri0 proto tcp from any port = 113 \ to eri0/32 flags S keep state group 100
# outbound traffic - DNS, auth, NTP, ssh, WWW, smtp pass out quick on eri0 proto tcp/udp from eri0/32 \ to any port = domain flags S keep state group 200 pass in quick on eri0 proto udp from any port = domain to eri0/32 group 100 pass out quick on eri0 proto tcp from eri0/32 \ to any port = 113 flags S keep state group 200 pass out quick on eri0 proto tcp from eri0/32 port = 113 \ to any flags S keep state group 200 pass out quick on eri0 proto udp from eri0/32 to any port = ntp group 200 pass in quick on eri0 proto udp from any port = ntp to eri0/32 port = ntp group 100 pass out quick on eri0 proto tcp from eri0/32 \ to any port = ssh flags S keep state group 200 pass out quick on eri0 proto tcp from eri0/32 \ to any port = http flags S keep state group 200 pass out quick on eri0 proto tcp from eri0/32 \ to any port = https flags S keep state group 200 pass out quick on eri0 proto tcp from eri0/32 \ to any port = smtp flags S keep state group 200
# pass icmp packets in and out pass in quick on eri0 proto icmp from any to eri0/32 keep state group 100 pass out quick on eri0 proto icmp from eri0/32 to any keep state group 200
715
EJEMPLO 2626
(Continuacin)
# block and ignore NETBIOS packets block in quick on eri0 proto tcp from any \ to any port = 135 flags S keep state group 100 block in quick to any flags S block in quick block in quick on eri0 proto tcp from any port = 137 \ keep state group 100 on eri0 proto udp from any to any port = 137 group 100 on eri0 proto udp from any port = 137 to any group 100
block in quick on eri0 proto tcp from any port = 138 \ to any flags S keep state group 100 block in quick on eri0 proto udp from any port = 138 to any group 100 block in quick on eri0 proto tcp from any port = 139 to any flags S keep state group 100 block in quick on eri0 proto udp from any port = 139 to any group 100
EJEMPLO 2627
El ejemplo siguiente muestra una configuracin para un encaminador con una interfaz interna (ce0) y otra externa (ce1).
# internal interface is ce0 at 192.168.1.1 # external interface is ce1 IP obtained via DHCP # block all packets and allow specific services *** NAT *** *** POOLS ***
# Short packets which are fragmented too short to be real. block in log quick all with short
# By default, block and log everything. block in log on ce0 all block in log on ce1 all block out log on ce0 all block out log on ce1 all
# Packets going in/out of network interfaces that arent on the loopback # interface should not exist. block in log quick on ce0 from 127.0.0.0/8 to any block in log quick on ce0 from any to 127.0.0.0/8
716
EJEMPLO 2627
(Continuacin)
block in log quick on ce1 from 127.0.0.0/8 to any block in log quick on ce1 from any to 127.0.0.0/8
# Deny reserved addresses. block in quick on ce1 from 10.0.0.0/8 to any block in quick on ce1 from 172.16.0.0/12 to any block in log quick on ce1 from 192.168.1.0/24 to any block in quick on ce1 from 192.168.0.0/16 to any
# Allow internal traffic pass in quick on ce0 from 192.168.1.0/24 to 192.168.1.0/24 pass out quick on ce0 from 192.168.1.0/24 to 192.168.1.0/24
# Allow outgoing DNS requests from our servers on .1, .2, and .3 pass out quick on ce1 proto tcp/udp from ce1/32 to any port = domain keep state pass in quick on ce0 proto tcp/udp from 192.168.1.2 to any port = domain keep state pass in quick on ce0 proto tcp/udp from 192.168.1.3 to any port = domain keep state
# Allow NTP from any internal hosts to any external NTP server. pass in quick on ce0 proto udp from 192.168.1.0/24 to any port = 123 keep state pass out quick on ce1 proto udp from any to any port = 123 keep state
# Allow incoming mail pass in quick on ce1 proto tcp from any to ce1/32 port = smtp keep state pass in quick on ce1 proto tcp from any to ce1/32 port = smtp keep state pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = smtp keep state
# Allow outgoing connections: SSH, WWW, NNTP, mail, whois pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = 22 keep state pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = 22 keep state pass pass pass pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = 80 keep state out quick on ce1 proto tcp from 192.168.1.0/24 to any port = 80 keep state in quick on ce0 proto tcp from 192.168.1.0/24 to any port = 443 keep state out quick on ce1 proto tcp from 192.168.1.0/24 to any port = 443 keep state
pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = nntp keep state block in quick on ce1 proto tcp from any to any port = nntp keep state pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = nntp keep state
717
EJEMPLO 2627
(Continuacin)
pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = smtp keep state pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = whois keep state pass out quick on ce1 proto tcp from any to any port = whois keep state
# Allow ssh from offsite pass in quick on ce1 proto tcp from any to ce1/32 port = 22 keep state
# Allow ping out pass in quick on ce0 proto icmp all keep state pass out quick on ce1 proto icmp all keep state
# allow auth out pass out quick on ce1 proto tcp from ce1/32 to any port = 113 keep state pass out quick on ce1 proto tcp from ce1/32 port = 113 to any keep state
# return rst for incoming auth block return-rst in quick on ce1 proto tcp from any to any port = 113 flags S/SA
# log and return reset for any TCP packets with S/SA block return-rst in log on ce1 proto tcp from any to any flags S/SA
# return ICMP error packets for invalid UDP packets block return-icmp(net-unr) in proto udp all
718
P A R T E
IP mvil
En esta parte se presenta el Protocolo de Internet mvil (IP mvil) y se indican las tareas de administracin de IP mvil. Puede instalar IP mvil en sistemas como equipos porttiles y sistemas con comunicacin inalmbrica para que puedan operar en redes externas.
Nota La funcin IP mvil se ha suprimido de las actualizaciones de Solaris 10 posteriores a Solaris 10 8/07.
719
720
C A P T U L O
27
2 7
El protocolo de Internet (IP) para mviles permite transferir informacin entre sistemas mviles El concepto sistemas mviles incluye porttiles y comunicaciones inalmbricas. El sistema mvil puede cambiar su ubicacin a una red externa. Mientras est en la red externa, el sistema mvil se sigue pudiendo comunicar con la red principal del sistema. La implementacin Solaris del IP mvil slo es compatible con IPv4. Este captulo contiene la informacin siguiente:
Introduccin a IP para mviles en la pgina 722 Entidades funcionales de IP para mviles en la pgina 724 Funcionamiento de IP para mviles en la pgina 724 Descubrimiento de agentes en la pgina 727 Direcciones de auxilio en la pgina 728 IP para mviles con tnel inverso en la pgina 729 Registro de IP para mviles en la pgina 731 Encaminamiento de datagramas entre nodos mviles en la pgina 735 Consideraciones de seguridad para IP para mviles en la pgina 737
Para tareas relacionadas con IP para mviles, consulte el Captulo 28, Administracin de IP mvil (tareas) . Para acceder a material de referencia de IP para mviles, consulte el Captulo 29, Archivos y comandos de IP para mviles (referencia) .
721
722
Nodo mvil
FIGURA 271
Host de Internet
Nodo mvil
Si se utiliza la topologa de IP para mviles de esta figura, la situacin siguiente muestra cmo se mueve un datagrama de un punto a otro de la estructura de IP para mviles: 1. El host de Internet enva datagramas al nodo mvil a travs de la direccin permanente del nodo (proceso de encaminamiento IP normal). 2. Si el nodo mvil se encuentra en su red principal, el datagrama se entrega al nodo a travs del proceso IP normal. En caso contrario, es el agente interno el que recibe el datagrama. 3. Si el nodo mvil se encuentra en una red externa, el agente interno reenva el datagrama al agente externo. El agente interno debe encapsular el datagrama en un datagrama exterior para que la direccin IP del agente externo aparezca en el encabezado IP externo. 4. El agente externo entrega el datagrama al nodo mvil. 5. Los datagramas del nodo mvil hacia el host de Internet se envan mediante los procedimiento de encaminamiento IP normales. Si el nodo mvil se enciuentra en una red externo, los paquetes se entregan al agente externo. El agente externo reenva el datagrama al host de Internet. 6. En situaciones en las que haya filtrado de entrada, la direccin ed orguen debe ser topolgicamente correcta para la subred de la que procede el datagrama, o el encaminador no podr reenviarlo. Si se da esta situacin en enlaces entre el nodo mvil y el nodo de destino, el agente externo deber ofrecer el servicio de tnel inverso. As, el agente externo podr entregar todos los datagramas que el nodo mvil enve a su agente interno. El agente interno reenviar entonces el datagrama a travs de la ruta que hubiese tomado si el nodo mvil residiese en la red prinicpal. Este proceso garantiza la correccin de la direccin de origen para todos los enlaces que debe atravesar el datagrama. En lo concerniente a las comunicaciones inalmbricas, la Figura 271 ilustra el uso de transceptores inalmbricos para transmitir los datagramas al nodo de mviles. Asimismo, los datagramas entre el host de Internet y el nodo mvil utilizan la direccin permanente del nodo mvil. La direccin permanente se utiliza aunque el nodo mvil se envcuentre en la red externa.
Captulo 27 IP para mviles (Descripcin general) 723
La direccin de auxilio se utiliza nicamente para la comunicacin con agentes de moviilidad. La direccin de auxilio es invisible para el host de Internet.
Nodo mvil (NM) Host o encaminador que cambia su punto de conexin de una red a otra al tiempo que conserva las comunicaciones existentes mediante el uso de su direccin IP permanente. Agente interno (AI) Encaminador o servidor de la red principal de un nodo mvil. El encaminador intercepta los datagramas que van destinados al nodo mvil. A conitnuacin el encaminador entrega los datagramas a travs de la direccin de auxilio. El agente interno mantiene tambin informacin actualizada de la ubicacin del nodo mvil. Agente externo (AE) Encaminador o servidor ubicado en la red externa que visita el nodo mvil. Ofrece servicios de encaminamiento de host al nodo mvil. El agente externo puede proporcionar tambin una direccin de auxilio al nodo mvil mientras este est registrado.
724
eth1 128.226.3.1
eth0
eth0
eth0
eth0
En la figura siguiente se muestra un nodo mvil que se ha trasladado a una red externo, Network B. Los datagramas destinados al nodo mvil son interceptados por el agente interno en la red principal, Network A, y encapsulados. A continuacin, los datagramas se envan al agente externo en Network B, y el agente externo filtra el encabezado exterior. A continuacin, el agente externo entrega el datagrama al nodo mvil, ubicado en Network B.
725
eth0 eth1
eth0
eth1 128.226.3.1
eth0
eth0
eth0
Es posible que la direccin de auxilio pertenezca a un agente externo. La direccin de auxilio puede adquirirse mediante el Protocolo dinmico de configuracin de host (DHCP) o el Protocolo punto a punto (PPP). En el segundo caso, un nodo mvil posee una direccin de auxilio coubicada. Los agentes de movilidad (agentes internos y externos) anuncian su presencia mediante mensajes de auncion de agente. Un nodo mvil tiene tambin la opcin de solicitar un mensaje de anuncio de agente. El nodo utiliza cualquier agente de mobvilidad conectado localmente a travs de un mensaje de solicitud de agente. Los nodos mviles utilizan los anunvios de agente para determinar si se encuentran en su red principal o en una red externa. El nodo mvil utiliza un proceso de regisro especial para informar al agente interno acerca de la actual ubicacin del nodo. El nodo mvil siempre est atento a los anuncios de los agentes de movilidad advirtiendo de su presencia. El nodo utiliza estos anuncios para determinar cundo se ha trasladado a otra subred. Cuando un nodo mvil determina que el nodo mvil ha cambiado de ubicacin, el nodo utiliza el nuevo agetnte externo para reenviar un mensaje de registro al agente interno. El nodo mvil utiliza el mismo proceso cuando el nodo mvil se mueve de una red externa a otra. Cuando el nodo mvil detecta que se envcuentra en la red principal, el nodo deja de utilizar los servicios de movilidad. Cuando el nodo mvil vuelve a su red prinicpal, anula su registro con el agente interno.
726 Gua de administracin del sistema: servicios IP Octubre de 2009
Descubrimiento de agentes
Descubrimiento de agentes
Los nodos mviles utilizan el mtodo denominado descubrimiento de agentes para determinar la informacin siguiente:
Cundo se ha trasladado el nodo de una red a otra Si la red es la prinipal o una red externa La direccin de auxilio de agente externo que ofrece cada agente externo de esa red Los servicios de movilidad que ofrece el agente de movilidad, anunciados en forma de indicadores, y las extensiones adiconales en el anuncio de agente
Los agentes de movilidad transmiten anuncios de agentes para avisar de sus servicios en una red. En ausencia de anuncios de agente, un nodo mvil puede solicitarlos. Esta funcin se denomina solicitud de agente. Si un nodo mvil admite su propia direccin de auxilio coubicada, el nodo puede utilizar anuncios de encaminador normales para la misma finalidadd.
Anuncio de agente
Los nodos mviles utilizan anuncios de agentes para determinar el punto de conexin actual a Internet o a la red de una organizacin. Un anuncion de agente es un anuncio de encaminador del protocolo de mensajes de control de Internet (ICMP) que se ha ampliado para llevar tabmin una extensin de anuncio de agente de movilidad. Un agente externo puede estar demasiado ocupado para servir a otros nodos mviles. Sin embargo, el agente externo debe seguir enviando anuncios de agente. As, el nodo mvil, ya registrado con un agente externo, sabe que no se ha movido fuera del mbito del agente externo. El nodo mvil sabe tambin de este modo que no ha habido un fallo del agente externo. Un nodo mvil registrado con un agetne externo del que ya no recibe anuncios de agente probablemente sabe que ha perdido el contacto con ese agente.
727
Direcciones de auxilio
Solciitud de agente
Todos los nodos mviles deberan implementar la solicitud de agentes. El nodo mvil utiliza los mismos procedimientos, valores predetermiandos y constantes que se especifican para los mensajes de solciitud de encaminadores ICMP. El ritmo de envo de solicitudes por parte del nodo mvil est limitado por el nodo en s. El nodo mvil puede enviar tras solicitudes iniciales al ritmo mximo de una solicitud por segundo mientras el nodo busca un agente. Una vez que el nodo mvil se registra con un agente, el ritmo de envo de solicitudes se reduce para limitar la carga sobre la red local.
Direcciones de auxilio
IP para mviles ofrece los siguientes modos alternativos para la obtencin de direcciones de auxilio:
Un agente externo proporciona una direccin de auxilio de agente externo, que se notifica al nodo mvil mediante mensajes de anuncio de agentes. La direccin de auxilio suele ser la direccin IP del agente externo que enva el anuncio. El agente externo es el extremo final del tnell. Cuando el agente externo recibe datagramas a travs de un tnel, los desencapsula. A continuacin, el agente entrega el datagrama interno al nodo mvil. Por tanto, varios nodos mviles pueden compartir la misma direccin de auxilio. En los enlaces inalmbricos, el ancho de banda es un factor importante. Desde los enlaces inalmbricos, los agentes externos pueden ofrecer servicios de IP para mviles a enlaces con un mayor ancho de banda. Un nodo mvil obtiene una direccin de auxilio coubicada como direccin IP local a travs de algn medio externo. El nodo mvil se asocia a continuacin con alguna de sus propios interfaces de red. El nodo puede obtener la direccin en forma temporal mediante DHCP. La direcicn puede tambin ser propiedad del nodo mvil a largo plazo. Sin embargo, el nodo solo puede utilizar la direccin mientras se halla de visita en la subred a la que pertenece la direccin de auxilio. Al utilizar una direccin de auxilio coubicada, el nodo mvil acta como extremo final del tnel. El nodo efecta el desencapsulado de los datagramas que le envan a travs del tnel.
Una direccin de auxilio coubicada permite que el nodo mvil funcione sin necesidad de agente externo. Por tanto, un nodo mvil puede utilzar una direccin de auxilio coubicada en redes que no tienen implementado un agente externo. Si un nodo mvil utiliza una direccin de auxilio coubicada, el nodo debe hallarse en un enlace identificado por el prefijo de red de la direccin de auxilio. En caso contrario, los datagramas que vayan destinados a la direccin de auxilio no se podrn entregar.
728 Gua de administracin del sistema: servicios IP Octubre de 2009
Tnel inverso Nodo mvil Agente externo Tnel de reenvo Agente interno
Red IP
Nodo correspondiente
FIGURA 274
en su red principal. En la figura siguiente se muestra una tiopologa de red con dos nodos mviles con direcciones privadas. Los dos nodos utilizan la misma direccin de auxilio cuando se registran con el mismo agente externo.
La direccin de auxilio y la direccin del agente interno deben ser direcciones encaminables globalmente si pertenecen a dominios distintos conectados por Internet pblica. La misma red externa puede incluir dos nodos mviles con direcciones privadas que tengan la misma direccin IP. Sin embargo, cada nodo mvil debe tener un agente interno distinto. Asimismo, cada direccin debe hallarse en una subred de anuncios distinta de un nico agente externo. En la figura siguiente se muestra una topologa de red en la que se muestra esta situacin.
10.10.1.2 Nodo 1 mvil 10.10.1.2 Nodo 2 mvil Tnel de reenvo Agente externo
Tnel inverso Agente 2 interno Tnel de reenvo Tnel inverso Nodo 2 correspondiente
Agente 1 interno
Nodo 1 correspondiente
FIGURA 276
730
Solicitar servicios de reenvo al visitar una red externa Informar al agente interno de su direccin de auxilio actual Renovar un registro que est a punto de caducar Anular el registro cuando el nodo mvil vuelve a su red principal Solicitar un tnel inverso
En los mensajes de registro se intercambia informacin entre un nodo mvil, un agente externo y el agente interno. El registro crea o modifica un enlace de movilidad en el agente interno. El proceso de registro asocia la direccin permanente del nodo mvil durante la vida til especificada. El proceso de registro permite tambin a los nodos mviles efectuar las siguientes funciones:
Registrarse con varios agentes externos Anular direcciones de auxilio especficas al tiempo que se conservan otros enlaces de movilidad Descubrir la direccin de un agente interno si el nodo mvil no est configurado con esta informacin
IP para mviles define los siguientes procesos de registro para un nodo mvil:
Si un nodo mvil registra la direccin de auxilio de un agente externo, el nodo mvil est indicando al agente interno que est accesible a travs de dicho agente externo. Si un nodo mvil recibe un anuncio de agente que exige que el nodo se registre a travs de un agente externo, el nodo mvil puede an intentar obtener una direccin de auxilio coubicada. El nodo mvil puede tambin registrarse con ese agente externo o cualquier otro en ese enlace. Si un nodo mvil utiliza una direccin de auxilio coubicada, el nodo se registra directamente con el agente interno. Si un nodo mvil vuelve a su red principal, el nodo anula su registro con el agente interno.
Estos procesos de registro implican el intercambio de solicitudes de registro y de mensajes de respuesta de registro. Cuando el nodo mvil se registra mediante un agente externo, el proceso de registro reocrre los pasos siguientes, que se muestran en la figura a continuacin:
Captulo 27 IP para mviles (Descripcin general) 731
1. El nodo mvil enva una solicitud de registro al agente externo previsto para iniciar el proceso de registro. 2. El agente externo procesa la solicitud de registro y a continuacin la enva al agente interno. 3. El agente interno enva una respuesta de registro al agente externo para conceder o denegar la solicitud. 4. El agente externo procesa la respuesta de registro y a continuacin la enva al nodo mvill para indicarle la disposicin de la solicitud.
AE 2
AE 3
AI
AE Nodo mvil 4
FIGURA 277
Cuando el nodo mvil se registra directamente en el agente interno, el proceso de registro se compone nicamente de estos pasos:
El nodo mvil enva una solicitud de registro al agente interno. El agente interno enva una respuesta de registro al nodo mvil que concede o deniega la solicitud.
732
Asimismo, el agente externo o el interno pueden requerir un tnel inverso. Si el agente externo es compatible con la funcin de tnel inverso, el nodo mvil utiliza el proceso de registro para solicitar un tnel inverso. El nodo mvil activa el indicador de tnel inverso en la solicitud de registro para pedir un tnel inverso.
Un agente interno puede no tener configurada una subred fsica para los nodos mviles. Sin embargo, el agente debe reconocer la direccin permanente del nodo mvil mediante el archivo mipagent.conf u otro mecanismo cuando concede el registro. Para obtener ms informacin acerca de mipagent.conf, consulte Creacin del archivo de configuracin de IP mvil en la pgina 740. Un agente interno puede admitir nodos mviles con direcciones privadas configurando estos nodos en el archivo mipagent.conf. Las direcciones permanentees que utiliza el agente interno deben ser exclusivas.
Mtodos de encapsulado
Los agentes internos y externos utilizan alguno de los mtodos de encapsulado disponibles para admitir datagramas que utilcen tnel. Los mtodos de encapsulado definidos son Encapsulado de IP en IP, Encapsulado mnimo y Encapsulado de encaminamiento genrico (GRE). El agente interno y el externo, o el nodo mvil coubicado indirecto y el agente interno, deben admitir el mismo mtodo de encapsulado. Todas las entidades de IP para mviles deben admitir el encapsulado de IP en IP.
Si el nodo mvil est registrado y utiliza una direccin de auxilio de un agente externo, el proceso es directo. El nodo mvil elige su encaminador predeterminado de entre las direcciones de encaminador annunciado en la parte de anuncio de encaminador ICMP del anuncio del agente. El nodo mvil puede tambin tener en cuenta la direccin IP de origen del anuncio del agente como otra posible opcin para la direccin IP de un encaminador predeterminado. El nodo mvil puede registrarse directamente con el agente interno mediante el uso de una direccin de auxilio coubicada. A continuacin, el nodo mvil elige su encaminador predeterminado entre los que estn anunciados en cualquier mensaje de anuncio de encaminador ICMP que reciba. El prefijo de red del encaminador predeterminado elegido debe coincidir con el prefijo de red de la direccin de auxilio del nodo mvil que se obtiene de forma externa. La direccin debe coincidir con la direccin IP de origen del anuncio de agente bajo el prefijo de red. El nodo puede asimismo considerar esa direccin IP de origen como otra posible alternativa de direccin IP de un encaminador predeterminado. Si el nodo mvil est registrado, un agente externo que admita tnel inverso encamina los datagramas de unidifusin del nodo mvil al agente interno a travs del tnel inverso. Si el nodo mvil est registrado con un agente externo que admite tnel inverso, el nodo deber utilizar ese agente como encaminador predeterminado.
Datagramas de multidifusin
Cuando un agente interno recibe un datagrama de multidifusin o de difusin, el agente interno reenva nicamente el datagrama a los nodos mviles que han solicitado especficamente recibirlos. El modo en que el agente interno enva estos datagramas a los nodos mviles depende principalmente de dos factores. Bien el nodo mvil utiliza una direccin de auxilio proporcionada por un agente externo o bien utiliza du propia direccin de auxilio coubicada. El primer caso implica que el datagrama debe tener un doble encapsulado. El primer encabezado IP identifica el nodo mvil para el que se debe entregar el datagrama. El primer encabezado IP no est presente en el datagrama de multidifusin o difusin. El segundo encabezado IP identifica la direccin de auxilio y es el encabezado de tnel habitual. En el segundo caso, el nodo mvil desencapsula sus propios datagramas, y basta con enviar el datagrama a travs del tnel usual.
Si el nodo mvil utiliza una direccin de auxilio coubicada, puede utilizarla como direccin IP de origen de cualquier mensaje de entrada del Protocolo de gestin de grupos de Internet (IGMP). Sin embargo, la subred visitada debe disponer de un encaminador de multidifusin.
736
Si el nodo mvil quiere unirse al grupo de ICMP desde su subred principal, deber utilizar un tnel inverso para enviar mensajes de entrada IGMP al agente interno. Sin embargo, el agente interno del nodo mvil debe ser un encaminador de multidifusin. El agente interno reenva entonces los datagramas de multidifusin al nodo mvil a travs del tnel. Si el nodo mvil utiliza una direccin de auxilio coubicada, puede utilizarla como direccin IP de origen de los mensajes de entrada IGMP. Sin embargo, la subred visitada debe disponer de un encaminador de multidifusin. Una vez que el nodo mvil ha entrado en el grupo, puede participar enviando sus propios paquetes de multidifusin directamente en la red visitada. Enviar directamente en la red visitada. Enviar al agente interno a travs de un tnel.
El encaminamiento de multidifusin depende de la direccin IP de origen. Un nodo mvil que enva un datagrama de multidifusin debe enviarlo desde una direccin de origen vlida en ese enlace. As, un nodo mvil que enve datagramas de multidifusin directamente en la red visitada debe utilizar una direccin de auxilio coubicada como direccin IP de origen. Asimismo, el nodo mvil debe haberse unido al grupo de multidifusin asociado con la direccin. De forma similar, un nodo mvil que se haya unido a un grupo de multidifusin mientras estaba en su subred, antes de trasladarse, o se haya unido a un grupo de multidifusin utilizando itinerancia a travs de un tnel inverso con su agente interno, deber utilizar su direccin permanente como direccin IP de origen del datagrama de multidifusin. As, el nodo mvil deber enviar tambin estos datagramas por tnel inverso a su subred principal, ya sea l mismo mediante su direccin de auxilio coubicada o a travs del tnel inverso de un agente externo. Aunque parece ms eficiente que un nodo mvil se una siempre desde la subred que est visitando, sigue siendo un nodo mvil. En consecuencia, el nodo debera repetir la entrada cada vez que cambiase de subred. La forma ms eficiente es que el nodo mvil se una a travs de su agente interno, sin tener que encargarse de la carga adicional. Asimismo, puede haber sesiones de multidifusin solo disponibles desde la subred principal. Otros factores pueden tambin exigir que el nodo mvil participe de un modo especfico.
128 bits o mayores, con distribucin de claves manual. IP para mviles puede admitir otros algoritmos de autenticacin, modos de algoritmo, mtodos de distribucin de claves y tamaos de clave. Estos mtodos impiden la modificacin de los mensajes de registro de IP para mviles. Sin embargo, IP para mviles utiliza tambin una forma de proteccin de repeticin para avisar a las entidades de IP para mviles cuando reciben duplicados de mensajes de registro anteriores. Sin este mtodo de proteccin, el nodo mvil y su agente interno podran perder la sincronizacin cuando alguno de ellos recibiese un mensaje de registro. As, IP para mviles actualiza su estado. Por ejemplo, un agente interno recibe un mensaje de anulacin de registro duplicado mientras el nodo mvil est registrado a travs de un agente externo. La proteccin de repeticin se efecta mediante un mtodo denominado nonces o indicaciones de hora. Los agentes internos y los nodos mviles intercambian nonces e indicaciones de hora dentro de los mensajes de registro de IP para mviles. Las nonces e indicaciones de hora estn protegidas contra modificaciones por un algoritmo de autenticacin. Por consiguiente, si un agente interno recibe un mensaje duplicado, el mensaje puede descartarse. El uso de tneles puede suponer una vulnerabilidad significativa, en especial si el registro no est autenticado. Asimismo, el Protocolo de resolucin de direcciones (ARP) no est autenticado, y se puede utilizar para robar el trfico de otro host.
738
C A P T U L O
28
2 8
En este captulo se ofrecen procedimientos para modificar, agregar, eliminar y mostrar parmetros del archivo de configuracin de IP mvil. En l se indica tambin como mostrar el estado del agente de movilidad. Este captulo contiene la informacin siguiente:
Creacin del archivo de configuracin de IP mvil (mapa de tareas) en la pgina 740 Creacin del archivo de configuracin de IP mvil en la pgina 740 Modificacin del archivo de configuracin de IP mvil en la pgina 746 Modificacin del archivo de configuracin de IP mvil (mapa de tareas) en la pgina 745 Presentacin del estado del agente de movilidad en la pgina 753 Presentacin de las rutas de movilidad de un agente externo en la pgina 754
Para ver una introduccin a IP para mviles, consulte el Captulo 27, IP para mviles (Descripcin general). Para ver informacin detallada sobre IP para mviles, consulte el Captulo 29, Archivos y comandos de IP para mviles (referencia) .
Nota La funcin IP mvil se suprime de las actualizaciones de Solaris 10 posteriores a Solaris 10 8/07.
739
Implica crear el archivo /etc/inet/mipagentconfiguracin o copiar uno de los archivos de ejemplo. Implica escribir el nmero de versin en la seccin General del archivo de configuracin de IP mvil. Implica agregar etiquetas y valores, o modificarlos, en la seccin Advertisements del archivo de configuracin de IP mvil. Implica agregar etiquetas y valores, o modificarlos, en la seccin GlobalSecurityParameters del archivo de configuracin de IP mvil. Implica agregar etiquetas y valores, o modificarlos, en la seccin Pool del archivo de configuracin de IP mvil. Implica agregar etiquetas y valores, o modificarlos, en la seccin SPI del archivo de configuracin de IP mvil. Implica agregar etiquetas y valores, o modificarlos, en la seccin Address del archivo de configuracin de IP mvil.
Creacin del archivo de configuracin de IP mvil en la pgina 741 Cmo configurar la seccin General en la pgina 742 Cmo configurar la seccin Advertisements en la pgina 742
Cmo configurar la seccin GlobalSecurityParameters en la pgina 743 Cmo configurar la seccin Pool en la pgina 743 Cmo configurar la seccin SPI en la pgina 743 Cmo configurar la seccin Address en la pgina 744
740
En funcin de las necesidades de su organizacin, determinar qu funciones puede ofrecer su agente de IP mvil:
solo funcionalidad de agente externo slo funcionalidad de agente interno Funcionalidad de agente interno y externo
Cree el archivo /etc/inet/mipagent.conf y especifique los parmetros necesarios mediante los procedimientos descritos en esta seccin. Tambin puede copiar uno de los archivos siguientes en /etc/inet/mipagentconfiguracin y modificarlo segn sus necesidades:
Para funcionalidad de agente externo, copie /etc/inet/mipagentconfiguracin.fa-sample . Para funcionalidad de agente interno, copie /etc/inet/mipagentconfiguracin.ha-sample . Para funcionalidad de agente externo y de agente interno, copie /etc/inet/mipagentconfiguracin-sample.
Puede rearrancar el equipo e invocar la secuencia de arranque que inicia el daemon mipagent. Tambin puede iniciar mipagent escribiendo el comando siguiente:
# /etc/inet.d/mipagent start
En el directorio /etc/inet, cree un archivo vaco con el nombre mipagentconfiguracin. Copie el archivo de la lista siguiente que ofrezca la funcionalidad que desee para el archivo /etc/inet/mipagentconfiguracin.
741
Agregue o modifique parmetros de configuracin en el archivo /etc/inet/mipagentconfiguracin para adaptarse a sus requisitos. En el resto de procedimientos de esta seccin se describen los pasos para modificar las secciones de /etc/inet/mipagentconfiguracin.
Edite el archivo /etc/inet/mipagentconfiguracin y agregue o modifique las siguientes lneas utilizando los valores requeridos para su configuracin.
[Advertisements interface] HomeAgent = <yes/no> ForeignAgent = <yes/no> PrefixFlags = <yes/no> AdvertiseOnBcast = <yes/no> RegLifetime = n AdvLifetime = n AdvFrequency = n ReverseTunnel = <yes/no/FA/HA/both> ReverseTunnelRequired = <yes/no/FA/HA>
Nota Deber incluir una seccin Advertisements distinta para cada interfaz del host local que
742
Edite el archivo /etc/inet/mipagentconfiguracin y agregue o modifique las siguientes lneas utilizando los valores requeridos para su configuracin.
[GlobalSecurityParameters] MaxClockSkew = n HA-FAauth = <yes/no> MN-FAauth = <yes/no> Challenge = <yes/no> KeyDistribution = files
1 2
Edite el archivo /etc/inet/mipagentconfiguracin Agregue o modifique las siguientes lneas utilizando los valores necesarios para su configuracin:
[Pool pool-identifier] BaseAddress = IP-address Size = size
1 2
Edite el archivo /etc/inet/mipagentconfiguracin . Agregue o modifique las siguientes lneas utilizando los valores necesarios para su configuracin:
[SPI SPI-identifier] ReplayMethod = <none/timestamps> Key = key
Captulo 28 Administracin de IP mvil (tareas) 743
Nota Deber incluir una seccin SPI distinta para cada contexto de seguridad implementado.
1 2
Edite el archivo /etc/inet/mipagentconfiguracin . Agregue o modifique las siguientes lneas utilizando los valores necesarios para su configuracin:
donde accin y {propiedades} corresponden a cualquiera de las acciones y propiedades asociadas que se definen en la pgina de comando man ipsec(7P).
Nota El ndice de parmetro de seguridad (SPI) configurado anteriormente corresponde al mecanismo de proteccin MD5 que requiere RFC 2002. El SPI configurado anteriormente no corresponde al SPI que utiliza IPsec. Para obtener ms informacin acerca de IPsec, consulte el Captulo 19, Arquitectura de seguridad IP (descripcin general) y el Captulo 20, Configuracin de IPsec (tareas). Consulte tambin la pgina de comando man ipsec(7P).
744
745
Utiliza el comando mipagentconfig add o delete para agregar nuevos parmetros, etiquetas y valores o para eliminar los existentes en cualquier seccin del archivo de configuracin de IP mvil.
Mostrar los valores actuales de los destinos Utiliza el comando mipagentconfig get de parmetros. para ver los valores actuales de cualquier seccin del archivo de configuracin de IP mvil.
Cmo mostrar los valores actuales de los parmetros del archivo de configuracin en la pgina 751
En una lnea de comandos, escriba el comando siguiente para cada etiqueta de la seccin General que quiera modificar.
# mipagentconfig change <label> <value>
Ejemplo 281
746
Por ejemplo, si va a modificar la vida til anunciada del agente a 300 segundos para el dispositivo hme0, utilice el siguiente comando.
# mipagentconfig change adv hme0 AdvLifetime 300
Ejemplo 282
Por ejemplo, si quiere activar la autenticacin para el agente interno y el externo, utilice el comando siguiente:
# mipagentconfig change HA-FAauth yes Ejemplo 283
Escriba el comando siguiente para cada etiqueta de la seccin Pool que quiera modificar.
# mipagentconfig change Pool pool-identifier <label> <value>
Ejemplo 284
748
Escriba el comando siguiente para cada una de las etiquetas que quiera modificar en la seccin SPI:
# mipagentconfig change SPI SPI-identifier <label> <value>
Por ejemplo, si va a cambiar la clave de SPI 257 en 5af2aee39ff0b332, utilice el comando siguiente.
# mipagentconfig change SPI 257 Key 5af2aee39ff0b332
Ejemplo 285
Para ver una descripcin de los tres mtodos de configuracin (NAI, direccin IP y nodo predeterminado), consulte Seccin Address en la pgina 768. Por ejemplo, para modificar el SPI de la direccin IP 10.1.1.1 a 258, utilice el siguiente comando:
# mipagentconfig change addr 10.1.1.1 SPI 258
Ejemplo 286
# # # # # # #
addr mobilenode@abc.com SPI 258 addr mobilenode@abc.com Pool 2 addr node-default SPI 259 addr node-default Pool 3 addr 10.68.30.36 Type agent addr 10.68.30.36 SPI 260 IPsecRequest apply {auth_algs md5 sa shared}
Nota Para agregar una interfaz, escriba lo siguiente: # mipagentconfig add adv device-name
En este caso se asignan a la interfaz valores predeterminados (tanto para el agente externo como para el interno).
750
Ejemplo 287
Ejemplo 288
Eliminacin de SPI
En el ejemplo siguiente se muestra cmo eliminar el parmetro de seguridad SPI SPI 257.
# mipagentconfig delete SPI 257
Cmo mostrar los valores actuales de los parmetros del archivo de configuracin
Se puede utilizar el comando mipagentconfig get para mostrar los valores actuales asociados con los destinos de los parmetros.
Asuma la funcin de Administrador principal, o convirtase en superusuario, en el sistema en el que quiera activar IP mvil. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Escriba el comando siguiente para cada uno de los parmetros cuyo valor quiera mostrar:
# mipagentconfig get [<parameter> | <label>]
Por ejemplo, si quiere mostrar los valores de anuncio del dispositivo hme0, utilice el siguiente comando:
# mipagentconfig get adv hme0
Captulo 28 Administracin de IP mvil (tareas) 751
Ejemplo 289
752
# mipagentconfig get addr 192.168.1.200 [Address 192.168.1.200] SPI=257 Type=node# mipagentconfig get addr 10.1.1.1 [Address 10.1.1.1] Type=agent SPI=258 IPsecRequest = apply {auth_algs md5 sa shared} IPsecReply = permit {auth_algs md5} IPsecTunnel = apply {encr_algs 3des sa shared}
-f -h -p
Muestra la lista de nodos mviles activos en la lista de visitantes del agente externo. Muestra la lista de nodos mviles activos en la tabla de enlace del agente interno. Muestra la lista de asociaciones de seguridad con los agentes de movilidad equivalentes de un agente.
Ejemplo 2810
Mobile Node
Time (s) Granted --------------- -------------- -----------foobar.xyz.com ha1.xyz.com 600 10.1.5.23 10.1.5.1 1000
Home Agent
En este ejemplo se indica cmo mostrar las asociaciones de seguridad de un agente externo.
# mipagentstat -p
En este ejemplo se indica cmo mostrar las asociaciones de seguridad de un agente interno.
# mipagentstat -fp
754
Ejemplo 2811
La primera lnea indica que la direccin IP de destino 10.6.32.11 y la interfaz entrante ip.tun1 seleccionan hme1 como interfaz de reenvo de los paquetes. La lnea siguiente indica que cualquier paquete que se origine desde la interfaz hme1 y la direccin de origen 10.6.32.11 debe reenviarse a ip.tun1.
755
756
C A P T U L O
29
2 9
En este captulo se describen los componentes incluidos en la implementacin de Solaris de IP para mviles. Para utilizar IP para mviles deber en primer lugar crear el archivo de configuracin de IP para mviles mediante los parmetros y comandos que se describen en este captulo. Este captulo contiene la informacin siguiente:
Descripcin general de la implementacin de IP para mviles en Solaris en la pgina 757 Archivo de configuracin de IP para mviles en la pgina 758 Configuracin del agente de movilidad IP en la pgina 772 Estado de un agente de movilidad de IP para mviles en la pgina 773 Informacin de estado de IP para mviles en la pgina 774 Extensiones de netstat para IP para mviles en la pgina 774 Extensiones snoop de IP para mviles en la pgina 775
Nota La funcin IP mvil se suprime de las actualizaciones de Solaris 10 posteriores a Solaris 10 8/07.
RFC 1918, "Address Allocation for Private Internets" (http://www.ietf.org/rfc/ rfc1918.txt?number=1918) RFC 2002, "IP Mobility Support" (Agent only) (http://www.ietf.org/rfc/ rfc2002.txt?number=2002) RFC 2003, "IP Encapsulation Within IP" (http://www.ietf.org/rfc/ rfc2003.txt?number=2003) RFC 2794, "Mobile IP Network Access Identifier Extension for IPv4" (http://www.ietf.org/rfc/rfc2794.txt?number=2794) RFC 3012, "Mobile IPv4 Challenge/Response Extensions" (http://www.ietf.org/rfc/ rfc3012.txt?number=3012) RFC 3024, "Reverse Tunneling for Mobile IP" (http://www.ietf.org/rfc/ rfc3024.txt?number=3024)
El protocolo de IP para mviles bsico (RFC 2002) no resuelve el problema de distribucin de claves ampliable y trata la distribucin de claves como un problema ortogonal. El software IP para mviles de Solaris utiliza nicamente claves configuradas manualmente, que se especifican en un archivo de configuracin. Las siguientes funciones RFC no son compatibles con la implementacin Solaris de IP para mviles:
RFC 1701, "General Routing Encapsulation" (http://www.ietf.org/rfc/ rfc1701.txt?number-1701) RFC 2004, "Minimal Encapsulation Within IP" (http://www.ietf.org/rfc/ rfc2004.txt?number=2004)
Las siguientes funciones no son compatibles con la implementacin Solaris de IP para mviles:
El reenvo de trfico de multidifusin o de difusin del agente interno al agente externo para un .n, que est visitando una red externa. El encaminamiento de datagramas de deifusin y multidifusin a travs de tneles inversos. Las direcciones de auxilio privadas o las direcciones de agente interno privadas.
Consulte la pgina de comando man mipagent.conf(4) para ver una descripcin de los atributos de archivo. Consulte la pgina de comando man mipagent(1M) para ver una descripcin del uso de este archivo.
Secciones y etiquetas del archivo de configuracin en la pgina 763 describe los nombres de seccin, las etiquetas y los posibles valores.
mipagentconfiguracin-sample Contiene un ejemplo de configuracin para un agente de IP para mviles que ofrece funciones de agente externo e interno mipagentconfiguracin.fa-sample Contiene un ejemplo de configuracin para un agente de IP para mviles que ofrece nicamente funciones de agente externo mipagentconfiguracin.ha-sample Contiene un ejemplo de configuracin para un agente de IP para mviles que ofrece nicamente funciones de agente interno
Estos archivos de configuracin de ejemplo contienen parmetros de direccin y seguridad de nodo mvil. Antes de poder implementar IP para mviles, se debe crear un archivo de configuracin con el nombre mipagent.conf y situarlo en el directorio /etc/inet. Este archivo contiene los valores de configuracin adecuados para los requisitos de su implementacin de IP para mviles. Tambin puede elgir uno de los archivos de configuracin de ejemplo, modificarlo con sus valores de direcciones y seguridad y copiarlo en /etc/inet/mipagent.conf. Para ms informacin, consulte Creacin del archivo de configuracin de IP mvil en la pgina 741.
Archivomipagentconfiguracin-sample
En el listado siguiente se muestran las secciones, etiquetas y valores que contiene el archivo mipagentconfiguracin-sample. Secciones y etiquetas del archivo de configuracin en la pgina 763 describe la sintaxis, secciones, etiquetas y valores.
Captulo 29 Archivos y comandos de IP para mviles (referencia) 759
[Advertisements hme0] HomeAgent = yes ForeignAgent = yes PrefixFlags = yes AdvertiseOnBcast = yes RegLifetime = 200 AdvLifetime = 200 AdvFrequency = 5 ReverseTunnel = no ReverseTunnelRequired = no [GlobalSecurityParameters] MaxClockSkew = 300 HA-FAauth = yes MN-FAauth = yes Challenge = no KeyDistribution = files [Pool 1] BaseAddress = 10.68.30.7 Size = 4 [SPI 257] ReplayMethod = none Key = 11111111111111111111111111111111 [SPI 258] ReplayMethod = none Key = 15111111111111111111111111111111 [Address 10.1.1.1] Type = node SPI = 258 [Address mobilenode@sun.com] Type = node SPI = 257 Pool = 1 [Address Node-Default] Type = node SPI = 258 Pool = 1 [Address 10.68.30.36]
760 Gua de administracin del sistema: servicios IP Octubre de 2009
Type = agent SPI = 257[Address 10.68.30.36] Type = agent SPI = 257 IPsecRequest = apply {auth_algs md5 sa shared} IPsecReply = permit {auth_algs md5} IPsecTunnel = apply {encr_algs 3des sa shared}
Archivo mipagentconfiguracin.fa-sample
En el listado siguiente se muestran las secciones, etiquetas y valores que contiene el archivo mipagentconfiguracin.fa-sample. Secciones y etiquetas del archivo de configuracin en la pgina 763 describe la sintaxis, secciones, etiquetas y valores. El archivo mipagentconfiguracin.fa-sample muestra una configuracin que ofrece nicamente funciones de agente externo. Este archivo de ejemplo no contiene una seccin Pool (Agrupacin) porque las agrupaciones solo las emplean los agentes internos. Por lo dems, el archivo es idntico a mipagent.confsample.
[General] Version = 1.0
[Advertisements hme0] HomeAgent = no ForeignAgent = yes PrefixFlags = yes AdvertiseOnBcast = yes RegLifetime = 200 AdvLifetime = 200 AdvFrequency = 5 ReverseTunnel = yes ReverseTunnelRequired = no [GlobalSecurityParameters] MaxClockSkew = 300 HA-FAauth = yes MN-FAauth = yes Challenge = no KeyDistribution = files [SPI 257] ReplayMethod = none Key = 11111111111111111111111111111111 [SPI 258] ReplayMethod = none Key = 15111111111111111111111111111111
761
[Address 10.1.1.1] Type = node SPI = 258 [Address 10.68.30.36] Type = agent SPI = 257[Address 10.68.30.36] Type = agent SPI = 257 IPsecRequest = apply {auth_algs md5 sa shared} IPsecReply = permit {auth_algs md5} IPsecTunnel = apply {encr_algs 3des sa shared}
Archivo mipagentconfiguracin.ha-sample
En el listado siguiente se muestran las secciones, etiquetas y valores que contiene el archivo mipagentconfiguracin.ha-sample. Secciones y etiquetas del archivo de configuracin en la pgina 763 describe la sintaxis, secciones, etiquetas y valores. El archivo mipagentconfiguracin.ha-sample muestra una configuracin que ofrece nicamente funciones de agente interno. Por lo dems, el archivo es idntico a mipagentconfiguracin-sample.
[General] Version = 1.0
[Advertisements hme0] HomeAgent = yes ForeignAgent = no PrefixFlags = yes AdvertiseOnBcast = yes RegLifetime = 200 AdvLifetime = 200 AdvFrequency = 5 ReverseTunnel = yes ReverseTunnelRequired = no [GlobalSecurityParameters] MaxClockSkew = 300 HA-FAauth = yes MN-FAauth = yes Challenge = no KeyDistribution = files [Pool 1] BaseAddress = 10.68.30.7 Size = 4
762
[SPI 257] ReplayMethod = none Key = 11111111111111111111111111111111 [SPI 258] ReplayMethod = none Key = 15111111111111111111111111111111 [Address 10.1.1.1] Type = node SPI = 258 [Address mobilenode@sun.com] Type = node SPI = 257 Pool = 1 [Address Node-Default] Type = node SPI = 258 Pool = 1[Address 10.68.30.36] Type = agent SPI = 257 IPsecRequest = apply {auth_algs md5 sa shared} IPsecReply = permit {auth_algs md5} IPsecTunnel = apply {encr_algs 3des sa shared}
General (obligatoria) Advertisements (obligatoria) GlobalSecurityParameters (opcional) Pool (opcional) SPI (opcional) Address (opcional)
Las secciones General y GlobalSecurityParameters contienen informacin relativa al funcionamiento del agente de IP para mviles. Estas secciones solo pueden aparecer una vez en el archivo de configuracin.
Seccin General
La seccin General slo contiene una etiqueta: el nmero de versin del archivo de configuracin. La sintaxis de la seccin General es la siguiente:
Captulo 29 Archivos y comandos de IP para mviles (referencia) 763
Seccin Advertisements
La seccin Advertisements contiene las etiquetas HomeAgent y ForeignAgent y otras. Se debe incluir una seccin Advertisements distinta para cada interfaz del host local que ofrezca servicios de IP para mviles. La sintaxis de la seccin Advertisements es la siguiente:
[Advertisements interface] HomeAgent = <yes/no> ForeignAgent = <yes/no> . .
Generalmente, un sistema tiene una nica interfaz, por ejemplo eri0 o hme0, y admite operaciones de agente interno y de agente externo. Si se da esta situacin para el ejemplo hme0, el valor yes se asigna a las etiquetas HomeAgent y ForeignAgent, como se indica a continuacin:
[Advertisements hme0] HomeAgent = yes ForeignAgent = yes . .
Para anuncios a travs de interfaces dinmicas, utilice '*' en la parte de ID de dispositivo. Por ejemplo, nombre_interfaz ppp* implica en realidad que se han iniciado todas las interfaces PPP configuradas despus del daemon mipagent. Todos los atributos de la seccin Advertisements de una interfaz dinmica permanecen iguales. En la tabla siguiente se describen las etiquetas y los valores que se pueden utilizar en la seccin Advertisements.
TABLA 291 Etiqueta
HomeAgent
Determina si el daemon mipagent proporciona funcionalidad de agente interno. Determina si el daemon mipagent proporciona funcionalidad de agente externo. Especifica si los anuncios incluyen la extensin prefix-length opcional. Si es yes, los anuncios se envan por 255.255.255.255, en lugar de por 224.0.0.1.
ForeignAgent
PrefixFlags
AdvertiseOnBcast
764
(Continuacin)
Descripcin
RegLifetime
Valor de periodo de vida mximo aceptado en las solicitudes de registro, en segundos. Periodo de tiempo mximo que el anuncio se considera vlido en ausencia de otros anuncios, en segundos. Tiempo entre dos anuncios consecutivos, en segundos.
AdvLifetime
AdvFrequency
ReverseTunnel
yes o noFA o HA o both Determina si mipagent ofrece la funcin de tnel inverso. El valor yes implica que tanto el agente externo como el interno admiten tnel inverso. El valor no significa que la interfaz no admite tnel inverso. El valor FA significa que el agente externo admite tnel inverso. El valor HA significa que el agente interno admite tnel inverso. El valor both implica que tanto el agente externo como el interno admiten tnel inverso.
ReverseTunnelRequired
yes o no
Determina si mipagent requiere la funcin de tnel inverso. En consecuencia, determina si un nodo mvil debe solicitar un tnel inverso durante el registro. El valor yes implica que tanto el agente externo como el interno requieren tnel inverso. El valor no significa que la interfaz no requiere tnel inverso. El valor FA significa que el agente externo requiere un tnel inverso. El valor HA significa que el agente interno requiere un tnel inverso.
AdvInitCount
Determina el nmero inicial de anuncios no solicitados. El valor predeterminado es 1. Este valor slo es significativo si AdvLimitUnsolicited es yes. Activa o desactiva un nmero limitado de anuncios no solicitados a travs de la interfaz de movilidad.
AdvLimitUnsolicited
yes o no
Seccin GlobalSecurityParameters
La seccin GlobalSecurityParameters contiene las etiquetas maxClockSkew, HA-FAauth, MN-FAauth, Challenge y KeyDistribution. La sintaxis de la seccin es la siguiente:
[GlobalSecurityParameters] MaxClockSkew = n HA-FAauth = <yes/no>
Captulo 29 Archivos y comandos de IP para mviles (referencia) 765
El protocolo IP para mviles ofrece proteccin de repeticin de mensajes por el procedimiento de permitir la presencia de marcas de tiempo en los mensajes. Si las horas difieren, el agente interno devuelve un error al nodo mvil con la hora actual y el nodo puede volver a registrarse utilizando la hora actual. La etiqueta MaxClockSkew se utiliza para configurar el nmero mximo de segundos de diferencia entre los relojes del agente interno y del agente externo. El valor predeterminado es de 300 segundos. Las etiquetas HA-FAauth y MN-FAauth activan o desactivan el requisito de autenticacin interna-externa o mvil-externa, respectivamente. El valor predeterminado es desactivado. La etiqueta challenge se utiliza para que el agente externo emita desafos al nodo mvil en sus anuncios. La etiqueta se usa para proteccin de repeticin. El valor predeterminado es tambin desactivado. En la tabla siguiente se describen las etiquetas y los valores que se pueden utilizar en la seccin GlobalSecurityParameters.
TABLA 292 Etiqueta
MaxClockSkew
Nmero de segundos que mipagent acepta como diferencia entre su propia hora local y la encontrada en las solicitudes de registro Especifica si deben estar presentes las extensiones de autenticacin de agente interno-agente externo en las solicitudes y respuestas de registro Especifica si deben estar presentes las extensiones de autenticacin de nodo mvil-agente externo en las solicitudes y respuestas de registro Especifica si el agente externo incluye desafos en sus anuncios de movilidad Se le debe asignar el valor files
HA-FAauth
yes o no
MN-FAauth
yes o no
Challenge
yes o no files
KeyDistribution
Seccin Pool
El agente interno puede asignar a los nodos mviles direcciones dinmicas. La asignacin de direcciones dinmicas se lleva a cabo mediante el daemon mipagent de forma independiente de DHCP. Se puede crear una agrupacin de direcciones que los nodos mviles pueden utilizar mediante la solicitud de una direccin permanente. Las agrupaciones de direcciones se configuran mediante la seccin Pool del archivo de configuracin.
766 Gua de administracin del sistema: servicios IP Octubre de 2009
La seccin Pool contiene las etiquetas BaseAddress y Size. La sintaxis de la seccin Pool es la siguiente:
[Pool pool-identifier] BaseAddress = IP-address Size = size Nota Si utiliza un identificador Pool, tambin deber estar en la seccin Address del nodo
mvil. La seccin Pool se utiliza para definir agrupaciones de direcciones que se pueden asignar a los nodos mviles. La etiqueta BaseAddress se utiliza para establecer la primera direccin IP de la agrupacin. La etiqueta Size se utiliza para especificar el nmero de direcciones disponibles en la agrupacin. Por ejemplo, si las direcciones IP 192.168.1.1 a 192.168.1.100 estn reservadas en la agrupacin 10, la entrada de la seccin Pool ser la siguiente:
[Pool 10] BaseAddress = 192.168.1.1 Size = 100
Nota Los intervalos de direcciones no deben abarcar la direccin de difusin. Por ejemplo, no
se debe asignar BaseAddress = 192.168.1.200 y Size = 60, porque este rango abarca la direccin de difusin 192.168.1.255. En la tabla siguiente se describen las etiquetas y valores que se utilizan en la seccin Pool.
TABLA 293 Etiqueta
BaseAddress Size
n.n.n.n n
Seccin SPI
El protocolo de IP para mviles requiere autenticacin de mensajes, por lo tanto se debe identificar el contexto de seguridad mediante el ndice de parmetros de seguridad (SPI). El contexto de seguridad se define en la seccin SPI. Se debe incluir una seccin SPI distinta para cada contexto de seguridad definido. El contexto de seguridad se identifica con un cdigo numrico. El protocolo IP para mviles reserva los primeros 256 SPI. Por lo tanto, slo debe utilizar valores SPI superiores a 256. En la seccin SPI se puede encontrar informacin relacionada con la seguridad, como secretos compartidos y proteccin de repeticin.
Captulo 29 Archivos y comandos de IP para mviles (referencia) 767
La seccin SPI contiene tambin las etiquetas ReplayMethod y Key. La sintaxis de la seccin SPI es la siguiente:
[SPI SPI-identifier] ReplayMethod = <none/timestamps> Key = key
Dos equivalentes que se comuniquen deben compartir el mismo identificador SPI. Es necesario configurarlos con la misma clave y mtodo de repeticin. La clave se especifica en forma de cadena de dgitos hexadecimales. La longitud mxima es de 16 bytes. Por ejemplo, si la clave tiene una longitud de 16 bytes y contiene los valores hexadecimales 0 a f, el aspecto de la cadena de la clave ser similar a:
Key = 0102030405060708090a0b0c0d0e0f10
El nmero de dgitos de las claves debe ser par, para corresponderse con la representacin de dos dgitos por byte. En la tabla siguiente se describen las etiquetas y valores que se pueden utilizar en la seccin SPI.
TABLA 294 Etiqueta
ReplayMethod
none o timestamps x
Especifica el tipo de autenticacin de repeticin que se utiliza para el SPI Clave de autenticacin en hexadecimal
Key
Seccin Address
La implementacin de Solaris de IP para mviles permite configurar los nodos mviles con tres mtodos posibles. Cada mtodo se configura en la seccin Address. El primer mtodo sigue el protocolo IP para mviles tradicional, y exige que cada nodo mvil tenga una direccin permanente. El segundo mtodo permite identificar un nodo mvil mediante su Identificador de acceso de red (NAI). El ltimo mtodo permite configurar un nodo mvil predeterminado, que puede utilizar cualquier nodo mvil que tenga el valor de SPI adecuado y el material de clave relacionado.
Nodo mvil
La seccin Address de un nodo mvil contiene las etiquetas Type y SPI, que definen el tipo de direccin y el identificador SPI. La sintaxis de la seccin Address es la siguiente:
[Address address] Type = node SPI = SPI-identifier
768 Gua de administracin del sistema: servicios IP Octubre de 2009
Se debe incluir una seccin Address en el archivo de configuracin de un agente interno por cada nodo para mviles que se admita. Si se exige autenticacin de mensajes de IP para mviles entre el agente externo y el agente interno, se debe incluir una seccin Address por cada equivalente con el que un agente necesita comunicarse. El valor de SPI configurado debe representar una seccin SPI que est presente en el archivo de configuracin. Tambin puede configurar direcciones privadas para un nodo mvil. En la tabla siguiente se describen las etiquetas y los valores que se pueden utilizar en la seccin Address de un nodo mvil.
TABLA 295 Etiqueta
Type SPI
nodo n
Especifica que la entrada es para un nodo mvil Especifica el valor de SPI para la entrada asociada
Agente de movilidad
La seccin Address de un agente de movilidad contiene las etiquetas Type y SPI, que definen el tipo de direccin y el identificador SPI. Esta seccin tambin contiene las etiquetas IPsecRequest, IPsecReply e IPsecTunnel. La seccin Address de un agente de movilidad presenta la siguiente sintaxis:
[Address address] Type = agent SPI = SPI-identifier IPsecRequest = action {properties} [: action {properties}] IPsecReply = action {properties} [: action {properties}] IPsecTunnel = action {properties} [: action {properties}]
Se debe incluir una seccin Address en el archivo de configuracin de un agente interno por cada agente de movilidad que se admita. Si se requiere autenticacin de mensajes IP entre los agentes interno y externo, debe incluirse una seccin Address para cada equivalente con el que un agente desee comunicarse. El valor de SPI configurado debe representar una seccin SPI que est presente en el archivo de configuracin. En la tabla siguiente se describen las etiquetas y valores que se pueden utilizar en la seccin Address de un agente de movilidad.
Captulo 29 Archivos y comandos de IP para mviles (referencia) 769
Type
agent
Especifica que la entrada corresponde a un agente de movilidad Especifica el valor de SPI para la entrada asociada
SPI
IPsecRequest
apply o permit (ver nota Propiedades de IPsec que se deben invocar siguiente) para solicitudes de registro desde y hacia este equivalente de agente de movilidad apply o permit (ver nota Propiedades de IPsec que se deben invocar siguiente) para repuestas de registro desde y hacia este equivalente de agente de movilidad apply o permit (ver nota Propiedades de IPsec que se deben invocar siguiente) para trfico de tnel desde y hacia este equivalente de agente de movilidad
IPsecReply
IPsecTunnel
Nota Los valores apply corresponden a datagramas salientes. Los valores permit corresponden a datagramas entrantes. Por consiguiente, los valores de IPsecRequest apply y los valores de IPsecReply permit los utiliza el agente externo para enviar y recibir datagramas de registro. Los valores de IPsecRequest permit y los valores de IPsecReply apply los utiliza el agente interno para enviar y recibir datagramas de registro.
Para utilizar agrupaciones, los nodos mviles se deben identificar mediante su NAI. La seccin Address permite configurar un NAI, en lugar de una direccin permanente. Un NAI tiene el formato usuario@dominio. La etiqueta Pool se utiliza para especificar la agrupacin de direcciones que se debe utilizar para asignar la direccin permanente al nodo mvil. En la tabla siguiente se describen las etiquetas y los valores que se pueden utilizar en la seccin Address para un nodo mvil identificado por su NAI.
770 Gua de administracin del sistema: servicios IP Octubre de 2009
nodo n n
Especifica que la entrada es para un nodo mvil Especifica el valor de SPI para la entrada asociada Asigna la agrupacin desde la que se asigna una direccin a un nodo mvil
Deber tener secciones SPI y Pool correspondientes a las etiquetas SPI y Pool definidas en una seccin Address con un nodo mvil identificado por su NAI, como se muestra en la figura siguiente.
SPI 251
POOL 10
Secciones SPI y Pool correspondientes para la seccin Address en un nodo mvil identificado
por su NAI
El parmetro Node-Default permite reducir el tamao del archivo de configuracin. En caso contrario, cada nodo mvil necesitara su propia seccin. Sin embargo, el parmetro Node-Default implica un riesgo de seguridad. Si un nodo mvil deja de ser de confianza, es necesario actualizar la informacin de seguridad en todos los nodos mviles de confianza. Se trata de una tarea muy tediosa. Sin embargo, se puede utilizar el parmetro Node-Default en redes en las que los riesgos de seguridad no tienen importancia.
Captulo 29 Archivos y comandos de IP para mviles (referencia) 771
En la tabla siguiente se describen las etiquetas y valores que se pueden utilizar en la seccin Address para un nodo mvil predeterminado.
TABLA 298 Etiqueta
nodo n n
Especifica que la entrada es para un nodo mvil Especifica el valor de SPI para la entrada asociada Asigna la agrupacin desde la que se asigna una direccin a un nodo mvil
Deber tener secciones SPI y Pool correspondientes a las etiquetas SPI y Pool definidas en una seccin Address con un nodo mvil predeterminado, como se muestra en la figura siguiente.
SPI 251
POOL 10
En la tabla siguiente se describen todos los comandos que se pueden utilizar con mipagentconfig para crear o modificar parmetros en el archivo de configuracin /etc/inet/mipagent.conf.
772
Subcomandos de mipagentconfig
Descripcin
add
Se utiliza para agregar parmetros de anuncio, de seguridad, SPI y direcciones al archivo de configuracin Se utiliza para modificar parmetros de anuncio, de seguridad, SPI y direcciones en el archivo de configuracin Se utiliza para eliminar parmetros de anuncio, de seguridad, SPI y direcciones del archivo de configuracin Se utiliza para mostrar los valores actuales del archivo de configuracin
change
delete
get
Consulte la pgina del comando man mipagentconfig(1M)para ver una descripcin de los parmetros de los comandos y de los valores que pueden adquirir. En Modificacin del archivo de configuracin de IP mvil en la pgina 746 se detallan procedimientos que utilizan el comando mipagentconfig.
Lista de visitantes de agente externo Home Agent Time (s) Remaining --------125 10 Flags ----.....T. .....T.
Mobile Node
Time (s) Granted --------------- -------------- -----------foobar.xyz.com ha1.xyz.com 600 10.1.5.23 10.1.5.1 1000
EJEMPLO 292
Tabla de enlace de agente interno Home Agent Time (s) Remaining --------125 10 Flags ----.....T. .....T.
773
Mobile Node
Time (s) Granted --------------- -------------- -----------foobar.xyz.com fa1.tuv.com 600 10.1.5.23 123.2.5.12 1000
EJEMPLO 293
Tabla de asociacin de seguridad de equivalente de agente de movilidad ..... Security Association(s)..... Requests Replies FTunnel RTunnel -------- -------- -------- -------AH AH ESP ESP ..... Security Association(s) ..... Requests Replies FTunnel RTunnel -------- -------- -------- -------AH AH ESP ESP AH,ESP AH AH,ESP AH,ESP
Consulte la pgina de comando man mipagentstat(1M) para obtener ms informacin sobre las opciones del comando. En Presentacin del estado del agente de movilidad en la pgina 753 se detallan procedimientos que utilizan el comando mipagentstat.
Routing Table: IPv4 Source-Specific Destination In If Source Gateway Flags Use Out If -------------- ------- ------------ --------- ----- ---- ------774 Gua de administracin del sistema: servicios IP Octubre de 2009
EJEMPLO 294
Salida de IP para mviles del comando netstat ip.tun1 -hme1 10.6.32.11 10.6.32.97 UH -U
10.6.32.11 --
En el ejemplo se muestran las rutas para un agente externo que utiliza un tnel inverso. La primera lnea indica que la direccin IP de destino 10.6.32.11 y la interfaz entrante ip.tun1 seleccionan hme1 como interfaz de reenvo de los paquetes. La siguiente lnea indica que todos los paquetes con origen en la interfaz hme1 y la direccin de origen 10.6.32.11 deben reenviarse a ip.tun1.
mip-mn2# snoop Using device /dev/hme (promiscuous mode) mip-fa2 -> 224.0.0.1 ICMP Router advertisement (Lifetime 200s [1]: {mip-fa2-80 2147483648}), (Mobility Agent Extension), (Prefix Lengths), (Padding) mip-mn2 -> mip-fa2 Mobile IP reg rqst mip-fa2 -> mip-mn2 Mobile IP reg reply (OK code 0)
En este ejemplo se muestra que el nodo mvil ha recibido uno de los anuncios de agente de movilidad enviados peridicamente desde el agente externo, mip-fa2. A continuacin, mip-mn2 ha enviado una solicitud de registro a mip-fa2 y, a cambio, ha recibido una respuesta de registro. En la respuesta se indica que el nodo mvil se ha registrado satisfactoriamente con su agente interno. El comando snoop admite tambin extensiones de IPsec. Por tanto, se puede mostrar de qu modo se protegen los paquetes de registro y de tnel.
775
776
P A R T E
V I
IPMP
Esta parte introduce las mltiples rutas de redes IP (IPMP) y contiene las tareas necesarias para administrar IPMP. IPMP proporciona funciones de deteccin de fallos y conmutacin por error para las interfaces de un sistema que estn conectadas al mismo vnculo.
777
778
C A P T U L O
30
3 0
Las mltiples rutas de redes IP (IPMP) detectan los fallos en la interfaz fsica y conmutan por error el acceso a la red de forma transparente para un sistema con varias interfaces en el mismo vnculo IP. IPMP tambin permite repartir la carga de los paquetes para los sistemas con varias interfaces. Este captulo contiene la informacin siguiente:
Por qu debe utilizar IPMP en la pgina 779 Requisitos bsicos de IPMP en la pgina 783 Direcciones IPMP en la pgina 784 Componentes IPMP de Solaris en la pgina 780 Configuraciones de interfaces IPMP en la pgina 786 Funciones de deteccin de fallos IPMP y recuperacin en la pgina 788 IPMP y reconfiguracin dinmica en la pgina 792
Para conocer las tareas de configuracin de IPMP, consulte el Captulo 31, Administracin de IPMP (tareas).
direcciones IP de la interfaz fallida. El destinatario de estas direcciones es una interfaz en funcionamiento del grupo IPMP de la interfaz fallida. La funcin de conmutacin tras error de IPMP mantiene la conectividad e impide la interrupcin de cualquier conexin. Asimismo, IPMP mejora el rendimiento global de la red al expandir automticamente el trfico de la red por un conjunto de interfaces del grupo IPMP. Este proceso se denomina expansin de carga.
El daemon in.mpathd, que se describe detalladamente en la pgina del comando man in.mpathd(1M). El archivo de configuracin /etc/default/mpathd, que tambin se describe en la pgina del comando man in.mpathd(1M). Opciones ifconfig para la configuracin de IPMP, tal como se describe en la pgina del comando man ifconfig(1M).
El daemon in.mpathd detecta fallos y reparaciones enviando sondeos a todas las interfaces que forman parte de un grupo IPMP. El daemon in.mpathd tambin detecta fallos y reparaciones supervisando el indicador RUNNING en cada interfaz del grupo. Consulte la pgina del comando man in.mpathd(1M) para obtener ms informacin.
Nota No se admite DHCP para administrar direcciones de datos IPMP. Si intenta utilizar DHCP en estas direcciones, DHCP finalmente abandonar el control de dichas direcciones. No utilice DHCP en las direcciones de datos.
780
Vnculo IP
En terminologa IPMP, un vnculo IP es una utilidad de comunicacin o medio a travs del cual los nodos se pueden comunicar en la capa del vnculo de datos del conjunto de protocolos de Internet. Los tipos de vnculos IP podran incluir redes Ethernet simples, Ethernet con puente, concentradores o redes de modalidad de transferencia asncrona (ATM). Un vnculo IP puede tener uno o ms nmeros de subred IPv4 y, si es preciso, uno o ms prefijos de subred IPv6. No se puede asignar el mismo nmero o prefijo de subred a ms de un vnculo IP. En ATM LANE, un vnculo IP es una sola red de rea local (LAN) emulada. Con el protocolo de resolucin de direcciones (ARP), el alcance del protocolo ARP es un nico vnculo IP.
Nota Otros documentos relacionados con IP, como RFC 2460, Internet Protocol, Version 6 (IPv6) Specification, utilizan el trmino vnculo en lugar de vnculo IP. La parte VI utiliza el trmino vnculo IP para evitar la confusin con IEEE 802. En IEEE 802, vnculo hace referencia a una nica conexin entre una tarjeta de interfaz de red Ethernet (NIC) y un conmutador Ethernet.
Interfaz fsica
La interfaz fsica proporciona una conexin del sistema con un vnculo IP. Esta conexin se suele implementar como un controlador de dispositivos y una NIC. Si un sistema tiene varias interfaces conectadas al mismo vnculo, puede configurar IPMP para que lleve a cabo la conmutacin por error si falla una de las interfaces. Para obtener mas informacin sobre las interfaces fsicas, consulte Configuraciones de interfaces IPMP en la pgina 786.
Grupo IPMP
Un grupo de mltiples rutas IP, o grupo IPMP, se compone de una o ms interfaces fsicas en el mismo sistema configuradas con el mismo nombre de grupo IPMP. Todas las interfaces del grupo IPMP deben estar conectadas al mismo vnculo IP. El mismo nombre de grupo IPMP de cadena de caracteres (no nula) identifica a todas las interfaces del grupo. Puede colocar interfaces de NIC de diferentes velocidades en el mismo grupo IPMP, siempre que las NIC sean
Captulo 30 Introduccin a IPMP (descripcin general) 781
del mismo tipo. Por ejemplo, en el mismo grupo puede configurar las interfaces de NIC Ethernet de 100 megabits y las interfaces de NIC Ethernet de 1 gigabit. A modo de ejemplo, supongamos que tiene dos tarjetas NIC Ethernet de 100 megabits. Puede configurar una de las interfaces con 10 megabits y seguir colocando las dos interfaces en el mismo grupo IPMP. No es posible colocar dos interfaces de distintos tipos de medios en un grupo IPMP. Por ejemplo, no puede colocar una interfaz ATM en el mismo grupo que una interfaz Ethernet.
La ruta de transmisin o recepcin de la interfaz han fallado. La conexin de la interfaz al vnculo IP est inactiva. El puerto del conmutador no transmite ni recibe paquetes. La interfaz fsica de un grupo IPMP no est presente en el arranque del sistema.
Tras detectar un fallo, IPMP inicia la conmutacin por error. La conmutacin por error es el proceso automtico de conmutar el acceso de red de una interfaz fallida a una interfaz fsica que funcione del mismo grupo. El acceso a red incluye unidifusin, multidifusin y trfico de emisin IPv4, as como unidifusin, multidifusin y trfico de emisin IPv6. La conmutacin por error slo se produce si se ha configurado ms de una interfaz en el grupo IPMP. El proceso de conmutacin por error garantiza un acceso ininterrumpido a la red.
Sistemas de destino
La deteccin de errores basada en sondeos utiliza los sistemas de destino para determinar la condicin de una interfaz. Cada sistema de destino debe estar conectado al mismo vnculo IP que los miembros del grupo IPMP. El daemon in.mpathd del sistema local enva mensajes de sondeo de ICMP a cada sistema de destino. Los mensajes de sondeo ayudan a determinar el estado de cada interfaz del grupo IPMP. Para obtener ms informacin sobre el uso del sistema de destino en la deteccin de fallos basada en sondeos, consulte Deteccin de fallos basada en sondeos en la pgina 789.
782 Gua de administracin del sistema: servicios IP Octubre de 2009
Reconfiguracin dinmica
La reconfiguracin dinmica (DR) es la capacidad de volver a configurar un sistema mientras se ejecuta, prcticamente con ningn impacto o con ninguno en absoluto en las operaciones en curso. No todas las plataformas de Sun admiten DR. Es posible que algunas plataformas de Sun slo admitan DR de determinados tipos de hardware. En las plataformas que admiten DR de NIC, se puede utilizar IPMP para conmutar por error de modo transparente el acceso de red y proporcionar acceso de red ininterrumpido al sistema. Para obtener ms informacin sobre cmo IPMP admite DR, consulte IPMP y reconfiguracin dinmica en la pgina 792.
Todas las interfaces de un grupo IPMP deben tener direcciones MAC nicas. De modo predeterminado, todas las interfaces de red de sistemas basados en SPARC comparten una nica direccin MAC. De este modo, debe cambiar explcitamente la configuracin predeterminada para poder utilizar IPMP en sistemas basados en SPARC. Para obtener ms informacin, consulte Cmo planificar un grupo IPMP en la pgina 799.
Todas las interfaces de un grupo IPMP deben tener el mismo tipo de medio. Si desea ms informacin, consulte Grupo IPMP en la pgina 781. Todas las interfaces de un grupo IPMP deben estar conectadas al mismo vnculo IP. Si desea ms informacin, consulte Grupo IPMP en la pgina 781. En funcin de los requisitos de deteccin de fallos, es posible que deba utilizar tipos especficos de interfaces de red o configurar direcciones IP adicionales en cada interfaz de red. Consulte Deteccin de fallos basada en vnculos en la pgina 788 y Deteccin de fallos basada en sondeos en la pgina 789.
783
Direcciones IPMP
Direcciones IPMP
Puede configurar la deteccin de fallos IPMP en redes IPv4 y de pila doble, y redes IPv4 e IPv6. Las interfaces que se configuran con IPMP admiten dos tipos de direcciones: direcciones de datos y direcciones de prueba.
Direcciones de datos
Las direcciones de datos son direcciones IPv4 e IPv6 convencionales que se asignan a una interfaz de NIC durante el arranque o manualmente mediante el comando ifconfig. El trfico de paquetes IPv4 estndar y, si es aplicable, el trfico de paquetes IPv6 mediante una interfaz se considera trfico de datos.
Direcciones de prueba
Las direcciones de prueba son direcciones especficas IPMP que utiliza el daemon in.mpathd. Para que una interfaz utilice la deteccin de fallos basada en sondeos y la reparacin, debe estar configurada como mnimo con una direccin de prueba.
Nota Slo es necesario configurar direcciones de prueba si se va a utilizar la deteccin de fallos basada en sondeos.
El daemon in.mpathd utiliza las direcciones de prueba para el intercambio de sondeos ICMP (denominado tambin trfico de sondeos) con otros destinos del vnculo IP. El trfico de sondeos ayuda a determinar el estado de la interfaz y su NIC, incluida la informacin sobre si una interfaz ha fallado. Los sondeos verifican que la ruta de envo y recepcin de la interfaz est funcionando correctamente. Cada interfaz puede configurarse con una direccin de prueba IP. Para una interfaz de una red de doble pila, puede configurar una direccin de prueba IPv4, una direccin de prueba IPv6 o tanto la direccin de prueba IPv4 como la IPv6. Tras el fallo de una interfaz, las direcciones de prueba permanecen en la interfaz fallida de modo que in.mpathd puede seguir enviando sondeos para comprobar las posteriores reparaciones. Debe configurar de modo especfico las direcciones de prueba para que las aplicaciones no las utilicen por accidente. Para ms informacin, consulte Cmo evitar que las aplicaciones utilicen direcciones de prueba en la pgina 786. Para ms informacin sobre la deteccin de fallos basada en sondeos, consulte Deteccin de fallos basada en sondeos en la pgina 789.
784 Gua de administracin del sistema: servicios IP Octubre de 2009
Direcciones IPMP
Para obtener ms informacin sobre las direcciones locales de vnculo, consulte Direccin unidifusin local de vnculo. Cuando un grupo IPMP tiene conectadas direcciones tanto IPv4 como IPv6 en todas las interfaces del grupo, no es necesario configurar direcciones de IPv4 aparte. El daemon in.mpathd puede utilizar las direcciones locales de vnculo IPv6 como direcciones de prueba. Para crear una direccin de prueba IPv6, consulte la tarea Cmo configurar un grupo IPMP con mltiples interfaces en la pgina 801.
Captulo 30 Introduccin a IPMP (descripcin general) 785
786
Precaucin La convencin que se utiliza para denominar redes VLAN puede conducir a errores
al configurar redes VLAN como grupo IPMP. Para obtener ms detalles acerca de nombres de VLAN, consulte Etiquetas VLAN y puntos de conexin fsicos en la pgina 165 de System Administration Guide: IP Services. Considere el ejemplo de cuatro redes VLAN bge1000, bge1001, bge2000 y bge2001. La implementacin de IPMP precisa que estas VLAN se agrupen del siguiente modo: bge1000 y bge1001 pertenecen a un grupo de la misma VLAN 1, mientras bge2000 y bge2001 pertenecen a otro grupo de la misma VLAN 2. Debido a los nombres de VLAN, pueden darse con frecuencia errores como mezclar VLAN que pertenecen a varios vnculos en un grupo IPMP, por ejemplo, bge1000 y bge2000.
Configuracin activa-activa
Un grupo IPMP de dos interfaces en el que ambas interfaces estn "activas", es decir, que pueden transmitir tanto trfico de datos como trfico de sondeos en cualquier momento Grupo IPMP de dos interfaces en el que una interfaz se configura como "reserva".
Configuracin activa-reserva
Deteccin de fallos basada en vnculos, si la admite el controlador de la NIC Deteccin de fallos basada en sondeos, cuando se configuran las direcciones de prueba Deteccin de interfaces que no estaban presentes durante el arranque
La pgina del comando man in.mpathd(1M) describe detalladamente el modo en que el daemon in.mpathd controla la deteccin de fallos de la interfaz.
788
Para determinar si la interfaz de otro proveedor admite la deteccin de fallos basada en vnculos, consulte la documentacin del fabricante. Estos controladores de interfaces de red supervisan el estado del vnculo de la interfaz y notifican al subsistema de red si dicho estado cambia. Cuando se notifica un cambio, el subsistema de red establece o borra el indicador RUNNING para dicha interfaz, segn sea preciso. Si el daemon detecta que el indicador RUNNING de la interfaz se ha borrado, el daemon rechaza inmediatamente la interfaz.
789
deteccin de fallos en el archivo /etc/default/mpathd. Para obtener instrucciones, consulte Cmo configurar el archivo /etc/default/mpathd en la pgina 819. Para un tiempo de deteccin de reparaciones de 10 segundos, la velocidad de sondeo es de aproximadamente un sondeo cada dos segundos. El tiempo mnimo de deteccin de reparaciones predeterminado es el doble del tiempo de deteccin de fallos, es decir, 20 segundos, ya que debe recibirse la respuesta de 10 sondeos consecutivos. Los tiempos de deteccin de fallos y reparaciones slo se aplican a la deteccin de fallos basada en sondeos.
Nota En un grupo IPMP compuesto por redes VLAN, la deteccin de fallos basada en vnculos se implementa por vnculos fsicos y, por lo tanto, afecta a todas las redes VLAN del vnculo en cuestin. La deteccin de fallos basada en sondeos se realiza por vnculos VLAN. Por ejemplo, bge0/bge1 y bge1000/bge1001 se configuran en un mismo grupo. Si el cable para bge0 est desconectado, la deteccin de fallos basada en vnculos no indicar que bge0 y bge1000 hayan fallado de manera inmediata. Sin embargo, si no se puede alcanzar ningn destino de sondeo de bge0, slo se indicar que ha fallado bge0, porque bge1000 tiene sus propios destinos de sondeo en su red VLAN.
Fallos de grupo
Un fallo de grupo tiene lugar cuando todas las interfaces de un grupo IPMP fallan al mismo tiempo. El daemon in.mpathd no lleva a cabo conmutaciones por error para un fallo de grupo. Asimismo, no se puede realizar ninguna conmutacin por error si todos los sistemas de destino fallan de forma simultnea. En este caso, in.mpathd vaca todos los sistemas de destino actuales y descubre nuevos sistemas de destino.
790
hme0: flags=9000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.85.19 netmask ffffff00 broadcast 192.168.85.255 groupname test hme0:1: flags=9000843<UP,BROADCAST,RUNNING,MULTICAST,DEPRECATED,IPv4,NOFAILOVER> mtu 1500 index 2 inet 192.168.85.21 netmask ffffff00 broadcast 192.168.85.255 hme1: flags=9000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 8 inet 192.168.85.20 netmask ffffff00 broadcast 192.168.85.255 groupname test hme1:1: flags=9000843<UP,BROADCAST,RUNNING,MULTICAST,DEPRECATED,IPv4,NOFAILOVER> mtu 1500 index 2 inet 192.168.85.22 netmask ffffff00 broadcast 192.168.85.255 hme0: flags=a000841<UP,RUNNING,MULTICAST,IPv6,NOFAILOVER> mtu 1500 index 2 inet6 fe80::a00:20ff:feb9:19fa/10 groupname test hme1: flags=a000841<UP,RUNNING,MULTICAST,IPv6,NOFAILOVER> mtu 1500 index 2 inet6 fe80::a00:20ff:feb9:1bfc/10 groupname test
EJEMPLO 302
hme0: flags=19000842<BROADCAST,RUNNING,MULTICAST,IPv4, NOFAILOVER,FAILED> mtu 0 index 2 inet 0.0.0.0 netmask 0 groupname test hme0:1: flags=19040843<UP,BROADCAST,RUNNING,MULTICAST,DEPRECATED,IPv4, NOFAILOVER,FAILED> mtu 1500 index 2 inet 192.168.85.21 netmask ffffff00 broadcast 10.0.0.255 hme1: flags=9000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.85.20 netmask ffffff00 broadcast 192.168.85.255 groupname test hme1:1: flags=9000843<UP,BROADCAST,RUNNING,MULTICAST,DEPRECATED,IPv4, NOFAILOVER> mtu 1500 index 2 inet 192.168.85.22 netmask ffffff00 broadcast 10.0.0.255 hme1:2: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 6
791
EJEMPLO 302
(Continuacin)
inet 192.168.85.19 netmask ffffff00 broadcast 192.168.18.255 hme0: flags=a000841<UP,RUNNING,MULTICAST,IPv6,NOFAILOVER,FAILED> mtu 1500 index 2 inet6 fe80::a00:20ff:feb9:19fa/10 groupname test hme1: flags=a000841<UP,RUNNING,MULTICAST,IPv6,NOFAILOVER> mtu 1500 index 2 inet6 fe80::a00:20ff:feb9:1bfc/10 groupname test
Puede ver que el indicador FAILED aparece en hme0 para indicar que la interfaz ha fallado. Observe tambin que se ha creado hme1:2. hme1:2 era originalmente hme0. La direccin 192.168.85.19 se convierte en accesible mediante hme1. Los miembros multidifusin asociados con 192.168.85.19 pueden seguir recibiendo paquetes, pero ahora los reciben mediante hme1. Cuando se produce el fallo de la direccin 192.168.85.19 de hme0 a hme1, se crea la direccin ficticia 0.0.0.0 en hme0. La direccin ficticia se crea para que se pueda seguir accediendo a hme0. hme0:1 no puede existir sin hme0. La direccin de prueba se elimina cuando tiene lugar una recuperacin tras los errores. De modo similar, se produce la conmutacin por error de la direccin IPv6 de hme0 a hme1. En IPv6, los miembros de multidifusin se asocian con ndices de interfaz. Los miembros de multidifusin tambin se conmutan por error de hme0 a hme1. Tambin se mueven todas las direcciones configuradas por in.ndpd. Esta accin no se muestra en los ejemplos. El daemon in.mpathd sigue realizando el sondeo a travs de la interfaz fallida hme0. Cuando el daemon recibe 10 respuestas consecutivas para un tiempo de deteccin de reparaciones predeterminado de 20 segundos, determina que la interfaz se ha reparado. Dado que el indicador RUNNING tambin se establece en hme0, el daemon invoca la recuperacin tras los errores. Despus de la recuperacin tras los errores, se restablece la configuracin original. Para ver una descripcin de todos los mensajes de error registrados en la consola durante los fallos y las reparaciones, consulte la pgina del comando man in.mpathd(1M).
792
posible porque IPMP se integra en la estructura del Gestor de coordinacin de reconfiguracin (RCM). RCM administra la reconfiguracin dinmica de los componentes del sistema. Normalmente se utiliza el comando cfgadm para llevar a cabo las operaciones de DR. Sin embargo, algunas plataformas proporcionan otros mtodos. Consulte la documentacin de su plataforma para obtener ms informacin. Encontrar informacin especfica sobre DR en los siguientes recursos.
TABLA 301 Descripcin
Informacin detallada sobre el comando cfgadm Informacin especfica sobre DR en el entorno de Sun Cluster Informacin especfica sobre DR en el entorno de Sun Fire Informacin introductoria sobre DR y el comando cfgadm Tareas para administrar grupos IPMP en un sistema que admite DR
Pgina del comando man cfgadm(1M) Sun Cluster 3.1 System Administration Guide Sun Fire 880 Dynamic Reconfiguration Guide Captulo 6, Dynamically Configuring Devices (Tasks) de System Administration Guide: Devices and File Systems Sustitucin de una interfaz fsica fallida en sistemas que admiten reconfiguracin dinmica en la pgina 814
Conexin de NIC
Puede agregar interfaces a un grupo IPMP en cualquier momento utilizando el comando ifconfig, tal como se describe en Cmo configurar un grupo IPMP con mltiples interfaces en la pgina 801. De este modo, cualquier interfaz de los componentes del sistema que conecte tras el arranque del sistema se podr sondear y agregar a un grupo IPMP existente. Si es preciso, puede configurar las interfaces que acaba de agregar en su propio grupo IPMP. Estas interfaces y las direcciones de datos que se configuran en ellas estn inmediatamente disponibles para el grupo IPMP. Sin embargo, para que el sistema configure y utilice las interfaces automticamente tras un rearranque, debe crear un archivo /etc/hostname.interfaz para cada interfaz nueva. Para obtener ms informacin, consulte Cmo configurar una interfaz fsica tras la instalacin del sistema. Si ya existe un archivo /etc/hostname.interfaz cuando se conecta la interfaz, RCM configura automticamente la interfaz de acuerdo con el contenido de este archivo. De este modo, la interfaz recibe la misma configuracin que habra recibido tras el arranque del sistema.
793
Desconexin de NIC
Todas las solicitudes para desconectar los componentes del sistema que contengan NIC se comprueban antes para garantizar el mantenimiento de la conectividad. Por ejemplo, de modo predeterminado no puede desconectar una NIC que no se encuentre en un grupo IPMP. Tampoco puede desconectar una NIC que contenga las nicas interfaces en funcionamiento de un grupo IPMP. Sin embargo, si debe eliminar el componente del sistema, puede modificar este comportamiento con la opcin -f de cfgadm, tal como se explica en la pgina del comando man cfgadm(1M). Si las comprobaciones son correctas, las direcciones de datos asociadas con la NIC desconectada conmutarn por error a una NIC en funcionamiento del mismo grupo, como si la NIC que se desconecta hubiera fallado. Cuando se desconecta la NIC, todas las direcciones de prueba de las interfaces NIC se desconfiguran. A continuacin, la NIC se desconecta del sistema. Si falla alguno de estos pasos, o falla la DR de otro hardware del mismo componente del sistema, se restablece el estado original de la configuracin anterior. Recibir un mensaje de estado sobre este evento. De lo contrario, la solicitud de desconexin se completar correctamente. Ya podr eliminar el componente del sistema. Las conexiones existentes no se interrumpen.
Reconexin de NIC
RCM registra la informacin de configuracin asociada con cualquier NIC que se desconecte de un sistema en ejecucin. Como consecuencia, RCM trata la reconexin de una NIC que se ha desconectado previamente del mismo modo que lo hara con la conexin de una nueva NIC. Por tanto, RCM slo realiza conexiones. Sin embargo, las NIC reconectadas cuentan con un archivo /etc/hostname. interfaz. En ese caso, RCM configura automticamente la interfaz de acuerdo con el contenido del archivo /etc/hostname. interfaz. Asimismo, RCM informa al daemon in.mpathd de cada direccin de datos que se aloj originalmente en la interfaz reconectada. Cuando la interfaz reconectada funciona correctamente, todas sus direcciones de datos se recuperan tras los errores en la interfaz reconectada como si se hubiera reparado. Si la NIC que se reconecta no tiene ningn archivo /etc/hostname. interfaz, no hay ninguna informacin de configuracin disponible. RCM no tiene informacin sobre cmo configurar la interfaz. Una consecuencia de esta situacin es que las direcciones que se haban conmutado por error a otra interfaz no se recuperarn tras los errores.
794
Si no existe ninguna direccin alternativa, recibir mensajes de error similares a los siguientes:
moving addresses from failed IPv4 interfaces: hme0 (couldnt move; no alternative interface) moving addresses from failed IPv6 interfaces: hme0 (couldnt move; no alternative interface)
Nota En este caso de deteccin de fallos, slo se mueven a una interfaz alternativa las direcciones de datos que se especifican en el archivo /etc/hostname. interfaz de la interfaz que falta. Cualquier direccin que se obtenga por otros medios, como RARP o DHCP, no se obtendr ni se mover.
Si se reconecta con DR una interfaz con el mismo nombre que otra interfaz que no estaba presente durante el arranque del sistema, RCM sondea la interfaz automticamente. A continuacin, RCM configura la interfaz de acuerdo con el contenido del archivo /etc/hostname.interfaz de la interfaz. Finalmente, RCM recupera tras los errores las direcciones de datos, como si la interfaz se hubiera reparado. Por tanto, la configuracin de red final es idntica a la configuracin que se habra realizado si el sistema se hubiera arrancado con la interfaz presente.
795
796
C A P T U L O
31
3 1
En este capitulo se describen las tareas para administrar grupos de interfaces con mltiples rutas de redes IP (IPMP). Se abordan los siguientes temas principales:
Configuracin de IPMP (mapas de tareas) en la pgina 797 Configuracin de grupos IPMP en la pgina 799 Mantenimiento de grupos IPMP en la pgina 811 Sustitucin de una interfaz fsica fallida en sistemas que admiten reconfiguracin dinmica en la pgina 814 Recuperacin de una interfaz fsica que no estaba presente durante el arranque del sistema en la pgina 816 Modificacin de configuraciones IPMP en la pgina 819
Para obtener una descripcin general de los conceptos de IPMP, consulte el Captulo 30, Introduccin a IPMP (descripcin general).
Enumera toda la informacin auxiliar y las tareas necesarias para poder configurar un grupo IPMP.
797
Tarea
Descripcin
Configurar un grupo de interfaces IPMP con mltiples interfaces. Configurar un grupo IPMP en el que una de las interfaces es una interfaz de reserva. Configurar un grupo IPMP compuesto por una nica interfaz. Mostrar el grupo IPMP al que pertenece una interfaz fsica.
Configura una de las interfaces de Cmo configurar una interfaz de un grupo de interfaces IPMP como reserva para un grupo IPMP interfaz de reserva. en la pgina 807 Crea un nico grupo de interfaces IPMP. Cmo configurar un grupo IPMP de interfaz nica en la pgina 810
Explica cmo obtener el nombre de Cmo mostrar la pertenencia de un grupo IPMP de la interfaz a una interfaz a un grupo IPMP partir del resultado del comando en la pgina 811 ifconfig. Configura una nueva interfaz como Cmo agregar una interfaz a un miembro de un grupo IPMP grupo IPMP en la pgina 812 existente. Explica cmo eliminar una interfaz Cmo eliminar una interfaz de un de un grupo IPMP. grupo IPMP en la pgina 813 Mueve las interfaces entre los grupos IPMP. Personaliza el tiempo de deteccin de fallos y otros parmetros del daemon in.mpathd. Cmo mover una interfaz de un grupo IPMP a otro grupo en la pgina 814 Cmo configurar el archivo /etc/default/mpathd en la pgina 819
Agregar una interfaz a un grupo IPMP. Eliminar una interfaz de un grupo IPMP. Mover una interfaz de un grupo IPMP existente a otro grupo distinto. Cambiar tres parmetros predeterminados para el daemon in.mpathd.
Eliminar una interfaz que ha fallado. Reemplazar una interfaz que ha fallado.
Cmo eliminar una interfaz fsica que ha fallado (desconexin en DR) en la pgina 815 Como sustituir una interfaz fsica que ha fallado (conexin en DR) en la pgina 816
798
Tarea
Descripcin
Cmo recuperar una interfaz fsica que no est presente al arrancar el sistema en la pgina 817
Decida qu interfaces del sistema formarn parte del grupo IPMP. Un grupo IPMP se compone normalmente de, como mnimo, dos interfaces fsicas conectadas al mismo vinculo IP. No obstante, si lo desea, puede configurar un grupo IPMP de interfaz nica. Para ver una introduccin a los grupos IPMP, consulte Configuraciones de interfaces IPMP en la pgina 786. Por ejemplo, puede configurar el mismo conmutador Ethernet o la misma subred IP en el mismo grupo IPMP. Puede configurar la cantidad de interfaces que desee en el mismo grupo IPMP. No puede utilizar el parmetro group del comando ifconfig con interfaces lgicas. Por ejemplo, puede utilizar el parmetro group con hme0, pero no con hme0:1 .
Compruebe que cada interfaz del grupo tenga una direccin MAC exclusiva. Para ver instrucciones, consulte SPARC: Cmo asegurarse de que la direccin MAC de una interfaz sea nica en la pgina 160.
Elija un nombre para el grupo IPMP. Cualquier nombre que no sea nulo ser vlido. Tambin puede utilizar un nombre que identifique el vnculo IP al que estn vinculadas las interfaces.
Captulo 31 Administracin de IPMP (tareas) 799
Asegrese de que se inserte y configure el mismo conjunto de mdulos STREAMS en todas las interfaces del grupo IPMP. Todas las interfaces del mismo grupo deben tener configurados los mismos mdulos STREAMS y en el mismo orden. a. Compruebe el orden de los mdulos STREAMS en todas las interfaces del grupo IPMP eventual. Puede imprimir una lista de los mdulos STREAMS utilizando el comando ifconfig interfaz modlist. Por ejemplo, ste es el resultado de ifconfig para una interfaz hme0:
# ifconfig hme0 modlist 0 arp 1 ip 2 hme
Las interfaces existen normalmente como controladores de red justo debajo del mdulo IP, tal como se muestra en el resultado de ifconfig hme0 modlist. No requieren ninguna configuracin adicional. Sin embargo, determinadas tecnologas, como NCA o el Filtro IP, se insertan como mdulos STREAMS entre el mdulo IP y el controlador de red. Es posible que se originen problemas en el comportamiento de las interfaces del mismo grupo IPMP. Si un mdulo STREAMS tiene estado, puede producirse un comportamiento inesperado en la conmutacin por error, aunque se inserte el mismo mdulo en todas las interfaces de un grupo. Sin embargo, puede utilizar mdulos STREAMS sin estado, siempre y cuando los inserte en el mismo orden en todas las interfaces del grupo IPMP. b. Inserte los mdulos de una interfaz en el orden estndar para el grupo IPMP.
ifconfig interface modinsert module-name ifconfig hme0 modinsert ip 5
Utilice el mismo formato de direcciones IP en todas las interfaces del grupo IPMP. Si una interfaz est configurada para IPv4, todas las interfaces del grupo deben estar configuradas para IPv4. Supongamos que tiene un grupo IPMP compuesto por interfaces de varias NIC. Si aade direcciones IPv6 a las interfaces de una tarjeta NIC, todas las interfaces del grupo IPMP se deben configurar para que admitan IPv6. Compruebe que todas las interfaces del grupo IPMP estn conectadas al mismo vnculo IP. Compruebe que el grupo IPMP no contenga interfaces con diferentes tipos de medios de red. Las interfaces que estn agrupadas deben tener el mismo tipo de interfaz, de acuerdo con lo que se define en /usr/include/net/if_types.h. Por ejemplo, no puede combinar interfaces Ethernet y Token Ring en un grupo IPMP. Tampoco puede combinar una interfaz de bus Token con las interfaces de modalidad de transferencia asncrona (ATM) del mismo grupo IPMP.
Gua de administracin del sistema: servicios IP Octubre de 2009
6 7
800
En el caso de IPMP con interfaces ATM, configure dichas interfaces en modo de emulacin de LAN. IPMP no se admite para las interfaces que utilicen IP clsica sobre ATM.
Para ver una introduccin a los grupos IPMP de interfaces mltiples, consulte Grupo IPMP en la pgina 781. Para conocer las tareas de planificacin, consulte Planificacin de un grupo IPMP en la pgina 799. Para configurar un grupo IPMP con una sola interfaz fsica, consulte Configuracin de grupos IPMP con una nica interfaz fsica en la pgina 810.
Es preciso que ya haya configurado las direcciones IPv4, y, si es necesario, las direcciones IPv6 de todas las interfaces del grupo IPMP eventual.
Nota Para configurar redes VLAN en un grupo IPMP, debe seguir el mismo procedimiento.
En el sistema cuyas interfaces se deben configurar, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Por ejemplo, para colocar hme0 y hme1 en el grupo testgroup1, debe escribir los siguientes comandos:
# ifconfig hme0 group testgroup1 # ifconfig hme1 group testgroup1
Evite utilizar espacios en los nombres de grupo. La pantalla de estado de ifconfig no muestra espacios. Por tanto, no cree dos nombres de grupo similares que slo se diferencien en un espacio. Si uno de los nombres de grupo contiene un espacio, aparecern iguales en la pantalla de estado.
Captulo 31 Administracin de IPMP (tareas) 801
En un entorno de doble pila, si se coloca una instancia IPv4 de una interfaz en un grupo especfico, automticamente se coloca la instancia IPv6 en el mismo grupo.
3
(Opcional) Configure una direccin de prueba IPv4 en una o ms interfaces fsicas. Slo debe configurar una direccin de prueba si desea utilizar la deteccin de fallos basada en sondeos en una interfaz especfica. Las direcciones de prueba se configuran como interfaces lgicas de la interfaz fsica que especifica para el comando ifconfig. Si una interfaz del grupo va a convertirse en la interfaz de reserva, no configure ninguna direccin de prueba para la interfaz en este momento. Configure una direccin de prueba para la interfaz de reserva como parte de la tarea Cmo configurar una interfaz de reserva para un grupo IPMP en la pgina 807. Utilice la siguiente sintaxis del comando ifconfig para configurar una direccin de prueba:
# ifconfig interface addif ip-address parameters -failover deprecated up
Por ejemplo, para la interfaz de red principal hme0 debe crear la siguiente direccin de prueba:
# ifconfig hme0 addif 192.168.85.21 netmask + broadcast + -failover deprecated up
Este comando configura los siguientes parmetros para la interfaz de red principal hme0:
La direccin se establece en 192.168.85.21. La direccin de emisin y la mscara de red se configuran con el valor predeterminado. Se establecen las opciones -failover y deprecated.
Nota Debe marcar una direccin de prueba IPv4 como deprecated para evitar que las aplicaciones utilicen la direccin de prueba.
Compruebe la configuracin de IPv4 para una interfaz especfica. Puede ver el estado de una interfaz en cualquier momento escribiendo ifconfig interfaz. Para obtener mas informacin sobre cmo ver el estado de una interfaz, consulte Cmo obtener informacin sobre una interfaz especfica. Puede obtener informacin sobre la configuracin de la direccin de prueba para una interfaz fsica especificando la interfaz lgica que est asignada a la direccin de prueba.
# ifconfig hme0:1 hme0:1: flags=9000843<UP,BROADCAST,RUNNING,MULTICAST,DEPRECATED,IPv4,NOFAILOVER> mtu 1500 index 2 inet 192.168.85.21 netmask ffffff00 broadcast 192.168.85.255
Las interfaces fsicas con direcciones IPv6 se colocan en el mismo grupo IPMP que las direcciones IPv4 de las interfaces. Esto sucede al configurar la interfaz fsica con direcciones
802 Gua de administracin del sistema: servicios IP Octubre de 2009
IPv4 en un grupo IPMP. Si coloca primero las interfaces fsicas con direcciones IPv6 en un grupo IPMP, las interfaces fsicas con direcciones IPv4 tambin se colocan implcitamente en el mismo grupo IPMP. Por ejemplo, para configurar hme0 con una direccin de prueba IPv6, debe escribir lo siguiente:
# ifconfig hme0 inet6 -failover
No es necesario marcar una direccin de prueba IPv6 como descartada para impedir que las aplicaciones utilicen la direccin de prueba.
6
En esta instancia, la direccin IPv4 de prueba se configura slo despus de rearrancar. Si desea invocar la configuracin en la sesin actual, lleve a cabo los pasos 1, 2, y, opcionalmente, 3.
Esta direccin IPv6 de prueba se configura slo despus del rearranque. Si desea invocar la configuracin en la sesin actual, lleve a cabo los pasos 1, 2, y, opcionalmente, 5.
8
(Opcional) Agregue ms interfaces al grupo IPMP repitiendo los pasos del 1 al 6. Puede agregar nuevas interfaces a un grupo existente en un sistema en funcionamiento. No obstante, los cambios se perdern al rearrancar.
Ejemplo 311
Configurar la direccin de emisin y la mascara de red con el valor predeterminado. Configurar la interfaz con una direccin de prueba 192.168.85.21.
Debe marcar una direccin de prueba IPv4 como deprecated para evitar que las aplicaciones utilicen la direccin de prueba. Consulte Cmo configurar un grupo IPMP con mltiples interfaces en la pgina 801. Para activar el atributo de conmutacin por error de la direccin, debe utilizar la opcin failover sin el guin. Todas las direcciones IP de prueba de un grupo IPMP deben utilizar el mismo prefijo de red. Las direcciones IP de prueba deben pertenecer a una nica subred IP.
Ejemplo 312
La interfaz fsica hme0 con la direccin de datos 192.168.85.19. Una interfaz lgica con la direccin de prueba 192.168.85.21.
Nota En este ejemplo, la interfaz fsica y la direccin de datos estn emparejadas. La interfaz lgica y la direccin de prueba. No obstante, no existen relaciones inherentes entre un "tipo" de interfaz y el tipo de direccin.
Las opciones deprecated y -failover configuradas. La direccin de emisin y la mscara de red se configuran con el valor predeterminado.
De modo similar, para colocar la segunda interfaz hme1 bajo el mismo grupo testgroup1 y configurar una direccin de prueba, debe agregar la lnea siguiente:
192.168.85.20 netmask + broadcast + group testgroup1 up \ addif 192.168.85.22 deprecated -failover netmask + broadcast + up
Ejemplo 313
804
De modo similar, para colocar la segunda interfaz hme1 en el grupo testgroup1 y configurar una direccin de prueba, debe agregar la lnea siguiente al archivo /etc/hostname6.hme1:
-failover group testgroup1 up
Errores ms frecuentes
Durante la configuracin del grupo IPMP, in.mpathd genera una serie de mensajes para la consola del sistema o el archivo syslog. Estos mensajes son informativos e indican que la configuracin de IPMP funciona correctamente.
Este mensaje indica que la interfaz hme0 se ha agregado al grupo IPMP testgroup1. Sin embargo, hme0 no tiene configurada una direccin de prueba. Para permitir la deteccin de fallos basada en sondeos, debe asignar una direccin de prueba a la interfaz.
May 24 14:09:57 host1 in.mpathd[101180]: No test address configured on interface hme0; disabling probe-based failure detection on it. testgroup1
Este mensaje aparece para todas las interfaces que slo tengan direcciones IPv4 agregadas a un grupo IPMP.
May 24 14:10:42 host4 in.mpathd[101180]: NIC qfe0 of group testgroup1 is not plumbed for IPv6 and may affect failover capability
Este mensaje aparece al configurar una direccin de prueba para una interfaz.
Created new logical interface hme0:1 May 24 14:16:53 host1 in.mpathd[101180]: Test address now configured on interface hme0; enabling probe-based failure detection on it
Vase tambin
Si desea que el grupo IPMP tenga una configuracin de reserva activa, vaya a Cmo configurar una interfaz de reserva para un grupo IPMP en la pgina 807.
utilizar cualquiera de estos dos mtodos para especificar destinos directamente: configurar manualmente las rutas host o crear una secuencia shell que se pueda convertir en una secuencia de inicio. Considere los siguientes criterios cuando evale qu hosts de su red podran constituir destinos correctos.
Asegrese de que los posibles destinos estn disponibles y ejecutndose. Cree una lista de sus direcciones IP. Asegrese de que las interfaces de destino se encuentren en la misma red que el grupo IPMP que est configurando. La mscara de red y la direccin de emisin de los sistemas de destino deben ser las mismas que las direcciones del grupo IPMP. El host de destino debe poder responder a las solicitudes de ICMP desde la interfaz que utiliza la deteccin de fallos basada en sondeos.
Inicie sesin con su cuenta de usuario en el sistema en el que va a configurar la deteccin de fallos basada en sondeos. Agregue una ruta a un host particular para utilizar como destino en la deteccin de fallos basada en sondeos.
$ route add -host destination-IP gateway-IP -static
Sustituya los valores de IP_destino e IP_portal por la direccin IPv4 del host que se utilizar como destino. Por ejemplo, escriba lo siguiente para especificar el sistema de destino 192.168.85.137, que se encuentra en la misma subred que las interfaces del grupo IPMP testgroup1.
$ route add -host 192.168.85.137 192.168.85.137 -static 3
Agregue rutas a los host adicionales de la red para utilizar como sistemas de destino.
En el sistema en el que ha configurado un grupo IPMP, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Gua de administracin del sistema: servicios IP Octubre de 2009
806
Cree una secuencia de shell que configure rutas estticas para los destinos propuestos. Por ejemplo, puede crear una secuencia de shell denominada ipmp.targets con el siguiente contenido:
TARGETS="192.168.85.117 192.168.85.127 192.168.85.137" case "$1" in start) /usr/bin/echo "Adding static routes for use as IPMP targets" for target in $TARGETS; do /usr/sbin/route add -host $target $target done ;; stop) /usr/bin/echo "Removing static routes for use as IPMP targets" for target in $TARGETS; do /usr/sbin/route delete -host $target $target done ;; esac
El prefijo S70 del nombre de archivo S70ipmp.targets ordena la nueva secuencia correctamente con respecto a las dems secuencias de inicio.
Debe tener todas las interfaces configuradas como miembros del grupo IPMP.
807
No debe configurar ninguna direccin de prueba en la interfaz que se convertir en la interfaz de reserva.
Para obtener informacin sobre cmo configurar un grupo IPMP y asignar direcciones de prueba, consulte Cmo configurar un grupo IPMP con mltiples interfaces en la pgina 801.
1
En el sistema cuyas interfaces de reserva se deben configurar, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Una interfaz de reserva slo puede tener una direccin IP (la direccin de prueba). Debe configurar la opcin -failover antes de configurar la opcin standby up. Para <other-parameters>, utilice los parmetros que requiera su configuracin, segn lo descrito en la pgina del comando man ifconfig(1M).
Por ejemplo, para crear una direccin de prueba IPv4, debe escribir el siguiente comando:
Define hme1 como interfaz tpica para configurar como interfaz de reserva. Asigna esta direccin de prueba a la interfaz de reserva. Indica que la direccin de prueba no se utiliza para los paquetes salientes. Indica que la direccin de prueba no conmuta por error si falla la interfaz. Marca la interfaz como interfaz de reserva.
Por ejemplo, para crear una direccin de prueba IPv6, debe escribir el siguiente comando:
# ifconfig hme1 plumb -failover standby up
808
El indicador INACTIVE significa que esta interfaz no se utiliza para ningn paquete saliente. Cuando se produce una conmutacin por error en esta interfaz de reserva, se borra el indicador INACTIVE.
Nota Puede ver el estado de una interfaz en cualquier momento escribiendo el comando ifconfig interfaz. Para ms informacin sobre cmo ver el estado de la interfaz, consulte Cmo obtener informacin sobre una interfaz especfica en la pgina 217 . 4
(Opcional) Mantenga la interfaz de reserva IPv4 despus de rearrancar. Asigne la interfaz de reserva al mismo grupo IPMP, y configure una direccin de prueba para la interfaz de reserva. Por ejemplo, para configurar hme1 como interfaz de reserva, debe agregar la siguiente lnea al archivo /etc/hostname.hme1:
192.168.85.22 netmask + broadcast + deprecated group test -failover standby up
(Opcional) Conserve la interfaz de reserva IPv6 tras los rearranques. Asigne la interfaz de reserva al mismo grupo IPMP, y configure una direccin de prueba para la interfaz de reserva. Por ejemplo, para configurar hme1 como interfaz de reserva, agregue la lnea siguiente al archivo /etc/hostname6.hme1:
-failover group test standby up
Ejemplo 314
La interfaz fsica hme2 como interfaz de reserva. La direccin de prueba 192.168.85.22. Las opciones deprecated y -failover configuradas. La direccin de emisin y la mscara de red se configuran con el valor predeterminado.
La interfaz se marca como interfaz de reserva slo despus de que la direccin se marque como direccin NOFAILOVER. Debe eliminar el estado de reserva de una interfaz escribiendo lo siguiente:
809
En el sistema con el eventual grupo IPMP de interfaz nica, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Para IPv4, cree el grupo IPMP de interfaz nica. Utilice la siguiente sintaxis para asignar la interfaz nica a un grupo IPMP.
# ifconfig interface group group-name
Tras realizar este paso, IPMP permite la deteccin de fallos basada en vnculos en la interfaz. Adems, puede utilizar el subcomando -failover del comando ifconfig para habilitar la deteccin de fallos basada en sonda. En el ejemplo siguiente se muestra la deteccin de fallos basada en sonda de hme0 mediante la direccin IP asignada actualmente a hme0:
# ifconfig hme0 -failover
A diferencia de los grupos de interfaz mltiple, la misma direccin IP puede ser de datos y de prueba. Para que las aplicaciones puedan utilizar la direccin de prueba como direccin de datos, las direcciones de prueba nunca se deben marcar como deprecated en los grupos IPMP de interfaz nica.
810
Para IPv6, cree el grupo IPMP de interfaz nica. Utilice la siguiente sintaxis para asignar la interfaz nica a un grupo IPMP:
# ifconfig interface inet6 group group-name
Por ejemplo, para agregar la interfaz nica hme0 en el grupo IPMP v6test, escriba lo siguiente:
# ifconfig hme0 inet6 group v6test
Tras realizar este paso, IPMP permite la deteccin de fallos basada en vnculos en la interfaz. Adems, puede utilizar el subcomando -failover del comando ifconfig para habilitar la deteccin de fallos basada en sonda. En el ejemplo siguiente se muestra la deteccin de fallos basada en sonda de hme0 mediante la direccin IP asignada actualmente a hme0:
# ifconfig hme0 inet6 -failover
A diferencia de los grupos de interfaz mltiple, la misma direccin IP puede ser de datos y de prueba. Para que las aplicaciones puedan utilizar la direccin de prueba como direccin de datos, las direcciones de prueba nunca se deben marcar como deprecated en los grupos IPMP de interfaz nica. En una configuracin de interfaz fsica nica, no puede comprobar si ha fallado el sistema de destino que se est sondeando o la interfaz. El sistema de destino se puede sondear mediante una nica interfaz fsica. Si slo hay un encaminador predeterminado en la subred, desactive IPMP si hay una nica interfaz fsica en el grupo. Si existe un encaminador distinto para IPv4 e IPv6, o hay varios encaminadores predeterminados, debe sondearse ms de un sistema de destino. De este modo, podr activar IPMP de un modo seguro.
811
Ejemplo 315
Para mostrar el nombre de grupo slo para la informacin de IPv6, debe escribir:
# ifconfig hme0 inet6 hme0: flags=a000841<UP,RUNNING,MULTICAST,IPv6> mtu 1500 index 2 inet6 fe80::a00:20ff:feb9:19fa/10 groupname testgroup1
812
En el sistema con la configuracin de grupo IPMP, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Elimine la interfaz del grupo IPMP.
# ifconfig interface group ""
813
Sustitucin de una interfaz fsica fallida en sistemas que admiten reconfiguracin dinmica
En el sistema con la configuracin de grupo IPMP, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Mueva la interfaz a un nuevo grupo IPMP.
# ifconfig interface group group-name
Al colocar la interfaz en un nuevo grupo se elimina automticamente la interfaz de cualquier grupo existente.
Ejemplo 318
Con este comando se elimina la interfaz hme0 del grupo IPMP test y se coloca en el grupo cs-link.
Sustitucin de una interfaz fsica fallida en sistemas que admiten reconfiguracin dinmica
Esta seccin contiene los procedimientos relativos a la administracin de sistemas que admiten reconfiguracin dinmica (DR).
814
Sustitucin de una interfaz fsica fallida en sistemas que admiten reconfiguracin dinmica
Nota Las tareas slo se aplican a las capas IP configuradas con el comando ifconfig. Las capas que hay delante o detrs de la capa IP, como ATM u otros servicios, requieren pasos manuales especficos si las capas no estn automatizadas. Los pasos de los procedimientos siguientes permiten desconfigurar interfaces durante la desconexin previa y configurarlas tras la conexin posterior.
Las interfaces fsicas hme0 y hme1 son las interfaces de ejemplo. Ambas interfaces se encuentran en el mismo grupo IPMP. hme0 ha fallado. La interfaz lgica hme0:1 tiene la direccin de prueba. Se est sustituyendo la interfaz fallida por el mismo nombre de interfaz fsica, por ejemplo hme0 por hme0.
Nota Puede omitir el paso 2 si la direccin de prueba se conecta utilizando el archivo /etc/hostname.hme0. 1
En el sistema con la configuracin de grupo IPMP, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Visualice la configuracin de la direccin de prueba.
# ifconfig hme0:1 hme0:1: flags=9040842<BROADCAST,RUNNING,MULTICAST,DEPRECATED,IPv4,NOFAILOVER> mtu 1500 index 3 inet 192.168.233.250 netmask ffffff00 broadcast 192.168.233.255
Esta informacin es necesaria para volver a sondear la direccin de prueba cuando se reemplaza la interfaz fsica.
815
Recuperacin de una interfaz fsica que no estaba presente durante el arranque del sistema
Elimine la interfaz fsica. Consulte las siguientes fuentes para obtener una descripcin completa sobre cmo eliminar la interfaz fsica:
Pgina del comando man cfgadm(1M) Sun Enterprise 6x00, 5x00, 4x00, and 3x00 Systems Dynamic Reconfiguration User's Guide Sun Enterprise 10000 DR Configuration Guide
Pgina del comando man cfgadm(1M) Sun Enterprise 6x00, 5x00, 4x00, and 3x00 Systems Dynamic Reconfiguration User's Guide Sun Enterprise 10000 DR Configuration Guide o Sun Fire 880 Dynamic Reconfiguration User's Guide
Recuperacin de una interfaz fsica que no estaba presente durante el arranque del sistema
Nota El siguiente procedimiento slo se aplica a las capas IP configuradas con el comando
ifconfig. Las capas que hay delante o detrs de la capa IP, como ATM u otros servicios, requieren pasos manuales especficos si las capas no estn automatizadas. Los pasos especficos del siguiente procedimiento permiten desconfigurar interfaces durante la desconexin previa y configurarlas tras la conexin posterior.
816
Recuperacin de una interfaz fsica que no estaba presente durante el arranque del sistema
La recuperacin tras la reconfiguracin dinmica es automtica para una interfaz que forma parte de la placa de E/S de una plataforma Sun FireTM. Si la tarjeta NIC es una Sun Crypto Accelerator I - cPCI, la recuperacin tambin es automtica. Como resultado, no es necesario realizar los pasos siguientes para una interfaz que se recupera como parte de una operacin de DR. Para obtener ms informacin sobre los sistemas Sun Fire x800 y Sun Fire 15000, consulte la pgina del comando man cfgadm_sbd(1M) La interfaz fsica vuelve a la configuracin especificada en el archivo /etc/hostname. interfaz. Consulte Configuracin de grupos IPMP en la pgina 799 para obtener ms detalles sobre cmo configurar las interfaces para que conserven la configuracin tras un rearranque.
Nota En los sistemas Sun Fire (Exx00) antiguos, la desconexin DR sigue estando sujeta a los procedimientos manuales. Sin embargo, las conexiones en DR estn automatizadas.
Cmo recuperar una interfaz fsica que no est presente al arrancar el sistema
Debe completar el procedimiento siguiente para recuperar una interfaz fsica que no estaba presente al arrancar el sistema. El ejemplo de este procedimiento est configurado del modo siguiente:
Las interfaces fsicas son hme0 y hme1. Ambas interfaces se encuentran en el mismo grupo IPMP. hme0 no estaba instalada durante el arranque del sistema.
Nota La recuperacin tras error de direcciones IP durante la recuperacin de una interfaz fsica
fallida puede tardar hasta tres minutos. Este tiempo puede variar en funcin del trfico de la red. El tiempo tambin depende de la estabilidad de la interfaz entrante para recuperar las interfaces fallidas mediante el daemon in.mpathd.
1
En el sistema con la configuracin de grupo IPMP, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Recupere la informacin de red fallida del mensaje de error del registro de la consola. Consulte la pgina del comando man syslog(3C) El mensaje de error podra ser similar al siguiente:
moving addresses from failed IPv4 interfaces: hme1 (moved to hme0)
817
Recuperacin de una interfaz fsica que no estaba presente durante el arranque del sistema
Este mensaje indica que las direcciones IPv4 de la interfaz fallida hme1 han fallado para la interfaz hme0. Tambin podra recibir un mensaje como el siguiente:
moving addresses from failed IPv4 interfaces: hme1 (couldnt move, no alternative interface)
Este mensaje indica que no se ha podido encontrar ninguna interfaz activa en el mismo grupo que la interfaz fallida hme1. Por tanto, las direcciones IPv4 de hme1 no se han podido conmutar por error.
3
Conecte la interfaz fsica al sistema. Consulte las siguientes instrucciones para reemplazar la interfaz fsica:
Pgina del comando man cfgadm(1M) Sun Enterprise 10000 DR Configuration Guide Sun Enterprise 6x00, 5x00, 4x00, and 3x00 Systems Dynamic Reconfiguration User's Guide
Consulte el contenido del paso 2. Si no se pueden mover las direcciones, vaya al paso 6. Si se han podido mover las direcciones, contine con el paso 5. Desconecte las interfaces lgicas que se configuraron como parte del proceso de conmutacin por error. a. Revise el contenido del archivo /etc/hostname. movido_de_interfaz para determinar qu interfaces lgicas se han configurado como parte del proceso de conmutacin por error. b. Desconecte cada direccin IP de conmutacin por error.
# ifconfig moved-to-interface removeif moved-ip-address
Nota Las direcciones de conmutacin por error se marcan con el parmetro failover, o no
se marcan con el parmetro -failover. No es necesario desconectar las direcciones IP marcadas con -failover. Por ejemplo, supongamos que el contenido del archivo /etc/hostname.hme0 contiene las lneas siguientes:
inet 10.0.0.4 -failover up group one addif 10.0.0.5 failover up addif 10.0.0.6 failover up
818
Para desconectar cada direccin IP de conmutacin tras error, escriba los comandos siguientes:
# ifconfig hme0 removeif 10.0.0.5 # ifconfig hme0 removeif 10.0.0.6 6
Reconfigure la informacin de IPv4 para la interfaz fsica reemplazada escribiendo el comando siguiente para cada interfaz eliminada:
# ifconfig removed-from-NIC <parameters>
donde n es el tiempo en segundos para que los sondeos ICMP detecten si se ha producido un fallo de la interfaz. El valor predeterminado es de 10 segundos.
Captulo 31 Administracin de IPMP (tareas) 819
yes: El valor yes es el comportamiento de recuperacin tras fallo predeterminado de IPMP. Cuando se detecta la reparacin de una interfaz fallida, el acceso de red recupera la interfaz reparada, tal como se describe en Funciones de deteccin de fallos IPMP y recuperacin en la pgina 788. no: El valor no indica que el trfico de datos no se devuelve a una interfaz reparada. Cuando se detecta la reparacin de una interfaz fallida, se configura el indicador INACTIVE para dicha interfaz. Este indicador significa que la interfaz no se va a utilizar para el trfico de datos. La interfaz se puede seguir utilizando para el trfico de sondeos. Por ejemplo, supongamos que un grupo IPMP se compone de dos interfaces, ce0 y ce1. A continuacin, supongamos que se configura el valor FAILBACK=no en /etc/default/mpathd. Si falla ce0, su trfico fallar para ce1, de acuerdo con el comportamiento de IPMP. No obstante, cuando IPMP detecta que se ha reparado ce0 , el trfico no se recupera de ce1, debido al parmetro FAILBACK=no de /etc/default/mpathd. La interfaz ce0 conserva su estado INACTIVE y no se utiliza para trfico a menos que falle la interfaz ce1. Si falla la interfaz ce1, las direcciones de ce1 se migran de nuevo a ce0, cuyo indicador INACTIVE se borra. Esta migracin tiene lugar siempre y cuando ce0 sea la nica interfaz INACTIVE del grupo. Si hay otras interfaces INACTIVE en el grupo, las direcciones podran migrarse a una interfaz INACTIVE que no sea ce0.
yes: El valor yes es el comportamiento predeterminado de IPMP. Este parmetro hace que IPMP omita las interfaces de red que no estn configuradas en un grupo IPMP. no: El valor no define la deteccin de fallos y la reparacin para todas las interfaces de red, independientemente de si estn configuradas en un grupo IPMP. Sin embargo, cuando se detecta un fallo o reparacin en una interfaz que no est configurada en un grupo IPMP, no tiene lugar ninguna recuperacin tras error o conmutacin por error. Por tanto, el valor no slo resulta til para comunicar errores y no mejora directamente la disponibilidad de la red.
820
P A R T E
V I I
821
822
C A P T U L O
32
3 2
IP Quality of Service (IPQoS) permite priorizar, controlar y realizar un seguimiento de las estadsticas de control. Utilizando IPQoS, puede ofrece un nivel de servicio estable a los usuarios de la red. Tambin puede administrar el trfico para evitar que se congestione la red. A continuacin puede ve runa lista de temas de este captulo:
Conceptos bsicos de IPQoS en la pgina 823 Proporcionar calidad de servicio con IPQoS en la pgina 826 Mejorar la eficacia de la red con IPQoS en la pgina 827 Modelo de servicios diferenciados en la pgina 829 Reenvo del trfico en una red con IPQoS en la pgina 834
Delegar los niveles de servicio a diferentes gurpos, como clientes o departamentos de una empresa
823
Priorizar los servicios de red que se ofrecen a grupos o aplicaciones especficos Descubrir y eliminar reas de cuello de botella de la red y otros tipos de congestin Supervisar el rendimiento de la red y proporcionar estadsticas de rendimiento Regular el ancho de banda hasta y desde recursos de red
Funciones de IPQoS
IPQoS proporciona las siguientes funciones:
ipqosconf Herramienta de lnea de comandos para configurar la directiva QoS Clasificador que selecciona acciones basadas en filtros que configuran la directiva QoS de la organizacin Mdulo de medicin para medir el trfico de red que cumple el modelo Diffserv Diferenciacin del servicio basada en la posibilidad de marcar el encabezado IP de un paquete con informacin de redireccin Mdulo de control de flujo que realiza un seguimiento de las estadsticas de flujo de trfico Seguimiento de las estadsticas de clases de trfico mediante el uso del comando UNIX kstat Compatibilidad con la arquitectura SPARC y x86 Compatibilidad con direcciones IPv4 e IPv6 Interoperatividad con la arquitectura de seguridad IPsec Compatibilidad con marcados de prioridad de usuario 802.1D para redes de rea local virtuales (VLAN)
Ferguson, Paul y Geoff Huston. Quality of Service. John Wiley & Sons, Inc., 1998. Kilkki, Kalevi. Differentiated Services for the Internet. Macmillan Technical Publishing, 1999.
824
RFC 2474, Definicin del campo de servicios diferenciados (DS) en los encabezados IPv4 e IPv6 (http://www.ietf.org/rfc/rfc2474.txt?number=2474): describe una mejora del campo de tipo de servicio (ToS) o campos DS de los encabezados de paquetes IPv4 e IPv6 para admitir servicios diferenciados. RFC 2475, An Architecture for Differentiated Services (http://www.ietf.org/rfc/ rfc2475.txt?number=2475): proporciona una descripcin detallada de la organizacin y de los mdulos de la arquitectura Diffserv. RFC 2597, Assured Forwarding PHB Group (http://www.ietf.org/rfc/ rfc2597.txt?number=2597): describe cmo funciona el comportamiento por salto del reenvo asegurado (AF). RFC 2598, An Expedited Forwarding PHB (http://www.ietf.org/rfc/ rfc2598.txt?number=2598): describe cmo funciona el comportamiento por salto de reenvo acelerado (EF). Borrador de Internet, Un modelo de administracin informal para encaminadores Diffserv Presenta un modelo para implementar la arquitectura Diffserv en encaminadores.
ipqosconf(1M) - Describe el comando para definir el archivo de configuracin IPQoS ipqos(7ipp) Describe la implementacin IPQoS del modelo de arquitectura Diffserv ipgpc(7ipp) Describe la implementacin IPQoS de un clasificador Diffserv tokenmt(7ipp) Describe el medidor IPQoS tokenmt tswtclmt(7ipp) Describe el medidor IPQoS tswtclmt dscpmk(7ipp) Describe el mdulo marcador DSCP dlcosmk(7ipp) Describe el mdulo marcador de prioridad de usuario IPQoS 802.1D flowacct(7ipp) Describe el mdulo de control de flujo IPQoS
825
acctadm(1M) Describe el comando de configuracin de funciones de control extendidas de Solaris. El comando acctadm incluye extensiones IPQoS.
Grupos independientes de trfico de red denominados clases de servicio. Sistemas de medicin para regular la cantidad de trfico de red de cada clase. Estas medidas controlan el proceso de control del trfico denominado medicin.
826
Una accin que un sistema IPQoS y un encaminador Diffserv deben aplicar al flujo de un paquete. Este tipo de accin se denomina comportamiento por salto (PHB). Cualquier seguimiento de estadsticas que necesite su organizacin para una clase de servicio. Un ejemplo es el trfico generado por un cliente o aplicacin especficos.
Cuando los paquetes se transfieren a la red, el sistema con IPQoS evala los encabezados de los paquetes. La accin que realiza el sistema IPQoS la determina la directiva QoS. Las tareas para disear la directiva QoS se describen en la seccin Planificacin de la directiva de calidad de servicio en la pgina 843.
Cules son las reas de problemas de trfico de su red local? Qu debe hacer para conseguir la utilizacin ptima del ancho de banda disponible?
827
Cules son las aplicaciones de mayor importancia de su organizacin que deben tener la prioridad mxima? Qu aplicaciones pueden congestionarse? Cules son las aplicaciones de menor importancia, que pueden tener la prioridad ms baja?
Aplicaciones muy utilizadas, como correo electrnico y FTP saliente a un servidor especfico, cada una podra ser una clase. Debido a que los empleados utilizan estas aplicaciones constantemente, su directiva QoS puede garantizar una pequea cantidad de ancho de banda y una prioridad ms baja al correo electrnico y FTP. Una base de datos de entrada que debe estar activa las 24 horas del da. Segn la importancia de la aplicacin de base de datos para la empresa, puede asignarle una gran cantidad de ancho de banda y una prioridad alta. Un departamento que realiza un trabajo de vital importancia o que debe tratarse con cuidado, como el departamento de salarios y nminas. La importancia del departamento para la organizacin determina la prioridad y la cantidad de ancho de banda que se le asignar. Llamadas entrantes al sitio web externo de una compaa. A esta clase se le puede asignar una pequea cantidad de ancho de banda con prioridad baja.
828
En esta seccin se explican los mdulos Diffserv tal y como se utilizan en IPQoS. Es necesario conocer estos mdulos, sus nombres y su utilizacin para configurar la directiva QoS. Si necesita informacin detallada sobre cada mdulo, consulte la seccin Arquitectura IPQoS y el modelo Diffserv en la pgina 903.
Direccin de origen Direccin de destino Puerto de origen Puerto de destino Nmero de protocolo
En IPQoS, estos campos se conocen como 5-tuple. El mdulo clasificador de IPQoS se llama ipgpc. El clasificador ipgpc organiza los flujos de trfico en clases basada en caratersticas definidas en el archivo de configuracin IPQoS. Si necesita informacin detallada sobre ipgpc, consulte la seccin Mdulo Classifier en la pgina 903.
Clases IPQoS
Una clase es un grupo de flujos de red que compaten caractersticas similares. Por ejemplo, un ISP puede definir clases que representen los diferentes niveles de servicio ofrecidos a los clientes. Un ASP puede definir acuerdos SLA que asignen diferents niveles de servicio a distintas aplicaciones. En la potica QoS de un ASP, una clase puede incluir trfico FTP saliente destinado a una direccin IP de destino especfica. El trfico saliente del sitio web externo de una empresa tambin puede definirse como una clase.
Captulo 32 Introduccin a IPQoS (Descripcin general) 829
Agrupar el trfico en clases es una parte importante de la planificacin de la directiva QoS. Al crear clases utilizando la herramienta ipqosconf, se est configurando el clasificador ipgpc. Si necesita informacin sobre cmo definir clases, consulte la seccin Cmo definir las clases de la directiva QoS en la pgina 846.
Filtros IPQoS
Los filtros son conjuntos de reglas que contienen parmetros denominados selectores. Cada filtro debe hacer referencia a una clase. IPQoS compara los paquetes con los selectores de cada filtro para determinar si el paquete pertenece a la clase del filtro. Se puede filtrar un paquete utilizando diferentes selectores, por ejemplo, 5-tuple de IPQoS y otros parmetros comunes:
Direccin de origen y direccin de destino Puerto de origen y puerto de destino Nmeros de protocolo ID de usuario ID de proyecto Punto de cdigo de servicios diferenciados (DSCP) ndice de interfaz
Por ejemplo, un filtro sencillo puede incluir el puerto de destino con un valor de 80. A continuacin, el clasificador ipgpc selecciona todos los paquetes que estn vinculados con el puerto de destino 80 (HTTP) y gestiona los paquetes segn lo estipulado en la directiva QoS. Si necesita informacin sobre cmo crear filtros, consulte la seccin Cmo definir filtros en la directiva QoS en la pgina 849.
tokenmt Utiliza un esquema de medicin con conjunto de dos tokens tswtclmt Utiliza un esquema de medicin de ventana de lapso de tiempo
Ambos mdulos de medicin reconocen tres resultados: rojo, amarillo y verde. Las acciones que deben tomarse para cada resultado se definen en los parmetros red_action_name, yellow_action_name y green_action_name .
830 Gua de administracin del sistema: servicios IP Octubre de 2009
Tambin puede configurar tokenmt para que tenga presente el color. Una instancia de medicin que tenga presente el color utiliza el tamao del paquete, DSCP, tasa de trfico y parmetros configurados para determinar el resultado. El medidor utiliza el DSCP para asignar el resultado del paquete al color verde, amarillo o rojo. Si necesita informacin sobre cmo definir parmetros para los medidores IPQoS, consulte la seccin Cmo planificar el control de flujo en la pgina 850.
dscpmk: marca el campo DS del encabezado de un paquete IP con un valor numrico denominado punto de cdigo de servicios diferenciados o DSCP. Un encaminador que admita Diffserv puede utilizar el punto de cdigo DS para aplicar el comportamiento de reenvo correspondiente al paquete. dlcosmk Marca la etiqueta de red de rea local virtual (VLAN) del encabezado de un frame Ethernet con un valor numrico denominado prioridad de usuario. La prioridad de usuario indica la clase de servicio (CoS), que define el comportamiento de reenvo que debe aplicarse al datagrama. dlcosmk es una adicin de IPQoS que no forma parte del modelo Diffserv designado por IETF.
Si necesita informacin sobre cmo utilizar un sistema de marcadores para la directiva QoS, consulte Cmo planificar el comportamiento de reenvo en la pgina 853.
Tambin puede recopilar estadsticas de otros atributos, como se describe en la seccin Registro de informacin sobre flujos de trfico en la pgina 897, y en las pginas de comando man flowacct(7ipp) y acctadm(1M). Si necesita ms informacin sobre cmo planificar una estrategia de control de flujo, consulte la seccin Cmo planificar la recopilacin de datos de flujo en la pgina 855.
832
Trfico entrante
Clasificador (ipgpc)
Medido?
No
Marcador (dscpmk)
Trfico saliente
Esta figura ilustra una secuencia de flujo de trfico comn en un sistema con IPQoS: 1. El clasificador selecciona todos los paquetes del flujo que cumplen los criterios de filtrado de la directiva QoS del sistema. 2. A continuacin, se evalan los paquetes para determinar la accin que se debe ejecutar. 3. El clasificador enva al marcador cualquier trafico que no requiera control de flujo. 4. El trfico que requiere control de flujo se enva al medidor. 5. El medidor fuerza la tasa configurada. A continuacin, el medidor asigna un valor de cumplimiento de trfico a los paquetes de flujo controlado. 6. Se evalan los paquetes de flujo controlado para determinar si necesitan control. 7. El medidor enva al marcador el trfico que no requiere control de flujo. 8. El mdulo de control de flujo recopila estadsticas sobre los paquetes recibidos. A continuacin, el mdulo enva los paquetes al marcador. 9. El marcador asigna un punto de cdigo DS al encabezado del paquete. Este DSCP indica el comportamiento por salto que un sistema con Diffserv debe aplicar al paquete.
Captulo 32 Introduccin a IPQoS (Descripcin general) 833
Punto de cdigo DS
El punto de cdigo DS (DSCP) define en el encabezado del paquete la accin que cualquier sistema con Diffserv debe ejecutar en un paquete marcado. La arquitectura diffserv define un conjunto de puntos de cdigo DS que utilizarn los sistemas con IPQoS y encaminadores diffserv. La arquitectura Diffserv tambin define un conjunto de acciones denominadas comportamientos de reenvo, que corresponden a los DSCP. El sistema IPQoS marca los bits precedentes del campo DS del encabezado del paquete con el DSCP. Cuando un encaminador recibe un paquete con un valor DSCP, aplica el comportamiento de reenvo asociado a dicho DSCP. Despus, el paquete se enva a la red.
Nota El marcador dlcosmk no utiliza el DSCP. En su lugar, dlcosmk marca los encabezados de frame Ethernet con un valor CoS. Si quiere configurar IPQoS en una red que utiliza dispositivos VLAN, consulte la seccin Mdulo marcador en la pgina 909.
de banda para paquetes de esta clase. Puede aadir a la directiva QoS otros puntos DSCP que asignen diferentes niveles de precedencia a las clases de trfico. Los sistemas Diffserv asignan ancho de banda a los paquetes de baja precedencia segn las prioridades indicadas en los puntos DSCP de los paquetes. IPQoS admite dos tipos de comportamientos de reenvo, definidos en la arquitectura Diffserv, reenvo acelerado y reenvo asegurado.
Reenvo acelerado
el comportamiento por salto de reenvo acelerado (EF) asegura que cualquier clase de trfico con reenvos EF relacionados con DSCP tiene la mxima prioridad. El trfico con DSCP EF no se pone en cola. EF proporciona una prdida de datos, latencia y demora mnimas. El DSCP recomendado para EF es 101110. Un paquete que est marcado con 101110 recibe una precedencia de baja probabilidad de descarte asegurada al atravesar redes Diffserv hacia su destino. Utilice DSCP EF al asignar prioridad a clientes o aplicaciones con un acuerdo SLA de nivel alto.
Reenvo asegurado
El comportamiento por salto de reenvo asegurado (AF) proporciona cuatro clases de reenvo diferentes que se pueden asignar a un paquete. Cada clase de reenvo proporciona tres precedencias de descarte, tal y como se muestra en la Tabla 372. Los diferentes puntos de cdigo AF permiten asignar distintos niveles de servicio a clientes y aplicaciones. Puede priorizar trfico y servicios de la red al planificar la directiva QoS. Despus, puede asignar diferentes niveles AF para priorizar el trfico.
835
ipqos1 10.10.75.14
10.10.0.0 red 10.12.0.0 red 10.13.0.0 red 10.14.0.0 red ipqos2 10.14.60.2
diffrouter1
genrouter
diffrouter2
FIGURA 322
Los siguientes pasos muestran el flujo del paquete mostrado en la figura. Los pasos comienzan con el progreso de un paquete originado en el host ipqos1. Los pasos continan con varios saltos hasta el host ipqos2. 1. El usuario de ipqos1 ejecuta el comando ftp para acceder al host ipqos2, que est tres saltos ms all. 2. ipqos1 aplica su directiva QoS al flujo de paquetes resultante. Despus, ipqos1 clasifica el trfico ftp. El administrador del sistema ha creado una clase para todo el trfico ftp saliente con origen en la red local 10.10.0.0. Se asigna el comportamiento por salto AF22 al trfico de la clase ftp: clase dos, precedencia de descarte media. Se ha asignado una tasa de flujo de trfico de 2 Mb/seg a la clase ftp. 3. ipqos-1 mide el flujo ftp para determinar si excede la tasa asiganda de 2 Mbit/seg. 4. El marcador de ipqos1 marca los campos DS de los paquetes ftp salientes con el DSCP 010100, que corresponde a AF22 PHB. 5. El encaminador diffrouter1 recibe los paquetes ftp . A continuacin, diffrouter1 comprueba el DSCP. Si diffrouter1 est congestionado, los paquetes marcados con AF22 se descartan. 6. El trfico ftp se reenva al siguiente salto de acuerdo con el comportamiento por salto configurado para AF22 en los archivos de diffrouter1 .
836 Gua de administracin del sistema: servicios IP Octubre de 2009
7. El trfico ftp atraviesa la red 10.12.0.0 hasta genrouter, que no utiliza Diffserv. Como resultado, el trfico recibe el comportamiento de reenvo "mejor posible". 8. genrouter pasa el trfico ftp a la red 10.13.0.0, donde lo recibe diffrouter2. 9. diffrouter2 utiliza Diffserv. Por lo tanto, el encaminador reenva los paquetes ftp a la red de acuerdo con el PHB definido en la directiva del encaminador para paquetes AF22. 10. ipqos2 recibe el trfico ftp. ipqos2 solicita al usuario de ipqos1 un nombre de usuario y contrasea.
837
838
C A P T U L O
33
3 3
Puede configurar IPQoS en cualquier sistema que tenga el sistema operativo Solaris OS. El sistema IPQoS funciona con encaminadores con Diffserv para proporcionar servicios diferenciados y administracin del trfico en una intranet. Este captulo contiene tareas de planificacin para aadir sistemas con IPQoS a una red con Diffserv. Se tratan los temas siguientes.
Planificacin de configuracin IPQoS general (Mapa de tareas) en la pgina 839 Planificacin de la distribucin de la red Diffserv en la pgina 840 Planificacin de la directiva de calidad de servicio en la pgina 843 Planificacin de la directiva QoS (Mapa de tareas) en la pgina 844 Introduccin al ejemplo de configuracin IPQoS en la pgina 856
1. Planificar una distribucin de red Diffserv que incorpore los sistemas con IPQoS.
Adquirir conocimientos sobre las diferentes distribuciones de red Diffserv para determinar cul es la mejor solucin en su caso.
839
Tarea
Descripcin
2. Planificar los diferentes tipos de Organizar los tipos de servicios que Planificacin de la directiva de servicios que ofrecern los sistemas proporciona la red en acuerdos de calidad de servicio IPQoS. nivel de servicio (SLA). en la pgina 843. 3. Planificar la directiva QoS para cada sistema IPQoS. Decidir cules son las funciones de clases, medicin y recopilacin de datos necesarias para cada acuerdo SLA. Establecer las directivas de planificacin y espera en cola del encaminador Diffserv utilizado con los sistemas IPQoS. Planificacin de la directiva de calidad de servicio en la pgina 843. Consulte la documentacin del encaminador si necesita informacin sobre las directivas de espera en cola y planificacin.
Sistemas Solaris que ofrecen varios servicios, como servidores Web o de base de datos Servidores de aplicaciones que ofrecen servicios de correo electrnico, FTP y otras aplicaciones de red comunes Servidores de cach Web o proxy Redes de conjuntos de servidores con IPQoS administradas por equilibradores de carga con Diffserv Cortafuegos que administran el trfico de una red heterognea Sistemas IPQoS que forman parte de una red de rea local (LAN) virtual
Puede integrar sistemas IPQoS en una distribucin de red que ya tenga encaminadores con Diffserv en funcionamiento. Si el encaminador que utiliza no admite Diffserv, considere las soluciones Diffserv que ofrecen Cisco Systems, Juniper Networks y otros fabricantes de encaminadores. Si el encaminador local no utiliza Diffserv, se limita a transferir los paquetes marcados al siguiente salto sin evaluar las marcas.
840 Gua de administracin del sistema: servicios IP Octubre de 2009
Encaminador diffserv
Conmutador
Otros sistemas Servidor FTP Servidor de base de datos Oracle Servidor Web
Esta red es slo un segmento de una intranet empresarial. Activando IPQoS en los servidores de aplicaciones y servidores Web, puede controlar la tasa a la que cada sistema IPQoS enva el trfico saliente. Si configura el encaminador para utilizar Diffserv, puede obtener un mayor grado de control del trfico entrante y saliente. El ejemplo de esta gua utiliza una configuracin con IPQoS en un nico host. Para ver la distribucin de ejemplo que se utiliza en esta gua, consulte la Figura 334.
841
Encaminador
Equilibrador de cargas
Grupos de servidores
FIGURA 332
En esta distribucin, en encaminador utiliza Diffserv y, por lo tanto, puede poner en cola y tasar el trfico entrante y saliente. El equilibrador de carga tambin utiliza Diffserv y los conjuntos de servidiores usan IPQoS. El equilibrador de carga permite realizar un filtrado adicional al del encaminador utilizando selectores como el ID de usuario o de proyecto. Estos selectores estn incluidos en los datos de aplicacin. Esta configuracin permite controlar el flujo y reenviar el trfico para administrar la congestin en la red local. Tambin evita que el trfico saliente de los conjuntos de servidores sobrecargue otros sectores de la intranet.
IPQoS en un cortafuegos
La siguiente figura muestra un segmento de una red corporativa protegido de otros segmentos mediante un cortafuegos.
842
Encaminador diffserv
Cortafuegos
Sistema Solaris PC
FIGURA 333
Otros hosts
PC
Red protegida por un cortafuegos con IPQoS
En esta configuracin, el trfico fluye hasta un encaminador con Diffserv que filtra y pone en cola los paquetes. Todo el trfico entrante reenviado por el encaminador se transfiere al cortafuegos con IPQoS. Para utilizar IPQoS, el cortafuegos no debe omitir la pila de reenvo de IP. La directiva de seguridad del cortafuegos determina si el trfico entrante puede entrar o salir de la red interna. La directiva QoS controla los niveles de servicio para el trfico entrante que ha pasado el cortafuegos. Segn la directiva QoS, el trfico saliente tambin puede marcarse con un comportamiento de reenvo.
843
TABLA 331
Clase
Clase 1
Filtro 1 Filtro 3
Selector 1 Selector 2
Clase 1
Filtro 2
Selector 1 Selector 2
N/D
N/D
Clase 2
Filtro 1
Selector 1 Selector 2
Clase 2
Filtro 2
Selector 1 Selector 2
N/D
N/D
Puede dividir cada categora principal para definir ms la directiva QoS. En las siguientes secciones se explica cmo obtener informacin sobre las categoras mostradas en la plantilla.
1. Disear la distribucin de red para que sea compatible con IPQoS. 2. Definir las clases en las que los servicios de la red deben dividirse.
Identifcar los hosts y encaminadores de la red para proporcionar servicios diferenciados. Examinar los tipos de servicios y acuerdos SLA que ofrece su organizacin y determinar las clases de trfico independientes a las que pertenece cada servicio. Determinar el mejor modo de separar el trfico de una clase especfica del flujo de trfico de la red.
Cmo preparar una red para IPQoS en la pgina 845 Cmo definir las clases de la directiva QoS en la pgina 846
844
Tarea
Descripcin
4. Definir tasas de control de flujo para medir el trfico cuando los paquetes salen del sistema IPQoS.
Cmo planificar el control de flujo en la pgina 850 Cmo planificar el comportamiento de reenvo en la pgina 853
5. Definir los puntos DSCP o valores de Planificar un esquema para determinar el prioridad de usuario que se deben untilizar comportamiento de reenvo asignado a un en la directiva QoS. flujo de trfico cuando lo controla el encaminador o nodo. 6. Si procede, definir un plan de supervisin de estadsticas para los flujos de trfico de la red.
Evaluar las clases de trfico para Cmo planificar la recopilacin de datos determinar qu flujos de trfico deben de flujo en la pgina 855 supervisarse por cuestiones de recopilacin de datos o estadsticas.
Nota En el resto de esta seccin se explica cmo planificar la directiva QoS de un sistema con
IPQoS. Para planificar la directiva QoS del encaminador Diffserv, consulte la documentacin y el sitio web del fabricante del encaminador.
Revisar la distribucin de la red. Despus, planificar una estrategia que utilice sistemas IPQoS y encaminadores Diffserv. Para ver ejemplos de distribucin de la red, consulte la seccin Planificacin de la distribucin de la red Diffserv en la pgina 840.
Identificar los hosts de la distribucin de red que requieren IPQoS o que pueden ser buenos candidatos para el servicio IPQoS. Determinar qu sistemas con IPQoS pueden usar la misma directiva QoS. Por ejemplo, si piensa activar IPQoS en todos los hosts de la red, identifique los hosts que pueden usar la misma directiva QoS. Cada sistema con IPQoS debe tener una directiva QoS local, que se implementa en el archivo de configuracin IPQoS correspondiente. Aunque puede crear un archivo de configuracin IPQoS que utilicen varios sistemas. Despus puede copiar el archivo de configuracin en los sistemas que tengan los mismos requisitos de directiva QoS.
845
Revisar y realizar cualquier tarea de planificacin requerida por el encaminador Diffserv de la red. Consulte la documentacin y el sitio web del fabricante del encaminador si necesita ms informacin.
En el siguiente procedimiento se asume que ya ha determinado qu sistemas de la red utilizarn IPQoS, como se explica en la seccin Cmo preparar una red para IPQoS en la pgina 845.
1
Crear una tabla de planificacin QoS para organizar la informacin de directiva QoS. Para ver sugerencias, consulte la Tabla 331. Realizar el resto de los pasos para cada directiva QoS de la red. Definir las clases que utilizar en la directiva QoS. Las siguientes preguntas son una gua para analizar el trfico de red para posibles definiciones de clases.
2 3
Su empresa ofrece acuerdos de nivel de servicio a los clientes? En caso afirmativo, evale los niveles de prioridad relativa de los acuerdos SLA que su empresa ofrece a los clientes. Las mismas aplicaciones pueden ofrecerse a clientes con niveles de prioridad diferentes garantizados. Por ejemplo, su empresa puede ofrecer alojamiento de sitios web a cada cliente, lo que indica que necesita definir una clase para cada sitio web de cliente. Un acuerdo SLA puede ofrecer un sitio web de nivel alto como un nilvel de servicio. Otro acuerdo SLA puede ofrecer un sitio web personal "best-effort" a clientes con descuento. Este factor no slo implica diferentes clases de sitio web sino tambin diferentes comportambientos por salto que se asignan a las clases de sitio web.
El sistema IPQoS ofrece aplicaciones comunes que necesitan control de flujo? Puede mejorar el rendimiento de la red activando IPQoS en servidores que ofrecen aplicaciones comunes que generan mucho trfico. Algunos ejemplos son el correo electrnico, noticias de red y FTP. Considere la posibilidad de crear clases independientes
846
para el trfico entrante y saliente para cada tipo de servicio, si corresponde. Por ejemplo, puede crear una clase mail-in y una clase mail-out para la directiva QoS de un servidor de correo.
La red contiene aplicaciones que requieren comportamientos de reenvo de mxima prioridad? Cualquier aplicacin importante que requiera comportamientos de reenvo de mxima prioridad debe recibir la mxima prioridad en la cola del encaminador. Los ejemplos ms tpicos son el streaming de vdeo y audio. Definir clases de entrada y clases de salida para estas aplicaciones de alta prioridad. Despus, aadir las clases a las directivas QoS del sistema con IPQoS que proporciona las aplicaciones y del encaminador Diffserv.
La red tiene flujos de trfico que deben controlarse porque consumen grandes cantidades de ancho de banda? Utilizar netstat , snoop y otras herrmientas de supervisin de la red para descubrir los tipos de trfico que causan problemas en la red. Revisar las clases creadas hasta ahora y crear clases para cualquier categora de trfico con problemas no definidos. Si ya ha definido clases para una categora de trfico problemtico, defina tasas para que el medidor controle el trfico. Crear clases para el trfico problemtico en cada sistema con IPQoS de la red. Despus, cada sistema IPQoS puede gestionar el trfico problemtico limitando la tasa a la que el flujo de trfico se enva en la red. Asegrese de definir estas clases de problemas en la directiva QoS del encaminador Diffserv. Despus, el encaminador puede poner en cola y planificar los flujos problemticos de acuerdo con la configuracin de la directiva QoS.
Necesita estadsticas sobre determinados tipos de trfico? Una revisin rpida del acuerdo SLA permite determinar qu tipos de trfico del cliente requieren recopilacin de datos. Si su empresa ofrece acuerdos SLA, es probable que ya haya creado clases para el trfico que requiere recopilacin de datos. Tambin puede definir clases para activar la recopilacin de estadsticas en flujos de trafico qu eest supervisando. Tambin es posilbe crear clases para trfico al que se restringe el acceso por motivos de seguridad.
4 5
Enumerar las clases definidas en la tabla de planificacin QoS creada en el paso 1. Asignar un nivel de prioridad a cada clase. Por ejemplo, el nivel de prioridad 1 representa la clase de prioridad mxima y se asignan priordiades de nivel descendentes al resto de clases. El nivel de priordiad que se asigna slo tiene propsito organizativo. Los niveles de prioridad definidos en la plantilla de directiva QoS no se utilizan en IPQoS. De hecho, puede asignar la misma prioridad a varias clases, si es apropiado para la directiva QoS. Cuando haya terminado de definir las clases, puede definir filtros para cada clase, como se explica en Cmo definir filtros en la directiva QoSen la pgina 849.
Captulo 33 Planificacin para una red con IPQoS (Tareas) 847
Ms informacin
Definir filtros
Puede crear filtros para identificar flujos de paquetes como miembros de una clase especfica. Cada filtro contiene selectores, que definen los criterios para evaluar un flujo de paquetes. El sistema con IPQoS utiliza los criterios de los selectores para extraer paquetes de un flujo de trfico. Despus, el sistema IPQoS asocia los paquetes con una clase. Para ver una intruduccin a los filtros, consulte la seccin Filtros IPQoS en la pgina 830. En la siguiente tabla se enumeran los selectores ms usados. Los cinco selectores representan el 5-tuple IPQoS, que el sistema IPQoS utiliza para identificar paquetes como miembros de un flujo. Para ver una lista completa de selectores, consulte la Tabla 371.
TABLA 332 Nombre
Direccin de origen. Direccin de destino. Nmero de puerto de origen. Puede usar un nmero de puerto conocido, definido en /etc/services o un nmero de puerto definido por el usuario. Nmero de puerto de destino. Nmero de protocolo IP o nombre de protocolo asignado al tipo de flujo de trfico en /etc/protocols. Estilo de direcciones que usar. Se utiliza IPv4 o IPv6. IPv4 es el predeterminado. Contenido del campo DS, es decir, el punto DSCP. Utilice este selector para extraer paquetes entrantes que ya estn marcados con un DSCP especfico. Nivel de prioridad asignado a la clase. Si necesita ms informacin, consulte Cmo definir las clases de la directiva QoS en la pgina 846.
dport protocol
ip_version dsfield
priority
848
(Continuacin)
Definicin
user
El ID de usuario de UNIX o nombre de usuario que se utiliza cuando se ejecuta la aplicacin de nivel superior. ID de proyecto que se utiliza cuando se ejecuta la aplicacin de nivel superior. Direccin del fujo de trfico. El valor es LOCAL_IN, LOCAL_OUT, FWD_IN o FWD_OUT.
projid direction
Nota Elija los selectores con detenimiento. Utilice slo los selectores necesarios para extraer
paquetes de una clase. Cuantos ms selectores defina, ms se ver afectado el rendimiento IPQoS.
Antes de empezar 1
Ejemplo 331
ftp-traffic
ftp-out
849
Vase tambin
Para definir un esquema de control de flujo, consulte la seccin Cmo planificar el control de flujo en la pgina 850. Para definir comportamientos de reenvo para flujos que vuelven al flujo de red, consulte Cmo planificar el comportamiento de reenvo en la pgina 853. Para planificar la recopilacin de datos de flujo de determinados tipos de trfico, consulte la seccin Cmo planificar la recopilacin de datos de flujo en la pgina 855. Para aadir ms clases a la directiva QoS, consulte la seccin Cmo definir las clases de la directiva QoS en la pgina 846. Para aadir ms filtros a la directiva QoS, consulte la seccin Cmo definir filtros en la directiva QoS en la pgina 849.
1 2
Determine el ancho de banda mximo de la red. Revise cualquier acuerdo SLA que ofrezca su red. Identifique los clientes y los tipos de servicio garantizados a cada cliente. Para garantizar un nivel de servicio determinado, es posible que necesite medir ciertas clases de trfico generadas por el cliente.
Revise la lista de clases creadas en la seccin Cmo definir las clases de la directiva QoS en la pgina 846. Determine si hay alguna otra clase, a parte de las asociadas con acuerdos SLA, que deba medirse. Suponga que el sistema IPQoS incluye una aplicacin que genera mucho trfico. Despus de clasificar el trfico de la aplicacin, mida los flujos para controlar la tasa a la que los paquetes del flujo vuelven a la red.
Nota No es necesario medir todas las clases. Tenga en mente estas directrices al revisar la lista de clases.
850
Determine qu filtros de cada clase seleccionan el trfico que necesita control de flujo. Despus, refine la lista de clases que necesitan medicin. Las clases que tengan varios filtros pueden necesitar medicin slo para un filtro. Suponga que define filtros para el trfico entrante y saliente de una clase especfica. Puede llegar a la conclusin de que slo el trfico en una direccin requiere control de flujo.
Elija un mdulo de medicin para cada clase con control de flujo. Aada el nombre de mdulo a la columna de medicin de la tabla de planificacin QoS.
Aada las tasas de cada clase que se medir a la tabla de organizacin. Si utiliza el mdulo tokenmt, deber definir las siguientes tasas en bits por segundo:
Si estas tasas son suficientes para medir una clase especfica, puede definir solamente la tasa asignada y rfaga asignada para tokenmt. Si es necesario, puede definir tambin las siguientes tasas:
Para ver una definicin completa de las tasas de tokenmt, consulte la seccin Configuracin de tokenmt como medidor de doble tasa en la pgina 907. Tambin puede encontrar informacin detallada en la pgina de comando man tokenmt (7ipp). Si utiliza el mdulo tswtclmt, debe definir las siguientes tasas en bits por segundo.
Tambin puede definir el tamao de la ventana en milisegundos. Estas tasas estn definidas en la seccin Mdulo de medicin tswtclmt en la pgina 908 y en la pgina de comando man twstclmt (7ipp).
7
Aada resultados de cumplimiento del trfico al metro medido. Los resultados de ambos mdulos de medicin son verde, rojo y amarillo. Aada a la tabla de organizacin QoS los resultados de cumplimiento del trfico aplicables a las tasas definidas. Los resultados de los medidores estn explicados en la seccin Mdulo Meter en la pgina 906. Debe determinar qu acciones deben realizarse con el trfico que cumple, o no cumple, la tasa asignada. Normalmente, pero no siempre, la accin consiste en marcar el encabezado del paquete con un comportamiento por salto. Una accin aceptable para el trfico de nivel verde es continuar el procesamiento mientras los flujos de trfico no excedan la tasa asignada. Otra accin sera descartar los paquetes de la clase si los flujos exceden la tasa mxima.
Captulo 33 Planificacin para una red con IPQoS (Tareas) 851
Ejemplo 332
Definir medidores
La siguiente tabla muestra entradas de medidor para una clase de trfico de correo electrnico. La red en la que se encuentra el sistema IPQoS tiene un ancho de banda total de 100 Mbits/seg, o 10000000 bits por segundo. La directiva QoS asigna una prioridad baja a la clase de correo electrnico. Esta clase tambin recibe un comportamiento de reenvo "best-effort".
Clase Prioridad Filtro Selector Tasa
mail_in
mail_out
medidor=tokenmt tasa asignada=5000000 rfaga asignada =5000000 tasa mxima =10000000 rfaga mxima=1000000 precedencia verde=continuar procesando precendencia amarilla=marcar PHB amarillo precedencia roja=descartar
Vase tambin
Para definir los comportamientos de reenvo para flujos cuando los paquetes vuelven al flujo de red, consulte la seccin Cmo planificar el comportamiento de reenvo en la pgina 853. Para planificar la recopilacin de datos de flujo de determinados tipos de trfico, consulte la seccin Cmo planificar la recopilacin de datos de flujo en la pgina 855. Para aadir ms clases a la directiva QoS, consulte la seccin Cmo definir las clases de la directiva QoS en la pgina 846. Para aadir ms filtros a la directiva QoS, consulte la seccin Cmo definir filtros en la directiva QoS en la pgina 849. Para definir otro esquema de control de flujo, consulte la seccin Cmo planificar el control de flujo en la pgina 850. Para crear un archivo de configuracin IPQoS, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864.
852
dscpmk Se utiliza para marcar el campo DS de un paquete IP con un DSCP dlcosmk Se utiliza para marcar la etiqueta VLAN de un datagrama con un valor de clase de servicio (CoS)
Nota Las sugerencias de esta seccin hacen referencia especficamente a paquetes IP. Si el sistema IPQoS incluye un dispositivo VLAN, puede usar el marcador dlcosmk para marcar comportamientos de reenvo para datagramas. Si necesita ms informacin, consulte la seccin Uso del marcador dlcosmk con dispositivos VLAN en la pgina 911.
Para priorizar el trfico IP, debe asignar un punto DSCP a cada paquete. El marcador dscpmk marca el campo DS del paquete con el DSCP. El DSCP de una clase se elige de un grupo de puntos de cdigo conocidos asociados con el tipo de comportamiento de reenvo. Estos puntos de cdigo conocidos son 46 (101110) para el comportamiento PHB EF y un conjunto de puntos de cdigo para el comportamiento PHB AF. Para ver una descripcin general de los puntos DSCP y el reenvo, consulte la seccin Reenvo del trfico en una red con IPQoS en la pgina 834.
Antes de empezar
En los siguientes pasos se asume que ha definido clases y filtros para la directiva QoS. Aunque normalmente se usa el medidor con el marcador para controlar el trfico, puede usarse solamente el marcador para definir un comportamiento de reenvo. Revise las clases creadas hasta ahora y las prioridades asignadas a cada clase. No es necesario que se marquen todas las clases de trfico.
Asigne el comportamiento por salto EF a la clase con la prioridad ms alta. El comportamiento PHB EF garantiza que los paquetes con el punto DSCP EF 46 (101110) se transfieren a la red antes que los paquetes con cualquier comportamiento PHB AF. Utilice el comportamiento PHB EF para el trfico de mayor prioridad. Si necesita ms informacin sobre EF, consulte la seccin Reenvo acelerado (EF) PHB en la pgina 910.
Asigne puntos de cdigo DS al resto de clases, de acuerdo con las prioridades asignadas a las clases.
Ejemplo 333
Un acuerdo SLA garantiza a los paquetes de esta clase un servicio de nivel alto o de nivel bajo cuando la red tiene mucho trfico. Una clase con una prioridad ms baja puede colapsar la red.
Se utiliza el marcador con el medidor para proporcionar servicios diferenciados y administracin del ancho de banda a estas clases. Por ejemplo, la siguiente tabla muestra una parte de una directiva QoS. Esta directiva define una clase para una aplicacin de juegos muy utilizada que genera un alto volumen de trfico.
Clase Prioridad Filtro Selector Tasa Reenvo?
games_app games_app
9 9
games_in games_out
N/D medidor=tokenmt tasa asignada=5000000 rfaga asignada =5000000 tasa mxima =10000000 rfaga mxima=15000000 precedencia verde=continuar procesando precendencia amarilla=marcar PHB amarillo precedencia roja=descartar
Los comportamientos de reenvo asignan puntos DSCP de baja prioridad al trfico games_app que cumple su tasa asignada o est por debajo de la tasa mxima. Cuando el trfico games_app excede la tasa mxima, la directiva QoS indica que los paquetes de games_app deben descartarse. Todos los puntos de cdigo AF se enumeran en la Tabla 372.
854
Vase tambin
Para planificar la recopilacin de datos de flujo de determinados tipos de trfico, consulte la seccin Cmo planificar la recopilacin de datos de flujo en la pgina 855. Para aadir ms clases a la directiva QoS, consulte la seccin Cmo definir las clases de la directiva QoS en la pgina 846. Para aadir ms filtros a la directiva QoS, consulte la seccin Cmo definir filtros en la directiva QoS en la pgina 849. Para definir un esquema de control de flujo, consulte la seccin Cmo planificar el control de flujo en la pgina 850. Para definir comportamientos de reenvo adicionales para flujos cuando los paquetes vuelven al flujo de red, consulte la seccin Cmo planificar el comportamiento de reenvo en la pgina 853. Para crear un archivo de configuracin IPQoS, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864.
Su empresa ofrece acuerdos SLA a los clientes? Si la respuesta es "s", debe recopilar datos sobre el flujo. Revise los acuerdos SLA para determinar qu tipos de trfico de red desea ofrecer su empresa a los clientes. A continuacin, revise la directiva QoS para determinar qu clases seleccionan el trfico que se facturar. Hay aplicaciones que deben supervisarse o comprobarse para evitar problemas de red? Si la respusta es "s", considere la posibilidad de recopilar datos sobre el flujo para observar el comportamiento de estas aplicaciones. Revise la directiva QoS para determinar qu clases ha asignado al trfico que requiere supervisin.
En la tabla de planificacin QoS, marque una Y en la columna de recopilacin de datos sobre el flujo de las clases que requieran recopilacin de datos.
Vase tambin
Para aadir ms clases a la directiva QoS, consulte la seccin Cmo definir las clases de la directiva QoS en la pgina 846. Para aadir ms filtros a la directiva QoS, consulte la seccin Cmo definir filtros en la directiva QoS en la pgina 849. Para definir un esquema de control de flujo, consulte la seccin Cmo planificar el control de flujo en la pgina 850.
855
Para definir los comportamientos de reenvo para flujos cuando los paquetes vuelven al flujo de red, consulte la seccin Cmo planificar el comportamiento de reenvo en la pgina 853. Para planificar la recopilacin de datos adicional para determinados tipos de trfico, consulte la seccin Cmo planificar la recopilacin de datos de flujo en la pgina 855. Para crear el archivo de configuracin IPQoS, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864.
Distribucin IPQoS
La siguiente figura muestra la distribucin de red que utiliza la intranet pblica de BigISP.
856
Otras compaas Lneas arrendadas Red de nivel 0 10.10.0.0 Red de nivel 1 10.11.0.0
Goldco
Internet
Usuario 1
Usuario 2
Goldweb IPQoS
Otras aplicaciones
datarouter diffserv
Nivel 0 La red 10.10.0.0 incluye un encaminador Diffserv llamado Bigrouter, con interfaz externa e interna. Varias empresas, entre ellas una organizacin llamada Goldco, han alquilado servicios de lnea arrendada que finalizan en Bigrouter. EL nivel 0 tambin gestiona los clientes individuales que llaman desde lneas telefnicas o RDSI. Nivel 1 La red 10.11.0.0 proporciona servicios Web. El servidor Goldweb aloja el sitio web adquirido por Goldco como parte del servicio de alto nivel que Goldco ha adquirido de BigISP. El servidor Userweb aloja sitios web pequeos adquiridos por clientes individuales. Ambos servidores, Goldweb y Userweb utilizan IPQoS.
857
Nivel 2 La red 10.12.0.0 proporciona aplicaciones para todos los clientes. BigAPPS, uno de los servidores de aplicaciones, utiliza IPQoS. BigAPPS proporciona servicios SMTP, de noticias y FTP. Nivel 3 La red 10.13.0.0 aloja grandes servidores de base de datos. El acceso al Nivel 3 est controlado por datarouter, un encaminador Diffserv.
858
C A P T U L O
34
3 4
En este captulo se explica cmo crear archivos de configuracin IPQoS. El captulo trata los siguientes temas.
Definicin de una directiva QoS en el archivo de configuracin IPQoS (Mapa de tarea) en la pgina 859 Herramientas para crear una directiva QoS en la pgina 861 Crear archivos de configuracin IPQoS para servidores web en la pgina 862 Crear un archivo de configuracin IPQoS para un servidor de aplicaciones en la pgina 876 Proporcionar servicios diferenciados en un encaminador en la pgina 886
En este captulo se asume que el usuario ha definido una directiva QoS completa y que est listo para utilizarla como base para el archivo de configuracin IPQoS. Si necesita instrucciones sobre la planificacin de directivas QoS, consulte el tema Planificacin de la directiva de calidad de servicio en la pgina 843.
1. Planificar la configuracin de red Decidir qu sistemas de la red local con IPQoS. van a utilizar IPQoS.
859
Tarea
Descripcin
Identificar flujos de trfico como Planificacin de la directiva de diferentes clases de servicio. A calidad de servicio continuacin, determinar qu en la pgina 843 flujos requieren administracin del trfico. Crear el archivo IPQoS, invocar el clasificador IP y definir una clase para procesar. Aadir los filtros que determinan qu trfico se selecciona y organiza en una clase. Crear ms clases y filtros para que los procese el clasificador IP. Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864 Cmo definir filtros en el archivo de configuracin IPQoS en la pgina 867 Cmo crear un archivo de configuracin IPQoS para un servidor Web "Best-Effort" en la pgina 873 Cmo configurar el control de flujo en el archivo de configuracin IPQoS en la pgina 883 Cmo definir el reenvo de trfico en el archivo de configuracin IPQoS en la pgina 868
3. Crear el archivo de configuracin IPQoS y definir la primera accin. 4. Crear filtros para un clase.
6. Aadir una instruccin action Si la directiva QoS solicita control con parmetros para configurar los de flujo, asigne tasas de control de mdulos de medicin. flujo y niveles de cumplimiento al medidor. 7. Aadir una instruccin action con parmetros para configurar el marcador. 8. Aadir una instruccin action con parmetros para configurar el mdulo de control de flujo. Si la potica QoS solicita comportamientos de reenvo diferenciados, defina cmo deben reenviarse las clases de trfico.
Si la directiva QoS solicita Cmo activar el control para una recopilacin de estadsticas sobre clase en el archivo de configuracin flujos de trfico, defina cmo deben IPQoS en la pgina 871 recopilarse las estadsticas de control. Aadir el contenido de un archivo de configuracin IPQoS especificado a los mdulos de ncleo apropiados. Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 890
10. Configurar los Si algn archivo de configuracin Cmo configurar un encaminador comportamientos de reenvo en los IPQoS de la red define los en una red con IPQoS archivos de encaminador. comportamientos de reenvo, en la pgina 887 aada los puntos DSCP resultantes a los archivos de planificacin correspondientes del encaminador.
860
Goldweb Un servidor Web que aloja sitios web de clientes que tienen acuerdos SLA de nivel alto Userweb Un servidor Web menos potente que aloja pginas personales de usuarios que tienen acuerdos SLA de tipo best-effort BigAPPS Servidor de aplicaciones que ofrece sesrvicios de correo, noticas y FTP a clientes con servicios de nivel alto y "best-effort"
Estos tres archivos de configuracin ilustran las configuraciones IPQoS ms comunes. Puede usar los archivos de muestra de la siguiente seccin como plantilla para su implementacin IPQoS.
861
fmt_version 1.0 action { module ipgpc name ipgpc.classify params { global_stats TRUE } class { name goldweb next_action markAF11 enable_stats FALSE } class { name video next_action markEF enable_stats FALSE } filter { name webout sport 80 direction LOCAL_OUT class goldweb } filter { name videoout sport videosrv direction LOCAL_OUT class video } } action { module dscpmk name markAF11
862 Gua de administracin del sistema: servicios IP Octubre de 2009
EJEMPLO 341 Archivo de configuracin IPQoS de ejemplo para un servidor Web de nivel alto (Continuacin)
params { global_stats FALSE dscp_map{0-63:10} next_action continue } } action { module dscpmk name markEF params { global_stats TRUE dscp_map{0-63:46} next_action acct } } action { module flowacct name acct params { enable_stats TRUE timer 10000 timeout 10000 max_limit 2048 } }
El siguiente archivo de configuracin define actividades IPQoS en Userweb. Este servidor aloja sitios web de usuarios con acuerdos SLA de bajo precio o "best-effort". Este nivel de servicio garantiza el mejor servicio que puede ofrecerse a clientes "best-effort" despus de que el sistema IPQoS administre el trfico de clientes con acuerdos SLA de nivel alto.
EJEMPLO 342
fmt_version 1.0 action { module ipgpc name ipgpc.classify params { global_stats TRUE } class { name Userweb next_action markAF12
Captulo 34 Creacin del archivo de configuracin IPQoS (Tareas) 863
EJEMPLO 342
(Continuacin)
enable_stats FALSE } filter { name webout sport 80 direction LOCAL_OUT class Userweb } } action { module dscpmk name markAF12 params { global_stats FALSE dscp_map{0-63:12} next_action continue } }
Inicie una sesin en el servidor Web de nivel alto y cree un archivo de configuracin IPQoS con extensin .qos. Los archivos de configuracin IPQoS deben comenzar con el nmero de versin fmt_version 1.0 como primera lnea sin comentar.
864
A continuacin del parmetro de abertura, escriba la instruccin de accin, que configura el clasificador IP genrico ipgpc. Esta primera accin inicia el rbol de instrucciones de accin que compone el archivo de configuracin IPQoS. Por ejemplo, el archivo /var/ipqos/Goldweb.qos comienza con la instruccin de accin inicial para llamar al clasificador ipgpc.
fmt_version 1.0 action { module ipgpc name ipgpc.classify
Inicia el archivo de configuracin IPQoS. Inicia la instruccin de accin. Configura el clasificador ipgpc como la primera accin del archivo de configuracin. Define el nombre de la instruccin de accin de clasificador, que siempre debe ser ipgpc.classify.
Si necesita informacin sintctica detallada sobre instrucciones de accin, consulte la seccin Instruccin action en la pgina 917 y la pgina de comando man ipqosconf(1M).
3
El parmetro global_stats TRUE de la instruccin ipgpc.classify activa la recoplicacin de estadsticas para dicha accin. global_stats TRUE tambin activa la recopliacin de estadsticas por clase cuando una definicin de clusula de clase especifica enable_stats TRUE. Activar las estadsticas afecta al rendimiento. Puede ser til recopilar estadsticas en un archivo de configuracin IPQoS nuevo para verificar que IPQoS funciona correctamente. Ms adelante, puede desactivar la recopliacin de estadsticas cambiando el argumento de global_stats a FALSE. Las estadsticas globales son tan solo uno de los parmetros que se pueden definir en la clusula params. Si necesita ms informacin sobre sintaxis y otros datos de las clusulas params, consulte la seccin Clusula params en la pgina 920 y la pgina de comando man ipqosconf(1M).
4
Defina una clusula que identifique el trfico vinculado al servidor de nivel alto.
class { name goldweb next_action markAF11
865
enable_stats FALSE }
Esta instruccin se denomina una clusula class. Una clusula class tiene el siguiente contenido. name goldweb next_action markAF11 Crea la clase goldweb para identificar el trfico vinculado al servidor Goldweb. Incica al mdulo ipgpc que debe pasar los paquetes de la clase goldweb a la instruccin de accin markAF11. La instruccin de accin markAF11 llama al marcador dscpmk. Activa la recopilacin de estadsticas de la clase goldweb. Aunque, debido a que el valor de enable_stats es FALSE, las estadsticas de esta clase no estn activadas.
enable_stats FALSE
Si necesita informacin detallada sobre la sintaxis de la clusula class, consulte la seccin Clusula class en la pgina 919 y la pgina de comando man ipqosconf(1M).
5
Defina una clase que identifique una aplicacin que deba tener reenvo de mxima prioridad.
class { name video next_action markEF enable_stats FALSE }
Crea la clase video para identificar el trfico saliente de video streaming del servidor Goldweb. Indica al mdulo ipgpc que debe pasar los paquetes de la clase video a la instruccin markEF despus de que ipgpc haya terminado el procesamiento. La instruccin markEF llama al marcador dscpmk. Activa la recopliacin de estadsticas de la clase video. Aunque, debido a que el valor de enable_stats es FALSE, la recopilacin de estadsticas para esta clase no se activa.
enable_stats FALSE
Vase tambin
Para definir filtros para la clase creada, consulte la seccin Cmo definir filtros en el archivo de configuracin IPQoS en la pgina 867. Para crear otra clusula para el archivo de configuracin, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864.
866
Antes de empezar
En el procedimiento se asume que ya ha comenzado la creacin del archivo y ha definido clases. Los pasos continan con la generacin del archivo /var/ipqos/Goldweb.qos creado en la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864.
Nota Al crear el archivo de configuracin IPQoS, asegrese de comenzar y finalizar cada clsula class y cada filtro con llaves ({ }). Para ver un ejemplo del uso de llaves, consulte el Ejemplo 341.
Abra el archivo de configuracin IPQoS y busque la ltima clase definida. Por ejemplo, en el servidor con IPQoS Goldweb, empezara despus de la siguiente clusula class de /var/ipqos/Goldweb.qos:
class { name video next_action markEF enable_stats FALSE }
Defina una clusula filter para seleccionar el trfico saliente del sistema IPQoS.
filter { name webout sport 80 direction LOCAL_OUT class goldweb }
Asigna el nombre webout al filtro. Selecciona el trfico con origen en el puerto 80, el puerto de trfico HTTP (Web). Selecciona el trfico saliente del sistema local. Identifca la clase a la que pertenece el filtro, en este caso, la clase goldweb.
Si necesita informacin detallada y sintctica sobre la clusula filter del archivo de configuracin IPQoS, consulte la seccin Clusula filter en la pgina 919.
867
Defina una clsula filter para seleccionar el trfico de video streaming del sistema IPQoS.
filter { name videoout sport videosrv direction LOCAL_OUT class video }
Asgina el nombre videoout al filtro. Selecciona el trfico con un puerto de origen videosrv, un puerto definido anteriormente para la aplicacin de video streaming en este sistema. Selecciona el trfico saliente del sistema local. Identifica la clase a la que pertenece el filtro, en este caso, la clase video.
Vase tambin
Para definir comportamientos de reenvo para los mdulos de marcador, consulte la seccin Cmo definir el reenvo de trfico en el archivo de configuracin IPQoS en la pgina 868. Para definir parmetros de control de flujo para los mdulos de medidor, consulte la seccin Cmo configurar el control de flujo en el archivo de configuracin IPQoS en la pgina 883. Para activar el archivo de configuracin IPQoS, consulte la seccin Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 890. Para definir filtros adicionales, consulte la seccin Cmo definir filtros en el archivo de configuracin IPQoS en la pgina 867. Para crear clases para flujos de trfico de aplicaciones, consulte la seccin Cmo definir el archivo de configuracin IPQoS para un servidor de aplicaciones en la pgina 878.
Antes de empezar
En el procedimiento se asume que ya tiene un archivo de configuracin IPQoS con clases y filtros definidos. Los pasos continan con la creacin del archivo /var/ipqos/Goldweb.qos del Ejemplo 341.
868
Nota El procedimiento muestra cmo configurar el reenvo de trfico utilizando el mdulo de marcador dscpmk. Si necesita informacin sobre el reenvo de trfico en sistemas VLAN utilizando el marcador dlclosmk, consulte la seccin Uso del marcador dlcosmk con dispositivos VLAN en la pgina 911. 1
Abra el archivo de configuracin IPQoS y localice el final del ltimo filtro definido. Por ejemplo, en el servidor con IPQoS Goldweb, empezara despus de la siguiente clusula filter en /var/ipqos/Goldweb.qos:
filter { name videoout sport videosrv direction LOCAL_OUT class video } }
Observe que esta clusula filter se encuentra al final de la instruccin action del clasificador ipgpc. Por lo tanto, necesita una llave de cierre para finalizar el filtro y otra para finalizar la instruccin action.
2
La clase goldweb definida anteriormente incluye una instruccin next_action markAF11. Esta instruccin enva los flujos de trfico a la instruccin de accin markAF11 cuando el clasificador ha finalizado el procesamiento.
3
global_stats FALSE
Activa la recopilacin de estadsticas de la instruccin action del marcador markAF11. Aunque, debido a que el valor de enable_stats es FALSE, no se recopilan estadsticas.
869
Asigna un DSCP de valor 10 a los encabezados de paquetes de la clase de trfico goldweb, que el marcador est procesando en ese momento. Indica que no se necesita ms procesamiento en los paquetes de la clase de trfico goldweb, y que estos paquetes pueden volver al flujo de red.
El DSCP de valor 10 indica al marcador que debe definir todas las entradas del mapa dscp en el valor decimal 10 (binario 001010). Este punto de cdigo indica que los paquetes de la clase de trfico goldweb estn sujetos al comportamiento por salto AF11. AF11 garantiza que todos los paquetes con DSCP de valor 10 reciben un servicio de alta prioridad y baja probabilidad de descarte. Por lo tanto, el trfico saliente para clientes de nivel alto en Goldweb recibe la prioridad ms alta diponilble para el PHB de reenvo asegurado (AF). Para ver una tabla de puntos DSCP para AF, consulte la Tabla 372.
4
Activa la recopilacin de estadsticas en la clase video, que selecciona paquetes de video streaming. Asgina un DSCP de valor 46 a los encabezados de paquetes de la clase de trfico video, que el marcador est procesando en ese momento. Indica al mdulo dscpmk que debe pasar los paquetes de la clase video a la instruccin acct action cuando dscpmk haya completado el procesamiento. La instruccin acct action invoca al mdulo flowacct.
El DSCP de valor 46 indica al mdulo dscpmk que debe establecer todas las entradas del mapa dscp en el valor decimal 46 (binario 101110) en el campo DS. Este punto de cdigo indica que los paquetes de la clase de trfico video estn sujetos al comportamiento por salto de reenvo acelerado (EF).
870
Nota El punto de cdigo recmendado para EF es 46 (binario 101110). Otros puntos DSCP
asignan comportamientos PHB AF a un paquete. El PHB EF garantiza que los paquetes con el DSCP de valor 46 reciben la mxima precendencia en sistemas IPQoS y Diffserv. Las aplicaciones streaming requieren el servicio de prioridad ms alta, por eso se les asignan comportamientos PHB EF en la directiva QoS. Si necesita ms informacin sobre PHB de reenvo acelerado, consulte la seccin Reenvo acelerado (EF) PHB en la pgina 910.
6
Aada los puntos DSCP que ha creado a los archivos correspondientes del encaminador Diffserv. Si necesita ms informacin, consulte Cmo configurar un encaminador en una red con IPQoS en la pgina 887.
Vase tambin
Para empezar a recopilar estadsticas de control de flujo sobre el trfico, consulte la seccin Cmo activar el control para una clase en el archivo de configuracin IPQoS en la pgina 871. Para definir comportamientos de reenvo para los mdulos de marcador, consulte la seccin Cmo definir el reenvo de trfico en el archivo de configuracin IPQoS en la pgina 868. Para definir parmetros de control de flujo para los mdulos de medidor, consulte la seccin Cmo configurar el control de flujo en el archivo de configuracin IPQoS en la pgina 883. Para activar el archivo de configuracin IPQoS, consulte la seccin Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 890. Para definir filtros adicionales, consulte la seccin Cmo definir filtros en el archivo de configuracin IPQoS en la pgina 867. Para crear clases para flujos de trfico de aplicaciones, consulte la seccin Cmo definir el archivo de configuracin IPQoS para un servidor de aplicaciones en la pgina 878.
871
Antes de empezar
En el procedimiento se asume que ya tiene un archivo de configuracin IPQoS con clases, filtros y acciones de medicin definidas, si correponde, y acciones de marcado, si corresponde. Los pasos continan con la creacin del archivo /var/ipqos/Goldweb.qos del Ejemplo 341. Abra el archivo de configuracin IPQoS y localice el final de la ltima instruccin action definida. Por ejemplo, en el servidor con IPQoS Goldweb, empezara despus de la siguiente instruccin action markEF en /var/ipqos/Goldweb.qos.
action { module dscpmk name markEF params { global_stats TRUE dscp_map{0-63:46} next_action acct } }
Invoca al mdulo de control de flujo flowacct. Asigna el nombre acct a la instruccin action
Activa la recopilacin de estadsticas de la clase video, que selecciona paquetes de video streaming. Especifica la duracin del intervalo, en milisengundos, que se utiliza al explorar la tabla de flujos para detectar flujos con tiempo de espera superado. En este parmetro, el intervalo es de 10000 milisegundos. Especifica el valor de tiempo de espera de intervalo mnimo. El tiempo de espera de un flujo se supera cuando los paquetes del
timeout 10000
872
flujo no se envan durante un intervalo de tiempo de espera. En este parmetro, se supera el tiempo de espera de paquetes cuando transcurren 10000 milisegundos. max_limit 2048 next_action continue Determina el nmero mximo de registros de flujos en la tabla de flujos para esta instancia de accin. Indica que no es necesario ms procesamiento en los paquetes de la clase de trfico video y que los paquetes pueden volver al flujo de red.
El mdulo flowacct recopila informacin estadstica sobre los flujos de paquetes de una clase especfica hasta que se supera un tiempo de espera especificado.
Vase tambin
Para configurar comportamientos por salto en un encaminador, consulte la seccin Cmo configurar un encaminador en una red con IPQoS en la pgina 887. Para activar el archivo de configuracin IPQoS, consulte la seccin Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 890. Para crear clases para flujos de trfico de aplicaciones, consulte la seccin Cmo definir el archivo de configuracin IPQoS para un servidor de aplicaciones en la pgina 878.
1 2
Inicie una sesin en el servidor Web "best-effort". Cree un archivo de configuracin IPQoS con extensin .qos.
fmt_vesion 1.0 action { module ipgpc name ipgpc.classify params { global_stats TRUE }
El archivo /var/ipqos/userweb.qos debe comenzar con la intruccin action parcial para invocar al clasificador ipgpc. Adems, la instruccin action tambin tiene una clusula
873
params para activar la recopilacin de estadsticas. Si necesita una explicacin de esta instruccin action, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864.
3
Defina una clase que identifique el trfico vinculado con el servidor Web "best-effort".
class { name userweb next_action markAF12 enable_stats FALSE }
Crea una clase llamada userweb para reenvar el trfico Web de usuarios. Indica al mdulo ipgpc que debe transferir los paquetes de la clase userweb a la instruccin action markAF12 cuando ipgpc haya completado el procesamiento. La instruccin action markAF12 invoca al marcador dscpmk. Activa la recopilacin de estadsticas para la clase userweb. Aunque, debido a que el valor de enable_stats es FALSE, no se recopilan estadsticas para esta clase.
enable_stats FALSE
Para ver una explicacin de la tarea de la clusula class, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864.
4
Defina una clusula filter para seleccionar los flujos de trfico de la clase userweb.
filter { name webout sport 80 direction LOCAL_OUT class userweb } }
Asigna el nombre webout al filtro. Selecciona el trfico con origen en el puerto 80, el puerto de trfico HTTP (Web). Selecciona el trfico saliente del sistema local. Identifica la clase a la que pertenece el filtro, en este caso, la clase userweb.
Para ver una explicacin de la tarea de la clusula filter, consulte la seccin Cmo definir filtros en el archivo de configuracin IPQoS en la pgina 867.
874
La clase definida previamente userweb incluye una instruccin next_action markAF12. Esta instruccin enva flujos de trfico a la instruccin action markAF12 cuando el clasificador finaliza el procesamiento.
6
Defina parmetros que debe usar el marcador para procesar el flujo de trfico.
params { global_stats FALSE dscp_map{0-63:12} next_action continue } }
global_stats FALSE
Activa la recopilacin de estadsticas para la instruccin action del marcador markAF12. Aunque, debido a que el valor de enable_stats es FALSE, no se recopilan estadsticas. Asigna un valor DSCP de 12 a los encabezados de paquetes de la clase de trfico userweb, que est procesando el marcador en ese momento. Indica que no es necesario ms procesamiento en los paquetes de la clase de trfico userweb, y que los paquetes pueden volver al flujo de red.
El valor DSCP de 12 indica al marcador que debe definir todas las entradas del mapa dscp en el valor decimal 12 (binario 001100). Este punto de cdigo indica que los paquetes de la clase de trfico userweb estn sujetos al comportamiento por salto AF12. AF12 garantiza que todos los paquetes con el DSCP de valor 12 en el campo DS reciben un servicio de probabilidad de descarte media y prioridad alta.
7 Vase tambin
Para aadir clases y otra configuracin para flujos de trfico de aplicaciones, consulte la seccin Cmo definir el archivo de configuracin IPQoS para un servidor de aplicaciones en la pgina 878. Para configurar comportamientos por salto en un encaminador, consulte la seccin Cmo configurar un encaminador en una red con IPQoS en la pgina 887.
875
Para activar el archivo de configuracin IPQoS, consulte la seccin Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 890.
fmt_version 1.0 action { module ipgpc name ipgpc.classify params { global_stats TRUE } class { name smtp enable_stats FALSE next_action markAF13 } class { name news next_action markAF21 } class { name ftp next_action meterftp } filter { name smtpout sport smtp class smtp } filter { name newsout sport nntp
876
EJEMPLO 343
(Continuacin)
class news } filter { name ftpout sport ftp class ftp } filter { name ftpdata sport ftp-data class ftp } } action { module dscpmk name markAF13 params { global_stats FALSE dscp_map{0-63:14} next_action continue } } action { module dscpmk name markAF21 params { global_stats FALSE dscp_map{0-63:18} next_action continue } } action { module tokenmt name meterftp params { committed_rate 50000000 committed_burst 50000000 red_action_name AF31 green_action_name markAF22 global_stats TRUE } } action { module dscpmk name markAF31
877
EJEMPLO 343
(Continuacin)
params { global_stats TRUE dscp_map{0-63:26} next_action continue } } action { module dscpmk name markAF22 params { global_stats TRUE dscp_map{0-63:20} next_action continue } }
Si necesita una explicacin de la instruccin action inicial, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864.
2
Cree clases para seleccionar el trfico de tres aplicaciones en el servidor BigAPPS. Aada las definicioes de clases despus de la instruccin action de apertura.
class { name smtp enable_stats FALSE
878
next_action markAF13 } class { name news next_action markAF21 } class { name ftp enable_stats TRUE next_action meterftp }
Crea una clase llamada smtp, que incluye los flujos de trfico de correo electrnico que debe administrar la aplicacin SMTP Activa la recopilacin de estadsticas para la clase smtp. Aunque, debido a que el valor de enable_stats es FALSE, no se recopilan estadsticas para esta clase. Indica al mdulo ipgpc que debe transferir los paquetes de la clase smtp a la instruccin action markAF13 cuando ipgpc haya completado el procesamiento. Crea una clase llamada news, que incluye los flujos de trfico de noticias de red que debe administrar la aplicacin NNTP. Indica al mdulo ipgpc que debe transferir los paquetes de la clase news a la instruccin action markAF21 cuando ipgpc haya completado el procesamiento. Crea una clase llamada ftp, que administra el trfico saliente gstionado por la aplicacin FTP. Activa la recopilacin de estadsticas para la clase ftp. Indica al mdulo ipgpc que debe transferir los paquetes de la clase ftp a la instruccin action meterftp cuando ipgpc haya completado el procesamiento.
next_action markAF13
Si necesita ms informacin sobre cmo definir clases, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864.
3
Defina clusulas filter para seleccionar el trfico de las clases definidas en el paso 2.
filter { name smtpout sport smtp class smtp } filter {
879
name newsout sport nntp class news } filter { name ftpout sport ftp class ftp } filter { name ftpdata sport ftp-data class ftp } }
name smtpout sport smtp class smtp name newsout sport nntp class news name ftpout sport ftp name ftpdata sport ftp-data class ftp
Asigna el nombre smtpout al filtro. Selecciona el trfico con puerto de origen 25, el puerto para la aplicacin sendmail (SMTP). Identifica la clase a la que pertenece el filtro, en este caso, la clase smtp. Asigna el nombre newsout al filtro. Selecciona el trfico con nombre de puerto origen nntp, el nombre de puerto para la aplicacin de noticias de red (NNTP). Identifica la clase a la que pertenece el filtro, en este caso, la clase news. Asigna el nombre ftpout al filtro. Selecciona los datos de control con un puerto origen 21, el nmero de puerto para trfico FTP. Asigna el nombre ftpdata al filtro. Selecciona el trfico con puerto de origen 20, el nmero de puerto para trfico FTP. Identifica la clase a la que pertenecen los filtros ftpout y ftpdata, en este caso ftp.
Vase tambin
Para definir filtros, consulte la seccin Cmo definir filtros en el archivo de configuracin IPQoS en la pgina 867. Para definir comportamientos de reenvo para el trfico de aplicaciones, consulte la seccin Cmo configurar el reenvo para el trfico de aplicaciones en el archivo de configuracin IPQoS en la pgina 881.
880
Para configurar el control de flujo utilizando los mdulos de medicin, consulte la seccin Cmo configurar el control de flujo en el archivo de configuracin IPQoS en la pgina 883. Para configurar la recopilacin de datos sobre el flujo, consulte la seccin Cmo activar el control para una clase en el archivo de configuracin IPQoS en la pgina 871.
Antes de empezar 1
En el procedimiento se asume que ya tiene un archivo de configuracin IPQoS con clases y filtros definidos para las aplicaciones que se van a marcar. Abra el archivo de configuracin IPQoS creado para el servidor de aplicaciones y localice el final de la ltima clusula filter. En el archivo /var/ipqos/BigAPPS.qos, el ltimo filtro es el siguiente:
filter { name ftpdata sport ftp-data class ftp } }
Defina el comportamiento por salto que debe marcarse en los flujos de trfico de correo electrnico.
params { global_stats FALSE dscp_map{0-63:14} next_action continue
881
} }
global_stats FALSE
Activa la recopilacin de estadsticas para la instruccin action del marcador markAF13. Aunque, debido a que el valor de enable_stats es FALSE, no se recopilan estadsticas. Asigna un DSCP de valor 14 a los encabezados de paquetes de la clase de trfico smtp, que est procesando el marcador en ese momento. Indica que no se necesita ms procesamiento en los paquetes de la clase de trfico smtp. Estos paquetes pueden volver al flujo de red.
dscp_map{063:14}
next_action continue
El valor DSCP de 14 indica al marcador que debe efinir todas las entradas del mapa dscp en el valor decimal 14 (binario 001110). El DSCP de valor 14 define el comportamiento por salto AF13. El marcador marca paquetes de la clase de trfico smtp con el DSCP de valor 14 en el campo DS. AF13 asigna todos los paquetes con un DSCP de 14 a una precedencia de alta probabilidad de descarte. Aunque, debido a que AF13 tambin garantiza una prioridad de Clase 1, el encaminador sigue garantizando una alta prioridad en cola al trfico de correo electrnico saliente. Para ver una tabla de cdigos para AF, consulte la Tabla 372.
4
Aada una instruccin action de marcador para definir un comportamiento por salto para el trfico de noticias de red:
action { module dscpmk name markAF21 params { global_stats FALSE dscp_map{0-63:18} next_action continue } }
Asigna el nombre markAF21 a la instruccin action . Asigna un valor DSCP de 18 a los encabezados de paquetes de la clase de trfico nntp que est procesando el marcador en ese momento.
El valor DSCP de 18 indica al marcador que debe definir todas las entradas del mapa dscp en el valor decimal 18 (binario 010010). El valor DSCP 18 define el comportamiento por salto AF21. El marcador marca los paquetes de la clase de trfico news con el valor DSCP 18 en el campo DS. AF21 garantiza que todos los paquetes con un valor DSCP de 18 reciben una precedencia de baja probabilidad de descarte, pero slo con prioridad Clase 2. Por lo tanto, la posibilidad de que se descarte el trfico de noticias de red es bajo.
882
Vase tambin
Para aadir informacin de configuracin para servidores Web, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864. Para configurar el control de flujo utilizando los mdulos de medicin, consulte la seccin Cmo configurar el control de flujo en el archivo de configuracin IPQoS en la pgina 883. Para configurar la recopilacin de datos sobre el flujo, consulte la seccin Cmo activar el control para una clase en el archivo de configuracin IPQoS en la pgina 871. Para configurar comportamientos de reenvo en un encaminador, consulte la seccin Cmo configurar un encaminador en una red con IPQoS en la pgina 887. Para activar el archivo de configuracin IPQoS, consulte la seccin Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 890.
Antes de empezar 1
En los pasos se asume que ya ha definido una clase y un filtro para controlar el flujo de la aplicacin. Abra el archivo de configuracin IPQoS que ha creado para el servidor de aplicaciones. En el archivo /var/ipqos/BigAPPS.qos , empiece despus de la siguiente accin de marcador:
action { module dscpmk name markAF21 params { global_stats FALSE dscp_map{0-63:18} next_action continue } }
883
Cree una instruccin action de medidor para controlar el flujo de trfico de la clase ftp.
action { module tokenmt name meterftp
Asigna una tasa de transmisin de 50.000.000 bps al trfico de la clase ftp. Dedica un tamao de rfaga de 50.000.000 al trfico de la clase ftp.
Para ver una explicacin de los parmetros tokenmt, consulte la seccin Configuracin de tokenmt como medidor de doble tasa en la pgina 907.
4
red_action_name markAF31
Idinca que si el flujo de trfico de la clase ftp excede la tasa asignada, los paquetes se envan a la instruccin action del marcador markAF31. Indica que si los flujos de trfico de la clase ftp cumplen la tasa asignada, los paquetes se envan a la instruccin action de markAF22. Activa las estadsticas de medicin para la clase ftp.
green_action_name markAF22
global_stats TRUE
Si necesita ms informacin sobre el cumplimiento del trfico, consulte la seccin Mdulo Meter en la pgina 906.
884
Aada uns instruccin action de marcador para asignar un comportamiento por salto a los flujos de trfico de la clase ftp que no cumplan la tasa.
action { module dscpmk name markAF31 params { global_stats TRUE dscp_map{0-63:26} next_action continue } }
Invoca al mdulo de marcador dscpmk. Asigna el nombre markAF31 a la instruccin action. Activa las estadsticas para la clase ftp. Asigna un valor DSCP de 26 a los encabezados de paquetes de la clase de trfico ftp cuando el trfico excede la tasa asignada. Indica que no se requiere ms procesamiento para los paquetes de la clase de trfico ftp. Estos paquetes pueden devolverse al flujo de red.
El valor DSCP de 26 indica al marcador que debe establecer todas las entradas del mapa dscp en el valor decimal 26 (binario 011010). El valor DSCP 26 define el comportamiento por salto AF31. El marcador marca los paquetes de la clase de trfico ftp con el valor DSCP 26 en el campo DS. AF31 garantiza que todos los paquetes con un valor DSCP de 26 reciben una precedencia de baja probabilidad de descarte, pero slo con prioridad Clase 3. Por lo tanto, la posibilidad de que se descarte el trfico FTP que no cumple la tasa es baja. Para ver una tabla de cdigos para AF, consulte la Tabla 372.
6
Aada una instruccin action de marcador para asignar un comportamiento por salto a los flujos de trfico ftp que cumplen la tasa asignada.
action { module dscpmk name markAF22 params { global_stats TRUE dscp_map{0-63:20} next_action continue } }
name markAF22
885
dscp_map{063:20}
Asigna un valor DSCP de 20 a los encabezados de paquetes de la clase de trfico ftp cuando el trfico ftp cumple la tasa configurada.
El valor DSCP de 20 indica al marcador que debe definir todas las entradas del mapa dscp en el valor decimal 20 (binario 010100). El valor DSCP de 20 define el comportamiento por salto AF22. El marcador marca los paquetes de la clase de trfico ftp con el valor DSCP de 20 en el campo DS. AF22 garantiza que todos los paquetes con un valor DSCP de 20 reciben una precedencia de probabilidad de descarte media con prioridad de Clase 2. Por lo tanto, el trfico FTP que cumple la tasa tiene garantizada una precedencia con probabilidad de descarte media entre los flujos envados simultneamente por el sistema IPQoS. Aunque el encaminador asigna una prioridad de reenvo ms alta a las clases de trfico con una marca de precedencia de probabilidad de descarte media de Clase 1 o superior. Para ver una tabla de cdigos para AF, consulte la Tabla 372.
7
Aada los puntos DSCP que ha creado para el servidor de aplicaciones a los archivos correspondientes del encaminador Diffserv.
Vase tambin
Para activar el archivo de configuracin IPQoS, consulte la seccin Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 890. Para aadir informacin de configuracin para servidores Web, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864. Para configurar la recopilacin de datos sobre el flujo, consulte la seccin Cmo activar el control para una clase en el archivo de configuracin IPQoS en la pgina 871. Para configurar comportamientos de reenvo en un encaminador, consulte la seccin Cmo configurar un encaminador en una red con IPQoS en la pgina 887.
886
Antes de empezar 1 2
video goldweb webout smtp news ftp conformant traffic ftp nonconformant traffic
Aada los puntos de cdigo de los archivos de configuracin IPQoS de la red a los archivos correspondientes del encaminador Diffserv. Los puntos de cdigo proporcionados deben facilitar la configuracin del mecanismo de planificacin Diffserv del encaminador. Consulte la documentacin y el sisito Web del fabricante del encaminador si necesita instrucciones.
887
888
C A P T U L O
35
3 5
Este captulo contiene tareas para activar un archivo de configuracin IPQoS y para el registro de eventos relacionados con IPQoS. Contiene los temas siguientes:
Administracin IPQoS (Mapa de tareas) en la pgina 889 Aplicacin de una configuracin IPQoS en la pgina 890 Activacin del registro syslog para mensajes IPQoS en la pgina 891 Resolucin de problemas con mensajes de error IPQoS en la pgina 892
1. Configure IPQoS en un sistema. 2. Haga que los comandos de inicio de Solaris apliquen el archivo de configuracin IPQoS depurado cada vez que se inicie el sistema. 3. Active el regirstro syslog para IPQoS. 4. Solucione cualquier problema IPQoS que surja.
Utilice el comando ipqosconf para activar el archivo de configuracin IPQoS en un sistema. Asegrese de que la configuracin IPQoS se aplica cada vez que se reinicia el sistema.
Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 890 Cmo garantizar que la configuracin IPQoS se aplica cada vez que se reinicia en la pgina 891.
Aada una entrada para activar el registro syslog de mensajes IPQoS. Solucione los problemas IPQoS utilizando mensajes de error.
Cmo activar el registro de mensajes IPQoS durante el inicio en la pgina 891. Consulte los mensajes de error de la Tabla 351.
889
Asuma la funcin de administrador principal o hgase superusuario en el sistema con IPQoS. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Aplique la nueva configuracin.
# /usr/sbin/ipqosconf -a/var/ipqos/Goldweb.qos
ipqosconf escribe la informacin en el archivo de configuracin IPQoS especificado de los mdulos IPQoS del kernel de Solaris. En este ejemplo, el contenido de /var/ipqos/Goldweb.qos se aplica al kernel Solaris actual.
Nota Cuando se aplica un archivo de configuracin IPQoS con la opcin -a, las acciones del archivo slo se activan para la sesin actual. 3
Compruebe y depure la nueva configuracin IPQoS. Utilice las herramientas de UNIX para supervisar el comportamiento IPQoS y recopilar estadsticas sobre la implementacin IPQoS. Esta informacin permite determinar si la configuracin funciona como se esperaba.
Vase tambin
Para ver estadsticas sobre cmo funcionan los mdulos IPQoS, consulte la seccin Recopilacin de estadsticas en la pgina 900. Para registrar los mensajes ipqosconf, consulte la seccin Activacin del registro syslog para mensajes IPQoS en la pgina 891. Para asegurarse de que la configuracin IPQoS actual se aplica en cada inicio, consulte la seccin Cmo garantizar que la configuracin IPQoS se aplica cada vez que se reinicia en la pgina 891.
890
Cmo garantizar que la configuracin IPQoS se aplica cada vez que se reinicia
Debe hacer que la configuracin IPQoS sea persistente en cada reinicio. En caso contrario, la configuracin actual slo se aplica hasta que el sistema se reinicia. Cuando la configuracin IPQoS funcione correctamente en un sistema, haga lo siguiente para que la configuracin sea persistente cada vez que se reinicia.
Asuma la funcin de administrador principal o hgase superusuario en el sistema con IPQoS. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Compruebe que existe una configuracin IPQoS en los mdulos de kernel.
# ipqosconf -l
Si existe una configuracin, ipqosconf la muestra en pantalla. Si no recibe ninguna respuesta, aplique la configuracin, como se explica en la seccin Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 890.
3
Asegrese de que la configuracin IPQoS se aplica cada vez que el sistema IPQoS se reinicia.
# /usr/sbin/ipqosconf -c
La opcin -c hace que la configuracin IPQoS actual est presente en el archivo de configuracin de inicio /etc/inet/ipqosinit.conf .
Utilice tabuladores en lugar de espacios entre las columnas. La entrada registra todos los mensajes de inicio generados por IPQoS en el archivo /var/adm/messages .
4
Ejemplo 351
Tambin puede encontrar mensajes de error IPQoS similares a los siguientes en el archivo /var/adm/messages del sistema con IPQoS.
May 14 10:56:47 ipqos-14 ipqosconf: [ID 123217 user.error] Missing/Invalid config file fmt_version. May 14 10:58:19 ipqos-14 ipqosconf: [ID 671991 user.error] No ipgpc action defined.
Para ver una descripcin de estos mensajes de error, consulte la Tabla 351.
Mensaje de error
En el archivo de configuracin IPQoS, el nombre de accin especificado en nombre de parmetro no existe en el archivo de configuracin.
892
TABLA 351
(Continuacin)
Solucin
Mensaje de error
Descripcin
En el archivo de configuracin IPQoS, nombre de accin forma parte de un ciclo de acciones, lo que no estr pemitido por IPQoS.
Determine el ciclo de acciones. A continuacin, elimine una de las referencias cclicas del archivo de configuracin IPQoS.
Una definicin de accin no ipgpc no es Elimine la accin no referenciada. Tambin puede referenciada por ninguna otra accin hacer que otra accin haga referencia a la accin no definida en la configuracin IPQoS, lo que referenciada. no est permitido por IPQoS. El formato del archivo de configuracin Aada la versin de formato, como se explica en Cmo crear el archivo de configuracin IPQoS y no est especificado como primera entrada del archivo como requiere IPQoS. definir las clases de trfico en la pgina 864. La versin de formato especificada en el Cambie la versin de formato por fmt_version 1.0, archivo de configuracin no es compatilbe esto es necesario para ejecutar la versin Solaris 9 9/02 con IPQoS. de IPQoS y versiones posteriores. No ha definido una accin para el clasificador ipgpc en el archivo de configuracin, como requiere IPQoS. Cuando ejecut ipqosconf -c para confirmar una configuradcin, dicha configuracin estaba vaca, lo que no est permitido por IPQoS. En el archivo de configuracion, ha utilizado una mscara CIDR como parte de la direccin IP que est fuera del intervalo de direcciones IP vlidas. En el archivo de configuracin, ha definido una mscara CIDR para un nombre de host, lo que no est permtido en IPQoS. En el archivo de configuracin, el nombre de mdulo que ha especificado en una instruccin de accin no es vlido. Defina una accin para ipgpc, como se muestra en la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864. Asegrese de aplicar un archivo de configuracin antes de intentar confirmar una configuracin. Si necesita instrucciones, consulte Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 890. Cambie el valor de mscara por uno que se encuentre entre 132 para IPv4 y 1128 para IPv6.
Address masks arent allowed for host names line nmero de lnea Invalid module name line nmero de lnea ipgpc action has incorrect name line nmero de lnea
Compruebe que el nombre de mdulo est bien escrito. Para ver una lista de mdulos IPQoS, consulte la Tabla 375.
El nombre asignado a la accin ipgpc en el Cambie el nombre de la accin ipgpc.classify. archivo de configuracin no es el nombre ipgpc.classify requerido.
893
TABLA 351
(Continuacin)
Solucin
Mensaje de error
Descripcin
Second parameter clause not supported line nmero de lnea Duplicate named action
En el archivo de configuracin, ha especificado dos clusulas de parmetro para una nica accin, lo que no est permitido por IPQoS.
En el archivo de configuracin, ha Cambie el nombre de una de las acciones o elimnela. asignado el mismo nombre a dos acciones. Ha asignado el mismo nombre a dos filtros o dos clases en la misma accin, lo que no se permite en el archivo de configuracin IPQoS. En el archivo de configuracin, el filtro hace referencia a una clase no definida en la accin. La clase hace referencia a una accin no definida en el archivo de configuracin. En el archivo de configuracin, uno de los parmetros no es vlido. Cambie el nombre de uno de los filtros o clases, o elimnelo.
Duplicate named filter/class in action nombre de accin Undefined class in filter nombre de filtro in action nombre de accin Undefined action in class nombre de clase action nombre de accin Invalid parameters for action nombre de accin
Cree la clase, o cambie la referencia del filtro a una clase existente. Cree la accin, o cambie la referencia a una accin existente. Para ver el mdulo al que llama la accin especificada, consulte la entrada de mdulo de la seccin Arquitectura IPQoS y el modelo Diffserv en la pgina 903. Tambin puede consultar la pgina de comando man ipqosconf(1M). Para ver el mdulo al que llama la accin especificada, consulte la entrada de mdulo de la seccin Arquitectura IPQoS y el modelo Diffserv en la pgina 903. Tambin puede consultar la pgina de comando man ipqosconf(1M). Revise el archivo de configuracin y elimine las clases innecesarias. Tambin puede aumentar el nmero mximo de clases aadiendo al archivo /etc/system la entrada ipgpc_max_classesnmero de clases. Revise el archivo de configuracin y elimine los filtros innecesarios. Tambin puede aumentar el nmero mximo de filtros aadiendo al archivo /etc/system la entrada ipgpc_max_filtersnmero de filtros. Consulte la pgina de comando man ipqosconf(1M) para ve runa lista de parmetros vlidos.
Ha especificado ms clases de las permitidas en la accin ipgpc del archivo de configuracin IPQoS. El nmero mximo es 10007. Ha especificado ms filtros de los permitidos en la accin ipgpc del archivo de configuracin IPQoS. El nmero mximo es 10007. En el archivo de configuracin, el filtro nombre de filtro tiene parmetros no vlidos o no especificados.
894
TABLA 351
(Continuacin)
Solucin
Mensaje de error
Descripcin
Name not allowed to start Inicia una accin, un filtro o un nombre with !, line nmero de lnea de clase con un signo de exclamacin (!), lo cual no est permitido en el archivo IPQoS. Name exceeds the maximum name length line nmero de lnea Array declaration line nmero de lnea is invalid Ha definido un nombre de una accin, clase o filtro en el archivo de configuracin que excede la longitud mxima de 23 caracteres. En el archivo de configuracin, la declaracin de matriz del parmetro de la lnea nmero de lnea no es vlido.
Para ver la sintaxis correcta de la declaracin de matriz a la que llama la instruccin de accin con la matriz no vlida, consulte la seccin Arquitectura IPQoS y el modelo Diffserv en la pgina 903. Tambin puede consultar la pgina de comando man ipqosconf(1M). Asegrese de que la cadena citada empieza y termina en la misma lnea en el archivo de configuracin. Para ver los valores aceptables para el mdulo al que llama la instruccin de accin, consulte la descripcin del mdulo en la seccin Arquitectura IPQoS y el modelo Diffserv en la pgina 903. Tambin puede consultar la pgina de comando man ipqosconf(1M). Compruebe que el valor de anumeracin es correcto para el parmetro. Para ver una descripcin del mdulo al que llama la instruccin de accin con el nmero de lnea no reconocido, consulte la seccin Arquitectura IPQoS y el modelo Diffserv en la pgina 903. Tambin puede consultar la pgina de comando man ipqosconf (1M). Para ver la sintaxis correcta del mdulo al que llama la instruccin de accin con la lista de valores mal formada, consulte la descripcin del mdulo en la seccin Arquitectura IPQoS y el modelo Diffserv en la pgina 903. Tambin puede consultar la pgina de comando man ipqosconf(1M). Elimine uno de los parmetros duplicados.
Quoted string exceeds line, nmero de lnea Invalid value, line nmero de lnea
La cadena no tiene las comillas de cierre en la misma lnea, lo que es obligatorio en el archivo de configuracin. El valor definido en la lnea nmero de lnea del archivo de configuracin no es compatible con el parmetro.
El valor de nmero de lnea del archivo de configuracin no es un valor de enumeracin admitido para este parmetro.
La enumeracin especificada en nmero de lnea del archivo de configuracin no cumple la sintaxis de especificacin.
Se ha especificado un parmetro duplicado en nmero de lnea, lo que no est permitido en el archivo de configuracin.
895
TABLA 351
(Continuacin)
Solucin
Mensaje de error
Descripcin
Ha asignado a la accin de nmero de Cambie el nombre de la accin de modo que no utilice lnea del archivo de configuracin un un nombre predefinido. nombre que utiliza el nombre predefinido continue o drop". ipqosconf no ha podido determinar la direccin de origen o destino definida para el filtro en el archivo de configuracin. Por lo tanto, se omite el filtro. Si el filtro es importante, intente aplicar la configuracin ms adelante.
Failed to resolve src/dst host name for filter at line nmero de lnea, ignoring filter
La versin IP de la direccin de nmero de Cambie las dos entradas en conflicto para que sean lnea es incompatible con la versin de compatibles. una direccin IP especificada previamente o parmetro ip_version. Ha intentado cambiar el mdulo de una accin que ya existe en la configuracin IPQoS del sistema, lo que no est permitido. Vace la configuracin actual antes de aplicar la nueva configuracin.
Action at line nmero de lnea has the same name as currently installed action, but is for a different module
896
C A P T U L O
36
3 6
En este captulo se explica como obtener datos de control y estadsticas sobre el trfico administrador por un sistema IPQoS. Se explican los siguientes temas:
Establecimiento del control de flujo (Mapa de tareas) en la pgina 897 Registro de informacin sobre flujos de trfico en la pgina 897 Recopilacin de estadsticas en la pgina 900
1. Cree un archivo para guardar la informacin de control de flujos de trfico. 2. Defina los parmetros flowacct en el archivo de configuracin IPQoS.
Utilice el comando acctadm para crear un Cmo crear un archivo para datos de control de flujo archivo en el que se almacenarn los en la pgina 898 resultados del procsamiento de flowacct. Defina valores para los parmetros timer, Cmo activar el control para una clase en el archivo de timeout y max_limit. configuracin IPQoS en la pgina 871
contienen datos sobre flujos de trfico de una clase deteminada en un intervalo de tiempo. Para ver una lista de los atributos de flowacct, consulte la Tabla 374. El control de flujo es especialmente til para facturar a los clientes como est definido en su acuerdo de nivel de servicio. Tambin puede utilizar el control de flujo para obtener estadsitcas de aplicaciones importantes. Esta seccin contiene tareas para utilizar flowacct con la herramienta de control ampliado de Solaris para obtener datos sobre flujos de trfico. La siguiente informacin se encuentra en otras fuentes, no en este captulo:
Si necesita instrucciones para crear una instruccin de accin para flowacct en el archivo de configuracin IPQoS, consulte Cmo configurar el control de flujo en el archivo de configuracin IPQoS en la pgina 883. Para aprender cmo funciona flowacct, consulte Mdulo Classifier en la pgina 903. Si necesita informacin tcnica, consulte la pgina de comando man flowacct(7ipp).
Asuma la funcin de administrador principal o hgase superusuario en el sistema con IPQoS. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Cree un archivo de control de flujo bsico. En el siguiente ejemplo se muestra cmo crear un archivo de control de flujo bsico para el servidor web configurado en el Ejemplo 341.
# /usr/sbin/acctadm -e basic -f /var/ipqos/goldweb/account.info flow
Invoca a acctadm con la opcn -e. La opcin -e activa los argumentos que hay a continuacin. Determina que slo los datos de los ocho atributos bsicos flowacct se registran en el archivo. Especifica el nombre de ruta completo del archivo que contendr los registros de flujo de flowacct. Indica a acctadm que debe activar el control de flujo.
Para ver la informacin de control de flujo del sistema IPQoS, escriba acctadm sin argumentos. acctadm genera la siguiente salida:
Task accounting: inactive Task accounting file: Tracked task resources: Untracked task resources: Process accounting: Process accounting file: Tracked process resources: Untracked process resources: Flow accounting: Flow accounting file: Tracked flow resources: Untracked flow resources: none none extended inactive none none extended,host,mstate active /var/ipqos/goldweb/account.info basic dsfield,ctime,lseen,projid,uid
Todas las entradas menos las cuatro ltimas son para su uso con la funcin Solaris Resource Manager. En la siguiente tabla se explican las entras especficas de IPQoS.
Entrada Descripcin
Flow accounting: active Flow accounting file: /var/ipqos/goldweb/account.info Tracked flow resources: basic
Indica que el control de flujo est activado. Da el nombre del archivo de control de flujo actual. Indica que slo se supervisan los atributos de flujo bsicos. Enumera los atributos flowacct que no se supervisan en el archivo.
Ver el contenido de un archivo de control de flujo. En Interfaz Perl para libexacct de Gua de administracin de sistemas: Zonas de Solaris y administracin de recursos y contenedores de Solaris encontrar instrucciones para ver el contenido de un archivo de control de flujo.
899
Recopilacin de estadsticas
Vase tambin
Para ver informacin detallada sobre la funcin de control ampliado, consulte el Captulo 4, Cuentas extendidas (descripcin general) de Gua de administracin de sistemas: Zonas de Solaris y administracin de recursos y contenedores de Solaris. Para definir parmetros flowacct en el archivo de configuracin IPQoS, consulte Cmo activar el control para una clase en el archivo de configuracin IPQoS en la pgina 871. Para imprimir los datos del archivo creado con acctadm , consulte Interfaz Perl para libexacct de Gua de administracin de sistemas: Zonas de Solaris y administracin de recursos y contenedores de Solaris.
Recopilacin de estadsticas
Puede utilizar el comando kstat para generar estadsticas de los mdulos IPQoS. Use la sintaxis siguiente:
/bin/kstat -m ipqos-module-name
Puede especificar cualquier nombre de mdulo IPQoS vlido, como se muestra en la Tabla 375. Por ejemplo, para ver estadsticas generadas por el marcador dscpmk, utilice el siguiente comando de kstat:
/bin/kstat -m dscpmk
A continuacin se muestra un ejemplo del posible resultado al ejecutar kstat para obtener estadsticas sobre el mdulo flowacct.
# kstat -m flowacct module: flowacct name: Flowacct statistics bytes_in_tbl crtime epackets flows_in_tbl nbytes npackets snaptime usedmem
Da el nombre de la clase a la que pertenecen los flujos de trfico, en este caso flacct. Nmero total de bytes en la tabla de flujo. El nmero total de bytes es la suma en bytes de todos los registros de flujo actuales de la tabla de flujo. La
900
Recopilacin de estadsticas
EJEMPLO 361
(Continuacin)
cantidad total de bytes de esta tabla de flujo es de 84. Si no hay ningn flujo en la tabla, el valor de bytes_in_tbl es 0. crtime epackets flows_in_tbl nbytes La ltima vez que se cre est salida de kstat. Nmero de paquetes que resultaron en un error durante el procesamiento, en este ejemplo 0. Nmero de registros de flujo que hay en la tabla de flujos, en este ejemplo es 1. Si no hay ningn registro en la tabla, el valor de flows_in_tbl es 0. Nmero total de bytes observados por esta instancia de accin flowacct, en este ejemplo 84. El valor incluye bytes que se encuentran actualmente en la tabla de flujo. El valor tambin incluye bytes obsoletos que ya no se encuentran en la tabla de flujo. Nmero total de paquetes observados por esta instancia de accin flowacct, en este ejemplo 1. npackets incluye paquetes que se encuentran actualmente en la tabla de flujo. npackets tambin incluye paquetes obsoletos que ya no se encuentran en la tabla de flujo. Memoria en bytes en uso por la tabla de flujo mantenida por esta instancia flowacct. En el ejemplo, el valor usedmem es 256. El valor de usedmem es 0 cuando la tabla de flujo no contiene ningn registro de flujo.
npackets
usedmem
901
902
C A P T U L O
37
3 7
Este captulo contiene material de referencia con informacin detallada sobre los siguientes temas de IPQoS:
Arquitectura IPQoS y el modelo Diffserv en la pgina 903 Archivo de configuracin IPQoS en la pgina 916 Herramienta de configuracin ipqosconf en la pgina 920
Para obtener una descripcin general, consulte el Captulo 32, Introduccin a IPQoS (Descripcin general). Si necesita informacin sobre la planificacin, consulte el Captulo 33, Planificacin para una red con IPQoS (Tareas). Para ver los procedimientos para configurar IPQoS, consulte el Captulo 34, Creacin del archivo de configuracin IPQoS (Tareas).
Adems, IPQoS incluye el mdulo de control de flujo y el marcador dlcosmk para su uso en dispositivos VLAN (red de rea local virtual).
Mdulo Classifier
En el modelo Diffserv, el mdulo classifier se encarga de organizar los flujos de trfico seleccionados en grupos a los que se aplican diferentes niveles de servicio. Los clasificadores definidos en RFC 2475 se disearon originalmente para encaminadores de lmite de sistema. En
903
cambio, el clasificador IPQoS ipgpc est diseado para administrar flujos de trfico en hosts internos de la red local. Por lo tanto, una red con sistemas IPQoS y un encaminador Diffserv puede proporcionar un alto nivel de servicios diferenciados. Para ver una descripcin tcnica de ipgpc, consulte la pgina de comando man ipgpc(7ipp). El clasificador ipgpc se encarga de lo siguiente: 1. Selecciona los flujos de trfico que cumplen los criterios especificados en el archivo de configuracin IPQoS en el sistema con IPQoS La directiva QoS define varios criterios que deben estar presentes en los encabezados de paquetes. Estos criterios se denominan selectores. El clasificador ipgpc compara estos selectores con los encabezados de paquetes que recibe el sistema IPQoS. Despus, ipgpc selecciona todos los paquetes que coinciden. 2. Separa los flujos de paquetes en clases, trfico de red con las mismas caractersticas, como se ha definido en el archivo de configurain IPQoS 3. Examina el valor del campo de servicios diferenciados (DS) del paquete para comprobar si contiene un punto de cdigo de servicios diferenciados (DSCP) La presencia de un punto de cdigo DSCP indica si el trfico entrante ha sido marcado en su origen con un comportamiento de reenvo. 4. Determina qu otras acciones estn especificadas en la configuracin IPQoS para paquetes de una clase especfica 5. Transfiere los paquets al siguiente mdulo IPQoS especificado en el archivo de configuracin IPQoS, o los devuelve al flujo de red Para ver una descripcin general del clasificador, consulte Descripcin general del clasificador (ipgpc) en la pgina 829. Si necesita informacin sobre cmo invocar al clasificador en el archivo de configuracin IPQoS, consulte Archivo de configuracin IPQoS en la pgina 916.
Selectores IPQoS
El clasificador ipgpc admite varios selectores que se pueden usar en la clusula filter del archivo de configuracin IPQoS. Al usar un filtro, utilice siempre el nmero mnimo de selectores necesarios para extraer el trfico de una clase determinada. El nmero de filtros definidos repercute en el rendiemiento de IPQoS. En la siguiente tabla se muestran los selectores disponibles para ipgpc .
TABLA 371 Selector
saddr daddr
904
(Continuacin)
Informacin seleccionada
sport
Un nmero de puerto o nombre de servicio, definido en /etc/services . Un nmero de puerto o nombre de servicio, definido en /etc/services . Un nmero o nombre de protocolo, definido en /etc/protocols. Punto de cdigo DS (DSCP) con un valor de 063.
Puerto de origen del que proviene una clase de trfico. Puerto de destino de una clase de trfico. Protocolo que usar esta clase de trfico. DSCP que define cualquier comportamiento de reenvo que deb aplicarse al paquete. Si se especifica este parmetro, el parmetro dsfield_mask tambin debe especificarse. Se utiliza en combinacin con el selector dsfield. dsfield_mask se aplica al selector dsfield para determinar qu bit se utiliza para la comparacin. Interfaz que se utiliza para el trfico entrante o saliente de una clase determinada. ID de usuario que se suministra a una aplicacin.
dport
protocol
dsfield
dsfield_mask
if_name
Nombre de interfaz. Nmero del ID de usuario o nombre de usuario de UNIX que se seleccionar. Si no hay ningn ID de usuario ni nombre de usuario en el paquete, se utilizar la opcin predeterminada, 1. Nmero de ID de proyecto que se seleccionar. Nmero de prioridad. La prioridad ms baja es 0. El argumento puede ser uno de los siguientes: LOCAL_IN LOCAL_OUT FWD_IN FWD_OUT
user
projid
ID de proyecto que se suministra a una aplicacin. Prioridad que se asigna a paquetes de esta clase. La prioridad se utiliza para ordenar la importancia de filtros de la misma clase. Direccin del flujo de paquete en el equipo IPQoS. Trfico de entrada local del sistema IPQoS. Trfico de salida local del sistema IPQoS. Trfico de entrada que se debe reenviar. Trfico de salida que se debe reenviar.
priority
direction
precedence
Valor de precedencia. La precedencia ms alta es La precedencia se utiliza para ordenar filtros 0. con la misma prioridad. V4 o V6 Esquema de direcciones utilizado por los paquetes, IPv4 o IPv6.
ip_version
905
Mdulo Meter
El medidor controla la tasa de transmisin de flujos por paquete. Despus, determina si el paquete cumple los parmetros configurados. El mdulo medidor (Meter) determina la siguietne accin para un paquete de un conjunto de acciones, que dependen del tamao del paquete, los parmetros configurados y la tasa de flujo. Meter consta de dos mdulos de medicin, tokenmt y tswtclmt, que se configuran en el archivo de configuracn IPQoS. Puede configurar uno de los mdulos, o ambos, para una clase. Al configurar un mdulo de medicin, puede definir dos parmetros de tasa:
committed-rate Define la tasa de transmisin aceptable, en bits por segundo, para paquetes de una clase determinada peak-rate Define la tasa de transmisin mxima, en bits por segundo, que se permite para paquetes de una clase determinada
green El paquete permite que el flujo se mantenga en la tasa aprobada. yellow El paquete hace que el flujo sobrepase su tasa aprobada pero no la mxima. red El paquete hace que el flujo sobrepase su tasa mxima.
Puede configurar cada resultado con acciones diferentes en el archivo de configuracin IPQoS. La tasa aprobada y la tasa mxima se explican en la siguiente seccin.
committed_rate Especifica la tasa aprobada para el flujo, en bits por segundo. committed_burst Especifica el tamao de rfaga aprobado en bits. El parmetro committed_burst define cuntos paquetes de una clase determinada pueden transmitirse a la red a la tasa aprobada. peak_rate Especifica la tasa mxima en bits por segundo. peak_burst Especifica el tamao de rfaga mxima en bits. El parmetro peak_burst asigna a una clase de trfico un tamao de rfaga mxima que sobrepasa la tasa aprobada.
906
color_aware Establece tokenmt en modo de activacin. color_map Define una matriz de enteros que asgina valores DSCP a verde, amarillo o rojo.
action { module tokenmt name meter1 params { committed_rate 4000000 peak_rate 8000000 committed_burst 4000000 peak_burst 8000000 global_stats true red_action_name continue yellow_action_name continue green_action_name continue color_aware true color_map {0-20,22:GREEN;21,23-42:RED;43-63:YELLOW}
Captulo 37 IPQoS detallado (Referencia) 907
EJEMPLO 371 Accin tokenmt de reconocimiento de color para el archivo de configuracin IPQoS (Continuacin)
} }
Para activar el reconocimiento de color, hay que establecer el parmetro color_aware en true. Como medidor con reconocimiento de color, tokenmt asume que el paquete ya se ha marcado como rojo, amarillo o verde por una accin tokenmt anterior. tokenmt con reconocimiento de color evala los paquetes utilizando el punto de cdigo DSCP del encabezado, adems de los parmetros de un medidor de doble tasa. El parmetro color_map contiene una matriz en la que se asigna el punto de cdigo DSCP del encabezado del paquete. Observe la siguiente matriz color_map :
color_map {0-20,22:GREEN;21,23-42:RED;43-63:YELLOW}
Los paqutes con un DSCP de 020 y 22 se asignan al verde. Los paquetes con un DSCP de 21 y 2342 se asignan al rojo. Los paquetes con un DSCP de 4363 se asignan al amarillo. tokenmt mantiene un mapa de color predeterminado. Aunque puede cambiar los valores predeterminados utilizando los parmetros color_map . En los parmetros color_action_name, puede especificar continue para completar el procesamiento del paquete. Tambin puede aadir un argumento para enviar el paquete a una accin de marcador, por ejemplo yellow_action_name mark22.
committed_rate Especifica la tasa aprobada en bits por segundo peak_rate Especifica la tasa mxima en bits por segundo window Define la fase temporal, en milisegundos en los cuales se mantiene el historial de ancho de banda medio
Si necesita informacin tcnica sobre tswtclmt, consulte la pgina de comando man tswtclmt(7ipp) Si necesita informacin general sobre formadores de tasa similares a tswtclmt, consulte RFC 2963, A Rate Adaptive Shaper for Differentiated Services (http:// www.ietf.org/rfc/rfc2963.txt?number=2963).
908 Gua de administracin del sistema: servicios IP Octubre de 2009
Mdulo marcador
IPQoS incluye dos mdulos de marcador, dscpmk y dlcosmk. Esta seccin contiene informacin sobre cmo usar ambos marcadores. Normalmente se utiliza dscpmk, porque dlcosmk slo est disponible para sistemas IPQoS con dispositivos VLAN. Si necesita informacin tcnica sobre dscpmk, consulte la pgina de comando man dscpmk(7ipp). Si necesita informacin tcnica sobre dlcosmk, consulte la pgina de comando man dlcosmk(7ipp).
Precedencia con baja probabilidad de descarte Precedencia con probabilidad de descarte media Precedencia con alta probabilidad de descarte
Cualquier sistema con Diffserv puede utilizar el punto de cdigo AF como gua para proporcionar comportamientos de reenvo diferenciados a diferentes clases de trfico. Cuando estos paquetes llegan a un encaminador con Diffserv, el encaminador evala los puntos de cdigo de los paquetes junto con los puntos de cdigo DSCP de otro trfico en cola. Despus, el encaminador reenva o descarta paquetes, segn el ancho de banda disponible y las prioridades asignadas por los puntos DSCP de los paquetes. Los paquetes marcados con PHB EF tienen ancho de banda garantizado con respecto a paquetes marcados con cualquier comportamiento PHB AF. El marcado de paquetes debe coordinarse entre cualquier sistema IPQoS de la red y el encaminador Diffserv, para garantizar que los paquetes se reenvan de manera apropiada. Por ejemplo, suponga que los sistemas IPQoS de la red marcan los paquetes con puntos de cdigo AF21 (010010), AF13 (001110), AF43 (100110) y EF (101110). Deber aadir los puntos de cdigo DSCP AF21, AF13, AF43 y EF al archivo correspopndiente del encaminador Diffserv.
910 Gua de administracin del sistema: servicios IP Octubre de 2009
Para obtener una explicacin tcnica sobre la tabla de puntos de cdigo AF, consulte RFC 2597. En las pginas web de los fabricantes de encaminadores Cisco Systems y Juniper Networks puede encontrar informacin detallada acerca de la configuracin de comportamientos AF PHB. Puede usar esta informacin para definir comportamientos PHB AF para sistemas IPQoS y encaminadores. Tambin, la documentacin del fabricante del encaminador contiene instrucciones para definir puntos de cdigo DS en el equipo.
El parmetro dscp_map es una matriz de 64 elementos, que se rellena con el valor (DSCP). dscp_map se utiliza para asignar puntos DSCP entrantes a puntos DSCP salientes que aplica el marcador dscpmk. Debe especificar el valor DSCP de dscp_map en notacin decimal. Por ejemplo, el punto de cdigo EF 101110 debe traducirse al valor decimal 46, que da como resultado dscp_map{0-63:46}. Para puntos de cdigo AF, debe convertir los diferentes puntos de cdigo que se muestran en la Tabla 372 a notacin decimal para usarlos con dscp_map.
911
TABLA 373
Clase de servicio
0 1 2 3 4 5 6 7
Mejor posible Segundo plano Momentos libres Excelente Carga controlada Vdeo, latencia de menos de 100ms Vdeo, latencia de menos de 10ms Control de red
fmt_version 1.0 action { module ipgpc name ipgpc.classify filter { name myfilter2 daddr 10.10.8.3 class myclass } class { name myclass next_action mark4 }
912 Gua de administracin del sistema: servicios IP Octubre de 2009
EJEMPLO 372 Archivo de configuracin IPQoS para un sistema con un dispositivo VLAN (Continuacin)
} action { name mark4 module dlcosmk params { cos 4 next_action continue global_stats true } }
En esta configuracin, todo el trfico de machine1 destinado para el dispositivo VLAN de machine2 se transfiere al marcador dlcosmk. La accin de marcador mark4 indica a dlcosmk que debe aadir una marca VLAN a datagramas de la clase myclass con un valor CoS de 4. El valor de prioridad de usuario de 4 indica que el conmutador que hay entre los dos equipos debe proporcionar reenvo de carga controlado a los flujos de trfico myclass desde machine1 .
Mdulo flowacct
El mdulo IPQoS flowacct registra informacin sobre flujos de trfico, un proceso que se denomina control de flujo. El control de flujo genera datos que pueden utilizarse para la facturacin de clientes o para evaluar la cantidad de trfico de una clase determinada. El control de flujo es optativo. flowacct es, generalmente, el ltimo mdulo que los mdulos medidos o marcados encuentras antes de enviarse al flujo de red. Para ver una ilustracin de la ubicacin de flowacct en el modelo Diffserv, consulte la Figura 321. Para ver informacin tcnica detallada sobre flowacct, consulte la pgina de comando man flowacct(7ipp). Para activar el control de flujo, debe usar la herramienta de control de Solaris exacct y el comando acctadm, adems de flowacct . Para ver los pasos necesarios para configurar el control de flujo, consulte la seccin Establecimiento del control de flujo (Mapa de tareas) en la pgina 897.
Parmetros de flowacct
El mdulo flowacct recopila informacin sobre flujos en una tabla de flujo compuesta por registros de flujo. Cada entrada de la tabla contiene un registro de flujo. No se puede ver una tabla de flujo. En el archivo de configuracin IPQoS, se definen los siguientes parmetros de flowacct para medir los registros de flujo y escribirlos en la tabla de flujo:
Captulo 37 IPQoS detallado (Referencia) 913
timer Define un intervalo, en milisengundos, en el que los flujos con tiempo de espera superado se eliminan de la tabla de flujo y se escriben en el archivo creado por acctadm timeout Define un intervalo, en milisegundos, que especifica cunto tiempo debe estar inactivo un flujo de paquete para que se supere el tiempo de espera del flujo
Nota Puede configurar timer y timeout para que tengan diferentes valores.
max_limit Define el lmite mximo para el nmero de registros de flujo que pueden almacenarse en la tabla de flujo
Para ver un ejemplo de cmo se utilizan los parmetros flowacct en el archivo de configuracin IPQoS, consulte Cmo configurar el control de flujo en el archivo de configuracin IPQoS en la pgina 883.
Tabla de flujo
El mdulo flowacct mantiene una tabla de flujo que registra todos los flujos de paquetes supervisados por una instancia de flowacct. Un flujo se identifica mediante los siguientes parmetros, que incluyen flowacct 8tuple:
Direccin de origen Direccin de destino Puerto de origen Puerto de destino DSCP ID de usuario ID de proyecto Nmero de protocolo
Si todos los parmetros de 8tuple de un flujo siguen siendo los mismos, la tabla de flujo contiene slo una entrada. El parmetro max_limit determina el nmero de entradas que puede contener una tabla de flujo. La tabla de flujo se explora en el intervalo especificado en el archivo de configuracin IPQoS del parmetro timer. El tiempo predeterminado es 15 segundos. El tiempo de espera de un flujo se supera cuando el sistema IPQoS no enva los paquetes del flujo en el intervalo timeout definido en el archivo de configuracin IPQoS. El intervalo de tiempo de espera predeterminado es de 60 segundos. Las entradas con tiempo de espera superado se escriben en el archivo de control creado con el comando acctadm.
Registros flowacct
Un registro flowacct contiene los atributos descritos en la siguiente tabla.
914 Gua de administracin del sistema: servicios IP Octubre de 2009
TABLA 374
Nombre de atributo
src-addr-tipo de direccin
Direccin de oregien del originador. El tipo de Bsico direccin es v4 para IPv4 o v6 para IPv6, especificado en el archivo de configuracin IPQoS. Direccin de destino de los paquetes. El tipo de Bsico direccin es v4 para IPv4 o v6 para IPv6, especificado en el archivo de configuracin IPQoS. Puerto de origen del que proviene el flujo. Bsico
dest-addr-tipo de direccin
src-port dest-port
Nmero de puerto de destino al que est vinculado el Bsico flujo. Nmero de protocolo del flujo. Nmero de paquetes del flujo. Nmero de bytes del flujo. Bsico Bsico Bsico
Nombre de la accin flowacct que ha registrado este Bsico flujo. Primera vez que flowacct examina un paquete del flujo. ltima vez que se observ un paquete del flujo. DSCP en los encabezados del paquete saliente del flujo. ID o nombre de usuario UNIX, obtenido de la aplicacin. ID de proyecto, obtenido de la aplicacin. Slo ampliado Slo ampliado Slo ampliado Slo ampliado Slo ampliado
last-seen diffserv-field
user
projid
Para invocar a acctadm para utilizarlo con el mdulo flowacct, utilice la siguiente sintaxis:
acctadm -e file-type -f filename flow
Invoca a acctadm con la opcn -e. "-e" indica que a continuacin hay una lista de recursos. Especifica los atributos que se deben recopilar. tipo de archivo debe reemplazarse por basic o extended. Para ver una lista de atributos de cada tipo de archivo, consulte la Tabla 374. Crea el archivo nombre de archivo que contendr los registros de flujo. Indica que acctadm debe ejecutarse con IPQoS.
texto con estilo de ordenador Informacin sintctica proporcionada para explicar las secciones del archivo de configuracin. El usuario no noecesita escribir el texto con estilo de ordenador en ningn momento. texto en negrita Texto literal que debe escribir en el archivo de configuracin IPQoS. Por ejemplo, siempre debe empezar el archivo de configuracin IPQoS con fmt_version. texto en cursiva Texto variable que se reemplaza con informacin descriptiva sobre la configuracin. Por ejemplo, nombre de accin o nombre de mdulo deben reemplazarse siempre por informacin sobre la configuracin.
Sintaxis del archivo de configuracin IPQoS
EJEMPLO 373
file_format_version ::= fmt_version version action_clause ::= action { name action-name module module-name params-clause | "" cf-clauses
916
EJEMPLO 373
(Continuacin)
} action_name ::= string module_name ::= ipgpc | dlcosmk | dscpmk | tswtclmt | tokenmt | flowacct params_clause ::= params { parameters params-stats | "" } parameters ::= prm-name-value parameters | "" prm_name_value ::= param-name param-value params_stats ::= global-stats boolean cf_clauses ::= class-clause cf-clauses | filter-clause cf-clauses | "" class_clause ::= class { name class-name next_action next-action-name class-stats | "" } class_name ::= string next_action_name ::= string class_stats ::= enable_stats boolean boolean ::= TRUE | FALSE filter_clause ::= filter { name filter-name class classname parameters } filter_name ::= string
El texto restante describe cada seccin principal del archivo de configuracin IPQoS.
Instruccin action
Las instrucciones action se utilizan para invocar a los diferentes mdulos IPQoS descritos en Arquitectura IPQoS y el modelo Diffserv en la pgina 903. Al crear el archivo de configuracin IPQoS, siempre se debe empezar por el nmero de versin. Despus, se debe aadir la siguiente instruccin action para invocar al clasificador:
917
A continuacin de la instruccin action de clasificador, aada una clusula params o class. Utilice la siguiente sintaxis para el resto de instrucciones action:
action { name action-name module module-name params-clause | "" cf-clauses }
Asigna un nombre a la accin. Identifica el mdulo IPQoS que se debe invocar, que debe ser uno de los mdulos de la Tabla 375. Pueden ser parmetros que debe procesar el clasificador, como estadsticas globales, o la siguiente accin que procesar. Conjunto de cero o ms clusulas class o filter
clusulas cf
Definiciones de mdulo
La definicin de mdulo indica qu mdulo procesar los parmetros de la instruccin action. El archivo de configuracin IPQoS puede incluir los siguientes mdulos.
TABLA 375
Mdulos IPQoS
Definicin
Nombre de mdulo
ipgpc dscpmk
Clasificador IP Marcador que se debe utilizar para crear puntos de cdigo DSCP en paquetes IP Marcador que se debe utilizar con dispositivos VLAN Medidor de conjunto de tokens Medidor de fase temporal de desplazamiento
918
TABLA 375
Mdulos IPQoS
(Continuacin)
Definicin
Nombre de mdulo
flowacct
Clusula class
Se define una clusula class para cada clase de trfico. Utilice esta sintaxis para definir las clases restantes de la configuracin IPQoS:
class { name class-name next_action next-action-name }
Para activar la recopilacin de estadsticas de una clase determinada, primero debe activar las estadsticas globales en la instruccin action ipgpc.classify. Si necesita ms informacin, consulte Instruccin action en la pgina 917. Utilice la instruccin enable_stats TRUE cuando quiera activar la recopilacin de estadsticas de una clase. Si no necesita recopilar estadsticas de una clase, puede especificar enable_stats FALSE. Tambin puede eliminar la instruccin enable_stats. El trfico de una red con IPQoS que no est definido especficamente pertenece a la clase predeterminada.
Clusula filter
Los filtros estn compuestos por selectores que agrupan los flujos de trfico en clases. Estos selectores definen especficamente los criterios que deben aplicarse al trfico de la clase creada en la clusula class. Si un paquete cumple todos los selectores del filtro de mxima prioridad, se considera un miembro de la clase del filtro. Para ver una lista completa de los selectores que pueden usarse con el clasificador ipgpc, consulte la Tabla 371. Los filtros se definen en el archivo de configuracin IPQoS utilizando una clusula filter, que tiene la siguiente sintaxis:
filter { name filter-name class class-name parameters (selectors) }
Captulo 37 IPQoS detallado (Referencia) 919
Clusula params
La clusula params contiene instrucciones de procesamiento para el mdulo definido en la instruccin de accin. Utilice la siguiente sintaxis para la clusula params:
params { parameters params-stats | "" }
En la clusula params se utilizan parmetros aplicables al mdulo. El valor estadsitcas params de la clusula params es global_stats TRUE o global_stats FALSE. La instruccin global_stats TRUE activa estadsticas de estilo UNIX para la instruccin action en la que se invocan las estadsticas globales. Puede ver las estadsticas con el comando kstat. Debe activar las estadsticas de la instruccin action antes de poder activar las estadsitcas por clase.
Aplica el archivo de configuracin a los mdulos de kernel IPQoS (ipqosconf -a nombre de archivo) Indica el archivo de configuracin IPQoS actual del kernel (ipqosconf -l) Asegura que la configuracin IPQoS actual se lee y aplica cada vez que se reinicia el equipo (ipqosconf -c) Vaca los mdulos de kernel IPQoS actuales (ipqosconf -f)
920
Glosario
El presente glosario contiene definiciones de trminos nuevos que se utilizan en este manual y que no figuran en el glosario Sun Global Glossary del sitio web docs.sun.com.
3DES administracin de claves AES Consulte Triple-DES. La forma de administrar la SA (Security Association). Advanced Encryption Standard. Una tcnica de encriptacin de datos en bloques de 128 bits simtricos. En octubre del ao 2000, el gobierno de Estados Unidos adopt la variante Rijndael del algoritmo como estndar de cifrado. AES sustituye al cifrado DES como estndar gubernamental. Puede ser un agente interno o externo. Encaminador o servidor de la red externa a la que accede el nodo mvil. Encaminador o servidor de la red principal de un nodo mvil. En IP para mviles, mensaje que los agentes internos y externos envan para avisar de su presencia en cualquier vnculo con el que se haya conectado. Proceso en el que los encaminadores anuncian su presencia junto con otros parmetros de vnculo e Internet, de manera peridica o como respuesta a un mensaje de solicitud de encaminador.
agente de movilidad agente externo agente interno anuncio de agente anuncio de encaminador
anuncio de vecinos Respuesta a mensaje de solicitud de vecino o proceso de un nodo que enva anuncios de vecino no solicitados para anunciar un cambio de direccin de capa de vnculo. asociacin de seguridad de la movilidad ataque smurf Serie de medidas de seguridad, por ejemplo un algoritmo de autenticacin, entre un par de nodos, que se aplican a mensajes de protocolo IP para mviles y que los dos nodos se intercambian. Uso de un paquete icmp echo request dirigido a una direccin de difusin IP o varias direcciones de emisin mltiple desde ubicaciones remotas para crear cadas o congestiones severas en las redes.
autoconfiguracin Proceso mediante el cual un host configura automticamente su direccin IPv6 a partir del prefijo del sitio y la direccin MAC local. autoconfiguracin Proceso mediante el cual un host genera sus propias direcciones IPv6 combinamdo su direccin MAC y sin estado un prefijo de IPv6 anunciado por un encaminador IPv6 local.
921
autoridad de certificacin
Organizacin externa o empresa que ofrece confianza y que emite los certificados digitales utilizados para crear firmas digitales y pares de claves pblicas-privadas. La autoridad de certificacin garantiza la identidad de la persona a la que se concede el certificado exclusivo. Base de datos que determina el nivel de proteccin que debe aplicarse a un paquete. La SPD filtra el trfico de IP para establecer si se debe descartar un paquete, autorizarle el paso o protegerlo con IPsec.
Algoritmo cifrado de bloques simtricos con una clave de tamao variable que va de 32 a 448 bits. Bruce Schneier, su creador, afirma que Blowfish se optimiza en el caso de aplicaciones en que la clave se modifica con poca frecuencia. Consulte autoridad de certificacin. Capa inmediatamente inferior a IPv4/IPv6. Los datos que se transportan en un paquete. La carga til no incluye la informacin de encabezado que se necesita para que el paquete llegue a su destino. Sistema de cifrado en el que el emisor y el receptor de un mensaje emplean claves distintas para cifrar y descifrar dicho mensaje. Las claves asimtricas se usan para establecer un canal seguro de cifrado simtrico de claves. protocolo de Diffie-Hellman es un ejemplo de protocolo de claves asimtricas. Se contrapone a symmetric key cryptography (criptografa de clave simtrica). En IPQoS, grupo de flujos de datos de red que comparten caractersticas similares. Las clases se definen en el archivo de configuracin de IPQoS. En IPQoS, proceso de recopilacin y registro de informacin relativa a los flujos de trfico. La contabilidad de flujos se establece definiendo los parmetros del mdulo flowacct en el archivo de configuracin de IPQoS. Sistema criptogrfico basado en dos claves. La clave pblica es de dominio general. La clave privada slo la conoce el destinatario del mensaje. IKE proporciona claves pblicas para IPsec. Consulte datagrama IP. Paquete de informacin que se transfiere por IP. Un datagrama IP contiene un encabezado y datos. En el encabezado figuran las direcciones del origen y el destino del datagrama. Otros campos del encabezado permiten identificar y volver a combinar los datos con los datagramas adjuntos en el destino. Siglas en ingls de Data Encryption Standard, estndar de cifrado de datos. Un mtodo de cifrado de claves simtricas que se desarroll en 1975 y que la ANSI estandariz en 1981 como ANSI X.3.92. DES utiliza una clave de 56 bits.
DES
descubrimiento de En IP para mviles, proceso segn el cual un nodo mvil determina si se ha movido, cul es su ubicacin agente actual, as como su direccin de auxilio en una red externa. descubrimiento de Proceso de los hosts que buscan encaminadores residentes en un vnculo conectado. encaminadores
922
descubrimiento de Mecanismo de IP que permite a los host encontrar otros host que residen en un vnculo conectado. vecinos deteccin de errores deteccin de reparaciones digital signature (firma digital) direccin de auxilio direccin de datos Proceso en el que se detecta que deja de funcionar una interfaz o la ruta de una interfaz a un dispositivo de capa de Internet. IP Multipathing para redes presenta dos clases de deteccin de errores: deteccin en vnculos (predeterminada) o en sondeos (opcional). Proceso en el que se detecta si una tarjeta de interfaz de red o la ruta de dicha tarjeta a un dispositivo de capa 3 comienza a funcionar correctamente despus de un fallo. Cdigo digital que se vincula con un mensaje transmitido electrnicamente y que identifica al remitente de forma exclusiva. Direccin temporal de un nodo mvil que sirve como punto de salida del tnel cuando el nodo mvil se conecta a una red externa. Direccin IP que puede utilizarse como origen o destino de datos. Las direcciones de datos forman parte de un grupo IPMP y se pueden usar para enviar y recibir trfico en cualquier interfaz del grupo. Adems, el conjunto de direcciones de datos de un grupo IPMP se puede utilizar continuamente siempre que funcione una interfaz en el grupo. Direcciones de red IPv4 cuya parte principal de la direccin es de bits de todo cero (10.50.0.0) o todo uno (10.50.255.255). Un paquete que se enva a una direccin de difusin desde un equipo de la red local se distribuye a todos los equipos de dicha red. Direccin IPv6 que se asigna a un grupo de interfaces (en general pertenecientes a nodos distintos). El paquete que se enva a una direccin de difusin por proximidad se dirige a la interfaz ms prxima que contenga dicha direccin. La ruta del paquete se atiene a la medicin de distancia del protocolo de encaminamiento.
Formato de direccin IPv4 que no se basa en clases de red (clase A, B y C). Las direcciones CIDR tienen un direccin de tamao de 32 bits. Utilizan la notacin decimal con puntos IPv4 estndar, ms un prefijo de red. Dicho encaminamiento entre dominios sin prefijo define el nmero de red y la mscara de red. clase (CIDR) direccin de multidifusin direccin de prueba direccin de unidifusin direccin de uso local direccin de uso local de sitio Direccin IPv6 que identifica un grupo de interfaces de una manera determinada. Un paquete enviado a una direccin multidifusin se distribuye a todas las interfaces del grupo. La direccin de multidifusin IPv6 funciona de manera similar a la direccin de emisin IPv4. Direccin IP en un grupo IPMP que debe usarse como direccin de origen o destino de sondas; no debe emplearse como direccin de origen o destino para trfico de datos. Direccin IPv6 que identifica una sola interfaz de un nodo compatible con IPv6. Una direccin de unidifusin se compone de prefijo de sitio, ID de subred e ID de interfaz. Direccin de unidifusin que slo tiene un mbito de encaminamiento local (dentro de una subred o una red de suscriptores). Esta direccin puede tener tambin un mbito de exclusividad local o global. Designacin que se usa para direccin en un solo sitio.
923
direccin DEPRECATED
Direccin IP que no sirve como direccin de origen de datos que estn en un grupo IPMP. En general, las direcciones de prueba IPMP son del tipo DEPRECATED . Ahora bien, cualquier direccin se puede marcar como DEPRECATED para impedir que pueda utilizarse como direccin de origen. En IPv6, designacin que se usa para asignar una direccin a un solo vnculo para, por ejemplo, la configuracin automtica de direcciones. De forma predeterminada, la direccin local de vnculo se crea a partir de la direccin MAC del sistema. Direccin IP que se asigna a un nodo mvil durante un periodo de tiempo prolongado. La direccin permanece inalterable en tanto el nodo se conecta con cualquier otra ubicacin de Internet o la red de una organizacin. Direccin IP que no se puede encaminar por Internet. Las redes internas utilizan las direcciones privadas en los host que no necesitan conexin con Internet. Las direcciones estn definidas en Address Allocation for Private Internets (http://www.ietf.org/rfc/rfc1918.txt?number=1918) y con frecuencia se las denomina direcciones 1918. Interfaces de red que proporcionan reenvo de trfico en el nivel de Ethernet (vnculo de datos) del protocolo de pila IP. El dominio de interpretacin define los formatos de los datos, los tipos de intercambio de trfico de red y las convenciones de denominacin de informacin relacionada con la seguridad. Ejemplos de informacin relacionada con la seguridad son los algoritmos y modos criptogrficos, y las directrices de seguridad. Siglas en ingls de Digital Signature Algorithm, algoritmo de firma digital. Algoritmo de clave pblica con un tamao de clave variable que va de 512 a 4096 bits. DSS, el estndar del gobierno de Estados Unidos, llega hasta los 1024 bits. DSA se basa en el algotirmo SHA-1 para las entradas. Encabezado de extensin que proporciona autenticacin e integridad, sin confidencialidad, a datagramas IP. Consulte encabezado IP. Veinte bytes de datos que identifican un paquete de Internet de forma exclusiva. El encabezado contiene direcciones de origen y destino del paquete. Una opcin del encabezado permite agregar ms bytes. Proceso de colocacin de un encabezado y carga til en el primer paquete, que posteriormente se coloca en la carga til del segundo paquete. Forma opcional de tnel de IPv4 en IPv4 vlida para agentes internos, externos y nodos mviles. El encapsulado mnimo presenta 8 o 12 bytes menos de estructura general que IP en encapsulado IP. Encabezado de extensin que proporciona integridad y confidencialidad a los datagramas. ESP es uno de los cinco componentes de la arquitectura para seguridad IP (IPsec). Asociacin entre una direccin permanente y una de auxilio, junto con la vida til que tenga dicha asociacin.
DSA
encabezado de autenticacin encabezado de paquete encabezado IP encapsulado encapsulado mnimo Encapsulating Security Payload (ESP) enlace de movilidad
924
HMAC
expansin de carga Proceso de distribuir trfico de entrada o salida en un conjunto de interfaces. Como consecuencia de la expansin de carga, se obtiene un mayor rendimiento. La expansin de carga slo se produce cuando el trfico de red fluye hacia varios destinos que utilizan mltiples conexiones. Hay dos clases de expansin de carga: expansin de carga de entrada para trfico de entrada, y de salida para trfico de salida. failover (conmutacin por error) filtro Proceso de conmutar la conexin del acceso a la red de una interfaz defectuosa a otra que se encuentra en buen estado. El acceso a red incluye unidifusin, multidifusin y trfico de emisin IPv4, as como unidifusin, multidifusin y trfico de emisin IPv6. Conjunto de reglas que establecen las caractersticas de una clase en el archivo de configuracin de IPQoS. El sistema IPQoS selecciona para procesar cualquier flujo de trfico de datos que se adecue a los filtros de su archivo de configuracin de IPQoS. Consulte filtro de paquetes. Funcin de servidor de seguridad que se puede configurar para permitir o denegar el paso de determinados paquetes a travs de un servidor de seguridad. Un filtro de paquetes que puede supervisar el estado de las conexiones activas y recurrir a la informacin obtenida para establecer los paquetes de red que podrn pasar a travs del servidor de seguridad (firewall). Al efectuar el seguimiento y relacionar solicitudes y respuestas, un filtro de paquetes con estado puede detectar respuestas que no coincidan con una consulta. Consulte filtro de paquetes con estado. Forma opcional de tnel vlida para agentes internos, externos y nodos mviles. GRE permite encapsular un paquete de cualquier protocolo de capa de red en un paquete de distribucin del mismo o cualquier otro protocolo de capa de red. Grupo de interfaces que tienen la misma direccin de direccin por proximidad IPv6. La implementacin de IPv6 en el sistema operativo Solaris OS no permite crear direcciones ni grupos de difusin por proximidad. Ahora bien, los nodos IPv6 de Solaris pueden enviar trfico a grupos de difusin por proximidad. En IP para mviles, conjunto de direcciones designadas por el administrador de red principal para que lo utilicen los nodos mviles que necesitan una direccin permanente. Grupo con varias rutas IP, compuesto por una serie de interfaces de red con un conjunto de direcciones de datos que el sistema trata como intercambiables para mejorar la disponibilidad y utilizacin de la red. El grupo IPMP, incluidas todas sus direcciones de datos e interfaces IP subyacentes, lo representa una interfaz IPMP. Consulte encabezado IP. Un mtodo de hashing por clave para autenticar mensajes. HMAC es un algoritmo de autenticacin de claves secretas. HMAC se utiliza junto a una funcin de hash criptogrfica iterativa, como por ejemplo MD5 o SHA-1, en combinacin con una clave secreta compartida. La capacidad criptogrfica de HMAC depende de las propiedades de la funcin de hash subyacente.
filtro de paquetes dinmico Generic Routing Encapsulation (GRE) grupo de difusin por proximidad
925
hop (salto)
Medida que se usa para identificar la cantidad de encaminadores que hay entre dos hosts o sistemas. Si un origen y un destino estn separados por tres encaminadores, los sistemas estn a una distancia de cuatro saltos. Sistema que no reenva paquetes. Al instalar el sistema operativo Solaris, de forma predeterminada un sistema se convierte en host. Es decir, el sistema no puede reenviar paquetes. En general, un host tiene una interfaz fisica, aunque tambin puede constar de varias interfaces. Siglas inglesas de Internet Control Message Protocol (protocolo de mensajes de control de Internet). Se utiliza para administrar e intercambiar mensajes de control. Siglas inglesas de Internet Key Exchange (intercambio de claves en Internet). IKE automatiza el suministro de material de claves autenticadas para la SA (Security Association) de IPsec. Interfaz fsica que no se emplea para transportar trfico de datos a menos que otra inferfaz fsica haya sufrido algn problema. Valor entero que indica la fila de la base de datos de asociaciones de seguridad (SDAB) que debe utilizar un destinatario para descifrar un paquete recibido. Se trata de una pseudointerfaz que proporciona conexin de red virtual aunque no est configurada en una interfaz de red fsica. Contenedores tales como dominios xVM o zonas IP exclusivos se configuran conforme a interfaces de red virtual (VNIC) para formar una red virtual. Conexin de un sistema con un vnculo. Esta conexin se suele implementar entre un controlador de dispositivo y una tarjeta de interfaz de red. Algunas tarjetas de interfaz de red pueden presentar varios puntos de conexin, por ejemplo qfe. Mtodo o protocolo con el cual se envan datos de un sistema a otro por Internet. Consulte Internet Protocol (IP), IPv4, IPv6. Mecanismo para colocar en tneles paquetes IP dentro de paquetes IP. Funcin de software que permite la implementacin del estndar modelo DiffServ, adems de contabilidad de flujo y marcacin 802.1 D para LAN virtuales. Mediante IPQoS se pueden proporcionar varios niveles de servicios de red a clientes y aplicaciones, segn lo que se establezca en el archivo de configuracin de IPQoS. Seguridad IP. Arquitectura de seguridad que proporciona proteccin a los datagramas IP. Internet Protocol version 4. IPv4 en ocasiones se denomina IP. Esta versin admite un espacio de direcciones de 32 bits. Internet Protocol version 6. IPv6 admite espacio de direcciones de 128 bits. Lista de certificados de claves pblicas revocados por una autoridad de certificacin. Estas listas se almacenan en la base de datos de CRL que se mantiene con IKE.
ICMP IKE inactividad ndice de parmetros de seguridad interfaz de red virtual (VNIC) interfaz fsica
926
MAC proporciona seguridad en la integridad de los datos y autentica el origen de los datos. MAC no proporciona proteccin contra intromisiones externas.
1. Mdulo de la arquitectura DiffServ e IPQoS que marca el campo DS de un paquete IP con un valor que indica la forma en que se reenva el paquete. En la implementacin de IPQoS, el mdulo marker es dscpmk. 2. Mdulo de la implementacin de IPQoS que marca la etiqueta de LAN virtual de un datagrama de Ethernet con un valor de prioridad de usuario. El valor de prioridad de usuario indica la forma en que los datagramas deben reenviarse en una red con dispositivos VLAN. Este mdulo se denomina dlcosmk.
Una funcin de hash criptogrfica iterativa utilizada para autenticar mensajes, incluso las firmas digitales. Rivest desarroll esta funcin en 1991. Mdulo de la arquitectura DiffServ que mide la velocidad del flujo de trfico de una determinada clase. La implementacin de IPQoS presenta dos medidores, tokenmt y tswtclmt. Proceso que traslada una direccin de una interfaz de red a otra interfaz de red. La migracin de direcciones tiene lugar como proceso de recuperacin de errores cuando falla una interfaz, o de recuperacin si se repara una interfaz. Estndar de arquitectura de Internet Engineering Task Force para implementar distintas clases de servicios en redes IP. Los mdulos principales son classifier (clasificador), meter (medidor), marker (marcador), scheduler (programador) y dropper (descartador). IPQoS implementa los mdulos classifier, meter y marker. El modelo DiffServ se describe en RFC 2475, An Architecture for Differentiated Services. Siglas en ingls de Maximum Transmission Unit, unidad de transmisin mxima. El tamao, en octetos, que puede transmitirse por un vnculo. Por ejemplo, una red Ethernet tiene una MTU de 1500 octetos. Sistema con ms de una interfaz fsica y que no reenva paquetes. Un host multired puede ejecutar protocolos de encaminamiento. Denominacin que identifica de forma exclusiva el nodo mvil con el formato usuario@dominio.
MTU multihomed host (host multired) NAI (Network Access Identifier) NAT nodo nodo mvil nombre de keystore paquete
Consulte traduccin de la direccin de red. En IPv6, cualquier sistema compatible con IPv6, ya sea host o encaminador. Host o encaminador capaz de cambiar su punto de conexin de una red a otra y mantener todas las comunicaciones utilizando su direccin IP permanente. Nombre que un administrador asigna a un rea de almacenamiento o keystore, en una tarjeta de interfaz de red. El nombre de keystore tambin se denomina token o ID de token. Grupo de informacin que se transmite como una unidad a travs de lneas de comunicaciones. Contiene un encabezado IP y una carga til.
paquete icmp echo Paquete que se enva a un sistema en Internet para solicitar una respuesta. Esta clase de paquetes suelen request denominarse "ping".
927
En PFS, la clave que se emplea para proteger la transmisin de datos no se aplica en la derivacin de claves adicionales. La fuente de la clave que se usa para proteger la transmisin de datos tampoco se emplea en la derivacin de claves adicionales. PFS slo se aplica en el intercambio de claves autenticadas. Consulte tambin protocolo de Diffie-Hellman.
PHB (Per-Hop Behavior, comportamiento por salto) pila pila de IP pila de protocolos pila doble PKI
Prioridad que se asigna a una clase de trfico. PHB indica la prioridad que tienen los flujos de datos de esa clase respecto a otras clases de trfico.
Consulte pila de IP. TCP/IP se suele denominar "pila". Este trmino designa las capas (TCP, IP y en ocasiones otras) a travs de las cuales se transfieren todos los datos en los extremos de cliente y servidor de un intercambio de datos. Consulte pila de IP. Pila de protocolo TCP/IP con IPv4 e IPv6 en la capa de red; el resto de la pila permanece idntico. Si al instalar el sistema operativo Solaris se habilita IPv6, el sistema recibe la versin de pila doble de TCP/IP. Siglas en ingls de Public Key Infrastructure, infraestructura de clave pblica. Sistema de certificados digitales, autoridades de certificacin y otras autoridades de registro que verifican y autentican la validez de cada parte que interviene en una transaccin por Internet. Valor de 3 bits que implementa marcas de CoS (Class-of-Service, clase de servicio), que definen la forma en que los datagramas de Ethernet se reenvan en una red de dispositivos VLAN. Tambin se lo denomina "criptografa de claves pblicas". Se trata de un protocolo de claves criptogrficas asimtricas que desarrollaron Diffie y Hellmann en 1976. Este protocolo permite a dos usuarios intercambiar una clave secreta mediante un medio no seguro, sin ningn otro secreto. El protocolo IKE utiliza el de Diffie-Hellman. Valor de 6 bits que, al incluirse en el campo DS o un encabezado IP, indica la manera en que se reenva un paquete. Funcin que permite volver a configurar un sistema aunque est ejecutndose, sin apenas afectar o sin afectar en absoluto a los procesos que estn en curso. No todas las plataformas de Sun admiten DR. Es posible que algunas plataformas de Sun slo admitan DR de determinados tipos de hardware como NIC. Proceso de recuperar la conexin del acceso a la red de una interfaz cuya reparacin se ha detectado. Cualquier otra red que no sea la red principal del nodo mvil. Red cuyo prefijo coincide con el prefijo de red de una direccin permanente de nodo mvil.
punto de cdigo DS (DS codepoint) reconfiguracin dinmica (DR) recuperacin tras los errores red externa red principal
red privada virtual Una sola red lgica y segura que emplea tneles en una red pblica como Internet. (VPN)
928
servidor proxy
red virtual
Se trata de una combinacin de recursos de red de software y hardware y de funciones que se administran de manera conjunta como una nica entidad de software. Una red virtual interna consolida los recursos de red en un nico sistema, el cual en ocasiones se denomina red en una caja. En un encaminador, proceso para informar a un host sobre un primer salto ms apropiado para llegar a un determinado destino. Proceso segn el cual un nodo mvil registra su direccin de auxilio con su agente interno y agente externo cuando no se encuentra en su ubicacin permanente. En IPsec, ataque en el cual un intruso se apropia de un paquete. El paquete almacenado sustituye o repite el original posteriormente. Para protegerse contra tales ataques, un paquete puede contener un campo que se incremente durante la vida til de la clave secreta que protege el paquete. Accin que se realiza como consecuencia de la medicin del trfico. Los medidores de IPQoS tienen tres resultados, rojo, amarillo y verde, que se definen en el archivo de configuracin de IPQoS. Sistema que en general tiene ms de una interfaz, ejecuta protocolos de encaminamiento y reenva paquetes. Un sistema se puede configurar con una sola interfaz como encaminador si el sistema es el punto final de un vnculo PPP. Mtodo para la obtencin de firmas digitales y criptosistemas de claves pblicas. Dicho mtodo lo describieron sus creadores, Rivest, Shamir y Adleman, en 1978. Consulte SA (Security Association). Asociacin que establece las propiedades de seguridad entre un primer host y un segundo.
redireccionar registro repeticin de ataque resultado router (encaminador) RSA SA SA (Security Association) SADB
Siglas en ingls de Security Associations Database, base de datos de asociaciones de seguridad. Tabla en la que se especifican claves y algoritmos criptogrficos. Las claves y los algoritmos se utilizan en la transmisin segura de datos. Consulte protocolo SCTP (Streams Control Transport Protocol). Siglas en ingls de Stream Control Transport Protocol, protocolo de transporte de control del flujo. Protocolo de capas de transporte que brinda comunicaciones relativas a las conexiones de manera parecida a TCP. Adems, SCTP permite varias direcciones permanentes, en que uno de los puntos finales de la conexin puede tener ms de una direccin IP. Elemento que define los criterios de aplicacin en los paquetes de una determinada clase, a fin de seleccionar ese trfico en el flujo de datos de la red. Los selectores se definen en la clusula de filtro en el archivo de configuracin de IPQoS. Cualquier programa o dispositivo que asle la intranet o red de una organizacin particular de Internet, con lo cual queda protegida de intrusiones externas. Un servidor de seguridad puede abarcar filtrado de paquetes, servidores proxy y NAT (Network Address Translation, traduccin de direcciones de red). Servidor que se emplaza entre una aplicacin cliente, por ejemplo un navegador de web, y otro servidor. Se utiliza para filtrar solicitudes, por ejemplo para impedir el acceso a determinados sitios web.
SCTP SCTP
selector
929
SHA-1
SHA-1
Siglas en ingls de Secure Hashing Algorithm, algoritmo de hash seguro. El algoritmo funciona en cuaquier tamao de entrada que sea inferior a 264 para generar una sntesis del mensaje. El algoritmo SHA-1 es la entrada de DSA. Acceso no autorizado a redes de equipos; con frecuencia se usa como parte de programas automatizados para tamizar informacin, por ejemplo contraseas de texto no cifrado, de ltima hora. Proceso de los hosts que solicitan encaminadores para la generacin inmediata de anuncios de encaminador, en lugar de hacerlo la prxima vez que se hubiera programado.
solicitud de vecino Solicitud enviada por un nodo para determinar la direccin de capa de vnculo de un vecino. Asimismo, una solicitud de vecino verifica que se pueda contactar con un vecino mediante una direccin de capa de vnculo almacenada en cach. sondear Accin de abrir un dispositivo asociado con un nombre de interfaz fsica. Al sondear una interfaz, los flujos se configuran para que el protocolo IP pueda utilizar el dispositivo. Utilice el comando ifconfig para sondear una interfaz durante una sesin activa del sistema. Consulte base de datos de directivas de seguridad (SPD). Consulte ndice de parmetros de seguridad. Obtener acceso no autorizado a un equipo mediante el envo de un mensaje con una direccin IP indicando que el mensaje procede de un host de confianza. Para efectuar spoofing en IP, el agresor debe recurrir a una serie de tcnicas para averiguar la direccin IP de un host de confianza; a continuacin, debe modificar los encabezados de paquete para suplantar dicha identidad y simular que los paquetes proceden de ese host. Sistema de cifrado en que el emisor y el receptor de un mensaje comparten una sola clave comn. Esa clave comn se emplea para cifrar y descifrar el mensaje. Las claves simtricas se usan para cifrar la mayor parte de las transmisiones de datos en IPsec. DES constituye un ejemplo de sistema de claves simtricas. En IP para mviles, tabla de agentes internos que asocia una direccin permanente con una auxiliar, incluyendo la vida til de que dispone y el tiempo que se otorga. Tarjeta de adaptador de red que acta como interfaz de una red. Algunas tarjetas de interfaz de red pueden tener varias interfaces fsicas, por ejemplo la tarjeta qfe. TCP/IP (Transmission Control Protocol/Internet Protocol) es el protocolo o lenguaje de comunicaciones bsico de Internet. Tambin se usa como protocolo de comunicaciones en redes privadas (tanto intranets como extranets). Tambin se conoce como NAT (del ingls Network Address Translation). Traduccin de una direccin IP que se utiliza en una red a otra direccin IP conocida en otra red. Se utiliza para limitar la cantidad de direcciones IP globales que se necesitan. Acrnimo en ingls de Triple-Data Encryption Standard. Mtodo de cifrado de claves simtricas. Triple-DES necesita un tamao de clave de 168 bits. Triple-DES tambin se escribe 3DES. La ruta a la que sigue un datagrama cuando se encapsula. Consulte encapsulado.
symmetric key cryptography (criptografa de clave simtrica) tabla de enlace tarjeta de interfaz de red TCP/IP
930
vnculo IP
tnel bidireccional Tnel capaz de transmitir datagramas en ambos sentidos. tnel de reenvo tnel inverso valor hash vnculo IP Tnel que comienza en el agente interno y termina en la direccin de auxilio del nodo mvil. Tnel que comienza en la direccin de auxilio del nodo mvil y termina en el agente interno. Nmero que se genera a partir de una cadena de texto. Las funciones hash se usan para asegurarse de que no se alteren los mensajes transmitidos. MD5 y SHA-1 son ejemplos de funciones hash de una direccin. Infraestructura o medio de comunicacin que permite a los nodos comunicarse en la capa de vnculo. La capa de vnculo es la inmediatamente inferior a IPv4/IPv6. Ejemplos son las redes Ethernet (simple o con puente) o ATM. Se asignan uno o ms nmeros o prefijos de subred IPv4 a un vnculo IP. No se puede asignar el mismo nmero o prefijo de subred a ms de un vnculo IP. En ATM LANE, un vnculo IP es una sola LAN emulada. Al utilizar ARP, el mbito del protocolo ARP es un solo vnculo IP.
931
932
ndice
Nmeros y smbolos
* (asterisco), comodn en base de datos bootparams, 266 smbolo del sistema >, modo de comando ipseckey, 540
A
opcin -A comando ikecert, 658 comando ikecert certlocal, 620 acceso http a CRL, palabra clave use_http, 637 acctadm comando, para el control de flujo, 899 acelerar clculos IKE, 602, 647 activar daemons de configuracin de red, 107 red habilitada para IPv6, 187-188 activar filtro IP de Solaris, en versiones anteriores de Solaris 10, 684-687 actualizar, claves previamente compartidas (IKE), 610-611 acuerdo de nivel de servicio (SLA), 826 clases de servicio, 829 faturacin a clientes, segn el control de flujo, 898 proporcionar diferentes clases de servicio, 828 administracin de claves automtica, 598 IKE, 598 IPsec, 512-513 manual, 591-593
administracin de claves (Continuacin) servicio de manual-key, 513 servicio ike, 513 zonas y, 529 administracin de la red, disear la red, 55 administracin de red nombres de host, 64 Protocolo simple de administracin de red (SNMP), 44 administracin de redes, nmeros de red, 56 administracin del trfico control del flujo, 830 planificar distribuciones de red, 841 priorizar los flujos de trfico, 828 reenvo del trfico, 834, 835, 836 regulacin del ancho de banda, 827 Administrador de DHCP descripcin, 325 detener, 365 funciones, 346 iniciar, 364 mens, 364 ventana y fichas, 362 admisin de ATM, IPv6, en, 314 agente de movilidad, 726, 734 anuncios de encaminador, 758 archivo mipagent_state, 774 configurar, 772 estado, 773 seccin Address, 769 software, 757 agente de reenvo BOOTP, saltos, 380
933
ndice
agente de reenvo de BOOTP configurar con dhcpconfig -R, 359 con el Administrador de DHCP, 354 agente externo admisin de asociacin de seguridad, 733 autenticacin, 748 autenticacin de mensajes, 769 compatibilidad con encapsulado, 735 consideraciones, 734 datagramas, 723 definicin, 724 determinar funcionalidad, 741 direccin de auxilio, 728, 731, 735 funcionar sin, 728 lista de visitantes, 753, 773 mensaje de registro, 726 registrar mediante uso, 731 registrarse con varios, 731 registrarse mediante, 731 servir a nodos mviles, 727 solciitar servicio de, 734 transmitir solicitud de registro, 733 agente interno admisin de asociacin de seguridad, 733 anular registro, 731 asignaciones de direcciones dinmicas, 766 autenticacin, 748 binding table, 773 consideraciones, 734 descubrimiento dinmico, 735 determinar funcionalidad, 741 encapsulado, 735 entrega de datagrama, 723 implementacin, 757 informacin de estado, 774 mensaje de registro, 726, 731 proteccin de repeticin de mensajes, 766 reenviar datagramas, 736 respuesta de registro, 734 seccin Address, 769 solicitud de registro, 733, 734 tabla de enlace, 753, 754 ubicacin de nodos mviles, 726
934
agregaciones configuraciones con nodo, 171 de extremo a extremo, 172 crear, 174-176 definicin, 170 directiva de equilibrio de la carga, 173 distribuciones bsicas, 171 eliminar interfaces, 178 funciones, 170 modificar, 176-177 requisitos, 174 agregaciones de vnculos, Ver agregaciones agregar certificados autofirmados (IKE), 620 certificados de autoridad de certificacin (IKE), 626-631 certificados de clave pblica (IKE), 626-631 claves manualmente (IPsec), 539-544 claves previamente compartidas (IKE), 613-617 SA IPsec, 531, 539-544 agrupaciones de direcciones anexar, 703-704 configurar, 671-672 descripcin general, 671-672 eliminar, 702-703 ver, 702 ver estadsticas, 707 AH, Ver encabezado de autenticacin (AH) algoritmo de autenticacin DSS, 658 algoritmo de autenticacin MD5, longitud de clave, 541 algoritmo de cifrado 3DES IPsec y, 516 longitud de clave, 541 algoritmo de cifrado AES, IPsec y, 516 algoritmo de cifrado Blowfish, IPsec y, 516 algoritmo de cifrado DES, IPsec y, 516 algoritmo de cifrado RSA, 658 algoritmo de cifrado Triple-DES, IPsec y, 516 algoritmos de autenticacin especificar para IPsec, 593 IKE, 658
ndice
algoritmos de cifrado especificar para IPsec, 593 IPsec 3DES, 516 AES, 516 Blowfish, 516 DES, 516 almacn de claves de softtoken, almacenamiento de claves con metaslot, 597 almacn de claves softtoken almacenamiento de claves con metarranura, 506, 657 almacn de datos de DHCP, descripcin general, 323 almacn de datos DHCP convertir, 434-437 exportar datos, 440 importar datos, 442 modificar datos importados, 443, 444 seleccionar, 339 transferir datos entre servidores, 437-444 almacenamiento de claves almacn de claves softtoken, 506 almacenamiento de claves softtoken, 649 asociaciones de seguridad de ISAKMP, 656 ID de seal a partir de metarranura, 649 SA de IPsec, 523 softtoken, 657 almacenamiento de claves softtoken, almacenamiento de claves con metarranura, 649 almacenar claves IKE en disco, 627, 659 claves IKE en hardware, 602, 648-649 ampliar permiso DHCP, 455 anular registro IP para mviles, 726, 731, 732 anuncio 6to4, 205 anuncio de agente a travs de interfaces dinmicas, 727 IP para mviles, 727 anuncio de encaminador, 450 IP para mviles, 758 IPv6, 296, 297, 300, 302-303 prefijo, 297
anuncios de agente, a travs de interfaces dinmicas, 764 archivo /etc/bootparams, 265 archivo /etc/default/dhcpagent, 456-457 archivo /etc/default/dhcpagent, descripcin, 498 archivo /etc/default/inet_type, 230-231 valor DEFAULT_IP, 290 archivo /etc/default/mpathd, 819 archivo /etc/defaultdomain configuracin de modo de archivos locales, 106 descripcin, 251 eliminar para modo de cliente de red, 109 archivo /etc/defaultrouter configuracin de modo de archivos locales, 106 descripcin, 251 archivo /etc/dhcp/dhcptags convertir entradas, 499 descripcin, 499 archivo /etc/dhcp/eventhook, 465 archivo /etc/dhcp/inittab descripcin, 499 modificar, 431 archivo /etc/dhcp.interfaz, 456 archivo /etc/dhcp.interfaz, descripcin, 498 archivo /etc/dhcp/interfaz.dhc, descripcin, 498 archivo /etc/ethers, 266 archivo /etc/hostname.interfaz configuracin de encaminador, 124 archivo /etc/hostname.interfaz configuracin de modo de cliente de red, 109 configuracin manual, 146, 157 archivo /etc/hostname.interfaz descripcin, 250 archivo /etc/hostname6.interface, colocar en tneles de IPv6, 305 archivo /etc/hostname6.interfaz, sintaxis, 284-285 archivo /etc/hostname6.ip.6to4tun0, 204 archivo /etc/hostname6.ip.tun, 201, 202, 203 archivo /etc/hosts, Ver archivo /etc/inet/hosts archivo /etc/inet/dhcpsvc.conf, 351 archivo /etc/inet/hosts, 530 agregar subredes, 102 archivo inicial, 252, 253 configuracin de modo de archivos locales, 106
935
ndice
archivo /etc/inet/hosts (Continuacin) configuracin de modo de cliente de red, 109 direccin en bucle, 252 formato, 252 archivo /etc/inet/hosts, interfaces de red mltiples, 253 archivo /etc/inet/hosts interfaces de red mltiples, 253 nombre de host, 253 archivo /etc/inet/ike/config certificados autofirmados, 623 certificados de clave pblica, 628, 634 claves previamente compartidas, 607 colocar certificados en hardware, 633 comando ikecert, 657 consideraciones de seguridad, 655 descripcin, 600, 654 ejemplo, 607 archivo /etc/inet/ike/config, entrada de biblioteca PKCS #11, 657 archivo /etc/inet/ike/config palabra clave cert_root, 628, 634 palabra clave cert_trust, 623, 633 palabra clave ignore_crls, 630 palabra clave ldap-list, 637 palabra clave pkcs11_path, 632, 657 palabra clave proxy, 637 palabra clave use_http, 637 parmetros de transmisin, 651 resumen, 603 archivo /etc/inet/ipaddrsel.conf, 240, 285 archivo /etc/inet/ipnodes, 255, 530 archivo /etc/inet/ipsecinit.conf, 589-590 archivo /etc/inet/ndpd.conf, 189, 292 anuncio de 6to4, 274 anuncio de encaminador 6to4, 205 configuracin de direcciones temporales, 193 crear, 189 palabras clave, 280-284, 293 variables de configuracin de interfaz, 281 variables de configuracin de prefijo, 282 archivo /etc/inet/netmasks agregar subredes, 102 configuracin de encaminador, 125
936
archivo /etc/inet/netmasks (Continuacin) editar, 259 archivo /etc/inet/networks, descripcin general, 267 archivo /etc/inet/protocols, 268 archivo /etc/inet/services, ejemplo, 269 archivo /etc/ipf/ipf.conf, Ver filtro IP de Solaris archivo /etc/ipf/ipnat.conf, Ver filtro IP de Solaris archivo /etc/ipf/ippool.conf, Ver filtro IP de Solaris archivo /etc/ipnodes suprimido, 505-507 archivo /etc/netmasks, 259 archivo /etc/nodename descripcin, 251 eliminar para el modo de cliente de red, 109 archivo /etc/nsswitch.conf, 263, 265 cambiar, 264, 265 configuracin de modo de cliente de red, 109 modificaciones, para admisin de IPv6, 312-313 plantillas de servicios de nombres, 264 sintaxis, 264 uso por DHCP, 498 archivo /etc/resolv.conf, uso por DHCP, 498 archivo /net/if_types.h, 800 archivo /var/inet/ndpd_state.interface, 292 archivo de configuracin mipagent.conf, 741, 742, 758, 772 configurar, 740 archivo de registro, vaciar en filtro IP de Solaris, 710 archivo de zona, 209 archivo de zona inversa, 209 archivo defaultdomain configuracin de modo de archivos locales, 106 descripcin, 251 eliminar para modo de cliente de red, 109 archivo defaultrouter configuracin de modo de archivos locales, 106 descripcin, 251 seleccin de protocolo de encaminamiento automtico y, 135 archivo dhcpsvc.conf, 498 archivo dhcptags, 499 archivo/etc/dhcp.interfaz, 450 archivo/etc/hostname6.interfaz, configurar manualmente interfaces, 182-184
ndice
archivo/etc/nsswitch.conf, ejemplos, 264 archivo eventhook, 465 archivo hostname.interfaz configuracin de encaminador, 124 descripcin, 250 archivo hostname.interfaz, en IPMP, 809 archivo hostname6.interfaz, configurar manualmente interfaces, 182-184 archivo hostname6.interfaz, sintaxis, 284-285 archivo hostname6.ip.tun, 201, 202, 203 archivo hosts, 530 archivo ike.preshared, 609, 656 archivo Ike.preshared, ejemplo, 615 archivo inet_type, 230-231 archivo ipaddrsel.conf, 240, 285 archivo ipf.conf, 667-670 Ver filtro IP de Solaris archivo ipnat.conf, 670-671 Ver filtro IP de Solaris archivo ipnodes, 255, 530 archivo ippool.conf, 671-672 Ver filtro IP de Solaris archivo ipsecinit.conf comprobar sintaxis, 531 configurar opciones de tnel, 593 consideraciones de seguridad, 590 descripcin, 523 ejemplo, 589 eliminar omisin IPsec de LAN, 563, 576 objetivo, 517 omitir LAN, 556, 572 proteger el servidor web, 536 proteger servidor web, 534 ubicacin y alcance, 522 archivo ipseckeys, almacenar claves de IPsec, 523 archivo mipagent_state, 774 archivo mpathd, 819-820 archivo ndpd.conf anuncio 6to4, 205 configuracin de direcciones temporales, 193 crear, en un encaminador IPv6, 189 archivo ndpd.conf lista de palabras clave, 280-284 variables de configuracin de interfaz, 281
archivo ndpd.conf (Continuacin) variables de configuracin de prefijo, 282 archivo nodename descripcin, 251 eliminar para el modo de cliente de red, 109 archivo nsswitch.conf, 263, 265 cambiar, 264 configuracin de modo de cliente de red, 109 ejemplos, 264 modificaciones, para admisin de IPv6, 312-313 plantillas de servicio de nombres, 264 sintaxis, 264 archivoike/config, Ver archivo/etc/inet/ike/config archivos IKE archivo ike/config, 524, 600, 603, 654 archivo ike.preshared, 603, 656 directorio crls, 603, 660 directorio ike.privatekeys, 603, 659 directorio publickeys, 603, 659 IPsec archivo ipsecinit.conf, 523, 589-590 archivo ipsecinit.conf f, 523 archivo ipseckeys, 523 archivos de configuracin crear para filtro IP de Solaris, 712-713 ejemplos de filtro IP de Solaris, 666 IPv6 archivo /etc/inet/hostname6.interfaz, 284-285 archivo /etc/inet/ipaddrsel.conf, 285 archivo /etc/inet/ndpd.conf, 281, 282 archivo/etc/inet/ndpd.conf, 280-284 redes TCP/IP archivo /etc/defaultdomain, 251 archivo /etc/defaultrouter, 251 archivo /etc/hostname.interfaz, 250 archivo /etc/nodename, 109, 251 base de datos hosts, 251, 254 base de datos netmasks, 256 archivos de configuracin IPQoS de ejemplo configuracin de dispositivo VLAN, 912 segmento de reconocimiento de colores, 907 servidor de aplicaciones, 876
937
ndice
archivos de configuracin IPQoS de ejemplo (Continuacin) servidor Web "best-effort", 863 servidor Web de nivel alto, 862 archivos de directiva archivo ike/config, 654 archivo ipsecinit.conf, 589-590 archivoike/config, 603 consideraciones de seguridad, 590 archivos de directivaca, archivo ike/config, 524 archivos de registro crear para filtro IP de Solaris, 708-709 ver para filtro IP de Solaris, 709-710 argumento tokens, comandoikecert, 657 arquitectura de seguridad IP, Ver IPsec arrancar, protocolos de arranque de servidores de configuracin de red, 100 asistente Network Wizard de DHCP, 385 asistente para la configuracin de DHCP, descripcin, 350 asociacin de identidad, 448 asociaciones de seguridad generacin de nmeros aleatorios, 600 IKE, 654 IP para mviles, 733 ISAKMP, 599 asociaciones de seguridad (SA) agregar IPsec, 531 base de datos IPsec, 591 crear manualmente, 539-544 IPsec, 512-513, 531 obtener claves para, 537-538 reemplazar SA IPsec, 540 vaciar SA IPsec, 540 asociaciones de seguridad del protocolo de administracin de claves y asociaciones de seguridad de Internet (ISAKMP), ubicacin de almacenamiento, 656 aspectos sobre la seguridad, redes habilitadas para IPv6, 94 asterisco (*), comodn en base de datos bootparams, 266 ATM, compatibilidad con IPMP para, 800 atributo deprecated, comando ifconfig, 786
938
autenticacin de agente externo, 733 autenticacin de agente externo-mvil, 733 autenticacin de agente interno-mvil, 733 autenticacin de mensajes IP para mviles, 733, 767, 769 Autoridad de nmeros asignados de Internet (IANA), servicios de registro, 61
B
base de datos bootparams archivos del servicio de nombres correspondiente, 262 descripcin general, 265 entrada comodn, 266 base de datos de asociaciones de seguridad (SADB), 591 base de datos de directivas de seguridad (SPD) configurar, 588 IPsec, 507, 509 base de datos ethers archivos del servicio de nombres correspondiente, 262 comprobar entradas, 244 descripcin general, 266 base de datos hosts, 251, 254 archivo /etc/inet/hosts archivo inicial, 252, 253 configuracin de encaminador, 124 configuracin de modo de archivos locales, 106 configuracin de modo de cliente de red, 109 direccin en bucle, 252 formato, 252 interfaces de red mltiples, 253 nombre de host, 253 archivos del servicio de nombres correspondiente, 262 cmo afectan los servicios de nombres, 254 comprobar entradas, 244 servicio de nombres cmo afectan, 253 formatos, 261 base de datos ike.privatekeys, 659 base de datos netmasks, 256
ndice
base de datos netmasks (Continuacin) agregar subredes, 102, 106 archivo /etc/inet/netmasks agregar subredes, 102 configuracin de encaminador, 125 editar, 259 archivos del servicio de nombres correspondiente, 262 mscaras de red aplicar a direccin IPv4, 258 crear, 257, 258 descripcin, 257 subredes, 256 base de datos networks archivos del servicio de nombres correspondiente, 263 descripcin general, 267 base de datos protocols archivos del servicio de nombres correspondiente, 263 descripcin general, 268 base de datos publickeys, 659 base de datos services actualizar, para SCTP, 141 archivos del servicio de nombres correspondiente, 263 descripcin general, 269 bases de datos base de datos de asociaciones de seguridad (SADB), 591 base de datos de directivas de seguridad (SPD), 507 base de datos ike/crls, 659, 660 base de datos ike.privatekeys, 657, 659 base de datos ike/publickeys, 658 base de datosike/publickeys, 659 IKE, 656-660 bases de datos de red, 260, 263 archivo nsswitch.conf y, 261, 263, 265 archivos de servicios de nombres correspondientes, 262 arranque DNS y archivos de datos, 261 base de datos bootparams, 265 base de datos ethers comprobar entradas, 244
bases de datos de red, base de datos ethers (Continuacin) descripcin general, 266 base de datos hosts cmo afectan los servicios de nombres, 253 comprobar entradas, 244 descripcin general, 251, 254 servicios de nombres, cmo afectan, 254 servicios de nombres, formatos, 261 base de datos netmasks, 256, 262 base de datos networks, 267 base de datos protocols, 268 base de datos services, 269 cmo afectan los servicios de nombres, 261, 263 BGP, Ver protocolos de encaminamiento biblioteca, PKCS #11, 658 biblioteca PKCS #11, en archivo ike/config, 657 biblioteca PKCS #11 library, especificar ruta, 658 borradores de Internet definicin, 50 SCTP con IPsec, 508
C
clculos acelerar IKE en hardware, 602, 647-648, 648-649 calidad de servicio (QoS), directiva QoS, 826 calidad del servicio (QoS), tareas, 823 cambio de direccin de capa de vnculo, 299-300 Cambio de los parmetros de transmisin de IKE (mapa de tareas), 650 campo CRC (comprobacin de redundancia cclica), 48 campos de encabezado, IPv6, 277 capa de aplicacin ciclo de vida del paquete host de envo, 46 host de recepcin, 49 OSI, 38 TCP/IP, 42, 44 administracin de red, 44 comandos UNIX "r", 43 descripcin, 39, 42 protocolos de encaminamiento, 44
939
ndice
capa de aplicacin, TCP/IP (Continuacin) servicios de archivos, 44 servicios de nombres, 43 servicios TCP/IP estndar, 42, 43 capa de Internet (TCP/IP) ciclo de vida del paquete host de envo, 47 host de recepcin, 48 descripcin, 39, 40 protocolo ARP, 41 protocolo ICMP, 41 protocolo IP, 40 capa de presentacin (OSI), 38 capa de red (OSI), 39 capa de red fsica (TCP/IP), 40, 48 capa de red fsica(TCP/IP), 48 capa de sesin (OSI), 38 capa de transporte ciclo de vida del paquete host de envo, 46, 47 host de recepcin, 49 encapsulado de datos, 46, 47 obtener estado del protocolo de transporte, 223-224 OSI, 38 TCP/IP descripcin, 39, 41 protocolo SCTP, 42, 140-143 protocolo TCP, 41 protocolo UDP, 42 capa de vnculo de datos ciclo de vida del paquete host de envo, 48 estructura, 48 OSI, 39 TCP/IP, 39, 40 capa del vnculo de datos ciclo de vida del paquete host de recepcin, 48 capa fsica (OSI), 39 capas de protocolo ciclo de vida del paquete, 46, 49 modelo de arquitectura de protocolo TCP/IP, 44 capa de aplicacin, 39, 42, 44 capa de Internet, 39, 40
940
capas de protocolo, modelo de arquitectura de protocolo TCP/IP (Continuacin) capa de red fsica, 39, 40 capa de transporte, 39, 41 capa de vnculo de datos, 39, 40 modelo de referencia OSI, 38, 39 capas de protocolos, modelo de arquitectura del protocolo TCP/IP, 39 caractersticas de IPv6, descubrimiento de vecinos, 83 Carga de seguridad encapsuladora (ESP) consideraciones de seguridad, 515 descripcin, 514-515 proteger paquetes IP, 507 Carga de seguridad encapsuladora(ESP), mecanismo de proteccin IPsec, 513-516 certificados agregar a base de datos, 627 almacenar en hardware, 602, 647 IKE, 659 crear autofirmados (IKE), 620 de autoridad de certificacin, 627 de autoridad de certificacin en hardware, 635 descripcin, 627 en archivo ike/config, 633 enumeracin, 622 guardar en equipo, 619 IKE, 601 omitir CRL, 630 solicitar de autoridad de certificacin, 626 en hardware, 632 certificados de claves pblicas, Ver certificados cifrado, Ver algoritmos de cifrado clases, 829 definir, en el archivo de configuracin IPQoS, 874, 878 selectores, lista de, 904 sintaxis de la clusula class, 919 clases de red, 61 asignacin de nmero de red de la IANA, 61 clase A, 271 clase B, 271, 272
ndice
clases de red (Continuacin) clase C, 272 esquema de direcciones, 60, 61 rango de nmeros disponibles, 61 clases de redes, administracin de nmeros de red, 56 clases de servicio, Ver clases clusula class, del archivo de configuracin IPQoS, 866 clusula class, en el archivo de configuracin IPQoS, 919 clusula filter, del archivo de configuracin IPQoS, 867 clusula filter, en el archivo de configuracin IPQoS, 919 clusula params de un marcador action, 869 de una accin flowacct , 872 definir estadsticas globales, 865, 920 para una instruccin action de medicin, 884 sintaxis, 920 claves administracin automtica, 598 administracin manual, 591-593 administrar IPsec, 512-513 almacenar (IKE) certificados, 659 claves pblicas, 659 privadas, 657 almacenar en hardware, 602 base de datos ike.privatekeys, 659 base de datosike/publickeys, 659 generar nmeros aleatorios para, 537-538 previamente compartidas (IKE), 600 claves previamente compartidas (IKE) almacenar, 656 compartidas con otras plataformas, 610 descripcin, 600 mapa de tareas, 606 reemplazar, 610-611 claves previamente compartidas (IPsec), crear, 539-544 claves privadas, almacenar (IKE), 657 claves pblicas, almacenar (IKE), 659 cliente DHCP abandonar direccin IP, 456
cliente DHCP (Continuacin) activar, 453-454 administracin, 455 ampliar permiso, 455 cerrar, 453 configuracin incorrecta, 485 definicin, 331 desactivar, 454 desconfigurar, 454 ejecutar en modo de depuracin ejemplo de salida, 478 ejeuctar programas con, 464-467 en sistemas de cliente sin disco, 432 generacin de nombre de host, 342 ID de cliente, 398 informacin de opcin, 431 informacin de red sin permiso, 434, 455 iniciar, 455 inicio, 450 interfaces lgicas, 457 liberar direccin IP, 455 mostrar estado de interfaz, 456 nombre de host especificar, 459 parmetros, 456-457 probar interfaz, 456 secuencias de eventos, 464-467 servicios de nombres, 379 solucin de problemas, 475 varias interfaces de red, 457 cliente DHCPv4, gestin de interfaz de red, 451 cliente DHCPv6, gestin de la interfaz de red, 452 clientes de red base de datos ethers, 266 configuracin de host, 109 servidor de configuracin de red para, 100, 107 sistemas que funcionan como, 101 clientes sin disco, compatibilidad de DHCP, 432 comando command, verificar proteccin de paquetes, 544-545 comando /usr/sbin/6to4relay, 207 comando /usr/sbin/ping, 230 descripcin, 228 ejecutar, 230
941
ndice
comando /usr/sbin/ping (Continuacin) sintaxis, 228, 229 comando 6to4relay, 207 definicin, 287 ejemplos, 287 sintaxis, 287 tareas de configuracin de tnel, 207 comando acctadm, para control de flujo, 831, 915 comando dhcpconfig descripcin, 326, 489 comando dhcpinfo, descripcin, 490 comando dhcpmgr, descripcin, 490 comando dhtadm crear macros con, 419 crear opciones, 425 descripcin, 326, 489 eliminar macros con, 421 eliminar opciones, 430 modificar macros con, 414 modificar opciones con, 428 comando dladm configurar una VLAN, 168-169 eliminar interfaces de una agregacin, 178 mostrar estado, 155 para comprobar el estado de agregacin, 175 para crear una agregacin, 174 para modificar una agregacin, 177 comando gethostbyname, 313 comando getipnodebyname, 313 comando ifconfig, 305, 666 atributo deprecated, 786 comprobar el orden de los mdulos STREAMS, 800 configurar tneles de IPv6, 289-290 controlar el cliente DHCP, 455 DHCP y, 490 extensiones 6to4, 205 extensiones de IPv6, 288 extensiones IMPM a, 780 formato de resultado, 217 informacin de resultado, 218 mostrar grupo IPMP, 812 opcin de seguridad auth_algs, 593-594 opcin de seguridad encr_algs, 594
942
comando ifconfig (Continuacin) opcin de seguridad encr_auth_algs, 594 opcin failover, 785 opciones de seguridad de IPsec, 593-594 parmetro group, 801, 814 parmetro standby, 787, 809 parmetro test, 801 sintaxis, 217 usar como herramienta de resolucin de problemas, 243 visualizar estado de interfaz, 217, 220, 788 comando ikeadm descripcin, 654, 655-656 nivel de privilegio comprobar, 611 nivel de privilegios comprobar, 612 comando ikecert descripcin, 654, 656 opcin -A, 658 opcin -a, 632 opcin -T, 632, 658 opcin -t, 658 comando ikecert certdb opcin -a, 621, 627 comando ikecert certlocal opcin -kc, 626 opcin -ks, 620 comando ikecert certrldb, opcin -a, 637 comando ikecert tokens, 649 comando ipaddrsel, 240, 285-287 comando ipf Ver tambin filtro IP de Solaris anexar reglas desde lnea de comandos, 696-697 opcin -a, 694-695 opcin -D, 683 opcin -E, 679-680 opcin -F, 682, 694-695, 695-696, 699 opcin -f, 679-680, 694-695, 696-697, 697-698 opcin -I, 697-698, 699 opcin -s, 698-699 opcin -6, 674-675 comando ipfstat, 704-705 Ver tambin filtro IP de Solaris
ndice
comando ipfstat (Continuacin) opcin -I, 693-694 opcin -i, 693 opcin -o, 693 opcin -s, 705-706 opcin -t, 704-705 comando ipfstat, opcin -6, 674-675 comando ipmon Ver tambin filtro IP de Solaris IPv6 y, 674-675 opcin -a, 709-710 opcin -F, 710 opcin -o, 709-710 comando ipnat Ver tambin filtro IP de Solaris anexar reglas desde lnea de comandos, 701-702 opcin -C, 683 opcin -F, 683, 700-701 opcin -f, 679-680, 701-702 opcin -l, 700 opcin -s, 706-707 comando ippool Ver tambin filtro IP de Solaris anexar reglas desde lnea de comandos, 703-704 IPv6 y, 674-675 opcin -F, 702-703 opcin -f, 703-704 opcin -l, 702 opcin -s, 707 comando ipqosconf aplicar una configuracin, 890, 891 listado de la configuracin actual, 891 opciones de comando, 920 comando ipsecconf configurar directiva IPsec, 588-589 configurar tneles, 518 consideraciones de seguridad, 533, 590 descripcin, 523 objetivo, 517 opcin -a, 533 opcin -f, 533 visualizar directiva IPsec, 533-536, 537, 589-590 comando ipseckey consideraciones de seguridad, 592-593
comando ipseckey (Continuacin) descripcin, 523, 591-593 finalidad, 513 modo interactivo, 540 objetivo, 513 comando mipagentconfig configurar agente de movilidad, 772 descripcin de comandos, 772 modificar archivo de configuracin, 746 seccin Address, 749 seccin Advertisements, 747 seccin General, 746 seccin GlobalSecurityParameters, 748 seccin Pool, 748 seccin SPI, 749 comando mipagentstat estado de agente de movilidad, 773 mostrar estado de agente, 753-754 comando ndd, ver mdulo pfil y, 690-691 comando netstat descripcin, 221 ejecutar comprobaciones de software, 244 extensiones de IP para mviles, 774-775 extensiones de IPv6, 290 opcin -a, 225 opcin -f, 225 opcin -r, 227-228 opcin inet, 225 opcin inet6, 225 sintaxis, 221 visualizar estadsticas por protocolo, 222 visualizar estado de rutas conocidas, 227-228 comando nisaddcred, y DHCP, 472 comando nischmod, y DHCP, 471 comando nisls, y DHCP, 471 comando nisstat, y DHCP, 470 comando nslookup, 314 IPv6, 211 comando od, 609 comando ping, 230 descripcin, 228 ejecutar, 230 extensiones de IPv6, 291
943
ndice
comando ping (Continuacin) opcin -s, 229 sintaxis, 228, 229 comando pntadm descripcin, 327, 489 ejemplos, 395 usar en secuencias, 490 comando rlogin, proceso del paquete, 46 comando route IPsec, 558, 560, 568, 569, 574, 575, 581, 582 opcin inet6, 291 comando routeadm activar encaminamiento dinmico, 125, 138 configuracin de encaminador IPv6, 189 comando Routeadm, configurar VPN con IPsec, 576 comando routeadm hosts mltiples, 132 reenvo de IP, 555 comando snoop comprobar flujo de paquetes, 235 comprobar paquetes entre servidor y cliente, 238 extensiones de IP para mviles, 775 extensiones de IPv6, 291 palabra clave de protocolo ip6, 291 supervisar frfico de IPv6, 238-239 supervisar trfico DHCP, 477-478 ejemplo de salida, 482 visualizar contenido de paquetes, 235 visualizar paquetes protegidos, 593, 594 comando svcadm actualizar IKE, 616 desactivar servicios de red, 555, 566, 571 reiniciar directiva IPsec, 616 comando sys-unconfig y cliente DHCP, 454 comando traceroute definicin, 233-235 extensiones de IPv6, 291 seguimiento de rutas, 234-235 comandos IKE, 656-660 comando ikeadm, 603, 654, 655-656 comando ikecert, 603, 654, 656 daemon in.iked, 654
944
comandos (Continuacin) IPsec comando in.iked, 513 comando ipsecalgs, 516, 590-591 comando ipsecconf, 523, 533, 588-589 comando ipseckey, 523, 540, 591-593 comando snoop, 593, 594 consideraciones de seguridad, 592-593 lista, 522-524 comandos "r", en UNIX, 43 comandos UNIX "r", 43 comodines en base de datos bootparams, 266 comportamiento por salto (PHB), 834 definir, en el archivo de configuracin IPQoS, 885 reenvo AF, 835 reenvo EF, 835 utilizar, con el marcador dscpmk, 909 comprobacin de redundancia cclica (CRC), campo, 48 comprobar archivos de configuracin IPsec sintaxis, 506 comunicaciones de datos, 45, 49 ciclo de vida del paquete, 46, 49 comunicaciones de host a host, 40 comunicaciones inalmbricas IP para mviles, 723, 728, 737 conectar una interfaz, 163 conectividad, informes de errores del protocolo ICMP, 41 confidencialidad directa perfecta (PFS) descripcin, 599 IKE, 598 configuracin automtica de direcciones definicin, 83, 84-85 habilitar, en un nodo de IPv6, 183, 184, 186 IPv6, 292, 296 configuracin automtica de direcciones sin estado, 297 configuracin de cliente, 446 configuracin de conmutador en una topologa de agregacin, 171 protocolo de control de agregacin de vnculos (LACP), 173
ndice
configuracin de conmutador (Continuacin) protocolo de control de agregacin de vnculos (LACP) modos, 177 configuracin de encaminador 6to4 ejemplos, 206 tareas, 204 Configuracin de IKE (mapa de tareas), 605 Configuracin de IKE con certificados de clave pblica (mapa de tareas), 618 Configuracin de IKE con claves previamente compartidas (mapa de tareas), 606 Configuracin de IKE para buscar el hardware conectado (mapa de tareas), 646 Configuracin de IKE para sistemas porttiles (mapa de tareas), 638 configuracin de interfaz activa-activa, IPMP, 788 configuracin de interfaz activa-reserva, IPMP, 788 configuracin de nodos, en una configuracin VLAN, 165 configuracin de pseudo-interfaz 6to4, 204 configuracin de red configurar clientes de red, 108 servicios, 139 configurar seguridad, 503 encaminador, 122 encaminador IPv6, 188 instalacin de servidores de configuracin de red, 107 modos de configuracin de host, 99 modos de configuracin de TCP/IP, 101 informacin de configuracin, 99 modo de cliente de red, 101 servidores de configuracin de red, 100 modos de configuracin TCP/IP modo de archivos locales, 100 salto, descripcin, 115 tareas de configuracin de red IPv4, 104 topologa de red IPv4, 101 configuracin de redes habilitar IPv6 en un host, 191-199 hosts con varias direcciones permanentes habilitados para IPv6, 182-184
configurar agrupaciones de direcciones, 671-672 archivo ike/config, 654 archivo ipsecinit.conf, 589-590 archivos de configuracin TCP/IP, 249 archivo /etc/defaultdomain, 251 archivo /etc/defaultrouter, 251 archivo /etc/hostname.interfaz, 250 archivo /etc/nodename, 109, 251 base de datos hosts, 251, 254 base de datos netmasks, 256 cliente DHCP, 445 encaminadores, 269 descripcin general, 122 interfaces de red, 122, 125 encaminadores habilitados para IPv6, 188 IKE, 605 IKE con certificados autofirmados, 619-625 IKE con certificados de autoridad de certificacin, 626-631 IKE con certificados de clave pblica, 618, 619-625 IKE con certificados en hardware, 631-635 IKE con sistemas porttiles, 638-646 interfaces manualmente, para IPv6, 182-184 IPsec, 588-589 IPsec en LAN, 563, 576 modos de configuracin de TCP/IP configuraciones mixtas, 101 ejemplo de red, 101 modo de archivos locales, 99, 107 modo de cliente de red, 109 redes TCP/IP archivo nsswitch.conf, 263, 265 archivos de configuracin, 249 bases de datos de red, 260, 263, 265 clientes de red, 108 modos de archivos locales, 107 requisitos previos, 98 servicios TCP/IP estndar, 139 reglas de filtros de paquetes, 667-670 reglas NAT, 670-671 seguridad de red con un rol, 545-547 servicio DHCP, 349 servidor de configuracin de red, 107
945
ndice
configurar (Continuacin) VPN en modo transporte con IPsec, 570-577 VPN en modo tnel con IPsec, 549, 554-564 VPN protegida con IPsec, 554-564 conjunto de protocolo TCP/IP modelo de arquitectura de protocolo TCP/IP capa de Internet, 39 capa de red fsica, 39 capa de transporte, 39 capa de vnculo de datos, 39 servicios estndar, 139 conjunto de protocolos TCP/IP admisin de seguimiento interno, 49 comunicaciones de datos, 45, 49 encapsulado de datos, 45, 49 descripcin general, 37, 38 informacin adicional, 49 FYI, 50 manuales, 49 modelo de arquitectura de protocolo TCP/IP, 44 capa de aplicacin, 39, 42, 44 capa de Internet, 40 capa de red fsica, 40 capa de transporte, 41 modelo de arquitectura de TCP/IP capa de vnculo de datos, 40 modelo de arquitectura del protocolo TCP/IP, 39 modelo de referencia OSI, 38, 39 protocolos de pila doble, 90 visualizar estadsticas, 222 conjuntos de reglas Ver Vase filtro IP de Solaris filtros de paquetes, 667-672 inactivos Ver tambin filtro IP de Solaris NAT, 670-671 conjuntos de reglas activos, Ver filtro IP de Solaris conjuntos de reglas inactivos, Ver filtro IP de Solaris conmutacin por error definicin, 782 ejemplos, 791 interfaz de reserva, 787 reconfiguracin dinmica (DR) y, 794
946
consideraciones de seguridad archivo ike/config, 654 archivo ipsecinit.conf, 590 archivoipseckeys file, 542 Carga de seguridad encapsuladora (ESP), 515 claves previamente compartidas, 601 comando ipsecconf, 590 comando ipseckey, 592-593 configurar IKE con certificados, 619 IKE con claves previamente compartidas, 607 IKE para buscar hardware, 632 IPsec, 530 parmetros de transmisin de IKE, 651 cuestiones de encaminador de reenvo 6to4, 246 encabezado de autenticacin (AH), 515 IP para mviles, 737-738 protocolos de seguridad, 515 sockets bloqueados, 590 control de flujo, 897, 913 tabla de registro de flujo, 914 control del flujo, mediante los mdulos de medicin, 830 conversin de binario a decimal, 258 conversin de decimal a binario, 258 convertir almacn de datos DHCP, 434-437 creacin de directorio /tftpboot, 107 crear certificados autofirmados (IKE), 620 ndice de parmetros de seguridad (SPI), 538 macros DHCP, 419 manifiesto SMF especfico del sitio, 583-586 opciones DHCP, 425 rol relativo a seguridad, 545-547 SA IPsec, 531, 539-544 solicitudes de certificados, 626 crear archivo, ipsecinit.conf, 530 crear tneles, 724, 738 CRL acceder desde ubicacin central, 636 base de datos ike/crls, 660 comando ikecert certrldb, 659 enumerar, 636 omitir, 630
ndice
cumplimiento del trfico definir, 884 parmetros de tasa, 906 parmetros de tasas, 906 planificacin tasas en la directiva QoS, 851 planificar resultados en la directiva QoS, 851 resultados, 830, 906
D
daemon /usr/sbin/in.routed descripcin, 270 modo de ahorro de espacio, 270 daemon /usr/sbin/inetd comprobar el estado de inetd, 244 servicios iniciados por, 139 daemon dhcpagent, 450 archivo de parmetros, 498 modo de depuracin, 476-477 daemon in.dhcpd, 326 descripcin, 490 modo de depuracin, 477 daemon in.iked activar, 654 descripcin, 598 detener e iniciar, 533, 611 nivel de privilegio comprobar, 611 opcin -c, 608 opcin -f, 608 daemon in.mpathd definicin, 780-781 destinos de sondeo, 789 velocidad de sondeo, 780 daemon in.ndpd comprobar el estado, 244 crear un registro, 232-233 opciones, 292 daemon in.rarpd, 100 daemon in.ripngd, 189, 293 daemon in.routed, 137 crear un registro, 231-232
daemon in.routed (Continuacin) descripcin, 270 modo de ahorro de espacio, 270 daemon in.telnet, 43 daemon in.tftpd activar, 107 descripcin, 100 daemon inetd administrar servicios, 260 daemon inetd, comprobar el estado, 244 daemon inetd servicios de IPv6, 293-295 servicios iniciados por, 139 daemon IPMPin.mpathd, 780-781 daemon mipagent, 741, 758, 774 daemon rpc.bootparamd, 100 daemons daemon de encaminamiento in.routed, 137 daemon in.iked, 598, 603 daemon in.mpathd, 780-781 daemon in.ndpd, 292 daemon in.ripngd, 189, 293 daemon in.tftpd, 107 in.iked daemon, 654 protocolos de arranque de servidores de configuracin de red, 100 servicios de Internet inetd, 260 datagrama encapsulado, IP para mviles, 724 datagramas encabezado IP, 48 formato de protocolo IP, 40 funciones de protocolo UDP, 42 IP, 507 proceso de paquetes, 48 datagramas de multidifusin, IP para mviles, 736 datagramas IP encabezado IP, 48 formato de protocolo IP, 40 funciones de protocolo UDP, 42 proceso de paquetes, 48 proteger con IPsec, 507 desactivar filtro IP de Solaris, 683, 689-690 descubrimiento de agentes, IP para mviles, 727-728 descubrimiento de encaminador, en IPv6, 297, 300
947
ndice
descubrimiento de encaminadores, en IPv6, 83, 292 descubrimiento de prefijos, en IPv6, 83 destinos de sondeo, daemon in.mpathd, 784 deteccin de direcciones duplicadas algoritmo, 298 IPv6, 83 servicio DHCP, 380 deteccin de fallos, en IPMP, 788 definicin, 782 NIC que no estaban al arrancar el sistema, 795 velocidad de sondeo, 780 deteccin de fallos basada en sondeos configurar sistemas de destino, 805-807 Deteccin de fallos basada en sondeos, definicin, 789-790 deteccin de fallos basada en sondeos destinos de sondeo, 789 trfico de sondeos, IPMP, 784 deteccin de fallos basada en vnculos, definicin, 788-789 deteccin de fallos basados en sondeos, tiempo de deteccin de fallos, 790 deteccin de inasequibilidad de vecinos IPv6, 83, 298, 301 deteccin de reparaciones, con IPMP, 782, 790 determinacin de salto siguiente, IPv6, 83 DHCP Configuration Wizard, para agente de reenvo de BOOTP, 355 DHCPv4 y DHCPv6, 446 DHCPv6, nombre de cliente, 447 DHCPv6 y DHCPv4, 446 direccin 6to4 direccin de host, 275 formato, 274 direccin de auxilio adquirir, 728 agente externo, 728, 731, 734 agentes de movilidad, 723 compartir, 728 coubicada, 726, 728, 733, 736 informacin de estado, 774 IP para mviles, 722 registro de nodos mviles, 731 ubicacin del nodo mvil, 724
948
direccin de auxilio coubicada, 726, 733, 736 obtener, 728 direccin de control de acceso a medios, Ver direccin MAC direccin de difusin, 767 direccin DHCP inutilizable, 399 direccin en bucle, 109, 252 direccin Ethernet, Ver direccin MAC direccin IP direccin IP de origen, 735, 736 etiqueta BaseAddress, 767 nodo mvil, 724, 733 direccin local de vnculo como direccin de prueba IPMP, 785 configuracin manual, con un token, 198 formato, 81-82 direccin local de vnculo IPv6, con IPMP, 785 direccin MAC, 447 asignar a IP en base de datos ethers, 266 comprobar exclusividad, 160-161 ID de interfaz de IPv6, 81 requisitos de IPMP, 783 utilizada en ID de cliente de DHCP, 330 direccin permanente, 722, 723, 724 direccin temporal, en IPv6 configurar, 193-195 definicin, 192-195 direcciones direccin en bucle, 252 direcciones de datos, IPMP, 784 direcciones de prueba, IPMP, 784-785 direcciones Ethernet base de datos ethers, 262, 266 formato 6to4, 274 formato CIDR, 59 formato IPv4, 59 IPv6, formato 6to4, 204 locales de vnculo IPv6, 81-82 mscara de red IPv4, 257 mostrar direcciones de todas las interfaces, 220 multidifusin, en IPv6, 276-277 seleccin de direcciones predeterminadas, 239-242 temporales, in IPv6, 192-195 unidifusin global IPv6, 80-81
ndice
direcciones de datos, IPMP, definicin, 784 direcciones de difusin por proximidad, 207 definicin, 83 direcciones de prueba, IPMP configuracin IPv6, 802 configurar en una interfaz de reserva, 809 IPv4, 802 definicin, 784 evitar uso por parte de aplicaciones, 786 interfaz de reserva, 787 requisitos de IPv4, 785 requisitos de IPv6, 785 trfico de sondeos y, 784 direcciones DHCP no utilizables, 406 direcciones Ethernet, Ver base de datos ethers direcciones IP asignacin con DHCP, 341 clases de redes administracin de nmeros de red, 56 DHCP agregar, 399 eliminar, 406 errores, 473 inutilizables, 406 modificar propiedades, 403 propiedades, 396 reservar para cliente, 409 tareas, 395 disear el esquema de direcciones, 55 disear un esquema de direcciones, 63 funciones del protocolo IP, 40 interfaces de red y, 63 mostrar direcciones de todas las interfaces, 220 problemas de subred, 258 direcciones IPv4 aplicar mscaras de red, 258 asignacin de nmero de red de la IANA, 61 clases de red, 61 clase A, 271 clase B, 271, 272 clase C, 272 esquema de direcciones, 60, 61
direcciones IPv4 (Continuacin) formato, 58 formato de decimales con puntos, 59 nombres simblicos para nmeros de red, 259 nmero de subred, 61 partes, 61 rango de nmeros disponibles, 61 subredes, 256 direcciones IPv6 configuracin automtica de direcciones, 83, 84-85 difusin por proximidad, 83 ejemplo de uso de VPN con IPsec, 564-570 exclusividad, 297 ID de interfaz, 81 locales de vnculo, 81-82 multidifusin, 82 resolucin de direcciones, 83 unidifusin, 80-81 direcciones locales de sitio, IPv6, 85 direcciones locales de vnculo IPv6, 297, 301, 305 direcciones multidifusin, IPv6 comparacin con direcciones de emisin, 300 descripcin general, 82 formato, 276-277 direcciones privadas, IP para mviles, 729-730 directiva de seguridad archivo (IPsec) ipsecinit.conf, 589-590 archivo ike/config (IKE), 524 Directiva de seguridad, archivo ipsecinit.conf (IPsec), 530 directiva de seguridad IPsec, 517 directiva IPsec datagramas IP en IP, 505-507 ejemplo de LAN, 563 ejemplo de tneles en modo transporte, 576 ejemplo de uso de sintaxis no admitida, 576-577 ejemplos de sintaxis de tnel, 549-551 especificar, 567, 579 directiva QoS, 826 crear filtros, 848 implementar, en el archivo de configuracin IPQoS, 859
949
ndice
directiva QoS (Continuacin) mapa de tareas de planificacin, 844 plantilla para organizar la directiva, 843 directivas, IPsec, 517 directivas, para agregaciones, 173 directorio /etc/inet/ike/crls, 660 directorio /etc/inet/ike/publickeys, 659 directorio /etc/inet/secret/ike.privatekeys, 659 directorios certificados (IKE), 659 claves previamente compartidas (IKE), 656 claves privadas (IKE), 657 claves pblicas (IKE), 659 directorios /etc/inet/publickeys, 659 /etc/inet, 603 /etc/inet/ike, 603 /etc/inet/secret, 603 /etc/inet/secret/ike.privatekeys, 657 disear la red descripcin general, 55 esquema de direcciones IP, 55, 63 nombres de hosts, 64 seleccin de nombre de dominio, 65 subredes, 256 dispositivos de LAN virtual (VLAN) en una red IPQoS, 911 distribuciones de red para IPQoS, 840 ejemplo de configuracin, 856 Red LAN con conjuntos de servidores con IPQoS, 841 red LAN con cortafuegos con IPQoS, 842 Red LAN con hosts con IPQoS, 841
E
EGP, Ver protocolos de encaminamiento ejemplo de red de IPQoS, 861 eliminar opciones DHCP, 430 SA IPsec, 540 encabezado de autenticacin (AH) consideraciones de seguridad, 515 mecanismo de proteccin IPsec, 513-516 proteger datagrama IP, 514
950
encabezado de autenticacin (AH) (Continuacin) proteger paquetes IP, 507 encabezado de paquetes encabezado IP, 48 funciones de protocolo TCP, 41 encaminador con Diffserv evaluacin de puntos de cdigo DS, 910 planificar, 845 encaminador de lmite, 120 encaminador de lmite de sistema, en ubicacin 6to4, 309 encaminador de reenvo, configuracin de tnel 6to4, 207, 208 encaminador de reenvo 6to4 cuestiones de seguridad, 246, 310-312 tareas de configuracin de tnel, 207, 208 topologa de tnel, 311 encaminador de reenvo de paquetes, 121 encaminador de rel de 6to4, en un tnel de 6to4, 287 encaminador predeterminado definicin, 121 ejemplo de configuracin, 126 encaminadores agregar, 66, 69 archivo /etc/defaultrouter, 251 configuracin de modo de archivos locales, 106 configurar, 269 interfaces de red, 125 IPv6, 188 definicin, 115, 122, 269 direccin predeterminada, 104 direcciones para clientes DHCP, 341 encaminador de reenvo de paquetes, 121 encaminadores predeterminados, 121 encaminamiento dinmico, 137 encaminamiento esttico, 135 funcin, en topologa 6to4, 308 lmite, 120 problemas al actualizar a IPv6, 245 protocolos de encaminamiento descripcin, 44, 269, 270 seleccin automtica, 125 topologa de red, 66, 67 transferencia de paquetes, 68, 69
ndice
encaminamiento configuracin de tabla de encaminamiento, 129 configurar esttico, 134 configurar manualmente una tabla de encaminamiento, 127 definicin, 115 en hosts de interfaz nica, 134 en hosts mltiples, 131 encaminamiento dinmico, 128 encaminamiento esttico, 128 IPv6, 302 portal, 127 ruta directa, 115 ruta indirecta, 115 encaminamiento de datagramas de multidifusin, IP para mviles, 736-737 encaminamiento de datagramas de unidifusin, IP para mviles, 735-736 encaminamiento dinmico, 137 configurar en un host de interfaz nica, 137 ejemplo de configuracin de host, 138 uso recomendado, 128 encaminamiento esttico, 135, 251 agregar una ruta esttica, 127, 129-130 configurar manualmente en un host, 134 ejemplo de configuracin, 130 ejemplo de configuracin de host, 136 uso recomendado, 128 encapsulado de datos definicin, 45 pila de protocolo TCP/IP y, 45, 49 enlace de movilidad, 731, 733, 734, 736 enlaces de filtros de paquetes, 673 entrada /opt/SUNWconn/lib/libpkcs11.so, en archivo ike/config, 657 enumeracin, certificados (IPsec), 622 enumerar algoritmos (IPsec), 515, 594 certificados (IPsec), 636 CRL (IPsec), 636 hardware (IPsec), 649 ID de seal a partir de metarranura, 649 ID de smbolo (IPsec), 649 envoltorios, TCP, 143
envoltorios TCP, activar, 143 equilibrio de carga, en una red habilitada para IPv6, 299 equilibrio de la carga en una red con IPQoS, 841 entre agregaciones, 173 equilibrio de la carga entrante, 299 equipos, proteger comunicacin, 529-533 ESP, Ver Carga de seguridad encapsuladora (ESP) estadsticas por protocolo (netstat), 222 transmisin de paquetes (ping), 229, 230 estadsticas de estado, ver, 705-706 estadsticas de IPQoS activacin de las estadsticas globales, 919 activar estadsticas basadas en clases, 919 activar estadsticas globales, 865 generar, con el comando kstat, 900 estructura capa de vnculo de datos, 40, 48 descripcin, 48 estructura criptogrfica de Solaris, IPsec y, 590-591 estructura del Gestor de coordinacin de reconfiguracin (RCM), 794 /etc/hostnameinterfaz, configuracin de modo de archivos locales, 105 etiqueta AdvertiseOnBcast, 742, 764 etiqueta AdvFrequency, 742, 765 etiqueta AdvInitCount, 765 etiqueta AdvLifetime, 742, 747, 765 etiqueta AdvLimitUnsolicited, 765 etiqueta BaseAddress, 743, 767 etiqueta Challenge, 743, 766 etiqueta ForeignAgent, 742, 752, 764 etiqueta HA-FAauth, 743, 748, 766 etiqueta HomeAgent, 742, 752, 764 etiqueta Key, 744, 749, 768 etiqueta KeyDistribution, 743, 766 etiqueta MaxClockSkew, 743, 766 etiqueta MN-FAauth, 743, 766 etiqueta Pool, 744, 749, 771, 772 etiqueta PrefixFlags, 742, 764 etiqueta RegLifetime, 742, 765 etiqueta ReplayMethod, 744, 768
951
ndice
etiqueta ReverseTunnel, 742, 765 etiqueta ReverseTunnelRequired, 742, 765 etiqueta Size, 743, 767 etiqueta SPI, 749, 769, 771, 772 etiqueta Type, 749, 769, 771, 772 etiqueta Version, 742, 763 eventos DHCP, 464-467 evitar falsificacin de IP, manifiesto SMF, 583-586 expansin de carga definicin, 780 saliente, 783
F
fallos de grupo, IPMP, 790 filtro IP, Ver filtro IP de Solaris filtro IP de Solaris activar en versiones anteriores de Solaris 10, 684-687 administracin de conjuntos de reglas de filtros de paquetes, 693-699 agrupaciones de direcciones anexar, 703-704 eliminar, 702-703 ver, 702 agrupaciones de direcciones y, 671-672 archivo /etc/ipf/ipf.conf, 712-713 archivo /etc/ipf/ipf6.conf, 674-675 archivo /etc/ipf/ipnat.conf, 712-713 archivo /etc/ipf/ippool.conf, 712-713 archivo ipf.conf, 667-670 archivo ipf6.conf, 674-675 archivo ipnat.conf, 670-671 archivo ippool.conf, 671-672 comando ifconfig, 666 comando ipf, 679-680 opcin -6, 674-675 comando ipfstat opcin -6, 674-675 comando ipmon IPv6 y, 674-675 comando ipnat, 679-680 comando ippool, 702 IPv6 y, 674-675
952
filtro IP de Solaris (Continuacin) conjunto de reglas activar diferente, 694-695 conjuntos de reglas activos, 693 alternar entre, 698-699 anexar a inactivo, 697-698 anexar al activo, 696-697 eliminar, 695-696 eliminar inactivos, 699 inactivos, 693-694 conjuntos de reglas y, 667-672 crear archivos de registro, 708-709 crear archivos de configuracin, 712-713 desactivar, 683 en una NIC, 689-690 NAT, 683 descripcin general, 662-663 descripcin general de filtros de paquetes, 667-670 directrices para utilizar, 666 ejemplos de archivos de configuracin, 666 eliminar reglas NAT, 700-701 enlaces de filtros de paquetes, 673, 678-679 especificar una NIC, 687-688 filtros en bucle, 680-681 guardar paquetes registrados en un archivo, 711 informacin de cdigo abierto, 663 IPv6, 674-675 mdulo pfil, 673-674 NAT y, 670-671 reglas NAT anexar, 701-702 ver, 700 vaciar archivo de registro, 710 ver archivos de registro, 709-710 estadsticas de estado, 705-706 estadsticas de la agrupacin de direcciones, 707 estadsticas de pfil, 690-691 estadsticas NAT, 706-707 tablas de estado, 704-705 volver a activar, 679-680
ndice
filtros, 830 crear, en el archivo de configuracin IPQoS, 874, 879 planificar, en la directiva QoS, 848 selectores, lista de, 904 sintaxis de la clusula filter, 919 filtros de paquetes activar conjunto de reglas diferente, 694-695 administrar conjuntos de reglas, 693-699 alternar entre conjuntos de reglas, 698-699 anexar reglas a conjunto activo, 696-697 reglas a conjunto inactivo, 697-698 configurar, 667-670 desactivar, 682 eliminar conjunto de reglas activo, 695-696 conjunto de reglas inactivo, 699 especificar una NIC, 687-688 volver a cargar tras actualizacin del conjunto de reglas actual, 694-695 firmas digitales DSA, 658 RSA, 658 flujo de paquetes a travs de tnel, 309 encaminador de reenvo, 311 flujo de paquetes, IPv6 6to4 e IPv6 nativo, 311 a travs de tnel 6to4, 309 foreign agent, implementacin, 757 formato de decimales con puntos, 59
grupos IPMP (Continuacin) eliminar interfaces, mediante DR, 794 eliminar una interfaz de un grupo, 813-814 fallos de grupo, 790 interfaces que no estn presentes durante el arranque, 795 mostrar pertenencia a un grupo, 811-812 mover una interfaz entre grupos, 814 planificar tareas, 799-801 resolucin de problemas de configuracin de grupo, 805 velocidad de NIC en un grupo, 781-782
H
hardware acelerar clculos IKE, 602, 647 almacenar claves IKE, 602, 648-649 capa de red fsica (TCP/IP), 39, 40 capa fsica (OSI), 39 hardware para redes con IPQoS, 840 host, configurar una direccin 6to4, 275 hosts comprobar conectividad de host con ping, 228 comprobar conectividad IP, 230 configurar para IPv6, 191-199 de recepcin transferencia del paquete a travs de, 48 direcciones IPv6 temporales, 192-195 ejemplo de red, 101 en una topologa de encaminamiento IPv4, 121 en una topologa de red IPv4, 101 envo transferencia de paquete a travs de, 46, 48 modos de configuracin de TCP/IP, 101 configuraciones mixtas, 101 ejemplo de red, 101 informacin de configuracin, 99 modo de archivos locales, 99 modo de cliente de red, 101, 109 servidores de configuracin de red, 100 modos de configuracin TCP/IP modo de archivos locales, 100, 107 modo de cliente de red, 101
953
G
generar, nmeros aleatorios, 537-538 grupos de difusin por proximidad, encaminador de reenvo 6to4, 207 grupos IPMP agregar interfaces, mediante DR, 793 agregar una interfaz a un grupo, 812-813 configurar, 801-805 configurar un grupo para una nica interfaz, 810-811
ndice
hosts (Continuacin) mltiples configurar, 131 definicin, 121 nombre de host administrar, 64 archivo /etc/inet/hosts, 253 recibir transferencia del paquete a travs de, 49 resolucin de problemas generales, 243 seleccin del protocolo de encaminamiento, 125 hosts base de datos archivo /etc/inet/hosts agregar subredes, 102 hosts con varias direcciones permanentes, habilitar para IPv6, 182-184 hosts de envo transferencia de paquete a travs de, 46, 48 hosts de recepcin transferencia del paquete a travs de, 48, 49 hosts mltiples configuracin durante la instalacin, 253 configurar, 131-134 definicin, 121, 131 ejemplo de configuracin, 132 en redes con cortafuegos, 131
I
ID de cliente, 447 ID de interfaz definicin, 81 formato, en una direccin IPv6, 78 utilizar un token configurado manualmente, 198 ID de token, del hardware, 659 identificador de acceso de red IP para mviles, seccin Address, 770-771 seccin Address IP para mviles, 744 identificador de acceso de red (NAI), IP para mviles, 768 ifconfig sondear una interfaz, 123, 146, 157 ifconfig comando conectar una interfaz, 163
954
ifconfig comando (Continuacin) configurar dispositivos VLAN, 150 IGP, Ver protocolos de encaminamiento IKE aceleracin de hardware, 602 administracin de claves, 598 administrar mediante SMF, 547-548 agregar certificados autofirmados, 620 almacenamiento de hardware de claves, 602 archivo ike.preshared, 656 archivos de configuracin, 602-604 asociaciones de seguridad, 654 asociaciones de seguridad de ISAKMP, 599 asociaciones de seguridad ISAKMP, 599 base de datos crls, 660 base de datos ike.privatekeys, 659 base de datos publickeys, 659 bases de datos, 656-660 biblioteca PKCS #11, 658 buscar hardware conectado, 646 cambiar nivel de privilegios, 612, 656 certificados, 601 claves previamente compartidas, 600 comando ikeadm, 655-656 comando ikecert, 656 comando ikecert certdb, 627 comando ikecert certrldb, 637 comando ikecert tokens, 649 comprobar validez de directiva, 608 confidencialidad directa perfecta (PFS), 598 configurar con certificados de autoridad de certificacin, 626-631 con certificados de clave pblica, 618 con claves previamente compartidas, 606 para sistemas porttiles, 638-646 crear certificados autofirmados, 620 daemon, 654 daemon in.iked, 654 descripcin de servicios SMF, 602-604 descripcin general, 598 descripciones de comandos, 602-604
ndice
IKE (Continuacin) generar solicitudes de certificacin, 626 implementar, 605 intercambio de fase 1, 599 intercambio de fase 2, 600 mediante la placa Crypto Accelerator 6000 de Sun, 648-649 mediante una placa Crypto Accelerator de Sun, 659 NAT y, 642-643, 644-645 negociacin de claves de fase 1, 650-652 nivel de privilegio comprobar, 611 nivel de privilegios cambiar, 612, 656 comprobar, 612 descripcin, 655 referencia, 653 resolucin de problemas de tiempo de transmisin, 650-652 RFC, 508 servicio de SMF, 653-654 sistemas porttiles, 638-646 teclas compartidas previamente ver, 612-613 ubicaciones de almacenamiento para claves, 602-604 utilizar placa Sun Crypto Accelerator 1000, 647-648 utilizar placa Sun Crypto Accelerator 4000, 648-649 utilizar procesador UltraSPARC T2, 646 utilizar una placa Crypto Accelerator de Sun, 657, 658 ver teclas compartidas previamente, 612-613 zona global, 597 in.iked daemon nivel de privilegios comprobar, 612 indicador de recursos uniforme (URI), para acceder a CRL, 635 ndice de parmetro de seguridad (SPI), IP para mviles, 733 ndice de parmetros de seguridad (SPI) crear, 538 descripcin, 512-513
ndice de parmetros de seguridad (SPI) (Continuacin) IP para mviles, 767 tamao de clave, 538 informacin de estado, IP para mviles, 774 instruccin action, 917 interfaces comprobar paquetes, 235-236 configuracin de encaminador, 122, 125 configurar como parte de una VLAN, 168-169 conectar, 163 direcciones temporales, 192-195 en agregaciones, 174-176 en Solaris 10 1/06, 156-159 en Solaris 10 3/05, 145 interfaces lgicas de IPv6, 284-285 manualmente, para IPv6, 182-184 convenciones de denominacin, 162-163 eliminar, 148 en Solaris 10 1/06, 159-160 fallo, con IPMP, 791 hosts mltiples, 131, 253 mostrar estado, 220 mostrar estado, Solaris 10 1/06, 155-156 orden de los mdulos STREAMS en una interfaz, 800 pseudo-interfaz, para tneles 6to4, 204 reserva, en IPMP, 787 reserva en IPMP, 807-810 tipos, en Solaris 10 1/06, 163 tipos de interfaces heredadas, 163 tipos de interfaces no VLAN, 163 tipos de interfaz IPMP, 786-788 tipos de NIC, 144, 162 tipos que admiten agregaciones, 174 verificar exclusividad de direccin MAC, 160-161 visualizar estado, 217, 788 VLAN, 164-169 VLAN, en Solaris 10 3/05, 148-151 interfaces de red direcciones IP y, 63 interfaces de red mltiples archivo /etc/inet/hosts, 253 archivo /etc/inet/hosts, 253
955
ndice
interfaces de red (Continuacin) mostrar estado de DHCP, 456 interfaces de red mltiples archivo /etc/inet/hosts, 253 configuracin de encaminador, 122, 125 interfaces de redes, supervisar con servicio DHCP, 383 interfaces dinmicas a travs de anuncio de agente, 727 anuncios de agente a travs de, 764 interfaces heredadas, 163 interfaces lgicas definicin, 144, 162 para direccin IPv6, 284-285 para tneles IPv6, 201, 202, 203 sistemas cliente DHCP, 457 interfaces no VLAN, 163 interfaz, definicin, 162 interfaz de red, configurar, 144-151 interfaz de red principal, 144, 162 interfaz de reserva configurar direccin de prueba en, 809 configurar para un grupo IPMP, 807-810 definicin, 787 interfaz de socket PF_KEY IPsec, 512, 523 interfaz fsica, 170-171 Ver tambin interfaces agregar, tras la instalacin, 145, 156 configurar, 144-151 convenciones de denominacin, 162-163 definicin, 144, 162, 781 deteccin de fallos, 788 deteccin de reparaciones con IPMP, 790 eliminar, 159-160 en Solaris 10 3/05, 148 tarjeta de interfaz de red (NIC), 144, 162 VLAN, definicin, 148-151 interfaz lgica, 448 Internet, registro de nombre de dominio, 38 InterNIC servicios de registro registro de nombre de dominio, 38 interoperabilidad, IPsec con otras plataformas utilizando claves previamente compartidas, 610
956
interoperatividad, IPsec con otras plataformas en modo tnel, 506 interredes definicin, 67 redundancia y fiabilidad, 67 topologa, 66, 67 transferencia de paquetes mediante encaminadores, 68, 69 IP address, direccin de auxilio, 728 IP mvil configurar, 740-745 ejemplos de archivos de configuracin, 759-763 formato del archivo de configuracin, 759 implementar, 739 mostrar estado de agente, 753-754 RFC admitidos, 757 seccin Address nodo mvil predeterminado, 744 IP para mviles anular registro, 726, 731, 732 anuncio de agente, 726, 727, 731 anuncio de encaminador, 758 archivo de configuracin seccin Address, 767, 768-772 seccin Advertisements, 764-765 seccin General, 763-764 seccin GlobalSecurityParameters, 765-766 seccin Pool, 766-767 seccin SPI, 767-768, 769 asociacin de seguridad, 733 autenticacin de mensajes, 733, 737 comunicaciones inalmbricas, 723, 728, 737 consideraciones de seguridad, 737-738 datagrama encapsulado, 724 datagramas de multidifusin, 736 descubrimiento de agentes, 727-728 direcciones privadas, 729-730 encaminamiento de datagramas de multidifusin, 736-737 encaminamiento de datagramas de unidifusin, 735-736 funcionamiento, 724-726 funciones no admitidas, 758 funciones RFC no admitidas, 758
ndice
IP para mviles (Continuacin) identificador de acceso de red (NAIN), 768 ndice de parmetro de seguridad (SPI), 733 ndice de parmetros de seguridad (SPI), 767 informacin de estado, 774 IPsec, uso de, 738 mensaje de autenticacin, 767 mensaje de respuesta de registro, 734 mensaje de solicitud de registro, 734 mensajes de registro, 731, 732, 733, 758 movimiento de datagramas, 723 registrar, 724, 731 indicador de tnel inverso, 733 seccin Address identificador de acceso de red, 744 identificador de acceso de red (NAI), 770-771 nodo mvil predeterminado, 771-772 secciones del archivo de configuracin, 763 solicitud de agente, 727, 728 solicitud de agentes, 726 solicitud de registro, 733 tipos de encapsulado, 735 tnel inverso, 727, 729-730 consideraciones del agente externo, 734 consideraciones del agente interno, 734 encaminamiento de datagramas de multidifusin, 737 encaminamiento de datagramas de unidifusin, 736 IP para mvilesIP, registrar, 726 ip_strict_dst_multihoming, evitar falsificacin de IP, 583-586 ipgpc clasificador, Ver mdulo clasificador IPMP administrar, 811-814 archivo de configuracin IPMP, 819-820 archivo hostname.interfaz, 809 compatibilidad con ATM, 800 compatibilidad con Ethernet, 800 compatibilidad con Token ring, 800 componentes de software, 780 configuracin de grupo planificar un grupo IPMP, 799-801 resolucin de problemas, 805
IPMP, configuracin de grupo (Continuacin) tareas para configurar, 801-805 configuracin de interfaz activa-activa, 788 activa-reserva, 788 interfaz de reserva, 787, 807-810 tipos de configuracin de interfaz, 786 conmutacin por error definicin, 782 conservar configuracin tras rearranque, 803, 804 controladores de red admitidos, 788 definicin de grupo de mltiples rutas Ver grupo IPMP descripcin general, 779-783 deteccin de fallos definicin, 782 deteccin de fallos basada en sondeos, 789-790 deteccin de fallos basada en vnculos, 788-789 deteccin de reparaciones, 782 direcciones de datos, 784 direcciones de prueba, 784-785 expansin de carga, 780 mantener la configuracin tras el rearranque, 809 reconfiguracin dinmica, 783, 792-795 reemplazar interfaces, DR, 814-816 reemplazar una interfaz que no estaba presente al arrancar el sistema, 816-819 requisitos bsicos, 783 sistemas de destino, 782 configurar manualmente, 806 configurar una secuencia, 806-807 terminologa, 781-783 tiempo de deteccin de fallos, 790 trfico de sondeos, 784 vnculos IP, tipos, 781 IPQoS, 823 archivo de configuracin, 861, 916 clusula class, 866 clusula filter, 867 instruccin action de marcador, 869 instruccin action inicial, 917 instruccin de accin inicial, 865 lista de mdulos IPQoS, 918 sintaxis, 916
957
ndice
IPQoS, archivo de configuracin (Continuacin) sintaxis de instruccin action, 918 compatibilidad con dispositivos VLAN, 911 directrices en redes habilitadas para IPv6, 93 distribuciones de red admitidas, 840 distribuciones de red compatibles, 841, 842 ejemplo de configuracin, 856-858 ejemplo de red, 861 encaminadores en una red IPQoS, 886 funciones, 824 funciones de administracin del trfico, 827, 828 generacin de estadsticas, 900 implementacin del modelo Diffserv, 829 mensajes de error, 892 pginas de comando man, 825 Peticiones de comentarios relacionadas, 825 planificar la configuracin, 839 planificar la directiva QoS, 843 registro de mensajes, 891 ipqosconf, 861 IPsec activar, 523 administracin de claves, 512-513 administrar mediante SMF, 547-548 agregar asociaciones de seguridad (SA), 531 algoritmos de autenticacin, 516 algoritmos de cifrado, 516 archivo /etc/hostname.ip6.tun0 configurar VPN, 567, 580 archivo /etc/hosts, 530 archivo /etc/inet/ipnodes, 530 archivo hostname.ip.tun0 configurar VPN, 573 archivo ipsecinit.conf archivo de directiva, 517 configurar, 530 descripcin, 589-590 eliminar omisin IPsec de LAN, 563, 576 omitir LAN, 556, 572, 593 proteger el servidor web, 536 proteger servidor web, 534 archivos de configuracin, 522-524 archivos de directiva, 589-590 asegurar el registro remoto, 530
958
IPsec (Continuacin) asociaciones de seguridad (SA), 512-513 base de datos de asociaciones de seguridad (SADB), 507, 591 base de datos de directivas de seguridad (SPD), 507, 588 base de datos de directivasde seguridad (SPD), 509 Carga de seguridad encapsuladora (ESP), 513-516 comando de directiva , 588-589 comando ifconfig configurar VPN, 557, 558, 568, 581 opciones de seguridad, 593-594 comando ipsecalgs, 516, 590-591 comando ipsecconf, 517, 588-589 comando ipseckey, 513, 591-593 comando route, 558, 560, 568, 569, 574, 575, 581, 582 comando snoop, 593, 594 comandos, lista, 522-524 componentes, 507 configurar, 517, 588-589 configurar directiva permanentemente, 589-590 temporalmente, 588-589 crear manualmente SA, 539-544 daemon in.iked, 513 datos de encapsulacin, 514 descripcin general, 507 directiva de proteccin, 517 especificar algoritmos de autenticacin, 593 algoritmos de cifrado, 593 estructura criptogrfica de Solaris y, 590-591 extensiones para utilidades comando ifconfig, 593-594 comando snoop, 593, 594 implementar, 527 ndice de parmetros de seguridad (SPI), 512-513 interoperatividad con otras plataformas claves previamente compartidas, 537, 610 tneles de IP en IP, 506 IP para mviles, 738 LDoms y, 522
ndice
IPsec (Continuacin) mecanismos de proteccin, 513-516 mecanismos de seguridad, 507 modo de transporte, 517-519 modo de tnel, 517-519 NAT y, 520-521 obtener nmeros aleatorios para claves, 537-538 omitir, 517, 534, 535 origen de algoritmo, 590-591 proceso de paquetes entrantes, 509 proceso de paquetes salientes, 509 proteger paquetes, 507 servidores Web, 533-536 sistemas porttiles, 638-646 VPN, 554-564 proteger trfico, 529-533 proteger una VPN, 549-551, 551-586 protocolo SCTP y, 521, 529 protocolos de seguridad, 507, 512-513 RBAC y, 529 redes privadas virtuales (VPN), 520, 554-564 RFC, 508 roles de seguridad, 545-547 servicios directiva, 523 manual-key, 523 servicios, lista, 522-524 servicios de SMF, 505-507, 587-588 sustituir asociaciones de seguridad (SA), 540 terminologa, 508-509 tneles, 519 utilidades de claves comando ipseckey, 591-593 IKE, 598 utilizar ssh para inicio de sesin remota seguro, 532 verificar proteccin de paquetes, 544-545 visualizar directivas, 537 VPN IPv4 en modo transporte de tnel y, 570-577 VPN IPv4 y, 554-564 VPN IPv6 en modo de transporte de tnel, y, 577-583 VPN IPv6 y, 564-570 zonas y, 522, 529
IPv6 admisin de ATM, 314 agregar compatibilidad con DNS, 209 direcciones a NIS, 210 anuncio de encaminador, 296, 297, 300, 303 aspectos sobre la seguridad, 94 campos de encabezado de extensin, 278 comando nslookup, 211 comparacin con IPv4, 300-301 comparado con IPv4, 72 comprobar el estado de in.ndpd, 244 configuracin automtica de direcciones, 292, 296 configuracin automtica de direcciones sin estado, 297 configuracin de direcciones temporales, 192-195 configuracin de tneles, 200-201 daemon in.ndpd, 292 daemon in.ripngd, 293 descripcin general de protocolo, 296 descubrimiento de encaminador, 300 descubrimiento de encaminadores, 292 deteccin de direcciones duplicadas, 83 deteccin de inasequibilidad de vecinos, 83, 301 determinacin de salto siguiente, 83 direccin 6to4, 274 direcciones locales de sitio, 85 direcciones locales de vnculo, 297, 301 direcciones multidifusin, 276-277, 300 encaminamiento, 302 extensiones del comando ifconfig, 288 formato de encabezado de paquetes, 277-278 habilitar, en un servidor, 198-199 plan de direcciones, 96 preparacin para admitir DNS, 93 problemas comunes con un encaminador 6to4, 246 protocolo ND (Neighbor Discovery), 295-301 protocolos de pila doble, 90 redireccin, 296, 300 redirigir, 84 registros AAAA de DNS, 210 resolucin de problemas IPv6 comunes, 245-246 resolver problemas IPv6 comunes, 245-247 solicitud de encaminador, 295, 297
959
ndice
IPv6 (Continuacin) solicitud de vecino, 296 solicitud e inasequibilidad de vecinos, 298 subredes, 76 supervisar trfico, 238-239 tabla de directrices de seleccin de direcciones predeterminada, 286 tneles, 305-307 tneles automticos, 304 y el filtro IP de Solaris, 674-675
K
keys, crear para SA IPsec, 539-544 kstat comando, usado con IPQoS, 900
L
LDoms, IPsec y, 522 lista de visitantes agente externo, 753 IP para mviles, 773 listas de revocacin de certificados, Ver CRL
M
macros DHCP Ver macros DHCP macros de DHCP, configuracin, 397 macros DHCP arranque de red, 433 categoras, 330 crear, 419 descripcin general, 329 eliminar, 421 lmite de tamao, 331 macro de configuracin regional, 351 macro de direccin de red, 330, 352 macro de servidor, 352 macros de clase de cliente, 330 macros de ID de cliente, 330
960
macros DHCP (Continuacin) modificar, 414 orden de procesamiento, 331 predeterminadas, 343 procesamiento automtico, 330 uso, 412 mapa de hosts.byaddr, 210 mapa de hosts.byname, 210 mapa de ipnodes.byaddr, 210 mapa de ipnodes.byname, 210 mapa de tareas IPQoS planificar la configuracin, 839 mapas de tareas Cambio de los parmetros de transmisin de IKE (mapa de tareas), 650 Configuracin de IKE (mapa de tareas), 605 Configuracin de IKE con certificados de clave pblica (mapa de tareas), 618 Configuracin de IKE con claves previamente compartidas (mapa de tareas), 606 Configuracin de IKE para buscar el hardware conectado (mapa de tareas), 646 Configuracin de IKE para sistemas porttiles (mapa de tareas), 638 configuracin de red, 98-99 DHCP compatibilidad con clientes BOOTP, 392 compatibilidad con clientes slo de informacin, 434 decisiones sobre la administracin de direcciones IP, 342 eliminacin de clientes de arranque y sin disco con DHCP, 433 modificar opciones de servicio DHCP, 369 preparar red para DHCP, 333 toma de decisiones para la configuracin del servidor DHCP, 338 trabajar con redes DHCP, 382 transferir datos de configuracin de servidores DHCP, 438 uso de direcciones IP, 395 uso de macros DHCP, 412 uso de opciones DHCP, 423
ndice
mapas de tareas (Continuacin) IP mvil configuracin, 740 modificar una configuracin, 745-746 IPMP administracin de reconfiguracin dinmica (DR), 798-799 configuracin de grupos IPMP, 797-798 IPQoS configuracin de control de flujo, 897 creacin de archivo de configuracin, 859 planificar directiva QoS, 844 IPv6 configuracin, 187-188 configuracin de tneles, 199-200 planificar, 87-88 Proteccin de una VPN con IPsec (mapa de tareas), 551-586 Proteccin del trfico con IPsec (mapa de tareas), 527 red IPv4 agregar subredes, 102-103 tareas de administracin de redes, 216-217 marca de clase de servicio (CoS), 831 marcador dlcosmk, 831 etiquetas VLAN, 911 planificar el reenvo de datagramas, 853 valores de prioridad de usuario, tabla de, 911 marcador dscpmk, 831 comportamientos PHB para el reenvo de paquetes, 909 invocar, en una instruccin action de marcador, 869, 875, 881, 885 planificar el reenvo de paquetes, 853 marcas de tiempo, 744, 766 mecanismos de proteccin, IPsec, 513-516 medidor tokenmt, 830 configuracin de presencia de color, 831 configuracin de reconocimiento de colores, 907 medicin de tasas, 906 medidor de doble tasa, 907 medidor de tasa nica, 907 parmetros de tasas, 906 medidor tswtclmt, 830, 908
medidor tswtclmt (Continuacin) medicin de tasas, 908 mensajes, anuncio de encaminador, 303 mensajes de error de IPQoS, 892 metarranura almacenamiento de claves, 506, 649 metaslot, almacenamiento de claves, 597 modelo administrativo, 446 modelo administrativo de DHCPv6, 447 modelo de referencia de Interconexin de Sistemas Abiertos (OSI), 39 modelo de referencia para redes de Interconexin de Sistemas Abiertos (OSI), 38 modelo Diffserv ejemplo de flujo, 832 implementacin de IPQoS, 829 implementacin IPQoS, 830, 831, 832 mdulo clasificador, 829 mdulos de marcador, 831 mdelo Diffserv, mdulos de medidor, 830 modificar macros DHCP, 414 opciones DHCP, 428 modo de ahorro de espacio, opcin de daemon in.routed, 270 modo de archivos locales configuracin de host, 107 definicin, 99 servidores de configuracin de red, 100 sistemas que necesitan, 99, 100 modo de cliente de red configuracin de host, 109 definicin, 99 descripcin general, 101 modo de transporte datos protegidos con ESP, 518 IPsec, 517-519 modo de tnel, IPsec, 517-519 modo interactivo, comando ipseckey, 540 modo transporte, proteger datos con AH, 518 modo tnel, proteger paquete IP interior completo, 519 modos de configuracin de host (TCP/IP), 99, 101 configuraciones mixtas, 101
961
ndice
modos de configuracin de host (TCP/IP) (Continuacin) ejemplo de red, 101 modo de archivos locales, 99, 100 modo de cliente de red, 101 servidores de configuracin de red, 100 topologa de red IPv4, 101 mdulo clasificador, 829 instruccin de accin, 865 mdulo classifier, funciones de classifier, 904 mdulo flowacct, 831, 913 atributos de registros de flujo, 914 comando acctadm, para crear un archivo de control de flujo, 915 instruccin action de flowacct, 872 parmetros, 913 registros de flujo, 897 tabla de registro de flujo, 914 mdulo pfil, 673-674 ver estadsticas, 690-691 mdulo tun, 305 mdulos de marcado Ver tambin marcador dlcosmk mdulos de marcador, 831 Ver tambin marcador dlcosmk Ver tambin marcador dscpmk compatibilidad con dispositivos VLAN, 911 especificar un punto de cdigo DS, 911 PHB, para el reenvo de paquetes IP, 834 mdulos de medicin Ver tambin medidor tokenmt Ver tambin medidor tswtclmt introduccin, 830 invocar, en el archivo de configuracin IPQoS, 884 resultados de la medicin, 830, 906 mltiples rutas de redes IP (IPMP), Ver IPMP
N
NAT compatible con RFC, 506 configurar reglas para, 670-671 desactivar, 683 descripcin general, 670-671
962
NAT (Continuacin) eliminar reglas NAT, 700-701 IPsec admite varios clientes, 505-507 limitaciones con IPsec, 520-521 reglas NAT anexar, 701-702 ver, 700 uso de IPsec e IKE, 642-643, 644-645 ver estadsticas, 706-707 negociacin de claves, IKE, 650-652 NIC Ver tarjeta de interfaz de red (NIC) especificar para filtro IP de Solaris, 687-688 NIS agregar direccin IPv6, 210 bases de datos de red, 64, 261 registro de nombre de dominio, 38 seleccionar como servicio de nombres, 65 NIS+ seleccionar como servicio de nombres, 65 y el almacn de datos DHCP, 469-472 nivel de privilegio, comprobar en IKE, 611 nivel de privilegios cambiar en IKE, 612 comprobar en IKE, 612 definir en IKE, 617 nodo, IPv6, 76 nodo mvil, 722, 723, 724, 770 definicin, 724 seccin Address, 744 nodo mvil predeterminado IP para mviles, seccin Address, 771-772 seccin Address de IP mvil, 744 nombre de almacn de claves, Ver ID de token nombre de directorio (DN), para acceder a CRL, 636 nombre de host, activar solicitud de cliente de, 459 nombre de inicio de sesin annimo, 43 nombre de nodo host local, 109, 251 nombres de dominio archivo /etc/defaultdomain, 106, 109, 251 dominios de nivel superior, 65 registrar, 38 seleccionar, 65
ndice
nombres de interfaz de red, 162-163 nombres/denominacin entidades de redes de denominacin, 63 entidades de redes de nombres, 66 nombre de host administrar, 64 archivo /etc/inet/hosts, 253 nombre de nodo host local, 109, 251 nombres de dominio dominios de nivel superior, 65 registro, 38 seleccionar, 65 nombres simblicos para nmeros de red, 259 novedades comando inetconv, 108 configurar sistemas de destino en IPMP, 805-807 deteccin de fallos basada en vnculos, 788-789 estado de interfaz con comando dladm, 155 mejoras de IKE, 604 mejoras de IPsec, 524-525 protocolo SCTP, 140-143 Utilidad de gestin de servicios (SMF), 108 nsswitch.conf file, changing, 265 nuevas caracteristicas, DHCP en interfaces lgicas, 457 nuevas caractersticas, secuencias de eventos DHCP, 464-467 nuevas funciones comando routeadm, 189 configurar manualmente una direccin local de vnculo, 196-198 direcciones temporales en IPv6, 192-195 prefijo de sitio, en IPv6, 78, 79 seleccin de direcciones predeterminadas, 239-242 nmeros aleatorios, generar con comando od, 609 nmeros de red, 37 nmeros de red de clase A descripcin, 271 divisin de espacio de direccin IPv4, 60 rango de nmeros disponibles, 61 nmeros de red de clase A, B y C, 56, 61 nmeros de red de clase B descripcin, 271, 272 divisin de espacio de direccin IPv4, 60
nmeros de red de clase B (Continuacin) rango de nmeros disponibles, 61 nmeros de red de clase C descripcin, 272 divisin de espacio de direccin IPv4, 60 rango de nmeros disponibles, 61
O
omitir directiva IPsec, 517 IPsec en LAN, 556, 572 opcin -a comando ikecert, 632 comando ikecert certdb, 621, 627 comando ikecert certrldb, 637 comando ipsecconf, 533 opcin -c comando ipsecconf, 506, 588 comando ipseckey, 506, 592 daemon in.iked, 608 opcin -D comando ikecert, 658 comando ikecert certlocal, 620 opcin -F, comando ikecert certlocal, 620 opcin -f comando ipseckey, 533 daemon in.iked, 608 opcin -L, comandoipsecconf, 537 opcin -l comando ikecert certdb, 622 comando ipsecconf, 537 opcin -m, comando ikecert certlocal, 620 opcin -q, daemon in.routed, 270 opcin -S comando ikecert certlocal, 620 daemon in.routed, 270 opcin -s, comando ping, 230 opcin -T comando ikecert certlocal, 620 opcin -t comando ikecert, 658 comando ikecert certlocal, 620 daemon inetd, 139
963
ndice
opcin de seguridad auth_algs, comando ifconfig, 593-594 opcin de seguridad encr_algs, comando ifconfig, 594 opcin de seguridad encr_auth_algs, comando ifconfig, 594 opcin failover, comando ifconfig, 785 opcin -kc comando ikecert certlocal, 620, 626, 657 opcin -ks comando ikecert certlocal, 620, 657 opciones DHCP crear, 425 descripcin general, 329 eliminar, 430 modificar, 428 propiedades, 423 uso, 422
P
palabra clave cert_root archivo de configuracin de IKE, 628, 634 palabra clave cert_trust archivo de configuracin de IKE, 623, 633 comando ikecert, 658 palabra clave expire_timer, archivo de configuracin de IKE, 651 palabra clave ignore_crls, archivo de configuracin de IKE, 630 palabra clave ldap-list, archivo de configuracin de IKE, 637 palabra clave pkcs11_path descripcin, 657 comando ikecert, 658 utilizar, 632 palabra clave proxy, archivo de configuracin de IKE, 637 palabra clave retry_limit, archivo de configuracin de IKE, 651 palabra clave retry_timer_init, archivo de configuracin de IKE, 651 palabra clave retry_timer_max, archivo de configuracin de IKE, 651
964
palabra clave tunnel directiva IPsec, 518, 550, 556, 567 palabra clave use_http, archivo de configuracin IKE, 637 paquetes ciclo de vida, 46, 49 capa de aplicacin, 46 capa de Internet, 47 capa de red fsica, 48 capa de transporte, 46, 47 capa de vnculo de datos, 48 capa del vnculo de datos, 48 proceso de host de recepcin, 48 proceso del host de recepcin, 49 comprobar flujo, 235 descartados o perdidos, 229 descripcin, 45 encabezado encabezado IP, 48 funciones de protocolo TCP, 41 encapsulado de datos, 46, 47 formato de encabezado de paquetes de IPv6, 277-278 fragmentacin, 40 funciones de protocolo IP, 40 proteger con IKE, 599 con IPsec, 509, 513-516 paquetes entrantes, 509 paquetes salientes, 509 reenviar, 114 soltados o perdidos, 41 transferir encaminador, 68, 69 pila TCP/IP, 45, 49 UDP, 47 verificar proteccin, 544-545 visualizar contenido, 235 paquetes descartados o perdidos, 229 paquetes fragmentados, 40 paquetes perdidos o descartados, 229 paquetes perdidos o soltados, 41 paquetes registrados, guardar en un archivo, 711 paquetes soltados o perdidos, 41
ndice
parmetro group comando ifconfig, 801, 814 parmetro standby comando ifconfig, 787, 809 parmetro test, comando ifconfig, 801 parmetros de transmisin ajuste de IKE, 650-652 parmetros globales de IKE, 651 parmetros de transmisin (IKE), cambiar, 650 perfil de derechos de administracin de red, 546 perfil de derechos de gestin de red IPsec, 546 perfil de derechos de seguridad de red, 545-547 perfiles de derechos administracin de red, 546 gestin de red IPsec, 546 permiso de DHCP fecha de caducidad, 399 tipo, 399 permiso DHCP dinmico y permanente, 344 direcciones IP reservadas, 398 negociacin, 340 policy, 340 tiempo, 340 y direcciones IP reservadas, 344 Peticin de comentarios (RFC), IPQoS, 825 peticin de comentarios (RFC), IPv6, 73-74 peticiones de comentarios (RFC), definicin, 50 PFS, Ver confidencialidad directa perfecta (Perfect Forward Secrecy o PFS) placa de Sun Crypto Accelerator 1000, 602 placa de Sun Crypto Accelerator 4000, acelerar clculos IKE, 602 placa Sun Crypto Accelerator 1000, utilizar con IKE, 647-648 placa Sun Crypto Accelerator 4000 almacenar claves IKE, 602 utilizar con IKE, 648-649 planificacin de la red, 69 agregar encaminadores, 66, 69 decisiones de diseo, 55 decisiones sobre diseo, 55 esquema de direcciones IP, 55, 63 planificacin de red, 53
planificacin de red (Continuacin) registro de red, 58 planificacin de redes asignaciones de nombres, 63, 66 portal, en una topologa de red, 127 prefijo prefijo de sitio, IPv6, 79 prefijo de subred, IPv6, 79 red, IPv4, 61 prefijo 6to4, anuncio /etc/inet/ndpd.conf, 205 prefijo de 6to4, explicacin de las partes, 275 prefijo de red, IPv4, 61 prefijo de sitio, IPv6 advertir, en el encaminador, 190 definicin, 78, 79 obtencin, 95 prefijo de subred, IPv6, 79 prefijos anuncio de encaminador, 297, 300, 303 presencia de color, 831 procesador UltraSPARC T2, utilizar con IKE, 646 programa /usr/sbin/in.rdisc, descripcin, 270 programa ftp, 42 programa FTP annimo descripcin, 43 programa FTP annimo, descripcin, 43 programa hostconfig, 109 programa in.rdisc, descripcin, 270 proteccin de repeticin de mensajes, 766 Proteccin de una VPN con IPsec (mapa de tareas), 551-586 Proteccin del trfico con IPsec (mapa de tareas), 527 proteger claves en hardware, 602 paquetes entre dos sistemas, 529-533 servidor Web con IPsec, 533-536 sistemas porttiles con IPsec, 638-646 trfico IPsec, 507 VPN con tnel IPsec en modo transporte, 570-577 VPN con tnel IPsec en modo tnel, 554-564 protocolo ARP (Address Resolution Protocol), comparacin con protocolo ND (Neighbor Discovery), 300-301
965
ndice
protocolo BOOTP compatibilidad con clientes con el servicio DHCP, 392 y DHCP, 317 protocolo Bootparams, 100 protocolo de administracin de claves y asociacin de seguridad de Internet (ISAKMP) asociaciones de seguridad, descripcin, 599 Protocolo de configuracin dinmica de host, Ver protocolo DHCP protocolo de control de agregacin de vnculos (LACP) modificar modos de LACP, 177 modos, 173 protocolo de informacin de encaminamiento (RIP), descripcin, 44 protocolo de Internet (IP), 722 protocolo de reconocimiento, tres vas, 47 protocolo de resolucin de direcciones (ARP), definicin, 41 protocolo de tres vas, 47 protocolo DHCP descripcin general, 317 secuencia de eventos, 319 ventajas en la implementacin de Solaris, 318 protocolo ICMP descripcin, 41 invocar, con ping, 228 mensajes, para protocolo ND, 295-296 visualizar estadsticas, 222 protocolo ICMP Router Discovery (RDISC), 270 protocolo IP comprobar conectividad de host, 228, 230 descripcin, 40 visualizar estadsticas, 222 protocolo ND capacidad, 83 configuracin automtica de direcciones, 83 descubrimiento de encaminadores, 83 descubrimiento de prefijos, 83 resolucin de direcciones, 83 protocolo ND (Neighbor Discovery) caractersticas principales, 295-301 comparacin con ARP, 300-301 configuracin automtica de direcciones, 296
966
protocolo ND (Neighbor Discovery) (Continuacin) descubrimiento de encaminador, 297 descubrimiento de prefijo, 297 deteccin de direcciones duplicadas, 298 solicitud de vecino, 298 protocolo RARP asignacin de direcciones Ethernet, 266 comprobar direcciones Ethernet, 244 configuracin de servidor RARP, 107 descripcin, 100 protocolo SCTP agregar servicios activados para SCTP, 140-143 descripcin, 42 IPsec y, 529 limitaciones con IPsec, 521 servicio del archivo /etc/inet/services, 269 visualizar estadsticas, 222 visualizar estado, 223-224 Protocolo simple de administracin de red (SNMP), 44 protocolo TCP descripcin, 41 establecer una conexin, 47 segmentacin, 47 servicios del archivo /etc/inet/services, 269 visualizar estadsticas, 222 protocolo Telnet, 43 protocolo tftp descripcin, 43 protocolo de arranque de servidor de configuracin de red, 100 protocolo UDP descripcin, 42 proceso de paquetes UDP, 47 servicios del archivo /etc/inet/services, 269 visualizar estadsticas, 222 protocolos de encaminamiento daemons de encaminamiento asociados, 116 descripcin, 44, 115, 269, 270 en el sistema operativo Solaris, 115 protocolo de portal de lmite (BGP), 120 protocolo de portal exterior (EGP), 115 protocolo de portal interior (IGP), 115 RDISC descripcin, 44, 270
ndice
protocolos de encaminamiento (Continuacin) RIP descripcin, 44, 270 seleccin automtica, 125 protocolos de pila doble, 90, 279 protocolos de seguridad Carga de seguridad encapsuladora (ESP), 514-515 consideraciones de seguridad, 515 descripcin general, 507 encabezado de autenticacin (AH), 514 mecanismos de proteccin IPsec, 513 prximo salto, 301 puertos, nmeros de puerto TCP, UDP y SCTP, 269 punto de cdigo DS (DSCP), 831, 834 configuracin de reconocimiento de color, 908 configurar, en un encaminador diffserv, 887, 909 definir, en el archivo de configuracin IPQoS, 869 parmetro dscp_map, 911 PHB y DSCP, 834 planificar, en la directiva QoS, 853 punto de cdigo de reenvo AF, 835, 910 punto de cdigo de reenvo EF, 910 punto de codigo de reenvo EF, 835 punto de conexin fsico (PPA), 166 punto fsico de conexin (PPA), 150
R
ranuras, del hardware, 659 RBAC IPsec y, 529 y comandos DHCP, 327 RDISC descripcin, 44, 270 reconfiguracin dinmica (DR) agregar interfaces a un grupo IPMP, 793 definicin, 783 desconectar interfaces de un grupo IPMP, 794 interfaces que no estn presentes durante el arranque, 795 interoperatividad con IPMP, 792-795 procedimientos de conexin en DR, 816 procedimientos de desconexin en DR, 815-816 reconectar interfaces en un grupo IPMP, 794
reconfiguracin dinmica (DR) (Continuacin) reemplazar interfaces fallidas, 814-816 reemplazar una interfaz que no estaba presente al arrancar, 816-819 reconocimiento de colores, 907 recuperacin tras los errores definicin, 782 reconfiguracin dinmica (DR), con, 794 red de rea extensa (WAN) Internet registro de nombre de dominio, 38 red externa, 724, 731, 735 red permanente, 724 red principal, 723, 731, 734 redes DHCP agregar a servicio DHCP, 385 eliminar del servicio DHCP, 390 modificar, 387 trabajar con, 382-392 redes privadas virtuales (VPN) configurar con el comando routeadm, 555, 576 construidas con IPsec, 520 ejemplo de IPv4, 554-564 ejemplo de IPv6, 564-570 proteger con IPsec, 554-564 proteger con IPsec en modo de transporte de tnel, 570-577 redes TCP/IP archivos de configuracin, 249 archivo /etc/defaultdomain, 251 archivo /etc/defaultrouter, 251 archivo /etc/hostname.interfaz, 250 archivo /etc/nodename, 109, 251 base de datos hosts, 251, 254 base de datos netmasks, 256 configuracin de host, 99 configurar archivo nsswitch.conf, 263, 265 bases de datos de red, 260, 263, 265 clientes de red, 108 instalacin de servidor de configuracin de red, 107 modo de archivos locales, 107 modos de configuracin de host, 99, 101
967
ndice
redes TCP/IP, configurar (Continuacin) requisitos previos, 98 servicios TCP/IP estndar, 139 modos de configuracin de host, 101 configuraciones mixtas, 101 ejemplo de red, 101 modo de archivos locales, 99, 100 modo de cliente de red, 101 servidores de configuracin de red, 100 nmeros de red, 37 proteger con ESP, 514 resolucin de problemas, 238 comando ifconfig, 217 comando netstat, 221 comando ping, 228, 230 comprobaciones de software, 244 mtodos generales, 243 prdida de paquetes, 229, 230 programas de diagnstico de otros fabricantes, 243 visualizar contenido de paquetes, 235 tareas de configuracin de red IPv4, 104 topologa de red IPv4, 101 redireccin IPv6, 296, 300 redirigir, IPv6, 84 reemplazar, claves previamente compartidas (IKE), 610-611 reenviar trfico, planificar, en la directiva QoS, 847 reenvo acelerado (EF), 835, 910 definir, en el archivo de configuracin IPQoS, 870 reenvo asegurado (AF), 835, 910 para una instruccin action de marcador, 870 tabla de puntos de cdigo AF, 910 reenvo de IP en VPN, 519 en VPN IPv4, 554, 557, 559, 571, 573 en VPN IPv6, 565, 568, 569, 578, 580, 581 reenvo de trfico, efecto de comportamientos PHB en el reenvo de trfico, 909 reenvo del trfico flujo del trfico a travs de redes Diffserv, 835 reenvo de datagramas, 911 reenvo de paquetes IP, con DSCP, 834
968
registrar nombres de dominio, 38 sistemas autnomos, 121 registro indicador de tnel inverso, 733 IP para mviles, 724, 726, 731 mensaje de respuesta, 734 mensajes, 731, 734 redes, 58 solicitud, 733 registro de archivo syslog.conf para IPQoS, 891 registros AAAA, 210, 312 regulacin del ancho de banda, 827 regular el ancho de banda, planificar, en la directiva QoS, 847 Requests for Comments (RFC), 50 requisitos de IPMP, 783 resolucin de direcciones, en IPv6, 83 resolucin de problemas carga til de IKE, 631 comprobar vnculos de PPP flujo de paquetes, 235 redes TCP/IP comando ping, 230 comando traceroute, 233-235 comprobaciones de software, 244 comprobar paquetes entre cliente y servidor, 238 mtodos generales, 243 mostrar estado de interfaz con el comando ifconfig, 220 observar transmisiones de interfaces, 224-225 obtener estadsticas por protocolo, 221-223 obtener estado del protocolo de transporte, 223-224 prdida de paquetes, 229, 230 programas de diagnstico de otros fabricantes, 243 seguimiento de actividad de in.ndpd, 232-233 seguimiento de in.routed, 231-232 sondear hosts remotos con comando ping, 228 supervisar estado de red con comando netstat, 221 supervisar transferencia de paquetes con el comando snoop, 235
ndice
resolucin de problemas, redes TCP/IP (Continuacin) visualizar estado de rutas conocidas, 227-228 redes TCP/IP networks visualizar estado de interfaz con comando ifconfig, 217 tiempo de transmisin de IKE, 650-652 resolver problemas IPv6, 245-247 roles, crear rol de seguridad de red, 545-547 routers configurar para redes IPv4, 122 ejemplo, configurar un encaminador predeterminado, 126 Routing Information Protocol (RIP), descripcin, 270
S
salto, en reenvo de paquetes, 115 saltos, agente de reenvo, 380 seccin Address archivo de configuracin de IP para mviles, 767, 768-772 direcciones privadas, 769 etiquetas y valores, 769 etiquetas y valores de nodo predeterminado, 772 etiquetas y valores NAI, 770 seccin Advertisements archivo de configuracin de IP para mviles, 764-765 etiquetas y valores, 764 seccin General archivo de configuracin de IP para mviles, 763 etiqueta Version, 763 seccin GlobalSecurityParameters archivo de configuracin de IP para mviles, 765-766 etiquetas y valores, 766 seccin Pool, etiquetas y valores, 767 seccin Pool section, archivo de configuracin de IP para mviles, 766-767 seccin SPI archivo de configuracin de IP para mviles, 767-768, 769
seccin SPI (Continuacin) etiquetas y valores, 768 segmento ACK, 47 segmento SYN, 47 seguridad IKE, 654 IPsec, 507 seguridad de red, configurar, 503 seleccin de direcciones predeterminadas, 285-287 definicin, 239-242 tabla de directrices de seleccin de direcciones IPv6, 239-241 selectores, 830 IPQoS 5-tuple, 829 planificar, en la directiva QoS, 848 selectores, lista de, 904 servicio clave manual, utilizar, 532 servicio de manual-key, descripcin, 513 servicio de nombres de archivos locales archivo /etc/inet/hosts, 530 archivo inicial, 252, 253 ejemplo, 254 formato, 252 requisitos, 254 archivo /etc/inet/ipnodes, 530 bases de datos de red, 261 descripcin, 65 modo de archivos locales, 99, 100 servicio DHCP agregar redes, 385 arranque e instalacin en red de Solaris, 431-432 asignacin de direcciones IP, 328 compatibilidad con clientes BOOTP, 392 compatibilidad con instalacin de arranque WAN, 432 desconfigurar, 355 con el Administrador de DHCP, 357 descripcin general de la configuracin de red, 328 direcciones IP agregar, 399 eliminar, 406 inutilizables, 406 modificar propiedades, 403 reservar para cliente, 409
969
ndice
servicio DHCP (Continuacin) habilitar e inhabilitar comando dhcpconfig, 367-368 efectos de, 366 habilitar y deshabilitar Administrador de DHCP, 367 iniciar y detener Administrador de DHCP, 367 efectos de, 366 mensajes de error, 473, 481 modificar opciones de servicio, 369 planificar, 333 registro descripcin general, 371 transacciones, 372 supervisin de interfaz de red, 383 tiempo de oferta de cach, 380 topologa de red, 334 Utilidad de gestin de servicios, 368-369 servicio ike descripcin, 513, 587 utilizar, 532 servicio Ipsecalgs, descripcin, 587 servicio manual-key, descripcin, 587 servicio policy descripcin, 587 utilizar, 531 servicios IPsec ipsecalgs, 523 red y comando svcadm, 555, 566, 571 servicios de archivos, 44 servicios de nombres archivos correspondientes a las bases de datos de red, 262 archivos locales archivo /etc/inet/hosts, 251, 254 descripcin, 65 modo de archivos locales, 99, 100 base de datos hosts y, 253, 254 bases de datos de red y, 64, 261 especificacin de orden de bsqueda de base de datos, 263
970
servicios de nombres (Continuacin) especificacin de orden de bsqueda de bases de datos, 265 NIS, 65 NIS+, 65 plantillas de archivo nsswitch.conf, 264 registro de clientes DHCP, 379 registro de nombre de dominio, 38 seleccionar un servicio, 64, 66 servicios compatibles, 64 sistema de nombre de dominio (DNS), 43 sistema de nombres de dominio (DNS), 65 subdivisiones administrativas, 66 servicios diferenciados, 823 distribuciones de red, 840 modelo de servicios diferenciados, 829 proporcionar diferentes clases de servicio, 828 servicios NFS, 44 servidor, DHCPv6, 446 servidor de aplicaciones, configurar para IPQoS, 876 servidor DHCP administrar, 323 almacn de datos, 323 configuracin descripcin general, 327 informacin recopilada, 336 configurar comando dhcpconfig, 358 con el Administrador de DHCP, 350 cuntos configurar, 335 ejecutar en modo de depuracin, 477 ejemplo de salida, 479-482 funciones, 322 habilitar para actualizar DNS, 376-377 opciones, 369 Administrador de DHCP, 380-381 comando dhcpconfig, 381-382 planificacin de mltiples servidores, 345 seleccionar, 338 solucin de problemas, 469 servidores, IPv6 habilitar IPv6, 198-199 planificar tareas, 91-92
ndice
servidores de configuracin de red definicin, 100 instalar, 107 protocolos de arranque, 100 servidores Web configurar para IPQoS, 863, 873 servidores web configurar para IPQoS, 862, 874 servidores Web proteger con IPsec, 533-536 siguiente salto, 115 sistema autnomo (SA), Ver topologa de red sistema de destino, en IPMP configurar en una secuencia de shell, 806-807 configurar manualmente, 806 definicin, 782 sistema de nombre de dominio (DNS) bases de datos de red, 64, 261 descripcin, 43 habilitar actualizaciones dinmicas por parte de servidor DHCP, 376-377 registro de nombre de dominio, 38 seleccionar como servicio de nombres, 65 sistema de nombres de dominio (DNS) archivo de zona, 209 archivo de zona inversa, 209 extensiones para IPv6, 312 sistema nombres de dominio (DNS), preparar, para admitir IPv6, 93 sistemas, proteger comunicacin, 529-533 sistemas operativos basados en BSD enlace de archivo /etc/inet/hosts, 252 enlace de archivo /etc/inet/netmasks, 259 SNMP (Protocolo simple de administracin de red), 44 sockets consideraciones de seguridad, 533 seguridad IPsec, 590 visualizar estado de sockets con netstat, 225 solicitud de agente, IP para mviles, 727, 728 solicitud de agentes, IP para mviles, 726 solicitud de encaminador IPv6, 295, 297 solicitud de vecino, IPv6, 296
solicitudes de certificados de autoridad de certificacin, 626 en hardware, 632 utilizar, 658 solicitudes de comentarios (RFC) IKE, 508 IPsec, 508 solicitudes de opciones, 449 solucin de problemas, DHCP, 469 sondear una interfaz, 123, 146, 157 subdivisiones, administrativas, 66 subdivisiones administrativas, 66 subredes base de datos netmasks, 256 creacin de mscara de red, 257, 258 editar archivo /etc/inet/netmasks, 259 descripcin general, 256 direcciones IPv4 y, 258 IPv4 configuracin de mscara de red, 106 direcciones y, 257 IPv6 configuracin 6to4, 309 definicin, 76 sugerencias de numeracin, 95-96 mscaras de red aplicar a direccin IPv4, 258 crear, 258 nmero de subred, IPv4, 256 nmero de subred en direcciones IPv4, 61 prefijo de subred, IPv6, 79 servidores de configuracin de red, 100 sustituir claves manuales (IPsec), 540 SA IPsec, 540
T
opcin -T comando ikecert, 632, 658, 659 tabla de enlace agente interno, 753, 754 IP para mviles, 773 tabla dhcptab, 351
971
ndice
tabla dhcptab (Continuacin) descripcin, 497 descripcin general, 324 eliminar al desconfigurar, 356 leer automticamente, 380 tabla hosts.org_dir, 210 tabla ipnodes.org_dir, 210 tablas de encaminamiento configuracin manual, 129 configurar manualmente, 127 creacin de daemon de in.routed, 270 definicin, 115 descripcin, 68 ejemplo de transferencia de paquetes, 69 modo de ahorro de espacio, 270 mostrar, 243 seguimiento de todas las rutas, 234-235 subredes y, 256 tablas de estado, ver, 704-705 tablas de red DHCP creadas durante la configuracin del servidor, 352 descripcin, 325 eliminar al desconfigurar, 356 tarjeta de interfaz de red (NIC) administrar NIC que no estn durante el arranque, 795 conectar NIC con DR, 793 definicin, 781 desconectar NIC con DR, 794 deteccin de reparaciones, 782 fallos y conmutacin por error, 782 NIC, tipos, 144 NIC, tipos de, 162 NIC que admiten IPMP, 788 reconfiguracin dinmica, 783 velocidad de NIC en un grupo IPMP, 781-782 TCP/IP protocol suite, 37 teclas compartidas previamente, ver en IKE, 612-613 tiempo de deteccin de fallos, IPMP, 790 tipos de encapsulado, IP para mviles, 735 Token ring, compatibilidad con IPMP para, 800 topologa, 66, 67 topologa de IP para mviles, 722 topologa de red, 66, 67
972
topologa de red (Continuacin) DHCP y, 334 sistema autnomo, 119 topologa de sitio, IPv6, 80 topologa pblica, IPv6, 80 traduccin de direcciones de red (NAT), Ver NAT transicin a IPv6, mecanismo 6to4, 307 truncaciones, Ver agregaciones tnel, 735 tnel inverso consideraciones del agente externo, 734 consideraciones del agente interno, 734 encaminamiento de datagramas de multidifusin, 737 encaminamiento de datagramas de unidifusin, 736 IP para mviles, 727, 729-730 tneles configuracin de IPv6 IPv4 a travs de IPv6, 202 IPv6 a travs de IPv4, 200-201 IPv6 a travs de IPv6, 201 configurar IPv6 ejemplos, 289-290 en encaminador de reenvo 6to4, 207 tneles 6to4, 203 IPsec, 519 IPv6, automtico Ver tneles, tneles 6to4 IPv6, configurados manualmente, 305-307 mecanismos de colocacin en tneles de IPv6, 303 modo transporte, 517 modo tnel, 518 modos en IPsec, 517-519 opciones de seguridad de ifconfig, 593-594 planificar, para IPv6, 93-94 proteger paquetes, 519 topologa, hasta encaminador de reenvo 6to4, 311 tneles 6to4, 307 flujo de paquetes, 309, 311 problemas conocidos, 246 topologa, 308 tneles 6to4 definicin, 203 encaminador de reenvo 6to4, 207
ndice
tneles 6to4 (Continuacin) flujo de paquetes, 309, 311 problemas conocidos, 246 topologa de ejemplo, 308 tneles automticos, transicin a IPv6, 304 tneles IPsec, sintaxis simplificada, 505-507
U
unidad de transmisin mxima (MTU), 300 utilidad de gestin de servicios (SMF) servicio IKE actualizar, 532, 611 cambiar propiedad de servicio, 612 Utilidad de gestin de servicios (SMF) servicio IKE descripcin, 653-654 utilidad de gestin de servicios (SMF) servicio IKE descripcin, 597 Utilidad de gestin de servicios (SMF) servicio IKE habilitar, 654 utilidad de gestin de servicios (SMF) servicio IKE habilitar, 532, 642, 651 ike servicio, 602 Utilidad de gestin de servicios (SMF) servicio IKE propiedades configurables, 653 utilidad de gestin de servicios (SMF) servicio IKE reiniciar, 532 servicio ike, 513 servicios de IPsec, 587-588 manual-key servicio, 592 servicio ipsecalgs, 590 servicio policy, 523 servicios IPsec clave manual utilizar, 532 descripcin, 505-507 descripcin de manual-key, 513 lista, 522-524 utilizar para administrar IKE, 547-548
utilidad de gestin de servicios (SMF) (Continuacin) utilizar para administrar IPsec, 547-548 utilidades de claves comando ipseckey, 513 protocolo IKE, 598 servicio de manual-key, 513 servicio ike, 513 utilidades de la lnea de comandos de DHCP, 326 utilidades de lnea de comandos DHCP, privilegios, 365
V
opcin -V comando snoop, 593, 594 vaciar, Ver eliminar valor de prioridad de usuario, 831 varias interfaces de red, sistemas cliente DHCP, 457 verificar archivo ipsecinit.conf sintaxis, 531, 557 proteccin de paquetes, 544-545 vnculo, IPv6, 76 vnculo IP, en terminologa IPMP, 781 vnculos de PPP resolucin de problemas flujo de paquetes, 235 visualizar configuracin de IPsec, 589-590 directiva IPsec, 537 visualizar estadsticas de protocolo, 222 VLAN configuracin, 164-169 configuracin, en Solaris 10 3/05, 148-151 configuracin de nodos, 165 configuraciones, 164-167 definicin, 148-151, 164-169 dispositivo virtual, 150, 168 escenarios de muestra, 164 esttica configuracin, en Solaris 10 3/05, 149-151 formato de encabezado de etiqueta, 149 ID de VLAN (VID), 149 ID VLAN (VID), 165-167
973
ndice
VLAN (Continuacin) interfaces compatibles con Solaris 10 1/06, 168 planificar, 167 punto de conexin fsico (PPA), 166 punto fsico de conexin (PPA), 150 VPN, Ver redes privadas virtuales (VPN)
Z
zona global, IKE, 597 zonas administracin de claves y, 529 IPsec y, 522, 529
974